CN117561510A - 恶意软件检测方法、恶意软件检测装置及程序 - Google Patents

恶意软件检测方法、恶意软件检测装置及程序 Download PDF

Info

Publication number
CN117561510A
CN117561510A CN202280045430.8A CN202280045430A CN117561510A CN 117561510 A CN117561510 A CN 117561510A CN 202280045430 A CN202280045430 A CN 202280045430A CN 117561510 A CN117561510 A CN 117561510A
Authority
CN
China
Prior art keywords
detection
home appliance
malware
target device
detection model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280045430.8A
Other languages
English (en)
Inventor
加藤辽
前田学
芳贺智之
西田直央
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Panasonic Intellectual Property Corp of America
Original Assignee
Panasonic Intellectual Property Corp of America
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Panasonic Intellectual Property Corp of America filed Critical Panasonic Intellectual Property Corp of America
Publication of CN117561510A publication Critical patent/CN117561510A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3058Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations
    • G06F11/3062Monitoring arrangements for monitoring environmental properties or parameters of the computing system or of the computing system component, e.g. monitoring of power, currents, temperature, humidity, position, vibrations where the monitored property is the power consumption
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Selective Calling Equipment (AREA)

Abstract

包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法包括:信息取得步骤(S301),取得至少包含表示检测对象设备的机种及动作状态的信息的多个设定值;检测模型选择步骤(S302),根据所取得的多个设定值,从多个检测模型中选择1个检测模型;消耗功率取得步骤(S303),取得检测对象设备的消耗功率或电流;以及异常检测步骤(S304),使用在检测模型选择步骤(S302)中选择的1个检测模型,根据所取得的消耗功率或电流,对检测对象设备是否感染于恶意软件进行检测。

Description

恶意软件检测方法、恶意软件检测装置及程序
技术领域
本公开涉及被限制在一定空间中的家庭网络中的恶意软件检测方法等。
背景技术
近年来,与建筑物内的本地网络连接并能够经由路由器等连入因特网的家庭内的家电设备正在增加。对于这样的家电设备,能够经由因特网从远程进行控制,或对状态进行监视,或进行与建筑物内的其他家电设备的协同等。
另一方面,能够连入因特网的设备被暴露在赛博攻击下的风险也增加。例如,在路由器、个人计算机或智能电话等终端设备中,有时因赛博攻击而例如感染于恶意软件,参加到对因特网上的其他服务器的攻击中。
恶意软件是常驻于感染的终端设备中的程序,常时消耗功率。另外,恶意软件之中,在感染的终端中不正当地挖掘虚拟货币的货币矿机(Coin miner)等恶意软件为了挖掘虚拟货币而剧烈地消耗功率,在终端设备的功率值上容易显现恶意软件感染的痕跡。
因此,已知有如下恶意软件检测方法:利用在正常状态的终端设备和感染于恶意软件的终端设备中消耗功率或电流发生差异的特性来检测终端设备有无感染恶意软件(例如专利文献1)。根据专利文献1,将正常时的终端的消耗功率预先作为正常数据进行机器学习,通过与实际的终端设备的消耗功率比较,能够判定终端设备是否感染于恶意软件。
现有技术文献
专利文献
专利文献1:日本特许第6709845号公报
发明内容
发明要解决的课题
此外,会有作为能够连入因特网的终端设备的路由器、个人计算机或智能电话感染于恶意软件的情况,所以能够连入因特网的家电设备也同样有可能感染于恶意软件。
因此,需要有对于家电设备的恶意软件检测方法。此外,通常,家电设备的资源较少,所以对于家电设备的恶意软件检测方法只要是根据家电设备的消耗功率来检测是否感染于恶意软件的恶意软件检测方法即可。例如,推测家电设备的正常时的消耗功率,在推测出的正常时的消耗功率与实际的消耗功率大不相同的情况下,能够判定为该家电设备感染于恶意软件。
但是,例如在家电设备是空气调节机(空调)的情况下,空调的正常时的消耗功率不能划一地推测,而能够根据许多外在因素和内部状态来综合性地推测。作为许多外在因素和内部状态,例如是空调的当前时间点的动作状态是制暖还是制冷、对空调是否进行了节电设定、室内温度与空调的目标温度的差有多少、空调内部的压缩机是否正在动作等。
此外,空调如果生产商或型号不同则消耗功率也大不相同。即,在空调的正常时的消耗功率的推测中还需要生产商或型号的信息。
进而,在同室中,检测对象空调和与其不同的另一台空调这两台空调动作的情况下等,消耗功率与只有检测对象空调进行动作的情况不同。例如在用同室中的两台空调进行室内的制暖或制冷的情况下,每一台空调的消耗功率比仅用1台空调进行室内的制暖或制冷时的消耗功率少。即,在空调的正常时的消耗功率的推测中,还需要设置了空调的环境的信息。
因而,为了更正确地推测空调的正常时的消耗功率,除了消耗功率的履历、室内温度的传感器值以外,还需要动态地取得与空调有关的信息、空调的设定、设置了空调的环境等的信息。
即,在上述专利文献1的恶意软件检测方法中,由于不使用与空调等的家电设备有关的信息以及家电设备的设定来推测消耗功率,所以存在对家电设备的恶意软件检测的精度不高的问题。
本公开是鉴于上述的情况而做出的,目的是提供能够提高对家电设备的恶意软件检测的检测精度的恶意软件检测方法等。
用来解决课题的手段
为了达成上述目的,有关本公开的一技术方案的恶意软件检测方法,是包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法,上述1个以上的家电设备包括检测对象设备,其中,上述恶意软件检测方法包括:信息取得步骤,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;检测模型选择步骤,根据在上述信息取得步骤中取得的上述多个设定值,从多个检测模型中选择1个检测模型;消耗功率取得步骤,取得上述检测对象设备的消耗功率或电流;异常检测步骤,使用在上述检测模型选择步骤中选择的上述1个检测模型,根据在上述消耗功率取得步骤中取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及输出步骤,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
发明效果
根据本公开,能够提高对家电设备的恶意软件检测的检测精度。
附图说明
图1是表示有关实施方式1的恶意软件检测系统的整体结构的图。
图2是表示有关实施方式1的家电的结构的图。
图3是表示有关实施方式1的家电的处理的一例的流程图。
图4是表示有关实施方式1的服务器的结构的图。
图5是表示有关实施方式1的检测模型数据库的一例的图。
图6是表示有关实施方式1的服务器的处理的一例的流程图。
图7是表示有关实施方式1的异常检测机的结构的图。
图8是表示有关实施方式1的用来请求家电的设定值的ECHONET Lite(注册商标)帧的一例的图。
图9是表示有关实施方式1的用来返送家电的设定值的ECHONET Lite帧的一例的图。
图10是表示有关实施方式1的设定列表的一例的图。
图11是表示有关实施方式1的检测模型列表保持部所保持的检测模型列表的一例的图。
图12是表示有关实施方式1的对于家电的检测模型的正态分布和实际的功率值或电流值的图。
图13是表示有关实施方式1的对于家电的检测模型的正态分布和实际的功率值或电流值的图。
图14是表示有关实施方式1的异常检测机的主处理的一例的流程图。
图15A是表示有关实施方式1的异常检测机的设定值取得处理的一例的流程图。
图15B是表示有关实施方式1的异常检测机的检测模型选择处理的一例的流程图。
图15C是表示有关实施方式1的异常检测机的功率取得处理的一例的流程图。
图16是表示有关实施方式2的恶意软件检测系统的整体结构的图。
图17是表示有关实施方式2的设定列表的一例的图。
图18是表示有关实施方式2的检测模型列表保持部所保持的检测模型列表中包含的多个检测模型的一例的图。
图19是表示有关实施方式3的异常检测机的主处理的一例的流程图。
图20是概念性地表示有关实施方式3的在稳定状态的消耗功率中容易显现家电所感染的恶意软件动作时的消耗功率的特征的图。
图21是表示有关变形例1的异常检测机的主处理的一例的流程图。
图22是表示有关变形例2的恶意软件检测系统的整体结构的图。
图23A是表示有关变形例2的终端的显示画面的一例的图。
图23B是表示有关变形例2的终端的显示画面的一例的图。
图24是表示有关变形例2的SIEM的显示画面的一例的图。
图25是表示有关变形例3的恶意软件检测系统的整体结构的图。
图26是表示有关变形例3的异常检测机的主处理的一例的流程图。
图27是表示有关变形例3的设定列表保持部所保持的设定列表的一例的图。
图28是表示有关变形例3的设定列表保持部所保持的设定列表的另一例的图。
图29是表示在有关变形例3的检测模型列表保持部所保持的检测模型列表中包含的多个检测模型的一例的图。
图30是表示在有关变形例3的检测模型列表保持部所保持的检测模型列表中包含的多个检测模型的另一例的图。
图31是表示有关变形例4的恶意软件检测系统的整体结构的图。
具体实施方式
以下,参照附图对有关本公开的实施方式的恶意软件检测方法等进行说明。另外,以下说明的实施方式都表示本公开的优选的一具体例。即,在以下的实施方式中表示的数值、形状、材料、构成要素、构成要素的配置及连接形态、步骤、步骤的顺序等是本公开的一例,不是限定本公开的意思。本公开基于权利要求书的记载而确定。因而,以下的实施方式的构成要素中的在本公开的独立权利要求中没有记载的构成要素,设为虽然不是为了达成本公开的课题所必定需要的、但构成更优选的形态的构成要素而进行说明。
(实施方式1)
有关本公开的一技术方案的恶意软件检测方法,是包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法,上述1个以上的家电设备包括检测对象设备,其中,上述恶意软件检测方法包括:信息取得步骤,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;检测模型选择步骤,根据在上述信息取得步骤中取得的上述多个设定值,从多个检测模型中选择1个检测模型;消耗功率取得步骤,取得上述检测对象设备的消耗功率或电流;异常检测步骤,使用在上述检测模型选择步骤中选择的上述1个检测模型,根据在上述消耗功率取得步骤中取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及输出步骤,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
这样,能够根据对检测对象设备的家电设备设定的多个设定值来选择适合于功率值或电流值发生变化的家电设备的1个检测模型。由此,能够使用1个检测模型,根据检测对象设备的家电设备的功率值或电流值,更高精度地进行对于检测对象设备的家电设备的恶意软件检测。
即,能够提高对于家电设备的恶意软件检测的检测精度。
这里,例如也可以是,上述动作状态表示上述检测对象设备处于工作状态还是停止状态。
此外,例如也可以是,在上述检测对象设备是空调的情况下,在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备是以制暖进行工作还是以制冷进行工作的信息。
此外,例如也可以是,在上述检测对象设备是空调的情况下,在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备是否处于除霜状态的信息、表示上述检测对象设备是否处于余热状态的信息、表示上述检测对象设备是否处于排热状态的信息、表示上述检测对象设备的压缩机是否在动作中的信息、以及表示上述检测对象设备的恒温器是否在动作中的信息中的至少1个信息。
此外,例如也可以是,在上述检测对象设备是空调的情况下,在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备的风量的信息、以及表示上述检测对象设备是否被进行了节电设定的信息中的至少一个信息。
此外,例如也可以是,在上述信息取得步骤中,利用家电操作协议取得上述多个设定值,在上述消耗功率取得步骤中,利用上述家电操作协议来取得上述检测对象设备的消耗功率或电流。
此外,例如上述家电操作协议也可以是ECHONET Lite。
此外,例如也可以是,在上述检测模型选择步骤中,从服务器取得由与宅内信息相应的上述多个检测模型构成的检测模型列表,根据在上述信息取得步骤中取得的上述多个设定值,从上述检测模型列表中选择上述1个检测模型。
此外,例如也可以是,在上述检测对象设备是空调的情况下,上述宅内信息是表示在设置了上述检测对象设备的空间中是否存在上述检测对象设备以外的1个以上的空调的信息。
此外,例如也可以是,在上述检测对象设备是空调的情况下,上述宅内信息是表示对设置了上述检测对象设备的空间是否施工了隔热构造的信息。
有关本公开的一技术方案的恶意软件检测装置,是包括连接于家庭网络上的1个以上的家电设备的家庭网络系统中的恶意软件检测装置,上述1个以上的家电设备包括检测对象设备,上述恶意软件检测装置具备:设定值取得部,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;检测模型选择部,根据由上述设定值取得部取得的上述多个设定值,从多个检测模型中选择1个检测模型;消耗功率取得部,取得上述检测对象设备的消耗功率或电流;异常检测部,使用由上述检测模型选择部选择的上述1个检测模型,根据由上述消耗功率取得部取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及输出部,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
此外,有关本公开的一技术方案的程序,是用来执行包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法的程序,上述1个以上的家电设备包括检测对象设备,上述程序用于执行:信息取得步骤,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;检测模型选择步骤,根据在上述信息取得步骤中取得的上述多个设定值,从多个检测模型中选择1个检测模型;消耗功率取得步骤,取得上述检测对象设备的消耗功率或电流;异常检测步骤,使用在上述检测模型选择步骤中选择的上述1个检测模型,根据在上述消耗功率取得步骤中取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及输出步骤,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
另外,这些包含性或具体的技术方案也可以由系统、装置、方法、集成电路、计算机程序或能够由计算机读取的CD-ROM等的记录介质实现,也可以由系统、装置、方法、集成电路、计算机程序及记录介质的任意的组合来实现。
[1.系统的结构]
以下,参照附图对恶意软件检测方法进行说明。另外,在本实施方式中,列举在家庭内的网络(家庭网络11)上连接着作为检测对象设备的家电设备(以下称作家电)及异常检测机的情况为例进行说明。
[1.1家电的恶意软件检测系统的整体结构]
图1是表示有关实施方式1的恶意软件检测系统的整体结构的图。有关本公开的恶意软件检测系统是包括与家庭网络连接的包括检测对象设备的1个以上的家电设备的家庭网络系统。图1所示的恶意软件检测系统具备因特网10、家庭网络11、家庭网关20、异常检测机30、家电40及服务器50。
因特网10是一般的因特网。
家庭网络11是一般的宅内网络,使用家电操作协议。家电操作协议例如是ECHONETLite,但并不限于此。家电操作协议也可以是Nest、HomeKit(注册商标)或Matter。
如图1所示,家庭网关20、异常检测机30及家电40通过家庭网络11连接。例如,在异常检测机30或家电40与服务器50进行通信的情况下或异常检测机30与家电40进行通信的情况下,经由家庭网关20进行通信。
家庭网关20对异常检测机30与家电40的通信、异常检测机30或家电40与因特网10的通信进行中介。家庭网关20管理异常检测机30及家电40为了进行通信而需要的IP地址等信息。家庭网关20根据来自各设备的请求,进行IP地址的分配或通信所需要的信息的通知。
家电40是与家庭网络11连接的家电操作协议对应的家电设备。家电40例如是空调,但并不限于此。家电40也可以是冰箱、洗衣机、扫地机器人、智能音箱等。
如果从异常检测机30利用家电操作协议来请求设定值,则家电40利用家电操作协议将被请求的时间点的家电40的设定值发送(应答)给异常检测机30。此外,如果从异常检测机30利用家电操作协议来请求功率值或电流值,则家电40利用家电操作协议将被请求的时间点的家电40的功率值或电流值发送(应答)给异常检测机30。
服务器50与因特网10连接。服务器50根据来自异常检测机30的请求,发送由异常检测机30在进行异常检测时使用的多个检测模型构成的检测模型列表。
异常检测机30与家庭网络11连接。异常检测机30利用家电操作协议取得家电40的设定值及功率值(或电流值)。异常检测机30根据需要,也可以通过与服务器50进行通信来取得用于进行对家电40的异常检测的信息。
此外,异常检测机30选择与所取得的家电40的设定值及功率值相应的检测模型,使用所选择的检测模型,根据家电40的功率值或电流值检测家电40是否感染于恶意软件。
以下,对家电40的详细情况进行说明。
[1.1.1家电40的详细情况]
图2是表示有关实施方式1的家电40的结构的图。
如图2所示,家电40具备接收部300、请求类别判定部310、调度部320、功率取得部330、设定值取得部340及发送部350。
接收部300利用家电操作协议,请求设定值或功率值(或电流值)。在本实施方式中,接收部300接收家电操作协议的请求包。
请求类别判定部310判定接收部300接收到的请求包的类别。在本实施方式中,请求包有请求功率值的功率请求和请求设定值的设定值请求这两种类别。
调度部320对功率值及设定值的取得定时进行控制。调度部320在判断为是适合于功率值的发送的定时时发动功率取得事件,在判断为是适合于设定值的发送的定时时发动设定值取得事件。
这里,适合于功率值的发送的定时例如可以是从前次发送的功率值的取得定时起经过了规定时间的定时,也可以是相对于前次发送的功率值的功率值变化为规定的阈值以上的定时。此外,适合于设定值的发送的定时例如可以是多个设定值中的至少一个设定值变更的定时,也可以是从前次发送的设定值的取得定时起经过了规定时间的定时。此外,在某个设定值如室温那样是连续值的情况下,适合于设定值的发送的定时也可以是相对于前次发送的设定值的设定值变化为规定的阈值以上的定时。
另外,调度部320也可以以规定的时间间隔发动功率取得事件或设定值取得事件。此外,调度部320也可以每当功率值被更新就发动功率取得事件,也可以每当设定值被更新就发动设定值取得事件。
功率取得部330是消耗功率取得部的一例,在进行了功率取得事件的发动的情况或请求包是功率请求的情况下,取得家电40的功率值。在本实施方式中,功率取得部330取得家电40的消耗功率值。
设定值取得部340在进行了设定值取得事件的发动的情况下或请求包是设定值请求的情况下,取得家电40的设定值。在本实施方式中,设定值取得部340取得至少包含表示家电40的机种及动作状态的信息的多个设定值。表示动作状态的信息是表示家电40处于工作状态还是处于停止状态的信息。
发送部350利用家电操作协议来发送被请求的设定值或功率值(或电流值)。在本实施方式中,发送部350在接收部300接收到家电操作协议中的请求包的情况下,根据接收部300接收到的请求包,发送功率取得部330所取得的功率值或设定值取得部340所取得的设定值。更具体地讲,发送部350利用家电操作协议对请求包的发送源IP地址发送功率取得部330所取得的功率值或设定值取得部340所取得的设定值。
另外,发送部350在不能确定发送目的地的情况下,也可以以多播或广播方式利用家电操作协议发送功率值或设定值。
接着,对家电40的处理进行说明。
图3是表示有关实施方式1的家电40的处理的一例的流程图。
家电40待机,直到接收到请求包或直到发动取得事件(S101)。更具体地讲,家电40待机,直到接收部300接收到请求包或直到调度部320发动取得事件。
在步骤S101中,家电40在接收到请求包的情况下(S101中为“是”并且为请求包的情况下),判定请求包的类别(S102)。更具体地讲,家电40在接收部300接收到请求包的情况下,通过请求类别判定部310判别该请求包的类别。
此外,在步骤S101中,家电40在发动了取得事件的情况下(S101中为“是”并且为取得事件的情况下),判定取得事件的类别(S103)。更具体地讲,家电40判别调度部320所发动的取得事件的类别。另外,也可以根据调度部320所发动的取得事件的类别,对功率取得部330或设定值取得部340发送取得事件。在此情况下,只要设为不进行步骤S103的处理即可。
在步骤S102中,家电40在请求包的类别是功率请求的情况下(S102中为功率的情况下),取得功率值(S104)。更具体地讲,在家电40中,在请求包的类别是功率请求的情况下,功率取得部330取得功率值。
此外,在步骤S102中,家电40在请求包的类别为设定值请求的情况下(S102中为设定值的情况下),取得设定值(S105)。更具体地讲,在家电40中,在请求包的类别是设定值请求的情况下,设定值取得部340取得设定值。
在步骤S103中,家电40在取得事件的类别是功率取得事件的情况下(S103中为功率的情况下),取得功率值(S104)。更具体地讲,在家电40中,在取得事件的类别是功率取得事件的情况下,功率取得部330取得功率值。
此外,在步骤S103中,家电40在取得事件的类别是设定值取得事件的情况下(S103中为设定值的情况下),取得设定值(S105)。更具体地讲,在家电40中,在取得事件的类别是设定值事件的情况下,设定值取得部340取得设定值。
接着,家电40发送在步骤S104或步骤S105中所取得的值(S106)。
另外,在图3所示的家电40的处理的一例中,假设家电40取得功率值并发送而进行了说明,但并不限于此。家电40也可以代替功率值而取得电流值并发送,也可以取得功率值及电流值双方并发送。
以下,对服务器50的详细情况进行说明。
[1.1.2服务器50的详细情况]
图4是表示有关实施方式1的服务器50的结构的图。
如图4所示,服务器50具备接收部200、检测模型列表数据库210、发送部220及选择部230。
接收部200利用家电操作协议,接收来自异常检测机30的请求。在本实施方式中,接收部200从异常检测机30接收家电操作协议中的请求包。
检测模型列表数据库210保存有由多个检测模型构成的检测模型列表。在检测模型列表中分别至少包含表示机种及该机种的动作状态的信息。检测模型列表通过表示机种及该机种的动作状态的信息来选择。在本实施方式中,在检测模型列表各自中包含有多个能够根据设备类别、型号及动作状态来选择的检测模型。
图5是表示有关实施方式1的检测模型列表数据库210的一例的图。在图5所示的例子中,在检测模型列表数据库210中保存有两个检测模型列表即检测模型列表1及检测模型列表2。检测模型列表1包括能够利用于设备类别为空调、型号为AB―XB-1、并且动作状态为开启时的家电的异常检测的多个检测模型。同样,检测模型列表2包括能够利用于设备类别为空调、型号为AB―XB-1、并且动作状态为关闭时的家电的异常检测的多个检测模型。
选择部230确认是否存在与接收部200接收到的请求相应的检测模型列表。在本实施方式中,选择部230确认在检测模型列表数据库210中是否有与接收部200接收到的请求相应的检测模型列表。并且,如果有符合的检测模型列表,则选择部230从检测模型列表数据库210中选择符合的检测模型列表。另外,在没有符合的检测模型列表的情况下,选择部230从检测模型列表数据库210中选择规定的检测模型列表。规定的检测模型列表是在不能根据设备类别、型号及动作状态来选择1个检测模型列表的情况下根据预先设定的条件而选择的检测模型列表。规定的检测模型列表例如是设备类别、型号及动作状态中的至少1个符合的检测模型列表。
发送部220将选择部230所选择的检测模型列表发送给异常检测机30。发送部220也可以利用家电操作协议将选择部230所选择的检测模型列表发送给异常检测机30。例如,发送部220也可以对从家电操作协议取得的请求包的发送源IP地址即异常检测机30的IP地址,将选择部230所选择的检测模型列表发送给异常检测机30。
接着,说明服务器50的处理的详细情况。
图6是表示有关实施方式1的服务器50的处理的一例的流程图。
服务器50接收请求(S201)。更具体地讲,接收部200接收家电操作协议的请求。
接着,服务器50从接收到的请求中取得设备类别、型号(S202)。更具体地讲,选择部230取得在步骤S201中接收到的请求中包含的设备类别、型号及动作状态。
接着,服务器50确认是否存在符合的检测模型列表(S203)。更具体地讲,选择部230确认在检测模型列表数据库210中是否存在符合于在步骤S202中取得的设备类别、型号及动作状态的检测模型列表。
在步骤S203中存在符合的检测模型列表的情况下(S203中为“是”),服务器50选择符合的检测模型列表(S204)。更具体地讲,选择部230在存在符合的检测模型列表的情况下,从检测模型列表数据库210中选择符合的检测模型。
另一方面,在步骤S203中不存在符合的检测模型列表的情况下(S203中为“否”),服务器50选择规定的检测模型列表(S205)。更具体地讲,选择部230在不存在符合的检测模型列表的情况下,从检测模型列表数据库210中选择规定的检测模型列表。
接着,服务器50发送所选择的检测模型列表(S206)。更具体地讲,发送部220将所选择的检测模型列表对从家电操作协议取得的请求包的发送源IP地址发送。
这里,对图5所示的例子进行说明。例如,假设接收部200接收到包含设备类别为空调、型号为AB-XB-1并且动作状态为开启的信息的请求。在此情况下,选择部230从图5所示的检测模型列表数据库210中选择检测模型列表1。接着,发送部220将检测模型列表1对请求包的发送源IP地址发送。
以下,对异常检测机30的详细情况进行说明。
[1.1.3异常检测机30的详细情况]
图7是表示有关实施方式1的异常检测机30的结构的图。
如图7所示,异常检测机30包括设定取得部100、设定列表保持部110、检测模型列表取得部120、检测模型列表保持部130、检测模型选择部140、异常检测部150和功率取得部160。异常检测机30也可以还具备输出部(未图示)。在异常检测机30不具备输出部的情况下,该输出部的功能也可以包含在异常检测部150中。
另外,图7所示的结构是表示功能的功能结构。异常检测机30通过由处理部读出存储部(未图示)中保持的程序并执行,实现将规定的数据向存储部保持或经由输入输出部执行数据的收发。
设定取得部100利用家电操作协议取得至少包含表示家电40的机种及动作状态的信息的多个设定值。设定取得部100将所取得的多个设定值作为设定列表保存在设定列表保持部110中。另外,在本实施方式中,设定取得部100也可以取得后述的ECHONET Lite的设备对象超类的动作状态,作为检测对象设备即家电40的动作状态。
在本实施方式中,设定取得部100在预先保持有家电40的IP地址的情况下,将请求家电40的生产商代码、制造编号及动作状态的ECHONET Lite帧发送给家电40。并且,设定取得部100从接收到ECHONET Lite帧的家电40取得包含家电40的生产商代码、制造编号及动作状态的ECHONET Lite帧。
图8是表示有关实施方式1的用来请求家电40的设定值的ECHONET Lite帧的一例的图。
ESV是保存有表示ECHONET Lite帧的种类的识别符的字段,1个以上的EPC是保存有表示要请求的设定的识别符的字段。
在图8所示的例子中,ESV中设定了例如由0x62的识别符表示的读出请求,EPC1中设定了表示动作状态的识别符,EPC2中设定了表示制造编号的识别符,EPC3中设定了表示生产商代码的识别符。
这样,在图8中表示了请求生产商代码、产品编号、动作状态的ECHONET Lite帧。另外,图8所示的SEOJ表示继承ECHONET Lite的设备对象超类的空调类,例如包含表示空调类的ID。另外,SEOJ是表示ECHONET Lite帧的通信目的地为哪种家电的字段。
图9是表示有关实施方式1的用来将家电40的设定值返送的ECHONET Lite帧的一例的图。关于与图8同样的要素的详细情况的说明省略。
图9所示的ECHONET Lite帧是针对图8所示的读出请求的ECHONET Lite帧的返送的ECHONET Lite帧。因此,在ESV中设定了例如由0x72的识别符表示的读出应答。
此外,在EPC1中设定了例如由0x80的识别符表示的动作状态,在EDT1中设定了表示例如由0x30的识别符表示的家电40的动作状态是工作状态的开启。此外,在EPC2中设定了例如由0x8D的识别符表示的制造编号,在EDT2中设定了例如由0x··的识别符表示的作为家电40的型号(制造编号)的XB―1。此外,在EPC3中设定了例如由0x8A的识别符表示的生产商代码,在EDT3中设定了例如由0x··的识别符表示的作为家电40的生产商代码的AB。
另外,在本实施方式中,设定取得部100将从家电40取得的生产商代码、制造编号看作产品的型号。设定取得部100将从家电40取得的作为多个设定值的IP地址、设备类别、产品的型号和动作状态保存到设定列表保持部110中。
图10是表示有关实施方式1的设定列表的一例的图。
如图10所示,在设定列表中,保存家电40的IP地址、设备类别、产品的型号和家电40的当前的动作状态。
设备类别表示家电的分功能的类目,例如如果家电40是空调,则表示示出空调的识别符等示出空调的信息。型号表示用来唯一地识别产品的信息。型号也可以并不一定是产品的制造生产商分配给产品的型号本身。例如,也可以将组合了表示第一制造生产商的识别符和第一产品的型号后的信息新作为表示第一产品的型号的信息,也可以将组合了表示第二制造生产商的识别符和第二产品的型号后的信息新作为表示第二产品的型号的信息。这是因为,可以想到由第一制造生产商制造的第一产品的型号和由第二制造生产商制造的第二产品的型号可能偶然性地一致。
这里,例如假设家电40的IP地址是xx.xx.xx.xx,设备类别是空调,生产商代码是AB,产品编号是AB-XB-1,动作状态是开启。在此情况下,在图10所示的设定列表的No.1中,设定家电40的IP地址、设备类别、产品的型号和家电40的当前的动作状态。
在上述中,对设定取得部100预先保持着家电40的IP地址的情况进行了说明,但并不限于此。
假设设定取得部100没有预先保持家电40的IP地址,而是代替IP地址而保持着家电40的产品的型号或设备类别。在此情况下,设定取得部100只要将ECHONET Lite包以广播或多播方式发送,利用接收到的1个以上的应答来保持家电40的IP地址即可。具体而言,设定取得部100只要从接收到的1个以上的应答中提取包含家电40的产品的型号或设备类别的应答,将提取出的应答中包含的发送源IP地址作为家电40的IP地址保持即可。
另外,设定取得部100也可以代替IP地址而将MAC地址保持在设定列表中。此外,设定取得部100也可以除了图10所示的IP地址、设备类别、型号及动作状态的设定值以外,还将与型号或设备类别相应的设定值追加到设定列表中。设定取得部100例如如果设备类别是空调,则也可以还将设定温度、风量、节电设定的有无等的设定值追加到设定列表中。
此外,设定取得部100在将设定列表保存到设定列表保持部110中时,如果设定列表保持部110已经保持着设定列表,则也可以将设定列表保持部110所保持的设定列表删除,而仅保存最新的设定列表,但并不限于此。设定取得部100也可以保存将设定列表保持部110所保持的设定列表与最新的设定列表结合的设定列表。在使所保持的设定列表与最新的设定列表结合的情况下,为了防止设定列表的行的重复,也可以将时间戳等的信息追加到设定列表中而结合。
以下,回到图7的说明。
检测模型列表取得部120从设定列表保持部110所保持的设定列表中取得家电40的设备类别、产品的型号及动作状态。
检测模型列表取得部120在设定列表保持部110所保持的设定列表中不存在具有所取得的家电40的设备类别、产品的型号及动作状态的行的情况下,从服务器50中取得设备类别、产品的型号及动作状态时的家电的检测模型列表。检测模型列表取得部120将所取得的检测模型列表保存在检测模型列表保持部130中。
图11是表示有关实施方式1的检测模型列表保持部130所保持的检测模型列表的一例的图。在图11所示的例子中,在检测模型列表保持部130中保持着两个检测模型列表即检测模型列表1及检测模型列表2。
检测模型列表1与图5同样,包括能够利用于家电的设备类别为空调、型号为AB―XB-1并且动作状态为开启时的家电的异常检测的多个检测模型。此外,检测模型列表2与图5同样,包括能够利用于家电的设备类别为空调、型号为AB―XB-1并且动作状态为关闭时的家电的异常检测的多个检测模型。
另外,检测模型列表取得部120也可以从服务器50以外取得检测模型列表。例如,检测模型列表取得部120也可以代替服务器50而预先保持数据库(未图示)。在此情况下,检测模型列表取得部120能够从数据库中取得检测模型列表。
检测模型选择部140根据至少包含表示机种及动作状态的信息的多个设定值,从多个检测模型中选择1个检测模型。在本实施方式中,检测模型选择部140从设定列表保持部110所保持的设定列表中取得多个设定值即家电40的设备类别、产品的型号及动作状态。检测模型选择部140从检测模型列表保持部130所保持的检测模型列表中选择与所取得的家电40的设备类别、产品的型号及动作状态相应的1个检测模型。
例如,检测模型选择部140也可以从设定列表中选取包含家电40的IP地址的行,从检测模型列表中选择包含该IP地址和家电40的产品的型号及动作状态的检测模型。
另外,检测模型列表中包含的各个检测模型中,除了设备类别、型号及动作状态以外,也可以还追加与型号或设备类别相应的设定值。例如对于设备类别为空调的各个检测模型,也可以追加风量、节电设定的有无等的设定值。即,对于检测模型列表中包含的各个检测模型,除了设备类别、型号及动作状态以外,也可以还追加风量及节电设定等可想到的设定值全部的组合。
以下,回到图7的说明。
功率取得部160取得作为检测对象设备的家电40的消耗功率或电流。在本实施方式中,功率取得部160利用家电操作协议来取得家电40的功率值或电流值。在本实施方式中,功率取得部160取得ECHONET Lite的设备对象超类中的瞬时消耗功率计测值或累计消耗功率计测值,作为检测对象设备即家电40的消耗功率或电流。
异常检测部150使用检测模型选择部140所选择的1个检测模型,根据功率取得部160所取得的消耗功率或电流,检测作为检测对象设备的家电40是否感染于恶意软件。在本实施方式中,异常检测部150通过对检测模型选择部140所选择的1个检测模型输入功率取得部160所取得的功率值或电流值,得到表示家电40是否感染于恶意软件的输出。异常检测部150输出通过对1个检测模型输入消耗功率或电流而得到的、表示作为检测对象设备的家电40是否感染于恶意软件的值。
这里,所选择的1个检测模型也可以是表示对于所取得的多个设定值中的家电40的消耗功率值或电流值的阈值的1个以上的参数。此外,所选择的1个检测模型也可以是以家电40的功率值或电流值为输入的神经网络。在此情况下,该1个检测模型如果被输入家电40的功率值或电流值,则输出神经网络的神经元间的耦合强度等的值。此外,所选择的1个检测模型例如也可以是功率值或电流值的正态分布。在此情况下,该1个检测模型如果被输入家电40的功率值或电流值,则输出利用于异常检测的正态分布的平均值及标准偏差等的值。
图12及图13是表示有关实施方式1的对于家电40的检测模型的正态分布和实际的功率值或电流值的图。图12及图13所示的检测模型不同是因为对家电40设定的多个设定值不同。
另外,有如下情况:对于所选择的1个检测模型,除了设备类别、型号及动作状态的设定值以外,还追加风量及节电设定等。在此情况下,异常检测部150也可以通过对检测模型选择部140所选择的1个检测模型除了功率值或电流值以外还输入家电40的多个设定值,来检测家电40是否感染于恶意软件。例如,在家电40是空调的情况下,异常检测部150也可以通过对检测模型选择部140所选择的1个检测模型输入功率值及风量设定,使其检测家电40是否感染于恶意软件。
此外,异常检测部150在检测到作为检测对象设备的家电40感染于恶意软件的情况下,也可以对该家电40的所有者等通知家电40感染于恶意软件之意。
[1.2异常检测机30的动作]
以下,通过以下的顺序对异常检测机30的动作进行说明。
(1)主处理
(2)设定值取得处理
(3)检测模型选择处理
(4)功率取得处理
[1.2.1主处理]
图14是表示有关实施方式1的异常检测机30的主处理的一例的流程图。
在图14中,首先,异常检测机30进行取得家电40的设定值的处理(S301)。更具体地讲,设定取得部100进行取得多个设定值的设定值取得处理,多个设定值至少包含表示作为检测对象设备的家电40的机种及动作状态的信息。设定取得部100将通过进行设定值取得处理而取得的多个设定值作为设定列表保存在设定列表保持部110中。表示家电40的动作状态的信息是表示作为检测对象设备的家电设备是处于工作状态还是处于停止状态的信息。例如,设定取得部100能够取得ECHONET Lite的设备对象超类中的动作状态作为家电40的动作状态。
接着,异常检测机30进行选择与家电40的设定值相应的检测模型的处理(S302)。更具体地讲,检测模型选择部140进行根据在步骤S301中取得的多个设定值从多个检测模型中选择1个检测模型的检测模型选择处理。
接着,异常检测机30进行利用家电操作协议取得家电40的功率值或电流值的处理(S303)。更具体地讲,功率取得部160进行取得作为检测对象设备的家电40的消耗功率或电流的功率取得处理。例如,功率取得部160能够取得ECHONET Lite的设备对象超类中的瞬时消耗功率计测值或累计消耗功率计测值,作为家电40的消耗功率或电流。
接着,异常检测机30使用与家电40的设定相应的检测模型,检测家电40是否感染于恶意软件(S304)。更具体地讲,异常检测部150使用在步骤S302中选择的1个检测模型,根据在步骤S303中取得的消耗功率(功率值)或电流(电流值),检测作为检测对象设备的家电40是否感染于恶意软件。异常检测部150输出通过对在步骤S302中选择的1个检测模型输入家电40的功率值或电流值而得到的、表示家电40是否感染于恶意软件的值。
接着,异常检测机30判定是否是取得家电40的设定值的定时(设定值取得定时)(S305)。更具体地讲,设定取得部100判定是否是家电40的设定值取得定时。
在步骤S305中,异常检测机30如果是设定值取得定时(S305中为“是”),则回到步骤S301,再次进行设定值的取得处理。例如,如果从取得了家电40的设定值的时刻起经过了规定的时间,则设定取得部100再次进行设定值的取得即可。
另一方面,在步骤S305中,异常检测机30如果不是设定值取得定时(S305中为“否”),则回到步骤S303,再次进行取得功率值或电流值的处理。例如,如果从取得家电40的设定值的时刻起不到规定的时间,则功率取得部160再次进行功率值或电流值的取得即可。
[1.2.2设定值取得处理]
图15A是表示有关实施方式1的异常检测机30的设定值取得处理的一例的流程图。在图15A中表示图14所示的步骤S301的详细情况。
在步骤S301中,首先,异常检测机30发送家电40的设定值请求(S3011)。更具体地讲,设定取得部100利用家电操作协议,对家电40发送请求家电40中设定的多个设定值的消息。
另外,如果知道存在于家庭网络11内的全部家电的IP地址或MAC地址,则设定取得部100也可以对各个家电发送消息。在不知道作为检测对象设备的家电40的IP地址或MAC地址的情况下,设定取得部100也可以利用IP广播或多播向存在于家庭网络11内的全部家电一齐发送消息。
接着,异常检测机30接收家电40的设定值应答(S3012)。更具体地讲,设定取得部100利用家电操作协议,从家电40接收包含家电40中设定的多个设定值的应答。
接着,设定取得部100将在步骤S3012中取得的多个设定值作为设定列表保存(S3013)。更具体地讲,设定取得部100将在步骤S3012中取得的家电40中设定的多个设定值作为设定列表保存到设定列表保持部110中。
[1.2.3检测模型选择处理]
图15B是表示有关实施方式1的异常检测机30的检测模型选择处理的一例的流程图。在图15B中表示图14所示的步骤S302的详细情况。
在步骤S302中,首先,异常检测机30判定在检测模型列表保持部130所保持的检测模型列表中是否存在与家电40的设定值相应的检测模型(S3021)。更具体地讲,检测模型列表取得部120取得在设定列表保持部110所保持的设定列表中包含的最新的家电40的设备类别、型号、动作状态。检测模型列表取得部120判定在检测模型列表保持部130所保持的检测模型列表中是否存在具有与所取得的最新的家电40的设备类别、型号、动作状态相同的设备类别、型号、动作状态的行。
在步骤S3021中,在所保持的检测模型列表中存在与家电40的设定值相应的检测模型的情况下(S3021中为“是”),检测模型选择部140根据家电40的设定值,从检测模型列表中选择1个检测模型(S3022)。更具体地讲,在检测模型列表保持部130所保持的检测模型列表中存在具有与最新的家电40的设备类别、型号、动作状态相同的设备类别、型号、动作状态的行的情况下,检测模型选择部140选择符合的行的检测模型。这样,检测模型选择部140从检测模型列表保持部130所保持的检测模型列表中选择与保存在设定列表保持部110中的家电40的设定值相应的检测模型。
另一方面,在步骤S3021中,在所保持的检测模型列表中不存在与家电40的设定值相应的检测模型的情况下(S3021中为“否”),检测模型列表取得部120从服务器50取得与家电40的当前时间点的设定值相应的检测模型列表(S3023)。更具体地讲,在不存在具有与家电40的设备类别、型号、动作状态相同的设备类别、型号、动作状态的行的情况下,检测模型列表取得部120从服务器50取得与家电40的当前时间点的设定值相应的检测模型列表。
接着,检测模型列表取得部120将从服务器50取得的检测模型列表保存到检测模型列表保持部130中(S3024)。
另外,在步骤S3024中,检测模型列表取得部120在未能从服务器50取得检测模型列表的情况下,也可以将以后的处理停止,但并不限于此。例如,检测模型列表取得部120也可以预先设定好在未能取得检测模型列表时应取得的第二检测模型列表,取得第二检测模型列表。
[1.2.4功率取得处理]
图15C是表示有关实施方式1的异常检测机30的功率取得处理的一例的流程图。在图15C中表示了图14所示的步骤S303的详细情况。
在步骤S303中,首先,异常检测机30发送家电40的功率请求(S3031)。更具体地讲,功率取得部160利用家电操作协议对家电40发送请求家电40的功率值或电流值的消息。
接着,异常检测机30接收家电40的功率应答(S3032)。更具体地讲,功率取得部160利用家电操作协议接收包含家电40的功率值或电流值的应答。
[1.3实施方式1的效果]
能够连入因特网10的家电40存在从因特网10感染于恶意软件,并通过被常驻而被恶意利用的风险。但是,家电40与个人计算机、智能电话等相比仅有较少的资源,不能导入如被导入到个人计算机、智能电话中那样的应对恶意软件的应用或软件。
另一方面,恶意软件是常驻于所感染的家电40的程序,消耗家电40的功率。因而,通过将未感染恶意软件的通常状态与感染于恶意软件的状态的家电40的消耗功率(功率值)或电流(电流值)进行比较,能够检测家电40是否感染于恶意软件。
但是,家电40是空调等,空调的正常时的消耗功率不能划一地推测,而能够根据生产商、型号、动作状态等的多个设定值和功率值(或电流值)综合地推测。
所以,在本实施方式中,从检测模型列表保持部130所保持的检测模型列表中选择与家电40中设定的多个设定值相应的1个检测模型。并且,使用所选择的检测模型,根据功率取得部160所取得的功率值或电流值,进行检测家电40是否感染于恶意软件的恶意软件检测(异常检测)。
这样,通过根据家电40中设定的多个设定值来选择适合于功率值或电流值发送变化的家电40的正常时的消耗功率的检测模型并使用,能够根据家电40的当前时间点的功率值或电流值,更高精度地进行对家电40的恶意软件检测。
(实施方式2)
在实施方式1中,说明了通过从在家电40间共同的多个设定值中选择1个检测模型并使用,来进行对家电40的恶意软件检测的情况,但并不限于此。家电40中存在1个以上按每个设备类别而固有的设定值。因此,如果利用每个设备类别的固有的设定值,则能够期待恶意软件检测的检测精度的提高。所以,在本实施方式中,假设家电40是空调40a而进行说明。另外,对于具有与在实施方式1中说明的构成要素等同样的功能的构成要素使用相同的标号,省略详细的说明。
[2.1家电的恶意软件检测系统的整体结构]
图16是表示有关实施方式2的恶意软件检测系统的整体结构的图。对于与图1同样的要素赋予相同的标号。
图16所示的恶意软件检测系统相对于图1所示的恶意软件检测系统,在家电40为空调40a这一点上结构不同。
空调40a是实施方式1的家电40的一例,具有制暖功能、制冷功能及除湿功能。在本实施方式中,空调40a在以这些功能中的某个功能工作时,能够将表示正在工作的功能的识别符作为空调40a的设定值利用家电操作协议发送给异常检测机30。以下,将表示制暖功能、制冷功能及除湿功能的识别符称作模式。
此外,空调40a能够进行节电设定,能够将表示空调40a是否正在以节电设定工作的识别符作为空调40a的设定值来利用家电操作协议发送给异常检测机30。以下,将该识别符称作节电设定。
此外,空调40a能够进行风量设定,能够将表示空调40a的被设定的风量的识别符作为空调40a的设定值来利用家电操作协议发送给异常检测机30。以下,将该识别符称作风量设定。
此外,空调40a也可以具备恒温器,能够将表示恒温器的状态的识别符作为空调40a的设定值来利用家电操作协议发送给异常检测机30。以下,将该识别符称作恒温器设定。另外,在恒温器设定为开启的情况下,表示空调40a没有到达所设定的温度,在恒温器设定为关闭的情况下,表示时间点到达了所设定的温度。
此外,空调40a具备压缩机,能够将表示压缩机是否正在工作的识别符作为空调40a的设定值来利用家电操作协议发送给异常检测机30。以下,将该识别符称作压缩机设定。
[2.2异常检测机30]
有关实施方式2的异常检测机30利用家电操作协议取得空调40a的设定值及功率值(或电流值)。有关实施方式2的异常检测机30选择与所取得的空调40a的设定值相应的1个检测模型,使用所选择的1个检测模型,检测空调40a是否感染于恶意软件。
有关实施方式2的异常检测机30具有与图7所示的异常检测机30同样的结构。空调40a是实施方式1的家电40的一例,但空调40a有固有的设定。因此,以下说明:设定取得部100,取得包括固有的设定的多个设定值的;以及检测模型列表取得部120,取得与包括固有的设定的多个设定值相应的检测模型列表。
设定取得部100利用家电操作协议取得至少包含表示空调40a的机种及动作状态的信息的多个设定值。在本实施方式中,空调40a的多个设定值中也可以包含表示正在以制暖工作还是正在以制冷工作的信息。此外,空调40a的多个设定值中也可以包含表示是否处于除霜状态、余热状态、排热状态的信息,也可以包含表示压缩机是否在动作中的信息。此外,空调40a的多个设定值中也可以还包含表示恒温器是否在动作中的信息。此外,空调40a的多个设定值中也可以包含表示风量的信息及表示是否进行了节电设定的信息中的至少一方。
这里,除霜状态是为了除去附着在空调40a的室外机上的霜而空调40a动作的状态。此外,余热状态(预热状态)是空调40a从制暖运转起动的紧后或除霜复原的紧后起到暖风温度上升并吹出为止的期间的室内风扇为停止中或低旋转的状态。排热状态是在空调40a运转停止的紧后,为了将残留在空调40a的设备内的热排出而风扇及冷冻循环进行动作的状态。
另外,设定取得部100可以根据ECHONET Lite的家庭用空调类的特殊状态取得表示空调40a是否处于除霜状态的信息、表示是否处于余热状态的信息及表示是否处于排热状态的信息。特殊状态是指通常状态、除霜状态、预热状态、排热状态的某个状态。此外,设定取得部100可以从ECHONET Lite的家庭用空调类的内部动作状态取得表示空调40a的压缩机是否在动作中的信息、表示恒温器是否在动作中的信息。内部动作状态是指在空调40a的内部,压缩机是否在动作、以及热状态是开启/关闭的哪一个这样的状态。此外,热状态为关闭,是指室温达到了目标温度而热交换停止(空调40a为运转状态)的状态。另一方面,热状态为开启,是指室温相对于目标温度为某个水平以上而正在进行热交换的状态。
设定取得部100将所取得的多个设定值作为设定列表,保存到设定列表保持部110中。
图17是表示有关实施方式2的设定列表的一例的图。
如图17所示,在设定列表中,保存有空调40a的IP地址、设备类别、产品的型号、空调40a的当前的动作状态、模式、节电设定、风量设定、恒温器设定及压缩机设定。
在图17所示的例子中,在设定列表的No.1中,表示了空调40a的IP地址为xx.xx.xx.xx、生产商代码为AB、型号为AB-XB-1的空调40a的设定值。进而,在设定列表的No.1中,表示了动作状态为开启、模式为制暖、节电设定为开启、风量设定为3、恒温器设定为开启、压缩机设定为开启的空调40a的设定值。
另外,在图17所示的设定列表中,也可以保存不具有模式、节电设定、风量设定、恒温器设定及压缩机设定的空调40a以外的家电40的多个设定。在这样的情况下,也可以在表示空调40a以外的家电40的多个设定的设定列表的行中,保存表示不存在表示模式、节电设定、风量设定、恒温器设定及压缩机设定的设定值的识别符。
有关实施方式2的检测模型列表取得部120参照设定列表保持部110所保持的设定列表,取得包含空调40a的设备类别、产品的型号及动作状态的多个设定值。有关实施方式2的检测模型列表取得部120根据需要从服务器50取得检测模型列表,保存到检测模型列表保持部130中。
图18是表示有关实施方式2的在检测模型列表保持部130所保持的检测模型列表中包含的多个检测模型的一例的图。在图18所示的例子中,在检测模型列表保持部130所保持的检测模型列表中包含有4个检测模型即检测模型1~检测模型4。
在图18中,表示了与设备类别、产品的型号、动作状态、模式、节电设定、风量设定、恒温器设定及压缩机设定相应的检测模型1~4。
在图18所示的检测模型列表中,例如包括与空调40a的产品的型号为AB―XB-1、动作状态为开启的设定对应的检测模型1~3。检测模型1是与型号为AB―XB-1、动作状态为开启、模式为制暖、节电设定为开启、风量设定为1、恒温器设定为开启、压缩机设定为开启对应的检测模型。检测模型2是与型号为AB―XB-1、动作状态为开启、模式为制暖、节电设定为开启、风量设定为1、恒温器设定为开启、压缩机设定为关闭对应的检测模型。检测模型3是与型号为AB―XB-1、动作状态为开启、模式为制暖、节电设定为开启、风量设定为1、恒温器设定为关闭、压缩机设定为开启对应的检测模型。
同样,在图18所示的检测模型列表中,包括与空调40a的产品的型号为AB―XB-1、动作状态为关闭的设定对应的检测模型4。检测模型4是虽然与型号为AB―XB-1、动作状态为关闭对应,但模式、节电设定、风量设定、恒温器设定及压缩机设定为未定义的检测模型。
另外,检测模型列表保持部130所保持的检测模型列表并不限于图18所示的例子。检测模型列表除了功率值或电流值以外,也可以还包括以风量设定为输入的检测模型。在此情况下,异常检测部150只要对这样的检测模型输入功率取得部160所取得的功率值或电流值和设定列表保持部110所保持的设定列表中包含的空调40a的风量设定即可。由此,异常检测部150能够使用检测模型,作为针对这些输入的输出而得到空调40a是否感染于恶意软件的检测结果。
(实施方式3)
根据家电40的功能,也可以想到家电40的功能工作时所消耗的功率值或电流值比家电40所感染的恶意软件消耗的功率值或电流值大、并且变化量不规则的情况。在这样的情况下,在家电40的功能工作时所取得的功率值或电流值中有可能难以显现家电40所感染的恶意软件消耗的功率值或电流值的特征。结果,使恶意软件检测错误的概率变高,即恶意软件检测的精度有可能下降。
鉴于这样的情况,在实施方式3中,当为家电40所消耗的功率值或电流值的变化量少的稳定状态的情况下进行恶意软件检测。另外,也可以将家电40所消耗的功率值或电流值少、其变化量少的稳定功率或稳定功率的稳定状态称作待机功率状态。在实施方式3中,将尽管家电40所消耗的功率值或电流值高、但其变化量少的情况也称作稳定功率或稳定功率的稳定状态。另外,对于具有与在实施方式1中说明的构成要素等同样的功能的构成要素使用相同的标号,省略详细的说明。
有关实施方式3的家电的恶意软件检测系统的整体结构与实施方式1的图1是同样的,所以省略说明。
[3.1异常检测机30]
有关实施方式3的异常检测机30利用家电操作协议取得家电40的设定值及功率值(或电流值)。异常检测机30选择与所取得的家电40的设定值相应的1个检测模型。这里,异常检测机30也可以利用家电操作协议取得作为检测对象设备的家电40的稳定功率(或稳定电流)。
有关实施方式3的异常检测机30,当为所取得的家电40的功率值(或电流值)的变动在规定范围内的稳定功率(或稳定电流)时,使用所选择的1个检测模型,检测家电40是否感染于恶意软件。并且,异常检测机30输出通过对1个检测模型输入稳定功率(或稳定电流)而得到的、表示作为检测对象设备的家电40是否感染于恶意软件的值。
这里,稳定功率(或稳定电流)例如也可以是作为检测对象设备的家电40的动作状态为关闭时的家电40的消耗功率(或消耗电流)。在此情况下,异常检测机30将在所取得的多个设定值中包含的家电40的动作状态表示关闭时取得的家电40的消耗功率(或消耗电流)用作稳定功率(或稳定电流)。即,异常检测机30将所取得的家电40的消耗功率(或消耗电流)用作稳定功率(或稳定电流),使所选择的1个检测模型检测家电40是否感染于恶意软件。相反,异常检测机30在所取得的多个设定值中包含的家电40的动作状态为开启时,不使所选择的1个检测模型检测家电40是否感染于恶意软件。
另外,稳定功率(或稳定电流)并不限于作为检测对象设备的家电40的动作状态为关闭时的家电40的消耗功率(或消耗电流)。如果家电40是空调,则稳定功率(或稳定电流)也可以是压缩机为关闭时的作为检测对象设备的家电40的消耗功率(或消耗电流)。在此情况下,异常检测机30也可以将在所取得的多个设定值中包含的作为空调的家电40的压缩机表示关闭时取得的家电40的消耗功率(或消耗电流)用作稳定功率(或稳定电流)。在此情况下也同样,异常检测机30在所取得的多个设定值中包含的家电40的压缩机为开启时,不使所选择的1个检测模型检测家电40是否感染于恶意软件。
[3.2异常检测机30的动作]
通过以下的顺序对有关实施方式3的异常检测机30的动作进行说明。
(1)主处理
(2)设定值取得处理
(3)检测模型选择处理
(4)功率取得处理
[3.2.1主处理]
图19是表示有关实施方式3的异常检测机30的主处理的一例的流程图。对于与图14同样的要素赋予相同的标号,省略详细的说明。
在步骤S306中,异常检测机30判定家电40的消耗功率或电流是否是稳定状态。异常检测部150能够根据设定列表保持部110所具有的设定列表中保持的家电40的多个设定,判定家电40是否处于稳定状态。
稳定状态例如也可以是家电40的动作状态为关闭时的状态。另外,家电40的动作状态为关闭时的状态,是指家电40的主功能停止的状态。但是,在家电40的动作状态为关闭时,也能够根据用户的用遥控器的操作、家电操作协议下的操作而开始主功能,所以家电40的一部分功能保持工作的状态而消耗功率。
此外,在家电40的动作状态为关闭时的状态下,家电40的功率值或电流值的变化量少而包含在规定范围中,即家电40的功率值或电流值稳定。因此,如上述那样,能够期待家电40所感染的恶意软件动作时的消耗功率或消耗电流的特征容易显现于稳定状态的家电40的功率值或电流值(待机功率或待机电流)。
此外,稳定状态并不限于家电40的动作状态为关闭时的状态,包括家电40的动作状态为开启并且主功能停止的状态。例如,在家电40为空调的情况下,如果室内达到预先设定的目标温度,则将制暖或制冷自动地停止。此时,由于是家电40的动作状态为开启但主功能停止的状态,所以可以认为家电40的功率值或电流值的变化量稳定。因此,能够期待家电40所感染的恶意软件动作时的消耗功率或消耗电流的特征容易显现于稳定状态的家电40的功率值或电流值。
图20是概念性地表示在有关实施方式3的稳定状态的消耗功率中容易显现家电40所感染的恶意软件动作时的消耗功率的特征的图。在图20中表示家电40为空调的情况下的稳定状态下的消耗功率。
如上述那样,在空调的动作状态为开启但主功能停止的状态等尽管消耗功率高但其变化量少的稳定状态的情况下,如由虚线包围f1表示,容易显现家电40所感染的恶意软件动作时的消耗功率的特征。同样,在空调的动作状态为关闭、主功能停止的待机功率状态等的消耗功率低并且其变化量少的稳定状态的情况下,如由虚线包围f2表示,容易显现家电40所感染的恶意软件动作时的消耗功率的特征。
另外,空调的主功能是否已停止,可以根据在实施方式2中说明的恒温器设定及压缩机设定来判定。
回到图19进行说明。在步骤S306中,异常检测机30在家电40不是稳定状态的情况下(S306中为“否”),回到步骤S301,再次进行设定值的取得的处理。
另一方面,在步骤S306中,异常检测机30在家电40是稳定状态的情况下(S306中为“是”),进行选择与家电40的设定值相应的检测模型的处理(S302)。步骤S302的处理已在前面叙述,所以省略这里的说明。
[3.3实施方式3的效果]
在实施方式1及2中,从检测模型列表保持部130所保持的检测模型列表中选择与家电40中设定的多个设定值相应的1个检测模型。并且,使用所选择的检测模型,根据功率取得部160所取得的功率值或电流值,进行检测家电40是否感染于恶意软件的恶意软件检测(异常检测)。
但是,根据家电40的功能,也可以想到在家电40的功能工作时消耗的功率值或电流值比家电40所感染的恶意软件消耗的功率值或电流值大并且变化量不规则的情况。即,在家电40的功能工作时取得的功率值或电流值中有可能难以显现家电40所感染的恶意软件消耗的功率值或电流值的特征。
所以,在实施方式3中,当为家电40消耗的功率值或电流值的变化量少的稳定状态的情况下,进行恶意软件检测。这是因为,能够期待家电40所感染的恶意软件动作时的消耗功率的特征容易在稳定状态的家电40的功率值或电流值中显现。
由此,通过使用家电40的稳定状态的功率值或电流值,能够更高精度地检测对家电40的恶意软件检测。
(其他的变形例)
本公开当然并不限定于在上述中说明的各实施方式,只要不脱离本公开的主旨,对实施方式施以本领域技术人员想到的各种变形后的形态、以及将不同实施方式的构成要素组合而构建的形态也包含在本公开的范围内。例如,以下这样的变形例也包含在本公开中。
(变形例1)
在实施方式1等中,作为设定值取得处理,说明了异常检测机30对家电40请求设定值,取得针对请求的应答中包含的设定值,但设定值取得处理并不限于此。例如,家电40也可以在设定值被变更时将变更后的设定值通知给异常检测机30。
同样,在实施方式1等中,作为功率取得处理,设为了异常检测机30对家电40请求功率值或电流值,取得针对请求的应答中包含的功率值或电流值,但功率取得处理并不限于此。例如,家电40也可以在功率值或电流值有变更时,将变更后的功率值或电流值通知给异常检测机30。
即,在本变形例中,家电40当家电40的设定值被变更时,向异常检测机30发送包含变更后的设定值的设定变更通知。更具体地讲,家电40利用家电操作协议,将包含变更后的1个以上的设定值的多个设定值通知(发送)给异常检测机30。在本变形例中,家电40以一定间隔发送包含家电40的功率值或电流值的设定变更通知。
图21是表示有关变形例1的异常检测机30的主处理的一例的流程图。对于与图14同样的要素赋予相同的标号,省略详细的说明。
在图21中,首先,异常检测机30待机直到从家电40接收到变更通知(S351)。
接着,异常检测机30如果从家电40接收到变更通知,则判定接收到的变更通知的类别(S352)。
在步骤S352中,在接收到的变更通知的类别是功率变更通知的情况下(S352中为功率变更通知),异常检测机30进行选择与家电40的设定值相应的检测模型的处理(S302)。
接着,异常检测机30进行异常检测(S304)。并且,异常检测机30在进行异常检测后,回到步骤S351,再次待机直到接收到变更通知。
另一方面,在步骤S352中,在接收到的变更通知的类别是设定变更通知的情况下(S352中为设定变更通知),异常检测机30将设定变更通知中包含的多个设定值作为设定列表保存到设定列表保持部110中(S353)。并且,异常检测机30回到步骤S351,再次待机直到接收到变更通知。
(变形例2)
在实施方式1等中,对在因特网10上连接着服务器50的情况进行了说明,但并不限于此。也可以在因特网10上连接例如空调40a的使用者的终端及SIEM(SecurityInformation and Event Management,安全信息和事件管理)。
图22是表示有关变形例2的恶意软件检测系统的整体结构的图。对于与图1及图16同样的要素赋予相同的标号,省略详细的说明。
图22所示的恶意软件检测系统相对于图16所示的恶意软件检测系统,在因特网10上还连接着终端70及SIEM80。
空调40a是家电40的一例。终端70例如是智能电话、平板电脑、个人计算机等空调40a的使用者使用的终端。使用者例如是具有设置家庭网关20、异常检测机30及空调40a的空间的居民等。SIEM80是用来对包括图22所示的异常检测机30的多个异常检测机汇集而进行分析的装置。
异常检测机30的异常检测部150也可以在检测到空调40a感染于恶意软件的情况下对终端70通知该情况。
图23A及图23B是表示有关变形例2的终端70的显示画面的一例的图。在图23A中,表示了在空调40a没有感染于恶意软件的情况下显示的终端70的显示画面的一例。在图23B中,表示了在空调40a感染于恶意软件的情况下显示的终端70的显示画面的一例。
在图23A所示的例子中,在终端70的显示画面中显示了空调40a的功率值。在图23B所示的例子中,在被通知了空调40a感染于恶意软件的情况下,在终端70的显示画面上显示感染于恶意软件。
此外,异常检测机30的异常检测部150也可以在检测到空调40a感染于恶意软件的情况下对SIEM80通知该情况。
图24是表示有关变形例2的SIEM80的显示画面80a的一例的图。在图24中表示了在空调40a感染于恶意软件的情况下显示的SIEM80的显示画面80a的一例。在图24所示的显示画面80a中,在由圆包围的区域中,在空调40a的功率值中显现出恶意软件动作时的消耗功率的特征。
(变形例3)
在上述的实施方式1等中,说明了异常检测机30作为设定值取得处理而检测1个家电40是否感染于恶意软件的情况,但并不限于此。异常检测机30进行恶意软件检测的检测对象设备并不限于1个家电40。检测对象设备也可以是多个家电。
图25是表示有关变形例3的恶意软件检测系统的整体结构的图。对于与图1同样的要素赋予相同的标号,省略详细的说明。
图25所示的恶意软件检测系统相对于图1所示的恶意软件检测系统,除了家电40以外还有家电41连接于家庭网络11这一点上结构不同。
[4.1异常检测机30]
在本变形例中,异常检测机30既可以对家电40和家电41双方进行恶意软件检测,也可以对家电40及家电41中的某一个进行恶意软件检测。
异常检测机30的设定取得部100也可以在预先知道家电40和家电41的IP地址的情况下,利用家电操作协议取得家电40及家电41各自的多个设定值。
另外,设定取得部100在没有预先知道家电40和家电41的IP地址的情况下,并且在将与家庭网络11连接的全部的家电40及家电41作为检测对象设备的情况下,只要检测家电40及家电41的IP地址即可。并且,设定取得部100只要利用家电操作协议从检测到的IP地址取得家电40及家电41各自的多个设定值即可。
作为检测家电40及家电41的IP地址的方法,有利用家电操作协议的家电检测功能的方法、利用多播或广播的方法、根据DHCP等的包进行检测的方法等。
在利用多播或广播的方法中,设定取得部100利用多播或广播来发送ICMP Echo等的包,或者对家庭网络11内的全部的IP地址发送ICMP Echo等的包。并且,设定取得部100根据家电40及家电41针对所发送的包返送的应答的包的IP头的发送源IP地址来检测家电40及家电41的IP地址即可。在根据DHCP等的包进行检测的方法中,设定取得部100根据家电40及家电41等参与家庭网络11时发送的DHCP等的包进行检测即可。
另外,家电40及家电41的IP地址的检测既可以每当需要取得家电40及家电41各自的设定值时进行,也可以每规定的间隔进行。此外,家电40及家电41的IP地址的检测既可以在异常检测机30设置在家庭网络11中时进行,也可以在异常检测机30启动时进行。
此外,设定取得部100也可以在与其他设定值不同的定时取得家电40及家电41的设备类别及型号的设定值。这是因为,可以想到家电40及家电41的设备类别及型号与其他设定值相比被变更的频度少。例如,设定取得部100既可以使取得家电40及家电41的设备类别及型号的频度比取得其他设定值的频度少,也可以仅在检测到家电40和家电41的IP地址时进行这些的设备类别及型号的取得。
以下,对于异常检测机30对作为1个以上的家电的家电40及家电41进行恶意软件检测的情况下的动作进行说明。
[4.2异常检测机30的主处理]
图26是表示有关变形例3的异常检测机30的主处理的一例的流程图。
在图26中,首先,异常检测机30在对作为检测对象设备的多个家电进行恶意软件检测的情况下,将处理分支为线程1和线程2(S361)。
在线程1的处理中,异常检测机30对作为检测对象设备的每个家电分配线程(S362)。
在所分配的各个线程中,异常检测机30进行选择检测模型的处理(检测模型选择处理)(S363)。关于各个线程中的对作为检测对象设备的每个家电的检测模型选择处理,如在图14的步骤S302中说明那样,所以省略说明。
接着,异常检测机30进行利用家电操作协议取得各个线程中的作为检测对象设备的家电的功率值或电流值的处理(功率取得处理)(S364)。关于各个线程中的作为检测对象设备的家电的功率取得处理,如在图14的步骤S303中说明那样,所以省略说明。
接着,异常检测机30使用与各个线程中的作为检测对象设备的家电的设定对应的检测模型,检测各个线程中的作为检测对象设备的家电是否感染于恶意软件(S365)。关于检测各个线程中的作为检测对象设备的家电是否感染于恶意软件的处理,如在图14的步骤S304中说明那样,所以省略说明。
接着,异常检测机30判定是否是选择对于各个线程中的作为检测对象设备的家电的检测模型的定时(检测模型选择定时)(S366)。更具体地讲,异常检测机30判定是否从前次的检测模型选择定时起经过了规定的时间。
在步骤S366中,在判定为是检测模型选择定时的情况下(S366中为“是”),异常检测机30回到步骤S363,进行检测模型选择处理。这里,异常检测机30如果从前次的检测模型选择定时起经过了规定的时间,则能够判定为是检测模型选择定时。
另一方面,在步骤S366中,在判定为不是检测模型选择定时的情况下(S366中为“否”),异常检测机30回到步骤S364,进行功率取得处理。这里,异常检测机30如果从前次的检测模型选择定时起没有经过规定的时间,则能够判定为不是检测模型选择定时。
另一方面,在线程2的处理中,异常检测机30进行取得作为检测对象设备的多个家电各自的设定值的处理(设定值取得处理)(S367)。关于对多个家电各自的设定值取得处理,如在图14的步骤S301中说明那样,所以省略说明。
接着,异常检测机30如果经过了规定的时间(S368),则再次回到步骤S367,进行取得作为检测对象设备的多个家电各自的设定值的设定值取得处理。
另外,S361的处理并不限定于线程,例如也可以以进程等并行地执行。
此外,在没有事前设定异常检测机30的检测对象设备的情况下,异常检测机30也可以利用家电操作协议的多播或广播来检测存在于家庭网络11中的多个家电。在此情况下,异常检测机30只要将检测到的多个家电设为检测对象设备即可。
例如,假设家电操作协议是ECHONET Lite。在此情况下,异常检测机30如果发送多播的设备搜索包,则存在于家庭网络11中的多个家电分别返送ECHONET Lite包。因此,异常检测机30也可以从针对所发送的设备搜索包返送来的ECHONET Lite包中取得发送源IP地址,设为作为检测对象设备的家电的IP地址。
[4.2.1检测对象设备是家电40及家电41的情况下的主处理]
这里,使用图26对作为检测对象设备的多个家电是家电40及家电41的情况下的主处理进行说明。
首先,异常检测机30在对作为检测对象设备的家电40及家电41进行恶意软件检测的情况下,将处理分支为线程1和线程2(S361)。
在线程1的处理中,异常检测机30对家电40分配第一线程,对家电41分配第二线程(S362)。
在第一线程中,异常检测机30进行对于家电40的检测模型选择处理(S363),利用家电操作协议进行家电40的功率取得处理(S364),检测家电40是否感染于恶意软件(S365)。
同样,在第二线程中,异常检测机30进行对于家电41的检测模型选择处理(S363),利用家电操作协议进行家电41的功率取得处理(S364),检测家电41是否感染于恶意软件(S365)。
在线程2的处理中,异常检测机30对作为检测对象设备的家电40及家电41分别进行设定值取得处理(S367)。由此,将异常检测机30的设定列表保持部110所保持的设定列表更新。另外,异常检测机30的设定列表保持部110所保持的设定列表在线程1的处理的步骤S363中被参照。因此,需要适当地进行线程1与线程2的处理间的排他处理。
图27是表示有关变形例3的设定列表保持部110所保持的设定列表的一例的图。假设在图27所示的设定列表的No1中保持有家电40的设定,在No2中保持有家电41的设定。
在此情况下,在设定列表的No1中,表示了IP地址为xx.xx.xx.xx、设备类别为空调、型号为AB-XB-1、动作状态为开启的家电40的设定值。在设定列表的No2中,表示了IP地址为yy.yy.yy.yy、设备类别为电视机、型号为DE-XE-1、动作状态为开启的家电41的设定值。
图28是有关变形例3的设定列表保持部110所保持的设定列表的另一例。在图28所示的例子中,也在设定列表的No1中保持有家电40的设定,在No2中保持有家电41的设定。
在图28所示的设定列表的No1中,表示了IP地址为xx.xx.xx.xx、设备类别为空调、型号为AB-XB-1、动作状态为开启的与图27相同的家电40的设定值。在图28所示的设定列表的No1中,还表示了模式为制暖、节电设定为开启、风量设定为3、恒温器设定为开启、压缩机设定为开启的家电40的设定值。
同样,在图28所示的设定列表的No2中,表示了IP地址为yy.yy.yy.yy、设备类别为电视机、型号为DE-XE-1、动作状态为开启的与图27相同的家电41的设定值。另外,设备类别为电视机的家电41由于不具有模式、节电设定、风量设定、恒温器设定及压缩机设定的设定值,所以在图28所示的设定列表的No2中,这些设定值为未定义。
在本变形例中,在步骤S362中的被分配给家电40的第一线程中,从异常检测机30的检测模型列表保持部130所保持的检测模型列表中选择1个检测模型。同样,在步骤S362中的被分配给家电41的第二线程中,从异常检测机30的检测模型列表保持部130所保持的检测模型列表中选择1个检测模型。对于家电40及家电41分别选择的检测模型由于有时被更新及参照,所以需要适当地进行线程间的排他处理。
图29是表示有关变形例3的检测模型列表保持部130所保持的检测模型列表中包含的多个检测模型的一例的图。
在图29所示的例子中,检测模型列表保持部130所保持的检测模型列表中包括4个检测模型即检测模型1~检测模型4。例如,在检测模型列表的No1及No2中,保持有与例如设备类别为空调、型号为AB-XB-1的家电40的设定对应的检测模型1及检测模型2。在检测模型列表的No3及No4中,保持有与设备类别为电视机、型号为DE-XE-1的家电41的设定对应的检测模型3及检测模型4。
检测模型1是设备类别为空调及型号为AB-XB-1的家电40的动作状态为开启时的检测模型。检测模型2是设备类别为空调及型号为AB-XB-1的家电40的动作状态为关闭时的检测模型。
同样,检测模型3是设备类别为电视机及型号为DE-XE-1的家电41的动作状态为开启时的检测模型。同样,检测模型4是设备类别为电视机及型号为DE-XE-1的家电41的动作状态为关闭时的检测模型。
图30是表示有关变形例3的检测模型列表保持部130所保持的检测模型列表中包含的多个检测模型的另一例的图。另外,对于与图29相同的检测模型赋予相同的名称。
在图30所示的例子中,检测模型列表保持部130所保持的检测模型列表中包括6个检测模型即检测模型2~检测模型7。例如,在检测模型列表的No1~No4中,保持有例如与设备类别为空调、型号为AB-XB-1的家电40的设定对应的检测模型5~检测模型7及检测模型2。在检测模型列表的No5及No6中,保持有与设备类别为电视机、型号为DE-XE-1的家电41的设定对应的检测模型3及检测模型4。
检测模型5是与设备类别为空调及型号为AB-XB-1的家电40的动作状态为开启、模式为制暖、风量设定为1、恒温器设定为开启及压缩机设定为开启时对应的检测模型。检测模型6是与家电40的动作状态为开启、模式为制暖、风量设定为1、恒温器设定为开启及压缩机设定为关闭时对应的检测模型。检测模型7是与家电40的动作状态为开启、模式为制暖、风量设定为1、恒温器设定为关闭及压缩机设定为开启时对应的检测模型。
另外,检测模型2相当于图29所示的检测模型2,为与家电40的动作状态是关闭时对应的检测模型,模式、节电设定、风量设定、恒温器设定及压缩机设定为未定义。
此外,检测模型3及检测模型4相当于图29所示的检测模型3及检测模型4。在对于设备类别为电视机、型号为DE-XE-1的家电41的检测模型3及检测模型4中,模式、节电设定、风量设定、恒温器设定及压缩机设定为未定义。
(变形例4)
在上述的实施方式等中,设为通过对用于恶意软件检测的检测模型输入家电40的功率值或电流值而输出表示家电40是否感染于恶意软件的值,但并不限于此。也可以通过对用于恶意软件检测的检测模型除了输入家电40的功率值或电流值以外还输入设置或存在于与家电40同室中的其他家电的设定值,而使其输出表示家电40是否感染于恶意软件的值。
图31是表示有关变形例4的恶意软件检测系统的整体结构的图。对于与图1及图16等同样的要素赋予相同的标号。
图31所示的恶意软件检测系统相对于图16所示的恶意软件检测系统,在与空调40a同室12中设置有与空调40a不同的空调41a这一点不同。即,空调40a和空调41a存在于同室12中。
空调41a是与家庭网络11连接的对应于家电操作协议的家电设备。空调41a与空调40a不同,但被设置而存在于作为设置了空调40a的空间的同室12中。空调41a与空调40a同样连接在家庭网关20上。
例如在空调40a单独以制暖模式工作时的功率值或电流值与空调40a和空调41a存在于同室中并且两者以制暖模式工作时的空调40a的功率值或电流值间可能产生不小的差异。
因此,在本变形例中,选择与空调40a和空调41a存在于同室中等的宅内信息对应的检测模型。并且,通过对所选择的检测模型除了输入空调40a的功率值以外还输入包含表示空调41a是否正在工作的动作状态在内的空调40a的设定值,进行空调40a的恶意软件检测。
另外,在空调40a单独地工作的情况下,也由于对设置了空调40a的空间施工了隔热构造等的空间的性质,用于达到目标温度的功率值或电流值产生差异。因此,在本变形例中,也可以选择与设置了空调40a的空间的性质等的宅内信息对应的检测模型。
更具体地讲,有关本变形例的异常检测机30只要从服务器50取得由与宅内信息相应的多个检测模型构成的检测模型列表即可。这里,在检测对象设备是空调的情况下,宅内信息也可以是表示在设置了检测对象设备的空间中是否存在检测对象设备以外的1个以上的空调的信息。此外,在检测对象设备是空调的情况下,宅内信息也可以是表示对设置了检测对象设备的空间是否施工了隔热构造的信息。
并且,有关本变形例的异常检测机30只要根据另行取得的空调40a等的检测对象设备的多个设定值,从检测模型列表中选择1个检测模型即可。
这样,通过使用考虑到宅内信息的检测模型进行空调40a等检测对象设备的恶意软件检测,可以预见恶意软件检测的精度的提高。
另外,空调40a和空调41a如果在相互在工作时对功率值及电流值产生影响的范围内,则也可以不设置在相同的空间即同室中,只要能够选择考虑了对功率值及电流值产生影响的检测模型列表即可。
(变形例5)
在上述的实施方式及变形例中,说明了本公开的恶意软件检测方法及恶意软件检测装置能够作为以家电为对象的赛博物理系统的安全对策来利用,但应用范围并不限于此。本公开的恶意软件检测方法及恶意软件检测装置还可以应用于用于以家电为对象的攻击的可视化的用户接口(UI),应用范围并不限于此。
另外,本公开的恶意软件检测方法及恶意软件检测装置的检测对象设备并不限于家电。其检测对象设备例如也能够应用于建筑机械、农用机械、船舶、火车、飞机等的移动体。此外,该检测对象设备例如也能够应用于在工厂或楼宇等的工业控制系统中使用的通信网络、用来对嵌入设备进行控制的通信网络。
此外,本公开的恶意软件检测方法及恶意软件检测装置也能够应用于将安全功能的各处理的判断结果、输出结果作为赛博物理系统中的用于攻击的可视化的用户接口(UI)来显示的情况。
(其他实施方式的可能性)
以上,在实施方式中对本公开的恶意软件检测方法及恶意软件检测装置进行了说明,但关于实施各处理的主体或装置没有特别限定。也可以由在配置于本地的特定装置内嵌入的处理器等处理。此外,也可以由配置在与本地的装置不同的地方的云服务器等处理。
另外,本公开并不限定于上述实施方式及变形例。例如,也可以将把在本说明书中记载的构成要素任意地组合或把构成要素的某些排除而实现的其他实施方式作为本公开的实施方式。此外,对于上述实施方式在不脱离本公开的主旨、即权利要求书所记载的语句表示的意思的范围内施以本领域技术人员想到的各种变形而得到的变形例也包含在本公开中。
此外,本公开还包括以下这样的情况。
(1)上述的装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在上述RAM或硬盘单元中存储有计算机程序。通过由上述微处理器按照上述计算机程序动作,各装置达成其功能。这里,计算机程序是为了达成规定的功能而将表示对于计算机的指令的命令代码组合多个构成的。
(2)构成上述装置的构成要素的一部分或全部也可以由1个系统LSI(Large ScaleIntegration:大规模集成电路)构成。系统LSI是将多个构成部集成在1个芯片上而制造的超多功能LSI,具体而言是包括微处理器、ROM、RAM等而构成的计算机系统。在上述RAM中存储有计算机程序。通过由上述微处理器按照上述计算机程序动作,系统LSI达成其功能。
(3)构成上述装置的构成要素的一部分或全部也可以由相对于各装置能够拆装的IC卡或单体的模块构成。上述IC卡或上述模块是由微处理器、ROM、RAM等构成的计算机系统。上述IC卡或上述模块也可以包含上述的超多功能LSI。通过由微处理器按照计算机程序动作,上述IC卡或上述模块达成其功能。该IC卡或该模块也可以具有耐篡改性。
(4)此外,本公开也可以是上述所示的方法。此外,也可以是由计算机实现这些方法的计算机程序,也可以是由上述计算机程序构成的数字信号。
(5)此外,本公开也可以为将上述计算机程序或上述数字信号记录在计算机可读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD-RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等中的形态。此外,也可以是记录在这些记录介质中的上述数字信号。
此外,本公开也可以将上述计算机程序或上述数字信号经由电通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送。
此外,本公开也可以是具备微处理器和存储器的计算机系统,上述存储器存储有上述计算机程序,上述微处理器按照上述计算机程序动作。
此外,也可以通过将上述程序或上述数字信号记录到上述记录介质中并移送,或通过将上述程序或上述数字信号经由上述网络等移送,由独立的其他的计算机系统实施。
工业实用性
本公开能够根据在住宅内(家)动作的家电设备的状态或居住者的状态,灵活地判定对电子锁、住宅设备、家电等的不正当控制。此外,还能够利用于检测对于楼宇、店铺、工厂或车辆等经由路由器等设备与因特网连接的本地网络上连接的设备的不正当的通信。
标号说明
10 因特网
11 家庭网络
12 同室
20 家庭网关
30 异常检测机
40、41 家电
40a、41a空调
50 服务器
70 终端
80SIEM
80a 显示画面
100 设定取得部
110 设定列表保持部
120 检测模型列表取得部
130 检测模型列表保持部
140 检测模型选择部
150 异常检测部
160 功率取得部
200、300 接收部
210 检测模型列表数据库
220、350 发送部
230 选择部
310 请求类别判定部
320 调度部
330 功率取得部
340 设定值取得部

Claims (12)

1.一种恶意软件检测方法,是包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法,上述1个以上的家电设备包括检测对象设备,其中,上述恶意软件检测方法包括:
信息取得步骤,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;
检测模型选择步骤,根据在上述信息取得步骤中取得的上述多个设定值,从多个检测模型中选择1个检测模型;
消耗功率取得步骤,取得上述检测对象设备的消耗功率或电流;
异常检测步骤,使用在上述检测模型选择步骤中选择的上述1个检测模型,根据在上述消耗功率取得步骤中取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及
输出步骤,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
2.如权利要求1所述的恶意软件检测方法,其中,
上述动作状态表示上述检测对象设备处于工作状态还是停止状态。
3.如权利要求1或2所述的恶意软件检测方法,其中,
在上述检测对象设备是空调的情况下,
在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备是以制暖进行工作还是以制冷进行工作的信息。
4.如权利要求3所述的恶意软件检测方法,其中,
在上述检测对象设备是空调的情况下,
在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备是否处于除霜状态的信息、表示上述检测对象设备是否处于余热状态的信息、表示上述检测对象设备是否处于排热状态的信息、表示上述检测对象设备的压缩机是否在动作中的信息、以及表示上述检测对象设备的恒温器是否在动作中的信息中的至少1个信息。
5.如权利要求3所述的恶意软件检测方法,其中,
在上述检测对象设备是空调的情况下,
在上述信息取得步骤中取得的上述多个设定值还包含表示上述检测对象设备的风量的信息、以及表示上述检测对象设备是否被进行了节电设定的信息中的至少一个信息。
6.如权利要求1所述的恶意软件检测方法,其中,
在上述信息取得步骤中,
利用家电操作协议取得上述多个设定值,
在上述消耗功率取得步骤中,
利用上述家电操作协议取得上述检测对象设备的消耗功率或电流。
7.如权利要求6所述的恶意软件检测方法,其中,
上述家电操作协议是ECHONET Lite(注册商标)。
8.如权利要求1所述的恶意软件检测方法,其中,
在上述检测模型选择步骤中,从服务器取得由与宅内信息相应的上述多个检测模型构成的检测模型列表,根据在上述信息取得步骤中取得的上述多个设定值,从上述检测模型列表中选择上述1个检测模型。
9.如权利要求8所述的恶意软件检测方法,其中,
在上述检测对象设备是空调的情况下,上述宅内信息是表示在设置了上述检测对象设备的空间中是否存在上述检测对象设备以外的1个以上的空调的信息。
10.如权利要求8所述的恶意软件检测方法,其中,
在上述检测对象设备是空调的情况下,上述宅内信息是表示对设置了上述检测对象设备的空间是否施工了隔热构造的信息。
11.一种恶意软件检测装置,是包括连接于家庭网络上的1个以上的家电设备的家庭网络系统中的恶意软件检测装置,上述1个以上的家电设备包括检测对象设备,其中,上述恶意软件检测装置具备:
设定值取得部,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;
检测模型选择部,根据由上述设定值取得部取得的上述多个设定值,从多个检测模型中选择1个检测模型;
消耗功率取得部,取得上述检测对象设备的消耗功率或电流;
异常检测部,使用由上述检测模型选择部选择的上述1个检测模型,根据由上述消耗功率取得部取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及
输出部,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
12.一种程序,用来执行包括连接于家庭网络上的1个以上的家电设备的家庭网络系统的恶意软件检测方法,上述1个以上的家电设备包括检测对象设备,其中,
上述程序用于执行:
信息取得步骤,取得至少包含表示上述检测对象设备的机种及动作状态的信息的多个设定值;
检测模型选择步骤,根据在上述信息取得步骤中取得的上述多个设定值,从多个检测模型中选择1个检测模型;
消耗功率取得步骤,取得上述检测对象设备的消耗功率或电流;
异常检测步骤,使用在上述检测模型选择步骤中选择的上述1个检测模型,根据在上述消耗功率取得步骤中取得的上述消耗功率或上述电流,检测上述检测对象设备是否感染于恶意软件;以及
输出步骤,输出通过对上述1个检测模型输入上述消耗功率或上述电流而得到的、表示上述检测对象设备是否感染于恶意软件的值。
CN202280045430.8A 2021-07-08 2022-06-30 恶意软件检测方法、恶意软件检测装置及程序 Pending CN117561510A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2021113810 2021-07-08
JP2021-113810 2021-07-08
PCT/JP2022/026374 WO2023282192A1 (ja) 2021-07-08 2022-06-30 マルウェア検知方法、マルウェア検知装置、及びプログラム

Publications (1)

Publication Number Publication Date
CN117561510A true CN117561510A (zh) 2024-02-13

Family

ID=84801774

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280045430.8A Pending CN117561510A (zh) 2021-07-08 2022-06-30 恶意软件检测方法、恶意软件检测装置及程序

Country Status (5)

Country Link
US (1) US20240126877A1 (zh)
EP (1) EP4369230A1 (zh)
JP (1) JPWO2023282192A1 (zh)
CN (1) CN117561510A (zh)
WO (1) WO2023282192A1 (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9268938B1 (en) 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection
JP6675608B2 (ja) * 2016-06-06 2020-04-01 日本電信電話株式会社 異常検出装置、異常検出方法及び異常検出プログラム
JP7136439B2 (ja) * 2018-06-14 2022-09-13 学校法人早稲田大学 検出方法及び検出装置

Also Published As

Publication number Publication date
EP4369230A1 (en) 2024-05-15
US20240126877A1 (en) 2024-04-18
WO2023282192A1 (ja) 2023-01-12
JPWO2023282192A1 (zh) 2023-01-12

Similar Documents

Publication Publication Date Title
US10824957B2 (en) In-home-presence probability calculation method, server apparatus, and in-home-presence probability calculation system
US10242558B2 (en) Systems and methods for handling latent anomalies
US7222153B2 (en) Method of accumulating appliance located states and apparatus using the same
CN100479402C (zh) 在网络中维持用于装置的永久唯一标识符的方法和系统
US11516041B2 (en) Method and device for event notification in home network system
US20170025861A1 (en) Detecting the presence or absence of a user
CN107370644B (zh) 联动控制方法、装置、计算机可读存储介质及计算机设备
JP2005130423A (ja) コントローラ、プログラムおよび記憶媒体
JP2010146268A (ja) 電力量監視システム、管理サーバおよび電力量監視方法
JP2018048774A (ja) 情報提供システム、情報提供方法及び制御プログラム
JP2004214785A (ja) 機器管理システム、機器管理方法、管理装置、被管理機器、管理装置用機器管理プログラム及び被管理機器用機器管理プログラム
CN114422323A (zh) 一种针对物联网设备的联合监控方法、装置及电子设备
CN117561510A (zh) 恶意软件检测方法、恶意软件检测装置及程序
CN117501269A (zh) 恶意软件检测方法、恶意软件检测装置及程序
US20230336576A1 (en) Threshold value calculation device, anomaly detection device, threshold value calculation method, and anomaly detection method
CN113206863B (zh) 物联网设备管理方法及装置
CN107431734B (zh) 屋内设备、通信适配器、控制方法以及记录介质
US20170094035A1 (en) Management method and management device
JP2023524953A (ja) モノのインターネットに基づく動作関連付け方法、電子デバイス及び記憶媒体
JP7213625B2 (ja) サーバ装置、家電機器監視システム、家電機器監視方法および家電機器監視プログラム
JP6351822B2 (ja) 管理装置、管理方法、及び、プログラム
CN114697345B (zh) 信息更新方法、装置和存储介质及电子装置
US11962653B2 (en) Device monitoring method, device monitoring apparatus, and recording medium for transmitting messages containing device control commands based on predetermined conditions
US20170330246A1 (en) System, user managing server, and method of providing user customized advertisement
CN106168763A (zh) 控制方法以及控制器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination