JP2019009680A - 検知装置および検知方法 - Google Patents
検知装置および検知方法 Download PDFInfo
- Publication number
- JP2019009680A JP2019009680A JP2017125176A JP2017125176A JP2019009680A JP 2019009680 A JP2019009680 A JP 2019009680A JP 2017125176 A JP2017125176 A JP 2017125176A JP 2017125176 A JP2017125176 A JP 2017125176A JP 2019009680 A JP2019009680 A JP 2019009680A
- Authority
- JP
- Japan
- Prior art keywords
- learning
- learning result
- information
- normal operation
- during normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【課題】機器の移動を考慮して効率よく正常動作時の特徴を学習する。【解決手段】記憶部14が、機器についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と機器識別情報とを対応づけた学習結果情報14bを記憶し、判定部15bが、機器から取得される動作時の特徴から導出される情報が、学習結果と異なる場合に異常と判定し、学習部15cが、機器の収容位置の変更を検知した場合に、該機器の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出し、学習結果情報14bに追加し、同一の機器に対応して異なる収容位置における過去の学習結果が学習結果情報14bに所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器の正常動作時の特徴を抽出し学習結果を導出するかわりに、過去の学習結果のうちのいずれかを現在の収容位置における学習結果とする。【選択図】図6
Description
本発明は、検知装置および検知方法に関する。
近年、様々な分野でPCやサーバに加えタイプの異なるいわゆるIoT機器が利用されている。一般に、IoT機器は、いったんシステムに導入されると、十分なセキュリティ対策が講じられないままに長期間使用される場合が多い。このようなIoT機器は、攻撃者による分析および未知の攻撃のターゲットとなりやすい。また、IoT機器は、特殊なOSで構成されたり、CPUやメモリ等のリソースが不十分だったりして、ウイルス検知ソフトの導入が困難な場合が多い。
そこで、ウイルス検知ソフトを用いずに、機器の正常動作時の特徴を用いて異常を検知する技術が提案されている。例えば、機器の動作中に計測されたシステムコール回数を、導入時等に計測されて予め決められた正常時の基準値と比較して、基準値の範囲内であれば正常と判定し、範囲外であれば異常と判定する(特許文献1参照)。また、機器の導入時に流通するトラフィック等を測定して正常なトラフィック等を学習し、学習したトラフィック等と異なるトラフィック等を異常と検知するルータが知られている。なお、正常動作時の特徴は、機器ごとに管理される。
しかしながら、従来の技術では、機器の取り替えや移動が考慮されていない。すなわち、機器のライフサイクルに応じて故障時に交換された場合や、機器構成が変更され機器の動作環境が変わった場合には、正常動作時の特徴を学習し直したり、正常動作時の特徴の学習結果を引き継いだりする必要がある。
例えば、IoT機器は、様々な方法で使用されるため、収容位置が他のネットワークに変更され使用方法が変化すれば、過去の学習で収集・抽出された正常動作時の特徴を活用することができない。しかしながら、モバイル機器等のように移動しながら使用される機器は、収容位置が他のネットワークに変更された都度、学習をし直していては、変更後の収容位置において学習が完了しないために異常検知を開始できない。また、機器の故障に伴って機器を交換する場合には交換前の学習結果を引き継げば、直ちに異常検知を開始できる。
本発明は、上記に鑑みてなされたものであって、機器の移動を考慮して効率よく正常動作時の特徴を学習することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る検知装置は、機器についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と、前記機器を識別する機器識別情報とを対応づけた学習結果情報を記憶する記憶部と、前記機器から取得される動作時の特徴から導出される情報が、前記学習結果と異なる場合に異常と判定する判定部と、前記機器の収容位置の変更を検知した場合に、該機器の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出し、前記学習結果情報に追加する学習部と、を備え、前記学習部は、同一の機器に対応して異なる収容位置における過去の学習結果が前記学習結果情報に所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器の正常動作時の特徴を抽出し学習結果を導出して前記学習結果情報に追加するかわりに、前記過去の学習結果のうちのいずれかを現在の収容位置における学習結果として前記学習結果情報に追加することを特徴とする。
本発明によれば、機器の移動を考慮して効率よく正常動作時の特徴を学習することができる。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[システムの構成]
図1は、本実施形態の検知装置を含むシステムの概略構成を例示する模式図である。図1に例示するように、異常検知対象の機器1は、LAN(Local Area Network)やWAN(Wide Area Network)やインターネット等のネットワーク3を介して、サーバ2と通信する。
図1は、本実施形態の検知装置を含むシステムの概略構成を例示する模式図である。図1に例示するように、異常検知対象の機器1は、LAN(Local Area Network)やWAN(Wide Area Network)やインターネット等のネットワーク3を介して、サーバ2と通信する。
検知装置10は、ルータ機能を備え、複数のLAN3に接続される機器1とサーバ2との間の通信を仲介する。また、検知装置10は、機器1のサーバ2との間の通信の特徴や動作ログを含む機器1の特徴を抽出して、機器1の異常を検知する。
ここで、図2〜図5は、検知装置10の処理概要を説明するための説明図である。まず、図2は、機器1の正常動作時の特徴の種類を網羅して学習する過程を示している。図2に示すように、検知装置10は、機器1の正常動作時の特徴を、機械学習技術を用いて抽出したり、通信元や通信先やトラヒック量などの統計情報を用いて作成したりして学習し、学習結果として管理している。そして、検知装置10は、機器1の判定する動作時の特徴を学習結果と比較し、学習結果と異なる場合に異常と判定することができる。
例えば、図3は、教師なし機械学習により学習された学習結果を用いた異常検知について示している。図3に示すように、機械学習により学習された学習結果は、機器1の正常動作時の特徴を特徴ベクトルに変換して作成されたモデルで表される。この場合に、確認したい機器1の動作時の特徴を特徴ベクトルに変換し、作成されたモデルに代入して算出されるアノマリスコア等を用いて、正常か異常かが判定される。
また、図4は、統計情報を用いて学習された学習結果を用いた異常検知について示している。図4に示すように、統計情報を用いて学習された学習結果は、機器1の正常動作時のパターンを示すホワイトリストで表される。例えば、正常通信から抽出された発IPアドレス、着IPアドレス、着ポート、プロトコル、またはトラヒック量等を用いて統計処理を行うことにより、ホワイトリストが作成される。ホワイトリストは、例えば、発IPアドレス、着IPアドレス、着ポート、プロトコル、またはトラヒック量の最大値、最小値等の組み合わせで表される。この場合に、確認したい機器1の動作時の発IPアドレス、着IPアドレス、着ポート、プロトコル、またはトラヒック量等を抽出し、ホワイトリストと合致するか否かで、正常か異常かが判定される。
ここで、検知装置10は、正常動作時の特徴が追加された場合に、その正常動作時の特徴を追加して学習した学習内容を管理する。また、検知装置10は、機器1のネットワーク3上の収容位置が変更された場合に、機器の正常動作時の特徴を学習し直す。例えば、機器1としてのネットワークカメラの収容位置が変更され被写体が変化した場合に、正常動作時の特徴が変化し得る。図5に例示するように、例えば病院のベッド等の静止的な被写体と、交差点の交通等の動的な被写体とでは、正常動作時のトラヒック量が異なるため、正常動作時の特徴が異なる。このように、機器1の移動に伴って使用方法が変化した場合には、機器1の正常動作時の特徴を学習し直す必要がある。
また、モバイル端末のように、移動しながら使用される機器1については、収容位置が変わって使用方法が変化することは、正常通信等の正常動作時の特徴として捉える必要がある。一方、本実施形態の検知装置10は、モバイル端末のうち、移動が多く、移動に伴い新たに正常動作時の特徴が変化しない機器1について、他のLAN3等の異なる収容位置での過去の学習結果を活用する。
また、本実施形態の検知装置10は、同一の収容位置の機器1が故障等のために交換された場合に、交換前の機器1に対応する学習結果を活用する。
[検知装置の構成]
図6は、検知装置の概略構成を例示する模式図である。図6に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
図6は、検知装置の概略構成を例示する模式図である。図6に例示するように、検知装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスを用いて実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、ネットワーク3を介したサーバ2等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現され、後述する分類処理により特定される正常な状態のモデルのパラメータ等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
本実施形態において、記憶部14は、収容位置情報14aおよび学習結果情報14bを記憶する。収容位置情報14aは、機器1を識別する機器識別情報と、対応する機器1のネットワーク上の収容位置とを対応づけた情報である。図7は、収容位置情報14aのデータ構成を例示する図である。図7には、MACアドレス等の機器識別情報を示す物理アドレスと、IPアドレス等の機器1のネットワーク上の収容位置を示す論理アドレスとの対応づけが例示されている。例えば、物理アドレス「aa」の機器1は、現在、論理アドレス「01」の収容位置にあることがわかる。
学習結果情報14bは、機器1についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と機器を識別する機器識別情報とを対応づけた情報である。図8は、学習結果情報14bのデータ構成を例示する図である。図8に示す例では、機器1の機器識別情報を表す物理アドレスと、各機器1について、ネットワーク上の収容位置を示す論理アドレスごとの図2に例示した学習結果とが対応づけされている。例えば、物理アドレス「aa」の機器1について、論理アドレス「01」の収容位置における学習結果「学習結果01」と、論理アドレス「02」の収容位置における学習結果「学習結果02」とが含まれている。
図6の説明に戻る。制御部15は、CPU(Central Processing Unit)等を用いて実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図1に例示するように、ルータ機能部15a、判定部15b、および学習部15cとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。
ルータ機能部15aは、LAN3に接続される機器1とサーバ2との間の通信を仲介する。また、ルータ機能部15aは、収容位置情報14aを管理している。例えば、ルータ機能部15aは、LAN3に接続される機器1の収容位置を示すIPアドレスと、機器識別情報を表すMACアドレスとの対応表を、収容位置情報14aとして管理している。
その際、ルータ機能部15aは、機器1にIPアドレスを払い出す際のDHCP(Dynamic Host Configuration Protocol)のMACアドレス管理テーブル、無線LANのMACアドレスフィルタリング等のUPnP(Universal Plug and Play)を用いたアクセスコントロールリスト、あるいはARP(Address Resolution Protocol)テーブル等を利用する。すなわち、ルータ機能部15aは、これらの技術において管理されている機器1の移動やオペレータ等による変更を契機に、収容位置情報14aを変更する。
判定部15bは、機器1から取得される動作時の特徴から導出される情報が、学習結果と異なる場合に異常と判定する。具体的には、上述したように、例えば、学習結果が機械学習により学習された機器1の正常動作時の特徴を表すモデルである場合には、判定部15bは、確認したい動作時の特徴を特徴ベクトルに変換し、モデルに代入して算出されるアノマリスコアが所定の閾値以上の場合に、異常と判定する。
あるいは、学習結果が統計情報を用いて学習されたホワイトリストである場合には、判定部15bは、確認したい機器1の動作時の発IPアドレス、着IPアドレス、着ポート、プロトコル、またはトラヒック量等を抽出し、ホワイトリストと合致するか否かで、正常か異常かを判定する。すなわち、判定部15bは、判定対象の通信のパターンを学習結果に含まれる通信のパターンと対比して、いずれのパターンとも異なる場合に異常な通信と判定する。
なお、学習結果は、機器1の正常動作時の特徴のリストであってもよい。この場合には、判定部15bは、確認したい機器1の動作時の特徴が学習結果に示される正常動作時の特徴のいずれとも異なる場合に、異常と判定する。
学習部15cは、機器1の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出し、学習結果情報14bに保存する。すなわち、学習部15cは、機器1の正常動作時の通信や動作ログ等の情報を取得して、これらの情報から抽出した正常動作時の特徴を用いて、この機器1の現在の収容位置における学習結果を導出する。正常動作時の特徴の抽出には、例えば、機械学習や通信の送信先に関する統計情報等が適用される。また、学習部15cは、学習結果情報14bに各学習結果を抽出した収容位置を対応付けて保存する。
また、学習部15cは、機器1の収容位置の変更を検知した場合に、該機器1の正常動作時の特徴を抽出して、変更後の現在の収容位置における学習結果を導出して学習結果情報14bに追加する。
具体的には、学習部15cは、機器1の収容位置の変更すなわち移動を検知した場合に、変更後の収容位置において正常動作時の特徴を抽出し直すことにより新しい学習結果を導出して、収容位置と対応づけて学習結果情報14bに追加する。したがって、機器1の移動に応じて学習結果が追加される。
なお、機器1の移動は、例えば、ルータ機能部15aが管理しており、機器1の収容位置が変化した場合、学習部15cに通知する。これにより、学習部15cは機器1の移動を検知する。
また、学習部15cは、同一の機器1に対応して異なる収容位置における過去の学習結果が学習結果情報14bに所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器1から正常動作時の特徴を抽出し学習結果を導出して学習結果情報14bに追加するかわりに、過去の学習結果のうちのいずれかを、現在の収容位置における学習結果として学習結果情報14bに追加する。
すなわち、学習部15cは、モバイル端末のように移動しながら使用するために移動の回数が多い機器1について、移動に伴い使用方法が変わらない場合には、他のLAN3等の異なる収容位置における過去の学習結果を活用する。
具体的には、学習部15cは、学習結果情報14bを参照し、同一の機器1について、異なる収容位置で抽出された所定数N以上の学習結果が含まれる場合には、この機器1は移動の回数が多いものとして、他の収容位置における過去の学習結果の活用を検討する。例えば、学習部15cは、異なる収容位置に対応して導出された過去の学習結果が相互に類似している場合に、移動により機器1の使用方法が変わらないものとして、過去の学習結果を活用する。
そこで、学習部15cは、N以上の収容位置が異なる過去の学習結果同士の類似度合いを算出する。例えば、正常通信のパターンで表される学習結果について、学習部15cは、2つの学習結果の組み合わせごとに、正常通信のパターンが一致する数が多いものほど高くなるスコアを類似度合いとして算出する。学習部15cは、算出したスコアのすべてが所定の閾値以上の場合に、学習結果同士が類似していると判定する。その場合に、学習部15cは、例えば、類似度合いを表すスコアが最も高い学習結果のうちの一方を、活用する学習結果として選定する。また、学習部15cは、選定した学習結果を、現在の収容位置での学習結果として学習結果情報14bに追加して活用する。これにより、ここで選定された学習結果が以降の移動においても引き続き活用されることになる。
なお、学習部15cは、過去の学習結果同士の類似度合いが所定の閾値未満の場合には、機器1の正常動作時の特徴の抽出が完了していないものとして、正常動作時の特徴を抽出し、学習結果として学習結果情報14bに追加する。この場合に、学習部15cは、ここで抽出した正常動作時の特徴を、過去の学習結果のいずれかあるいは過去の学習結果のすべてを併合したものに追加してもよい。この場合に、正常動作時の特徴を抽出する学習を収束するまで繰り返すことが容易になる。
また、学習部15cは、収容位置情報14aの収容位置に対応する機器1の機器識別情報の変更を検知した場合に、学習結果情報14bの変更前の機器1に対応する学習結果を現在の機器1に対応づける。
具体的には、学習部15cは、故障等により同一の収容位置の機器1が変更されたことを検知した場合に、学習結果情報14bを参照し、変更前の機器1に対応する学習結果を現在の機器1に対応づける変更を行う。機器1の変更は、例えば、ルータ機能部15aが管理しており、収容位置情報14aの変更があった場合に、学習部15cに通知する。これにより、学習部15cは機器1の変更を検知する。このように、検知装置10は、機器1が交換された場合に、旧機器1の学習結果を活用することができる。
[分類処理]
次に、図9および図10を参照して、本実施形態に係る検知装置10による検知処理について説明する。検知処理は、移動処理と交換処理とを含む。
次に、図9および図10を参照して、本実施形態に係る検知装置10による検知処理について説明する。検知処理は、移動処理と交換処理とを含む。
まず、図9は、移動処理手順を示すフローチャートである。図9のフローチャートは、例えば、ある収容位置において、新規にLAN3に接続された機器1が検知されたタイミングで開始される(ステップS1)。
学習部15cは、学習結果情報14bを参照し、この機器1の他のLAN3での利用実績の有無、すなわち、過去の学習結果の有無を確認する(ステップS2)。学習結果情報14bにこの機器1に対応する過去の学習結果が含まれていない場合には(ステップS2,0)、学習部15cは、新規の機器1として、この収容位置における正常動作時の特徴を抽出して、学習結果を導出する(ステップS3)。これにより、一連の移動処理が終了する。
一方、学習結果情報14bに含まれるこの機器1に対応する過去の学習結果が所定数N未満の場合には(ステップS2,N未満)、学習部15cは、機器1の収容替えすなわち収容位置が変更されたと判定する。この場合に、学習部15cは、この収容位置における正常動作時の特徴を抽出して、学習結果を導出する(ステップS4)。これにより、一連の移動処理が終了する。
また、学習結果情報14bに含まれるこの機器1に対応する過去の学習結果が所定数N以上の場合には(ステップS2,N以上)、学習部15cは、過去の学習結果同士が類似しているか否かを確認する(ステップS5)。
過去の学習結果同士が類似している場合には(ステップS5、Yes)、学習部15cは、移動による使用方法に変化はないものとし、現在の収容位置における学習結果として過去と同一の学習結果を活用する(ステップS6)。
一方、過去の学習結果同士が類似していない場合には(ステップS5、No)、学習部15cは、正常動作時の特徴の抽出を繰り返し、過去の収容位置において収集された正常動作時の特徴に追加する(ステップS7)。これにより、一連の移動処理が終了する。この場合に、正常動作時の特徴の抽出が早期に完了するため、学習が早期に完了する。
次に、図10は、交換処理手順を示すフローチャートである。図10のフローチャートは、ある収容位置の機器AAが機器BBに交換されたことを学習部15cが検知したタイミングで開始される(ステップS11)。例えば、故障した機器AAが機器BBに交換された場合に、オペレータによるDHCPのMACアドレスや無線LANのアクセス可能MACアドレスの操作入力を実施する。すなわち、交換前のMACアドレスを削除し、交換後のMACアドレスに変更する。この変更等を契機に、ルータ機能部15aが、収容位置情報14aを変更し、機器AAから機器BBへの交換を学習部15cに通知する。これにより、学習部15cが、この収容位置における機器AAから機器BBへの交換を検知する。
この場合に、学習部15cは、学習結果情報14bを参照して、機器AAのこの収容位置における学習結果を抽出し、これを機器BBの物理アドレスに対応づけて保存する。その後、判定部15bが、機器BBについて、機器AAの学習結果を利用して異常検知を開始する(ステップS12)。これにより、一連の交換処理が終了する。
以上、説明したように、本実施形態の検知装置10において、記憶部14が、機器1についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と、機器1を識別する機器識別情報とを対応づけた学習結果情報14bを記憶する。また、判定部15bが、機器から取得される動作時の特徴から導出される情報が、学習結果と異なる場合に異常と判定する。
また、学習部15cは、機器1の収容位置の変更を検知した場合に、該機器1の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出して学習結果情報14bに追加する。この学習部15cは、同一の機器1に対応して異なる収容位置における過去の学習結果が学習結果情報14bに所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器1の正常動作時の特徴を抽出し学習結果を導出して学習結果情報14bに追加するかわりに、過去の学習結果のうちのいずれかを現在の収容位置における学習結果として学習結果情報14bに追加する。
これにより、検知装置10は、モバイル端末のような移動により使用方法が変わらない機器1について、収容位置が変わっても正常動作時の特徴を学習し直すことなく、過去の学習結果を活用する。また、オペレータの介在が必要なくオペレータの作業負荷を低減させることができる。このように、検知装置10によれば、機器1の移動を考慮して効率よく正常動作時の特徴を学習することが可能となる。
また、記憶部14は、さらに、機器識別情報と対応する機器のネットワーク上の収容位置とを対応づけた収容位置情報14aを記憶する。そして、収容位置情報14aの収容位置に対応する機器識別情報が変更された場合に、学習部15cが、学習結果情報14bの変更前の機器に対応する学習結果を変更後の機器に対応づける。
これにより検知装置10は、故障等により交換された機器1について、交換前の機器の学習結果を活用して容易に異常検知を行うことが可能となる。オペレータは機器1の交換に伴ってDHCPのMACアドレスや無線LANのアクセス可能MACアドレスの変更等を行うだけで足り、オペレータの作業負荷を低減させることができる。このように、検知装置10によれば、機器の取り換えを考慮して効率よく正常動作時の特徴を学習することが可能となる。
[プログラム]
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
上記実施形態に係る検知装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、検知装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の検知処理を実行する検知プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の検知プログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistants)などのスレート端末などがその範疇に含まれる。
また、検知装置10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の検知処理に関するサービスを提供するサーバ装置として実装することもできる。例えば、検知装置10は、機器1の動作時の特徴量を入力とし、正常か異常かの判定結果を出力する検知処理サービスを提供するサーバ装置として実装される。この場合、検知装置10は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の検知処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。以下に、検知装置10と同様の機能を実現する検知プログラムを実行するコンピュータの一例を説明する。
図11は、検知プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各テーブルは、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、検知プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した検知装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、検知プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
10 検知装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 収容位置情報
14b 学習結果情報
15 制御部
15a ルータ機能部
15b 判定部
15c 学習部
11 入力部
12 出力部
13 通信制御部
14 記憶部
14a 収容位置情報
14b 学習結果情報
15 制御部
15a ルータ機能部
15b 判定部
15c 学習部
Claims (6)
- 機器についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と、前記機器を識別する機器識別情報とを対応づけた学習結果情報を記憶する記憶部と、
前記機器から取得される動作時の特徴から導出される情報が、前記学習結果と異なる場合に異常と判定する判定部と、
前記機器の収容位置の変更を検知した場合に、該機器の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出し、前記学習結果情報に追加する学習部と、を備え、
前記学習部は、同一の機器に対応して異なる収容位置における過去の学習結果が前記学習結果情報に所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器の正常動作時の特徴を抽出し学習結果を導出して前記学習結果情報に追加するかわりに、前記過去の学習結果のうちのいずれかを現在の収容位置における学習結果として前記学習結果情報に追加することを特徴とする検知装置。 - 前記記憶部は、さらに、前記機器識別情報と対応する機器のネットワーク上の収容位置とを対応づけた収容位置情報を記憶し、
前記学習部は、さらに、前記収容位置情報の前記収容位置に対応する前記機器識別情報の変更を検知した場合に、前記学習結果情報の変更前の機器に対応する学習結果を変更後の機器に対応づけることを特徴とする請求項1に記載の検知装置。 - 前記学習結果は、機械学習により学習された機器の正常動作時の特徴を表すモデルであり、
前記判定部は、機器の動作時の特徴を前記モデルに代入して算出されるアノマリスコアを用いて、正常か異常かを判定することを特徴とする請求項1または2に記載の検知装置。 - 前記学習結果は、統計情報を用いて学習された機器の正常動作時のパターンを示すホワイトリストであり、
前記判定部は、機器の動作時のパターンがホワイトリストと合致しない場合に異常と判定することを特徴とする請求項1または2に記載の検知装置。 - 前記学習結果は、抽出された機器の正常動作時の特徴であり、
前記判定部は、機器の動作時の特徴が前記学習結果のいずれにも該当しない場合に、異常と判定することを特徴とする請求項1または2に記載の検知装置。 - 検知装置で実行される検知方法であって、
前記検知装置は、機器についてネットワーク上の収容位置で抽出された正常動作時の特徴を表す学習結果と、前記機器を識別する機器識別情報とを対応づけた学習結果情報を記憶する記憶部を備え、
前記機器から取得される動作時の特徴から導出される情報が、前記学習結果と異なる場合に異常と判定する判定工程と、
前記機器の収容位置の変更を検知した場合に、該機器の正常動作時の特徴を抽出して現在の収容位置における学習結果を導出し、前記学習結果情報に追加する学習工程と、を含み、
前記学習工程において、同一の機器に対応して異なる収容位置における過去の学習結果が前記学習結果情報に所定数以上含まれる場合に、該学習結果同士の類似度合いが所定の閾値以上であれば、該機器の正常動作時の特徴を抽出し学習結果を導出して前記学習結果情報に追加するかわりに、前記過去の学習結果のうちのいずれかを現在の収容位置における学習結果として前記学習結果情報に追加することを特徴とする検知方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017125176A JP6683655B2 (ja) | 2017-06-27 | 2017-06-27 | 検知装置および検知方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017125176A JP6683655B2 (ja) | 2017-06-27 | 2017-06-27 | 検知装置および検知方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019009680A true JP2019009680A (ja) | 2019-01-17 |
| JP6683655B2 JP6683655B2 (ja) | 2020-04-22 |
Family
ID=65029179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017125176A Active JP6683655B2 (ja) | 2017-06-27 | 2017-06-27 | 検知装置および検知方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6683655B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020166311A1 (ja) * | 2019-02-12 | 2020-08-20 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| WO2021006404A1 (ko) * | 2019-07-11 | 2021-01-14 | 엘지전자 주식회사 | 인공지능 서버 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
| JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
| JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
-
2017
- 2017-06-27 JP JP2017125176A patent/JP6683655B2/ja active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005234849A (ja) * | 2004-02-19 | 2005-09-02 | Mitsubishi Electric Corp | 監視装置及び監視方法及びプログラム |
| JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
| JP2010152773A (ja) * | 2008-12-26 | 2010-07-08 | Mitsubishi Electric Corp | 攻撃判定装置及び攻撃判定方法及びプログラム |
| JP2013232716A (ja) * | 2012-04-27 | 2013-11-14 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020166311A1 (ja) * | 2019-02-12 | 2020-08-20 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| JP2020136701A (ja) * | 2019-02-12 | 2020-08-31 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| CN113474760A (zh) * | 2019-02-12 | 2021-10-01 | 日本电信电话株式会社 | 生成装置、生成系统、生成方法以及生成程序 |
| JP7247628B2 (ja) | 2019-02-12 | 2023-03-29 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| AU2020222452B2 (en) * | 2019-02-12 | 2023-05-11 | Nippon Telegraph And Telephone Corporation | Preparation device, preparation system, preparation method, and preparation program |
| US11882122B2 (en) | 2019-02-12 | 2024-01-23 | Nippon Telegraph And Telephone Corporation | Preparation device, preparation system, preparation method, and preparation program |
| WO2021006404A1 (ko) * | 2019-07-11 | 2021-01-14 | 엘지전자 주식회사 | 인공지능 서버 |
| US11605379B2 (en) | 2019-07-11 | 2023-03-14 | Lg Electronics Inc. | Artificial intelligence server |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6683655B2 (ja) | 2020-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11469950B2 (en) | Non-intrusive device discovery and configuration cloning | |
| CN107302527B (zh) | 一种设备异常检测方法及装置 | |
| JP6984551B2 (ja) | 異常検知装置、および、異常検知方法 | |
| EP3113062B1 (en) | System and method of detecting modified or corrupted external devices | |
| CN107360145B (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| US9654458B1 (en) | Unauthorized device detection in a heterogeneous network | |
| JP6795533B2 (ja) | トラフィック異常検知装置、トラフィック異常検知方法、及びトラフィック異常検知プログラム | |
| WO2019225710A1 (ja) | 特定装置、特定方法及び特定プログラム | |
| US20210306242A1 (en) | Non-intrusive it device monitoring and performing action based on it device state | |
| US11206277B1 (en) | Method and apparatus for detecting abnormal behavior in network | |
| JP6864610B2 (ja) | 特定システム、特定方法及び特定プログラム | |
| US20210160259A1 (en) | System for automated signature generation and refinement | |
| JP6915305B2 (ja) | 検知装置、検知方法および検知プログラム | |
| WO2019163963A1 (ja) | トラヒック特徴情報抽出装置、トラヒック特徴情報抽出方法、及びトラヒック特徴情報抽出プログラム | |
| JP6683655B2 (ja) | 検知装置および検知方法 | |
| CN110851824B (zh) | 一种针对恶意容器的检测方法 | |
| US20200342109A1 (en) | Baseboard management controller to convey data | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| JP7052602B2 (ja) | 生成装置、生成方法及び生成プログラム | |
| CN107395640B (zh) | 一种基于划分和特征变化的入侵检测系统及方法 | |
| JP7441291B1 (ja) | 情報セキュリティ早期警報装置及び方法 | |
| WO2022244077A1 (ja) | 推定装置、推定方法および推定プログラム | |
| US20230351251A1 (en) | Determination device, determination method, and determination program | |
| JP6753818B2 (ja) | 検知装置および検知方法 | |
| JP6676790B2 (ja) | リクエスト制御装置、リクエスト制御方法、および、リクエスト制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190522 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200324 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200326 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6683655 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |