JP2019061399A - デバイス識別装置およびデバイス識別方法 - Google Patents
デバイス識別装置およびデバイス識別方法 Download PDFInfo
- Publication number
- JP2019061399A JP2019061399A JP2017184409A JP2017184409A JP2019061399A JP 2019061399 A JP2019061399 A JP 2019061399A JP 2017184409 A JP2017184409 A JP 2017184409A JP 2017184409 A JP2017184409 A JP 2017184409A JP 2019061399 A JP2019061399 A JP 2019061399A
- Authority
- JP
- Japan
- Prior art keywords
- change pattern
- unknown
- similarity
- identification
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
- Stored Programmes (AREA)
Abstract
【課題】ネットワークに接続されているあらゆるデバイスを識別する。【解決手段】ネットワークに接続されている不明デバイスを識別するデバイス識別装置100は、不明デバイスから受信する信号から不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部1−1,1−2と、抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部2と、生成した変化パターンを、変化パターンDB4中の複数種類の既知デバイスの変化パターンと照合することで、不明デバイスと既知デバイスの各々との間のデバイス類似度をそれぞれ算出し、算出したデバイス類似度のうちの最大値が所定の閾値以上である場合、不明デバイスを、最大値を示す既知デバイスと識別するデバイス類似度算出部3と、を備えることを特徴とする。【選択図】図1
Description
本発明は、デバイス識別装置およびデバイス識別方法に関する。
今日、Internet of Things(IoT)が急速に拡大を続けており、多種多様かつ膨大な数のデバイス(IoTデバイス)がネットワークに接続されつつある。2020年には500億台のデバイスがインターネットに接続されるという予測があり、今後、家庭や工場、街頭など様々な環境にますます多くのデバイスが設置されることが予想される。そして、ネットワークに接続されるデバイスには、カメラや温度計といったセンサや、スマートフォンなどの小型コンピュータ、スピーカーやディスプレイといったアクチュエータなど様々な種類がある。このため、各デバイスの計算処理能力や、各デバイスに使用されるプロトコルは多種多様である。各環境のデバイスの管理者には、このような多種多様かつ膨大なデバイスを適切かつ安全に使用できるように、各デバイスの性質や状態を正確に把握して管理することが求められている。
IoTの運用を考えると、環境内に設置される管理対象のデバイスの数や、それらの設置場所(位置)、ネットワークへの接続状態、搭載されるソフトウェアのバージョンは、ダイナミックに変化する。例えば、位置について考えると、家庭環境では、電化製品の移動に伴って搭載されているセンサの設置場所が変更される。工場では、製造ラインを改修した際に、別の製造ラインへセンサを移動して再利用するために設置場所の変更が発生する。また、ラップトップやWebカメラなどは使用者の移動に応じて当然のように設置場所が変化する。このとき、部屋やエリアといった設置場所の変更を検出できなければ、デバイスが今どこにあるのかを把握できなくなってしまう。
また、ネットワークについて考えると、スマートフォンなど複数のアクセスインタフェースを有するデバイスでは、WiFi(登録商標)からLTE(Long Term Evolution)等モバイル回線へのネットワークの変更が発生する。このとき、IPアドレス等のデバイスのネットワーク情報が変更されたとしても、同一デバイスとして認識できなければ、やはり、それがネットワーク上のどこにあるのか不明になってしまう。従来は、ネットワークに接続されているデバイスをユニークに識別するには、MACアドレスを見ればよかったが、昨今のOSではセキュリティへの配慮から、ネットワーク接続のたびにMACアドレスをランダム生成する仕様になっている。このため、MACアドレスはもはや一貫したキーとして使用できなくなってきている。
また、IoTデバイス上で動作するソフトウェアについて考えると、ファームウェアやOSのアップデートが発生する。このときもネットワークの場合と同様に、ソフトウェアの更新前後で、同一のデバイスであることを認識できなれば、デバイスの所在を見失ってしまう。
このように、IoTの運用では、デバイスの同一性を保証することが困難である。そのため、デバイスの設置場所やネットワークやソフトウェアが変化した場合、どの個体がどのような変化をしたのかを追跡して把握できなければ、過去に設置したデバイス資産が物理空間とネットワークのどこに存在しているのかを管理できなくなるおそれがある。
また、セキュリティ観点でも、動的に状態が変化するデバイスの個体を一貫して把握できることが求められる。例えば、位置やソフトウェアの変更に関らず、デバイスに障害を検出した場合、検出時の過去の挙動や影響範囲を特定するなどの障害対応が必要である。しかし、デバイスの同一性を保証することが困難となるIoTでは、あるデバイスについて位置やソフトウェアの変更があった場合、例えば、そのデバイスの過去から現在に至るまでの状態ログを追跡できないと、障害対応ができなくなるおそれがある。
また、デバイス認証の観点でも、一度認証したデバイスが認証ポリシーに反しない範囲で状態変化した場合に、再認証なしに安全を判定するには、変化前後の同一性を認識できる必要がある。しかし、デバイスの同一性を保証することが困難となるIoTでは、状態変化に伴い再認証を余儀なくされるおそれがある。
また、デバイス認証の観点でも、一度認証したデバイスが認証ポリシーに反しない範囲で状態変化した場合に、再認証なしに安全を判定するには、変化前後の同一性を認識できる必要がある。しかし、デバイスの同一性を保証することが困難となるIoTでは、状態変化に伴い再認証を余儀なくされるおそれがある。
このように、膨大な数に及ぶIoTデバイスの管理には、性質やプロトコルが異なる多種多様なデバイスの状態を把握し、デバイスの状態が変化したとしても、他のデバイスや新規設置されるデバイスと混同せずに個体を識別して管理できることが求められる。このような膨大な数のIoTデバイスの管理を人手で行うのは現実的ではなく、自動的に行える技術が求められる。
デバイスの個体を識別する従来技術の例として、携帯電話や一部の衛星電話に付与されるInternational Mobile Equipment Identity(IMEI)がある。IMEIを用いることで、ネットワークに接続されるデバイスを一意に特定することが可能である。しかしながら、IMEIを含む、デバイス固有識別子を利用する手法は、識別子を埋め込んだ専用のハードウェアを用いることが前提であり、対応デバイスが限定される。
また、デバイスの個体を識別する従来技術の例としては、他にも、EAP-TLS(Extensible Authentication Protocol - Transport Layer Security)によりコンピュータ証明書を発行する手法がある(非特許文献1)。この手法によれば、デバイスごとのコンピュータ証明書を発行して、デバイスにインストールすることで個体を識別することができる。しかし、デバイスがEAP-TLSプロトコルを扱えることを前提としており、パソコンなどの潤沢な計算能力を備えたデバイスには適用できるものの、IoTデバイスに多く想定される計算能力が限定されるデバイスには適用できない。つまり、IMEIの場合と同様、対応デバイスが限定される。
D. Simon, et.al, "The EAP-TLS Authentication Protocol", RFC5216, 2008.3,[online],[平成29年9月6日検索], インターネット<URL:https://www.rfc-editor.org/rfc/rfc5216.txt >
このような背景に鑑みて、本発明は、ネットワークに接続されているあらゆるデバイスを識別することを課題とする。
前記した課題を解決するため、請求項1に記載の発明は、ネットワークに接続されている不明デバイスを識別するデバイス識別装置であって、前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部と、前記抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部と、前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスの変化パターンと照合することで、前記不明デバイスと前記既知デバイスの各々との間のデバイス類似度をそれぞれ算出し、前記算出したデバイス類似度のうちの最大値が所定の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するデバイス類似度算出部と、を備える、ことを特徴とする。
また、請求項4に記載の発明は、ネットワークに接続されている不明デバイスを識別するデバイス識別装置におけるデバイス識別方法であって、前記デバイス識別装置は、前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するステップと、前記抽出したデバイス特徴量の変化パターンを生成するステップと、前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスの変化パターンと照合することで、前記不明デバイスと前記既知デバイスの各々との間のデバイス類似度をそれぞれ算出するステップと、前記算出したデバイス類似度のうちの最大値が所定の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するステップと、を実行する、ことを特徴とする。
請求項1,4に記載の発明によれば、各デバイスに固有に現れるデバイス特徴量の変化パターンを用いてデバイスを識別する。つまり、デバイス特徴量そのものを用いてデバイスを識別するわけではないので、各デバイスのデバイス特徴量ごとの特性がどのようなものであってもデバイス識別処理を実行することができる。また、デバイス特徴量の種類は多種多数存在するが、本実施形態では、デバイス特徴量の変化パターンに注目するので、デバイス特徴量の種類がどのようなものであってもデバイス識別処理を実行することができる。
したがって、ネットワークに接続されているあらゆるデバイスを識別することができる。
したがって、ネットワークに接続されているあらゆるデバイスを識別することができる。
また、請求項2に記載の発明は、請求項1に記載のデバイス識別装置であって、前記抽出したデバイス特徴量が複数種類存在する場合、前記デバイス類似度算出部は、前記抽出したデバイス特徴量の種類ごとに、前記不明デバイスの変化パターンと前記既知デバイスの変化パターンとの間のパターン類似度を算出し、前記抽出したデバイス特徴量の種類ごとに、前記抽出したデバイス特徴量の分散、および、前記算出した分散が大きいほど大きな値をとる重みを算出し、前記抽出したデバイス特徴量の種類ごとに、前記算出したパターン類似度に対し、前記算出した重みを割り振り、前記重みが割り振られたパターン類似度を用いて前記デバイス類似度を算出する、ことを特徴とする。
請求項2に記載の発明によれば、デバイス特徴量ごとにパターン類似度を重み付けすることで、デバイス特徴量変化がユニークであるほどデバイス類似度の算出に大きく寄与するように調整することができる。これにより、デバイスの識別の精度を向上させることができる。
また、請求項3に記載の発明は、請求項1または請求項2に記載のデバイス識別装置であって、前記デバイス類似度算出部は、前記識別した不明デバイスのデバイス特徴量の変化パターンを用いて、該当の既知デバイスの変化パターンを更新する、ことを特徴とする。
請求項3に記載の発明によれば、変化パターン生成部が生成した変化パターンを用いて、該当の既知デバイスの変化パターンを更新するため、該当の既知デバイスの変化パターンを常に最新状態にすることができる。これにより、以降の不明デバイスの識別に対して、最新状態の変化パターンを利用することができ、古い変化パターンを用いたことに起因するデバイスの識別の誤りを回避することができる。
本発明によれば、ネットワークに接続されているあらゆるデバイスを識別することができる。
以下、図面を参照して本発明を実施するための形態(以下、「本実施形態」という)について説明する。
(概要)
本発明は、センサ等のデバイスが送信する信号からデバイス特徴量を抽出し、抽出したデバイス特徴量の変化パターンから個体を識別することを特徴とする。デバイス特徴量の変化パターンには、送信データサイズといったデバイスの種類ごとの特性や、通信遅延といった使用環境ならではの固有性が現れる。このため、変化パターンを、デバイス個体を識別するための情報として利用することができる。
(概要)
本発明は、センサ等のデバイスが送信する信号からデバイス特徴量を抽出し、抽出したデバイス特徴量の変化パターンから個体を識別することを特徴とする。デバイス特徴量の変化パターンには、送信データサイズといったデバイスの種類ごとの特性や、通信遅延といった使用環境ならではの固有性が現れる。このため、変化パターンを、デバイス個体を識別するための情報として利用することができる。
≪構成≫
本実施形態のデバイス識別装置は、ネットワークに接続されているデバイスを識別する装置である。図1に示すように、本実施形態のデバイス識別装置100は、デバイス特徴量抽出部1−1,1−2と、変化パターン生成部2と、デバイス類似度算出部3と、変化パターンDB4と、デバイスDB5と、を備える。図1中の符号10−1〜10−3は、ネットワークに接続されているデバイス(IoTデバイス)であり、デバイス識別装置100の識別対象となる不明デバイスである。変化パターンDB4およびデバイスDB5は、デバイス識別装置100の記憶部が記憶するデータベースである。
本実施形態のデバイス識別装置は、ネットワークに接続されているデバイスを識別する装置である。図1に示すように、本実施形態のデバイス識別装置100は、デバイス特徴量抽出部1−1,1−2と、変化パターン生成部2と、デバイス類似度算出部3と、変化パターンDB4と、デバイスDB5と、を備える。図1中の符号10−1〜10−3は、ネットワークに接続されているデバイス(IoTデバイス)であり、デバイス識別装置100の識別対象となる不明デバイスである。変化パターンDB4およびデバイスDB5は、デバイス識別装置100の記憶部が記憶するデータベースである。
デバイス特徴量抽出部1−1,1−2は、デバイス10−1〜10−3から信号を受信する。デバイス10−1〜10−3が送信する信号は、例えば、センサ値、死活監視信号、デバイス識別装置100によるポートスキャンなどの要求に対する応答である。
デバイス特徴量抽出部1−1,1−2は、デバイス10−1〜10−3から受信した信号から、デバイス10−1〜10−3の各々のデバイス特徴量を定期的に抽出する。デバイス特徴量は、主に、デバイス10−1〜10−3の状態を示す情報と、トラフィック特性とに分類することができる。デバイス10−1〜10−3の状態を示す情報は、例えば、デバイス10−1〜10−3の位置(設置場所)や、デバイス10−1〜10−3が実行しているソフトウェアのバージョンである。また、トラフィック特性は、例えば、所定時間内の平均トラヒック量や、通信間隔である。
上記のように、デバイス特徴量としてさまざまな種類を用意することができるが、デバイス特徴量は、デバイス特徴量抽出部1−1,1−2が、デバイス10−1〜10−3から信号を受信した時点の量となる。図2には、さまざまな値をとるデバイス特徴量Param1,2,3についての各受信時刻の値が例示されている。デバイス特徴量抽出部1−1,1−2によるデバイス特徴量の定期的な抽出とは、所定期間に亘って、任意の受信時刻ごとの複数のデバイス特徴量を取得することを意味する。
IoTデバイスの種類に応じて、扱う通信プロトコルやデータ取得方法、デバイス特徴量の抽出方法は異なるため、デバイス特徴量抽出部1−1,1−2は、各種プロトコルごとに用意することが好ましい。図1の例では、デバイス特徴量抽出部1−1が扱う通信プロトコルは、デバイス10−1,10−2で用いられている通信プロトコルである。また、デバイス特徴量抽出部1−2が扱う通信プロトコルは、デバイス10−3で用いられている通信プロトコルである。デバイス特徴量抽出部1−1,1−2の数は2に限らず、3以上でもよいし、1でもよい。なお、本実施形態において、デバイス10−1〜10−3の数は3に限らず、4以上でもよいし、2以下でもよい。
デバイス特徴量抽出部1−1,1−2は、ローカルネットワーク環境内にゲートウェイとして実装することができる。このような実装により、デバイス特徴量抽出部1−1,1−2は、MACフレーム等の低レイヤ情報も取得し、デバイス特徴量として抽出することができる。
変化パターン生成部2は、デバイス特徴量抽出部1−1,1−2が定期的に抽出したデバイス特徴量に対して、デバイスごとの変化パターンを生成する。これらの変化パターンは、時刻ごとに変化するデバイス特徴量の種類ごとに用意される。変化パターン生成部2には、変化パターンの算出ロジックが組み込まれている。算出ロジックについては、デバイス特徴量ごとの特性に応じてさまざまなロジックが利用可能であり、本実施形態では、特定のロジックに限定しない。一例として、時刻ごとに異なる値をとり得るデバイス特徴量に対しては、変化パターンの算出ロジックとして、傾きa、切片bの一次関数で表現する時間変化の近似式を用いることができる。
変化パターン生成部2は、デバイス特徴量ごとに生成した変化パターンを、個体未特定の不明デバイスの変化パターンとしてデバイス類似度算出部3に出力する。
変化パターン生成部2は、デバイス特徴量ごとに生成した変化パターンを、個体未特定の不明デバイスの変化パターンとしてデバイス類似度算出部3に出力する。
デバイス類似度算出部3は、不明デバイスの変化パターンを、変化パターンDB4に格納されている変化パターンと照合し、個体を特定する。変化パターンDB4は、ネットワーク環境内の既知デバイスから過去に収集した変化パターンを格納するデータベースである。例えば、図3に示すように、変化パターンDB4は、既知デバイスのデバイスIDと、既知デバイスのデバイス特徴量と、当該デバイス特徴量から生成される変化パターンとを対応付けて格納している。
デバイス類似度算出部3は、不明デバイスのデバイス特徴量ごとに、不明デバイスの変化パターンと既存デバイスの変化パターンとのパターン類似度を算出する。パターン類似度の具体的な算出式は、デバイス特徴量ごとの特性に応じてさまざまな算出式が利用可能であり、本実施形態では、特定の算出式に限定しない。一例として、先述した、傾きa、切片bの一次関数で表現する時間変化の近似式を求めた場合には、デバイス特徴量ごとのパターン類似度siは、以下の式1を用いて求めることができる。
si = 0.5×Δa + 0.5×Δb
・・・(式1)
ここで、siは、i番目のデバイス特徴量についてのパターン類似度である。iは、1からnまでの自然数である。nは、不明デバイスから抽出したデバイス特徴量の種類の数である。
Δaは、i番目のデバイス特徴量について、不明デバイスの変化パターンから得られる傾きと、既知デバイスの変化パターンから得られる傾きとの差分の絶対値を、0〜1に収まるように正規化した値である。
Δbは、i番目のデバイス特徴量について、不明デバイスの変化パターンから得られる切片と、既知デバイスの変化パターンから得られる切片との差分の絶対値を、0〜1に収まるように正規化した値である。
・・・(式1)
ここで、siは、i番目のデバイス特徴量についてのパターン類似度である。iは、1からnまでの自然数である。nは、不明デバイスから抽出したデバイス特徴量の種類の数である。
Δaは、i番目のデバイス特徴量について、不明デバイスの変化パターンから得られる傾きと、既知デバイスの変化パターンから得られる傾きとの差分の絶対値を、0〜1に収まるように正規化した値である。
Δbは、i番目のデバイス特徴量について、不明デバイスの変化パターンから得られる切片と、既知デバイスの変化パターンから得られる切片との差分の絶対値を、0〜1に収まるように正規化した値である。
式1によれば、siは、0〜1の値をとる。デバイス類似度算出部3は、式1を用いて、不明デバイスから抽出したデバイス特徴量の種類ごと、かつ、既知デバイスごとにパターン類似度を算出する。なお、不明デバイスの変化パターンに係るデバイス特徴量と同じ種類のデバイス特徴量が、既知デバイスから抽出されておらず、対応する変化パターンが存在しない場合には、便宜上、そのデバイス特徴量についてのパターン類似度は0とみなしてもよい。
デバイス類似度算出部3は、算出したパターン類似度を用いて、不明デバイスと既知デバイスとの間のデバイス類似度を算出することができる。デバイス類似度の算出の際、デバイス類似度算出部3は、以下に示すように、パターン類似度の各々に付与する重みを算出することができる。
デバイスの個体識別に用いるデバイス特徴量の変化は、複数の個体間で重複しないユニークなものであるほどよい。例えば、モバイル端末が多い環境では、デバイスの移動によるデバイス位置の変化パターンは、複数のデバイスに重複して発生する変化パターンであり、個体を識別するにあたり参考にならないパラメータである(デバイスの移動は、デバイスごとにランダムであって、デバイス固有の位置変化が極めて生じにくい)。
また同様に、同一機種の多数デバイスに対するソフトウェアアップデートが一定周期で同時に実行される環境においては、ダウンロードに関する通信特性の変化パターンは、個体を識別するにあたり参考にならない変化パターンである。
また同様に、同一機種の多数デバイスに対するソフトウェアアップデートが一定周期で同時に実行される環境においては、ダウンロードに関する通信特性の変化パターンは、個体を識別するにあたり参考にならない変化パターンである。
仮に、デバイスから取得可能なデバイス特徴量の種類の数が少なかった場合、すべてのデバイス特徴量変化を均一に扱うと、デバイス類似度が大きな既知デバイスが多数検出されてしまい、識別精度の低下を招く可能性がある。そこで、本実施形態では、変化パターンDB4が保持する変化パターンに対して、各デバイス特徴量の変化の分散を評価する。そして、デバイス特徴量の分散が大きいほど、そのデバイス特徴量に大きな重みを付与するように設計する。このような設計により、デバイス特徴量変化がユニークであるほど、そのデバイス特徴量が、デバイス類似度の算出に大きく寄与するように調整することができる。
例えば、パターン類似度の各々に付与する重みkiは、以下の式2を用いて求めることができる。
ki = vi/(Σvi)
・・・(式2)
ここで、viは、i番目のデバイス特徴量についての分散値を、0〜1に収まるように正規化した値である。iは、1からnまでの自然数である。nは、不明デバイスから抽出したデバイス特徴量の種類の数である。Σviは、n個のviの総和である。
kiは、i番目のデバイス特徴量についての重みである。式2によれば、n種類すべてのデバイス特徴量に対する重みの和は1(Σki=1)となる。
ki = vi/(Σvi)
・・・(式2)
ここで、viは、i番目のデバイス特徴量についての分散値を、0〜1に収まるように正規化した値である。iは、1からnまでの自然数である。nは、不明デバイスから抽出したデバイス特徴量の種類の数である。Σviは、n個のviの総和である。
kiは、i番目のデバイス特徴量についての重みである。式2によれば、n種類すべてのデバイス特徴量に対する重みの和は1(Σki=1)となる。
デバイス類似度算出部3は、デバイス特徴量ごとに、変化パターンDB4に格納されているすべての変化パターンに対して、パターン類似度を求める。また、デバイス類似度算出部3は、式2を用いて、求めたパターン類似度に、分散値の大きさを元にした重みを割り振る。
デバイス類似度算出部3は、例えば、デバイス特徴量ごとのパターン類似度を求め、そのパターン類似度に重みを乗じて総合することで、不明デバイスと、各既知デバイスとのデバイス類似度をそれぞれ算出する。デバイス類似度Sの算出式は、例えば、以下の式3のようになる。
S=Σ(ki*si)
・・・(式3)
式1〜式3によれば、デバイス類似度Sは0〜1の値をとる。
S=Σ(ki*si)
・・・(式3)
式1〜式3によれば、デバイス類似度Sは0〜1の値をとる。
デバイス類似度算出部3は、式3によって算出したデバイス類似度のうちの最大値を選び出し、その最大値が所定の閾値以上である場合、識別対象デバイス、つまり、不明デバイスを、その最大値を示す既知デバイスと識別する。所定の閾値以上となるデバイス類似度が存在しない場合には、不明デバイスを、ネットワークに接続された新規デバイスと判定する。所定の閾値は、例えば、システム利用者が予め設定することができる。
デバイス類似度算出部3は、不明デバイスに対する識別結果を、デバイスDB5および変化パターンDB4に反映し、デバイスDB5および変化パターンDB4を更新する。デバイスDB5は、デバイス識別装置100が識別済みの既知デバイスの状態を管理するデータベースである。図4には、デバイスDB5において、既知デバイスのデバイスIDと、状態を示す値との対応付けが図示されている。図4に示すように、既知デバイスの状態の具体例として、ネットワーク接続用のアクセスポイント、インストールされているソフトウェア、オンライン状態がある。既知デバイスの状態の他の具体例として、既知デバイスの設置場所(例えば、緯度、経度で表示)がある。
不明デバイスが既知デバイスである場合、デバイス類似度算出部3は、不明デバイスの識別結果として、当該不明デバイスの最新状態をデバイスDB5に記録する。不明デバイスが新規デバイスである場合、デバイス類似度算出部3は、不明デバイスの識別結果として、当該不明デバイスの状態を示すデバイス情報をデバイスDB5に追加する。ここで、デバイス識別装置100がデバイスDB5に記録する不明デバイスの状態は、変化パターン生成部2およびデバイス類似度算出部3による上記した識別過程で得られた情報であってもよいし、識別後に識別対象デバイス(元不明デバイス)にアクセスして取得した情報であってもよい。
また、デバイス類似度算出部3は、不明デバイスの識別結果として、不明デバイスの識別過程において変化パターン生成部2が生成した変化パターンを変化パターンDB4に登録する。不明デバイスが既知デバイスである場合、デバイス類似度算出部3は、変化パターンDB4中の該当の既知デバイスの変化パターンを、変化パターン生成部2が生成した変化パターンに置き換えて、変化パターンDB4を更新する。不明デバイスが新規デバイスである場合、デバイス類似度算出部3は、変化パターンDB4に新規デバイスの変化パターンを追加して、変化パターンDB4を更新する。
≪処理≫
次に、デバイス識別装置100が実行するデバイス識別処理について説明する。ここでは、デバイス特徴量抽出部1−1が不明デバイスから信号を取得する場合について説明する。
次に、デバイス識別装置100が実行するデバイス識別処理について説明する。ここでは、デバイス特徴量抽出部1−1が不明デバイスから信号を取得する場合について説明する。
ます、デバイス識別装置100は、デバイス特徴量抽出部1−1によって、不明デバイスから受信した信号から、不明デバイスのデバイス特徴量を定期的に抽出する(ステップS1)。
次に、デバイス識別装置100は、変化パターン生成部2によって、不明デバイスから抽出したデバイス特徴量の変化パターンを生成する(ステップS2)。
次に、デバイス識別装置100は、変化パターン生成部2によって、不明デバイスから抽出したデバイス特徴量の変化パターンを生成する(ステップS2)。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、不明デバイスの変化パターンと、変化パターンDB4に格納されている、既知デバイスの変化パターンの各々とのパターン類似度を算出する(ステップS3)。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、算出したパターン類似度を用いて、不明デバイスと既知デバイスの各々との間のデバイス類似度をそれぞれ算出する(ステップS4)。ステップS4によって、算出された複数のデバイス類似度の最大値、および、デバイス類似度が最大値を示す既知デバイスが特定される。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、算出したパターン類似度を用いて、不明デバイスと既知デバイスの各々との間のデバイス類似度をそれぞれ算出する(ステップS4)。ステップS4によって、算出された複数のデバイス類似度の最大値、および、デバイス類似度が最大値を示す既知デバイスが特定される。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、算出されたデバイス類似度の最大値が、所定の閾値以上であるか否かを判定する(ステップS5)。閾値以上である場合(ステップS5/Yes)、デバイス識別装置100は、デバイス類似度算出部3によって、不明デバイスを、デバイス類似度が最大値を示す既知デバイスと識別する(ステップS6)。一方、閾値以上でない場合(ステップS5/No)、デバイス識別装置100は、デバイス類似度算出部3によって、不明デバイスを、ネットワークに接続された新規デバイスと判定する(ステップS7)。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、デバイス類似度が最大値を示す既知デバイス、または、新規デバイスと判定された識別対象デバイス(元不明デバイス)の識別結果をデバイスDB5に登録して、デバイスDB5を更新する(ステップS8)。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、識別対象デバイスの変化パターンを変化パターンDB4に登録して、変化パターンDB4を更新する(ステップS9)。更新後、デバイス識別処理が終了する。
次に、デバイス識別装置100は、デバイス類似度算出部3によって、識別対象デバイスの変化パターンを変化パターンDB4に登録して、変化パターンDB4を更新する(ステップS9)。更新後、デバイス識別処理が終了する。
本実施形態によれば、各デバイスに固有に現れるデバイス特徴量の変化パターンを用いてデバイスを識別する。つまり、デバイス特徴量そのものを用いてデバイスを識別するわけではないので、各デバイスのデバイス特徴量ごとの特性がどのようなものであってもデバイス識別処理を実行することができる。また、デバイス特徴量の種類は多種多数存在するが、本実施形態では、デバイス特徴量の変化パターンに注目するので、デバイス特徴量の種類がどのようなものであってもデバイス識別処理を実行することができる。
したがって、ネットワークに接続されているあらゆるデバイスを識別することができる。
したがって、ネットワークに接続されているあらゆるデバイスを識別することができる。
なお、本実施形態は、従来技術のように、IMEI対応などの専用のハードウェアを不要とし、これまでに説明したように、ソフトウェアの機能だけで実現可能である。また、デバイスに対して、従来技術のEAP-TLSプロトコルなどの特殊なプロトコルを扱えることを要求することもないため、本実施形態を適用可能なデバイスは特に制限されない。
また、デバイス特徴量ごとにパターン類似度を重み付けすることで、デバイス特徴量変化がユニークであるほどデバイス類似度の算出に大きく寄与するように調整することができる。これにより、デバイスの識別の精度を向上させることができる。
また、変化パターン生成部2が生成した変化パターンを用いて、変化パターンDB4中の、該当の既知デバイスの変化パターンを更新するため、該当の既知デバイスの変化パターンを常に最新状態にすることができる。これにより、以降の不明デバイスの識別に対して、最新状態の変化パターンを利用することができ、古い変化パターンを用いたことに起因するデバイスの識別の誤りを回避することができる。
≪その他≫
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されず、本発明の要旨を逸脱しない範囲で適宜変更可能である。
(a)例えば、不明デバイスから抽出したデバイス特徴量ごとのパターン類似度siの算出において、式1のように、時間変化の近似式を一次関数で表現する代わりに、例えば、n次関数(nは2以上の自然数)で表現してもよい。
(b)また、例えば、デバイス類似度Sの算出において、式3のように、重みが割り振られたパターン類似度の総和を求める代わりに、例えば、重みが割り振られたパターン類似度の総乗を求めてもよい。
以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されず、本発明の要旨を逸脱しない範囲で適宜変更可能である。
(a)例えば、不明デバイスから抽出したデバイス特徴量ごとのパターン類似度siの算出において、式1のように、時間変化の近似式を一次関数で表現する代わりに、例えば、n次関数(nは2以上の自然数)で表現してもよい。
(b)また、例えば、デバイス類似度Sの算出において、式3のように、重みが割り振られたパターン類似度の総和を求める代わりに、例えば、重みが割り振られたパターン類似度の総乗を求めてもよい。
また、上記各実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。
また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行するためのソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、IC(Integrated Circuit)カード、SD(Secure Digital)カード、光ディスク等の記録媒体に保持することができる。また、本明細書において、時系列的な処理を記述する処理ステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理(例えば、並列処理あるいはオブジェクトによる処理)をも含むものである。
本実施形態で説明した種々の技術を適宜組み合わせた技術を実現することもできる。
本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。
100 デバイス識別装置
1−1,1−2 デバイス特徴量抽出部
2 変化パターン生成部
3 デバイス類似度算出部
4 変化パターンDB
5 デバイスDB
10−1〜10−3 デバイス
1−1,1−2 デバイス特徴量抽出部
2 変化パターン生成部
3 デバイス類似度算出部
4 変化パターンDB
5 デバイスDB
10−1〜10−3 デバイス
Claims (4)
- ネットワークに接続されている不明デバイスを識別するデバイス識別装置であって、
前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部と、
前記抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部と、
前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスの変化パターンと照合することで、前記不明デバイスと前記既知デバイスの各々との間のデバイス類似度をそれぞれ算出し、
前記算出したデバイス類似度のうちの最大値が所定の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するデバイス類似度算出部と、を備える、
ことを特徴とするデバイス識別装置。 - 前記抽出したデバイス特徴量が複数種類存在する場合、前記デバイス類似度算出部は、
前記抽出したデバイス特徴量の種類ごとに、前記不明デバイスの変化パターンと前記既知デバイスの変化パターンとの間のパターン類似度を算出し、
前記抽出したデバイス特徴量の種類ごとに、前記抽出したデバイス特徴量の分散、および、前記算出した分散が大きいほど大きな値をとる重みを算出し、
前記抽出したデバイス特徴量の種類ごとに、前記算出したパターン類似度に対し、前記算出した重みを割り振り、
前記重みが割り振られたパターン類似度を用いて前記デバイス類似度を算出する、
ことを特徴とする請求項1に記載のデバイス識別装置。 - 前記デバイス類似度算出部は、
前記識別した不明デバイスのデバイス特徴量の変化パターンを用いて、該当の既知デバイスの変化パターンを更新する、
ことを特徴とする請求項1または請求項2に記載のデバイス識別装置。 - ネットワークに接続されている不明デバイスを識別するデバイス識別装置におけるデバイス識別方法であって、
前記デバイス識別装置は、
前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するステップと、
前記抽出したデバイス特徴量の変化パターンを生成するステップと、
前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスの変化パターンと照合することで、前記不明デバイスと前記既知デバイスの各々との間のデバイス類似度をそれぞれ算出するステップと、
前記算出したデバイス類似度のうちの最大値が所定の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するステップと、を実行する、
ことを特徴とするデバイス識別方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017184409A JP6730969B2 (ja) | 2017-09-26 | 2017-09-26 | デバイス識別装置およびデバイス識別方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017184409A JP6730969B2 (ja) | 2017-09-26 | 2017-09-26 | デバイス識別装置およびデバイス識別方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2019061399A true JP2019061399A (ja) | 2019-04-18 |
| JP6730969B2 JP6730969B2 (ja) | 2020-07-29 |
Family
ID=66177397
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017184409A Active JP6730969B2 (ja) | 2017-09-26 | 2017-09-26 | デバイス識別装置およびデバイス識別方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6730969B2 (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020217431A1 (ja) * | 2019-04-25 | 2020-10-29 | 日本電信電話株式会社 | 特定装置、特定方法及び特定プログラム |
| CN116594802A (zh) * | 2023-07-17 | 2023-08-15 | 深圳开鸿数字产业发展有限公司 | 设备故障预测方法、计算机设备和计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001356938A (ja) * | 2000-06-12 | 2001-12-26 | Hitachi Ltd | コンピュータ識別装置 |
| JP2007228554A (ja) * | 2006-01-26 | 2007-09-06 | Ricoh Co Ltd | データ通信装置、データ通信システム、及び、データ通信方法 |
| US20080244744A1 (en) * | 2007-01-29 | 2008-10-02 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
| JP2012064145A (ja) * | 2010-09-17 | 2012-03-29 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム、情報処理プログラム |
| JP2014010526A (ja) * | 2012-06-28 | 2014-01-20 | Tensor Consulting Co Ltd | デバイス識別情報処理システム、方法、およびプログラム |
| JP2014038420A (ja) * | 2012-08-13 | 2014-02-27 | Yahoo Japan Corp | 広告配信装置、広告配信方法、端末推定装置、端末推定方法およびプログラム |
-
2017
- 2017-09-26 JP JP2017184409A patent/JP6730969B2/ja active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001356938A (ja) * | 2000-06-12 | 2001-12-26 | Hitachi Ltd | コンピュータ識別装置 |
| JP2007228554A (ja) * | 2006-01-26 | 2007-09-06 | Ricoh Co Ltd | データ通信装置、データ通信システム、及び、データ通信方法 |
| US20080244744A1 (en) * | 2007-01-29 | 2008-10-02 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
| JP2012064145A (ja) * | 2010-09-17 | 2012-03-29 | Fuji Xerox Co Ltd | 情報処理装置、情報処理システム、情報処理プログラム |
| JP2014010526A (ja) * | 2012-06-28 | 2014-01-20 | Tensor Consulting Co Ltd | デバイス識別情報処理システム、方法、およびプログラム |
| JP2014038420A (ja) * | 2012-08-13 | 2014-02-27 | Yahoo Japan Corp | 広告配信装置、広告配信方法、端末推定装置、端末推定方法およびプログラム |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020217431A1 (ja) * | 2019-04-25 | 2020-10-29 | 日本電信電話株式会社 | 特定装置、特定方法及び特定プログラム |
| JPWO2020217431A1 (ja) * | 2019-04-25 | 2021-12-16 | 日本電信電話株式会社 | 特定装置、特定方法及び特定プログラム |
| JP7231016B2 (ja) | 2019-04-25 | 2023-03-01 | 日本電信電話株式会社 | 特定装置、特定方法及び特定プログラム |
| CN116594802A (zh) * | 2023-07-17 | 2023-08-15 | 深圳开鸿数字产业发展有限公司 | 设备故障预测方法、计算机设备和计算机可读存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6730969B2 (ja) | 2020-07-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316851B2 (en) | Security for network environment using trust scoring based on power consumption of devices within network | |
| Perdisci et al. | Iotfinder: Efficient large-scale identification of iot devices via passive dns traffic analysis | |
| EP3841730B1 (en) | Identifying device types based on behavior attributes | |
| Noguchi et al. | Device identification based on communication analysis for the internet of things | |
| JP6435398B2 (ja) | 端末識別子を促進する方法及びシステム | |
| EP3264312A1 (en) | Model-based computer attack analytics orchestration | |
| CN108270772B (zh) | 监视多个联网设备的监视装置、设备监视系统和方法 | |
| CN111478986B (zh) | 设备指纹的生成方法、装置、设备及存储介质 | |
| US20150370235A1 (en) | Analyzing scada systems | |
| US11403496B2 (en) | Detecting anomalous events in a discriminator of an embedded device | |
| EP3264310A1 (en) | Computer attack model management | |
| JP2018133004A (ja) | 異常検知システム及び異常検知方法 | |
| JP6930663B2 (ja) | デバイス識別装置およびデバイス識別方法 | |
| JP6730969B2 (ja) | デバイス識別装置およびデバイス識別方法 | |
| Oser et al. | Identifying devices of the internet of things using machine learning on clock characteristics | |
| Kiravuo et al. | Peeking under the skirts of a nation: finding ics vulnerabilities in the critical digital infrastructure | |
| JP2020102671A (ja) | 検知装置、検知方法、および、検知プログラム | |
| US20170265053A1 (en) | Method and Apparatus for Discovering Network Devices | |
| US20230106935A1 (en) | Network probe placement optimization | |
| Kim et al. | A novel approach to detection of mobile rogue access points | |
| Li et al. | Mining repeating pattern in packet arrivals: Metrics, models, and applications | |
| JP2017162046A (ja) | センサーデータ処理装置、センサーデータ処理システム、センサーデータ処理方法、及び、センサーデータ処理プログラム | |
| US9426168B1 (en) | Fast-flux detection utilizing domain name system information | |
| US11218487B1 (en) | Predictive entity resolution | |
| WO2020049857A1 (ja) | 情報提供装置、中央監視装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190826 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20200624 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200630 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200703 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6730969 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |