JP2019153875A - 不正通信検知装置および不正通信検知プログラム - Google Patents
不正通信検知装置および不正通信検知プログラム Download PDFInfo
- Publication number
- JP2019153875A JP2019153875A JP2018036561A JP2018036561A JP2019153875A JP 2019153875 A JP2019153875 A JP 2019153875A JP 2018036561 A JP2018036561 A JP 2018036561A JP 2018036561 A JP2018036561 A JP 2018036561A JP 2019153875 A JP2019153875 A JP 2019153875A
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized communication
- determination
- unauthorized
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Evolutionary Computation (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
図1は、IoTシステムのシステム構成例を示す説明図である。IoTシステム100は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。また、端末104は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。
図2は、IoTゲートウェイ120のハードウェア構成例を示すブロック図である。IoTゲートウェイ120は、プロセッサ201と、記憶デバイス202と、電源入力口203と、電源ブロック204と、バッテリ205と、長距離無線モジュール206と、Subscriber Identity Module(SIM)カードスロット207と、長距離無線Interface(IF)208と、短距離無線モジュール209と、短距離無線IF210と、有線IF211と、を有する。
図3は、IoTゲートウェイ120による学習および運用処理手順例を示すフローチャートである。IoTゲートウェイ120は、不正通信の検知遮断を行うソフトウェアを導入する際には、ネットワーク特徴量ごとの重みと検知、遮断のしきい値をそれぞれ設定したファイルを作成する(ステップS301)。
図4は、IoTゲートウェイ120の機能的構成例を示すブロック図である。IoTゲートウェイ120は、第1IF401と、第2IF402と、受信部403と、第1生成部405と、第2生成部406と、判定部407と、通知部408と、送信制御部409と、送信部404と、設定ファイル410と、通信中情報テーブル411と、学習モデルDB412と、を有する。
図5は、ネットワーク特徴量を示す説明図である。ネットワーク特徴量Fnは、第1生成部405が、受信部403で複製されたパケットから、当該パケットから抽出した特徴量である。本例では、たとえば、図5に示した11個のネットワーク特徴量Fnが抽出される。
図6は、第1設定ファイルの一例を示す説明図である。第1設定ファイル600は、ネットワーク特徴量Fnごとに重みwnを有する。重みwnは、ユーザが任意に設定可能である。したがって、新規のIoTデバイス121が追加されたり、通信量が変化したりするようなIoTシステム100の場合、送信元IPアドレスの変化を許容するなど、ネットワーク特徴量Fnごとに細かな設定が可能となる。第1設定ファイル600は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
図8は、通信中情報テーブル411のデータ構造例を示す説明図である。通信中情報テーブル411は通信中情報を格納するテーブルである。通信中情報テーブル411は、具体的には、たとえば、フラッシュメモリ222に格納される。通信中情報テーブル411は、学習および運用を問わず、通信セッションごとに第1生成部405によって生成される。
図9は、学習モデルDB412のデータ構造例を示す説明図であり、図10は、学習モデルLnの一例を示す説明図である。学習モデルDB412は、ネットワーク特徴量F1〜F11に対応する学習モデルL1〜L11−2をリスト化したデータベースである。学習モデルDB412は、学習期間中に生成された通信中情報Cn、すなわち、学習期間中の全通信セッションにより第2生成部406によって生成される。学習モデルDB412は、具体的には、たとえば、フラッシュメモリ222に格納される。
図11は、判定部407における学習モデルLnと運用パケットから生成された第1通信中情報Cnとの比較条件の一例を示す説明図である。判定部407は、第1通信中情報C1〜C7、C9の各々について、対応する学習モデルL1〜L7、L9内に一致する値があるか否かを判定する。具体的には、たとえば、学習モデルL1(宛先IPアドレス)の値が「10.10.10.1」および「10.10.10.2」であり、第1通信中情報C1(宛先IPアドレス)の値が「10.10.10.1」である場合、判定部407は、一致する値「10.10.10.1」が学習モデルL1に存在すると判定する。
図12は、IoTゲートウェイ120の学習時におけるパケット処理シーケンス例を示すシーケンス図である。なお、第1生成部405には、あらかじめ学習期間が設定されているものとする。学習期間中において、受信部403は、第1IF401からパケットを受信すると、送信制御部409を経由して、受信したパケットを送信部404に転送する(ステップS1201)。これにより、送信部404は、第2IF402を介してパケットを宛先に送信することができる。また、受信部403は、受信したパケットを複製して、複製パケットを第1生成部405に転送する(ステップS1202)。
図14は、図13に示した通信判定処理(ステップS1302)の詳細な処理手順例を示すフローチャートである。IoTゲートウェイ120は、学習モデルLnを取得した後(ステップS1322)、判定部407により、図13に示した不正通信判定処理(ステップS1323)として、ステップS1401〜S1406を実行する。
121 IoTデバイス
403 受信部
404 送信部
405 第1生成部
406 第2生成部
407 判定部
408 通知部
409 送信制御部
410 設定ファイル
411 通信中情報テーブル
412 学習モデルDB
600 第1設定ファイル
700 第2設定ファイル
Cn 通信中情報
Fn ネットワーク特徴量
Fs 遮断特徴量
Ln 学習モデル
S(n) スコア
α 検知しきい値
β 遮断しきい値
Claims (14)
- 運用データを送信元から受信する受信部と、
前記受信部によって受信された運用データを宛先に送信する送信部と、
学習データ群の特徴量に関する学習モデルに基づき前記運用データが不正通信であるか否かを判定するスコアを算出する判定式で、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定部と、
前記判定部による判定結果に基づいて、前記送信部による前記運用データの送信を制御する送信制御部と、
を有することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記送信制御部は、前記判定結果が不正通信である場合、当該不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定部は、前記スコアが不正通信の基準となる第1しきい値よりも低い場合、前記運用データを不正通信のデータと判定し、
前記送信制御部は、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定結果が不正通信である場合、当該判定結果を通知する通知部を有することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定部は、前記不正通信のデータと判定された運用データの特徴量を前記送信制御部に出力し、
前記送信制御部は、前記不正通信のデータと判定された運用データの特徴量に基づいて、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記判定結果を通知する通知部を有し、
前記送信制御部は、前記判定結果が不正通信の可能性がある場合、当該不正通信の可能性があると判定された運用データを前記送信部に出力し、
前記通知部は、前記判定結果が不正通信の可能性がある場合、当該判定結果を通知することを特徴とする不正通信検知装置。 - 請求項6に記載の不正通信検知装置であって、
前記判定部は、前記スコアが、不正通信の基準となる第1しきい値以上で、かつ、前記第1しきい値よりも高い不正通信の可能性の基準となる第2しきい値よりも低い場合、前記運用データを不正通信の可能性があると判定することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記送信制御部は、前記判定結果が不正通信でない場合、当該不正通信でないと判定された運用データを前記送信部に出力することを特徴とする不正通信検知装置。 - 請求項8に記載の不正通信検知装置であって、
前記判定部は、前記スコアが不正通信の可能性の基準となる第2しきい値以上である場合、前記運用データを不正通信でないと判定することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記判定部は、前記運用データが受信される都度、前記判定式で前記運用データのスコアを算出することを特徴とする不正通信検知装置。 - 請求項10に記載の不正通信検知装置であって、
前記運用データの通信中の累積した特徴量に関する第1通信中情報を生成する第1生成部を有し、
前記第1生成部は、先着の運用データが受信されてから最新の運用データが受信されるまでの運用データ群について、前記運用データが受信される都度、前記第1通信中情報を更新し、
前記判定部は、前記第1生成部によって更新された最新の第1通信中情報に基づいて、前記判定式により前記最新の運用データのスコアを算出することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記学習モデルを生成する第2生成部を有し、
前記判定部は、前記第2生成部によって生成された学習モデルに基づく前記判定式で、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定することを特徴とする不正通信検知装置。 - 請求項12に記載の不正通信検知装置であって、
前記学習データ群の通信中の累積した特徴量に関する第2通信中情報を生成する第1生成部を有し、
前記第1生成部は、先着の学習データが受信されてから最新の学習データが受信されるまでの学習データ群について、前記学習データが受信される都度、前記第2通信中情報を更新し、
前記第2生成部は、前記学習データ群の通信が終了した場合、前記第1生成部によって更新された最新の第2通信中情報に基づいて、前記学習モデルを確定することを特徴とする不正通信検知装置。 - プロセッサに、
運用データを送信元から受信する受信処理と、
前記受信処理によって受信された運用データを宛先に送信する送信処理と、
学習データ群の特徴量に関する学習モデルに基づき前記運用データが不正通信であるか否かを判定するスコアを算出する判定式で、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定処理と、
前記判定処理による判定結果に基づいて、前記送信処理による前記運用データの送信を制御する送信制御処理と、
を実行させることを特徴とする不正通信検知プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018036561A JP7033467B2 (ja) | 2018-03-01 | 2018-03-01 | 不正通信検知装置および不正通信検知プログラム |
US16/288,766 US20190273749A1 (en) | 2018-03-01 | 2019-02-28 | Unauthorized Communication Detection Apparatus and Recording Medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2018036561A JP7033467B2 (ja) | 2018-03-01 | 2018-03-01 | 不正通信検知装置および不正通信検知プログラム |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2019153875A true JP2019153875A (ja) | 2019-09-12 |
JP2019153875A5 JP2019153875A5 (ja) | 2020-08-20 |
JP7033467B2 JP7033467B2 (ja) | 2022-03-10 |
Family
ID=67768830
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2018036561A Active JP7033467B2 (ja) | 2018-03-01 | 2018-03-01 | 不正通信検知装置および不正通信検知プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US20190273749A1 (ja) |
JP (1) | JP7033467B2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020123871A (ja) * | 2019-01-31 | 2020-08-13 | 富士通株式会社 | 検査方法および検査システム |
WO2022049894A1 (ja) * | 2020-09-01 | 2022-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 制御モード切替装置、および、制御モード切替方法 |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11641489B2 (en) | 2014-02-05 | 2023-05-02 | Enseo, Llc | Geolocationing system and method for use of same |
US11700399B2 (en) | 2014-02-05 | 2023-07-11 | Enseo, Llc | Geolocationing system and method for use of same |
US11641490B2 (en) | 2014-02-05 | 2023-05-02 | Enseo, Llc | Geolocationing system and method for use of same |
US11700401B2 (en) | 2014-02-05 | 2023-07-11 | Enseo, Llc | Geolocationing system and method for use of same |
US11683534B2 (en) | 2014-02-05 | 2023-06-20 | Enseo, Llc | Geolocationing system and method for use of same |
US11700400B2 (en) | 2014-02-05 | 2023-07-11 | Enseo, Llc | Geolocationing system and method for use of same |
US11553214B2 (en) * | 2014-02-05 | 2023-01-10 | Enseo, Llc | Thermostat and system and method for use of same |
US10992498B2 (en) * | 2018-12-31 | 2021-04-27 | Enseo, Llc | Gateway device and system and method for use of same |
US11521483B2 (en) * | 2018-12-31 | 2022-12-06 | Enseo, Llc | Thermostat and system and method for use of same |
US11507116B2 (en) * | 2018-12-31 | 2022-11-22 | Enseo, Llc | Thermostat and system and method for use of same |
JP7109391B2 (ja) * | 2019-02-26 | 2022-07-29 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
CN111565063B (zh) * | 2020-04-29 | 2021-06-15 | 广州技象科技有限公司 | 一种窄带物联网系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
WO2015107861A1 (ja) * | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
-
2018
- 2018-03-01 JP JP2018036561A patent/JP7033467B2/ja active Active
-
2019
- 2019-02-28 US US16/288,766 patent/US20190273749A1/en not_active Abandoned
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096735A (ja) * | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
WO2015107861A1 (ja) * | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2020123871A (ja) * | 2019-01-31 | 2020-08-13 | 富士通株式会社 | 検査方法および検査システム |
JP7147601B2 (ja) | 2019-01-31 | 2022-10-05 | 富士通株式会社 | 検査方法および検査システム |
WO2022049894A1 (ja) * | 2020-09-01 | 2022-03-10 | パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ | 制御モード切替装置、および、制御モード切替方法 |
Also Published As
Publication number | Publication date |
---|---|
JP7033467B2 (ja) | 2022-03-10 |
US20190273749A1 (en) | 2019-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7033467B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
JP7109391B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
CN109889547B (zh) | 一种异常网络设备的检测方法及装置 | |
KR101414959B1 (ko) | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 | |
CN109194680B (zh) | 一种网络攻击识别方法、装置及设备 | |
CN110839017B (zh) | 代理ip地址识别方法、装置、电子设备及存储介质 | |
CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
CN107241304B (zh) | 一种DDoS攻击的检测方法及装置 | |
US20120173712A1 (en) | Method and device for identifying p2p application connections | |
US10264004B2 (en) | System and method for connection fingerprint generation and stepping-stone traceback based on netflow | |
CN110535861B (zh) | 一种识别syn攻击行为中统计syn包数量的方法及装置 | |
CN106656966B (zh) | 一种拦截业务处理请求的方法和装置 | |
EP1631037A1 (en) | Apparatus and method for mitigating DoS attacks in a service discovery system | |
KR20180062318A (ko) | SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법 | |
CN110740144A (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
CN107070851B (zh) | 基于网络流的连接指纹生成和垫脚石追溯的系统和方法 | |
CN111314348B (zh) | 信任度模型建立、信任评价、设备认证的方法及装置 | |
CN111953810B (zh) | 识别代理互联网协议地址的方法、装置及存储介质 | |
US11895146B2 (en) | Infection-spreading attack detection system and method, and program | |
CN110445808A (zh) | 异常流量攻击防护方法、装置、电子设备 | |
JP6870386B2 (ja) | マルウェア不正通信対処システム及び方法 | |
US20150047027A1 (en) | Apparatus and method for transmitting and receiving messages | |
CN106817364B (zh) | 一种暴力破解的检测方法及装置 | |
CN111031004B (zh) | 业务流量处理的方法、业务流量学习的方法、装置及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200708 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200708 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210518 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210803 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210927 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220222 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220228 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7033467 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |