JP2019215794A - 検出方法及び検出装置 - Google Patents

検出方法及び検出装置 Download PDF

Info

Publication number
JP2019215794A
JP2019215794A JP2018113649A JP2018113649A JP2019215794A JP 2019215794 A JP2019215794 A JP 2019215794A JP 2018113649 A JP2018113649 A JP 2018113649A JP 2018113649 A JP2018113649 A JP 2018113649A JP 2019215794 A JP2019215794 A JP 2019215794A
Authority
JP
Japan
Prior art keywords
target device
side channel
channel information
feature amount
duration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2018113649A
Other languages
English (en)
Other versions
JP7136439B2 (ja
Inventor
望 戸川
Nozomi Togawa
望 戸川
健人 長谷川
Kento Hasegawa
健人 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Waseda University
Original Assignee
Waseda University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Waseda University filed Critical Waseda University
Priority to JP2018113649A priority Critical patent/JP7136439B2/ja
Publication of JP2019215794A publication Critical patent/JP2019215794A/ja
Application granted granted Critical
Publication of JP7136439B2 publication Critical patent/JP7136439B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

【課題】プログラムを書き換え可能な対象デバイスに挿入された悪意のある機能の発現を検出する方法及び装置を提供する。【解決手段】検出装置の計測器は、対象デバイスの動作中に対象デバイスの消費電力の波形データを取得する(S1)。検出装置のプロセッサは、計測器より取得された消費電力のデータを平滑化し(S2)、平滑化後の消費電力のデータをクラスタリングにより分類することによって通常モードとスリープモードとを識別し(S3)、通常モードと識別された期間ごとに、当該通常モードの継続時間と、当該継続時間での消費エネルギーとを特徴量として抽出し(S4)、抽出された特徴量から外れ値を求めることで、対象デバイスに挿入された悪意のある機能の発現を検出する(S5)。【選択図】図4

Description

本発明は、対象デバイスに挿入された機能の発現を検出する方法及び装置に関する。
近年、プログラムを書き換え可能なプラットフォームが、IoT(Internet of Thing)デバイス等の様々な電子機器に広く用いられている。IoTデバイスは、インターネットを介してファームウェアをダウンロードしてアップデートすることができる一方で、情報の漏洩やハードウェアの安全性に関して深刻な懸念が生じている。例えば、インターネットを介してIoTデバイスのファームウェアをアップデートする場合、攻撃者により悪意でファームウェアが改ざんされ、デバイスの機能が容易に変更されてしまうおそれがある。このような事態に対処するため、例えば、非特許文献1には、組み込みシステムにおいて異常なコード実行を検出する技術が開示されている。
Yannan Liu, Lingxiao Wei, Zhe Zhou, Kehuan Zhang, Wenyuan Xu, and Qiang Xu, "On Code Execution Tracking via Power Side-Channel," in Proc. ACM SIGSAC Conference on Computer and Communications Security, pp. 1019-1031, 2016.
このように、プログラムを書き換え可能なプラットフォームを有するデバイスにおいて、攻撃者により悪意でデバイスに挿入された機能(悪意のある機能)の発現を検出する技術が望まれている。
本発明は、プログラムを書き換え可能な対象デバイスに挿入された悪意のある機能の発現を検出する方法及び装置を提供することを目的とする。
本発明に係る検出方法は、プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する方法であって、前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得し、前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出する。
本発明に係る検出装置は、プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する装置であって、前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得する計測器と、前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出するプロセッサと、を備える。
本発明によれば、対象デバイスの動作中に取得されるサイドチャネル情報に基づいて、当該対象デバイスに挿入された悪意のある機能の発現を検出することができる。
本発明の実施形態に係る検出システムの構成を模式的に示すブロック図である。 対象デバイスの動作モードを説明する模式図である。 対象デバイスに悪意のある機能が挿入された場合の動作モードを説明する模式図である。 対象デバイスから悪意のある機能の発現を検出する方法の流れを示す模式図である。 対象デバイスから悪意のある機能の発現を検出する実験の条件を説明する模式図である。 対象デバイスの動作中の消費電力の波形を示すグラフである。 図6の消費電力のデータを平滑化することにより得られる波形を示すグラフである。 平滑化後の消費電力のデータから、K平均法によるクラスタリングを用いて通常モードとスリープモードとを識別した結果を表すグラフである。 図8の識別結果に基づいて通常モードの期間ごとに得られた、継続時間、消費エネルギー、及び局所外れ値因子の値を示す表である。 図9Aの実験結果を表すグラフである。 ウォード法によるクラスタリングを用いた場合の通常モードとスリープモードとの識別結果を表すグラフである。 対象デバイスに流れる電流に基づいて通常モードとスリープモードとを識別した結果を表すグラフである。 図11に示す識別結果に基づいて通常モードの期間ごとに得られた、継続時間、累積電流値、及び局所外れ値因子の値を示す表である。 図12Aの実験結果を表すグラフである。 対象デバイスの動作中の抵抗に基づいて通常モードとスリープモードとを識別した結果を表すグラフである。 図13に示す実験結果に基づいて通常モードの期間ごとに得られた、継続時間、累積抵抗値、及び局所外れ値因子の値を示す表である。 図14Aの実験結果を表すグラフである。
以下、図面を参照して本発明の実施形態を説明する。
図1は、本発明の実施形態に係る検出システム1の構成を模式的に示すブロック図である。検出システム1は、対象デバイス10と、電源20と、検出装置30と、を備える。検出システム1は、攻撃者により悪意で対象デバイス10に挿入された機能(悪意のある機能:malfunctions)を検出装置30により検出するシステムである。
対象デバイス10は、IoT(Internet of Thing)デバイス等の電子機器であり、インターネット等のネットワーク及び/又はユニバーサル・シリアル・バス(USB)等のインターフェースを介してプログラムを書き換え可能なマイクロコントローラを有する。例えば、対象デバイス10は、ネットワークを介して自己のファームウェアをダウンロードしてアップデートすることができる。対象デバイス10は、使用時に電源20に接続され、電源20からの電源供給を受けて動作する。
対象デバイス10の動作モードは、通常モード(active mode)とスリープモード(sleep mode)とを含む。通常モードは、対象デバイス10の通常の処理(主要な機能)を実行するモードである。対象デバイス10のマイクロコントローラはセンサに接続されており、通常モードにおいてマイクロコントローラは、当該センサから取得された信号をホストコンピュータにネットワークを介して出力する。スリープモードは、対象デバイス10の必要最小限の機能のみを有効にして消費電力を抑えるモードである。スリープモードでは、対象デバイス10の主要な機能は停止している。対象デバイス10の消費電力は時間の経過とともに変化しているが、図2に示すように、通常モードでの消費電力とスリープモードでの消費電力は大きく異なっているため、消費電力によって通常モードとスリープモードとを明確に識別することができる。
対象デバイス10に挿入され得る悪意のある機能には、対象デバイス10の動作中は常時アクティブであるタイプと、対象デバイス10が攻撃者により設定された特定のトリガー条件を満たした時(例えば、タイマーで所定時間経過した時)のみアクティブになるタイプがある。後者のタイプは、悪意のある機能がアクティブにならないとユーザはその存在に気付くことができないため、前者のタイプより厄介である。本実施形態では、後者のタイプの悪意のある機能が対象デバイス10に挿入されたものとし、図3に示すように、対象デバイス10が通常モードで動作中に特定のトリガー条件を満たした時のみ、挿入された悪意のある機能がアクティブになるものとする。
図1に戻り、電源20は、対象デバイス10が接続されたとき、電源線201及びグラウンド線202を介して、それぞれ、電源電位及びグラウンド電位を対象デバイス10に供給する。
検出装置30は、計測器31とコンピュータ32とを備える。計測器31は、対象デバイス10の動作中に対象デバイス10から物理的に外部に漏れる情報(サイドチャネル情報)を取得する装置である。サイドチャネル情報として、消費電力(=電圧×電流)、電磁波、処理時間等が挙げられるが、本実施形態では、計測器31により電圧と電流を計測して消費電力を取得するものとする。
計測器31は、例えば、オシロスコープからなり、プローブ312及びプローブ314によって計測された対象デバイス10の電流及び電圧をそれぞれ取得する。具体的に、プローブ312は、ケーブル311を介して計測器31に接続され、電源線201を流れる電流を計測し、ケーブル311を介して計測結果のデータを計測器31に出力する。プローブ314は、ケーブル313を介して計測器31に接続され、電源線201とグラウンド線202との電位差(電圧)を計測し、ケーブル313を介して計測結果のデータを計測器31に出力する。
計測器31は、CPU(Central Processing Unit)等のプロセッサと、メモリと、LCD(Liquid Crystal Display)等の表示部と、を備える。計測器31のプロセッサは、プローブ312及びプローブ314からそれぞれ出力された電流及び電圧のデータをサンプリングして消費電力を算出し、時間の経過に伴う消費電力のデータを表示部に表示させるとともに、メモリに格納させる。また、計測器31はコンピュータ32に接続されており、算出された消費電力のデータをコンピュータ32に出力する。
コンピュータ32は、CPU等のプロセッサ321と、メモリ322と、LCD等の表示部323と、を備える。プロセッサ321は、メモリ322に格納されたプログラムにしたがって計測器31から出力されたデータを解析し、対象デバイス10に挿入された悪意のある機能の発現を検出する処理を実行する。また、プロセッサ321は、処理結果のデータをメモリ322に格納させるとともに、表示部323に表示させる。コンピュータ32により実行される処理については後述する。
なお、表示部を有さない計測器31を採用し、計測器31から得られた計測結果をコンピュータ32の表示部323に表示するようにしてもよい。また、図1では、電源20が対象デバイス10のみに接続されている例を示しているが、計測器31及び/又はコンピュータ32を電源20と同一の電源系統に接続するようにしてもよい。
次に、図4を参照して、検出装置30によって実行される、対象デバイス10に挿入された悪意のある機能の発現を検出する方法の流れについて説明する。
まず、対象デバイス10の動作中、プローブ312及びプローブ314を用いて対象デバイス10の電流及び電圧がそれぞれ計測され、計測器31のプロセッサは、時間の経過に伴う消費電力(=電圧×電流)を算出する。これにより消費電力のデータが取得される(ステップS1)。取得された消費電力のデータは、コンピュータ32に出力される。
実際に取得される消費電力のデータはノイズを含んでいるため、コンピュータ32のプロセッサ321は、消費電力のデータを解析する前に消費電力の移動平均をとることにより、当該消費電力のデータを平滑化する(ステップS2)。具体的には、時刻nにおける消費電力をx[n]とすると、N個の移動平均をとったy[n]は式(1)のように表される。
Figure 2019215794
次に、プロセッサ321は、平滑化後の消費電力のデータをクラスタリングにより2つのクラスに分類し、通常モードとスリープモードとを識別する(ステップS3)。ステップS3のクラスタリングのアルゴリズムとしてK平均法(K-means clustering)を用いることができる。K平均法は、与えられたデータをその平均値を用いてk個のクラスターに分類するものであり、式(2)のように定式化されている。
Figure 2019215794
 ここで、S={s1, s2, …,sn}はクラスターのセットであり、μiはクラスターsiにおける平均値である。本実施形態では2つの動作モード(通常モードとスリープモード)を識別するため、ステップS3では2個(k=2)のクラスターに分類する。なお、本実施形態では、2つの動作モード(通常モードとスリープモード)の消費電力の違いに着目し、消費電力のデータを2個のクラスターに分類しているが、クラスターの数と、識別される動作モードの数とを必ずしも一致させる必要はない。例えば、3個以上のクラスター(k≧3)に基づいて2つの動作モードを識別するようにしてもよい。
なお、ステップS3のクラスタリングのアルゴリズムとして、あらかじめ閾値を定め、その閾値を超えるか否かによって通常モードとスリープモードとを識別する方法も考えられるが、閾値をデバイスの種類に応じて調整する必要がある。一方、K平均法を用いると、閾値を自動的に決定するため、デバイスの種類によらずにクラスタリングを行うことができる。
ステップS3の後、プロセッサ321は、識別された通常モードとスリープモードのうち通常モードに着目し、通常モードの期間の各々について特徴量を抽出する(ステップS4)。ここで、悪意のある機能には、対象デバイス10の通常動作にいくつかの機能を付加するタイプ(機能付加型:adding-function type)と、対象デバイス10の通常動作においていくつかの機能を無効にするタイプ(機能無効型:disabling-function type)がある。前者の一例としては内部情報の漏洩があり、後者の一例としてはサービス妨害がある。機能付加型の悪意のある機能が挿入された対象デバイス10では、その悪意のある機能がない場合に比べて、通常モードにおける消費電力が大きく、且つ継続時間が長い。一方、機能無効型の悪意のある機能が挿入された対象デバイス10では、その悪意のある機能がない場合に比べて、通常モードにおける消費電力が小さく、且つ継続時間が短い。これらを考慮し、ステップS4においてプロセッサ321は、通常モードと識別された期間ごとに、通常モードの継続時間と、当該継続時間における消費エネルギー(すなわち、消費電力を継続時間で積分した値)と、を特徴量として算出する。
特徴量を算出した後、プロセッサ321は、通常モードの期間ごとに、ステップS4で抽出された特徴量から外れ値を求めることで、対象デバイス10に挿入された悪意のある機能の発現を検出する(ステップS5)。ここで、アプリケーションによっては、通常モードの動作においても、継続時間と消費エネルギーがばらつく可能性がある。そこで、本実施形態では、局所外れ値因子(local outlier factor:LOF)法を用い、周辺に比べて密度が極端に異なるデータを外れ値とする。プロセッサ321は、通常モードの期間ごとに、特徴量(継続時間及びその継続時間における消費エネルギー)からLOFを求め、通常モードと識別された全期間のうちLOFの値が極端に異なる期間に、悪意のある機能が発現したと判断する。
<実施例>
次に、対象デバイス10から悪意のある機能の発現を検出する実施例について、図5〜図14Bを参照して説明する。
まず、本実施例の実験条件について説明する。
図5に示すように、対象デバイス10は、悪意のある機能が発現していないときに以下のi)〜iv)の通常動作を行うものとする:i)入力データに対してA/D変換を行う; ii)A/D変換後のデータに対してAES(Advanced Encryption Standard)を用いた暗号化を行う; iii)シリアルインターフェースを介して暗号化されたデータを外部に出力する; iv)次のA/D変換が始まるまでスリープモードで動作する。i)〜iii)の動作は通常モードであり、iv)はスリープモードである。i)のA/D変換開始から次のA/D変換開始までの期間は32msである。すなわち、対象デバイス10は、A/D変換の結果を32msごとに暗号化して出力する。対象デバイス10は、i)〜iv)の通常動作を1サイクルとして何サイクルも繰り返すが、本実施例では、5サイクルに1回の割合でAES暗号化を無効にする悪意のある機能が発現するものとする。悪意のある機能が発現した場合、A/D変換の結果が暗号化されずに外部に出力される。
また、電源20から対象デバイス10に供給される電圧(Vcc)を5.0V、最大電流を0.4Aに設定する。
このような条件下で得られた本実施例の実験結果を図6〜図9Bに示す。
図6は、計測器31を用いて計測された1秒間の消費電力の波形(Raw data)を示す。図6において横軸は時間[s]を表し、縦軸は消費電力[W]を表す。図6に示すように、スリープモードの消費電力は0.2〜0.22(W)の間で変動し、通常モードの消費電力は0.26〜0.28(W)の間で変動する。
図7に、図6に示された消費電力のデータを平滑化することにより得られた波形を示す。ここで、消費電力の移動平均を算出する際、式(1)においてN=5とした。図7に示すように、スリープモードの消費電力は0.2〜0.21(W)の間で変動し、通常モードの消費電力は0.26付近で変動する。このように、消費電力のデータを平滑化することにより、通常モードもスリープモードも変動が小さくなっている。
図8に、平滑化後の消費電力のデータから、K平均法を用いて通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図9Aは、識別された通常モードとスリープモードのうち、通常モードの期間ごとに抽出された特徴量(継続時間[s]及び消費エネルギー[mW・s])とLOFの値を示す表である。図9Bは、図9Aに示す実験結果を表すグラフである。図9Bにおいて、横軸は継続時間[s]を表し、縦軸は消費エネルギー[mW・s]を表し、背景の陰影の濃さはLOFの値に対応している。陰影が濃いほどLOFの値は低く、陰影が薄いほどLOFの値は高い。図9Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が−19よりも低く、外れ値として特定される。すなわち、図9Aの表において、LOFの値が−19よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。
なお、上述の実施例では、簡単のため、約1秒間で得られた消費電力のデータから悪意のある機能の発現を検出する場合を示したが、言うまでもなく、実際の検出装置30では、1週間や1か月間等の長期にわたって悪意のある機能の発現を検出する処理を行ってもよい。
本実施形態によれば、対象デバイス10の通常モードとスリープモードとの消費電力の違いに着目し、通常モードにおける継続時間と消費エネルギーに基づいて悪意のある機能の発現を検出するようにした。これにより、特定のプラットフォームに依存せずに、プログラムを書き換え可能なデバイスに挿入された悪意のある機能の発現を検出することができる。
本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で種々の変更が可能である。
例えば、上述の実施例では、K平均法を用いて通常モードとスリープモードとを識別したが(図8参照)、クラスタリングのアルゴリズムはK平均法に限定されない。例えば、階層的クラスタリングの一つであるウォード法(Ward’s method)を用いてもよい。図10は、図5に示す実験条件の下で、平滑化後の消費電力のデータからウォード法を用いて通常モード(実線)とスリープモード(破線)とを識別した結果を示している。図10に示すように、ウォード法を用いた場合においても、通常モードとスリープモードを明確に識別することができる。
他のクラスタリングとして、スペクトラルクラスタリング(spectral clustering)や、K平均法を派生させたアルゴリズムであるK-means++を適用することも可能である。
さらに、特徴量から外れ値を求めるアルゴリズムはLOF法に限定されない。例えば、DBSCAN(Density-based spatial clustering of applications with noise)を適用することも可能である。
また、上述の方法では、対象デバイス10のサイドチャネル情報として消費電力を解析することによって、対象デバイス10に挿入された悪意のある機能の発現を検出したが、他のサイドチャネル情報を解析するようにしてもよい。
図11、図12A及び図12Bは、図5に示す実験条件の下で、対象デバイス10に流れる電流を解析した結果を示す。具体的に、図11は、平滑化後の電流のデータからクラスタリングによって通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図12Aは、図11に示す識別結果に基づいて通常モードの期間ごとに抽出された特徴量(継続時間とその継続時間での累積電流値)と、特徴量から求められたLOFの値を示す表である。累積電流値は、電流値を継続時間で積分した値である。図12Bは、図12Aの実験結果を表すグラフである。図12Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が−17よりも低く、外れ値として特定される。すなわち、図12Aの表において、LOFの値が−17よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。
図13、図14A及び図14Bは、図5に示す実験条件の下で、対象デバイス10の動作中の抵抗(=電圧÷電流)を解析した結果を示す。具体的に、図13は、平滑化後の抵抗のデータからクラスタリングによって通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図14Aは、図13に示す識別結果に基づいて通常モードの期間ごとに抽出された特徴量(継続時間とその継続時間での累積抵抗値)と、特徴量から求められたLOFの値を示す表である。累積抵抗値は、抵抗値を継続時間で積分した値である。図14Bは、図14Aの実験結果を表すグラフである。図14Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が−28よりも低く、外れ値として特定される。すなわち、図14Aの表において、LOFの値が−28よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。
このように、電流、電圧、及び時間を任意に組み合わせた特徴量を用いて、対象デバイス10に挿入された悪意のある機能の発現を検出することができる。
1 検出システム
10 対象デバイス
20 電源
30 検出装置
31 計測器
32 コンピュータ
321 プロセッサ
322 メモリ
323 表示部
201 電源線
202 グラウンド線

Claims (12)

  1. プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する方法であって、
    前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得し、
    前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、
    識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、
    前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出する方法。
  2. 前記サイドチャネル情報として、前記対象デバイスの消費電力を取得する、請求項1に記載の方法。
  3. 前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの消費エネルギーと、を抽出する、請求項2に記載の方法。
  4. 前記サイドチャネル情報として、前記対象デバイスに流れる電流を取得する、請求項1に記載の方法。
  5. 前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの累積電流値と、を抽出する、請求項4に記載の方法。
  6. 前記サイドチャネル情報として、前記対象デバイスの抵抗を取得する、請求項1に記載の方法。
  7. 前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの累積抵抗値と、を抽出する、請求項6に記載の方法。
  8. 前記クラスタリングのアルゴリズムとしてK平均法を用いる、請求項1〜7の何れか1項に記載の方法。
  9. 前記クラスタリングのアルゴリズムとしてウォード法を用いる、請求項1〜7の何れか1項に記載の方法。
  10. 局所外れ値因子法を用いて前記外れ値を求める、請求項1〜9の何れか1項に記載の方法。
  11. 前記サイドチャネル情報から得られるデータを平滑化し、
    前記平滑化した後のデータから、前記複数の動作モードを識別する、請求項1〜10の何れか1項に記載の方法。
  12. プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する装置であって、
    前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得する計測器と、
    前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出するプロセッサと、
    を備える検出装置。
JP2018113649A 2018-06-14 2018-06-14 検出方法及び検出装置 Active JP7136439B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2018113649A JP7136439B2 (ja) 2018-06-14 2018-06-14 検出方法及び検出装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018113649A JP7136439B2 (ja) 2018-06-14 2018-06-14 検出方法及び検出装置

Publications (2)

Publication Number Publication Date
JP2019215794A true JP2019215794A (ja) 2019-12-19
JP7136439B2 JP7136439B2 (ja) 2022-09-13

Family

ID=68918798

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018113649A Active JP7136439B2 (ja) 2018-06-14 2018-06-14 検出方法及び検出装置

Country Status (1)

Country Link
JP (1) JP7136439B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023282192A1 (ja) * 2021-07-08 2023-01-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ マルウェア検知方法、マルウェア検知装置、及びプログラム
WO2023282193A1 (ja) * 2021-07-08 2023-01-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ マルウェア検知方法、マルウェア検知装置、及びプログラム

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection
JP2016517597A (ja) * 2013-03-15 2016-06-16 パワー フィンガープリンティング インコーポレイテッド コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016517597A (ja) * 2013-03-15 2016-06-16 パワー フィンガープリンティング インコーポレイテッド コンピュータベースのシステムに電力指紋付けシステムを使用して保全性評価を強化するシステム、方法、及び装置
US9268938B1 (en) * 2015-05-22 2016-02-23 Power Fingerprinting Inc. Systems, methods, and apparatuses for intrusion detection and analytics using power characteristics such as side-channel information collection

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WEI, DONGDI AND QIU, XIAOFENG: "Status-based Detection of malicious code in Internet of Things (IoT) devices", 2018 IEEE CONFERENCE ON COMMUNICATIONS AND NETWORK SECURITY (CNS), JPN6022011544, 30 May 2018 (2018-05-30), pages 1 - 7, XP033383982, ISSN: 0004736631, DOI: 10.1109/CNS.2018.8433183 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023282192A1 (ja) * 2021-07-08 2023-01-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ マルウェア検知方法、マルウェア検知装置、及びプログラム
WO2023282193A1 (ja) * 2021-07-08 2023-01-12 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ マルウェア検知方法、マルウェア検知装置、及びプログラム

Also Published As

Publication number Publication date
JP7136439B2 (ja) 2022-09-13

Similar Documents

Publication Publication Date Title
US10701091B1 (en) System and method for verifying a cyberthreat
US9954882B2 (en) Automatic baselining of anomalous event activity in time series data
TWI528216B (zh) 隨選檢測惡意程式之方法、電子裝置、及使用者介面
EP2814218A1 (en) Detecting anomalies in work practice data by combining multiple domains of information
KR20160046640A (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US10902149B2 (en) Remote testing analysis for software optimization based on client-side local differential privacy-based data
CN110383278A (zh) 用于检测恶意计算事件的系统和方法
US9323925B2 (en) Method and system for prevention of windowless screen capture
KR20170003356A (ko) 악성 취약점 파일을 검출하기 위한 방법, 장치 및 단말기
US20150101055A1 (en) Method, system and terminal device for scanning virus
KR20160148544A (ko) 예측에 기초한 보호 수준의 조정 및 멀웨어 취약 활동의 경고 방법
US11336661B2 (en) Detecting remote application profiling
JP7136439B2 (ja) 検出方法及び検出装置
US11809556B2 (en) System and method for detecting a malicious file
US10162963B2 (en) Malware detection and identification using deviations in one or more operating parameters
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
Clark The security and privacy implications of energy-proportional computing
US20190303593A1 (en) Concealment device, data analysis device, and computer readable medium
CN115146263A (zh) 用户账号的失陷检测方法、装置、电子设备及存储介质
JP6258189B2 (ja) 特定装置、特定方法および特定プログラム
Albalawi et al. Memory deduplication as a protective factor in virtualized systems
US11281772B2 (en) Systems and methods to detect key loggers
TW201737145A (zh) 資訊處理裝置、資訊處理方法及非暫時性電腦可讀取記錄媒體
WO2012041668A1 (en) Confidence-based static analysis
Mecke et al. A design space for security indicators for behavioural biometrics on mobile touchscreen devices

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210524

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220209

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220329

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220524

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220706

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220802

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220825

R150 Certificate of patent or registration of utility model

Ref document number: 7136439

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150