JP2020135816A - 不正通信検知装置および不正通信検知プログラム - Google Patents

不正通信検知装置および不正通信検知プログラム Download PDF

Info

Publication number
JP2020135816A
JP2020135816A JP2019032743A JP2019032743A JP2020135816A JP 2020135816 A JP2020135816 A JP 2020135816A JP 2019032743 A JP2019032743 A JP 2019032743A JP 2019032743 A JP2019032743 A JP 2019032743A JP 2020135816 A JP2020135816 A JP 2020135816A
Authority
JP
Japan
Prior art keywords
communication
unit
detection device
unauthorized
operation data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019032743A
Other languages
English (en)
Other versions
JP7109391B2 (ja
Inventor
祐樹 塙
Yuki Hanawa
祐樹 塙
賢二 仲
Kenji Naka
賢二 仲
谷口 剛
Takeshi Taniguchi
剛 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Priority to JP2019032743A priority Critical patent/JP7109391B2/ja
Priority to US16/565,574 priority patent/US11792650B2/en
Publication of JP2020135816A publication Critical patent/JP2020135816A/ja
Application granted granted Critical
Publication of JP7109391B2 publication Critical patent/JP7109391B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • G06N20/20Ensemble learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computational Linguistics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】学習結果を用いた場合の誤判定率の低減化を図ること。
【解決手段】不正通信検知装置は、運用データを送信元から受信する受信部と、受信部によって受信された運用データを宛先に送信する送信部と、学習データ群の特徴量に関する複数の学習モデルの中の特定の学習モデルの適用範囲を拡張するパラメータと、受信部によって受信された運用データの複数の特徴量のうち特定の学習モデルに対応する特定の特徴量と、に基づいて、運用データが不正通信であるか否かを判定するスコアを算出する判定式を修正する修正値を取得する取得部と、複数の学習モデルと複数の特徴量と取得部によって取得された修正値とに基づいて、判定式でスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定部と、判定部による判定結果に基づいて、送信部による運用データの送信を制御する送信制御部と、を有する。
【選択図】図4

Description

本発明は、不正通信を検知する不正通信検知装置および不正通信検知プログラムに関する。
モノがインターネットに繋がるInternet of Things(IoT)が幅広い分野で採用されてきている。しかし、IoTデバイス(インターネットに繋がるモノ)やIoTシステム(1以上のIoTデバイスとその通信相手(たとえば、サーバ))へのセキュリティ対策は以下三つの理由から難しい。
(1)IoTデバイスの限られた計算能力およびメモリ容量では、IoTデバイスは不正通信検知のための複雑な計算処理を実行できない。
(2)IoTデバイスやアプリケーション、プロトコルの多様性のため、IoTデバイスへの一様なセキュリティ対策が困難であるため、デバイスベンダごと、アプリごとの開発者がセキュリティ対策を行う必要がある。
(3)また従来、マルウェアへのセキュリティ対策には、あらかじめ既知マルウェアの特徴(シグニチャ)を定義して登録しておくことで不正通信を検知し遮断することができるシグニチャ型が用いられてきた。しかし、IoTデバイスが用いられる環境は、帯域幅の限られたネットワーク内であり、当該環境には高い可用性が求められる。したがって、IoTデバイスの台数が多くなるほど、定期的なシグニチャの更新パッチを適応することは困難である。
また、IoTデバイスがIoTゲートウェイを介して通信を行うシステムにおいて、IoTゲートウェイ上で不正通信の検知制御を行うアノマリ型のセキュリティソフトウェアがある。アノマリ型とは、正常の通信を学習し、正常とは異なる通信を異常(アノマリ)として判定する手法であり、シグニチャのアップデートが必要なく、未知の攻撃手法にも対応できる手法である。具体的には、アノマリ型は、一般的にパケットから得ることができるネットワーク特徴量を取得することで正常な通信を定義し、正常通信の閾値を超えたものを異常とみなす。
したがって、正常な通信であっても通信速度や通信量が定義したネットワーク特徴量と比べて変化している場合、異常な通信と判定してしまうことがある。一方、IoTゲートウェイは、無線デバイスを搭載した複数のIoTデバイス群に接続され、IoTデバイスから受信したデータを有線ネットワークまたは無線ネットワークを介してサーバに転送する。一般的に、有線ネットワークの通信品質(帯域幅やパケットロス率)は安定しているが、無線ネットワークの通信品質は周辺のノイズ(工場の大型モータの駆動)によって安定しておらず、常に変動していることが知られている。この性質から正常な通信のネットワーク特徴量は、定義時のネットワーク特徴量と比べ無線環境の影響を受けて変化するため、正常な通信を異常な通信と誤判定する可能性が増加してしまうことがある。
特許文献1は、攻撃サーバからIoT機器への侵入を防ぐ検知システムを開示する。この検知システムは、GW装置と、GW装置を介しネットワークに接続して使用するセンサ端末とを備える。検知システムでは、GW装置が、センサ端末のセンサ動作ログを取得するステップと、GW装置が、センサ動作ログと、センサ端末に関連する通信のパケットヘッダ情報とを用いて、センサ端末に関連する通信に異常があるか否かを判定するステップと、センサ端末に関連する通信に異常があると判定した場合、GW装置が、センサ端末と外部ネットワークとの間の送受信処理を停止するステップとが実行される。
特許文献2は、ITネットワークおよびOTネットワークそれぞれの監視を行う監視装置を開示する。この監視装置は、ITネットワークおよびOTネットワークの両方から各ネットワークで送受信されたパケットの通信ログをファイアウォールから取得する。そして、監視装置は、取得された通信ログからパケットの宛先数、パケットのデータサイズであるパケットサイズおよびダウンロードのデータサイズとアップロードのデータサイズとの比率のうち、いずれか一つまたは複数に基づいて、通信ログがITネットワークの通信ログであるのかOTネットワークの通信ログであるのかを判定する。
特開2017−84296号公報 特開2018−7179号公報
しかしながら、特許文献1の検知システムでは、IoTゲートウェイを介するセンサ端末と外部ネットワーク間の通信が、短い間隔で連続的にデータを送信する通信や、常にデータを送信し続けている通信である場合、IoTゲートウェイが管理するセンサ端末の休止状態の期間が短くなる。無線環境の影響によって正常な通信の通信間隔が延長された場合、IoTゲートウェイがその通信の送受信処理を停止する。これにより、IoTゲートウェイはセンシングデータを欠落させてしまう。これにより、有効なデータ活用ができなくなるといったリスクがある。
また、特許文献1の検知システムでは、センサ端末とサーバ間の通信が、短い間隔で連続的にデータを送信する特徴を有する場合、IoTデバイスの管理するセンサ端末の動作状態と休止状態の期間が短くなる。このとき、無線環境の影響によってセンサ端末とサーバ間の通信時間が延長したり、パケットロスに伴う再送パケット数が増加したりする。これにより、IoTデバイスがセンサ端末の状態を休止状態であると管理している期間中に、センサ端末とサーバ間の正常な通信が継続して行われ、異常な通信と誤判定される可能性がある。
また、特許文献2の監視装置では、OTネットワーク内のある特定の通信において、無線環境の影響によりパケットの通信頻度や通信間隔が変化する。したがって、監視装置があらかじめ学習しているOTネットワークにおける各通信の特徴量を1つでも超えてしまうと、監視装置は異常と誤判定してしまい、アラームを発報する。このため、調査に必要な人の作業が増加する。また、異常と判定しても通信が遮断されないため、アラームの原因調査中に感染が拡大するといったリスクがある。
また、特許文献2の監視装置は、ファイアウォールを介するOTネットワークと外部ネットワーク上のサーバの通信に対して、監視装置があらかじめ学習した通信の特徴量(パケットサイズ、パケットの通信頻度、パケットの通信間隔)とファイアウォールから送られてくる通信ログを比較し、比較対象の通信の特徴量が1つでも学習した値の範囲外であった場合に異常な通信と判定する。
監視装置があらかじめ学習した通信の特徴量には、マージンが設けられており、対象の通信の揺らぎに対応できるため、有線環境や通信品質がある程度安定している無線環境では有効である。しかし、無線環境の通信品質の変化が大きい環境では、帯域幅の減少によってパケットの通信頻度の低下や通信間隔の増加を招く場合がある。また、パケットロスによる再送率の増加に伴い総受信パケット数の増加が複合的に発生する環境では、監視装置は、正常な通信を誤判定する可能性が増加する。
本発明は、学習結果を用いた場合の誤判定率の低減化を図ることを目的とする。
本願において開示される発明の一側面となる不正通信検知装置は、運用データを送信元から受信する受信部と、前記受信部によって受信された運用データを宛先に送信する送信部と、学習データ群の特徴量に関する複数の学習モデルの中の特定の学習モデルの適用範囲を拡張するパラメータと、前記受信部によって受信された運用データの複数の特徴量のうち前記特定の学習モデルに対応する特定の特徴量と、に基づいて、前記運用データが不正通信であるか否かを判定するスコアを算出する判定式を修正する修正値を取得する取得部と、前記複数の学習モデルと前記複数の特徴量と前記取得部によって取得された修正値とに基づいて、前記判定式で前記スコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定部と、前記判定部による判定結果に基づいて、前記送信部による前記運用データの送信を制御する送信制御部と、を有することを特徴とする。
本発明の代表的な実施の形態によれば、学習結果を用いた場合の誤判定率の低減化を図ることができる。前述した以外の課題、構成及び効果は、以下の実施例の説明により明らかにされる。
図1は、IoTシステムのシステム構成例を示す説明図である。 図2は、IoTゲートウェイのハードウェア構成例を示すブロック図である。 図3は、IoTゲートウェイによる学習および運用処理手順例を示すフローチャートである。 図4は、IoTゲートウェイの機能的構成例を示すブロック図である。 図5は、ネットワーク特徴量を示す説明図である。 図6は、第1設定ファイルの一例を示す説明図である。 図7は、第2設定ファイルの一例を示す説明図である。 図8は、通信中情報テーブルのデータ構造例を示す説明図である。 図9は、学習モデルDBのデータ構造例を示す説明図である。 図10は、学習モデルの一例を示す説明図である。 図11は、判定部における学習モデルと運用パケットから生成された第1通信中情報との比較条件の一例を示す説明図である。 図12は、IoTゲートウェイの学習時におけるパケット処理シーケンス例を示すシーケンス図である。 図13は、IoTゲートウェイの運用時におけるパケット処理シーケンス例を示すシーケンス図である。 図14は、図13に示した通信判定処理(ステップS1302)の詳細な処理手順例を示すフローチャートである。 図15は、第3設定ファイルの一例を示す説明図である。 図16は、図15に示した第3設定ファイルに基づく揺らぎの範囲を示すグラフである。 図17は、第4設定ファイルの一例を示す説明図である。
<IoTシステム構成例>
図1は、IoTシステムのシステム構成例を示す説明図である。IoTシステム100は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。また、端末104は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。
クラウドシステム101は、計算資源やアプリケーション、データ群などを、インターネットなどのネットワークを通じてサービスの形で必要に応じて利用可能な1以上のサーバ111である。サーバ111は、IoTゲートウェイ120を介してIoTデバイス121とパケットを送受信する。
拠点システム102の各々は、IoTゲートウェイ120と1以上のIoTデバイス121とを有する。拠点システム102は、たとえば、工場やオフィス、公共施設、一般家庭のような拠点に設置される。IoTゲートウェイ120は、サーバ111や端末104とIoTデバイス121との間の不正通信を検知する不正通信検知装置である。IoTデバイス121は、有線または無線のネットワーク122を介して、IoTゲートウェイ120を介してデータをサーバ111や端末104に送信したり、サーバ111や端末104からデータを受信したりするデバイスであり、たとえば、監視カメラ、ロボット、温度や湿度、降水量などの環境に関する値を計測するセンサ、エレベータがある。
端末104は、パーソナルコンピュータやスマートフォン、タブレットのようなコンピュータである。たとえば、端末104は、IoTゲートウェイ120を介してIoTデバイス121で検出されたデータを受信して表示することができる。
<IoTゲートウェイ120のハードウェア構成例>
図2は、IoTゲートウェイ120のハードウェア構成例を示すブロック図である。IoTゲートウェイ120は、プロセッサ201と、記憶デバイス202と、電源入力口203と、電源ブロック204と、バッテリ205と、長距離無線モジュール206と、Subscriber Identity Module(SIM)カードスロット207と、長距離無線Interface(IF)208と、短距離無線モジュール209と、短距離無線IF210と、有線IF211と、を有する。
プロセッサ201は、IoTゲートウェイ120を制御する。記憶デバイス202は、Random Access Memory(RAM)221、フラッシュメモリ222と、を含む。RAM221は、プロセッサ201の作業エリアとなる。フラッシュメモリ222は、各種プログラムやデータを記憶する非一時的なまたは一時的な記録媒体である。電源入力口203は、商用電源に接続されるコネクタである。電源ブロック204は、商用電源からの電力を他のモジュールに供給したり、バッテリ205に対し充放電する。
長距離無線モジュール206は、3G,Long Term Evolution(LTE)などの4G,Wireless Smart Utility Network(Wi−SUN)などのLow Power Wide Area(LPWA),5Gのような長距離無線通信を制御するモジュールである。SIMカードスロット207は、SIMカードが挿抜自在なスロットである。SIMカードは、International Mobile Subscriber Identity(IMSI)と呼ばれる固有の番号が記憶されたメモリカードである。長距離無線モジュール206は、IMSIが認識された状態で通信可能となる。長距離無線IF208は、長距離無線モジュール206がデータを送受信するインタフェースである。
短距離無線モジュール209は、ブルートゥース(登録商標)やWiFiのような短距離無線通信を制御するモジュールである。短距離無線IF210は、短距離無線モジュール209がデータを送受信するインタフェースである。有線IF211は、Local Area Network(LAN)ケーブルやモジュラーケーブルを接続するコネクタである。
<IoTゲートウェイ120による学習と運用>
図3は、IoTゲートウェイ120による学習および運用処理手順例を示すフローチャートである。不正通信の検知遮断を行うソフトウェアを導入する際には、ネットワーク特徴量ごとの重みと、検知および遮断の各しきい値と、学習モデルの揺らぎ範囲と、スコア修正値と、を含む設定ファイルが作成され、記憶デバイス202に格納される。IoTゲートウェイ120は、記憶デバイス202から設定ファイルを読み込む(ステップS301)。
つぎに、IoTゲートウェイ120は、正常通信の学習期間において、ある一定期間の通信、またはある一定期間のパケットキャプチャファイルから正常通信を学習することで、学習モデルを構築する(ステップS302)。そして、IoTゲートウェイ120は、不正通信検知遮断の運用期間において、学習モデルと受信したパケットのネットワーク特徴量とを比較することで不正通信の検知遮断を行う(ステップS303)。また、ステップS303では、IoTゲートウェイ120は、運用後も正常とみなされたパケットを随時学習モデルに反映する。
<IoTゲートウェイ120の機能的構成例>
図4は、IoTゲートウェイ120の機能的構成例を示すブロック図である。IoTゲートウェイ120は、第1IF401と、第2IF402と、受信部403と、第1生成部405と、第2生成部406と、判定部407と、通知部408と、送信制御部409と、送信部404と、設定ファイル410と、通信中情報テーブル411と、学習モデルDB412と、を有する。
第1IF401は、サーバ111、端末104、IoTデバイス121からのパケットがIoTゲートウェイ120内部に入力されるインタフェースである。第1IF401は、具体的には、たとえば、図2に示した長距離無線IF208、短距離無線IF210、または有線IF211により実現される。
第2IF402は、IoTゲートウェイ120からのパケットがサーバ111、端末104、IoTデバイス121に出力されるインタフェースである。第2IF402は、具体的には、たとえば、図2に示した長距離無線IF208、短距離無線IF210、または有線IF211により実現される。
第1IF401で入力されるパケットおよび第2IF402から出力されるパケットには、2種類ある。1つは、図3のステップS302の学習に使用されるパケットであり、もう1つは、運用に使用されるパケットである。以降、学習に使用されるパケットを学習パケットと称し、運用に使用されるパケットを運用パケットと称する場合がある。なお、学習および運用の区別をしない場合には、単にパケットと表記する。
受信部403は、第1IF401からのパケットを受信して、送信制御部409に転送する。また、受信部403は、第1IF401からのパケットを複製して、第1生成部405に転送する。受信部403は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより、または、長距離無線モジュール206や短距離無線モジュール209により実現される。
送信部404は、送信制御部409から転送されてきたパケットを第2IF402から宛先に送信する。受信部403は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより、または、長距離無線モジュール206や短距離無線モジュール209により実現される。
第1生成部405は、受信部403で複製されたパケットから通信中情報を生成し、通信中情報テーブル411に格納する。通信中情報とは、パケットの通信中の累積した特徴量に関する情報であり、詳細は図8で後述する。第1生成部405は、通信セッションごとに、通信セッション中のパケット群のネットワーク特徴量を用いて通信中情報を生成する。なお、学習パケットを用いて生成された通信中情報を第2通信中情報と称し、運用パケットを用いて生成された通信中情報を第1通信中情報と称す。なお、学習および運用の区別をしない場合には、単に通信中情報と表記する。第1生成部405は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
第2生成部406は、通信中情報テーブル411を参照して、学習データ群のネットワーク特徴量に関する学習モデルを学習結果として生成し、学習モデルDB412に格納する。第2生成部406は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
取得部420は、設定ファイル410内の学習モデルの揺らぎ範囲と学習モデルDB内の学習モデルとに基づいて、スコア修正値(rp,rt)を取得する。rpは、第1通信中情報C8−3(累積パケットサイズ)の重みw8−3に割り当てられるスコア修正値である。rtは、第1通信中情報C11(通信時間)の重みw11に割り当てられるスコア修正値である。スコア修正値(rp,rt)は、無線環境であるサーバ111とIoTゲートウェイ120との間の無線ネットワーク103の影響を考慮した学習モデルLnの揺らぎ範囲に対応する。
取得部420は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
判定部407は、学習モデルに基づき運用パケットが不正通信であるか否かを判定するスコアを算出する判定式で、運用パケットのスコアを算出し、当該算出されたスコアに基づいて、当該運用パケットが不正通信であるか否かを判定する。判定式は、下記式(1)により表現される。
上記式(1)中、nは1以上の整数である。ただし、枝番を有する場合もある。xnは、n番目の学習モデルLnと、n番目の第1通信中情報Cnと、を比較した場合の真偽値である。S(n)はスコアである。本実施例では、スコアS(n)が高いほど正常と判定されやすくなるため、xnの真値は偽値よりも高い値である。本例では、真値を「1」、偽値を「0」とする。wnは、ネットワーク特徴量に設定された重みである。重みwnは設定ファイル410により設定される。
また、判定部407は、上記式(1)の判定式で算出されたスコアS(n)を、下記式(2)〜(4)の条件式に適用することにより、スコアS(n)の算出元の運用パケットが不正通信であるか否かを判定する。
上記式(2)〜(4)において、αは検知しきい値であり、β(<α)は遮断しきい値である。式(2)は正常判定条件式、式(3)は検知判定条件式、式(4)は遮断判定条件式である。すなわち、式(2)において、スコアS(n)がα以上であれば、その運用パケットは正常通信であることを示す。式(3)において、スコアS(n)がβ以上α未満であれば、その運用パケットは不正通信の可能性が高いため検知されるべきであることを示す。式(4)において、スコアS(n)がβ未満であれば、その運用パケットは不正通信であるため、遮断されるべきであることを示す。
判定部407は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
通知部408は、判定部407によって検知または遮断と判定された場合、すなわち、スコアS(n)が検知判定条件式(式(3))または遮断判定条件式(式(4))を充足する場合、その旨を外部装置またはIoTゲートウェイ120のモニタ(不図示)に通知する。これにより、ユーザは、不正通信またはその可能性があったことを確認することができる。通知部408は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
送信制御部409は、判定部407による判定結果に基づいて、送信部404による運用パケットの送信を制御する。具体的には、たとえば、送信制御部409は、スコアS(n)が遮断判定条件式(式(4))を充足する場合、運用パケットを送信部404に転送せずに廃棄する。これにより、運用パケットの不正送信がIoTゲートウェイ120に遮断される。なお、送信制御部409は、スコアS(n)が正常判定条件式(式(2))または検知判定条件式(式(3))を充足する場合、運用パケットを送信部404に転送する。送信制御部409は、具体的には、たとえば、記憶デバイス202に記憶されたプログラムをプロセッサ201に実行させることにより実現される。
設定ファイル410は、ネットワーク特徴量に対応する重みwn、検知しきい値α、遮断しきい値β(<α)、正常判定条件式(式(2))、検知判定条件式(式(3))、遮断判定条件式(式(4))を規定したファイルであり、判定部407が読み込む。
<ネットワーク特徴量>
図5は、ネットワーク特徴量を示す説明図である。ネットワーク特徴量Fnは、第1生成部405が、受信部403で複製されたパケットから抽出した特徴量である。本例では、たとえば、図5に示した11個のネットワーク特徴量Fnが抽出される。
項番n=1〜8のネットワーク特徴量F1〜F8は、パケット自体から取得された特徴量である。項番n=9〜11のネットワーク特徴量F9〜F11は、通信セッションごとに算出される特徴量である。ネットワーク特徴量F9である受信開始時刻は、通信セッションが開始した時刻であり、秒単位までの細かさでは記録せず、時間ごとに記録するなど幅をもつものとする。たとえば、ある通信セッションについて9時5分に最初のパケットを受信した場合、受信開始時刻は、単に、「9時」とする。なお、ネットワーク特徴量F10の計算でその通信セッションで最初にパケットを受信した時刻が用いられるため、第1生成部405は、「9時5分37秒」のように秒単位まで保持しておく。
ネットワーク特徴量F10である秒間受信パケット数(pps)は、その通信セッション中の各秒において受信したパケット数である。ネットワーク特徴量F11である通信時間は、通信セッションの開始から終了までの時間(msec)である。たとえば、通信セッションの開始が「9時5分37秒」、終了が「9時8分43秒」である場合、通信時間は、「186秒」となる。
<設定ファイル410>
図6は、第1設定ファイルの一例を示す説明図である。第1設定ファイル600は、ネットワーク特徴量Fnごとに重みwnを有する。重みwnの値は、ユーザが任意に設定可能である。したがって、新規のIoTデバイス121が追加されたり、通信量が変化したりするようなIoTシステム100の場合、送信元IPアドレスの変化を許容するなど、ネットワーク特徴量Fnごとに細かな設定が可能となる。なお、上記式(1)の判定式で、真偽値xnの項番nに枝番が含まれる場合には、各枝番に同一の重みwnが用いられる。たとえば、項番n=8−3の場合、重みwnの値が、重みw8−1、w8−2、w8−3の値に適用される。第1設定ファイル600は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
図7は、第2設定ファイルの一例を示す説明図である。第2設定ファイル700は、判定結果701としきい値702とを対応付けたファイルである。判定結果701が「正常」であるしきい値702は「80以上」であり、当該エントリは、正常判定条件式(式(2))に対応する。判定結果701が「検知」であるしきい値702は「20〜79」であり、当該エントリは、検知判定条件式(式(3))に対応する。判定結果701が「遮断」であるしきい値702は「20未満」であり、当該エントリは、遮断判定条件式(式(4))に対応する。
検知しきい値α、および遮断しきい値β(<α)は、ユーザが任意に設定可能である。したがって、新規のIoTデバイス121が追加されたり、通信量が変化したりするようなIoTシステム100の場合、送信元IPアドレスの変化を許容するなど、ネットワーク特徴量Fnごとに細かな設定が可能となる。第2設定ファイル700は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
図15は、第3設定ファイルの一例を示す説明図である。第3設定ファイル1500は、判定部407による不正通信判定処理において、無線環境の影響による特定の通信中情報(後述する図8の累積パケットサイズC8−3、通信時間C11)の揺らぎを考慮して判定をするため、学習モデルの値に揺らぎを許容する範囲を規定する。具体的には、たとえば、第3設定ファイル1500は、揺らぎを考慮した学習モデル1501と、揺らぎの度合い1502、とを対応付けたファイルである。揺らぎを考慮した学習モデル1501の値L8−3,L8−4,L11−1,L11−2は、後述する図9から設定された項目である。揺らぎの度合い1502の値「+5%」、「−5%」、「+10%」、「−10%」は、あらかじめ設定された値の一例であり、他の値でもよい。
図16は、図15に示した第3設定ファイル1500に基づく揺らぎの範囲を示すグラフである。グラフ1600の縦軸が累積パケットサイズ、横軸が通信時間である。縦軸において、Pmaxは、学習時の累積最大パケットサイズL8−3の値である。P´maxは、累積最大パケットサイズの上限値であり、累積最大パケットサイズL8−3の値を+5%(1.05倍)した値である。「+5%」は、第3設定ファイル1500において累積最大パケットサイズL8−3に対応する揺らぎの度合い1502の値である。
Pminは、学習時の累積最小パケットサイズL8−4の値である。P´minは、累積最小パケットサイズの下限値であり、累積最小パケットサイズL8−4の値を−5%(0.95倍)した値である。「−5%」は、第3設定ファイル1500において累積最大パケットサイズL8−4に対応する揺らぎの度合い1502の値である。
横軸において、Tmaxは、学習時の最大通信時間L11−1の値である。T´maxは、最大通信時間の上限値であり、最大通信時間L11−1の値を+10%(1.10倍)した値である。「+10%」は、第3設定ファイル1500において最大通信時間L11−1に対応する揺らぎの度合い1502の値である。
Tminは、学習時の最小通信時間L11−2の値である。T´minは、最小通信時間の下限値であり、最小通信時間L11−2の値を−10%(0.90倍)した値である。「−10%」は、第3設定ファイル1500において最小通信時間L11−2に対応する揺らぎの度合い1502の値である。
Pmax、P´max、Pmin、P´min、Tmax、T´max、Tmin、およびT´minで9分割された各領域をブロックB1〜B9と称す。ブロックB5は、第3設定ファイル1500を考慮しない場合の学習モデルL8−3,L8−4,L11−1,L11−2の範囲である。第3設定ファイル1500は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
図17は、第4設定ファイルの一例を示す説明図である。第4設定ファイル1700は、後述する図8の第1通信中情報Cnのうち累積パケットサイズC8−3の値P8−3と、通信時間C11の値T11と、により特定されるスコア修正値(rp,rt)をブロックB1〜B9ごとに保持する。第4設定ファイル1700は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
<通信中情報テーブル411>
図8は、通信中情報テーブル411のデータ構造例を示す説明図である。通信中情報テーブル411は通信中情報を格納するテーブルである。通信中情報テーブル411は、具体的には、たとえば、フラッシュメモリ222に格納される。通信中情報テーブル411は、学習および運用を問わず、通信セッションごとに第1生成部405によって生成される。
通信中情報Cnは、ネットワーク特徴量Fnに対応する。ただし、通信中情報Cnは、ネットワーク特徴量Fnをより詳細に規定するため、1つのネットワーク特徴量Fnに対し複数の通信中情報Cnが規定される場合がある。この場合、通信中情報Cnの末尾に枝番を付して区別する。
通信中情報C1〜C7は、受信したパケットのヘッダから抽出される。その通信セッション中に既抽出の通信中情報C1〜C7の値とは異なる値が抽出された場合には、追加される。たとえば、ある通信セッションにおいてあるパケットから宛先IPアドレス「10.10.10.1」が抽出された場合、通信中情報C1として保持され、その後、同一通信セッションで受信された後続パケットの宛先IPアドレスが「10.10.10.2」である場合、「10.10.10.2」も通信中情報C1として保持される。
通信中情報C8−1(最大パケットサイズ)、通信中情報C8−2(最小パケットサイズ)、および通信中情報C8−3(累積パケットサイズ)は、ネットワーク特徴量F8(パケットデータサイズ)から生成される。
通信中情報C8−1(最大パケットサイズ)は、その通信セッションにおいてパケットの受信開始から現時点までのパケット群の中の最大パケットサイズである。したがって、パケットが受信される都度、現時点の最大パケットサイズと今回の受信パケットのパケットサイズとが比較され、最大パケットサイズを上回った場合に、通信中情報C8−1(最大パケットサイズ)は、リアルタイムで今回の受信パケットのパケットサイズに更新される。
通信中情報C8−2(最小パケットサイズ)は、その通信セッションにおいてパケットの受信開始から現時点までのパケット群の中の最小パケットサイズである。したがって、パケットが受信される都度、現時点の最小パケットサイズと今回の受信パケットのパケットサイズとが比較され、最小パケットサイズを下回った場合に、通信中情報C8−2(最小パケットサイズ)は、リアルタイムで今回の受信パケットのパケットサイズに更新される。
通信中情報C8−3(累積パケットサイズ)は、その通信セッションにおいてパケットの受信開始から現時点までのパケット群のパケットサイズを累積した現時点におけるパケットサイズである。したがって、パケットが受信される都度、通信中情報C8−3(累積パケットサイズ)はリアルタイムに更新される。
通信中情報C9である受信開始時刻は、ネットワーク特徴量F9と同様、通信セッションが開始した時刻であり、秒単位までの細かさでは記録せず、時間ごとに記録するなど幅をもつものとする。たとえば、ある通信セッションについて9時5分に最初のパケットを受信した場合、受信開始時刻は、単に、「9時」とする。
通信中情報C10−1(最大受信秒間パケット数)、および通信中情報C10−2(最小受信秒間パケット数)は、ネットワーク特徴量F10である秒間受信パケット数(pps)から生成される。
通信中情報C10−1(最大受信秒間パケット数)は、その通信セッションにおいてパケットの受信開始から現時点までの各秒で計測された秒間パケット数の最大値である。したがって、通信セッション中に秒単位で時間が進行する都度、現時点の最大受信秒間パケット数と今回の受信秒間パケット数とが比較され、最大受信秒間パケット数を上回った場合に、通信中情報C10−1(最大受信秒間パケット数)は、リアルタイムで今回の受信秒間パケット数に更新される。
通信中情報C10−2(最小受信秒間パケット数)は、その通信セッションにおいてパケットの受信開始から現時点までの各秒で計測された秒間パケット数の最小値である。したがって、通信セッション中に秒単位で時間が進行する都度、現時点の最小受信秒間パケット数と今回の受信秒間パケット数とが比較され、最小受信秒間パケット数を下回った場合に、通信中情報C10−2(最小受信秒間パケット数)は、リアルタイムで今回の受信秒間パケット数に更新される。
通信中情報C11である通信時間は、ネットワーク特徴量F11と同様、通信セッションの開始から終了までの時間(msec)である。たとえば、通信セッションの開始が「9時5分37秒」、終了が「9時8分43秒」である場合、通信時間は、「186秒」となる。
<学習モデルDB412>
図9は、学習モデルDB412のデータ構造例を示す説明図であり、図10は、学習モデルLnの一例を示す説明図である。学習モデルDB412は、ネットワーク特徴量F1〜F11に対応する学習モデルL1〜L11−2をリスト化したデータベースである。学習モデルDB412は、学習期間中に生成された通信中情報Cn、すなわち、学習期間中の全通信セッションにより第2生成部406によって生成される。学習モデルDB412は、具体的には、たとえば、フラッシュメモリ222に格納される。
学習モデルLnは、ネットワーク特徴量Fnに対応する。ただし、学習モデルLnは、通信中情報Cnと同様、ネットワーク特徴量Fnをより詳細に規定するため、1つのネットワーク特徴量Fnに対し複数の学習モデルLnが規定される場合がある。この場合、学習モデルLnの末尾に枝番を付して区別する。
学習モデルL1〜L7はそれぞれ、学習期間中に生成された各通信セッションの通信中情報C1〜C7の各々の和集合として生成される。たとえば、ある通信セッションの通信中情報C1である宛先IPアドレスが「10.10.10.1」であり、同一学習期間中の他の通信セッションの通信中情報C1である宛先IPアドレスが「10.10.10.2」である場合、学習モデルL1は、「10.10.10.1」および「10.10.10.2」となる。
学習モデルL8−1(最大パケットサイズ)、学習モデルL8−2(最小パケットサイズ)、学習モデルL8−3(累積最大パケットサイズ)、および学習モデルL8−4(累積最小パケットサイズ)は、通信中情報C8−1〜C8−3から生成される。
学習モデルL8−1(最大パケットサイズ)は、学習期間中の各通信セッションの通信中情報C8−1である最大パケットサイズの中の最大値となる。学習モデルL8−2(最小パケットサイズ)は、学習期間中の各通信セッションの通信中情報C8−2である最小パケットサイズの中の最小値となる。学習モデルL8−3(累積最大パケットサイズ)は、学習期間中の各通信セッションの通信中情報C8−3である累積パケットサイズの中の最大値となる。学習モデルL8−4(累積最小パケットサイズ)は、学習期間中の各通信セッションの通信中情報C8−3である累積パケットサイズの中の最小値となる。
学習モデルL9(受信開始時刻)は、学習期間中の各通信セッションの通信中情報C9である受信開始時刻のうち、最古の受信開始時刻となる。たとえば、ある通信セッションの最初のパケットを9時50分に受信し、その通信セッションが10時10分まで継続した場合、学習モデルL9(受信開始時刻)は9時となる。
学習モデルL10−1(最大受信秒間パケット数)は、学習期間中の各通信セッションの通信中情報C10−1である最大受信秒間パケット数の中の最大値となる。学習モデルL10−2(最小受信秒間パケット数)は、学習期間中の各通信セッションの通信中情報C10−2である最小受信秒間パケット数の中の最小値となる。
学習モデルL11−1(最大通信時間)、および学習モデルL11−2(最小通信時間)は、通信中情報C11から生成される。学習モデルL11−1(最大通信時間)は、学習期間中の各通信セッションの通信中情報C11である通信時間の中の最大値となる。学習モデルL11−2(最小通信時間)は、学習期間中の各通信セッションの通信中情報C11である通信時間の中の最小値となる。
<学習モデルLnと第1通信中情報Cnとの比較例>
図11は、判定部407における学習モデルLnと運用パケットから生成された第1通信中情報Cnとの比較条件の一例を示す説明図である。判定部407は、第1通信中情報C1〜C7、C9の各々について、対応する学習モデルL1〜L7、L9内に一致する値があるか否かを判定する。具体的には、たとえば、学習モデルL1(宛先IPアドレス)の値が「10.10.10.1」および「10.10.10.2」であり、第1通信中情報C1(宛先IPアドレス)の値が「10.10.10.1」である場合、判定部407は、一致する値「10.10.10.1」が学習モデルL1に存在すると判定する。
また、判定部407は、学習モデルL8−1、L8−3、L10−1、およびL11−1の各々の値が、対応する第1通信中情報C8−1、C8−3、C10−1、およびC11の値よりも大きいか否かを判定する。具体的には、たとえば、学習モデルL8−1(最大パケットデータサイズ)の値が「1500[byte]」であり、第1通信中情報C8−1(最大パケットデータサイズ)の値が「1400[byte]」である場合、判定部407は、学習モデルL8−1(最大パケットデータサイズ)の値「1500[byte]」が、第1通信中情報C8−1(最大パケットデータサイズ)の値「1400[byte]」よりも大きいと判定する。
また、判定部407は、学習モデルL8−2、L8−4、L10−2、およびL11−2の各々の値が、対応する第1通信中情報C8−2、C8−4、C10−2、およびC11の値よりも小さいか否かを判定する。具体的には、たとえば、学習モデルL8−2(最小パケットデータサイズ)の値が「60[byte]」であり、第1通信中情報C8−1(最大パケットデータサイズ)の値が「70[byte]」である場合、判定部407は、学習モデルL8−2(最小パケットデータサイズ)の値「60[byte]」が、第1通信中情報C8−2(最小パケットデータサイズ)の値「70[byte]」よりも小さいと判定する。
なお、充足した比較条件については、判定部407は、学習モデルLnと第1通信中情報Cnとを比較した結果、充足した場合には上記式(1)の判定式の真偽値xnの値をxn=1に設定し、充足しなかった比較条件については、上記式(1)の判定式の真偽値xnの値をxn=0に設定する。
<学習時のパケット処理シーケンス例>
図12は、IoTゲートウェイ120の学習時におけるパケット処理シーケンス例を示すシーケンス図である。なお、第1生成部405には、あらかじめ学習期間が設定されているものとする。学習期間中において、受信部403は、第1IF401からパケットを受信すると、送信制御部409を経由して、受信したパケットを送信部404に転送する(ステップS1201)。これにより、送信部404は、第2IF402を介してパケットを宛先に送信することができる。また、受信部403は、受信したパケットを複製して、複製パケットを第1生成部405に転送する(ステップS1202)。
第1生成部405は、複製パケットを受信すると、通信セッションごとに第2通信中情報を生成し、通信中情報テーブル411に格納する(ステップS1203)。第1生成部405は、あらかじめ設定された学習期間の終了を検知すると、学習期間終了通知を第2生成部406に送信する(ステップS1204)。
第2生成部406は、学習期間終了通知を受信すると、学習対象となる当該学習期間の第2通信中情報を通信中情報テーブル411から検索し(ステップS1205)、ヒットした第2通信中情報を取得する(ステップS1206)。そして、第2生成部406は、取得した第2通信中情報を用いて学習モデルLnを生成する(ステップS2107)。これにより、IoTゲートウェイ120は、ある学習期間における学習処理を終了する。
図13は、IoTゲートウェイ120の運用時におけるパケット処理シーケンス例を示すシーケンス図である。運用期間中において、受信部403は、第1IF401からパケットを受信すると、送信制御部409を経由して、受信したパケットを送信部404に転送する(ステップS1201)。これにより、送信部404は、第2IF402を介してパケットを宛先に送信することができる。また、受信部403は、受信したパケットを複製して、複製パケットを第1生成部405に転送する(ステップS1202)。第1生成部405は、複製パケットを受信する都度、第1通信中情報を生成、更新し、通信中情報テーブル411に格納する(ステップS1301)。
判定部407は、パケットが受信部403から送信制御部409に転送される都度、換言すれば、第1通信中情報が生成、更新される都度、通信判定処理を実行する(ステップS1302)。通信判定処理(ステップS1302)では、判定部407は、通信判定処理(ステップS1302)の開始時に、学習モデルDB412に対し学習モデルLn取得要求を送り(ステップS1321)、学習モデルDB412から学習モデルLnを取得する(ステップS1322)。ステップS1321、S1322は、通信セッションの開始時に実行されればよく、開始時以降は実行されない。
判定部407は、不正通信判定処理を実行する(ステップS1323)。不正通信判定処理(ステップS1323)は、学習モデルLnと最新の第1通信中情報とを比較して上記式(1)の判定式を計算することにより、今回受信したパケットが、正常通信のパケット、不正通信の可能性があるパケット、および、不正通信のパケットのいずれであるかを判定する処理である。不正通信判定処理(ステップS1323)の詳細な処理は、後述の図14のステップS1401〜S1404に相当する。
不正通信判定処理(ステップS1323)において、今回受信したパケットが正常通信のパケットと判定された場合、パケットは送信制御部409で遮断されず、送信部404に転送される。また、判定部407は、最新の第1通信中情報に基づいて、学習モデルLnを更新する(ステップS1324)。更新対象となる学習モデルLnは、第1通信中情報Cnと不一致な学習モデルLnである。たとえば、学習モデルL1〜L7,L9が充足されなかった場合、比較対象となった第1通信中情報C1〜C7,C9が、学習モデルL1〜L7,L9に追加される。
たとえば、学習モデルL1(宛先IPアドレス)の値が「10.10.10.1」および「10.10.10.2」であり、第1通信中情報C1(宛先IPアドレス)の値が「10.10.10.3」である場合、判定部407は、不一致な第1通信中情報C1(宛先IPアドレス)の値「10.10.10.3」を、学習モデルL1(宛先IPアドレス)に追加する。これにより、更新後の学習モデルL1(宛先IPアドレス)の値は、「10.10.10.1」「10.10.10.2」および「10.10.10.3」となる。
また、学習モデルL8−1〜L8−4,L10−1〜L11−2が充足されなかった場合、学習モデルL8−1〜L8−4,L10−1〜L11−2に、比較対象となった第1通信中情報C8−1〜L8−3,C10−1〜C11が上書きされる。
たとえば、学習モデルL8−1(最大パケットデータサイズ)の値が「1500[byte]」であり、第1通信中情報C8−1(最大パケットデータサイズ)の値が「1600[byte]」である場合、判定部407は、学習モデルL8−1(最大パケットデータサイズ)の値「1500[byte]」を、充足しなかった第1通信中情報C8−1(最大パケットデータサイズ)の値「1600[byte]」に上書きする。これにより、更新後の学習モデルL8−1(最大パケットデータサイズ)の値は、「1600[byte]」となる。
また、不正通信判定処理(ステップS1323)において、今回受信したパケットが不正通信の可能性があるパケットと判定された場合、パケットは送信制御部409で遮断されず、送信部404に転送される。また、判定部407は、不正通信の可能性を検知したとして、不正通信の可能性の検知通知依頼を通知部408に送信する(ステップS1325)。通知部408は、当該検知依頼を受信すると、その旨を通知する(ステップS1327)。当該通知には、たとえば、パケットを特定可能な5タプル(宛先IPアドレス(F1)、送信元IPアドレス(F2)、プロトコル(F3)、宛先MACアドレス(F6)、送信元MACアドレス(F7))や受信時刻がある。また、宛先MACアドレス(F6)、送信元MACアドレス(F7)の代わりに、宛先ポート(F4)、送信元ポート(F5)であってもよい。これにより、どのパケットが不正通信の可能性のあるパケットで、それがどの時点で受信されたかをユーザは確認することができる。
また、不正通信判定処理(ステップS1323)において、今回受信したパケットが不正通信のパケットと判定された場合、判定部407は、当該パケットの遮断通知依頼を通知部408に送信する(ステップS1326)。通知部408は、当該遮断通知依頼を受信すると、その旨を通知する(ステップS1327)。当該通知には、たとえば、パケットを特定可能な5タプル(宛先IPアドレス(F1)、送信元IPアドレス(F2)、プロトコル(F3)、宛先MACアドレス(F6)、送信元MACアドレス(F7))や受信時刻がある。また、宛先MACアドレス(F6)、送信元MACアドレス(F7)の代わりに、宛先ポート(F4)、送信元ポート(F5)であってもよい。これにより、どのパケットが不正通信のパケットで、それがどの時点で受信されたかをユーザは確認することができる。
また、判定部407は、当該パケットの遮断依頼を送信制御部409に送信する(ステップS1328)。遮断依頼には、当該パケットのネットワーク特徴量Fnが含まれる。遮断依頼に含まれるネットワーク特徴量Fnとしては、たとえば、パケットを特定可能な5タプル(宛先IPアドレス(F1)、送信元IPアドレス(F2)、プロトコル(F3)、宛先MACアドレス(F6)、送信元MACアドレス(F7))や受信時刻がある。また、宛先MACアドレス(F6)、送信元MACアドレス(F7)の代わりに、宛先ポート(F4)、送信元ポート(F5)であってもよい。遮断依頼に含まれるネットワーク特徴量Fnを遮断特徴量Fsと称す。
送信制御部409は、遮断依頼を受信した場合に遮断特徴量Fsを保持し、遮断依頼の受信時以降、受信部403からパケットが転送されてくる都度、遮断特徴量Fsに該当するパケットを遮断、すなわち、送信部404に転送せずに廃棄する(ステップS1329)。不正通信判定処理(ステップS1323)と遮断処理(ステップS1329)とは非同期であるため、受信部403からのパケットは、遮断特徴量Fsに該当しない限り、送信部404に転送される。したがって、パケット転送の効率化を図ることができる。
また、送信制御部409は、遮断依頼を受信した場合に遮断特徴量Fsを保持することで、後続のパケット群のうち遮断特徴量Fsに該当するパケットについては、不正通信判定処理(ステップS1323)による不正通信である旨の判定結果を待たずに廃棄する。したがって、遮断処理(ステップS1329)の効率化を図ることができる。
<通信判定処理(ステップS1302)>
図14は、図13に示した通信判定処理(ステップS1302)の詳細な処理手順例を示すフローチャートである。IoTゲートウェイ120は、学習モデルLnを取得した後(ステップS1322)、判定部407および取得部420により、図13に示した不正通信判定処理(ステップS1323)として、ステップS1401〜S1407を実行する。
具体的には、たとえば、IoTゲートウェイ120は、判定部407により、未選択の第1通信中情報Cnを選択し(ステップS1401)、対応する学習モデルLnを選択する(ステップS1402)。そして、IoTゲートウェイ120は、判定部407により、図11に示したように、選択した第1通信中情報Cnと選択した学習モデルLnとを比較する(ステップS1403)。
そして、充足した比較条件については、判定部407は、学習モデルLnと第1通信中情報Cnとを比較した結果、充足した場合には上記式(1)の判定式の真偽値xnの値をxn=1に設定し、充足しなかった比較条件については、上記式(1)の判定式の真偽値xnの値をxn=0に設定する。
IoTゲートウェイ120は、判定部407により、未選択の第1通信中情報Cnの有無を確認し(ステップS1404)、未選択の第1通信中情報Cnがある場合には、ステップS1401に戻り、未選択の第1通信中情報Cnを選択する。一方、未選択の第1通信中情報Cnがない場合には、上記式(1)の判定式のすべての真偽値xnが設定済みであるため、ステップS1405に移行する。
IoTゲートウェイ120は、第1通信中情報Cnのうち累積パケットサイズC8−3の値P8−3と、通信時間C11の値T11と、により、P8−3およびT11が含まれるブロックをブロックB1〜B9の中から特定する。そして、IoTゲートウェイ120は、特定したブロックのスコア修正値(rp、rt)を、第4設定ファイル1700から取得して、上記式(1)の判定式に設定する(ステップS1405)。
IoTゲートウェイ120は、判定部407により、上記式(1)の判定式を計算してスコアS(n)を算出する(ステップS1406)。そして、IoTゲートウェイ120は、判定部407により、正常な通信か、すなわち、算出したスコアS(n)が、正常判定条件式(式(2))を充足するかを判定する(ステップS1407)。正常判定条件式(式(2))を充足する場合(ステップS1407:Yes)、図13のステップS1324に示したように、IoTゲートウェイ120は、判定部407により、学習モデルLnを更新して(ステップS1408)、通信判定処理(ステップS1302)を終了する。
一方、正常判定条件式(式(2))を充足しなかった場合(ステップS1407:No)、IoTゲートウェイ120は、判定部407により、パケットの遮断が必要か、すなわち、算出したスコアS(n)が、検知判定条件式(式(3))および遮断判定条件式(式(4))のいずれを充足するかを判定する(ステップS1409)。遮断が必要ない場合、すなわち、スコアS(n)が検知判定条件式(式(3))を充足する場合(ステップS1409:No)、図13のステップS1325,S1327に示したように、IoTゲートウェイ120は、判定部407により、不正通信の可能性を検知したとして不正通信の可能性の検知通知依頼を通知部408に送信し、通知部408により、その旨を通知する(ステップS1410)。そして、IoTゲートウェイ120は通信判定処理(ステップS1302)を終了する。
一方、遮断が必要である場合、すなわち、スコアS(n)が遮断判定条件式(式(4))を充足する場合(ステップS1409:Yes)、図13のステップS1326,S1327に示したように、IoTゲートウェイ120は、判定部407により、当該パケットの遮断通知依頼を通知部408に送信して、通知部408によりその旨を通知する(ステップS1327)。
また、図13のステップS1328,S1329に示したように、IoTゲートウェイ120は、判定部407により、当該パケットの遮断依頼を送信制御部409に送信して、送信制御部409により、当該パケットを遮断する(ステップS1411)。そして、IoTゲートウェイ120は通信判定処理(ステップS1302)を終了する。
(1)このように、本実施例にかかるIoTゲートウェイ120は、学習データ群の特徴量(第2通信中情報Cn)に関する複数の学習モデルLnの中の特定の学習モデルL8−3,L8−4,L11−1,L11−2の適用範囲(ブロックB5)を拡張するパラメータ(揺らぎの度合い1502)と、運用データの複数の特徴量(第1通信中情報Cn)のうち特定の学習モデルL8−3,L8−4,L11−1,L11−2に対応する特定の特徴量(第1通信中情報C8−3,C11)と、に基づいて、運用データが不正通信であるか否かを判定するスコアS(n)を算出する判定式を修正するスコア修正値(rp,rt)を取得し、複数の学習モデルLnと複数の特徴量(第1通信中情報Cn)とスコア修正値(rp,rt)とに基づいて、判定式でスコアS(n)を算出し、当該算出されたスコアS(n)に基づいて、不正通信であるか否かを判定し、判定結果に基づいて、送信部404による運用データの送信を制御する。
たとえば、無線環境が悪くなると、利用可能な帯域幅の減少により通信時間が延長し、パケットロス率の増加に伴いパケットの再送数が増加することでIoTゲートウェイ120が受信するパケット数が増加する。IoTゲートウェイ120は、このような特徴を利用して周辺の無線環境の推定を行い、推定した無線ネットワークの通信品質のパターンに対応したスコアの修正値を用いて、無線環境の変動に対応して正常な通信を異常な通信と検知遮断してしまうことを防ぐ。したがって、学習モデルLnを用いた場合の誤判定率の低減化を図ることができる。
(2)また、IoTゲートウェイ120は、上記(1)において、判定結果が不正通信である場合、当該不正通信と判定された運用データを遮断する。これにより、セキュリティの向上を図ることができる。
(3)また、IoTゲートウェイ120は、上記(2)において、スコアS(n)が不正通信の基準となる第1しきい値(遮断しきい値β)よりも低い場合、運用データを不正通信のデータと判定し、不正通信と判定された運用データを遮断する。これにより、IoTゲートウェイ120は、学習モデルLnよりも学習モデルLnに基づくスコアS(n)を優先して不正通信と判定された運用データを誤って転送せずに遮断することができる。したがって、学習モデルLnを用いた場合の誤判定を抑制することができる。
(4)また、IoTゲートウェイ120は、上記(2)において、判定結果が不正通信である場合、当該判定結果を通知する。これにより、ユーザは、不正通信があったパケットがどのようなパケットでどの時点で受信されたかを確認することができる。
(5)また、IoTゲートウェイ120は、上記(2)において、不正通信のデータと判定された運用データの特徴量に基づいて、不正通信と判定された運用データを遮断する。これにより、IoTゲートウェイ120は、当該特徴量に該当する後続パケットについては、判定結果を待つことなく強制的に遮断することができる。したがって、IoTゲートウェイ120は、不正通信のパケットを効率的に遮断することができる。
(6)また、IoTゲートウェイ120は、上記(1)において、判定結果が不正通信の可能性がある場合、当該不正通信の可能性があると判定された運用データの前記送信部404による送信を遮断せず、判定結果が不正通信の可能性がある場合、当該判定結果を通知する。これにより、不正通信の可能性があったパケットについては効率的に転送し、かつ、ユーザは、不正通信の可能性があったパケットがどのようなパケットでどの時点で受信されたかを確認することができる。
(7)また、IoTゲートウェイ120は、上記(6)において、スコアS(n)が、不正通信の基準となる第1しきい値(遮断しきい値β)以上で、かつ、不正通信の可能性の基準となる第2しきい値(遮断しきい値βよりも高い検知しきい値α)よりも低い場合、運用データを不正通信の可能性があると判定する。これにより、IoTゲートウェイ120は、学習モデルLnよりも学習モデルLnに基づくスコアS(n)を優先して不正通信の可能性ありと判定された運用データを誤って遮断せずに転送することができる。したがって、学習モデルLnを用いた場合の誤判定を抑制することができる。
(8)また、IoTゲートウェイ120は、上記(1)において、判定結果が不正通信でない場合、当該不正通信でないと判定された運用データを遮断しない。これにより、正常通信のパケットを効率的に転送することができる。
(9)また、IoTゲートウェイ120は、上記(8)において、スコアS(n)が不正通信の可能性の基準となる第2しきい値(検知しきい値α)以上である場合、運用データを不正通信でないと判定する。これにより、IoTゲートウェイ120は、学習モデルLnよりも学習モデルLnに基づくスコアS(n)を優先して不正通信でないと判定された運用データを誤って遮断せずに転送することができる。したがって、学習モデルLnを用いた場合の誤判定を抑制することができる。
(10)また、IoTゲートウェイ120は、上記(1)において、運用データが受信される都度、判定式で運用データのスコアS(n)を算出する。これにより、運用データごとに学習モデルLnよりも学習モデルLnに基づくスコアS(n)を優先して、学習モデルLnを用いた場合の誤判定率の低減化を図ることができる。
(11)また、IoTゲートウェイ120は、上記(10)において、先着の運用データが受信されてから最新の運用データが受信されるまでの運用データ群について、運用データが受信される都度、第1通信中情報を更新し、更新された最新の第1通信中情報に基づいて、判定式により前記最新の運用データのスコアS(n)を算出する。これにより、リアルタイムで、学習モデルLnを用いた場合の誤判定率の低減化を図ることができる。
(12)また、IoTゲートウェイ120は、上記(11)において、学習モデルLnを生成し、生成された学習モデルLnに基づく判定式で、運用データのスコアS(n)を算出し、当該算出されたスコアS(n)に基づいて、不正通信であるか否かを判定する。これにより、IoTゲートウェイ120自身が生成した学習モデルLnを用いて、誤判定率の低減化を図ることができる。
(13)また、IoTゲートウェイ120は、上記(12)において、先着の学習データが受信されてから最新の学習データが受信されるまでの学習データ群について、前記学習データが受信される都度、第2通信中情報を更新し、学習データ群の通信が終了した場合、更新された最新の第2通信中情報に基づいて、学習モデルLnを確定する。これにより、IoTゲートウェイ120は、リアルタイムで学習モデルLnを生成することができる。
(14)また、IoTゲートウェイ120は、上記(1)において、送信部404は、無線通信区間(無線ネットワーク103、無線のネットワーク122)で運用データを宛先(サーバ111、IoTデバイス121)に送信する。これにより、無線環境の変化に伴う、学習モデルLnを用いた場合の誤判定率の低減化を図ることができる。
(15)また、IoTゲートウェイ120は、上記(1)において、受信部403は、無線通信区間(無線のネットワーク122、無線ネットワーク103)で運用データを送信元(IoTデバイス121、サーバ111)から受信する。これにより、無線環境の変化に伴う、学習モデルLnを用いた場合の誤判定率の低減化を図ることができる。
以上説明したように、本実施例のIoTゲートウェイ120は、プロトコルやアプリケーションに依存しないネットワーク特徴量Fnを用いて正常通信を学習し、正常とは異なる通信をネットワーク特徴量Fn毎にスコアづけし、不正通信の検知または検知と遮断を行う。その際、プラントネットワークや工場ネットワークなどのIoTシステム100ごとに合わせて、判定に使うネットワーク特徴量Fnごとに重みwnや検知しきい値α、遮断しきい値βの調整が可能であるため、不正通信判定を柔軟に適応することができる。
また、本実施例のIoTゲートウェイ120は、一定間隔のパケット数が増えないDoS攻撃(SlowReadDoS)に対しても、IPアドレスや通信ポートなど他のネットワーク特徴量Fnにおける正当性を組み合わせた判定により、不正通信の可能性の検知や不正通信の検知および遮断が可能となる。したがって、IoTシステム100ごとの特徴に柔軟に対応することができ、結果として、誤判定率の低減を図ることができる。
また、上述した実施例のIoTゲートウェイ120では、送信部404と受信部403との間に送信制御部409を設けた構成としたが、送信部404と第2IF402との間に送信制御部409を設けてもよい。
なお、本発明は前述した実施例に限定されるものではなく、添付した特許請求の範囲の趣旨内における様々な変形例及び同等の構成が含まれる。例えば、前述した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに本発明は限定されない。また、ある実施例の構成の一部を他の実施例の構成に置き換えてもよい。また、ある実施例の構成に他の実施例の構成を加えてもよい。また、各実施例の構成の一部について、他の構成の追加、削除、または置換をしてもよい。
また、前述した各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等により、ハードウェアで実現してもよく、プロセッサ201がそれぞれの機能を実現するプログラムを解釈し実行することにより、ソフトウェアで実現してもよい。
各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリ、ハードディスク、SSD(Solid State Drive)等の記憶装置、又は、IC(Integrated Circuit)カード、SDカード、DVD(Digital Versatile Disc)の記録媒体に格納することができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、実装上必要な全ての制御線や情報線を示しているとは限らない。実際には、ほとんど全ての構成が相互に接続されていると考えてよい。
120 IoTゲートウェイ
121 IoTデバイス
403 受信部
404 送信部
405 第1生成部
406 第2生成部
407 判定部
408 通知部
409 送信制御部
410 設定ファイル
411 通信中情報テーブル
412 学習モデルDB
420 取得部
600 第1設定ファイル
700 第2設定ファイル
1500 第3設定ファイル
1700 第4設定ファイル
Cn 通信中情報
Fn ネットワーク特徴量
Fs 遮断特徴量
Ln 学習モデル
S(n) スコア
α 検知しきい値
β 遮断しきい値

Claims (15)

  1. 運用データを送信元から受信する受信部と、
    前記受信部によって受信された運用データを宛先に送信する送信部と、
    学習データ群の特徴量に関する複数の学習モデルの中の特定の学習モデルの適用範囲を拡張するパラメータと、前記受信部によって受信された運用データの複数の特徴量のうち前記特定の学習モデルに対応する特定の特徴量と、に基づいて、前記運用データが不正通信であるか否かを判定するスコアを算出する判定式を修正する修正値を取得する取得部と、
    前記複数の学習モデルと前記複数の特徴量と前記取得部によって取得された修正値とに基づいて、前記判定式で前記スコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定部と、
    前記判定部による判定結果に基づいて、前記送信部による前記運用データの送信を制御する送信制御部と、
    を有することを特徴とする不正通信検知装置。
  2. 請求項1に記載の不正通信検知装置であって、
    前記送信制御部は、前記判定結果が不正通信である場合、当該不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。
  3. 請求項2に記載の不正通信検知装置であって、
    前記判定部は、前記スコアが不正通信の基準となる第1しきい値よりも低い場合、前記運用データを不正通信のデータと判定し、
    前記送信制御部は、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。
  4. 請求項2に記載の不正通信検知装置であって、
    前記判定結果が不正通信である場合、当該判定結果を通知する通知部を有することを特徴とする不正通信検知装置。
  5. 請求項2に記載の不正通信検知装置であって、
    前記判定部は、前記不正通信のデータと判定された運用データの特徴量を前記送信制御部に出力し、
    前記送信制御部は、前記不正通信のデータと判定された運用データの特徴量に基づいて、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。
  6. 請求項1に記載の不正通信検知装置であって、
    前記判定結果を通知する通知部を有し、
    前記送信制御部は、前記判定結果が不正通信の可能性がある場合、当該不正通信の可能性があると判定された運用データを前記送信部に出力し、
    前記通知部は、前記判定結果が不正通信の可能性がある場合、当該判定結果を通知することを特徴とする不正通信検知装置。
  7. 請求項6に記載の不正通信検知装置であって、
    前記判定部は、前記スコアが、不正通信の基準となる第1しきい値以上で、かつ、前記第1しきい値よりも高い不正通信の可能性の基準となる第2しきい値よりも低い場合、前記運用データを不正通信の可能性があると判定することを特徴とする不正通信検知装置。
  8. 請求項1に記載の不正通信検知装置であって、
    前記送信制御部は、前記判定結果が不正通信でない場合、当該不正通信でないと判定された運用データを前記送信部に出力することを特徴とする不正通信検知装置。
  9. 請求項8に記載の不正通信検知装置であって、
    前記判定部は、前記スコアが不正通信の可能性の基準となる第2しきい値以上である場合、前記運用データを不正通信でないと判定することを特徴とする不正通信検知装置。
  10. 請求項1に記載の不正通信検知装置であって、
    前記判定部は、前記運用データが受信される都度、前記判定式で前記運用データのスコアを算出することを特徴とする不正通信検知装置。
  11. 請求項10に記載の不正通信検知装置であって、
    前記運用データの通信中の累積した特徴量に関する第1通信中情報を生成する第1生成部を有し、
    前記第1生成部は、先着の運用データが受信されてから最新の運用データが受信されるまでの運用データ群について、前記運用データが受信される都度、前記第1通信中情報を更新し、
    前記判定部は、前記第1生成部によって更新された最新の第1通信中情報に基づいて、前記判定式により前記最新の運用データのスコアを算出することを特徴とする不正通信検知装置。
  12. 請求項1に記載の不正通信検知装置であって、
    前記学習モデルを生成する第2生成部を有し、
    前記判定部は、前記第2生成部によって生成された学習モデルに基づく前記判定式で、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定することを特徴とする不正通信検知装置。
  13. 請求項12に記載の不正通信検知装置であって、
    前記学習データ群の通信中の累積した特徴量に関する第2通信中情報を生成する第1生成部を有し、
    前記第1生成部は、先着の学習データが受信されてから最新の学習データが受信されるまでの学習データ群について、前記学習データが受信される都度、前記第2通信中情報を更新し、
    前記第2生成部は、前記学習データ群の通信が終了した場合、前記第1生成部によって更新された最新の第2通信中情報に基づいて、前記学習モデルを確定することを特徴とする不正通信検知装置。
  14. 請求項1に記載の不正通信検知装置であって、送信部は、無線通信区間で前記運用データを前記宛先に送信することを特徴とする不正通信検知装置。
  15. プロセッサに、
    運用データを送信元から受信する受信処理と、
    前記受信処理によって受信された運用データを宛先に送信する送信処理と、
    学習データ群の特徴量に関する複数の学習モデルの中の特定の学習モデルの適用範囲を拡張するパラメータと、前記受信処理によって受信された運用データの複数の特徴量のうち前記特定の学習モデルに対応する特定の特徴量と、に基づいて、前記運用データが不正通信であるか否かを判定するスコアを算出する判定式を修正する修正値を取得する取得処理と、
    前記複数の学習モデルと前記複数の特徴量と前記取得処理によって取得された修正値とに基づいて、前記判定式で前記スコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定処理と、
    前記判定処理による判定結果に基づいて、前記送信処理による前記運用データの送信を制御する送信制御処理と、
    を実行させることを特徴とする不正通信検知プログラム。
JP2019032743A 2019-02-26 2019-02-26 不正通信検知装置および不正通信検知プログラム Active JP7109391B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2019032743A JP7109391B2 (ja) 2019-02-26 2019-02-26 不正通信検知装置および不正通信検知プログラム
US16/565,574 US11792650B2 (en) 2019-02-26 2019-09-10 Unauthorized communication detection apparatus and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019032743A JP7109391B2 (ja) 2019-02-26 2019-02-26 不正通信検知装置および不正通信検知プログラム

Publications (2)

Publication Number Publication Date
JP2020135816A true JP2020135816A (ja) 2020-08-31
JP7109391B2 JP7109391B2 (ja) 2022-07-29

Family

ID=72140826

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019032743A Active JP7109391B2 (ja) 2019-02-26 2019-02-26 不正通信検知装置および不正通信検知プログラム

Country Status (2)

Country Link
US (1) US11792650B2 (ja)
JP (1) JP7109391B2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022168306A1 (ja) * 2021-02-08 2022-08-11 日本電信電話株式会社 伝送システム、伝送方法、および、伝送プログラム
JP2022136793A (ja) * 2021-03-08 2022-09-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 ゲートウェイ装置、データ送信方法、及びプログラム
JP7494240B2 (ja) 2022-03-30 2024-06-03 尚承科技股▲フン▼有限公司 Aiによるネットワーク攻撃防御システムおよびその方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11729190B2 (en) * 2019-10-29 2023-08-15 General Electric Company Virtual sensor supervised learning for cyber-attack neutralization
US11962459B1 (en) 2020-05-17 2024-04-16 Heltun, Inc. Intelligent traffic control in a bridge using cloud-based control for connected IoT devices
US11599527B2 (en) * 2020-09-21 2023-03-07 International Business Machines Corporation Optimizing distributed ledger storage and battery usage in iot devices

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007096735A (ja) * 2005-09-29 2007-04-12 Fujitsu Ltd ネットワークセキュリティ装置
WO2015107861A1 (ja) * 2014-01-14 2015-07-23 株式会社Pfu 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム
WO2016147403A1 (ja) * 2015-03-19 2016-09-22 三菱電機株式会社 情報処理装置及び情報処理方法及び情報処理プログラム

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
US20100161537A1 (en) * 2008-12-23 2010-06-24 At&T Intellectual Property I, L.P. System and Method for Detecting Email Spammers
US9813310B1 (en) * 2011-10-31 2017-11-07 Reality Analytics, Inc. System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics
US9635039B1 (en) * 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9049221B1 (en) * 2013-11-12 2015-06-02 Emc Corporation Detecting suspicious web traffic from an enterprise network
US9979606B2 (en) * 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
CN107429606B (zh) * 2015-03-26 2019-09-06 株式会社京滨 阀控制装置及阀系统
JP6430356B2 (ja) 2015-10-30 2018-11-28 日本電信電話株式会社 検知方法及び検知システム
CN105634992B (zh) * 2015-12-29 2019-01-11 网宿科技股份有限公司 Cdn平台自适应带宽控制方法和系统
JP6711710B2 (ja) 2016-07-07 2020-06-17 エヌ・ティ・ティ・コミュニケーションズ株式会社 監視装置、監視方法および監視プログラム
CN108234247B (zh) * 2018-01-25 2020-06-23 网宿科技股份有限公司 一种检测网络质量的方法和系统
JP7033467B2 (ja) * 2018-03-01 2022-03-10 株式会社日立製作所 不正通信検知装置および不正通信検知プログラム
JP6528893B1 (ja) * 2018-11-07 2019-06-12 富士通株式会社 学習プログラム、学習方法、情報処理装置
EP3663951B1 (en) * 2018-12-03 2021-09-15 British Telecommunications public limited company Multi factor network anomaly detection

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007096735A (ja) * 2005-09-29 2007-04-12 Fujitsu Ltd ネットワークセキュリティ装置
WO2015107861A1 (ja) * 2014-01-14 2015-07-23 株式会社Pfu 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム
WO2016147403A1 (ja) * 2015-03-19 2016-09-22 三菱電機株式会社 情報処理装置及び情報処理方法及び情報処理プログラム

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022168306A1 (ja) * 2021-02-08 2022-08-11 日本電信電話株式会社 伝送システム、伝送方法、および、伝送プログラム
JP2022136793A (ja) * 2021-03-08 2022-09-21 エヌ・ティ・ティ・コミュニケーションズ株式会社 ゲートウェイ装置、データ送信方法、及びプログラム
JP7177873B2 (ja) 2021-03-08 2022-11-24 エヌ・ティ・ティ・コミュニケーションズ株式会社 ゲートウェイ装置、データ送信方法、及びプログラム
JP7494240B2 (ja) 2022-03-30 2024-06-03 尚承科技股▲フン▼有限公司 Aiによるネットワーク攻撃防御システムおよびその方法

Also Published As

Publication number Publication date
US20200275278A1 (en) 2020-08-27
JP7109391B2 (ja) 2022-07-29
US11792650B2 (en) 2023-10-17

Similar Documents

Publication Publication Date Title
JP7033467B2 (ja) 不正通信検知装置および不正通信検知プログラム
JP7109391B2 (ja) 不正通信検知装置および不正通信検知プログラム
EP3563554B1 (en) System and method for detecting unknown iot device types by monitoring their behavior
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
US9948667B2 (en) Signature rule processing method, server, and intrusion prevention system
US20170111373A1 (en) Systems and methods for securing command and data interfaces to sensors and devices through the use of a protected security zone
US20180007578A1 (en) Machine-to-Machine Anomaly Detection
US20120173712A1 (en) Method and device for identifying p2p application connections
KR102151317B1 (ko) 강화학습 기법을 활용한 LoRa Enabled IoT 장치의 에너지 최적화 방법 및 시스템
KR20180062318A (ko) SVM-SOM 결합 기반 DDoS 탐지 시스템 및 방법
CN102036248B (zh) 拒绝服务攻击防御方法、系统、无线接入点及无线控制器
CN109657463A (zh) 一种报文洪泛攻击的防御方法及装置
US11432214B2 (en) Method for network state identification and electronic device therefor
CN111314348B (zh) 信任度模型建立、信任评价、设备认证的方法及装置
EP4274160A1 (en) System and method for machine learning based malware detection
US20220141185A1 (en) Communication terminal device, communication control method, and communication control program
JP6066877B2 (ja) 認証サーバ、認証方法及び認証プログラム
CN115952563A (zh) 基于物联网的数据安全通信系统
US20190281461A1 (en) Detecting unauthorized access to a wireless network
EP3668039A1 (en) Sending terminal, sending method, information processing terminal, and information processing method
CN107819739B (zh) 一种确定终端是否存在长链路连接的方法及服务器
US8924547B1 (en) Systems and methods for managing network devices based on server capacity
KR101922594B1 (ko) 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법
US20180278645A1 (en) Software evaluation method and software evaluation device
CN110703615A (zh) 基于物联网的数据驱动场景的方法和装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210511

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220208

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220209

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220407

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220712

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220719

R150 Certificate of patent or registration of utility model

Ref document number: 7109391

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150