JP6282955B2 - Unauthorized connection detection system, method and program - Google Patents

Unauthorized connection detection system, method and program Download PDF

Info

Publication number
JP6282955B2
JP6282955B2 JP2014155496A JP2014155496A JP6282955B2 JP 6282955 B2 JP6282955 B2 JP 6282955B2 JP 2014155496 A JP2014155496 A JP 2014155496A JP 2014155496 A JP2014155496 A JP 2014155496A JP 6282955 B2 JP6282955 B2 JP 6282955B2
Authority
JP
Japan
Prior art keywords
response time
sensor device
response
risk
sensor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2014155496A
Other languages
Japanese (ja)
Other versions
JP2016033692A (en
Inventor
雅晴 服部
雅晴 服部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2014155496A priority Critical patent/JP6282955B2/en
Publication of JP2016033692A publication Critical patent/JP2016033692A/en
Application granted granted Critical
Publication of JP6282955B2 publication Critical patent/JP6282955B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Description

本発明は、不正接続検知システム、方法およびプログラムに関する。
特に、本発明は、各種デバイス同士が相互に情報交換を行うMachine to Machine(以下、M2Mと言う。)システムにおける異常センサデバイスによる不正接続検知技術に関し、不正接続の検知を判定する検知方法およびシステムに関するものである。 The present invention relates to an unauthorized connection detection system, method, and program.
In particular, the present invention relates to an unauthorized connection detection technique using an abnormal sensor device in a Machine to Machine (hereinafter referred to as M2M) system in which various devices exchange information with each other, and a detection method and system for determining detection of unauthorized connection. It is about.

近年、ネットワークに接続された健康センサなどの各種センサデバイス同士が相互に情報交換を行うM2Mと呼ばれる通信形態の利用が進んでいる。ネットワーク形態として、センサデバイス自身が通信モジュールを具備してモバイルネットワークに接続する形態や、近傍に複数あるセンサデバイスをセンサゲートウェイで一旦収容しモバイルネットワークに接続する形態が存在する。後者の形態では、モバイルネットワークに接続する通信モジュールをセンサデバイスに具備する必要がなく、センサデバイスをより安価にすることができる。そのため、M2Mサービスの普及の一助になることが期待される。一方でセンサデバイスの処理能力やメモリ容量が十分でなく、セキュリティ機能を含め機能が制限されているケースが多い。
このようなセンサデバイスに関する技術を開示する特許文献1および特許文献2が知られている。 In recent years, use of a communication form called M2M in which various sensor devices such as health sensors connected to a network exchange information with each other has been advanced. As a network form, there are a form in which the sensor device itself includes a communication module and connects to the mobile network, and a form in which a plurality of sensor devices in the vicinity are temporarily accommodated in the sensor gateway and connected to the mobile network. In the latter form, it is not necessary to provide the communication device connected to the mobile network in the sensor device, and the sensor device can be made cheaper. Therefore, it is expected to help spread the M2M service. On the other hand, the processing capability and memory capacity of the sensor device are not sufficient, and there are many cases where functions including security functions are limited.
Patent Document 1 and Patent Document 2 that disclose techniques related to such a sensor device are known.

特許文献1は、不正接続検知システムを開示する。この発明は、監視システム(センサゲートウェイに相当)から監視対象(センサデバイスに相当)に向け定期的にリクエストを送信し、監視対象に格納されている監視プログラムから所定の接続通知に関わるレスポンスを監視システムで受領する。定期的な接続通知の未受領により監視対象の異常を推定する。   Patent document 1 discloses an unauthorized connection detection system. The present invention periodically sends a request from a monitoring system (equivalent to a sensor gateway) to a monitoring target (equivalent to a sensor device), and monitors a response related to a predetermined connection notification from a monitoring program stored in the monitoring target. Receive in the system. Estimate abnormalities to be monitored based on periodic receipt of connection notifications.

また、特許文献2は、認証サーバ、認証方法および認証プログラムを開示する。この発明は、各種センサデバイス同士が相互に情報交換を行うM2Mシステムにおいてリスクベース認証を行う認証システムおよび認証方法に適用する。この認証サーバでは、データ送受信のトラヒックなどのパフォーマンス情報を元にリスクレベルを決定する。パフォーマンス情報により、主にリスクレベルの評価を行う。その理由は、多くのセンサデバイスが規則性を有するため、その規則性から外れた挙動に対してはリスク度が高いと判断できるためである。   Patent Document 2 discloses an authentication server, an authentication method, and an authentication program. The present invention is applied to an authentication system and an authentication method for performing risk-based authentication in an M2M system in which various sensor devices exchange information with each other. This authentication server determines the risk level based on performance information such as data transmission / reception traffic. The risk level is mainly evaluated based on performance information. The reason is that since many sensor devices have regularity, it can be determined that the degree of risk is high for behavior that deviates from the regularity.

特開2006―190057号公報Japanese Patent Laid-Open No. 2006-190057 特願2013―200332号公報Japanese Patent Application No. 2013-200332

M2Mシステムで利用されるセンサデバイスには、非常にリソースの限られたセンサデバイスが存在する。このようなセンサデバイスにはセキュリティに関する機能(認証プロトコルなど)の実装が不可能であり、センサデバイスの個体識別番号で区別してインターネットへの接続可否の判断をしていた。このとき、なりすましによる異常センサデバイスのインターネット接続を防ぐことは技術的に全くできなかった。
例えば、特許文献1では、異常なトラヒックが発生する前に、監視システムであるセンサゲートウェイからリクエストを送信することで能動的に監視対象であるセンサデバイスをモニタする。しかしながら、センサデバイスに所定の監視プログラムを実装することが前提となり、リソースの限られたセンサデバイスには実装できない問題があった。
また、特許文献2では、センサデバイスのパフォーマンス情報を元にして統計処理を実施して異常度を算出するようにして、センサデバイスにプログラムを追加実装すること無く、異常センサデバイスのインターネット接続を防ぐ。これによりセンサデバイスにセキュリティ機能を実装する必要性がなくなり、特許文献1の課題を解決している。
しかしながら、センサデバイスの異常を統計処理にて判定する際のしきい値の設定により、しきい値を厳しく設定すると正常なセンサデバイスを頻繁に異常と判定してしまいM2Mシステムの運用に支障をきたす可能性がある。一方で、しきい値を甘く設定すると、異常なセンサデバイスを検出しにくくなるトレードオフが存在する。ここで従来通りに統計処理として通常使われる手法(例えば、標準偏差を用いた手法)では上記のトレードオフに対して最適なしきい値を設定できない課題が引き続き存在する。 Among sensor devices used in M2M systems, there are sensor devices with very limited resources. Such a sensor device cannot implement security-related functions (such as an authentication protocol), and it is determined whether or not it is possible to connect to the Internet based on the individual identification number of the sensor device. At this time, it was technically impossible to prevent the abnormal sensor device from being connected to the Internet by spoofing.
For example, in Patent Document 1, before abnormal traffic occurs, a sensor device that is a monitoring target is actively monitored by transmitting a request from a sensor gateway that is a monitoring system. However, it is assumed that a predetermined monitoring program is mounted on the sensor device, and there is a problem that it cannot be mounted on a sensor device with limited resources.
In Patent Document 2, statistical processing is performed based on the performance information of the sensor device to calculate the degree of abnormality, and the Internet connection of the abnormal sensor device is prevented without additionally mounting a program on the sensor device. . This eliminates the need to mount a security function in the sensor device, and solves the problem of Patent Document 1.
However, if a threshold value is set strictly when a sensor device abnormality is determined by statistical processing, a normal sensor device is frequently determined to be abnormal if the threshold value is set severely, which hinders the operation of the M2M system. there is a possibility. On the other hand, when the threshold value is set softly, there is a trade-off that makes it difficult to detect an abnormal sensor device. Here, there is still a problem in which an optimum threshold value cannot be set for the above trade-off in a method normally used for statistical processing as usual (for example, a method using standard deviation).

そこで、不正な接続をするセンサデバイスの検知を適切に判定するシステムが求められている。   Therefore, there is a need for a system that appropriately determines detection of a sensor device that makes an illegal connection.

本発明は、不正な接続をするセンサデバイスの検知を適切に判定する不正接続検知システム、方法およびプログラムを提供することを目的とする。   An object of the present invention is to provide an unauthorized connection detection system, method, and program that appropriately determine detection of a sensor device that performs unauthorized connection.

本発明は、トレードオフの存在するしきい値設定においてM2Mシステムに最適な値を設定する方法として、センサデバイスの特徴を利用する。
具体的には、センサネットワークの特徴として、消費電力を抑制するためのセンサデバイスのスリープ機能を利用する。スリープ機能とは、センサデバイスが定期的に送受信可能な状態から送受信機の電源をOFFにすることである。再度、送受信機の電源をONにする時にセンサデバイスはセンサゲートウェイに向けてパケットを送信するため、センサゲートウェイはこれを受信した場合に、逆にセンサデバイスに対してリクエストを送信し、応答時間を測定する。応答時間を測定するのは異常センサデバイスが正常なセンサデバイスと異なるプロセスを実施する場合に少ないリソースである計算能力がこれに消費され、応答時間が変化することを利用するためである。そして、センサデバイスにより送受信機ON/OFF時の消費電力、時間および搭載しているバッテリの容量が決まっているので、バッテリ寿命中に応答時間を計測する回数が把握できる。しきい値には、バッテリの寿命内におけるスリープサイクル回数(=応答時間計測回数)の逆数である確率以下となる値を設定する。このようにすることで正常センサデバイスを異常と誤判定されることを防ぎつつ、異常センサデバイスの検出精度を高くする最適なしきい値の設定ができる。
具体的には、以下のような解決手段を提供する。 The present invention uses the characteristics of the sensor device as a method of setting an optimum value for the M2M system in the threshold setting with a trade-off.
Specifically, as a feature of the sensor network, a sleep function of the sensor device for suppressing power consumption is used. The sleep function is to turn off the power of the transceiver from a state in which the sensor device can periodically transmit and receive. When the transmitter / receiver power is turned on again, the sensor device sends a packet to the sensor gateway. When the sensor gateway receives the packet, it sends a request to the sensor device and sets the response time. taking measurement. The reason for measuring the response time is to use the fact that the computing power, which is a small resource, is consumed when the abnormal sensor device performs a different process from the normal sensor device, and the response time changes. And since the power consumption, time at the time of transmitter / receiver ON / OFF, and the capacity | capacitance of the mounted battery are decided by the sensor device, the frequency | count of measuring response time can be grasped | ascertained during battery life. The threshold value is set to a value that is equal to or less than the probability that is the reciprocal of the number of sleep cycles (= response time measurement number) within the battery life. By doing so, it is possible to set an optimum threshold value that increases the detection accuracy of the abnormal sensor device while preventing the normal sensor device from being erroneously determined as abnormal.
Specifically, the following solutions are provided.

(1) センサデバイスと、センサゲートウェイと、リスクベース認証サーバとを備える不正接続検知システムであって、前記センサデバイスは、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープ手段と、前記スリープ手段によりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信手段と、前記復帰送信手段によるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信手段と、前記応答時間リクエスト受信手段により受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信手段と、を備え、前記センサゲートウェイは、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信手段と、前記復帰受信手段による前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信手段と、前記応答時間リクエスト送信手段により送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信手段と、前記応答時間リクエスト送信手段による送信時刻と、前記応答時間レスポンス受信手段による受信時刻とから応答時間を算出する応答時間算出手段と、前記応答時間算出手段によって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信手段と、前記パフォーマンス情報送信手段によって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信手段と、前記通知受信手段によって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御手段と、を備え、前記リスクベース認証サーバは、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信手段と、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出手段と、前記パフォーマンス情報受信手段によって受信した前記パフォーマンス情報と、前記しきい値算出手段によって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定手段と、前記リスク判定手段によって判定された内容の通知を前記センサゲートウェイに送信する制御管理手段と、を備える、不正接続検知システム。   (1) An unauthorized connection detection system including a sensor device, a sensor gateway, and a risk-based authentication server, wherein the sensor device controls sleep entry and sleep return to reduce power consumption; , When returning from sleep by the sleep means, return transmission means for transmitting a packet to the sensor gateway, and response time for receiving response time measurement data as a request from the sensor gateway for transmission of the packet by the return transmission means Response time response transmission means for transmitting a response to the sensor gateway with respect to the response time measurement data received by the response time request reception means, and the sensor gateway has returned from sleep. Sen A return receiving means for receiving the packet from the device; a response time request transmitting means for sending response time measurement data as a request to the sensor device in response to reception of the packet by the return receiving means; and the response time Response time response reception means for receiving a response from the sensor device with respect to the response time measurement data transmitted by the request transmission means, a transmission time by the response time request transmission means, and a reception time by the response time response reception means Response time calculating means for calculating response time from the above, performance information transmitting means for transmitting performance information including the response time calculated by the response time calculating means to the risk-based authentication server, and transmitted by the performance information transmitting means Above Notification receiving means for receiving performance information notification from the risk-based authentication server, and connection control means for controlling connection with the sensor device based on the notification received by the notification receiving means, The risk-based authentication server calculates a threshold for determining whether or not the sensor device is normal, and a performance information receiving unit that receives the performance information including the response time from the sensor gateway. Based on the value calculation means, the performance information received by the performance information reception means, and the threshold value calculated by the threshold value calculation means, the risk of whether or not the sensor device is normal is determined. A risk judging means for judging and a judgment made by the risk judging means. And the notification of the contents and a control management means for transmitting to said sensor gateway, unauthorized connection detection system.

(1)の構成によれば、(1)に係る不正接続検知システムにおいて、センサデバイスは、スリープ復帰すると、センサゲートウェイにパケットを送信し、センサゲートウェイからリクエストとして、応答時間測定用データを受信し、受信した応答時間測定用データに対し、レスポンスをセンサゲートウェイに送信する。センサゲートウェイは、スリープ復帰したセンサデバイスから、パケットを受信し、パケットの受信に対し、センサデバイスにリクエストとして、応答時間測定用データを送信し、送信した応答時間測定用データに対し、レスポンスをセンサデバイスから受信し、応答時間リクエストの送信時刻と、応答時間レスポンスの受信時刻とから応答時間を算出し、算出した応答時間を含むパフォーマンス情報をリスクベース認証サーバに送信し、送信したパフォーマンス情報に対する通知を、リスクベース認証サーバから受信し、受信した通知に基づいて、センサデバイスとの接続を制御する。リスクベース認証サーバは、センサゲートウェイから応答時間を含むパフォーマンス情報を受信し、センサデバイスが正常であるか否かを判定するためのしきい値を算出し、受信したパフォーマンス情報と、算出したしきい値とに基づいて、センサデバイスが正常であるか否かのリスクを判定し、判定した内容の通知をセンサゲートウェイに送信する。   According to the configuration of (1), in the unauthorized connection detection system according to (1), when returning from sleep, the sensor device transmits a packet to the sensor gateway, and receives response time measurement data as a request from the sensor gateway. In response to the received response time measurement data, a response is transmitted to the sensor gateway. The sensor gateway receives a packet from the sensor device that has returned from sleep, transmits response time measurement data as a request to the sensor device in response to reception of the packet, and sends a response to the transmitted response time measurement data. The response time is received from the device, the response time request transmission time and the response time response reception time are calculated, the performance information including the calculated response time is sent to the risk-based authentication server, and the sent performance information is notified Is received from the risk-based authentication server, and the connection with the sensor device is controlled based on the received notification. The risk-based authentication server receives performance information including response time from the sensor gateway, calculates a threshold value for determining whether the sensor device is normal, and receives the received performance information and the calculated threshold. Based on the value, a risk of whether or not the sensor device is normal is determined, and a notification of the determined content is transmitted to the sensor gateway.

したがって、(1)に係る不正接続検知システムは、不正な接続をするセンサデバイスの検知を適切に判定することができる。   Therefore, the unauthorized connection detection system according to (1) can appropriately determine the detection of the sensor device that performs unauthorized connection.

(2) 前記しきい値算出手段は、消費電力と、前記応答時間と、電池容量を含むセンサデバイス情報とから、しきい値を算出する、(1)に記載の不正接続検知システム。   (2) The unauthorized connection detection system according to (1), wherein the threshold value calculation unit calculates a threshold value from power consumption, the response time, and sensor device information including battery capacity.

したがって、(2)に係る不正接続検知システムは、不正な接続をするセンサデバイスの検知をさらに適切に判定することができる。   Therefore, the unauthorized connection detection system according to (2) can more appropriately determine the detection of the sensor device that performs unauthorized connection.

(3) (1)に記載の不正接続検知システムが実行する方法であって、前記センサデバイスにおいて、前記スリープ手段が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープステップと、前記復帰送信手段が、前記スリープステップによりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信ステップと、前記応答時間リクエスト受信手段が、前記復帰送信ステップによるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信ステップと、前記応答時間レスポンス送信手段が、前記応答時間リクエスト受信ステップにより受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信ステップと、を備え、前記センサゲートウェイにおいて、前記復帰受信手段が、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信ステップと、前記応答時間リクエスト送信手段が、前記復帰受信ステップによる前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信ステップと、前記応答時間レスポンス受信手段が、前記応答時間リクエスト送信ステップにより送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信ステップと、前記応答時間算出手段が、前記応答時間リクエスト送信ステップによる送信時刻と、前記応答時間レスポンス受信ステップによる受信時刻とから応答時間を算出する応答時間算出ステップと、前記パフォーマンス情報送信手段が、前記応答時間算出ステップによって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信ステップと、前記通知受信手段が、前記パフォーマンス情報送信ステップによって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信ステップと、前記接続制御手段が、前記通知受信ステップによって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御ステップと、を備え、前記リスクベース認証サーバにおいて、前記パフォーマンス情報受信手段が、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信ステップと、前記しきい値算出手段が、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出ステップと、前記リスク判定手段が、前記パフォーマンス情報受信ステップによって受信した前記パフォーマンス情報と、前記しきい値算出ステップによって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定ステップと、前記制御管理手段が、前記リスク判定ステップによって判定された内容の通知を前記センサゲートウェイに送信する制御管理ステップと、を備える、方法。   (3) A method executed by the unauthorized connection detection system according to (1), wherein, in the sensor device, the sleep unit controls sleep entry and sleep return in order to reduce power consumption; When the return transmission means returns to sleep by the sleep step, the return transmission step of transmitting a packet to the sensor gateway; and the response time request reception means responds to the transmission of the packet by the return transmission step with respect to the sensor gateway. A response time request receiving step for receiving response time measurement data as a request from the sensor gateway, and the response time response transmitting means sends a response to the sensor gateway for the response time measurement data received by the response time request receiving step. Sent to A response time response transmission step, wherein the return reception unit receives the packet from the sensor device that has returned from sleep, and the response time request transmission unit includes the return time response transmission step. In response to reception of the packet by the reception step, a response time request transmission step of transmitting response time measurement data as a request to the sensor device, and a response transmitted by the response time response reception means in the response time request transmission step A response time response receiving step for receiving a response from the sensor device with respect to the time measurement data, and the response time calculating means includes a transmission time by the response time request transmitting step, and a response time response receiving step. A response time calculation step for calculating a response time from the received time according to the performance information transmission, and the performance information transmission means for transmitting performance information including the response time calculated in the response time calculation step to the risk-based authentication server. A notification receiving step for receiving from the risk-based authentication server a notification for the performance information transmitted by the performance information transmitting step, and the connection control means received by the notification receiving step. A connection control step for controlling connection with the sensor device based on the notification, wherein the performance information receiving means includes the response time from the sensor gateway in the risk-based authentication server. A performance information receiving step for receiving performance information, a threshold value calculating step for calculating a threshold value by which the threshold value calculating means determines whether or not the sensor device is normal, and the risk determination. A means determines a risk of whether or not the sensor device is normal based on the performance information received in the performance information reception step and the threshold value calculated in the threshold value calculation step. A method comprising: a risk determination step; and a control management step in which the control management means transmits a notification of the content determined in the risk determination step to the sensor gateway.

したがって、(3)に係る方法は、不正な接続をするセンサデバイスの検知を適切に判定することができる。   Therefore, the method according to (3) can appropriately determine the detection of a sensor device that makes an illegal connection.

(4) コンピュータに、(3)に記載の方法の各ステップを実行させるためのプログラム。   (4) A program for causing a computer to execute each step of the method according to (3).

したがって、(4)に係るプログラムは、コンピュータに、不正な接続をするセンサデバイスの検知を適切に判定させることができる。   Therefore, the program according to (4) can cause the computer to appropriately determine the detection of the sensor device that performs unauthorized connection.

本発明によれば、不正な接続をするセンサデバイスの検知を適切に判定することができる。
本発明によれば、認証プロトコルを実装できない低機能なセンサデバイスのなりすましによる不正接続を防ぐことができる。その結果、本発明は、(1)ネットワークのタダ乗りのリスクを減らせる、(2)ネットワーク攻撃の踏み台にされるリスクを減らせる、(3)ネットワークへの侵入による情報漏えいのリスクを減らせる、ことができる。
また、本発明によれば、センサデバイスの異常を統計処理にて判定する場合、しきい値の設定により、しきい値を厳しく設定すると正常なセンサデバイスを頻繁に異常と判定してしまいM2Mシステムの運用に支障をきたす可能性があり、しきい値を甘く設定すると、異常なセンサデバイスを検出しにくくなるトレードオフが存在する課題や、従来通りに統計処理として通常使われる手法(例えば、標準偏差を用いた手法)では上記のトレードオフに対して最適なしきい値を設定できない課題を、解決することができる。
本発明は、センサの特徴に関わる数値を利用することにより、正常センサデバイスを異常と誤判定されることを防ぎつつ、異常センサデバイスの検出精度を高くする最適なしきい値の設定ができる効果がある。 ADVANTAGE OF THE INVENTION According to this invention, the detection of the sensor device which performs unauthorized connection can be determined appropriately.
ADVANTAGE OF THE INVENTION According to this invention, the unauthorized connection by the spoofing of the low function sensor device which cannot mount an authentication protocol can be prevented. As a result, the present invention can (1) reduce the risk of free riding on the network, (2) reduce the risk of being used as a platform for network attacks, and (3) reduce the risk of information leakage due to intrusion into the network. ,be able to.
Further, according to the present invention, when abnormality of a sensor device is determined by statistical processing, if a threshold value is set strictly by setting a threshold value, a normal sensor device is frequently determined to be abnormal, and the M2M system If there is a trade-off that makes it difficult to detect abnormal sensor devices if the threshold is set too low, or methods that are normally used for statistical processing as usual (for example, standard The technique using the deviation) can solve the problem that the optimum threshold value cannot be set for the above trade-off.
The present invention has the effect of making it possible to set an optimum threshold value that increases the detection accuracy of an abnormal sensor device while preventing a normal sensor device from being erroneously determined to be abnormal by using numerical values related to sensor characteristics. is there.

本発明の一実施形態に係る不正接続検知システムの構成を示すブロック図である。It is a block diagram which shows the structure of the unauthorized connection detection system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る不正接続検知システムにおけるセンサゲートウェイの処理内容を示すフローチャートである。It is a flowchart which shows the processing content of the sensor gateway in the unauthorized connection detection system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る不正接続検知システムにおけるセンサゲートウェイとセンサデバイスとのデータシーケンスの例を示す図である。It is a figure which shows the example of the data sequence of the sensor gateway and sensor device in the unauthorized connection detection system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る不正接続検知システムにおけるリスクベース認証サーバの処理内容を示すフローチャートである。It is a flowchart which shows the processing content of the risk-based authentication server in the unauthorized connection detection system which concerns on one Embodiment of this invention. 本発明の一実施形態に係る不正接続検知システムにおける判定を説明するための説明図である。It is explanatory drawing for demonstrating the determination in the unauthorized connection detection system which concerns on one Embodiment of this invention.

以下、本発明の実施形態について、図を参照しながら説明する。
<不正接続検知方法およびそのシステム>
図1は、本発明の一実施形態に係る不正接続検知システム1の構成を示すブロック図である。不正接続検知システム1は、センサデバイス10と、センサゲートウェイ20と、リスクベース認証サーバ30とから構成される。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
<Illegal connection detection method and system>
FIG. 1 is a block diagram showing a configuration of an unauthorized connection detection system 1 according to an embodiment of the present invention. The unauthorized connection detection system 1 includes a sensor device 10, a sensor gateway 20, and a risk-based authentication server 30.

センサデバイス10は、近距離無線通信(例えば、ZigBee(IEEE802.15.4)など)機能を具備しており、センシングしたデータを近距離無線通信を利用してセンサゲートウェイ20に転送する。センサデバイス10は、消費電力を抑制するためスリープ機能が具備されている(スリープ手段11)。再度、送受信機の電源をONにする時にセンサデバイス10はセンサゲートウェイ20に向けてパケットを送信する(復帰送信手段12)。また、センサデバイス10は、センサゲートウェイ20からリクエストを受信する(応答時間リクエスト受信手段13)と、センサゲートウェイ20にレスポンスを送信する(応答時間レスポンス送信手段14)。センサデバイス10により送受信機ON/OFF時の消費電力、時間および搭載しているバッテリの容量が決まっている。   The sensor device 10 has a short-range wireless communication (for example, ZigBee (IEEE802.15.4)) function, and transfers sensed data to the sensor gateway 20 using short-range wireless communication. The sensor device 10 is provided with a sleep function to reduce power consumption (sleep means 11). When the power of the transceiver is turned on again, the sensor device 10 transmits a packet toward the sensor gateway 20 (return transmission means 12). In addition, when the sensor device 10 receives a request from the sensor gateway 20 (response time request reception unit 13), the sensor device 10 transmits a response to the sensor gateway 20 (response time response transmission unit 14). The sensor device 10 determines power consumption, time, and installed battery capacity when the transceiver is turned on and off.

センサゲートウェイ20は、センサデバイス10からセンシングしたデータを受信する。また、センサゲートウェイ20は、センサデバイス10に向けて応答時間測定用データを送信(応答時間リクエスト送信手段22)し、センサデバイス10からの応答時間測定用データのレスポンスを受信(応答時間レスポンス受信手段23)し、応答時間を計測する。センサデバイス10にはスリープ機能が存在するため、確実に応答時間を計測するため、センサデバイス10のスリープから復帰時に送信されるデータリクエストに対して、センサゲートウェイ20がこれを受信(復帰受信手段21)した場合に、逆にセンサデバイス10に対して応答時間測定用データを送信して、応答時間を測定する(応答時間算出手段24)。センサゲートウェイ20は、リスクベース認証サーバ30に対して、応答時間・データ量・データ転送間隔などのパフォーマンス情報をリスク判定のために送信する(パフォーマンス情報送信手段25)。また、センサゲートウェイ20は、リスク判定結果をリスクベース認証サーバ30から受信(通知受信手段26)して、その結果に応じてセンサデバイス10との接続を開始/継続/切断を行う(接続制御手段27)。   The sensor gateway 20 receives data sensed from the sensor device 10. The sensor gateway 20 transmits response time measurement data to the sensor device 10 (response time request transmission means 22), and receives a response time measurement data response from the sensor device 10 (response time response reception means). 23) and measure the response time. Since the sensor device 10 has a sleep function, the sensor gateway 20 receives the data request transmitted when the sensor device 10 returns from sleep in order to reliably measure the response time (return receiving means 21). ), The response time measurement data is transmitted to the sensor device 10 to measure the response time (response time calculation means 24). The sensor gateway 20 transmits performance information such as response time, data amount, and data transfer interval to the risk-based authentication server 30 for risk determination (performance information transmitting means 25). The sensor gateway 20 receives the risk determination result from the risk-based authentication server 30 (notification receiving unit 26), and starts / continues / disconnects the sensor device 10 according to the result (connection control unit). 27).

リスクベース認証サーバ30は、リスク分析部301としきい値設定部302とを備える。
リスク分析部301は、後述のしきい値設定部302からしきい値情報を受信し、センサゲートウェイ20から受信(パフォーマンス情報受信手段31)したパフォーマンス情報を統計処理(正規性検定など)し、正常/異常をリスク判定するリスク判定機能(リスク判定手段33)と、リスク判定結果を利用者およびセンサゲートウェイ20に通知を行う制御管理機能(制御管理手段34)とを具備する。
しきい値設定部302は、消費電力P(送受信機ON時およびスリープ時)、時間T(送受信機ON時およびスリープ時)、電池容量Cなどのセンサデバイス情報からしきい値を算出する機能(しきい値算出手段32)を具備する。
例えば、スリープサイクル一回あたりの消費電力は、次の様に計算される。
送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時
したがって、センサデバイス10のバッテリ寿命中のスリープサイクル回数は、次の様に計算される。
C/(P送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時
リスク判定機能における統計処理を実施する時に、応答時間などのパフォーマンスの累積確率がスリープサイクルの逆数になる値をしきい値に設定することで、正常センサデバイスを異常と誤判定されることを防ぐことができる。 The risk-based authentication server 30 includes a risk analysis unit 301 and a threshold setting unit 302.
The risk analysis unit 301 receives threshold information from a threshold setting unit 302 (to be described later), performs statistical processing (such as a normality test) on the performance information received from the sensor gateway 20 (performance information receiving means 31), and normal / Risk determination function (risk determination means 33) for determining risk of abnormality and a control management function (control management means 34) for notifying the user and the sensor gateway 20 of the risk determination result.
The threshold value setting unit 302 has a function of calculating a threshold value from sensor device information such as power consumption P (when the transmitter / receiver is ON and at sleep), time T (when the transmitter / receiver is ON and at sleep), and battery capacity C ( Threshold calculation means 32) is provided.
For example, the power consumption per sleep cycle is calculated as follows.
When P transmitter / receiver is ON × T When transmitter / receiver is ON + P sleep × T sleep
Therefore, the number of sleep cycles during the battery life of the sensor device 10 is calculated as follows.
C / (P transceiver ON x T transceiver ON + P sleep x T sleep )
When performing statistical processing in the risk judgment function, by setting the threshold value to a value that makes the cumulative probability of performance such as response time the reciprocal of the sleep cycle, it is possible to prevent a normal sensor device from being erroneously judged as abnormal. be able to.

<センサゲートウェイ20における処理フロー>
図2は、本発明の一実施形態に係る不正接続検知システム1におけるセンサゲートウェイ20の処理内容を示すフローチャートである。
最初のステップとして、センサゲートウェイ20(復帰受信手段21)は、センサデバイス10からセンサネットワークへ参加するための要求を受信する(ステップS1)。
センサゲートウェイ20(応答時間リクエスト送信手段22)は、参加要求を受信後に必要に応じて認証処理を行いセンサデバイス10に対してネットワーク参加承認の応答を送信する。センサデバイス10は、センサネットワークに参加する(ステップS2)。 <Processing flow in sensor gateway 20>
FIG. 2 is a flowchart showing the processing contents of the sensor gateway 20 in the unauthorized connection detection system 1 according to an embodiment of the present invention.
As a first step, the sensor gateway 20 (return receiving means 21) receives a request for joining the sensor network from the sensor device 10 (step S1).
The sensor gateway 20 (response time request transmission means 22) performs an authentication process as necessary after receiving the participation request, and transmits a response of network participation approval to the sensor device 10. The sensor device 10 participates in the sensor network (step S2).

図3は、本発明の一実施形態に係る不正接続検知システム1におけるセンサゲートウェイ20とセンサデバイス10とのデータシーケンスの例を示す図である。図3の例は、センサネットワークに参加後のセンサゲートウェイ20とセンサデバイス10との間のデータシーケンスを表わす。センサネットワークに参加した後のセンサデバイス10は、省電力化のために一定間隔でスリープに突入し、復帰する(スリープ手段11)。センサデバイス10(復帰送信手段12)は、スリープから復帰すると、センサゲートウェイ20に対してデータリクエストを送信する。   FIG. 3 is a diagram illustrating an example of a data sequence between the sensor gateway 20 and the sensor device 10 in the unauthorized connection detection system 1 according to the embodiment of the present invention. The example of FIG. 3 represents a data sequence between the sensor gateway 20 and the sensor device 10 after joining the sensor network. The sensor device 10 after participating in the sensor network enters the sleep at a predetermined interval to recover power (sleep means 11). When returning from sleep, the sensor device 10 (return transmission unit 12) transmits a data request to the sensor gateway 20.

図2に戻り、フローチャートの説明を続ける。
センサゲートウェイ20(復帰受信手段21)は、センサデバイス10から復帰のデータリクエストを受信したか否かを判断し、受信した場合(ステップS3でYESの場合)、レスポンスを送信し、ステップS4へ移る。受信しなかった場合(ステップS3でNOの場合)、ステップS8へ移る。
また、センサゲートウェイ20(応答時間リクエスト送信手段22)は、レスポンスとは別に、センサデバイス10から復帰のデータリクエスト受信後に、応答時間測定用データをセンサデバイス10に向けて送信する(ステップS4)。
この時の送信時刻をtn1とする。センサデバイス10は、応答時間測定用データを受信し(応答時間リクエスト受信手段13)、応答時間測定用データのレスポンスを送信する(応答時間レスポンス送信手段14)。センサゲートウェイ20(応答時間レスポンス受信手段23)は、この応答時間測定用データのレスポンスを受信する(ステップS5)。この時の受信時刻をtn2とする。
センサゲートウェイ20(応答時間算出手段24)は、応答時間を次の式で算出する(ステップS6)。
=tn2−tn1
センサゲートウェイ20(通知受信手段26)は、算出した応答時間Tを、リスクベース認証サーバ30へ通知する(ステップS7)。その後、センサゲートウェイ20(接続制御手段27)は、センサデバイス10との切断処理が発生しない場合(ステップS8でNOの場合)、再度センサデバイス10からのデータ受信待ち状態に戻る。センサゲートウェイ20(接続制御手段27)は、切断処理が発生した場合(ステップS8でYESの場合)、処理を終了する。 Returning to FIG. 2, the description of the flowchart will be continued.
The sensor gateway 20 (return receiving means 21) determines whether or not a return data request has been received from the sensor device 10, and if received (if YES in step S3), transmits a response and proceeds to step S4. . If not received (NO in step S3), the process proceeds to step S8.
In addition to the response, the sensor gateway 20 (response time request transmission unit 22) transmits response time measurement data to the sensor device 10 after receiving a return data request from the sensor device 10 (step S4).
The transmission time at this time is tn1 . The sensor device 10 receives the response time measurement data (response time request reception means 13) and transmits a response of the response time measurement data (response time response transmission means 14). The sensor gateway 20 (response time response receiving means 23) receives the response of the response time measurement data (step S5). The reception time at this time is assumed to be tn2 .
The sensor gateway 20 (response time calculation means 24) calculates the response time by the following equation (step S6).
T n = t n2 −t n1
The sensor gateway 20 (notification receiving means 26) notifies the calculated response time T n to the risk-based authentication server 30 (step S7). Thereafter, when disconnection processing with the sensor device 10 does not occur (NO in step S8), the sensor gateway 20 (connection control unit 27) returns to a state of waiting for data reception from the sensor device 10 again. The sensor gateway 20 (connection control means 27) ends the process when the disconnection process occurs (YES in step S8).

<リスクベース認証サーバ30における処理フロー>
図4は、本発明の一実施形態に係る不正接続検知システム1におけるリスクベース認証サーバ30の処理内容を示すフローチャートである。
リスクベース認証サーバ30は、センサゲートウェイ20、センサデバイス10を接続する前に、接続が予定されているセンサデバイス10のデバイス情報(前述の消費電力P、時間T、電池容量Cなど)を登録する(ステップS11)。
デバイス情報の登録が終了すると、リスクベース認証サーバ30は、しきい値算出部(しきい値算出手段32)において下記の通りにしきい値とする確率を計算する(ステップS12)。 <Processing flow in the risk-based authentication server 30>
FIG. 4 is a flowchart showing the processing contents of the risk-based authentication server 30 in the unauthorized connection detection system 1 according to an embodiment of the present invention.
Prior to connecting the sensor gateway 20 and the sensor device 10, the risk-based authentication server 30 registers device information (such as the above-described power consumption P, time T, and battery capacity C) of the sensor device 10 to be connected. (Step S11).
When the registration of the device information is completed, the risk-based authentication server 30 calculates the probability of setting the threshold value as follows in the threshold value calculation unit (threshold value calculation means 32) (step S12).

しきい値とする確率Thres=1/スリープサイクル回数
スリープサイクル回数=C/(P送受信機ON時×T送受信機ON時+Pスリープ時×Tスリープ時
ここで、P:消費電力、T:時間、C:電池容量である。 Probability of threshold value Thres = 1 / Number of sleep cycles Number of sleep cycles = C / (P transceiver ON × T transceiver ON + P sleep × T sleep )
Here, P: power consumption, T: time, C: battery capacity.

例えば、近距離無線通信(IEEE802.15.4)の消費電力は、送受信機ON時で15mA、スリープ時で1μAである。送受信機ONの時間が1secでスリープ時の時間が59secとして、単三電池2本に相当する電池容量4000mAhと仮定すると、スリープサイクル回数は9.6×10(=4000[mAh]/(15[mA]×1[sec]+1[μA]×59[sec]))となる。つまり、しきい値とする確率を1.0×10−6(=1/9.6×10)とする。 For example, the power consumption of short-range wireless communication (IEEE802.15.4) is 15 mA when the transceiver is ON and 1 μA when sleep. Assuming that the transceiver ON time is 1 sec and the sleep time is 59 sec, and the battery capacity is 4000 mAh corresponding to two AA batteries, the number of sleep cycles is 9.6 × 10 5 (= 4000 [mAh] / (15 [MA] × 1 [sec] +1 [μA] × 59 [sec])). That is, the probability of the threshold value is 1.0 × 10 −6 (= 1 / 9.6 × 10 5 ).

センサゲートウェイ20およびセンサデバイス10を接続後に、リスクベース認証サーバ30(パフォーマンス情報受信手段31)は、センサゲートウェイ20から応答時間Tの通知を受信する(ステップS13)。
リスクベース認証サーバ30(リスク判定手段33)は、受信した応答時間Tを、リスク分析部301に蓄積する(ステップS14)。
ここでリスク分析部301(リスク判定手段33)は、応答時間の値について一定数の蓄積があるかないかを判断する(ステップS15)。
これは統計的に正しい処理を実施するのに十分なサンプル数が得られているかを判定するもので、リスクベース認証サーバ30(リスク判定手段33)は、例えば統計処理上よく知られている次の式を使い算出する。 After connecting the sensor gateway 20 and the sensor device 10, risk-based authentication server 30 (performance information receiving section 31) receives the notification of the response time T n from the sensor gateway 20 (step S13).
The risk-based authentication server 30 (risk determination means 33) accumulates the received response time Tn in the risk analysis unit 301 (step S14).
Here, the risk analysis unit 301 (risk determination means 33) determines whether or not there is a certain number of accumulated response time values (step S15).
This is to determine whether a sufficient number of samples are obtained to perform statistically correct processing. The risk-based authentication server 30 (risk determination means 33) is, for example, well-known in statistical processing. Calculate using the following formula.

必要サンプル数n=N/[(ε/μ(α))×{(N−1)/ρ(1−ρ)}+1]
ここで、それぞれの記号は、次の内容を表わす。
N:対象とする母集団の大きさ
μ(α):信頼度100−αの時の正規分布の値(例えば、信頼度95%)
ε:精度(例えば、5%)
ρ:母比率(例えば、0.5) Necessary number of samples n = N / [(ε / μ (α)) 2 × {(N−1) / ρ (1−ρ)} + 1]
Here, each symbol represents the following contents.
N: Size of target population μ (α): Normal distribution value when reliability is 100-α (for example, reliability is 95%)
ε: Accuracy (for example, 5%)
ρ: population ratio (for example, 0.5)

例えば、対象とする母集団の大きさを、想定されるスリープサイクル回数の9.6×10(つまり、応答時間の測定回数)とし、信頼度95%の時のμ(α)が1.96、精度が5%、母比率を0.5とすると、必要サンプル数は、384(=9.6×10/[(0.05/1.96)×{(9.6×10−1)/0.25}+1])となる。 For example, the size of the target population is assumed to be 9.6 × 10 5 of the expected number of sleep cycles (that is, the number of times of response time measurement), and μ (α) when the reliability is 95% is 1. 96, the accuracy is 5%, and the population ratio is 0.5, the required number of samples is 384 (= 9.6 × 10 5 /[(0.05/1.96) 2 × {(9.6 × 10 5 −1) /0.25} +1]).

もしも、応答時間の値について一定数(384サンプル)の蓄積がない場合(ステップS15でNOの場合)には、次の処理をスキップする。もしも、応答時間の値について一定数の蓄積があった場合(ステップS15でYESの場合)には、リスクベース認証サーバ30は、接続開始後からの応答時間の確率分布を作成する統計処理を実施する(Sステップ16)。   If there is no accumulation (384 samples) for the response time value (NO in step S15), the next process is skipped. If a certain number of response time values have been accumulated (YES in step S15), the risk-based authentication server 30 performs a statistical process for creating a response time probability distribution after the start of connection. (S step 16).

図5は、本発明の一実施形態に係る不正接続検知システム1における判定を説明するための説明図である。図5にその応答時間の確率分布の例およびしきい値設定に関わる概念図を図示する。図5は、縦の点線以内の応答時間であれば正常なセンサデバイス10と判定し、それ以外であれば異常なセンサデバイス10と判定することを示している。
図4に戻り、フローチャートの説明を続ける。 FIG. 5 is an explanatory diagram for explaining determination in the unauthorized connection detection system 1 according to an embodiment of the present invention. FIG. 5 shows an example of the probability distribution of the response time and a conceptual diagram related to threshold setting. FIG. 5 shows that if the response time is within the vertical dotted line, the sensor device 10 is determined to be normal, and otherwise, the sensor device 10 is determined to be abnormal.
Returning to FIG. 4, the description of the flowchart will be continued.

リスクベース認証サーバ30(リスク判定手段33)は、累積確率分布(図5では確率分布の黒塗りの面積501,502に相当)の値がステップS12で算出したしきい値とする確率以下となる応答時間T(P=Thres)、T(P=Thres)を取得する(ステップS17)。
リスクベース認証サーバ30(リスク判定手段33)は、センサゲートウェイ20から受信した直近の応答時間TがT<T(P=Thres)またはT>T(P=Thres)であるか否かを判断する(ステップS18)。
もしも当てはまる場合(ステップS18でYESの場合)には、不正接続が行われている可能性が高いので、リスクベース認証サーバ30(制御管理手段34)は、利用者に通知する(ステップS19)。もしも当てはまらない場合(ステップS18でNOの場合)には、リスクベース認証サーバ30(制御管理手段34)は、特に何も処理を行わない。 The risk-based authentication server 30 (risk determination means 33) has a cumulative probability distribution (corresponding to the black areas 501 and 502 in the probability distribution in FIG. 5) of the threshold value calculated in step S12 or less. Response times T L (P = Thres) and T H (P = Thres) are acquired (step S17).
Whether the risk-based authentication server 30 (risk determination means 33) has the latest response time T n received from the sensor gateway 20 is T n <T L (P = Thres) or T n > T H (P = Thres) It is determined whether or not (step S18).
If this is the case (YES in step S18), there is a high possibility that an unauthorized connection has been made, so the risk-based authentication server 30 (control management means 34) notifies the user (step S19). If this is not the case (NO in step S18), the risk-based authentication server 30 (control management means 34) does not perform any particular processing.

リスクベース認証サーバ30は、センサゲートウェイ20からセンサデバイス切断の通知を受信しなければ(ステップS20でNOの場合)、再度センサゲートウェイ20からの応答時間の通知を受信するのを待ち、通知を受信した場合(ステップS20でYESの場合)、処理を終了する。   If the risk-based authentication server 30 does not receive the sensor device disconnection notification from the sensor gateway 20 (NO in step S20), the risk-based authentication server 30 waits to receive the response time notification from the sensor gateway 20 again and receives the notification. If so (YES in step S20), the process ends.

<その他の実施例>
前述ではスリープサイクル回数を把握するのに、事前登録した値(消費電力、時間、電池容量)を利用したがこれに限るものではない。例えば、電池を用いたセンサデバイス10の電源電圧は使用とともに降下し、ある電圧値でセンサデバイス10が電源OFFとなる。そこでセンサデバイス10から電源電圧値をセンサゲートウェイ20で取得できた場合、電源電圧の履歴から残りのスリープサイクル回数を推測することも可能である。この手法では電池のスペックには現れない個体差によるスリープサイクル回数のバラツキの影響を抑制することができる。 <Other examples>
In the above description, pre-registered values (power consumption, time, battery capacity) are used to grasp the number of sleep cycles, but the present invention is not limited to this. For example, the power supply voltage of the sensor device 10 using a battery drops with use, and the sensor device 10 is turned off at a certain voltage value. Therefore, when the power supply voltage value can be acquired from the sensor device 10 by the sensor gateway 20, the remaining number of sleep cycles can be estimated from the history of the power supply voltage. This method can suppress the influence of variations in the number of sleep cycles due to individual differences that do not appear in the battery specifications.

図4のステップS18では、一度の条件判定で、正常なセンサデバイス10を異常と判定することなく、限りなく異常であると思われるセンサデバイス10を検出することになる。異常であるセンサデバイス10をより高い精度で検出するために、T(P=Thres)とT(P=Thres)の範囲内に、新たにもう一つしきい値T(P=Thres)’とT(P=Thres)’を設け、これらのしきい値T(P=Thres)’とT(P=Thres)’を超えた場合に、異常なセンサデバイス10である可能性があると判断して、新たな評価項目(例えば、センサデバイス10のデータ送受信のトラヒックのデータ量・データ転送間隔など)で解析を実施しても良い。 In step S18 of FIG. 4, the sensor device 10 that seems to be abnormal as much as possible is detected without determining that the normal sensor device 10 is abnormal in one condition determination. In order to detect the abnormal sensor device 10 with higher accuracy, another threshold value T L (P = Thres) is newly added within the range of T L (P = Thres) and T H (P = Thres). ) ′ And T H (P = Thres) ′, and when these threshold values T L (P = Thres) ′ and T H (P = Thres) ′ are exceeded, the sensor device 10 may be abnormal. Therefore, the analysis may be performed using new evaluation items (for example, data amount of data transmission / reception traffic of the sensor device 10 and data transfer interval).

本実施形態によれば、不正接続検知システム1は、センサデバイス10と、センサゲートウェイ20と、リスクベース認証サーバ30とを備え、センサデバイス10は、スリープ手段11が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御し、復帰送信手段12が、スリープ手段11によりスリープ復帰すると、センサゲートウェイ20にパケットを送信し、応答時間リクエスト受信手段13が、復帰送信手段12によるパケットの送信に対し、センサゲートウェイ20からリクエストとして、応答時間測定用データを受信し、応答時間レスポンス送信手段14が、応答時間リクエスト受信手段13により受信した応答時間測定用データに対し、レスポンスをセンサゲートウェイ20に送信する。センサゲートウェイ20は、復帰受信手段21が、スリープ復帰したセンサデバイス10から、パケットを受信し、応答時間リクエスト送信手段22が、復帰受信手段21によるパケットの受信に対し、センサデバイス10にリクエストとして、応答時間測定用データを送信し、応答時間レスポンス受信手段23が、応答時間リクエスト送信手段22により送信した応答時間測定用データに対し、レスポンスをセンサデバイス10から受信し、応答時間算出手段24が、応答時間リクエスト送信手段22による送信時刻と、応答時間レスポンス受信手段23による受信時刻とから応答時間を算出し、パフォーマンス情報送信手段25が、応答時間算出手段24によって算出された応答時間を含むパフォーマンス情報をリスクベース認証サーバ30に送信し、通知受信手段26が、パフォーマンス情報送信手段25によって送信したパフォーマンス情報に対する通知を、リスクベース認証サーバ30から受信し、接続制御手段27が、通知受信手段26によって受信した前記通知に基づいて、センサデバイス10との接続を制御する。リスクベース認証サーバ30は、パフォーマンス情報受信手段が、センサゲートウェイ20から応答時間を含むパフォーマンス情報を受信し、しきい値算出手段32が、センサデバイス10が正常であるか否かを判定するためのしきい値を算出し、リスク判定手段33が、応答時間受信手段によって受信したパフォーマンス情報と、しきい値算出手段32によって算出されたしきい値とに基づいて、センサデバイス10が正常であるか否かのリスクを判定し、制御管理手段34が、リスク判定手段33によって判定された内容の通知をセンサゲートウェイ20に送信する。しきい値算出手段32は、消費電力と、応答時間と、電池容量を含むセンサデバイス情報とから、しきい値を算出する。
したがって、不正接続検知システム1は、不正な接続をするセンサデバイス10の検知を適切に判定することができる。 According to the present embodiment, the unauthorized connection detection system 1 includes a sensor device 10, a sensor gateway 20, and a risk-based authentication server 30. The sensor device 10 is configured so that the sleep unit 11 suppresses power consumption. The sleep transmission and sleep return are controlled, and when the return transmission means 12 returns to sleep by the sleep means 11, the packet is transmitted to the sensor gateway 20, and the response time request reception means 13 transmits the packet by the return transmission means 12. On the other hand, the response time measurement data is received as a request from the sensor gateway 20, and the response time response transmission unit 14 transmits a response to the sensor gateway 20 in response to the response time measurement data received by the response time request reception unit 13. To do. In the sensor gateway 20, the return reception unit 21 receives a packet from the sensor device 10 that has returned from sleep, and the response time request transmission unit 22 receives a packet from the return reception unit 21 as a request to the sensor device 10. Response time measurement data is transmitted, the response time response reception means 23 receives a response from the sensor device 10 for the response time measurement data transmitted by the response time request transmission means 22, and the response time calculation means 24 Performance information including the response time calculated by the response time calculating unit 24 by the performance information transmitting unit 25 calculating the response time from the transmission time by the response time request transmitting unit 22 and the reception time by the response time response receiving unit 23. The risk-based authentication server The notification receiving unit 26 receives a notification for the performance information transmitted by the performance information transmitting unit 25 from the risk-based authentication server 30, and the connection control unit 27 receives the notification received by the notification receiving unit 26. Based on this, the connection with the sensor device 10 is controlled. In the risk-based authentication server 30, the performance information receiving unit receives performance information including the response time from the sensor gateway 20, and the threshold value calculating unit 32 determines whether or not the sensor device 10 is normal. Whether the sensor device 10 is normal based on the performance information received by the response time receiving means and the threshold value calculated by the threshold value calculating means 32 by calculating the threshold value. The control management unit 34 transmits a notification of the content determined by the risk determination unit 33 to the sensor gateway 20. The threshold value calculation means 32 calculates a threshold value from power consumption, response time, and sensor device information including battery capacity.
Therefore, the unauthorized connection detection system 1 can appropriately determine the detection of the sensor device 10 that performs unauthorized connection.

以上、本発明の実施形態について説明したが、本発明は上述した実施形態に限るものではない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載されたものに限定されるものではない。   As mentioned above, although embodiment of this invention was described, this invention is not restricted to embodiment mentioned above. The effects described in the embodiments of the present invention are only the most preferable effects resulting from the present invention, and the effects of the present invention are limited to those described in the embodiments of the present invention. is not.

1 不正接続検知システム
10 センサデバイス
11 スリープ手段
12 復帰送信手段
13 応答時間リクエスト受信手段
14 応答時間レスポンス送信手段
20 センサゲートウェイ
21 復帰受信手段
22 応答時間リクエスト送信手段
23 応答時間レスポンス受信手段
24 応答時間算出手段
25 パフォーマンス情報送信手段
26 通知受信手段
27 接続制御手段
30 リスクベース認証サーバ
31 パフォーマンス情報受信手段
32 しきい値算出手段
33 リスク判定手段
34 制御管理手段
301 リスク分析部
302 しきい値設定部 DESCRIPTION OF SYMBOLS 1 Unauthorized connection detection system 10 Sensor device 11 Sleep means 12 Return transmission means 13 Response time request reception means 14 Response time response transmission means 20 Sensor gateway 21 Return reception means 22 Response time request transmission means 23 Response time response reception means 24 Response time calculation 24 Means 25 Performance information transmission means 26 Notification reception means 27 Connection control means 30 Risk-based authentication server 31 Performance information reception means 32 Threshold value calculation means 33 Risk judgment means 34 Control management means 301 Risk analysis section 302 Threshold setting section

Claims (5)

センサデバイスと、センサゲートウェイと、リスクベース認証サーバとを備える不正接続検知システムであって、
前記センサデバイスは、
消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープ手段と、
前記スリープ手段によりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信手段と、
前記復帰送信手段によるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信手段と、
前記応答時間リクエスト受信手段により受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信手段と、を備え、
前記センサゲートウェイは、
スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信手段と、
前記復帰受信手段による前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信手段と、
前記応答時間リクエスト送信手段により送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信手段と、
前記応答時間リクエスト送信手段による送信時刻と、前記応答時間レスポンス受信手段による受信時刻とから応答時間を算出する応答時間算出手段と、
前記応答時間算出手段によって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信手段と、
前記パフォーマンス情報送信手段によって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信手段と、
前記通知受信手段によって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御手段と、を備え、
前記リスクベース認証サーバは、
前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信手段と、
前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出手段と、
前記パフォーマンス情報受信手段によって受信した前記パフォーマンス情報と、前記しきい値算出手段によって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定手段と、
前記リスク判定手段によって判定された内容の通知を前記センサゲートウェイに送信する制御管理手段と、を備える、
不正接続検知システム。 An unauthorized connection detection system comprising a sensor device, a sensor gateway, and a risk-based authentication server,
The sensor device is
Sleep means for controlling sleep entry and sleep return to reduce power consumption;
When returning from sleep by the sleep means, return transmission means for transmitting a packet to the sensor gateway;
Response time request receiving means for receiving response time measurement data as a request from the sensor gateway for transmission of a packet by the return transmission means;
Response time response transmission means for transmitting a response to the sensor gateway with respect to the response time measurement data received by the response time request reception means,
The sensor gateway is
Return receiving means for receiving the packet from the sensor device that has returned from sleep; and
Response time request transmission means for transmitting response time measurement data as a request to the sensor device with respect to reception of the packet by the return reception means;
Response time response receiving means for receiving a response from the sensor device for response time measurement data transmitted by the response time request transmitting means;
Response time calculating means for calculating a response time from a transmission time by the response time request transmitting means and a reception time by the response time response receiving means;
Performance information transmitting means for transmitting performance information including the response time calculated by the response time calculating means to the risk-based authentication server;
A notification receiving means for receiving a notification for the performance information transmitted by the performance information transmitting means from the risk-based authentication server;
Connection control means for controlling connection with the sensor device based on the notification received by the notification receiving means,
The risk-based authentication server is
Performance information receiving means for receiving the performance information including the response time from the sensor gateway;
Threshold value calculating means for calculating a threshold value for determining whether or not the sensor device is normal;
Risk determining means for determining a risk as to whether or not the sensor device is normal based on the performance information received by the performance information receiving means and the threshold value calculated by the threshold value calculating means. When,
Control management means for transmitting a notification of the content determined by the risk determination means to the sensor gateway,
Unauthorized connection detection system. 前記しきい値算出手段は、前記センサデバイスに係る消費電力と、電池容量と、を含むセンサデバイス情報から、しきい値を算出する、請求項1に記載の不正接続検知システム。   The unauthorized connection detection system according to claim 1, wherein the threshold value calculation unit calculates a threshold value from sensor device information including power consumption and battery capacity relating to the sensor device. 請求項1に記載の不正接続検知システムが実行する方法であって、
前記センサデバイスにおいて、
前記スリープ手段が、消費電力を抑制するためにスリープ突入とスリープ復帰とを制御するスリープステップと、
前記復帰送信手段が、前記スリープステップによりスリープ復帰すると、前記センサゲートウェイにパケットを送信する復帰送信ステップと、
前記応答時間リクエスト受信手段が、前記復帰送信ステップによるパケットの送信に対し、前記センサゲートウェイからリクエストとして、応答時間測定用データを受信する応答時間リクエスト受信ステップと、
前記応答時間レスポンス送信手段が、前記応答時間リクエスト受信ステップにより受信した前記応答時間測定用データに対し、レスポンスを前記センサゲートウェイに送信する応答時間レスポンス送信ステップと、を備え、
前記センサゲートウェイにおいて、
前記復帰受信手段が、スリープ復帰した前記センサデバイスから、前記パケットを受信する復帰受信ステップと、
前記応答時間リクエスト送信手段が、前記復帰受信ステップによる前記パケットの受信に対し、前記センサデバイスにリクエストとして、応答時間測定用データを送信する応答時間リクエスト送信ステップと、
前記応答時間レスポンス受信手段が、前記応答時間リクエスト送信ステップにより送信した応答時間測定用データに対し、レスポンスを前記センサデバイスから受信する応答時間レスポンス受信ステップと、
前記応答時間算出手段が、前記応答時間リクエスト送信ステップによる送信時刻と、前記応答時間レスポンス受信ステップによる受信時刻とから応答時間を算出する応答時間算出ステップと、
前記パフォーマンス情報送信手段が、前記応答時間算出ステップによって算出された応答時間を含むパフォーマンス情報を前記リスクベース認証サーバに送信するパフォーマンス情報送信ステップと、
前記通知受信手段が、前記パフォーマンス情報送信ステップによって送信した前記パフォーマンス情報に対する通知を、前記リスクベース認証サーバから受信する通知受信ステップと、
前記接続制御手段が、前記通知受信ステップによって受信した前記通知に基づいて、前記センサデバイスとの接続を制御する接続制御ステップと、を備え、
前記リスクベース認証サーバにおいて、
前記パフォーマンス情報受信手段が、前記センサゲートウェイから前記応答時間を含む前記パフォーマンス情報を受信するパフォーマンス情報受信ステップと、
前記しきい値算出手段が、前記センサデバイスが正常であるか否かを判定するためのしきい値を算出するしきい値算出ステップと、
前記リスク判定手段が、前記パフォーマンス情報受信ステップによって受信した前記パフォーマンス情報と、前記しきい値算出ステップによって算出された前記しきい値とに基づいて、前記センサデバイスが正常であるか否かのリスクを判定するリスク判定ステップと、
前記制御管理手段が、前記リスク判定ステップによって判定された内容の通知を前記センサゲートウェイに送信する制御管理ステップと、を備える、
方法。 A method executed by the unauthorized connection detection system according to claim 1,
In the sensor device,
A sleep step in which the sleep means controls sleep entry and sleep return to reduce power consumption; and
When the return transmission means returns from sleep by the sleep step, a return transmission step of transmitting a packet to the sensor gateway;
The response time request receiving means receives a response time measurement data as a request from the sensor gateway with respect to the transmission of the packet by the return transmission step;
The response time response transmission means includes a response time response transmission step of transmitting a response to the sensor gateway with respect to the response time measurement data received in the response time request reception step,
In the sensor gateway,
A return reception step in which the return reception means receives the packet from the sensor device that has returned from sleep;
A response time request transmitting means for transmitting response time measurement data as a request to the sensor device in response to reception of the packet by the return reception step;
The response time response receiving means, for the response time measurement data transmitted in the response time request transmitting step, a response time response receiving step of receiving a response from the sensor device;
The response time calculation means calculates a response time from the transmission time by the response time request transmission step and the reception time by the response time response reception step; and
The performance information transmitting means transmits performance information including the response time calculated by the response time calculating step to the risk-based authentication server, and a performance information transmitting step.
A notification receiving step in which the notification receiving means receives a notification for the performance information transmitted in the performance information transmitting step from the risk-based authentication server;
The connection control means includes a connection control step for controlling connection with the sensor device based on the notification received by the notification reception step,
In the risk-based authentication server,
The performance information receiving means for receiving the performance information including the response time from the sensor gateway;
A threshold value calculating step in which the threshold value calculating means calculates a threshold value for determining whether or not the sensor device is normal;
Risk whether or not the sensor device is normal based on the performance information received in the performance information receiving step and the threshold value calculated in the threshold value calculating step. A risk determination step for determining
The control management means comprises a control management step of transmitting a notification of the content determined in the risk determination step to the sensor gateway;
Method. 請求項3に記載の不正接続検知システムが実行する方法において、
前記センサゲートウェイとしてのコンピュータに、前記センサゲートウェイにおいて実行される各ステップを実行させるためのプログラム。 In the method which the unauthorized connection detection system of Claim 3 performs,
A program for causing a computer as the sensor gateway to execute each step executed in the sensor gateway . 請求項3に記載の不正接続検知システムが実行する方法において、
前記リスクベース認証サーバとしてのコンピュータに、前記リスクベース認証サーバにおいて実行される各ステップを実行させるためのプログラム。 In the method which the unauthorized connection detection system of Claim 3 performs,
A program for causing a computer as the risk-based authentication server to execute each step executed in the risk-based authentication server .
JP2014155496A 2014-07-30 2014-07-30 Unauthorized connection detection system, method and program Active JP6282955B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2014155496A JP6282955B2 (en) 2014-07-30 2014-07-30 Unauthorized connection detection system, method and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2014155496A JP6282955B2 (en) 2014-07-30 2014-07-30 Unauthorized connection detection system, method and program

Publications (2)

Publication Number Publication Date
JP2016033692A JP2016033692A (en) 2016-03-10
JP6282955B2 true JP6282955B2 (en) 2018-02-21

Family

ID=55452574

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2014155496A Active JP6282955B2 (en) 2014-07-30 2014-07-30 Unauthorized connection detection system, method and program

Country Status (1)

Country Link
JP (1) JP6282955B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7116970B2 (en) 2018-07-19 2022-08-12 東京ライト工業株式会社 cap

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3370386B1 (en) * 2017-03-03 2019-05-15 The Boeing Company A system and a computer-implemented method for machine-to-machine authentication of an apparatus
JP7081445B2 (en) * 2018-11-05 2022-06-07 富士通株式会社 Network control device and network control method
WO2022018862A1 (en) * 2020-07-22 2022-01-27 日本電気株式会社 Network device, control method, and computer-readable medium
KR102408826B1 (en) * 2020-09-25 2022-06-16 주식회사그린존시큐리티 Apparatus for controlling access based on data transmission time of IoT devices and method therefor

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5129559B2 (en) * 2007-12-20 2013-01-30 株式会社エヌ・ティ・ティ・ドコモ Security management system, security management method, information processing terminal device, and authentication device
JP5425446B2 (en) * 2008-11-17 2014-02-26 カルソニックカンセイ株式会社 Smart keyless entry system
JP2010119137A (en) * 2010-02-15 2010-05-27 Hitachi Ltd Device and method for transmitting contents
JP5718258B2 (en) * 2012-01-24 2015-05-13 日本電信電話株式会社 Subscriber side communication device, subscriber side gateway device, and home communication system

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP7116970B2 (en) 2018-07-19 2022-08-12 東京ライト工業株式会社 cap

Also Published As

Publication number Publication date
JP2016033692A (en) 2016-03-10

Similar Documents

Publication Publication Date Title
JP6282955B2 (en) Unauthorized connection detection system, method and program
US20190273749A1 (en) Unauthorized Communication Detection Apparatus and Recording Medium
CN108633081B (en) System and method for detecting and avoiding radio interference in a wireless sensor network
US9271230B2 (en) Cloud-enabled low power Wi-Fi sensor
JP6648754B2 (en) Communication device, communication method, and program
JP6521346B2 (en) Communications system
US11792650B2 (en) Unauthorized communication detection apparatus and recording medium
US20130055271A1 (en) Apparatus and method for controlling polling
KR20210137194A (en) Sidelink monitoring method and related device for vehicle communication
CN112702202B (en) Ammeter communication link fault recovery method and device and computer equipment
CN108141369A (en) The foundation of the mode of operation of machine-to-machine device
US11166178B2 (en) Methods and devices for maintaining a device operated function
JP2021005821A (en) Abnormality detection device
US10223319B2 (en) Communication load determining apparatus
CN107395451B (en) Processing method, device and equipment for internet traffic abnormity and storage medium
JP5725615B2 (en) Communication quality measuring method and apparatus
WO2017000683A1 (en) Method and device for wireless terminal management
JP2010067000A (en) System for replacing deteriorated or failed battery
JPWO2012017545A1 (en) Control program, control device, and control method
CN103517250A (en) A method and an apparatus used for dealing with abnormities of an application agent client
JP7082819B2 (en) Wireless access points, wireless communication terminals, wireless communication methods, and programs
CN113242609B (en) Data transmission method and system, electronic equipment and computer readable storage medium
CN113507418B (en) Internet of things platform communication link data transmission monitoring method
JP6792543B2 (en) Non-communication time estimation device, non-communication time estimation method, and program
JP2022117817A (en) Abnormality determination device and abnormality determination method

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170808

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171002

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20171024

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171110

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20180109

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20180125

R150 Certificate of patent or registration of utility model

Ref document number: 6282955

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150