JP6962476B2 - 通信装置、通信方法、及び、通信プログラム - Google Patents

通信装置、通信方法、及び、通信プログラム Download PDF

Info

Publication number
JP6962476B2
JP6962476B2 JP2020535704A JP2020535704A JP6962476B2 JP 6962476 B2 JP6962476 B2 JP 6962476B2 JP 2020535704 A JP2020535704 A JP 2020535704A JP 2020535704 A JP2020535704 A JP 2020535704A JP 6962476 B2 JP6962476 B2 JP 6962476B2
Authority
JP
Japan
Prior art keywords
packet
information
communication
identification information
character
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020535704A
Other languages
English (en)
Other versions
JPWO2020031822A1 (ja
Inventor
譚生 李
健夫 大西
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Publication of JPWO2020031822A1 publication Critical patent/JPWO2020031822A1/ja
Priority to JP2021163392A priority Critical patent/JP7168053B2/ja
Application granted granted Critical
Publication of JP6962476B2 publication Critical patent/JP6962476B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/30Routing of multiclass traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/50Queue scheduling
    • H04L47/62Queue scheduling characterised by scheduling criteria
    • H04L47/621Individual queue per connection or flow, e.g. per VC

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Description

本願発明は、IoT(Internet of Things)デバイスのような、簡易な通信機能を備えた機器との通信を制御する技術に関する。
近年、簡易なセンサ等を含むあらゆる機器を通信ネットワークに接続し、それらの機器から収集した様々なデータを用いた、複雑なシステム制御を行うことによって、様々なサービスの提供を実現するIoTへの期待が急速に高まってきている。
このようなIoTを用いたサービスの一例として、車載IoTシステムを用いたタイヤマネジメントサービスがある。このサービスでは、商用車のタイヤの圧力や温度を測定可能なセンサを備え、当該センサは、CAN(Controller Area Network)を介して、測定データをリアルタイムにサーバに報告する。そしてこのサービスにおける管理者は、データを解析して最適なタイヤ圧などを維持することによって、燃費やタイヤを維持するコストを抑制できる。このサービスを応用することによって、例えば、サーバによって商用車のパンクなどの異常を検知した場合に、集団走行している周囲の車に警告を発することなども可能となる。
そして、このようなIoTでは、様々な機器(IoTデバイス)を効率的かつ安全に通信ネットワークに接続することによってシステムを構築する技術が非常に重要となる。
このような技術に関連する技術として、特許文献1には、IP(Internet Protocol)ネットワークへの接続可能な端末を簡易に設定するネットワーク装置が開示されている。この装置は、複数の端末のアドレスを学習できるか否かを示す学習情報と、ネットワーク装置が転送するパケットを示すアドレス情報と、パケットの転送が許可されるか否かを示すフィルタ情報と、を保持する。この装置は、アドレス情報及びフィルタ情報の少なくとも一方に基づいてパケットを転送する転送部を有する。転送部は、端末からパケットを受信した場合、パケットを受信した際にネットワーク装置がアドレスを学習できるか否かを、学習情報に基づいて判定する。この装置は、アドレスを学習できる場合、受信したパケットの送信元のアドレスをアドレス情報に格納し、アドレスを学習できない場合、受信したパケットの送信元のアドレスをアドレス情報に格納せず、フィルタ情報に含まれるアドレスに基づいて受信したパケットを転送すべきか否かを判定する。
また、特許文献2には、車輪位置に対する個々のタイヤ圧力監視装置への識別子割当てを、車両の移動開始後に速やかに実行するシステムが開示されている。このシステムは、データ電報を第1の時間間隔で伝送し、圧力信号が閾値を超える速度で低下した場合、第1の時間間隔より短い第2の時間間隔で伝送し、回転センサの始動によって、車両を移動開始モードに切り替える。このシステムは、車両を移動開始モードに切り替えた後、データパケットを伝送するプロセスを開始する。このシステムは、回転センサによる車輪の回転の検出を継続するか否かを決定するために、第1のデータパケットを伝送した後に点検を行い、データパケットの伝送プロセスを中断する。このシステムは、回転センサが予め設定された時間間隔内に再始動する場合、データパケットの伝送プロセスを再開する。このシステムは、回転センサが予め設定された間隔経過後に再始動する場合、データパケットの伝送プロセスを再開し、データパケットの伝送を完了した後に、車両を標準的な操作モードへ切り替える。
また、特許文献3には、複数の種別の通信データを適切に制御する通信制御装置が開示されている。この装置は、複数の種別の通信データについて、通信データを制御する方法を判断する基準となる基準データを格納したデータベースを備える。この装置は、複数の種別によらず、基準データの検索対象となる検索対象データが含まれるように、取得した通信データの所定位置から所定長のデータを比較対象データとして抽出する。この装置は、取得した通信データの種別に応じて、抽出された比較対象データのうち、検索対象データ以外のデータをマスクする。この装置は、マスクされた比較対象データに含まれる基準データをデータベースから検索し、その検索結果に応じて、通信データを制御する。
特許第6114214号公報 特開2010−067267号公報 国際公開第2009/075007号
上述したIoTにおけるIoTデバイスは、通常、クラウド側(サーバ装置側)ではなくエッジ側(物理量を測定する対象側)に大量に配置されるので、備える機能が少ない安価なものが多い。例えば、インターネット等の通信ネットワークと直接通信する機能を備えないIoTデバイスも多く存在する。このようなIoTデバイスは、例えばインターネットとの通信機能を有する、上述したCANのようなIoTゲートウェイを介して、サーバ装置と通信する。
安価なIoTデバイスは、上述した通信機能の他、例えば通信における暗号化やデバイス認証に関する機能も備えない場合が多い。このため、安価なIoTデバイスによって構成されたIoTシステムは、サイバー攻撃に対して脆弱になることから、なりすまし攻撃等の標的とされる可能性がある。
例えば上述したタイヤマネジメントサービスにおいて、CANは、IoTデバイスから受信したデータを、接続中の全てのデバイスに通報する。また、CANは、認証機能をサポートしていないので、サービスを実現するアプリケーションが独自に認証機能を導入することを想定して仕様が構築されている。従って、アプリケーションの提供者が認証機能を提供しなかった場合、CANを流れるデータを盗聴し、盗聴したデータを真似た不正データを遠隔から無線通信を介してCANに流すことなどによって、サイバー攻撃が容易に実行される。タイヤマネジメントサービスにおいて、サイバー攻撃を受けた場合、誤ったタイヤ圧が報告されることによって、サービスを適切に提供できなくなる。
このようなサイバー攻撃への対策の一例として、ファイアウォール機能を利用することによって、送信元アドレスを用いて正規のパケットのみが使用されるようにフィルタリングする方法がある。例えば上述した特許文献1は、通信ネットワークに接続された装置のIPアドレスとMAC(Media Access Control)アドレスとを、デバイス情報を表すホワイトリストとして保有し、当該ホワイトリストをフィルタリング情報として使用する方法を示している。この方法では、受信したパケットの送信元アドレスが当該ホワイトリストに存在しない場合、当該パケットを送信先であるサーバ装置に転送せずに破棄する。即ち、この方法は、送信元デバイスを識別可能な情報に基づいて、ホワイトリストに登録されていない送信元からの不正なパケットを破棄することによって、セキュリティを確保している。
しかしながら、例えば上述した車載IoTシステム等では、IoTゲートウェイから送信されたパケットから送信元のIoTデバイスを識別可能な識別情報を抽出することが困難であり、正規なデバイスと不正なデバイスとを区別するのが困難であるという問題がある。なぜなら、インターネットに接続された通信機器が、IoTデバイスから送信されたパケットのどの部分にIoTデバイスの識別情報が存在するのかが分からない場合があるからである。
例えば、識別情報がIPアドレスやMACアドレス等である場合、パケットに関するフォーマット情報に基づいて、アドレスを示す情報の格納場所を把握可能である。しかしながら、上述した通り、安価なIoTデバイスにはインターネットと直接通信する機能を備えないものも多い。この場合、IoTデバイスは、IoTゲートウェイを経由してサーバ装置にデータを含むパケットを送信する。そしてこの場合、パケットに付与されるIPアドレスやMACアドレスは、IoTゲートウェイに関するアドレスが用いられるので、IoTデバイス自体を識別する識別情報として使用することができない。
また、IoTデバイスから送信されたパケットは、通常、送信元であるIoTデバイスを識別可能な識別情報を含むはずであるが、パケットの構成について、その仕様が公開されていない場合や、正式に仕様化されていない場合も多い。このため、インターネットに接続された通信機器は、IoTデバイスから送信されたパケットのどの部分に当該識別情報が存在するのかを認識することができない。そして、当該識別情報を認識することができなければ、例えば上述したようなセキュリティを確保することなどを実現することが困難となる。特許文献1乃至3は、この問題については特に言及していない。本願発明の主たる目的は、この問題を解決する通信装置等を提供することである。
本願発明の一態様に係る通信装置は、パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成手段と、前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類手段と、所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出手段と、同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成手段と、を備える。
上記目的を達成する他の見地において、本願発明の一態様に係る通信方法は、情報処理装置によって、パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成し、前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類し、所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出し、同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する。
また、上記目的を達成する更なる見地において、本願発明の一態様に係る通信プログラムは、パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成処理と、前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類処理と、所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出処理と、同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成処理と、をコンピュータに実行させる。
更に、本願発明は、係る通信プログラム(コンピュータプログラム)が格納された、コンピュータ読み取り可能な、不揮発性の記録媒体によっても実現可能である。
本願発明は、パケットの送信元である機器を識別可能な識別情報が、当該パケットのどの部分に存在するのかが不明である場合であっても、当該識別情報を高い精度で抽出することを可能とする。
本願発明の第1の実施形態に係る通信システム1の構成を示すブロック図である。 本願発明の第1の実施形態に係るパケット管理テーブル111の構成を例示する図である。 本願発明の第1の実施形態に係る分類基準120の構成を例示する図である。 本願発明の第1の実施形態に係るパケット管理テーブル121の構成を例示する図である。 本願発明の第1の実施形態に係る抽出部13による、抽出基準130に基づく文字情報を抽出する動作を説明する図である。 本願発明の第1の実施形態に係るパケット管理テーブル131の構成を例示する図である。 本願発明の第1の実施形態に係る識別情報生成部14による識別情報140を生成する動作を説明する図である。 本願発明の第1の実施形態に係る通信装置10の動作を示すフローチャートである。 本願発明の第1の実施形態の変形例に係る通信システム1Aの構成を示すブロック図である。 本願発明の第1の実施形態の変形例に係る送信制御情報151Aの構成を例示する図である。 本願発明の第1の実施形態の変形例に係る通信装置10Aの動作を示すフローチャートである。 本願発明の第2の実施形態に係る通信装置30の構成を示すブロック図である。 本願発明の各実施形態に係る通信装置を実行可能な情報処理装置900の構成を示すブロック図である。
以下、本願発明の実施の形態について図面を参照して詳細に説明する。
<第1の実施形態>
図1は、本願発明の第1の実施の形態に係る通信システム1の構成を示すブロック図である。通信システム1は、大別して、通信装置10、表示装置20、サーバ装置21、1以上のIoTゲートウェイ22、及び、1以上のIoTデバイス23を有する。
IoTデバイス23は、例えば、その設置場所の周辺環境に関する物理量(例えば温度や湿度等)、あるいは、測定対象物に関する物理量(例えば、温度や移動における加速度等)を測定する安価なセンサである。IoTデバイス23は、あるいは、自デバイスの状態を測定してもよい。IoTデバイス23は、インターネット等の通信ネットワークに接続された機器と直接通信を行う機能を備えておらず、IoTゲートウェイ22を介して当該機器と通信可能であることとする。即ち、IoTデバイス23は、上述した物理量を測定した結果を表すパケット(データ)を、IoTゲートウェイ22を介して、サーバ装置21へ送信する。
IoTデバイス23は、例えば、BLE(Bluetooth Low Energy:但し、Bluetoothは登録商標)を介してIoTゲートウェイ22と通信する。IoTデバイス23は、あるいは例えば、ZigBee(登録商標)等の他の規格の無線通信、あるいは有線通信を介して、IoTゲートウェイ22と通信してもよい。
IoTゲートウェイ22は、例えば、LTE(Long Term Evolution)(登録商標)等の公衆携帯電話網を介して、通信装置10と通信する。IoTゲートウェイ22は、あるいは例えば、Wi−Fi(登録商標)等の無線LAN(Local Area Network)を介して、通信装置10と通信してもよい。
サーバ装置21は、IoTデバイス23から受信した上述した物理量を測定した結果を利用することによって、様々なサービスを提供する情報処理装置である。通信装置10は、IoTデバイス23がIoTゲートウェイ22を介してサーバ装置21と行うパケット通信を中継する装置である。通信装置10は、サーバ装置21、あるいはサーバ装置21とIoTゲートウェイ22との間で行われる通信を中継する既存の中継装置に従属する(実装される)装置であってもよい。
本実施形態に係る通信装置10は、特徴情報生成部11、分類部12、抽出部13、識別情報生成部14、及び、パケット通信部15を備えている。
パケット通信部15は、IoTデバイス23がIoTゲートウェイ22を介してサーバ装置21へ送信するパケットを中継する。パケット通信部15は、IoTゲートウェイ22から受信したパケットを、例えば図13を参照して後述する、通信装置10が備えるRAM(Random Access Memory)903等のメモリに格納する。パケット通信部15は、受信したパケットに対して、当該パケットを一意に識別可能なパケット番号を付与する。パケット通信部15は、受信したパケットに関して、付与したパケット番号と、当該パケットを格納したメモリにおけるアドレスとを関連付けて、特徴情報生成部11に通知する。
特徴情報生成部11は、パケット通信部15がパケットを受信したときの状況や、受信したパケットの態様等に基づいて、当該パケットの特徴量110(特徴情報)を算出(生成)する。例えば、特徴量110は、パケット通信部15が受信したパケットの大きさである。特徴情報生成部11は、メモリに格納されたパケットが占有するメモリ容量、あるいは、TCP(Transmission Control Protocol)等の通信プロトコルに関するヘッダ情報等に基づいて、パケットの大きさを算出することができる。
特徴情報生成部11は、あるいは、特定のネットワーク属性を有する特定のパケットのみに関して、特徴量110を算出してもよい。但し、ネットワーク属性とは、IPアドレス、あるいはポート番号、あるいは通信プロトコル等、通信ネットワークに接続された機器がパケットを送受信するために必要となる規定された情報を表す。特徴情報生成部11は、例えば、UDP(User Datagram Protocol)を用いて送信された特定のパケットのみに関する特徴量110を算出してもよいし、あるいは、TCPセッションを確立するための特定のパケットのみに関して特徴量110を算出してもよい。
特徴情報生成部11は、あるいは、当該パケットを受信した時刻と1つ前のパケットを受信した時刻との差分、あるいは当該パケットが属する(TCP)セッションの接続時間(接続期間)、あるいは当該セッションに属するパケット数、あるいは当該パケットの送信間隔、あるいは当該パケットの受信時刻等を、特徴量110として算出してもよい。特徴情報生成部11は、あるいは、複数のパケットに関する特徴量110に関して、統計計算(平均値や分布等)を行った結果を、それら複数のパケットに関する特徴量110としてもよい。特徴情報生成部11は、算出した特徴量110を表すパケット管理テーブル111を生成し、生成したパケット管理テーブル111を、RAM903等のメモリに格納する。
図2は、本実施形態に係るパケット管理テーブル111の構成を例示する図である。図2に例示する通り、パケット管理テーブル111は、少なくとも、パケット通信部15によって付与されたパケット番号と、パケットが格納されたメモリアドレスと、特徴量110の種類と、特徴量110の数値とが関連付けされた情報である。
図2に例示するパケット管理テーブル111によれば、例えばパケット番号が0001であるパケット(本明細書では以降、パケット0001と称し、他のパケット番号が付与されたパケットについても同様とする)は、メモリアドレス1に格納され、パケット0001の大きさは5バイトであり、パケット0001の送信周期は5秒である。また、図2に例示するパケット管理テーブル111によれば、パケット0002は、メモリアドレス2に格納され、パケット0002の大きさは15バイトであり、パケット0002の送信周期は100秒である。特徴情報生成部11は、生成したパケット管理テーブル111を、図1に示す分類部12に通知する。
分類部12は、特徴情報生成部11によって生成されたパケット管理テーブル111が示す特徴量110と所定の分類基準120とに基づいて、パケット通信部15が受信したパケットをパケット群(グループ)に分類する。但し、分類基準120は、例えば通信装置10の管理者等によって、例えば、RAM903等のメモリに事前に格納されていることとする。また、パケット群とは、例えば、特徴量110が等しいあるいは類似する(即ち、特徴量110に関する類似度に基づいて分類された)パケットの集合のことである。本実施形態に係る分類部12は、パケット群の個々に対して、一意に識別可能な識別子(例えば特徴量の種類を表す名称と通し番号との組み合わせ)を割り当てることとする。
図3は、本実施形態に係る分類基準120の構成を例示する図である。図3に例示する分類基準120によれば、大きさが10バイト以下であるパケットは、「パケットサイズ1」というパケット群に分類され、大きさが11乃至20バイトであるパケットは、「パケットサイズ2」というパケット群に分類され、大きさが21バイト以上であるパケットは、「パケットサイズ3」というパケット群に分類される。また、図3に例示する分類基準120によれば、送信周期が10秒未満であるパケットは、「送信周期1」というパケット群に分類され、送信周期が10秒以上であるパケットは、「送信周期2」というパケット群に分類される。
分類部12は、パケット通信部15が受信したパケットを分類基準120に基づいてパケット群に分類した結果を、特徴情報生成部11によって生成されたパケット管理テーブル111に組み込むことによって、パケット管理テーブル121を生成する。
図4は、本実施形態に係るパケット管理テーブル121の構成を例示する図である。図4に例示するパケット管理テーブル121によれば、分類部12は、パケット0001を、パケットの大きさに関しては「パケットサイズ1」というパケット群に分類するとともに、パケットの送信周期に関しては「送信周期1」というパケット群に分類する。また、図4に例示するパケット管理テーブル121によれば、分類部12は、パケット0002を、パケットの大きさに関しては「パケットサイズ2」というパケット群に分類するとともに、パケットの送信周期に関しては「送信周期2」というパケット群に分類する。分類部12は、生成したパケット管理テーブル121を、図1に示す抽出部13に通知する。
抽出部13は、分類部12によって生成されたパケット管理テーブル121と所定の抽出基準130とに基づいて、各パケットから、1以上の文字列(文字情報)を抽出する。但し文字列とは、文字コードにより特定される文字により構成される列のことである。尚、抽出基準130は、例えば通信装置10の管理者等によって、例えば、RAM903等のメモリに事前に格納されていることとする。
抽出部13は、例えば、下記の2つの処理を順に行うことによって、パケットに含まれる文字列(文字情報)を抽出する。即ち、抽出部13は、1番目の処理として、パケットに関するポート番号に基づいて、パケットの送受信に関する通信プロトコルを判定する。そして、抽出部13は、2番目の処理として、判定した通信プロトコルに応じて、パケットにおけるヘッダあるいはペイロードにおける特定の範囲から文字列を抽出する。
抽出部13は、上述した1番目の処理に関して、ポート番号を管理する組織であるIANA(Internet Assigned Numbers Authority)によって定められた規定に従って、通信プロトコルを判定する。抽出部13は、具体的には例えば、パケットに関するポート番号が「80」である場合、OSI(Open Systems Interconnection)参照モデルにおけるアプリケーション層の通信プロトコルをHTTP(Hyper Text Transfer Protocol)と判定し、ポート番号が「1883」である場合、通信プロトコルをMQQT(Message Queueing Telemetry Transport)と判定する。
次に図5を参照して、抽出部13による、抽出基準130に基づく、上述した2番目の処理について説明する。但し、図5に示す例では、抽出部13は、上述した1番目の処理によって、通信プロトコルをHTTPと判定し、パケットに含まれるHTTPのURI(Uniform Resource Identifier)を、文字列(文字情報)を抽出する対象とする。尚、抽出部13は、上述した1番目の処理によって、通信プロトコルをMQQTと判定した場合は、MQQTのペイロードを、文字列を抽出する対象とする。
図5に示す例において、文字列を抽出する対象とするURIは「/Gateway_01/Sensor01/Temperature」である。但し、「Gateway_01」は、図1において、通信装置10に対してパケットを送信したIoTゲートウェイ22を識別可能な識別子である。「Sensor01」は、パケットの送信元であるIoTデバイス23を識別可能な識別子である。そして「Temperature」は、当該パケットが温度情報を表すパケットであることを示す文字列である。
抽出部13は、まず、抽出基準130に基づいて、URIに含まれる「/」及び「_」を、文字列を分割して抽出する際の境界を表す文字として認識する。これにより、抽出部13は、図5における文字情報一次抽出結果として示す通り、「/Gateway_01/Sensor01/Temperature」から、「Gateway」、「01」、「Sensor01」、「Temperature」という4つの文字列を抽出する。
抽出部13は、次に、文字の種別が変わった箇所において、文字列をさらに分割する。但し、文字の種別とは、例えばアルファベット、数字、記号、漢字等のことである。図5に示す例において、抽出部13は、文字情報一次抽出結果として抽出した文字列のうち、「Sensor01」を、さらに「Sensor」と「01」とに分割して抽出する。このようにして、抽出部13は、図5における文字情報二次抽出結果として示す通り、「/Gateway_01/Sensor01/Temperature」から、「Gateway」、「01」、「Sensor」、「01」、「Temperature」という5つの文字列を抽出する。
抽出部13は、また、各文字列を抽出した順番を算出する。抽出部は、例えば図5に例示する通り、抽出した各文字列に関して、URIの先頭からのバイト位置を比較することによって、そのバイト位置の値が小さい順に、文字列を抽出した順番を決定する。
抽出部13は、パケット通信部15が受信したパケットから抽出基準130に基づいて上述した通りに文字列(文字情報)を抽出した結果を、分類部12によって生成されたパケット管理テーブル121に組み込むことによって、パケット管理テーブル131を生成する。
図6は、本実施形態に係るパケット管理テーブル131の構成を例示する図である。図6に例示するパケット管理テーブル131によれば、抽出部13が文字列を抽出する対象とするURIは、パケット0001、パケット0002、パケット0003に関して、順に、「/Gateway_01/Temperature/SensorA」、「/Gateway_01/Acceleration/SensorA」、「/Gateway_01/Temperature/SensorB」である。但し、パケット0002において、「Acceleration」は、当該パケットが加速度情報を表すパケットであることを示す文字列である。抽出部13は、生成したパケット管理テーブル131を、図1に示す識別情報生成部14に通知する。
識別情報生成部14は、抽出部13によって生成されたパケット管理テーブル131に基づいて、同一のパケット群に属する各パケットから抽出された文字列(文字情報)のうち、文字列の構成に関するパターン数(種類数)がある条件を満たす文字列を特定する。例えば、2つのパケットから各々抽出された文字列がいずれも「ABC」という同一の文字列である場合、そのパターン数は「1」となり、2つのパケットから各々抽出された文字列が「ABC」と「ABD」という異なる文字列である場合、そのパターン数は「2」となる。そして、識別情報生成部14は、特定した文字列に基づいて、パケットを送信したIoTデバイス23を識別可能な識別情報140を生成する。本実施形態に係る識別情報生成部14は、例えばパターン数が最も多いことを当該ある条件とする。即ち、識別情報生成部14は、抽出された複数の文字列のうち、ユニークな文字列(互いに区別可能な文字列)の数が最も多い文字列を特定する。
図6に例示するパケット管理テーブル131によれば、パケット0001及びパケット0003は、いずれも、パケットの大きさに関して「パケットサイズ1」というパケット群に属し、パケットの送信周期に関して「送信周期1」というパケット群に属する。従って、識別情報生成部14は、パケット0001及びパケット0003を、2つのパケット群の組み合わせに関して、同一のパケット群に属するパケットとして特定する。
図7は、同一のパケット群に属する各パケットに関して、識別情報生成部14による識別情報140を生成する動作を説明する図である。識別情報生成部14は、抽出順番が等しい文字列について、文字列に関するパターン数を算出する。
図7によれば、抽出順番が「1」である文字列は、パケット0001及びパケット0003とも「Gateway」という同一の文字列である。従って、識別情報生成部14は、抽出順番が「1」である文字列に関するパターン数を「1」と算出する。このことは、抽出された「Gateway」という文字列によっては、パケット0001の送信元であるIoTデバイス23とパケット0003の送信元であるIoTデバイス23とを一意に識別することができないことを示している。
図7によれば、抽出順番が「2」である文字列は、パケット0001及びパケット0003とも「01」という同一の文字列であり、抽出順番が「3」である文字列は、パケット0001及びパケット0003とも「Temperature」という同一の文字列である。従って、識別情報生成部14は、抽出順番が「2」及び「3」である文字列に関するパターン数も同様に「1」と算出する。
図7によれば、抽出順番が「4」である文字列は、パケット0001に関しては「SensorA」であり、パケット0003に関しては「SensorB」であり、これら2つの文字列は異なっている。従って、識別情報生成部14は、抽出順番が「4」である文字列に関するパターン数を「2」と算出する。
以上により、図7に示す例では、識別情報生成部14は、抽出順番が「4」である文字列が、パターン数が最も多くなる文字列として特定する。そして、識別情報生成部14は、パケット0001から抽出順番が「4」である文字列として抽出された「SensorA」を、パケット0001を送信したIoTデバイス23を識別可能な識別情報140として生成する。識別情報生成部14は、また、パケット0003から抽出順番が「4」である文字列として抽出された「SensorB」を、パケット0003を送信したIoTデバイス23を識別可能な識別情報140として生成する。
また、図6に例示するパケット管理テーブル131によれば、パケット0002が属するパケット群に属する他のパケットは存在しない。このような場合、識別情報生成部14は、例えば、パケット0002を送信したIoTデバイス23を識別可能な識別情報140を、パケット0001及びパケット0003に関する識別情報140と整合するように生成する。即ち、識別情報生成部14は、パケット0002から抽出順番が「4」である文字列として抽出された「SensorA」を、パケット0002を送信したIoTデバイス23を識別可能な識別情報140として生成する。
識別情報生成部14は、また、パケットと、当該パケットに関する識別情報140と、を関連付けて、図1に示す表示装置20に表示する。表示装置20は、例えばモニター等の装置である。識別情報生成部14は、例えばパケット管理テーブル131が図6に例示する内容を示す場合、パケット0001、パケット0002、パケット0003の送信元であるIoTデバイス23に関する識別情報140は、順に、「SensorA」、「SensorA」、「SensorB」であることを、表示装置20に表示する。識別情報生成部14は、また、各パケットを送信したIoTゲートウェイ22の識別子や、各パケットに含まれるURI等も含めて、表示装置20に表示するようにしてもよい。
次に図8のフローチャートを参照して、本実施形態に係る通信装置10の動作(処理)について詳細に説明する。
パケット通信部15は、IoTデバイス23からサーバ装置21に対して送信されたパケットを受信し、受信したパケットをサーバ装置21に転送するとともに、自装置内のメモリに保存する(ステップS101)。特徴情報生成部11は、パケット通信部15がパケットを受信したときの状況や、受信したパケットの態様等に基づいて、パケットの特徴量110を算出し、その算出結果を表すパケット管理テーブル111を生成する。(ステップS102)。
分類部12は、パケット管理テーブル111と分類基準120とに基づいて、パケットをパケット群に分類し、その分類結果をパケット管理テーブル111に組み込むことによって、パケット管理テーブル121を生成する(ステップS103)。抽出部13は、パケット管理テーブル121と抽出基準130に基づいて、1以上のパケットから1以上の文字列を抽出し、その抽出結果をパケット管理テーブル121に組み込むことによって、パケット管理テーブル131を生成する(ステップS104)。
識別情報生成部14は、パケット管理テーブル131によって示される、同一のパケット群に属する各パケットから抽出された文字列のうち、パターン数が最も多い文字列を特定し、特定した文字列に基づいて、パケットを送信したIoTデバイス23を識別可能な識別情報140を生成する(ステップS105)。識別情報生成部14は、パケットと、当該パケットに関する識別情報140とを関連付けて、表示装置20に表示し(ステップS106)、全体の処理は終了する。
本実施形態に係る通信装置10は、パケットの送信元である機器を識別可能な識別情報が、当該パケットのどの部分に存在するのかが不明である場合であっても、当該識別情報を高い精度で抽出することができる。その理由は、通信装置10は、パケットの特徴を表す情報を生成して、その特徴を表す情報に基づいてパケットをパケット群に分類し、同一のパケット群に属するパケットから抽出した文字情報のうち、文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、パケットの送信元である機器を識別可能な識別情報を生成するからである。
以下に、本実施形態に係る通信装置10によって実現される効果について、詳細に説明する。
IoTシステムにおけるIoTデバイスは、通常、エッジ側に大量に配置されるので、備える機能が少ない安価なものが多く、例えば、インターネット等の通信ネットワークと直接通信する機能を備えないIoTデバイスも多く存在する。このようなIoTシステムにおいて、IoTゲートウェイを経由してサーバ装置に送信されるパケットに付与されるIPアドレスやMACアドレスは、IoTゲートウェイに関するアドレスが用いられるので、IoTデバイス自体を識別する識別情報として使用することができない。また、IoTデバイスから送信されたパケットは、通常、送信元であるIoTデバイスを識別可能な識別情報を含むはずであるが、パケットの構成について、その仕様が公開されていない場合や、正式に仕様化されていない場合も多い。このため、インターネットに接続された通信機器は、IoTデバイスから送信されたパケットのどの部分に当該識別情報が存在するのかを認識することができない。そして、当該識別情報を認識することができなければ、例えばIoTシステムのセキュリティを確保することなどが困難となるという問題がある。
このような問題に対して、本実施形態に係る通信装置10は、特徴情報生成部11と、分類部12と、抽出部13と、識別情報生成部14とを備え、図1乃至図8を参照して上述した通り動作する。即ち、特徴情報生成部11は、パケット通信を行うIoTデバイス23から送信されたパケットを受信することによって、当該パケットの特徴を表す情報(特徴量110)を生成(算出)する。分類部12は、当該特徴を表す情報と所定の分類基準120とに基づいて、当該パケットをパケット群に分類する。抽出部13は、所定の抽出基準130に基づいて、当該パケットから、1以上の文字情報を抽出する。そして、識別情報生成部14は、同一のパケット群に属する1以上のパケットから抽出された文字情報のうち、文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、パケットを送信したIoTデバイス23を識別可能な識別情報140を生成する。
ここで、同一のパケット群に属するパケットから抽出した文字列に関してパターン数を比較することによる効果について、図6を参照してより詳細に説明する。
図6に例示する通り、IoTデバイス23から送信されたパケットに含まれるURIには、収集した物理量の種別を表す情報を含むことが多い。例えば、温度情報を含むパケット0001とパケット0003が示すURIは、IoTデバイス23を識別可能な「SensorA」あるいは「SensorB」の他、「Temperature」という文字列を含んでいる。また、加速度情報を含むパケット0002が示すURIは、IoTデバイス23を識別可能な「SensorA」の他、「Acceleration」という文字列を含んでいる。
図6において、パケット管理テーブル131の右側に記載したパターン数は、特徴量110に基づいてパケットをパケット群に分類しない場合における、各パケットから抽出された文字列に関するパターン数を示している。例えば、文字情報抽出順番が「1」である文字列に関して、パケット0001乃至0003から抽出された文字列は「Gateway」のみであり、そのパターン数は「1」である。文字情報抽出順番が「2」である文字列に関して、パケット0001乃至0003から抽出された文字列は「01」のみであり、そのパターン数は「1」である。文字情報抽出順番が「3」である文字列に関して、パケット0001乃至0003から抽出された文字列は「Temperature」あるいは「Acceleration」であり、そのパターン数は「2」である。文字情報抽出順番が「4」である文字列に関して、パケット0001乃至0003から抽出された文字列は「SensorA」あるいは「SensorB」であり、そのパターン数は「2」である。
したがって、パターン数が条件を満たす(最大となる)文字列のうち、例えば文字情報抽出順番が最小(順番が最も早い)となるものに基づいて識別情報140を生成した場合、本来、識別情報140として期待される「SensorA」あるいは「SensorB」ではなく、「Temperature」あるいは「Acceleration」に基づいて識別情報140が生成されることになり、識別情報140としての精度が低下する。
一般的に、IoTデバイス23が収集(センシング)する情報の種類と、パケットの特徴量110とは相関性が高い。例えば、同じ物理量(例えば温度情報)を収集する2つのIoTデバイス23に関して、IoTデバイス23から送信されたパケットの特徴(パケットサイズや送信周期等)は類似する。これに対して、異なる物理量(例えば温度情報と加速度情報)を収集する2つのIoTデバイス23に関して、IoTデバイス23から送信されたパケットの特徴は大きく異なる。通信装置10は、IoTデバイス23が収集する情報の種類とパケットの特徴量110との相関性を利用することによって、機能的に類似するIoTデバイス23から送信されたパケットが、同一のパケット群に属するように分類する。
そして、本実施形態に係る通信装置10は、パケットから抽出した文字列のパターン数を比較する際に、比較対象とするパケットを、同一のパケット群に属する(即ち特徴が類似する)パケットに絞り込むことによって、上述した例が示すような、本来、識別情報140として期待される特定の文字列以外の文字列(例えば収集された物理量の種別等を表す文字列)に基づいて識別情報140を生成することを回避する。これにより、本実施形態に係る通信装置10は、パケットの送信元である機器を識別可能な識別情報が、当該パケットのどの部分に存在するのかが不明である場合であっても、当該識別情報を高い精度で抽出することができる。
また、本実施形態に係る識別情報生成部14が識別情報140を生成する際の条件は、パケットから抽出された文字列のうち、パターン数が最大となる文字列に基づくことに限定されない。例えば、ある複数のIoTデバイス23に関して、それらを個々に識別することが求められない(識別に関して高い分解能が要求されない)場合などでは、識別情報生成部14は、パターン数が閾値以上であること等を当該条件として用いてもよい。
また、本実施形態に係る抽出基準130は、文字情報として、パケットに含まれるアプリケーション層におけるプロトコルのヘッダあるいはペイロードを表す文字列を抽出することを表している。即ち、本実施形態に係る通信装置10は、IoTデバイス23から送信されるパケットに関する既存の仕様を抽出基準130として使用するので、既存のシステムに通信装置10を実装するのに要するコストを抑えることができる。
また、本実施形態に係る抽出基準130は、特定の文字によって区切られた文字列、あるいは、文字の種別が変わることによって区切られた文字列を抽出するという簡易な基準であるので、通信装置10の管理者は、抽出基準130を容易に作成することができる。
また、本実施形態に係る識別情報生成部14は、複数のパケットの各々から抽出された文字列のうち、先頭に位置する文字列からの順番が等しい位置にある文字列に基づいて、複数のパケットの各々に関する識別情報140を生成する。これにより、本実施形態に係る通信装置10は、複数のIoTデバイス23の間において整合するように、識別情報140を生成することができる。
また、本実施形態に係る識別情報生成部14は、パケットと、パケットに関する識別情報140と、を関連付けて表示装置20に表示する。これにより、本実施形態に係る通信装置10は、通信装置10の管理者による識別情報140の確認を容易にすることができる。
<第1の実施形態の変形例>
図9は、本願発明の第1の実施形態の変形例に係る通信システム1Aの構成を示すブロック図である。通信システム1Aは、大別して、通信装置10A、表示装置20、サーバ装置21−1乃至21−n(但し、nは任意の整数)、1以上のIoTゲートウェイ22、及び、1以上のIoTデバイス23を有する。尚、本変形例に係る通信システム1Aに含まれる構成のうち、その機能が上述した第1の実施形態と等しい構成に関しては、第1の実施形態と同一の番号を付与することによって、その詳細な説明を省略する。
本変形例に係る通信装置10Aは、特徴情報生成部11、分類部12、抽出部13、識別情報生成部14、及び、パケット通信部15Aを備えている。即ち、本変形例に係る通信装置10Aは、パケット通信部15Aに関して、その機能が上述した第1の実施形態に係る通信装置10とは異なる。
パケット通信部15Aは、制御部150Aを備える。制御部150Aは、受信したパケットを送信先であるサーバ装置21−i(iは1乃至nのいずれかの整数)に転送することを一旦保留するとともに、自装置内のメモリに保存する。制御部150Aは、IoTデバイス23からIoTゲートウェイ22を介して受信したパケットに関する識別情報140と、送信制御情報151Aとに基づいて、自装置内のメモリに保存したパケットの送信を制御する。
本変形例に係る送信制御情報151Aは、識別情報140によって識別されるパケットの送信元であるIoTデバイス23が、事前に確認されている安全なデバイスであるかどうかを示すホワイトリストであることとする。そして、送信制御情報151Aは、識別情報140が登録されているパケットに関して、通信装置10Aから当該パケットを送信する経路(送信先であるサーバ装置21−i)等を示すこととする。送信制御情報151Aは、また、識別情報140が登録されていないパケットに関して、当該パケットを廃棄すること等を示すこととする。
図10は、本変形例に係る送信制御情報151Aの構成を例示する図である。図10に例示する送信制御情報151Aによれば、制御部150Aは、識別情報140が「SensorA」を示すことによって識別されるIoTデバイス23から送信されたパケットを、当該パケットに含まれる情報が示す送信先であるサーバ装置21−iに転送する。また、図10に例示する送信制御情報151Aによれば、制御部150Aは、識別情報140が「SensorB」を示すことによって識別されるIoTデバイス23から送信されたパケットを、当該パケットに含まれる情報が示す送信先であるサーバ装置21−iに転送するとともに、当該パケットのコピーをサーバ装置21−j(jは1乃至nのうち、iとは異なるいずれかの整数)に送信する。但し、サーバ装置21−jは、例えば、運用系のサーバ装置と待機系のサーバ装置とを備えた通信システム1Aにおける待機系のサーバ装置である。
また、図10に例示する送信制御情報151Aによれば、制御部150Aは、識別情報140が送信制御情報151Aに登録されていないIoTデバイス23から送信されたパケットを、当該パケットに含まれる情報が示す送信先であるサーバ装置に転送せず(廃棄する)、サーバ装置21−nに送信する。但し、サーバ装置21−nは、例えば、パケットが不正であるか否かを解析する検疫サーバ装置である。
次に図11のフローチャートを参照して、本変形例に係る通信装置10Aの動作(処理)について詳細に説明する。
パケット通信部15Aは、IoTデバイス23からサーバ装置21−iに対して送信されたパケットを受信し、受信したパケットをサーバ装置21に転送することを一旦保留するとともに、自装置内のメモリに保存する(ステップS201)。通信装置10Aは、図8に示すステップS102乃至S106の処理を実行する(ステップS202)。
パケット通信部15Aにおける制御部150Aは、受信したパケットに関する識別情報140が、送信制御情報151Aに登録されているか否かを確認する(ステップS203)。
識別情報140が送信制御情報151Aに登録されている場合(ステップS204でYes)、制御部150Aは、パケットに含まれる情報が示す送信先であるサーバ装置21−iに、自装置内のメモリに保存したパケットを転送するとともに、送信制御情報151Aが示すサーバ装置21−jにパケットのコピーを送信し(ステップS205)、全体の処理は終了する。
識別情報140が送信制御情報151Aに登録されていない場合(ステップS204でNo)、制御部150Aは、パケットに含まれる情報が示す送信先であるサーバ装置21−iに、自装置内のメモリに保存したパケットを転送せずに、サーバ装置21−nに送信し(ステップS205)、全体の処理は終了する。
本変形例に係る通信装置10Aは、パケットの送信元である機器を識別可能な識別情報が、当該パケットのどの部分に存在するのかが不明である場合であっても、当該識別情報を高い精度で抽出することができる。その理由は、第1の実施形態について説明した通りである。
また、本変形例に係る制御部150Aは、識別情報140によって識別されるIoTデバイス23から送信されたパケットに対する送信処理の内容を表わす送信制御情報151Aに基づいて、パケットを送信する経路を選択すること、及び、送信されたパケットを廃棄することの少なくともいずれかを行う。即ち、本変形例に係る通信装置10Aは、識別情報140に関するホワイトリストに基づいて、パケットの転送を制御することができるので、IoTシステムのセキュリティレベルを向上することができる。
<第2の実施形態>
図12は、本願発明の第2の実施形態に係る通信装置30の構成を示すブロック図である。
本実施形態に係る通信装置30は、特徴情報生成部31、分類部32、抽出部33、及び、識別情報生成部34を備えている。
特徴情報生成部31は、パケット通信を行う機器40から送信されたパケット400を受信することによって、パケット400の特徴を表す情報310を生成する。
分類部32は、特徴を表す情報310と所定の分類基準320とに基づいて、パケット400をパケット群に分類する。
抽出部33は、所定の抽出基準330に基づいて、パケット400から、1以上の文字情報を抽出する。
識別情報生成部34は、同一のパケット群に属する1以上のパケット400から抽出された文字情報のうち、パケット同士において互いに異なる場合の数が条件を満たす文字情報に基づいて、パケット400を送信した機器40を識別可能な識別情報340を生成する。
本実施形態に係る通信装置30は、パケットの送信元である機器を識別可能な識別情報が、当該パケットのどの部分に存在するのかが不明である場合であっても、当該識別情報を高い精度で抽出することができる。その理由は、通信装置30は、パケット400の特徴を表す情報310を生成して、その特徴を表す情報310に基づいてパケット400をパケット群に分類し、同一のパケット群に属するパケット400から抽出した文字情報のうち、文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、パケットの送信元である機器40を識別可能な識別情報340を生成するからである。
<ハードウェア構成例>
上述した各実施形態において図1、図9、及び、図12に示した通信装置における各部は、専用のHW(HardWare)(電子回路)によって実現することができる。また、図1、図9、及び、図12において、少なくとも、下記構成は、ソフトウェアプログラムの機能(処理)単位(ソフトウェアモジュール)と捉えることができる。
・特徴情報生成部11及び31、
・分類部12及び32、
・抽出部13及び33、
・識別情報生成部14及び34、
・制御部150A。
但し、これらの図面に示した各部の区分けは、説明の便宜上の構成であり、実装に際しては、様々な構成が想定され得る。この場合のハードウェア環境の一例を、図13を参照して説明する。
図13は、本願発明の各実施形態に係る配置変更管理装置を実行可能な情報処理装置900(コンピュータ)の構成を例示的に説明する図である。即ち、図13は、図1、図9、及び、図12に示した通信装置を実現可能なコンピュータ(情報処理装置)の構成であって、上述した実施形態における各機能を実現可能なハードウェア環境を表す。
図13に示した情報処理装置900は、構成要素として下記を備えている。
・CPU(Central_Processing_Unit)901、
・ROM(Read_Only_Memory)902、
・RAM(Random_Access_Memory)903、
・ハードディスク(記憶装置)904、
・通信インタフェース905、
・バス906(通信線)、
・CD−ROM(Compact_Disc_Read_Only_Memory)等の記録媒体907に格納されたデータを読み書き可能なリーダライタ908、
・モニターやスピーカ、キーボード等の入出力インタフェース909。
即ち、上記構成要素を備える情報処理装置900は、これらの構成がバス906を介して接続された一般的なコンピュータである。情報処理装置900は、CPU901を複数備える場合もあれば、マルチコアにより構成されたCPU901を備える場合もある。
そして、上述した実施形態を例に説明した本願発明は、図13に示した情報処理装置900に対して、次の機能を実現可能なコンピュータプログラムを供給する。その機能とは、その実施形態の説明において参照したブロック構成図(図1、図9、及び、図12)における上述した構成、或いはフローチャート(図8及び図11)の機能である。本願発明は、その後、そのコンピュータプログラムを、当該ハードウェアのCPU901に読み出して解釈し実行することによって達成される。また、当該装置内に供給されたコンピュータプログラムは、読み書き可能な揮発性のメモリ(RAM903)、または、ROM902やハードディスク904等の不揮発性の記憶デバイスに格納すれば良い。
また、前記の場合において、当該ハードウェア内へのコンピュータプログラムの供給方法は、現在では一般的な手順を採用することができる。その手順としては、例えば、CD−ROM等の各種記録媒体907を介して当該装置内にインストールする方法や、インターネット等の通信回線を介して外部よりダウンロードする方法等がある。そして、このような場合において、本願発明は、係るコンピュータプログラムを構成するコード或いは、そのコードが格納された記録媒体907によって構成されると捉えることができる。
以上、上述した実施形態を模範的な例として本願発明を説明した。しかしながら、本願発明は、上述した実施形態には限定されない。即ち、本願発明は、本願発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
尚、上述した各実施形態の一部又は全部は、以下の付記のようにも記載されうる。しかしながら、上述した各実施形態により例示的に説明した本願発明は、以下には限られない。
(付記1)
パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成手段と、
前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類手段と、
所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出手段と、
同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成手段と、
を備える通信装置。
(付記2)
前記特徴情報生成手段は、前記パケットの大きさ、前記パケットが属するセッションの接続時間、前記セッションに属するパケット数、前記パケットの送信間隔、及び、前記パケットの受信時刻の少なくともいずれかを表す、前記特徴を表す情報を生成する、
付記1に記載の通信装置。
(付記3)
前記分類基準は、前記特徴を表す情報の類似度に基づいて、前記パケットを前記パケット群に分類することを表す、
付記1または付記2に記載の通信装置。
(付記4)
前記特徴情報生成手段は、特定のネットワーク属性を有する特定の前記パケットに関して、前記特徴を表す情報を生成する、
付記1乃至付記3のいずれか一項に記載の通信装置。
(付記5)
前記特徴情報生成手段は、複数の前記パケットの特徴量に対して統計計算を行うことによって、複数の前記パケットに関する前記特徴を表す情報を生成する、
付記1乃至付記4のいずれか一項に記載の通信装置。
(付記6)
前記抽出基準は、前記文字情報として、前記パケットに含まれるアプリケーション層の通信プロトコルのヘッダあるいはペイロードを表す文字列を抽出することを表す、
付記1乃至付記5のいずれか一項に記載の通信装置。
(付記7)
前記抽出基準は、特定の文字によって区切られた前記文字列、あるいは、文字の種別が変わることによって区切られた前記文字列を抽出することを表す、
付記6に記載の通信装置。
(付記8)
前記識別情報生成手段は、前記パケットから抽出された前記文字情報のうち、前記パターン数が最も多い文字情報に基づいて、前記識別情報を生成する、
付記1乃至付記7のいずれか一項に記載の通信装置。
(付記9)
前記識別情報生成手段は、複数の前記パケットの各々から抽出された前記文字情報のうち、先頭に位置する文字情報からの順番が等しい位置にある文字情報に基づいて、複数の前記パケットの各々に関する前記識別情報を生成する、
付記1乃至付記8のいずれか一項に記載の通信装置。
(付記10)
前記識別情報生成手段は、前記パケットと、前記パケットに関する前記識別情報と、を関連付けて表示装置に表示する、
付記1乃至付記9のいずれか一項に記載の通信装置。
(付記11)
前記機器から受信した前記パケットに関する前記識別情報に基づいて、前記パケットの送信処理を制御する制御手段をさらに備える、
付記1乃至付記10のいずれか一項に記載の通信装置。
(付記12)
前記制御手段は、前記識別情報によって識別される前記機器から送信された前記パケットに対する前記送信処理の内容を表わす送信制御情報に基づいて、前記パケットを送信する経路を選択すること、及び、前記機器から送信された前記パケットを廃棄することの少なくともいずれかを行う、
付記11に記載の通信装置。
(付記13)
付記1乃至付記12のいずれか一項に記載の通信装置と、
前記機器と、
を有する通信システム。
(付記14)
情報処理装置によって、
パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成し、
前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類し、
所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出し、
同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する、
通信方法。
(付記15)
パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成処理と、
前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類処理と、
所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出処理と、
同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成処理と、
をコンピュータに実行させるための通信プログラムが格納された記録媒体。
この出願は、2018年8月6日に出願された日本出願特願2018−147726を基礎とする優先権を主張し、その開示の全てをここに取り込む。
1 通信システム
1A 通信システム
10 通信装置
10A 通信装置
11 特徴情報生成部
110 特徴量
111 パケット管理テーブル
12 分類部
120 分類基準
121 パケット管理テーブル
13 抽出部
130 抽出基準
131 パケット管理テーブル
14 識別情報生成部
140 識別情報
15 パケット通信部
15A パケット通信部
150A 制御部
151A 送信制御情報
20 表示装置
21 サーバ装置
22 IoTゲートウェイ
23 IoTデバイス
30 通信装置
31 特徴情報生成部
310 特徴を表す情報
32 分類部
320 分類基準
33 抽出部
330 抽出基準
34 識別情報生成部
340 識別情報
40 機器
400 パケット
900 情報処理装置
901 CPU
902 ROM
903 RAM
904 ハードディスク(記憶装置)
905 通信インタフェース
906 バス
907 記録媒体
908 リーダライタ
909 入出力インタフェース

Claims (10)

  1. パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成手段と、
    前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類手段と、
    所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出手段と、
    同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成手段と、
    を備える通信装置。
  2. 前記特徴情報生成手段は、前記パケットの大きさ、前記パケットが属するセッションの接続時間、前記セッションに属するパケット数、前記パケットの送信間隔、及び、前記パケットの受信時刻の少なくともいずれかを表す、前記特徴を表す情報を生成する、
    請求項1に記載の通信装置。
  3. 前記分類基準は、前記特徴を表す情報の類似度に基づいて、前記パケットを前記パケット群に分類することを表す、
    請求項1または請求項2に記載の通信装置。
  4. 前記抽出基準は、前記文字情報として、前記パケットに含まれるアプリケーション層の通信プロトコルのヘッダあるいはペイロードを表す文字列を抽出することを表す、
    請求項1乃至請求項のいずれか一項に記載の通信装置。
  5. 前記識別情報生成手段は、前記パケットから抽出された前記文字情報のうち、前記パターン数が最も多い文字情報に基づいて、前記識別情報を生成する、
    請求項1乃至請求項のいずれか一項に記載の通信装置。
  6. 前記識別情報生成手段は、複数の前記パケットの各々から抽出された前記文字情報のうち、先頭に位置する文字情報からの順番が等しい位置にある文字情報に基づいて、複数の前記パケットの各々に関する前記識別情報を生成する、
    請求項1乃至請求項のいずれか一項に記載の通信装置。
  7. 前記機器から受信した前記パケットに関する前記識別情報に基づいて、前記パケットの送信処理を制御する制御手段をさらに備える、
    請求項1乃至請求項のいずれか一項に記載の通信装置。
  8. 前記制御手段は、前記識別情報によって識別される前記機器から送信された前記パケットに対する前記送信処理の内容を表わす送信制御情報に基づいて、前記パケットを送信する経路を選択すること、及び、前記機器から送信された前記パケットを廃棄することの少なくともいずれかを行う、
    請求項に記載の通信装置。
  9. 情報処理装置によって、
    パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成し、
    前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類し、
    所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出し、
    同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する、
    通信方法。
  10. パケット通信を行う機器から送信されたパケットを受信することによって、前記パケットの特徴を表す情報を生成する特徴情報生成処理と、
    前記特徴を表す情報と所定の分類基準とに基づいて、前記パケットをパケット群に分類する分類処理と、
    所定の抽出基準に基づいて、前記パケットから、1以上の文字情報を抽出する抽出処理と、
    同一の前記パケット群に属する1以上の前記パケットから抽出された前記文字情報のうち、前記文字情報の構成に関するパターン数が条件を満たす文字情報に基づいて、前記パケットを送信した前記機器を識別可能な識別情報を生成する識別情報生成処理と、
    をコンピュータに実行させるための通信プログラム。
JP2020535704A 2018-08-06 2019-08-01 通信装置、通信方法、及び、通信プログラム Active JP6962476B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021163392A JP7168053B2 (ja) 2018-08-06 2021-10-04 通信装置

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2018147726 2018-08-06
JP2018147726 2018-08-06
PCT/JP2019/030138 WO2020031822A1 (ja) 2018-08-06 2019-08-01 通信装置、通信方法、及び、通信プログラムが格納された記録媒体

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2021163392A Division JP7168053B2 (ja) 2018-08-06 2021-10-04 通信装置

Publications (2)

Publication Number Publication Date
JPWO2020031822A1 JPWO2020031822A1 (ja) 2021-08-02
JP6962476B2 true JP6962476B2 (ja) 2021-11-05

Family

ID=69414135

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2020535704A Active JP6962476B2 (ja) 2018-08-06 2019-08-01 通信装置、通信方法、及び、通信プログラム
JP2021163392A Active JP7168053B2 (ja) 2018-08-06 2021-10-04 通信装置

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2021163392A Active JP7168053B2 (ja) 2018-08-06 2021-10-04 通信装置

Country Status (3)

Country Link
US (1) US20210377161A1 (ja)
JP (2) JP6962476B2 (ja)
WO (1) WO2020031822A1 (ja)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11533229B2 (en) * 2020-05-21 2022-12-20 Blackberry Limited Method and system for signaling communication configuration for Iot devices using manufacturer usage description files
CN114221992A (zh) * 2021-11-12 2022-03-22 国网山西省电力公司电力科学研究院 一种基于跨层指纹的细粒度设备识别方法
CN115175109B (zh) * 2022-05-30 2024-01-26 青岛海尔科技有限公司 控制命令的发送方法和装置、存储介质及电子装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008504737A (ja) * 2004-06-23 2008-02-14 クゥアルコム・インコーポレイテッド ネットワークパケットの効率的な分類
US8954550B2 (en) * 2008-02-13 2015-02-10 Microsoft Corporation Service dependency discovery in enterprise networks
US20100192225A1 (en) * 2009-01-28 2010-07-29 Juniper Networks, Inc. Efficient application identification with network devices
JP5819211B2 (ja) * 2012-02-10 2015-11-18 株式会社アクセンス・テクノロジー パケットキャプチャ装置及びプログラム
JP5648011B2 (ja) * 2012-03-30 2015-01-07 エヌ・ティ・ティ・コムウェア株式会社 機器同定装置、機器同定システム、機器同定方法及び機器同定プログラム
US9661008B2 (en) * 2013-02-21 2017-05-23 Nippon Telegraph And Telephone Corporation Network monitoring apparatus, network monitoring method, and network monitoring program
US9680739B2 (en) * 2014-01-31 2017-06-13 The University Of Tokyo Information transmission system, information communication apparatus, and information transmission apparatus
JP2016021697A (ja) * 2014-07-15 2016-02-04 株式会社日立製作所 通信システム、通信装置、及び、制御装置
JP2017034627A (ja) * 2015-08-06 2017-02-09 日本電信電話株式会社 通信制御システムおよび通信制御方法
JP2017103708A (ja) * 2015-12-04 2017-06-08 沖電気工業株式会社 データ収集装置及びデータ収集プログラム
US10862885B2 (en) * 2017-03-20 2020-12-08 Forescout Technologies, Inc. Device identification
SE541581C2 (en) * 2018-01-05 2019-11-05 Telia Co Ab Method and a node for storage of data in a network

Also Published As

Publication number Publication date
JPWO2020031822A1 (ja) 2021-08-02
JP2022000987A (ja) 2022-01-04
WO2020031822A1 (ja) 2020-02-13
US20210377161A1 (en) 2021-12-02
JP7168053B2 (ja) 2022-11-09

Similar Documents

Publication Publication Date Title
JP7168053B2 (ja) 通信装置
CN109951500B (zh) 网络攻击检测方法及装置
CN110445770B (zh) 网络攻击源定位及防护方法、电子设备及计算机存储介质
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
JP6669138B2 (ja) 攻撃監視システムおよび攻撃監視方法
US20060198313A1 (en) Method and device for detecting and blocking unauthorized access
CN101529862A (zh) 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置
CN110313147B (zh) 数据处理方法、装置和系统
CN107770132A (zh) 一种对算法生成域名进行检测的方法及装置
JP6770454B2 (ja) 異常検知システム及び異常検知方法
CN111869189A (zh) 网络探针和处理消息的方法
EP3935548A1 (en) Privacy-preserving data collecting
WO2021145144A1 (ja) 侵入経路分析装置および侵入経路分析方法
CN113935061A (zh) 将匿名网络数据提供给人工智能模型以用于近实时处理
CN104067558A (zh) 具有控制模块和网络访问模块的网络访问装置
CN110300057A (zh) 多宿主网络中的代理通告
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
US10187414B2 (en) Differential malware detection using network and endpoint sensors
CN113678419B (zh) 端口扫描检测
CN111010362B (zh) 一种异常主机的监控方法及装置
JP5568344B2 (ja) 攻撃検出装置、攻撃検出方法、及びプログラム
WO2021106446A1 (ja) 検知装置、車両、検知方法および検知プログラム
CN111510443B (zh) 基于设备画像的终端监测方法和终端监测装置
KR20210051208A (ko) 종단 간 통신에 보안을 제공하기 위한 장치 및 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20201221

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20201221

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20210914

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20210927

R150 Certificate of patent or registration of utility model

Ref document number: 6962476

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150