JP7025098B2 - 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム - Google Patents

異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム Download PDF

Info

Publication number
JP7025098B2
JP7025098B2 JP2018057087A JP2018057087A JP7025098B2 JP 7025098 B2 JP7025098 B2 JP 7025098B2 JP 2018057087 A JP2018057087 A JP 2018057087A JP 2018057087 A JP2018057087 A JP 2018057087A JP 7025098 B2 JP7025098 B2 JP 7025098B2
Authority
JP
Japan
Prior art keywords
analysis
traffic
information
data
threat level
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018057087A
Other languages
English (en)
Other versions
JP2019169881A (ja
Inventor
貴史 原田
玄武 諸橋
宏樹 伊藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2018057087A priority Critical patent/JP7025098B2/ja
Priority to PCT/JP2019/009249 priority patent/WO2019181551A1/ja
Priority to US16/982,266 priority patent/US11553347B2/en
Publication of JP2019169881A publication Critical patent/JP2019169881A/ja
Application granted granted Critical
Publication of JP7025098B2 publication Critical patent/JP7025098B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements
    • H04W24/08Testing, supervising or monitoring using real traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W36/00Hand-off or reselection arrangements
    • H04W36/02Buffering or recovering information during reselection ; Modification of the traffic flow during hand-off
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/18Service support devices; Network management devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本発明は、SIEM(Security Information and Event Management)、セキュリティエンジン、エッジコンピューティング等に適用可能な異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラムに関する。
近年、IoT機器の普及により、多数のIoT機器がネットワークに接続し、大量のトラヒックを発生するようになった。また、IoT機器は、制御などの用途から、IT機器と比べ低遅延が要求される場合がある。このような傾向から、ネットワークや情報処理にかかわるアーキテクチャの変更が必要であり、その選択肢として、サーバクライアント型におけるサーバは、エッジコンピューティング方式が提案されている。
エッジコンピューティングにおいては、サーバが分散して配置される。IoT機器(以下UEともいう)においても、IT機器と同様にセキュリティ対策をすることが求められる。
「豊かな生活に役立つ社会基盤となるLTEサービス「Xi」(クロッシィ)」、NTT技術ジャーナル、pp.48-51、2011.7
従来の分散連携方式の代表例である移動局のハンドオーバ技術は、IoT機器(UE)の通信先である基地局が他の基地局に移動した場合に移動端末とネットワークの連携を行う方式である。エッジに分散配置された多層型セキュリティ分析エンジンは、過去のトラヒックデータを用いて分析を行う場合があるため、基地局間移動時にデータの移動先への送付が不可欠である。基地局間で連携するという既存技術は存在するものの、エッジ間のセキュリティエンジンに適応させるためには、検知に必要な情報について送付しないといけないが、既存技術では考慮されていないという課題がある
本発明は上記課題を解決するためになされたものであり、本発明の目的は、IoT機器がエッジ間を移動したとしても適切に情報連携してシームレスな分析が可能な異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラムを提供することにある。
本発明は、課題を解決するために、以下のような手段を講じている。
本発明の第1の態様は、異常トラヒック分析装置は、機器からのトラヒックを受信する受信手段と、前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析手段と、前記分析手段による分析結果を記録させる分析結果記録手段と、前記機器のエッジ間の移動を管理する機器管理手段とを有し、前記機器管理手段により前記分析手段により分析の対象としている機器が他のエッジへ移動することが判定される場合に、前記受信手段は、前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する。
本発明によれば、IoT機器がエッジ間を移動したとしても適切に情報連携してシームレスな分析が可能となる。
本実施形態の通信システムの一例を示す図。 図1に示す通信システムにおける分散協調セキュリティ分析技術の概略を説明するための図。 セルとエッジとサービスの関係の一例を示す図。 セルとエッジとサービスの関係の他の一例を示す図。 セルとエッジとサービスの関係を表すデータ構造の一例を示す図。 セルとエッジとサービスの関係を示すエッジサービスセル対応情報(管理データ)の一例を示す図。 本実施形態における異常トラフィック分析装置の構成を示すブロック図。 本実施形態における異常トラフィック検知エンジンの機能構成を示すブロック図。 異常トラフィック分析装置の処理の流れを示す図。 移動元側/移動先側の異常トラフィック分析装置の処理の流れを示す図。 移動元側/移動先側の異常トラフィック分析装置による分散協調の処理を示すフローチャート。 分散協調管理部の動作を示すフローチャート。
以下、本実施形態について、図面を参照しながら説明する。
図1は、本実施形態の通信システムの一例を示す図である。図1に示す通信システムは、例えば自動車等の車両を自動走行させるための自律型モビリティシステムを実現するシステムである。自律型モビリティシステムは、例えば自動車等に設けられた各種のセンサや機器等により検出された各種のデータ(プローブデータ)を、例えば、自動車に搭載されたIoT機器40からサーバに送信する。自律型モビリティシステムは、多数の自動車等のIoT機器から受信されたプローブデータをリアルタイムでダイナミックマップに反映させ、このダイナミックマップのデータを自動車のIoT機器に送信する。自動車は、ダイナミックマップのデータをもとに自動走行の制御を実行する。
本実施形態における通信システムでは、自動車等に搭載されたIoT機器とサーバとのデータ(トラヒック)の送受信を、例えばモバイルネットワーク(移動網33)を使用するLTE(Long Term Evolution)通信を用いて行うものとする。
図1に示す通信システムでは、インターネット16上にコアネットワーク10(10-1,…,10-m)が設けられる。コアネットワーク10には、例えばクラウドサーバ12、ダイナミックマップサーバ14、監視対象情報管理サーバ15が設けられる。クラウドサーバ12は、各種サービスに対応するサーバである。
監視対象情報管理サーバ15は、自動車等に搭載された端末(UE:User Equipment)など、監視対象とするIoT機器40に関する情報(監視対象情報)を管理するサーバである。監視対象情報管理サーバ15は、例えば、移動網33内に設けられたIoT機器のエッジ間移動を管理する管理サーバ17(図2示す)からのメッセージを受信して、IoT機器に固有の統一的識別情報(ID)をもとに、端末が利用するサービス、端末がデータを送受信するエッジ(ローカルネットワーク20)、端末の現在位置に対応するセル(基地局32)などの在圏状況の対応関係等を管理する。監視対象情報管理サーバ15は、自動車の走行に伴って端末(IoT機器)が、異なるローカルネットワーク20に対応するセル(基地局32)の範囲に移動したことが検出された場合、管理サーバ17からハンドオーバ契機のメッセージを受信し、複数のローカルネットワーク20(20-1,…,20-n)のそれぞれに含まれる異常トラフィック分析装置28(28-1,…,28-n)に対して、対象とするIoT機器がエッジ間で移動したことを通知するメッセージを同報配信する。
ダイナミックマップサーバ14は、複数のIoT機器から受信されるデータ(プローブデータ)をもとにダイナミックマップを作成して、ダイナミックマップデータを端末(IoT機器)に配信する。ダイナミックマップサーバ14は、例えば、ローカルネットワーク20(20-1,…,20-n)のダイナミックマップサーバ24(24-1,…,24-n)が管理するダイナミックマップより上位のダイナミックマップを対象とする。
ローカルネットワーク20(20-1,…,20-n)は、通信システム(自律型モビリティシステム)をエッジコンピューティング方式により実現するためのネットワークである。すなわち、コアネットワーク10よりもIoT機器(端末)に近い位置に、自律型モビリティシステムのサービスを提供するネットワークスライスを構成している。これにより、IoT機器とサーバとの間の低遅延通信を実現している。エッジコンピューティング方式による通信システムでは、サービスを提供するエッジサーバ22(22-1.…,22-n)が、複数のローカルネットワーク20-1,…,20-nに分散して配置される。
ローカルネットワーク20には、自律型モビリティシステムのサービスを提供するために、ダイナミックマップサーバ24、プローブ収集サーバ26、ゲートウェイ27、異常トラフィック分析装置28が配置される。なお、ローカルネットワーク20-1,…,20-nは、それぞれ同様に構成されるものとして、個々について詳細な説明を省略する。
ダイナミックマップサーバ24は、プローブ収集サーバ26により収集される複数のIoT機器40からのプローブデータをもとにダイナミックマップを作成して、ゲートウェイ27を通じて、ダイナミックマップデータをIoT機器40に配信する。ダイナミックマップサーバ24は、コアネットワーク10に設けられたダイナミックマップサーバ14よりもローカルな範囲のダイナミックマップを管理する。
プローブ収集サーバ26は、複数のIoT機器40から送信されるプローブデータを、ゲートウェイ27を通じて受信して記録する。プローブ収集サーバ26は、IoT機器40から収集したプローブデータをダイナミックマップサーバ24に提供する。プローブデータには、自動車の走行位置、車速、ブレーキング、燃費など、様々なデータを含む。
ゲートウェイ27は、ローカルネットワーク20(ネットワークスライス)と他のネットワークとを接続する。ゲートウェイ27は、例えば、Wi-Fiアクセスポイント30と接続されたIoT機器40からのデータを、インターネット16を通じて受信する。また、ゲートウェイ27は、基地局32と接続されたIoT機器40からのデータを、移動網33を通じて受信する。ゲートウェイ27は、異常トラフィック分析装置28と連携し、異常トラフィック分析装置28による分析によって異常と判断された、例えば悪意のあるIoT機器42から送信される異常トラヒックを遮断する機能を有する。
異常トラフィック分析装置28は、ゲートウェイ27と連携して動作し、異常トラヒックを検出するための異常トラフィック検知エンジンとして動作する。異常トラフィック分析装置28は、ゲートウェイ27を通じて送受信されるトラヒック(ミラーリングトラヒック)を入力して分析し、例えば悪意のあるIoT機器42から送信される異常トラフィックの検知・判断を実行する。
図2には、図1に示す通信システムにおける分散協調セキュリティ分析技術の概略を説明するための図である。
図2に示すように、監視対象情報管理サーバ15は、監視対象情報15Jとして、IoT機器毎の統一的IDをもとに監視対象とするIoT機器について、サービス、エッジ、セル(基地局)などの在圏状況の対応関係を管理している。監視対象情報管理サーバ15は、対応関係等を含む監視対象情報を、各エッジA,Bの異常トラフィック分析装置28-A,28-B(異常トラヒック分析エンジン)に対して同報配信する。基地局間を監視対象車両(IoT機器40)が移動した際には、移動網33の移動体ネットワーク管理システムにより提示された識別情報および移動先情報(ハンドオーバ情報)を用いて、IoT機器40の移動を検知する。例えば、基地局A範囲から基地局Bの範囲へのIoT機器40の移動を検知したエッジAの異常トラフィック分析装置(本実施形態においてはセキュリティエンジン)28-Aは、エッジBの異常トラフィック分析装置(本実施例形態においてはセキュリティエンジン)28-Bに対して、異常トラヒック分析に必要な情報をエッジBへ送付する。従って、異常トラフィック分析装置28-Bは、基地局B範囲に移動してきたIoT機器40からのトラヒックに対して、異常トラフィック分析装置28-Aから受信した情報を用いて高精度の異常トラフィックの検知を実行できるようになる。
本実施形態における通信システムでは、各エッジに配置された異常トラフィック分析装置28にセキュリティエンジンの間で情報連携するための機能(後述する分散協調管理部)が設けられ、この機能により複数のエッジに分散配置された異常トラフィック分析装置28が連携して、監視対象とするIoT機器の移動に追随した、情報交換と連続監視を実現する。
図3は、セルとエッジとサービスの関係の一例を示す図である。
セルとエッジとサービスの関係を示すデータは、IoT機器40の移動に伴うハンドオーバにより在圏するセルが変わるとき、エッジが変わるかどうかを判断するために使用される。
エッジは、1つ以上のサービスを提供するが、全てのエッジが同じサービスを提供するとは限らない。また、サービスのうち2つは、例えば、プローブ情報収集とLDM(Locl Dynamic Map)配信である。セルは、エッジに所属するが、サービスによって所属が変わる場合がある。セルとサービスのペアによって所属するエッジは一意に決定する。
図3に示す例では、サービス1において、セル2とセル3との間の移動ではエッジの移動は発生しないが、セル3とセル4との間の移動ではエッジの移動が発生する。一方、サービス2においては、セル2とセル3との間の移動でエッジの移動が発生する。
なお、前述したセルとエッジとサービスの関係は、図4のような関係のように表すことができる。図4は、セルとエッジとサービスの関係の他の一例を示す図である。
前述したセルとエッジとサービスの関係を表現可能なデータ構造としては、ディレクトリ(またはツリー)構造が考えられる。図5は、セルとエッジとサービスの関係を表すデータ構造の一例を示す図である。
図5に示すデータ構造を元にしたセル移動時のエッジ移動判定方法(1)~(4)を以下に示す。
(1)ハンドオーバ情報通知(後述する)により、IoT機器40に搭載されたLTE通信回線の固有の識別子であるIMSI(International Mobile Subscriber Identity)および切り替え先セル識別子(c2)を取得する。
(2)監視対象情報管理サーバ15において管理された監視対象情報をもとに、IMSIに対応するUE識別子の在圏中セル識別子(c1)を取得する(在圏中セル識別子(c1)と切り替え先セル識別子(c2)は必ずしも連続しない)。
(3)サービス単位で在圏中セル識別子(c1)と切り替え先セル識別子(c2)を検索し、それぞれのセルが所属するエッジ識別子(e1,e2)を取得する。
(4)全てのサービスについて、(3)を実施する。
図6は、セルとエッジとサービスの関係を示すエッジサービスセル対応情報(管理データ)の一例を示す図である。なお、同一サービス内に同一のエッジが存在しない、及び異なるサービス下の同一のエッジで同一名称のセルが存在しないものとし、データ整合性が維持されるものとする。
図7は、本実施形態における異常トラフィック分析装置28の構成を示すブロック図である。
異常トラフィック分析装置28は、プログラムを実行するコンピュータを備えており、プロセッサ28A、メモリ28B、通信インタフェース28C、記憶装置28Dを有する。
プロセッサ28Aは、例えばCPU(Central Processing Unit)であり、メモリ28Bに記憶されたプログラムを実行することで、異常トラフィック分析装置28の各部を制御する。プロセッサ28Aは、異常トラフィック分析プログラムPを実行することで、ゲートウェイ27を通じて送受信される異常トラヒックを検出するための異常トラフィック検知エンジン(図3に示す)を実現する。異常トラフィック検知エンジンには、機能モジュール及びデータベースを含む。
メモリ28Bは、プロセッサ28Aによる処理の作業エリアとして使用され、プログラムやデータが記憶される。
通信インタフェース28Cは、プロセッサ28Aのもとで通信を制御する。
記憶装置28Dは、例えばHDD(Hard Disk Drive)またはSSD(Solid State Drive)であり、プロセッサ28Aにより実行されるプログラム、各種データが記憶される。記憶装置28Dに記憶されるプログラムには、異常トラヒック分析プログラムPを含む。また、異常トラヒック分析プログラムPの実行に伴い、トラヒックデータデータベースDB1、UE別脅威レベルデータベースDB2、分析結果ログDB3、UE情報データベースDB4等が記憶される。
図8は、本実施形態における異常トラフィック検知エンジン50の機能構成を示すブロック図である。異常トラフィック検知エンジン50は、プロセッサ28Aにより異常トラフィック分析プログラムPを実行することにより実現される。
異常トラフィック検知エンジン50の機能モジュール52には、トラヒック受信解析部M1、分析方法決定部M2、分析部M3、分析結果取得部M4、分散協調管理部M5が含まれる。また、機能モジュール52により処理されるデータを記憶するデータベース54として、トラヒックデータデータベースDB1、UE別脅威レベルデータベースDB2、分析結果ログDB3、UE情報データベースDB4、エントリデータベースDB5(図示せず)が設けられる。
トラヒック受信解析部M1は、ゲートウェイ27に送受信されるトラヒックと同じトラヒック(ミラーリングトラヒック)を受信する。トラヒック受信解析部M1は、トラヒックデータの記録、トラヒック(ヘッダ部及びペイロード部)についての解析、エントリデータの生成等を実行する。
分析方法決定部M2は、トラヒックの異常を検出するための分析アルゴリズム、及び分析アルゴリズムに従う分析に使用されるパラメータを決定する。
分析部M3は、分析方法決定部M2によって決定された分析アルゴリズム及びパラメータに応じてトラヒックに対する分析を実行する。
分析結果取得部M4は、分析部M3による分析結果を取得して記録させる。
分散協調管理部M5は、監視対象情報管理サーバ15からの監視対象情報の受信、移動体ネットワーク管理システム(管理サーバ17)からのハンドオーバ情報通知メッセージの受信、通知メッセージに応じたIoT機器のセル移動前後でのエッジの移動判定等を実行する。
次に、本実施形態の通信システムにおける異常トラフィックの検出のための動作について説明する。
図9は、異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理の流れを示す図である。
(1)まず、トラヒック受信解析部M1は、トラヒックを受信すると、トラヒックデータD2を生成してトラヒックデータベースDB1へ書き出す。
(2)トラヒック受信解析部M1は、トラヒックに対して構文解析して、分析対象のパケットの選別、IP(internet protocol)パケットヘッダにある5tupple情報(送信元アドレス、宛先アドレス、送信元ポート番号、宛先ポート番号、プロトコル情報)等の共通情報と、ペイロード情報等を取得し、エントリデータD1を生成する。トラヒック受信解析部M1は、エントリデータD1を分析方法決定部M2へ引渡す。
(3)分析方法決定部M2は、受け取ったエントリデータD1をもとに、後述する分析次数決定ルールにより次に実行すべき分析方法を決定し、決定された分析の次数を付加したエントリデータD1を分析部M3へ引渡す。
(4)分析部M3は、受け取ったエントリデータD1に対応するトラヒックデータD2を、トラヒックデータベースDB)から取得する。
(5)分析部M3は、分析方法決定部M2から指定された分析方法によりエントリデータD1を分析し、その分析結果D3および及び該当エントリデータD1を分析結果取得部M4へ引渡す。分析部M3は、例えば攻撃検知の詳細度(次数)の再設定を繰り返しながら分析して、対象エントリ別の脅威レベルを判定する分析を実行する。分析の具体例については後述する。
(6)分析結果取得部M4は、受け取った分析結果D3から対象エントリ別脅威レベルD4(後述する)を取得して、監視対象のIoT機器の脅威レベルを決定するためのルールを適用してUE別脅威レベルを決定し、UE別脅威レベルデータベースDB2を更新する。
(7)分析結果取得部M4は、更に、受け取った分析結果D3を分析結果ログDB3へ保存する。
(8)分析結果取得部M4は、分析結果D3から対象エントリ別脅威レベルD4を取得し、次の分析が必要な該当エントリデータD1および対象エントリ別脅威レベルD4を分析方法決定部M2へ引渡す。
なお、(3)分析方法決定部M1は、1つ前の分析次数および対象エントリ別脅威レベルと該当エントリデータD1を、分析次数決定ルールにより分析方法を決定して分析方法が付加されたエントリデータを分析部M3へ引渡す。
ここで、分析部M3による分析の具体例について説明する。
UE別脅威レベルデータベースDB2には、過去の通信を対象として、発信元を特定する情報(例えばIPアドレスや端末ID)に紐づけて、一次検知(分析A)の検知結果、二次検知(分析B)の検知結果、…といった具合に、攻撃検知の詳細度(以下、次数ともいう)ごとに、攻撃検知の結果が記憶されている。これに加え、UE別脅威レベルデータベースDB2には、詳細度毎の攻撃検知結果から導き出される脅威レベルが対応付けられて記憶されている。
脅威レベルは、0または1の2値としてもよいし、3値以上の数値を設定してもよい。例えば脅威レベルに10種類の数字0,1,…,9を設定し、数字が大きければ大きいほど悪性度が強いことを意味するものとし、脅威レベルカラムの数字が9であれば明らかな悪性としてもよい。
UE別脅威レベルデータベースDB2には、少なくとも、過去に受信した情報の発信元(例えばIPアドレスや端末ID)と過去に受信した情報の脅威レベルとが対応付けられてエントリデータとして予め記憶されているものとする。
分析部M3は、UE別脅威レベルデータベースDB2の各エントリと特定された発信元とを照合し、受信した情報に対する攻撃検知の詳細度を決定する。より具体的には、分析部M3は、発信元が特定されたトラヒックに対し、これと同一の発信元に該当するエントリがUE別脅威レベルデータベースDB2に存在するか否かを確認する。分析部M3は、例えば以下のような分析次数決定ルール(1)(2)で、受信した情報に対する攻撃検知の詳細度を決定してもよい。
(1)具体例
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルの一つ上の次数に設定する。
(2)具体例
UE別脅威レベルデータベースDB2に対応するエントリがなかった場合、詳細度(次数)を1次と設定する。一方、UE別脅威レベルデータベースDB2に対応するエントリがあった場合、詳細度(次数)をエントリが示す脅威レベルと等しい次数に設定する。
本実施形態の異常トラフィック分析装置28では、トラヒックが送信された通信経路(通信方法)に応じて、攻撃検知アルゴリズムと詳細度(次数)が決定されるものとする。本実施例で用いることができる攻撃検知アルゴリズムとしては、例えばルールベース攻撃検知、ポートスキャニングの検知、利用ポートの変化検知、トラヒック流量の変化検知、パケット受信タイミングの変化検知、DPI、時系列データとして取得されたデータを用いて予測されたデータと、実測されたデータとのはずれ具合で異常を検知する攻撃検知などが挙げられる。攻撃検知アルゴリズムが詳細かつ高コストであるほど、詳細度(次数)が高く設定される。
次に、分析部M3は、受信したトラヒックに対して、決定された詳細度(次数)(分析パラメータ)に基づく攻撃検知を実行する。
攻撃検知の結果が正常であった場合、分析部M3は、分析結果D3を分析結果取得部M4に渡す。分析結果取得部M4は、発信元を特定する情報と検知結果(対象エントリ別脅威レベルD4)を分析結果ログDB3およびUE別脅威レベルデータベースDB2に保存する。分析結果ログDB3には、アノマリ識別子、タイムスタンプ、発信元を特定する情報(IPアドレスや端末ID)、詳細度ごとの検知結果、詳細度ごとの検知回数、最終検知結果、対処済フラグなどが保存される。
一方、攻撃検知の結果が正常でない場合(懸念有、または異常有であった場合)、分析部M3は、受信したトラヒックに対する高次な攻撃検知の必要性を判断する。高次な攻撃検知の必要性があると判断されなかった場合、分析結果取得部M4は、分析部M3による分析結果として、発信元を特定する情報と、検知結果を分析結果ログDB3およびUE別脅威レベルデータベースDB2に保存する。
攻撃検知の結果が正常でない場合として、具体的には以下のようなケース(1)(2)が考えられる。(1)該当の通信が異常(不正)であることが明白であるため、さらに高次な攻撃検知を実行する必要性が乏しい。例えば、前述の脅威レベルカラムの数字が9である場合などには、該当の通信が悪性であることが明白であるため、さらに高次な攻撃検知を省略することができ、計算リソースを効果的に用いることができる。(2)すでに最高次の攻撃検知が実行されており、これよりも高次な攻撃検知が実行できない。
一方、高次な攻撃検知の必要性があると判断された場合、分析部M3は、攻撃検知の結果に基づいて、受信した情報に対する攻撃検知の詳細度を再度決定する。分析部M3は、再度決定された詳細度(次数)に基づく攻撃検知を再度実行する。攻撃検知の結果が正常でないと判断される場合、分析部M3は、さらに高次な攻撃検知の必要性を判断する。このように、攻撃検知の結果が正常でないと判断される限りにおいて、繰り返し実行される。分析部M3の詳細度(次数)の再決定方法として以下の具体的方法(1)~(4)が考えられる。
(1)具体例
対象の攻撃検知の詳細度(次数)を常に1増やす。
(2)具体例2
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=Yes(次数を1増やす)
出力=異常有り→判断結果=Yes(次数を2増やす)
(3)具体例
攻撃検知アルゴリズムの出力が、正常/懸念有り/異常有りの3段階で表現される場合、
出力=懸念有り→判断結果=No(次数を増やさない→S15aN→エンド)
出力=異常有り→判断結果=Yes(次数を1増やす)
(4)具体例
攻撃検知アルゴリズムの出力が、異常の有無を数値で表現する場合。例えば、攻撃検知アルゴリズムの出力が0.0~1.0であって、値が1.0に近づくほど異常性が高く、異常有無判断の閾値が0.5だった場合。
出力=0.5以上0.6未満→判断結果=Yes(次数を1増やす)
出力=0.6以上0.7未満→判断結果=Yes(次数を2増やす)
出力=0.7以上0.8未満→判断結果=Yes(次数を3増やす)
出力=0.8以上0.9未満→判断結果=Yes(次数を4増やす)
出力=0.9以上→判断結果=Yes(次数を5増やす)
本実施例の異常トラフィック分析装置28によれば、危険性の低いIoT機器(機器)については、早々に攻撃検知を打ち切るため、計算リソースが無駄にならない。
また、明らかに不正なIoT機器についても同様に、早々に攻撃検知を打ち切るため、計算リソースが無駄にならない。
また、該当のIoT機器の危険性がグレーゾーンにある場合は、処理を繰り返し実行することにより、攻撃検知の信頼性が担保される。
また、UE別脅威レベルデータベースDB2にエントリとして登録されているIoT機器については、登録済みの脅威レベルに応じた詳細度が最初に設定されるため、詳細度の低い攻撃検知が適宜スキップされ、計算リソースが無駄にならない。
このように、本実施例の異常トラフィック分析装置28によれば、計算リソースを効果的に用いることができる。
次に、移動体ネットワーク管理システムからIoT機器(UE)のハンドオーバ情報通知メッセージを受信した際の動作について説明する。
図10(A)は、ハンドオーバ情報通知メッセージ受信時の移動元側の異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理、図10(B)は、移動先側の異常トラフィック分析装置28(異常トラフィック検知エンジン50)の処理の流れをそれぞれ示す図である。
図11は、移動元側/移動先側の異常トラフィック分析装置28(分散協調管理部M5)による分散協調の処理を示すフローチャート、図12は、分散協調管理部M5の動作を示すフローチャートである。
(1)移動元の異常トラフィック分析装置28の分散協調管理部M5は、監視対象情報管理サーバ15からハンドオーバ情報通知メッセージ(ハンドオーバ契機)を受信すると(図12、ステップS21)、ハンドオーバ情報通知処理を実行する(ステップS22)。なお、分散協調管理部M5は、移動網33(モバイルネットワーク)の管理サーバ17からのハンドオーバ契機のメッセージを、監視対象情報管理サーバ15を通じて受信しているが、他の方法によりハンドオーバ契機を取得しても良い。例えば、個々のIoT機器40が搭載された車両の移動状況からハンドオーバ契機(エッジ間移動)を推定するなどしても良い。
まず、分散協調管理部M5は、メッセージの通知理由を判別する(ステップS31)。メッセージの通知理由がハンドオーバの要求である場合、分散協調管理部M5は、メッセージから移動先のセル情報(セルID)と、UE情報データベースDB4のUE情報により管理中のIoT機器(UE)の在圏セルを示す情報を取得する。
(2)分散協調管理部M5は、更に、UE情報により管理しているエッジ、サービス、セル対応情報を照会し、移動前のセルと移動後のセルでエッジの移動が発生するか否かを判定する(ステップS32)。
(3)エッジの移動が発生しない場合(ステップS33、No)、分散協調管理部M5は、後続する処理がなくループする(ステップS36)。一方、エッジの移動が発生する場合(ステップS33、Yes)、分散協調管理部M5は、移動前後のエッジ識別子をもとに異常トラヒック分析エンジンのアドレスを取得する(ステップS34)。また、分散協調管理部M5は、トラヒック受信解析部M1に、エッジ移動の旨を、当該IoT機器(EU)と移動先エッジの情報と共に通知する。
(4)トラヒック受信解析部M1は、当該IoT機器(EU)のエントリデータ、UE別脅威レベル情報、トラヒックデータを、予め設定された特定の条件に基づいて抽出し、移動先のエッジに配置された異常トラフィック分析装置28(異常トラヒック分析エンジン)のトラヒック受信解析部M1に、分散協調情報として取得したアドレスをもとに通知する(ステップS16,S35)。
すなわち、エッジを移動するIoT機器からのトラヒックについて、異常トラフィックの分析を継続して実行するために必要な分析継続情報を、移動先のエッジの異常トラフィック分析装置28に渡す。本実施形態においては、分散協調管理部M5を介して渡す。ここでは、分析中の脅威レベルや分析途中のトラヒックデータについても、移動先の異常トラフィック分析装置28に渡す。これにより、IoT機器がエッジを移動しても、このIoT機器に対して途切れのないシームレスな分析を可能にする。
図11には、ハンドオーバ要求メッセージを受信した場合(ステップS11)の分散協調情報の生成を示している(ステップS12~S16)。
トラヒック受信解析部M1は、エントリデータベースDB5から当該IoT機器の分析に必要なエントリデータを抽出する(ステップS12)。ここでは、予め設定された条件で定めたデータ範囲分のエントリデータに限定して抽出する。例えば、トラヒック受信解析部M1は、分析に必要なエントリデータの範囲を、分析対象とするデータの包含関係から算出して抽出する。例えば、ある分析が過去30秒分のエントリデータを用いた時系列分析を行い、ある分析は、前述した過去30秒分のエントリデータを含む過去10分のエントリデータを用いた時系列分析を行う場合、包含関係から、過去10分のエントリデータの範囲を分析対象とする。また、時間の包含関係だけでなく、位置関係などの他の包含関係に基づいて、分析に必要なエントリデータの範囲を抽出することも可能である。
また、トラヒック受信解析部M1は、UE別脅威レベルデータベースDB2から対象とするIoT機器の脅威レベルを抽出する(ステップS14)。また、UE別脅威レベルデータベースDB2に登録されたIoT機器を特定する情報、例えばIPアドレスを通信元のエッジのIPアドレスに変更する。この際、渡されたデータであることを示すフラグをつけることで、分析の際に、具体的にどのエッジへの攻撃であったかも分析時に確認することができる。(ステップS15)。
なお、トラヒック受信解析部M1は、現在のIoT機器に対する脅威レベル(過去の分析結果により算出)に基づいて、分散協調情報を移動先エッジの異常トラフィック分析装置28に送信するか否かを判断するようにしても良い。例えば、脅威レベルが予め設定されたレベルより高い場合など、診断が確定している状況では、移動先のエッジにおいて継続して分析する必要がない。こうした場合、分散協調情報を送信する必要ないと判断することができる。
こうして、分析に必要なエントリデータの範囲を限定する、あるいは脅威レベルをもとに分散協調情報を送信しないと判断することで、異なるエッジの異常トラフィック分析装置28の間のトラヒック量の増大を抑えることができる。これにより、ネットワークを効率的に利用することが可能となる。
(5)移動先エッジに配置された異常トラフィック分析装置28のトラヒック受信解析部M1は、分散協調情報からエントリデータ、トラヒックデータ、及びUE別脅威情報を受信し(ステップS17)、それぞれエントリデータベースDB5、トラヒックデータデータベースDB1、及びUE別脅威レベルデータベースDB2に記憶させる(ステップS18,S19)。
なお、異常トラフィック分析装置28の間の分散協調情報の送信は、ハンドオーバ完了通知が受信されるまで、あるいは予め設定された一時期間において継続して実行されるものとする(ステップS13a~S13b)。これにより、IoT機器のエッジ間の移動に伴い、継続した分析に必要なデータの欠損が生じないようにすることができる。
移動元のエッジの分散協調管理部M5は、ハンドオーバ完了通知が受信されると(ステップS31)、UE情報データベースDB4のUE情報の在圏中セル識別子を、メッセージにより取得したセル識別子により更新する(ステップS37)。
このようにして、本実施形態における通信システムでは、各エッジに配置された異常トラフィック分析装置28のエンジン間情報連携機能が連携して、移動先のエッジにおいても対象とするIoT機器についての分析に必要なデータを含む分散協調情報を、移動先のエッジの異常トラフィック分析装置28から送信するので、IoT機器がエッジ間を移動しても適切に情報連携してシームレスな分析が可能となる。
なお、各実施形態に記載した手法は、計算機(コンピュータ)に実行させることができるプログラム(ソフトウエア手段)として、例えば磁気ディスク(フレキシブルディスク、ハードディスク等)、光ディスク(CD-ROM、DVD、MO等)、半導体メモリ(ROM、RAM、フラッシュメモリ等)等の記録媒体に格納し、また通信媒体により伝送して頒布することもできる。なお、媒体側に格納されるプログラムには、計算機に実行させるソフトウエア手段(実行プログラムのみならずテーブルやデータ構造も含む)を計算機内に構成させる設定プログラムをも含む。本装置を実現する計算機は、記録媒体に記録されたプログラムを読み込み、また場合により設定プログラムによりソフトウエア手段を構築し、このソフトウエア手段によって動作が制御されることにより上述した処理を実行する。なお、本明細書でいう記録媒体は、頒布用に限らず、計算機内部あるいはネットワークを介して接続される機器に設けられた磁気ディスクや半導体メモリ等の記憶媒体を含むものである。
また、本発明は、前述した実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、前述した実施形態に開示されている複数の構成要素の適宜な組み合わせにより、種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。さらに、異なる実施形態にわたる構成要素を適宜組み合わせてもよい。
10(10-1,…,10-m)…コアネットワーク、12…クラウドサーバ、14…ダイナミックマップサーバ、15…監視対象情報管理サーバ、16…インターネット、20(20-1,…,20-n)…ローカルネットワーク、22(22-1.…,22-n)…エッジサーバ、24(24-1,…,24-n)…ダイナミックマップサーバ、26(26-1,…,26-n)…プローブ収集サーバ、27(27-1,…,27-n)…ゲートウェイ、28(28-1,…,28-n)…異常トラフィック分析装置、28A…プロセッサ、28B…メモリ、28C…通信インタフェース、28D…記憶装置、32…基地局、M1…トラヒック受信解析部、M2…分析方法決定部、M3…分析部、M4…分析結果取得部、M5…分散協調管理部、DB1…トラヒックデータデータベース、DB2…UE別脅威レベルデータベース、DB3…分析結果ログ、DB4…UE情報データベース。

Claims (5)

  1. 機器からのトラヒックを受信する受信手段と、
    前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析手段と、
    前記分析手段による分析結果を記録させる分析結果記録手段と、
    前記機器のエッジ間の移動を管理する機器管理手段とを有し、
    前記機器管理手段により前記分析手段により分析の対象としている機器が他のエッジへ移動することが判定される場合に、
    前記受信手段は、前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、
    前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、
    この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する異常トラヒック分析装置。
  2. 前記受信手段は、予め設定された条件で定めたデータ範囲分に限定したデータを抽出して、この限定したデータをもとに、分析を継続するための情報を生成する請求項1記載の異常トラヒック分析装置。
  3. 前記機器管理手段は、外部サーバにおいて管理された監視対象とする機器の在圏状況の対応関係が記録された監視対象情報を受信し、前記監視対象情報をもとに前記機器のエッジ間の移動を管理する請求項1記載の異常トラヒック分析装置。
  4. 機器からのトラヒックを受信する受信工程と、
    前記機器からのトラヒックが異常トラヒックであるかを、異常の詳細度の再設定を繰り返しながら分析して、脅威レベルを判定する分析工程と、
    前記分析工程による分析結果を記録させる分析結果記録工程と、
    前記機器のエッジ間の移動を管理する機器管理工程と、
    前記機器管理工程により前記分析工程により分析の対象としている機器が他のエッジへ移動することが判定される場合に、
    前記機器からのトラヒックについて、前記機器からのトラヒックに応じたトラヒックデータ、過去に受信した情報の発信元と過去に受信した情報の脅威レベルとが対応付けられたエントリデータ、及び前記機器に対応する脅威レベルを示すデータの何れかをもとに分析を継続するための情報を生成して、
    前記機器に対応する脅威レベルをもとに、分析を継続するための情報を送信するか否かを判断し、
    この判断結果に基づいて、前記機器の移動先とするエッジに含まれる、トラヒックを分析する装置に、分析を継続するための情報を送信する工程とを有する異常トラヒック分析方法。
  5. 請求項1乃至3の何れかに記載の異常トラヒック分析装置が具備する各手段が行う処理を、当該異常トラヒック分析装置が備えるコンピュータに実行させる異常トラヒック分析プログラム。
JP2018057087A 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム Active JP7025098B2 (ja)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2018057087A JP7025098B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
PCT/JP2019/009249 WO2019181551A1 (ja) 2018-03-23 2019-03-08 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
US16/982,266 US11553347B2 (en) 2018-03-23 2019-03-08 Abnormal traffic analysis apparatus, abnormal traffic analysis method, and abnormal traffic analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2018057087A JP7025098B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム

Publications (2)

Publication Number Publication Date
JP2019169881A JP2019169881A (ja) 2019-10-03
JP7025098B2 true JP7025098B2 (ja) 2022-02-24

Family

ID=67987078

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018057087A Active JP7025098B2 (ja) 2018-03-23 2018-03-23 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム

Country Status (3)

Country Link
US (1) US11553347B2 (ja)
JP (1) JP7025098B2 (ja)
WO (1) WO2019181551A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP4008159A4 (en) * 2019-08-02 2022-08-03 NEC Corporation CONNECTIVITY-BASED SIMULTANEOUS TRANSFER METHODS, DEVICES AND COMPUTER-READY MEDIA
CN115955334B (zh) * 2022-12-02 2023-11-10 深圳市铭励扬科技有限公司 一种基于边缘计算的网络攻击流量处理方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011259014A (ja) 2010-06-04 2011-12-22 Nippon Telegr & Teleph Corp <Ntt> トラフィック分析システムおよびトラフィック分析方法
WO2012124207A1 (ja) 2011-03-17 2012-09-20 日本電気株式会社 通信システム、基地局、サイバー攻撃対処方法
WO2018034201A1 (ja) 2016-08-18 2018-02-22 株式会社Nttドコモ 通信方法

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3250129B2 (ja) * 1994-07-29 2002-01-28 日本電信電話株式会社 パケットサービス無中断ハンドオーバ方法
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
US8910275B2 (en) * 2007-02-14 2014-12-09 Hewlett-Packard Development Company, L.P. Network monitoring
CN102487539B (zh) * 2010-12-02 2014-12-10 感知技术无锡有限公司 一种单频无线接入网的切换方法、装置和系统
US10447733B2 (en) * 2014-06-11 2019-10-15 Accenture Global Services Limited Deception network system
WO2016032491A1 (en) * 2014-08-28 2016-03-03 Hewlett Packard Enterprise Development Lp Distributed detection of malicious cloud actors

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011259014A (ja) 2010-06-04 2011-12-22 Nippon Telegr & Teleph Corp <Ntt> トラフィック分析システムおよびトラフィック分析方法
WO2012124207A1 (ja) 2011-03-17 2012-09-20 日本電気株式会社 通信システム、基地局、サイバー攻撃対処方法
WO2018034201A1 (ja) 2016-08-18 2018-02-22 株式会社Nttドコモ 通信方法

Also Published As

Publication number Publication date
US11553347B2 (en) 2023-01-10
US20210058794A1 (en) 2021-02-25
JP2019169881A (ja) 2019-10-03
WO2019181551A1 (ja) 2019-09-26

Similar Documents

Publication Publication Date Title
CN108306893B (zh) 一种自组网络的分布式入侵检测方法和系统
CN110830422B (zh) 一种终端行为数据处理方法及设备
US20190379664A1 (en) Blockchain-based nb-iot devices
WO2018032936A1 (zh) 一种对算法生成域名进行检测的方法及装置
US10812314B2 (en) Methods and apparatuses for pushing a message
JP6973227B2 (ja) 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
CN107623754B (zh) 基于真伪MAC识别的WiFi采集系统及其方法
CN111586032A (zh) 一种堡垒机
US10057834B2 (en) Relay device and communication system
US20200195508A1 (en) Systems and methods for network device management using device clustering
CN112469044B (zh) 一种异构终端的边缘接入管控方法及控制器
US11184773B2 (en) Security auditing system and method
JP7025098B2 (ja) 異常トラヒック分析装置、異常トラヒック分析方法及び異常トラヒック分析プログラム
JP2018156606A (ja) 通信制御装置、通信制御方法およびコンピュータプログラム
US20170078436A1 (en) Wireless communication device, communication device, and wireless communication system
CN108965054B (zh) 一种客户端与服务端数据快速交互方法
US20220239748A1 (en) Control method and device
CN112434304A (zh) 防御网络攻击的方法、服务器及计算机可读存储介质
CN115499230A (zh) 网络攻击检测方法和装置、设备及存储介质
Zhang et al. On effective data aggregation techniques in host–based intrusion detection in manet
Guo et al. Blockchain-assisted caching optimization and data storage methods in edge environment
CN111600929B (zh) 传输线路探测方法、路由策略生成方法及代理服务器
CN105893150B (zh) 接口调用频度控制、接口调用请求处理方法及装置
CN110290124B (zh) 一种交换机入端口阻断方法及装置
CN111010362B (zh) 一种异常主机的监控方法及装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20200220

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210330

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20210706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210906

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220111

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20220121

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220208

R150 Certificate of patent or registration of utility model

Ref document number: 7025098

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150