JP7156642B2 - Identification processing device, identification processing program, and identification processing method - Google Patents
Identification processing device, identification processing program, and identification processing method Download PDFInfo
- Publication number
- JP7156642B2 JP7156642B2 JP2019024765A JP2019024765A JP7156642B2 JP 7156642 B2 JP7156642 B2 JP 7156642B2 JP 2019024765 A JP2019024765 A JP 2019024765A JP 2019024765 A JP2019024765 A JP 2019024765A JP 7156642 B2 JP7156642 B2 JP 7156642B2
- Authority
- JP
- Japan
- Prior art keywords
- identification processing
- traffic
- port scan
- feature amount
- feature quantity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
この発明は、同定処理装置、同定処理プログラム及び同定処理方法に関し、例えば、インターネット等のネットワークに接続する機器を管理する際に、それらの機器の種類等を同定する処理に適用し得る。 The present invention relates to an identification processing apparatus, an identification processing program, and an identification processing method, and can be applied, for example, to processing for identifying the types of devices connected to a network such as the Internet when managing the devices.
従来、インターネット等のネットワーク上に接続する機器の監視や管理をする際、それらの機器の種類等を同定することが求められる場合がある。その際、監視や管理の対象となる機器(以下、「対象機器」と呼ぶ)を同定する従来手法として、対象機器が送受信するトラフィックデータを分析する手法があう(例えば、特許文献1~3参照)。 2. Description of the Related Art Conventionally, when monitoring or managing devices connected to a network such as the Internet, it is sometimes required to identify the types of those devices. At that time, as a conventional method for identifying a device to be monitored or managed (hereinafter referred to as a "target device"), a method of analyzing traffic data transmitted and received by the target device is suitable (for example, see Patent Documents 1 to 3). ).
特許文献1~3には、対象機器の発生するトラフィックからトラフィックの特徴量を統計的に算出し、その特徴量を機械学習器等に用いることにより、対象機器で利用しているアプリケーションや機器種別を判定することについて記載されている。 In Patent Documents 1 to 3, the feature amount of traffic is statistically calculated from the traffic generated by the target device, and by using the feature amount in a machine learning device, etc., the application used by the target device and the type of device It is described about determining
しかしながら、従来のトラフィック解析により対象機器等を同定する手法は、主としてPCやスマートホン等のトラフィックを大量に発生させる機器を対象としており、IoT(Internet of Things)機器等それほどトラフィックを大量に発生させない機器については同定し難いという問題があった。 However, the conventional method of identifying target devices by traffic analysis mainly targets devices that generate a large amount of traffic, such as PCs and smartphones, and does not generate such a large amount of traffic, such as IoT (Internet of Things) devices. There was a problem that it was difficult to identify the equipment.
広くIoT機器等を対象として、ネットワークにどんなIoT機器が接続されており、正常な状態でいるのかどうかを判定することを考えると、例えば、ネットワークスイッチや、無線LANのアクセスポイント、ルータ、遠隔制御されない限り自動で動作するロボット等、ほとんどトラフィックを発生しないIoT機器にも対応する必要がある。これらのIoT機器はトラフィックをほとんど発生しないため、従来手法では利用アプリケーションの推定や機器の推定の対象外であるか、あるいは統計的に十分な特徴量とならないため、違うものと同定(認識)されてしまう結果(誤検知)となる可能性が高かった。 Broadly targeting IoT devices, etc., considering what kind of IoT devices are connected to the network and determining whether they are in a normal state, for example, network switches, wireless LAN access points, routers, remote control It is also necessary to support IoT devices that generate almost no traffic, such as robots that operate automatically unless otherwise specified. Since these IoT devices generate almost no traffic, they are not subject to estimation of applications and devices in the conventional method, or they are not identified (recognized) as different because they do not provide statistically sufficient feature values. There was a high possibility that it would result in false positives.
そのため、発生するトラフィックの量が少ない対象機器(例えば、IoT機器)であっても、精度よく同定することができる同定処理装置、同定処理プログラム及び同定処理方法が望まれている。 Therefore, there is a demand for an identification processing apparatus, an identification processing program, and an identification processing method that can accurately identify even a target device that generates a small amount of traffic (for example, an IoT device).
第1の本発明の同定処理装置は、(1)対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、(2)前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、(3)前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、(4)前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段とを有することを特徴とする。 The identification processing apparatus of the first aspect of the present invention comprises: (1) extraction means for acquiring extracted traffic data obtained by extracting traffic data related to a target device based on a predetermined extraction key; (3) acquiring the port scan feature of the target device based on the result of performing port scan processing on the target device; and (4) identification of the target device based on the portscan feature amount acquired by the portscan feature amount acquisition means and the traffic feature amount acquired by the traffic feature amount acquisition means. and device identification processing means for performing processing.
第2の本発明の同定処理プログラムは、コンピュータを、(1)対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、(2)前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、(3)前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、(4)前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段として機能させることを特徴とする。 The identification processing program of the second aspect of the present invention comprises: (1) extracting means for acquiring extracted traffic data obtained by extracting traffic data related to a target device based on a predetermined extraction key; and (2) said extracting means (3) a port scan feature of the target device based on the result of performing port scan processing on the target device; (4) based on the portscan feature amount acquired by the portscan feature amount acquisition means and the traffic feature amount acquired by the traffic feature amount acquisition means, the target It is characterized by functioning as device identification processing means for performing device identification processing.
第3の本発明は、同定処理装置が行う同定処理方法において、(1)抽出手段、トラフィック特徴量取得手段、ポートスキャン特徴量取得手段、及び機器同定処理手段を有し、(2)前記抽出手段は、対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得し、(3)前記トラフィック特徴量取得手段は、前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出し、(4)前記ポートスキャン特徴量取得手段は、前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得し、(5)前記機器同定処理手段は、前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行うことを特徴とする。 A third aspect of the present invention is an identification processing method performed by an identification processing device, comprising: (1) extraction means, traffic feature amount acquisition means, port scan feature amount acquisition means, and device identification processing means; means obtains extracted traffic data obtained by extracting traffic data related to the target device based on a predetermined extraction key; (4) the port scan feature acquisition means acquires the port scan feature of the target device based on the result of performing port scan processing on the target device; 5) The device identification processing means performs identification processing of the target device based on the port scan feature quantity acquired by the port scan feature quantity acquisition means and the traffic feature quantity acquired by the traffic feature quantity acquisition means. It is characterized by
発生するトラフィックの量が少ない対象機器であっても、精度よく同定することができる同定処理装置、同定処理プログラム及び同定処理方法を提供する。 Provided are an identification processing device, an identification processing program, and an identification processing method capable of accurately identifying even a target device with a small amount of traffic generated.
(A)第1の実施形態
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第1の実施形態を、図面を参照しながら詳述する。
(A) First Embodiment Hereinafter, a first embodiment of an identification processing apparatus, an identification processing program, and an identification processing method according to the present invention will be described in detail with reference to the drawings.
(A-1)第1の実施形態の構成
図1は、この実施形態に係る同定処理装置10の接続構成の例について示した説明図である。なお、図1の括弧内の符号は、第2の実施形態でのみ用いられる符号である。
(A-1) Configuration of First Embodiment FIG. 1 is an explanatory diagram showing an example of a connection configuration of an
同定処理装置10は、ネットワーク30に接続された対象機器20に関する同定処理を行う。ネットワーク30に接続には1台以上の任意のカズの対象機器20が接続されているものとする。ここでは、ネットワーク30には、M台(Mは1以上の整数)の対象機器20(20-1~20-M)が接続されているものとして以下の説明を行う。
The
対象機器20は、ネットワーク30に接続可能なコンピュータ(例えば、PC、タブレット、スマートホン等)やIoT機器等である。
The
次に、同定処理装置10の内部構成について説明する。
Next, the internal configuration of the
図1に示すように、同定処理装置10は、機器推定対象入力部11、推定対象フロー抽出部12、特徴量生成部13、ポートスキャン部14、及び機器同定部15を有している。
As shown in FIG. 1 , the
同定処理装置10は、一部又は全部をソフトウェアにより構成するようにしてもよい。例えば、同定処理装置10は、メモリ及びプロセッサを有するコンピュータにプログラム(実施形態に係る同定処理プログラムを含む)をインストールすることにより構成するようにしてもよい。
The
機器推定対象入力部11は、同定処理の対象となるネットワーク上の範囲(対象機器20が接続されたネットワーク上の範囲)を示す情報(以下、「ネットワーク情報」と呼ぶ)の入力を受け付ける処理を行う。
The device estimation
ネットワーク情報は、同定処理の対象となるネットワーク上の範囲(対象機器20が存在するネットワーク上の範囲)を示すことができれば、具体的な形式は限定されないものであり、例えば、ネットワークアドレスの一覧(例えば、「192.168.0.0/24、192.168.1.0/24、…」)や、IPアドレスの一覧(例えば、「192.168.0.1、192.168.0.2、…」)や、IPアドレスの範囲(例えば、「192.168.0.1~192.168.0.255」)としてもよい。ここでは、機器推定対象入力部11で入力を受け付けるネットワーク情報はネットワークアドレスの形式であるものとする。ここでは、例として、機器推定対象入力部11が受付けたネットワーク情報が、「192.168.0.0/24」という1つのネットワークアドレスを示す情報であったものとして説明する。「192.168.0.0/24」のうち、「/24」の部分はサブネットマスク長を示している。したがって、「192.168.0.0/24」のうち、「192.168.0」(上位24ビット分)がネットワーク部を示しており、ネットワーク部に続く「0」(下位8ビット分)がホスト部を示している。したがって、ネットワークアドレス「192.168.0.0/24」が示すIPアドレスの範囲は「192.168.0.1」~「192.168.0.254」となる。
The specific form of the network information is not limited as long as it can indicate the range on the network that is the target of the identification process (the range on the network where the
そして、ここでは、ネットワーク30は、ネットワークアドレスが「192.168.0.0/24」となるネットワークであるものとする。すなわち、対象機器20-1~20-MのIPアドレスは、それぞれ「192.168.0.1」~「192.168.0.254」のいずれかとなる。
Here, it is assumed that the
以下では、機器推定対象入力部11で入力を受け付けたネットワーク情報が示すIPアドレスを「対象アドレス」と呼ぶものとする。例えば、機器推定対象入力部11で入力を受け付けたネットワーク情報が、「192.168.0.0/24」という1つのネットワークアドレスの情報であった場合、当該ネットワーク情報が示す対象アドレスは、「192.168.0.1」~「192.168.0.254」となる。
Hereinafter, the IP address indicated by the network information received by the device estimation
推定対象フロー抽出部12は、対象アドレスに関係するトラフィックデータ(例えば、いずれかの対象アドレスを送信元又は宛先とするパケット)を取得し、取得したトラフィックデータを、所定のキー(以下、「抽出キー」と呼ぶ)に基づき、抽出(分割)して、抽出キーごとのトラフィックデータ(以下、「抽出トラフィックデータ」と呼ぶ)を取得する処理を行う。推定対象フロー抽出部12は、取得した各抽出トラフィックデータを特徴量生成部13に供給する。推定対象フロー抽出部12で用いる抽出キーの構成について限定されないものである。この実施形態の例では、抽出キーとして、5tuples(送信元IPアドレス、送信元Port番号、宛先IPアドレス、宛先Port番号、及びプロトコル番号の組み合わせ)を適用するものとして説明する。抽出キーが5tuplesである場合、各抽出トラフィックデータは、5tuplesにより特定される1つのフローのトラフィックデータということになる。推定対象フロー抽出部12は、抽出した各抽出トラフィックデータに抽出キーの情報を付加して、特徴量生成部13に供給する。
The estimation target
特徴量生成部13は、推定対象フロー抽出部12で抽出された抽出トラフィックデータを集計して、抽出キーごとの特徴量(以下、「トラフィック特徴量FT」と呼ぶ)を抽出する処理を行う。
The feature
ポートスキャン部14は、対象アドレスごとにポートスキャン(例えば、所定のポートについて所定の手順でアクセスして得られた反応を記録する処理)を行い、対象アドレスごとにポートスキャンの結果を集計して特徴量化した情報(以下、「ポートスキャン特徴量FP」と呼ぶ)を抽出する。ポートスキャン部14は、例えば、ポートスキャンとして空きポートの情報や通信時に返答として得られたプロンプト等の情報を収集する処理を行う。
The
機器同定部15は、特徴量生成部13から得られたトラフィック特徴量FTと、ポートスキャン部14から得られたポートスキャン特徴量FPとを統合した特徴量(以下、「統合特徴量FI」と呼ぶ)を取得し、対象アドレスごとに統合特徴量FIに基づき、当該対象アドレスに対応する機器を同定する処理を行う。
The
機器同定部15が、対象機器20を同定する際の分類の仕方(カテゴリー)は限定されないものである。例えば、機器同定部15は、対象機器20を、機器(装置)の種類(例えば、クライアントPC、サーバ、ルータ、スイッチ、無線LANアクセスポイント、IoT機器等)で分類する同定処理を行うようにしてもよい。また、機器同定部15は、対象機器20について機器の種類を同定した上で、さらに細分化した分類で同定するようにしてもよい。例えば、機器同定部15は、ある対象機器20についてクライアントPCであると同定した場合、さらに、当該クライアントPCにインストールされているアプリケーションについても同定する処理を行うようにしてもよい。また、機器同定部15は、ある対象機器20についてIoT機器あると同定した場合、さらに、当該IoT機器のデバイスの種類(例えば、センサー、カメラ等のデバイスの種類)を同定するようにしてもよい。
The method of classification (category) when the
(A-2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態における同定処理装置の動作(実施形態に係る同定処理方法)を説明する。
(A-2) Operation of First Embodiment Next, the operation of the identification processing apparatus (identification processing method according to the embodiment) of the first embodiment having the configuration as described above will be described.
まず、機器推定対象入力部11にネットワーク情報が入力されたものとする(S101)。機器推定対象入力部11にネットワーク情報されると、機器推定対象入力部11から推定対象フロー抽出部12とポートスキャン部14に当該ネットワーク情報が供給される。
First, it is assumed that network information is input to the device estimation target input unit 11 (S101). When network information is supplied to the device estimation
ここでは、ネットワーク情報として「192.168.0.0/24」という1つのネットワークアドレスが入力され、対象アドレスは192.168.0.1~192.168.0.254となったものとする。 Here, it is assumed that one network address "192.168.0.0/24" is input as network information and the target addresses are 192.168.0.1 to 192.168.0.254. .
推定対象フロー抽出部12は、ネットワーク情報が供給されると、当該ネットワーク情報が示す対象アドレスごとにトラフィックデータを取得し、取得したトラフィックデータから抽出キーごとの抽出トラフィックデータを取得し、各抽出トラフィックデータを特徴量生成部13に供給する(S102)。
When network information is supplied, the estimation target
推定対象フロー抽出部12は、対象アドレス(192.168.0.1~192.168.0.254)のそれぞれについて、トラフィックデータを取得する。推定対象フロー抽出部12が各対象アドレスについてトラフィックデータを取得する方法(例えば、各対象アドレスのトラフィックを監視してトラフィックデータを取得する方法)は限定されないものである。例えば、推定対象フロー抽出部12は、それぞれの対象アドレスで送受信されるトラフィックが通過するネットワーク装置(例えば、ルータ等)から、それぞれの対象アドレスで送受信されるトラフィックのデータ(例えば、送受信されるパケットそのものや、送受信されるパケットに基づく統計データ)を取得するようにしてもよい。そして、推定対象フロー抽出部12は、取得したトラフィックデータを抽出キーごとに分割して抽出トラフィックデータを取得する。
The estimation target
次に、特徴量生成部13が、各抽出トラフィックデータを処理して、抽出キーごとのトラフィック特徴量FTを抽出する処理を行う(S103)。
Next, the feature
例えば、特徴量生成部13は、抽出キーごとに、抽出トラフィックデータを統計的に処理した値(集計した値)をトラフィック特徴量FTとして取得するようにしてもよい。この実施形態の例では、特徴量生成部13は、フローの開始から200パケットの間に得られたパケットサイズの四分位値や、パケット到着間隔の四分位値等の統計値(抽出トラフィックデータにより得られる統計値)をトラフィック特徴量FTとして生成するものとする。以下では、パケットサイズの四分位値(第一四分位値~第四四分位値)を、それぞれパケットサイズ25%値、パケットサイズ50%値PS2、パケットサイズ75%値、パケットサイズ100%値と呼ぶものとする。また、以下では、パケットサイズ25%値、パケットサイズ50%値、パケットサイズ75%値、パケットサイズ100%値を、それぞれPS1、PS2、PS3、PS4と表すものとする。さらに、以下では、パケット到着間隔の四分位値(第一四分位値~第四四分位値)を、それぞれ、パケット到着間隔25%値、パケット到着間隔50%値、パケット到着間隔75%値、パケット到着間隔100%値と呼ぶものとする。さらにまた、以下では、パケット到着間隔25%値、パケット到着間隔50%値、パケット到着間隔75%値、パケット到着間隔100%値を、それぞれPR1、PR2、PR3、PR4と表すものとする。ここでは、トラフィック特徴量FTを、以下の(1)式のような形式で表すものとする。具体的には、例えば、PS1=20、PS2=1000、PS3=1250、PS4=1500、PR1=4、PR2=15、PR3=20、PR4=250とすると、トラフィック特徴量FTは以下の(2)式のように表すことができる。
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]…(1)
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250] …(2)
For example, the feature
Traffic feature FT
=[PS1, PS2, PS3, PS4, PR1, PR2, PR3, PR4] (1)
Traffic feature FT
=[PS1, PS2, PS3, PS4, PR1, PR2, PR3, PR4]
= [20, 1000, 1250, 1500, 4, 15, 20, 250] (2)
以上のように、特徴量生成部13はフローごと(抽出キーごと)にトラフィック特徴量FTを取得し、当該トラフィック特徴量FTに時間情報(例えば、特徴量を抽出した時刻の情報)及び抽出キーを付加して、機器同定部15に供給する。
As described above, the feature
一方、ポートスキャン部14は、対象アドレスごとにポートスキャンを行い、対象アドレスごとにポートスキャンの結果を集計して特徴量化した情報をポートスキャン特徴量FPとして取得する(S104)。
On the other hand, the
なお、トラフィック特徴量FTを取得する処理(推定対象フロー抽出部12、及び特徴量生成部13の処理;ステップS102、S103の処理)と、ポートスキャン特徴量FPを取得する処理(ポートスキャン部14の処理;ステップS104の処理)については、図2のフローチャートの見た目通りに直列的に実行するようにしてもよいが、並列的に実行するようにしてもよい。
Note that the process of acquiring the traffic feature amount FT (the process of the estimation target
ポートスキャン部14が行うポートスキャンの具体的な処理内容については限定されないものである。例えば、ポートスキャン部14は、ポートスキャンの処理として、所定のTCPポートの空き状況や、所定のサービス(例えば、SSH(Secure Shell)等)の認証情報(例えば、許可された認証方式の情報)の確認を行うようにしてもよい。
The specific processing contents of the port scan performed by the
この実施形態の例において、ポートスキャン部14が行うポートスキャンの内容について図3を用いて説明する。
In the example of this embodiment, the contents of port scanning performed by the
この実施形態の例では、ポートスキャン部14は、ポートスキャンとしてTCPの80番ポート(HTTP:Hypertext Transfer Protocol)、443番ポート(HTTPS:HTTP over TLS/SSL)、22番ポート(SSH:Secure Shell)、23番ポート(Telnet)の空き状況確認(空いている状態であるか否かの確認)と、SSH(TCPのポート番号22番)の認証情報の確認(パスワード認証の許可状態(有効又は無効)の確認、及び証明書認証の許可状態(有効又は無効)の確認)を行うものとする。なお、ポートスキャン部14が行うポートスキャンの項目は、図3に示す内容に限定されないものである。例えば、ポートスキャン部14が行う空き状況確認を行うポートを図3の例からさらに増やすようにしてもよい。また、ポートスキャン部14が行うポートスキャンの手法については、上記の例に限定されず、種々のポートスキャン処理を適用することができる。
In the example of this embodiment, the
ここでは、ポートスキャン部14は、図3に示す6つの項目(以下これらの項目の識別子を「F1」~「F6」と表す)についてポートスキャンの処理を行うものとする。図3では、項目F1~F6について、ポートスキャンの内容と設定値(出力値)について示している。
Here, it is assumed that the
図3に示すように、項目F1~F4は、TCPポートの空き状況に関する項目である。項目F1~F4は、それぞれTCPの80番ポート、443番ポート、22番ポート、23番ポートの空き状況(空いている状況又は空いていない状況)を確認することを示す項目である。項目F1~F4には、当該ポートが空いていない場合には「0」が設定され、当該ポートが空いている場合には「1」が設定される。 As shown in FIG. 3, items F1 to F4 are items related to TCP port availability. Items F1 to F4 are items indicating confirmation of the availability (availability or nonavailability) of TCP ports 80, 443, 22, and 23, respectively. Items F1 to F4 are set to "0" when the relevant port is not available, and are set to "1" when the relevant port is available.
また、図3に示すように、項目F5は、SSH(TCP22番ポート)にアクセスした際の反応(例えば、プロンプトと共に出力される文字列)等から、パスワード認証が許可されているか否か(パスワード認証が有効であるか無効であるか)を確認することを示す項目である。項目F5では、SSHのパスワード認証が有効の場合(許可されている場合)には「1」が設定され、SSHのパスワード認証が無効の場合(許可されていない場合)には「0」が設定される。 As shown in FIG. 3, item F5 indicates whether or not password authentication is permitted (password This item indicates whether the authentication is valid or invalid). In item F5, "1" is set when SSH password authentication is enabled (permitted), and "0" is set when SSH password authentication is disabled (not permitted). be done.
さらに、図3に示すように、項目F6は、SSH(TCP22番ポート)にアクセスした際の反応(例えば、プロンプトと共に出力される文字列)等から、証明書認証が許可されているか否か(証明書認証が有効であるか無効であるか)を確認することを示す項目である。項目F6では、SSHの証明書認証が有効の場合(許可されている場合)には「1」が設定され、SSHの証明書認証が無効の場合(許可されていない場合)には「0」が設定される。 Furthermore, as shown in FIG. 3, item F6 indicates whether or not certificate authentication is permitted (for example, a character string output with a prompt) when SSH (TCP port 22) is accessed. This item indicates whether the certificate authentication is valid or invalid). In item F6, "1" is set when SSH certificate authentication is valid (permitted), and "0" is set when SSH certificate authentication is invalid (not permitted). is set.
ここでは、ポートスキャン部14が、上述のF1~F6のポートスキャンの処理に基づくポートスキャン特徴量FPを以下の(3)式のような形式で表すものとする。具体的には、例えば、F1=1、F2=1、F3=0、F4=0、F5=0、F6=1とすると、ポートスキャン特徴量FPは以下の(4)式のように表すことができる。
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]…(3)
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]
=[1,1,0,0,0,1]…(4)
Here, it is assumed that the
Port scan feature quantity FP = [F1, F2, F3, F4, F5, F6] (3)
Port scan feature quantity FP = [F1, F2, F3, F4, F5, F6]
=[1,1,0,0,0,1] (4)
以上のように、ポートスキャン部14は、ポートスキャンの結果に基づいてポートスキャン特徴量FPを取得し、当該ポートスキャン特徴量FPに時間情報(ポートスキャンを行った時刻の情報)とIPアドレス(ポートスキャンを行った対象アドレス)を付加して、機器同定部15に供給する。
As described above, the
次に、機器同定部15は、特徴量生成部13から供給されたトラフィック特徴量FTと、ポートスキャン部14から供給されたポートスキャン特徴量FPを、時刻情報とIPアドレスをキー(以下、「連結キー情報」と呼ぶ)として連結(統合)し、統合特徴量FIを生成して保持する(S105)。このとき、機器同定部15は、統合特徴量FIを生成する際に対象アドレス(連結したポートスキャン特徴量FPに対応する対象アドレス)を付加して保持する。
Next, the
例えば、機器同定部15は、トラフィック特徴量FTごとに付加された時刻情報及びIPアドレス(例えば、抽出キーの送信元IPアドレス又は宛先IPアドレスのいずれか)が一致するポートスキャン特徴量FPを検索し、該当するポートスキャン特徴量FPがあった場合、当該トラフィック特徴量FTとポートスキャン特徴量FPとを連結して(対応付けて)、統合特徴量FIを生成する。そして、機器同定部15は、生成した統合特徴量FIにIPアドレス(連結したポートスキャン特徴量FPに対応する対象アドレス)を付加して保持する。なお、機器同定部15は、供給されたトラフィック特徴量FTとポートスキャン特徴量FPを全て同じ時刻情報のデータとみなし、連結キー情報から時刻情報は捨象して処理するようにしてもよい。
For example, the
例えば、(2)式に示すトラフィック特徴量FTと、(4)式に示すポートスキャン特徴量FPを連結して統合特徴量FIを生成した場合、以下の(5)式のような内容となる。
統合特徴量FI=トラフィック特徴量FT|ポートスキャン特徴量FP
=[F1、F2、F3、F4、F5、F6、PS1、PS2、
PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250
1,1,0,0,0,1] …(5)
For example, when the traffic feature quantity FT shown in the formula (2) and the port scan feature quantity FP shown in the formula (4) are concatenated to generate the integrated feature quantity FI, the contents are as shown in the following formula (5). .
integrated feature quantity FI=traffic feature quantity FT|port scan feature quantity FP
=[F1, F2, F3, F4, F5, F6, PS1, PS2,
PS3, PS4, PR1, PR2, PR3, PR4]
=[20,1000,1250,1500,4,15,20,250
1, 1, 0, 0, 0, 1] (5)
次に、機器同定部15は、各統合特徴量FIに基づき、当該統合特徴量FIに付加された対象アドレスに対応する対象機器20を同定する処理を行う(S106)。なお、機器同定部15は、1つの対象アドレスについて複数の統合特徴量FIが得られた場合には、それらの複数の統合特徴量FIに基づいて当該対象アドレスの同定処理を行うようにしてもよい。
Next, the
機器同定部15が、得られた統合特徴量FIに基づいて、対象アドレスに対応する対象機器20を同定する処理のロジックについては限定されないものである。機器同定部15は、例えば、予め統合特徴量FIのパターンに対応する同定結果を登録(以下、この登録したパターンと同定結果の組み合わせのデータを「登録パターン」と呼ぶ)しておいて、得られた統合特徴量FIと登録内容とを照合(マッチング)して、一致した登録パターンに対応するようにしてもよい。また、機器同定部15に対して用いられるロジックは、上述のような予め定められた単純なロジック以外にも、ニューラルネットワークやSVM(Support Vector Machine)等の機械学習器を用いた手法を用いるようにしてもよい。例えば、機器同定部15では、図示しない機械学習機器に予め統合特徴量FIのパターンに対応する正解(正しい同定結果)を入力して学習させた学習モデルを元に、新たに入力された統合特徴量FIがどの機器に尤も近い特徴量を持つのかが判別され、尤も近い機器として同定される。
The logic of the process by which the
(A-3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
(A-3) Effects of First Embodiment According to the first embodiment, the following effects can be obtained.
第1の実施形態の同定処理装置10では、ポートスキャン部14を設け、トラフィック特徴量FTとポートスキャン特徴量FPとを統合した統合特徴量FIを用いて対象機器20の同定を行っている。これにより、対象機器20が、トラフィックを発生することがほとんどないか、発した場合でも少ないようなIoT機器であった場合でも、従来より精度の高い同定結果が得られるという効果を奏する。
In the
また、第1の実施形態の同定処理装置10では、トラフィックの傾向が似ている対象機器20同士であり、トラフィック特徴量FTのみの同定処理では誤検知が発生していたような機器についても、誤検知を軽減してより精度よく同定できるという効果を奏する。
In addition, in the
(B)第2の実施形態
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第2の実施形態を、図面を参照しながら詳述する。
(B) Second Embodiment Hereinafter, a second embodiment of the identification processing apparatus, identification processing program, and identification processing method according to the present invention will be described in detail with reference to the drawings.
(B-1)第2の実施形態の構成
第2の実施形態の同定処理装置10Aについても上述の図1を用いて示すことができる。
(B-1) Configuration of Second Embodiment The identification processing apparatus 10A of the second embodiment can also be shown using FIG.
図1において、括弧内の符号は第2の実施形態でのみ用いられる符号である。 In FIG. 1, symbols in parentheses are symbols used only in the second embodiment.
第2の実施形態の同定処理装置10Aでは、推定対象フロー抽出部12、特徴量生成部13、及びポートスキャン部14が、推定対象フロー抽出部12A、特徴量生成部13A、及びポートスキャン部14Aに置き換えられている点で第1の実施形態と異なっている。
In the identification processing device 10A of the second embodiment, the estimation target
第1の実施形態の同定処理装置10では、トラフィック特徴量FTを取得する処理(推定対象フロー抽出部12、及び特徴量生成部13の処理;ステップS102、S103の処理)と、ポートスキャン特徴量FPを取得する処理(ポートスキャン部14の処理;ステップS104の処理)について並列的に実行する構成について説明した。これに対して、第2の実施形態の同定処理装置10Aでは、まず、トラフィック特徴量FTのみを抽出して、トラフィック特徴量FTのみに基づいて同定処理を行い、トラフィック特徴量FTのみでは所定以下の検出精度しか得られない(誤検知が所定以上多い)対象機器20(対象アドレス)があった場合にのみ、さらにポートスキャン特徴量FPを取得し、統合特徴量FIに基づく同定処理を行う。
In the
例えば、少ないトラフィック量(例えば、送受信されたパケット数やデータ量の合計値)しか発生しなかった対象アドレス(対象機器20)の同定処理については精度が低くなる傾向にある。そこで、第2の実施形態の同定処理装置10Aでは、閾値以下のトラフィック量しか発生しなかった対象アドレス(対象機器20)があった場合、少なくとも当該対象アドレスについて、ポートスキャンの処理を行ってポートスキャン特徴量FPを取得し、統合特徴量FIに基づく同定処理を行うものとする。 For example, there is a tendency for the accuracy to be low when identifying a target address (target device 20) for which only a small amount of traffic (for example, the total number of packets transmitted and received or the total amount of data) has occurred. Therefore, in the identification processing device 10A of the second embodiment, when there is a target address (target device 20) for which traffic volume is less than the threshold, port scan processing is performed on at least the target address to It is assumed that the scan feature amount FP is acquired and identification processing is performed based on the integrated feature amount FI.
具体的には、第2の実施形態の同定処理装置10Aでは、まず、推定対象フロー抽出部12A及び特徴量生成部13Aによりトラフィック特徴量FTを取得する処理が行われ、機器同定部15Aによりトラフィック特徴量FTのみに基づいて各対象アドレス(各対象機器20)に対する同定処理が行われる。
Specifically, in the identification processing device 10A of the second embodiment, first, the estimation target
機器同定部15Aが、トラフィック特徴量FTのみに基づいて各対象アドレス(各対象機器20)に対する同定処理を行うロジック(方法)については、上述の統合特徴量FIに基づく同定処理と同様に、予め定められた単純なロジック(例えば、上述の登録パターンとの照合結果に基づく同定処理)や、機械学習器を用いた同定処理を適用することができる。
Regarding the logic (method) for the
(B-2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態における同定処理装置10Aの動作(実施形態に係る同定処理方法)を説明する。
(B-2) Operation of Second Embodiment Next, the operation (identification processing method according to the embodiment) of the identification processing apparatus 10A of the second embodiment having the configuration as described above will be described.
まず、第2の実施形態の同定処理装置10Aにおいて、ステップS201~S203の処理(ネットワーク情報の入力受付、及びトラフィック特徴量FTを取得する処理)については第1の実施形態のS101~S103の処理と同様であるため詳しい説明を省略する。 First, in the identification processing device 10A of the second embodiment, the processing of steps S201 to S203 (the processing of accepting input of network information and acquiring the traffic feature amount FT) is the processing of S101 to S103 of the first embodiment. Since it is the same as , detailed description is omitted.
次に、機器同定部15Aが、トラフィック特徴量FTのみに基づいて各対象アドレスに対する同定処理を行う(S204)。
Next, the
次に、機器同定部15Aは、特徴量生成部13に問合せて、閾値以下のトラフィック量しか発生しなかった対象アドレスの有無を確認する(S205)。なお、閾値以下のトラフィック量しか発生しなかった対象アドレスの有無の確認については、特徴量生成部13がトラフィック特徴量FTを生成する過程で実行し、その結果を機器同定部15Aに報告するようにしてもよい。
Next, the
閾値以下のトラフィック量しか発生しなかった対象アドレスがなかった場合、機器同定部15Aは、処理を終了する。この場合、機器同定部15Aは、トラフィック特徴量FTのみに基づいた同定処理の結果を最終結果とすることになる。
If there is no target address for which the amount of traffic generated is less than or equal to the threshold, the
一方、閾値以下のトラフィック量しか発生しなかった対象アドレスがあった場合、機器同定部15Aは、ポートスキャン部14を制御して閾値以下のトラフィック量しか発生しなかった対象アドレスについて、ポートスキャン及びポートスキャン特徴量FPの生成処理を実行させる(S206)。
On the other hand, if there is a target address for which the traffic volume is less than or equal to the threshold, the
そして、機器同定部15Aは、特徴量生成部13から得られたトラフィック特徴量FTと、ポートスキャン部14から得られたポートスキャン特徴量FPに基づいて統合特徴量FIを生成する(S207)。
Then, the
そして、機器同定部15Aは、生成した統合特徴量FIに基づいて、閾値以下のトラフィック量しか発生しなかった対象アドレスについて同定処理を行い(S208)、処理を終了する。この場合、機器同定部15Aは、閾値以下のトラフィック量しか発生しなかった対象アドレスについては統合特徴量FIに基づいた同定処理結果を最終結果として取り扱い、それ以外の対象アドレスについてはトラフィック特徴量FTのみに基づいた同定処理の結果を最終結果として取り扱う。
Then, based on the generated integrated feature quantity FI, the
(B-3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
(B-3) Effects of Second Embodiment According to the second embodiment, the following effects can be obtained.
第2の実施形態では、トラフィック特徴量FTのみでは所定以下の検出精度しか得られない(誤検知が所定以上多い)対象機器20(対象アドレス)についてのみポートスキャンを行う。これにより、第2の実施形態では、ポートスキャン部14が発生するポートスキャンによるトラフィックを抑制(ネットワーク30への負荷軽減)することができる。これにより、第2の実施形態を適用した場合、工場ネットワーク等のビットレートが小さいネットワーク等への負荷が軽減可能である。 In the second embodiment, the port scan is performed only for the target device 20 (target address) for which only the traffic feature quantity FT can provide detection accuracy equal to or lower than a predetermined value (the number of false detections is greater than a predetermined value). As a result, in the second embodiment, it is possible to suppress traffic due to port scanning generated by the port scanning unit 14 (reduce the load on the network 30). As a result, when the second embodiment is applied, the load on a network with a low bit rate such as a factory network can be reduced.
(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
(C) Other Embodiments The present invention is not limited to the above-described embodiments, and modified embodiments such as those illustrated below can be exemplified.
(C-1)上記の各実施形態の推定対象フロー抽出部12、12Aでは、抽出キーとして5tuplesを用いる例について説明したが、抽出キーとして送信元IPアドレスと宛先IPアドレスの組み合わせ(ペア)を用いるようにしてもよい。推定対象フロー抽出部12、12Aにおいて、抽出キーとして、5tuplesではなく送信元IPアドレスと宛先IPアドレスの組み合わせを用いて抽出トラフィックデータを抽出することで、フローの大小に関わらず、対象機器20の接続相手数に応じた計算量で抑えることができる。これは、抽出キーとして、送信元IPアドレスと宛先IPアドレスの組み合わせを用いる場合、1つの対象機器20の接続先に対する不特定数のフローの計算ではなく、1つの対象機器20に対する1接続先の統計量の計算で良いためである。
(C-1) In the estimation target
また、他にも、推定対象フロー抽出部12、12Aにおいて、抽出キーとして、送信元IPアドレスのみを適用するようにしてもよい。この場合、推定対象フロー抽出部12、12Aは、送信元IPアドレス毎にすべてのフローを対象とした抽出トラフィックデータに基づいてトラフィック特徴量FTを取得することになる。これにより、推定対象フロー抽出部12、12Aにおいて、フローの大小に関わらず、対象機器20の数に応じた計算量で抑えることができる。
Alternatively, the estimation target
10…同定処理装置、11…機器推定対象入力部、12…推定対象フロー抽出部、13…特徴量生成部、14…ポートスキャン部、15…機器同定部、20、20-1~20-M…対象機器、30…ネットワーク。
DESCRIPTION OF
Claims (8)
前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、
前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、
前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段と
を有することを特徴とする同定処理装置。 extraction means for acquiring extracted traffic data obtained by extracting traffic data related to a target device based on a predetermined extraction key;
a traffic feature amount acquisition means for extracting a traffic feature amount for each divided traffic data based on the classified data extracted by the extraction means;
a port scan feature quantity acquiring means for acquiring a port scan feature quantity of the target device based on a result of performing port scan processing on the target device;
device identification processing means for performing identification processing of the target device based on the port scan feature quantity acquired by the port scan feature quantity acquisition means and the traffic feature quantity acquired by the traffic feature quantity acquisition means; An identification processor characterized by:
対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、
前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、
前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、
前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段と
して機能させることを特徴とする同定処理プログラム。 the computer,
extraction means for acquiring extracted traffic data obtained by extracting traffic data related to a target device based on a predetermined extraction key;
a traffic feature amount acquisition means for extracting a traffic feature amount for each divided traffic data based on the classified data extracted by the extraction means;
a port scan feature quantity acquiring means for acquiring a port scan feature quantity of the target device based on a result of performing port scan processing on the target device;
Based on the port scan feature quantity acquired by the port scan feature quantity acquisition means and the traffic feature quantity acquired by the traffic feature quantity acquisition means, it functions as device identification processing means for performing identification processing of the target device. An identification processing program characterized by:
抽出手段、トラフィック特徴量取得手段、ポートスキャン特徴量取得手段、及び機器同定処理手段を有し、
前記抽出手段は、対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得し、
前記トラフィック特徴量取得手段は、前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出し、
前記ポートスキャン特徴量取得手段は、前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得し、
前記機器同定処理手段は、前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う
ことを特徴とする同定処理方法。 In the identification processing method performed by the identification processing device,
having extraction means, traffic feature amount acquisition means, port scan feature amount acquisition means, and device identification processing means,
The extracting means acquires extracted traffic data obtained by extracting traffic data related to the target device based on a predetermined extraction key,
The traffic feature amount acquisition means extracts a traffic feature amount for each divided traffic data based on the classified data extracted by the extraction means,
The port scan feature amount acquiring means acquires the port scan feature amount of the target device based on the result of performing port scan processing on the target device,
The device identification processing means performs identification processing of the target device based on the port scan feature quantity acquired by the port scan feature quantity acquisition means and the traffic feature quantity acquired by the traffic feature quantity acquisition means. Characterized identification processing method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019024765A JP7156642B2 (en) | 2019-02-14 | 2019-02-14 | Identification processing device, identification processing program, and identification processing method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019024765A JP7156642B2 (en) | 2019-02-14 | 2019-02-14 | Identification processing device, identification processing program, and identification processing method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020136779A JP2020136779A (en) | 2020-08-31 |
JP7156642B2 true JP7156642B2 (en) | 2022-10-19 |
Family
ID=72279164
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019024765A Active JP7156642B2 (en) | 2019-02-14 | 2019-02-14 | Identification processing device, identification processing program, and identification processing method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7156642B2 (en) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP7387570B2 (en) | 2020-09-30 | 2023-11-28 | Kddi株式会社 | Device identification device, device identification method, and computer program |
CN114500261B (en) * | 2022-01-24 | 2024-01-02 | 深信服科技股份有限公司 | Network asset identification method and device, electronic equipment and storage medium |
JP7265056B1 (en) | 2022-03-18 | 2023-04-25 | ソフトバンク株式会社 | COMMUNICATION CONTROL DEVICE, COMMUNICATION CONTROL METHOD, COMMUNICATION CONTROL PROGRAM |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010166142A (en) | 2009-01-13 | 2010-07-29 | Nec Corp | Communication control device and communication control method, and program |
US20160105364A1 (en) | 2014-10-13 | 2016-04-14 | Nec Laboratories America, Inc. | Network traffic flow management using machine learning |
JP2018033106A (en) | 2016-08-26 | 2018-03-01 | 沖電気工業株式会社 | Communication analysis device and communication analysis program |
-
2019
- 2019-02-14 JP JP2019024765A patent/JP7156642B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010166142A (en) | 2009-01-13 | 2010-07-29 | Nec Corp | Communication control device and communication control method, and program |
US20160105364A1 (en) | 2014-10-13 | 2016-04-14 | Nec Laboratories America, Inc. | Network traffic flow management using machine learning |
JP2018033106A (en) | 2016-08-26 | 2018-03-01 | 沖電気工業株式会社 | Communication analysis device and communication analysis program |
Non-Patent Citations (1)
Title |
---|
IoT機器に特化したアノマリ型侵入検知システムの提案 Proposal of Anomaly Intrusion Detection System Specialized for IoT Devices,CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB],2018年12月31日,p.443-447 |
Also Published As
Publication number | Publication date |
---|---|
JP2020136779A (en) | 2020-08-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6053091B2 (en) | Traffic feature information extraction method, traffic feature information extraction device, and traffic feature information extraction program | |
US11374835B2 (en) | Apparatus and process for detecting network security attacks on IoT devices | |
JP7156642B2 (en) | Identification processing device, identification processing program, and identification processing method | |
US9984365B2 (en) | Device identification based on deep fingerprint inspection | |
US10348745B2 (en) | Associating a user identifier detected from web traffic with a client address | |
CN108886483A (en) | System and method for automatic device detection | |
US9521163B2 (en) | Communication device and communication control method in communication device | |
JP2019021294A (en) | SYSTEM AND METHOD OF DETERMINING DDoS ATTACKS | |
EP3945739A1 (en) | Non-intrusive / agentless network device identification | |
US11616793B2 (en) | System and method for device context and device security | |
JPWO2015141640A1 (en) | Extraction condition determination method, communication monitoring system, extraction condition determination apparatus, and extraction condition determination program | |
US20160337385A1 (en) | Network monitoring method and network monitoring device | |
WO2020022953A1 (en) | System and method for identifying an internet of things (iot) device based on a distributed fingerprinting solution | |
JP2017147575A (en) | Control program, controller, and control method | |
CN107209834B (en) | Malicious communication pattern extraction device, system and method thereof, and recording medium | |
US11863584B2 (en) | Infection spread attack detection device, attack origin specification method, and program | |
US11546356B2 (en) | Threat information extraction apparatus and threat information extraction system | |
US11483342B2 (en) | Utilizing web application firewall and machine learning to detect command and control | |
CN113992410B (en) | Private encrypted data identification method and system | |
US20090073877A1 (en) | Packet processing apparatus, communication system, packet processing method and program that executes this method | |
KR20190111010A (en) | Network Mapping with Fingerprints | |
US9015300B2 (en) | Method, computer program product, and device for network reconnaissance flow identification | |
JP7380868B2 (en) | Protocol identification device, protocol identification method, and program | |
CN111953807B (en) | Message identifier processing method and device and storage medium | |
Aung et al. | ATLAS: A Practical Attack Detection and Live Malware Analysis System for IoT Threat Intelligence |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20190724 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211007 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220830 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220928 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7156642 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |