JP7387570B2 - Device identification device, device identification method, and computer program - Google Patents

Device identification device, device identification method, and computer program Download PDF

Info

Publication number
JP7387570B2
JP7387570B2 JP2020164760A JP2020164760A JP7387570B2 JP 7387570 B2 JP7387570 B2 JP 7387570B2 JP 2020164760 A JP2020164760 A JP 2020164760A JP 2020164760 A JP2020164760 A JP 2020164760A JP 7387570 B2 JP7387570 B2 JP 7387570B2
Authority
JP
Japan
Prior art keywords
communication
data
feature amount
device type
identification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020164760A
Other languages
Japanese (ja)
Other versions
JP2022056811A (en
Inventor
宣広 奥井
正隆 中原
優 三宅
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2020164760A priority Critical patent/JP7387570B2/en
Publication of JP2022056811A publication Critical patent/JP2022056811A/en
Application granted granted Critical
Publication of JP7387570B2 publication Critical patent/JP7387570B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、デバイス識別装置、デバイス識別方法及びコンピュータプログラムに関する。 The present invention relates to a device identification device, a device identification method, and a computer program.

従来、通信ネットワークに接続された家電機器の種類を識別する技術として例えば特許文献1が知られている。特許文献1には、電化製品の種類を判別するため、電化製品であれば受信するとされる少なくとも二種類のパケットにより定められる定義ファイルを、当該パケットを構成する一のパケット毎に対応付けられた得点とともに、電化製品の種別を判別するための電化製品情報毎に記憶し、電化製品から受信したパケットと当該一のパケットを比較して定義ファイル毎に得点化を行い、得点が高い定義ファイルに対応する電化製品情報を当該パケットを受信した電化製品の電化製品情報とする、情報処理装置が記載されている。この特許文献1では、定義ファイルとして電化製品のMACアドレス(Media Access Control address)の情報(先頭24ビットのベンダー識別子(ベンダーID)及び中盤8ビットの機種識別子(機種ID))を使用している。 2. Description of the Related Art Conventionally, for example, Patent Document 1 is known as a technique for identifying the type of home appliance connected to a communication network. Patent Document 1 discloses that in order to determine the type of electrical appliance, a definition file defined by at least two types of packets that are received by an electrical appliance is associated with each packet constituting the packet. Along with the score, each appliance information is stored to determine the type of appliance, and the packet received from the appliance is compared with the one packet to give a score for each definition file, and the definition file with the highest score is assigned a score. An information processing device is described in which the corresponding electrical appliance information is the electrical appliance information of an electrical appliance that has received the packet. In Patent Document 1, information on the MAC address (Media Access Control address) of the electrical appliance (the first 24-bit vendor identifier (vendor ID) and the middle 8-bit model identifier (model ID)) is used as the definition file. .

特許第4855499号公報Patent No. 4855499

しかし、上述した特許文献1の技術では、定義ファイルとして電化製品のMACアドレスの情報を使用するが、MACアドレスは電化製品が備えるネットワークインターフェースに付与されるので、MACアドレスのベンダーIDが必ずしも電化製品のデバイスベンダーを示すとは限らない。このため、異なるデバイスベンダーの電化製品でもMACアドレスの先頭部分が同一となる場合があるので、電化製品の種類の識別精度が低下する可能性がある。 However, in the technology of Patent Document 1 mentioned above, information on the MAC address of the electrical appliance is used as a definition file, but since the MAC address is assigned to the network interface provided in the electrical appliance, the vendor ID of the MAC address is not necessarily the same as the vendor ID of the electrical appliance. does not necessarily indicate the device vendor. For this reason, the leading part of the MAC address may be the same even for electrical appliances from different device vendors, which may reduce the accuracy of identifying the type of electrical appliance.

本発明は、このような事情を考慮してなされたものであり、その目的は、通信ネットワークに接続されたIoT(Internet of Things)デバイス等のデバイスの種類を効率的に且つ精度よく識別することを図ることにある。 The present invention has been made in consideration of such circumstances, and its purpose is to efficiently and accurately identify the type of device such as an IoT (Internet of Things) device connected to a communication network. The aim is to achieve this goal.

(1)本発明の一態様は、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集部と、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成部と、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別部と、を備え前記特徴量生成部は、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信第2の通信とに分けて生成され、前記デバイス識別部は、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルと使用する、デバイス識別装置である。
)本発明の一態様は、前記デバイスはIoTデバイスである、上記()のデバイス識別装置である。
)本発明の一態様は、前記デバイス種識別モデルは、デバイス種の識別結果と、当該識別結果の確信度とを出力し、前記デバイス識別部は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う、上記(1)のデバイス識別装置である。 (1) One aspect of the present invention is an IPFIX data collection unit that collects IPFIX (IP Flow Information Export) data generated from device communication data, and a feature amount generation unit that generates a packet communication feature amount from the IPFIX data. and a device identification unit that identifies a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount , the feature amount generation unit generates the feature amounts separately for the first communication that the device automatically performs and the second communication that the device performs in response to the user's operation, and the device type identification model The device identification unit is a device identification device that uses a device type identification model for the first communication and a device type identification model for the second communication .
( 2 ) One aspect of the present invention is the device identification device according to ( 1 ) above, wherein the device is an IoT device.
( 3 ) In one aspect of the present invention, the device type identification model outputs a device type identification result and a confidence level of the identification result, and the device identification unit further outputs a confidence level of the past identification result. This is the device identification device according to (1) above, which identifies the device type based on the device type.

)本発明の一態様は、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、を含み、前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、デバイス識別方法である。 ( 4 ) One aspect of the present invention includes an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data, and a feature amount generation step of generating a packet communication feature amount from the IPFIX data. and a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount , the feature amount generation step. In the step, the feature amounts are generated separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation, and the device type identification model is based on the first communication. and the second communication, and the device identification step uses the device type identification model of the first communication and the device type identification model of the second communication.

)本発明の一態様は、コンピュータに、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、を実行させるためのコンピュータプログラムであって、前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、コンピュータプログラムである。
( 5 ) One aspect of the present invention includes an IPFIX data collection step in which a computer collects IPFIX (IP Flow Information Export) data generated from communication data of a device, and a feature amount of packet communication is generated from the IPFIX data. a step of generating a feature amount; and a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount. In the computer program, the feature amount generation step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation; The device type identification model is generated separately for the first communication and the second communication, and the device identification step includes a device type identification model for the first communication and a device type identification model for the second communication. It is a computer program used .

本発明によれば、通信ネットワークに接続されたIoTデバイス等のデバイスの種類を効率的に且つ精度よく識別することができるという効果が得られる。 According to the present invention, it is possible to efficiently and accurately identify the type of device such as an IoT device connected to a communication network.

一実施形態に係る通信システム及びデバイス識別装置の構成例を示すブロック図である。FIG. 1 is a block diagram illustrating an example configuration of a communication system and a device identification device according to an embodiment. IPFIXデータの生成方法の説明図である。FIG. 2 is an explanatory diagram of a method of generating IPFIX data. IPFIXデータの生成方法の説明図である。FIG. 2 is an explanatory diagram of a method of generating IPFIX data. IPFIXデータの生成方法の説明図である。FIG. 2 is an explanatory diagram of a method of generating IPFIX data. IPFIXデータの生成方法の説明図である。FIG. 2 is an explanatory diagram of a method of generating IPFIX data. IPFIXデータの生成方法の説明図である。FIG. 2 is an explanatory diagram of a method of generating IPFIX data. 定常通信によるサービスの例を示す図表である。3 is a chart showing an example of a service based on regular communication. 一実施形態に係る定常通信の特徴量を示す図表である。It is a chart showing the characteristic amount of steady communication concerning one embodiment. 一実施形態に係る特徴量とIPFIXデータのフィールドの対応関係を示す図表である。3 is a chart showing the correspondence between feature amounts and fields of IPFIX data according to an embodiment. 操作時通信によるサービスの例を示す図表である。FIG. 3 is a chart showing an example of a service based on communication during operation. FIG. 操作時通信に係るプロトコルの例を示す図表である。It is a chart showing an example of a protocol related to communication during operation. 一実施形態に係るデバイス識別方法の手順の例を示すフローチャートである。3 is a flowchart illustrating an example of a procedure of a device identification method according to an embodiment. 一実施形態に係るデバイス識別装置の実施例1を示す説明図である。FIG. 1 is an explanatory diagram showing Example 1 of a device identification device according to an embodiment. 一実施形態に係る特徴量データの例を示す図表である。3 is a chart showing an example of feature amount data according to an embodiment. 一実施形態に係るデバイス識別部の一実施例を示す説明図である。FIG. 2 is an explanatory diagram illustrating an example of a device identification unit according to an embodiment. 一実施形態に係るデバイス識別装置の実施例2を示す説明図である。FIG. 3 is an explanatory diagram showing Example 2 of a device identification device according to an embodiment.

以下、図面を参照し、本発明の実施形態について説明する。
図1は、一実施形態に係る通信システム及びデバイス識別装置の構成例を示すブロック図である。図1に示す通信システム1において、デバイス識別装置10は、インターネット等の通信ネットワークNWを介して、各ホーム(宅)30-1,30-2,30-3,・・・のゲートウェイ(GW)31と通信を行う。各ホーム30-1,30-2,30-3,・・・には、ゲートウェイ31とデバイスdevとが設けられている。以下、ホーム30-1,30-2,30-3,・・・を特に区別しないときはホーム30と称する。本実施形態に係るホーム30は、デバイスdevが通信を行う拠点(デバイス通信拠点)の一例である。 Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram illustrating a configuration example of a communication system and a device identification device according to an embodiment. In the communication system 1 shown in FIG. 1, the device identification device 10 is connected to a gateway (GW) of each home (home) 30-1, 30-2, 30-3, etc. via a communication network NW such as the Internet. Communicate with 31. Each home 30-1, 30-2, 30-3, . . . is provided with a gateway 31 and a device dev. Hereinafter, the platforms 30-1, 30-2, 30-3, . . . will be referred to as platforms 30 unless they are particularly distinguished. The home 30 according to the present embodiment is an example of a base (device communication base) with which the device dev communicates.

デバイスdevは、ゲートウェイ31を介して、例えばインターネットに接続されているサーバ等と通信を行う。デバイスdevは、例えばIoTデバイスである。デバイスdevには複数の種類(デバイス種)が存在する。図1には、デバイス種として3つのデバイス種「A種」,「B種」,「C種」が例示されている。例えば、デバイスdev(A種)は電力計等の計測センサーである。例えば、デバイスdev(B種)はWebカメラである。例えば、デバイスdev(C種)はエアコンやスマートスピーカー等の家電機器である。 The device dev communicates with, for example, a server connected to the Internet via the gateway 31. The device dev is, for example, an IoT device. There are multiple types (device types) of the device dev. In FIG. 1, three device types "A type", "B type", and "C type" are illustrated as device types. For example, the device dev (type A) is a measurement sensor such as a power meter. For example, device dev (type B) is a web camera. For example, the device dev (C type) is a home appliance such as an air conditioner or a smart speaker.

ゲートウェイ31は、デバイスdevの通信の許可又は不許可を判断し、当該判断結果に応じてデバイスdevの通信を制御する。ゲートウェイ31は、IPFIX(IP Flow Information Export)変換部32を備える。 The gateway 31 determines whether communication of the device dev is permitted or not, and controls the communication of the device dev according to the determination result. The gateway 31 includes an IPFIX (IP Flow Information Export) converter 32 .

IPFIX変換部32は、自己のゲートウェイ31の配下のデバイスdevが行う通信についてのIPFIXデータを生成する。IPFIX変換部32は、自己のゲートウェイ31を通過するデバイスdevの通信データからIPFIXデータを生成する。IPFIXデータは、IETF(Internet Engineering Task Force)のRFC(Request for Comments)7011で標準化されている。IPFIXデータは、パケット通信の流れを示すデータである。 The IPFIX conversion unit 32 generates IPFIX data regarding communication performed by the device dev under its own gateway 31. The IPFIX conversion unit 32 generates IPFIX data from the communication data of the device dev passing through its own gateway 31. IPFIX data is standardized by RFC (Request for Comments) 7011 of IETF (Internet Engineering Task Force). IPFIX data is data indicating the flow of packet communication.

[IPFIXデータ]
本実施形態では、デバイスdevのデバイス種の識別にIPFIXデータを利用する。以下にIPFIXデータについて説明する。 [IPFIX data]
In this embodiment, IPFIX data is used to identify the device type of device dev. IPFIX data will be explained below.

(IPFIXデータのフィールド)
IPFIXデータとして定義されているレコードの種類は約500ある。以下にIPFIXデータに使用されるフィールドの例を説明する。 (IPFIX data field)
There are approximately 500 types of records defined as IPFIX data. Examples of fields used in IPFIX data are described below.

「sourceMacAddress / destinationMacAddress」フィールドは、送信元及び送信先のMACアドレスを示すフィールドである。
「sourceIPv4Address / sourceIPv6Address / destinationIPv4Address / destinationIPv6Address」フィールドは、送信元及び送信先のIPアドレスを示すフィールドである。
「octetTotalCount / packetTotalCount」フィールドは、通信方向のデータサイズ及びパケット数を示すフィールドである。
「reverseOctetTotalCount / reversePacketTotalCount」フィールドは、通信方向の逆方向のデータサイズ及びパケット数を示すフィールドである。
「protocolIdentifier」フィールドは、IP(Internet Protocol)に関係するプロトコルを示すフィールドである。「protocolIdentifier」フィールドの値として、「1:ICMP(IPv4)」、「6:TCP」、「17:UDP」、「58:ICMP(IPv6)」等があり、一般にこれらがIoTデバイスでよく使用される。
「sourceTransportPort / destinationTransportPort」フィールドは、送信元及び送信先のポート番号に関する情報を示すフィールドである。
「flowStartMilliseconds / flowEndMilliseconds / flowDurationMilliseconds」フィールドは、IPFIXデータとして要約される通信データの開始時刻及び終了時刻を示すフィールドである。「DurationMilliseconds」は、「終了時刻-開始時刻」の値である。 The "sourceMacAddress/destinationMacAddress" field is a field indicating the MAC address of the transmission source and the transmission destination.
The "sourceIPv4Address/sourceIPv6Address/destinationIPv4Address/destinationIPv6Address" field is a field indicating the IP address of the source and destination.
The "octetTotalCount/packetTotalCount" field is a field indicating the data size and the number of packets in the communication direction.
The "reverseOctetTotalCount/reversePacketTotalCount" field is a field indicating the data size and number of packets in the reverse communication direction.
The "protocolIdentifier" field is a field indicating a protocol related to IP (Internet Protocol). The values of the "protocolIdentifier" field include "1: ICMP (IPv4)", "6: TCP", "17: UDP", "58: ICMP (IPv6)", etc., and these are generally used in IoT devices. Ru.
The "sourceTransportPort/destinationTransportPort" field is a field indicating information regarding the source and destination port numbers.
The "flowStartMilliseconds/flowEndMilliseconds/flowDurationMilliseconds" field is a field indicating the start time and end time of communication data summarized as IPFIX data. "DurationMilliseconds" is the value of "end time - start time".

(IPFIXデータのパラメータ)
IPFIXデータ、セッションごと及び一定時間ごとに通信データを要約したデータである。IPFIXデータによれば、パケットを記録する場合と比較して、記録するデータ量を大幅に削減することができる。図2-図6を参照してIPFIXデータの生成方法の例を説明する。 (IPFIX data parameters)
IPFIX data is data that summarizes communication data for each session and for each fixed period of time. According to IPFIX data, the amount of data to be recorded can be significantly reduced compared to the case of recording packets. An example of a method for generating IPFIX data will be described with reference to FIGS. 2 to 6.

図2に示すIPFIXデータの生成方法の例では、ノードXとノードY間でやり取りされる4個の通信データが要約されて1個のIPFIXデータ(IPFIXレコード)に変換される。通信データの要約の対象の期間に使用されるフィールドとして、図3及び図4に示される2つの例が挙げられる。 In the example of the IPFIX data generation method shown in FIG. 2, four pieces of communication data exchanged between node X and node Y are summarized and converted into one piece of IPFIX data (IPFIX record). There are two examples shown in FIGS. 3 and 4 as fields used for the target period of communication data summarization.

図3の例では、「active timeout」フィールドにより通信データの要約の対象の期間が決まる。「active timeout」フィールドは、強制的にフローの終了とみなす時間を示すフィールドである。図3に例示されるように、通信データのやり取りが「active timeout」フィールドに示される時間を超えた場合に、強制的にフローの終了とみなされ、それまでにノードXとノードY間でやり取りされた通信データが要約されて1個のIPFIXデータに変換される。したがって、ノードXとノードY間でやり取りされる通信データのうち、強制的にフローの終了とみなされた以降の通信データはIPFIXデータに変換されない。 In the example of FIG. 3, the "active timeout" field determines the period for which communication data is summarized. The "active timeout" field is a field that indicates the time when the flow is forcibly considered to end. As illustrated in Figure 3, if the exchange of communication data exceeds the time indicated in the "active timeout" field, the flow is forcibly considered to have ended, and the exchange between node The communication data is summarized and converted into one piece of IPFIX data. Therefore, among the communication data exchanged between node X and node Y, communication data after the flow is forcibly determined to have ended is not converted to IPFIX data.

図4の例では、「idle timeout」フィールドにより通信データの要約の対象の期間が決まる。「idle timeout」フィールドは、通信データが途切れたときに、タイムアウトとみなす時間を示すフィールドである。図4に例示されるように、通信データのやり取りが途絶えてから「idle timeout」フィールドに示される時間を超えた場合に、強制的にフローの終了とみなされ、それまでにノードXとノードY間でやり取りされた通信データが要約されて1個のIPFIXデータに変換される。 In the example of FIG. 4, the "idle timeout" field determines the period for which communication data is summarized. The "idle timeout" field is a field that indicates the time that is considered to be a timeout when communication data is interrupted. As illustrated in FIG. 4, if the time indicated in the "idle timeout" field has elapsed since the communication data exchange is interrupted, the flow is forcibly deemed to have ended, and by then, node X and node Y The communication data exchanged between them is summarized and converted into one piece of IPFIX data.

なお、UDP(User Datagram Protocol)のようにセッションを持たないプロトコルの場合には、図5に例示されるように、特定の条件において「idle timeout」フィールド又は「active timeout」フィールドにより通信データの要約の対象の期間が決まる。 Note that in the case of a protocol that does not have a session, such as UDP (User Datagram Protocol), communication data can be summarized using the "idle timeout" field or "active timeout" field under certain conditions, as illustrated in Figure 5. The target period is determined.

以上がIPFIXデータについての説明である。 The above is an explanation of IPFIX data.

本発明者は、上述したような特徴を持つIPFIXデータを、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別に利用することを着想した。この理由は、IPFIXデータによれば、パケット通信の流れを示すデータのデータ量を削減することができること、パケット通信の特徴量としてデバイス種の識別に役立つ特徴量を得やすいことなどである。 The present inventor conceived the idea of using IPFIX data having the characteristics described above to identify the device type of a device such as an IoT device connected to a communication network. The reasons for this are that, according to IPFIX data, it is possible to reduce the amount of data indicating the flow of packet communication, and it is easy to obtain feature quantities useful for identifying device types as feature quantities of packet communication.

図6は、本実施形態に係るIPFIXデータによるパケット通信の特徴量を説明するための説明図である。以下、パケット通信の特徴量のことを単に特徴量と称する場合がある。 FIG. 6 is an explanatory diagram for explaining the feature amount of packet communication using IPFIX data according to this embodiment. Hereinafter, the feature amount of packet communication may be simply referred to as the feature amount.

図6において、「通信1」は、セッションを持つ通信であってデバイスが定常的に行う通信を示す。また、「通信2」は、セッションを持つ通信であってデバイスがユーザの操作に応じて行う通信を示す。また、「通信3」は、セッションを持たない通信であってデバイスがユーザの操作に応じて行う通信を示す。 In FIG. 6, "Communication 1" indicates communication that has a session and is regularly performed by a device. Furthermore, “Communication 2” indicates communication that has a session and is performed by a device in response to a user's operation. Furthermore, “Communication 3” indicates communication without a session, which is performed by a device in response to a user's operation.

図6に示されるように、IPFIXレコードはセッションやその他の規則により通信パケットの情報が要約されて生成されるので、通信パケットと比較してデータ数が削減される。 As shown in FIG. 6, the IPFIX record is generated by summarizing communication packet information based on sessions and other rules, so the amount of data is reduced compared to communication packets.

また、図6に示されるように、通信パケットのまま使用して単位時間t1,t2,・・・,t10ごとにパケット通信の特徴量を生成する場合、「通信2」及び「通信3」では、セッションや一連のパケットを途中でぶつ切りにして特徴量を生成することになる。「通信2」においては、単位時間t1-t3,t7-t10にわたって通信パケットが生成されるが、各単位時間に含まれる通信パケットの数が異なるために、通信パケットのまま使用して特徴量を生成すると、特徴量として揺らぎが生じる。また「通信3」においては、単位時間t1-t7にわたって通信パケットが生成されるが、これらの通信パケットがたとえ同じ通信内容であっても単位時間t7だけ通信パケット数が異なるために特徴量が異なる可能性がある。 In addition, as shown in FIG. 6, when using communication packets as they are to generate the feature amount of packet communication at each unit time t1, t2, ..., t10, in "Communication 2" and "Communication 3", , features are generated by cutting a session or a series of packets into pieces. In "Communication 2", communication packets are generated over unit times t1-t3 and t7-t10, but since the number of communication packets included in each unit time is different, the communication packets are used as they are to calculate the feature amount. When generated, fluctuations occur as a feature quantity. In "Communication 3", communication packets are generated over the unit time t1-t7, but even if these communication packets have the same communication content, the number of communication packets differs by the unit time t7, so the feature values are different. there is a possibility.

一方、IPFIXデータを使用してパケット通信の特徴量を生成する場合、「通信2」においては、単位時間t3に1個のセッション「単位時間t1-t3」の通信パケットから1個のIPFIXレコードが生成され、また単位時間t10に1個のセッション「単位時間t7-t10」の通信パケットから1個のIPFIXレコードが生成される。これら「通信2」の各単位時間t3,t10のIPFIXレコードはセッション単位で生成されるので、当該各IPFIXレコードからは「通信2」のセッションにおける類似する特徴量を得られる可能性が高い。また、「通信3」においては、単位時間t7に単位時間t1-t7の通信パケットから1個のIPFIXレコードが生成される。この「通信3」の単位時間t7のIPFIXレコードは、単位時間t1-t7の通信パケットの情報から生成されるので、当該IPFIXレコードからは他の通信とは異なる「通信3」の特徴量を得られる可能性が高い。 On the other hand, when generating the feature amount of packet communication using IPFIX data, in "Communication 2", one IPFIX record is generated from the communication packet of one session "Unit time t1-t3" in unit time t3. Also, one IPFIX record is generated from communication packets of one session "unit time t7-t10" in unit time t10. Since these IPFIX records for each unit time t3 and t10 of "Communication 2" are generated for each session, it is highly likely that similar feature amounts in the session of "Communication 2" can be obtained from each IPFIX record. Furthermore, in "Communication 3", one IPFIX record is generated in unit time t7 from communication packets of unit time t1-t7. The IPFIX record for the unit time t7 of "Communication 3" is generated from the information of the communication packets for the unit time t1-t7, so the feature values of "Communication 3" that are different from other communications can be obtained from the IPFIX record. There is a high possibility that

上述したようにIPFIXデータによれば、パケット通信の流れを示すデータのデータ量が削減されると共に、各パケット通信の特徴量を的確に得ることができる。パケット通信の流れを示すデータのデータ量が削減されることにより、パケット通信の特徴量を効率的に取得することができる。また、各パケット通信の的確な特徴量は、各パケット通信を行うデバイスのデバイス種の識別に役立つ特徴量であると言える。このことから本実施形態では、IPFIXデータを使用してパケット通信の特徴量を生成することにより、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別を効率的に且つ精度よく行うことを図る。 As described above, according to the IPFIX data, the amount of data indicating the flow of packet communication can be reduced, and the characteristic amount of each packet communication can be accurately obtained. By reducing the amount of data indicating the flow of packet communication, it is possible to efficiently acquire the characteristic amount of packet communication. Further, it can be said that the accurate feature amount of each packet communication is a feature amount useful for identifying the device type of the device that performs each packet communication. Therefore, in this embodiment, the device type of a device such as an IoT device connected to a communication network can be efficiently and accurately identified by generating the feature amount of packet communication using IPFIX data. We aim to

[デバイス識別装置]
本実施形態に係るデバイス識別装置10を説明する。図1において、デバイス識別装置10は、IPFIXデータ収集部11と、特徴量生成部12と、モデル学習部13と、デバイス識別部14とを備える。 [Device identification device]
The device identification device 10 according to this embodiment will be explained. In FIG. 1, a device identification device 10 includes an IPFIX data collection section 11, a feature generation section 12, a model learning section 13, and a device identification section 14.

デバイス識別装置10の各機能は、デバイス識別装置10がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。なお、デバイス識別装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。例えば、デバイス識別装置10は、インターネット等の通信ネットワークに接続されるサーバコンピュータを使用して構成されてもよい。また、デバイス識別装置10の各機能はクラウドコンピューティングにより実現されてもよい。また、デバイス識別装置10は、単独のコンピュータにより実現するものであってもよく、又はデバイス識別装置10の機能を複数のコンピュータに分散させて実現するものであってもよい。 Each function of the device identification device 10 is realized by the device identification device 10 being equipped with computer hardware such as a CPU (Central Processing Unit) and memory, and the CPU executing a computer program stored in the memory. be done. Note that the device identification device 10 may be configured using a general-purpose computer device, or may be configured as a dedicated hardware device. For example, the device identification device 10 may be configured using a server computer connected to a communication network such as the Internet. Further, each function of the device identification device 10 may be realized by cloud computing. Further, the device identification device 10 may be realized by a single computer, or the functions of the device identification device 10 may be realized by distributing the functions to a plurality of computers.

各ホーム30のゲートウェイ31は、IPFIX変換部32が生成した自己の配下の各デバイスdevのIPFIXデータをデバイス識別装置10へ送信する。IPFIXデータ収集部11は、各ホーム30のゲートウェイ31から各デバイスdevのIPFIXデータを受信する。 The gateway 31 of each home 30 transmits the IPFIX data of each device dev under its own control generated by the IPFIX conversion unit 32 to the device identification device 10 . The IPFIX data collection unit 11 receives IPFIX data of each device dev from the gateway 31 of each home 30.

IPFIXデータ収集部11は、各ホーム30から受信したIPFIXデータを、MACアドレスごとに集約する。MACアドレスは、IPFIXデータの「sourceMacAddress / destinationMacAddress」フィールドに示される。IPFIXデータ収集部11は、MACアドレスごとに集約したIPFIXデータを一定期間保管する。 The IPFIX data collection unit 11 aggregates IPFIX data received from each home 30 for each MAC address. The MAC address is indicated in the "sourceMacAddress/destinationMacAddress" field of the IPFIX data. The IPFIX data collection unit 11 stores IPFIX data aggregated for each MAC address for a certain period of time.

特徴量生成部12は、IPFIXデータ収集部11から、MACアドレスごとに集約されたIPFIXデータを受け取る。特徴量生成部12は、MACアドレスごとに集約されたIPFIXデータを使用して、パケット通信の特徴量を示す特徴量データを生成する。 The feature generation unit 12 receives IPFIX data aggregated for each MAC address from the IPFIX data collection unit 11. The feature amount generation unit 12 uses IPFIX data aggregated for each MAC address to generate feature amount data indicating the feature amount of packet communication.

[特徴量]
本実施形態に係るパケット通信の特徴量を説明する。デバイスdevが行う通信には、大きく分類すると、デバイスが定常的に行う通信(定常通信)と、デバイスがユーザの操作に応じて行う通信(操作時通信)との2種類がある。 [Feature value]
The characteristic amount of packet communication according to this embodiment will be explained. Broadly speaking, there are two types of communication performed by the device dev: communication performed by the device on a regular basis (regular communication), and communication performed by the device in response to a user's operation (communication during operation).

定常通信は、デバイスdevが例えばファームウェア等に設定されている情報に基づいて自動的に通信を行うものである。このため、定常通信では、デバイスdevに対するユーザの操作の有無とは無関係に一定の通信が行われる。 In steady communication, the device dev automatically communicates based on information set in, for example, firmware. Therefore, in regular communication, constant communication is performed regardless of whether or not the user operates the device dev.

操作時通信は、ユーザがデバイスdevに対して操作を行ったことにより発生する通信である。このため、操作時通信では、ユーザの操作により行われる通信の内容がデバイス種ごとに大きく異なる状況が発生し得る。 The operation communication is communication that occurs when the user performs an operation on the device dev. Therefore, in operation communication, a situation may occur in which the content of the communication performed by the user's operation differs greatly depending on the device type.

そこで本実施形態では、上述した定常通信と操作時通信の各特徴に着目し、定常通信と操作時通信のそれぞれの通信の挙動のデバイス種ごとの違いが反映されるように、定常通信と操作時通信とに分けて特徴量データを生成する。 Therefore, in this embodiment, we focused on the characteristics of the above-mentioned regular communication and operation communication, and set the regular communication and operation communication so that the differences in the behavior of each device type are reflected. Generate feature data separately for time and communication.

(定常通信の特徴量)
デバイスdevが定常通信により行うサービスが図7に示される。各サービス「ICMP」、「IGMP」、「FTP」、「Telnet」、「DNS,mDNS」、「SSDP」には、各特徴量番号(特徴量No.)が付与されている。サービスの判別は、IPFIXデータの「sourceTransportPort / destinationTransportPort」フィールド内の「destinationTransportPort」の値によって行われる。図7に示されるサービスでは、デバイス種ごとに通信の挙動が異なる。このため、特徴量生成部12は、定常通信の特徴量として、図7に示される各サービス「ICMP」、「IGMP」、「FTP」、「Telnet」、「DNS,mDNS」、「SSDP」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。 (Features of steady communication)
FIG. 7 shows a service that the device dev performs through regular communication. Each service "ICMP", "IGMP", "FTP", "Telnet", "DNS, mDNS", and "SSDP" is assigned a feature number (feature number). The service is determined by the value of "destinationTransportPort" in the "sourceTransportPort/destinationTransportPort" field of the IPFIX data. In the service shown in FIG. 7, communication behavior differs depending on the device type. Therefore, the feature generation unit 12 generates features for each service "ICMP", "IGMP", "FTP", "Telnet", "DNS, mDNS", and "SSDP" shown in FIG. , the information "IPFIX record number", "sent packet size", "received packet size", "sent packet number", "received packet number", and "session duration time" shown in FIG. 8 in unit time are converted into feature data. do. As shown in FIG. 8, the feature generation unit 12 generates variations of each information such as "total value,""minimumvalue,""maximumvalue,""averagevalue," and "median value" into feature data. include.

特徴量生成部12は、図8に示される情報のうち「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を、IPFIXデータにおいて図9に示される各フィールドの値から生成する。特徴量生成部12は、「IPFIXレコード数」については、IPFIXデータから単位時間のIPFIXレコード数を計数する。 The feature value generation unit 12 converts "transmitted packet size", "received packet size", "number of transmitted packets", "number of received packets", and "session duration" among the information shown in FIG. 8 into IPFIX data. It is generated from the values of each field shown in 9. Regarding the "number of IPFIX records", the feature amount generation unit 12 counts the number of IPFIX records per unit time from the IPFIX data.

(操作時通信の特徴量)
デバイスdevが操作時通信により行うサービスが図10に示される。各サービス「HTTP」、「HTTPS」、「SMB」には、各特徴量番号(特徴量No.)が付与されている。これらのサービスでは、ユーザがデバイスdevを操作したことによりデバイスdevが生成する通信データは、デバイスdev上で動作するアプリケーションにより大きく異なる。このため、特徴量生成部12は、操作時通信の特徴量として、図10に示される各サービス「HTTP」、「HTTPS」、「SMB」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。 (Features of communication during operation)
FIG. 10 shows a service that the device dev performs through communication during operation. Each service "HTTP", "HTTPS", and "SMB" is assigned a feature number (feature number). In these services, the communication data generated by the device dev when the user operates the device dev varies greatly depending on the application running on the device dev. For this reason, the feature generation unit 12 generates the information "IPFIX record" shown in FIG. 8 in unit time for each service "HTTP", "HTTPS", and "SMB" shown in FIG. "Number of transmitted packets", "Sent packet size", "Received packet size", "Number of transmitted packets", "Number of received packets", and "Session duration time" are converted into feature data. As shown in FIG. 8, the feature generation unit 12 generates variations of each information such as "total value,""minimumvalue,""maximumvalue,""averagevalue," and "median value" into feature data. include.

なお、操作時通信では、「Well-knownポート」以外のポートへの通信も多く、送信先のポート番号は各デバイス種で特定の範囲が使用されていることが多い。このため、「Well-knownポート」以外についてもポート番号を特定の範囲で区切って特徴量にすることが好ましい。 Note that during operation communication, there are many communications to ports other than "well-known ports", and a specific range of destination port numbers is often used for each device type. For this reason, it is preferable to divide port numbers into specific ranges and use them as feature quantities even for ports other than "well-known ports."

また、操作時通信では、デバイス種によって使用されるプロトコルにも違いがある。例えば、ロボット掃除機等の家電機器に指示を送る場合にはTCP(Transmission Control Protocol)が使用されるが、Webカメラで撮像された映像を閲覧する場合にはUDPが使用される。このため、特徴量生成部12は、操作時通信の特徴量として、さらに図11に示される各プロトコル「ICMP」、「IGMP」、「TCP」、「UDP」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。図11に示されるように、各プロトコル「ICMP」、「IGMP」、「TCP」、「UDP」には、各特徴量番号(特徴量No.)が付与されている。プロトコルの判別は、IPFIXデータの「protocolIdentifier」フィールドの値によって行われる。 Furthermore, in operation communication, there are differences in the protocols used depending on the device type. For example, TCP (Transmission Control Protocol) is used when sending instructions to home appliances such as a robot vacuum cleaner, but UDP is used when viewing images captured by a web camera. For this reason, the feature amount generation unit 12 further generates the features shown in FIG. 8 in unit time for each protocol "ICMP", "IGMP", "TCP", and "UDP" shown in FIG. The information "number of IPFIX records", "transmission packet size", "reception packet size", "transmission packet number", "reception packet number", and "session duration time" are converted into feature data. As shown in FIG. 8, the feature generation unit 12 generates variations of each information such as "total value," "minimum value," "maximum value," "average value," and "median value" into feature data. include. As shown in FIG. 11, each protocol "ICMP", "IGMP", "TCP", and "UDP" is given a feature number (feature number). The protocol is determined by the value of the "protocolIdentifier" field of the IPFIX data.

以上が本実施形態に係るパケット通信の特徴量の説明である。 The above is the description of the feature amount of packet communication according to this embodiment.

説明を図1に戻す。
モデル学習部13は、特徴量生成部12が生成した特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、デバイス種識別モデルを生成する。デバイス種識別モデルは、識別対象のデバイス(識別対象デバイス)devの特徴量データからデバイス種を識別するためのモデルである。デバイス種識別モデルは、識別対象デバイスdevの特徴量データが入力されると、デバイス種の識別結果と当該識別結果の確信度とを出力する。 The explanation returns to FIG. 1.
The model learning unit 13 uses the feature data generated by the feature generation unit 12 as learning data to perform machine learning on a machine learning model such as a neural network, thereby generating a device type identification model. . The device type identification model is a model for identifying the device type from the feature amount data of the device to be identified (device to be identified) dev. When the device type identification model receives the feature amount data of the device dev to be identified, it outputs the device type identification result and the confidence level of the identification result.

なお、モデル学習部13は、定常通信と操作時通信とに分けてデバイス種識別モデルを生成してもよい。モデル学習部13は、定常通信の特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、定常通信のデバイス種識別モデルを生成してもよい。また、モデル学習部13は、操作時通信の特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、操作時通信のデバイス種識別モデルを生成してもよい。 Note that the model learning unit 13 may generate device type identification models separately for steady communication and operation communication. The model learning unit 13 may generate a device type identification model for steady communication by performing machine learning on a machine learning model such as a neural network using the feature data of steady communication as learning data. good. In addition, the model learning unit 13 uses the feature data of the communication during operation as learning data to perform machine learning on a machine learning model such as a neural network, thereby developing a device type identification model for communication during operation. may be generated.

デバイス識別部14は、モデル学習部13が生成したデバイス種識別モデルを使用して、識別対象デバイスdevの特徴量データからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの特徴量データをデバイス種識別モデルに入力した結果としてデバイス種識別モデルから出力されたデバイス種の識別結果及び当該識別結果の確信度を得る。 The device identification unit 14 uses the device type identification model generated by the model learning unit 13 to identify the device type from the feature data of the device dev to be identified. The device identification unit 14 obtains the device type identification result outputted from the device type identification model as a result of inputting the feature amount data of the identification target device dev into the device type identification model and the certainty factor of the identification result.

デバイス識別部14は、デバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。デバイス識別部14は、デバイス種の識別結果の確信度が所定値以上である場合に、当該デバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定する。 The device identification unit 14 determines the device type of the device dev to be identified based on the device type identification result and the certainty of the identification result. The device identification unit 14 determines that the device type identification result is the device type of the identification target device dev when the confidence level of the device type identification result is equal to or higher than a predetermined value.

一方、デバイス識別部14は、デバイス種の識別結果の確信度が所定値未満である場合に、当該デバイス種の識別結果を採用せず、識別対象デバイスdevのデバイス種が不明であると判定する。この場合、デバイス識別部14は、当該識別対象デバイスdevのデバイス種が現在のデバイス種識別モデルにまだ反映されていない新規のデバイス種であると判定し、デバイス種識別モデルの再学習をモデル学習部13へ指示してもよい。このデバイス種識別モデルの再学習の指示において、デバイス識別部14は、当該識別対象デバイスdevの情報(例えばMACアドレス等)をモデル学習部13へ通知してもよい。 On the other hand, when the confidence level of the device type identification result is less than a predetermined value, the device identification unit 14 does not adopt the device type identification result and determines that the device type of the identification target device dev is unknown. . In this case, the device identification unit 14 determines that the device type of the identification target device dev is a new device type that has not yet been reflected in the current device type identification model, and performs model learning to relearn the device type identification model. You may also instruct the section 13. In order to re-learn the device type identification model, the device identification unit 14 may notify the model learning unit 13 of information (eg, MAC address, etc.) of the device dev to be identified.

なお、モデル学習部13が定常通信と操作時通信とに分けてデバイス種識別モデルを生成する場合、デバイス識別部14は、定常通信のデバイス種識別モデルと操作時通信のデバイス種識別モデルとを使用して、識別対象デバイスdevの定常通信の特徴量データと操作時通信の特徴量データとからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの定常通信の特徴量データを定常通信のデバイス種識別モデルに入力した結果として当該デバイス種識別モデルから出力された定常通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。また、デバイス識別部14は、識別対象デバイスdevの操作時通信の特徴量データを操作時通信のデバイス種識別モデルに入力した結果として当該デバイス種識別モデルから出力された操作時通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。デバイス識別部14は、定常通信におけるデバイス種の識別結果及び当該識別結果の確信度と、操作時通信におけるデバイス種の識別結果及び当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。この判定では、確信度が所定値以上であるデバイス種の識別結果に基づいて、識別対象デバイスdevのデバイス種が判定される。例えば、確信度が所定値以上であり且つ最高であるデバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定される。 Note that when the model learning unit 13 generates device type identification models for regular communication and communication during operation, the device identification unit 14 separates the device type identification model for regular communication and the device type identification model for communication during operation. The device type is identified from the feature amount data of steady communication and the feature amount data of communication during operation of the device dev to be identified. The device identification unit 14 inputs the feature amount data of the steady communication of the device dev to be identified into the device type identification model of the steady communication, and the identification result and the device type in the steady communication output from the device type identification model. and obtain confidence in the results. Further, the device identification unit 14 inputs the feature amount data of the operation communication of the device dev to be identified into the device type identification model of the operation communication, and the device type in the operation communication output from the device type identification model. An identification result and a confidence level of the identification result are obtained. The device identification unit 14 identifies the device of the device dev to be identified based on the identification result of the device type in regular communication and the certainty of the identification result, and the identification result of the device type and the certainty of the identification result in operation communication. Determine the species. In this determination, the device type of the device dev to be identified is determined based on the device type identification result for which the degree of certainty is greater than or equal to a predetermined value. For example, the device type identification result for which the reliability is equal to or higher than a predetermined value and is the highest is determined to be the device type of the identification target device dev.

次に図12を参照して本実施形態に係るデバイス識別装置10の動作を説明する。図12は、本実施形態に係るデバイス識別方法の手順の例を示すフローチャートである。ここでは、事前に、モデル学習部13によって当初のデバイス種識別モデルが生成済みである。 Next, the operation of the device identification apparatus 10 according to this embodiment will be explained with reference to FIG. 12. FIG. 12 is a flowchart illustrating an example of the procedure of the device identification method according to this embodiment. Here, the initial device type identification model has been generated by the model learning unit 13 in advance.

(ステップS1) IPFIXデータ収集部11は、各ホーム30から各デバイスdevのIPFIXデータを収集する。以下、説明を簡単にするために、一つのデバイスdev(識別対象デバイスdev)を対象にして説明する。 (Step S1) The IPFIX data collection unit 11 collects IPFIX data of each device dev from each home 30. Hereinafter, in order to simplify the explanation, one device dev (identification target device dev) will be explained.

(ステップS2) 特徴量生成部12は、識別対象デバイスdevのIPFIXデータを使用して、パケット通信の特徴量を示す特徴量データを生成する。 (Step S2) The feature amount generation unit 12 uses the IPFIX data of the identification target device dev to generate feature amount data indicating the feature amount of packet communication.

(ステップS3) デバイス識別部14は、モデル学習部13が生成したデバイス種識別モデルを使用して、識別対象デバイスdevの特徴量データからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの特徴量データをデバイス種識別モデルに入力した結果としてデバイス種識別モデルから出力されたデバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。 (Step S3) The device identification unit 14 uses the device type identification model generated by the model learning unit 13 to identify the device type from the feature data of the device dev to be identified. The device identification unit 14 performs identification based on the device type identification result output from the device type identification model as a result of inputting the feature data of the device dev to be identified into the device type identification model and the confidence level of the identification result. Determine the device type of the target device dev.

(ステップS4) ステップS3の判定の結果、デバイス種の識別結果の確信度が所定値以上である場合に(ステップS4、YES)、当該デバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定する。この後、図12の処理を終了する。 (Step S4) As a result of the determination in step S3, if the certainty of the device type identification result is equal to or higher than the predetermined value (step S4, YES), the device type identification result is the device type of the device dev to be identified. It is determined that After this, the process of FIG. 12 ends.

一方、ステップS3の判定の結果、デバイス種の識別結果の確信度が所定値未満である場合には(ステップS4、NO)、識別対象デバイスdevのデバイス種が不明であると判定する。この後、ステップS5に進む。 On the other hand, as a result of the determination in step S3, if the reliability of the device type identification result is less than the predetermined value (step S4, NO), it is determined that the device type of the device dev to be identified is unknown. After this, the process advances to step S5.

(ステップS5) モデル学習部13は、デバイス種識別モデルの再学習を行う。このデバイス種識別モデルの再学習において、モデル学習部13は、デバイス種の識別結果の確信度が所定値未満である識別対象デバイスdevの情報として例えばMACアドレスに基づいて、当該MACアドレスで集約されたIPFIXデータから生成された特徴量データを使用してデバイス種識別モデルの再学習を行ってもよい。 (Step S5) The model learning unit 13 re-learns the device type identification model. In this re-learning of the device type identification model, the model learning unit 13 aggregates information on the identified device dev whose reliability of the device type identification result is less than a predetermined value based on the MAC address, for example. The device type identification model may be retrained using feature amount data generated from the IPFIX data.

[実施例1]
図13は、本実施形態に係るデバイス識別装置10の実施例1を示す説明図である。図13において、IPFIXデータ収集部11が収集したIPFIXデータの各IPFIXレコード(IPFIXレコード群)は、単位時間ごとに、特徴量生成部12へ出力される。 [Example 1]
FIG. 13 is an explanatory diagram showing Example 1 of the device identification apparatus 10 according to the present embodiment. In FIG. 13, each IPFIX record (IPFIX record group) of IPFIX data collected by the IPFIX data collection unit 11 is output to the feature amount generation unit 12 for each unit time.

特徴量生成部12は、単位時間ごとのIPFIXレコード群から、パケット通信の特徴量を示す特徴量データを生成する。図14に、特徴量データの例が示される。図14に示されるように、特徴量データは、特徴量番号(特徴量No.)ごとに生成される。図14において、特徴量No.St-xxの特徴量データは、図7に示される定常通信に係る各サービスについての特徴量データである。また、特徴量No.Op-xxの特徴量データは、図10に示される操作時通信に係る各サービスについての特徴量データである。また、特徴量No.Pr-xxの特徴量データは、図11に示される操作時通信に係る各プロトコルについての特徴量データである。 The feature amount generation unit 12 generates feature amount data indicating the feature amount of packet communication from a group of IPFIX records for each unit time. FIG. 14 shows an example of feature data. As shown in FIG. 14, feature data is generated for each feature number (feature number). In FIG. 14, feature amount No. The feature amount data of St-xx is feature amount data for each service related to steady communication shown in FIG. Also, feature quantity No. The feature amount data of Op-xx is feature amount data for each service related to communication during operation shown in FIG. Also, feature quantity No. The feature amount data of Pr-xx is feature amount data for each protocol related to communication during operation shown in FIG.

デバイス識別部14は、特徴量生成部12が生成した特徴量データをデバイス種識別モデル(識別器)に入力した結果としてデバイス種識別モデル(識別器)から出力されたデバイス種の識別結果及び当該識別結果の確信度を得る。デバイス識別部14は、デバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。 The device identification unit 14 inputs the feature amount data generated by the feature amount generation unit 12 into the device type identification model (discriminator), and the device type identification result outputted from the device type identification model (discriminator) and the corresponding Obtain the confidence level of the identification result. The device identification unit 14 determines the device type of the device dev to be identified based on the device type identification result and the certainty of the identification result.

なお、モデル学習部13が定常通信と操作時通信とに分けてデバイス種識別モデルを生成する場合、図15に示されるように、デバイス識別部14は、定常通信のデバイス種識別モデル(定常通信の識別器)141と操作時通信のデバイス種識別モデル(操作時通信の識別器)142とを使用して、識別対象デバイスdevの定常通信の特徴量データ(図14の特徴量No.St-xxの特徴量データ)と操作時通信の特徴量データ(特徴量No.Op-xxの特徴量データと特徴量No.Pr-xxの特徴量データ)とからデバイス種を識別する。 In addition, when the model learning unit 13 generates device type identification models for regular communication and communication during operation, as shown in FIG. Using the device type identification model (discriminator for operation communication) 142 and the device type identification model (discriminator for operation communication) 142, the feature amount data of the steady communication of the device dev to be identified (feature amount No. St- The device type is identified from the feature amount data (feature amount data of feature amount No. xx) and the feature amount data of communication during operation (feature amount data of feature amount No. Op-xx and feature amount data of feature amount No. Pr-xx).

デバイス識別部14は、識別対象デバイスdevの定常通信の特徴量データ(図14の特徴量No.St-xxの特徴量データ)を定常通信の識別器141に入力した結果として当該識別器141から出力された定常通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。また、デバイス識別部14は、識別対象デバイスdevの操作時通信の特徴量データ(特徴量No.Op-xxの特徴量データと特徴量No.Pr-xxの特徴量データ)を操作時通信の識別器142に入力した結果として当該識別器142から出力された操作時通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。デバイス識別部14は、定常通信におけるデバイス種の識別結果及び当該識別結果の確信度と、操作時通信におけるデバイス種の識別結果及び当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。 The device identification unit 14 inputs the feature amount data of the regular communication of the device dev to be identified (the feature amount data of the feature amount No. St-xx in FIG. 14) to the classifier 141 of the regular communication. The identification result of the device type in the output regular communication and the reliability of the identification result are obtained. Further, the device identification unit 14 converts the feature amount data (feature amount data of feature amount No. Op-xx and feature amount data of feature amount No. Pr-xx) of the operation communication of the device dev to be identified into the operation communication. As a result of the input to the discriminator 142, the identification result of the device type in the operation communication output from the discriminator 142 and the reliability of the identification result are obtained. The device identification unit 14 identifies the device of the device dev to be identified based on the identification result of the device type in regular communication and the certainty of the identification result, and the identification result of the device type and the certainty of the identification result in operation communication. Determine the species.

[実施例2]
図16は、本実施形態に係るデバイス識別装置10の実施例2を示す説明図である。図16に示す実施例2では、デバイス識別部14は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う。具体的には、デバイス識別部14は、識別器から出力された過去のデバイス種の識別結果の確信度を、次の単位時間の同じ識別対象デバイスdevの特徴量データに加えて識別器へ入力する。図14に示す特徴量データにおいては、同じ識別対象デバイスdevについて、過去のデバイス種の識別結果の確信度のレコード(確信度の特徴量Noのレコード)が、次の単位時間の特徴量データに追加される。過去のデバイス種の識別結果の確信度を次の単位時間のデバイス種の識別に利用する点以外は、上述した実施例1と同じである。 [Example 2]
FIG. 16 is an explanatory diagram showing Example 2 of the device identification apparatus 10 according to the present embodiment. In the second embodiment shown in FIG. 16, the device identification unit 14 further identifies the device type based on the reliability of past identification results. Specifically, the device identification unit 14 inputs the confidence of the past device type identification results output from the classifier into the classifier in addition to the feature amount data of the same identification target device dev in the next unit time. do. In the feature amount data shown in FIG. 14, for the same identification target device dev, the confidence record of the past device type identification result (the record of the confidence feature number) is changed to the feature amount data of the next unit time. will be added. This embodiment is the same as the first embodiment described above, except that the reliability of past device type identification results is used to identify the device type in the next unit time.

実施例2によれば、デバイス種の識別結果の確信度を再帰的に特徴量に加えることにより、パケット通信の時系列に対してロバスト性を持つデバイス種の識別を行うことができる。 According to the second embodiment, by recursively adding the reliability of the device type identification result to the feature amount, it is possible to perform device type identification that is robust to the time series of packet communications.

上述した実施形態によれば、IPFIXデータを使用することにより、デバイス種の識別に使用するパケット通信の流れを示すデータのデータ量を削減することができる。また、IPFIXデータを使用することにより、各パケット通信の特徴量を的確に得ることができるので、当該特徴量に基づいて、各パケット通信を行うデバイスのデバイス種の識別の精度向上を図ることができる。このように本実施形態によれば、IPFIXデータを使用してパケット通信の特徴量を生成することにより、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別を効率的に且つ精度よく行うことができるという効果が得られる。 According to the embodiment described above, by using IPFIX data, it is possible to reduce the amount of data indicating the flow of packet communication used to identify the device type. In addition, by using IPFIX data, it is possible to accurately obtain the feature values of each packet communication, so based on the feature values, it is possible to improve the accuracy of identifying the device type of the device that performs each packet communication. can. As described above, according to the present embodiment, by generating the feature amount of packet communication using IPFIX data, the device type of a device such as an IoT device connected to a communication network can be efficiently and accurately identified. The effect is that it can be done.

また、IPFIXデータはパケットのペイロードを含まないので、デバイスdevのユーザのプライバシーを保護することができる。 Also, since the IPFIX data does not include the payload of the packet, the privacy of the user of the device dev can be protected.

また、IPFIXデータはデバイスdevの通信データから変換されるので、本実施形態は多種多様の多くのデバイスdevに適用可能である。 Furthermore, since the IPFIX data is converted from the communication data of the device dev, this embodiment is applicable to a wide variety of many devices dev.

また、上述した実施形態によれば、定常通信と操作時通信の各特徴に着目し、定常通信と操作時通信のそれぞれの通信の挙動のデバイス種ごとの違いが反映されるように、定常通信と操作時通信とに分けて特徴量データを生成することにより、デバイス種の識別精度をさらに向上させる効果が得られる。 Further, according to the embodiment described above, by focusing on the characteristics of steady communication and communication during operation, steady communication is By generating feature data separately for communication during operation and communication during operation, it is possible to further improve the accuracy of identifying the device type.

また、デバイス種の識別結果の確信度を再帰的に特徴量に加えることにより、パケット通信の時系列に対してロバスト性を持つデバイス種の識別を行うことができる。 Furthermore, by recursively adding the confidence level of the device type identification result to the feature quantity, it is possible to perform device type identification that is robust to the time series of packet communications.

なお、上述した実施形態では、デバイス通信拠点としてホームを例に挙げたが、これに限定されない。デバイス通信拠点は、例えば会社のオフィスやイベント会場や店舗などであってもよい。 Note that in the above-described embodiment, a home is taken as an example of a device communication base, but the present invention is not limited to this. The device communication base may be, for example, a company office, an event venue, or a store.

以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 Although the embodiment of the present invention has been described above in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and design changes and the like may be made without departing from the gist of the present invention.

また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。 Further, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Note that the "computer system" here may include hardware such as an OS and peripheral devices.
Furthermore, "computer-readable recording media" refers to flexible disks, magneto-optical disks, ROMs, writable non-volatile memories such as flash memory, portable media such as DVDs (Digital Versatile Discs), and media built into computer systems. A storage device such as a hard disk.

さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。 Furthermore, "computer-readable recording medium" refers to volatile memory (for example, DRAM (Dynamic It also includes those that retain programs for a certain period of time, such as Random Access Memory).
Further, the program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in a transmission medium. Here, the "transmission medium" that transmits the program refers to a medium that has a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Moreover, the above-mentioned program may be for realizing a part of the above-mentioned functions. Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.

1…通信システム、10…デバイス識別装置、11…IPFIXデータ収集部、12…特徴量生成部、13…モデル学習部、14…デバイス識別部、30…ホーム、31…ゲートウェイ、32…IPFIX変換部、dev…デバイス、NW…通信ネットワーク DESCRIPTION OF SYMBOLS 1... Communication system, 10... Device identification device, 11... IPFIX data collection unit, 12... Feature value generation unit, 13... Model learning unit, 14... Device identification unit, 30... Home, 31... Gateway, 32... IPFIX conversion unit , dev...device, NW...communication network

Claims (5)

デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集部と、
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成部と、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別部と、
を備え
前記特徴量生成部は、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信第2の通信とに分けて生成され、
前記デバイス識別部は、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルと使用する、
デバイス識別装置。 an IPFIX data collection unit that collects IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation unit that generates a feature amount of packet communication from the IPFIX data;
a device identification unit that identifies a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
Equipped with
The feature amount generation unit generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication ,
The device identification unit uses a device type identification model for first communication and a device type identification model for second communication .
Device identification device. 前記デバイスはIoTデバイスである、
請求項に記載のデバイス識別装置。 the device is an IoT device;
The device identification device according to claim 1 . 前記デバイス種識別モデルは、デバイス種の識別結果と、当該識別結果の確信度とを出力し、
前記デバイス識別部は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う、
請求項1に記載のデバイス識別装置。 The device type identification model outputs a device type identification result and a confidence level of the identification result,
The device identification unit further identifies the device type based on the reliability of past identification results.
The device identification device according to claim 1. デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、
を含み、
前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、
前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、
デバイス識別方法。 an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation step of generating a feature amount of packet communication from the IPFIX data;
a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
including;
The feature amount generating step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication,
The device identification step uses a device type identification model for the first communication and a device type identification model for the second communication.
Device identification method. コンピュータに、
デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、
を実行させるためのコンピュータプログラムであって、
前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、
前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、
コンピュータプログラム。 to the computer,
an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation step of generating a feature amount of packet communication from the IPFIX data;
a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
A computer program for executing
The feature amount generating step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication,
The device identification step uses a device type identification model for the first communication and a device type identification model for the second communication.
computer program.
JP2020164760A 2020-09-30 2020-09-30 Device identification device, device identification method, and computer program Active JP7387570B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020164760A JP7387570B2 (en) 2020-09-30 2020-09-30 Device identification device, device identification method, and computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020164760A JP7387570B2 (en) 2020-09-30 2020-09-30 Device identification device, device identification method, and computer program

Publications (2)

Publication Number Publication Date
JP2022056811A JP2022056811A (en) 2022-04-11
JP7387570B2 true JP7387570B2 (en) 2023-11-28

Family

ID=81111063

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020164760A Active JP7387570B2 (en) 2020-09-30 2020-09-30 Device identification device, device identification method, and computer program

Country Status (1)

Country Link
JP (1) JP7387570B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015097330A (en) 2013-11-15 2015-05-21 Kddi株式会社 Service estimation device and method
US20200127892A1 (en) 2018-10-19 2020-04-23 Cisco Technology, Inc. Cascade-based classification of network devices using multi-scale bags of network words
JP2020136779A (en) 2019-02-14 2020-08-31 沖電気工業株式会社 Identification processing device, identification processing program and identification processing method
JP2020140346A (en) 2019-02-27 2020-09-03 富士ゼロックス株式会社 Image processing apparatus and program

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2015097330A (en) 2013-11-15 2015-05-21 Kddi株式会社 Service estimation device and method
US20200127892A1 (en) 2018-10-19 2020-04-23 Cisco Technology, Inc. Cascade-based classification of network devices using multi-scale bags of network words
JP2020136779A (en) 2019-02-14 2020-08-31 沖電気工業株式会社 Identification processing device, identification processing program and identification processing method
JP2020140346A (en) 2019-02-27 2020-09-03 富士ゼロックス株式会社 Image processing apparatus and program

Also Published As

Publication number Publication date
JP2022056811A (en) 2022-04-11

Similar Documents

Publication Publication Date Title
US7599288B2 (en) Processing of usage data for first and second types of usage-based functions
US8369229B2 (en) Methods for monitoring delivery performance of a packet flow between reference nodes
EP1746768A2 (en) Method and apparatus for data network sampling
US20060285495A1 (en) Method and apparatus for aggregating network traffic flows
US9124528B2 (en) Method and arrangement for data clustering
CN109479030B (en) System and apparatus for transmitting session state protocol
US20060155866A1 (en) Method of data gathering of user network
US7979586B2 (en) Information processing system, information processor, server, information processing method and program
CN111314286B (en) Configuration method and device of security access control policy
US20210083941A1 (en) System and method for use of dynamic templates with a network traffic flow information protocol
US9049140B2 (en) Backbone network with policy driven routing
JP7387570B2 (en) Device identification device, device identification method, and computer program
US20050283639A1 (en) Path analysis tool and method in a data transmission network including several internet autonomous systems
Zhou et al. Identifying QoS violations through statistical end‐to‐end analysis
US20080123646A1 (en) Information Processing Device, Information Processing System, Information Processing Method, and Program
US7590113B1 (en) Method and apparatus for generating a reconnaissance index
CN111614791A (en) Access device for entity link analysis and method thereof
US8045523B2 (en) Method and apparatus for performing media independent handover
CN108370390A (en) Address is collected in a sub-network
JP5292335B2 (en) Connection destination node selection method, apparatus and program
FR3095729A1 (en) Methods and devices for measuring reputation in a communication network
JP7321130B2 (en) WHITELIST GENERATION DEVICE, WHITELIST GENERATION METHOD, AND COMPUTER PROGRAM
US10038633B2 (en) Protocol to query for historical network information in a content centric network
CN113935430B (en) Method and system for diversified identification of private encrypted data
JP7384751B2 (en) Learning data generation device, model learning device, learning data generation method, and computer program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220725

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230531

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230606

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230803

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231017

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231115

R150 Certificate of patent or registration of utility model

Ref document number: 7387570

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150