JP7387570B2 - Device identification device, device identification method, and computer program - Google Patents
Device identification device, device identification method, and computer program Download PDFInfo
- Publication number
- JP7387570B2 JP7387570B2 JP2020164760A JP2020164760A JP7387570B2 JP 7387570 B2 JP7387570 B2 JP 7387570B2 JP 2020164760 A JP2020164760 A JP 2020164760A JP 2020164760 A JP2020164760 A JP 2020164760A JP 7387570 B2 JP7387570 B2 JP 7387570B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- data
- feature amount
- device type
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 17
- 238000004590 computer program Methods 0.000 title claims description 8
- 238000004891 communication Methods 0.000 claims description 214
- 238000013480 data collection Methods 0.000 claims description 14
- 238000010801 machine learning Methods 0.000 claims description 12
- 230000004044 response Effects 0.000 claims description 9
- 238000010586 diagram Methods 0.000 description 13
- 230000005540 biological transmission Effects 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000015654 memory Effects 0.000 description 5
- 238000006243 chemical reaction Methods 0.000 description 4
- 238000013528 artificial neural network Methods 0.000 description 3
- 101000826116 Homo sapiens Single-stranded DNA-binding protein 3 Proteins 0.000 description 2
- 102100023008 Single-stranded DNA-binding protein 3 Human genes 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010365 information processing Effects 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Description
本発明は、デバイス識別装置、デバイス識別方法及びコンピュータプログラムに関する。 The present invention relates to a device identification device, a device identification method, and a computer program.
従来、通信ネットワークに接続された家電機器の種類を識別する技術として例えば特許文献1が知られている。特許文献1には、電化製品の種類を判別するため、電化製品であれば受信するとされる少なくとも二種類のパケットにより定められる定義ファイルを、当該パケットを構成する一のパケット毎に対応付けられた得点とともに、電化製品の種別を判別するための電化製品情報毎に記憶し、電化製品から受信したパケットと当該一のパケットを比較して定義ファイル毎に得点化を行い、得点が高い定義ファイルに対応する電化製品情報を当該パケットを受信した電化製品の電化製品情報とする、情報処理装置が記載されている。この特許文献1では、定義ファイルとして電化製品のMACアドレス(Media Access Control address)の情報(先頭24ビットのベンダー識別子(ベンダーID)及び中盤8ビットの機種識別子(機種ID))を使用している。
2. Description of the Related Art Conventionally, for example,
しかし、上述した特許文献1の技術では、定義ファイルとして電化製品のMACアドレスの情報を使用するが、MACアドレスは電化製品が備えるネットワークインターフェースに付与されるので、MACアドレスのベンダーIDが必ずしも電化製品のデバイスベンダーを示すとは限らない。このため、異なるデバイスベンダーの電化製品でもMACアドレスの先頭部分が同一となる場合があるので、電化製品の種類の識別精度が低下する可能性がある。
However, in the technology of
本発明は、このような事情を考慮してなされたものであり、その目的は、通信ネットワークに接続されたIoT(Internet of Things)デバイス等のデバイスの種類を効率的に且つ精度よく識別することを図ることにある。 The present invention has been made in consideration of such circumstances, and its purpose is to efficiently and accurately identify the type of device such as an IoT (Internet of Things) device connected to a communication network. The aim is to achieve this goal.
(1)本発明の一態様は、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集部と、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成部と、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別部と、を備え、前記特徴量生成部は、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、前記デバイス識別部は、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、デバイス識別装置である。
(2)本発明の一態様は、前記デバイスはIoTデバイスである、上記(1)のデバイス識別装置である。
(3)本発明の一態様は、前記デバイス種識別モデルは、デバイス種の識別結果と、当該識別結果の確信度とを出力し、前記デバイス識別部は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う、上記(1)のデバイス識別装置である。
(1) One aspect of the present invention is an IPFIX data collection unit that collects IPFIX (IP Flow Information Export) data generated from device communication data, and a feature amount generation unit that generates a packet communication feature amount from the IPFIX data. and a device identification unit that identifies a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount , the feature amount generation unit generates the feature amounts separately for the first communication that the device automatically performs and the second communication that the device performs in response to the user's operation, and the device type identification model The device identification unit is a device identification device that uses a device type identification model for the first communication and a device type identification model for the second communication .
( 2 ) One aspect of the present invention is the device identification device according to ( 1 ) above, wherein the device is an IoT device.
( 3 ) In one aspect of the present invention, the device type identification model outputs a device type identification result and a confidence level of the identification result, and the device identification unit further outputs a confidence level of the past identification result. This is the device identification device according to (1) above, which identifies the device type based on the device type.
(4)本発明の一態様は、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、を含み、前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、デバイス識別方法である。 ( 4 ) One aspect of the present invention includes an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data, and a feature amount generation step of generating a packet communication feature amount from the IPFIX data. and a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount , the feature amount generation step. In the step, the feature amounts are generated separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation, and the device type identification model is based on the first communication. and the second communication, and the device identification step uses the device type identification model of the first communication and the device type identification model of the second communication.
(5)本発明の一態様は、コンピュータに、デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、を実行させるためのコンピュータプログラムであって、前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、コンピュータプログラムである。
( 5 ) One aspect of the present invention includes an IPFIX data collection step in which a computer collects IPFIX (IP Flow Information Export) data generated from communication data of a device, and a feature amount of packet communication is generated from the IPFIX data. a step of generating a feature amount; and a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount. In the computer program, the feature amount generation step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation; The device type identification model is generated separately for the first communication and the second communication, and the device identification step includes a device type identification model for the first communication and a device type identification model for the second communication. It is a computer program used .
本発明によれば、通信ネットワークに接続されたIoTデバイス等のデバイスの種類を効率的に且つ精度よく識別することができるという効果が得られる。 According to the present invention, it is possible to efficiently and accurately identify the type of device such as an IoT device connected to a communication network.
以下、図面を参照し、本発明の実施形態について説明する。
図1は、一実施形態に係る通信システム及びデバイス識別装置の構成例を示すブロック図である。図1に示す通信システム1において、デバイス識別装置10は、インターネット等の通信ネットワークNWを介して、各ホーム(宅)30-1,30-2,30-3,・・・のゲートウェイ(GW)31と通信を行う。各ホーム30-1,30-2,30-3,・・・には、ゲートウェイ31とデバイスdevとが設けられている。以下、ホーム30-1,30-2,30-3,・・・を特に区別しないときはホーム30と称する。本実施形態に係るホーム30は、デバイスdevが通信を行う拠点(デバイス通信拠点)の一例である。
Embodiments of the present invention will be described below with reference to the drawings.
FIG. 1 is a block diagram illustrating a configuration example of a communication system and a device identification device according to an embodiment. In the
デバイスdevは、ゲートウェイ31を介して、例えばインターネットに接続されているサーバ等と通信を行う。デバイスdevは、例えばIoTデバイスである。デバイスdevには複数の種類(デバイス種)が存在する。図1には、デバイス種として3つのデバイス種「A種」,「B種」,「C種」が例示されている。例えば、デバイスdev(A種)は電力計等の計測センサーである。例えば、デバイスdev(B種)はWebカメラである。例えば、デバイスdev(C種)はエアコンやスマートスピーカー等の家電機器である。
The device dev communicates with, for example, a server connected to the Internet via the
ゲートウェイ31は、デバイスdevの通信の許可又は不許可を判断し、当該判断結果に応じてデバイスdevの通信を制御する。ゲートウェイ31は、IPFIX(IP Flow Information Export)変換部32を備える。
The
IPFIX変換部32は、自己のゲートウェイ31の配下のデバイスdevが行う通信についてのIPFIXデータを生成する。IPFIX変換部32は、自己のゲートウェイ31を通過するデバイスdevの通信データからIPFIXデータを生成する。IPFIXデータは、IETF(Internet Engineering Task Force)のRFC(Request for Comments)7011で標準化されている。IPFIXデータは、パケット通信の流れを示すデータである。
The
[IPFIXデータ]
本実施形態では、デバイスdevのデバイス種の識別にIPFIXデータを利用する。以下にIPFIXデータについて説明する。
[IPFIX data]
In this embodiment, IPFIX data is used to identify the device type of device dev. IPFIX data will be explained below.
(IPFIXデータのフィールド)
IPFIXデータとして定義されているレコードの種類は約500ある。以下にIPFIXデータに使用されるフィールドの例を説明する。
(IPFIX data field)
There are approximately 500 types of records defined as IPFIX data. Examples of fields used in IPFIX data are described below.
「sourceMacAddress / destinationMacAddress」フィールドは、送信元及び送信先のMACアドレスを示すフィールドである。
「sourceIPv4Address / sourceIPv6Address / destinationIPv4Address / destinationIPv6Address」フィールドは、送信元及び送信先のIPアドレスを示すフィールドである。
「octetTotalCount / packetTotalCount」フィールドは、通信方向のデータサイズ及びパケット数を示すフィールドである。
「reverseOctetTotalCount / reversePacketTotalCount」フィールドは、通信方向の逆方向のデータサイズ及びパケット数を示すフィールドである。
「protocolIdentifier」フィールドは、IP(Internet Protocol)に関係するプロトコルを示すフィールドである。「protocolIdentifier」フィールドの値として、「1:ICMP(IPv4)」、「6:TCP」、「17:UDP」、「58:ICMP(IPv6)」等があり、一般にこれらがIoTデバイスでよく使用される。
「sourceTransportPort / destinationTransportPort」フィールドは、送信元及び送信先のポート番号に関する情報を示すフィールドである。
「flowStartMilliseconds / flowEndMilliseconds / flowDurationMilliseconds」フィールドは、IPFIXデータとして要約される通信データの開始時刻及び終了時刻を示すフィールドである。「DurationMilliseconds」は、「終了時刻-開始時刻」の値である。
The "sourceMacAddress/destinationMacAddress" field is a field indicating the MAC address of the transmission source and the transmission destination.
The "sourceIPv4Address/sourceIPv6Address/destinationIPv4Address/destinationIPv6Address" field is a field indicating the IP address of the source and destination.
The "octetTotalCount/packetTotalCount" field is a field indicating the data size and the number of packets in the communication direction.
The "reverseOctetTotalCount/reversePacketTotalCount" field is a field indicating the data size and number of packets in the reverse communication direction.
The "protocolIdentifier" field is a field indicating a protocol related to IP (Internet Protocol). The values of the "protocolIdentifier" field include "1: ICMP (IPv4)", "6: TCP", "17: UDP", "58: ICMP (IPv6)", etc., and these are generally used in IoT devices. Ru.
The "sourceTransportPort/destinationTransportPort" field is a field indicating information regarding the source and destination port numbers.
The "flowStartMilliseconds/flowEndMilliseconds/flowDurationMilliseconds" field is a field indicating the start time and end time of communication data summarized as IPFIX data. "DurationMilliseconds" is the value of "end time - start time".
(IPFIXデータのパラメータ)
IPFIXデータ、セッションごと及び一定時間ごとに通信データを要約したデータである。IPFIXデータによれば、パケットを記録する場合と比較して、記録するデータ量を大幅に削減することができる。図2-図6を参照してIPFIXデータの生成方法の例を説明する。
(IPFIX data parameters)
IPFIX data is data that summarizes communication data for each session and for each fixed period of time. According to IPFIX data, the amount of data to be recorded can be significantly reduced compared to the case of recording packets. An example of a method for generating IPFIX data will be described with reference to FIGS. 2 to 6.
図2に示すIPFIXデータの生成方法の例では、ノードXとノードY間でやり取りされる4個の通信データが要約されて1個のIPFIXデータ(IPFIXレコード)に変換される。通信データの要約の対象の期間に使用されるフィールドとして、図3及び図4に示される2つの例が挙げられる。 In the example of the IPFIX data generation method shown in FIG. 2, four pieces of communication data exchanged between node X and node Y are summarized and converted into one piece of IPFIX data (IPFIX record). There are two examples shown in FIGS. 3 and 4 as fields used for the target period of communication data summarization.
図3の例では、「active timeout」フィールドにより通信データの要約の対象の期間が決まる。「active timeout」フィールドは、強制的にフローの終了とみなす時間を示すフィールドである。図3に例示されるように、通信データのやり取りが「active timeout」フィールドに示される時間を超えた場合に、強制的にフローの終了とみなされ、それまでにノードXとノードY間でやり取りされた通信データが要約されて1個のIPFIXデータに変換される。したがって、ノードXとノードY間でやり取りされる通信データのうち、強制的にフローの終了とみなされた以降の通信データはIPFIXデータに変換されない。 In the example of FIG. 3, the "active timeout" field determines the period for which communication data is summarized. The "active timeout" field is a field that indicates the time when the flow is forcibly considered to end. As illustrated in Figure 3, if the exchange of communication data exceeds the time indicated in the "active timeout" field, the flow is forcibly considered to have ended, and the exchange between node The communication data is summarized and converted into one piece of IPFIX data. Therefore, among the communication data exchanged between node X and node Y, communication data after the flow is forcibly determined to have ended is not converted to IPFIX data.
図4の例では、「idle timeout」フィールドにより通信データの要約の対象の期間が決まる。「idle timeout」フィールドは、通信データが途切れたときに、タイムアウトとみなす時間を示すフィールドである。図4に例示されるように、通信データのやり取りが途絶えてから「idle timeout」フィールドに示される時間を超えた場合に、強制的にフローの終了とみなされ、それまでにノードXとノードY間でやり取りされた通信データが要約されて1個のIPFIXデータに変換される。 In the example of FIG. 4, the "idle timeout" field determines the period for which communication data is summarized. The "idle timeout" field is a field that indicates the time that is considered to be a timeout when communication data is interrupted. As illustrated in FIG. 4, if the time indicated in the "idle timeout" field has elapsed since the communication data exchange is interrupted, the flow is forcibly deemed to have ended, and by then, node X and node Y The communication data exchanged between them is summarized and converted into one piece of IPFIX data.
なお、UDP(User Datagram Protocol)のようにセッションを持たないプロトコルの場合には、図5に例示されるように、特定の条件において「idle timeout」フィールド又は「active timeout」フィールドにより通信データの要約の対象の期間が決まる。 Note that in the case of a protocol that does not have a session, such as UDP (User Datagram Protocol), communication data can be summarized using the "idle timeout" field or "active timeout" field under certain conditions, as illustrated in Figure 5. The target period is determined.
以上がIPFIXデータについての説明である。 The above is an explanation of IPFIX data.
本発明者は、上述したような特徴を持つIPFIXデータを、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別に利用することを着想した。この理由は、IPFIXデータによれば、パケット通信の流れを示すデータのデータ量を削減することができること、パケット通信の特徴量としてデバイス種の識別に役立つ特徴量を得やすいことなどである。 The present inventor conceived the idea of using IPFIX data having the characteristics described above to identify the device type of a device such as an IoT device connected to a communication network. The reasons for this are that, according to IPFIX data, it is possible to reduce the amount of data indicating the flow of packet communication, and it is easy to obtain feature quantities useful for identifying device types as feature quantities of packet communication.
図6は、本実施形態に係るIPFIXデータによるパケット通信の特徴量を説明するための説明図である。以下、パケット通信の特徴量のことを単に特徴量と称する場合がある。 FIG. 6 is an explanatory diagram for explaining the feature amount of packet communication using IPFIX data according to this embodiment. Hereinafter, the feature amount of packet communication may be simply referred to as the feature amount.
図6において、「通信1」は、セッションを持つ通信であってデバイスが定常的に行う通信を示す。また、「通信2」は、セッションを持つ通信であってデバイスがユーザの操作に応じて行う通信を示す。また、「通信3」は、セッションを持たない通信であってデバイスがユーザの操作に応じて行う通信を示す。
In FIG. 6, "
図6に示されるように、IPFIXレコードはセッションやその他の規則により通信パケットの情報が要約されて生成されるので、通信パケットと比較してデータ数が削減される。 As shown in FIG. 6, the IPFIX record is generated by summarizing communication packet information based on sessions and other rules, so the amount of data is reduced compared to communication packets.
また、図6に示されるように、通信パケットのまま使用して単位時間t1,t2,・・・,t10ごとにパケット通信の特徴量を生成する場合、「通信2」及び「通信3」では、セッションや一連のパケットを途中でぶつ切りにして特徴量を生成することになる。「通信2」においては、単位時間t1-t3,t7-t10にわたって通信パケットが生成されるが、各単位時間に含まれる通信パケットの数が異なるために、通信パケットのまま使用して特徴量を生成すると、特徴量として揺らぎが生じる。また「通信3」においては、単位時間t1-t7にわたって通信パケットが生成されるが、これらの通信パケットがたとえ同じ通信内容であっても単位時間t7だけ通信パケット数が異なるために特徴量が異なる可能性がある。
In addition, as shown in FIG. 6, when using communication packets as they are to generate the feature amount of packet communication at each unit time t1, t2, ..., t10, in "
一方、IPFIXデータを使用してパケット通信の特徴量を生成する場合、「通信2」においては、単位時間t3に1個のセッション「単位時間t1-t3」の通信パケットから1個のIPFIXレコードが生成され、また単位時間t10に1個のセッション「単位時間t7-t10」の通信パケットから1個のIPFIXレコードが生成される。これら「通信2」の各単位時間t3,t10のIPFIXレコードはセッション単位で生成されるので、当該各IPFIXレコードからは「通信2」のセッションにおける類似する特徴量を得られる可能性が高い。また、「通信3」においては、単位時間t7に単位時間t1-t7の通信パケットから1個のIPFIXレコードが生成される。この「通信3」の単位時間t7のIPFIXレコードは、単位時間t1-t7の通信パケットの情報から生成されるので、当該IPFIXレコードからは他の通信とは異なる「通信3」の特徴量を得られる可能性が高い。
On the other hand, when generating the feature amount of packet communication using IPFIX data, in "
上述したようにIPFIXデータによれば、パケット通信の流れを示すデータのデータ量が削減されると共に、各パケット通信の特徴量を的確に得ることができる。パケット通信の流れを示すデータのデータ量が削減されることにより、パケット通信の特徴量を効率的に取得することができる。また、各パケット通信の的確な特徴量は、各パケット通信を行うデバイスのデバイス種の識別に役立つ特徴量であると言える。このことから本実施形態では、IPFIXデータを使用してパケット通信の特徴量を生成することにより、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別を効率的に且つ精度よく行うことを図る。 As described above, according to the IPFIX data, the amount of data indicating the flow of packet communication can be reduced, and the characteristic amount of each packet communication can be accurately obtained. By reducing the amount of data indicating the flow of packet communication, it is possible to efficiently acquire the characteristic amount of packet communication. Further, it can be said that the accurate feature amount of each packet communication is a feature amount useful for identifying the device type of the device that performs each packet communication. Therefore, in this embodiment, the device type of a device such as an IoT device connected to a communication network can be efficiently and accurately identified by generating the feature amount of packet communication using IPFIX data. We aim to
[デバイス識別装置]
本実施形態に係るデバイス識別装置10を説明する。図1において、デバイス識別装置10は、IPFIXデータ収集部11と、特徴量生成部12と、モデル学習部13と、デバイス識別部14とを備える。
[Device identification device]
The
デバイス識別装置10の各機能は、デバイス識別装置10がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。なお、デバイス識別装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。例えば、デバイス識別装置10は、インターネット等の通信ネットワークに接続されるサーバコンピュータを使用して構成されてもよい。また、デバイス識別装置10の各機能はクラウドコンピューティングにより実現されてもよい。また、デバイス識別装置10は、単独のコンピュータにより実現するものであってもよく、又はデバイス識別装置10の機能を複数のコンピュータに分散させて実現するものであってもよい。
Each function of the
各ホーム30のゲートウェイ31は、IPFIX変換部32が生成した自己の配下の各デバイスdevのIPFIXデータをデバイス識別装置10へ送信する。IPFIXデータ収集部11は、各ホーム30のゲートウェイ31から各デバイスdevのIPFIXデータを受信する。
The
IPFIXデータ収集部11は、各ホーム30から受信したIPFIXデータを、MACアドレスごとに集約する。MACアドレスは、IPFIXデータの「sourceMacAddress / destinationMacAddress」フィールドに示される。IPFIXデータ収集部11は、MACアドレスごとに集約したIPFIXデータを一定期間保管する。
The IPFIX
特徴量生成部12は、IPFIXデータ収集部11から、MACアドレスごとに集約されたIPFIXデータを受け取る。特徴量生成部12は、MACアドレスごとに集約されたIPFIXデータを使用して、パケット通信の特徴量を示す特徴量データを生成する。
The
[特徴量]
本実施形態に係るパケット通信の特徴量を説明する。デバイスdevが行う通信には、大きく分類すると、デバイスが定常的に行う通信(定常通信)と、デバイスがユーザの操作に応じて行う通信(操作時通信)との2種類がある。
[Feature value]
The characteristic amount of packet communication according to this embodiment will be explained. Broadly speaking, there are two types of communication performed by the device dev: communication performed by the device on a regular basis (regular communication), and communication performed by the device in response to a user's operation (communication during operation).
定常通信は、デバイスdevが例えばファームウェア等に設定されている情報に基づいて自動的に通信を行うものである。このため、定常通信では、デバイスdevに対するユーザの操作の有無とは無関係に一定の通信が行われる。 In steady communication, the device dev automatically communicates based on information set in, for example, firmware. Therefore, in regular communication, constant communication is performed regardless of whether or not the user operates the device dev.
操作時通信は、ユーザがデバイスdevに対して操作を行ったことにより発生する通信である。このため、操作時通信では、ユーザの操作により行われる通信の内容がデバイス種ごとに大きく異なる状況が発生し得る。 The operation communication is communication that occurs when the user performs an operation on the device dev. Therefore, in operation communication, a situation may occur in which the content of the communication performed by the user's operation differs greatly depending on the device type.
そこで本実施形態では、上述した定常通信と操作時通信の各特徴に着目し、定常通信と操作時通信のそれぞれの通信の挙動のデバイス種ごとの違いが反映されるように、定常通信と操作時通信とに分けて特徴量データを生成する。 Therefore, in this embodiment, we focused on the characteristics of the above-mentioned regular communication and operation communication, and set the regular communication and operation communication so that the differences in the behavior of each device type are reflected. Generate feature data separately for time and communication.
(定常通信の特徴量)
デバイスdevが定常通信により行うサービスが図7に示される。各サービス「ICMP」、「IGMP」、「FTP」、「Telnet」、「DNS,mDNS」、「SSDP」には、各特徴量番号(特徴量No.)が付与されている。サービスの判別は、IPFIXデータの「sourceTransportPort / destinationTransportPort」フィールド内の「destinationTransportPort」の値によって行われる。図7に示されるサービスでは、デバイス種ごとに通信の挙動が異なる。このため、特徴量生成部12は、定常通信の特徴量として、図7に示される各サービス「ICMP」、「IGMP」、「FTP」、「Telnet」、「DNS,mDNS」、「SSDP」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。
(Features of steady communication)
FIG. 7 shows a service that the device dev performs through regular communication. Each service "ICMP", "IGMP", "FTP", "Telnet", "DNS, mDNS", and "SSDP" is assigned a feature number (feature number). The service is determined by the value of "destinationTransportPort" in the "sourceTransportPort/destinationTransportPort" field of the IPFIX data. In the service shown in FIG. 7, communication behavior differs depending on the device type. Therefore, the
特徴量生成部12は、図8に示される情報のうち「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を、IPFIXデータにおいて図9に示される各フィールドの値から生成する。特徴量生成部12は、「IPFIXレコード数」については、IPFIXデータから単位時間のIPFIXレコード数を計数する。
The feature
(操作時通信の特徴量)
デバイスdevが操作時通信により行うサービスが図10に示される。各サービス「HTTP」、「HTTPS」、「SMB」には、各特徴量番号(特徴量No.)が付与されている。これらのサービスでは、ユーザがデバイスdevを操作したことによりデバイスdevが生成する通信データは、デバイスdev上で動作するアプリケーションにより大きく異なる。このため、特徴量生成部12は、操作時通信の特徴量として、図10に示される各サービス「HTTP」、「HTTPS」、「SMB」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。
(Features of communication during operation)
FIG. 10 shows a service that the device dev performs through communication during operation. Each service "HTTP", "HTTPS", and "SMB" is assigned a feature number (feature number). In these services, the communication data generated by the device dev when the user operates the device dev varies greatly depending on the application running on the device dev. For this reason, the
なお、操作時通信では、「Well-knownポート」以外のポートへの通信も多く、送信先のポート番号は各デバイス種で特定の範囲が使用されていることが多い。このため、「Well-knownポート」以外についてもポート番号を特定の範囲で区切って特徴量にすることが好ましい。 Note that during operation communication, there are many communications to ports other than "well-known ports", and a specific range of destination port numbers is often used for each device type. For this reason, it is preferable to divide port numbers into specific ranges and use them as feature quantities even for ports other than "well-known ports."
また、操作時通信では、デバイス種によって使用されるプロトコルにも違いがある。例えば、ロボット掃除機等の家電機器に指示を送る場合にはTCP(Transmission Control Protocol)が使用されるが、Webカメラで撮像された映像を閲覧する場合にはUDPが使用される。このため、特徴量生成部12は、操作時通信の特徴量として、さらに図11に示される各プロトコル「ICMP」、「IGMP」、「TCP」、「UDP」について、単位時間における図8に示される情報「IPFIXレコード数」、「送信パケットサイズ」、「受信パケットサイズ」、「送信パケット数」、「受信パケット数」、「セッション継続時間」を特徴量データにする。特徴量生成部12は、図8に示されるように各情報のバリエーションとして、「合計値」、「最小値」、「最大値」、「平均値」、「中央値」等を特徴量データに含める。図11に示されるように、各プロトコル「ICMP」、「IGMP」、「TCP」、「UDP」には、各特徴量番号(特徴量No.)が付与されている。プロトコルの判別は、IPFIXデータの「protocolIdentifier」フィールドの値によって行われる。
Furthermore, in operation communication, there are differences in the protocols used depending on the device type. For example, TCP (Transmission Control Protocol) is used when sending instructions to home appliances such as a robot vacuum cleaner, but UDP is used when viewing images captured by a web camera. For this reason, the feature
以上が本実施形態に係るパケット通信の特徴量の説明である。 The above is the description of the feature amount of packet communication according to this embodiment.
説明を図1に戻す。
モデル学習部13は、特徴量生成部12が生成した特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、デバイス種識別モデルを生成する。デバイス種識別モデルは、識別対象のデバイス(識別対象デバイス)devの特徴量データからデバイス種を識別するためのモデルである。デバイス種識別モデルは、識別対象デバイスdevの特徴量データが入力されると、デバイス種の識別結果と当該識別結果の確信度とを出力する。
The explanation returns to FIG. 1.
The
なお、モデル学習部13は、定常通信と操作時通信とに分けてデバイス種識別モデルを生成してもよい。モデル学習部13は、定常通信の特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、定常通信のデバイス種識別モデルを生成してもよい。また、モデル学習部13は、操作時通信の特徴量データを学習データに使用して、例えばニューラルネットワーク等の機械学習モデルに対して機械学習を行うことにより、操作時通信のデバイス種識別モデルを生成してもよい。
Note that the
デバイス識別部14は、モデル学習部13が生成したデバイス種識別モデルを使用して、識別対象デバイスdevの特徴量データからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの特徴量データをデバイス種識別モデルに入力した結果としてデバイス種識別モデルから出力されたデバイス種の識別結果及び当該識別結果の確信度を得る。
The
デバイス識別部14は、デバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。デバイス識別部14は、デバイス種の識別結果の確信度が所定値以上である場合に、当該デバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定する。
The
一方、デバイス識別部14は、デバイス種の識別結果の確信度が所定値未満である場合に、当該デバイス種の識別結果を採用せず、識別対象デバイスdevのデバイス種が不明であると判定する。この場合、デバイス識別部14は、当該識別対象デバイスdevのデバイス種が現在のデバイス種識別モデルにまだ反映されていない新規のデバイス種であると判定し、デバイス種識別モデルの再学習をモデル学習部13へ指示してもよい。このデバイス種識別モデルの再学習の指示において、デバイス識別部14は、当該識別対象デバイスdevの情報(例えばMACアドレス等)をモデル学習部13へ通知してもよい。
On the other hand, when the confidence level of the device type identification result is less than a predetermined value, the
なお、モデル学習部13が定常通信と操作時通信とに分けてデバイス種識別モデルを生成する場合、デバイス識別部14は、定常通信のデバイス種識別モデルと操作時通信のデバイス種識別モデルとを使用して、識別対象デバイスdevの定常通信の特徴量データと操作時通信の特徴量データとからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの定常通信の特徴量データを定常通信のデバイス種識別モデルに入力した結果として当該デバイス種識別モデルから出力された定常通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。また、デバイス識別部14は、識別対象デバイスdevの操作時通信の特徴量データを操作時通信のデバイス種識別モデルに入力した結果として当該デバイス種識別モデルから出力された操作時通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。デバイス識別部14は、定常通信におけるデバイス種の識別結果及び当該識別結果の確信度と、操作時通信におけるデバイス種の識別結果及び当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。この判定では、確信度が所定値以上であるデバイス種の識別結果に基づいて、識別対象デバイスdevのデバイス種が判定される。例えば、確信度が所定値以上であり且つ最高であるデバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定される。
Note that when the
次に図12を参照して本実施形態に係るデバイス識別装置10の動作を説明する。図12は、本実施形態に係るデバイス識別方法の手順の例を示すフローチャートである。ここでは、事前に、モデル学習部13によって当初のデバイス種識別モデルが生成済みである。
Next, the operation of the
(ステップS1) IPFIXデータ収集部11は、各ホーム30から各デバイスdevのIPFIXデータを収集する。以下、説明を簡単にするために、一つのデバイスdev(識別対象デバイスdev)を対象にして説明する。
(Step S1) The IPFIX
(ステップS2) 特徴量生成部12は、識別対象デバイスdevのIPFIXデータを使用して、パケット通信の特徴量を示す特徴量データを生成する。
(Step S2) The feature
(ステップS3) デバイス識別部14は、モデル学習部13が生成したデバイス種識別モデルを使用して、識別対象デバイスdevの特徴量データからデバイス種を識別する。デバイス識別部14は、識別対象デバイスdevの特徴量データをデバイス種識別モデルに入力した結果としてデバイス種識別モデルから出力されたデバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。
(Step S3) The
(ステップS4) ステップS3の判定の結果、デバイス種の識別結果の確信度が所定値以上である場合に(ステップS4、YES)、当該デバイス種の識別結果が識別対象デバイスdevのデバイス種であると判定する。この後、図12の処理を終了する。 (Step S4) As a result of the determination in step S3, if the certainty of the device type identification result is equal to or higher than the predetermined value (step S4, YES), the device type identification result is the device type of the device dev to be identified. It is determined that After this, the process of FIG. 12 ends.
一方、ステップS3の判定の結果、デバイス種の識別結果の確信度が所定値未満である場合には(ステップS4、NO)、識別対象デバイスdevのデバイス種が不明であると判定する。この後、ステップS5に進む。 On the other hand, as a result of the determination in step S3, if the reliability of the device type identification result is less than the predetermined value (step S4, NO), it is determined that the device type of the device dev to be identified is unknown. After this, the process advances to step S5.
(ステップS5) モデル学習部13は、デバイス種識別モデルの再学習を行う。このデバイス種識別モデルの再学習において、モデル学習部13は、デバイス種の識別結果の確信度が所定値未満である識別対象デバイスdevの情報として例えばMACアドレスに基づいて、当該MACアドレスで集約されたIPFIXデータから生成された特徴量データを使用してデバイス種識別モデルの再学習を行ってもよい。
(Step S5) The
[実施例1]
図13は、本実施形態に係るデバイス識別装置10の実施例1を示す説明図である。図13において、IPFIXデータ収集部11が収集したIPFIXデータの各IPFIXレコード(IPFIXレコード群)は、単位時間ごとに、特徴量生成部12へ出力される。
[Example 1]
FIG. 13 is an explanatory diagram showing Example 1 of the
特徴量生成部12は、単位時間ごとのIPFIXレコード群から、パケット通信の特徴量を示す特徴量データを生成する。図14に、特徴量データの例が示される。図14に示されるように、特徴量データは、特徴量番号(特徴量No.)ごとに生成される。図14において、特徴量No.St-xxの特徴量データは、図7に示される定常通信に係る各サービスについての特徴量データである。また、特徴量No.Op-xxの特徴量データは、図10に示される操作時通信に係る各サービスについての特徴量データである。また、特徴量No.Pr-xxの特徴量データは、図11に示される操作時通信に係る各プロトコルについての特徴量データである。
The feature
デバイス識別部14は、特徴量生成部12が生成した特徴量データをデバイス種識別モデル(識別器)に入力した結果としてデバイス種識別モデル(識別器)から出力されたデバイス種の識別結果及び当該識別結果の確信度を得る。デバイス識別部14は、デバイス種の識別結果と当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。
The
なお、モデル学習部13が定常通信と操作時通信とに分けてデバイス種識別モデルを生成する場合、図15に示されるように、デバイス識別部14は、定常通信のデバイス種識別モデル(定常通信の識別器)141と操作時通信のデバイス種識別モデル(操作時通信の識別器)142とを使用して、識別対象デバイスdevの定常通信の特徴量データ(図14の特徴量No.St-xxの特徴量データ)と操作時通信の特徴量データ(特徴量No.Op-xxの特徴量データと特徴量No.Pr-xxの特徴量データ)とからデバイス種を識別する。
In addition, when the
デバイス識別部14は、識別対象デバイスdevの定常通信の特徴量データ(図14の特徴量No.St-xxの特徴量データ)を定常通信の識別器141に入力した結果として当該識別器141から出力された定常通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。また、デバイス識別部14は、識別対象デバイスdevの操作時通信の特徴量データ(特徴量No.Op-xxの特徴量データと特徴量No.Pr-xxの特徴量データ)を操作時通信の識別器142に入力した結果として当該識別器142から出力された操作時通信におけるデバイス種の識別結果と当該識別結果の確信度とを得る。デバイス識別部14は、定常通信におけるデバイス種の識別結果及び当該識別結果の確信度と、操作時通信におけるデバイス種の識別結果及び当該識別結果の確信度とに基づいて、識別対象デバイスdevのデバイス種を判定する。
The
[実施例2]
図16は、本実施形態に係るデバイス識別装置10の実施例2を示す説明図である。図16に示す実施例2では、デバイス識別部14は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う。具体的には、デバイス識別部14は、識別器から出力された過去のデバイス種の識別結果の確信度を、次の単位時間の同じ識別対象デバイスdevの特徴量データに加えて識別器へ入力する。図14に示す特徴量データにおいては、同じ識別対象デバイスdevについて、過去のデバイス種の識別結果の確信度のレコード(確信度の特徴量Noのレコード)が、次の単位時間の特徴量データに追加される。過去のデバイス種の識別結果の確信度を次の単位時間のデバイス種の識別に利用する点以外は、上述した実施例1と同じである。
[Example 2]
FIG. 16 is an explanatory diagram showing Example 2 of the
実施例2によれば、デバイス種の識別結果の確信度を再帰的に特徴量に加えることにより、パケット通信の時系列に対してロバスト性を持つデバイス種の識別を行うことができる。 According to the second embodiment, by recursively adding the reliability of the device type identification result to the feature amount, it is possible to perform device type identification that is robust to the time series of packet communications.
上述した実施形態によれば、IPFIXデータを使用することにより、デバイス種の識別に使用するパケット通信の流れを示すデータのデータ量を削減することができる。また、IPFIXデータを使用することにより、各パケット通信の特徴量を的確に得ることができるので、当該特徴量に基づいて、各パケット通信を行うデバイスのデバイス種の識別の精度向上を図ることができる。このように本実施形態によれば、IPFIXデータを使用してパケット通信の特徴量を生成することにより、通信ネットワークに接続されたIoTデバイス等のデバイスのデバイス種の識別を効率的に且つ精度よく行うことができるという効果が得られる。 According to the embodiment described above, by using IPFIX data, it is possible to reduce the amount of data indicating the flow of packet communication used to identify the device type. In addition, by using IPFIX data, it is possible to accurately obtain the feature values of each packet communication, so based on the feature values, it is possible to improve the accuracy of identifying the device type of the device that performs each packet communication. can. As described above, according to the present embodiment, by generating the feature amount of packet communication using IPFIX data, the device type of a device such as an IoT device connected to a communication network can be efficiently and accurately identified. The effect is that it can be done.
また、IPFIXデータはパケットのペイロードを含まないので、デバイスdevのユーザのプライバシーを保護することができる。 Also, since the IPFIX data does not include the payload of the packet, the privacy of the user of the device dev can be protected.
また、IPFIXデータはデバイスdevの通信データから変換されるので、本実施形態は多種多様の多くのデバイスdevに適用可能である。 Furthermore, since the IPFIX data is converted from the communication data of the device dev, this embodiment is applicable to a wide variety of many devices dev.
また、上述した実施形態によれば、定常通信と操作時通信の各特徴に着目し、定常通信と操作時通信のそれぞれの通信の挙動のデバイス種ごとの違いが反映されるように、定常通信と操作時通信とに分けて特徴量データを生成することにより、デバイス種の識別精度をさらに向上させる効果が得られる。 Further, according to the embodiment described above, by focusing on the characteristics of steady communication and communication during operation, steady communication is By generating feature data separately for communication during operation and communication during operation, it is possible to further improve the accuracy of identifying the device type.
また、デバイス種の識別結果の確信度を再帰的に特徴量に加えることにより、パケット通信の時系列に対してロバスト性を持つデバイス種の識別を行うことができる。 Furthermore, by recursively adding the confidence level of the device type identification result to the feature quantity, it is possible to perform device type identification that is robust to the time series of packet communications.
なお、上述した実施形態では、デバイス通信拠点としてホームを例に挙げたが、これに限定されない。デバイス通信拠点は、例えば会社のオフィスやイベント会場や店舗などであってもよい。 Note that in the above-described embodiment, a home is taken as an example of a device communication base, but the present invention is not limited to this. The device communication base may be, for example, a company office, an event venue, or a store.
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。 Although the embodiment of the present invention has been described above in detail with reference to the drawings, the specific configuration is not limited to this embodiment, and design changes and the like may be made without departing from the gist of the present invention.
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
Further, a computer program for realizing the functions of each device described above may be recorded on a computer-readable recording medium, and the program recorded on the recording medium may be read into a computer system and executed. Note that the "computer system" here may include hardware such as an OS and peripheral devices.
Furthermore, "computer-readable recording media" refers to flexible disks, magneto-optical disks, ROMs, writable non-volatile memories such as flash memory, portable media such as DVDs (Digital Versatile Discs), and media built into computer systems. A storage device such as a hard disk.
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
Furthermore, "computer-readable recording medium" refers to volatile memory (for example, DRAM (Dynamic It also includes those that retain programs for a certain period of time, such as Random Access Memory).
Further, the program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in a transmission medium. Here, the "transmission medium" that transmits the program refers to a medium that has a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
Moreover, the above-mentioned program may be for realizing a part of the above-mentioned functions. Furthermore, it may be a so-called difference file (difference program) that can realize the above-described functions in combination with a program already recorded in the computer system.
1…通信システム、10…デバイス識別装置、11…IPFIXデータ収集部、12…特徴量生成部、13…モデル学習部、14…デバイス識別部、30…ホーム、31…ゲートウェイ、32…IPFIX変換部、dev…デバイス、NW…通信ネットワーク
DESCRIPTION OF
Claims (5)
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成部と、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別部と、
を備え、
前記特徴量生成部は、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、
前記デバイス識別部は、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、
デバイス識別装置。 an IPFIX data collection unit that collects IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation unit that generates a feature amount of packet communication from the IPFIX data;
a device identification unit that identifies a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
Equipped with
The feature amount generation unit generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication ,
The device identification unit uses a device type identification model for first communication and a device type identification model for second communication .
Device identification device.
請求項1に記載のデバイス識別装置。 the device is an IoT device;
The device identification device according to claim 1 .
前記デバイス識別部は、さらに過去の識別結果の確信度に基づいてデバイス種の識別を行う、
請求項1に記載のデバイス識別装置。 The device type identification model outputs a device type identification result and a confidence level of the identification result,
The device identification unit further identifies the device type based on the reliability of past identification results.
The device identification device according to claim 1.
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、
を含み、
前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、
前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、
デバイス識別方法。 an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation step of generating a feature amount of packet communication from the IPFIX data;
a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
including;
The feature amount generating step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication,
The device identification step uses a device type identification model for the first communication and a device type identification model for the second communication.
Device identification method.
デバイスの通信データから生成されたIPFIX(IP Flow Information Export)データを収集するIPFIXデータ収集ステップと、
前記IPFIXデータからパケット通信の特徴量を生成する特徴量生成ステップと、
前記特徴量に基づいた機械学習により生成されたデバイス種識別モデルを使用して、識別対象デバイスの前記特徴量からデバイス種を識別するデバイス識別ステップと、
を実行させるためのコンピュータプログラムであって、
前記特徴量生成ステップは、デバイスが自動的に行う第1の通信と、デバイスがユーザの操作に応じて行う第2の通信とに分けて前記特徴量を生成し、
前記デバイス種識別モデルは、第1の通信と第2の通信とに分けて生成され、
前記デバイス識別ステップは、第1の通信のデバイス種識別モデルと、第2の通信のデバイス種識別モデルとを使用する、
コンピュータプログラム。 to the computer,
an IPFIX data collection step of collecting IPFIX (IP Flow Information Export) data generated from device communication data;
a feature amount generation step of generating a feature amount of packet communication from the IPFIX data;
a device identification step of identifying a device type from the feature amount of the device to be identified using a device type identification model generated by machine learning based on the feature amount;
A computer program for executing
The feature amount generating step generates the feature amounts separately for a first communication that the device automatically performs and a second communication that the device performs in response to a user's operation,
The device type identification model is generated separately for first communication and second communication,
The device identification step uses a device type identification model for the first communication and a device type identification model for the second communication.
computer program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020164760A JP7387570B2 (en) | 2020-09-30 | 2020-09-30 | Device identification device, device identification method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020164760A JP7387570B2 (en) | 2020-09-30 | 2020-09-30 | Device identification device, device identification method, and computer program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022056811A JP2022056811A (en) | 2022-04-11 |
JP7387570B2 true JP7387570B2 (en) | 2023-11-28 |
Family
ID=81111063
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020164760A Active JP7387570B2 (en) | 2020-09-30 | 2020-09-30 | Device identification device, device identification method, and computer program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7387570B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015097330A (en) | 2013-11-15 | 2015-05-21 | Kddi株式会社 | Service estimation device and method |
US20200127892A1 (en) | 2018-10-19 | 2020-04-23 | Cisco Technology, Inc. | Cascade-based classification of network devices using multi-scale bags of network words |
JP2020136779A (en) | 2019-02-14 | 2020-08-31 | 沖電気工業株式会社 | Identification processing device, identification processing program and identification processing method |
JP2020140346A (en) | 2019-02-27 | 2020-09-03 | 富士ゼロックス株式会社 | Image processing apparatus and program |
-
2020
- 2020-09-30 JP JP2020164760A patent/JP7387570B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2015097330A (en) | 2013-11-15 | 2015-05-21 | Kddi株式会社 | Service estimation device and method |
US20200127892A1 (en) | 2018-10-19 | 2020-04-23 | Cisco Technology, Inc. | Cascade-based classification of network devices using multi-scale bags of network words |
JP2020136779A (en) | 2019-02-14 | 2020-08-31 | 沖電気工業株式会社 | Identification processing device, identification processing program and identification processing method |
JP2020140346A (en) | 2019-02-27 | 2020-09-03 | 富士ゼロックス株式会社 | Image processing apparatus and program |
Also Published As
Publication number | Publication date |
---|---|
JP2022056811A (en) | 2022-04-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7599288B2 (en) | Processing of usage data for first and second types of usage-based functions | |
US8369229B2 (en) | Methods for monitoring delivery performance of a packet flow between reference nodes | |
EP1746768A2 (en) | Method and apparatus for data network sampling | |
US20060285495A1 (en) | Method and apparatus for aggregating network traffic flows | |
US9124528B2 (en) | Method and arrangement for data clustering | |
CN109479030B (en) | System and apparatus for transmitting session state protocol | |
US20060155866A1 (en) | Method of data gathering of user network | |
US7979586B2 (en) | Information processing system, information processor, server, information processing method and program | |
CN111314286B (en) | Configuration method and device of security access control policy | |
US20210083941A1 (en) | System and method for use of dynamic templates with a network traffic flow information protocol | |
US9049140B2 (en) | Backbone network with policy driven routing | |
JP7387570B2 (en) | Device identification device, device identification method, and computer program | |
US20050283639A1 (en) | Path analysis tool and method in a data transmission network including several internet autonomous systems | |
Zhou et al. | Identifying QoS violations through statistical end‐to‐end analysis | |
US20080123646A1 (en) | Information Processing Device, Information Processing System, Information Processing Method, and Program | |
US7590113B1 (en) | Method and apparatus for generating a reconnaissance index | |
CN111614791A (en) | Access device for entity link analysis and method thereof | |
US8045523B2 (en) | Method and apparatus for performing media independent handover | |
CN108370390A (en) | Address is collected in a sub-network | |
JP5292335B2 (en) | Connection destination node selection method, apparatus and program | |
FR3095729A1 (en) | Methods and devices for measuring reputation in a communication network | |
JP7321130B2 (en) | WHITELIST GENERATION DEVICE, WHITELIST GENERATION METHOD, AND COMPUTER PROGRAM | |
US10038633B2 (en) | Protocol to query for historical network information in a content centric network | |
CN113935430B (en) | Method and system for diversified identification of private encrypted data | |
JP7384751B2 (en) | Learning data generation device, model learning device, learning data generation method, and computer program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220725 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230531 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230606 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230803 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231017 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231115 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7387570 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |