JP7509311B2 - トラフィックセンサ、分析方法、および、分析プログラム - Google Patents
トラフィックセンサ、分析方法、および、分析プログラム Download PDFInfo
- Publication number
- JP7509311B2 JP7509311B2 JP2023506699A JP2023506699A JP7509311B2 JP 7509311 B2 JP7509311 B2 JP 7509311B2 JP 2023506699 A JP2023506699 A JP 2023506699A JP 2023506699 A JP2023506699 A JP 2023506699A JP 7509311 B2 JP7509311 B2 JP 7509311B2
- Authority
- JP
- Japan
- Prior art keywords
- model
- normal communication
- iot device
- communication
- iot
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims description 25
- PWPJGUXAGUPAHP-UHFFFAOYSA-N lufenuron Chemical compound C1=C(Cl)C(OC(F)(F)C(C(F)(F)F)F)=CC(Cl)=C1NC(=O)NC(=O)C1=C(F)C=CC=C1F PWPJGUXAGUPAHP-UHFFFAOYSA-N 0.000 title 1
- 238000004891 communication Methods 0.000 claims description 245
- 230000002547 anomalous effect Effects 0.000 claims description 58
- 238000001514 detection method Methods 0.000 claims description 28
- 238000000605 extraction Methods 0.000 claims description 21
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 239000000284 extract Substances 0.000 claims description 10
- 238000004364 calculation method Methods 0.000 claims description 9
- 238000000034 method Methods 0.000 description 17
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 208000015181 infectious disease Diseases 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 3
- 238000000513 principal component analysis Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012946 outsourcing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Description
本発明は、トラフィックセンサ、分析方法、および、分析プログラムに関する。
IoT(Internet of Things)デバイスは、特定の通信パターンでのみ通信する場合が多いことが知られている。そこで、IoTデバイスの通信の監視を行うトラフィックセンサ(以下、適宜、センサと略す)は、監視対象のIoTデバイスの通信データを分析し、送信パケット数や宛先IPアドレス数等の特徴量を統計化して、当該IoTデバイスの正常通信モデルを学習する。そして、センサは、学習した正常通信モデルを用いて、IoTデバイスのマルウェア感染等によって発生する異常な振る舞いを検知すると、通信の遮断等を行う。
なお、センサが、上記のIoTデバイスの正常通信モデルを学習する際、当該IoTデバイスの通信振る舞いが安定したと判断できた時点で正常通信モデルの学習を完了する。そして、センサは、学習した正常通信モデルを通信の異常検知に利用する(特許文献1参照)。
しかし、従来技術には以下の課題がある。
(1)マルウェアの感染等により複数のIoTデバイスで発生した類似する異常通信が分からない
従来技術では、センサが対象のIoTデバイス単位で正常通信モデルを学習し、学習した正常通信モデルを当該IoTデバイスの通信の異常検知に利用する。この技術によれば、単一のIoTデバイスの通信の異常を検知できるが、例えば、ネットワーク(NW)内のマルウェア感染の拡大により複数のIoTデバイスで発生する異常通信の類似度や相関性は分からない。これにより、NW全体で発生している重大なインシデントの認知が遅れる可能性があるという問題がある。このような問題の解決においては、下記の課題がある。
従来技術では、センサが対象のIoTデバイス単位で正常通信モデルを学習し、学習した正常通信モデルを当該IoTデバイスの通信の異常検知に利用する。この技術によれば、単一のIoTデバイスの通信の異常を検知できるが、例えば、ネットワーク(NW)内のマルウェア感染の拡大により複数のIoTデバイスで発生する異常通信の類似度や相関性は分からない。これにより、NW全体で発生している重大なインシデントの認知が遅れる可能性があるという問題がある。このような問題の解決においては、下記の課題がある。
(2)不安定な機種のIoTデバイスの過検知が多く重要なアラートが分からない
従来技術における各IoTデバイスの正常通信モデルの学習において、正常時の通信の傾向はIoTデバイスによって異なる。そのため、センサにより生成される正常通信モデルの性質も、IoTデバイスごとに異なる。ここで、正常時の通信パターンが少ない機種のIoTデバイスに関しては、センサは適切な正常通信モデルおよび閾値を学習しやすい。その結果、センサは、当該機種のIoTデバイスのマルウェア感染等による異常通信を顕著に検知できる。
従来技術における各IoTデバイスの正常通信モデルの学習において、正常時の通信の傾向はIoTデバイスによって異なる。そのため、センサにより生成される正常通信モデルの性質も、IoTデバイスごとに異なる。ここで、正常時の通信パターンが少ない機種のIoTデバイスに関しては、センサは適切な正常通信モデルおよび閾値を学習しやすい。その結果、センサは、当該機種のIoTデバイスのマルウェア感染等による異常通信を顕著に検知できる。
一方、正常時の通信パターンが多い機種のIoTデバイスに関しては、センサは正常通信モデルの学習期間中に全ての正常通信パターンを観測するのが難しい。このため、センサは、正常通信モデルの生成後、未知の正常通信を観測する可能性が高い。その結果、センサは、当該機種のIoTデバイスの異常通信を過検知してしまう可能性が高い。
上記の問題の対策として、正常時の通信パターンが多い機種のIoTデバイスについては正常通信モデルの学習時間を長く確保する等の改善方法が考えられる。しかし、センサが、正常通信モデルの学習時間を長く確保すると、IoTデバイスの不正な通信の振る舞いも学習してしまうリスクが高くなったり、学習処理に伴うマシン負荷が増大したりする等の課題が残る。
上記の課題により、NW内の複数のIoTデバイスで発生している異常通信の類似度や相関性を分析するのは困難であった。そのため、NW内の複数のIoTデバイスに共通する異常通信を検知することが困難であった。
そこで、本発明は、前記した問題を解決し、複数のIoTデバイスに共通する異常通信の検知を容易にすることを課題とする。
前記した課題を解決するため、本発明は、監視対象のIoT(Internet of Things)デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する計算部と、前記広がり度合いが所定値未満の正常通信モデルを第1の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第2の機種のIoTデバイスの正常通信モデルとして分類する分類部と、前記第1の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する検知部と、前記第1の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する特徴量抽出部と、前記抽出した特徴量を用いて、前記第2の機種のIoTデバイスの正常通信モデルを再構築するモデル再構築部と、前記正常通信モデルを用いて検知された前記第1の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第2の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する分析部とを備えることを特徴とする。
本発明によれば、複数のIoTデバイスに共通する異常通信の検知を容易にすることができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、以下に説明する実施形態に限定されない。
[概要]
まず、図1を用いて、本実施形態のトラフィックセンサ(センサ)の概要を説明する。センサ10は、各IoTデバイスから外部(例えば、図1に示すインターネット)への通信を中継する。ここで、センサ10は、IoTデバイスの通信における宛先ドメイン等の特徴量を基に、当該IoTデバイスの正常通信モデルを学習する。例えば、センサ10は、IoT_A、IoT_B、IoT_Cそれぞれの通信の特徴量を基に、IoT_A、IoT_B、IoT_Cの正常通信モデルを学習する。
まず、図1を用いて、本実施形態のトラフィックセンサ(センサ)の概要を説明する。センサ10は、各IoTデバイスから外部(例えば、図1に示すインターネット)への通信を中継する。ここで、センサ10は、IoTデバイスの通信における宛先ドメイン等の特徴量を基に、当該IoTデバイスの正常通信モデルを学習する。例えば、センサ10は、IoT_A、IoT_B、IoT_Cそれぞれの通信の特徴量を基に、IoT_A、IoT_B、IoT_Cの正常通信モデルを学習する。
センサ10は、IoTデバイスごとの正常通信モデルを基に、各IoTデバイスの通信を監視し、例えば、マルウェア感染等によって発生する悪性サイトへの通信や大量パケットの送信等の異常通信を検知/遮断する。
[正常通信モデル]
ここで、図2を参照しながら、センサ10により学習されるIoTデバイスの正常通信モデルを説明する。センサ10は、例えば、主成分分析等を用いてIoTデバイスの通信に含まれる各特徴量の確率分布の推定を行うことにより、当該IoTデバイスの正常通信モデルを学習する。そして、センサ10は、正常通信モデルに閾値を設定し、閾値を超えた特徴量に基づく通信を異常通信として検知する。
ここで、図2を参照しながら、センサ10により学習されるIoTデバイスの正常通信モデルを説明する。センサ10は、例えば、主成分分析等を用いてIoTデバイスの通信に含まれる各特徴量の確率分布の推定を行うことにより、当該IoTデバイスの正常通信モデルを学習する。そして、センサ10は、正常通信モデルに閾値を設定し、閾値を超えた特徴量に基づく通信を異常通信として検知する。
例えば、まず、センサ10は、IoTデバイスの通信の特徴量ごとに単位時間あたりの統計量をカウントする。例えば、センサ10は、IoT_Aの単位時間あたりの送信パケット数および送信バイト数をカウントする(1.統計量のカウント)。
そして、センサ10は、上記の各特徴量を軸とする空間に、1.でカウントした値をプロットし、分散が大きい方向の軸(主成分分析により得られた第一主成分および第二主成分)で正常通信の範囲を決定する。例えば、センサ10は、図2の破線で囲った範囲をIoT_Aの正常通信の範囲として決定する。そして、センサ10は、この正常通信の範囲から逸脱した値を異常通信として検知する(2.正常通信モデルの生成(主成分分析))。
[有効特徴量の抽出]
IoTデバイスには、正常時の通信パターンが少ない機種(安定機種)と、正常時の通信パターンが多い機種(不安定機種)とがある。ここでは、例えば、図3に示すIoT_A、IoT_Bのうち、IoT_Aが安定機種であり、IoT_Bが不安定機種である場合を考える。この場合、IoT_Aの正常通信モデルにおける正常通信の範囲(特徴量の広がり)に比べて、IoT_Bの正常通信モデルにおける正常通信の範囲(特徴量の広がり)の方が大きい(符号101,102参照)。
IoTデバイスには、正常時の通信パターンが少ない機種(安定機種)と、正常時の通信パターンが多い機種(不安定機種)とがある。ここでは、例えば、図3に示すIoT_A、IoT_Bのうち、IoT_Aが安定機種であり、IoT_Bが不安定機種である場合を考える。この場合、IoT_Aの正常通信モデルにおける正常通信の範囲(特徴量の広がり)に比べて、IoT_Bの正常通信モデルにおける正常通信の範囲(特徴量の広がり)の方が大きい(符号101,102参照)。
したがって、センサ10が、IoT_Bの正常通信モデルを用いて、異常通信の検知を行うと、様々な特徴量方向で過検知が発生しやすい。その結果、センサ10は、NW内のマルウェアの感染拡大によって、複数のIoTデバイスで発生する共通の異常通信を見つけにくい。
そこで、センサ10は、例えば、IoT_Aの正常通信モデルに用いられる特徴量1,2,3のうち、異常通信の検知に対して寄与度が高い特徴量1,2を、有効特徴量として抽出する(符号103参照)。
そして、センサ10は、抽出した有効特徴量(特徴量1,2)を用いて、IoT_Bの正常通信モデルを再構築する(符号104参照)。これにより、センサ10は、IoT_Bの正常通信モデルにおける正常通信の範囲について、不要な特徴量方向への広がりを抑えることができる。その結果、センサ10は、複数のIoTデバイスで発生する共通の異常通信(例えば、符号103,104における〇印の通信)を見つけやすくなる。
[センサの構成例]
次に、図4を用いて、センサ10の構成例を説明する。センサ10は、通信部11と、記憶部12と、制御部13とを備える。通信部11は、ネットワーク経由で外部装置(例えば、IoTデバイス)の通信を行う際のインタフェースである。
次に、図4を用いて、センサ10の構成例を説明する。センサ10は、通信部11と、記憶部12と、制御部13とを備える。通信部11は、ネットワーク経由で外部装置(例えば、IoTデバイス)の通信を行う際のインタフェースである。
記憶部12は、制御部13が各種処理を実行する際に参照するデータや、制御部13により生成されたデータを記憶する。例えば、記憶部12は、制御部13により生成されたIoTデバイスごとの正常通信モデルを記憶する。
制御部13は、学習部131と、計算部132と、分類部133と、検知部134と、特徴量抽出部135と、モデル再構築部136と、分析部137と、分析結果出力部138とを備える。
学習部131は、通信部11経由で取得した監視対象のIoTデバイスの通信データの特徴量に基づき、当該IoTデバイスの正常通信モデルの学習(構築)を行う。なお、特徴量は、例えば、時間あたりの送信パケット数、通信先のIPアドレス、ポート番号、パケットのバイト数等である。学習された正常通信モデルは記憶部12に格納される。
計算部132は、正常通信モデルにおける正常通信の範囲の広がり度合いを計算する。例えば、計算部132は、正常通信モデルにおける正常通信の範囲の広がり度合いを、当該正常通信モデルに用いられる各特徴量方向の分散の積により計算する。
分類部133は、計算部132により計算された、正常通信モデルにおける正常通信の範囲の広がり度合い(例えば、各特徴量方向の分散の積)が所定値未満の正常通信モデルを安定機種のIoTデバイスの正常通信モデルとして分類し、正常通信の範囲の広がり度合いが所定値以上のIoTデバイスの正常通信モデルを不安定機種のIoTデバイスの正常通信モデルとして分類する。
検知部134は、IoTデバイスごとの正常通信モデルを用いて、当該IoTデバイスにおける異常通信を検知する。
特徴量抽出部135は、安定機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する。例えば、特徴量抽出部135は、検知部134から、安定機種のIoTデバイスの異常通信の検知結果を受け取ると、当該IoTデバイスの正常通信モデルに用いられる特徴量のうち、異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する。
モデル再構築部136は、特徴量抽出部135により抽出された有効特徴量を用いて、不安定機種のIoTデバイスの正常通信モデルを再構築する。なお、モデル再構築部136により、不安定機種のIoTデバイスの正常通信モデルが再構築されると、検知部134は、再構築された不安定機種のIoTデバイスの正常通信モデルを用いて、不安定機種のIoTデバイスにおける異常通信の検知を行う。
分析部137は、正常通信モデルを用いて安定機種のIoTデバイスで検知された異常通信と、再構築された正常通信モデルを用いて不安定機種のIoTデバイスで検知された異常通信とを用いて、IoTデバイスそれぞれに共通する異常通信の傾向を分析する。例えば、分析部137は、各IoTデバイスで検知された異常通信のうち、類似度が所定値以上の異常通信を抽出する。
分析結果出力部138は、分析部137による分析結果を出力する。例えば、分析結果出力部138は、分析部137により抽出された、各IoTデバイスで検知された異常通信のうち、類似度が所定値以上の異常通信の内容を重要アラートとして出力する。
このようなセンサ10によれば、複数のIoTデバイスに共通する異常通信を容易に検知することができる。
[処理手順の例]
次に、図5を用いてセンサ10の処理手順の例を説明する。ここでは、センサ10が、新たなIoTデバイスの通信を観測した場合を例に説明する。センサ10が行う処理は、学習フェーズと、監視フェーズとに分けられる。まず、学習フェーズから説明する。
次に、図5を用いてセンサ10の処理手順の例を説明する。ここでは、センサ10が、新たなIoTデバイスの通信を観測した場合を例に説明する。センサ10が行う処理は、学習フェーズと、監視フェーズとに分けられる。まず、学習フェーズから説明する。
[学習フェーズ]
センサ10が新たなIoTデバイスの通信を観測すると、センサ10の学習部131は、当該IoTデバイスの正常通信モデルを学習する(S1)。その後、計算部132は、当該IoTデバイスの正常通信モデルの示す正常通信の範囲の広がり度合いを計算する(S2:IoTデバイスの正常通信モデルの広がり度合いを計算)。次に、分類部133は、S2で計算した正常通信モデルの広がり度合いに基づき、当該IoTデバイスの機種を安定機種/不安定機種に分類する(S3)。
センサ10が新たなIoTデバイスの通信を観測すると、センサ10の学習部131は、当該IoTデバイスの正常通信モデルを学習する(S1)。その後、計算部132は、当該IoTデバイスの正常通信モデルの示す正常通信の範囲の広がり度合いを計算する(S2:IoTデバイスの正常通信モデルの広がり度合いを計算)。次に、分類部133は、S2で計算した正常通信モデルの広がり度合いに基づき、当該IoTデバイスの機種を安定機種/不安定機種に分類する(S3)。
[監視フェーズ]
S3の後、検知部134は、各機種のIoTデバイスの異常通信の検知を行う(S4)。そして、特徴量抽出部135は、安定機種のIoTデバイスの異常通信の検知への寄与度が所定値以上の特徴量(有効特徴量)を抽出する(S5)。すなわち、特徴量抽出部135は、S4における検知結果のうち、安定機種のIoTデバイスの異常通信の検知結果を用いて、当該IoT_Aの正常通信モデルから、異常通信の検知への寄与度が所定値以上の特徴量を抽出する。
S3の後、検知部134は、各機種のIoTデバイスの異常通信の検知を行う(S4)。そして、特徴量抽出部135は、安定機種のIoTデバイスの異常通信の検知への寄与度が所定値以上の特徴量(有効特徴量)を抽出する(S5)。すなわち、特徴量抽出部135は、S4における検知結果のうち、安定機種のIoTデバイスの異常通信の検知結果を用いて、当該IoT_Aの正常通信モデルから、異常通信の検知への寄与度が所定値以上の特徴量を抽出する。
S5の後、モデル再構築部136は、S5で抽出された特徴量を用いて、不安定機種のIoTデバイスの正常通信モデルを再構築する(S6)。そして、検知部134は、再構築された正常通信モデルで再度IoTデバイスの異常通信の検知を行う(S7)。
S7の後、分析部137は、各IoTデバイスの異常通信の類似度を分析する(S8)。例えば、そして、分析結果出力部138は、S8における分析結果を出力する(S9)。
上記のセンサ10の処理手順の例を、図6および図7を用いて説明する。例えば、図6に示すように、センサ10が、新たなIoTデバイス(IoT_A、IoT_B、IoT_C)の通信を観測すると((1))、学習部131は、IoT_A、IoT_B、IoT_Cそれぞれの通信の特徴量に基づき、正常通信モデルを学習する((2))。
その後、計算部132は、IoT_A、IoT_B、IoT_Cそれぞれの正常通信モデルにおける正常通信の範囲の広がり度合いを、正常通信モデルの各特徴量方向の分散の積により計算する。そして、分類部133は、計算された各特徴量方向の分散の積に基づき、IoT_A、IoT_B、IoT_Cを安定機種/不安定機種に分類する((3))。例えば、分類部133は、分散の積の値が所定値より小さいIoT_AおよびIoT_Bを安定機種に分類し、分散の積の値が所定値より大きいIoT_Cを不安定機種に分類する。
図7の説明に移る。検知部134は、IoT_A、IoT_B、IoT_Cについて、それぞれの正常通信モデルを用いて異常通信を検知する((4)異常検知(1段階目))。そして、特徴量抽出部135は、安定機種である、IoT_A、IoT_Bの異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する((5))。例えば、特徴量抽出部135は、図7に示す特徴量1,2を有効特徴量として抽出する。
その後、モデル再構築部136は、有効特徴量を用いて、不安定機種であるIoT_Cの正常通信モデルを再構築する。そして、検知部134は、再構築された正常通信モデルで、再度、IoT_Cの異常通信の検知を行う((6)有効特徴量を使った異常検知(2段階目))。そして、分析部137は、IoT_A、IoT_B、IoT_Cの異常通信の類似度を分析する。例えば、分析部137は、IoT_A、IoT_B、IoT_Cで共通した傾向のある異常を見つける。そして、分析結果出力部138は、IoT_A、IoT_B、IoT_Cで共通した傾向のある異常を重要アラートとして出力する。
このようなセンサ10によれば、複数のIoTデバイスに共通する異常通信を検知することができる。
[実験結果]
図8を用いて、センサ10の実験結果を説明する。ここでは、NW内のポートスキャンによる攻撃を混入したデータを用いて、不安定機種のIoTデバイスの正常通信モデルの再構築により、異常通信の検知を正しく行えるようになったか否かを確認した。
図8を用いて、センサ10の実験結果を説明する。ここでは、NW内のポートスキャンによる攻撃を混入したデータを用いて、不安定機種のIoTデバイスの正常通信モデルの再構築により、異常通信の検知を正しく行えるようになったか否かを確認した。
なお、ポートスキャンによる攻撃データは、図8の破線で示す時間帯に混入した。また、センサ10は、安定機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、30%の特徴量を有効特徴量として抽出し、抽出した有効特徴量を用いて不安定機種のIoTデバイスの正常通信モデルの再構築を行い、異常通信の検知を行った。なお、図8に示符号801,802に示すグラフにおいて、横軸は時間を示し、縦軸は各時刻において正常通信モデルを用いて検知された通信の異常度を示す。
図8の符号801の示すグラフ(特徴量抽出なし)は、センサ10が、正常通信モデルの再構築を行わずに異常通信の検知を行った場合の実験結果を示す。また、符号802に示すグラフ(特徴量抽出あり)は、センサ10が、正常通信モデルの再構築を行った上で異常通信の検知を行った場合の実験結果を示す。なお、符号801に示すグラフにおいて、破線で示す時間帯以外で異常度が高い時間帯は、センサ10が異常通信の過検知を行った時間帯と考えることができる。
図8の符号801,802に示すように、不安定機種のIoTデバイスの正常通信モデルの再構築を行った方が、正常通信モデルの再構築を行わなかった場合に比べ、異常通信の過検知を約85%削減できることが確認できた。これにより、センサ10は、複数のIoTデバイスに共通する重要アラートを抽出しやすいことが確認できた。
さらに、図9を用いて、センサ10の実験結果を説明する。ここでは、NW内の安定機種のIoTデバイス2台、不安定機種のIoTデバイス13台に対して、異常データを4点混ぜたデータで実験を行った。実験時間は、図8で説明した実験と同様に200時間である。
図9に示すように、センサ10は、安定機種のIoTデバイス2台、不安定機種のIoTデバイス13台それぞれについて、正常通信モデルの再構築を行わなかった場合(=特徴量抽出なしの場合)と、正常通信モデルの再構築を行った場合(=特徴量抽出ありの場合)とで異常通信の検知を行った。なお、図9において、False Positiveは、異常通信の過検知を示し、True Positiveは、異常通信の正しい検知を示す。
図9に示すように、センサ10が、正常通信モデルの再構築を行った場合(=特徴量抽出ありの場合)、正常通信モデルの再構築を行わなかった場合(=特徴量抽出なしの場合)に比べ、異常通信の過検知を各IoTデバイスの平均で約80%削減できることが確認できた。
[システム構成等]
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
前記したセンサ10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置をセンサ10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
前記したセンサ10は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置をセンサ10として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等の端末等がその範疇に含まれる。
また、センサ10は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Webサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。
図10は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、上記のセンサ10が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、センサ10における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられるデータは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
10 センサ
11 通信部
12 記憶部
13 制御部
131 学習部
132 計算部
133 分類部
134 検知部
135 特徴量抽出部
136 モデル再構築部
137 分析部
138 分析結果出力部
11 通信部
12 記憶部
13 制御部
131 学習部
132 計算部
133 分類部
134 検知部
135 特徴量抽出部
136 モデル再構築部
137 分析部
138 分析結果出力部
Claims (6)
- 監視対象のIoT(Internet of Things)デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する計算部と、
前記広がり度合いが所定値未満の正常通信モデルを第1の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第2の機種のIoTデバイスの正常通信モデルとして分類する分類部と、
前記第1の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する検知部と、
前記第1の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する特徴量抽出部と、
前記抽出した特徴量を用いて、前記第2の機種のIoTデバイスの正常通信モデルを再構築するモデル再構築部と、
前記正常通信モデルを用いて検知された前記第1の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第2の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する分析部と
を備えることを特徴とするトラフィックセンサ。 - 前記計算部は、
前記正常通信モデルの示す正常通信の範囲の広がり度合いを、当該正常通信モデルに用いられる各特徴量方向の分散の積により計算する
ことを特徴とする請求項1に記載のトラフィックセンサ。 - 前記分析部による、前記IoTデバイスそれぞれの異常通信の分析の結果、類似度が所定値以上の異常通信を出力する分析結果出力部
をさらに備えることを特徴とする請求項1に記載のトラフィックセンサ。 - 新たなIoTデバイスの接続を検出すると、前記IoTデバイスの通信データに基づき、当該IoTデバイスの正常通信モデルを学習する学習部
をさらに備えることを特徴とする請求項1に記載のトラフィックセンサ。 - トラフィックセンサにより実行される分析方法であって、
監視対象のIoT(Internet of Things)デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する工程と、
前記広がり度合いが所定値未満の正常通信モデルを第1の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第2の機種のIoTデバイスの正常通信モデルとして分類する工程と、
前記第1の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する工程と、
前記第1の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する工程と、
前記抽出した特徴量を用いて、前記第2の機種のIoTデバイスの正常通信モデルを再構築する工程と、
前記正常通信モデルを用いて検知された前記第1の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第2の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する工程と
を含むことを特徴とする分析方法。 - 監視対象のIoT(Internet of Things)デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する工程と、
前記広がり度合いが所定値未満の正常通信モデルを第1の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第2の機種のIoTデバイスの正常通信モデルとして分類する工程と、
前記第1の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する工程と、
前記第1の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する工程と、
前記抽出した特徴量を用いて、前記第2の機種のIoTデバイスの正常通信モデルを再構築する工程と、
前記正常通信モデルを用いて検知された前記第1の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第2の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する工程と
をコンピュータに実行させることを特徴とする分析プログラム。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2021/011529 WO2022195887A1 (ja) | 2021-03-19 | 2021-03-19 | トラフィックセンサ、分析方法、および、分析プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2022195887A1 JPWO2022195887A1 (ja) | 2022-09-22 |
| JP7509311B2 true JP7509311B2 (ja) | 2024-07-02 |
Family
ID=
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005159646A (ja) | 2003-11-25 | 2005-06-16 | Ntt Docomo Inc | パケット通信監視装置、及びパケット通信監視方法 |
| US20190380037A1 (en) | 2017-06-27 | 2019-12-12 | Allot Communications Ltd. | System, Device, and Method of Detecting, Mitigating and Isolating a Signaling Storm |
| JP2020102671A (ja) | 2018-12-19 | 2020-07-02 | 日本電信電話株式会社 | 検知装置、検知方法、および、検知プログラム |
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005159646A (ja) | 2003-11-25 | 2005-06-16 | Ntt Docomo Inc | パケット通信監視装置、及びパケット通信監視方法 |
| US20190380037A1 (en) | 2017-06-27 | 2019-12-12 | Allot Communications Ltd. | System, Device, and Method of Detecting, Mitigating and Isolating a Signaling Storm |
| JP2020102671A (ja) | 2018-12-19 | 2020-07-02 | 日本電信電話株式会社 | 検知装置、検知方法、および、検知プログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210248230A1 (en) | Detecting Irregularities on a Device | |
| US11522877B2 (en) | Systems and methods for identifying malicious actors or activities | |
| US10972490B2 (en) | Specifying system, specifying device, and specifying method | |
| US11470097B2 (en) | Profile generation device, attack detection device, profile generation method, and profile generation computer program | |
| US20210400072A1 (en) | Port scan detection using destination profiles | |
| US11316872B2 (en) | Malicious port scan detection using port profiles | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| KR102280845B1 (ko) | 네트워크 내의 비정상 행위 탐지 방법 및 그 장치 | |
| US20220311793A1 (en) | Worm Detection Method and Network Device | |
| CN112437062A (zh) | 一种icmp隧道的检测方法、装置、存储介质和电子设备 | |
| US11423099B2 (en) | Classification apparatus, classification method, and classification program | |
| JP7509311B2 (ja) | トラフィックセンサ、分析方法、および、分析プログラム | |
| US10303876B2 (en) | Persistence probing to detect malware | |
| WO2022195887A1 (ja) | トラフィックセンサ、分析方法、および、分析プログラム | |
| JP6708575B2 (ja) | 分類装置、分類方法および分類プログラム | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US8555379B1 (en) | Method and apparatus for monitoring communications from a communications device | |
| US20180341772A1 (en) | Non-transitory computer-readable storage medium, monitoring method, and information processing apparatus | |
| JP7444270B2 (ja) | 判定装置、判定方法及び判定プログラム | |
| JP7176630B2 (ja) | 検知装置、検知方法および検知プログラム | |
| JP7444271B2 (ja) | 学習装置、学習方法及び学習プログラム | |
| CN114553524B (zh) | 流量数据处理方法、装置、电子设备及网关 | |
| Guo et al. | A behavior approach to instant messaging worm detection | |
| WO2021070291A1 (ja) | レベル推定装置、レベル推定方法、および、レベル推定プログラム |