JP7542497B2 - 情報処理装置、情報処理プログラム、および情報処理システム - Google Patents

情報処理装置、情報処理プログラム、および情報処理システム Download PDF

Info

Publication number
JP7542497B2
JP7542497B2 JP2021141079A JP2021141079A JP7542497B2 JP 7542497 B2 JP7542497 B2 JP 7542497B2 JP 2021141079 A JP2021141079 A JP 2021141079A JP 2021141079 A JP2021141079 A JP 2021141079A JP 7542497 B2 JP7542497 B2 JP 7542497B2
Authority
JP
Japan
Prior art keywords
identification information
communication
information
environment
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021141079A
Other languages
English (en)
Other versions
JP2023034721A (ja
Inventor
智紀 前田
洋美 春木
福友 中西
遵 金井
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Original Assignee
Toshiba Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp filed Critical Toshiba Corp
Priority to JP2021141079A priority Critical patent/JP7542497B2/ja
Priority to US17/677,429 priority patent/US20230067096A1/en
Publication of JP2023034721A publication Critical patent/JP2023034721A/ja
Application granted granted Critical
Publication of JP7542497B2 publication Critical patent/JP7542497B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/02Knowledge representation; Symbolic representation
    • G06N5/022Knowledge engineering; Knowledge acquisition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2807Exchanging configuration information on appliance services in a home automation network
    • H04L12/2809Exchanging configuration information on appliance services in a home automation network indicating that an appliance service is present in a home automation network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Automation & Control Theory (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • Computational Linguistics (AREA)
  • Artificial Intelligence (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

情報処理装置、情報処理プログラム、および情報処理システムに関する。
環境内に含まれる複数の機器間の通信データを、該環境の学習モデルの学習に用いる事が行われている。例えば、特定の環境において通信頻度の高い通信データおよび通信頻度の低い通信データを収集し、該環境の学習モデルの学習に用いる事が行われている。しかし、数か月に1度などの通信頻度の低い通信データの収集には時間を要するため、学習時間の増大が問題となる場合があった。
学習時間の短縮を図る技術として、学習に必要なデータ数を減らす技術が開示されている(例えば、非特許文献1参照)。また、通信データに替えて過去の中継通信数から予測した予測値を用い、実際の観測数が該予測値を上回った場合に通信データに関する異常を判別するモデルが開示されている(例えば、特許文献1参照)。
しかし、非特許文献1では通信頻度の低い通信データの収集に時間を要するため、学習時間の短縮を図ることは困難であった。また、特許文献1では、通信データに替えて中継通信数をモデルの入力に用いており、通信頻度の低い通信データの異常を判別することはできなかった。すなわち、従来技術では、学習精度の低下を抑制し且つ学習時間の短縮を図ることは困難であった。
特開2006-238043号公報
He Zhang,et al."Deep Adversarial Learning in Intrusion Detection: A Data Augmentation Enhanced Framework"(arXiv 2019)
本発明は、上記に鑑みてなされたものであって、学習精度の低下を抑制し且つ学習時間の短縮を図ることができる、情報処理装置、情報処理プログラム、情報処理システムを提供することを目的とする。
実施形態の情報処理装置は、取得部と、通信生成部と、を備える。取得部は、複数の第1機器を含む第1環境の第1通信データ、前記第1環境に含まれる複数の前記第1機器の各々の第1識別情報と前記第1機器の有する機能の機能識別情報とを対応付けた第1構成情報、および第2環境に含まれる複数の第2機器の各々の第2識別情報と前記第2機器の機能の機能識別情報とを対応付けた第2構成情報を取得する。通信生成部は、前記第1通信データに含まれる前記第1識別情報を、前記第1識別情報によって識別される前記第1機器の有する機能の前記機能識別情報に対応する前記第2識別情報に置換した、前記第2環境の通信予測データを生成する。前記通信生成部は、前記第1構成情報に基づいて、前記第1通信データに含まれる前記第1識別情報を対応する前記機能識別情報に置換した通信ひな形情報を生成する生成部と、前記通信ひな形情報に含まれる前記機能識別情報を、前記第2構成情報に含まれる該機能識別情報に対応する前記第2識別情報に置換した、前記通信予測データを生成する置換部と、を有する。
情報処理システムの一例の模式図。 第1環境および第2環境の一例の模式図。 第1通信データのデータ構成の一例の模式図。 第1構成情報のデータ構成の一例の模式図。 第2構成情報のデータ構成の一例の模式図。 識別対応情報のデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 第1環境および第2環境の一例の模式図。 第1通信データのデータ構成の一例の模式図。 第1構成情報のデータ構成の一例の模式図。 第2構成情報のデータ構成の一例の模式図。 識別対応情報のデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 第1環境および第2環境の一例の模式図。 第1通信データのデータ構成の一例の模式図。 第1構成情報のデータ構成の一例の模式図。 第2構成情報のデータ構成の一例の模式図。 識別対応情報のデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 第1通信データのデータ構成の一例の模式図。 第1構成情報のデータ構成の一例の模式図。 第2構成情報のデータ構成の一例の模式図。 識別対応情報のデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 情報処理の流れの一例を示すフローチャート。 情報処理システムの一例の模式図。 通信ひな形情報のデータ構成の一例の模式図。 通信予測データのデータ構成の一例の模式図。 情報処理の流れの一例を示すフローチャート。 ハードウェア構成図。
以下に添付図面を参照して、情報処理装置、情報処理プログラム、情報処理システムを詳細に説明する。
(第1の実施形態)
図1は、本実施形態の情報処理システム1の一例の模式図である。
情報処理システム1は、ネットワークNなどを介して第1環境30および第2環境32の各々に含まれる機器34と通信可能に接続されている。なお、情報処理システム1は、記憶媒体等を介して第1環境30および第2環境32の各々に含まれる機器34とデータを送受信可能に接続された構成であってもよい。また、情報処理システム1は、第1環境30および第2環境32の各々に含まれるサーバ装置等とデータを送受信可能に接続された構成であってもよい。
第1環境30は、試験環境の一例である。第1環境30は、複数の第1機器34Aを含む。第1機器34Aは、機器34の一例である。第1機器34Aは、少なくとも通信機能を有する。第1環境30に含まれる複数の第1機器34Aは、第1環境30内の複数の第1機器34A間でデータを通信する。
第2環境32は、本番環境の一例である。第2環境32は、複数の第2機器34Bを含む。第1機器34Aは、機器34の一例である。第2機器34Bは、少なくとも通信機能を有する。第2環境32に含まれる複数の第2機器34Bは、第2環境32内の複数の第2機器34B間でデータを通信する。
第1環境30および第2環境32は、同じ機能の機器34を1以上有する。言い換えると、第1環境30に含まれる複数の第1機器34A、および、第2環境32に含まれる複数の第2機器34B、の各々の機能の少なくとも一部は重複する。
機器34の機能とは、第1環境30および第2環境32の各々の環境内における分類または役割を意味する。分類とは、複数の機器34を予め定めた分類条件に応じて複数のグループに分類した各グループのラベルを意味する。役割とは、環境内における機器34の役割を意味する。
機器34の有する機能は、例えば、PLC(Programmable Logic Controller)、HMI(Human Machine Interface)、IDS(Intrusion Detection System)などであるが、これらに限定されない。
機器34の有する機能は、さらに細分化したものであってもよい。例えば、通信プロトコルの違いに応じて更に機能を細分化してもよい。具体的には、例えば、温度調節のPLCと水量調節のPLCと、を同一の機能として扱ってもよい。また、例えば、温度調節のPLCと水量調節のPLCと、を別の機能として扱ってもよい。
図2は、第1環境30および第2環境32の一例の模式図である。
例えば、第1環境30は、第1機器34A1および第1機器34A2の2つの第1機器34Aを有する。第1機器34A1および第1機器34A2は、第1環境30内でネットワークを介して通信する。複数の第1機器34Aの各々には、第1識別情報が予め付与されている。
第1識別情報は、第1機器34Aを一意に識別するための識別情報である。第1識別情報は、第1機器34Aを一意に識別可能な情報であればよい。
第1識別情報には、例えば、第1環境30内の第1機器34A間の通信時のアドレスとして用いる送信先または送信元を識別可能な情報を用いる。第1識別情報として用いる通信時のアドレスは、例えば、第1機器34AのIP(Internet Protocol)アドレス、MAC(Media Access Control)アドレス等である。
また、第1識別情報は、第1機器34Aを一意に識別可能な情報であればよく、例えば、第1機器34Aの属する環境に応じて変化しうる情報を用いてもよい。この場合、例えば、第1識別情報には、ポート番号、VLAN ID(Virtual Local Area Network Identity Document)、PLCのステーションID、シリアル通信のチャネル番号などを用いればよい。
ポート番号は、TCP/IP(Transmission Control Protocol/Internet Protocol)通信において用いられる番号である。以下、ポート番号を、単にポートと称して説明する場合がある。VLAN IDは、複数のセグメントの通信を同一のケーブルで行うときに、通信の各々を識別するために用いられる情報である。PLCのステーションIDは、PLCの行う通信相手を識別するために用いられる情報である。シリアル通信のチャネル番号は、同一のシリアルケーブルにおける通信を識別するために用いられる情報である。
本実施形態では、第1識別情報として第1機器34AのIPアドレスを用いる形態を一例として説明する。
第2環境32は、例えば、第2機器34B1および第2機器34B2の2つの第2機器34Bを有する。第2機器34B1および第2機器34B2は、第2環境32内でネットワークを介して通信する。複数の第2機器34Bの各々には、第2識別情報が予め付与されている。
第2識別情報は、第2機器34Bを一意に識別するための識別情報である。第2識別情報には、第1識別情報と同様に、例えば、第2機器34BのIPアドレス、MACアドレス、ポート番号、VLAN ID、PLCのステーションID、シリアル通信のチャネル番号などを用いればよい。本実施形態では、第2識別情報として第2機器34BのIPアドレスを用いる形態を一例として説明する。
図1に戻り説明を続ける。情報処理システム1は、情報処理装置10と、学習部22と、を備える。情報処理装置10と学習部22とは、バス18などを介して通信可能に接続されている。
情報処理装置10は、第1環境30の第1通信データ40を用いて第2環境32の通信予測データ48を生成する。第1通信データ40および通信予測データ48の詳細は後述する。
情報処理装置10は、処理部20と、記憶部12と、UI(ユーザインタフェース)部14と、通信部16と、を備える。記憶部12、UI部14、通信部16、処理部20、および学習部22は、バス18等を介して通信可能に接続されている。
記憶部12は、各種のデータを記憶する。記憶部12は、例えば、RAM(Random Access Memory)、フラッシュメモリ等の半導体メモリ素子、ハードディスク、光ディスク等である。なお、記憶部12は、情報処理装置10の外部に設けられた記憶装置であってもよい。また、記憶部12、UI部14、処理部20に含まれる1または複数の機能部、および学習部22、の少なくとも1つを、ネットワークN等を介して情報処理装置10に通信可能に接続された外部の情報処理装置に搭載した構成としてもよい。
UI部14は、各種の情報を表示する表示機能、および、ユーザによる操作指示を受付ける受付機能を有する。通信部16は、ネットワークNを介して第1環境30および第2環境32の各々の機器34またはサーバ装置と通信する。
処理部20は、情報処理装置10において情報処理を実行する。処理部20は、取得部20Aと、通信生成部20Bと、を有する。通信生成部20Bは、生成部20Cと、置換部20Dと、を含む。
取得部20A、通信生成部20B、生成部20C、および置換部20Dは、例えば、1または複数のプロセッサにより実現される。例えば上記各部は、CPU(Central Processing Unit)などのプロセッサにプログラムを実行させること、すなわちソフトウェアにより実現してもよい。上記各部は、専用のICなどのプロセッサ、すなわちハードウェアにより実現してもよい。上記各部は、ソフトウェアおよびハードウェアを併用して実現してもよい。複数のプロセッサを用いる場合、各プロセッサは、各部のうち1つを実現してもよいし、各部のうち2以上を実現してもよい。
取得部20Aは、第1通信データ40、第1構成情報42、および第2構成情報44を取得する。
第1通信データ40は、第1環境30の通信データである。詳細には、第1通信データ40は、第1環境30内の複数の第1機器34A間で通信されたデータの群である。
図3Aは、第1通信データ40のデータ構成の一例の模式図である。図3Aには、第1環境30が図2に示す環境である場合の第1通信データ40の一例を示す。
第1通信データ40は、第1環境30に含まれる第1機器34Aの第1識別情報である通信先情報と、データ本体と、を含む1または複数のパケットの群からなる。パケットは、第1機器34A間の通信の最小単位の一例である。
パケットは、例えば、送信元アドレス、送信先アドレス、送信元ポート、送信先ポート、およびペイロードを含む。送信元アドレスは、データの送信元の第1機器34AのIPアドレスである。送信先アドレスは、データの送信先の第1機器34AのIPアドレスである。送信元ポートは、データの送信元の第1機器34Aのポートである。送信先ポートは、データの送信先の第1機器34Aのポートである。すなわち、送信元アドレスおよび送信元ポート、並びに、送信先アドレスおよび送信先ポートは、第1機器34Aの第1識別情報である通信先情報の一例である。上述したように、本実施形態では、IPアドレスすなわち送信元アドレスおよび送信先アドレスを、第1識別情報として用いる形態を一例として説明する。
図3Bは、第1構成情報42のデータ構成の一例の模式図である。図3Bには、第1環境30が図2に示す環境である場合の第1構成情報42の一例を示す。
第1構成情報42は、第1環境30に含まれる複数の第1機器34Aの構成を表す情報である。詳細には、第1構成情報42は、第1機器34Aの第1識別情報と、第1識別情報によって識別される第1機器34Aの機能の機能識別情報と、を対応付けた情報である。
機能識別情報は、機能を一意に識別する情報である。機能識別情報には、例えば、機能の名称を用いる。本実施形態では、機能識別情報として、「HMI」、「PLC」などの機能の名称を用いる形態を一例として説明する。
図3Cは、第2構成情報44のデータ構成の一例の模式図である。図3Cには、第2環境32が図2に示す環境である場合の第2構成情報44の一例を示す。
第2構成情報44は、第2環境32に含まれる複数の第2機器34Bの構成を表す情報である。詳細には、第2構成情報44は、第2機器34Bの第2識別情報と、第2識別情報によって識別される第2機器34Bの機能の機能識別情報と、を対応付けた情報である。
図1に戻り説明を続ける。取得部20Aは、通信部16を介して第1環境30から第1通信データ40および第1構成情報42を取得する。また、取得部20Aは、通信部16を介して第2環境32から、第2構成情報44を取得する。なお、第1通信データ40、第1構成情報42、および第2構成情報44を予め記憶部12に記憶してもよい。この場合、取得部20Aは、第1通信データ40、第1構成情報42、および第2構成情報44を記憶部12から取得すればよい。
通信生成部20Bは、第1通信データ40に含まれる第1識別情報を、第1識別情報によって識別される第1機器34Aの有する機能の機能識別情報に対応する第2識別情報に置換した、第2環境32の通信予測データ48を生成する。
本実施形態では、通信生成部20Bは、生成部20Cと、置換部20Dと、を有する。
生成部20Cは、第1構成情報42および第2構成情報44に基づいて、同じ機能識別情報に対応する第1識別情報と第2識別情報とを対応付けた識別対応情報46を生成する。
図3Dは、識別対応情報46のデータ構成の一例の模式図である。識別対応情報46は、第1識別情報と、第2識別情報と、を対応付けた情報である。図3Dには、図3Bに示す第1構成情報42および図3Cに示す第2構成情報44を用いて生成された識別対応情報46の一例を示す。
図3Bに示すように、第1構成情報42には、機能識別情報「HMI」に対応する第1識別情報「192.168.0.100」が登録されている。図3Cに示すように、第2構成情報44には、機能識別情報「HMI」に対応する第2識別情報「10.0.0.110」が登録されている。この場合、生成部20Cは、同じ機能識別情報「HMI」に対応する第1識別情報「192.168.0.100」と第2識別情報「10.0.0.110」とを対応付けて識別対応情報46に登録する(図3D参照)。
また、図3Bに示すように、第1構成情報42には、機能識別情報「PLC」に対応する第1識別情報「192.168.0.200」が登録されている。図3Cに示すように、第2構成情報44には、機能識別情報「PLC」に対応する第2識別情報「10.0.0.210」が登録されている。この場合、生成部20Cは、同じ機能識別情報「PLC」に対応する第1識別情報「192.168.0.200」と第2識別情報「10.0.0.210」とを対応付けて識別対応情報46に登録する(図3D参照)。
図1に戻り説明を続ける。置換部20Dは、第1通信データ40に含まれる第1識別情報を、識別対応情報46における対応する第2識別情報に置換した通信予測データ48を生成する。
通信予測データ48は、第2環境32の通信データを予測したデータである。言い換えると、通信予測データ48は、第1環境30の第1通信データ40を用いて予測された、第2環境32の通信データである。詳細には、通信予測データ48は、第1通信データ40を用いて予測された、第2環境32内の複数の第2機器34B間で通信されるパケットの群である。
図3Eは、通信予測データ48のデータ構成の一例を示す模式図である。図3Eには、図3A~図3Dに示す第1通信データ40、第1構成情報42、第2構成情報44、および識別対応情報46を用いて生成された通信予測データ48の一例を示す。
置換部20Dは、図3Aに示す第1通信データ40における第1識別情報である送信元アドレスおよび送信先アドレスの各々を、図3Dに示す識別対応情報46における対応する第2識別情報に置換する。この置換処理により、置換部20Dは、図3Eに示す通信予測データ48を生成する。
このように、通信生成部20Bは、第1通信データ40に含まれる第1識別情報を、第1識別情報によって識別される第1機器34Aの機能の機能識別情報に対応する第2識別情報に置換した通信予測データ48を生成する。すなわち、通信生成部20Bは、試験環境である第1環境30の第1通信データ40に含まれる第1識別情報を、同じ機能を有する第2機器34Bの第2識別情報に置換することで、第2環境32の通信予測データ48を生成する。このため、通信生成部20Bは、試験環境である第1環境30の第1通信データ40を第2環境32に活用して用いることができる。
また、試験環境である第1環境30では、様々な通信を発生させた検証が行われる。試験環境である第1環境30内の複数の第1機器34A間の通信には、通信頻度の高い通信データおよび通信頻度の低い通信データ等の様々なデータ(パケット)が含まれる。このため、通信生成部20Bは、試験環境である第1環境30の第1通信データ40を第2環境32に活用して用いることで、通信頻度の様々なパケットを含む通信予測データ48を容易に生成することができる。
なお、図2には、第1環境30および第2環境32がそれぞれ2つの機器34を備えた構成を一例として示した。しかし、第1環境30および第2環境32は、複数の機器34を備えた構成であればよく、第1環境30および第2環境32の少なくとも一方が、3つ以上の機器34を備えた構成であってもよい。
図4は、第1環境30および第2環境32の他の一例の模式図である。
例えば、第1環境30は、第1機器34A1および第1機器34A2の2つの第1機器34Aを有する。また、例えば、第2環境32は、第2機器34B1、第2機器34B2、機器34B3、および第2機器34B4の4つの機器34を有する。第2機器34B1、第2機器34B2、機器34B3、および第2機器34B4は、第2環境32内でネットワークを介して通信する。
この場合、取得部20Aが取得する第1通信データ40、第1構成情報42、および第2構成情報44は、図5A、図5B、図5Cの各々に示すものとなる。
図5Aは、第1通信データ40のデータ構成の一例の模式図である。図5Aには、第1環境30が図4に示す環境である場合の第1通信データ40の一例を示す。
図5Bは、第1構成情報42のデータ構成の一例の模式図である。図5Bには、第1環境30が図4に示す環境である場合の第1構成情報42の一例を示す。
図5Cは、第2構成情報44のデータ構成の一例の模式図である。図5Cには、第2環境32が図4に示す環境である場合の第2構成情報44の一例を示す。
この場合、生成部20Cは、図5Bに示す第1構成情報42および図5Cに示す第2構成情報44に基づいて、同じ機能識別情報に対応する第1識別情報と第2識別情報とを対応付けた識別対応情報46を生成する。
図5Dは、識別対応情報46のデータ構成の一例の模式図である。図5Dには、図5Bに示す第1構成情報42および図5Cに示す第2構成情報44を用いて生成された識別対応情報46の一例を示す。
図5Bに示すように、第1構成情報42には、機能識別情報「HMI」に対応する第1識別情報「192.168.0.100」が登録されている。図5Cに示すように、第2構成情報44には、機能識別情報「HMI」に対応する第2識別情報「10.0.0.110」および「10.0.0.120」が登録されている。この場合、図5Dに示すように、生成部20Cは、同じ機能識別情報「HMI」に対応する第1識別情報「192.168.0.100」と第2識別情報「10.0.0.110」とを対応付けて識別対応情報46に登録する。また、生成部20Cは、同じ機能識別情報「HMI」に対応する第1識別情報「192.168.0.100」と第2識別情報「10.0.0.120」とを対応付けて識別対応情報46に登録する(図5D参照)。
また、図5Bに示すように、第1構成情報42には、機能識別情報「PLC」に対応する第1識別情報「192.168.0.200」が登録されている。図5Cに示すように、第2構成情報44には、機能識別情報「PLC」に対応する第2識別情報「10.0.0.210」および「10.0.0.220」が登録されている。この場合、図5Dに示すように、生成部20Cは、同じ機能識別情報「PLC」に対応する第1識別情報「192.168.0.200」と第2識別情報「10.0.0.210」とを対応付けて識別対応情報46に登録する。また、生成部20Cは、同じ機能識別情報「PLC」に対応する第1識別情報「192.168.0.200」と第2識別情報「10.0.0.220」とを対応付けて識別対応情報46に登録する。
そして、置換部20Dは、図5Aに示す第1通信データ40に含まれる第1識別情報を、図5Dに示す識別対応情報46における対応する第2識別情報に置換した、通信予測データ48を生成する。
図5Eは、通信予測データ48のデータ構成の他の一例を示す模式図である。図5Eには、図5A~図5Dに示す第1通信データ40、第1構成情報42、第2構成情報44、および識別対応情報46を用いて生成された通信予測データ48の一例を示す。
置換部20Dは、図5Aに示す第1通信データ40における第1識別情報である送信元アドレスおよび送信先アドレスの各々を、図5Dに示す識別対応情報46における対応する第2識別情報に置換する。この置換処理により、置換部20Dは、図5Eに示す通信予測データ48を生成する。
ここで、図5Dに示すように、1つの第1識別情報に対して異なる複数の第2識別情報が対応付けられて識別対応情報46に登録される場合がある。具体的には、図5Dに示す識別対応情報46には、第1識別情報「192.168.0.100」に対応する第2識別情報として、「10.0.0.110」および「10.0.0.120」が登録されている。また、この識別対応情報46には、第1識別情報「192.168.0.200」に対応する第2識別情報として、「10.0.0.210」および「10.0.0.220」が登録されている。
この場合、置換部20Dは、図5Eに示すように、1つの第1識別情報と該第1識別情報に対応する異なる複数の第2識別情報の各々との1対1の対ごとに、第1通信データ40の第1識別情報を第2識別情報に置換した通信予測データ48を生成してもよい。
また、置換部20Dは、図5Fに示すように、1つの識別情報と該第1識別情報に対応する異なる複数の第2識別情報の内の1つとの1対1の対を用いて、第1通信データ40の第1識別情報を第2識別情報に置換した通信予測データ48を生成してもよい。図5Fは、通信予測データ48のデータ構成の他の一例を示す模式図である。
図6は、第1環境30および第2環境32の他の一例の模式図である。
例えば、第1環境30は、第1機器34A1、第1機器34A2、および機器34A3の3つの第1機器34Aを有する。第1機器34A1、第1機器34A2、および機器34A3は、第1環境30内でネットワークを介して通信する。また、例えば、第2環境32は、第2機器34B1、第2機器34B2、機器34B3、および第2機器34B4の4つの機器34を有する。第2機器34B1、第2機器34B2、機器34B3、および第2機器34B4は、第2環境32内でネットワークを介して通信する。
この場合、取得部20Aが取得する第1通信データ40、第1構成情報42、および第2構成情報44は、図7A、図7B、図7Cの各々に示すものとなる。
図7Aは、第1通信データ40のデータ構成の一例の模式図である。図7Aには、第1環境30が図6に示す環境である場合の第1通信データ40の一例を示す。
図7Bは、第1構成情報42のデータ構成の一例の模式図である。図7Bには、第1環境30が図6に示す環境である場合の第1構成情報42の一例を示す。
図7Cは、第2構成情報44のデータ構成の一例の模式図である。図7Cには、第2環境32が図6に示す環境である場合の第2構成情報44の一例を示す。
この場合、生成部20Cは、図7Bに示す第1構成情報42および図7Cに示す第2構成情報44に基づいて、同じ機能識別情報に対応する第1識別情報と第2識別情報とを対応付けた識別対応情報46を生成する。
図7Dは、識別対応情報46のデータ構成の一例の模式図である。図7Dには、図7Bに示す第1構成情報42および図7Cに示す第2構成情報44を用いて生成された識別対応情報46の一例を示す。
図7Bに示すように、第1構成情報42には、機能識別情報「HMI」に対応する第1識別情報「192.168.0.10」が登録されている。図7Cに示すように、第2構成情報44には、機能識別情報「HMI」に対応する第2識別情報「10.0.0.110」および「10.0.0.120」が登録されている。この場合、図7Dに示すように、生成部20Cは、同じ機能識別情報「HMI」に対応する第1識別情報「192.168.0.10」と第2識別情報「10.0.0.110」とを対応付けて識別対応情報46に登録する。また、生成部20Cは、同じ機能識別情報「HMI」に対応する第1識別情報「192.168.0.10」と第2識別情報「10.0.0.120」とを対応付けて識別対応情報46に登録する。
また、図7Bに示すように、第1構成情報42には、機能識別情報「PLC」に対応する第1識別情報「192.168.0.20」および「192.168.0.21」が登録されている。図7Cに示すように、第2構成情報44には、機能識別情報「PLC」に対応する第2識別情報「10.0.0.210」および「10.0.0.220」が登録されている。この場合、図7Dに示すように、生成部20Cは、同じ機能識別情報「PLC」に対応する第1識別情報「192.168.0.20」と第2識別情報「10.0.0.210」とを対応付けて識別対応情報46に登録する。また、生成部20Cは、同じ機能識別情報「PLC」に対応する第1識別情報「192.168.0.21」と第2識別情報「10.0.0.220」とを対応付けて識別対応情報46に登録する。
そして、置換部20Dは、図7Aに示す第1通信データ40に含まれる第1識別情報を、図7Dに示す識別対応情報46における対応する第2識別情報に置換した通信予測データ48を生成する。
図7Eは、通信予測データ48のデータ構成の他の一例を示す模式図である。図7Eには、図7A~図7Dに示す第1通信データ40、第1構成情報42、第2構成情報44、および識別対応情報46を用いて生成された通信予測データ48の一例を示す。
置換部20Dは、図7Aに示す第1通信データ40における第1識別情報である送信元アドレスおよび送信先アドレスの各々を、図7Dに示す識別対応情報46における対応する第2識別情報に置換する。この置換処理により、置換部20Dは、例えば、図7Eに示す通信予測データ48を生成する。
なお、第1通信データ40に、第2識別情報に置換されない第1識別情報が含まれる場合がある。この場合、通信生成部20Bは、第1通信データ40から生成した通信予測データ48を削除すればよい。具体例を挙げて説明する。
図8Aは、第1通信データ40のデータ構成の一例の模式図である。図8Bは、第1構成情報42のデータ構成の一例の模式図である。図8Cは、第2構成情報44のデータ構成の一例の模式図である。
例えば、取得部20Aが、図8A~図8Cに示す第1通信データ40、第1構成情報42、および第2構成情報44を取得した場面を想定する。
この場合、生成部20Cは、図8Dに示す識別対応情報46を作成する。図8Dは、識別対応情報46のデータ構成の一例である。すなわち、図8Cに示す第2構成情報44には、機能種別識別情報「HMI」が含まれない。このため、生成部20Cは、第1構成情報42に含まれる機能種別識別情報「PLC」に対応する第1識別情報「192.168.0.200」に対応する第2識別情報を識別対応情報46に登録することが出来ない状態となる。このため、識別対応情報46における第1識別情報「192.168.0.200」に対応する第2識別情報の欄は、空欄となる。
この場合、置換部20Dが図8Aに示す第1通信データ40に含まれる第1識別情報を、図8Dに示す識別対応情報46における対応する第2識別情報に置換することで生成される通信予測データ48は、図8Eに示すものとなる。図8Eは、通信予測データ48のデータ構成の一例である。この場合、第1通信データ40に含まれる第1識別情報「192.168.0.200」が第2識別情報に置換されず、空欄となる。よって、通信予測データ48は、図8Aに示す第1通信データ40に含まれる第1識別情報の少なくとも一部が第2識別情報に置換されない通信データとなる。
この場合、通信生成部20Bは、図8Eに示す通信予測データ48を削除する。すなわち、通信生成部20Bは、第1通信データ40に第2識別情報に置換されない第1識別情報が含まれる場合、該第1通信データ40から生成した通信予測データ48を削除する。このため、通信生成部20Bは、第1通信データ40に第2識別情報に置換されない第1識別情報が含まれる場合には、生成した通信予測データ48を破棄することができる。
図1に戻り説明を続ける。
学習部22は、通信生成部20Bで生成された通信予測データ48に基づいて、学習モデル50を学習する。
学習モデル50は、第2環境32の通信データが正常であるか否かを出力する機械学習モデルである。詳細には、学習モデル50は、第2環境32の通信データを入力とし、通信データが正常であるか否かを出力する正常系の機械学習モデルである。なお、学習モデル50は、第2環境32の通信データを入力とし、通信データが異常であるか否かを出力する異常系の機械学習モデルであってもよい。
通信データが正常である、とは、例えば、通信データが第2環境32への攻撃ではない事、または、第2機器34Bの異常ではない事を表す。通信データが異常である、とは、例えば、通信データが第2環境32への攻撃である事、または、第2機器34Bの異常であることを表す。
学習部22は、通信予測データ48および第2環境32の通信データを学習データとして用いて、学習モデル50を学習する。学習部22による学習モデル50の学習には、例えば、RNN(Recurrent Neural Network)等の公知の学習方法を用いればよい。
学習部22は、通信予測データ48を学習データとして用いるため、試験環境である第1環境30の第1通信データ40を活用して学習データに用いることができる。
上述したように、試験環境である第1環境30では、様々な通信を発生させた検証が行われる。試験環境である第1環境30内の複数の第1機器34A間の通信には、通信頻度の高い通信データおよび通信頻度の低い通信データ等の様々なデータが含まれる。このため、学習部22は、試験環境である第1環境30の第1通信データ40を第2環境32に活用して用いることで、通信頻度の様々なパケットを含む通信予測データ48を学習データとして用いることができる。このため、学習部22は、学習精度の低下を抑制した学習モデル50の学習を行うことができる。
また、学習部22は、通信生成部20Bで生成された通信予測データ48を学習データとして用いるため、短時間で生成された通信予測データ48を学習データとして用いることができる。このため、学習部22は、学習時間の短縮を図ることができる。
なお、情報処理装置10は、学習部22を更に備えた構成であってもよい。この場合、処理部20が、学習部22を更に含む構成であればよい。また、学習部22は、ネットワークN等を介して情報処理装置10に通信可能に接続された外部の情報処理装置に搭載されていてもよい。
次に、本実施形態の情報処理システム1で実行する情報処理の流れの一例を説明する。
図9は、本実施形態の情報処理システム1で実行する情報処理の流れの一例を示すフローチャートである。
取得部20Aは、第1通信データ40、第1構成情報42、および第2構成情報44を取得する(ステップS100)。
生成部20Cは、ステップS100で取得した第1構成情報42および第2構成情報44に基づいて、同じ機能識別情報に対応する第1識別情報と第2識別情報とを対応付けた識別対応情報46を生成する(ステップS102)。
置換部20Dは、ステップS100で取得した第1通信データ40に含まれる第1識別情報を、ステップS102で生成した識別対応情報46における対応する第2識別情報に置換した通信予測データ48を生成する(ステップS104)。
学習部22は、ステップS104で生成された通信予測データ48に基づいて、学習モデル50を学習する(ステップS106)。そして、本ルーチンを終了する。
以上説明したように、本実施形態の情報処理装置10は、取得部20Aと、通信生成部20Bと、を備える。取得部20Aは、第1通信データ40、第1構成情報42、および第2構成情報44を取得する。通信生成部20Bは、第1通信データ40に含まれる第1識別情報を、第1識別情報によって識別される第1機器34Aの有する機能の機能識別情報に対応する第2識別情報に置換した、第2環境32の通信予測データ48を生成する。
このように、通信生成部20Bは、第1通信データ40に含まれる第1識別情報を、第1識別情報によって識別される第1機器34Aの有する機能の機能識別情報に対応する第2識別情報に置換した通信予測データ48を第2環境32の通信データとして生成する。すなわち、通信生成部20Bは、試験環境である第1環境30の第1通信データ40に含まれる第1識別情報を、同じ機能を有する第2機器34Bの第2識別情報に置換することで第2環境32の通信予測データ48を生成する。このため、通信生成部20Bは、試験環境である第1環境30の第1通信データ40を第2環境32に活用して用いることができる。
また、試験環境である第1環境30では、様々な通信を発生させた検証が行われる。試験環境である第1環境30の複数の第1機器34A間の通信には、通信頻度の高い通信データおよび通信頻度の低い通信データ等の様々なデータが含まれる。このため、通信生成部20Bは、試験環境である第1環境30の第1通信データ40を第2環境32に活用して用いることで、通信頻度の様々なパケットを含む通信予測データ48を容易に生成することができる。
このため、本実施形態の情報処理装置10は、様々な種類のパケットを含む第1環境30の第1通信データ40を、第1環境30とは異なる第2環境32の通信予測データ48として用いることができる。すなわち、本実施形態の情報処理装置10は、第1環境30の第1通信データ40を活用することで、第2環境32で用いる学習モデル50の学習に用いる学習データとして、通信頻度などが様々なパケットを含む通信予測データ48を生成することができる。このため、本実施形態の情報処理装置10は、学習精度の低下を抑制可能な通信予測データ48を生成することができる。
また、本実施形態の情報処理装置10は、第1環境30の第1通信データ40を活用して第2環境32の通信予測データ48を生成する。このため、本実施形態の情報処理装置10は、第2環境32に含まれる複数の第2機器34B間の通信データを収集する場合に比べて、短時間で学習モデル50の学習用データを用意することができる。
このため、本実施形態の情報処理装置10は、通信予測データ48を第2環境32で用いる学習モデル50の学習データとして用いることで、学習モデル50の学習精度の低下を抑制し且つ、学習時間の短縮を図ることができる。
従って、本実施形態の情報処理装置10は、学習精度の低下を抑制し且つ学習時間の短縮を図ることができる。
例えば、第1環境30が本番の動作試験用の試験環境であり、第2環境32が本番の環境である場面を想定する。また、試験環境である第1環境30が、本番の環境である第2環境32に含まれる複数の第2機器34Bの少なくとも一部と同じ複数の機器34を第1機器34Aとして有する場面を想定する。
この場合、動作試験用の試験環境である第1環境30では、動作試験として多種多様なパケットが送受信される。通信生成部20Bは、第1環境30のこれらのパケットを含む第1通信データ40を活用して通信予測データ48を生成する。このため、通信生成部20Bは、第2環境32の運用開始前に、第2環境32を長期間運用することで初めて得られる通信データと同等の通信予測データ48を、容易且つ短時間で生成することができる。
また、例えば、第1環境30が訓練用の試験環境であり、第2環境32が本番の環境である場面を想定する。また、試験環境である第1環境30が、本番の環境である第2環境32に含まれる複数の第2機器34Bの少なくとも一部と同じ複数の機器34を第1機器34Aとして有する場面を想定する。
この場合、訓練用の試験環境である第1環境30では、訓練用として多種多様なパケットの通信を試すことが出来る。通信生成部20Bは、第1環境30のこれらのパケットを含む第1通信データ40を活用して通信予測データ48を生成する。このため、通信生成部20Bは、第2環境32を利用することなく、第2環境32の通信データを予測した通信予測データ48を短時間で生成することができる。
また、通信生成部20Bは、第1環境30の第1通信データ40を活用して第2環境32の第1通信データ40を生成するため、第2環境32を実際に稼働させることなく、また、第2環境32と同じ環境を構築することなく、容易に通信予測データ48を生成することができる。
また、本実施形態の情報処理装置10では、通信生成部20Bが生成部20Cおよび置換部20Dを有する。生成部20Cは、第1構成情報42および第2構成情報44に基づいて、同じ機能識別情報に対応する第1識別情報と第2識別情報とを対応付けた識別対応情報46を生成する。置換部20Dは、第1通信データ40に含まれる第1識別情報を識別対応情報46における対応する第2識別情報に置換した通信予測データ48を生成する。
置換部20Dが、生成部20Cで生成した識別対応情報46を用いて通信予測データ48を生成することで、より短時間で通信予測データ48を生成することができる。このため、本実施形態の情報処理装置10は、上記効果に加えて、更に学習時間の短縮を図ることができる。
また、本実施形態の情報処理システム1では、学習部22が、通信予測データ48に基づいて学習モデル50を学習する。
ここで、学習モデル50が、入力された通信データが第2環境32への攻撃であるか否かを出力する機械学習モデルである場合を想定する。この場合、学習モデル50は、攻撃検知に用いられる。攻撃検知に用いる学習モデル50としては、正常系を学習する学習モデル、および、異常系を学習する学習モデルが挙げられる。
異常系を学習するためには、第2環境32に対して異常を発生させる、または、第2環境32へサイバー攻撃を行う、などの異常発生処理を行う必要がある。しかし、運用中の第2環境32に異常発生処理を行うことは、安全性保持および信頼性保持などの観点から困難である。一方、第1環境30に対して異常発生処理を行うことは、試験環境であるため容易である。このため、学習部22が、第1環境30に対して異常発生処理を行うことで得られた第1通信データ40を用いて生成された通信予測データ48を学習に用いることで、高精度且つ短時間で異常系の学習モデル50を学習することができる。また、学習部22は、運用中の第2環境32に対して異常発生処理を行うことなく、高精度に異常などの攻撃検知可能な学習モデル50を学習することができる。
(第2の実施形態)
上記実施形態では、識別対応情報46を用いて通信予測データ48を生成する形態を一例として説明した。本実施形態では、識別対応情報46に替えて通信ひな形情報47を用いて通信予測データ48を生成する形態を説明する。
なお、本実施形態において上記実施形態と同じ構成の部分には同じ符号を付与して詳細な説明を省略する。
図10は、本実施形態の情報処理システム1Bの一例を示す模式図である。
情報処理システム1Bは、情報処理装置10に替えて情報処理装置10Bを備える点以外は、上記実施形態の情報処理システム1と同様である。情報処理装置10Bは、処理部20に替えて処理部21を備え、識別対応情報46に替えて通信ひな形情報47を用いる点以外は、上記実施形態の情報処理装置10と同様である。
処理部21は、情報処理装置10Bにおいて情報処理を実行する。処理部21は、取得部20Aと、通信生成部21Bと、を有する。通信生成部21Bは、生成部21Cと、置換部21Dと、を含む。
取得部20A、通信生成部21B、生成部21C、および置換部21Dは、例えば、1または複数のプロセッサにより実現される。例えば上記各部は、CPUなどのプロセッサにプログラムを実行させること、すなわちソフトウェアにより実現してもよい。上記各部は、専用のICなどのプロセッサ、すなわちハードウェアにより実現してもよい。上記各部は、ソフトウェアおよびハードウェアを併用して実現してもよい。複数のプロセッサを用いる場合、各プロセッサは、各部のうち1つを実現してもよいし、各部のうち2以上を実現してもよい。
取得部20Aは、上記実施形態と同様である。
通信生成部21Bは、上記実施形態の通信生成部20Bと同様に、第1通信データ40に含まれる第1識別情報を、第1識別情報によって識別される第1機器34Aの有する機能の機能識別情報に対応する第2識別情報に置換した、第2環境32の通信予測データ48を生成する。
本実施形態では、通信生成部21Bは、生成部21Cと、置換部21Dと、を有する。
生成部21Cは、第1構成情報42に基づいて、第1通信データ40に含まれる第1識別情報を対応する機能識別情報に置換した通信ひな形情報47を生成する。例えば、取得部20Aが、図3A~図3Cに示す第1通信データ40、第1構成情報42、および第2構成情報44を取得した場面を想定して説明する。この場合、生成部21Cは、これらの第1通信データ40および第1構成情報42を用いて、通信ひな形情報47を生成する。
図11Aは、通信ひな形情報47のデータ構成の一例の模式図である。図11Aには、図3Aに示す第1通信データ40、および図3Bに示す第1構成情報42、を用いて生成された通信ひな形情報47の一例を示す。
通信ひな形情報47は、第1通信データ40に含まれる第1識別情報を、第1構成情報42および第2構成情報44に基づいて同じ機能識別情報に対応する第2識別情報に置換した情報である。
図3Aを用いて説明したように、第1通信データ40には、第1識別情報の一例である送信元アドレスおよび送信先アドレスが登録されている。生成部21Cは、第1通信データ40に含まれる送信元アドレスおよび送信先アドレスである第1識別情報の各々に対応する機能識別情報を、図3Bに示す第1構成情報42から特定する。そして、生成部21Cは、第1通信データ40に含まれる第1識別情報を、特定した対応する機能識別情報に置換することで、通信ひな形情報47を生成する。
このため、図3Aに示す第1通信データ40に含まれる第1識別情報である「192.168.0.100」は、図11Aに示すように機能識別情報「HMI」に置換される。また、同様に、図3Aに示す第1通信データ40に含まれる第1識別情報である「192.168.0.200」は、図11Aに示すように機能識別情報「PLC」に置換される。
置換部21Dは、通信ひな形情報47に含まれる機能識別情報を、第2構成情報44に含まれる該機能識別情報に対応する第2識別情報に置換した通信予測データ48を生成する。
図11Bは、通信予測データ48のデータ構成の一例の模式図である。図11Bは、図3A~図3Cに示す第1通信データ40、第1構成情報42、および第2構成情報44、並びに図11Bに示す通信予測データ48に基づいて生成される通信予測データ48のデータ構成の一例である。
置換部21Dは、図11Aに示す通信ひな形情報47に含まれる機能識別情報の各々を、図3Cに示す第2構成情報44における対応する第2識別情報に置換する。このため、通信ひな形情報47に含まれる「HMI」は第2識別情報「10.0.0.110」に置換される、また、通信ひな形情報47に含まれる「PLC」は第2識別情報「10.0.0.210」に置換される。これらの置換処理によって、置換部21Dは、通信予測データ48を生成する。
なお、上記実施形態と同様に、第1通信データ40に第2識別情報に置換されない第1識別情報が含まれる場合、通信生成部21Bは、第1通信データ40から生成した通信予測データ48を削除すればよい。
次に、本実施形態の情報処理システム1Bで実行する情報処理の流れの一例を説明する。
図12は、本実施形態の情報処理システム1Bで実行する情報処理の流れの一例を示すフローチャートである。
取得部20Aは、第1通信データ40、第1構成情報42、および第2構成情報44を取得する(ステップS200)。
生成部21Cは、ステップS200で取得した第1通信データ40および第1構成情報42に基づいて、該第1通信データ40に含まれる第1識別情報を対応する機能識別情報に置換した通信ひな形情報47を生成する(ステップS202)。
置換部21Dは、ステップS202で生成した通信ひな形情報47に含まれる機能識別情報を、ステップS200で取得した第2構成情報44に含まれる該機能識別情報に対応する第2識別情報に置換した通信予測データ48を生成する。
学習部22は、ステップS204で生成された通信予測データ48に基づいて、学習モデル50を学習する(ステップS206)。そして、本ルーチンを終了する。
以上説明したように、本実施形態の情報処理装置10Bの通信生成部21Bは、生成部21Cおよび置換部21Dを有する。生成部21Cは、第1構成情報42および第2構成情報44に基づいて、第1通信データ40に含まれる第1識別情報を対応する機能識別情報に置換した通信ひな形情報47を生成する。置換部21Dは、通信ひな形情報47に含まれる機能識別情報を、第2構成情報44に含まれる該機能識別情報に対応する第2識別情報に置換した通信予測データ48を生成する。
このため、本実施形態の情報処理装置10Bは、上記実施形態と同様に、学習精度の低下を抑制し且つ学習時間の短縮を図ることができる。
なお、上記実施形態では、第1識別情報および第2識別情報が、IPアドレスである場合を一例として説明した。しかし、第1識別情報および第2識別情報は、機器34を一意に識別可能な情報であればよく、IPアドレスに限定されない。また、第1識別情報および第2識別情報として、機器34を識別可能な複数種類の識別情報を組み合わせた情報を用いてもよい。具体的には、例えば、IPアドレスおよびポート番号を組み合わせた情報を、第1識別情報および第2識別情報の各々として用いてもよい。
次に、上記実施形態の情報処理装置10および情報処理装置10Bのハードウェア構成の一例を説明する。
図13は、上記実施形態の情報処理装置10および情報処理装置10Bの一例のハードウェア構成図である。
上記実施形態の情報処理装置10および情報処理装置10Bは、CPU(Central Processing Unit)81、ROM(Read Only Memory)82、RAM(Random Access Memory)83、および通信I/F84等がバス85により相互に接続されており、通常のコンピュータを利用したハードウェア構成となっている。
CPU81は、上記実施形態の情報処理装置10および情報処理装置10Bを制御する演算装置である。ROM82は、CPU81による各種処理を実現するプログラム等を記憶する。RAM83は、CPU81による各種処理に必要なデータを記憶する。通信I/F84は、UI部14および通信部16などに接続し、データを送受信するためのインターフェースである。
上記実施形態の情報処理装置10および情報処理装置10Bでは、CPU81が、ROM82からプログラムをRAM83上に読み出して実行することにより、上記各機能がコンピュータ上で実現される。
なお、上記実施形態の情報処理装置10および情報処理装置10Bで実行される上記各処理を実行するためのプログラムは、HDD(ハードディスクドライブ)に記憶されていてもよい。また、上記実施形態の情報処理装置10および情報処理装置10Bで実行される上記各処理を実行するためのプログラムは、ROM82に予め組み込まれて提供されていてもよい。
また、上記実施形態の情報処理装置10および情報処理装置10Bで実行される上記処理を実行するためのプログラムは、インストール可能な形式または実行可能な形式のファイルでCD-ROM、CD-R、メモリカード、DVD(Digital Versatile Disk)、フレキシブルディスク(FD)等のコンピュータで読み取り可能な記憶媒体に記憶されてコンピュータプログラムプロダクトとして提供されるようにしてもよい。また、上記実施形態の情報処理装置10および情報処理装置10Bで実行される上記処理を実行するためのプログラムを、インターネットなどのネットワークに接続されたコンピュータ上に格納し、ネットワーク経由でダウンロードさせることにより提供するようにしてもよい。また、上記実施形態の情報処理装置10および情報処理装置10Bで実行される上記処理を実行するためのプログラムを、インターネットなどのネットワーク経由で提供または配布するようにしてもよい。
なお、上記には、本発明の実施形態を説明したが、本実施形態は、例として提示したものであり、発明の範囲を限定することは意図していない。この新規な実施形態は、その他の様々な形態で実施されることが可能であり、発明の要旨を逸脱しない範囲で、種々の省略、置き換え、変更を行うことができる。この実施形態やその変形は、発明の範囲や要旨に含まれるとともに、特許請求の範囲に記載された発明とその均等の範囲に含まれる。
1、1B 情報処理システム
10、10B 情報処理装置
20A 取得部
20B、21B 通信生成部
20C、21C 生成部
20D、21D 置換部
22 学習部
30 第1環境
32 第2環境
34A 第1機器
34B 第2機器

Claims (5)

  1. 複数の第1機器を含む第1環境の第1通信データ、前記第1環境に含まれる複数の前記第1機器の各々の第1識別情報と前記第1機器の有する機能の機能識別情報とを対応付けた第1構成情報、および第2環境に含まれる複数の第2機器の各々の第2識別情報と前記第2機器の機能の機能識別情報とを対応付けた第2構成情報を取得する取得部と、
    前記第1通信データに含まれる前記第1識別情報を、前記第1識別情報によって識別される前記第1機器の有する機能の前記機能識別情報に対応する前記第2識別情報に置換した、前記第2環境の通信予測データを生成する通信生成部と、
    を備え
    前記通信生成部は、
    前記第1構成情報に基づいて、前記第1通信データに含まれる前記第1識別情報を対応する前記機能識別情報に置換した通信ひな形情報を生成する生成部と、
    前記通信ひな形情報に含まれる前記機能識別情報を、前記第2構成情報に含まれる該機能識別情報に対応する前記第2識別情報に置換した、前記通信予測データを生成する置換部と、
    を有する、
    情報処理装置。
  2. 前記通信生成部は、
    前記第1構成情報および前記第2構成情報に基づいて、同じ前記機能識別情報に対応する前記第1識別情報と前記第2識別情報とを対応付けた識別対応情報を生成する生成部と、
    前記第1通信データに含まれる前記第1識別情報を前記識別対応情報における対応する前記第2識別情報に置換した前記通信予測データを生成する置換部と、
    を有する、
    請求項1に記載の情報処理装置。
  3. 前記通信生成部は、
    前記第1通信データに含まれる複数の前記第1識別情報の内の一部の前記第1識別情報について、前記第1識別情報に対応する前記機能識別情報が前記第2構成情報に含まれない場合、該第1通信データから生成した前記通信予測データを削除する、
    請求項1または請求項に記載の情報処理装置。
  4. コンピュータに、
    複数の第1機器を含む第1環境の第1通信データ、前記第1環境に含まれる複数の前記第1機器の各々の第1識別情報と前記第1機器の有する機能の機能識別情報とを対応付けた第1構成情報、および第2環境に含まれる複数の第2機器の各々の第2識別情報と前記第2機器の機能の機能識別情報とを対応付けた第2構成情報を取得する取得ステップと、
    前記第1通信データに含まれる前記第1識別情報を、前記第1識別情報によって識別される前記第1機器の有する機能の前記機能識別情報に対応する前記第2識別情報に置換した、前記第2環境の通信予測データを生成する通信生成ステップと、
    を含み、
    前記通信生成ステップは、
    前記第1構成情報に基づいて、前記第1通信データに含まれる前記第1識別情報を対応する前記機能識別情報に置換した通信ひな形情報を生成する生成ステップと、
    前記通信ひな形情報に含まれる前記機能識別情報を、前記第2構成情報に含まれる該機能識別情報に対応する前記第2識別情報に置換した、前記通信予測データを生成する置換ステップと、
    を含む、
    情報処理プログラム。
  5. 複数の第1機器を含む第1環境の第1通信データ、前記第1環境に含まれる複数の前記第1機器の各々の第1識別情報と前記第1機器の有する機能の機能識別情報とを対応付けた第1構成情報、および第2環境に含まれる複数の第2機器の各々の第2識別情報と前記第2機器の機能の機能識別情報とを対応付けた第2構成情報を取得する取得部と、
    前記第1通信データに含まれる前記第1識別情報を、前記第1識別情報によって識別される前記第1機器の有する機能の前記機能識別情報に対応する前記第2識別情報に置換した、前記第2環境の通信予測データを生成する通信生成部と、
    前記通信予測データおよび前記第2環境の通信データを学習データとして用い、前記通信データを入力とし、前記通信データが、前記第2環境への攻撃ではない又は前記第2機器の異常ではないことを表す正常であるか否かを出力とする、学習モデルを機械学習する学習部と、
    を備え
    前記通信生成部は、
    前記第1構成情報に基づいて、前記第1通信データに含まれる前記第1識別情報を対応する前記機能識別情報に置換した通信ひな形情報を生成する生成部と、
    前記通信ひな形情報に含まれる前記機能識別情報を、前記第2構成情報に含まれる該機能識別情報に対応する前記第2識別情報に置換した、前記通信予測データを生成する置換部と、
    を有する、
    情報処理システム。
JP2021141079A 2021-08-31 2021-08-31 情報処理装置、情報処理プログラム、および情報処理システム Active JP7542497B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2021141079A JP7542497B2 (ja) 2021-08-31 2021-08-31 情報処理装置、情報処理プログラム、および情報処理システム
US17/677,429 US20230067096A1 (en) 2021-08-31 2022-02-22 Information processing device, computer program product, and information processing system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021141079A JP7542497B2 (ja) 2021-08-31 2021-08-31 情報処理装置、情報処理プログラム、および情報処理システム

Publications (2)

Publication Number Publication Date
JP2023034721A JP2023034721A (ja) 2023-03-13
JP7542497B2 true JP7542497B2 (ja) 2024-08-30

Family

ID=85285608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021141079A Active JP7542497B2 (ja) 2021-08-31 2021-08-31 情報処理装置、情報処理プログラム、および情報処理システム

Country Status (2)

Country Link
US (1) US20230067096A1 (ja)
JP (1) JP7542497B2 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2023137150A (ja) 2022-03-17 2023-09-29 株式会社東芝 情報処理装置、情報処理方法及びコンピュータプログラム

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014035595A (ja) 2012-08-07 2014-02-24 Ntt Docomo Inc 通信システムの試験装置、通信システムの試験用プログラム及び通信システムの試験方法
JP2014135717A (ja) 2012-12-10 2014-07-24 Fujitsu Ltd 管理装置,管理方法,プログラム
JP2015091049A (ja) 2013-11-06 2015-05-11 富士通株式会社 検索方法,検索装置,検索プログラム
WO2019111866A1 (ja) 2017-12-07 2019-06-13 日本電気株式会社 分析装置、通信システム、データ処理方法、及び非一時的なコンピュータ可読媒体

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014035595A (ja) 2012-08-07 2014-02-24 Ntt Docomo Inc 通信システムの試験装置、通信システムの試験用プログラム及び通信システムの試験方法
JP2014135717A (ja) 2012-12-10 2014-07-24 Fujitsu Ltd 管理装置,管理方法,プログラム
JP2015091049A (ja) 2013-11-06 2015-05-11 富士通株式会社 検索方法,検索装置,検索プログラム
WO2019111866A1 (ja) 2017-12-07 2019-06-13 日本電気株式会社 分析装置、通信システム、データ処理方法、及び非一時的なコンピュータ可読媒体

Also Published As

Publication number Publication date
JP2023034721A (ja) 2023-03-13
US20230067096A1 (en) 2023-03-02

Similar Documents

Publication Publication Date Title
JP5565476B2 (ja) ネットワークシステム、及びネットワークフロー追跡方法
JP2018078546A5 (ja)
CN107924388B (zh) 通用传感器和/或用于提供检测模式的传感器集群
CN107547565B (zh) 一种网络接入认证方法及装置
JP6484519B2 (ja) ゲートウェイ装置およびその制御方法
JP2017212726A5 (ja)
JP2018026791A (ja) フレーム伝送阻止装置、フレーム伝送阻止方法及び車載ネットワークシステム
CN111066001B (zh) 日志输出方法、日志输出装置以及存储介质
KR101855753B1 (ko) 차량 진단 게이트웨이 장치 및 이를 포함하는 시스템
CN106919242A (zh) 服务器系统及其管理方法及计算机可读式存储多媒体
US20190044913A1 (en) Network apparatus, method of processing packets, and storage medium having program stored thereon
US20190190777A1 (en) Communication device, system, and method
JP7006622B2 (ja) 抽出装置、抽出方法と抽出プログラム、ならびに、異常検知装置、異常検知方法
JP7542497B2 (ja) 情報処理装置、情報処理プログラム、および情報処理システム
JP7065444B2 (ja) 情報処理装置および情報処理システム
US11546356B2 (en) Threat information extraction apparatus and threat information extraction system
CN113935061A (zh) 将匿名网络数据提供给人工智能模型以用于近实时处理
JP2016046736A (ja) サービスチェイニングシステム、サービスチェイニングフォワーダ装置、及びサービスチェイニング方法
JP2022000987A (ja) 通信装置
JP6308559B2 (ja) 正常性確認システム、監視装置、方法及びプログラム
Buzura et al. An extendable software architecture for mitigating ARP spoofing-based attacks in SDN data plane layer
JP2015200971A (ja) 改竄検知機能を備えた制御システム
US20220337619A1 (en) Analysis system, method, and program
JP5402304B2 (ja) 診断プログラム、診断装置、診断方法
US20200007407A1 (en) Network building apparatus, network building method, non-transitory computer readable medium storing program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230309

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20240305

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20240312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240411

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240820

R150 Certificate of patent or registration of utility model

Ref document number: 7542497

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150