WO2019235090A1

WO2019235090A1 - デバイス識別装置およびデバイス識別方法

Info

Publication number: WO2019235090A1
Application number: PCT/JP2019/017140
Authority: WO
Inventors: 博史野口; 山登　庸次; 操片岡; 達也出水
Original assignee: 日本電信電話株式会社
Priority date: 2018-06-08
Filing date: 2019-04-23
Publication date: 2019-12-12
Also published as: JP6930663B2; US11288158B2; CN112292671B; US20210255943A1; JPWO2019235090A1; CN112292671A

Abstract

デバイス識別装置（１００）は、不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部（１－１，１－２）と、不明デバイスの機種を特定する機種特定部（６）と、抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部（２）と、生成した変化パターンを、既知デバイスの各々の変化パターンと照合することで、デバイス類似度をそれぞれ算出し、算出したデバイス類似度のうちの最大値が第１の閾値以上である場合、不明デバイスを、最大値を示す既知デバイスと識別するデバイス類似度算出部（３）と、を備える。

Description

デバイス識別装置およびデバイス識別方法

　本発明は、デバイス識別装置およびデバイス識別方法に関する。

　今日、Internet of Things（IoT）が急速に拡大を続けており、多種多様かつ膨大な数のデバイス（IoTデバイス）がネットワークに接続されつつある。2020年には500億台のデバイスがインターネットに接続されるという予測があり、今後、家庭や工場、街頭など様々な環境にますます多くのデバイスが設置されることが予想される。そして、ネットワークに接続されるデバイスには、カメラや温度計といったセンサや、スマートフォンなどの小型コンピュータ、スピーカーやディスプレイといったアクチュエータなど様々な種類がある。このため、各デバイスの計算処理能力や、各デバイスに使用されるプロトコルは多種多様である。各環境のデバイスの管理者には、このような多種多様かつ膨大なデバイスを適切かつ安全に使用できるように、各デバイスの性質や状態を正確に把握して管理することが求められている。

　IoTの運用を考えると、環境内に設置される管理対象のデバイスの数や、それらの設置場所（位置）、ネットワークへの接続状態、搭載されるソフトウェアのバージョンは、ダイナミックに変化する。例えば、位置について考えると、家庭環境では、電化製品の移動に伴って搭載されているセンサの設置場所が変更される。工場では、製造ラインを改修した際に、別の製造ラインへセンサを移動して再利用するために設置場所の変更が発生する。また、ラップトップやWebカメラなどは使用者の移動に応じて当然のように設置場所が変化する。このとき、部屋やエリアといった設置場所の変更を検出できなければ、デバイスが今どこにあるのかを把握できなくなってしまう。

　また、ネットワークについて考えると、スマートフォンなど複数のアクセスインタフェースを有するデバイスでは、WiFi（登録商標）からLTE（Long Term Evolution）等モバイル回線へのネットワークの変更が発生する。このとき、IPアドレス等のデバイスのネットワーク情報が変更されたとしても、同一デバイスとして認識できなければ、やはり、それがネットワーク上のどこにあるのか不明になってしまう。従来は、ネットワークに接続されているデバイスをユニークに識別するには、MACアドレスを見ればよかったが、昨今のOSではセキュリティへの配慮から、ネットワーク接続のたびにMACアドレスをランダム生成する仕様になっている。このため、MACアドレスはもはや一貫したキーとして使用できなくなってきている。

　また、IoTデバイス上で動作するソフトウェアについて考えると、ファームウェアやOSのアップデートが発生する。このときもネットワークの場合と同様に、ソフトウェアの更新前後で、同一のデバイスであることを認識できなれば、デバイスの所在を見失ってしまう。

　このように、IoTの運用では、デバイスの同一性を保証することが困難である。そのため、デバイスの設置場所やネットワークやソフトウェアが変化した場合、どの個体がどのような変化をしたのかを追跡して把握できなければ、過去に設置したデバイス資産が物理空間とネットワークのどこに存在しているのかを管理できなくなるおそれがある。

　また、セキュリティ観点でも、動的に状態が変化するデバイスの個体を一貫して把握できることが求められる。例えば、位置やソフトウェアの変更に関らず、デバイスに障害を検出した場合、検出時の過去の挙動や影響範囲を特定するなどの障害対応が必要である。しかし、デバイスの同一性を保証することが困難となるIoTでは、あるデバイスについて位置やソフトウェアの変更があった場合、例えば、そのデバイスの過去から現在に至るまでの状態ログを追跡できないと、障害対応ができなくなるおそれがある。
　また、デバイス認証の観点でも、一度認証したデバイスが認証ポリシーに反しない範囲で状態変化した場合に、再認証なしに安全を判定するには、変化前後の同一性を認識できる必要がある。しかし、デバイスの同一性を保証することが困難となるIoTでは、状態変化に伴い再認証を余儀なくされるおそれがある。

　このように、膨大な数に及ぶIoTデバイスの管理には、性質やプロトコルが異なる多種多様なデバイスの状態を把握し、デバイスの状態が変化したとしても、他のデバイスや新規設置されるデバイスと混同せずに個体を識別して管理できることが求められる。このような膨大な数のIoTデバイスの管理を人手で行うのは現実的ではなく、自動的に行える技術が求められる。

　デバイスの個体を識別する従来技術の例として、携帯電話や一部の衛星電話に付与されるInternational Mobile Equipment Identity（IMEI）がある。IMEIを用いることで、ネットワークに接続されるデバイスを一意に特定することが可能である。しかしながら、IMEIを含む、デバイス固有識別子を利用する手法は、識別子を埋め込んだ専用のハードウェアを用いることが前提であり、対応デバイスが限定される。

　また、デバイスの個体を識別する従来技術の例としては、他にも、EAP-TLS（Extensible Authentication Protocol - Transport Layer Security）によりコンピュータ証明書を発行する手法がある（非特許文献１）。この手法によれば、デバイスごとのコンピュータ証明書を発行して、デバイスにインストールすることで個体を識別することができる。しかし、デバイスがEAP-TLSプロトコルを扱えることを前提としており、パソコンなどの潤沢な計算能力を備えたデバイスには適用できるものの、IoTデバイスに多く想定される計算能力が限定されるデバイスには適用できない。つまり、IMEIの場合と同様、対応デバイスが限定される。

D. Simon, et.al, "The EAP-TLS Authentication Protocol", RFC5216, 2008.3,[online],[平成30年5月31日検索], インターネット<ＵＲＬ：https://www.rfc-editor.org/rfc/rfc5216.txt >

　上記事情に対し、IoTの拡大に伴い、IoTデバイスの管理の運用を継続すれば、管理データのデータ量が必然的に増大する。このため、IoTデバイスの識別の処理負荷が増大するというさらなる課題がある。

　このような背景に鑑みて、本発明は、ネットワークに接続されているデバイスの識別の処理負荷の増大を抑制することを課題とする。

　前記した課題を解決するため、請求項１に記載の発明は、ネットワークに接続されている不明デバイスを識別するデバイス識別装置であって、前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部と、前記不明デバイスから受信する信号から前記不明デバイスの機種を特定する機種特定部と、前記抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部と、前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスのうち前記特定した機種に該当する既知デバイスの変化パターンと照合することで、前記不明デバイスと前記特定した機種に該当する既知デバイスの各々との間のデバイス類似度をそれぞれ算出し、前記算出したデバイス類似度のうちの最大値が第１の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するデバイス類似度算出部と、を備える、ことを特徴とする。

　また、請求項３に記載の発明は、ネットワークに接続されている不明デバイスを識別するデバイス識別装置におけるデバイス識別方法であって、前記デバイス識別装置が、前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するステップと、前記不明デバイスから受信する信号から前記不明デバイスの機種を特定するステップと、前記抽出したデバイス特徴量の変化パターンを生成するステップと、前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスのうち前記特定した機種に該当する既知デバイスの変化パターンと照合することで、前記不明デバイスと前記特定した機種に該当する既知デバイスの各々との間のデバイス類似度をそれぞれ算出するステップと、前記算出したデバイス類似度のうちの最大値が第１の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するステップと、を実行する、ことを特徴とする。

　請求項１，３に記載の発明によれば、不明デバイスの機種を事前に特定することで、不明デバイスと変化パターンを照合する既知デバイスを絞り込み、デバイス類似度の算出範囲を限定することができる。
　したがって、ネットワークに接続されているデバイスの識別の処理負荷の増大を抑制することができる。

　また、請求項２に記載の発明は、請求項１に記載のデバイス識別装置であって、前記機種特定部が前記不明デバイスの機種を特定することができなかった場合に、前記不明デバイスの変化パターンに対して、デバイスの種別ごとに種別類似度を算出し、前記算出した種別類似度のうちの最大値が第２の閾値以上である場合、前記不明デバイスの種別を、前記最大値を示す種別と判定する種別類似度算出部、を備える、ことを特徴とする。

　また、請求項４に記載の発明は、請求項１に記載のデバイス識別方法であって、前記デバイス識別装置は、前記不明デバイスの機種を特定するステップで特定することができなかった場合に、前記不明デバイスの変化パターンに対して、デバイスの種別ごとに種別類似度を算出するステップと、前記算出した種別類似度のうちの最大値が第２の閾値以上である場合、前記不明デバイスの種別を、前記最大値を示す種別と判定するステップと、を実行する、ことを特徴とする。

　請求項２，４に記載の発明によれば、不明デバイスの機種は特定することができなくても、少なくとも不明デバイスの種別は判定することで、不明デバイスの変化パターンをデータベースに格納させることができる。よって、変化パターンのデータベースを拡張させることができ、以降のデバイスの識別における、デバイス種別の判定精度を向上させることができる。

　本発明によれば、ネットワークに接続されているデバイスの識別の処理負荷の増大を抑制することができる。

本実施形態のデバイス識別装置の機能構成図である。定期的に抽出されるデバイス特徴量の例を示す表である。変化パターンＤＢのデータ構造の例である。デバイスＤＢのデータ構造の例である。デバイス識別処理を示すフローチャートである。

　以下、図面を参照して本発明を実施するための形態（以下、「本実施形態」という）について説明する。
（概要）
　本発明は、センサ等のデバイスが送信する信号からデバイス特徴量を抽出し、抽出したデバイス特徴量の変化パターンから個体を識別することを特徴とする。デバイス特徴量の変化パターンには、送信データサイズといったデバイスの種類ごとの特性や、通信遅延といった使用環境ならではの固有性が現れる。このため、変化パターンを、デバイス個体を識別するための情報として利用することができる。

　また、本来は、デバイス個体の識別には、過去から現在までにネットワークに存在したすべてのデバイスの変化パターンのデータを用いる必要がある。しかし、大量のデバイスが存在する環境や、長時間蓄積を続けた環境においては、蓄積データ量が膨大になり、デバイス個体の識別の処理負荷が膨大になってしまう。そこで、本発明は、デバイスを、種別および機種で分類し、蓄積データを階層的に管理することで、デバイス個体を識別に必要となる蓄積データを絞り込み、処理負荷の増大を抑える。

≪構成≫
　本実施形態のデバイス識別装置は、ネットワークに接続されているデバイスを識別する装置である。図１に示すように、本実施形態のデバイス識別装置１００は、デバイス特徴量抽出部１－１，１－２と、変化パターン生成部２と、デバイス類似度算出部３と、変化パターンＤＢ４と、デバイスＤＢ５と、機種特定部６と、種別類似度算出部７と、を備える。図１中の符号１０－１～１０－３は、ネットワークに接続されているデバイス（IoTデバイス）であり、デバイス識別装置１００の識別対象となる不明デバイスである。変化パターンＤＢ４およびデバイスＤＢ５は、デバイス識別装置１００の記憶部が記憶するデータベースである。

　デバイス特徴量抽出部１－１，１－２は、デバイス１０－１～１０－３から信号を受信する。デバイス１０－１～１０－３が送信する信号は、例えば、センサ値、死活監視信号、デバイス識別装置１００によるポートスキャンなどの要求に対する応答である。

　デバイス特徴量抽出部１－１，１－２は、デバイス１０－１～１０－３から受信した信号から、デバイス１０－１～１０－３の各々のデバイス特徴量を定期的に抽出する。デバイス特徴量は、主に、デバイス１０－１～１０－３の状態を示す情報と、トラフィック特性とに分類することができる。デバイス１０－１～１０－３の状態を示す情報は、例えば、デバイス１０－１～１０－３の位置（設置場所）や、デバイス１０－１～１０－３が実行しているソフトウェアのバージョンである。また、トラフィック特性は、例えば、所定時間内の平均トラヒック量や、通信間隔である。

　上記のように、デバイス特徴量として様々な種類を用意することができるが、デバイス特徴量は、デバイス特徴量抽出部１－１，１－２が、デバイス１０－１～１０－３から信号を受信した時点の量となる。図２には、様々な値をとるデバイス特徴量Param1,2,3についての各受信時刻の値が例示されている。デバイス特徴量抽出部１－１，１－２によるデバイス特徴量の定期的な抽出とは、所定期間に亘って、任意の受信時刻ごとの複数のデバイス特徴量を取得することを意味する。

　IoTデバイスの種類に応じて、扱う通信プロトコルやデータ取得方法、デバイス特徴量の抽出方法は異なるため、デバイス特徴量抽出部１－１，１－２は、各種プロトコルごとに用意することが好ましい。図１の例では、デバイス特徴量抽出部１－１が扱う通信プロトコルは、デバイス１０－１，１０－２で用いられている通信プロトコルである。また、デバイス特徴量抽出部１－２が扱う通信プロトコルは、デバイス１０－３で用いられている通信プロトコルである。デバイス特徴量抽出部１－１，１－２の数は２に限らず、３以上でもよいし、１でもよい。なお、本実施形態において、デバイス１０－１～１０－３の数は３に限らず、４以上でもよいし、２以下でもよい。

　デバイス特徴量抽出部１－１，１－２は、ローカルネットワーク環境内にゲートウェイとして実装することができる。このような実装により、デバイス特徴量抽出部１－１，１－２は、ＭＡＣフレーム等の低レイヤ情報も取得し、デバイス特徴量として抽出することができる。

　変化パターン生成部２は、デバイス特徴量抽出部１－１，１－２が定期的に抽出したデバイス特徴量に対して、デバイスごとの変化パターンを生成する。これらの変化パターンは、時刻ごとに変化するデバイス特徴量の種類ごとに用意される。変化パターン生成部２には、変化パターンの算出ロジックが組み込まれている。算出ロジックについては、デバイス特徴量ごとの特性に応じて様々なロジックが利用可能であり、本実施形態では、特定のロジックに限定しない。一例として、時刻ごとに異なる値をとり得るデバイス特徴量に対しては、変化パターンの算出ロジックとして、傾きａ、切片ｂの一次関数で表現する時間変化の近似式を用いることができる。
　変化パターン生成部２は、デバイス特徴量ごとに生成した変化パターンを、個体未特定の不明デバイスの変化パターンとしてデバイス類似度算出部３に出力する。

　デバイス類似度算出部３は、不明デバイスの変化パターンを、変化パターンＤＢ４に格納されている変化パターンと照合し、個体を特定する。変化パターンＤＢ４は、ネットワーク環境内の既知デバイスから過去に収集した変化パターンを格納するデータベースである。例えば、図３に示すように、変化パターンＤＢ４は、既知デバイスのデバイスＩＤと、既存デバイスのデバイス種別と、既存デバイスのデバイス機種と、既存デバイスのデバイス名と、既知デバイスのデバイス特徴量と、当該デバイス特徴量から生成される変化パターンとを対応付けて格納している。

　デバイス種別とは、デバイスの種類を決定する分類手段であり、例えば、カメラ、スピーカー、プリンタ、スマートフォン、パソコンといった機能に対応する大分類を行う手段である。デバイス種別を、単に、「種別」と呼ぶ場合がある。

　デバイス機種とは、デバイスの規格を決定する分類手段であり、同じ種類のデバイス群を規格別に区別する手段である。デバイス機種は、デバイスの小分類を行うことを可能にする。デバイス機種を、単に、「機種」と呼ぶ場合がある。例えば、カメラの機種を、「Ａ社製の型番ｘｘ」と表現し、カメラを分類することができる。
　デバイス名とは、デバイスに付された製品名である。製品名は、機種ごとに付される。よって、デバイス名の分類の粒度は、デバイス機種の分類の粒度と同じである。本実施形態では、製品名を機種の一表現として扱う。

　変化パターンＤＢ４に格納する値が不明である場合、ブランクにする。例えば、図３に示すように、デバイス種別やデバイス機種が不明である場合、ブランクを象徴する「未知」という値が格納される。

　図１に戻り、デバイス類似度算出部３は、不明デバイスのデバイス特徴量ごとに、不明デバイスの変化パターンと既存デバイスの変化パターンとのパターン類似度を算出する。パターン類似度の具体的な算出式は、デバイス特徴量ごとの特性に応じて様々な算出式が利用可能であり、本実施形態では、特定の算出式に限定しない。一例として、先述した、傾きａ、切片ｂの一次関数で表現する時間変化の近似式を求めた場合には、デバイス特徴量ごとのパターン類似度ｓｉは、以下の式１を用いて求めることができる。

　ｓｉ　＝　0.5×Δａ　＋　0.5×Δｂ
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　・・・（式１）
　ここで、ｓｉは、ｉ番目のデバイス特徴量についてのパターン類似度である。ｉは、１からｎまでの自然数である。ｎは、不明デバイスから抽出したデバイス特徴量の種類の数である。
　Δａは、ｉ番目のデバイス特徴量について、不明デバイスの変化パターンから得られる傾きと、既知デバイスの変化パターンから得られる傾きとの差分の絶対値を、０～１に収まるように正規化した値である。
　Δｂは、ｉ番目のデバイス特徴量について、不明デバイスの変化パターンから得られる切片と、既知デバイスの変化パターンから得られる切片との差分の絶対値を、０～１に収まるように正規化した値である。

　式１によれば、ｓｉは、０～１の値をとる。デバイス類似度算出部３は、式１を用いて、不明デバイスから抽出したデバイス特徴量の種類ごと、かつ、既知デバイスごとにパターン類似度を算出する。なお、不明デバイスの変化パターンに係るデバイス特徴量と同じ種類のデバイス特徴量が、既知デバイスから抽出されておらず、対応する変化パターンが存在しない場合には、便宜上、そのデバイス特徴量についてのパターン類似度は０とみなしてもよい。

　デバイス類似度算出部３は、算出したパターン類似度を用いて、不明デバイスと既知デバイスとの間のデバイス類似度を算出することができる。デバイス類似度の算出の際、デバイス類似度算出部３は、以下に示すように、パターン類似度の各々に付与する重みを算出することができる。

　デバイスの個体識別に用いるデバイス特徴量の変化は、複数の個体間で重複しないユニークなものであるほどよい。例えば、モバイル端末が多い環境では、デバイスの移動によるデバイス位置の変化パターンは、複数のデバイスに重複して発生する変化パターンであり、個体を識別するにあたり参考にならないパラメータである（デバイスの移動は、デバイスごとにランダムであって、デバイス固有の位置変化が極めて生じにくい）。
　また同様に、同一機種の多数デバイスに対するソフトウェアアップデートが一定周期で同時に実行される環境においては、ダウンロードに関する通信特性の変化パターンは、個体を識別するにあたり参考にならない変化パターンである。

　仮に、デバイスから取得可能なデバイス特徴量の種類の数が少なかった場合、すべてのデバイス特徴量変化を均一に扱うと、デバイス類似度が大きな既知デバイスが多数検出されてしまい、識別精度の低下を招く可能性がある。そこで、本実施形態では、変化パターンＤＢ４が保持する変化パターンに対して、各デバイス特徴量の変化の分散を評価する。そして、デバイス特徴量の分散が大きいほど、そのデバイス特徴量に大きな重みを付与するように設計する。このような設計により、デバイス特徴量変化がユニークであるほど、そのデバイス特徴量が、デバイス類似度の算出に大きく寄与するように調整することができる。

　例えば、パターン類似度の各々に付与する重みｋｉは、以下の式２を用いて求めることができる。
　ｋｉ　＝　ｖｉ／（Σｖｉ）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　・・・（式２）
　ここで、ｖｉは、ｉ番目のデバイス特徴量についての分散値を、０～１に収まるように正規化した値である。ｉは、１からｎまでの自然数である。ｎは、不明デバイスから抽出したデバイス特徴量の種類の数である。Σｖｉは、ｎ個のｖｉの総和である。
　ｋｉは、ｉ番目のデバイス特徴量についての重みである。式２によれば、ｎ種類すべてのデバイス特徴量に対する重みの和は１（Σｋｉ＝１）となる。

　デバイス類似度算出部３は、デバイス特徴量ごとに、変化パターンＤＢ４に格納されているすべての変化パターンに対して、パターン類似度を求める。また、デバイス類似度算出部３は、式２を用いて、求めたパターン類似度に、分散値の大きさを元にした重みを割り振る。

　デバイス類似度算出部３は、例えば、デバイス特徴量ごとのパターン類似度を求め、そのパターン類似度に重みを乗じて総合することで、不明デバイスと、各既知デバイスとのデバイス類似度をそれぞれ算出する。デバイス類似度Ｓの算出式は、例えば、以下の式３のようになる。
　Ｓ＝Σ（ｋｉ＊ｓｉ）
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　・・・（式３）
　式１～式３によれば、デバイス類似度Ｓは０～１の値をとる。

　デバイス類似度算出部３は、式３によって算出したデバイス類似度のうちの最大値を選び出し、その最大値が所定の閾値（第１の閾値）以上である場合、識別対象デバイス、つまり、不明デバイスを、その最大値を示す既知デバイスと識別する。所定の閾値以上となるデバイス類似度が存在しない場合には、不明デバイスを、ネットワークに接続された新規デバイスと判定する。所定の閾値は、例えば、システム利用者が予め設定することができる。

　デバイス類似度算出部３は、不明デバイスに対する識別結果を、デバイスＤＢ５および変化パターンＤＢ４に反映し、デバイスＤＢ５および変化パターンＤＢ４を更新する。デバイスＤＢ５は、デバイス識別装置１００が識別済みの既知デバイスの状態を管理するデータベースである。図４には、デバイスＤＢ５において、既知デバイスのデバイスＩＤと、状態を示す値との対応付けが図示されている。図４に示すように、既知デバイスの状態の具体例として、ネットワーク接続用のアクセスポイント、インストールされているソフトウェア、オンライン状態がある。既知デバイスの状態の他の具体例として、既知デバイスの設置場所（例えば、緯度、経度で表示）がある。

　不明デバイスが既知デバイスである場合、デバイス類似度算出部３は、不明デバイスの識別結果として、当該不明デバイスの最新状態をデバイスＤＢ５に記録する。不明デバイスが新規デバイスである場合、デバイス類似度算出部３は、不明デバイスの識別結果として、当該不明デバイスの状態を示すデバイス情報をデバイスＤＢ５に追加する。ここで、デバイス識別装置１００がデバイスＤＢ５に記録する不明デバイスの状態は、変化パターン生成部２およびデバイス類似度算出部３による上記した識別過程で得られた情報であってもよいし、識別後に識別対象デバイス（元不明デバイス）にアクセスして取得した情報であってもよい。

　また、デバイス類似度算出部３は、不明デバイスの識別結果として、不明デバイスの識別過程において変化パターン生成部２が生成した変化パターンを変化パターンＤＢ４に登録する。不明デバイスが既知デバイスである場合、デバイス類似度算出部３は、変化パターンＤＢ４中の該当の既知デバイスの変化パターンを、変化パターン生成部２が生成した変化パターンに置き換えて、変化パターンＤＢ４を更新する。不明デバイスが新規デバイスである場合、デバイス類似度算出部３は、変化パターンＤＢ４に新規デバイスの変化パターンを追加して、変化パターンＤＢ４を更新する。

　機種特定部６は、不明デバイスから受信した信号から、不明デバイスの機種を特定する。デバイスによっては、通信情報（信号に相当）から機種を特定できるものがある。例えば、MACアドレスの前半24ビットからNIC（Network Interface Card）ベンダを特定し、HTTPリクエストのUser-Agentヘッダの情報からOSやアプリケーションを特定していくなどをし、特定した各種情報を組み合わせることで、製品名を特定できることがある。機種特定部６は、ヘッダと製品名の対応を記述したデータベース（例えば、辞書データや市中データベース）と連携することで、デバイス機種を特定する。ヘッダから製品名を特定する技術やデータベースは、既知技術であり、詳細な説明は省略する。

　例えば、デバイス類似度算出部３がデバイス類似度を算出する前に、機種特定部６が不明デバイスから受信した信号からヘッダ情報を分析して不明デバイスの機種を特定することができる。機種特定部６が機種を特定できた場合、デバイス類似度算出部３は、変化パターンＤＢ４中のデータのうち、特定した機種に該当するデータのみに対象を限定してデバイス類似度を算出する。

　具体的には、機種特定部６は、特定した機種を示す機種情報をデバイス類似度算出部３に出力する。次に、デバイス類似度算出部３は、機種情報をキーにして変化パターンＤＢ４を参照し、機種情報が示す機種に該当するレコードの変化パターンのみを抽出し、デバイス類似度算出範囲を限定する。最後に、デバイス類似度算出部３は、変化パターン生成部２が生成した変化パターンと、抽出した変化パターンとを用いてデバイス類似度を算出する。

　一方、ヘッダ情報の分析等ができず、機種特定部６が不明デバイスの機種を特定することができなかった場合、デバイス類似度算出部３は、変化パターンＤＢ４中のデータのすべてを対象にしてデバイス類似度を算出する。具体的には、不明デバイスの機種を未知とし、機種特定部６は、未知機種を示す機種情報をデバイス類似度算出部３に出力する。次に、デバイス類似度算出部３は、変化パターンＤＢ４に格納されているすべての変化パターンを抽出し、デバイス類似度算出範囲を限定することはなく、変化パターン生成部２が生成した変化パターンとの間でデバイス類似度を算出する。

　デバイス類似度算出部３は、デバイス類似度を算出し、識別が終了した不明デバイスについて、既に説明した処理と同様にして、不明デバイスに対する識別結果を、デバイスＤＢ５および変化パターンＤＢ４に反映し、デバイスＤＢ５および変化パターンＤＢ４を更新する。機種特定部６が機種を特定できていた場合、変化パターンＤＢ４のデバイス機種の欄に当該特定した機種が格納される。機種特定部６が機種を特定できていなかった場合、変化パターンＤＢ４のデバイス機種の欄に未知が格納される。

　種別類似度算出部７は、不明デバイスの種別を判定するための専用のデバイス類似度となる種別類似度を算出する。種別類似度は、例えば、不明デバイスのデバイス特徴量ごとに、不明デバイスの変化パターンと、種別単位で固有であり仮想的に設けた種別判定用デバイスの変化パターンとの間で算出されたパターン類似度を用いて算出される。パターン類似度の算出方法や、種別類似度としてのデバイス類似度の算出方法は、既に説明した算出方法に従う。例えば、種別単位の種別判定用デバイスの変化パターンは、変化パターンＤＢ４に格納することができる。

　また、種別類似度は、例えば、不明デバイスのデバイス特徴量ごとに、不明デバイスの変化パターンと、変化パターンＤＢ４が同じ種別として管理しているすべての既知デバイスの変化パターンとの間で算出されたパターン類似度を用いて、種別ごとに算出される、としてもよい。この場合、同じ種別に対して複数個の種別類似度が算出されるが、例えば、算出された複数個の種別類似度のうち最適な１つを選び、当該種別の種別類似度としてもよいし、算出された複数個の種別類似度の平均値を、当該種別の種別類似度としてもよい。

　種別類似度算出部７は、変化パターン生成部２が生成した、不明デバイスの変化パターンに対して、種別ごとに種別類似度を算出する。種別類似度算出部７は、算出した、種別ごとの種別類似度のうちの最大値を選び出し、その最大値が所定の閾値（種別閾値：第２の閾値）以上である場合、不明デバイスの種別を、その最大値を示す種別判定用デバイスの種別と識別する。種別閾値は、例えば、システム利用者が予め設定することができる。

　種別類似度算出部７は、不明デバイスの種別を含む識別結果を、デバイスＤＢ５および変化パターンＤＢ４に反映し、デバイスＤＢ５および変化パターンＤＢ４を更新する。なお、所定の閾値以上となる種別類似度が存在しない場合には、種別類似度算出部７は、種別が特定できないとし、不明デバイスの種別を未知種別と判定する。種別が特定できなかった場合、変化パターンＤＢ４のデバイス種別の欄に未知が格納される。

　不明デバイスの種別を判定する際、変化パターンＤＢ４には、デバイス種別ごとに最低１つ以上の変化パターンが格納されている必要がある。本実施形態は、変化パターンＤＢ４の初期構築の方法については特に限定しないが、例えば、不明デバイスが発見された際に管理者が手動で命名を行う仕組みを取り入れることで、特別なデータ投入処理を行うことなく、以降の不明デバイスの種別の判定を実現することができる。識別対象デバイス数が増加していくにつれ、変化パターンＤＢ４のデータが増加し、デバイス種別の判定精度の向上に資する。
　なお、不明デバイスの種別の識別は、既に説明した、不明デバイスの個体識別の処理と並行して行うことができる。

　種別も機種も、デバイスを分類する手段であるが、本実施形態では、種別は、機種の上位の概念として扱う。よって、機種特定部６が、ある不明デバイスの機種を特定できた場合、その不明デバイスの種別も自動的に特定することができる。当該不明デバイスが新規デバイスであった場合、変化パターンＤＢ４には、変化パターンとともに、機種も種別も関連付けて格納される。

　また、不明デバイスについて、機種特定部６が機種を特定することができなかった（したがって、種別も特定できなかった）ものの、種別類似度算出部７による判定で種別は特定できた場合、変化パターンＤＢ４には、変化パターンとともに、種別は関連付けて格納され、機種は未知として格納される。

≪処理≫
　次に、デバイス識別装置１００が実行するデバイス識別処理について説明する。ここでは、デバイス特徴量抽出部１－１が不明デバイスから信号を取得する場合について説明する。

　ます、デバイス識別装置１００は、デバイス特徴量抽出部１－１によって、不明デバイスから受信した信号から、不明デバイスのデバイス特徴量を定期的に抽出する（ステップＳ１）。
　次に、デバイス識別装置１００は、変化パターン生成部２によって、不明デバイスから抽出したデバイス特徴量の変化パターンを生成する（ステップＳ２）。

　次に、デバイス識別装置１００は、機種特定部６によって、不明デバイスから受信した信号を解析して、不明デバイスの機種を特定できたか否かを判定する（ステップＳ１０）。

　不明デバイスの機種を特定できなかった場合（ステップＳ１０／Ｎｏ）、デバイス識別装置１００は、デバイス類似度算出部３によって、不明デバイスの変化パターンと、変化パターンＤＢ４に格納されている、既知デバイスの変化パターンの各々とのパターン類似度を算出する（ステップＳ３）。このパターン類似度の算出は、変化パターンＤＢ４に格納されているすべての既知デバイスを対象にして実行される。

　次に、デバイス識別装置１００は、デバイス類似度算出部３によって、算出したパターン類似度を用いて、不明デバイスと既知デバイスの各々との間のデバイス類似度をそれぞれ算出する（ステップＳ４）。このデバイス類似度の算出は、変化パターンＤＢ４に格納されているすべての既知デバイスを対象にして実行される。ステップＳ４によって、算出された複数のデバイス類似度の最大値、および、デバイス類似度が最大値を示す既知デバイスが特定される。

　次に、デバイス識別装置１００は、デバイス類似度算出部３によって、算出されたデバイス類似度の最大値が、所定の閾値以上であるか否かを判定する（ステップＳ５）。閾値以上である場合（ステップＳ５／Ｙｅｓ）、デバイス識別装置１００は、デバイス類似度算出部３によって、不明デバイスを、デバイス類似度が最大値を示す既知デバイスと識別する（ステップＳ６）。一方、閾値以上でない場合（ステップＳ５／Ｎｏ）、デバイス識別装置１００は、デバイス類似度算出部３によって、不明デバイスを、ネットワークに接続された新規デバイスと判定する（ステップＳ７）。

　次に、デバイス識別装置１００は、デバイス類似度算出部３によって、デバイス類似度が最大値を示す既知デバイス、または、新規デバイスと判定された識別対象デバイス（元不明デバイス）の識別結果をデバイスＤＢ５に登録して、デバイスＤＢ５を更新する（ステップＳ８）。
　次に、デバイス識別装置１００は、デバイス類似度算出部３によって、識別対象デバイスの変化パターンを変化パターンＤＢ４に登録して、変化パターンＤＢ４を更新する（ステップＳ９）。更新後、デバイス識別処理が終了する。

　一方、不明デバイスの機種を特定できた場合（ステップＳ１０／Ｙｅｓ）、デバイス識別装置１００は、デバイス類似度算出部３によって、不明デバイスの変化パターンと、変化パターンＤＢ４に格納されている、既知デバイスの変化パターンの各々とのパターン類似度を算出する（ステップＳ１１）。このパターン類似度の算出は、変化パターンＤＢ４に格納されている既知デバイスのうち、特定された機種と同一機種の既知デバイスを対象にして実行される。

　次に、デバイス識別装置１００は、デバイス類似度算出部３によって、算出したパターン類似度を用いて、不明デバイスと既知デバイスの各々との間のデバイス類似度をそれぞれ算出する（ステップＳ１２）。このデバイス類似度の算出は、変化パターンＤＢ４に格納されている既知デバイスのうち、特定された機種と同一機種の既知デバイスを対象にして実行される。ステップＳ１２によって、算出された複数のデバイス類似度の最大値、および、デバイス類似度が最大値を示す同一機種の既知デバイスが特定される。

　その後、デバイス識別装置１００は、特定された既知デバイスを用いて、不明デバイスに対して、既に説明した、ステップＳ５～Ｓ９の処理が行われ、デバイス識別処理が終了する。

　また、不明デバイスの機種を特定できなかった場合（ステップＳ１０／Ｎｏ）、デバイス識別装置１００は、ステップＳ３の処理と並行して、種別類似度算出部７によって、不明デバイスの変化パターンに対して、種別ごとに種別類似度を算出する（ステップＳ１３）。ステップＳ１３によって、種別ごとに算出された種別類似度の最大値が特定される。

　次に、デバイス識別装置１００は、種別類似度算出部７によって、算出された種別類似度の最大値が、所定の種別閾値以上であるか否かを判定する（ステップＳ１４）。種別閾値以上である場合（ステップＳ１４／Ｙｅｓ）、デバイス識別装置１００は、種別類似度算出部７によって、不明デバイスの種別を、種別類似度が最大値を示す種別と判定する（ステップＳ１５）。一方、種別閾値以上でない場合（ステップＳ１４／Ｎｏ）、デバイス識別装置１００は、種別類似度算出部７によって、不明デバイスの種別を、未知種別と判定する（ステップＳ１６）。

　その後、デバイス識別装置１００は、種別が判定された、または、未知種別と判定された不明デバイスについて、既に説明した、デバイスＤＢ５の更新（ステップＳ８）、および、変化パターンＤＢ４の更新（ステップＳ９）が行われ、デバイス識別処理が終了する。

　本実施形態によれば、各デバイスに固有に現れるデバイス特徴量の変化パターンを用いてデバイスを識別する。つまり、デバイス特徴量そのものを用いてデバイスを識別するわけではないので、各デバイスのデバイス特徴量ごとの特性がどのようなものであってもデバイス識別処理を実行することができる。また、デバイス特徴量の種類は多種多数存在するが、本実施形態では、デバイス特徴量の変化パターンに注目するので、デバイス特徴量の種類がどのようなものであってもデバイス識別処理を実行することができる。
　したがって、ネットワークに接続されているあらゆるデバイスを識別することができる。

　なお、本実施形態は、従来技術のように、IMEI対応などの専用のハードウェアを不要とし、これまでに説明したように、ソフトウェアの機能だけで実現可能である。また、デバイスに対して、従来技術のEAP-TLSプロトコルなどの特殊なプロトコルを扱えることを要求することもないため、本実施形態を適用可能なデバイスは特に制限されない。

　また、デバイス特徴量ごとにパターン類似度を重み付けすることで、デバイス特徴量変化がユニークであるほどデバイス類似度の算出に大きく寄与するように調整することができる。これにより、デバイスの識別の精度を向上させることができる。

　また、変化パターン生成部２が生成した変化パターンを用いて、変化パターンＤＢ４中の、該当の既知デバイスの変化パターンを更新するため、該当の既知デバイスの変化パターンを常に最新状態にすることができる。これにより、以降の不明デバイスの識別に対して、最新状態の変化パターンを利用することができ、古い変化パターンを用いたことに起因するデバイスの識別の誤りを回避することができる。

　また、本実施形態によれば、不明デバイスの機種を事前に特定することで、不明デバイスと変化パターンを照合する既知デバイスを絞り込み、デバイス類似度の算出範囲を限定することができる。
　したがって、ネットワークに接続されているデバイスの識別の処理負荷の増大を抑制することができる。

　また、不明デバイスの機種は特定することができなくても、少なくとも不明デバイスの種別は判定することで、不明デバイスの変化パターンをデータベースに格納させることができる。よって、変化パターンのデータベースを拡張させることができ、以降のデバイスの識別における、デバイス種別の判定精度を向上させることができる。

≪その他≫
　以上、本発明の実施形態について説明したが、本発明は上記実施形態に限定されず、本発明の要旨を逸脱しない範囲で適宜変更可能である。
（ａ）例えば、不明デバイスから抽出したデバイス特徴量ごとのパターン類似度ｓｉの算出において、式１のように、時間変化の近似式を一次関数で表現する代わりに、例えば、ｎ次関数（ｎは２以上の自然数）で表現してもよい。
（ｂ）また、例えば、デバイス類似度Ｓの算出において、式３のように、重みが割り振られたパターン類似度の総和を求める代わりに、例えば、重みが割り振られたパターン類似度の総乗を求めてもよい。

　また、上記各実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部または一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部または一部を公知の方法で自動的に行うこともできる。この他、上述文書中や図面中に示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部または一部を、各種の負荷や使用状況などに応じて、任意の単位で機能的または物理的に分散・統合して構成することができる。

　また、上記の各構成、機能、処理部、処理手段等は、それらの一部または全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行するためのソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、ＳＳＤ（Solid State Drive）等の記録装置、または、ＩＣ（Integrated Circuit）カード、ＳＤ（Secure Digital）カード、光ディスク等の記録媒体に保持することができる。また、本明細書において、時系列的な処理を記述する処理ステップは、記載された順序に沿って時系列的に行われる処理はもちろん、必ずしも時系列的に処理されなくとも、並列的あるいは個別に実行される処理（例えば、並列処理あるいはオブジェクトによる処理）をも含むものである。

　本実施形態で説明した種々の技術を適宜組み合わせた技術を実現することもできる。
　本実施形態で説明したソフトウェアをハードウェアとして実現することもでき、ハードウェアをソフトウェアとして実現することもできる。
　その他、ハードウェア、ソフトウェア、フローチャートなどについて、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

　１００　デバイス識別装置
　１－１，１－２　デバイス特徴量抽出部
　２　　　変化パターン生成部
　３　　　デバイス類似度算出部
　４　　　変化パターンＤＢ
　５　　　デバイスＤＢ
　６　　　機種特定部
　７　　　種別類似度算出部
　１０－１～１０－３　デバイス

Claims

　ネットワークに接続されている不明デバイスを識別するデバイス識別装置であって、
　前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するデバイス特徴量抽出部と、
　前記不明デバイスから受信する信号から前記不明デバイスの機種を特定する機種特定部と、
　前記抽出したデバイス特徴量の変化パターンを生成する変化パターン生成部と、
　前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスのうち前記特定した機種に該当する既知デバイスの変化パターンと照合することで、前記不明デバイスと前記特定した機種に該当する既知デバイスの各々との間のデバイス類似度をそれぞれ算出し、
　前記算出したデバイス類似度のうちの最大値が第１の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するデバイス類似度算出部と、を備える、
　ことを特徴とするデバイス識別装置。
　前記機種特定部が前記不明デバイスの機種を特定することができなかった場合に、
　前記不明デバイスの変化パターンに対して、デバイスの種別ごとに種別類似度を算出し、
　前記算出した種別類似度のうちの最大値が第２の閾値以上である場合、前記不明デバイスの種別を、前記最大値を示す種別と判定する種別類似度算出部、を備える、
　ことを特徴とする請求項１に記載のデバイス識別装置。
　ネットワークに接続されている不明デバイスを識別するデバイス識別装置におけるデバイス識別方法であって、
　前記デバイス識別装置が、
　前記不明デバイスから受信する信号から前記不明デバイスのデバイス特徴量を定期的に抽出するステップと、
　前記不明デバイスから受信する信号から前記不明デバイスの機種を特定するステップと、
　前記抽出したデバイス特徴量の変化パターンを生成するステップと、
　前記生成した変化パターンを、前記デバイス識別装置の記憶部が記憶する、複数種類の既知デバイスのうち前記特定した機種に該当する既知デバイスの変化パターンと照合することで、前記不明デバイスと前記特定した機種に該当する既知デバイスの各々との間のデバイス類似度をそれぞれ算出するステップと、
　前記算出したデバイス類似度のうちの最大値が第１の閾値以上である場合、前記不明デバイスを、前記最大値を示す既知デバイスと識別するステップと、を実行する、
　ことを特徴とするデバイス識別方法。
　前記デバイス識別装置は、
　前記不明デバイスの機種を特定するステップで特定することができなかった場合に、
　前記不明デバイスの変化パターンに対して、デバイスの種別ごとに種別類似度を算出するステップと、
　前記算出した種別類似度のうちの最大値が第２の閾値以上である場合、前記不明デバイスの種別を、前記最大値を示す種別と判定するステップと、を実行する、
　ことを特徴とする請求項３に記載のデバイス識別方法。