WO2020129610A1 - 検知装置、検知方法、および、検知プログラム - Google Patents
検知装置、検知方法、および、検知プログラム Download PDFInfo
- Publication number
- WO2020129610A1 WO2020129610A1 PCT/JP2019/047166 JP2019047166W WO2020129610A1 WO 2020129610 A1 WO2020129610 A1 WO 2020129610A1 JP 2019047166 W JP2019047166 W JP 2019047166W WO 2020129610 A1 WO2020129610 A1 WO 2020129610A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- communication
- model
- normal
- detection
- normal communication
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G16—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
- G16Y—INFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
- G16Y40/00—IoT characterised by the purpose of the information processing
- G16Y40/10—Detection; Monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Environmental & Geological Engineering (AREA)
- Evolutionary Computation (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Physics (AREA)
- Medical Informatics (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
検知装置(10)は、通信機器に装備される機能ごとに、当該機能が装備される通信機器の通信が正常か否かを判断するための正常通信モデルを記憶する記憶部から、監視対象の通信機器に装備される機能に応じた正常通信モデルを1以上取得するモデル取得部と、取得した1以上の正常通信モデルを結合するモデル結合部と、結合された正常通信モデルを用いて、監視対象の通信機器の通信を監視し、前記通信の異常を検知する検知部とを備える。
Description
本発明は、通信機器の通信の異常検知に用いられる検知装置、検知方法、および、検知プログラムに関する。
IoT(Internet of Things)時代の到来に伴い、様々なデバイスのセキュリティ対策のため、IoT機器向けのトラフィックセッション異常検知システムや侵入検知システム(IDS)が研究されている。
上記の異常検知システムの中には、Variational Auto Encoder(非特許文献1参照)等の教師なし学習による確率密度推定器を用いるものがある。
例えば、異常検知システムは、IoT機器の正常な通信パターンの発生確率を学習することにより、IoT機器の正常な通信を判断するための確率密度推定器(モデル)を作成する。そして、異常検知システムは、上記モデルを用いて、監視対象の各IoT機器の通信の発生確率を算出し、発生確率の小さい通信を正常ではない通信(異常な通信)として検知する。このようにすることで、悪性の通信パターンを知らずとも通信の異常を検知することができる。上記の方法は、例えば、すべての脅威情報を知り尽くせないIoT機器に対するサイバー攻撃の検知等に適している。
Auto-Encoding Variational Bayes、[平成30年11月30日検索]、インターネット<URL:https://arxiv.org/abs/1312.6114>
しかし、上記のように、IoT機器等の通信機器の正常な通信パターンを学習してモデルを作成する場合、モデル作成のための学習期間中は、通信機器の通信の異常を検知することができないので、上記のIoT機器等の通信機器は無防備な状態となる。しかも、正常な通信パターンの学習にはすべての正常な通信パターンを網羅する必要があるため、モデル作成のための学習期間が長くなることが多い。よって、通信機器が無防備な状態となる期間も長くなる可能性がある。
そこで、本発明は、前記した問題を解決し、通信機器の通信の異常の検知のためのモデルの学習期間に、当該通信機器が異常の検知が行われていない状態(無防備な状態)になることを防止することを課題とする。
前記した課題を解決するため、本発明は、通信機器に装備される機能ごとに、当該機能が装備される通信機器の通信が正常か否かを判断するための正常通信モデルを記憶する記憶部から、監視対象の通信機器に装備される機能に応じた前記正常通信モデルを1以上取得するモデル取得部と、前記取得された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知する検知部とを備えることを特徴とする。
本発明によれば、通信機器の通信の異常の検知のためのモデルの学習期間に、当該通信機器が異常の検知が行われていない状態(無防備な状態)になることを防止することができる。
以下、図面を参照しながら、本発明を実施するための形態(実施形態)について説明する。本発明は、以下に説明する実施形態に限定されない。
[概要]
まず、図1を用いて、本実施形態の検知装置10の概要を説明する。ここでは、検知装置10による異常の検知の対象(監視対象)となる通信機器がIoT機器である場合を例に説明する。また、各IoT機器は、ゲートウェイによりインターネットに接続されるものとする。
まず、図1を用いて、本実施形態の検知装置10の概要を説明する。ここでは、検知装置10による異常の検知の対象(監視対象)となる通信機器がIoT機器である場合を例に説明する。また、各IoT機器は、ゲートウェイによりインターネットに接続されるものとする。
まず、システムは、IoT機器を構成する要素(機能)ごとに、当該要素を備えるIoT機器が正常な通信を行っているか否かを判断するためのモデル(正常通信モデル)を用意しておく。この正常通信モデルは、例えば、各IoT機器が正常な通信を行っているときの通信情報(トラフィック情報等)を、当該IoT機器を構成する要素(例えば、カメラやセンサ)ごとに仕分けし、確率密度推定器を用いることで作成される。この正常通信モデルは、例えば、サーバ(図示省略)に蓄積される。
その後、監視対象のIoTネットワークに新たなIoT機器が追加された場合、検知装置10は、ゲートウェイ等から当該IoT機器の情報を取得する(S1)。なお、ここで取得する情報は、例えば、当該IoT機器の機種等の情報、所定期間における当該IoT機器の通信データ(トラフィック情報)等、当該IoT機器から速やかに取得できる情報であることが好ましい。検知装置10は、取得したIoT機器の情報に基づき、サーバに蓄積される既存の正常通信モデルのうち、どれを組み合わせれば当該IoT機器の通信の異常を検知可能かを判断する(S2)。
S2の後、検知装置10は、サーバから、当該IoT機器の異常を検知可能な正常通信モデルを取得し、結合し、結合した正常通信モデルを用いて、当該IoT機器の通信の監視を開始する(S3)。つまり、検知装置10は、結合した正常通信モデルを用いて、当該IoT機器の通信を監視し、当該IoT機器の通信に異常があればこれを検知する。
S3の後、検知装置10は、結合した正常通信モデルと実際の通信(当該IoT機器の実際の通信)との差異を、追加学習(fine-tuning)により吸収する(S4)。
例えば、検知装置10は、S3により当該IoT機器の通信の監視を開始した後、当該IoT機器の正常な通信データが充分蓄積された判断すると、当該通信データに基づき、結合した正常通信モデルの追加学習を行う。すなわち、検知装置10は、当該IoT機器の正常な通信について精度よく判定できるよう、結合した正常通信モデルの追加学習を行う。
例えば、図2に示すように、検知装置10による監視対象のIoT機器が行う正常な通信の範囲が、符号201に示す範囲である場合を考える。この場合、検知装置10は、監視対象のIoT機器の情報に基づき、既存の正常通信モデル(図2におけるモデル1~4)を選択し、結合する。そして、検知装置10は、結合した正常通信モデルを用いて、監視対象のIoT機器の通信の初期検知を開始する。
ここで、監視対象のIoT機器が行う正常な通信の範囲(符号201に示す範囲)と、上記のモデル1~4を結合したモデルにより正常な通信と判断される範囲とが一致しない場合もある。そこで、検知装置10は、監視対象のIoT機器の正常な通信データが蓄積されると、当該通信データを用いて、結合した正常通信モデル(図2におけるモデル1~4)の追加学習を行う。そして、検知装置10は、追加学習後の正常通信モデルを用いて、監視対象のIoT機器の通信の本格検知を開始する。
このように検知装置10は、まず、既存の正常通信モデルの組み合わせにより監視対象のIoT機器の通信の初期検知を行う。そして、検知装置10は、当該IoT機器の正常な通信データによる既存の正常通信モデルの追加学習が終わると、その追加学習後の正常通信モデルを用いて当該IoT機器の通信の本格検知を行う。これにより、検知装置10は、正常通信モデルの学習期間中に、当該IoT機器が異常の検知が行われていない状態(無防備な状態)になることを防止することができる。
[構成]
次に、図3を用いて、検知装置10を含むシステムの構成例を説明する。システムは、例えば、図3に示すように、1以上の通信機器1と、ゲートウェイ2と、サーバ3と、検知装置10とを備える。
次に、図3を用いて、検知装置10を含むシステムの構成例を説明する。システムは、例えば、図3に示すように、1以上の通信機器1と、ゲートウェイ2と、サーバ3と、検知装置10とを備える。
通信機器1は、通信機能を備える装置であり、例えば、ゲートウェイ2経由でインターネットに接続し、通信を行うIoT機器である。ゲートウェイ2は、各通信機器1をインターネット等のネットワークに接続する装置である。
サーバ3は、1以上の正常通信モデルを記憶するモデル記憶部31を備える。この正常通信モデルは、通信機器1に装備される機能ごとに、当該機能が装備される通信機器1の通信が正常な通信か否かを判断するためのモデルである。この正常通信モデルは、例えば、上記の確率密度推定器により実現される。
この正常通信モデルは、例えば、映像配信通信機能に関する正常通信モデル、DHCP(Dynamic Host Configuration Protocol)通信機能に関する正常通信モデル、管理用HTTP(HyperText Transfer Protocol)通信機能に関する正常通信モデル、NTP(Network Time Protocol)通信機能に関する正常通信モデル、温度通知用MQTT(Message Queue Telemetry Transport)通信機能に関する正常通信モデル等である。
例えば、監視対象の通信機器1がネットワークカメラである場合、検知装置10は、当該ネットワークカメラに装備される、映像配信通信機能に関する正常通信モデル、DHCP通信機能に関する正常通信モデル、管理用HTTP通信機能に関する正常通信モデル、NTP通信機能に関する正常通信モデル等を組み合わせることで、当該ネットワークカメラによる通信が正常か否かを判断することができる。
また、監視対象の通信機器1が、温度センサを備えるIoTセンサである場合、検知装置10は、当該IoTセンサに装備される、DHCP通信機能に関する正常通信モデル、NTP通信機能に関する正常通信モデル等を組み合わせることで、当該IoTセンサによる通信が正常か否かを判断することができる。
なお、この正常通信モデルは、例えば、通信機器1に用いられるプロトコルごとに用意されてもよいし、通信機器1の型番ごとに用意されてもよい。また、通信機器1の種別(ネットワークカメラ、センサ等)ごとに用意されてもよい、これらの組み合わせ(例えば、型番xxの機器のyyプロトコル)ごとに用意されてもよい。
検知装置10は、入出力部11と、記憶部12と、制御部13とを備える。入出力部11は、ネットワーク経由で各種情報の送受信を行う際のインタフェースを司る。記憶部12は、制御部13が動作する際に必要な各種情報を記憶する。また、記憶部12は、制御部13により結合された正常通信モデル、制御部13により追加学習が行われた後の正常通信モデル等を記憶する。
制御部13は、検知装置10全体の制御を司る。この制御部13は、モデル取得部131と、モデル結合部132と、検知部133と、追加学習部134とを備える。
モデル取得部131は、サーバ3から、監視対象の通信機器1に装備される機能に応じた正常通信モデルを1以上取得する。例えば、モデル取得部131は、監視対象の通信機器1から、当該通信機器1の機種や型番の情報を取得すると、当該情報に基づき、当該通信機器1にどのような機能が装備されるかを特定する。そして、モデル取得部131は、特定した機能それぞれに対応する正常通信モデルをサーバ3から取得する。
例えば、監視対象の通信機器1が機種Aのネットワークカメラである場合を考える。この場合、モデル取得部131は、当該機種Aのネットワークカメラに装備される、映像配信通信機能、DHCP通信機能、管理用HTTP通信機能およびNTP通信機能を特定する。サーバ3から、特定した、映像配信通信機能に関する正常通信モデル、DHCP通信機能に関する正常通信モデル、管理用HTTP通信機能に関する正常通信モデル、および、NTP通信機能に関する正常通信モデルを取得する。
モデル結合部132は、モデル取得部131により取得された正常通信モデルが複数ある場合、これらの正常通信モデルを結合する。例えば、正常通信モデルに、監視対象の通信機器1による通信(x)を入力とし、当該通信が正常な通信である確率密度を算出する確率密度関数p(x)が用いられる場合、モデル結合部132は、結合対象の正常通信モデルにおける確率密度関数p(x)の和算により、各正常通信モデルを結合する。例えば、モデル結合部132は、以下の式(1)により、各正常通信モデルに用いられる確率密度関数p(x)の和算を行う。
検知部133は、監視対象の通信機器1の通信を監視し、異常を検知する。例えば、検知部133は、モデル結合部132により結合された正常通信モデルを用いて、監視対象の通信機器1の通信を監視し、異常を検知する。なお、追加学習部134により、結合された正常通信モデルの追加学習が行われた後は、検知部133は、追加学習後の正常通信モデルを用いて、監視対象の通信機器1の通信を監視し、異常を検知する。
追加学習部134は、監視対象の通信機器1の正常な通信データを用いて、正常通信モデルの追加学習を行う。
例えば、追加学習部134は、監視対象の通信機器1の正常な通信データが所定量(例えば、1日分~1週間分)蓄積されたと判断すると、蓄積された通信データを用いて、結合された正常通信モデルの追加学習を行う。
なお、追加学習部134が、監視対象の通信機器1による正常な通信データを分析した結果、結合された正常通信モデルの中に不要な正常通信モデルが含まれていた場合、結合された正常通信モデルの中から不要な正常通信モデルを削除してもよい。
このようにすることで、追加学習部134は、モデル取得部131により取得され、結合された正常通信モデルについて、より検知精度の高いモデルにすることができる。
以上説明した検知装置10によれば、まず、既存の正常通信モデルの組み合わせにより監視対象のIoT機器の通信の初期検知を行う。そして、検知装置10は、当該IoT機器の正常な通信データによる既存の正常通信モデルの追加学習が終わると、その追加学習後の正常通信モデルを用いて当該IoT機器の通信の本格検知を行う。これにより、検知装置10は、正常通信モデルの学習期間中に、当該IoT機器が異常の検知が行われていない状態(無防備な状態)になることを防止することができる。
[処理手順]
次に、検知装置10の処理手順の例を説明する。まず、図4を用いて検知装置10が、サーバ3から取得した正常通信モデルを結合した正常通信モデルを用いて、監視対象の通信機器の通信を監視する手順の例を説明する。
次に、検知装置10の処理手順の例を説明する。まず、図4を用いて検知装置10が、サーバ3から取得した正常通信モデルを結合した正常通信モデルを用いて、監視対象の通信機器の通信を監視する手順の例を説明する。
例えば、検知装置10のモデル取得部131は、ゲートウェイ2から、監視対象の通信機器1の情報を取得すると(S11)、取得した情報に基づき、サーバ3に蓄積される正常通信モデルの中から、当該通信機器1の機能に対応する正常通信モデルを取得する(S12)。
S12の後、モデル結合部132は、S12で取得した正常通信モデルを結合する(S13)。そして、検知部133は、S13で結合した正常通信モデルを用いて、監視対象の通信機器1の通信を監視する(S14)。
例えば、検知部133は、ゲートウェイ2から、監視対象の通信機器1の通信データを取得すると、上記の結合した正常通信モデルを用いて、当該通信機器1の通信が正常か否かを判断する。その後、検知部133は、監視対象の通信機器1の通信の異常を検知すると(S15でYes)、その旨の通知を行う(S16)。また、検知部133が、監視対象の通信機器1の通信の異常を検知しなければ(S15でNo)、S14に戻る。
次に、図5を用いて、図4に示す処理の後、検知装置10が、結合した正常通信モデルの追加学習を行い、追加学習後の正常通信モデルを用いて、監視対象の通信機器の通信を監視する手順の例を説明する。
図4に示す処理の後、検知装置10の追加学習部134は、監視対象の通信機器1の正常な通信データの蓄積を開始し(S21)、正常な通信データが所定量蓄積されると(S22でYes)、蓄積された正常な通信データを用いて、結合した正常通信モデルの追加学習を行う(S23)。
S24の後、検知部133は、追加学習後の結合した正常通信モデルを用いて、監視対象の通信機器1の通信を監視する(S24)。例えば、検知部133は、ゲートウェイ2から、監視対象の通信機器1の通信データを取得すると、上記の追加学習後の結合した正常通信モデルを用いて、当該通信機器1の通信が正常か否かを判断する。その後、検知部133は、監視対象の通信機器1の通信の異常を検知すると(S25でYes)、その旨の通知を行う(S26)。また、検知部133が、監視対象の通信機器1の通信の異常を検知しなければ(S25でNo)、S24に戻る。
このようにすることで、検知装置10は、監視対象の通信機器1の通信に関する正常通信モデルの学習をしている間に、当該通信機器1が異常の検知が行われていない状態(無防備な状態)になることを防止することができる。
なお、前記した実施形態において検知装置10がサーバ3から取得する正常通信モデルは複数である場合を例に説明したが、1つであってもよい。その場合、検知装置10は、正常通信モデルの結合を行わず、検知部133は、サーバ3から取得した正常通信モデルを用いて初期検知を行う。また、追加学習部134は、サーバ3から取得した正常通信モデルの追加学習を行う。そして、上記の追加学習後、検知部133は、追加学習後の正常通信モデルを用いて本格検知を行う。
[プログラム]
また、上記の実施形態で述べた検知装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、検知装置10を、クラウドサーバに実装してもよい。
また、上記の実施形態で述べた検知装置10の機能を実現するプログラムを所望の情報処理装置(コンピュータ)にインストールすることによって実装できる。例えば、パッケージソフトウェアやオンラインソフトウェアとして提供される上記のプログラムを情報処理装置に実行させることにより、情報処理装置を検知装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータ、ラック搭載型のサーバコンピュータ等が含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等がその範疇に含まれる。また、検知装置10を、クラウドサーバに実装してもよい。
図6を用いて、上記のプログラム(検知プログラム)を実行するコンピュータの一例を説明する。図6に示すように、コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。ディスクドライブ1100には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1110およびキーボード1120が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1130が接続される。
ここで、図6に示すように、ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。前記した実施形態で説明した各種データや情報は、例えばハードディスクドライブ1090やメモリ1010に記憶される。
そして、CPU1020が、ハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、上記の検知プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、上記のプログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
1 通信機器
2 ゲートウェイ
3 サーバ
10 検知装置
11 入出力部
12 記憶部
13 制御部
131 モデル取得部
132 モデル結合部
133 検知部
134 追加学習部
2 ゲートウェイ
3 サーバ
10 検知装置
11 入出力部
12 記憶部
13 制御部
131 モデル取得部
132 モデル結合部
133 検知部
134 追加学習部
Claims (7)
- 通信機器に装備される機能ごとに、当該機能が装備される通信機器の通信が正常か否かを判断するための正常通信モデルを記憶する記憶部から、監視対象の通信機器に装備される機能に応じた前記正常通信モデルを1以上取得するモデル取得部と、
前記取得された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知する検知部と
を備えることを特徴とする検知装置。 - 前記監視対象の通信機器による正常な通信の通信データを用いて、前記取得された正常通信モデルの追加学習を行う追加学習部を備え、
前記検知部は、
前記追加学習後の正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知すること
を特徴とする請求項1に記載の検知装置。 - 前記検知装置は、さらに、
前記取得した正常通信モデルが複数ある場合、前記取得した複数の正常通信モデルを結合するモデル結合部を備え、
前記検知部は、
前記結合された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知する
を特徴とする請求項1に記載の検知装置。 - 前記正常通信モデルは、
前記機能が装備される通信機器による通信が正常な通信である確率密度を算出する確率密度関数を含み、
前記モデル結合部は、
前記取得した正常通信モデルそれぞれに含まれる前記確率密度関数の和算により、前記正常通信モデルを結合すること
を特徴とする請求項3に記載の検知装置。 - 前記監視対象の通信機器による正常な通信の通信データを用いて、前記結合された正常通信モデルの追加学習を行う追加学習部を備え、
前記検知部は、
前記追加学習後における結合された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知すること
を特徴とする請求項3に記載の検知装置。 - 検知装置により実行される検知方法であって、
通信機器に装備される機能ごとに、当該機能が装備される通信機器の通信が正常か否かを判断するための正常通信モデルを記憶する記憶部から、監視対象の通信機器に装備される機能に応じた前記正常通信モデルを1以上取得するモデル取得ステップと、
前記取得された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知する検知ステップと
を含んだことを特徴とする検知方法。 - 通信機器に装備される機能ごとに、当該機能が装備される通信機器の通信が正常か否かを判断するための正常通信モデルを記憶する記憶部から、監視対象の通信機器に装備される機能に応じた前記正常通信モデルを1以上取得するモデル取得ステップと、
前記取得された正常通信モデルを用いて、前記監視対象の通信機器の通信を監視し、前記通信の異常を検知する検知ステップと
をコンピュータに実行させることを特徴とする検知プログラム。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP19901078.6A EP3883190B1 (en) | 2018-12-19 | 2019-12-03 | Detection device, detection method, and detection program |
| AU2019404523A AU2019404523B2 (en) | 2018-12-19 | 2019-12-03 | Detection device, detection method, and detection program |
| CN201980082938.3A CN113196707A (zh) | 2018-12-19 | 2019-12-03 | 检测装置、检测方法及检测程序 |
| US17/413,954 US11489746B2 (en) | 2018-12-19 | 2019-12-03 | Detection device, detection method, and detection program |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018237795A JP7127525B2 (ja) | 2018-12-19 | 2018-12-19 | 検知装置、検知方法、および、検知プログラム |
| JP2018-237795 | 2018-12-19 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2020129610A1 true WO2020129610A1 (ja) | 2020-06-25 |
Family
ID=71100297
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2019/047166 WO2020129610A1 (ja) | 2018-12-19 | 2019-12-03 | 検知装置、検知方法、および、検知プログラム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US11489746B2 (ja) |
| EP (1) | EP3883190B1 (ja) |
| JP (1) | JP7127525B2 (ja) |
| CN (1) | CN113196707A (ja) |
| AU (1) | AU2019404523B2 (ja) |
| WO (1) | WO2020129610A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112804336B (zh) * | 2020-10-29 | 2022-11-01 | 浙江工商大学 | 故障检测方法、装置、系统、计算机可读存储介质 |
| AU2021434202B2 (en) * | 2021-03-19 | 2024-03-28 | Nippon Telegraph And Telephone Corporation | Traffic sensor, analysis method, and analysis program |
| WO2022259317A1 (ja) | 2021-06-07 | 2022-12-15 | 日本電信電話株式会社 | 検出装置、検出方法及び検出プログラム |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015069227A (ja) * | 2013-09-26 | 2015-04-13 | 株式会社Kddi研究所 | 認証サーバ、認証方法及び認証プログラム |
| JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
| US20170147941A1 (en) * | 2015-11-23 | 2017-05-25 | Alexander Bauer | Subspace projection of multi-dimensional unsupervised machine learning models |
| JP2017139558A (ja) * | 2016-02-02 | 2017-08-10 | 日本電信電話株式会社 | 異常検知装置、異常検知システム、異常検知方法、及びプログラム |
| US20180096261A1 (en) * | 2016-10-01 | 2018-04-05 | Intel Corporation | Unsupervised machine learning ensemble for anomaly detection |
| WO2018150616A1 (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | 異常音検出装置、異常度計算装置、異常音生成装置、異常音検出学習装置、異常信号検出装置、異常信号検出学習装置、これらの方法及びプログラム |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4720295B2 (ja) | 2005-06-02 | 2011-07-13 | 日本電気株式会社 | 異常検出システムおよび保全システム |
| CN101360023A (zh) * | 2008-09-09 | 2009-02-04 | 成都市华为赛门铁克科技有限公司 | 一种异常检测方法、装置及系统 |
| JP7017861B2 (ja) * | 2017-03-23 | 2022-02-09 | 株式会社日立製作所 | 異常検知システムおよび異常検知方法 |
| US10785244B2 (en) * | 2017-12-15 | 2020-09-22 | Panasonic Intellectual Property Corporation Of America | Anomaly detection method, learning method, anomaly detection device, and learning device |
-
2018
- 2018-12-19 JP JP2018237795A patent/JP7127525B2/ja active Active
-
2019
- 2019-12-03 AU AU2019404523A patent/AU2019404523B2/en active Active
- 2019-12-03 CN CN201980082938.3A patent/CN113196707A/zh active Pending
- 2019-12-03 US US17/413,954 patent/US11489746B2/en active Active
- 2019-12-03 WO PCT/JP2019/047166 patent/WO2020129610A1/ja unknown
- 2019-12-03 EP EP19901078.6A patent/EP3883190B1/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015069227A (ja) * | 2013-09-26 | 2015-04-13 | 株式会社Kddi研究所 | 認証サーバ、認証方法及び認証プログラム |
| JP2015108898A (ja) * | 2013-12-03 | 2015-06-11 | 日本電信電話株式会社 | 異常検知システム及び異常検知方法 |
| US20170147941A1 (en) * | 2015-11-23 | 2017-05-25 | Alexander Bauer | Subspace projection of multi-dimensional unsupervised machine learning models |
| JP2017139558A (ja) * | 2016-02-02 | 2017-08-10 | 日本電信電話株式会社 | 異常検知装置、異常検知システム、異常検知方法、及びプログラム |
| US20180096261A1 (en) * | 2016-10-01 | 2018-04-05 | Intel Corporation | Unsupervised machine learning ensemble for anomaly detection |
| WO2018150616A1 (ja) * | 2017-02-15 | 2018-08-23 | 日本電信電話株式会社 | 異常音検出装置、異常度計算装置、異常音生成装置、異常音検出学習装置、異常信号検出装置、異常信号検出学習装置、これらの方法及びプログラム |
Non-Patent Citations (3)
| Title |
|---|
| AUTO-ENCODING VARIATIONAL BAYES, 30 November 2018 (2018-11-30), Retrieved from the Internet <URL:https://arxiv.org/abs/1312.6114> |
| AZUMA NOBUHIRO : "An Evaluation of Distributed Cooperative Learning Architecture for Anomaly Detection in Multi-service Shared M2M Area Networks", IEICE TECHNICAL REPORT, vol. 116, no. 146, 13 July 2016 (2016-07-13), pages 75 - 80, XP009528129 * |
| See also references of EP3883190A4 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3883190A1 (en) | 2021-09-22 |
| CN113196707A (zh) | 2021-07-30 |
| US11489746B2 (en) | 2022-11-01 |
| US20220086074A1 (en) | 2022-03-17 |
| EP3883190A4 (en) | 2022-08-10 |
| JP2020102671A (ja) | 2020-07-02 |
| JP7127525B2 (ja) | 2022-08-30 |
| AU2019404523B2 (en) | 2022-10-20 |
| EP3883190B1 (en) | 2024-03-13 |
| AU2019404523A1 (en) | 2021-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109829297B (zh) | 监控装置、方法及其电脑存储介质 | |
| WO2020129610A1 (ja) | 検知装置、検知方法、および、検知プログラム | |
| US9900344B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| US10785255B1 (en) | Cluster configuration within a scalable malware detection system | |
| US10944784B2 (en) | Identifying a potential DDOS attack using statistical analysis | |
| US8706871B2 (en) | Tag latency monitoring and control system for enhanced web page performance | |
| US11936660B2 (en) | Self-training classification | |
| US20160014148A1 (en) | Web anomaly detection apparatus and method | |
| JP6691094B2 (ja) | 学習装置、検知システム、学習方法及び学習プログラム | |
| JP2008090504A (ja) | コンピュータ保守支援システム及び解析サーバ | |
| CN110941823B (zh) | 威胁情报获取方法及装置 | |
| US9871810B1 (en) | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties | |
| US20100169484A1 (en) | Unauthorized Communication Program Regulation System and Associated Program | |
| JP2016535365A (ja) | コンピュータネットワークにおけるルートキット検出 | |
| US20150281008A1 (en) | Automatic derivation of system performance metric thresholds | |
| JP2009049490A (ja) | ネットワーク監視装置、ネットワーク監視システム | |
| JP2019102011A (ja) | 学習装置、学習方法及び学習プログラム | |
| US20210036918A1 (en) | Network device-integrated asset tag-based environmental sensing with mutual authentication | |
| US20200296119A1 (en) | Apparatus and method for security control | |
| US11314573B2 (en) | Detection of event storms | |
| US20230281301A1 (en) | System and method for detecting and reporting system clock attacks within an indicators of attack platform | |
| WO2022180863A1 (ja) | ユーザ操作記録装置およびユーザ操作記録方法 | |
| US20240020390A1 (en) | Vulnerability assessment of machine images in development phase | |
| WO2017112215A1 (en) | Safer password manager, trusted services, and anti-phishing process | |
| WO2023180944A1 (en) | System and method for device attribute identification based on host configuration protocols |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 19901078 Country of ref document: EP Kind code of ref document: A1 |
|
| ENP | Entry into the national phase |
Ref document number: 2019901078 Country of ref document: EP Effective date: 20210614 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| ENP | Entry into the national phase |
Ref document number: 2019404523 Country of ref document: AU Date of ref document: 20191203 Kind code of ref document: A |