WO2021111576A1 - 通信制御システム、状態切替支援装置、状態切替支援方法及びプログラム - Google Patents

Abstract

一実施形態に係る通信制御システムは、防御対象の状態に応じて前記防御対象に対する通信を制御する通信制御装置が含まれる通信制御システムであって、予め収集された前記通信に関するデータを用いて、前記防御対象に対する網羅的な通信を表す格子点群と前記格子点群の各々の格子点に対応する状態とを対応付けた格子点データを生成する格子点生成手段と、前記格子点データと、現在の通信に関するデータとを用いて、前記格子点データに含まれる格子点群の中で、前記現在の通信に関するデータが表す点の近傍における前記状態の分布を表す状態分布を生成する状態分布生成手段と、過去から現在までの前記状態分布の変化から、前記状態が他の状態に遷移する時刻を予測する予測手段と、前記予測された時刻に、前記状態の切替指示を前記通信制御装置に送信する切替指示手段と、を有することを特徴とする。

Description

通信制御システム、状態切替支援装置、状態切替支援方法及びプログラム

　本発明は、通信制御システム、状態切替支援装置、状態切替支援方法及びプログラムに関する。

　複数のコンピュータが相互に通信するネットワークにおいて、不正なアクセスや攻撃からコンピュータ等を防御するための通信制御装置が従来から知られている（例えば、特許文献１）。このような通信制御装置では、防御対象（つまり、コンピュータ等）の状態に応じて、複数のルールのリストの中から適切なルールを適用して通信の遮断等を行っている。なお、ルールとは、攻撃と判断する通信の条件又は正常と判断する通信の条件とその通信に対してどのように対処するかとを定めたものである。

特許第６５７７４４２号公報

　ここで、通信制御装置が適切なルールを適用するためには、通信制御装置が認識している防御対象の状態が、防御対象の実際の状態と一致している必要がある。しかしながら、上記の従来技術では、防御対象の状態が切り替わった後、この切り替え後の状態を通信制御装置が認識するまでには複数の処理を実行する必要があり、通信制御装置が防御対象の実際の状態を認識するまでには時間的なズレ（タイムラグ）がある。言い換えれば、防御対象の実際の状態の切り替え時間と、通信制御装置が認識している状態の切り替え時間との間には時間的な差が存在する。

　このため、一時的に適切でないルールが適用されてしまう場合があり、例えば、攻撃と判断されるべき通信を正常と判断してしまったり、正常と判断されるべき通信を攻撃と判断してしまったりすることがある。

　本発明の一実施形態は、上記の点に鑑みてなされたもので、防御対象の状態切替の時間差を低減することを目的とする。

　上記目的を達成するため、一実施形態に係る通信制御システムは、防御対象の状態に応じて前記防御対象に対する通信を制御する通信制御装置が含まれる通信制御システムであって、予め収集された前記通信に関するデータを用いて、前記防御対象に対する網羅的な通信を表す格子点群と前記格子点群の各々の格子点に対応する状態とを対応付けた格子点データを生成する格子点生成手段と、前記格子点データと、現在の通信に関するデータとを用いて、前記格子点データに含まれる格子点群の中で、前記現在の通信に関するデータが表す点の近傍における前記状態の分布を表す状態分布を生成する状態分布生成手段と、過去から現在までの前記状態分布の変化から、前記状態が他の状態に遷移する時刻を予測する予測手段と、前記予測された時刻に、前記状態の切替指示を前記通信制御装置に送信する切替指示手段と、を有することを特徴とする。

　防御対象の状態切替の時間差を低減することができる。

第一の実施形態に係る通信制御システムの全体構成の一例を示す図である。 第一の実施形態に係る状態切替支援装置のハードウェア構成の一例を示す図である。 第一の実施形態に係る状態切替支援装置の機能構成の一例を示す図である。 第一の実施形態に係る格子点リスト生成処理の一例を示すフローチャートである。 第一の実施形態に係る状態分布生成処理の一例を示すフローチャートである。 第一の実施形態に係る近接格子点抽出処理の一例を示すフローチャートである。 近接格子点の探索範囲の一例を説明するための図である。 近接格子点群の一例を説明するための図である。 第一の実施形態に係る状態切替予測処理の一例を示すフローチャートである。 第一の実施形態に係るタイマー設定処理の一例を示すフローチャートである。 第一の実施形態に係る状態切替指示処理の一例を示すフローチャートである。 第二の実施形態に係る状態切替支援装置の機能構成の一例を示す図である。 第二の実施形態に係る状態切替予測処理の一例を示すフローチャートである。 切替制御条件ＤＢに格納されている切替制御条件の一例を示す図である。 第二の実施形態に係るタイマー設定処理の一例を示すフローチャートである。

　以下、本発明の各実施形態について説明する。以降の各実施形態では、防御対象の状態が切り替わった際に、この切り替え後の状態を通信制御装置が認識するまでの時間差を低減することが可能な通信制御システム１について説明する。

　［第一の実施形態］
　以降では、第一の実施形態について説明する。

　＜全体構成＞
　まず、本実施形態に係る通信制御システム１の全体構成について、図１を参照しながら説明する。図１は、第一の実施形態に係る通信制御システム１の全体構成の一例を示す図である。

　図１に示すように、本実施形態に係る通信制御システム１は任意のネットワーク環境に構築されたシステムであり、状態切替支援装置１０と、１以上の中継装置２０と、１以上の端末３０とが含まれる。

　中継装置２０は、防御対象の状態に応じて複数のルールの中から適切なルールを適用して、このルールに従って通信データの遮断等の通信制御を行う装置又は機器である。すなわち、中継装置２０は、このような通信制御機能を備える装置又は機器（例えば、ルータやゲートウェイ、ＩＰＳ（Intrusion Prevention System）等）である。なお、ルールとは、上述したように、攻撃と判断する通信の条件又は正常と判断する通信の条件とその通信に対してどのように対処するかとを定めた情報である。

　また、中継装置２０は、端末３０（防御対象）宛の通信データ又は端末３０（防御対象）から他の端末３０への通信データをミラーリングして、状態切替支援装置１０に送信する。なお、中継装置２０は、外部（例えば、ネットワークを介して通信可能な端末等）からルールの切替指示を受け付けることも可能である。

　端末３０は、中継装置２０が備える通信制御機能で防御対象となるコンピュータである。なお、端末３０としては、例えば、ＰＣ（パーソナルコンピュータ）やスマートフォン、タブレット端末等が挙げられる。ただし、防御対象は、端末３０に限られず、任意の機器又は装置（例えば、汎用サーバ、産業用機器、車載器、ＩｏＴ（IoT：Internet of Things）機器等）が防御対象であってもよい。

　ここで、防御対象には複数の状態が存在し、所定の条件に従ってその状態が遷移するものとする。状態としては、例えば、端末３０がスタンバイ中であることを示す「スタンバイ」、端末３０が通常運転中であることを示す「運転中」、端末３０が高負荷処理を実行中であることを示す「高運転中」等が挙げられる。なお、防御対象にどのような状態が存在し、どのような条件に従ってその状態が遷移するかは、防御対象やこれらの防御対象が含まれるシステムの目的等によって異なり得る。ただし、防御対象の状態は、後述する状態分類器によって分類可能であるものとする。

　状態切替支援装置１０は、中継装置２０から受信した通信データを用いて、防御対象の状態が切り替わる時刻を予測し、その予測した時刻に状態切替指示を中継装置２０に送信するコンピュータ又はコンピュータシステムである。なお、本実施形態では、防御対象の実際の状態を「防御対象状態」、中継装置２０が認識している防御対象の状態（つまり、中継装置２０で保持している、当該防御対象の状態）を「認識状態」とも表す。

　ここで、本実施形態に係る状態切替支援装置１０は、以下の手順（１）～（４）により防御対象状態が切り替わる時刻を予測し、状態切替指示を中継装置２０に送信する。

　（１）事前に準備したデータ（通信データ若しくはその特徴量を表すデータ又はその両方が含まれるデータ。又は、このデータを次元圧縮したデータ。以降、「事前準備データ」とも表す。）と、データから防御対象状態を推定するように予め学習させた状態分類器とを用いて、防御対象が送受信する可能性のある網羅的なデータの値（格子点）とそのときの防御状態の状態とを対応付けた格子点リストを生成する。

　（２）格子点リストを用いて、防御対象が受信等するデータの値に近接する格子点に対応付けられている状態の分布（以降、「状態分布」とも表す。）を生成する。

　（３）過去から現在までの状態分布の変化量から、防御対象状態が切り替わる時刻を予測する。

　（４）予測した時刻（以降、「切替予測時刻」とも表す。）に状態切替指示を中継装置２０に送信する。これにより、認識状態が防御対象状態に切り替わり、認識状態と防御対象状態とが一致する。

　ここで、上記の（１）は状態切替支援装置１０の運用前に事前に実行する必要がある「準備フェーズ」の処理であり、上記の（２）～（４）は状態切替支援装置１０の運用時に実行される「運用フェーズ」の処理である。

　なお、図１に示す通信制御システム１の構成は一例であって、他の構成であってもよい。例えば、状態切替支援装置１０と中継装置２０は一体で構成されていてもよい。

　＜ハードウェア構成＞
　次に、本実施形態に係る状態切替支援装置１０のハードウェア構成について、図２を参照しながら説明する。図２は、第一の実施形態に係る状態切替支援装置１０のハードウェア構成の一例を示す図である。

　図２に示すように、第一の実施形態に係る状態切替支援装置１０は一般的なコンピュータ又はコンピュータシステムで実現可能であり、入力装置１０１と、表示装置１０２と、外部Ｉ／Ｆ１０３と、通信Ｉ／Ｆ１０４と、プロセッサ１０５と、メモリ装置１０６とを有する。これら各ハードウェアは、それぞれがバス１０７を介して通信可能に接続されている。

　入力装置１０１は、例えば、キーボードやマウス、タッチパネル等である。表示装置１０２は、例えば、ディスプレイ等である。なお、状態切替支援装置１０は、入力装置１０１及び表示装置１０２のうちの少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ１０３は、外部装置とのインタフェースである。外部装置には、記録媒体１０３ａ等がある。状態切替支援装置１０は、外部Ｉ／Ｆ１０３を介して、記録媒体１０３ａの読み取りや書き込み等を行うことができる。なお、記録媒体１０３ａとしては、例えば、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等がある。

　通信Ｉ／Ｆ１０４は、状態切替支援装置１０が他の装置（例えば、中継装置２０）等とデータ通信を行うためのインタフェースである。プロセッサ１０５は、例えば、ＣＰＵ（Central Processing Unit）やＧＰＵ（Graphics Processing Unit）等の各種演算装置である。メモリ装置１０６は、例えば、ＨＤＤ（Hard Disk Drive）やＳＳＤ（Solid State Drive）、ＲＡＭ（Random Access Memory）、ＲＯＭ（Read Only Memory）、フラッシュメモリ等の各種記憶装置である。

　本実施形態に係る状態切替支援装置１０は、図２に示すハードウェア構成を有することにより、後述する各種処理を実現することができる。なお、図２に示すハードウェア構成は一例であって、状態切替支援装置１０は、他のハードウェア構成を有していてもよい。例えば、状態切替支援装置１０は、複数のプロセッサ１０５を有していてもよいし、複数のメモリ装置１０６を有していてもよい。

　＜機能構成＞
　次に、本実施形態に係る状態切替支援装置１０の機能構成について、図３を参照しながら説明する。図３は、第一の実施形態に係る状態切替支援装置１０の機能構成の一例を示す図である。

　図３に示すように、本実施形態に係る状態切替支援装置１０は、格子点生成部２０１と、状態分類部２０２と、状態分布生成部２０３と、状態切替予測部２０４と、認識状態切替指示部２０５とを有する。これら各機能部は、例えば、状態切替支援装置１０にインストールされた１以上のプログラムがプロセッサ１０５に実行させる処理により実現される。

　また、本実施形態に係る状態切替支援装置１０は、事前準備データＤＢ３０１と、格子点リストＤＢ３０２と、状態分布ＤＢ３０３とを有する。これら各ＤＢは、例えば、メモリ装置１０６等を用いて実現可能である。なお、これら各ＤＢのうちの少なくとも１つのＤＢが、状態切替支援装置１０とネットワークを介して接続される記憶装置（例えば、データベースサーバ等）を用いて実現されていてもよい。

　格子点生成部２０１は、準備フェーズにおいて、事前準備データＤＢ３０１に格納されている事前準備データを用いて、格子点リストを生成する。格子点生成部２０１によって生成された格子点リストは格子点リストＤＢ３０２に格納される。

　状態分類部２０２は、準備フェーズにおいて、格子点リストに含まれる各格子点を示すデータから、防御対象の状態を示す値（以降、「状態値」とも表す。）を推定する。また、状態分類部２０２は、運用フェーズにおいて、後述する実データから状態値を推定する。なお、後述するように、各格子点を示すデータと事前準備データと実データとはそれぞれ同一のデータ項目を有する。

　ここで、状態分類部２０２は、例えば、教師あり学習の手法によって予め学習させた任意の状態分類器により実現される。また、状態分類器の分類手法については特に限定されない。状態分類器の分類手法としては、例えば、ロジスティック回帰、サポートベクターマシン、決定木、ランダムフォレスト等を用いることが可能である。

　状態分布生成部２０３は、運用フェーズにおいて、格子点リストＤＢ３０２に格納されている格子点リストと、中継装置２０から受信した通信データ（又は、この通信データの特徴量を表すデータ又はその両方が含まれるデータ。又は、このデータを次元圧縮したデータ。）とを用いて、状態分布を生成する。状態分布生成部２０３によって生成された状態分布は状態分布ＤＢ３０３に格納される。なお、中継装置２０から受信した通信データ若しくはその特徴量を表すデータ又はその両方が含まれるデータ、又は、このデータを次元圧縮したデータのいずれかを「実データ」とも表す。

　ここで、事前準備データと実データとは同一のデータ項目を有するものとする。すなわち、例えば、事前準備データとして通信データを用いた場合には、実データとしても通信データを用いる。同様に、例えば、事前準備データとして通信データの特徴量を表すデータを用いた場合には、実データとしても通信データの特徴量を表すデータを用いる。同様に、例えば、事前準備データとして通信データと特徴量を表すデータとの両方が含まれるデータを用いた場合には、実データとしても通信データと特徴量を表すデータとの両方が含まれるデータを用いる。同様に、例えば、事前準備データとして通信データと特徴量を表すデータとの両方が含まれるデータを次元圧縮したデータを用いた場合には、実データとしても通信データと特徴量を表すデータとの両方が含まれるデータを次元圧縮したデータを用いる。

　状態切替予測部２０４は、運用フェーズにおいて、状態分布ＤＢ３０３に格納されている状態分布を用いて、防御対象状態が切り替わる時刻（以降、「切替予測時刻」とも表す。）を予測する。

　認識状態切替指示部２０５は、運用フェーズにおいて、切替予測時刻に状態切替指示を中継装置２０に送信する。

　事前準備データＤＢ３０１は、事前準備データが格納されている。事前準備データとは、上述したように、事前に準備した通信データ若しくはその特徴量を表すデータ又はその両方が含まれるデータ、又はこのデータを次元圧縮したデータのことである。時刻を表す時刻ステップｔにおける事前準備データは、データ項目数（次元数）をＩとして、Ｘ_ｔ＝（ｘ_ｔ ^１，ｘ_ｔ ^２，ｘ_ｔ ^３，・・・，ｘ_ｔ ^Ｉ）と表される。なお、通信データの特徴量を表すデータは、通信データを入力とする任意の特徴量抽出器（例えば、ローパスフィルタ等）を用いればよい。また、次元圧縮器としては、例えば、主成分分析の手法を用いた次元圧縮器、自己符号化器を用いて作成された次元圧縮器等を用いることができる。

　ここで、事前準備データのデータ項目数（つまり、次元数）としては任意の次元数を採用することができるが、例えば、状態分布を生成する際における状態値の推定に要する時間とその推定精度とのバランスから判断すると２又は３次元程度が好ましい。そこで、以降では、一例として、事前準備データは、通信データとその特徴量を表すデータとの両方が含まれるデータを次元圧縮した２次元データであるものとして説明する。したがって、実データも、通信データとその特徴量を表すデータとの両方が含まれるデータを次元圧縮した２次元データであるものとする。

　格子点リストＤＢ３０２は、格子点生成部２０１によって生成された格子点リストが格納される。格子点リストは、事前準備データから作成された格子点と、この格子点における状態値とが対応付けられたリストである。

　状態分布ＤＢ３０３は、状態分布生成部２０３によって生成された状態分布が格納される。状態分布は、格子点リストが表す状態値の分布中で、実データが示す点の近傍にある格子点が表す状態値の分布のことである。

　＜処理の詳細＞
　次に、本実施形態に係る状態切替支援装置１０の処理の詳細について説明する。

　　≪準備フェーズ≫
　まず、準備フェーズで実行される格子点リスト生成処理について、図４を参照しながら説明する。図４は、第一の実施形態に係る格子点リスト生成処理の一例を示すフローチャートである。

　格子点生成部２０１は、事前準備データのデータ項目を１つ選択する（ステップＳ１０１）。例えば、データ項目１とデータ項目２とが事前準備データに含まれている場合、格子点生成部２０１は、データ項目１及びデータ項目２のうち、１つのデータ項目を選択する。以降では、簡単のため、時刻ステップｔにおける事前準備データをＸ_ｔ＝（ｘ_ｔ，ｙ_ｔ）と表し、本ステップでデータ項目ｘ_ｔが選択されたものとする。

　次に、格子点生成部２０１は、各時刻ステップにおける事前準備データについて、上記のステップＳ１０１で選択したデータ項目の値を取得する（ステップＳ１０２）。例えば、時刻ステップｔ＝１，・・・，１００における事前準備データＸ_ｔが事前準備データＤＢ３０１に格納されている場合、格子点生成部２０１は、ｘ_１，ｘ_２，・・・，ｘ_１００を取得する。

　次に、格子点生成部２０１は、上記のステップＳ１０２で取得した値の上限値及び下限値を算出する（ステップＳ１０３）。例えば、格子点生成部２０１は、ｘ_１，ｘ_２，・・・，ｘ_１００のうちの最大値を上限値ｘ_ｓｕｐ、ｘ_１，ｘ_２，・・・，ｘ_１００のうちの最小値を下限値ｘ_ｉｎｆとする。

　次に、格子点生成部２０１は、予め設定された許容範囲値と、上記のステップＳ１０３で算出された上限値及び下限値とを用いて、グリッド上限値とグリッド下限値とを算出する（ステップＳ１０４）。例えば、許容範囲値をｒとして、格子点生成部２０１は、グリッド上限値をｘ_ｇｓｕｐ＝ｘ_ｓｕｐ＋ｒ、グリッド下限値をｘ_ｇｉｎｆ＝ｘ_ｉｎｆ－ｒとする。なお、許容範囲値は事前準備データの各データ項目で共通に設定されてもよいし、データ項目毎に設定されてもよい。また、グリッド上限値を算出するための許容範囲値と、グリッド下限値を算出するための許容範囲値とが異なっていてもよい。

　次に、格子点生成部２０１は、予め設定された間隔値と、上記のステップＳ１０４で算出されたグリッド上限値及びグリッド下限値とを用いて、グリッド上限値とグリッド下限値との間を分割する点リストを生成する（ステップＳ１０５）。例えば、間隔値をΔとして、格子点生成部２０１は、点リスト｛ｘ_ｇｉｎｆ，ｘ_ｇｉｎｆ＋Δ，ｘ_ｇｉｎｆ＋２Δ，ｘ_ｇｉｎｆ＋３Δ，・・・，ｘ_ｇｓｕｐ－２Δ，ｘ_ｇｓｕｐ－Δ，ｘ_ｇｓｕｐ｝を生成する。これにより、間隔値Δ毎に、グリッド下限値からグリッド上限値までの点のリストが生成される。以降では、簡単のため、ａ_１＝ｘ_ｇｉｎｆ，ａ_２＝ｘ_ｇｉｎｆ＋Δ，・・・，ａ_ｋ＝ｘ_ｇｓｕｐとして、データ項目ｘ_ｔに関する点リストを｛ａ_１，ａ_２，・・・，ａ_ｋ｝（ただし、ｋは２以上の整数）とする。

　次に、格子点生成部２０１は、事前準備データのデータ項目のうち、上記のステップＳ１０１で未選択のデータ項目があるか否かを判定する（ステップＳ１０６）。未選択のデータ項目がある場合、格子点生成部２０１は、上記のステップＳ１０１に戻る。これにより、事前準備データの各データ項目のそれぞれに関する点リストが得られる。例えば、上記のステップＳ１０２～ステップＳ１０５の処理をデータ項目ｙ_ｔについて実行することで、データ項目ｙ_ｔに関する点リスト｛ｂ_１，ｂ_２，・・・，ｂ_ｋ｝が得られる。

　上記のステップＳ１０６で未選択のデータ項目があると判定されなかった場合、格子点生成部２０１は、各データ項目に関する点リストから格子点リストを生成する（ステップＳ１０７）。すなわち、格子点生成部２０１は、点リストのインデックスの全ての組み合わせで表される点同士の組を１つの格子点とした格子点リストを生成する。例えば、格子点生成部２０１は、データ項目ｘ_ｔに関する点リスト｛ａ_１，ａ_２，・・・，ａ_ｋ｝とデータ項目ｙ_ｔに関する点リスト｛ｂ_１，ｂ_２，・・・，ｂ_ｋ｝とインデックスの全ての組み合わせ｛（１，１），・・・．（１，ｋ），（２，１），・・・，（２，ｋ），・・・，（ｋ，ｋ）｝で表される点同士の組を１つの格子点とした格子点リストを生成される。この場合、格子点リストは｛（ａ_１，ｂ_１），・・・，（ａ_１，ｂ_ｋ），（ａ_２，ｂ_１），・・・，（ａ_２，ｂ_ｋ），・・・，（ａ_ｋ，ｂ_ｋ）｝となる。

　これにより、データ項目数をＩとして、Ｉ次元空間の格子点のリストが得られる。この格子点リストが、防御対象が送受信する可能性のある網羅的なデータの値（格子点）である。

　次に、状態分類部２０２は、上記のステップＳ１０７で生成された格子点リストに含まれる各格子点を示すデータを入力し、これらデータから、当該データが示す格子点における状態値を推定する（ステップＳ１０８）。例えば、状態分類部２０２は、（ａ_１，ｂ_１），（ａ_２，ｂ_２），・・・，（ａ_ｋ，ｂ_ｋ）の各々を示すデータから状態値を推定する。以降では、（ａ_ｉ，ｂ_ｉ）を示すデータから推定された状態値をｓ_ｉで表す。

　次に、格子点生成部２０１は、格子点リストに含まれる各格子点と、上記のステップＳ１０８で得られた状態値のうち、当該格子点から推定された状態値とを対応付ける（ステップＳ１０９）。例えば、格子点生成部２０１は、格子点（ａ_ｉ，ｂ_ｉ）と、状態値ｓ_ｉとを対応付ける。これにより、例えば、格子点リスト｛（ａ_１，ｂ_１，ｓ_１），（ａ_２，ｂ_２，ｓ_２），・・・，（ａ_ｋ，ｂ_ｋ，ｓ_ｋ）｝が得られる。

　最後に、格子点生成部２０１は、上記のステップＳ１０８で得られた格子点リストを格子点リストＤＢ３０２に格納する（ステップＳ１１０）。これにより、事前準備データのデータ項目数をＩとして、Ｉ次元空間の格子点とこの格子点における状態値とが対応付けられた格子点リストが格子点リストＤＢ３０２に格納される。

　　≪運用フェーズ≫
　次に、準備フェーズで実行される処理について説明する。以降の準備フェーズでは、現在の時刻を示す時刻ステップＴにおいて、中継装置２０から状態切替支援装置１０に実データが送信されたものとする。

　まず、格子点リストを用いて、時刻ステップＴにおける状態分布を生成する状態分布生成処理について、図５を参照しながら説明する。図５は、第一の実施形態に係る状態分布生成処理の一例を示すフローチャートである。

　状態分布生成部２０３は、時刻ステップＴにおける実データを取得する（ステップＳ２０１）。なお、上述したように、実データは事前準備データと同一のデータ項目を有する。したがって、以降では、実データをＸ_Ｔ＝（ｘ_Ｔ，ｙ_Ｔ）と表す。

　次に、状態分布生成部２０３は、近接格子点抽出処理を実行して、近接格子点群の状態推定データを生成する（ステップＳ２０２）。ここで、本ステップにおける近接格子点抽出処理について、図６を参照しながら説明する。図６は、第一の実施形態に係る近接格子点抽出処理の一例を示すフローチャートである。

　状態分布生成部２０３は、格子点リストＤＢ３０２に格納されている格子点リストを用いて、実データの最近接格子点を探索する（ステップＳ３０１）。最近接格子点とは、格子点リストに含まれる格子点のうち、実データが示す点との距離が最も近い格子点のことである。すなわち、例えば、格子点リストに含まれる格子点（ａ_ｉ，ｂ_ｉ）のうち、実データが示す点（ｘ_Ｔ，ｙ_Ｔ）との距離が最も近い格子点（ａ_ｍｉｎ，ｂ_ｍｉｎ）のことである。この場合、最近接格子点は、図７の左図に示すように、２次元空間において、格子点リストに含まれる各格子点が表す格子点群の中で、実データが示す点と最も距離が近い格子点のことである。

　ここで、状態分布生成部２０３は、例えば、距離としてユークリッド距離を用いて、任意の探索アルゴリズム（例えば、線形探索や空間分解探索等）により最近接格子点を探索すればよい。なお、ユークリッド距離以外の任意の距離が用いられてもよい。

　次に、状態分布生成部２０３は、格子点リストに含まれる各格子点が表す格子点群に対して、上記のステップＳ３０１で探索された最近接格子点を含む探索範囲を設定する。（ステップＳ３０２）。例えば、図７の右図に示すように、最近接格子点を含む、所定の範囲の矩形領域を探索範囲として設定する。なお、探索範囲を表す矩形領域の各辺の長さ（２次元空間の場合は幅及び高さ）は任意に設定すればよい。

　次に、状態分布生成部２０３は、上記のステップＳ３０２で設定された探索範囲の中から近接格子点を抽出する（ステップＳ３０３）。ここで、状態分布生成部２０３は、実データが示す点を含む領域であって、かつ、探索範囲内の任意の領域（この領域を「抽出領域」とも表す。）に含まれる格子点を近接格子点として抽出すればよい。以降、近接格子点の抽出例をいくつか示す。

　・抽出例その１
　図８の左図に示すように、任意の四角形（矩形）領域を抽出領域として、この抽出領域に含まれる格子点を近接格子点として抽出する。

　・抽出例その２
　図８の中央の図に示すように、実データが示す点を中心とした所定の半径の円形領域を抽出領域として、この抽出領域に含まれる格子点を近接格子点として抽出する。

　・抽出例その３
　図８の右図に示すように、時刻ステップＴ－１における実データが示す点を考慮して、上記の抽出例その２で説明した円形領域のうち、この点が存在する方向の領域を除外した扇型領域を抽出領域として、この抽出領域に含まれる格子点を近接格子点として抽出する。ここで、例えば、時刻ステップＴにおける実データが示す点と時刻ステップＴ－１における実データが示す点とを通る直線をＬ：ｙ＝ｍ_１ｘ＋ｎ_１、時刻ステップＴにおける実データが示す点を中心として直線Ｌを＋θの傾けた直線をＰＬ：ｙ＝ｍ_２ｘ＋ｎ_２とした場合、加法定理によりｔａｎθ＝ｔａｎ（θ_１－θ_２）＝（ｔａｎθ_１－ｔａｎθ_２）／（１＋ｔａｎθ_１ｔａｎθ_２）＝（ｍ_１－ｍ_２）／（１＋ｍ_１ｍ_２）が成り立つため、θが求まり、直線ＰＬを求めることができる。直線Ｌを－θ方向に傾けた直線についても同様に求めることができるため、上記の扇型領域を特定することができる。なお、直線Ｌの傾きがゼロの場合には計算不可能であるため、もし直線Ｌの傾きがゼロである場合は、ゼロに近い値を直線Ｌの傾きとして利用する。

　次に、状態分布生成部２０３は、上記のステップＳ３０３で抽出された各近接格子点と、これらの近接格子点の各々に対応付けられている状態値とを含むデータを、近接格子点群の状態推定データとする（ステップＳ３０４）。すなわち、近接格子点群の状態推定データは、例えば、上記のステップＳ３０３で抽出された各格子点を｛（ａ_ｊ，ｂ_ｊ）；ｊ＝１，・・・，ｍ｝とすれば、近接格子点群の状態推定データは、｛（ａ_ｊ，ｂ_ｊ，ｓ_ｊ）；ｊ＝１，・・・，ｍ｝と表される。

　図５の説明に戻る。ステップＳ２０２に続いて、状態分類部２０２は、近接格子点群の状態推定データから、時刻ステップＴにおける状態分布を生成する（ステップＳ２０３）。状態分類部２０２は、状態値毎に、この状態値と対応付けられている格子点の個数を算出し、当該状態値とその個数とを対応付けることで状態分布を生成する。例えば、防御対象が３つの状態を取り得るものとして、ｓ_ｊ∈｛０，１，２｝とする。この場合、状態分類部２０２は、近接格子点群の状態推定データに含まれる各格子点（ａ_ｊ，ｂ_ｊ）の中で、ｓ_ｊ＝０と対応付けられている格子点（ａ_ｊ，ｂ_ｊ）の個数Ｎ_Ｔと、ｓ_ｊ＝１と対応付けられている格子点（ａ_ｊ，ｂ_ｊ）の個数Ｍ_Ｔと、ｓ_ｊ＝２と対応付けられている格子点（ａ_ｊ，ｂ_ｊ）の個数Ｌ_Ｔとをそれぞれ算出し、時刻ステップＴにおける状態分布をＤ_Ｔ＝｛（ｓ＝０，Ｎ_Ｔ），（ｓ＝１，Ｍ_Ｔ），（ｓ＝２，Ｌ_Ｔ）｝とする。なお、ｓは状態値である。

　次に、状態分類部２０２は、上記のステップＳ２０１で取得された実データから状態値を推定する（ステップＳ２０４）。例えば、状態分類部２０２は、実データＸ_Ｔ＝（ｘ_Ｔ，ｙ_Ｔ）から状態値ｓ_Ｔを推定する。

　次に、状態分布生成部２０３は、実データと、上記のステップＳ２０４で推定された状態値とを対応付けた実状態推定データを生成する（ステップＳ２０５）。例えば、状態分布生成部２０３は、実データＸ_Ｔ＝（ｘ_Ｔ，ｙ_Ｔ）と状態値ｓ_Ｔとを対応付けた実状態推定データ（ｘ_Ｔ，ｙ_Ｔ，ｓ_Ｔ）を生成する。

　次に、状態分布生成部２０３は、上記のステップＳ２０３で生成された状態分布Ｄ_Ｔに対して重み付けを行って、重み付け後の状態分布Ｄ_Ｔを生成する（ステップＳ２０６）。状態分布生成部２０３は、状態分布Ｄ_Ｔに含まれる個数のうち、上記のステップＳ２０５で生成された実状態推定データに含まれる状態値に対応する個数を除去する（ゼロにする）ことで、状態分布Ｄ_Ｔに対して重み付けを行う。例えば、実状態推定データに含まれる状態値がｓ_Ｔ＝０である場合、状態分布生成部２０３は、Ｎ_Ｔ＝０とすることで、重み付け後の状態分布Ｄ_Ｔ＝｛（ｓ＝０，０），（ｓ＝１，Ｍ_Ｔ），（ｓ＝２，Ｌ_Ｔ）｝を生成する。

　なお、上記で説明した重み付けは一例であって、状態分布生成部２０３は、他の方法で重み付けを行ってもよい。例えば、状態分類器が複数存在する場合、これら複数の状態分類器の各々で状態分類部２０２を実現することが可能である。具体的には、ロジスティック回帰の状態分類器Ａと、サポートベクターマシンの状態分類器Ｂと、決定木の状態分類器Ｃと、ランダムフォレストの状態分類器Ｄとが存在する場合、これらの状態分類器Ａ～Ｄで状態分類部２０２Ａ～Ｄを実現することが可能である。この場合、図４の格子点リスト生成処理では、状態分類部２０２Ａを用いて生成した格子点リストＡと、状態分類部２０２Ｂを用いて生成した格子点リストＢと、状態分類部２０２Ｃを用いて生成した格子点リストＣと、状態分類部２０２Ｄを用いて生成した格子点リストＤとが格子点リストＤＢ３０２に格納される。したがって、上記のステップＳ２０２～ステップＳ２０３では、時刻ステップＴにおける状態分布をＤ_Ｔも、格子点リストＡを用いた状態分布Ｄ_Ｔ ^Ａと、格子点リストＢを用いた状態分布Ｄ_Ｔ ^Ｂと、格子点リストＣを用いた状態分布Ｄ_Ｔ ^Ｃと、格子点リストＤを用いた状態分布Ｄ_Ｔ ^Ｄとがえられる。

　そこで、これらの状態分布について、同一の状態値毎に、その状態値に対応付けられている個数の重み付け和を、当該状態値に対応付けることで、重み付け後の状態分布を生成してもよい。具体的には、例えば、
　Ｄ_Ｔ ^Ａ＝｛（ｓ＝０，Ｎ_Ｔ ^Ａ），（ｓ＝１，Ｍ_Ｔ ^Ａ），（ｓ＝２，Ｌ_Ｔ ^Ａ）｝
　Ｄ_Ｔ ^Ｂ＝｛（ｓ＝０，Ｎ_Ｔ ^Ｂ），（ｓ＝１，Ｍ_Ｔ ^Ｂ），（ｓ＝２，Ｌ_Ｔ ^Ｂ）｝
　Ｄ_Ｔ ^Ｃ＝｛（ｓ＝０，Ｎ_Ｔ ^Ｃ），（ｓ＝１，Ｍ_Ｔ ^Ｃ），（ｓ＝２，Ｌ_Ｔ ^Ｃ）｝
　Ｄ_Ｔ ^Ｄ＝｛（ｓ＝０，Ｎ_Ｔ ^Ｄ），（ｓ＝１，Ｍ_Ｔ ^Ｄ），（ｓ＝２，Ｌ_Ｔ ^Ｄ）｝
とした場合、各状態分類器の精度に応じて予め設定したパラメータａ，ｂ，ｃ，ｄ（ただし、ａ＋ｂ＋ｃ＋ｄ＝１）を用いて、
　Ｎ_Ｔ＝ａＮ_Ｔ ^Ａ＋ｂＮ_Ｔ ^Ｂ＋ｃＮ_Ｔ ^Ｃ＋ｄＮ_Ｔ ^Ｄ
　Ｍ_Ｔ＝ａＭ_Ｔ ^Ａ＋ｂＭ_Ｔ ^Ｂ＋ｃＭ_Ｔ ^Ｃ＋ｄＭ_Ｔ ^Ｄ
　Ｌ_Ｔ＝ａＬ_Ｔ ^Ａ＋ｂＬ_Ｔ ^Ｂ＋ｃＬ_Ｔ ^Ｃ＋ｄＬ_Ｔ ^Ｄ
を算出し、重み付け後の状態分布Ｄ_Ｔ＝｛（ｓ＝０，Ｎ_Ｔ），（ｓ＝１，Ｍ_Ｔ），（ｓ＝２，Ｌ_Ｔ）｝としてもよい。また、更に、この重み付け後の状態分布Ｄ_Ｔに関して、上記のステップＳ２０５で生成された実状態推定データに含まれる状態値に対応する個数を除去（ゼロにする）してもよい。

　そして、状態分布生成部２０３は、重み付け後の状態分布Ｄ_Ｔを状態分布ＤＢ３０３に格納する（ステップＳ２０７）。以降では、この重み付け後の状態分布Ｄ_Ｔを単に「状態分布Ｄ_Ｔ」又は「時刻ステップＴにおける状態分布Ｄ_Ｔ」とも表す。

　なお、本実施形態では、上記のステップＳ２０３で生成された状態分布Ｄ_Ｔに対して重み付けを行ったが、これに限られず、例えば、重み付けを行わずに、上記のステップＳ２０３で生成された状態分布Ｄ_Ｔを状態分布ＤＢ３０３に格納してもよい。

　続いて、過去から現在までの状態分布の変化量を用いて切替予測時刻を算出する状態切替予測処理について、図９を参照しながら説明する。図９は、第一の実施形態に係る状態切替予測処理の一例を示すフローチャートである。

　状態切替予測部２０４は、時刻ステップＴにおける状態分布Ｄ_Ｔを状態分布ＤＢ３０３から取得する（ステップＳ４０１）。すなわち、状態切替予測部２０４は、現在の状態分布Ｄ_Ｔを取得する。

　次に、状態切替予測部２０４は、時刻ステップＴ－１，Ｔ－２，・・・，Ｔ－ｎにおける状態分布Ｄ_Ｔ－１，Ｄ_Ｔ－２，・・・，Ｄ_Ｔ－ｎを状態分布ＤＢ３０３からそれぞれ取得する（ステップＳ４０２）。すなわち、状態切替予測部２０４は、過去の状態分布Ｄ_Ｔ－１，Ｄ_Ｔ－２，・・・，Ｄ_Ｔ－ｎを取得する。

　次に、状態切替予測部２０４は、現在の状態分布Ｄ_Ｔと、過去の状態分布Ｄ_Ｔ－１，Ｄ_Ｔ－２，・・・，Ｄ_Ｔ－ｎの各々とを比較する（ステップＳ４０３）。

　次に、状態切替予測部２０４は、上記のステップＳ４０３での比較の結果、現在の状態分布Ｄ_Ｔと、過去の状態分布Ｄ_Ｔ－１，Ｄ_Ｔ－２，・・・，Ｄ_Ｔ－ｎとで差がないか否かを判定する（ステップＳ４０４）。

　上記のステップＳ４０４で差がないと判定された場合（つまり、時刻ステップＴ－ｎ～時刻Ｔまでの状態分布が全て同じである場合）、状態切替予測部２０４は、「未定」を意味する値を切替予測時刻に設定する（ステップＳ４０５）。

　一方で、上記のステップＳ４０４で差があると判定された場合、（つまり、時刻ステップＴ－ｎ～時刻Ｔまでの状態分布の少なくとも１つが異なる場合）、状態切替予測部２０４は、現在の状態以外の各状態について、過去の状態分布Ｄ_Ｔ－１，Ｄ_Ｔ－２，・・・，Ｄ_Ｔ－ｎの変化量から、当該状態の格子点数（つまり、当該状態を表す状態値に対応付けられている、格子点の個数）を近似する近似線を作成する（ステップＳ４０６）。すなわち、状態切替予測部２０４は、格子点数をｚとして、格子点数ｚを近似する時刻ステップｔの関数ｚ＝ｆ（ｔ）で表される近似線を作成する。なお、近似線は、一次関数で表される線に限られず、例えば、二次関数やｓｉｎ関数、ｓｉｇｍｏｉｄ関数等で表される線であってもよい。

　例えば、現在の状態の状態値がｓ_Ｔ＝０である場合、状態切替予測部２０４は、状態値ｓ＝１の格子点数の近似線ｚ＝ｆ_１（ｔ）と、状態値ｓ＝２の格子点数の近似線ｚ＝ｆ_２（ｔ）とを作成する。この場合、状態切替予測部２０４は、状態値ｓ＝１の格子点数の近似線として、時刻ステップＴ－１，Ｔ－２，・・・，Ｔ－ｎで格子点数Ｍ_Ｔ－２，・・・，Ｍ_Ｔ－ｎをそれぞれ近似する近似線ｆ_１を作成すればよい。同様に、状態値ｓ＝２の格子点数の近似線として、時刻ステップＴ－１，Ｔ－２，・・・，Ｔ－ｎで格子点数Ｌ_Ｔ－１，Ｌ_Ｔ－２，・・・，Ｌ_Ｔ－ｎをそれぞれ近似する近似線ｆ_２を作成すればよい。なお、近似線の作成には、点群から近似線を得るための任意の手法を用いることができる。このような手法としては、例えば、最小二乗法等が挙げられる。

　なお、上記のステップＳ４０６では、現在の状態以外の状態に関して近似線を作成したが、例えば、現在の状態に対する遷移先（切替先）の状態が決まっている場合には、この遷移先の状態に関する近似線のみを作成してもよい。以降では、一例として、現在の状態に対する遷移先の状態は１つに決まっているものとして説明を続ける。

　次に、状態切替予測部２０４は、上記のステップＳ４０６で作成された近似線から、時刻ステップＴにおける切替予測時刻を算出する（ステップＳ４０７）。状態切替予測部２０４は、格子点数が所定の閾値を超える時刻ステップを、時刻ステップＴにおける切替予測時刻とすればよい。すなわち、状態切替予測部２０４は、例えば、予め設定した閾値をＴｈとして、ｆ_１（ｔ）≧Ｔｈを満たす最小のｔを、現在の状態から状態値ｓ＝１の状態に切り替わる切替予測時刻として算出すればよい。時刻ステップＴにおける切替予測時刻は、例えば、メモリ装置１０６に格納される。

　なお、Ｔｈは任意の値を設定することが可能であるが、例えば、Ｔｈ＝（Ｎ_Ｔ＋Ｍ_Ｔ＋Ｌ_Ｔ）／２等とすることが考えられる。

　続いて、上記で算出した切替予測時刻を用いて、タイマー（つまり、切替予測時刻になったことを検知するためのタイマー）を設定するタイマー設定処理について、図１０を参照しながら説明する。図１０は、第一の実施形態に係るタイマー設定処理の一例を示すフローチャートである。

　認識状態切替指示部２０５は、今回の切替予測時刻（つまり、時刻ステップＴにおける切替予測時刻）を取得する（ステップＳ５０１）。

　次に、認識状態切替指示部２０５は、前回の切替予測時刻（つまり、時刻ステップＴ－１における切替予測時刻）が存在するか否かを判定する（ステップＳ５０２）。

　上記のステップＳ５０２で前回の切替予測時刻が存在すると判定されなかった場合（つまり、メモリ装置１０６内に時刻ステップＴ－１における切替予測時刻が記憶されていない場合）、認識状態切替指示部２０５は、現在の時刻ステップＴから、時刻ステップＴにおける切替予測時刻までの時刻ステップ数を、タイマーに設定する（ステップＳ５０３）。すなわち、時刻ステップＴにおける切替予測時刻をＴ´とした場合、認識状態切替指示部２０５は、ΔＴ＝Ｔ´－Ｔをタイマーに設定する。

　一方で、上記のステップＳ５０２で前回の切替予測時刻が存在すると判定された場合、認識状態切替指示部２０５は、今回の切替予測時刻と前回の切替予測時刻とを比較する（ステップＳ５０４）。

　次に、認識状態切替指示部２０５は、上記のステップＳ４０４での比較の結果、今回の切替予測時刻と前回の切替予測時刻との差が、予め設定された誤差以内であるか否かを判定する（ステップＳ５０５）。

　上記のステップＳ５０５で誤差以内であると判定されなかった場合、認識状態切替指示部２０５は、今回の切替予測時刻でタイマーを補正する（ステップＳ５０６）。例えば、認識状態切替指示部２０５は、上述したΔＴをタイマーに設定してもよいし、現在のタイマーの値とΔＴとの平均又は重み付き平均をタイマーに設定してもよい。

　続いて、上記で設定されたタイマーを用いて、切替予測時刻になった場合に中継装置２０に状態切替指示を送信する状態切替指示処理について、図１１を参照しながら説明する。図１１は、第一の実施形態に係る状態切替指示処理の一例を示すフローチャートである。この状態切替指示処理は、例えば、時刻ステップ毎に繰り返し実行される。

　認識状態切替指示部２０５は、タイマーが０であるか否かを判定する（ステップＳ６０１）。

　上記のステップＳ６０１でタイマーが０でないと判定された場合、認識状態切替指示部２０５は、タイマーをカウントダウン（つまり、タイマーの値を１減算）する（ステップＳ６０２）。

　一方で、上記のステップＳ６０１でタイマーが０であると判定された場合、認識状態切替指示部２０５は、中継装置２０の認識状態を切り替えるための状態切替指示を送信する（ステップＳ６０３）。これにより、中継装置２０の認識状態が切り替わる。

　なお、上述したように、本実施形態では現在の状態に対する遷移先（切替先）の状態は１つに決まっているものとするが、例えば、現在の状態に対して遷移先の状態が複数存在する場合は、認識状態切替指示部２０５は、遷移先の状態を指定した状態切替指示を中継装置２０に送信すればよい。

　そして、認識状態切替指示部２０５は、タイマーをリセットし、各時刻ステップにおける切替予測時刻をメモリ装置１０６から削除する（ステップＳ６０４）。

　以上のように、本実施形態に係る状態切替支援装置１０は、準備フェーズで、過去の通信データやその特徴量を表すデータを用いて、防御対象の網羅的なデータの値とそのときの状態とを対応付けた格子点リストを生成する。そして、本実施形態に係る状態切替支援装置１０は、運用フェーズで、この格子点リストから生成される状態分布の変化量から、防御対象の状態が切り替わる時刻を予測する。これにより、運用フェーズでは防御対象の状態が切り替わる時刻を短時間で得ることが可能になるため、防御対象の実際の状態を中継装置２０が認識するまでの時間差を低減させることができる。

　［第二の実施形態］
　以降では、第二の実施形態について説明する。第二の実施形態では、防御対象の実際の状態を中継装置２０が認識するまでの時間差をより低減させると共に、切替予測時刻の予測精度を向上させる場合について説明する。なお、第二の実施形態では、主に、第一の実施形態との相違点について説明し、第一の実施形態と同様の構成要素についてはその説明を省略する。

　＜機能構成＞
　まず、本実施形態に係る状態切替支援装置１０の機能構成について、図１２を参照しながら説明する。図１２は、第二の実施形態に係る状態切替支援装置１０の機能構成の一例を示す図である。

　図１２に示すように、本実施形態に係る状態切替支援装置１０は第一の実施形態と同様の機能部を有するが、状態切替予測部２０４と認識状態切替指示部２０５の機能が異なる、また、本実施形態に係る状態切替支援装置１０は、切替制御条件ＤＢ３０４を更に有する。なお、切替制御条件ＤＢ３０４は、例えば、メモリ装置１０６等を用いて実現されていてもよいし、状態切替支援装置１０とネットワークを介して接続される記憶装置（例えば、データベースサーバ等）を用いて実現されていてもよい。

　状態切替予測部２０４は、第一の実施形態と異なり、格子点数を近似する近似線を時刻ステップ毎に都度作成するのではなく、予め作成された近似線を用いて切替予測時刻を算出する。これにより、本実施形態では、より短時間で切替予測時刻の算出が可能になる。

　認識状態切替指示部２０５は、切替制御条件ＤＢ３０４に格納されている切替制御条件を用いて切替予測時刻を修正した上で、この修正後の切替予測時刻までの時刻ステップ数をタイマーに設定する。これにより、より精度の高い切替予測時刻をタイマーに設定することができる。なお、切替制御条件ＤＢ３０４に格納されている切替制御条件の詳細については後述する。

　＜処理の詳細＞
　次に、本実施形態に係る状態切替支援装置１０の処理の詳細について説明する。なお、本実施形態では、状態切替予測処理とタイマー設定処理とが第一の実施形態と異なり、その他の処理は第一の実施形態と同様である。このため、以降では、状態切替処理とタイマー設定処理のみについて説明する。

　まず、本実施形態に係る状態切替予測処理について、図１３を参照しながら説明する。図１３は、第二の実施形態に係る状態切替予測処理の一例を示すフローチャートである。

　状態切替予測部２０４は、時刻ステップＴにおける状態分布Ｄ_Ｔを状態分布ＤＢ３０３から取得する（ステップＳ７０１）。

　次に、状態切替予測部２０４は、上記のステップＳ７０１で取得された状態分布Ｄ_Ｔについて、現在の状態から遷移先となる状態の格子点数が存在する（つまり、０でない）か否かを判定する（ステップＳ７０２）。

　上記のステップＳ７０２で遷移先となる状態の格子点数が存在しない場合（つまり、当該格子点数がゼロである場合）、状態切替予測部２０４は、「未定」を意味する値を切替予測時刻に設定する（ステップＳ７０３）。

　一方で、上記のステップＳ７０２で遷移先となる状態の格子点数が存在する場合（つまり、当該格子点数がゼロでない場合）、状態切替予測部２０４は、遷移先となる状態の格子点数と、予め作成された近似線とを用いて、切替予測時刻を算出する（ステップＳ７０４）。すなわち、遷移先となる状態に対応する近似線がｚ＝ｆ（ｔ）で表される場合、状態切替予測部２０４は、遷移先となる状態の格子点数をｚに代入して、ｔを算出することで、切替予測時刻を算出する。ここで、このような近似線を表す関数ｆは、準備フェーズにおいて、図９のステップＳ４０６で説明した方法と同様の方法により、事前準備データを用いて予め作成しておく。これにより、第一の実施形態と異なり、近似線を都度作成する必要がないため、より短時間で切替予測時刻の算出が可能になる。

　ここで、本実施形態に係るタイマー設定処理について説明する前に、切替制御条件ＤＢ３０４に格納されている切替制御条件について、図１４を参照しながら説明する。図１４は、切替制御条件ＤＢ３０４に格納されている切替制御条件の一例を示す図である。

　図１４に示すように、切替制御条件ＤＢ３０４には１以上の切替制御条件が格納されており、各切替制御条件には、例えば、「遷移元」と「遷移先」と「タイミング」と「シフト数」と「許容誤差」と「コマンド」とが含まれる。なお、これらの切替制御条件は、例えば、ユーザによって作成され、切替制御条件ＤＢ３０４に格納される。

　「遷移元」及び「遷移先」には、それぞれ遷移元の状態及び遷移先の状態が設定される。「タイミング」には、中継装置２０の認識状態を切り替える際に状態切替指示を送信するタイミングが設定される。「シフト数」には、中継装置２０の切替状態を切り替える際に状態切替指示を送信するタイミングを、切替予測時刻からどの程度シフトするかが設定される。

　例えば、「タイミング」に「切替前」、「シフト数」に「５０」が設定されている場合、切替予測時刻よりも５０時刻ステップ前に状態切替指示を送信することを表している。同様に、例えば、「タイミング」に「切替後」、「シフト数」に「１００」が設定されている場合、切替予測時刻よりも１００時刻ステップ後に状態切替指示を送信することを表している。一方で、例えば、「タイミング」に「時刻通り」が設定されている場合、切替予測時刻に状態切替指示を送信することを表している。

　「許容誤差」には、時刻ステップＴと時刻ステップＴ－１との間で切替予測時刻に差がある場合にその許容誤差が設定される。「コマンド」には、中継装置２０側でルールを切り替えるためのコマンドが設定される。

　なお、上述した切替制御条件は一例であって、切替制御条件には、「遷移元」、「遷移先」、「タイミング」、「シフト数」、「許容誤差」及び「コマンド」以外にも、様々な情報が含まれていてもよい。また、これらの切替制御条件は、ユーザが適宜追加したり、削除したり、修正したりすることが可能である。

　続いて、本実施形態に係るタイマー設定処理について、図１５を参照しながら説明する。図１５は、第二の実施形態に係るタイマー設定処理の一例を示すフローチャートである。

　認識状態切替指示部２０５は、今回の切替予測時刻（つまり、時刻ステップＴにおける切替予測時刻）を取得する（ステップＳ８０１）。

　次に、認識状態切替指示部２０５は、前回の切替予測時刻（つまり、時刻ステップＴ－１における切替予測時刻）が存在するか否かを判定する（ステップＳ８０２）。

　上記のステップＳ８０２で前回の切替予測時刻が存在すると判定されなかった場合（つまり、メモリ装置１０６内に時刻ステップＴ－１における切替予測時刻が記憶されていない場合）、認識状態切替指示部２０５は、該当の切替制御条件に含まれるタイミング及びシフト数を用いて時刻ステップＴにおける切替予測時刻を修正した上で、この修正後の切替予測時刻までの時刻ステップをタイマーに設定する（ステップＳ８０３）。すなわち、まず、認識状態切替指示部２０５は、切替制御条件ＤＢ３０４に格納されている切替制御条件のうち、現在の状態と遷移先の状態とがそれぞれ「遷移元」及び「遷移先」に設定されている切替制御条件を特定する。次に、認識状態切替指示部２０５は、特定した切替制御条件の「タイミング」及び「シフト数」に設定されている情報により切替予測時刻を修正した上で、時刻ステップＴから、当該修正後の切替予測時刻までの時刻ステップ数ΔＴをタイマーに設定する。これにより、該当の切替制御条件によって修正された時刻ステップ数がタイマーに設定される。

　一方で、上記のステップＳ８０２で前回の切替予測時刻が存在すると判定された場合、認識状態切替指示部２０５は、今回の切替予測時刻と前回の切替予測時刻とを比較する（ステップＳ８０４）。

　次に、認識状態切替指示部２０５は、上記のステップＳ８０４での比較の結果、今回の切替予測時刻と前回の切替予測時刻との差が、該当の切替制御条件の「許容誤差」に設定されている許容誤差以内であるか否かを判定する（ステップＳ８０５）。

　上記のステップＳ８０５で誤差以内であると判定されなかった場合、認識状態切替指示部２０５は、図１０のステップＳ５０６と同様に、今回の切替予測時刻でタイマーを補正する（ステップＳ８０６）。

　以上のように、本実施形態に係る状態切替支援装置１０は、運用フェーズで予め作成された近似線を用いて切替予測時刻を算出すると共に、ユーザによって予め作成された切替制御条件により切替予測時刻を修正する。これにより、防御対象の実際の状態を中継装置２０が認識するまでの時間差をより低減させると共に、切替予測時刻の予測精度を向上させることが可能となる。

　本発明は、具体的に開示された上記の各実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。

　１　　　　通信制御システム
　１０　　　状態切替支援装置
　２０　　　中継装置
　３０　　　端末
　１０１　　入力装置
　１０２　　表示装置
　１０３　　外部Ｉ／Ｆ
　１０３ａ　記録媒体
　１０４　　通信Ｉ／Ｆ
　１０５　　プロセッサ
　１０６　　メモリ装置
　１０７　　バス
　２０１　　格子点生成部
　２０２　　状態分類部
　２０３　　状態分布生成部
　２０４　　状態切替予測部
　２０５　　認識状態切替指示部
　３０１　　事前準備データＤＢ
　３０２　　格子点リストＤＢ
　３０３　　状態分布ＤＢ
　３０４　　切替制御条件ＤＢ

Claims (8)

1. 　防御対象の状態に応じて前記防御対象に対する通信を制御する通信制御装置が含まれる通信制御システムであって、
   　予め収集された前記通信に関するデータを用いて、前記防御対象に対する網羅的な通信を表す格子点群と前記格子点群の各々の格子点に対応する状態とを対応付けた格子点データを生成する格子点生成手段と、
   　前記格子点データと、現在の通信に関するデータとを用いて、前記格子点データに含まれる格子点群の中で、前記現在の通信に関するデータが表す点の近傍における前記状態の分布を表す状態分布を生成する状態分布生成手段と、
   　過去から現在までの前記状態分布の変化から、前記状態が他の状態に遷移する時刻を予測する予測手段と、
   　前記予測された時刻に、前記状態の切替指示を前記通信制御装置に送信する切替指示手段と、
   　を有することを特徴とする通信制御システム。
2. 　前記通信に関するデータは、前記防御対象が送受信する通信データ若しくは前記通信データの特徴量を表す特徴量データ、又は前記通信データ及び前記特徴量データを含むデータ、又は前記通信データ及び前記特徴量データを含むデータを次元圧縮したデータであることを特徴とする請求項１に記載の通信制御システム。
3. 　前記状態分布生成手段は、
   　前記格子点群のうち、前記現在の通信に関するデータが表す点の近傍に含まれる格子点の個数を前記状態毎に算出し、算出した前記状態毎の個数を前記状態分布として生成し、
   　前記予測手段は、
   　過去から現在までの前記状態分布に含まれる前記状態毎の個数の変化から、前記状態が他の状態に遷移する時刻を予測する、ことを特徴とする請求項１又は２に記載の通信制御システム。
4. 　データから前記状態を推定する状態推定手段を有し、
   　前記格子点生成手段は、
   　前記格子点群と、前記格子点群の各々の前記格子点を表すデータから前記状態推定手段によって推定された状態とを対応付けた格子点データを生成する、ことを特徴とする請求項１乃至３の何れか一項に記載の通信制御システム。
5. 　前記状態分布生成手段は、
   　更に、前記現在の通信に関するデータと、前記現在の通信に関するデータから前記状態推定手段によって推定された状態とを用いて、前記状態分布に対して重み付けを行う、ことを特徴とする請求項４に記載の通信制御システム。
6. 　防御対象の状態に応じて前記防御対象に対する通信を制御する通信制御装置と接続される状態切替支援装置であって、
   　予め収集された前記通信に関するデータを用いて、前記防御対象に対する網羅的な通信を表す格子点群と前記格子点群の各々の格子点に対応する状態とを対応付けた格子点データを生成する格子点生成手段と、
   　前記格子点データと、現在の通信に関するデータとを用いて、前記格子点データに含まれる格子点群の中で、前記現在の通信に関するデータが表す点の近傍における前記状態の分布を表す状態分布を生成する状態分布生成手段と、
   　過去から現在までの前記状態分布の変化から、前記状態が他の状態に遷移する時刻を予測する予測手段と、
   　前記予測された時刻に、前記状態の切替指示を前記通信制御装置に送信する切替指示手段と、
   　を有することを特徴とする状態切替支援装置。
7. 　防御対象の状態に応じて前記防御対象に対する通信を制御する通信制御装置と接続される状態切替支援装置が、
   　予め収集された前記通信に関するデータを用いて、前記防御対象に対する網羅的な通信を表す格子点群と前記格子点群の各々の格子点に対応する状態とを対応付けた格子点データを生成する格子点生成手順と、
   　前記格子点データと、現在の通信に関するデータとを用いて、前記格子点データに含まれる格子点群の中で、前記現在の通信に関するデータが表す点の近傍における前記状態の分布を表す状態分布を生成する状態分布生成手順と、
   　過去から現在までの前記状態分布の変化から、前記状態が他の状態に遷移する時刻を予測する予測手順と、
   　前記予測された時刻に、前記状態の切替指示を前記通信制御装置に送信する切替指示手順と、
   　を実行することを特徴とする状態切替支援方法。
8. 　コンピュータを、請求項１乃至５の何れか一項に記載の通信制御システムにおける各手段として機能させるためのプログラム。

Images