WO2022176128A1

WO2022176128A1 - 分析装置、分析システム、分析方法、および、分析プログラム

Info

Publication number: WO2022176128A1
Application number: PCT/JP2021/006186
Authority: WO
Inventors: 貴大温品; 一凡張; 幸雄永渕; 高明小山
Original assignee: 日本電信電話株式会社
Priority date: 2021-02-18
Filing date: 2021-02-18
Publication date: 2022-08-25
Also published as: JPWO2022176128A1; US20240129202A1

Abstract

サーバ（１００）は、IoTデバイスの通信を監視するセンサ（２０）から、正常通信モデルを取得する。次に、サーバ（１００）は、取得した正常通信モデルのうち、同じ機種、同じ特徴量に関する正常通信モデル群をクラスタリングする。そして、サーバ（１００）は、クラリタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、多数派クラスタに属する正常通信モデル群の平均モデルを算出する。そして、サーバ（１００）は、当該正常通信モデルの取得元のセンサ（２０）に対し、当該正常通信モデルが多数派クラスタに属するか否かを示す帰属情報および平均モデルを通知する。

Description

分析装置、分析システム、分析方法、および、分析プログラム

　本発明は、分析装置、分析システム、分析方法、および、分析プログラムに関する。

　従来、IoT（Internet　of　Things）デバイスの通信の異常を検知する技術が提案されている。例えば、ネットワークトラフィックセンサ（以下、適宜、センサと略す）が、IoTデバイスからの通信における送信パケット数や宛先ＩＰアドレス数等を特徴量として用いて、正常な通信を示す正常通信モデルを学習する。そして、センサは、学習した正常通信モデルを用いて、例えば、IoTデバイスのマルウェア感染等によって発生する、異常な通信のふるまいを検知する。

　この正常通信モデルの学習においては、対象のIoTデバイスの機種ごとに、正規分布を利用して、正常な通信を行っているときの各種特徴量を学習する。例えば、センサは、IoTデバイスの通信の各種特徴量を用いて正常通信モデルの学習を開始し、通信の振る舞いが安定したと判断すると、当該正常通信モデルの学習を終了する（特許文献１参照）。そして、センサは、学習後の正常通信モデルを用いて、IoTデバイスの通信の異常を検知する。

特開2019-213103号公報

　従来、センサにおいて、正常通信モデルに基づき、IoTデバイスの通信の異常が検知されると、検知アラートの情報を調査する。そして、検知された通信が、正常な通信であることが判明すると、センサの管理者等は、過検知の再発を防ぐため正常通信モデルを更新する。

　その際、管理者が、正常通信モデルを更新すべきか否かを検知アラートの情報のみから判断をするのは、難しい場合もある。そのため、管理者は、正常通信モデルの適切な更新ができずに、過検知が再発してしまう可能性がある。

　また、従来技術において、通信データの特徴量のうち、時間的な増減が安定している特徴量については、正常通信モデルの学習に用いることができる。しかし、本来、正常通信モデルの学習に用いることができる特徴量であっても、学習期間中に、ユーザ操作の介在等で一時的に通信の振る舞いの変化が発生すると、正常通信モデルの学習ができない。この場合、当該特徴量を監視対象外にする、正常通信モデルの再学習を実施する等の対策が必要である。

　これらの問題に対し、例えば、正常通信モデルの学習時間を長くしたり、正常通信モデルの学習時になるべく多くの通信の振る舞いを観測したりする等の改善方法が考えられる。しかし、上記の方法は、正常ではない通信の振る舞いも学習してしまうリスクが高くなる。また、学習処理に伴いマシン負荷が増大するという問題もある。

　そこで、本発明は、前記した問題を解決し、センサにおける適切な正常通信モデルの適用を支援することを課題とする。

　前記した課題を解決するため、本発明は、IoT（Internet　of　Things）デバイスの通信を監視する各ネットワークトラフィックセンサから、前記通信の監視に用いられる、当該IoTデバイスの正常な通信の特徴を示す正常通信モデルを取得する取得部と、取得した前記正常通信モデル群のうち、同じ特徴量に関する正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、前記多数派クラスタに属する正常通信モデル群の平均モデルを算出する算出部と、前記正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタに属するか否かを示す帰属情報および前記平均モデルを通知する通知部とを備えることを特徴とする。

　本発明によれば、センサにおける適切な正常通信モデルの適用を支援することができる。

図１は、本実施形態の分析装置（サーバ）を含むシステムの概要を説明する図である。図２は、サーバの構成例を示す図である。図３は、センサの構成例を示す図である。図４は、正常通信モデルの生成と、正常通信モデル間の差異の定義とを説明する図である。図５は、正常通信モデルの学習に成功および失敗について説明する図である。図６は、センサが正常通信モデルの学習に成功した場合における、システムの学習フェーズの処理手順の例を説明する図である。図７は、センサが正常通信モデルの学習に失敗した場合における、システムの学習フェーズの処理手順の例を説明する図である。図８は、システムの運用フェーズの処理手順の例を説明する図である。図９は、センサが正常通信モデルの学習に成功した場合における、システムの学習フェーズの処理手順の例を説明する図である。図１０は、センサが正常通信モデルの学習に失敗した場合における、システムの学習フェーズの処理手順の例を説明する図である。図１１は、システムの運用フェーズの処理手順の例を説明する図である。図１２は、分析プログラムを実行するコンピュータの構成例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は、以下に説明する実施形態に限定されない。

[概要]
　まず、図１を用いて、本実施形態の分析装置（サーバ）を含む分析システムの概要を説明する。分析システム（システム）１は、複数のネットワークトラフィックセンサ（センサ）２０と、サーバ１００とを備える。

　センサ２０は、IoT（Internet　of　Things）デバイスの機種ごと、特徴量ごとに正常な通信の特徴を示す正常通信モデルを備える。なお、この正常通信モデルに用いられる特徴量は、例えば、IoTデバイスの通信における、時間あたりの送信パケット数、宛先ＩＰアドレス数、ポート番号、パケットのバイト数等である。

　センサ２０は、例えば、監視対象とするIoTデバイスの機種ごとに通信の各特徴量に関する正常通信モデルを学習し、その学習した正常通信モデルを用いて、監視対象のIoTデバイスの通信が正常か否かを監視する。

　センサ２０は、例えば、機種ＡのIoTデバイスの通信における宛先ＩＰ数（宛先ＩＰアドレス数）に関する正常通信モデルを学習し、その学習した正常通信モデルを用いて、機種ＡのIoTデバイスの通信が正常か否かを監視する。

　サーバ１００は、センサ２０それぞれからIoTデバイスの正常通信モデルを取得する。そして、サーバ１００は、取得した正常通信モデル群について、互いに類似するもの同士が同じクラスタに属するよう、クラスタリングする。

　例えば、サーバ１００は、取得した機種ＡのIoTデバイスの宛先ＩＰ数に関する正常通信モデル群を、図１に示す、クラスタ１，２，３にクラスタリングする。そして、サーバ１００は、これらのクラスタのうち、最も多くの正常通信モデル群が属するクラスタ（多数派クラスタ）を算出する。

　その後、サーバ１００は、正常通信モデルの取得元のセンサ２０それぞれに対し、当該センサ２０から取得した正常通信モデルが多数派クラスタに属するか否かを通知する。

　また、サーバ１００は、多数派クラスタに属する正常通信モデル群の平均モデルを算出し、センサ２０それぞれに対し、算出した平均モデルを通知する。

　このようにすることで、サーバ１００は、各センサ２０に、当該センサ２０に保持される正常通信モデルが適切なものであるか否かを通知することができる。また、サーバ１００は、各センサ２０に適切な正常通信モデルを通知することができる。

［構成例］
［サーバ］
　次に、図２を用いて、サーバ１００の構成例を説明する。サーバ１００は、通信部１１０と、記憶部１２０と、制御部１３０とを備える。通信部１１０は、ネットワーク経由で外部装置（例えば、センサ２０）とのデータ通信を行う際のインタフェースである。

　記憶部１２０は、制御部１３０が各種処理を実行する際に参照するデータや、制御部１３０により生成されたデータを記憶する。例えば、記憶部１２０は、各センサ２０から取得された正常通信モデルや、制御部１３０により生成されたクラスタ情報（正常通信モデル群のクラスタリングの結果や、多数派クラスタ等を示した情報）を記憶する。また、例えば、記憶部１２０は、センサ２０ごとに当該センサ２０が適用している正常通信モデルの情報を記憶する。

　制御部１３０は、サーバ１００全体の制御を司る。制御部１３０は、取得部１３１と、算出部１３２と、判定部１３３と、通知部１３４とを備える。

　取得部１３１は、センサ２０から、当該センサ２０においてIoTデバイスの通信の監視に用いられる正常通信モデルを取得する。

　正常通信モデルは、例えば、図４の「（２）正常通信モデルの生成」の符号４０１に示すように、IoTデバイスにおける、単位時間あたりの送信パケット数の登場頻度の統計値を示したものである。

　正常通信モデルは、例えば、符号４０２に示すように、対象のIoTデバイスの機種の識別情報、統計値の算出に用いた特徴量（例えば、src_pkts（送信ＩＰパケット数））、統計値の分布種別（例えば、normal（正規分布））、パラメータ（例えば、平均値および標準偏差）等の情報を含んでいてもよい。

　図２の説明に戻る。算出部１３２は、取得部１３１により取得された正常通信モデルのうち、同じ機種、同じ特徴量に関する正常通信モデル群をクラスタリングする。例えば、取得部１３１により新たな正常通信モデルが取得されると、算出部１３２は、当該正常通信モデルを含む、当該正常通信モデルと同じ機種、同じ特徴量に関する正常通信モデル群をクラスタリングする。

　そして、算出部１３２は、上記のクラスタリングの結果に基づき、クラスタに属する正常通信モデルの数が最も多いクラスタである多数派クラスタを算出する。また、算出部１３２は、上記の多数派クラスタに属する正常通信モデル群の平均モデルを算出する。例えば、算出部１３２は、多数派クラスタに属する正常通信モデル群の重心に相当する正常通信モデルを平均モデルとして算出する。

　なお、算出部１３２が正常通信モデル群のクラスタリングを行う際には、例えば、KL　divergenceを用いる。例えば、図４の「（３）正常通信モデル間の差異の定義」に示すように、算出部１３２は、p(x)という正常通信モデルと、q(x)という正常通信モデルとをKL　div（KL　divergence。式（１）参照）で比較する。そして、算出部１３２は、互いに似た正常通信モデル群が同じクラスタに属するように、クラスタリングを行う。

　また、取得部１３１が、センサ２０から、パラメータ更新後の正常通信モデルを取得した場合、算出部１３２は、パラメータ更新後の正常通信モデルを含む、当該正常通信モデルの特徴量と同じ特徴量に関する正常通信モデル群を、再度クラスタリングする。そして、算出部１３２は、上記のクラスタリングの結果を用いて、多数派クラスタを再算出する。また、算出部１３２は、再算出後の多数派クラスタに属する正常通信モデル群の平均モデルを再算出する。

　図２の説明に戻る。判定部１３３は、取得部１３１により取得された正常通信モデルが、算出部１３２により算出された多数派クラスタに属するか否かを判定する。また、通知部１３４は、判定部１３３による判定の結果を示す情報（多数派クラスタへの帰属情報）と、算出部１３２により算出された多数派クラスタに属する正常通信モデル群の平均モデルとを、当該正常通信モデルの取得元のセンサ２０に通知する。

　また、算出部１３２が多数派クラスタの再算出を行った場合、判定部１３３は、各センサ２０から取得した正常通信モデルそれぞれが、再算出後の多数派クラスタに属するか否かを判定する。そして、判定部１３３により、いずれかの正常通信モデルが、再算出後の多数派クラスタに属しないと判定された場合、通知部１３４は、当該正常通信モデルの取得元のセンサ２０に対し、当該正常通信モデルが多数派クラスタから外れた旨および再算出後の平均モデルを通知する。

[センサ]
　次に、図３を用いて、センサ２０の構成例を説明する。センサ２０は、通信部２１と、記憶部２２と、制御部２３とを備える。通信部２１は、ネットワーク経由で外部装置（例えば、IoTデバイス、サーバ１００）とのデータ通信を行う際のインタフェースである。

　記憶部２２は、制御部２３が各種処理を実行する際に参照するデータや、制御部２３により生成されたデータを記憶する。例えば、記憶部２２は、制御部２３により生成された正常通信モデルや、サーバ１００から受信した平均モデルを記憶する。

　制御部２３は、学習部２３１と、監視部２３２と、送受信部２３３と、判定部２３４と、モデル管理部２３５とを備える。

　学習部２３１は、通信部２１経由で取得した監視対象のIoTデバイスの通信データの特徴量（例えば、時間あたりの送信パケット数、通信先のＩＰアドレス、ポート番号、パケットのバイト数等）に基づき、正常通信モデルの学習を行う。学習された正常通信モデルは記憶部２２に格納される。

　図４を参照しながら、正常通信モデルの学習例について説明する。ここでは、例えば、機種ＡのIoTデバイスの送信パケット数に関する正常通信モデルを学習（生成）する場合について説明する。

　まず、学習部２３１は、機種ＡのIoTデバイスの通信データの統計量のカウントを行う（（１））。例えば、学習部２３１は、機種ＡのIoTデバイスの時間ごとの送信パケット数をカウントする。

　次に、学習部２３１は、（１）で得られた機種ＡのIoTデバイスの通信データの統計量をカウント結果に基づき、正常通信モデルを生成する（（２））。例えば、学習部２３１は、（１）で得られた機種ＡのIoTデバイスの時間ごとの送信パケット数に基づき、時間あたりの送信パケット数の登場頻度の統計値を求め、符号４０１，４０２に示す正常通信モデルを生成する。

　なお、学習部２３１は、正常通信モデルの学習に失敗する場合もある。例えば、正常通信モデルの学習期間中に通信の振る舞いに一時的な変化が発生すると、学習部２３１は正常通信モデルの学習ができない。つまり、学習部２３１は、正常通信モデルの学習に失敗する場合がある。その場合、送受信部２３３は、サーバ１００へ、当該センサ２０において正常通信モデルの学習に失敗した旨を通知する。

　図３の説明に戻る。監視部２３２は、記憶部２２の正常通信モデルまたは平均モデルを用いて、監視対象のIoTデバイスの通信を監視する。例えば、監視部２３２は、正常通信モデルを用いて、監視対象のIoTデバイスの通信が正常な通信か否かを監視する。なお、監視部２３２は、IoTデバイスの通信を監視する際、正常通信モデルと異常通信モデル（異常な通信の特徴を示すモデル）とを組み合わせて監視してもよい。

　送受信部２３３は、サーバ１００との間で各種データの送受信を行う。例えば、送受信部２３３は、学習部２３１が新たな正常通信モデルを学習した場合や、正常通信モデルのパラメータが更新された場合、新たな正常通信モデルやパラメータ更新後の正常通信モデルをサーバ１００へ送信する。

　また、送受信部２３３は、学習部２３１が正常通信モデルの学習に失敗した場合、正常通信モデルの学習に失敗した旨の情報をサーバ１００へ送信する。当該情報は、例えば、学習部２３１が、どの機種のIoTデバイスの、どの特徴量に関する正常通信モデルの学習に失敗したかを示す情報である。

　また、送受信部２３３は、サーバ１００から、自身のセンサ２０で適用中の正常通信モデルが多数派クラスタに属するか否かの通知（多数派クラスタへの帰属情報）を受信する。また、送受信部２３３は、サーバ１００から、当該多数派クラスタに属する正常通信モデル群の平均モデルを受信する。

　判定部２３４は、サーバ１００から受信した多数派クラスタの帰属情報に基づき、自身のセンサ２０で適用中の正常通信モデルを変更するか否かを判定する。

　例えば、当該帰属情報が、自身のセンサ２０が学習した正常通信モデル（つまり、適用中の正常通信モデル）が多数派クラスタに属することを示すものである場合、判定部２３４は、現在適用中の正常通信モデルをそのまま適用すると判定する。

　一方、例えば、当該帰属情報が、適用中の正常通信モデルが多数派クラスタに属しないことを示すものである場合、当該正常通信モデルの更新、または、サーバ１００から受信した平均モデルの適用を行う。正常通信モデルを更新するか、平均モデルを適用するかは、例えば、当該センサ２０の管理者等の指示入力により決定される。

　モデル管理部２３５は、監視部２３２で適用する正常通信モデルの管理を行う。例えば、通信部２１経由で、センサ２０の管理者等から、正常通信モデルの更新を行う旨の指示入力が行われた場合、モデル管理部２３５は、学習部２３１に再度正常通信モデルを学習させる。そして、モデル管理部２３５は、監視部２３２で適用する正常通信モデルを再学習された正常通信モデルに変更する。

　また、例えば、通信部２１経由で、センサ２０の管理者等から、正常通信モデルの平均モデルの適用を行う旨の指示入力が行われた場合、モデル管理部２３５は、監視部２３２で適用する正常通信モデルを平均モデルに変更する。

[学習の成功と失敗について]
　ここで、学習部２３１における正常通信モデルの学習の成功と失敗について、図５を用いて説明する。ここでは、正常通信モデルの学習に用いられる特徴量が、IoTデバイスの通信における時間ごとの宛先ＩＰアドレス数である場合を例に説明する。また、学習された正常通信モデルにおいて、特徴量の値は正規分布をとるものとして説明する。

　例えば、学習部２３１は、機種ＡのIoTデバイスに接続し（（１）：デバイス接続）、当該IoTデバイスの通信データの特徴量に基づき正常通信モデルの学習を行う（（２）：学習）。ここで、当該IoTデバイスの通信における時間ごとの累積宛先ＩＰアドレス数の値が、例えば、（２）に示すフィッティング曲線にフィットする場合、学習部２３１は、正常通信モデルを生成することができる（（３）：正常通信モデルの生成）。つまり、学習部２３１は、正常通信モデルの学習に成功する。

　一方、当該IoTデバイスの通信における時間ごとの累積宛先ＩＰアドレス数の値が、例えば、図５の（２）に示すフィッティング曲線にフィットしない場合、学習部２３１は、正常通信モデルを生成することができない。つまり、学習部２３１正常通信モデルの学習に失敗する。

［処理手順の例］
［概要］
　次に、システム１の処理手順の例を説明する。システム１の処理手順は、（１）学習フェーズおよび（２）運用フェーズに分けられる。（１）学習フェーズは、例えば、システム１内に新規のセンサ２０が追加され、当該センサ２０において学習された正常通信モデルをサーバ１００に追加するフェーズである。（２）運用フェーズは、システム１内の既存のセンサ２０において正常通信モデルの更新が行われ、更新後の正常通信モデルをサーバ１００に追加するフェーズである。

［学習フェーズ（正常通信モデルの学習に成功した場合）］
　まず、図６を用いて（１）学習フェーズにおける、システム１の処理手順の例を説明する。ここでは、センサ２０が正常通信モデルの学習に成功した場合のシステム１の処理手順の例を説明する。

　（１）センサ２０は、IoTデバイス（機種ＡのIoTデバイス）の通信データを取得する。

　（２）センサ２０は、取得した通信データの特徴量の統計処理を行うことにより、機種ＡのIoTデバイスの送信パケット数の正常通信モデルを学習する。

　（３）センサ２０は、正常通信モデルの学習に成功すると、学習した正常通信モデル（判定対象モデル）をサーバ１００へ送信する。

　（４）サーバ１００は、センサ２０から送信された判定対象モデルを含む、機種ＡのIoTデバイスの送信パケット数の正常通信モデル群をクラスタリングする。そして、サーバ１００は、クラスタリングの結果を用いて、多数派クラスタを算出し、当該多数派クラスタに属する正常通信モデル群の平均モデルを算出する。

　（５）サーバ１００は、正常通信モデル群のクラスタリングの結果に応じて、以下の内容をセンサ２０に通知する。

　（５－ａ）サーバ１００が、判定対象モデルが多数派クラスタに属すると判定した場合、当該判定対象モデルの取得元のセンサ２０に対し、当該判定対象モデルが多数派クラスタに属する旨の帰属情報を通知する。また、サーバ１００は、当該センサ２０に対し、多数派クラスタの平均モデルを通知する。

　これにより、当該センサ２０の管理者は、当該センサ２０で学習した正常通信モデルの適用に問題がないことを確認することができる。

　（５－ｂ）サーバ１００が、判定対象モデルが多数派クラスタに属しないと判定した場合、当該判定対象モデルの取得元のセンサ２０に対し、当該判定対象モデルが多数派クラスタに属しない旨の帰属情報を通知する。

　これにより、センサ２０の管理者は、当該センサ２０で学習された正常通信モデルが適切なものか否かを知ることができる。また、当該センサ２０は、当該センサ２０で学習された正常通信モデルが適切なものは適切なものでない場合、適切な正常通信モデル（平均モデル）を取得することができる。

［学習フェーズ（正常通信モデルに失敗した場合）］
　次に、図７を用いて（１）学習フェーズにおいて、センサ２０が正常通信モデルの学習に失敗した場合のシステム１の処理手順の例を説明する。

　（３）センサ２０は、正常通信モデルの学習に失敗した場合、サーバ１００に、正常通信モデルの学習に失敗した旨の情報をサーバ１００へ送信する。当該情報は、例えば、機種ＡのIoTデバイスの送信パケット数に関する正常通信モデルの学習に失敗したことを示す情報である。

　（４）サーバ１００は、機種ＡのIoTデバイスの送信パケット数の正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、多数派クラスタを算出し、当該多数派クラスタに属する正常通信モデル群の平均モデルを算出しておく。

　（５）サーバ１００は、センサ２０に対し、（４）で算出した平均モデルを送信する。これにより、センサ２０が正常通信モデルの学習に失敗した場合でも、当該センサ２０は適切な正常通信モデル（平均モデル）を取得することができる。

［運用フェーズ］
　次に、図８を用いて、（２）運用フェーズにおける、システム１の処理手順の例を説明する。ここでは、図８に示すセンサ２０Ｂが、機種ＡのIoTデバイスの送信パケット数の正常通信モデルのパラメータを更新した場合を例に説明する。

　（１）センサ２０Ｂが、機種ＡのIoTデバイスの送信パケット数の正常通信モデルのパラメータを更新する。

　（２）センサ２０Ｂは、更新後の正常通信モデルをサーバ１００へ送信する。

　（３）サーバ１００は、センサ２０Ｂから送信された、更新後の正常通信モデルを含む、機種ＡのIoTデバイスの送信パケット数の正常通信モデル群を再度クラスタリングする。また、サーバ１００は、クラスタリングの結果を用いて、多数派クラスタを再度算出し、当該多数派クラスタに属する正常通信モデル群の平均モデルを再度算出する。

　（４）サーバ１００は、多数派クラスタの再算出により、多数派クラスタから外れた正常通信モデルがあった場合、当該正常通信モデルの取得元のセンサ２０（例えば、センサ２０Ａ）に対し、当該正常通信モデルが多数派クラスタから外れた旨を通知する。また、サーバ１００は、算出された多数派クラスタの平均モデルを、当該正常通信モデルの取得元のセンサ２０（例えば、センサ２０Ａ）に通知する。なお、当該正常通信モデルが多数派クラスタから外れた旨の通知は、当該正常通信モデルが多数派クラスタからどの程度外れたかを示す情報を含んでいてもよい。

　これにより、センサ２０の管理者は、当該センサ２０で学習された正常通信モデルが適切なものでなくなったか否かを知ることができる。また、当該センサ２０で学習された正常通信モデルが適切なものは適切なものでなくなった場合、適切な正常通信モデル（平均モデル）を取得することができる。

［処理手順の例］
［詳細］
　次に、図９、図１０、図１１を用いて、システム１の処理手順の例を詳細に説明する。

［学習フェーズ（正常通信モデルの学習に成功した場合）］
　図９を用いて、センサ２０が正常通信モデルの学習に成功した場合における、学習フェーズの処理手順の例を説明する。

　まず、センサ２０がデバイスＡ（監視対象のIoTデバイス）に接続すると（Ｓ１０）、学習部２３１により正常通信モデルの学習を行う（Ｓ１１）。センサ２０は、正常通信モデルの学習を完了すると、サーバ１００との連携を許可するか否かを判定する（Ｓ１２）。例えば、センサ２０は、当該センサ２０の管理者からサーバ１００との連携を許可する旨の入力を受け付けると、サーバ１００との連携を許可すると判定する（Ｓ１２でＹｅｓ）。そして、センサ２０の送受信部２３３は、サーバ１００の認証情報と、Ｓ１１で学習した正常通信モデルとをサーバ１００へ送信する（Ｓ１３）。

　一方、例えば、センサ２０が、当該センサ２０の管理者からサーバ１００との連携を許可する旨の入力を受け付けなかった場合、サーバ１００との連携を許可しないと判定する（Ｓ１２でＮｏ）。この場合、センサ２０の学習部２３１は、例えば、センサ２０単独で正常通信モデルの学習を行う（Ｓ２４）。

　Ｓ１３の後、サーバ１００の取得部１３１が、センサ２０からサーバの認証情報と正常通信モデルとを受信すると、記憶部１２０に当該センサ２０の連携許可情報を登録する（Ｓ１４）。そして、サーバ１００の算出部１３２は、Ｓ１３で送信された正常通信モデルを含む正常通信モデル群をクラスタリングする（Ｓ１５）。また、算出部１３２は、クラスタリングの結果を用いて、多数派クラスタを算出し、当該多数派クラスタの平均モデルを算出する。さらに、判定部１３３は、Ｓ１３で送信された正常通信モデルが、多数派クラスタに属するか否かを判定する。

　Ｓ１５の後、サーバ１００の通知部１３４は、Ｓ１３で送信された正常通信モデルの送信元のセンサ２０に対し、判定部１３３による判定の結果（当該正常通信モデルの多数派クラスタへの帰属情報）と平均モデルを送信する（Ｓ１６）。

　Ｓ１６の後、センサ２０の送受信部２３３は、サーバ１００から、Ｓ１３で送信した正常通信モデルに関する多数派クラスタへの帰属情報および平均モデルを受信する（Ｓ１７：サーバから情報取得）。その後、判定部２３４は、Ｓ１７で受信した多数派クラスタへの帰属情報に基づき、平均モデルを利用するか否かを判定する（Ｓ１８）。

　例えば、多数派クラスタへの帰属情報が、Ｓ１３で送信した正常通信モデルが多数派クラスタに属しない旨を示す情報である場合、判定部２３４は、平均モデルを利用すると判定する（Ｓ１８でＹｅｓ）。そして、モデル管理部２３５は、監視部２３２で適用する正常通信モデルを平均モデルに変更する（Ｓ１９：平均モデルを適用）。その後、Ｓ２１へ進む。

　一方、例えば、多数派クラスタへの帰属情報が、当該正常通信モデルが多数派クラスタに属する旨を示す情報である場合、判定部２３４は、平均モデルを利用しないと判定する（Ｓ１８でＮｏ）。そして、モデル管理部２３５は、監視部２３２で適用する正常通信モデルを、Ｓ１１で学習した正常通信モデルにする（Ｓ２０：学習した正常通信モデルを適用）。その後、Ｓ２１へ進む。

　Ｓ２１において、送受信部２３３は、正常通信モデルの適用情報をサーバ１００へ送信する（Ｓ２１）。この正常通信モデルの適用情報は、例えば、当該センサ２０において、当該センサ２０が学習した正常通信モデルを適用するのか、平均モデルを適用するのかを示した情報である。なお、当該センサ２０は、当該センサ２０が学習した正常通信モデルを適用する場合、正常通信モデルの適用情報に、学習した正常通信モデルを含めて送信する。

　Ｓ２１の後、サーバ１００の取得部１３１は、Ｓ２１でセンサ２０から送信された正常通信モデルの適用情報に基づき、記憶部１２０の正常通信モデル情報（各センサ２０が適用している正常通信モデルを示す情報）を更新する（Ｓ２２）。その後、図１１のＳ４１へ進む。図１１のＳ４１の処理については、後記する。

　システム１が上記の処理を行うことにより、センサ２０の管理者は、当該センサ２０で学習された正常通信モデルが適切なものか否かを知ることができる。また、当該センサ２０で学習された正常通信モデルが適切なものでない場合、適切な正常通信モデル（平均モデル）を取得することができる。

［学習フェーズ（正常通信モデルの学習に失敗した場合）］
　次に、図１０を用いて、センサ２０が正常通信モデルの学習に失敗した場合における、学習フェーズの処理手順の例を説明する。

　まず、センサ２０がデバイスＡ（監視対象のIoTデバイス）に接続すると（Ｓ３０）、学習部２３１により正常通信モデルの学習を行う（Ｓ３１）。ここで、センサ２０は、正常通信モデルの学習に失敗すると、サーバ１００との連携を許可するか否かを判定する（Ｓ３２）。例えば、センサ２０は、当該センサ２０の管理者からサーバ１００との連携を許可する旨の入力を受け付けると、サーバ１００との連携を許可すると判定する（Ｓ３２でＹｅｓ）。

　そして、センサ２０の送受信部２３３は、サーバ１００の認証情報と、正常通信モデルの学習失敗情報（正常通信モデルの学習に失敗した旨の情報）とをサーバ１００へ送信する（Ｓ３３）。前記した通り、この正常通信モデルの学習失敗情報は、どの機種のIoTデバイスの、どの特徴量に関する正常通信モデルの学習に失敗したかを示す情報である。

　一方、例えば、センサ２０が、当該センサ２０の管理者からサーバ１００との連携を許可する旨の入力を受け付けなかった場合、サーバ１００との連携を許可しないと判定する（Ｓ３２でＮｏ）。そして、センサ２０は、例えば、別の手段でIoTデバイスの異常検知を行う（Ｓ４０）。

　Ｓ３３の後、サーバ１００の取得部１３１が、センサ２０からサーバの認証情報と正常通信モデルとを受信すると、記憶部１２０に当該センサ２０の連携許可情報を登録する（Ｓ３４）。その後、通知部１３４は、記憶部１２０から、正常通信モデルの学習失敗情報に示される機種および特徴量の正常通信モデルの平均モデルを読み出し、当該センサ２０に送信する（Ｓ３５）。

　Ｓ３５の後、センサ２０の送受信部２３３は、サーバ１００から平均モデルを受信する（Ｓ３６：サーバから情報取得）。その後、モデル管理部２３５は、監視部２３２で用いる正常通信モデルとして、Ｓ３６で受信した平均モデルを適用する（Ｓ３７）。そして、送受信部２３３は、正常通信モデルの適用情報をサーバ１００へ送信する（Ｓ３８）。

　Ｓ３８の後、サーバ１００の取得部１３１は、Ｓ３８でセンサ２０から送信された正常通信モデルの適用情報に基づき、記憶部１２０の正常通信モデル情報を更新する（Ｓ３９）。その後、図１１のＳ４１へ進む。図１１のＳ４１の処理については、後記する。

　システム１が上記の処理を行うことにより、センサ２０が正常通信モデルの学習に失敗した場合でも、適切な正常通信モデル（平均モデル）を取得することができる。

［運用フェーズ］
　図１１を用いて、運用フェーズの処理手順の例を説明する。まず、サーバ１００が、配下のセンサ２０で正常通信モデルのパラメータの変更が行われたことを検知すると（Ｓ４１）、算出部１３２は、正常通信モデル群を再度クラスタリングする（Ｓ４２）。

　例えば、サーバ１００の取得部１３１が、いずれかのセンサ２０から、パラメータ更新後の正常通信モデルを受信した場合、算出部１３２は、更新後の正常通信モデルを含む、更新後の正常通信モデルと同じ機種、同じ特徴量に関する正常通信モデル群を再度クラスタリングする。そして、算出部１３２は、クラスタリングの結果を用いて、再度多数派クラスタを算出する。また、算出部１３２は、再度多数派クラスタの平均モデルを算出する。

　Ｓ４２の後、サーバ１００の判定部１３３は、Ｓ４２の処理の結果、多数派クラスタから外れた正常通信モデルがあるか否かを判定する（Ｓ４３）。ここで、判定部１３３が多数派クラスタから外れた正常通信モデルはないと判定した場合（Ｓ４３でＮｏ）、Ｓ４１へ戻る。

　一方、判定部１３３が多数派クラスタから外れた正常通信モデルがあると判定した場合（Ｓ４３でＹｅｓ）、通知部１３４は、多数派クラスタから外れた正常通信モデルの送信元のセンサ２０に対し、多数派クラスタへの帰属情報および平均モデルを送信する（Ｓ４４）。その後、Ｓ４５へ進む。

　なお、Ｓ４４で送信される多数派クラスタへの帰属情報は、当該センサ２０で適用される正常通信モデルが多数派クラスタから外れた旨を示す情報である。また、多数派クラスタへの帰属情報は、当該正常通信モデルが多数派クラスタからどの程度外れているかを示す値を含んでいてもよい。Ｓ４５～Ｓ５０の処理は、図９のＳ１７～Ｓ２２の処理と同様なので説明を省略する。

　システム１が上記の処理を行うことで、センサ２０の管理者は、当該センサ２０で学習された正常通信モデルが適切なものでなくなったか否かを知ることができる。また、当該センサ２０で学習された正常通信モデルが適切なものは適切なものでなくなった場合、当該センサ２０は、適切な正常通信モデル（平均モデル）を取得することができる。

[その他の実施形態]
　なお、前記した実施形態において、サーバ１００は、正常通信モデルが多数派クラスタに属するか否かにかかわらず、当該正常通信モデルの取得元のセンサ２０に対し、多数派クラスタの帰属情報および平均モデルを通知することとしたが、これに限定されない。

　例えば、サーバ１００の通知部１３４は、多数派クラスタに属する正常通信モデルの取得元のセンサ２０に対しては、多数派クラスタの帰属情報を通知し、多数派クラスタに属しない正常通信モデルの取得元のセンサ２０に対し、多数派クラスタの帰属情報および平均モデルを通知してもよい。つまり、サーバ１００の通知部１３４は、多数派クラスタに属する正常通信モデルの取得元のセンサ２０に対しては、平均モデルを通知しないこととしてもよい。

　また、サーバ１００の通知部１３４は、センサ２０に対し、多数派クラスタの帰属情報を通知することとしたがこれに限定されない。例えば、通知部１３４は、センサ２０に対し、当該センサ２０で学習された正常通信モデルが多数派クラスタに属するのならば、当該正常通信モデルの適用は問題ない旨を通知し、多数派クラスタに属しないのならば、正常通信モデルの再学習または更新が必要であることを通知してもよい。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記したサーバ１００は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置をサーバ１００として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、サーバ１００は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Ｗｅｂサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図１２は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のサーバ１００が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、サーバ１００における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１　システム
２０　センサ
２１，１１０　通信部
２２，１２０　記憶部
２３，１３０　制御部
１００　サーバ
１３１　取得部
１３２　算出部
１３３，２３４　判定部
１３４　通知部
２３１　学習部
２３２　監視部
２３３　送受信部
２３５　モデル管理部

Claims

　IoT（Internet　of　Things）デバイスの通信を監視する各ネットワークトラフィックセンサから、前記通信の監視に用いられる、当該IoTデバイスの正常な通信の特徴を示す正常通信モデルを取得する取得部と、
　取得した前記正常通信モデル群のうち、同じ特徴量に関する正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、前記多数派クラスタに属する正常通信モデル群の平均モデルを算出する算出部と、
　前記正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタに属するか否かを示す帰属情報および前記平均モデルを通知する通知部と
　を備えることを特徴とする分析装置。
　前記通知部は、
　前記多数派クラスタに属する正常通信モデルの取得元のネットワークトラフィックセンサに対し、前記帰属情報を通知し、前記多数派クラスタに属しない正常通信モデルの取得元のネットワークトラフィックセンサに対し、前記帰属情報および前記平均モデルを通知する
　ことを特徴とする請求項１に記載の分析装置。
　前記取得部が、前記ネットワークトラフィックセンサから、パラメータ更新後の前記正常通信モデルを取得した場合、
　前記算出部は、
　前記パラメータ更新後の正常通信モデルを含む、当該正常通信モデルの特徴量と同じ特徴量に関する正常通信モデル群を、再度、クラスタリングすることにより、前記多数派クラスタを再算出し、再算出後の前記多数派クラスタに属する正常通信モデル群の平均モデルを再算出し、
　前記通知部は、
　いずれかの正常通信モデルが、再算出後の前記多数派クラスタから外れた場合、当該正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタから外れた旨を示す帰属情報および再算出後の前記平均モデルを通知する
　ことを特徴とする請求項１に記載の分析装置。
　前記取得部が、前記ネットワークトラフィックセンサからIoTデバイスの正常通信モデルの学習に失敗した旨の通知を取得した場合、
　前記通知部は、
　当該ネットワークトラフィックセンサに対し、前記学習に失敗した正常通信モデルの特徴量と同じ特徴量に関する正常通信モデル群の多数派クラスタの平均モデルを通知する
　ことを特徴とする請求項１に記載の分析装置。
　前記特徴量は、
　IoTデバイスの通信における、時間あたりの送信パケット数、宛先ＩＰアドレス数、宛先ポート番号、および、パケットのバイト数のうち、少なくともいずれか１つを含む
　ことを特徴とする請求項１に記載の分析装置。
　ネットワークトラフィックセンサと、前記ネットワークトラフィックセンサにおいて学習された正常通信モデルの分析を行う分析装置とを備える分析システムであって、
　前記ネットワークトラフィックセンサは、
　IoTデバイスの通信の正常な通信の特徴を示す正常通信モデルの学習を行う学習部と、
　前記学習された正常通信モデルまたは前記分析装置から通知された正常通信モデルを用いて前記IoTデバイスの通信の監視を行う監視部とを備え、
　前記分析装置は、
　IoT（Internet　of　Things）デバイスの通信を監視する各ネットワークトラフィックセンサから、前記通信の監視に用いられる、当該IoTデバイスの正常な通信の特徴を示す正常通信モデルを取得する取得部と、
　取得した前記正常通信モデル群のうち、同じ特徴量に関する正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、前記多数派クラスタに属する正常通信モデル群の平均モデルを算出する算出部と、
　前記正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタに属するか否かを示す帰属情報および前記平均モデルを通知する通知部と
　を備えることを特徴とする分析システム。
　分析装置により実行される分析方法であって、
　IoT（Internet　of　Things）デバイスの通信を監視する各ネットワークトラフィックセンサから、前記通信の監視に用いられる、当該IoTデバイスの正常な通信の特徴を示す正常通信モデルを取得する工程と、
　取得した前記正常通信モデル群のうち、同じ特徴量に関する正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、前記多数派クラスタに属する正常通信モデル群の平均モデルを算出する工程と、
　前記正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタに属するか否かを示す帰属情報および前記平均モデルを通知する工程と
　を含むことを特徴とする分析方法。
　IoT（Internet　of　Things）デバイスの通信を監視する各ネットワークトラフィックセンサから、前記通信の監視に用いられる、当該IoTデバイスの正常な通信の特徴を示す正常通信モデルを取得する工程と、
　取得した前記正常通信モデル群のうち、同じ特徴量に関する正常通信モデル群をクラスタリングし、クラスタリングの結果を用いて、正常通信モデルの数が最も多いクラスタである多数派クラスタを算出し、前記多数派クラスタに属する正常通信モデル群の平均モデルを算出する工程と、
　前記正常通信モデルの取得元のネットワークトラフィックセンサに対し、当該正常通信モデルが前記多数派クラスタに属するか否かを示す帰属情報および前記平均モデルを通知する工程と
　をコンピュータに実行させるための分析プログラム。