WO2022195887A1

WO2022195887A1 - トラフィックセンサ、分析方法、および、分析プログラム

Info

Publication number: WO2022195887A1
Application number: PCT/JP2021/011529
Authority: WO
Inventors: 貴大温品; 幸雄永渕; 真紀子青柳; 高明小山
Original assignee: 日本電信電話株式会社
Priority date: 2021-03-19
Filing date: 2021-03-19
Publication date: 2022-09-22
Also published as: AU2021434202B2; JPWO2022195887A1; AU2021434202A1; EP4293549A1; CN117043770A

Abstract

センサは、IoTデバイスの正常通信モデルごとに正常通信の範囲の広がり度合いを計算する。そして、センサは、広がり度合いが所定値未満の正常通信モデルを安定機種の正常通信モデルとして分類し、広がり度合いが所定値以上の正常通信モデルを不安定機種のIoTデバイスの正常通信モデルとして分類する。その後、センサは、安定機種のIoTデバイスの正常通信モデルを用いて、当該IoTデバイスにおける異常通信を検知し、当該正常通信モデルに用いられる特徴量のうち、異常通信の検知への寄与度が所定値以上の特徴量を用いて、不安定機種のIoTデバイスの正常通信モデルを再構築する。センサは、正常通信モデルを用いて検知した安定機種のIoTデバイスの異常通信と、再構築された正常通信モデルを用いて検知した不安定機種のIoTデバイスの異常通信とを用いて、IoTデバイスそれぞれに共通する異常通信を分析する。

Description

トラフィックセンサ、分析方法、および、分析プログラム

　本発明は、トラフィックセンサ、分析方法、および、分析プログラムに関する。

　IoT（Internet　of　Things）デバイスは、特定の通信パターンでのみ通信する場合が多いことが知られている。そこで、IoTデバイスの通信の監視を行うトラフィックセンサ（以下、適宜、センサと略す）は、監視対象のIoTデバイスの通信データを分析し、送信パケット数や宛先ＩＰアドレス数等の特徴量を統計化して、当該IoTデバイスの正常通信モデルを学習する。そして、センサは、学習した正常通信モデルを用いて、IoTデバイスのマルウェア感染等によって発生する異常な振る舞いを検知すると、通信の遮断等を行う。

　なお、センサが、上記のIoTデバイスの正常通信モデルを学習する際、当該IoTデバイスの通信振る舞いが安定したと判断できた時点で正常通信モデルの学習を完了する。そして、センサは、学習した正常通信モデルを通信の異常検知に利用する（特許文献１参照）。

特開２０１９－２１３１０３号公報

　しかし、従来技術には以下の課題がある。

（１）マルウェアの感染等により複数のIoTデバイスで発生した類似する異常通信が分からない
　従来技術では、センサが対象のIoTデバイス単位で正常通信モデルを学習し、学習した正常通信モデルを当該IoTデバイスの通信の異常検知に利用する。この技術によれば、単一のIoTデバイスの通信の異常を検知できるが、例えば、ネットワーク（NW）内のマルウェア感染の拡大により複数のIoTデバイスで発生する異常通信の類似度や相関性は分からない。これにより、NW全体で発生している重大なインシデントの認知が遅れる可能性があるという問題がある。このような問題の解決においては、下記の課題がある。

（２）不安定な機種のIoTデバイスの過検知が多く重要なアラートが分からない
　従来技術における各IoTデバイスの正常通信モデルの学習において、正常時の通信の傾向はIoTデバイスによって異なる。そのため、センサにより生成される正常通信モデルの性質も、IoTデバイスごとに異なる。ここで、正常時の通信パターンが少ない機種のIoTデバイスに関しては、センサは適切な正常通信モデルおよび閾値を学習しやすい。その結果、センサは、当該機種のIoTデバイスのマルウェア感染等による異常通信を顕著に検知できる。

　一方、正常時の通信パターンが多い機種のIoTデバイスに関しては、センサは正常通信モデルの学習期間中に全ての正常通信パターンを観測するのが難しい。このため、センサは、正常通信モデルの生成後、未知の正常通信を観測する可能性が高い。その結果、センサは、当該機種のIoTデバイスの異常通信を過検知してしまう可能性が高い。

　上記の問題の対策として、正常時の通信パターンが多い機種のIoTデバイスについては正常通信モデルの学習時間を長く確保する等の改善方法が考えられる。しかし、センサが、正常通信モデルの学習時間を長く確保すると、IoTデバイスの不正な通信の振る舞いも学習してしまうリスクが高くなったり、学習処理に伴うマシン負荷が増大したりする等の課題が残る。

　上記の課題により、NW内の複数のIoTデバイスで発生している異常通信の類似度や相関性を分析するのは困難であった。そのため、NW内の複数のIoTデバイスに共通する異常通信を検知することが困難であった。

　そこで、本発明は、前記した問題を解決し、複数のIoTデバイスに共通する異常通信の検知を容易にすることを課題とする。

　前記した課題を解決するため、本発明は、監視対象のIoT（Internet　of　Things）デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する計算部と、前記広がり度合いが所定値未満の正常通信モデルを第１の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第２の機種のIoTデバイスの正常通信モデルとして分類する分類部と、前記第１の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する検知部と、前記第１の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する特徴量抽出部と、前記抽出した特徴量を用いて、前記第２の機種のIoTデバイスの正常通信モデルを再構築するモデル再構築部と、前記正常通信モデルを用いて検知された前記第１の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第２の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する分析部とを備えることを特徴とする。

　本発明によれば、複数のIoTデバイスに共通する異常通信の検知を容易にすることができる。

図１は、トラフィックセンサ（センサ）の概要を説明する図である。図２は、正常通信モデルの例を説明する図である。図３は、有効抽出量の抽出の例を説明する図である。図４は、センサの構成例を示す図である。図５は、センサの処理手順の例を示すフローチャートである。図６は、学習フェーズにおけるセンサの処理手順の例を説明する図である。図７は、監視フェーズにおけるセンサの処理手順の例を説明する図である。図８は、センサの実験結果を示すグラフである。図９は、センサの実験結果を示す図である。図１０は、分析プログラムを実行するコンピュータの構成例を示す図である。

　以下、図面を参照しながら、本発明を実施するための形態（実施形態）について説明する。本発明は、以下に説明する実施形態に限定されない。

[概要]
　まず、図１を用いて、本実施形態のトラフィックセンサ（センサ）の概要を説明する。センサ１０は、各IoTデバイスから外部（例えば、図１に示すインターネット）への通信を中継する。ここで、センサ１０は、IoTデバイスの通信における宛先ドメイン等の特徴量を基に、当該IoTデバイスの正常通信モデルを学習する。例えば、センサ１０は、IoT_A、IoT_B、IoT_Cそれぞれの通信の特徴量を基に、IoT_A、IoT_B、IoT_Cの正常通信モデルを学習する。

　センサ１０は、IoTデバイスごとの正常通信モデルを基に、各IoTデバイスの通信を監視し、例えば、マルウェア感染等によって発生する悪性サイトへの通信や大量パケットの送信等の異常通信を検知／遮断する。

[正常通信モデル]
　ここで、図２を参照しながら、センサ１０により学習されるIoTデバイスの正常通信モデルを説明する。センサ１０は、例えば、主成分分析等を用いてIoTデバイスの通信に含まれる各特徴量の確率分布の推定を行うことにより、当該IoTデバイスの正常通信モデルを学習する。そして、センサ１０は、正常通信モデルに閾値を設定し、閾値を超えた特徴量に基づく通信を異常通信として検知する。

　例えば、まず、センサ１０は、IoTデバイスの通信の特徴量ごとに単位時間あたりの統計量をカウントする。例えば、センサ１０は、IoT_Aの単位時間あたりの送信パケット数および送信バイト数をカウントする（１．統計量のカウント）。

　そして、センサ１０は、上記の各特徴量を軸とする空間に、１．でカウントした値をプロットし、分散が大きい方向の軸（主成分分析により得られた第一主成分および第二主成分）で正常通信の範囲を決定する。例えば、センサ１０は、図２の破線で囲った範囲をIoT_Aの正常通信の範囲として決定する。そして、センサ１０は、この正常通信の範囲から逸脱した値を異常通信として検知する（２．正常通信モデルの生成（主成分分析））。

[有効特徴量の抽出]
　IoTデバイスには、正常時の通信パターンが少ない機種（安定機種）と、正常時の通信パターンが多い機種（不安定機種）とがある。ここでは、例えば、図３に示すIoT_A、IoT_Bのうち、IoT_Aが安定機種であり、IoT_Bが不安定機種である場合を考える。この場合、IoT_Aの正常通信モデルにおける正常通信の範囲（特徴量の広がり）に比べて、IoT_Bの正常通信モデルにおける正常通信の範囲（特徴量の広がり）の方が大きい（符号１０１，１０２参照）。

　したがって、センサ１０が、IoT_Bの正常通信モデルを用いて、異常通信の検知を行うと、様々な特徴量方向で過検知が発生しやすい。その結果、センサ１０は、NW内のマルウェアの感染拡大によって、複数のIoTデバイスで発生する共通の異常通信を見つけにくい。

　そこで、センサ１０は、例えば、IoT_Aの正常通信モデルに用いられる特徴量１，２，３のうち、異常通信の検知に対して寄与度が高い特徴量１，２を、有効特徴量として抽出する（符号１０３参照）。

　そして、センサ１０は、抽出した有効特徴量（特徴量１，２）を用いて、IoT_Bの正常通信モデルを再構築する（符号１０４参照）。これにより、センサ１０は、IoT_Bの正常通信モデルにおける正常通信の範囲について、不要な特徴量方向への広がりを抑えることができる。その結果、センサ１０は、複数のIoTデバイスで発生する共通の異常通信（例えば、符号１０３，１０４における〇印の通信）を見つけやすくなる。

[センサの構成例]
　次に、図４を用いて、センサ１０の構成例を説明する。センサ１０は、通信部１１と、記憶部１２と、制御部１３とを備える。通信部１１は、ネットワーク経由で外部装置（例えば、IoTデバイス）の通信を行う際のインタフェースである。

　記憶部１２は、制御部１３が各種処理を実行する際に参照するデータや、制御部１３により生成されたデータを記憶する。例えば、記憶部１２は、制御部１３により生成されたIoTデバイスごとの正常通信モデルを記憶する。

　制御部１３は、学習部１３１と、計算部１３２と、分類部１３３と、検知部１３４と、特徴量抽出部１３５と、モデル再構築部１３６と、分析部１３７と、分析結果出力部１３８とを備える。

　学習部１３１は、通信部１１経由で取得した監視対象のIoTデバイスの通信データの特徴量に基づき、当該IoTデバイスの正常通信モデルの学習（構築）を行う。なお、特徴量は、例えば、時間あたりの送信パケット数、通信先のＩＰアドレス、ポート番号、パケットのバイト数等である。学習された正常通信モデルは記憶部１２に格納される。

　計算部１３２は、正常通信モデルにおける正常通信の範囲の広がり度合いを計算する。例えば、計算部１３２は、正常通信モデルにおける正常通信の範囲の広がり度合いを、当該正常通信モデルに用いられる各特徴量方向の分散の積により計算する。

　分類部１３３は、計算部１３２により計算された、正常通信モデルにおける正常通信の範囲の広がり度合い（例えば、各特徴量方向の分散の積）が所定値未満の正常通信モデルを安定機種のIoTデバイスの正常通信モデルとして分類し、正常通信の範囲の広がり度合いが所定値以上のIoTデバイスの正常通信モデルを不安定機種のIoTデバイスの正常通信モデルとして分類する。

　検知部１３４は、IoTデバイスごとの正常通信モデルを用いて、当該IoTデバイスにおける異常通信を検知する。

　特徴量抽出部１３５は、安定機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する。例えば、特徴量抽出部１３５は、検知部１３４から、安定機種のIoTデバイスの異常通信の検知結果を受け取ると、当該IoTデバイスの正常通信モデルに用いられる特徴量のうち、異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する。

　モデル再構築部１３６は、特徴量抽出部１３５により抽出された有効特徴量を用いて、不安定機種のIoTデバイスの正常通信モデルを再構築する。なお、モデル再構築部１３６により、不安定機種のIoTデバイスの正常通信モデルが再構築されると、検知部１３４は、再構築された不安定機種のIoTデバイスの正常通信モデルを用いて、不安定機種のIoTデバイスにおける異常通信の検知を行う。

　分析部１３７は、正常通信モデルを用いて安定機種のIoTデバイスで検知された異常通信と、再構築された正常通信モデルを用いて不安定機種のIoTデバイスで検知された異常通信とを用いて、IoTデバイスそれぞれに共通する異常通信の傾向を分析する。例えば、分析部１３７は、各IoTデバイスで検知された異常通信のうち、類似度が所定値以上の異常通信を抽出する。

　分析結果出力部１３８は、分析部１３７による分析結果を出力する。例えば、分析結果出力部１３８は、分析部１３７により抽出された、各IoTデバイスで検知された異常通信のうち、類似度が所定値以上の異常通信の内容を重要アラートとして出力する。

　このようなセンサ１０によれば、複数のIoTデバイスに共通する異常通信を容易に検知することができる。

[処理手順の例]
　次に、図５を用いてセンサ１０の処理手順の例を説明する。ここでは、センサ１０が、新たなIoTデバイスの通信を観測した場合を例に説明する。センサ１０が行う処理は、学習フェーズと、監視フェーズとに分けられる。まず、学習フェーズから説明する。

[学習フェーズ]
　センサ１０が新たなIoTデバイスの通信を観測すると、センサ１０の学習部１３１は、当該IoTデバイスの正常通信モデルを学習する（Ｓ１）。その後、計算部１３２は、当該IoTデバイスの正常通信モデルの示す正常通信の範囲の広がり度合いを計算する（Ｓ２：IoTデバイスの正常通信モデルの広がり度合いを計算）。次に、分類部１３３は、Ｓ２で計算した正常通信モデルの広がり度合いに基づき、当該IoTデバイスの機種を安定機種／不安定機種に分類する（Ｓ３）。

[監視フェーズ]
　Ｓ３の後、検知部１３４は、各機種のIoTデバイスの異常通信の検知を行う（Ｓ４）。そして、特徴量抽出部１３５は、安定機種のIoTデバイスの異常通信の検知への寄与度が所定値以上の特徴量（有効特徴量）を抽出する（Ｓ５）。すなわち、特徴量抽出部１３５は、Ｓ４における検知結果のうち、安定機種のIoTデバイスの異常通信の検知結果を用いて、当該IoT_Aの正常通信モデルから、異常通信の検知への寄与度が所定値以上の特徴量を抽出する。

　Ｓ５の後、モデル再構築部１３６は、Ｓ５で抽出された特徴量を用いて、不安定機種のIoTデバイスの正常通信モデルを再構築する（Ｓ６）。そして、検知部１３４は、再構築された正常通信モデルで再度IoTデバイスの異常通信の検知を行う（Ｓ７）。

　Ｓ７の後、分析部１３７は、各IoTデバイスの異常通信の類似度を分析する（Ｓ８）。例えば、そして、分析結果出力部１３８は、Ｓ８における分析結果を出力する（Ｓ９）。

　上記のセンサ１０の処理手順の例を、図６および図７を用いて説明する。例えば、図６に示すように、センサ１０が、新たなIoTデバイス（IoT_A、IoT_B、IoT_C）の通信を観測すると（（１））、学習部１３１は、IoT_A、IoT_B、IoT_Cそれぞれの通信の特徴量に基づき、正常通信モデルを学習する（（２））。

　その後、計算部１３２は、IoT_A、IoT_B、IoT_Cそれぞれの正常通信モデルにおける正常通信の範囲の広がり度合いを、正常通信モデルの各特徴量方向の分散の積により計算する。そして、分類部１３３は、計算された各特徴量方向の分散の積に基づき、IoT_A、IoT_B、IoT_Cを安定機種／不安定機種に分類する（（３））。例えば、分類部１３３は、分散の積の値が所定値より小さいIoT_AおよびIoT_Bを安定機種に分類し、分散の積の値が所定値より大きいIoT_Cを不安定機種に分類する。

　図７の説明に移る。検知部１３４は、IoT_A、IoT_B、IoT_Cについて、それぞれの正常通信モデルを用いて異常通信を検知する（（４）異常検知（１段階目））。そして、特徴量抽出部１３５は、安定機種である、IoT_A、IoT_Bの異常通信の検知への寄与度が所定値以上の特徴量を有効特徴量として抽出する（（５））。例えば、特徴量抽出部１３５は、図７に示す特徴量１，２を有効特徴量として抽出する。

　その後、モデル再構築部１３６は、有効特徴量を用いて、不安定機種であるIoT_Cの正常通信モデルを再構築する。そして、検知部１３４は、再構築された正常通信モデルで、再度、IoT_Cの異常通信の検知を行う（（６）有効特徴量を使った異常検知（２段階目））。そして、分析部１３７は、IoT_A、IoT_B、IoT_Cの異常通信の類似度を分析する。例えば、分析部１３７は、IoT_A、IoT_B、IoT_Cで共通した傾向のある異常を見つける。そして、分析結果出力部１３８は、IoT_A、IoT_B、IoT_Cで共通した傾向のある異常を重要アラートとして出力する。

　このようなセンサ１０によれば、複数のIoTデバイスに共通する異常通信を検知することができる。

[実験結果]
　図８を用いて、センサ１０の実験結果を説明する。ここでは、NW内のポートスキャンによる攻撃を混入したデータを用いて、不安定機種のIoTデバイスの正常通信モデルの再構築により、異常通信の検知を正しく行えるようになったか否かを確認した。

　なお、ポートスキャンによる攻撃データは、図８の破線で示す時間帯に混入した。また、センサ１０は、安定機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、30％の特徴量を有効特徴量として抽出し、抽出した有効特徴量を用いて不安定機種のIoTデバイスの正常通信モデルの再構築を行い、異常通信の検知を行った。なお、図８に示符号８０１，８０２に示すグラフにおいて、横軸は時間を示し、縦軸は各時刻において正常通信モデルを用いて検知された通信の異常度を示す。

　図８の符号８０１の示すグラフ（特徴量抽出なし）は、センサ１０が、正常通信モデルの再構築を行わずに異常通信の検知を行った場合の実験結果を示す。また、符号８０２に示すグラフ（特徴量抽出あり）は、センサ１０が、正常通信モデルの再構築を行った上で異常通信の検知を行った場合の実験結果を示す。なお、符号８０１に示すグラフにおいて、破線で示す時間帯以外で異常度が高い時間帯は、センサ１０が異常通信の過検知を行った時間帯と考えることができる。

　図８の符号８０１，８０２に示すように、不安定機種のIoTデバイスの正常通信モデルの再構築を行った方が、正常通信モデルの再構築を行わなかった場合に比べ、異常通信の過検知を約85％削減できることが確認できた。これにより、センサ１０は、複数のIoTデバイスに共通する重要アラートを抽出しやすいことが確認できた。

　さらに、図９を用いて、センサ１０の実験結果を説明する。ここでは、NW内の安定機種のIoTデバイス２台、不安定機種のIoTデバイス１３台に対して、異常データを４点混ぜたデータで実験を行った。実験時間は、図８で説明した実験と同様に200時間である。

　図９に示すように、センサ１０は、安定機種のIoTデバイス２台、不安定機種のIoTデバイス１３台それぞれについて、正常通信モデルの再構築を行わなかった場合（＝特徴量抽出なしの場合）と、正常通信モデルの再構築を行った場合（＝特徴量抽出ありの場合）とで異常通信の検知を行った。なお、図９において、False　Positiveは、異常通信の過検知を示し、True　Positiveは、異常通信の正しい検知を示す。

　図９に示すように、センサ１０が、正常通信モデルの再構築を行った場合（＝特徴量抽出ありの場合）、正常通信モデルの再構築を行わなかった場合（＝特徴量抽出なしの場合）に比べ、異常通信の過検知を各IoTデバイスの平均で約80％削減できることが確認できた。

［システム構成等］
　また、図示した各部の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ及び当該ＣＰＵにて実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。

　また、前記した実施形態において説明した処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　前記したセンサ１０は、パッケージソフトウェアやオンラインソフトウェアとしてプログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記のプログラムを情報処理装置に実行させることにより、情報処理装置をセンサ１０として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS（Personal　Handyphone　System）等の移動体通信端末、さらには、PDA（Personal　Digital　Assistant）等の端末等がその範疇に含まれる。

　また、センサ１０は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の処理に関するサービスを提供するサーバ装置として実装することもできる。この場合、サーバ装置は、Ｗｅｂサーバとして実装することとしてもよいし、アウトソーシングによって上記の処理に関するサービスを提供するクラウドとして実装することとしてもかまわない。

　図１０は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ROM（Read　Only　Memory）１０１１及びRAM（Random　Access　Memory）１０１２を含む。ROM１０１１は、例えば、BIOS（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、OS１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、上記のセンサ１０が実行する各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、センサ１０における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、SSD（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられるデータは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０が、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてRAM１０１２に読み出して実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（LAN（Local　Area　Network）、WAN（Wide　Area　Network）等）を介して接続される他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

１０　センサ
１１　通信部
１２　記憶部
１３　制御部
１３１　学習部
１３２　計算部
１３３　分類部
１３４　検知部
１３５　特徴量抽出部
１３６　モデル再構築部
１３７　分析部
１３８　分析結果出力部

Claims

　監視対象のIoT（Internet　of　Things）デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する計算部と、
　前記広がり度合いが所定値未満の正常通信モデルを第１の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第２の機種のIoTデバイスの正常通信モデルとして分類する分類部と、
　前記第１の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する検知部と、
　前記第１の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する特徴量抽出部と、
　前記抽出した特徴量を用いて、前記第２の機種のIoTデバイスの正常通信モデルを再構築するモデル再構築部と、
　前記正常通信モデルを用いて検知された前記第１の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第２の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する分析部と
　を備えることを特徴とするトラフィックセンサ。
　前記計算部は、
　前記正常通信モデルの示す正常通信の範囲の広がり度合いを、当該正常通信モデルに用いられる各特徴量方向の分散の積により計算する
　ことを特徴とする請求項１に記載のトラフィックセンサ。
　前記分析部による、前記IoTデバイスそれぞれの異常通信の分析の結果、類似度が所定値以上の異常通信を出力する分析結果出力部
　をさらに備えることを特徴とする請求項１に記載のトラフィックセンサ。
　新たなIoTデバイスの接続を検出すると、前記IoTデバイスの通信データに基づき、当該IoTデバイスの正常通信モデルを学習する学習部
　をさらに備えることを特徴とする請求項１に記載のトラフィックセンサ。
　トラフィックセンサにより実行される分析方法であって、
　監視対象のIoT（Internet　of　Things）デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する工程と、
　前記広がり度合いが所定値未満の正常通信モデルを第１の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第２の機種のIoTデバイスの正常通信モデルとして分類する工程と、
　前記第１の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する工程と、
　前記第１の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する工程と、
　前記抽出した特徴量を用いて、前記第２の機種のIoTデバイスの正常通信モデルを再構築する工程と、
　前記正常通信モデルを用いて検知された前記第１の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第２の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する工程と
　を含むことを特徴とする分析方法。
　監視対象のIoT（Internet　of　Things）デバイスごとに学習された、前記IoTデバイスの異常通信を検知するための正常通信モデルそれぞれについて、前記正常通信モデルの示す正常通信の範囲の広がり度合いを計算する工程と、
　前記広がり度合いが所定値未満の正常通信モデルを第１の機種のIoTデバイスの正常通信モデルとして分類し、前記広がり度合いが所定値以上の正常通信モデルを第２の機種のIoTデバイスの正常通信モデルとして分類する工程と、
　前記第１の機種のIoTデバイスの正常通信モデルを用いて、前記IoTデバイスにおける異常通信を検知する工程と、
　前記第１の機種のIoTデバイスの正常通信モデルに用いられる特徴量のうち、前記異常通信の検知への寄与度が所定値以上の特徴量を抽出する工程と、
　前記抽出した特徴量を用いて、前記第２の機種のIoTデバイスの正常通信モデルを再構築する工程と、
　前記正常通信モデルを用いて検知された前記第１の機種のIoTデバイスの異常通信と、前記再構築された正常通信モデルを用いて検知された前記第２の機種のIoTデバイスの異常通信とを用いて、前記IoTデバイスそれぞれに共通する異常通信を分析する工程と
　をコンピュータに実行させることを特徴とする分析プログラム。