WO2023233580A1 - 検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム - Google Patents

Abstract

検知対処制御システム（１０００）は、コントローラ（２０）とハードウェアアクセラレータ（１０）とを備える。ハードウェアアクセラレータ（１０）は、通信装置から通信データを取得するデータ取得部（１１０）と、取得したデータの前処理を実行するデータ前処理部（１２０）と、学習モデルを用いて攻撃を判定する攻撃検知部（１３０）と、検知アラートを生成する検知アラート通知部（１４０）と、対処制御ポリシーに基づき攻撃対処を実行する対処実行部（１５０）とを備える。コントローラ２０は、攻撃を検知するための学習モデルを生成する学習部（２１０）と、攻撃に対する対処制御ポリシーを作成する対処判定部（２３０）とを備える。

Description

検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラム

　本発明は、ネットワークセキュリティ分野におけるサイバー攻撃の検知についての検知対処制御システム、検知対処制御方法、ハードウェアアクセラレータ、コントローラ、および、プログラムに関する。

　ネットワーク通信形態の一つである移動体通信の次世代規格である５ＧＮＲ（5G New Radio）では、通信規格の標準仕様の策定に加えて、無線アクセスネットワーク（Radio Access Network：ＲＡＮ）を構成する通信機器や通信インタフェースのオープン化・ソフトウェア仮想化が進められている。このようなオープンＲＡＮにおいて、例えば、非特許文献１に示されるＡＩ（Artificial Intelligence）機能を搭載した集中管理型コントローラの一種である ＲＩＣ（RAN Intelligence Controller）では、ネットワーク制御やリソースの最適化等が推進される一方で、５Ｇの要求条件である超高速、多数同時接続、超低遅延、オープン化されたＩＦ等の技術仕様を悪用したサイバー攻撃とそれに伴う被害の急激な増加が懸念されている。

　現在のＮＦＶ（Network Functions Virtualization）やＳＤＮ（Software Defined Networking），ＲＡＮのネットワークでは、端末と通信装置・基地局間のセッション制御や管理を担うコントロールプレーン（C-Plane）信号と、ユーザの実際のデータ通信の伝送を行うユーザプレーン（U-Plane）信号の分離によりユーザ通信が実現されている。この制御信号とユーザデータ信号に対して、例えば、シグナリング詐欺攻撃、Volume DDoS攻撃、ジャミング等のサイバー攻撃が、端末と通信装置間の通信レイヤ、無線物理レイヤや通信制御を担うＲＲＣ（Radio Resource Control）プロトコルレイヤなどで発生し、ユーザの通信や通信機器の不正制御、ネットワークの帯域圧迫によるサービス妨害や機密情報の不正取得などを実行する。その結果、ユーザの通信障害や情報漏洩、更にはサービス全体が不能となる可能性がある。このようなネットワーク通信を対象としたサイバー攻撃に対処するために、特許文献１では通信機器のフィルタリング機能を用いてサイバー攻撃に対する対処制御を実現している。

Balasubramanian, Bharath, et al.,"RIC: A RAN intelligent controller platform for AI-enabled cellular networks,"IEEE Internet Computing 25.2 (2021): 7-17.

特開2018-133753号公報

　しかしながら、従来技術であるＡＩ機能を搭載した集中管理型コントローラ方式を用いた攻撃検知・対処では、U-Plane、C-Planeの全データを対象に分析を行う必要があることから、リアルタイムの攻撃検知ができなかった。また、攻撃検知時の遅延の際や、対処時に、通信装置の使用リソースが消費されてしまう。

　具体的には、非特許文献１に記載の技術では、遅延時間とリソース（使用リソース、ネットワーク転送リソース）の増加によりサイバー攻撃に対するリアルタイムの攻撃検知ができない。また、特許文献１に記載の技術は、通信装置でのフィルタリング方式による対処であり、機械学習やアクセラレータへのオフロードに対応していないことから、攻撃対処の精度や処理能力が低下してしまう。よって、リアルタイムに攻撃検知や攻撃対処が実現できない場合、ネットワークのユーザ通信やサービス全体の提供が不可能となる可能性がある。

　このような点に鑑みて本発明がなされたのであり、本発明は、通信ネットワークに対するサイバー攻撃における、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置の使用リソースを低減することを課題とする。

　上記課題を解決するため、本発明に係る検知対処制御システムは、アクセスネットワークにおいてネットワーク制御を行うコントローラと、前記アクセスネットワークの通信装置および前記コントローラに接続されるハードウェアアクセラレータとを備え、サイバー攻撃の検知および対処を行う検知対処制御システムであって、前記ハードウェアアクセラレータが、前記通信装置から通信データを取得するデータ取得部と、取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータを前記コントローラへ送信するデータ前処理部と、前記コントローラから、前記通信データによる攻撃を検知するための学習モデルを取得し、前記データ取得部が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部と、前記攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、前記コントローラへ送信する検知アラート通知部と、前記コントローラから取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、前記データ取得部が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部と、を備え、前記コントローラが、前記前処理されたデータを取得して、前記通信データによる攻撃を検知するための前記学習モデルを生成する学習部と、取得した前記検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む前記対処制御ポリシーを作成し、前記ハードウェアアクセラレータに送信する対処判定部と、を備えることを特徴とする。

　本発明によれば、通信ネットワークに対するサイバー攻撃における、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置の使用リソースを低減することができる。

本実施形態に係る検知対処制御システムの全体構成を示す図である。 本実施形態に係る検知対処制御システムによる学習処理の流れを示すシーケンス図である。 本実施形態に係る検知対処制御システムのハードウェアアクセラレータによる攻撃検知処理の流れを示すフローチャートである。 本実施形態に係る検知対処制御システムによる攻撃対処処理の流れを示すシーケンス図である。 本実施形態の変形例に係る検知対処制御システムの全体構成を示す図である。 本実施形態に係るコントローラの機能を実現するコンピュータの一例を示すハードウェア構成図である。

　次に、本発明を実施するための形態（以下、「本実施形態」と称する。）について説明する。
　図１は、本実施形態に係る検知対処制御システム１０００の全体構成を示す図である。
　本実施形態では、ＲＡＮ（５Ｇ ＲＡＮ）において、セキュリティ機能を備えたＮＩＣ搭載ＦＰＧＡボード（ハードウェアアクセラレータ１０）と、ＡＩ機能を備えた集中管理型コントローラ（ＲＩＣ）（コントローラ２０）との連携により、攻撃検知および攻撃対処を機能分離して実現する例として説明する。

　図１で示すように、検知対処制御システム１０００は、ユーザ端末５に接続され、ユーザ端末５から取得したデータ等を、コアネットワーク通信装置４０に転送するアクセスネットワーク通信装置３０（アクセスネットワークの通信装置）と、ハードウェアアクセラレータ１０と、コントローラ２０とを含んで構成される。
　なお、コアネットワーク通信装置４０は、アクセスネットワーク通信装置３０等から取得したデータを、データネットワーク（インターネット等）に転送する装置である。
　アクセスネットワーク通信装置３０およびコアネットワーク通信装置４０では、ユーザ端末５または他の通信装置から受信したＲＡＮデータ（U-plane／C-plane）の転送をデータ転送部３１，４１が実行するとともに、プロトコル変換等の処理をプロトコル処理部３２，４２が実行する。

　ハードウェアアクセラレータ１０は、通信装置に対して、例えば、ＮＩＣ（Network Interface Card）を搭載したＦＰＧＡ（Field Programmable Gate Array）ボード（FPGA SmartNIC）として接続される。より詳細には、アクセスネットワーク通信装置３０に対し、ＰＣＩｅ（Peripheral Component Interconnect Express）のような拡張インタフェースを用いてＦＰＧＡボードとして接続される。このハードウェアアクセラレータ１０は、取得したデータの前処理や、攻撃検知処理、攻撃を検知した場合の攻撃対処処理を実行する。

　コントローラ２０は、ハードウェアアクセラレータ１０に接続され、サイバー攻撃を検知するための学習モデルの生成や、攻撃対処に関する対処制御ポリシーの作成等を実行する。

　このハードウェアアクセラレータ１０とコントローラ２０とが連携し、学習、攻撃検知および攻撃対処を、機能分離して行うことにより、低遅延かつ通信装置の使用リソース（主に、動作リソース、ＮＷリソース）の低減を実現する。
　以下、ハードウェアアクセラレータ１０およびコントローラ２０について、詳細に説明する。

＜ハードウェアアクセラレータ＞
　ハードウェアアクセラレータ１０は、セキュリティ機能を実現するセキュリティ処理部１００を備えている。このセキュリティ処理部１００は、図１で示すように、データ取得部１１０、データ前処理部１２０、攻撃検知部１３０、検知アラート通知部１４０および対処実行部１５０を備える。

　データ取得部１１０は、アクセスネットワーク通信装置３０から転送された通信データ（例えば、U-plane, C-planeのデータ）の入力を受け付ける。
　そして、データ取得部１１０は、受け付けたデータのうち、全データを攻撃検知の対象として取得するようにしてもよいし、特定のシグナリング（呼制御情報）のみを取得したり、サンプリングを実行することにより、データを効率的に取得したりしてもよい。
　例えば、データ取得部１１０は、ＲＡＮの特定パケットのフィールドを指定して、その情報を取得するようにしてもよい。
　データ取得部１１０は、取得したデータを、データ前処理部１２０へ出力する。

　データ前処理部１２０は、データ取得部１１０から受け取ったデータに対して、前処理を実行する。この前処理の機能は、ハードウェアアクセラレータ１０のプログラマプルロジックに実装し、インライン方式で前処理を実行する。
　このデータ前処理部１２０は、例えば、取得した通信データに対して、攻撃検知に不要なデータを取り除いたり、データの加工を行ったりすることにより、攻撃検知に必要な所定のデータを抽出する（前処理の一段階目の処理）。
　また、データ前処理部１２０は、データ加工された通信データについて、統計処理を実行し（前処理の二段階目の処理）、統計実行期間（例えば、60秒、5分）を経過後、統計処理されたデータをコントローラ２０へ送信する。統計処理としては、例えば、平均値、分散値、最大値、最小値の算出や、正則化処理、標準化処理等を実行する。

　このデータ前処理部１２０は、例えば、ＲＡＮ通信データのうち、攻撃特徴量に関連するデータフィールドのみ（攻撃検知に必要な所定のデータ）を抽出して統計処理することで、コントローラ２０へ送信するデータ量を低減することができる。

　「攻撃特徴量に関するデータフィールド」の例について説明する。ＵＥ（ユーザ端末）と通信基地局が接続を確立する際には、Random Access、RRC Setupの手続きが実施される。これらのシーケンスを狙った攻撃であるＭＡＣプロトコルシグナリングＤｏＳ攻撃や、ＲＲＣ（Radio Resource Control protocol）プロトコルシグナリングＤｏＳ攻撃では、攻撃特徴量に関連するデータフィールドとして、ＵＥ識別情報やセル情報（例えば、Radio Network Temporary Identifier/RNDIの値）、RRC Request Messageの種類、データのパケットサイズが該当する。また、ＲＡＮ通信データに関する付随情報であり、ＵＥ・通信基地局からリソース情報として取得可能なＵＥの電波品質情報、基地局の電波強度情報、Cellのリソース情報なども、攻撃特徴量に関するデータフィールドとして利用可能である。
　なお、データ前処理部１２０は、データフィールドの情報を抽出後、データ前処理としての統計処理を行い、例えば、RRC Request Messageの統計量の算出を行う。

　攻撃検知部１３０は、コントローラ２０から受信した学習モデル（攻撃を検知するための学習モデル）を用いて、データ取得部１１０が取得した通信データ（ＲＡＮ通信データ）の攻撃検知処理をインラインで実行する。その際、攻撃検知部１３０は、上記した前処理（一段階目および二段階目の処理）と同様の処理を実行したデータ（前処理したデータ）に関して、攻撃検知処理を実行する。攻撃検知部１３０は、攻撃検知処理を実行した結果、攻撃を検知したと判定した場合には、検知理由（閾値超過、攻撃と特徴一致等の情報）を含む検知情報を生成し、検知アラート通知部１４０に出力する。なお、検知理由を生成するための、閾値情報や、各攻撃の特徴量の情報は、予め記憶手段に記憶しておいた情報を利用する。

　攻撃検知部１３０は、コントローラ２０から検知用の学習モデル（重みデータ等）を、所定の時間間隔で受信することにより学習モデルを更新する。これにより、攻撃検知部１３０は、ＲＡＮにおいて発生している攻撃や、通信状況に合わせた異常検知が可能となる。

　検知アラート通知部１４０は、攻撃検知部１３０から取得した検知情報と、ネットワーク環境に基づく情報とから検知アラートを作成し、コントローラ２０へ送信する。
　この検知アラートには、攻撃検知部１３０が生成した検知情報（検知理由）に加えて、例えば、通信元ＩＰアドレス、ＵＥ（ユーザ端末）情報、収容先セル／通信装置情報、ネットワーク経路等の情報が含まれる。

　対処実行部１５０は、コントローラ２０から取得した対処制御ポリシーに基づき、通信データに対しての攻撃対処をインラインで実行する。
　具体的には、対処実行部１５０は、取得した対処制御ポリシーに基づき、ハードウェアアクセラレータ１０に対処用フィルタを作成し、図示を省略したＮＩＣから入力した通信データに対してフィルタ一致の確認を行うことにより、攻撃通信データを遮断し防御を行う。

＜コントローラ＞
　コントローラ２０は、ハードウェアアクセラレータ１０と接続され、サイバー攻撃検知ための学習処理、攻撃検知処理および攻撃対処処理を、ハードウェアアクセラレータ１０との間で機能分離して実行する。
　このコントローラ２０は、制御部、入出力部、記憶部（いずれも図示省略）を備えるコンピュータにより構成される。

　入出力部は、ハードウェアアクセラレータ１０等との間の情報について入出力を行う。この入出力部は、通信回線を介して情報の送受信を行う通信インタフェースと、図示を省略したキーボード等の入力装置やモニタ等の出力装置との間で情報の入出力を行う入出力インタフェースとから構成される。

　記憶部は、ハードディスクやフラッシュメモリ、ＲＡＭ（Random Access Memory）等により構成される。
　この記憶部には、制御部の各機能を実行させるためのプログラムや、制御部の処理に必要な情報が一時的に記憶される。

　制御部は、コントローラ２０が実行する処理の全般を司り、図１で示すように、学習部２１０と、学習モデル送信部２２０と、対処判定部２３０とを含んで構成される。

　学習部２１０は、ハードウェアアクセラレータ１０から、前処理したデータを取得し、ＡＩの学習モデル（攻撃を検知するための学習モデル）を生成する。例えば、学習部２１０は、正常データから正常状態を学習し、また、後記する対処判定部２３０から、攻撃データと判断した情報（検知アラート）を取得して、攻撃の特徴を学習することにより学習モデルを生成する。
　この学習部２１０は、所定の時間間隔で、前処理したデータや攻撃データを取得することにより、学習モデルの再学習を行い、学習モデルを更新する。

　学習モデル送信部２２０は、学習部２１０で生成した学習モデルをハードウェアアクセラレータ１０へ送信する。
　ここで、学習モデル送信部２２０は、生成した学習モデルの情報のすべてを送信するようにしてもよいし、更新された学習モデルに関し、必要となる重みデータのみを送信するようにしてもよい。このようにすることにより、学習モデル送信部２２０は、ハードウェアアクセラレータ１０へ送信するデータ量を低減することができる。

　対処判定部２３０は、ハードウェアアクセラレータ１０（検知アラート通知部１４０）から、検知アラートを受信し、攻撃対処が必要か否かを判定する。
　具体的には、対処判定部２３０は、検知アラートに含まれる情報のうち、予め設定しておいた脅威情報（攻撃種類、ＩＰアドレス、ＵＥ識別情報）とそれに基づく攻撃の影響度（例えば、攻撃の頻度、影響範囲（サービス遅延、サービス拒否等））により、攻撃に対処するか否かを判定する。

　対処判定部２３０は、攻撃に対処すると判定した場合に、検知アラートの脅威情報に基づき対処制御ポリシーを作成する。そして、対処判定部２３０は、作成した対処制御ポリシーを、ハードウェアアクセラレータ１０（対処実行部１５０）に送信する。

　対処判定部２３０は、例えば、ＲＡＮならではの脅威情報（ＵＥ識別情報、ＲＡＮ攻撃等）に基づき対処制御ポリシーを作成することができる。
　ＲＡＮならではの脅威情報の具体例は、ＲＡＮを対象とした攻撃に関する情報であり、例えば、ＵＥ（ユーザ端末）を識別するためのＵＥ固有または通信基地局から払い出されるＵＥ識別情報があり、この情報を用いることで攻撃元である不正ＵＥやボット（不正なプログラム）に感染したＵＥの正確な特定が可能となる。

　対処制御ポリシーには、ハードウェアアクセラレータ１０等で攻撃に対処するために必要な情報が含まれる。攻撃対処に必要な情報は、例えば、攻撃種類、攻撃元の情報、攻撃先の情報、対処手法である。以下、ハードウェアアクセラレータ１０におけるＲＲＣプロトコルシグナリングＤＤｏＳ攻撃への対処を例に対処手法を説明する。

　ＲＲＣプロトコルシグナリングＤＤｏＳ攻撃では、攻撃種類として、ＲＲＣプロトコルシグナリングＤＤｏＳ攻撃、さらにどのシグナリングシーケンスのＤｏＳ攻撃であるかの情報が含まれる。攻撃元の情報として、ＵＥ識別情報、ＵＥを収容するセル・通信基地局の情報、ＵＥが通信に用いる無線ベアラの情報が含まれる。攻撃先の情報として、攻撃先のネットワークの情報、攻撃影響の情報が含まれる。また、対処手法として、パケット遮断、セキュリティ分析装置（図示省略）へのステアリング（転送）が含まれる。これらの情報を、対処制御ポリシーとして、ＪＳＯＮ（JavaScript Object Notation）のような任意のデータ構造にまとめ、コントローラ２０からハードウェアアクセラレータ１０に送信する。

≪処理の流れ≫
　次に、本実施形態に係る検知対処制御システム１０００が実行する処理の流れについて説明する。
　ここでは、ハードウェアアクセラレータ１０とコントローラ２０が連携して行う処理として、学習処理（図２）、攻撃検知処理（図３）、攻撃対処処理（図４）について説明する。

＜学習処理＞
　図２は、本実施形態に係る検知対処制御システム１０００による学習処理の流れを示すシーケンス図である。
　学習処理では、ハードウェアアクセラレータ１０に入力された通信データについて、前処理を行い、コントローラ２０へ送信する。そして、コントローラ２０において、前処理したデータや攻撃データを用いて学習モデルを生成し、生成した学習モデルをハードウェアアクセラレータ１０へ送信する。ハードウェアアクセラレータ１０では、所定の時間間隔で、学習モデルを取得して更新する。以下、具体的に説明する。

　まず、ハードウェアアクセラレータ１０のデータ取得部１１０は、アクセスネットワーク通信装置３０から転送された通信データ（例えば、U-plane, C-planeのデータ）の入力を受け付ける（ステップＳ１０）。
　そして、データ取得部１１０は、受け付けた通信データのうち攻撃検知の対象とする通信データを取得して、データ前処理部１２０へ出力する。

　次に、ハードウェアアクセラレータ１０のデータ前処理部１２０は、取得した通信データに対して一段階目の前処理を実行する（ステップＳ１１）。
　データ前処理部１２０は、一段階目の前処理として、取得した通信データについて、攻撃検知に不要なデータを取り除いたり、データの加工を行ったりする。
　そして、データ前処理部１２０は、統計実行期間（例えば、60秒や５分）が経過したか否かを判定する（ステップＳ１２）。そして、統計実行時間が経過していなければ（ステップＳ１２→Ｎｏ）、ステップＳ１０へ戻り、通信データの取得と前処理を続ける。

　一方、統計実行期間が経過していれば（ステップＳ１２→Ｙｅｓ）、データ前処理部１２０は、データ加工を行ったデータについて統計処理（平均値の算出や正則化処理等）を実行し（ステップＳ１３）、統計処理されたデータをコントローラ２０へ送信する。

　コントローラ２０の学習部２１０は、受信した前処理されたデータ（統計処理されたデータ）を学習データとして、ＡＩの学習モデルを生成する（ステップＳ１４）。
　なお、学習部２１０は、攻撃検知処理（図３）の実行後においては、攻撃データと判断した情報（検知アラート）も学習データとして取り込み、再学習することにより、学習モデルを更新する。

　続いて、学習モデル送信部２２０は、学習部２１０で生成した学習モデルをハードウェアアクセラレータ１０へ送信する（ステップＳ１５）。
　ここで、学習モデル送信部２２０は、生成した学習モデルのデータすべてをハードウェアアクセラレータ１０に送信してもよいし、学習モデルの重みデータのみをハードウェアアクセラレータ１０に送信するようにしてもよい。

　次に、ハードウェアアクセラレータ１０の攻撃検知部１３０は、コントローラ２０から学習モデルを取得し設定する（ステップＳ１６）。ここで、攻撃検知部１３０は、すでに学習モデルをコントローラ２０から取得して設定した後に、学習モデルのデータを取得した場合には、そのデータ（例えば、学習モデルの重みデータ）により、設定している学習モデルを更新する。

　以上で、ハードウェアアクセラレータ１０とコントローラ２０の連携による学習処理を終了する。なお、この学習処理は、実際に通信データの攻撃検知処理や攻撃対処処理を実行する前に予め行う。また、攻撃検知処理や攻撃対処処理が実行された後においても、所定の時間間隔で実行することで、学習モデルを更新する。

＜攻撃検知処理＞
　次に、攻撃検知処理について説明する。
　図３は、本実施形態に係る検知対処制御システム１０００（ハードウェアアクセラレータ１０）による攻撃検知処理の流れを示すフローチャートである。
　攻撃検知処理では、ハードウェアアクセラレータ１０が、取得した通信データについて前処理を行った上で、学習モデルにデータを入力することにより、インラインで攻撃を検知する。以下、具体的に説明する。

　まず、ハードウェアアクセラレータ１０のデータ取得部１１０は、アクセスネットワーク通信装置３０から転送された通信データ（例えば、U-plane, C-planeのデータ）の入力を受け付ける（ステップＳ２０）。
　そして、データ取得部１１０は、受け付けた通信データのうち攻撃検知の対象とする通信データを取得して、データ前処理部１２０へ出力する。

　次に、ハードウェアアクセラレータ１０のデータ前処理部１２０は、取得した通信データに対して一段階目の前処理を実行する（ステップＳ２１）。
　データ前処理部１２０は、一段階目の前処理として、取得した通信データについて、攻撃検知に不要なデータを取り除いたり、データの加工を行ったりする。
　そして、データ前処理部１２０は、統計実行期間（例えば、60秒や５分）が経過したか否かを判定する（ステップＳ２２）。そして、統計実行時間が経過していなければ（ステップＳ２２→Ｎｏ）、ステップＳ２０へ戻り、通信データの取得と前処理を続ける。

　一方、統計実行期間が経過していれば（ステップＳ２２→Ｙｅｓ）、データ前処理部１２０は、データ加工を行ったデータについて統計処理（平均値の算出や正則化処理等）を実行し（ステップＳ２３）、統計処理されたデータを攻撃検知部１３０に出力する。

　攻撃検知部１３０は、設定した学習モデルを用いて、通信データ（統計処理されたデータ）の攻撃検知処理を実行し、通信データが攻撃（攻撃通信データ）か否かを判定する（ステップＳ２４）。
　そして、攻撃検知部１３０が、攻撃でないと判定した場合には（ステップＳ２４→Ｎｏ）、処理を終了する。

　一方、攻撃検知部１３０が、攻撃であると判定（攻撃を検知）した場合には（ステップＳ２４→Ｙｅｓ）、検知理由（閾値超過、攻撃と特徴一致等）を含む検知情報を生成して、検知アラート通知部１４０に出力する。

　検知アラート通知部１４０は、攻撃検知部１３０から取得した検知情報と、ネットワーク環境に基づく情報とから検知アラートを作成し、コントローラ２０へ送信する（ステップＳ２５）。
　この検知アラートには、例えば、通信元ＩＰアドレス、ＵＥ（ユーザ端末）情報、収容先セル／通信装置情報、ネットワーク経路、検知情報（検知理由等）が含まれる。
　以上で、ハードウェアアクセラレータ１０による攻撃検知処理を終了する。

＜攻撃対処処理＞
　次に、攻撃対処処理について説明する。
　図４は、本実施形態に係る検知対処制御システム１０００による攻撃対処処理の流れを示すシーケンス図である。
　攻撃対処処理では、コントローラ２０が作成した対処制御ポリシーに基づき、ハードウェアアクセラレータ１０が、フィルタリングにより、攻撃通信データの遮断を行う。以下、具体的に説明する。

　まず、コントローラの対処判定部２３０は、ハードウェアアクセラレータ１０から検知アラートを受信する（ステップＳ３０）。
　続いて、対処判定部２３０は、検知アラートに含まれる脅威情報に基づき、攻撃対処が必要か否かを判定する（ステップＳ３１）。
　ここで、脅威情報は、例えば、攻撃種類、ＩＰアドレス、ＵＥ識別情報等である。この脅威情報と攻撃の影響度（攻撃頻度、影響範囲等）とに基づき、対処判定部２３０は、攻撃に対処するか否かを判定する。
　ここで、対処判定部２３０が、攻撃に対処しないと判定した場合には（ステップＳ３１→Ｎｏ）、処理を終了する。

　一方、攻撃に対処すると判定した場合には（ステップＳ３１→Ｙｅｓ）、対処判定部２３０は、検知アラートに含まれる脅威情報に基づき、対処制御ポリシーを作成し（ステップＳ３２）、ハードウェアアクセラレータ１０へ送信する。

　次に、ハードウェアアクセラレータ１０の対処実行部１５０は、取得した対処制御ポリシーに基づき、ハードウェアアクセラレータ１０に対処用フィルタを作成する（ステップＳ３３）。

　続いて、対処実行部１５０は、アクセスネットワーク通信装置３０から取得した通信データ、またはその通信データに対してデータ前処理部１２０が前処理（統計処理）したデータに対して、フィルタに一致するか否かを判定する（ステップＳ３４）。
　そして、フィルタに一致しない場合には（ステップＳ３４→Ｎｏ）、対処を実行せず処理を終了する。

　一方、フィルタに一致する場合には（ステップＳ３４→Ｙｅｓ）、対処実行部１５０は、対処を実行し、その通信データを攻撃通信データとして遮断する（ステップＳ３５）。

　このようにすることにより、コントローラ２０が作成した対処制御ポリシーに基づき、ハードウェアアクセラレータ１０が、フィルタリングにより、攻撃通信データの遮断を行うことができる。

≪変形例≫
　次に、本実施形態に係る検知対処制御システム１０００の変形例について説明する。
　図１で示す検知対処制御システム１０００では、アクセスネットワーク通信装置３０からのデータ転送を行い、転送データをハードウェアアクセラレータ１０が取得することにより、攻撃検知および攻撃対処の処理を、コントローラ２０と連携して実現している。

　これに対し、本実施形態の変形例に係る検知対処制御システム１０００Ａでは、アクセスネットワーク通信装置３０にＮＩＣ搭載のＦＰＧＡボード（ハードウェアアクセラレータ１０）を接続し、攻撃検知および攻撃対処の処理をＦＰＧＡボードにおいてインライン形式で実行し、低遅延と、通信装置の使用リソース消費の低減とを実現する。
　ＮＩＣ搭載のＦＰＧＡボードは、例えば、FPGA SmartNICであり、ＰＣＩｅ等の拡張インタフェースを用いて汎用ＩＡ（Intel Architecture）サーバ上で構築した通信装置（アクセスネットワーク通信装置３０）に接続することができる。

　図５は、本実施形態の変形例に係る検知対処制御システム１０００Ａの全体構成を示す図である。
　図５で示すように、アクセスネットワーク通信装置３０Ａは、ハードウェアアクセラレータ１０のセキュリティ処理部１００（例えば、FPGA SmartNICで構成）を備える。セキュリティ処理部１００が備える各機能（データ取得部１１０、データ前処理部１２０、攻撃検知部１３０、検知アラート通知部１４０、対処実行部１５０）は、図１で示したセキュリティ処理部１００の各機能と同じである。

　アクセスネットワーク通信装置３０Ａでは、入力された通信データに対して、接続したＦＰＧＡボード（ハードウェアアクセラレータ１０）にデータを転送する。ＦＰＧＡボード（ハードウェアアクセラレータ１０）では、入力された通信データを、内蔵するユーザロジックへの入力とし、このユーザロジックにより、攻撃検知および攻撃対処を実行することで、アクセスネットワーク通信装置３０ＡのＣＰＵを経由せずに、インライン方式で攻撃検知及び攻撃対処を実行することができる。その結果、アクセスネットワーク通信装置３０Ａでは、攻撃検知や攻撃対処の処理を実行する必要がなくなり、遅延時間および使用リソース消費を低減することが可能となる。
　なお、セキュリティ処理部１００内の各機能の内容および処理の流れは、本実施形態に係る検知対処制御システム１０００と同様であるので、記載を省略する。

＜ハードウェア構成＞
　本実施形態に係る検知対処制御システム１０００のコントローラ２０は、例えば図６に示すような構成のコンピュータ９００によって実現される。
　図６は、本実施形態に係るコントローラ２０の機能を実現するコンピュータ９００の一例を示すハードウェア構成図である。コンピュータ９００は、ＣＰＵ（Central Processing Unit）９０１、ＲＯＭ（Read Only Memory）９０２、ＲＡＭ９０３、ＨＤＤ（Hard Disk Drive）９０４、入出力Ｉ／Ｆ（Interface）９０５、通信Ｉ／Ｆ９０６およびメディアＩ／Ｆ９０７を有する。

　ＣＰＵ９０１は、ＲＯＭ９０２またはＨＤＤ９０４に記憶されたプログラムに基づき作動し、制御部（学習部２１０、学習モデル送信部２２０、対処判定部２３０）による制御を行う。ＲＯＭ９０２は、コンピュータ９００の起動時にＣＰＵ９０１により実行されるブートプログラムや、コンピュータ９００のハードウェアに係るプログラム等を記憶する。

　ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、マウスやキーボード等の入力装置９１０、および、ディスプレイやプリンタ等の出力装置９１１を制御する。ＣＰＵ９０１は、入出力Ｉ／Ｆ９０５を介して、入力装置９１０からデータを取得するともに、生成したデータを出力装置９１１へ出力する。なお、プロセッサとしてＣＰＵ９０１とともに、ＧＰＵ（Graphics Processing Unit）等を用いても良い。

　ＨＤＤ９０４は、ＣＰＵ９０１により実行されるプログラムおよび当該プログラムによって使用されるデータ等を記憶する。通信Ｉ／Ｆ９０６は、通信網（例えば、ＮＷ（Network）９２０）を介して他の装置からデータを受信してＣＰＵ９０１へ出力し、また、ＣＰＵ９０１が生成したデータを、通信網を介して他の装置へ送信する。

　メディアＩ／Ｆ９０７は、記録媒体９１２に格納されたプログラムまたはデータを読み取り、ＲＡＭ９０３を介してＣＰＵ９０１へ出力する。ＣＰＵ９０１は、目的の処理に係るプログラムを、メディアＩ／Ｆ９０７を介して記録媒体９１２からＲＡＭ９０３上にロードし、ロードしたプログラムを実行する。記録媒体９１２は、ＤＶＤ（Digital Versatile Disc）、ＰＤ（Phase change rewritable Disk）等の光学記録媒体、ＭＯ（Magneto Optical disk）等の光磁気記録媒体、磁気記録媒体、半導体メモリ等である。

　例えば、コンピュータ９００が本発明のコントローラ２０として機能する場合、コンピュータ９００のＣＰＵ９０１は、ＲＡＭ９０３上にロードされたプログラムを実行することにより、コントローラ２０の機能を実現する。また、ＨＤＤ９０４には、ＲＡＭ９０３内のデータが記憶される。ＣＰＵ９０１は、目的の処理に係るプログラムを記録媒体９１２から読み取って実行する。この他、ＣＰＵ９０１は、他の装置から通信網（ＮＷ９２０）を介して目的の処理に係るプログラムを読み込んでもよい。

＜効果＞
　以下、本発明に係る検知対処制御システム１０００等の効果について説明する。
　本発明に係る検知対処制御システムは、アクセスネットワークにおいてネットワーク制御を行うコントローラ２０と、アクセスネットワークの通信装置（アクセスネットワーク通信装置３０）およびコントローラ２０に接続されるハードウェアアクセラレータ１０とを備え、サイバー攻撃の検知および対処を行う検知対処制御システム１０００であって、ハードウェアアクセラレータ１０が、通信装置から通信データを取得するデータ取得部１１０と、取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータをコントローラ２０へ送信するデータ前処理部１２０と、コントローラ２０から、通信データによる攻撃を検知するための学習モデルを取得し、データ取得部１１０が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部１３０と、攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、コントローラ２０へ送信する検知アラート通知部１４０と、コントローラ２０から取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、データ取得部１１０が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部１５０と、を備え、コントローラ２０が、前処理されたデータを取得して、通信データによる攻撃を検知するための学習モデルを生成する学習部２１０と、取得した検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む対処制御ポリシーを作成し、ハードウェアアクセラレータ１０に送信する対処判定部２３０と、を備えることを特徴とする。

　このように、検知対処制御システム１０００は、ハードウェアアクセラレータ１０と、コントローラ２０とが、学習、攻撃検知、攻撃対処において機能分離を行い、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置（アクセスネットワーク通信装置３０）の使用リソースを低減することができる。また、検知対処制御システム１０００は、低遅延・低リソースで攻撃検知および攻撃対処ができることから、遅延要件が厳しいネットワークにおいても、リアルタイムでのデータ分析、攻撃検知、攻撃対処が可能となり、セキュアなネットワーク運用を可能にする。

　また、検知対処制御システム１０００は、ハードウェアアクセラレータ１０と、コントローラ２０とが、学習、攻撃検知、攻撃対処においてセキュリティ関連機能を機能分離することにより、通信装置（アクセスネットワーク通信装置３０）への負荷や遅延などのサービス影響を与えずに、セキュリティ機能を導入することができる。

　さらに、検知対処制御システム１０００では、プログラマブルなハードウェアアクセラレータ１０を備えることで、特定処理オフロードの切り替えが可能であり、セキュリティ機能を他の機能と共用化した上で、通信装置のＣＰＵでの動作と比較し、使用リソースや電力効率を改善することができる。

　また、検知対処制御システム１０００において、コントローラ２０の学習部２１０は、所定の時間間隔で取得した前処理されたデータと、攻撃対処が必要とされた検知アラートの情報とを用いて、学習モデルの再学習を行い、再学習した学習モデルをハードウェアアクセラレータ１０に送信し、ハードウェアアクセラレータ１０の攻撃検知部１３０は、再学習した学習モデルにより、自身の学習モデルを更新することを特徴とする。

　このようにすることにより、検知対処制御システム１０００は、通信状況に合わせて学習モデルを更新することができ、より適切な攻撃検知を実行することが可能となる。

　本発明に係る検知対処制御システムは、アクセスネットワークにおいてネットワーク制御を行うコントローラ２０と、コントローラ２０に接続されるハードウェアアクセラレータ１０を搭載する、アクセスネットワークの通信装置（アクセスネットワーク通信装置３０Ａ）とを備え、サイバー攻撃の検知および対処を行う検知対処制御システム１０００Ａであって、ハードウェアアクセラレータ１０が、通信装置（アクセスネットワーク通信装置３０Ａ）に入力された通信データを取得するデータ取得部１１０と、取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータをコントローラ２０へ送信するデータ前処理部１２０と、コントローラ２０から、通信データによる攻撃を検知するための学習モデルを取得し、データ取得部１１０が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部１３０と、攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、コントローラ２０へ送信する検知アラート通知部１４０と、コントローラ２０から取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、データ取得部１１０が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部１５０と、を備え、コントローラ２０が、前処理されたデータを取得して、通信データによる攻撃を検知するための学習モデルを生成する学習部２１０と、取得した検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む対処制御ポリシーを作成し、ハードウェアアクセラレータ１０に送信する対処判定部２３０と、を備えることを特徴とする。

　このように、検知対処制御システム１０００Ａは、通信装置（アクセスネットワーク通信装置３０Ａ）に搭載されたハードウェアアクセラレータ１０と、コントローラ２０とが、学習、攻撃検知、攻撃対処において機能分離を行い、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置（アクセスネットワーク通信装置３０）の使用リソースを低減することができる。また、検知対処制御システム１０００は、低遅延・低リソースで攻撃検知および攻撃対処ができることから、遅延要件が厳しいネットワークにおいても、リアルタイムでのデータ分析、攻撃検知、攻撃対処が可能となり、セキュアなネットワーク運用を可能にする。
　さらに、検知対処制御システム１０００Ａでは、通信装置（アクセスネットワーク通信装置３０Ａ）に入力された通信データを、ハードウェアアクセラレータ１０へ転送する。このため、通信装置を構成するサーバのＣＰＵを経由せずに、インライン方式で攻撃検知および攻撃対処を行うことができる。その結果、通信装置では攻撃検知や攻撃対処の動作する必要がなくなり、通信装置での遅延時間および使用リソースを低減することができる。

　本発明に係るハードウェアアクセラレータは、アクセスネットワークにおいてネットワーク制御を行うコントローラ２０と、アクセスネットワークの通信装置（アクセスネットワーク通信装置３０）とに接続されるハードウェアアクセラレータ１０であって、通信装置（アクセスネットワーク通信装置３０）から通信データを取得するデータ取得部１１０と、取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータをコントローラ２０へ送信するデータ前処理部１２０と、コントローラ２０から、通信データによる攻撃を検知するための学習モデルを取得し、データ取得部１１０が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部１３０と、攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、コントローラ２０へ送信する検知アラート通知部１４０と、コントローラ２０から取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、データ取得部１１０が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部１５０と、を備えることを特徴とする。

　このようにすることにより、ハードウェアアクセラレータ１０は、コントローラ２０との間で、学習、攻撃検知、攻撃対処において機能分離を行い、コントローラ２０から取得した学習モデルを用いて攻撃検知を行うとともに、コントローラ２０から取得した対処制御ポリシーに基づき、攻撃対処を実行することができる。これにより、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置（アクセスネットワーク通信装置３０）の使用リソースを低減することができる。

　本発明に係るコントローラは、アクセスネットワークの通信装置（アクセスネットワーク通信装置３０）に接続されるハードウェアアクセラレータ１０と通信接続するコントローラ２０であって、ハードウェアアクセラレータ１０から、攻撃検知に必要な所定のデータを抽出して統計処理する前処理が実行された通信データを取得して、通信データによる攻撃を検知するための学習モデルを生成する学習部２１０と、ハードウェアアクセラレータ１０が学習モデルを用いて攻撃を検知した通信データの検知アラートを取得し、取得した検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む対処制御ポリシーを作成して、ハードウェアアクセラレータ１０に送信する対処判定部２３０と、を備えることを特徴とする。

　このようにすることにより、コントローラ２０は、ハードウェアアクセラレータ１０との間で、学習、攻撃検知、攻撃対処において機能分離を行い、攻撃を検知するための学習モデルの生成と、対処制御ポリシーの作成を行うことができる。これにより、攻撃検知や攻撃対処の遅延時間を低減するとともに、通信装置（アクセスネットワーク通信装置３０）の使用リソースを低減することができる。

　なお、本発明は、以上説明した実施形態に限定されるものではなく、多くの変形が本発明の技術的思想内で当分野において通常の知識を有する者により可能である。

　５　　　ユーザ端末
　１０　　ハードウェアアクセラレータ
　２０　　コントローラ
　３０，３０Ａ　アクセスネットワーク通信装置
　３１　　データ転送部
　３２　　プロトコル処理部
　４０　　コアネットワーク通信装置
　４１　　データ転送部
　４２　　プロトコル処理部
　１００　セキュリティ処理部
　１１０　データ取得部
　１２０　データ前処理部
　１３０　攻撃検知部
　１４０　検知アラート通知部
　１５０　対処実行部
　２１０　学習部
　２２０　学習モデル送信部
　２３０　対処判定部
　１０００，１０００Ａ　検知対処制御システム

Claims (7)

1. 　アクセスネットワークにおいてネットワーク制御を行うコントローラと、前記アクセスネットワークの通信装置および前記コントローラに接続されるハードウェアアクセラレータとを備え、サイバー攻撃の検知および対処を行う検知対処制御システムであって、
   　前記ハードウェアアクセラレータは、
   　前記通信装置から通信データを取得するデータ取得部と、
   　取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータを前記コントローラへ送信するデータ前処理部と、
   　前記コントローラから、前記通信データによる攻撃を検知するための学習モデルを取得し、前記データ取得部が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部と、
   　前記攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、前記コントローラへ送信する検知アラート通知部と、
   　前記コントローラから取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、前記データ取得部が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部と、を備え、
   　前記コントローラは、
   　前記前処理されたデータを取得して、前記通信データによる攻撃を検知するための前記学習モデルを生成する学習部と、
   　取得した前記検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む前記対処制御ポリシーを作成し、前記ハードウェアアクセラレータに送信する対処判定部と、を備えること
   　を特徴とする検知対処制御システム。
2. 　前記コントローラの学習部は、所定の時間間隔で取得した前記前処理されたデータと、前記攻撃対処が必要とされた前記検知アラートの情報とを用いて、前記学習モデルの再学習を行い、再学習した学習モデルを前記ハードウェアアクセラレータに送信し、
   　前記ハードウェアアクセラレータの攻撃検知部は、前記再学習した学習モデルにより、自身の学習モデルを更新すること
   　を特徴とする請求項１に記載の検知対処制御システム。
3. 　アクセスネットワークにおいてネットワーク制御を行うコントローラと、前記コントローラに接続されるハードウェアアクセラレータを搭載する、前記アクセスネットワークの通信装置とを備え、サイバー攻撃の検知および対処を行う検知対処制御システムであって、
   　前記ハードウェアアクセラレータは、
   　前記通信装置に入力された通信データを取得するデータ取得部と、
   　取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータを前記コントローラへ送信するデータ前処理部と、
   　前記コントローラから、前記通信データによる攻撃を検知するための学習モデルを取得し、前記データ取得部が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部と、
   　前記攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、前記コントローラへ送信する検知アラート通知部と、
   　前記コントローラから取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、前記データ取得部が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部と、を備え、
   　前記コントローラは、
   　前記前処理されたデータを取得して、前記通信データによる攻撃を検知するための前記学習モデルを生成する学習部と、
   　取得した前記検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む前記対処制御ポリシーを作成し、前記ハードウェアアクセラレータに送信する対処判定部と、を備えること
   　を特徴とする検知対処制御システム。
4. 　アクセスネットワークにおいてネットワーク制御を行うコントローラと、前記アクセスネットワークの通信装置および前記コントローラに接続されるハードウェアアクセラレータとを備え、サイバー攻撃の検知および対処を行う検知対処制御システムの検知対処制御方法であって、
   　前記ハードウェアアクセラレータは、
   　前記通信装置から通信データを取得するステップと、
   　取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータを前記コントローラへ送信するステップと、を実行し、
   　前記コントローラは、
   　前記前処理されたデータを取得して、前記通信データによる攻撃を検知するための学習モデルを生成するステップを実行し、
   　前記ハードウェアアクセラレータは、
   　前記コントローラから前記学習モデルを取得し、取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行するステップと、
   　前記攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、前記コントローラへ送信するステップと、を実行し、
   　前記コントローラは、
   　取得した前記検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む対処制御ポリシーを作成し、前記ハードウェアアクセラレータに送信するステップを実行し、
   　前記ハードウェアアクセラレータは、
   　前記コントローラから取得した前記対処制御ポリシーに基づき、取得する通信データに対する攻撃対処を、インラインで行うステップを実行すること
   　を特徴とする検知対処制御方法。
5. 　アクセスネットワークにおいてネットワーク制御を行うコントローラと、前記アクセスネットワークの通信装置とに接続されるハードウェアアクセラレータであって、
   　前記通信装置から通信データを取得するデータ取得部と、
   　取得した通信データについて、攻撃検知に必要な所定のデータを抽出して統計処理する前処理を実行し、前処理したデータを前記コントローラへ送信するデータ前処理部と、
   　前記コントローラから、前記通信データによる攻撃を検知するための学習モデルを取得し、前記データ取得部が取得する通信データに対して、当該学習モデルを用いて、攻撃か否かの判定をインラインで実行する攻撃検知部と、
   　前記攻撃と判定された通信データの検知理由を含む検知情報と当該通信データに関するネットワーク情報と含む検知アラートを生成し、前記コントローラへ送信する検知アラート通知部と、
   　前記コントローラから取得した、攻撃対処に必要な情報を含む対処制御ポリシーに基づき、前記データ取得部が取得する通信データに対する攻撃対処を、インラインで実行する対処実行部と、を備えること
   　を特徴とするハードウェアアクセラレータ。
6. 　アクセスネットワークの通信装置に接続されるハードウェアアクセラレータと通信接続するコントローラであって、
   　前記ハードウェアアクセラレータから、攻撃検知に必要な所定のデータを抽出して統計処理する前処理が実行された通信データを取得して、前記通信データによる攻撃を検知するための学習モデルを生成する学習部と、
   　前記ハードウェアアクセラレータが前記学習モデルを用いて攻撃を検知した通信データの検知アラートを取得し、取得した前記検知アラートを用いて攻撃対処が必要か否かを判定し、攻撃対処が必要な場合に、攻撃種類および対処手法を含む対処制御ポリシーを作成して、前記ハードウェアアクセラレータに送信する対処判定部と、を備えること
   　を特徴とするコントローラ。
7. 　コンピュータを、請求項６に記載のコントローラとして機能させるためのプログラム。

Images