JP7109391B2 - 不正通信検知装置および不正通信検知プログラム - Google Patents
不正通信検知装置および不正通信検知プログラム Download PDFInfo
- Publication number
- JP7109391B2 JP7109391B2 JP2019032743A JP2019032743A JP7109391B2 JP 7109391 B2 JP7109391 B2 JP 7109391B2 JP 2019032743 A JP2019032743 A JP 2019032743A JP 2019032743 A JP2019032743 A JP 2019032743A JP 7109391 B2 JP7109391 B2 JP 7109391B2
- Authority
- JP
- Japan
- Prior art keywords
- communication
- unauthorized communication
- operational data
- learning model
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/20—Ensemble learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/02—Knowledge representation; Symbolic representation
- G06N5/022—Knowledge engineering; Knowledge acquisition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/088—Access security using filters or firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Evolutionary Computation (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Artificial Intelligence (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computational Linguistics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Description
図1は、IoTシステムのシステム構成例を示す説明図である。IoTシステム100は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。また、端末104は、クラウドシステム101と、拠点システム102と、が無線ネットワーク103により通信可能に接続される。
図2は、IoTゲートウェイ120のハードウェア構成例を示すブロック図である。IoTゲートウェイ120は、プロセッサ201と、記憶デバイス202と、電源入力口203と、電源ブロック204と、バッテリ205と、長距離無線モジュール206と、Subscriber Identity Module(SIM)カードスロット207と、長距離無線Interface(IF)208と、短距離無線モジュール209と、短距離無線IF210と、有線IF211と、を有する。
図3は、IoTゲートウェイ120による学習および運用処理手順例を示すフローチャートである。不正通信の検知遮断を行うソフトウェアを導入する際には、ネットワーク特徴量ごとの重みと、検知および遮断の各しきい値と、学習モデルの揺らぎ範囲と、スコア修正値と、を含む設定ファイルが作成され、記憶デバイス202に格納される。IoTゲートウェイ120は、記憶デバイス202から設定ファイルを読み込む(ステップS301)。
図4は、IoTゲートウェイ120の機能的構成例を示すブロック図である。IoTゲートウェイ120は、第1IF401と、第2IF402と、受信部403と、第1生成部405と、第2生成部406と、判定部407と、通知部408と、送信制御部409と、送信部404と、設定ファイル410と、通信中情報テーブル411と、学習モデルDB412と、を有する。
図5は、ネットワーク特徴量を示す説明図である。ネットワーク特徴量Fnは、第1生成部405が、受信部403で複製されたパケットから抽出した特徴量である。本例では、たとえば、図5に示した11個のネットワーク特徴量Fnが抽出される。
図6は、第1設定ファイルの一例を示す説明図である。第1設定ファイル600は、ネットワーク特徴量Fnごとに重みwnを有する。重みwnの値は、ユーザが任意に設定可能である。したがって、新規のIoTデバイス121が追加されたり、通信量が変化したりするようなIoTシステム100の場合、送信元IPアドレスの変化を許容するなど、ネットワーク特徴量Fnごとに細かな設定が可能となる。なお、上記式(1)の判定式で、真偽値xnの項番nに枝番が含まれる場合には、各枝番に同一の重みwnが用いられる。たとえば、項番n=8-3の場合、重みwnの値が、重みw8-1、w8-2、w8-3の値に適用される。第1設定ファイル600は、具体的には、たとえば、フラッシュメモリ222に格納され、判定部407に読み込まれる。
図8は、通信中情報テーブル411のデータ構造例を示す説明図である。通信中情報テーブル411は通信中情報を格納するテーブルである。通信中情報テーブル411は、具体的には、たとえば、フラッシュメモリ222に格納される。通信中情報テーブル411は、学習および運用を問わず、通信セッションごとに第1生成部405によって生成される。
図9は、学習モデルDB412のデータ構造例を示す説明図であり、図10は、学習モデルLnの一例を示す説明図である。学習モデルDB412は、ネットワーク特徴量F1~F11に対応する学習モデルL1~L11-2をリスト化したデータベースである。学習モデルDB412は、学習期間中に生成された通信中情報Cn、すなわち、学習期間中の全通信セッションにより第2生成部406によって生成される。学習モデルDB412は、具体的には、たとえば、フラッシュメモリ222に格納される。
図11は、判定部407における学習モデルLnと運用パケットから生成された第1通信中情報Cnとの比較条件の一例を示す説明図である。判定部407は、第1通信中情報C1~C7、C9の各々について、対応する学習モデルL1~L7、L9内に一致する値があるか否かを判定する。具体的には、たとえば、学習モデルL1(宛先IPアドレス)の値が「10.10.10.1」および「10.10.10.2」であり、第1通信中情報C1(宛先IPアドレス)の値が「10.10.10.1」である場合、判定部407は、一致する値「10.10.10.1」が学習モデルL1に存在すると判定する。
図12は、IoTゲートウェイ120の学習時におけるパケット処理シーケンス例を示すシーケンス図である。なお、第1生成部405には、あらかじめ学習期間が設定されているものとする。学習期間中において、受信部403は、第1IF401からパケットを受信すると、送信制御部409を経由して、受信したパケットを送信部404に転送する(ステップS1201)。これにより、送信部404は、第2IF402を介してパケットを宛先に送信することができる。また、受信部403は、受信したパケットを複製して、複製パケットを第1生成部405に転送する(ステップS1202)。
図14は、図13に示した通信判定処理(ステップS1302)の詳細な処理手順例を示すフローチャートである。IoTゲートウェイ120は、学習モデルLnを取得した後(ステップS1322)、判定部407および取得部420により、図13に示した不正通信判定処理(ステップS1323)として、ステップS1401~S1407を実行する。
121 IoTデバイス
403 受信部
404 送信部
405 第1生成部
406 第2生成部
407 判定部
408 通知部
409 送信制御部
410 設定ファイル
411 通信中情報テーブル
412 学習モデルDB
420 取得部
600 第1設定ファイル
700 第2設定ファイル
1500 第3設定ファイル
1700 第4設定ファイル
Cn 通信中情報
Fn ネットワーク特徴量
Fs 遮断特徴量
Ln 学習モデル
S(n) スコア
α 検知しきい値
β 遮断しきい値
Claims (12)
- 運用データを送信元から受信する受信部と、
前記受信部によって受信された運用データを宛先に送信する送信部と、
学習データ群の特徴量に関する複数の学習モデルの各々に対応し、前記運用データの通信中の累積した特徴量に関する複数の第1通信中情報を生成する第1生成部と、
前記複数の学習モデルの中の特定の第1学習モデルの適用範囲を拡張する第1パラメータを用いて前記運用データの複数の特徴量のうち前記特定の第1学習モデルに対応する特定の第1特徴量の第1範囲を特定し、前記複数の学習モデルの中の特定の第2学習モデルの適用範囲を拡張する第2パラメータを用いて前記運用データの複数の特徴量のうち前記特定の第2学習モデルに対応する特定の第2特徴量の第2範囲を特定し、前記第1範囲と前記第2範囲とに基づいて、前記運用データが不正通信であるか否かを判定するためのスコアを算出する判定式を修正する修正値を取得する取得部と、
前記学習モデルと当該学習モデルに対応する第1通信中情報との組み合わせごとに比較して前記学習モデルに対する前記第1通信中情報の真偽を特定し、前記判定式に、前記組み合わせごとの前記真偽を示す値と前記取得部によって取得された修正値とを代入することにより、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定部と、
前記判定部による判定結果に基づいて、前記送信部による前記運用データの送信を制御する送信制御部と、
を有することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記送信制御部は、前記判定結果が不正通信である場合、当該不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定部は、前記スコアが不正通信の基準となる第1しきい値よりも低い場合、前記運用データを不正通信のデータと判定し、
前記送信制御部は、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定結果が不正通信である場合、当該判定結果を通知する通知部を有することを特徴とする不正通信検知装置。 - 請求項2に記載の不正通信検知装置であって、
前記判定部は、前記不正通信のデータと判定された運用データの特徴量を前記送信制御部に出力し、
前記送信制御部は、前記不正通信のデータと判定された運用データの特徴量に基づいて、前記不正通信と判定された運用データを遮断することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記判定結果を通知する通知部を有し、
前記送信制御部は、前記判定結果が不正通信の可能性がある場合、当該不正通信の可能性があると判定された運用データを前記送信部に出力し、
前記通知部は、前記判定結果が不正通信の可能性がある場合、当該判定結果を通知することを特徴とする不正通信検知装置。 - 請求項6に記載の不正通信検知装置であって、
前記判定部は、前記スコアが、不正通信の基準となる第1しきい値以上で、かつ、前記第1しきい値よりも高い不正通信の可能性の基準となる第2しきい値よりも低い場合、前記運用データを不正通信の可能性があると判定することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記送信制御部は、前記判定結果が不正通信でない場合、当該不正通信でないと判定された運用データを前記送信部に出力することを特徴とする不正通信検知装置。 - 請求項8に記載の不正通信検知装置であって、
前記判定部は、前記スコアが不正通信の可能性の基準となる第2しきい値以上である場合、前記運用データを不正通信でないと判定することを特徴とする不正通信検知装置。 - 請求項1に記載の不正通信検知装置であって、
前記判定部は、前記運用データが受信される都度、前記判定式で前記運用データのスコアを算出することを特徴とする不正通信検知装置。 - 請求項10に記載の不正通信検知装置であって、
前記第1生成部は、先着の運用データが受信されてから最新の運用データが受信されるまでの運用データ群について、前記運用データが受信される都度、前記第1通信中情報を更新し、
前記判定部は、前記第1生成部によって更新された最新の第1通信中情報に基づいて、前記判定式により前記最新の運用データのスコアを算出することを特徴とする不正通信検知装置。 - プロセッサに、
運用データを送信元から受信する受信処理と、
前記受信処理によって受信された運用データを宛先に送信する送信処理と、
学習データ群の特徴量に関する複数の学習モデルの各々に対応し、前記運用データの通信中の累積した特徴量に関する複数の第1通信中情報を生成する第1生成処理と、
前記複数の学習モデルの中の特定の第1学習モデルの適用範囲を拡張する第1パラメータを用いて前記運用データの複数の特徴量のうち前記特定の第1学習モデルに対応する特定の第1特徴量の第1範囲を特定し、前記複数の学習モデルの中の特定の第2学習モデルの適用範囲を拡張する第2パラメータを用いて前記運用データの複数の特徴量のうち前記特定の第2学習モデルに対応する特定の第2特徴量の第2範囲を特定し、前記第1範囲と前記第2範囲とに基づいて、前記運用データが不正通信であるか否かを判定するためのスコアを算出する判定式を修正する修正値を取得する取得処理と、
前記学習モデルと当該学習モデルに対応する第1通信中情報との組み合わせごとに比較して前記学習モデルに対する前記第1通信中情報の真偽を特定し、前記判定式に、前記組み合わせごとの前記真偽を示す値と前記取得処理によって取得された修正値とを代入することにより、前記運用データのスコアを算出し、当該算出されたスコアに基づいて、不正通信であるか否かを判定する判定処理と、
前記判定処理による判定結果に基づいて、前記送信処理による前記運用データの送信を制御する送信制御処理と、
を実行させることを特徴とする不正通信検知プログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019032743A JP7109391B2 (ja) | 2019-02-26 | 2019-02-26 | 不正通信検知装置および不正通信検知プログラム |
US16/565,574 US11792650B2 (en) | 2019-02-26 | 2019-09-10 | Unauthorized communication detection apparatus and recording medium |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019032743A JP7109391B2 (ja) | 2019-02-26 | 2019-02-26 | 不正通信検知装置および不正通信検知プログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020135816A JP2020135816A (ja) | 2020-08-31 |
JP7109391B2 true JP7109391B2 (ja) | 2022-07-29 |
Family
ID=72140826
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019032743A Active JP7109391B2 (ja) | 2019-02-26 | 2019-02-26 | 不正通信検知装置および不正通信検知プログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US11792650B2 (ja) |
JP (1) | JP7109391B2 (ja) |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11729190B2 (en) * | 2019-10-29 | 2023-08-15 | General Electric Company | Virtual sensor supervised learning for cyber-attack neutralization |
US11962459B1 (en) | 2020-05-17 | 2024-04-16 | Heltun, Inc. | Intelligent traffic control in a bridge using cloud-based control for connected IoT devices |
US11599527B2 (en) * | 2020-09-21 | 2023-03-07 | International Business Machines Corporation | Optimizing distributed ledger storage and battery usage in iot devices |
JPWO2022168306A1 (ja) * | 2021-02-08 | 2022-08-11 | ||
JP7177873B2 (ja) * | 2021-03-08 | 2022-11-24 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | ゲートウェイ装置、データ送信方法、及びプログラム |
JP7494240B2 (ja) | 2022-03-30 | 2024-06-03 | 尚承科技股▲フン▼有限公司 | Aiによるネットワーク攻撃防御システムおよびその方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096735A (ja) | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
WO2015107861A1 (ja) | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
WO2016147403A1 (ja) | 2015-03-19 | 2016-09-22 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及び情報処理プログラム |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005044277A (ja) * | 2003-07-25 | 2005-02-17 | Fuji Xerox Co Ltd | 不正通信検出装置 |
US20100161537A1 (en) * | 2008-12-23 | 2010-06-24 | At&T Intellectual Property I, L.P. | System and Method for Detecting Email Spammers |
US9813310B1 (en) * | 2011-10-31 | 2017-11-07 | Reality Analytics, Inc. | System and method for discriminating nature of communication traffic transmitted through network based on envelope characteristics |
US9635039B1 (en) * | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US9049221B1 (en) * | 2013-11-12 | 2015-06-02 | Emc Corporation | Detecting suspicious web traffic from an enterprise network |
US9979606B2 (en) * | 2015-03-04 | 2018-05-22 | Qualcomm Incorporated | Behavioral analysis to automate direct and indirect local monitoring of internet of things device health |
CN107429606B (zh) * | 2015-03-26 | 2019-09-06 | 株式会社京滨 | 阀控制装置及阀*** |
JP6430356B2 (ja) | 2015-10-30 | 2018-11-28 | 日本電信電話株式会社 | 検知方法及び検知システム |
CN105634992B (zh) * | 2015-12-29 | 2019-01-11 | 网宿科技股份有限公司 | Cdn平台自适应带宽控制方法和*** |
JP6711710B2 (ja) | 2016-07-07 | 2020-06-17 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 監視装置、監視方法および監視プログラム |
CN108234247B (zh) * | 2018-01-25 | 2020-06-23 | 网宿科技股份有限公司 | 一种检测网络质量的方法和*** |
JP7033467B2 (ja) * | 2018-03-01 | 2022-03-10 | 株式会社日立製作所 | 不正通信検知装置および不正通信検知プログラム |
JP6528893B1 (ja) * | 2018-11-07 | 2019-06-12 | 富士通株式会社 | 学習プログラム、学習方法、情報処理装置 |
EP3663951B1 (en) * | 2018-12-03 | 2021-09-15 | British Telecommunications public limited company | Multi factor network anomaly detection |
-
2019
- 2019-02-26 JP JP2019032743A patent/JP7109391B2/ja active Active
- 2019-09-10 US US16/565,574 patent/US11792650B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007096735A (ja) | 2005-09-29 | 2007-04-12 | Fujitsu Ltd | ネットワークセキュリティ装置 |
WO2015107861A1 (ja) | 2014-01-14 | 2015-07-23 | 株式会社Pfu | 情報処理装置、不正活動判定方法および不正活動判定用プログラム、並びに、情報処理装置、活動判定方法および活動判定用プログラム |
WO2016147403A1 (ja) | 2015-03-19 | 2016-09-22 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及び情報処理プログラム |
Also Published As
Publication number | Publication date |
---|---|
US20200275278A1 (en) | 2020-08-27 |
JP2020135816A (ja) | 2020-08-31 |
US11792650B2 (en) | 2023-10-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP7109391B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
JP7033467B2 (ja) | 不正通信検知装置および不正通信検知プログラム | |
CN110121876B (zh) | 用于通过使用行为分析检测恶意设备的***和方法 | |
CN110249603B (zh) | 用于检测无线网络中的分布式攻击的方法和装置 | |
US10135844B2 (en) | Method, apparatus, and device for detecting e-mail attack | |
US10104124B2 (en) | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program | |
CN109040140B (zh) | 一种慢速攻击检测方法及装置 | |
US20070143846A1 (en) | System and method for detecting network-based attacks on electronic devices | |
CN109922072B (zh) | 一种分布式拒绝服务攻击检测方法及装置 | |
EP3682595B1 (en) | Obtaining local area network diagnostic test results | |
CN107241304B (zh) | 一种DDoS攻击的检测方法及装置 | |
US20120173712A1 (en) | Method and device for identifying p2p application connections | |
US20140259140A1 (en) | Using learned flow reputation as a heuristic to control deep packet inspection under load | |
CN113518057B (zh) | 分布式拒绝服务攻击的检测方法、装置及其计算机设备 | |
CN107547505B (zh) | 一种报文处理方法及装置 | |
CN112511517A (zh) | 一种邮件检测方法、装置、设备及介质 | |
CN110740144A (zh) | 确定攻击目标的方法、装置、设备及存储介质 | |
CN113452676A (zh) | 一种检测器分配方法和物联网检测*** | |
CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
CN107786531B (zh) | Apt攻击检测方法和装置 | |
US11689928B2 (en) | Detecting unauthorized access to a wireless network | |
CN114338120A (zh) | 一种扫段攻击检测方法、装置、介质和电子设备 | |
CN111314348B (zh) | 信任度模型建立、信任评价、设备认证的方法及装置 | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210511 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220208 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220209 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220407 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220712 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220719 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7109391 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |