JP7131428B2 - 通信端末装置、通信制御方法及び通信制御プログラム - Google Patents

通信端末装置、通信制御方法及び通信制御プログラム Download PDF

Info

Publication number
JP7131428B2
JP7131428B2 JP2019030887A JP2019030887A JP7131428B2 JP 7131428 B2 JP7131428 B2 JP 7131428B2 JP 2019030887 A JP2019030887 A JP 2019030887A JP 2019030887 A JP2019030887 A JP 2019030887A JP 7131428 B2 JP7131428 B2 JP 7131428B2
Authority
JP
Japan
Prior art keywords
communication
application
control
terminal device
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019030887A
Other languages
English (en)
Other versions
JP2020135655A (ja
Inventor
一凡 張
貴大 温品
真樹 谷川
幸雄 永渕
伸悟 加島
哲彦 村田
賢治 太田
毅 近藤
公輝 野村
明夫 向山
弘樹 長山
幸治 森下
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2019030887A priority Critical patent/JP7131428B2/ja
Priority to US17/431,713 priority patent/US20220141185A1/en
Priority to PCT/JP2020/004871 priority patent/WO2020170863A1/ja
Priority to EP20759662.8A priority patent/EP3910889A4/en
Priority to AU2020226154A priority patent/AU2020226154B2/en
Priority to CN202080015234.7A priority patent/CN113454956B/zh
Publication of JP2020135655A publication Critical patent/JP2020135655A/ja
Application granted granted Critical
Publication of JP7131428B2 publication Critical patent/JP7131428B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、通信端末装置、通信制御方法及び通信制御プログラムに関する。
従来、通信のパケットを分析してシグネチャマッチングによって機器種別や機器名を特定するシステムや、ブラックリストによって通信を制御するファイアウォールなどのシステムが提供されている。これらのシステムは、シグネチャやブラックリストと言った、外部情報を基に処理を行っているものが多く、情報源の確保、迅速な対応、解析の安全性、低コストを満たすことができない場合がある。
そこで、IoT(Internet of Things)デバイスなど、通信パターンが限定される機器に対象を絞り、その通信をネットワークのゲートウェイ(GW)で学習し、異常通信を特定する方法が提案されている(例えば、非特許文献1参照)。
張一凡他、「非集中化IoTセキュリティ制御の検討」、信学技報ICSS2017-58(2018-03)
しかしながら、この方法は、GWで実装されるため、制御対象が、Wi-FiなどのGWと直接通信を行うIoTデバイスに限定されてしまう。従って、この方法では、現在、市場の多くを占めるスマートフォン上のアプリケーション(以降、「アプリ」とする。)をGWとするIoTデバイスを制御することができなかった。
また、スマートフォン上の各アプリの通信を制御する方法として、OS上のファイアウォールが考えられるものの、ファイアウォールは、既存の実装を用いるだけであるため、解析の安全性を満たすことが難しい。
そして、アプリ毎の通信を解析することによってフィルタ条件を生成する方法がある。しかしながら、スマートフォンのアプリは、既存のIoTデバイスなどと異なり、通信先が限定されないものが多い。これは、アプリの広告やそれを支えるコンテンツデリバリーネットワークがあるためである。従って、学習期間の通信パターンを用いた通信フィルタでは、正常通信を異常と判断する過検知が多発する。
さらに、解析期間、環境、ユーザの操作に起因して、アプリの通信が変わるため、理想的な全通信パターン学習が困難であり、偏った制御条件が生成されるリスクが高い。この場合、制御条件が確定した後に、操作等によって未知の正常な通信が発生すると、正常にもかかわらず異常と判断される過検知が発生し、通信制御が実行される。このような過検知が多発すると、通信の承認やシステムに対する信頼性が低下し、運用での安全性低下と利便性の低下が懸念される。
開示の実施の形態は、上記に鑑みてなされたものであり、通信端末装置上のアプリケーションの通信を適切に制御することを目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る通信端末装置は、アプリケーションの通信を収集し、第1の制御条件に基づいてアプリケーションの通信を制御する収集制御部と、収集制御部が収集した通信を解析してアプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づいて第1の制御条件を生成する解析部と、アプリケーションの識別情報と、第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する連携部と、を有することを特徴とする。
本発明によれば、通信端末装置上のアプリケーションの通信を適切に制御することを可能にする。
図1は、実施の形態に係る通信システムの構成の一例を示す図である。 図2は、制御対象情報の一例を示す図である。 図3は、制御条件の一例を示す図である。 図4は、共有情報の一例を示す図である。 図5は、実施の形態に係る通信システムにおける処理の流れの一例を示すフローチャートである。 図6は、実施の形態における通信制御対象の判定処理の処理手順を示すフローチャートである。 図7は、解析部が収集したアプリの情報を説明する図である。 図8は、解析部が収集した他の端末装置の共有情報をアプリの情報を説明する図である。 図9は、ユーザインタフェース部による出力画面の一例を示す図である。 図10は、実施の形態における正常通信の解析処理の処理手順を示すフローチャートである。 図11は、プログラムが実行されることにより、実施の形態の端末装置が実現されるコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施の形態を詳細に説明する。なお、この実施の形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[実施の形態]
本実施の形態では、端末装置上のアプリをGWとして接続したIoTデバイスの通信を制御する。端末装置上には多種のアプリがあるため、本実施の形態では、全てのアプリの通信を検知対象とするのではなく、通信制御の対象となるアプリを分類し、分類したアプリの異常通信を検知する。また、本実施の形態では、通信制御の対象となるアプリについては、正常通信パターンの特定を行って異常通信の検知を行うとともに、他の端末装置との連携によって異常通信の検知精度を向上する。
[通信システムの構成の一例]
実施の形態に係る通信システムについて説明する。図1は、実施の形態に係る通信システム1の構成の一例を示す図である。実施の形態に係る通信システム1は、端末装置10(通信端末装置)を有する。端末装置10は、外部ネットワークNW-Aを介して他の端末装置11A,11B,…及びサーバ20と接続される。また、端末装置10は、外部ネットワークNW-Aとは異なるネットワークNW-Bを介して、IoTデバイス40A,40B,…と接続される。
端末装置10は、例えば、スマートフォンである。端末装置10は、ネットワークNW-Bを介して接続されるIoTデバイス40A,40Bと、外部ネットワークNW-Aを介した外部装置との通信を制御する。端末装置10は、この端末装置10上のアプリをGWとして接続したIoTデバイス40の通信を、所定の通信制御条件に従って制御する。
端末装置10は、通信制御対象であるアプリを分類し、通信制御対象のアプリの正常通信範囲に対応する制御条件を特定し、特定した制御条件を適用してアプリの通信を制御する。アプリの通信を制御する処理には、アプリの異常を検知し、異常通信を発生させたアプリの通信を遮断したり、異常通信の発生をユーザやサーバ20に通知したりする処理が含まれる。
また、端末装置10は、上位装置(例えばサーバ20)による制御を介さずに、自律的に他の端末装置11A,11B,…との間で情報を共有する自律連携を行う。端末装置10は、例えば、データベースやファイルアップロードによるサーバ経由での情報の共有の他に、ブロックチェーン等を利用したサーバレスでの情報の共有を行う。端末装置10は、通信制御対象のアプリの情報、アプリの通信に対する制御条件、アプリの通信を解析する際の学習内容等を、他の端末装置11A,11B,…と共有する。
端末装置11A,11B,…は、端末装置10と同様の機能及び構成を有する装置である。端末装置11A,11B,…は、端末装置10が制御するIoTデバイス40A,40B,…とは別のIoT機器を制御する。なお、図1には2つの端末装置11A,11B,…を図示するが、外部ネットワークNW-Aを介して端末装置10に接続される他の端末装置の数は特に限定されない。以下、端末装置11A,11B,…各々を区別する必要がないときは、総括的に端末装置11と表示する。
サーバ20は、端末装置10を提供するサービス提供者が管理する情報処理装置である。サーバ20の構成は特に限定されない。サーバ20は例えば、物理的に一つのサーバであっても、複数のサーバにまたがって仮想的に構築される仮想サーバであってもよい。
IoTデバイス40A,40B,…は、端末装置10の制御対象機器である。IoTデバイス40A,40B,…は例えば、所定の空間及び位置に配置される温度センサ、照度センサ、人感センサ、開閉センサ等のセンサである。また、例えば、IoTデバイス40A,40B,…は、IoTサービスにより消費電力量を制御される情報処理装置である。また、例えば、IoTデバイス40A,40B,…は、所定空間の画像を撮影して端末装置10に送信する撮像装置である。なお、図1にはIoTデバイスを2つ図示するが、端末装置10の配下に接続されるIoT機器の数は特に限定されない。以下、IoTデバイス40A,40B,…各々を区別する必要がないときは、総括的にIoTデバイス40と表示する。
外部ネットワークNW-Aは、端末装置10と外部装置とを通信可能に接続する通信網である。外部ネットワークNW-Aは例えば、インターネット、イントラネット、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)等である。外部ネットワークNW-Aは、有線ネットワークまたは無線ネットワークまたはその組み合わせであってよい。
ネットワークNW-Bは、端末装置10とIoTデバイス40A,40B,…とを通信可能に接続する通信網である。ネットワークNW-Bの種類は特に限定されない。ネットワークNW-Bは例えば、インターネット、イントラネット、ローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)等であってよく、有線ネットワーク、無線ネットワークまたはその組み合わせであってよい。
[端末装置10の構成]
図1を参照し、さらに端末装置10の構成及び機能の一例について説明する。端末装置10は、制御部100と記憶部200とを備える。
制御部100は、端末装置10における通信制御処理を制御する。制御部100としては、CPU(Central Processing Unit)、MPU(Micro Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路を利用することができる。また、制御部100は、端末装置10における処理手順等を規定したプログラムや制御データを格納する記憶部を有する。制御部100は、各種プログラムが動作することにより、各種の処理部として機能する。
記憶部200は、各種のデータを記憶する記憶装置である。記憶部200は、RAM(Random Access Memory)、フラッシュメモリ、などのデータを書き換え可能な半導体メモリであってもよい。記憶部200として使用される装置は特に限定されない。
[各種情報の説明]
まず、本実施の形態の通信システム1において使用する情報について説明する。「制御条件」とは、各アプリの正常通信範囲を示す情報である。正常通信範囲は、端末装置10が各アプリの通信を、通信先数、パケットサイズなどの複数の観点から、統計解析または学習することによって、抽出される。本実施の形態では「制御条件」は、いわば通信についてのホワイトリストの役割を果たす。「制御条件」はフィルタ条件とも呼ぶことができる。
「制御条件」に合致しない通信を、以下「異常通信」と呼ぶ。また、「制御条件」に基づく通信制御が実行されていない場合の正常な通信を「定常通信」と呼ぶ。「定常通信」は、正常通信の条件である「正常通信条件」ともいえる。
例えば、解析(学習)対象であるアプリDが「定常通信」を実行した所定期間中のアプリの通信先の数が「1」であった場合、制御条件は「アプリDの通信先の数=1」となる。この場合、端末装置10による制御開始後にアプリDが複数の通信先と通信しようとすると、端末装置10は、アプリDの「異常通信」が発生したと判定する。また、例えば、解析(学習)対象であるアプリEが「定常通信」を実行した所定期間中のアプリEの通信時間が、予め設定された設定時間のみであったとする。この場合、制御条件は、「アプリEの通信時間=設定時間」となる。この場合、通信システム1による制御開始後にアプリEが設定時間外に通信しようとすると、端末装置10は、アプリEの「異常通信」が発生したと判定する。
[記憶部200に記憶される情報]
記憶部200は、制御対象情報記憶部201と、制御条件記憶部202と、共有情報記憶部203と、を有する。
制御対象情報記憶部201は、アプリの識別情報と、通信制御対象であるか否かのいずれかを示す情報とを対応付けた制御対象情報を記憶する。図2は、制御対象情報の一例を示す図である。
図2に示すように、制御対象情報は、アプリの名称及びバージョン情報と、通信制御対象の可否とが対応付けられている。「True」は、通信制御対象であることを示し、「False」は、通信制御対象外であることを示す。
例えば、アプリAの場合、「A:v1.9」及び「A:v1.8」のいずれについても「True」であることが示される。また、アプリCの場合、「C:v1」については「False」であることが示される。制御対象情報は、可視化のためにユーザインタフェース(UI)部105(後述)、通信制御のために収集制御部102(後述)、端末装置間の自律連携のために連携部104(後述)において使用される。
制御条件記憶部202は、各アプリの制御条件を記憶する。図3は、制御条件の一例を示す図である。図3に示すように、各制御条件には、アプリの名称及びバージョン情報が対応付けられている。
例えば、アプリAの場合、「A:v1.9」及び「A:v1.8」のいずれについても、「packet size{10kB±20%}、50kbyte/packet ±50%、プロトコル={HTTPS}、Duration:{曲線y=x2+Sx+2.5}」が記憶される。これは、アプリAの通信は、パケットサイズが10kB±20%のパケットが送信されている場合には、正常通信の範囲内とみなすことを示す。また、アプリAの通信は、パケット各々が50±50%キロバイトの大きさである場合には、正常通信の範囲内とみなすことを示す。また、アプリAの通信は、プロトコルとしてHTTPSを使用している場合には正常通信の範囲内とみなすことを示す。
図3の例では、アプリAの2つのバージョン「v1.9」,「v1.8」には同一の制御条件が対応付けて記憶されている。また、アプリC,Zは、制御対象ではないため、例えば、ユーザ操作に起因して通信パターンを定型化できないので、対象外とされる。制御条件は、可視化のためにUI部105(後述)、通信制御のために収集制御部102(後述)、端末装置間の自律連携のために連携部104(後述)において使用される。
共有情報記憶部203は、端末装置10が他の端末装置11と共有する共有情報を記憶する。共有情報は、「Key」として「アプリ名:バージョン」を含む。共有情報は、例えば、「Value」として「正常通信条件(≠正常通信の一覧)」を含む。
図4は、共有情報の一例を示す図である。図4は、本端末装置10が、他の端末装置11に提供する共有情報の一例を示すが、共有情報記憶部203は、他の端末装置11から提供された共有情報も記憶する。図4に示すように、共有情報は、「アプリ名:バージョン」、「制御可否」、「定常通信(=正常通信条件)」、「オプションフィールド」の項目を有する。
「制御可否」には、対応するアプリが、その端末装置において通信制御対象か否かが示される。「True」は、通信制御対象であることを示し、「False」は、通信制御対象外であることを示す。
「定常通信」には、提供元の端末装置10における正常通信条件が示される。この「定常通信」の内容については、提供先の端末装置11に応じて、共有する情報の粒度が変更される。例えば、セキュアなMSSへの情報共有である場合、通信解析の再現に必要な情報をサービス約款などに従って「定常通信」の内容を最大限共有することによって、サービスの精度の向上を図ることができる。
また、サーバレスでの共有または公開システムへの共有である場合、統計の特徴量のみを「定常通信」の内容として共有し、具体的な通信先は秘匿される。例えば、図4の場合、アプリAについては、具体的なプロトコルの名称を示さず、プロトコルの個数のみを示している。
「オプションフィールド」は、アプリ情報に基づく通信制御の困難さを示す値α、他の端末装置での学習結果の類似度に基づく通信制御の容易さを示す値β、ユーザの操作及び認識に基づく制御可否を示す値γの各係数の値を含む。「オプションフィールド」は、このアプリをGWとして接続するIoTデバイス40の機器情報を含む。「オプションフィールド」は、このアプリに対する解析期間を含む。図4の例では、アプリAについては、「A:v1.9」及び「A:v1.8」のいずれについても、解析期間が「1日」であることが示される。
また、共有情報は、アプリ名:バージョンを検索キーとして、「正常通信条件」の他、解析結果、アプリの通信を解析する際の学習条件、アラートに対するユーザ判断をバリューに含んでもよい。
なお、制御対象情報、制御条件及び共有情報が記憶されるタイミングや態様は特に限定されない。また、記憶部200は、ユーザが所定のアプリについて接続及び通信を拒否した場合にはその旨の情報を記憶する。また、記憶部200は、図2~図4に示す情報のほか、共有情報を他の端末装置11から取得した場合に当該共有情報の送信元の端末装置11を特定する情報を記憶してもよい。記憶部200は、制御対象情報、及び制御条件を設定する際の端末装置10,11による学習期間の長さを、制御条件に対応付けて記憶してもよい。
[制御部100の各部の機能及び構成の一例]
制御部100は、通信部101、収集制御部102、解析部103、連携部104及びUI部105を有する。通信部101、収集制御部102、解析部103、連携部104及びUI部105は、通信解析アプリとして、端末装置10にインストールされる。アプリの通信は、OSの機能により設定はなく、通信解析アプリを経由して、アプリの情報も仲介される。
通信部101は、端末装置10の外部ネットワークNW-Aを介した通信を実現する通信インタフェースである。端末装置10上のネットワーク通信は、VPNやProxyを介し、通信部101を経由する。通信部101は、外部ネットワークNW-Aから送信される情報を受信し、所定の設定に応じて、受信した情報を収集制御部102、解析部103、連携部104及びUI部105の各機能部に送信する。また、通信部101は、所定の設定に応じて、収集制御部102、解析部103、連携部104及びUI部105の各機能部から受信した情報を外部に送信する。
収集制御部102は、ネットワークNW-Bを介してIoTデバイス40と行うアプリの通信に関する情報を収集する。収集制御部102は、記憶部200に記憶されていないアプリが端末装置10に追加されると、追加されたアプリについて所定期間にわたり定常通信を実行し、通信の情報を収集する。そして、収集制御部102は、収集した通信の情報を追加アプリの解析指示とともに解析部103に送る。
収集制御部102は、解析部103の処理結果に基づき設定される制御条件(第1の条件)に従い、アプリの通信を制御する。例えば、収集制御部102は、所定の制御条件に合致しないアプリの通信を遮断する。また、例えば、収集制御部102は、所定の制御条件に合致しないアプリの通信を検知し、ユーザにアラートを送信する。また、例えば、収集制御部102は、所定の制御条件に合致しない通信が発生した場合、当該通信を発生させたアプリの通信の再解析(再学習)を解析部103に指示する。このように、端末装置10は、ユーザのアプリの導入障壁を下げるために、通信解析アプリが、他のアプリの通信を解析及び監視し、不正通信を検出及び制御する。
解析部103は、収集制御部102が収集したアプリの通信を、収集制御部102から受信する。解析部103は、受信した通信を解析して、この通信を行ったアプリが通信制御対象であるか否かを判定する。解析部103は、アプリケーションの情報、連携部104(後述)が受信した他の端末装置11による共有情報、及び、アプリケーションに対する信制御対象の可否に関するユーザの回答に基づいて、アプリが通信制御対象であるか否かを判定する。また、解析部103は、ユーザ操作に応じて通信先が増えるアプリや、通信プロトコルが変わるアプリについては正常通信条件が生成できないため通信制御対象外とし、それ以外のアプリは通信制御対象とする。
そして、解析部103は、通信制御対象のアプリケーションの正常通信範囲に基づいて、解析対象のアプリに対する制御条件(第1の条件)を生成する。解析部103は、統計的手法或いは機械学習を用いて、通信制御対象のアプリの正常通信範囲を特定する。設定した制御条件、学習条件は、記憶部200に記憶される。
解析部103は、収集制御部102からの指示に基づき、制御条件に合致しない通信を発生させたアプリの通信の再解析(再学習)を実行する。解析部103は、制御条件に合致しないアプリの通信を収集制御部102から受信し、再解析を実行して制御条件を設定する。なお、解析部103は、制御条件の設定、制御条件の再解析に際して、端末装置10で生成された共有情報及び他の端末装置11から取得した共有情報を参照することができる。解析部103が設定した制御条件は設定に応じて記憶部200に記憶され、各機能部に送信される。
連携部104は、解析部103の解析結果に基づき設定されるアプリの制御条件を、他の端末装置11と共有する。また、連携部104は、他の端末装置11上で設定されたアプリの制御条件を、他の端末装置11と共有する。すなわち、連携部104は、他の端末装置11において設定される、当該他の端末装置11のアプリケーションの識別情報、該アプリケーションが通信制御対象であるか否かを示す情報、該アプリケーションの正常通信条件に対応する制御条件(第2の制御条件)、該アプリケーションに対する解析結果を含む第2の共有情報の少なくとも一部を受信する。
ここで、共有とは、端末装置10は、他の端末装置11における制御対象の可否情報を含むアプリの情報やその制御条件等を参照でき、他の端末装置11は、端末装置10における制御対象の可否情報を含むアプリの情報やその制御条件等を参照できることを意味する。
なお、解析部103は、アプリの識別情報をキーとして、連携部104が他の端末装置11から受信した共有情報から正常通信条件やオプションフィールドを参照することも可能である。解析部103は、求めた正常通信範囲、或いは、参照した他の端末装置11における正常通信条件やオプションフィールドの内容をユーザに提示し、ユーザの回答を基に、解析対象のアプリに対する解析内容や制御条件を調整する。
連携部104は、自端末装置10上で制御条件が設定されたアプリの識別情報及びその制御条件等の情報から共有情報を生成する。連携部104は、他の端末装置11との間の共有情報の共有条件に応じて、共有条件の情報の粒度を変更する。また、連携部104は、端末装置11との間の共有情報の共有条件に応じて、共有情報に含める情報を選別する。
例えば、連携部104は、DBやファイルアップロードによるサーバ経由で情報の共有を行う。サーバ経由の共有は、MSSなどの運用や情報の訂正サポートが必要な場合に用いられる。そして、セキュアなMSSへの情報共有である場合、通信解析の再現に必要な情報をサービス約款などに従って、制御条件の内容を最大限共有可能としてもよい。言い換えると、連携部104は、サービス提供者のセキュリティ条件に合わせて共有すべき情報の粒度を上げる。
また、連携部104は、ブロックチェーンなどのサーバレスでの共有または公開システムへの共有である場合、統計の特徴量のみを制御条件の内容として共有し、具体的な通信先は秘匿する。例えば、サーバレスの共有は、集中管理による制御(政府による通信規制等)を回避したい場合にも用いることを想定し、連携部104は、通信先アドレスなど機密性の高い情報を共有しない等の対策を組み込む。
そして、連携部104は共有情報の一部または全部を他の端末装置11に送信する。連携部104はまた、他の端末装置11から共有情報の一部または全部を受信する。なお、共有の態様は特に限定されない。例えば、端末装置10上で共有情報の一部が特定されるごとに、他の端末装置11に送信されるものとしてもよいし、他の端末装置11からの要求に応じて送信するものとしてもよい。また、共有情報の全部を送信するものとしてもよく、一部を送信するものとしてもよい。
UI部105は、各種情報をユーザに提供し、ユーザからの入力を受信する。UI部105は、例えば、液晶画面、タッチパネル、スピーカ、マイクロフォン等を含んでもよい。
UI部105は、アプリの情報及びアプリに関する他の端末装置11から提供された共有情報をユーザに提示し、解析対象のアプリに対する通信制御対象の可否に関するユーザの回答を受信する。例えば、UI部105は、解析部103による自装置のアプリの解析内容と、他の端末装置11における該アプリの解析内容を比較できるようにユーザに表示する。
UI部105はまた、制御条件を逸脱する通信を発生させたアプリに関する情報をユーザに通知する。UI部105は、制御条件を逸脱する通信が発生した場合に、その旨の通知をユーザに送信するとともに、過検知であるか否かのユーザの確認を要求する画面を表示する。
[通信制御処理の流れ]
図5は、実施の形態に係る通信システム1における処理の流れの一例を示すフローチャートである。通信システム1においては、端末装置10に新しいアプリが追加される(ステップS1)と、収集制御部102は、新しいアプリに定常通信を試行させ、通信仲介し、通信の情報を収集し(ステップS2)、解析部103に通信解析を依頼する。
解析部103は、追加されたアプリが通信制御対象であるか否かを判定する(ステップS3)。解析部103は、追加されたアプリについて、アプリの名称等のアプリの情報に基づき制御可否判断を行う。解析部103は、追加されたアプリについて、連携部104が取得する他の端末装置11の共有情報の解析結果に基づき制御可否判断を行う。そして、解析部103は、追加されたアプリに対する、通信制御対象の可否に関するユーザの回答に基づき制御可否判断を行う。解析部103は、アプリの情報、共有情報及びユーザの回答結果を適用した所定の判定式を演算して判定を行う。
制御部100は、追加されたアプリが、通信制御対象外、かつ、判定演算結果が一定値未満である場合(ステップS4:Yes)、追加されたアプリは、通信制御対象外であるとして処理を終了する。
また、解析部103は、追加されたアプリが、通信制御対象、または、判定演算結果が一定値以上である場合(ステップS4:No)、統計的手法または機械学習を用いて、通信制御対象のアプリケーションの正常通信範囲を特定する正常通信解析を行う(ステップS5)。解析部103は、統計的手法として、信頼区間、数え上げ、principal component analysis(PCA)などを用いて通信のパターンを特定し、時間が増加してもパターンが増加しなくなった場合には、そのパターンを正常通信条件として定義する。
解析部103は、正常通信範囲を特定した場合(ステップS6:Yes)、正常通信範囲に基づいて該アプリの制御条件を生成する(ステップS7)。解析部103は、解析結果、正常通信範囲、制御条件を記憶部に出力する。
そして、解析部103は、生成した制御条件を、追加されたアプリに対する制御条件として、収集制御部102に設定する(ステップS8)。これによって、収集制御部102は、設定された制御条件に従い、追加されたアプリの通信を制御する。収集制御部102は、制御条件の生成と同じ手法を用いて通信を統計し、正常通信範囲外の通信があれば異常とみなす。例えば、収集制御部102は、所定の制御条件に合致しないアプリの通信を遮断する。
また、正常通信範囲が特定されなかった場合(ステップS6:No)またはステップS8処理後、連携部104は、解析部103が特定した正常通信条件を、他の端末装置11に送信して共有する(ステップS9)。
そして、収集制御部102は、所定の制御条件に合致しないアプリの通信を検知した場合には、ユーザにアラートを表示して、制御条件と対処を可視化する(ステップS10)。
[通信制御対象の判定]
次に、解析部103による通信制御対象の判定処理について説明する。図6は、実施の形態における通信制御対象の判定処理の処理手順を示すフローチャートである。
図6に示すように、解析部103は、収集制御部102が収集したアプリの通信を解析して、アプリの情報を収集する(ステップS21)。
図7は、解析部103が収集したアプリの情報を説明する図である。図7に示すように、解析部103は、アプリの情報として、アプリの広告の有無、バックグラウンド通信の有無、通知の有無を配点対象の条件として収集し、条件に該当する場合にはそれぞれ配点を付して合計点を計算する。例えば、図7の例では、解析対象のアプリは、アプリの広告、バックグラウンド通信、通知のいずれもが「○」であるため、それぞれの条件に対応する配点が付された結果、合計点が25点であると判定される。この合計点を基に、解析部103は、アプリ情報に基づく通信制御の困難さを示す係数αを導出する(ステップS22)。
解析部103は、ステップS21,22と並列に、ステップS23,24を実行する。解析部103は、自律連携で、他の端末装置11の共有情報を収集する(ステップS23)。
図8は、解析部103が収集した他の端末装置11の共有情報をアプリの情報を説明する図である。図8に示すように、解析部103は、共有情報として、解析対象のアプリをGWとする接続デバイスの識別情報、制御対象の可否、通常範囲での通信先を取得するとともに、他の端末装置11における学習結果を取得する。そして、解析部103は、他の端末装置11での学習結果の類似度に基づく通信制御の容易さを示す係数βを導出する(ステップS24)。類似度は、ベクトル空間法等により0~1の値を取る。
解析部103は、UI部105に、アプリの情報及びアプリに関する他の端末装置11から提供された共有情報をユーザに提示させて、ユーザによる、解析対象のアプリの通信制御対象の可否に対する判定の入力を要求する(ステップS25)。
図9は、UI部105による出力画面の一例を示す図である。図9に示すように、画面には、係数αによって判定されるアプリ上ホイに基づく判定難易度、係数βによって判定される自律連携での判定の他にユーザによる判定が表示する。この場合、備考に、通信制御対象の可否判定の根拠となる内容や、ユーザへの通信文が示される。ユーザは、解析対象のアプリを、通信制御対象とするか、或いは、通信制御対象外とするかを選択し、UI部105に回答を入力する。
解析部103は、ステップS25処理後、一定時間が経過してもユーザ回答がない場合(ステップS26:Yes)、ユーザの回答なしとして、ユーザの操作・認識に基づく通信制御対象の可否判定結果γとして、γ=0.5を出力する(ステップS27)。
また、解析部103は、一定期間経過前にユーザ回答があった場合(ステップS26:No)、ユーザによる通信制御対象の可否判定情報を収取する(ステップS28)。そして、解析部103は、回答結果に応じて、γの値を出力する(ステップS29)。解析部103は、解析対象のアプリが、ユーザから通信制御対象であると判定された場合には、γ=1を出力する。また、解析部103は、解析対象のアプリが、ユーザから通信制御対象でないと判定された場合には、γ=0を出力する。
そして、ユーザが定義した判定式に、α、β、γの値を適用し(ステップS30)、演算する。解析部103は、α、β、γに対して重み付けを行ってから、判定式に適用してもよい。α、β、γに対する重み付けや判定式は、オフィス利用、プライベート利用、利用ルールなど利用シーンで異なるため、サービス提供者が設定する。また、判定式は、アプリ情報収集での配点、自律連携での情報粒度、ユーザの回答率及び精度に応じて適宜修正される。例えば、判定式として、「(-0.01α+β)γ」が使用され、演算結果が一定値(例えば、0.3)以上であれば、通信制御対象であると判定される。
ステップS30における演算結果が一定値以上である場合(ステップS31:Yes)、解析部103は、解析対象のアプリを通信制御対象と判定する(ステップS32)。また、ステップS30における演算結果が一定値未満である場合(ステップS31:No)、解析対象のアプリを通信制御対象外と判定する(ステップS33)。解析部103は、判定式の演算結果とともに判定結果を出力する(ステップS34)。
[正常通信の解析]
次に、制御部100による正常通信の解析処理について説明する。図10は、実施の形態における正常通信の解析処理の処理手順を示すフローチャートである。
図10に示すように、解析部103は、アプリごとの通信に規則性(パターン)が有ることを前提として、アプリの通信パターンを解析する(ステップS41)。IoTデバイス40は、特定の通信パターンでのみ通信する場合が多いことが知られている。端末装置10のアプリがIoTのGWとなる場合では、アプリも通信パターンが絞り込めることが予想され、一般なアプリに対しても特定用途でのみ用いられるものはその通信パターンを基に異常通信の検知が可能と考える。特に遠隔攻撃などによって端末装置のアプリが不正に操作される場合、正常とは異なる通信パターンが発生する可能性が高い。
このため、解析部103は、ステップS41において、通信先数、パケットサイズ、通信回数など複数の観点から、通信特性を集計して統計解析または機械学習を行い、アプリの通信パターンを解析する。
そして、解析部103は、解析した通信パターンが収束しているか否かを判定する(ステップS42)。解析部103は、通信パターンの累積値の変化を、時間や通信量を変数として、曲線にフィッティングし、計算したパラメータを基にある時刻またはある通信量のときの収束率を計算する。そして、解析部103は、計算した収束率が所定値以上である場合に、通信パターンが収束したと判定する。また、解析部103は、計算した収束率が所定値未満である場合に、通信パターンが収束していないと判定する。端末装置10は、通信パターンとして収束しないアプリについては、後述する処理によって通信制御対象外として分類することで、不要な統計や学習を防止し、その演算コストを削減する。
通信パターンが収束した場合には(ステップS42:Yes)、解析部103は、特定済みのパターン数が所定数未満であるか、または、所定数以上であるかを判定する(ステップS43)。特定済みのパターンとは、通信先、通信先数の数、通信の範囲(サイズ)、期間などの観点で特定されたパターンを示す。そして、CPUの負荷に応じて、ステップS43における所定数が設定される。
解析部103は、特定済みのパターン数が所定値よりも少ないと判定した場合(ステップS43:所定値未満)、このアプリを通信制御可能であるアプリとして分類し(ステップS44)、通信パターンに基づくフィルタ条件(制御条件)を作成する(ステップS45)。
連携部104は、通信制御対象外に分類されたアプリの情報、このアプリに関する解析部103による統計結果、機械学習結果、フィルタ条件などを基に自装置の共有情報を作成する。そして、連携部104は、セキュリティ条件に応じて共有条件を調整した後、アプリ情報自律連携のために、他の端末装置11に共有情報を提供する(ステップS46)。
収集制御部102は、フィルタ条件に従って、このアプリの通信を制御し(ステップS47)、正常通信であるか否かを判定する(ステップS48)。収集制御部102は、異常通信を検知した場合(ステップS48:No)、UI部105から、この異常検知が過検知であるか否か確認をユーザに要求する画面を表示させて、過検知に関するユーザ確認結果を取得する(ステップS49)。収集制御部102は、ユーザが過検知と確認した場合(ステップS50:Yes)、解析期間を延長し(ステップS51)、解析部103に、このアプリの通信の再解析を依頼する。
一方、収集制御部102は、ユーザが過検知でないと確認した場合(ステップS50:No)、アプリの通信の遮断や異常通信の発生の通知を実行し、ステップS47に戻る。また、収集制御部102は、正常通信である場合(ステップS48:Yes)、ステップS47に戻る。
また、解析部103は、特定済みのパターン数は所定数以上であると判定した場合(ステップS43:所定数以上)、UI部105から、解析対象のアプリでは、性能に影響を与える旨及び通信パターンの特定不足によるリスクがある旨をユーザに提示する(ステップS52)。そして、解析部103は、連携部104を介して、アプリ情報の自律連携のために、他の端末装置11の共有情報を取得する(ステップS53)。解析部103は、ユーザが、このアプリに関する他の端末装置11の解析内容と、自装置における解析内容とを比較できるように、UI部105から、他の端末装置11における解析条件や解析結果を表示させる。通信制御対象の可否結果を表示させる。
解析部103は、UI部105から、ユーザによる、解析対象のアプリに対する通信制御対象の可否のいずれかの入力を要求する画面を表示し、解析対象のアプリに対する通信制御対象の可否に関するユーザの確認結果を取得する(ステップS54)。
解析部103は、ユーザが、解析対象のアプリを通信制御対象として許可した場合(ステップS55:可)、このアプリの通信パターンに基づくフィルタ条件(制御条件)を作成する(ステップS45)。
また、解析部103は、ユーザが、解析対象のアプリを通信制御対象として許可しなかった場合(ステップS55:否)、このアプリを通信制御対象外のアプリと分類する(ステップS56)。連携部104は、アプリ情報の自律連携のために、他の端末装置11に、自装置において通信制御対象外に分類されたアプリに関する共有情報を作成し、他の端末装置11に提供する(ステップS57)。
これに対し、通信パターンが収束していない場合には(ステップS42:No)、解析部103は、最長解析期間を超過しているか否かを判定する(ステップS58)。最長解析期間を超過していない場合(ステップS58:No)、解析部103は、解析期間を延長し(ステップS51)、このアプリの通信の解析を継続する。
また、最長解析期間を超過している場合(ステップS58:Yes)、解析部103は、解析対象のアプリを、通信制御対象外のアプリと分類する(ステップS59)。そして、解析部103は、連携部104を介して、他の端末装置11の共有情報を取得する(ステップS60)。そして、解析部103は、他の端末装置11の解析内容と自装置の解析内容との誤差をユーザに確認してもらうために、UI部105から、取得した供給情報を表示させる。例えば、UI部105は、解析対象のアプリの通信について、他の端末装置11が解析を完了できたか否を示す情報、或いは、このアプリの通信に対する他の端末装置11での解析期間などを表示する。このように、端末装置10は、外部のホワイトリストをそのまま使用せず、ユーザによる確認が完了してから処理を進めるので、この端末装置10に、より適切な制御条件を設定することができる。
解析部103は、UI部105から、ユーザによる、解析対象のアプリに対する通信制御対象の可否のいずれかの入力を要求する画面を表示し、解析対象のアプリに対する通信制御対象の可否に関するユーザの確認結果を取得する(ステップS61)。
解析部103は、ユーザが、解析対象のアプリを通信制御対象として許可した場合(ステップS62:可)、最長解析期間を延長し(ステップS63)、ステップS58に戻る。また、解析部103は、ユーザが、解析対象のアプリを通信制御対象として許可しなかった場合(ステップS62:否)、このアプリを通信制御対象外のアプリと分類する(ステップS56)。連携部104は、アプリ情報の自律連携のために、他の端末装置11に、自装置において通信制御対象外に分類されたアプリに関する共有情報を作成し、他の端末装置11に提供する(ステップS57)。
[実施の形態の効果]
このように、実施の形態に係る端末装置10は、アプリケーションの通信を収集し、第1の制御条件に基づいてアプリケーションの通信を制御する。端末装置10は、収集した通信を解析してアプリが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づいて第1の制御条件を生成する。端末装置10は、アプリの識別情報と、第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する。
このため、実施の形態に係る端末装置10は、外部情報に依存することなく、各アプリの通信状況に即した制御を実現することができる。従って、本実施の形態では、端末装置10で実行されるアプリが不正に操作されるなどして、定常時と異なる通信を発生した場合であっても、その検知及び対処が可能になる。すなわち、本実施の形態によれば、端末装置10上のアプリケーションの通信を適切に制御することを可能にする。そして、本実施の形態では、収集制御部102、解析部103、連携部104及びUI部105は、通信解析アプリとして機能して、他のアプリの通信を解析及び監視し、不正通信を検出及び制御するため、ユーザによるアプリの導入障壁を下げることができる。
また、実施の形態に係る端末装置10は、他の端末装置11との間の共有情報の共有条件に応じて共有情報の粒度を変更する。また、連携部104は、他の通信端末装置との間の共有情報の共有条件に応じて共有情報に含める情報を選別する。すなわち、本実施の形態では、サービス提供者のセキュリティ条件に合わせて共有情報の粒度の調整や、機密性の高い情報を共有しないといった処理を行うことで、共有する情報の保護を行う。
また、実施の形態に係る端末装置10は、他の端末装置11において設定される、当該他の通信端末装置のアプリケーションの識別情報、該アプリケーションが通信制御対象であるか否かを示す情報、該アプリケーションの正常通信条件に対応する第2の制御条件、該アプリケーションに対する解析結果を含む第2の共有情報の少なくとも一部を受信する。そして、実施の形態に係る端末装置10は、UI部105を介して、アプリケーションの情報、解析部による解析結果、または、アプリケーションに関する第2の共有情報をユーザに提示し、アプリケーションに対する信制御対象の可否に関するユーザの回答を受信する。
端末装置10は、アプリケーションの情報、解析部による解析結果、連携部が受信した第2の共有情報、及び、ユーザの回答に基づいて、アプリケーションが通信制御対象であるか否かを判定する。
従って、端末装置10は、半自動的にアプリの通信制御の可否を分類する。端末装置10によれば、ユーザは、自装置における解析内容と、他の端末装置11における解析内容とを比較して、解析対象であるアプリに対する処理を決定することができる。
また、端末装置10によれば、アプリで発生する通信を可視化してユーザに提示するため、ユーザは、アプリの通信制御を確認することができる。特に、本実施の形態では、遠隔攻撃などによって端末装置のアプリが不正に操作される場合、正常とは異なる未知の通信パターンを可視化し、ユーザに提示した上で、ユーザの回答に従い適切に制御することが可能である。
また、実施の形態に係る端末装置10は、統計的手法或いは機械学習を用いて、通信制御対象のアプリケーションの通信パターンを集計し、通信パターンが収束しないアプリケーションを通信制御対象外のアプリケーションとして分類する。
このように、端末装置10は、ブラウザなどユーザの操作に応じて通信パターンが収束しないアプリを通信制御対象から外して、効率的な通信制御を実現する。また、端末装置10は、通信パターンが収束したアプリケーションを通信制御対象のアプリケーションとして分類して正常通信範囲を特定する。このように、端末装置10は、通信パターンが収束したアプリケーションについては、通信制御対象に分類して正常な通信パターンを特定し、正常通信範囲を適切に特定できるため、異常検知を行うための制御条件の精度も高めることができる。
以上のように、実施の形態によれば、アプリで発生する通信の可視化と不正通信の制御とが可能となる。さらに、本実施の形態によれば、制御ロジックを他の端末装置11との間で共有し合うことによって、検知及び制御の精度を向上することができる。
[システム構成等]
図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示の如く構成されていることを要しない。すなわち、各装置の分散・統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散・統合して構成することができる。さらに、各装置にて行なわれる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。
また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行なうこともでき、あるいは、手動的に行なわれるものとして説明した処理の全部又は一部を公知の方法で自動的に行なうこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。
[プログラム]
図11は、プログラムが実行されることにより、端末装置10,11が実現されるコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM1011及びRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。
ハードディスクドライブ1090は、例えば、OS(Operating System)1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、端末装置10,11の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、端末装置10,11における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。
また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020が、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して実行する。
なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述及び図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例及び運用技術等は全て本発明の範疇に含まれる。
1 通信システム
10 端末装置
11,11A,11B 他の端末装置
100 制御部
101 通信部
102 収集制御部
103 解析部
104 連携部
105 ユーザインタフェース(UI)部
20 サーバ
40,40A,40B IoTデバイス
NW-A 外部ネットワーク
NW-B ネットワーク
200 記憶部
201 制御対象情報記憶部
202 制御条件記憶部
202 共有情報記憶部

Claims (7)

  1. アプリケーションの通信を収集し、第1の制御条件に基づいて前記アプリケーションの通信を制御する収集制御部と、
    前記収集制御部が収集した通信を解析して前記アプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づいて前記第1の制御条件を生成する解析部と、
    前記アプリケーションの識別情報と、前記第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する連携部と、
    を有することを特徴とする通信端末装置。
  2. 前記連携部は、前記他の通信端末装置との間の前記第1の共有情報の共有条件に応じて前記第1の共有情報の粒度を変更し、前記他の通信端末装置との間の前記第1の共有情報の共有条件に応じて前記第1の共有情報に含める情報を選別することを特徴とする請求項1に記載の通信端末装置。
  3. 前記連携部は、他の通信端末装置において設定される、当該他の通信端末装置のアプリケーションの識別情報、該アプリケーションが通信制御対象であるか否かを示す情報、該アプリケーションの正常通信条件に対応する第2の制御条件、該アプリケーションに対する解析結果を含む第2の共有情報の、少なくとも一部を受信することを特徴とする請求項1または2に記載の通信端末装置。
  4. 前記アプリケーションの情報、前記解析部による解析結果、または、前記アプリケーションに関する前記第2の共有情報をユーザに提示し、前記アプリケーションに対する通信制御対象の可否に関するユーザの回答を受信するユーザインタフェース部と、
    前記解析部は、前記アプリケーションの情報、前記解析部による解析結果、前記連携部が受信した前記第2の共有情報、及び、前記ユーザの回答に基づいて、前記アプリケーションが通信制御対象であるか否かを判定することを特徴とする請求項3に記載の通信端末装置。
  5. 前記解析部は、統計的手法或いは機械学習を用いて、前記通信制御対象のアプリケーションの通信パターンを集計し、通信パターンが収束しないアプリケーションを通信制御対象外のアプリケーションとして分類し、通信パターンが収束したアプリケーションを前記通信制御対象のアプリケーションとして分類して正常通信範囲を特定することを特徴とする請求項1~4のいずれか一つに記載の通信端末装置。
  6. 通信端末装置によって実行される通信制御方法であって、
    アプリケーションの通信を収集し、第1の制御条件に基づいて前記アプリケーションの通信を制御する収集制御工程と、
    前記収集制御工程において収集された通信を解析して前記アプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づいて前記第1の制御条件を生成する解析工程と、
    前記アプリケーションの識別情報と、前記第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する連携工程と、
    を含んだことを特徴とする通信制御方法。
  7. アプリケーションの通信を収集し、第1の制御条件に基づいて前記アプリケーションの通信を制御する収集制御ステップと、
    前記収集制御ステップにおいて収集された通信を解析して前記アプリケーションが通信制御対象であるか否かを判定し、通信制御対象のアプリケーションの正常通信範囲に基づいて前記第1の制御条件を生成する解析ステップと、
    前記アプリケーションの識別情報と、前記第1の制御条件とを含む第1の共有情報の少なくとも一部を、他の通信端末装置に送信する連携ステップと、
    をコンピュータに実行させるための通信制御プログラム。
JP2019030887A 2019-02-22 2019-02-22 通信端末装置、通信制御方法及び通信制御プログラム Active JP7131428B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2019030887A JP7131428B2 (ja) 2019-02-22 2019-02-22 通信端末装置、通信制御方法及び通信制御プログラム
US17/431,713 US20220141185A1 (en) 2019-02-22 2020-02-07 Communication terminal device, communication control method, and communication control program
PCT/JP2020/004871 WO2020170863A1 (ja) 2019-02-22 2020-02-07 通信端末装置、通信制御方法及び通信制御プログラム
EP20759662.8A EP3910889A4 (en) 2019-02-22 2020-02-07 COMMUNICATION TERMINAL, COMMUNICATION CONTROL METHOD AND COMMUNICATION CONTROL PROGRAM
AU2020226154A AU2020226154B2 (en) 2019-02-22 2020-02-07 Communication terminal device, communication control method, and communication control program
CN202080015234.7A CN113454956B (zh) 2019-02-22 2020-02-07 通信终端装置、通信控制方法以及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019030887A JP7131428B2 (ja) 2019-02-22 2019-02-22 通信端末装置、通信制御方法及び通信制御プログラム

Publications (2)

Publication Number Publication Date
JP2020135655A JP2020135655A (ja) 2020-08-31
JP7131428B2 true JP7131428B2 (ja) 2022-09-06

Family

ID=72144891

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019030887A Active JP7131428B2 (ja) 2019-02-22 2019-02-22 通信端末装置、通信制御方法及び通信制御プログラム

Country Status (6)

Country Link
US (1) US20220141185A1 (ja)
EP (1) EP3910889A4 (ja)
JP (1) JP7131428B2 (ja)
CN (1) CN113454956B (ja)
AU (1) AU2020226154B2 (ja)
WO (1) WO2020170863A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2021450034A1 (en) 2021-06-10 2023-12-07 Nippon Telegraph And Telephone Corporation Analysis device, analysis method, and analysis program

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103179297A (zh) * 2011-12-23 2013-06-26 纳讯(青岛)通信有限公司 基于手机物联网的远程监控方法及监控装置
CN103916858B (zh) * 2012-12-31 2017-08-11 ***通信集团广东有限公司 一种移动终端健康度判定方法及装置
US9753796B2 (en) * 2013-12-06 2017-09-05 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
KR102395529B1 (ko) * 2015-10-22 2022-06-02 삼성전자주식회사 통신 장치, 및 디스플레이 장치 및 그 제어방법
JP6159782B2 (ja) * 2015-11-26 2017-07-05 Line株式会社 情報処理装置の制御方法、情報処理装置および制御プログラム並びに端末の制御方法および端末制御プログラム
CN107948172B (zh) * 2017-11-30 2021-05-25 恒安嘉新(北京)科技股份公司 一种基于人工智能行为分析的车联网入侵攻击检测方法和***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
小林信博,他2名,ICT・情報化技術 サイバー攻撃を高速検知する技術,JREA 2018.3, Vol.61 No.3,日本,一般社団法人日本鉄道技術協会,2018年03月01日,第61巻,第3号,pp.40-43
植田武,他2名 ,ホワイトリスト型検知ルールのパラメータ調整方法に関する一考察,電子情報通信学会技術研究報告 Vol.116 No.522,日本,一般社団法人電子情報通信学会,2017年03月06日,第116巻,第522号,pp.97-102

Also Published As

Publication number Publication date
AU2020226154A1 (en) 2021-09-02
AU2020226154B2 (en) 2022-11-10
CN113454956A (zh) 2021-09-28
EP3910889A4 (en) 2022-09-28
US20220141185A1 (en) 2022-05-05
CN113454956B (zh) 2023-06-30
EP3910889A1 (en) 2021-11-17
JP2020135655A (ja) 2020-08-31
WO2020170863A1 (ja) 2020-08-27

Similar Documents

Publication Publication Date Title
US9888025B2 (en) Method and system for providing an efficient asset management and verification service
US20210014200A1 (en) Assessing risk associated with firewall rules
JP6832951B2 (ja) 自動デバイス検出のためのシステムおよび方法
US10554507B1 (en) Multi-level control for enhanced resource and object evaluation management of malware detection system
US9596251B2 (en) Method and system for providing security aware applications
US9712388B2 (en) Systems and methods for detecting and managing cloud configurations
WO2018183793A1 (en) Attribute-controlled malware detection
JP6763898B2 (ja) 通信制御装置、通信制御方法および通信制御プログラム
JP2017527866A (ja) ソーシャルグラフを意識したポリシーサジェストエンジン
US20150319186A1 (en) Method and system for detecting irregularities and vulnerabilities in dedicated hosting environments
US11748083B2 (en) Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US20220092087A1 (en) Classification including correlation
JP7131428B2 (ja) 通信端末装置、通信制御方法及び通信制御プログラム
KR102652902B1 (ko) 클라우드 보안을 위한 사용자 맞춤형 사용권한의 산출 시스템 및 이를 포함하는 사용권한 최적화 통합 시스템
JP2023511095A (ja) ネットワークの監視、報告、およびリスク軽減のためのシステムおよび方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210517

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20220726

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20220808

R150 Certificate of patent or registration of utility model

Ref document number: 7131428

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150