特許第6430356号(P6430356)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電信電話株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電信電話株式会社の特許一覧

<>
  • 特許6430356-検知方法及び検知システム 図000002
  • 特許6430356-検知方法及び検知システム 図000003
  • 特許6430356-検知方法及び検知システム 図000004
  • 特許6430356-検知方法及び検知システム 図000005
  • 特許6430356-検知方法及び検知システム 図000006
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6430356
(24)【登録日】2018年11月9日
(45)【発行日】2018年11月28日
(54)【発明の名称】検知方法及び検知システム
(51)【国際特許分類】
   G06F 21/55 20130101AFI20181119BHJP
   H04L 12/66 20060101ALI20181119BHJP
   H04L 12/70 20130101ALI20181119BHJP
【FI】
   G06F21/55 320
   H04L12/66 B
   H04L12/70 100Z
【請求項の数】3
【全頁数】15
(21)【出願番号】特願2015-215054(P2015-215054)
(22)【出願日】2015年10月30日
(65)【公開番号】特開2017-84296(P2017-84296A)
(43)【公開日】2017年5月18日
【審査請求日】2017年12月13日
(73)【特許権者】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(74)【代理人】
【識別番号】100147485
【弁理士】
【氏名又は名称】杉村 憲司
(74)【代理人】
【識別番号】100153017
【弁理士】
【氏名又は名称】大倉 昭人
(72)【発明者】
【氏名】山越 公洋
(72)【発明者】
【氏名】田中 政志
【審査官】 上島 拓也
(56)【参考文献】
【文献】 特開2009−100359(JP,A)
【文献】 特開2008−141352(JP,A)
【文献】 特開2015−215054(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 21/55
H04L 12/66
H04L 12/70
(57)【特許請求の範囲】
【請求項1】
中継装置と、該中継装置を介しネットワークに接続して使用する端末装置とを備えた検知システムにおける検知方法であって、
前記中継装置が、前記端末装置から動作ログを取得するステップと、
前記中継装置が、前記動作ログと、前記端末装置に関連する通信のパケットヘッダ情報とを用いて、前記端末装置に関連する通信に異常があるか否かを判定するステップと、
前記端末装置に関連する通信に異常があると判定した場合、前記中継装置が、前記端末装置と外部ネットワークとの間の送受信処理を停止するステップと、
を含み、
前記判定するステップは、
記動作ログを取得してから所定時間が経過した後、前記中継装置が、前記端末装置を休止モードとして管理するステップと、
前記休止モードにおいて、前記パケットヘッダ情報を所定の回数以上取得した場合、前記中継装置が、前記端末装置に関連する通信に異常があると判定するステップとを含む検知方法。
【請求項2】
前記判定するステップは、
前記休止モードにおいて、前記中継装置が、さらに、前記端末装置に関連する通信のデータ総量が所定値を超えた場合、前記端末装置に関連する通信は異常であると判定するステップを含む請求項に記載の検知方法。
【請求項3】
中継装置と、該中継装置を介しネットワークに接続して使用する端末装置とを備えた検知システムであって、
前記端末装置は、前記端末装置の動作を記録した動作ログを生成する動作監視部を有し、
前記中継装置は、
前記端末装置と外部ネットワークとの間の送受信処理を行うトラフィック処理部と、
前記動作ログと、前記端末装置に関連する通信のパケットヘッダ情報とを用いて、前記端末装置に関連する通信の異常を判定する異常検知部と、を有し、
前記異常検知部は、前記端末装置に関連する通信に異常があると判定した場合、前記トラフィック処理部に、前記端末装置と外部ネットワークとの間の送受信処理を停止させ
前記異常検知部は、前記動作ログを取得してから所定時間が経過した後、前記端末装置を休止モードとして管理し、
前記異常検知部は、前記休止モードにおいて、前記パケットヘッダ情報を所定の回数以上取得した場合、前記端末装置に関連する通信に異常があると判定する、
ことを特徴とする検知システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、検知方法及び検知システムに関する。
【背景技術】
【0002】
近年、IoT(Internet Of Things)技術を用いて、ネットワークに接続して使用する機器(以下「IoT機器」という)の利用が盛んである。しかしながら、その一方で、ファームウェアの更新を怠ること等により、攻撃者にマルウェア等によるIoT機器への侵入の機会を与えてしまっている。
【0003】
一般的に、攻撃者は、(1)バッファオーバーフロー等の脆弱性を利用してIoT機器に侵入した後、(2)実攻撃に先立って、C&Cサーバ(command and control server)との通信を行い、ルートキット(Rootkit)のインストール等によって、IoT機器に攻撃環境を構築し、(3)実攻撃を実行する、という(1)〜(3)のステップを行っている。
【0004】
ここで、(1)への対策として、シグネチャ解析等によるパターンマッチングを利用して、攻撃者のIoT機器への侵入を防ぐ方法が考えられる。また、(2)への対策として、C&CサーバのIPアドレスのブラックリスト等を用いた通信トラフィックの解析を用いた手法が知られている(非特許文献1)。
【先行技術文献】
【非特許文献】
【0005】
【非特許文献1】Jan Goebel、Thorsten Holz、“Rishi: Identify Bot Contaminated Hosts by IRC Nickname Evaluation”、USENIX 2007
【発明の概要】
【発明が解決しようとする課題】
【0006】
しかしながら、(1)への対策において、上述のパターンマッチングを利用して攻撃者のIoT機器への侵入を防ぐ方法では、亜種によるゼロデイ攻撃を防止することができない。また、IoT機器がTLS(Transport Layer Security)による暗号化通信を採用している場合は、パターンマッチングの手法を利用することができない。
【0007】
また、(2)において、従来のC&CサーバはIPアドレスが固定的であったが、近年では、IPアドレスが変化するC&Cサーバが出現してきている。そのため、非特許文献1のような、C&CサーバのIPアドレスのブラックリストを用いた手法では、IPアドレスが変化するC&Cサーバへの対策が困難である。
【0008】
本発明の目的は、上記の問題に鑑みてなされたものであり、攻撃サーバからIoT機器への侵入を防ぐことができる検知方法及び検知システムを提供することにある。
【課題を解決するための手段】
【0009】
上記課題を解決するため、本発明に係る検知方法は、中継装置と、該中継装置を介しネットワークに接続して使用する端末装置とを備えた検知システムにおける検知方法であって、前記中継装置が、前記端末装置から動作ログを取得するステップと、前記中継装置が、前記動作ログと、前記端末装置に関連する通信のパケットヘッダ情報とを用いて、前記端末装置に関連する通信に異常があるか否かを判定するステップと、前記端末装置に関連する通信に異常があると判定した場合、前記中継装置が、前記端末装置と外部ネットワークとの間の送受信処理を停止するステップと、を含み、前記判定するステップは、記動作ログを取得してから所定時間が経過した後、前記中継装置が、前記端末装置を休止モードとして管理するステップと、前記休止モードにおいて、前記パケットヘッダ情報を所定の回数以上取得した場合、前記中継装置が、前記端末装置に関連する通信に異常があると判定するステップとを含む
【0010】
また、上記課題を解決するため、本発明に係る検知システムは、中継装置と、該中継装置を介しネットワークに接続して使用する端末装置とを備えた検知システムであって、前記端末装置は、前記端末装置の動作を記録した動作ログを生成する動作監視部を有し、前記中継装置は、前記端末装置と外部ネットワークとの間の送受信処理を行うトラフィック処理部と、前記動作ログと、前記端末装置に関連する通信のパケットヘッダ情報とを用いて、前記端末装置に関連する通信の異常を判定する異常検知部と、を有し、前記異常検知部は、前記端末装置に関連する通信に異常があると判定した場合、前記トラフィック処理部に、前記端末装置と外部ネットワークとの間の送受信処理を停止させ、前記異常検知部は、前記動作ログを取得してから所定時間が経過した後、前記端末装置を休止モードとして管理し、前記異常検知部は、前記休止モードにおいて、前記パケットヘッダ情報を所定の回数以上取得した場合、前記端末装置に関連する通信に異常があると判定する、ことを特徴とする。
【発明の効果】
【0011】
本発明に係る検知方法及び検知システムによれば、攻撃サーバからIoT機器への侵入を防ぐことができる。
【図面の簡単な説明】
【0012】
図1】第1の実施形態に係る検知システムの構成の一例を示す図である。
図2】第1の実施形態に係る検知システムの動作の一例を示すフローチャートである。
図3】異常検知部によるセンサ端末の異常モードの検知の一例を示す図である。
図4】第2の実施形態に係る検知システムの構成の一例を示す図である。
図5】第2の実施形態に係る検知システムの動作の一例を示すフローチャートである。
【発明を実施するための形態】
【0013】
以下、本発明に係る実施形態について、図面を参照して説明する。まず、本発明の第1の実施形態について説明する。第1の実施形態におけるIoT機器は、センサ端末であるものとする。
【0014】
(第1の実施形態)
[システム構成]
図1は、第1の実施形態に係る検知システム1の構成の一例を示す図である。検知システム1は、センサ端末(特許請求の範囲における「端末装置」)100,101,102と、GW(ゲートウェイ)装置(特許請求の範囲における「中継装置」)200と、要求サーバ300とを備える。図1の例では、3つのセンサ端末100〜102が示されているが、検知システム1が備えるセンサ端末の数はこれに限定されない。センサ端末100〜102及びGW装置200は、例えば無線通信によって、互いに接続されている。また、GW装置200及び要求サーバ300は、ネットワーク400を介して互いに接続されている。
【0015】
センサ端末100〜102は、それぞれ、用途に応じたデータ(例えば、温度等)をセンシングする。そして、センサ端末100〜102は、それぞれ、センサデータや、センサ動作等を記録したセンサ動作ログをGW装置200に送信する。
【0016】
ここで、センサ端末100〜102は、データをセンシングすると、センサデータやセンサ動作ログを、リアルタイムでGW装置200に送信する。つまり、センサ端末100〜102のセンサデータやセンサ動作ログは、それぞれ、センサ端末100〜102のセンサ動作に関係して、GW装置200に送信される。
【0017】
GW装置200は、センサ端末100〜102とネットワーク400との間で、通信の中継を行う中継装置である。GW装置200は、センサ端末100〜102の各々から受信したセンサデータ等について、プロトコル変換等の処理を行った後、ネットワーク400を介して要求サーバ300等に転送する。また、GW装置200は、ネットワーク400を介して要求サーバ300等から受信したデータ等について、プロトコル変換等の処理を行った後、それぞれ、センサ端末100〜102に転送する。
【0018】
要求サーバ300は、GW装置200を介してセンサ端末100〜102と通信を行う。また、GW装置200を介し取得したセンサ端末100〜102のセンサデータ等を解析及び処理する。
【0019】
攻撃サーバ500は、例えばC&Cサーバであり、センサ端末100〜102への攻撃を企てる攻撃者のサーバである。図1に示すように、攻撃サーバ500は、ネットワーク400に接続されている。ここで、センサ端末100〜102が攻撃サーバ500に侵入された場合、センサ端末100〜102のセンサ動作とは無関係に、センサ端末100〜102とGW装置200を介した攻撃サーバ500との通信が多発する。
【0020】
以下、センサ端末100〜102及びGW装置200の構成及び機能について、より詳細に説明する。なお、本発明に係るセンサ端末100〜102及びGW装置200の各機能を説明するが、センサ端末100〜102及びGW装置200が備える他の機能を排除することを意図したものではないことに留意する。
【0021】
まず、センサ端末100〜102について説明する。なお、センサ端末100〜102は同様の構成を採用することができるため、以下では、センサ端末100を例に用いて説明する。
【0022】
センサ端末100は、動作監視部110、制御部120、記憶部130、通信部140を有する。
【0023】
動作監視部110は、センサ端末100のセンサ動作を監視する。そして、動作監視部110は、センサ動作等を記録したセンサ動作ログを生成する。動作監視部110は、例えば、センサ端末100のセンサ動作の開始を契機として、センサ動作ログを生成する。
【0024】
制御部120は、センサ端末100全体を管理及び制御するものである。制御部120は、センサ端末100によってセンシングされたデータに、要求サーバ300の宛先(例えば、IPアドレス)をパケットヘッダとして付加した後、通信部140を介してGW装置200にリアルタイムで送信する。また、制御部120は、動作監視部110が生成したセンサ動作ログに、GW装置200の宛先をパケットヘッダとして付加した後、通信部140を介してGW装置200にリアルタイムで送信する。つまり、制御部120によって、センサデータやセンサ動作ログは、センサ端末100のセンサ動作に関係して、GW装置200に送信される。
【0025】
記憶部130は、センサ端末100によってセンシングされたデータや、センサ端末100の機能を実現する処理内容を記述したプログラム等を記憶している。
【0026】
通信部140は、例えば無線通信によって、GW装置200と通信を行う。
【0027】
次に、GW装置200について説明する。
【0028】
GW装置200は、トラフィック処理部210、制御部220、異常検知部230、記憶部240、通信部250を有する。
【0029】
トラフィック処理部210は、センサ端末100〜102の各々と外部ネットワーク400との間のデータ等の送受信処理を行う。またこの際、トラフィック処理部210は、このデータ等に付加されたパケットヘッダ情報を異常検知部230に通知する。また、トラフィック処理部210は、パケットヘッダ情報に含まれるIPアドレスや送受信パケットサイズ等の情報を記憶部240に記憶させておいてもよい。さらに、トラフィック処理部210は、通信部250を介し、センサ端末100〜102の各々から取得した、パケットヘッダに含まれる宛先がGW装置200となるセンサ動作ログを、異常検知部230に転送する。
【0030】
また、トラフィック処理部210は、異常検知部230から、それぞれ、センサ端末100〜102について異常モードの通知を受けると、センサ端末100〜102と外部ネットワーク400との間の送受信処理を停止する。
【0031】
制御部220は、GW装置200全体を管理及び制御するものである。制御部220は、トラフィック処理部210が取得したデータ等のプロトコル変換等の処理を行う。
【0032】
異常検知部230は、トラフィック処理部210から、センサ端末100〜102の各々のセンサ動作ログ及びセンサ端末100〜102に関連する通信のパケットヘッダ情報を取得する。そして、異常検知部230は、センサ端末100〜102のセンサ動作ログを取得してから所定時間Ts内は、それぞれ、センサ動作モードとしてセンサ端末100〜102の状態管理を行う。また、異常検知部230は、センサ端末100〜102のセンサ動作ログを取得してから所定時間Tsが経過した後は、それぞれ、センサ休止モードとしてセンサ端末100〜102の状態管理を行う。また、このセンサ休止モード中に、異常検知部230は、取得したパケットヘッダ情報を用いて、それぞれ、センサ端末100〜102の異常モードを判定する。これらの処理の詳細については後述する。
【0033】
記憶部240は、GW装置200の制御に必要な情報や、GW装置200の機能を実現する処理内容を記述したプログラム等を記憶している。
【0034】
通信部250は、例えば無線通信によって、センサ端末100〜102と通信を行う。また、通信部250は、ネットワーク400を介し、要求サーバ300等と通信を行う。
【0035】
以下、センサ端末100〜102における異常検知部230の処理の詳細を、センサ端末100を例に説明する。
【0036】
<センサ動作モードにおける処理>
異常検知部230は、トラフィック処理部210から、センサ端末100のセンサ動作の開始を契機として生成されたセンサ動作ログを取得すると、センサ動作ログを取得してから所定時間Ts内は、センサ動作モードとして、センサ端末100の状態管理を行う。所定時間Tsは、例えば、センサ端末100がセンサ動作を行う時間を考慮して設定される。
【0037】
<センサ休止モードにおける処理>
異常検知部230は、センサ端末100のセンサ動作ログを取得してから所定時間Tsが経過すると、センサ休止モードとして、センサ端末100の状態管理を行う。異常検知部230は、このセンサ休止モード中に、センサ端末100の異常モードの判定を行う。以下の処理について説明する。
【0038】
まず、異常検知部230は、トラフィック処理部210から、センサ端末100に関連する通信のパケットヘッダ情報を取得したか否か判定する。そして、異常検知部230は、トラフィック処理部210から、センサ端末100に関連する通信のパケットヘッダ情報を取得した場合、休止モード中におけるそのセンサ端末100に関連する通信を、準異常トラフィックとして検知する。
【0039】
次に、異常検知部230は、1回のセンサ休止モードにおいて、検知した準異常トラフィックの数が所定の回数N以上であるか否か判定する。そして、1回のセンサ休止モードにおいて、検知した準異常トラフィックの数が所定の回数N以上であると判定した場合、センサ端末100は異常モードであると判定する。ここで、センサ端末100が攻撃サーバ500に侵入された場合、センサ端末100と攻撃サーバ500との間の通信は、センサ動作とは無関係に多発する。そのため、1回の休止モード中において、検知した準異常トラフィックの数が所定の回数N以上(つまり、連続してN回以上)となった場合、センサ端末100は異常モードであると判定する。また、検知した準異常トラフィックの数が所定の回数N以上となった場合を異常モードと判定することで、センサ動作とは無関係に行われることがある、センサ端末100のファームウェアの更新等による正常な通信を異常モードと誤判定する確率を低減させている。そして、センサ端末100を異常モードであると判定した後は、異常検知部230は、後述の異常モードにおける処理を行う。
【0040】
なお、異常検知部230は、トラフィック処理部210に通信の送受信パケットサイズを送信させ、1回の休止モードにおける通信のデータ総量が所定値を超えた場合、センサ端末100は異常モードであると判定してもよい。また、異常検知部230は、一回のセンサ休止モードにおけるデータ総量と、一回のセンサ休止モードにおいて検知した準異常トラフィックの数とを併用して、センサ端末100の異常モードを判定してもよい。
【0041】
一方、異常検知部230は、センサ端末100を異常モードであると判定しない場合に、トラフィック処理部210からセンサ端末100のセンサ動作ログを取得すると、センサ端末100はセンサ休止モードからセンサ動作モードに遷移したものと判定し、上述のセンサ動作モードにおける処理を行う。
【0042】
<異常モードにおける処理>
異常検知部230は、上述の処理により、センサ端末100の異常モードを判定すると、トラフィック処理部210や制御部220等に、センサ端末100の異常モードの通知を行う。トラフィック処理部210は、センサ端末100の異常モードの通知を受信した後は、センサ端末100と外部ネットワーク400との間の送受信処理を停止する。
【0043】
次に、第1の実施形態に係る検知システム1のシステム動作について説明する。
【0044】
[システム動作]
図2は、第1の実施形態に係る検知システム1の動作の一例を示すフローチャートである。GW装置200は、センサ端末100〜102の各々について異常モードの判定を行っているが、以下では、GW装置200によるセンサ端末100の異常モードの判定について説明する。
【0045】
センサ端末100がセンサ動作を開始する。すると、センサ端末100の動作監視部110は、センサ端末100のセンサ動作の開始を契機として、センサ動作ログを生成する。そして、このセンサ動作ログは、センサ端末100の制御部120によって、センサ端末100の通信部140を介し、GW装置200に送信される。
【0046】
すると、GW装置200の異常検知部230は、GW装置200のトラフィック処理部210等の処理を経て、センサ端末100のセンサ動作ログを取得する(ステップS101)。そして、異常検知部230は、センサ動作ログを取得してから所定時間Ts内は、センサ動作モードとして、センサ端末100の状態管理を行う(ステップS102)。
【0047】
センサ端末100のセンサ動作ログを取得してから所定時間Tsが経過すると、異常検知部230は、まず、準異常トラフィック数を格納する変数iを初期化する(ステップS103)。
【0048】
次に、異常検知部230は、トラフィック処理部210から、センサ休止モード中においてセンサ端末100に関連する通信のパケットヘッダ情報を取得したか否か判定する(ステップS104)。異常検知部230は、トラフィック処理部210から、センサ端末100に関連する通信のパケットヘッダ情報を取得したと判定した場合(ステップS104:Yes)、ステップS105の処理に進む。一方、異常検知部230は、トラフィック処理部210から、センサ端末100に関連する通信のパケットヘッダ情報を取得しないと判定した場合(ステップS104:No)、ステップS108の処理に進む。
【0049】
ステップS105の処理では、異常検知部230は、センサ端末100に関連する通信を準異常トラフィックとして検知し、変数iに1を加算する(ステップS106)。その後、異常検知部230は、変数iが所定の回数N以上であるか否か判定する(ステップS107)。異常検知部230は、変数iが所定の回数N以上と判定した場合(ステップS107:Yes)、ステップS109の処理に進む。一方、異常検知部230は、変数iが所定の回数Nより小さいと判定した場合(ステップS107:No)、ステップS108の処理に進む。
【0050】
ステップS108の処理では、異常検知部230は、トラフィック処理部210から、センサ端末100のセンサ動作ログを取得したか否か判定する。異常検知部230は、トラフィック処理部210からセンサ端末100のセンサ動作ログを取得したと判定した場合(ステップS108:Yes)、ステップS102からの処理を繰り返し行う。一方、異常検知部230は、トラフィック処理部210からセンサ端末100のセンサ動作ログを取得しないと判定した場合(ステップS108:No)、ステップS104からの処理を繰り返し行う。
【0051】
ステップS109の処理では、異常検知部230は、検知した準異常トラフィックの数(i)が所定の回数N以上となるため、センサ端末100が異常モードであると判定する。
【0052】
このようにステップS104〜S107,S109の処理を行い、一回のセンサ休止モードにおいて、検知した準異常トラフィックの数(i)が所定の回数N以上となった場合を、センサ端末100は異常モードであると判定する。これにより、センサ休止モード中に行われることがある、センサ端末100のファームウェアの更新等に関連する正常な通信を異常モードと誤判定する確率を低減することができる。
【0053】
その後、異常検知部230は、センサ端末100を異常モードと判定すると、トラフィック処理部210や制御部220等に、センサ端末100の異常モードの通知を行う(ステップS110)。トラフィック処理部210は、センサ端末100の異常モードの通知を受信した後は、センサ端末100と外部ネットワーク400との間の送受信処理を停止する。これにより、攻撃サーバ500からセンサ端末100への侵入を防ぐことができる。
【0054】
図3に、異常検知部230によるセンサ端末100の異常モードの判定の一例を示す。図3の例では、所定の回数Nは3である。図3に示すように、センサ休止モード2における準異常トラフィックの数は1であり、所定の回数3以下であるため、センサ端末100が異常モードであるとは判定されない。一方、センサ休止モード4おける準異常トラフィックの数は3であり、所定の回数3以上となるため、センサ端末100の異常モード5が判定される。
【0055】
なお、ステップS101,S108の処理において、センサ端末100に、一定のビット長の通し番号付きのMAC(Message Authentication Code)値を付加したセンサ動作ログを生成させ、GW装置200に送信するようにしてもよい。これにより、センサ端末100に攻撃サーバ500が侵入し、攻撃サーバ500の不正なプログラムによって疑似的なセンサ動作ログが生成された場合であっても、正規のセンサ動作ログと疑似的なセンサ動作ログとを判定することが可能になる。
【0056】
また、ステップS104〜S107の処理において、異常検知部230は、トラフィック処理部210に通信の送受信パケットサイズを送信させ、1回の休止モードにおける通信のデータ総量が所定値を超えた場合、センサ端末100は異常モードであると判定してもよい。また、異常検知部230は、一回のセンサ休止モードにおけるデータ総量と、一回のセンサ休止モードにおいて検知した準異常トラフィックの数とを併用して、センサ端末100の異常モードを判定してもよい。
【0057】
以上のように、検知システム1では、センサ端末100がセンサ休止モード中に、異常検知部230によって、準異常トラフィックの検知を行い、さらに、1回のセンサ休止モードにおいて、検知した準異常トラフィックの数が所定の回数N以上となったときを異常モードとして判定する。そして、異常モードと判定すると、異常検知部230は、トラフィック処理部210等に、異常モードの通知を行い、センサ端末100と外部ネットワーク400との間の送受信処理を停止させる。これにより、検知システム1では、攻撃サーバ500からセンサ端末100への侵入を防ぐことができる。
【0058】
さらに、検知システム1では、検知した準異常トラフィックの数が所定の回数N以上となったときを異常モードとして判定している。これにより、センサ休止モード中に行われることがある、センサ端末100のファームウェアの更新等に関連する正常な通信を異常モードと誤判定する確率を低減することができる。
【0059】
また、検知システム1では、センサ動作ログを取得してから所定時間Tsを経過した後のセンサ休止モードにおけるパケットヘッダ情報の取得の有無、つまり、センサ休止モードにおける通信の有無から、センサ端末100の異常モードを判定している。これにより、攻撃サーバ500のIPアドレスが動的に変化する場合であっても、センサ端末100の異常モードを判定することができるため、攻撃サーバ500からセンサ端末100への侵入を防ぐことができる。また、センサ端末100に関連する通信が暗号化されている場合であっても、センサ端末100の異常モードの判定が可能になる。
【0060】
(第2の実施形態)
次に、本発明の第2の実施形態について説明する。第2の実施形態におけるIoT機器は、カメラ(Webカメラ)であるものとする。
【0061】
[システム構成]
図4は、第2の実施形態に係る検知システム1aの構成の一例を示す図である。なお、図4に示す構成要素で、図1に示す構成要素と同様のものは同一符号を付し、その説明を省略する。
【0062】
検知システム1aは、カメラ(特許請求の範囲における「端末装置」)100aと、GW装置200と、要求サーバ300と、管理サーバ301とを備える。カメラ100a及びGW装置200は、例えば無線通信によって、互いに接続されている。また、GW装置200、要求サーバ300及び管理サーバ301は、ネットワーク400を介して互いに接続されている。
【0063】
カメラ100aは、例えば、Webカメラであり、用途に応じて写真を撮影する。そして、カメラ100aは、撮影した写真データや、撮影動作等を記録した撮影動作ログをGW装置200に送信する。また、カメラ100aには、ネットワーク40を介し管理サーバ301によって、カメラ100aの設定変更等を行うために、例えばEWS(Embedded Web Server)等のWebサーバが組み込まれている。
【0064】
ここで、カメラ100aは、写真を撮影すると、その写真データや撮影動作ログを、リアルタイムでGW装置200に送信する。つまり、カメラ100aの写真データや撮影動作ログは、カメラ100aの撮影動作に関係して、GW装置200に送信される。
【0065】
要求サーバ300は、GW装置200を介し、カメラ100aとの通信を行う。要求サーバ300は、カメラ100aにより撮影された写真を利用する。
【0066】
管理サーバ301は、カメラ100aを管理する。カメラ100aの管理者は、管理サーバ301を介し、ID及びパスワードを用いてカメラ100aのWebサーバにログインし、カメラ100aの設定変更等を行う。
【0067】
なお、カメラ100aが攻撃サーバ500に侵入された場合、カメラ100aの撮影動作とは無関係に、カメラ100aとGW装置200を介した攻撃サーバ500との通信が多発する。
【0068】
以下、カメラ100a及びGW装置200の構成及び機能について、より詳細に説明する。なお、本発明に係るカメラ100a及びGW装置200の各機能を説明するが、カメラ100a及びGW装置200が備える他の機能を排除することを意図したものではないことに留意する。
【0069】
まず、カメラ100aについて説明する。
【0070】
カメラ100aは、動作監視部110a、制御部120a、記憶部130、通信部140を有する。
【0071】
動作監視部110aは、カメラ100aの撮影動作を監視する。そして、動作監視部110aは、撮影動作等を記録した撮影動作ログを生成する。動作監視部110aは、例えば、カメラ100aの写真撮影の開始を契機として、撮影動作ログを生成する。
【0072】
制御部120aは、カメラ100a全体を管理及び制御するものである。制御部120aは、カメラ100aによって撮影された写真データに、要求サーバ300の宛先をパケットヘッダとして付加した後、通信部140を介してGW装置200にリアルタイムで送信する。また、制御部120aは、動作監視部110aが生成した撮影動作ログに、GW装置200の宛先をパケットヘッダとして付加した後、通信部140を介してGW装置200にリアルタイムで送信する。つまり、制御部120aによって、写真データや撮影動作ログは、カメラ100aの撮影動作に関係して、GW装置200に送信される。
【0073】
次に、GW装置200について説明する。GW装置200は、トラフィック処理部210、制御部220、異常検知部230、記憶部240、通信部250を有する。
【0074】
トラフィック処理部210は、カメラ100aと外部ネットワーク400との間のデータ等の送受信処理を行う。またこの際、トラフィック処理部210は、このデータ等に付加されたパケットヘッダ情報を異常検知部230に通知する。また、トラフィック処理部210は、パケットヘッダ情報に含まれるIPアドレスや送受信パケットサイズ等の情報を記憶部240に記憶させておいてもよい。さらに、トラフィック処理部210は、通信部250を介し、カメラ100aから取得した、パケットヘッダに含まれる宛先がGW装置200となる撮影動作ログを、異常検知部230に転送する。
【0075】
また、トラフィック処理部210は、異常検知部230から、カメラ100aの異常モードの通知を受けると、カメラ100aと外部ネットワーク400との間の送受信処理を停止する。
【0076】
異常検知部230は、トラフィック処理部210から、カメラ100aの撮影動作ログ及びカメラ100aに関連する通信のパケットヘッダ情報を取得する。そして、異常検知部230は、カメラ100aの撮影動作ログを取得してから所定時間Ts1内は、撮影動作モードとしてカメラ100aの状態管理を行う。また、異常検知部230は、カメラ100aの撮影動作ログを取得してから所定時間Ts1が経過した後は、撮影休止モードとしてカメラ100aの状態管理を行う。また、この撮影休止モード中に、異常検知部230は、取得したパケットヘッダ情報を用いて、カメラ100aの異常モードを判定する。以下、これらの処理の詳細について説明する。
【0077】
<撮影動作モードにおける処理>
異常検知部230は、トラフィック処理部210から、カメラ100aの撮影動作の開始を契機として生成された撮影動作ログを取得すると、撮影動作ログを取得してから所定時間Ts1内は、撮影動作モードとして、カメラ100aの状態管理を行う。所定時間Ts1は、例えば、カメラ100aが撮影動作を行う時間を考慮して設定される。
【0078】
<撮影休止モードにおける処理>
異常検知部230が、カメラ100aの撮影動作ログを取得してから所定時間Ts1が経過すると、撮影休止モードとして、カメラ100aの状態管理を行う。異常検知部230は、この撮影休止モード中に、カメラ100aの異常モードの判定を行う。以下の処理について説明する。
【0079】
まず、異常検知部230は、トラフィック処理部210から、カメラ100aに関連する通信のパケットヘッダ情報を取得したか否か判定する。そして、異常検知部230は、トラフィック処理部210から、カメラ100aに関連する通信のパケットヘッダ情報を取得した場合、撮影休止モードにおけるそのカメラ100aに関連する通信を、準異常トラフィックとして検知する。
【0080】
次に、異常検知部230は、一回の撮影休止モードにおいて、検知した準異常トラフィックの数が所定の回数N以上であるか否か判定する。そして、一回の撮影休止モードにおいて、検知した準異常トラフィックの数が所定の回数N以上であると判定した場合、カメラ100aは異常モードであると判定する。ここで、カメラ100aが攻撃サーバ500に侵入された場合、カメラ100aと攻撃サーバ500との間の通信は、撮影動作とは無関係に多発する。そのため、1回の休止モード中において、検知した準異常トラフィックの数が所定の回数N以上(つまり、連続してN回以上)となった場合、カメラ100aは異常モードであると判定する。また、検知した準異常トラフィックの数が所定の回数N以上となった場合を異常モードと判定することで、撮影動作とは無関係に行われることがある、カメラ100aのファームウェアの更新やカメラ100aの設定変更等による正常な通信を異常モードと誤判定する確率を低減させている。そして、異常検知部230は、カメラ100aを異常モードであると判定した後は、後述の異常モードにおける処理を行う。
【0081】
なお、異常検知部230は、トラフィック処理部210に通信の送受信パケットサイズを送信させ、1回の休止モードにおける通信のデータ総量が所定値を超えた場合、カメラ100aは異常モードであると判定してもよい。また、異常検知部230は、一回の撮影休止モードにおけるデータ総量と、一回の撮影休止モードにおいて検知した準異常トラフィックの数とを併用して、カメラ100aの異常モードを判定してもよい。
【0082】
一方、異常検知部230は、カメラ100aを異常モードであると判定しない場合に、トラフィック処理部210からカメラ100aの撮影動作ログを取得すると、カメラ100aは、撮影休止モードから撮影動作モードに遷移したものと判定し、上述の撮影動作モードにおける処理を行う。
【0083】
<異常モードにおける処理>
異常検知部230は、上述の処理により、カメラ100aの異常モードを判定すると、トラフィック処理部210や制御部220等に、カメラ100aの異常モードの通知を行う。トラフィック処理部210は、カメラ100aの異常モードの通知を受信した後は、カメラ100aと外部ネットワーク400との間の送受信処理を停止する。
【0084】
次に、第2の実施形態に係る検知システム1aのシステム動作について説明する。
【0085】
[システム動作]
図5は、第2の実施形態に係る検知システム1aの動作の一例を示すフローチャートである。
【0086】
カメラ100aが撮影動作を開始する。すると、カメラ100aの動作監視部110aは、カメラ100aの撮影動作の開始を契機として、撮影動作ログを生成し、カメラ100aの制御部120aに送信する。そして、この撮影動作ログは、カメラ100aの制御部120aによって、カメラ100aの通信部140を介し、GW装置200に送信される。
【0087】
すると、GW装置200の異常検知部230は、図2に示すステップS101,102の処理と同様にして、ステップS201,202の処理を行い、撮影動作ログを取得してから所定時間Ts1内は、撮影動作モードとして、カメラ100aの状態管理を行う。
【0088】
カメラ100aの撮影動作ログを取得してから所定時間Ts1が経過すると、異常検知部230は、まず、準異常トラフィック数を格納する変数iを初期化する(ステップS103)。
【0089】
次に、異常検知部230は、図2に示すステップS104〜S107の処理と同様にして、ステップS204〜S207の処理を行う。
【0090】
ステップS208の処理では、異常検知部230は、トラフィック処理部210から、カメラ100aの撮影動作ログを取得したか否か判定する。異常検知部230は、トラフィック処理部210からカメラ100aの撮影動作ログを取得したと判定した場合(ステップS208:Yes)、ステップS202からの処理を繰り返し行う。一方、異常検知部230は、トラフィック処理部210からカメラ100aの撮影動作ログを取得しないと判定した場合(ステップS208:No)、ステップS204からの処理を繰り返し行う。
【0091】
ステップS209の処理では、異常検知部230は、検知した準異常トラフィックの数(i)が所定の回数N以上となるため、カメラ100aは、異常モードであると判定する。
【0092】
このようにステップS204〜S207,S209の処理を行い、検知した準異常トラフィックの数(i)が所定の回数N以上となった場合を、カメラ100aは異常モードであると判定する。これにより、撮影休止モード中に行われることがある、カメラ100aのファームウェアの更新や設定変更等に関連する正常な通信を異常と誤判定する確率を低減することができる。
【0093】
その後、異常検知部230は、カメラ100aの異常モードを判定すると、トラフィック処理部210や制御部220等に、カメラ100aの異常モードの通知を行う(ステップS210)。トラフィック処理部210は、カメラ100aの異常モードの通知を受信した後は、カメラ100aと外部ネットワーク400との間の送受信処理を停止する。これにより、攻撃サーバ500からカメラ100aへの侵入を防ぐことができる。
【0094】
以上のように説明した第2の実施形態でも、第1の実施形態と同様の効果を得ることができる。
【0095】
本発明を諸図面や実施例に基づき説明してきたが、当業者であれば本開示に基づき種々の変形や修正を行うことが容易であることに注意されたい。従って、これらの変形や修正は本発明の範囲に含まれることに留意されたい。例えば、各構成部、各ステップ等に含まれる機能等は論理的に矛盾しないように再配置可能であり、複数の構成部やステップ等を1つに組み合わせたり、或いは分割したりすることが可能である。また、本発明について装置を中心に説明してきたが、本発明は装置が備えるプロセッサにより実行される方法、プログラム、又はプログラムを記録した記憶媒体としても実現し得るものであり、本発明の範囲にはこれらも包含されるものと理解されたい。
【符号の説明】
【0096】
1,1a 検知システム
100,101,102 センサ端末
100a カメラ
110,110a 動作監視部
120,120a 制御部
130 記憶部
140 通信部
200 GW装置
210 トラフィック処理部
220 制御部
230 異常検知部
240 記憶部
250 通信部
300 要求サーバ
301 管理サーバ
400 ネットワーク
500 攻撃サーバ
図1
図2
図3
図4
図5
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.