(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023150852
(43)【公開日】2023-10-16
(54)【発明の名称】異常部位特定装置、異常部位特定方法及び異常部位特定プログラム
(51)【国際特許分類】
H04L 43/04 20220101AFI20231005BHJP
H04L 43/02 20220101ALI20231005BHJP
【FI】
H04L43/04
H04L43/02
【審査請求】未請求
【請求項の数】14
【出願形態】OL
(21)【出願番号】P 2022060173
(22)【出願日】2022-03-31
(71)【出願人】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(71)【出願人】
【識別番号】000003207
【氏名又は名称】トヨタ自動車株式会社
(71)【出願人】
【識別番号】517297980
【氏名又は名称】株式会社ARISE analytics
(74)【代理人】
【識別番号】100106002
【弁理士】
【氏名又は名称】正林 真之
(74)【代理人】
【識別番号】100120891
【弁理士】
【氏名又は名称】林 一好
(72)【発明者】
【氏名】奥井 宣広
(72)【発明者】
【氏名】窪田 歩
(72)【発明者】
【氏名】近藤 真暉
(72)【発明者】
【氏名】秋元 裕介
(72)【発明者】
【氏名】寺尾 康宏
(72)【発明者】
【氏名】吉田 琢也
(72)【発明者】
【氏名】伊藤 雅典
(72)【発明者】
【氏名】大野 允裕
(72)【発明者】
【氏名】本江 政司
(57)【要約】
【課題】ホストの追加・変更が頻繁に生じる大規模な通信ネットワークにおいて、不正アクセス経路を迅速に特定できる異常部位特定装置、異常部位特定方法及び異常部位特定プログラムを提供すること。
【解決手段】異常部位特定装置1は、通信データから、通信元及び送信先のホストを含む通信情報を抽出し、ホストをノードとすると共に、ホスト間の通信をエッジとする通信情報グラフに変換する通信情報グラフ変換部11と、通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する異常検知部12と、判定結果が異常有りであった場合、通信情報グラフを書き換えるマスキングパターンを生成するマスキングパターン生成部13と、生成されたマスキングパターンを適用した通信情報グラフを異常検知部12に入力した際の判定結果が異常無しとなったときの、当該マスキングパターンに対応する部位を異常部位として特定する異常部位特定部14とを備える。
【選択図】
図2
【特許請求の範囲】
【請求項1】
通信データから、通信元及び送信先のホストを含む通信情報を抽出し、前記ホストをノードとすると共に、前記ホスト間の通信をエッジとする通信情報グラフに変換する通信情報グラフ変換部と、
前記通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する異常検知部と、
前記判定結果が異常有りであった場合、前記通信情報グラフを書き換えるマスキングパターンを生成するマスキングパターン生成部と、
生成された前記マスキングパターンを適用した通信情報グラフを前記異常検知部に入力した際の判定結果が異常無しとなったときの、当該マスキングパターンに対応する部位を異常部位として特定する異常部位特定部と、を備える異常部位特定装置。
【請求項2】
前記通信情報グラフ変換部は、前記通信情報としてフローデータを抽出し、前記通信情報グラフに変換する請求項1に記載の異常部位特定装置。
【請求項3】
前記異常検知部は、通信異常の有無と共に、異常判定スコアを前記判定結果として出力し、
前記マスキングパターン生成部は、前記通信情報グラフのノード及びエッジのうち、削除することで前記異常判定スコアが低下するものを優先して、前記マスキングパターンを生成する請求項1又は請求項2に記載の異常部位特定装置。
【請求項4】
前記異常検知部は、前記判定結果に対する前記通信情報グラフのノード及びエッジ毎の判定寄与率を算出し、
前記マスキングパターン生成部は、前記通信情報グラフのノード及びエッジのうち、前記判定結果を異常有りとした前記判定寄与率が高いものを優先して、前記マスキングパターンを生成する請求項1から請求項3のいずれかに記載の異常部位特定装置。
【請求項5】
前記異常部位特定部は、前記マスキングパターンを適用した通信情報グラフを、複数並列に前記異常検知部に入力する請求項1から請求項4のいずれかに記載の異常部位特定装置。
【請求項6】
前記通信情報グラフ変換部は、前記ホストの種別に応じて前記通信情報グラフのノードに属性を設定する請求項1から請求項5のいずれかに記載の異常部位特定装置。
【請求項7】
前記マスキングパターン生成部は、予め定められた属性のノードの組み合わせを優先して、前記マスキングパターンを生成する請求項6に記載の異常部位特定装置。
【請求項8】
前記マスキングパターン生成部は、既知の通信異常に基づき事前学習されたパターンを優先して、前記マスキングパターンを生成する請求項6又は請求項7に記載の異常部位特定装置。
【請求項9】
前記マスキングパターン生成部は、候補ノードの入力を受け付け、当該候補ノードと同一の属性を持つノードを優先して、前記マスキングパターンを生成する請求項6から請求項8のいずれかに記載の異常部位特定装置。
【請求項10】
前記通信情報グラフ変換部は、車両通信データから車種又は車載アプリケーションの種別を含む前記通信情報を抽出し、前記通信情報グラフのノードに対して、当該種別を示す属性を設定し、
脆弱性を持った車種又は車載アプリケーションを記憶する脆弱性情報格納部を備え、
前記マスキングパターン生成部は、前記脆弱性情報格納部に記憶されている車種又は車載アプリケーションの属性を持つノードを優先して、前記マスキングパターンを生成する請求項1から請求項9のいずれかに記載の異常部位特定装置。
【請求項11】
前記脆弱性情報格納部は、前記脆弱性を持った車種又は車載アプリケーションと対応付けて、攻撃パターンの情報を記憶し、
前記異常検知部は、通信異常の有無と共に、前記攻撃パターンを判定し、
前記マスキングパターン生成部は、判定された攻撃パターンに対応する車種又は車載アプリケーションの属性を持つノードを優先して、前記マスキングパターンを生成する請求項10に記載の異常部位特定装置。
【請求項12】
前記異常部位特定部により特定された異常部位に基づいて、対応するノードへのアクセスを遮断する不正アクセス遮断部を備える請求項1から請求項11のいずれかに記載の異常部位特定装置。
【請求項13】
通信データから、通信元及び送信先のホストを含む通信情報を抽出し、前記ホストをノードとすると共に、前記ホスト間の通信をエッジとする通信情報グラフに変換する通信情報グラフ変換ステップと、
前記通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する異常検知ステップと、
前記判定結果が異常有りであった場合、前記通信情報グラフを書き換えるマスキングパターンを生成するマスキングパターン生成ステップと、
生成された前記マスキングパターンを適用した通信情報グラフに対する前記異常検知ステップの判定結果が異常無しとなったときの、当該マスキングパターンに対応する部位を異常部位として特定する異常部位特定ステップと、をコンピュータが実行する異常部位特定方法。
【請求項14】
請求項1から請求項12のいずれかに記載の異常部位特定装置としてコンピュータを機能させるための異常部位特定プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークにおける不正アクセス経路を特定するための装置、方法及びプログラムに関する。
【背景技術】
【0002】
一般的に、ネットワークの不正アクセス検知には、パケットベースのデータ(パケットデータ)を解析する手法とフローベースのデータ(フローデータ)を解析する手法とがある。
前者は、パケットを全てキャプチャし、不正検知を行うものである。これは、検知率が高い一方で、パケットを全て処理するため処理時間が長いこと、暗号化等の複雑な処理が必要なことが課題となっている。
そこで、ネットワークトラフィックを、後者のフローデータで解析する手法が提案されている。
【0003】
フローデータには、送信元及び送信先のIPアドレス及びポート番号、通信プロトコル等の情報が含まれている。フローデータは、これらの情報のうち、例えばIPアドレス等が共通する通信を同一のフローとみなし、トラフィック情報に絞ったデータであるため高速な処理が可能である。フローデータを解析する手法では、このトラフィック情報を解析することで、例えば、複数のポートに対してアクセスが急激に増えた場合は、ブルートフォースアタックを疑う、等の方法により不正検知が行われる。
【0004】
不正アクセスには様々な種類があり、フローデータの単体レコードで検知できるものと、複数のレコードを必要とするものがある。
単体レコードで検知できるものとしては、例えば、同一のIPアドレス及びポートに対してアクセス(トラフィック)が急激に増えるDDoS攻撃や、同一ポートに対してアクセス(トラフィック)が急激に増えるホストスキャン等がある。
複数レコードが必要なものとしては、例えば、複数のポート及びIPアドレスに対してアクセスが急激に増えるブルートフォースアタックや、複数のポートに対してアクセスが急激に増えるポートスキャン等がある。
【0005】
不正アクセス検知においては、これらを全て検知する必要があるため、単体レコードによる不正アクセス検知と、複数レコードによる不正アクセス検知の両方に対応する必要がある。
フローデータから異常検知を行う手法として、例えば、非特許文献1では、Recurrent Neural Network(RNN)を用いた不正アクセス検知手法が、特許文献1では、Autoencoders(AE)を用いた不正アクセス検知手法が提案されている。
【0006】
ここで、実際の運用を考慮すると、不正アクセスの有無や種類の特定のみでは迅速な対策が立てづらい。このため、踏み台にされたIPアドレスや攻撃の宛先等、不正アクセスに用いられた経路を迅速に特定する必要がある。
そこで、フローデータをグラフで表現し、グラフ構造の全体又は部分に対して不正アクセスを検知する手法が考えられる。グラフ構造に対する一般的な異常検知の手法としては、以下のものが挙げられる。
【0007】
非特許文献2では、グラフ構造そのものをGraph Neural Network(GNN)に入力し、グラフ全体に異常があるか否かを検知する手法が提案されている。
特許文献2では、トラフィックデータから通信元のホスト識別子と通信先のホスト識別子との組からなる通信履歴を抽出し、通信履歴グラフに対して特徴抽出を行ってグラフ全体の異常の有無を判定する手法が提案されている。
非特許文献3では、大規模グラフをデータの発生時間に基づいてサブグラフに分割し、サブグラフごとに異常検知する手法が提案されている。
非特許文献4では、より直接的にグラフのノードやエッジの異常を検知する手法が提案されている。
【先行技術文献】
【特許文献】
【0008】
【特許文献1】特開2019-3274号公報
【特許文献2】特開2019-149681号公報
【非特許文献】
【0009】
【非特許文献1】C. Cordero et al., "Analyzing flow-based anomaly intrusion detection using replicator neural networks," in 14th Annual Conference on Privacy Security and Trust (IEEE Auckland, 2016), pp. 317-324.
【非特許文献2】A. Palladino and C. J. Thissen, "Cyber anomaly detection using graph-node role-dynamics," arXiv preprint arXiv:1812.02848 (2018).
【非特許文献3】W. Eberle and L. Holder, "Incremental anomaly detection in graphs," 2013 IEEE 13th International Conference on Data Mining Workshops, IEEE, 2013.
【非特許文献4】M. Weber et al., "Anti-money laundering in bitcoin: Experimenting with graph convolutional networks for financial forensics," arXiv preprint arXiv:1908.02591 (2019).
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、グラフ構造の全体に対する異常検知手法では、不正アクセスがあったことを検知でき、ノード及びエッジの追加にロバストな利点があるものの、どのような経路で不正アクセスが行われたかを特定することは難しかった。
【0011】
また、グラフ構造の部分に対する不正アクセス検知手法では、グラフ全体を対象とするよりも詳細なアクセス経路を特定できるものの、異常が検知されたサブグラフが不正アクセス経路と断定できない、あるいは、断片的にしか経路を特定できない、という課題があった。
さらに、例えば車両ネットワーク等では、複数台の異なる車両(ノード)が追加・変更されるため、ノードの特徴も頻繁に変化する。このようなグラフ構造においては、従来の手法では、ノード及びエッジの追加・変更に追従できず、これらのノードやエッジから直接異常検知を行うことが難しかった。
【0012】
本発明は、ホストの追加・変更が頻繁に生じる大規模な通信ネットワークにおいて、不正アクセス経路を迅速に特定できる異常部位特定装置、異常部位特定方法及び異常部位特定プログラムを提供することを目的とする。
【課題を解決するための手段】
【0013】
本発明に係る異常部位特定装置は、通信データから、通信元及び送信先のホストを含む通信情報を抽出し、前記ホストをノードとすると共に、前記ホスト間の通信をエッジとする通信情報グラフに変換する通信情報グラフ変換部と、前記通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する異常検知部と、前記判定結果が異常有りであった場合、前記通信情報グラフを書き換えるマスキングパターンを生成するマスキングパターン生成部と、生成された前記マスキングパターンを適用した通信情報グラフを前記異常検知部に入力した際の判定結果が異常無しとなったときの、当該マスキングパターンに対応する部位を異常部位として特定する異常部位特定部と、を備える。
【0014】
前記通信情報グラフ変換部は、前記通信情報としてフローデータを抽出し、前記通信情報グラフに変換してもよい。
【0015】
前記異常検知部は、通信異常の有無と共に、異常判定スコアを前記判定結果として出力し、前記マスキングパターン生成部は、前記通信情報グラフのノード及びエッジのうち、削除することで前記異常判定スコアが低下するものを優先して、前記マスキングパターンを生成してもよい。
【0016】
前記異常検知部は、前記判定結果に対する前記通信情報グラフのノード及びエッジ毎の判定寄与率を算出し、前記マスキングパターン生成部は、前記通信情報グラフのノード及びエッジのうち、前記判定結果を異常有りとした前記判定寄与率が高いものを優先して、前記マスキングパターンを生成してもよい。
【0017】
前記異常部位特定部は、前記マスキングパターンを適用した通信情報グラフを、複数並列に前記異常検知部に入力してもよい。
【0018】
前記通信情報グラフ変換部は、前記ホストの種別に応じて前記通信情報グラフのノードに属性を設定してもよい。
【0019】
前記マスキングパターン生成部は、予め定められた属性のノードの組み合わせを優先して、前記マスキングパターンを生成してもよい。
【0020】
前記マスキングパターン生成部は、既知の通信異常に基づき事前学習されたパターンを優先して、前記マスキングパターンを生成してもよい。
【0021】
前記マスキングパターン生成部は、候補ノードの入力を受け付け、当該候補ノードと同一の属性を持つノードを優先して、前記マスキングパターンを生成してもよい。
【0022】
前記通信情報グラフ変換部は、車両通信データから車種又は車載アプリケーションの種別を含む前記通信情報を抽出し、前記通信情報グラフのノードに対して、当該種別を示す属性を設定し、脆弱性を持った車種又は車載アプリケーションを記憶する脆弱性情報格納部を備え、前記マスキングパターン生成部は、前記脆弱性情報格納部に記憶されている車種又は車載アプリケーションの属性を持つノードを優先して、前記マスキングパターンを生成してもよい。
【0023】
前記脆弱性情報格納部は、前記脆弱性を持った車種又は車載アプリケーションと対応付けて、攻撃パターンの情報を記憶し、前記異常検知部は、通信異常の有無と共に、前記攻撃パターンを判定し、前記マスキングパターン生成部は、判定された攻撃パターンに対応する車種又は車載アプリケーションの属性を持つノードを優先して、前記マスキングパターンを生成してもよい。
【0024】
前記異常部位特定装置は、前記異常部位特定部により特定された異常部位に基づいて、対応するノードへのアクセスを遮断する不正アクセス遮断部を備えてもよい。
【0025】
本発明に係る異常部位特定方法は、通信データから、通信元及び送信先のホストを含む通信情報を抽出し、前記ホストをノードとすると共に、前記ホスト間の通信をエッジとする通信情報グラフに変換する通信情報グラフ変換ステップと、前記通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する異常検知ステップと、前記判定結果が異常有りであった場合、前記通信情報グラフを書き換えるマスキングパターンを生成するマスキングパターン生成ステップと、生成された前記マスキングパターンを適用した通信情報グラフに対する前記異常検知ステップの判定結果が異常無しとなったときの、当該マスキングパターンに対応する部位を異常部位として特定する異常部位特定ステップと、をコンピュータが実行する。
【0026】
本発明に係る異常部位特定プログラムは、前記異常部位特定装置としてコンピュータを機能させるためのものである。
【発明の効果】
【0027】
本発明によれば、ホストの追加・変更が頻繁に生じる大規模な通信ネットワークにおいて、不正アクセス経路を迅速に特定できる。
【図面の簡単な説明】
【0028】
【
図1】実施形態における車両通信ネットワークを例示する図である。
【
図2】実施形態における異常部位特定装置の機能構成を示す図である。
【
図3】実施形態におけるマスキングパターンを例示する図である。
【
図4】実施形態におけるAttention-Scoreを例示する図である。
【
図5】実施形態における車両通信ネットワークに対する不正アクセスの経路を例示する図である。
【発明を実施するための形態】
【0029】
以下、本発明の実施形態の一例について説明する。
本実施形態の異常部位特定方法では、ネットワークの通信情報を変換したグラフ構造全体の不正アクセスの有無を検知するアプローチをとりつつ、他の手段でノード及びエッジの異常を検知することで、不正アクセスの経路を特定する。
ここでは、観測対象とする通信ネットワークとして、車両通信ネットワークを例示し、各車両がそれぞれ車載アプリケーションのサーバと通信を行う際の通信情報をグラフ構造に変換したうえで不正アクセスを検知し、その部位を特定する方法について説明する。
【0030】
コネクテッドカーが接続される車両通信ネットワークにおいても、膨大な数の車両から大量の通信が高速に流れることが想定される。したがって、処理時間のかかるパケットデータを解析する手法ではなく、IPFIX等の軽量なフローデータを用いて不正検知を行う必要がある。
【0031】
車両通信ネットワークにおいて、車両、ネットワーク網のサーバ(例えば、ロードバランサ、プロキシサーバ等)、車載アプリケーションサーバが存在するとき、これらは、それぞれグラフのノードとして扱える。
一般的に、フローデータからは、送信元及び送信先のIPアドレス及びポート番号、通信プロトコル等の情報が含まれている。本実施形態では、これらの情報を用いてグラフ構造を構築する。ここでは、IPアドレスを例として説明するが、MACアドレス又は車体識別番号等、各ホスト(ノード)を識別できる情報であればよい。なお、車両に固有の識別情報を用いることで、IPアドレスが変更された場合にも同一車両でまとめることが可能となる。
【0032】
図1は、本実施形態における車両通信ネットワークを例示する図である。
ここでは、車両からネットワーク網のサーバにIPアドレスを指定してアクセスし、さらに、ネットワーク網のサーバから車載アプリケーションサーバにIPアドレスを指定してアクセスする場合を示している。
多数の車両のそれぞれは、各車両が搭載している車載アプリケーションにより、車両通信ネットワークを介して、該当の車載アプリケーションサーバと通信を行う。なお、全ての通信データは、車両通信ネットワーク上の特定のポイントを経由して車両又は車載アプリケーションサーバに到達するものとする。
【0033】
車両通信ネットワーク上の特定のポイントに設置されているキャプチャデバイスが通信をキャプチャすることにより、車両通信ネットワーク上の全ての、あるいは、特定の車種又は特定のアプリケーション若しくは機能等に関する通信をもれなく取得する。
【0034】
本実施形態の異常部位特定装置は、キャプチャデバイスで取得したIPFIX等のフローデータを用いて、ホストである車両、ネットワーク網のサーバ及び車載アプリケーションサーバをそれぞれノードとし、ノード間の通信をエッジとして、車両通信ネットワークをグラフ化する。
【0035】
図2は、本実施形態における異常部位特定装置1の機能構成を示す図である。
異常部位特定装置1は、制御部10及び記憶部20の他、各種データの入出力デバイス及び通信デバイス等を備えた情報処理装置である。
【0036】
制御部10は、異常部位特定装置1の全体を制御する部分であり、記憶部20に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部10は、CPUであってよい。
具体的には、制御部10は、通信情報グラフ変換部11と、異常検知部12と、マスキングパターン生成部13と、異常部位特定部14と、不正アクセス遮断部15とを備える。
【0037】
記憶部20は、ハードウェア群を異常部位特定装置1として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ROM、RAM、フラッシュメモリ又はハードディスクドライブ(HDD)等であってよい。
具体的には、記憶部20は、本実施形態の各機能を制御部10に実行させるためのプログラム(異常部位特定プログラム)、処理対象として受信したフローデータ、グラフデータ、異常検知モデル、各種パラメータ等を記憶する他、脆弱性情報格納部21を備える。
【0038】
脆弱性情報格納部21は、車載アプリケーション等に関する既知の脆弱性情報として、脆弱性を持った車種又は車載アプリケーションを記憶する。
さらに、脆弱性情報格納部21は、脆弱性を持った車種又は車載アプリケーションと対応付けて、攻撃パターンの情報を記憶してもよい。
【0039】
通信情報グラフ変換部11は、通信データから、通信元及び送信先のホストを含む通信情報として、フローデータを抽出し、ホストをノードとすると共に、ホスト間の通信をエッジとする通信情報グラフに変換する。
【0040】
このとき、通信情報グラフ変換部11は、車両、ネットワーク網のサーバ、車載アプリケーションサーバといったホストの種別に応じて通信情報グラフのノードに属性を設定してもよい。
また、通信情報グラフ変換部11は、車両通信データから車種又は車載アプリケーションの種別を含む通信情報を抽出し、通信情報グラフのノードに対して、この種別を示す属性を設定してもよい。
【0041】
異常検知部12は、通信情報グラフに対して、通信異常の有無を判定し、判定結果を出力する。
このとき、異常検知部12は、通信異常の有無に代えて、又は有無と共に、異常である可能性を示す異常判定スコアを判定結果として出力してもよい。さらに、異常検知部12は、判定結果に対する通信情報グラフのノード及びエッジ毎の判定寄与率を算出し出力してもよい。
また、異常検知部12は、通信異常を生じさせた攻撃パターンを判定してもよい。
【0042】
ここで、異常部位特定装置1は、既知の情報をもとに、グラフ構造から通信異常を検知する検知モデルを予め学習し、異常検知部12は、学習済みの検知モデルを用いて通信異常(不正アクセス)を検知する。検知モデルは、既存手法で用いられるGNN等であってよいが、これには限られず、例えば、Auto-Encoderを用いる手法やGANのような生成モデルベースの手法により構成されてもよい。また、深層学習ベースではなく、統計ベースの検知手法が用いられてもよい。
【0043】
マスキングパターン生成部13は、異常検知部12による判定結果が異常有りであった場合、通信情報グラフを書き換えるマスキングパターンを生成する。
具体的には、マスキングパターン生成部13は、通信情報グラフのノード及びエッジのうち、削除することで異常判定スコアが低下するもの、あるいは、判定結果を異常有りとした判定寄与率が高いものを優先して、マスキングパターンを生成する。
【0044】
このとき、マスキングパターン生成部13は、予め定められた属性のノードの組み合わせを優先して、あるいは、候補ノードの入力を受け付け、この候補ノードと同一の属性を持つノードを優先して、マスキングパターンを生成してもよい。
また、マスキングパターン生成部13は、既知の通信異常に基づき事前学習されたパターンを優先して、マスキングパターンを生成してもよい。
【0045】
さらに、マスキングパターン生成部13は、脆弱性情報格納部に記憶されている車種又は車載アプリケーションの属性を持つノードを優先して、あるいは、異常検知部12により判定された攻撃パターンに対応する車種又は車載アプリケーションの属性を持つノードを優先して、マスキングパターンを生成してもよい。
【0046】
異常部位特定部14は、生成されたマスキングパターンを適用した通信情報グラフを異常検知部12に入力した際の判定結果が異常無しとなったときの、マスキングパターンに対応する部位を異常部位として特定する。
このとき、異常部位特定部14は、マスキングパターンを適用した通信情報グラフを、複数並列に異常検知部12に入力し、並列処理を行うことで高速化を図ってもよい。
【0047】
このように、ネットワークに通信異常(不正アクセス)が検知されたとき、異常部位特定部14は、マスキングパターン生成部13により生成されたマスキングパターンにより特定のノード又はエッジをマスキングしたうえで、再度不正アクセス検知と行う。
マスキングした結果、異常が検知されなかった場合は、マスキングした領域に不正アクセスが行われた、すなわち、この領域が不正アクセス経路であると考えられる。
【0048】
なお、不正アクセスの検知結果は、通信異常が検知されたか検知されなかったか、の2値分類であってよいが、前述のように、異常判定スコアで出力されてもよい。この場合、異常部位特定部14は、例えば、予め閾値を設定しておき、異常判定スコアの減少量が閾値を超えたときのマスキング領域を不正アクセス経路として特定してもよい。
【0049】
不正アクセス遮断部15は、異常部位特定部14により特定された異常部位に基づいて、対応するノードへのアクセスを遮断する。
一般的なITサービスは、サービスの可用性を優先するため不正アクセスの検知にとどめるIDS(Intrusion Detection System)が多く用いられるが、コネクテッドカーのように不正アクセスが発生したとき現実世界に重大なインシデント(物損事故、人身事故等)が発生する場合、IPS(Intrusion Prevention System)により、不正アクセスを検知した後、通信遮断することが望ましい。
【0050】
ここで、マスキングパターン生成部13によりマスキングパターンを生成する手法について詳述する。
(1)ランダムなマスキングパターンの生成:
異常部位特定部14は、ランダムに選択されたエッジ接続を切断する、あるいは、ノードが保有する特徴量を0又は平均値等に書き換えて異常検知部12に入力する。また、単一のノード又はエッジをマスキングするのではなく、複数のノード及びエッジを組み合わせたマスキングパターンが生成されてもよい。
【0051】
図3は、本実施形態におけるマスキングパターンを例示する図である。
例えば、車両A及びCがサーバB及びDとそれぞれ通信を行う車両通信ネットワークを表したグラフをGNNに入力することにより、通信異常が検知されたとする。
このグラフに対して、例えば、ノードBをマスクする、ノードA及びDとその間のエッジをマスクする、ノードC及びDとその間のエッジをマスクする等、複数のマスキングパターンを適用し、それぞれに対するGNNの判定結果の変化が観測される。
【0052】
なお、全てのマスキングパターンを用意し、それらに対して不正アクセス検知を行うのは計算量が膨大となる。したがって、複数のマスキングパターンを並列で処理したり、以下の手法のように、不正アクセスの経路である可能性が高いマスキングパターンを優先的に生成したりすることが考えられる。
【0053】
(2)Attentionを用いたマスキングパターンの生成:
異常検知モデルの学習において、Graph-Attentionモデル(例えば、次の文献A参照)が用いられた場合、異常検知部12は、判定結果としてAttention-Scoreを取得できる。このAttention-Scoreは、ノードからノードの注目度を表す指標であり、判定結果に与えた影響度合い(判定の寄与率)を算出できる。
文献A: P. Velickovic et al., "Graph attention networks," arXiv preprint arXiv:1710.10903 (2017).
【0054】
図4は、本実施形態におけるAttention-Scoreを例示する図である。
異常検知部12は、異常検知のAttention機構を持つGNN(GAT)を構築し、ノード間のAttention-Score(α
AC,α
AD,α
BD,α
BC等)を算出する。この後、値が大きい順に、又はAttention-Scoreが一定値を超えた場合に対象のノード及びエッジを優先的にマスキングすることにより、不正アクセスの経路である可能性が高いマスキングパターンが生成される。
【0055】
(3)異常判定スコアの変化を用いたマスキングパターンの生成:
マスキングパターン生成部13は、異常検知モデルから得られる異常判定スコアの変化を観測し、効率的にマスキングパターンを生成することもできる。
例えば、特定のノードAをマスキングしたときに、異常判定スコアが減少した(異常無しに傾いた)場合、マスキングパターン生成部13は、ノードAを常にマスキングするようにマスキングパターンを生成する。マスキングパターン生成部13は、これを繰り返し、異常判定スコアが減少したときにマスキングされたノードを固定でマスキングすることで、効率的にマスキングパターンを生成できる。
【0056】
(4)車両通信ネットワークの特性を考慮したマスキングパターンの生成:
車両通信ネットワークは、車両、ネットワーク網のサーバ、車載アプリケーションサーバという複数種別のホストから成り立つ。通信情報グラフ変換部11は、これらを同一種別のノードとして扱うのではなく、異なる種別のノードとして設定しグラフを生成する。
【0057】
単一種別のノードではなく、複数種別のノードを保有するグラフは、Heterogeneous Graph(例えば、次の文献B参照)と呼ばれる。車両通信ネットワークを対象とした不正アクセスは、複数種別のノード全てを対象とした無差別な攻撃ではなく、特定種別のノードに偏った攻撃と考えられる。例えば、脆弱性を持った車への攻撃であれば、以下の図のように車両ノードに対するアクセスが増える。
文献B: X. Wang et al., "Heterogeneous graph attention network," The World Wide Web Conference. 2019.
【0058】
図5は、本実施形態における車両通信ネットワークに対する不正アクセスの経路を例示する図である。
この例では、ある車両Aからネットワーク網のサーバBを経由して車両C及びDに攻撃(不正アクセス)を行っている。
【0059】
この場合、車載アプリケーションサーバは不正アクセス経路に含まれていないため、不正アクセス経路の特定を目的としたマスキングパターンの生成においても、マスキングパターン生成部13は、特定種別のノードに偏ったマスキングにより、効率的にマスキングパターンを生成する。
【0060】
例えば、マスキングパターン生成部13は、ランダムにマスキングパターンを生成する場合、特定種別のノードのマスキングが行われる確率を高く設定する。この特定種別のノードは、事前収集した攻撃パターンから不正アクセスに用いられたノードの割合を学習することにより決定されてもよい。
あるいは、前述の異常判定スコア又はAttention-Scoreの変化を用いたマスキングパターンの生成において、異常判定スコアが減少したノード又はAttention-Scoreが高いノードがあれば、これと同じ種別のノードを優先的に選択してもよい。
【0061】
(5)車種、車載アプリケーション種別を考慮したマスキングパターンの生成:
車載アプリケーションでは、通常、通信開始時に認証が行われ、この認証により、車種を特定することができる。通信時には、車両にIPアドレスが付与されることから、車種とIPアドレスとの紐づけが可能である。
【0062】
ここで、車載ソフトウェア(車載OS、車載アプリケーション等、車両のハードウェア上で動くソフトウェア)は、車種によってバージョンが異なる等、必ずしも全車種同一とは限らない。したがって、車種によっては特定の部位にセキュリティ脆弱性が生じる可能性がある。
セキュリティ脆弱性が発生したとき、この車種に対する不正アクセスが重点的に行われる可能性が高い。そこで、マスキングパターン生成部13は、セキュリティ脆弱性が発生した車種又は車載アプリケーションに対応するノードを優先的にマスキングする。
【0063】
具体的には、異常部位特定装置1は、脆弱性を持った車両及びその車種の脆弱性種別、脆弱性に対する攻撃パターンのリストを脆弱性情報格納部21に記憶させ、通信情報グラフ変換部11により、ノードの属性に車種の情報を含む通信情報グラフを作成する。
特定車種へのAttention-Scoreが高い等の傾向が出る等、異常検知モデルにより攻撃パターンを識別できる場合、識別された攻撃パターンがリストに掲載されたものであれば、マスキングパターン生成部13は、対応する車種を優先してマスキングする。
【0064】
本実施形態によれば、異常部位特定装置1は、通信情報を、ホストをノードとし、ホスト間の通信をエッジとする通信情報グラフに変換することにより、このグラフに対して通信異常の有無を判定する。さらに、異常部位特定装置1は、判定結果が異常有りであった場合、マスキングパターンを適用した通信情報グラフの判定結果が異常無しとなったときの、マスキングパターンに対応する部位を異常部位として特定する。
したがって、異常部位特定装置1は、異常検知部12によりグラフ構造全体に対して不正アクセスを検知するアプローチをとりつつ、異常部位特定部14によりノードやエッジの異常部位を特定できる。
この結果、異常部位特定装置1は、ホストの追加・変更が頻繁に生じる大規模な通信ネットワークにおいて、不正アクセス経路を迅速に特定できる。
【0065】
異常部位特定装置1は、通信情報としてフローデータを抽出し、通信情報グラフに変換するので、膨大な量のパケットデータを処理するよりも効率的に異常部位を特定できる。
【0066】
異常部位特定装置1は、通信情報グラフのノード及びエッジのうち、削除することで異常判定スコアが低下するものを優先して、あるいは、判定結果を異常有りとした判定寄与率が高いものを優先して、マスキングパターンを生成することにより、効率的に異常部位を特定できる。
【0067】
異常部位特定装置1は、マスキングパターンを適用した通信情報グラフを、複数並列に異常検知部12に入力し、並列処理することにより、迅速に異常部位を特定できる。
【0068】
異常部位特定装置1は、ホストの種別に応じて通信情報グラフのノードに属性を設定することにより、ノード毎の特徴を表現できるので、異常検知及び異常部位の特定を精度良く実施できる。
さらに、異常部位特定装置1は、予め定められた属性のノードの組み合わせを優先して、既知の通信異常に基づき事前学習されたパターンを優先して、又は候補ノードの入力を受け付けて候補ノードと同一の属性を持つノードを優先して、マスキングパターンを生成してもよい。これにより、異常部位特定装置1は、異常部位を効率良く絞り込んで特定することができる。
【0069】
異常部位特定装置1は、車両通信ネットワークにおいて、脆弱性を持った車種又は車載アプリケーションの属性を持つノードを優先して、又は判定された攻撃パターンに対応する車種又は車載アプリケーションの属性を持つノードを優先して、マスキングパターンを生成してもよい。これにより、異常部位特定装置1は、不正アクセスの可能性が高いノードを優先して異常部位を効率良く絞り込み特定することができる。
【0070】
異常部位特定装置1は、特定した異常部位に基づいて、対応するノードへのアクセスをIPSにより遮断する。
IPSを適用するためは、通信遮断する範囲を可能な限り狭めることが好ましいため、不正アクセス経路を精度良く特定することが求められる。異常部位特定装置1は、通信異常(不正アクセス)が発生したとき、不正アクセス経路を迅速に特定できるので、ネットワーク全体のパフォーマンス低下を最小限に抑えつつ、対処が必要な部位のみを適切に隔離できる。
【0071】
なお、前述の実施形態により、例えば、ネットワークにおける不正アクセス経路を特定できることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進すると共に、イノベーションの拡大を図る」に貢献することが可能となる。
【0072】
以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。
【0073】
前述の実施形態では、車両通信ネットワークを例に説明したが、通信異常の検知対象はこれに限られない。本実施形態は、例えば、センサ等のIoT通信データ、あるいは、モバイル通信網において基地局から得られる通信データ等、様々な通信データに対して適用かのうである。
【0074】
異常部位特定装置1による異常部位特定方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置(コンピュータ)にインストールされる。また、これらのプログラムは、CD-ROMのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したWebサービスとしてユーザのコンピュータに提供されてもよい。
【符号の説明】
【0075】
1 異常部位特定装置
10 制御部
11 通信情報グラフ変換部
12 異常検知部
13 マスキングパターン生成部
14 異常部位特定部
15 不正アクセス遮断部
20 記憶部
21 脆弱性情報格納部