知財求人 - 知財ポータルサイト「IP Force」
特許7089861監視装置、デバイス監視システム及び複数のネットワーク化されたデバイスの監視方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-06-15
(45)【発行日】2022-06-23
(54)【発明の名称】監視装置、デバイス監視システム及び複数のネットワーク化されたデバイスの監視方法
(51)【国際特許分類】
H04L 43/00 20220101AFI20220616BHJP
【FI】
H04L43/00
【請求項の数】
21
【外国語出願】
(21)【出願番号】P 2017234265
(22)【出願日】2017-12-06
(65)【公開番号】P2018109956
(43)【公開日】2018-07-12
【審査請求日】2020-12-01
(31)【優先権主張番号】16207653.3
(32)【優先日】2016-12-30
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】510145967
【氏名又は名称】ユー-ブロックス、アクチエンゲゼルシャフト
【氏名又は名称原語表記】u-blox AG
(74)【代理人】
【識別番号】100091982
【弁理士】
【氏名又は名称】永井 浩之
(74)【代理人】
【識別番号】100091487
【弁理士】
【氏名又は名称】中村 行孝
(74)【代理人】
【識別番号】100082991
【氏名又は名称】佐藤 泰和
(74)【代理人】
【識別番号】100105153
【弁理士】
【氏名又は名称】朝倉 悟
(74)【代理人】
【識別番号】100107582
【弁理士】
【氏名又は名称】関根 毅
(74)【代理人】
【識別番号】100096921
【弁理士】
【氏名又は名称】吉元 弘
(72)【発明者】
【氏名】ヘルツォーク, ユージーン パスカル
【審査官】大石 博見
(56)【参考文献】
【文献】小寺 康平 Kohei KOTERA,多数のセンサーが送出するトラヒックに対する異常検知システムの設計 A Design of Behavioral Anomaly Detection System on Network Application Traffic from Many Sensors,電子情報通信学会技術研究報告 Vol.113 No.472 IEICE Technical Report,日本,一般社団法人電子情報通信学会 The Institute of Electronics,Information and Communication Engineers,2014年02月27日,第113巻,61-66
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/00
(57)【特許請求の範囲】
【請求項1】
通信可能デバイスのネットワークのための監視装置であって、データ選択モジュールとデータ分析モジュールとをサポートする様に構成された処理リソースと、
前記処理リソースと動作可能に結合され、複数のデータフラグメントを受信する様に構成された通信インタフェースと、
を備え、
前記複数のデータフラグメントは、それぞれ、個別のデバイス識別子と、関連付けられた観察データと、を有し、前記複数のデータフラグメントは、それぞれ、複数の一意のデバイス識別子を有し、
前記データ選択モジュールは、前記複数のデータフラグメントの前記個別の識別子と、
前記関連付けられた観察データと、を読み、共通デバイス特性を特定し、前記共通デバイス特性の結果として生成される前記複数のデータフラグメントの第1の集合を特定する様に構成され、
前記データ分析モジュールは、予め定義された、期待される動作パラメータに対して異常なデバイスのアクティビティを個々のデバイスで検出するため、前記データ選択モジュールにより特定された前記複数のデータフラグメントの前記第1の集合を分析する様に構成される、監視装置。
【請求項2】
請求項1に記載の監視装置であって、前記共通デバイス特性は、デバイスの振る舞いに関する、監視装置。
【請求項3】
請求項1に記載の監視装置であって、前記共通デバイス特性は、デバイスの物理パラメータである、監視装置。
【請求項4】
請求項3に記載の監視装置であって、前記デバイスの物理パラメータは、周辺デバイスにより検出可能である、監視装置。
【請求項5】
請求項1から4のいずれか1項に記載の監視装置であって、前記共通デバイス特性は、デバイスのアプリケーションの実行で生じる測定可能なパラメータである、監視装置。
【請求項6】
請求項1から5のいずれか1項に記載の監視装置であって、前記処理リソースは、予期しないデバイスの動作を示す前記異常なデバイスのアクティビティの検出に応答して、警報を生成する様に構成される、監視装置。
【請求項7】
請求項6に記載の監視装置であって、前記処理リソースは、前記警報の前記生成に応答してデバイス更新のための通信を開始する様に構成される、監視装置。
【請求項8】
請求項1から7のいずれか1項に記載の監視装置であって、前記データ選択モジュールは、前記複数のデータフラグメントの前記第1の集合の別の共通デバイス特性を特定する様に構成され、
前記データ分析モジュールは、前記異常なデバイスのアクティビティの共通デバイス特性を使用する前記検出の信頼性を高めるため、前記別の共通デバイス特性に対して前記データ選択モジュールにより特定された前記複数のデータフラグメントの前記第1の集合を分析する様に構成される、監視装置。
【請求項9】
請求項1から8のいずれか1項に記載の監視装置であって、前記データ選択モジュールは、前記共通デバイス特性の結果として生成された前記複数のデータフラグメントの第2の集合を特定する様に構成され、
前記データ分析モジュールは、異常なデバイスのアクティビティを個々のデバイスで検出するため、前記データ選択モジュールにより特定された前記複数のデータフラグメントの前記第2の集合を分析する様に構成される、監視装置。
【請求項10】
デバイス監視システムであって、請求項1から9のいずれか1項に記載の監視装置と、
前記監視装置と通信可能な複数の通信可能デバイスと、
を備えているデバイス監視システム。
【請求項11】
請求項10に記載のデバイス監視システムであって、前記複数のデバイスは、アプリケーションレイヤを含むプロトコルスタックをサポートするデバイス処理リソースを含むデバイスを有し、
前記デバイス処理リソースは、前記アプリケーションレイヤとは独立して動作する監視モジュールもサポートする、デバイス監視システム。
【請求項12】
請求項10又は11に記載のデバイス監視システムであって、前記複数の通信可能デバイスのグループに関連付けられるコントロールエンティティをさらに備えている、デバイス監視システム。
【請求項13】
請求項12に記載のデバイス監視システムが請求項10を介して又は請求項10及び11を介して請求項6又は7に従属する場合におけるデバイス監視システムであって、前記監視装置は、前記コントロールエンティティに前記警報を通信する様に構成される、デバイス監視システム。
【請求項14】
請求項10から13のいずれか1項に記載のデバイス監視システムであって、前記複数のデバイスは、前記複数のデータフラグメントを前記監視装置に通信する様に構成される、デバイス監視システム。
【請求項15】
請求項11に記載のデバイス監視システムであって、前記デバイス処理リソースは、前記処理リソースによりサポートされるサンドボックス内で前記監視モジュールを実行する様に構成される、デバイス監視システム。
【請求項16】
請求項11又は15に記載のデバイス監視システムであって、前記監視モジュールは、複数の前記複数のデータフラグメントを通信する様に構成され、複数の前記複数のデータフラグメントは、前記デバイスと一意に関連付けられた識別子を含む、デバイス監視システム。
【請求項17】
請求項10から16のいずれか1項に記載のデバイス監視システムであって、前記監視装置は、デバイス監視加入サービスの部分として、監視される前記複数のデバイスのデバイスを特定する、監視されるデバイスの登録部を有する、デバイス監視システム。
【請求項18】
請求項12に記載のデバイス監視システムであって、前記データ選択モジュールは、前記デバイスの前記識別子を参照することにより、デバイスの前記グループを判定する様に構成される、デバイス監視システム。
【請求項19】
請求項16に記載のデバイス監視システムであって、前記監視モジュールにより通信される前記観察データの特徴は工場設定である、デバイス監視システム。
【請求項20】
請求項10から19のいずれか1項に記載のデバイス監視システムを含む、インターネットオブシングス。
【請求項21】
複数のネットワーク化されたデバイスを監視する方法であって、前記複数のデバイスから複数のデータフラグメントを受信することであって、前記複数のデータフラグメントは、それぞれ、個別のデバイス識別子と、関連付けられた観察データとを、含む、前記受信することと、
共通デバイス特性を特定し、前記共通デバイス特性の結果として生成される前記複数のデータフラグメントの第1の集合を特定するため、前記複数のデータフラグメントの前記個別の識別子と、前記関連付けられた観察データと、を読むことと、
予め定義された、期待される動作パラメータに対して異常なデバイスのアクティビティを個々のデバイスで検出するために、特定された前記複数のデータフラグメントの前記第1の集合を分析することと、を含む、方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、例えば、受信データを分析するデータ分析モジュールを含むタイプの装置に関する。本発明は、例えば、監視対象の複数のネットワーク化された通信可能デバイスを含むタイプのデバイス監視システムにも関する。本発明は、複数のネットワーク化されたデバイスを監視する方法にも関し、方法は、例えば、複数のネットワーク化された通信可能デバイスから受信されるデータを監視するタイプである。
【背景技術】
【0002】
インターネットオブシングス(IoT)システムは、典型的には、多数の個別の小さな、例えば、バッテリで給電されるデバイス及び中央ユニットを含んでいる。デバイスは、例えば、無線チャネルである通信チャネルを介して中央ユニットに接続される。多くの場合、無線チャネルは、例えば、ロングタームエボリューション(LTE)、3G又はIEE802.11通信システムといった、標準化された通信システムを使用する。これは、デバイスの中央ユニットからの距離をかなりのものにできることを意味する。例えば、クラウドサービスを介して接続することも可能であるため、距離は、無線チャネルの範囲のみにより制限されない。結果、例えば、デバイス改ざんが生じたかを、サイト検査といった、視覚により判定することは常に可能ではない。よって、IoTデバイスのセキュリティは危機的である。よって、遠隔監視が望まれる。
【0003】
製造の観点から、デバイスは、デバイスがデザインされた目的のパフォーマンスを可能にするソフトウェアをプリロードされた工場からの出荷の段階で、その目的に沿ったものとみなされ、試験の間に電源投入されると、デバイスは意図された通りに動作を開始する。しかしながら、目的に沿ったとのこの定義は、セキュリティの考慮、例えば、オンサイトでの直接的な改ざんにより侵害される、上述した遠隔デバイスの脆弱性を考慮していない。また、多くの場合、複数のデバイスは、少なくとも部分的に似ており、しばしば、同じ製造者により製造される。結果、デザインが似ていることにより、あるデバイスに対する成功した攻撃は、同じ脆弱性を共有する他の総てのデバイスが攻撃対象になり得ることを暗示する。よって、侵害されたデバイスの製造者の多くのカスタマは、危険にさらされ得る。
【0004】
これらの脆弱性を利用する様々な技術が存在する。この点、異なるネットワークは、異なるセキュリティ対策と、異なる厳格さの程度を適用する。その様なセキュリティ対策の差の結果、1つのネットワーク又はエンド間のコネクションに関連付けられたデバイスのグループの元になるハードウェア要素の脆弱性と、他のネットワーク又はエンド間のコネクションのデバイスにより使用される同じハードウェア要素との間の相関性は、予期され得ない。同様に、元になるハードウェア要素は、広く配置された多くの異なるデバイスに組み込まれ、あるデバイスの所有者又は製造者に知られた脆弱性は、同じ元になるハードウェア要素を使用する他のデバイスの所有者又は製造者には知られていないかもしれない。さらに、セキュリティ対策は、あるネットワーク或いはサードパーティの中央ユニットにより実現され、よって、ネットワークで実現されるセキュリティ対策に利用可能なデータは、アプリケーションレベルのみで利用可能な、高いレベルの測定データである。アプリケーションレイヤで取得されたデータを使用して認識されるある種のアクティビティは、実際、アクティビティが異常であるときに、通常のアクティビティに見え、例えば、侵害され、ディードス(DDoS)攻撃に参加しているカメラデバイスの様に、アクティビティの異常の本質は、より低いレベルでのデータの分析によりのみ検出できる。
【発明の概要】
【発明が解決しようとする課題】
【0005】
IoTシステムの脆弱性は、しばしば、中央ユニットとデバイスとの間のトラフィックを監視することにより、或いは、デバイス内で局所的に監視することにより検出でき、その情報は、検出した脅威を中央ユニットにアドバイスするために使用され得る。例えば、米国特許8,676,149は、デバイス内のトラフィックデータに基づき異常を検出し、中央ユニットに総ての異常を報告するデバイスに関する。"Anomaly Detection in Cellular Machine-to-Machine Communications"(Murynets et al.,2013IEEE International Conference on Communications,ICCC 20132013)は、マシン-トゥ-マシン(M2M)トラフィックを分析し、多数のデバイスのトラフィックデータからデバイスのグループ及び/又は単一デバイス内の異常を検出する研究結果を開示している。研究は、ネットワークのM2Mデバイスのトラフィックデータに基づきオフラインで行われている。しかしながら、これら公知技術を使用してアプリケーションレベルで侵害されたデバイスを、常に容易に特定すること、特にリアルタイムでは、特定することができない。
【課題を解決するための手段】
【0006】
本発明の第1態様によると、通信可能デバイスのネットワークのための監視装置が提供され、監視装置は、データ選択モジュールとデータ分析モジュールとをサポートする様に構成された処理リソースと、処理リソースと動作可能に結合され、複数のデータフラグメントを受信する様に構成された通信インタフェースと、を備え、複数のデータフラグメントは、それぞれ、個別のデバイス識別子と、関連付けられた観察データと、を有し、複数のデータフラグメントは、それぞれ、複数の一意なデバイス識別子を有し、データ選択モジュールは、複数のデータフラグメントの個別の識別子と関連付けられた観察データと、を読み、共通デバイス特性の結果として生成された複数のデータフラグメントの集合を特定する様に構成され、データ分析モジュールは、予め定義された、期待される動作パラメータに対して異常なデバイスのアクティビティを検出するため、データ選択モジュールにより特定された複数のデータフラグメントの集合を分析する様に構成される。
【0007】
共通デバイス特性は、デバイスの振る舞いに関し得る。共通デバイス特性は、デバイスの物理パラメータであり得る。
【0008】
デバイスの物理パラメータは、周辺デバイスで検出可能であり得る。
【0009】
周辺デバイスは、処理リソースとは別の測定デバイスであり得る。周辺デバイスは、温度センサであり得る。周辺デバイスは、GNSS受信機であり得る。
【0010】
共通デバイス特性は、デバイスのアプリケーションの実行で生じる測定可能なパラメータであり得る。
【0011】
処理リソースは、予期されないデバイス動作を示す、異常なデバイスのアクティビティの検出に応答して、警報を生成する様に構成され得る。
【0012】
処理リソースは、警報の生成に応答してデバイス更新のための通信を開始する様に構成され得る。更新は、ファームウェア更新であり得る。
【0013】
データ選択モジュールは、複数のデータフラグメントの集合の別の共通デバイス特性を特定する様に構成され、データ分析モジュールは、異常なデバイスのアクティビティの共通デバイス特性を使用する検出の信頼性を高めるため、別の共通デバイス特性に対してデータ選択モジュールにより特定された複数のデータフラグメントの集合を分析する様に構成され得る。
【0014】
データ選択モジュールは、共通デバイス特性の結果として生成された複数のデータフラグメントの別の集合を特定する様に構成され、データ分析モジュールは、異常なデバイスのアクティビティを検出するため、データ選択モジュールにより特定された複数のデータフラグメントの別の集合を分析する様に構成され得る。
【0015】
受信した複数のデータフラグメントのデータフラグメントは、暗号化され得る。データフラグメントは、圧縮データとして受信され得る。実際、データフラグメントは、任意の適切な帯域最適化技術を使用して通信され得る。この点、データフラグメントは、データ差分、データの変化を特定するデルタを表現し得る。
【0016】
本発明の第2態様によると、本発明の第1態様に関する監視装置と、監視装置と通信可能な複数の通信可能デバイスとを含む、デバイス監視システムが提供される。
【0017】
複数のデバイスは、アプリケーションレイヤを含むプロトコルスタックをサポートするデバイス処理リソースを含むデバイスを有し、デバイス処理リソースは、アプリケーションレイヤとは独立して動作する監視モジュールもサポートし得る。
【0018】
システムは、複数の通信可能デバイスのグループに関連付けられるコントロールエンティティをさらに備え得る。
【0019】
監視装置は、コントロールエンティティに警報を通信する様に構成され得る。
【0020】
複数のデバイスは、複数のデータフラグメントを監視装置に通信する様に構成され得る。
【0021】
デバイス処理リソースは、処理リソースによりサポートされるサンドボックスにおいて監視モジュールを実行する様に構成され得る。
【0022】
監視モジュールは、複数のデータフラグメントを通信する様に構成され、複数のデータフラグメントは、デバイスと一意に関連付けられた識別子を含み得る。
【0023】
監視装置は、デバイス監視加入サービスの部分として、監視される複数のデバイスのデバイスを特定する、監視されるデバイスの登録部を有し得る。
【0024】
データ選択モジュールは、デバイスの識別子を参照することでデバイスのグループを判定する様に構成され得る。
【0025】
監視モジュールにより通信される観察データの特徴は、工場設定であり得る。
【0026】
本発明の第3態様によると、本発明の第2態様に関するデバイス監視システムを含む、インターネットオブシングスが提供される。
【0027】
本発明の第4態様によると、複数のデバイスから複数のデータフラグメントを受信することであって、複数のデータフラグメントは、それぞれ、個別のデバイス識別子と、関連付けられた観察データとを、含む、受信することと、共通デバイス特性の結果として生成された複数のデータフラグメントの集合を特定するため、複数のデータフラグメントの個別の識別子と関連付けられた観察データと、を読むことと、異常なデバイスのアクティビティを検出するために、特定された複数のデータフラグメントの集合を分析することと、を含む、複数のネットワーク化されたデバイスを監視する方法が提供される。
【0028】
この様に、振る舞いの異常を検出するためにデバイスのグループ化をサポートする装置、システム及び方法を提供することができる。アプリケーションデザインとは独立し、例えば、プロトコルスタックのアプリケーションレイヤといったアプリケーション、或いは、デバイスとの通信の終端点のエンティティに見える、より下のシステムレベルでデバイスを監視することにより、通常のエンドユーザの測定技術では検出できない、例えば、デバイスの目的とする動作に直接、或いは、即座のインパクトを持たないが、他のシステムを傷づける原因となる振る舞いを検出することできる。よって、デバイスは、弱点を発見するために提示される無効なコマンドの突然の増加の様な攻撃が生じているのを監視するのみならず、デバイスの自由なグループ化により、その様な検出結果をデバイスの所有者に見せることを可能にし、よって、同じ攻撃が生じる前に、潜在的な脆弱性を所有者は見ることができる。同様にデバイスの自由なグループ化は、単一デバイスの不正確な振る舞いを見つけるのに必要な通常の経過時間の減少を可能にする。実際のハッキングの試みのリアルタイム検出は、より速い応答も可能にし得る。さらに、デバイスの第1グループでの潜在的な異常アクティビティの検出が、アクティビティが異常であるか否かについて決定的ではない場合、第1グループのデバイスに関して認識できたものより多くの振る舞いの例があるかを判定するため、第1グループのデバイスと関連するハードウェア特徴を共有するデバイスの第2グループに関して検出されたアクティビティとクロスチェックでき、異常なアクティビティの確認を得ることができる。
【0029】
本発明の少なくとも1つの実施形態について、添付の図面を参照し、例示目的で説明を行う。
【図面の簡単な説明】
【0030】
【図1】本発明の実施形態を構成するデバイス監視システムの構成図。
【発明を実施するための形態】
【0031】
以下の説明において、同一の参照符号は、同様の部分を特定するために使用される。
【0032】
図1を参照すると、デバイス監視システム100が、第1IoTネットワーク102と、第2IoTネットワーク104と、を監視するために設けられている。第1IoTネットワーク102は、第1グループ又は複数の第1通信可能デバイス106を有し、第2IoTネットワーク104は、第2グループ又は複数の第2通信可能デバイス108を有する。複数の第1通信可能デバイス106及び複数の第2通信可能デバイス108の各デバイス109は、一意の識別子(ID)が、例えば、製造時に割り当てられた通信モジュール111を備えている。複数の第1通信可能デバイス106及び複数の第2通信可能デバイス108のデバイスは、それぞれ、例えば、ウェブカム、GNSSトラッキングユニット、車載型、HVACシステム及び/又はスマートメータといった、第1IoTネットワーク102及び第2IoTネットワーク104と適合可能な任意の望まれるタイプであり得る。通信モジュール111は、デバイス109との通信を可能にする任意の適切なモジュールである。あるデバイスについて、通信モジュール111の製造者は、デバイス109の製造者とは異なり、区別され得ることを理解すべきである。この点、通信モジュール111の製造者は、デバイス109の製造者へのサプライヤであり得る。さらに、デバイス109の所有者、保持者及び/又はユーザは、通信モジュール111及び/又はデバイス109の製造者とは異なり、区別され得る。
【0033】
第1IoTネットワーク102は、第1コントロールエンティティ110を有し、第2IoTネットワーク104は、第2コントロールエンティティ112を有している。第1コントロールエンティティ110及び第2コントロールエンティティ112は、第1IoTネットワーク102及び第2IoTネットワーク104の動作又は動作の態様を、管理又は監視する任意の技術的なリソースである。第1コントロールエンティティ110及び第2コントロールエンティティ112の正確な役割は、IoTネットワーク102、104それぞれの目的に依存する。例えば、IoTネットワークは、資産トラッキングデバイスのネットワーク、資産を監視するために使用されるカメラデバイスの監視ネットワーク、複数のカスタマを有し、複数のカスタマの幾つかのものが通信可能デバイスを所有するインターネットサービスプロバイダ(ISP)又はインフラストラクチャプロバイダのネットワークであり得る。典型的には、コントロールエンティティは、例えば、サーバといった、通信可能コンピューティング装置を使用して実現される。この点、コントロールエンティティ110、112は、所定のコントロールエンティティと関連付けられるネットワークを所有又は管理するエンティティのサーバであり、例えば、サーバは、デバイス109からデータを集め、及び/又は、データ管理機能をサポートし、例えば、ある種の振る舞い又は機能の遠隔制御を行う。
【0034】
例えば、インターネット114といった、ワイドエリアネットワーク(WAN)が提供され、複数の第1の通信可能デバイス106は、インターネット114を介して第1コントロールエンティティ110と通信可能である。複数の第2の通信可能デバイス108も、インターネット114を介して第2コントロールエンティティ112と通信可能である。
【0035】
監視装置116は、複数の第1の通信可能デバイス106、複数の第2の通信可能デバイス108、第1コントロールエンティティ110及び/又は第2コントロールエンティティ112とインターネット114を介して通信可能である。
【0036】
複数の第2の通信可能デバイス108は、通信可能デバイス118のサブセットを有する。この例において、通信可能デバイス118のサブセット及び複数の第1の通信可能デバイス106は、例えば、同じ製造者により製造された通信モジュール111を使用して実現されている。
【0037】
図2によると、この例において、監視装置116は、サーバとして実現され、処理リソース200を有し、処理リソース200は、本例ではプロセッサである。処理リソース200は、例えば、RAM202といった揮発性メモリと、例えば、デジタルメモリ204といった不揮発性メモリと動作可能に結合される。処理リソース200は、キーボード206及びディスプレイ208にも結合される。例えば、ハードディスクドライブ又はソリッドステートドライブ(SSD)といった格納デバイス210も、プロセッサ200と動作可能に結合され、デバイスデータ212のデータベースを有する。上述した個別のデータベース又はデータベースの部分として、その詳細については後述する加入データが格納デバイス210に格納され得る。当業者は、上述した監視装置116の構造が、他の要素を含むことを理解するが、その様な追加の要素は、本例の理解には必要なく、記述の簡略化及び明確化を維持するため、その詳細については記載しない。
【0038】
この例において、デバイスデータ212のデータベースは、各デバイスのデバイスタイプ及び識別子を含むデバイス登録データを格納している。デバイスデータ212のデータベースは、登録された識別子に関連付けられる、振る舞い及び/又は物理パラメータを含み得る予め決められた期待される動作パラメータを有する技術仕様データも格納する。例えば、振る舞いは、デバイス109により行われる動作の頻度、生成される出力の様な、実行される機能を含み得る。物理パラメータは、例えば、デバイスの処理リソースの通常の動作温度、又は、例えばデータレートといった物理的な特性又はパフォーマンスといった、デバイス109の1つ以上の物理的な要素の物理的な特性を含み得る。
【0039】
通信可能デバイスが存在するIoTネットワークに応じて、デバイスは、第1コントロールエンティティ110又は第2コントロールエンティティ112に登録される。代わりに、製造者は、監視装置116に1つ以上の通信可能デバイスを登録できる。製造者は、デバイス109の製造者、通信モジュール111の製造者、又は、監視されるデバイスに関連付けられた振る舞いを監視することに興味がある任意の他のエンティティであり得る。その様なエンティティは、加入者であると考えられ得る。(デバイス109又は通信モジュール111の)製造者が、監視サービスへの加入を望む場合、製造者は、幾つかの製品を製造することに責任を負い、製造者は、監視装置116に複数の通信可能デバイスのみを登録するために選択でき、通信可能デバイスの異なるモデルが、共通の態様又は特徴を共有することを理解すべきである。
【0040】
この例において、処理リソース200は、データ選択モジュール214と、データ分析モジュール216とをサポートしている。データ選択モジュール214は、監視装置116の通信インタフェース218及び格納デバイス210と動作可能に結合される。データ選択モジュール214は、データ分析モジュール216とも通信可能であり、データ分析モジュール216は、監視装置116の通信インタフェース218及び格納デバイス210と動作可能に結合される。
【0041】
図3によると、デバイス109は、部分的にプロトコルスタック302、304、306、308をサポートするデバイス処理リソース300を有する。本例において、プロトコルスタックは、アプリケーション環境レイヤ304と通信可能なアプリケーションレイヤ302を含み、アプリケーション環境レイヤ304は、プロトコルスタックのモデムレイヤ306と通信可能である。プロトコルスタックは、モデムレイヤ306と通信可能なハードウェア及びドライバレイヤ308も含む。モデムレイヤ306、ハードウェア及びドライバレイヤ308は、インターネット114、本例では、監視装置116と通信するために使用される。通信モジュール111は、例えば、モデムレイヤ306、ハードウェア及びドライバレイヤ308の一部及び監視モジュール310といった、プロトコルスタックの一部又は全部をサポートする。
【0042】
アプリケーションレイヤ302は、デバイスの所有者がデバイス109にインストールした、デバイス109の総てのアプリケーション及び機能をホストするサービスを提供する。アプリケーションレイヤ302は、デバイス109の基本動作に関する、デバイス109の製造者により提供されるアプリケーションも含み得る。
【0043】
アプリケーション環境レイヤ304は、例えば、デバイス109のオペレーティングシステム及びアプリケーションプログラミングインタフェース(API)を有する。モデムレイヤ306は、デバイス109がデータ送信に使用する、例えば、LTE通信規格に従うといった通信技術に応じて、高次レイヤから受信し、送信されるデータを必要なフォーマットにするサービスと、低次レイヤから受信し、高次レイヤに渡すデータを必要なフォーマットにするサービスとを、提供する。
【0044】
ハードウェア及びドライバレイヤ308は、例えば、無線周波数(RF)送信ステージ及びアンテナといった、モデムレイヤ306からの要求されるフォーマットのデータの送信に必要なハードウェアを含む。
【0045】
点線312は、プロトコルスタックの境界を示し、この例において、その下は、通信モジュール111の製造者はアクセスを有するが、デバイス109の所有者(或いは、コントロールエンティティ110、112の様な他のエンティティ)はアクセスを有さない。
【0046】
監視モジュール310は、アプリケーションレイヤ302、つまり、点線312の下で、監視ソフトウェア314を実行する様に構成され、監視モジュール310により集められたデータを、監視装置116に転送するためのアドレス情報316を有する。監視モジュール310は、例えば、アプリケーション環境レイヤ304により提供されるサンドボックス内で実行する様に構成され、或いは、アプリケーション環境レイヤ304によりサポートされる個別タスクとして実行する様に構成され得る。アドレス情報は、IPアドレス又は任意の他のタイプのアドレスであり得る。外部デバイス318は、例えば、周辺モジュール又はユニットであり、監視モジュール310及びハードウェア及びドライバレイヤ308と動作可能に結合される。本例において、外部デバイス318は、デバイス109の外部にあるとして描かれているが、デバイス109の構成によっては、外部デバイス318は、デバイスの一部分として製造され得ることを理解すべきである。この点、外部デバイス318の相対位置は、例えば、プロトコルスタック302、304、306、308をサポートするために使用される電子回路に関する、つまり、外部デバイス318は、プロトコルスタック302、304、306、308をサポートするハードウェアとは機能的に独立し、デバイス109のハウジング(図示せず)内、或いは、ハウジング外に配置できる。実際、"外部"デバイス318は、プロトコルスタック302、304、306、308をサポートするのと同じ集積回路の部分とすることができる。この外部デバイス318は、この例では、温度センサ又はGSNN受信機であり、データをデバイス109及びそのアプリケーションに提供する。外部デバイス318は、監視モジュール310とのコネクションにより監視ソフトウェア314にもデータを提供できる。本例において、外部デバイス318は、ハードウェア及びドライバレイヤ308に接続されているが、当業者は、必要に応じて、プロトコルスタックの他のレイヤに直接提供できることを理解する。外部デバイス318と動作可能に結合されることに加えて、監視モジュール310は、アプリケーション環境レイヤ304、モデムレイヤ306及びハードウェア及びドライバレイヤ308にも動作可能に結合される。監視モジュール310は、デバイス109内から生じる、内部データ資産として参照されるデータ資産を受信でき、さらに、デバイス109の外部の1つ以上のソース、例えば、外部デバイス318から、外部データ資産として参照されるデータ資産を受信できる。データ資産は、観察データを構成する。データ資産は、遠隔位置、つまり、監視装置116で、異常なデバイスのアクティビティを検出するために使用される。異常なデバイスのアクティビティは、デバイスの振る舞い及び/又はデバイスの物理的パラメータ、例えば、温度(デバイスを侵害するため、デバイスを熱する攻撃がしばしば行われる)に関し得る。異常なデバイスのアクティビティは、異常な送信を含み得る。異常なデバイスのアクティビティは、例えば、攻撃された或いは障害となったデバイス109の結果として、アプリケーションレイヤ302で実行されるコードから生じ得る。
【0047】
動作中(図4)、監視モジュール310の監視ソフトウェア304は、監視モジュール310への入力、つまり、監視モジュール310のプロトコルスタックへの結合と、外部デバイス318への結合とにより、上述した内部及び/又は外部データ資産を監視(ステップ400)する様に構成される。この点、データのその様な獲得は、アプリケーション環境レイヤ304、モデムレイヤ306及び/又はハードウェア及びドライバレイヤ308において、専用のアプリケーションプログラミングインタフェース(API)を呼び出すことにより達成され得る。代わりに、或いは、追加して、監視モジュール310は、データ資産を取得するため、アプリケーション環境レイヤ304、モデムレイヤ306及び/又はハードウェア及びドライバレイヤ308により呼び出され得る。その様な動作は、データ資産の本質に応じて、アクション/イベント駆動に基づき、或いは、時間に基づき得る。
【0048】
データ資産は、プロトコルスタックのアプリケーションレイヤ302の下から生じる。データ資産の例は、温度測定値、GNSS位置データ、基地局ハンドオフデータ、IMEIデータ、ウェイクアップ時刻、内部のダイの温度、アプリケーション環境メモリ利用量、中央処理ユニット(CPU)のアイドル時間、及び/又は、フラッシュメモリアクセスの利用率であるが、これらに限定されない。獲得されるデータ資産のタイプは、製造中に構成され得る。監視ソフトウェア314は、データ資産のいずれかが、デバイス109の製造者によって、製造時に予め定義された選択基準を満たしているかを判定するために、受信したデータ資産を分析(ステップ402)する。受信したデータ資産が、監視装置116に報告することが必要である種類と判定されると、監視ソフトウェア314は、データ資産をデバイス109の一意な識別子及び監視モジュール300に格納されたアドレス情報316でパッケージ化(ステップ404)する。パッケージ化処理は、データ資産、識別子及び/又はアドレス情報の暗号化を含み得る。同様に、必要に応じてデータ圧縮や、任意の他の帯域最適化技術、例えば、通信データ差分又はデルタが適用され得る。パッケージ化されたデータ資産は、プロトコルスタックのより低いレベル、つまり、点線312の下での処理のため、アプリケーション環境レイヤ304に通信される。代わりに、報告できるデータ資産が現在受信されていないと、監視ソフトウェア314は、監視装置116に報告することが必要ないずれかのデータ資産を特定するために、データ資産の監視を続ける。アプリケーション環境レイヤ304により受信されたパッケージ化されたデータ資産は、プロトコルスタックのデザインに応じてプロトコルスタックにより処理され、プロトコルスタックのハードウェア及びドライバレイヤ308を介して送信される(ステップ406)。
【0049】
第1IoTネットワーク102及び第2IoTネットワーク104のそれぞれは、複数の第1通信可能デバイス106及び複数の第2通信可能デバイス108を有し、複数の通信可能デバイスが、デバイス監視加入サービスに加入し、それぞれが、データフラグメントを監視装置116に通信することを理解すべきである。監視装置116は、よって、複数のデータフラグメントを受信する。
【0050】
図5によると、データ選択モジュール214は、通信インタフェース218を介して上述した複数のデータフラグメントを受信する(ステップ500)。データ選択モジュール214は、その後、データフラグメントに含まれる識別子と、デバイスデータ212のデータベースを参照して、共通のデバイス特性を共有するデバイスから生じた1つ以上のデータフラグメントのグループを特定する(ステップ502)ことを試みる。この点、デバイスデータ212のデータベースに格納された技術仕様データは、共通デバイス特性を特定するために、データ選択モジュール214により、例えば、データフラグメントに含まれる識別子を参照してアクセスされる。共通デバイス特性は、この例では、ウェイクアップ機能である。例えば、ウェイクアップ機能も有するスマートメータといった、あるクラスのデバイスから生じるデータフラグメントは、データフラグメントのグループとして選択される。ここで、2以上の共通デバイス特性がありえ、この例で、別の共通デバイス特性は、データフラグメント選択の基準として使用され得る。1つ以上の共通デバイス特性を共有する複数のデータフラグメントが特定されると、データ選択モジュール214は、第1IoTネットワーク102及び/又は第2IoTネットワーク104の通信可能デバイスの任意の異常な振る舞いを特定し(ステップ504)、データフラグメントのグループを分析するために、データ分析モジュール216にデータフラグメントのグループを通信する。つまり、データフラグメントをグループ化するアプローチは、ネットワークには不可知である。ウェイクアップ機能を有するクラスのデバイスの場合、ウェイクアップの通常周期は、例えば、2時間であり得る。データ分析モジュール216は、通常の周期を判定するためにデバイスデータ212のデータベースにアクセスする。しかしながら、他の実施形態において、その様な技術仕様データは、デバイス109の監視装置116への登録の間に設定され得る。この情報は、複数のデータフラグメントが、通常の動作パラメータ内である周期においてウェイクアップが実行されていることの報告を構成しているかを判定するために、データ分析モジュール216により使用される。例えば、データフラグメントのグループから取得されたデータ資産が、ウェイクアップ周期が通常の動作周期に従わないこと、例えば、時間期間が2時間毎より大変短いことを示していると、これは、データ分析モジュール216により異常な振る舞いとみなされる。この点、データフラグメントのグループのデータ資産の統計的な分析は、データフラグメントを生成する統計的に多くの数のデバイスが、期待される動作パラメータに従って動作していないかを判定するために、実行され得る。ここで、統計的に多くの数のデバイスが、異常な動作をしていることが発見されると、これは、デバイスが侵害されたことを示している。追加して、或いは、代わりに、少数のデバイスが、通常の動作パラメータに従って動作していないと判定されると、1つ以上のデバイスの故障を示している。幾つかの例において、1つ以上の追加の共通デバイス特性が、異常なデバイスのアクティビティの共通デバイス特性を使用した検出の信頼性を増加させるためにデータ分析モジュール216により分析され得る。幾つかの例において、共通デバイス特性は、データフラグメントの2以上グループであって、各グループそれぞれが異常な振る舞いをするグループを特定するために使用され得る。この点、各グループは、共通の特徴、例えば、通信モジュール111の様な、元になるハードウェア要素を共有し、各グループのデータフラグメントは、別の共通のグループにも適合する。よって、共通グループのデータフラグメントの分析は、両方のグループ、よって、例えば、スマートメータ及びスマートストリートライトの様な異なるクラスのデバイスにより示される異常な振る舞いを明らかにし、よって、データフラグメントの個別のグループからのデータフラグメントを独立して分析することでは必ずしも検出できない異常の振る舞いを明らかにすることができる。
【0051】
幾つかの例において、データフラグメントのグループを分析するためにデータ分析モジュール216が使用する基準は、構成可能である。この点、例えば、基準は、コントロールエンティティ110、112の1つ、或いは、例えば、技術仕様データに関して一方的な監視装置116の様な任意の他の適切なエンティティにより設定され得る。その様な例において、調整要求が、適切なエンティティから監視装置116に通信され得る。一例として、基準の調整は、受け入れることができない多くの数の偽アラームを伝え得るデバイス109に関連付けられた環境状態の結果であり得る。例えば、暖かい気候又は室内での使用の結果として、多数のデバイス109が、高い大気温度の環境にあると、例えば、それを超えると、一般的に、異常なアクティビティを示す温度パラメータは、大気温度を考慮して増加できる。追加して、或いは、代わりに、ある基準に関してのデータフラグメントのグループの分析が、受ける入れることができない多数の偽のアラームの結果になると、例えば、閾値を含む基準は、多数の偽アラームを減少するために調整され得る。これは、多数の偽のアラームが、受ける入れることができないくらい高い理由の場合のみ必要であり、例えば、環境の理由を特定することはできない。
【0052】
デバイスの1つ以上が加入デバイスである場合、データ分析モジュール216は、データベース212に格納された加入データを参照して判定し、データ分析モジュール216は、異常なデバイスの振る舞いの検出に対して、予期しない方法で動作する1つ以上のデバイスを示す警報を生成することにより応答する。警報は、監視装置116にデバイス109を登録したエンティティ、例えば、異常な動作を示すデバイスの製造者、デバイス109の実際の所有者、通信モジュール111の製造者及び/又はデバイスに関連付けられた制御エンティティの様なサービスの加入者、に通信される(ステップ506)。
【0053】
送信された警報への応答は、警報の受信者のポリシーに依存し得る。例えば、ある製造者は、さらに異常な振る舞いを調査し、例えば、ファームウェアオーバザエアー(FOTA)更新の様なソフトウェア更新といった、デバイス更新を1つ以上のデバイスに送信する必要があるかを判定できる。
【0054】
本発明の特定の例を述べたが、当業者は、多くの等価な修正、バリエーションが可能であることを理解する。 例えば、上記例は、通信可能デバイスのウェイクアップの振る舞いを監視する文脈で述べたが、例えば、有効ではないATコマンドのデバイスへの殺到を監視するといった、他のアクティビティを異常な振る舞いの検出の基礎とすることができる。
【0055】
上記例を、IoTネットワークの文脈で説明したが、当業者は、本例を他の通信可能デバイスのネットワークに適用できることを理解する。
【0056】
上記例は、分析が通信モジュール111により実行される文脈で説明したが、ここで記載した監視モジュール310をサポートするデバイス109のデバイス処理リソースが、例えば、通信モジュール111の部品又は要素、或いは、それらにネストされた、デバイス109の深部において監視目的の処理を行うこともできる。その様な環境において、深い要素によりサポートされた監視モジュール310は、プロトコルスタックの点線312の下で生じるアクティビティにアクセスを有する。この点、一例として、監視モジュール310は、加入者識別モジュール(SIM)のプロセッサによりサポートされ、SIMは、上述したデバイス処理リソースの一部を構成する。
【0057】
よって、上述した本発明の例示的な実施形態は、説明目的であり、制限するものとはみなされない。上述した実施形態の種々の変更が、本発明の精神及び範囲を逸脱することなく行われ得る。
【0058】
上記実施形態の装置及び方法は、上述した構造的な部品及びユーザとの相互作用に加えて、コンピュータシステム(特に、コンピュータハードウェア又はコンピュータソフトウェア)、或いは、特別に製造された或いは適合された集積回路で実現され得る。
【0059】
上述した実施形態の方法は、コンピュータプログラム、或いは、コンピュータプログラムを担持するコンピュータ可読記憶媒体として提供することができ、コンピュータプログラムは、コンピュータ又は他のプロセッサで実行されると、上述した方法を実行させる様に構成される。
【0060】
用語"コンピュータ可読記憶媒体"は、制限なく、コンピュータ又はコンピュータシステムにより直接的にアクセスされ、読み込まれる任意のメディアを含む。媒体は、フロッピィディスク、ハードディスク格納媒体、磁気テープの様な磁気格納媒体、光ディスク又はCD-ROMの様な光格納媒体、RAM、ROM及びフラッシュメモリを含むメモリの様な電気格納媒体、磁気/光格納媒体の様な上述した媒体のハイブリッド及び組み合わせを含み得るが、それらに限定されない。
【図1】
【図2】
【図3】
【図4】
【図5】