▶ 沖電気工業株式会社の特許一覧 ▶ 公立大学法人大阪の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-11
(45)【発行日】2022-10-19
(54)【発明の名称】同定処理装置、同定処理プログラム及び同定処理方法
(51)【国際特許分類】
H04L 41/08 20220101AFI20221012BHJP
【FI】
H04L41/08
【請求項の数】
8
(21)【出願番号】P 2019024765
(22)【出願日】2019-02-14
(65)【公開番号】P2020136779
(43)【公開日】2020-08-31
【審査請求日】2021-10-07
(73)【特許権者】
【識別番号】000000295
【氏名又は名称】沖電気工業株式会社
(73)【特許権者】
【識別番号】519135633
【氏名又は名称】公立大学法人大阪
(74)【代理人】
【識別番号】100180275
【弁理士】
【氏名又は名称】吉田 倫太郎
(74)【代理人】
【識別番号】100161861
【弁理士】
【氏名又は名称】若林 裕介
(72)【発明者】
【氏名】中村 信之
(72)【発明者】
【氏名】阿多 信吾
(72)【発明者】
【氏名】河合 嘉輝
【審査官】宮島 郁美
(56)【参考文献】
【文献】特開2018-033106(JP,A)
【文献】米国特許出願公開第2016/0105364(US,A1)
【文献】特開2010-166142(JP,A)
【文献】IoT機器に特化したアノマリ型侵入検知システムの提案 Proposal of Anomaly Intrusion Detection System Specialized for IoT Devices,CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB],2018年12月31日,p.443-447
(58)【調査した分野】(Int.Cl.,DB名)
H04L12/00-13/18,41/00-69/40
(57)【特許請求の範囲】
【請求項1】
対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、
前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、
前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段と
を有することを特徴とする同定処理装置。
【請求項2】
前記機器同定処理手段は、前記対象機器について、前記ポートスキャン特徴量と前記トラフィック特徴量を統合した統合特徴量に基づいて同定処理を行うことを特徴とする請求項1に記載の同定処理装置。
【請求項3】
前記機器同定処理手段は、機械学習モデルを用いて、前記対象機器について、統合特徴量に基づいた同定処理を行うことを特徴とする請求項2に記載の同定処理装置。
【請求項4】
前記抽出手段では、前記抽出キーとして5tuplesを適用したことを特徴とする請求項1~3のいずれかに記載の同定処理装置。
【請求項5】
前記抽出手段では、前記抽出キーとして送信元アドレスと宛先アドレスの組み合わせを適用したことを特徴とする請求項1~3のいずれかに記載の同定処理装置。
【請求項6】
前記抽出手段では、前記抽出キーとして送信元アドレスを適用したことを特徴とする請求項1~3のいずれかに記載の同定処理装置。
【請求項7】
コンピュータを、対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、
前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、
前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、
前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段と
して機能させることを特徴とする同定処理プログラム。
【請求項8】
同定処理装置が行う同定処理方法において、抽出手段、トラフィック特徴量取得手段、ポートスキャン特徴量取得手段、及び機器同定処理手段を有し、
前記抽出手段は、対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得し、
前記トラフィック特徴量取得手段は、前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出し、
前記ポートスキャン特徴量取得手段は、前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得し、
前記機器同定処理手段は、前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う
ことを特徴とする同定処理方法。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、同定処理装置、同定処理プログラム及び同定処理方法に関し、例えば、インターネット等のネットワークに接続する機器を管理する際に、それらの機器の種類等を同定する処理に適用し得る。
【背景技術】
【0002】
従来、インターネット等のネットワーク上に接続する機器の監視や管理をする際、それらの機器の種類等を同定することが求められる場合がある。その際、監視や管理の対象となる機器(以下、「対象機器」と呼ぶ)を同定する従来手法として、対象機器が送受信するトラフィックデータを分析する手法があう(例えば、特許文献1~3参照)。
【0003】
特許文献1~3には、対象機器の発生するトラフィックからトラフィックの特徴量を統計的に算出し、その特徴量を機械学習器等に用いることにより、対象機器で利用しているアプリケーションや機器種別を判定することについて記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2012-175338号公報
【文献】特開2015-050473号公報
【文献】特開2018-33106号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、従来のトラフィック解析により対象機器等を同定する手法は、主としてPCやスマートホン等のトラフィックを大量に発生させる機器を対象としており、IoT(Internet of Things)機器等それほどトラフィックを大量に発生させない機器については同定し難いという問題があった。
【0006】
広くIoT機器等を対象として、ネットワークにどんなIoT機器が接続されており、正常な状態でいるのかどうかを判定することを考えると、例えば、ネットワークスイッチや、無線LANのアクセスポイント、ルータ、遠隔制御されない限り自動で動作するロボット等、ほとんどトラフィックを発生しないIoT機器にも対応する必要がある。これらのIoT機器はトラフィックをほとんど発生しないため、従来手法では利用アプリケーションの推定や機器の推定の対象外であるか、あるいは統計的に十分な特徴量とならないため、違うものと同定(認識)されてしまう結果(誤検知)となる可能性が高かった。
【0007】
そのため、発生するトラフィックの量が少ない対象機器(例えば、IoT機器)であっても、精度よく同定することができる同定処理装置、同定処理プログラム及び同定処理方法が望まれている。
【課題を解決するための手段】
【0008】
第1の本発明の同定処理装置は、(1)対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、(2)前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、(3)前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、(4)前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段とを有することを特徴とする。
【0009】
第2の本発明の同定処理プログラムは、コンピュータを、(1)対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得する抽出手段と、(2)前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出するトラフィック特徴量取得手段と、(3)前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得するポートスキャン特徴量取得手段と、(4)前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行う機器同定処理手段として機能させることを特徴とする。
【0010】
第3の本発明は、同定処理装置が行う同定処理方法において、(1)抽出手段、トラフィック特徴量取得手段、ポートスキャン特徴量取得手段、及び機器同定処理手段を有し、(2)前記抽出手段は、対象機器に係るトラフィックデータを所定の抽出キーに基づいて抽出した抽出トラフィックデータを取得し、(3)前記トラフィック特徴量取得手段は、前記抽出手段が抽出した分類データに基づいて、分割トラフィックデータごとのトラフィック特徴量を抽出し、(4)前記ポートスキャン特徴量取得手段は、前記対象機器に対するポートスキャン処理を行った結果に基づいて前記対象機器のポートスキャン特徴量を取得し、(5)前記機器同定処理手段は、前記ポートスキャン特徴量取得手段が取得したポートスキャン特徴量と、前記トラフィック特徴量取得手段が取得したトラフィック特徴量とに基づいて、前記対象機器の同定処理を行うことを特徴とする。
【発明の効果】
【0011】
発生するトラフィックの量が少ない対象機器であっても、精度よく同定することができる同定処理装置、同定処理プログラム及び同定処理方法を提供する。
【図面の簡単な説明】
【0012】
【図1】第1、第2の実施形態に係る各装置の接続構成、及び同定処理装置の機能的構成について示したブロック図である。
【図2】第1の実施形態に係る同定処理装置の動作について示したフローチャートである。
【図3】第1の実施形態に係るポートスキャン特徴量を構成する各項の例について示した説明図である。
【図4】第2の実施形態に係る同定処理装置の動作について示したフローチャートである。
【発明を実施するための形態】
【0013】
(A)第1の実施形態
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第1の実施形態を、図面を参照しながら詳述する。
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第1の実施形態を、図面を参照しながら詳述する。
【0014】
【0015】
同定処理装置10は、ネットワーク30に接続された対象機器20に関する同定処理を行う。ネットワーク30に接続には1台以上の任意のカズの対象機器20が接続されているものとする。ここでは、ネットワーク30には、M台(Mは1以上の整数)の対象機器20(20-1~20-M)が接続されているものとして以下の説明を行う。
【0016】
対象機器20は、ネットワーク30に接続可能なコンピュータ(例えば、PC、タブレット、スマートホン等)やIoT機器等である。
【0017】
次に、同定処理装置10の内部構成について説明する。
【0018】
図1に示すように、同定処理装置10は、機器推定対象入力部11、推定対象フロー抽出部12、特徴量生成部13、ポートスキャン部14、及び機器同定部15を有している。
【0019】
同定処理装置10は、一部又は全部をソフトウェアにより構成するようにしてもよい。例えば、同定処理装置10は、メモリ及びプロセッサを有するコンピュータにプログラム(実施形態に係る同定処理プログラムを含む)をインストールすることにより構成するようにしてもよい。
【0020】
機器推定対象入力部11は、同定処理の対象となるネットワーク上の範囲(対象機器20が接続されたネットワーク上の範囲)を示す情報(以下、「ネットワーク情報」と呼ぶ)の入力を受け付ける処理を行う。
【0021】
ネットワーク情報は、同定処理の対象となるネットワーク上の範囲(対象機器20が存在するネットワーク上の範囲)を示すことができれば、具体的な形式は限定されないものであり、例えば、ネットワークアドレスの一覧(例えば、「192.168.0.0/24、192.168.1.0/24、…」)や、IPアドレスの一覧(例えば、「192.168.0.1、192.168.0.2、…」)や、IPアドレスの範囲(例えば、「192.168.0.1~192.168.0.255」)としてもよい。ここでは、機器推定対象入力部11で入力を受け付けるネットワーク情報はネットワークアドレスの形式であるものとする。ここでは、例として、機器推定対象入力部11が受付けたネットワーク情報が、「192.168.0.0/24」という1つのネットワークアドレスを示す情報であったものとして説明する。「192.168.0.0/24」のうち、「/24」の部分はサブネットマスク長を示している。したがって、「192.168.0.0/24」のうち、「192.168.0」(上位24ビット分)がネットワーク部を示しており、ネットワーク部に続く「0」(下位8ビット分)がホスト部を示している。したがって、ネットワークアドレス「192.168.0.0/24」が示すIPアドレスの範囲は「192.168.0.1」~「192.168.0.254」となる。
【0022】
そして、ここでは、ネットワーク30は、ネットワークアドレスが「192.168.0.0/24」となるネットワークであるものとする。すなわち、対象機器20-1~20-MのIPアドレスは、それぞれ「192.168.0.1」~「192.168.0.254」のいずれかとなる。
【0023】
以下では、機器推定対象入力部11で入力を受け付けたネットワーク情報が示すIPアドレスを「対象アドレス」と呼ぶものとする。例えば、機器推定対象入力部11で入力を受け付けたネットワーク情報が、「192.168.0.0/24」という1つのネットワークアドレスの情報であった場合、当該ネットワーク情報が示す対象アドレスは、「192.168.0.1」~「192.168.0.254」となる。
【0024】
推定対象フロー抽出部12は、対象アドレスに関係するトラフィックデータ(例えば、いずれかの対象アドレスを送信元又は宛先とするパケット)を取得し、取得したトラフィックデータを、所定のキー(以下、「抽出キー」と呼ぶ)に基づき、抽出(分割)して、抽出キーごとのトラフィックデータ(以下、「抽出トラフィックデータ」と呼ぶ)を取得する処理を行う。推定対象フロー抽出部12は、取得した各抽出トラフィックデータを特徴量生成部13に供給する。推定対象フロー抽出部12で用いる抽出キーの構成について限定されないものである。この実施形態の例では、抽出キーとして、5tuples(送信元IPアドレス、送信元Port番号、宛先IPアドレス、宛先Port番号、及びプロトコル番号の組み合わせ)を適用するものとして説明する。抽出キーが5tuplesである場合、各抽出トラフィックデータは、5tuplesにより特定される1つのフローのトラフィックデータということになる。推定対象フロー抽出部12は、抽出した各抽出トラフィックデータに抽出キーの情報を付加して、特徴量生成部13に供給する。
【0025】
特徴量生成部13は、推定対象フロー抽出部12で抽出された抽出トラフィックデータを集計して、抽出キーごとの特徴量(以下、「トラフィック特徴量FT」と呼ぶ)を抽出する処理を行う。
【0026】
ポートスキャン部14は、対象アドレスごとにポートスキャン(例えば、所定のポートについて所定の手順でアクセスして得られた反応を記録する処理)を行い、対象アドレスごとにポートスキャンの結果を集計して特徴量化した情報(以下、「ポートスキャン特徴量FP」と呼ぶ)を抽出する。ポートスキャン部14は、例えば、ポートスキャンとして空きポートの情報や通信時に返答として得られたプロンプト等の情報を収集する処理を行う。
【0027】
機器同定部15は、特徴量生成部13から得られたトラフィック特徴量FTと、ポートスキャン部14から得られたポートスキャン特徴量FPとを統合した特徴量(以下、「統合特徴量FI」と呼ぶ)を取得し、対象アドレスごとに統合特徴量FIに基づき、当該対象アドレスに対応する機器を同定する処理を行う。
【0028】
機器同定部15が、対象機器20を同定する際の分類の仕方(カテゴリー)は限定されないものである。例えば、機器同定部15は、対象機器20を、機器(装置)の種類(例えば、クライアントPC、サーバ、ルータ、スイッチ、無線LANアクセスポイント、IoT機器等)で分類する同定処理を行うようにしてもよい。また、機器同定部15は、対象機器20について機器の種類を同定した上で、さらに細分化した分類で同定するようにしてもよい。例えば、機器同定部15は、ある対象機器20についてクライアントPCであると同定した場合、さらに、当該クライアントPCにインストールされているアプリケーションについても同定する処理を行うようにしてもよい。また、機器同定部15は、ある対象機器20についてIoT機器あると同定した場合、さらに、当該IoT機器のデバイスの種類(例えば、センサー、カメラ等のデバイスの種類)を同定するようにしてもよい。
【0029】
(A-2)第1の実施形態の動作
次に、以上のような構成を有する第1の実施形態における同定処理装置の動作(実施形態に係る同定処理方法)を説明する。
次に、以上のような構成を有する第1の実施形態における同定処理装置の動作(実施形態に係る同定処理方法)を説明する。
【0030】
まず、機器推定対象入力部11にネットワーク情報が入力されたものとする(S101)。機器推定対象入力部11にネットワーク情報されると、機器推定対象入力部11から推定対象フロー抽出部12とポートスキャン部14に当該ネットワーク情報が供給される。
【0031】
ここでは、ネットワーク情報として「192.168.0.0/24」という1つのネットワークアドレスが入力され、対象アドレスは192.168.0.1~192.168.0.254となったものとする。
【0032】
推定対象フロー抽出部12は、ネットワーク情報が供給されると、当該ネットワーク情報が示す対象アドレスごとにトラフィックデータを取得し、取得したトラフィックデータから抽出キーごとの抽出トラフィックデータを取得し、各抽出トラフィックデータを特徴量生成部13に供給する(S102)。
【0033】
推定対象フロー抽出部12は、対象アドレス(192.168.0.1~192.168.0.254)のそれぞれについて、トラフィックデータを取得する。推定対象フロー抽出部12が各対象アドレスについてトラフィックデータを取得する方法(例えば、各対象アドレスのトラフィックを監視してトラフィックデータを取得する方法)は限定されないものである。例えば、推定対象フロー抽出部12は、それぞれの対象アドレスで送受信されるトラフィックが通過するネットワーク装置(例えば、ルータ等)から、それぞれの対象アドレスで送受信されるトラフィックのデータ(例えば、送受信されるパケットそのものや、送受信されるパケットに基づく統計データ)を取得するようにしてもよい。そして、推定対象フロー抽出部12は、取得したトラフィックデータを抽出キーごとに分割して抽出トラフィックデータを取得する。
【0034】
次に、特徴量生成部13が、各抽出トラフィックデータを処理して、抽出キーごとのトラフィック特徴量FTを抽出する処理を行う(S103)。
【0035】
例えば、特徴量生成部13は、抽出キーごとに、抽出トラフィックデータを統計的に処理した値(集計した値)をトラフィック特徴量FTとして取得するようにしてもよい。この実施形態の例では、特徴量生成部13は、フローの開始から200パケットの間に得られたパケットサイズの四分位値や、パケット到着間隔の四分位値等の統計値(抽出トラフィックデータにより得られる統計値)をトラフィック特徴量FTとして生成するものとする。以下では、パケットサイズの四分位値(第一四分位値~第四四分位値)を、それぞれパケットサイズ25%値、パケットサイズ50%値PS2、パケットサイズ75%値、パケットサイズ100%値と呼ぶものとする。また、以下では、パケットサイズ25%値、パケットサイズ50%値、パケットサイズ75%値、パケットサイズ100%値を、それぞれPS1、PS2、PS3、PS4と表すものとする。さらに、以下では、パケット到着間隔の四分位値(第一四分位値~第四四分位値)を、それぞれ、パケット到着間隔25%値、パケット到着間隔50%値、パケット到着間隔75%値、パケット到着間隔100%値と呼ぶものとする。さらにまた、以下では、パケット到着間隔25%値、パケット到着間隔50%値、パケット到着間隔75%値、パケット到着間隔100%値を、それぞれPR1、PR2、PR3、PR4と表すものとする。ここでは、トラフィック特徴量FTを、以下の(1)式のような形式で表すものとする。具体的には、例えば、PS1=20、PS2=1000、PS3=1250、PS4=1500、PR1=4、PR2=15、PR3=20、PR4=250とすると、トラフィック特徴量FTは以下の(2)式のように表すことができる。
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]…(1)
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250] …(2)
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]…(1)
トラフィック特徴量FT
=[PS1、PS2、PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250] …(2)
【0036】
以上のように、特徴量生成部13はフローごと(抽出キーごと)にトラフィック特徴量FTを取得し、当該トラフィック特徴量FTに時間情報(例えば、特徴量を抽出した時刻の情報)及び抽出キーを付加して、機器同定部15に供給する。
【0037】
一方、ポートスキャン部14は、対象アドレスごとにポートスキャンを行い、対象アドレスごとにポートスキャンの結果を集計して特徴量化した情報をポートスキャン特徴量FPとして取得する(S104)。
【0038】
なお、トラフィック特徴量FTを取得する処理(推定対象フロー抽出部12、及び特徴量生成部13の処理;ステップS102、S103の処理)と、ポートスキャン特徴量FPを取得する処理(ポートスキャン部14の処理;ステップS104の処理)については、図2のフローチャートの見た目通りに直列的に実行するようにしてもよいが、並列的に実行するようにしてもよい。
【0039】
ポートスキャン部14が行うポートスキャンの具体的な処理内容については限定されないものである。例えば、ポートスキャン部14は、ポートスキャンの処理として、所定のTCPポートの空き状況や、所定のサービス(例えば、SSH(Secure Shell)等)の認証情報(例えば、許可された認証方式の情報)の確認を行うようにしてもよい。
【0040】
この実施形態の例において、ポートスキャン部14が行うポートスキャンの内容について図3を用いて説明する。
【0041】
この実施形態の例では、ポートスキャン部14は、ポートスキャンとしてTCPの80番ポート(HTTP:Hypertext Transfer Protocol)、443番ポート(HTTPS:HTTP over TLS/SSL)、22番ポート(SSH:Secure Shell)、23番ポート(Telnet)の空き状況確認(空いている状態であるか否かの確認)と、SSH(TCPのポート番号22番)の認証情報の確認(パスワード認証の許可状態(有効又は無効)の確認、及び証明書認証の許可状態(有効又は無効)の確認)を行うものとする。なお、ポートスキャン部14が行うポートスキャンの項目は、図3に示す内容に限定されないものである。例えば、ポートスキャン部14が行う空き状況確認を行うポートを図3の例からさらに増やすようにしてもよい。また、ポートスキャン部14が行うポートスキャンの手法については、上記の例に限定されず、種々のポートスキャン処理を適用することができる。
【0042】
ここでは、ポートスキャン部14は、図3に示す6つの項目(以下これらの項目の識別子を「F1」~「F6」と表す)についてポートスキャンの処理を行うものとする。図3では、項目F1~F6について、ポートスキャンの内容と設定値(出力値)について示している。
【0043】
図3に示すように、項目F1~F4は、TCPポートの空き状況に関する項目である。項目F1~F4は、それぞれTCPの80番ポート、443番ポート、22番ポート、23番ポートの空き状況(空いている状況又は空いていない状況)を確認することを示す項目である。項目F1~F4には、当該ポートが空いていない場合には「0」が設定され、当該ポートが空いている場合には「1」が設定される。
【0044】
また、図3に示すように、項目F5は、SSH(TCP22番ポート)にアクセスした際の反応(例えば、プロンプトと共に出力される文字列)等から、パスワード認証が許可されているか否か(パスワード認証が有効であるか無効であるか)を確認することを示す項目である。項目F5では、SSHのパスワード認証が有効の場合(許可されている場合)には「1」が設定され、SSHのパスワード認証が無効の場合(許可されていない場合)には「0」が設定される。
【0045】
さらに、図3に示すように、項目F6は、SSH(TCP22番ポート)にアクセスした際の反応(例えば、プロンプトと共に出力される文字列)等から、証明書認証が許可されているか否か(証明書認証が有効であるか無効であるか)を確認することを示す項目である。項目F6では、SSHの証明書認証が有効の場合(許可されている場合)には「1」が設定され、SSHの証明書認証が無効の場合(許可されていない場合)には「0」が設定される。
【0046】
ここでは、ポートスキャン部14が、上述のF1~F6のポートスキャンの処理に基づくポートスキャン特徴量FPを以下の(3)式のような形式で表すものとする。具体的には、例えば、F1=1、F2=1、F3=0、F4=0、F5=0、F6=1とすると、ポートスキャン特徴量FPは以下の(4)式のように表すことができる。
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]…(3)
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]
=[1,1,0,0,0,1]…(4)
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]…(3)
ポートスキャン特徴量FP =[F1、F2、F3、F4、F5、F6]
=[1,1,0,0,0,1]…(4)
【0047】
以上のように、ポートスキャン部14は、ポートスキャンの結果に基づいてポートスキャン特徴量FPを取得し、当該ポートスキャン特徴量FPに時間情報(ポートスキャンを行った時刻の情報)とIPアドレス(ポートスキャンを行った対象アドレス)を付加して、機器同定部15に供給する。
【0048】
次に、機器同定部15は、特徴量生成部13から供給されたトラフィック特徴量FTと、ポートスキャン部14から供給されたポートスキャン特徴量FPを、時刻情報とIPアドレスをキー(以下、「連結キー情報」と呼ぶ)として連結(統合)し、統合特徴量FIを生成して保持する(S105)。このとき、機器同定部15は、統合特徴量FIを生成する際に対象アドレス(連結したポートスキャン特徴量FPに対応する対象アドレス)を付加して保持する。
【0049】
例えば、機器同定部15は、トラフィック特徴量FTごとに付加された時刻情報及びIPアドレス(例えば、抽出キーの送信元IPアドレス又は宛先IPアドレスのいずれか)が一致するポートスキャン特徴量FPを検索し、該当するポートスキャン特徴量FPがあった場合、当該トラフィック特徴量FTとポートスキャン特徴量FPとを連結して(対応付けて)、統合特徴量FIを生成する。そして、機器同定部15は、生成した統合特徴量FIにIPアドレス(連結したポートスキャン特徴量FPに対応する対象アドレス)を付加して保持する。なお、機器同定部15は、供給されたトラフィック特徴量FTとポートスキャン特徴量FPを全て同じ時刻情報のデータとみなし、連結キー情報から時刻情報は捨象して処理するようにしてもよい。
【0050】
例えば、(2)式に示すトラフィック特徴量FTと、(4)式に示すポートスキャン特徴量FPを連結して統合特徴量FIを生成した場合、以下の(5)式のような内容となる。
統合特徴量FI=トラフィック特徴量FT|ポートスキャン特徴量FP
=[F1、F2、F3、F4、F5、F6、PS1、PS2、
PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250
1,1,0,0,0,1] …(5)
統合特徴量FI=トラフィック特徴量FT|ポートスキャン特徴量FP
=[F1、F2、F3、F4、F5、F6、PS1、PS2、
PS3、PS4、PR1、PR2、PR3、PR4]
=[20,1000,1250,1500,4,15,20,250
1,1,0,0,0,1] …(5)
【0051】
次に、機器同定部15は、各統合特徴量FIに基づき、当該統合特徴量FIに付加された対象アドレスに対応する対象機器20を同定する処理を行う(S106)。なお、機器同定部15は、1つの対象アドレスについて複数の統合特徴量FIが得られた場合には、それらの複数の統合特徴量FIに基づいて当該対象アドレスの同定処理を行うようにしてもよい。
【0052】
機器同定部15が、得られた統合特徴量FIに基づいて、対象アドレスに対応する対象機器20を同定する処理のロジックについては限定されないものである。機器同定部15は、例えば、予め統合特徴量FIのパターンに対応する同定結果を登録(以下、この登録したパターンと同定結果の組み合わせのデータを「登録パターン」と呼ぶ)しておいて、得られた統合特徴量FIと登録内容とを照合(マッチング)して、一致した登録パターンに対応するようにしてもよい。また、機器同定部15に対して用いられるロジックは、上述のような予め定められた単純なロジック以外にも、ニューラルネットワークやSVM(Support Vector Machine)等の機械学習器を用いた手法を用いるようにしてもよい。例えば、機器同定部15では、図示しない機械学習機器に予め統合特徴量FIのパターンに対応する正解(正しい同定結果)を入力して学習させた学習モデルを元に、新たに入力された統合特徴量FIがどの機器に尤も近い特徴量を持つのかが判別され、尤も近い機器として同定される。
【0053】
(A-3)第1の実施形態の効果
第1の実施形態によれば、以下のような効果を奏することができる。
第1の実施形態によれば、以下のような効果を奏することができる。
【0054】
第1の実施形態の同定処理装置10では、ポートスキャン部14を設け、トラフィック特徴量FTとポートスキャン特徴量FPとを統合した統合特徴量FIを用いて対象機器20の同定を行っている。これにより、対象機器20が、トラフィックを発生することがほとんどないか、発した場合でも少ないようなIoT機器であった場合でも、従来より精度の高い同定結果が得られるという効果を奏する。
【0055】
また、第1の実施形態の同定処理装置10では、トラフィックの傾向が似ている対象機器20同士であり、トラフィック特徴量FTのみの同定処理では誤検知が発生していたような機器についても、誤検知を軽減してより精度よく同定できるという効果を奏する。
【0056】
(B)第2の実施形態
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第2の実施形態を、図面を参照しながら詳述する。
以下、本発明による同定処理装置、同定処理プログラム及び同定処理方法の第2の実施形態を、図面を参照しながら詳述する。
【0057】
(B-1)第2の実施形態の構成
第2の実施形態の同定処理装置10Aについても上述の図1を用いて示すことができる。
第2の実施形態の同定処理装置10Aについても上述の図1を用いて示すことができる。
【0058】
図1において、括弧内の符号は第2の実施形態でのみ用いられる符号である。
【0059】
第2の実施形態の同定処理装置10Aでは、推定対象フロー抽出部12、特徴量生成部13、及びポートスキャン部14が、推定対象フロー抽出部12A、特徴量生成部13A、及びポートスキャン部14Aに置き換えられている点で第1の実施形態と異なっている。
【0060】
第1の実施形態の同定処理装置10では、トラフィック特徴量FTを取得する処理(推定対象フロー抽出部12、及び特徴量生成部13の処理;ステップS102、S103の処理)と、ポートスキャン特徴量FPを取得する処理(ポートスキャン部14の処理;ステップS104の処理)について並列的に実行する構成について説明した。これに対して、第2の実施形態の同定処理装置10Aでは、まず、トラフィック特徴量FTのみを抽出して、トラフィック特徴量FTのみに基づいて同定処理を行い、トラフィック特徴量FTのみでは所定以下の検出精度しか得られない(誤検知が所定以上多い)対象機器20(対象アドレス)があった場合にのみ、さらにポートスキャン特徴量FPを取得し、統合特徴量FIに基づく同定処理を行う。
【0061】
例えば、少ないトラフィック量(例えば、送受信されたパケット数やデータ量の合計値)しか発生しなかった対象アドレス(対象機器20)の同定処理については精度が低くなる傾向にある。そこで、第2の実施形態の同定処理装置10Aでは、閾値以下のトラフィック量しか発生しなかった対象アドレス(対象機器20)があった場合、少なくとも当該対象アドレスについて、ポートスキャンの処理を行ってポートスキャン特徴量FPを取得し、統合特徴量FIに基づく同定処理を行うものとする。
【0062】
具体的には、第2の実施形態の同定処理装置10Aでは、まず、推定対象フロー抽出部12A及び特徴量生成部13Aによりトラフィック特徴量FTを取得する処理が行われ、機器同定部15Aによりトラフィック特徴量FTのみに基づいて各対象アドレス(各対象機器20)に対する同定処理が行われる。
【0063】
機器同定部15Aが、トラフィック特徴量FTのみに基づいて各対象アドレス(各対象機器20)に対する同定処理を行うロジック(方法)については、上述の統合特徴量FIに基づく同定処理と同様に、予め定められた単純なロジック(例えば、上述の登録パターンとの照合結果に基づく同定処理)や、機械学習器を用いた同定処理を適用することができる。
【0064】
(B-2)第2の実施形態の動作
次に、以上のような構成を有する第2の実施形態における同定処理装置10Aの動作(実施形態に係る同定処理方法)を説明する。
次に、以上のような構成を有する第2の実施形態における同定処理装置10Aの動作(実施形態に係る同定処理方法)を説明する。
【0065】
まず、第2の実施形態の同定処理装置10Aにおいて、ステップS201~S203の処理(ネットワーク情報の入力受付、及びトラフィック特徴量FTを取得する処理)については第1の実施形態のS101~S103の処理と同様であるため詳しい説明を省略する。
【0066】
次に、機器同定部15Aが、トラフィック特徴量FTのみに基づいて各対象アドレスに対する同定処理を行う(S204)。
【0067】
次に、機器同定部15Aは、特徴量生成部13に問合せて、閾値以下のトラフィック量しか発生しなかった対象アドレスの有無を確認する(S205)。なお、閾値以下のトラフィック量しか発生しなかった対象アドレスの有無の確認については、特徴量生成部13がトラフィック特徴量FTを生成する過程で実行し、その結果を機器同定部15Aに報告するようにしてもよい。
【0068】
閾値以下のトラフィック量しか発生しなかった対象アドレスがなかった場合、機器同定部15Aは、処理を終了する。この場合、機器同定部15Aは、トラフィック特徴量FTのみに基づいた同定処理の結果を最終結果とすることになる。
【0069】
一方、閾値以下のトラフィック量しか発生しなかった対象アドレスがあった場合、機器同定部15Aは、ポートスキャン部14を制御して閾値以下のトラフィック量しか発生しなかった対象アドレスについて、ポートスキャン及びポートスキャン特徴量FPの生成処理を実行させる(S206)。
【0070】
そして、機器同定部15Aは、特徴量生成部13から得られたトラフィック特徴量FTと、ポートスキャン部14から得られたポートスキャン特徴量FPに基づいて統合特徴量FIを生成する(S207)。
【0071】
そして、機器同定部15Aは、生成した統合特徴量FIに基づいて、閾値以下のトラフィック量しか発生しなかった対象アドレスについて同定処理を行い(S208)、処理を終了する。この場合、機器同定部15Aは、閾値以下のトラフィック量しか発生しなかった対象アドレスについては統合特徴量FIに基づいた同定処理結果を最終結果として取り扱い、それ以外の対象アドレスについてはトラフィック特徴量FTのみに基づいた同定処理の結果を最終結果として取り扱う。
【0072】
(B-3)第2の実施形態の効果
第2の実施形態によれば、以下のような効果を奏することができる。
第2の実施形態によれば、以下のような効果を奏することができる。
【0073】
第2の実施形態では、トラフィック特徴量FTのみでは所定以下の検出精度しか得られない(誤検知が所定以上多い)対象機器20(対象アドレス)についてのみポートスキャンを行う。これにより、第2の実施形態では、ポートスキャン部14が発生するポートスキャンによるトラフィックを抑制(ネットワーク30への負荷軽減)することができる。これにより、第2の実施形態を適用した場合、工場ネットワーク等のビットレートが小さいネットワーク等への負荷が軽減可能である。
【0074】
(C)他の実施形態
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
本発明は、上記の各実施形態に限定されるものではなく、以下に例示するような変形実施形態も挙げることができる。
【0075】
(C-1)上記の各実施形態の推定対象フロー抽出部12、12Aでは、抽出キーとして5tuplesを用いる例について説明したが、抽出キーとして送信元IPアドレスと宛先IPアドレスの組み合わせ(ペア)を用いるようにしてもよい。推定対象フロー抽出部12、12Aにおいて、抽出キーとして、5tuplesではなく送信元IPアドレスと宛先IPアドレスの組み合わせを用いて抽出トラフィックデータを抽出することで、フローの大小に関わらず、対象機器20の接続相手数に応じた計算量で抑えることができる。これは、抽出キーとして、送信元IPアドレスと宛先IPアドレスの組み合わせを用いる場合、1つの対象機器20の接続先に対する不特定数のフローの計算ではなく、1つの対象機器20に対する1接続先の統計量の計算で良いためである。
【0076】
また、他にも、推定対象フロー抽出部12、12Aにおいて、抽出キーとして、送信元IPアドレスのみを適用するようにしてもよい。この場合、推定対象フロー抽出部12、12Aは、送信元IPアドレス毎にすべてのフローを対象とした抽出トラフィックデータに基づいてトラフィック特徴量FTを取得することになる。これにより、推定対象フロー抽出部12、12Aにおいて、フローの大小に関わらず、対象機器20の数に応じた計算量で抑えることができる。
【符号の説明】
【0077】
10…同定処理装置、11…機器推定対象入力部、12…推定対象フロー抽出部、13…特徴量生成部、14…ポートスキャン部、15…機器同定部、20、20-1~20-M…対象機器、30…ネットワーク。
【図1】
【図2】
【図3】
【図4】