ホーム > 特許ランキング > 株式会社日立国際電気
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-11-30
(45)【発行日】2023-12-08
(54)【発明の名称】移動通信システム
(51)【国際特許分類】
H04W 12/12 20210101AFI20231201BHJP
H04W 12/61 20210101ALI20231201BHJP
H04W 12/088 20210101ALI20231201BHJP
【FI】
H04W12/12
H04W12/61
H04W12/088
【請求項の数】
4
(21)【出願番号】P 2022523775
(86)(22)【出願日】2020-05-18
(86)【国際出願番号】 JP2020019697
(87)【国際公開番号】W WO2021234796
(87)【国際公開日】2021-11-25
【審査請求日】2022-10-28
(73)【特許権者】
【識別番号】000001122
【氏名又は名称】株式会社日立国際電気
(74)【代理人】
【識別番号】100093104
【弁理士】
【氏名又は名称】船津 暢宏
(72)【発明者】
【氏名】庄司 智也
(72)【発明者】
【氏名】小幡 公
(72)【発明者】
【氏名】下尾 雄也
(72)【発明者】
【氏名】内川 信幸
【審査官】齋藤 浩兵
(56)【参考文献】
【文献】国際公開第2020/040027(WO,A1)
【文献】特表2012-506644(JP,A)
【文献】特表2009-520447(JP,A)
【文献】特開2009-253461(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00-99/00
(57)【特許請求の範囲】
【請求項1】
移動体ネットワークに用いられる移動通信システムであって、受信したフレームの制御情報から当該フレームの特徴量を抽出するための受信フレーム情報を出力すると共に、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除する通信装置と、
前記受信フレーム情報を入力し、当該受信フレーム情報が正常であるか又は異常であるかを、予め記憶された受信フレーム情報の正常又は異常のリストに基づいて判定し、異常と判定した場合に前記通信装置に受信禁止のアクセス制御情報を出力し、正常と判定した場合に前記通信装置に受信禁止解除のアクセス制御情報を出力する制御端末とを有し、
前記制御端末が、前記受信フレーム情報から当該フレーム内の単一時間増分統計の対象となる複数のパラメータを抽出し、前記抽出した複数のパラメータについて一定時間における増分を算出して、増分傾向の統計演算処理を行い、前記統計演算処理されたパラメータに基づいてクラスタリングし、クラスタ毎に特徴量データを抽出し、前記受信フレーム情報が正常であれば正常な特徴量データとして学習し、前記受信フレーム情報が異常であれば異常な特徴量データとして学習し、当該学習結果を用いて正常又は異常のリストを更新する移動通信システム。
【請求項2】
通信装置と通信端末との間に中継装置を設け、制御端末は、受信禁止のアクセス制御情報又は受信禁止解除のアクセス制御情報を前記中継装置に出力し、
前記中継装置は、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除する請求項1記載の移動通信システム。
【請求項3】
制御端末は、学習では自己符号化器を用い、受信したフレームについての特徴量データを入力データとして前記自己符号化器に入力し、前記自己符号化器からの出力データと前記入力データとの差分に基づいて前記フレームの正常又は異常を判定する請求項1又は2記載の移動通信システム。
【請求項4】
制御端末は、受信したフレームの正常又は異常を判定すると、当該判定したフレームの受信フレーム情報で正常又は異常のリストを更新する請求項3記載の移動通信システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、移動体ネットワークに適用される移動通信システムに係り、特に、異常な通信、不正な通信を判別して、通信のセキュリティと品質を確保できる移動通信システムに関する。
【背景技術】
【0002】
[従来の技術]
従来の移動通信システムは、移動体ネットワークにおいて、移動通信局間で自律的に端末を検知し、自律的に経路の最適化を実施し、その場限りの無線ネットワークを構築して、遅延量を少なくしながら回線の負荷を抑制した通信を実現するものである。
従来の移動通信システムは、移動体ネットワークにおいて、移動通信局間で自律的に端末を検知し、自律的に経路の最適化を実施し、その場限りの無線ネットワークを構築して、遅延量を少なくしながら回線の負荷を抑制した通信を実現するものである。
【0003】
[従来の移動通信システム:図9]
従来の移動通信システムについて図9を参照しながら説明する。図9は、従来の移動通信システムの構成ブロック図である。
従来の移動通信システムは、図9に示すように、通信装置10と、通信端末2と、制御端末40とを備えている。
従来の移動通信システムについて図9を参照しながら説明する。図9は、従来の移動通信システムの構成ブロック図である。
従来の移動通信システムは、図9に示すように、通信装置10と、通信端末2と、制御端末40とを備えている。
【0004】
従来の通信装置10は、ネットワーク部110と、無線アクセス制御部12と、無線信号処理部13と、高周波部14と、アンテナ15とを備えている。
ネットワーク部110は、QoS(Quality of Service:サービス品質保証)機能部1101と、フレーム送受信部1102と、通信方式機能部1103とを有している。
無線アクセス制御部12は、送受信カウンタ12aを備えている。
また、制御端末40は、統計表示部45を有している。
ネットワーク部110は、QoS(Quality of Service:サービス品質保証)機能部1101と、フレーム送受信部1102と、通信方式機能部1103とを有している。
無線アクセス制御部12は、送受信カウンタ12aを備えている。
また、制御端末40は、統計表示部45を有している。
【0005】
ネットワーク部110は、主にIP(Internet Protocol)電話端末又はPC(Personal Computer)などの通信端末2や制御端末40とのインタフェースとなり、無線アクセス制御部12とのIP(Internet Protocol)パケットのやりとり、通信方式の設定等を行う。
【0006】
通信方式機能部1103は、制御端末40からの通信方式が設定されると、QoS機能部1101と、無線アクセス制御部12と、無線信号処理部13と、高周波部14に当該通信方式を通知し、設定の切り替えを行わせ、それら各部からの状態を入力して取得する。
QoS機能部1101は、通信方式機能部1103から通信方式が設定されると、当該通信方式に従い優先的に送信するIPパケットを選択してフレーム送受信部1102に出力する。
また、QoS機能部1101は、フレーム送受信部1102からのIPパケットを通信端末2に出力する。
QoS機能部1101は、通信方式機能部1103から通信方式が設定されると、当該通信方式に従い優先的に送信するIPパケットを選択してフレーム送受信部1102に出力する。
また、QoS機能部1101は、フレーム送受信部1102からのIPパケットを通信端末2に出力する。
【0007】
フレーム送受信部1102は、QoS機能部1101から入力されたIPパケットを通信フレームに組み込んで送信フレームを生成し、送信フレームを無線アクセス制御部12に出力する。ここで、同じ宛先のIPパケットであれば、複数のIPパケットを送信フレームとして無線アクセス制御部12に渡すことができる。
また、フレーム送受信部1102は、無線アクセス制御部12からの通信データを受信フレームとしてIPパケットを取り出し、QoS機能部1101に出力する。
また、フレーム送受信部1102は、無線アクセス制御部12からの通信データを受信フレームとしてIPパケットを取り出し、QoS機能部1101に出力する。
【0008】
無線アクセス制御部12は、ネットワーク部110から入力された送信フレームを、無線回線が使用中かどうかを判定して、回線が未使用の場合に無線信号処理部13に出力する。
また、無線アクセス制御部12は、無線信号処理部13からの誤り訂正復号された通信データ(受信フレーム)をネットワーク部110に出力する。
更に、無線アクセス制御部12は、無線通信間でデータが相手に確実に届いた否かを判定し、必要に応じて再送制御等を行う。
また、無線アクセス制御部12は、無線信号処理部13からの誤り訂正復号された通信データ(受信フレーム)をネットワーク部110に出力する。
更に、無線アクセス制御部12は、無線通信間でデータが相手に確実に届いた否かを判定し、必要に応じて再送制御等を行う。
【0009】
無線アクセス制御部12における送受信カウンタ12aは、IPパケットの送受信をカウントしており、送受信のカウント値をネットワーク部110の通信方式機能部1103に出力する。通信方式機能部1103は、送受信カウンタ12aからのカウント値を基に送受信の状況を把握している。
【0010】
無線信号処理部13は、無線アクセス制御部12からの通信データを誤り訂正符号化して高周波部14に出力する。
また、無線信号処理部13は、高周波部14からの復調された信号を誤り訂正復号化して無線アクセス制御部12に出力する。
また、無線信号処理部13は、高周波部14からの復調された信号を誤り訂正復号化して無線アクセス制御部12に出力する。
【0011】
高周波部14は、無線信号処理部13からの誤り訂正符号化された通信データを送信用に変調してアンテナ15に出力する。
また、高周波部14は、アンテナ15から入力された信号を受信用に復調して無線信号処理部13に出力する。
アンテナ15は、高周波部14からの送信用の信号を空中に放出し、空中から信号を高周波部14に出力する。
また、高周波部14は、アンテナ15から入力された信号を受信用に復調して無線信号処理部13に出力する。
アンテナ15は、高周波部14からの送信用の信号を空中に放出し、空中から信号を高周波部14に出力する。
【0012】
[従来の移動通信システムでの処理]
[送信処理]
従来の移動通信システムでは、送信処理として、ネットワーク部110が、通信端末2と無線アクセス制御部12との間でパケットのやりとりを行い、フレーム送受信部1102でIPパケットに制御情報を付与した送信フレームを生成し、無線アクセス制御部12が、ネットワーク部110から受け取った送信フレームを元に、周波数資源、いわゆる無線回線が使用中でないこと、若しくは自局の送信可能時間かどうかを判定し、送信可能と判定した場合に、暗号化等を行って無線信号処理部13に転送する。
[送信処理]
従来の移動通信システムでは、送信処理として、ネットワーク部110が、通信端末2と無線アクセス制御部12との間でパケットのやりとりを行い、フレーム送受信部1102でIPパケットに制御情報を付与した送信フレームを生成し、無線アクセス制御部12が、ネットワーク部110から受け取った送信フレームを元に、周波数資源、いわゆる無線回線が使用中でないこと、若しくは自局の送信可能時間かどうかを判定し、送信可能と判定した場合に、暗号化等を行って無線信号処理部13に転送する。
【0013】
無線信号処理部13が、通信の誤りを訂正するための符号化やインタリーブを行った後に、搬送波にするための変調を行い、同期信号・制御信号等を付与して高周波部14に転送する。
高周波部14が、入力された搬送波を周波数の高い高周波に変換し、規定の電力に増幅してアンテナ15から送信する。
高周波部14が、入力された搬送波を周波数の高い高周波に変換し、規定の電力に増幅してアンテナ15から送信する。
【0014】
[受信処理]
次に受信処理として、アンテナ15から電波を入力し、高周波部14で高周波信号を搬送波に変換して無線信号処理部13に出力する。
無線信号処理部13が、搬送波を復調し、同期信号・制御信号等を検出し、デジタル情報に復元する。そして、無線信号処理部13が、誤った情報の訂正処理を行い、無線アクセス制御部12に出力する。
次に受信処理として、アンテナ15から電波を入力し、高周波部14で高周波信号を搬送波に変換して無線信号処理部13に出力する。
無線信号処理部13が、搬送波を復調し、同期信号・制御信号等を検出し、デジタル情報に復元する。そして、無線信号処理部13が、誤った情報の訂正処理を行い、無線アクセス制御部12に出力する。
【0015】
無線アクセス制御部12が、暗号化されたデジタル情報を復号し、受信したデジタル情報がフレームかどうかを判定し、デジタル情報がフレームと判定した場合には、フレーム内に格納された制御情報に従って、応答処理や送信可能時間の調整等を行う。
また、受信したフレーム(受信フレーム)にIPパケットが格納されている場合には、無線アクセス制御部12は、受信フレームをネットワーク部110に出力する。
また、受信したフレーム(受信フレーム)にIPパケットが格納されている場合には、無線アクセス制御部12は、受信フレームをネットワーク部110に出力する。
【0016】
ネットワーク部110が、無線アクセス制御部12から入力された受信フレームからフレーム送受信部1102でIPパケットを抽出し、接続する通信端末2向けのパケットか否かを判定し、通信端末2向けのパケットであれば、通信端末2にパケットを転送する。
また、制御端末40が、通信装置10の設定を行い、通信状況や装置状態を監視し、通信状況や装置状態を統計表示部45に表示する。
また、制御端末40が、通信装置10の設定を行い、通信状況や装置状態を監視し、通信状況や装置状態を統計表示部45に表示する。
【0017】
従来の移動通信システムは、自律分散アクセスを実現して、無線からネットワーク接続を容易とする特性から、ネットワークに関するサイバー攻撃を受けやすい環境にある。
無線ネットワークでは、1つの周波数資源を複数の移動通信局間で共有する方式が多い。具体的には、多元接続アクセスである時分割(TDMA:Time Division Multiple Access:時分割多元接続方式)やキャリアセンスによる競合回避(CSMA/CA:Carrier Sense Multiple Access/Collision Avoidance:搬送波感知多重アクセス/衝突回避方式)が用いられる。
無線ネットワークでは、1つの周波数資源を複数の移動通信局間で共有する方式が多い。具体的には、多元接続アクセスである時分割(TDMA:Time Division Multiple Access:時分割多元接続方式)やキャリアセンスによる競合回避(CSMA/CA:Carrier Sense Multiple Access/Collision Avoidance:搬送波感知多重アクセス/衝突回避方式)が用いられる。
【0018】
これらの共有方式では、悪意のある通信が発生した場合に、通信に用いられる制御情報の内容に誤りがない限り、正常と判別して通信を行うことが多いため、悪意のある通信の検出、遮断が容易ではないものとなっていた。
【0019】
[関連技術]
尚、関連する先行技術として、特許第5848956号公報「通信装置」(特許文献1)がある。
特許文献1には、移動通信システムにおいて、複数の通信方式の内のいずれかを使用して送信する際に、IPパケットの連結数をサブキャリアの使用率に応じて決定する通信装置が示されている。
尚、関連する先行技術として、特許第5848956号公報「通信装置」(特許文献1)がある。
特許文献1には、移動通信システムにおいて、複数の通信方式の内のいずれかを使用して送信する際に、IPパケットの連結数をサブキャリアの使用率に応じて決定する通信装置が示されている。
【先行技術文献】
【特許文献】
【0020】
【文献】特許第5848956号公報
【発明の概要】
【発明が解決しようとする課題】
【0021】
しかしながら、従来の移動通信システムでは、制御情報が誤っている場合等には異常な通信と判断し、無線通信やネットワーク接続に関する情報の破棄等を実施するが、無線回線を故意に占有しようとする通信や、受信した信号を再生して悪用する通信等については、制御情報の内容が正常な場合には、異常な通信と判断するのは難しく、ネットワーク接続における遅延が発生し、通信のセキュリティと品質を確保できないという問題点があった。
【0022】
尚、特許文献1には、悪意のある通信、不正な通信を検出して、それらの通信を遮断する技術についての記載がない。
【0023】
本発明は上記実情に鑑みて為されたもので、悪意のある無線通信を異常な無線通信として検出して通信を遮断し、無線回線の不正な占有を回避して、通信のセキュリティと品質を確保する移動通信システムを提供することを目的とする。
【課題を解決するための手段】
【0024】
上記従来例の問題点を解決するための本発明は、移動体ネットワークに用いられる移動通信システムであって、受信したフレームの制御情報から当該フレームの特徴量を抽出するための受信フレーム情報を出力すると共に、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除する通信装置と、受信フレーム情報を入力し、当該受信フレーム情報が正常であるか又は異常であるかを、予め記憶された受信フレーム情報の正常又は異常のリストに基づいて判定し、異常と判定した場合に通信装置に受信禁止のアクセス制御情報を出力し、正常と判定した場合に通信装置に受信禁止解除のアクセス制御情報を出力する制御端末とを有し、制御端末が、受信フレーム情報から当該フレーム内の単一時間増分統計の対象となる複数のパラメータを抽出し、抽出した複数のパラメータについて一定時間における増分を算出して、増分傾向の統計演算処理を行い、統計演算処理されたパラメータに基づいてクラスタリングし、クラスタ毎に特徴量データを抽出し、受信フレーム情報が正常であれば正常な特徴量データとして学習し、受信フレーム情報が異常であれば異常な特徴量データとして学習し、当該学習結果を用いて正常又は異常のリストを更新するものである。
【0025】
本発明は、上記移動通信システムにおいて、通信装置と通信端末との間に中継装置を設け、制御端末が、受信禁止のアクセス制御情報又は受信禁止解除のアクセス制御情報を中継装置に出力し、中継装置が、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除するものである。
【0027】
本発明は、上記移動通信システムにおいて、制御端末が、学習では自己符号化器を用い、受信したフレームについての特徴量データを入力データとして前記自己符号化器に入力し、前記自己符号化器からの出力データと前記入力データとの差分に基づいて前記フレームの正常又は異常を判定するものである。
【0028】
本発明は、上記移動通信システムにおいて、制御端末が、受信したフレームの正常又は異常を判定すると、当該判定したフレームの受信フレーム情報で正常又は異常のリストを更新するものである。
【発明の効果】
【0031】
本発明によれば、受信したフレームの制御情報から当該フレームの特徴量を抽出するための受信フレーム情報を出力すると共に、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除する通信装置と、受信フレーム情報を入力し、当該受信フレーム情報が正常であるか又は異常であるかを、予め記憶された受信フレーム情報の正常又は異常のリストに基づいて判定し、異常と判定した場合に通信装置に受信禁止のアクセス制御情報を出力し、正常と判定した場合に通信装置に受信禁止解除のアクセス制御情報を出力する制御端末とを有し、制御端末が、受信フレーム情報から当該フレーム内の単一時間増分統計の対象となる複数のパラメータを抽出し、抽出した複数のパラメータについて一定時間における増分を算出して、増分傾向の統計演算処理を行い、統計演算処理されたパラメータに基づいてクラスタリングし、クラスタ毎に特徴量データを抽出し、受信フレーム情報が正常であれば正常な特徴量データとして学習し、受信フレーム情報が異常であれば異常な特徴量データとして学習し、当該学習結果を用いて正常又は異常のリストを更新する移動通信システムとしているので、通信に用いられる制御情報に誤りがなくても悪意のある無線通信を異常な無線通信として検出し、無線回線の不正な占有を防止して、通信のセキュリティと品質を確保できる効果がある。
【0032】
本発明によれば、通信装置と通信端末との間に中継装置を設け、制御端末が、受信禁止のアクセス制御情報又は受信禁止解除のアクセス制御情報を中継装置に出力し、中継装置が、受信禁止のアクセス制御情報により受信を遮断し、受信禁止解除のアクセス制御情報により受信の遮断を解除する上記移動通信システムとしているので、特徴量データを学習させて正常又は異常のリストを更新して受信フレーム情報の正常又は異常の判定精度を向上させることができる効果がある。
【図面の簡単な説明】
【0033】
【図1】本システムの構成ブロック図である。
【図2】送受信フレーム及び上位プロトコルデータを示す概略図である。
【図3】単一時間増分統計の対象パラメータを示す概略図である。
【図4】クラスタリング分類のパラメータを示す概略図である。
【図5】分析手法適用内容を示す概略図である。
【図6】特徴量抽出部の構成ブロック図である。
【図7】制御端末の一部構成ブロック図である。
【図8】正常学習部/異常学習部を示す構成ブロック図である。
【図9】従来の移動通信システムの構成ブロック図である。
【発明を実施するための形態】
【0034】
本発明の実施の形態について図面を参照しながら説明する。
[実施の形態の概要]
本発明の実施の形態に係る移動通信システム(本システム)は、移動体ネットワークに用いられ、通信装置が、受信したフレームの制御情報から当該フレームの特徴量を抽出するための受信フレーム情報を制御端末に出力し、制御端末が、受信フレーム情報が正常又は異常かを正常な情報(ホワイト)又は異常な情報(ブラック)のリストに基づいて判定し、異常と判定した場合に通信装置及び中継装置に受信禁止のアクセス制御情報を出力し、正常と判定した場合に通信装置及び中継装置に受信禁止解除のアクセス制御情報を出力し、受信の遮断又は受信の遮断解除を行うものであり、通信に用いられる制御情報に誤りがなくても悪意のある無線通信を異常な無線通信として検出し、無線回線の不正な占有を防止して、通信のセキュリティと品質を確保できるものである。
[実施の形態の概要]
本発明の実施の形態に係る移動通信システム(本システム)は、移動体ネットワークに用いられ、通信装置が、受信したフレームの制御情報から当該フレームの特徴量を抽出するための受信フレーム情報を制御端末に出力し、制御端末が、受信フレーム情報が正常又は異常かを正常な情報(ホワイト)又は異常な情報(ブラック)のリストに基づいて判定し、異常と判定した場合に通信装置及び中継装置に受信禁止のアクセス制御情報を出力し、正常と判定した場合に通信装置及び中継装置に受信禁止解除のアクセス制御情報を出力し、受信の遮断又は受信の遮断解除を行うものであり、通信に用いられる制御情報に誤りがなくても悪意のある無線通信を異常な無線通信として検出し、無線回線の不正な占有を防止して、通信のセキュリティと品質を確保できるものである。
【0035】
また、本システムは、制御端末が、受信フレーム情報から特徴量データを抽出し、受信フレーム情報が正常であれば正常な特徴量データとして学習させ、受信フレーム情報が異常であれば異常な特徴量データとして学習させ、当該学習結果を用いて正常又は異常のリストを更新するものであり、特徴量データを学習させて正常又は異常のリストを更新して受信フレーム情報の正常又は異常の判定精度を向上させることができるものである。
【0036】
[本システム:図1]
本システムについて図1を参照しながら説明する。図1は、本システムの構成ブロック図である。
本システムは、図1に示すように、通信装置1と、通信端末2と、中継装置3と、制御端末4とを有している。
尚、通信端末2は、図9に示した従来の通信端末と同様であるので、具体的説明は省略する。
本システムについて図1を参照しながら説明する。図1は、本システムの構成ブロック図である。
本システムは、図1に示すように、通信装置1と、通信端末2と、中継装置3と、制御端末4とを有している。
尚、通信端末2は、図9に示した従来の通信端末と同様であるので、具体的説明は省略する。
【0037】
[本システムの各部]
本システムの各部について具体的に説明する。
[通信装置1]
通信装置1は、図1に示すように、ネットワーク部11と、無線アクセス制御部12と、無線信号処理部13と、高周波部14と、アンテナ15とを備えている。無線アクセス制御部12、無線信号処理部13、高周波部14及びアンテナ15は、図9に示した従来の構成と同様であるので、説明を省略する。
本システムの各部について具体的に説明する。
[通信装置1]
通信装置1は、図1に示すように、ネットワーク部11と、無線アクセス制御部12と、無線信号処理部13と、高周波部14と、アンテナ15とを備えている。無線アクセス制御部12、無線信号処理部13、高周波部14及びアンテナ15は、図9に示した従来の構成と同様であるので、説明を省略する。
【0038】
本システムの通信装置1におけるネットワーク部11は、QoS機能部111と、フレーム送受信部112と、通信方式機能部113と、フレーム情報出力部114とを有している。
QoS機能部111、フレーム送受信部112及び通信方式機能部113は、図9の従来のネットワーク部110のQoS機能部1101、フレーム送受信部1102及び通信方式機能部1103と同様の処理を実行するものである。
但し、フレーム送受信部112は、送信フレーム及び受信フレーム(送受信フレーム)の情報(フレームフォーマットにおける制御情報)をフレーム情報出力部114に出力するようになっている。制御情報の詳細については後述する。
QoS機能部111、フレーム送受信部112及び通信方式機能部113は、図9の従来のネットワーク部110のQoS機能部1101、フレーム送受信部1102及び通信方式機能部1103と同様の処理を実行するものである。
但し、フレーム送受信部112は、送信フレーム及び受信フレーム(送受信フレーム)の情報(フレームフォーマットにおける制御情報)をフレーム情報出力部114に出力するようになっている。制御情報の詳細については後述する。
【0039】
新しく設けられたフレーム情報出力部114は、フレーム送受信部112から送受信フレームの情報を入力し、フレームフォーマットから関連する制御用の情報(制御情報)を取得し、特徴量を抽出するために必要な受信フレーム情報を制御端末4の特徴抽出部42に出力する。
尚、本システムでは、受信フレーム情報について正常/異常を判別し、アクセス制御を行うことを主として説明するが、送信フレーム情報についても正常/異常を判別し、アクセス制御を行うようにすれば、本通信装置が攻撃用の発信装置とならないようにすることができるものである。
送受信フレームフォーマットと受信フレーム情報については後述する。
尚、本システムでは、受信フレーム情報について正常/異常を判別し、アクセス制御を行うことを主として説明するが、送信フレーム情報についても正常/異常を判別し、アクセス制御を行うようにすれば、本通信装置が攻撃用の発信装置とならないようにすることができるものである。
送受信フレームフォーマットと受信フレーム情報については後述する。
【0040】
[中継装置3]
中継装置3は、中継を行うルータ等の装置であり、通信装置1、特にネットワーク部11のQoS機能部111と通信端末2との間でのIPパケットの中継を行う。
また、中継装置3は、制御端末4からの通信の禁止又は解除の制御情報(アクセス制御情報)を入力し、通信遮断等のアクセスの制御を行うと共に正常又は異常に関するアクセス制御情報を上位装置の通信端末2に出力して異常検知を行わせる。
アクセス制御情報についての詳細は後述するが、中継装置3は、アクセス制御情報に従って、受信を禁止(遮断)し、その禁止を解除する。
中継装置3は、中継を行うルータ等の装置であり、通信装置1、特にネットワーク部11のQoS機能部111と通信端末2との間でのIPパケットの中継を行う。
また、中継装置3は、制御端末4からの通信の禁止又は解除の制御情報(アクセス制御情報)を入力し、通信遮断等のアクセスの制御を行うと共に正常又は異常に関するアクセス制御情報を上位装置の通信端末2に出力して異常検知を行わせる。
アクセス制御情報についての詳細は後述するが、中継装置3は、アクセス制御情報に従って、受信を禁止(遮断)し、その禁止を解除する。
【0041】
[制御端末4]
制御端末4は、図1に示すように、統計表示・制御部41と、特徴抽出部42と、正常学習部43と、異常学習部44とを備えている。
制御端末4は、図9の制御端末40とは異なり、構成が追加され、統計表示・制御部41も機能が追加されている。以下、具体的に説明する。
制御端末4は、図1に示すように、統計表示・制御部41と、特徴抽出部42と、正常学習部43と、異常学習部44とを備えている。
制御端末4は、図9の制御端末40とは異なり、構成が追加され、統計表示・制御部41も機能が追加されている。以下、具体的に説明する。
【0042】
[統計表示・制御部41]
統計表示・制御部41は、通信装置1のネットワーク部11の通信方式機能部113に通信方式を設定し、通信状況や装置状態を監視し、通信状況や装置状態を表示する。
また、統計表示・制御部41は、正常学習部43、異常学習部44から入力される検出結果に基づいて、受信フレームが正常な受信フレームなのか、異常な受信フレームなのかを判定し、異常な受信フレームであれば受信禁止、正常な受信フレームであれば受信禁止解除のアクセス制御情報を中継装置3とフレーム送受信部112に出力する。
統計表示・制御部41は、通信装置1のネットワーク部11の通信方式機能部113に通信方式を設定し、通信状況や装置状態を監視し、通信状況や装置状態を表示する。
また、統計表示・制御部41は、正常学習部43、異常学習部44から入力される検出結果に基づいて、受信フレームが正常な受信フレームなのか、異常な受信フレームなのかを判定し、異常な受信フレームであれば受信禁止、正常な受信フレームであれば受信禁止解除のアクセス制御情報を中継装置3とフレーム送受信部112に出力する。
【0043】
ここで、本システムの統計表示・制御部41は、受信フレームの制御情報に誤りがなくても、受信間隔、受信データサイズ、受信数、送信待機時間等から悪意のある異常な受信フレームと判定して、受信を制限する制御を行うものである。
【0044】
また、統計表示・制御部41は、正常な受信フレーム情報のリスト(ホワイトリスト)と異常な受信フレーム情報のリスト(ブラックリスト)を記憶している。
そして、統計表示・制御部41は、フレーム情報出力部114からの受信フレーム情報を入力し、ホワイトリスト又はブラックリストを参照して当該受信フレーム情報がホワイトである(正常である)か又はブラックである(異常である)かを判定する。
そして、統計表示・制御部41は、フレーム情報出力部114からの受信フレーム情報を入力し、ホワイトリスト又はブラックリストを参照して当該受信フレーム情報がホワイトである(正常である)か又はブラックである(異常である)かを判定する。
【0045】
統計表示・制御部41は、受信フレーム情報をホワイトと判定した場合には、受信禁止解除のアクセス制御情報を中継装置3及びフレーム送受信部112に出力すると共に、特徴抽出部42からの特徴データを正常学習部43に学習させる学習指示を出力する。
また、統計表示・制御部41は、受信フレーム情報をブラックと判定した場合には、受信禁止のアクセス制御情報を中継装置3及びフレーム送受信部112に出力すると共に、特徴抽出部42からの特徴データを異常学習部44に学習させる学習指示を出力する。
統計表示・制御部41の更に具体的構成及び処理については後述する。
また、統計表示・制御部41は、受信フレーム情報をブラックと判定した場合には、受信禁止のアクセス制御情報を中継装置3及びフレーム送受信部112に出力すると共に、特徴抽出部42からの特徴データを異常学習部44に学習させる学習指示を出力する。
統計表示・制御部41の更に具体的構成及び処理については後述する。
【0046】
[特徴抽出部42]
特徴抽出部42は、フレーム情報出力部114からの受信フレーム情報からパラメータ(単一時間増分統計の対象パラメータ)を抽出し、増分統計処理を行い、クラスタリング分類のパラメータを用いてクラスタリング処理を行い、クラスタに応じた特徴量データを正常学習部43又は異常学習部44に出力する。
特徴抽出部42の具体的な構成及び処理、パラメータ等については後述する。
特徴抽出部42は、フレーム情報出力部114からの受信フレーム情報からパラメータ(単一時間増分統計の対象パラメータ)を抽出し、増分統計処理を行い、クラスタリング分類のパラメータを用いてクラスタリング処理を行い、クラスタに応じた特徴量データを正常学習部43又は異常学習部44に出力する。
特徴抽出部42の具体的な構成及び処理、パラメータ等については後述する。
【0047】
[正常学習部43、異常学習部44]
正常学習部43、異常学習部44は、特徴抽出部42から特徴データを入力し、学習済みの自己符号化器を通して誤差を抽出し、検出結果として当該誤差を統計表示・制御部41に出力する。自己符号化器は、入力データを符号化し、そして入力データと同じデータに復号化するよう学習しているものである。正常学習部43における自己符号化器は、正常データを学習しており、異常学習部44は、異常データを学習している。そして、入力データと復号データの差を誤差として抽出する。
正常学習部43、異常学習部44は、特徴抽出部42から特徴データを入力し、学習済みの自己符号化器を通して誤差を抽出し、検出結果として当該誤差を統計表示・制御部41に出力する。自己符号化器は、入力データを符号化し、そして入力データと同じデータに復号化するよう学習しているものである。正常学習部43における自己符号化器は、正常データを学習しており、異常学習部44は、異常データを学習している。そして、入力データと復号データの差を誤差として抽出する。
【0048】
従って、特徴データが、正常学習部43に入力されて自己符号化器での誤差が抽出されると、誤差の大小によって正常データか否かが判別できる。
また、特徴データが、異常学習部44に入力されて自己符号化器での誤差が抽出されると、誤差の大小によって異常データか否かが判別できる。
また、特徴データが、異常学習部44に入力されて自己符号化器での誤差が抽出されると、誤差の大小によって異常データか否かが判別できる。
【0049】
つまり、正常学習部43、異常学習部44からの誤差を検出結果として統計表示・制御部41に出力し、統計表示・制御部41は、その検出結果に基づいて、特徴データが正常か異常かを判別すると共に、ホワイトリスト又はブラックリストを更新する。
【0050】
更に、正常学習部43、異常学習部44は、統計表示・制御部41からの学習指示に従い、特徴抽出部42からの特徴データの学習を行う。特徴データの学習についても後述する。
【0051】
[送受信フレーム、上位プロトコルデータ:図2]
次に、本システムで用いられる送受信フレーム及び上位プロトコルデータの一例について図2を参照しながら説明する。図2は、送受信フレーム及び上位プロトコルデータを示す概略図である。
送受信フレームフォーマットは、図2に示すように、無線LAN(WLAN:Wireless Local Aera Network)等のフレーム(WLAN Frame[QoS Frame])と、上位プロトコルデータとして、IPパケット(IP Packet)、TCP(Transmission Control Protocol)セグメント(TCP Segment)、UDP(User Datagram Protocol)セグメント(UDP Segment)他、アドホックルーティングで使用する制御メッセージ(Adhoc Routing Message[OLSR])等がある。
次に、本システムで用いられる送受信フレーム及び上位プロトコルデータの一例について図2を参照しながら説明する。図2は、送受信フレーム及び上位プロトコルデータを示す概略図である。
送受信フレームフォーマットは、図2に示すように、無線LAN(WLAN:Wireless Local Aera Network)等のフレーム(WLAN Frame[QoS Frame])と、上位プロトコルデータとして、IPパケット(IP Packet)、TCP(Transmission Control Protocol)セグメント(TCP Segment)、UDP(User Datagram Protocol)セグメント(UDP Segment)他、アドホックルーティングで使用する制御メッセージ(Adhoc Routing Message[OLSR])等がある。
【0052】
これらフレームフォーマットと上位プロトコルデータには、それぞれ制御用の情報が付与されており、それらには、時間の概念や、通信順序、論理的な接続の概念が示されている。例えば、図2のWLANフレームの「Duration」フィールドは、送信に要する時間が含まれており、このフィールドに指定された時間は、送信を待機しなければならない。
【0053】
[受信フレーム情報:図3,4]
フレーム情報出力部114から制御端末4の特徴抽出部42に出力される受信フレーム情報について図3,4を参照しながら説明する。図3は、単一時間増分統計の対象パラメータを示す概略図であり、図4は、クラスタリング分類のパラメータを示す概略図である。
特徴抽出部42で特徴量を抽出するためには、図2に示した制御情報を一定時間の区間、つまり単一時間で増分統計を実施し、図4に示す分類のパラメータを用いて通信情報をクラスタにより論理的な接続の単位で分類化する必要がある。
フレーム情報出力部114から制御端末4の特徴抽出部42に出力される受信フレーム情報について図3,4を参照しながら説明する。図3は、単一時間増分統計の対象パラメータを示す概略図であり、図4は、クラスタリング分類のパラメータを示す概略図である。
特徴抽出部42で特徴量を抽出するためには、図2に示した制御情報を一定時間の区間、つまり単一時間で増分統計を実施し、図4に示す分類のパラメータを用いて通信情報をクラスタにより論理的な接続の単位で分類化する必要がある。
【0054】
[単一時間増分の対象パラメータ:図3]
ここで、送受信フレームにおける通信情報の増分統計を実施するための対象とするパラメータの一例について図3を参照しながら説明する。これらパラメータは、悪意のある異常な通信を検出するために選択されたものである。
単一時間で増分統計を実施するために、図3に示すように、単一時間増分統計の対象とするパラメータを定義する。
図3では、データとしてWLANフレーム「WLAN Frame」とアドホックルーティングの制御メッセージ「Adhoc Routing Message」を採用し、それらのデータにおける2つのフィールドを使用パラメータ1,2として、使用パラメータ1,2の組み合わせに対応して特徴パラメータ名を定義している。
特徴パラメータ名は、「FCBySrc」「DurBySrc」「SeqBySrc」「AdcSseqByOrg」「AdcMTByOrg」の5つとしている。
ここで、送受信フレームにおける通信情報の増分統計を実施するための対象とするパラメータの一例について図3を参照しながら説明する。これらパラメータは、悪意のある異常な通信を検出するために選択されたものである。
単一時間で増分統計を実施するために、図3に示すように、単一時間増分統計の対象とするパラメータを定義する。
図3では、データとしてWLANフレーム「WLAN Frame」とアドホックルーティングの制御メッセージ「Adhoc Routing Message」を採用し、それらのデータにおける2つのフィールドを使用パラメータ1,2として、使用パラメータ1,2の組み合わせに対応して特徴パラメータ名を定義している。
特徴パラメータ名は、「FCBySrc」「DurBySrc」「SeqBySrc」「AdcSseqByOrg」「AdcMTByOrg」の5つとしている。
【0055】
[クラスタリング分類のパラメータ:図4]
次に、クラスタリングの分類に用いるパラメータの一例について図4を参照しながら説明する。
クラスタリングによる分類は、受信フレームについていくつかの類型化されたパターンがあるので、それらの類型化された分類のグループ(クラスタ)の範囲内で、そのクラスタに応じた特徴量を抽出する方が、適正な特徴量が得られるために行うものである。
特に、悪意のある異常な受信フレームには、類型化されたパターンがあり、そのクラスタの範囲内で、他の悪意ある異常な受信フレームとの対比で特徴量を抽出しようとするものである。
次に、クラスタリングの分類に用いるパラメータの一例について図4を参照しながら説明する。
クラスタリングによる分類は、受信フレームについていくつかの類型化されたパターンがあるので、それらの類型化された分類のグループ(クラスタ)の範囲内で、そのクラスタに応じた特徴量を抽出する方が、適正な特徴量が得られるために行うものである。
特に、悪意のある異常な受信フレームには、類型化されたパターンがあり、そのクラスタの範囲内で、他の悪意ある異常な受信フレームとの対比で特徴量を抽出しようとするものである。
【0056】
クラスタリング分類のパラメータは、図4に示すように、WLANフレーム「WLAN Frame」、上位プロトコルデータ「IP Protocol」「TCP/UDP Protocol」とアドホックルーティングの制御メッセージ「Adhoc Routing Message」を採用し、それらのデータにおける2つのフィールドを使用パラメータ1,2として、使用パラメータ1,2の組み合わせに対応して特徴パラメータ名を定義している。使用パラメータ1だけで特徴パラメータ名を定義するものもある。
特徴パラメータ名は、「MacSrc」「MacSrcDst」「SeqBySrc」「NetSrcDst」「TLSrcDst」「AdcOrg」の6つとしている。
特徴パラメータ名は、「MacSrc」「MacSrcDst」「SeqBySrc」「NetSrcDst」「TLSrcDst」「AdcOrg」の6つとしている。
【0057】
[分析手法適用内容:図5]
次に、特徴量を分析するための分析手法適用内容の一例について図5を参照しながら説明する。図5は、分析手法適用内容を示す概略図である。
分析手法適用内容は、図5に示すように、統計パラメータとして、「受信間隔」「受信データサイズ」「受信数」「送信待機時間」の4つについて、統計手法が「平均」「標準偏差」「共分散」「積率相関係数」の4種類で、特徴パラメータを対応付けている。
特徴パラメータは、図3の対象パラメータの特徴パラメータ名が利用される。尚、特徴パラメータの最後の2つは「Adc」の文字を省略している。
尚、図3~5の関係については、図6で具体的に説明する。
次に、特徴量を分析するための分析手法適用内容の一例について図5を参照しながら説明する。図5は、分析手法適用内容を示す概略図である。
分析手法適用内容は、図5に示すように、統計パラメータとして、「受信間隔」「受信データサイズ」「受信数」「送信待機時間」の4つについて、統計手法が「平均」「標準偏差」「共分散」「積率相関係数」の4種類で、特徴パラメータを対応付けている。
特徴パラメータは、図3の対象パラメータの特徴パラメータ名が利用される。尚、特徴パラメータの最後の2つは「Adc」の文字を省略している。
尚、図3~5の関係については、図6で具体的に説明する。
【0058】
本システムでは、統計パラメータとして、悪意のある通信の場合に特徴的な値を示すものが選択されている。たとえば、無線回線を故意に占有しようとする通信の場合、受信間隔が短い、受信データサイズが大きい、受信数が多い、送信待機時間が短い、といった特徴があると考えられる。
【0059】
分析手法は、統計パラメータの「受信間隔」「受信データサイズ」「受信数」「送信待機時間」の4つについて、利用可能な統計手法により特徴パラメータを用いて相関を算出し、演算された相関値をクラスタ毎の特徴量データとする。
例えば、「受信間隔」については、特徴パラメータ「FCBySrc」「SseqByOrg」「MTByOrg」について、単一時間における増分を利用可能な統計手法「平均」又は「標準偏差」により算出し、更にクラスタリング分類の特徴パラメータ名に対応する使用パラメータ1,2を用いて演算して分類を行い、分類されたクラスタで既に記憶する特徴パラメータの値との相関を演算し、その相関に基づいてクラスタにおける特徴量データを出力する。
尚、図5で、受信データサイズについて対応する特徴パラメータが示されていないが、その他のパラメータ等によって統計手法の演算を行うものである。
例えば、「受信間隔」については、特徴パラメータ「FCBySrc」「SseqByOrg」「MTByOrg」について、単一時間における増分を利用可能な統計手法「平均」又は「標準偏差」により算出し、更にクラスタリング分類の特徴パラメータ名に対応する使用パラメータ1,2を用いて演算して分類を行い、分類されたクラスタで既に記憶する特徴パラメータの値との相関を演算し、その相関に基づいてクラスタにおける特徴量データを出力する。
尚、図5で、受信データサイズについて対応する特徴パラメータが示されていないが、その他のパラメータ等によって統計手法の演算を行うものである。
【0060】
[特徴量抽出部42:図6]
次に、制御端末4における特徴量抽出部42の具体的な構成について図6を参照しながら説明する。図6は、特徴量抽出部の構成ブロック図である。
特徴量抽出部42は、図6に示すように、パラメータ抽出部422と、増分統計処理部423と、クラスタリング処理部424とを備えている。
次に、制御端末4における特徴量抽出部42の具体的な構成について図6を参照しながら説明する。図6は、特徴量抽出部の構成ブロック図である。
特徴量抽出部42は、図6に示すように、パラメータ抽出部422と、増分統計処理部423と、クラスタリング処理部424とを備えている。
【0061】
[パラメータ抽出部422]
パラメータ抽出部422は、フレーム情報出力部114から入力された受信フレーム情報から図3に示すフレーム内の単一時間増分統計の対象パラメータを抽出し、増分統計処理部423に出力する。図3の対象パラメータは受信フレームの増分を測定するのに適したものである。
パラメータ抽出部422は、フレーム情報出力部114から入力された受信フレーム情報から図3に示すフレーム内の単一時間増分統計の対象パラメータを抽出し、増分統計処理部423に出力する。図3の対象パラメータは受信フレームの増分を測定するのに適したものである。
【0062】
[増分統計処理部423]
増分統計処理部423は、対象パラメータについて一定期間における増分を算出し、増分傾向の統計を演算する処理を行う。
統計手法は、図5に示したように、4つの統計パラメータについて、平均、標準偏差、共分散、積率相関係数の内、各統計パラメータに適用可能な手法を用いる。
増分統計処理部423は、対象パラメータについて一定期間における増分を算出し、増分傾向の統計を演算する処理を行う。
統計手法は、図5に示したように、4つの統計パラメータについて、平均、標準偏差、共分散、積率相関係数の内、各統計パラメータに適用可能な手法を用いる。
【0063】
増分統計処理部423は、例えば、図5の統計パラメータ「受信間隔」について、統計手法「平均」又は「標準偏差」を用いて一定時間における統計処理を行う場合、特徴パラメータ「FCBySrc」「SseqByOrg」「MTbyOrg」を用い、図3に示す当該パラメータ名に対応する使用パラメータ1,2により統計処理を行い、統計処理後のパラメータを算出する。
【0064】
[クラスタリング処理部424]
クラスタリング処理部424は、統計処理後のパラメータ(統計処理後パラメータ)を入力して、図4に示したパラメータに基づいてクラスタリングの分類を行い、クラスタ数に依存した特徴量データ(特徴データ)を正常学習部43と異常学習部44に出力する。
具体的には、クラスタリング処理部424は、「受信間隔」「受信データサイズ」「受信数」「送信待機時間」の4つの統計処理後パラメータについて、図4の特徴パラメータ名を元に使用パラメータ1,2を用いて演算してクラスタリング分類し、既に分類されて蓄積された特徴パラメータの値との相関を演算し、当該相関の値に基づいて当該クラスタにおける特徴量データ(特徴データ)を出力する。
クラスタリング処理部424は、統計処理後のパラメータ(統計処理後パラメータ)を入力して、図4に示したパラメータに基づいてクラスタリングの分類を行い、クラスタ数に依存した特徴量データ(特徴データ)を正常学習部43と異常学習部44に出力する。
具体的には、クラスタリング処理部424は、「受信間隔」「受信データサイズ」「受信数」「送信待機時間」の4つの統計処理後パラメータについて、図4の特徴パラメータ名を元に使用パラメータ1,2を用いて演算してクラスタリング分類し、既に分類されて蓄積された特徴パラメータの値との相関を演算し、当該相関の値に基づいて当該クラスタにおける特徴量データ(特徴データ)を出力する。
【0065】
[制御端末4の一部構成:図7]
次に、制御端末4の具体的な構成ついて図7を参照しながら説明する。図7は、制御端末の一部構成ブロック図である。
制御端末4の一部構成は、図7に示すように、統計表示・制御部41と、正常学習部43と、異常学習部44が示されている。
統計表示・制御部41は、図7に示すように、出力制御部411と、表示部412と、ホワイト/ブラックリスト制御部413と、ルータ/通信装置制御部414とを備えている。
次に、制御端末4の具体的な構成ついて図7を参照しながら説明する。図7は、制御端末の一部構成ブロック図である。
制御端末4の一部構成は、図7に示すように、統計表示・制御部41と、正常学習部43と、異常学習部44が示されている。
統計表示・制御部41は、図7に示すように、出力制御部411と、表示部412と、ホワイト/ブラックリスト制御部413と、ルータ/通信装置制御部414とを備えている。
【0066】
[出力制御部411]
出力制御部411は、学習・異常検出切替部4111と、ホワイト/ブラック判定部4112と、ホワイトリスト記憶部4113と、ブラックリスト記憶部4114とを有している。
出力制御部411は、学習・異常検出切替部4111と、ホワイト/ブラック判定部4112と、ホワイトリスト記憶部4113と、ブラックリスト記憶部4114とを有している。
【0067】
[学習・異常検出切替部4111]
学習・異常検出切替部4111は、フレーム情報出力部114からの受信フレーム情報を入力してホワイト/ブラック判定部4112に出力し、ホワイト/ブラック判定部4112からの判定結果により受信フレームの正常(ホワイト)又は異常(ブラック)を検出し、表示部412には受信フレーム情報を出力すると共に検出結果を出力切替として正常学習部43と異常学習部44に出力する。
但し、学習・異常検出切替部4111は、正常又は異常のいずれも検出されない場合には、検出結果を出力せずに、受信フレーム情報のみを表示部412に出力する。
学習・異常検出切替部4111は、フレーム情報出力部114からの受信フレーム情報を入力してホワイト/ブラック判定部4112に出力し、ホワイト/ブラック判定部4112からの判定結果により受信フレームの正常(ホワイト)又は異常(ブラック)を検出し、表示部412には受信フレーム情報を出力すると共に検出結果を出力切替として正常学習部43と異常学習部44に出力する。
但し、学習・異常検出切替部4111は、正常又は異常のいずれも検出されない場合には、検出結果を出力せずに、受信フレーム情報のみを表示部412に出力する。
【0068】
また、学習・異常検出切替部4111は、入力された受信フレーム情報がホワイト(正常)と判定すると、入力された特徴データを正常学習部43に学習させる指示(学習指示)を出力切替として正常学習部43に出力する。
更に、学習・異常検出切替部4111は、入力された受信フレーム情報がブラック(異常)と判定すると、入力された特徴データを異常学習部44に学習させる指示(学習指示)を出力切替として異常学習部44に出力する。
つまり、学習・異常検出切替部4111は、入力された受信フレーム情報毎に、出力切替(学習指示)を正常学習部43又は異常学習部44のいずれか一方に出力する。
更に、学習・異常検出切替部4111は、入力された受信フレーム情報がブラック(異常)と判定すると、入力された特徴データを異常学習部44に学習させる指示(学習指示)を出力切替として異常学習部44に出力する。
つまり、学習・異常検出切替部4111は、入力された受信フレーム情報毎に、出力切替(学習指示)を正常学習部43又は異常学習部44のいずれか一方に出力する。
【0069】
[ホワイト/ブラック判定部4112]
ホワイト/ブラック判定部4112は、学習・異常検出切替部4111からの受信フレーム情報を入力し、ホワイトリスト記憶部4113とブラックリスト記憶部4114を参照して、当該受信フレーム情報がホワイトリスト記憶部4113に記憶されているか、ブラックリスト記憶部4114に記憶されているかを判定し、判定結果を学習・異常検出切替部4111に出力する。
判定結果は、ホワイトリスト記憶部4113に記憶されていれば「正常」となり、ブラックリスト記憶部4114に記憶されていれば「異常」となる。
ホワイト/ブラック判定部4112は、学習・異常検出切替部4111からの受信フレーム情報を入力し、ホワイトリスト記憶部4113とブラックリスト記憶部4114を参照して、当該受信フレーム情報がホワイトリスト記憶部4113に記憶されているか、ブラックリスト記憶部4114に記憶されているかを判定し、判定結果を学習・異常検出切替部4111に出力する。
判定結果は、ホワイトリスト記憶部4113に記憶されていれば「正常」となり、ブラックリスト記憶部4114に記憶されていれば「異常」となる。
【0070】
[ホワイトリスト記憶部4113]
ホワイトリスト記憶部4113は、複数の正常(ホワイト)な受信フレーム情報をリストとして記憶しており、ホワイト/ブラックリスト制御部413からホワイトリスト更新用の受信フレーム情報が入力されると、ホワイトリスト記憶部4113の更新を行う。
つまり、ホワイト/ブラックリスト制御部413からのホワイトリスト更新用の受信フレーム情報がホワイトリスト記憶部4113に蓄積される。
ホワイトリスト記憶部4113は、複数の正常(ホワイト)な受信フレーム情報をリストとして記憶しており、ホワイト/ブラックリスト制御部413からホワイトリスト更新用の受信フレーム情報が入力されると、ホワイトリスト記憶部4113の更新を行う。
つまり、ホワイト/ブラックリスト制御部413からのホワイトリスト更新用の受信フレーム情報がホワイトリスト記憶部4113に蓄積される。
【0071】
[ブラックリスト記憶部4114]
ブラックリスト記憶部4114は、複数の異常(ブラック)な受信フレーム情報をリストとして記憶しており、ホワイト/ブラックリスト制御部413からブラックリスト更新用の受信フレーム情報が入力されると、ブラックリスト記憶部4114の更新を行う。
つまり、ホワイト/ブラックリスト制御部413からのブラックリスト更新用の受信フレーム情報がブラックリスト記憶部4114に蓄積される。
ブラックリスト記憶部4114は、複数の異常(ブラック)な受信フレーム情報をリストとして記憶しており、ホワイト/ブラックリスト制御部413からブラックリスト更新用の受信フレーム情報が入力されると、ブラックリスト記憶部4114の更新を行う。
つまり、ホワイト/ブラックリスト制御部413からのブラックリスト更新用の受信フレーム情報がブラックリスト記憶部4114に蓄積される。
【0072】
[表示部412]
表示部412は、出力制御部411の学習・異常検出切替部4111からの受信フレーム情報を入力し、正常学習部43から誤差出力を入力し、異常学習部44から誤差出力を入力し、通信管理者等に正常又は異常な受信フレーム情報に対する受信誤差表示を行う。
また、表示部412は、入力された受信フレーム情報をホワイト/ブラックリスト制御部413に出力する。受信フレーム情報の出力に際して、正常の誤差出力又は異常の誤差出力を併せて出力してもよい。
表示部412は、出力制御部411の学習・異常検出切替部4111からの受信フレーム情報を入力し、正常学習部43から誤差出力を入力し、異常学習部44から誤差出力を入力し、通信管理者等に正常又は異常な受信フレーム情報に対する受信誤差表示を行う。
また、表示部412は、入力された受信フレーム情報をホワイト/ブラックリスト制御部413に出力する。受信フレーム情報の出力に際して、正常の誤差出力又は異常の誤差出力を併せて出力してもよい。
【0073】
[ホワイト/ブラックリスト制御部413]
ホワイト/ブラックリスト制御部413は、受信フレーム情報に対して受信の許可又は禁止(許可/禁止)の判断を行う誤差に対する閾値を記憶しており、入力される受信フレーム情報について入力される正常の誤差と異常の誤差に基づき正常(ホワイト)又は異常(ブラック)の判定を行い、その判定結果と受信フレーム情報をホワイトリスト記憶部4113又はブラックリスト記憶部4114に出力する。
尚、正常又は異常の判定処理に、表示部412から入力される正常又は異常の誤差出力が参考にされる。
ホワイト/ブラックリスト制御部413は、受信フレーム情報に対して受信の許可又は禁止(許可/禁止)の判断を行う誤差に対する閾値を記憶しており、入力される受信フレーム情報について入力される正常の誤差と異常の誤差に基づき正常(ホワイト)又は異常(ブラック)の判定を行い、その判定結果と受信フレーム情報をホワイトリスト記憶部4113又はブラックリスト記憶部4114に出力する。
尚、正常又は異常の判定処理に、表示部412から入力される正常又は異常の誤差出力が参考にされる。
【0074】
具体的には、ホワイト/ブラックリスト制御部413は、入力された受信フレーム情報を正常と判定した場合には、当該受信フレーム情報をホワイトリスト記憶部4113にホワイトリスト更新用の受信フレーム情報として出力し、入力された受信フレーム情報を異常と判定した場合には、当該受信フレーム情報をブラックリスト記憶部4114にブラックリスト更新用の受信フレーム情報として出力する。
【0075】
また、ホワイト/ブラックリスト制御部413は、通信管理者等からの許可/禁止の登録に基づいて、許可/禁止の判定の閾値を変更して調整する。
尚、ホワイト/ブラックリスト制御部413は、閾値による受信の許可/禁止の判断を行わず、全て通信管理者等からの許可/禁止の登録指示で判別し、ホワイトリスト記憶部4113又はブラックリスト記憶部4114への更新を行い、ルータ/通信装置制御部414へのアクセス制御を行うようにしてもよい。これはマニュアルによる制御動作となる。
尚、ホワイト/ブラックリスト制御部413は、閾値による受信の許可/禁止の判断を行わず、全て通信管理者等からの許可/禁止の登録指示で判別し、ホワイトリスト記憶部4113又はブラックリスト記憶部4114への更新を行い、ルータ/通信装置制御部414へのアクセス制御を行うようにしてもよい。これはマニュアルによる制御動作となる。
【0076】
また、ホワイト/ブラックリスト制御部413は、受信フレーム情報の正常/異常を判断すると、ルータ/通信装置制御部414にアクセス制御の情報を出力する。
受信フレーム情報が異常の場合は、受信禁止のアクセス制御情報となり、受信フレーム情報が正常の場合は、受信禁止解除のアクセス情報となる。
受信フレーム情報が異常の場合は、受信禁止のアクセス制御情報となり、受信フレーム情報が正常の場合は、受信禁止解除のアクセス情報となる。
【0077】
[ルータ/通信装置制御部414]
ルータ/通信装置制御部414は、ホワイト/ブラックリスト制御部413から受信禁止又は受信禁止解除のアクセス制御情報を入力し、それらのアクセス制御情報をルータ等の中継装置3及び通信装置1に出力する。通信装置1では、特にネットワーク部11のフレーム送受信部112にアクセス制御情報が出力される。アクセス制御情報を入力した中継装置3及び通信装置1では、受信の禁止又は解除の処理が為される。
ルータ/通信装置制御部414は、ホワイト/ブラックリスト制御部413から受信禁止又は受信禁止解除のアクセス制御情報を入力し、それらのアクセス制御情報をルータ等の中継装置3及び通信装置1に出力する。通信装置1では、特にネットワーク部11のフレーム送受信部112にアクセス制御情報が出力される。アクセス制御情報を入力した中継装置3及び通信装置1では、受信の禁止又は解除の処理が為される。
【0078】
[正常学習部43、異常学習部44:図8]
次に、正常学習部43と異常学習部44について図8を参照しながら説明する。図8は、 正常学習部/異常学習部を示す構成ブロック図である。
正常学習部43は、図8(a)に示すように、自己符号化器431と、誤差抽出/差分検出部432と、出力判定部433とを有している。
また、異常学習部44は、図8(b)に示すように、自己符号化器441と、誤差抽出/差分検出部442と、出力判定部443とを有している。
次に、正常学習部43と異常学習部44について図8を参照しながら説明する。図8は、 正常学習部/異常学習部を示す構成ブロック図である。
正常学習部43は、図8(a)に示すように、自己符号化器431と、誤差抽出/差分検出部432と、出力判定部433とを有している。
また、異常学習部44は、図8(b)に示すように、自己符号化器441と、誤差抽出/差分検出部442と、出力判定部443とを有している。
【0079】
[自己符号化器431]
自己符号化器431は、正常な特徴量データだけを教師データとして入力し、入力データを符号化し、符号化されたデータを復号化した場合に、入力データと復号データが同じになるよう学習されたモデル(学習モデル)を有する符号化器(Autoencoder)であり、誤差抽出/差分検出部432には入力データと復号データが出力される。
自己符号化器431は、正常な特徴量データだけを教師データとして入力し、入力データを符号化し、符号化されたデータを復号化した場合に、入力データと復号データが同じになるよう学習されたモデル(学習モデル)を有する符号化器(Autoencoder)であり、誤差抽出/差分検出部432には入力データと復号データが出力される。
【0080】
従って、自己符号化器431は、正常な特徴量データが入力されると、学習モデルが正常な特徴量データとなるよう復号するものであり、入力データと復号データとの誤差は小さいものとなるが、正常ではない特徴量データが入力されると、学習モデルが正常でない特徴量データについて学習していないから、入力データと復号データとの誤差は大きいものとなる。
【0081】
[自己符号化器441]
自己符号化器441は、異常な特徴量データだけを教師データとして入力し、入力データを符号化し、符号化されたデータを復号化した場合に、入力データと復号データが同じになるよう学習された学習モデルを有する符号化器であり、誤差抽出/差分検出部442には入力データと復号データが出力される。
自己符号化器441は、異常な特徴量データだけを教師データとして入力し、入力データを符号化し、符号化されたデータを復号化した場合に、入力データと復号データが同じになるよう学習された学習モデルを有する符号化器であり、誤差抽出/差分検出部442には入力データと復号データが出力される。
【0082】
従って、自己符号化器441は、異常な特徴量データが入力されると、学習モデルが異常な特徴量データとなるよう復号するものであり、入力データと復号データとの誤差は小さいものとなるが、異常ではない特徴量データが入力されると、学習モデルが異常ではない特徴量データについて学習していないから、入力データと復号データとの誤差は大きいものとなる。
【0083】
[誤差抽出/差分検出部432,442]
誤差抽出/差分検出部432,442は、自己符号化器431,441からの特徴量データと復号データとを入力し、両データについて誤差を抽出し、差分を検出して当該差分の情報(差分情報)を出力判定部433,443に出力する。
誤差抽出/差分検出部432,442は、自己符号化器431,441からの特徴量データと復号データとを入力し、両データについて誤差を抽出し、差分を検出して当該差分の情報(差分情報)を出力判定部433,443に出力する。
【0084】
[出力判定433,443]
出力判定433,443は、誤差抽出/差分検出部432,442からの差分情報を入力し、その差分情報を表示部412に誤差出力する。
また、出力判定433,443は、出力制御部411の学習・異常検出切替部4111からの出力切替の指示が入力されると、差分を訂正するための勾配情報を自己符号化器431,441にフィードバックして勾配反映を行う。
出力判定433,443は、誤差抽出/差分検出部432,442からの差分情報を入力し、その差分情報を表示部412に誤差出力する。
また、出力判定433,443は、出力制御部411の学習・異常検出切替部4111からの出力切替の指示が入力されると、差分を訂正するための勾配情報を自己符号化器431,441にフィードバックして勾配反映を行う。
【0085】
具体的には、出力判定部433は、学習・異常検出切替部4111からの受信フレーム情報がホワイトリスト記憶部4113にある場合に出力切替の指示が入力される。つまり、特徴量データはホワイトリストにある正常な受信フレームのものであるので、自己符号化器431に勾配反映させて当該特徴量データを正常な教師データとして学習させる。
【0086】
また、出力判定部443は、学習・異常検出切替部4111からの受信フレーム情報がブラックリスト記憶部4114にある場合に出力切替の指示が入力される。つまり、特徴量データはブラックリストにある異常な受信フレームのものであるので、自己符号化器441に勾配反映させて当該特徴量データを異常な教師データとして学習させる。
【0087】
[本システムにおける処理動作:図1]
次に、本システムの特徴的な処理動作について図1を参照しながら説明する。
本システムでは、アンテナ15、高周波部14、無線信号処理部13、無線アクセス制御部12を経由して受信された通信データ(受信フレーム)がネットワーク部11に入力され、ネットワーク部11におけるフレーム送受信部112が受信フレームから受信フレームに関する制御情報を取得してフレーム情報出力部114に出力する。
次に、本システムの特徴的な処理動作について図1を参照しながら説明する。
本システムでは、アンテナ15、高周波部14、無線信号処理部13、無線アクセス制御部12を経由して受信された通信データ(受信フレーム)がネットワーク部11に入力され、ネットワーク部11におけるフレーム送受信部112が受信フレームから受信フレームに関する制御情報を取得してフレーム情報出力部114に出力する。
【0088】
フレーム情報出力部114が、受信フレームに関する制御情報から特徴量を抽出するための受信フレーム情報を生成し、制御端末4に出力する。
制御端末4は、受信フレーム情報から特徴量データ(特徴データ)を抽出し、正常学習部43又は異常学習部44に出力する。
正常学習部43と異常学習部44は、特徴データに基づき正常な受信フレーム情報と異常な受信フレーム情報の学習を行う。
制御端末4は、受信フレーム情報から特徴量データ(特徴データ)を抽出し、正常学習部43又は異常学習部44に出力する。
正常学習部43と異常学習部44は、特徴データに基づき正常な受信フレーム情報と異常な受信フレーム情報の学習を行う。
【0089】
また、制御端末4の統計表示・制御部41は、入力された受信フレーム情報の正常又は異常を正常学習部43及び異常学習部44での学習結果を基にして判定し、異常であれば中継装置3及びフレーム送受信部112に受信禁止を指示し、当該受信フレームの受信を遮断し、正常であれば中継装置3及びフレーム送受信部112に受信禁止解除を指示し、受信フレームの受信を行う。
これにより、本システムは、異常な無線通信(悪意のあるような無線通信)を検出して通信を遮断し、無線回線の不正な占有を回避して、通信のセキュリティと品質を確保できるものである。
これにより、本システムは、異常な無線通信(悪意のあるような無線通信)を検出して通信を遮断し、無線回線の不正な占有を回避して、通信のセキュリティと品質を確保できるものである。
【0090】
[実施の形態の効果]
本システムによれば、通信装置1のフレーム送受信部112が、受信したフレームの制御情報をフレーム情報出力部114に出力し、フレーム情報出力部114が、フレームの特徴量を抽出するための受信フレーム情報を制御端末4に出力し、制御端末4が、受信フレーム情報が正常又は異常かをホワイトリスト又はブラックリストに基づいて判定し、異常と判定した場合に通信装置1のフレーム送受信部112及び中継装置3に受信禁止のアクセス制御情報を出力し、正常と判定した場合にフレーム送受信部112及び中継装置3に受信禁止解除のアクセス制御情報を出力し、受信の遮断又は受信の遮断解除を行う移動通信システムとしているので、通信に用いられる制御情報に誤りがなくても悪意のある無線通信を異常な無線通信として検出し、無線回線の不正な占有を防止して、通信のセキュリティと品質を確保できる効果がある。
本システムによれば、通信装置1のフレーム送受信部112が、受信したフレームの制御情報をフレーム情報出力部114に出力し、フレーム情報出力部114が、フレームの特徴量を抽出するための受信フレーム情報を制御端末4に出力し、制御端末4が、受信フレーム情報が正常又は異常かをホワイトリスト又はブラックリストに基づいて判定し、異常と判定した場合に通信装置1のフレーム送受信部112及び中継装置3に受信禁止のアクセス制御情報を出力し、正常と判定した場合にフレーム送受信部112及び中継装置3に受信禁止解除のアクセス制御情報を出力し、受信の遮断又は受信の遮断解除を行う移動通信システムとしているので、通信に用いられる制御情報に誤りがなくても悪意のある無線通信を異常な無線通信として検出し、無線回線の不正な占有を防止して、通信のセキュリティと品質を確保できる効果がある。
【0091】
また、本システムは、制御端末4の特徴抽出部42が、受信フレーム情報から特徴量データを抽出し、統計表示・制御部41が、受信フレーム情報が正常であれば正常な特徴量データとして正常学習部43に学習させ、受信フレーム情報が異常であれば異常な特徴量データとして異常学習部44に学習させ、当該学習結果を用いてホワイトリスト又はブラックリストを更新する上記移動通信システムとしているので、特徴量データを学習させてホワイトリスト又はブラックリストを更新して受信フレーム情報の正常又は異常の判定精度を向上させることができるものである。
【産業上の利用可能性】
【0092】
本発明は、悪意のある無線通信を異常な無線通信として検出して通信を遮断し、無線回線の不正な占有を回避して、通信のセキュリティと品質を確保する移動通信システムに好適である。
【符号の説明】
【0093】
1…通信装置、 2…通信端末、 3…中継装置、 4,40…制御端末、 10…通信装置、 11,110…ネットワーク部、 12…無線アクセス制御部、12a…送受信カウンタ、 13…無線信号処理部、 14…高周波部、 15…アンテナ、 41…統計表示・制御部、 42…特徴抽出部、 43…正常学習部、 44…異常学習部、 45…統計表示部、 111,1101…QoS機能部、 112,1102…フレーム送受信部、 113,1103…通信方式機能部、 114…フレーム情報出力部、 411…出力制御部、 412…表示部、 413…ホワイト/ブラックリスト制御部、 414…ルータ/通信装置制御部、 422…パラメータ抽出部、 423…増分統計処理部、 424…クラスタリング処理部、 431,441…自己符号化器、 432,442…誤差抽出/差分検出部、 433,443…出力判定部、 4111…学習・異常検出切替部、 4112…ホワイト/ブラック判定部、 4113…ホワイトリスト記憶部、 4114…ブラックリスト記憶部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】