知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-07
(45)【発行日】2024-05-15
(54)【発明の名称】通信解析システム、通信解析方法及びコンピュータプログラム
(51)【国際特許分類】
H04L 41/08 20220101AFI20240508BHJP
H04L 43/02 20220101ALI20240508BHJP
【FI】
H04L41/08
H04L43/02
【請求項の数】
6
(21)【出願番号】P 2021123572
(22)【出願日】2021-07-28
(65)【公開番号】P2023019091
(43)【公開日】2023-02-09
【審査請求日】2023-07-18
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100165179
【弁理士】
【氏名又は名称】田▲崎▼ 聡
(74)【代理人】
【識別番号】100175824
【弁理士】
【氏名又は名称】小林 淳一
(74)【代理人】
【識別番号】100114937
【弁理士】
【氏名又は名称】松本 裕幸
(72)【発明者】
【氏名】中原 正隆
(72)【発明者】
【氏名】奥井 宣広
(72)【発明者】
【氏名】三宅 優
(72)【発明者】
【氏名】窪田 歩
【審査官】鈴木 香苗
(56)【参考文献】
【文献】特開2021-093689(JP,A)
【文献】特開2011-035932(JP,A)
【文献】特開平2-110598(JP,A)
【文献】米国特許出願公開第2020/0160104(US,A1)
【文献】国際公開第2021/014592(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 41/08
H04L 43/02
(57)【特許請求の範囲】
【請求項1】
解析サーバと、中継装置と、を備え、前記中継装置は、
一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出部と、
前記特徴抽出部によって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除部と、
前記重複削除部によって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信部と、を備え、
前記解析サーバは、
前記データ送信部から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信部と、
前記サーバ受信部によって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元部と、を備え、
前記データ復元部によって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する、
通信解析システム。
【請求項2】
前記データ復元部は、端末装置の個別又は種類別に圧縮特徴量データから特徴量データを復元する復元割合を示す復元割合データを保持し、
前記復元割合データに示される復元割合に従って復元対象の端末装置の圧縮特徴量データから特徴量データを復元する、
請求項1に記載の通信解析システム。
【請求項3】
前記解析サーバは、前記データ復元部によって行われた復元の結果の特徴量データに基づいて端末装置における通信の異常を検知するための異常検知モデルの学習を行う学習部と、
前記学習部によって学習が行われた異常検知モデルを使用して検知対象の端末装置における通信の異常を検知する異常検知部と、を備える、
請求項1又は2のいずれか1項に記載の通信解析システム。
【請求項4】
前記端末装置はIoTデバイスである、請求項1から3のいずれか1項に記載の通信解析システム。
【請求項5】
解析サーバと中継装置とを備える通信解析システムが実行する通信解析方法であって、前記中継装置が、一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出ステップと、
前記中継装置が、前記特徴抽出ステップによって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除ステップと、
前記中継装置が、前記重複削除ステップによって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信ステップと、
前記解析サーバが、前記中継装置から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信ステップと、
前記解析サーバが、前記サーバ受信ステップによって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元ステップと、
前記解析サーバが、前記データ復元ステップによって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する解析ステップと、
を含む通信解析方法。
【請求項6】
解析サーバと中継装置とを備える通信解析システムにおいて、前記中継装置のコンピュータに、
一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出ステップと、
前記特徴抽出ステップによって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除ステップと、
前記重複削除ステップによって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信ステップと、
を実行させ、
前記解析サーバのコンピュータに、
前記中継装置から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信ステップと、
前記サーバ受信ステップによって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元ステップと、
前記データ復元ステップによって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する解析ステップと、
を実行させるためのコンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信解析システム、通信解析方法及びコンピュータプログラムに関する。
【背景技術】
【0002】
従来、例えばカメラや温湿度センサー等のIoT(Internet of Things)機器(IoTデバイス)から送信される通信データを用いて当該IoTデバイスにおける異常状態(例えばマルウェアに感染している状態)を検知するための技術が知られている。例えば特許文献1に記載された技術では、ホームゲートウェイが、IoTデバイス等の端末装置から送信されるパケットの発信元情報および発信先情報を含む対象情報について所定の統計化処理を行い、当該統計化情報を解析サーバへ送信する。そして、解析サーバが、ホームゲートウェイから受信した統計化情報に基づいて解析処理を実行する。
【0003】
また、特許文献2には、IoTデバイスとデータセンターとの間の通信において、データセンターへ転送されるIoTデバイスのセンサデータの転送量を圧縮するために、深層ニューラルネットワークによる深層生成モデルを用いた圧縮データの生成および再現の技術が記載されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2021-93689号公報
【文献】特開2018-61091号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかし、上述した特許文献1に記載された技術では、ホームゲートウェイから解析サーバへ送信される統計化情報のデータ量を削減することが課題であった。また、上述した特許文献2に記載された技術では、深層生成モデルによって多次元同時確率分布を生成することによりデータの再現を行うが、深層生成モデルの性能によってデータの再現の精度が不十分になる場合があった。深層生成モデルの性能向上のためには、大量の学習データを取得して深層生成モデルの学習を行う必要があるが、特にホームネットワークなどではそのような学習環境を用意することが難しい。
【0006】
本発明は、このような事情を考慮してなされたものであり、その目的は、ホームネットワーク等に接続されるIoTデバイス等の端末装置における通信の異常等を解析する解析サーバへ通信により送られる「端末装置の通信データの特徴量を含む特徴量データ」に対してデータ量の削減とその復元とを簡易に実現することを図ることにある。
【課題を解決するための手段】
【0007】
(1)本発明の一態様は、解析サーバと、中継装置と、を備え、前記中継装置は、一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出部と、前記特徴抽出部によって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除部と、前記重複削除部によって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信部と、を備え、前記解析サーバは、前記データ送信部から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信部と、前記サーバ受信部によって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元部と、を備え、前記データ復元部によって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する、通信解析システムである。
(2)本発明の一態様は、前記データ復元部は、端末装置の個別又は種類別に圧縮特徴量データから特徴量データを復元する復元割合を示す復元割合データを保持し、前記復元割合データに示される復元割合に従って復元対象の端末装置の圧縮特徴量データから特徴量データを復元する、上記(1)の通信解析システムである。
(3)本発明の一態様は、前記解析サーバは、前記データ復元部によって行われた復元の結果の特徴量データに基づいて端末装置における通信の異常を検知するための異常検知モデルの学習を行う学習部と、前記学習部によって学習が行われた異常検知モデルを使用して検知対象の端末装置における通信の異常を検知する異常検知部と、を備える、上記(1)又は(2)のいずれかの通信解析システムである。
(4)本発明の一態様は、前記端末装置はIoTデバイスである、上記(1)から(3)のいずれかの通信解析システムである。
(2)本発明の一態様は、前記データ復元部は、端末装置の個別又は種類別に圧縮特徴量データから特徴量データを復元する復元割合を示す復元割合データを保持し、前記復元割合データに示される復元割合に従って復元対象の端末装置の圧縮特徴量データから特徴量データを復元する、上記(1)の通信解析システムである。
(3)本発明の一態様は、前記解析サーバは、前記データ復元部によって行われた復元の結果の特徴量データに基づいて端末装置における通信の異常を検知するための異常検知モデルの学習を行う学習部と、前記学習部によって学習が行われた異常検知モデルを使用して検知対象の端末装置における通信の異常を検知する異常検知部と、を備える、上記(1)又は(2)のいずれかの通信解析システムである。
(4)本発明の一態様は、前記端末装置はIoTデバイスである、上記(1)から(3)のいずれかの通信解析システムである。
【0008】
(5)本発明の一態様は、解析サーバと中継装置とを備える通信解析システムが実行する通信解析方法であって、前記中継装置が、一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出ステップと、前記中継装置が、前記特徴抽出ステップによって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除ステップと、前記中継装置が、前記重複削除ステップによって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信ステップと、前記解析サーバが、前記中継装置から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信ステップと、前記解析サーバが、前記サーバ受信ステップによって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元ステップと、前記解析サーバが、前記データ復元ステップによって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する解析ステップと、を含む通信解析方法である。
【0009】
(6)本発明の一態様は、解析サーバと中継装置とを備える通信解析システムにおいて、前記中継装置のコンピュータに、一の端末装置から送信される通信データが集約された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する特徴抽出ステップと、前記特徴抽出ステップによって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する重複削除ステップと、前記重複削除ステップによって生成された圧縮特徴量データ及び重複数データを前記解析サーバへ送信するデータ送信ステップと、を実行させ、前記解析サーバのコンピュータに、前記中継装置から送信された圧縮特徴量データ及び重複数データを受信するサーバ受信ステップと、前記サーバ受信ステップによって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行うデータ復元ステップと、前記データ復元ステップによって行われた復元の結果の特徴量データに基づいて通信の解析処理を実行する解析ステップと、を実行させるためのコンピュータプログラムである。
【発明の効果】
【0010】
本発明によれば、ホームネットワーク等に接続されるIoTデバイス等の端末装置における通信の異常等を解析する解析サーバへ通信により送られる「端末装置の通信データの特徴量を含む特徴量データ」に対してデータ量の削減とその復元とを簡易に実現することができるという効果が得られる。
【図面の簡単な説明】
【0011】
【図1】一実施形態に係る通信解析システムの構成例を示すブロック図である。
【図2】一実施形態に係る特徴量データの構成例を示す図である。
【図3】一実施形態に係る圧縮特徴量データ及び重複数データの構成例を示す図である。
【図4】一実施形態に係る通信解析方法の手順の例を示すフローチャートである。
【図5】一実施形態に係る通信解析方法の手順の例を示すフローチャートである。
【発明を実施するための形態】
【0012】
以下、図面を参照し、本発明の実施形態について説明する。本実施形態では、端末装置の一例としてIoT機器(IoTデバイス)を挙げて説明する。
【0013】
図1は、一実施形態に係る通信解析システムの構成例を示すブロック図である。図1において、通信解析システム1は、エッジサーバ3(3-1、3-2)と、解析サーバ5とを備える。エッジサーバ3は中継装置に対応する。解析サーバ5は、通信回線によりエッジサーバ3(3-1、3-2)と接続される。図1に例では、1台の解析サーバ5に対して2台のエッジサーバ3-1,3-2が接続されるが、1台の解析サーバ5に接続されるエッジサーバ3は1台であってもよく、2台又は3台以上であってもよい。
【0014】
エッジサーバ3(3-1、3-2)は、通信回線によりローカルネットワーク100(100-1、100-2、100-3)と接続される。図1に例では、1台のエッジサーバ3に対して1つ又は2つのローカルネットワーク100が接続されるが、1台のエッジサーバ3に接続されるローカルネットワーク100は1つであってもよく、2つ又は3つ以上であってもよい。
【0015】
ローカルネットワーク100(100-1、100-2、100-3)内には、IoTデバイスDE(DE-1,2、DE-3,4、DE-5,6)とデータ集約転送部101とが接続される。図1に例では、1つのローカルネットワーク100内に2つのIoTデバイスDEが接続されるが、1つのローカルネットワーク100内に接続されるIoTデバイスDEは1つであってもよく、2つ又は3つ以上であってもよい。
【0016】
ローカルネットワーク100は、例えば、宅内に設けられたネットワーク、オフィス内に設けられたネットワーク、工場内に設けられたネットワークなどであってもよい。
【0017】
IoTデバイスDEは、例えば、温湿度センサーや電力計等の計測センサー、監視カメラやWebカメラ等のカメラ機器、エアコンやスマートスピーカー等の家電機器などであってもよい。
【0018】
IoTデバイスDEは、ローカルネットワーク100内に設けられたゲートウェイ装置(図示せず)を介して、ローカルネットワーク100の外部のネットワーク例えばインターネットに接続されているサーバ等と通信を行う。
【0019】
データ集約転送部101は、例えば、ローカルネットワーク100内に設けられたゲートウェイ装置に備わってもよく、又は単独の装置として構成されてもよい。
【0020】
データ集約転送部101は、各IoTデバイスDEから送信される通信データを集約し、集約された集約通信データをエッジサーバ3へ転送する。集約通信データは、IoTデバイスDE毎に生成される。集約通信データは、対象のIoTデバイスDEの識別子(デバイスID)を含む情報である。集約通信データは、IoTデバイスDEが送信したパケットから構成されてもよく、又はIoTデバイスDEが送信したパケットから抽出された通信フロー情報から構成されてもよい。
【0021】
通信フロー情報は、IoTデバイスDEが行う通信の流れ(通信フロー)を示す情報である。通信フロー情報は、例えば送信元IPアドレスや宛先IPアドレスや送信元MACアドレスや宛先MACアドレスや送信元ポート番号や宛先ポート番号や通信プロトコルやパケット数やパケット長等の情報である。
【0022】
データ集約転送部101は、集約通信データを所定のエッジサーバ3へ送信する。図1の例では、ローカルネットワーク100-1及び100-2のデータ集約転送部101は、集約通信データをエッジサーバ3-1へ送信する。また、ローカルネットワーク100-3のデータ集約転送部101は、集約通信データをエッジサーバ3-2へ送信する。
【0023】
(エッジサーバ)
エッジサーバ3(3-1、3-2)は、データ受信部31と、特徴抽出部32と、重複削除部33と、データ送信部34とを備える。
エッジサーバ3(3-1、3-2)は、データ受信部31と、特徴抽出部32と、重複削除部33と、データ送信部34とを備える。
【0024】
エッジサーバ3の各機能は、エッジサーバ3がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。
【0025】
データ受信部31は、データ集約転送部101から送信された集約通信データを受信する。
特徴抽出部32は、データ受信部31によって受信された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する。
特徴抽出部32は、データ受信部31によって受信された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出し、抽出された少なくとも1種類の特徴量を2値化し、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する。
【0026】
通信フローに関する特徴量の種類は、例えば、送信元IPアドレス、宛先IPアドレス、送信元MACアドレス、宛先MACアドレス、送信元ポート番号、宛先ポート番号、通信プロトコル、パケット数、パケット長などがある。
【0027】
特徴抽出部32は、データ受信部31によって受信された集約通信データからそれら通信フローに関する1又は複数の種類の特徴量を抽出する。抽出対象の特徴量の種類は、予め設定される。
【0028】
特徴抽出部32は、抽出された少なくとも1種類の特徴量を2値化する。2値化対象の特徴量の種類は、予め設定される。2値化対象の特徴量の種類は、例えば、パケット数や宛先ポート番号などである。パケット数の2値化方法は、パケット数が、所定の閾値超過である場合に「1」とし、当該閾値以下である場合に「0」とする。宛先ポート番号の2値化方法は、宛先ポート番号が所定値(例えば、1024)未満である場合に「1」とし、当該所定値超過である場合に「0」とする。
【0029】
特徴抽出部32は、2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する。特徴量データに含める特徴量の種類は、予め設定される。特徴量データは、例えば、通信フロー毎や、一定の通信期間毎などに生成される。
【0030】
重複削除部33は、特徴抽出部32によって生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する。
【0031】
ここで、図2、図3を参照して重複削除部33が行う重複削除処理を説明する。図2は、特徴抽出部32によって生成された複数の特徴量データの構成例を示す図である。図2には、特徴抽出部32によって生成された、No1からNo200までの200個の特徴量データが示される。なお、説明の便宜上、それら200個の特徴量データは、2つのパターンのみであるとする。第1パターンは、No1等であって、「(特徴量a=1)、(特徴量b=0)、・・・、(特徴量x=1)」である。第2パターンは、No2やNo200等であって、「(特徴量a=0)、(特徴量b=1)、・・・、(特徴量x=0)」である。また、第1パターンが100個あり、第2パターンが100個ある。
【0032】
重複削除部33は、図2の200個の特徴量データに対して、重複する特徴量データを削除すると共に、各パターンが何個重複しているかを計数する。具体的には、重複削除部33は、100個の第1パターンのうち、No1のみを残し、No1以外の他の99個を削除すると共に、当該削除された第1パターンの重複数「100」を計数する。また、重複削除部33は、100個の第2パターンのうち、No2のみを残し、No2以外の他の99個を削除すると共に、当該削除された第2パターンの重複数「100」を計数する。この重複削除処理の結果として、図3に示される圧縮特徴量データ及び重複数データが生成される。図3には、1個の第1パターンの特徴量データと、1個の第1パターンの特徴量データとから構成される圧縮特徴量データが示される。また図3には、第1パターンの重複数「100」と、第2パターンの重複数「100」とから構成される重複数データが示される。この図3の例では、特徴量データの個数が200個から2個に削減された圧縮特徴量データが生成される。
【0033】
IoTデバイスは、一般的に、同じような通信を繰り返すことが多い。このため、IoTデバイスの通信データから抽出された特徴量から構成される複数の特徴量データには、多数の重複した特徴量データが含まれていることが想定される。したがって、本実施形態によれば、それら重複した特徴量データを削除することによって、解析サーバ5へ通信により送られる特徴量データの量を大幅に削減する効果が得られる。
【0034】
データ送信部34は、重複削除部33によって生成された圧縮特徴量データ及び重複数データを解析サーバ5へ送信する。これにより、図3の例では、解析サーバ5へ通信により送られる特徴量データの個数(データ量)が200個から2個に大きく削減される。
【0035】
(解析サーバ)
解析サーバ5は、サーバ受信部51と、データ復元部52と、学習部53と、異常検知部54とを備える。
解析サーバ5は、サーバ受信部51と、データ復元部52と、学習部53と、異常検知部54とを備える。
【0036】
解析サーバ5の各機能は、解析サーバ5がCPU及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。
【0037】
サーバ受信部51は、エッジサーバ3のデータ送信部34から送信された圧縮特徴量データ及び重複数データを受信する。
【0038】
データ復元部52は、サーバ受信部51によって受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行う。データ復元部52は、圧縮特徴量データに含まれる各パターンの特徴量データが重複数データに含まれる各パターンの重複数の個数になるように、各パターンの特徴量データを複製する。
【0039】
例えば、図3に示される圧縮特徴量データ及び重複数データの場合、データ復元部52は、第1パターンであるNo1の特徴量データが合計100個になるように、No1の特徴量データを複製する。また、データ復元部52は、第2パターンであるNo2の特徴量データが合計100個になるように、No2の特徴量データを複製する。この復元の結果、図2に示されるように、No1等の100個の第1パターンの特徴量データ「(特徴量a=1)、(特徴量b=0)、・・・、(特徴量x=1)」と、No2やNo200等の100個の第2パターンの特徴量データ「(特徴量a=0)、(特徴量b=1)、・・・、(特徴量x=0)」とから構成される、合計200個の特徴量データが得られる。
【0040】
学習部53は、データ復元部52によって行われた復元の結果の特徴量データに基づいて、IoTデバイスDEにおける通信の異常を検知するための異常検知モデルの学習を行う。異常検知モデルの学習は、所定の機械学習モデルに対して所定の機械学習アルゴリズムにより行われる。学習部53による異常検知モデルの学習によって、IoTデバイスDEの正常時における通信の挙動が学習された異常検知モデルが生成される。
【0041】
異常検知部54は、学習部53によって学習が行われた異常検知モデルを使用して、検知対象のIoTデバイスDEにおける通信の異常を検知する。異常検知部54は、検知段階において検知対象のIoTデバイスDEから送信される通信データから抽出された特徴量から構成される特徴量データから、異常検知モデルを使用して、検知対象のIoTデバイスDEの異常状態(例えばマルウェアに感染している状態)を検知する。異常検知モデルは、例えば、IoTデバイスDEの正常時における通信の挙動からの逸脱度を出力する。異常検知部54は、当該逸脱度に基づいて、検知対象のIoTデバイスDEの異常状態を検知する。例えば、当該逸脱度が所定の閾値超過である場合に、検知対象のIoTデバイスDEがマルウェアに感染していると判定する。
【0042】
なお、データ復元部52は、IoTデバイスDEの個別又は種類別に、圧縮特徴量データから特徴量データを復元する割合(復元割合)を示す復元割合データを保持してもよい。復元割合データは、予め、解析サーバ5に設定される。データ復元部52は、復元割合データに示される復元対象のIoTデバイスDEに対応する復元割合に従って、当該復元対象のIoTデバイスDEの圧縮特徴量データから特徴量データを復元する。
【0043】
復元割合は、同じパターンの特徴量データに対して、どのくらいの割合で復元するかを示す。したがって、例えば図3の例において、「復元割合=80%」である場合、データ復元部52は、「重複数=100」である第1パターンの特徴量データに対して、復元後の第1パターンの特徴量データが合計80個になるように、No1の特徴量データを複製する。同様に、データ復元部52は、「重複数=100」である第2パターンの特徴量データに対して、復元後の第2パターンの特徴量データが合計80個になるように、No2の特徴量データを複製する。
【0044】
これにより、エッジサーバ3の重複削除部33で削減される前の元の特徴量データの全てのパターンが復元されるが、各パターンにおいて元の全量が復元されるのではなく、一部の量のみがデータ復元部52により復元される。これは、復元の結果の特徴量データの量を、エッジサーバ3の重複削除部33で削減される前の元の特徴量データの量よりも低減させることにより、復元の結果の特徴量データに基づいた異常検知モデルの学習において、学習の精度を維持しつつ、学習にかかる時間を短縮するためである。なお、復元割合は、一律に同じ値であってもよい。
【0045】
【0046】
図4は、本実施形態に係るエッジサーバ3が実行する手順の例を示すフローチャートである。図4を参照してエッジサーバ3が実行する手順を説明する。
(ステップS1) エッジサーバ3は、データ集約転送部101から送信された集約通信データを受信する。
(ステップS1) エッジサーバ3は、データ集約転送部101から送信された集約通信データを受信する。
【0047】
(ステップS2) エッジサーバ3は、当該受信された集約通信データから通信フローに関する1又は複数の種類の特徴量を抽出する。
【0048】
(ステップS3) エッジサーバ3は、当該抽出された少なくとも1種類の特徴量を2値化する。エッジサーバ3は、当該2値化された2値化特徴量を含む1又は複数の種類の特徴量から構成される複数の特徴量データを生成する。
【0049】
(ステップS4) エッジサーバ3は、当該生成された複数の特徴量データから重複する特徴量データを削除した圧縮特徴量データを生成すると共に、当該削除された特徴量データが重複していた重複数を示す重複数データを生成する。
【0050】
(ステップS5) エッジサーバ3は、当該生成された圧縮特徴量データ及び重複数データを解析サーバ5へ送信する。
【0051】
図5は、本実施形態に係る解析サーバ5が実行する手順の例を示すフローチャートである。図5を参照して解析サーバ5が実行する手順を説明する。
(ステップS11) 解析サーバ5は、エッジサーバ3から送信された圧縮特徴量データ及び重複数データを受信する。
(ステップS11) 解析サーバ5は、エッジサーバ3から送信された圧縮特徴量データ及び重複数データを受信する。
【0052】
(ステップS12) 解析サーバ5は、当該受信された圧縮特徴量データ及び重複数データに基づいて特徴量データの復元を行う。
【0053】
(ステップS13) 解析サーバ5は、当該復元の結果の特徴量データに基づいて通信の解析処理を実行する。
【0054】
本実施形態では、解析サーバ5が通信の解析処理として、IoTデバイスDEにおける通信の異常を検知するための異常検知モデルの学習を行い、当該学習が行われた異常検知モデルを使用して検知対象のIoTデバイスDEにおける通信の異常を検知する。なお、解析サーバ5は、通信の解析処理として、通信の異常検知以外の他の通信の解析を行ってもよい。
【0055】
本実施形態によれば、ホームネットワーク等に接続されるIoTデバイス等の端末装置における通信の異常等を解析する解析サーバへ通信により送られる「端末装置の通信データの特徴量を含む特徴量データ」に対してデータ量の削減とその復元とを簡易に実現することができる。
【0056】
本実施形態によれば、エッジサーバ3の重複削除部33で削減される前の元の特徴量データの全てのパターンが復元されるので、復元の結果の特徴量データに基づいた異常検知モデルの学習において、学習の精度を維持しつつ、解析サーバ5へ通信により送られる特徴量データのデータ量を削減することができる。
【0057】
上述した実施形態では、端末装置の一例としてIoTデバイスを挙げて説明したが、端末装置はIoTデバイスに限定されない。端末装置は、スマートフォンやタブレット型のコンピュータ(タブレットPC)等の携帯端末装置、パーソナルコンピュータ(PC)などであってもよい。
【0058】
なお、これにより、例えば通信解析システムにおける総合的なサービス品質の向上を実現することができることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0059】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0060】
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0061】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0062】
1…通信解析システム、3(3-1、3-2)…エッジサーバ、5…解析サーバ、31…データ受信部、32…特徴抽出部、33…重複削除部、34…データ送信部、51…サーバ受信部、52…データ復元部、53…学習部、54…異常検知部、100(100-1、100-2、100-3)…ローカルネットワーク、101…データ集約転送部、DE…IoTデバイス
【図1】
【図2】
【図3】
【図4】
【図5】