知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-05-20
(45)【発行日】2024-05-28
(54)【発明の名称】推定装置および推定方法
(51)【国際特許分類】
H04L 41/0631 20220101AFI20240521BHJP
H04L 43/12 20220101ALI20240521BHJP
H04W 12/122 20210101ALI20240521BHJP
H04W 12/72 20210101ALI20240521BHJP
【FI】
H04L41/0631
H04L43/12
H04W12/122
H04W12/72
【請求項の数】
7
(21)【出願番号】P 2024001897
(22)【出願日】2024-01-10
【審査請求日】2024-01-10
【早期審査対象出願】
(73)【特許権者】
【識別番号】397036309
【氏名又は名称】株式会社インターネットイニシアティブ
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100195408
【弁理士】
【氏名又は名称】武藤 陽子
(72)【発明者】
【氏名】柿島 純
【審査官】速水 雄太
(56)【参考文献】
【文献】特開2020-174391(JP,A)
【文献】特表2020-525941(JP,A)
【文献】米国特許出願公開第2006/0010389(US,A1)
【文献】米国特許第07620986(US,B1)
【文献】中国特許出願公開第111163033(CN,A)
【文献】中国特許出願公開第102882881(CN,A)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 12/00-12/66
41/00-101/695
H04W 12/00-12/80
(57)【特許請求の範囲】
【請求項1】
位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得するように構成された第1取得部と、前記バーストトラヒックの発生のうち、過去に発生した前記バーストトラヒックの履歴と傾向が一致する前記バーストトラヒックが発生した回数を、コアネットワークに対する特定の攻撃以外の原因により発生したバーストトラヒックの第2観測データとして取得するように構成された第2取得部と、
前記特定の攻撃の発生確率を事前分布とし、前記第1観測データおよび前記第2観測データを含む観測データを与えることで得られる、前記バーストトラヒックが発生した条件での前記特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算するように構成された学習部と、
計算された前記事後分布の値に基づいて、前記特定の攻撃の発生の有無を判定するように構成された判定部と、
前記判定部による判定結果を提示するように構成された提示部と
を備える推定装置。
【請求項2】
請求項1に記載の推定装置において、さらに、前記判定部によって、前記特定の攻撃が発生したと判定された場合に、前記コアネットワークが備える統合データリポジトリに記憶されている、通信端末に割り当てられた加入者識別番号ごとの位置登録要求信号の送信履歴から、前記特定の攻撃に関与する加入者識別番号を特定するように構成された特定部を備え、
前記提示部は、前記特定部によって特定された加入者識別番号に関する情報を提示する
ことを特徴とする推定装置。
【請求項3】
請求項1に記載の推定装置において、さらに、通信端末に割り当てられた加入者識別番号ごとに送信された前記位置登録要求信号の数であって、設定時間ごとの前記位置登録要求信号の数を、前記コアネットワークから収集するように構成された収集部と、
収集された前記設定時間ごとの前記位置登録要求信号の数が、設定された数を超える場合に、バーストトラヒックの発生を検出するように構成された検出部と
を備える推定装置。
【請求項4】
請求項1から3の何れか1項に記載の推定装置において、前記特定の攻撃は、前記コアネットワークが備える制御プレーンのノードを標的として、複数の通信端末の加入者識別番号を用いて意図的に大量の位置登録要求信号を送信する攻撃を含む
ことを特徴とする推定装置。
【請求項5】
コンピュータによって各ステップが実行される推定方法であって、
位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得する第1取得ステップと、
前記バーストトラヒックの発生のうち、過去に発生した前記バーストトラヒックの履歴と傾向が一致する前記バーストトラヒックが発生した回数を、コアネットワークに対する特定の攻撃以外の原因により発生したバーストトラヒックの第2観測データとして取得する第2取得ステップと、
前記特定の攻撃の発生確率を事前分布とし、前記第1観測データおよび前記第2観測データを含む観測データを与えることで得られる、前記バーストトラヒックが発生した条件での前記特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算する学習ステップと、
計算された前記事後分布の値に基づいて、前記特定の攻撃の発生の有無を判定する判定ステップと、
前記判定ステップでの判定結果を提示する提示ステップと
を備える推定方法。
【請求項6】
請求項5に記載の推定方法において、さらに、前記判定ステップで、前記特定の攻撃が発生したと判定された場合に、前記コアネットワークが備える統合データリポジトリに記憶されている、通信端末に割り当てられた加入者識別番号ごとの位置登録要求信号の送信履歴から、前記特定の攻撃に関与する加入者識別番号を特定する特定ステップを備え、
前記提示ステップは、前記特定ステップで特定された加入者識別番号に関する情報を提示する
ことを特徴とする推定方法。
【請求項7】
請求項5に記載の推定方法において、さらに、通信端末に割り当てられた加入者識別番号ごとに送信された前記位置登録要求信号の数であって、設定時間ごとの前記位置登録要求信号の数を、前記コアネットワークから収集する収集ステップと、
収集された前記設定時間ごとの前記位置登録要求信号の数が、設定された数を超える場合に、バーストトラヒックの発生を検出する検出ステップと
を備える推定方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、推定装置および推定方法に関する。
【背景技術】
【0002】
従来から、正当ユーザの複数の通信端末のIMSI(International Mobile Subscriber Identity:加入者識別番号)をインターセプトして、UDR(Unified Data Repository:統合データリポジトリ)に意図的に大量の位置登録要求信号を送信して高い負荷をかける攻撃が報告されている(非特許文献1参照)。このようなDDoS攻撃は、故意に位置登録要求信号によるバーストトラヒックを発生させるケースもある。
【0003】
位置登録要求信号によるバーストトラヒックは、DDoS攻撃に起因する以外にも、ユーザの通信の利用状況や移動にともない、1日のうちの特定の時間帯などに通信が集中することで発生する場合がある。バーストトラヒックの解析に関し、例えば特許文献1は、呼接続要求に含まれる複数のパラメータの値のパターンと、アプリ通信による呼接続要求の特徴パターンとが一致するか否かを判定する技術を開示する。
【0004】
しかし、特許文献1が開示するバーストトラヒックの解析技術では、特定のアプリ通信に起因する呼接続要求によるバーストトラヒックを特定することはできるが、バーストトラヒックがDDoS攻撃によるものであるかを区別して特定することはできない。
【先行技術文献】
【特許文献】
【0005】
【文献】特開2015-220544号公報
【非特許文献】
【0006】
【文献】GSM Association,“FS.19 Diameter Interconnect Security Version 4.0, 4.3.1”, 04 May 2018.
【発明の概要】
【発明が解決しようとする課題】
【0007】
このように、従来の技術によれば、バーストトラヒックが発生した場合に、特定の攻撃によるものなのか、他の原因によって発生したものであるのかを区別することができなかった。
【0008】
本発明は、上述した課題を解決するためになされたものであり、バーストトラヒックが発生した場合に、特定の攻撃によるものなのか、他の原因によって発生したものであるのかを区別することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決するために、本発明に係る推定装置は、位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得するように構成された第1取得部と、前記バーストトラヒックの発生のうち、過去に発生した前記バーストトラヒックの履歴と傾向が一致する前記バーストトラヒックが発生した回数を、コアネットワークに対する特定の攻撃以外の原因により発生したバーストトラヒックの第2観測データとして取得するように構成された第2取得部と、前記特定の攻撃の発生確率を事前分布とし、前記第1観測データおよび前記第2観測データを含む観測データを与えることで得られる、前記バーストトラヒックが発生した条件での前記特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算するように構成された学習部と、計算された前記事後分布の値に基づいて、前記特定の攻撃の発生の有無を判定するように構成された判定部と、前記判定部による判定結果を提示するように構成された提示部とを備える。
【0010】
また、本発明に係る推定装置において、さらに、前記判定部によって、前記特定の攻撃が発生したと判定された場合に、前記コアネットワークが備える統合データリポジトリに記憶されている、通信端末に割り当てられた加入者識別番号ごとの位置登録要求信号の送信履歴から、前記特定の攻撃に関与する加入者識別番号を特定するように構成された特定部を備え、前記提示部は、前記特定部によって特定された加入者識別番号に関する情報を提示してもよい。
【0011】
上述した課題を解決するために、本発明に係る推定装置は、さらに、通信端末に割り当てられた加入者識別番号ごとに送信された前記位置登録要求信号の数であって、設定時間ごとの前記位置登録要求信号の数を、前記コアネットワークから収集するように構成された収集部と、収集された前記設定時間ごとの前記位置登録要求信号の数が、設定された数を超える場合に、バーストトラヒックの発生を検出するように構成された検出部とを備えていてもよい。
【0012】
また、本発明に係る推定装置において、前記特定の攻撃は、前記コアネットワークが備える制御プレーンのノードを標的として、複数の通信端末の加入者識別番号を用いて意図的に大量の位置登録要求信号を送信する攻撃を含んでいてもよい。
【0013】
上述した課題を解決するために、本発明に係る推定方法は、位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得する第1取得ステップと、前記バーストトラヒックの発生のうち、過去に発生した前記バーストトラヒックの履歴と傾向が一致する前記バーストトラヒックが発生した回数を、コアネットワークに対する特定の攻撃以外の原因により発生したバーストトラヒックの第2観測データとして取得する第2取得ステップと、前記特定の攻撃の発生確率を事前分布とし、前記第1観測データおよび前記第2観測データを含む観測データを与えることで得られる、前記バーストトラヒックが発生した条件での前記特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算する学習ステップと、計算された前記事後分布の値に基づいて、前記特定の攻撃の発生の有無を判定する判定ステップと、前記判定ステップでの判定結果を提示する提示ステップとを備える。
【0014】
また、本発明に係る推定方法において、さらに、前記判定ステップで、前記特定の攻撃が発生したと判定された場合に、前記コアネットワークが備える統合データリポジトリに記憶されている、通信端末に割り当てられた加入者識別番号ごとの位置登録要求信号の送信履歴から、前記特定の攻撃に関与する加入者識別番号を特定する特定ステップを備え、前記提示ステップは、前記特定ステップで特定された加入者識別番号に関する情報を提示してもよい。
【0015】
また、本発明に係る推定方法において、さらに、通信端末に割り当てられた加入者識別番号ごとに送信された前記位置登録要求信号の数であって、設定時間ごとの前記位置登録要求信号の数を、前記コアネットワークから収集する収集ステップと、収集された前記設定時間ごとの前記位置登録要求信号の数が、設定された数を超える場合に、バーストトラヒックの発生を検出する検出ステップとを備えていてもよい。
【発明の効果】
【0016】
本発明によれば、特定の攻撃の発生確率を事前分布とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件での特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算する。そのため、バーストトラヒックが発生した場合に、特定の攻撃によるものなのか、他の原因によって発生したものであるのかを区別することができる。
【図面の簡単な説明】
【0017】
【発明を実施するための形態】
【0018】
【0019】
[推定システムの構成]
図1は、本発明の実施の形態に係る推定装置1を備える推定システムの構成を示すブロック図である。本実施の形態に係る推定システムは、例えば、5Gモバイル通信ネットワークに設けられ、推定装置1、通信端末2、基地局3、およびコアネットワーク4を備える。推定システムは、位置登録要求信号によるバーストトラヒックが発生した場合に、コアネットワーク4に対するDDoS攻撃の発生の有無を推定し、さらに、DDoS攻撃に関与した可能性のあるIMSIを特定する。
図1は、本発明の実施の形態に係る推定装置1を備える推定システムの構成を示すブロック図である。本実施の形態に係る推定システムは、例えば、5Gモバイル通信ネットワークに設けられ、推定装置1、通信端末2、基地局3、およびコアネットワーク4を備える。推定システムは、位置登録要求信号によるバーストトラヒックが発生した場合に、コアネットワーク4に対するDDoS攻撃の発生の有無を推定し、さらに、DDoS攻撃に関与した可能性のあるIMSIを特定する。
【0020】
通信端末2は、SIM20を備え、スマートフォンなどの携帯通信端末、タブレット型コンピュータ、ラップトップ型コンピュータなどとして実現される。本実施の形態では複数の通信端末2が存在する。
【0021】
通信端末2に搭載されるSIM20には、ユーザの契約プロファイルが格納されている。SIM20の契約プロファイルには、ユーザの加入者識別情報が格納され、携帯電話の回線契約に割り当てられるIMSI、加入者であるユーザの電話番号(MSISDN:Mobile Subscriber International Subscriber Directory Number)、SIMカード番号(ICCID:Integrated Circuit Card Identifier)等の識別子情報が含まれる。通信端末2は、割り当てられたIMSIによって一意に識別される。
【0022】
基地局3は、5G通信規格に対応した無線基地局で構成され、通信エリアに在圏する通信端末2とコアネットワーク4との間の通信を中継する。基地局3は、バックホールリンクなどのネットワークLを介してコアネットワーク4と接続する。
【0023】
コアネットワーク4は、推定装置1とLANやWANなどのネットワークNWを介して接続されている。コアネットワーク4は、制御プレーン(C-plane)内のノードであるAMF(Access and Mobility Management Function)40、UDM(Unified Data Management)41、およびUDR42を備える。UDR42は、推定装置1との通信を行うための通信インターフェース42aを備える。なお、コアネットワーク4が備える他の機能については図示を省略している。
【0024】
AMF40は、モビリティ制御機能を提供し、位置登録、ページング、およびハンドオーバ等の移動制御を行うノードである。UDM41は、ユーザの契約情報や認証情報を管理するノードである。
【0025】
UDR42は、通信端末2のIMSIや在圏情報を保持した加入者プロファイルを格納するノードである。また、UDR42は、通信端末2のIMSIごとに送信された位置登録要求信号のタイムスタンプを発信ログとして記憶する。
【0026】
通信端末2は、通信を開始する初期登録の際や移動にともない通信エリアを跨ぐ場合、在圏する通信エリアの基地局3を介して、コアネットワーク4に位置登録要求信号を送信する。また、通信端末2は、1秒ごとなど設定された周期で、在圏する基地局3を介してコアネットワーク4に位置登録要求信号を送信する場合がある。位置登録要求信号には、送信元の通信端末2に割り当てられたIMSIが含まれる。
【0027】
通信端末2によって送信された位置登録要求信号は基地局3からAMF40、およびUDM41を介してUDR42に到達する。位置登録要求信号がUDR42に到達すると、IMSIごとの位置登録要求信号の発信タイムスタンプが記録され、加入者プロファイルの在圏情報には、通信端末2が経由したAMF40のアドレス情報が書き込まれる。
【0028】
複数の通信端末2から同時間帯に一定数以上の位置登録要求信号が送信される場合、UDR42などのコアネットワーク4の制御プレーンに設置されているノードにおける負荷が高くなり、処理速度が低下する場合がある。場合によっては、UDR42等のノードにおける処理能力を超えた場合には、機能停止の状態となり得る。
【0029】
このようなバーストトラヒックが発生する原因は、DDoS攻撃の他、正当なユーザによる通信端末2の移動や偶発的な通信の集中によっても発生し得る。例えば、朝の通勤ラッシュの時間帯や、昼の通信混雑の時間帯などにおいて、通常のモバイル通信が行われている場合あってもバーストトラヒックが発生することがある。
【0030】
一方、前述したように、攻撃端末5によるDDoS攻撃によってバーストトラヒックが発生する場合がある。攻撃端末5は、通信端末2のIMSIをインターセプトし、さらにインターセプトしたIMSIを用いて大量の位置登録要求信号をコアネットワーク4に送信するDDoS攻撃を行う。本実施の形態では、特定の攻撃とは、コアネットワーク4が備える制御プレーンのノードを標的として、複数の通信端末2のIMSIを用いて意図的に大量の位置登録要求信号を送信するDDoS攻撃を含む。また、特定の攻撃には、同時間帯に大量の位置登録要求信号を送信するDDoS攻撃が含まれる。
【0031】
攻撃端末5は、例えば、15桁で構成されるIMSIの値をランダムに生成し、正当なユーザの通信端末2に割り当てられたIMSIをインターセプトする。攻撃端末5は、複数のインターセプトしたIMSIを用いて大量の位置登録要求信号を送信することで、バーストトラヒックを生じさせてコアネットワーク4が備えるUDR42を攻撃する。
【0032】
本実施の形態に係る推定システムでは、DDoS攻撃の発生確率を事前分布とし、バーストトラヒックの発生に係る観測データが与えられることで得られる事後分布、すなわちバーストトラヒックが発生した条件でのDDoS攻撃の発生確率をベイズ推定により計算する。さらに、計算された事後分布の値に基づいて、DDoS攻撃の発生の有無が判定される。
【0033】
[推定装置の機能ブロック]
図1に示すように、推定装置1は、収集部10、検出部11、第1取得部12、第2取得部13、学習部14、判定部15、特定部16、提示部17、第1記憶部18、および第2記憶部19を備える。
図1に示すように、推定装置1は、収集部10、検出部11、第1取得部12、第2取得部13、学習部14、判定部15、特定部16、提示部17、第1記憶部18、および第2記憶部19を備える。
【0034】
収集部10は、IMSIごとに送信された位置登録要求信号の数であって、設定時間ごとの位置登録要求信号の数を、コアネットワーク4から収集する。より具体的には、収集部10は、IMSIに関連付けられた位置登録要求信号の発信タイムスタンプをUDR42から収集する。収集部10は、例えば、1秒ごとの位置登録要求信号の数を収集することができる。
【0035】
検出部11は、収集された設定時間ごとの位置登録要求信号の数が、設定された数を超える場合に、バーストトラヒックの発生を検出する。例えば、検出部11は、1秒ごとに通信端末2によって送信された位置登録要求信号の数をカウントし、設定されたしきい値を超える場合には、バーストトラヒックが発生したことを検出することができる。しきい値は過去のバーストトラヒックの発生履歴等に基づいて具体的な値を設定することができる。
【0036】
第1取得部12は、位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得する。第1取得部12は、検出部11によってバーストトラヒックが検出された回数をカウントして取得する。第1取得部12によって取得されるバーストトラヒックの発生回数は、あらゆる原因により発生したバーストトラヒックの発生回数である。第1取得部12は、1か月単位や1年単位などの任意に設定された期間でのバーストトラヒックの発生回数を取得することができる。
【0037】
第2取得部13は、バーストトラヒックの発生のうち、過去に発生したバーストトラヒックの履歴と傾向が一致するバーストトラヒックが発生した回数を、コアネットワーク4に対する特定の攻撃以外の原因により発生したバーストトラヒックの第2観測データとして取得する。
【0038】
より詳細には、第2取得部13は、検出部11によって検出されたバーストトラヒックの発生のうち、DDoS攻撃以外の事象に起因することが判明しているバーストトラヒックの発生回数を取得する。したがって、第2観測データは、第1観測データに含まれるバーストトラヒックの発生回数のうち、DDoS攻撃以外の事象に起因することが判明しているバーストトラヒックの発生回数ということになる。
【0039】
前述したように、朝の通勤ラッシュ時間帯や昼の時間帯などユーザの行動に応じて決まった時間帯に位置登録要求信号の送信数が増加することが知られている。第2取得部13は、過去のバーストトラヒックの発生履歴の解析に基づいて、検出部11が検出したバーストトラヒックの発生時間帯などを、過去のバーストトラヒックの発生履歴の時間帯と比較することで、DDoS攻撃以外の既知の発生原因によるバーストトラヒックの発生回数を取得する。
【0040】
学習部14は、DDoS攻撃の発生確率を事前分布とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件でのDDoS攻撃の発生確率を示す事後分布を、ベイズ推定により計算する。学習部14が採用するベイズ推定は、ある条件における事象の確率を、既知の確率と観測データから求める手法である。以下、学習部14がベイズ推定で用いる確率モデルのパラメータについて説明する。
【0041】
学習部14は、まず、事象Xを、ある原因となった事象とする。また、事象Yを、原因により起きたと想定される事象とする。事象X、Yは確率変数として扱われる。具体的には、事象Xは、DDoS攻撃の発生、事象Yは、バーストトラヒックの発生として定義される。
【0042】
学習部14は、事象Xが発生する確率分布P(X)を、観測データが与えられる前のパラメータの分布である事前分布として仮定する。具体的には、学習部14は、DDoS攻撃が発生している確率として、経験則や過去の履歴の解析等に基づいた確率値を仮定する。例えば、1か月で0.2(=20%)の発生確率でDDoS攻撃が発生していると仮定することができる。
【0043】
学習部14は、さらに、観測データの表現方法である尤度関数P(Y|X)を設定する。尤度関数P(Y|X)は、パラメータの値が条件付けされているときに、観測データYがどれだけモデルから発生しやすいかを表す。具体的には、DDoS攻撃が発生している条件のもとバーストトラヒックが発生している確率として表される。例えば、任意の値として、0.8(=80%)等の値を採用することができる。なお、尤度関数P(Y|X)についての値0.8は、DDoS攻撃が発生した場合であっても、バーストトラヒックが発生しない場合が一定割合で含まれることを示す。
【0044】
学習部14は、ベイズの定理を利用して、尤度関数、事前分布、および観測データから得られる情報を反映させ、事象Yが発生した条件のもと、事象Xが発生する確率である事後分布P(X|Y)を計算する。この場合、事後分布P(X|Y)は、バーストトラヒックが発生した条件のもと、DDoS攻撃が発生している確率分布である。本実施の形態では、次式(1)のベイズの定理に基づいた、次式(2)で表されるベイズ推定近似式を用いて事後分布P(X|Y)が計算される。
【0045】
【数1】
【0046】
上式(1)の分母にP(Y)=ΣXP(Y|X)P(X)を代入すると、次式(2)で表される。
【0047】
【数2】
【0048】
上式(2)の下段の近似式の分母において、「バーストトラヒックが発生している全回数」とは、第1取得部12によって取得された第1観測データである。また、「DDoS以外の原因によりバーストトラヒックが発生している回数」は、第2取得部13によって取得された第2観測データである。
【0049】
ここで、前述したように、事前分布P(X)の仮定により、DDoS攻撃が発生する確率が1か月で0.2(=20%)であると仮定されている。例えば、1か月間に1000回のバーストトラヒックが発生した場合において、200回のDDoS攻撃が発生し、DDoS攻撃以外の事象を原因としたバーストトラヒックの発生回数は単純計算すると800回となる。
【0050】
しかしながら、本実施の形態では、DDoS攻撃以外の原因によりバーストトラヒックが発生している回数であって、その原因が判明しているものの発生回数を考慮して、単純に計算した場合の800回よりも低い値を採用する。このように、エビデンスあるいは周辺尤度と呼ばれる事象Yが発生する確率分布P(Y)については、第2観測データに基づいて調整した値が用いられる。
【0051】
すなわち、上式(2)では、DDoS攻撃以外の原因によりバーストトラヒックが発生している回数であって、その原因が判明しているものの発生回数が少ないほど、事後分布と事前分布とは、P(X|Y)>P(X)の傾向となる。
【0052】
判定部15は、学習部14によって計算された事後分布の値に基づいて、DDoS攻撃の発生の有無を判定する。具体的には、判定部15はしきい値処理を行い、DDoS攻撃の発生の有無を判定することができる。しきい値としては、例えば0.3(=30%)を採用し、事後分布P(X|Y)の値がしきい値を超える場合には、DDoS攻撃が発生したと判定することができる。
【0053】
特定部16は、判定部15によって、DDoS攻撃が発生したと判定された場合に、コアネットワーク4が備えるUDR42に記憶されている、IMSIごとの位置登録要求信号の送信履歴から、DDoS攻撃に関与するIMSIを特定する。より詳細には、特定部16は、UDR42に記憶されている加入者プロファイルから、位置登録要求信号の異常な発信をしているIMSIを特定することができる。例えば、1ms間隔などの短い時間間隔で位置登録要求信号を送信し続けているIMSIについて、DDoS攻撃に関与するIMSIであると特定することができる。
【0054】
提示部17は、判定部15による判定結果を提示する。また、提示部17は、特定部16によって特定された通信端末2に関する情報を提示する。提示部17は、判定結果や通信端末2の情報を外部のサーバなどに送信することができる。さらに、提示部17は、表示装置107にこれらの情報を表示させることができる。
【0055】
第1記憶部18は、学習部14がベイズ推定に用いるベイズの定理(式(1))およびベイズ推定近似式(式(2))を記憶する。また、第1記憶部18は、事前分布や観測データの尤度関数に関する設定情報を記憶している。
【0056】
第2記憶部19は、過去に発生したバーストトラヒックの履歴およびその解析情報を記憶する。
【0057】
[推定装置のハードウェア構成]
次に、上述した機能を有する推定装置1を実現するハードウェア構成の一例について、図2を用いて説明する。
次に、上述した機能を有する推定装置1を実現するハードウェア構成の一例について、図2を用いて説明する。
【0058】
図2に示すように、推定装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。また、推定装置1は、バス101を介して接続される表示装置107を備えることができる。
【0059】
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図1に示した収集部10、検出部11、第1取得部12、第2取得部13、学習部14、判定部15、特定部16など推定装置1の各機能が実現される。
【0060】
通信インターフェース104は、推定装置1と各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。
【0061】
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
【0062】
補助記憶装置105は、推定装置1が実行するベイズ推定プログラムを格納するプログラム格納領域を有する。補助記憶装置105によって、図1で説明した第1記憶部18、第2記憶部19が実現される。さらには、例えば、上述したデータやプログラムなどをバックアップするためのバックアップ領域などを有していてもよい。
【0063】
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりする入出力装置である。
【0064】
表示装置107は、有機ELディスプレイや液晶ディスプレイなどによって構成される。
【0065】
[推定装置の動作]
次に、上述した構成を有する推定装置1の動作を、図3のフローチャートを参照して説明する。
次に、上述した構成を有する推定装置1の動作を、図3のフローチャートを参照して説明する。
【0066】
まず、収集部10は、通信端末2に割り当てられているIMSIに関連付けられた位置登録要求信号の発信タイムスタンプをUDR42から収集する(ステップS1)。次に、検出部11は、収集された設定時間ごとの位置登録要求信号の数が、設定されたしきい値を超える場合に、バーストトラヒックが発生したことを検出する(ステップS2)。しきい値は過去のバーストトラヒックの発生履歴等に基づいて設定することができる。
【0067】
次に、第1取得部12は、位置登録要求信号によるバーストトラヒックが発生した回数を示す第1観測データを取得する(ステップS3)。第1取得部12は、1か月単位や1年単位などの任意に設定された期間で発生したバーストトラヒックの回数をカウントし取得することができる。
【0068】
次に、第2取得部13は、ステップS2で検出されたバーストトラヒックの発生のうち、DDoS攻撃の以外の事象に起因することが判明しているバーストトラヒックの発生回数を第2観測データとして取得する(ステップS4)。第2取得部13は、過去のバーストトラヒックの発生履歴の解析により、昼の時間帯などバーストトラヒックが発生した原因がDDoS攻撃の以外の既知の原因によるものであることが判明している場合に、検出されたバーストトラヒックのうち、既知の原因によるバーストトラヒックの発生回数を取得する。
【0069】
次に、学習部14は、DDoS攻撃の発生確率を事前分布P(X)とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件でのDDoS攻撃の発生確率を示す事後分布P(X|Y)を、ベイズ推定により計算する(ステップS5)。より具体的には、学習部14は、上式(2)のベイズ推定近似式を用いて、事前に仮定された事前分布P(A)および観測データの尤度関数P(Y|X)に基づいて、事後分布P(X|Y)を計算する。
【0070】
その後、判定部15は、ステップS5で計算された事後分布の値に対するしきい値処理を行い、しきい値を超えた場合には、DDoS攻撃の発生の有と判定する(ステップS6)。次に、特定部16は、ステップS6で、DDoS攻撃が発生したと判定された場合に、UDR42に記憶されている加入者プロファイルから、位置登録要求信号の異常な発信をしているIMSIを特定する(ステップS7)。
【0071】
提示部17は、ステップS6での判定結果、およびステップS7で特定された通信端末2のIMSIに関する情報を提示する(ステップS8)。
【0072】
以上説明したように、本実施の形態に係る推定装置1によれば、DDoS攻撃の発生確率を事前分布とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件でのDDoS攻撃の発生確率を示す事後分布を、ベイズ推定により計算する。そのため、バーストトラヒックが発生した場合に、DDoS攻撃によるものなのか、DDoS攻撃ではない他の原因によって発生したものであるのかを区別することができる。
【0073】
また、本実施の形態に係る推定装置1によれば、ベイズ推定により得られた事後分布の値に基づいて、DDoS攻撃が発生したと判定された場合に、UDR42の加入者プロファイルからDDoS攻撃に関与するIMSIを特定する。したがって、DDoS攻撃の発生元を特定することができる。
【0074】
なお、上述の実施の形態では、5Gに準拠する推定システムである場合を例示したが、3G/LTEや6G等に準拠する推定システムであってもよい。
【0075】
以上、本発明の推定装置および推定方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
【符号の説明】
【0076】
1…推定装置、10…収集部、11…検出部、12…第1取得部、13…第2取得部、14…学習部、15…判定部、16…特定部、17…提示部、18…第1記憶部、19「…第2記憶部、2…通信端末、20…SIM、3…基地局、4…コアネットワーク、5…攻撃端末、40…AMF、41…UDM、42…UDR、101…バス、102…プロセッサ、103…主記憶装置、42a、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、L、NW…ネットワーク。
【要約】
【課題】バーストトラヒックが発生した場合に、特定の攻撃によるものなのか、他の原因によって発生したものであるのかを区別することを目的とする。
【解決手段】
特定の攻撃の発生確率を事前分布とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件での特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算する学習部14と、計算された事後分布の値に基づいて、特定の攻撃の発生の有無を判定する判定部15と、判定部15による判定結果を提示する提示部17とを備える。
【選択図】図1
【解決手段】
特定の攻撃の発生確率を事前分布とし、第1観測データおよび第2観測データを含む観測データを与えることで得られる、バーストトラヒックが発生した条件での特定の攻撃の発生確率を示す事後分布を、ベイズ推定により計算する学習部14と、計算された事後分布の値に基づいて、特定の攻撃の発生の有無を判定する判定部15と、判定部15による判定結果を提示する提示部17とを備える。
【選択図】図1
【図1】
【図2】
【図3】
