(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-07-08
(45)【発行日】2024-07-17
(54)【発明の名称】通信解析システム、通信解析方法及びコンピュータプログラム
(51)【国際特許分類】
H04L 9/18 20060101AFI20240709BHJP
【FI】
H04L9/18
【請求項の数】
11
(21)【出願番号】P 2021089371
(22)【出願日】2021-05-27
(65)【公開番号】P2022182058
(43)【公開日】2022-12-08
【審査請求日】2023-07-18
(73)【特許権者】
【識別番号】000208891
【氏名又は名称】KDDI株式会社
(74)【代理人】
【識別番号】100165179
【弁理士】
【氏名又は名称】田▲崎▼ 聡
(74)【代理人】
【識別番号】100175824
【弁理士】
【氏名又は名称】小林 淳一
(74)【代理人】
【識別番号】100114937
【弁理士】
【氏名又は名称】松本 裕幸
(72)【発明者】
【氏名】奥井 宣広
(72)【発明者】
【氏名】小林 靖明
(72)【発明者】
【氏名】三宅 優
【審査官】塩澤 如正
(56)【参考文献】
【文献】特開2018-140500(JP,A)
【文献】特開2015-185990(JP,A)
【文献】特開2013-179443(JP,A)
【文献】国際公開第2018/138857(WO,A1)
【文献】特開2010-152773(JP,A)
【文献】特開2019-149681(JP,A)
【文献】特開2018-148270(JP,A)
【文献】宇根正志,"機械学習システムのセキュリティに関する研究動向と課題",金融研究,株式会社国際文献社,2019年01月22日,第38巻,第1号,p.97-123
【文献】佐々木 幹夫,暗号技術のすべて,第1版,株式会社翔泳社 ,2017年08月03日
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/00- 9/40
(57)【特許請求の範囲】
【請求項1】
情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、
を備え、
前記情報秘匿装置は、
通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成するマスクデータ生成部と、
通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行するデータ秘匿部と、
を備え、
前記秘匿済みデータは、前記排他的論理和演算の結果を含み、
前記解析サーバは、異常検知モデルと異常検知部とを備え、
前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、
前記異常検知部は、前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知する、
通信解析システム。
【請求項2】
前記マスクデータ生成部は、複数の前記秘匿化対象データの総ビット長以上の前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データと前記マスクデータのうち前記複数の前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、
請求項1に記載の通信解析システム。
【請求項3】
前記マスクデータ生成部は、複数の前記秘匿化対象データ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、
請求項1に記載の通信解析システム。
【請求項4】
前記マスクデータ生成部は、複数の通信デバイス毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の通信デバイス毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、
請求項1から3のいずれか1項に記載の通信解析システム。
【請求項5】
前記マスクデータ生成部は、前記秘匿化対象データに関する複数のグループ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数のグループ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、
請求項4に記載の通信解析システム。
【請求項6】
前記マスクデータ生成部は、前記複数のグループ毎のマスクデータ間の距離が前記グループ間の距離の要件以上の距離を有するように、前記マスクデータを生成する、請求項5に記載の通信解析システム。
【請求項7】
前記マスクデータ生成部は、前記グループ間の距離の要件を満たすに足るように、前記秘匿化対象データの2倍以上のビット長の前記マスクデータを生成する、請求項5に記載の通信解析システム。
【請求項8】
前記通信データから前記秘匿化対象データを含む通信検証用データを生成する通信検証用データ生成部、をさらに備える請求項1から7のいずれか1項に記載の通信解析システム。
【請求項9】
前記データ秘匿部は、前記秘匿化対象データのうち一部のデータに対してデータ間の距離を保たない所定の演算を実行する、請求項8に記載の通信解析システム。
【請求項10】
情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、
を備え、
前記情報秘匿装置が、通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成し、通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行し、
前記秘匿済みデータは、前記排他的論理和演算の結果を含み、
前記解析サーバは、異常検知モデルと異常検知部とを備え、
前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、
前記異常検知部は、前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知する、
通信解析方法。
【請求項11】
情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、
を備える通信解析システムにおいて、
前記情報秘匿装置のコンピュータに、
通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成するマスクデータ生成ステップと、
通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行するデータ秘匿ステップと、
を実行させ、
前記秘匿済みデータは、前記排他的論理和演算の結果を含み、
前記解析サーバは、異常検知モデルを備え、
前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、
前記解析サーバのコンピュータに、
前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知するステップを実行させる、
コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信解析システム、通信解析方法及びコンピュータプログラムに関する。
【背景技術】
【0002】
従来、例えばカメラや温湿度センサー等のIoT(Internet of Things)機器(IoTデバイス)が生成する通信データを用いて当該IoTデバイスにおける異常状態(例えばマルウェアに感染しているか否か)を検知するための技術が知られている。例えば特許文献1には、IoTデバイスの情報とIoTゲートウェイが保持する各IoTデバイスのホワイトリストとをIoTゲートウェイから収集して暫定ホワイトリストを作成し、暫定ホワイトリストと各IoTゲートウェイが保持するホワイトリストとを結合して各IoTゲートウェイに適用するホワイトリストを作成する作成装置が記載されている。
【先行技術文献】
【特許文献】
【0003】
【文献】特開2019-153890号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
例えばホームネットワーク内のIoTデバイスにおける異常状態を検知するための解析処理をホームネットワークの外部の通信ネットワークに接続された解析サーバで実行する場合、IoTデバイスが生成した通信データはホームネットワークから外部の通信ネットワークを介して解析サーバへ送信される。ここで、例えばホワイトリストを用いた解析処理では、宛先IP(Internet Protocol)アドレスに基づいた解析が行われるが、宛先IPアドレスから家庭内で利用されているサービスや閲覧されているウェブ(Web)サイトなどが判明し外部に漏洩してしまうプライバシ上のリスクがある。
【0005】
このため、IPアドレスやポート番号を秘匿する方法として暗号化が考えられるが、暗号化を行った場合、一般的に暗号化前のデータ間の距離が失われてしまうので、宛先の類似度などを計算することが困難になる。
【0006】
本発明は、このような事情を考慮してなされたものであり、その目的は、例えば宛先IPアドレス等のプライバシに関わる通信データを、秘匿化前のデータ間の距離を保ったまま秘匿化することを図ることにある。
【課題を解決するための手段】
【0007】
(1)本発明の一態様は、情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、を備え、前記情報秘匿装置は、通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成するマスクデータ生成部と、通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行するデータ秘匿部と、を備え、前記秘匿済みデータは、前記排他的論理和演算の結果を含み、前記解析サーバは、異常検知モデルと異常検知部とを備え、前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、前記異常検知部は、前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知する、通信解析システムである。
(2)本発明の一態様は、前記マスクデータ生成部は、複数の前記秘匿化対象データの総ビット長以上の前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データと前記マスクデータのうち前記複数の前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)の通信解析システムである。
(3)本発明の一態様は、前記マスクデータ生成部は、複数の前記秘匿化対象データ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)の通信解析システムである。
(4)本発明の一態様は、前記マスクデータ生成部は、複数の通信デバイス毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の通信デバイス毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)から(3)のいずれかの通信解析システムである。
(5)本発明の一態様は、前記マスクデータ生成部は、前記秘匿化対象データに関する複数のグループ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数のグループ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(4)の通信解析システムである。
(6)本発明の一態様は、前記マスクデータ生成部は、前記複数のグループ毎のマスクデータ間の距離が前記グループ間の距離の要件以上の距離を有するように、前記マスクデータを生成する、上記(5)の通信解析システムである。
(7)本発明の一態様は、前記マスクデータ生成部は、前記グループ間の距離の要件を満たすに足るように、前記秘匿化対象データの2倍以上のビット長の前記マスクデータを生成する、上記(5)の通信解析システムである。
(8)本発明の一態様は、前記通信データから前記秘匿化対象データを含む通信検証用データを生成する通信検証用データ生成部、をさらに備える上記(1)から(7)のいずれかの通信解析システムである。
(9)本発明の一態様は、前記データ秘匿部は、前記秘匿化対象データのうち一部のデータに対してデータ間の距離を保たない所定の演算を実行する、上記(8)の通信解析システムである。
(2)本発明の一態様は、前記マスクデータ生成部は、複数の前記秘匿化対象データの総ビット長以上の前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データと前記マスクデータのうち前記複数の前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)の通信解析システムである。
(3)本発明の一態様は、前記マスクデータ生成部は、複数の前記秘匿化対象データ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の前記秘匿化対象データ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)の通信解析システムである。
(4)本発明の一態様は、前記マスクデータ生成部は、複数の通信デバイス毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数の通信デバイス毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(1)から(3)のいずれかの通信解析システムである。
(5)本発明の一態様は、前記マスクデータ生成部は、前記秘匿化対象データに関する複数のグループ毎に前記マスクデータを生成し、前記データ秘匿部は、前記複数のグループ毎に前記秘匿化対象データと前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行する、上記(4)の通信解析システムである。
(6)本発明の一態様は、前記マスクデータ生成部は、前記複数のグループ毎のマスクデータ間の距離が前記グループ間の距離の要件以上の距離を有するように、前記マスクデータを生成する、上記(5)の通信解析システムである。
(7)本発明の一態様は、前記マスクデータ生成部は、前記グループ間の距離の要件を満たすに足るように、前記秘匿化対象データの2倍以上のビット長の前記マスクデータを生成する、上記(5)の通信解析システムである。
(8)本発明の一態様は、前記通信データから前記秘匿化対象データを含む通信検証用データを生成する通信検証用データ生成部、をさらに備える上記(1)から(7)のいずれかの通信解析システムである。
(9)本発明の一態様は、前記データ秘匿部は、前記秘匿化対象データのうち一部のデータに対してデータ間の距離を保たない所定の演算を実行する、上記(8)の通信解析システムである。
【0009】
(10)本発明の一態様は、情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、を備え、前記情報秘匿装置が、通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成し、通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行し、前記秘匿済みデータは、前記排他的論理和演算の結果を含み、前記解析サーバは、異常検知モデルと異常検知部とを備え、前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、前記異常検知部は、前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知する、通信解析方法である。
【0010】
(11)本発明の一態様は、情報秘匿装置と、前記情報秘匿装置によって秘匿化された秘匿済みデータに基づいて、通信の解析処理を実行する解析サーバと、を備える通信解析システムにおいて、前記情報秘匿装置のコンピュータに、通信デバイスから受信した秘匿化対象データのビット長以上のマスクデータを生成するマスクデータ生成ステップと、通信データに含まれる秘匿化対象データと、前記マスクデータのうち前記秘匿化対象データと同じビット長のデータとの排他的論理和演算を実行するデータ秘匿ステップと、を実行させ、前記秘匿済みデータは、前記排他的論理和演算の結果を含み、前記解析サーバは、異常検知モデルを備え、前記異常検知モデルは、前記秘匿済みデータに基づいて、前記通信デバイスの正常時における振る舞いが機械学習された結果のモデルであり、前記解析サーバのコンピュータに、前記秘匿済みデータから、前記異常検知モデルを用いて、前記通信デバイスの異常状態を検知するステップ、を実行させるコンピュータプログラムである。
【発明の効果】
【0011】
本発明によれば、例えば宛先IPアドレス等のプライバシに関わる通信データを、秘匿化前のデータ間の距離を保ったまま秘匿化することができるという効果が得られる。
【図面の簡単な説明】
【0012】
【図1】一実施形態に係る情報秘匿装置の構成例を示すブロック図である。
【図2】一実施形態に係る異常検知用データの構成例を示す図である。
【図3】一実施形態に係る通信解析システムの構成例を示すブロック図である。
【図4】一実施形態に係る情報秘匿方法の説明図である。
【図5】一実施形態に係る情報秘匿方法の説明図である。
【図6】一実施形態に係る情報秘匿方法の説明図である。
【図7】一実施形態に係る情報秘匿方法の説明図である。
【図8】一実施形態に係るマスクデータ生成方法の説明図である。
【図9】一実施形態に係るマスクデータ生成方法の説明図である。
【図10】一実施形態に係るマスクデータ生成方法の説明図である。
【図11】一実施形態に係るマスクデータ生成方法の説明図である。
【発明を実施するための形態】
【0013】
以下、図面を参照し、本発明の実施形態について説明する。
図1は、一実施形態に係る情報秘匿装置の構成例を示すブロック図である。情報秘匿装置10は、マスクデータ生成部11と、異常検知用データ生成部12と、データ秘匿部13と、を備える。異常検知用データ生成部12は、通信検証用データ生成部に対応する。
図1は、一実施形態に係る情報秘匿装置の構成例を示すブロック図である。情報秘匿装置10は、マスクデータ生成部11と、異常検知用データ生成部12と、データ秘匿部13と、を備える。異常検知用データ生成部12は、通信検証用データ生成部に対応する。
【0014】
情報秘匿装置10において、マスクデータ生成部11は、情報秘匿装置10に入力された入力情報101からマスクデータMSを生成する。異常検知用データ生成部12は、情報秘匿装置10に入力された通信データ102から異常検知用データPDを生成する。異常検知用データPDは、通信検証用データに対応する。
【0015】
データ秘匿部13は、異常検知用データPDに含まれる秘匿化対象データとマスクデータMSとの排他的論理和(XOR)演算を実行する。データ秘匿部13によるXOR演算の結果を含む秘匿済みデータ103は、情報秘匿装置10から出力される。マスクデータMSは、秘匿化対象データのビット長以上のデータである。
【0016】
入力情報101は、ユーザによって入力される情報であってもよく、又は、ホームネットワークに接続された例えばホームルータ等のネットワーク機器が有する固有情報(例えば、MACアドレス等)であってもよい。
【0017】
マスクデータ生成部11は、入力情報101を用いて一方向にランダムなビット列を生成し、生成されたビット列をマスクデータMSとして出力する。なお、マスクデータ生成部11は、入力情報101に対してさらに他の情報を加えて複数のマスクデータMSを生成してもよい。
【0018】
異常検知用データ生成部12は、通信データ102を用いて、異常状態を検知するために使用される異常検知用データPDを生成する。図2は、本実施形態に係る異常検知用データの構成例を示す図である。図2の例では、異常検知用データPDは、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス、宛先IPアドレス、送信元ポート番号、宛先ポート番号等を含む。
【0019】
データ秘匿部13は、異常検知用データPDに含まれる秘匿化対象データとマスクデータMSとのXOR演算を実行する。データ秘匿部13は、例えば、異常検知用データPDに含まれる宛先IPアドレス(秘匿化対象データ)とマスクデータMSとのXOR演算を実行する。秘匿済みデータ103は、例えば、異常検知用データPDにおいて秘匿化対象データ(例えば宛先IPアドレス)がマスクデータMSとのXOR演算により秘匿化されたデータである。
【0020】
情報秘匿装置10の各機能は、情報秘匿装置10がCPU(Central Processing Unit:中央演算処理装置)及びメモリ等のコンピュータハードウェアを備え、CPUがメモリに格納されたコンピュータプログラムを実行することにより実現される。なお、情報秘匿装置10として、汎用のコンピュータ装置を使用して構成してもよく、又は、専用のハードウェア装置として構成してもよい。また、情報秘匿装置10は、単独のコンピュータにより実現するものであってもよく、又は情報秘匿装置10の機能を複数のコンピュータに分散させて実現するものであってもよい。
【0021】
図3は、本実施形態に係る通信解析システムの構成例を示すブロック図である。図2において図1の各部に対応する部分には同一の符号を付け、その説明を省略する。図3に示される通信解析システム1には、図1に示される情報秘匿装置10が適用されている。図3において、ホームHM内の通信ネットワーク(ホームネットワーク)にあるゲートウェイGWには、ホームHM内のIoTデバイスDEが接続されている。IoTデバイスDEは、異常状態の検知の対象のデバイスである。
【0022】
ゲートウェイGWは、情報秘匿装置10の各機能を実現する。具体的には、ゲートウェイGWがCPU及びメモリ等のコンピュータハードウェアを備え、ゲートウェイGWにおいてCPUがメモリに格納されたコンピュータプログラムを実行することにより、情報秘匿装置10の各機能が実現される。
【0023】
ゲートウェイGWには、IoTデバイスDEから通信データ102が入力される。ゲートウェイGWにおいて、異常検知用データ生成部12は、IoTデバイスDEの通信データ102から異常検知用データPDを生成する。マスクデータ生成部11は、入力情報101からマスクデータMSを生成する。データ秘匿部13は、異常検知用データPDに含まれる秘匿化対象データとマスクデータMSとのXOR演算を実行する。ゲートウェイGWは、データ秘匿部13によるXOR演算の結果を含む秘匿済みデータ103を、ホームHM外の通信ネットワークNWを介して、解析サーバ30へ送信する。秘匿済みデータ103は、例えば、異常検知用データPDにおいて秘匿化対象データ(例えば宛先IPアドレス)がマスクデータMSとのXOR演算により秘匿化されたデータである。
【0024】
解析サーバ30は、ゲートウェイGWから送信された秘匿済みデータ103に基づいて、通信の解析処理を実行する。解析サーバ30は、異常検知モデル31と、異常検知部32とを備える。異常検知モデル31は、ゲートウェイGWから送信された秘匿済みデータ103に基づいて、IoTデバイスDEの正常時における振る舞いが機械学習された結果のモデルである。異常検知部32は、ゲートウェイGWから送信された秘匿済みデータ103から、異常検知モデル31を用いて、IoTデバイスDEの異常状態(例えばマルウェアに感染しているか否か)を検知する。
【0025】
次に本実施形態に係る情報秘匿方法を説明する。
【0026】
【0027】
図4の例では、異常検知用データPDに含まれる送信元IPアドレス及び宛先IPアドレスが秘匿化対象データである。この例では、IPアドレスが32bitのビット列であって、送信元IPアドレス及び宛先IPアドレスの総ビット長が64bitである。そして、マスクデータMSは、64bitのビット列として生成される。データ秘匿部13は、64bitのマスクデータMSと、送信元IPアドレス及び宛先IPアドレスの連結データ(64bit)とのXOR演算を実行する。このXOR演算の結果として、送信元IPアドレス(32bit)が秘匿化された秘匿化送信元IPアドレス(32bit)と、宛先IPアドレス(32bit)が秘匿化された秘匿化宛先IPアドレス(32bit)とが生成される。秘匿済みデータ103は、異常検知用データPDにおいて送信元IPアドレス及び宛先IPアドレスが秘匿化された秘匿化送信元IPアドレス及び秘匿化宛先IPアドレスを含むデータである。
【0028】
図5の例では、異常検知用データPDに含まれる送信元IPアドレス(32bit)及び宛先IPアドレス(32bit)が秘匿化対象データである。そして、マスクデータMSは、2個のマスクデータMS-1,MS-2がそれぞれ32bitのビット列として生成される。データ秘匿部13は、マスクデータMS-1(32bit)と送信元IPアドレス(32bit)とのXOR演算を実行する。このXOR演算の結果として、送信元IPアドレス(32bit)が秘匿化された秘匿化送信元IPアドレス(32bit)が生成される。またデータ秘匿部13は、マスクデータMS-2(32bit)と宛先IPアドレス(32bit)とのXOR演算を実行する。このXOR演算の結果として、宛先IPアドレス(32bit)が秘匿化された秘匿化宛先IPアドレス(32bit)が生成される。秘匿済みデータ103は、異常検知用データPDにおいて送信元IPアドレス及び宛先IPアドレスが秘匿化された秘匿化送信元IPアドレス及び秘匿化宛先IPアドレスを含むデータである。
【0029】
図6の例では、異常検知用データPDに含まれる送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び宛先IPアドレスが秘匿化対象データである。この例では、MACアドレスが48bitのビット列でありIPアドレスが32bitのビット列であって、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び宛先IPアドレスの総データ長が160bitである。そして、マスクデータMSは、160bitのビット列として生成される。データ秘匿部13は、160bitのマスクデータMSと、送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び宛先IPアドレスの連結データ(160bit)とのXOR演算を実行する。このXOR演算の結果として、送信元MACアドレス(48bit)が秘匿化された秘匿化送信元MACアドレス(48bit)と、宛先MACアドレス(48bit)が秘匿化された秘匿化宛先MACアドレス(48bit)と、送信元IPアドレス(32bit)が秘匿化された秘匿化送信元IPアドレス(32bit)と、宛先IPアドレス(32bit)が秘匿化された秘匿化宛先IPアドレス(32bit)とが生成される。秘匿済みデータ103は、異常検知用データPDにおいて送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び宛先IPアドレスが秘匿化された秘匿化送信元MACアドレス、秘匿化宛先MACアドレス、秘匿化送信元IPアドレス及び秘匿化宛先IPアドレスを含むデータである。
【0030】
図7の例では、異常検知用データPDに含まれる送信元MACアドレス(48bit)、宛先MACアドレス(48bit)、送信元IPアドレス(32bit)及び宛先IPアドレス(32bit)が秘匿化対象データである。そして、マスクデータMSは、マスクデータMS-1(96bitのビット列)とマスクデータMS-2(64bitのビット列)とが生成される。データ秘匿部13は、マスクデータMS-1(96bit)と、送信元MACアドレス及び宛先MACアドレスの連結データ(96bit)とのXOR演算を実行する。このXOR演算の結果として、送信元MACアドレス(48bit)が秘匿化された秘匿化送信元MACアドレス(48bit)と、宛先MACアドレス(48bit)が秘匿化された秘匿化宛先MACアドレス(48bit)とが生成される。またデータ秘匿部13は、マスクデータMS-2(64bit)と、送信元IPアドレス及び宛先IPアドレスの連結データ(64bit)とのXOR演算を実行する。このXOR演算の結果として、送信元IPアドレス(32bit)が秘匿化された秘匿化送信元IPアドレス(32bit)と、宛先IPアドレス(32bit)が秘匿化された秘匿化宛先IPアドレス(32bit)とが生成される。秘匿済みデータ103は、異常検知用データPDにおいて送信元MACアドレス、宛先MACアドレス、送信元IPアドレス及び宛先IPアドレスが秘匿化された秘匿化送信元MACアドレス、秘匿化宛先MACアドレス、秘匿化送信元IPアドレス及び秘匿化宛先IPアドレスを含むデータである。
【0031】
【0032】
図8の例では、マスクデータ生成部11は、IoTデバイスDE(MACアドレス)毎にマスクデータMSを生成する。データ秘匿部13は、IoTデバイスDE(MACアドレス)毎に秘匿化対象データとマスクデータMSとのXOR演算を実行する。マスクデータMSがIoTデバイスDE(MACアドレス)毎に別個に分けられることによって、マスクデータMSが特定されることを困難にすることができる。
【0033】
図9の例では、マスクデータ生成部11は、秘匿化対象データに関する複数のグループ毎にマスクデータMSを生成する。データ秘匿部13は、当該複数のグループ毎に秘匿化対象データとマスクデータMSとの排他的論理和演算を実行する。
【0034】
例えば、マスクデータ生成部11は、同じIoTデバイスDEに対して、宛先IPアドレス(秘匿化対象データ)のグループ毎にマスクデータMSを生成する。データ秘匿部13は、宛先IPアドレス(秘匿化対象データ)のグループ毎に秘匿化対象データとマスクデータMSとの排他的論理和演算を実行する。
【0035】
なお、図9の例においては、マスクデータMS間の距離(マスクデータA-1とその他のマスクデータA-xとの距離)は、秘匿化対象データに関するグループ間の距離の要件以上の距離を有するようにすることが異常状態の検知精度の上で好ましい。具体的には、秘匿化対象データに関するグループ間の距離の要件がkである場合、マスクデータMS間の距離は「2k+1」以上にする。
【0036】
また、マスクデータMS間の距離を一定以上に保つために、秘匿化対象データに関するグループ間の距離の要件を満たすに足る十分なビット長のマスクデータMSを生成するようにしてもよい。図10の例では、マスクデータMS(A),(B)は、秘匿化対象データ(宛先IPアドレス(32bit))に関するグループ間の距離の要件を満たすに足る十分なビット長(64bit)を有する。
【0037】
なお、秘匿化対象データよりもマスクデータMSの方がデータ長が大きい場合、XOR演算の開始位置は予め設定される。図10の例では、マスクデータMSの先頭位置がXOR演算の開始位置として予め設定されている。
【0038】
本実施形態によれば、例えば宛先IPアドレス等のプライバシに関わる通信データを、秘匿化前のデータ間の距離を保ったまま秘匿化することができる。
【0039】
例えば、宛先IPアドレスA「192.26.91.225」と宛先IPアドレスB「192.26.91.227」を例に挙げて説明する。ホワイトリストを用いた異常状態の検知や異常検知モデルの学習用データの生成等では、IPアドレスの下位Xビットまでの差について計算したい場合がある。ここでの一例として、「X=4ビット」である場合を挙げる。
【0040】
宛先IPアドレスAはビット列「11000000 00011010 01011011 11100001」であり、宛先IPアドレスBはビット列「11000000 00011010 01011011 11100011」である。そして、宛先IPアドレスAと宛先IPアドレスBの差「宛先IPアドレスA-宛先IPアドレスB」はビット列「00000000 00000000 00000000 00000010」となる。したがって、秘匿化前の宛先IPアドレスAと宛先IPアドレスBについて、ハミング距離は1であり、IPアドレス間の距離は2である。
【0041】
ここで、マスクデータMSはビット列「01011100 10101111 00001101 01110111」であるとする。すると、秘匿化宛先IPアドレスAはビット列「10011100 10110101 01010110 10010110」であり、秘匿化宛先IPアドレスBはビット列「10011100 10110101 01010110 10010100」である。そして、秘匿化宛先IPアドレスAと秘匿化宛先IPアドレスBの差「秘匿化宛先IPアドレスA-秘匿化宛先IPアドレスB」はビット列「00000000 00000000 00000000 00000010」となる。したがって、秘匿化宛先IPアドレスAと秘匿化宛先IPアドレスBについて、ハミング距離は1であり、IPアドレス間の距離は2である。よって、宛先IPアドレスA及び宛先IPアドレスBについて、秘匿化前のデータ間の距離を保ったまま秘匿化することができる。これにより、宛先IPアドレスが秘匿化されても、異常状態の検知精度を低下させることなく、プライバシに配慮することができる。
【0042】
なお、マスクデータMSが推測されることを防止するために、秘匿化対象データのうち一部のデータに対してデータ間の距離を保たない所定の演算を実行し、当該演算結果とマスクデータMSとのXOR演算を実行してもよい。
【0043】
図11の例では、宛先IPアドレス(32bit)のうち、下位4bitは秘匿化前のデータ間の距離を保つことが必要である一方、上位28bitは秘匿化前のデータ間の距離を保つことが不要である。データ秘匿部13は、宛先IPアドレスの上位28bitに対しては、距離を保たない一方向関数(例えば、ハッシュ関数)により変換を行う。次いで、データ秘匿部13は、宛先IPアドレスの上位28bitが一方向関数により変換されたデータ(124bit)と、宛先IPアドレスの元の下位4bitとから構成されるデータ(128bit)に対して、マスクデータMS(128bit)とのXOR演算を実行する。これにより、宛先IPアドレスの下位4bitについては秘匿化前のデータ間の距離を保ったまま秘匿化することができる一方、宛先IPアドレスの上位28bitについては秘匿化前のデータ間の距離が保たれない。これにより、マスクデータMSの推測を困難にさせることができる。
【0044】
また、宛先IPアドレスに対して送信元MACアドレスと宛先MACアドレスとを連結して秘匿化(マスクデータMSとのXOR演算を実行)することにより、同一の宛先IPアドレスであっても秘匿化後の情報を異なるビット列とすることができ、マスクデータの推測を困難にすることができる。
【0045】
また本実施形態によれば、以下に示すような効果が得られる。
(1)IPアドレス等の通信識別子を秘匿した状態で、従来と同様にホワイトリストやブラックリストを作成することができる。
(2)IPv4アドレス以外に、IPv6アドレスやMACアドレスにも適用することができる。
(3)秘匿化後のデータによりホワイトリストやブラックリストと照合する場合においても、従来と同等の処理速度で照合することができる。
(4)秘匿化後のデータを用いてデータ間の距離に基づいた類似度等の特徴量を生成することができるので、生成可能な特徴量に大きな制限はない。
(5)もしも秘匿済みデータが漏洩しても、秘匿済みデータのみから元の情報を復元することは困難である。
(6)データを秘匿化する演算としてシンプルなXOR演算を使用するので、秘匿化処理を高速に実現することができる。
(1)IPアドレス等の通信識別子を秘匿した状態で、従来と同様にホワイトリストやブラックリストを作成することができる。
(2)IPv4アドレス以外に、IPv6アドレスやMACアドレスにも適用することができる。
(3)秘匿化後のデータによりホワイトリストやブラックリストと照合する場合においても、従来と同等の処理速度で照合することができる。
(4)秘匿化後のデータを用いてデータ間の距離に基づいた類似度等の特徴量を生成することができるので、生成可能な特徴量に大きな制限はない。
(5)もしも秘匿済みデータが漏洩しても、秘匿済みデータのみから元の情報を復元することは困難である。
(6)データを秘匿化する演算としてシンプルなXOR演算を使用するので、秘匿化処理を高速に実現することができる。
【0046】
なお、これにより、例えば通信解析システムにおける総合的なサービス品質の向上を実現することができることから、国連が主導する持続可能な開発目標(SDGs)の目標9「レジリエントなインフラを整備し、持続可能な産業化を推進するとともに、イノベーションの拡大を図る」に貢献することが可能となる。
【0047】
以上、本発明の実施形態について図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、本発明の要旨を逸脱しない範囲の設計変更等も含まれる。
【0048】
また、上述した各装置の機能を実現するためのコンピュータプログラムをコンピュータ読み取り可能な記録媒体に記録して、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行するようにしてもよい。なお、ここでいう「コンピュータシステム」とは、OSや周辺機器等のハードウェアを含むものであってもよい。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
また、「コンピュータ読み取り可能な記録媒体」とは、フレキシブルディスク、光磁気ディスク、ROM、フラッシュメモリ等の書き込み可能な不揮発性メモリ、DVD(Digital Versatile Disc)等の可搬媒体、コンピュータシステムに内蔵されるハードディスク等の記憶装置のことをいう。
【0049】
さらに「コンピュータ読み取り可能な記録媒体」とは、インターネット等のネットワークや電話回線等の通信回線を介してプログラムが送信された場合のサーバやクライアントとなるコンピュータシステム内部の揮発性メモリ(例えばDRAM(Dynamic Random Access Memory))のように、一定時間プログラムを保持しているものも含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであってもよい。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であってもよい。
【符号の説明】
【0050】
1…通信解析システム、10…情報秘匿装置、11…マスクデータ生成部、12…異常検知用データ生成部、13…データ秘匿部、30…解析サーバ、31…異常検知モデル、32…異常検知部、GW…ゲートウェイ、DE…IoTデバイス
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】