知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-08-19
(45)【発行日】2024-08-27
(54)【発明の名称】通信監視装置および通信監視方法
(51)【国際特許分類】
H04W 12/126 20210101AFI20240820BHJP
H04W 12/60 20210101ALI20240820BHJP
H04W 12/72 20210101ALI20240820BHJP
H04W 60/02 20090101ALI20240820BHJP
【FI】
H04W12/126
H04W12/60
H04W12/72
H04W60/02
【請求項の数】
2
(21)【出願番号】P 2024040722
(22)【出願日】2024-03-15
【審査請求日】2024-03-15
【早期審査対象出願】
(73)【特許権者】
【識別番号】397036309
【氏名又は名称】株式会社インターネットイニシアティブ
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100106208
【弁理士】
【氏名又は名称】宮前 徹
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(74)【代理人】
【識別番号】100195408
【弁理士】
【氏名又は名称】武藤 陽子
(72)【発明者】
【氏名】柿島 純
【審査官】野村 潔
(56)【参考文献】
【文献】特許第7367257(JP,B1)
【文献】米国特許第9699660(US,B1)
【文献】中国特許出願公開第104754574(CN,A)
【文献】山際 哲哉 Tetsuya YAMAGIWA,敵対的生成ネットワークを利用した疑似トラヒック生成に関する一考察 A Study on Pseudo Traffic Generation Using Machine Learning,電子情報通信学会技術研究報告 Vol.119 No.125 IEICE Technical Report,日本,一般社団法人電子情報通信学会 The Institute of Electronics,Information and Communication Engineers,2019年07月11日,第119巻
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを、学習済み生成器を用いて生成するように構成された生成部と、監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データを収集するように構成された収集部と、
前記監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データと、前記生成部によって生成された前記疑似履歴データとが一致するか否かを判定し、一致する場合には、前記監視対象の加入者識別子を、不正による通信が行われた恐れのある加入者識別子であると特定するように構成された判定部と、
前記判定部による判定結果および特定された加入者識別子に関する情報を提示するように構成された提示部と
を備え、
さらに、前記生成部が用いる前記学習済み生成器を、敵対的生成ネットワークの学習により構築するように構成された学習部を備え、
前記学習部は、真の履歴データである、正当な加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを生成する生成器と、前記生成器によって生成された前記疑似履歴データと前記真の履歴データとを識別する識別器とを有する前記敵対的生成ネットワークを学習し、
前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信された位置登録要求信号の送信間隔の履歴、および加入者識別子により識別されるユーザ端末から送信されたデータネットワークへのアクセス要求の送信間隔の履歴のうちの少なくともいずれかであり、
前記不正による通信とは、攻撃者が前記正当な加入者識別子を不正に入手し、前記正当な加入者識別子で識別されるユーザ端末による前記位置登録要求信号の送信間隔および前記アクセス要求の送信間隔のうちの少なくともいずれかを模した送信間隔で、前記正当な加入者識別子を用いて前記位置登録要求信号および前記アクセス要求のうちの少なくともいずれかを送信することを含む、通信監視装置。
【請求項2】
加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを、学習済み生成器を用いて生成する生成ステップと、監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データを収集する収集ステップと、
前記監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データと、前記生成ステップで生成された前記疑似履歴データとが一致するか否かを判定し、一致する場合には、前記監視対象の加入者識別子を、不正による通信が行われた恐れのある加入者識別子であると特定する判定ステップと、
前記判定ステップでの判定結果および特定された加入者識別子に関する情報を提示する提示ステップと
を備え、
さらに、前記生成ステップで用いる前記学習済み生成器を、敵対的生成ネットワークの学習により構築する学習ステップを備え、
前記学習ステップは、真の履歴データである、正当な加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを生成する生成器と、前記生成器によって生成された前記疑似履歴データと前記真の履歴データとを識別する識別器とを有する前記敵対的生成ネットワークを学習し、
前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信された位置登録要求信号の送信間隔の履歴、および加入者識別子により識別されるユーザ端末から送信されたデータネットワークへのアクセス要求の送信間隔の履歴のうちの少なくともいずれかであり、
前記不正による通信とは、攻撃者が前記正当な加入者識別子を不正に入手し、前記正当な加入者識別子で識別されるユーザ端末による前記位置登録要求信号の送信間隔および前記アクセス要求の送信間隔のうちの少なくともいずれかを模した送信間隔で、前記正当な加入者識別子を用いて前記位置登録要求信号および前記アクセス要求のうちの少なくともいずれかを送信することを含む、通信監視方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、通信監視装置および通信監視方法に関し、特に、モバイル通信ネットワークにおける不正な通信の監視技術に関する。
【背景技術】
【0002】
近年、生成AIが世界的に注目されている。生成AIのモデルの1つとして、敵対的生成ネットワーク(Generative Adversarrial Network:GAN)が知られている。GANは、実在する人物の画像データによく似た架空の人物の画像データを生成するように、用意されたデータから特徴を学習し、疑似的なデータを生成することができる生成モデルである。
【0003】
生成AIはモバイル通信ネットワークにおいても活用が進むとされる一方で、モバイル通信ネットワークのセキュリティにおいて、今後、攻撃者が生成AIを利用することが懸念される。特に近年、正当ユーザの加入者識別子(International Mobile Subscriber Identity:IMSI)を不正に入手し、モバイルIPネットワークに不正にアクセスすることで、正当ユーザに成りすまして位置登録要求信号を送信し、正当ユーザの通信などをインターセプトするいわゆるクローンSIM(Subscriber Identity Module)の問題が発生している(非特許文献1、2参照)。
【0004】
このような不正な位置登録要求を検知する技術として、従来から、モバイル通信事業者ネットワーク側の制御装置への位置登録要求に含まれる基地局番号やAMF(Access and Mobility Management Function)番号をチェックして、例えば日本と外国などの遠く離れた位置からほぼ同時に同一のIMSIでの位置登録要求がなされた場合に、不正なアクセスとして検出する技術が知られている(非特許文献1参照)。
【0005】
しかし、正当ユーザの位置から比較的近距離(例えば、日本国内)で不正な位置登録要求があった場合には、正当ユーザからの位置登録要求であるのか攻撃者からの不正な位置登録要求であるのかを見分けることが困難である。そのため、クローンSIMの検知が困難であった。特に今後は、攻撃者が生成AIを用いて正当ユーザからの位置登録要求と見分けることが困難な不正な位置登録要求を生成した場合の脅威に対する防御策を事前に構築することが望まれる。さらには、攻撃者が生成AIを利用したことにより、従来の不正検知技術によっては正当ユーザのユーザ端末による通信であるのか不正な通信であるのかを見分けることが困難なケースであっても、より確実に不正な通信を検知することが望まれる。
【先行技術文献】
【非特許文献】
【0006】
【文献】GSM Association,“FS.19 Diameter Interconnect Security Version 4.0”,04 May 2018.
【文献】GSM Association,“FS.11-SS7 Interconnect Security Monitoring and Firewall Guidelines 4.0”,04 May 2018.
【発明の概要】
【発明が解決しようとする課題】
【0007】
このように従来の技術では、より確実に不正な通信を検知することが困難であった。
【0008】
本発明は、上述した課題を解決するためになされたものであり、より確実に不正な通信を検知することを目的とする。
【課題を解決するための手段】
【0009】
上述した課題を解決するために、本発明に係る通信監視装置は、加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを、学習済み生成器を用いて生成するように構成された生成部と、監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データを収集するように構成された収集部と、前記監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データと、前記生成部によって生成された前記疑似履歴データとが一致するか否かを判定するように構成された判定部と、前記判定部による判定結果を提示するように構成された提示部とを備える。
【0010】
また、本発明に係る通信監視装置において、前記生成部が用いる前記学習済み生成器は、敵対的生成ネットワークの学習により構築されてもよい。
【0011】
また、本発明に係る通信監視装置において、前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信された位置登録要求信号の送信間隔の履歴であってもよい。
【0012】
また、本発明に係る通信監視装置において、前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信されたデータネットワークへのアクセス要求の送信間隔の履歴であってもよい。
【0013】
また、本発明に係る通信監視装置において、前記判定部は、前記判定結果に基づいて、不正な通信が行われている恐れのある加入者識別子を特定し、前記提示部は、特定された加入者識別子に関する情報を提示してもよい。
【0014】
上述した課題を解決するために、本発明に係る通信監視方法は、加入者識別子により識別されるユーザ端末の通信の履歴データに類似する疑似履歴データを、学習済み生成器を用いて生成する生成ステップと、監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データを収集する収集ステップと、前記監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データと、前記生成ステップで生成された前記疑似履歴データとが一致するか否かを判定する判定ステップと、前記判定ステップでの判定結果を提示する提示ステップとを備える。
【0015】
また、本発明に係る通信監視方法において、前記生成ステップで用いる前記学習済み生成器は、敵対的生成ネットワークの学習により構築されてもよい。
【0016】
また、本発明に係る通信監視方法において、前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信された位置登録要求信号の送信間隔の履歴であってもよい。
【0017】
また、本発明に係る通信監視方法において、前記通信の履歴データは、加入者識別子により識別されるユーザ端末から送信されたデータネットワークへのアクセス要求の送信間隔の履歴であってもよい。
【0018】
また、本発明に係る通信監視方法において、前記判定ステップは、前記判定結果に基づいて、不正な通信が行われている恐れのある加入者識別子を特定し、前記提示ステップは、特定された加入者識別子に関する情報を提示してもよい。
【発明の効果】
【0019】
本発明によれば、監視対象の加入者識別子により識別されるユーザ端末の通信の履歴データと、生成部によって生成された疑似履歴データとが一致するか否かを判定するため、より確実に不正な通信を検知することができる。
【図面の簡単な説明】
【0020】
【発明を実施するための形態】
【0021】
【0022】
[通信監視システムの構成]
まず、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの概要について説明する。図1は、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの構成を示すブロック図である。
まず、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの概要について説明する。図1は、本発明の実施の形態に係る通信監視装置1を備える通信監視システムの構成を示すブロック図である。
【0023】
本実施の形態に係る通信監視システムは、例えば、5G通信規格に対応したモバイル通信ネットワークに設けられる。通信監視システムは、通信監視装置1、ユーザ端末2、基地局3、コアネットワーク4、およびデータネットワーク5を備える。通信監視システムは、モバイル通信ネットワークにおけるIMSIを用いた不正な通信を監視する。
【0024】
ユーザ端末2は、SIM20を備え、スマートホンなどの携帯通信端末、タブレット型コンピュータ、ラップトップ型コンピュータなどとして実現される。本実施の形態では複数のユーザ端末2が存在する。
【0025】
ユーザ端末2に搭載されるSIM20には、ユーザの契約プロファイルが格納されている。SIM20の契約プロファイルには、ユーザの加入者識別情報が格納され、携帯電話の回線契約に割り当てられる加入者識別子であるIMSI、加入者であるユーザの電話番号(MSISDN:Mobile Subscriber International Subscriber Directory Number)、SIMカード番号(ICCID:Integrated Circuit Card Identifier)等の識別情報が含まれる。ユーザ端末2は、割り当てられたIMSIによって一意に識別される。なお、実際の加入者であるユーザを正当ユーザと呼び、これに対して「不正」といった場合には、正当ユーザではない攻撃者等が正当ユーザのIMSIを用いて通信を行う場合の行為等をいう。
【0026】
基地局3は、5G通信規格に対応した無線基地局で構成され、通信エリアに在圏するユーザ端末2とコアネットワーク4との間の通信を中継する。基地局3は、バックホールリンクなどのネットワークLを介してコアネットワーク4と接続する。
【0027】
コアネットワーク4は、通信監視装置1とLANやWANなどのネットワークNWを介して接続されている。コアネットワーク4は、制御プレーン(C-plane)内のノードであるAMF40、UDM(Unified Data Management)41、UDR42、およびユーザプレーン(U-plane)内のUPF(User Plane Function)43を備える。本実施の形態では、通信監視システムは複数のUDR42および複数のUPF43を備える。なお、コアネットワーク4が備える他の機能については図示を省略している。
【0028】
AMF40は、モビリティ制御機能を提供し、位置登録、ページング、およびハンドオーバ等の移動制御を行うノードである。UDM41は、ユーザの契約情報や認証情報を管理するノードである。
【0029】
UDR42は、ユーザ端末2のIMSIや在圏情報を保持した加入者プロファイルを格納するノードである。UDR42は、通信監視装置1との通信を行うための通信インターフェース42aを備える。また、UDR42は、ユーザ端末2のIMSIごとに送信された位置登録要求信号のタイムスタンプを送信履歴として記憶する。
【0030】
図2は、UDR42が備える、加入者プロファイルに含まれる通信の履歴データが記憶されたテーブル420である。テーブル420に示すように、加入者プロファイルには、IMSIと、位置登録要求信号の送信タイムスタンプと、在圏情報としてAMF41のアドレスとが関連付けられている。また、加入者プロファイルには、IMSIごとの位置登録要求信号の送信タイムスタンプに基づいた、位置登録要求信号の送信間隔[ms]が履歴として記録されている。
【0031】
図1に戻り、UPF43は、ユーザプレーン機能であり、基地局3を含む無線アクセスネットワーク(RAN)と、インターネットなどのデータネットワーク(DN)5との間のデータパケットを処理する。UPF43は、通信監視装置1との通信を行うための通信インターフェース43aを備える。UPF43は、IMSIにより識別されるユーザ端末2から送信されたデータネットワーク5へのアクセス要求のタイムスタンプを通信の履歴データとして記憶する。
【0032】
図3は、UPF43が備える、データ通信ログが記憶されたテーブル430である。テーブル430に示すように、データ通信ログには、IMSIと、セッションIDと、データネットワーク5へのアクセス要求のタイムスタンプとが関連付けられている。データ通信ログには、さらにタイムスタンプに基づくアクセス要求の送信間隔[ms]が履歴として記録されている。
【0033】
データネットワーク5は、コアネットワーク4の外部に設けられたインターネットなどのネットワークである。ユーザ端末2は、コアネットワーク4のUPF43を介してデータネットワーク5にアクセスしてデータ通信を行う。
【0034】
[通信監視装置の機能ブロック]
図1に示すように、通信監視装置1は、収集部10、学習部11、生成部12、判定部13、記憶部14、および提示部15を備える。通信監視装置1は、学習済み生成器111’によって事前に生成された、正当ユーザによるIMSIを用いた通信の履歴データ、すなわち真の履歴データに類似する疑似履歴データと、不正な通信についての監視対象のIMSIを用いた通信の履歴データとが一致するか否かを判定することで不正な通信を監視する。
図1に示すように、通信監視装置1は、収集部10、学習部11、生成部12、判定部13、記憶部14、および提示部15を備える。通信監視装置1は、学習済み生成器111’によって事前に生成された、正当ユーザによるIMSIを用いた通信の履歴データ、すなわち真の履歴データに類似する疑似履歴データと、不正な通信についての監視対象のIMSIを用いた通信の履歴データとが一致するか否かを判定することで不正な通信を監視する。
【0035】
収集部10は、監視対象のIMSIにより識別されるユーザ端末2の通信の履歴データを収集する。より詳細には、収集部10は、コアネットワーク4のUDR42から、IMSIごとの加入者プロファイルに含まれる、位置登録要求信号のタイムスタンプの履歴を収集する。具体的には、収集部10は、UDR42が記憶するテーブル420から、IMSIごとに関連付けられた、位置登録要求信号のタイムスタンプに示される位置登録要求信号の送信間隔[ms]の履歴を収集する。
【0036】
収集部10は、モバイル通信事業者が管理するコアネットワーク4全体に含まれる複数のUDR42から、複数の加入者のIMSIに係るユーザ端末2から送信された位置登録要求信号の送信間隔の履歴を収集することができる。なお、監視対象のIMSIにより識別されるユーザ端末2の通信の履歴データは、攻撃者が不正に入手したIMSIによる不正な位置登録要求の履歴、あるいは後述のデータネットワーク5への不正なアクセス要求の履歴が含まれている可能性のある通信の履歴データである。
【0037】
また、収集部10は、コアネットワーク4のUPF43から、IMSIごとのデータネットワーク5へのアクセス要求のタイムスタンプが示す履歴データを収集することができる。より具体的には、収集部10は、UPF43が備えるテーブル430から、IMSIごとのアクセス要求の送信間隔[ms]の履歴を収集することができる。なお、収集部10は、モバイル通信事業者が管理するコアネットワーク4が備える複数のUPF43から、複数の加入者のIMSIに係るユーザ端末2によるアクセス要求の送信間隔の履歴を収集することができる。
【0038】
なお、収集部10は、監視対象のIMSIで識別されるユーザ端末2による通信の履歴データとは別途に、後述の学習部11が用いる訓練データとしての通信の履歴データを収集することができる。
【0039】
学習部11は、図4に示すように、生成器111および識別器112を有するGANを敵対的に学習させる。学習部11の学習によって学習済み生成器111’が構築される。より詳細には、学習部11は、IMSIにより識別されるユーザ端末2の通信の履歴データ、すなわち真の履歴データに類似する疑似履歴データを生成する生成器111と、生成器111によって生成された疑似履歴データと真の履歴データとを識別する識別器112とを有するGANを学習する。
【0040】
図5および図6は、学習部11が用いるGANの生成器111および識別器112のニューラルネットワーク構成を模式的に表した図である。図5に示すように、生成器111は、入力層、隠れ層、および出力層を有するニューラルネットワークで構成される。生成器111は、ランダムな雑音から疑似履歴データを生成するモデルである。生成器111の入力ノードには、例えば、ガウス雑音のベクトルがランダムにm個サンプルされて入力される(z1~zm)。生成器111は、入力と重みパラメータの積和演算および活性化関数によるしきい値処理を経て出力G(z1)~G(zn)を出力する。
【0041】
本実施の形態では、生成器111は、UDR42が記憶する加入者プロファイルに含まれるIMSIごとの位置登録要求信号の送信間隔の履歴に類似する疑似履歴データを生成する生成器111Aと、UPF43が記憶するデータ通信ログに含まれるIMSIごとのデータネットワーク5へのアクセス要求の送信間隔の履歴に類似する疑似履歴データを生成する生成器111Bとを備える。
【0042】
図6に示す識別器112は、入力層、隠れ層、および出力層を有するニューラルネットワークで構成される。図6の例では、入力として、m個サンプルされた訓練データの履歴データx1~xmが与えられる。本実施の形態では、識別器112は、位置登録要求信号の送信間隔の履歴に類似する疑似履歴データを生成する生成器111Aに対応する識別器112Aを備える。さらに、識別器112は、データネットワーク5へのアクセス要求の送信間隔の履歴に類似する疑似履歴データを生成する生成器111Bに対応する識別器112Bを備える。したがって、本実施の形態では、C-planeで処理される位置登録要求に係る履歴データを扱うGANと、U-planeで処理されるアクセス要求に係る履歴データを扱うGANとの2つのモデルが用意される。
【0043】
具体的には、識別器112Aが入力として用いる履歴データx1~xmは、収集部10が事前にコアネットワーク4のUDR42から収集した、IMSIで識別されるユーザ端末2から送信された位置登録要求信号の送信間隔の履歴データである。入力として与えられる1セットの履歴データx1~xmは、1つのIMSIで識別されるユーザ端末2による位置登録要求信号の送信間隔の履歴データである。図2で示したテーブル420の例を用いて説明すると、IMSI_1に係る位置登録要求信号の送信間隔の履歴データx1は20[ms]、履歴データx2は30[ms]、履歴データx3は40[ms]、・・・である。また、訓練データは真の履歴データであり、正当ユーザによる位置登録要求である場合が仮定されたものである。
【0044】
識別器112Bが入力として用いる履歴データx1~xmは、収集部10が事前にコアネットワーク4のUPF43から収集した、IMSIで識別されるユーザ端末2から送信されたデータネットワーク5へのアクセス要求の送信間隔の履歴データである。図3で示したテーブル430の例を用いて説明すると、IMSI_1に係るアクセス要求の送信間隔の履歴データx1は23[ms]、履歴データx2は40[ms]、履歴データx3は30[ms]、・・・である。
【0045】
識別器112は、入力と重みパラメータの積和演算および活性化関数によるしきい値処理を経て、例えば、1または0の出力を出す。識別器112は、入力された真の履歴データに係る訓練データを正しく真の履歴データであると識別すると出力y=1を出力する。一方、入力された疑似履歴データに係る訓練データを正しく疑似履歴データであると識別すると出力y=0を出力する。このように、識別器112は、生成器111が生成したモデル分布を真の分布である訓練データのデータ分布から区別するモデルである。したがって、学習によって構築される識別器112は、正当ユーザのIMSIにより識別されるユーザ端末2の通信の履歴データと、これに類似する疑似履歴データとを正しく見分けることができる。
【0046】
図4は、学習部11によるGANの敵対的学習を説明するためのブロック図である。学習部11が採用するGANの生成器111を関数G、識別器112を関数Dと表す。また、真の履歴データをx、識別器112による出力である予測値はyと表し、正解ラベルをtと表す。正解ラベルtは、真の履歴データに対して1、生成器111で生成された疑似履歴データに対して0と設定される。このとき、識別器112は、二値分類問題として次式(1)の交差エントロピーECEで表すことができる。
【0047】
【数1】
【0048】
上式(1)のブレース内の第1項が表すtnlnynにおいて、識別器112の予測値ynが、真の履歴データの正解ラベルtn=1の値に近づくことが望ましい。一方、ブレース内の第2項が表す(1-tn)ln(1-yn)においては、識別器112の予測値ynが、疑似履歴データと識別する正解ラベルの値(1-tn)=0に近づくことが望ましい。このように交差エントロピーECEは、予測値が正解ラベルの値に一致している場合に最大値となる。
【0049】
ここで、GANを構成する生成器111は、パラメータwG,θGを有し、関数G(wG,θG)と表す。また、識別器112は、パラメータwD,θDを有し、関数D(wD,θD)と表す。上式(1)の交差エントロピーECEに基づいた生成器111と識別器112とを備えるGANの目的関数Eは、次式(2)で表すことができる。
【数2】
【0050】
上式(2)の第1項が表すED(x)=1lnD(wD,θD)は、識別器112が真の履歴データを真の履歴データであると識別する期待値である。上式(2)の第2項が表すED(x)=0ln(1-D(G(wG,θG),wD,θD))は、生成器111により生成された疑似履歴データを識別器112が疑似履歴データであると識別する期待値である。GANの学習では、目的関数Eのmin-max最適化により、生成器111と識別器112とを敵対的に学習する。したがって、識別器112をだますような疑似履歴データを生成できるように生成器111を学習し、生成器111が生成した疑似履歴データを疑似履歴データであると識別するように識別器112を学習する。
【0051】
識別器112の学習では、真の履歴データが与えられた場合に、識別器112がy=1に近い出力を出すことで、上式(2)の目的関数Eの第1項を最大化する。一方、疑似履歴データが与えられた場合に、識別器112がy=0に近い出力を出すことで目的関数Eの第2項を最大化するように学習が行われる。
【0052】
生成器111の学習では、上式(2)のD(G(wG,θG),wD,θD)(図4のD(G(z)))が1に近くなるようなG(wG,θG)(図4のG(z))を出力することで、目的関数Eを最小化する。学習部11は、生成器111のパラメータと識別器112のパラメータとを交互に更新する学習手順を用いる。なお、学習部11による生成器111および識別器112の学習手順の詳細は後述する。
【0053】
学習部11は、GANの目的関数Eが最適化されると、学習済み生成器111’を生成部12に渡す。
【0054】
生成部12は、GANの学習により構築された学習済み生成器111’を備える。生成部12は、学習済み生成器111’を用いて、IMSIで識別されるユーザ端末2による通信の履歴データに類似する疑似履歴データを生成する。
【0055】
図8は、生成部12が学習済み生成器111’を用いて生成した疑似履歴データを説明するための図である。図8のテーブル120に示すように、疑似履歴データは、学習済み生成器111’から出力された疑似履歴データG(z1),G(z2),G(z3),…,G(zn)と識別番号IDとが関連付けられたデータである。なお、本実施の形態では、実際には位置登録要求信号に係る学習済み生成器111A’およびデータネットワーク5へのアクセス要求に係る学習済み生成器111B’のそれぞれで生成された疑似履歴データを記憶する2つのテーブル120が設けられる。
【0056】
判定部13は、収集部10によって収集された、監視対象のIMSIにより識別されるユーザ端末2の通信の履歴データと、生成部12によって生成された疑似履歴データとが一致するか否かを判定する。より詳細には、判定部13は、不正な通信を監視する対象のIMSIに関連付けられた通信の履歴データ、例えば、図2のテーブル420の例では、「IMSI_1」に、20[ms]、30[ms]、40[ms]、・・・が対応付けられている履歴データと、疑似履歴データG(z1),G(z2),G(z3),…,G(zn)とを比較する。
【0057】
具体的には、判定部13は、判定処理の前に、監視対象のIMSIごとの通信の履歴データのうち、IMSIが重複する履歴データを抽出し、IMSIの重複があった履歴データに対してのみ、疑似履歴データとの一致の有無を判定することができる。
【0058】
また、判定部13は、判定結果に基づいて、不正な通信がおこなわれているおそれのあるIMSIを特定する。具体的には、判定部13は、収集部10によって収集された監視対象のIMSIに係る通信の履歴データが、疑似履歴データと一致する場合には、該当するIMSIを、不正による通信が行われた恐れのあるIMSIであると特定することができる。
【0059】
記憶部14は、学習済み生成器111’、および学習済み生成器111’によって生成された疑似履歴データを記憶する。
【0060】
提示部15は、判定部13による判定結果を提示する。より詳細には、提示部15は、不正な通信が行われた恐れがあるとして特定されたIMSIの情報を、UDR42およびUPF43に通知することができる。
【0061】
[通信監視装置のハードウェア構成]
次に、上述した機能を有する通信監視装置1を実現するハードウェア構成の一例について、図7を用いて説明する。
次に、上述した機能を有する通信監視装置1を実現するハードウェア構成の一例について、図7を用いて説明する。
【0062】
図7に示すように、通信監視装置1は、例えば、バス101を介して接続されるプロセッサ102、主記憶装置103、通信インターフェース104、補助記憶装置105、入出力I/O106を備えるコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。また、通信監視装置1は、バス101を介して接続される表示装置107を備えることができる。
【0063】
主記憶装置103には、プロセッサ102が各種制御や演算を行うためのプログラムが予め格納されている。プロセッサ102と主記憶装置103とによって、図1に示した収集部10、学習部11、生成部12、判定部13など通信監視装置1の各機能が実現される。
【0064】
通信インターフェース104は、通信監視装置1と各種外部電子機器との間をネットワーク接続するためのインターフェース回路である。
【0065】
補助記憶装置105は、読み書き可能な記憶媒体と、その記憶媒体に対してプログラムやデータなどの各種情報を読み書きするための駆動装置とで構成されている。補助記憶装置105には、記憶媒体としてハードディスクやフラッシュメモリなどの半導体メモリを使用することができる。
【0066】
補助記憶装置105は、通信監視装置1が実行するGANの学習プログラムおよび通信監視プログラムを格納するプログラム格納領域を有する。また、補助記憶装置105は、生成部12によって生成された疑似履歴データが記憶されるテーブル120の格納領域を有する。補助記憶装置105によって、図1で説明した記憶部14が実現される。さらには、例えば、上述したデータやプログラムなどをバックアップするためのバックアップ領域などを有していてもよい。
【0067】
入出力I/O106は、外部機器からの信号を入力したり、外部機器へ信号を出力したりする入出力装置である。
【0068】
表示装置107は、有機ELディスプレイや液晶ディスプレイなどによって構成される。表示装置107によって、提示部15を実現することも可能である。
【0069】
【0070】
図9は、通信監視装置1を備える通信監視システムの動作の概要を示す動作シーケンスである。まず、UDR42は、IMSIごとの位置登録要求信号の送信間隔の履歴に係る通信の履歴データを含む加入者プロファイルを通信監視装置1に送信する(ステップS1)。通信監視装置1の収集部10は、加入者プロファイルから、訓練データとして用いるための、IMSIで識別されるユーザ端末2から送信された位置登録要求信号の送信間隔の履歴を通信の履歴データとして収集する(ステップS2)。なお、ステップS2で収集される履歴データは真の履歴データである。
【0071】
一方、UPF43は、IMSIごとのデータネットワーク5へのアクセス要求の送信間隔の履歴を通信の履歴データとして含むデータ通信ログを通信監視装置1に送信する(ステップS3)。通信監視装置1の収集部10は、データ通信ログから、訓練データとして用いるための、IMSIによって識別されるユーザ端末2から送信されたアクセス要求の送信間隔の履歴を通信の履歴データとして収集する(ステップS4)。なお、ステップS4で収集される履歴データは真の履歴データである。
【0072】
次に、通信監視装置1の学習部11は、生成器111と識別器112とを備えるGANの学習処理を行う(ステップS5)。
【0073】
図10は、通信監視装置1が備える学習部11によるGANの学習処理を示すフローチャートである。まず、図9のステップS2、S4で説明したように、収集部10は、訓練データとして用いるための、IMSIで識別されるユーザ端末2の通信の履歴データを真の履歴データとして収集する(ステップS50)。IMSIの数がN個ある場合には、N個の真の履歴データのセットが収集される。なお、前述したように、UDR42から収集される位置登録要求信号の送信間隔に係るN個の履歴データのセットと、UPF43から収集されるデータネットワーク5へのアクセス要求に係るN個の履歴データのセットとがそれぞれ用意される。また、真の履歴データは、正当ユーザのIMSIにより識別されるユーザ端末2による正当な位置登録要求やアクセス要求に係る履歴である。
【0074】
ここで、図4の学習部11によるGANの学習処理に示すように、ステップS1で収集された真の履歴データは、識別器112を学習する際に入力される訓練データ114として用いられる。
【0075】
次に、学習部11は、真の履歴データを訓練データ114として識別器112に入力し、真の履歴データを真の履歴データ(y=1)と識別するように、識別器112のパラメータwD,θDを学習し、更新する(ステップS51)。ステップS51において、学習部11は、例えば、誤差逆伝搬法などを用いて識別器112に真の履歴データを学習させることができる。ステップS51により、真の履歴データを真の履歴データと識別することができる識別器112が事前に構築される。
【0076】
次に、学習部11は、ガウス雑音110を発生し、発生したガウス雑音110のランダムなベクトルを生成器111に入力として与える(ステップS52)。続いて、生成器111は、与えられたガウス雑音110に基づいて、入力zと重みパラメータwG,θGの積和演算および活性化関数によるしきい値処理を行い、疑似履歴データG(z)を生成する(ステップS53)。
【0077】
次に、識別器112の学習を行う。識別器112の学習は、生成器111のパラメータwD,θDを固定して行われる。まず、学習部11は、ステップS50で収集された真の履歴データの訓練データ114を識別器112に入力として与え、上式(2)の目的関数Eが最大となるように、勾配dE/dwD,dE/dθDを算出し、誤差逆伝搬法などによりパラメータwD,θDを更新する(ステップS54)。なお、訓練データ114のラベルは1(真の履歴データ)が設定されている。
【0078】
次に、学習部11は、ステップS53で生成器111によって生成された疑似履歴データを識別器112に入力として与え、上式(2)の目的関数Eが最大となるように、勾配dE/dwD,dE/dθDを算出し、誤差逆伝搬法などによりパラメータwD,θDを更新する(ステップS55)。すなわち、ステップS54およびステップS55では、上式(2)の目的関数Eを最大にするために、第1項はD(wD,θD)=1が出力され、第2項はD(G(wG,θG),wD,θD)=0となるように最適化が行われる。なお、訓練データ114には、ラベルは0(疑似履歴データ)が設定されている。
【0079】
ステップS54およびステップS55での識別器112の学習は、図4に示すように、識別器112からの出力113に基づいて、目的関数Eのブロック115で識別器誤差が算出され、その後、識別器112へ誤差逆伝搬されることを示す破線の矢印に対応する。
【0080】
次に、生成器111の学習を行う。生成器111の学習では、識別器112のパラメータが固定されて行われる。学習部11は、ランダムなガウス雑音110を生成器111に与えた際に疑似履歴データが生成されるように生成器111を学習する。具体的には、学習部11は、上式(2)の目的関数Eを最小とするために、勾配-dE/dwG,-dE/dθGを算出し、誤差逆伝搬法などによりパラメータwG,θGを更新する(ステップS56)。
【0081】
ステップS56での学習は、図4に示す、生成器111へ誤差逆伝搬されることを示す破線の矢印に対応する。すなわち、ステップS56は、図4の生成器111で生成された疑似履歴データが識別器112に入力され、その出力113から目的関数Eのブロック115で生成器誤差が算出され、さらには、生成器111へ誤差逆伝搬される破線矢印に対応する。
【0082】
その後、目的関数Eの値がナッシュ均衡に到達して収束するまで(ステップS57:NO)、ステップS53からステップS56までの識別器112および生成器111の学習が繰り返し行われる。一方、目的関数Eの値が収束した場合(ステップS57:YES)、N個の真の履歴データのうち、残りのN-1個の真の履歴データを用いて、生成器111および識別器112の学習が行われるまで(ステップS58:NO)、ステップS51からステップS57までの処理が繰り返される。なお、ステップS51からステップS57では、位置登録要求信号の履歴データを扱う生成器111Aおよび識別器112A、ならびにデータネットワーク5へのアクセス要求の履歴データを扱う生成器111Bおよび識別器112Bをそれぞれ学習する。
【0083】
その後、残りのN-1個の真の履歴データを用いて生成器111および識別器112の学習が行われた場合(ステップS58:YES)、学習部11は、学習済み生成器111’を記憶部14に記憶する(ステップS59)。具体的には、学習部11は、位置登録要求信号の履歴データを扱う学習済み生成器111A’およびデータネットワーク5へのアクセス要求の履歴データを扱う学習済み生成器111B’をそれぞれ記憶部14に記憶する。以上のステップS50からステップS59までの処理によって学習済み生成器111’が構築される。
【0084】
次に、図9のシーケンス図に戻り、生成部12は、学習処理に係るステップS5で得られた学習済み生成器111’を用いて、IMSIで識別されるユーザ端末2による通信の履歴データに類似する疑似履歴データを生成する(ステップS6)。ステップS6では、生成部12は、学習済み生成器111A’、111B’のそれぞれを用いて疑似履歴データを生成する。
【0085】
次に、記憶部14は、ステップS6で生成された疑似履歴データを記憶する(ステップS7)。記憶部14は、図8の疑似履歴データと識別番号IDとを関連付けたテーブル120を記憶することができる。また、学習済み生成器111A’および学習済み生成器111B’のそれぞれで生成された疑似履歴データのテーブル120がそれぞれ記憶部14に記憶される。
【0086】
ステップS7で学習済み生成器111’を記憶部14に記憶してから設定された期間の経過後、UDR42は、監視対象のIMSIごとの位置登録要求信号の履歴データを含む加入者プロファイルを通信監視装置1へ送信する(ステップS8)。通信監視装置1の収集部10は、UDR42が記憶する加入者プロファイルから、監視対象のIMSIごとの位置登録要求信号の送信間隔の履歴を通信の履歴データとして収集する(ステップS9)。
【0087】
同様に、ステップS7で学習済み生成器111’を記憶部14に記憶してから設定された期間の後、UPF43は、監視対象のIMSIごとのデータネットワーク5へのアクセス要求の送信間隔の履歴を通信の履歴データを含むデータ通信ログを通信監視装置1へ送信する(ステップS10)。通信監視装置1の収集部10は、データ通信ログから、監視対象のIMSIごとのアクセス要求の送信間隔の履歴を通信の履歴データとして収集する(ステップS11)。設定された期間としては、1か月や1年などの任意の期間を採用することができ、また、学習済み生成器111’を構築後、一定期間が経ってから、1か月周期や1年周期など、定期的に監視対象の通信の履歴データを収集することもできる。
【0088】
次に、判定部13は、ステップS9、S11でそれぞれ収集された監視対象のIMSIで識別されるユーザ端末2による通信の履歴データと、ステップS7で記憶部14に記憶された、学習済み生成器111’で生成された疑似履歴データとが一致するか否かを判定する(ステップS12)。
【0089】
より具体的には、判定部13は、ステップS12において、ステップS9、S11でそれぞれ収集された監視対象のIMSIについての通信の履歴データにおいて、重複するIMSIによる履歴データが存在する場合には、そのような重複するIMSIに係る通信の履歴データを予め抽出することができる。さらに、判定部13は、抽出された重複するIMSIに係る通信の履歴データと、疑似履歴データとの一致の有無を判定することができる。
【0090】
さらに、判定部13は、ステップS9で収集された監視対象のIMSIによる位置登録要求信号に係る通信の履歴データと、記憶部14に記憶されている学習済み生成器111A’で生成された疑似履歴データとの一致の有無を判定する。また、判定部13は、ステップS11で収集された監視対象のIMSIによるデータネットワーク5へのアクセス要求に係る通信の履歴データと、記憶部14に記憶されている学習済み生成器111B’で生成された疑似履歴データとの一致の有無を判定する。
【0091】
その後、判定部13は、ステップS12での判定結果において、一致すると判定された通信の履歴データに関連付けられたIMSIを、不正による通信が行われた恐れのあるIMSIであると特定する(ステップS13)。具体的には、判定部13は、ステップS12において、監視対象のIMSI(例えば、IMSI_1)で識別されるユーザ端末2により送信された位置登録要求信号の送信間隔の履歴データと、記憶部14に記憶されている学習済み生成器111A’で生成された疑似履歴データとが一致する場合、当該監視対象のIMSI_1が、不正な位置登録要求を行った恐れのあるIMSIであるとして特定する。
【0092】
同様に、判定部13は、ステップS12において、監視対象のIMSI(例えば、IMSI_1)で識別されるユーザ端末2によるデータネットワーク5へのアクセス要求の送信間隔の履歴データと、記憶部14に記憶されている学習済み生成器111B’で生成された疑似履歴データとが一致する場合、当該監視対象のIMSI_1が、データネットワーク5への不正なアクセス要求を行った恐れのあるIMSIであると特定する。
【0093】
ステップ12およびステップ13により、疑似履歴データが示す位置登録要求信号やアクセス要求の送信タイミングと極めて近いIMSIが、不正な位置登録要求やアクセス要求を行ったIMSIであると特定されることになる。
【0094】
その後、提示部15は、ステップS13で特定されたIMSIに係る情報を通知する(ステップS14)。例えば、ステップS13において、不正な位置登録要求を行った恐れのあるISMIとして特定されたIMSI_1の情報を、提示部15は、ネットワークNWを介してUDR42に通知する。また、ステップS13において、不正なアクセス要求を行った恐れのあるIMSIであると特定されたIMSI_1の情報を、提示部15は、ネットワークNWを介してUPF43に通知する。
【0095】
続いて、通知を受けたUDR42は、IMSI_1に対して位置登録要求を拒否する(ステップS15)。一方、通知を受けたUPF43は、IMSI_1に対して通信切断処理を行う(ステップS16)。
【0096】
以上説明したように、本実施の形態に係る通信監視装置1によれば、予め構築された学習済み生成器111’によって、IMSIで識別されるユーザ端末2による通信の履歴データに類似する疑似履歴データを生成し、監視対象であるIMSIで識別されるユーザ端末2による通信の履歴データと一致するか否かを判定する。そのため、より確実に不正な通信を検知することができる。
【0097】
また、本実施の形態に係る通信監視装置1によれば、監視対象であるIMSIによって識別されるユーザ端末2から送信された位置登録要求信号の送信間隔の履歴データと、学習済み生成器111’によって生成された疑似履歴データとの一致の有無を判定する。そのため、同一のIMSIを用いて、同様の時刻のタイミングで位置登録要求があった場合でも、不正な位置登録要求を検知することができる。特に、日本国内の正当ユーザの位置から比較的近い距離で同一のIMSIを用いた位置登録要求があった場合の不正な位置登録要求を検知することができる。
【0098】
また、本実施の形態に係る通信監視装置1によれば、UDR42およびUPF43の各々で記録されるIMSIに関連付けられた通信の履歴データに基づいて、GANの学習を行う。そのため、C-planeおよびU-planeのそれぞれでの不正な通信の検知が可能となる。
【0099】
また、本実施の形態に係る通信監視装置1によれば、正当ユーザによる通信の履歴データの特徴を学習し、疑似履歴データを生成する学習済み生成器111’を事前に構築して記憶部14に記憶する。そのため、将来、攻撃者が生成AIを用いて正当な位置登録要求信号やアクセス要求の送信タイミングと区別することが困難な送信タイミングでの不正な通信を行う場合の脅威に対する事前の防御策を講ずることができる。さらには、正当ユーザの通信の送信間隔を模した不正な通信によるコアネットワーク4へのDDoS攻撃やクローンSIMなどのなりすましを、より効率的に防御できる。
【0100】
なお、上述の実施の形態では、5Gに準拠する通信監視システムである場合を例示したが、4G/LTEや6G等に準拠する通信監視システムであってもよい。
【0101】
以上、本発明の通信監視装置および通信監視方法における実施の形態について説明したが、本発明は説明した実施の形態に限定されるものではなく、請求項に記載した発明の範囲において当業者が想定し得る各種の変形を行うことが可能である。
【符号の説明】
【0102】
1…通信監視装置、10…収集部、11…学習部、12…生成部、13…判定部、14…記憶部、15…提示部、2…ユーザ端末、20…SIM、3…基地局、4…コアネットワーク、40…AMF、41…UDM、42…UDR、43…UPF、5…データネットワーク、101…バス、102…プロセッサ、103…主記憶装置、42a、43a、104…通信インターフェース、105…補助記憶装置、106…入出力I/O、107…表示装置、110…雑音、111、111A、111B…生成器、112、112A、112B…識別器、111’、111A’、111B’…学習済み生成器、113…出力、114…訓練データ、115…目的関数Eのブロック、420、430、120…テーブル、L、NW…ネットワーク。
【要約】
【課題】より確実に不正な通信を検知することを目的とする。
【解決手段】
通信監視装置1は、加入者識別子により識別されるユーザ端末2の通信の履歴データに類似する疑似履歴データを、学習済み生成器111’を用いて生成する生成部12と、監視対象の加入者識別子により識別されるユーザ端末2の通信の履歴データを収集する収集部10と、監視対象の加入者識別子により識別されるユーザ端末2の通信の履歴データと、生成部12によって生成された疑似履歴データとが一致するか否かを判定するように構成された判定部13と、判定部13による判定結果を提示するように構成された提示部15とを備える。
【選択図】図1
【解決手段】
通信監視装置1は、加入者識別子により識別されるユーザ端末2の通信の履歴データに類似する疑似履歴データを、学習済み生成器111’を用いて生成する生成部12と、監視対象の加入者識別子により識別されるユーザ端末2の通信の履歴データを収集する収集部10と、監視対象の加入者識別子により識別されるユーザ端末2の通信の履歴データと、生成部12によって生成された疑似履歴データとが一致するか否かを判定するように構成された判定部13と、判定部13による判定結果を提示するように構成された提示部15とを備える。
【選択図】図1
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
