检测装置、检测方法及检测程序

技术领域

本发明涉及用于通信设备的通信的异常检测的检测装置、检测方法以及检测程序。

背景技术

随着IoT(Internet of Things，物联网)时代的到来，为了各种设备的安全对策，正在研究面向IoT设备的通信量会话异常检测系统和侵入检测系统(IDS)。

在上述异常检测系统中，存在使用基于Variational Auto Encoder(参照非专利文献1)等无教师学习的概率密度估计器的系统。

例如，异常检测系统通过学习IoT设备的正常通信模式的发生概率，生成用于判断IoT设备的正常通信的概率密度估计器(模型)。然后，异常检测系统使用上述模型，计算监视对象的各IoT设备的通信的发生概率，将发生概率小的通信检测为不正常的通信(异常的通信)。这样，即使不知道恶性的通信模式也能够检测通信的异常。上述的方法例如适用于对不知道所有威胁信息的IoT设备的辅助攻击的检测等。

现有技术文献

非专利文献

非专利文献1：Auto-Encoding Variational Bayes，[平成30年11月30日检索]，因特网

发明内容

发明要解决的课题

但是，如上所述，在学习IoT设备等通信设备的正常的通信模式而生成模型的情况下，在用于生成模型的学习期间中，无法检测通信设备的通信的异常，所以上述的IoT设备等通信设备成为无防备的状态。而且，在正常的通信模式的学习中需要网罗所有的正常的通信模式，因此用于模型生成的学习期间变长的情况较多。因此，通信设备成为无防备状态的期间也可能变长。

因此，本发明的目的在于解决上述问题，防止在用于检测通信设备的通信异常的模型的学习期间，该通信设备成为没有进行异常检测的状态(无防备状态)。

用于解决课题的手段

为了解决上述课题，本发明的特征在于，包括：模型取得部，其从存储部取得一个以上的与监视对象的通信设备所具有的功能对应的正常通信模型，该存储部存储所述正常通信模型，该正常通信模型用于对通信设备中配备的每个功能判断配备该功能的通信设备的通信是否正常；以及检测部，其使用所述取得的正常通信模型，监视所述监视对象的通信设备的通信，检测所述通信的异常。

发明的效果

根据本发明，在用于检测通信设备的通信异常的模型的学习期间内，能够防止该通信设备成为未进行异常检测的状态(无防备状态)。

附图说明

图1是用于说明检测装置的概要的图。

图2是用于说明基于检测装置结合的正常通信模型的检测和基于追加学习后的正常通信模型的检测的图。

图3是表示包含检测装置的系统的结构例的图。

图4是表示检测装置使用结合后的正常通信模型，对监视对象的通信设备的通信进行监视的步骤的例子的流程图。

图5是表示检测装置进行结合的正常通信模型的追加学习，使用追加学习后的正常通信模型，对监视对象的通信设备的通信进行监视的顺序的例子的流程图。

图6是表示执行检测程序的计算机的例子的图。

具体实施方式

以下，参照附图对用于实施本发明的方式(实施方式)进行说明。本发明不限于以下说明的实施方式。

[概要]

首先，使用图1说明本实施方式的检测装置10的概要。在此，以成为检测装置10的异常的检测对象(监视对象)的通信设备是IoT设备的情况为例进行说明。另外，假设各IoT设备通过网关与因特网连接。

首先，系统模型(正常通信模型)，该模型按照构成IoT设备的每个要素(功能)，准备用于判断具有该要素的IoT设备是否进行正常通信。该正常通信模型例如通过将各IoT设备进行正常通信时的通信信息(通信量信息等)按照构成该IoT设备的要素(例如摄像机或传感器)进行分类，并使用概率密度估计器来生成。该正常通信模型例如存储在服务器(省略图示)中。

然后，在监视对象的IoT网络中追加了新的IoT设备的情况下，检测装置10从网关等取得该IoT设备的信息(S1)。另外，在此取得的信息优选为例如该IoT设备的机种等的信息、规定期间中的该IoT设备的通信数据(通信量信息)等能够从该IoT设备迅速取得的信息。基于所取得的IoT设备的信息，检测装置10判断组合蓄积在服务器中的现有正常通信模式中的哪一个能够检测IoT设备的通信异常(S2)。

在S2之后，检测装置10从服务器取得能够检测该IoT设备的异常的正常通信模型，并结合，使用结合后的正常通信模型，开始监视该IoT设备的通信(S3)。即，检测装置10使用结合的正常通信模型，监视该IoT设备的通信，如果该IoT设备的通信存在异常，则检测该异常。

在S3之后，检测装置10通过追加学习(fine-tuning)吸收结合后的正常通信模型与实际的通信(该IoT设备的实际的通信)的差异(S4)。

例如，检测装置10通过S3开始监视该IoT设备的通信后，当判断为充分蓄积了该IoT设备的正常通信数据时，根据该通信数据，进行结合后的正常通信模型的追加学习。即，检测装置10进行结合的正常通信模型的追加学习，以便能够高精度地判定该IoT设备的正常通信。

例如，如图2所示，考虑检测装置10的监视对象的IoT设备进行的正常通信的范围是符号201所示的范围的情况。在该情况下，检测装置10基于监视对象的IoT设备的信息，选择并结合现有的正常通信模型(图2中的模型1～4)。然后，检测装置10使用结合的正常通信模型，开始监视对象的IoT设备的通信的初始检测。

在此，也存在监视对象的IoT设备进行的正常通信的范围(符号201所示的范围)，与通过结合了上述模型1～4的模型判断为正常通信的范围不一致的情况。因此，在蓄积监视对象的IoT设备的正常通信数据时，检测装置10使用该通信数据，进行结合的正常通信模型(图2中的模型1～4)的追加学习。然后，检测装置10使用追加学习后的正常通信模型，开始监视对象的IoT设备的通信的正式检测。

这样，检测装置10首先通过现有的正常通信模型的组合进行监视对象的IoT设备的通信的初始检测。并且，检测装置10在基于该IoT设备的正常通信数据的现有的正常通信模型的追加学习结束后，使用该追加学习后的正常通信模型，进行该IoT设备的通信的正式检测。由此，检测装置10能够防止在正常通信模型的学习期间中该IoT设备变为没有进行异常检测的状态(无防备状态)。

[结构]

接着，使用图3说明包含检测装置10的系统的结构例。系统例如如图3所示，具备1个以上的通信设备1、网关2、服务器3和检测装置10。

通信设备1是具有通信功能的装置，例如是经由网关2与因特网连接并进行通信的IoT设备。网关2是将各通信设备1与因特网等网络连接的装置。

服务器3具有存储一个以上的正常通信模型的模型存储部31。该正常通信模型是用于针对通信设备1中配备的每个功能，判断配备该功能的通信设备1的通信是否是正常通信的模型。该正常通信模型例如通过上述概率密度估计器实现。

该正常通信模型例如是与图像分发通信功能有关的正常通信模型、与DHCP(Dynamic Host Configuration Protocol，动态主机配置协议)通信功能有关的正常通信模型、与管理用HTTP(HyperText Transfer Protocol，超文本传输协议)通信功能有关的正常通信模型、与NTP(Network Time Protocol，网络时间协议)通信功能有关的正常通信模型、与温度通知用MQTT(Message Queue Telemetry Transport，消息队列遥测传输协议)通信功能相关的正常通信模型等。

例如，在监视对象的通信设备1是网络摄像机的情况下，检测装置10通过组合与该网络摄像机中配备的视频分发通信功能相关的正常通信模型、DHCP通信功能相关的正常通信模型、管理用HTTP通信功能相关的正常通信模型、NTP通信功能相关的正常通信模型等，能够判断基于该网络摄像机的通信是否正常。

此外，在监视对象的通信设备1是具备温度传感器的IoT传感器的情况下，检测装置10通过将与该IoT传感器中配备的DHCP通信功能有关的正常通信模型、NTP通信功能有关的正常通信模型等进行组合，能够判断基于该IoT传感器的通信是否正常。

另外，该正常通信模型例如可以按照通信设备1所使用的协议来准备，也可以按照通信设备1的每个型号来准备。此外，也可以对通信设备1的每个种类(网络摄像机、传感器等)准备，也可以对它们的每个组合(例如，型号xx的设备的yy协议)准备。

检测装置10具备输入输出部11、存储部12和控制部13。输入输出部11负责经由网络进行各种信息的收发时的接口。存储部12存储控制部13动作时所需的各种信息。另外，存储部12存储由控制部13结合的正常通信模型、由控制部13进行了追加学习后的正常通信模型等。

控制部13负责检测装置10整体的控制。控制部13包括模型取得部131、模型结合部132、检测部133和追加学习部134。

模型取得部131从服务器3取得一个以上与监视对象的通信设备1中配备的功能对应的正常通信模型。例如，当从监视对象的通信设备1取得该通信设备1的机种或型号的信息时，模型取得部131根据该信息，确定在该通信设备1中要配备什么样的功能。并且，模型取得部131从服务器3取得与所确定的功能分别对应的正常通信模型。

例如，考虑监视对象的通信设备1是机种A的网络摄像机的情况。此时，模型取得部131确定该机型A的网络摄像机中配备的视频分发通信功能、DHCP通信功能、管理用HTTP通信功能和NTP通信功能。从服务器3取得与所确定的视频发布通信功能相关的正常通信模型、DHCP通信功能相关的正常通信模型、管理用HTTP通信功能相关的正常通信模型以及NTP通信功能相关的正常通信模型。

在由模型取得部131取得的正常通信模型有多个的情况下，模型结合部132结合这些正常通信模型。例如，在正常通信模型中输入基于监视对象的通信设备1的通信(x)，并使用计算该通信为正常通信的概率密度的概率密度函数p(x)的情况下，模型结合部132通过结合对象的正常通信模型中的概率密度函数p(x)加法运算，来结合各正常通信模型。例如，模型结合部132根据以下的式(1)，进行在各正常通信模型中使用的概率密度函数p(x)的加法运算。

[数1]

检测部133对监视对象的通信设备1的通信进行监视，检测异常。例如，检测部133使用通过模型结合部132结合的正常通信模型，对监视对象的通信设备1的通信进行监视，检测异常。此外，在通过追加学习部134进行了所结合的正常通信模型的追加学习后，检测部133使用追加学习后的正常通信模型，对监视对象的通信设备1的通信进行监视，检测异常。

追加学习部134使用监视对象的通信设备1的正常的通信数据，进行正常通信模型的追加学习。

例如，在判断为监视对象的通信设备1的正常通信数据蓄积了预定量(例如1天～1周)时，追加学习部134使用所蓄积的通信数据进行结合后的正常通信模型的追加学习。

此外，追加学习部134在分析了监视对象的通信设备1的正常的通信数据的结果，在结合的正常通信模型中包含不需要的正常通信模型的情况下，也可以从结合的正常通信模型中删除不需要的正常通信模型。

以这种方式，追加学习部134能够使由模型获取部131取得并组合的正常通信模型成为具有更高检测精度的模型。

根据以上说明的检测装置10，首先，通过现有的正常通信模型的组合进行监视对象的IoT设备的通信的初始检测。并且，检测装置10在基于该IoT设备的正常通信数据的现有的正常通信模型的追加学习结束后，使用该追加学习后的正常通信模型，进行该IoT设备的通信的正式检测。由此，检测装置10能够防止在正常通信模型的学习期间中该IoT设备变为未进行异常检测的状态(无防备状态)。

[处理步骤]

接着，说明检测装置10的处理步骤的例子。首先，使用图4说明检测装置10使用结合了从服务器3取得的正常通信模型的正常通信模型，对监视对象的通信设备的通信进行监视的步骤的例子。

例如，检测装置10的模型取得部131从网关2取得监视对象的通信设备1的信息时(S11)，根据取得的信息，从蓄积在服务器3中的正常通信模型中取得与该通信设备1的功能对应的正常通信模型(S12)。

在S12之后，模型结合部132结合在S12中取得的正常通信模型(S13)。然后，检测部133使用在S13结合的正常通信模型，对监视对象的通信设备1的通信进行监视(S14)。

例如，检测部133从网关2取得监视对象的通信设备1的通信数据时，使用上述结合后的正常通信模型，判断该通信设备1的通信是否正常。之后，检测部133在检测到监视对象的通信设备1的通信异常时(S15中“是”)，进行该情况的通知(S16)。此外，检测部133没有检测到监视对象的通信设备1的通信的异常时(S15中“否”)，则返回到S14。

接着，使用图5，说明在图4所示的处理之后，检测装置10进行结合后的正常通信模型的追加学习，使用追加学习后的正常通信模型来监视监视对象的通信设备的通信的步骤的例子。

在图4所示的处理之后，检测装置10的追加学习部134开始监视对象的通信设备1的正常通信数据的蓄积(S21)，当蓄积了规定量的正常通信数据时(S22中为“是”)，使用所蓄积的正常通信数据，进行结合后的正常通信模型的追加学习(S23)。

在S24之后，检测部133使用追加学习后的结合的正常通信模型，对监视对象的通信设备1的通信进行监视(S24)。例如，检测部133从网关2取得监视对象的通信设备1的通信数据时，使用上述的追加学习后的结合的正常通信模型，判断该通信设备1的通信是否正常。之后，检测部133在检测到监视对象的通信设备1的通信异常时(S25中“是”)，进行该情况的通知(S26)。此外，如果检测部133未检测到监视对象的通信设备1的通信异常(S25中“否”)，则返回到S24。

由此，检测装置10能够防止在进行与监视对象的通信设备1的通信有关的正常通信模型的学习的期间，该通信设备1成为未进行异常的检测的状态(无防备的状态)。

此外，在上述实施方式中，以检测装置10从服务器3取得的正常通信模型为多个的情况为例进行了说明，但也可以是一个。在该情况下，检测装置10不进行正常通信模型的结合，检测部133使用从服务器3取得的正常通信模型进行初始检测。另外，追加学习部134执行从服务器3取得的正常通信模型的追加学习。并且，在上述的追加学习后，检测部133使用追加学习后的正常通信模型进行正式检测。

[程序]

另外，能够通过将实现上述实施方式所述的检测装置10的功能的程序装配到所希望的信息处理装置(计算机)中来安装。例如，通过使信息处理装置执行作为软件包或在线软件提供的上述程序，能够使信息处理装置作为检测装置10发挥功能。这里所说的信息处理装置包括台式或笔记本型的个人计算机、机架搭载型的服务器计算机等。此外，信息处理装置的范畴还包括智能手机、便携电话、PHS(Personal Handyphone System，个人手持电话系统)等移动通信终端、以及PDA(Personal Digital Assistant，个人数字助理)等。另外，也可以将检测装置10安装于云服务器。

使用图6说明执行上述程序(检测程序)的计算机的一例。如图6所示，例如，计算机1000包括存储器1010、CPU 1020、硬盘驱动器接口1030和盘驱动器接口1040、视频适配器1060和网络接口1070。这些各部通过总线1080连接。

存储器1010包括ROM(只读存储器)1011和RAM(随机存取存储器)1012。ROM 1011存储例如BIOS(Basic Input Output System，基本输入输出系统)等的引导程序。硬盘驱动器接口1030连接到硬盘驱动器1090。盘驱动器接口1040连接到盘驱动器1100。在盘驱动器1100中插入有例如磁盘或光盘等可装卸的存储介质。例如，鼠标1110和键盘1120连接到串行端口1050。例如，显示器1130连接到视频适配器1060。

如图6所示，硬盘驱动器1090存储例如OS(操作系统)1091、应用程序1092、程序模块1093和程序数据1094。在上述实施例中描述的各种数据和信息被存储在例如硬盘驱动器1090或存储器1010中。

然后，CPU1020根据需要将硬盘驱动器1090中存储的程序模块1093或程序数据1094读出到RAM1012中，执行上述的各步骤。

此外，与上述检测程序有关的程序模块1093或程序数据1094不限于存储在硬盘驱动器1090中的情况，例如也可以存储在可装卸的存储介质中，也可以通过盘驱动器1100等由CPU1020读出。或者，与上述程序相关的程序模块1093或程序数据1094被存储在通过LAN或WAN(Wide Area Network，广域网)等网络连接的其他计算机中，也可以通过网络接口1070由CPU1020读出。

符号说明

1 通信设备

2 网关

3 服务器

10 检测装置

11 输入输出部

12 存储部

13 控制部

131 模型取得部

132 模型结合部

133 检测部

134 追加学习部