检测装置(10)具有:模型取得部,其从存储部取得一个以上的与监视对象的通信设备中配备的功能对应的正常通信模型,该存储部存储用于对通信设备中配备的每个功能判断配备该功能的通信设备的通信是否正常的正常通信模型;模型结合部,其结合所取得的一个以上的正常通信模型;以及检测部,其使用所结合的正常通信模型,对监视对象的通信设备的通信进行监视,检测所述通信的异常。
【技术实现步骤摘要】
【国外来华专利技术】检测装置、检测方法及检测程序
本专利技术涉及用于通信设备的通信的异常检测的检测装置、检测方法以及检测程序。
技术介绍
随着IoT(InternetofThings,物联网)时代的到来,为了各种设备的安全对策,正在研究面向IoT设备的通信量会话异常检测系统和侵入检测系统(IDS)。在上述异常检测系统中,存在使用基于VariationalAutoEncoder(参照非专利文献1)等无教师学习的概率密度估计器的系统。例如,异常检测系统通过学习IoT设备的正常通信模式的发生概率,生成用于判断IoT设备的正常通信的概率密度估计器(模型)。然后,异常检测系统使用上述模型,计算监视对象的各IoT设备的通信的发生概率,将发生概率小的通信检测为不正常的通信(异常的通信)。这样,即使不知道恶性的通信模式也能够检测通信的异常。上述的方法例如适用于对不知道所有威胁信息的IoT设备的辅助攻击的检测等。现有技术文献非专利文献非专利文献1:Auto-EncodingVariationalBayes,[平成30年11月30日检索],因特网<URL:https://arxiv.org/abs/1312.6114>
技术实现思路
专利技术要解决的课题但是,如上所述,在学习IoT设备等通信设备的正常的通信模式而生成模型的情况下,在用于生成模型的学习期间中,无法检测通信设备的通信的异常,所以上述的IoT设备等通信设备成为无防备的状态。而且,在正常的通信模式的学习中需要网罗所有的正常的通信模式,因此用于模型生成的学习期间变长的情况较多。因此,通信设备成为无防备状态的期间也可能变长。因此,本专利技术的目的在于解决上述问题,防止在用于检测通信设备的通信异常的模型的学习期间,该通信设备成为没有进行异常检测的状态(无防备状态)。用于解决课题的手段为了解决上述课题,本专利技术的特征在于,包括:模型取得部,其从存储部取得一个以上的与监视对象的通信设备所具有的功能对应的正常通信模型,该存储部存储所述正常通信模型,该正常通信模型用于对通信设备中配备的每个功能判断配备该功能的通信设备的通信是否正常;以及检测部,其使用所述取得的正常通信模型,监视所述监视对象的通信设备的通信,检测所述通信的异常。专利技术的效果根据本专利技术,在用于检测通信设备的通信异常的模型的学习期间内,能够防止该通信设备成为未进行异常检测的状态(无防备状态)。附图说明图1是用于说明检测装置的概要的图。图2是用于说明基于检测装置结合的正常通信模型的检测和基于追加学习后的正常通信模型的检测的图。图3是表示包含检测装置的系统的结构例的图。图4是表示检测装置使用结合后的正常通信模型,对监视对象的通信设备的通信进行监视的步骤的例子的流程图。图5是表示检测装置进行结合的正常通信模型的追加学习,使用追加学习后的正常通信模型,对监视对象的通信设备的通信进行监视的顺序的例子的流程图。图6是表示执行检测程序的计算机的例子的图。具体实施方式以下,参照附图对用于实施本专利技术的方式(实施方式)进行说明。本专利技术不限于以下说明的实施方式。[概要]首先,使用图1说明本实施方式的检测装置10的概要。在此,以成为检测装置10的异常的检测对象(监视对象)的通信设备是IoT设备的情况为例进行说明。另外,假设各IoT设备通过网关与因特网连接。首先,系统模型(正常通信模型),该模型按照构成IoT设备的每个要素(功能),准备用于判断具有该要素的IoT设备是否进行正常通信。该正常通信模型例如通过将各IoT设备进行正常通信时的通信信息(通信量信息等)按照构成该IoT设备的要素(例如摄像机或传感器)进行分类,并使用概率密度估计器来生成。该正常通信模型例如存储在服务器(省略图示)中。然后,在监视对象的IoT网络中追加了新的IoT设备的情况下,检测装置10从网关等取得该IoT设备的信息(S1)。另外,在此取得的信息优选为例如该IoT设备的机种等的信息、规定期间中的该IoT设备的通信数据(通信量信息)等能够从该IoT设备迅速取得的信息。基于所取得的IoT设备的信息,检测装置10判断组合蓄积在服务器中的现有正常通信模式中的哪一个能够检测IoT设备的通信异常(S2)。在S2之后,检测装置10从服务器取得能够检测该IoT设备的异常的正常通信模型,并结合,使用结合后的正常通信模型,开始监视该IoT设备的通信(S3)。即,检测装置10使用结合的正常通信模型,监视该IoT设备的通信,如果该IoT设备的通信存在异常,则检测该异常。在S3之后,检测装置10通过追加学习(fine-tuning)吸收结合后的正常通信模型与实际的通信(该IoT设备的实际的通信)的差异(S4)。例如,检测装置10通过S3开始监视该IoT设备的通信后,当判断为充分蓄积了该IoT设备的正常通信数据时,根据该通信数据,进行结合后的正常通信模型的追加学习。即,检测装置10进行结合的正常通信模型的追加学习,以便能够高精度地判定该IoT设备的正常通信。例如,如图2所示,考虑检测装置10的监视对象的IoT设备进行的正常通信的范围是符号201所示的范围的情况。在该情况下,检测装置10基于监视对象的IoT设备的信息,选择并结合现有的正常通信模型(图2中的模型1~4)。然后,检测装置10使用结合的正常通信模型,开始监视对象的IoT设备的通信的初始检测。在此,也存在监视对象的IoT设备进行的正常通信的范围(符号201所示的范围),与通过结合了上述模型1~4的模型判断为正常通信的范围不一致的情况。因此,在蓄积监视对象的IoT设备的正常通信数据时,检测装置10使用该通信数据,进行结合的正常通信模型(图2中的模型1~4)的追加学习。然后,检测装置10使用追加学习后的正常通信模型,开始监视对象的IoT设备的通信的正式检测。这样,检测装置10首先通过现有的正常通信模型的组合进行监视对象的IoT设备的通信的初始检测。并且,检测装置10在基于该IoT设备的正常通信数据的现有的正常通信模型的追加学习结束后,使用该追加学习后的正常通信模型,进行该IoT设备的通信的正式检测。由此,检测装置10能够防止在正常通信模型的学习期间中该IoT设备变为没有进行异常检测的状态(无防备状态)。[结构]接着,使用图3说明包含检测装置10的系统的结构例。系统例如如图3所示,具备1个以上的通信设备1、网关2、服务器3和检测装置10。通信设备1是具有通信功能的装置,例如是经由网关2与因特网连接并进行通信的IoT设备。网关2是将各通信设备1与因特网等网络连接的装置。服务器3具有存储一个以上的正常通信模型的模型存储部31。该正常通信模型是用于针对通信设备1中配备的每个功能,判断配备该功能的通信设备1的通信是否是正常通信的模型。该正常通信模型例如通过上述概率密度估计器实现。该正常通信模型例如是与图像分发通信功本文档来自技高网...
【技术保护点】
1.一种检测装置,其特征在于,具有:/n模型取得部,其从存储部取得一个以上的与监视对象的通信设备中配备的功能对应的正常通信模型,该存储部存储有所述正常通信模型,该正常通信模型用于针对通信设备中配备的每个功能,判断配备该功能的通信设备的通信是否正常;以及/n检测部,其使用所述取得的正常通信模型,对所述监视对象的通信设备的通信进行监视,来检测所述通信的异常。/n
【技术特征摘要】
【国外来华专利技术】20181219 JP 2018-2377951.一种检测装置,其特征在于,具有:
模型取得部,其从存储部取得一个以上的与监视对象的通信设备中配备的功能对应的正常通信模型,该存储部存储有所述正常通信模型,该正常通信模型用于针对通信设备中配备的每个功能,判断配备该功能的通信设备的通信是否正常;以及
检测部,其使用所述取得的正常通信模型,对所述监视对象的通信设备的通信进行监视,来检测所述通信的异常。
2.根据权利要求1所述的检测装置,其特征在于,
该检测装置具有追加学习部,该追加学习部使用所述监视对象的通信设备的正常通信的通信数据,进行所述取得的正常通信模型的追加学习,
所述检测部使用所述追加学习后的正常通信模型,监视所述监视对象的通信设备的通信,来检测所述通信的异常。
3.根据权利要求1所述的检测装置,其特征在于,
所述检测装置还具备模型结合部,在所述取得的正常通信模型有多个的情况下,该模型结合部结合所述取得的多个正常通信模型,
所述检测部使用所述结合后的正常通信模型,对所述监视对象的通信设备的通信进行监视,来检测所述通信的异常。
4.根据权利要求3所述的检测装置,其特征在于,
所述正常通信模型包括概率密度函数,该概率密度函数计算由配备所述功能的通信设备进行的通信为正常通信的概率...
【专利技术属性】
技术研发人员:山中友贵,
申请(专利权)人:日本电信电话株式会社,
类型:发明
国别省市:日本;JP
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。