特許ウォッチ

公開番号2024141023
公報種別公開特許公報(A)
公開日2024-10-10
出願番号2023052449
出願日2023-03-28
発明の名称検知回路
出願人学校法人工学院大学,長崎県公立大学法人
代理人弁理士法人太陽国際特許事務所
主分類G06F 21/55 20130101AFI20241003BHJP(計算;計数)
要約【課題】プロセッサにおいて、一つの判別器を用いる場合でも異なる種類の異常を検知できる。
【解決手段】機器に搭載されたプロセッサに組み込まれた検知回路である。検知回路は、プロセッサのコアによるプログラム実行時のプロセッサ情報及び機器の通信によるパケット情報の入力を受け付けて、プロセッサ情報及びパケット情報の何れかを選択し、選択されたプロセッサ情報及びパケット情報の何れかの情報の特徴量ベクトルを判別器に出力するセレクタと、第1事象及び第2事象を判別するように予め学習された判別器であって、選択された情報の特徴量ベクトルを入力として、第1事象及び第2事象を判別し、判別結果を出力する判別器と、所定時間の判別器の判別結果を集計し、所定時間における第1事象及び第2事象の発生の有無を決定する決定器と、を備える。
【選択図】図1
特許請求の範囲【請求項１】
機器に搭載されたプロセッサに組み込まれた検知回路であって、
前記プロセッサのコアによるプログラム実行時のプロセッサ情報及び前記機器の通信によるパケット情報の入力を受け付けて、前記プロセッサ情報及び前記パケット情報の何れかを選択し、選択された前記プロセッサ情報及び前記パケット情報の何れかの情報の特徴量ベクトルを判別器に出力するセレクタと、
第１事象及び第２事象を判別するように予め学習された判別器であって、選択された情報の前記特徴量ベクトルを入力として、第１事象及び第２事象を判別し、判別結果を出力する判別器と、
所定時間の前記判別器の判別結果を集計し、所定時間における前記第１事象及び前記第２事象の発生の有無を決定する決定器と、
を備える検知回路。
続きを表示（約 780 文字）【請求項２】
前記特徴量ベクトルは、前記プロセッサ情報の場合の特徴量の種類として、命令実行時に関する情報、命令距離に関する情報、及びキャッシュ精度に関する情報の少なくとも何れかを用いると共に、前記パケット情報の場合の特徴量の種類として、接続に関する基本情報、接続数に関する情報、接続の割合に関する情報の少なくとも何れかを用いることとし、
前記判別器は、前記プロセッサ情報に対する前記第１事象をマルウェアの発生、前記パケット情報に対する前記第２事象を悪性通信の発生として判別する、
請求項１に記載の検知回路。
【請求項３】
前記セレクタは、前記特徴量ベクトルの各要素に対応するマルチプレクサの各々として構成され、
プログラム実行時の前記プロセッサ情報及び通信ごとの前記パケット情報それぞれの要素の入力の順番が前記マルチプレクサの各々に対応付けられて規定されており、
前記マルチプレクサの各々が対応付けられた特徴量の要素を出力することにより、前記判別器に選択された情報の前記特徴量ベクトルが出力される、
請求項１に記載の検知回路。
【請求項４】
前記セレクタは、前記プロセッサ情報及び前記パケット情報を同時に受信した場合に、前記パケット情報を優先して選択するように規定する、請求項１に記載の検知回路。
【請求項５】
前記判別器は、学習用の前記プロセッサ情報及び前記パケット情報の特徴量ベクトルを学習データとして用いて学習されており、プログラム実行時の前記プロセッサ情報及び通信ごとの前記パケット情報それぞれの要素の入力の順番を規定して並べ、不足の特徴量の要素については当該要素を埋めた学習データとして用いて学習されている、
請求項１に記載の検知回路。

発明の詳細な説明【技術分野】
【０００１】
本発明は、検知回路に関する。
続きを表示（約 1,300 文字）【背景技術】
【０００２】
従来、サイバー攻撃に対する異常検知に関する技術がある。
【０００３】
例えば、ログを解析して異常検知する手法に関する技術がある（特許文献１参照）。この技術では、異常な通信ログを含む特徴量ベクトルに対して教師ラベルを付けて異常分類器を学習している。
【０００４】
また、未知の異常の検知と異常原因の特定を効率的に行う手法に関する技術がある（特許文献２参照）。この技術では、通信特徴量又は動作ログを学習し、機器が異常状態であることを検知するための検知モデル、機器の異常原因ごとの通信特徴量又は動作ログを学習し、機器の異常原因を特定するための特定モデルを生成している。この技術の動作ログは、実行されたプロセスのＩＤ、プロセスの実行開始時刻、その他のネットワークに関する情報等が用いられている。
【０００５】
また、プロセッサ情報を用いた回路レベルのハードウェアによるマルウェア検知に関する技術が検討されている（非特許文献１参照）。この技術では、一つのＬＳＩにおいてコアに隣接する検知回路の実装を検討している。
【先行技術文献】
【特許文献】
【０００６】
特開2022-117827号公報
特開2019-103069号公報
【非特許文献】
【０００７】
Kazuki Koike, Ryotaro Kobayashi, Masahiko Katoh. "IoT-oriented high-efficient anti-malware hardware focusing on time series metadata extractable from inside a processor core". International Journal of Information Security: 2022-02-25.
【発明の概要】
【発明が解決しようとする課題】
【０００８】
ここで、ＩｏＴ機器は、２種類のサイバー攻撃、すなわちマルウェア及び悪性通信にさらされている。
【０００９】
特許文献１及び特許文献２の従来技術では、通信に関する特徴量を用いて、通信の異常として悪性通信やマルウェアを検知する手法である。通信に関する特徴量を用いており、検知の対象は専用のネットワーク内のＩｏＴ機器に限られていた。そのため、インターネットに直接接続されているＩｏＴ機器は検知の対象にできない。また、モデル学習の更新が可能な態様でありソフトウェアの実装が想定されている。ハードウェアに組み込んだ実装は想定されていないため、リソースの制限からソフトウェアの導入が難しいＩｏＴ機器では検知が困難である。また、通信の挙動を前提としており、プロセッサ情報は考慮されていない。
【００１０】
一方、非特許文献１のようにハードウェア実装によるマルウェア検知の技術はあるものの、サイバー攻撃については、マルウェアだけでなく悪性通信も検知の対象として想定する必要がある。
（【００１１】以降は省略されています）

関連特許