公開番号2025001919 公報種別公開特許公報(A) 公開日2025-01-09 出願番号2023101699 出願日2023-06-21 発明の名称異常通信検知装置及び異常通信検知プログラム 出願人KDDI株式会社,トヨタ自動車株式会社,株式会社ARISE analytics 代理人個人,個人 主分類G06N 20/00 20190101AFI20241226BHJP(計算;計数) 要約【課題】統計量に変化が出にくいサイバー攻撃による異常通信を効率的に検知できる異常通信検知装置及び異常通信検知プログラムを提供すること。 【解決手段】異常通信検知装置1は、複数のデバイスから送信されるフローの時系列データから共起パターンを抽出する共起パターン抽出部11と、抽出された共起パターンの発生確率を計算する発生確率計算部12と、実際の共起パターンの発生数と、当該共起パターンの発生確率から計算される発生数の期待値との差が閾値を超えた場合に、異常が発生していると判定する異常判定部13と、を備える。 【選択図】図3 特許請求の範囲【請求項1】 複数のデバイスから送信されるフローの時系列データから共起パターンを抽出する共起パターン抽出部と、 抽出された前記共起パターンの発生確率を計算する発生確率計算部と、 実際の共起パターンの発生数と、当該共起パターンの発生確率から計算される発生数の期待値との差が閾値を超えた場合に、異常が発生していると判定する異常判定部と、を備える異常通信検知装置。 続きを表示(約 1,000 文字)【請求項2】 前記複数のデバイスは車両であり、共通のサーバを通信先とした車両通信のフローを対象とする請求項1に記載の異常通信検知装置。 【請求項3】 前記共起パターン抽出部は、DTW(Dynamic Time Warping)における距離行列の要素のうち、閾値未満の要素が連続する部分行列を抽出し、当該部分行列にDTWを適用する請求項1に記載の異常通信検知装置。 【請求項4】 前記共起パターン抽出部は、前記距離行列の中で、前記閾値未満の要素が不連続となっている箇所において、閾値以上の要素からなる所定数の行又は列を無視することで前記閾値未満の要素が連続する場合に、当該行又は列を削除した部分行列を抽出する請求項3に記載の異常通信検知装置。 【請求項5】 前記共起パターン抽出部は、DTW(Dynamic Time Warping)における距離行列において、DTWで計算される全ての経路の中で閾値未満の要素が連続している箇所を起点とし、隣接する閾値未満の要素を含めて前記共起パターンとして抽出する請求項1に記載の異常通信検知装置。 【請求項6】 前記共起パターン抽出部は、前記複数のデバイスのうち一部のデバイスの時系列データから共起パターンを抽出した後、当該共起パターンを、所定のアルゴリズムにより他のデバイスの時系列データから探索する請求項1から請求項5のいずれかに記載の異常通信検知装置。 【請求項7】 前記共起パターン抽出部は、前記所定のアルゴリズムとしてSPRINGを使用する請求項6に記載の異常通信検知装置。 【請求項8】 前記発生確率計算部は、前記発生確率を、共起パターンの先頭要素に付与されているラベルの発生確率、各ラベル内で所定のパラメータが所定の範囲に入る確率、及びラベル間の遷移確率から計算する請求項1から請求項5のいずれかに記載の異常検知装置。 【請求項9】 前記発生確率計算部は、前記ラベル間の遷移確率として、時系列の複数のラベルの列から一つのラベルへの遷移確率を計算する請求項8に記載の異常通信検知装置。 【請求項10】 前記発生確率計算部は、時系列の複数のラベルの列を入力とした深層学習モデルによる一つのラベルの予測値を、前記ラベル間の遷移確率とする請求項8に記載の異常通信検知装置。 (【請求項11】以降は省略されています) 発明の詳細な説明【技術分野】 【0001】 本発明は、通信ネットワークにおける異常通信を検知するための装置及びプログラムに関する。 続きを表示(約 2,900 文字)【背景技術】 【0002】 従来、通信の異常検知においては、主にパケット又はフローといった形式の通信データが使用される。 パケットを用いた手法では、通信内容の詳細な分析が可能であるため検知効率が高い一方で、データ容量が大きくなる傾向があり、大量の通信が行われる環境においては処理速度などが問題となる。 また、フローは、複数のパケットを集約したデータであり、パケットに比べてデータサイズが小さくなるため大量の通信が行われる環境においても扱いやすい利点がある。例えば、非特許文献1では、単一フローの量的変数を入力として、Deep Neural Network(DNN)を用いた異常通信検知モデルを学習する手法が提案されている。 【先行技術文献】 【非特許文献】 【0003】 T. A. Tang, L. Mhamdi, D. McLernon, S. A. R. Zaidi and M. Ghogho, "Deep learning approach for Network Intrusion Detection in Software Defined Networking," 2016 International Conference on Wireless Networks and Mobile Communications (WINCOM), Fez, Morocco, 2016, pp. 258-263. H. Qiao, T. Wang, P. Wang, S. Qiao and L. Zhang, "A Time-Distributed Spatiotemporal Feature Learning Method for Machine Health Monitoring with Multi-Sensor Time Series," Sensors 18, no. 9: 2932, 2018. J. Li, S. Chen, K. Zhang, G. Andrienko and N. Andrienko, "COPE: Interactive Exploration of Co-Occurrence Patterns in Spatial Time Series," in IEEE Transactions on Visualization and Computer Graphics, vol. 25, no. 8, pp. 2554-2567, 2019. C. Faloutsos, Y. Sakurai and M. Yamamuro, "Stream Processing under the Dynamic Time Warping Distance," Computer Science, 2007. A. Muscariello, G. Gravier and F. Bimbot, "Variability tolerant audio motif discovery," in International Conference on Multimedia Modeling, Springer, 2009, pp. 275-286. B. Rajchel, J. V. Monaco, G. Singh, A. Hu, J. Shingleton and T. Anderson, "Temporal Behavior in Network Traffic as a Basis for Insider Threat Detection," 2020 IEEE Symposium Series on Computational Intelligence (SSCI), 2020, pp. 1427-1434. 【発明の概要】 【発明が解決しようとする課題】 【0004】 異常通信検知の対象としてサイバー攻撃を想定した場合、DDoSやポートスキャンなど、正常通信と比べてフローの統計量に変化が出やすいサイバー攻撃は、古典的な機械学習手法(例えば、k-近傍法、One-Class SVMなど)で検知可能なことが多い。 一方、フローを用いる場合は、複数のパケットの情報を集約した統計情報を用いて異常検知が行われるため、パケットを用いた場合に比べて検知精度が低くなることがある。例えば、Webの脆弱性を狙った攻撃など、統計量だけでは正常通信と区別が難しい攻撃は検知が難しく、このような特徴を持つサイバー攻撃を検知対象とした異常検知手法が望まれている。 【0005】 このようなサイバー攻撃において、例えば、同一のマルウェア又は同一の攻撃手法であれば、決まったフローチェーンを生成し、複数のIoTデバイスに対して被害が及ぶ、という特徴が見られる。そこで、複数の時系列データを利用した異常検知が必要となる。 ここで、フローチェーンとは、複数の連続するフローで構成されたフローのまとまりとする。 【0006】 例えば、非特許文献2では、複数のセンサを用いて故障などの異常を検知する手法が提案されている。この手法では、convLSTMと呼ばれる画像分析で用いられる畳み込み処理を、時系列分析で用いられるLSTMに適用したモデルが使用されている。これにより、複数センサのデータから総合的に異常が判定される。 しかしながら、この手法は、全てのセンサが同じタイミングで異常を検知する状況を前提としており、サイバー攻撃を受けるタイミングがIoTデバイスごとに異なることが多い異常通信の検知に活用することは難しかった。 【0007】 本発明は、統計量に変化が出にくいサイバー攻撃による異常通信を効率的に検知できる異常通信検知装置及び異常通信検知プログラムを提供することを目的とする。 【課題を解決するための手段】 【0008】 本発明に係る異常通信検知装置は、複数のデバイスから送信されるフローの時系列データから共起パターンを抽出する共起パターン抽出部と、抽出された前記共起パターンの発生確率を計算する発生確率計算部と、実際の共起パターンの発生数と、当該共起パターンの発生確率から計算される発生数の期待値との差が閾値を超えた場合に、異常が発生していると判定する異常判定部と、を備える。 【0009】 前記複数のデバイスは車両であり、共通のサーバを通信先とした車両通信のフローを対象としてもよい。 【0010】 前記共起パターン抽出部は、DTW(Dynamic Time Warping)における距離行列の要素のうち、閾値未満の要素が連続する部分行列を抽出し、当該部分行列にDTWを適用してもよい。 (【0011】以降は省略されています) この特許をJ-PlatPatで参照する
特許ウォッチ
