特許ウォッチ

公開番号2025112875
公報種別公開特許公報(A)
公開日2025-08-01
出願番号2024007394
出願日2024-01-22
発明の名称監視装置、監視プログラム及び監視方法
出願人沖電気工業株式会社
代理人個人,個人
主分類H04L 43/12 20220101AFI20250725BHJP(電気通信技術)
要約【課題】未知のネットワークに接続した時、接続したネットワーク環境における適切なパラメータを自動的に取得する。
【解決手段】本発明は監視装置に関する。そして、本発明の監視装置は、ネットワーク上で発生した通信データを分析してネットワークの異常を検知する検知処理を行って検知結果を出力する異常検知手段と、検知処理で用いられる閾値を保持する閾値保持手段と、一部又は全部の閾値を求める際に用いられる1以上のパラメータを保持するパラメータ保持手段と、閾値保持手段が保持する一部又は全部の閾値及び又はパラメータ保持手段が保持する一部又は全部のパラメータについて、通信データ及び又は検知結果に基づき算出する算出手段とを有することを特徴とする。
【選択図】図1
特許請求の範囲【請求項１】
ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力する異常検知手段と、
前記検知処理で用いられる閾値を保持する閾値保持手段と、
一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持するパラメータ保持手段と、
前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出する算出手段と
を有することを特徴とする監視装置。
続きを表示（約 1,400 文字）【請求項２】
前記閾値保持手段は、前記検知処理の対象となる通信装置ごとに個別に設定される個別閾値と、前記検知処理の対象となる通信装置全体で共通となる全体閾値が含まれることを特徴とする請求項１に記載の監視装置。
【請求項３】
前記算出手段は、
前記個別閾値について算出する際に、前記パラメータ保持手段が保持する前記パラメータ及び所定期間内の前記通信データを用い、
前記全体閾値について算出する際に、所定期間内の前記通信データを用いる
ことを特徴とする請求項２に記載の監視装置。
【請求項４】
前記算出手段は、所定期間内の前記通信データを用いて前記パラメータを算出して前記パラメータ保持手段に設定することを特徴とする請求項３に記載の監視装置。
【請求項５】
前記算出手段は、当該監視装置が前記ネットワークに接続してから所定期間後に、新たに前記パラメータを算出して前記パラメータ保持手段に設定するパラメータ調整処理、及び又は当該監視装置が前記ネットワークに接続してから所定期間後に、新たに前記全体閾値を算出して前記閾値保持手段に設定する全体閾値調整処理を行うことを特徴とする請求項４に記載の監視装置。
【請求項６】
前記算出手段は、一定期間ごとに、前記通信データに基づいて、前記ネットワーク上の環境変化の有無を判定する環境変化判定処理を行い、前記環境変化判定処理の結果環境変化が有ると判定された場合に前記パラメータ調整処理及び又は前記全体閾値調整処理を行うことを特徴とする請求項５に記載の監視装置。
【請求項７】
前記算出手段は、直近の第１の期間の分の前記通信データと前記第１の期間より過去の期間を含む第２の期間の前記通信データを比較することで前記環境変化判定処理を行うことを特徴とする請求項６に記載の監視装置。
【請求項８】
コンピュータを、
ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力する異常検知手段と、
前記検知処理で用いられる閾値を保持する閾値保持手段と、
一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持するパラメータ保持手段と、
前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出する算出手段と
して機能させることを特徴とする監視プログラム。
【請求項９】
監視装置が行う監視方法において、
前記監視装置は、異常検知手段、閾値保持手段、パラメータ保持手段及び算出手段を備え、
前記異常検知手段は、ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力し、
前記閾値保持手段は、前記検知処理で用いられる閾値を保持し、
前記パラメータ保持手段は、一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持し、
前記算出手段は、前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出する
ことを特徴とする監視方法。

発明の詳細な説明【技術分野】
【０００１】
この発明は監視装置、監視プログラム及び監視方法に関し、例えば、ネットワークの通信データを分析してネットワーク上の異常を検知するシステムに適用し得る。
続きを表示（約 1,900 文字）【背景技術】
【０００２】
従来、ネットワーク上のセキュリティ監視のために、ネットワークを流れるパケットデータを収集して分析する監視装置が存在する。従来の監視装置としては、特許文献１、２に記載の装置が存在する。
【０００３】
特許文献１に記載の装置は、インフラの制御システムのセキュリティ対策にあたり、ネットワークを構成する装置のプログラム変更を行わず、制御ネットワーク上のパケットを監視する。具体的には、特許文献１に記載の装置は、パケットの特徴量を所定の学習アルゴリズムによって学習し、前記パケットが正常であるか異常であるかを判定するためのパラメータを生成する推定部と、パラメータを更新するかを判断する検証指示部を有する。これにより、特許文献１に記載された装置では、通信データや制御システムの詳細仕様の把握を必要とせずに、誤検知を抑えた異常検知を実現できる。また、特許文献１に記載された装置では、誤検知が起きた際に、誤検知したパケットを学習データに加えないことで、検知精度の低下を抑制することができる。
【０００４】
特許文献２に記載された装置は、少量の過検知データで効率的に精度よくフィードバックして通信データの異常有無の評価を高精度で行うものである。特許文献２に記載された装置では、過検知の発生に気が付いたとき過検知データをフィードバックして検知精度を改善する。具体的には、特許文献２に記載された装置は、正常なデータを学習した学習データ用モデルと過検知データを学習した過検知用モデルで評価データの異常の有無を判定し、２つのモデルの推定結果を結合して評価を行うことで、通信データの異常有無の評価を高精度に実行する。
【先行技術文献】
【特許文献】
【０００５】
特開２０２０－６１６６７号公報
特開２０１９－２２０８６６号公報
【発明の概要】
【発明が解決しようとする課題】
【０００６】
しかしながら、特許文献１、２に記載の装置はいずれも、未知のネットワークに監視装置を接続したとき、接続したネットワーク環境に応じて監視装置のパラメータ調整を自動的に行い、適切な検知精度を獲得するものではない。
【０００７】
そこで、未知のネットワークに接続した時、接続したネットワーク環境における適切なパラメータを自動的に取得することができる監視装置、監視プログラム及び監視方法が望まれている。
【課題を解決するための手段】
【０００８】
第１の本発明の監視装置は、ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力する異常検知手段と、前記検知処理で用いられる閾値を保持する閾値保持手段と、一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持するパラメータ保持手段と、前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出する算出手段とを有することを特徴とする。
【０００９】
第２の本発明の監視プログラムは、ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力する異常検知手段と、前記検知処理で用いられる閾値を保持する閾値保持手段と、一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持するパラメータ保持手段と、前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出する算出手段として機能させることを特徴とする。
【００１０】
第３の本発明は、監視装置が行う監視方法において、前記監視装置は、異常検知手段、パラメータ保持手段及び算出手段を備え、前記異常検知手段は、ネットワーク上で発生した通信データを分析して前記ネットワークの異常を検知する検知処理を行って検知結果を出力し、前記閾値保持手段は、前記検知処理で用いられる閾値を保持し、前記パラメータ保持手段は、一部又は全部の前記閾値を求める際に用いられる１以上のパラメータを保持し、前記算出手段は、前記閾値保持手段が保持する一部又は全部の前記閾値及び又は前記パラメータ保持手段が保持する一部又は全部の前記パラメータについて、前記通信データ及び又は前記検知結果に基づき算出することを特徴とする。
【発明の効果】
（【００１１】以降は省略されています）

関連特許