JP2020136701A - 作成装置、作成システム、作成方法および作成プログラム - Google Patents

作成装置、作成システム、作成方法および作成プログラム Download PDF

Info

Publication number
JP2020136701A
JP2020136701A JP2019023052A JP2019023052A JP2020136701A JP 2020136701 A JP2020136701 A JP 2020136701A JP 2019023052 A JP2019023052 A JP 2019023052A JP 2019023052 A JP2019023052 A JP 2019023052A JP 2020136701 A JP2020136701 A JP 2020136701A
Authority
JP
Japan
Prior art keywords
iot
whitelist
gateway
information
creation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019023052A
Other languages
English (en)
Other versions
JP7247628B2 (ja
Inventor
公輝 野村
Kimiteru Nomura
公輝 野村
永渕 幸雄
Yukio Nagabuchi
幸雄 永渕
一凡 張
Yifan Zhang
一凡 張
哲彦 村田
Tetsuhiko Murata
哲彦 村田
幸治 森下
Koji Morishita
幸治 森下
太田 賢治
Kenji Ota
賢治 太田
明夫 向山
Akio Mukoyama
明夫 向山
貴大 温品
Takahiro Nukushina
貴大 温品
弘樹 長山
Hiroki Nagayama
弘樹 長山
谷川 真樹
Maki Tanigawa
真樹 谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2019023052A priority Critical patent/JP7247628B2/ja
Priority to US17/425,325 priority patent/US11882122B2/en
Priority to EP20756037.6A priority patent/EP3907623B1/en
Priority to PCT/JP2020/002743 priority patent/WO2020166311A1/ja
Priority to CN202080013567.6A priority patent/CN113474760B/zh
Priority to AU2020222452A priority patent/AU2020222452B2/en
Publication of JP2020136701A publication Critical patent/JP2020136701A/ja
Application granted granted Critical
Publication of JP7247628B2 publication Critical patent/JP7247628B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/2807Exchanging configuration information on appliance services in a home automation network
    • H04L12/2809Exchanging configuration information on appliance services in a home automation network indicating that an appliance service is present in a home automation network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2803Home automation networks
    • H04L12/283Processing of data at an internetworking point of a home automation network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Pharmaceuticals Containing Other Organic And Inorganic Compounds (AREA)

Abstract

【課題】IoTゲートウェイに適用するホワイトリストを、容量を抑えて迅速に作成する。【解決手段】収集部15aが、IoTゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する。算出部15bが、収集されたIoT機器情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する。抽出部15cが、算出された類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する。結合部15dが、抽出されたホワイトリスト情報と、各IoTゲートウェイが記憶するホワイトリストとを結合する。【選択図】図3

Description

本発明は、作成装置、作成システム、作成方法および作成プログラムに関する。
カメラや温湿度センサー等の機器をIoT(Internet of Things)機器として通信ネットワークにつなげるIoTゲートウェイが知られている(非特許文献1参照)。IoT機器はパソコンと比較してリソースが少ないため、セキュリティ対策ソフトウェアを導入することは困難な場合がある。
そこで、IoT機器のセキュリティ対策として、許可する通信をリスト化したホワイトリストをIoTゲートウェイに適用し、ホワイトリストにない通信をアクセス不可にするアクセス制御が行われる。
"エッジゲートウェイ"、[online]、NEC、[2018年2月2日検索]、インターネット<URL:http://jpn.nec.com/iot/platform/egw/index.html>
しかしながら、IoTゲートウェイに適用するホワイトリストの作成には、時間がかかるという問題があった。一般に、ホワイトリストの作成には、機械学習が有効であるが、機械学習によるホワイトリストの作成には、数日程度の期間を要する場合がある。この機械学習によるホワイトリスト作成期間にも、IoT機器が危険なサイトにアクセスする可能性があるため、セキュリティ対策が不可欠である。
本発明は、上記に鑑みてなされたものであって、IoTゲートウェイに適用するホワイトリストを、容量を抑えて迅速に作成すること目的とする。
上述した課題を解決し、目的を達成するために、本発明に係る作成装置は、IoT(Internet of Things)ゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する収集部と、収集された前記IoT機器の情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する算出部と、算出された前記類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する抽出部と、を備えることを特徴とする。
本発明によれば、IoTゲートウェイに適用するホワイトリストを、容量を抑えて迅速に作成することができる。
図1は、本実施形態に係る作成システムの概要構成を例示する模式図である。 図2は、本実施形態に係る作成装置の処理概要を説明するための図である。 図3は、作成装置の概略構成を例示する模式図である。 図4は、算出部の処理を説明するための図である。 図5は、抽出部の処理を説明するための図である。 図6は、作成装置による作成処理手順を示すフローチャートである。 図7は、作成プログラムを実行するコンピュータの一例を示す図である。
以下、図面を参照して、本発明の一実施形態を詳細に説明する。なお、この実施形態により本発明が限定されるものではない。また、図面の記載において、同一部分には同一の符号を付して示している。
[作成システムの構成]
図1は、本実施形態に係る作成システムの概略構成を例示する模式図である。図1に例示するように、作成システム1は、IoTゲートウェイ2と作成装置10とを有する。IoT機器3は、例えば、カメラやセンサー等の通常はネットワークNに接続されていない機器であり、Bluetooth(登録商標)や無線LAN等でIoTゲートウェイ2に接続される。
IoTゲートウェイ2は、配下のIoT機器3をネットワークNに接続するネットワーク装置であり、NP(Network Processor)やFPGA(Field Programmable Gate Array)等で実現される。
各IoTゲートウェイ2は、自装置の配下のIoT機器3の情報を定期的に収集している。例えば、図1に例示するように、各IoTゲートウェイ2は、IoT機器3の機種と、それぞれの機種の台数と、自IoTゲートウェイ2との間の通信の特徴とを収集している。
また、本実施形態において、通信の特徴は、例えば、通信頻度と通信容量との組み合わせで表される。例えば、通信頻度は定期、不定期のいずれかで表される。また、通信容量は、大容量、中容量、または小容量のいずれかで表される。
図1には、IoT−GW(A)の配下に、IoT機器(a)が3台接続され、このIoT機器(a)の通信特徴が「定期/中容量」であることが例示されている。また、このIoT−GW(A)の配下には、IoT機器(b)が1台接続され、このIoT機器(b)の通信特徴が「不定期/大容量」であることが例示されている。
また、各IoTゲートウェイ2は、ホワイトリストを記憶している。ホワイトリストとは、配下のIoT機器3の機種ごとに、アクセス可能なサイト等の許可される通信の内容を指定する情報である。各IoTゲートウェイ2のホワイトリストは、配下の各IoT機器3のホワイトリスト情報の集合である。
図1に示す例では、IoT−GW(A)のホワイトリストには、配下のIoT機器(a)のホワイトリスト情報と、IoT機器(b)のホワイトリスト情報とが含まれていることが例示されている。また、図1には、このIoT機器(a)のホワイトリスト情報は、URL(a1)およびURL(a2)へのアクセスを許可するものであることが例示されている。また、図1には、このIoT機器(b)のホワイトリスト情報は、URL(b1)およびURL(b2)へのアクセスを許可するものであることが例示されている。
作成装置10は、ネットワークNに接続されている全てのIoTゲートウェイ2のうち、配下のIoT機器3の通信特徴が類似しているIoTゲートウェイ2間でIoT機器3のホワイトリスト情報を共有させる。これにより、各IoTゲートウェイ2には、自IoTゲートウェイ2に接続される可能性の高いIoT機器3のホワイトリスト情報のみを含む最新のホワイトリストが適用可能となる。
ここで、図2は、本実施形態に係る作成システム1の処理概要を説明するための説明図である。図2に例示するように、作成システム1において、作成装置10は、各IoTゲートウェイ2が記憶する既存のホワイトリストと、各IoTゲートウェイ2の配下のIoT機器情報とを収集する(ステップ(1))。
具体的には、作成装置10は、各IoTゲートウェイ2の配下のIoT機器情報として、IoT機器3の機種とそれぞれの機種の台数と自IoTゲートウェイ2との間の通信の特徴とを収集している。
そして、作成装置10は、IoTゲートウェイ2ごとに、配下のIoT機器3の通信の特徴を示す特徴量と、IoTゲートウェイ2間での特徴量の類似度とを算出する(ステップ(2))。
また、作成装置10は、IoTゲートウェイ2ごとおよびIoT機器3ごとに、ホワイトリスト情報を集計する(ステップ(3))。そして、作成装置10は、IoTゲートウェイ2間の類似度を参照し、類似度が所定の閾値以上に高い場合に、各IoTゲートウェイのホワイトリストを補完するIoT機器3のホワイトリスト情報を抽出し、暫定的なホワイトリストとする(ステップ(4)〜(5))。
図2に示す例では、類似度が60%以上の場合に、IoTゲートウェイ2の特徴量が類似するものとされている。そして、作成装置10は、特徴量が類似するIoTゲートウェイ2間で所望のIoT機器3のホワイトリスト情報が同一になるように、それぞれのIoTゲートウェイ2に対する暫定的なホワイトリストを作成する。つまり、暫定的なホワイトリストとは、それぞれのIoTゲートウェイ2の既存のホワイトリストを補完するためのIoT機器3のホワイトリスト情報の集合である。
図2に示す例では、IoT−GW(A)とIoT−GW(C)との間で所望のIoT機器3のホワイトリスト情報が同一になるように、暫定的なホワイトリストが作成されている。例えば、IoT−GW(C)に対して、既存のホワイトリストを補完するために、IoT機器(a)のホワイトリスト情報を含む暫定的なホワイトリストが作成されている。
各IoTゲートウェイ2では、既存のホワイトリストと暫定的なホワイトリストとを最新のホワイトリストとして適用する(ステップ(6))。これにより、類似度が高いIoTゲートウェイ2間でホワイトリストを共有することができる。各IoTゲートウェイ2では、新規のIoT機器3に対して、暫定的なホワイトリストを用いてアクセス制御が可能となる。図2に示す例では、IoT−GW(C)では、暫定的なホワイトリストにより、新規のIoT機器(a)のアクセス制御が可能となっている。
また、作成装置10は、各IoTゲートウェイ2に接続される可能性が低いIoT機器3のホワイト情報を除外して暫定的なホワイトリストを作成することができる。図2に示す例では、IoT−GW(C)との類似度が低いIoT−GW(B)との間では、ホワイトリストは共有されない。例えば、IoT機器(c)のホワイトリスト情報は、IoT−GW(B)のホワイトリストに含まれているが、IoT−GW(C)の既存のホワイトリストにも暫定的なホワイトリストにも含まれていない。これにより、作成装置10は、容量を抑えて暫定的なホワイトリストを作成することが可能となる。
[作成装置の構成]
図3は、作成装置10の概略構成を例示する模式図である。図3に例示するように、作成装置10は、パソコン等の汎用コンピュータで実現され、入力部11、出力部12、通信制御部13、記憶部14、および制御部15を備える。
入力部11は、キーボードやマウス等の入力デバイスによって実現され、操作者による入力操作に対応して、制御部15に対して処理開始などの各種指示情報を入力する。出力部12は、液晶ディスプレイなどの表示装置、プリンター等の印刷装置等によって実現される。
通信制御部13は、NIC(Network Interface Card)等で実現され、LAN(Local Area Network)やインターネット等の電気通信回線を介したIoTゲートウェイ2等の外部の装置と制御部15との通信を制御する。
記憶部14は、RAM(Random Access Memory)、フラッシュメモリ(Flash Memory)等の半導体メモリ素子、または、ハードディスク、光ディスク等の記憶装置によって実現される。記憶部14には、作成装置10を動作させる処理プログラムや、処理プログラムの実行中に使用されるデータなどが予め記憶され、あるいは処理の都度一時的に記憶される。例えば、記憶部14には、後述する作成処理においてIoTゲートウェイ2から収集されたIoT機器情報やホワイトリスト等が記憶される。なお、記憶部14は、通信制御部13を介して制御部15と通信する構成でもよい。
制御部15は、CPU(Central Processing Unit)等によって実現され、メモリに記憶された処理プログラムを実行する。これにより、制御部15は、図4に例示するように、収集部15a、算出部15b、抽出部15cおよび結合部15dとして機能する。なお、これらの機能部は、それぞれ、あるいは一部が異なるハードウェアに実装されてもよい。例えば、結合部15dは、IoTゲートウェイ2に実装されてもよい。
収集部15aは、IoTゲートウェイ2に接続されているIoT機器3の情報と、IoTゲートウェイ2が記憶する、IoT機器3ごとに許可される通信の内容を指定するホワイトリストとを収集する。具体的には、収集部15aは、ネットワークNに接続されている全てのIoTゲートウェイ2から、各IoTゲートウェイ2が定期的に収集しているIoT機器情報と、各IoTゲートウェイ2が記憶する既存のホワイトリストとを収集する。
図2に示した例では、収集部15aは、IoT−GW(A)から、IoT機器(a)、IoT機器(b)等の配下のIoT機器3の機種ごとの台数と、通信特徴とを含むIoT機器情報を収集する。また、収集部15aは、IoT−GW(B)から、IoT機器(a)、IoT機器(c)等の配下のIoT機器3の機種ごとの台数と、通信特徴とを含むIoT機器情報を収集する。
そして、収集部15aは、各IoTゲートウェイ2から収集したIoT機器情報を、IoTゲートウェイ2ごとおよびIoT機器3ごとに集約する。図2に示した例では、例えば、IoT−GW(A)の配下に、通信特徴「定期/中容量」であるIoT機器(a)が3台存在することが示されている。
また、収集部15aは、IoT−GW(A)から、IoT機器(a)のURL(a1)およびURL(a2)へのアクセスを許可するホワイトリスト情報、IoT機器(b)のURL(b1)およびURL(b3)へのアクセスを許可するホワイトリスト情報等を含むホワイトリストを収集している。また、収集部15aは、IoT−GW(B)から、IoT機器(a)のURL(a1)およびURL(a3)へのアクセスを許可するホワイトリスト情報、IoT機器(c)のURL(c1)およびURL(c2)へのアクセスを許可するホワイトリスト情報等を含むホワイトリストを収集している。
図3の説明に戻る。算出部15bは、収集されたIoT機器3の情報に基づいて、IoTゲートウェイ2ごとのIoT機器3の通信の特徴を示す特徴量と、IoTゲートウェイ2間の該特徴量の類似度とを算出する。
例えば、算出部15bは、IoTゲートウェイ2ごとのIoT機器3の機種ごとの台数と、該機種ごとの通信の特徴とに基づいて特徴量を算出する。また、算出部15bは、例えば、機種ごとの台数と通信の頻度と容量とに基づいて特徴量を算出する。
ここで、図4は、算出部15bの処理を説明するための図である。図4に示す例では、算出部15bは、特徴量として、各IoTゲートウェイ2の配下のIoT機器3の通信特徴ごとの台数の割合を用いて、通信特徴のベクトルを算出している。
具体的には、算出部15bは、まず、図4(1)に示すように、収集部15aが収集したIoT機器情報をIoTゲートウェイ2ごとおよびIoT機器3ごとに集約する。図4に示す例では、各IoT機器3の通信特徴は、通信特徴1および通信特徴2の組み合わせで表されている。通信特徴1は、通信頻度であり、定期、不定期のいずれかで表されている。また、通信特徴2は、通信容量であり、大容量、中容量、小容量のいずれかで表されている。例えば、図4(1)には、IoT−GW(A)の配下には、通信特徴1「定期」、通信特徴2「中容量」のIoT機器(a)が3台存在することが示されている。
そして、算出部15bは、図4(2)に示すように、IoTゲートウェイ2ごとの通信特徴のベクトルを算出する。図4に示す例では、通信特徴のベクトルは、各通信特徴のIoTゲートウェイ2での台数の割合の要素としたベクトルである。
例えば、通信特徴のベクトルの1番目の要素は、通信特徴1が「定期」であるIoT機器3の各IoTゲートウェイ2での割合である。図4(2)に示す例では、IoT−GW(A)についての通信特徴のベクトルAの1番目の要素は、配下の5台のIoT機器3のうち通信特徴1が「定期」であるIoT機器3は4台であるので、0.8と算出されている。
また、例えば、通信特徴のベクトルの5番目の要素は、通信特徴2が「小容量」であるIoT機器3のIoTゲートウェイ2での割合である。図4(2)に示す例では、IoT−GW(A)についての通信特徴のベクトルAの5番目の要素は、配下の5台のIoT機器3のうち通信特徴2が「小容量」であるIoT機器3は1台であるので、0.2と算出されている。
次に、算出部15bは、図4(3)および(4)に示すように、IoTゲートウェイ2間での通信特徴のベクトルの類似度を算出する。類似度の算出手法は特に限定されず、算出部15bは、例えば、ベクトル間のコサイン類似度や、一般化Jaccard類似度等を算出する。算出部15bは、類似度として、複数の算出手法による類似度の平均値を算出してもよい。図4(3)に示す例では、算出部15bは、類似度として、ベクトル間のコサイン類似度を算出している。そして、算出部15bは、図4(4)に示すように、IoTゲートウェイ2間の通信特徴のベクトルの類似度を算出する。
図3の説明に戻る。抽出部15cは、算出された類似度が所定の閾値以上である場合に、各IoTゲートウェイ2が記憶するホワイトリストに含まれる各IoT機器3のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器3のホワイトリスト情報を抽出する。また、抽出部15cは、抽出したホワイトリスト情報を用いて、各IoTゲートウェイ2に適用する暫定的なホワイトリストを作成する。
ここで、図5は、抽出部15cの処理を説明するための図である。図5の例では、抽出部15cは、類似度が60%以上のIoTゲートウェイ2の組み合わせを対象としている。そして、抽出部15cは、対象のIoTゲートウェイ2間で所望のIoT機器3のホワイトリスト情報が同一になるように、各IoTゲートウェイ2の既存のホワイトリストを補完する暫定的なホワイトリストを作成する。
例えば、抽出部15cは、収集部15aが収集した、図5(1)に例示するIoTゲートウェイ2の既存のホワイトリストを、図5(2)に示すように、IoT機器3ごとに集計する。そして、抽出部15cは、算出部15bが算出した、図5(3)に例示するIoTゲートウェイ2間の類似度を参照し、類似度が60%以上のIoTゲートウェイ2の組み合わせを選定する。図5(3)に示す例では、IoT−GW(A)とIoT−GW(B)との組み合わせが78%であることから、相互に類似するIoTゲートウェイ2として選定される。
そして、抽出部15cは、図5(4)に示すように、類似するIoTゲートウェイ2間で所望のIoT機器3のホワイトリスト情報が同一になるように、相互に補完するIoT機器3のホワイトリスト情報を抽出する。図5(4)に示す例では、例えば、IoT−GW(B)に対して、IoT−GW(A)の既存のホワイトリストに含まれていてIoT−GW(B)の既存のホワイトリストに含まれていないIoT機器(b)のホワイトリスト情報が抽出されている。ここでは、他ではなくIoT−GW(A)で現に機能しているIoT機器(b)のURL(b1)およびURL(b3)へのアクセスを許可するホワイトリスト情報が抽出される。
同様に、IoT−GW(B)に対して、IoT機器(c)のホワイトリスト情報が抽出される。このように、IoT−GW(B)に対して、IoT機器(b)のホワイトリスト情報とIoT機器(c)のホワイトリスト情報とが抽出される。抽出部15cは、IoT―GW(B)に対して、IoT機器(b)のホワイトリスト情報とIoT機器(c)のホワイトリスト情報とを含む暫定的なホワイトリストを作成する。
図3の説明に戻る。結合部15dは、抽出されたホワイトリスト情報と、各IoTゲートウェイ2が記憶するホワイトリストとを結合する。具体的には、結合部15dは、抽出されたホワイトリスト情報を用いて作成された暫定的なホワイトリストと、各IoTゲートウェイ2が記憶するホワイトリストとを結合して、各IoTゲートウェイ2に適用するホワイトリストを作成する。
すなわち、結合部15dは、各IoTゲートウェイ2の既存のホワイトリストと、抽出部15cが作成した暫定的なホワイトリストとを結合して、各IoTゲートウェイ2に適用する最新のホワイトリストを作成する。各IoTゲートウェイ2は、既存のIoT機器3には、既存のホワイトリストを適用し、新規のIoT機器3には暫定的なホワイトリストを適用する。
例えば、図5に示した例では、IoT−GW(B)は、IoT機器(a)およびIoT機器(d)に対しては、既存のホワイトリストによりアクセス制御を行う。また、IoT−GW(B)は、新規のIoT機器(b)およびIoT機器(c)に対しては、暫定的なホワイトリストでアクセス制御を行う。
同様に、IoT−GW(A)は、IoT機器(a)、IoT機器(b)およびIoT機器(c)に対しては、既存のホワイトリストによりアクセス制御を行う。また、IoT−GW(A)は、新規のIoT機器(d)に対しては、暫定的なホワイトリストでアクセス制御を行う。
このように、作成装置10により、類似するIoTゲートウェイ2間でホワイトリストを共有することができる。各IoTゲートウェイ2では、新規のIoT機器3に対して、暫定的なホワイトリストを用いてアクセス制御が可能となる。また、各IoTゲートウェイ2に接続される可能性が低いIoT機器3のホワイト情報が除外された、容量を抑えた暫定的なホワイトリストが作成される。
なお、結合部15dは、IoTゲートウェイ2に実装されてもよい。その場合には、作成装置10は、抽出部15cが作成した暫定的なホワイトリストを、通信制御部13を介して各IoTゲートウェイ2に配信する。
[作成処理]
図6は、本実施形態に係る作成装置10による作成処理手順を示すフローチャートである。図6のフローチャートは、例えば、開始を指示する操作入力があったタイミングで開始される。
まず、収集部15aが、ネットワークNに接続されている全てのIoTゲートウェイ2から、各IoTゲートウェイ2が定期的に収集しているIoT機器情報と、各IoTゲートウェイ2が記憶する既存のホワイトリストとを収集する(ステップS1)。例えば、IoT機器情報には、IoT機器3の機種とそれぞれの機種の台数と自IoTゲートウェイ2との間の通信の特徴とが含まれる。
次に、算出部15bが、収集されたIoT機器情報に基づいて、IoTゲートウェイ2ごとに配下のIoT機器3の通信の特徴を示す特徴量と、IoTゲートウェイ2間の該特徴量の類似度とを算出する(ステップS2)。例えば、算出部15bは、各IoTゲートウェイ2の配下のIoT機器3の通信特徴ごとの台数の割合に基づいて、特徴量を算出する。
次に、抽出部15cが、算出された類似度が所定の閾値以上である場合に、各IoTゲートウェイ2が記憶するホワイトリストに含まれる各IoT機器3のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器3のホワイトリスト情報を抽出する。また、抽出部15cは、各IoTゲートウェイ2に対して、抽出したホワイトリスト情報を含む暫定的なホワイトリストを作成する(ステップS3)。
すなわち、抽出部15cは、類似するIoTゲートウェイ2間で所望のIoT機器3のホワイトリスト情報が同一になるように、それぞれのIoTゲートウェイ2に対する暫定的なホワイトリストを作成する。
また、結合部15dが、各IoTゲートウェイ2の既存のホワイトリストと、抽出部15cが作成した暫定的なホワイトリストとを結合して、各IoTゲートウェイ2に適用する最新のホワイトリストを作成する(ステップS4)。これにより、一連の作成処理が終了する。
以上、説明したように、本実施形態の作成装置10において、収集部15aが、IoTゲートウェイ2に接続されているIoT機器3の情報と、IoTゲートウェイ2が記憶する、IoT機器3ごとに許可される通信の内容を指定するホワイトリストとを収集する。算出部15bが、収集されたIoT機器情報に基づいて、IoTゲートウェイ2ごとのIoT機器3の通信の特徴を示す特徴量と、IoTゲートウェイ2間の該特徴量の類似度とを算出する。抽出部15cが、算出された類似度が所定の閾値以上である場合に、各IoTゲートウェイ2が記憶するホワイトリストに含まれる各IoT機器3のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器3のホワイトリスト情報を抽出する。
これにより、ネットワークNに接続されている全てのIoTゲートウェイ2のうち、配下のIoT機器3の通信特徴が類似しているIoTゲートウェイ2間で、現に機能しているIoT機器3のホワイトリスト情報を共有することができる。したがって、各IoTゲートウェイ2に接続される可能性の高いIoT機器3のホワイトリスト情報のみを含む最新のホワイトリストを適用することが可能となる。
このように、作成装置10は、機械学習によるホワイトリスト作成期間にも、IoTゲートウェイ2に適用するホワイトリストを迅速に作成することができる。また、自IoTゲートウェイ2に接続される可能性が低いIoT機器3のホワイト情報を除外することにより、容量を抑えてホワイトリストを作成することが可能となる。
また、算出部15bは、例えば、IoTゲートウェイ2ごとのIoT機器3の機種ごとの台数と、該機種ごとの通信の特徴とに基づいて特徴量を算出する。また、算出部15bは、例えば、機種ごとの台数と通信の頻度と容量とに基づいて特徴量を算出する。これにより、IoTゲートウェイ2の配下のIoT機器3の通信の特徴を端的に表すことが可能となる。
また、結合部15dが、抽出されたホワイトリスト情報と、各IoTゲートウェイ2が記憶するホワイトリストとを結合する。この結合部15dは、作成装置10に実装されてもよいし、IoTゲートウェイ2に実装されてもよい。これにより、柔軟にシステムを構成することが可能となる。
[プログラム]
上記実施形態に係る作成装置10が実行する処理をコンピュータが実行可能な言語で記述したプログラムを作成することもできる。一実施形態として、作成装置10は、パッケージソフトウェアやオンラインソフトウェアとして上記の作成処理を実行する作成プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の作成プログラムを情報処理装置に実行させることにより、情報処理装置を作成装置10として機能させることができる。ここで言う情報処理装置には、デスクトップ型またはノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)などの移動体通信端末、さらには、PDA(Personal Digital Assistant)などのスレート端末などがその範疇に含まれる。また、作成装置10の機能を、クラウドサーバに実装してもよい。
図7は、作成プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010と、CPU1020と、ハードディスクドライブインタフェース1030と、ディスクドライブインタフェース1040と、シリアルポートインタフェース1050と、ビデオアダプタ1060と、ネットワークインタフェース1070とを有する。これらの各部は、バス1080によって接続される。
メモリ1010は、ROM(Read Only Memory)1011およびRAM1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1031に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1041に接続される。ディスクドライブ1041には、例えば、磁気ディスクや光ディスク等の着脱可能な記憶媒体が挿入される。シリアルポートインタフェース1050には、例えば、マウス1051およびキーボード1052が接続される。ビデオアダプタ1060には、例えば、ディスプレイ1061が接続される。
ここで、ハードディスクドライブ1031は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093およびプログラムデータ1094を記憶する。上記実施形態で説明した各情報は、例えばハードディスクドライブ1031やメモリ1010に記憶される。
また、作成プログラムは、例えば、コンピュータ1000によって実行される指令が記述されたプログラムモジュール1093として、ハードディスクドライブ1031に記憶される。具体的には、上記実施形態で説明した作成装置10が実行する各処理が記述されたプログラムモジュール1093が、ハードディスクドライブ1031に記憶される。
また、作成プログラムによる情報処理に用いられるデータは、プログラムデータ1094として、例えば、ハードディスクドライブ1031に記憶される。そして、CPU1020が、ハードディスクドライブ1031に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した各手順を実行する。
なお、作成プログラムに係るプログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1031に記憶される場合に限られず、例えば、着脱可能な記憶媒体に記憶されて、ディスクドライブ1041等を介してCPU1020によって読み出されてもよい。あるいは、作成プログラムに係るプログラムモジュール1093やプログラムデータ1094は、LANやWAN(Wide Area Network)等のネットワークを介して接続された他のコンピュータに記憶され、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。
以上、本発明者によってなされた発明を適用した実施形態について説明したが、本実施形態による本発明の開示の一部をなす記述および図面により本発明は限定されることはない。すなわち、本実施形態に基づいて当業者等によりなされる他の実施形態、実施例および運用技術等は全て本発明の範疇に含まれる。
1 作成システム
2 IoTゲートウェイ
3 IoT機器
10 作成装置
11 入力部
12 出力部
13 通信制御部
14 記憶部
15 制御部
15a 収集部
15b 算出部
15c 抽出部
15d 結合部
N ネットワーク

Claims (7)

  1. IoT(Internet of Things)ゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する収集部と、
    収集された前記IoT機器の情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する算出部と、
    算出された前記類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する抽出部と、
    を備えることを特徴とする作成装置。
  2. 前記算出部は、前記IoTゲートウェイごとの前記IoT機器の機種ごとの台数と、該機種ごとの通信の特徴とに基づいて、前記特徴量を算出することを特徴とする請求項1に記載の作成装置。
  3. 前記算出部は、ベクトル間の類似度の算出手法に基づいて、前記特徴量の類似度を算出することを特徴とする請求項1に記載の作成装置。
  4. さらに、抽出された前記ホワイトリスト情報と、各IoTゲートウェイが記憶するホワイトリストとを結合する結合部を備えることを特徴とする請求項1に記載の作成装置。
  5. 作成装置と、IoT(Internet of Things)ゲートウェイとを有する作成システムであって、
    前記作成装置は、
    IoTゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する収集部と、
    収集された前記IoT機器の情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する算出部と、
    算出された前記類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する抽出部と、を備え、
    前記IoTゲートウェイは、
    抽出された前記ホワイトリスト情報と、自装置が記憶するホワイトリストとを結合する結合部を備える
    ことを特徴とする作成システム。
  6. 作成装置で実行される作成方法であって、
    IoT(Internet of Things)ゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する収集工程と、
    収集された前記IoT機器の情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する算出工程と、
    算出された前記類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する抽出工程と、
    を含んだことを特徴とする作成方法。
  7. IoTゲートウェイに接続されているIoT機器の情報と、IoTゲートウェイが記憶する、IoT機器ごとに許可される通信の内容を指定するホワイトリストとを収集する収集ステップと、
    収集された前記IoT機器の情報に基づいて、IoTゲートウェイごとのIoT機器の通信の特徴を示す特徴量と、IoTゲートウェイ間の該特徴量の類似度とを算出する算出ステップと、
    算出された前記類似度が所定の閾値以上である場合に、各IoTゲートウェイが記憶するホワイトリストに含まれる各IoT機器のホワイトリスト情報から、各ホワイトリストを相互に補完するIoT機器のホワイトリスト情報を抽出する抽出ステップと、
    をコンピュータに実行させるための作成プログラム。
JP2019023052A 2019-02-12 2019-02-12 作成装置、作成システム、作成方法および作成プログラム Active JP7247628B2 (ja)

Priority Applications (6)

Application Number Priority Date Filing Date Title
JP2019023052A JP7247628B2 (ja) 2019-02-12 2019-02-12 作成装置、作成システム、作成方法および作成プログラム
US17/425,325 US11882122B2 (en) 2019-02-12 2020-01-27 Preparation device, preparation system, preparation method, and preparation program
EP20756037.6A EP3907623B1 (en) 2019-02-12 2020-01-27 Preparation device, preparation system, preparation method, and preparation program
PCT/JP2020/002743 WO2020166311A1 (ja) 2019-02-12 2020-01-27 作成装置、作成システム、作成方法および作成プログラム
CN202080013567.6A CN113474760B (zh) 2019-02-12 2020-01-27 生成装置、生成系统、生成方法以及记录介质
AU2020222452A AU2020222452B2 (en) 2019-02-12 2020-01-27 Preparation device, preparation system, preparation method, and preparation program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2019023052A JP7247628B2 (ja) 2019-02-12 2019-02-12 作成装置、作成システム、作成方法および作成プログラム

Publications (2)

Publication Number Publication Date
JP2020136701A true JP2020136701A (ja) 2020-08-31
JP7247628B2 JP7247628B2 (ja) 2023-03-29

Family

ID=72044851

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019023052A Active JP7247628B2 (ja) 2019-02-12 2019-02-12 作成装置、作成システム、作成方法および作成プログラム

Country Status (6)

Country Link
US (1) US11882122B2 (ja)
EP (1) EP3907623B1 (ja)
JP (1) JP7247628B2 (ja)
CN (1) CN113474760B (ja)
AU (1) AU2020222452B2 (ja)
WO (1) WO2020166311A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023042709A1 (ja) * 2021-09-16 2023-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信分析システム、分析方法及びプログラム

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022044238A1 (ja) * 2020-08-27 2022-03-03 日本電信電話株式会社 通信ネットワークシステム、管理装置、サーバ装置、ホワイトリスト更新方法及びプログラム
US20220158974A1 (en) * 2020-11-13 2022-05-19 At&T Intellectual Property I, L.P. Security Management for Internet-Of-Things Devices
CN114417336B (zh) * 2022-01-24 2022-11-01 北京新桥信通科技股份有限公司 一种应用系统侧安全管控方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009680A (ja) * 2017-06-27 2019-01-17 日本電信電話株式会社 検知装置および検知方法
US20190036930A1 (en) * 2017-07-31 2019-01-31 International Business Machines Corporation Managing a whitelist of internet domains

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120023593A1 (en) * 2010-07-26 2012-01-26 Puder George System and method for filtering internet content & blocking undesired websites by secure network appliance
CN102387203B (zh) * 2011-10-21 2014-06-04 南京邮电大学 一种物联网中基于soap协议的多播应用方法
US9215209B2 (en) * 2013-11-08 2015-12-15 U.S. Bancorp, National Association Source request monitoring
WO2016132992A1 (ja) * 2015-02-20 2016-08-25 日本電信電話株式会社 ブラックリスト生成装置、ブラックリスト生成システム、ブラックリスト生成方法及びブラックリスト生成プログラム
US20170180208A1 (en) * 2015-12-22 2017-06-22 Intel Corporation Organically composable iot networks
US20170188308A1 (en) * 2015-12-23 2017-06-29 Intel Corporation Extending an operational lifetime of an internet of things (IOT) device
US10116661B2 (en) * 2016-12-27 2018-10-30 Oath Inc. Method and system for classifying network requests
WO2018172819A1 (en) * 2017-03-23 2018-09-27 Pismo Labs Technology Ltd. Method and system for updating a whitelist at a network node
US10931636B2 (en) * 2017-03-23 2021-02-23 Pismo Labs Technology Limited Method and system for restricting transmission of data traffic for devices with networking capabilities
US11032302B2 (en) * 2017-07-31 2021-06-08 Perspecta Labs Inc. Traffic anomaly detection for IoT devices in field area network
CN108668218A (zh) * 2017-11-28 2018-10-16 中兴通讯股份有限公司 一种终端定位方法及装置
US11711371B2 (en) * 2018-01-12 2023-07-25 Sanctuary Networks LLC System and method for trustworthy internet whitelists
JP6725564B2 (ja) 2018-03-01 2020-07-22 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
US10887351B2 (en) * 2018-05-02 2021-01-05 NortonLifeLock Inc. Security for IoT home voice assistants
CN108718320B (zh) * 2018-06-14 2021-03-30 浙江远望信息股份有限公司 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
JP2020017809A (ja) * 2018-07-24 2020-01-30 アラクサラネットワークス株式会社 通信装置及び通信システム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2019009680A (ja) * 2017-06-27 2019-01-17 日本電信電話株式会社 検知装置および検知方法
US20190036930A1 (en) * 2017-07-31 2019-01-31 International Business Machines Corporation Managing a whitelist of internet domains

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
野村 公輝 KOUKI NOMURA: "IoT-GW向けホワイトリストの機械学習期間における暫定的なホワイトリストの提供手法の提案", 第80回(平成30年)全国大会講演論文集(3) ネットワーク セキュリティ, JPN6022010433, 13 March 2018 (2018-03-13), ISSN: 0004872416 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2023042709A1 (ja) * 2021-09-16 2023-03-23 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカ 通信分析システム、分析方法及びプログラム

Also Published As

Publication number Publication date
AU2020222452B2 (en) 2023-05-11
CN113474760A (zh) 2021-10-01
US11882122B2 (en) 2024-01-23
WO2020166311A1 (ja) 2020-08-20
CN113474760B (zh) 2024-07-09
AU2020222452A1 (en) 2021-08-05
JP7247628B2 (ja) 2023-03-29
EP3907623A4 (en) 2022-10-12
EP3907623B1 (en) 2023-12-06
EP3907623A1 (en) 2021-11-10
US20220094687A1 (en) 2022-03-24

Similar Documents

Publication Publication Date Title
US11799863B2 (en) Creation device, creation system, creation method, and creation program
US11882122B2 (en) Preparation device, preparation system, preparation method, and preparation program
US10397281B2 (en) Method, system and server for self-healing of electronic apparatus
US12014159B2 (en) Canary deployments based on changeset complexity in containerized environments
Williams et al. The growing need for microservices in bioinformatics
US20190073249A1 (en) Message oriented middleware with integrated rules engine
JP7173308B2 (ja) 検知装置、検知方法および検知プログラム
CN107153495B (zh) 一种建立网元间业务链路的方法和装置
Qiao et al. EdgeOptimizer: A programmable containerized scheduler of time-critical tasks in Kubernetes-based edge-cloud clusters
CN112732312B (zh) 用于更新应用程序的方法及装置、电子设备和介质
US10432548B2 (en) Workload deployment in computing networks
CN109976744B (zh) 一种可视化编程方法、系统及终端设备
EP4645146A1 (en) Geometric shape streaming data processing method and apparatus, computing device, storage medium, and computer program product
CN113377378B (zh) 用于小程序的处理方法、装置、设备及存储介质
JP2020077054A (ja) 選定装置および選定方法
CN115841475A (zh) 一种心脏图像分割方法、装置、设备及存储介质
CN106775639B (zh) 信息处理方法、信息处理装置、及计算机设备
EP3872640B1 (en) Information creation device, information creation method, and information creation program
JP7207529B2 (ja) 推定装置、推定方法および推定プログラム
JP7568094B2 (ja) 表示制御装置、表示制御方法および表示制御プログラム
JP6777582B2 (ja) 管理装置、管理方法および管理プログラム
US20250371270A1 (en) Meta-Tagging Based Configuration Transformation for Heterogeneous Systems
CN116010744A (zh) 页面数据处理方法、装置、电子设备及可读存储介质
WO2024142402A1 (ja) データ提供装置、データ提供方法およびデータ提供プログラム
WO2024121891A1 (ja) 情報生成装置、情報生成方法および情報生成プログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210513

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220322

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220512

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20220913

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221205

C60 Trial request (containing other claim documents, opposition documents)

Free format text: JAPANESE INTERMEDIATE CODE: C60

Effective date: 20221205

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20221205

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20221223

C21 Notice of transfer of a case for reconsideration by examiners before appeal proceedings

Free format text: JAPANESE INTERMEDIATE CODE: C21

Effective date: 20230104

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20230214

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20230227

R150 Certificate of patent or registration of utility model

Ref document number: 7247628

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350