JP7568975B2 - 推定装置、推定方法およびプログラム - Google Patents

推定装置、推定方法およびプログラム Download PDF

Info

Publication number
JP7568975B2
JP7568975B2 JP2023504910A JP2023504910A JP7568975B2 JP 7568975 B2 JP7568975 B2 JP 7568975B2 JP 2023504910 A JP2023504910 A JP 2023504910A JP 2023504910 A JP2023504910 A JP 2023504910A JP 7568975 B2 JP7568975 B2 JP 7568975B2
Authority
JP
Japan
Prior art keywords
abnormal
data
byte
vector data
vector
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023504910A
Other languages
English (en)
Other versions
JPWO2022190198A1 (ja
JPWO2022190198A5 (ja
Inventor
友貴 山中
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Inc
NTT Inc USA
Original Assignee
Nippon Telegraph and Telephone Corp
NTT Inc USA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, NTT Inc USA filed Critical Nippon Telegraph and Telephone Corp
Publication of JPWO2022190198A1 publication Critical patent/JPWO2022190198A1/ja
Publication of JPWO2022190198A5 publication Critical patent/JPWO2022190198A5/ja
Application granted granted Critical
Publication of JP7568975B2 publication Critical patent/JP7568975B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • G06F9/30007Arrangements for executing specific machine instructions to perform operations on data operands
    • G06F9/30036Instructions to perform operations on packed data, e.g. vector, tile or matrix operations
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • G06N3/0895Weakly supervised learning, e.g. semi-supervised or self-supervised learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/20Natural language analysis
    • G06F40/279Recognition of textual entities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F40/00Handling natural language data
    • G06F40/30Semantic analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Biomedical Technology (AREA)
  • Evolutionary Computation (AREA)
  • Data Mining & Analysis (AREA)
  • General Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Computational Linguistics (AREA)
  • Biophysics (AREA)
  • Molecular Biology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Devices For Executing Special Programs (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明は、推定装置、推定方法およびプログラムに関する。
産業系・ビル系等におけるオペレーショナルテクノロジ(OT:Operational Technology)の通信ネットワークにおいて、異常検知システムまたは侵入検知システム(OT-IDS:Operational Technology Intrusion Detection System)が注目されている。このような通信ネットワークで送受信されるパケットは、1バイトなどの少量の不正な書き換えも見逃さずに検知される必要がある。例えば不正な書き換えにより温度の設定値が一桁変わってしまうなど、想定外のオペレーションが重大な事故を引き起こす場合がある。
ネットワークを監視するツールがある(非特許文献1および非特許文献2参照)。これらのツールでは、ネットワークで送受信されるデータを監視し、分析することができる。
WIRESHARK、[online]、[2021年2月25日検索]、インターネット〈URL:https://www.wireshark.org/〉 zeek、[online]、[2021年2月25日検索]、インターネット〈URL:https://zeek.org/〉
しかしながら、いずれの非特許文献も、異常パケットにおける異常バイトを特定することができない。
本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、異常パケットにおける異常バイトを推定可能な技術を提供することである。
本発明の一態様の推定装置は、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換する変換部と、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出する抽出部と、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する推定部を備える。
本発明の一態様の推定方法は、コンピュータが、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換し、前記コンピュータが、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出し、前記コンピュータが、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する。
本発明の一態様は、上記推定装置として、コンピュータを機能させるプログラムである。
本発明によれば、異常パケットにおける異常バイトを推定可能な技術を提供することができる。
図1は、本発明の実施の形態に係る推定装置の機能ブロックを説明する図である。 図2は、モデルが変換するデータの一例を説明する図である。 図3は、推定方法の処理の一例を示すフローチャートである。 図4は、推定装置の評価システムの各装置を説明する図である。 図5は、評価システムで得られたパケットの一例を説明する図である。 図6は、評価システムで得られた類似度行列の一例を説明する図である。 図7は、推定装置に用いられるコンピュータのハードウエア構成を説明する図である。
以下、図面を参照して、本発明の実施形態を説明する。図面の記載において同一部分には同一符号を付し説明を省略する。
(推定装置)
図1を参照して本発明の実施の形態に係る推定装置1を説明する。推定装置1は、異常パケットが入力されると、その異常パケット中の異常バイトを推定して出力する。推定装置1は、他システムで異常と判定された異常パケットと、その他システムで正常と判定された正常パケットと比較して、入力された異常パケットにおける異常バイトを推定する。例えば正常パケットおよび異常パケットは、それぞれ一つのオペレーションテクノロジの通信ネットワークで収集される。他システムは、任意の方法で、パケットの正常または異常を判定すればよく、本発明の実施の形態において、判定方法は問わない。
推定装置1は、モデルデータ11、正常ベクトルデータ群12、異常パケットデータ15、異常ベクトルデータ16、正常ベクトルデータ17および異常バイト18の各データと、変換部21、生成部22、抽出部23および推定部24の各機能を備える。各データは、メモリ902またはストレージ903に記憶される。各機能は、CPU901に実装される。
モデルデータ11は、パケットデータを、ベクトルデータに変換するモデルを特定する。ベクトルデータは、パケットデータの各バイトに、各バイトの値の特徴を表す各ベクトルを対応づける。モデルデータ11は、後述の生成部22によって、正常ベクトルデータ群12の複数の正常パケットデータの各バイトの値を学習して生成される。各バイトの値の特徴は、複数の正常パケットデータの各バイトの値と比較して算出される。
モデルデータ11は、入力されたパケットデータの各バイトを、それぞれのバイトの位置関係等を考慮して、適切な固定長のベクトルに変換するモデルを特定する。ここで適切な固定長のベクトルは、後述の推定部24において、異常ベクトルデータ16と正常ベクトルデータ17とを比較することによって異常バイト18を推定可能なベクトルを意味する。例えば図2に示すように、第1のバイトの値“2e”、第2のバイトの値“3f”、第3のバイトの値“00”・・・と、固定長のパケットデータがあるとする。このパケットデータの各バイトは、モデルによって、784次元ベクトルに変換される。図2に示す例においてモデルは、パケットデータの各バイトを、各バイトの値の特徴を表す784次元ベクトルに変換する。
モデルデータ11は、例えばBERT(Bidirectional Encoder Representations from Transformers)によって生成される。BERTは、自然言語処理モデルである。本発明の実施の形態において、パケットデータの各バイトが一つの単語とみなされる。BERTを用いて生成されたモデルによって、パケットデータは、ベクトルデータに変換される。
正常ベクトルデータ群12は、複数の正常ベクトルデータを含む。正常ベクトルデータは、モデルデータ11によって特定されるモデルを用いて、他システムにおいて正常と判定された正常パケットデータが変換されたデータである。正常ベクトルデータ群12は、生成部22がモデルデータ11を生成する際、または抽出部23が異常ベクトルデータ16に類似する正常ベクトルデータ17を抽出する際に参照される。正常ベクトルデータ群12に含まれる複数の正常ベクトルデータを、生成部22および抽出部23がともに参照しても良い。あるいは正常ベクトルデータ群12に含まれる複数の正常ベクトルデータを複数のグループにわけて、1つのグループを生成部22が参照し、別のグループを抽出部23が参照しても良い。
異常パケットデータ15は、他システムにおいて異常パケットと特定されたパケットのデータである。推定装置1は、1つの異常パケットデータ15について異常バイト18を推定する。
異常ベクトルデータ16は、異常パケットデータ15をモデルデータ11が特定するモデルで変換されたデータである。異常ベクトルデータ16は、異常パケットデータ15の各バイトの位置の識別子に、各バイトの値の特徴を表す各ベクトルを対応づける。
正常ベクトルデータ17は、正常ベクトルデータ群12に含まれる複数の正常ベクトルデータのうち、異常ベクトルデータ16と相対的に類似度が高いデータである。正常ベクトルデータ17は、正常ベクトルデータ群12に含まれる複数の正常ベクトルデータのうち、異常ベクトルデータ16と最も類似度が高い正常ベクトルデータである。あるいは正常ベクトルデータ17は、類似度が高い所定数の正常ベクトルデータのうちの一つである。
異常バイト18は、異常パケットデータ15の各バイトのうち、異常が推定されるバイトを特定するデータである。異常バイト18は、例えば、異常パケットデータ15の各バイトの位置を先頭から数えた順番で特定される。
変換部21は、モデルデータ11で特定されるモデルを用いて、異常パケットデータ15を異常ベクトルデータ16に変換する。例えば図2に示すように、変換部21は、異常パケットデータ15の各バイトの値を、784次元ベクトルに変換する。変換部21は、異常パケットデータ15の各バイトの位置と、そのバイトから変換された784次元ベクトルを対応づけて、異常ベクトルデータ16を出力する。
生成部22は、正常ベクトルデータ群12の複数の正常パケットデータの各バイトの値を学習して、モデルデータ11が特定するモデルを生成する。モデルは、パケットデータを、パケットデータの各バイトに、各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換する。生成部22は、例えば、BERTに従ってモデルを生成する。生成部22は、正常パケットデータにおける各バイトの値の特徴を、MLM(Masked Language Model)またはNSP(Next Sentence Prediction)などの補助タスクを解いて予備学習しても良い。MLMは、複数のバイトが欠落しているパケットにおいて、これらの欠落しているバイトの値を予測する。NSPは、2つのパケットデータが連続したパケットであるか否かを判定する。生成部22は、これらの補助タスクにより、パケット内のデータの妥当性および連続するパケットの妥当性を特定して、生成部22は、正常ベクトルデータを特定するモデルを生成する。ここに挙げる補助タスクは一例であって、生成部22は、その他の補助タスクを解いて学習しても良い。
抽出部23は、正常ベクトルデータ群12の複数の正常ベクトルデータから、異常ベクトルデータ16との類似度が相対的に高い正常ベクトルデータを抽出する。抽出部23は、抽出した正常ベクトルデータを、正常ベクトルデータ17とする。
類似度が相対的に高いとは、異常ベクトルデータ16とある正常ベクトルデータとの類似度が、異常ベクトルデータ16と他の正常ベクトルデータとの類似度よりも高いことを言う。抽出部23は、異常ベクトルデータ16との類似度が最も高い正常ベクトルデータを抽出しても良い。あるいは抽出部23は、異常ベクトルデータ16との類似度が高い所定数または所定割合の複数の正常ベクトルデータから、一つの正常ベクトルデータを抽出しても良い。
抽出部23は、異常ベクトルデータ16と、正常ベクトルデータ群12の各正常ベクトルデータとの類似度を算出する。抽出部23は、正常ベクトルデータ群12のうちの一部の正常ベクトルデータとの類似度を算出しても良い。例えば一部の正常ベクトルデータは、複数の正常パケットデータから、MMD-Critic(MMD:Maximum Mean Discrepancy)で複数の代表パケットデータを抽出し、抽出した各代表パケットデータをモデルで変換して得られた複数の正常ベクトルデータである。あるいは一部の正常ベクトルデータは、複数の正常パケットデータから異常パケットデータ15と同じパケット長の正常パケットデータを抽出し、抽出した各正常パケットデータをモデルで変換して得られた複数の正常ベクトルデータである。
モデルがBERTの場合、抽出部23は、類似度として、BERTScoreを用いても良い。あるいは、抽出部23は、異常ベクトルデータ16の各バイトについて、異常ベクトルデータ16のベクトルと正常ベクトルデータのベクトルとの類似度を算出して、各バイトについて算出された類似度から、異常ベクトルデータ16と正常ベクトルデータとの類似度を算出しても良い。各バイトのベクトル間の類似度は、Cosine類似度が用いられても良い。異常ベクトルデータ16と正常ベクトルデータ17の類似度は、例えば、各バイトについて算出された類似度の平均である。このとき、異常ベクトルデータ16のベクトルの数と、正常ベクトルデータ17のベクトルの数が異なる場合、少ないベクトルの数にあわせて、類似度が算出されても良い。なお各ベクトルデータのベクトルの数は、変換前のパケットデータのバイト数である。
推定部24は、異常ベクトルデータ16の各バイトに対応するベクトルと、抽出された正常ベクトルデータ17の各バイトに対応するベクトルとの類似度から、異常パケットデータ15における異常バイト18を推定する。
推定部24は、異常ベクトルデータ16に含まれる各ベクトルと正常ベクトルデータ17に含まれる各ベクトルとの間で、図6に示すようなCosine類似度行列を計算する。Cosine類似度行列の(n,m)成分は、異常ベクトルデータ16のnバイト目に対応するベクトルと、正常ベクトルデータ17のmバイト目に対応するベクトル間のCosine類似度である。
推定部24は、例えば、異常パケットデータ15の所定のバイトに対応するベクトルと、抽出された正常ベクトルデータ17の各バイトに対応するベクトルとの類似度のうち、最も高い類似度が所定の閾値よりも低い場合、所定のバイトを異常バイト18と推定する。異常パケットデータ15のi番目のバイトが異常バイトであるかどうかを以下のように推定する。mを正常パケットデータのパケット長とする。推定部24は、上記で算出したCosine類似度行列の(i, 1)成分, (i, 2)成分, (i, 3)成分, … (i, m)成分の各成分に着目する。推定部24は、各正文のうち最もCosine類似度が高い成分が、ある閾値以下であれば、i番目のバイトは異常バイト18であると推定する。
異常パケットデータ15のバイト数と、正常ベクトルデータ17の変換前のパケットデータのバイト数が同じ場合、異常パケットデータ15と正常ベクトルデータ17の同じバイトに対応する各ベクトルを比較しても良い。例えば異常パケットデータ15のi番目バイトが異常バイトであるか否かを推定する際、異常パケットデータ15のi番目のバイトに対応するベクトルデータと、正常パケットデータのi番目のバイトに対応するベクトルデータの類似度が、所定の閾値よりも低い場合、推定部24は、異常パケットデータ15のi番目のバイトを異常バイトと推定する。
推定部24が異常バイトであるか否かを判定するための閾値は、例えば、0.5等の固定値でも良い。あるいは閾値は、所定の計算により特定されても良い。例えば、互いに類似する2つの正常パケットのペアを複数抽出し、所定のバイトに対応する2つの正常パケットの各ベクトルの類似度のうち、最も低い類似度から、閾値が特定されても良い。
図3を参照して、本発明の実施の形態に係る推定装置1による推定方法を説明する。
ステップS1において推定装置1は、異常パケットデータ15を異常ベクトルデータ16に変換する。ステップS2において推定装置1は、正常ベクトルデータ群12から、ステップS1で変換した異常ベクトルデータ16に類似する正常ベクトルデータ17を抽出する。
異常ベクトルデータ16の各ベクトル、換言すると、異常パケットデータ15の各バイトに対応する各ベクトルについて、ステップS3ないしステップS5の処理を繰り返す。
ステップS2で抽出した正常ベクトルデータ17の各ベクトルについて、ステップS3の処理を繰り返す。ステップS3において推定装置1は、異常ベクトルデータ16の処理対象のベクトルと、正常ベクトルデータ17の処理対象のベクトルとの類似度を算出する。類似度が算出されると、処理はステップS4に進む。
ステップS4において推定装置1は、異常ベクトルデータ16の処理対象のベクトルと正常ベクトルデータ17の各ベクトルについて算出された複数の類似度のうち、最も高い類似度が、所定の閾値より低いか否かを判定する。最も高い類似度が所定の閾値より高い場合、推定装置1は、異常ベクトルデータ16の処理対象のベクトルは、異常バイトに対応しないと推定する。推定装置1は、次の処理対象のベクトルについてステップS3を処理する。
最も高い類似度が所定の閾値より低い場合、推定装置1は、異常ベクトルデータ16の処理対象のベクトルは、異常バイトに対応すると推定する。推定装置1は、ステップS6において、異常ベクトルデータ16の処理対象のベクトルに対応するバイトを、異常バイト18として出力する。
異常ベクトルデータ16の各ベクトルについてステップS3ないしステップS5の処理が終了すると、推定装置1は処理を終了する。
図4ないし図6を参照して、推定装置1の評価を説明する。推定装置1の評価において、仮想の評価システムを用いる。
評価システムは、図4に示すように4つのベルトコンベアC1-C4を矩形に配置し、PLC(Programmable Logic Controller)(図示せず)を用いて、荷物B1およびB2の移動を制御する。図4に示す各装置は、Modbus/TCPプロトコル等に従って、PLCに状態を通知するパケットを送信したり、PLCから駆動内容を指定するパケットを受信したりする。正常状態においてPLCは、センサS1-S4の検出状況に従ってプッシャーP1-P4を駆動することにより、ベルトコンベアC1-C4は、一定速度で反時計回りに荷物B1およびB2を運ぶ。ベルトコンベアの速度は、PLCによって逐次監視される。ベルトコンベアの速度が一定速度を超過すると、PLCにより、図4に示す各装置に対して緊急停止命令が発せられ、各装置は停止する。
例えば荷物B1は、ベルトコンベアC1上を移動する。このときベルトコンベアC1は、ベルトの移動速度を通知するパケットをPLCに送信する。荷物B1が、センサS1が出射するレーザー光に当接すると、センサS1は、荷物が到達したことを知らせるパケットをPLCに送信する。なお図4に示す例において、レーザー光は一点鎖線で示す。PLCは、パケットを受信すると、プッシャーP1をONにするパケットを送信する。プッシャーP1は、受信したパケットに従って、ボックスから延伸して、荷物B1をベルトコンベアC2まで運ぶ。センサS1が出射するレーザー光に荷物が当接しなくなると、センサS1は、荷物がないことを知らせるパケットをPLCに送信する。PLCは、パケットを受信すると、プッシャーP1をOFFにするパケットを送信する。プッシャーP1は、受信したパケットに従って、短縮してボックスに収容される。このような処理を各装置が繰り返すことにより、荷物B1は、図4に示すベルトコンベア上を反時計回りに移動する。荷物B2についても同様に、図4に示すベルトコンベア上を反時計回りに移動する。
PLCは、図4に示す各装置が正常に稼働している際に正常パケットデータを収集する。生成部22は、PLCによって収集された複数の正常パケットデータを学習して、モデルデータ11を生成する。評価システムにおいて、抽出部23は、PLCが収集した各正常パケットデータから変換された複数の正常ベクトルデータを参照する。また類似度の尺度として、BERTScoreF1を用いる。
速度が異常値になるように手動でベルトコンベアを早く動かすことで、異常状態を発生させる。PLCに、異常パケットデータ15として、この異常状態におけるベルトコンベアの速度を通知するパケットが入力される。
抽出部23は、異常パケットデータ15から変換された異常ベクトルデータ16に最も類似する正常ベクトルデータを抽出する。図5は、異常パケットデータ15と、抽出部23が抽出した正常ベクトルデータの変換前の正常パケットデータを比較して示す。
図5において1バイト目および2バイト目は、交信IDが設定される。交信IDは、図4に示すシステムにおいて送受信されるパケットを特定する識別子である。11バイト目は、ベルトコンベアの速度が設定される。図5に示す例において、1バイト目、2バイト目および11バイト目において、異常パケットと正常パケットの値は相違するが、それ以外のバイトの値は一致する。抽出部23は、異常ベクトルデータ16に最も類似する正常ベクトルデータを抽出したことがわかる。
図6は、異常パケットと正常パケットの各バイトのベクトル間の類似度行列である。図6から高い類似度は、対角線上に配置されていることがわかる。但し対角線上のうち、1バイト目同士、2バイト目同士および11バイト目同士を比較した類似度は、低い値を有する。異常パケットの1バイト目、2バイト目、または11バイト目が異常バイトの可能性があると考えられる。
一方、互いに類似する2つの正常パケットから変換された2つの正常ベクトルデータを比較した結果、同じバイトに対応するベクトルを比較した類似度のうち最も低い類似度が0.91であった。この0.91を、異常バイトを検出する際の閾値とする。
1バイト目および2バイト目の各類似度は、0.91より大きいので、推定部24は、1バイト目および2バイト目について異常バイトでないと推定する。1バイト目および2バイト目は、各パケットよって異なる交信IDが設定されることから、正常パケットと異常パケットとで異なる値が設定されても、閾値よりも高い類似度が算出される。
一方11バイト目の類似度は0.827で、0.91より小さいので、推定部24は、11バイト目を異常バイトと推定する。11バイト目は、ベルトコンベアの速度が設定される。推定部24によるこの推定は、手動でベルトコンベアを早く動かすことで異常状態を発生させた状況とも合致する。
このような本発明の実施の形態に係る推定装置1は、異常パケットデータ15における異常バイト18を推定することができる。これにより推定装置1は、ペイロードの内容の精緻な分析が可能になる。例えば産業系・ビル系等におけるオペレーショナルテクノロジの通信ネットワークなどに推定装置1を導入することにより、1バイトなどの少量の不正な書き換えも見逃さずに検知することが可能になる。
上記説明した本実施形態の推定装置1は、例えば、CPU(Central Processing Unit、プロセッサ)901と、メモリ902と、ストレージ903(HDD:Hard Disk Drive、SSD:Solid State Drive)と、通信装置904と、入力装置905と、出力装置906とを備える汎用的なコンピュータシステムが用いられる。このコンピュータシステムにおいて、CPU901がメモリ902上にロードされたプログラムを実行することにより、推定装置1の各機能が実現される。
なお、推定装置1は、1つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また推定装置1は、コンピュータに実装される仮想マシンであっても良い。
推定装置1のプログラムは、HDD、SSD、USB(Universal Serial Bus)メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。
なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。
1 推定装置
11 モデルデータ
12 正常ベクトルデータ群
15 異常パケットデータ
16 異常ベクトルデータ
17 正常ベクトルデータ
18 異常バイト
21 変換部
22 生成部
23 抽出部
24 推定部
901 CPU
902 メモリ
903 ストレージ
904 通信装置
905 入力装置
906 出力装置

Claims (6)

  1. パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換する変換部と、
    複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出する抽出部と、
    前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する推定部
    を備える推定装置。
  2. 前記モデルは、複数の正常パケットデータの各バイトの値を学習して生成される
    請求項1に記載の推定装置。
  3. 前記抽出部は、前記異常ベクトルデータの各バイトについて、前記異常ベクトルデータのベクトルと前記正常ベクトルデータのベクトルとの類似度を算出して、前記各バイトについて算出された類似度から、前記異常ベクトルデータと前記正常ベクトルデータとの類似度を算出する
    請求項1に記載の推定装置。
  4. 前記推定部は、前記異常パケットデータの所定のバイトに対応するベクトルと、前記抽出された正常ベクトルデータの各バイトに対応するベクトルとの類似度のうち、最も高い類似度が所定の閾値よりも低い場合、前記所定のバイトを前記異常バイトと推定する
    請求項1に記載の推定装置。
  5. コンピュータが、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換し、
    前記コンピュータが、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出し、
    前記コンピュータが、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する
    推定方法。
  6. コンピュータを、請求項1ないし請求項4のいずれか1項に記載の推定装置として機能させるためのプログラム。
JP2023504910A 2021-03-09 2021-03-09 推定装置、推定方法およびプログラム Active JP7568975B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2021/009228 WO2022190198A1 (ja) 2021-03-09 2021-03-09 推定装置、推定方法およびプログラム

Publications (3)

Publication Number Publication Date
JPWO2022190198A1 JPWO2022190198A1 (ja) 2022-09-15
JPWO2022190198A5 JPWO2022190198A5 (ja) 2023-11-06
JP7568975B2 true JP7568975B2 (ja) 2024-10-17

Family

ID=83226406

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023504910A Active JP7568975B2 (ja) 2021-03-09 2021-03-09 推定装置、推定方法およびプログラム

Country Status (6)

Country Link
US (1) US20240160445A1 (ja)
EP (1) EP4307637B1 (ja)
JP (1) JP7568975B2 (ja)
CN (1) CN117063440A (ja)
AU (1) AU2021432832B2 (ja)
WO (1) WO2022190198A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117296068B (zh) * 2021-05-17 2025-09-30 恩梯梯株式会社 估计装置、估计方法以及记录介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074339A (ja) 2005-09-07 2007-03-22 Tohoku Univ 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP2019110513A (ja) 2017-12-15 2019-07-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、学習方法、異常検知装置、および、学習装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4358848A (en) * 1980-11-14 1982-11-09 International Business Machines Corporation Dual function ECC system with block check byte
JP3976052B2 (ja) * 2005-05-19 2007-09-12 三菱電機株式会社 復号装置、復調復号装置、受信装置および復号方法
KR20090054140A (ko) * 2007-11-26 2009-05-29 주식회사 케이티 비정상 트래픽 감시 장치 및 방법
KR101021948B1 (ko) * 2010-11-10 2011-03-16 (주) 위즈네트 네트워크 보안 하드웨어 인터넷 패킷 처리장치
US9386030B2 (en) * 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
CN104318158A (zh) * 2014-07-09 2015-01-28 北京邮电大学 基于挖掘的网络智能平台恶意数据检测方法和装置
JP6955912B2 (ja) * 2017-06-19 2021-10-27 株式会社日立製作所 ネットワーク監視装置、そのシステム、およびその方法
JP6890498B2 (ja) * 2017-08-04 2021-06-18 株式会社日立製作所 ネットワーク装置、パケットを処理する方法、及びプログラム
US10785244B2 (en) * 2017-12-15 2020-09-22 Panasonic Intellectual Property Corporation Of America Anomaly detection method, learning method, anomaly detection device, and learning device
CN112789831B (zh) * 2018-11-21 2023-05-02 松下电器(美国)知识产权公司 异常检测方法以及异常检测装置
CN109617868B (zh) * 2018-12-06 2021-06-25 腾讯科技(深圳)有限公司 一种ddos攻击的检测方法、装置及检测服务器
CN110309133B (zh) * 2019-05-24 2023-08-22 平安银行股份有限公司 批量数据的处理方法和装置
JP7235967B2 (ja) * 2019-07-24 2023-03-09 富士通株式会社 ネットワーク分析プログラム、ネットワーク分析装置及びネットワーク分析方法
CN111031004B (zh) * 2019-11-21 2021-11-26 腾讯科技(深圳)有限公司 业务流量处理的方法、业务流量学习的方法、装置及系统
CN111783442B (zh) * 2019-12-19 2024-11-19 国网江西省电力有限公司电力科学研究院 入侵检测方法、设备和服务器、存储介质
CN111144470B (zh) * 2019-12-20 2022-12-16 中国科学院信息工程研究所 一种基于深度自编码器的未知网络流量识别方法及系统
KR102291869B1 (ko) * 2019-12-31 2021-08-19 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
TWI783229B (zh) * 2020-05-22 2022-11-11 國立臺灣大學 網路異常流量偵測裝置及網路異常流量偵測方法
US12021720B2 (en) * 2020-07-23 2024-06-25 Intel Corporation Methods and apparatus to generate dynamic latency messages in a computing system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074339A (ja) 2005-09-07 2007-03-22 Tohoku Univ 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム
JP2019110513A (ja) 2017-12-15 2019-07-04 パナソニック インテレクチュアル プロパティ コーポレーション オブ アメリカPanasonic Intellectual Property Corporation of America 異常検知方法、学習方法、異常検知装置、および、学習装置

Also Published As

Publication number Publication date
JPWO2022190198A1 (ja) 2022-09-15
AU2021432832B2 (en) 2024-09-26
EP4307637A4 (en) 2024-11-20
CN117063440A (zh) 2023-11-14
WO2022190198A1 (ja) 2022-09-15
AU2021432832A1 (en) 2023-09-14
EP4307637A1 (en) 2024-01-17
US20240160445A1 (en) 2024-05-16
EP4307637B1 (en) 2026-02-11

Similar Documents

Publication Publication Date Title
Polycarpou et al. Learning approach to nonlinear fault diagnosis: detectability analysis
KR102291869B1 (ko) 비정상 트래픽 패턴의 탐지 방법 및 장치
JP2018084854A (ja) センサデータ処理方法
JP5098821B2 (ja) 監視対象システムの障害等の予兆を検出する監視装置及び監視方法
JP6183450B2 (ja) システム分析装置、及び、システム分析方法
EP4231108A1 (en) Method and system for root cause identification of faults in manufacturing and process industries
JP5711675B2 (ja) ネットワーク異常検出装置およびネットワーク異常検出方法
CN111245848A (zh) 一种分层依赖关系建模的工控入侵检测方法
JP7031743B2 (ja) 異常検知装置
CN113220534A (zh) 集群多维度异常监控方法、装置、设备及存储介质
US20160277547A1 (en) Packet monitoring device and packet monitoring method for communication packet
JP7568975B2 (ja) 推定装置、推定方法およびプログラム
US12057996B2 (en) Combination rules creation device, method and program
CN115190191A (zh) 基于协议解析的电网工业控制系统及控制方法
US20170286841A1 (en) Monitoring device and monitoring method thereof, monitoring system, and recording medium in which computer program is stored
CN115688961A (zh) 基于深度学习的电力设备故障预测方法及系统
JP6858798B2 (ja) 特徴量生成装置、特徴量生成方法及びプログラム
WO2020202850A1 (ja) 情報処理装置
JP4559974B2 (ja) 管理装置及び管理方法及びプログラム
WO2022249842A1 (ja) 異常検知システム、異常検知方法およびプログラム
JP7269822B2 (ja) 通信監視装置及び通信監視方法
JP7533596B2 (ja) 検知装置、学習装置、検知方法、学習方法、検知プログラム及び学習プログラム
KR102768094B1 (ko) 데이터 전처리를 수행하는 데이터 분석 서버 및 이의 동작 방법
EP4542936A1 (en) Communications redundancy between network nodes
KR20260024078A (ko) 시계열 신호 데이터의 상관관계 비교를 통한 설비의 이상상태 판단 방법

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230810

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230810

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240903

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240916

R150 Certificate of patent or registration of utility model

Ref document number: 7568975

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350