WO2022014422A1

WO2022014422A1 - 通信監視方法、及び、通信監視システム

Info

Publication number: WO2022014422A1
Application number: PCT/JP2021/025530
Authority: WO
Inventors: 達海大庭; 裕幸岡田
Original assignee: Panasonic Intellectual Property Corp of America
Current assignee: Panasonic Intellectual Property Corp of America
Priority date: 2020-07-15
Filing date: 2021-07-06
Publication date: 2022-01-20
Anticipated expiration: 2023-01-15
Also published as: US20230141747A1; US12470576B2; JP7809637B2; EP4184875A1; JPWO2022014422A1; EP4184875A4; CN115804066A

Abstract

ネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出するステップ（Ｓ３３）と、抽出された第１の通信トリプレットが、予めホワイトリストとして記憶部に記憶された複数の第２の通信トリプレットであって送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットのいずれかに該当するか判定するステップ（Ｓ３４）と、第１の通信トリプレットが複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて第１の通信トリプレットが当該通信として出現する可能性をスコアとして推定するステップ（Ｓ３６）とを含む。

Description

通信監視方法、及び、通信監視システム

　本開示は、通信監視方法、及び、通信監視システムに関する。

　電力設備及び水処理設備などの重要インフラを、管理し制御するための産業用制御システム（ＩＣＳ：Industrial Control System）がある。

　近年まで、ＩＣＳは、企業のＩＴシステムネットワークまたはインターネットと分離されていたため、マルウェアまたはサイバー攻撃に対して安全であった。

　しかしながら、近年、重要インフラをリモート監視したり、リモート操作したりすること、及び、重要インフラから収集できるビッグデータを管理することへの要求が高まっている。このため、ＩＣＳにＩｏＴ（Internet of Things）が導入されて、ＩＣＳがＩＴシステムネットワークまたはインターネットに接続されること、すなわちＩＣＳネットワークを構成することが増加している。この結果、ＩＣＳネットワークにマルウェアが感染したり、サイバー攻撃がなされたりする事例が増加傾向にある。

　一方、ＩＣＳネットワーク内にあるデバイスにセキュリティ製品を導入することは困難であるため、ＩＣＳではネットワークベースのセキュリティ対策が主流である。ＩＣＳでは、ネットワークベースのセキュリティ対策の中でも、特にホワイトリストを用いた異常検知方法が有効とされているため、利用されることが多い（例えば非特許文献１及び非特許文献２参照）。例えば、ホワイトリストは、サーバのＩＰアドレス、ＴＣＰ／ＵＤＰポート番号、及びクライアントのＩＰアドレスなどの３つの組（以下、通信トリプレットと称する）で構成される。そして、ホワイトリストにない通信トリプレットが観察されたときにアラートが発せられることで、ＩＣＳのセキュリティ対策を行うことができる。

R. R. R. Barbosa, R. Sadre, and A. Pras, "Flow whitelisting in SCADA networks," International Journal of Critical Infrastructure Protection (IJCIP), vol. 6, no. 3-4, 2013. K. Stouffer, J. Falco, and K. Scarfone, "Guide to industrial control systems ICS security," NIST special publication, vol. 800, no. 82, 2011. Paxson, V., Campbell, S., & Lee, J. (2006). Bro intrusion detection system (No. Bro; 001905IBMPC00). Lawrence Berkeley National Laboratory. B. Yang,W. Yih, X. He, J. Gao, and L. Deng, "Embedding entities and relations for learning and inference in knowledge bases," in Proc. of International Conference on Learning Representations (ICLR), 2015. M. S. Schlichtkrull, T. N. Kipf, P. Bloem, R. van den Berg, I. Titov,and M. Welling, "Modeling relational data with graph convolutional networks," in Proc. of Extended Semantic Web Conference (ESWC), 2018. Shikhar Vashishth, Soumya Sanyal, Vikram Nitin, Partha Talukdar, "Composition-based Multi-Relational Graph Convolutional Networks" ICLR 2020 Conference Blind Submission. T. Dettmers, P. Minervini, P. Stenetorp, and S. Riedel, "Convolutional 2d knowledge graph embeddings," in Proc. of Association for the Advancement of Artificial Intelligence (AAAI), 2018. A. Bordes, N. Usunier, A. Garc´ia-Dur´an, J. Weston, and O. Yakhnenko, "Translating embeddings for modeling multi-relational data," in Proc. of Conference and Workshop on Neural Information Processing Systems (NIPS), 2013. Nickel, Maximilian, Rosasco, Lorenzo, and Poggio,Tomaso A. Holographic embeddings of knowledge graphs. In Proceedings of the Thirtieth AAAI Conference on Artificial Intelligence, pp. 1955-1961, 2016b. Theo Trouillon, Johannes Welbl, Sebastian Riedel, Eric Gaussier, Guillaume Bouchard, "Complex Embeddings for Simple Link Prediction" ICML'16: Proceedings of the 33rd International Conference on International Conference on Machine Learning - Volume 48June 2016 Pages 2071-2080.

　非特許文献１及び非特許文献２に開示される異常検知方法は、正常な通信トリプレットをホワイトリストとして保持し、ホワイトリストにない通信トリプレットを異常な通信トリプレットとして検出するという方法であるものの、誤検知が多いという問題がある。セキュリティ監視者は、検出されアラートが発せられた異常な通信トリプレットが、ＩＣＳネットワークにマルウェアが感染したり、サイバー攻撃がなされたり等のセキュリティ上重要なアラートであるかを分析する必要がある。このため、セキュリティ監視者は、誤った多くのアラートに対処することを余儀なくされることになる。換言すると、非特許文献１及び非特許文献２に開示される異常検知方法は、ＩＣＳネットワークのセキュリティ監視者に、大きな分析負荷をかけるので、実用的な運用を行うことが難しい。

　本開示は、上述の事情を鑑みてなされたもので、ネットワークの通信に対する誤検知を抑制できる通信監視方法、及び、通信監視システムを提供することを目的とする。

　上記課題を解決するために、本開示の一態様に係る通信監視方法は、ネットワークの通信を監視する通信監視方法であって、前記通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出するステップと、抽出された前記第１の通信トリプレットが、ホワイトリストとして記憶部に予め記憶された複数の第２の通信トリプレットであって送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットのいずれかに該当するか判定するステップと、前記第１の通信トリプレットが前記複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて前記第１の通信トリプレットが前記通信として出現する可能性をスコアとして推定して出力するステップとを含む。

　なお、これらの全般的または具体的な態様は、システム、方法、集積回路、コンピュータプログラムまたはコンピュータで読み取り可能なＣＤ－ＲＯＭなどの記録媒体で実現されてもよく、システム、方法、集積回路、コンピュータプログラムおよび記録媒体の任意な組み合わせで実現されてもよい。

　本開示によれば、ネットワークの通信に対する誤検知を抑制できる通信監視方法等を実現できる。

図１は、実施の形態に係る通信監視システムの構成の一例を示すブロック図である。図２は、実施の形態に係る通信監視装置の構成の一例を示すブロック図である。図３は、実施の形態に係る通信監視装置の機能をソフトウェアにより実現するコンピュータのハードウェア構成の一例を示す図である。図４は、実施の形態に係る通信トリプレットの一例を示す図である。図５は、実施の形態に係る通信トリプレットの一例を示す図である。図６Ａは、実施の形態に係るホワイトリストの一例である。図６Ｂは、実施の形態に係るホワイトリストのマルチグラフを示す図である。図６Ｃは、実施の形態に係る監視対象の通信トリプレットのスコアリング処理結果の一例を示す図である。図７は、実施の形態に係る通信監視システムの処理のフレームワークを示す図である。図８Ａは、実施の形態に係る通信監視システムが実行する準備処理フェーズにおける処理の一例を概念的に示す図である。図８Ｂは、実施の形態に係る通信監視システムが実行する学習処理フェーズにおける処理の一例を概念的に示す図である。図８Ｃは、実施の形態に係る通信監視システムが実行するスコアリング処理フェーズにおける処理の一例を概念的に示す図である。図９は、実施の形態における通信監視システムの動作概要を示すフローチャートである。図１０は、図９に示す学習用通信トリプレット抽出処理の詳細を示すフローチャートである。図１１は、図９に示す学習処理の詳細を示すフローチャートである。図１２は、図１１に示す学習処理を実行するためのアルゴリズム１を示す図である。図１３は、図９に示すスコアリング処理の詳細を示すフローチャートである。図１４は、図１３に示すスコアリング処理を実行するためのアルゴリズム２を示す図である。図１５は、実施例に係るデータセットの性質を示す図である。図１６は、実施例に係るテスト用の通信トリプレットを用いて予測されたリンク予測の評価結果を示す図である。図１７は、実施例に係るテスト用の通信トリプレットを用いて出力されたスコアに基づくリンク区別能力の評価を示す図である。図１８は、変形例に係る学習装置部の構成の一例を示すブロック図である。図１９は、変形例に係る学習時にマルチグラフを構築したときのリンクと、推定された異常度を示すスコアとを示す図である。図２０は、変形例に係る学習装置部を含む通信監視システムの動作概要を示すフローチャートである。図２１は、図２０に示す異常度確認処理の詳細例を示すフローチャートである。図２２は、図２０に示す異常度確認処理の他の詳細例を示すフローチャートである。

　本開示の一形態に係る通信監視方法は、ネットワークの通信を監視する通信監視方法であって、前記通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出するステップと、抽出された前記第１の通信トリプレットが、ホワイトリストとして記憶部に予め記憶された複数の第２の通信トリプレットであって送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットのいずれかに該当するか判定するステップと、前記第１の通信トリプレットが前記複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて前記第１の通信トリプレットが前記通信として出現する可能性をスコアとして推定して出力するステップとを含む。

　これによれば、ホワイトリストにない通信トリプレットの出現可能性をスコアにより定量化することで、セキュリティの観点から分析すべき重要な通信トリプレットを絞ることができる。よって、ネットワークの通信に対する誤検知を抑制できる。

　また、例えば、出力するステップでは、前記スコアが閾値以下である場合、前記通信が疑わしい通信である旨を示す監視結果を出力してもよい。

　これにより、ネットワークの通信に対する誤検知を抑制できる。

　また、例えば、前記スコアを推定する際、前記学習済のモデルに、前記第１の通信トリプレットを構成する３つの組の集合を、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類とするマルチグラフに変換させ、かつ、前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせることで、前記第１の通信トリプレットの各要素のベクトル表現を獲得させ、獲得させた前記第１の通信トリプレットのベクトル表現から、前記スコアを推定させてもよい。

　これにより、ホワイトリストにない通信トリプレットのスコア推定を、精度よく行うことができる。

　ここで、例えば、前記モデルは、R-GCN（Relational Graph Convolutional Network）で構成されてもよい。

　また、例えば、前記スコアを推定する際、前記学習済のモデルに、前記第１の通信トリプレットを構成する３つの組の集合を、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類とするマルチグラフに変換させ、前記マルチグラフから、前記第１の通信トリプレットのベクトル表現を獲得させ、獲得させた前記第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、前記スコアを推定させてもよい。

　ここで、例えば、前記モデルは、COMPGCN（COMPosition-based multi-relational Graph Convolutional Networks）で構成されてもよい。

　また、例えば、前記スコアを推定する際、前記学習済のモデルに、前記第１の通信トリプレットを構成する３つの組の集合から、前記第１の通信トリプレットのベクトル表現を獲得させ、獲得させた前記第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、前記スコアを推定させてもよい。

　ここで、例えば、前記モデルは、DistMult、convE（convolutional 2D Knowledge Graph Embeddings）、TransE（Translating Embeddings for Modeling Multi-relational Data）、HolE（Holographic Embeddings of Knowledge Graphs）、及び、ComplEx（Complex Embeddings for Simple Link Prediction）のいずれかで構成されてもよい。

　また、例えば、前記送信元デバイスを示す情報は、送信元デバイスであるサーバのＩＰアドレスであり、前記宛先デバイスを示す情報は、宛先デバイスであるクライアントのＩＰアドレスであり、前記通信種別を示す情報は、ＴＣＰ／ＵＤＰのポート番号またはアラート種別を含むとしてもよい。

　これにより、ホワイトリストにない通信トリプレットの出現可能性を、マルチグラフのリンク予測問題として取り扱うことができるので、ホワイトリストにない通信トリプレットのスコアを推定することができる。

　また、例えば、前記送信元デバイスを示す情報は、送信元デバイスのＭＡＣアドレスまたはシリアル番号であり、前記宛先デバイスを示す情報は、宛先デバイスのＭＡＣアドレスまたはシリアル番号であり、前記通信種別を示す情報は、送信元デバイス及び宛先デバイスの間でやりとりする通信命令の種別またはアラート種別を含むとしてもよい。

　また、例えば、前記通信監視方法は、前記抽出するステップの前において、さらに、所定期間のネットワークの通信から、前記第２の通信トリプレットを取得するステップと、取得した前記第２の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行うステップとを含むとしてもよい。

　また、例えば、前記通信監視方法は、前記抽出するステップの前において、さらに、所定期間のネットワークの通信から、前記第２の通信トリプレットを取得するステップと、取得した前記第２の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行うステップと、学習済の前記モデルを用いて取得した前記第２の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップとを含むとしてもよい。

　これにより、第２の通信トリプレットそれぞれに対する異常度を示すスコアを確認できるので、学習期間としての所定期間のネットワークの通信から取得し、学習用データとして用いた第２の通信トリプレットに異常なものが含まれていないかを確認できる。

　また、例えば、前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させる学習処理では、前記第２の通信トリプレットを構成する３つの組の集合から、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類としてマルチグラフを構築し、構築した前記マルチグラフを前記モデルに入力し、前記モデルに前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせ、前記第２の通信トリプレットのベクトル表現を獲得させる学習を行ってもよい。

　また、例えば、前記学習用データとして用いられる前記第２の通信トリプレットには、前記通信種別として、当該通信種別に加えて前記所定期間のネットワークの通信に関する特徴量を含めてもよい。

　これにより、モデルが獲得するベクトル表現の精度を向上させることができ、学習済のモデルが推定するスコアの精度を向上させることができる。

　ここで、例えば、前記特徴量は、前記所定期間のネットワークの通信における単位時間あたり通信量及び通信時間間隔の中央値の少なくとも一方を含む。

　また、例えば、前記通信監視方法は、前記抽出するステップの前において、さらに、所定期間のネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及び通信種別を示す情報からなる３つの組で構成される複数の第３の通信トリプレットを取得するステップと、取得した前記複数の第３の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる学習処理を行うステップと、学習済の前記モデルを用いて前記複数の第３の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップと、前記複数の第３の通信トリプレットから前記異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、前記複数の第２の通信トリプレットとして前記記憶部に記憶するステップとを含むとしてもよい。

　これにより、推定した異常度を示すスコアを用いて、学習期間としての所定期間のネットワークの通信から取得した複数の第３の通信トリプレットから異常な第３の通信トリプレットを除いたものをホワイトリスト（複数の第２の通信トリプレット）として記憶させることができる。

　また、例えば、前記通信監視方法は、前記抽出するステップの前において、さらに、所定期間のネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及び通信種別を示す情報からなる３つの組で構成される複数の第３の通信トリプレットを取得するステップと、取得した前記複数の第３の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる学習処理を行うステップと、学習済の前記モデルを用いて前記複数の第３の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップと、前記複数の第３の通信トリプレットから前記スコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、再学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる再学習処理を行うステップと、前記複数の第３の通信トリプレットから前記異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、前記複数の第２の通信トリプレットとして前記記憶部に記憶するステップとを含むとしてもよい。

　これにより、推定した異常度を示すスコアを用いて、学習期間としての所定期間のネットワークの通信から取得した複数の第３の通信トリプレットから異常な第３の通信トリプレットを除いたものをホワイトリスト（複数の第２の通信トリプレット）として記憶させることができる。さらに、当該複数の第３の通信トリプレットから異常な第３の通信トリプレットを除いたものを再学習用データとして用いて、モデルを再学習させることができる。そして、再学習されたモデルを用いることにより、スコアリング処理の際に、異常な通信トリプレットを見逃してしまう可能性を抑制できる。

　ここで、例えば、学習処理または再学習処理では、前記第３の通信トリプレットを構成する３つの組の集合から、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類としてマルチグラフを構築し、構築した前記マルチグラフを前記モデルに入力し、前記モデルに前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせ、前記第２の通信トリプレットのベクトル表現を獲得させる学習を行う。

　また、本開示の一形態に係る通信監視システムは、ネットワークの通信を監視する通信監視システムであって、前記通信から、送信元デバイスを示す情報、宛先デバイスを示す情報及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出する抽出部と、ホワイトリストとして、送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットが予め記憶されている記憶部と、抽出された前記第１の通信トリプレットが、前記複数の第２の通信トリプレットのいずれかに該当するか判定し、前記第１の通信トリプレットが前記複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて前記第１の通信トリプレットが前記通信として出現する可能性をスコアとして推定して出力するスコアリング部とを備える。

　以下で説明する実施の形態は、いずれも本開示の一具体例を示すものである。従って、以下の実施の形態で示される数値、形状、材料、構成要素、構成要素の配置および接続形態等は、一例であって本開示を限定する主旨ではない。また、以下の実施の形態における構成要素のうち、本開示の一形態に係る実現形態を示す独立請求項に記載されていない構成要素については、任意の構成要素として説明される。本開示の実現形態は、現行の独立請求項に限定されるものではなく、他の独立請求項によっても表現され得る。

　（実施の形態）
　以下では、図面を参照しながら、実施の形態について説明する。

　［１．通信監視システム１００］
　図１は、本実施の形態に係る通信監視システム１００の構成の一例を示すブロック図である。

　通信監視システム１００は、コンピュータ等で実現され、学習用パケット群に含まれる通信トリプレットなどの情報をもとに、分析対象パケット群に含まれる通信トリプレットに対してスコアリング処理を行い、推定したスコアを出力する。ここで、スコアは、当該通信トリプレットが、ネットワークの通信として出現する可能性（自然さ）を定量的に表現したものである。

　本実施の形態では、通信監視システム１００は、図１に示すように、コネクション取得部１１と、通信トリプレット抽出部１２と、スコアリング部１３と、コネクション取得部２１と、通信トリプレット抽出部２２と、学習部２３と、記憶部３１と、記憶部３２とを備える。なお、コネクション取得部２１、通信トリプレット抽出部２２、学習部２３、記憶部３１、及び、記憶部３２は、図１に示すように、学習装置部２を構成する。また、コネクション取得部１１、通信トリプレット抽出部１２、及び、スコアリング部１３は、図２に示す通信監視装置１を構成する。以下では、まず、通信監視装置１について説明する。

　［１．１　通信監視装置１］
　図２は、本実施の形態に係る通信監視装置１の構成の一例を示すブロック図である。

　通信監視装置１は、図３に示すコンピュータ１０００等で実現され、ネットワークの通信を監視する。

　［１．２　通信監視装置１のハードウェア構成］
　図３は、本実施の形態に係る通信監視装置１の機能をソフトウェアにより実現するコンピュータ１０００のハードウェア構成の一例を示す図である。

　図３に示すコンピュータ１０００は、入力装置１００１、出力装置１００２、ＣＰＵ１００３、内蔵ストレージ１００４、ＲＡＭ１００５、読取装置１００７、送受信装置１００８及びバス１００９を備えるコンピュータである。入力装置１００１、出力装置１００２、ＣＰＵ１００３、内蔵ストレージ１００４、ＲＡＭ１００５、読取装置１００７及び送受信装置１００８は、バス１００９により接続される。

　入力装置１００１は入力ボタン、タッチパッド、タッチパネルディスプレイなどといったユーザインタフェースとなる装置であり、ユーザの操作を受け付ける。なお、入力装置１００１は、ユーザの接触操作を受け付ける他、音声での操作、リモコン等での遠隔操作を受け付ける構成であってもよい。

　内蔵ストレージ１００４は、フラッシュメモリなどである。また、内蔵ストレージ１００４は、通信監視装置１の機能を実現するためのプログラム、及び、通信監視装置１の機能構成を利用したアプリケーションの少なくとも一方が、予め記憶されていてもよい。

　ＲＡＭ１００５は、ランダムアクセスメモリ（Random Access Memory）であり、プログラム又はアプリケーションの実行に際してデータ等の記憶に利用される。

　読取装置１００７は、ＵＳＢ（Universal Serial Bus）メモリなどの記録媒体から情報を読み取る。読取装置１００７は、上記のようなプログラムやアプリケーションが記録された記録媒体からそのプログラムやアプリケーションを読み取り、内蔵ストレージ１００４に記憶させる。

　送受信装置１００８は、無線又は有線で通信を行うための通信回路である。送受信装置１００８は、例えばネットワークに接続されたクラウドやサーバ装置と通信を行い、上記のようなプログラムやアプリケーションをダウンロードして内蔵ストレージ１００４に記憶させてもよい。

　ＣＰＵ１００３は、中央演算処理装置（Central Processing Unit）であり、内蔵ストレージ１００４に記憶されたプログラム、アプリケーションをＲＡＭ１００５にコピーし、そのプログラムやアプリケーションに含まれる命令をＲＡＭ１００５から順次読み出して実行する。

　［１．３　通信監視装置１の構成］
　通信監視装置１は、図２に示すように、コネクション取得部１１と、通信トリプレット抽出部１２と、スコアリング部１３と、記憶部３０とを備える。以下、各構成要素について説明する。

　［１．３．１　コネクション取得部１１］
　コネクション取得部１１は、ネットワークの通信から、コネクション情報を取得する。

　図２に示す例では、コネクション取得部１１は、ネットワークの通信における分析対象パケット群から、コネクション情報を取得する。ここで、コネクション情報は、通信を行う機器の間またはソフトウェアの間に確立された仮想的な専用通信路に関する情報である。コネクション情報は、例えば、どのノード（デバイス）からどのノード（デバイス）へ、どんなポートを使用してコネクションを確立しているかなどを示す情報である。

　コネクション取得部１１は、例えば非特許文献３に開示される技術を利用すればよく、conn.logというファイルを取得することで、コネクション情報を取得することができる。

　［１．３．２　通信トリプレット抽出部１２］
　通信トリプレット抽出部１２は、ネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出する。

　図２に示す例では、通信トリプレット抽出部１２は、コネクション取得部１１により取得されたコネクション情報から、第１の通信トリプレットとしての通信トリプレットを抽出する。

　図４及び図５は、本実施の形態に係る通信トリプレットの一例を示す図である。

　通信トリプレットは、監視対象となるＩＣＳネットワークの通信で観察されたものであり、例えば図４に示すように、サーバのＩＰアドレス、ＴＣＰ／ＵＤＰポート番号、及びクライアントのＩＰアドレスの３つの組で構成される。なお、通信トリプレットは、図４に示される例で構成される場合に限らず、図５に示すようにアラート種別を含んで構成されてもよい。

　すなわち、送信元デバイスを示す情報は、送信元デバイスであるサーバのＩＰアドレスであり、宛先デバイスを示す情報は、宛先デバイスであるクライアントのＩＰアドレスであり、通信種別を示す情報は、ＴＣＰ／ＵＤＰのポート番号またはアラート種別を含んでいてもよい。

　また、通信トリプレットは、図４及び図５に示される例の組み合わせで構成される場合に限定されない。ＭＡＣアドレスまたは機器のシリアル番号などといったデバイスを特定する情報、write、readなどの利用する通信命令の種別といったデバイス間でやりとりする情報の区分、プロトコル名を組み合わせて構成してもよい。具体的には、通信トリプレットにおいて、送信元デバイスを示す情報は、送信元デバイスのＭＡＣアドレスまたはシリアル番号であり、宛先デバイスを示す情報は、宛先デバイスのＭＡＣアドレスまたはシリアル番号であってもよい。また、通信種別を示す情報は、送信元デバイス及び宛先デバイスの間でやりとりする通信命令の種別またはアラート種別を含んでもよい。

　［１．３．３　記憶部３０］
　記憶部３０は、例えば、ハードディスクドライブまたはソリッドステートドライブ等の書き換え可能な不揮発性のメモリで構成される。

　記憶部３０は、ホワイトリストとして複数の第２の通信トリプレットが予め記憶されている。ここで、複数の第２の通信トリプレットのそれぞれは、送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組で構成される。

　本実施の形態では、記憶部３０は、ホワイトリスト３０１ａと、学習済のモデル３０２とを記憶している。ホワイトリスト３０１ａには、複数の第２の通信トリプレットが保持されており、図１に示す学習用通信トリプレット３０１と同じもの（複数の通信トリプレット）である。また、学習済のモデル３０２は、図１に示す学習部２３により学習されたモデル３０２と同じものである。

　なお、図２に示す例では、記憶部３０は、記憶部３１と記憶部３２と別体であるとして示しているが、記憶部３１と記憶部３２を含む構成であってもよい。

　［１．３．４　スコアリング部１３］
　スコアリング部１３は、ホワイトリスト３０１ａに存在しない通信をスコアリング処理する。具体的には、スコアリング部１３は、抽出された第１の通信トリプレットが、ホワイトリストとして記憶部３０に記憶された複数の第２の通信トリプレットのいずれかに該当するか判定する。また、スコアリング部１３は、第１の通信トリプレットが複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデル３０２を用いて第１の通信トリプレットが通信として出現する可能性をスコアとして推定して出力する。

　ここで、スコアリング部１３は、スコアが閾値以下である場合、当該通信が疑わしい通信である旨を示す監視結果を出力してもよい。モデル３０２は、例えばR－GCN（Relational Graph Convolutional Network)で構成される。

　本実施の形態では、スコアリング部１３は、通信トリプレット抽出部１２により抽出された通信トリプレットが、ホワイトリスト３０１ａに含まれているかを判定する。

　スコアリング部１３は、通信トリプレット抽出部１２により抽出された通信トリプレットが、ホワイトリスト３０１ａに含まれている場合、抽出された当該通信トリプレットをスコアリング処理の対象から外して、スコアリング処理をスキップしてもよい。抽出された当該通信トリプレットがホワイトリスト３０１ａに含まれている場合、抽出された当該通信トリプレットにおける通信は正常（疑わしい通信でない）であると判定できるからである。なお、スコアリング部１３は、抽出された当該通信トリプレットが、ホワイトリスト３０１ａに含まれている場合、抽出された当該通信トリプレットにおける通信が正常（疑わしい通信でない）である旨を示すスコアを監視結果として出力してもよい。

　一方、スコアリング部１３は、抽出された当該通信トリプレットが、ホワイトリスト３０１ａに含まれていない場合、学習済のモデル３０２を用いて、抽出された当該通信トリプレットに対してスコアリング処理を行う。スコアリング部１３は、抽出された当該通信トリプレットのスコアすなわち抽出された当該通信トリプレットが通信として出現する可能性を推定したスコアを出力する。

　なお、スコアリング部１３は、さらに、抽出された当該通信トリプレットを構成する３つの組のいずれかが初観測された場合すなわちホワイトリスト３０１ａに含まれていない場合、抽出された当該通信トリプレットをスコアリング処理の対象から外してもよい。この場合、スコアリング部１３は、当該通信トリプレットにおける通信は疑わしい通信である旨を示すスコアを監視結果として出力してもよいし、当該通信トリプレットにおける通信は疑わしい通信である旨の通知を出力してもよい。

　以下、抽出された当該通信トリプレットに対して行うスコアリング処理の詳細（内部処理）について説明する。

　すなわち、スコアリング部１３は、学習済のモデル３０２に、監視対象の通信トリプレットに含まれる各要素を入力することで、監視対象の当該通信トリプレットの各要素のベクトル表現を獲得させる。そして、スコアリング部１３は、学習済のモデル３０２に、獲得させた監視対象の当該通信トリプレットのベクトル表現から、スコアを推定させて出力する。

　続いて、抽出された当該通信トリプレットすなわち監視対象の通信トリプレットに対するスコアリング処理の一例について図を用いて説明する。

　図６Ａは、本実施の形態に係るホワイトリスト３０１ａの一例である。図６Ｂは、本実施の形態に係るホワイトリスト３０１ａのマルチグラフを示す図である。図６Ｃは、本実施の形態に係る監視対象の通信トリプレットのスコアリング処理結果の一例を示す図である。

　図６Ａに示す例では、ホワイトリスト３０１ａは、送信元デバイス、通信種別及び宛先デバイスの３つの組でそれぞれ構成される４つの通信トリプレットが保持されている。この場合、学習済のモデル３０２は、ホワイトリスト３０１ａにおける４つの通信トリプレットを、図６Ｂに示すマルチグラフに変換し、かつ、当該マルチグラフの各ノードを固定次元のベクトル表現にマッピングした情報を有している。つまり、学習済のモデル３０２は、図６Ａにおける送信元デバイス及び宛先デバイスであるＡ、Ｂ、Ｃ及びＤをノードとし、通信種別であるＨＴＴＰ、ＳＭＢ及びＭＳＳＱＬをエッジの種類とした図６Ｂに示すマルチグラフ構造の情報を有している。また、学習済のモデル３０２は、図６Ｂに示すマルチグラフの各ノードが固定次元のベクトル表現にマッピングされた情報を有している。

　ここで、監視対象（分析対象）の通信トリプレットの３つの組が、例えばＡ、ＭＳＳＱＬ及びＤであるとする。この場合、スコアリング部１３は、学習済のモデル３０２を用いて、図６Ｃに示すように、図６Ｂに示すマルチグラフのノードＡ及びノードＣに、ＭＳＳＱＬを示すエッジを追記する。また、スコアリング部１３は、学習済のモデル３０２を用いて、ノードＡ及びノードＣを結ぶＭＳＳＱＬを示すエッジが通信として出現する可能性を監視対象の通信トリプレットのスコアとして推定させる。図６Ｃに示す例では、監視対象の通信トリプレットのスコアが１．３である。なお、スコアが大きいほど正常（疑わしい通信でない）であることを示すため、閾値以下では異常（疑わしい通信）であると判定することができる。また、閾値は例えばゼロと定めることができる。図６Ｃに示す例では、スコアが１．３であり、閾値より大きいため、監視対象の通信トリプレットにおける通信は正常（疑わしい通信でない）であると判定される。

　［１．４　学習装置部２の構成］
　続いて、学習装置部２について説明する。

　学習装置部２は、上述したように、コネクション取得部２１、通信トリプレット抽出部２２、学習部２３、記憶部３１、及び、記憶部３２とを備える。

　［１．４．１　コネクション取得部２１］
　コネクション取得部２１は、ネットワークの通信から、コネクション情報を取得する。図１に示す例では、コネクション取得部２１は、ネットワークの通信における学習用パケット群から、コネクション情報を取得する。コネクション取得部２１がコネクション情報を取得する方法は、コネクション取得部１１で説明した通りであるので、ここでの説明を省略する。

　［１．４．２　通信トリプレット抽出部２２］
　通信トリプレット抽出部２２は、所定期間のネットワークの通信から、第２の通信トリプレットを取得する。図１に示す例では、通信トリプレット抽出部２２は、コネクション取得部２１により取得されたコネクション情報から、通信トリプレットを抽出し、学習用通信トリプレット３０１として記憶部３１に記憶する。

　通信トリプレット抽出部２２は、抽出された通信トリプレットが学習用通信トリプレット３０１として記憶されている場合（既に観測された場合）、学習用通信トリプレット３０１に追加しない。つまり、通信トリプレット抽出部２２は、抽出された通信トリプレットが学習用通信トリプレット３０１として記憶されていない場合（未観測の場合）、学習用通信トリプレット３０１に追加し蓄積することで、学習用通信トリプレット３０１を取得する。

　［１．４．３　記憶部３１］
　記憶部３１は、例えば、ハードディスクドライブまたはソリッドステートドライブ等の書き換え可能な不揮発性のメモリで構成され、学習用通信トリプレット３０１を記憶する。なお、学習用通信トリプレット３０１は、上述したようにスコアリング部１３のホワイトリスト３０１ａとして用いられる。

　［１．４．４　記憶部３２］
　記憶部３２は、例えば、ハードディスクドライブまたはソリッドステートドライブ等の書き換え可能な不揮発性のメモリで構成され、モデル３０２を記憶する。モデル３０２は、上述したように、例えばR－GCNで構成される。モデル３０２は、学習部２３により学習処理される。

　［１．４．５　学習部２３］
　学習部２３は、記憶部３１に記憶された学習用通信トリプレット３０１を用いて、記憶部３２に記憶されたモデル３０２に対して学習処理を行う。そして、学習部２３は、記憶部３２に記憶されたモデル３０２を、学習済のモデル３０２に更新する。

　本実施の形態では、学習部２３は、第２の通信トリプレットを、学習用データとして用いて、モデル３０２に、第２の通信トリプレットのベクトル表現を獲得させ、かつ、所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行う。

　ここで、学習部２３は、第２の通信トリプレットを構成する３つの組の集合から、送信元デバイスを示す情報及び宛先デバイスを示す情報をノード、通信種別を示す情報をエッジの種類とするマルチグラフを構築する。学習部２３は、構築したマルチグラフをモデル３０２に入力することで、モデル３０２に当該マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせて、第２の通信トリプレットのベクトル表現を獲得させる学習を行う。

　なお、学習用データとして用いられる第２の通信トリプレットには、通信種別として、当該通信種別に加えて所定期間のネットワークの通信に関する特徴量を含んでもよい。この特徴量は、所定期間のネットワークの通信における単位時間あたり通信量及び通信時間間隔の中央値の少なくとも一方を含んでもよい。これにより、学習部２３は、モデル３０２が獲得するベクトル表現の精度を向上させることができ、学習済のモデル３０２が推定するスコアの精度を向上させることができる。

　［２．通信監視システム１００の処理例等］
　続いて、以上のように構成された学習装置部２と通信監視装置１の構成とを含む通信監視システム１００の処理例等について説明する。

　図７は、本実施の形態に係る通信監視システム１００の処理のフレームワークを示す図である。図１及び図２と同様の要素には同一の符号を付している。図７に示すように、通信監視システム１００の処理は、準備処理フェーズと、学習処理フェーズと、スコアリング処理フェーズとに分けることができる。

　図８Ａは、本実施の形態に係る通信監視システム１００が実行する準備処理フェーズにおける処理の一例を概念的に示す図である。

　通信監視システム１００は、図８Ａの（ａ）に示されるように、例えばＩＣＳネットワークの通信を監視しており、ＩＣＳネットワークの通信のミラーパケット（学習用パケット群）から、コネクション情報を取得する。コネクション情報は、図８Ａの（ｂ）に示されるように、例えば、ｔ１～ｔ４それぞれの時間におけるサーバＩＰ（サーバのＩＰアドレス）、サーバのポート番号、プロトコル及びクライアントＩＰ（クライアントのＩＰアドレス）を示す情報を有している。なお、監視対象のＩＣＳネットワークの一部のデバイスがゲートウェイを介してインターネットと通信することが許可されている場合、インターネット内のさまざまなデバイスのＩＰアドレスが存在することになる。この場合、通信監視システム１００は、監視対象のＩＣＳネットワークの外部にあるデバイスを除外したコネクション情報を取得する。また、クライアントのポート番号は、パケットによっては異なる場合も多いため、本実施の形態ではクライアントのポート番号をコネクション情報に含めない。

　次に、通信監視システム１００は、取得したコネクション情報から４つの通信トリプレットを抽出する。４つの通信トリプレットそれぞれは、図８Ａの（ｃ）に示されるように、送信元デバイス、通信種別及び宛先デバイスからなる３つの組で構成される。なお、通信監視システム１００は、図８Ａの（ｃ）に示される４つの通信トリプレットを、学習用通信トリプレット３０１として記憶部３１に記憶する。

　図８Ｂは、本実施の形態に係る通信監視システム１００が実行する学習処理フェーズにおける処理の一例を概念的に示す図である。

　通信監視システム１００は、記憶部３１から学習用通信トリプレット３０１を取得し、学習用通信トリプレット３０１を用いて、モデル３０２に対して学習処理を行う。

　より具体的には、まず、通信監視システム１００は、図８Ａの（ｃ）に示される学習用通信トリプレット３０１を取得し、取得した学習用通信トリプレットから、図８Ｂの（ａ）に示されるマルチグラフを構築する。次に、通信監視システム１００は、図８Ｂの（ｂ）に示されるように、モデル３０２の学習を行う。本実施の形態では、通信監視システム１００は、モデル３０２に、図８Ｂの（ａ）に示されるマルチグラフの構造を学習させ、さらに、当該マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせて、学習用通信トリプレット３０１のベクトル表現を獲得させる学習を行う。なお、図８Ｂでは、ベクトル表現を、embeddings（埋め込み）と表現している。

　このようにして、通信監視システム１００は、モデル３０２に、学習用通信トリプレット３０１のマルチグラフにおける各ノードを、図８Ｂの（ｃ）に示されるようなベクトル空間にマッピングして、固定次元のベクトル表現を獲得させる学習を行う。なお、学習処理フェーズにおいて、R－GCNを用いたグラフオートエンコーダをモデル３０２として用いてもよい。R－GCNを用いたグラフオートエンコーダは、スコアリング関数として非特許文献４で開示されるDistMultを用いてリンク予測を行うことができるモデルである。

　図８Ｃは、本実施の形態に係る通信監視システム１００が実行するスコアリング処理フェーズにおける処理の一例を概念的に示す図である。

　通信監視システム１００は、図８Ａの（ａ）と同様に、例えばＩＣＳネットワークの通信を監視しており、ＩＣＳネットワークの通信のミラーパケット（分析対象パケット群）から、コネクション情報を取得する。通信監視システム１００は、取得したコネクション情報から分析対象（監視対象）の通信トリプレットを抽出する。分析対象の２つの通信トリプレットは、図８Ｃに示されるように、送信元デバイスであるＡ、通信種別であるＴＣＰ／８０、及び、宛先デバイスであるＣまたはＤからなる３つの組で構成される。

　次に、通信監視システム１００は、図８Ｃに示される分析対象の２つの通信トリプレットは、ホワイトリストとして用いられる学習用通信トリプレット３０１に存在しないため、学習済のモデル３０２を用いて分析対象の通信トリプレットのスコアリング処理を行う。

　より具体的には、通信監視システム１００は、学習済のモデル３０２に、分析対象の通信トリプレットをマルチグラフに変換させ、当該マルチグラフの２つのノードを固定次元のベクトル表現にマッピングさせることで、分析対象の通信トリプレットのベクトル表現を獲得させる。また、通信監視システム１００は、学習済のモデル３０２を用いて、図８Ｂの（ｃ）に示される学習済のベクトル表現と、分析対象の通信トリプレットの獲得したベクトル表現とから、分析対象の通信トリプレットのスコアを推定して出力する。図８Ｃに示される例では、送信元デバイスがＡ、通信種別がＴＣＰ／８０（ＨＴＴＰ）、及び、宛先デバイスがＣである分析対象の通信トリプレットのスコアは、１．３である。また、送信元デバイスがＡ、通信種別がＴＣＰ／８０、及び、宛先デバイスがＣである分析対象の通信トリプレットのスコアは、－５．３である。いずれかのスコアが閾値（例えば０）以下である場合、分析対象の当該２つの通信トリプレットにおける通信は正常（疑わしい通信でない）であると判定されることになる。

　［２．１　モデル３０２を構成するR－GCN］
　以下、モデル３０２を構成するR－GCNについて説明する。

　R－GCNは、グラフ構造を畳み込むネットワークモデルであるGCN（Graph Convolutional Networks）を拡張したネットワークモデルであり、非特許文献５に開示されている。R－GCNを用いることで、マルチグラフにおけるリンク予測を精度よく行うことができる。

　R－GCNは、グラフ構造を持ったデータが入力されると、グラフ構造の畳み込みを行い、当該データの特徴量を出力する。R－GCNは、グラフ構造の各ノードごとに特徴量を抽出し、かつ、あるノードの畳み込みを自身（当該ノード）と、隣接ノードとを用いて行うことで、グラフ構造の畳み込みを行う。R－GCNの各層では、エッジの種類と方向とを考慮して情報が伝播（順伝播）するとしてグラフ構造を畳み込む。

　ところで、多層の-GCNのうち、一層に関しての順伝播は以下の（式１）で表すことができる。

　左辺は、（ｌ＋１）層目のノードｉのベクトルを表す。右辺の第１項は、隣接ノードの畳み込みを足し合わせたものを表し、右辺の第２項は、自分自身の畳み込みを表す。なお、Ｎ_ｉは、ノードｉの隣接ノードの集合であり、１／ｃ_ｉは正規化定数である。σは、非線形活性化関数である。

　ここで、例えば図６Ｂに示すマルチグラフのグラフ構造を例に挙げ、さらにノードＢに着目する。

　GCNでは、グラフ構造のエッジ（リンクとも称する）は１つしか持てないことから、図６Ｂに示すノードＢのエッジの種類がＨＴＴＰだけであるとすると、（式１）は、以下の（式２）のように表すことができる。

　（式２）において、左辺は、図６Ｂに示すノードＢの（ｌ＋１）層目のベクトルを表す。点線囲い（１）で示される右辺の第１項はノードＡとのリンクからの伝播を表し、点線囲い（２）で示される右辺の第２項はセルフループと呼ばれるノードＢ自身の伝播を表す。

　また、多層のR－GCNのうち、一層に関しての順伝播は以下の（式３）で表すことができる。

　左辺は、（ｌ＋１）層目のノードｉのベクトルを表す。右辺の第１項は、ノードｉと関係のある隣接ノードの畳み込みを足し合わせたものを表し、右辺の第２項は、自分自身の畳み込みを表す。なお、Ｎ_ｉ,ｐは、ノードｉの隣接し、ノードｉと関係をもつノードの集合であり、１／ｃ_ｉ,ｐは正規化定数である。σは、非線形活性化関数である。

　ここで、上記と同様に図６Ｂに示すマルチグラフのグラフ構造を例に挙げ、さらにノードＢに着目する。

　R－GCNでは、グラフ構造のエッジ（リンクとも称する）を複数持てるため、（式３）は、以下の（式４）のように表すことができる。

　（式４）において、左辺は、（ｌ＋１）層目のノードＢのベクトルを表す。点線囲い（３）で示される右辺の第１項はノードＡとのＨＴＴＰのリンクからの伝播を表し、点線囲い（４）で示される右辺の第２項はノードＡとのＭＳＳＱＬのリンクからの伝播を表す。点線囲い（５）で示される右辺の第３項はセルフループと呼ばれるノードＢ自身の伝播を表す。

　本実施の形態では、R－GCNで構成されるモデル３０２を用いて、ＩＣＳネットワークの通信状況を示す通信トリプレットをマルチグラフとして解釈し、ホワイトリストに含まれていない監視対象の通信トリプレットがマルチグラフのリンクとして出現する可能性を推定する。

　換言すると、本開示では、ホワイトリストに存在しない通信のスコアリング問題を、ＩＣＳネットワークで観察されたＩＰアドレスをノード、２つのＩＰアドレス間のＴＣＰ／ＵＤＰなどの通信種別をエッジと解釈し、マルチグラフのリンク予測問題とみなしている。さらに、本開示では、マルチグラフのリンク予測問題を、未観測の通信トリプレットであるが高い可能性で存在する可能性のある（つまり正常な）通信トリプレットであるかを予測するタスクと解釈する。

　なお、発明者らは、観測されていないリンクが正常であるかを精度よく推定するために以下の２つの仮定が成立するとしている。

　（１）２つのデバイス間でのリンクの有無はデバイスの役割によって決定される。また、デバイスの役割とは、ＨＭＩ、ＰＬＣ、ＲＴＵ、HistorianもしくはＳＩＳなどのデバイスのタイプ、または、それらの通信の種類である。

　（２）デバイスの役割は、隣接する（リンクする）１以上のデバイスの役割から再帰的に推定できる。また、グラフ構造の畳み込みを用いることで、役割が潜在ペクトルに反映され、隣接するデバイスの役割情報を伝播できる。

　以上の２つの仮定から、R－GCNを用いることで、デバイスの役割を表す埋め込み（ベクトル表現）を再帰的に抽出できるとして、本実施の形態では、モデル３０２をR－GCNで構成する。

　そして、R－GCNで構成されるモデル３０２に、ＩＣＳネットワークで観測された通信トリプレットを学習させることで、ＩＣＳネットワークで観測されていない通信トリプレットの異常性をスコアで推定させることができる。

　［３．通信監視システム１００の動作］
　以上のように構成された通信監視システム１００の動作について以下説明する。

　図９は、本実施の形態における通信監視システム１００の動作概要を示すフローチャートである。

　まず、通信監視システム１００は、学習用通信トリプレット抽出処理を行う（Ｓ１）。なお、ステップＳ１の学習用通信トリプレット抽出処理は、上述した準備処理フェーズの処理に該当する。次に、通信監視システム１００は、学習処理を行う（Ｓ２）。なお、ステップＳ２の学習処理は、上述した学習処理フェーズの処理に該当する。次に、通信監視システム１００は、スコアリング処理を行う（Ｓ３）。ステップＳ３のスコアリング処理は、上述したスコアリング処理フェーズの処理に該当する。

　図１０は、図９に示す学習用通信トリプレット抽出処理の詳細を示すフローチャートである。

　まず、通信監視システム１００は、学習用パケットを取得する（Ｓ１１）。本実施の形態では、通信監視システム１００は、例えばＩＣＳネットワークなどのネットワークの通信のミラーパケットを学習用パケットとして取得する。

　次に、通信監視システム１００は、ステップＳ１１において取得した学習用パケットから、コネクション情報を取得する（Ｓ１２）。本実施の形態では、通信監視システム１００は、ステップＳ１１において取得した学習用パケットから、サーバＩＰアドレス、サーバのポート番号、プロトコル及びクライアントＩＰアドレスを示す情報を有するコネクション情報を取得する。

　次に、通信監視システム１００は、ステップＳ１２において取得したコネクション情報から、通信トリプレットを抽出する（Ｓ１３）。本実施の形態では、通信監視システム１００は、ステップＳ１２において取得したコネクション情報から、送信元デバイス、通信種別、及び、宛先デバイスからなる３つの組で構成される通信トリプレットを抽出する。ここで、例えば送信元デバイスはサーバＩＰアドレスであり、通信種別はサーバのポート番号及びプロトコルであり、宛先デバイスはクライアントＩＰアドレスである。

　次に、通信監視システム１００は、ステップＳ１３において抽出した通信トリプレットが、既に観測されたものであるかを判定する（Ｓ１４）。本実施の形態では、通信監視システム１００は、ステップＳ１３において抽出した通信トリプレットが、学習用通信トリプレット３０１として記憶されているかを判定する。

　ステップＳ１４において、抽出した通信トリプレットが既に観測されたものでない場合（Ｓ１４でＮＯ）、通信監視システム１００は、抽出した通信トリプレットを学習用通信トリプレット３０１として蓄積する（Ｓ１５）。

　次に、通信監視システム１００は、ステップＳ１１で取得した学習用パケット以外で未だ通信トリプレットを抽出していない未抽出のパケットがあるかを確認する（Ｓ１６）。

　なお、ステップＳ１４において、抽出した通信トリプレットが既に観測されたものである場合（Ｓ１４でＹＥＳ）、通信監視システム１００は、ステップＳ１６の処理に進む。

　ステップＳ１６において、未抽出のパケットがない場合（Ｓ１６でＮＯ）、通信監視システム１００は、蓄積している学習用通信トリプレットを出力する（Ｓ１７）。一方、ステップＳ１６において、未抽出のパケットがある場合（Ｓ１６でＹＥＳ）、通信監視システム１００は、ステップＳ１１に戻って処理を繰り返す。

　図１１は、図９に示す学習処理の詳細を示すフローチャートである。

　まず、通信監視システム１００は、学習用通信トリプレットを取得する（Ｓ２１）。本実施の形態では、通信監視システム１００は、記憶部３１から学習用通信トリプレット３０１を取得する。

　次に、通信監視システム１００は、ステップＳ２１において取得した学習用通信トリプレット３０１のマルチグラフを構築する（Ｓ２２）。

　次に、通信監視システム１００は、ステップＳ２２において構築したマルチグラフを、モデル３０２に学習させる（Ｓ２３）。本実施の形態では、モデル３０２は例えばR－GCNで構成される。通信監視システム１００は、ステップＳ２２において構築したマルチグラフの構造を、モデル３０２に学習させ、構築したマルチグラフの各ノードを固定次元のベクトル表現にマッピングさせて、学習用通信トリプレット３０１のベクトル表現を獲得させる。例えば、モデル３０２は、グラフオートエンコーダを用いて学習され、グラフオートエンコーダの学習によりノードとエッジのベクトル表現の獲得を獲得することができる。

　次に、通信監視システム１００は、ステップＳ２４において学習により獲得した学習用通信トリプレット３０１のベクトル表現すなわち各ノードのembeddingsと各エッジのembeddingsとを出力する（Ｓ２４）。なお、学習済のモデル３０２は、ステップＳ２４において学習により獲得した学習用通信トリプレット３０１のベクトル表現すなわち各ノードのembeddingsと各エッジのembeddingsとの情報を有する。

　図１２は、図１１に示す学習処理を実行するためのアルゴリズム１を示す図である。

　図１２において、Vは、観測されたＩＰアドレスのセットを示す。Ｒは、観測されたＴＣＰ／ＵＤＰポート番号のセットを示す。

は、学習用通信トリプレット３０１を示す。

　また、

は、ＩＰアドレスのembeddingsを示し、上記の（式３）を用いて順伝播を計算すること得られる。

は、モデル３０２のパラメータを示す。

は、上述したようにR－GCNの重みを示し、lは隠れ層の数を示す。

　なお、モデル３０２のパラメータは、損失関数として、下記の（式５）に示すようなクロスエントロピー誤差を用いて最適化されている。

　（式５）において、Ｔは、実数の通信トリプレットと破損の通信トリプレットの合計を示す。ｆ（ｓ、ｐ、ｃ）は、通信トリプレット（ｓ、ｐ、ｃ）のスコアである。ｌは、ロジスティックシグモイド関数を示し、ｙはインジケータを示す。

　図１３は、図９に示すスコアリング処理の詳細を示すフローチャートである。なお、図１３に示す処理は、上述した通信監視装置１が行ってもよい。

　まず、通信監視システム１００は、分析対象パケットを取得する（Ｓ３１）。本実施の形態では、通信監視システム１００は、例えばＩＣＳネットワークなどのネットワークの通信のミラーパケットを分析対象パケットとして取得する。

　次に、通信監視システム１００は、ステップＳ３１において取得した分析対象パケットから、コネクション情報を取得する（Ｓ３２）。本実施の形態では、通信監視システム１００は、ステップＳ３１において取得した分析対象パケットから、サーバＩＰアドレス、サーバのポート番号、プロトコル及びクライアントＩＰアドレスを示す情報を有するコネクション情報を取得する。

　次に、通信監視システム１００は、ステップＳ３２において取得したコネクション情報から、通信トリプレットを抽出する（Ｓ３３）。本実施の形態では、通信監視システム１００は、ステップＳ３２において取得したコネクション情報から、送信元デバイス、通信種別、及び、宛先デバイスからなる３つの組で構成される通信トリプレットを抽出する。ここで、例えば送信元デバイスはサーバＩＰアドレスであり、通信種別はサーバのポート番号及びプロトコルであり、宛先デバイスはクライアントＩＰアドレスである。

　次に、通信監視システム１００は、ステップＳ３３において抽出した通信トリプレットが、学習用通信トリプレット３０１に存在するかを判定する（Ｓ３４）。本実施の形態では、通信監視システム１００は、学習用通信トリプレット３０１をホワイトリストとして用いる。すなわち、通信監視システム１００は、ステップＳ３３において抽出したホワイトリストに存在するかを判定する。

　ステップＳ３４において、抽出した通信トリプレットが学習用通信トリプレット３０１に存在しない場合（Ｓ３４でＮＯ）、通信監視システム１００は、抽出した通信トリプレットを構成する３つの組のいずれか１つ以上が初観測かどうかを判定する（Ｓ３５）。ここで、３つの組は、例えばサーバＩＰアドレス、クライアントＩＰアドレス及びＴＣＰ／ＵＤＰポート番号である。また、初観測の場合とは、抽出した通信トリプレットを構成する３つの組のいずれか１つ以上がホワイトリストに存在しない場合である。

　ステップＳ３５において、抽出した通信トリプレットを構成する３つの組のいずれか１つ以上が初観測でない場合（Ｓ３５でＮＯ）、通信監視システム１００は、抽出した通信トリプレットをスコアリング処理する（Ｓ３６）。本実施の形態では、モデル３０２は例えばR－GCNで構成される。このため、通信監視システム１００は、学習済のモデル３０２に、分析対象の通信トリプレットをマルチグラフに変換させ、かつ、当該マルチグラフの２つのノードを固定次元のベクトル表現にマッピングさせることで、分析対象の通信トリプレットのベクトル表現を獲得させる。そして、通信監視システム１００は、学習済のモデル３０２を用いて、学習済のベクトル表現と、分析対象の通信トリプレットの獲得したベクトル表現とから、分析対象の通信トリプレットのスコアを推定して出力する。

　次に、通信監視システム１００は、ステップＳ３１で取得した分析対象パケット以外で未分析のパケットがあるかを確認する（Ｓ３７）。

　ステップＳ３７において、未分析のパケットがない場合（Ｓ３７でＮＯ）、通信監視システム１００は、スコアリング処理を終了する。一方、ステップＳ３７において、未分析のパケットがある場合（Ｓ３７でＹＥＳ）、通信監視システム１００は、ステップＳ３１に戻って処理を繰り返す。

　なお、ステップＳ３４において、抽出した通信トリプレットが学習用通信トリプレット３０１に存在する場合（Ｓ３４でＹＥＳ）、通信監視システム１００は、抽出した通信トリプレットにおける通信は疑わしい通信ではないとして、ステップＳ３７に進む。

　また、ステップＳ３５において、抽出した通信トリプレットを構成する３つの組のいずれか１つ以上が初観測である場合（Ｓ３５でＹＥＳ）、通信監視システム１００は、抽出した通信トリプレットをスコアリング処理の対象から除外する（Ｓ３８）。そして、通信監視システム１００は、抽出した通信トリプレットにおける通信は疑わしい通信である旨を出力する（Ｓ３９）。

　図１４は、図１３に示すスコアリング処理を実行するためのアルゴリズム２を示す図である。なお、図１２と同様の変数は同一の変数で示されているため、説明を省略する。

　図１４において、

は、分析対象の通信トリプレットを示す。この通信トリプレットのembeddingsは

である。また、

は、この通信トリプレットのスコアを示す。

　［４．効果等］
　本実施の形態によれば、R－GCNで構成されるモデル３０２を用いて、ＩＣＳネットワークの通信状況を示す通信トリプレットをマルチグラフとして解釈させ、ホワイトリストに含まない監視対象の通信トリプレットがマルチグラフのリンクとして出現する可能性をスコアで推定させる。なお、ホワイトリストにない通信トリプレットの出現可能性を、マルチグラフのリンク予測問題として取り扱うことで、ホワイトリストにない通信トリプレットのスコアを精度よく推定することができる。

　これによれば、ホワイトリストにない通信トリプレットの出現可能性をスコアにより定量化することで、セキュリティの観点から分析すべき重要な通信トリプレットを絞ることができるので、ネットワークの通信に対する誤検知を抑制できる。

　そして、ホワイトリストにない通信トリプレットのスコアにより、ホワイトリストにない通信トリプレットが観察されたときに発せされるアラートのうち重要でないアラートを除外できるので、セキュリティ監視者は、致命的なアラートのみに集中できることなる。

　なお、上記の実施の形態では、モデル３０２は、R－GCNで構成されるとして説明したが、これに限らない。モデル３０２は、非特許文献６に開示されるCOMPGCN（COMPosition-based multi-relational Graph Convolutional Networks)であってもよい。この場合、学習済のモデル３０２に、第１の通信トリプレットを構成する３つの組の集合を、送信元デバイスを示す情報及び宛先デバイスを示す情報をノード、通信種別を示す情報をエッジの種類とするマルチグラフに変換させ、当該マルチグラフから、第１の通信トリプレットのベクトル表現を獲得させればよい。そして、獲得させた第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、スコアを推定させればよい。

　また、モデル３０２は、DistMult、または、非特許文献７に開示されるconvE（convolutional 2D Knowledge Graph Embeddings）でもよい。また、モデル３０２は、非特許文献８に開示されるTransE（Translating Embeddings for Modeling Multi-relational Data）でもよい。また、モデル３０２は、非特許文献９に開示されるHolE（Holographic Embeddings of Knowledge Graphs）でもよい。また、モデル３０２は、非特許文献１０に開示されるComplEx（Complex Embeddings for Simple Link Prediction）であってもよい。

　これらの場合、学習済のモデル３０２に、第１の通信トリプレットを構成する３つの組の集合から、第１の通信トリプレットのベクトル表現を獲得させ、獲得させた第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、スコアを推定させればよい。

　（実施例）
　R－GCNで構成されるモデル３０２の有効性について検証したので、その実験結果を実施例として以下説明する。

　＜データセット＞
　図１５は、本実施例に係るデータセットの性質を示す図である。

　本実施例では、パナソニックが所有する３工場におけるＩＣＳネットワークのトラフィックを評価に用いた。なお、工場ごとに生産品目が異なるため、工場によって設置設備、通信プロトコル及びネットワーク構成は異なっている。

　３工場におけるＩＣＳネットワークのパケットは、Ｌ２スイッチのミラーポートを使用してそれぞれ２週間ずつ独立して収集した。また、当該３工場では、Ｍｏｄｂｕｓ、Ｅｔｈｅｒｎｅｔ／ＩＰなどのプロトコルだけでなく、ＮｅｔＢＩＯＳ、ＤＮＳ、ＨＴＴＰ、ＨＴＴＰＳ、ＦＴＰ、ＳＭＢ、ＲＤＰ、ＳＳＨ、ＭＳＳＱＬなどのプロトコルも観察された。このため、マルチキャストおよびブロードキャスト通信を除いたユニキャスト通信のみを、学習処理およびスコアリング処理の対象とした。

　図１５に示すＩＰアドレスの数、ＴＣＰ／ＵＤＰポート番号、及び学習用通信トリプレットは、特定の１週間の間にＡ、Ｂ及びＣの３工場それぞれのＩＣＳネットワークの通信に出現した数をカウントすることによって取得した。テスト用の通信トリプレットは、上記の特定の１週間の後の１週間に取得した。なお、学習用通信トリプレットに含まれる通信トリプレットは、テスト用の通信トリプレットから除外した。また、観察されていないＩＰアドレスまたはＴＣＰ／ＵＤＰポート番号を持つ通信トリプレットも、テスト用の通信トリプレットから除外した。

　＜評価方法＞
　R－GCNで構成されるモデル３０２の比較例として、DistMultで構成されるモデルと、ヒューリステックな方法であるfirst-order proximity優先手法、及び、second-order proximity優先手法も評価した。なお、DistMultは、グラフ構造の畳み込み層がないR－GCNと同等の構成である。以下、R－GCNで構成されるモデル３０２をGCN SCOPE（proposed）と称して説明する。

　GCN SCOPEと比較例とに対して、テスト用の通信トリプレットの存在を予測するリンク予測の評価と、通常の通信トリプレットと異常な通信トリプレットとをどれだけうまく区別（認識）できるかといった２種類の評価を行った。

　GCN SCOPEとDistMultで構成されるモデルとのハイパーパラメータの検索した。ハイパーパラメータの検索は、工場Ａのデータセットを学習用データと検証用データに分割し、検証用データを用いて平均逆数ランクとベイズ最適化とを用いて行った。その結果、GCN SCOPEのハイパーパラメータを次のように決定した。すなわち、ドロップアウト率を０．２、隠れ層ユニットの数を１００、Ｌ２正則化重みを０．０、学習率を０．０１、ネガティブサンプリングレートを１０と決定した。また、DistMultで構成されるモデルのハイパーパラメータは次のように決定した。すなわち、非表示レイヤーユニットの数を５０、Ｌ２正則化重みを０．０１、学習率を０．０２、ネガティブサンプリングレートを１０と決定した。

　＜評価結果＞
　図１６は、本実施例に係るテスト用の通信トリプレットを用いて予測されたリンク予測の評価結果を示す図である。

　GCN SCOPE及びDistMultで構成されるモデル等を、図１５に示す３工場それぞれの各データセットの学習用通信トリプレットを用いて学習させ、テスト用の通信トリプレットのスコアを出力させた。そして、出力させたスコアを、下記の（式６）で示されるような平均逆数ランク（ＭＲＲ）と上位ｎ番以内でランク付けされたエンティティの割合とを用いて、評価した。この結果が図１６に示されている。なお、（式６）のrank_iはｉ番目のクエリの正解のランク位置を指している。

　図１６からわかるように、GCN SCOPEは、ほとんどすべてのケースでDistMultで構成されるモデルを含む比較例を上回っている。これにより、GCN SCOPEは、ＩＣＳネットワークの通信トリプレットのリンク予測で高いパフォーマンスを示すことができることがわかる。

　図１７は、本実施例に係るテスト用の通信トリプレットを用いて出力されたスコアに基づき異常リンクと正常リンクとを識別する能力の評価を示す図である。図１７では、識別能力の評価を定量化するためにＲＯＣ－ＡＵＣを用いている。ここで、ＲＯＣはReceiver Operating Characteristicの略であり、ＡＵＣはArea under the curveの略であり、ＲＯＣ－ＡＵＣはＲＯＣ曲線下の面積を示す。ＡＵＣは０から１までの値をとり、値が１に近いほど識別能力が高いことを表わす。

　ここでは、テスト用の通信トリプレットをネガティブサンプルとして使用し、ランダムな通信トリプレットをポジティブサンプルとして使用した。ランダムな通信トリプレットは、学習用通信トリプレットを構成する要素から、２つの異なるＩＰアドレスとＴＣＰ／ＵＤＰポート番号とを個別かつ均一にランダムに選択することで生成した。

　そして、GCN SCOPE及びDistMultで構成されるモデル等にテスト用の通信トリプレットから出力させたスコアに基づき、識別能力を評価した。スコアに基づく異常リンクと正常リンクとの識別能力は、出力されたスコアを閾値判定して評価した。

　図１７からわかるように、GCN SCOPEは、平均０．９５７のＲＯＣ－ＡＵＣを達成しDistMult、first-order proximity優先手法及びsecond-order proximity優先手法よりも優れた識別能力を示している。これにより、GCN SCOPEは、正常な通信トリプレットと異常な通信トリプレットとを高精度で識別できるのがわかる。

　以上から、GCN SCOPEは、ホワイトリストにない通信トリプレットの出現可能性を、マルチグラフのリンク予測として精度よく取り扱うことができ、ホワイトリストにない通信トリプレットのスコアを精度よく推定することができるのがわかる。

　これにより、GCN SCOPEは、ホワイトリストにない通信トリプレットの出現可能性をスコアにより定量化することで、セキュリティの観点から分析すべき重要な通信トリプレットを絞ることができるので、ネットワークの通信に対する誤検知を抑制できるのがわかる。

　（変形例）
　上記の実施の形態では、所定期間のネットワークの通信から取得した通信トリプレット（第２の通信トリプレット）を安全なものであると判断して、ホワイトリストとして記憶部３０に記憶する場合について説明した。また、上記の実施の形態では、記憶部３０に記憶した第２の通信トリプレットを、学習用通信トリプレット３０１として利用する場合について説明した。

　しかしながら、所定期間のネットワークの通信から取得した第２の通信トリプレットに安全でないものが含まれている可能性がある。換言すると、所定期間のネットワークの通信から取得した第２の通信トリプレットを学習用通信トリプレット３０１として、例えば図８Ｂの（ａ）に示されるようにマルチグラフを構築したときのリンクのいずれか１つ以上が異常リンクである可能性がある。例えば、学習時にマルチグラフを構築したときの１以上のリンクが例えば設定ミスまたはマルウェアにより発生したリンクである場合、１以上のリンクは安全なリンクではなく異常リンクである。

　そして、このような異常リンクがあるマルチグラフを用いてモデル３０２の学習を行うと、スコアリング処理の際に、異常な通信トリプレットを見逃してしまう可能性がある。

　そこで、本変形例では、学習用通信トリプレット３０１に異常なものが含まれていないかを確認する方法等について説明する。

　［５．１　学習装置部２Ａの構成］
　図１８は、本変形例に係る学習装置部２Ａの構成の一例を示すブロック図である。図１と同様の要素には同一の符号を付しており、詳細な説明は省略する。

　学習装置部２Ａは、図１８に示すように、コネクション取得部２１、通信トリプレット抽出部２２Ａ、学習部２３Ａ、記憶部３１、記憶部３２と、異常度確認部３３Ａとを備える。図１８に示す学習装置部２Ａは、図１に示す学習装置部２に対して、異常度確認部３３Ａの構成が追加されている点と、通信トリプレット抽出部２２Ａ及び学習部２３Ａの構成とが異なる。

　［５．１．１　通信トリプレット抽出部２２Ａ］
　通信トリプレット抽出部２２Ａは、所定期間のネットワークの通信から、第３の通信トリプレットを取得する。ここで、複数の第３の通信トリプレットのそれぞれは、送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組で構成される。図１８に示す例では、通信トリプレット抽出部２２Ａは、コネクション取得部２１により取得されたコネクション情報から、通信トリプレットを第３の通信トリプレットとして抽出し、学習用通信トリプレット３０１として記憶部３１に記憶する。

　なお、通信トリプレット抽出部２２Ａは、通信トリプレット抽出部２２と同様に、抽出された通信トリプレットが学習用通信トリプレット３０１として記憶されている場合（既に観測された場合）、学習用通信トリプレット３０１に追加しない。

　また、後述するが、学習装置部２Ａにおいて、異常度確認部３３Ａが、学習済のモデル３０２を用いて推定した異常度を示すスコアを表示画面に提示または出力するのみで、記憶部３１に記憶される学習用通信トリプレット３０１の更新を行わない場合がある。この場合、通信トリプレット抽出部２２Ａは、通信トリプレット抽出部２２と同様の動作をすればよい。すなわち、通信トリプレット抽出部２２Ａは、所定期間のネットワークの通信から、抽出した通信トリプレットを第２の通信トリプレットとして取得すればよい。

　［５．１．２　学習部２３Ａ］
　学習部２３Ａは、記憶部３１に記憶された学習用通信トリプレット３０１を用いて、記憶部３２に記憶されたモデル３０２に対して学習処理を行う。そして、学習部２３Ａは、記憶部３２に記憶されたモデル３０２を、学習済のモデル３０２に更新する。

　本変形例では、学習部２３Ａは、第３の通信トリプレットを、学習用データとして用いて、モデル３０２に、第３の通信トリプレットのベクトル表現を獲得させ、かつ、所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行う。

　また、学習部２３Ａは、複数の第３の通信トリプレットから、異常度確認部３３Ａが推定した異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、再学習用データに用いてもよい。この場合、学習部２３Ａは、当該再学習用データを用いて、モデル３０２に、再学習用データに含まれる第３の通信トリプレットのベクトル表現を獲得させ、かつ、所定期間のネットワークの通信が出現する可能性をスコアとして推定させる再学習処理を行えばよい。

　より詳細には、学習部２３Ａは、学習処理または再学習処理において、第３の通信トリプレットを構成する３つの組の集合から、送信元デバイスを示す情報及び宛先デバイスを示す情報をノード、通信種別を示す情報をエッジの種類とするマルチグラフを構築すればよい。そして、学習部２３Ａは、構築したマルチグラフをモデル３０２に入力することで、モデル３０２に当該マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせて、第３の通信トリプレットのベクトル表現を獲得させる学習を行えばよい。

　なお、後述するが、学習装置部２Ａにおいて、異常度確認部３３Ａが、学習済のモデル３０２を用いて推定した異常度を示すスコアを表示画面に提示または出力するのみで、記憶部３１に記憶される学習用通信トリプレット３０１の更新を行わない場合がある。この場合、学習部２３Ａは、学習部２３と同様の動作をすればよい。すなわち、学習部２３Ａは、第２の通信トリプレットを、学習用データとして用いて、モデル３０２に、第２の通信トリプレットのベクトル表現を獲得させ、かつ、所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行えばよい。

　また、学習用データとして用いられる第２の通信トリプレット、または、学習用データもしくは再学習用データとして用いられる第３の通信トリプレットには、通信種別として、当該通信種別に加えて所定期間のネットワークの通信に関する特徴量を含んでもよい。この特徴量は、所定期間のネットワークの通信における単位時間あたり通信量及び通信時間間隔の中央値の少なくとも一方を含んでもよい。これにより、学習部２３Ａは、モデル３０２が獲得するベクトル表現の精度を向上させることができ、学習済のモデル３０２が推定するスコアの精度を向上させることができる。

　［５．１．３　異常度確認部３３Ａ］
　異常度確認部３３Ａは、学習済のモデル３０２を用いて、複数の第３の通信トリプレットのそれぞれが所定期間のネットワークの通信として出現する可能性を、異常度を示すスコアとして推定して出力する。

　本変形例では、学習用通信トリプレット３０１に異常な通信トリプレットが含まれているかどうかを確認するために、異常度確認部３３Ａは、記憶部３２に記憶されている学習済のモデル３０２を用いて、学習用通信トリプレット３０１に対して、上述したようなスコアリング処理を行う。

　換言すると、本変形例では、学習期間に観測されたリンク（学習時にマルチグラフを構築したときのリンク）を用いてモデル３０２を学習することは、上記実施の形態で説明した通りである。なお、上記の実施の形態では、学習時にマルチグラフを構築したときのリンクは、すべて安全なものとみなしていた。本変形例では、学習時にマルチグラフを構築したときのリンクがすべて安全なものであるとは限らないとして、既に観測されているリンクすなわち学習時にマルチグラフを構築したときのリンクの異常度を示すスコアを推定させる。

　図１９は、本変形例に係る学習時にマルチグラフを構築したときのリンクと、推定された異常度を示すスコアとを示す図である。

　本変形例では、異常度確認部３３Ａは、学習済のモデル３０２に、学習用通信トリプレット３０１をマルチグラフに変換させ、当該マルチグラフの２つのノードを固定次元のベクトル表現にマッピングさせることで、学習用通信トリプレット３０１のベクトル表現を獲得させる。また、異常度確認部３３Ａは、学習済のモデル３０２を用いて、図８Ｂの（ｃ）に示されるような学習済のベクトル表現と、学習用通信トリプレット３０１の獲得したベクトル表現とから、学習用通信トリプレット３０１のスコアを、異常度を示すスコアとして推定する。

　図１９には、学習時にマルチグラフを構築したときのリンクそれぞれに対する、異常度を示すスコアの一例が示されている。図１９に示される例では、異常度（を示すスコア）が８０を示すリンクは、異常リンクである可能性がある。なお、閾値を適切に設定することで、学習用通信トリプレット３０１に安全でないものが含まれているかどうかを判定することができる。また、この閾値は、上記の実施の形態に係るスコアリング処理で設定する閾値より低く設定するとよいが、同じであってもよい。

　異常度確認部３３Ａは、学習時にマルチグラフを構築したときのリンクに対する異常度を示すスコアを出力し、ディスプレイなどの表示画面に提示してもよい。この場合、学習装置部２Ａのユーザは、学習時にマルチグラフを構築したときのリンクのそれぞれが正常なのか異常なのかを確認できる。これにより、学習装置部２Ａのユーザは、複数の第３の通信トリプレットから異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、ホワイトリスト３０１ａ（複数の第２の通信トリプレット）として記憶部３０に記憶することができる。

　このように、学習装置部２Ａのユーザは、学習期間である所定期間のネットワークの通信から取得した複数の第３の通信トリプレットから、異常度を示すスコアを用いて安全でないものを除いた通信トリプレットを、ホワイトリスト３０１ａとして記憶部３０に記憶することができる。

　なお、学習装置部２Ａのユーザがホワイトリスト３０１ａの見直しを行う場合、異常度確認部３３Ａは、学習済のモデル３０２を用いて推定した異常度を示すスコアを表示画面に提示または出力するのみでよい。すなわち、異常度確認部３３Ａは、記憶部３１に記憶される学習用通信トリプレット３０１の更新を行わないとしてもよい。この場合、異常度確認部３３Ａは、学習期間である所定期間のネットワークの通信から取得した第２の通信トリプレットのそれぞれが所定期間のネットワークの通信として出現する可能性を、学習済のモデル３０２を用いて異常度を示すスコアとして推定して出力すればよい。

　なお、ホワイトリスト３０１ａの見直し（更新）は、学習装置部２Ａのユーザにより行われる場合に限らず、異常度確認部３３Ａにより行われてもよい。すなわち、異常度確認部３３Ａは、取得した複数の第３の通信トリプレットから、異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、ホワイトリスト３０１ａ（複数の第２の通信トリプレット）として記憶部３０に記憶してもよい。

　また、異常度確認部３３Ａは、学習用通信トリプレット３０１を更新してもよい。すなわち、異常度確認部３３Ａは、学習期間である所定期間のネットワークの通信から取得した複数の第３の通信トリプレットから、異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットに、学習用通信トリプレット３０１を更新してもよい。また、学習部２３Ａは、更新された学習用通信トリプレット３０１を用いて、モデル３０２を再学習処理してもよい。これにより、通信監視装置１は、再学習されたモデル３０２を用いることができるので、スコアリング処理の際に、異常な通信トリプレットを見逃してしまう可能性を抑制できる。

　［５．２　本変形例に係る通信監視システム１００の動作］
　以上のように構成された学習装置部２Ａを含む通信監視システム１００の動作について以下説明する。

　図２０は、本変形例に係る学習装置部２Ａを含む通信監視システム１００の動作概要を示すフローチャートである。

　まず、本変形例における学習装置部２Ａを含む通信監視システム１００は、学習用通信トリプレット抽出処理を行う（Ｓ１０１）。本変形例では、当該通信監視システム１００は、学習期間である所定期間のネットワークの通信から、通信トリプレットを抽出し、学習用通信トリプレット３０１として記憶部３１に記憶する。

　次に、当該通信監視システム１００は、学習処理を行う（Ｓ１０２）。本変形例では、当該通信監視システム１００は、抽出して記憶部３１に記憶された学習用通信トリプレット３０１を、学習用データとして用いて、モデル３０２の学習処理を行う。

　次に、当該通信監視システム１００は、異常度確認処理を行う（Ｓ１０３）。ステップＳ１０３の異常度確認処理の詳細は、後述する。

　次に、当該通信監視システム１００は、再学習するかを判定する（Ｓ１０４）。

　ステップＳ１０４において、当該通信監視システム１００は、学習用通信トリプレット３０１が更新されている場合には、再学習すると判定し（Ｓ１０４でＹｅｓ）、ステップＳ１０２に戻る。そして、ステップＳ１０２において、当該通信監視システム１００は、更新された学習用通信トリプレット３０１を再学習用データとして用いて、モデル３０２の学習処理（再学習処理）を行う。

　一方、ステップＳ１０４において、当該通信監視システム１００は、学習用通信トリプレット３０１が更新されていない場合には、再学習しないと判定し（Ｓ１０４でＮｏ）、ステップＳ１０５へ進む。

　次に、当該通信監視システム１００は、スコアリング処理を行う（Ｓ１０５）。ステップＳ１０５のスコアリング処理は、上述した図９におけるステップＳ３のスコアリング処理と同様であるため、ここでの説明を省略する。

　図２１は、図２０に示す異常度確認処理の詳細例を示すフローチャートである。図２１では、異常度確認処理として、学習用通信トリプレット３０１に対して推定した異常度を示すスコアを、提示または出力するのみ行う場合について示されている。

　まず、通信監視システム１００に含まれる学習装置部２Ａは、記憶部３１に記憶されている学習用通信トリプレット３０１を取得する（Ｓ１０３１）。本変形例では、学習装置部２Ａは、学習期間である所定期間のネットワークの通信から、抽出した通信トリプレットである複数の第２の通信トリプレットで構成されている学習用通信トリプレット３０１を取得する。

　次に、学習装置部２Ａは、ステップＳ１０３１で取得した学習用通信トリプレット３０１に対して、異常度を示すスコアを推定する（Ｓ１０３２）。本変形例では、学習装置部２Ａは、学習済のモデル３０２を用いて、複数の第２の通信トリプレットのそれぞれが当該所定期間のネットワーク通信として出現する可能性を、異常度を示すスコアとして推定する。

　次に、学習装置部２Ａは、ステップＳ１０３２で推定した異常度（を示すスコア）を提示する（Ｓ１０３３）。本変形例では、学習装置部２Ａは、ステップＳ１０３２で推定した異常度（を示すスコア）を、例えばディスプレイ等に表示させることで提示する。

　図２２は、図２０に示す異常度確認処理の別の詳細例を示すフローチャートである。図２２では、異常度確認処理として、学習用通信トリプレット３０１に対して推定した異常度を示すスコアに基づいて、ホワイトリスト３０１ａを更新する処理を含む場合について示されている。

　まず、通信監視システム１００に含まれる学習装置部２Ａは、記憶部３１に記憶されている学習用通信トリプレット３０１を取得する（Ｓ１０４１）。本変形例では、学習装置部２Ａは、学習期間である所定期間のネットワークの通信から、抽出した通信トリプレットである複数の第３の通信トリプレットで構成されている学習用通信トリプレット３０１を取得する。

　次に、学習装置部２Ａは、ステップＳ１０４１で取得した学習用通信トリプレット３０１に対して、異常度を示すスコアを推定する（Ｓ１０４２）。本変形例では、学習装置部２Ａは、学習済のモデル３０２を用いて、複数の第３の通信トリプレットのそれぞれが当該所定期間のネットワークの通信として出現する可能性を、異常度を示すスコアとして推定する。

　次に、学習装置部２Ａは、ステップＳ１０４２で推定した異常度（を示すスコア）に基づき、ホワイトリスト３０１ａの更新を行う（Ｓ１０４３）。本変形例では、学習装置部２Ａは、ステップＳ１０４１で取得した複数の第３の通信トリプレットから、ステップＳ１０４２で推定した異常度（を示すスコア）に基づき１以上の第３の通信トリプレットを除く。そして、学習装置部２Ａは、取得した複数の第３の通信トリプレットから当該１以上の第３の通信トリプレットを除いた通信トリプレットを、ホワイトリスト３０１ａ（複数の第２の通信トリプレット）として記憶部３０に記憶する。このようにして、学習装置部２Ａは、ホワイトリスト３０１ａの更新を行う。

　次に、学習装置部２Ａは、再学習処理を行うかどうかを判定し（Ｓ１０４４）、再学習処理を行うと判定した場合には（Ｓ１０４４でＹｅｓ）、学習用通信トリプレット３０１を更新する（Ｓ１０４５）。一方、ステップＳ１０４４において、再学習処理を行わないと判定した場合には（Ｓ１０４４でＮｏ）、学習装置部２Ａは、処理を終了する。

　［５．３　効果等］
　本変形例によれば、学習に用いた複数の通信トリプレットに対してスコアリング処理を行い、異常な通信トリプレットを確認することができる。つまり、本変形例によれば、ホワイトリスト３０１ａとしても用いられる学習用通信トリプレット３０１それぞれに対する異常度を示すスコアを確認できる。これにより、学習期間としての所定期間のネットワークの通信から取得した学習用通信トリプレット３０１に異常な通信トリプレットが含まれていないかを確認することができる。

　より詳細には、学習期間としての所定期間のネットワークの通信から取得した学習用通信トリプレット３０１を用いてマルチグラフを構築したときのリンクはすべて安全なものであるとは限らない。このため、本変形例では、学習装置部２Ａに、既に観測されているリンクすなわち学習時にマルチグラフを構築したときのリンクの異常度を示すスコアを推定させる。これにより、学習装置部２Ａまたは学習装置部２Ａのユーザは、推定させた異常度を示すスコアに基づいてそれらのリンクが正常なのか異常なのかを確認できる。

　したがって、本変形例では、推定した異常度を示すスコアに基づいて、ホワイトリスト３０１ａを見直して、より安全なホワイトリスト３０１ａに更新できる。換言すると、本変形例では、推定した異常度を示すスコアを用いて、学習期間としての所定期間のネットワークの通信から取得した複数の第３の通信トリプレットから異常な第３の通信トリプレットを除いた通信トリプレットを、ホワイトリスト３０１ａとして記憶させることができる。

　また、本変形例では、推定した異常度を示すスコアを用いて、安全でない（異常である）と推定される通信トリプレットを除いたより安全な通信トリプレットで構成される学習用通信トリプレット３０１に更新することができる。これにより、学習装置部２Ａに、更新した学習用通信トリプレット３０１を用いて、モデル３０２を再学習処理させることができる。つまり、学習期間としての所定期間のネットワークの通信から取得した複数の通信トリプレットから異常な通信トリプレットを除いたものに更新した学習用通信トリプレット３０１を再学習用データとして用いて、モデル３０２を再学習させることができる。これにより、通信監視装置１は、再学習されたモデル３０２を用いることにより、スコアリング処理の際に、異常な通信トリプレットを見逃してしまう可能性を抑制できる。

　（他の実施態様の可能性）
　以上、本開示の一態様に係る通信監視方法、及び、通信監視システムについて、実施の形態に基づいて説明したが、本開示は、これらの実施の形態に限定されるものではない。本開示の趣旨を逸脱しない限り、当業者が思いつく各種変形を本実施の形態に施したもの、あるいは異なる実施の形態における構成要素を組み合わせて構築される形態も、本開示の範囲内に含まれる。例えば、以下のような場合も本開示に含まれる。

　（１）上記の通信監視システムを構成する構成要素の一部または全部は、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭ、ハードディスクユニット、ディスプレイユニット、キーボード、マウスなどから構成されるコンピュータシステムでもよい。前記ＲＡＭまたはハードディスクユニットには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、各装置は、その機能を達成する。ここでコンピュータプログラムは、所定の機能を達成するために、コンピュータに対する指令を示す命令コードが複数個組み合わされて構成されたものである。

　（２）上記の通信監視システムを構成する構成要素の一部または全部は、１個のシステムＬＳＩ（Large Scale Integration：大規模集積回路）から構成されているとしてもよい。システムＬＳＩは、複数の構成部を１個のチップ上に集積して製造された超多機能ＬＳＩであり、具体的には、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどを含んで構成されるコンピュータシステムである。前記ＲＡＭには、コンピュータプログラムが記憶されている。前記マイクロプロセッサが、前記コンピュータプログラムにしたがって動作することにより、システムＬＳＩは、その機能を達成する。

　（３）上記の通信監視システムを構成する構成要素の一部または全部は、各装置に脱着可能なＩＣカードまたは単体のモジュールから構成されているとしてもよい。前記ＩＣカードまたは前記モジュールは、マイクロプロセッサ、ＲＯＭ、ＲＡＭなどから構成されるコンピュータシステムである。前記ＩＣカードまたは前記モジュールは、上記の超多機能ＬＳＩを含むとしてもよい。マイクロプロセッサが、コンピュータプログラムにしたがって動作することにより、前記ＩＣカードまたは前記モジュールは、その機能を達成する。このＩＣカードまたはこのモジュールは、耐タンパ性を有するとしてもよい。

　本開示は、通信監視方法、及び、通信監視システムに利用でき、特に、セキュリティ監視者に大きな分析負荷をかけずに、ＩＣＳのセキュリティ対策を行うための通信監視方法、及び、通信監視システムに利用できる。

　１　通信監視装置
　２、２Ａ　学習装置部
　１１、２１　コネクション取得部
　１２、２２、２２Ａ　通信トリプレット抽出部
　１３　スコアリング部
　２３、２３Ａ　学習部
　３０、３１、３２　記憶部
　３３Ａ　異常度確認部
　１００　通信監視システム
　３０１　学習用通信トリプレット
　３０１ａ　ホワイトリスト
　３０２　モデル

Claims

　ネットワークの通信を監視する通信監視方法であって、
　前記通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出するステップと、
　抽出された前記第１の通信トリプレットが、ホワイトリストとして記憶部に予め記憶された複数の第２の通信トリプレットであって送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットのいずれかに該当するか判定するステップと、
　前記第１の通信トリプレットが前記複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて前記第１の通信トリプレットが前記通信として出現する可能性をスコアとして推定して出力するステップとを含む、
　通信監視方法。
　出力するステップでは、
　前記スコアが閾値以下である場合、前記通信が疑わしい通信である旨を示す監視結果を出力する、
　請求項１に記載の通信監視方法。
　前記スコアを推定する際、
　前記学習済のモデルに、
　前記第１の通信トリプレットを構成する３つの組の集合を、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類とするマルチグラフに変換させ、かつ、前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせることで、前記第１の通信トリプレットの各要素のベクトル表現を獲得させ、
　獲得させた前記第１の通信トリプレットのベクトル表現から、前記スコアを推定させる、
　請求項１または２に記載の通信監視方法。
　前記モデルは、
　R-GCN（Relational Graph Convolutional Network）で構成される、
　請求項３に記載の通信監視方法。
　前記スコアを推定する際、
　前記学習済のモデルに、
　前記第１の通信トリプレットを構成する３つの組の集合を、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類とするマルチグラフに変換させ、前記マルチグラフから、前記第１の通信トリプレットのベクトル表現を獲得させ、
　獲得させた前記第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、前記スコアを推定させる、
　請求項１または２に記載の通信監視方法。
　前記モデルは、COMPGCN（COMPosition-based multi-relational Graph Convolutional Networks）で構成される、
　請求項５に記載の通信監視方法。
　前記スコアを推定する際、
　前記学習済のモデルに、
　前記第１の通信トリプレットを構成する３つの組の集合から、前記第１の通信トリプレットのベクトル表現を獲得させ、
　獲得させた前記第１の通信トリプレットのベクトル表現から、リンク予測アルゴリズムを用いて、前記スコアを推定させる、
　請求項１または２に記載の通信監視方法。
　前記モデルは、
　DistMult、convE（convolutional 2D Knowledge Graph Embeddings）、TransE（Translating Embeddings for Modeling Multi-relational Data）、HolE（Holographic Embeddings of Knowledge Graphs）、及び、ComplEx（Complex Embeddings for Simple Link Prediction）のいずれかで構成される、
　請求項７に記載の通信監視方法。
　前記送信元デバイスを示す情報は、送信元デバイスであるサーバのＩＰアドレスであり、
　前記宛先デバイスを示す情報は、宛先デバイスであるクライアントのＩＰアドレスであり、
　前記通信種別を示す情報は、ＴＣＰ／ＵＤＰのポート番号またはアラート種別を含む、
　請求項１～８のいずれか１項に記載の通信監視方法。
　前記送信元デバイスを示す情報は、送信元デバイスのＭＡＣアドレスまたはシリアル番号であり、
　前記宛先デバイスを示す情報は、宛先デバイスのＭＡＣアドレスまたはシリアル番号であり、
　前記通信種別を示す情報は、送信元デバイス及び宛先デバイスの間でやりとりする通信命令の種別またはアラート種別を含む、
　請求項１～８のいずれか１項に記載の通信監視方法。
　前記通信監視方法は、前記抽出するステップの前において、さらに、
　所定期間のネットワークの通信から、前記第２の通信トリプレットを取得するステップと、
　取得した前記第２の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる学習処理を行うステップとを含む、
　請求項１～１０のいずれか１項に記載の通信監視方法。
　前記通信監視方法は、前記抽出するステップの前において、さらに、
　所定期間のネットワークの通信から、前記第２の通信トリプレットを取得するステップと、
　取得した前記第２の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性をスコアとして推定させる学習処理を行うステップと、
　学習済の前記モデルを用いて取得した前記第２の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップとを含む、
　請求項１～１０のいずれか１項に記載の通信監視方法。
　前記モデルに、前記第２の通信トリプレットのベクトル表現を獲得させる学習処理では、
　前記第２の通信トリプレットを構成する３つの組の集合から、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類としてマルチグラフを構築し、
　構築した前記マルチグラフを前記モデルに入力し、前記モデルに前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせ、前記第２の通信トリプレットのベクトル表現を獲得させる学習を行う、
　請求項１１または１２に記載の通信監視方法。
　前記学習用データとして用いられる前記第２の通信トリプレットには、
　前記通信種別として、当該通信種別に加えて前記所定期間のネットワークの通信に関する特徴量を含む、
　請求項１１～１３のいずれか１項に記載の通信監視方法。
　前記特徴量は、前記所定期間のネットワークの通信における単位時間あたり通信量及び通信時間間隔の中央値の少なくとも一方を含む、
　請求項１４に記載の通信監視方法。
　前記通信監視方法は、前記抽出するステップの前において、さらに、
　所定期間のネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及び通信種別を示す情報からなる３つの組で構成される複数の第３の通信トリプレットを取得するステップと、
　取得した前記複数の第３の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる学習処理を行うステップと、
　学習済の前記モデルを用いて前記複数の第３の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップと、
　前記複数の第３の通信トリプレットから前記異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、前記複数の第２の通信トリプレットとして前記記憶部に記憶するステップとを含む、
　請求項１～１０のいずれか１項に記載の通信監視方法。
　前記通信監視方法は、前記抽出するステップの前において、さらに、
　所定期間のネットワークの通信から、送信元デバイスを示す情報、宛先デバイスを示す情報、及び通信種別を示す情報からなる３つの組で構成される複数の第３の通信トリプレットを取得するステップと、
　取得した前記複数の第３の通信トリプレットを、学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる学習処理を行うステップと、
　学習済の前記モデルを用いて前記複数の第３の通信トリプレットのそれぞれが前記通信として出現する可能性を、異常度を示すスコアとして推定して出力するステップと、
　前記複数の第３の通信トリプレットから前記スコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、再学習用データとして用いて、前記モデルに、前記第３の通信トリプレットのベクトル表現を獲得させ、かつ、前記所定期間のネットワークの通信が出現する可能性を、スコアとして推定させる再学習処理を行うステップと、
　前記複数の第３の通信トリプレットから前記異常度を示すスコアに基づき１以上の第３の通信トリプレットを除いた通信トリプレットを、前記複数の第２の通信トリプレットとして前記記憶部に記憶するステップとを含む、
　請求項１～１０のいずれか１項に記載の通信監視方法。
　学習処理または再学習処理では、
　前記第３の通信トリプレットを構成する３つの組の集合から、前記送信元デバイスを示す情報及び前記宛先デバイスを示す情報をノード、前記通信種別を示す情報をエッジの種類としてマルチグラフを構築し、
　構築した前記マルチグラフを前記モデルに入力し、前記モデルに前記マルチグラフの各ノードを固定次元のベクトル表現にマッピングさせ、前記第２の通信トリプレットのベクトル表現を獲得させる学習を行う、
　請求項１６または１７に記載の通信監視方法。
　ネットワークの通信を監視する通信監視システムであって、
　前記通信から、送信元デバイスを示す情報、宛先デバイスを示す情報及びデバイス間でやりとりする通信種別を示す情報からなる３つの組で構成される第１の通信トリプレットを抽出する抽出部と、
　ホワイトリストとして、送信元デバイスを示す情報、宛先デバイスを示す情報及び通信種別を示す情報からなる３つの組でそれぞれ構成される複数の第２の通信トリプレットが予め記憶されている記憶部と、
　抽出された前記第１の通信トリプレットが、前記複数の第２の通信トリプレットのいずれかに該当するか判定し、前記第１の通信トリプレットが前記複数の第２の通信トリプレットのいずれにも該当しない場合、学習済のモデルを用いて前記第１の通信トリプレットが前記通信として出現する可能性をスコアとして推定して出力するスコアリング部とを備える、
　通信監視システム。