WO2022190198A1

WO2022190198A1 - 推定装置、推定方法およびプログラム

Info

Publication number: WO2022190198A1
Application number: PCT/JP2021/009228
Authority: WO
Inventors: 友貴山中
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: NTT Inc
Priority date: 2021-03-09
Filing date: 2021-03-09
Publication date: 2022-09-15
Anticipated expiration: 2023-09-09
Also published as: JPWO2022190198A1; AU2021432832B2; EP4307637A4; CN117063440A; AU2021432832A1; EP4307637A1; US20240160445A1; JP7568975B2; EP4307637B1

Abstract

推定装置１は、パケットデータを、前記パケットデータの各バイトに、各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータ１５を異常ベクトルデータ１６変換する変換部２１と、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、異常ベクトルデータ１６の類似度が相対的に高い正常ベクトルデータ１７抽出する抽出部２３、異常ベクトルデータ１６の各バイトに対応するベクトルと、抽出された正常ベクトルデータ１７の各バイトに対応するベクトルとの類似度から、異常パケットデータ１５における異常バイトを推定する推定部２４を備える。

Description

推定装置、推定方法およびプログラム

　本発明は、推定装置、推定方法およびプログラムに関する。

　産業系・ビル系等におけるオペレーショナルテクノロジ（OT：Operational Technology）の通信ネットワークにおいて、異常検知システムまたは侵入検知システム（OT-IDS：Operational Technology Intrusion Detection System）が注目されている。このような通信ネットワークで送受信されるパケットは、１バイトなどの少量の不正な書き換えも見逃さずに検知される必要がある。例えば不正な書き換えにより温度の設定値が一桁変わってしまうなど、想定外のオペレーションが重大な事故を引き起こす場合がある。

　ネットワークを監視するツールがある（非特許文献１および非特許文献２参照）。これらのツールでは、ネットワークで送受信されるデータを監視し、分析することができる。

WIRESHARK、［online］、［2021年2月25日検索］、インターネット〈URL：https://www.wireshark.org/〉 zeek、［online］、［2021年2月25日検索］、インターネット〈URL：https://zeek.org/〉

　しかしながら、いずれの非特許文献も、異常パケットにおける異常バイトを特定することができない。

　本発明は、上記事情に鑑みてなされたものであり、本発明の目的は、異常パケットにおける異常バイトを推定可能な技術を提供することである。

　本発明の一態様の推定装置は、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換する変換部と、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出する抽出部と、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する推定部を備える。

　本発明の一態様の推定方法は、コンピュータが、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換し、前記コンピュータが、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出し、前記コンピュータが、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する。

　本発明の一態様は、上記推定装置として、コンピュータを機能させるプログラムである。

　本発明によれば、異常パケットにおける異常バイトを推定可能な技術を提供することができる。

図１は、本発明の実施の形態に係る推定装置の機能ブロックを説明する図である。図２は、モデルが変換するデータの一例を説明する図である。図３は、推定方法の処理の一例を示すフローチャートである。図４は、推定装置の評価システムの各装置を説明する図である。図５は、評価システムで得られたパケットの一例を説明する図である。図６は、評価システムで得られた類似度行列の一例を説明する図である。図７は、推定装置に用いられるコンピュータのハードウエア構成を説明する図である。

　以下、図面を参照して、本発明の実施形態を説明する。図面の記載において同一部分には同一符号を付し説明を省略する。

　（推定装置）
　図１を参照して本発明の実施の形態に係る推定装置１を説明する。推定装置１は、異常パケットが入力されると、その異常パケット中の異常バイトを推定して出力する。推定装置１は、他システムで異常と判定された異常パケットと、その他システムで正常と判定された正常パケットと比較して、入力された異常パケットにおける異常バイトを推定する。例えば正常パケットおよび異常パケットは、それぞれ一つのオペレーションテクノロジの通信ネットワークで収集される。他システムは、任意の方法で、パケットの正常または異常を判定すればよく、本発明の実施の形態において、判定方法は問わない。

　推定装置１は、モデルデータ１１、正常ベクトルデータ群１２、異常パケットデータ１５、異常ベクトルデータ１６、正常ベクトルデータ１７および異常バイト１８の各データと、変換部２１、生成部２２、抽出部２３および推定部２４の各機能を備える。各データは、メモリ９０２またはストレージ９０３に記憶される。各機能は、CPU９０１に実装される。

　モデルデータ１１は、パケットデータを、ベクトルデータに変換するモデルを特定する。ベクトルデータは、パケットデータの各バイトに、各バイトの値の特徴を表す各ベクトルを対応づける。モデルデータ１１は、後述の生成部２２によって、正常ベクトルデータ群１２の複数の正常パケットデータの各バイトの値を学習して生成される。各バイトの値の特徴は、複数の正常パケットデータの各バイトの値と比較して算出される。

　モデルデータ１１は、入力されたパケットデータの各バイトを、それぞれのバイトの位置関係等を考慮して、適切な固定長のベクトルに変換するモデルを特定する。ここで適切な固定長のベクトルは、後述の推定部２４において、異常ベクトルデータ１６と正常ベクトルデータ１７とを比較することによって異常バイト１８を推定可能なベクトルを意味する。例えば図２に示すように、第１のバイトの値“２ｅ”、第２のバイトの値“３ｆ”、第３のバイトの値“００”・・・と、固定長のパケットデータがあるとする。このパケットデータの各バイトは、モデルによって、７８４次元ベクトルに変換される。図２に示す例においてモデルは、パケットデータの各バイトを、各バイトの値の特徴を表す７８４次元ベクトルに変換する。

　モデルデータ１１は、例えばＢＥＲＴ(Bidirectional Encoder Representations from Transformers)によって生成される。ＢＥＲＴは、自然言語処理モデルである。本発明の実施の形態において、パケットデータの各バイトが一つの単語とみなされる。ＢＥＲＴを用いて生成されたモデルによって、パケットデータは、ベクトルデータに変換される。

　正常ベクトルデータ群１２は、複数の正常ベクトルデータを含む。正常ベクトルデータは、モデルデータ１１によって特定されるモデルを用いて、他システムにおいて正常と判定された正常パケットデータが変換されたデータである。正常ベクトルデータ群１２は、生成部２２がモデルデータ１１を生成する際、または抽出部２３が異常ベクトルデータ１６に類似する正常ベクトルデータ１７を抽出する際に参照される。正常ベクトルデータ群１２に含まれる複数の正常ベクトルデータを、生成部２２および抽出部２３がともに参照しても良い。あるいは正常ベクトルデータ群１２に含まれる複数の正常ベクトルデータを複数のグループにわけて、１つのグループを生成部２２が参照し、別のグループを抽出部２３が参照しても良い。

　異常パケットデータ１５は、他システムにおいて異常パケットと特定されたパケットのデータである。推定装置１は、１つの異常パケットデータ１５について異常バイト１８を推定する。

　異常ベクトルデータ１６は、異常パケットデータ１５をモデルデータ１１が特定するモデルで変換されたデータである。異常ベクトルデータ１６は、異常パケットデータ１５の各バイトの位置の識別子に、各バイトの値の特徴を表す各ベクトルを対応づける。

　正常ベクトルデータ１７は、正常ベクトルデータ群１２に含まれる複数の正常ベクトルデータのうち、異常ベクトルデータ１６と相対的に類似度が高いデータである。正常ベクトルデータ１７は、正常ベクトルデータ群１２に含まれる複数の正常ベクトルデータのうち、異常ベクトルデータ１６と最も類似度が高い正常ベクトルデータである。あるいは正常ベクトルデータ１７は、類似度が高い所定数の正常ベクトルデータのうちの一つである。

　異常バイト１８は、異常パケットデータ１５の各バイトのうち、異常が推定されるバイトを特定するデータである。異常バイト１８は、例えば、異常パケットデータ１５の各バイトの位置を先頭から数えた順番で特定される。

　変換部２１は、モデルデータ１１で特定されるモデルを用いて、異常パケットデータ１５を異常ベクトルデータ１６に変換する。例えば図２に示すように、変換部２１は、異常パケットデータ１５の各バイトの値を、７８４次元ベクトルに変換する。変換部２１は、異常パケットデータ１５の各バイトの位置と、そのバイトから変換された７８４次元ベクトルを対応づけて、異常ベクトルデータ１６を出力する。

　生成部２２は、正常ベクトルデータ群１２の複数の正常パケットデータの各バイトの値を学習して、モデルデータ１１が特定するモデルを生成する。モデルは、パケットデータを、パケットデータの各バイトに、各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換する。生成部２２は、例えば、ＢＥＲＴに従ってモデルを生成する。生成部２２は、正常パケットデータにおける各バイトの値の特徴を、ＭＬＭ(Masked Language Model)またはＮＳＰ(Next Sentence Prediction)などの補助タスクを解いて予備学習しても良い。ＭＬＭは、複数のバイトが欠落しているパケットにおいて、これらの欠落しているバイトの値を予測する。ＮＳＰは、２つのパケットデータが連続したパケットであるか否かを判定する。生成部２２は、これらの補助タスクにより、パケット内のデータの妥当性および連続するパケットの妥当性を特定して、生成部２２は、正常ベクトルデータを特定するモデルを生成する。ここに挙げる補助タスクは一例であって、生成部２２は、その他の補助タスクを解いて学習しても良い。

　抽出部２３は、正常ベクトルデータ群１２の複数の正常ベクトルデータから、異常ベクトルデータ１６との類似度が相対的に高い正常ベクトルデータを抽出する。抽出部２３は、抽出した正常ベクトルデータを、正常ベクトルデータ１７とする。

　類似度が相対的に高いとは、異常ベクトルデータ１６とある正常ベクトルデータとの類似度が、異常ベクトルデータ１６と他の正常ベクトルデータとの類似度よりも高いことを言う。抽出部２３は、異常ベクトルデータ１６との類似度が最も高い正常ベクトルデータを抽出しても良い。あるいは抽出部２３は、異常ベクトルデータ１６との類似度が高い所定数または所定割合の複数の正常ベクトルデータから、一つの正常ベクトルデータを抽出しても良い。

　抽出部２３は、異常ベクトルデータ１６と、正常ベクトルデータ群１２の各正常ベクトルデータとの類似度を算出する。抽出部２３は、正常ベクトルデータ群１２のうちの一部の正常ベクトルデータとの類似度を算出しても良い。例えば一部の正常ベクトルデータは、複数の正常パケットデータから、MMD-Critic(MMD:Maximum Mean Discrepancy)で複数の代表パケットデータを抽出し、抽出した各代表パケットデータをモデルで変換して得られた複数の正常ベクトルデータである。あるいは一部の正常ベクトルデータは、複数の正常パケットデータから異常パケットデータ１５と同じパケット長の正常パケットデータを抽出し、抽出した各正常パケットデータをモデルで変換して得られた複数の正常ベクトルデータである。

　モデルがＢＥＲＴの場合、抽出部２３は、類似度として、ＢＥＲＴＳｃｏｒｅを用いても良い。あるいは、抽出部２３は、異常ベクトルデータ１６の各バイトについて、異常ベクトルデータ１６のベクトルと正常ベクトルデータのベクトルとの類似度を算出して、各バイトについて算出された類似度から、異常ベクトルデータ１６と正常ベクトルデータとの類似度を算出しても良い。各バイトのベクトル間の類似度は、Cosine類似度が用いられても良い。異常ベクトルデータ１６と正常ベクトルデータ１７の類似度は、例えば、各バイトについて算出された類似度の平均である。このとき、異常ベクトルデータ１６のベクトルの数と、正常ベクトルデータ１７のベクトルの数が異なる場合、少ないベクトルの数にあわせて、類似度が算出されても良い。なお各ベクトルデータのベクトルの数は、変換前のパケットデータのバイト数である。

　推定部２４は、異常ベクトルデータ１６の各バイトに対応するベクトルと、抽出された正常ベクトルデータ１７の各バイトに対応するベクトルとの類似度から、異常パケットデータ１５における異常バイト１８を推定する。

　抽出部２３は、異常ベクトルデータ１６に含まれる各ベクトルと正常ベクトルデータ１７に含まれる各ベクトルとの間で、図６に示すようなCosine類似度行列を計算する。Cosine類似度行列の(n,m)成分は、異常ベクトルデータ１６のnバイト目に対応するベクトルと、正常ベクトルデータ１７のmバイト目に対応するベクトル間のCosine類似度である。

　推定部２４は、例えば、異常パケットデータ１５の所定のバイトに対応するベクトルと、抽出された正常ベクトルデータ１７の各バイトに対応するベクトルとの類似度のうち、最も高い類似度が所定の閾値よりも低い場合、所定のバイトを異常バイト１８と推定する。異常パケットデータ１５のi番目のバイトが異常バイトであるかどうかを以下のように推定する。ｍを正常パケットデータのパケット長とする。推定部２４は、上記で算出したCosine類似度行列の(i, 1)成分, (i, 2)成分, (i, 3)成分, … (i, m)成分の各成分に着目する。推定部２４は、各正文のうち最もCosine類似度が高い成分が、ある閾値以下であれば、i番目のバイトは異常バイト１８であると推定する。

　異常パケットデータ１５のバイト数と、正常ベクトルデータ１７の変換前のパケットデータのバイト数が同じ場合、異常パケットデータ１５と正常ベクトルデータ１７の同じバイトに対応する各ベクトルを比較しても良い。例えば異常パケットデータ１５のｉ番目バイトが異常バイトであるか否かを推定する際、異常パケットデータ１５のｉ番目のバイトに対応するベクトルデータと、正常パケットデータのｉ番目のバイトに対応するベクトルデータの類似度が、所定の閾値よりも低い場合、推定部２４は、異常パケットデータ１５のｉ番目のバイトを異常バイトと推定する。

　推定部２４が異常バイトであるか否かを判定するための閾値は、例えば、０．５等の固定値でも良い。あるいは閾値は、所定の計算により特定されても良い。例えば、互いに類似する２つの正常パケットのペアを複数抽出し、所定のバイトに対応する２つの正常パケットの各ベクトルの類似度のうち、最も低い類似度から、閾値が特定されても良い。

　図３を参照して、本発明の実施の形態に係る推定装置１による推定方法を説明する。

　ステップＳ１において推定装置１は、異常パケットデータ１５を異常ベクトルデータ１６に変換する。ステップＳ２において推定装置１は、正常ベクトルデータ群１２から、ステップＳ１で変換した異常ベクトルデータ１６に類似する正常ベクトルデータ１７を抽出する。

　異常ベクトルデータ１６の各ベクトル、換言すると、異常パケットデータ１５の各バイトに対応する各ベクトルについて、ステップＳ３ないしステップＳ５の処理を繰り返す。

　ステップＳ２で抽出した正常ベクトルデータ１７の各ベクトルについて、ステップＳ３の処理を繰り返す。ステップＳ３において推定装置１は、異常ベクトルデータ１６の処理対象のベクトルと、正常ベクトルデータ１７の処理対象のベクトルとの類似度を算出する。類似度が算出されると、処理はステップＳ４に進む。

　ステップＳ４において推定装置１は、異常ベクトルデータ１６の処理対象のベクトルと正常ベクトルデータ１７の各ベクトルについて算出された複数の類似度のうち、最も高い類似度が、所定の閾値より低いか否かを判定する。最も高い類似度が所定の閾値より高い場合、推定装置１は、異常ベクトルデータ１６の処理対象のベクトルは、異常バイトに対応しないと推定する。推定装置１は、次の処理対象のベクトルについてステップＳ３を処理する。

　最も高い類似度が所定の閾値より低い場合、推定装置１は、異常ベクトルデータ１６の処理対象のベクトルは、異常バイトに対応すると推定する。推定装置１は、ステップＳ６において、異常ベクトルデータ１６の処理対象のベクトルに対応するバイトを、異常バイト１８として出力する。

　異常ベクトルデータ１６の各ベクトルについてステップＳ３ないしステップＳ５の処理が終了すると、推定装置１は処理を終了する。

　図４ないし図６を参照して、推定装置１の評価を説明する。推定装置１の評価において、仮想の評価システムを用いる。

　評価システムは、図４に示すように４つのベルトコンベアＣ１－Ｃ４を矩形に配置し、ＰＬＣ（Programmable Logic Controller）（図示せず）を用いて、荷物Ｂ１およびＢ２の移動を制御する。図４に示す各装置は、Modbus/TCPプロトコル等に従って、ＰＬＣに状態を通知するパケットを送信したり、ＰＬＣから駆動内容を指定するパケットを受信したりする。正常状態においてＰＬＣは、センサＳ１－Ｓ４の検出状況に従ってプッシャーＰ１－Ｐ４を駆動することにより、ベルトコンベアＣ１－Ｃ４は、一定速度で反時計回りに荷物Ｂ１およびＢ２を運ぶ。ベルトコンベアの速度は、ＰＬＣによって逐次監視される。ベルトコンベアの速度が一定速度を超過すると、ＰＬＣにより、図４に示す各装置に対して緊急停止命令が発せられ、各装置は停止する。

　例えば荷物Ｂ１は、ベルトコンベアＣ１上を移動する。このときベルトコンベアＣ１は、ベルトの移動速度を通知するパケットをＰＬＣに送信する。荷物Ｂ１が、センサＳ１が出射するレーザー光に当接すると、センサＳ１は、荷物が到達したことを知らせるパケットをＰＬＣに送信する。なお図４に示す例において、レーザー光は一点鎖線で示す。ＰＬＣは、パケットを受信すると、プッシャーＰ１をＯＮにするパケットを送信する。プッシャーＰ１は、受信したパケットに従って、ボックスから延伸して、荷物Ｂ１をベルトコンベアＣ２まで運ぶ。センサＳ１が出射するレーザー光に荷物が当接しなくなると、センサＳ１は、荷物がないことを知らせるパケットをＰＬＣに送信する。ＰＬＣは、パケットを受信すると、プッシャーＰ１をＯＦＦにするパケットを送信する。プッシャーＰ１は、受信したパケットに従って、短縮してボックスに収容される。このような処理を各装置が繰り返すことにより、荷物Ｂ１は、図４に示すベルトコンベア上を反時計回りに移動する。荷物Ｂ２についても同様に、図４に示すベルトコンベア上を反時計回りに移動する。

　ＰＬＣは、図４に示す各装置が正常に稼働している際に正常パケットデータを収集する。生成部２２は、ＰＬＣによって収集された複数の正常パケットデータを学習して、モデルデータ１１を生成する。評価システムにおいて、抽出部２３は、ＰＬＣが収集した各正常パケットデータから変換された複数の正常ベクトルデータを参照する。また類似度の尺度として、ＢＥＲＴＳｃｏｒｅＦ１を用いる。

　速度が異常値になるように手動でベルトコンベアを早く動かすことで、異常状態を発生させる。ＰＬＣに、異常パケットデータ１５として、この異常状態におけるベルトコンベアの速度を通知するパケットが入力される。

　抽出部２３は、異常パケットデータ１５から変換された異常ベクトルデータ１６に最も類似する正常ベクトルデータを抽出する。図５は、異常パケットデータ１５と、抽出部２３が抽出した正常ベクトルデータの変換前の正常パケットデータを比較して示す。

　図５において１バイト目および２バイト目は、交信ＩＤが設定される。交信ＩＤは、図４に示すシステムにおいて送受信されるパケットを特定する識別子である。１１バイト目は、ベルトコンベアの速度が設定される。図５に示す例において、１バイト目、２バイト目および１１バイト目において、異常パケットと正常パケットの値は相違するが、それ以外のバイトの値は一致する。抽出部２３は、異常ベクトルデータ１６に最も類似する正常ベクトルデータを抽出したことがわかる。

　図６は、異常パケットと正常パケットの各バイトのベクトル間の類似度行列である。図６から高い類似度は、対角線上に配置されていることがわかる。但し対角線上のうち、１バイト目同士、２バイト目同士および１１バイト目同士を比較した類似度は、低い値を有する。異常パケットの１バイト目、２バイト目、または１１バイト目が異常バイトの可能性があると考えられる。

　一方、互いに類似する２つの正常パケットから変換された２つの正常ベクトルデータを比較した結果、同じバイトに対応するベクトルを比較した類似度のうち最も低い類似度が０．９１であった。この０．９１を、異常バイトを検出する際の閾値とする。

　１バイト目および２バイト目の各類似度は、０．９１より大きいので、推定部２４は、１バイト目および２バイト目について異常バイトでないと推定する。１バイト目および２バイト目は、各パケットよって異なる交信ＩＤが設定されることから、正常パケットと異常パケットとで異なる値が設定されても、閾値よりも高い類似度が算出される。

　一方１１バイト目の類似度は０．８２７で、０．９１より小さいので、推定部２４は、１１バイト目を異常バイトと推定する。１１バイト目は、ベルトコンベアの速度が設定される。推定部２４によるこの推定は、手動でベルトコンベアを早く動かすことで異常状態を発生させた状況とも合致する。

　このような本発明の実施の形態に係る推定装置１は、異常パケットデータ１５における異常バイト１８を推定することができる。これにより推定装置１は、ペイロードの内容の精緻な分析が可能になる。例えば産業系・ビル系等におけるオペレーショナルテクノロジの通信ネットワークなどに推定装置１を導入することにより、１バイトなどの少量の不正な書き換えも見逃さずに検知することが可能になる。

　上記説明した本実施形態の推定装置１は、例えば、CPU（Central Processing Unit、プロセッサ）９０１と、メモリ９０２と、ストレージ９０３（HDD：Hard Disk Drive、SSD：Solid State Drive）と、通信装置９０４と、入力装置９０５と、出力装置９０６とを備える汎用的なコンピュータシステムが用いられる。このコンピュータシステムにおいて、CPU９０１がメモリ９０２上にロードされたプログラムを実行することにより、推定装置１の各機能が実現される。

　なお、推定装置１は、１つのコンピュータで実装されてもよく、あるいは複数のコンピュータで実装されても良い。また推定装置１は、コンピュータに実装される仮想マシンであっても良い。

　推定装置１のプログラムは、HDD、SSD、USB（Universal Serial Bus）メモリ、CD (Compact Disc)、DVD (Digital Versatile Disc)などのコンピュータ読取り可能な記録媒体に記憶することも、ネットワークを介して配信することもできる。

　なお、本発明は上記実施形態に限定されるものではなく、その要旨の範囲内で数々の変形が可能である。

　１　推定装置
　１１　モデルデータ
　１２　正常ベクトルデータ群
　１５　異常パケットデータ
　１６　異常ベクトルデータ
　１７　正常ベクトルデータ
　１８　異常バイト
　２１　変換部
　２２　生成部
　２３　抽出部
　２４　推定部
　９０１　CPU
　９０２　メモリ
　９０３　ストレージ
　９０４　通信装置
　９０５　入力装置
　９０６　出力装置

Claims

　パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換する変換部と、
　複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出する抽出部と、
　前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する推定部
　を備える推定装置。
　前記モデルは、複数の正常パケットデータの各バイトの値を学習して生成される
　請求項１に記載の推定装置。
　前記抽出部は、前記異常ベクトルデータの各バイトについて、前記異常ベクトルデータのベクトルと前記正常ベクトルデータのベクトルとの類似度を算出して、前記各バイトについて算出された類似度から、前記異常ベクトルデータと前記正常ベクトルデータとの類似度を算出する
　請求項１に記載の推定装置。
　前記推定部は、前記異常パケットデータの所定のバイトに対応するベクトルと、前記抽出された正常ベクトルデータの各バイトに対応するベクトルとの類似度のうち、最も高い類似度が所定の閾値よりも低い場合、前記所定のバイトを前記異常バイトと推定する
　請求項１に記載の推定装置。
　コンピュータが、パケットデータを、前記パケットデータの各バイトに、前記各バイトの値の特徴を表す各ベクトルを対応づけるベクトルデータに変換するモデルを用いて、異常パケットデータを異常ベクトルデータに変換し、
　前記コンピュータが、複数の正常パケットデータが前記モデルを用いて変換された複数の正常ベクトルデータから、前記異常ベクトルデータとの類似度が相対的に高い正常ベクトルデータを抽出し、
　前記コンピュータが、前記異常ベクトルデータの各バイトに対応するベクトルと、抽出された前記正常ベクトルデータの各バイトに対応するベクトルとの類似度から、前記異常パケットデータにおける異常バイトを推定する
　推定方法。
　コンピュータを、請求項１ないし請求項４のいずれか１項に記載の推定装置として機能させるためのプログラム。