[发明专利]检测装置、检测方法及检测程序

说明书

检测装置(10)具有：模型取得部，其从存储部取得一个以上的与监视对象的通信设备中配备的功能对应的正常通信模型，该存储部存储用于对通信设备中配备的每个功能判断配备该功能的通信设备的通信是否正常的正常通信模型；模型结合部，其结合所取得的一个以上的正常通信模型；以及检测部，其使用所结合的正常通信模型，对监视对象的通信设备的通信进行监视，检测所述通信的异常。

技术领域

本发明涉及用于通信设备的通信的异常检测的检测装置、检测方法以及检测程序。

背景技术

随着IoT(Internet of Things，物联网)时代的到来，为了各种设备的安全对策，正在研究面向IoT设备的通信量会话异常检测系统和侵入检测系统(IDS)。

在上述异常检测系统中，存在使用基于Variational Auto Encoder(参照非专利文献1)等无教师学习的概率密度估计器的系统。

例如，异常检测系统通过学习IoT设备的正常通信模式的发生概率，生成用于判断IoT设备的正常通信的概率密度估计器(模型)。然后，异常检测系统使用上述模型，计算监视对象的各IoT设备的通信的发生概率，将发生概率小的通信检测为不正常的通信(异常的通信)。这样，即使不知道恶性的通信模式也能够检测通信的异常。上述的方法例如适用于对不知道所有威胁信息的IoT设备的辅助攻击的检测等。

现有技术文献

非专利文献

非专利文献1：Auto-Encoding Variational Bayes，[平成30年11月30日检索]，因特网URL：https：//arxiv.org/abs/1312.6114

发明内容

发明要解决的课题

但是，如上所述，在学习IoT设备等通信设备的正常的通信模式而生成模型的情况下，在用于生成模型的学习期间中，无法检测通信设备的通信的异常，所以上述的IoT设备等通信设备成为无防备的状态。而且，在正常的通信模式的学习中需要网罗所有的正常的通信模式，因此用于模型生成的学习期间变长的情况较多。因此，通信设备成为无防备状态的期间也可能变长。

因此，本发明的目的在于解决上述问题，防止在用于检测通信设备的通信异常的模型的学习期间，该通信设备成为没有进行异常检测的状态(无防备状态)。

用于解决课题的手段

为了解决上述课题，本发明的特征在于，包括：模型取得部，其从存储部取得一个以上的与监视对象的通信设备所具有的功能对应的正常通信模型，该存储部存储所述正常通信模型，该正常通信模型用于对通信设备中配备的每个功能判断配备该功能的通信设备的通信是否正常；以及检测部，其使用所述取得的正常通信模型，监视所述监视对象的通信设备的通信，检测所述通信的异常。

发明的效果

根据本发明，在用于检测通信设备的通信异常的模型的学习期间内，能够防止该通信设备成为未进行异常检测的状态(无防备状态)。

附图说明

图1是用于说明检测装置的概要的图。

图2是用于说明基于检测装置结合的正常通信模型的检测和基于追加学习后的正常通信模型的检测的图。

图3是表示包含检测装置的系统的结构例的图。

图4是表示检测装置使用结合后的正常通信模型，对监视对象的通信设备的通信进行监视的步骤的例子的流程图。

图5是表示检测装置进行结合的正常通信模型的追加学习，使用追加学习后的正常通信模型，对监视对象的通信设备的通信进行监视的顺序的例子的流程图。

图6是表示执行检测程序的计算机的例子的图。