CN116601922A - 阈值计算装置、异常检测装置、阈值计算方法及异常检测方法 - Google Patents
阈值计算装置、异常检测装置、阈值计算方法及异常检测方法 Download PDFInfo
- Publication number
- CN116601922A CN116601922A CN202180084696.9A CN202180084696A CN116601922A CN 116601922 A CN116601922 A CN 116601922A CN 202180084696 A CN202180084696 A CN 202180084696A CN 116601922 A CN116601922 A CN 116601922A
- Authority
- CN
- China
- Prior art keywords
- communication
- threshold
- status
- period
- facility
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2823—Reporting information sensed by appliance or service execution status of appliance services in a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/283—Processing of data at an internetworking point of a home automation network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0805—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
- H04L43/0817—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Environmental & Geological Engineering (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Telephonic Communication Services (AREA)
Abstract
阈值计算装置计算异常检测装置中使用的阈值,上述异常检测装置检测设置有家庭网络(11)的施设内的第1设备的异常通信,在施设内,设有与第1设备不同的第2设备,阈值计算装置具备:设备状态取得部(110),取得第1设备的第1期间的设备状态;在室状况判定部(120),基于从第2设备取得的信息,判定在第1期间处于施设内的人的在室状况;通信日志收集部(130),收集基于在第1期间由第1设备收发的通信而生成的通信日志;学习部(140),基于设备状态、在室状况及通信日志,计算针对第1期间之后的第2期间中的第1设备的通信的阈值,设备状态包括第1设备的1个以上的状态,在室状况包括人的1个以上的状况,学习部(140)对于1个以上的状态及1个以上的状况的组合分别计算阈值。
Description
技术领域
本公开涉及阈值计算装置、异常检测装置、阈值计算方法及异常检测方法。
背景技术
近年来,家庭内的各种IoT(Internet of Things)设备开始经由家庭路由器连接到因特网。通过这些家庭内IoT设备被连接到因特网,实现了从远程的控制、状态的监视、设备协同等功能。
另一方面,在作为家庭网络协议已普及的ECHONET Lite(注册商标,以下同样),UPnP(Universal Plug and Play)、DLNA(注册商标,以下同样)(Digital Living NetworkAlliance)等中不包含通信的加密等的安全的概念。
而且,在家庭内IoT设备中不能如以往的个人计算机等IT(InformationTechnology)设备那样导入杀毒软件等的安全软件的情况较多,发生以连接在家庭内等的家庭网络(例如,LAN:Local Area Network等)上的设备为目标的网络攻击。
例如,在家庭内IoT设备由于网络攻击而被不正当操作的情况下,会有智能电视机感染病毒、监视摄像机的影像被公开到网络上、或家庭内IoT设备被挟持到对因特网上的其他服务器的攻击中等情况。进而,在家庭内IoT设备是医疗设备的情况下还有被进行事关人命那样的操作的情况。
因此,在家庭网络中也监视在网络中流动的通信量,检测不正当访问、因病毒感染等造成的家庭内IoT设备的异常变得重要。
作为检测网络的异常的方式,有将已知的异常分组模式(签名)与网络上流动的分组模式进行比较来检测异常的签名检测方式,以及将正常状态的分组模式与网络上流动的分组模式进行比较来检测异常的异常检测方式(例如,参照专利文献1)。
但是,在签名检测方式中,由于必须预先设定异常分组模式,所以不能检测未知的病毒等的异常。
另一方面,在异常检测方式中,如专利文献1通过使用机器学习技术来学习正常状态的分组模式,将与所学习的模型不一致的分组模式全部检测为异常,因此也能够检测未知的病毒等的异常。
现有技术文献
专利文献
专利文献1:日本特开2004-312064号公报
发明内容
发明要解决的课题
但是,在专利文献1所公开的方法中,虽然在学习中使用正常的设备的分组模式来进行异常检测,但在对应于施设内的状态的变化而通信的使用状况发生变化的情况下存在不能正确地进行异常检测的情况。
因此,本公开为了解决上述课题,提供一种能够更正确地进行异常检测的阈值计算装置、异常检测装置、阈值计算方法及异常检测方法。
用来解决课题的手段
有关本公开的一方式的阈值计算装置,其计算在异常检测装置中使用的阈值,所述异常检测装置被连接于施设内网络,检测设置上述施设内网络的施设内的第1设备中的异常通信;在上述施设内,设置有与上述第1设备不同的第2设备;上述阈值计算装置具备:第1设备状态取得部,取得上述第1设备的第1期间的设备状态;第1在室状况判定部,基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;第1通信日志收集部,收集通过在上述第1期间上述第1设备收发的通信所生成的通信日志;以及计算部,基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值;上述设备状态包括上述第1设备的1个以上的状态;上述在室状况包括上述人的1个以上的状况;上述计算部对于上述1个以上的状态及上述1个以上的状况的组合分别计算上述阈值。
有关本公开的一方式的异常检测装置,其被连接于施设内网络,检测设置上述施设内网络的施设内的第1设备中的异常通信;在上述施设内,设置有与上述第1设备不同的第2设备;上述异常检测装置具备:第2设备状态取得部,取得第1期间之后的第2期间的上述第1设备的设备状态;第1在室状况判定部,基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况;第2通信日志收集部,收集通过在上述第2期间上述第1设备收发的通信所生成的通信日志;以及异常检测部,从上述阈值计算装置针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合分别计算出的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
有关本公开的一方式的阈值计算方法,计算在异常检测装置中使用的阈值,所述异常检测装置被连接于施设内网络,检测设置上述施设内网络的施设内的第1设备中的异常通信;在上述施设内,设置有与上述第1设备不同的第2设备;上述阈值计算方法包括:取得上述第1设备的第1期间的设备状态;基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;收集通过在上述第1期间上述第1设备收发的通信所生成的通信日志;基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值;上述设备状态包括上述第1设备的1个以上的状态;上述在室状况包括上述人的1个以上的状况;在上述阈值的计算中,对于上述1个以上的状态及上述1个以上的状况的组合分别计算上述阈值。
有关本公开的一方式的异常检测方法,检测被连接于施设内网络、且设置上述施设内网络的施设内的第1设备中的异常通信;在上述施设内,设置有与上述第1设备不同的第2设备;取得第1期间之后的第2期间的上述第1设备的设备状态;基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况;收集通过在上述第2期间上述第1设备收发的通信所生成的通信日志;从根据上述阈值计算方法针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合分别计算出的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
发明效果
根据本公开,能实现能够更正确地进行异常检测的阈值计算装置等。
附图说明
图1是实施方式的异常检测系统的整体构成图。
图2是实施方式的异常检测处理装置的构成图。
图3是表示实施方式的设备状态数据的一例的图。
图4是表示实施方式的在室状况数据的一例的图。
图5是表示实施方式的通信日志的一例的图。
图6是表示实施方式的学习数据的一例的图。
图7是表示实施方式的阈值数据的一例的图。
图8A是表示实施方式的阈值计算装置的动作的流程图。
图8B是表示实施方式的异常检测装置的动作的流程图。
图9是表示实施方式的设备状态取得处理的一例的流程图。
图10是表示实施方式的设备状态取得处理的一例的流程图。
图11是表示实施方式的设备状态取得处理的另一例的流程图。
图12是表示实施方式的设备状态取得处理的其他另一例的流程图。
图13是表示实施方式的在室状况判定处理的一例的流程图。
图14是表示实施方式的通信日志收集处理的一例的流程图。
图15是表示实施方式的学习处理的一例的流程图。
图16是表示实施方式的学习数据制作处理的一例的流程图。
图17是表示实施方式的阈值设定处理的一例的流程图。
图18是表示实施方式的异常检测处理的一例的流程图。
具体实施方式
(达成本公开的缘由)
如在上述的“发明要解决的课题”中所记载,在专利文献1所公开的方法中,在对应于施设内的状态的变化而通信的使用状况发生变化的情况下存在不能正确地进行异常检测的情况。例如,在家庭内IoT设备中,根据居住者的在室人数、属性等而设备的使用状况不同,因此有可能仅根据正常的设备的分组模式会引起误检测、漏检测等。
例如,在智能电视机启动、照明点亮了的情况下,如果居住者不在,希望检测为异常,但是由于不能进行居住者的在不在的判定,所以不能检测为异常而有可能成为漏检测。
此外,在来客时等由于居住者以外的人连接了新的终端、由于在室人数增加而通信量增加了的情况下,被检测为异常,有可能成为误检测。
这样,在现有技术中,由于没有考虑居住者的在室状况来检测异常,所以在对应于施设内的状态的变化而通信的使用状况发生变化的情况下不能正确地进行异常检测,可能发生漏检测或误检测。
所以,本申请的发明人对于能够更正确地进行异常检测的阈值计算装置、异常检测装置、阈值计算方法及异常检测方法进行了专门研究,发明了以下所示阈值计算装置、异常检测装置、阈值计算方法及异常检测方法。
有关本公开一方式的阈值计算装置,计算在异常检测装置中使用的阈值,所述异常检测装置被连接于施设内网络,检测设置上述施设内网络的施设内的第1设备中的异常通信;在上述施设内,设置有与上述第1设备不同的第2设备;上述阈值计算装置具备:第1设备状态取得部,取得上述第1设备的第1期间的设备状态;第1在室状况判定部,基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;第1通信日志收集部,收集通过在上述第1期间上述第1设备收发的通信所生成的通信日志;以及计算部,基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值;上述设备状态包括上述第1设备的1个以上的状态;上述在室状况包括上述人的1个以上的状况;上述计算部对于上述1个以上的状态及上述1个以上的状况的组合分别计算上述阈值。
由此,由于针对设备状态及在室状况的组合分别计算阈值,所以通过异常检测装置使用与第2期间的设备状态及在室状况对应的阈值来检测该第2期间的通信异常,从而与如专利文献1那样不根据施设内的状况而使用正常的设备的分组模式来检测通信异常的情况相比,能够更正确地进行异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行异常检测。
此外,例如也可以是,上述第1设备状态取得部取得基于通信的上述第1设备的电源状态及设定值的至少1个作为上述设备状态,上述通信包含对上述第1设备进行控制的设备控制命令。
由此,计算部能够针对电源状态及设定值的至少一方分别计算阈值。在异常检测装置使用与第2期间的电源状态及设定值的至少一方对应的阈值来检测异常的情况下,能够更正确地进行该至少一方的情况下的异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行电源状态及设定值的至少一方的情况下的异常检测。
此外,例如也可以是,上述第1在室状况判定部基于从上述第1设备或上述第1设备及上述第2设备以外的第3设备所取得的信息,判定上述在室状况。
由此,由于也使用从第2设备以外的设备取得的信息来判定在室状况,所以能够更正确地进行在室状况的判定。这有利于更正确地进行异常检测。
此外,例如也可以是,在上述通信日志中,包含种类信息,上述种类信息表示基于上述通信日志的目的地识别符而判定出的在线种类;上述种类信息包含上述通信日志中的1个以上的在线种类,上述计算部还对上述1个以上的在线种类的组合分别计算上述阈值。
由此,进而对于包含1个以上的在线种类的组合分别计算阈值。即,能够按通信的每个发送目的地来计算阈值。在异常检测装置使用与第2期间的通信的在线种类对应的阈值来检测异常的情况下,能够更正确地进行该在线种类的情况下的异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行在线种类为1个以上的情况下的异常检测。
此外,例如也可以是,上述计算部生成将上述设备状态、上述在室状况和上述通信日志建立了对应的学习数据,基于上述学习数据计算上述阈值。
由此,预先制作学习数据,从而能够仅通过从该学习数据中提取需要的数据就能够计算阈值,能够容易地计算阈值。
此外,例如也可以是,上述在室状况包括上述施设内的上述人的有无,上述计算部针对上述人的在室及不在分别计算上述阈值。
由此,计算部能够针对人的在室及不在分别计算阈值。在异常检测装置使用与第2期间的人是在室及不在的某种对应的阈值来检测异常的情况下,能够更正确地进行该某种情况下的异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行人在室及不在的情况下的异常检测。
此外,例如也可以是,上述在室状况包括上述施设内的上述人的人数及位置的至少一方,上述计算部对上述至少一方分别计算上述阈值。
由此,计算部能够针对人的人数及位置的至少一方分别计算阈值。在异常检测装置使用与第2期间的人的人数及位置的至少一方对应的阈值来检测异常的情况下,能够更正确地进行该至少一方的情况下的异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行人的人数及位置的至少一方的情况下的异常检测。
此外,例如也可以是,上述在室状况包括上述第1期间的上述人的1个以上的活动信息,上述计算部进而基于上述1个以上的活动信息来计算上述阈值。
由此,进而针对包含人的活动信息的组合分别计算阈值。即,能够按人的每个活动信息计算阈值。在异常检测装置使用与第2期间的人的活动信息对应的阈值来检测异常的情况下,能够更正确地进行该活动信息的情况下的异常检测。由此,通过使用阈值计算装置计算出的阈值,能够更正确地进行活动信息有1个以上的情况下的异常检测。
此外,例如也可以是,上述阈值是针对上述第1设备的通信量的阈值,包括上述通信量的最大值及最小值。
由此,能够计算能够检测通信量较多的情况及较少的情况的两种情况下的异常的阈值。通过使用这样的阈值,与阈值仅为上限值及下限值的一方的情况相比,能够更正确地进行异常检测。
此外,有关本公开的一方式的异常检测装置,连接在施设内网络,检测设置上述施设内网络的施设内的第1设备的异常通信,在上述施设内,设置有与上述第1设备不同的第2设备,上述异常检测装置具备:第2设备状态取得部,取得第1期间之后的第2期间的上述第1设备的设备状态;第1在室状况判定部,基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况;第2通信日志收集部,收集通过在上述第2期间由上述第1设备收发的通信所生成的通信日志;以及异常检测部,从上述阈值计算装置计算出的针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合各自的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
由此,异常检测装置能够使用针对设备状态及在室状况的组合的各自计算出的阈值之中的与第2期间的设备状态及在室状况对应的阈值,检测该第2期间的通信的异常。异常检测装置通过使用这样的阈值来检测通信的异常,从而与如专利文献1那样不根据施设内的状况而使用正常的设备的分组模式来检测通信异常的情况相比,能够更正确地进行异常检测。
此外,例如也可以是,上述异常检测部将所选择的上述阈值与上述通信日志进行比较,在上述通信日志不满足上述阈值的情况下判定为异常,输出判定结果。
由此,在检测到异常的情况下,异常检测装置能够通知检测到了异常。
有关本公开的一方式的阈值计算方法,计算在异常检测装置中使用的阈值,所述异常检测装置连接在施设内网络,检测设置上述施设内网络的施设内的第1设备的异常通信,在上述施设内,设置有与上述第1设备不同的第2设备,上述阈值计算方法包括:取得上述第1设备的第1期间的设备状态;基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;收集通过在上述第1期间由上述第1设备收发的通信所生成的通信日志;基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值;上述设备状态包括上述第1设备的1个以上的状态;上述在室状况包括上述人的1个以上的状况;在上述阈值的计算中,对于上述1个以上的状态及上述1个以上的状况的组合的各自计算上述阈值。
由此,起到与上述的阈值计算装置同样的效果。
有关本公开的一方式的异常检测方法,检测连接在施设内网络、且设置上述施设内网络的施设内的第1设备的异常通信,在上述施设内,设置有与上述第1设备不同的第2设备,取得第1期间之后的第2期间的上述第1设备的设备状态;基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况;收集通过在上述第2期间由上述第1设备收发的通信所生成的通信日志;从上述阈值计算方法计算出的针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合各自的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
由此,起到与上述的异常检测装置同样的效果。
以下,参照附图说明本公开的有关实施方式的异常检测系统的构成、阈值计算装置及异常检测装置的构成、阈值计算装置及异常检测装置中的处理的流程。
另外,以下说明的实施方式均表示本公开的优选的一具体例。即,在以下的实施方式中表示的数值、形状、材料、构成要素、构成要素的配置及连接形态、步骤、步骤的顺序等是本公开的一例,其主旨并不是限定本公开。
本公开基于权利要求书的记载来确定。因而,在以下实施方式的构成要素中的没有记载在表示本公开的最上位概念的独立权利要求中的构成要素,不一定是为了达成本公开的课题而必需的,而是作为构成更优选的形态的构成要素来进行说明。
此外,实施方式中记载的数值及数值范围是一例,并不限定于该数值及该数值范围。
(实施方式)
在本公开的实施方式中,说明了基于家庭内的各设备的动作状态、根据设置在家庭内的各传感器或各设备所得到的信息而推测出的居住者的状态,使用于异常检测的阈值变动由此来判定设备的异常的构成。
[1.实施方式的详细情况]
这里,作为本公开的实施方式,参照附图对于有关本公开的异常检测系统进行说明。另外,在本实施方式中,对于在家庭内的网络(家庭网络11)连接着家庭内IoT设备(空调、电视机等)及IT设备(智能电话(smart phone)、个人计算机(personal computer))等的情况进行说明,但连接在网络的设备并不限定于这些。
此外,以下对IoT设备及IT设备被配置在住宅内的例子进行了说明,但并不限定于住宅内,只要配置在人能够进出的施设中即可。
[1.1异常检测系统的整体构成]
图1是本实施方式的异常检测系统1的整体构成图。图1是表示异常检测系统1的网络构成的图。
如图1所示,异常检测系统1具备因特网10、家庭网络11、家庭网关20、空调30、燃气热水器31、电子锁32、照明(照明装置)33、电视机40、录制机41、控制器50、智能电话60、个人计算机61、异常检测处理装置70和异常监视装置80。
因特网10是通常的因特网,智能电话60是通常的智能电话,个人计算机61是通常的个人计算机。
家庭网关20、空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60、个人计算机61及异常检测处理装置70通过家庭网络11而被连接,空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60、个人计算机61及异常检测处理装置70与因特网10通信时,经由家庭网关20进行通信。
家庭网关20连接着空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60、个人计算机61及异常检测处理装置70,其对所连接的设备间的通信以及所连接的设备与因特网10的通信进行中介。
此外,家庭网关20管理用于空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60、个人计算机61及异常检测处理装置70进行通信所需要的IP地址等的信息,根据来自各设备的请求,进行IP地址的分配或通信所需要的信息的通知。
此外,家庭网关20监视所连接的设备间的通信以及所连接的设备与因特网10的通信,将通信内容转送给异常检测处理装置70。
向异常检测处理装置70转送的通信内容既可以是转送家庭网关20接收到的通信分组本身,也可以是转送对通信分组进行了整形的日志。
家庭网关20转送日志的情况,既可以在家庭网关20自身具备日志收集功能,也可以使用其他的日志收集设备。
空调30、燃气热水器31、电子锁32、照明33、电视机40及录制机41是接收设备控制命令并解释接收到的设备控制命令的内容而进行动作的家庭内IoT设备。设备控制命令既可以从家庭网络11上发送,也可以经由家庭网关20从因特网10上的终端(未图示)或服务器(未图示)发送。
此外,各设备根据需要经由家庭网关20连接到因特网10,进行固件的更新、内容的下载等。进而,各设备将各设备的动作或各设备搭载的传感器所检测到的信息(传感器信息)向其他设备通知。
例如,如果是空调30,则将动作状态(电源导通/电源断开)、节电动作设定(节电动作中/通常动作中等)、运转模式设定(自动/制冷/制暖/除湿/加湿/送风等)、温度设定值、搭载的传感器的信息(室温/湿度/外界气温)、风向及风量等的设定值等向其他设备通知。
如果是燃气热水器31,则将动作状态(电源导通/电源断开)、热水器燃烧状态、或者热水温度设定值、热水保温设定值、自动运转时间设定值等的设定值等向其他设备通知。
如果是电子锁32,则将动作状态(电源导通/电源断开)、上锁设定(上锁/开锁)、门的开闭状态、警报状态(通常状态/撬开/门扇打开/手动开锁/篡改等)、自动上锁模式设定(开启/关闭)等的设定值等向其他设备通知。
如果是照明33,则将动作状态(电源导通/电源断开)、有调光功能的情况下的设定值等向其他设备通知。
如果是电视机40,则将动作状态(电源导通/电源断开)、视听中的CH(频道)号或音量设定值等,如果是录制机41,则将动作状态(电源导通/电源断开)、内容转送状态(停止中/再现中/移动中/暂停中(再现)/暂停中(录像)/录像中/无媒体等)的状态等向其他设备通知。
这些通知的时机(定时)没有特别限定,既可以定期地进行,也可以在状态或值发生变化时进行,也可以在从其他设备有询问时进行。
控制器50是用来对空调30、燃气热水器31、电子锁32及照明33等的家庭内IoT设备进行控制的设备,通过向空调30、燃气热水器31、电子锁32及照明33发送设备控制命令,从而对这些设备进行控制。控制器50有对应于来自使用者的输入而发送设备控制命令的情况和根据事前设定的条件自动地发送设备控制命令的情况。
智能电话60及个人计算机61是经由家庭网关20而与因特网10连接的IT设备。另外,也可以是服务器连接于因特网10,家庭网关20、智能电话60及个人计算机61经由因特网10与服务器进行通信,从而与家庭网络11上的家庭内IoT设备进行会话。
异常检测处理装置70在检测到空调30、燃气热水器31、电子锁32、照明33、电视机40及录制机41等的家庭内IoT设备、智能电话60及个人计算机61等的IT设备会话的通信中的异常时,经由家庭网关20向因特网10上的异常监视装置80通知警报。另外,通信中的异常既可以是通信量的异常也可以是通信次数的异常。此外,异常检测处理装置70也可以是SOC(Security Operation Center:安全运营中心)管理的服务器装置。通信量及通信次数例如是规定期间的通信的通信量及通信次数,但通信量例如也可以是1次通信中的通信量。
异常监视装置80基于从异常检测处理装置70通知的警报,收集警报的分析中所需要的通信日志、分组等并进行一元管理。
异常监视装置80使用收集到的日志、分组等,实施相关分析,判定安全事件的预兆、痕跡等的异常。异常监视装置80在判定为异常的情况下,向居住者等通知设备异常。
另外,异常监视装置80进行的分析并不限定于相关分析,也可以用其他方法进行分析。
除此以外,异常监视装置80在分析中使用的通信日志的收集方法没有特别限定。既可以从异常检测处理装置70取得,也可以从家庭网关20取得,也可以用其他方法取得。
此外,从异常监视装置80向居住者通知异常的方法也没有特别限定。既可以向居住者的智能电话等通知,也可以使设置在家中的警报器鸣响来进行通知,也可以用其他方法通知。
另外,在本实施方式中,将家庭网关20和异常检测处理装置70分开进行图示,但也可以在家庭网关20中装入异常检测处理装置70的功能。
此外,作为异常检测系统1的构成要素包括作为接收设备控制命令的家庭内IoT设备的空调30、燃气热水器31、电子锁32、照明33、电视机40及录制机41、以及作为经由家庭网关20连接到因特网10的IT设备的智能电话60及个人计算机61,但并不需要一定是该设备构成,也可以有其以外的设备,此外也可以是仅有某种设备。
进而,家庭内IoT设备也可以不仅接收设备控制命令,还对其他设备发送设备控制命令,也可以进行设备控制命令以外的通信。家庭内IoT设备是配置在施设内的IoT设备的一例。
此外,设IT设备与因特网10连接,但并不限定于此,也可以与家庭网络11上的设备通信。另外,这些设备也可以经由因特网10与因特网10上的终端或服务器进行通信。
此外,也可以是在家庭网关20上还连接着摄像机(未图示)、人感传感器(未图示)等的能够检测人的设备。换言之,在住宅内也可以设置摄像机、人感传感器等的能够检测人的设备。另外,摄像机可以是搭载于电子锁32、智能电话60或个人计算机61的摄像机,人感传感器可以是搭载于空调30或照明33的人感传感器。此外,能够检测人的设备可以是二氧化碳传感器、水的使用量的检测传感器等。
此外,家庭网关20、空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60及个人计算机61被配置在住宅内。异常检测处理装置70既可以配置在住宅内,也可以配置在住宅外。
此外,空调30、燃气热水器31、电子锁32、照明33、电视机40、录制机41、控制器50、智能电话60及个人计算机61中的1个设备是设置在住宅内(施设内的一例)的第1设备的一例,该1个设备以外的其他的1个设备是第2设备的一例,另一其他的设备是第3设备的一例。另外,第2设备及第3设备的至少1个也可以是摄像机、人感传感器等的能够检测人的设备。第1设备是阈值计算装置要计算阈值的对象的设备。
[1.2异常检测处理装置70的整体构成]
图2是本实施方式的异常检测处理装置70的构成图。图2是表示异常检测处理装置70的功能构成的框图。
如图2所示,异常检测处理装置70具备通信部100、设备状态取得部110、在室状况判定部120、通信日志收集部130、学习部140、异常检测部150、设备状态保存部200、在室状况保存部210、通信日志保存部220和学习数据保存部230。
在本实施方式中,阈值计算部包括通信部100、设备状态取得部110(第1设备状态取得部的一例)、在室状况判定部120(第1在室状况判定部的一例)、通信日志收集部130(第1通信日志收集部)、学习部140、设备状态保存部200、在室状况保存部210、通信日志保存部220和学习数据保存部230而构成。此外,在本实施方式中,异常检测装置包括通信部100、设备状态取得部110(第2设备状态取得部的一例)、在室状况判定部120(第2在室状况判定部的一例)、通信日志收集部130(第2通信日志收集部)和异常检测部150而构成。异常检测处理装置70具备阈值计算部及异常检测装置的两者的构成。在本实施方式中,第1设备状态取得部及第2设备状态取得部、第1在室状况判定部及第2在室状况判定部以及第1通信日志收集部及第2通信日志收集部分别作为共通的构成要素实现,但并不限定于此。
阈值计算装置计算与家庭网络11连接且检测设置家庭网络11的住宅内的第1设备的异常通信的异常检测装置中所使用的阈值。此外,异常检测装置与家庭网络11连接,检测设置家庭网络11的住宅内的第1设备的异常通信。
通信部100从因特网10或家庭网络11接收通信分组。通信部100不是仅进行以家庭网关20为目的地的通信,而是接收经由家庭网关20流动的家庭网络11上的全部的通信分组。
此外,通信部100将从设备状态取得部110发送的设备状态取得请求向连接着家庭网关20的通信线发送,将从家庭网关20经由通信线接收的设备状态取得应答向设备状态取得部110发送。或者,通信部100将从连接于家庭网络11的设备主动地发送的设备的信息及设备的状态(设备状态)经由家庭网关20向设备状态取得部110发送。
设备状态取得部110经由通信部100发送设备状态取得请求并接收设备状态取得应答,由此取得连接于家庭网络11的设备的信息及设备的状态,登记到设备状态保存部200。或者,设备状态取得部110从家庭网关20经由通信部100取得从连接在家庭网络11的设备主动地发送的设备的信息及设备的状态,登记到设备状态保存部200。设备状态取得部110所登记的信息也记作设备状态数据(参照图3)。另外,登记是指存储或更新。
设备的信息是用于确定该设备的信息,例如包括设备识别符及设备种类的至少1个。
设备的状态也可以根据设备使用的电力等来推测。此外,作为设备的状态,不仅是动作状态(电源导通/电源断开),可以是登记各设备固有的状态,也可以是登记多个设备状态的组合。此外,设备的状态也可以包括基于通信的第1设备的电源状态及设定值的至少1个,上述通信包含对包括该第1设备在内的多个设备进行控制的设备控制命令。
以下,例示了在各设备的设备的状态中所包含的除了电源状态(电源导通/电源断开)以外的信息。电源状态也可以说是设备的动作状态。
例如,如果是空调30,则也可以登记设定温度、运转模式(制冷/制暖等)等。设定温度是设定值的一例。
如果是燃气热水器31,则也可以登记热水设定温度、热水器使用状况(燃气或热水的使用量等)等的值本身。热水设定温度是设定值的一例。
如果是电子锁32,则也可以登记开锁/上锁的状态。如果是照明33,则也可以登记调光的状态。
如果是电视机40,则也可以登记视听中的CH号、音量等的值本身。如果是录制机41,则也可以登记再现中/录像中等的状态。
如果是智能电话60或个人计算机61,则也可以登记用户代理(User-Agent)或使用中的应用名等。
如果是人感传感器,则也可以登记检测到人/没有检测到人。如果是温湿度传感器(未图示),则也可以登记温度或湿度的值本身。
如果是窗(未图示)或门的开闭传感器(未图示),则也可以登记开/闭的区别、以何种程度打开的数值、上锁状态(开锁/上锁)等的信息。
设备状态保存部200将有关连接在家庭网络11的设备的状态的信息作为设备状态数据进行保存。设备状态保存部200是半导体存储器等的存储装置。
图3是表示本实施方式的设备状态数据的一例的图。图3所示的设备状态数据由设备状态取得部110制作。
如图3所示,在设备状态数据中,包含设备识别符及设备种类作为用来确定设备的信息;包含设备状态作为表示当前的设备的状态的信息,设备种类和设备状态作为1个组被登记。
当设备初次被连接到家庭网络11时,新登记设备识别符、设备种类及设备状态,设备状态之后适当被更新为最新状态。
在设备识别符中,既可以登记从设备取得的MAC(Media Access Control)地址,也可以使用MAC地址以外的信息作为识别符。
在设备种类中,可以登记根据从设备取得的终端信息而推测出的设备名、模型名或OS(Operating System)名,也可以将它们组合而登记。
在设备状态中,登记由设备状态取得部110判定的动作状态(电源导通/电源断开)等的设备的状态。在图3中,设备状态对于设备种类登记了1个设备状态,但也可以登记多个设备状态,也可以按每个设备状态分列进行登记,也可以按每个设备种类改变登记项目。设备状态包含包括第1设备在内的多个设备各自的1个以上的状态(例如,电源导通、电源断开及开锁等)。
回到图2,在室状况判定部120基于从连接于家庭网络11的设备所取得的信息,判定处于住宅内的人的在室状况。在室状况判定部120例如至少使用从第2设备取得的信息来判定处于住宅内的人的在室状况,所述第2设备是计算用于异常检测的阈值的对象的第1设备以外的设备。在室状况判定部120例如还可以基于从第1设备及第3设备的至少一方取得的信息来判定处于住宅内的人的在室状况。此外,在室状况判定部120也可以从设备状态保存部200取得当前的设备的状态,根据设备的状态的组合判定在室状况来制作在室状况数据(参照图4)。在室状况判定部120将制作出的在室状况数据向在室状况保存部210登记。在室状况数据是将设备的状态与在室状况(例如,在室或不在)建立了对应的表。在室状况数据例如在阈值计算装置实际计算阈值之前制作。
在室状况判定部120也可以对各设备的使用状况或各种传感器的信息进行解析来判定处于住宅内的人的在室状况,从而将制作出的在室状况数据向在室状况保存部210登记。
在根据各设备的使用状况进行判定的情况下,在室状况判定部120根据各设备的使用状况的组合来推测在室状况。例如,在室状况判定部120在空调30的设备状态是电源导通、电子锁32的设备状态是开锁、电视机40的设备状态是电源导通的情况下,判定为在室中。在室状况判定部120也可以使用将各设备的使用状况的组合与在室状况建立了对应的表,根据设备的使用状况推测在室状况。
在根据各种传感器的信息判定在室状况的情况下,在室状况判定部120可以根据设置在住宅内的人感传感器的信息进行判定,也可以根据对设置在住宅内的摄像机的图像或影像进行解析得到的信息来进行判定。此外,也可以使居住者全员携带RF标签等的发射机,由设置在住宅内的RF接收机等的接收机接收发射机处于住宅内的何处、发射机是否正在运动、来自搭载于发射机的传感器的信息,在室状况判定部120根据发射机是否正在运动的信息来判定在室状况。此外,也可以使居住者全员携带接收机,在住宅内设置接收机,在室状况判定部120通过将接收机接收到的信号向服务器或家庭网关20等的住宅内的控制器50通知,从而判定在室状况,也可以根据利用屋内位置测位系统而掌握居住者的动向所得到的信息来判定在室状况。此外,在室状况判定部120可以根据经过家庭网关20的通信量和过去的通信量的实际值来推测使用人数,也可以根据Wi-Fi(注册商标)的接入点(Wi-FiAP)的连接数量来推测使用人数,也可以根据其以外的信息来进行判定。
此外,在室状况判定部120根据从各家电等得到的传感器信息(例如冰箱的开闭传感器的信息、窗或门的开闭传感器的信息、厨房或盥洗室中的水的使用量、室温、湿度、二氧化碳浓度化学物质浓度或其变化量等),根据能够判定为人实际处于家中的信息或能够判定为人正在运动的信息来判定在室状况。
在室状况保存部210将有关根据第2设备或包括第2设备在内的多个设备的状态的组合所判定出的在室状况的信息作为在室状况数据进行保存。在室状况保存部210是半导体存储器等的存储装置。
图4是表示本实施方式的在室状况数据的一例的图。图4所示的在室状况数据由在室状况判定部120制作。
如图4所示,将登记在设备状态保存部200所保存的设备状态数据中的有关全部的设备的设备状态的组合和对应于组合的在室状况建立对应而登记在在室状况数据中。在在室状况中登记住居的在不在状态(在室/不在)。即,在室状况包括住宅内的人的有无。在室状况包括住宅内的人的1个以上的状况(在室或不在等)。
另外,在室状况并不限定于在不在状态(在室/不在)。在室中的情况下,例如在在室状况中可以登记在室的人数或居住者所处的场所、居住者的属性等,也可以将多个在室状况进行组合而登记。
例如,作为在室状况数据,可以登记1人在室中/2人在室中等的人数,也可以登记仅处于1楼/仅处于2楼、或仅处于卧室/仅处于起居室/处于厨房等的处于家中的何处的信息。即,在室状况也可以包括住宅内的人的人数及位置的至少一方。此外,例如作为在室状况数据,也可以登记仅孩子在/仅祖父母在等在宅的人的属性,也可以登记有来客等居住者以外的人的属性。位置包括处于哪个房间、处于哪个楼层等。
此外,在室状况也可以包含人的活动信息。活动信息可以包含表示人是起床了还是正在睡觉的信息、人的移动量的信息等。活动信息可以由各传感器等取得。此外,也可以是在虽然人在室内但家庭安保公司的监视系统为监视状态的情况下,在室状况判定部120判定为该人正在睡觉。
此外,在图4中在室状况被登记在1列中,但也可以是按上述的每个内容分列进行登记。
图4的内容是例子,但实际的在不在的判定也可以预先登记为在不在的组合,可以根据过去的使用实际值进行学习而进行自动判定,也可以使居住者在使用异常检测系统1时登记在室状况。
图4所示的在室状况数据例如根据住宅内分别制作。例如,在室状况数据根据住宅内而分别不同。
在图4中,在设备状态或在室状况为何种状态都可以的情况下,也可以使用“-”等的符号等来表示条件。
回到图2,通信日志收集部130将由通信部100接收到的通信分组作为通信日志登记到通信日志保存部220。通信日志收集部130例如收集通过包括第1设备在内的多个设备收发的通信所生成的通信日志。
通信日志保存部220保存与连接在家庭网络11的设备的通信有关的信息作为通信数据。通信日志保存部220是半导体存储器等的存储装置。
图5是表示本实施方式的通信日志的一例的图。图5所示的通信数据由通信日志收集部130制作。
如图5所示,在通信日志中,登记通信分组中包含的通信日期时间、发送源识别符、目的地识别符、通信协议、通信量及在线种类。通信日志是一定期间的时间序列数据。
在通信日期时间中,登记通信发生的日期时间。另外,时间的粒度并不限定于秒,可以以毫秒登记,也可以登记到微秒。
在发送源识别符中,登记连接在家庭网络11的设备的MAC地址。发送源识别符也可以利用MAC地址以外的信息作为识别符。
在目的地识别符中,登记FQDN(Fully Qualified Domain Name)或域名作为连接在家庭网络11的设备进行通信的目的地的识别符。此外,目的地识别符也可以是MAC地址或IP地址,也可以将它们组合。
在通信协议中,登记在通信中所使用的协议。通信日志收集部130既可以根据通信分组的数据部分来判定在通信中所使用的通信协议,也可以根据目的地端口号来推测。
例如,在ECHONET Lite中,由于在通信数据的开头2字节(Byte)设定0x1081或0x1082,所以在通信分组的数据部分的开头2字节(Byte)为0x1081或0x182的情况下,通信日志收集部130判定为通信协议是ECHONET Lite。
此外,例如在ECHONET Lite中,由于利用UDP(User Datagram Protocol)的端口号3610的端口进行通信,所以在接收到的通信的目的地端口号是3610的情况下,通信日志收集部130判定为通信协议是ECHONET Lite。
此外,通信日志收集部130可以将上述的判定进行组合,也可以根据其他的信息来判定。
在通信量中,登记通信分组的分组大小。
在在线种类中,登记在线种类(本地通信/全局通信)。通信日志收集部130,在目的地识别符表示家庭网络11内的设备目的地的情况下,判定为“本地通信”,在目的地识别符表示因特网10上的服务器(未图示)或站点(未图示)等的情况下,判定为“全局通信”,登记判定结果。
如上述那样,在通信日志中,包含表示基于通信日志的目的地识别符所判定出的在线种类的种类信息,种类信息也可以包含通信日志中的1个以上的在线种类。
另外,也可以使家庭网关20或其他设备(未图示)具有通信日志生成功能,将通信日志向通信日志收集部130转送。
回到图2,学习部140基于设备状态、在室状况及通信日志,计算针对包括第1设备在内的多个设备各自的通信的阈值(例如,通信量的阈值)。学习部140计算与第2期间的设备状态及与在室状况对应的阈值,上述第2期间包括作为异常检测装置检测的对象的通信日志被取得的时刻。学习部140例如也可以对于设备状态(例如1个以上的状态)及在室状况(例如1个以上的状况)的组合分别计算阈值。此外,学习部140还可以对于1个以上的在线种类的组合分别计算阈值。即,学习部140可以对于设备状态(例如1个以上的状态)、在室状况(例如、1个以上的状况)及1个以上的在线种类的组合分别计算阈值。
学习部140基于从设备状态保存部200取得的设备状态数据、从在室状况保存部210取得的在室状况数据、以及从通信日志保存部220取得的通信日志,制作学习数据及阈值数据,登记到学习数据保存部230。学习部140是计算部的一例。
学习数据保存部230保存包含设备状态和在室状况在内的通信内容作为学习数据。此外,学习数据保存部230保存根据学习数据计算出的阈值作为阈值数据。学习数据是用来计算阈值的实测数据。
图6是表示本实施方式的学习数据的一例的图。图6所示的学习数据由学习部140制作。
如图6所示,在学习数据中,登记通信日期时间、设备识别符、设备状态、在室状况、通信量及在线种类。
在设备识别符及设备状态中,登记设备状态保存部200所保存的设备状态数据的设备识别符及设备状态。
在在室状况中,登记在室状况保存部210所保存的在室状况数据的在室状况。
在通信日期时间、在线种类及通信量中,登记在通信日志保存部220所保存的通信数据中被登记的通信日期时间、在线种类及通信量。
如图6所示,学习部140生成将设备状态、在室状况和通信日志(在图6的例子中是通信量及在线种类)建立了对应的学习数据。该学习数据例如是将设备状态、在室状况和通信日志以时间序列顺序排列的时间序列数据。并且,学习部140如后述那样,基于学习数据来计算阈值。
学习部140也可以对包括第1设备在内的多个设备分别生成图6所示的学习数据。
图7是表示本实施方式的阈值数据的一例的图。图7所示的阈值数据由学习部140制作。
如图7所示,在阈值数据中,登记设备识别符、设备状态、在室状况、在线种类及阈值。
在设备识别符及设备状态中,登记设备状态保存部200所保存的设备状态数据的设备识别符及设备状态。
在在室状况中,登记在室状况保存部210所保存的在室状况数据的在室状况。
在通信日期时间、在线种类及通信量中,登记在通信日志保存部220所保存的通信数据中被登记的通信日期时间、在线种类及通信量。
在阈值中,登记学习部140根据由通信日志保存部220保存的通信量计算出的分组大小的最小值及最大值作为阈值。作为阈值并不限定于分组大小的最小值及最大值。可以登记分组大小的平均值,也可以登记时间单位的访问次数,也可以登记其他信息作为阈值,也可以将它们组合而登记。也可以根据登记的阈值来增加阈值数据的列。关于阈值的计算在后面叙述。
另外,阈值可以是针对通信量的阈值,包含通信量的最大值及最小值。此外,阈值也可以是针对通信次数的阈值,包含通信次数的最大值及最小值。另外,阈值只要包含最大值及最小值的至少一方即可。
如图7所示,学习部140生成将设备状态、在室状况、在线种类和此时的通信量的阈值建立了对应的阈值数据。该阈值数据例如是阈值对于设备状态、在室状况和在线种类的组合分别建立了对应的数据。并且,异常检测部150如后所述,基于学习部140生成的阈值数据来检测设备的异常。
学习部140可以对包括第1设备在内的多个设备分别生成图7所示的阈值数据。
回到图2,异常检测部150将学习数据保存部230的阈值数据与通信日志保存部220的通信日志进行比较,实施异常判定。异常检测部150将判定为异常的通信经由通信部100向异常监视装置80通知。
[1.3异常检测系统的动作]
以下,参照图8A~图18对上述的异常检测系统1的动作进行说明。首先,参照图8A~图17对阈值计算装置的动作(阈值计算方法)进行说明。图8A是表示阈值计算装置的动作(阈值计算处理)异常检测处理装置70的流程图。另外,将阈值计算处理记作学习处理。
(S801a)异常检测处理装置70进行设备状态取得处理。在步骤S801a中,异常检测处理装置70的阈值计算装置为了决定阈值,取得包括第1设备在内的多个设备各自的第1期间的设备状态。第1期间是比取得了异常检测装置中的异常检测对象的通信日志的时刻靠过去的期间。
(S802a)异常检测处理装置70进行在室状况判定处理。在步骤S802a中,异常检测处理装置70的阈值计算装置基于从第2设备取得的信息,进行判定第1期间的在室状况的处理。
(S803a)异常检测处理装置70进行通信日志收集处理。在步骤S803a中,异常检测处理装置70的阈值计算装置进行收集第1期间的通信日志的处理。
(S804)异常检测处理装置70进行学习处理。在步骤S804中,异常检测处理装置70的阈值计算装置进行用来计算第1期间之后的第2期间中的有关包括第1设备在内的多个设备各自的通信的阈值的处理。
接着,参照图8B对异常检测装置的动作进行说明。图8B是表示异常检测装置的动作(异常检测处理)的流程图。
(S801b)异常检测处理装置70的异常检测装置在步骤S801b中,为了判定通信的异常,进行取得包括第1设备在内的多个设备各自的第1期间之后的第2期间中的设备状态的处理。第2期间例如是第1期间之后的期间,但也可以是至少一部分的期间包含在第1期间中。第2期间既可以是取得了检测对象的通信日志的时刻(例如当前时点),也可以是1小时、1天等的期间。
(S802b)异常检测处理装置70进行在室状况判定处理。在步骤S802b中,异常检测处理装置70的异常检测装置基于从第2设备取得的信息,进行判定第2期间的在室状况的处理。
(S803b)异常检测处理装置70进行通信日志收集处理。在步骤S803b中,异常检测处理装置70的异常检测装置进行收集第2期间的通信日志的处理。
(S805)异常检测处理装置70进行异常检测处理。异常检测处理装置70的异常检测装置基于阈值计算装置计算出的阈值、第2期间的设备状态、在室状况及通信日志,检测第2期间的包括第1设备在内的多个设备各自的异常通信。
另外,通信日志收集处理可以在设备状态取得处理之前、在室状况判定处理之前进行。此外,学习处理和异常检测处理也可以并行地进行。
以下,参照图9~图18对学习处理及异常检测处理分别进行说明。
[1.3.1设备状态取得处理时的动作]
图9是表示本实施方式的设备状态取得处理(S801(S801a、S801b))的一例的流程图。图9表示设备状态取得部110的处理。
(S1101)设备状态取得部110进行连接到家庭网络11的ECHONET Lite对应设备的状态调查,更新设备状态数据。
(S1102)设备状态取得部110进行连接到家庭网络11的UPnP/DLNA对应设备的状态调查,更新设备状态数据。
(S1103)设备状态取得部110进行连接到家庭网络11的其他设备的状态调查,更新设备状态数据。
(S1104)设备状态取得部110待机一定时间,再次回到步骤S1101,继续步骤S1101以后的处理。
在图9中,设备状态取得部110将步骤S1101到步骤S1103的处理顺序地实施,但也可以不是按图9所示的顺序进行处理。此外,设备状态取得部110可以将这些处理并行地实施。此外,设备状态取得部110可以不是每次都实施步骤S1101~S1103的全部处理。设备状态取得部110只要在设备状态取得处理中实施步骤S1101~S1103中的至少1个即可。此外,设备状态取得部110在设备主动地定期发送状态通知的情况下,也可以在接收到该通知的时点(定时)实施处理。
以下,参照图10~图12对步骤S1101~S1103分别进行说明。
[1.3.1.1ECHONET Lite对应设备的状态调查处理]
图10是表示本实施方式的设备状态取得处理的一例的流程图。具体而言,图10是表示ECHONET Lite对应设备的状态调查处理(S1101)的一例的流程图。
(S11011)设备状态取得部110对于家庭网络11多播作为ECHONET Lite对应设备的控制命令的自身节点实例列表请求(0xD6)作为对于家庭网络11设备检索请求。
(S11012)设备状态取得部110判定对于自身节点实例列表请求(0xD6)是否有应答。在有应答的情况下(S11012中为“是”的情况下),设备状态取得部110实施步骤S11013的处理。在没有应答的情况下(S11012中为“否”的情况下),设备状态取得部110实施步骤S11017的处理。
(S11013)设备状态取得部110判定有应答的设备是否登记在设备状态数据中,例如判定是否是未登记的设备。具体而言,设备状态取得部110判定是否是应答中包含的发送源MAC地址等的连接终端设备识别符被登记在设备状态保存部200中的设备。在判定为没有被登记的情况下(S11013中为“否”的情况下),设备状态取得部110实施步骤S11014的处理。在判定为被登记的情况下(S11013中为“是”的情况下),设备状态取得部110实施步骤S11015。
(S11014)设备状态取得部110关于对象的设备,将连接终端设备识别符(发送源MAC地址等)及设备种类新登记到设备状态保存部200。设备种类根据ECHONET(注册商标)目标代码(EOJ)判定。例如在类组代码为0x01(空调关联设备类组)或类代码为0x30(家庭用空调类)的情况下,能够确定设备种类是空调。此外,设备状态取得部110也可以通过解析通信分组来确定设备种类,也可以根据MAC地址的OUI(Organizationally Unique Identifier)来推测设备种类。
(S11015)设备状态取得部110对于对象的设备,发送利用了ECHONET Lite对应设备的控制命令的动作状态取得请求。
作为控制命令,有取得设备的电源的动作状态(EPC(ECHONET属性):0x80)的属性值读出请求(ESV(ECHONET Lite服务):0x62)或设备种类固有的状态请求,也可以将这些请求组合。设备状态取得部110在设备为家庭用空调的情况下,作为动作状态取得请求,发送取得运转模式设定(EPC:0xB0)的属性值读出请求(ESV:0x62),在设备为热水器的情况下,作为动作状态取得请求,发送取得热水温度设定(EPC:0xD1)的属性值读出请求(ESV:0x62)。
(S11016)设备状态取得部110接收在步骤S11015中发送的控制命令的应答结果,基于接收到的应答结果确定设备状态,将所确定的设备状态登记到设备状态数据。
针对取得设备的电源的动作状态(EPC:0x80)的属性值读出请求(ESV:0x62)的应答结果是电源导通(EDT(ECHONET属性值数据):0x30)或电源断开(EDT:0x31),设备状态取得部110关于设备状态在设备状态数据中登记“电源导通”或“电源断开”。设备状态取得部110,既可以以“电源导通”或“电源断开”的字符串作为登记内容进行登记,也可以登记属性值“EDT:0x30”或“EDT:0x31”作为登记内容。
此外,例如在热水器的情况下,假设针对取得设备的电源的动作状态(EPC:0x80)的属性值读出请求,应答结果例如是电源导通(EDT:0x30),针对取得热水温度设定(EPC:0xD1)的属性值读出请求,应答结果例如是设定温度48℃(EDT:0x30)。在此情况下,设备状态取得部110例如如“0x80/0x30”、“EPC:0xD1/0x30”那样将EPC和EDT的两者一起登记作为热水器的应答结果。
(S11017)设备状态取得部110也可以对于已经登记于设备状态数据的设备之中的没有应答的设备、即以前连接在家庭网络11但当前没有连接在家庭网络11的设备,将设备状态设定为“电源断开”,从而更新设备状态。另外,设备状态取得部110也可以代替“电源断开”而设定为“未连接”,从而更新设备状态。
[1.3.1.2UPnP/DLNA对应设备的状态调查处理]
图11是表示本实施方式的设备状态取得处理的另一例的流程图。具体而言,图11是表示UPnP/DLNA对应设备的状态调查处理(S1102)的一例的流程图。
(S11021)设备状态取得部110对于家庭网络11多播作为UPnP/DLNA对应设备的控制命令的M-SEARCH请求作为设备检索请求。
(S11022)设备状态取得部110判定针对M-SEARCH请求是否有应答。在有应答的情况下(S11022中为“是”的情况下),设备状态取得部110实施步骤S11023的处理。在没有应答的情况下(S11022中为“否”的情况下),设备状态取得部110实施步骤S11027的处理。
(S11023)设备状态取得部110判定有应答的设备是否被登记在设备状态数据中,例如判定是否是未登记的设备。具体而言,设备状态取得部110判定是否是应答中包含的发送源MAC地址等的连接终端设备识别符被登记在设备状态保存部200中的设备。在没有被登记的情况下(S11023中为“否”的情况下),设备状态取得部110实施步骤S11024。在已被登记的情况下(S11023中为“是”的情况下),设备状态取得部110实施步骤S11026。
(S11024)设备状态取得部110对于对象的设备发送设备种类请求(例如HTTP GET请求等)。
(S11025)设备状态取得部110取得针对设备种类请求的应答结果(DeviceDescription XML),基于所取得的应答结果将未登记的设备新登记到设备状态数据中。具体而言,设备状态取得部110根据应答结果中包含的“modelName”、“modelNumber”、“modelDescription”等的参数来推测设备种类,将应答结果中包含的连接终端设备识别符(发送源MAC地址等)和设备种类新登记到设备状态数据(设备状态保存部200)中。另外,上述的参数是一例,设备状态取得部110也可以根据其他参数来推测设备种类。此外,设备状态取得部110也可以通过解析通信分组来确定设备种类,也可以根据MAC地址的OUI来推测。
(S11026)设备状态取得部110对于对象的设备,由于有应答因此将设备状态设为“电源导通”,登记到设备状态数据中。设备状态也可以基于针对设备种类固有的状态请求的应答结果来设定设备的状态。
(S11027)设备状态取得部110对于已经登记在设备状态数据中的设备之中的没有应答的设备、即以前连接于家庭网络11但当前没有连接到家庭网络11的设备,将该设备的设备状态设定为“电源断开”,从而更新设备状态。另外,设备状态取得部110也可以代替“电源断开”而设定为“未连接”,从而更新设备状态。
[1.3.1.3其他设备的状态调查处理]
图12是表示本实施方式的设备状态取得处理的其他另一例的流程图。图12是表示ECHONET Lite对应设备及UPnP/DLNA对应设备以外的设备(智能电话60,个人计算机61等)的状态调查处理(S1103)的一例的流程图。
(S11031)设备状态取得部110对于家庭网络11广播发送ARP(Address ResolutionProtocol)请求作为设备检索请求。
(S11032)设备状态取得部110判定对于ARP请求是否有应答。在有应答的情况下(S11032中为“是”的情况下),设备状态取得部110实施步骤S11033的处理。在没有应答的情况下(S11032中为“否”的情况下),设备状态取得部110实施步骤S11036的处理。
(S11033)设备状态取得部110判定有应答的设备是否被登记在设备状态数据中,例如判定是否是未登记的设备。具体而言,设备状态取得部110判定是否是应答中包含的发送源MAC地址等的连接终端设备识别符被登记在设备状态保存部200中的设备。在判定为是没有被登记的设备的情况下(S11033中为“否”的情况下),设备状态取得部110实施步骤S11034。在判定为是已被登记的设备的情况下(S11033中为“是”的情况下),设备状态取得部110实施步骤S11035。
(S11034)设备状态取得部110对于对象的设备,将连接终端设备识别符(发送源MAC地址等)及设备种类新登记到设备状态数据(设备状态保存部200)中。设备状态取得部110可以通过解析设备进行通信的通信分组来确定设备种类,也可以根据MAC地址的OUI来推测。例如,如果解析通信分组中包含的User-Agent,则能够判定OS名或OS的版本。
(S11035)设备状态取得部110基于对象的设备的应答结果,登记设备状态。设备状态取得部110对于对象的设备,例如将设备状态设为“电源导通”,登记到设备状态数据。设备状态取得部110可以将返回了应答的设备设定为“电源导通”,也可以通过解析设备进行通信的通信分组来设定设备使用的应用等。设备状态取得部110例如如果解析通信分组中包含的User-Agent,则能够判定使用中的浏览器等。
(S11036)设备状态取得部110对于已经登记在设备状态数据中的设备之中的没有应答的设备、即以前连接于家庭网络11但当前没有连接到家庭网络11的设备,将设备状态设定为“电源断开”,从而更新设备状态。另外,设备状态取得部110也可以代替“电源断开”而设定为“未连接”,从而更新设备状态。
[1.3.2在室状况判定处理时的动作]
图13是表示本实施方式的在室状况判定处理(S802(S802a、S802b))的一例的流程图。图13表示在室状况判定部120的处理。
(S1201)在室状况判定部120取得被登记在设备状态保存部200保存的设备状态数据中的全部的设备的当前的设备状态。
(S1202)在室状况判定部120将保存在设备状态保存部200中的设备状态数据所表示的状态和保存在在室状况保存部210中的在室状况数据中登记的设备状态的组合进行相对照,判定是在室中还是不在,即判定在住宅内是否有人。例如,在保存在设备状态保存部200中的设备状态数据是图3所示的状态(空调30为“电源导通”,电子锁32为“开锁”,电视机40为“电源断开”,智能电话60为“电源导通”)的情况下,判定保存在在室状况保存部210中的在室状况数据是作为与图4所示的设备状态的组合一致的在室状况的“在室”。此外,在室状况判定部120既可以根据设备状态的组合来推测在室状况数据的在室状况并进行登记,也可以设定居住者是在室中还是不在。在室状况判定部120并不限定于根据设备的状态来判定在不在,也可以使用人感传感器等的各种传感器信息来判定在不在,也可以根据水/电/燃气等的使用量来判定在不在,也可以除了设备的状态以外还添加在线种类的信息来判定在不在。
[1.3.3通信日志收集处理时的动作]
图14是表示本实施方式的通信日志收集处理(S803(S803a、S803b))的一例的流程图。图14表示通信日志收集部130的处理。
(S1301)通信日志收集部130经由通信部100接收在与家庭网关20连接的通信线中流动的通信分组的内容。
(S1302)通信日志收集部130判定接收到的通信分组的目的地。在接收到的通信分组的目的地识别符(FQDN或域名、MAC地址、IP地址等)为家庭网络11内的设备目的地的情况下,通信日志收集部130实施步骤S1303,在目的地识别符是因特网10上的服务器或站点目的地等的情况下,通信日志收集部130实施步骤S1304。
(S1303)在目的地识别符是家庭网络11内的设备目的地的情况下,通信日志收集部130将接收到的通信分组的在线种类设定为“本地通信”。
(S1304)在目的地识别符是因特网10上的服务器或站点目的地等的情况下,通信日志收集部130将接收到的通信分组的在线种类设定为“全局通信”。
(S1305)通信日志收集部130从接收到的通信分组将通信发生的日期时间、发送源识别符(MAC地址、IP地址等)、目的地识别符、通信协议、在线种类及通信量作为通信日志登记到通信日志保存部220。
[1.3.4学习处理时的动作]
图15是表示本实施方式的学习处理(S804)的一例的流程图。图15表示学习部140的处理。图15所示的处理例如对于包括第1设备在内的多个设备分别实施。
(S1401)学习部140制作阈值的计算中使用的数据即学习数据。
(S1402)学习部140基于制作出的学习数据,进行阈值的设定。
在图15中,学习部140顺序地实施步骤S1401及步骤S1402的处理,但也可以并行地实施这些处理。
以下,参照图16及图17对步骤S1401及步骤S1402的处理分别进行说明。
[1.3.4.1学习数据制作处理的详细情况]
图16是表示本实施方式的学习数据制作处理(S1401)的一例的流程图。
(S14011)学习部140取得通信日志保存部220保存的通信日志。具体而言,学习部140从通信日志保存部220保存的通信日志取得当前通信中的发送源识别符、通信量及在线种类。学习部140取得当前的通信日志,但也可以取得指定时刻的通信日志,也可以取得特定设备的通信日志,也可以以一览取得通信日志。学习部140在以一览取得了通信日志的情况下,反复实施步骤S14012~S14014的处理。
(S14012)学习部140取得保存在设备状态保存部200中的设备状态数据。具体而言,学习部140取得保存在设备状态保存部200中的设备状态数据的全部的设备种类及设备状态。学习部140可以使设备状态数据具有日期时间信息,而指定日期时间来取得设备状态。
(S14013)学习部140取得在室状况保存部210保存的在室状况数据。具体而言,学习部140基于在步骤S14012中所取得的设备状态数据,从在室状况保存部210保存的在室状况数据中取得在室状况。学习部140例如在步骤S14012中所取得的设备状态数据是空调“电源导通”、电子锁“开锁”及电视机“电源断开”的情况下,作为在室状况而能够取得“在室”。此外,学习部140也可以使在室状况数据具有日期时间信息,而指定日期时间来取得设备状态。
(S14014)学习部140将在步骤S14011中所取得的发送源识别符、通信量及在线种类、在步骤S14012中所取得的设备种类及设备状态、以及在步骤S14013中所取得的在室状况建立对应,作为学习数据登记到学习数据保存部230中。学习部140例如在从“2020/11/416:45:00”时点的通信日志中登记学习数据的情况下,在步骤S14011中从图5所示的通信日志保存部220所保存的通信日志取得发送源识别符“11:11:11:11:11:11”、通信量“15,000字节(Byte)”及在线种类“全局通信”,在步骤S14012中从图3所示的设备状态保存部200所保存的设备状态数据取得设备识别符为“11:11:11:11:11:11”的设备(空调)的设备状态“电源导通”,在步骤S14013中取得“在室”作为在室状况,作为学习数据,将通信日期时间“2020/11/4 16:45:00”、设备识别符“11:11:11:11:11:11”、设备状态“电源导通”、在室状况“在室”、通信量“15,000字节(Byte)”及在线种类“全局通信”建立对应而登记。
由学习部140向学习数据保存部230的登记时点(定时)既可以与将通信日志保存到通信日志保存部220的时点(定时)相同而进行登记,也可以在任意的时点进行登记。在任意的时点进行登记的情况下,学习部140需要保存通信日志的通信日期时间时点的设备状态及在室状态。
另外,学习部140在登记学习数据时,并不限定于将在步骤S14011、S14012及S14013分别取得的数据全部使用而生成学习数据。学习部140例如也可以对通信日志、设备状态数据及在室状况数据的至少1个进行将偏离值排除的处理。将偏离值排除的处理使用既有的任何处理都可以,例如可以是使用四分位距(IQR:Interquartile Range)的处理。
[1.3.4.2阈值设定处理的详细情况]
图17是表示本实施方式的阈值设定处理(S1402)的一例的流程图。
(S14021)学习部140取得设备状态保存部200保存的设备状态数据。具体而言,学习部140从设备状态保存部200保存的设备状态数据中取得设备识别符(MAC地址等)及设备种类。学习部140既可以取得特定设备的设备识别符及设备种类,也可以以一览取得被登记在设备状态数据中的设备。在以一览取得的情况下,学习部140将步骤S14022~S14027的处理按设备反复实施。
(S14022)学习部140根据学习数据保存部230所保存的学习数据,判定是否有符合的设备的学习数据。具体而言,学习部140使用所取得的设备识别符(MAC地址等),从学习数据保存部230所保存的学习数据中检索符合设备的学习数据。在找到了设备的学习数据的情况下(S14022中为“是”的情况下),学习部140实施步骤S14023,在没有找到的情况下(S14022中为“否”的情况下),学习部140实施步骤S14024。
(S14023)学习部140按该学习数据中包含的设备状态/在室状况/在线种类的每个组合取得通信量,对该组合分别计算阈值。学习部140计算与该组合的数量相应的阈值。
例如,在学习数据保存部230所保存的学习数据是图6所示的内容的情况下,在设备识别符“11:11:11:11:11:11”的“设备状态/在室状况/在线种类”是“电源导通/在室/全局通信”的情况下,取得通信量“7500字节(Byte)”和“15000字节(Byte)”。这里,在设定“最小值/最大值”作为阈值的情况下,设定“7500/15000字节(Byte)”作为阈值。在取得了设备识别符“11:11:11:11:11:11”的“设备状态/在室状况/在线种类”为“电源导通/在室/全局通信”的情况下的3个以上的通信量的情况下,学习部140将3个以上的通信量中的通信量最少的通信量设为阈值的最小值,将通信量最多的通信量设为阈值的最大值。另外,学习部140并不限定于计算最小值及最大值的两者作为阈值,也可以是计算最小值及最大值的至少一方作为阈值。此外,将通信量最少的通信量设为阈值的最小值、以及将通信量最多的通信量设为阈值的最大值,是计算阈值的一例。此外,学习部140也可以说通过将通信量最少的通信量设为阈值的最小值以及将通信量最多的通信量设为阈值的最大值来决定阈值。
此外,设备状态/在室状况/在线种类的组合量可以根据设备状态的样式数量×在室状况的样式数量×在线种类的样式数量来计算。例如,在设备状态为“电源导通/电源断开”的两个样式、在室状况为“不在/在室”的两个样式、在线种类为“本地通信/全局通信”的两个样式的情况下,为2(设备状态样式数量)×2(在室状况的样式数量)×2(在线种类的样式数量)=8样式的组合,设定8个样式的阈值数据作为该设备的阈值。
此外,在在室状况中包含人的1个以上的活动信息的情况下,学习部140也可以对该1个以上的活动信息分别计算阈值。此外,上述也进行了记载,但在在室状况包含人的在室及不在的情况下,也可以对人的在室及不在分别计算阈值。此外,也可以是在在室状况包含住宅内的人的人数及位置的至少一方的情况下,学习部140对该至少一方分别计算阈值。
另外,在步骤S14023中,学习部140可以按设备状态/在室状况/在线种类的每个组合来取得通信量,进行从所取得的通信量中将偏离值排除的处理。将偏离值排除的处理使用既有的任何处理都可以,例如可以是使用四分位距(IQR:Interquartile Range)的处理。
(S14024)学习部140使用所取得的设备种类,根据学习数据保存部230所保存的阈值数据,判定是否在相同设备种类中存在已经登记的阈值数据。在判定为存在相同设备种类的阈值数据的情况下(S14024中为“是”的情况下),学习部140实施步骤S14025,在判定为不存在相同设备种类的阈值数据的情况下(S14024中为“否”的情况下),学习部140实施步骤S14026。
(S14025)学习部140将相同设备种类的阈值数据的阈值设定为该设备种类的阈值数据。具体而言,例如在新购买了空调时,利用已经设置的空调的阈值。该阈值数据的设定并不一定需要实施,可以根据设备种类来选择是否实施,也可以变更阈值的设定方法。
(S14026),学习部140设定初始的阈值作为所取得的设备种类的阈值。作为初始的阈值,既可以设定全部通信量的最大值和最小值,也可以设定由设备生产商设定的初始的阈值。此外,在步骤S14024中为“否”的情况下,学习部140也可以不设定阈值。此外,异常检测装置也可以设置学习期间,在学习期间中将符合的设备从异常检测对象中排除。
(S14027)学习部140将制作的阈值数据登记到学习数据保存部230。
如上述那样,学习部140基于与异常判定装置的检测对象即通信日志被取得(即,进行了通信)时的设备状态及在室状态相同的过去的通信量的实际数据,计算用来检测检测对象即通信日志(即通信)的异常的阈值。
[1.3.5异常检测处理的动作]
图18是表示本实施方式的异常检测处理(S805)的一例的流程图。图18表示异常检测部150的动作(异常检测方法)。
(S1501)异常检测部150从通信日志保存部220保存的通信日志中取得检测对象的通信日志。例如,异常检测部150从通信日志保存部220所保存的通信日志中取得当前通信中的发送源识别符(MAC地址等)、通信量及在线种类。当前是异常检测的对象,是第2期间的一例。
(S1502)异常检测部150取得至少包括第2设备的设备状态的设备状态数据。此外,异常检测部150也可以使用发送源识别符(MAC地址等),从设备状态保存部200所保存的设备状态数据中取得对象设备的当前的设备状态。
(S1503)异常检测部150取得在室状况数据。例如,异常检测部150从在室状况保存部210保存的在室状况数据中取得当前的在室状况。
(S1504)异常检测部150取得阈值数据。异常检测部150基于在步骤S1502中所取得的设备状态和在步骤S1503中所取得的在室状况,从阈值数据之中选择与该设备状态及该在室状况对应的阈值,从而取得阈值。例如,异常检测部150以发送源识别符、在线种类、设备状态及在室状况为键字,从学习数据保存部230保存的阈值数据中取得符合的阈值。例如,如果使用图7的阈值数据,则在当前通信中的设备的设备识别符是“11:11:11:11:11”、设备状态是“电源导通”、在线种类是“本地通信”、当前的在室状况是“不在”的情况下,异常检测部150取得“0/1234”作为阈值(最小值/最大值)。
这样,异常检测部150从针对学习部140(阈值计算装置)计算出的设备状态/在室状况/在线种类的组合的各自的阈值之中,选择与当前(第2期间的一例)的设备状态及在室状况对应的阈值,基于所选择的阈值和当前的通信日志(例如通信量),检测当前的第1设备的异常通信。
(S1505)异常检测部150判定通信量是否是阈值内。具体而言,异常检测部150判定所取得的通信量是否包含在阈值的最小值与最大值之间。在判定为所取得的通信量包含在阈值的最小值与最大值之间的情况下(S1505中为“是”的情况下),异常检测部150结束异常检测处理,在判定为所取得的阈值不包含在阈值的最小值与最大值之间的情况下(所取得的通信量超过阈值)的情况下(S1505中为“否”的情况下),异常检测部150实施步骤S1506。异常检测部150例如在步骤S1505中,判定所取得的通信量是否是从最小值0到最大值1234以内。
(S1506)异常检测部150判定为是异常通信,经由家庭网关20向因特网10上的异常监视装置80通知。异常检测部150将所选择的阈值与通信日志进行比较,在通信日志不满足阈值的情况下判定为异常,将判定结果向异常监视装置80输出。
异常检测部150也可以对于包括第1设备在内的多个设备分别实施图18所示的异常检测处理。
[1.4实施方式的效果]
在本实施方式中,根据家庭网关20接收到的通信日志推测各设备的状态,基于来自各设备的信息推测住宅内的人的状态,设定(选择)与设备的状态及人的状态对应的异常检测的阈值,由此能够减少以往不能检测出的不在时的设备的异常动作等的漏检测、或来客时等比日常的在室人数增加时的误检测。
[2.其他的变形例]
本公开当然并不限定于上述说明的实施方式。例如,以下这样的变形例也包含在本公开中。
(1)在上述实施方式中,异常检测系统以家庭网络为对象,但这是本公开的异常检测系统的一形态,而并不是限定于家庭网络。例如,只要是用楼宇网络、工厂网络、车辆网络等将多个设备连接在网络、能够经由网络取得设备的状态及在室状况的系统即可,也可以将其他的网络领域作为对象。家庭网络、楼宇网络、工厂网络、车辆网络等是施设内网络的一例。此外,在上述实施方式中,说明了人是居住者的例子,但并不限定于此,也可以是作为异常检测系统的检测对象的设备所设置的施设的使用者。
(2)在上述实施方式中,假设异常检测系统的构成为在家庭网关20连接包括异常检测处理装置70的各设备,但也可以在家庭网关20具备异常检测处理装置70的功能,也可以在家庭网关20与设备之间设置集线器等的中继设备。
(3)在上述实施方式中,向家庭网络11的连接方法可以通过Ethernet(注册商标)等的有线通信来连接,也可以通过Wi-Fi(注册商标)、Bluetooth(注册商标)等的无线通信来连接,也可以将它们组合来进行连接。
(4)在上述实施方式中,假设异常检测系统的异常检测部150在检测到异常时向异常监视装置80进行通知,但通知目的地并不限定于此。例如,也可以向被判定为异常的设备进行通知,也可以向连接在家庭网络11的其他设备进行通知。
(5)上述的实施方式的各装置具体而言是由微处理器、ROM、RAM、硬盘单元、显示器单元、键盘、鼠标等构成的计算机系统。在RAM或硬盘单元中记录有计算机程序。通过微处理器按照计算机程序动作,从而各装置达成其功能。这里,计算机程序是为了达成规定的功能而组合表示针对计算机的指令的多个命令代码而构成。
(6)上述的实施方式的各装置,其构成要素的一部分或全部可以由1个系统LSI(Large Scale Integration:大规模集成电路)构成。系统LSI是将多个构成部集成到1个芯片上而制造的超多功能LSI,具体而言是包括微处理器、ROM、RAM等而构成的计算机系统。在RAM中记录有计算机程序。通过微处理器按照计算机程序动作,从而系统LSI达成其功能。
(7)构成上述的各装置的构成要素的一部分或全部也可以由相对于各装置可拆装的IC卡或单体的模组构成。IC卡或模组是由微处理器、ROM、RAM等构成的计算机系统。IC卡或模组也可以包括上述超多功能LSI。通过微处理器按照计算机程序动作,从而IC卡或模组达成其功能。该IC卡或该模组也可以具有耐篡改性。
(8)本公开也可以是上述所示的方法。此外,也可以是将这些方法通过计算机实现的计算机程序,也可以是由该计算机程序构成的数字信号。
(9)此外,本公开也可以是将上述计算机程序或上述数字信号记录到能够由计算机读取的记录介质,例如软盘、硬盘、CD-ROM、MO、DVD、DVD-ROM、DVD RAM、BD(Blu-ray(注册商标)Disc)、半导体存储器等中的形态。此外,也可以是记录在这些记录介质中的上述数字信号。
(10)此外,本公开也可以是将上述计算机程序或上述数字信号经由电气通信线路、无线或有线通信线路、以因特网为代表的网络、数据广播等传送的形态。
(11)此外,本公开也可以是具备微处理器和存储器的计算机系统,该存储器记录有上述计算机程序,该微处理器按照该计算机程序动作。
(12)此外,也可以通过将上述程序或上述数字信号记录到记录介质中并移送、或将该程序或数字信号经由该网络等移送,从而由独立的其他计算机系统实施。
(13)此外,框图中的功能块的分割是一例,可以将多个功能块作为1个功能块来实现,或将1个功能块分割为多个,或将一部分的功能转移到其他的功能块中。此外,也可以将具有类似的功能的多个功能块的功能由单一的硬件或软件并行或时分地处理。
(14)此外,在上述实施方式中说明的多个处理的顺序是一例。多个处理的顺序可以被变更,也可以将多个处理并行地实施。此外,也可以不实施多个处理的一部分。
(15)此外,有关上述实施方式等的异常检测处理装置可以作为单一的装置来实现,也可以由多个装置来实现。在异常检测处理装置由多个装置来实现的情况下,该异常检测处理装置所具有的各构成要素如何分配给多个装置都可以。在异常检测处理装置由多个装置实现的情况下,该多个装置间的通信方法没有被特别限定,可以是无线通信,也可以是有线通信。此外,也可以在装置间组合无线通信及有线通信。在异常检测处理装置中,例如阈值计算装置和异常检测装置可以通过相互不同的装置来实现。
(16)此外,在阈值计算装置和异常检测装置通过相互不同的装置来实现的情况下,阈值计算装置可以将图7所示的阈值数据发送给异常检测装置,也可以取得当由异常检测装置取得检测对象的通信量时的设备状态及在室状况,从阈值数据中选择与所取得的设备状态及在室状况对应的阈值,仅将所选择的阈值发送给异常检测装置。
(17)此外,说明了阈值计算装置至少针对设备状态及在室状况的组合分别计算阈值的例子,但并不限定于此。阈值计算装置也可以取得当由异常检测装置进行了检测对象的通信时的设备状态及在室状况,基于学习数据计算所取得的设备状态及在室状况的时的阈值,将计算出的阈值发送给异常检测装置。即,生成阈值数据不是必须的处理。
(18)除此以外,对于实施方式等施以本领域技术人员所想到的各种变形而得到的形态,或在不脱离本公开的主旨的范围内通过将各实施方式的构成要素及功能任意地组合而实现的形态也包含在本公开中。
工业实用性
本公开能够根据家庭内的设备的动作状态及居住者的在室状态,检测对家庭内的各设备的异常通信。此外,在家庭以外,还能够检测对于楼宇、店铺、工厂、车辆等的连接于经由路由器等的设备与因特网连接的本地网络上的设备的异常通信。
标号说明
1异常检测系统;10因特网;11家庭网络(施设内网络);20家庭网关;30空调;31燃气热水器;32电子锁;33照明;40电视机;41录制机;50控制器;60智能电话;61个人计算机;70异常检测处理装置;80异常监视装置;100通信部;110设备状态取得部;120在室状况判定部;130通信日志收集部;140学习部(计算部);150异常检测部;200设备状态保存部;210在室状况保存部;220通信日志保存部;230学习数据保存部。
Claims (13)
1.一种阈值计算装置,计算在异常检测装置中使用的阈值,上述异常检测装置连接在施设内网络,检测设置有上述施设内网络的施设内的第1设备的异常通信,上述阈值计算装置的特征在于,
在上述施设内,设置有与上述第1设备不同的第2设备;
上述阈值计算装置具备:
第1设备状态取得部,取得上述第1设备的第1期间的设备状态;
第1在室状况判定部,基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;
第1通信日志收集部,收集基于在上述第1期间由上述第1设备收发的通信而生成的通信日志;以及
计算部,基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值,
上述设备状态包括上述第1设备的1个以上的状态,
上述在室状况包括上述人的1个以上的状况,
上述计算部对于上述1个以上的状态及上述1个以上的状况的组合分别计算上述阈值。
2.如权利要求1所述的阈值计算装置,其特征在于,
上述第1设备状态取得部取得基于通信的上述第1设备的电源状态及设定值的至少1个,作为上述设备状态,上述通信包含控制上述第1设备的设备控制命令。
3.如权利要求1或2所述的阈值计算装置,其特征在于,
上述第1在室状况判定部基于从上述第1设备或上述第1设备及上述第2设备以外的第3设备取得的信息,判定上述在室状况。
4.如权利要求1~3中任一项所述的阈值计算装置,其特征在于,
在上述通信日志中包含表示基于上述通信日志的目的地识别符判定出的在线种类的种类信息,
上述种类信息包含上述通信日志中的1个以上的在线种类,
上述计算部还对上述1个以上的在线种类的组合分别计算上述阈值。
5.如权利要求1~4中任一项所述的阈值计算装置,其特征在于,
上述计算部生成将上述设备状态、上述在室状况和上述通信日志建立了对应的学习数据,基于上述学习数据计算上述阈值。
6.如权利要求1~5中任一项所述的阈值计算装置,其特征在于,
上述在室状况包括上述施设内的上述人的有无,
上述计算部对于上述人的在室及不在分别计算上述阈值。
7.如权利要求1~6中任一项所述的阈值计算装置,其特征在于,
上述在室状况包括上述施设内的上述人的人数及位置的至少一方,
上述计算部对上述至少一方分别计算上述阈值。
8.如权利要求1~7中任一项所述的阈值计算装置,其特征在于,
上述在室状况包括上述第1期间的上述人的1个以上的活动信息,
上述计算部还基于上述1个以上的活动信息,计算上述阈值。
9.如权利要求1~8中任一项所述的阈值计算装置,其特征在于,
上述阈值是针对上述第1设备的通信量的阈值,包括上述通信量的最大值及最小值。
10.一种异常检测装置,连接在施设内网络,检测设置有上述施设内网络的施设内的第1设备的异常通信,上述异常检测装置的特征在于,
在上述施设内,设置有与上述第1设备不同的第2设备,
上述异常检测装置具备:
第2设备状态取得部,取得第1期间之后的第2期间的上述第1设备的设备状态;
第1在室状况判定部,基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况;
第2通信日志收集部,收集基于在上述第2期间由上述第1设备收发的通信而生成的通信日志;以及
异常检测部,从如权利要求1~9中任一项所述的阈值计算装置所计算出的、针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合各自的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
11.如权利要求10所述的异常检测装置,其特征在于,
上述异常检测部将所选择的上述阈值与上述通信日志进行比较,在上述通信日志不满足上述阈值的情况下判定为异常,输出判定结果。
12.一种阈值计算方法,计算在异常检测装置中使用的阈值,上述异常检测装置连接在施设内网络,检测设置有上述施设内网络的施设内的第1设备的异常通信,上述阈值计算方法的特征在于,
在上述施设内,设置有与上述第1设备不同的第2设备,
上述阈值计算方法包括:
取得上述第1设备的第1期间的设备状态;
基于从上述第2设备取得的信息,判定在上述第1期间处于上述施设内的人的在室状况;
收集基于在上述第1期间由上述第1设备收发的通信而生成的通信日志;以及
基于上述设备状态、上述在室状况及上述通信日志,计算针对上述第1期间之后的第2期间中的上述第1设备的通信的阈值,
上述设备状态包括上述第1设备的1个以上的状态,
上述在室状况包括上述人的1个以上的状况,
在上述阈值的计算中,对于上述1个以上的状态及上述1个以上的状况的组合分别计算上述阈值。
13.一种异常检测方法,检测连接在施设内网络、且设置有上述施设内网络的施设内的第1设备的异常通信,上述异常检测方法的特征在于,
在上述施设内,设置有与上述第1设备不同的第2设备,
取得第1期间之后的第2期间的上述第1设备的设备状态,
基于从上述第2设备取得的信息,判定上述第2期间的处于上述施设内的人的在室状况,
收集基于在上述第2期间由上述第1设备收发的通信而生成的通信日志;
从如权利要求12所述的阈值计算方法所计算出的、针对上述第1设备的上述1个以上的状态及上述1个以上的状况的组合各自的阈值之中,选择与上述第2期间的上述设备状态及上述在室状况对应的阈值,基于所选择的阈值和上述第2期间的上述通信日志,检测上述第2期间中的上述第1设备的上述异常通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2020214471 | 2020-12-24 | ||
| JP2020-214471 | 2020-12-24 | ||
| PCT/JP2021/042362 WO2022137916A1 (ja) | 2020-12-24 | 2021-11-18 | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116601922A true CN116601922A (zh) | 2023-08-15 |
Family
ID=82159366
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180084696.9A Pending CN116601922A (zh) | 2020-12-24 | 2021-11-18 | 阈值计算装置、异常检测装置、阈值计算方法及异常检测方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US12438897B2 (zh) |
| EP (1) | EP4270877B1 (zh) |
| JP (1) | JP7762667B2 (zh) |
| CN (1) | CN116601922A (zh) |
| WO (1) | WO2022137916A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12432244B2 (en) * | 2022-03-24 | 2025-09-30 | At&T Intellectual Property I, L.P. | Home gateway monitoring for vulnerable home internet of things devices |
| US12231831B2 (en) | 2024-06-19 | 2025-02-18 | Frederic M Newman | Smart security camera with detection of suspicious cellphones |
| CN119299288B (zh) * | 2024-12-10 | 2025-02-21 | 天信仪表集团有限公司 | 燃气设备通讯异常的分析方法、系统、计算设备及介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010283781A (ja) * | 2009-06-08 | 2010-12-16 | Nippon Telegr & Teleph Corp <Ntt> | 宅内通信機器監視システムおよび宅内通信機器監視方法 |
| CN102842204A (zh) * | 2008-04-11 | 2012-12-26 | 三菱电机株式会社 | 生活者异常探测装置、生活者异常探测系统及方法 |
| CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
| CN106789481A (zh) * | 2017-01-19 | 2017-05-31 | 上海雍敏信息科技有限公司 | 智能家居的数据可视化整体监控系统 |
| CN107166645A (zh) * | 2017-05-18 | 2017-09-15 | 厦门瑞为信息技术有限公司 | 一种基于室内场景分析的空调控制方法 |
| CN107209834A (zh) * | 2015-02-04 | 2017-09-26 | 日本电信电话株式会社 | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 |
| WO2018152365A1 (en) * | 2017-02-15 | 2018-08-23 | New Sun Technologies, Inc. | Activity monitoring system |
| JP2018148350A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | 閾値決定装置、閾値決定方法及びプログラム |
| CN108809970A (zh) * | 2018-05-29 | 2018-11-13 | 华南理工大学 | 一种智能家居安全网关的安全防护方法 |
| GB201820274D0 (en) * | 2018-12-12 | 2019-01-30 | Centrica Plc | Monitoring method and system |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| JP2019153894A (ja) * | 2018-03-01 | 2019-09-12 | 日本電信電話株式会社 | 通信制御装置、通信制御方法および通信制御プログラム |
| WO2020004315A1 (ja) * | 2018-06-27 | 2020-01-02 | 日本電信電話株式会社 | 異常検知装置、および、異常検知方法 |
| CN110779157A (zh) * | 2018-07-24 | 2020-02-11 | 日立环球生活方案株式会社 | 异常检测系统以及异常检测方法 |
| CN110914878A (zh) * | 2017-09-20 | 2020-03-24 | 谷歌有限责任公司 | 检测和响应于智能家居环境的访客的系统和方法 |
| CN111639497A (zh) * | 2020-05-27 | 2020-09-08 | 北京东方通科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004312064A (ja) | 2003-02-21 | 2004-11-04 | Intelligent Cosmos Research Institute | ネットワーク異常検出装置、ネットワーク異常検出方法およびネットワーク異常検出プログラム |
| JP2006254287A (ja) * | 2005-03-14 | 2006-09-21 | Matsushita Electric Ind Co Ltd | 異常検出装置 |
| US9712549B2 (en) * | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
| US11323884B2 (en) * | 2017-06-27 | 2022-05-03 | Allot Ltd. | System, device, and method of detecting, mitigating and isolating a signaling storm |
| JP7125317B2 (ja) * | 2018-09-28 | 2022-08-24 | アズビル株式会社 | 不正アクセス監視装置および方法 |
-
2021
- 2021-11-18 EP EP21910069.0A patent/EP4270877B1/en active Active
- 2021-11-18 WO PCT/JP2021/042362 patent/WO2022137916A1/ja not_active Ceased
- 2021-11-18 CN CN202180084696.9A patent/CN116601922A/zh active Pending
- 2021-11-18 JP JP2022571971A patent/JP7762667B2/ja active Active
-
2023
- 2023-06-20 US US18/211,941 patent/US12438897B2/en active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102842204A (zh) * | 2008-04-11 | 2012-12-26 | 三菱电机株式会社 | 生活者异常探测装置、生活者异常探测系统及方法 |
| JP2010283781A (ja) * | 2009-06-08 | 2010-12-16 | Nippon Telegr & Teleph Corp <Ntt> | 宅内通信機器監視システムおよび宅内通信機器監視方法 |
| CN107209834A (zh) * | 2015-02-04 | 2017-09-26 | 日本电信电话株式会社 | 恶意通信模式提取装置、恶意通信模式提取系统、恶意通信模式提取方法及恶意通信模式提取程序 |
| CN106357434A (zh) * | 2016-08-30 | 2017-01-25 | 国家电网公司 | 一种基于熵分析的智能电网通信网络流量异常检测方法 |
| CN106789481A (zh) * | 2017-01-19 | 2017-05-31 | 上海雍敏信息科技有限公司 | 智能家居的数据可视化整体监控系统 |
| WO2018152365A1 (en) * | 2017-02-15 | 2018-08-23 | New Sun Technologies, Inc. | Activity monitoring system |
| JP2018148350A (ja) * | 2017-03-03 | 2018-09-20 | 日本電信電話株式会社 | 閾値決定装置、閾値決定方法及びプログラム |
| CN107166645A (zh) * | 2017-05-18 | 2017-09-15 | 厦门瑞为信息技术有限公司 | 一种基于室内场景分析的空调控制方法 |
| CN110914878A (zh) * | 2017-09-20 | 2020-03-24 | 谷歌有限责任公司 | 检测和响应于智能家居环境的访客的系统和方法 |
| CN109962903A (zh) * | 2017-12-26 | 2019-07-02 | 中移(杭州)信息技术有限公司 | 一种家庭网关安全监控方法、装置、系统和介质 |
| JP2019153894A (ja) * | 2018-03-01 | 2019-09-12 | 日本電信電話株式会社 | 通信制御装置、通信制御方法および通信制御プログラム |
| CN108809970A (zh) * | 2018-05-29 | 2018-11-13 | 华南理工大学 | 一种智能家居安全网关的安全防护方法 |
| WO2020004315A1 (ja) * | 2018-06-27 | 2020-01-02 | 日本電信電話株式会社 | 異常検知装置、および、異常検知方法 |
| CN110779157A (zh) * | 2018-07-24 | 2020-02-11 | 日立环球生活方案株式会社 | 异常检测系统以及异常检测方法 |
| GB201820274D0 (en) * | 2018-12-12 | 2019-01-30 | Centrica Plc | Monitoring method and system |
| CN111639497A (zh) * | 2020-05-27 | 2020-09-08 | 北京东方通科技股份有限公司 | 一种基于大数据机器学习的异常行为发现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP4270877A1 (en) | 2023-11-01 |
| EP4270877A4 (en) | 2024-06-26 |
| US20230336576A1 (en) | 2023-10-19 |
| JPWO2022137916A1 (zh) | 2022-06-30 |
| JP7762667B2 (ja) | 2025-10-30 |
| WO2022137916A1 (ja) | 2022-06-30 |
| EP4270877B1 (en) | 2025-07-23 |
| US12438897B2 (en) | 2025-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220246023A1 (en) | Systems and methods for presenting security questions via connected security system | |
| US10499238B2 (en) | Remote alarm hushing | |
| US10567445B2 (en) | Network-assisted fabric pairing | |
| US9590976B2 (en) | Network-assisted fabric pairing | |
| US10104132B2 (en) | Network-assisted fabric pairing | |
| CN115552871B (zh) | 使用WiFi连接确定用户存在和不存在 | |
| JP7762667B2 (ja) | 閾値算出装置、異常検知装置、閾値算出方法および異常検知方法 | |
| CN107919001A (zh) | 使用无线服务网状网络的入侵者检测 | |
| WO2016205402A1 (en) | Remote alarm hushing | |
| US12342169B2 (en) | Unauthorized communication detection method, unauthorized communication detection device, and recording medium | |
| KR101906880B1 (ko) | 무선랜 파라미터 동요에 기초한 모션 감지 방법 | |
| CN107852340B (zh) | 集线器装置及其提供服务的方法 | |
| Mundt et al. | Forensic analysis of home automation systems | |
| WO2023282193A1 (ja) | マルウェア検知方法、マルウェア検知装置、及びプログラム | |
| KR102041902B1 (ko) | 와이파이 엑세스 포인트의 상태정보를 이용한 사용자 위치 정보 이용 시스템 | |
| WO2023282192A1 (ja) | マルウェア検知方法、マルウェア検知装置、及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |