推定装置、推定方法以及程序与流程

本发明涉及推定装置、推定方法以及程序。

背景技术：

1、在工业类和楼宇类等中的运营技术(ot：operational technology)的通信网络中，异常检测系统或入侵检测系统(ot-ids：operational technology intrusiondetection system)受到关注。在这样的通信网络中收发的数据包，需要以即使1字节等少量的非法改写也不遗漏的方式进行检测。例如有时由于非法改写而温度的设定值发生一位变化等设想外的操作会引起重大事故。

2、存在监视网络的工具(参照非专利文献1和非专利文献2)。在这些工具中，能够监视并分析在网络中收发的数据。

3、现有技术文献

4、非专利文献

5、非专利文献1：wireshark、[online]、[2021年2月25日检索]、因特网<url:https://www.wireshark.org/>

6、非专利文献2：zeek、[online]、[2021年2月25日检索]、因特网<url:https://zeek.org/>

技术实现思路

1、发明要解决的课题

2、然而，任何非专利文献都不能确定异常数据包中的异常字节。

3、本发明是鉴于上述情况而完成的，本发明的目的在于提供一种能够推定异常数据包中的异常字节的技术。

4、用于解决课题的手段

5、本发明的一个方式的推定装置具备：转换部，其使用将数据包数据转换为矢量数据的模型，将异常数据包数据转换为异常矢量数据，所述矢量数据使所述数据包数据的各字节与表示所述各字节的值的特征的各矢量对应起来；提取部，其从使用所述模型转换多个正常数据包数据而得的多个正常矢量数据中，提取与所述异常矢量数据的相似度相对高的正常矢量数据；推定部，其根据所述异常矢量数据的各字节所对应的矢量与提取出的所述正常矢量数据的各字节所对应的矢量的相似度，推定所述异常数据包数据中的异常字节。

6、本发明的一个方式的推定方法中，计算机使用将数据包数据转换为矢量数据的模型，将异常数据包数据转换为异常矢量数据，所述矢量数据使所述数据包数据的各字节与表示所述各字节的值的特征的各矢量对应起来，所述计算机从使用所述模型转换多个正常数据包数据而得的多个正常矢量数据中，提取与所述异常矢量数据的相似度相对高的正常矢量数据，所述计算机根据所述异常矢量数据的各字节所对应的矢量与提取出的所述正常矢量数据的各字节所对应的矢量的相似度，推定所述异常数据包数据中的异常字节。

7、本发明的一个方式是使计算机作为上述推定装置发挥功能的程序。

8、发明效果

9、根据本发明，可以提供一种能够推定异常数据包中的异常字节的技术。

技术特征：

1.一种推定装置，其特征在于，具备：

2.根据权利要求1所述的推定装置，其特征在于，

3.根据权利要求1所述的推定装置，其特征在于，

4.根据权利要求1所述的推定装置，其特征在于，

5.一种推定方法，其特征在于，

6.一种程序，其特征在于，

技术总结
推定装置(1)具备：转换部(21)，其使用将数据包数据转换为矢量数据的模型，将异常数据包数据(15)转换为异常矢量数据(16)，所述矢量数据使所述数据包数据的各字节与表示各字节的值的特征的各矢量对应起来；提取部(23)，其从使用上述模型转换多个正常数据包数据而得的多个正常矢量数据中，提取异常矢量数据(16)的相似度相对高的正常矢量数据(17)；推定部(24)，其根据异常矢量数据(16)的各字节所对应的矢量与提取出的正常矢量数据(17)的各字节所对应的矢量的相似度，推定异常数据包数据(15)中的异常字节。

技术研发人员：山中友贵
受保护的技术使用者：日本电信电话株式会社
技术研发日：
技术公布日：2024/1/16