技术新讯 > 电子通信装置的制造及其应用技术 > 估计装置、估计方法以及估计程序与流程 > 正文

估计装置、估计方法以及估计程序与流程

国知局
2024-08-02 14:59:16

本发明涉及估计装置、估计方法以及估计程序。

背景技术：

1、在工业系统、建筑系统等的操作技术(ot：operational technology)的通信网络中，异常检测系统或入侵检测系统(ot-ids：operational technology intrusiondetection system)受到关注。在通过这样的通信网络收发的分组(packet)中，例如，有时发生由于不正当的改写而使得温度的设定值改变了一位等意外的操作引起重大事故的情况。因此，期望能够不遗漏地检测相当于通信内容的有效载荷的1个字节的不正当改写。因此，在以工业系统、建筑系统的网络控制系统为对象的异常检测系统中，有效载荷内容的精细分析是必不可少的。

2、作为进行有效载荷内容的精细分析的技术，例如提供如下技术：通过将bert(bidirectional encoder representations from transformers：基于转换器的双向编码器表示)等自然语言处理技术应用于分组分析，从任意协议的有效载荷中提取信息来进行异常检测。进而，提出了在异常检测时作为更多的信息而估计异常的字节位置的技术。这是例如使用bertscore等，找出与检测出的异常分组最相似的正常分组，在进行了bert编码的高维空间上对该正常分组和异常分组进行比较的技术。

3、现有技术文献

4、非专利文献

5、非专利文献1：山中友贵，山田真德，高桥智克，永井智大，“bertを用いたパケットペイロードの特徴抽出”，2021年度人工知能学会全国大会(第三十五次)

技术实现思路

1、发明所要解决的课题

2、然而，以往的估计异常的字节位置的技术仅在有限的状况下很好地工作，但有时难以针对一部分实际的异常通信高精度地估计异常的字节位置。

3、用于解决课题的手段

4、为了解决上述的课题，达成目的，估计装置具备：提取部，其基于自然语言处理模型，从多个正常分组数据中提取规定数量的与异常分组数据的相似度相对较高的相似正常分组数据；以及估计部，其从由所述提取部提取出的所述相似正常分组数据中提取分组长度与所述异常分组数据相同的相同长度分组数据，按照每个字节对所述异常分组数据与所述相同长度分组数据进行比较，估计异常字节位置。

5、发明效果

6、根据本发明，能够针对通信协议的分组高精度地估计异常字节位置。

技术特征：

1.一种估计装置，其特征在于，所述估计装置具备：

2.根据权利要求1所述的估计装置，其特征在于，所述估计部进行将所述异常分组数据和所述相同长度分组数据各自的各字节当作数值而进行比较的一维异常检测。

3.根据权利要求1或2所述的估计装置，其特征在于，所述提取部在所述规定数量的所述相似正常分组数据中的所述相同长度分组数据的数量小于判定阈值的情况下，基于所述异常分组数据与所述相似正常分组数据之间的编辑距离，估计所述异常字节位置。

4.根据权利要求1～3中任一项所述的估计装置，其特征在于，从使用将所述分组数据变换为向量数据的所述自然语言处理模型对多个所述正常分组数据进行变换而得到的多个正常向量数据中，确定与使用所述自然语言处理模型对所述异常分组数据进行变换而得到的异常向量数据的相似度相对较高的所述规定数量的相似正常向量数据，提取所述相似正常向量数据的变换前的所述正常分组数据作为所述相似正常分组数据，其中所述向量数据将表示分组数据的各字节的值的特征的各个向量与各所述字节建立对应。

5.根据权利要求1至4中任一项所述的估计装置，其特征在于，所述提取部使用基于转换器的双向编码器表示，即bert作为所述自然语言处理模型。

6.一种估计方法，其特征在于，基于自然语言处理模型，从多个正常分组数据中提取规定数量的与异常分组数据的相似度相对较高的相似正常分组数据，从所述相似正常分组数据中提取分组长度与所述异常分组数据相同的相同长度分组数据，按照每个字节对所述异常分组数据与所述相同长度分组数据进行比较，估计异常字节位置。

7.一种估计程序，其特征在于，使计算机执行如下处理：基于自然语言处理模型，从多个正常分组数据中提取规定数量的与异常分组数据的相似度相对较高的相似正常分组数据，从所述相似正常分组数据中提取分组长度与所述异常分组数据相同的相同长度分组数据，按照每个字节对所述异常分组数据与所述相同长度分组数据进行比较，估计异常字节位置。

技术总结针对通信协议的分组高精度地估计异常字节位置。提取部(23)基于自然语言处理模型，从多个正常分组数据中提取规定数量的与异常分组数据的相似度相对较高的相似正常分组数据。估计部(24)从由提取部(23)提取出的相似正常分组数据中提取分组长度与异常分组数据相同的相同长度分组数据，按照每个字节对异常分组数据与相同长度分组数据进行比较，估计异常字节位置。技术研发人员：山中友贵,永井智大受保护的技术使用者：日本电信电话株式会社技术研发日：技术公布日：2024/7/29