Top > Search of Japanese Patents > DETECTION METHOD AND DETECTION APPARATUS > Specification

Specification :(In Japanese)検出方法及び検出装置

Country (In Japanese)日本国特許庁(JP)
Gazette (In Japanese)公開特許公報(A)
Publication number P2019-215794A
Date of publication of application Dec 19, 2019
Title of the invention, or title of the device (In Japanese)検出方法及び検出装置
IPC (International Patent Classification) G06F  21/56        (2013.01)
H04L   9/10        (2006.01)
FI (File Index) G06F 21/56 370
H04L 9/00 621A
Number of claims or invention 12
Filing form OL
Total pages 14
Application Number P2018-113649
Date of filing Jun 14, 2018
Inventor, or creator of device (In Japanese)【氏名】戸川 望
【氏名】長谷川 健人
Applicant (In Japanese)【識別番号】899000068
【氏名又は名称】学校法人早稲田大学
Representative (In Japanese)【識別番号】110002675、【氏名又は名称】特許業務法人ドライト国際特許事務所
Request for examination (In Japanese)未請求
Theme code 5J104
F-term 5J104AA46
Abstract (In Japanese)【課題】プログラムを書き換え可能な対象デバイスに挿入された悪意のある機能の発現を検出する方法及び装置を提供する。
【解決手段】検出装置の計測器は、対象デバイスの動作中に対象デバイスの消費電力の波形データを取得する(S1)。検出装置のプロセッサは、計測器より取得された消費電力のデータを平滑化し(S2)、平滑化後の消費電力のデータをクラスタリングにより分類することによって通常モードとスリープモードとを識別し(S3)、通常モードと識別された期間ごとに、当該通常モードの継続時間と、当該継続時間での消費エネルギーとを特徴量として抽出し(S4)、抽出された特徴量から外れ値を求めることで、対象デバイスに挿入された悪意のある機能の発現を検出する(S5)。
【選択図】図4
Scope of claims (In Japanese)【請求項1】
プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する方法であって、
前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得し、
前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、
識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、
前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出する方法。
【請求項2】
前記サイドチャネル情報として、前記対象デバイスの消費電力を取得する、請求項1に記載の方法。
【請求項3】
前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの消費エネルギーと、を抽出する、請求項2に記載の方法。
【請求項4】
前記サイドチャネル情報として、前記対象デバイスに流れる電流を取得する、請求項1に記載の方法。
【請求項5】
前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの累積電流値と、を抽出する、請求項4に記載の方法。
【請求項6】
前記サイドチャネル情報として、前記対象デバイスの抵抗を取得する、請求項1に記載の方法。
【請求項7】
前記特徴量として、前記少なくとも1つの動作モードの継続時間と、当該継続時間における前記対象デバイスの累積抵抗値と、を抽出する、請求項6に記載の方法。
【請求項8】
前記クラスタリングのアルゴリズムとしてK平均法を用いる、請求項1~7の何れか1項に記載の方法。
【請求項9】
前記クラスタリングのアルゴリズムとしてウォード法を用いる、請求項1~7の何れか1項に記載の方法。
【請求項10】
局所外れ値因子法を用いて前記外れ値を求める、請求項1~9の何れか1項に記載の方法。
【請求項11】
前記サイドチャネル情報から得られるデータを平滑化し、
前記平滑化した後のデータから、前記複数の動作モードを識別する、請求項1~10の何れか1項に記載の方法。
【請求項12】
プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する装置であって、
前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得する計測器と、
前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出するプロセッサと、
を備える検出装置。
Detailed description of the invention (In Japanese)【技術分野】
【0001】
本発明は、対象デバイスに挿入された機能の発現を検出する方法及び装置に関する。
【背景技術】
【0002】
近年、プログラムを書き換え可能なプラットフォームが、IoT(Internet of Thing)デバイス等の様々な電子機器に広く用いられている。IoTデバイスは、インターネットを介してファームウェアをダウンロードしてアップデートすることができる一方で、情報の漏洩やハードウェアの安全性に関して深刻な懸念が生じている。例えば、インターネットを介してIoTデバイスのファームウェアをアップデートする場合、攻撃者により悪意でファームウェアが改ざんされ、デバイスの機能が容易に変更されてしまうおそれがある。このような事態に対処するため、例えば、非特許文献1には、組み込みシステムにおいて異常なコード実行を検出する技術が開示されている。
【先行技術文献】
【0003】

【非特許文献1】Yannan Liu, Lingxiao Wei, Zhe Zhou, Kehuan Zhang, Wenyuan Xu, and Qiang Xu, “On Code Execution Tracking via Power Side-Channel,” in Proc. ACM SIGSAC Conference on Computer and Communications Security, pp. 1019-1031, 2016.
【発明の概要】
【発明が解決しようとする課題】
【0004】
このように、プログラムを書き換え可能なプラットフォームを有するデバイスにおいて、攻撃者により悪意でデバイスに挿入された機能(悪意のある機能)の発現を検出する技術が望まれている。
【0005】
本発明は、プログラムを書き換え可能な対象デバイスに挿入された悪意のある機能の発現を検出する方法及び装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明に係る検出方法は、プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する方法であって、前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得し、前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出する。
【0007】
本発明に係る検出装置は、プログラムを書き換え可能で且つ複数の動作モードを有する対象デバイスに挿入された機能の発現を検出する装置であって、前記対象デバイスの動作中に前記対象デバイスのサイドチャネル情報を取得する計測器と、前記サイドチャネル情報から得られるデータをクラスタリングにより分類することによって前記複数の動作モードを識別し、識別された前記複数の動作モードのうちの少なくとも1つの動作モードで前記対象デバイスが動作している期間について、前記サイドチャネル情報に基づく特徴量を抽出し、前記特徴量から外れ値を求めることで、前記対象デバイスに挿入された機能の発現を検出するプロセッサと、を備える。
【発明の効果】
【0008】
本発明によれば、対象デバイスの動作中に取得されるサイドチャネル情報に基づいて、当該対象デバイスに挿入された悪意のある機能の発現を検出することができる。
【図面の簡単な説明】
【0009】
【図1】本発明の実施形態に係る検出システムの構成を模式的に示すブロック図である。
【図2】対象デバイスの動作モードを説明する模式図である。
【図3】対象デバイスに悪意のある機能が挿入された場合の動作モードを説明する模式図である。
【図4】対象デバイスから悪意のある機能の発現を検出する方法の流れを示す模式図である。
【図5】対象デバイスから悪意のある機能の発現を検出する実験の条件を説明する模式図である。
【図6】対象デバイスの動作中の消費電力の波形を示すグラフである。
【図7】図6の消費電力のデータを平滑化することにより得られる波形を示すグラフである。
【図8】平滑化後の消費電力のデータから、K平均法によるクラスタリングを用いて通常モードとスリープモードとを識別した結果を表すグラフである。
【図9A】図8の識別結果に基づいて通常モードの期間ごとに得られた、継続時間、消費エネルギー、及び局所外れ値因子の値を示す表である。
【図9B】図9Aの実験結果を表すグラフである。
【図10】ウォード法によるクラスタリングを用いた場合の通常モードとスリープモードとの識別結果を表すグラフである。
【図11】対象デバイスに流れる電流に基づいて通常モードとスリープモードとを識別した結果を表すグラフである。
【図12A】図11に示す識別結果に基づいて通常モードの期間ごとに得られた、継続時間、累積電流値、及び局所外れ値因子の値を示す表である。
【図12B】図12Aの実験結果を表すグラフである。
【図13】対象デバイスの動作中の抵抗に基づいて通常モードとスリープモードとを識別した結果を表すグラフである。
【図14A】図13に示す実験結果に基づいて通常モードの期間ごとに得られた、継続時間、累積抵抗値、及び局所外れ値因子の値を示す表である。
【図14B】図14Aの実験結果を表すグラフである。
【発明を実施するための形態】
【0010】
以下、図面を参照して本発明の実施形態を説明する。
図1は、本発明の実施形態に係る検出システム1の構成を模式的に示すブロック図である。検出システム1は、対象デバイス10と、電源20と、検出装置30と、を備える。検出システム1は、攻撃者により悪意で対象デバイス10に挿入された機能(悪意のある機能:malfunctions)を検出装置30により検出するシステムである。

【0011】
対象デバイス10は、IoT(Internet of Thing)デバイス等の電子機器であり、インターネット等のネットワーク及び/又はユニバーサル・シリアル・バス(USB)等のインターフェースを介してプログラムを書き換え可能なマイクロコントローラを有する。例えば、対象デバイス10は、ネットワークを介して自己のファームウェアをダウンロードしてアップデートすることができる。対象デバイス10は、使用時に電源20に接続され、電源20からの電源供給を受けて動作する。

【0012】
対象デバイス10の動作モードは、通常モード(active mode)とスリープモード(sleep mode)とを含む。通常モードは、対象デバイス10の通常の処理(主要な機能)を実行するモードである。対象デバイス10のマイクロコントローラはセンサに接続されており、通常モードにおいてマイクロコントローラは、当該センサから取得された信号をホストコンピュータにネットワークを介して出力する。スリープモードは、対象デバイス10の必要最小限の機能のみを有効にして消費電力を抑えるモードである。スリープモードでは、対象デバイス10の主要な機能は停止している。対象デバイス10の消費電力は時間の経過とともに変化しているが、図2に示すように、通常モードでの消費電力とスリープモードでの消費電力は大きく異なっているため、消費電力によって通常モードとスリープモードとを明確に識別することができる。

【0013】
対象デバイス10に挿入され得る悪意のある機能には、対象デバイス10の動作中は常時アクティブであるタイプと、対象デバイス10が攻撃者により設定された特定のトリガー条件を満たした時(例えば、タイマーで所定時間経過した時)のみアクティブになるタイプがある。後者のタイプは、悪意のある機能がアクティブにならないとユーザはその存在に気付くことができないため、前者のタイプより厄介である。本実施形態では、後者のタイプの悪意のある機能が対象デバイス10に挿入されたものとし、図3に示すように、対象デバイス10が通常モードで動作中に特定のトリガー条件を満たした時のみ、挿入された悪意のある機能がアクティブになるものとする。

【0014】
図1に戻り、電源20は、対象デバイス10が接続されたとき、電源線201及びグラウンド線202を介して、それぞれ、電源電位及びグラウンド電位を対象デバイス10に供給する。

【0015】
検出装置30は、計測器31とコンピュータ32とを備える。計測器31は、対象デバイス10の動作中に対象デバイス10から物理的に外部に漏れる情報(サイドチャネル情報)を取得する装置である。サイドチャネル情報として、消費電力(=電圧×電流)、電磁波、処理時間等が挙げられるが、本実施形態では、計測器31により電圧と電流を計測して消費電力を取得するものとする。

【0016】
計測器31は、例えば、オシロスコープからなり、プローブ312及びプローブ314によって計測された対象デバイス10の電流及び電圧をそれぞれ取得する。具体的に、プローブ312は、ケーブル311を介して計測器31に接続され、電源線201を流れる電流を計測し、ケーブル311を介して計測結果のデータを計測器31に出力する。プローブ314は、ケーブル313を介して計測器31に接続され、電源線201とグラウンド線202との電位差(電圧)を計測し、ケーブル313を介して計測結果のデータを計測器31に出力する。

【0017】
計測器31は、CPU(Central Processing Unit)等のプロセッサと、メモリと、LCD(Liquid Crystal Display)等の表示部と、を備える。計測器31のプロセッサは、プローブ312及びプローブ314からそれぞれ出力された電流及び電圧のデータをサンプリングして消費電力を算出し、時間の経過に伴う消費電力のデータを表示部に表示させるとともに、メモリに格納させる。また、計測器31はコンピュータ32に接続されており、算出された消費電力のデータをコンピュータ32に出力する。

【0018】
コンピュータ32は、CPU等のプロセッサ321と、メモリ322と、LCD等の表示部323と、を備える。プロセッサ321は、メモリ322に格納されたプログラムにしたがって計測器31から出力されたデータを解析し、対象デバイス10に挿入された悪意のある機能の発現を検出する処理を実行する。また、プロセッサ321は、処理結果のデータをメモリ322に格納させるとともに、表示部323に表示させる。コンピュータ32により実行される処理については後述する。

【0019】
なお、表示部を有さない計測器31を採用し、計測器31から得られた計測結果をコンピュータ32の表示部323に表示するようにしてもよい。また、図1では、電源20が対象デバイス10のみに接続されている例を示しているが、計測器31及び/又はコンピュータ32を電源20と同一の電源系統に接続するようにしてもよい。

【0020】
次に、図4を参照して、検出装置30によって実行される、対象デバイス10に挿入された悪意のある機能の発現を検出する方法の流れについて説明する。

【0021】
まず、対象デバイス10の動作中、プローブ312及びプローブ314を用いて対象デバイス10の電流及び電圧がそれぞれ計測され、計測器31のプロセッサは、時間の経過に伴う消費電力(=電圧×電流)を算出する。これにより消費電力のデータが取得される(ステップS1)。取得された消費電力のデータは、コンピュータ32に出力される。

【0022】
実際に取得される消費電力のデータはノイズを含んでいるため、コンピュータ32のプロセッサ321は、消費電力のデータを解析する前に消費電力の移動平均をとることにより、当該消費電力のデータを平滑化する(ステップS2)。具体的には、時刻nにおける消費電力をx[n]とすると、N個の移動平均をとったy[n]は式(1)のように表される。
【数1】
JP2019215794A_000003t.gif

【0023】
次に、プロセッサ321は、平滑化後の消費電力のデータをクラスタリングにより2つのクラスに分類し、通常モードとスリープモードとを識別する(ステップS3)。ステップS3のクラスタリングのアルゴリズムとしてK平均法(K-means clustering)を用いることができる。K平均法は、与えられたデータをその平均値を用いてk個のクラスターに分類するものであり、式(2)のように定式化されている。
【数2】
JP2019215794A_000004t.gif
ここで、S={s1, s2, …,sn}はクラスターのセットであり、μiはクラスターsiにおける平均値である。本実施形態では2つの動作モード(通常モードとスリープモード)を識別するため、ステップS3では2個(k=2)のクラスターに分類する。なお、本実施形態では、2つの動作モード(通常モードとスリープモード)の消費電力の違いに着目し、消費電力のデータを2個のクラスターに分類しているが、クラスターの数と、識別される動作モードの数とを必ずしも一致させる必要はない。例えば、3個以上のクラスター(k≧3)に基づいて2つの動作モードを識別するようにしてもよい。

【0024】
なお、ステップS3のクラスタリングのアルゴリズムとして、あらかじめ閾値を定め、その閾値を超えるか否かによって通常モードとスリープモードとを識別する方法も考えられるが、閾値をデバイスの種類に応じて調整する必要がある。一方、K平均法を用いると、閾値を自動的に決定するため、デバイスの種類によらずにクラスタリングを行うことができる。

【0025】
ステップS3の後、プロセッサ321は、識別された通常モードとスリープモードのうち通常モードに着目し、通常モードの期間の各々について特徴量を抽出する(ステップS4)。ここで、悪意のある機能には、対象デバイス10の通常動作にいくつかの機能を付加するタイプ(機能付加型:adding-function type)と、対象デバイス10の通常動作においていくつかの機能を無効にするタイプ(機能無効型:disabling-function type)がある。前者の一例としては内部情報の漏洩があり、後者の一例としてはサービス妨害がある。機能付加型の悪意のある機能が挿入された対象デバイス10では、その悪意のある機能がない場合に比べて、通常モードにおける消費電力が大きく、且つ継続時間が長い。一方、機能無効型の悪意のある機能が挿入された対象デバイス10では、その悪意のある機能がない場合に比べて、通常モードにおける消費電力が小さく、且つ継続時間が短い。これらを考慮し、ステップS4においてプロセッサ321は、通常モードと識別された期間ごとに、通常モードの継続時間と、当該継続時間における消費エネルギー(すなわち、消費電力を継続時間で積分した値)と、を特徴量として算出する。

【0026】
特徴量を算出した後、プロセッサ321は、通常モードの期間ごとに、ステップS4で抽出された特徴量から外れ値を求めることで、対象デバイス10に挿入された悪意のある機能の発現を検出する(ステップS5)。ここで、アプリケーションによっては、通常モードの動作においても、継続時間と消費エネルギーがばらつく可能性がある。そこで、本実施形態では、局所外れ値因子(local outlier factor:LOF)法を用い、周辺に比べて密度が極端に異なるデータを外れ値とする。プロセッサ321は、通常モードの期間ごとに、特徴量(継続時間及びその継続時間における消費エネルギー)からLOFを求め、通常モードと識別された全期間のうちLOFの値が極端に異なる期間に、悪意のある機能が発現したと判断する。

【0027】
<実施例>
次に、対象デバイス10から悪意のある機能の発現を検出する実施例について、図5~図14Bを参照して説明する。

【0028】
まず、本実施例の実験条件について説明する。
図5に示すように、対象デバイス10は、悪意のある機能が発現していないときに以下のi)~iv)の通常動作を行うものとする:i)入力データに対してA/D変換を行う; ii)A/D変換後のデータに対してAES(Advanced Encryption Standard)を用いた暗号化を行う; iii)シリアルインターフェースを介して暗号化されたデータを外部に出力する; iv)次のA/D変換が始まるまでスリープモードで動作する。i)~iii)の動作は通常モードであり、iv)はスリープモードである。i)のA/D変換開始から次のA/D変換開始までの期間は32msである。すなわち、対象デバイス10は、A/D変換の結果を32msごとに暗号化して出力する。対象デバイス10は、i)~iv)の通常動作を1サイクルとして何サイクルも繰り返すが、本実施例では、5サイクルに1回の割合でAES暗号化を無効にする悪意のある機能が発現するものとする。悪意のある機能が発現した場合、A/D変換の結果が暗号化されずに外部に出力される。

【0029】
また、電源20から対象デバイス10に供給される電圧(Vcc)を5.0V、最大電流を0.4Aに設定する。

【0030】
このような条件下で得られた本実施例の実験結果を図6~図9Bに示す。
図6は、計測器31を用いて計測された1秒間の消費電力の波形(Raw data)を示す。図6において横軸は時間[s]を表し、縦軸は消費電力[W]を表す。図6に示すように、スリープモードの消費電力は0.2~0.22(W)の間で変動し、通常モードの消費電力は0.26~0.28(W)の間で変動する。

【0031】
図7に、図6に示された消費電力のデータを平滑化することにより得られた波形を示す。ここで、消費電力の移動平均を算出する際、式(1)においてN=5とした。図7に示すように、スリープモードの消費電力は0.2~0.21(W)の間で変動し、通常モードの消費電力は0.26付近で変動する。このように、消費電力のデータを平滑化することにより、通常モードもスリープモードも変動が小さくなっている。

【0032】
図8に、平滑化後の消費電力のデータから、K平均法を用いて通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図9Aは、識別された通常モードとスリープモードのうち、通常モードの期間ごとに抽出された特徴量(継続時間[s]及び消費エネルギー[mW・s])とLOFの値を示す表である。図9Bは、図9Aに示す実験結果を表すグラフである。図9Bにおいて、横軸は継続時間[s]を表し、縦軸は消費エネルギー[mW・s]を表し、背景の陰影の濃さはLOFの値に対応している。陰影が濃いほどLOFの値は低く、陰影が薄いほどLOFの値は高い。図9Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が-19よりも低く、外れ値として特定される。すなわち、図9Aの表において、LOFの値が-19よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。

【0033】
なお、上述の実施例では、簡単のため、約1秒間で得られた消費電力のデータから悪意のある機能の発現を検出する場合を示したが、言うまでもなく、実際の検出装置30では、1週間や1か月間等の長期にわたって悪意のある機能の発現を検出する処理を行ってもよい。

【0034】
本実施形態によれば、対象デバイス10の通常モードとスリープモードとの消費電力の違いに着目し、通常モードにおける継続時間と消費エネルギーに基づいて悪意のある機能の発現を検出するようにした。これにより、特定のプラットフォームに依存せずに、プログラムを書き換え可能なデバイスに挿入された悪意のある機能の発現を検出することができる。

【0035】
本発明は、上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲内で種々の変更が可能である。

【0036】
例えば、上述の実施例では、K平均法を用いて通常モードとスリープモードとを識別したが(図8参照)、クラスタリングのアルゴリズムはK平均法に限定されない。例えば、階層的クラスタリングの一つであるウォード法(Ward’s method)を用いてもよい。図10は、図5に示す実験条件の下で、平滑化後の消費電力のデータからウォード法を用いて通常モード(実線)とスリープモード(破線)とを識別した結果を示している。図10に示すように、ウォード法を用いた場合においても、通常モードとスリープモードを明確に識別することができる。

【0037】
他のクラスタリングとして、スペクトラルクラスタリング(spectral clustering)や、K平均法を派生させたアルゴリズムであるK-means++を適用することも可能である。

【0038】
さらに、特徴量から外れ値を求めるアルゴリズムはLOF法に限定されない。例えば、DBSCAN(Density-based spatial clustering of applications with noise)を適用することも可能である。

【0039】
また、上述の方法では、対象デバイス10のサイドチャネル情報として消費電力を解析することによって、対象デバイス10に挿入された悪意のある機能の発現を検出したが、他のサイドチャネル情報を解析するようにしてもよい。

【0040】
図11、図12A及び図12Bは、図5に示す実験条件の下で、対象デバイス10に流れる電流を解析した結果を示す。具体的に、図11は、平滑化後の電流のデータからクラスタリングによって通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図12Aは、図11に示す識別結果に基づいて通常モードの期間ごとに抽出された特徴量(継続時間とその継続時間での累積電流値)と、特徴量から求められたLOFの値を示す表である。累積電流値は、電流値を継続時間で積分した値である。図12Bは、図12Aの実験結果を表すグラフである。図12Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が-17よりも低く、外れ値として特定される。すなわち、図12Aの表において、LOFの値が-17よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。

【0041】
図13、図14A及び図14Bは、図5に示す実験条件の下で、対象デバイス10の動作中の抵抗(=電圧÷電流)を解析した結果を示す。具体的に、図13は、平滑化後の抵抗のデータからクラスタリングによって通常モード(実線)とスリープモード(破線)とを識別した結果を示す。図14Aは、図13に示す識別結果に基づいて通常モードの期間ごとに抽出された特徴量(継続時間とその継続時間での累積抵抗値)と、特徴量から求められたLOFの値を示す表である。累積抵抗値は、抵抗値を継続時間で積分した値である。図14Bは、図14Aの実験結果を表すグラフである。図14Bの左下の陰影の濃い領域にプロットされたいくつかのデータは、LOFの値が-28よりも低く、外れ値として特定される。すなわち、図14Aの表において、LOFの値が-28よりも低い通常モード期間4、9、14、19、24、及び29において、悪意のある機能が発現したことがわかる。

【0042】
このように、電流、電圧、及び時間を任意に組み合わせた特徴量を用いて、対象デバイス10に挿入された悪意のある機能の発現を検出することができる。
【符号の説明】
【0043】
1 検出システム
10 対象デバイス
20 電源
30 検出装置
31 計測器
32 コンピュータ
321 プロセッサ
322 メモリ
323 表示部
201 電源線
202 グラウンド線
Drawing
(In Japanese)【図1】
0
(In Japanese)【図2】
1
(In Japanese)【図3】
2
(In Japanese)【図4】
3
(In Japanese)【図5】
4
(In Japanese)【図6】
5
(In Japanese)【図7】
6
(In Japanese)【図8】
7
(In Japanese)【図9A】
8
(In Japanese)【図9B】
9
(In Japanese)【図10】
10
(In Japanese)【図11】
11
(In Japanese)【図12A】
12
(In Japanese)【図12B】
13
(In Japanese)【図13】
14
(In Japanese)【図14A】
15
(In Japanese)【図14B】
16