JP2004147067A - 通信分析装置及びこれを用いた通信管理装置 - Google Patents
通信分析装置及びこれを用いた通信管理装置 Download PDFInfo
- Publication number
- JP2004147067A JP2004147067A JP2002309655A JP2002309655A JP2004147067A JP 2004147067 A JP2004147067 A JP 2004147067A JP 2002309655 A JP2002309655 A JP 2002309655A JP 2002309655 A JP2002309655 A JP 2002309655A JP 2004147067 A JP2004147067 A JP 2004147067A
- Authority
- JP
- Japan
- Prior art keywords
- user
- evaluation value
- analysis
- monitoring
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3466—Performance evaluation by tracing or monitoring
- G06F11/3495—Performance evaluation by tracing or monitoring for systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5061—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
- H04L41/5067—Customer-centric QoS measurements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3452—Performance evaluation by statistical analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Quality & Reliability (AREA)
- Environmental & Geological Engineering (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
【解決手段】行動分析装置14は、ゲートウェイ装置12を介するドメイン10内の各ユーザPC16とインターネット20との間の通信を監視する。検出した通信の中に、例えばユーザの情報漏洩の観点での監視項目に該当するものがあれば、その監視項目に対応する重み値を、当該ユーザの情報漏洩の可能性についての評価値に加算する。そして単位時間ごとにその評価値を集計して記録する。行動分析装置14は、その集計値の時系列推移のデータを、予測処理のための学習を済ませたニューラルネットワークに入力し、近未来の時点でのユーザの情報漏洩の可能性を予測する。この予測により漏洩のリスクが高まると判断される場合は、行動分析装置14はセキュリティ管理者に対して警告の電子メールを送る。
【選択図】 図1
Description
【発明の属する技術分野】
本発明は、データ通信ネットワークにおけるユーザの問題行動の分析と、これを利用したセキュリティ技術に関する。
【0002】
【従来の技術】
近年のネットワーク化された組織環境では、ネットワークを利用した組織スタッフの各種問題行動がセキュリティ上問題となっている。よく知られた問題には、例えば、ウェブページの私的閲覧や私用メール等のネットワーク資源の私的利用や、ネットワークを利用した外部への情報漏洩などがある。
【0003】
このような組織スタッフによるネットワークの不正利用を防止する方策としては、従来、フィルタリング技術が用いられている。フィルタリング技術では、企業内LANとインターネットとの間に設けられるゲートウェイに、アクセス制限対象のURL(Uniform Resource Locator)や、送信できない電子メール宛先などのフィルタルールを登録しておき、LAN内からそのフィルタルールに抵触するHTTPリクエストや電子メールが発せられた場合は、それをゲートウェイでブロックしたLAN外部に出さないようにしている。
【0004】
また、特許文献1には、ユーザが作成した電子メールの送信元及び送信先が、予め登録した送信元と送信先のペアに合致する場合のみ電子メールの発信を許可するというフィルタリング処理により、情報漏洩を防止する電子メールシステムが開示されている。
【0005】
【特許文献1】
特開2000−22739
【0006】
【発明が解決しようとする課題】
このようなフィルタリング処理は、問題があることが明らかなウェブサイトへのアクセスや、問題があるのが明らかなメールの送出を制限できる点では有効である。しかしながら、現実には、問題があるかどうかが不明確なグレーゾーンのウェブサイトや電子メールも多く、このようなグレーゾーンのものに対しても画一的にアクセスやメール送受信の制限を行ったのでは、スタッフの業務遂行に支障を来す可能性もある。
【0007】
【課題を解決するための手段】
本発明はこのような問題に鑑みなされたものであり、問題行動と明確に決めつけることが困難なユーザのネットワーク通信行動に対する対処のためのツールを提供することを目的とする。
【0008】
上記目的を達成するため、本発明に係る通信分析装置は、管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視手段と、前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、を備える。
【0009】
本発明の好適な態様では、前記状態分析手段は、前記評価値算出手段で算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定する。
【0010】
更に好適な態様では、前記状態分析手段は、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定する。
【0011】
【発明の実施の形態】
以下、本発明の実施の形態(以下実施形態という)について、図面に基づいて説明する。
【0012】
図1は、本発明の実施形態のシステム構成を示す図である。
【0013】
このシステムにおいて、ゲートウェイ装置12は、企業等の組織のドメイン10に設置され、ドメイン10内のLAN18とインターネット20との間の通信を中継する装置である。ドメイン10内のLAN18上の各ユーザPC(パーソナルコンピュータ)とインターネット20上の各種装置との通信は、必ずこのゲートウェイ装置12を通る。ゲートウェイ装置12は、例えばコンピュータに、LAN18とインターネット20との間での各種プロトコルの変換用のプログラムを実行させることにより構成される。
【0014】
本実施形態では、このゲートウェイ装置12に対し、行動分析装置14を組み込む。大まかに言えば、行動分析装置14は、ゲートウェイ装置12を通る各種ネットワークプロトコルを用いた通信を監視し、この監視結果に基づきLAN18上の各ユーザPC16を使用する各ユーザの状態を分析する。ここで分析の観点(対象)とするユーザの状態には、例えば情報漏洩やネットワークリソースの無駄遣いなどといったネットワーク上でのユーザの問題行動に関する危険度合いがある。また、別の例として、ユーザが、そのドメイン10の属する企業から辞職する傾向など、ユーザの心理面での状態を分析することも可能である。
【0015】
1つの実施例としては、行動分析装置14は、ゲートウェイ装置12を通る個々の通信データの内容や、単位期間当たりのユーザの通信に関する統計量を、それら各分析観点についての評価値に換算し、これを集計していく。そして、各観点についての行動評価値から、各観点についてのユーザの状態を判定する。
【0016】
この状態判定では、例えば、当該分析観点において、ユーザが正常状態であるのか否かを判定する。また、もっと詳細な危険度レベル分けをし、ユーザが、その分析観点においてどの危険度レベルにいる(或いは近い将来至る)かを判定する処理も可能である。
【0017】
図2は、ユーザがネットワークプロトコルを用いて行う通信に対する監視対象項目と、その監視対象項目に対応する重み値(行動評価値)の対応関係を示す重みテーブルの例である。図2のテーブルにおいて、空欄は重み値が0であることを示す。
【0018】
例示のテーブルには、情報漏洩、リソースの無駄遣い、辞職傾向という3つの分析観点に対する各監視対象項目の重み値が登録されている。情報漏洩という観点は、ユーザが組織内(社内)の機密情報を漏洩するリスクを見る観点である。またリソースの無駄遣いという観点は、組織の業務遂行に用いるべきネットワークリソース(例えばユーザPC16やLAN18の帯域など)や、ユーザ自身の勤務時間などの資源を、業務以外の目的で用いる傾向を見る観点である。辞職傾向は、ユーザがその組織から辞職しようとする傾向を見る観点である。
【0019】
監視対象項目は、ゲートウェイ装置12が中継する各ネットワークプロトコルごとに設定される。図示例では、ネットワークプロトコルとして、電子メールプロトコル(SMTP(Simple Mail Transfer Protocol)やPOP(Post Office Protocol)など)、HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)を例示しているが、これはあくまで一例である。これら例示のプロトコルをすべて含む必要は必ずしもないし、逆に例示以外のプロトコルを含んでももちろんよい。
【0020】
電子メールプロトコルの監視対象項目には、例えば、「Cc(Carbon Copy)送信宛先アドレスにメーリングリスト(ML)のアドレスを含む」、「Bcc(Blind Carbon Copy)送信宛先アドレスに社外アドレスを含む」などの項目が含まれる。これら各項目は、これに該当する電子メールが1通送信されただけでは、即座に送信元ユーザが社内情報の漏洩を行っていると断ずることはできないが、かなりの程度の情報漏洩のリスクをはらんでいるというということで、分析観点「情報漏洩」に対して重み値がそれぞれ与えられている。
【0021】
また、「社外宛のメールにA群内の単語が含まれる」、「社外宛のメールにB群内の単語が含まれる」という両項目は、それぞれ情報漏洩の可能性がある電子メールに含まれる代表的なキーワードを含んでいるか否かに関する項目である。A群の方が、B群より情報漏洩の可能性が高いと考えられるキーワードからなるため、大きい重み値が与えられている。例えばA群には「社外秘」、「部外秘」、「議事録」などの単語が、B群には「仕様書」、「マニュアル」などの単語が含まれる。また、「社外宛のメールにC群内の単語が含まれる」という項目は、「辞職傾向」と「リソース無駄遣い」という観点に対してそれぞれ異なる重み値が与えられている。ここでC群には、「転職」や「年収」などユーザの辞職の意向を表したり示唆したりする代表的なキーワードが含まれる。
【0022】
なお、電子メールに含まれるキーワードの監視は、電子メールのサブジェクト(件名)や本文、添付ファイルのファイル名やファイル自体を調べることにより行う。このキーワード監視対象を、サブジェクトなど特定の項目に限定してもよい。
【0023】
また、同じキーワードに対して、サブジェクトと本文と添付ファイルとで、異なる重み値を与えることもできる。
【0024】
また、各群に含まれるキーワードには、一般的なものから、業界特有や企業特有のものまで、様々なものが考えられるので、ドメイン10用にカスタマイズすることが好適である。例えば企業特有のものとしては、辞職傾向を表すキーワードとして、同業他社の社名などを挙げることができる。
【0025】
また「1日の社外とのメール送受信数」は、ユーザの社外とのやり取りの頻度を示しており、これが多いか少ないかは、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性がある。図2のテーブルには、この送受信数を各分析観点の重み値に換算するための換算ルール(例えば換算関数など)がそれぞれ登録されている。なお、ここではメール送受信の頻度を1日単位で集計したが、この単位は1時間単位や1週間単位など、目的等に応じて適宜選択することができる。これは、後述する外部URLへのアクセス数や、ダウンロード回数の場合も同様である。
【0026】
また、HTTPについての監視項目では、例えばD群には業務に全く関係のないウェブサイトのURLが登録されており、E群には同業他社のサイトや転職サイトなど辞職・転職に関連のあるサイトが登録されている。送信されるHTTPコマンドの解析により、ユーザがそれら各群に該当するサイトにアクセスしたことが分かれば、そのテーブルから求められる重み値が、対応する各分析観点の行動評価値に加算される。「1日の外部URLアクセス数」は、電子メールと同様、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性があり、重み値テーブルには、このアクセス数を各分析観点の重み値に換算するための換算ルールがそれぞれ登録されている。また、検索サイトに対する入力キーワードについて、F群には「転職サイト」などの文字列や同業他社の社名など辞職傾向を示唆するキーワードが登録されている。行動分析装置14は、予め登録された1又は複数の検索サイトに対して送られる検索キーワードを解析し、その中にF群に含まれる単語が見つかれば、「情報漏洩」の観点についての行動評価値にその重み値3を加える。なお、D,E群のURLや、F群のキーワードも、電子メールのキーワードの場合と同様、一般的なものから、業界特有や企業特有のものまで、様々なものが考えられ、ドメイン10用にカスタマイズすることが好適である。また、HTTPの場合、ファイルのダウンロードが可能なので、ユーザがダウンロードしたファイルの種類によって、リソースの無駄遣いの度合いを測ることも可能である。図示例では、JPEGなどの画像ファイルやMP3などの音楽ファイルのダウンロードは、業務に関係がない可能性が高いので、リソースの無駄遣いの観点にある程度の大きさの重み値を割り当てている。
【0027】
また、FTPについての監視項目では、例えば、JPEGやMP3などのファイルのダウンロードに対してリソース無駄遣いの重み値が割り当てられている。また、「1日のダウンロード数」は、電子メールと同様、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性があり、重み値テーブルには、このアクセス数を各分析観点の重み値に換算するための換算ルールがそれぞれ登録されている。
【0028】
以上、図2を参照して、ネットワークプロトコルを利用したユーザの通信を、個々の分析観点についての重み値に換算するためのテーブルの例について説明した。ただし、図2の例は、あくまで一例にすぎない。例えば、例示した監視項目以外の様々な条件を、監視項目に含めることができる。また、電子メール等のキーワードについても、単独のキーワードだけでなく、複数のキーワードのアンド条件その他の論理式により、監視項目を設定することもできる。また、ユーザが1日でFTPでアップロード又はダウンロードしたデータの総量や、1日の総ダウンロード時間など、各プロトコルの単位時間当たりの各種統計量を監視項目に含めることも好適である。
【0029】
なお、通信が同じ監視項目に該当しても、分析観点に対するその意味の重大さが、ユーザごとに異なったり、ユーザの職務ごとや役職ごとに異なったりする場合も考えられる。例えば、1日当たりの社外とのメールの送受信量が同じ100通でも、社外との交流が多い人にとってはそれが普通のことであるのに対し、社外との交流が少ない人にとっては重大な状況の変化を示すものとなる可能性がある。このような違いは、個人差による場合もあれば、社外とつきあいの多い営業職と、社外とのつきあいの少ない事務職といった職分の違いによる場合もある。したがって、図2に例示した重み値テーブルを、ドメイン10内のユーザの職務区分や役職区分その他のグループ分けに従って各グループごとに用意し、各ユーザに対してはそのユーザが属するグループのテーブルを用いることで、より精度の高い分析が可能となる。更には、重み値テーブルをドメイン10内の各ユーザごとにカスタマイズすれば、更なる分析精度の向上が見込める。
【0030】
図3は、行動分析装置14の処理手順を示すフローチャートである。この手順では、行動分析装置14は、ゲートウェイ装置12を通る各ユーザの通信を監視する(S10)。そして、ゲートウェイ装置12を通る通信を検知すると、該通信のデータに含まれる発信元や宛先のアドレス情報(例えばIPアドレス)から、ドメイン10内のどのユーザがその通信の発信元又は宛先となっているかを判定する(S12)。そして、その通信のデータを解析し、重み値テーブルに示される監視対象項目の中で、その通信データに該当するものを調べ、該当する項目がある場合は、その項目についての各分析観点の重み値を求める(S14)。このとき、重み値テーブルがユーザグループ単位やユーザ単位で用意されている場合は、そのユーザに対応するテーブルを用いる。そして、このようにして求めた各分析観点の重み値を、それぞれ当該分析観点の行動評価値に加算する(S16)。
【0031】
本実施形態では、予め設定した単位時間(例えば1日単位や、1週間単位など)が経過するまで、以上のステップS10からS16までの処理を繰り返す(S18)。そして、その単位時間が経過すると、その間の各分析観点の行動評価値の集計値を、時系列推移データに記録する(S20)。時系列推移データは、最も単純には、単位時間ごとの各分析観点の行動評価値を時系列順に並べたものである。単位時間ごとの各集計値に対し、その単位時間を特定する日付や週の番号を対応付けて記録してももちろんよい。なお、監視対象項目の中には、単位時間当たりの各プロトコル利用の統計量に基づくものもあるが、そのようなものについては、この単位時間経過の時点で、その統計量を重み値テーブルにより重み値に換算して行動評価値に加算すればよい。
【0032】
このようにして各行動評価値についての時系列推移データの情報が増えると、行動分析装置14は、これら各時系列推移データを元に、ユーザの各分析観点についての状態が今後どのように変化するかを予測分析する(S22)。本実施形態では、この予測の手法として、ニューラルネットワークを利用する。ニューラルネットワークの利用の仕方は、例えば株価予測や電力需要予測におけるニューラルネットワーク利用と同様でよい。すなわち、例えば、既存の行動評価値の時系列推移データを学習データとして用い、その中である時点から遡る所定期間の推移データを入力とし、その時点から所定時間後のある時点やある期間の行動評価値(あるいはその評価値が存在する範囲でもよい)が出力となるように、そのニューラルネットワークを学習させる。
【0033】
例えば図4のグラフは、縦軸に情報漏洩の観点についての行動評価値を、横軸に時間をとっており、曲線が該評価値の時系列推移を表している。この例では、ある基準時点tpから遡る所定幅の各期間P1,P2,P3,P4の各々について、その期間内の行動評価値の累計を求める。そして、それら期間P1,P2,P3,P4の各々の累計値をニューラルネットワークに入力として与え、その結果入ラルネットワークから出力される値が、基準時点tpから所定期間後の時点tfでの行動評価値(過去データを用いているので、tfでの値は分かっている)となるように、ニューラルネットワークに教師信号を与え、バックプロパゲーション法等の公知の学習アルゴリズムを用いてニューラルネットワークを学習させる。このニューラルネットワークは、個々のユーザごとに作成することが好適である。各ユーザごとにニューラルネットワークを用意し、当該ユーザの過去の行動評価値の時系列推移データを用いて学習させることで、各ユーザ用の予測用ニューラルネットワークを作成することができる。また、予測用ニューラルネットワークを個人ごとに作成する代わりに、ユーザグループごとに作成し、そのグループに属するユーザにはそのグループのニューラルネットワークを利用する構成とすることもできる。
【0034】
このようにして十分な予測精度が得られるまで学習したニューラルネットワークをステップS22の予測に用いる。
【0035】
ステップS22の予測処理では、学習時と同様、現在時点tpから遡る各期間P1,P2,P3,P4の行動評価値のデータを、学習済みのニューラルネットワークに入力し、その結果ニューラルネットワークから出力される値を、所定期間P1後の未来時点tfでの行動評価値の予測値とする。そして、行動分析装置14は、この予測値が正常範囲から逸脱しているか否かを判定する(S24)。ここで、予測値が正常範囲ならば、今後しばらくはユーザの当該分析観点についての通信行動には問題がないであろうと判断できるので、ステップS10に戻る。これに対し、ステップS24で、あるユーザのある分析観点についての予測値が正常範囲から逸脱したと判定した場合は、行動分析装置14は、所定のアラーム処理を実行する(S26)。このアラーム処理では、例えば、組織内のセキュリティ管理者や人事管理者などの所定の管理者に対し、そのユーザがその分析観点について、今後問題のある状態となる可能性が高いことを知らせるメッセージを電子メール等で知らせる。これにより、管理者は、ドメイン10内のユーザが問題を抱えている可能性が高いことを、その問題が重大になる手前で知ることができ、適切な処置をとることができる。例えば、あるユーザの辞職傾向の評価値が正常範囲から逸脱すると予測された場合は、人事管理者がその予測に従って早めにそのユーザに対して心理面その他の手当を行うことができる。また、リソース無駄遣い等の場合は、そのユーザ自身に無駄遣いしていないか注意を促すメッセージを発するなどのアラーム処理も有効である。
【0036】
なお、正常範囲か否かを区別する行動評価値のしきい値Thは、当該ドメイン10における過去の各ユーザの時系列推移データと、それら各ユーザが起こした行動との相関性を統計処理したり、それで足りなければ更に同一業種等、ドメイン10と類似性を持つ組織群における同様のデータを統計処理することで求めることができる。
【0037】
図5は、本発明を適用した別のシステム構成の例を示す図である。この例では、インターネット20上に、図1の構成と同様の行動分析装置14を含んだドメイン管理サーバ30に管理されるドメイン10が複数存在する。ドメイン管理サーバ30は、各ドメイン10内のLAN18と外部との間で、使用可能なすべてのプロトコルの通信を中継する。ドメイン管理サーバ30は、それら各プロトコルの通信を制御する通信制御装置32(プログラムにより実現される)を有している。ドメイン管理サーバ30は、インターネット20に対する通信ポートを基本的にすべて閉じておくことで、外部からドメイン10内への侵入を困難にしている。この場合、例えば電子メールの送信は、ドメイン10内の各ユーザからの送信メールをドメイン管理サーバ30が一旦蓄積し、蓄積した送信メール群をインターネット20上の所定の中継サーバ(図示省略)にアップロードすることにより行う。一方電子メールの受信は、ドメイン管理サーバ30が定期的にその中継サーバにアクセスし、自ドメイン宛の電子メール群を一括してダウンロードし、これをドメイン10内の各ユーザ宛に配送することで実現される。この場合、ドメイン管理サーバ30は、SMTPの受信ポートを常に開いておく必要がないので、高いセキュリティを期待できる。また、このシステムでは、各ドメイン管理サーバ30は、電子メールの中継サーバ等の動的な変更等、システム構成の変更に対応するため、インターネット20上に設けられたネットワーク構成管理サーバ(図示省略)に対して定期的にアクセスし、システム構成の情報をダウンロードして更新している。
【0038】
このようなシステム構成において、本実施形態では、インターネット20上にルール管理サーバ40を設置する。このルール管理サーバ40は、行動分析装置14における分析のためのルール情報を管理するサーバである。ルール情報は、例えば図2に示した重み値テーブルなどである。ルール情報には、管理対象の全ドメイン10間や全ユーザ間で共通の共通ルール42と、ドメイン10ごとやその中のユーザグループごと、ユーザごとに異なる個別ルール44とがある。
【0039】
各ドメイン管理サーバ30のルール更新装置34は、このルール管理サーバ40に対して定期的にアクセスし、共通ルール42や、自ドメインに関連する個別ルール44の情報をダウンロードし、これに基づいて自ドメインの行動分析装置14での分析のルールを更新する。また、ルール更新装置34は、そのアクセスの際、前回のアクセスから今回のアクセスまでに増えた各行動評価値の時系列推移データをルール管理サーバ40にアップロードする。ルール管理サーバ40は、このようにアップロードされたデータに対し、ドメイン管理サーバ30の性能上困難な高度な統計処理を施すことで、重み値テーブルの各重みの値をより適切な値に変更するなどのルールの変更処理を行う。また、ドメイン10側からのリクエストに応じ、ドメイン固有の監視項目を追加するなどのルール変更も行う。このような変更は、共通ルール42や個別ルール44に反映され、その後、各ドメイン管理サーバ30の定期アクセスにより各行動分析装置14に反映される。この構成によれば、各ドメイン10の行動分析装置14の分析ルールを、必要に応じて自動更新することができる。
【0040】
また、以上では、予測用ニューラルネットワークの学習では、過去データを元に未来の1時点の行動評価値を予測する学習をしたが、これはあくまで一例である。別の実施例としては、例えば過去の所定期間の時系列推移から、未来の所定期間の行動評価値の平均値を予測したり、その平均値が正常範囲内か否かを予測したりするように学習してもよい。また、以上の説明では、ある分析観点についてのユーザの近未来の状態を予測するのに、その観点の行動評価値の過去データのみを用いていたが、別の分析観点の行動評価値の過去データも利用して予測することも可能である。この場合、別の観点の評価値もニューラルネットワークに入力すればよい。
【0041】
また、以上の例では、1日単位など1種類の単位期間ごとに行動評価値の集計をとっていたが、1日単位と1週間単位など、複数種類の単位期間ごとに行動評価値を集計することで、1つの分析観点に対し、集計単位期間の異なる複数の時系列推移データを求めることができる。この場合、予測処理では、それら複数種類の時系列推移データの過去データから、未来のユーザ状態を予測することもできる。
【0042】
また、以上の例では、各分析観点の行動評価値は、ゲートウェイ装置12が中継しているすべてのプロトコルの監視項目の監視結果を総合したものであったが、これも一例にすぎない。この代わりに、各分析観点の行動評価値を、各プロトコルごとに個別に集計し、個別の時系列推移データを作成してもよい。この場合、予測処理は、着目する分析観点についての、各プロトコルの時系列推移データの過去データをニューラルネットワークに入力し、未来の傾向を予測する構成となる。この構成では、各時点での時系列推移データの値は、各プロトコルの行動評価値を座標値とする多次元空間中の点であり、時系列推移データは時間経過に伴って動くその点の軌跡を示す。予測値も同様であり、その予測値が正常範囲であるかどうかは、予測値が表す点が、その多次元空間中に設定される正常範囲の空間(これは当該ドメイン10の過去のデータ等から求められる)内にあるか否かの判定となる。
【0043】
また、このように各プロトコルごとに記録した時系列推移データを総合評価する代わりに、個別のプロトコルごとに予測処理を行い、プロトコルごとのアラーム処理を行う構成とすることもできる。
【0044】
また、以上の説明では、予測値の判定において、正常範囲であるか否かを判定したが、これは一例にすぎない。予測値をもっと詳細にレベル分けし、予測値が属するレベルに応じたアラーム処理を実行することも可能である。
【0045】
また、あるユーザのある分析観点についての行動評価値の予測値が正常範囲から逸脱した場合に、アラーム処理を行う代わりに、或いはアラーム処理に加えて、そのユーザがその分析観点についての予想される問題行動を取れないように、予め防御措置をとることもできる。防御措置の例は、例えば、あるユーザが情報漏洩を起こすおそれ有りと行動分析装置14が判定した場合に、ゲートウェイ装置12がそのユーザのSMTPやFTPの使用を制限するなどである。
【0046】
また、以上の例では、ゲートウェイ装置12が中継するすべてのプロトコルを監視したが、監視対象を特定のプロトコルに限定する構成ももちろん可能である。この場合、例えば電子メールプロトコルの監視により、あるユーザの情報漏洩の危険性が高まると予測した場合、防御措置としてそのユーザの電子メールプロトコルの使用を禁止することができる。ここで、電子メールプロトコルを禁止する代わりに、又は電子メールプロトコルの禁止に加えて、FTPやHTTPなどの大容量データを転送できるプロトコルの使用を禁止することも好適である。
【0047】
また、以上の例では、重み値テーブル(図2)の監視項目に該当する通信を検知した場合、単にそれを行動評価値に集計するだけであったが、更に各監視項目に対応するフィルタ動作(例えば、監視項目に該当する電子メールは宛先に送信しないという動作や、監視項目に該当したプロトコルの使用を禁止するなど)を行ってももちろん良い。
【0048】
また、以上の例では、各分析観点の行動評価値の時系列推移データから、近未来のユーザの状態を予測し、この予測に基づきアラーム処理その他の処理を行ったが、この代わりに、例えば行動評価値の現在時点の値、或いは現在時点までの所定期間の値の集合に基づき、現在のユーザの状態を判定してもよい。
【0049】
また、以上の例では、各監視項目を共通の行動評価値(重み値)の尺度に換算し、足し合わせて評価したが、これは必須のことではない。この代わりに、各監視項目に該当する通信が行われた頻度(単位時間当たりの回数)を、そのまま当該項目についての評価値として用い、この評価値の時系列推移データを各項目ごとに求め、これら各推移データから各分析観点のユーザ状態を判定したり、予測したりしてもよい。この場合、各監視項目の時系列推移データの過去データをニューラルネットワークに入力し、これに対するニューラルネットワークの出力が、着目する分析観点についてのユーザの近未来の状態の予測結果、又は現在状態の判定結果となるように学習を行えばよい。監視項目として予め多めの項目を設定しておけば、学習の過程でその分析観点に関連性の薄い項目は、ニューロンのシナプス接続重みが極めて小さくなる。したがって、学習後に、各入力ニューロン(それぞれが監視項目に対応)から先に延びるシナプス接続のうち、重みが所定のしきい値より小さいものを探し、それに対応する監視項目を各行動分析装置14での監視対象から外すことで、行動分析装置14の処理付加負荷を低減することができる。
【0050】
また、以上の例では、予測にニューラルネットワークを用いたが、エキスパートシステムなど、ニューラルネットワーク以外の予測技術を用いることも可能である。
【0051】
また、分析観点の別の例として、ドメイン10内から外部へのクラックの危険性がある。すなわち、クラックはネットワーク倫理上非常に重大な問題があるので、これをゲートウェイ装置12での監視により未然に防ごうと言うものである。クラックが行われる場合、一般に特定のIPアドレスに対して頻繁にポートスキャンが行われる、しかし、ポートスキャンは、ネットワーク管理者が空きポートを調べたり、一般ユーザが相手先サイトがアライブ(alive)状態であるかどうかを確認したりするためにも用いられるので、単にドメイン10内から外部に対するポートスキャンコマンドが発行されたとしても、それだけではクラックであると即断することはできない。そこで、この場合、行動分析装置14は、ユーザからのポートスキャンの発生に記録し、このように記録した時系列データにおいて、同一IPアドレスに対するポートスキャンが所定の判定基準以上の頻度で連続している場合に、クラックの可能性があると判定し、アラーム処理や該ユーザに対する各種ネットワークプロトコルの使用禁止の措置を行う。
【図面の簡単な説明】
【図1】本発明に係るシステム構成の一例を示す図である。
【図2】重み値テーブルの例を示す図である。
【図3】行動分析装置の処理手順を示すフローチャートである。
【図4】行動分析装置における予測処理の説明のための図である。
【図5】本発明に係るシステム構成の別の例を示す図である。
【符号の説明】
10 ドメイン、12 ゲートウェイ装置、14 行動分析装置、16 ユーザPC、18 LAN、20 インターネット。
Claims (15)
- 管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視手段と、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、
を備える通信分析装置。 - 請求項1記載の装置であって、
前記状態分析手段は、前記評価値算出手段で算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定することを特徴とする通信分析装置。 - 請求項2記載の装置であって、
前記状態分析手段は、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定することを特徴とする通信分析装置。 - 請求項1記載の装置であって、
前記評価値算出手段は、予め定めた1以上のキーワードが、前記ネットワークプロトコルを用いた通信データの中に含まれるか否かに基づき、前記行動評価値を算出する、
ことを特徴とする通信分析装置。 - 請求項4記載の装置であって、
前記評価値算出手段は、各キーワードごとの重み値を記憶したテーブルを有し、前記ネットワークプロトコルを用いた通信データから検出した各キーワードの重み値に基づき前記行動評価値を算出する、
ことを特徴とする通信分析装置。 - 請求項1記載の装置であって、
前記評価値算出手段は、ユーザのネットワークプロトコル利用に対して予め設定した各監視対象項目について、予め設定した複数の分析観点の各々について個別に重み値を設定可能なテーブルを有し、前記ユーザのネットワークプロトコル利用から監視対象項目の発生を検知した場合、その監視対象項目に対応する各分析観点の重み値に基づき、それら各分析観点についての行動評価値を算出する、
ことを特徴とする通信分析装置。 - 請求項1記載の装置であって、
前記評価値算出手段は、所定の単位期間における前記ネットワークプロトコルの使用回数に基づき前記行動評価値を算出することを特徴とする通信分析装置。 - 請求項1記載の装置であって、
前記状態分析手段の判定結果に基づき、所定の宛先に対して警報を送信する手段を更に備える通信分析装置。 - 管理対象ドメイン内のユーザに対して1種類以上のネットワークプロトコルの利用サービスを提供する機能を備えた通信管理装置であって、
前記ユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視手段と、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、
前記状態分析手段の判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する利用制御手段と、
を備える通信管理装置。 - 管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視ステップと、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
を含む通信分析方法。 - 請求項10記載の方法であって、
前記分析ステップは、前記評価ステップで算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定するステップを含むことを特徴とする通信分析方法。 - 請求項11記載の方法であって、
前記分析ステップは、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定することを特徴とする通信分析方法。 - 管理対象ドメイン内のユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視ステップと、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
前記分析ステップの判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する制御ステップと、
を含む通信管理方法。 - コンピュータシステムに、
管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視テップと、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
を実行させるためのプログラム。 - コンピュータシステムに、
管理対象ドメイン内のユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視ステップと、
前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
前記分析ステップの判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する制御ステップと、
を実行させるためのプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002309655A JP3948389B2 (ja) | 2002-10-24 | 2002-10-24 | 通信分析装置 |
US10/379,578 US7337155B2 (en) | 2002-10-24 | 2003-03-06 | Communication analysis apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002309655A JP3948389B2 (ja) | 2002-10-24 | 2002-10-24 | 通信分析装置 |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2004147067A true JP2004147067A (ja) | 2004-05-20 |
JP2004147067A5 JP2004147067A5 (ja) | 2005-12-08 |
JP3948389B2 JP3948389B2 (ja) | 2007-07-25 |
Family
ID=32105276
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002309655A Expired - Fee Related JP3948389B2 (ja) | 2002-10-24 | 2002-10-24 | 通信分析装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7337155B2 (ja) |
JP (1) | JP3948389B2 (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007181031A (ja) * | 2005-12-28 | 2007-07-12 | Canon System Solutions Inc | 情報処理装置、その制御方法、プログラム、及び記憶媒体 |
JP2008257604A (ja) * | 2007-04-06 | 2008-10-23 | Ntt Docomo Inc | エリア案内装置およびプログラム |
WO2015155888A1 (ja) * | 2014-04-11 | 2015-10-15 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
WO2015159926A1 (ja) * | 2014-04-15 | 2015-10-22 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
JP2020510926A (ja) * | 2017-02-27 | 2020-04-09 | アマゾン・テクノロジーズ、インコーポレイテッド | インテリジェントセキュリティ管理 |
Families Citing this family (64)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9008300B2 (en) * | 2002-01-28 | 2015-04-14 | Verint Americas Inc | Complex recording trigger |
US8627458B2 (en) * | 2004-01-13 | 2014-01-07 | Mcafee, Inc. | Detecting malicious computer program activity using external program calls with dynamic rule sets |
US7480940B1 (en) * | 2004-06-10 | 2009-01-20 | Symantec Corporation | Structures and methods for a low and slow network reconnaissance detector |
US7616764B2 (en) * | 2004-07-07 | 2009-11-10 | Oracle International Corporation | Online data encryption and decryption |
US7596701B2 (en) * | 2004-07-07 | 2009-09-29 | Oracle International Corporation | Online data encryption and decryption |
CN101375546B (zh) * | 2005-04-29 | 2012-09-26 | 甲骨文国际公司 | 用于欺骗监控、检测和分层用户鉴权的系统和方法 |
US7631362B2 (en) * | 2005-09-20 | 2009-12-08 | International Business Machines Corporation | Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information |
US8108926B2 (en) * | 2005-11-28 | 2012-01-31 | Sap Ag | Method and system for online trust management using statistical and probability modeling |
US7792049B2 (en) * | 2005-11-30 | 2010-09-07 | Novell, Inc. | Techniques for modeling and evaluating protocol interactions |
US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
US7920705B1 (en) * | 2006-07-26 | 2011-04-05 | Rockwell Collins, Inc. | System and method for convert channel detection |
US20080059617A1 (en) * | 2006-08-29 | 2008-03-06 | Helpguest Technologies, Inc. | Service engine for sharing services, knowledge and expertise |
JP2008071240A (ja) * | 2006-09-15 | 2008-03-27 | Fuji Xerox Co Ltd | 行動効率化支援装置および方法 |
US7941852B2 (en) * | 2006-10-04 | 2011-05-10 | Symantec Corporation | Detecting an audio/visual threat |
US9106422B2 (en) * | 2006-12-11 | 2015-08-11 | Oracle International Corporation | System and method for personalized security signature |
US8024618B1 (en) * | 2007-03-30 | 2011-09-20 | Apple Inc. | Multi-client and fabric diagnostics and repair |
KR20090002140A (ko) * | 2007-06-19 | 2009-01-09 | 한국전자통신연구원 | 행위분석에 의한 정보흐름 파악 및 정보유출 탐지 방법 |
US9032514B1 (en) * | 2007-08-21 | 2015-05-12 | Mcafee, Inc. | Potential data leakage reporting system, method, and computer program product |
KR20090041198A (ko) * | 2007-10-23 | 2009-04-28 | 한국정보보호진흥원 | 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법 |
JP2009187376A (ja) * | 2008-02-07 | 2009-08-20 | Canon Inc | ファイル管理装置、ファイル管理方法、及びプログラム |
US8005908B2 (en) * | 2008-03-10 | 2011-08-23 | Saraansh Software Solutions Pvt. Ltd. | System for detecting information leakage in outbound e-mails without using the content of the mail |
US20090248722A1 (en) * | 2008-03-27 | 2009-10-01 | International Business Machines Corporation | Clustering analytic functions |
US9363143B2 (en) * | 2008-03-27 | 2016-06-07 | International Business Machines Corporation | Selective computation using analytic functions |
US8359632B2 (en) * | 2008-05-30 | 2013-01-22 | Microsoft Corporation | Centralized account reputation |
WO2010011179A1 (en) * | 2008-07-25 | 2010-01-28 | Resolvo Systems Pte Ltd | System and method for preventing leakage of sensitive digital information on a digital communication network |
US8112546B2 (en) * | 2009-02-13 | 2012-02-07 | Microsoft Corporation | Routing users to receive online services based on online behavior |
US20110022664A1 (en) * | 2009-07-24 | 2011-01-27 | Computer Associates Think, Inc. | Cost Based Email Management System |
US8996623B2 (en) * | 2009-10-13 | 2015-03-31 | International Business Machines Corporation | Cost management for messages |
US20110248822A1 (en) * | 2010-04-09 | 2011-10-13 | Jc Ip Llc | Systems and apparatuses and methods to adaptively control controllable systems |
JP5652047B2 (ja) * | 2010-08-13 | 2015-01-14 | 富士ゼロックス株式会社 | 情報処理装置及び情報処理プログラム |
US8560544B2 (en) | 2010-09-15 | 2013-10-15 | International Business Machines Corporation | Clustering of analytic functions |
US9779260B1 (en) | 2012-06-11 | 2017-10-03 | Dell Software Inc. | Aggregation and classification of secure data |
US9501744B1 (en) | 2012-06-11 | 2016-11-22 | Dell Software Inc. | System and method for classifying data |
US9578060B1 (en) * | 2012-06-11 | 2017-02-21 | Dell Software Inc. | System and method for data loss prevention across heterogeneous communications platforms |
US9390240B1 (en) | 2012-06-11 | 2016-07-12 | Dell Software Inc. | System and method for querying data |
KR101974867B1 (ko) * | 2012-08-24 | 2019-08-23 | 삼성전자주식회사 | 컨텐츠의 스테이 값을 계산하여 유알엘을 자동 저장하는 전자 장치 및 방법 |
US20160132722A1 (en) * | 2014-05-08 | 2016-05-12 | Santa Clara University | Self-Configuring and Self-Adjusting Distributed Surveillance System |
US9349016B1 (en) | 2014-06-06 | 2016-05-24 | Dell Software Inc. | System and method for user-context-based data loss prevention |
CN105302809B (zh) | 2014-06-10 | 2020-01-10 | 腾讯科技(深圳)有限公司 | 群组用户等级关联方法和系统 |
US10192057B2 (en) | 2014-07-28 | 2019-01-29 | B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University | Misuseability analysis for it infrastructure |
US20160048781A1 (en) * | 2014-08-13 | 2016-02-18 | Bank Of America Corporation | Cross Dataset Keyword Rating System |
US20160065594A1 (en) * | 2014-08-29 | 2016-03-03 | Verizon Patent And Licensing Inc. | Intrusion detection platform |
US10482404B2 (en) | 2014-09-25 | 2019-11-19 | Oracle International Corporation | Delegated privileged access grants |
US10530790B2 (en) * | 2014-09-25 | 2020-01-07 | Oracle International Corporation | Privileged session analytics |
US10163420B2 (en) * | 2014-10-10 | 2018-12-25 | DimensionalMechanics, Inc. | System, apparatus and methods for adaptive data transport and optimization of application execution |
US10062354B2 (en) | 2014-10-10 | 2018-08-28 | DimensionalMechanics, Inc. | System and methods for creating virtual environments |
US10326748B1 (en) | 2015-02-25 | 2019-06-18 | Quest Software Inc. | Systems and methods for event-based authentication |
US10417613B1 (en) | 2015-03-17 | 2019-09-17 | Quest Software Inc. | Systems and methods of patternizing logged user-initiated events for scheduling functions |
US9990506B1 (en) | 2015-03-30 | 2018-06-05 | Quest Software Inc. | Systems and methods of securing network-accessible peripheral devices |
US9563782B1 (en) | 2015-04-10 | 2017-02-07 | Dell Software Inc. | Systems and methods of secure self-service access to content |
US9641555B1 (en) * | 2015-04-10 | 2017-05-02 | Dell Software Inc. | Systems and methods of tracking content-exposure events |
US9842218B1 (en) | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
US9842220B1 (en) | 2015-04-10 | 2017-12-12 | Dell Software Inc. | Systems and methods of secure self-service access to content |
US9569626B1 (en) | 2015-04-10 | 2017-02-14 | Dell Software Inc. | Systems and methods of reporting content-exposure events |
CN104835103B (zh) * | 2015-05-11 | 2018-04-27 | 大连理工大学 | 基于神经网络和模糊综合评价的移动网络健康评价方法 |
US10536352B1 (en) | 2015-08-05 | 2020-01-14 | Quest Software Inc. | Systems and methods for tuning cross-platform data collection |
US10157358B1 (en) | 2015-10-05 | 2018-12-18 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and interval-based prediction |
US10218588B1 (en) | 2015-10-05 | 2019-02-26 | Quest Software Inc. | Systems and methods for multi-stream performance patternization and optimization of virtual meetings |
US10142391B1 (en) | 2016-03-25 | 2018-11-27 | Quest Software Inc. | Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization |
US10242207B2 (en) | 2016-09-17 | 2019-03-26 | International Business Machines Corporation | Technology for confidentiality advising |
US11475124B2 (en) * | 2017-05-15 | 2022-10-18 | General Electric Company | Anomaly forecasting and early warning generation |
US10805029B2 (en) | 2018-09-11 | 2020-10-13 | Nbcuniversal Media, Llc | Real-time automated classification system |
US20220286438A1 (en) * | 2021-03-08 | 2022-09-08 | Adobe Inc. | Machine learning techniques for mitigating aggregate exposure of identifying information |
JP2022181684A (ja) * | 2021-05-26 | 2022-12-08 | 富士フイルムビジネスイノベーション株式会社 | プログラム及び情報処理装置 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4965743A (en) * | 1988-07-14 | 1990-10-23 | The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration | Discrete event simulation tool for analysis of qualitative models of continuous processing system |
GB9019017D0 (en) * | 1990-08-31 | 1990-10-17 | Hewlett Packard Co | Network fault analysis |
US5819226A (en) * | 1992-09-08 | 1998-10-06 | Hnc Software Inc. | Fraud detection using predictive modeling |
GB9302225D0 (en) * | 1993-02-05 | 1993-03-24 | Int Computers Ltd | Data processing system |
US6219050B1 (en) * | 1997-07-16 | 2001-04-17 | Compuware Corporation | Bounce diagram: a user interface for graphical exploration of packet trace information |
US6192403B1 (en) * | 1997-12-23 | 2001-02-20 | At&T Corp | Method and apparatus for adaptive monitor and support system |
JP3180766B2 (ja) | 1998-06-30 | 2001-06-25 | 日本電気株式会社 | 電子メールシステム |
US6769066B1 (en) * | 1999-10-25 | 2004-07-27 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
JP2001222513A (ja) | 2000-02-08 | 2001-08-17 | Nec Corp | 情報通信ネットワークシステムにおける接続要求管理装置および方法ならびに接続要求管理処理プログラムを記録した情報通信ネットワークシステムにおける記録媒体 |
US6922696B1 (en) * | 2000-05-31 | 2005-07-26 | Sri International | Lattice-based security classification system and method |
JP2002057722A (ja) | 2000-08-11 | 2002-02-22 | Masanao Kuninobu | インターネット回線の負荷抑制・不正利用の防止システム |
US8200577B2 (en) | 2001-03-20 | 2012-06-12 | Verizon Business Global Llc | Systems and methods for retrieving and modifying data records for rating and billing purposes |
US6990518B1 (en) * | 2001-03-22 | 2006-01-24 | Agilent Technologies, Inc. | Object-driven network management system enabling dynamically definable management behavior |
-
2002
- 2002-10-24 JP JP2002309655A patent/JP3948389B2/ja not_active Expired - Fee Related
-
2003
- 2003-03-06 US US10/379,578 patent/US7337155B2/en not_active Expired - Fee Related
Cited By (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007181031A (ja) * | 2005-12-28 | 2007-07-12 | Canon System Solutions Inc | 情報処理装置、その制御方法、プログラム、及び記憶媒体 |
JP2008257604A (ja) * | 2007-04-06 | 2008-10-23 | Ntt Docomo Inc | エリア案内装置およびプログラム |
US8904297B2 (en) | 2007-04-06 | 2014-12-02 | Ntt Docomo, Inc. | Method and system for providing information in virtual space |
WO2015155888A1 (ja) * | 2014-04-11 | 2015-10-15 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
JPWO2015155888A1 (ja) * | 2014-04-11 | 2017-04-13 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
WO2015159926A1 (ja) * | 2014-04-15 | 2015-10-22 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
JPWO2015159926A1 (ja) * | 2014-04-15 | 2017-04-13 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
JP2020510926A (ja) * | 2017-02-27 | 2020-04-09 | アマゾン・テクノロジーズ、インコーポレイテッド | インテリジェントセキュリティ管理 |
US11102221B2 (en) | 2017-02-27 | 2021-08-24 | Amazon Technologies, Inc. | Intelligent security management |
WO2018225667A1 (ja) * | 2017-06-05 | 2018-12-13 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
JPWO2018225667A1 (ja) * | 2017-06-05 | 2020-03-19 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体 |
JP7031667B2 (ja) | 2017-06-05 | 2022-03-08 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法、及び、プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP3948389B2 (ja) | 2007-07-25 |
US7337155B2 (en) | 2008-02-26 |
US20040083389A1 (en) | 2004-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2004147067A (ja) | 通信分析装置及びこれを用いた通信管理装置 | |
US9680855B2 (en) | Probabilistic model for cyber risk forecasting | |
CN101401466B (zh) | 基于内容的策略遵从系统和方法 | |
US7752125B1 (en) | Automated enterprise risk assessment | |
US20120017281A1 (en) | Security level determination of websites | |
US20080271143A1 (en) | Insider threat detection | |
AU2011209894A1 (en) | Insider threat correlation tool | |
GB2414576A (en) | Business communication monitoring system detecting anomalous communication patterns | |
WO2011094071A2 (en) | Insider threat correlation tool | |
US20200012990A1 (en) | Systems and methods of network-based intelligent cyber-security | |
Shah et al. | A methodology to measure and monitor level of operational effectiveness of a CSOC | |
US20230336581A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
EP4367840A1 (en) | Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes | |
Ciechanowicz | Risk analysis: requirements, conflicts and problems | |
EP3647982A1 (en) | Cyber attack evaluation method and cyber attack evaluation device | |
Mozzaquatro et al. | Situation awareness in the Internet of Things | |
WO2022170132A1 (en) | Asset ranking and classification systems and methods | |
Waltermire et al. | Endpoint security posture assessment: enterprise use cases | |
Kourki Nejat et al. | An adaptive and cost-based intrusion response system | |
Simola | Comparative research of cybersecurity information sharing models | |
CN112507384B (zh) | 一种数据外发行为的处理方法和装置 | |
Nagle et al. | The effects of security management on security events | |
Fessi et al. | A decisional framework system for computer network intrusion detection | |
Iturbe et al. | Information Security Risk Assessment Methodology for Industrial Systems Supporting ISA/IEC 62443 Compliance | |
Pak et al. | Asset priority risk assessment using hidden markov models |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051021 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051021 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061226 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070219 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070327 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070409 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110427 Year of fee payment: 4 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120427 Year of fee payment: 5 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130427 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130427 Year of fee payment: 6 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140427 Year of fee payment: 7 |
|
LAPS | Cancellation because of no payment of annual fees |