JP2004147067A - 通信分析装置及びこれを用いた通信管理装置 - Google Patents

通信分析装置及びこれを用いた通信管理装置 Download PDF

Info

Publication number
JP2004147067A
JP2004147067A JP2002309655A JP2002309655A JP2004147067A JP 2004147067 A JP2004147067 A JP 2004147067A JP 2002309655 A JP2002309655 A JP 2002309655A JP 2002309655 A JP2002309655 A JP 2002309655A JP 2004147067 A JP2004147067 A JP 2004147067A
Authority
JP
Japan
Prior art keywords
user
evaluation value
analysis
monitoring
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2002309655A
Other languages
English (en)
Other versions
JP3948389B2 (ja
JP2004147067A5 (ja
Inventor
Takehito Yoshida
吉田 武央
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujifilm Business Innovation Corp
Original Assignee
Fuji Xerox Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fuji Xerox Co Ltd filed Critical Fuji Xerox Co Ltd
Priority to JP2002309655A priority Critical patent/JP3948389B2/ja
Priority to US10/379,578 priority patent/US7337155B2/en
Publication of JP2004147067A publication Critical patent/JP2004147067A/ja
Publication of JP2004147067A5 publication Critical patent/JP2004147067A5/ja
Application granted granted Critical
Publication of JP3948389B2 publication Critical patent/JP3948389B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3495Performance evaluation by tracing or monitoring for systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5061Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the interaction between service providers and their network customers, e.g. customer relationship management
    • H04L41/5067Customer-centric QoS measurements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3452Performance evaluation by statistical analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Environmental & Geological Engineering (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】問題行動と明確に決めつけることが困難なユーザのネットワーク通信行動に対する対処のためのツールを提供する。
【解決手段】行動分析装置14は、ゲートウェイ装置12を介するドメイン10内の各ユーザPC16とインターネット20との間の通信を監視する。検出した通信の中に、例えばユーザの情報漏洩の観点での監視項目に該当するものがあれば、その監視項目に対応する重み値を、当該ユーザの情報漏洩の可能性についての評価値に加算する。そして単位時間ごとにその評価値を集計して記録する。行動分析装置14は、その集計値の時系列推移のデータを、予測処理のための学習を済ませたニューラルネットワークに入力し、近未来の時点でのユーザの情報漏洩の可能性を予測する。この予測により漏洩のリスクが高まると判断される場合は、行動分析装置14はセキュリティ管理者に対して警告の電子メールを送る。
【選択図】    図1

Description

【0001】
【発明の属する技術分野】
本発明は、データ通信ネットワークにおけるユーザの問題行動の分析と、これを利用したセキュリティ技術に関する。
【0002】
【従来の技術】
近年のネットワーク化された組織環境では、ネットワークを利用した組織スタッフの各種問題行動がセキュリティ上問題となっている。よく知られた問題には、例えば、ウェブページの私的閲覧や私用メール等のネットワーク資源の私的利用や、ネットワークを利用した外部への情報漏洩などがある。
【0003】
このような組織スタッフによるネットワークの不正利用を防止する方策としては、従来、フィルタリング技術が用いられている。フィルタリング技術では、企業内LANとインターネットとの間に設けられるゲートウェイに、アクセス制限対象のURL(Uniform Resource Locator)や、送信できない電子メール宛先などのフィルタルールを登録しておき、LAN内からそのフィルタルールに抵触するHTTPリクエストや電子メールが発せられた場合は、それをゲートウェイでブロックしたLAN外部に出さないようにしている。
【0004】
また、特許文献1には、ユーザが作成した電子メールの送信元及び送信先が、予め登録した送信元と送信先のペアに合致する場合のみ電子メールの発信を許可するというフィルタリング処理により、情報漏洩を防止する電子メールシステムが開示されている。
【0005】
【特許文献1】
特開2000−22739
【0006】
【発明が解決しようとする課題】
このようなフィルタリング処理は、問題があることが明らかなウェブサイトへのアクセスや、問題があるのが明らかなメールの送出を制限できる点では有効である。しかしながら、現実には、問題があるかどうかが不明確なグレーゾーンのウェブサイトや電子メールも多く、このようなグレーゾーンのものに対しても画一的にアクセスやメール送受信の制限を行ったのでは、スタッフの業務遂行に支障を来す可能性もある。
【0007】
【課題を解決するための手段】
本発明はこのような問題に鑑みなされたものであり、問題行動と明確に決めつけることが困難なユーザのネットワーク通信行動に対する対処のためのツールを提供することを目的とする。
【0008】
上記目的を達成するため、本発明に係る通信分析装置は、管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視手段と、前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、を備える。
【0009】
本発明の好適な態様では、前記状態分析手段は、前記評価値算出手段で算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定する。
【0010】
更に好適な態様では、前記状態分析手段は、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定する。
【0011】
【発明の実施の形態】
以下、本発明の実施の形態(以下実施形態という)について、図面に基づいて説明する。
【0012】
図1は、本発明の実施形態のシステム構成を示す図である。
【0013】
このシステムにおいて、ゲートウェイ装置12は、企業等の組織のドメイン10に設置され、ドメイン10内のLAN18とインターネット20との間の通信を中継する装置である。ドメイン10内のLAN18上の各ユーザPC(パーソナルコンピュータ)とインターネット20上の各種装置との通信は、必ずこのゲートウェイ装置12を通る。ゲートウェイ装置12は、例えばコンピュータに、LAN18とインターネット20との間での各種プロトコルの変換用のプログラムを実行させることにより構成される。
【0014】
本実施形態では、このゲートウェイ装置12に対し、行動分析装置14を組み込む。大まかに言えば、行動分析装置14は、ゲートウェイ装置12を通る各種ネットワークプロトコルを用いた通信を監視し、この監視結果に基づきLAN18上の各ユーザPC16を使用する各ユーザの状態を分析する。ここで分析の観点(対象)とするユーザの状態には、例えば情報漏洩やネットワークリソースの無駄遣いなどといったネットワーク上でのユーザの問題行動に関する危険度合いがある。また、別の例として、ユーザが、そのドメイン10の属する企業から辞職する傾向など、ユーザの心理面での状態を分析することも可能である。
【0015】
1つの実施例としては、行動分析装置14は、ゲートウェイ装置12を通る個々の通信データの内容や、単位期間当たりのユーザの通信に関する統計量を、それら各分析観点についての評価値に換算し、これを集計していく。そして、各観点についての行動評価値から、各観点についてのユーザの状態を判定する。
【0016】
この状態判定では、例えば、当該分析観点において、ユーザが正常状態であるのか否かを判定する。また、もっと詳細な危険度レベル分けをし、ユーザが、その分析観点においてどの危険度レベルにいる(或いは近い将来至る)かを判定する処理も可能である。
【0017】
図2は、ユーザがネットワークプロトコルを用いて行う通信に対する監視対象項目と、その監視対象項目に対応する重み値(行動評価値)の対応関係を示す重みテーブルの例である。図2のテーブルにおいて、空欄は重み値が0であることを示す。
【0018】
例示のテーブルには、情報漏洩、リソースの無駄遣い、辞職傾向という3つの分析観点に対する各監視対象項目の重み値が登録されている。情報漏洩という観点は、ユーザが組織内(社内)の機密情報を漏洩するリスクを見る観点である。またリソースの無駄遣いという観点は、組織の業務遂行に用いるべきネットワークリソース(例えばユーザPC16やLAN18の帯域など)や、ユーザ自身の勤務時間などの資源を、業務以外の目的で用いる傾向を見る観点である。辞職傾向は、ユーザがその組織から辞職しようとする傾向を見る観点である。
【0019】
監視対象項目は、ゲートウェイ装置12が中継する各ネットワークプロトコルごとに設定される。図示例では、ネットワークプロトコルとして、電子メールプロトコル(SMTP(Simple Mail Transfer Protocol)やPOP(Post Office Protocol)など)、HTTP(Hyper Text Transfer Protocol)、FTP(File Transfer Protocol)を例示しているが、これはあくまで一例である。これら例示のプロトコルをすべて含む必要は必ずしもないし、逆に例示以外のプロトコルを含んでももちろんよい。
【0020】
電子メールプロトコルの監視対象項目には、例えば、「Cc(Carbon Copy)送信宛先アドレスにメーリングリスト(ML)のアドレスを含む」、「Bcc(Blind Carbon Copy)送信宛先アドレスに社外アドレスを含む」などの項目が含まれる。これら各項目は、これに該当する電子メールが1通送信されただけでは、即座に送信元ユーザが社内情報の漏洩を行っていると断ずることはできないが、かなりの程度の情報漏洩のリスクをはらんでいるというということで、分析観点「情報漏洩」に対して重み値がそれぞれ与えられている。
【0021】
また、「社外宛のメールにA群内の単語が含まれる」、「社外宛のメールにB群内の単語が含まれる」という両項目は、それぞれ情報漏洩の可能性がある電子メールに含まれる代表的なキーワードを含んでいるか否かに関する項目である。A群の方が、B群より情報漏洩の可能性が高いと考えられるキーワードからなるため、大きい重み値が与えられている。例えばA群には「社外秘」、「部外秘」、「議事録」などの単語が、B群には「仕様書」、「マニュアル」などの単語が含まれる。また、「社外宛のメールにC群内の単語が含まれる」という項目は、「辞職傾向」と「リソース無駄遣い」という観点に対してそれぞれ異なる重み値が与えられている。ここでC群には、「転職」や「年収」などユーザの辞職の意向を表したり示唆したりする代表的なキーワードが含まれる。
【0022】
なお、電子メールに含まれるキーワードの監視は、電子メールのサブジェクト(件名)や本文、添付ファイルのファイル名やファイル自体を調べることにより行う。このキーワード監視対象を、サブジェクトなど特定の項目に限定してもよい。
【0023】
また、同じキーワードに対して、サブジェクトと本文と添付ファイルとで、異なる重み値を与えることもできる。
【0024】
また、各群に含まれるキーワードには、一般的なものから、業界特有や企業特有のものまで、様々なものが考えられるので、ドメイン10用にカスタマイズすることが好適である。例えば企業特有のものとしては、辞職傾向を表すキーワードとして、同業他社の社名などを挙げることができる。
【0025】
また「1日の社外とのメール送受信数」は、ユーザの社外とのやり取りの頻度を示しており、これが多いか少ないかは、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性がある。図2のテーブルには、この送受信数を各分析観点の重み値に換算するための換算ルール(例えば換算関数など)がそれぞれ登録されている。なお、ここではメール送受信の頻度を1日単位で集計したが、この単位は1時間単位や1週間単位など、目的等に応じて適宜選択することができる。これは、後述する外部URLへのアクセス数や、ダウンロード回数の場合も同様である。
【0026】
また、HTTPについての監視項目では、例えばD群には業務に全く関係のないウェブサイトのURLが登録されており、E群には同業他社のサイトや転職サイトなど辞職・転職に関連のあるサイトが登録されている。送信されるHTTPコマンドの解析により、ユーザがそれら各群に該当するサイトにアクセスしたことが分かれば、そのテーブルから求められる重み値が、対応する各分析観点の行動評価値に加算される。「1日の外部URLアクセス数」は、電子メールと同様、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性があり、重み値テーブルには、このアクセス数を各分析観点の重み値に換算するための換算ルールがそれぞれ登録されている。また、検索サイトに対する入力キーワードについて、F群には「転職サイト」などの文字列や同業他社の社名など辞職傾向を示唆するキーワードが登録されている。行動分析装置14は、予め登録された1又は複数の検索サイトに対して送られる検索キーワードを解析し、その中にF群に含まれる単語が見つかれば、「情報漏洩」の観点についての行動評価値にその重み値3を加える。なお、D,E群のURLや、F群のキーワードも、電子メールのキーワードの場合と同様、一般的なものから、業界特有や企業特有のものまで、様々なものが考えられ、ドメイン10用にカスタマイズすることが好適である。また、HTTPの場合、ファイルのダウンロードが可能なので、ユーザがダウンロードしたファイルの種類によって、リソースの無駄遣いの度合いを測ることも可能である。図示例では、JPEGなどの画像ファイルやMP3などの音楽ファイルのダウンロードは、業務に関係がない可能性が高いので、リソースの無駄遣いの観点にある程度の大きさの重み値を割り当てている。
【0027】
また、FTPについての監視項目では、例えば、JPEGやMP3などのファイルのダウンロードに対してリソース無駄遣いの重み値が割り当てられている。また、「1日のダウンロード数」は、電子メールと同様、情報漏洩やリソース無駄遣い、辞職傾向に何らかの関係がある可能性があり、重み値テーブルには、このアクセス数を各分析観点の重み値に換算するための換算ルールがそれぞれ登録されている。
【0028】
以上、図2を参照して、ネットワークプロトコルを利用したユーザの通信を、個々の分析観点についての重み値に換算するためのテーブルの例について説明した。ただし、図2の例は、あくまで一例にすぎない。例えば、例示した監視項目以外の様々な条件を、監視項目に含めることができる。また、電子メール等のキーワードについても、単独のキーワードだけでなく、複数のキーワードのアンド条件その他の論理式により、監視項目を設定することもできる。また、ユーザが1日でFTPでアップロード又はダウンロードしたデータの総量や、1日の総ダウンロード時間など、各プロトコルの単位時間当たりの各種統計量を監視項目に含めることも好適である。
【0029】
なお、通信が同じ監視項目に該当しても、分析観点に対するその意味の重大さが、ユーザごとに異なったり、ユーザの職務ごとや役職ごとに異なったりする場合も考えられる。例えば、1日当たりの社外とのメールの送受信量が同じ100通でも、社外との交流が多い人にとってはそれが普通のことであるのに対し、社外との交流が少ない人にとっては重大な状況の変化を示すものとなる可能性がある。このような違いは、個人差による場合もあれば、社外とつきあいの多い営業職と、社外とのつきあいの少ない事務職といった職分の違いによる場合もある。したがって、図2に例示した重み値テーブルを、ドメイン10内のユーザの職務区分や役職区分その他のグループ分けに従って各グループごとに用意し、各ユーザに対してはそのユーザが属するグループのテーブルを用いることで、より精度の高い分析が可能となる。更には、重み値テーブルをドメイン10内の各ユーザごとにカスタマイズすれば、更なる分析精度の向上が見込める。
【0030】
図3は、行動分析装置14の処理手順を示すフローチャートである。この手順では、行動分析装置14は、ゲートウェイ装置12を通る各ユーザの通信を監視する(S10)。そして、ゲートウェイ装置12を通る通信を検知すると、該通信のデータに含まれる発信元や宛先のアドレス情報(例えばIPアドレス)から、ドメイン10内のどのユーザがその通信の発信元又は宛先となっているかを判定する(S12)。そして、その通信のデータを解析し、重み値テーブルに示される監視対象項目の中で、その通信データに該当するものを調べ、該当する項目がある場合は、その項目についての各分析観点の重み値を求める(S14)。このとき、重み値テーブルがユーザグループ単位やユーザ単位で用意されている場合は、そのユーザに対応するテーブルを用いる。そして、このようにして求めた各分析観点の重み値を、それぞれ当該分析観点の行動評価値に加算する(S16)。
【0031】
本実施形態では、予め設定した単位時間(例えば1日単位や、1週間単位など)が経過するまで、以上のステップS10からS16までの処理を繰り返す(S18)。そして、その単位時間が経過すると、その間の各分析観点の行動評価値の集計値を、時系列推移データに記録する(S20)。時系列推移データは、最も単純には、単位時間ごとの各分析観点の行動評価値を時系列順に並べたものである。単位時間ごとの各集計値に対し、その単位時間を特定する日付や週の番号を対応付けて記録してももちろんよい。なお、監視対象項目の中には、単位時間当たりの各プロトコル利用の統計量に基づくものもあるが、そのようなものについては、この単位時間経過の時点で、その統計量を重み値テーブルにより重み値に換算して行動評価値に加算すればよい。
【0032】
このようにして各行動評価値についての時系列推移データの情報が増えると、行動分析装置14は、これら各時系列推移データを元に、ユーザの各分析観点についての状態が今後どのように変化するかを予測分析する(S22)。本実施形態では、この予測の手法として、ニューラルネットワークを利用する。ニューラルネットワークの利用の仕方は、例えば株価予測や電力需要予測におけるニューラルネットワーク利用と同様でよい。すなわち、例えば、既存の行動評価値の時系列推移データを学習データとして用い、その中である時点から遡る所定期間の推移データを入力とし、その時点から所定時間後のある時点やある期間の行動評価値(あるいはその評価値が存在する範囲でもよい)が出力となるように、そのニューラルネットワークを学習させる。
【0033】
例えば図4のグラフは、縦軸に情報漏洩の観点についての行動評価値を、横軸に時間をとっており、曲線が該評価値の時系列推移を表している。この例では、ある基準時点tpから遡る所定幅の各期間P1,P2,P3,P4の各々について、その期間内の行動評価値の累計を求める。そして、それら期間P1,P2,P3,P4の各々の累計値をニューラルネットワークに入力として与え、その結果入ラルネットワークから出力される値が、基準時点tpから所定期間後の時点tfでの行動評価値(過去データを用いているので、tfでの値は分かっている)となるように、ニューラルネットワークに教師信号を与え、バックプロパゲーション法等の公知の学習アルゴリズムを用いてニューラルネットワークを学習させる。このニューラルネットワークは、個々のユーザごとに作成することが好適である。各ユーザごとにニューラルネットワークを用意し、当該ユーザの過去の行動評価値の時系列推移データを用いて学習させることで、各ユーザ用の予測用ニューラルネットワークを作成することができる。また、予測用ニューラルネットワークを個人ごとに作成する代わりに、ユーザグループごとに作成し、そのグループに属するユーザにはそのグループのニューラルネットワークを利用する構成とすることもできる。
【0034】
このようにして十分な予測精度が得られるまで学習したニューラルネットワークをステップS22の予測に用いる。
【0035】
ステップS22の予測処理では、学習時と同様、現在時点tpから遡る各期間P1,P2,P3,P4の行動評価値のデータを、学習済みのニューラルネットワークに入力し、その結果ニューラルネットワークから出力される値を、所定期間P1後の未来時点tfでの行動評価値の予測値とする。そして、行動分析装置14は、この予測値が正常範囲から逸脱しているか否かを判定する(S24)。ここで、予測値が正常範囲ならば、今後しばらくはユーザの当該分析観点についての通信行動には問題がないであろうと判断できるので、ステップS10に戻る。これに対し、ステップS24で、あるユーザのある分析観点についての予測値が正常範囲から逸脱したと判定した場合は、行動分析装置14は、所定のアラーム処理を実行する(S26)。このアラーム処理では、例えば、組織内のセキュリティ管理者や人事管理者などの所定の管理者に対し、そのユーザがその分析観点について、今後問題のある状態となる可能性が高いことを知らせるメッセージを電子メール等で知らせる。これにより、管理者は、ドメイン10内のユーザが問題を抱えている可能性が高いことを、その問題が重大になる手前で知ることができ、適切な処置をとることができる。例えば、あるユーザの辞職傾向の評価値が正常範囲から逸脱すると予測された場合は、人事管理者がその予測に従って早めにそのユーザに対して心理面その他の手当を行うことができる。また、リソース無駄遣い等の場合は、そのユーザ自身に無駄遣いしていないか注意を促すメッセージを発するなどのアラーム処理も有効である。
【0036】
なお、正常範囲か否かを区別する行動評価値のしきい値Thは、当該ドメイン10における過去の各ユーザの時系列推移データと、それら各ユーザが起こした行動との相関性を統計処理したり、それで足りなければ更に同一業種等、ドメイン10と類似性を持つ組織群における同様のデータを統計処理することで求めることができる。
【0037】
図5は、本発明を適用した別のシステム構成の例を示す図である。この例では、インターネット20上に、図1の構成と同様の行動分析装置14を含んだドメイン管理サーバ30に管理されるドメイン10が複数存在する。ドメイン管理サーバ30は、各ドメイン10内のLAN18と外部との間で、使用可能なすべてのプロトコルの通信を中継する。ドメイン管理サーバ30は、それら各プロトコルの通信を制御する通信制御装置32(プログラムにより実現される)を有している。ドメイン管理サーバ30は、インターネット20に対する通信ポートを基本的にすべて閉じておくことで、外部からドメイン10内への侵入を困難にしている。この場合、例えば電子メールの送信は、ドメイン10内の各ユーザからの送信メールをドメイン管理サーバ30が一旦蓄積し、蓄積した送信メール群をインターネット20上の所定の中継サーバ(図示省略)にアップロードすることにより行う。一方電子メールの受信は、ドメイン管理サーバ30が定期的にその中継サーバにアクセスし、自ドメイン宛の電子メール群を一括してダウンロードし、これをドメイン10内の各ユーザ宛に配送することで実現される。この場合、ドメイン管理サーバ30は、SMTPの受信ポートを常に開いておく必要がないので、高いセキュリティを期待できる。また、このシステムでは、各ドメイン管理サーバ30は、電子メールの中継サーバ等の動的な変更等、システム構成の変更に対応するため、インターネット20上に設けられたネットワーク構成管理サーバ(図示省略)に対して定期的にアクセスし、システム構成の情報をダウンロードして更新している。
【0038】
このようなシステム構成において、本実施形態では、インターネット20上にルール管理サーバ40を設置する。このルール管理サーバ40は、行動分析装置14における分析のためのルール情報を管理するサーバである。ルール情報は、例えば図2に示した重み値テーブルなどである。ルール情報には、管理対象の全ドメイン10間や全ユーザ間で共通の共通ルール42と、ドメイン10ごとやその中のユーザグループごと、ユーザごとに異なる個別ルール44とがある。
【0039】
各ドメイン管理サーバ30のルール更新装置34は、このルール管理サーバ40に対して定期的にアクセスし、共通ルール42や、自ドメインに関連する個別ルール44の情報をダウンロードし、これに基づいて自ドメインの行動分析装置14での分析のルールを更新する。また、ルール更新装置34は、そのアクセスの際、前回のアクセスから今回のアクセスまでに増えた各行動評価値の時系列推移データをルール管理サーバ40にアップロードする。ルール管理サーバ40は、このようにアップロードされたデータに対し、ドメイン管理サーバ30の性能上困難な高度な統計処理を施すことで、重み値テーブルの各重みの値をより適切な値に変更するなどのルールの変更処理を行う。また、ドメイン10側からのリクエストに応じ、ドメイン固有の監視項目を追加するなどのルール変更も行う。このような変更は、共通ルール42や個別ルール44に反映され、その後、各ドメイン管理サーバ30の定期アクセスにより各行動分析装置14に反映される。この構成によれば、各ドメイン10の行動分析装置14の分析ルールを、必要に応じて自動更新することができる。
【0040】
また、以上では、予測用ニューラルネットワークの学習では、過去データを元に未来の1時点の行動評価値を予測する学習をしたが、これはあくまで一例である。別の実施例としては、例えば過去の所定期間の時系列推移から、未来の所定期間の行動評価値の平均値を予測したり、その平均値が正常範囲内か否かを予測したりするように学習してもよい。また、以上の説明では、ある分析観点についてのユーザの近未来の状態を予測するのに、その観点の行動評価値の過去データのみを用いていたが、別の分析観点の行動評価値の過去データも利用して予測することも可能である。この場合、別の観点の評価値もニューラルネットワークに入力すればよい。
【0041】
また、以上の例では、1日単位など1種類の単位期間ごとに行動評価値の集計をとっていたが、1日単位と1週間単位など、複数種類の単位期間ごとに行動評価値を集計することで、1つの分析観点に対し、集計単位期間の異なる複数の時系列推移データを求めることができる。この場合、予測処理では、それら複数種類の時系列推移データの過去データから、未来のユーザ状態を予測することもできる。
【0042】
また、以上の例では、各分析観点の行動評価値は、ゲートウェイ装置12が中継しているすべてのプロトコルの監視項目の監視結果を総合したものであったが、これも一例にすぎない。この代わりに、各分析観点の行動評価値を、各プロトコルごとに個別に集計し、個別の時系列推移データを作成してもよい。この場合、予測処理は、着目する分析観点についての、各プロトコルの時系列推移データの過去データをニューラルネットワークに入力し、未来の傾向を予測する構成となる。この構成では、各時点での時系列推移データの値は、各プロトコルの行動評価値を座標値とする多次元空間中の点であり、時系列推移データは時間経過に伴って動くその点の軌跡を示す。予測値も同様であり、その予測値が正常範囲であるかどうかは、予測値が表す点が、その多次元空間中に設定される正常範囲の空間(これは当該ドメイン10の過去のデータ等から求められる)内にあるか否かの判定となる。
【0043】
また、このように各プロトコルごとに記録した時系列推移データを総合評価する代わりに、個別のプロトコルごとに予測処理を行い、プロトコルごとのアラーム処理を行う構成とすることもできる。
【0044】
また、以上の説明では、予測値の判定において、正常範囲であるか否かを判定したが、これは一例にすぎない。予測値をもっと詳細にレベル分けし、予測値が属するレベルに応じたアラーム処理を実行することも可能である。
【0045】
また、あるユーザのある分析観点についての行動評価値の予測値が正常範囲から逸脱した場合に、アラーム処理を行う代わりに、或いはアラーム処理に加えて、そのユーザがその分析観点についての予想される問題行動を取れないように、予め防御措置をとることもできる。防御措置の例は、例えば、あるユーザが情報漏洩を起こすおそれ有りと行動分析装置14が判定した場合に、ゲートウェイ装置12がそのユーザのSMTPやFTPの使用を制限するなどである。
【0046】
また、以上の例では、ゲートウェイ装置12が中継するすべてのプロトコルを監視したが、監視対象を特定のプロトコルに限定する構成ももちろん可能である。この場合、例えば電子メールプロトコルの監視により、あるユーザの情報漏洩の危険性が高まると予測した場合、防御措置としてそのユーザの電子メールプロトコルの使用を禁止することができる。ここで、電子メールプロトコルを禁止する代わりに、又は電子メールプロトコルの禁止に加えて、FTPやHTTPなどの大容量データを転送できるプロトコルの使用を禁止することも好適である。
【0047】
また、以上の例では、重み値テーブル(図2)の監視項目に該当する通信を検知した場合、単にそれを行動評価値に集計するだけであったが、更に各監視項目に対応するフィルタ動作(例えば、監視項目に該当する電子メールは宛先に送信しないという動作や、監視項目に該当したプロトコルの使用を禁止するなど)を行ってももちろん良い。
【0048】
また、以上の例では、各分析観点の行動評価値の時系列推移データから、近未来のユーザの状態を予測し、この予測に基づきアラーム処理その他の処理を行ったが、この代わりに、例えば行動評価値の現在時点の値、或いは現在時点までの所定期間の値の集合に基づき、現在のユーザの状態を判定してもよい。
【0049】
また、以上の例では、各監視項目を共通の行動評価値(重み値)の尺度に換算し、足し合わせて評価したが、これは必須のことではない。この代わりに、各監視項目に該当する通信が行われた頻度(単位時間当たりの回数)を、そのまま当該項目についての評価値として用い、この評価値の時系列推移データを各項目ごとに求め、これら各推移データから各分析観点のユーザ状態を判定したり、予測したりしてもよい。この場合、各監視項目の時系列推移データの過去データをニューラルネットワークに入力し、これに対するニューラルネットワークの出力が、着目する分析観点についてのユーザの近未来の状態の予測結果、又は現在状態の判定結果となるように学習を行えばよい。監視項目として予め多めの項目を設定しておけば、学習の過程でその分析観点に関連性の薄い項目は、ニューロンのシナプス接続重みが極めて小さくなる。したがって、学習後に、各入力ニューロン(それぞれが監視項目に対応)から先に延びるシナプス接続のうち、重みが所定のしきい値より小さいものを探し、それに対応する監視項目を各行動分析装置14での監視対象から外すことで、行動分析装置14の処理付加負荷を低減することができる。
【0050】
また、以上の例では、予測にニューラルネットワークを用いたが、エキスパートシステムなど、ニューラルネットワーク以外の予測技術を用いることも可能である。
【0051】
また、分析観点の別の例として、ドメイン10内から外部へのクラックの危険性がある。すなわち、クラックはネットワーク倫理上非常に重大な問題があるので、これをゲートウェイ装置12での監視により未然に防ごうと言うものである。クラックが行われる場合、一般に特定のIPアドレスに対して頻繁にポートスキャンが行われる、しかし、ポートスキャンは、ネットワーク管理者が空きポートを調べたり、一般ユーザが相手先サイトがアライブ(alive)状態であるかどうかを確認したりするためにも用いられるので、単にドメイン10内から外部に対するポートスキャンコマンドが発行されたとしても、それだけではクラックであると即断することはできない。そこで、この場合、行動分析装置14は、ユーザからのポートスキャンの発生に記録し、このように記録した時系列データにおいて、同一IPアドレスに対するポートスキャンが所定の判定基準以上の頻度で連続している場合に、クラックの可能性があると判定し、アラーム処理や該ユーザに対する各種ネットワークプロトコルの使用禁止の措置を行う。
【図面の簡単な説明】
【図1】本発明に係るシステム構成の一例を示す図である。
【図2】重み値テーブルの例を示す図である。
【図3】行動分析装置の処理手順を示すフローチャートである。
【図4】行動分析装置における予測処理の説明のための図である。
【図5】本発明に係るシステム構成の別の例を示す図である。
【符号の説明】
10 ドメイン、12 ゲートウェイ装置、14 行動分析装置、16 ユーザPC、18 LAN、20 インターネット。

Claims (15)

  1. 管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視手段と、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、
    を備える通信分析装置。
  2. 請求項1記載の装置であって、
    前記状態分析手段は、前記評価値算出手段で算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定することを特徴とする通信分析装置。
  3. 請求項2記載の装置であって、
    前記状態分析手段は、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定することを特徴とする通信分析装置。
  4. 請求項1記載の装置であって、
    前記評価値算出手段は、予め定めた1以上のキーワードが、前記ネットワークプロトコルを用いた通信データの中に含まれるか否かに基づき、前記行動評価値を算出する、
    ことを特徴とする通信分析装置。
  5. 請求項4記載の装置であって、
    前記評価値算出手段は、各キーワードごとの重み値を記憶したテーブルを有し、前記ネットワークプロトコルを用いた通信データから検出した各キーワードの重み値に基づき前記行動評価値を算出する、
    ことを特徴とする通信分析装置。
  6. 請求項1記載の装置であって、
    前記評価値算出手段は、ユーザのネットワークプロトコル利用に対して予め設定した各監視対象項目について、予め設定した複数の分析観点の各々について個別に重み値を設定可能なテーブルを有し、前記ユーザのネットワークプロトコル利用から監視対象項目の発生を検知した場合、その監視対象項目に対応する各分析観点の重み値に基づき、それら各分析観点についての行動評価値を算出する、
    ことを特徴とする通信分析装置。
  7. 請求項1記載の装置であって、
    前記評価値算出手段は、所定の単位期間における前記ネットワークプロトコルの使用回数に基づき前記行動評価値を算出することを特徴とする通信分析装置。
  8. 請求項1記載の装置であって、
    前記状態分析手段の判定結果に基づき、所定の宛先に対して警報を送信する手段を更に備える通信分析装置。
  9. 管理対象ドメイン内のユーザに対して1種類以上のネットワークプロトコルの利用サービスを提供する機能を備えた通信管理装置であって、
    前記ユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視手段と、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価値算出手段と、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する状態分析手段と、
    前記状態分析手段の判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する利用制御手段と、
    を備える通信管理装置。
  10. 管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視ステップと、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
    を含む通信分析方法。
  11. 請求項10記載の方法であって、
    前記分析ステップは、前記評価ステップで算出される前記行動評価値の時系列的な推移を記録し、現時点までの推移のパターンに基づき前記ユーザの状態を判定するステップを含むことを特徴とする通信分析方法。
  12. 請求項11記載の方法であって、
    前記分析ステップは、前記ユーザの行動評価値の時系列的な推移の記録を用いてその行動評価値の推移の未来予測のための学習を行ったニューラルネットワークを用い、そのニューラルネットワークに対して現時点から遡る所定期間分の前記行動評価値の推移の記録を入力し、その結果ニューラルネットワークの出力として得られる未来の予測結果に基づき、前記ユーザの状態を判定することを特徴とする通信分析方法。
  13. 管理対象ドメイン内のユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視ステップと、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
    前記分析ステップの判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する制御ステップと、
    を含む通信管理方法。
  14. コンピュータシステムに、
    管理対象ドメイン内のユーザのネットワークプロトコルの利用を監視する監視テップと、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
    を実行させるためのプログラム。
  15. コンピュータシステムに、
    管理対象ドメイン内のユーザの少なくとも1つのネットワークプロトコルの利用を監視する監視ステップと、
    前記ユーザのネットワークプロトコル利用の監視結果から、所定の分析観点に関する前記ユーザの行動評価値を算出する評価ステップと、
    前記行動評価値に基づき、所定の分析観点についての前記ユーザの状態を判定し、その判定結果を出力する分析ステップと、
    前記分析ステップの判定結果に基づき、それらネットワークプロトコルのうちの少なくとも1つについての前記ユーザの利用可否を制御する制御ステップと、
    を実行させるためのプログラム。
JP2002309655A 2002-10-24 2002-10-24 通信分析装置 Expired - Fee Related JP3948389B2 (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2002309655A JP3948389B2 (ja) 2002-10-24 2002-10-24 通信分析装置
US10/379,578 US7337155B2 (en) 2002-10-24 2003-03-06 Communication analysis apparatus

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002309655A JP3948389B2 (ja) 2002-10-24 2002-10-24 通信分析装置

Publications (3)

Publication Number Publication Date
JP2004147067A true JP2004147067A (ja) 2004-05-20
JP2004147067A5 JP2004147067A5 (ja) 2005-12-08
JP3948389B2 JP3948389B2 (ja) 2007-07-25

Family

ID=32105276

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002309655A Expired - Fee Related JP3948389B2 (ja) 2002-10-24 2002-10-24 通信分析装置

Country Status (2)

Country Link
US (1) US7337155B2 (ja)
JP (1) JP3948389B2 (ja)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007181031A (ja) * 2005-12-28 2007-07-12 Canon System Solutions Inc 情報処理装置、その制御方法、プログラム、及び記憶媒体
JP2008257604A (ja) * 2007-04-06 2008-10-23 Ntt Docomo Inc エリア案内装置およびプログラム
WO2015155888A1 (ja) * 2014-04-11 2015-10-15 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
WO2015159926A1 (ja) * 2014-04-15 2015-10-22 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
WO2018225667A1 (ja) * 2017-06-05 2018-12-13 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
JP2020510926A (ja) * 2017-02-27 2020-04-09 アマゾン・テクノロジーズ、インコーポレイテッド インテリジェントセキュリティ管理

Families Citing this family (64)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9008300B2 (en) * 2002-01-28 2015-04-14 Verint Americas Inc Complex recording trigger
US8627458B2 (en) * 2004-01-13 2014-01-07 Mcafee, Inc. Detecting malicious computer program activity using external program calls with dynamic rule sets
US7480940B1 (en) * 2004-06-10 2009-01-20 Symantec Corporation Structures and methods for a low and slow network reconnaissance detector
US7616764B2 (en) * 2004-07-07 2009-11-10 Oracle International Corporation Online data encryption and decryption
US7596701B2 (en) * 2004-07-07 2009-09-29 Oracle International Corporation Online data encryption and decryption
CN101375546B (zh) * 2005-04-29 2012-09-26 甲骨文国际公司 用于欺骗监控、检测和分层用户鉴权的系统和方法
US7631362B2 (en) * 2005-09-20 2009-12-08 International Business Machines Corporation Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information
US8108926B2 (en) * 2005-11-28 2012-01-31 Sap Ag Method and system for online trust management using statistical and probability modeling
US7792049B2 (en) * 2005-11-30 2010-09-07 Novell, Inc. Techniques for modeling and evaluating protocol interactions
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US7920705B1 (en) * 2006-07-26 2011-04-05 Rockwell Collins, Inc. System and method for convert channel detection
US20080059617A1 (en) * 2006-08-29 2008-03-06 Helpguest Technologies, Inc. Service engine for sharing services, knowledge and expertise
JP2008071240A (ja) * 2006-09-15 2008-03-27 Fuji Xerox Co Ltd 行動効率化支援装置および方法
US7941852B2 (en) * 2006-10-04 2011-05-10 Symantec Corporation Detecting an audio/visual threat
US9106422B2 (en) * 2006-12-11 2015-08-11 Oracle International Corporation System and method for personalized security signature
US8024618B1 (en) * 2007-03-30 2011-09-20 Apple Inc. Multi-client and fabric diagnostics and repair
KR20090002140A (ko) * 2007-06-19 2009-01-09 한국전자통신연구원 행위분석에 의한 정보흐름 파악 및 정보유출 탐지 방법
US9032514B1 (en) * 2007-08-21 2015-05-12 Mcafee, Inc. Potential data leakage reporting system, method, and computer program product
KR20090041198A (ko) * 2007-10-23 2009-04-28 한국정보보호진흥원 추이성분 필터링을 이용한 시계열 모델 기반의 네트워크공격 탐지 방법
JP2009187376A (ja) * 2008-02-07 2009-08-20 Canon Inc ファイル管理装置、ファイル管理方法、及びプログラム
US8005908B2 (en) * 2008-03-10 2011-08-23 Saraansh Software Solutions Pvt. Ltd. System for detecting information leakage in outbound e-mails without using the content of the mail
US20090248722A1 (en) * 2008-03-27 2009-10-01 International Business Machines Corporation Clustering analytic functions
US9363143B2 (en) * 2008-03-27 2016-06-07 International Business Machines Corporation Selective computation using analytic functions
US8359632B2 (en) * 2008-05-30 2013-01-22 Microsoft Corporation Centralized account reputation
WO2010011179A1 (en) * 2008-07-25 2010-01-28 Resolvo Systems Pte Ltd System and method for preventing leakage of sensitive digital information on a digital communication network
US8112546B2 (en) * 2009-02-13 2012-02-07 Microsoft Corporation Routing users to receive online services based on online behavior
US20110022664A1 (en) * 2009-07-24 2011-01-27 Computer Associates Think, Inc. Cost Based Email Management System
US8996623B2 (en) * 2009-10-13 2015-03-31 International Business Machines Corporation Cost management for messages
US20110248822A1 (en) * 2010-04-09 2011-10-13 Jc Ip Llc Systems and apparatuses and methods to adaptively control controllable systems
JP5652047B2 (ja) * 2010-08-13 2015-01-14 富士ゼロックス株式会社 情報処理装置及び情報処理プログラム
US8560544B2 (en) 2010-09-15 2013-10-15 International Business Machines Corporation Clustering of analytic functions
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9501744B1 (en) 2012-06-11 2016-11-22 Dell Software Inc. System and method for classifying data
US9578060B1 (en) * 2012-06-11 2017-02-21 Dell Software Inc. System and method for data loss prevention across heterogeneous communications platforms
US9390240B1 (en) 2012-06-11 2016-07-12 Dell Software Inc. System and method for querying data
KR101974867B1 (ko) * 2012-08-24 2019-08-23 삼성전자주식회사 컨텐츠의 스테이 값을 계산하여 유알엘을 자동 저장하는 전자 장치 및 방법
US20160132722A1 (en) * 2014-05-08 2016-05-12 Santa Clara University Self-Configuring and Self-Adjusting Distributed Surveillance System
US9349016B1 (en) 2014-06-06 2016-05-24 Dell Software Inc. System and method for user-context-based data loss prevention
CN105302809B (zh) 2014-06-10 2020-01-10 腾讯科技(深圳)有限公司 群组用户等级关联方法和系统
US10192057B2 (en) 2014-07-28 2019-01-29 B. G. Negev Technologies And Applications Ltd., At Ben-Gurion University Misuseability analysis for it infrastructure
US20160048781A1 (en) * 2014-08-13 2016-02-18 Bank Of America Corporation Cross Dataset Keyword Rating System
US20160065594A1 (en) * 2014-08-29 2016-03-03 Verizon Patent And Licensing Inc. Intrusion detection platform
US10482404B2 (en) 2014-09-25 2019-11-19 Oracle International Corporation Delegated privileged access grants
US10530790B2 (en) * 2014-09-25 2020-01-07 Oracle International Corporation Privileged session analytics
US10163420B2 (en) * 2014-10-10 2018-12-25 DimensionalMechanics, Inc. System, apparatus and methods for adaptive data transport and optimization of application execution
US10062354B2 (en) 2014-10-10 2018-08-28 DimensionalMechanics, Inc. System and methods for creating virtual environments
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US9563782B1 (en) 2015-04-10 2017-02-07 Dell Software Inc. Systems and methods of secure self-service access to content
US9641555B1 (en) * 2015-04-10 2017-05-02 Dell Software Inc. Systems and methods of tracking content-exposure events
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9842220B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9569626B1 (en) 2015-04-10 2017-02-14 Dell Software Inc. Systems and methods of reporting content-exposure events
CN104835103B (zh) * 2015-05-11 2018-04-27 大连理工大学 基于神经网络和模糊综合评价的移动网络健康评价方法
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US10242207B2 (en) 2016-09-17 2019-03-26 International Business Machines Corporation Technology for confidentiality advising
US11475124B2 (en) * 2017-05-15 2022-10-18 General Electric Company Anomaly forecasting and early warning generation
US10805029B2 (en) 2018-09-11 2020-10-13 Nbcuniversal Media, Llc Real-time automated classification system
US20220286438A1 (en) * 2021-03-08 2022-09-08 Adobe Inc. Machine learning techniques for mitigating aggregate exposure of identifying information
JP2022181684A (ja) * 2021-05-26 2022-12-08 富士フイルムビジネスイノベーション株式会社 プログラム及び情報処理装置

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4965743A (en) * 1988-07-14 1990-10-23 The United States Of America As Represented By The Administrator Of The National Aeronautics And Space Administration Discrete event simulation tool for analysis of qualitative models of continuous processing system
GB9019017D0 (en) * 1990-08-31 1990-10-17 Hewlett Packard Co Network fault analysis
US5819226A (en) * 1992-09-08 1998-10-06 Hnc Software Inc. Fraud detection using predictive modeling
GB9302225D0 (en) * 1993-02-05 1993-03-24 Int Computers Ltd Data processing system
US6219050B1 (en) * 1997-07-16 2001-04-17 Compuware Corporation Bounce diagram: a user interface for graphical exploration of packet trace information
US6192403B1 (en) * 1997-12-23 2001-02-20 At&T Corp Method and apparatus for adaptive monitor and support system
JP3180766B2 (ja) 1998-06-30 2001-06-25 日本電気株式会社 電子メールシステム
US6769066B1 (en) * 1999-10-25 2004-07-27 Visa International Service Association Method and apparatus for training a neural network model for use in computer network intrusion detection
JP2001222513A (ja) 2000-02-08 2001-08-17 Nec Corp 情報通信ネットワークシステムにおける接続要求管理装置および方法ならびに接続要求管理処理プログラムを記録した情報通信ネットワークシステムにおける記録媒体
US6922696B1 (en) * 2000-05-31 2005-07-26 Sri International Lattice-based security classification system and method
JP2002057722A (ja) 2000-08-11 2002-02-22 Masanao Kuninobu インターネット回線の負荷抑制・不正利用の防止システム
US8200577B2 (en) 2001-03-20 2012-06-12 Verizon Business Global Llc Systems and methods for retrieving and modifying data records for rating and billing purposes
US6990518B1 (en) * 2001-03-22 2006-01-24 Agilent Technologies, Inc. Object-driven network management system enabling dynamically definable management behavior

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007181031A (ja) * 2005-12-28 2007-07-12 Canon System Solutions Inc 情報処理装置、その制御方法、プログラム、及び記憶媒体
JP2008257604A (ja) * 2007-04-06 2008-10-23 Ntt Docomo Inc エリア案内装置およびプログラム
US8904297B2 (en) 2007-04-06 2014-12-02 Ntt Docomo, Inc. Method and system for providing information in virtual space
WO2015155888A1 (ja) * 2014-04-11 2015-10-15 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
JPWO2015155888A1 (ja) * 2014-04-11 2017-04-13 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
WO2015159926A1 (ja) * 2014-04-15 2015-10-22 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
JPWO2015159926A1 (ja) * 2014-04-15 2017-04-13 株式会社Ubic 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム
JP2020510926A (ja) * 2017-02-27 2020-04-09 アマゾン・テクノロジーズ、インコーポレイテッド インテリジェントセキュリティ管理
US11102221B2 (en) 2017-02-27 2021-08-24 Amazon Technologies, Inc. Intelligent security management
WO2018225667A1 (ja) * 2017-06-05 2018-12-13 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
JPWO2018225667A1 (ja) * 2017-06-05 2020-03-19 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、記録媒体
JP7031667B2 (ja) 2017-06-05 2022-03-08 日本電気株式会社 情報処理装置、情報処理システム、情報処理方法、及び、プログラム

Also Published As

Publication number Publication date
JP3948389B2 (ja) 2007-07-25
US7337155B2 (en) 2008-02-26
US20040083389A1 (en) 2004-04-29

Similar Documents

Publication Publication Date Title
JP2004147067A (ja) 通信分析装置及びこれを用いた通信管理装置
US9680855B2 (en) Probabilistic model for cyber risk forecasting
CN101401466B (zh) 基于内容的策略遵从系统和方法
US7752125B1 (en) Automated enterprise risk assessment
US20120017281A1 (en) Security level determination of websites
US20080271143A1 (en) Insider threat detection
AU2011209894A1 (en) Insider threat correlation tool
GB2414576A (en) Business communication monitoring system detecting anomalous communication patterns
WO2011094071A2 (en) Insider threat correlation tool
US20200012990A1 (en) Systems and methods of network-based intelligent cyber-security
Shah et al. A methodology to measure and monitor level of operational effectiveness of a CSOC
US20230336581A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
EP4367840A1 (en) Intelligent prioritization of assessment and remediation of common vulnerabilities and exposures for network nodes
Ciechanowicz Risk analysis: requirements, conflicts and problems
EP3647982A1 (en) Cyber attack evaluation method and cyber attack evaluation device
Mozzaquatro et al. Situation awareness in the Internet of Things
WO2022170132A1 (en) Asset ranking and classification systems and methods
Waltermire et al. Endpoint security posture assessment: enterprise use cases
Kourki Nejat et al. An adaptive and cost-based intrusion response system
Simola Comparative research of cybersecurity information sharing models
CN112507384B (zh) 一种数据外发行为的处理方法和装置
Nagle et al. The effects of security management on security events
Fessi et al. A decisional framework system for computer network intrusion detection
Iturbe et al. Information Security Risk Assessment Methodology for Industrial Systems Supporting ISA/IEC 62443 Compliance
Pak et al. Asset priority risk assessment using hidden markov models

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051021

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20061226

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070219

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20070327

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20070409

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110427

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120427

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130427

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130427

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140427

Year of fee payment: 7

LAPS Cancellation because of no payment of annual fees