JP2005141319A - 異常行動検出装置 - Google Patents
異常行動検出装置 Download PDFInfo
- Publication number
- JP2005141319A JP2005141319A JP2003374707A JP2003374707A JP2005141319A JP 2005141319 A JP2005141319 A JP 2005141319A JP 2003374707 A JP2003374707 A JP 2003374707A JP 2003374707 A JP2003374707 A JP 2003374707A JP 2005141319 A JP2005141319 A JP 2005141319A
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- history
- abnormal
- user
- action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 145
- 238000001514 detection method Methods 0.000 title claims abstract description 100
- 239000000284 extract Substances 0.000 claims abstract description 22
- 238000000605 extraction Methods 0.000 claims description 46
- 230000002159 abnormal effect Effects 0.000 claims description 41
- 230000007717 exclusion Effects 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 description 29
- 238000010586 diagram Methods 0.000 description 15
- 230000005856 abnormality Effects 0.000 description 14
- 238000000034 method Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【課題】 物理的な構造を前提としたユーザの異常行動検出を確実に行うことのできる異常行動検出装置を得る。
【解決手段】 行動履歴データベース2は、物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する。行動パターン抽出部4は、行動履歴データベース2の行動履歴に基づいて、ユーザの物理的な構造の行動パターンを抽出し、行動パターンデータベース3に格納する。異常行動検出部5は、行動履歴データベース2の任意の行動履歴に対して、その行動履歴に対応する行動パターンデータベース3中の行動パターンの値に基づいて、その行動履歴が異常行動であるか否かを判定する。
【選択図】 図1
【解決手段】 行動履歴データベース2は、物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する。行動パターン抽出部4は、行動履歴データベース2の行動履歴に基づいて、ユーザの物理的な構造の行動パターンを抽出し、行動パターンデータベース3に格納する。異常行動検出部5は、行動履歴データベース2の任意の行動履歴に対して、その行動履歴に対応する行動パターンデータベース3中の行動パターンの値に基づいて、その行動履歴が異常行動であるか否かを判定する。
【選択図】 図1
Description
本発明は、物理構造とユーザの行動履歴に基づいて、ユーザの異常行動を検出する異常行動検出装置に関するものである。
従来、ユーザの異常行動を検出するものとして、主としてPC(パーソナルコンピュータ)やPPP(Point to Point Protocol)サーバへのログインの際に不正ログインを検出するための不正ログイン検出装置があった(例えば、特許文献1参照)。
この文献に記載の不正ログイン検出装置では、ログイン統計情報データベースにユーザ名と、ある単位時間毎にログインに成功した回数とが対応付けられて格納される。そして、ログイン回数積算部が、ユーザ認証されログインされたユーザ名とログイン時刻を得ると、ログイン統計情報データベースの当該ユーザにおける該当する時刻範囲のログイン回数を1加算する。不正ログイン検出処理部は、ユーザ認証後、当該ユーザのログイン回数に基づき予め定義された不正ログイン条件による検証を行い、不正ログインの疑いの有無を判定するよう構成されている。
しかしながら、従来の異常行動検出装置では、上述したように、主にPCやPPPサーバへのログインの際に該当ユーザの過去のログイン時刻に基づき不正ログインの有無を判定するものであり、物理的なユーザの移動を追跡する必要があるシステム、例えば入退室管理システム等に関するものではない。
そのため、このような技術では、物理的な構造を前提としたユーザの異常行動検出に適用するには不十分であった。
そのため、このような技術では、物理的な構造を前提としたユーザの異常行動検出に適用するには不十分であった。
本発明は上記のような課題を解決するためになされたもので、物理的な構造を前提としたユーザの異常行動検出を確実に行うことのできる異常行動検出装置を得ることを目的とする。
この発明に係る異常行動検出装置は、物理的な構造とユーザの移動履歴を行動履歴データベースに格納すると共に、ユーザに固有の物理的な構造の行動パターンを抽出して行動パターンデータベースに格納し、任意の行動履歴に対して、行動パターンの値に基づいて、そのユーザの異常行動を検出するようにしたものである。
この発明の異常行動検出装置は、そのユーザに固有の物理的な構造に基づく行動パターンを抽出して、ユーザの任意の行動履歴に対応する行動パターンの値から、そのユーザの異常行動を検出するようにしたので、物理的な構造を前提としたユーザの異常行動検出を確実に行うことができる。
実施の形態1.
以下、この発明の実施の形態1を説明する。
尚、以下に説明する各実施の形態は、本発明を入退室管理システムに適用した場合を示している。また、実施の形態1では、ユーザの行動場所に基づいて異常検出を行う例である。
以下、この発明の実施の形態1を説明する。
尚、以下に説明する各実施の形態は、本発明を入退室管理システムに適用した場合を示している。また、実施の形態1では、ユーザの行動場所に基づいて異常検出を行う例である。
図1は、この発明の実施の形態1による異常行動検出装置を示す構成図である。
図において、異常行動検出装置10は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3、行動パターン抽出部4、異常行動検出部5からなる。
図において、異常行動検出装置10は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3、行動パターン抽出部4、異常行動検出部5からなる。
物理構造データベース1は、入退室管理システムで管理する建物の物理構造を示すデータベースである。
図2に、建物の物理構造の一例を示す。
図において、Area1〜Area4は、それぞれ異なる空間を示している。例えばArea2〜Area4は、建物内の部屋を示しており、Area1は建物外の空間を示している。また、図中のg1〜g4は、それぞれ異なる空間の境界に設けられた認証装置を表しており、これら認証装置g1〜g4はそれぞれ通過可能な方向が予め決定されている。
図2に、建物の物理構造の一例を示す。
図において、Area1〜Area4は、それぞれ異なる空間を示している。例えばArea2〜Area4は、建物内の部屋を示しており、Area1は建物外の空間を示している。また、図中のg1〜g4は、それぞれ異なる空間の境界に設けられた認証装置を表しており、これら認証装置g1〜g4はそれぞれ通過可能な方向が予め決定されている。
図3は、各空間の通過可能か否かの関係を示す説明図である。
図中、実線矢印が物理的に通過可能で、かつ、認証装置有りを示している。また、破線矢印は、物理的に通過可能で、認証装置なしを示している。即ち、Area1からArea2、Area2からArea4、Area1からArea3、Area3からArea4は、それぞれ認証装置g1、g2、g3、g4による認証を行って通過可能であり、一方、Area4からArea3に、また、Area3からArea1へは、認証せずに通過可能であることを示している。
図中、実線矢印が物理的に通過可能で、かつ、認証装置有りを示している。また、破線矢印は、物理的に通過可能で、認証装置なしを示している。即ち、Area1からArea2、Area2からArea4、Area1からArea3、Area3からArea4は、それぞれ認証装置g1、g2、g3、g4による認証を行って通過可能であり、一方、Area4からArea3に、また、Area3からArea1へは、認証せずに通過可能であることを示している。
物理構造データベース1は、このような各空間と認証装置との関係を示す情報を格納する。これは、次のような隣接行列Aで表現することができる。
各要素は、壁などがあり通過不可能な場合が0、認証装置がないが通過可能である場合が1、認証装置がある場合がg1などの装置IDを示している。例えば、A(2、4)=g2は、Area2からArea4への間には認証装置g2があることを示している。
行動履歴データベース2は、管理対象の建物の物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納するデータベースである。即ち、この行動履歴データベース2は、物理構造データベース1で規定されている各認証装置g1〜g4の認証履歴を格納するためのデータベースであり、ユーザID、認証装置ID、認証時刻といった情報が格納される。
図4は、行動履歴データベース2の構成を示す説明図である。
行動履歴データベース2は、図4に示すように、インデックス、認証時刻、ユーザID、認証装置IDからなる複数のレコードで構成されている。即ち、ある認証が行われる毎に新たなインデックスが付与され、行動履歴として保存されるようになっている。また、異常行動を検出するため、ユーザ毎に行動履歴がまとめられている。
行動履歴データベース2は、図4に示すように、インデックス、認証時刻、ユーザID、認証装置IDからなる複数のレコードで構成されている。即ち、ある認証が行われる毎に新たなインデックスが付与され、行動履歴として保存されるようになっている。また、異常行動を検出するため、ユーザ毎に行動履歴がまとめられている。
図5は、ユーザ別行動履歴データベースの説明図である。
このユーザ別行動履歴データベースは、図4に示した行動履歴データベース2と同様の構成でユーザ毎に作成されるものである。尚、ユーザ別行動履歴データベースにおけるインデックスは、そのユーザの履歴の順に付け直したもので、図4中のインデックスとは関連していない。尚、このユーザ別行動履歴データベースは、特に必須ではなく、後述する異常行動検出時に作成するようにしてもよい。
このユーザ別行動履歴データベースは、図4に示した行動履歴データベース2と同様の構成でユーザ毎に作成されるものである。尚、ユーザ別行動履歴データベースにおけるインデックスは、そのユーザの履歴の順に付け直したもので、図4中のインデックスとは関連していない。尚、このユーザ別行動履歴データベースは、特に必須ではなく、後述する異常行動検出時に作成するようにしてもよい。
行動パターンデータベース3は、行動パターン抽出部4で抽出された行動パターンを格納するデータベースであり、実施の形態1では、認証されたそれぞれの認証装置g1〜g4の発生確率の値となっている。行動パターン抽出部4は、行動履歴データベース2に格納された各ユーザの行動履歴から各ユーザの通常の行動パターンを抽出する機能を有しており、実施の形態1では、その行動パターンとして、一定期間にどの認証装置で認証されたかを認証装置g1〜g4毎の発生確率として求める機能を有している。尚、抽出処理の詳細については後述する。
異常行動検出部5は、行動履歴データベース2中の任意の行動履歴に対して、行動パターンデータベース3中の、その行動履歴に対応する発生確率に基づいてユーザの異常行動を検出する機能を有している。即ち、ある行動履歴が認証装置giの通過に関するものであった場合、行動パターンデータベース3におけるそのユーザの認証装置giの発生確率を参照し、この発生確率が予め定めた閾値以下であった場合は、その行動は異常行動であると判定するよう構成されている。
次に、実施の形態1の動作について説明する。
行動履歴データベース2には、ユーザが認証装置で認証を行う毎に、図4に示すような行動履歴のレコードが格納される。このように行動履歴が格納された行動履歴データベース2に対して、例えば1ヶ月毎といった所定期間周期、あるいは任意のタイミングで、ユーザの異常行動を検出する。
行動履歴データベース2には、ユーザが認証装置で認証を行う毎に、図4に示すような行動履歴のレコードが格納される。このように行動履歴が格納された行動履歴データベース2に対して、例えば1ヶ月毎といった所定期間周期、あるいは任意のタイミングで、ユーザの異常行動を検出する。
この異常行動検出として、先ず、行動パターン抽出部4は、対象となるユーザの行動パターンを抽出し、これを行動パターンデータベース3に格納する。即ち、行動パターン抽出部4は、ユーザuが、各認証装置g1〜g4を通過した発生確率を行動履歴データベース2に格納された行動履歴を集計して抽出する。これは、ユーザuがある認証装置を通過した回数を、ユーザuの全行動履歴数(図5におけるレコードの数)で除算し、各認証装置毎の発生確率を求めるものである。各認証装置の発生確率を行列Sで表すことができる。そして、行動パターン抽出部4は、このような行列Sで示すデータを行動パターンデータベース3に格納する。
尚、行動パターンの抽出は、例えば、行動履歴データベース2に行動履歴が格納される都度行う、といったように、異常行動検出とは無関係に行ってもよい。
次に、異常行動検出部5は、行動履歴データベース2から異常行動か否かを判定するための任意の行動履歴を一つ取り出し、この行動履歴に対応した認証装置の発生確率を行動パターンデータベース3より求める。ユーザuの行動履歴データベース2の該当するレコードをL(i)と表す。即ち、このレコードL(i)における認証装置IDはg(i)である。そして、行列Sの認証装置g(i)の要素をS(g(i))と表すと、その値は、
S(g(i))=Xである。例えば、g(i)=g2の場合、このXはs2である。
S(g(i))=Xである。例えば、g(i)=g2の場合、このXはs2である。
例えば、行列Sでは、s1=65%、s2=0.5%、s3=20%、s4=14.5%であったとする。この場合X=0.5%である。異常行動検出部5は、このXの値を予め定めた閾値Tsと比較し、Ts>Xのとき、ユーザuのこの行動は異常であると判断する。例えばTs=1%であった場合、Ts>Xであるため、ユーザのこの行動は異常行動の恐れがあると判定する。
即ち、ユーザuの行動としては、ある程度決まった行動パターンが存在する。例えば、上記のユーザuの通常の行動パターンは、認証装置g1、g3、g4ではある程度頻繁に通過するが認証装置g2はほとんど通過しない、といったものである。しかしながら、ある行動履歴が認証装置g2の通過であった場合、この行動はユーザuとしてはめったにない行動であり、従って、この行動は異常行動の恐れ有りと解釈するものである。
異常行動検出部5は、このような異常行動を検出した場合、その行動履歴と異常行動を示す情報を出力する。これにより、入退室管理システムにおける管理者は、該当ユーザに問い合わせを行ったり、監視カメラの画像をチェックする、といった対処を行う。
以上のように、実施の形態1によれば、物理的な構造の情報を格納する物理構造データベースと、物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、行動履歴データベースから、任意の行動履歴を取り出し、取り出した行動履歴に対応する物理的な構造の行動パターンの値に基づいて、ユーザの異常行動を検出する異常行動検出部とを備えたので、物理的な構造を前提としたユーザの異常行動検出を確実に行うことができる。
また、実施の形態1によれば、行動履歴データベースは、ユーザが過去に通過した場所の情報を行動履歴として格納し、行動パターン抽出部は、行動履歴から、通過した場所の行動履歴の発生確率を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する通過場所の行動パターンの発生確率が、所定の閾値より小さかった場合に、行動履歴は異常行動であると判定するようにしたので、通常は立ち入らない場所に入り、不正な行動を行おうとしたユーザの行動を異常行動として検出することができる。
実施の形態2.
実施の形態2は、ユーザの行動時刻に基づいて異常検出を行うようにしたものである。
実施の形態2は、ユーザの行動時刻に基づいて異常検出を行うようにしたものである。
実施の形態2における図面上の構成は、図1に示した実施の形態1と同様であるため、図1を援用して説明する。
実施の形態2では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4における通過時刻の発生確率を求め、これを行動パターンとして行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時刻に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
実施の形態2では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4における通過時刻の発生確率を求め、これを行動パターンとして行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時刻に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
次に、実施の形態2の動作について説明する。
実施の形態2においても、ユーザの異常行動を検出するため、行動パターン抽出部4は、予め定めたタイミングあるいは任意のタイミングで、対象となるユーザの行動パターンを抽出し、これを行動パターンデータベース3に格納する。実施の形態2では、ユーザuがある認証装置を通過した時刻(時間帯)を、ユーザuのその認証装置における全行動履歴数で除算し、各認証装置毎の通過時刻の発生確率を求めるものである。
実施の形態2においても、ユーザの異常行動を検出するため、行動パターン抽出部4は、予め定めたタイミングあるいは任意のタイミングで、対象となるユーザの行動パターンを抽出し、これを行動パターンデータベース3に格納する。実施の形態2では、ユーザuがある認証装置を通過した時刻(時間帯)を、ユーザuのその認証装置における全行動履歴数で除算し、各認証装置毎の通過時刻の発生確率を求めるものである。
あるユーザuが認証装置gを通過する時刻tでの発生確率を関数p(u,g,t)と表す。tは例えば10分や30分といったある一定の時間幅を指しており、ユーザuがその時間帯tに認証装置gを通過する確率をp(u,g,t)と表す。各認証装置g1〜g4のp(u,g,t)を行列Pで表す。行列内の要素は、p2(t)=p(u,g2,t)として表している。
異常行動検出部5は、このような行列Pを用いて、ユーザuの行動履歴から異常行動であるかどうかを判定する。ユーザuの行動履歴データベース2中の任意のレコードをL(i)と表す。行列Pの認証装置g(i)の要素をP(g(i))と表すと、その値は、P(g(i))=Yである。g(i)=g3の場合、Y=p3(Tr(i))である。閾値を発生確率Tpとすると、Tp>Yのときユーザuの対象となる行動履歴は異常行動であると判定する。
例えば、あるユーザuが認証装置g1を通過した時刻を30分単位で集計したとする。
図6は、集計結果の一例を示す説明図である。
このような集計結果が行動パターンデータベース3に格納されており、また、閾値Tpを0.01(1%)とすると、異常行動検出部5は、11:30〜11:59に通過した行動履歴が異常行動であると判定する。この場合も、通常は通過しない時刻に通過したという行動は異常行動の恐れがある、という観点に基づいて異常行動の検出を行うようにしたものである。
図6は、集計結果の一例を示す説明図である。
このような集計結果が行動パターンデータベース3に格納されており、また、閾値Tpを0.01(1%)とすると、異常行動検出部5は、11:30〜11:59に通過した行動履歴が異常行動であると判定する。この場合も、通常は通過しない時刻に通過したという行動は異常行動の恐れがある、という観点に基づいて異常行動の検出を行うようにしたものである。
以上のように、実施の形態2によれば、行動履歴データベースは、ユーザが過去に特定の場所を通過した時刻の情報を行動履歴として格納し、行動パターン抽出部は、行動履歴から、特定の場所を通過した時刻の行動履歴の発生確率を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する特定の場所を通過した時刻の行動パターンの発生確率が、所定の閾値より小さかった場合に、その行動履歴は異常行動であると判定するようにしたので、通常は通行しないような時刻、例えば真夜中などに通行した場合に、これを異常行動として検出することができる。
実施の形態3.
実施の形態3は、物理的な制約に基づいて異常検出を行うようにしたものである。
実施の形態3は、物理的な制約に基づいて異常検出を行うようにしたものである。
図7は、実施の形態3による異常行動検出装置を示す構成図である。
実施の形態3の異常行動検出装置10aの基本的な構成は、図1に示した実施の形態1と同様であるが、行動パターンデータベース3aのデータ構成、行動パターン抽出部4aが抽出する行動パターン、異常行動検出部5aが判定の基準とするデータが異なっている。即ち、行動パターン抽出部4aは、物理構造データベース1のデータに基づいて、物理的に認証装置g(i−1)を通過した後、他の認証装置を通過せずにg(i)を通過可能であるかどうかを示す情報を行動パターンとして行動パターンデータベース3aに格納するよう構成されている。また、異常行動検出部5aは、行動パターンデータベース3aに格納された通過可能か否かのデータに基づいて異常行動を判定するよう構成されている。他の構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
実施の形態3の異常行動検出装置10aの基本的な構成は、図1に示した実施の形態1と同様であるが、行動パターンデータベース3aのデータ構成、行動パターン抽出部4aが抽出する行動パターン、異常行動検出部5aが判定の基準とするデータが異なっている。即ち、行動パターン抽出部4aは、物理構造データベース1のデータに基づいて、物理的に認証装置g(i−1)を通過した後、他の認証装置を通過せずにg(i)を通過可能であるかどうかを示す情報を行動パターンとして行動パターンデータベース3aに格納するよう構成されている。また、異常行動検出部5aは、行動パターンデータベース3aに格納された通過可能か否かのデータに基づいて異常行動を判定するよう構成されている。他の構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
次に、実施の形態3の動作について説明する。
実施の形態3においても、ユーザの異常行動を検出するため、行動パターン抽出部4aが行動パターンを抽出し、これを行動パターンデータベース3aに格納するのは実施の形態1、2と同様である。実施の形態3が異なるのは、行動パターン抽出部4aが、その行動パターンとして物理構造データベース1に格納されているデータに基づいて抽出を行う点である。
実施の形態3においても、ユーザの異常行動を検出するため、行動パターン抽出部4aが行動パターンを抽出し、これを行動パターンデータベース3aに格納するのは実施の形態1、2と同様である。実施の形態3が異なるのは、行動パターン抽出部4aが、その行動パターンとして物理構造データベース1に格納されているデータに基づいて抽出を行う点である。
例えば、物理構造データベース1のデータに基づいて、物理的に認証装置g(i−1)を通過した後、他の認証装置を通過せずにg(i)を通過可能であるかどうかを行列Bで表す。行列の要素は、0は物理的に通過不可能、1は物理的に通過可能であることを表す。
行動パターン抽出部4aは、このような行列Bのデータを行動パターンデータベース3aに格納する。
例えば、対象となる建物の論理構造が図3に示すものである場合、論理的な通過可能/不可能は次のように表すことができる。
図8は、各認証装置の通過可能/不可能を表す説明図である。
このような物理的な論理構造を行列Bで表すと、
となる。行列の要素の0が通過不可能、1が通過可能であることを表している。例えば、認証装置g2を通過した後、他の認証装置を通らずにg3を通ることができるため2行3列の要素は1となる。
図8は、各認証装置の通過可能/不可能を表す説明図である。
このような物理的な論理構造を行列Bで表すと、
異常行動検出部5aは、行列Bに示すデータを用いてユーザuの行動履歴から異常行動であるかどうかを判定する。ユーザuの連続する行動履歴データベース2のレコードをL(i−1),L(i)と表す。その連続するレコードで通過した認証装置をg(i−1),g(i)で表すと、
B(g(i−1),g(i))=Z
より、ある値を得る。例えば、g(i−1)=g3,g(i)=g4の場合、Z=b34である。Z=0であるとき、ユーザuの行動は異常であると判定する。
B(g(i−1),g(i))=Z
より、ある値を得る。例えば、g(i−1)=g3,g(i)=g4の場合、Z=b34である。Z=0であるとき、ユーザuの行動は異常であると判定する。
例えば、2段階の認証装置g1、g2があり、外部(Area1)からは認証装置g1、g2の順でないと通過できないとする。このような物理制約の条件下で、例えば、ユーザu1がユーザu2のIDカードを不正に入手し、ユーザu1のIDカードで認証装置g1を通過後、ユーザu2のIDカードで認証装置g2を通過したとする。このような場合、ユーザu2は認証装置g1を通過せずに認証装置g2を通過したことになるため、その行動履歴は異常であると判定される。
また、これ以外にも、例えば複数のユーザが一人のユーザのIDカードを何度も使って同じ認証装置(例えば、認証装置g1)を通過したような場合、そのIDカードのユーザの行動履歴に対応する要素は0であるため、異常であると判定される。
以上のように、実施の形態3によれば、行動履歴データベースは、ユーザが過去に異なる複数の場所を通過したか否かの情報を行動履歴として格納し、行動パターン抽出部は、物理構造データベースから、異なる複数の場所を通過可能か否かの情報を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する異なる複数の場所の行動パターンの情報が、通過不可能であった場合に、その行動履歴は異常行動であると判定するようにしたので、他人のIDカードを不正に入手して使用した場合や、同一人物が何度も認証することにより他の人物を通過させているような場合でも、これを異常行動として検出することができる。
実施の形態4.
実施の形態4は、ユーザの行動時間間隔に基づいて異常検出を行うようにしたものである。
実施の形態4は、ユーザの行動時間間隔に基づいて異常検出を行うようにしたものである。
実施の形態4における図面上の構成は、図1に示した実施の形態1と同様であるため、図1を援用して説明する。
実施の形態4では、行動パターン抽出部4が、行動履歴データベース2のデータから、行動パターンとして、各認証装置g1〜g4のうち異なる認証装置を通過する時間間隔の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時間間隔に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
実施の形態4では、行動パターン抽出部4が、行動履歴データベース2のデータから、行動パターンとして、各認証装置g1〜g4のうち異なる認証装置を通過する時間間隔の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時間間隔に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
次に、実施の形態4の動作について説明する。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過してから認証装置g(i)を通過する時間間隔Tに関する確率分布(発生確率)を求める。この確率分布を関数q(u,g(i−1),g(i),T)と表す。この関数q(u,g(i−1),g(i),T)は、行動履歴データベース2から求めることができる。また、各認証装置の関数q(u,g(i−1),g(i),T)を行列Qで表す。行列の要素は、例えば、q12(T)=q(u,g1,g2,T)と表される。そして、行動パターン抽出部4は、このような行列Qのデータを行動パターンデータベース3に格納する。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過してから認証装置g(i)を通過する時間間隔Tに関する確率分布(発生確率)を求める。この確率分布を関数q(u,g(i−1),g(i),T)と表す。この関数q(u,g(i−1),g(i),T)は、行動履歴データベース2から求めることができる。また、各認証装置の関数q(u,g(i−1),g(i),T)を行列Qで表す。行列の要素は、例えば、q12(T)=q(u,g1,g2,T)と表される。そして、行動パターン抽出部4は、このような行列Qのデータを行動パターンデータベース3に格納する。
異常行動検出部5は、行列Qのデータを用いて、ユーザuの行動履歴から異常行動であるか否かを判定する。ユーザuの連続する行動履歴データベース2中のレコードをL(i−1),L(i)と表すと、
Q(g(i−1),g(i))=V
より、ある値Vを得る。例えば、g(i−1)=g3、g(i)=g4の場合は、Q=q34(Tr(i)−Tr(i−1))である。閾値を発生確率Tqとすると、Tq>Vのときユーザuの行動は異常行動であると判定する。
Q(g(i−1),g(i))=V
より、ある値Vを得る。例えば、g(i−1)=g3、g(i)=g4の場合は、Q=q34(Tr(i)−Tr(i−1))である。閾値を発生確率Tqとすると、Tq>Vのときユーザuの行動は異常行動であると判定する。
図9は、確率分布と時間間隔に基づく異常検出の説明図である。
図示のように、確率分布が閾値Tqより小さい場合として、確率分布がTqに相当する時間間隔T_lowより短い時間間隔および時間間隔T_highより長い時間間隔であった場合に異常行動であると判定することができる。
図示のように、確率分布が閾値Tqより小さい場合として、確率分布がTqに相当する時間間隔T_lowより短い時間間隔および時間間隔T_highより長い時間間隔であった場合に異常行動であると判定することができる。
また、より長い経路の移動時間を基に異常行動を検出する場合は、行動履歴データベース2から複数の認証装置を通過したときの通過時間を集計して異常行動を検出する。
n個の認証装置の通過時間を基に異常行動を検出する場合、行動パターン抽出部4は、通過時間関数qを保持するQをn次元配列とし、配列の各要素に行動履歴データベース2より集計された通過時間を集計した関数qを求めて、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路通過時間の確率が予め定められた閾値以下であれば異常行動であると判定する。
n個の認証装置の通過時間を基に異常行動を検出する場合、行動パターン抽出部4は、通過時間関数qを保持するQをn次元配列とし、配列の各要素に行動履歴データベース2より集計された通過時間を集計した関数qを求めて、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路通過時間の確率が予め定められた閾値以下であれば異常行動であると判定する。
例えば、認証装置g1、g2、g3、g4と順に四つの認証装置を通った行動履歴があるとする。g1、g2、g3、g4の順に通過したときの4次元配列Qの要素Q(g1,g2,g3,g4)に格納されている関数q1234(T)が得られる。この関数Tにg1の通過時刻とg4の通過時刻の差を代入することにより、過去の行動における該当経路の通過時間の発生確率を得ることができる。この値が予め定められた閾値より小さい場合は異常行動であると判定する。
以上のように、実施の形態4によれば、行動履歴データベースは、ユーザが過去に異なる複数の場所を通過した時間間隔の情報を行動履歴として格納し、行動パターン抽出部は、行動履歴から、異なる複数の場所を通過する時間間隔の行動履歴の発生確率を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する異なる複数の場所を通過する時間間隔の行動パターンの発生確率が、所定の閾値より小さかった場合に、その行動履歴は異常行動であると判定するようにしたので、例えば、ある部屋に以上に長く滞在して不正行為を行っている場合等、これを異常行動として検出することが可能である。
実施の形態5.
実施の形態5は、ユーザの行動経路に基づいて異常検出を行うようにしたものである。
実施の形態5は、ユーザの行動経路に基づいて異常検出を行うようにしたものである。
実施の形態5における図面上の構成は、図1に示した実施の形態1と同様であるため、図1を援用して説明する。
実施の形態5では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4のいずれかの異なる認証装置を通過する経路の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過経路に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
実施の形態5では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4のいずれかの異なる認証装置を通過する経路の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過経路に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
次に、実施の形態5の動作について説明する。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過後、認証装置g(i)を通過する確率rに関する確率分布を求める。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過後、認証装置g(i)を通過する確率rに関する確率分布を求める。
あるユーザuが認証装置g(i−1)を通過後、認証装置g(i)を通過する確率rは、g(i−1)を通過した全回数をNi-1、その後g(i)を通過する回数をNiとすると、
r(u,g(i−1),g(i))=Ni/Ni−1
である。rを各認証装置間で集計すると行列Rが得られる。行列Rではr21=r(u,g2,g1)と表している。このような行列Rのデータを行動パターン抽出部4は行動パターンデータベース3に格納する。
r(u,g(i−1),g(i))=Ni/Ni−1
である。rを各認証装置間で集計すると行列Rが得られる。行列Rではr21=r(u,g2,g1)と表している。このような行列Rのデータを行動パターン抽出部4は行動パターンデータベース3に格納する。
異常行動検出部5は、このような行列Rを用いて、ユーザuの行動履歴データベース2中の行動履歴が異常行動であるかを判定する。ユーザuの連続する行動履歴データベース2中のレコードをL(i−1),L(i)で表すと、
R(g(i−1),g(i))W
より値Wを得る。g(i−1)=g3,g(i)=g4の場合はW=r34である。閾値をTrとすると、Tr>Wのときユーザuの行動は異常行動であると判定する。
R(g(i−1),g(i))W
より値Wを得る。g(i−1)=g3,g(i)=g4の場合はW=r34である。閾値をTrとすると、Tr>Wのときユーザuの行動は異常行動であると判定する。
物理的に移動不可能である経路を考慮すると行列Rは、
と表され、行列Rに実施の形態3の行列Bを含めてもよい。即ち、実施の形態5に実施の形態3の構成を組み合わせてもよい。
また、より長い経路の通過確率を基に異常行動を検出する場合は、行動履歴データベース2から複数の認証装置を通過する確率を集計して異常行動を検出することができる。
n個の認証装置の通過確率を基に異常行動を検出する場合、行動パターン抽出部4は、経路選択確率を保持するRをn次元配列とし、配列の各要素に行動履歴データベース2より集計された経路選択確率を求め、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路が選択された確率が予め定められた閾値以下であれば異常行動であるとする。
n個の認証装置の通過確率を基に異常行動を検出する場合、行動パターン抽出部4は、経路選択確率を保持するRをn次元配列とし、配列の各要素に行動履歴データベース2より集計された経路選択確率を求め、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路が選択された確率が予め定められた閾値以下であれば異常行動であるとする。
例えばg1、g2、g3、g4と順に四つの認証装置を通った行動履歴があるとする。g1、g2、g3、g4の順に通過したときの4次元配列Rの要素R(g1,g2,g3,g4)に格納されている該当経路選択確率r1234が予め定められた閾値以下であれば異常行動であると判定する。
以上のように、実施の形態5によれば、行動履歴データベースは、ユーザが、過去に異なる複数の場所を移動した経路の情報を行動履歴として格納し、行動パターン抽出部は、行動履歴から、異なる複数の場所の経路の行動履歴の発生確率を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する異なる複数の場所の経路の行動パターンの発生確率が、所定の閾値より小さかった場合に、その行動履歴は異常行動であると判定するようにしたので、例えば、通常は移動しない経路を移動して不正行為を行う場合等、これを異常行動として検出することが可能である。
実施の形態6.
実施の形態6は、ユーザの通過頻度に基づいて異常検出を行うようにしたものである。
実施の形態6は、ユーザの通過頻度に基づいて異常検出を行うようにしたものである。
実施の形態6における図面上の構成は、図1に示した実施の形態1と同様であるため、図1を援用して説明する。
実施の形態6では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4を通過する頻度の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過頻度に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
実施の形態6では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4を通過する頻度の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過頻度に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
次に、実施の形態6の動作について説明する。
ユーザの異常行動の検出は実施の形態1と同様、任意のタイミングで行う。即ち、行動パターン抽出部4は、任意のタイミングで、あるユーザuがある単位時間で通過する頻度を各認証装置g(i)毎に集計する。
ユーザの異常行動の検出は実施の形態1と同様、任意のタイミングで行う。即ち、行動パターン抽出部4は、任意のタイミングで、あるユーザuがある単位時間で通過する頻度を各認証装置g(i)毎に集計する。
ユーザuがある単位時間の各認証装置を通過する頻度を行動履歴より集計する。単位時間は例えば1日や1週間などである。ユーザuが認証装置gをh回通過する確率を関数v(u,g,h)と表す。関数v(u,g,h)は行動履歴から求めることができる。各認証装置のv(u,g,h)を行列Vで表す。行列内の要素では、v(u,g2,h)をv2(h)として表している。
行列Vを用いて、ユーザuの行動履歴から異常行動であるかどうかを判定する。
ユーザuのある単位時間の認証装置g(i)の通過頻度hをVを用いて評価する。Vの認証装置g(i)の要素をS(g(i))と表すと
V(g(i))=Z
より値Zを得る。g(i)=g3の場合はZ=v3(h)である。閾値を発生確率TvとするとTv>Zのときユーザuの行動は異常であると判定する。
ユーザuのある単位時間の認証装置g(i)の通過頻度hをVを用いて評価する。Vの認証装置g(i)の要素をS(g(i))と表すと
V(g(i))=Z
より値Zを得る。g(i)=g3の場合はZ=v3(h)である。閾値を発生確率TvとするとTv>Zのときユーザuの行動は異常であると判定する。
図10は、確率分布と頻度に基づく異常検出の説明図である。
図示のように、確率分布が閾値Tvより小さい場合として、確率分布がTvに相当する頻度h_lowより少ない頻度および頻度h_highより多い頻度であった場合に異常行動であると判定することができる。
図示のように、確率分布が閾値Tvより小さい場合として、確率分布がTvに相当する頻度h_lowより少ない頻度および頻度h_highより多い頻度であった場合に異常行動であると判定することができる。
以上のように、実施の形態6によれば、行動履歴データベースは、ユーザが、過去に通過した場所の情報を行動履歴として格納し、行動パターン抽出部は、行動履歴から、通過した場所の通過頻度の行動履歴の発生確率を、ユーザの行動パターンとして抽出し、異常行動検出部は、対象となる行動履歴に対応する通過した場所の通過頻度の行動パターンの発生確率が、所定の閾値より小さかった場合に、その行動履歴は異常行動であると判定するようにしたので、例えば、同一人物が何度も認証を行うことにより他の人物を通過させているような場合、これを異常行動として検出することが可能である。
実施の形態7.
実施の形態7は、認証装置からの認証結果に対して、その認証した行動が異常か否かを判定するようにしたものである。即ち、異常行動検出をリアルタイムに行うようにしたものである。
実施の形態7は、認証装置からの認証結果に対して、その認証した行動が異常か否かを判定するようにしたものである。即ち、異常行動検出をリアルタイムに行うようにしたものである。
図11は、実施の形態7による異常行動検出装置を示す構成図である。
図において、異常行動検出装置100は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3b、行動パターン抽出部4b、異常行動検出部5b、検出マスク部6からなる。また、入退室管理システム200は、認証装置g1〜g4からの認証結果を出力するシステムである。尚、実施の形態7は、実施の形態1に相当する構成に適用した例を示している。
図において、異常行動検出装置100は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3b、行動パターン抽出部4b、異常行動検出部5b、検出マスク部6からなる。また、入退室管理システム200は、認証装置g1〜g4からの認証結果を出力するシステムである。尚、実施の形態7は、実施の形態1に相当する構成に適用した例を示している。
異常行動検出装置100の物理構造データベース1および行動履歴データベース2は、上述した実施の形態1における物理構造データベース1および行動履歴データベース2と同様の構成である。即ち、物理構造データベース1には、図3に示した内容のデータが格納されている。行動履歴データベース2は、入退室管理システム200において、認証が行われる度に、その行動が行動履歴として格納されるデータベースである。
行動パターン抽出部4bは、行動履歴データベース2に格納された行動履歴に基づいて、所定の周期、あるいは行動履歴が更新される度にユーザ毎の行動パターンを抽出し、これを行動パターンデータベース3bに格納する機能部である。異常行動検出部5bは、入退室管理システム200から出力される認証結果に基づいて、その認証された行動が異常行動であるか否かを行動パターンデータベース3bのデータに基づいて判定すると共に、検出マスク部6で登録されている行動については異常行動の検出から除外して判定する機能部である。また、異常行動検出部5bにおける異常検出の判定方法は実施の形態1と同様である。検出マスク部6は、予め、異常検出から除外する行動を除外情報として登録しておくための機能部である。
即ち、上述した実施の形態1〜6では、行動履歴データベース2中の1レコードの行動履歴について異常か否かを判定したが、実施の形態7では、入退室管理システムからリアルタイムで送られてくる認証結果について、その行動が異常か否かを判定する点が特徴である。
次に、実施の形態7の動作について説明する。
行動パターン抽出部4bは、ユーザuの通常の行動パターンを抽出するため、所定のタイミングで、ユーザuが各認証装置g1〜g4を通過する確率を行動履歴データベース2に格納されたデータに基づいて集計する。これは、ユーザuがある認証装置を通過した回数を、ユーザuの全行動履歴数で除算し、各認証装置毎の通過確率(発生確率)を求めるものである。あるいは、最近一ヶ月間といったような行動履歴データベース2中の特定期間のみを対象として通過確率を求めてもよい。このよう求められたユーザ毎の通過確率は、行動パターンデータベース3bに格納される。
行動パターン抽出部4bは、ユーザuの通常の行動パターンを抽出するため、所定のタイミングで、ユーザuが各認証装置g1〜g4を通過する確率を行動履歴データベース2に格納されたデータに基づいて集計する。これは、ユーザuがある認証装置を通過した回数を、ユーザuの全行動履歴数で除算し、各認証装置毎の通過確率(発生確率)を求めるものである。あるいは、最近一ヶ月間といったような行動履歴データベース2中の特定期間のみを対象として通過確率を求めてもよい。このよう求められたユーザ毎の通過確率は、行動パターンデータベース3bに格納される。
一方、検出マスク部6には、異常行動検出部5bにおいて異常行動から除外するための行動が除外情報として記憶されている。例えば、ユーザuが今まで使用していなかった認証装置g2を数日間利用することが予め分かっている場合、ユーザuの行動場所の異常行動判定において認証装置g2への過去の行動履歴が少ないことによる異常行動検出を取り消すように予め検出マスク部に設定しておく。異常行動検出部5bが異常を検出した場合に通知するデータ構造が、[ユーザID,異常行動判定方法,認証装置]とすると、上記の場合、検出マスク部6に取り消す異常行動検出として、[ユーザu,行動場所による判定,g2]といったように除外情報を設定する。
異常行動検出部5bは、入退室管理システム200から送られてくる認証結果を受信する度に、その認証を行った行動が異常行動であるかを判定する。即ち、この判定は、実施の形態1と同様に、その行動に対応する認証装置の通過確率が予め定めた閾値より小さかった場合に異常行動であると判定するものである。また、閾値との比較では異常行動と判定される場合でも、検出マスク部6で登録されている行動であった場合は、異常判定からは除外する。
このような動作により、この数日間起こるであろう異常行動検出を防ぐことができる。
このような動作により、この数日間起こるであろう異常行動検出を防ぐことができる。
以上のように、実施の形態7によれば、物理的な構造の情報を格納する物理構造データベースと、物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、任意の行動履歴を受けて、受けた行動履歴に対応する物理的な行動パターンの値に基づいて、ユーザの異常行動を検出する異常行動検出部とを備えたので、物理的な構造を前提としたユーザの異常行動検出を確実にかつリアルタイムに行うことができる。その結果、例えば、異常行動検出により、そのユーザに対して監視カメラや警備員が注目することにより、その後の不正行為を未然に防止することができる。
また、実施の形態7によれば、特定の行動履歴に対して除外情報を設定する検出マスク部と、対象となる行動履歴が検出マスク部における除外情報に一致した場合、その行動履歴を異常行動の判定から除外する異常行動検出部とを備えたので、不要な異常行動検出が行われなくなり、警備員や監視員が不要な異常行動に惑わされることがなくなるという効果がある。
尚、上記実施の形態7では、実施の形態1の構成に対して適用したが、実施の形態2〜実施の形態6に対しても同様に適用することができる。例えば、通過時刻による判定は実施の形態2と同様に行うことができる。また、物理制約による判定、時間間隔による判定、経路による判定については、認証結果と共に、行動履歴データベース2から、例えば物理制約による判定の場合のg(i−1)のレコードといった、必要なレコードを取り出すことによって、実施の形態3〜5と同様に判定を行うことができる。
また、通過頻度による判定に適用した場合、実施の形態6とは判定方法が多少異なる。リアルタイムに集計されている場合、あるその時点の認証装置通過頻度Hrの発生確率がTrであるとする。閾値を発生確率Tvとし、Tr<TvであったとしてもHrより大きな頻度で発生確率がTv以上の場合があるときには異常であると判定しない。即ち、実施の形態6で説明した図10中の頻度がh_lowより小さい場合は異常であるとして検出しない。
また、上記各実施の形態1〜実施の形態6を任意に複数組み合わせることも可能であり、複数の行動パターンに基づいて異常行動の検出を行ってもよい。
また、上記各実施の形態において、検出マスク部6は実施の形態7のみ設けたが、実施の形態1〜6に設けてもよい。実施の形態1〜6のいずれかに設けた場合は、例えば、行動履歴データベース2中の行動履歴において、発生確率は低いが異常行動ではないのが判っているような行動履歴については除外情報として登録しておくことにより、不要な異常行動の検出を防ぐことができる。
更に、上記各実施の形態では、異常行動検出装置として入退室管理システムに適用した場合を説明したが、これに限定されるものではなく、同様の構成で、例えば鉄道における旅客の移動の管理や高速道路における車両の移動の管理といったものに対しても異常行動の検出を行うことができる。
例えば、鉄道の旅客の場合、上述した入退室管理システムと同様に、各旅客の移動経路を追跡するシステムを設け、経路や頻度等による異常行動の検出を行うよう構成する。このようなシステムでは、例えば、同一の旅客が何度も同じ場所を通過していたり、他人の定期券を不正に入手して使用した場合等を異常行動として検出することができる。その結果、犯罪防止に寄与することができ、また、電車を乗り違えている旅客を検出できることからサービス向上に寄与することができる。
また、高速道路における車両の移動の管理に適用した場合、例えば高速道路チケットによって車両の移動を追跡するシステムを設け、異常行動を検出するよう構成する。これにより、例えば、高速道路チケットをサービスエリアで交換する等、チケットの不正使用を検出することができる。
1 物理構造データベース、2 行動履歴データベース、3,3a,3b 行動パターンデータベース、4,4a,4b 行動パターン抽出部、5,5a,5b 異常行動検出部、6 検出マスク部、10,10a,100 異常行動検出装置。
Claims (9)
- 物理的な構造の情報を格納する物理構造データベースと、
物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、
前記ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、
前記行動履歴データベースから、任意の行動履歴を取り出し、当該取り出した行動履歴に対応する物理的な構造の行動パターンの値に基づいて、当該ユーザの異常行動を検出する異常行動検出部とを備えた異常行動検出装置。 - 物理的な構造の情報を格納する物理構造データベースと、
物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、
前記ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、
任意の行動履歴を受けて、当該受けた行動履歴に対応する物理的な行動パターンの値に基づいて、当該ユーザの異常行動を検出する異常行動検出部とを備えた異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に通過した場所の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記通過した場所の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する通過場所の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に特定の場所を通過した時刻の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記特定の場所を通過した時刻の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記特定の場所を通過した時刻の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に異なる複数の場所を通過したか否かの情報を行動履歴として格納し、
行動パターン抽出部は、物理構造データベースから、前記異なる複数の場所を通過可能か否かの情報を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所の行動パターンの情報が、通過不可能であった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に異なる複数の場所を通過した時間間隔の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記異なる複数の場所を通過する時間間隔の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所を通過する時間間隔の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが、過去に異なる複数の場所を移動した経路の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記異なる複数の場所の経路の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所の経路の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが、過去に通過した場所の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記通過した場所の通過頻度の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記通過した場所の通過頻度の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 特定の行動履歴に対して除外情報を設定する検出マスク部と、
対象となる行動履歴が前記検出マスク部における除外情報に一致した場合、当該行動履歴を異常行動の判定から除外する異常行動検出部とを備えたことを特徴とする請求項1または請求項2記載の異常行動検出装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003374707A JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003374707A JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005141319A true JP2005141319A (ja) | 2005-06-02 |
Family
ID=34686342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003374707A Pending JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2005141319A (ja) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010072862A (ja) * | 2008-09-17 | 2010-04-02 | Symantec Corp | インテリジェント・コンテンツのインデックス付け実行技術 |
| JP2014215684A (ja) * | 2013-04-23 | 2014-11-17 | 清水建設株式会社 | 動線・滞留分析システム |
| US10133820B2 (en) | 2007-06-29 | 2018-11-20 | Veritas Technologies Llc | Techniques for performing intelligent content indexing |
| JP2019040423A (ja) * | 2017-08-25 | 2019-03-14 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
| JP2021163423A (ja) * | 2020-04-03 | 2021-10-11 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
-
2003
- 2003-11-04 JP JP2003374707A patent/JP2005141319A/ja active Pending
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10133820B2 (en) | 2007-06-29 | 2018-11-20 | Veritas Technologies Llc | Techniques for performing intelligent content indexing |
| JP2010072862A (ja) * | 2008-09-17 | 2010-04-02 | Symantec Corp | インテリジェント・コンテンツのインデックス付け実行技術 |
| JP2014215684A (ja) * | 2013-04-23 | 2014-11-17 | 清水建設株式会社 | 動線・滞留分析システム |
| JP2019040423A (ja) * | 2017-08-25 | 2019-03-14 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
| CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
| CN109561092B (zh) * | 2018-12-03 | 2021-01-26 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
| JP2021163423A (ja) * | 2020-04-03 | 2021-10-11 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
| JP7008352B2 (ja) | 2020-04-03 | 2022-01-25 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2729193C (en) | Access control system based upon behavioral patterns | |
| JP4753193B2 (ja) | 動線管理システムおよびプログラム | |
| JP5656763B2 (ja) | 入国審査システム | |
| US11798332B2 (en) | Information processing apparatus, information processing system, and information processing method | |
| JP4334870B2 (ja) | 車両のトリップ決定システムおよび方法 | |
| CN100507951C (zh) | 门禁系统 | |
| US8079061B2 (en) | Authentication system managing method | |
| CN101753563B (zh) | 认证系统和认证方法 | |
| EP3407232B1 (en) | Spatiotemporal authentication | |
| CN111476177B (zh) | 嫌疑人检测方法及装置 | |
| JP6382602B2 (ja) | 移動経路特定装置 | |
| JP2009000367A (ja) | 監視装置および方法、並びにプログラム | |
| JP2007272604A (ja) | 情報処理装置および方法、並びにプログラム | |
| CN111950471A (zh) | 目标对象识别方法及装置 | |
| CN114155488A (zh) | 获取客流数据的方法、装置、电子设备以及存储介质 | |
| JP2005141319A (ja) | 異常行動検出装置 | |
| CN111367906A (zh) | 异常车辆识别方法、装置、设备及计算机可读存储介质 | |
| JP3959358B2 (ja) | セキュリティ管理システム | |
| CN108847945A (zh) | 一种包含多个节点连接到块链网络的记录设备 | |
| KR101311508B1 (ko) | 무단 출입 통제 장치 및 그 방법, 이를 구현하기 위한 프로그램이 기록된 기록매체 | |
| CN111723616B (zh) | 一种人员相关性度量方法及装置 | |
| JP7380318B2 (ja) | アシストサーバ、改札システム、アシスト方法、およびアシストプログラム | |
| JP6549904B2 (ja) | 出入管理システム、および出入管理方法 | |
| JP3180862B2 (ja) | ゲート不正通行防止装置 | |
| JP2008052350A (ja) | 入退出管理システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051108 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080710 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081202 |