JP2005141319A - 異常行動検出装置 - Google Patents
異常行動検出装置 Download PDFInfo
- Publication number
- JP2005141319A JP2005141319A JP2003374707A JP2003374707A JP2005141319A JP 2005141319 A JP2005141319 A JP 2005141319A JP 2003374707 A JP2003374707 A JP 2003374707A JP 2003374707 A JP2003374707 A JP 2003374707A JP 2005141319 A JP2005141319 A JP 2005141319A
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- history
- abnormal
- user
- action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 145
- 238000001514 detection method Methods 0.000 title claims abstract description 100
- 239000000284 extract Substances 0.000 claims abstract description 22
- 238000000605 extraction Methods 0.000 claims description 46
- 230000002159 abnormal effect Effects 0.000 claims description 41
- 230000007717 exclusion Effects 0.000 claims description 7
- 239000011159 matrix material Substances 0.000 description 29
- 238000010586 diagram Methods 0.000 description 15
- 230000005856 abnormality Effects 0.000 description 14
- 238000000034 method Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
【解決手段】 行動履歴データベース2は、物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する。行動パターン抽出部4は、行動履歴データベース2の行動履歴に基づいて、ユーザの物理的な構造の行動パターンを抽出し、行動パターンデータベース3に格納する。異常行動検出部5は、行動履歴データベース2の任意の行動履歴に対して、その行動履歴に対応する行動パターンデータベース3中の行動パターンの値に基づいて、その行動履歴が異常行動であるか否かを判定する。
【選択図】 図1
Description
そのため、このような技術では、物理的な構造を前提としたユーザの異常行動検出に適用するには不十分であった。
以下、この発明の実施の形態1を説明する。
尚、以下に説明する各実施の形態は、本発明を入退室管理システムに適用した場合を示している。また、実施の形態1では、ユーザの行動場所に基づいて異常検出を行う例である。
図において、異常行動検出装置10は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3、行動パターン抽出部4、異常行動検出部5からなる。
図2に、建物の物理構造の一例を示す。
図において、Area1〜Area4は、それぞれ異なる空間を示している。例えばArea2〜Area4は、建物内の部屋を示しており、Area1は建物外の空間を示している。また、図中のg1〜g4は、それぞれ異なる空間の境界に設けられた認証装置を表しており、これら認証装置g1〜g4はそれぞれ通過可能な方向が予め決定されている。
図中、実線矢印が物理的に通過可能で、かつ、認証装置有りを示している。また、破線矢印は、物理的に通過可能で、認証装置なしを示している。即ち、Area1からArea2、Area2からArea4、Area1からArea3、Area3からArea4は、それぞれ認証装置g1、g2、g3、g4による認証を行って通過可能であり、一方、Area4からArea3に、また、Area3からArea1へは、認証せずに通過可能であることを示している。
行動履歴データベース2は、図4に示すように、インデックス、認証時刻、ユーザID、認証装置IDからなる複数のレコードで構成されている。即ち、ある認証が行われる毎に新たなインデックスが付与され、行動履歴として保存されるようになっている。また、異常行動を検出するため、ユーザ毎に行動履歴がまとめられている。
このユーザ別行動履歴データベースは、図4に示した行動履歴データベース2と同様の構成でユーザ毎に作成されるものである。尚、ユーザ別行動履歴データベースにおけるインデックスは、そのユーザの履歴の順に付け直したもので、図4中のインデックスとは関連していない。尚、このユーザ別行動履歴データベースは、特に必須ではなく、後述する異常行動検出時に作成するようにしてもよい。
行動履歴データベース2には、ユーザが認証装置で認証を行う毎に、図4に示すような行動履歴のレコードが格納される。このように行動履歴が格納された行動履歴データベース2に対して、例えば1ヶ月毎といった所定期間周期、あるいは任意のタイミングで、ユーザの異常行動を検出する。
S(g(i))=Xである。例えば、g(i)=g2の場合、このXはs2である。
実施の形態2は、ユーザの行動時刻に基づいて異常検出を行うようにしたものである。
実施の形態2では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4における通過時刻の発生確率を求め、これを行動パターンとして行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時刻に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
実施の形態2においても、ユーザの異常行動を検出するため、行動パターン抽出部4は、予め定めたタイミングあるいは任意のタイミングで、対象となるユーザの行動パターンを抽出し、これを行動パターンデータベース3に格納する。実施の形態2では、ユーザuがある認証装置を通過した時刻(時間帯)を、ユーザuのその認証装置における全行動履歴数で除算し、各認証装置毎の通過時刻の発生確率を求めるものである。
図6は、集計結果の一例を示す説明図である。
このような集計結果が行動パターンデータベース3に格納されており、また、閾値Tpを0.01(1%)とすると、異常行動検出部5は、11:30〜11:59に通過した行動履歴が異常行動であると判定する。この場合も、通常は通過しない時刻に通過したという行動は異常行動の恐れがある、という観点に基づいて異常行動の検出を行うようにしたものである。
実施の形態3は、物理的な制約に基づいて異常検出を行うようにしたものである。
実施の形態3の異常行動検出装置10aの基本的な構成は、図1に示した実施の形態1と同様であるが、行動パターンデータベース3aのデータ構成、行動パターン抽出部4aが抽出する行動パターン、異常行動検出部5aが判定の基準とするデータが異なっている。即ち、行動パターン抽出部4aは、物理構造データベース1のデータに基づいて、物理的に認証装置g(i−1)を通過した後、他の認証装置を通過せずにg(i)を通過可能であるかどうかを示す情報を行動パターンとして行動パターンデータベース3aに格納するよう構成されている。また、異常行動検出部5aは、行動パターンデータベース3aに格納された通過可能か否かのデータに基づいて異常行動を判定するよう構成されている。他の構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
実施の形態3においても、ユーザの異常行動を検出するため、行動パターン抽出部4aが行動パターンを抽出し、これを行動パターンデータベース3aに格納するのは実施の形態1、2と同様である。実施の形態3が異なるのは、行動パターン抽出部4aが、その行動パターンとして物理構造データベース1に格納されているデータに基づいて抽出を行う点である。
図8は、各認証装置の通過可能/不可能を表す説明図である。
このような物理的な論理構造を行列Bで表すと、
B(g(i−1),g(i))=Z
より、ある値を得る。例えば、g(i−1)=g3,g(i)=g4の場合、Z=b34である。Z=0であるとき、ユーザuの行動は異常であると判定する。
実施の形態4は、ユーザの行動時間間隔に基づいて異常検出を行うようにしたものである。
実施の形態4では、行動パターン抽出部4が、行動履歴データベース2のデータから、行動パターンとして、各認証装置g1〜g4のうち異なる認証装置を通過する時間間隔の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過時間間隔に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1、2と同様であるため、ここでの説明は省略する。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過してから認証装置g(i)を通過する時間間隔Tに関する確率分布(発生確率)を求める。この確率分布を関数q(u,g(i−1),g(i),T)と表す。この関数q(u,g(i−1),g(i),T)は、行動履歴データベース2から求めることができる。また、各認証装置の関数q(u,g(i−1),g(i),T)を行列Qで表す。行列の要素は、例えば、q12(T)=q(u,g1,g2,T)と表される。そして、行動パターン抽出部4は、このような行列Qのデータを行動パターンデータベース3に格納する。
Q(g(i−1),g(i))=V
より、ある値Vを得る。例えば、g(i−1)=g3、g(i)=g4の場合は、Q=q34(Tr(i)−Tr(i−1))である。閾値を発生確率Tqとすると、Tq>Vのときユーザuの行動は異常行動であると判定する。
図示のように、確率分布が閾値Tqより小さい場合として、確率分布がTqに相当する時間間隔T_lowより短い時間間隔および時間間隔T_highより長い時間間隔であった場合に異常行動であると判定することができる。
n個の認証装置の通過時間を基に異常行動を検出する場合、行動パターン抽出部4は、通過時間関数qを保持するQをn次元配列とし、配列の各要素に行動履歴データベース2より集計された通過時間を集計した関数qを求めて、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路通過時間の確率が予め定められた閾値以下であれば異常行動であると判定する。
実施の形態5は、ユーザの行動経路に基づいて異常検出を行うようにしたものである。
実施の形態5では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4のいずれかの異なる認証装置を通過する経路の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過経路に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
ユーザの異常行動の検出は各実施の形態と同様、所定周期あるいは任意のタイミングで行う。即ち、行動パターン抽出部4は、あるユーザuが認証装置g(i−1)を通過後、認証装置g(i)を通過する確率rに関する確率分布を求める。
r(u,g(i−1),g(i))=Ni/Ni−1
である。rを各認証装置間で集計すると行列Rが得られる。行列Rではr21=r(u,g2,g1)と表している。このような行列Rのデータを行動パターン抽出部4は行動パターンデータベース3に格納する。
R(g(i−1),g(i))W
より値Wを得る。g(i−1)=g3,g(i)=g4の場合はW=r34である。閾値をTrとすると、Tr>Wのときユーザuの行動は異常行動であると判定する。
n個の認証装置の通過確率を基に異常行動を検出する場合、行動パターン抽出部4は、経路選択確率を保持するRをn次元配列とし、配列の各要素に行動履歴データベース2より集計された経路選択確率を求め、これを行動パターンデータベース3に格納する。そして、異常行動検出部5は、該当の経路が選択された確率が予め定められた閾値以下であれば異常行動であるとする。
実施の形態6は、ユーザの通過頻度に基づいて異常検出を行うようにしたものである。
実施の形態6では、行動パターン抽出部4が、行動履歴データベース2のデータから行動パターンとして、各認証装置g1〜g4を通過する頻度の発生確率を抽出し、これを行動パターンデータベース3に格納するよう構成されている。また、異常行動検出部5は、行動履歴データベース2における行動履歴の通過頻度に対応した行動パターンデータベース3中の値が予め定めた閾値より小さい場合に異常行動と判定するよう構成されている。他の各構成は実施の形態1と同様であるため、ここでの説明は省略する。
ユーザの異常行動の検出は実施の形態1と同様、任意のタイミングで行う。即ち、行動パターン抽出部4は、任意のタイミングで、あるユーザuがある単位時間で通過する頻度を各認証装置g(i)毎に集計する。
ユーザuのある単位時間の認証装置g(i)の通過頻度hをVを用いて評価する。Vの認証装置g(i)の要素をS(g(i))と表すと
V(g(i))=Z
より値Zを得る。g(i)=g3の場合はZ=v3(h)である。閾値を発生確率TvとするとTv>Zのときユーザuの行動は異常であると判定する。
図示のように、確率分布が閾値Tvより小さい場合として、確率分布がTvに相当する頻度h_lowより少ない頻度および頻度h_highより多い頻度であった場合に異常行動であると判定することができる。
実施の形態7は、認証装置からの認証結果に対して、その認証した行動が異常か否かを判定するようにしたものである。即ち、異常行動検出をリアルタイムに行うようにしたものである。
図において、異常行動検出装置100は、物理構造データベース(物理構造DB)1、行動履歴データベース(行動履歴DB)2、行動パターンデータベース(行動パターンDB)3b、行動パターン抽出部4b、異常行動検出部5b、検出マスク部6からなる。また、入退室管理システム200は、認証装置g1〜g4からの認証結果を出力するシステムである。尚、実施の形態7は、実施の形態1に相当する構成に適用した例を示している。
行動パターン抽出部4bは、ユーザuの通常の行動パターンを抽出するため、所定のタイミングで、ユーザuが各認証装置g1〜g4を通過する確率を行動履歴データベース2に格納されたデータに基づいて集計する。これは、ユーザuがある認証装置を通過した回数を、ユーザuの全行動履歴数で除算し、各認証装置毎の通過確率(発生確率)を求めるものである。あるいは、最近一ヶ月間といったような行動履歴データベース2中の特定期間のみを対象として通過確率を求めてもよい。このよう求められたユーザ毎の通過確率は、行動パターンデータベース3bに格納される。
このような動作により、この数日間起こるであろう異常行動検出を防ぐことができる。
Claims (9)
- 物理的な構造の情報を格納する物理構造データベースと、
物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、
前記ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、
前記行動履歴データベースから、任意の行動履歴を取り出し、当該取り出した行動履歴に対応する物理的な構造の行動パターンの値に基づいて、当該ユーザの異常行動を検出する異常行動検出部とを備えた異常行動検出装置。 - 物理的な構造の情報を格納する物理構造データベースと、
物理的な構造とユーザの移動履歴との関連情報を行動履歴として格納する行動履歴データベースと、
前記ユーザの物理的な構造の行動パターンを抽出する行動パターン抽出部と、
任意の行動履歴を受けて、当該受けた行動履歴に対応する物理的な行動パターンの値に基づいて、当該ユーザの異常行動を検出する異常行動検出部とを備えた異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に通過した場所の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記通過した場所の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する通過場所の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に特定の場所を通過した時刻の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記特定の場所を通過した時刻の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記特定の場所を通過した時刻の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に異なる複数の場所を通過したか否かの情報を行動履歴として格納し、
行動パターン抽出部は、物理構造データベースから、前記異なる複数の場所を通過可能か否かの情報を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所の行動パターンの情報が、通過不可能であった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが過去に異なる複数の場所を通過した時間間隔の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記異なる複数の場所を通過する時間間隔の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所を通過する時間間隔の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが、過去に異なる複数の場所を移動した経路の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記異なる複数の場所の経路の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記異なる複数の場所の経路の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 行動履歴データベースは、ユーザが、過去に通過した場所の情報を行動履歴として格納し、
行動パターン抽出部は、前記行動履歴から、前記通過した場所の通過頻度の行動履歴の発生確率を、当該ユーザの行動パターンとして抽出し、
異常行動検出部は、対象となる行動履歴に対応する前記通過した場所の通過頻度の行動パターンの発生確率が、所定の閾値より小さかった場合に、当該行動履歴は異常行動であると判定することを特徴とする請求項1または請求項2記載の異常行動検出装置。 - 特定の行動履歴に対して除外情報を設定する検出マスク部と、
対象となる行動履歴が前記検出マスク部における除外情報に一致した場合、当該行動履歴を異常行動の判定から除外する異常行動検出部とを備えたことを特徴とする請求項1または請求項2記載の異常行動検出装置。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003374707A JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2003374707A JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005141319A true JP2005141319A (ja) | 2005-06-02 |
Family
ID=34686342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2003374707A Pending JP2005141319A (ja) | 2003-11-04 | 2003-11-04 | 異常行動検出装置 |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005141319A (ja) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010072862A (ja) * | 2008-09-17 | 2010-04-02 | Symantec Corp | インテリジェント・コンテンツのインデックス付け実行技術 |
JP2014215684A (ja) * | 2013-04-23 | 2014-11-17 | 清水建設株式会社 | 動線・滞留分析システム |
US10133820B2 (en) | 2007-06-29 | 2018-11-20 | Veritas Technologies Llc | Techniques for performing intelligent content indexing |
JP2019040423A (ja) * | 2017-08-25 | 2019-03-14 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
JP2021163423A (ja) * | 2020-04-03 | 2021-10-11 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
-
2003
- 2003-11-04 JP JP2003374707A patent/JP2005141319A/ja active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10133820B2 (en) | 2007-06-29 | 2018-11-20 | Veritas Technologies Llc | Techniques for performing intelligent content indexing |
JP2010072862A (ja) * | 2008-09-17 | 2010-04-02 | Symantec Corp | インテリジェント・コンテンツのインデックス付け実行技術 |
JP2014215684A (ja) * | 2013-04-23 | 2014-11-17 | 清水建設株式会社 | 動線・滞留分析システム |
JP2019040423A (ja) * | 2017-08-25 | 2019-03-14 | 日本電信電話株式会社 | 検知装置、検知方法および検知プログラム |
CN109561092A (zh) * | 2018-12-03 | 2019-04-02 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
CN109561092B (zh) * | 2018-12-03 | 2021-01-26 | 北京安华金和科技有限公司 | 基于数据流量及数据探测结果进行安全态势建模的方法 |
JP2021163423A (ja) * | 2020-04-03 | 2021-10-11 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
JP7008352B2 (ja) | 2020-04-03 | 2022-01-25 | 株式会社トリプルアイズ | 情報処理装置、情報処理方法、及びプログラム |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CA2729193C (en) | Access control system based upon behavioral patterns | |
JP4753193B2 (ja) | 動線管理システムおよびプログラム | |
JP5656763B2 (ja) | 入国審査システム | |
US11798332B2 (en) | Information processing apparatus, information processing system, and information processing method | |
JP4334870B2 (ja) | 車両のトリップ決定システムおよび方法 | |
CN100507951C (zh) | 门禁系统 | |
US8079061B2 (en) | Authentication system managing method | |
CN101753563B (zh) | 认证系统和认证方法 | |
EP3407232B1 (en) | Spatiotemporal authentication | |
CN111476177B (zh) | 嫌疑人检测方法及装置 | |
JP6382602B2 (ja) | 移動経路特定装置 | |
JP2009000367A (ja) | 監視装置および方法、並びにプログラム | |
JP2007272604A (ja) | 情報処理装置および方法、並びにプログラム | |
CN111950471A (zh) | 目标对象识别方法及装置 | |
CN114155488A (zh) | 获取客流数据的方法、装置、电子设备以及存储介质 | |
JP2005141319A (ja) | 異常行動検出装置 | |
CN111367906A (zh) | 异常车辆识别方法、装置、设备及计算机可读存储介质 | |
JP3959358B2 (ja) | セキュリティ管理システム | |
CN108847945A (zh) | 一种包含多个节点连接到块链网络的记录设备 | |
KR101311508B1 (ko) | 무단 출입 통제 장치 및 그 방법, 이를 구현하기 위한 프로그램이 기록된 기록매체 | |
CN111723616B (zh) | 一种人员相关性度量方法及装置 | |
JP7380318B2 (ja) | アシストサーバ、改札システム、アシスト方法、およびアシストプログラム | |
JP6549904B2 (ja) | 出入管理システム、および出入管理方法 | |
JP3180862B2 (ja) | ゲート不正通行防止装置 | |
JP2008052350A (ja) | 入退出管理システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051108 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20071018 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080624 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080710 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20081202 |