JP2010525424A - 悪用及び乱用を検出するシステム及び方法 - Google Patents

悪用及び乱用を検出するシステム及び方法 Download PDF

Info

Publication number
JP2010525424A
JP2010525424A JP2009554678A JP2009554678A JP2010525424A JP 2010525424 A JP2010525424 A JP 2010525424A JP 2009554678 A JP2009554678 A JP 2009554678A JP 2009554678 A JP2009554678 A JP 2009554678A JP 2010525424 A JP2010525424 A JP 2010525424A
Authority
JP
Japan
Prior art keywords
transaction
data
activity
rule
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009554678A
Other languages
English (en)
Other versions
JP2010525424A5 (ja
Inventor
ロング・クルト・ジェームス
Original Assignee
ロング・クルト・ジェームス
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=39767170&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2010525424(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ロング・クルト・ジェームス filed Critical ロング・クルト・ジェームス
Publication of JP2010525424A publication Critical patent/JP2010525424A/ja
Publication of JP2010525424A5 publication Critical patent/JP2010525424A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0635Risk analysis of enterprise or organisation activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02ATECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
    • Y02A90/00Technologies having an indirect contribution to adaptation to climate change
    • Y02A90/10Information and communication technologies [ICT] supporting adaptation to climate change, e.g. for weather forecasting or climate simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Strategic Management (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Educational Administration (AREA)
  • Development Economics (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

データと関連する少なくとも一つのトランザクション及びアクティビティを監視するための規則を生成することによって、コンピュータ環境でのデータの悪用及び/又は乱用を検知するシステムと方法を提示するものである。この規則は、データの悪用又は乱用を示す、少なくとも一つのトランザクション及びアクティビティに関する少なくとも一つの判断基準にもとづき生成することができる。当該の少なくとも一つの判断基準が満たされた時にイベントが発生し、そのイベントが起こったか否かを決定するために、当該の少なくとも一つのトランザクション及びアクティビティに規則を適用する。イベントが起こった場合に一つのヒットを保存し、イベントが起こった場合に通報を発出することができる。規則に関するヒットの集合体を提供することができる。

Description

本発明は、ユーザ識別データを含む、ログファイルやそれ以外の同様のレコード内などのデータの分析にもとづき、コンピュータ環境での悪用及び/又は乱用を検出するシステム及び方法に関する。より詳しくは、本発明は、ユーザ識別データを含む、ログファイル内などのアプリケーションレイヤのデータの分析にもとづき、コンピュータ環境での悪用及び/又は乱用を検出するシステム及び方法に関する。
ユーザによる悪用又は乱用を検出する従来システムは、少なくとも従来システムの能力がログファイルのフォーマットを認識して、ログファイルにアクセスすることに限られているという理由において不十分である。そのことは、システムが異なるアプリケーションによって生成されたログファイルにアクセスする場合、各アプリケーションが異なる形式のログファイルを生成する可能性が有るので、特に難しい。
従来システムでの別の問題は、ユーザが会社(又はその他の同様の組織)のシステムにアクセスするのに幾つかの異なる方法が有ることである。例えば、多くの実例において、ユーザが組織の異なるアプリケーション又は保存データにアクセスするために、幾つかの異なるユーザIDとパスワードを使用する可能性が有る。そのような悪用又は乱用検知システムは、様々なアプリケーションに渡るユーザのアクティビティを関連付ける方法を持っていない。同様に、幾つかの実例において、一つのアプリケーションにもとづきユーザの挙動を評価しても、会社のシステム又は情報の悪用又は乱用を示す挙動パターンを識別するのに十分な情報を提供することはできない。
システムの悪用又は乱用の検知に関する従来システムの幾つかが、特許文献1〜4に記載されている。そのようなシステム及びその他の周知のシステムには、別の様々な欠点が有る。
米国特許第5,557,742号明細書(Method and System for Detecting Intrusion Into and Misuse of a Data Processing System ) 米国特許第6,347,374号明細書(Event Detection ) 米国特許第6,405,318号明細書(Intrusion Detection System) 米国特許第6,549,208号明細書(Information Security Analysis System)
本発明の様々な特徴は、既存システムの前記及びその他の欠点の中の少なくとも幾つかを克服するものである。
一つの実施形態において、ユーザがアクセスする様々なアプリケーションのアプリケーションレイヤのログを通してユーザを追跡するためのシステム及び方法を提供する。
一つの実施形態において、監視システムが、イベントログファイルにアクセスして、そのようなイベントログファイルを既知のユーザ又はシステムが識別子を取り出すことが可能なユーザと関連付ける。イベントログは、アプリケーション及びアクセスレイヤ機器によって記録されたトランザクション及び/又はアクティビティの記録の集合体とすることができる。抽出されたイベントは、分析、保存及び/又は報告に適したレコードに正規化することができる。正規化されたイベントは、所与の環境に対して定義された悪用シナリオに関して分析することができる。一つの実施形態において、イベントがシステムのユーザと関連付けられ、イベントレコードが既知のユーザと関連する識別子を含むことができる。
一つの実施形態において、正規化され、関連付けられたイベントは、ユーザ固有の識別子又は職務/組織との関係にもとづきモデル化されたユーザ特有の悪用監視シナリオに関して分析することができる。
一つの実施形態において、コンピュータ環境内でのデータの悪用又は乱用を検知する方法を規定する。その方法は、データと関連する少なくとも一つのトランザクション及びアクティビティを監視するための規則を生成し、その規則が、データの悪用又は乱用を示す、当該の少なくとも一つのトランザクション及びアクティビティに関する少なくとも一つの判断基準を含むようにする工程と、当該の少なくとも一つの判断基準が満たされた時にイベントが発生し、そのようなイベントが発生したか否かを決定するために、当該の少なくとも一つのトランザクション及びアクティビティに規則を適用する工程と、イベントが発生した場合に一つのヒットを保存する工程と、イベントが発生した場合に通報を発出する工程と、当該の規則に関するヒットの集合体を提供する工程とを有する。
一つの実施形態において、コンピュータ環境内でのデータの悪用又は乱用を検知するシステムを規定する。そのシステムは、データの悪用又は乱用を示す、データと関連した少なくとも一つのトランザクション及びアクティビティに関する少なくとも一つの判断基準を選定するとともに、当該の少なくとも一つのトランザクション及びアクティビティを監視するための規則を適用するスケジュールを選定するためのユーザインタフェースと、そのユーザインタフェースと通信して、データと関連するトランザクション及びアクティビティにアクセスするマイクロプロセッサとを有する。このマイクロプロセッサは、選定された少なくとも一つの判断基準にもとづき規則の少なくとも一部を生成して、イベントが発生したか否かを決定するために、選定されたスケジュールにもとづき当該の少なくとも一つのトランザクション及びアクティビティに規則を適用する。当該の少なくとも一つの判断基準が満たされた時に、イベントが発生する。マイクロプロセッサは、イベントが発生した場合に一つのヒットを保存するとともに、イベントが発生した場合に通報を発出する。マイクロプロセッサは、規則に関するヒットの集合体を生成する。
一つの実施形態において、コンピュータ環境内でのデータの悪用又は乱用を検知するためのコンピュータで読み取り可能なプログラム命令を有する、製品に組み込まれたコンピュータで読み取り可能なプログラムを規定する。このプログラムは、データの悪用又は乱用を示す、データと関連する少なくとも一つのトランザクション及びアクティビティに関する少なくとも一つの判断基準の選定をコンピュータに実行させるプログラム命令と、少なくとも一つの判断基準にもとづき、当該の少なくとも一つのトランザクション及びアクティビティを監視するための規則の少なくとも一部を生成することをコンピュータに実行させるプログラム命令と、当該の少なくとも一つのトランザクション及びアクティビティに規則を適用するスケジュールの選定をコンピュータに実行させるプログラム命令と、少なくとも一つの判断基準が満たされた場合にイベントが発生し、イベントが発生したか否かを決定するために、選定したスケジュールにもとづき当該の少なくとも一つのトランザクション及びアクティビティに規則を適用することをコンピュータに実行させるプログラム命令と、イベントが発生した場合に一つのヒットを保存することをコンピュータに実行させるプログラム命令と、イベントが発生した場合に通報を発出することをコンピュータに実行させるプログラム命令と、当該の規則に関するヒットの集合体を提供することをコンピュータに実行させるプログラム命令とを有する。
本発明は、多くの利点を有するとともに、従来システムの多くの欠点を克服するものである。本発明の前記及びその他の対象物、特徴及び利点は、実施形態の詳細な記述及びそれに付属する図面から明らかとなる。また、以上の全体的な記述と以下の詳細な記述の両方は例であって、本発明の範囲を制限するものではないことを理解されたい。ここで、本発明のその他の多くの対象物、特徴及び利点は、添付図面と関連して以下の詳細な記述を読めば明らかとなる。
本発明の一つの実施形態にもとづくプロセスフローのフローチャート 本発明の一つの実施形態にもとづくプロセスフローのフローチャート 本発明の一つの実施形態にもとづくイベントを既知のユーザと関連付けるプロセス 本発明の一つの実施形態にもとづくイベント構文解析のために使用されるXML定義例 本発明の一つの実施形態にもとづく悪用検知のフローチャート 監視システムの一つ以上の特徴を実現するために使用される、ネットワークと接続された汎用コンピュータシステム 本発明の別の実施形態にもとづく悪用又は乱用検知プロセスのフローチャート 図6のプロセスを利用するシステムのユーザインタフェース 本発明の別の実施形態におけるログ監査にもとづき様々な悪用又は乱用シナリオを検知するためのフローチャート 本発明の別の実施形態におけるログ監査と患者データの選定にもとづく様々な悪用又は乱用シナリオを検知するためのフローチャート 本発明の別の実施形態におけるログ監査とユーザデータの選定にもとづく様々な悪用又は乱用シナリオを検知するためのフローチャート
図1Aと1Bは、共に本発明の一つの実施形態にもとづく幾つかのプロセスを示すフローチャートを図示している。ステップ100では、本発明が規定する監視システムが、イベントログファイル(以降、イベントログと呼ぶ)にアクセスしている。一つの実施形態において、イベントログは、既知のユーザと関連する、イベントを含む記録データであり、本システムを介してネットワーク上のサーバ及び機器からアクセスされる。本発明の代替実施形態において、一時記憶装置がイベントログを保持することができる。別の実施形態において、プロトコル及びメッセージセットを介して監視システムにイベントログを送ることができる。監視システムは、サーバからのアクセス又はメッセージを介した受信によって、既知のユーザ又はシステムが識別子を取り出すことが可能なユーザと関連するイベントログにアクセスする。
一つの実施形態において、イベントログは、アプリケーション及びアクセスレイヤ機器によって記録されたトランザクション及び/又はアクティビティの記録の集合体である。一つの実施形態において、それらには、VPN機器、サードパーティのアプリケーション、インハウスのアプリケーション、Webサーバ、シングルサインオンサーバ、データベース、電子メールサーバ、プリンタサーバ、ファックスサーバ、電話サーバ、並びに既知のユーザによる組織の情報システムの使用又は対話にもとづくイベント情報を含む、或いは生成するその他の機器又はサーバなどのサーバ及びアプリケーションが含まれる。監視システムは、周期的に実施するか、或いはイベントの発生に合わせてリアルタイムに実行するように、イベントログからデータを収集するスケジュールを立てる。
一つの実施形態において、監視システムは、オペレーション105で、例えば、構文解析エンジンを用いて、イベントログに含まれるイベントを抽出することができる。一つの実施形態において、構文解析エンジンは、例えば、XMLテンプレートを用いて、コンフィギュレーション可能なアプリケーションである。一つの実施形態において、構文解析エンジンは、(既知のイベントに関する標準フォーマットの例としての)既知のイベントログ及びイベントのXMLテンプレートを有する。XMLテンプレートは、イベントとイベントログ間の関係を識別する情報を含むこともでき、更に、次の分析、保存及び報告のためにイベントから抽出すべき情報を含むことができる。例えば、XMLテンプレートは、イベントログに含まれるデータのフォーマットを有し、そのためXMLテンプレート情報にもとづきイベントログのデータを既知のフィールドと容易に関連付けることが可能である。当業者は、XMLテンプレートがそのようなテンプレートの一つの実施形態であることを分かっており、当業者が認識する通り、それ以外の同様のテンプレート又はマッピング技法を使用することも可能である。従来遭遇しなかったイベントデータフォーマットに関して、構文解析エンジンは、デフォルトのXMLテンプレートを手動で定義及び操作して、それに適したXMLテンプレートを生成するように構成するか、或いはグラフィカルユーザインタフェースによるツールを用いて、当業者が理解できる形でイベントフォーマットを定義するように構成することができる。
一つの実施形態において、オペレーション110で、抽出したイベントを(例えば、前述したテンプレートを用いて)分析、保存及び報告に適したレコードに正規化する。正規化プロセスの一部として、イベントソース識別子(又はイベントログ識別子)、日時、ソースネットワークアドレス、デスティネーションネットワークアドレス、イベントと関連するテキスト及びトランザクションコードをレコードに配置することができる。ソース識別子にもとづき、正規化された標準レコードの一部とならないレコードに追加情報を保存することができる。例えば、そのようなレコードは、イベントをイベントソース識別子と関連付ける情報を含むことができる。当業者は、ここに列挙したフィールドが単なる例であることを分かっており、当業者は、様々な代替及び変化形態が有り、それらの全てが本発明の一部と考えられることを分かっている。
一つの実施形態において、オペレーション115で、正規化したイベントを所与の組織環境に対して定義された悪用シナリオに関して分析する。そのような分析の例には、保健医療、財務会計サービス又はモーゲージ環境に特有の形式のレコードへのアクセスの監視、或いは所定の時間期間に渡ってのトランザクション量の監視が含まれる。システムは、警報及びオフライン報告を発出することができる。この段階の分析は、速く検出することが有利なシナリオを分析することを特徴とする。悪用シナリオの分析は、以下において詳しく考察する。
一つの実施形態において、オペレーション120で、イベントを組織のシステムのユーザと関連付ける。一つの実施形態において、イベントレコードには、既知のユーザと関連する識別子が含まれる。以下において詳しく考察する通り、ユーザを識別するための識別子のリストは、データリポジトリ122に保存されているか、或いはアクセス可能である。そのような(イベントレコード内に見られる)相関識別子には、電子メールアドレス、ユーザID、データベースID、電話番号、セッションID、TCP/IPアドレス、MACアドレス、シングルサインオンID又は所与の組織環境内のユーザとユニークに関連するその他のID(識別子)が含まれる。一つの実施形態において、そのような識別子を正規化したデータに置き換えて、正規化したデータを既知のユーザと関連付けることができる。監視システムは、識別子を用いて、正規化されたイベントを既知のユーザのデータベース、ディレクトリ又は共通のリポジトリ122と関連付けることができる。一つの実施形態において、既知のユーザに関して一致しない(例えば、リポジトリ122内の既知のユーザにもとづき識別することができないユーザの)イベントを別個のレコードリストに保持することができる。別の実施形態において、そのようなレコードを既知のユーザと照合する試みは、オフラインプロセスで実施することとして、時間的に後で行うか、或いは監視システムが未知のレコードの照合を開始するためのメッセージを送信することによって、ほぼリアルタイムで開始することができる。一つの実施形態において、監視システムは、それ自身のユーザリポジトリ122を保持することができる。別の実施形態において、監視システムは、識別子管理リポジトリ、シングルサインオンリポジトリ、人事リポジトリ、ERP又は既知のユーザのその他のリポジトリと連携することが可能である。それに代わって、監視システムは、組織内のユーザ情報の別のリポジトリと連携する前に、先ずは自身のリポジトリ122をチェックする組み合わせたアプローチを採用することもできる。
一つの実施形態において、オペレーション125で、正規化され、関連付けられたイベントは、例えば、規則、アルゴリズム、データベースクエリ又はその他の手法を用いて、ユーザ固有の識別子又は職務/組織との関係にもとづきモデル化されたユーザ固有の悪用シナリオに関して分析される。一つの実施形態において、悪用シナリオをモデル化して、XMLテンプレートに保存することができる。例えば、監視システムは、悪用又は乱用シナリオが発生したか否かを決定するために照合するテンプレートを有する。悪用又は乱用シナリオの例は、更に詳しく考察する。
一つの実施形態において、オペレーション132で、正規化され、関連付けられたイベントは、次の分析及び報告のためにデータベース132に保存される。一つの実施形態において、ユーザと関連付けられないイベントは、別個のレコードリストに保持され、そのようなレコードを既知のユーザと照合する試みをオフラインプロセスで実施することができる。
一つの実施形態において、オペレーション135で、監視システムは、正規化され、関連付けられたイベントのオフラインデータベース132を、データ、時間又は性能の限界のためにリアルタイムで検出することができない悪用シナリオに関して分析する。そのようなオフライン分析が悪用シナリオを暴いた場合、監視システムは警報137を発出することができる。そのような警報は、責任者に悪用又は乱用シナリオを捜査するように注意喚起する報告又はメッセージの形とすることができる。別の実施形態において、監視システムは、例えば、警報を発出させたアクティビティを起こした既知のユーザのアクセスを保留することによって、防止行動を開始することができる。別の実施形態において、オペレーション140で、本システムは、認証されたユーザによるトランザクション及びアクセスにもとづき、一般化されたセキュリティ報告を生成することができる。そのような報告は、組織のシステムのセキュリティを追跡するために使用するか、或いは悪用又は乱用シナリオが曝露された場合にそれに続く捜査のために使用することができる。
以下の記載は、前述したオペレーションの中の幾つかの特別な実施形態を記述している。本発明の特別な実施形態をここで考察し、添付した図面に図示するが、本発明は、ここで述べ、図示した特別な実体よりも広い範囲をカバーするものである。当業者が理解する通り、ここで述べた実施形態は、本発明の広い範囲の幾つかの例を提供するだけである。ここで述べた実施形態だけに本発明の範囲を限定する意図は無い。
1.イベントへのアクセス
一つの実施形態において、監視システムは、イベントを読み出す能力において柔軟である。一つの実施形態において、ネットワーク機器間での管理情報の交換を容易にするために、シンプルネットワークマネジメントプロトコロ(SNMP)などのアプリケーションレイヤプロトコルを使用することができる。監視システムは、ログファイルなどの所与のイベントソースへのプログラムによる入力(読み出し)アクセスを必要とするだけである。ログファイルの場合、ログファイルは、ローカルなハードディスクドライブ、ネットワーク上のハードディスクドライブを介してアクセス可能であるか、ftpなどのファイル転送プロトコルによりローカル上に転送するか、或いはその両方を行うことができる。一つの実施形態において、監視システムは、関連するイベントにアクセスするために、ODBCなどのプロトコルを介してローカル又はリモートのデータベースからの読み出しに関しても十分に柔軟である。それに代わって、一つ以上のデータベースから系統的な抽出によりログファイルを生成した後、生成したログファイルをftpにより監視システムのローカルドライブに転送することができる。別の実施形態において、監視システムは、シンプルオブジェクトアクセスプロトコル(SOAP)などのメッセージプロトコルを用いて、イベントを受信するためのWebサービスインタフェースを備えることができる。前述した通り、監視システムは、全体として柔軟であり、イベントソースへのプログラムによるアクセス(読み出し)を採用している。
2.イベント内容及びフォーマット
一つの実施形態において、監視システムは、如何なるイベントログも処理することができる一方、(例えば、組織に知られた)既知のユーザによって直接的又は間接的に生成されたイベントを処理した後、それらのイベントを既知のユーザと関連付ける能力を有する。ユーザと関連するイベントに関して、追跡すべきイベントの一つの一般的なフォーマットを以下で略述する。当然のことながら、そのようなフォーマットは単なる例であると解釈すべきあり、当業者は、様々な代替及び変化形態が有り、それらの全てが本発明の一部として考えられると理解している。一つの一般的なフォーマットには、[日時スタンプ]、[ユーザ識別子]、[トランザクションタイプ]、「イベントテキスト」、[リクエストアドレス]、[ターゲットアドレス]、[ステータスコード]、[その他のデータ]が含まれる。これら以外のフォーマットも考えられる。
当業者が理解する通り、イベント当りの行数、フィールドの順序、デリミタ、フィールドフォーマット等は、アプリケーション、アクセスサーバ、データベース等毎に変化する。監視システムは、様々なイベントの取り扱いに関して十分にコンフィギュレーション可能である。「ユーザ識別子」フィールドは、ユーザID、電子メールアドレス、電話番号、データベースID、シングルサインオンID、TCP/IPアドレス、MACアドレス、セッションID又はイベントを既知のユーザと関連付けるその他の識別子とすることができる。識別子が適用可能であるかは、ユーザIDポリシー、アプリケーション環境、ネットワーク配置等を含む組織の環境に依存する。監視システムは、そのような変数に関してイベントを既知のユーザと関連付けることができることに関して十分にコンフィギュレーション可能である。
3.イベントの定義
一つの実施形態において、監視システムは、前述したイベントを処理する能力に関して柔軟である。一つの実施形態において、本システムは、フィールド、フィールドの順序、フィールドのデリミタ、イベント当りの行数、文字数、フィールドタイプ、話し言葉タイプなどの所与のイベントタイプの変数を規定するために使用するXMLベースの記述言語を有する。同様に、(ログファイルなどの)所与のイベントソース内に複数のイベントタイプを記述することもできる。一つの実施形態において、(ディレクトリ内に定義が有る)所与のイベントタイプを処理する際に何時でも使用することができるように、イベントタイプの定義を監視システムの既知のディレクトリに保持することができる。
4.システムデータベーススキーム
一つの実施形態において、監視システムは、処理するイベントタイプに対応する一連のスキームを有する。そのようなスキームは、データベーステーブルを生成するために使用することができる。例えば、「http共通ログフォーマット」は、監視システムが保持し、「http共通ログフォーマット」タイプのイベントを処理する際に何時でも共通して再利用することができる予め定義されたスキームを有する。別の実施形態において、監視システムは、特定のイベントタイプにユニークなフィールドをイベントの保存フォーマットと関連付けるためのスキームを使用する能力を備えている。言い換えると、本システムは、前述した標準フォーマットの一部ではないイベントフィールドの取り扱いに関して十分にコンフィギュレーション可能である。例えば、キーワード又は或る英数字列にもとづくプログラム論理をイベントデータレコード内のフィールドを識別するために使用して、正規化されたレコードの標準保存フォーマットと関連付けることができる。
一つの実施形態において、監視システムは、前述した通り多くの使用可能なフィールドをここで定義したスキームとテーブルにマッピングすることと、イベント特有のフィールドをイベントタイプ特有のスキームで記述されたテーブルとフィールドにマッピングすることとによって、イベントを正規化する。別の実施形態において、監視システムは、処理してシステムのデータベースに保存するイベント毎にユニークな識別子を生成して、次の索引付け、相関及び報告のために使用することができる。一つの実施形態において、好適に索引付けされたフィールドは、保存データへのアクセス、報告の生成及びイベントの処理の際に効率を向上させることが可能なスキーム定義の一部である。正規化されたイベントは、一般的にイベントレコードに含まれるデータと同じデータを含むが、データベース用にフォーマット及び索引付けすることができる。
一つの実施形態において、監視システムは、(データベース132内に)組織の既知のユーザ及び関連する識別子に対応するテーブルを保持する。一つの実施形態において、監視システムは、ユーザ及び識別子の保持のために既存の識別子管理システムを発展させることに関して十分に柔軟である。そのようなシステムには、コンピュータアソシエイツ、BMC、サン、IBM、ノーベルなどのベンダーによるアクティブディレクトリ又は識別子管理システムなどのディレクトリが含まれる。一般的に、本システムは、如何なる種類の既存の識別子ソースの発展及びリポジトリ内での識別子自体の保持に関して十分に柔軟である。
5.既知のユーザとの関連付け
一つの実施形態において、監視システムは、イベントを処理する際に、システムの処理環境及びアプリケーションに依存して、イベントを既知のユーザとリアルタイムで関連付けることに関して柔軟である。別の実施形態において、本システムは、オフラインプロセスの間にイベントを既知のユーザと関連付けることができる。両方の場合の結果において、本システムが処理するイベントは、組織の既知のユーザと関連付けられて、ここで考察している通り、セキュリティ報告、悪用検知、監視等のために使用される。
本発明の一つの実施形態において、図2は、イベント210を既知のユーザのレコード205と関連付けるプロセスの図面を図示している。監視システムは、前に略述した一般的なプロセスによって、正規化されたイベント210を生成している。一つの実施形態において、正規化されたイベント210は、一つ以上のユーザ識別子を含むことができ、その例として、電子メールアドレス、ユーザID、データベースID、電話番号、TCP/IPアドレス、MACアドレス、シングルサインオンID、セッションID又は組織環境を与えられたユーザとユニークに関連付けることが可能なその他のIDが含まれる。
一つの実施形態において、本システムは、ユーザ及び既知のユーザのレコード205に例が図示されている関連する識別子のディレクトリ、データベース又はその他のリポジトリ122にアクセスする。そのため、図2に図示されている通り、特別なユーザを広範囲の識別子と関連付けることができる。そのような識別子の中の幾つかは持続的に保持される一方、セッションIDなどのその他の識別子は、ユーザ特有のセッションが存在するか、或いは直前に生成されていた間の短期間しか保持されない。同様に、例えば、ユーザが複数の電子メールアドレス又は複数の電話番号を持っている場合に、特定のタイプの識別子の異なる変化形態を保持して、それらの全てをユーザリポジトリ122内に保存することもできる。
本発明の一つの実施形態において、監視システムは、一致した識別子にもとづきイベント210を既知のユーザのレコード205と関連付ける。本発明の一つの実施形態において、イベント210とユーザレコード205は、正規化され、関連付けられたイベントを含むリポジトリ132内で互いに連携させることができる。セッションID及び同様の一時的な識別子は、イベントレコードから収集して、たとえイベント210がイベント210を既知のユーザのレコード205と直接連携させるための識別子を持っていなくとも、イベント210が既知のユーザのレコード205と関連付けられているように保持することができる。そのような一時的な識別子は、ユーザリポジトリ122又はユーザリポジトリ122内の既知のユーザのレコードと逆向きに連携させることが可能なその他のリポジトリ内のレコードとして保持することができる。このフローの或る時点において、(一時的なIDの例としての)セッションIDを或るログイベントのユーザと連携させるべきである。例えば、VPNは、典型的には、ユーザログインイベントと関連してセッションIDを生成し、それに続いてそのユーザと関連するイベントにセッションIDの「ログを取る」だけである。しかし、監視システムは、初期のユーザログインイベントにもとづきセッションIDを追跡して、イベントログのセッションIDのみによって識別されるユーザのアクティビティをその特定の既知のユーザに関連付けて追跡することができる。
本発明の別の実施形態において、ユーザレコードと関連付けられないイベントは、報告と追加処理を可能とする特別なテーブルの下でデータベースに保存することができる。
本発明の一つの実施形態において、図3は、イベント構文解析に使用されるXML定義301の例を図示している。
本発明の一つの実施形態において、悪用及び/又は乱用の検知は、関連付けられなかったイベントの分析により実施することができる。幾つかの悪用及び乱用シナリオは、イベントとユーザとの関連付けの前に検知することができる。それによって、監視システムが、組織のリソースを監視して、特定のユーザが怪しいと特定される前に、高いリスクと考えられる挙動を一般的に検知することが可能となる。例えば、監視システムは、次の手法の幾つかを用いて、警報及び警報レコードを発出することができる。
・或るユーザ又は特定のカテゴリのユーザが、所定の時間間隔に渡って或る量のトランザクション又はアクティビティを実施する場合、
・或るユーザ又は特定のカテゴリのユーザが、予め定義された順番のトランザクション又はアクティビティを実施する場合、
・或るユーザ又は特定のカテゴリのユーザが、一日の中の予め定義された時間外にリソースにアクセスする場合、
・或るユーザ又は特定のカテゴリのユーザが、データベースフィールド、ファイル、アプリケーションフィールドなどの予め定められたリソースを変更、或いはそのようなリソースにアクセスする場合、
・或るユーザ又は特定のカテゴリのユーザが、病院に登録された有名人と関連するレコードや特定の顧客又はパートナーに対応するレコードなどの予め定められたエンティティと関連するリソースを変更、或いはそのようなリソースにアクセスする場合。
本発明の別の実施形態において、悪用及び/又は乱用の検知は、関連付けられたイベントの分析により実施される。幾つかの悪用及び乱用シナリオは、イベントがユーザと関連付けられた場合に検知することができる。例えば、監視システムは、次の手法の幾つかを用いて、警報及び警報レコードを発出することができる。
・或るユーザが、その組織との関係(職能、サプライヤとの関係、顧客との関係など)の予め定義された特性外のアクティビティ又はトランザクションを実行する場合、
・或るユーザが、そのユーザの行ってきた挙動の履歴(又はそのユーザが属するユーザカテゴリ)と整合しないアクティビティ又はトランザクションを実行する場合、
・予め定められたユーザが予め定義されたアクティビティ、トランザクションを実施するか、或いはシステムにアクセスする場合、
・或るユーザが過去のアクセスと整合しないアドレス(TCP/IP、MAC、ドメイン等)からリソースにアクセスする場合、
・或るユーザが、そのユーザを前に怪しいと判断されたユーザと関連付けるアクティビティ又はトランザクションを実施する場合。
業務情報システムの悪用の例
業務情報システムの悪用は、多くの形態を取り、異なる複雑な関係者及び技法と関連する。一つの実施形態において、監視システムは、特定の形態の悪用に適用するか、或いは複雑な形態の悪用に対する一般的なプラットフォームとして使用することができる。一つの実施形態において、監視システムは、組織の既知のユーザ(又はユーザ識別子)と関連して実施される悪用に関する監視、報告、事故調査を実施することができる。そのような悪用シナリオは、最新の形式のファイヤウォール、侵入検知及び防止、認証/許可技法を用いても検出することができない場合が有る。そのようなシナリオは単なる例であり、当業者は様々な代替及び変化形態が有ることを認識しており、それらの全ては本発明の一部と考えられることに留意されたい。
1.顧客レコードの販売
多くの産業において、顧客情報は金になる情報である。長期保健医療、モーゲージ、高額財務サービスは、何れも従業員、パートナー、サプライヤ及びその他の既知のエンティティが既知のユーザIDを用いてアプリケーション、データベース等にアクセスする産業の例である。悪意のユーザは、そのような情報を競争相手又はその他の業者に売り渡す場合が有る。本発明の一つの実施形態において、監視システムは、乱用状況が起こっているのかを、例えば、営業マンがその得意先の何れとも関連しない情報にアクセスしているのかを事前に決定するために、如何なるユーザが如何なる顧客データにアクセスしているのかを追跡することができる。
2.保護されている健康情報の許可されない開示
保健医療分野において、保護されている健康情報(PHI)へのアクセスは、法律によって保護されている。一般的にシステムにアクセスする人は、PHIにアクセスして、第三者と協力して、犠牲者を恐喝する、或いは法律で保護されている機密情報を見るために、隣人、関係者、仕事仲間、有名人又は責任者に関するPHIを取得することができる。医療での悪用も一般的な行為となっており、嘘の、或いは大げさな要求を共謀して出してくる共犯者一味を巻き込んでいる場合が有る。そのようなスキームでは、既知のユーザ/信頼されたユーザに医療提供者内のシステムを騙すように要求して来る。本発明の一つの実施形態において、監視システムは、如何なるユーザが有名な患者に関するデータにアクセスしているのかを精密に追跡するか、或いはユーザグループが一人以上の患者に関するデータにアクセスして、アクセスしたデータを組み合わせて乱用する可能性が有るのかを追跡することができる。
3.注文の宛先住所の変更
電子的に注文を処理する組織では、従業員などの既存のユーザが「宛先」住所を変更する場合が有る。その場合、従業員は、従業員が注文品を横取りして注文品を公開市場で売りさばくための宛先に住所を変更する可能性が有る。典型的には、そのような悪用行為は、本来の購入者が請求に対する支払いを拒否するか、或いは注文が届かなかったと苦情を言って来るまで検知されない。一つの実施形態において、監視システムは、如何なるユーザが宛先住所を変更しているのか、或いはユーザが通常通り宛先住所を変更しているのかを追跡することができる。従来技術を用いてイベントをトランザクションと関連付けるには、多くの時間がかかる。
4.退社する従業員による顧客データベースの略取
退社する営業マンが顧客データベース及び有望な販売ルートの電子コピー又は印刷したコピーを取得することが良く知られている。彼らは、そのようなデータを競争会社と関係する新しい職場で使用する可能性が有る。本発明の一つの実施形態において、システムは、報告及び一般的な検知能力を提供し、アプリケーション及びデータベースアクティビティを調査対象のユーザと関連付けることができる。本発明の一つの実施形態において、監視システムは、営業マンが比較的大量の営業レコードにアクセスしているか否か、或いは営業マンがその営業マンと関係のない顧客のレコードにアクセスしているか否かを追跡することができる。
5.会社のエクストラネット又はVPNを介した認証の弱点の乱用
会社のエクストラネット又はVPNは、最も一般的にはユーザIDとパスワードにより認証されている。会社のパートナーとして、既知のユーザが価格表、在庫状況、商品保管庫の住所、販売促進策等の機密情報にアクセスする場合が有る。ユーザが「パートナー」会社から退社して、競争会社に転職した場合、そのユーザは、依然として同じユーザIDとパスワードを使用して、機密情報に自由にアクセスすることができる。本発明の一つの実施形態において、監視システムは、ユーザIDを特定のIPアドレス(又はドメイン)と関連付けて、そのIPアドレス又はドメインが競争相手又はパートナー会社でないエンティティのものである場合に警報を発出することができる。
6.債券トレーダーの否認防止
債券トレーダーは、多くの場合マーケットの動きを期待して思惑で有価証券を購入する。マーケットが期待しなかった動きをする事象では、債券トレーダーは電子的な注文の指標を否認する場合が有る。本発明の一つの実施形態において、電子的なトランザクションの指標及びステージを既知のユーザ(トレーダー)と関連付けて、そのようなトレーダーによる悪意の要求を拒否することができる。
7.金融インサイダー取引団
インサイダー取引団は、アプリケーション、電子メール、電話、ファックスを含む様々な電子システムを利用する多くの協力者から構成される。本発明の一つの実施形態において、監視システムは、怪しい挙動を検知するために使用するか、或いは全ての共謀者を特定するための事件の捜査に使用することができる。典型的なシナリオは、一人の構成員が何らかの電子的な手段により外部ソースから「内部情報」を受信することである。次に、第一の情報源が、別の構成員と協力して、不正に取得した情報にもとづき不法な利得を生み出す取引を行う。本発明の一つの実施形態において、監視システムは、従来のインサイダー取引検知方法を用いて実現可能であった段階よりも大幅に早い段階でそのようなアクティビティを検知することができる。
8.Webサービス
業務情報システムは、多くの場合Webサービスとして公開されている。認証及び許可標準が確立している一方、従来システムを悩ましている同じ悪意のユーザが多くの場合公開されているWebサービスを利用する。本発明の一つの実施形態において、システムは、報告及び一般的な検知能力を備えており、アプリケーション及びデータベースアクティビティを調査対象のユーザと関連付けることができる。
本発明の一つの実施形態において、図4は、退社する従業員のアクティビティにもとづき乱用を検知するために監視システムを使用する際のオペレーションを図示している。一つのシナリオ例において、組織の従業員である営業マンが競争会社の同様の地位を受けていたとする。その従業員は、組織に退社する意志を通報せず、通常通り働き続けている。その従業員は、次の職場で新たなビジネスの助けになる出来るだけ多くの情報源を集めることを決心している。
1.顧客及び見込み客のレコードへのアクセス
従業員は、その職務の一部として、組織の顧客及び見込み客に関する詳細な情報にアクセスする。顧客及び見込み客のレコードは、組織のVPN及びエクストラネットを介して利用可能なCRM(カスタマ・リレーションシップ・マネッジメント)アプリケーションに保持されている。CRMアプリケーションは、レコードへのアクセスを「レコードの所有者」のみに制限するための特権管理システムを有する。しかし、営業及び支援プロセスの協力し合う特性のために、そのような特徴はめったに使われず、全ての従業員が全てのレコードにアクセスしている。
2.リモートによるデータ略取
組織と活発に関係している顧客及び見込み客に関する詳細を知ることは、次の職場での時間の節約と新たなビジネスを作り出す際に有益である。従業員は、オペレーション405で会社のVPNを介してCRMアプリケーションにアクセスし、オペレーション410で組織の顧客及び見込み客のデータを略取することを決心する。従業員の職場は、組織の本社から離れた遠隔の職場に有り、そのため従業員は、楽に午前中全部を使ってCRMシステムにアクセスし、125以上の顧客及び見込み客レコードを電子的に略取することができる。次に、電子的に略取された顧客及び見込み客レコードは、個人的な「ホットメイル」の電子メールアカウントに転送される。従業員は、後で更に200のレコードにアクセスするつもりでいた。
3.検知
本発明の一つの実施形態において、監視システムは、CRM、VPN及びインターネットプロキシログへのアクセスを監視するように構成されている。監視システムは、特定の時間期間(例えば、4時間)に50以上の顧客及び見込み客レコードがアクセスされたイベントにおいて、セキュリティチームに警報を発出するように構成することができる。そのようにして、退社する従業員のアクティビティがオペレーション415でセキュリティ警報を発出させることとなる。
4.捜査
本発明の一つの実施形態において、監視システムは、オペレーション420と425で、警報が発出されると同時に科学的捜査を進める。セキュリティチームは、潜在的な事件の警報を受けると、過去30日以降のVPN、CRM及びインターネットプロキシのイベントを収集した報告を監視システムから取得する。一つの実施形態において、セキュリティチームは、そのような報告から、従業員が会社のVPNを介してリモートで125の顧客及び見込み客レコードにアクセスしたことと、従業員が同じ期間中にホットメイルアカウントに一連の電子メールも送信していたこととを確認することができる。一つの実施形態において、そのような分析は、悪用/乱用状況が検知されたことを確認するために、自動的な規則を用いて実施することができる。
本発明の一つの実施形態において、次に、セキュリティチームは、そのような情報又は自動警報を組織の人事部に転送することができる。次に、オペレーション430において、組織は、そのような事実を従業員に突きつけて、将来的な損害を限定するとともに、組織が説明した上で従業員の分離を行うことが可能である。それに代わって、監視システムは、従業員による組織のシステムへのアクセスを自動的に無効化又は保留して、従業員による状況を更に評価する前に更なる損害を防止することができる。
本発明の一つの実施形態において、図5は、コンピュータ網などの汎用電子ネットワーク10を介して接続されたコンピュータシステムのコンポーネントを図示している。コンピュータ網10は、インターネットなどのバーチャルプライベートネットワーク又は公衆網である。図5に図示されている通り、コンピュータシステム12は、システムメモリ18と接続された中央処理装置(CPU)14を有する。システムメモリ18には、オペレーティングシステム16、BIOSドライバ22、アプリケーションプログラム20が保存されている。更に、コンピュータシステム12、マウス、キーボード32などの入力機器24と、プリンタ30、ディスプレイモニタ28などの出力機器と、データベース21などのパーマネントデータ記憶装置を有する。コンピュータシステム12は、電子ネットワーク10と通信するために、イーサネットカードなどの通信インタフェース26を有する。別のコンピュータシステム13と13Aも、ワイドエリアネットワーク(WAN)又はインターネットなどの相互接続網として実現することが可能な電子ネットワーク10と接続することができる。
一つの実施形態において、コンピュータシステム12は、図1〜4と関連して、ここで考察しているロジック及びモジュールを実装したプログラムコードを含む、監視システム又はここで考察している構成部分を実装した監視サーバ50を有する。当業者は、そのようなコンピュータシステムが、図1〜4と関連して、ここで考察しているプロセスを実施するように論理的に構成、プログラミングすることが可能であることを理解している。その他の多くの同様の構成が当業者の考え得る範囲内に有り、そのような如何なる構成も本発明による方法及びシステムにおいて使用可能であると考えられることを理解されたい。更に、ここで考察している本発明による方法の或る実施形態の工程を実施するように、ネットワーク化されたコンピュータシステムをプログラミング、構成することは、当業者の考え得る範囲内に有ると理解されたい。
一つの実施形態において、監視サーバ50は、コンピュータユーザに対応するデータを提供するユーザ識別子モジュール51と、悪用検知情報及び乱用検知情報を提供するモデル化データ提供モジュール52と、アプリケーションレイヤデータとコンピュータユーザと関連するトランザクション及びアクティビティに対応するデータを提供するデータ捕捉モジュール53と、アプリケーションレイヤデータとコンピュータユーザと関連するトランザクション及びアクティビティに対応するデータを抽出する構文解析エンジン54と、構文解析エンジンによって抽出されたデータを正規化する正規化エンジン55と、正規化されたデータを関連付ける相関モジュール56と、関連付けた情報とモデル化データを分析する分析モジュール57と、関連付けた情報が悪用検知情報と乱用検知情報の中の少なくとも一つに対応するか否かを決定する決定モジュール58と、コンピュータユーザ識別子、各コンピュータユーザと関連する予め定義された職務及びコンピュータユーザに対して規定された予め定義された関係の中の一つ以上にもとづきユーザ特有の悪用検知情報に関して関連付けた情報を分析するユーザ別分析モジュール59と、警報を発出する警報発生モジュール60とを有する。より多い数又はより少ない数のモジュールも使用可能であることが容易に分かる。当業者は、本発明が個々のモジュール、二つ以上の前述した別個のモジュールの特徴を統合した単一のモジュール、個々のソフトウェアプログラム及び単一のソフトウェアプログラムの中の一つ以上を用いて実現可能であることを容易に理解している。
本発明の一つの実施形態において、図6は、医療保険の相互運用性と説明責任に関する法律(HIPAA)の違反、識別子の窃盗、保険証番号の窃盗などのデータの悪用又は乱用に関する事件の自動的な検知を可能とする規則エンジン又はプロセス600を図示している。そのような規則は、当該データと関連するトランザクション及び/又はアクティビティ、例えば、データを保存しているシステムのユーザ又は非ユーザによるデータへのアクセスを監視することができる。プロセス600は、当該データを有する一つ以上のデータベースを含むコンピュータ環境でのデータと関連するトランザクション及び/又はアクティビティから起こる事象を捕捉、構文解析、相関、正規化、分析及び決定するための様々なモジュールを有する、システム12と関連して前述したコンポーネントの中の一つ以上を利用することができる。規則エンジン600は、特定のタイプのコンピュータ環境又はデータ、或いは特定のタイプのデータの悪用又は乱用に限定することを意図するものではない。しかし、データタイプ及びデータの悪用又は乱用タイプの少なくとも一部は、データ又はコンピュータ環境と関連するトランザクション及び/又はアクティビティを監視するための規則の一つ以上の判断基準のベースとすることができる。
ステップ605において、規則は、ユーザ及び/又は特定のタイプのデータの悪用又は乱用に関する特別な知識を有するコンサルタントなどの第三者によって生成される。そのような規則は、悪用事件及び乱用事件の定義及び/又は検知のためのアルゴリズム、データベースクエリ及びデータ分析方法の中の一つ以上を含むことができる。そのような規則の生成又は制定のために様々な判断基準を使用することができる。そのような判断基準は、データの悪用又は乱用を示すトランザクション及び/又はアクティビティと関連付けることができる。例えば、プロセス600は、次のパラメータの中の一つ以上にもとづき規則を制定又は生成することができる。
・データ範囲や使い易い時間設定、例えば、昨日、先月、前の四半期などのタイムフレーム判断基準を利用することができる。
・発見したイベント数にもとづく数量閾値判断基準を利用することができる。数量閾値判断基準は、タイムフレーム判断基準と関連して使用することができる。
・ユーザにイベントソースの選定を可能とし、次に、ユーザに一つのフィールドとそのフィールド値の選定を可能とするフィールド値照合判断基準を利用することができる。
・ユーザにカテゴリと照合パターンの選択を可能とする分類別フィールド値照合判断基準を利用することができる。
・ユーザに全ての利用可能なアプリケーションを通じて検索するための共通ユーザ名の選定を可能とする共通ユーザ名照合判断基準を利用することができる。共通ユーザ名照合判断基準は、各アプリケーション用のユーザデータが取り込まれる場所に実装することができる。
また、ステップ605では、ユーザは、規則が起動された際に使用することができる通報又は警報に関する判断基準を指定することが可能である。一つの実施形態において、規則が起動されとことを通報すべきエンティティの電子メールアドレスを指定することができる。プロセス600は、警報に関する初期値として、規則制定者の電子メールアドレスを使用することができる。一つの実施形態において、ユーザが如何なる規則が起動されたのかが分かるように電子メールで送信すべきテキストや提供可能な特定の情報などの通報の形式を指定することができる。
本規則の範囲には、単一システム内での一致の発見などの単一のイベントソースを含めることができる。例えば、単一イベントソースの規則は、タイムフレーム及び/又は数量閾値判断基準によるパターン照合を許容するものである。別の例として、規則は、所定の時間間隔に渡っての所定の数の医療レコードへのアクセスが行われた時点を決定することができる。そのような挙動は、保険証番号の窃盗を示す場合が有る。本規則の範囲には、複数のシステムに渡る一致の発見などの複数のイベントソース規則を含めることができる。例えば、複数のイベントソースの規則は、共通ユーザ名又は特定のデータカテゴリへのアクセスを監視することができる。
ステップ610において、プロセス600がリアルタイムによる事件の検知を実施するのか否かを決定することができる。リアルタイムによる事件の検知は、各イベントが読み出される毎に、かつデータベースに挿入される前に、規則を処理するものである。プロセス600は、リアルタイムによる事件の検知をステップ600で制定された規則の中の幾つか、ほとんど又は全部に適用することができる。
ステップ615において、リアルタイムによる事件の検知に依存しない規則に対して、プロセススケジュールを立てることができる。そのようなスケジュールは、時間で区切るか、システムアクティビティなどのスケジュールを決定するためのその他の要因を利用するか、或いはその両方とすることができる。特定のスケジュールを規則の判断基準と関連付けることができる。例えば、所定の時間間隔に渡って所定の量の医療レコードへのアクセスを監視するための規則のスケジュールを所定の時間周期で処理されるように立てることができる。そのような規則のスケジューリングに使用することができるアプリケーションの例は、クオーツである。
本開示は、規則の調整可能又は動的なスケジューリングも考慮している。ユーザは、規則のスケジューリングのために、一つ以上の判断基準を指定することができ、スケジュールを立てて、後で一つ以上の判断基準にもとづき自動的に調整することができる。例えば、システムアクティビティやアクセス可能なデータ量などの要因にもとづき、同じ規則の処理間の時間間隔を調整することができる。
ステップ620において、規則を実行又は処理することができる。一つ以上の一致を発見するための規則は、図5と関連して前述したシステム12のデータベースなどにおいて、規則のヒット又は起動を表すデータベースエントリを生成することができる。そのようなヒットによって、ステップ625での通り、通報又は警報を発出して、指定された受信者に送信することができる。
警報又は通報の受信にもとづき、ユーザは、ステップ630での通り、起動された規則又は複数の規則に付随する追加情報のために、システム12にアクセスすることができる。そのような追加情報は、規則が起動された特定の時間と、規則が起動されたその他の時間の全てを提供することができる。ユーザが、システム12にアクセスした際にヒットに付随する関連情報に直結できるように、特定のリンクを通報又は警報に配備することができる。
本発明の一つの実施形態において、図7は、規則プロセス600に関するユーザインタフェース700を図示している。規則管理ページ又はウィンドウ705は、定義された規則の全てをユーザに提示することができる。ユーザは、規則の制定、修正又は削除のために、規則管理ページ705を使用することもできる。新しい規則を定義するための情報を入力するのに、規則定義ページ又はウィンドウ710を使用することもできる。規則スケジュール管理ページ又はウィンドウは、規則のスケジュールの全てをユーザに提示することができる。規則スケジュール管理ページ715は、新しい規則の制定、既存のスケジュールの修正及びスケジュールの削除の中の一つ以上のために使用することもできる。規則を起動するスケジュールを定義するために、規則スケジュール定義ページ又はウィンドウ720を使用することができる。
規則ヒット管理ページ又はウィンドウ725は、一致した全ての規則及び規則毎の一致数をユーザに提示することができる。規則ヒット要約スクリーン又はウィンドウ730は、特定の規則のヒットに関するデータベースへの全てのエントリをユーザに提示することができる。規則ヒット要約スクリーン730は、規則が起動された日と、その規則を起動させた実際のイベントを表示することができる。規則ヒットイベントスクリーン又はウィンドウ735は、規則を起動させた一つ以上のイベントをユーザに提示することができる。これらのページ又はウィンドウ間及びそれらのページ又はウィンドウ上の情報間の操作は、プルダウンメニューや新しいウィンドウなどの様々な技法により行うことができる。本開示は、前述した各機能に対して同じウィンドウを使用することも考慮している。
図8と関連して、システム12又はそのモジュールは、様々な悪用又は乱用シナリオを検知するために、監査ログ1100と組み合わせて使用することができる。例えば、従業員の自己評価、家族構成員の調査、VIPの調査、患者である仕事仲間の調査、その他家族全体の調査(隣人等)を検知するために、前述した様々な判断基準にもとづき監査ログ1100を分析することができる。そのような判断基準に、大量の請求書/連絡先の修正、大量のダウンロード/印刷機能、「非常事態」機能、タイムフレーム内での患者又はユーザに関する高いアクティビティレベル及び尋常でないログインアクティビティの中の一つ以上を含めることができる。当業者は、監査ログにもとづき悪用及び乱用を検知するために、その他の判断基準及びその他の判断基準の組み合わせを使用することができる。
図9と関連して、システム12又はそのモジュールは、様々な悪用又は乱用シナリオを検知するために、監査ログ1100と選定した患者データ1200を組み合わせて使用することができる。例えば、一年以上前又はその他の特定の時間期間に退院した患者或いは通常は年に一度医者の所に来るが、突然年に25回又はそれ以外の尋常でない回数医者の所に来る患者へのアクセスを含む判断基準にもとづき、監査ログ1100と選定した患者データ1200を分析することができる。
図10と関連して、システム12又はそのモジュールは、様々な悪用又は乱用シナリオを検知するために、監査ログ1100と選定したユーザデータ1300を組み合わせて使用することができる。例えば、遠隔の医師のスタッフがその医師の治療を受けていない患者にアクセスしたり、通常業務範囲外の患者にアクセスしたり、通常の勤務シフト外に患者にアクセスしたり、無給のユーザが給与機能にアクセスするなどを含む判断基準にもとづき、監査ログ1100と選定したユーザデータ1300を分析することができる。タイムフレーム内で非常に高いアクティビティレベルの患者、タイムフレーム内で非常に高いアクティビティレベルのユーザ、ログインセッションが異常に長いユーザ、ログイン失敗回数が非常に多いユーザ、血液型の変更などの特殊な機能を含むその他の判断基準を使用することもできる。
前に言及した通り、本発明の範囲内の実施形態には、コンピュータで実行可能な命令又はそこに保存されたデータ構造を持ち運ぶ、或いは保持するためのコンピュータで読み取り可能な媒体を有するプログラム製品が含まれる。そのようなコンピュータで読み取り可能な媒体は、汎用又は専用のコンピュータがアクセスすることができる入手可能な媒体とすることができる。例を挙げると、そのようなコンピュータで読み取り可能な媒体には、RAM、ROM、EPROM、EEPROM、CD−ROM又はその他の光学ディスク記憶装置、磁気ディスク記憶装置又はその他の磁気記憶装置、或いは汎用又は専用のコンピュータがアクセスすることができるコンピュータで実行可能な命令又はデータ構造の形式の所望のプログラムコードを持ち運ぶ、或いは保存するために使用可能なそれ以外の媒体が含まれる。ネットワーク又はその他の通信接続(有線、無線又は有線と無線の組合せのいずれか)を介してコンピュータに情報が伝送又は提供された場合、コンピュータが、そのような接続をコンピュータで読み取り可能な媒体として看做すのが正しい。従って、そのような接続をコンピュータで読み取り可能な媒体と呼ぶのが正しい。前記の組合せもコンピュータで読み取り可能な媒体の範囲内に含まれる。コンピュータで実行可能な命令には、例えば、汎用コンピュータ、専用コンピュータ又は専用処理装置に或る機能又は機能グループを実行させるための命令及びデータが含まれる。
一つの実施形態において、ネットワーク化された環境でコンピュータが実行するプログラムコードなどのコンピュータで実行可能な命令を含むプログラム製品によって実現される一般的な意味での操作ステップにより本発明を説明した。一般的に、プログラムコードには、特定のタスクを実行する、或いは特定の抽象データタイプを実装するルーチン、プログラム、オブジェクト、コンポーネント、データ構造等が含まれる。コンピュータで実行可能な命令、関連するデータ構造及びプログラムモジュールは、ここで開示した方法の工程を実行するためのプログラムコードの例を示している。そのような実行可能な命令又は関連するデータ構造の特定のシーケンスは、そのような工程に記述された機能を実現するための相応の操作の例を示すものである。
本発明は、幾つかの実施例において、プロセッサを備えた一つ以上のリモートコンピュータとの論理接続を用いるネットワーク化された環境で実施される。論理接続には、ローカルエリアネットワーク(LAN)及びワイドエリアネットワーク(WAN)が含まれるが、ここでは例示のために挙げており、それらに限定されるものではない。そのようなネットワーク環境は、事務所又は企業に跨がるコンピュータネットワーク、イントラネット及びインターネットにおいて一般的である。当業者は、そのようなネットワークコンピューティング環境が典型的にはパーソナルコンピュータ、ハンドヘルド機器、マルチプロセッサシステム、マイクロプロセッサベース又はプログラマブル家電製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータ等を含む多くの形式のコンピュータシステム構成を包含するものであることが分かっている。本発明は、通信ネットワーク(有線接続、無線接続、或いは有線接続と無線接続の組合せ)を介して接続されたローカルとリモート処理装置がタスクを実行する分散コンピューティング環境においても実施することができる。分散コンピューティング環境においては、プログラムモジュールをローカルとリモートの両方の記憶装置に配置することができる。
本発明の別の実施形態は、当業者がここに開示した本発明の明細書及び実際の形態を考慮することから明らかとなる。本明細書を例示としてのみ考え、本発明の真の範囲及び技術思想がここで開示した内容及びそれと同等物によって表されることも意図している。

Claims (20)

  1. コンピュータ環境でのデータの悪用又は乱用を検知する方法であって、
    データと関連する少なくとも一つのトランザクション及びアクティビティを監視するための規則を生成して、その規則が、データの悪用及び乱用を示す少なくとも一つのトランザクション及びアクティビティに関する少なくとも一つの判断基準を含むようにする工程と、
    当該の少なくとも一つの判断基準を満たした時にイベントが発生し、そのイベントが起こったか否かを決定するために、当該の少なくとも一つのトランザクション及びアクティビティに規則を適用する工程と、
    イベントが起こった場合に一つのヒットを保存する工程と、
    イベントが起こった場合に通報を発出する工程と、
    規則に関するヒットの集合体を提供する工程と、
    を有する方法。
  2. 当該の少なくとも一つのトランザクション及びアクティビティに規則を適用するスケジュールを立てる工程を更に有する請求項1に記載の方法。
  3. 当該の少なくとも一つのトランザクション及びアクティビティに規則をリアルタイムで適用するか否かを決定する工程と、
    規則をリアルタイムで適用しない場合、当該の少なくとも一つのトランザクション及びアクティビティに規則を適用するスケジュールを立てる工程と、
    を更に有する請求項1に記載の方法。
  4. 当該の通報の受信者を指定する工程と、
    当該の通報で送信するメッセージを生成する工程と、
    を更に有する請求項1に記載の方法。
  5. 時間パラメータ、数量パラメータ及びユーザパラメータの中の少なくとも一つにもとづき、当該の規則に関する少なくとも一つの判断基準の少なくとも一部を選定する工程を更に有する請求項1に記載の方法。
  6. 複数のデータベースのデータと関連する少なくとも一つのトランザクション及びアクティビティに規則を適用する工程を更に有する請求項1に記載の方法。
  7. 時間パラメータと数量パラメータにもとづき、当該の規則に関する少なくとも一つの判断基準の少なくとも一部を選定する工程を更に有する請求項1に記載の方法。
  8. 少なくとも一つの判断基準を選定するための規則管理ページを提示する工程と、
    選定した少なくとも一つの判断基準にもとづき規則の少なくとも一部を生成する工程と、
    を更に有する請求項1に記載の方法。
  9. 当該の少なくとも一つのトランザクション及びアクティビティに規則を適用するスケジュールを選定するための規則スケジュールページを提示する工程と、
    当該のイベントが起こったか否かを決定するために、当該のスケジュールにもとづき当該の少なくとも一つのトランザクション及びアクティビティに規則を適用する工程と、
    を更に有する請求項8に記載の方法。
  10. 当該の規則をリアルタイムで適用するスケジュールを立てる工程を更に有する請求項1に記載の方法。
  11. 当該の通報の受信者の電子メールアドレスを指定する工程を更に有する請求項1に記載の方法。
  12. コンピュータ環境でのデータの悪用又は乱用を検知するシステムであって、このシステムが、
    データと関連する少なくとも一つのトランザクション及びアクティビティに関する、そのデータの悪用及び乱用を示す少なくとも一つの判断基準を選定するとともに、当該の少なくとも一つのトランザクション及びアクティビティを監視するための規則を適用するスケジュールを選定するためのユーザインタフェースと、
    そのユーザインタフェースと通信して、データと関連するトランザクション及びアクティビティにアクセスするマイクロプロセッサと、
    を備えており、
    このマイクロプロセッサが、選定された少なくとも一つの判断基準にもとづき規則の少なくとも一部を生成するとともに、当該の少なくとも一つの判断基準が満たされた時にイベントが発生し、そのイベントが起こったか否かを決定するために、選定したスケジュールにもとづき当該の少なくとも一つのトランザクション及びアクティビティに規則を適用し、
    イベントが起こった場合に、このマイクロプロセッサが一つのヒットを保存し、
    イベントが起こった場合に、このマイクロプロセッサが通報を発出し、
    このマイクロプロセッサが規則に関するヒットの集合体を生成する、
    システム。
  13. マイクロプロセッサが、当該の少なくとも一つのトランザクション及びアクティビティに規則をリアルタイムで適用するか否かを決定する請求項12に記載のシステム。
  14. マイクロプロセッサが、通報で送信するメッセージを生成する請求項12に記載のシステム。
  15. マイクロプロセッサが、時間パラメータ、数量パラメータ及びユーザパラメータの中の少なくとも一つにもとづき規則の少なくとも一部を生成する請求項12に記載のシステム。
  16. マイクロプロセッサが、複数のデータベースのデータと関連する少なくとも一つのトランザクション及びアクティビティに規則を適用する請求項12に記載のシステム。
  17. コンピュータ環境でのデータの悪用又は乱用を検知するためのコンピュータで読み取り可能なプログラム命令を有する、製品内に組み込まれたコンピュータで読み取り可能なプログラムであって、そのプログラムが、
    データと関連する少なくとも一つのトランザクション及びアクティビティに関する、データの悪用及び乱用を示す少なくとも一つの判断基準の選定をコンピュータに実行させるプログラム命令と、
    少なくとも一つの判断基準にもとづき、当該の少なくとも一つのトランザクション及びアクティビティを監視するための規則の少なくとも一部を生成することをコンピュータに実行させるプログラム命令と、
    当該の少なくとも一つのトランザクション及びアクティビティに規則を適用するスケジュールの選定をコンピュータに実行させるプログラム命令と、
    当該の少なくとも一つの判断基準が満たされた時にイベントが発生し、そのイベントが起こったか否かを決定するために、選定したスケジュールにもとづき当該の少なくとも一つのトランザクション及びアクティビティに規則を適用することをコンピュータに実行させるプログラム命令と、
    イベントが起こった場合に一つのヒットを保存することをコンピュータに実行させるプログラム命令と、
    イベントが起こった場合に通報を発出することをコンピュータに実行させるプログラム命令と、
    規則に関するヒットの集合体を提供することをコンピュータに実行させるプログラム命令と、
    を有するコンピュータで読み取り可能なプログラム
  18. 複数のデータベースのデータと関連する少なくとも一つのトランザクション及びアクティビティに規則を適用することをコンピュータに実行させるプログラム命令を更に有する請求項17に記載のプログラム。
  19. 当該の少なくとも一つのトランザクション及びアクティビティに規則をリアルタイムで適用することをコンピュータに実行させるプログラム命令を更に有する請求項17に記載のプログラム。
  20. 時間パラメータ、数量パラメータ及びユーザパラメータの中の少なくとも一つにもとづき、規則の少なくとも一部を生成することをコンピュータに実行させるプログラム命令を更に有する請求項17に記載のプログラム。
JP2009554678A 2007-03-19 2008-03-17 悪用及び乱用を検出するシステム及び方法 Pending JP2010525424A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/687,864 US8578500B2 (en) 2005-05-31 2007-03-19 System and method of fraud and misuse detection
PCT/US2008/057220 WO2008115864A1 (en) 2007-03-19 2008-03-17 System and method of fraud and misuse detection

Publications (2)

Publication Number Publication Date
JP2010525424A true JP2010525424A (ja) 2010-07-22
JP2010525424A5 JP2010525424A5 (ja) 2011-05-06

Family

ID=39767170

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009554678A Pending JP2010525424A (ja) 2007-03-19 2008-03-17 悪用及び乱用を検出するシステム及び方法

Country Status (8)

Country Link
US (6) US8578500B2 (ja)
EP (1) EP2140355A4 (ja)
JP (1) JP2010525424A (ja)
AU (1) AU2008229017A1 (ja)
CA (1) CA2682193C (ja)
MY (1) MY151504A (ja)
SG (1) SG179489A1 (ja)
WO (1) WO2008115864A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014503892A (ja) * 2010-12-09 2014-02-13 アルカテル−ルーセント 通信ネットワークにおけるスパム報告およびスパム管理
JP2019503015A (ja) * 2016-01-25 2019-01-31 ベロシティー テクノロジー ソリューションズ インコーポレーテッド 企業リソース計画システムにおけるイベント管理のためのシステムおよび方法

Families Citing this family (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9412141B2 (en) * 2003-02-04 2016-08-09 Lexisnexis Risk Solutions Fl Inc Systems and methods for identifying entities using geographical and social mapping
US20060095787A1 (en) * 2004-11-01 2006-05-04 Aaron Jeffrey A Communication networks and methods and computer program products for tracking network activity thereon and facilitating limited use of the collected information by external parties
US8578500B2 (en) * 2005-05-31 2013-11-05 Kurt James Long System and method of fraud and misuse detection
US9418040B2 (en) * 2005-07-07 2016-08-16 Sciencelogic, Inc. Dynamically deployable self configuring distributed network management system
BRPI0710939A2 (pt) * 2006-04-25 2012-02-14 Tektronix Int Sales Gmbh sistema e método de teste remoto no modo loopback utilizando mgcp/ncs
US20080189789A1 (en) * 2007-02-01 2008-08-07 Elaine Lamontagne System, method and apparatus for the detection and capturing of technological crime instances
US20080235258A1 (en) * 2007-03-23 2008-09-25 Hyen Vui Chung Method and Apparatus for Processing Extensible Markup Language Security Messages Using Delta Parsing Technology
US10482081B2 (en) 2007-06-04 2019-11-19 Bce Inc. Methods and systems for validating online transactions using location information
WO2009070860A1 (en) * 2007-12-05 2009-06-11 Bce Inc. Methods and computer-readable media for facilitating forensic investigations of online transactions
US20090172033A1 (en) * 2007-12-28 2009-07-02 Bce Inc. Methods, systems and computer-readable media for facilitating forensic investigations of online activities
US9275215B2 (en) 2008-04-01 2016-03-01 Nudata Security Inc. Systems and methods for implementing and tracking identification tests
US9842204B2 (en) 2008-04-01 2017-12-12 Nudata Security Inc. Systems and methods for assessing security risk
US8214364B2 (en) * 2008-05-21 2012-07-03 International Business Machines Corporation Modeling user access to computer resources
US20090293121A1 (en) * 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
US8667568B2 (en) * 2008-05-29 2014-03-04 Red Hat, Inc. Securing a password database
EP2288987A4 (en) 2008-06-12 2015-04-01 Guardian Analytics Inc USER MODELING FOR DETECTING FRAUD AND ANALYSIS
US11245708B2 (en) * 2008-07-23 2022-02-08 Mcafee, Llc Model-based system, method, and computer program product for detecting at least potentially unwanted activity associated with confidential data
US9383911B2 (en) 2008-09-15 2016-07-05 Palantir Technologies, Inc. Modal-less interface enhancements
US20100191634A1 (en) * 2009-01-26 2010-07-29 Bank Of America Corporation Financial transaction monitoring
US10290053B2 (en) 2009-06-12 2019-05-14 Guardian Analytics, Inc. Fraud detection and analysis
US8972325B2 (en) * 2009-07-01 2015-03-03 Oracle International Corporation Role based identity tracker
US8280844B2 (en) * 2010-02-15 2012-10-02 Bank Of America Corporation Anomalous activity detection
US8868728B2 (en) * 2010-03-11 2014-10-21 Accenture Global Services Limited Systems and methods for detecting and investigating insider fraud
US8869258B2 (en) * 2010-03-12 2014-10-21 Microsoft Corporation Facilitating token request troubleshooting
WO2011153227A2 (en) * 2010-06-02 2011-12-08 Hewlett-Packard Development Company, L.P. Dynamic multidimensional schemas for event monitoring priority
US8832049B2 (en) 2010-07-09 2014-09-09 Bank Of America Corporation Monitoring communications
US8407341B2 (en) 2010-07-09 2013-03-26 Bank Of America Corporation Monitoring communications
US20120311696A1 (en) * 2011-06-02 2012-12-06 Microsoft Corporation Override for Policy Enforcement System
US9665854B1 (en) * 2011-06-16 2017-05-30 Consumerinfo.Com, Inc. Authentication alerts
US9092482B2 (en) 2013-03-14 2015-07-28 Palantir Technologies, Inc. Fair scheduling for mixed-query loads
US10509890B2 (en) * 2011-06-30 2019-12-17 Verizon Patent And Licensing Inc. Predictive modeling processes for healthcare fraud detection
US8745085B2 (en) 2011-08-17 2014-06-03 The Regents Of The University Of Michigan System for explanation-based auditing of medical records data
US8732574B2 (en) 2011-08-25 2014-05-20 Palantir Technologies, Inc. System and method for parameterizing documents for automatic workflow generation
US8504542B2 (en) 2011-09-02 2013-08-06 Palantir Technologies, Inc. Multi-row transactions
US8683568B1 (en) * 2011-09-22 2014-03-25 Emc Corporation Using packet interception to integrate risk-based user authentication into online services
US8595200B2 (en) * 2012-01-03 2013-11-26 Wizsoft Ltd. Finding suspicious association rules in data records
US8751963B1 (en) 2013-01-23 2014-06-10 Splunk Inc. Real time indication of previously extracted data fields for regular expressions
US9594814B2 (en) 2012-09-07 2017-03-14 Splunk Inc. Advanced field extractor with modification of an extracted field
US10394946B2 (en) 2012-09-07 2019-08-27 Splunk Inc. Refining extraction rules based on selected text within events
US9753909B2 (en) 2012-09-07 2017-09-05 Splunk, Inc. Advanced field extractor with multiple positive examples
US20140208217A1 (en) 2013-01-22 2014-07-24 Splunk Inc. Interface for managing splittable timestamps across event records
US8682906B1 (en) 2013-01-23 2014-03-25 Splunk Inc. Real time display of data field values based on manual editing of regular expressions
US9348677B2 (en) 2012-10-22 2016-05-24 Palantir Technologies Inc. System and method for batch evaluation programs
US9124619B2 (en) 2012-12-08 2015-09-01 International Business Machines Corporation Directing audited data traffic to specific repositories
US9152929B2 (en) 2013-01-23 2015-10-06 Splunk Inc. Real time display of statistics and values for selected regular expressions
US8763078B1 (en) * 2013-03-14 2014-06-24 Palantir Technologies, Inc. System and method for monitoring authentication attempts
US8868486B2 (en) 2013-03-15 2014-10-21 Palantir Technologies Inc. Time-sensitive cube
US8909656B2 (en) 2013-03-15 2014-12-09 Palantir Technologies Inc. Filter chains with associated multipath views for exploring large data sets
US10275778B1 (en) 2013-03-15 2019-04-30 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation based on automatic malfeasance clustering of related data in various data structures
US9501202B2 (en) 2013-03-15 2016-11-22 Palantir Technologies, Inc. Computer graphical user interface with genomic workflow
US20150019238A1 (en) * 2013-07-15 2015-01-15 Verizon Patent And Licensing Inc. Prescription/medication monitoring and fraud detection system
US8966074B1 (en) * 2013-09-13 2015-02-24 Network Kinetix, LLC System and method for real-time analysis of network traffic
US9105000B1 (en) 2013-12-10 2015-08-11 Palantir Technologies Inc. Aggregating data from a plurality of data sources
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US9485271B1 (en) * 2014-03-11 2016-11-01 Symantec Corporation Systems and methods for anomaly-based detection of compromised IT administration accounts
US8924429B1 (en) 2014-03-18 2014-12-30 Palantir Technologies Inc. Determining and extracting changed data from a data source
US9836580B2 (en) 2014-03-21 2017-12-05 Palantir Technologies Inc. Provider portal
US8997176B1 (en) * 2014-06-12 2015-03-31 Flexera Software Llc Device identification based on event logs
US9129219B1 (en) 2014-06-30 2015-09-08 Palantir Technologies, Inc. Crime risk forecasting
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9251221B1 (en) 2014-07-21 2016-02-02 Splunk Inc. Assigning scores to objects based on search query results
US9509705B2 (en) * 2014-08-07 2016-11-29 Wells Fargo Bank, N.A. Automated secondary linking for fraud detection systems
US10362133B1 (en) 2014-12-22 2019-07-23 Palantir Technologies Inc. Communication data processing architecture
US20160191665A1 (en) * 2014-12-31 2016-06-30 Samsung Electronics Co., Ltd. Computing system with distributed compute-enabled storage group and method of operation thereof
US10372879B2 (en) * 2014-12-31 2019-08-06 Palantir Technologies Inc. Medical claims lead summary report generation
US11302426B1 (en) 2015-01-02 2022-04-12 Palantir Technologies Inc. Unified data interface and system
US9799058B2 (en) * 2015-01-31 2017-10-24 Foribus, LLC. Vehicle valuation system and method
US10679737B1 (en) 2015-03-27 2020-06-09 Protenus, Inc. Methods and systems for analyzing accessing of medical data
US11282597B2 (en) 2015-03-27 2022-03-22 Protenus Inc. Methods and systems for analyzing accessing of drug dispensing systems
US9836598B2 (en) * 2015-04-20 2017-12-05 Splunk Inc. User activity monitoring
US11580472B2 (en) 2015-05-14 2023-02-14 Palantir Technologies Inc. Systems and methods for state machine management
US10585869B2 (en) * 2015-05-22 2020-03-10 Open Text Holdings, Inc. System and method for generating, maintaining, and querying a database for computer investigations
JP2016224871A (ja) * 2015-06-03 2016-12-28 富士通株式会社 異常検出プログラム、異常検出装置及び異常検出方法
US10628834B1 (en) 2015-06-16 2020-04-21 Palantir Technologies Inc. Fraud lead detection system for efficiently processing database-stored data and automatically generating natural language explanatory information of system results for display in interactive user interfaces
US9806948B2 (en) 2015-06-30 2017-10-31 Nicira, Inc. Providing firewall rules for workload spread across multiple data centers
US9418337B1 (en) 2015-07-21 2016-08-16 Palantir Technologies Inc. Systems and models for data analytics
US9749357B2 (en) 2015-09-05 2017-08-29 Nudata Security Inc. Systems and methods for matching and scoring sameness
US9798787B1 (en) 2015-12-10 2017-10-24 Palantir Technologies Inc. System and user interfaces for searching resources and related documents using data structures
US10726032B2 (en) 2015-12-30 2020-07-28 Palantir Technologies, Inc. Systems and methods for search template generation
US10380522B1 (en) 2015-12-31 2019-08-13 Palantir Technologies Inc. Asset allocation evaluation system
US9460328B1 (en) 2016-01-15 2016-10-04 International Business Machines Corporation Extracting information from surface coatings
EP3423975A4 (en) * 2016-03-04 2019-11-27 Georgia Tech Research Corporation SYSTEM AND METHOD FOR IDENTIFYING SUSPECT BEHAVIOR IN HEALTH CARE
US10832218B1 (en) 2016-04-05 2020-11-10 Palantir Technologies Inc. User interface for visualization of an attrition value
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) * 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11030307B2 (en) 2016-06-02 2021-06-08 Varonis Systems Ltd. Audit log enhancement
EP3258661B1 (en) * 2016-06-16 2020-11-18 ABB Schweiz AG Detection of abnormal configuration changes
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11082400B2 (en) 2016-06-29 2021-08-03 Nicira, Inc. Firewall configuration versioning
US20180239870A1 (en) * 2016-07-27 2018-08-23 Intuit Inc. Method and system for identifying and addressing potential healthcare-based fraud
US9805071B1 (en) 2016-11-10 2017-10-31 Palantir Technologies Inc. System and methods for live data migration
GB201621627D0 (en) 2016-12-19 2017-02-01 Palantir Technologies Inc Task allocation
US11373752B2 (en) 2016-12-22 2022-06-28 Palantir Technologies Inc. Detection of misuse of a benefit system
US11271904B2 (en) * 2016-12-22 2022-03-08 Nicira, Inc. Identification and adjustment of ineffective firewall rules
US10628278B2 (en) 2017-01-26 2020-04-21 International Business Machines Corporation Generation of end-user sessions from end-user events identified from computer system logs
US11087334B1 (en) 2017-04-04 2021-08-10 Intuit Inc. Method and system for identifying potential fraud activity in a tax return preparation system, at least partially based on data entry characteristics of tax return content
US11315010B2 (en) 2017-04-17 2022-04-26 Splunk Inc. Neural networks for detecting fraud based on user behavior biometrics
US11372956B2 (en) 2017-04-17 2022-06-28 Splunk Inc. Multiple input neural networks for detecting fraud
US11102225B2 (en) * 2017-04-17 2021-08-24 Splunk Inc. Detecting fraud by correlating user behavior biometrics with other data sources
US10530642B1 (en) 2017-06-07 2020-01-07 Palantir Technologies Inc. Remote configuration of a machine
US10176217B1 (en) 2017-07-06 2019-01-08 Palantir Technologies, Inc. Dynamically performing data processing in a data pipeline system
US10628002B1 (en) 2017-07-10 2020-04-21 Palantir Technologies Inc. Integrated data authentication system with an interactive user interface
US10839022B1 (en) 2017-07-24 2020-11-17 Palantir Technologies Inc. System to manage document workflows
US10218574B1 (en) 2017-07-26 2019-02-26 Palantir Technologies Inc. Detecting software misconfiguration at a remote machine
US10324759B1 (en) 2017-08-03 2019-06-18 Palantir Technologies Inc. Apparatus and method of securely and efficiently interfacing with a cloud computing service
US10872023B2 (en) * 2017-09-24 2020-12-22 Microsoft Technology Licensing, Llc System and method for application session monitoring and control
US10904272B2 (en) * 2017-11-02 2021-01-26 Allstate Insurance Company Consumer threat intelligence service
US11829866B1 (en) 2017-12-27 2023-11-28 Intuit Inc. System and method for hierarchical deep semi-supervised embeddings for dynamic targeted anomaly detection
CN108595513B (zh) * 2018-03-23 2021-06-22 北京奇艺世纪科技有限公司 一种视频搜索作弊处理方法及装置
FR3079987A1 (fr) * 2018-04-06 2019-10-11 Orange Procede de traitement d'une transaction entre un terminal source et un terminal destinataire, systeme de services bancaires, terminal et programme d'ordinateur correspondants.
US11075951B1 (en) * 2018-06-29 2021-07-27 NortonLifeLock Inc. Query learning for automated incident investigation and remediation
US11210349B1 (en) 2018-08-02 2021-12-28 Palantir Technologies Inc. Multi-database document search system architecture
CN109815695A (zh) * 2018-12-29 2019-05-28 360企业安全技术(珠海)有限公司 进程安全的检测方法、装置及设备
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
CN110188082A (zh) * 2019-04-25 2019-08-30 视联动力信息技术股份有限公司 一种日志文件的处理方法及装置
US11356460B2 (en) * 2019-12-31 2022-06-07 Equifax Inc. Secure online access control to prevent identification information misuse
US20230153427A1 (en) * 2020-03-26 2023-05-18 Groupe Elucidia Inc. System and method for automated sensitive information discovery, monitoring and remediation
WO2021220465A1 (ja) * 2020-04-30 2021-11-04 日本電信電話株式会社 ルール処理装置、方法およびプログラム
US11481787B2 (en) * 2020-09-13 2022-10-25 International Business Machines Corporation Detecting user device usage and validating user claims
US11593309B2 (en) * 2020-11-05 2023-02-28 International Business Machines Corporation Reliable delivery of event notifications from a distributed file system
US11463415B2 (en) * 2020-11-19 2022-10-04 Lexisnexis Risk Solutions, Inc. Digital identity network alerts
US12069063B1 (en) * 2023-05-31 2024-08-20 Intuit Inc. Fine grained access control in a data lake using least privilege access

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11259571A (ja) * 1998-03-13 1999-09-24 Nippon Telegr & Teleph Corp <Ntt> 電子商取引システム不正利用検出方法及び装置
JP2001044992A (ja) * 1999-05-20 2001-02-16 Lucent Technol Inc ネットワーク動作方法、ネットワークノード、ネットワーク装置、及び通信ネットワーク
WO2005010252A2 (fr) * 2003-07-22 2005-02-03 Rieter Textile Machinery France Godet chauffant rotatif pour la thermofixation de fil textile
JP2006155212A (ja) * 2004-11-29 2006-06-15 Toshiba Corp 病院情報システム、不正アクセスレポート作成システムおよび不正アクセスレポート作成方法
JP2006195634A (ja) * 2005-01-12 2006-07-27 Toshiba Corp 医用装置および不正アクセス監査システム
WO2006118968A2 (en) * 2005-04-29 2006-11-09 Bharosa Inc. System and method for fraud monitoring, detection, and tiered user authentication

Family Cites Families (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557742A (en) 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US7600129B2 (en) * 1995-10-02 2009-10-06 Corestreet, Ltd. Controlling access using additional data
JP3778652B2 (ja) * 1997-04-18 2006-05-24 株式会社日立製作所 ログデータ収集管理方法及びその装置
US7403922B1 (en) * 1997-07-28 2008-07-22 Cybersource Corporation Method and apparatus for evaluating fraud risk in an electronic commerce transaction
US6347374B1 (en) 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6304262B1 (en) 1998-07-21 2001-10-16 Raytheon Company Information security analysis system
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6789202B1 (en) 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US6978303B1 (en) * 1999-10-26 2005-12-20 Iontal Limited Monitoring of computer usage
US20010047275A1 (en) * 2000-03-27 2001-11-29 Terretta Michael S. Authentication system
US7299496B2 (en) * 2001-08-14 2007-11-20 Illinois Institute Of Technology Detection of misuse of authorized access in an information retrieval system
CN101712955B (zh) * 2002-03-06 2013-06-05 东丽株式会社 利用基因重组蚕生产生理活性蛋白质的方法
AU2003248546A1 (en) * 2002-05-16 2003-12-02 Ndchealth Corporation Systems and methods for verifying and editing electronically transmitted claim content
US7809595B2 (en) * 2002-09-17 2010-10-05 Jpmorgan Chase Bank, Na System and method for managing risks associated with outside service providers
US20040068559A1 (en) * 2002-10-04 2004-04-08 Shaw Terry D. Method for detection of unauthorized computer system usage
EP1563665A2 (en) * 2002-11-18 2005-08-17 Hipaat Inc. A method and system for access control
US7421738B2 (en) * 2002-11-25 2008-09-02 Honeywell International Inc. Skeptical system
US7739365B2 (en) * 2002-12-19 2010-06-15 Converged Data Solutions, Inc. Methods for providing a report database for a plurality of localized devices using an abstraction layer and atomic error handling
US8141159B2 (en) * 2002-12-31 2012-03-20 Portauthority Technologies Inc. Method and system for protecting confidential information
US7712133B2 (en) 2003-06-20 2010-05-04 Hewlett-Packard Development Company, L.P. Integrated intrusion detection system and method
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database
US9026467B2 (en) * 2004-02-13 2015-05-05 Fis Financial Compliance Solutions, Llc Systems and methods for monitoring and detecting fraudulent uses of business applications
CA2560277A1 (en) * 2004-03-19 2005-09-29 Oversight Technologies, Inc. Methods and systems for transaction compliance monitoring
US20050246242A1 (en) * 2004-05-03 2005-11-03 Proctor Neil F System and method for collecting confidential customer information in conjunction with a live conversation between customer and vendor representative
US7490356B2 (en) * 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
US7287692B1 (en) * 2004-07-28 2007-10-30 Cisco Technology, Inc. System and method for securing transactions in a contact center environment
US7895167B2 (en) * 2005-02-16 2011-02-22 Xpolog Ltd. System and method for analysis and management of logs and events
US8578500B2 (en) * 2005-05-31 2013-11-05 Kurt James Long System and method of fraud and misuse detection
WO2007002611A2 (en) * 2005-06-27 2007-01-04 Tc3 Health, Llc Healthcare claims loss control systems and methods
US7962616B2 (en) 2005-08-11 2011-06-14 Micro Focus (Us), Inc. Real-time activity monitoring and reporting
US7631362B2 (en) * 2005-09-20 2009-12-08 International Business Machines Corporation Method and system for adaptive identity analysis, behavioral comparison, compliance, and application protection using usage information
CA2623491A1 (en) * 2005-09-23 2007-04-05 Lehman Brothers Inc. System and method for event log review
US9384360B2 (en) * 2005-12-29 2016-07-05 Nextlabs, Inc. Techniques and system for specifying policies using abstractions
US20060224419A1 (en) * 2006-06-15 2006-10-05 Servizio Louis A System and method for medication misuse prevention
US20090089094A1 (en) * 2007-09-28 2009-04-02 General Electric Company System and method for detection of abuse of patient data
US7880591B2 (en) * 2008-02-01 2011-02-01 Apple Inc. Consumer abuse detection system and method
US8595834B2 (en) * 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US7991957B2 (en) * 2008-05-27 2011-08-02 Microsoft Corporation Abuse detection using distributed cache
US20100063841A1 (en) * 2008-09-05 2010-03-11 Vital Data Technology, Llc System and method of notifying designated entities of access to personal medical records
US8868728B2 (en) * 2010-03-11 2014-10-21 Accenture Global Services Limited Systems and methods for detecting and investigating insider fraud
KR101058592B1 (ko) * 2010-12-14 2011-08-23 주식회사 포드림 영상정보 오남용 감사 시스템
US8528099B2 (en) * 2011-01-27 2013-09-03 Oracle International Corporation Policy based management of content rights in enterprise/cross enterprise collaboration

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11259571A (ja) * 1998-03-13 1999-09-24 Nippon Telegr & Teleph Corp <Ntt> 電子商取引システム不正利用検出方法及び装置
JP2001044992A (ja) * 1999-05-20 2001-02-16 Lucent Technol Inc ネットワーク動作方法、ネットワークノード、ネットワーク装置、及び通信ネットワーク
WO2005010252A2 (fr) * 2003-07-22 2005-02-03 Rieter Textile Machinery France Godet chauffant rotatif pour la thermofixation de fil textile
JP2006155212A (ja) * 2004-11-29 2006-06-15 Toshiba Corp 病院情報システム、不正アクセスレポート作成システムおよび不正アクセスレポート作成方法
JP2006195634A (ja) * 2005-01-12 2006-07-27 Toshiba Corp 医用装置および不正アクセス監査システム
WO2006118968A2 (en) * 2005-04-29 2006-11-09 Bharosa Inc. System and method for fraud monitoring, detection, and tiered user authentication

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014503892A (ja) * 2010-12-09 2014-02-13 アルカテル−ルーセント 通信ネットワークにおけるスパム報告およびスパム管理
JP2019503015A (ja) * 2016-01-25 2019-01-31 ベロシティー テクノロジー ソリューションズ インコーポレーテッド 企業リソース計画システムにおけるイベント管理のためのシステムおよび方法

Also Published As

Publication number Publication date
WO2008115864A1 (en) 2008-09-25
AU2008229017A1 (en) 2008-09-25
US20070220604A1 (en) 2007-09-20
US20130347106A1 (en) 2013-12-26
EP2140355A4 (en) 2011-05-25
US20180204021A1 (en) 2018-07-19
US20190362088A1 (en) 2019-11-28
US9916468B2 (en) 2018-03-13
EP2140355A1 (en) 2010-01-06
CA2682193C (en) 2018-11-20
MY151504A (en) 2014-05-30
US20160085986A1 (en) 2016-03-24
US20140188548A1 (en) 2014-07-03
US8578500B2 (en) 2013-11-05
US9202189B2 (en) 2015-12-01
SG179489A1 (en) 2012-04-27
US10360399B2 (en) 2019-07-23
CA2682193A1 (en) 2008-09-25

Similar Documents

Publication Publication Date Title
US10360399B2 (en) System and method for detecting fraud and misuse of protected data by an authorized user using event logs
US20070073519A1 (en) System and Method of Fraud and Misuse Detection Using Event Logs
US20210084063A1 (en) Insider threat management
JP4753997B2 (ja) イベントログをレビューするためのシステム及び方法
US11550921B2 (en) Threat response systems and methods
US9578060B1 (en) System and method for data loss prevention across heterogeneous communications platforms
US9349016B1 (en) System and method for user-context-based data loss prevention
US7296070B2 (en) Integrated monitoring system
US7996374B1 (en) Method and apparatus for automatically correlating related incidents of policy violations
US9129257B2 (en) Method and system for monitoring high risk users
US10326748B1 (en) Systems and methods for event-based authentication
US7945490B2 (en) Providing aggregate forecasted impact information for physical to financial asset reconciliation
US20120259753A1 (en) System and method for managing collaborative financial fraud detection logic
US20080082374A1 (en) Methods and systems for mapping transaction data to common ontology for compliance monitoring
US20070088736A1 (en) Record authentication and approval transcript
JP2013511099A (ja) 高いデータ完全性を維持するため、ならびに詐欺防止および検出のための機密監査を提供するための方法および装置
CN111274276A (zh) 操作审计方法、装置及电子设备和计算机可读存储介质
US20060282473A1 (en) Rules-based data evaluation and process trigger system and method
US20210067554A1 (en) Real-time notifications on data breach detected in a computerized environment
AU2013267064B2 (en) System and method of fraud and misuse detection
Securosis Understanding and selecting a data loss prevention solution
Libeau Automating security events management
Islam et al. Detecting collusion in ERP systems
CA2468873A1 (en) Method and system for processing information in monitoring systems used in ethics, risk and/or value management and corresponding computer program product and corresponding storage medium
Saban et al. An event based framework for facilitating database activity tracking

Legal Events

Date Code Title Description
RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20100604

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110317

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20110317

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120913

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121016

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130108

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130116

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20130215

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20130222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130415

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131217