JP2011023903A - 通信端末の異常検出装置及び通信端末の異常検出方法 - Google Patents

通信端末の異常検出装置及び通信端末の異常検出方法 Download PDF

Info

Publication number
JP2011023903A
JP2011023903A JP2009166203A JP2009166203A JP2011023903A JP 2011023903 A JP2011023903 A JP 2011023903A JP 2009166203 A JP2009166203 A JP 2009166203A JP 2009166203 A JP2009166203 A JP 2009166203A JP 2011023903 A JP2011023903 A JP 2011023903A
Authority
JP
Japan
Prior art keywords
call
event
pattern
communication terminal
model
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009166203A
Other languages
English (en)
Inventor
Nobuyuki Washio
信之 鷲尾
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Priority to JP2009166203A priority Critical patent/JP2011023903A/ja
Priority to US12/835,222 priority patent/US8521132B2/en
Publication of JP2011023903A publication Critical patent/JP2011023903A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/36Statistical metering, e.g. recording occasions when traffic exceeds capacity of trunks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2215/00Metering arrangements; Time controlling arrangements; Time indicating arrangements
    • H04M2215/01Details of billing arrangements
    • H04M2215/0148Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls

Abstract

【課題】電話機などの通信端末を利用した詐欺を未然に防止するために、通信端末における操作や通話に関連する端末情報に基づいて異常を検出することが可能な通信端末の異常検出装置及び通信端末の異常検出方法を提案する。
【解決手段】通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして記憶しておくパターンモデル保存部と、通信端末の操作及び通話に関連する端末情報を検出する端末情報取得部と、端末情報取得部で検出した端末情報をパターンモデル保存部に記憶された行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定するパターン判定部と、端末情報取得部で検出した端末情報が通常行動パターンでないとパターン判定部が判断した場合には所定の警告情報を出力する警告発生部とを備える
【選択図】図9

Description

本発明は、通信端末の異常検出装置及び異常検出方法に関する。
電話による詐欺行為を未然に防止することを目的として、通話音声データから検出すべき検出対象のキーワードを予め登録しておく単語登録手段を電話機に設け、単語登録手段に登録されたキーワードが通話音声データに含まれる場合には、警告通知を行うようにした通話内容警告付き電話機が提案されている(特許文献1)。
また、通話音声データからキーワードを検出するとともに、声紋データベースとの照合や口座データベースなどとの照合により、詐欺行為に関連する通話内容であるか否かの判別を行うシステムが提案されている(特許文献2)。
特許文献1に記載されているような構成では、通話音声データを音声認識したキーワード検出だけに基づいて、詐欺行為などの異常検出を行っている。したがって、発声が不明瞭である場合や通話音声データのS/N比が低い場合に、音声認識の精度が低下するとともに異常検出の精度も低下するという問題がある。
特許文献2に記載されているような構成では、キーワード検出以外の情報認識により異常検出の精度の向上を図ろうとしている。しかしながら、キーワード辞書、声紋データベース、口座情報データベースなどを構築するための情報収集が必要であるとともに、最新情報を網羅するためには常にデータベースの更新を行う必要がある。したがって、新手の犯行に用いられるキーワード、声紋、口座番号などに対応しきれないという事態が生じる。
特開2006−196949号公報 特開2008−210085号公報
本発明は、電話機などの通信端末を利用した詐欺を未然に防止するために、通信端末における操作や通話に関連する端末情報に基づいて異常を検出することが可能な通信端末の異常検出装置及び通信端末の異常検出方法を提案する。
本発明の通信端末の異常検出装置は、通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして記憶しておくパターンモデル保存部と、通信端末の操作及び通話に関連する端末情報を検出する端末情報取得部と、端末情報取得部で検出した端末情報をパターンモデル保存部に記憶された行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定するパターン判定部と、端末情報取得部で検出した端末情報が通常行動パターンでないとパターン判定部が判断した場合には所定の警告情報を出力する警告発生部とを備える。
本発明によれば、通信端末の操作及び通話に関連する端末情報が、行動パターンモデルと比較して通常行動パターンであるか、異常行動モデルであるかを判定し、この判定結果に基づいて、詐欺行為であると判断される通話に関しては、警告情報を出力して未然に防止するように構成することが可能である。行動パターンモデルは、確率モデル化されていることから、現在の行動パターンをこの行動パターンに適用した場合に、現在の行動パターンが生じる確率を算出し、その値から行動パターンが通常行動であるか異常行動であるかの判定を行うことができる。
行動パターンモデルは、通常行動パターン及び/又は異常行動パターンとして記憶させておくことができる。
また、通話の履歴に応じて、行動パターンモデル中のイベントの遷移関係の確率を学習させることで、より確実に異常行動パターンを検出することが可能となる。
異常検出装置の概略構成を示す機能ブロック図の一例である。 異常検出装置の他の例の概略構成を示す機能ブロック図の一例である。 行動パターンモデルの概念構成を示す説明図の一例である。 行動パターンモデルの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 1実施例の機能ブロック図の一例である。 通話パターン判定処理のフローチャートである。 操作監視部のフローチャートである。 通話外イベント処理のフローチャートである。 過去通話イベント処理のフローチャートである。 通話開始イベント処理のフローチャートである。 通話中イベント処理のフローチャートである。 通話終了イベント処理のフローチャートである。 発声時間監視処理のフローチャートである。 送話中発声時間監視処理のフローチャートである。 警告発生部の処理を示すフローチャートである。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベント遷移のオートマトンの一例を示す説明図である。 イベントモデル遷移のオートマトンの一例を示す説明図である。 イベントモデル遷移のオートマトンの一例を示す説明図である。
本発明の詳細を図示した実施例に基づいて説明する。
〈概略構成〉
図1は、通信端末の異常検出装置の概略構成を示す機能ブロック図である。
異常検出装置1は、通信端末2と接続されて通信端末2の各種情報を受信することが可能となっている。異常検出装置1は、端末情報取得部10、パターンモデル保存部20、パターン判定部30、警告発生部40を備えている。
端末情報取得部10は、通信端末2の操作及び通話に関連する端末情報を取得するものであって、通信時における通話情報、ユーザの端末操作情報、端末の位置情報などを含む端末情報を検出する。通話情報としては、通信端末2における発話側と受話側における発声時間長の比(発声時間比)、通話開始からの経過時間情報(通話時間)、時刻情報(通話開始時刻、通話終了時刻)、通話先情報(発信元電話番号)、通話内容(キーワード、トピック)などを挙げることができる。また、ユーザの端末操作情報としては、電話帳のデータを更新する際の電話帳操作履歴、その他入力キーの操作履歴などを挙げることができる。通信端末2にGPS機能が搭載されている場合には、通信端末2の現在の位置情報をGPS機能部から取得することが可能であり、通信端末2が基地局との通信により取得した現在の位置情報を用いることも可能である。
パターンモデル保存部20は、端末の操作及び通話に関連して発生する複数のイベント間の遷移関係を行動パターンモデルとして記憶する。行動パターンモデルは、たとえば、通信端末2の操作及び通話に関連する端末情報の値を判定するいくつかのイベントを設定し、各イベント中の端末情報がどのような値であるかによって遷移先が変わるように構成することができる。
通話パターン判定部30は、端末情報取得部10で検出した端末情報に基づいて、現在の通信端末を使用しているユーザの行動パターンが、パターンモデル保存部20に保存されている通常行動パターンに対応するか否かを判定する。通話パターン判定部30は、現在のユーザの行動パターンが、通常行動パターンに対応していないと判定した場合に、異常行動パターンである旨の信号を警告発生部40に送信する。
警告発生部40は、現在のユーザの行動パターンが異常行動パターンである旨の信号をパターン判定部30から受信した場合に、所定の警告情報を出力する。
異常検出装置1は、通信端末2の搭載される機能モジュールとして構成することが可能であり、また、通信回線を介して通信端末2と接続可能な他のシステム上に構成することも可能である。また、異常検出装置1の一部を通信端末2に搭載される機能モジュールとして構成し、他の構成要素を別のシステム上に構成することが可能である。たとえば、端末情報取得部10を通信端末2に搭載する機能モジュールとして構成し、通信端末2と通信回線を介して接続される他のシステム上にパターンモデル保存部20、パターン判定部30、警告発生部40を構成することが可能である。
図2は、通信端末の異常検出装置の概略構成の他の例を示す機能ブロック図である。
図2に示す異常検出装置1では、端末情報取得部10、パターンモデル保存部20、パターン判定部30、警告発生部40の他に、パターン更新部50を含んでいる。パターン更新部50は、パターンモデル保存部20に保存された行動パターンモデルを更新するものであり、パターンモデル保存部20に保存された行動パターンモデルが、複数のイベント間の遷移関係を確率付きオートマトンで表現されているような場合に、実際のユーザの行動パターンに基づいてオートマトンの確率を変更するように構成することができる。
ここで、確率付きオートマトンとは、入力であるイベントに伴い状態を遷移し、遷移には対応するイベント入力の生起確率が付随し、状態を遷移する間に経過する各イベントの生起確率を累積するものである。確率付きオートマトンの最終状態において、累積された確率により一連のイベントが生起する確率を求めることができる。また、行動パターンモデルを示す確率付きオートマトンは、生起したイベントに応じて、遷移先が一意に決まる決定性オートマトン(確率付き決定性オートマトン)で実現できる。
〈行動パターンモデル〉
行動パターンモデルは、通信端末の通話や操作に関連する端末情報に基づいて、ユーザの行動や通信端末から得られる端末情報を複数のイベントした場合に、各イベントがどのように遷移するかの遷移パターンを示したものである。
図3は、パターンモデル保存部20に記憶される行動パターンモデルの概念構成を示す説明図である。
図示した行動パターンモデル300は、開始状態Ssから第1状態S1、第2状態S2を経て、最終状態Sfに遷移するものである。各状態間は、状態遷移条件であるイベントを経て遷移するものであり、各イベントが生起するためのイベント生起確率が記録されている。
行動パターンモデル300は、開始状態Ssから、第1イベント301を経て第1状態S1に遷移する。開示状態Ssから第1イベント301を経て第1状態S1に遷移する確率は第1イベント生起確率P1で表される。
行動パターンモデル300は、第1状態S1から、第2イベント302及び第3イベント303に分岐して、それぞれ第2状態S2に到達する。第1状態S1から第2イベント302を経て第2状態S2に遷移する確率は第2イベント生起確率P2で表され、第1状態S1から第3イベント303を経て第2状態S2に遷移する確率は第3イベント生起確率P3で表される。
行動パターンモデル300は、第2状態S2から、第4イベント304を経て、最終状態Sfに到達する。第2状態S2から第4イベント304を経て最終状態Sfに遷移する確率は第4イベント生起確率P4で表される。
このように、行動パターンモデル300は、各状態間の遷移関係を、確率付きオートマトンで表現したもので構成できる。
各イベント301〜304の生起確率P1〜P4は、予め予想されるイベント生起確率としてパターンモデル保存部20に保存しておくことが可能である。また、図2に示すように、パターン更新部50を備える場合には、通信端末2の実際の使用状態に応じて生成される端末情報に基づいて、各イベント301〜304の発生確率を逐次算出し、算出された発生確率によりパターンモデル保存部20に保存されたイベント生起確率を更新するように構成することができる。
図3で示すような行動パターンモデル300を、通信端末2を使用する各シーンに応じて類型パターンモデルとし、各類型パターンモデルの遷移関係とともにパターンモデル保存部20に記憶させておくことができる。
図3に記載した各遷移状態のうち、「◎」で示すものは、一般的なオートマトンの表現と同じく、最終状態であることを示しており、ここまで到達した場合、オートマトンで受理されたことになる。この最終状態に到達した場合に、パターン判定部30はそれまで通過したイベントの生起確率に基づいて、現在の行動パターンが生じる確率として、累積確率を算出し、これに基づいて異常度の算出を実行する。最終状態は1つだけに限定されず、複数存在していても良い。
〈通常行動モデル〉
図4は、複数の類型パターンモデルの集合として行動パターンを構成した通常行動モデルの一例を示す説明図である。
行動パターンモデル400は、ユーザの行動に伴い生起するイベントの確率付きの状態遷移を示すものであり、異常行動を含む、全ての行動(異常行動)パターンを網羅する。
行動パターンモデル400の開始状態Ssから最終状態Sfに到達する間に、それぞれ複数のイベントを含む類型パターンモデルが含まれている。類型パターンモデルに含まれる各イベントにはイベント生起確率を有しており、開始状態Ssから最終状態Sfに到達する間に通過するイベントのイベント生起確率を乗算して、その累積確率が高いほど通常行動モデルに近く、その累積確率が所定値よりも低くなる場合に異常行動である可能性が高いと判断できる。
図4に示す行動パターンモデル400には、通話外イベントモデル401、過去通話イベントモデル402、通話開始イベントモデル403、通話中イベントモデル404、通話終了イベントモデル405などの類型パターンモデルが含まれている。
通話外イベントモデル401は、通話に関連しないユーザの端末操作に関する端末情報に基づいて、ユーザの行動パターンを判定するイベントを含む。通話外イベントモデル401を構成するイベントとしては、アドレス帳の更新、端末の位置移動などがある。アドレス帳の更新は、通信端末2に記憶されているアドレス帳のデータを更新するために、ユーザが実行するキー操作に関するイベント情報である。端末の位置移動は、通信端末2に搭載されるGPS機能や基地局との通信により得られる位置情報に基づいて、通信端末2の現在位置、移動速度などに関するイベント情報である。
過去イベントモデル402は、過去の通話における端末情報を参照して、ユーザの行動パターンを判定するイベントを含む。過去イベントモデル402を構成するイベントとしては、前通話と同一話者であるか、前通話と同一電話番号か、前通話との間隔、同一話者との通話頻度などがある。これらイベントは、前通話の端末情報を通話履歴情報として所定の記憶領域に記憶しておき、現在通話中または着信中の電話番号とを比較することで、通常行動パターンか否かの判定が行われる。
通話開始イベントモデル403は、通話開始時における通話に関連する端末情報に基づくイベントを含む。通話開始イベントモデル403に含まれるイベントとしては、通話相手が誰であるか、通話相手がアドレス帳の登録者であるか、通話が通信端末2からの発信であった受信によるものか、番号通知者からの受信であるか、通話開始時刻、前通話からの間隔などがある。
通話中イベントモデル404は、通信端末2における通話中において発生する端末情報に基づくイベントを含む。通話中イベントモデル404に含まれるイベントしては、発声時間比、通話時間長、通話終了時刻などがある。発声時間比は、通信端末2における発話側の発声時間長と受話側の発声時間長との比であり、通話中の音声データに基づいて逐次算出される。通話時間長は、通信端末2における通話時間であって、通話開始からカウンタによりカウントされる。通話終了時刻は、通信端末2における通話が終了した時点における時刻情報である。
通話終了イベントモデル405は、通信端末2における通話終了時における通話に関連する端末情報に基づくイベントを含む。通話終了イベントモデル405に含まれるイベントとしては、発声時間比、通話時間長、通話終了時刻などがある。発声時間比は、通話中イベントモデル404における発声時間比と同様に、通信端末2における発話側の発声時間長と受話側の発声時間長との比である。ここでは、通話終了時において、その通話における発声時間比は所定値として算出することができる。通話時間長は、通信端末2における通話時間であって、通話開始から通話終了までの時間情報として得ることができる。通話終了時刻は、通信端末2における通話が終了した時点における時刻情報である。
このようにした、類型パターンモデルを組み合わせて通常の行動パターンを表す行動パターンモデル400を構成する。図4に示す通常行動パターンを示す行動パターンモデル400は、通話外イベントモデル401、過去通話イベントモデル402、通話開始イベントモデル403、通話中イベントモデル404、通話終了イベントモデル405及び通話外イベントモデル401が、開始状態Ss及び最終状態Sfの間に配置された構成となっている。
行動パターンモデル400は、各類型パターンモデルが確率付きオートマトンを構成するように接続されており、図4では明記していないが、それぞれの類型イベントモデルの生起確率が付与されるように構成できる。
〈類型イベントモデル〉
図4に示す行動パターンモデル400に含まれる類型イベントモデルには、それぞれ複数のイベントが含まれており、各イベントによる状態遷移の確率を伴う確率付きオートマトンとして設定することができる。
以下の説明において、各類型イベントモデルの開始時点での状態を開始状態Ssとし、各類型イベントモデルの終了時点での状態を最終状態Sfとしているが、それぞれ通常行動モデル400の開始状態Ss、最終状態Sfとは異なり、通常高度モデルにおける類型イベントモデルを示す状態(四角)に入る遷移と、出る遷移に、相当するものである。
〈通話パターン判定〉
通信端末2における通話に関する端末情報に基づいて、行動パターンが通常行動パターンであるか異常行動パターンであるかを判定する場合について考察する。通話に関する類型パターンモデルとしては、前述した行動パターンモデル400中に含まれる通話開始イベントモデル403、通話中イベントモデル404であり、以下にこれら類型イベントモデルに関して考察する。通話パターン判定は、主に、パターン判定部30において行うこととし、パターンモデル保存部20に保存されたパターンモデルに基づいて、行動パターンの判定を行う。
《通話開始イベントモデル》
図5は、通話開始イベントモデル403に含まれるイベントのオートマトンの一例を示す説明図である。
通話開始イベントモデル403には、通話開始時間帯に関する第1〜第8イベント501〜508、通信端末2からの発信であることを示す第9イベント511、受信であることを示す第10イベント512、番号通知者からの受信であるであることを示す第11イベント521、番号通知無しの相手からの受信であることを示す第12イベント522、通話相手がアドレス帳に登録されていることを示す第13イベント531、通話相手がアドレス帳に登録されていないことを示す第14イベント532が含まれている。
第1〜第8イベント501〜508は、それぞれ通話開始時刻が、0時〜3時、3時〜6時、6時〜9時、9時〜12時、12時〜15時、15時〜18時、18時〜21時、21時〜24時に含まれる場合を示す。
第9イベント511は、開始しようとする通話が通信端末2からの発信に基づく通話である場合を示す。
第10イベント512は、開始しようとする通話が通信端末2に対する着信に基づく通話である場合を示す。
第11イベント521は、開始しようとする通話の発信元が番号通知者である場合を示す。
第12イベント522は、開始しようとする通話の発信元が番号通知無しである場合を示す。
第13イベント531は、開始しようとする通話の発信元がアドレス帳に登録されている電話番号である場合を示す。
第14イベント532は、開始しようとする通話の発信元がアドレス帳に登録されていない電話番号である場合を示す。
図5の例では、開始状態Ssから第1〜第8イベント501〜508が生起するイベント生起確率は、それぞれ0.1%、0.1%、3%、20%、33%、3%、40%、0.8%である。また、第1状態S1から第9イベント511及び第10イベント512が生起するイベント生起確率は、それぞれ30%、70%である。第2状態S2から第12イベント521及び第13イベント522が生起するイベント生起確率は、それぞれ95%、5%である。第3状態S3から第13イベント531及び第14イベント532が生起するイベント生起確率は、それぞれ90%、10%である。
各イベントの生起確率は、行動パターンモデル400をパターンモデル保存部20に格納する際に、予め予測される値に設定しておくことが可能であり、また、図2に示すパターン更新部50によりイベント生起回数をカウントし、これに基づいてイベント生起確率を算出して逐次更新するように構成することも可能である。
開始状態Ssから第1状態S1に遷移する際に通過する各イベント501〜508、第1状態S1から第2状態S2に遷移する際に通過する各イベント511,512などは、通話開始と同時に生起するイベントであることから、オートマトン上の順を入れ替えることも可能である。
《通話中イベントモデル》
図6は、通話中イベントモデル404に含まれるイベントのオートマトンの一例を示す説明図である。
通話中イベントモデル404には、通信端末2の通話内容においてキーワードKW1〜KWnを検出したことを示す第15〜第18イベント601〜604、話者の交代を検出したことを示す第19イベント605、通話開始から通話時間が5分以上経過したことを示す第20イベント606、通信端末2の通信内容においてキーワードKW1〜KWnを検出したことを示す第21〜第24イベント611〜614、話者の交代を検出したことを示す第25イベント615、通話開始から通話時間が5分以上経過したことを示す第26イベント616、通話開始から通話時間が10分以上経過したことを示す第27イベント617などを含んでいる。
第15〜第18イベント601〜604は、それぞれ通話の音声データを音声認識した結果、通話内容に所定のキーワードが含まれる場合を示すものであり、それぞれ通話内容にキーワードKW1〜KWnを検出した場合を示す。
第19イベント605は、通信端末2の送話側の音声データと受話側の音声データに基づいて、話者が交代したことを検出した場合を示す。
第20イベント606は、通信端末2の通話が通話開始から5分以上を経過したことを検出した場合を示す。
第21〜第24イベント611〜614は、第15〜第18イベント601〜604と同様であり、それぞれ通話の音声データを音声認識した結果、それぞれ通話内容にキーワードKW1〜KWnを検出した場合を示す。
第25イベント615は、第19イベント605と同様であり、通信端末2の送話側の音声データと受話側の音声データに基づいて、話者が交代したことを検出した場合を示す。
第26イベント616は、第20イベント606と同様であり、通信端末2の通話が通話開始から5分以上を経過したことを検出した場合を示す。第20イベント606と第26イベント616との差異は、通話時間が5分になった時点で、状態Ss、S1のいずれの状態にあったかによる差であり、第20イベント606と第26イベント616の両方を通過して状態S2に到達することがない。
第27イベント617は、通信端末2の通話が通話開始から10分以上を経過したことを検出した場合を示す。
開始状態Ssから第1状態S1に遷移する際に通過する各イベント、第1状態S1から第2状態S2に遷移する際に通過する各イベントは、それぞれ同一のイベントで構成することができ、複数段繰り返されるように構成することで、異常行動パターンの検出を容易にする。
図6の例では、開始状態Ssから第15〜第20イベント601〜606が生起するイベント生起確率は、それぞれ0.2%、0.4%、3%、0.3%、0.8%、60%であり、第1状態S1から第21〜第26イベント611〜616が生起するイベント生起確率は同じく0.2%、0.4%、3%、0.3%、0.8%、60%である。また、第1状態S1から第27イベント617が生起するイベント生起確率は30%である。
図7は、通話中イベントモデル404のオートマトンの他の構成例を示す説明図である。
図7で示す通話中イベントモデル404の構成では、開始状態Ssから第1状態S1への状態遷移におけるキーワード検出のイベントをひとまとまりとした第28イベント701としている。
この第28イベント701では、通信端末2の音声データを音声認識した結果、キーワードKW1〜KWnが検出される場合を示すものであって、各キーワードKW1〜KWnが検出される場合のイベント生起確率をPkw(n)で表すようにしている。
通信端末2の通話内容中にキーワードKW1〜KWnが検出されるイベント生起確率Pkw(n)は、通話の音声データの単位時間長当たりに各キーワードが検出される確率とすることができ、過去の各キーワードの検出回数を累積通話時間で割ることで算出することが可能である。
開始状態Ssから第1状態S1に遷移する際に通過するイベントとしては、話者の交代を検出したことを示す第29イベント702、通話開始から通話時間が5分以上経過したことを示す第30イベント703がある。第29イベント702は、図6の第19イベント605と同様であり、通信端末2の送話側の音声データと受話側の音声データに基づいて、話者が交代したことを検出した場合を示す。第30イベント703は、図6の第20イベントと同様であり、通信端末2の通話が通話開始から5分以上を経過したことを検出した場合を示す。
第1状態S1から第2状態S2への状態遷移におけるキーワード検出のイベントをひとまとまりとした第31イベント711としている。
第31イベント711は、第28イベント701と同様の構成であり、通信端末2の音声データを音声認識した結果、キーワードKW1〜KWnが検出される場合を示すものであって、各キーワードKW1〜KWnが検出される場合のイベント生起確率をPkw(n)で表すようにしている。第31イベント711で用いられるイベント生起確率Pkw(n)についても、第28イベント701で用いられるイベント生起確率Pkw(n)と同一のものを使用可能である。
第1状態S1から第2状態S2への状態遷移は、第31イベント711の他に、話者の交代を検出したことを示す第32イベント712、通話開始から通話時間が5分以上経過したことを示す第33イベント713、通話開始から通話時間が10分以上経過したことを示す第34イベント714を含んでいる。
第32イベント712は、第29イベント702と同様であり、通信端末2の送話側の音声データと受話側の音声データに基づいて、話者が交代したことを検出した場合を示す。
第33イベント713は、第30イベント703と同様であり、通信端末2の通話が通話開始から5分以上を経過したことを検出した場合を示す。
第34イベント714は、通信端末2の通話が通話開始から10分以上を経過したことを検出した場合を示す。
キーワードの検出イベントにおいて、所定のキーワードの検出順をイベント生起確率として保持しておき、これに基づいて通常行動パターンか否かを判定するように構成することができる。
たとえば、通話の音声データを音声認識した過去の履歴情報から、キーワードKWaの次にキーワードKWbが出現する確率を算出し、これをイベント生起確率Pkw(a,b)として保存しておく。開始状態Ssから第1状態S1に遷移する際に、第28イベント701においてキーワードKWaを検出し、第1状態S1から第2状態S2に遷移する際に、第31イベント711においてキーワードKWbを検出した場合に、イベント生起確率Pkw(a,b)を用いて確率を算出するように構成できる。
〈通常行動モデルと異常行動モデル〉
上述したように、行動パターンモデルに含まれた各イベントには、状態遷移におけるイベント生起確率を備えている。たとえば、図4に示す行動パターンモデル400の開始状態Ssから最終状態Sfに至るまでに、類型パターンモデル401〜405に含まれる複数のイベントを通過することとなる。この時に、パターン判定部30は、通過するイベントのイベント生起確率を全て乗算した累積確率を算出し、この累積確率が高いほどユーザの行動が通常行動である可能性が高く、所定値よりも低い場合には異常行動である可能性が高いと判定する。このことから、このような行動パターンモデル400を通常行動モデルとする。
このような通常行動モデルを用意する他に、異常行動モデルを用意しておくことが考えられる。
パターンモデル保存部20に保存されている行動モデルパターンのうち、開始状態Ssから最終状態Sfに至る経路中で通過するイベントの累積確率を算出し、100%から累積確率を減算した異常度が所定値よりも高くなる場合に、この開始状態Ssから最終状態Sfに至る経路を元にして異常行動モデルを作成する。
図8は、異常行動モデルを作成するための基礎となる行動パターンの一例を示す説明図である。
図8に示すような、開始状態Ssから第1状態S1に遷移する間に第35イベント801を通過し、第1状態S1から第2状態S2に遷移する間に第36イベント811を通過するような行動パターン800に関して考察する。
第35イベント801は、通信端末2における通話時間が30分を超えた場合を示す。
第36イベント811は、通話中の発声時間長が通信相手の方が80%を超えている場合を示す。
このように、通話時間が所定時間を超えて長く、しかも通話相手が一方的に話しているような場合には、強引な勧誘などの詐欺行為である可能性があり、異常行動パターンとみなすことができる。
この行動パターン800では、開始状態Ssから第1状態S1に遷移する際に第35イベント801を通過する場合のイベント生起確率が1%であり、第1状態S1から第2状態S2に遷移する際に第36イベント811を通過する場合のイベント生起確率が1%である。
したがって、開始状態Ssから第35イベント801を通過して第1遷移状態S1に到達し、第1遷移状態S1から第36イベント811を通過して最終状態Sfに到達する際の累積確率は、1%×1%=0.01%となる。さらに、このときの異常度は、累積確率に遷移回数2を乗算した0.01%×2を100%から引いた値99.98%として算出することができる。
このような方法で算出された異常度が所定の閾値Trを上回る場合に、この行動パターンを元にして異常行動モデルを作成する。
開始状態Ssから最終状態Sfに至る経路中に存在するイベントを辿り、累積確率が低くなった要因を検出する。たとえば、イベント生起確率が所定値Ta以下であるようなイベント、多肢選択系のイベントの場合にイベント生起確率の平均値に対して所定値Tb以上小さいイベント生起確率が小さいイベント、通過経路中のイベント生起確率の小さい順に上位m個などの方法で、累積確率の低い要因となったイベントを特定する。このようにして特定されたイベントと、その遷移順序の関係を保持するように、確率付きオートマトンを作成することにより、異常行動モデルを作成することができる。
このようにして作成された異常行動モデルをパターンモデル保存部20に保存しておき、保存された異常行動モデルに基づいて、通信端末2の異常検出を行うように構成できる。
たとえば、通信端末2において、通話中の処理が重くなるような場合には、構造が簡素化された異常行動モデルだけを駆動しておき、異常行動モデルに基づいた異常検出だけを行うように構成する。通話中の音声データを録音しておき、通話終了後に通常行動モデルを駆動して、行動パターンについての解析処理を行うように構成することができる。
〈通信端末〉
異常検出装置1では、通信端末2の各部から端末情報を取得して、異常検出処理を実行している。この詳細に関して、図示した一例に基づいて説明する。
図9は、異常検出装置1と通信端末2との接続状態を示す機能ブロック図である。
前述したように、異常検出装置1は、通信端末1に搭載されたモジュールとして実現することも可能であり、また通信回線を接続される他のシステムで構成することも可能である。また、端末情報取得部10のみを通信端末2に搭載されたモジュールとし、他の構成要素を通信回線で接続される他のシステムで構成することも可能である。
通信端末2は、通信部902、受話部903、スピーカー904、送話部905、マイク906、アドレス帳907、制御部908、ディスプレイ909、入力部910、時計911などを備えている。
通信部902は、電話網930との回線接続を行い、通話先931との音声データの送受信を行うものである。通信部902は、電話網930を介して通話先931から受信した音声データを受話部903に送信する。
受話部903は、受信したデジタル音声データをアナログ音声データに変換して、スピーカー904に出力する。
送話部905は、マイク906で拾ったユーザのアナログ音声データをデジタル音声データに変換して、通信部902に送信する。
アドレス帳907は、ユーザが登録する通話先のデータを記憶するメモリで構成され、メモリ番号に対応付けて電話番号と名前または名称とを保持するものである。またこのアドレス帳907は、メモリ番号、名前または名称、電話番号をキーとした検索機能を備えるものである。
制御部908は、通信端末2の各部を制御するものであって、CPU、ROM、RAMなどを含むマイクロプロセッサで構成される。
ディスプレイ909は、制御部908からの指示に応じて、着信番号や時刻情報などの各種情報を表示するものであり、液晶ディスプレイなどで構成される。
入力部910は、ユーザが通信先の情報入力、アドレス帳907の更新、その他情報入力に用いるためのものであって、テンキーやジョグダイヤル、操作ボタンなどの操作部を含むものである。
時計911は、現在時刻を管理するものであって、制御部908からの参照指示に基づいて時刻情報を出力する。
前述したように、異常検出装置1には、端末情報取得部10、パターンモデル保存部20、パターン判定部30、警告発生部40を備えている。
端末情報取得部10は、音声データ解析部921、操作監視部922、履歴保持部923などを備えている。
音声データ解析部921は、通信端末2の発話部903から受話音声データを受信し、送話部905から送話音声データを受信する。音声データ解析部921は、受信した受話音声データと送話音声データに基づいて、送話者と受話者の会話の長さを比較して発声時間長を監視するように構成できる。また、音声データ解析部921は、受話音声データと送話音声データを音声認識して、音声データ中に含まれるキーワードを抽出するように構成することも可能である。このキーワード解析については、音声データ解析部921が受信した受話音声データと送話音声データをパターン判定部30に送信し、パターン判定部30において音声認識処理を行ってキーワードを抽出するように構成することも可能である。
操作監視部922は、制御部908、アドレス帳907、時計911から、入力部910で入力された操作内容、通話時間、通話開始時刻、アドレス帳操作履歴、通信先、発信/受信などの操作内容情報を受信する。
操作監視部922で受信した操作内容情報は、操作履歴情報として履歴保持部923に格納される。
端末情報取得部10では、通信端末2の通話及び操作に関する端末情報として、発声時間長、音声データから抽出されたキーワード、通話時間長、通話開始時刻、アドレス帳操作履歴、通信先情報、発話/受話を生成し、パターン判定部30に送信する。
パターン判定部30では、端末情報取得部10から受信した端末情報を、パターンモデル保存部20に保存された行動パターンモデルに基づいて、通常行動パターンであるか異常行動パターンであるかを、行動パターンモデルに応じて判定し、この判定結果を警告発生部40に出力する。行動パターンモデルに応じた判定の仕方は、行動パターンモデル対応した判定基準をパターンモデル保存部20に登録しておくこともでき、判定処理の中に事前に組み込むようにすることもできる。
〈通話パターン判定〉
図10は、通話中における行動パターンを判定するための通話パターン判定処理のフローチャートである。
ステップS1001において、パターン判定部30は、パターンモデル判定部20から、通話中における行動パターンモデルを読み出す。たとえば、パターン判定部30は、図4に示す行動パターンモデル400のうち、過去通話イベントモデル402、通話開始イベントモデル403、通話中イベントモデル404、通話終了イベントモデル405などのイベントモデルを中心に組み合わせた行動パターンモデルを選択する。
ステップS1002において、パターン判定部30は、端末情報取得部10から送信されてくるまで待機し、送信されてきた端末情報を受信する。
ステップS1003において、パターン判定部30は、受信した端末情報に応じて、行動パターンモデルを確率付きオートマトンとして駆動する。
ステップS1004において、パターン判定部30は、端末情報に応じて、行動パターンモデル中の状態遷移を行い、通過経路中のイベント生起確率を記憶する。パターン判定部30は、通過したイベントのそれぞれのイベント生起確率を乗算した累積確率を算出し、遷移先の状態とともに所定の記憶領域に記憶する。
ステップS1005において、パターン判定部30は、現在の遷移状態が行動パターンモデルのうちの最終状態に到達したか否かを判定する。パターン判定部30は、現在の遷移状態が行動パターンモデルのうちの最終状態Sfに到達したと判断した場合には、ステップS1006に移行し、そうでない場合にはステップS1002に移行する。
ステップS1006において、パターン判定部30は、累積確率から行動の異常度を算出し、所定値以上の異常度である場合には、警告発生部40に警告情報を出力する。
〈操作パターン判定〉
図11は、通信端末2の操作に関連する端末情報に基づいて行動パターンを判定するための操作パターン判定処理のフローチャートである。操作パターン判定処理は、操作監視部922が通信端末2から受信した操作に関する端末情報に基づいて、操作監視部922が操作パターンに関する判定を行い、この判定に基づいてパターン判定部30で警告情報を出力するか否かの判定を行うように構成することが可能である。
ステップS1101では、操作監視部922が通信端末2の制御部908から受信した操作に関連する端末情報を履歴保持部923に記憶する。履歴保持部923に記憶される端末情報としては、ユーザが入力部910を介して入力した操作情報、通信端末2の動作モード、通話時間、通話開始時刻、通話終了時刻、アドレス帳操作履歴、通信先情報、受信/発信などの情報を含む。このステップS1101では、通信端末2が通話外の状態で、通信端末の操作が行われたものであり、この操作に関連する端末情報に基づいて、ステップS1102に移行する。
ステップS1102において、操作監視部922は、通話外イベント処理を実行する。
ステップS1103において、操作監視部922は、通信端末2が通話を開始したか否かを判別する。操作監視部922は、通信端末2から受信した端末情報に基づいて、通話を開始したと判断した場合にはステップS1104に移行し、そうでない場合にはステップS1106に移行する。
ステップS1104では、操作監視部922は、過去通話イベント処理を実行する。
ステップS1105では、操作監視部922は、通話開始イベント処理を実行する。
ステップS1106では、操作監視部922は、通信端末2が現在通話中であるか否かを判別する。操作監視部922は、通信端末2から受信した端末情報に基づいて、現在の通信端末が通話中であると判断した場合には、ステップS1107に移行し、そうでない場合にはステップS1108に移行する。
ステップS1107では、操作監視部922は、通話中イベント処理を実行する。
ステップS1108では、操作監視部922は、通信端末2が通話を終了したか否かを判別する。操作監視部922は、通信端末2から受信した端末情報に基づいて、通話を終了したと判断した場合にはステップS1109に移行する。
ステップS1109では、操作監視部922は、通信終了イベント処理を実行する。
《通信外イベント処理》
通信端末2が発信、受信、通話中などの処理中ではなく、通話外における操作が実行された場合には、通話外イベント処理が実行される。
図12は、通話外イベント処理のフローチャートである。この通話外イベント処理は、図4の行動パターンモデル400中の通話外イベントモデル401を駆動して、行動パターンが通常行動パターンであるか異常行動パターンであるかの判定を行うように構成できる。
通話外イベント処理に含まれる処理としては、端末にインストールされたゲームアプリケーションの起動や、内蔵されたカメラの操作、アラーム設定などの種々のものが想定できるが、ここでは、通信端末を利用した詐欺行為を防止するために、アドレス帳のデータ更新について考察する。
ステップS1201では、操作監視部922は、通信端末2から受信した端末情報に基づいて、アドレス帳907の情報更新があったか否かを判別する。操作監視部922は、通信端末2においてアドレス帳の情報更新があったと判断した場合には、ステップS1202に移行する。
ステップS1202において、操作監視部922は履歴保持部923に記憶されている履歴情報を参照し、直前の受信番号への更新が否かを判定し、その判定結果をパターン判定部30に送信する。通信端末2のアドレス帳に既に登録されている電話番号を変更させ、既に登録されている者になりすます詐欺行為がある。アドレス帳の情報更新が、既登録の電話番号を直前に受信した電話番号に変更するような操作である場合には、操作監視部922は、行動パターンが通常行動パターンではないとみなして、その旨の通知をパターン判定部30に送信する。
《過去通話イベント処理》
通信端末2に対する着信または通信端末2が発信を行った場合には、操作監視部922は通話を開始する前の過去通話イベント処理を実行する。
図13は、過去通話イベント処理のフローチャートである。この過去通話イベント処理は、図4の行動パターンモデル400の過去通話イベントモデル402を駆動して、行動パターンが通常行動パターンであるか異常行動パターンであるかの判定を行うように構成できる。
ステップS1301において、操作監視部922は、過去の通話履歴があるか否かを判別する。操作監視部922は、履歴保持部923を参照し、過去の通話履歴情報が存在するか否かを判別し、通話履歴情報があると判断した場合にはステップS1302に移行し、そうでない場合にはこの処理を終了する。
ステップS1302では、操作監視部922は、履歴保持部923に記憶されている通話履歴情報に基づいて直前の通話から間隔を算出し、これをパターン判定部30に送信する。
ステップS1303では、操作監視部922は、通話履歴情報のうち直前の通話先と今回の通話先とが同一か否かを判別する。操作監視部922は、アドレス帳907の情報を参照して、通話履歴情報の直前の通話先が今回の通話先と一致すると判断した場合にはステップS1304に移行し、そうでない場合にはステップS1305に移行する。
ステップS1304では、操作監視部922は、今回の通話先が直前の通話先と一致する旨の通知をパターン判定部30に送信する。
ステップS1305では、操作監視部922は、今回の通信先が直前の通話先と一致しない旨の通知をパターン判定部30に送信する。
このように、操作監視部922は、同一の通話先との通話が頻繁に行われていることを検出した場合には、通常行動パターンではない旨の通知をパターン判定部30に送信するように構成できる。
《通話開始イベント処理》
通信端末2に対する受信があった場合及び通信端末2からの発信を行う操作があった場合には、通話監視部922は通話開始イベント処理を実行する。
図14は、通話開始イベント処理のフローチャートである。この通話開始イベント処理は、図4の行動パターンモデル400の通話開始イベントモデル403を駆動して、行動パターンが通常行動パターンであるか異常行動パターンであるかの判定を行うように構成できる。
ステップS1401において、操作監視部922は、通話開始時刻をパターン判定部30に通知する。操作監視部922は、通話が開始時刻に関する通話開始時刻情報を通信端末2の制御部908から受信し、この通話開始時刻情報をパターン判定部30に送信する。
ステップS1402において、操作監視部922は発声時間の監視を開始する。操作監視部922は、音声データ解析部921に受話音声データと送話音声データの解析を開始させる。音声データ解析部921における音声解析処理は、通話中における受話音声データと送話音声データの比率を監視する発声時間監視処理S1700であり、通話開始から通話終了まで並行処理される。
ステップS1403において、操作監視部922は、通信端末2が受信した通話であるか否かを判別する。通信端末2に対する着信に基づいて通話を開始しようとしている場合には、操作監視部922は通信端末2の制御部から受信である旨の信号を受信する。この場合には、操作監視部922は、開始しようとしている通話が受信であると判断してステップS1404に移行する。また、通信端末2が他の通信先に対して行った発信に基づいて通話を開始しようとしている場合には、操作監視部922は通信端末2の制御部から送信である旨の信号を受信する。この場合には、操作監視部922は、開始しようとしている通話が受信でないと判断してステップS1409に移行する。
ステップS1404において、操作監視部922は、番号通知ありの通話先であるか否かを判別する。開始しようとしている通話が番号通知ありの通信先からものである場合、操作監視部922は通信端末2の制御部908からその旨の通知を受信し、番号通知ありの通信先からの通話要求であると判断してステップS1405に移行する。また、開始しようとしている通話が番号通知なしの通信先からものである場合、操作監視部922は通信端末2の制御部908からその旨の通知を受信し、番号通知なしの通信先からの通話要求であると判断してステップS1408に移行する。
ステップS1405において、操作監視部922は、番号通知ありの通話先からの受信である旨の信号をパターン判定部30に送信する。
ステップS1406において、操作監視部922は、番号通知された通話先の電話番号がアドレス帳907に記憶されているものか否かを判別する。操作監視部922は、通信端末2のアドレス帳907に記憶されている電話番号データを参照し、番号通知された通話先の電話番号と一致するものが存在する場合には、番号通知された通話先の電話番号がアドレス帳に登録されていると判断してステップS1407に移行し、そうでない場合には処理を終了する。
ステップS1407において、操作監視部922は開始しようとしている通話の通話先がアドレス帳に登録済みの電話番号である旨の信号を、パターン判定部30に送信する。
ステップS1408において、操作監視部922は、開始しようとしている通話の通話先が番号通知無しである旨の信号をパターン判定部30に送信する。
ステップS1409において、操作監視部922は、通信端末2が他の通信先に対して行った発信に基づいて通話を開始しようとしている旨の信号をパターン判定部30に送信する。
ステップS1410において、操作監視部922は、通信先である電話番号がアドレス帳907に登録されたものか否かを判定する。操作監視部922は、通信端末2のアドレス帳907に記憶されている電話番号情報を参照し、通話を開始しようとしている通信先の電話番号に一致する電話番号がアドレス帳907に存在している場合には、通信先の電話番号がアドレス帳907に登録されたものであると判断してステップS1411に移行し、そうでない場合にはこの処理を終了する。
ステップS1411において、操作監視部922は、開始しようとする通話がアドレス帳907に登録された電話番号に対するものである旨の信号をパターン判定部30に送信する。
《通話中イベント処理》
通信端末2が通話を開始した場合には、操作監視部922は通話開始イベント処理を実行する。
図15は、通話中イベント処理のフローチャートである。この通話中イベント処理は、図4の行動パターンモデル400の通話中イベントモデル404を駆動して、行動パターンが通常行動パターンであるか異常行動パターンであるかの判定を行うように構成できる。
ステップS1501において、操作監視部922は、履歴保持部923から通話開始時刻情報を取得する。操作監視部922は、履歴保持部923に記憶されている今回の通話に関する端末情報を参照し、この通話の通話開始時刻情報を読み出す。
ステップS1502において、操作監視部922は、現在時刻情報を時計911から取得する。操作監視部922は、通信端末2の制御部908から送信される時計911の現在時刻情報を受信する。
ステップS1503において、操作監視部922は、現在の通話時間を算出する。操作監視部922は、履歴保持部923から取得した通話開始時刻情報と、通信端末2の制御部908から受信した現在時刻情報に基づいて、通話開始時刻からの経過時間を算出して通話時間とする。
ステップS15804において、操作監視部922は、通話時間が既定の時間を経過していると判断した場合にパターン判定部30に既定時間が経過した旨の通知を送信する。ここで、既定の時間は、たとえば5の倍数分とすることができ、操作監視部922は、通話時間が5分、10分、15分・・・が経過する毎に、パターン判定部30に経過時間に関する通知の信号を送信するように構成できる。
《通話終了イベント処理》
通信端末2が通話を終了した場合には、操作監視部922は通話終了イベント処理を実行する。
図16は、通話終了イベント処理のフローチャートである。この通話終了イベント処理は、図4の行動パターンモデル400の通話終了イベントモデル405を駆動して、行動パターンが通常行動パターンであるか異常行動パターンであるかの判定を行うように構成できる。
ステップS1601において、操作監視部922は、履歴保持部923から通話開始時刻情報を取得する。操作監視部922は、履歴保持部923に記憶されている今回の通話に関する端末情報を参照し、この通話の通話開始時刻情報を読み出す。
ステップS1602において、操作監視部922は、現在時刻情報を時計911から取得する。操作監視部922は、通信端末2の制御部908から送信される時計911の現在時刻情報を受信して、これを終了時刻情報とする。
ステップS1603において、操作監視部922は、通話時間を算出する。操作監視部922は、履歴保持部923から取得した通話開始時刻情報と、通信端末2の制御部908から受信した通話終了時刻情報に基づいて、通話開始時刻から通話終了時刻までの経過時間を算出して通話時間とする。
ステップS1604において、操作監視部922は、通話時間が既定時間未満であるか否かを判別し、通話時間が既定の時間未満であると判断した場合にはパターン判定部30にその旨の通知の信号を送信する。既定の時間は、たとえば、5分に設定することができ、この場合、操作監視部922は、通話時間が5分未満であった旨の信号をパターン判定部30に送信する。
ステップS1605において、操作監視部922は、通話終了時刻をパターン判定部30に送信する。操作監視部922は、通話が終了した時点で通信端末2の制御部908から終了時刻情報を受信しており、この終了時刻情報をパターン判定部30に送信する。
ステップS1606において、操作監視部922は、音声データ解析部921に通話が終了した旨の通話終了信号を送信する。音声データ解析部921は、操作監視部922から通話終了信号を受信することにより、発声時間監視処理を終了する。
《発声時間監視処理》
通信端末2が通話を開始すると同時に、音声データ解析部921により発声時間監視処理が開始される。
図17は、発声時間監視処理のフローチャートである。
発声時間監視処理は、通話中における受話音声データと発話音声データの時間長を比較するものである。
ステップS1701において、音声データ解析部921は、通話終了信号を受信したか否かを判別する。音声データ解析部921は、操作監視部922から送信される通話終了信号を受信した場合にステップS1704に移行し、そうでない場合にはステップS1702に移行する。
ステップS1702において、音声データ解析部921は、送話中発声時間監視処理を実行する。
ステップS1703において、音声データ解析部921は、受話中発声時間監視処理を実行する。
ステップS1704において、音声データ解析部921は、送話、受話それぞれの発声時間をパターン判定部30に送信する。
《送話中発声時間監視処理:受話中発声時間監視処理》
音声データ解析部921が実行する送話中発声時間監視処理及び発話中時間監視処理に関して説明する。音声データ解析部921は、通信端末2の送話部905から得られる送話音声データに基づいて、通話中における送話側の発声時間を算出する。また、音声データ解析部921は、通信端末2の受話部903から得られる受話音声データに基づいて、通話中における受話側の発声時間を算出する。いずれの処理についても、音声データを解析してその時間長を算出するものであって、ここでは送話中発声時間監視処理についてのみ説明する。
図18は、送話中発声時間監視処理のフローチャートである。
ステップS1801において、音声データ解析部921は、処理開始直後であるか否かを判別する。音声データ解析部921は、通信端末2による通話が開始された直後であって、操作監視部922から発声時間の監視の指示信号を受信した直後であると判断した場合、ステップS1802に移行し、そうでない場合にはステップS1805に移行する。
ステップS1802において、音声データ解析部921は、最初のフレームに含まれるデータを受信する。たとえば、W-CDMAシステムにおける無線フレームは、上りリンク、下りリンクともに、基本フレームが10msで構成され、1フレームは15スロットで構成される。ここでは、音声データ解析部921は、送話部905から得られる送話音声データのうち、1番目のフレームに含まれる音声データを受信する。
ステップS1803において、音声データ解析部921は、フレームパワーを算出して推定雑音レベルPnを求める。
ステップS1804において、音声データ解析部921は、送話側の発声時間長を0とする。
ステップS1805において、音声データ解析部921は、次のフレームの音声データを受信する。
ステップS1806において、音声データ解析部921は、フレームパワーPを算出する。音声データ解析部921は、受信したフレームの音声データに基づいて、フレームパワーPを算出する。
ステップS1807において、音声データ解析部921は、フレームパワーPが推定雑音レベルPnと所定の閾値Phとを加算したものを超えているか否かを判定する。音声データ解析部921が、現在のフレームにおけるフレームパワーPが、推定雑音レベルPnと所定の閾値Phとを加算した値を超えていると判断した場合にはステップS1808に移行し、そうでない場合にはステップS1809に移行する。
ステップS1808において、音声データ解析部921は、送話側の発声時間にフレーム時間長を加算する。
ステップS1809において、音声データ解析部921は、推定雑音レベルを0.3×Pn+0.7×Pに更新する。
送話中発声時間監視処理は、以上のような構成であり、音声データ解析部921では操作監視部922からの通話終了信号を受信するまで、送話側の発声時間を計測する。
送話中発声時間監視処理では、送話部905からの送話音声データに基づいて音声検出処理を行っており、これに代えて受話部903からの受話音声データに基づいて音声検出処理を行うものが受話中発声時間監視処理である。
このような、送話中発声時間監視処理及び受話中発声時間監視処理は、それぞれ音声データ中の音声検出処理(VAD:voice activity detection)であって、さらに高度な処理方法が種々提案されているのでこれらを用いることも可能である。
また、品質向上のためのノイズキャンセラー、通信量を削減するための音声圧縮処理などに用いられるVAD処理モジュールが、通信端末2に含まれているような場合には、そのVAD処理による音声検出結果を用いて、送話側及び受話側の通話時間を算出することが可能である。
〈警告発生部〉
警告発生部40では、パターン判定部30による判定結果情報に基づいて、異常行動パターンを検出した場合には警告発生処理を実行する。
図19は、警告発生部40における警告発生処理のフローチャートである。
ステップS1901において、警告発生部40は、パターン判定部30から異常行動パターンを検出した旨の判定結果情報を受信するまで待機する。
ステップS1902において、警告発生部40は、警告音を発生する。警告発生部40は、たとえば、異常行動パターンを検出した旨の音声通知を通信端末2のスピーカー904に出力するように構成できる。このことで、通信端末2のユーザにのみ異常行動パターン検出の通知を行うことが可能となる。
ステップS1903において、警告発生部40は、警告メッセージをディスプレイ909に表示させる。警告発生部40は、通信端末2のディスプレイ909に対して、異常行動パターンを検出した旨の画像データを送信して表示させる。
警告発生部40では、異常行動パターンを検出した旨の警告音及び警告メッセージを、その警告の種別毎に予め所定の記憶領域に記憶しておき、パターン判定部30から送信される判定結果信号に基づいて該当する警告音または警告メッセージを選択して出力するように構成できる。
〈各処理中のイベントモデル例〉
《通話中イベントモデル》
図20は、図16に示す通話中イベント処理に対応する通話中イベントモデルの説明図である。
図20に示す通話中イベントモデル2000は、開始状態Ssから第1状態S1、第2状態S2、第3状態S3・・・を経て最終状態Sf(図示せず)に到達する。
開始状態Ssから第1状態S1に遷移する過程で、通話時間が5分以上であることを示す第37イベント2001を通過する。この時の第37イベント2001のイベント生起確率は60%である。
第1状態S1から第2状態S2に遷移する過程で、通話時間が10分以上であることを示す第38イベント2011を通過する。この時の第38イベント2011のイベント生起確率は30%である。
第2状態S2から第3状態S3に遷移する過程で、通話時間が15分以上であることを示す第39イベント2021を通過する。この時の第39イベント2021のイベント生起確率は20%である。
このような通話中イベントモデル2000では、通話時間が5分以上となる確率が60%であり、さらに通話時間が10分超える確率は30%であることから、通話時間が10分を超える確率は60%×30%=18%である。
このような通話中イベントモデル2000において、通話時間が長くなる程、累積確率が小さな値となることから、所定値以下となる状態において打ち切って最終状態Sfとすることが可能である。
また、通話中における警告処理を行うことを考慮しない場合には、通話中イベント処理を省略することも可能である。その場合には、通話終了イベント処理においてのみ、通話時間に関する処理を行うこととなる。
《通話終了イベントモデル》
図21は、図16に示す通話終了イベント処理に対応する通話終了イベントモデルの一例を示す説明図である。
図21に示す通話終了イベントモデル2100は、開始状態Ssから第1状態S1、第2状態S2を介して最終状態Sfに到達する。
開始状態Ssから通話時間が5分未満であることを示す第40イベント2101を経て第1状態S1に到達する。
前述したような通話中イベントモデル2000を用いた通話中イベント処理を行った場合、通話時間が5分を超えるような場合に既に累積確率が積算されている。したがって、通話時間が5分を超える場合には、イベント生起確率が100%で通話終了時刻に関するイベントを通過するように構成している。これとは別に、通話時間が5分未満であることを示す第40イベント2101を通過する場合には、イベント生起確率を60%としている。
通話終了時刻に関するイベントは、それぞれ通話終了時刻が0時〜3時であることを示す第41イベント2111、3時〜6時であることを示す第42イベント2112、6時〜9時を示す第43イベント2113、9時〜12時を示す第44イベント2114、12時〜15時を示す第45イベント2115、15時〜18時を示す第46イベント2116、18時〜21時を示す第47イベント2117、21時〜24時を示す第48イベント2118で構成される。第41〜第48イベント2111〜2118のイベント生起確率は、それぞれ0.1%、0.1%、3%、18%、35%、3%、40%、0.8%である。
第2状態S2から最終状態Sfに至る経路には、発声時間に関するイベントを通過するように構成されている。発声時間に関するイベントは、発声時間比R=送話側の発声時間/受話側の発声時間で算出される発声時間比Rの値に応じて第49イベント2121〜第53イベント2125に分岐するように構成されている。
第49〜第53イベント2121〜2125は、それぞれ発声時間比Rが0.2未満、発声時間比Rが0.2以上で0.5未満、発声時間比Rが0.5以上で2未満、発声時間比Rが2以上で5未満、発声時間比Rが5以上であることを示す。
第49〜第53イベント2121〜2125のイベント生起確率は、それぞれ2%、30%、36%、30%、2%である。
《通話外イベントモデル》
図22は、図12に示す通話外イベント処理に対応する通話外イベントモデルの一例を示す説明図である。
通話外イベントモデル2200は、開始状態Ssと最終状態Sfの間に、第54イベント2201、第55イベント2202を経過するように構成されている。
第54イベント2201は、アドレス帳907のデータ更新が直前の通話における通信先の電話番号である場合を示す。この第54イベント2201のイベント生起確率は1%である。
第55イベント2202は、アドレス帳907のデータ更新が直前の通話における通信先以外の電話番号である場合を示す。この第55イベント2202のイベント生起確率は99%である。
《過去通話イベントモデル》
図23は、図13の過去通話イベント処理に対応する過去通話イベントモデルの一例を示す説明図である。
この過去通話イベントモデル2300では、開始状態Ssから第1状態S1への状態遷移中に位置する直前の通話との間隔に関する第56イベント2301〜第60イベント2305を有する。
また、第1状態S1から最終状態Sfへの状態遷移中に第61イベント2311、第62イベント2312を有している。
第56イベント2301〜第60イベント2305は、それぞれ直前の通話との間隔が1時間以内、2時間以内、半日以内、3日以内、3日以上の場合を示すものであり、イベント生起確率はそれぞれ5%、10%、15%、65%、5%である。
また、第61イベント2311は、今回の通話先が直前の通話先と同じ電話番号である場合を示すものであり、イベント遷移確率は30%である。
第62イベント2312は、今回の通話先が直前の通話先と異なる電話番号である場合を示すものであり、イベント遷移確率は70%である。
〈実施例における異常検出例〉
前述したような実施例における実際の異常検出例について説明する。
通信端末2上に全ての機能部を搭載する構成とする場合には、マルチタスク(プロセス)可能なオペレーションシステム(OS)を搭載した携帯電話端末であり、イベント駆動型プログラミングにより動作する異常検出方法を提供することができる。マルチタスク以外にも、マルチスレッド、シングルタスク、シングルスレッドなどの構成とすることも可能である。
パターン判定部30、操作監視部922、警告発生部40などの構成は、それぞれ起動時に別タスクとして動作を開始するものとする。
また、音声データ解析部921による発声時間監視処理は、通話開始と同時に別タスクとして起動して通話終了に伴って終了するように構成している。
タスク間の信号のやり取りは、通常のマルチタスクプログラミングと同様に、信号送信側が共有メモリ領域に書き込み、受信側が定期的に共有メモリ領域を見に行くことで実現することが可能である。
前述したような実施例において、通信端末2の電源オンに伴って、パターン判定部30と操作監視部922は、それぞれ図10に示す通話パターン判定処理、図11に示す操作監視処理を並行して実行することとなる。
想定される危険な通話の一例を用いて、これを検出する例を示す。前述したように、異常度=100%−累積確率×遷移回数で算出するものとする。
図24は、図4の行動パターンモデル400における遷移過程の一例を示す説明図である。
たとえば、通話が開始する前にアドレス帳の更新が実行され、その後同一電話番号からの着信に基づいて通話が実行される場合であって、開始状態Ssから通話外イベントモデル401、過去通話イベントモデル402、通話開始イベントモデル43、通話中イベントモデル404、通話終了イベントモデル405を経由して最終状態Sfに到達する場合について考察する。
息子に成りすましたある人物がこの通信端末2に対する発信を行って、「携帯電話をなくしたので、今かけている新しい電話番号にアドレス帳のデータを変更して欲しい」との通話を行ったとする。ユーザが、この通話に基づいて通信端末2のアドレス帳のデータを更新したとする。ユーザのアドレス更新処理に伴って、図12に示す通話外イベント処理が実行される。この時、ステップS1202において、操作監視部922は、アドレス帳のデータが直前の受信番号に変更されたことを検出する。このアドレス帳907のデータが直前の受信番号に変更された旨の情報は、パターン判定部30に送信される、
パターン判定部30は、図24に示す通常行動モデル400において、開始状態Ssから遷移が可能である通話外イベントモデル401、過去通話イベントモデル402、通話開始イベントモデル403を参照する。ここでは、パターン判定部30は、通話外イベントモデル401を選択する。
図22に示す通話外イベントモデル2200において、パターン判定部30は、開始状態Ssから第54イベント2201を経由して最終状態Sfに遷移することとなる。この場合の累積確率は、第54イベント2201の生起確率である1%となる。パターン判定部30では、この累積確率に基づいて、異常度=100%−1%×1=99%を算出し、これを警告発生部40に送信する。
1日後、アドレス帳のデータ更新があった電話番号からの着信があった場合、再び同一の人物からの着信であると推測できる。
この場合、図13に示す過去通話イベント処理において、操作監視部922は、直前の通話から3日以内の着信であること、直前の通話と同一の通話先であることを検出し、この旨の信号をパターン判定部30に送信する。
パターン判定部30は、図24の行動パターンモデル400の通話外イベントモデル401から遷移が可能な過去通話イベントモデル402と通話開始イベントモデル403を参照する。ここでは、パターン判定部30は、過去通話イベントモデル402を選択する。
パターン判定部30では、図23に示す過去通話イベントモデル2300を参照し、操作監視部922から受信した端末情報に基づいて、第59イベント2304、第61イベント2311を経由して最終状態Sfまで遷移することができる。パターン判定部30は、このときの累積確率を通話外イベントモデル2200での累積確率も含めて、1%×65%×30%=0.195%として算出する。また、パターン判定部30は、この累積確率に基づいて、異常度=100%−0.195%×3=99.415%として算出し、これを警告発生部40に送信する。
さらに、通信端末2に対する着信時刻が14時10分であるとすると、図14に示す通話開始イベント処理において、操作監視部922が、通話開始時刻、番号通知あり、アドレス帳への登録済みである、などの端末情報を取得し、これをパターン判定部30に送信される。
パターン判定部30は、現在の状態である図4の過去通話イベントモデル402から遷移可能な通話開始イベントモデル403を参照する。
パターン判定部30は、図5に示す通話開始イベントモデルにおいて、第5イベント505、第10イベント512、第11イベント521、第13イベント531を経由して最終状態Sfに到達するように遷移することができる。パターン判定部30は、このときの累積確率を、それまでに通過したイベントモデルの累積確率を含めて、0.195%×33%×70%×95%×90%=0.0385%と算出する。また、パターン判定部30は、この累積確率に基づいて、異常度=100%−0.0385%×7=77.73%と算出し、これを警告発生部40に送信する。
この通話において、通話先の人物が、取り乱した風を装い、急に大金が必要になったため、所定の口座に金を振り込むようにまくし立てたとする。このことにより、通話先の人物が隙間なく声を発している状態が続き、通信端末2における受話側の発声時間が、送話側の発声時間の5倍以上になったとする。このときの通話時間が13分であったとする。
図15に示す通話中イベント処理において、操作監視部922は、通話時間が5分以上、通話時間が10分以上である端末情報をパターン判定部30に送信する。
パターン判定部30は、現在の状態である通話開始イベントモデル403から遷移可能な通話中イベントモデル404、通話終了モデル405を参照する。この場合、パターン判定部30は通話中イベントモデル404を選択する。
パターン判定部30は、図20における通話中イベントモデル2000において、第37イベント2001を経由して第1状態S1に遷移し、さらに第38イベント2011を経由して第2状態S2に遷移する。この通話中イベントモデル2000において、開始状態Ssを除く各遷移状態は、それぞれ受理状態であり、パターン判定部30は各遷移状態において累積確率及び異常度の算出を行う。この場合の第1状態S1及び第2状態S2における異常度は、それぞれ99.82%、99.94%と算出され、これらは警告発生部40に送信される。
通話が終了した時点で、操作監視部922は、図16の通話終了イベント処理において、終了時刻情報(14時23分)を取得し、これを端末情報としてパターン判定部30に送信する。操作監視部922は、同時に音声データ解析部921に通話終了信号を送信し、発声時間監視処理の終了を指示する。音声データ解析部921は、それまでに算出した送話側の発声時間、受話側の発声時間をパターン判定部30に送信する。
パターン判定部30は、現在の状態である通話中イベントモデル404から遷移可能な通話終了イベントモデル405を参照する。
パターン判定部30は、図21に示す通話終了イベントモデル2100において、第45イベント2115、第49イベント2121を介して最終状態Sfに遷移し、その時の異常度99.9995%を算出して、これを警告発生部40に送信する。
警告発生部40では、パターン判定部30から送信される異常度に基づいて、異常度が所定の閾値Th以上であれば警告情報を出力するように構成できる。閾値Thを99.95%と設定した場合、前述の例では、通話終了イベントモデル406の最終状態に到達した時点で初めて異常度が閾値を超えることとなる。このような場合には、通話終了イベントモデルの最終状態に達した時点で、警告発生部40がスピーカー904への警告メッセージを出力し、ディスプレイ909に警告メッセージの表示データを送信する。
以上のような実施例では、通信端末2の操作や通話に関する端末情報に基づいて、行動パターンを判定し、異常な通話を検出するように構成している。このことは、ここで提案する通信端末の異常検出装置は、音声データからのキーワード検出なしでも、詐欺行為を含む異常通話の検出を示唆するものである。したがって、予め準備したキーワードでは検出できないような新たな手口に基づく詐欺行為であっても、異常通話であることを検出することが可能となる。
〈複数の行動パターンモデルの駆動〉
前述の実施例では、行動パターンモデル400を図24に示すような遷移状態で用いたオートマトンのみが駆動された場合を例示したものである。
パターン判定部30は、開始状態と最終状態とが不明な一連のイベントにより、オートマトンが受理状態に到達できるかを判定しなければならない。したがって、受信した端末情報によって、開始状態Ssから遷移できるようなイベントモデルが存在する場合には、個別の駆動中の行動パターンモデルとして保持することが好ましい。このことは、受信した端末情報に基づいて、駆動中の行動パターンモデルが増えていくことにより、開始時点からの遷移可能な遷移状態のバリエーションに対応することを意味する。この場合、受信した端末情報に基づいて、全ての駆動中の行動パターンモデルの適用を試みて、受理状態に到達したか否かを判定する。駆動中の行動パターンモデルの保持は、実際には、現在の遷移状態と累積確率を個別に保持することで実現できる。
図25は、行動パターンモデルの開始状態から遷移可能なイベントモデルに基づいて、個別に駆動されるオートマトンの一例を示す説明図である。
図24に示すようなオートマトンでは、通話外イベントモデル401の次に過去通話イベントモデル402に遷移している。したがって、通話外イベントモデル401の次の時点を開始状態Ssとして、最初に遷移するイベントモデルが過去通話イベントモデル402であるようなオートマトンを構成することができる。過去通話イベントモデル402の後に続くイベントモデルの遷移は、図24に示される例と全く同様に構成することができる。
したがって、図25に示すようなオートマトンが、図24に示されるオートマトンと並行して駆動されるように構成できる。
図25に示すオートマトンでは、図24に示すオートマトンのうち、通話外イベントモデル401を通過しない構成であり、図24の場合と同一のイベントを辿った場合には、異常度が99.951%と算出される。
このように複数のオートマトンを同時に駆動した場合には、より高くなる異常度の情報を警告発生部40に送信する。
また、イベントモデル内の状態に留まっているようなオートマトンがあれば、同一のイベントモデルの開始時点で先のオートマトンを破棄する、または開始時点から所定時間経過したオートマトンは破棄などの構成とすることが好ましい。
〈他の実施例〉
パターン判定部30で算出される累積確率は、経由する遷移が多いほどその値が小さくなる。したがって、異常度を算出する際に、遷移回数に基づいて正規化を行い、異常度=100%−累積確率×遷移回数としている。どの類型モデルを通過したかにより、累積確率の期待値を予め算出しておき、異常度=期待値−累積確率、異常度=期待値−累積確率の相乗平均(1/n乗(n:遷移回数))などの正規化処理を用いることも可能である。
また、このような異常度の正規化処理に代えて、警告発生部40における閾値Thの値を遷移回数に応じた値とすることも可能である。
以上の実施例を含む実施形態に関し、さらに以下の付記を開示する。
(付記1)
通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして記憶しておくパターンモデル保存部と、
前記通信端末の操作及び通話に関連する端末情報を検出する端末情報取得部と、
前記端末情報取得部で検出した端末情報を前記パターンモデル保存部に記憶された行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定するパターン判定部と、
前記端末情報取得部で検出した端末情報が通常行動パターンでないと前記パターン判定部が判断した場合には所定の警告情報を出力する警告発生部と、
を備える通信端末の異常検出装置。
(付記2)
前記パターンモデル保存部に保存される行動パターンモデルは、イベント生起確率を備える確率付きオートマトンで表現したものであり、
前記パターン判定部は、前記行動パターンモデルに現在の行動パターンを適用して、経由するイベントの生起確率を積算した累積確率に基づいて現在の行動パターンの異常度を算出する、付記1に記載の通信端末の異常検出装置。
(付記3)
前記端末情報取得部は、通話開始時刻、通話終了時刻、通話時間、受話側と送話側の発声時間比、アドレス帳操作履歴、端末位置情報、音声データから検出したキーワードのうちの1または複数の情報を行動パターンにおける端末情報として取得する、付記1または2に記載の通信端末の異常検出装置。
(付記4)
前記パターンモデル保存部に保存される行動パターンは、ユーザの通常行動を示す通常行動パターンモデルと、通常行動パターンモデルのうち異常度が高くなる要因となるイベントを抽出して構成した異常行動パターンモデルとを含む、付記1〜3のいずれかに記載の通信端末の異常検出装置。
(付記5)
前記端末情報取得部で検出された端末情報に基づいて前記行動パターンモデルのイベント生起確率を更新するパターン更新部をさらに備える、付記1〜4のいずれかに記載の通信端末の異常検出装置。
(付記6)
前記パターン更新部は、複数の通信端末で収集された行動パターン、アンケートにより収集された行動パターン、または行動パターンモデルを収集するグローバルパターン収集部により収集された行動パターンに基づいて、パターンモデル保存部に保存された行動パターンモデルを更新する、付記1〜4のいずれかに記載の通信端末の異常検出装置。
(付記7)
前記警告発生部は、前記通信端末、所定の記憶領域に登録済みの所定の連絡先のうち少なくとも1カ所以上に警告情報を出力する、付記1〜6のいずれかに記載の通信端末の異常検出装置。
(付記8)
前記警告発生部は、前記通信端末の通話中の音声データに警告情報を重畳する、付記7に記載の通信端末の異常検出装置。
(付記9)
前記パターン判定部は、前記通信端末の通話中は、異常行動パターンモデルのみを用いて判定を行う、付記4に記載の通信端末の異常検出装置。
(付記10)
前記端末情報取得部は、前記通信端末の通話中における端末情報を所定の記憶領域に蓄積し、前記パターン判定部は、通話終了後に前記所定の記憶領域に蓄積された端末情報に基づいて行動パターンの判定を行う、付記9に記載の通信端末の異常検出装置。
(付記11)
コンピュータや携帯電話を異常検出装置として機能させる異常検出方法であって、
通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして所定の記憶領域に記憶する段階と、
前記通信端末の操作及び通話に関連する端末情報を検出する段階と、
検出された端末情報を前記記憶領域に格納されている行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定する段階と、
前記端末情報が通常行動パターンでないと判断された場合に警告情報を出力する段階と、
を前記コンピュータに実行させる通信端末の異常検出方法。
(付記12)
前記通信端末の通話中の音声データに警告情報を重畳する、付記11に記載の通信端末の異常検出方法。
(付記13)
前記通信端末の通話中は、異常行動パターンモデルのみを用いて現在の行動パターンが通常行動パターンであるか否かの判定を行う、付記11に記載の通信端末の異常検出方法。
通信端末において、音声データに含まれるキーワード検出に頼らずに、ユーザの行動パターン、通話パターンなどに応じて振り込め詐欺(オレオレ詐欺)などの詐欺行為の異常通話を検出できる。これにより、携帯電話に限らず、固定電話、IP電話などの通信端末に応用可能である。
10:端末情報取得部
20:パターンモデル保存部
30:パターン判定部
40:警告発生部
400:行動パターンモデル
401:通話外イベントモデル
402:過去通話イベントモデル
403:通話開始イベントモデル
404:通話中イベントモデル
405:通話終了イベントモデル
921:音声データ解析部
922:操作監視部
923:履歴保持部

Claims (11)

  1. 通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして記憶しておくパターンモデル保存部と、
    前記通信端末の操作及び通話に関連する端末情報を検出する端末情報取得部と、
    前記端末情報取得部で検出した端末情報を前記パターンモデル保存部に記憶された行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定するパターン判定部と、
    前記端末情報取得部で検出した端末情報が通常行動パターンでないと前記パターン判定部が判断した場合には所定の警告情報を出力する警告発生部と、
    を備える通信端末の異常検出装置。
  2. 前記パターンモデル保存部に保存される行動パターンモデルは、イベント生起確率を備える確率付きオートマトンで表現したものであり、
    前記パターン判定部は、前記行動パターンモデルに現在の行動パターンを適用して、経由するイベントの生起確率を積算した累積確率に基づいて現在の行動パターンの異常度を算出する、請求項1に記載の通信端末の異常検出装置。
  3. 前記端末情報取得部は、通話開始時刻、通話終了時刻、通話時間、受話側と送話側の発声時間比、アドレス帳操作履歴、端末位置情報、音声データから検出したキーワードのうちの1または複数の情報を行動パターンにおける端末情報として取得する、請求項1または2に記載の通信端末の異常検出装置。
  4. 前記パターンモデル保存部に保存される行動パターンは、ユーザの通常行動を示す通常行動パターンモデルと、通常行動パターンモデルのうち異常度が高くなる要因となるイベントを抽出して構成した異常行動パターンモデルとを含む、請求項1〜3のいずれかに記載の通信端末の異常検出装置。
  5. 前記端末情報取得部で検出された端末情報に基づいて前記行動パターンモデルのイベント生起確率を更新するパターン更新部をさらに備える、請求項1〜4のいずれかに記載の通信端末の異常検出装置。
  6. 前記パターン更新部は、複数の通信端末で収集された行動パターン、アンケートにより収集された行動パターン、または行動パターンモデルを収集するグローバルパターン収集部により収集された行動パターンに基づいて、パターンモデル保存部に保存された行動パターンモデルを更新する、請求項1〜4のいずれかに記載の通信端末の異常検出装置。
  7. 前記警告発生部は、前記通信端末、所定の記憶領域に登録済みの所定の連絡先のうち少なくとも1カ所以上に警告情報を出力する、請求項1〜6のいずれかに記載の通信端末の異常検出装置。
  8. 前記端末情報取得部は、前記通信端末の通話中における端末情報を所定の記憶領域に蓄積し、前記パターン判定部は、通話終了後に前記所定の記憶領域に蓄積された端末情報に基づいて行動パターンの判定を行う、請求項4に記載の通信端末の異常検出装置。
  9. コンピュータや携帯電話を異常検出装置として機能させる異常検出方法であって、
    通信端末の操作及び通話に関連するイベントの遷移関係を確率モデル化した行動パターンモデルとして所定の記憶領域に記憶する段階と、
    前記通信端末の操作及び通話に関連する端末情報を検出する段階と、
    検出された端末情報を前記記憶領域に格納されている行動パターンモデルと比較して、現在の行動パターンが通常行動パターンであるか否かを判定する段階と、
    前記端末情報が通常行動パターンでないと判断された場合に警告情報を出力する段階と、
    を前記コンピュータに実行させる通信端末の異常検出方法。
  10. 前記通信端末の通話中の音声データに警告情報を重畳する、請求項9に記載の通信端末の異常検出方法。
  11. 前記通信端末の通話中は、異常行動パターンモデルのみを用いて現在の行動パターンが通常行動パターンであるか否かの判定を行う、請求項9に記載の通信端末の異常検出方法。
JP2009166203A 2009-07-15 2009-07-15 通信端末の異常検出装置及び通信端末の異常検出方法 Pending JP2011023903A (ja)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2009166203A JP2011023903A (ja) 2009-07-15 2009-07-15 通信端末の異常検出装置及び通信端末の異常検出方法
US12/835,222 US8521132B2 (en) 2009-07-15 2010-07-13 Abnormality detecting apparatus for communication terminal and abnormality detecting method for communication terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009166203A JP2011023903A (ja) 2009-07-15 2009-07-15 通信端末の異常検出装置及び通信端末の異常検出方法

Publications (1)

Publication Number Publication Date
JP2011023903A true JP2011023903A (ja) 2011-02-03

Family

ID=43466096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009166203A Pending JP2011023903A (ja) 2009-07-15 2009-07-15 通信端末の異常検出装置及び通信端末の異常検出方法

Country Status (2)

Country Link
US (1) US8521132B2 (ja)
JP (1) JP2011023903A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013157923A (ja) * 2012-01-31 2013-08-15 Fujitsu Ltd 通信装置、通信プログラム及び通信方法
JP2013157924A (ja) * 2012-01-31 2013-08-15 Fujitsu Ltd 通信装置、通信プログラム及び通信方法
JP2014081755A (ja) * 2012-10-16 2014-05-08 Fujitsu Ltd 不審通信先警告システム、不審通信先警告方法、及びプログラム
CN103797777A (zh) * 2013-11-07 2014-05-14 华为技术有限公司 网络设备、终端设备以及语音业务控制方法
JP2014216009A (ja) * 2013-04-26 2014-11-17 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 情報の複数のドメインを組合せることによる仕事の実施データ内の異常の検知
WO2015194148A1 (ja) * 2014-06-17 2015-12-23 日本電気株式会社 発信者特定装置、発信者特定方法、および発信者特定プログラムを格納する記録媒体
JP2017085502A (ja) * 2015-10-30 2017-05-18 シャープ株式会社 電話機、制御方法、および制御プログラム
KR101792204B1 (ko) * 2015-07-07 2017-10-31 (주)티아이스퀘어 확률에 기반한 보이스 피싱 패턴 분석 장치 및 방법
JP2018018511A (ja) * 2016-07-29 2018-02-01 エーオー カスペルスキー ラボAO Kaspersky Lab 各種バンキングサービスとユーザの対話における疑わしいユーザ行動の識別のためのシステム及び方法
JP7140422B1 (ja) 2021-03-10 2022-09-21 Necプラットフォームズ株式会社 通話解析方法

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120224678A1 (en) * 2011-03-01 2012-09-06 Jay Walters Monitoring inmate calls using silence recognition software to detect unauthorized call connecting
EP2547083A1 (en) * 2011-07-15 2013-01-16 Meucci Solutions NV A bypass detection system with false positive avoidance
US9179259B2 (en) * 2012-08-01 2015-11-03 Polaris Wireless, Inc. Recognizing unknown actors based on wireless behavior
US9392463B2 (en) * 2012-12-20 2016-07-12 Tarun Anand System and method for detecting anomaly in a handheld device
CN103916514B (zh) * 2012-12-31 2019-04-26 联想(北京)有限公司 一种数据处理方法、装置及一种通信终端
US10127379B2 (en) * 2013-03-13 2018-11-13 Mcafee, Llc Profiling code execution
IL227480A0 (en) * 2013-07-15 2013-12-31 Bg Negev Technologies & Applic Ltd A system for characterizing geographic locations based on sensor data from anonymous sources
JP6229403B2 (ja) * 2013-09-26 2017-11-15 日本電気株式会社 議事録作成補助装置、電子会議装置および電子会議システム
US9510204B2 (en) * 2014-02-28 2016-11-29 Life360, Inc. Apparatus and method of determining fraudulent use of a mobile device based on behavioral abnormality
US10436468B2 (en) * 2014-03-24 2019-10-08 Nec Corporation Monitoring device, monitoring system, monitoring method, and non-transitory storage medium
US10447838B2 (en) * 2014-04-03 2019-10-15 Location Labs, Inc. Telephone fraud management system and method
US9686300B1 (en) * 2014-07-14 2017-06-20 Akamai Technologies, Inc. Intrusion detection on computing devices
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US9641680B1 (en) * 2015-04-21 2017-05-02 Eric Wold Cross-linking call metadata
US9984154B2 (en) * 2015-05-01 2018-05-29 Morpho Detection, Llc Systems and methods for analyzing time series data based on event transitions
US10438083B1 (en) * 2016-09-27 2019-10-08 Matrox Electronic Systems Ltd. Method and system for processing candidate strings generated by an optical character recognition process
EP3635694A1 (en) * 2017-06-09 2020-04-15 Carrier Corporation Location-based behavioral monitoring
US10397252B2 (en) 2017-10-13 2019-08-27 Bank Of America Corporation Dynamic detection of unauthorized activity in multi-channel system
US10992796B1 (en) 2020-04-01 2021-04-27 Bank Of America Corporation System for device customization based on beacon-determined device location
US10951775B1 (en) * 2020-09-03 2021-03-16 AB Handshake Corporation Method and system for detection of call signal manipulation
US11297189B2 (en) 2020-09-03 2022-04-05 AB Handshake Corporation Method and system for transmission of a session initiation protocol (SIP) identity header in an out-of-band verification network

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007133811A (ja) * 2005-11-14 2007-05-31 Kddi Corp 個人認証装置
JP2007266944A (ja) * 2006-03-28 2007-10-11 Nec Corp 電話端末装置および発信者検証方法
JP2009022042A (ja) * 1998-04-03 2009-01-29 Lucent Technol Inc 処理ベースのネットワークにおける不正手段の自動的な取り扱い
JP2009518878A (ja) * 2005-11-15 2009-05-07 サンディスク アイエル リミテッド 電話盗用検出方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3591843B2 (ja) 1995-05-08 2004-11-24 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 異なったパケット形式識別子を使用するパケットにおけるデータを送信および受信するシステムおよび方法
US6359557B2 (en) * 1998-01-26 2002-03-19 At&T Corp Monitoring and notification method and apparatus
JP2002135248A (ja) 2000-10-19 2002-05-10 Fumio Mizoguchi ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体
JP2004096502A (ja) 2002-08-30 2004-03-25 Nippon Telegraph & Telephone East Corp 録音データ主題検出装置
KR100612859B1 (ko) * 2004-08-26 2006-08-14 삼성전자주식회사 사용패턴에 의한 대화형 사용자 인터페이스 운영 방법 및시스템
JP2006196949A (ja) 2005-01-11 2006-07-27 Fujitsu Ltd 通話内容警告付き電話機
KR20070064980A (ko) * 2005-12-19 2007-06-22 삼성전자주식회사 디스플레이 장치
JP2007228384A (ja) 2006-02-24 2007-09-06 Fujitsu Ltd 不審通話判別プログラム
JP2008210085A (ja) 2007-02-26 2008-09-11 Nec Corp 振り込め詐欺防止システム,通話内容判定サーバ,振り込め詐欺防止方法およびプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009022042A (ja) * 1998-04-03 2009-01-29 Lucent Technol Inc 処理ベースのネットワークにおける不正手段の自動的な取り扱い
JP2007133811A (ja) * 2005-11-14 2007-05-31 Kddi Corp 個人認証装置
JP2009518878A (ja) * 2005-11-15 2009-05-07 サンディスク アイエル リミテッド 電話盗用検出方法
JP2007266944A (ja) * 2006-03-28 2007-10-11 Nec Corp 電話端末装置および発信者検証方法

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013157923A (ja) * 2012-01-31 2013-08-15 Fujitsu Ltd 通信装置、通信プログラム及び通信方法
JP2013157924A (ja) * 2012-01-31 2013-08-15 Fujitsu Ltd 通信装置、通信プログラム及び通信方法
JP2014081755A (ja) * 2012-10-16 2014-05-08 Fujitsu Ltd 不審通信先警告システム、不審通信先警告方法、及びプログラム
JP2014216009A (ja) * 2013-04-26 2014-11-17 パロ・アルト・リサーチ・センター・インコーポレーテッドPaloAlto ResearchCenterIncorporated 情報の複数のドメインを組合せることによる仕事の実施データ内の異常の検知
CN103797777A (zh) * 2013-11-07 2014-05-14 华为技术有限公司 网络设备、终端设备以及语音业务控制方法
US10111207B2 (en) 2013-11-07 2018-10-23 Huawei Technologies Co., Ltd. Network device, terminal device, and voice service control method
JPWO2015194148A1 (ja) * 2014-06-17 2017-04-20 日本電気株式会社 発信者特定装置、発信者特定方法、および発信者特定プログラムを格納する記録媒体
US9860373B2 (en) 2014-06-17 2018-01-02 Nec Corporation Caller identification apparatus, caller identification method, and recording medium on which caller identification program has been stored
WO2015194148A1 (ja) * 2014-06-17 2015-12-23 日本電気株式会社 発信者特定装置、発信者特定方法、および発信者特定プログラムを格納する記録媒体
KR101792204B1 (ko) * 2015-07-07 2017-10-31 (주)티아이스퀘어 확률에 기반한 보이스 피싱 패턴 분석 장치 및 방법
JP2017085502A (ja) * 2015-10-30 2017-05-18 シャープ株式会社 電話機、制御方法、および制御プログラム
JP2018018511A (ja) * 2016-07-29 2018-02-01 エーオー カスペルスキー ラボAO Kaspersky Lab 各種バンキングサービスとユーザの対話における疑わしいユーザ行動の識別のためのシステム及び方法
JP7140422B1 (ja) 2021-03-10 2022-09-21 Necプラットフォームズ株式会社 通話解析方法
JP2022142798A (ja) * 2021-03-10 2022-10-03 Necプラットフォームズ株式会社 通話解析方法

Also Published As

Publication number Publication date
US8521132B2 (en) 2013-08-27
US20110016363A1 (en) 2011-01-20

Similar Documents

Publication Publication Date Title
JP2011023903A (ja) 通信端末の異常検出装置及び通信端末の異常検出方法
CN104380254B (zh) 快速启动应用服务的方法和终端
US8756065B2 (en) Correlated call analysis for identified patterns in call transcriptions
CN107113360A (zh) 协作电话信誉系统
EP1710989B1 (en) Mobile communication terminal adapted to display call information and corresponding method
US20120295575A1 (en) Intelligent emergency signal transmission system using mobile phone and method thereof
CN107613144A (zh) 自动呼叫方法、装置、存储介质及移动终端
US20190052751A1 (en) Call Holding Management
US8817952B2 (en) Method, apparatus, and system for providing real-time PSAP call analysis
CN103249034A (zh) 一种获取联系人信息的方法和装置
CN104517191A (zh) 案件回访方法及系统
US20050043065A1 (en) Method for monitoring billable and non-billable call time on a wireless communication device
CN112995422A (zh) 通话管控方法、装置、电子设备及存储介质
JP6183841B2 (ja) Ngワードの兆候を把握するコールセンタ用語管理システム及びその方法
CN108494970A (zh) 终端状态信息的处理方法、装置、存储介质及终端
US20110082695A1 (en) Methods, electronic devices, and computer program products for generating an indicium that represents a prevailing mood associated with a phone call
JP2020193994A (ja) 通話システム、及び通話プログラム
US10070283B2 (en) Method and apparatus for automatically identifying and annotating auditory signals from one or more parties
JP2010199741A (ja) 携帯電話端末装置
CN103325385A (zh) 语音通信方法和设备、操作抖动缓冲器的方法和设备
JP6718623B2 (ja) 猫型会話ロボット
CN105989699A (zh) 一种终端信息处理方法、终端、系统
US20140037079A1 (en) Electronic display method and device
KR100689521B1 (ko) 이동통신 단말기에서 아바타 표시방법
KR20080019770A (ko) 문자메시지 전송 및 회신 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130703

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130716

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130912

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20131217