JP2012525626A - ユーザ端末の逸脱する挙動 - Google Patents

ユーザ端末の逸脱する挙動 Download PDF

Info

Publication number
JP2012525626A
JP2012525626A JP2012508424A JP2012508424A JP2012525626A JP 2012525626 A JP2012525626 A JP 2012525626A JP 2012508424 A JP2012508424 A JP 2012508424A JP 2012508424 A JP2012508424 A JP 2012508424A JP 2012525626 A JP2012525626 A JP 2012525626A
Authority
JP
Japan
Prior art keywords
event data
group
user terminal
data set
data sets
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2012508424A
Other languages
English (en)
Inventor
トニー ラーション,
マティアス リドストレーム,
マルティン スヴェンソン,
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2012525626A publication Critical patent/JP2012525626A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/56Arrangements for indicating or recording the called number at the calling subscriber's set
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M15/00Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
    • H04M15/47Fraud detection or prevention means
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2218Call detail recording
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本発明は、ユーザ端末(10)の逸脱する挙動を決定するための方法、通信ネットワーク(N)のネットワークノード内の装置(24)、およびコンピュータプログラム製品に関する。本発明によれば、装置(24)は、各グループが少なくとも1つのイベント・データ・セットを含む、第1のグループのイベント・データ・セット(EDS1)および第2のグループのイベント・データ・セット(EDS2、EDS4)を得る。第1のグループ内の各イベント・データ・セットは特定のユーザ端末(10)内のイベントに関係するユーザ端末生成イベントデータを含み、第2のグループ内の各イベント・データ・セットは特定のユーザ端末に関係するネットワーク生成イベントデータを含む。次に、装置は、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較を行い、比較に基づきユーザ端末の逸脱する挙動の存在を決定する。

Description

本発明はユーザ端末の逸脱する挙動(deviating behaviour)を決定することに関する。より詳細には、本発明は、ユーザ端末の逸脱する挙動を決定するための方法、装置、およびコンピュータプログラム製品に関する。
電気通信ネットワークでは、今日、ユーザ端末能力がサードパーティのサービス提供者をますます利用できるようになってきている。したがって、ユーザ端末製造業者もネットワーク運営者もそのような別の開発者が使用するユーザ端末製造業者およびネットワーク運営者のAPI(アプリケーション・プログラム・インタフェース)を開放してきた。サービス提供者に対して機能を公開することにより、基本的電気通信機能たとえば電話およびメッセージングを使って高度サービスを提供する可能性が増大する。したがって、ユーザ端末および通信ネットワークに関連して提供されることができる様々なタイプのサードパーティのアプリケーションの数および多様性がますます増大している。
しかし、このことはユーザに新しい体験を導入するだけではない。サービス提供者に対して新しい可能性を導入することにより、高度サービスの創出が実際に可能になるだけでなく、ユーザ端末が危険にさらされる。これらの危険性は、(意図してまたは誤って)悪意をもって動作するソフトウェアに対する危険性のような逸脱する挙動を含む。広範囲にわたる試験なしに、開発された新しいサービスが望まれるように動作すること、すなわちユーザ端末内で起こるイベントが予期されることを制御するよい方法はない。そのような試験は、問題に対する従来の解決策であり、アプリケーションの認証を含む。新しい環境では、サービスが互いを利用することができ、別個のエンティティにより開発された構成要素を使用することができるので、認証は困難である。さらに、試験は、消費者のような末端ユーザが末端の端末を使用する前に行われるべきである。
ユーザ端末の環境でサードパーティのアプリケーションを制御する別の既存の方法が、「サンドボックス」ソリューション、すなわちサードパーティのアプリケーションがユーザ端末能力へのアクセスが非常に制限された「サンドボックス」内部だけで実行されることができるようにされるソリューションを使用することである。しかし、これらのタイプのソリューションは、とても多くの制約および制限を実際に生み出すので、ソフトウェア開発者の創造性を制限する。このことは実際には、逸脱する挙動を有するユーザ端末を識別するのではなく、むしろアプリケーションの能力を限定することを通して逸脱する挙動の可能性を制限する。
ファイアウォール技術が、ある種のアプリケーションに対するアクセスを許可するまたはブロックするために使用される別の重要な技術である。ファイアウォールは、ユーザ端末上にインストールされることができるパーソナルファイアウォールとしても、ネットワーク内に展開されるネットワークファイアウォールとしても存在する。パーソナルファイアウォールは、何らかの追加のユーザ制御を使って端末により送受信されるすべてのネットワークトラフィックを分析することにより端末側でアクセスを制御する。ネットワークファイアウォールは同様のやり方で動作し、主な違いはファイアウォールを通過するすべてのトラフィックが分析されることである。通過するトラフィックの量は、展開、すなわちネットワークファイアウォールがどれだけユーザ近くに展開されるかに大きく依存する。これらのファイアウォールに伴う1つの制約が、これらのファイアウォールが端末中心の分析をネットワーク中心の分析と組み合わせないことである。別の制約は、ファイアウォールが、それ自体は逸脱する挙動を識別するのではなく、逸脱する挙動が識別されたときにしか使用されることができないことである。
したがって、本技術分野で改善が必要であり、この場合、ユーザ端末が末端ユーザにより使用されるときにユーザ端末の安全性を高めるため、およびネットワーク悪用を回避するために、そのようなアプリケーションを監視することができる新しい仕組みが特に必要である。
したがって、本発明は、ネットワーク悪用を回避すること、およびユーザ端末が末端ユーザにより使用されるときにユーザ端末の安全性を高めることに向けられる。
したがって、本発明の1つの目的が、ネットワーク悪用を回避すること、およびユーザ端末が末端ユーザにより使用されるときに末端ユーザの安全性を高めることである。
この目的は、本発明の第1の様態により、ユーザ端末の逸脱する挙動を決定するための方法を通して達成される。方法は通信ネットワークの少なくとも1つのネットワークノードで実行される。方法では、各グループが少なくとも1つのイベント・データ・セットを含む、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットが得られる。第1のグループ内の各イベント・データ・セットは特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含み、第2のグループ内の各イベント・データ・セットは特定のユーザ端末に関係するネットワーク生成イベントデータを含む。方法では、次に、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較が行われ、比較に基づき特定のユーザ端末の逸脱する挙動の存在が決定される。
目的は、本発明の第2の様態により、ユーザ端末の逸脱する挙動を決定するために通信ネットワークのネットワークノード内の装置を通して達成される。装置は、通信ネットワークに関係する別の装置と通信するための少なくとも1つの通信インタフェース、および逸脱挙動決定ユニットを含む。逸脱挙動決定ユニットは、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを得るが、ここで、各グループが少なくとも1つのイベント・データ・セットを含む。第1のグループ内の各イベント・データ・セットは特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含み、第2のグループ内の各イベント・データ・セットは特定のユーザ端末に関係するネットワーク生成イベントデータを含む。逸脱挙動決定ユニットは、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較をさらに行い、比較に基づき特定のユーザ端末の逸脱する挙動の存在を決定する。
上述の目的は、本発明の第3の様態により、コンピュータ・プログラム・コードを含むコンピュータプログラム製品を通して解決される。通信ネットワーク内に提供されるユーザ端末の逸脱する挙動を決定するためにコードが装置上で実行されているとき、コードは装置にいくつかのステップを実行させる。まず装置は、各グループが少なくとも1つのイベント・データ・セットを含む、第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを得る。第1のグループ内の各イベント・データ・セットは特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含み、第2のグループ内の各イベント・データ・セットは特定のユーザ端末に関係するネットワーク生成イベントデータを含む。次に、装置は第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較を行い、最後に、比較に基づき特定のユーザ端末の逸脱する挙動の存在を決定する。
上述の目的は、本発明の第4の様態により、第3の様態によるコンピュータプログラム、およびコンピュータプログラムが記憶されるコンピュータ読出可能手段を含むプログラム製品を通して解決される。
第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較が、2つのグループのイベント・データ・セット間の直接比較とすることができる。比較はまた、各グループのイベント・データ・セットと共通基準との、たとえば2つのグループ内のイベント・データ・セットにより提供される一定量のトラフィックとの比較とすることができる。
本発明には多くの有利な点がある。本発明はネットワーク悪用を回避し、ユーザ端末内で発生するイベントに関係するユーザ端末の安全性を改善する。このことは、ネットワークとの端末の相互作用による結果としてネットワーク内に残された情報/トレースとユーザ端末内の動作を比較することにより行われる。この方法では、不明瞭なサービスを監視し、ユーザ相互作用とネットワークトラフィックを相関し、詐欺的挙動を検出し、悪意のあるソフトウェアを検出し、ソフトウェアの欠陥を検出することができる。この方法では、ユーザ端末が、末端ユーザにより使用されるとき、特に末端ユーザによりユーザ端末にダウンロードされるサードパーティのアプリケーションに関係して使用されるときも、安全性を高めることができる。
本発明の一変形形態によれば、第2のグループ内のイベント・データ・セットは第1のグループ内のイベント・データ・セットと相関させられる。このために、装置はまた、どのイベント・データ・セットが第1のグループに属し、どのイベント・データ・セットが第2のグループに属するかを決定するイベント・データ・セット相関ユニットを含むことができる。この決定は、イベント・データ・セットが同じサービスに関連付けられるという事実に基づく。この変形形態は、特定のユーザ端末に対して多くの異なるネットワーク生成イベントデータがある場合、逸脱する挙動の決定を簡略化する。
本発明の別の変形形態によれば、逸脱する挙動の存在を決定することは、第1のグループのイベント・データ・セットが第2のグループのイベント・データ・セットと異なる場合に逸脱する挙動を決定することを伴う。第1のグループ内のイベント・データ・セット内のデータと第2のグループ内の対応するイベント・データ・セットの間に相違がある場合、第1のグループは第2のグループと異なることがある。第1のグループはまた、第1のグループと第2のグループの間のイベント・データ・セットの数に相違がある場合、異なることがある。この方法では、たとえば、ユーザ端末が使用すると期待されるものと異なるキャリアが使用されているかどうか、またはユーザにパーソナル情報の代価または損失をさらにもたらすことがある期待される以上の通信セッションがセットアップされているかどうかを決定することが可能である。
数に相違があるとき、第2のグループ内のイベント・データ・セットの1つが、料金レコードから得られるが、第1のグループ内にイベント・データ・セットが全くない電子メッセージに関係することがある。
さらに、逸脱する挙動にリンクされるユーザ端末に対するサービスを決定し、特定のユーザ端末とサービスの両方を含む動作の変更を得るために、動作に影響を及ぼす変更(change influencing action)を行うことができる。動作に影響を及ぼす変更は、逸脱する挙動に影響を及ぼすことができる装置に通知すること、またはサービスに関係する制限を強制することとすることができる。このことは、制限を直接課すことにより、または是正動作が行われるべきかそうでないかをサービス提供者またはネットワーク運営者が決定するために逸脱する挙動について知らせられることにより、逸脱する挙動が停止されることができるようにする。
さらに別の変形形態によれば、サービスは、ネットワークを介して特定のユーザ端末に関与する1つまたは複数の通信セッションを含み、動作に影響を及ぼす変更は、サービスに関係する通信セッションに影響を及ぼすこと、および特定のユーザ端末を含むことを伴う。この方法では、望ましくない通信セッションが許可されない、または望ましい通信セッションに変更されるように、逸脱する挙動を変えることができる。
イベント・データ・セットが、イベントに関連するサービスを識別するデータ、イベントに関連するデータを識別し、ユーザ端末を識別する少なくとも1つの通信識別子を含む通信セッション、少なくとも1つの通信セッションベアラ識別子、および通信セッションに関係する時間データを含むことができる。このデータの提供が、逸脱する挙動の決定、およびあり得る是正動作の決定を簡略化する。
別の変形形態によれば、第1のグループ内のイベント・データ・セット内のサービスを決定するために、ユーザ端末を介して行われる触覚(tactile)ユーザ入力のシーケンスが、第1のグループ内のイベント内の触覚入力の基準シーケンスにマッピングされ、このことは、装置内のイベント・データ・セット修正ユニットにより行われることができる。このマッピングは、逸脱する挙動に関連付けられるサービスの決定を簡略化する。
別の変形形態によれば、ユーザ端末からユーザ端末生成イベント・データ・セットを受信し、これらのイベント・データ・セットに対してマッピングを行い、決定されたサービスを識別するデータを使って受信されたイベント・データ・セットを修正し、修正されたイベント・データ・セットをイベント・データ・ベース内に記憶することができる。この場合、第1のグループのイベント・データ・セットを得ることは、イベント・データ・ベースから第1のグループのイベント・データ・セットを取り出すことを伴う。
ネットワーク内の料金レコード、およびイベントレコードに基づき、イベント・データ・セットを生成し、これらのイベント・データ・セットをイベント・データ・ベース内に記憶することもできる。この場合、第2のグループのイベント・データ・セットを得ることは、比較を行う前にイベント・データ・ベースから第2のグループのイベント・データ・セットを取り出すことを伴う。
本発明の別の変形形態により、逸脱する挙動が決定されたイベント・データ・セットを分析データベース内に記憶し、分析データベースからイベント・データ・セットを取り出し、これらのイベント・データ・セットを分析し、上記分析に基づき逸脱する挙動を決定するための規則を変更することができる。このことは、サービスに関係するユーザ端末により行われる動作において行われる変更のために、逸脱する挙動の決定に改善が行われることを可能にする。
用語「含む/含んでいる」(comprise/comprising)は、本明細書で使用されるとき、言及される特徴、整数、ステップ、または構成要素の存在を指定するために選ばれるが、その1つまたは複数の別の特徴、整数、ステップ、構成要素、またはグループの存在または追加を排除しないことが強調されるべきである。
ここで、本発明が同封の図面に関してより詳細に説明される。
ユーザ端末、および本発明によるユーザ端末の逸脱する挙動を決定するための装置が提供される通信ネットワークを概略示す。 逸脱する挙動の決定を補助する機能を有するユーザ端末の簡略化された構成図を示す。 本発明の第1の実施形態に従って、ユーザ端末の逸脱する挙動を決定するための装置の簡略化された構成図を示す。 ネットワーク内のイベント・データ・ベースの第1のテーブルT1の内容を概略示す。 イベント・データ・ベースの第2のテーブルT2の内容を概略示す。 本発明の第1の実施形態によるユーザ端末の逸脱する挙動を決定するための方法で実行されるいくつかの方法ステップの流れ図を示す。 本発明の第2の実施形態に従って、逸脱する挙動を決定するための装置の簡略化された構成図を示す。 ユーザ端末を介して行われる触覚ユーザ入力のシーケンスに関連付けられるサービスを決定するためのいくつかの方法ステップの流れ図を示す。 本発明の第3の実施形態に従って、ユーザ端末の逸脱する挙動を決定するための装置が提供される通信ネットワークを示す。 本発明の一実施形態によるコンピュータプログラム製品をCD ROMディスクの形で概略示す。 図6で概説される機能の一部を実行する本発明の一実施形態によるコンピュータプログラム内のいくつかの機能ユニットを概略概説する。
以下の説明では、説明のためであり限定のためではなく、本発明の完全な理解を提供するために、具体的詳細、たとえば特定のアーキテクチャ、インタフェース、技法などについて述べられる。しかし、本発明はこれらの具体的詳細から逸脱する別の実施形態で実施されることができることが当業者には明らかであろう。別の例では、不必要な詳細で本発明の説明を不明瞭にしないように、知られた装置、回路、および方法の詳細な説明が省かれる。
本発明は、一般にユーザ端末が末端ユーザにより使用されるときにユーザ端末の安全性を高めることに向けられる。
携帯電話、ゲーム機、ラップトップコンピュータ、パーム・トップ・コンピュータ、電子手帳などの多様なものでもよいユーザ端末が、今日ますます多様な機能を含むことができる。そのような機能はサービス提供者により提供されているサービスの一部として提供されることができる。この場合、サービスはネットワーク運営者、ユーザ端末製造業者により、さらにいわゆるサードパーティのサービス提供者でもよいサードパーティにより提供されることができる。多くの例では、そのようなサービス機能を用いるアプリケーションがまた、ネットワークを介してユーザ端末の中にダウンロードされることができる。サービスはゲームなどのようなものを含むことができる。しかし、ソーシャル・コミュニケーション・サービス、たとえばFacebook、Youtubeなどのようなさらに別のタイプのサービスも受け入れられる。そこのサービスの一部がまた、通信も使用するという点でさらに強化されることができる。
そのような環境では、高度サービスに関連付けられるアプリケーションが、ユーザ装置のユーザにより、ユーザ装置の製造業者により、ネットワーク運営者により、またはサービス提供者自体によってさえ期待されるように動作しないことがあり得る。たとえば、ユーザ端末は、ユーザが気づいていない通信セッションに関与する、ユーザが気づいていないキャリアを使用して通信セッションに関与する、ユーザが気づいていないデータをユーザ端末からエクスポートする、開始された通信セッションを終了しないなどがあり得る。したがって、期待される挙動から逸脱するそのような挙動は、この場合、ユーザ端末のユーザにさらに見えないことがある。そのような挙動は、彼または彼女から隠されることがある。この場合、そのような隠された通信は、ユーザを思いがけない、望ましくない費用をこうむらせる、または別の望ましくない動作にさらさせ得る。そのような隠された通信はまた、多くのユーザがそのような望ましくない通信にさらされた場合、通信ネットワークが輻輳する状態になることがあるという点で、ネットワーク運営者にとって問題を引き起こすことがある。したがって、ネットワーク運営者はまた、たとえば詐欺的なサードパーティの提供者による、ネットワーク運営者のネットワークの悪用を心配することがある。そのような使用はまた、運営者が善意を失うことにつながり、結果として顧客を失うことになる。
そのような望ましくない挙動の理由が、アプリケーションに悪意があることにより引き起こされることがある。しかし、アプリケーションはまた、誤動作している、すなわちバグがあるために、逸脱するやり方で動作していることがある。
したがって、このために、ユーザ端末のよりよいネットワーク制御を得る必要があり、この場合、より詳細には、サービスに関係する通信に対してユーザが使用している通信ネットワークを介して、この制御を提供する必要がある。本発明は、そのようなよりよい制御を提供することに向けられる。
ここで、本発明が、WAN(広域通信ネットワーク)であってもよい通信ネットワークNの限定しない例について詳細に説明される。ネットワークNは、図1に示されている。図では、このネットワークNは、セルラネットワーク、たとえばUMTS(欧州移動通信システムの規格)ネットワークでも、LTE(携帯電話の通信規格)ネットワークでもよい。しかしネットワークNはまた、固定電話ネットワークでもよい。ネットワークNには、本例では携帯電話である第1のユーザ端末UT10が接続される。前述のように、携帯電話は、本発明が使用されることができるユーザ端末の一例でしかない。
通信ネットワークNには、第1の基地局12および第2の基地局14があり、第1のユーザ端末10はこれらのうち第1の基地局12と通信状態にある。通信ネットワークNには、第1の基地局12を介してユーザ端末10からイベント・データ・セットを受信するユーザ端末イベント・データ・セット収集ノードUTECN20も提供される。この場合、これらのイベント・データ・セットは、第1のイベント・データ・セットEDS1により例示される。そのようなイベント・データ・セットがどのように見えることがあるかは後でより詳細に説明される。
通信ネットワークNには、ネットワークに接続されるユーザ端末と別の端末の間の通信セッションを処理する責任があるGGSN(ゲートウェイGPRS支援ノード)ノード16の形のネットワークノードもある。より詳細には、GGSNノード16は第1のユーザ端末10と別の端末の間の通信セッションを処理する責任がある。このGGSNノード16はネットワーク内のトラフィックを阻むための1つまたは複数のファイアウォールを提供されることがある。GGSNノード16はまた、処理する通信セッションに対してネットワーク生成イベント・データ・セット、たとえばCDR(コール詳細レコード)の形のイベントレコードを提供する。これらのイベント・データ・セットは、第1のユーザ端末10を含む通信セッションに基づき生成されたイベント・データ・セットを含む。ネットワークはまた、ネットワーク管理ユニットNM28を含む。
ネットワークNには、ネットワーク・イベント・データ・セット収集ノードNECN18もある。このノード18は、ネットワーク生成イベント・データ・セット、たとえばCDRを受信するためにGGSNノード16と、およびEDR(イベントデータレコード)の形で料金レコードを受信するために課金システムBIS29と通信する。この場合、ネットワーク・イベント・データ・セット収集ノード18は、GGSNノード16からEDRの形で第2のイベント・データ・セットEDS2を、GGSNノード16から同様にEDRの形で第3のイベント・データ・セットEDS3を、課金システムBIS29からCDRの形で第4のイベント・データ・セットEDS4を、および最後にGGSNノード16からEDRの形で第5のイベント・データ・セットEDS5を受信するように示されている。ここでは、本発明を説明するためにイベント・データ・セットの数が限定されていることが理解されるべきである。一般に、さらに多くが通信ネットワークNを通して送信されていることも理解されるべきである。
通信ネットワークNには、イベント・データ・ベースEDB22がさらにある。ユーザ端末イベント・データ・セット収集ノードUTECN20は、おそらく修正または処理後、第1のイベント・データ・セットEDS1を含むイベント・データ・セットをイベント・データ・ベースEDB22内に記憶する。また、ネットワーク・イベント・データ・セット収集ノード18は、第2イベント・データ・セットEDS2、第3イベント・データ・セットEDS3、および第4のイベント・データ・セットEDS4を含むイベント・データ・セットをイベント・データ・ベースEDB22内に記憶する。しかし、イベント・データ・セットは様々なソースから得られるので、この場合、課金システムおよびネットワーク・イベント・データ・セット収集ノード18から、同じイベントに関係するイベント・データ・セットが存在することがある。この場合、重複するイベント・データ・セットはイベント・データ・ベース22内に記憶されない。このことは、第4のイベント・データ・セットEDS4と同じイベントに関係する第5のイベント・データ・セットEDS5がイベント・データ・ベースEDB22内に記憶されないという事実により例示される。
通信ネットワークNには、特定のユーザ端末の逸脱する挙動を決定するために、イベント・データ・ベース22から第1および第2のグループのイベント・データ・セットを収集する、逸脱挙動決定装置DBDD24の形のネットワークノードがさらにある。ここに示される本発明の一例では、特定のユーザ端末は第1のユーザ端末10である。この場合、第1のグループは、第1のイベント・データ・セットEDS1により例示され、第2のグループは、第2イベント・データ・セットEDS2および第4のイベント・データ・セットEDS4により例示される。この場合、特定のユーザ端末すなわち第1のユーザ端末10に逸脱する挙動があることを逸脱挙動決定装置24が決定するかどうかに応じて、逸脱挙動決定装置24は動作に影響を及ぼす1つまたは複数の変更を行う。この場合、動作に影響を及ぼすこれらの変更はまた、動作に影響を及ぼす変更メッセージを送信することを伴う。一例として、ここでは逸脱挙動決定装置24は、GGSNノード16に関係する動作に影響を及ぼす第1の変更メッセージCIA1、ユーザ端末10に関係する動作に影響を及ぼす第2の変更メッセージCIA2、ネットワーク管理ユニットNM28に関係する動作に影響を及ぼす第3の変更メッセージCIA3、およびサービス提供者SPのサーバのような装置31に関係する動作に影響を及ぼす第4の変更メッセージCIA4を送信する。この場合、このサービス提供者は通信ネットワークNの一部ではない。また、この場合、第1のユーザ端末10はネットワークの一部ではないと考えられるが、何らかの状況ではそうであると考えられることがある。
この場合、逸脱挙動決定装置24は、第1のユーザ端末の逸脱する挙動があることを決定することができる。次に、これに関連するイベント・データ・セットが分析データベースADB26内に装置により記憶されることができ、このことが、第1のイベント・データ・セットEDS1、第2のイベント・データ・セットEDS2および第4のイベント・データ・セットEDS4がそこに記憶されることにより例示されている。
通信ネットワークN内の様々なノード、すなわち逸脱挙動決定装置24、基地局12および14、データ収集ノード18および20、ネットワーク管理ユニット28、GGSNノード16、課金システム29、ならびにデータベース22および26はすべて、標準化されたコンピュータ通信プロトコル、たとえばTCP/IPを使用して、互いに、およびネットワークの内側および外側の別のエンティティと通信することができる。したがって、通信はコネクションレスとなることがある。したがって、通信が行われることができる多くの経路があるので、通信は、図1では破線矢印により示される。しかし、第1のユーザ端末10は、基地局12と直接接続されており、この場合、基地局12と直接無線接続されており、したがって、この接続は破線矢印で示されない。しかし、代替形態として、同様に無線インタフェースを介した通信が間接的であってもよいこと、すなわちユーザ端末が別のユーザ端末を介してネットワークと通信することが可能であることが理解されるべきである。
図2は、通信ネットワークと共に使用するための第1のユーザ端末10の構成図を示す。ユーザ端末10は、通信制御ユニットCC32に接続される無線通信インタフェースWCI30を含む。通信制御ユニット32は、典型的には通信プロトコルによる通信のような機能を提供するが、一方、インタフェースは、キャリアに対する信号の変調を提供する。この場合、通信制御ユニット32はまた、機能制御ユニット34に接続される。機能制御ユニット34はユーザ端末10の様々な機能を制御し、一般に、関連するプログラムメモリを有するプロセッサの形で提供される。次に、機能制御ユニット34は、いくつかの機能ユニット、たとえば種々のアプリケーションを処理する様々なアプリケーション処理ユニットを提供する。1つのアプリケーション処理ユニットAPP38が一例として示されている。この場合、アプリケーション処理ユニットは、サービス提供者により提供されるサービスに関係するアプリケーション、たとえばサービスを使用することを処理することができる。アプリケーション、たとえばアプリケーション処理ユニット38により提供されるアプリケーションにユーザ端末10のユーザをアクセスさせるために、このアプリケーション処理ユニット38は、ここではキーパッドKP36である触覚ユーザ入力ユニットに接続される。ユーザ端末は、何らかのブロッキング基準に従って通信をブロックするように設定される端末ファイアウォールをさらに提供されることがある。
本発明で使用されるイベント・データ・セットを生成できるためには、機能制御ユニット34はまた、イベント・データ・セット生成ユニットEDS_GEN42を含む。このイベント・データ・セット生成ユニット42はまた、触覚入力ユニット36、機能制御ユニット34内のクロック40と同様に、通信制御ユニット32にも接続される。この場合、機能制御ユニット34内のユニットはプロセッサ上で実行されるプログラムコードとして提供され、機能制御ユニット34の一部となるので、図では破線ボックスとして示されるが、別のエンティティは、実線のボックスとして示される。
図3は、本発明の第1の実施形態による逸脱挙動決定装置24の構成図を示す。この実施形態では、逸脱挙動決定装置24は、通信ネットワークの別の装置、または通信ネットワークと連絡を保つ別の装置と通信するための通信インタフェースCI48を含む。この通信インタフェース48は、逸脱挙動決定ユニットDBDU44と同様にイベント・データ・セット相関ユニットECU46にも接続される。この場合、通信インタフェース48は、コンピュータ通信ネットワークを介して通信するための一般の通信インタフェース、たとえばイーサネット通信インタフェースである。この場合、通信インタフェース48は、通信ネットワーク上の通信を可能にするためのプロトコル処理機能をさらに含む。逸脱挙動決定ユニットDBDU44はまた、イベント・データ・セット相関ユニット46に接続され、これらのユニット44および46もまた、プロセッサ上で実行されているとき、これらのユニットの機能を実行するためのプログラムコードを含む関連するプログラムメモリを有するプロセッサの形で有利に提供される。
図4は、イベント・データ・ベースEDB22内に記憶されているイベント・データ・セットの第1のテーブルT1を示す。この場合、テーブルT1はいくつかの行を含み、各行は特定のイベントに関連付けられる。このテーブルT1は、ネットワーク関連イベントにさらに関連付けられる。このことは、このデータベースが、通信ネットワークと通信しているすべてのユーザ端末に関係する通信ネットワークにより記録されるイベントを含むことを意味する。ネットワークが大きい場合、そのような多数のイベントが記録されることができる。ここでは、本発明の説明を簡略化するために、数は3つに限定される。第1のテーブルT1には、第2のイベント・データ・セットEDS2、第3のイベント・データ・セットEDS3、および第4のイベント・データ・セットEDS4が記憶される。これらのイベント・データ・セットそれぞれに対して、ユーザ端末を示す通信標識、あるいは、IMSI、IMEI、またはユーザ端末に関連する携帯電話番号でもよいユーザ端末識別子IDが提供される。
通信セッション識別データもある。通信セッション識別データは、関係するユーザ端末を含む通信セッションに関係するソースおよび宛先のデータを含む。ここでは、通信セッション識別データは、典型的にはIPアドレスであるソースアドレスS_ADRおよびソースポート番号P、典型的には同様にIPアドレスである宛先アドレスD_ADRおよび宛先ポート番号Pを含む。ソースアドレスまたは宛先のアドレスがまた、ユーザ端末を識別する通信標識として使用されることができる。通信セッション識別データはまた、通信セッションベアラ識別子またはキャリアデータCと同様に通信セッションに関係する時間データTも含む。また、プロトコルデータが含まれることができる(図示せず)。最後に、この例での各イベント・データ・セットはまた、イベント・データ・セットが関連付けられるサービスSを識別する識別子の形でサービスを識別するデータを含む。本発明の機能を例示するため、第2のイベント・データ・セットEDS2は、第1のユーザ端末10の識別子UT1、この第1のユーザ端末に関連するソースアドレスADR1およびソースポート番号P1、この場合図1のサービス提供者に関連付けられる宛先アドレスADR2および宛先ポート番号P2、第1のタイプのキャリアの識別子C1と同様に第2のイベント・データ・セットEDS2が生成されたイベントの継続時間を示す時間データT1−T2、ならびにこの場合図1のサービス提供者に関連するサービスである関連するサービスを識別する識別子S1を含む。
同じやり方で、第3のイベント・データ・セットEDS3は、別のユーザ端末の識別子UT2、この別のユーザ端末に関連するソースアドレスADR3およびソースポート番号P1、この場合別のサービス提供者に関連付けられる宛先アドレスADR4および宛先ポート番号P2、第1のタイプのキャリアC1と同様にイベントの継続時間を示す時間データT1−T2、ならびにこのように第2のイベント・データ・セットEDS2に関連するサービスと異なるサービスである関連するサービスを識別する識別子S2を含む。第4のイベント・データ・セットは、同様に第1のユーザ端末10の識別子でもある識別子UT1、このユーザ端末に関連するソースアドレスADR1およびソースポート番号P1、この場合も同様に図1のサービス提供者に関連付けられる宛先アドレスADR2および宛先ポート番号P1、第2のタイプのキャリアC2と同様にイベントの継続時間を示す時間データT3−T4、ならびに第2のイベント・データ・セットEDS2に対して識別されたサービスと同じ関連するサービスを識別する識別子S1を含む。
前述のように、ここに示されるイベント・データ・セットは例示しているだけであり、テーブルは、一般にさらに多くのイベント・データ・セットを含む。各イベント・データ・セットはまた、プロトコル識別データ、たとえばTCP、UDP、およびHTTPのプロトコルを識別するデータを含むことができる。図4のテーブルT1では、イベント・データ・セットはすべて、ユーザ端末に関連するソースアドレス、およびサービス提供者に関連する宛先アドレスを識別した。テーブルで分類されたイベント・データ・セットはまた、一般に、ユーザ端末が宛先アドレスを有し、別の装置がソースアドレスを有するイベント・データ・セットを含むことがここでは理解されるべきである。この場合、ユーザ端末が通信するエンティティのアドレスは、イベントデータが関連付けられるサービス提供者のアドレスと異なるアドレスとすることができる。したがって、そのアドレスは別のエンティティのアドレスとすることができる。
図5は、イベント・データ・ベース22内に記憶されているイベント・データ・セットの第2のテーブルT2を示す。このテーブルT2は第1のテーブルと同じ構造を有し、したがって、同じタイプのデータを含む。しかし、このテーブルT2は、特定のユーザ端末により生成されているイベントデータに関係するイベント・データ・セットだけを含む。図5のこのテーブルは、図1の第1のユーザ端末とさらに関連付けられる。一般に、本発明により、逸脱する挙動に関して精査されるべき各ユーザ端末に対して1つのそのようなテーブルが提供される。
より詳細には、第2のテーブルT2は、第1のイベント・データ・セットEDS1、第6のイベント・データ・セットEDS6、および第7のイベント・データ・セットEDS7のデータを含む。第1のイベント・データ・セットEDS1は、第1のユーザ端末の識別子UT1、この第1の端末に関連するソースアドレスADR1およびソースポート番号P1、この場合図1のサービス提供者に関連付けられる宛先アドレスADR2および宛先ポート番号P2を含み、さらに第1のタイプのキャリアC1と同様にイベントの継続時間を示す時間データT1−T4、およびこの場合図1のサービス提供者に関連するサービスである関連するサービスを識別する識別子S1がある。第6のイベント・データ・セットEDS6は、第1のユーザ端末の識別子UT1、この第1の端末に関連するソースアドレスADR1およびソースポート番号P1、図1のサービス提供者に関連付けられる宛先アドレスADR2および宛先ポート番号P2、第1のタイプのキャリアC1と同様にイベントの継続時間を示す時間データT5−T6、および関連するサービスを識別する識別子S1を含む。最後に、第7のイベント・データ・セットEDS7は、第1のユーザ端末の識別子UT1、サービス提供者に関連するソースアドレスADR5およびソースポート番号P5、この第1のユーザ端末に関連する宛先アドレスADR1および宛先ポート番号P1、第2のタイプのキャリアC2と同様にイベントの継続時間を示す時間データT7−T8、および関連するサービスを識別する識別子S2を含む。
ここで、本発明の第1の実施形態の機能が、前述の図1から図5に関してと同様に、ユーザ端末の逸脱する挙動を決定するための方法で行われているいくつかの方法ステップの流れ図を示す図6を参照して説明される。
第1のユーザ端末10は、内容がイベント・データ・ベース22の第2のテーブル内で終わるイベント・データ・セットをネットワークに提供する。この点で、イベントが、第1のユーザ端末が含まれ、音声、映像、または会議のセッションと同様に電子メッセージを送受信するようなメッセージング通信セッションであってもよい、通信セッションとすることができる。これを行うため、第1のユーザ端末10のイベント・データ・セット生成ユニット42は、キーパッド36を監視する。次に、イベント・データ・セット生成ユニット42は、キーパッド36を介してユーザにより行われている触覚ユーザ入力のシーケンスを、すなわちどのキーが押されたか、および末端ユーザまたは顧客でもよいこのユーザによりそれらのキーがどの順序で押されたかを、記録する。触覚ユーザ入力シーケンスは、クロック40を介して得られる時間とさらに相関させられる。
次に、この第1の実施形態では、シーケンスは、触覚入力の既知の基準シーケンスまたはシーケンスのテンプレートと比較され、マッピングされることにより、イベント・データ・セット生成ユニット42により分析される。次に、そのような既知の1つのシーケンスが、典型的には、ネットワークを介してサービス提供者により提供されるサービスに関係するアプリケーションを選択しているユーザと関連付けられ、別のシーケンスがこのアプリケーションで行われている選択と関連付けられ、さらに別のシーケンスがアプリケーションの終了または選択解除と関連付けられることができる。アプリケーションは、たとえばSMSまたはMMSの送信アプリケーションのようなメッセージングアプリケーションでも、サービス提供者31により提供されるサービスのクライアント側を処理するアプリケーションでもよい。この方法で識別されるアプリケーションは、第1のユーザ端末10内のアプリケーション処理ユニット38により処理されるアプリケーションでもよく、したがって、そのアプリケーション処理ユニットは、ユーザにサービスを提供するアプリケーションを処理する。
イベント・データ・セット生成ユニット42はまた、通信制御ユニット32からデータを受信し、その情報は、第1のユーザ端末が含まれる通信セッションの通信セッションデータを含む。この通信セッションデータは、ソースおよび宛先のアドレス、ならびに関連するポート番号、使用されるキャリア、ならびにこれらの通信セッションのタイミングを含む。この場合、この通信セッションデータはまた、これらのセッションに対して使用されるプロトコルに関する情報を受信することがある。触覚ユーザ入力データのシーケンスに基づき、次に、イベント・データ・セット生成ユニット42は、サービス通信セッションがどれと関与されているかを決定し、情報たとえばユーザ端末識別子、アドレスデータ、キャリアデータ、タイミングデータ、およびサービス識別データを含むイベント・データ・セット、ならびに任意選択で識別されるそれぞれのそのような通信セッションに対するプロトコルデータを生成する。この場合、データは、第2のテーブルT2内の第1のイベント・データ・セットEDS1に対して示されるデータをすべて含むことができる。この場合、そのようなイベント・データ・セットは、XML−文書の形で有利に提供されることができる。この方法では、イベント・データ・セット生成ユニットは、第1のサービスS1に関係する第1のユーザ端末とサービス提供者31との間の通信セッションに関する上述の情報を含む第1のイベント・データ・セットEDS1を生成し、第1のイベント・データ・セットEDS1を通信制御ユニット32および無線通信インタフェース30を介して、ユーザ端末イベント・データ・セット収集ノード20に第1の基地局12を介して送信する。次に、第1のユーザ端末10は、第6イベント・データ・セットEDS6および第7のイベント・データ・セットEDS7のようなイベント・データ・セットをユーザ端末イベント・データ・セット収集ノードに送信し続けることができる。
ユーザ端末イベント・データ・セット収集ノード20は、ユーザ端末10内のイベント・データ・セット生成ユニット42と対話することができる。対話は非同期式として、どちらの側からも開始されることができる。ユーザ端末イベント・データ・セット収集ノード20は、ユーザにより明示的に無効にされなければ、イベント・データ・セット生成ユニット42を制御することができることがある。したがって、ユーザ端末イベント・データ・セット収集ノード20が第1のイベント・データ・セットEDS1を受信したとき、イベント・データ・ベース22の第2のテーブルT2内にテーブル形式で記憶するために第1のイベント・データ・セットEDS1を修正する。したがって、ユーザ端末イベント・データ・セット収集ノード20は、XML文書からデータを抽出し、そのデータをイベント・データ・ベース22の第2のテーブルT2内に挿入するために転送する。ユーザ端末イベント・データ・セット収集ノード20は、第1のユーザ端末内のイベント・データ・セット生成ユニットに24時間ごと、毎週などのような繰り返しの時間間隔で、イベント・データ・セットを供給するように要求することができる。ユーザ端末イベント・データ・セット収集ノードは、イベント・データ・セット生成ユニットにより生成されるイベント・データ・セット内にどのデータが含まれるべきかを、すなわち第1のユーザ端末内のイベント・データ・セット生成ユニットがどのデータを収集すべきかをさらに決定することができる。したがって、ネットワーク運営者は、どのイベント・データ・セットが収集されるべきか、イベント・データ・セットは何を含むべきか、およびイベント・データ・セットが供給される形式を決定することができる。
これが行われる間、ネットワーク・イベント・データ・セット収集ノード18は、GGSNノード16からCDRの形でイベント・データ・セットを収集する。この場合、ネットワークイベント・データ・セット収集ノード18は、GGSNノード16から第2のイベント・データ・セットEDS2、第3のイベント・データ・セットEDS3、および第5のイベント・データ・セットEDS5を受信し、第4のイベント・データ・セットEDS4を課金システム29からEDRの形で受信し、第2のイベント・データ・セットEDS2、第4のイベント・データ・セットEDS4、および第5のイベント・データ・セットEDS5は、第1のユーザ端末10、および第1のユーザ端末10と第1のサービスS1に関係するサービス提供者31の間の通信セッションに関連付けられ、一方、第3のイベント・データ・セットEDS3は、別のサービスS2に関係する別のユーザ端末、および別のネットワークエンティティの通信セッションに関連付けられる。次に、ネットワークイベント・データ・セット収集ノード18は、第1のイベント・データ・セットEDS、第3のイベント・データ・セットEDS3、および第4のイベント・データ・セットEDS4からデータを抽出し、これらに基づき新しいイベント・データ・セットを提供し、それらをイベント・データ・ベース22内の第1のテーブルT1のテーブルの形で記憶する。イベント・データ・セットがGGSNノードと同様に課金システムからも受けとられるので、前述のように、同じ活動に関係するイベント・データ・セットが受けとられるという危険性、すなわち重複する情報があるという危険性がある。この場合、冗長なイベント・データ・セットが取り除かれる。したがって、第1のテーブルは、重複する項目を回避するためだが、同様に、壊れたデータを回避するために、不要なものが取り除かれることができる。本例では、第5のイベント・データ・セットEDS5が第4のイベント・データ・セットEDS4と同じ情報を含み、したがって、イベント・データ・ベース22内に記憶されない。ここでは、当然、第5のイベント・データ・セットがイベント・データ・ベース内に記憶されるが、第4のイベント・データ・セットが記憶されないという点で状況が逆にされることがあることが理解されるべきである。ネットワークイベント・データ・セット収集ノード18はまた、たとえばGGSNノード16に関係して提供されるネットワークファイアウォールを制御することができることがある。
この方法では、イベント・データ・ベース22の第1のテーブルT1は、ネットワーク内のいくつかのユーザ端末に関係するネットワーク生成イベント・データ・セットで満たされ、イベント・データ・ベース22の第2のテーブルT2は、特定の第1のユーザ端末10だけに関係する、したがって特定のユーザ端末内のイベントだけに関係するユーザ端末生成イベント・データ・セットで満たされる。
次に、特定のユーザ端末が第1のサービスS1に関係する逸脱する挙動を有するかどうかを決定するために、第1のユーザ端末10に関係するイベント・データ・セットが逸脱挙動決定装置24により精査される。
この過程を簡略化するために、この第1の実施形態では逸脱挙動決定装置24の一部であるイベント・データ・セット相関ユニット46が、イベント・データ・セットを互いに相関させる、すなわちイベント・データ・セット相関ユニット46が第1および第2のテーブル内のどのイベント・データ・セットが互いにリンクされているかを決定する。イベント・データ・セット相関ユニットは、一方のテーブルから1つのイベント・データ・セットを取り出し、他方のテーブル内で一致を見つけ出す。どの方法で相関探索を開始するべきかは、イベント・データ・セットが受信される順序に依存する。相関関係は別個のデータベース内に記憶されるか、またはイベント・データ・ベース22内に依存関係として記憶されることができる。端末データとネットワークデータの間の相関は、ユーザごとに基づき、かつ端末側とネットワーク側の両方でのログイン時間に基づき実行されることができる。メッセージを同期させるために、ユーザ端末イベント・データ・セット収集ノードとネットワーク・イベント・データ・セット収集ノードの間に相対クロックがさらに保持されることができる。第1および第2のグループ内にどのイベント・データ・セットが提供されるべきかの決定は、たとえば共通の期間中に同じサービスにリンクされているイベント・データ・セットを通して行われることができる。
したがって、イベント・データ・セット相関ユニット46は、イベント・データ・ベース内のイベント・データ・セットを探索するために通信インタフェース48を介してイベント・データ・ベース22に接続する。より詳細には、イベント・データ・セット相関ユニット46は、少なくとも1つのイベント・データ・セットを含む第2のテーブルT2内のイベント・データ・セットから第1のグループのイベント・データ・セット、および第1のテーブルT1内のイベント・データ・セットから少なくとも1つのイベント・データ・セットを同様に含む第2のグループのイベント・データ・セットを形成する。イベント・データ・セットはすべて同じサービスと同様に同じ特定のユーザ端末にリンクされるいくつかのイベントと関係がある。ここで示される例では、第1のグループは、この場合時間間隔T1−T4に設定される一定時間間隔でのサービスS1に関係する第1のユーザ端末を含むすべてのイベント・データ・セットから作られる。同様のやり方で、第2のグループは、同じサービスおよび同じ時間間隔に関係する第1のユーザ端末を含むすべてのイベント・データ・セットから作られる。このことから、第1のグループは、例では1つのイベント・データ・セット、すなわち第1のイベント・データ・セットEDS1だけを含むが、第2のグループは、2つのイベント・データ・セット、すなわち第2イベント・データ・セットEDS2および第4のイベント・データ・セットEDS4を含むことが理解されることができる。次に、これらの相関関係するグループは、この第1の実施形態に従って、これらのグループが互いに相関関係があるというマーキングを伴いイベント・データ・ベース22の中に戻して記憶される。
相関関係するイベント・データ・セットは、代替として、逸脱する挙動を決定するために逸脱挙動決定ユニット44に直接アクセスできる別個の相関データベース内に記憶されることができる。第1および第2のグループはさらに、第1のユーザ端末が逸脱する挙動を有するかどうかを直接決定するために、逸脱挙動決定ユニット44に直接提供されることができる。イベント・データ・セット相関ユニットはまた、たとえば対応するプログラムメモリがネットワーク・インタフェース・ユニットに接続されるプロセッサを通して通信ネットワーク内の別個の装置またはネットワークノードとしてさらに提供されることができる。
第1のユーザ端末が逸脱する挙動を有するか有しないかを決定するために、この第1の実施形態による逸脱挙動決定装置24の逸脱挙動決定ユニット44は、通信インタフェース48を介してイベント・データ・ベース22内の第2のテーブルT2から第1のグループのイベント・データ・セットを得る。ここで示される例では、第1のグループは、第1のイベント・データ・セットEDS1だけを含んでいたので、ステップ50で、イベント・データ・ベース22の第2のテーブルT2から第1のイベント・データ・セットEDS1を取り出す。その後、逸脱挙動決定ユニット44は、通信インタフェース48を介してイベント・データ・ベース22の第1のテーブルT1から第2のグループのイベント・データ・セットを得る。この場合、第2のグループは第2のイベント・データ・セットEDS2および第4のイベント・データ・セットEDS4だけを含むので、逸脱挙動決定ユニット44は、ステップ52で、通信インタフェース48を介してイベント・データ・ベース22内の第1のテーブルT1から第2のイベント・データ・セットEDS2および第4のイベント・データ・セットEDS4を取り出す。これが行われたとき、次に、逸脱挙動決定ユニット44は第1のグループのイベント・データ・セットおよび第2のグループのイベント・データ・セットを含む比較を行い、この場合、第1のグループのイベント・データ・セットを第2のグループのイベント・データ・セットと比較する。ここに示される具体的例では、逸脱挙動決定ユニット44は、ステップ54で、第1のイベント・データ・セットEDS1を第2のイベント・データ・セットEDS2および第4のイベント・データ・セットEDS4とさらに比較する。
比較は、イベント・データ・セット内の通信セッション関連データ、およびサービス関連データ、たとえばキャリア、セッションの継続時間、使用されるアドレスおよび/またはポート番号、ならびに多分プロトコルの任意に関して行われることができる。比較は、同様にまたはさらに、2つのグループ内のイベント・データ・セットの数、たとえば第1のグループ内よりも第2のグループ内に多くのイベント・データ・セットがあるかどうかに関する比較とすることができる。比較はさらに、イベント・データ・セットが振る舞うべきように振る舞っているかどうか、すなわちイベント・データ・セットがサービスに対して提供される1組の規則に従っているか、たとえばイベント・データ・セットが好ましいキャリアを使用しているか、またはグループがイベント・データ・セットの正しいシーケンスを含むかに関する比較とすることができる。挙動の比較はさらに、2つのグループ内のイベント・データ・セットにより示されるトラフィックの量が、サービスに関して発生すべきトラフィックの量から逸脱しているか、たとえば発生すべきものよりも多くのトラフィックがあるかどうかとすることができる。この場合、トラフィックの逸脱する量は、通信セッションの長さ、ならびに使用されるキャリアのタイプおよびプロトコルを通して決定されることができる転送されるデータの逸脱する量でもよい。トラフィックの逸脱する量はまた、おそらくキャリアおよび/またはプロトコルに従って分類される通信セッションの逸脱する数とすることができる。したがって、逸脱挙動決定ユニットは、逸脱する挙動を見つけ出すために相関関係するイベントを調べる。たとえば、第1のグループが、1つのSMSが送信されたことを示し、第2のグループが、3つのSMSが送信されたことを示す場合、逸脱する挙動が決定されることができる。この例示する実施形態では、比較されるのがイベント・データ・セットの数である。時間間隔T1−T4には、第1のユーザ端末を含む別個の通信セッションとそれぞれ関連付けられる2つのイベント・データ・セットEDS2およびEDS5が第2のグループ内にあるが、第1のグループ内には1つEDS1だけがあることを理解されることができる。第5のイベント・データ・セットEDS5は、第2のタイプのキャリアC2をさらに使用しているが、第1および第2のイベント・データ・セットは第1のタイプのキャリアC1を使用している。これらの違いの1つまたは複数に基づき、逸脱挙動決定装置24の逸脱挙動決定ユニット44は、2つのグループ間に相違があることを決定する。第2のグループ内のイベント・データ・セットの1つが、料金レコード、すなわち第4のイベント・データ・セットEDS4から得られることを理解されることができる。本例では、このことが、対応するイベント・データ・セットが第1のグループ内にないキャリアC2を通して識別される電子メッセージに関係がある。
したがって、逸脱挙動決定ユニットは、逸脱する挙動をフィルタにかけて取り出し、このことは、サービスの正常な挙動と、第1のグループ内および第2のグループ内のイベント間の、サービスの正常な挙動の相関関係とを比較することを通して行われることができる。新しいサービスが正常な条件から逸脱する、または古いサービスが異なった振る舞いを始めるとき、警報が出されることがある。
ステップ56で、相違がある場合、すなわち内容および/または数に相違がある、ならびに/あるいは正常な挙動からの相違がある場合、逸脱挙動決定ユニット44は、ステップ60で、特定のユーザ端末が逸脱する挙動を有することを決定するが、ステップ56で、相違がない場合、逸脱する挙動が決定されず、ステップ58で、精査が終了される。
ステップ60で、逸脱する挙動が決定される場合、ステップ62で、逸脱挙動決定ユニット44は、どのサービスSが逸脱する挙動に関連付けられるかを決定する、すなわち逸脱する挙動にリンクされるユーザ端末に対するサービスを決定し、そのサービスは典型的には第1のユーザ端末に関与する1つまたは複数の通信セッションを含む。このことは、比較されたデータセット内のサービス設定を精査することを通して行われることができる。異なる設定がある場合、一方のグループ内の設定が、関連するサービスを規定する設定であることがある。この場合、サービスは、第1のサービスS1であると決定される。したがって、逸脱する挙動の存在は、比較に基づき決定される。その後、ステップ64で、逸脱挙動決定ユニット44は、特定のユーザ端末とサービスの両方を含む動作の変更を得るために、動作に影響を及ぼす少なくとも1つの変更CIAを行う。したがって、動作に影響を及ぼす変更は、影響を及ぼす変更のメッセージを送信することとすることができるが、このメッセージは、サービスに関係する、第1のユーザ端末を含む、影響を及ぼす通信セッションに対するメッセージであることができる。これは、サービスに関係する通信を停止する、ネットワーク要素への指示でもよい。したがって、動作に影響を及ぼす変更は、ネットワークファイアウォール内の一部の特定のソフトウェアに対するネットワークアクセスに関係するブロッキングを導入する、GGSNノードへの指令とすることができる。したがって、動作に影響を及ぼす変更が、GGSNノードへの指示、またはコマンドの形で動作に影響を及ぼす第1の変更メッセージCIA1の送信、またはユーザ端末10への指示またはコマンドとして動作に影響を及ぼす第2の変更メッセージCIA2の送信とすることができる。そのようなメッセージは、ユーザ端末に対するサービスに関する制限を強制することができる。第1のユーザ端末に送信されるとき、指示はイベント・データ・セット生成ユニット42に有利に送信され、指示は、たとえば端末ファイアウォールを制御することを通して悪意があると疑われるソフトウェアに対してアクセスをフィルタにかけるまたはブロックすることが行われるブロッキング機能を含むことができる。したがって、ユーザ端末内のイベント・データ・セット生成ユニット42は、端末ファイアウォールを制御することによりアプリケーション処理ユニットの悪意のあるソフトウェアを停止させるか、または一時的にブロックするフィルタリング機構の役割を果たすことができる。このことはいくつかの異なる方法で、すなわち1)ソフトウェアが実行されるのを完全にブロックすること、2)ソフトウェアに対するすべてのネットワークアクセスをブロックすることで行われることができる。
逸脱挙動決定ユニットは、詐欺的な挙動を取り出して悪意のあるソフトウェアを分類するために、機械学習技法をさらに含むことができる。端末からの動作をネットワークデータと相関させることにより、ネットワーク内の故障またはソフトウェア内のバグが検出されることができ、この情報がユーザおよびサービス提供者の両方にとって有用となり得る。
したがって、GGSN16およびユーザ端末10に関係する使用される動作に影響を及ぼす変更はまた、警報または警報メッセージ、すなわち逸脱する挙動に影響を及ぼし得る装置への通知メッセージの送信とすることができる。送信されることができる動作に影響を及ぼす第3の変更メッセージCIA3および/または動作に影響を及ぼす第4の変更メッセージCIA4は、逸脱する挙動に関してこれらのメッセージを通知するために、ネットワーク管理ユニット28または識別されたサービス提供者31に送信されることができる警報または警報メッセージである。この場合、コマンドまたは警報のような、動作に影響を及ぼす変更メッセージのタイプ、およびそのような動作に影響を及ぼす変更メッセージの受信エンティティが、逸脱の程度またはタイプに基づき選択されることができる。警報または警報メッセージの場合、受信エンティティはその後、第1のユーザ端末に関連して行われるべき適切な動作を決定することができる。動作に影響を及ぼす変更はまた、ユーザ端末10の特定のサービスに対してキャリアを変更する指示、たとえば第2のキャリアから第1のキャリアへの変更を送信することを伴うことができる。また、ユーザ端末に対する影響を及ぼす変更メッセージをそのような指示メッセージとすることができる。
その後、相違が見つけ出されたイベント・データ・セットは、第1の実施形態に従って、ステップ66で、通信インタフェース48を介して分析データベースADB26内の逸脱挙動決定ユニット44により記憶される。これは、逸脱するパターンの分析がユーザ端末に対して行われることができるようにするために行われる。次に、このことが、正常な挙動であると考えられるパターンを変更するために使用されることができる。これが行われた後、ステップ68で分析が終了される。
分析データベース内で相違が見つけ出されたこれらのイベント・データ・セットを記憶することを通して、逸脱挙動決定装置またはネットワーク内の別のノードが、分析データベースからイベント・データ・セットを取り出し、これらの取り出されたイベント・データ・セットを分析し、次に、逸脱する挙動に対する規則を変更することができる。
逸脱する挙動は、以下のオプションのうちの1つまたは複数を使用することにより対処されることができる。
a.ユーザ端末のイベント・データ・セット生成ユニット内でサービスを一時的にブロックすること。
b.ユーザに通知すること。
c.ネットワーク内の識別されたサービスからのイベントをブロックすること。
d.ネットワーク管理システムに警報すること。
さらに、逸脱挙動決定装置は、以下をすることができる。
e.明示的ログを生成すること。
f.識別されたサービスの別のユーザに対する確認を実行すること。
g.ユーザ入力を必要とすること。
適切な即時の動作が取られたとき、逸脱挙動決定装置は、サービスを処理するための長期の規則を運営者が生成することができるようにするフォローアップのために、識別されたサービスにフラグを立てる。ユーザからの明示的フィードバックが、真に逸脱する挙動、およびサービスの状況では正常である挙動を識別するために使用されることができる。
本発明を通して、ユーザ端末内のイベント・データ・セット生成ユニットは、ユーザ端末とユーザの対話を記録し抽出することができる。ユーザ端末内に記録される情報のタイプは、この情報が、ネットワークと端末の対話による結果としてネットワーク内に残される情報/トレースと比較することができるように、ネットワークから制御され、さらにタイムスタンプを押される。
逸脱挙動決定装置により実現されるような本発明はまた、端末上に展開される悪意のあるソフトウェアの検出を可能にする。検出することができる典型的な悪意のある使用法の例が以下を含む(がそれに限定されない)。
SMS/MMSの送信:ユーザにより送信されるSMS/MMSメッセージの数がネットワーク側から見られたSMS/MMSメッセージと一致することを確認すること。このことは、ユーザの同意なしにバックグラウンドでSMS/MMSを送信するソフトウェアの検出を認める。
データアクセス:ネットワークへのすべてのパケット・データ・アクセスがユーザにより意図され、悪意のあるソフトウェアに隠されていないことを検出する。このことは、メガバイト(MB)当たりの費用が非常に高いローミング状況で特に重要である。
プライバシ情報:ユーザにより意図されたとき、ユーザに関する情報、すなわちユーザの電話帳だけがアップロード/ダウンロードされることを検出する。
電話で呼び出すこと。SMSの送信に類似して、本発明は、ユーザにより発せられない電話呼び出しを検出することができ、したがって、たとえば高額料金の電話番号にソフトウェアが呼び出すことを防ぐ。すなわち、ユーザは市内通話を行っていると考えているが、多大な費用が関連付けられる番号を呼び出していることになる。
したがって、本発明にはいくつかの別の有利な点がある。本発明はサードパーティのサービス提供者によるネットワーク悪用を回避する。本発明は、末端ユーザ、すなわち顧客により使用されるときにユーザ端末の安全性を高める。このことは、サービス提供者により提供されるサードパーティのアプリケーションが末端ユーザによりユーザ端末の中にダウンロードされた後にさらに行われることができる。有利な点は、不明瞭なサービスの監視、ユーザ対話とネットワークトラフィックの相関関係、詐欺的挙動の検出、悪意のあるソフトウェアの検出、ソフトウェア内の欠陥の検出、端末およびネットワークの動作を同期させることにより端末ファイアウォールを絶えず最新に保つのに役立つこと、不必要な多くの時間を消費するロギングの必要性を最小にする、ネットワークからのユーザ端末監視を制御すること、およびユーザ端末ファイアウォールとネットワークファイアウォールの両方での状態を制御する/同期させる実現性を可能にすることをさらに含むが、それに限定されない。
第1の実施形態では、イベント・データ・セット生成ユニットが、どのサービスが特定のイベントに関連付けられたかを決定した。本発明によれば、このことはネットワーク内で代わりに行われることができる。本発明の第2の実施形態によれば、このことが、逸脱挙動決定装置24により行われる。
図7は、この第2の実施形態による修正された逸脱挙動決定装置24の構造図を示す。この図には、逸脱挙動決定ユニット44およびイベント相関ユニット46に加えて、通信インタフェースに接続されるイベント・データ・セット修正ユニット70がある。
図8は、図7のイベント・データ・セット修正ユニット70により実行されるいくつかのステップの流れ図を示す。ここでは、ユーザ端末のイベント・データ・セット生成ユニットが第1の実施形態で説明されるようにイベントに関係するデータを収集する。しかし、ユーザ端末のイベント・データ・セット生成ユニットは、サービスへの触覚入力シーケンスのどんなマッピングも行わず、代わりに、逸脱挙動決定装置24のイベント・データ・セット修正ユニット70に、たとえばXMLファイルの形で通信セッションデータと一緒に触覚入力シーケンスデータを送信する。このイベント・データ・セットEDSは、触覚入力シーケンスデータTISD、すなわちユーザ端末UT10の中に作られる触覚ユーザ入力のシーケンスを識別するデータと一緒に、前述の通信セッション識別データを含み、したがって、ステップ72で、イベント・データ・セット修正ユニット70により受信される。次に、触覚ユーザ入力シーケンスデータTISDは、ステップ74で、第1の実施形態においてユーザ端末内で行われたのと同じ方法で基準シーケンスデータRSDにマッピングされ、次に、ステップ76で、このマッピングに基づきサービスSが決定される。その後、イベント・データ・セット修正ユニットは、ステップ78で、第1のイベント・データ・セットEDS1を生成するために、すなわち所与の例ではサービスS1であった関連するサービスSを識別するデータをも含むために、イベント・データ・セットEDSを修正する。その後、イベント・データ・セット修正ユニット70は、ステップ80で、修正されたイベント・データ・セットEDS1をイベント・データ・ベースEDB内に記憶する。
この場合、この修正は、逸脱挙動決定装置24内で行われる必要がないが、全く同様に通信ネットワークのユーザ端末のイベント・データ・セット収集ノード内、または別個のイベント・データ・セット修正ノード内で実行されることができたことが理解されるべきである。
イベント・データ・ベースが使用されるのではなく、逸脱挙動決定装置が、逸脱する挙動をリアルタイムで決定することがさらに可能である。この場合、逸脱挙動決定装置は、通信インタフェースと一緒に、逸脱挙動決定ユニットだけを含むことができる。代替として、逸脱挙動決定装置はまた、イベント・データ・セット修正ユニットと組み合わせられることができる。
図9は、そのような逸脱挙動決定装置24が、逸脱挙動決定ユニットおよび通信インタフェースだけを含む本発明の第3の実施形態によるシナリオを概略示す。この場合、第1のユーザ端末10は、以前のように、第1の基地局12と通信しており、第1の基地局12は、同様にGGSNノード16に接続される。このGGSNノード16にさらに接続されるのが、PEP(ポリシー制御ポイント)ユニット81である。このPEPユニット81は、課金システム29に送信されるEDRの形でネットワーク・イベント・データ・セットを生成し、前に説明された第4のイベント・データ・セットEDS4がそのようなイベント・データ・セットの一例として示される。そのようなイベント・データ・セットは、通信セッションが終了されるとすぐに形成される。次に、このイベント・データ・セットEDS4はまた、逸脱挙動決定装置24に送信される。この場合、第1のユーザ端末10はまた、ユーザ端末関連イベント・データ・セットが生成されるとすぐに、逸脱挙動決定装置24にユーザ端末関連イベント・データ・セットを送信し、したがって、前に説明された第1のイベント・データ・セットを同様に送信するように構成される。一例として、この場合、逸脱挙動決定装置24は、第1のイベント・データ・セットEDS1および第4のイベント・データ・セットEDS4を直接受信する。この場合、第1のイベント・データ・セットがメッセージングセッションに関連付けられる場合、このことは、この場合キャリアあるいはSMSまたはMMSの情報が課金レコードと比較されることを意味する。次に、これらのイベント・データ・セットは逸脱挙動決定装置の逸脱挙動決定ユニット内で処理され、逸脱する挙動が決定される場合、動作に影響を及ぼす変更が、たとえばGGSNノード16に指令CIA1を送信することが行われる。
本発明から作られることができる別の変形形態がいくつかある。上記で説明されるテーブルでは、別個のユーザ端末識別子が省かれることが可能である。次に、特にダイナミックアドレッシング方式の代わりに固定アドレッシング方式が使用される場合、ユーザ端末がソースアドレスまたは宛先のアドレスにより一意に識別されることができる。テーブルはまた、別個のデータベース内に提供されるか、または第3の実施形態のように完全に省かれることができる。逸脱する挙動が既に決定されたイベント・データ・セットの分析、および対応する分析データベースはまた、当然省かれることができる。基地局は、接続されるユーザ端末との間の様々なタイプのトラフィックを阻止するファイアウォールを提供されることがある。したがって、逸脱挙動決定装置、ネットワークイベント・データ・セット収集ノード、またはGGSNノードはまた、サービスに関係するトラフィックを阻止するためにこれらの基地局と通信することができる。基地局はまた、ネットワーク生成イベント・データ・セット、たとえばCDRを提供するように構成されることができる。したがって、ネットワークイベント・データ・セット収集ノードはまた、ネットワーク生成イベント・データ・セットを受信するために、これらの基地局と通信することができる。
逸脱挙動決定装置は、前に説明されたように、逸脱挙動決定ユニットの機能と同様に、イベント・データ・セット相関ユニットおよびイベント・データ・セット相関ユニットが逸脱挙動決定装置内に含まれる場合に、イベント・データ・セット相関ユニットおよびイベント・データ・セット相関ユニットの機能を実行するためのコンピュータ・プログラム・コードを含む関連するプログラムメモリを有するプロセッサの形で有利に提供されることができる。このユニットまたはこれらのユニットはまた、たとえばASIC回路の形のようなハードウェアの形で提供されることができることが理解されるべきである。コンピュータ・プログラム・コードはまた、サーバの中にロードされたとき、逸脱挙動決定装置の上記で説明されたユニットの機能を実現するコンピュータ読出可能手段で、たとえばCD ROMディスクまたはメモリスティックのようなデータ記憶媒体の形で提供されることができる。そのようなコンピュータ・プログラム・コードを含むコンピュータ・プログラム・コード84を有するCD ROMディスク82の形でそのような1つのコンピュータプログラム製品が、図10に概略示されている。
プログラムコードはまた、純粋なコンピュータプログラムとして提供されることができる。この一例が、第1の実施形態による逸脱挙動決定装置のためのコンピュータプログラム84を概説する図11に示されている。このコンピュータプログラム84は、図3に描かれる逸脱挙動決定ユニットの機能を実現するコンピュータプログラム命令INSTRを含む逸脱挙動決定関数(DEVIATING BEHAVIOUR DETERMINING FUNCTION)と名付けられるコンピュータ・プログラム・モジュール、および図3に描かれるイベント・データ・セット相関ユニットの機能を実現するコンピュータプログラム命令INSTRを含むEDS相関関数(EDS CORRELATING FUNCTION)と名付けられるコンピュータ・プログラム・モジュールを含む。代替として、イベント・データ・セット修正ユニットを提供するコンピュータ・プログラム・モジュールも含まれることができ、イベント・データ・セット相関ユニットを実現するコンピュータ・プログラム・モジュールが除外されることができる。
したがって、コンピュータプログラムは、逸脱する挙動を決定するための装置内にロードされたとき、この装置に第1および第2のグループのイベント・データ・セットを得させ、両方のグループのイベント・データ・セットを含む比較を行わせ、比較に基づき特定のユーザ端末の逸脱する挙動の存在を装置に決定させるコンピュータ・プログラム・コード手段またはコンピュータプログラム命令を含むことができる。
逸脱する挙動の存在の決定では、コードはさらに、第1のグループのイベント・データ・セットが第2のグループのイベント・データ・セットと異なる場合、逸脱する挙動を装置に決定させることができ、この場合、第1のグループ内のイベント・データ・セット内のデータと、第2のグループ内の対応するイベント・データ・セット内との間に相違がある場合、グループは異なり得る。グループはまた、第1のグループと第2のグループの間のイベント・データ・セットの数の相違によって異なり得る。
さらに、コードは装置に、逸脱する挙動にリンクされるユーザ端末に対するサービスを決定させ、特定のユーザ端末とサービスの両方を含む動作の変更を得るために動作に影響を及ぼす変更を行わせることができる。
この場合、動作に影響を及ぼす変更は、逸脱する挙動に影響を及ぼし得る装置に、ユーザ端末に対するサービスに関係する制限、および/または特定のユーザ端末を含むサービスに関係する通信セッションに影響を及ぼす制限を強制するよう通知することとすることができる。
さらに、コードは装置に、第1のグループ内のイベント・データ・セットにおけるサービスを決定するために、ユーザ端末を介して行われる触覚ユーザ入力のシーケンスを触覚入力の基準シーケンスにマッピングさせることができる。
コードはまた、装置に、ユーザ端末からユーザ端末生成イベント・データ・セットを受信させ、これらのイベント・データ・セットに対してマッピングを行わせ、決定されたサービスを識別するデータを用いて、受信されたイベント・データ・セットを修正させ、修正されたイベント・データ・セットをイベント・データ・ベース内に記憶させることができ、この場合、第1のグループのイベント・データ・セットを得ることは、イベント・データ・ベースから第1のグループのイベント・データ・セットを取り出すことを伴う。
最後に、コードは装置に、逸脱する挙動が決定されたイベント・データ・セットを分析データベース内に記憶させるのと同様に、分析データベースからイベント・データ・セットを取り出させ、これらのイベント・データ・セットを分析させ、分析に基づき逸脱する挙動を決定するための規則を変更させることができる。
本発明が、現在、最も実際的であり好ましい実施形態であると考えられるものに関連して説明されたが、本発明は開示された実施形態に限定されるべきではなく、それどころか、様々な修正形態および均等の構成を包含することが意図されることが理解されるべきである。したがって、本発明は以下の特許請求の範囲だけにより限定されるべきである。

Claims (21)

  1. 通信ネットワークの少なくとも1つのネットワークノード内で実行されているユーザ端末の逸脱する挙動を決定するための方法であって、
    少なくとも1つのイベント・データ・セットを含む第1のグループのイベント・データ・セットを得るステップであって、この第1のグループ内の各イベント・データ・セットが特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含むステップと、
    少なくとも1つのイベント・データ・セットを含む第2のグループのイベント・データ・セットを得るステップであって、この第2のグループ内の各イベント・データ・セットが前記特定のユーザ端末に関係するネットワーク生成イベントデータを含むステップと、
    前記第1のグループのイベント・データ・セットおよび前記第2のグループのイベント・データ・セットを含む比較を行うステップと、
    前記比較に基づき前記特定のユーザ端末の逸脱する挙動の存在を決定するステップとを含む方法。
  2. 前記第2のグループ内の前記イベント・データ・セットが、前記第1のグループ内の前記イベント・データ・セットと相関させられる、請求項1に記載の方法。
  3. 前記第1のグループのイベント・データ・セットが前記第2のグループのイベント・データ・セットと異なる場合、逸脱する挙動の前記存在を決定する前記ステップが、逸脱する挙動を決定するステップを伴う、請求項1または2に記載の方法。
  4. 前記第1のグループ内のイベント・データ・セット内のデータと、前記第2のグループ内の対応するイベント・データ・セットの間に相違が存在する場合、前記第1のグループのイベント・データ・セットが前記第2のグループのイベント・データ・セットと異なる、請求項3に記載の方法。
  5. 前記第1のグループおよび前記第2のグループの少なくとも一方の中に2つ以上のイベント・データ・セットがあり、前記第1のグループと前記第2のグループの間のイベント・データ・セットの数に相違がある場合、前記第1のグループのイベント・データ・セットが前記第2のグループのイベント・データ・セットと異なる、請求項3または4に記載の方法。
  6. 前記第2のグループ内の前記イベント・データ・セットの1つが料金レコードから得られ、かつ前記第1のグループ内にイベント・データ・セットがない電子メッセージに関係する、請求項5に記載の方法。
  7. 前記逸脱する挙動にリンクされる前記ユーザ端末に対するサービスを決定するステップと、前記特定のユーザ端末と前記サービスの両方を含む動作の変更を得るために動作に影響を及ぼす変更を実行するステップとをさらに含む、請求項1から6のいずれか1項に記載の方法。
  8. 動作に影響を及ぼす変更を実行する前記ステップが、前記逸脱する挙動に影響を及ぼすことができる装置に通知するステップを含む、請求項7に記載の方法。
  9. 動作に影響を及ぼす変更を実行する前記ステップが、前記ユーザ端末に対する前記サービスに関係する制限を強制するステップを含む、請求項7または8に記載の方法。
  10. 前記サービスが、前記ネットワークを介して前記特定のユーザ端末を関与させている1つまたは複数の通信セッションを含み、動作に影響を及ぼす変更を実行する前記ステップが、前記サービスに関係する通信セッションに影響を及ぼすステップと、前記特定のユーザ端末を含むステップとを含む、請求項9に記載の方法。
  11. イベント・データ・セットが、前記イベントに関連するサービスを識別するデータ、前記イベントに関連するデータを識別し、かつ前記ユーザ端末を識別する少なくとも1つの通信識別子を含む通信セッション、少なくとも1つの通信セッションベアラ識別子、および前記通信セッションに関係する時間データを含む、請求項1〜10のいずれか1項に記載の方法。
  12. 前記第1のグループ内のイベント・データ・セット内のサービスを決定するために、前記ユーザ端末を介して行われる触覚ユーザ入力のシーケンスを触覚入力の基準シーケンスにマッピングするステップをさらに含む、請求項1〜11のいずれか1項に記載の方法。
  13. 前記ユーザ端末からユーザ端末生成イベント・データ・セットを受信するステップと、これらのイベント・データ・セットに対してマッピングする前記ステップを実行するステップと、決定されたサービスを識別するデータを用いて、前記受信されたイベント・データ・セットを修正するステップと、イベント・データ・ベース内に前記修正されたイベント・データ・セットを記憶するステップとをさらに含み、前記第1のグループのイベント・データ・セットを得るステップが前記イベント・データ・ベースから前記第1のグループのイベント・データ・セットを取り出すステップを伴う、請求項12に記載の方法。
  14. 前記ネットワーク内の料金レコードおよびイベントレコードに基づきイベント・データ・セットを提供し、これらのイベント・データ・セットをイベント・データ・ベース内に記憶するステップをさらに含み、前記第2のグループのイベント・データ・セットを得る前記ステップが、比較する前記ステップを実行する前に、このイベント・データ・ベースから前記第2のグループのイベント・データ・セットを取り出すステップを伴う、請求項1〜13のいずれか1項に記載の方法。
  15. 逸脱する挙動が分析データベース内で決定されたイベント・データ・セットを記憶するステップをさらに含む、請求項1〜14のいずれか1項に記載の方法。
  16. 前記分析データベースからイベント・データ・セットを取り出すステップと、これらのイベント・データ・セットを分析するステップと、前記分析に基づき逸脱する挙動を決定するための規則を変更するステップとをさらに含む、請求項15に記載の方法。
  17. ユーザ端末の逸脱する挙動を決定するための、通信ネットワークのネットワークノード内の装置であって、
    前記通信ネットワークに関係する別の装置と通信するための少なくとも1つの通信インタフェースと、
    少なくとも1つのイベント・データ・セットを含む第1のグループのイベント・データ・セットであって、この第1のグループ内の各イベント・データ・セットが特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含む第1のグループのイベント・データ・セットを得て、
    少なくとも1つのイベント・データ・セットを含む第2のグループのイベント・データ・セットであって、この第2のグループ内の各イベント・データ・セットが前記特定のユーザ端末に関係するネットワーク生成イベントデータを含む第2のグループのイベント・データ・セットを得て、かつ
    前記第1のグループのイベント・データ・セットおよび前記第2のグループのイベント・データ・セットを含む比較を行い、
    前記比較に基づき前記特定のユーザ端末の逸脱する挙動の存在を決定するように構成される逸脱挙動決定ユニットと、を含む装置。
  18. どのイベント・データ・セットが前記第1のグループに属するのか、およびどのイベント・データ・セットが前記第2のグループに属するのかを、イベント・データ・セットが同じサービスに関連付けられるという事実に少なくとも基づき決定するように構成されるイベント・データ・セット相関ユニットをさらに含む、請求項17に記載の装置。
  19. 前記第1のグループ内のイベント・データ・セットでのサービスを決定するために、前記ユーザ端末に対して行われる触覚入力のシーケンスを触覚入力の基準シーケンスにマッピングするように構成されるイベント・データ・セット修正ユニットをさらに含む、請求項18に記載の装置。
  20. 通信ネットワーク内のユーザ端末の逸脱する挙動を決定するために装置上で実行されるときに、前記装置に、
    少なくとも1つのイベント・データ・セットを含む第1のグループのイベント・データ・セットであって、この第1のグループ内の各イベント・データ・セットが特定のユーザ端末内のイベントに関係するユーザ端末生成イベントデータを含む第1のグループのイベント・データ・セットを得させ、
    少なくとも1つのイベント・データ・セットを含む第2のグループのイベント・データ・セットであって、この第2のグループ内の各イベント・データ・セットが前記特定のユーザ端末に関係するネットワーク生成イベントデータを含む第2のグループのイベント・データ・セットを得させ、
    前記第1のグループのイベント・データ・セットおよび前記第2のグループのイベント・データ・セットを含む比較を行わせ、かつ
    前記比較に基づき前記特定のユーザ端末の逸脱する挙動の存在を決定させるコンピュータ・プログラム・コードを含むコンピュータプログラム。
  21. 請求項20に記載のコンピュータプログラムと、前記コンピュータプログラムが記憶されるコンピュータ読出し可能手段と、を含むコンピュータプログラム製品。
JP2012508424A 2009-04-30 2009-04-30 ユーザ端末の逸脱する挙動 Pending JP2012525626A (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2009/050471 WO2010126416A1 (en) 2009-04-30 2009-04-30 Deviating behaviour of a user terminal

Publications (1)

Publication Number Publication Date
JP2012525626A true JP2012525626A (ja) 2012-10-22

Family

ID=43032379

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012508424A Pending JP2012525626A (ja) 2009-04-30 2009-04-30 ユーザ端末の逸脱する挙動

Country Status (4)

Country Link
US (1) US8918876B2 (ja)
EP (1) EP2425365A4 (ja)
JP (1) JP2012525626A (ja)
WO (1) WO2010126416A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016143397A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 端末検知システムおよび方法

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9830599B1 (en) * 2010-12-21 2017-11-28 EMC IP Holding Company LLC Human interaction detection
US20130124631A1 (en) * 2011-11-04 2013-05-16 Fidelus Technologies, Llc. Apparatus, system, and method for digital communications driven by behavior profiles of participants
AU2013202350B2 (en) * 2012-05-04 2015-04-02 Fishy & Madge Pty Ltd Network data analysis
US9324034B2 (en) 2012-05-14 2016-04-26 Qualcomm Incorporated On-device real-time behavior analyzer
US9202047B2 (en) * 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9690635B2 (en) 2012-05-14 2017-06-27 Qualcomm Incorporated Communicating behavior information in a mobile computing device
US9298494B2 (en) 2012-05-14 2016-03-29 Qualcomm Incorporated Collaborative learning for efficient behavioral analysis in networked mobile device
US9609456B2 (en) 2012-05-14 2017-03-28 Qualcomm Incorporated Methods, devices, and systems for communicating behavioral analysis information
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US9330257B2 (en) 2012-08-15 2016-05-03 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9495537B2 (en) 2012-08-15 2016-11-15 Qualcomm Incorporated Adaptive observation of behavioral features on a mobile device
US9171151B2 (en) * 2012-11-16 2015-10-27 Microsoft Technology Licensing, Llc Reputation-based in-network filtering of client event information
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9686023B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of dynamically generating and using device-specific and device-state-specific classifier models for the efficient classification of mobile device behaviors
US9684870B2 (en) 2013-01-02 2017-06-20 Qualcomm Incorporated Methods and systems of using boosted decision stumps and joint feature selection and culling algorithms for the efficient classification of mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
US9491187B2 (en) 2013-02-15 2016-11-08 Qualcomm Incorporated APIs for obtaining device-specific behavior classifier models from the cloud
CN106095593B (zh) 2016-05-31 2019-04-16 Oppo广东移动通信有限公司 一种前、后景应用程序行为同步方法及装置
US10447718B2 (en) 2017-05-15 2019-10-15 Forcepoint Llc User profile definition and management
US10862927B2 (en) 2017-05-15 2020-12-08 Forcepoint, LLC Dividing events into sessions during adaptive trust profile operations
US10623431B2 (en) * 2017-05-15 2020-04-14 Forcepoint Llc Discerning psychological state from correlated user behavior and contextual information
US10129269B1 (en) 2017-05-15 2018-11-13 Forcepoint, LLC Managing blockchain access to user profile information
US10999297B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Using expected behavior of an entity when prepopulating an adaptive trust profile
US10917423B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Intelligently differentiating between different types of states and attributes when using an adaptive trust profile
US9882918B1 (en) 2017-05-15 2018-01-30 Forcepoint, LLC User behavior profile in a blockchain
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10915644B2 (en) 2017-05-15 2021-02-09 Forcepoint, LLC Collecting data for centralized use in an adaptive trust profile event via an endpoint
US10853496B2 (en) 2019-04-26 2020-12-01 Forcepoint, LLC Adaptive trust profile behavioral fingerprint
US12101349B2 (en) 2019-09-16 2024-09-24 The Toronto-Dominion Bank Systems and methods for detecting changes in data access pattern of third-party applications
US11275842B2 (en) 2019-09-20 2022-03-15 The Toronto-Dominion Bank Systems and methods for evaluating security of third-party applications
US11436336B2 (en) 2019-09-23 2022-09-06 The Toronto-Dominion Bank Systems and methods for evaluating data access signature of third-party applications
WO2021225612A1 (en) * 2020-05-05 2021-11-11 Intelepeer System and methods for dynamically extending analytics in a cloud communications platform

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007003916A2 (en) * 2005-06-30 2007-01-11 Prevx Limited Methods and apparatus for dealing with malware
JP2008276723A (ja) * 2007-04-05 2008-11-13 Hitachi Ltd 情報資産管理システム、ログ分析サーバ、ログ分析用プログラム、及び可搬媒体
JP2009504104A (ja) * 2005-08-03 2009-01-29 カリプティクス セキュリティ ネットワーク環境を動的に学習して適応型セキュリティを実現するシステムおよび方法
JP2009037545A (ja) * 2007-08-03 2009-02-19 National Institute Of Information & Communication Technology マルウェアの類似性検査方法及び装置

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6035043A (en) * 1995-12-22 2000-03-07 Pitney Bowes Inc. Cellular telephone manifest system
US5822691A (en) * 1996-05-02 1998-10-13 Nokia Mobile Phones Limited Method and system for detection of fraudulent cellular telephone use
DE69817176T2 (de) 1998-09-09 2004-06-24 International Business Machines Corp. Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
US6295446B1 (en) * 1998-10-19 2001-09-25 Telefonaktiebolaget Lm Ericsson (Publ) Method and apparatus to detect fraudulent calls in a radio network
US6671811B1 (en) * 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
FI110651B (fi) * 2000-02-22 2003-02-28 Nokia Corp Menetelmä siirretyn datan määrän tarkastamiseksi
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20030037138A1 (en) * 2001-08-16 2003-02-20 International Business Machines Corporation Method, apparatus, and program for identifying, restricting, and monitoring data sent from client computers
US7142651B2 (en) * 2001-11-29 2006-11-28 Ectel Ltd. Fraud detection in a distributed telecommunications networks
US7841002B2 (en) * 2001-12-06 2010-11-23 Ectel Ltd. Method for detecting a behavior of interest in telecommunication networks
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US20040199828A1 (en) 2003-04-01 2004-10-07 International Business Machines Corporation Method and apparatus for tracing troubleshooting events for aiding technical assistance
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database
US8528077B1 (en) * 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US20060236395A1 (en) 2004-09-30 2006-10-19 David Barker System and method for conducting surveillance on a distributed network
US7475135B2 (en) * 2005-03-31 2009-01-06 International Business Machines Corporation Systems and methods for event detection
US7171337B2 (en) * 2005-06-21 2007-01-30 Microsoft Corpoartion Event-based automated diagnosis of known problems
GB2428938B (en) * 2005-08-05 2007-12-05 Motorola Inc Unauthorized call activity detection in a cellular communication system
US7712132B1 (en) * 2005-10-06 2010-05-04 Ogilvie John W Detecting surreptitious spyware
KR100799302B1 (ko) * 2006-06-21 2008-01-29 한국전자통신연구원 시스템 이벤트 정보를 이용한 은닉 프로세스 탐지 시스템및 방법
US20090292924A1 (en) * 2008-05-23 2009-11-26 Johnson Erik J Mechanism for detecting human presence using authenticated input activity
US20100107257A1 (en) * 2008-10-29 2010-04-29 International Business Machines Corporation System, method and program product for detecting presence of malicious software running on a computer system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007003916A2 (en) * 2005-06-30 2007-01-11 Prevx Limited Methods and apparatus for dealing with malware
JP2009504104A (ja) * 2005-08-03 2009-01-29 カリプティクス セキュリティ ネットワーク環境を動的に学習して適応型セキュリティを実現するシステムおよび方法
JP2008276723A (ja) * 2007-04-05 2008-11-13 Hitachi Ltd 情報資産管理システム、ログ分析サーバ、ログ分析用プログラム、及び可搬媒体
JP2009037545A (ja) * 2007-08-03 2009-02-19 National Institute Of Information & Communication Technology マルウェアの類似性検査方法及び装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2016143397A (ja) * 2015-02-05 2016-08-08 日本電信電話株式会社 端末検知システムおよび方法

Also Published As

Publication number Publication date
US20120060219A1 (en) 2012-03-08
US8918876B2 (en) 2014-12-23
EP2425365A4 (en) 2016-08-24
EP2425365A1 (en) 2012-03-07
WO2010126416A1 (en) 2010-11-04

Similar Documents

Publication Publication Date Title
JP2012525626A (ja) ユーザ端末の逸脱する挙動
US11882139B2 (en) Method and system for preventing illicit use of a telephony platform
US8375360B2 (en) Provision of services over a common delivery platform such as a mobile telephony network
US8904000B2 (en) Provision of services over a common delivery platform such as a mobile telephony network
GB2422218A (en) A system for providing services
US9300685B2 (en) Detecting altered applications using network traffic data
KR20150080588A (ko) 모바일 네트워크 환경에서 네트워크 정보를 가입자 정보와 상관시키는 시스템 및 방법
WO2019040529A1 (en) CONFIDENTIALITY PROTECTION VALIDATION OF A COMMUNICATION REGISTRATION
US20140244793A1 (en) Routing decision context objects
US20130311468A1 (en) Data Model Pattern Updating in a Data Collecting System
US20150095439A1 (en) Message handling extension using context artifacts
GB2422221A (en) Provision of services over a common delivery platform such as a mobile telephony network
US20120297051A1 (en) P2p activity detection and management
US8929238B2 (en) Subscriber record context objects
US9942766B1 (en) Caller validation for end service providers
CN105992212B (zh) 一种手机恶意扣费的检测方法
US20060190539A1 (en) Provision of services over a common delivery platform such as a mobile telephony network
CN103139695B (zh) 面向客户端的电信能力调用方法和网络设备
CN114756530A (zh) 一种基于堡垒机的客户端信息处理方法
US8213330B2 (en) Managing mobile telecommunications packet data service traffic in real-time
GB2422219A (en) A software development system
US20180131814A1 (en) Method and system for revenue maximization in a communication network
Thanh et al. A DIAMETER based security framework for mobile networks
US20230413021A1 (en) Fee re-rating for a wireless carrier network
US20120124207A1 (en) Investigating a communication aspect of a data flow

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130812

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130820

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140212