JP2020113233A - グループウェア使用者の異常行為探知方法および装置 - Google Patents
グループウェア使用者の異常行為探知方法および装置 Download PDFInfo
- Publication number
- JP2020113233A JP2020113233A JP2019027679A JP2019027679A JP2020113233A JP 2020113233 A JP2020113233 A JP 2020113233A JP 2019027679 A JP2019027679 A JP 2019027679A JP 2019027679 A JP2019027679 A JP 2019027679A JP 2020113233 A JP2020113233 A JP 2020113233A
- Authority
- JP
- Japan
- Prior art keywords
- uri
- user
- sequence
- primitive
- abnormal behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
Description
Claims (14)
- グループウェア使用者の行為が異常行為であるかを探知する方法であって、
前記使用者の行為からURI(Uniform Resource Identifier)を獲得する段階と、
あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階と、
前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階と、
前記原始URIシークエンスからログ確率値を算出する段階と、および
前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階を含む、異常行為探知方法。 - 前記あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階は、
前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。 - 前記URIシークエンスに前処理を遂行して原始URIシークエンスを生成する段階は、
前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。 - 前記原始URIシークエンスからログ確率値を算出する段階は、
前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する段階と、および
前記転移確率に基づいて前記ログ確率値を算出する段階を含む、請求項1に記載の異常行為探知方法。 - 前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する段階は、
前記原始URIシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて前記転移確率を算出する段階を含む、請求項4に記載の異常行為探知方法。 - 前記使用者の行為が発生した日による基準日は、
前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項5に記載の異常行為探知方法。 - 前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階は、
前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断する段階を含む、請求項1に記載の異常行為探知方法。 - グループウェア使用者の行為が異常行為であるかを探知する装置であって、
プロセッサ(processor)と、および
前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(memory)を含み、
前記少なくとも一つの命令は、
前記使用者の行為からURI(Uniform Resource Identifier)を獲得するように実行され、
あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成するように実行され、
前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成するように実行され、
前記原始URIシークエンスからログ確率値を算出するように実行され、
前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知するように実行される、異常行為探知装置。 - 前記少なくとも一つの命令は、
前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置. - 前記少なくとも一つの命令は、
前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置。 - 前記少なくとも一つの命令は、
前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出するように実行され、
前記転移確率に基づいて前記ログ確率値を算出するように実行される、請求項8に記載の異常行為探知装置。 - 前記少なくとも一つの命令は、
前記原始URIシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて前記転移確率を算出するように実行される、請求項11に記載の異常行為探知装置。 - 前記使用者の行為が発生した日による基準日は、
前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項12に記載の異常行為探知装置。 - 前記少なくとも一つの命令は、
前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断するように実行される、請求項8に記載の異常行為探知装置。
Applications Claiming Priority (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR10-2019-0004882 | 2019-01-14 | ||
KR20190004882 | 2019-01-14 | ||
KR1020190010285A KR102151173B1 (ko) | 2019-01-14 | 2019-01-28 | 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치 |
KR10-2019-0010285 | 2019-01-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020113233A true JP2020113233A (ja) | 2020-07-27 |
JP6757991B2 JP6757991B2 (ja) | 2020-09-23 |
Family
ID=71517003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019027679A Active JP6757991B2 (ja) | 2019-01-14 | 2019-02-19 | グループウェア使用者の異常行為探知方法および装置 |
Country Status (2)
Country | Link |
---|---|
US (1) | US11336668B2 (ja) |
JP (1) | JP6757991B2 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113780318B (zh) * | 2020-08-31 | 2024-04-16 | 京东科技控股股份有限公司 | 用于生成提示信息的方法、装置、服务器和介质 |
CN112306982B (zh) * | 2020-11-16 | 2021-07-16 | 杭州海康威视数字技术股份有限公司 | 异常用户检测方法、装置、计算设备及存储介质 |
CN112231700B (zh) * | 2020-12-17 | 2021-05-11 | 腾讯科技(深圳)有限公司 | 行为识别方法和装置、存储介质及电子设备 |
CN115277150B (zh) * | 2022-07-21 | 2024-04-12 | 格尔软件股份有限公司 | 异常访问行为分析方法、装置、计算机设备和存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101615186A (zh) * | 2009-07-28 | 2009-12-30 | 东北大学 | 一种基于隐马尔科夫理论的bbs用户异常行为审计方法 |
JP2012009012A (ja) * | 2010-06-28 | 2012-01-12 | Nhn Corp | パーペチュアルカレンダページを含むウェブページのトラップ検出及びこれを用いた検索データベース構築方法、システム及びコンピュータ読取可能な記録媒体 |
JP2014531647A (ja) * | 2011-09-09 | 2014-11-27 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 |
US20160337399A1 (en) * | 2013-12-20 | 2016-11-17 | Detica Patent Limited | Communications security |
JP2017041886A (ja) * | 2015-08-20 | 2017-02-23 | サイバーエックス イスラエル エルティーディー.Cyberx Israel Ltd. | 産業制御システムにおけるサイバー攻撃の軽減のための方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US9285958B1 (en) * | 2012-11-19 | 2016-03-15 | Amazon Technologies, Inc. | Browser interface for accessing predictive content |
US9531736B1 (en) * | 2012-12-24 | 2016-12-27 | Narus, Inc. | Detecting malicious HTTP redirections using user browsing activity trees |
US9379952B2 (en) * | 2013-08-20 | 2016-06-28 | Futurewei Technologies, Inc. | Monitoring NAT behaviors through URI dereferences in web browsers |
CN103714456B (zh) * | 2014-01-06 | 2015-08-19 | 同济大学 | 软件行为监控验证系统 |
US20150348071A1 (en) * | 2014-05-27 | 2015-12-03 | Iperceptions Inc | Server and method for generating predictive patterns for website analysis |
WO2018085732A1 (en) * | 2016-11-03 | 2018-05-11 | RiskIQ, Inc. | Techniques for detecting malicious behavior using an accomplice model |
KR102408476B1 (ko) * | 2017-07-10 | 2022-06-14 | 십일번가 주식회사 | 사용자 행동 순서에 기반한 구매 확률 예측 방법 및 이를 위한 장치 |
-
2019
- 2019-02-15 US US16/277,478 patent/US11336668B2/en active Active
- 2019-02-19 JP JP2019027679A patent/JP6757991B2/ja active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101615186A (zh) * | 2009-07-28 | 2009-12-30 | 东北大学 | 一种基于隐马尔科夫理论的bbs用户异常行为审计方法 |
JP2012009012A (ja) * | 2010-06-28 | 2012-01-12 | Nhn Corp | パーペチュアルカレンダページを含むウェブページのトラップ検出及びこれを用いた検索データベース構築方法、システム及びコンピュータ読取可能な記録媒体 |
JP2014531647A (ja) * | 2011-09-09 | 2014-11-27 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. | 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法 |
US20160337399A1 (en) * | 2013-12-20 | 2016-11-17 | Detica Patent Limited | Communications security |
JP2017041886A (ja) * | 2015-08-20 | 2017-02-23 | サイバーエックス イスラエル エルティーディー.Cyberx Israel Ltd. | 産業制御システムにおけるサイバー攻撃の軽減のための方法 |
Non-Patent Citations (1)
Title |
---|
黒木 琴海: "アクセスパターンに基づく攻撃対象Webアプリケーション発見手法の提案", CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB], vol. 第2018巻, JPN6020000974, 25 October 2018 (2018-10-25), JP, ISSN: 0004194128 * |
Also Published As
Publication number | Publication date |
---|---|
JP6757991B2 (ja) | 2020-09-23 |
US20200228552A1 (en) | 2020-07-16 |
US11336668B2 (en) | 2022-05-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2020113233A (ja) | グループウェア使用者の異常行為探知方法および装置 | |
Ward et al. | Complexity is costly: a meta‐analysis of parametric and non‐parametric methods for short‐term population forecasting | |
WO2019218475A1 (zh) | 异常行为对象的识别方法、装置、终端设备及介质 | |
US20170208080A1 (en) | Computer-readable recording medium, detection method, and detection apparatus | |
CN105447046A (zh) | 一种分布式系统数据一致性处理方法、装置和系统 | |
CN104143083A (zh) | 一种基于过程管理的人脸识别系统 | |
US20190095439A1 (en) | Content pattern based automatic document classification | |
CN113228006A (zh) | 检测连续事件中的异常的装置和方法及其计算机程序产品 | |
KR102151173B1 (ko) | 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치 | |
US20110213737A1 (en) | Training and verification using a correlated boosted entity model | |
EP3595263A1 (en) | Systems and methods for entity network analytics | |
JP5833817B2 (ja) | ドキュメント使用クラスタリングによるユーザタスク表現を近似するための方法 | |
US11556871B2 (en) | Systems and methods for escalation policy activation | |
WO2021257298A1 (en) | Machine learning model training checkpoints | |
Jain et al. | Classifying fake news detection using SVM, Naive Bayes and LSTM | |
Mostaeen et al. | Clonecognition: machine learning based code clone validation tool | |
CN111177568B (zh) | 基于多源数据的对象推送方法、电子装置及存储介质 | |
KR20220111219A (ko) | 실시간으로 데이터의 증가 속도에 따라 데이터 처리 주기를 설정하는 시스템의 분석 방법 | |
Tax et al. | Mining local process models with constraints efficiently: applications to the analysis of smart home data | |
Chatterjee et al. | Mospat: Automl based model selection and parameter tuning for time series anomaly detection | |
CN104580109A (zh) | 生成点选验证码的方法及装置 | |
CN103336800A (zh) | 基于行为分析的指纹存储比对的方法 | |
EP3791296A1 (en) | A system and a method for sequential anomaly revealing in a computer network | |
CN105844176B (zh) | 安全策略生成方法及设备 | |
US11449789B2 (en) | System and method for hierarchical classification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190219 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20191226 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20200121 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200325 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20200818 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20200826 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6757991 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |