JP2020113233A - グループウェア使用者の異常行為探知方法および装置 - Google Patents

グループウェア使用者の異常行為探知方法および装置 Download PDF

Info

Publication number
JP2020113233A
JP2020113233A JP2019027679A JP2019027679A JP2020113233A JP 2020113233 A JP2020113233 A JP 2020113233A JP 2019027679 A JP2019027679 A JP 2019027679A JP 2019027679 A JP2019027679 A JP 2019027679A JP 2020113233 A JP2020113233 A JP 2020113233A
Authority
JP
Japan
Prior art keywords
uri
user
sequence
primitive
abnormal behavior
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2019027679A
Other languages
English (en)
Other versions
JP6757991B2 (ja
Inventor
スンヨン バク
Seung Young Park
スンヨン バク
サンギュ シム
Sang Gyoo Sim
サンギュ シム
ドクス キム
Duk Soo Kim
ドクス キム
ソクウ イ
Seok Woo Lee
ソクウ イ
ミョンジン キム
Myung Jin Kim
ミョンジン キム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Penta Security Systems Inc
Original Assignee
Penta Security Systems Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020190010285A external-priority patent/KR102151173B1/ko
Application filed by Penta Security Systems Inc filed Critical Penta Security Systems Inc
Publication of JP2020113233A publication Critical patent/JP2020113233A/ja
Application granted granted Critical
Publication of JP6757991B2 publication Critical patent/JP6757991B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

【課題】使用者がグループウェアに接続時に生成されたURIを利用して使用者の異常行為を探知する。【解決手段】グループウェア使用者の行為が異常行為であるかを探知する方法であって、使用者の行為からURIを獲得する段階、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する段階、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階、原始URIシークエンスからログ確率値を算出する段階およびログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する段階を含む。【選択図】図7

Description

本発明はグループウェア使用者の異常行為探知方法および装置に関するものであって、さらに詳細には、使用者がグループウェア(groupware)に接続時に生成されたURI(Uniform Resource Identifier)を利用して使用者の異常行為を探知する方法および装置に関することである。
協業ソフトウェアとも呼ばれるグループウェア(groupware)は、多様な使用者が別個の作業環境で統合された一つのプロジェクトを同時に遂行できるように支援するソフトウェアを意味し得る。ここで、グループウェアの個別使用者は各自付与された接続情報を利用してグループウェアに接続することができ、このようなグループウェアの接続情報が攻撃者によって奪取される場合、攻撃者が使用者の権限をそのまま使用できる問題点がある。
このような問題点を解決するために、従来には接続情報自体に対する暗号化などのようなセキュリティー措置をする方法が利用されたり、攻撃者の外部接続を遮断する方法が主に利用された。ただし、このような従来方法だけでは攻撃者が使用者の代わりにグループウェアに接続することを完全に排除することができないため、他の代案が必要であるのが実情である。
前記のような問題点を解決するための本発明の目的は、グループウェア使用者の異常行為探知方法を提供するところにある。
前記のような問題点を解決するための本発明の他の目的は、グループウェア使用者の異常行為探知装置を提供するところにある。
前記目的を達成するための本発明の一実施例に係る異常行為探知方法は、使用者の行為からURI(Uniform Resource Identifier)を獲得する段階、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する段階、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階、原始URIシークエンスからログ確率値を算出する段階およびログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する段階を含むことができる。
ここで、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する段階は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する段階を含むことができる。
ここで、URIシークエンスに前処理を遂行して原始URIシークエンスを生成する段階は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する段階を含むことができる。
ここで、原始URIシークエンスからログ確率値を算出する段階は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する段階および転移確率に基づいてログ確率値を算出する段階を含むことができる。
ここで、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する段階は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出する段階を含むことができる。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する段階は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断する段階を含むことができる。
前記他の目的を達成するための本発明の一実施例に係る異常行為探知装置は、プロセッサ(processor)およびプロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(memory)を含み、少なくとも一つの命令は、使用者の行為からURI(Uniform Resource Identifier)を獲得するように実行され、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成するように実行され、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成するように実行され、原始URIシークエンスからログ確率値を算出するように実行され、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知するように実行され得る。
ここで、少なくとも一つの命令は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成するように実行され得る。
ここで、少なくとも一つの命令は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成するように実行され得る。
ここで、少なくとも一つの命令は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出するように実行され、転移確率に基づいてログ確率値を算出するように実行され得る。
ここで、少なくとも一つの命令は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出するように実行され得る。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、少なくとも一つの命令は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断するように実行され得る。
本発明によると、攻撃者がグループウェアに接続できる使用者の接続情報を奪取して浸透することを探知することができる。
本発明によると、複数の使用者が別途の作業環境で安全に一つのプロジェクトを共に遂行できる。
本発明の一実施例に係る原始URIシークエンスを生成する方法を説明する図面。 本発明の一実施例に係るTP値をアップデートする方法を説明する図面。 本発明の一実施例に係る初期TP値を算出するアルゴリズムを示した図面。 本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスを利用する第1方法によりTP値をアップデートするアルゴリズムを示した図面。 本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスのうち、一部を利用する第2方法によりTP値をアップデートするアルゴリズムを示した図面。 本発明の一実施例に係る異常行為探知装置のブロック構成図。 本発明の一実施例に係る異常行為探知方法のフローチャート。
本発明は多様な変更を加えることができ、多様な実施例を有することができるところ、特定の実施例を図面に例示して詳細な説明に詳細に説明する。しかし、これは本発明を特定の実施形態に限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。各図面の説明において、類似する参照符号を類似する構成要素に付した。
第1、第2、A、Bなどの用語は多様な構成要素の説明に使われ得るが、前記構成要素は前記用語によって限定されてはならない。前記用語は一つの構成要素を他の構成要素から区別する目的でのみ使われる。例えば、本発明の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。「および/または」という用語は複数の関連した記載された項目の組み合わせまたは複数の関連した記載された項目のうちいずれかの項目を含む。
ある構成要素が他の構成要素に「連結されて」いるとか「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよく、中間に他の構成要素が存在してもよいと理解されるべきである。反面、ある構成要素が他の構成要素に「直接連結されて」いるとか「直接接続されて」いると言及された時には、中間に他の構成要素が存在しないものと理解されるべきである。
本出願で使った用語は単に特定の実施例を説明するために使われたものであって、本発明を限定しようとする意図ではない。単数の表現は文脈上明白に異なることを意味しない限り、複数の表現を含む。本出願で、「含む」または「有する」等の用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものなどの存在または付加の可能性をあらかじめ排除しないものと理解されるべきである。
異なって定義されない限り、技術的または科学的な用語を含んで、ここで使われるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使われる辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有すると解釈されるべきであり、本出願で明白に定義しない限り、理想的または過度に形式的な意味と解釈されない。
以下、添付した図面を参照して、本発明の好ましい実施例をより詳細に説明する。本発明の説明において、全体的な理解を容易にするために図面上の同じ構成要素については同じ参照符号を付し、同じ構成要素に対する重複する説明は省略する。以下、本発明に係る好ましい実施例を添付された図面を参照して詳細に説明する。
本発明の説明でグループウェア(groupware)は複数の使用者が同じ作業をしたり、スケジュールに合わせて共同作業をするのに適合するように設計されたソフトウェアを意味し得、これは企業、機関および団体などの構成員がコンピュータに連結された作業場で互いに協力して業務効率を上げるために使われ得る。
統一資源識別子(Uniform Resource Identifier、URI)は特定資源を識別する文字列を意味し得、URL(Uniform Resource Locator)およびURN(Uniform Resource Name)はURIの下位概念として含まれ得る。URIは一貫性を保障するために、すべてのURIはあらかじめ定義された構文規則(syntax rule)の集合に従い得、別途に定義された階層的ネーミングスキーマ(naming scheme)を通じて拡張性を維持することもできる。
URIシークエンス(sequence)は使用者がグループウェアに接続時に使用者の行為により順に発生する複数のURIまたはURI集合を意味し得る。
本発明の一実施例に係る異常行為探知装置は、特定の行為により発生するURIシークエンスを利用して使用者の行為を定義することができる。ただし、URIは使用者の行為により変わるため、異常行為探知装置は使用者の類似行為を互いに異なる行為と判断されないために発生するURIに対して前処理を遂行できる。
URI前処理過程は使用者の行為により発生するURIにキー値(key value)を除去または削除する過程を意味し得る。ここで、キー値はURIで使用者のクッキーおよび掲示板の掲示物番号などのように多様な要因によって変化する値を意味し得る。
より詳細には、使用者が同じ掲示板に接続した二つの行為を例にして説明する。同じ掲示板に対して使用者が最初に接続した場合と二番目に接続した場合のURIをそれぞれ第1URIおよび第2URIと指称することができ、表1の通りであると仮定する。
表1を参照すると、第1URIのキー値は1010000、0および1481156427を含むことができ、第2URIのキー値は1010000、0および1481241824を含むことができる。
本発明の一実施例に係る異常行為探知装置は、使用者の類似行為を互いに異なる行為と判断されないためにURIに対する前処理として各URIでキー値を除去または削除することができ、第1URIおよび第2URIは表2のように一つの前処理されたURIで統一され得る。
表2を参照すると、第1URIおよび第2URIはキー値を削除して一つの前処理されたURIで統一され得、前処理されたURIは原始URI(primitiveURI)で定義され得る。
本発明の一実施例に係る異常行為探知装置は、前述したようなURI前処理過程を通じて複数のURIを一つの前処理されたURIまたは原始URIに変換または統合することができ、原始URIに基づいて使用者が同じ掲示板に接続した二つの行為を同じ行為と判断され得る。
本発明の一実施例に係る異常行為探知装置は、使用者がグループウェアに接続して複数の行為を遂行するので、複数の行為のそれぞれにより発生する複数のURIを発生順に羅列してURIシークエンス(sequence)を生成することができる。換言すれば、異常行為探知装置は使用者の複数の行為のそれぞれにより発生する複数のURIに対してそれぞれ前処理を遂行してキー値を除去することができ、複数の前処理されたURIまたは複数の原始URIを発生順序にしたがって羅列して原始URIシークエンス(primitiveURI sequence)を生成することができる。原始URIシークエンスを生成する方法については図1と共に詳細に後述する。
図1は、本発明の一実施例に係る原始URIシークエンスを生成する方法を説明する図面である。
図1を参照すると、使用者はグループウェアに接続して少なくとも一つの行為を遂行することができ、行為ごとに一つのURIが発生し得る。ここで、一つの行為に対応して発生する一つのURIはURIインスタンス(instance)と指称されてもよい。
本発明の一実施例に係る異常行為探知装置は、使用者がグループウェアを間欠的に利用することを仮定して、複数のURIを少なくとも一つのURIシークエンスに区分するための時間間隔があらかじめ決定され得る。
換言すれば、本発明の一実施例に係る異常行為探知装置は、複数のURIインスタンスが発生する場合、時間的に隣接した二つのURIインスタンス間の時間間隔(interval)があらかじめ決定された時間Tを超過する場合、先行URIインスタンスと後続URIインスタンスを互いに異なる一連の行為に区分して判断することができる。
例えば、第1URIインスタンス〜第6URIインスタンスが順次発生し、第1URIインスタンスと第2URIインスタンス間の時間間隔が2秒、第2URIインスタンスと第3URIインスタンス間の時間間隔が1秒、第3URIインスタンスと第4URIインスタンス間の時間間隔が5秒、第4URIインスタンスと第5URIインスタンス間の時間間隔が3秒および第5URIインスタンスと第6URIインスタンス間の時間間隔が2秒であり、あらかじめ決定された時間Tが4秒である場合、本発明の一実施例に係る異常行為探知装置は、隣接したURIインスタンス間の時間間隔が4秒より大きい第4URIインスタンスと第4URIインスタンスを互いに異なる一連の行為に区分することができる。
換言すれば、本発明の一実施例に係る異常行為探知装置は、第1URIインスタンス〜第4URIインスタンスを羅列または群集させて第1URI集合と判断することができ、第4URIインスタンス〜第6URIインスタンスを羅列または群集させて第2URI集合と判断することができる。ここで、URI集合はURIシークエンスで定義され得る。
その後、本発明の一実施例に係る異常行為探知装置は、一つのURIシークエンスに含まれた少なくとも一つのURIインスタンスのそれぞれに対して前述した前処理を遂行することができ、少なくとも一つのURIインスタンスが少なくとも一つの原始URIに変換された場合、変換された少なくとも一つの原始URIを含む原始URI集合を原始URIシークエンスであると定義することができる。換言すれば、原始URIシークエンスはURIシークエンス内のすべてのURIを前処理したものを意味し得る。
本発明の一実施例に係る異常行為探知装置は、使用者のグループウェアに接続して特定の行為を遂行した場合、前述にしたがって遂行した行為によるURIに基づいて原始URIシークエンスを生成することができ、これに基づいて正規化されたログ確率(Normalized Log Probability、NLP)値を算出することができ、算出したNLP値とあらかじめ決定されたしきい値とを比較して使用者の特定の行為が異常行為であるかを判断することができる。
より詳細には、異常行為探知装置は使用者の行為により原始URIシークエンスを生成することができ、原始URIシークエンスに対してあらかじめ設定した長さのスライディングウインドウ(sliding window)を利用して原始URIシークエンスから原始URIサブシークエンス(subsequence)を抽出することができる。その後、異常行為探知装置は抽出した原始URIサブシークエンスからログ確率(Log Probability、LP)値を算出することができる。
ただし、原始URIシークエンスの長さがスルライティンウインドウのあらかじめ設定した長さより短い場合も存在し得るため、このような場合を考慮するために、算出された原始URIサブシークエンスのLP値を原始URIサブシークエンスの長さで割って正規化されたログ確率値を算出することができる。ここで、原始URIシークエンスの正規化されたログ確率(NLP)値は、数1のように転移確率(Transition Probability、TP)の積に対する幾何平均(geometric mean)と同じであるため、これを通じて算出され得る。
数1において、xは与えられた原始URIサブシークエンス内のk番目の原始URIを意味し得、Kは与えられた原始URIサブシークエンスの長さを意味し得る。また、Pr(x)はxの確率値を意味し得、Pr(xk+1|x)はxでxk+1での転移確率を意味し得る。ここで、転移確率は数2のように算出され得る。
数2において、xは与えられた原始URIサブシークエンス内のk番目の原始URIを意味し得、Nijはi番目の原始URIとj番目の原始URIが連続的に発生する回数を意味し得る。
本発明の一実施例に係る異常行為探知装置は、前述にしたがって使用者の行為によるNLP値を算出することができ、算出したNLP値があらかじめ決定されたしきい値より低い場合、使用者の行為が異常行為であると判断することができる。
ここで、使用者の行為によるNLP値はTP値を利用して算出されるが、TP値は使用者の過去行為に基づいて算出されるため、使用者の行為が累積されることによってアップデートされ得る。TP値をアップデートする方法については図2とともに詳細に後述する。
図2は本発明の一実施例に係るTP値をアップデートする方法を説明する図面である。
本発明の一実施例に係る異常行為探知装置は、TP値をアップデートすることができる。TP値のアップデートはリアルタイムで遂行され得るが、一定の周期ごとに遂行されてもよい。本発明の説明ではTP値をリアルタイムでアップデートする方法について詳細に説明する。ここで、TP値をリアルタイムでアップデートする方法は、探知対象である使用者の行為が発生した日付によりTP値を再び算出する方法であり得るため、使用者の行為が発生した日付を基準としてTP値を算出する方法を説明する。
本発明の一実施例に係る異常行為探知装置は、使用者の行為によるNLP値を算出する場合、使用者の行為直前までの原始URIシークエンスを利用してTP値を算出できるが、使用者の行為直前に異常行為が含まれている場合、TP値が不正確であり得るため、使用者の行為から基準日以前までの原始URIシークエンスだけを利用してTP値を算出することができる。
図2を参照すると、探知対象である使用者の行為が発生した日付はdであり、基準日はDであると仮定することができる。本発明の一実施例に係る異常行為探知装置は、使用者の行為が発生した日付がDay dである場合、使用者の行為によるNLP値を算出するために、Day d−D+1からDay d−1までの原始URIシークエンスは利用せず、あらかじめ設定された日付からDay d−Dまでの原始URIシークエンスを利用してTP値を算出することができる。
ここで、TP値の算出のために利用される原始URIシークエンスは、あらかじめ設定された期間により、基準日から算定されたあらかじめ設定された日付から使用者の行為発生日から基準日以前まで発生した原始URIシークエンスを含むことができ、本発明に係る異常行為探知方法が遂行される初期から持続的に累積された原始URIシークエンスを利用することができ、累積された原始URIシークエンスのうち、特定の方法により一部のみを算出した一部の原始URIシークエンスを利用することもできるが、これに限定されるものではない。
図3は、本発明の一実施例に係る初期TP値を算出するアルゴリズムを示した図面である。
図4は、本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスを利用する第1方法によりTP値をアップデートするアルゴリズムを示した図面である。
図5は、本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスのうち、一部を利用する第2方法によりTP値をアップデートするアルゴリズムを示した図面である。
図6は、本発明の一実施例に係る異常行為探知装置のブロック構成図である。
図6を参照すると、本発明の一実施例に係る異常行為探知装置600は、少なくとも一つのプロセッサ610、メモリ620および保存装置630を含むことができる。
プロセッサ610はメモリ620および/または保存装置630に保存されたプログラム命令(program command)を実行することができる。プロセッサ610は中央処理装置(CPU、Central Processing Unit)、グラフィック処理装置(GPU、Graphics Processing Unit)または本発明に係る方法が遂行される専用のプロセッサを意味し得る。メモリ620と保存装置630は揮発性保存媒体および/または不非揮発性保存媒体で構成され得る。例えば、メモリ620は読み取り専用メモリ(ROM、Read Only Memory)および/またはランダムアクセスメモリ(RAM、Random Access Memory)で構成され得る。
メモリ620はプロセッサ610を通じて実行される少なくとも一つの命令を保存していることができる。少なくとも一つの命令は、使用者の行為からURI(Uniform Resource Identifier)を獲得する命令、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する命令、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する命令、原始URIシークエンスからログ確率値を算出する命令およびログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する命令を含むことができる。
ここで、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する命令は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する命令を含むことができる。
ここで、URIシークエンスに前処理を遂行して原始URIシークエンスを生成する命令は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する命令を含むことができる。
ここで、原始URIシークエンスからログ確率値を算出する命令は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する命令および転移確率に基づいてログ確率値を算出する命令を含むことができる。
ここで、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する命令は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出する命令を含むことができる。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する命令は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断する命令を含むことができる。
図7は、本発明の一実施例に係る異常行為探知方法のフローチャートである。
図7を参照すると、本発明の一実施例に係る異常行為探知装置は、使用者の行為からURI(Uniform Resource Identifier)を獲得することができ(S710)、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成することができる(S720)。ここで、異常行為探知装置はURIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成することができる。
異常行為探知装置はURIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成することができる(S730)。ここで、異常行為探知装置は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する段階を含むことができる。
異常行為探知装置は原始URIシークエンスからログ確率値を算出することができる(S740)。ここで、異常行為探知装置は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出することができ、転移確率に基づいてログ確率値を算出する段階を含むことができる。また、異常行為探知装置は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出することができ、使用者の行為が発生した日による基準日を使用者の行為が発生した日からあらかじめ設定された日数前に決めることができる。
異常行為探知装置はログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知することができる(S750)。換言すれば、異常行為探知装置はログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断することができる。
本発明の実施例に係る動作は、コンピュータで読み込みできる記録媒体にコンピュータが読み込みできるプログラムまたはコードで具現することが可能である。コンピュータが読み込みできる記録媒体は、コンピュータシステムによって読み込まれ得るデータが保存されるすべての種類の記録装置を含む。また、コンピュータが読み込みできる記録媒体は、ネットワークで連結されたコンピュータシステムに分散して分散方式でコンピュータで読み込みできるプログラムまたはコードが保存されて実行され得る。
また、コンピュータが読み込みできる記録媒体は、ロム(rom)、ラム(ram)、フラッシュメモリ(flash memory)等のようにプログラム命令を保存して遂行するように特別に構成されたハードウェア装置を含むことができる。プログラム命令はコンパイラ(compiler)により作られるような機械語コードだけでなく、インタープリタ(interpreter)等を使ってコンピュータによって実行され得る高級言語コードを含むことができる。
本発明の一部の側面は装置の文脈で説明されたが、それは相応する方法にともなう説明でも表すことができ、ここでブロックまたは装置は方法段階または方法段階の特徴に相応する。同様に、方法の文脈で説明された側面は、相応するブロックまたはアイテムまたは相応する装置の特徴で表すことができる。方法段階のいくつかまたは全部は、例えば、マイクロプロセッサ、プログラム可能なコンピュータまたは電子回路のようなハードウェア装置によって(または利用して)遂行され得る。いくつかの実施例で、最も重要な方法段階の一つ以上はこのような装置によって遂行され得る。
実施例で、プログラム可能なロジック装置(例えば、フィールドプログラマブルゲートアレイ)がここで説明された方法の機能の一部又は全部を遂行するために使われ得る。実施例で、フィールドプログラマブルゲートアレイは、ここで説明された方法のうち一つを遂行するためのマイクロプロセッサとともに作動することができる。一般的に、方法はあるハードウェア装置によって遂行されることが好ましい。
前記では本発明の好ましい実施例を参照して説明したが、該当技術分野の熟練した当業者は、下記の特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で本発明を多様に修正および変更できることが理解できるはずである。

Claims (14)

  1. グループウェア使用者の行為が異常行為であるかを探知する方法であって、
    前記使用者の行為からURI(Uniform Resource Identifier)を獲得する段階と、
    あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階と、
    前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階と、
    前記原始URIシークエンスからログ確率値を算出する段階と、および
    前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階を含む、異常行為探知方法。
  2. 前記あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階は、
    前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。
  3. 前記URIシークエンスに前処理を遂行して原始URIシークエンスを生成する段階は、
    前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。
  4. 前記原始URIシークエンスからログ確率値を算出する段階は、
    前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する段階と、および
    前記転移確率に基づいて前記ログ確率値を算出する段階を含む、請求項1に記載の異常行為探知方法。
  5. 前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する段階は、
    前記原始URIシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて前記転移確率を算出する段階を含む、請求項4に記載の異常行為探知方法。
  6. 前記使用者の行為が発生した日による基準日は、
    前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項5に記載の異常行為探知方法。
  7. 前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階は、
    前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断する段階を含む、請求項1に記載の異常行為探知方法。
  8. グループウェア使用者の行為が異常行為であるかを探知する装置であって、
    プロセッサ(processor)と、および
    前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(memory)を含み、
    前記少なくとも一つの命令は、
    前記使用者の行為からURI(Uniform Resource Identifier)を獲得するように実行され、
    あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成するように実行され、
    前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成するように実行され、
    前記原始URIシークエンスからログ確率値を算出するように実行され、
    前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知するように実行される、異常行為探知装置。
  9. 前記少なくとも一つの命令は、
    前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置.
  10. 前記少なくとも一つの命令は、
    前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置。
  11. 前記少なくとも一つの命令は、
    前記原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出するように実行され、
    前記転移確率に基づいて前記ログ確率値を算出するように実行される、請求項8に記載の異常行為探知装置。
  12. 前記少なくとも一つの命令は、
    前記原始URIシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて前記転移確率を算出するように実行される、請求項11に記載の異常行為探知装置。
  13. 前記使用者の行為が発生した日による基準日は、
    前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項12に記載の異常行為探知装置。
  14. 前記少なくとも一つの命令は、
    前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断するように実行される、請求項8に記載の異常行為探知装置。
JP2019027679A 2019-01-14 2019-02-19 グループウェア使用者の異常行為探知方法および装置 Active JP6757991B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2019-0004882 2019-01-14
KR20190004882 2019-01-14
KR1020190010285A KR102151173B1 (ko) 2019-01-14 2019-01-28 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
KR10-2019-0010285 2019-01-28

Publications (2)

Publication Number Publication Date
JP2020113233A true JP2020113233A (ja) 2020-07-27
JP6757991B2 JP6757991B2 (ja) 2020-09-23

Family

ID=71517003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019027679A Active JP6757991B2 (ja) 2019-01-14 2019-02-19 グループウェア使用者の異常行為探知方法および装置

Country Status (2)

Country Link
US (1) US11336668B2 (ja)
JP (1) JP6757991B2 (ja)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113780318B (zh) * 2020-08-31 2024-04-16 京东科技控股股份有限公司 用于生成提示信息的方法、装置、服务器和介质
CN112306982B (zh) * 2020-11-16 2021-07-16 杭州海康威视数字技术股份有限公司 异常用户检测方法、装置、计算设备及存储介质
CN112231700B (zh) * 2020-12-17 2021-05-11 腾讯科技(深圳)有限公司 行为识别方法和装置、存储介质及电子设备
CN115277150B (zh) * 2022-07-21 2024-04-12 格尔软件股份有限公司 异常访问行为分析方法、装置、计算机设备和存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101615186A (zh) * 2009-07-28 2009-12-30 东北大学 一种基于隐马尔科夫理论的bbs用户异常行为审计方法
JP2012009012A (ja) * 2010-06-28 2012-01-12 Nhn Corp パーペチュアルカレンダページを含むウェブページのトラップ検出及びこれを用いた検索データベース構築方法、システム及びコンピュータ読取可能な記録媒体
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US20160337399A1 (en) * 2013-12-20 2016-11-17 Detica Patent Limited Communications security
JP2017041886A (ja) * 2015-08-20 2017-02-23 サイバーエックス イスラエル エルティーディー.Cyberx Israel Ltd. 産業制御システムにおけるサイバー攻撃の軽減のための方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
US9285958B1 (en) * 2012-11-19 2016-03-15 Amazon Technologies, Inc. Browser interface for accessing predictive content
US9531736B1 (en) * 2012-12-24 2016-12-27 Narus, Inc. Detecting malicious HTTP redirections using user browsing activity trees
US9379952B2 (en) * 2013-08-20 2016-06-28 Futurewei Technologies, Inc. Monitoring NAT behaviors through URI dereferences in web browsers
CN103714456B (zh) * 2014-01-06 2015-08-19 同济大学 软件行为监控验证系统
US20150348071A1 (en) * 2014-05-27 2015-12-03 Iperceptions Inc Server and method for generating predictive patterns for website analysis
WO2018085732A1 (en) * 2016-11-03 2018-05-11 RiskIQ, Inc. Techniques for detecting malicious behavior using an accomplice model
KR102408476B1 (ko) * 2017-07-10 2022-06-14 십일번가 주식회사 사용자 행동 순서에 기반한 구매 확률 예측 방법 및 이를 위한 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101615186A (zh) * 2009-07-28 2009-12-30 东北大学 一种基于隐马尔科夫理论的bbs用户异常行为审计方法
JP2012009012A (ja) * 2010-06-28 2012-01-12 Nhn Corp パーペチュアルカレンダページを含むウェブページのトラップ検出及びこれを用いた検索データベース構築方法、システム及びコンピュータ読取可能な記録媒体
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US20160337399A1 (en) * 2013-12-20 2016-11-17 Detica Patent Limited Communications security
JP2017041886A (ja) * 2015-08-20 2017-02-23 サイバーエックス イスラエル エルティーディー.Cyberx Israel Ltd. 産業制御システムにおけるサイバー攻撃の軽減のための方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
黒木 琴海: "アクセスパターンに基づく攻撃対象Webアプリケーション発見手法の提案", CSS2018 コンピュータセキュリティシンポジウム2018論文集 [USB], vol. 第2018巻, JPN6020000974, 25 October 2018 (2018-10-25), JP, ISSN: 0004194128 *

Also Published As

Publication number Publication date
JP6757991B2 (ja) 2020-09-23
US20200228552A1 (en) 2020-07-16
US11336668B2 (en) 2022-05-17

Similar Documents

Publication Publication Date Title
JP2020113233A (ja) グループウェア使用者の異常行為探知方法および装置
Ward et al. Complexity is costly: a meta‐analysis of parametric and non‐parametric methods for short‐term population forecasting
WO2019218475A1 (zh) 异常行为对象的识别方法、装置、终端设备及介质
US20170208080A1 (en) Computer-readable recording medium, detection method, and detection apparatus
CN105447046A (zh) 一种分布式系统数据一致性处理方法、装置和系统
CN104143083A (zh) 一种基于过程管理的人脸识别系统
US20190095439A1 (en) Content pattern based automatic document classification
CN113228006A (zh) 检测连续事件中的异常的装置和方法及其计算机程序产品
KR102151173B1 (ko) 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
US20110213737A1 (en) Training and verification using a correlated boosted entity model
EP3595263A1 (en) Systems and methods for entity network analytics
JP5833817B2 (ja) ドキュメント使用クラスタリングによるユーザタスク表現を近似するための方法
US11556871B2 (en) Systems and methods for escalation policy activation
WO2021257298A1 (en) Machine learning model training checkpoints
Jain et al. Classifying fake news detection using SVM, Naive Bayes and LSTM
Mostaeen et al. Clonecognition: machine learning based code clone validation tool
CN111177568B (zh) 基于多源数据的对象推送方法、电子装置及存储介质
KR20220111219A (ko) 실시간으로 데이터의 증가 속도에 따라 데이터 처리 주기를 설정하는 시스템의 분석 방법
Tax et al. Mining local process models with constraints efficiently: applications to the analysis of smart home data
Chatterjee et al. Mospat: Automl based model selection and parameter tuning for time series anomaly detection
CN104580109A (zh) 生成点选验证码的方法及装置
CN103336800A (zh) 基于行为分析的指纹存储比对的方法
EP3791296A1 (en) A system and a method for sequential anomaly revealing in a computer network
CN105844176B (zh) 安全策略生成方法及设备
US11449789B2 (en) System and method for hierarchical classification

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200826

R150 Certificate of patent or registration of utility model

Ref document number: 6757991

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250