JP4383413B2 - 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム - Google Patents
不正操作判定システム、不正操作判定方法及び不正操作判定プログラム Download PDFInfo
- Publication number
- JP4383413B2 JP4383413B2 JP2005515391A JP2005515391A JP4383413B2 JP 4383413 B2 JP4383413 B2 JP 4383413B2 JP 2005515391 A JP2005515391 A JP 2005515391A JP 2005515391 A JP2005515391 A JP 2005515391A JP 4383413 B2 JP4383413 B2 JP 4383413B2
- Authority
- JP
- Japan
- Prior art keywords
- profile
- computer
- user account
- user
- instruction data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims description 37
- 238000013500 data storage Methods 0.000 claims description 23
- 238000001514 detection method Methods 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 13
- 238000004364 calculation method Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 12
- 238000012544 monitoring process Methods 0.000 description 10
- 230000004913 activation Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Debugging And Monitoring (AREA)
- Storage Device Security (AREA)
Description
本発明は、コンピュータが受付けたオペレーションが不正操作であるかを判定するための不正操作判定システム、不正操作判定方法及び不正操作判定プログラムに関するものである。
コンピュータに格納された情報の不正な取得やコンピュータからネットワークへの不正な侵入など、コンピュータの不正操作による被害を防止するために様々な技術が提供されている。例えば、ID・パスワード等により操作権限を認証する方法が広く用いられているが、この方法によるとID・パスワードを保有する権限のある者による不正操作や、ID・パスワードを不正に取得した第三者による操作などを防止することができない。
このような課題に対応するために、一般的に不正操作である可能性が高い操作パターンをルールとして登録し、コンピュータが受け付けた操作をルールと対比して不正操作である可能性を判定するルールベースによる判定が行われるようになっている。例えばネットワークに送出されるデータに対して、アクセス権や送信元、送信する文書の種類などについて予め定められたルールを参照して、不正の恐れがあると検知されると通信を切断する技術が開示されている(特許文献1参照。)。しかしながら、ルールベースによる判定は、不正な意図をもった操作であってもルールの範囲内であれば不正と判定されず、また、従来とは全く異なる方法により登録されたルールに該当しない不正な操作が実行されると、これを感知することができないという問題を有している。
そこで、一般に不正な操作は日常的に行われる操作とは異なり、あるタイミングにおいて特異に発生する操作であることに着目して、コンピュータに対する操作の履歴からユーザの行動パターンを設定したプロファイルを作成し、コンピュータが受け付けた操作をプロファイルと対比して不正操作である可能性を判定する方法も発明されている。例えば、ユーザのネットワークの使用状況からプロファイルを作成してネットワークの不正侵入を検知する技術(特許文献2参照。)や、コンピュータの操作履歴から日常的な操作内容を登録して、これに合致しない操作を不正操作と判定する技術(特許文献3参照。)が開示されている。
特開2002−232451号公報 特開2002−135248号公報 特開2002−258972号公報
前記特許文献2及び前記特許文献3記載の発明は、いずれもコンピュータの操作パターンはコンピュータのユーザ単位で設定されることとなっている。例えば企業等で業務用に用いられるコンピュータは、1台のコンピュータに複数のアカウントを設けて複数のユーザが共同で利用することが少なくないため、不正の基準となるプロファイルはユーザ単位で設定することが好ましい。しかしながら、ユーザ単位でプロファイルを設ける方式には、次のような課題が存在している。
まず、不正操作の判定を複数のコンピュータとネットワークで接続された管理用のサーバで行うこととした場合、あるユーザが自己のプロファイルの範囲内において操作を行う限りは、通常使用しているコンピュータと異なるコンピュータを操作していても正常な操作であると判定されてしまうことになる。当該ユーザが何らかの不正を行うために同一のネットワーク上にあるが通常は使用しないコンピュータを使用していた場合、例えば、本社で会計関係のデータを扱っている権限のある社員が、通常は使わない倉庫のコンピュータで会計関係のデータを操作していた場合、特異な操作で不正の可能性があるにも関わらず、ユーザ単位のプロファイルのみではかかる操作を不正と判定することができない。
また、ユーザ単位でプロファイルを作成する場合、特定のコンピュータについて新しいユーザアカウントを設けた場合、新たなユーザについて信頼性の高いプロファイルを作成するためには、当該ユーザについて一定の操作履歴の蓄積を待たねばならず、その間は有効な判定を行うことができない、という問題もある。
これらの課題に対処するためには、不正操作の判定を行うためのプロファイルをユーザ単位でのみ設定するのではなく、コンピュータ単位でも設定して双方の観点から総合的に判定することが好ましい。かかる判定を行うためには、コンピュータが様々な操作を受け付ける中で、コンピュータ単位のプロファイルとユーザ単位のプロファイルを効率的に作成することが必要になる。
本発明は、このような課題に対応してなされたものであり、コンピュータが受付けたオペレーションを、コンピュータ単位のプロファイルとユーザ単位のプロファイルを参照して不正操作であるかを判定するための不正操作判定システム、不正操作判定方法及び不正操作判定プログラムを提供することを目的とするものである。
このような課題を解決するために、本発明は、コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定システムであって、前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納手段と、前記コンピュータにオペレーションを実行させるための指示データを受け付けるオペレーション受付手段と、前記指示データと、前記ログデータ格納手段に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成する第一のプロファイル作成手段と、前記第一のプロファイル作成手段が作成した第一のプロファイルを格納する第一のプロファイル格納手段と、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納手段に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成する第二のプロファイル作成手段と、前記第二のプロファイル作成手段が作成した第二のプロファイルをユーザアカウント別に格納する第二のプロファイル格納手段と、前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納手段に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納手段に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するスコア値算出手段と、を備えることを特徴とする。
この発明においては、コンピュータが受け付けたオペレーションからコンピュータ単位、ユーザ単位それぞれを基準にしたプロファイルを作成して格納し、新たに受け付けたオペレーションをそれぞれ対応するプロファイルと対比して不正操作の判定を行うことにより、ユーザを基準とした特異な操作からの判定のみでなく、コンピュータに対する特異な操作に対する判定を行うことができる。そのため、権限のあるユーザがコンピュータを換えて行う不正や、ユーザプロファイルの作成していない新規のユーザの不正にも対応することができる。
プロファイルの作成においては、特定のユーザのオペレーションを、オペレーションの受付け時にログインしているユーザのユーザID、オペレーションを受け付けた指示データに含まれるユーザID等で識別して、コンピュータに特定のユーザがログインしている状態でのオペレーションからはユーザ単位でのプロファイルを作成することとすればよい。コンピュータ単位でのプロファイルの作成は、特定のユーザがログインせずにコンピュータが操作されている状態でのオペレーションのみを対象としてもよいし、特定のユーザがログインした状態も含めた全てのオペレーションを対象としてもよい。
コンピュータ単位のプロファイル、ユーザ単位でのプロファイルは、いずれもそれぞれコンピュータユーザの操作傾向を定義するものなので、プロファイルの作成には過去の操作履歴であるログデータを用いることができる。
さらに、本発明は、前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行するログイン検出手段を備えており、前記ログイン検出手段によりユーザアカウントにログインした状態であることが検出されると、前記第二のプロファイル作成手段が、前記ユーザアカウントに対応する第二のプロファイルを作成することを特徴とすることもできる。前記ログイン検出手段によりユーザアカウントにログインした状態であることが検出されない場合には、前記第一のプロファイル作成手段が、前記コンピュータにかかる第一のプロファイルを作成することを特徴としてもよい。上記のそれぞれの構成において、前記ログイン検出手段は、前記コンピュータが稼動している間は所定の間隔で検出処理を実行することを特徴としてもよい。
このように構成すると、プロファイルの作成に用いられる特定のオペレーションが行われない場合であっても、ユーザがログインしていることが検出されるとその時点で当該ユーザがコンピュータを使用していることを、ログインしていない場合にもコンピュータが稼動していることを、操作履歴として記録することができる。このように記録される操作履歴は、稼働時間からユーザやコンピュータの操作傾向を分析して、プロファイルの作成に用いることができる。
さらに、本発明は、前記指示データについて、前記オペレーションの実行操作を行ったユーザが前記コンピュータを初めて操作するファーストユーザであると特定されると、ファーストユーザであると特定されたユーザが実行操作を行ったオペレーションにかかる第三のプロファイルを作成する第三のプロファイル作成手段と、前記第三のプロファイル作成手段が作成した第三のプロファイルを格納する第三のプロファイル格納手段と、を備えていて、前記スコア値算出手段は、前記第二のプロファイル格納手段に換えて前記第三のプロファイル格納手段に格納された少なくとも一つのプロファイルを用いて前記オペレーションが不正操作であるかを判定することを特徴とすることもできる。前記コンピュータを操作するユーザの、前記コンピュータへのログイン回数、前記コンピュータを操作した操作時間、又は前記コンピュータを操作した操作日数の少なくとも一つの操作実績に関する累積値をユーザ別に格納する操作実績格納手段と、前記操作実績格納手段を参照して、前記累積値が予め定められた基準値に満たない場合には、前記オペレーションを実行したユーザを、前記コンピュータを初めて操作するファーストユーザと判定するファーストユーザ判定手段と、を備えていて、前記第三のプロファイル作成手段は、前記ファーストユーザ判定手段がファーストユーザと判定したユーザが実行操作を行ったオペレーションを対象に前記第三のプロファイルを作成し、前記スコア算出手段は、前記ファーストユーザ判定手段がファーストユーザと判定した場合に前記第三のプロファイル格納手段に格納された少なくとも一つのプロファイルを用いて前記オペレーションが不正操作であるかを判定することを特徴としてもよい。
ユーザプロファイルの作成されていないコンピュータを始めて使用するファーストユーザに対しては、操作するコンピュータのプロファイルから一般的な不正操作を判定することはできるが、このように構成すると、さらにファーストユーザの一般的な操作傾向と対比することにより、より正確な不正操作の判定を行うことができる。ファーストユーザとして扱うユーザは、当該コンピュータを全く初めて操作するユーザに限定してもよいが、適切なユーザプロファイルが作成されるまでは2回目以降についても当面の間は一般的なファーストユーザ用のプロファイルを用いることとしてもよい。ファーストユーザ用のプロファイルを用いる期間は、初回のみの他に、所定のログイン回数を指定、所定の操作時間を指定(例えば、合計ログイン時間99時間等。)、所定の操作日数を指定(例えば、初回操作から10日間の間等。)などのルールを自由に設定できることとしてもよい。
さらに、本発明は、前記スコア値算出手段は、前記指示データと前記プロファイルに記録されたデータとの乖離計算によりスコア値を算出することを特徴とすることもできる。
さらに、本発明は、前記スコア値が基準値を超えると前記オペレーションの停止処理を実行するオペレーション停止手段を備えることを特徴とすることもできる。前記スコア値が基準値を超えると、前記コンピュータの操作画面に警告を表示、又は前記コンピュータに警告音を発生させるための処理を実行する警告処理手段を備えることを特徴としてもよい。前記スコア値が基準値を超えると、前記コンピュータの管理者が操作する管理サーバに不正操作の可能性を警告する通知を送信する警告通知送信手段を備えることを特徴としてもよい。
このように、スコア値の算出は受け付けたオペレーションに関する指示データと一般的な操作傾向であるプロファイルとの乖離計算により行うことが可能であり、不正操作であるか否かの判定は、スコア値が所定の基準値を超えるか否かにより行えばよい。不正操作と判定された場合には、オペレーションを中止させてもよいし、コンピュータに警告画面を表示したり警告音を発したりしてもよい。ネットワークを通じて管理者に不正の発生を通知してもよい。
本発明は、これまで説明した不正操作判定システムのそれぞれの構成を用いた不正操作判定方法として把握することもできる。また、不正操作判定システムのそれぞれの構成に用いられる不正操作判定プログラムとして把握してもよい。尚、上記の不正操作判定方法及び不正操作判定プログラムは、プロファイルをコンピュータ内に格納して不正操作の判定を行う場合、プロファイルをネットワークで接続された他のコンピュータに格納して判定を行う場合の2つのケースにより、各々の手順が異なることになる。
つまり、本発明にかかる不正操作判定方法は、コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定方法であって、前記コンピュータには、前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納部が備えられていて、前記コンピュータが、前記コンピュータにオペレーションを実行させるための指示データを受け付けるステップと、前記コンピュータが、前記指示データと、前記ログデータ格納部に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成して、第一のプロファイル格納部に格納するステップと、前記コンピュータが、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納部に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成して、第二のプロファイル格納部にユーザアカウント別に格納するステップと、前記コンピュータが、前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納部に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納部に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するステップと、を有することを特徴とする不正操作判定方法である。
本発明にかかる不正判定方法は、前記コンピュータが、前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行する検出ステップと、前記コンピュータが、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出すると、前記ユーザアカウントに対応する第二のプロファイルを作成するステップと、を有することを特徴としてもよい。前記コンピュータが、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出しない場合には、前記コンピュータにかかる第一のプロファイルを作成するステップを有することを特徴としてもよい。前記検出ステップは、前記コンピュータが稼動している間は所定の間隔で実行されることを特徴としてもよい。
また、本発明にかかる不正操作判定プログラムは、コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定プログラムであって、前記コンピュータには、前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納部が備えられていて、前記コンピュータに、前記コンピュータにオペレーションを実行させるための指示データを受け付けるステップと、前記指示データと、前記ログデータ格納部に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成して、第一のプロファイル格納部に格納するステップと、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納部に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成して、第二のプロファイル格納部にユーザアカウント別に格納するステップと、前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納部に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納部に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するステップと、を実行させることを特徴とする不正操作判定プログラムである。
本発明にかかる不正判定プログラムは、前記コンピュータに、前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行する検出ステップと、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出すると、前記ユーザアカウントに対応する第二のプロファイルを作成するステップと、を実行させることを特徴としてもよい。前記コンピュータに、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出しない場合には、前記コンピュータにかかる第一のプロファイルを作成するステップを実行させることを特徴としてもよい。前記検出ステップは、前記コンピュータが稼動している間は所定の間隔で実行されることを特徴としてもよい。
本発明により、ルールベースでは判定できないコンピュータに対する特異な操作について不正操作であるか否かを判定できるとともに、ユーザを基準とした特異な操作からの判定のみでなく、コンピュータに対する特異な操作に対する判定を行うことも可能になる。そのため、権限のあるユーザがコンピュータを換えて行う不正や、ユーザプロファイルの作成されていない新規のユーザの不正にも対応することができるので、コンピュータの不正操作に対する安全性を著しく高めることができる。
本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明する。尚、以下の説明では主としてネットワークに接続されたコンピュータの不正操作を判定する例について説明するが、これは本発明の実施形態の一例であって、コンピュータはスタンドアローンで用いられるものであってもよく、本発明はかかる実施形態に限定されるものではない。
図1は、本発明にかかる不正操作判定システムの概要を示す図である。図2、図3は、本発明にかかる不正操作判定システムの、それぞれ第1、第2の実施形態を示すブロック図である。図4は、本発明にかかる不正操作判定システムの構成を示すブロック図である。図5、図6は、本発明にかかる不正操作判定システムにより、ノードプロファイルとユーザプロファイルの作成する、それぞれ第1、第2のパターンを示す図である。図7は、本発明にかかる不正操作判定システムのフローを示すフローチャートである。
図1を用いて、本発明にかかる不正操作判定システムの概要について説明する。図1の例では、本発明にかかる不正操作判定システムはネットワークに接続されたクライアントPCに備えられている。クライアントPCは複数のユーザにより利用されていて、各々のユーザに対応したアカウントが設けられている。
あるユーザがクライアントPCで何らかのオペレーションを実行すると、当該クライアントPCが受け付けるオペレーションの傾向及び当該ユーザの実行するオペレーションの傾向を学習してそれぞれノードプロファイル、ユーザプロファイルを作成する。このように作成されたプロファイルは、ノードプロファイルはノードプロファイルステートテーブルに、ユーザプロファイルは各々のユーザについて設けられたユーザプロファイルステートテーブルに、それぞれ格納される。
当該ユーザが実行したオペレーションについてプロファイルを作成すると、次に当該オペレーションが特異操作に該当するか否かの判定が行われる。判定はノードプロファイルステートテーブルに格納されたノードプロファイル、ユーザプロファイルステートテーブルに格納された対応するユーザのユーザプロファイルを参照して、通常の操作パターンとの乖離計算により実行される。参照するテーブルは、オペレーションの内容によってノードプロファイル、ユーザプロファイルの双方であってもよいし、いずれか一方であってもよい。
乖離計算の結果は、不正操作の可能性を示すスコア値として算出される。スコア値に一定の基準値を設けることにより、基準値を超えて不正操作である可能性が高いオペレーションに対しては、オペレーションの中止処理、ディスプレイへの警告表示、管理者への通知の送信など、予め定められたアクションを実行するよう設定することができる。
本発明にかかる不正操作判定システムは、コンピュータをスタンドアローンで用いる場合、コンピュータをネットワークに接続して用いる場合のいずれにおいても利用することができる。後者については、クライアントPCが単独で不正操作の判定を行うこととしてもよいし、クライアントPCが不正監視用のサーバと協働して不正操作の判定を行うこととしてもよい。図2は、クライアントPCが単独で不正操作の判定を行う本発明にかかる不正操作判定システムの第1の実施形態を、図3は、クライアントPCが不正監視用のサーバと協働して不正操作の判定を行う本発明にかかる不正操作判定システム第2の実施形態を示している。
図2に示した本発明にかかる不正操作判定システムは、ユーザ端末20の処理装置210に備えられていて、ユーザ端末20において受け付けたオペレーションが不正操作であるか否かを判定する。不正操作判定システムの機能は、処理装置210のHDD214に格納された学習プログラム10及び不正判定プログラム11により実行される。尚、処理装置においてプログラムを格納するHDD214については、フラッシュメモリなどプログラムを格納することができるその他の記憶媒体を用いるものであってもよい。
まず、ユーザ端末20に電源が入れられると、ROM213に記憶された入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを起動するとともに、HDD214からコンピュータのオペレーションシステムを読み出して起動する。併せて、HDD214から学習プログラム10及び不正判定プログラム11を読み出して起動し、RAM212をワークエリアとして機能させながら、CPU211が演算処理を行う。
学習プログラム10及び不正判定プログラム11は、例えばIDE(Integrated Drive Electronics、パーソナルコンピュータとHDDやCD−ROMドライブ等のインターフェイスの標準規格)への書き出しを何らかのオペレーションが実行されたイベントと捉えることにより、これらのイベントについて学習及び不正判定の処理を実行する。外部接続バス22に書き出されたデータを監視して、出力装置23や外部記憶装置24に対して実行されるオペレーションとして、学習及び不正判定の処理を実行してもよい。処理装置210においてネットワークへの送信処理がされるデータを監視して、これらのデータを監視してネットワークとの送受信に関する学習及び不正判定の処理を実行してもよい。
学習については、受け付けたオペレーションをログデータ格納部14に格納されたログと対比してオペレーションの傾向を分析し、分析結果からプロファイルを作成して、ユーザ端末20に対するユーザを特定しない操作全体のプロファイルはノードプロファイル格納部12に、ユーザを特定したプロファイルについてはユーザプロファイル格納部13に格納する。不正判定については、ユーザ端末20に対する一般的な判定についてノードプロファイル格納部12を参照し、個々のユーザに対する判定についてユーザプロファイル格納部13を参照する。
このように、不正操作の判定に用いられるプロファイルを格納するノードプロファイル格納部12及びユーザプロファイル格納部13はユーザ端末20の内部に設けられていてもよいが、図3に示した第2の実施形態のように、ユーザ端末20とネットワークで接続された不正監視サーバ30のHDD314に設けられていてもよい。本発明にかかる不正操作判定システムは、プロファイルを用いた判定の他に一般的なルールベースの判定を併用してもよいが、第2の実施形態においては、例えば不正監視サーバ30に複数のユーザ端末を接続して多くのプロファイルを蓄積し、これらのプロファイルからネットワーク内において汎用的に用いられるルールを作成して、汎用ルール格納部16に格納することとしてもよい。また、図3の例には示していないが、学習プログラム10や不正判定プログラム11の機能を、不正監視サーバ30側に設けることもできる。
図4を用いて、本発明にかかる不正操作判定システムにおけるそれぞれの機能の関連について説明する。まず、ユーザ端末20に対して何らかのオペレーションが実行されると、当該オペレーションを実行するためのデータをデータ学習部100が受け付ける。データ学習部100は、ログデータ格納部14を参照して、特異操作判定の基準となるプロファイルを作成する。
当該オペレーションが電源のオン・オフなど、ユーザアカウントにログインしていない状態でのオペレーションである場合には、ログデータ格納部14ではユーザを特定しないユーザ端末20についての一般的なログを参照し、データ学習部100はユーザを特定しないユーザ端末20についての一般的なプロファイルを作成して、ノードプロファイル格納部12に格納する。
一方、当該オペレーションが特定のユーザアカウントにログインした後のオペレーションである場合には、ログデータ格納部14では当該アカウントに対応するユーザをユーザID等で特定し、該当するユーザのログを参照し、データ学習部100はユーザを特定したプロファイルを作成して、ユーザプロファイル格納部13の該当するユーザに関するテーブルに格納する。同一のユーザがログインを継続した状況で複数のオペレーションを実行した場合には、それぞれのオペレーションについてログイン時に特定されたユーザID等をキーとしてユーザを特定し、プロファイルが作成される。ユーザの特定については、例えばログイン時に特定されたユーザID等をログインが継続されている間はRAM212等の演算処理領域に保持しておき、プロファイルの作成時にこれを読み出すこととしてもよいし、ログインされた状態においてはオペレーションの実行を指示する指示データにユーザIDを特定するヘッダー等を付与し、当該ヘッダーをキーとしてユーザを特定することとしてもよい。尚、ユーザが特定されたオペレーションについては、これも同一のコンピュータが受け付けたオペレーションであるとして、併せてユーザを特定しないユーザ端末20についての一般的なプロファイルを作成し、ノードプロファイル格納部12に格納することとしてもよい。
次に、当該オペレーションを実行するためのデータは、特異操作判定部110において対応するプロファイルを参照して、不正操作である可能性についての判定が行われる。当該オペレーションがユーザを特定しない操作である場合には、ノードプロファイル格納部12に格納されたプロファイルを、当該オペレーションがユーザを特定することができる操作である場合には、ユーザプロファイル格納部13に格納された対応するユーザのプロファイルを参照して、特異操作であるか否かの判定が行われる。
特異操作の判定は、受け付けたオペレーションと対応するプロファイルの乖離計算により行われる。乖離計算の基準には、例えばオペレーションを受け付ける時間帯やその標準値、オペレーションの頻度、処理に要するデータ量など、数値化の可能な様々なデータを用いることができる。
特異操作判定部110において乖離計算が実行されると、スコア算出部111においては不正操作である可能性をスコア値として算出する。スコアの設定は乖離計算により算出されたプロファイルとの乖離度合いにより定めることとすればよいが、算出されたスコアに一定の基準値を設けることにより、基準値を上回る場合には不正操作であると判定して、オペレーションの中止処理等を実行するよう設定することもできる。
尚、上記で説明したデータ学習部100、特異操作判定部110、スコア算出部111の各部は物理的に分離されて設けられたものではなく、各々の処理を実行するためのプログラムとしてHDD214に格納された学習プログラム10又は不正判定プログラム11に含まれていて、順次読み出されてRAM212をワークエリアとして機能させながら、CPU211により演算処理が実行されるものである。
また、上記の説明では、オペレーションを受け付けると学習を行った後に特異判定を行うこととしているが、処理の順序はこのように限定されるものではなく、受け付けたオペレーションの特異判定を行った後に、当該オペレーションに関する学習を行って新たなプロファイルを作成することとしてもよい。
次に、図5、図6を用いて、本発明にかかる不正操作判定システムによりノードプロファイルとユーザプロファイルを作成する手順について、具体例に沿って2つのパターンを説明する。図5は、ユーザが特定されていない場合のオペレーションについてはノードプロファイルを、ユーザが特定されている場合のオペレーションについてはユーザプロファイルを作成する第1のパターンを示す図である。図6は、全てのオペレーションについてノードプロファイルを、ユーザが特定されている場合のオペレーションについてはユーザプロファイルを作成する第2のパターンを示す図である。
図5に示した第1のパターンにおいて、コンピュータに電源が入れられてオペレーションシステムが起動された後に、本発明にかかる不正操作判定システムが起動されるここでコンピュータに電源を入れるというオペレーションをイベントとして捉え、コンピュータの起動時間等に関するプロファイルを作成するが、この時点ではユーザがログインしておらず特定できないため、当該コンピュータに関する一般的なプロファイルとしてノードプロファイルが作成される。
次に、コンピュータを起動したユーザ1が自らのアカウントにログインすると、ユーザ1がログインしたというオペレーションをイベントとして、ユーザ1に関するプロファイルを作成する。ユーザ1がログイン中に行ったアプリケーションの起動や操作、ネットワークへのアクセス、プリントアウト等の様々なオペレーションもイベントとして捉えることが可能であり、これらのイベントからもユーザ1に関するプロファイルが作成される。ユーザ1がログアウトすると、ログアウトにかかるオペレーションについてもユーザ1のプロファイルを作成することができる。
ユーザ1がログアウトした後、他のユーザがログインするまでの間に、電源のオン・オフその他のオペレーションが行われた場合には、ユーザが特定されないオペレーションとしてノードプロファイルが作成される。その後にユーザ2がログインすると、ユーザ1の場合と同様に、ユーザ2についてのプロファイルが作成される。ユーザ2のプロファイルは、ユーザID等によりユーザ1のプロファイルとは識別され、異なるテーブルに格納される。
コンピュータが受け付けたオペレーションの不正操作の判定においては、上記の区分と同様に、ユーザが特定されていない状態ではノードプロファイルが、ユーザが特定されている状態では各々のユーザに対応するユーザプロファイルが用いられる。各々のユーザに対応するプロファイルの特定は、ログイン時に受け付けたユーザID等を用いることができる。
図6に示した第2のパターンにおいては、ユーザが特定された状態で受け付けたオペレーションについて、各々のユーザのプロファイルを作成するとともに、ユーザを特定しない当該コンピュータについてのノードプロファイルを作成することとしている。ユーザが特定されたオペレーションであっても、当該コンピュータが受け付けたオペレーションであることに違いはないため、ノードプロファイルについては電源オンからオフまでの全てのオペレーションを対象にしてもよい。
また、プロファイルを作成する対象となるオペレーションは実行されていないが、コンピュータに電源が入れられた状態や、特定のユーザがログインした状態が継続していることをプロファイルの作成に用いることとしてもよい。そのためには、例えば1時間に1度といった頻度で当該処理を行うプログラムを起動して電源がオンであること、特定のユーザがログインしていることを検出し、これらの結果からプロファイルを作成するよう構成することもできる。
尚、これまで説明した図5及び図6いずれのパターンにおいても、ログインしているのは1ユーザという前提となっているが、オペレーションシステムにおいて1つのコンピュータに対して複数のログインが可能な設定が行われているなど、同時に複数ユーザの操作が並行して行われる場合においては、ユーザプロファイルの作成、ユーザプロファイルを用いた不正操作の判定についても、複数のユーザプロファイルを対象にした処理が同時に行われるよう設定することができる。ノードプロファイルについても、それぞれのユーザの全てのオペレーションを対象に、プロファイルの作成及びプロファイルによる判定を並行して処理することとしてもよい。
図7のフローチャートを用いて、本発明にかかる不正操作判定システムのフローについて説明する。尚、以下に説明するフローは、本発明にかかる不正操作判定システムの処理フローの一例であって、プロファイルの作成とスコア算出の順序、ユーザが特定されたオペレーションについてノードプロファイル作成の有無などについて、本発明は以下のフローに示した例に限定されるものではない。
まず、コンピュータに電源が入れられて不正操作判定システムが起動すると、コンピュータの起動についてのノードプロファイルを作成する(S01)。作成されたノードプロファイルは、ノードプロファイルステートテーブルに格納される(S02)。
次に、コンピュータの起動について、当該電源オンにかかるオペレーションとノードプロファイルステートテーブルに格納されたコンピュータの電源オンに関するノードプロファイルを対比して乖離計算を実行し(S03)、スコアを算出する(S04)。算出されたスコアを予め定められた基準値と対比して(S05)、基準値を上回る場合には不正操作である可能性が高いとして、オペレーションの停止処理、具体的にはコンピュータの起動処理の停止を実行する(S06)。
一方、スコアが基準値に満たない場合には、そのままオペレーションの受け付けが継続される。特定のユーザについてのログインを受け付けると(S07)、ログインしたユーザのユーザIDを識別する(S08)。当該ユーザがログインを行ったことについてユーザプロファイルを作成し(S09)、当該ユーザのユーザIDに対応するユーザプロファイルステートテーブルに、作成したユーザプロファイルを格納する(S10)。
次に、当該ユーザのログインについて、当該ユーザのログインにかかるオペレーションと当該ユーザに対応するユーザプロファイルステートテーブルに格納されたログインに関するユーザプロファイルを対比して乖離計算を実行し(S11)、スコアを算出する(S12)。算出されたスコアを予め定められた基準値と対比して(S13)、基準値を上回る場合には不正操作である可能性が高いとして、オペレーションの停止処理、具体的にはログインの受け付け処理の停止を実行する(S14)。
一方、スコアが基準値に満たない場合には、そのままオペレーションの受け付けが継続される。ログインしたユーザは様々なアプリケーション等の処理を実行するが、不正操作判定システムは新たなアプリケーション等の起動をIDEへの書き出しを監視することにより検出する(S15)。IDEへの書き出しがない場合は監視を継続し、IDEへの書き出しが検出されると、書き出されたデータにより実行される処理に関するユーザプロファイルを作成し(S16)、当該ユーザのユーザIDに対応するユーザプロファイルステートテーブルに、作成したユーザプロファイルを格納する(S17)。尚、アプリケーション等の起動はIDEへの書き出しを監視することにより検出することとしているが、アプリケーション等のワークエリアとなるメモリ領域を監視して、新たな操作が行われたことを検出することとしてもよい。
次に、当該ユーザのログインについて、当該ユーザのアプリケーションの起動等にかかるオペレーションと当該ユーザに対応するユーザプロファイルステートテーブルに格納されたアプリケーションの起動等に関するユーザプロファイルを対比して乖離計算を実行し(S18)、スコアを算出する(S19)。算出されたスコアを予め定められた基準値と対比して(S20)、基準値を上回る場合には不正操作である可能性が高いとして、オペレーションの停止処理、具体的にはアプリケーションの中止処理等を実行する(S21)。一方、スコアが基準値に満たない場合には、引続きIDEへの書き出しの監視が継続される(S15)。
[図1]本発明にかかる不正操作判定システムの概要を示す図である。
[図2]本発明にかかる不正操作判定システムの、第1の実施形態を示すブロック図である。
[図3]本発明にかかる不正操作判定システムの、第2の実施形態を示すブロック図である。
[図4]本発明にかかる不正操作判定システムの構成を示すブロック図である。
[図5]本発明にかかる不正操作判定システムにより、ノードプロファイルとユーザプロファイルの作成する第1のパターンを示す図である。
[図6]本発明にかかる不正操作判定システムにより、ノードプロファイルとユーザプロファイルの作成する第2のパターンを示す図である。
[図7]本発明にかかる不正操作判定システムのフローを示すフローチャートである。
[図2]本発明にかかる不正操作判定システムの、第1の実施形態を示すブロック図である。
[図3]本発明にかかる不正操作判定システムの、第2の実施形態を示すブロック図である。
[図4]本発明にかかる不正操作判定システムの構成を示すブロック図である。
[図5]本発明にかかる不正操作判定システムにより、ノードプロファイルとユーザプロファイルの作成する第1のパターンを示す図である。
[図6]本発明にかかる不正操作判定システムにより、ノードプロファイルとユーザプロファイルの作成する第2のパターンを示す図である。
[図7]本発明にかかる不正操作判定システムのフローを示すフローチャートである。
10 学習プログラム
100 データ学習部
11 不正判定プログラム
110 特異操作判定部
111 スコア算出部
12 ノードプロファイル格納部
13 ユーザプロファイル格納部
14 ログデータ格納部
15 ログデータ格納部
16 汎用ルール格納部
20 ユーザ端末
210 処理装置
211 CPU
212 RAM
213 ROM
214 HDD
22 外部接続バス
23 出力装置
24 外部記憶装置
30 不正監視サーバ
311 CPU
312 RAM
313 ROM
314 HDD
100 データ学習部
11 不正判定プログラム
110 特異操作判定部
111 スコア算出部
12 ノードプロファイル格納部
13 ユーザプロファイル格納部
14 ログデータ格納部
15 ログデータ格納部
16 汎用ルール格納部
20 ユーザ端末
210 処理装置
211 CPU
212 RAM
213 ROM
214 HDD
22 外部接続バス
23 出力装置
24 外部記憶装置
30 不正監視サーバ
311 CPU
312 RAM
313 ROM
314 HDD
Claims (12)
- コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定システムであって、
前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納手段と、
前記コンピュータにオペレーションを実行させるための指示データを受け付けるオペレーション受付手段と、
前記指示データと、前記ログデータ格納手段に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成する第一のプロファイル作成手段と、
前記第一のプロファイル作成手段が作成した第一のプロファイルを格納する第一のプロファイル格納手段と、
前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納手段に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成する第二のプロファイル作成手段と、
前記第二のプロファイル作成手段が作成した第二のプロファイルをユーザアカウント別に格納する第二のプロファイル格納手段と、
前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納手段に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納手段に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するスコア値算出手段と、
を備えることを特徴とする不正操作判定システム。 - 前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行するログイン検出手段を備えており、
前記ログイン検出手段によりユーザアカウントにログインした状態であることが検出されると、前記第二のプロファイル作成手段が、前記ユーザアカウントに対応する第二のプロファイルを作成すること
を特徴とする請求項1記載の不正操作判定システム。 - 前記ログイン検出手段によりユーザアカウントにログインした状態であることが検出されない場合には、前記第一のプロファイル作成手段が、前記コンピュータにかかる第一のプロファイルを作成すること
を特徴とする請求項2記載の不正操作判定システム。 - 前記ログイン検出手段は、前記コンピュータが稼動している間は所定の間隔で検出処理を実行すること
を特徴とする請求項2又は3記載の不正操作判定システム。 - コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定方法であって、
前記コンピュータには、前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納部が備えられていて、
前記コンピュータが、前記コンピュータにオペレーションを実行させるための指示データを受け付けるステップと、
前記コンピュータが、前記指示データと、前記ログデータ格納部に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成して、第一のプロファイル格納部に格納するステップと、
前記コンピュータが、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納部に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成して、第二のプロファイル格納部にユーザアカウント別に格納するステップと、
前記コンピュータが、前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納部に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納部に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するステップと、
を有することを特徴とする不正操作判定方法。 - 前記コンピュータが、前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行する検出ステップと、
前記コンピュータが、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出すると、前記ユーザアカウントに対応する第二のプロファイルを作成するステップと、
を有することを特徴とする請求項5記載の不正操作判定方法。 - 前記コンピュータが、前記検出ステップにおいてユーザアカウントにログインした状態であることを検出しない場合には、前記コンピュータにかかる第一のプロファイルを作成するステップを有すること
を特徴とする請求項6記載の不正操作判定方法。 - 前記検出ステップは、前記コンピュータが稼動している間は所定の間隔で実行されること
を特徴とする請求項6又は7記載の不正操作判定方法。 - コンピュータが受け付けたオペレーションが不正操作であるかを判定するための不正操作判定プログラムであって、前記コンピュータには、前記コンピュータが受け付けたオペレーションにかかるログデータを格納するログデータ格納部が備えられていて、前記コンピュータに、
前記コンピュータにオペレーションを実行させるための指示データを受け付けるステップと、
前記指示データと、前記ログデータ格納部に格納されたログデータとから、前記コンピュータに対して実行されたオペレーションの傾向を分析して、前記コンピュータに対して実行されたオペレーションの傾向を反映した第一のプロファイルを作成して、第一のプロファイル格納部に格納するステップと、
前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データと、前記ログデータ格納部に格納された前記ユーザアカウントに対応するログデータとから、前記ユーザアカウントにおいて実行されたオペレーションの傾向を分析して、前記ユーザアカウントにおいて実行されたオペレーションの傾向を反映した第二のプロファイルを作成して、第二のプロファイル格納部にユーザアカウント別に格納するステップと、
前記指示データが、ユーザアカウントにログインしていない状態で受け付けられたものである場合には、前記指示データを、前記第一のプロファイル格納部に格納された第一のプロファイルと対照させて、前記指示データが、ユーザアカウントにログインした状態で受け付けられたものである場合には、前記指示データを、少なくとも前記第二のプロファイル格納部に格納された前記ユーザアカウントに対応する第二のプロファイルと対照させて、前記オペレーションが不正操作であるかを判定するためのスコア値を算出するステップと、
を実行させることを特徴とする不正操作判定プログラム。 - 前記コンピュータに、
前記コンピュータがユーザアカウントにログインした状態であるかを検出するための処理を実行する検出ステップと、
前記検出ステップにおいてユーザアカウントにログインした状態であることを検出すると、前記ユーザアカウントに対応する第二のプロファイルを作成するステップと、
を実行させることを特徴とする請求項9記載の不正操作判定プログラム。 - 前記コンピュータに、
前記検出ステップにおいてユーザアカウントにログインした状態であることを検出しない場合には、前記コンピュータにかかる第一のプロファイルを作成するステップを実行させること
を特徴とする請求項10記載の不正操作判定プログラム。 - 前記検出ステップは、前記コンピュータが稼動している間は所定の間隔で実行されること
を特徴とする請求項10又は11記載の不正操作判定プログラム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003387213 | 2003-11-17 | ||
| JP2003387213 | 2003-11-17 | ||
| PCT/JP2004/006440 WO2005048119A1 (ja) | 2003-11-17 | 2004-05-13 | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2005048119A1 JPWO2005048119A1 (ja) | 2007-05-31 |
| JP4383413B2 true JP4383413B2 (ja) | 2009-12-16 |
Family
ID=34587421
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005515391A Expired - Lifetime JP4383413B2 (ja) | 2003-11-17 | 2004-05-13 | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20070180516A1 (ja) |
| EP (1) | EP1696335A1 (ja) |
| JP (1) | JP4383413B2 (ja) |
| KR (1) | KR100808347B1 (ja) |
| CN (1) | CN100492336C (ja) |
| HK (1) | HK1113695A1 (ja) |
| WO (1) | WO2005048119A1 (ja) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080162202A1 (en) * | 2006-12-29 | 2008-07-03 | Richendra Khanna | Detecting inappropriate activity by analysis of user interactions |
| JP4264113B2 (ja) * | 2007-04-23 | 2009-05-13 | Sky株式会社 | 端末監視装置及び端末監視プログラム |
| US8842312B2 (en) * | 2007-11-20 | 2014-09-23 | Kyocera Document Solutions Inc. | Application-based profiles of printer driver settings |
| JP5155909B2 (ja) * | 2009-03-06 | 2013-03-06 | Sky株式会社 | 操作監視システム及び操作監視プログラム |
| JP5515963B2 (ja) * | 2010-03-30 | 2014-06-11 | 富士通株式会社 | ログチェック装置,プログラムおよび処理方法 |
| WO2012001795A1 (ja) | 2010-06-30 | 2012-01-05 | 富士通株式会社 | 証跡ログ解析システム、証跡ログ解析プログラム、および証跡ログ解析方法 |
| US9600465B2 (en) | 2014-01-10 | 2017-03-21 | Qualcomm Incorporated | Methods and apparatuses for quantifying the holistic value of an existing network of devices by measuring the complexity of a generated grammar |
| JP6517468B2 (ja) * | 2014-01-10 | 2019-05-22 | 日本電気株式会社 | 情報処理システム、情報処理装置、監視装置、監視方法、及び、プログラム |
| WO2015186216A1 (ja) * | 2014-06-05 | 2015-12-10 | 株式会社 日立製作所 | 業務システム監視装置及び業務システム監視方法 |
| US10037374B2 (en) | 2015-01-30 | 2018-07-31 | Qualcomm Incorporated | Measuring semantic and syntactic similarity between grammars according to distance metrics for clustered data |
| US9536072B2 (en) * | 2015-04-09 | 2017-01-03 | Qualcomm Incorporated | Machine-learning behavioral analysis to detect device theft and unauthorized device usage |
| US10373140B1 (en) | 2015-10-26 | 2019-08-06 | Intuit Inc. | Method and system for detecting fraudulent bill payment transactions using dynamic multi-parameter predictive modeling |
| US20170178249A1 (en) * | 2015-12-18 | 2017-06-22 | Intuit Inc. | Method and system for facilitating identification of fraudulent tax filing patterns by visualization of relationships in tax return data |
| US10083452B1 (en) | 2016-06-21 | 2018-09-25 | Intuit Inc. | Method and system for identifying potentially fraudulent bill and invoice payments |
| CN107688943B (zh) * | 2016-08-04 | 2021-08-17 | 阿里巴巴集团控股有限公司 | 数据处理方法、装置及系统 |
| US11087334B1 (en) | 2017-04-04 | 2021-08-10 | Intuit Inc. | Method and system for identifying potential fraud activity in a tax return preparation system, at least partially based on data entry characteristics of tax return content |
| US11095678B2 (en) * | 2017-07-12 | 2021-08-17 | The Boeing Company | Mobile security countermeasures |
| US11829866B1 (en) | 2017-12-27 | 2023-11-28 | Intuit Inc. | System and method for hierarchical deep semi-supervised embeddings for dynamic targeted anomaly detection |
| JP6923806B2 (ja) * | 2018-01-09 | 2021-08-25 | 富士通株式会社 | 不正検知装置、不正検知方法、および不正検知プログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3227479C2 (de) * | 1982-07-22 | 1985-07-18 | Schubert & Salzer Maschinenfabrik Ag, 8070 Ingolstadt | Spanlos geformter Offenend-Spinnrotor sowie Verfahren zur Herstellung eines solchen Offenend-Spinnrotors |
| JPH11259571A (ja) * | 1998-03-13 | 1999-09-24 | Nippon Telegr & Teleph Corp <Ntt> | 電子商取引システム不正利用検出方法及び装置 |
| JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
| US7293087B2 (en) * | 2000-01-21 | 2007-11-06 | Scriptlogic Corporation | Event-based application for performing configuration changes in a networked environment |
| JP2002135248A (ja) * | 2000-10-19 | 2002-05-10 | Fumio Mizoguchi | ネットワーク監視方法、ネットワーク監視システム及びそのプログラムを記録した記録媒体 |
| US7076539B2 (en) * | 2001-07-30 | 2006-07-11 | Hewlett-Packard Development Company, L.P. | Network connectivity establishment at user log-in |
| JP2003150550A (ja) * | 2001-11-14 | 2003-05-23 | Toshiba Corp | 情報処理システム |
| US7698738B2 (en) * | 2003-05-14 | 2010-04-13 | Northrop Grumman Systems Corporation | System and method for real-time network-based recovery following an information warfare attack |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US7360073B1 (en) * | 2003-05-15 | 2008-04-15 | Pointsec Mobile Technologies, Llc | Method and apparatus for providing a secure boot for a computer system |
| US7870540B2 (en) * | 2004-07-09 | 2011-01-11 | Microsoft Corporation | Dynamic object validation |
-
2004
- 2004-05-13 JP JP2005515391A patent/JP4383413B2/ja not_active Expired - Lifetime
- 2004-05-13 KR KR1020067007733A patent/KR100808347B1/ko active IP Right Grant
- 2004-05-13 CN CNB200480033814XA patent/CN100492336C/zh not_active Expired - Fee Related
- 2004-05-13 US US10/579,884 patent/US20070180516A1/en not_active Abandoned
- 2004-05-13 WO PCT/JP2004/006440 patent/WO2005048119A1/ja active Application Filing
- 2004-05-13 EP EP04732749A patent/EP1696335A1/en not_active Withdrawn
-
2007
- 2007-05-31 HK HK07105806.6A patent/HK1113695A1/xx not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CN100492336C (zh) | 2009-05-27 |
| KR100808347B1 (ko) | 2008-02-27 |
| US20070180516A1 (en) | 2007-08-02 |
| EP1696335A1 (en) | 2006-08-30 |
| JPWO2005048119A1 (ja) | 2007-05-31 |
| WO2005048119A1 (ja) | 2005-05-26 |
| HK1113695A1 (en) | 2008-10-10 |
| CN1882931A (zh) | 2006-12-20 |
| KR20060090834A (ko) | 2006-08-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4383413B2 (ja) | 不正操作判定システム、不正操作判定方法及び不正操作判定プログラム | |
| US7805630B2 (en) | Detection and mitigation of disk failures | |
| US8214364B2 (en) | Modeling user access to computer resources | |
| KR100836439B1 (ko) | 부정감시프로그램을 포함하는 저장매체, 부정감시방법 및 부정감시시스템 | |
| US20090293121A1 (en) | Deviation detection of usage patterns of computer resources | |
| US9424407B2 (en) | Weak password support in a multi-user environment | |
| KR20070065306A (ko) | 엔드 유저 위험 관리 | |
| JP2009020812A (ja) | 操作検知システム | |
| KR102098064B1 (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
| JP2005222216A (ja) | システム監査方法、およびシステム監査装置 | |
| JP2009075940A (ja) | ログ分析装置およびプログラム | |
| JPH10340254A (ja) | 不正利用検出可能ネットワークシステム | |
| JP2006236199A (ja) | 作業指示リスト印刷方法、および、印刷プログラム | |
| JP2005149267A (ja) | 証拠画面保存プログラム、証拠画面保存方法及び証拠画面保存システム | |
| JP2009080560A (ja) | アクセス権限制御システム | |
| JP2008287435A (ja) | セキュリティレベル監視評価装置及びセキュリティレベル監視評価プログラム | |
| JP4487291B2 (ja) | 監視結果記録システム、共通ログ生成装置、及びプログラム | |
| JP5134276B2 (ja) | ネットワークに接続される端末 | |
| JP4360429B2 (ja) | コンピュータ操作監視システム及びコンピュータ操作監視プログラム | |
| JP2008181231A (ja) | コンピュータ成りすまし使用防止システム、コンピュータ成りすまし使用防止方法、およびコンピュータ成りすまし使用防止プログラム | |
| JP4138856B1 (ja) | 操作監視システム | |
| JP6053646B2 (ja) | 監視装置及び情報処理システム及び監視方法及びプログラム | |
| Basin et al. | Logging and log analysis | |
| JP5997005B2 (ja) | 情報処理装置、プロセスの正常終了判定方法およびプログラム | |
| US20080001776A1 (en) | Method and apparatus for camouflaging business-activity information in a telemetry signal |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20061128 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20070323 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090918 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121002 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4383413 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20121002 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20131002 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |