JP5108155B2 - データ記憶アクセスの制御方法 - Google Patents

データ記憶アクセスの制御方法 Download PDF

Info

Publication number
JP5108155B2
JP5108155B2 JP2012015556A JP2012015556A JP5108155B2 JP 5108155 B2 JP5108155 B2 JP 5108155B2 JP 2012015556 A JP2012015556 A JP 2012015556A JP 2012015556 A JP2012015556 A JP 2012015556A JP 5108155 B2 JP5108155 B2 JP 5108155B2
Authority
JP
Japan
Prior art keywords
user
access
data
storage element
users
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2012015556A
Other languages
English (en)
Other versions
JP2012108934A (ja
Inventor
フェイテルソン,ヤコブ
ゴールドバーガー,ヤコブ
コルクス,オハド
Original Assignee
バロニス システムズ,インコーポレイティド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by バロニス システムズ,インコーポレイティド filed Critical バロニス システムズ,インコーポレイティド
Publication of JP2012108934A publication Critical patent/JP2012108934A/ja
Application granted granted Critical
Publication of JP5108155B2 publication Critical patent/JP5108155B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99933Query processing, i.e. searching
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99938Concurrency, e.g. lock management in shared database
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99931Database or file accessing
    • Y10S707/99939Privileged access
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99944Object-oriented database structure
    • Y10S707/99945Object-oriented database structure processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Accounting & Taxation (AREA)
  • Social Psychology (AREA)
  • Automation & Control Theory (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明はコンピュータセキュリティに関する。特に、本発明は多様なファイルアクセス制御モデルを有する組織におけるセキュリティポリシの自動生成及び管理に関する。
データセキュリティポリシは、典型的には、蓄積された組織のデータに様々なコンピュータシステム上で誰がアクセスしたかを究明する。これらのポリシは固定的ではありえない。組織内部のユーザ、例えば、従業員、パートナ、請負業者は、組織外部からの脅威と同じくらいシビアな脅威を与えることがあり得る。従って、組織の構造及び人員構成が変る際に、セキュリティポリシはそのときに応じて調整されなければならない。しかしながら、組織の極秘データを保護する一方で、情報技術(IT)部門は、ユーザアクセス権を管理し、必要とされる情報が都合よく得られることを確実に行なう有効な手段に欠けている。
IT部門に利用可能な最新技術は、ユーザネーム、パスワード、バイオメトリクス、暗号化及びシングルサインオンへのアクセス制限を含むような技術の拡張の管理と共に、アクセス制御リストの点検及びメンテナンスを含む。そのような技術は、効率的でなく、しばしば不正確であり、構成及び人員が絶えず変化する大規模かつ複雑な組織においては、実用的ではない。
特別なオペレーティングシステム及び操作環境を利用することで、企業はセキュリティ支援手段を入手することができる。これらは、しばしば役割ベースのアクセス制御を基礎としており、政府組織により過去数年間、相当の興味を持たれ、つい最近営利事業に受け入れられた技術を基礎としている。マルチユーザQSLデータベースにおける役割ベースのアクセス制御に対する代表的な提案は、非特許文献1に示される。
それにもかかわらず、アクセス制御技術は、多様なアクセス制御モデルを利用する企業において、最適に実施されてはいなかった。今日の最新技術の状態は、そのような環境下でシステム管理者が、誰が何にアクセスしているのかを簡単に知ることができないことにある。その結果、多くの組織において、受け入れ難いほど高い比率のユーザが、不正なアクセス権を有している。冗長なアクセス権及び組織を去った人員の持ち主のいないアカウントに関連する問題も完全には解決されていない。従って、データ機密保護を改善し、不正行為を防止し、会社の生産性を改善するために、ユーザファイルの承認を自動的に制御する方法が求められている。
本発明の開示された実施例によれば、多様なアクセス制御モデル及びファイルサーバプロトコルを有するネットワーク化された組織において、データセキュリティポリシを自動的に作成し管理するための方法及びシステムが得られる。組織を構成するネットワーク内の記憶素子へのアクセスは、データアクセスの分類とユーザの分類とを同時に決定するために、継続的にモニタされ、解析される。実際の組織的構成は、これらのグループ分けから学び、ダイナミック・データ・アクセス制御ポリシの基礎となり、これは組織の経時的な変化に常に適合している。ファイルアクセス制御の対話型管理のための決定援助インターフェイスが提供される。また、異常なユーザの行動を検出及び追跡する施設が提供される。このように、組織はこれらのデータ及びアプリケーションをよりよくアクセス制御できる。
いくつかの実施形態において、ユーザグルーピング、データアクセスグルーピング及び通常のアクセス制御リストを協調させて、これらのアクセス制御リストを変更させることによりファイルアクセス制御を半自動的に管理することによって技法を拡張する。
本発明の教示を適用することによって展開するアクセスポリシは補助的利益、たとえば、サービス否認(denial-of-service)攻撃が生じた場合にリソース使用を制限する補助的利益を有する。
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法であって、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる方法が提供される。
上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザの1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記1つのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
また、上記方法の一局面によれば、前記1つのデータクラスタにおける前記記憶要素の少なくとも1つの記憶要素が前記ユーザクラスタの少なくとも1つのユーザによってアクセスされているときのみ、前記制御ポリシは、前記ユーザクラスタのユーザによる前記1つのデータクラスタの前記記憶要素のアクセスを可能とする。
さらに、上記方法の一局面によれば、前記バイクラスタステップに応答して前記ファイルシステムの構造を導くステップを具備する。
さらに、上述の方法の一局面は、前記バイクラスタステップに応答して前記ファイルシステムの使用パターンを導くステップを具備する。
上述の方法の一局面は、前記使用パターンの異常パターンを検出するステップを具備する。
さらに、上述の方法の一局面において、前記バイクラスタステップは繰返して実行され、前記アクセス特性は該繰返し毎に再決定され、前記制御ポリシは前記各繰返し後に更新される。
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは、前記制御ポリシの仮改訂を要求するステップと、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、前記後続アクセスが前記制御ポリシの前記仮改訂に従っていることを判別するステップと、前記判別ステップに応答して前記仮改訂を前記制御ポリシの確定版として認定するステップとを具備する。
さらに、上述の方法の一局面は、前記制御ポリシを対話的に修正するステップを具備する。
さらに、上述の方法の一局面において、前記制御ポリシを規定するステップは自動的かつ実質的に人を介さずに実行される。
さらに、上述の方法の一局面は、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、前記各ユーザクラスタのメンバによる前記各データクラスタのメンバに対するアクセスの不存在を検出するステップと、該検出ステップに応答して前記ユーザ集合から少なくとも前記ユーザの一部を削除しかつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップとを具備し、前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている。
本発明によれば、コンピュータプログラムが格納されたコンピュータ読出可能媒体を含有し、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータソフトウェア製品にあって、前記方法は、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを具備し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされるコンピュータソフトウェア製品が提供される。
本発明によれば、複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための装置であって、該装置は以下のステップを実行できるコンピュータシステムを具備し、該コンピュータシステムは、前記記憶要素に対する前記ユーザのアクセスを記録し該記録されたアクセスから各アクセスプロファイルを導くステップと、前記ユーザ及び前記記憶要素をバイクラスタ(bicluster)してユーザクラスタ及びデータクラスタを規定するステップと、該バイクラスタステップに応答して前記ユーザによるアクセスの制御ポリシを規定するステップとを実行するように動作し、前記ユーザクラスタにおける前記ユーザの前記アクセス特性(profiles)が互いに相似しており、前記データクラスタにおける前記記憶要素が、互いに相似した前記アクセス特性を有する、前記複数ユーザの中のユーザによってのみアクセスされる装置が提供される。
本発明の開示された実施の形態に係るデータアクセス制御ポリシが自動的に規定され管理されるデータ処理システムを示すブロック図である。 本発明の開示された実施の形態に係る図1のシステムのプローブエンジンを示すブロック図である。 本発明の開示された実施の形態に係る図1のシステムのプローブエンジンの変更例を示すブロック図である。 本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。 本発明の開示された実施の形態に係る記憶要素クラスタリング方法を示すフローチャートである。 本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。 本発明の開示された実施の形態に係る半自動ファイルアクセス制御方法を示すフローチャートである。
以下の説明においては、種々の具体的な詳細について説明して本発明の完全な理解を提供する。しかしながら、当業者にとっては、これらの具体的な詳細な説明なしでも本発明は実行できることが明らかである。他の例においては、周知の回路、制御論理、及び通常のアルゴリズム及び処理に対するコンピュータプログラム命令の詳細は本発明を不必要に曖昧にしないために示していない。
本発明を具体化するソフトウェアプログラムコードは、たとえばコンピュータ読込可能媒体のような永久的記憶媒体に保持される。クライアントサーバ環境においては、このようなソフトウェアプログラムコードはクライアントもしくはサーバに格納される。ソフトウェアプログラムコードはデータ処理システムについて使用される種々の公知の媒体において具体化される。この媒体としては、ディスクドライブ、磁気テープ、コンパクトディスク(CD)、デジタルビデオディスク(DVD)のような磁気的及び光学的記憶装置があるが、これに限定されるものではない。コンピュータ命令信号は伝送媒体にこれらの信号が変調されている搬送波と共にもしくは搬送波なしで具体化されている。たとえば、伝送媒体としては、インターネットのような通信ネットワークを含むことができる。また、本発明はコンピュータソフトウェアにより具体化できるが、本発明を実行するのに必要な機能の一部もしくは全体は特定用途向集積回路もしくは他のハードウェアのようなハードウェア部品、もしくはハードウェア部品及びソフトウェアの組合せにより具体化することができる。
[システム全体]
まず、図1はデータ処理システム10のブロック図である。図1を参照すると、データアクセスポリシは本発明の開示された実施の形態に従って自動的に規定され管理される。システム10は汎用コンピュータとしてあるいは1つのネットワークたとえばインターネットに接続された複数のコンピュータとして構成される。
システム10によってアクセスできる組織全体のデータ記憶は組織ファイルシステム12によって表される。組織ファイルシステム12は1つもしくは複数の同一場所(colocated)の記憶ユニットを備えており、あるいは、当業者に周知のごとく、地理的に分散したデータ記憶システムでもよい。組織ファイルシステム12の個々の記憶ユニットは同一の能力を有している要件を必要としない。
組織ファイルシステム12はグラフィックユーザインターフェイス(GUI)アプリケーション16を用いて複数のユーザ14によってアクセスできる。GUIアプリケーション16は応用プログラムインターフェイス(APU)18を介するシステム10以外の要素である。ユーザ14はたとえば組織のメンバであるが、顧客のような外部のメンバを含むことができる。グラフィックユーザインターフェイスアプリケーション16は管理システムのインターフェイスであり、これを介してユーザ14は解析エンジン20が決定した実際の使用解析の結果を受信できる。ある実施の形態においては、十分に権限が与えられたユーザたとえば管理部員は現在の状況を考慮することができ、また、システムによって勧告された変更を考慮することができる。このようなユーザは勧告された変更を受理もしくは拒絶する権限を有することができる。勧告された変更を選択する前に、権限を与えられたユーザはシステム上における勧告された変更の効果を考慮する能力を有する。次に、システム管理者は最も適切である許可セットを選択もしくは確認することができる。
プローブエンジン22は組織ファイルシステム12からアクセス情報を前進方法(ongoing manner)で収集し、二重もしくは冗長情報単位をフィルタ(filter)し、その結果の情報ストリームをデータベース24に格納する。また、プローブエンジン22を用いて、組織の現在のファイルセキュリティポリシ、組織ファイルシステム12の現在の構造及びユーザ14についての情報を収集する。プローブエンジン22は種々の環境及びアーキテクチャにおいて実行できる。
解析エンジン20は記憶アクセスを制御するシステム能力の心臓部に存在する専用モジュールである。解析エンジン20は組織セキュリティポリシを自動的に提案して改訂する。解析エンジン20の前縁にはデータコレクタ26があり、このデータコレクタ26は記憶アクセス動作をデータベース24に効率よく記録する。さらに解析エンジン20の出力は対話型管理インターフェイス28を用いて操作でき、この対話型管理インターフェイス28はシステム管理者に対して収集されたデータについて質問させるようにする。管理インターフェイス28を用いて管理者は必要であれば自動的に要求されたセキュリティポリシを修正でき、また、最終的に新しいもしくは改定されたポリシを活性化する。
解析エンジン20に関係しているコミットモジュール30はその実行前に収集されたデータを用いて要求されたセキュリティポリシを検証する。コミットモジュール30はアクセス制御リスト(ACL)32を参照する。コミットモジュール30の動作を以下に詳述する。
[プローブエンジン]
プローブエンジンは特別のオペレーティングシステム及び環境に合うように作られる。以下にその例を説明するが、これに限定されるものではない。
[ウィン−プローブアーキテクチャ]
次に、本発明の開示された実施の形態に係るプローブエンジン22(図1)の一実施の形態を示すブロック図である図2を参照する。この実施の形態での用語ウィン−プローブ(Win-Probe)モジュールはマイクロソフトウィンドウズ(登録商標)プラットフォームのプローブとして作用する。このプローブの責務は、組織ファイルシステム12(図1)の部品であるローカルファイルシステムをオペレーティングシステムレベルで監視することである。たとえば、組織におけるすべてのウィンドウズ(登録商標)コンピュータを操作するウィン−プローブモジュールがある。このウィン−プローブモジュールは他のオペレーティングシステムに適合するプローブエンジンと並列に動作する。あるいは、複雑な組織は効果的な動作を確保するために複数のウィン−プローブモジュールを必要とすることができる。ウィン−プローブモジュールはファイルシステムフィルタ(SIDFILE)34を有し、ファイルシステムフィルタ34はカーネルモードフィルタドライバ36を用いてローカルファイルシステム38の動作を傍受し(intercept)傍受した動作に関するセキュリティ情報のログをとる。サービス(SIDFILE SERVICE)40はフィルタドライバ36と相互作用し新しいログエントリに登録する。ログエントリはサービス40によってフィルタされる。サービス40はフィルタされたログエントリから統計を編する責任を有し、さらなる処理のために生のログエントリ及びこれらの統計の両方をデータベース24(図1)に送る。フィルタ34はオペレーティングシステムに対して無処理(transparent)であり、そのオーバヘッドは入出力(I/O)動作及びログ当りのセキュリティ属性の抽出に制限される。フィルタドライバ36とサービス40との間の通信は装置I/O制御のようなオペレーティングシステム機構及び予め定義された制御コードたとえば収集統計(collect statistics)を用いて達成される。
[ネットワーク付記憶プローブアーキテクチャ]
次に、図1のプローブエンジン22の他の実施の形態を示すブロック図である図3を参照すると、本発明に開示された実施の形態に従ってネットワーク装置に適用されている。ネットワーク付記憶(NAS)プローブ42はNAS装置44からアクセスデータを収集する責任を有する。ある実施の形態においては、1つのNASプローブは組織全体に貢献する。あるいは、複数のNASプローブも備えることができる。プローブ42は専用たとえばベンダ特定のプロトコルを用いてNAS装置44に相互作用する。このプロトコルはNAS装置44に対してユーザ48から発生した要求ファイルアクセス動作上の通知をプローブ42に送る。プローブ42は現在支配するポリシに従って要求をNAS装置44によって満足させるかNAS装置44へのアクセスを拒絶する。ログエントリ50はプローブ42によってなされ、イネーブル要求を書類化し、このイネーブル要求はNAS装置44に送られ、そのオペレーティングシステムに従って通常の処理に供される。ある実施の形態においては、拒否された要求は単に廃棄される。あるいは、拒否された要求は異常なユーザ行為を追跡するのを助けるためにログに登録できる。いずれの場合も、ユーザ48はその要求に対する応答52を、アクセス拒否の形式もしくはNAS装置44によって要求された結果の指示の形式で、その要求に対する応答52を受信する。いずれの場合も、最小の性能の効果(impact)がある。NAS装置44はそれ自身所有のオペレーティングシステムを有するので、すべてのドライバ関連の問題たとえばシステム識別子(SID)、ユーザ識別子(UID)、及び要求ファイルアクセスの型の抽出はNAS装置44側で取扱われ、プローブ42によって単にログに登録されるだけである。
[解析エンジン]
上述したように、解析エンジン20(図1)はシステム10の心臓部にある。プローブエンジン22によって報告された組織ファイルシステム12における各データ記憶要素に対応する組織の各メンバを含むユーザ14の実際のアクセスの統計を用いてユーザ及びデータ記憶要素の同時かつ自動のクラスタリングを実行する。バイクラスタリングは以下のように行われる。つまり、同一ユーザクラスタのメンバであるユーザが相似のデータアクセス特性を共有するように、また、同一データクラスタのメンバであるデータ記憶要素(ファイルもしくはディレクトリ)が大部分相似のアクセス特性を有するユーザによってアクセスされるように行われる。クラスタは組織構造のグローバル像を提供する。また、解析エンジン20はクラスタリングの結果からユーザにおける相似性の局所的尺度及び同一クラスタに属するデータ要素における相似性の局所的尺度を展開することができる。さらに、クラスタリングプロセスは組織メンバによる将来のデータ記憶アクセスを予測する。ユーザ14の1人があるファイルもしくは記憶要素をアクセスしておらず、かつ相似のユーザが相似のファイルをアクセスしていなければ、あるユーザは近い将来における対応記憶要素に対するアクセス権を必要としないことが、高い信頼性で確証できる。このように、解析エンジン20はIT管理者に情報利用パターンの明瞭なグローバル像を提供し、また、セキュリティポリシの最適化のための詳細な勧告を提供できる。同時に、管理者は異常なユーザの行為に警戒する。また、解析エンジン20はいかなる不審な活動の完全な裁判上の手がかりをも自動的に作成できる。この結果は劇的な能力であり、アクセス及びプライバシポリシに対するコンプライアンスを確保し、また、付加的な管理負担をIT人員に課すことなく適切な情報使用を確保する。
[バイクラスタリングアルゴリズム]
以下のクラスタリングアルゴリズムを現在の環境に用いる。しかしながら、本発明は以下に説明する特定のアルゴリズムに限定されるものではない。当業者にとっては、他のクラスタリングアルゴリズムをプローブエンジン22(図1)によって得られたデータに適用して同等の結果を得ることができるのは明らかである。
2つの離散的確率変数X及びYの結合分布をp(x,y)=p(X=x,Y=y)と表す。この場合、Xは組織におけるユーザ集合を表し、また、Yは組織のメンバによってアクセスされたファイルディレクトリ集合を表す。値p(x,y)は1登録フェイズ(enrollment phase)においてユーザxがデータ記憶要素に接近した正規化された回数を示す。本発明は、p(x,y)の近傍(contiguity)テーブルによって構成され収集されたデータに基づき、2つの集合の基本的に存在する構造及びこれらの相互関係を発見しようとするものである。より正確には、確率変数X及びYを相似要素の互いに素な(交わらない)集合にクラスタするものである。確率変数のクラスタリングとはXの要素をX’で表される互いに素な(disjoint)クラスタに区分することであり、同様に、YをY’による区分で示せる。
クラスタの数を(システム構成パラメータの一部として)予め定義すると、ユーザクラスタとデータクラスタとの間の相互情報量I(X’, Y’)が最大となるようにクラスタリングX’, Y’を求める。言い換えると、システムは相互情報量基準をコスト関数として用い、種々のクラスタリング構造の品質を評価する。
相互情報量は次のごとく定義される。
Figure 0005108155
相互情報量は1つの確率変数が出現する不確からしさの程度を他の確率変数が観測されているときにカプセル化する。また、以下に用いる2つの関連する概念を定義する。P=(P(1),…,P(n)),Q=(Q(1),…,Q(n))を2つの離散的確率分布とする。確率分布P,Qの相対的エントロピー(カルバック−ライプラのダイバージェンス)は、
Figure 0005108155
 となる。
混合係数cに係る確率分布P,Q間のジェンロン−シャノンダイバージンスは、
Figure 0005108155
 となる。
次のステップは相互情報量基準を用いて最適なクラスタリングを発見することである。ユーザ集合X及びデータ集合Yに対して異なる戦略を用いる。ユーザ集合Xの場合には、現在の構造は存在せず、従って、これを維持する必要がない。しかしながら、ある実施の形態において、組織のユーザ構造を保持することは好ましい。これに対し、データファイルシステムは木構造に基づく。木構造は木における近いディレクトリ間の動作上の相似を反映しているので、木構造を維持したい。従って、記憶要素クラスタリングは基本的に木を剪定することによって達成される。以下このプロセスをさらに詳細に説明する。
[ユーザクラスタリング]
本発明の開示された実施の形態に係るユーザクラスタリング方法を示すフローチャートである。この方法はランダム解で開始し、次に、単調方法で結果を逐次改良していく。
初期ステップ54において、開始点としてユーザのリストの所定数のクラスタへのランダム区分を選択する。この区分は以下に説明する現在のサイクル集合において用いられる。各ユーザxに対して、確率分布p(y/x)はユーザxのデータアクセス活動を表し、つまり、p(y/x)はユーザxがデータ要素yにアクセスした回数であって、登録期間(enrollment period)におけるxによって実行された全データ活動回数によって正規化されたものである。各ランダムに形成されたクラスタCに対してp(y|C)をクラスタCのメンバであるユーザに関連した条件付確率分布p(y|x)の平均として定義する。
次に、ステップ56において、初期ステップ54において確立したクラスタのうち1つをランダムに選択する。
次に、ステップ58において、ユーザのうちの1つを選択する。ステップ58は繰返し実行され、また、ユーザは周期的に評価される。しかしながら、1周期における評価順序は重要でない。
次に、ステップ60において、現在のユーザxを現在のクラスタからステップ56において選択されたクラスタへ仮に移動させ、ユーザの仮の新規クラスタリングを形成する。
制御は決定ステップ62に進み、新規クラスタリングのグローバル相互情報量I(X;Y)が現在クラスタリングのそれより大きいか否かを判別する。ユーザxとcユーザからなるクラスタCとの距離は次のごとく定義する。
Figure 0005108155
各ユーザxは、距離d(x,C)を最小化するクラスタCにマージされる。条件付アクセス確率p(y|C)は新しいメンバxの統計に従って修正される。距離d(x,C)の最小化はクラスタとデータ活動との相互情報量の最大化と等価である。
決定ステップ62の判定が肯定的である場合、制御はステップ64に進む。現在ユーザxはステップ56において選択されたクラスタに滞り、また、ステップ60において確立した仮新規クラスタリングが承認される。
決定ステップ62の判定が否定的である場合、制御はステップ66に進む。現在ユーザxを選択先のクラスタに戻し、また、ステップ60において確立した仮新規クラスタリングを拒絶する。
いずれの場合でも、次に、制御はステップ68に進み、現在サイクルにおいて評価すべきユーザが残っているか否かを判別する。決定ステップ68における判定が肯定的である場合、制御はステップ58に戻る。
決定ステップ68における判定が否定的である場合、制御は決定ステップ70に進み、最後のサイクルが相互情報量において何らかの改良をもたらしたか否かを判別する。
決定ステップ70の判定が肯定的である場合、最適クラスタリングがまだ達成されていないことになる。ステップ72にて、ユーザリストはリセットされて現在サイクル集合の他のサイクルを開始する。制御はステップ56に戻り、また、初期ステップ54において確立した同一のランダム区分を用いて新クラスタを選択することによって新サイクルを開始する。
決定ステップ70の判定が否定的である場合、制御はステップ74に進む。現在のサイクル集合において達成された最良のクラスタリングが記憶される。
次に、制御は決定ステップ76に進み、終了基準に合致したか否かを判別する。終了基準は初期ステップ54の所定の繰返回数の完了とすることができる。あるいは、性能インジケータを終了基準とすることができる。
決定ステップ76の判定が否定的である場合、制御は初期ステップ54に戻り、この方法が繰返されて新しい開始点を選択する。
決定ステップ76の判定が肯定的である場合、制御は最終ステップ78に進む。ステップ74の繰返において記憶されたクラスタリングにおいて得られた最良の結果がユーザクラスタとデータクラスタとの相互情報量を最大とする最終クラスタリングとして報告される。
[データ要素クラスタリング]
次に、本発明の実施の形態に従って記憶要素をクラスタリングする方法を示すフローチャートである図5を参照する。これはデータファイル木における兄弟要素によって表されるクラスタのマージに基づく集積的(agglomerative)方法である。図4を参照した上述のユーザクラスタリングが実行されたものと仮定する。初期段階で、ユーザアクセス事象として区別できない兄弟ディレクトリあるいは親−子孫ディレクトリ間でマージする。この段階で扱いやすい(tractable)要素数に剪定された(pruned)ディレクトリ木となる。次の段階で、現在剪定された木のすべての葉が観察され(visited)、また、2つの兄弟ディレクトリもしくは両親−子孫ディレクトリ間のマージャが存在し、ユーザクラスタとデータクラスタとの間の相互情報量減少が最小となるようにする。このプロセスは、終了基準を満たすまで、つまり、所定数のクラスタが得られるとき、もしくは現在の相互情報量が所定しきい値より小さくなるときまで繰返される。次に、この方法を詳述する。
初期ステップ80はファイル木のディレクトリの横断(transversal)を開始する。クラスタリングを選択するに当り、親−子孫ディレクトリ、兄弟ディレクトリ及びこれらのクラスタを考慮し、集合的に隣人(neighbors)と定義する。すべてのデータ要素を観察し、すべての互いの隣人を評価する限り、横断順序は重要でない。多くの未知の木横断アルゴリズムを用いることができる2つの隣人を選択する。
次に、決定ステップ82に進み、ユーザアクセス事象の見地から本発明の相似の所定基準に従って現在の候補が識別不可能もしくはほとんど識別不可能か否かを判別する。
決定ステップ82の判定が肯定的である場合、制御はステップ84に進む。候補はマージされて新規データクラスタを形成する。このデータクラスタは初期ステップ80の後の繰返において単一記憶要素もしくは隣人として取扱う。
ステップ84を実行後、もしくは決定ステップ82の判別が否定的である場合、制御は決定ステップ86に進み、データファイル木の横断が完了したか否かを判別する。決定ステップ86の判別が否定的である場合、制御は初期ステップ80に戻り繰返を開始する。
決定ステップ86の判別が肯定的である場合、この方法の1段階が終了し、剪定されたディレクトリ木となる。一般に、剪定されたディレクトリ木のディレクトリ及びそのクラスタは扱いやすい(tractable)要素数を構成する。
次に、ステップ88に進み、この方法のもう1つの段階を開始し、剪定されたディレクトリ木を再び横断し、相互情報量I(X;Y)の減少が最小となるように候補をさらにマージする。図4を参照した上述の方法から得られたユーザクラスタと現在剪定された木のデータクラスタとの間の相互情報量I(X;Y)を記憶する。
次に、ステップ90において、2つの候補を選択する。上述のごとく、これらの候補は候補が兄弟、親−子の関係を有する限り、クラスタ、ディレクトリもしくはこれらの組合せとすることができる。
次に、ステップ92において、現在の候補を仮にマージしてユーザ及びデータ要素の新規クラスタリングを形成する。この仮の構造の相互情報量I’(X;Y)を決定する。
次に、制御は決定ステップ94に進み、仮クラスタリングによって生じた相互情報量I’(X;Y)−I(X;Y)の減少が最良の前回の仮クラスタリングによって生じた相互情報量の減少より小さいか否かを判別する。決定ステップ94の最初の繰返では、この判別は常に肯定的である。
決定ステップ94の判別が肯定的である場合、制御はステップ96に進む。現在の仮クラスタリングが記憶され、高い水位標(water mark)として設定される。このように、これは利用可能な最高の新規クラスタリングである。
決定ステップ96を実行後あるいは決定ステップ94の判別が否定的である場合、制御はステップ98に進み、木に評価すべき候補が残っているか否かを判別する。決定ステップ98の判別が肯定的である場合、制御はステップ90に戻る。
決定ステップ98の判別が否定的である場合、制御は決定ステップ100に進み、終了基準に合致したか否かを判別する。この終了基準は所定数の新規クラスタの確立とすることができる。あるいは、相互情報量の現在の最良の減少が所定のしきい値より小さくなったときに終了させることもできる。
決定ステップ100の判別が否定的である場合、現在の最良クラスタリングの相互情報量を開始点として用いて上述の方法を繰返す。制御はステップ88に戻り、相互情報量I(X,Y)の新しい値を設定する。
決定ステップ100の判別が肯定的である場合、制御は最終ステップ102に進む。ステップ96にて最後に記憶されたクラスタリングが最適データ要素クラスタリングとして報告される。
クラスタリングアルゴリズムの最後に、ユーザ及びデータ記憶要素の両方は互いに素なクラスタに配置される。階層的木構造はデータ記憶要素に維持され、他方、ユーザは、階層的構造を有することなく、ユーザ空間に配置される。次に、組織のユーザ間におけるロバスト相似測度を抽出することができる。ユーザが同一クラスタに属すれば、ユーザは相似的に行動するといわれ、これはこれら2つのユーザはデータ記憶システムの相似的な部分をアクセスするということを示している。2つのディレクトリもしくは他の記憶要素が同一データクラスタに属していれば、これら2つのディレクトリもしくは記憶要素は相似と考えられる。
[記憶アクセス制御]
図5を参照して上述した方法を用いて得られたクラスタリングを用いて不必要なアクセス許可を自動的に除去できる。たとえば、ユーザxが要素y(yに相似する要素も)を登録期間(enrollment period)にアクセスしていなければ、ユーザxが記憶要素yをアクセスする許可は除去される。予測は組織の相似メンバのアクセス特性に基づく。要素yに対する相似アクセス特性を有し、かつユーザxの同一クラスタに存在するユーザがだれも要素yもアクセスせず、また、要素yに相似する記憶要素にもアクセスしていなければ、近い将来も、ユーザxは要素yにアクセスしない、ということが確認できる。従って、組織データセキュリティのレベルを上昇させるために、要素yに関するユーザxに対してアクセス許可をキャンセルできる。ユーザの見直しは所定時間毎に繰返され、従って、アクセスポリシも更新される。
[半自動クラスタリング]
上述のセクションでは、組織の実際の構造を反映するアクセス制御ポリシを規定するために、いかにしてユーザデータクラスタリングアプローチを用いるかについて記載した。記録されたデータ活動は、抽出して最適なデータアクセス制御ポリシを規定できる情報源の一つにすぎない。新規つまり更新されたデータアクセスポリシを提案するために、現在のユーザデータグループ構造及び現在のデータセキュリティポリシもまた考慮すべきである。組織について他の主な知識源は現在の(手動にて設定された)アクセス制御リスト32(図1)である。ACLは対の集合と見ることができる。ここで、各対は、ユーザグループとこのユーザグループによってアクセスできるデータ要素グループとよりなる。たとえ現在のACLは多くの誤りを含んでいても、なお所望の制御ポリシと高度に相関していることが合理的に確証できる。以下に説明する手順は上述の非管理のクラスタリング手順を用いて現在のACLを修正して改良されたポリシを得ることができる。次に、記録されたユーザアクセスデータから学習された組織構造を用いて不必要なデータアクセス許可を除去できる。アルゴリズムは現在のACLに基づいており、次のごとく各ユーザデータグループに対して別個に動作する。まず、各ユーザに対して対によって定義されたデータ要素の1つに対するアクセスが記録されたか否かをチェックする。記録されていなければ、相似ユーザが登録期間(enrollment period)内にデータ要素をアクセスしたか否かをチェックする。ここで、相似は上述と同一の意味を有する。そのようなユーザがいなければ、特別のユーザが近い将来そのデータ要素にアクセスする必要はないといえる。また、これがデータグループにおいて現れるデータ要素の場合、アクセス制御対からユーザを除去する。以下に説明するごとく、プロセスの第2段階を適用してアクセス制御対からデータ要素を除去する。
次に、本発明の開示された実施の形態に係る部分的に監督されたファイルアクセス制御方法を示すフローチャートである図6を参照する。この方法のステップは明確にするために図6に例示のシーケンスとして示されている。しかしながら、当業者においては、これらのステップが部分的に非同期に実行され、もしくは異なる順序で実行できることは明らかである。
この方法は初期ステップ104にて開始する。図4、図5を参照して上述したバイクラスタリング方法が実行され適用される。
次に、ステップ106において、アクセス制御ユニットがACLから選択される。このユニットはユーザグループ及びディレクトリグループよりなる対である。
次に、ステップ108において、現在アクセス制御ユニットのユーザから1つのユーザを選択する。
次に、ステップ110において、現在アクセス制御ユニットから1つのデータ要素を選択する。
次に、制御は決定ステップ112に進み、現在ユーザは現在データ要素をアクセスしたことがあるか否かを判別する。
決定ステップ112の判別が肯定的である場合、ACLの修正は現在ユーザについては必要ない。制御は以下に説明するステップ114に進む。
決定ステップ112の判別が否定的である場合、(初期ステップ104で実行されたクラスタリング手続において)現在ユーザと相似であると判別されたユーザが評価される。制御はステップ116に進む。相似ユーザが選択される。
次に、制御は決定ステップ118に進み、現在相似ユーザが現在データ要素をアクセスしたことがあるか否かを判別する。
決定ステップ118の判別が肯定的である場合、現在ユーザと現在相似ユーザとのアクセス相似性に基づき、現在ユーザについてACLの修正はなされない。制御はステップ114に進む。
決定ステップ118の判別が否定的である場合、決定ステップ120においてまだ考慮すべき相似ユーザが存在するか否かを判別する。
決定ステップ120の判別が肯定的である場合、制御はステップ116に戻る。
決定ステップ120の判別が否定的である場合、ステップ122において、現在ユーザが現在アクセス制御ユニットから取除かれる。
次に、決定ステップ124において、現在アクセス制御ユニットに評価すべきユーザが残っているか否かを判別する。決定ステップ124の判別が肯定的である場合、制御はステップ108に戻る。
決定ステップ124の判別が否定的である場合、評価すべきアクセス制御ユニットが残っているか否かを判別する。決定ステップ126の判別が肯定的である場合、制御はステップ106に戻り、新しい繰返しを開始する。
決定ステップ126の判別が否定的である場合、制御は最終ステップ128に進む。次に、記憶アクセス制御は修正されたACLを導入することができる。
上述のステップ114は現在アクセス制御ユニットの現在データ要素の状況に関するアルゴリズムの段階を開始する。この段階は現在ユーザも、この相似ユーザも現在データ要素にアクセスしていなかったときのみ実行される。以下のステップの目的は(初期ステップにおいて実行されたクラスタリング手続による)現在データ要素に相似すべきと考えられるデータ要素が現在のアクセス制御ユニットのいずれかのユーザによってアクセスされていたか否かを判別することにある。アクセスされていなければ、現在データ要素は現在アクセス制御ユニットから取除かれる。この動作が一旦達成されると、その後、現在ユーザグループのメンバは現在データ要素にアクセスできない。1つの相似データ要素が初期ステップ104において実行されたクラスタリングから選択される。
次に、ステップ130において、再び、現在アクセス制御ユニットのユーザから1つのユーザを選択する。これは、現在アクセス制御ユニットのすべてのユーザをステップ130の繰返しによって評価対象にするためである。
次に、制御は決定ステップ132に進み、現在ユーザは現在相似データ要素をアクセスしたことがあるか否かを判別する。決定ステップ112の判別が肯定的である場合、現在データ要素をそのアクセス制御ユニットから取除く必要はない。制御は以下に説明するステップ124に進む。
決定ステップ132の判別が否定的である場合、決定ステップ134において、現在アクセス制御ユニットにユーザが残っているか否かを判別する。決定ステップ134の判別が肯定的である場合、制御はステップ130に戻る。
決定ステップ134の判別が否定的である場合、決定ステップ136において、現在アクセス制御ユニットのユーザに対してテストすべき相似データ要素が残っているか否かを判別する。
決定ステップ136の判別が肯定的である場合、制御はステップ114に戻る。
決定ステップ136の判別が否定的である場合、現在アクセス制御ユニットのすべてのユーザが(ステップ110の最後の繰返しで選択された)現在データ要素に相似するすべてのデータ要素に対してアクセステストが実行されたか否かを判別する。アクセスは発見できない。ステップ137において、現在データ要素が現在アクセス制御ユニットから取除かれる。
次に、制御は決定ステップ138に進み、現在アクセス制御ユニットにデータ要素が残っているか否かを判別する。決定ステップ138の判別が肯定的である場合、制御はステップ110に戻り、現在アクセス制御ユニットから異なるデータ要素を用いて新しい繰返しを開始する。
決定ステップ138の判別が否定的である場合、制御は既に説明した決定ステップ124に進む。
[提案ポリシの検証のための仮想コミット]
図1に戻ると、上述のクラスタリング手順はシステムの登録期間もしくは訓練期間に収集された記憶アクセスに適用される。これらの手順は、時にたとえば、下部組織における買収、合併の後に実行される。提案または仮新規もしくは更新されたアクセス制御ポリシは登録期間の後で発生するユーザ活動の見地から有効であることを保証することが望ましい。登録期間の後に収集されたデータを用いて設定前の仮ポリシの有効性を検証する。この機能はコミットモジュール30によって実行され、コミットモジュール30はユーザアクセス活動を記録し、仮ポリシの違反を検出する。ユーザ活動が仮ポリシに違反していなければ、仮ポリシは確定的記憶アクセス制御ポリシとして承認される。違反していれば、仮ポリシは拒否もしくは、さらなる評価もしくは改訂のために戻される。このように、コミットモジュール30は交差有効機構を提供し、提案された記憶アクセス制御ポリシの品質をその実現前にチェックする。
[異常行動の追跡]
記録データに実行されるデータ解析の主な目的は異常行動の検出及び追跡である。コミットユニット30は記憶アクセス制御実行後に、この機能を実行するのに適している。ユーザが同一ユーザクラスタに属している他のユーザと不一致の行動をした場合に、異常行動が確認できる。
当業者において、本発明は上述の特別なものに限定されるものではない。また、本発明の範囲は上述の特徴のコンビネーション及びサブコンビネーションを含むと共に、従来にないこれらの変更、修正は上述の説明を読んだ当業者に可能である。

Claims (6)

  1. 記憶要素を備えたファイルシステムの複数のユーザを有する組織におけるデータ記憶アクセスの制御方法であって、
    プローブエンジンが、前記記憶要素に対する前記ユーザのアクセスを記録し、該記録されたアクセスから各アクセスプロファイルを導出するステップと、
    解析エンジンが、前記ユーザ及び前記記憶要素をバイクラスタしてユーザクラスタ及びデータクラスタを規定するステップと、
    該バイクラスタステップに応答して、前記解析エンジンが、自動的かつ人を介さずに前記ユーザによる前記記憶要素へのアクセスの制御ポリシを規定するステップと、
    前記プローブエンジンが、前記ポリシを用いて前記ユーザによる前記記憶要素へのアクセスを制御するステップと、
    を具備し、
    前記ユーザクラスタにおける前記ユーザの前記アクセスプロファイルが互いに相似しており、前記データクラスタにおける前記記憶要素が、前記複数のユーザの中で互いに相似した前記アクセスプロファイルを有するユーザによってのみアクセスされ、
    前記制御ポリシを規定するステップは、
    前記解析エンジンが、前記規定されたポリシを制御ポリシの暫定版として提案するステップと、
    コミットモジュールが、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
    前記コミットモジュールが、前記後続アクセスが前記制御ポリシの前記暫定版に従っていることを判別するステップと、
    前記判別ステップに応答して、前記コミットモジュールが、前記暫定版を前記制御ポリシの確定版として認定するステップと、
    を有することを特徴とするデータ記憶アクセスの制御方法。
  2. さらに、
    コミットモジュールが、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
    前記コミットモジュールが、各前記ユーザクラスタのメンバによる各前記データクラスタのメンバに対するアクセスの不存在を検出するステップと、
    該検出ステップに応答して、前記コミットモジュールが、前記ユーザ集合から少なくとも前記ユーザの一部を削除し、かつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと、
    を具備し、
    前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている、請求項に記載のデータ記憶アクセスの制御方法。
  3. コンピュータプログラムが格納され、該コンピュータプログラムはコンピュータによって読込まれて該コンピュータに複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスを制御するための方法を実行させるコンピュータ読出可能記憶媒体であって、前記方法は、
    プローブエンジンが、前記記憶要素に対する前記ユーザのアクセスを記録し、該記録されたアクセスから各アクセスプロファイルを導出するステップと、
    解析エンジンが、前記ユーザ及び前記記憶要素をバイクラスタしてユーザクラスタ及びデータクラスタを規定するステップと、
    該バイクラスタステップに応答して、前記解析エンジンが、自動的かつ人を介さずに前記ユーザによる前記記憶要素へのアクセスの制御ポリシを規定するステップと、
    前記プローブエンジンが、前記ポリシを用いて前記ユーザによる前記記憶要素へのアクセスを制御するステップと、
    を有し、
    前記ユーザクラスタにおける前記ユーザの前記アクセスプロファイルが互いに相似しており、前記データクラスタにおける前記記憶要素が、前記複数のユーザの中で互いに相似した前記アクセスプロファイルを有するユーザによってのみアクセスされ、
    前記制御ポリシを規定するステップは、
    前記解析エンジンが、前記規定されたポリシを制御ポリシの暫定版として提案するステップと、
    コミットモジュールが、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
    前記コミットモジュールが、前記後続アクセスが前記制御ポリシの前記暫定版に従っていることを判別するステップと、
    前記判別ステップに応答して、前記コミットモジュールが、前記暫定版を前記制御ポリシの確定版として認定するステップと、
    を有する、コンピュータ読出可能記憶媒体。
  4. 前記方法は、さらに、
    コミットモジュールが、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
    前記コミットモジュールが、各前記ユーザクラスタのメンバによる各前記データクラスタのメンバに対するアクセスの不存在を検出するステップと、
    該検出ステップに応答して、前記コミットモジュールが、前記ユーザ集合から少なくとも前記ユーザの一部を削除し、かつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと、
    を有し、
    前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている、請求項に記載のコンピュータ読出可能記憶媒体。
  5. 複数のユーザを有する組織における記憶要素を有するファイルシステムのデータ記憶アクセスの制御装置であって、該装置は以下のステップを実行できるコンピュータシステムを有し、該コンピュータシステムは、
    プローブエンジンが、前記記憶要素に対する前記ユーザのアクセスを記録し、該記録されたアクセスから各アクセスプロファイルを導出するステップと、
    解析エンジンが、前記ユーザ及び前記記憶要素をバイクラスタしてユーザクラスタ及びデータクラスタを規定するステップと、
    該バイクラスタステップに応答して、前記解析エンジンが、自動的かつ人を介さずに前記ユーザによる前記記憶要素へのアクセスの制御ポリシを規定するステップと、
    前記プローブエンジンが、前記ポリシを用いて前記ユーザによる前記記憶要素へのアクセスを制御するステップと、
    を実行するように動作し、
    前記ユーザクラスタにおける前記ユーザの前記アクセスプロファイルが互いに相似しており、前記データクラスタにおける前記記憶要素が、前記複数のユーザの中で互いに相似した前記アクセスプロファイルを有するユーザによってのみアクセスされ、
    前記制御ポリシを規定するステップは、
    前記解析エンジンが、前記規定されたポリシを制御ポリシの暫定版として提案するステップと、
    コミットモジュールが、前記ユーザによる前記記憶要素の後続アクセスを監視するステップと、
    前記コミットモジュールが、前記後続アクセスが前記制御ポリシの前記暫定版に従っていることを判別するステップと、
    前記判別ステップに応答して、前記コミットモジュールが、前記暫定版を前記制御ポリシの確定版として認定するステップと、
    を有する、データ記憶アクセスの制御装置。
  6. 前記コンピュータシステムは、さらに、
    コミットモジュールが、前記ユーザの少なくとも1つのユーザ集合及び前記記憶要素の少なくとも1つのデータ集合を備えるアクセス制御リストを参照するステップと、
    前記コミットモジュールが、各前記ユーザクラスタのメンバによる各前記データクラスタのメンバに対するアクセスの不存在を検出するステップと、
    該検出ステップに応答して、前記コミットモジュールが、前記ユーザ集合から少なくとも前記ユーザの一部を削除し、かつ前記データ集合から少なくとも前記記憶要素の一部を削除するステップと、
    を実行するように動作し、
    前記ユーザ集合の前記ユーザは前記ユーザクラスタのそれぞれに含まれ、前記データ集合の前記記憶要素は前記データクラスタのそれぞれに含まれている、請求項に記載のデータ記憶アクセスの制御装置。
JP2012015556A 2005-06-07 2012-01-27 データ記憶アクセスの制御方法 Active JP5108155B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US68848605P 2005-06-07 2005-06-07
US60/688,486 2005-06-07
US11/258,256 2005-10-25
US11/258,256 US7606801B2 (en) 2005-06-07 2005-10-25 Automatic management of storage access control

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2008515373A Division JP4988724B2 (ja) 2005-06-07 2006-05-21 データ記憶アクセスの制御方法

Publications (2)

Publication Number Publication Date
JP2012108934A JP2012108934A (ja) 2012-06-07
JP5108155B2 true JP5108155B2 (ja) 2012-12-26

Family

ID=37495353

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2008515373A Active JP4988724B2 (ja) 2005-06-07 2006-05-21 データ記憶アクセスの制御方法
JP2012015556A Active JP5108155B2 (ja) 2005-06-07 2012-01-27 データ記憶アクセスの制御方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2008515373A Active JP4988724B2 (ja) 2005-06-07 2006-05-21 データ記憶アクセスの制御方法

Country Status (5)

Country Link
US (2) US7606801B2 (ja)
JP (2) JP4988724B2 (ja)
DE (1) DE112006001378T5 (ja)
GB (1) GB2441458B (ja)
WO (1) WO2006131906A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320798B2 (en) 2013-02-20 2019-06-11 Varonis Systems, Inc. Systems and methodologies for controlling access to a file system

Families Citing this family (259)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7778981B2 (en) * 2000-12-01 2010-08-17 Netapp, Inc. Policy engine to control the servicing of requests received by a storage server
US8612404B2 (en) * 2002-07-30 2013-12-17 Stored Iq, Inc. Harvesting file system metsdata
AU2003265335A1 (en) * 2002-07-30 2004-02-16 Deepfile Corporation Method and apparatus for managing file systems and file-based data storage
US8417678B2 (en) 2002-07-30 2013-04-09 Storediq, Inc. System, method and apparatus for enterprise policy management
US7805449B1 (en) 2004-10-28 2010-09-28 Stored IQ System, method and apparatus for enterprise policy management
US8571289B2 (en) 2002-11-27 2013-10-29 Hologic, Inc. System and method for generating a 2D image from a tomosynthesis data set
US7617211B2 (en) * 2004-08-02 2009-11-10 International Business Machines Corporation System and method for automatically synchronizing security-relevant information between a relational database and a multidimensional database
US7844582B1 (en) 2004-10-28 2010-11-30 Stored IQ System and method for involving users in object management
US8510331B1 (en) 2004-10-28 2013-08-13 Storediq, Inc. System and method for a desktop agent for use in managing file systems
US8126856B2 (en) * 2005-05-26 2012-02-28 Hewlett-Packard Development Company, L.P. File access management system
US7606801B2 (en) * 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control
US20070088717A1 (en) * 2005-10-13 2007-04-19 International Business Machines Corporation Back-tracking decision tree classifier for large reference data set
US7962513B1 (en) * 2005-10-31 2011-06-14 Crossroads Systems, Inc. System and method for defining and implementing policies in a database system
US10008184B2 (en) 2005-11-10 2018-06-26 Hologic, Inc. System and method for generating a 2D image using mammography and/or tomosynthesis image data
WO2013078476A1 (en) 2011-11-27 2013-05-30 Hologic, Inc. System and method for generating a 2d image using mammography and/or tomosynthesis image data
JP5112327B2 (ja) 2005-11-17 2013-01-09 コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ 独自仕様のデータを管理するシステム
US8832048B2 (en) * 2005-12-29 2014-09-09 Nextlabs, Inc. Techniques and system to monitor and log access of information based on system and user context using policies
DE202007019497U1 (de) 2006-02-15 2013-03-06 Hologic, Inc. Brustbiopsie und Nadellokalisierung unter Verwendung von Tomosynthesesystemen
US20070226131A1 (en) * 2006-03-09 2007-09-27 Decker Katherine K Data processing method and apparatus for mitigating risk in financing purchases of goods including but not limited to automobiles
US8561146B2 (en) 2006-04-14 2013-10-15 Varonis Systems, Inc. Automatic folder access management
US8584195B2 (en) * 2006-11-08 2013-11-12 Mcafee, Inc Identities correlation infrastructure for passive network monitoring
EP2563014A3 (en) * 2007-02-21 2013-03-06 Nds Limited Method for content presentation
US8239925B2 (en) * 2007-04-26 2012-08-07 Varonis Systems, Inc. Evaluating removal of access permissions
US8341104B2 (en) * 2007-08-16 2012-12-25 Verizon Patent And Licensing Inc. Method and apparatus for rule-based masking of data
US7895463B2 (en) 2007-08-28 2011-02-22 Cisco Technology, Inc. Redundant application network appliances using a low latency lossless interconnect link
US8131784B1 (en) 2007-09-26 2012-03-06 Network Appliance, Inc. Multiple node quota filter
US7783666B1 (en) * 2007-09-26 2010-08-24 Netapp, Inc. Controlling access to storage resources by using access pattern based quotas
US7831621B1 (en) 2007-09-27 2010-11-09 Crossroads Systems, Inc. System and method for summarizing and reporting impact of database statements
US8438611B2 (en) * 2007-10-11 2013-05-07 Varonis Systems Inc. Visualization of access permission status
DE102007052180A1 (de) * 2007-10-31 2009-05-07 Fujitsu Siemens Computers Gmbh Verfahren, Rechnersystem und Computerprogrammprodukt
US8438612B2 (en) * 2007-11-06 2013-05-07 Varonis Systems Inc. Visualization of access permission status
US8295198B2 (en) * 2007-12-18 2012-10-23 Solarwinds Worldwide Llc Method for configuring ACLs on network device based on flow information
US20090265780A1 (en) * 2008-04-21 2009-10-22 Varonis Systems Inc. Access event collection
US9456054B2 (en) 2008-05-16 2016-09-27 Palo Alto Research Center Incorporated Controlling the spread of interests and content in a content centric network
US8667556B2 (en) * 2008-05-19 2014-03-04 Cisco Technology, Inc. Method and apparatus for building and managing policies
EP2840753B1 (en) * 2008-05-21 2019-05-15 McAfee, LLC System and method for discovery of network entities
US8639570B2 (en) * 2008-06-02 2014-01-28 Microsoft Corporation User advertisement click behavior modeling
FR2932043B1 (fr) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires
US8316453B2 (en) * 2008-06-27 2012-11-20 Bank Of America Corporation Dynamic community generator
US8763069B2 (en) 2008-06-27 2014-06-24 Bank Of America Corporation Dynamic entitlement manager
US8225416B2 (en) 2008-06-27 2012-07-17 Bank Of America Corporation Dynamic entitlement manager
JP5120144B2 (ja) * 2008-08-22 2013-01-16 日本電気株式会社 機密情報管理システム、機密情報管理方法、及びプログラム
US20100070471A1 (en) * 2008-09-17 2010-03-18 Rohati Systems, Inc. Transactional application events
US8463730B1 (en) 2008-10-24 2013-06-11 Vmware, Inc. Rapid evaluation of numerically large complex rules governing network and application transactions
US9559800B1 (en) 2008-10-24 2017-01-31 Vmware, Inc. Dynamic packet filtering
US9721227B2 (en) 2009-03-27 2017-08-01 Bank Of America Corporation Custodian management system
US9330374B2 (en) * 2009-03-27 2016-05-03 Bank Of America Corporation Source-to-processing file conversion in an electronic discovery enterprise system
US9641334B2 (en) * 2009-07-07 2017-05-02 Varonis Systems, Inc. Method and apparatus for ascertaining data access permission of groups of users to groups of data elements
US20110055276A1 (en) * 2009-08-26 2011-03-03 Brocade Communications Systems, Inc. Systems and methods for automatic inclusion of entities into management resource groups
US20110061093A1 (en) * 2009-09-09 2011-03-10 Ohad Korkus Time dependent access permissions
US8578507B2 (en) 2009-09-09 2013-11-05 Varonis Systems, Inc. Access permissions entitlement review
IN2012DN03035A (ja) * 2009-09-09 2015-07-31 Varonis Systems Inc
US9742778B2 (en) 2009-09-09 2017-08-22 International Business Machines Corporation Differential security policies in email systems
US10229191B2 (en) 2009-09-09 2019-03-12 Varonis Systems Ltd. Enterprise level data management
US8640195B2 (en) * 2009-09-30 2014-01-28 International Business Machines Corporation Method and system for automating security policy definition based on recorded transactions
EP2485651B1 (en) 2009-10-08 2020-12-23 Hologic, Inc. Needle breast biopsy system
US8923293B2 (en) 2009-10-21 2014-12-30 Palo Alto Research Center Incorporated Adaptive multi-interface use for content networking
US20130042298A1 (en) * 2009-12-15 2013-02-14 Telefonica S.A. System and method for generating trust among data network users
US8448221B2 (en) * 2010-03-12 2013-05-21 Mcafee, Inc. System, method, and computer program product for displaying network events in terms of objects managed by a security appliance and/or a routing device
US10296596B2 (en) 2010-05-27 2019-05-21 Varonis Systems, Inc. Data tagging
EP2577444A4 (en) 2010-05-27 2014-04-02 Varonis Systems Inc DATA CLASSIFICATION
US8533787B2 (en) 2011-05-12 2013-09-10 Varonis Systems, Inc. Automatic resource ownership assignment system and method
US9870480B2 (en) * 2010-05-27 2018-01-16 Varonis Systems, Inc. Automatic removal of global user security groups
WO2011148375A1 (en) 2010-05-27 2011-12-01 Varonis Systems, Inc. Automation framework
US8959115B2 (en) * 2010-07-09 2015-02-17 Symantec Corporation Permission tracking systems and methods
US9147180B2 (en) 2010-08-24 2015-09-29 Varonis Systems, Inc. Data governance for email systems
CN101938497B (zh) * 2010-09-26 2013-01-30 深圳大学 多级保密文档组设置方法及其文件访问控制和密钥管理用户终端、服务终端、系统和方法
US9141808B1 (en) 2010-10-29 2015-09-22 Symantec Corporation Data loss prevention
WO2012071429A1 (en) 2010-11-26 2012-05-31 Hologic, Inc. User interface for medical image review workstation
CN103299268B (zh) * 2010-12-29 2016-12-28 凡诺尼斯系统有限公司 用于确定用户组对数据元素组的数据访问权限的方法及装置
US8739279B2 (en) * 2011-01-17 2014-05-27 International Business Machines Corporation Implementing automatic access control list validation using automatic categorization of unstructured text
US9680839B2 (en) 2011-01-27 2017-06-13 Varonis Systems, Inc. Access permissions management system and method
EP2668563A4 (en) 2011-01-27 2015-06-10 Varonis Systems Inc METHOD AND SYSTEM FOR MANAGING ACCESS AUTHORIZATIONS
US8909673B2 (en) 2011-01-27 2014-12-09 Varonis Systems, Inc. Access permissions management system and method
JP5740260B2 (ja) * 2011-02-02 2015-06-24 株式会社日立ソリューションズ セキュリティポリシー管理サーバ、セキュリティ監視システム
EP2684157B1 (en) 2011-03-08 2017-12-13 Hologic Inc. System and method for dual energy and/or contrast enhanced breast imaging for screening, diagnosis and biopsy
US8452819B1 (en) * 2011-03-22 2013-05-28 Amazon Technologies, Inc. Methods and apparatus for optimizing resource utilization in distributed storage systems
JP5708131B2 (ja) * 2011-03-29 2015-04-30 日本電気株式会社 アクセス制御システム、アクセス制御方法、認可装置およびそのプログラム、ならびに、サービス提供装置
US9208156B2 (en) * 2011-12-06 2015-12-08 Honeywell International Inc. Acquiring statistical access models
WO2013111124A1 (en) * 2012-01-24 2013-08-01 Varonis Systems, Inc. A method and apparatus for authentication of file read events
CN104135935A (zh) 2012-02-13 2014-11-05 霍罗吉克公司 用于利用合成图像数据导航层析堆的系统和方法
US9588835B2 (en) 2012-04-04 2017-03-07 Varonis Systems, Inc. Enterprise level data element review systems and methodologies
CN107657065B (zh) 2012-04-04 2021-05-25 瓦欧尼斯系统有限公司 包括计算机可读介质的系统和企业级数据元素检查的方法
US9286316B2 (en) 2012-04-04 2016-03-15 Varonis Systems, Inc. Enterprise level data collection systems and methodologies
US11151515B2 (en) 2012-07-31 2021-10-19 Varonis Systems, Inc. Email distribution list membership governance method and system
SG11201502307PA (en) 2012-09-26 2015-05-28 Toshiba Kk Policy update system and policy update apparatus
CN104685511B (zh) 2012-09-26 2017-10-24 株式会社东芝 策略管理系统、id提供者系统以及策略评价装置
US9124619B2 (en) 2012-12-08 2015-09-01 International Business Machines Corporation Directing audited data traffic to specific repositories
US10430839B2 (en) 2012-12-12 2019-10-01 Cisco Technology, Inc. Distributed advertisement insertion in content-centric networks
US10129607B2 (en) 2012-12-19 2018-11-13 Arris Enterprises Llc Using analytical models to inform policy decisions
JP6360495B2 (ja) 2013-01-10 2018-07-18 ホロジック, インコーポレイテッドHologic, Inc. トモシンセシスにおけるデータ伝送ボリュームを低減するための方法
WO2014151646A1 (en) 2013-03-15 2014-09-25 Hologic Inc. Tomosynthesis-guided biopsy in prone
US9264442B2 (en) * 2013-04-26 2016-02-16 Palo Alto Research Center Incorporated Detecting anomalies in work practice data by combining multiple domains of information
US9935791B2 (en) 2013-05-20 2018-04-03 Cisco Technology, Inc. Method and system for name resolution across heterogeneous architectures
CN105264520B (zh) 2013-06-04 2019-07-16 瓦欧尼斯系统有限公司 委送一机构的相似数据至一连结装置的方法
US9444722B2 (en) 2013-08-01 2016-09-13 Palo Alto Research Center Incorporated Method and apparatus for configuring routing paths in a custodian-based routing architecture
CN110870778B (zh) 2013-10-24 2024-03-12 豪洛捷公司 用于导航x射线引导的乳房活检的系统和方法
US9407549B2 (en) 2013-10-29 2016-08-02 Palo Alto Research Center Incorporated System and method for hash-based forwarding of packets with hierarchically structured variable-length identifiers
US9276840B2 (en) 2013-10-30 2016-03-01 Palo Alto Research Center Incorporated Interest messages with a payload for a named data network
US9401864B2 (en) 2013-10-31 2016-07-26 Palo Alto Research Center Incorporated Express header for packets with hierarchically structured variable-length identifiers
US10101801B2 (en) 2013-11-13 2018-10-16 Cisco Technology, Inc. Method and apparatus for prefetching content in a data stream
US10129365B2 (en) 2013-11-13 2018-11-13 Cisco Technology, Inc. Method and apparatus for pre-fetching remote content based on static and dynamic recommendations
US9311377B2 (en) 2013-11-13 2016-04-12 Palo Alto Research Center Incorporated Method and apparatus for performing server handoff in a name-based content distribution system
US10089655B2 (en) 2013-11-27 2018-10-02 Cisco Technology, Inc. Method and apparatus for scalable data broadcasting
US9298914B1 (en) * 2013-12-03 2016-03-29 Symantec Corporation Enterprise data access anomaly detection and flow tracking
US9503358B2 (en) 2013-12-05 2016-11-22 Palo Alto Research Center Incorporated Distance-based routing in an information-centric network
US9379979B2 (en) 2014-01-14 2016-06-28 Palo Alto Research Center Incorporated Method and apparatus for establishing a virtual interface for a set of mutual-listener devices
US10098051B2 (en) 2014-01-22 2018-10-09 Cisco Technology, Inc. Gateways and routing in software-defined manets
US10172068B2 (en) 2014-01-22 2019-01-01 Cisco Technology, Inc. Service-oriented routing in software-defined MANETs
US9374304B2 (en) 2014-01-24 2016-06-21 Palo Alto Research Center Incorporated End-to end route tracing over a named-data network
US9954678B2 (en) 2014-02-06 2018-04-24 Cisco Technology, Inc. Content-based transport security
ES2878599T3 (es) 2014-02-28 2021-11-19 Hologic Inc Sistema y método para generar y visualizar bloques de imagen de tomosíntesis
US9678998B2 (en) 2014-02-28 2017-06-13 Cisco Technology, Inc. Content name resolution for information centric networking
US10089651B2 (en) 2014-03-03 2018-10-02 Cisco Technology, Inc. Method and apparatus for streaming advertisements in a scalable data broadcasting system
US9836540B2 (en) 2014-03-04 2017-12-05 Cisco Technology, Inc. System and method for direct storage access in a content-centric network
US9473405B2 (en) 2014-03-10 2016-10-18 Palo Alto Research Center Incorporated Concurrent hashes and sub-hashes on data streams
US9391896B2 (en) 2014-03-10 2016-07-12 Palo Alto Research Center Incorporated System and method for packet forwarding using a conjunctive normal form strategy in a content-centric network
US9626413B2 (en) 2014-03-10 2017-04-18 Cisco Systems, Inc. System and method for ranking content popularity in a content-centric network
US9407432B2 (en) 2014-03-19 2016-08-02 Palo Alto Research Center Incorporated System and method for efficient and secure distribution of digital content
US9916601B2 (en) 2014-03-21 2018-03-13 Cisco Technology, Inc. Marketplace for presenting advertisements in a scalable data broadcasting system
US9363179B2 (en) 2014-03-26 2016-06-07 Palo Alto Research Center Incorporated Multi-publisher routing protocol for named data networks
US9363086B2 (en) 2014-03-31 2016-06-07 Palo Alto Research Center Incorporated Aggregate signing of data in content centric networking
US9716622B2 (en) 2014-04-01 2017-07-25 Cisco Technology, Inc. System and method for dynamic name configuration in content-centric networks
US9390289B2 (en) 2014-04-07 2016-07-12 Palo Alto Research Center Incorporated Secure collection synchronization using matched network names
US10075521B2 (en) 2014-04-07 2018-09-11 Cisco Technology, Inc. Collection synchronization using equality matched network names
US9473576B2 (en) 2014-04-07 2016-10-18 Palo Alto Research Center Incorporated Service discovery using collection synchronization with exact names
US9451032B2 (en) 2014-04-10 2016-09-20 Palo Alto Research Center Incorporated System and method for simple service discovery in content-centric networks
US9992281B2 (en) 2014-05-01 2018-06-05 Cisco Technology, Inc. Accountable content stores for information centric networks
US9609014B2 (en) 2014-05-22 2017-03-28 Cisco Systems, Inc. Method and apparatus for preventing insertion of malicious content at a named data network router
US9455835B2 (en) 2014-05-23 2016-09-27 Palo Alto Research Center Incorporated System and method for circular link resolution with hash-based names in content-centric networks
US10659523B1 (en) * 2014-05-23 2020-05-19 Amazon Technologies, Inc. Isolating compute clusters created for a customer
US9516144B2 (en) 2014-06-19 2016-12-06 Palo Alto Research Center Incorporated Cut-through forwarding of CCNx message fragments with IP encapsulation
US9537719B2 (en) 2014-06-19 2017-01-03 Palo Alto Research Center Incorporated Method and apparatus for deploying a minimal-cost CCN topology
CN104077371B (zh) * 2014-06-24 2019-03-29 用友优普信息技术有限公司 监测数据库异常数据的方法及系统
US9426113B2 (en) 2014-06-30 2016-08-23 Palo Alto Research Center Incorporated System and method for managing devices over a content centric network
US9699198B2 (en) 2014-07-07 2017-07-04 Cisco Technology, Inc. System and method for parallel secure content bootstrapping in content-centric networks
US9959156B2 (en) 2014-07-17 2018-05-01 Cisco Technology, Inc. Interest return control message
US9621354B2 (en) 2014-07-17 2017-04-11 Cisco Systems, Inc. Reconstructable content objects
US9729616B2 (en) 2014-07-18 2017-08-08 Cisco Technology, Inc. Reputation-based strategy for forwarding and responding to interests over a content centric network
US9590887B2 (en) 2014-07-18 2017-03-07 Cisco Systems, Inc. Method and system for keeping interest alive in a content centric network
US9535968B2 (en) 2014-07-21 2017-01-03 Palo Alto Research Center Incorporated System for distributing nameless objects using self-certifying names
US9621558B2 (en) * 2014-07-27 2017-04-11 Varonis Systems, Ltd. Granting collaboration permissions in a computerized system
RU2581559C2 (ru) 2014-08-01 2016-04-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ применения политик безопасности к накопителю в сети
US9516028B1 (en) 2014-08-06 2016-12-06 Amazon Technologies, Inc. Hierarchical policy-based shared resource access control
US9882964B2 (en) 2014-08-08 2018-01-30 Cisco Technology, Inc. Explicit strategy feedback in name-based forwarding
US9729662B2 (en) 2014-08-11 2017-08-08 Cisco Technology, Inc. Probabilistic lazy-forwarding technique without validation in a content centric network
US9503365B2 (en) 2014-08-11 2016-11-22 Palo Alto Research Center Incorporated Reputation-based instruction processing over an information centric network
US9391777B2 (en) 2014-08-15 2016-07-12 Palo Alto Research Center Incorporated System and method for performing key resolution over a content centric network
US9467492B2 (en) 2014-08-19 2016-10-11 Palo Alto Research Center Incorporated System and method for reconstructable all-in-one content stream
US9800637B2 (en) 2014-08-19 2017-10-24 Cisco Technology, Inc. System and method for all-in-one content stream in content-centric networks
US9497282B2 (en) 2014-08-27 2016-11-15 Palo Alto Research Center Incorporated Network coding for content-centric network
US10204013B2 (en) 2014-09-03 2019-02-12 Cisco Technology, Inc. System and method for maintaining a distributed and fault-tolerant state over an information centric network
US9553812B2 (en) 2014-09-09 2017-01-24 Palo Alto Research Center Incorporated Interest keep alives at intermediate routers in a CCN
CN104268481A (zh) * 2014-10-10 2015-01-07 中国联合网络通信集团有限公司 一种实现智能手机预警的方法及装置
US10069933B2 (en) 2014-10-23 2018-09-04 Cisco Technology, Inc. System and method for creating virtual interfaces based on network characteristics
US10665120B2 (en) * 2014-11-10 2020-05-26 AO Kaspersky Lab System and method for encouraging studying by controlling student's access to a device based on results of studying
US9590948B2 (en) 2014-12-15 2017-03-07 Cisco Systems, Inc. CCN routing using hardware-assisted hash tables
US9536059B2 (en) 2014-12-15 2017-01-03 Palo Alto Research Center Incorporated Method and system for verifying renamed content using manifests in a content centric network
US10237189B2 (en) 2014-12-16 2019-03-19 Cisco Technology, Inc. System and method for distance-based interest forwarding
US9846881B2 (en) 2014-12-19 2017-12-19 Palo Alto Research Center Incorporated Frugal user engagement help systems
US10003520B2 (en) 2014-12-22 2018-06-19 Cisco Technology, Inc. System and method for efficient name-based content routing using link-state information in information-centric networks
US9473475B2 (en) 2014-12-22 2016-10-18 Palo Alto Research Center Incorporated Low-cost authenticated signing delegation in content centric networking
US9660825B2 (en) 2014-12-24 2017-05-23 Cisco Technology, Inc. System and method for multi-source multicasting in content-centric networks
US9916457B2 (en) 2015-01-12 2018-03-13 Cisco Technology, Inc. Decoupled name security binding for CCN objects
US9946743B2 (en) 2015-01-12 2018-04-17 Cisco Technology, Inc. Order encoded manifests in a content centric network
US9954795B2 (en) 2015-01-12 2018-04-24 Cisco Technology, Inc. Resource allocation using CCN manifests
US9602596B2 (en) 2015-01-12 2017-03-21 Cisco Systems, Inc. Peer-to-peer sharing in a content centric network
US9832291B2 (en) 2015-01-12 2017-11-28 Cisco Technology, Inc. Auto-configurable transport stack
US9462006B2 (en) 2015-01-21 2016-10-04 Palo Alto Research Center Incorporated Network-layer application-specific trust model
US9552493B2 (en) 2015-02-03 2017-01-24 Palo Alto Research Center Incorporated Access control framework for information centric networking
US10333840B2 (en) 2015-02-06 2019-06-25 Cisco Technology, Inc. System and method for on-demand content exchange with adaptive naming in information-centric networks
US10412106B2 (en) * 2015-03-02 2019-09-10 Verizon Patent And Licensing Inc. Network threat detection and management system based on user behavior information
US10075401B2 (en) 2015-03-18 2018-09-11 Cisco Technology, Inc. Pending interest table behavior
US10437515B2 (en) * 2015-03-31 2019-10-08 Pure Storage, Inc. Selecting storage units in a dispersed storage network
US10116605B2 (en) 2015-06-22 2018-10-30 Cisco Technology, Inc. Transport stack name scheme and identity management
US10075402B2 (en) 2015-06-24 2018-09-11 Cisco Technology, Inc. Flexible command and control in content centric networks
US10701038B2 (en) 2015-07-27 2020-06-30 Cisco Technology, Inc. Content negotiation in a content centric network
US9986034B2 (en) 2015-08-03 2018-05-29 Cisco Technology, Inc. Transferring state in content centric network stacks
US10610144B2 (en) 2015-08-19 2020-04-07 Palo Alto Research Center Incorporated Interactive remote patient monitoring and condition management intervention system
US9832123B2 (en) 2015-09-11 2017-11-28 Cisco Technology, Inc. Network named fragments in a content centric network
US10355999B2 (en) 2015-09-23 2019-07-16 Cisco Technology, Inc. Flow control with network named fragments
US10313227B2 (en) 2015-09-24 2019-06-04 Cisco Technology, Inc. System and method for eliminating undetected interest looping in information-centric networks
US9977809B2 (en) 2015-09-24 2018-05-22 Cisco Technology, Inc. Information and data framework in a content centric network
US9705884B2 (en) 2015-09-25 2017-07-11 International Business Machines Corporation Intelligent access control
US20170091471A1 (en) * 2015-09-25 2017-03-30 Qualcomm Incorporated Clustering A Repository Based On User Behavioral Data
US10454820B2 (en) 2015-09-29 2019-10-22 Cisco Technology, Inc. System and method for stateless information-centric networking
US10263965B2 (en) 2015-10-16 2019-04-16 Cisco Technology, Inc. Encrypted CCNx
US9794238B2 (en) 2015-10-29 2017-10-17 Cisco Technology, Inc. System for key exchange in a content centric network
US10009446B2 (en) 2015-11-02 2018-06-26 Cisco Technology, Inc. Header compression for CCN messages using dictionary learning
US9807205B2 (en) 2015-11-02 2017-10-31 Cisco Technology, Inc. Header compression for CCN messages using dictionary
US10021222B2 (en) 2015-11-04 2018-07-10 Cisco Technology, Inc. Bit-aligned header compression for CCN messages using dictionary
US10097521B2 (en) 2015-11-20 2018-10-09 Cisco Technology, Inc. Transparent encryption in a content centric network
US9912776B2 (en) 2015-12-02 2018-03-06 Cisco Technology, Inc. Explicit content deletion commands in a content centric network
US10097346B2 (en) 2015-12-09 2018-10-09 Cisco Technology, Inc. Key catalogs in a content centric network
US10078062B2 (en) 2015-12-15 2018-09-18 Palo Alto Research Center Incorporated Device health estimation by combining contextual information with sensor data
US10257271B2 (en) 2016-01-11 2019-04-09 Cisco Technology, Inc. Chandra-Toueg consensus in a content centric network
US9949301B2 (en) 2016-01-20 2018-04-17 Palo Alto Research Center Incorporated Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks
US10305864B2 (en) 2016-01-25 2019-05-28 Cisco Technology, Inc. Method and system for interest encryption in a content centric network
US10043016B2 (en) 2016-02-29 2018-08-07 Cisco Technology, Inc. Method and system for name encryption agreement in a content centric network
US10003507B2 (en) 2016-03-04 2018-06-19 Cisco Technology, Inc. Transport session state protocol
US10038633B2 (en) 2016-03-04 2018-07-31 Cisco Technology, Inc. Protocol to query for historical network information in a content centric network
US10742596B2 (en) 2016-03-04 2020-08-11 Cisco Technology, Inc. Method and system for reducing a collision probability of hash-based names using a publisher identifier
US10051071B2 (en) 2016-03-04 2018-08-14 Cisco Technology, Inc. Method and system for collecting historical network information in a content centric network
US9832116B2 (en) 2016-03-14 2017-11-28 Cisco Technology, Inc. Adjusting entries in a forwarding information base in a content centric network
US10212196B2 (en) 2016-03-16 2019-02-19 Cisco Technology, Inc. Interface discovery and authentication in a name-based network
US11436656B2 (en) 2016-03-18 2022-09-06 Palo Alto Research Center Incorporated System and method for a real-time egocentric collaborative filter on large datasets
US10067948B2 (en) 2016-03-18 2018-09-04 Cisco Technology, Inc. Data deduping in content centric networking manifests
US10091330B2 (en) 2016-03-23 2018-10-02 Cisco Technology, Inc. Interest scheduling by an information and data framework in a content centric network
US10033639B2 (en) 2016-03-25 2018-07-24 Cisco Technology, Inc. System and method for routing packets in a content centric network using anonymous datagrams
US10320760B2 (en) 2016-04-01 2019-06-11 Cisco Technology, Inc. Method and system for mutating and caching content in a content centric network
US9930146B2 (en) 2016-04-04 2018-03-27 Cisco Technology, Inc. System and method for compressing content centric networking messages
US10425503B2 (en) 2016-04-07 2019-09-24 Cisco Technology, Inc. Shared pending interest table in a content centric network
US10027578B2 (en) 2016-04-11 2018-07-17 Cisco Technology, Inc. Method and system for routable prefix queries in a content centric network
WO2017187379A1 (en) * 2016-04-27 2017-11-02 Cymmetria, Inc. Supply chain cyber-deception
US10404450B2 (en) 2016-05-02 2019-09-03 Cisco Technology, Inc. Schematized access control in a content centric network
US10320675B2 (en) 2016-05-04 2019-06-11 Cisco Technology, Inc. System and method for routing packets in a stateless content centric network
US10547589B2 (en) 2016-05-09 2020-01-28 Cisco Technology, Inc. System for implementing a small computer systems interface protocol over a content centric network
US10084764B2 (en) 2016-05-13 2018-09-25 Cisco Technology, Inc. System for a secure encryption proxy in a content centric network
US10063414B2 (en) 2016-05-13 2018-08-28 Cisco Technology, Inc. Updating a transport stack in a content centric network
US10103989B2 (en) 2016-06-13 2018-10-16 Cisco Technology, Inc. Content object return messages in a content centric network
US10305865B2 (en) 2016-06-21 2019-05-28 Cisco Technology, Inc. Permutation-based content encryption with manifests in a content centric network
US10148572B2 (en) 2016-06-27 2018-12-04 Cisco Technology, Inc. Method and system for interest groups in a content centric network
US10009266B2 (en) 2016-07-05 2018-06-26 Cisco Technology, Inc. Method and system for reference counted pending interest tables in a content centric network
US9992097B2 (en) 2016-07-11 2018-06-05 Cisco Technology, Inc. System and method for piggybacking routing information in interests in a content centric network
US11706227B2 (en) 2016-07-20 2023-07-18 Varonis Systems Inc Systems and methods for processing access permission type-specific access permission requests in an enterprise
US10122624B2 (en) 2016-07-25 2018-11-06 Cisco Technology, Inc. System and method for ephemeral entries in a forwarding information base in a content centric network
US10069729B2 (en) 2016-08-08 2018-09-04 Cisco Technology, Inc. System and method for throttling traffic based on a forwarding information base in a content centric network
US10956412B2 (en) 2016-08-09 2021-03-23 Cisco Technology, Inc. Method and system for conjunctive normal form attribute matching in a content centric network
US10033642B2 (en) 2016-09-19 2018-07-24 Cisco Technology, Inc. System and method for making optimal routing decisions based on device-specific parameters in a content centric network
US10212248B2 (en) 2016-10-03 2019-02-19 Cisco Technology, Inc. Cache management on high availability routers in a content centric network
US10447805B2 (en) 2016-10-10 2019-10-15 Cisco Technology, Inc. Distributed consensus in a content centric network
US10135948B2 (en) 2016-10-31 2018-11-20 Cisco Technology, Inc. System and method for process migration in a content centric network
US10243851B2 (en) 2016-11-21 2019-03-26 Cisco Technology, Inc. System and method for forwarder connection information in a content centric network
US10841337B2 (en) 2016-11-28 2020-11-17 Secureworks Corp. Computer implemented system and method, and computer program product for reversibly remediating a security risk
US11017687B2 (en) 2017-01-31 2021-05-25 Ent. Services Development Corporation Lp Information technology user behavior monitoring rule generation
EP3586262B1 (en) * 2017-02-27 2022-04-20 Ivanti, Inc. Systems and methods for role-based computer security configurations
US11445993B2 (en) * 2017-03-30 2022-09-20 Hologic, Inc. System and method for targeted object enhancement to generate synthetic breast tissue images
US11455754B2 (en) 2017-03-30 2022-09-27 Hologic, Inc. System and method for synthesizing low-dimensional image data from high-dimensional image data using an object grid enhancement
WO2018183548A1 (en) * 2017-03-30 2018-10-04 Hologic, Inc. System and method for hierarchical multi-level feature image synthesis and representation
US11403483B2 (en) 2017-06-20 2022-08-02 Hologic, Inc. Dynamic self-learning medical image method and system
US10764299B2 (en) 2017-06-29 2020-09-01 Microsoft Technology Licensing, Llc Access control manager
US10735470B2 (en) 2017-11-06 2020-08-04 Secureworks Corp. Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics
US10594713B2 (en) 2017-11-10 2020-03-17 Secureworks Corp. Systems and methods for secure propagation of statistical models within threat intelligence communities
US10938845B2 (en) 2018-05-10 2021-03-02 International Business Machines Corporation Detection of user behavior deviation from defined user groups
US11003718B2 (en) 2018-06-12 2021-05-11 Secureworks Corp. Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity
US10785238B2 (en) 2018-06-12 2020-09-22 Secureworks Corp. Systems and methods for threat discovery across distinct organizations
US11593505B2 (en) * 2018-09-20 2023-02-28 Idera, Inc. Database access, monitoring, and control system and method for reacting to suspicious database activities
WO2020068767A1 (en) 2018-09-28 2020-04-02 Hologic, Inc. System and method for synthetic breast tissue image generation by high density element suppression
US11144395B2 (en) 2019-04-08 2021-10-12 International Business Machines Corporation Automatic data preservation for potentially compromised encoded data slices
US11310268B2 (en) 2019-05-06 2022-04-19 Secureworks Corp. Systems and methods using computer vision and machine learning for detection of malicious actions
US11418524B2 (en) 2019-05-07 2022-08-16 SecureworksCorp. Systems and methods of hierarchical behavior activity modeling and detection for systems-level security
US11115421B2 (en) * 2019-06-26 2021-09-07 Accenture Global Solutions Limited Security monitoring platform for managing access rights associated with cloud applications
US11883206B2 (en) 2019-07-29 2024-01-30 Hologic, Inc. Personalized breast imaging system
AU2020353680A1 (en) 2019-09-27 2022-02-17 Hologic, Inc. AI system for predicting reading time and reading complexity for reviewing 2D/3D breast images
US11381589B2 (en) 2019-10-11 2022-07-05 Secureworks Corp. Systems and methods for distributed extended common vulnerabilities and exposures data management
US11522877B2 (en) 2019-12-16 2022-12-06 Secureworks Corp. Systems and methods for identifying malicious actors or activities
US11481038B2 (en) 2020-03-27 2022-10-25 Hologic, Inc. Gesture recognition in controlling medical hardware or software
US11588834B2 (en) 2020-09-03 2023-02-21 Secureworks Corp. Systems and methods for identifying attack patterns or suspicious activity in client networks
US11528294B2 (en) 2021-02-18 2022-12-13 SecureworksCorp. Systems and methods for automated threat detection

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5465387A (en) * 1993-10-08 1995-11-07 At&T Corp. Adaptive fraud monitoring and control
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
US7068592B1 (en) * 2001-05-10 2006-06-27 Conexant, Inc. System and method for increasing payload capacity by clustering unloaded bins in a data transmission system
US7194445B2 (en) * 2002-09-20 2007-03-20 Lenovo (Singapore) Pte. Ltd. Adaptive problem determination and recovery in a computer system
JP4393762B2 (ja) * 2002-12-19 2010-01-06 株式会社日立製作所 データベース処理方法及び装置並びにその処理プログラム
US7403925B2 (en) * 2003-03-17 2008-07-22 Intel Corporation Entitlement security and control
US20040249847A1 (en) * 2003-06-04 2004-12-09 International Business Machines Corporation System and method for identifying coherent objects with applications to bioinformatics and E-commerce
US20050086529A1 (en) * 2003-10-21 2005-04-21 Yair Buchsbaum Detection of misuse or abuse of data by authorized access to database
US20050108206A1 (en) * 2003-11-14 2005-05-19 Microsoft Corporation System and method for object-oriented interaction with heterogeneous data stores
US8600920B2 (en) * 2003-11-28 2013-12-03 World Assets Consulting Ag, Llc Affinity propagation in adaptive network-based systems
US8078481B2 (en) * 2003-12-05 2011-12-13 John Steinbarth Benefits administration system and methods of use and doing business
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7421740B2 (en) * 2004-06-10 2008-09-02 Sap Ag Managing user authorizations for analytical reporting based on operational authorizations
CN1291569C (zh) 2004-09-24 2006-12-20 清华大学 一种附网存储设备中用户访问行为的异常检测方法
US20060184459A1 (en) * 2004-12-10 2006-08-17 International Business Machines Corporation Fuzzy bi-clusters on multi-feature data
US8245280B2 (en) * 2005-02-11 2012-08-14 Samsung Electronics Co., Ltd. System and method for user access control to content in a network
US7606801B2 (en) * 2005-06-07 2009-10-20 Varonis Inc. Automatic management of storage access control

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10320798B2 (en) 2013-02-20 2019-06-11 Varonis Systems, Inc. Systems and methodologies for controlling access to a file system

Also Published As

Publication number Publication date
US7555482B2 (en) 2009-06-30
WO2006131906A3 (en) 2009-05-22
GB2441458A (en) 2008-03-05
JP4988724B2 (ja) 2012-08-01
US7606801B2 (en) 2009-10-20
DE112006001378T5 (de) 2008-04-17
WO2006131906A2 (en) 2006-12-14
US20060277184A1 (en) 2006-12-07
US20070094265A1 (en) 2007-04-26
GB2441458B (en) 2010-02-10
JP2009500697A (ja) 2009-01-08
GB0723218D0 (en) 2008-01-09
JP2012108934A (ja) 2012-06-07

Similar Documents

Publication Publication Date Title
JP5108155B2 (ja) データ記憶アクセスの制御方法
US10691814B2 (en) Method and system for improving security and reliability in a networked application environment
US8516586B1 (en) Classification of unknown computer network traffic
US9083720B2 (en) Managing security objects
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
US20110314558A1 (en) Method and apparatus for context-aware authentication
US11372908B1 (en) Computer-implemented methods, systems comprising computer-readable media, and electronic devices for narrative-structured representation of and intervention into a network computing environment
JP2010512585A (ja) 資格取得によって引き起こされる脆弱性の調査及び緩和を行う方式
CN112003864B (zh) 一种基于全流量的网站安全检测系统和方法
US20220191250A1 (en) Computer-implemented methods, systems comprising computer-readable media, and electronic devices for autonomous cybersecurity within a network computing environment
CA2983458A1 (en) Cyber security system and method using intelligent agents
RU2481633C2 (ru) Система и способ автоматического расследования инцидентов безопасности
CN115085956A (zh) 入侵检测方法、装置、电子设备及存储介质
CN114745143A (zh) 一种访问控制策略自动生成方法及装置
Karlzén An Analysis of Security Information and Event Management Systems-The Use or SIEMs for Log Collection, Management and Analysis
Maroc et al. Towards security effectiveness evaluation for cloud services selection following a risk-driven approach
Singh et al. A clustering based intrusion detection system for storage area network
CN111859363A (zh) 用于识别应用未授权访问的方法、装置以及电子设备

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120227

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20120227

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A132

Effective date: 20120508

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120807

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120810

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20120816

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20120904

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121004

R150 Certificate of patent or registration of utility model

Ref document number: 5108155

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151012

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250