JP5654105B1 - Behavior analysis system, behavior analysis method, and behavior analysis program - Google Patents
Behavior analysis system, behavior analysis method, and behavior analysis program Download PDFInfo
- Publication number
- JP5654105B1 JP5654105B1 JP2013184154A JP2013184154A JP5654105B1 JP 5654105 B1 JP5654105 B1 JP 5654105B1 JP 2013184154 A JP2013184154 A JP 2013184154A JP 2013184154 A JP2013184154 A JP 2013184154A JP 5654105 B1 JP5654105 B1 JP 5654105B1
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- model
- action
- message file
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/04—Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"
Abstract
【課題】 特定の行動が発生する可能性を自動で判断する。【解決手段】 本発明の行動解析システムは、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成部と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する判定部を備えることを特徴とする。【選択図】 図1PROBLEM TO BE SOLVED: To automatically determine the possibility of occurrence of a specific action. A behavior analysis system according to the present invention includes a model storage unit that stores a behavior generation model created based on a transmission / reception history of a message file on a network of an action subject who has performed a specific action, and a network on the subject's network. Based on the message file transmission / reception history, a profile creation unit that creates a profile of the subject, a score calculation unit that calculates a score indicating the suitability between the profile information and the behavior occurrence model, and a specification based on the score result A determination unit that automatically determines the possibility of occurrence of the action is provided. [Selection] Figure 1
Description
本発明は、行動解析システム、行動解析方法、および、行動解析プログラムに関し、特に、特定の行動が発生する可能性を自動で判定可能な行動解析システム、行動解析方法、および、行動解析プログラムに関する。 The present invention relates to a behavior analysis system, a behavior analysis method, and a behavior analysis program, and more particularly to a behavior analysis system, a behavior analysis method, and a behavior analysis program that can automatically determine the possibility that a specific behavior will occur.
近年、ネットワーク上のデータや電子的記録等を分析することにより、人間により行われる特定の行動を発見するための技術が提案されている。 In recent years, a technique for discovering a specific action performed by a human by analyzing data on a network, electronic records, and the like has been proposed.
例えば、特許文献1には、不正な行動を検出するシステムに関する技術が開示されている。この技術は、少なくとも一つの電気通信ネットワークを有するネットワーク層と、ネットワーク層を管理し、ネットワーク層中の電気通信のインスタンスを表すデータを含むサービス記録を発生するためのサービス制御層と、サービス制御層の種々の構成要素及び処理からサービス記録を受信し、冗長を除去し複数の記録をネットワーク事象記録へ統合することによってデータを減少するためのデータ管理層を備える電気通信システムと、データ管理層からネットワーク事象記録を受信して不正行為の可能性に対してネットワーク事象記録をテストし且つ推測された不正行為の発生を指示するアラームを発生するための検出層と、検出層によって発生されたアラームを受信し且つアラームを不正行為ケースに統合するための分析層と、分析層から不正行為ケースを受信しかつ詐偽ケースの幾つかに働くエキスパートシステム層を備える多層不正行為検出システムに関するものである。 For example, Patent Document 1 discloses a technique related to a system for detecting unauthorized behavior. The technology includes a network layer having at least one telecommunications network, a service control layer for managing the network layer and generating a service record including data representing an instance of telecommunications in the network layer, and a service control layer A telecommunications system comprising a data management layer for receiving service records from various components and processes, reducing data by removing redundancy and integrating multiple records into a network event record; and from the data management layer A detection layer for receiving a network event record to test the network event record for possible fraud and generating an alarm instructing the occurrence of an inferred fraud; and an alarm generated by the detection layer; Analysis layer for receiving and integrating alarms into fraud cases, and analysis layer Relates multilayer fraud detection system comprising an expert system layer acting to some receive al fraud case and fraud case.
しがしながら、特許文献1記載の技術では、ネットワーク上で実行される正規の行動に対する逸脱を判定し、不正な行動の検出を行っているため、正規の行動の設定が困難な事象における不正な行動の発見や、ネットワーク外で行われる特定の行動の発見が困難である。 However, in the technique described in Patent Document 1, since deviation from the normal behavior executed on the network is determined and illegal behavior is detected, illegality in an event where it is difficult to set the regular behavior. It is difficult to discover specific actions or specific actions that take place outside the network.
上記事情に鑑み、本発明は、行動発生モデルを作成し、この行動発生モデルを用いて、特定の行動が発生する可能性を自動で判断することを目的とするものである。 In view of the above circumstances, an object of the present invention is to create an action occurrence model and automatically determine the possibility of occurrence of a specific action using the action occurrence model.
本発明の行動解析システムは、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成部と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する判定部を備えることを特徴とする。 The behavior analysis system according to the present invention includes a model storage unit that stores a behavior generation model created based on a transmission / reception history of a message file on a network of an action subject that has performed a specific action, and a message file on the network of the subject. Based on the transmission / reception history, a profile creation unit that creates a profile of the subject, a score calculation unit that calculates a score indicating compatibility between the profile information and the behavior generation model, and a specific action occurs based on the score result It is characterized by including a determination unit that automatically determines the possibility to do.
上記行動主体が個人であり、上記行動発生モデルは、個人の性格パターンモデルとすることができる。 The behavior subject is an individual, and the behavior generation model may be an individual personality pattern model.
上記性格パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルに記載された文章の傾向に基づいて作成されることができる。 The personality pattern model can be created based on the content of the text described in the message file and / or the tendency of the text described in the message file.
上記行動主体が個人であり、上記行動発生モデルは、個人の行動パターンモデルとすることができる。 The behavior subject is an individual, and the behavior generation model may be an individual behavior pattern model.
上記行動パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されることができる。 The behavior pattern model can be created based on the content of the text described in the message file and / or the metadata of the message file.
上記行動主体が、複数の個人で構成されるコミュニティであり、上記行動発生モデルは、コミュニティのグループパターンモデルとすることができる。 The action subject is a community composed of a plurality of individuals, and the action generation model can be a group pattern model of a community.
上記グループパターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されることができる。 The group pattern model can be created based on the text content described in the message file and / or the metadata of the message file.
上記メッセージファイルのメタデータは、メッセージファイルの送受信時間情報および/または送受信対象情報を含むことができる。 The metadata of the message file may include transmission / reception time information and / or transmission / reception target information of the message file.
上記判定部は、スコアが所定の閾値を超えた場合、主体が特定の行動を行う可能性があると判定することができる。 The determination unit can determine that the subject may perform a specific action when the score exceeds a predetermined threshold.
本発明の行動解析システムは、さらに、スコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する警告部を備えることができる。 The behavior analysis system of the present invention may further include a warning unit that transmits a warning and a subject profile to the administrator when the score exceeds a predetermined threshold.
上記メッセージファイルは、電子メールおよび/またはインスタントメッセージとすることができる。 The message file may be an email and / or instant message.
本発明の行動解析方法は、特定の行動を解析するための行動解析方法であって、行動解析方法は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納ステップと、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成ステップと、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出ステップと、スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定ステップとを備えることを特徴とする。 The behavior analysis method of the present invention is a behavior analysis method for analyzing a specific behavior, and the behavior analysis method is created based on a message file transmission / reception history on a network of an action subject who has performed a specific behavior. A model storing step for storing the behavior generation model, a profile creation step for creating a profile of the subject based on the transmission / reception history of the message file on the network of the subject, and a score indicating compatibility between the profile information and the behavior generation model And a determination step of automatically determining the possibility of occurrence of a specific action based on the score.
本発明の行動解析プログラムは、特定の行動を解析するための行動解析プログラムであって、行動解析方法は、コンピュータに、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納機能と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成機能と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出機能と、スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定機能とを実現させることを特徴とする。 The behavior analysis program of the present invention is a behavior analysis program for analyzing a specific behavior, and the behavior analysis method is based on a message file transmission / reception history on a network of an action subject who has performed a specific behavior on a computer. The model storage function for storing the action occurrence model created in the above, the profile creation function for creating the subject profile based on the transmission and reception history of the message file on the subject network, and the compatibility between the profile information and the action occurrence model It is characterized by realizing a score calculation function for calculating a score indicating the above and a determination function for automatically determining the possibility of occurrence of a specific action based on the score.
本発明の行動解析システム、行動解析方法、および、行動解析プログラムによれば、行動発生モデルを作成し、この行動発生モデルを用いることにより、特定の行動が発生する可能性を自動で判断することができる。 According to the behavior analysis system, behavior analysis method, and behavior analysis program of the present invention, a behavior occurrence model is created, and by using this behavior occurrence model, the possibility of occurrence of a specific behavior is automatically determined. Can do.
本発明の実施形態における行動解析システムを、添付の図面を参照しながら詳細に説明する。 A behavior analysis system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
図1に示すように、上記行動解析システム1は、モデル格納部11、プロファイル作成部12、スコア算出部13、判定部14および警告部15を備える。
As shown in FIG. 1, the behavior analysis system 1 includes a
上記行動解析システム1は、コンピュータおよび/またはサーバで構成され、各種入力に基づきCPUがROMに記録されたプログラムを実行することで、各種機能部として動作する。 The behavior analysis system 1 includes a computer and / or a server, and operates as various functional units when the CPU executes a program recorded in the ROM based on various inputs.
上記モデル格納部11は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。
The
上記行動主体とは、上記特定の行動を行った個人または複数の個人で構成されるコミュニティをいう。 The action subject means a community composed of an individual who has performed the specific action or a plurality of individuals.
上記ネットワークとは、上記行動主体が属する会社内のコンピュータ間、または、会社内のコンピュータと会社外のコンピュータやインターネットを接続した通信網をいう。 The network refers to a communication network between computers in the company to which the action subject belongs, or a computer in the company and a computer outside the company or the Internet.
上記メッセージファイルとは、例えば、電子メールやインスタントメッセージ等で送受信されるファイルをいう。 The message file refers to a file transmitted / received by e-mail, instant message, or the like.
上記送受信履歴とは、ファイルの本文およびメタデータに記録されている送受信したファイルの内容、送受信した時間、送受信対象等の情報をいう。 The transmission / reception history refers to information such as the content of a transmitted / received file recorded in the text and metadata of the file, the time of transmission / reception, the object of transmission / reception, and the like.
上記行動発生モデルは、メッセージファイルの送受信履歴から、特定の行動を起こす要素をモデル化したものとすることができる。行動発生モデルとは、例えば、性格パターンモデル、行動パターンモデル、グループパターンモデル等である。 The behavior generation model may be a model of an element that causes a specific behavior from a transmission / reception history of a message file. The behavior generation model is, for example, a personality pattern model, a behavior pattern model, a group pattern model, or the like.
上記プロファイル作成部12は、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイル情報を作成する。主体のプロファイル情報とは、例えば、性格パターンプロファイル、行動パターンプロファイル、グループパターンプロファイル等である。
The
上記主体とは、個人または複数の個人で構成されるコミュニティをいう。 The above-mentioned subject means a community composed of an individual or a plurality of individuals.
上記スコア算出部13は、プロファイル作成部12において作成されたプロファイル情報と、モデル格納部に格納された行動発生モデルとの適合性を示すスコアを算出する。例えば、プロファイル情報と行動発生モデルとが完全に一致する場合を100とし、全く一致しない場合を0として表すことができる。
The
上記判定部14は、スコア算出部13において算出されたスコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。
The
行動主体が個人である場合、上記行動発生モデルは、個人の性格パターンモデルとすることができる。 When the action subject is an individual, the behavior generation model can be an individual personality pattern model.
上記性格パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルに記載された文章の傾向に基づいて作成されるのが好ましい。具体的には、メッセージの書き方、テーマ等に基づいて作成されることができる。 The personality pattern model is preferably created based on the content of the text described in the message file and / or the tendency of the text described in the message file. Specifically, it can be created based on a message writing method, a theme, or the like.
行動主体が個人である場合、上記行動発生モデルは、個人の行動パターンモデルとすることができる。 When the action subject is an individual, the behavior generation model can be an individual behavior pattern model.
上記行動パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されるのが好ましい。具体的には、メッセージのテーマ、送受信の時間、送受信対象の数、送受信対象等に基づいて作成することができる。 It is preferable that the behavior pattern model is created based on the content of text described in the message file and / or the metadata of the message file. Specifically, it can be created based on the message theme, transmission / reception time, number of transmission / reception targets, transmission / reception targets, and the like.
行動主体が複数の個人で構成されるコミュニティである場合、上記行動発生モデルは、コミュニティのグループパターンモデルとすることができる。 When the action subject is a community composed of a plurality of individuals, the behavior generation model may be a community group pattern model.
上記グループパターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されるのが好ましい。具体的には、コミュニティの発生時期、コミュニティが扱っている主題、コミュニティの活動時間帯、メッセージの送受信対象等に基づいて作成することができる。 The group pattern model is preferably created based on the content of text described in the message file and / or the metadata of the message file. Specifically, it can be created based on the time of occurrence of the community, the subject handled by the community, the activity time zone of the community, the message transmission / reception target, and the like.
上記メッセージファイルのメタデータは、メッセージファイルの送受信時間情報および/または送受信対象情報を含むことができる。 The metadata of the message file may include transmission / reception time information and / or transmission / reception target information of the message file.
上記判定部14は、スコアが所定の閾値を超えた場合、主体が特定の行動を行う可能性があると判定することができる。
The
本発明の行動解析システム1は、さらに、スコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する警告部15を備えるのが好ましい。
The behavior analysis system 1 according to the present invention preferably further includes a
上記警告部15は、特定の行動が発生する可能性があると判定されたプロファイル情報をモデル格納部11に送信し、学習させることも可能である。この場合、送信されたプロファイル情報は、行動発生モデルとして格納され、利用されることができる。
The
また、上記モデル格納部11は、過去の判定結果から、特定の行動が発生する可能性が高いプロファイル情報を行動発生モデルとして自動で格納することも可能である。さらに、モデル格納部11は、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納することも可能である。その際に、一つの特定の行動における送受信履歴から、複数の要素に関連する複数のモデルが作成されてもよい。
The
上記メッセージファイルは、例えば電子メールおよび/またはインスタントメッセージとすることができる。インスタントメッセージとは、専用のアプリケーションを用いて、ネットワーク内のコンピュータ間で送受信するメッセージのやり取り等をいう。 The message file may be e-mail and / or instant message, for example. Instant messaging refers to the exchange of messages sent and received between computers in a network using a dedicated application.
上記特定の行動は、正当な行為とすることができる。正当な行為とは、例えば、正規の手続きを踏まえた契約行為や、正規の手順を踏まえたネットワーク上の登録行為などの行為をいうが、これに限定されるものではなく、何らかの規定にのっとった行為も含むものとする。 The specific action can be a legitimate action. Legitimate actions include, for example, contract actions based on legitimate procedures, and network registration actions based on legitimate procedures. It also includes actions.
上記特定の行動は、不正な行為とすることができる。不正な行為とは、例えば、複数人でカルテルを結ぶ行為や、機密文書等のデータを流出させる行為などの行為をいうが、これに限定されるものではなく、何らかの規定に違反する行為も含むものとする。 The specific action can be an illegal act. Unauthorized acts include, for example, acts such as tying cartels with multiple people and actions that leak confidential document data, but are not limited to this, and include acts that violate any provisions. Shall be.
さらに、上述した本発明の行動解析システムによれば、例えば、所属する会社の上層部との接点が多い人物A、所属する会社の競合会社との接点が多い人物B、顧客との接点が多く、価格に関する情報を多く有する人物Cの3人がメッセージのやり取りを行っている場合などに、価格カルテルが発生する可能性が高いと判定することができる。 Furthermore, according to the behavior analysis system of the present invention described above, for example, the person A who has many contacts with the upper level of the company to which he belongs, the person B who has many contacts with the competitors of the company to which he belongs, and many contacts with the customer. It can be determined that there is a high possibility that a price cartel will occur when three people C, who have a lot of information regarding the price, exchange messages.
すなわち、価格カルテルにおいて、ある商品における競合XおよびY社の担当者たちが、コミュニケーションを取って、価格に関する情報収集を行い、価格調整のためのコンタクトを取り、調整に至り、その情報を関係者と共有している場合などに、価格カルテルが発生する可能性が高いと判定することができる。 In other words, in the price cartel, the people in charge of a competitor X and Y in a certain product communicate to collect information about the price, make contact for price adjustment, lead to the adjustment, and the information is It can be determined that there is a high possibility that a price cartel will be generated.
また、上述した本発明の行動解析システムによれば、例えば、所属する会社外の人物との接点が多い人物Dが、ある特定の文書(秘密管理された技術に関する文書等)を作成している場合に、情報漏洩が発生する可能性が高いと判定することができる。 Further, according to the behavior analysis system of the present invention described above, for example, a person D who has many contact points with a person outside the company to which he belongs belongs to create a specific document (such as a document related to secret management technology). In this case, it can be determined that there is a high possibility of information leakage.
続いて、本発明の実施形態に従う行動解析方法の一例について、図面を参照しながら説明する。 Next, an example of the behavior analysis method according to the embodiment of the present invention will be described with reference to the drawings.
図2に示すように、本発明の行動解析方法は、モデル格納ステップ(S110)と、プロファイル作成ステップ(S120)と、スコア算出ステップ(S130)と、判定ステップ(S140)とを備える。なお、図2では、本発明の行動解析方法が、さらに、警告ステップ(S150)を備える場合が示されている。 As shown in FIG. 2, the behavior analysis method of the present invention includes a model storage step (S110), a profile creation step (S120), a score calculation step (S130), and a determination step (S140). FIG. 2 shows a case where the behavior analysis method of the present invention further includes a warning step (S150).
モデル格納ステップ(S110)では、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。このステップは、上述したモデル格納部によって処理されることができる。 In the model storing step (S110), an action occurrence model created based on the transmission / reception history of the message file on the network of the action subject who performed the specific action is stored. This step can be processed by the model store described above.
プロファイル作成ステップ(S120)では、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成する。このステップは、上述したプロファイル作成部によって処理されることができる。 In the profile creation step (S120), a profile of the subject is created based on the transmission / reception history of the message file on the subject's network. This step can be processed by the profile creation unit described above.
スコア算出ステップ(S130)では、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出する。このステップは、上述したスコア算出部によって処理されることができる。 In the score calculation step (S130), a score indicating the compatibility between the profile information and the behavior generation model is calculated. This step can be processed by the score calculation unit described above.
判定ステップ(S140)では、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。このステップは、上述した判定部によって処理されることができる。 In the determination step (S140), the possibility that a specific action occurs is automatically determined based on the result of the score. This step can be processed by the determination unit described above.
警告ステップ(S150)では、スコア算出部によって算出されたスコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する。この処理は、上述した警告部によって処理されることができる。 In the warning step (S150), when the score calculated by the score calculation unit exceeds a predetermined threshold, a warning and a profile of the subject are transmitted to the administrator. This process can be processed by the warning unit described above.
図3は、上記プロファイル作成ステップ(S120)における処理の一例を具体的に示したフローチャートである。図3に示すように、プロファイル作成ステップ(S120)では、まず、メッセージファイルから、本文およびメタデータを取得する(S121)。次に、取得した本文およびメタデータを、メッセージのアドレス毎に分別し(S122)、分別された本文、メタデータの書き方、テーマ等から性格パターンのプロファイルを作成する(S123)。 FIG. 3 is a flowchart specifically showing an example of processing in the profile creation step (S120). As shown in FIG. 3, in the profile creation step (S120), first, the text and metadata are acquired from the message file (S121). Next, the acquired text and metadata are classified for each message address (S122), and a personality pattern profile is created from the sorted text, metadata writing method, theme, and the like (S123).
また、メッセージのテーマ、送受信の時間、送受信対象の数、送受信対象等から行動パターンのプロファイルを作成することもできる(S124)。 Also, an action pattern profile can be created from the message theme, transmission / reception time, number of transmission / reception targets, transmission / reception targets, etc. (S124).
一方で、メッセージのアドレスグループを識別し、グループ毎に分別し(S125)、メッセージのアドレスグループ毎に、アドレスグループの属するコミュニティの発生時期、コミュニティが扱っている主題、コミュニティの活動時間帯、ミュニティからのメッセージの送受信対象等からコミュニティのプロファイルを作成することもできる(S126)。メッセージのアドレスグループの識別は、例えば、送受信の時間、送受信対象等から識別される。 On the other hand, the address group of the message is identified and classified for each group (S125). For each address group of the message, the generation time of the community to which the address group belongs, the subject handled by the community, the activity time zone of the community, the community It is also possible to create a community profile from the transmission / reception targets of messages from S (S126). The address group of the message is identified from, for example, transmission / reception time, transmission / reception target, and the like.
図4は、上記スコア算出ステップ(S130)における処理の一例を具体的に示したフローチャートである。図4に示すように、スコア算出ステップ(S130)は、性格パターンのプロファイルと、性格パターンモデルを取得し(S131)、それぞれの類似度を定量的に評価、スコアを算出する(S132)。 FIG. 4 is a flowchart specifically showing an example of processing in the score calculation step (S130). As shown in FIG. 4, the score calculation step (S130) acquires a personality pattern profile and a personality pattern model (S131), quantitatively evaluates the respective similarities, and calculates a score (S132).
また、スコア算出部13は、行動パターンのプロファイルと、行動パターンモデルを取得し(S133)、それぞれの類似度を定量的に評価、スコアを算出することもできる(S134)。
The
更に、スコア算出部13は、コミュニティのプロファイルと、グループパターンモデルを取得し(S135)、それぞれの類似度を定量的に評価、スコアを算出することもできる(S136)。
Further, the
図5は、上記判定ステップ(S140)における処理の一例を具体的に示したフローチャートである。図5に示すように、判定ステップ(S140)は、スコアが閾値を超過したかの判定をプロファイルごとに行い(S141)、スコアが所定の閾値を超えた場合、特定の行動を行う可能性があると判定し(S142)、スコアが閾値を超過しなかった場合は、処理を終了する。 FIG. 5 is a flowchart specifically showing an example of the process in the determination step (S140). As shown in FIG. 5, in the determination step (S140), it is determined for each profile whether the score exceeds a threshold value (S141), and if the score exceeds a predetermined threshold value, there is a possibility of performing a specific action. If it is determined that there is a score (S142) and the score does not exceed the threshold, the process is terminated.
図6は、上記警告ステップ(S150)における処理の一例を具体的に示したフローチャートである。図6に示すように、警告ステップ(S150)は、特定の行動が発生する可能性ありと判定されたかの判別を行い(S151)、判定された場合、システムの管理者に対し、警告および判定されたプロファイル情報を送信する(S152)。判定されなかった場合は、処理を終了する。 FIG. 6 is a flowchart specifically showing an example of processing in the warning step (S150). As shown in FIG. 6, in the warning step (S150), it is determined whether or not it is determined that a specific action may occur (S151). If it is determined, a warning is determined for the system administrator. The transmitted profile information is transmitted (S152). If not determined, the process is terminated.
図7は、上記モデル格納ステップ(S110)における処理の一例を具体的に示したフローチャートである。図7に示すように、モデル格納部11は、例えば、警告ステップ(S150)において、特定の行動が発生する可能性ありと判定されたかの判別を行い(S111)、判定された場合、警告部15からプロファイル情報を取得し(S112)、行動発生モデルとして格納する(S113)ことができる。判定されなかった場合は、処理を終了する。
FIG. 7 is a flowchart specifically showing an example of the process in the model storing step (S110). As shown in FIG. 7, for example, the
続いて、本発明の実施形態に従う行動解析プログラムの一例について説明する。 Next, an example of a behavior analysis program according to the embodiment of the present invention will be described.
本発明の行動解析プログラムは、特定の行動を解析するための行動解析プログラムであって、コンピュータに、モデル格納機能と、プロファイル作成機能と、スコア算出機能と、判定機能とを実現させることを特徴とする。 The behavior analysis program of the present invention is a behavior analysis program for analyzing a specific behavior, and causes a computer to realize a model storage function, a profile creation function, a score calculation function, and a determination function. And
モデル格納機能は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。この機能は、上述したモデル格納部によって実現されることができる。 The model storage function stores an action occurrence model created based on a transmission / reception history of a message file on a network of an action subject who has performed a specific action. This function can be realized by the model storage unit described above.
プロファイル作成機能と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成する。この機能は、上述したプロファイル作成部によって実現されることができる。 A profile of the subject is created based on the profile creation function and the transmission / reception history of the message file on the subject's network. This function can be realized by the profile creation unit described above.
スコア算出機能は、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出する。この機能は、上述したスコア算出部によって実現されることができ、詳細については上述した通りである。 The score calculation function calculates a score indicating the compatibility between the profile information and the behavior generation model. This function can be realized by the score calculation unit described above, and the details are as described above.
判定機能は、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。この機能は、上述した判定部によって実現されることができ、詳細については上述した通りである。 The determination function automatically determines the possibility that a specific action will occur based on the score result. This function can be realized by the determination unit described above, and the details are as described above.
以上、本発明の行動解析システム、行動解析方法、および、行動解析プログラムについて詳細に説明したが、本発明は、上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において、各種の改良や変更を行ってもよい。 As described above, the behavior analysis system, the behavior analysis method, and the behavior analysis program of the present invention have been described in detail. Various improvements and changes may be made.
1 行動解析システム
11 モデル格納部
12 プロファイル作成部
13 スコア算出部
14 判定部
15 警告部
DESCRIPTION OF SYMBOLS 1
Claims (15)
特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイル情報を作成するプロファイル作成部と、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定部と、
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告部とを備え、
前記モデル格納部は、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析システム。 A behavior analysis system for analyzing a specific behavior,
A model storage unit that stores a behavioral generation model created based on the reception history of the message file on the network of actors performing the action specific,
A profile creation unit that creates profile information of the subject based on a transmission / reception history of the message file on the subject's network;
A score calculation unit for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination unit that automatically determines the possibility of occurrence of a specific action based on the score ;
A warning unit that transmits profile information that is determined to cause a specific action ,
The model storage unit stores the transmitted profile information as a behavior generation model, estimates a tendency of a specific behavior from a past behavior generation model, and stores it as a new behavior generation model .
前記行動発生モデルは、前記個人の性格パターンモデルであり、
前記プロファイル作成部は、前記メッセージファイルから本文およびメタデータを取得し、当該取得した本文およびメタデータを当該メッセージファイルのアドレス毎に分別することによって、前記性格パターンモデルを前記行動発生モデルとして作成することを特徴とする請求項1に記載の行動解析システム。 The action subject is an individual,
The action generated model, Ri Oh by the individual's personality pattern model,
The profile creation unit creates the personality pattern model as the behavior occurrence model by obtaining a body and metadata from the message file and separating the obtained body and metadata for each address of the message file. The behavior analysis system according to claim 1.
前記行動発生モデルは、前記個人の行動パターンモデルであることを特徴とする請求項1に記載の行動解析システム。 The action subject is an individual,
The behavior analysis system according to claim 1, wherein the behavior generation model is a behavior pattern model of the individual.
前記行動発生モデルは、前記コミュニティのグループパターンモデルであり、
前記プロファイル作成部は、前記メッセージファイルのアドレスグループを識別し、当該メッセージファイルをアドレスグループ毎に分別することによって、当該アドレスグループ毎に、前記グループパターンモデルを前記行動発生モデルとして作成することを特徴とする請求項1に記載の行動解析システム。 The action subject is a community composed of a plurality of individuals,
The action generated model, Ri Oh by the community of the group pattern model,
The profile creation unit identifies an address group of the message file, and creates the group pattern model as the behavior generation model for each address group by identifying the message file for each address group. The behavior analysis system according to claim 1.
特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納ステップと、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイルを作成するプロファイル作成ステップと、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出ステップと、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定ステップと、
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告ステップとを含み、
前記モデル格納ステップにおいては、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析方法。 A behavior analysis method for analyzing a specific behavior,
A model storage step of storing the action generation model created based on the reception history of the message file on the network of actors performing the action specific,
A profile creation step for creating a profile of the principal based on a transmission / reception history of the message file on the network of the principal;
A score calculating step for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination step of automatically determining the possibility of occurrence of a specific action based on the score ;
A warning step for transmitting profile information determined to have a specific action that may occur ,
In the model storing step, the transmitted profile information is stored as a behavior occurrence model, and a tendency that a specific behavior is performed from a past behavior occurrence model is estimated and stored as a new behavior occurrence model. Method.
コンピュータに、
特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納機能と、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイルを作成するプロファイル作成機能と、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出機能と、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定機能と、
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告機能とを実現させ、
前記モデル格納機能は、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析プログラム。 A behavior analysis program for analyzing a specific behavior,
On your computer,
A model storage function for storing an action occurrence model created based on a message file transmission / reception history on a network of an action subject who has performed a specific action;
A profile creation function for creating a profile of the principal based on a transmission / reception history of a message file on the network of the principal;
A score calculation function for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination function that automatically determines the possibility of occurrence of a specific action based on the score ;
A warning function that sends profile information that has been determined to cause a specific action ,
The model storage function stores the transmitted profile information as an action occurrence model, estimates a tendency of a specific action from a past action occurrence model, and stores it as a new action occurrence model .
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013184154A JP5654105B1 (en) | 2013-09-05 | 2013-09-05 | Behavior analysis system, behavior analysis method, and behavior analysis program |
PCT/JP2014/057100 WO2015033604A1 (en) | 2013-09-05 | 2014-03-17 | Action analysis system, action analysis method, and action analysis program |
TW103128578A TW201510747A (en) | 2013-09-05 | 2014-08-20 | Action analysis system, action analysis method, and action analysis program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2013184154A JP5654105B1 (en) | 2013-09-05 | 2013-09-05 | Behavior analysis system, behavior analysis method, and behavior analysis program |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014234849A Division JP2015053082A (en) | 2014-11-19 | 2014-11-19 | Behavioral analysis system, behavioral analysis method, and behavioral analysis program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP5654105B1 true JP5654105B1 (en) | 2015-01-14 |
JP2015052842A JP2015052842A (en) | 2015-03-19 |
Family
ID=52339865
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2013184154A Active JP5654105B1 (en) | 2013-09-05 | 2013-09-05 | Behavior analysis system, behavior analysis method, and behavior analysis program |
Country Status (3)
Country | Link |
---|---|
JP (1) | JP5654105B1 (en) |
TW (1) | TW201510747A (en) |
WO (1) | WO2015033604A1 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006293855A (en) * | 2005-04-13 | 2006-10-26 | Billboard:Kk | Character determination device, server computer, character diagnostic method, and character diagnostic program |
JP2010211679A (en) * | 2009-03-12 | 2010-09-24 | Hitachi Ltd | Action prediction method and action prediction system |
JP2011081431A (en) * | 2009-10-02 | 2011-04-21 | Sony Corp | Behavior pattern analysis system, portable terminal, behavior pattern analysis method, and program |
JP2011138422A (en) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | Device, method and program for detecting behavioral-pattern |
-
2013
- 2013-09-05 JP JP2013184154A patent/JP5654105B1/en active Active
-
2014
- 2014-03-17 WO PCT/JP2014/057100 patent/WO2015033604A1/en active Application Filing
- 2014-08-20 TW TW103128578A patent/TW201510747A/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006293855A (en) * | 2005-04-13 | 2006-10-26 | Billboard:Kk | Character determination device, server computer, character diagnostic method, and character diagnostic program |
JP2010211679A (en) * | 2009-03-12 | 2010-09-24 | Hitachi Ltd | Action prediction method and action prediction system |
JP2011081431A (en) * | 2009-10-02 | 2011-04-21 | Sony Corp | Behavior pattern analysis system, portable terminal, behavior pattern analysis method, and program |
JP2011138422A (en) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | Device, method and program for detecting behavioral-pattern |
Also Published As
Publication number | Publication date |
---|---|
TW201510747A (en) | 2015-03-16 |
WO2015033604A1 (en) | 2015-03-12 |
JP2015052842A (en) | 2015-03-19 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Van Der Heijden et al. | Cognitive triaging of phishing attacks | |
Varol et al. | Online human-bot interactions: Detection, estimation, and characterization | |
RU2670030C2 (en) | Methods and systems for determining non-standard user activity | |
CN104836781B (en) | Distinguish the method and device for accessing user identity | |
Halevi et al. | Spear-phishing in the wild: A real-world study of personality, phishing self-efficacy and vulnerability to spear-phishing attacks | |
US20190089711A1 (en) | Anonymized persona identifier | |
US9838403B2 (en) | System and method for identifying abusive account registration | |
US9336388B2 (en) | Method and system for thwarting insider attacks through informational network analysis | |
US20190387005A1 (en) | Identifying malicious network devices | |
RU2541123C1 (en) | System and method of rating electronic messages to control spam | |
TW201931187A (en) | URL attack detection method and apparatus, and electronic device | |
US11710195B2 (en) | Detection and prevention of fraudulent activity on social media accounts | |
Chen et al. | An anti-phishing system employing diffused information | |
US9426170B2 (en) | Identifying target customers to stem the flow of negative campaign | |
US20090222917A1 (en) | Detecting spam from metafeatures of an email message | |
Zilberman et al. | Analyzing group communication for preventing data leakage via email | |
CN109155774A (en) | System and method for detecting security threat | |
TW202046206A (en) | Abnormal account detection method and device | |
US9860109B2 (en) | Automatic alert generation | |
CN107409134A (en) | Method card analysis | |
JP5654105B1 (en) | Behavior analysis system, behavior analysis method, and behavior analysis program | |
Ali-Eldin | A hybrid trust computing approach for IoT using social similarity and machine learning | |
TWI824261B (en) | Abnormality determination system, abnormality determination method and information storage media | |
JP2015053082A (en) | Behavioral analysis system, behavioral analysis method, and behavioral analysis program | |
JP6780326B2 (en) | Information processing equipment and programs |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20141111 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20141119 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5654105 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: R3D04 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |