JP5654105B1 - Behavior analysis system, behavior analysis method, and behavior analysis program - Google Patents

Behavior analysis system, behavior analysis method, and behavior analysis program Download PDF

Info

Publication number
JP5654105B1
JP5654105B1 JP2013184154A JP2013184154A JP5654105B1 JP 5654105 B1 JP5654105 B1 JP 5654105B1 JP 2013184154 A JP2013184154 A JP 2013184154A JP 2013184154 A JP2013184154 A JP 2013184154A JP 5654105 B1 JP5654105 B1 JP 5654105B1
Authority
JP
Japan
Prior art keywords
behavior
model
action
message file
specific
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013184154A
Other languages
Japanese (ja)
Other versions
JP2015052842A (en
Inventor
守本 正宏
正宏 守本
秀樹 武田
秀樹 武田
和巳 蓮子
和巳 蓮子
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ubic Inc
Original Assignee
Ubic Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ubic Inc filed Critical Ubic Inc
Priority to JP2013184154A priority Critical patent/JP5654105B1/en
Priority to PCT/JP2014/057100 priority patent/WO2015033604A1/en
Priority to TW103128578A priority patent/TW201510747A/en
Application granted granted Critical
Publication of JP5654105B1 publication Critical patent/JP5654105B1/en
Publication of JP2015052842A publication Critical patent/JP2015052842A/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"

Abstract

【課題】 特定の行動が発生する可能性を自動で判断する。【解決手段】 本発明の行動解析システムは、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成部と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する判定部を備えることを特徴とする。【選択図】 図1PROBLEM TO BE SOLVED: To automatically determine the possibility of occurrence of a specific action. A behavior analysis system according to the present invention includes a model storage unit that stores a behavior generation model created based on a transmission / reception history of a message file on a network of an action subject who has performed a specific action, and a network on the subject's network. Based on the message file transmission / reception history, a profile creation unit that creates a profile of the subject, a score calculation unit that calculates a score indicating the suitability between the profile information and the behavior occurrence model, and a specification based on the score result A determination unit that automatically determines the possibility of occurrence of the action is provided. [Selection] Figure 1

Description

本発明は、行動解析システム、行動解析方法、および、行動解析プログラムに関し、特に、特定の行動が発生する可能性を自動で判定可能な行動解析システム、行動解析方法、および、行動解析プログラムに関する。   The present invention relates to a behavior analysis system, a behavior analysis method, and a behavior analysis program, and more particularly to a behavior analysis system, a behavior analysis method, and a behavior analysis program that can automatically determine the possibility that a specific behavior will occur.

近年、ネットワーク上のデータや電子的記録等を分析することにより、人間により行われる特定の行動を発見するための技術が提案されている。   In recent years, a technique for discovering a specific action performed by a human by analyzing data on a network, electronic records, and the like has been proposed.

例えば、特許文献1には、不正な行動を検出するシステムに関する技術が開示されている。この技術は、少なくとも一つの電気通信ネットワークを有するネットワーク層と、ネットワーク層を管理し、ネットワーク層中の電気通信のインスタンスを表すデータを含むサービス記録を発生するためのサービス制御層と、サービス制御層の種々の構成要素及び処理からサービス記録を受信し、冗長を除去し複数の記録をネットワーク事象記録へ統合することによってデータを減少するためのデータ管理層を備える電気通信システムと、データ管理層からネットワーク事象記録を受信して不正行為の可能性に対してネットワーク事象記録をテストし且つ推測された不正行為の発生を指示するアラームを発生するための検出層と、検出層によって発生されたアラームを受信し且つアラームを不正行為ケースに統合するための分析層と、分析層から不正行為ケースを受信しかつ詐偽ケースの幾つかに働くエキスパートシステム層を備える多層不正行為検出システムに関するものである。   For example, Patent Document 1 discloses a technique related to a system for detecting unauthorized behavior. The technology includes a network layer having at least one telecommunications network, a service control layer for managing the network layer and generating a service record including data representing an instance of telecommunications in the network layer, and a service control layer A telecommunications system comprising a data management layer for receiving service records from various components and processes, reducing data by removing redundancy and integrating multiple records into a network event record; and from the data management layer A detection layer for receiving a network event record to test the network event record for possible fraud and generating an alarm instructing the occurrence of an inferred fraud; and an alarm generated by the detection layer; Analysis layer for receiving and integrating alarms into fraud cases, and analysis layer Relates multilayer fraud detection system comprising an expert system layer acting to some receive al fraud case and fraud case.

しがしながら、特許文献1記載の技術では、ネットワーク上で実行される正規の行動に対する逸脱を判定し、不正な行動の検出を行っているため、正規の行動の設定が困難な事象における不正な行動の発見や、ネットワーク外で行われる特定の行動の発見が困難である。   However, in the technique described in Patent Document 1, since deviation from the normal behavior executed on the network is determined and illegal behavior is detected, illegality in an event where it is difficult to set the regular behavior. It is difficult to discover specific actions or specific actions that take place outside the network.

特表2001−516107号公報Special table 2001-516107 gazette

上記事情に鑑み、本発明は、行動発生モデルを作成し、この行動発生モデルを用いて、特定の行動が発生する可能性を自動で判断することを目的とするものである。   In view of the above circumstances, an object of the present invention is to create an action occurrence model and automatically determine the possibility of occurrence of a specific action using the action occurrence model.

本発明の行動解析システムは、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成部と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する判定部を備えることを特徴とする。   The behavior analysis system according to the present invention includes a model storage unit that stores a behavior generation model created based on a transmission / reception history of a message file on a network of an action subject that has performed a specific action, and a message file on the network of the subject. Based on the transmission / reception history, a profile creation unit that creates a profile of the subject, a score calculation unit that calculates a score indicating compatibility between the profile information and the behavior generation model, and a specific action occurs based on the score result It is characterized by including a determination unit that automatically determines the possibility to do.

上記行動主体が個人であり、上記行動発生モデルは、個人の性格パターンモデルとすることができる。   The behavior subject is an individual, and the behavior generation model may be an individual personality pattern model.

上記性格パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルに記載された文章の傾向に基づいて作成されることができる。   The personality pattern model can be created based on the content of the text described in the message file and / or the tendency of the text described in the message file.

上記行動主体が個人であり、上記行動発生モデルは、個人の行動パターンモデルとすることができる。   The behavior subject is an individual, and the behavior generation model may be an individual behavior pattern model.

上記行動パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されることができる。   The behavior pattern model can be created based on the content of the text described in the message file and / or the metadata of the message file.

上記行動主体が、複数の個人で構成されるコミュニティであり、上記行動発生モデルは、コミュニティのグループパターンモデルとすることができる。   The action subject is a community composed of a plurality of individuals, and the action generation model can be a group pattern model of a community.

上記グループパターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されることができる。   The group pattern model can be created based on the text content described in the message file and / or the metadata of the message file.

上記メッセージファイルのメタデータは、メッセージファイルの送受信時間情報および/または送受信対象情報を含むことができる。   The metadata of the message file may include transmission / reception time information and / or transmission / reception target information of the message file.

上記判定部は、スコアが所定の閾値を超えた場合、主体が特定の行動を行う可能性があると判定することができる。   The determination unit can determine that the subject may perform a specific action when the score exceeds a predetermined threshold.

本発明の行動解析システムは、さらに、スコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する警告部を備えることができる。   The behavior analysis system of the present invention may further include a warning unit that transmits a warning and a subject profile to the administrator when the score exceeds a predetermined threshold.

上記メッセージファイルは、電子メールおよび/またはインスタントメッセージとすることができる。   The message file may be an email and / or instant message.

本発明の行動解析方法は、特定の行動を解析するための行動解析方法であって、行動解析方法は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納ステップと、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成ステップと、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出ステップと、スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定ステップとを備えることを特徴とする。   The behavior analysis method of the present invention is a behavior analysis method for analyzing a specific behavior, and the behavior analysis method is created based on a message file transmission / reception history on a network of an action subject who has performed a specific behavior. A model storing step for storing the behavior generation model, a profile creation step for creating a profile of the subject based on the transmission / reception history of the message file on the network of the subject, and a score indicating compatibility between the profile information and the behavior generation model And a determination step of automatically determining the possibility of occurrence of a specific action based on the score.

本発明の行動解析プログラムは、特定の行動を解析するための行動解析プログラムであって、行動解析方法は、コンピュータに、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納機能と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成するプロファイル作成機能と、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出するスコア算出機能と、スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定機能とを実現させることを特徴とする。   The behavior analysis program of the present invention is a behavior analysis program for analyzing a specific behavior, and the behavior analysis method is based on a message file transmission / reception history on a network of an action subject who has performed a specific behavior on a computer. The model storage function for storing the action occurrence model created in the above, the profile creation function for creating the subject profile based on the transmission and reception history of the message file on the subject network, and the compatibility between the profile information and the action occurrence model It is characterized by realizing a score calculation function for calculating a score indicating the above and a determination function for automatically determining the possibility of occurrence of a specific action based on the score.

本発明の行動解析システム、行動解析方法、および、行動解析プログラムによれば、行動発生モデルを作成し、この行動発生モデルを用いることにより、特定の行動が発生する可能性を自動で判断することができる。   According to the behavior analysis system, behavior analysis method, and behavior analysis program of the present invention, a behavior occurrence model is created, and by using this behavior occurrence model, the possibility of occurrence of a specific behavior is automatically determined. Can do.

本発明の実施形態における行動解析システムの構成図Configuration diagram of a behavior analysis system in an embodiment of the present invention 本発明の実施形態における行動解析システムの処理フローを示したチャートThe chart which showed the processing flow of the action analysis system in the embodiment of the present invention 本発明の実施形態におけるプロファイル作成部の処理フローを示したチャートThe chart which showed the processing flow of the profile creation part in the embodiment of the present invention 本発明の実施形態におけるスコア算出部の処理フローを示したチャートThe chart which showed the processing flow of the score calculation part in embodiment of this invention 本発明の実施形態における判定部の処理フローを示したチャートThe chart which showed the processing flow of the judgment part in the embodiment of the present invention 本発明の実施形態における警告部の処理フローを示したチャートThe chart which showed the processing flow of the warning part in the embodiment of the present invention 本発明の実施形態におけるモデル格納部の処理フローを示したチャートThe chart which showed the processing flow of the model storage part in embodiment of this invention

本発明の実施形態における行動解析システムを、添付の図面を参照しながら詳細に説明する。   A behavior analysis system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.

図1に示すように、上記行動解析システム1は、モデル格納部11、プロファイル作成部12、スコア算出部13、判定部14および警告部15を備える。   As shown in FIG. 1, the behavior analysis system 1 includes a model storage unit 11, a profile creation unit 12, a score calculation unit 13, a determination unit 14, and a warning unit 15.

上記行動解析システム1は、コンピュータおよび/またはサーバで構成され、各種入力に基づきCPUがROMに記録されたプログラムを実行することで、各種機能部として動作する。   The behavior analysis system 1 includes a computer and / or a server, and operates as various functional units when the CPU executes a program recorded in the ROM based on various inputs.

上記モデル格納部11は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。   The model storage unit 11 stores an action occurrence model created based on a transmission / reception history of a message file on a network of an action subject who has performed a specific action.

上記行動主体とは、上記特定の行動を行った個人または複数の個人で構成されるコミュニティをいう。   The action subject means a community composed of an individual who has performed the specific action or a plurality of individuals.

上記ネットワークとは、上記行動主体が属する会社内のコンピュータ間、または、会社内のコンピュータと会社外のコンピュータやインターネットを接続した通信網をいう。   The network refers to a communication network between computers in the company to which the action subject belongs, or a computer in the company and a computer outside the company or the Internet.

上記メッセージファイルとは、例えば、電子メールやインスタントメッセージ等で送受信されるファイルをいう。   The message file refers to a file transmitted / received by e-mail, instant message, or the like.

上記送受信履歴とは、ファイルの本文およびメタデータに記録されている送受信したファイルの内容、送受信した時間、送受信対象等の情報をいう。   The transmission / reception history refers to information such as the content of a transmitted / received file recorded in the text and metadata of the file, the time of transmission / reception, the object of transmission / reception, and the like.

上記行動発生モデルは、メッセージファイルの送受信履歴から、特定の行動を起こす要素をモデル化したものとすることができる。行動発生モデルとは、例えば、性格パターンモデル、行動パターンモデル、グループパターンモデル等である。   The behavior generation model may be a model of an element that causes a specific behavior from a transmission / reception history of a message file. The behavior generation model is, for example, a personality pattern model, a behavior pattern model, a group pattern model, or the like.

上記プロファイル作成部12は、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイル情報を作成する。主体のプロファイル情報とは、例えば、性格パターンプロファイル、行動パターンプロファイル、グループパターンプロファイル等である。   The profile creation unit 12 creates the profile information of the subject based on the transmission / reception history of the message file on the subject's network. The profile information of the subject is, for example, a personality pattern profile, a behavior pattern profile, a group pattern profile, and the like.

上記主体とは、個人または複数の個人で構成されるコミュニティをいう。   The above-mentioned subject means a community composed of an individual or a plurality of individuals.

上記スコア算出部13は、プロファイル作成部12において作成されたプロファイル情報と、モデル格納部に格納された行動発生モデルとの適合性を示すスコアを算出する。例えば、プロファイル情報と行動発生モデルとが完全に一致する場合を100とし、全く一致しない場合を0として表すことができる。   The score calculation unit 13 calculates a score indicating the compatibility between the profile information created by the profile creation unit 12 and the behavior generation model stored in the model storage unit. For example, the case where the profile information and the behavior occurrence model completely match can be represented as 100, and the case where the profile information does not coincide can be represented as 0.

上記判定部14は、スコア算出部13において算出されたスコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。   The determination unit 14 automatically determines the possibility that a specific action occurs based on the score result calculated by the score calculation unit 13.

行動主体が個人である場合、上記行動発生モデルは、個人の性格パターンモデルとすることができる。   When the action subject is an individual, the behavior generation model can be an individual personality pattern model.

上記性格パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルに記載された文章の傾向に基づいて作成されるのが好ましい。具体的には、メッセージの書き方、テーマ等に基づいて作成されることができる。   The personality pattern model is preferably created based on the content of the text described in the message file and / or the tendency of the text described in the message file. Specifically, it can be created based on a message writing method, a theme, or the like.

行動主体が個人である場合、上記行動発生モデルは、個人の行動パターンモデルとすることができる。   When the action subject is an individual, the behavior generation model can be an individual behavior pattern model.

上記行動パターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されるのが好ましい。具体的には、メッセージのテーマ、送受信の時間、送受信対象の数、送受信対象等に基づいて作成することができる。   It is preferable that the behavior pattern model is created based on the content of text described in the message file and / or the metadata of the message file. Specifically, it can be created based on the message theme, transmission / reception time, number of transmission / reception targets, transmission / reception targets, and the like.

行動主体が複数の個人で構成されるコミュニティである場合、上記行動発生モデルは、コミュニティのグループパターンモデルとすることができる。   When the action subject is a community composed of a plurality of individuals, the behavior generation model may be a community group pattern model.

上記グループパターンモデルは、メッセージファイルに記載された文章の内容および/またはメッセージファイルのメタデータに基づいて作成されるのが好ましい。具体的には、コミュニティの発生時期、コミュニティが扱っている主題、コミュニティの活動時間帯、メッセージの送受信対象等に基づいて作成することができる。   The group pattern model is preferably created based on the content of text described in the message file and / or the metadata of the message file. Specifically, it can be created based on the time of occurrence of the community, the subject handled by the community, the activity time zone of the community, the message transmission / reception target, and the like.

上記メッセージファイルのメタデータは、メッセージファイルの送受信時間情報および/または送受信対象情報を含むことができる。   The metadata of the message file may include transmission / reception time information and / or transmission / reception target information of the message file.

上記判定部14は、スコアが所定の閾値を超えた場合、主体が特定の行動を行う可能性があると判定することができる。   The determination unit 14 can determine that the subject may perform a specific action when the score exceeds a predetermined threshold.

本発明の行動解析システム1は、さらに、スコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する警告部15を備えるのが好ましい。   The behavior analysis system 1 according to the present invention preferably further includes a warning unit 15 that transmits a warning and a subject profile to the administrator when the score exceeds a predetermined threshold.

上記警告部15は、特定の行動が発生する可能性があると判定されたプロファイル情報をモデル格納部11に送信し、学習させることも可能である。この場合、送信されたプロファイル情報は、行動発生モデルとして格納され、利用されることができる。   The warning unit 15 can also transmit to the model storage unit 11 and learn the profile information determined that there is a possibility that a specific action will occur. In this case, the transmitted profile information can be stored and used as a behavior generation model.

また、上記モデル格納部11は、過去の判定結果から、特定の行動が発生する可能性が高いプロファイル情報を行動発生モデルとして自動で格納することも可能である。さらに、モデル格納部11は、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納することも可能である。その際に、一つの特定の行動における送受信履歴から、複数の要素に関連する複数のモデルが作成されてもよい。   The model storage unit 11 can also automatically store profile information that is highly likely to generate a specific action as an action generation model from past determination results. Further, the model storage unit 11 can estimate a tendency of a specific action from a past action generation model and store it as a new action generation model. At that time, a plurality of models related to a plurality of elements may be created from the transmission / reception history of one specific action.

上記メッセージファイルは、例えば電子メールおよび/またはインスタントメッセージとすることができる。インスタントメッセージとは、専用のアプリケーションを用いて、ネットワーク内のコンピュータ間で送受信するメッセージのやり取り等をいう。   The message file may be e-mail and / or instant message, for example. Instant messaging refers to the exchange of messages sent and received between computers in a network using a dedicated application.

上記特定の行動は、正当な行為とすることができる。正当な行為とは、例えば、正規の手続きを踏まえた契約行為や、正規の手順を踏まえたネットワーク上の登録行為などの行為をいうが、これに限定されるものではなく、何らかの規定にのっとった行為も含むものとする。   The specific action can be a legitimate action. Legitimate actions include, for example, contract actions based on legitimate procedures, and network registration actions based on legitimate procedures. It also includes actions.

上記特定の行動は、不正な行為とすることができる。不正な行為とは、例えば、複数人でカルテルを結ぶ行為や、機密文書等のデータを流出させる行為などの行為をいうが、これに限定されるものではなく、何らかの規定に違反する行為も含むものとする。   The specific action can be an illegal act. Unauthorized acts include, for example, acts such as tying cartels with multiple people and actions that leak confidential document data, but are not limited to this, and include acts that violate any provisions. Shall be.

さらに、上述した本発明の行動解析システムによれば、例えば、所属する会社の上層部との接点が多い人物A、所属する会社の競合会社との接点が多い人物B、顧客との接点が多く、価格に関する情報を多く有する人物Cの3人がメッセージのやり取りを行っている場合などに、価格カルテルが発生する可能性が高いと判定することができる。   Furthermore, according to the behavior analysis system of the present invention described above, for example, the person A who has many contacts with the upper level of the company to which he belongs, the person B who has many contacts with the competitors of the company to which he belongs, and many contacts with the customer. It can be determined that there is a high possibility that a price cartel will occur when three people C, who have a lot of information regarding the price, exchange messages.

すなわち、価格カルテルにおいて、ある商品における競合XおよびY社の担当者たちが、コミュニケーションを取って、価格に関する情報収集を行い、価格調整のためのコンタクトを取り、調整に至り、その情報を関係者と共有している場合などに、価格カルテルが発生する可能性が高いと判定することができる。   In other words, in the price cartel, the people in charge of a competitor X and Y in a certain product communicate to collect information about the price, make contact for price adjustment, lead to the adjustment, and the information is It can be determined that there is a high possibility that a price cartel will be generated.

また、上述した本発明の行動解析システムによれば、例えば、所属する会社外の人物との接点が多い人物Dが、ある特定の文書(秘密管理された技術に関する文書等)を作成している場合に、情報漏洩が発生する可能性が高いと判定することができる。   Further, according to the behavior analysis system of the present invention described above, for example, a person D who has many contact points with a person outside the company to which he belongs belongs to create a specific document (such as a document related to secret management technology). In this case, it can be determined that there is a high possibility of information leakage.

続いて、本発明の実施形態に従う行動解析方法の一例について、図面を参照しながら説明する。   Next, an example of the behavior analysis method according to the embodiment of the present invention will be described with reference to the drawings.

図2に示すように、本発明の行動解析方法は、モデル格納ステップ(S110)と、プロファイル作成ステップ(S120)と、スコア算出ステップ(S130)と、判定ステップ(S140)とを備える。なお、図2では、本発明の行動解析方法が、さらに、警告ステップ(S150)を備える場合が示されている。   As shown in FIG. 2, the behavior analysis method of the present invention includes a model storage step (S110), a profile creation step (S120), a score calculation step (S130), and a determination step (S140). FIG. 2 shows a case where the behavior analysis method of the present invention further includes a warning step (S150).

モデル格納ステップ(S110)では、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。このステップは、上述したモデル格納部によって処理されることができる。   In the model storing step (S110), an action occurrence model created based on the transmission / reception history of the message file on the network of the action subject who performed the specific action is stored. This step can be processed by the model store described above.

プロファイル作成ステップ(S120)では、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成する。このステップは、上述したプロファイル作成部によって処理されることができる。   In the profile creation step (S120), a profile of the subject is created based on the transmission / reception history of the message file on the subject's network. This step can be processed by the profile creation unit described above.

スコア算出ステップ(S130)では、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出する。このステップは、上述したスコア算出部によって処理されることができる。   In the score calculation step (S130), a score indicating the compatibility between the profile information and the behavior generation model is calculated. This step can be processed by the score calculation unit described above.

判定ステップ(S140)では、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。このステップは、上述した判定部によって処理されることができる。   In the determination step (S140), the possibility that a specific action occurs is automatically determined based on the result of the score. This step can be processed by the determination unit described above.

警告ステップ(S150)では、スコア算出部によって算出されたスコアが所定の閾値を超えた場合、管理者に対し、警告および主体のプロファイルを送信する。この処理は、上述した警告部によって処理されることができる。   In the warning step (S150), when the score calculated by the score calculation unit exceeds a predetermined threshold, a warning and a profile of the subject are transmitted to the administrator. This process can be processed by the warning unit described above.

図3は、上記プロファイル作成ステップ(S120)における処理の一例を具体的に示したフローチャートである。図3に示すように、プロファイル作成ステップ(S120)では、まず、メッセージファイルから、本文およびメタデータを取得する(S121)。次に、取得した本文およびメタデータを、メッセージのアドレス毎に分別し(S122)、分別された本文、メタデータの書き方、テーマ等から性格パターンのプロファイルを作成する(S123)。   FIG. 3 is a flowchart specifically showing an example of processing in the profile creation step (S120). As shown in FIG. 3, in the profile creation step (S120), first, the text and metadata are acquired from the message file (S121). Next, the acquired text and metadata are classified for each message address (S122), and a personality pattern profile is created from the sorted text, metadata writing method, theme, and the like (S123).

また、メッセージのテーマ、送受信の時間、送受信対象の数、送受信対象等から行動パターンのプロファイルを作成することもできる(S124)。   Also, an action pattern profile can be created from the message theme, transmission / reception time, number of transmission / reception targets, transmission / reception targets, etc. (S124).

一方で、メッセージのアドレスグループを識別し、グループ毎に分別し(S125)、メッセージのアドレスグループ毎に、アドレスグループの属するコミュニティの発生時期、コミュニティが扱っている主題、コミュニティの活動時間帯、ミュニティからのメッセージの送受信対象等からコミュニティのプロファイルを作成することもできる(S126)。メッセージのアドレスグループの識別は、例えば、送受信の時間、送受信対象等から識別される。   On the other hand, the address group of the message is identified and classified for each group (S125). For each address group of the message, the generation time of the community to which the address group belongs, the subject handled by the community, the activity time zone of the community, the community It is also possible to create a community profile from the transmission / reception targets of messages from S (S126). The address group of the message is identified from, for example, transmission / reception time, transmission / reception target, and the like.

図4は、上記スコア算出ステップ(S130)における処理の一例を具体的に示したフローチャートである。図4に示すように、スコア算出ステップ(S130)は、性格パターンのプロファイルと、性格パターンモデルを取得し(S131)、それぞれの類似度を定量的に評価、スコアを算出する(S132)。   FIG. 4 is a flowchart specifically showing an example of processing in the score calculation step (S130). As shown in FIG. 4, the score calculation step (S130) acquires a personality pattern profile and a personality pattern model (S131), quantitatively evaluates the respective similarities, and calculates a score (S132).

また、スコア算出部13は、行動パターンのプロファイルと、行動パターンモデルを取得し(S133)、それぞれの類似度を定量的に評価、スコアを算出することもできる(S134)。   The score calculation unit 13 can also acquire a behavior pattern profile and a behavior pattern model (S133), quantitatively evaluate each similarity, and calculate a score (S134).

更に、スコア算出部13は、コミュニティのプロファイルと、グループパターンモデルを取得し(S135)、それぞれの類似度を定量的に評価、スコアを算出することもできる(S136)。   Further, the score calculation unit 13 can acquire a community profile and a group pattern model (S135), quantitatively evaluate each similarity, and calculate a score (S136).

図5は、上記判定ステップ(S140)における処理の一例を具体的に示したフローチャートである。図5に示すように、判定ステップ(S140)は、スコアが閾値を超過したかの判定をプロファイルごとに行い(S141)、スコアが所定の閾値を超えた場合、特定の行動を行う可能性があると判定し(S142)、スコアが閾値を超過しなかった場合は、処理を終了する。   FIG. 5 is a flowchart specifically showing an example of the process in the determination step (S140). As shown in FIG. 5, in the determination step (S140), it is determined for each profile whether the score exceeds a threshold value (S141), and if the score exceeds a predetermined threshold value, there is a possibility of performing a specific action. If it is determined that there is a score (S142) and the score does not exceed the threshold, the process is terminated.

図6は、上記警告ステップ(S150)における処理の一例を具体的に示したフローチャートである。図6に示すように、警告ステップ(S150)は、特定の行動が発生する可能性ありと判定されたかの判別を行い(S151)、判定された場合、システムの管理者に対し、警告および判定されたプロファイル情報を送信する(S152)。判定されなかった場合は、処理を終了する。   FIG. 6 is a flowchart specifically showing an example of processing in the warning step (S150). As shown in FIG. 6, in the warning step (S150), it is determined whether or not it is determined that a specific action may occur (S151). If it is determined, a warning is determined for the system administrator. The transmitted profile information is transmitted (S152). If not determined, the process is terminated.

図7は、上記モデル格納ステップ(S110)における処理の一例を具体的に示したフローチャートである。図7に示すように、モデル格納部11は、例えば、警告ステップ(S150)において、特定の行動が発生する可能性ありと判定されたかの判別を行い(S111)、判定された場合、警告部15からプロファイル情報を取得し(S112)、行動発生モデルとして格納する(S113)ことができる。判定されなかった場合は、処理を終了する。   FIG. 7 is a flowchart specifically showing an example of the process in the model storing step (S110). As shown in FIG. 7, for example, the model storage unit 11 determines whether or not it is determined that a specific action may occur in the warning step (S150) (S111). The profile information can be acquired from (S112) and stored as a behavior generation model (S113). If not determined, the process is terminated.

続いて、本発明の実施形態に従う行動解析プログラムの一例について説明する。   Next, an example of a behavior analysis program according to the embodiment of the present invention will be described.

本発明の行動解析プログラムは、特定の行動を解析するための行動解析プログラムであって、コンピュータに、モデル格納機能と、プロファイル作成機能と、スコア算出機能と、判定機能とを実現させることを特徴とする。   The behavior analysis program of the present invention is a behavior analysis program for analyzing a specific behavior, and causes a computer to realize a model storage function, a profile creation function, a score calculation function, and a determination function. And

モデル格納機能は、特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納する。この機能は、上述したモデル格納部によって実現されることができる。   The model storage function stores an action occurrence model created based on a transmission / reception history of a message file on a network of an action subject who has performed a specific action. This function can be realized by the model storage unit described above.

プロファイル作成機能と、主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、主体のプロファイルを作成する。この機能は、上述したプロファイル作成部によって実現されることができる。   A profile of the subject is created based on the profile creation function and the transmission / reception history of the message file on the subject's network. This function can be realized by the profile creation unit described above.

スコア算出機能は、プロファイル情報と行動発生モデルとの適合性を示すスコアを算出する。この機能は、上述したスコア算出部によって実現されることができ、詳細については上述した通りである。   The score calculation function calculates a score indicating the compatibility between the profile information and the behavior generation model. This function can be realized by the score calculation unit described above, and the details are as described above.

判定機能は、スコアの結果に基づいて、特定の行動が発生する可能性を自動で判定する。この機能は、上述した判定部によって実現されることができ、詳細については上述した通りである。   The determination function automatically determines the possibility that a specific action will occur based on the score result. This function can be realized by the determination unit described above, and the details are as described above.

以上、本発明の行動解析システム、行動解析方法、および、行動解析プログラムについて詳細に説明したが、本発明は、上記実施形態に限定されるものではなく、本発明の要旨を逸脱しない範囲において、各種の改良や変更を行ってもよい。   As described above, the behavior analysis system, the behavior analysis method, and the behavior analysis program of the present invention have been described in detail. Various improvements and changes may be made.

1 行動解析システム
11 モデル格納部
12 プロファイル作成部
13 スコア算出部
14 判定部
15 警告部 DESCRIPTION OF SYMBOLS 1 Action analysis system 11 Model storage part 12 Profile creation part 13 Score calculation part 14 Determination part 15 Warning part

Claims (15)

特定の行動を解析するための行動解析システムであって、
定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納部と、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイル情報を作成するプロファイル作成部と、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出部と、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定部と
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告部とを備え、
前記モデル格納部は、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析システム。 A behavior analysis system for analyzing a specific behavior,
A model storage unit that stores a behavioral generation model created based on the reception history of the message file on the network of actors performing the action specific,
A profile creation unit that creates profile information of the subject based on a transmission / reception history of the message file on the subject's network;
A score calculation unit for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination unit that automatically determines the possibility of occurrence of a specific action based on the score ;
A warning unit that transmits profile information that is determined to cause a specific action ,
The model storage unit stores the transmitted profile information as a behavior generation model, estimates a tendency of a specific behavior from a past behavior generation model, and stores it as a new behavior generation model . 前記行動主体が個人であり、
前記行動発生モデルは、前記個人の性格パターンモデルであり、
前記プロファイル作成部は、前記メッセージファイルから本文およびメタデータを取得し、当該取得した本文およびメタデータを当該メッセージファイルのアドレス毎に分別することによって、前記性格パターンモデルを前記行動発生モデルとして作成することを特徴とする請求項1に記載の行動解析システム。 The action subject is an individual,
The action generated model, Ri Oh by the individual's personality pattern model,
The profile creation unit creates the personality pattern model as the behavior occurrence model by obtaining a body and metadata from the message file and separating the obtained body and metadata for each address of the message file. The behavior analysis system according to claim 1. 前記性格パターンモデルは、前記メッセージファイルに記載された文章の内容および/または前記メッセージファイルに記載された文章の傾向に基づいて作成されることを特徴とする請求項2に記載の行動解析システム。   The behavior analysis system according to claim 2, wherein the personality pattern model is created based on a content of a sentence described in the message file and / or a tendency of a sentence described in the message file. 前記行動主体が個人であり、
前記行動発生モデルは、前記個人の行動パターンモデルであることを特徴とする請求項1に記載の行動解析システム。 The action subject is an individual,
The behavior analysis system according to claim 1, wherein the behavior generation model is a behavior pattern model of the individual. 前記行動パターンモデルは、前記メッセージファイルに記載された文章の内容および/または前記メッセージファイルのメタデータに基づいて作成されることを特徴とする請求項4に記載の行動解析システム。   5. The behavior analysis system according to claim 4, wherein the behavior pattern model is created based on text content and / or metadata of the message file described in the message file. 前記行動主体が、複数の個人で構成されるコミュニティであり、
前記行動発生モデルは、前記コミュニティのグループパターンモデルであり、
前記プロファイル作成部は、前記メッセージファイルのアドレスグループを識別し、当該メッセージファイルをアドレスグループ毎に分別することによって、当該アドレスグループ毎に、前記グループパターンモデルを前記行動発生モデルとして作成することを特徴とする請求項1に記載の行動解析システム。 The action subject is a community composed of a plurality of individuals,
The action generated model, Ri Oh by the community of the group pattern model,
The profile creation unit identifies an address group of the message file, and creates the group pattern model as the behavior generation model for each address group by identifying the message file for each address group. The behavior analysis system according to claim 1. 前記グループパターンモデルは、前記メッセージファイルに記載された文章の内容および/または前記メッセージファイルのメタデータに基づいて作成されることを特徴とする請求項6に記載の行動解析システム。   The behavior analysis system according to claim 6, wherein the group pattern model is created based on text content and / or metadata of the message file described in the message file. 前記メッセージファイルのメタデータは、前記メッセージファイルの送受信時間情報および/または送受信対象情報を含むことを特徴とする請求項5または7に記載の行動解析システム。   The behavior analysis system according to claim 5 or 7, wherein the metadata of the message file includes transmission / reception time information and / or transmission / reception target information of the message file. 前記判定部は、前記スコアが所定の閾値を超えた場合、前記主体が特定の行動を行う可能性があると判定することを特徴とする請求項1〜8のいずれか一項に記載の行動解析システム。   The behavior according to any one of claims 1 to 8, wherein the determination unit determines that the subject may perform a specific behavior when the score exceeds a predetermined threshold. Analysis system. 前記警告部は、前記スコアが所定の閾値を超えた場合、管理者に対し、警告および前記主体のプロファイル情報さらに送信することを特徴とする請求項1〜9のいずれか一項に記載の行動解析システム。 The warning unit, when the score exceeds a predetermined threshold value, to the administrator, to any one of claims 1 to 9, further transmitted to feature a benzalkonium profile information warnings and the metallic The behavior analysis system described. 前記モデル格納部は、過去の判定結果から、特定の行動が発生する可能性が高いプロファイル情報を前記行動発生モデルとして自動で格納することを特徴とする請求項1〜10のいずれか一項に記載の行動解析システム。The said model storage part stores automatically the profile information with high possibility that a specific action will generate | occur | produce as said action generation model from the past determination result, The Claim 1 characterized by the above-mentioned. The behavior analysis system described. 前記特定の行動は、正当な行為であることを特徴とする請求項1〜11のいずれか一項に記載の行動解析システム。   The behavior analysis system according to claim 1, wherein the specific behavior is a legitimate act. 前記特定の行動は、不正な行為であることを特徴とする請求項1〜11のいずれか一項に記載の行動解析システム。   The behavior analysis system according to claim 1, wherein the specific behavior is an illegal act. 特定の行動を解析するための行動解析方法であって、
定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納ステップと、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイルを作成するプロファイル作成ステップと、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出ステップと、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定ステップと
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告ステップと含み、
前記モデル格納ステップにおいては、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析方法。 A behavior analysis method for analyzing a specific behavior,
A model storage step of storing the action generation model created based on the reception history of the message file on the network of actors performing the action specific,
A profile creation step for creating a profile of the principal based on a transmission / reception history of the message file on the network of the principal;
A score calculating step for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination step of automatically determining the possibility of occurrence of a specific action based on the score ;
A warning step for transmitting profile information determined to have a specific action that may occur ,
In the model storing step, the transmitted profile information is stored as a behavior occurrence model, and a tendency that a specific behavior is performed from a past behavior occurrence model is estimated and stored as a new behavior occurrence model. Method. 特定の行動を解析するための行動解析プログラムであって、
ンピュータに、
特定の行動を行った行動主体のネットワーク上のメッセージファイルの送受信履歴に基づいて作成された行動発生モデルを格納するモデル格納機能と、
主体のネットワーク上のメッセージファイルの送受信履歴に基づいて、前記主体のプロファイルを作成するプロファイル作成機能と、
前記プロファイル情報と前記行動発生モデルとの適合性を示すスコアを算出するスコア算出機能と、
前記スコアに基づいて、特定の行動が発生する可能性を自動で判定する判定機能と
特定の行動が発生する可能性があると判定されたプロファイル情報を送信する警告機能とを実現させ
前記モデル格納機能は、前記送信されたプロファイル情報を行動発生モデルとして格納するとともに、過去の行動発生モデルより特定の行動が行われる傾向を推定して、新たな行動発生モデルとして格納する行動解析プログラム。 A behavior analysis program for analyzing a specific behavior,
On your computer,
A model storage function for storing an action occurrence model created based on a message file transmission / reception history on a network of an action subject who has performed a specific action;
A profile creation function for creating a profile of the principal based on a transmission / reception history of a message file on the network of the principal;
A score calculation function for calculating a score indicating compatibility between the profile information and the behavior occurrence model;
A determination function that automatically determines the possibility of occurrence of a specific action based on the score ;
A warning function that sends profile information that has been determined to cause a specific action ,
The model storage function stores the transmitted profile information as an action occurrence model, estimates a tendency of a specific action from a past action occurrence model, and stores it as a new action occurrence model .
JP2013184154A 2013-09-05 2013-09-05 Behavior analysis system, behavior analysis method, and behavior analysis program Active JP5654105B1 (en)

Priority Applications (3)

Application Number Priority Date Filing Date Title
JP2013184154A JP5654105B1 (en) 2013-09-05 2013-09-05 Behavior analysis system, behavior analysis method, and behavior analysis program
PCT/JP2014/057100 WO2015033604A1 (en) 2013-09-05 2014-03-17 Action analysis system, action analysis method, and action analysis program
TW103128578A TW201510747A (en) 2013-09-05 2014-08-20 Action analysis system, action analysis method, and action analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013184154A JP5654105B1 (en) 2013-09-05 2013-09-05 Behavior analysis system, behavior analysis method, and behavior analysis program

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2014234849A Division JP2015053082A (en) 2014-11-19 2014-11-19 Behavioral analysis system, behavioral analysis method, and behavioral analysis program

Publications (2)

Publication Number Publication Date
JP5654105B1 true JP5654105B1 (en) 2015-01-14
JP2015052842A JP2015052842A (en) 2015-03-19

Family

ID=52339865

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013184154A Active JP5654105B1 (en) 2013-09-05 2013-09-05 Behavior analysis system, behavior analysis method, and behavior analysis program

Country Status (3)

Country Link
JP (1) JP5654105B1 (en)
TW (1) TW201510747A (en)
WO (1) WO2015033604A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006293855A (en) * 2005-04-13 2006-10-26 Billboard:Kk Character determination device, server computer, character diagnostic method, and character diagnostic program
JP2010211679A (en) * 2009-03-12 2010-09-24 Hitachi Ltd Action prediction method and action prediction system
JP2011081431A (en) * 2009-10-02 2011-04-21 Sony Corp Behavior pattern analysis system, portable terminal, behavior pattern analysis method, and program
JP2011138422A (en) * 2009-12-29 2011-07-14 Nippon Telegr & Teleph Corp <Ntt> Device, method and program for detecting behavioral-pattern

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006293855A (en) * 2005-04-13 2006-10-26 Billboard:Kk Character determination device, server computer, character diagnostic method, and character diagnostic program
JP2010211679A (en) * 2009-03-12 2010-09-24 Hitachi Ltd Action prediction method and action prediction system
JP2011081431A (en) * 2009-10-02 2011-04-21 Sony Corp Behavior pattern analysis system, portable terminal, behavior pattern analysis method, and program
JP2011138422A (en) * 2009-12-29 2011-07-14 Nippon Telegr & Teleph Corp <Ntt> Device, method and program for detecting behavioral-pattern

Also Published As

Publication number Publication date
TW201510747A (en) 2015-03-16
WO2015033604A1 (en) 2015-03-12
JP2015052842A (en) 2015-03-19

Similar Documents

Publication Publication Date Title
Van Der Heijden et al. Cognitive triaging of phishing attacks
Varol et al. Online human-bot interactions: Detection, estimation, and characterization
RU2670030C2 (en) Methods and systems for determining non-standard user activity
CN104836781B (en) Distinguish the method and device for accessing user identity
Halevi et al. Spear-phishing in the wild: A real-world study of personality, phishing self-efficacy and vulnerability to spear-phishing attacks
US20190089711A1 (en) Anonymized persona identifier
US9838403B2 (en) System and method for identifying abusive account registration
US9336388B2 (en) Method and system for thwarting insider attacks through informational network analysis
US20190387005A1 (en) Identifying malicious network devices
RU2541123C1 (en) System and method of rating electronic messages to control spam
TW201931187A (en) URL attack detection method and apparatus, and electronic device
US11710195B2 (en) Detection and prevention of fraudulent activity on social media accounts
Chen et al. An anti-phishing system employing diffused information
US9426170B2 (en) Identifying target customers to stem the flow of negative campaign
US20090222917A1 (en) Detecting spam from metafeatures of an email message
Zilberman et al. Analyzing group communication for preventing data leakage via email
CN109155774A (en) System and method for detecting security threat
TW202046206A (en) Abnormal account detection method and device
US9860109B2 (en) Automatic alert generation
CN107409134A (en) Method card analysis
JP5654105B1 (en) Behavior analysis system, behavior analysis method, and behavior analysis program
Ali-Eldin A hybrid trust computing approach for IoT using social similarity and machine learning
TWI824261B (en) Abnormality determination system, abnormality determination method and information storage media
JP2015053082A (en) Behavioral analysis system, behavioral analysis method, and behavioral analysis program
JP6780326B2 (en) Information processing equipment and programs

Legal Events

Date Code Title Description
TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20141111

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20141119

R150 Certificate of patent or registration of utility model

Ref document number: 5654105

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: R3D04

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250