JP5691539B2 - Information processing method, program, information processing apparatus, and information processing system - Google Patents
Information processing method, program, information processing apparatus, and information processing system Download PDFInfo
- Publication number
- JP5691539B2 JP5691539B2 JP2011007256A JP2011007256A JP5691539B2 JP 5691539 B2 JP5691539 B2 JP 5691539B2 JP 2011007256 A JP2011007256 A JP 2011007256A JP 2011007256 A JP2011007256 A JP 2011007256A JP 5691539 B2 JP5691539 B2 JP 5691539B2
- Authority
- JP
- Japan
- Prior art keywords
- threshold range
- information
- cpu
- input
- exceeded
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法、プログラム、情報処理装置、及び、情報処理システムに関する。 The present invention relates to an information processing method, a program, an information processing apparatus, and an information processing system for processing input information input to an information processing apparatus having a control unit.
行動パターンと予めデータベースに登録したパターンとを比較し、異常を検出する方法が開示されている(例えば、特許文献1乃至3参照)。
A method of comparing an action pattern with a pattern registered in advance in a database and detecting an abnormality is disclosed (for example, see
しかしながら、従来の技術では、単に予めデータベースに登録したパターンと行動パターンとを比較するに過ぎず、状況の変化に応じた異常の検出が出来ないという問題があった。 However, the conventional technique simply compares the pattern registered in the database in advance with the action pattern, and has a problem that it cannot detect an abnormality according to a change in the situation.
本発明は斯かる事情に鑑みてなされたものである。その目的は、危険性の増減に応じて適切に異常を検出することが可能な情報処理方法等を提供することにある。 The present invention has been made in view of such circumstances. An object of the present invention is to provide an information processing method and the like that can appropriately detect an abnormality according to an increase or decrease in risk.
本願に開示する情報処理方法は、制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、前記制御部により、危険性の増減情報を取得し、前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する。 The information processing method disclosed in the present application is an information processing method for processing input information input to an information processing apparatus having a control unit. The control unit acquires risk increase / decrease information, and the control unit acquires the risk increase / decrease information. Based on the risk increase / decrease information, the first threshold range stored in the storage unit or the second threshold range stored in the storage unit is corrected, and the control unit determines whether the value based on the input information exceeds the first threshold range. When the control unit determines that the first threshold range is exceeded, the control unit determines whether or not the number of times that the control exceeds the second threshold range or whether the time exceeds the second threshold range. When it is determined that the threshold value range is exceeded, abnormality information is output.
本願の一観点によれば、状態の変化に応じて適切に異常を検出することが可能となる。 According to one aspect of the present application, it is possible to appropriately detect an abnormality according to a change in state.
実施の形態1
以下実施の形態を、図面を参照して説明する。図1は情報処理システムの概要を示す模式図である。情報処理システムは中央装置(情報処理装置)1、端末装置2A〜2D(以下、場合により2で代表する)、管理装置3及び通知装置4等を含む。中央装置1は例えばサーバコンピュータまたはパーソナルコンピュータ等である。以下では中央装置1が一例として、サーバコンピュータ1であるものとして説明する。端末装置2A〜2Cは例えばパーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話機またはブックリーダ等である。本実施形態では端末装置2A〜2Cは一例としてパーソナルコンピュータであるものとする。以下では端末装置2A〜2Cをパーソナルコンピュータ2という。
Hereinafter, embodiments will be described with reference to the drawings. FIG. 1 is a schematic diagram showing an outline of an information processing system. The information processing system includes a central device (information processing device) 1,
端末装置2Dは端末装置2A〜2Cが設置された部屋またはビル等の施設入口に設けられる入退室管理装置である。端末装置2DはIC(integrated circuit)カード、磁気カード等を通じた認証、または、指紋、声紋、手の平の静脈等の生体情報を用いた認証を行う。認証に成功した場合、端末装置2Dはロックを解除し施設内への入室を許可する。端末装置2Dの一例として指紋認証装置を用いた例を挙げて説明する。以下では端末装置2Dを指紋認証装置2Dという。
The
管理装置3は例えばパーソナルコンピュータ、PDA(Personal Digital Assistance)、携帯電話機、サーバコンピュータまたはブックリーダ等である。本実施形態では管理装置3は一例としてパーソナルコンピュータであるものとする。以下では管理装置3を管理コンピュータ3という。通知装置4は例えば、コンピュータウィルス(以下、ウィルスという)の情報、ウィルスに対するワクチンの情報等を提供する企業のサーバコンピュータである。また通知装置4は、OS(operating system)またはブラウザの脆弱性に関する情報を提供する企業、または、脆弱性を克服するためのパッチを提供する企業のサーバコンピュータ等である。その他、通知装置4は各パーソナルコンピュータ2内のソフトウェアのインストール状況、デジタル証明書の有無、通信の暗号化状態、ハードウェアの実装状況に基づき、安全性に関する情報を提供する認証サーバコンピュータであっても良い。以下では、通信装置4をウィルス及びワクチンに関する情報を提供するセキュリティサーバ4として説明する。
The
サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2、指紋認証装置2D及びセキュリティサーバ4はインターネット、LAN(Local Area Network)または携帯電話網等の通信網Nを介して相互に接続されている。サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2、指紋認証装置2D及びセキュリティサーバ4はHTTP(HyperText Transfer Protocol)等により情報を送受信する。
The
サーバコンピュータ1はパーソナルコンピュータ2及び指紋認証装置2Dから送信される入力情報に基づく値を監視する。サーバコンピュータ1は入力情報に基づく値が第1閾範囲を越えるか否か判断する。サーバコンピュータ1は越えると判断した回数または時間が第2閾範囲を越える場合に、異常情報を管理コンピュータ3へ出力する。オペレータは、これにより、パーソナルコンピュータ2または指紋認証装置2Dを通じたユーザの異常行動を知ることが可能となる。
The
セキュリティサーバ4はウィルスが発生したことを示す情報またはワクチンが生成されたことを示す情報をサーバコンピュータ1へ送信する。サーバコンピュータ1はセキュリティサーバ4から、ウィルスが発生したことを示す情報またはワクチンが生成されたことを示す情報を受信することで、危険性の増減情報を取得する。サーバコンピュータ1は、ウィルスが発生したことを示す危険性の増加情報に基づき、危険性が増加すると判断した場合、第1閾範囲または第2閾範囲を小さく補正する。なお、第1閾範囲及び第2閾範囲の双方を小さくしても良い。本実施形態では双方を小さくする例を挙げて説明する。
The
一方、サーバコンピュータ1は、セキュリティサーバ4がワクチンが生成されたことを示す情報を受信した場合、危険性が減少したと判断し、第1閾範囲または第2閾範囲を大きく補正する。なお、第1閾範囲及び第2閾範囲の双方を大きくしても良い。本実施形態では双方を大きくする例を挙げて説明する。サーバコンピュータ1は補正後の第1閾範囲及び第2閾範囲を用いて、入力情報に基づく値から異常の有無を検出する。以下詳細を説明する。
On the other hand, when the
図2はパーソナルコンピュータ2のハードウェア群を示すブロック図である。パーソナルコンピュータ2は制御部としてのCPU(Central Processing Unit)21、RAM(Random Access Memory)22、入力部23、表示部24、記憶部25、及び通信部26等を含む。CPU21は、バス27を介してハードウェア各部と接続されている。CPU21は記憶部25に記憶された制御プログラム25Pに従いハードウェア各部を制御する。RAM22は例えばSRAM(Static RAM)、DRAM(Dynamic RAM)、フラッシュメモリ等である。RAM22は、記憶部としても機能し、CPU21による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
FIG. 2 is a block diagram showing a hardware group of the
入力部23はマウス、キーボード、またはタッチパネル等の入力デバイスであり、受け付けた操作情報をCPU21へ出力する。表示部24は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU21の指示に従い各種情報を表示する。RAM22は例えばSRAM、DRAM、フラッシュメモリ等である。通信部26は有線または無線LANカード等であり、通信網Nを介してサーバコンピュータ1等との間で情報の送受信を行う。記憶部25は例えば、ハードディスクまたは大容量フラッシュメモリ等であり、制御プログラム25Pを格納する。
The
図3は指紋認証装置2Dのハードウェア群を示すブロック図である。指紋認証装置2Dは制御部201、記憶部205、指紋入力部203、表示部204、通信部206及びロック部208等を含む。制御部201は例えばマイクロプロセッサであり、記憶部205に記憶した制御プログラム205Pに従い各ハードウェアを制御する。記憶部205は例えば、SRAM、DRAM、フラッシュメモリまたはハードディスク等である。記憶部205には、各ユーザの指紋データ及びユーザの識別情報(以下、ユーザIDという)を記憶した指紋データファイル2051が記憶されている。なお、指紋データファイル2051は通信部206を介して接続される他のコンピュータに保存しておいても良い。
FIG. 3 is a block diagram showing a hardware group of the
制御プログラム205Pは指紋認証を行うためのプログラム等である。指紋入力部203は指紋を読み取り、読み取った指紋データを制御部201へ出力する。制御部201は制御プログラム205Pに従い入力された指紋データが、指紋データファイル2051に記憶された指紋データと一致するか否かを判断する。表示部204は例えば有機ELディスプレイ、液晶ディスプレイ、またはLED(Light-Emitting Diode)等の発光素子であり、制御部201の指示に従い各種情報を表示する。制御部201は認証に成功した場合、ロック部208へロック解除信号を出力する。ロック部208は図示しないドアのロック及びロック解除を行う。
The
ロック部208は通常ドアをロックしており、制御部201からロック解除信号を受け付けた場合に、ロックを一定時間解除する。ロック部208は一定時間経過後、または、ドアが閉じられた際に、ドアをロックする。認証に成功した場合、制御部201は指紋データに対応するユーザIDを指紋データファイル2051から読み出す。制御部201は通信部206を介して認証を行ったユーザのユーザID及び認証成功情報を含む認証成功情報記憶命令をサーバコンピュータ1へ送信する。制御部201は認証に失敗した場合、認証失敗情報記憶命令を、通信部206を介してサーバコンピュータ1へ送信する。
The
図4は管理コンピュータ3のハードウェア群を示すブロック図である。管理コンピュータ3は制御部としてのCPU31、RAM32、入力部33、表示部34、記憶部35、通信部36、及び、時計部38等を含む。CPU31は、バス37を介してハードウェア各部と接続されている。CPU31は記憶部35に記憶した制御プログラム35Pに従いハードウェア各部を制御する。
FIG. 4 is a block diagram showing a hardware group of the
入力部33はマウス、キーボード、またはタッチパネル等の入力デバイスであり、受け付けた操作情報をCPU31へ出力する。表示部34は液晶ディスプレイまたは有機ELディスプレイ等であり、CPU31の指示に従い各種情報を表示する。RAM32は例えばSRAM、DRAM、フラッシュメモリ等である。RAM32は、CPU31による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。通信部36は有線または無線LANカード等であり、通信網Nを介してサーバコンピュータ1等との間で情報の送受信を行う。時計部38は日時をCPU31へ出力する。記憶部35は例えば、ハードディスクまたは大容量フラッシュメモリ等である。記憶部35内には、パーソナルコンピュータ2を使用するユーザの人事に関する情報を記憶した人事ファイル351が記憶されている。また記憶部35内には、パーソナルコンピュータ2、サーバコンピュータ1または指紋認証装置2Dのハードウェア及びソフトウェアの状態を示す環境情報を記憶した環境ファイル352が記憶されている。なお、人事ファイル351及び環境ファイル352の詳細は後述する。
The
図5はサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1は制御部としてCPU11、RAM12、入力部13、表示部14、記憶部15、時計部18及び通信部16等を含む。CPU11は、バス17を介してハードウェア各部と接続されている。CPU11は各ハードウェアを制御すると共に、記憶部15に格納されたアプリケーションプログラム15A及び制御プログラム15Pに従って、ソフトウェア機能を実行する。
FIG. 5 is a block diagram showing a hardware group of the
通信部16はファイアウォールとしての機能を果たすゲートウェイ等であり、パーソナルコンピュータ2、管理コンピュータ3、指紋認証装置2D及びセキュリティサーバ4等との間でHTTP等により情報を送受信する。入力部13はマウス及びキーボード、または、タッチパネル等の入力デバイスである。入力部13は、受け付けた操作情報をCPU11へ出力する。表示部14は液晶ディスプレイまたは有機EL(electroluminescence)ディスプレイ等であり、CPU11の指示に従い各種情報を表示する。時計部18は時間情報をCPU11へ出力する。RAM12は例えばSRAM、DRAM、フラッシュメモリ等である。RAM12は、記憶部としても機能し、CPU11による各種プログラムの実行時に発生する種々のデータを一時的に記憶する。
The
記憶部15は例えばハードディスクまたは大容量メモリ等である。記憶部15には上述した制御プログラム15P及びアプリケーションプログラム15Aが記憶されている。記憶部15にはさらに履歴データベース(以下、DBという)153、第1閾範囲ファイル151、第2閾範囲ファイル152、セキュリティポリシーテーブル154、分散テーブル155及び範囲テーブル156等が記憶されている。アプリケーションプログラム15Aは、例えば、CAD(Computer Aided Design)プログラム、文書作成用プログラム、表計算プログラム、メーラ、スケジューラ、画像編集プログラム等のプログラムである。サーバコンピュータ1のCPU11は通信部16を介してパーソナルコンピュータ2から入力情報を受け付ける。
The
CPU11は入力情報に従い、アプリケーションプログラム15Aを実行し、実行結果をパーソナルコンピュータ2へ送信する。CPU11はパーソナルコンピュータ2から送信された入力情報を履歴DB153に記憶する。
The
図6は履歴DB153のレコードレイアウトを示す説明図である。履歴DB153はユーザID別に日時に対応付けて入力情報を記憶している。履歴DB153は日時フィールド及び入力情報フィールドを含む。日時フィールドには、パーソナルコンピュータ2から入力情報が送信され、通信部16を介してサーバコンピュータ1へ入力情報が入力された際の日時を記憶している。CPU11は入力情報が入力された場合、時計部18から出力される日時を参照し、日時フィールドに記憶する。なお、日時は入力情報のデータパケットに付随する日時の情報を参照して記憶しても良い。
FIG. 6 is an explanatory diagram showing a record layout of the
入力情報フィールドには、入力された命令、命令に基づき処理したデータ量及び添付ファイル数が記憶される。例えば、命令フィールドには、日時に対応付けてパーソナルコンピュータ2または指紋認証装置2Dから送信された命令が記憶されている。指紋認証装置2Dは指紋認証に成功した場合、認証成功情報及びユーザIDを含む認証成功情報記憶命令をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は認証成功情報記憶命令を受信した場合、ユーザID及び日時に対応付けて当該命令を記憶する。なお、指紋認証装置2Dから認証失敗情報記憶命令が送信された場合、CPU11は履歴DB153に日時に対応付けて認証成功情報記憶命令を記憶する。
The input information field stores the input command, the amount of data processed based on the command, and the number of attached files. For example, the command field stores a command transmitted from the
パーソナルコンピュータ2を利用するユーザは入力部23からID及びパスワードを入力し、ログインする。CPU21はID及びパスワードと共にログイン要求をサーバコンピュータ1へ送信する。ー11はログイン要求を受け付けた場合、ユーザID及び日時に対応付けてログイン要求を入力情報として記憶する。なお、図6では説明を容易にするためにユーザID「001」のユーザの履歴のみを表示している。
A user who uses the
その他、入力された命令として、メーラの起動要求、メールの送信、メールの受信、アプリケーションプログラム15A(以下、アプリ15Aという)の起動等がある。アプリ操作としては、動画アプリにおける動画の再生命令、ファイル管理アプリを用いて、記憶部15に記憶したファイルを削除・コピー・貼り付けする際の命令である。その他、CADアプリにおいてデータを編集入力する際の操作命令、文書作成アプリにおいてファイルを保存する際の保存命令等である。以下、説明を容易にするために各種アプリ15Aに対する操作命令を包括してアプリ操作命令という。
Other input commands include a mailer activation request, email transmission, email reception, activation of an
処理データ量は、例えばメーラにより送受信する際のデータ量、記憶部15に記憶したデータをパーソナルコンピュータ2へダウンロードする際のデータ量等である。添付ファイル数は例えばメーラにより送受信する際の添付ファイル数である。図6の例では、10月21日10時10分20秒に、メール送信命令に従い、合計1.5MBの添付ファイル3つが送信されたことが記憶されている。なお、本実施形態においては説明を容易にするために、年の記載を省略している。
The processing data amount is, for example, a data amount when data is transmitted / received by a mailer, a data amount when data stored in the
CPU11は単位時間毎に入力情報に基づく値をユーザID別に計数する。この入力情報に基づく値はサーバコンピュータ1に入力された命令数、命令に基づき処理したデータ量または命令に基づき送受信した添付ファイル数である。命令数は例えば、認証成功情報記憶命令数、認証失敗情報記憶命令数、ログイン要求数、メーラ起動要求数、メール送受信数、アプリ操作命令数等である。単位時間は例えば10分、1時間、1日等である。本実施形態では単位時間を1時間であるものとして説明するがこれに限るものではない。
CPU11 counts the value based on input information for every user time for every user ID. The value based on the input information is the number of instructions input to the
CPU11は1時間の間に、計数したログイン要求数が異常に多い場合、不正の予兆であると判断する。またアプリ操作命令数が異常に多い場合または異常に少ない場合も、不正の予兆であると判断する。CPU11は単位時間当たりのデータ量の合計値を算出する。CPU11は単位時間当たりのデータ量の合計値が異常に多い場合、不正の予兆であると判断する。またCPU11は単位時間当たりの添付ファイル数を計数する。CPU11は単位時間当たりの添付ファイル数が異常に多い場合も不正の予兆であると判断する。以下では、説明を容易にするために、CPU11は単位時間当たりのアプリ操作命令数を入力情報に基づく値の一例であるものとして説明する。
If the number of login requests counted is excessively large during one hour, the
図7はセキュリティポリシーテーブル154のレコードレイアウトを示す説明図である。セキュリティポリシーテーブル154には、過去の事件状況、対象の機密性、及び対象の強度等に応じて変化する点数が記憶されている。過去の事件状況(図7中a)の種類としては、例えば、サーバコンピュータ1に関し、重大な事件が発生(図7中a3)、軽微な事件が発生(図7中a2)、事件未発生(図7中a1)という3つに分類される。重大な事件が発生した場合、最も高い点数が付与される。軽微な事件が発生した場合、最も高い点数に対し次に高い点数が付与される。事件が未発生の場合、最も低い点数が付与される。
FIG. 7 is an explanatory diagram showing a record layout of the security policy table 154. The security policy table 154 stores points that change according to past incident situations, target confidentiality, target strength, and the like. As the types of past incident situations (a in FIG. 7), for example, for the
対象の機密性(図7中b)の種類としては、例えば、サーバコンピュータ1に関し、関係社外の秘密情報を取り扱う(図7中b3)、社外秘の情報を取り扱う(図7中b2)、機密性なし(図7中b1)という3つに分類される。関係社外の秘密情報を取り扱う場合、最も高い点数が付与される。社外秘の情報を取り扱う場合、次いで高い点数が付与される。機密性が必要とされない場合、最も低い点数が付与される。 The types of confidentiality (b in FIG. 7) of the target include confidential information related to the server computer 1 (b3 in FIG. 7), confidential information (b2 in FIG. 7), and confidentiality. There are three types, none (b1 in FIG. 7). The highest score is given when handling confidential information outside the company concerned. When handling confidential information, the next highest score is given. If confidentiality is not required, the lowest score is awarded.
対策の強度(図7中c)の種類としては、例えば、サーバコンピュータ1に関し、何ら対策を施していない(図7中c3)、ルールを設けている(図7中c2)、情報処理技術により制限をかけている(図7中c1)という3つに分類される。ルールを設けているとは例えば、パーソナルコンピュータ2は許可を受けた正社員しか操作できない等である。情報処理技術により制限をかけているとは、例えばパーソナルコンピュータ2のログインの際に生体認証を要求する、パーソナルコンピュータ2とサーバコンピュータ1との間で送受信されるデータを暗号化している等である。
As the type of countermeasure strength (c in FIG. 7), for example, no countermeasures are taken (c3 in FIG. 7) and rules are provided (c2 in FIG. 7) for the
何ら対策を施していない場合、最も高い点数が付与される。ルールを設けている場合次いで高い点数が付与される。情報処理技術により制限をかけている場合、最も低い点数が付与される。図7の例ではa3、b3、c3を点数「3」、a2、b2、c2を点数「2」、a1、b1、c1を点数「1」としている。過去の事件状況、対象の機密性及び対象の強度の種類は、入力部13から入力すればよい。その他、管理コンピュータ3の入力部33からオペレータが入力し、通信部36を介してサーバコンピュータ1へ送信しても良い。サーバコンピュータ1のCPU11は過去の事件状況、対象の機密性及び対象の強度の種類を受け付けた場合、セキュリティポリシーテーブル154を参照し、点数を抽出する。
If no measures are taken, the highest score is awarded. If a rule is provided, the next highest score is awarded. When the information processing technology is limiting, the lowest score is given. In the example of FIG. 7, a3, b3, and c3 are assigned a score of “3”, a2, b2, and c2 are assigned a score of “2”, and a1, b1, and c1 are assigned a score of “1”. The past incident status, the confidentiality of the target, and the type of the target strength may be input from the
例えば、種類として、重大な事件が発生(図7中a3)、社外秘の情報を取り扱う(図7中b2)及び情報処理技術により制限をかけている(図7中c1)を受け付けた場合、点数は「6」となる。CPU11はこれらセキュリティポリシーに関する点数に基づき、第1閾範囲及び第2閾範囲を決定する。本実施形態では点数が高いほど第1閾範囲及び第2閾範囲を小さくする。なお、セキュリティポリシーに関する点数に基づき、第1閾範囲または第2閾範囲のいずれかのみ決定しても良い。また、本実施形態ではセキュリティポリシーテーブル154を用いて点数を抽出する例を挙げたがこれに限るものではない。例えばオペレータが入力部13または管理コンピュータ3の入力部33からセキュリティポリシーに応じて点数を手入力しても良い。
For example, when a serious incident occurs (a3 in FIG. 7), confidential information is handled (b2 in FIG. 7), and a restriction is imposed by information processing technology (c1 in FIG. 7), the score is Becomes “6”. CPU11 determines the 1st threshold range and the 2nd threshold range based on the score regarding these security policies. In the present embodiment, the higher the score, the smaller the first threshold range and the second threshold range. Note that only one of the first threshold range and the second threshold range may be determined based on the score regarding the security policy. In the present embodiment, an example in which the score is extracted using the security policy table 154 has been described, but the present invention is not limited to this. For example, the operator may manually input points according to the security policy from the
セキュリティポリシーを高く、安全性の面で厳密に運用する場合、高い点数を入力すればよい。セキュリティポリシーを低く、安全性の面でルーズに運用する場合、低い点数を入力すればよい。CPU11は入力部13から入力された点数、または、管理コンピュータ3の入力部33を通じて入力された点数を受け付け、記憶部15に記憶する。
If the security policy is high and strictly operated in terms of safety, a high score may be input. If the security policy is low and it is used loosely in terms of safety, a low score should be entered. The
図8は分散テーブル155のレコードレイアウトを示す説明図である。分散テーブル155は分散に対応付けて点数を記憶している。分散フィールドには、単位時間当たりのアプリ操作命令数に係る分散の大小を記憶している。具体的には、分散フィールドには算出される分散の値の範囲に応じて、大、中、小と分類されている。分散の値が大きくばらつきが多い場合、大となる。一方、分散の値が小さくばらつきが小さい場合、小となる。なお、本実施形態では大、中、小の3つに分類したが、複数以上であればこの形態に限るものではない。また、本実施形態では一例として分散を用いる例を挙げたが、分散の平方根である標準偏差を用いても良い。点数フィールドには分散の大小に対応付けて点数が記憶されている。なお、分散テーブル155の記憶内容は、オペレータが入力部13または管理コンピュータ3の入力部33を通じて変更しても良い。
FIG. 8 is an explanatory diagram showing a record layout of the distribution table 155. The distribution table 155 stores points in association with the distribution. The distribution field stores the size of distribution related to the number of application operation commands per unit time. Specifically, the dispersion field is classified as large, medium, and small according to the range of the calculated dispersion value. When the variance value is large and there are many variations, it becomes large. On the other hand, when the dispersion value is small and the variation is small, the value is small. In the present embodiment, the classification is classified into three, large, medium, and small. In this embodiment, an example using variance is given as an example, but a standard deviation that is a square root of variance may be used. In the score field, a score is stored in association with the size of the variance. The stored contents of the distribution table 155 may be changed by the operator through the
図9は範囲テーブル156のレコードレイアウトを示す説明図である。範囲テーブル156には点数に対応付けて第1閾範囲の上限の係数、第1閾範囲の下限の係数及び第2閾範囲の係数が記憶されている。点数フィールドには、第1閾範囲及び第2閾範囲を決定するための点数が記憶されている。第1閾範囲上限フィールドには、点数に対応付けて、係数が記憶されている。第1閾範囲上限フィールドには点数が増加するにつれて、つまり安全性の要求が高くなるにつれて範囲を小さくする係数が記憶されている。例えば、午後2時台における単位時間当たりのアプリ操作命令数の全ユーザの平均値を、「10」とする。点数が「9」と高度の安全性が要求される場合、「10」に係数「1.3」を乗じて第1閾範囲の上限は「13」となる。一方、点数が「3」と高度の安全性が要求されていない場合、「10」に係数「2.5」が乗じられ、第1閾範囲の上限は「25」となる。 FIG. 9 is an explanatory diagram showing a record layout of the range table 156. The range table 156 stores the upper limit coefficient of the first threshold range, the lower limit coefficient of the first threshold range, and the second threshold range coefficient in association with the score. In the score field, points for determining the first threshold range and the second threshold range are stored. In the first threshold range upper limit field, a coefficient is stored in association with the score. The first threshold range upper limit field stores a coefficient for decreasing the range as the score increases, that is, as the safety requirement increases. For example, the average value of all users of the number of application operation commands per unit time at 2 pm is “10”. When the score is “9” and a high level of safety is required, the upper limit of the first threshold range is “13” by multiplying “10” by the coefficient “1.3”. On the other hand, when the score is “3” and high safety is not required, “10” is multiplied by the coefficient “2.5”, and the upper limit of the first threshold range is “25”.
第1閾範囲下限フィールドには、点数に対応付けて第1閾範囲の下限の係数が記憶されている。第1閾範囲下限フィールドには点数が増加するにつれて、つまり安全性の要求が高くなるにつれて範囲を小さくする係数が記憶されている。CPU11はセキュリティポリシーテーブル154から読み出した点数と、分散テーブル155から読み出した点数とを加算する。そして合計した点数が「9」と高度の安全性が要求される場合、「10」に係数「0.8」を乗じて第1閾範囲の下限は「8」となる。一方、点数が「3」と高度の安全性が要求されていない場合、「10」に係数「0.2」が乗じられ、第1閾範囲の下限は「2」となる。これにより、高度の安全性が要求される点数「9」の場合、第1閾範囲は「8〜13」と範囲が狭くなる。高度の安全性が要求されない点数「3」の場合、第1閾範囲は「2〜25」と範囲が広くなる。CPU11は算出した第1閾範囲を第1閾範囲ファイル151に記憶する。
In the first threshold range lower limit field, a lower limit coefficient of the first threshold range is stored in association with the score. The first threshold range lower limit field stores a coefficient for decreasing the range as the score increases, that is, as the safety requirement increases. The
係数は、オペレータが入力部13または管理コンピュータ3の入力部33からセキュリティポリシーに応じて入力しても良い。CPU11は入力された係数を点数に対応付けて範囲テーブル156に記憶する。なお、本実施形態では、係数を乗じることとしたが、第1閾範囲上限を算出する際には加算しても良い。また第1閾範囲下限を算出する際には減算しても良い。また加算する値と減算する値はあくまで一例であり、加算値と減算値とを同じ値としても良い。
The coefficient may be input by the operator from the
また、本実施形態では、係数を乗じる基準値として単位時間当たりのアプリ操作命令数の全ユーザの平均値を用いることとしたがこれに限るものではない。例えば一のユーザの複数日における単位時間当たりの平均値を用いても良い。また平均値以外に、一のユーザまたは複数のユーザの統計における最頻値または中央値を用いても良い。この他、オペレータが適宜設定した値であっても良い。本実施形態では一例として、複数のユーザの単位時間当たりのアプリ操作命令数の平均値を基準値であるものとして説明する。具体的にはCPU11は履歴DB153を参照し、時間帯毎に各ユーザのアプリ操作命令数を読み出し、平均値を算出し、基準値とする。
In the present embodiment, the average value of all users of the number of application operation commands per unit time is used as the reference value to be multiplied by the coefficient, but the present invention is not limited to this. For example, an average value per unit time for a plurality of days of one user may be used. In addition to the average value, a mode value or a median value in the statistics of one user or a plurality of users may be used. In addition, it may be a value appropriately set by the operator. In the present embodiment, as an example, an average value of the number of application operation commands per unit time of a plurality of users will be described as a reference value. Specifically, the
第2閾範囲フィールドには点数に対応付けて係数が記憶されている。第2閾範囲の係数は点数が減少するにつれ、つまり安全性に対する要求レベルが低下するにつれ、増加する値が記憶されている。記憶部15には基準時間が記憶されている。基準時間は例えば3時間である。点数が「9」と高度の安全性が要求される場合、3時間に係数「1.0」が乗じられ、第2閾範囲は3時間のままとなる。例えば、第1閾範囲の上限を越える時間が3時間を越えた場合、異常と判断される。一方、点数が「3」と高度の安全性が要求されていない場合、3時間に係数「1.4」が乗じられ、第2閾範囲は4.2時間となる。この場合、第1閾範囲の上限を越える時間が4.2時間を越えた場合、異常と判断される。CPU11は算出した第2閾範囲を第2閾範囲ファイル152に記憶する。なお、本実施形態においては基準時間に係数を乗じる例を挙げたが、係数を加算または減算しても良い。さらに、基準時間以外に基準回数を用いても良い。CPU11は第1閾範囲の上限を越えると判断した回数が基準回数に係数を乗じた値を越えた場合に異常と判断しても良い。本実施形態においては説明を容易にするために基準回数を用いた例を挙げて説明する。
In the second threshold range field, a coefficient is stored in association with the score. As the coefficient of the second threshold range, a value that increases as the score decreases, that is, as the level of safety requirement decreases, is stored. The
図10は第1閾範囲、第2閾範囲及びアプリ操作命令数の変化を示すグラフである。図10における横軸は時間である。縦軸はアプリ操作命令数である。黒丸で示す系列は上側が第1閾範囲の上限の時間的変化を示し、下側は第1閾範囲の下限を示す。白丸で示す系列は、監視対象のユーザのパーソナルコンピュータ2の入力部23を通じてサーバコンピュータ1に入力された単位時間当たりのアプリ操作命令数である。10時台では入力されたアプリ操作命令数が第1閾範囲の上限を越えていることが理解できる。
FIG. 10 is a graph showing changes in the first threshold range, the second threshold range, and the number of application operation commands. The horizontal axis in FIG. 10 is time. The vertical axis represents the number of application operation instructions. In the series indicated by black circles, the upper side shows the temporal change of the upper limit of the first threshold range, and the lower side shows the lower limit of the first threshold range. A series indicated by white circles is the number of application operation commands per unit time input to the
第2閾範囲は横方向の矢印で示している。3時間を越えて第1閾範囲を越える場合に、異常を出力するものとする。CPU11は13時台においても第2閾範囲の3時間を越えていることから異常と判断する。なお、本実施形態においては、時間帯毎に第1閾範囲を設定し、時間帯毎にアプリ操作命令数を監視する例を挙げたがこれに限るものではない。累積回数に基づき、第1閾範囲を設定し、アプリ操作命令数の累積回数を監視するようにしても良い。
The second threshold range is indicated by a horizontal arrow. An abnormality is output when the first threshold range is exceeded for more than 3 hours. The
図11は第1閾範囲、第2閾範囲及びアプリ操作命令累積数の変化を示すグラフである。図11における横軸は時間である。縦軸はアプリ操作命令累積数である。黒丸で示す系列は上側が第1閾範囲の上限の時間的変化を示し、下側は第1閾範囲の下限を示す。白丸で示す系列は、監視対象のユーザのパーソナルコンピュータ2の入力部23を通じてサーバコンピュータ1に入力されたアプリ操作命令累積数である。12時台では入力されたアプリ操作命令累積数が第1閾範囲の上限を越えていることが理解できる。
FIG. 11 is a graph showing changes in the first threshold range, the second threshold range, and the cumulative number of application operation instructions. The horizontal axis in FIG. 11 is time. The vertical axis represents the cumulative number of application operation instructions. In the series indicated by black circles, the upper side shows the temporal change of the upper limit of the first threshold range, and the lower side shows the lower limit of the first threshold range. A series indicated by white circles is the cumulative number of application operation instructions input to the
第2閾範囲は横方向の矢印で示している。3時間を越えて第1閾範囲を越える場合に、異常を出力するものとする。CPU11は15時台においても第2閾範囲の3時間を越えていることから異常と判断する。
The second threshold range is indicated by a horizontal arrow. An abnormality is output when the first threshold range is exceeded for more than 3 hours. The
図12は異常情報を出力する際のイメージ図である。CPU11は異常と判断した場合、CPU11は、時計部18から日時を読み出し、異常に係るユーザIDを読み出す。CPU11は記憶部15に記憶したテンプレート文章に日、時間帯及びユーザIDを記述する。図12に示すように10月21日10時台に、ユーザID「001」に関し、異常が発生したことが出力される。CPU11は表示部14に異常情報を出力する。その他、CPU11は管理コンピュータ3へ通信部16を介して異常情報を出力する。管理コンピュータ3のCPU31は異常情報を受信した場合、表示部34に異常情報を表示する。なお、CPU11は記憶部15に記憶したオペレータのメールアドレスを読み出し、電子メールにて、異常情報を読み出したメールアドレス宛へ送信しても良い。その他、CPU11は異常と検出されたユーザID「001」のパーソナルコンピュータ2へ異常情報を出力しても良い。また異常情報の出力は表示部14または表示部34への出力に限るものではない。例えば図示しないスピーカによる音声出力、図示しない発光素子による光出力であっても良い。本実施形態では説明を容易にするために、管理コンピュータ3へ異常情報を出力する例を挙げて説明する。
FIG. 12 is an image diagram when the abnormality information is output. When the
図13は基準値算出処理の手順を示すフローチャートである。CPU11は履歴DB153から、時間帯毎にアプリ操作命令数を計数する(ステップS31)。CPU11は同様に所定期間内遡り、時間帯毎にアプリ操作命令数を計数する。この所定期間は例えば平日の1ヶ月間とすればよい。CPU11は所定期間内の時間帯毎のアプリ操作命令数の平均を算出する(ステップS32)。CPU11は以上の処理を予め定めた数のユーザについて行う。これにより、複数のユーザ毎に、時間帯毎のアプリ操作命令数の平均が算出される。
FIG. 13 is a flowchart showing the procedure of the reference value calculation process. The
CPU11は各ユーザの時間帯毎のアプリ操作命令数の平均を加算し、ユーザ数で除すことで、時間帯別の平均アプリ操作命令数を算出する(ステップS33)。CPU11は時間帯別平均アプリ操作命令数を基準値として記憶部15に記憶する(ステップS34)。なお、本実施形態においては時間帯別にアプリ操作命令数の平均を算出したがこれに限るものではない。一日毎のアプリ操作命令数の平均を算出しても良い。また複数のユーザの平均アプリ操作命令数を基準値としたが、一のユーザの平均アプリ操作命令数を基準値としても良い。なお、以上述べた基準値の算出は所定期間毎(例えば1週間毎)に行えば良い。
The
図14及び図15は第1閾範囲及び第2閾範囲の決定処理手順を示すフローチャートである。オペレータは管理コンピュータ3の入力部33から過去の事件状況、対象の機密性及び対象の強度を入力する。なお、これらの情報は図7で説明したとおり、複数のレベルを入力すればよい。CPU31は入力部33から入力された過去の事件状況、対象の機密性及び対象の強度を、通信部36を介してサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介して、過去の事件状況、対象の機密性及び対象の強度を受け付ける(ステップS131)。
FIG. 14 and FIG. 15 are flowcharts showing the procedure for determining the first threshold range and the second threshold range. The operator inputs the past incident situation, the confidentiality of the target, and the strength of the target from the
CPU11はセキュリティポリシーテーブル154から、受け付けた過去の事件状況、対象の機密性及び対象の強度のレベルに対応する点数を読み出す(ステップS132)。CPU11は履歴DB153を参照し、ユーザ毎にアプリ操作命令数を計数する(ステップS133)。なお、CPU11は計数の際、任意の1または複数の時間帯のアプリ操作命令数を計数するほか、1日間のアプリ操作命令数を計数しても良い。本実施形態では、1日間のアプリ操作命令数を計数する例を挙げて説明する。
The
CPU11はステップS133の処理を複数のユーザについて行う。CPU11は複数のユーザのアプリ操作命令数の平均値を算出する(ステップS134)。CPU11は平均値及び各ユーザのアプリ操作命令数に基づき、分散を算出する(ステップS135)。具体的には、各ユーザのアプリ操作命令数から平均値を減じ、減じた値の2乗の総和をユーザ数で除すことにより、分散を算出する。なお、本実施形態では複数のユーザのアプリ操作命令数に基づき分散を算出したがこれに限るものではない。一ユーザの複数日間の分散を算出しても良い。
CPU11 performs the process of step S133 about a some user. The
CPU11は分散テーブル155を参照し、算出した分散に対応する点数を読み出す(ステップS136)。CPU11はステップS132で読み出した点数と、ステップS136で読み出した点数とを加算する(ステップS137)。CPU11は範囲テーブル156を参照し、加算した点数に対応する第1閾範囲の上限係数、第1閾範囲の下限係数及び第2閾範囲係数を読み出す(ステップS138)。CPU11は記憶部15に記憶した基準値を読み出す(ステップS139)。
The
CPU11は各時間帯の基準値に第1閾範囲の上限係数を乗じ、また、各時間帯の基準値に第1閾範囲の下限係数を乗じ、第1閾範囲を決定する(ステップS141)。CPU11は第1閾範囲を第1閾範囲ファイル151に記憶する(ステップS142)。CPU11は記憶部15に記憶した基準時間を読み出す(ステップS143)。CPU11は基準時間に算出した第2閾範囲係数を乗じる(ステップS144)。CPU11は乗じた値を第2閾範囲ファイル152に記憶する(ステップS145)。なお、本実施形態においては、セキュリティポリシーテーブル154に基づく点数と、分散テーブルに基づく点数との双方を用いる例を挙げて説明したが、これに限るものではない。いずれか一方を用いるものであっても良い。
The
サーバコンピュータ1のCPU11は危険性の増減情報を受け付けた場合、危険性の増減に応じて第1閾範囲及び第2閾範囲を補正する。例えば、増減情報により危険性が増加した場合、第1閾範囲及び第2閾範囲を小さく補正する。増減情報により危険性が減少した場合、第1閾範囲及び第2閾範囲が大きくなるよう補正する。なお、本実施形態においては受け付けた危険性の増減情報に応じて第1閾範囲及び第2閾範囲の双方を補正する例を挙げて説明するが、第1閾範囲または第2閾範囲のいずれか一方であっても良い。
When the
危険性の変化は例えば、外的要因によるものと、内的要因によるものとがある。外的要因が変化する場合としては、新たなウィルスに関する情報を受信した場合である。ウィルスに関する情報は、例えば、新たな脅威となるウィルスが発生したことを示す情報と、発生したウィルスに対するワクチンが生成されたことを示す情報とがある。前者は危険性が増加したことを示す情報であり、後者は危険性が減少したことを示す情報である。セキュリティサーバ4はウィルスが発生したことを示す情報(以下、ウィルス発生情報という。)及びワクチンが生成されたことを示す情報(以下、ワクチン生成情報という)をサーバコンピュータ1へ送信する。
The change in risk may be due to an external factor or an internal factor, for example. The case where the external factor changes is when information on a new virus is received. The information regarding the virus includes, for example, information indicating that a virus as a new threat has occurred and information indicating that a vaccine for the generated virus has been generated. The former is information indicating that the risk has increased, and the latter is information indicating that the risk has decreased. The
CPU11は通信部16を介して危険性の増減情報であるウィルス発生情報及びワクチン生成情報を取得する。CPU11は予め記憶部15に記憶した第1補正量(例えば、アプリ操作命令数「2回」)を読み出す。CPU11は危険性が増加したことを示すウィルス発生情報を取得した場合、第1閾範囲を小さくすべく、第1閾範囲ファイル151に記憶した第1閾範囲の上限及び下限を読み出す。CPU11は第1閾範囲の上限から第1補正量を減じ、第1閾範囲の下限に第1補正量を加算する。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する。
The
一方、CPU11は危険性が減少したことを示すワクチン生成情報を取得した場合、第1閾範囲を大きくすべく、第1閾範囲ファイル151に記憶した第1閾範囲の上限及び下限を読み出す。CPU11は第1閾範囲の上限に第1補正量を加算し、第1閾範囲の下限から第1補正量を減算する。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する。なお、本実施形態においては、セキュリティサーバ4からウィルス発生情報及びワクチン生成情報をサーバコンピュータ1へ送信する例を示したがこれに限るものではない。例えば、管理コンピュータ3の入力部33からオペレータがウィルス発生情報及びワクチン生成情報を入力しても良い。管理コンピュータ3のCPU31は、通信部36を介して、ウィルス発生情報及びワクチン生成情報をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介してウィルス発生情報及びワクチン生成情報を取得する。
On the other hand, when acquiring the vaccine generation information indicating that the risk has decreased, the
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す。CPU11は記憶部15から予め記憶された第2補正量(例えば、20分)を読み出す。CPU11は危険性が増加したことを示すウィルス発生情報を取得した場合、第2閾範囲を小さくすべく、第2閾範囲ファイル152に記憶した第2閾範囲を読み出す。CPU11は第2閾範囲から第2補正量を減じる。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する。
The
その他、外的要因としては、情報処理システムに関連する法律が変更された場合等である。例えば、情報処理システムが個人情報を取り扱っているとする。ここで、個人情報保護法が改正された場合、外的要因が変化したこととなる。個人情報保護法により、サーバコンピュータ1で取り扱う個人情報についてのより厳密な管理が要求され、これに違反した場合、法上の責任が生じる場合、危険性が増加したことになる。一方、個人情報保護法の法改正により、サーバコンピュータ1で取り扱う個人情報の一部の保護が不要になった等の場合、危険性が減少したことになる。オペレータは、法改正に伴い危険性が増加した、または、危険性が減少したことを示す増減情報を、管理コンピュータ3の入力部33から入力する。管理コンピュータ3のCPU31は、通信部36を介して、危険性の増減情報をサーバコンピュータ1へ送信する。サーバコンピュータ1のCPU11は通信部16を介して危険性の増減情報を取得する。
Other external factors include changes in laws related to information processing systems. For example, assume that the information processing system handles personal information. Here, when the Personal Information Protection Law is revised, external factors have changed. According to the Personal Information Protection Law, stricter management of personal information handled by the
内的要因が変化する場合とは、例えば、サーバコンピュータ1、管理コンピュータ3、パーソナルコンピュータ2または指紋認証装置2Dの使用環境が変化した場合等である。以下では、一例として監視対象のパーソナルコンピュータ2の使用環境が変化した場合の例を説明する。使用環境とは例えばパーソナルコンピュータ2のハードウェア環境またはソフトウェア環境である。
The case where the internal factor changes is, for example, a case where the use environment of the
図16は環境ファイル352のレコードレイアウトを示す説明図である。環境ファイル352はパーソナルコンピュータ2毎にハードウェア環境及びソフトウェア環境を記憶している。環境ファイル352は端末IDフィールド、ハードウェア環境フィールド及びソフトウェア環境フィールド等を含む。端末IDフィールドには、パーソナルコンピュータ2を特定するための識別情報(以下、端末IDという)が記憶されている。ハードウェア環境は例えば、サーバコンピュータ1へログインする際の認証方法、及び、セキュリティチップの有無等である。認証方法フィールドには、各パーソナルコンピュータ2に実装された認証装置の種類が記憶されている。指紋認証装置が実装されている場合、指紋認証と記憶され、静脈認証装置が実装されている場合、静脈認証と記憶される。生体認証装置が実装されていない場合、ID・パスワードと記憶される。
FIG. 16 is an explanatory diagram showing a record layout of the
管理コンピュータ3のCPU31はハードウェア環境及びソフトウェア環境が変更された場合、変更後の環境を端末IDに対応付けて、環境ファイル352に記憶する。その他、オペレータは入力部33から端末ID毎のハードウェア環境及びソフトウェア環境を入力し、環境ファイル352に記憶するようにしても良い。本実施形態においてはセキュリティの強度は、ID・パスワード、指紋認証、静脈認証の順に高くなるものとする。セキュリティの強度が高くなった場合、危険性が減少することとなる。一方、セキュリティの強度が低くなった場合、危険性が増加することとなる。
When the hardware environment and the software environment are changed, the
例えば、ID・パスワード認証から、指紋認証へ変更した場合、セキュリティの強度は高くなる。逆に、指紋認証装置を撤去し、指紋認証からID・パスワード認証へ変更した場合、セキュリティの強度は低下する。管理コンピュータ3のCPU31は、セキュリティの強度が高くなった場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、セキュリティの強度が低くなった場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。
For example, when changing from ID / password authentication to fingerprint authentication, the strength of security increases. Conversely, when the fingerprint authentication device is removed and changed from fingerprint authentication to ID / password authentication, the strength of security decreases. When the strength of security increases, the
セキュリティチップフィールドにはパーソナルコンピュータ2に実装されるセキュリティチップの有無が記憶されている。セキュリティチップは、TCG(Trusted Computing Group)の仕様に基づいたTPM(Trusted Platform Module)と称されるIC(Integrated Circuit)チップである。セキュリティチップはTCGにより策定されたセキュリティの基本機能を備える。このセキュリティチップをパーソナルコンピュータ2に実装することにより、ソフトウェアによる攻撃及び物理的な攻撃からデータを保護し、実装されていないパーソナルコンピュータ2と比較して、より強固なセキュリティを実現する。
The security chip field stores the presence or absence of a security chip mounted on the
管理コンピュータ3のCPU31は、セキュリティチップを実装した場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、セキュリティチップを除去した場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。ソフトウェア環境フィールドとしては、例えば、パーソナルコンピュータ2にインストールされたOS及びブラウザの種類及びバージョンが挙げられる。パーソナルコンピュータ2のブラウザの種類及びバージョンが変更される度に、管理コンピュータ3の環境ファイル352のソフトウェア環境フィールドの内容も更新される。
When the security chip is mounted, the
管理コンピュータ3のCPU31は、環境ファイル352を参照し、OSまたはブラウザの種類またはバージョンがグレードアップした場合、危険性が減少したことを示す情報をサーバコンピュータ1へ送信する。一方、CPU31は、OSまたはブラウザの種類またはバージョンがグレードダウンした場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。なお、OS及びブラウザの種類及びバージョンに対するグレードの情報は記憶部15に予め記憶しておくか、外部の図示しないサーバコンピュータから取得すればよい。なお、本実施形態においては、環境ファイル352はパーソナルコンピュータ2のハードウェア及びソフトウェアの情報を記憶する例を挙げたがこれに限るものではない。環境ファイル352にサーバコンピュータ1、指紋認証装置2D、またはセキュリティサーバ4のハードウェアまたはソフトウェアの情報を同様に記憶しておいても良い。CPU31は環境ファイル352を参照し、サーバコンピュータ1、指紋認証装置2D、またはセキュリティサーバ4の危険性が増加したか、または、減少したかを判断しても良い。
The
その他、内的要因が変動する場合として、人事異動がある。例えば、派遣社員数が増加した場合、危険性が増加する。派遣社員数が減少する場合、危険性が減少する。人事ファイル351の内容は人事異動の度に更新される。管理コンピュータ3のCPU31は派遣社員数が増加したと判断した場合、危険性が増加したことを示す情報を、サーバコンピュータ1へ送信する。一方、管理コンピュータ3のCPU31は派遣社員数が減少したと判断した場合、危険性が減少したことを示す情報を、サーバコンピュータ1へ送信する。
In addition, there are personnel changes when internal factors fluctuate. For example, when the number of temporary employees increases, the risk increases. If the number of temporary employees decreases, the risk decreases. The contents of the personnel file 351 are updated each time a personnel change occurs. When the
以下では、説明を容易にするために、ソフトウェア環境の内OSの変化に伴う危険性の増減及びウィルスに関する情報に基づく危険性の増減を例に挙げて説明する。なお、サーバコンピュータ1の履歴DB153、管理コンピュータ3の環境ファイル352等の各種DB及びファイルのレコードレイアウトは一例でありこれに限るものではない。データ間の関係さえ維持されていれば他の記憶形態であっても良い。またこれらDB及びファイルはサーバコンピュータ1の記憶部15または管理コンピュータ3の記憶部35に記憶した例を挙げたがこれに限るものではない。他の図示しないDBサーバコンピュータ内にデータを記憶しておき、必要に応じて読み出し及び書き込みを行っても良い。
In the following, for ease of explanation, an increase / decrease in risk due to a change in the OS in the software environment and an increase / decrease in risk based on information on viruses will be described as examples. Note that the record layout of various DBs and files such as the
図17及び図18は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。セキュリティサーバ4は、ウィルスに関する情報として、新たなウィルスが発生した場合、ウィルス発生情報をサーバコンピュータ1へ送信する(ステップS161)。またセキュリティサーバ4はウィルスに関する情報として、ワクチンを生成した場合、ワクチン生成情報をサーバコンピュータ1へ送信する(ステップS162)。
FIGS. 17 and 18 are flowcharts showing the correction processing procedure for the first threshold range and the second threshold range. When a new virus occurs as information regarding a virus, the
サーバコンピュータ1は通信部16を介して、ウィルス発生情報及びワクチン生成情報を含む危険性の増減情報を取得(受信)する(ステップS163)。サーバコンピュータ1のCPU11はウィルス発生情報を取得したか否かを判断する(ステップS164)。CPU11はウィルス発生情報を取得したと判断した場合(ステップS164でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS165)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS166)。
The
CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS167)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS168)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS169)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS171)。CPU11は第2閾範囲から第2補正量を減じる(ステップS172)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS173)。
The
CPU11はウィルス発生情報を取得していないと判断した場合(ステップS164でNO)、ステップS174へ移行する。CPU11はワクチン生成情報を取得したか否かを判断する(ステップS174)。CPU11はワクチン生成情報を取得したと判断した場合(ステップS174でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS175)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS176)。
If the
CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS177)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS178)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS179)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS1710)。CPU11は第2閾範囲に第2補正量を加算する(ステップS1711)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS1712)。CPU11はワクチン生成情報を取得していないと判断した場合(ステップS174でNO)、処理を終了する。
The
図19乃至図22は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。パーソナルコンピュータ2のユーザは新たなバージョンのOSをインストールする。パーソナルコンピュータ2のCPU21は指示に従い、OSをインストールする(ステップS181)。CPU21は通信部26を介して、端末ID及びOSのバージョン情報を管理コンピュータ3へ送信する(ステップS182)。管理コンピュータ3のCPU31は端末ID及びOSのバージョンを受信する(ステップS183)。
FIGS. 19 to 22 are flowcharts showing the correction processing procedure of the first threshold range and the second threshold range. The user of the
CPU31は環境ファイル352から端末IDに対応するOSのバージョンを読み出す(ステップS184)。CPU31は受信したOSのバージョンと、読み出したOSのバージョンとを比較し、OSがバージョンアップされたか否かを判断する(ステップS185)。例えば、CPU31はOSのバージョンと、バージョンアップ日時を記憶した記憶部15を参照し、バージョンアップ日時が新しいものに変更された場合、バージョンアップされたと判断すればよい。
The
CPU31はOSのバージョンアップがあったと判断した場合(ステップS185でYES)、危険性の減少を示す情報をサーバコンピュータ1へ送信する(ステップS186)。CPU31はOSのバージョンアップがない、すなわちOSのグレードダウンがあったと判断した場合(ステップS185でNO)、危険性の増加を示す情報をサーバコンピュータ1へ送信する(ステップS187)。サーバコンピュータ1は通信部16を介して、危険性の増減情報を取得(受信)する(ステップS188)。サーバコンピュータ1のCPU11は危険性の増加を示す情報を取得したか否かを判断する(ステップS189)。CPU11は危険性の増加を示す情報を取得したと判断した場合(ステップS189でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS191)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS192)。
If the
CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS193)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS194)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS195)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS196)。CPU11は第2閾範囲から第2補正量を減じる(ステップS197)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS198)。
The
CPU11は危険性の増加を示す情報を取得していないと判断した場合(ステップS189でNO)、ステップS201へ移行する。CPU11は危険性の減少を示す情報を取得したか否かを判断する(ステップS201)。CPU11は危険性の減少を示す情報を取得したと判断した場合(ステップS201でYES)、記憶部15に予め記憶した第1補正量及び第2補正量を読み出す(ステップS202)。CPU11は第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS203)。
If the
CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS204)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS205)。CPU11は補正後の第1閾範囲の上限及び下限を第1閾範囲ファイル151に記憶する(ステップS206)。CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS207)。CPU11は第2閾範囲に第2補正量を加算する(ステップS208)。CPU11は補正後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS209)。CPU11は危険性の減少を示す情報を取得していないと判断した場合(ステップS201でNO)、処理を終了する。
The
図23及び図24は異常判断処理の手順を示すフローチャートである。サーバコンピュータ1のCPU11は、図17乃至図22の処理と並行して以下の処理を行う。CPU11はパーソナルコンピュータ2から送信されたユーザID及びアプリ操作命令の入力を、通信部16を介して受け付ける(ステップS221)。CPU11は、時計部18からの出力を参照し、入力されたユーザID、アプリ操作命令及び日時を履歴DB153に記憶する(ステップS222)。CPU11は単位時間(例えば1時間)が経過したか否かを判断する(ステップS223)。
23 and 24 are flowcharts showing the procedure of the abnormality determination process. The
CPU11は単位時間を経過していないと判断した場合(ステップS223でNO)、ステップS221に処理を戻す。CPU11は単位時間を経過したと判断した場合(ステップS223でYES)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS224)。CPU11は履歴DB153を参照し、単位時間当たりのアプリ操作命令数を計数する(ステップS225)。CPU11は計数したアプリ操作命令数が第1閾範囲の上限または下限を越えるか否かを判断する(ステップS226)。なお、本実施形態においては、CPU11はアプリ操作命令数が第1閾範囲の上限より大きいか、または下限よりも小さいかを判断しているがこれに限るものではない。CPU11はアプリ操作命令数が第1閾範囲の上限以上か、または下限以下かを判断してもよい。
If the
CPU11は第1閾範囲の上限または下限を越えないと判断した場合(ステップS226でNO)、処理をステップS221に戻す。CPU11は第1閾範囲の上限または下限を越えると判断した場合(ステップS226でYES)、第1閾範囲を越えた日、時間帯及びユーザIDを記憶部15に記憶する(ステップS227)。これにより、第1閾範囲を越えた時間帯の履歴が蓄積される。CPU11は第2閾範囲を第2閾範囲ファイル152から読み出す(ステップS228)。CPU11は第1閾範囲を連続して越えた時間帯数が第2閾範囲を越えるか否かを判断する(ステップS229)。なお、本実施形態においてCPU11は、第1閾範囲を連続して越えた時間帯数が、第2閾範囲よりも大きいか否かを判断するがこれに限るものではない。CPU11は、第1閾範囲を連続して越えた時間帯数が、第2閾範囲以上否かを判断しても良い。また本実施形態においてCPU11は、第1閾範囲を越える時間帯が連続して第2閾範囲を越える場合に異常と判断したがこれに限るものではない。CPU11は、連続していなくても所定時間内に第2閾範囲を越えた場合に異常と判断しても良い。例えば第2閾範囲が4時間であり、7時間の間に第1閾範囲を越えた時間帯が5時間存在する場合に異常と判断しても良い。
If the
CPU11は時間帯数が第2閾範囲を越えないと判断した場合(ステップS229でNO)、処理をステップS221へ戻す。CPU11は時間帯数が第2閾範囲を越えると判断した場合(ステップS229でYES)、異常情報のテンプレートを記憶部15から読み出す(ステップS231)。CPU11は読み出したテンプレートに、ユーザID、日及び時間帯を記述する(ステップS232)。CPU11は管理コンピュータ3のアドレスを記憶部15から読み出す(ステップS233)。
If the
CPU11は読み出したアドレス宛へ異常情報を出力する(ステップS234)。管理コンピュータ3のCPU31は、通信部36を介して異常情報を受信する(ステップS235)。CPU31は異常情報を表示部34に表示する(ステップS236)。これにより、セキュリティポリシー及び分散に応じて定まる第1閾範囲及び第2閾範囲を危険性の増減に応じて適宜補正でき、状況に沿った適切な異常判断が可能となる。
The
実施の形態2
実施の形態2はアプリ操作命令数の変化率に基づき異常を検出する形態に関する。図25はアプリ操作命令数の変化率の時間的な変化を示すグラフである。横軸は時間、縦軸は変化率である。白丸で示す系列は、単位時間当たりのアプリ操作命令数を1時間前の単位時間当たりのアプリ操作命令数で除し、100を乗じた値(以下変化率という)である。変化率が急激に上昇または下降する場合、異常と判断する。なお、変化率に代えて、角度または差分をパラメータとしても良い。
The second embodiment relates to a form for detecting an abnormality based on the rate of change in the number of application operation commands. FIG. 25 is a graph showing temporal changes in the change rate of the number of application operation commands. The horizontal axis is time, and the vertical axis is the rate of change. A series indicated by a white circle is a value obtained by dividing the number of application operation commands per unit time by the number of application operation commands per unit time one hour ago and multiplying by 100 (hereinafter referred to as a change rate). If the rate of change suddenly increases or decreases, it is judged as abnormal. Instead of the rate of change, an angle or a difference may be used as a parameter.
CPU11は例えば、基準となる変化率を100%とし、記憶部15に記憶しておく。CPU11は実施の形態1で述べたように、セキュリティポリシーテーブル154、分散テーブル155及び範囲テーブル156を参照し、第1閾範囲を算出する。例えば、高度の安全性が要求される場合、係数は小さく第1閾範囲は80%〜120%とすれば良い。また、高度の安全性が要求されない場合、係数は大きく第1閾範囲は40%〜250%とすれば良い。危険性が増大した場合、実施の形態1で述べたと同様にCPU11は第1閾範囲の上限から第1補正量を減算し、下限に第1補正量を加算する。CPU11は第2閾範囲から第2補正量を減算する。
For example, the
一方、危険性が減少した場合、実施の形態1で述べたと同様にCPU11は第1閾範囲の上限に第1補正量を加算し、下限から第1補正量を減算する。CPU11は第2閾範囲に第2補正量を加算する。
On the other hand, when the risk decreases, the
図26及び図27は実施の形態2に係る異常判断処理の手順を示すフローチャートである。サーバコンピュータ1のCPU11は、図17乃至図22の処理と並行して以下の処理を行う。CPU11はパーソナルコンピュータ2から送信されたユーザID及びアプリ操作命令の入力を、通信部16を介して受け付ける(ステップS261)。CPU11は、時計部18からの出力を参照し、入力されたユーザID、アプリ操作命令及び日時を履歴DB153に記憶する(ステップS262)。CPU11は単位時間(例えば1時間)が経過したか否かを判断する(ステップS263)。
26 and 27 are flowcharts showing the procedure of the abnormality determination process according to the second embodiment. The
CPU11は単位時間を経過していないと判断した場合(ステップS263でNO)、ステップS261に処理を戻す。CPU11は単位時間を経過したと判断した場合(ステップS263でYES)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS264)。CPU11は履歴DB153を参照し、単位時間当たりのアプリ操作命令数を計数する(ステップS265)。CPU11は1単位時間前、すなわち1時間前の単位時間当たりのアプリ操作命令数を、履歴DB153から読み出す(ステップS266)。
If the
CPU11はステップS265で読み出したアプリ操作命令数をステップS266で読み出したアプリ操作命令数で除し、100を乗じることで変化率を算出する(ステップS267)。CPU11は算出した変化率が第1閾範囲の上限または下限を越えるか否かを判断する(ステップS268)。なお、1時間前の単位時間当たりのアプリ操作命令数が存在しない場合は、変化率を初期値100%とすれば良い。
The
CPU11は第1閾範囲の上限または下限を越えないと判断した場合(ステップS268でNO)、処理をステップS261に戻す。CPU11は第1閾範囲の上限または下限を越えると判断した場合(ステップS268でYES)、第1閾範囲を越えた日、時間帯及びユーザIDを記憶部15に記憶する(ステップS269)。これにより、第1閾範囲を越えた時間帯の履歴が蓄積される。CPU11は第2閾範囲を第2閾範囲ファイル152から読み出す(ステップS271)。CPU11は第1閾範囲を連続して越えた時間帯数が第2閾範囲を越えるか否かを判断する(ステップS272)。
If the
CPU11は連続する時間帯数が第2閾範囲を越えないと判断した場合(ステップS272でNO)、処理をステップS261へ戻す。CPU11は連続する時間帯数が第2閾範囲を越えると判断した場合(ステップS272でYES)、異常情報のテンプレートを記憶部15から読み出す(ステップS273)。なお、CPU11は連続していなくても、所定時間内に第1閾範囲を超えた時間帯数が、第2閾範囲を越えた場合にも異常と判断しても良い。CPU11は読み出したテンプレートに、ユーザID、日及び時間帯を記述する(ステップS274)。CPU11は管理コンピュータ3のアドレスを記憶部15から読み出す(ステップS275)。
If the
CPU11は読み出したアドレス宛へ異常情報を出力する(ステップS276)。管理コンピュータ3のCPU31は、通信部36を介して異常情報を受信する(ステップS277)。CPU31は異常情報を表示部34に表示する(ステップS278)。これにより、入力情報が急変した場合も、状況に沿った適切な異常判断が可能となる。
The
本実施の形態2は以上の如きであり、その他は実施の形態1と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The second embodiment is as described above, and the other parts are the same as those of the first embodiment. Therefore, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
実施の形態3
実施の形態3は異常出力時の対応に応じて第1閾範囲及び第2閾範囲を補正する形態に関する。図28は実施の形態3のサーバコンピュータ1のハードウェア群を示すブロック図である。記憶部15には異常履歴DB157が設けられている。
The third embodiment relates to a mode in which the first threshold range and the second threshold range are corrected according to the response at the time of abnormal output. FIG. 28 is a block diagram illustrating a hardware group of the
図29は対応情報の入力イメージを示す説明図である。実施の形態1及び2で述べた異常情報が出力される際、対応情報の入力項目も併せて出力される。オペレータは異常情報が出力された際、異常に対応する。または、偶発的な異常であるとして異常に対応しないこともある。オペレータは管理コンピュータ3の入力部33から対応情報を入力する。
FIG. 29 is an explanatory diagram showing an input image of correspondence information. When the abnormality information described in the first and second embodiments is output, the corresponding information input items are also output. The operator responds to the abnormality when the abnormality information is output. Or it may not correspond to the abnormality because it is an accidental abnormality. The operator inputs correspondence information from the
図29に示すように、異常情報として、日、時間帯、ユーザIDが表示される。このほか、対応情報の入力項目が表示される。異常に対応したことを示す対応情報としては、例えば「ユーザに注意した。」、「ソフトウェアをバージョンアップした。」、「人事ファイルを更新した。」、「ワクチンを追加した。」等である。オペレータは異常発生時に異常を低減すべく各種の対応をとる。対応済みの対応情報を、入力部33を通じて入力する。具体的にはチェックボックス291が複数の対応情報に対応付けて表示されており、入力部33を介して、チェックボックス291を選択する。
As shown in FIG. 29, a day, a time zone, and a user ID are displayed as abnormality information. In addition, input items for correspondence information are displayed. Corresponding information indicating that an abnormality has been dealt with is, for example, “I paid attention to the user”, “I upgraded the software”, “I updated the personnel file”, “I added a vaccine”, and the like. The operator takes various measures to reduce the abnormality when the abnormality occurs. Corresponding correspondence information is input through the
一方、単なる偶発的な異常であると判断した場合は、対応情報を入力しないか、異常に対応しなかったことを示す非対応情報を入力する。例えば、非対応情報としては、図29に示すように「放置する。」等である。オペレータは入力部33を通じて、非対応情報のチェックボックス291を選択する。最終的に、オペレータは入力部33からOKボタン292をクリックする。CPU31は入力部33から選択された対応情報の種類または非対応情報を受け付け、ユーザID、日及び時間帯と共にサーバコンピュータ1へ送信する。
On the other hand, if it is determined that it is a mere accidental abnormality, the correspondence information is not input or non-correspondence information indicating that the abnormality has not been addressed is input. For example, the non-corresponding information is “Leave” as shown in FIG. The operator selects the
図30は異常履歴DB157のレコードレイアウトを示す説明図である。異常履歴DB157はユーザIDフィールド、日時フィールド及び対応情報フィールド等を含む。ユーザIDフィールドには、異常が検出されたユーザのユーザIDが記憶されている。日時フィールドには異常を検出した日及び時間帯を、ユーザIDに対応付けて記憶している。対応情報フィールドには、管理コンピュータ3から送信された対応情報の種類を記憶している。
FIG. 30 is an explanatory diagram showing a record layout of the
例えば、ユーザID「001」のユーザが10月21日10時台に起こした異常に対しては、対応済みであり、「ソフトウェアをバージョンアップした。」とする種類の対応情報が記憶されている。なお、非対応情報が送信された場合、図30で示すようにXが記憶される。CPU11はユーザID、日、時間帯、及び、対応情報の種類が送信された場合、異常履歴DB157にユーザID、日、時間帯に対応付けて対応情報の種類を記憶する。一方、CPU11はユーザID、日、時間帯、及び、非対応情報が送信された場合、異常履歴DB157にユーザID、日、時間帯に対応付けて非対応情報を記憶する。なお、非対応情報は記憶しなくても良い。
For example, the user ID “001” has already coped with the abnormality that occurred at 10 o'clock on October 21, and the correspondence information of the type “software has been upgraded” is stored. . When non-corresponding information is transmitted, X is stored as shown in FIG. When the user ID, date, time zone, and type of correspondence information are transmitted, the
サーバコンピュータ1は所定期間毎に第1閾範囲及び第2閾範囲の補正を行う。なお、本実施形態においては所定期間を1週間とするがこれに限るものではない。また第1閾範囲及び第2閾範囲の双方を補正する例を挙げて説明するが、いずれか一方であっても良い。CPU11は所定期間経過後に、異常回数の出力回数が第1閾値(例えば100回)を越えると判断した場合、異常履歴DB157に対応情報が記憶されているか否かを判断する。CPU11は記憶されていないと判断した場合、誤検出が多いものとして、第1閾範囲及び第2閾範囲を大きく補正する。
The
CPU11は対応情報が記憶されていると判断した場合、第1閾範囲及び第2閾範囲の値を維持する。さらに、CPU11は異常回数が第1閾値を越えないが、第1閾値より小さい第2閾値(例えば2回)を越えるか否かを判断する。CPU11は第2閾値を越えないと判断した場合、条件が緩やかすぎると判断し、第1閾範囲及び第2閾範囲を小さく補正する。一方、CPU11は第2閾値を越えると判断した場合、適切であるとして、第1閾範囲及び第2閾範囲の値を維持する。
When the
図31及び図32は対応情報の記憶処理手順を示すフローチャートである。サーバコンピュータ1のCPU11はステップS272でYESの場合、以下の処理を行う。CPU11は記憶部15に記憶した異常情報のテンプレートを読み出す(ステップS311)。CPU11はテンプレートに異常と判断されたユーザのユーザID、日及び時間帯を記述する(ステップS312)。CPU11はさらに記憶部15に記憶した対応情報の種類及び非対応情報を記述する(ステップS313)。
31 and 32 are flowcharts showing the correspondence information storage processing procedure. If the
CPU11は管理コンピュータ3のアドレスを読み出す(ステップS314)。CPU11はアドレス宛へテンプレートへの記述が完了した異常情報を出力する(ステップS315)。なお、異常情報は管理コンピュータ3がサーバコンピュータ1へアクセスした場合に、送信するようにしても良い。管理コンピュータ3のCPU31は異常情報を受信する(ステップS316)。CPU31は異常情報を表示部34に表示する(ステップS317)。CPU31は対応情報の種類の選択を受け付けたか否かを判断する(ステップS318)。
The
CPU31は対応情報の種類の選択を受け付けたと判断した場合(ステップS318でYES)、ユーザID、日、時間帯及び対応情報の種類をサーバコンピュータ1へ送信する(ステップS319)。サーバコンピュータ1のCPU11はユーザID、日、時間帯及び対応情報の種類を受信する(ステップS321)。CPU11はユーザID、日、時間帯及び対応情報の種類を異常履歴DB157に記憶する(ステップS322)。
If the
管理コンピュータ3のCPU31は対応情報の種類の選択を受け付けなかった場合(ステップS318でNO)、ユーザID、日、時間帯及び非対応情報をサーバコンピュータ1へ送信する(ステップS323)。サーバコンピュータ1のCPU11はユーザID、日、時間帯及び非対応情報を受信する(ステップS324)。CPU11はユーザID、日、時間帯及び非対応情報を異常履歴DB157に記憶する(ステップS325)。これにより異常に対して施された対応情報、対応情報の有無、異常回数が異常履歴DB157に蓄積される。
If the
図33乃至図35は第1閾範囲及び第2閾範囲の補正処理手順を示すフローチャートである。サーバコンピュータ1のCPU11は所定期間を経過したか否かを判断する(ステップS331)。CPU11は所定期間を経過していないと判断した場合(ステップS331でNO)、所定期間を経過するまで待機する。CPU11は所定期間を経過したと判断した場合(ステップS331でYES)、ステップS332へ移行する。CPU11は異常履歴DB157を参照し、所定期間内の異常情報の出力回数を計数する(ステップS332)。例えば、CPU11は1週間分の異常情報のレコード数を計数すればよい。
FIG. 33 to FIG. 35 are flowcharts showing the correction processing procedure of the first threshold range and the second threshold range. The
CPU11は記憶部15に予め記憶した第1閾値を読み出す(ステップS333)。CPU11は計数した異常情報の出力回数が第1閾範囲を超えたか否か判断する(ステップS334)。CPU11は計数した異常情報の出力回数が第1閾値を越えると判断した場合(ステップS334でYES)、ステップS335へ移行する。CPU11は異常履歴DB157を参照し、ステップS332で計数したレコード中に対応情報が記憶されているか否かを判断する(ステップS335)。CPU11は対応情報が記憶されていると判断した場合(ステップS335でYES)、第1閾範囲及び第2閾範囲を維持する(ステップS336)。すなわち、CPU11は第1閾範囲ファイル151及び第2閾範囲ファイル152の記憶内容を変更しない。
The
CPU11は対応情報が記憶されていないと判断した場合(ステップS335でNO)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS337)。CPU11は記憶部15に記憶した第1補正量を読み出す(ステップS338)。CPU11は第1閾範囲の上限に第1補正量を加算する(ステップS339)。CPU11は第1閾範囲の下限から第1補正量を減算する(ステップS341)。CPU11は第2補正量を記憶部15から読み出す(ステップS342)。
When the
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS343)。CPU11は第2閾範囲に第2補正量を加算する(ステップS344)。ステップS334において、CPU11は異常情報の出力回数が第1閾値を越えないと判断した場合(ステップS334でNO)、ステップS345へ移行する。CPU11は第1閾値よりも小さい第2閾値を記憶部15から読み出す(ステップS345)。CPU11は異常情報の出力回数は第2閾値を越えるか否かを判断する(ステップS346)。
The
CPU11は第2閾値を越えると判断した場合(ステップS346でYES)、第1閾範囲及び第2閾範囲を維持する(ステップS347)。すなわち、CPU11は第1閾範囲ファイル151及び第2閾範囲ファイル152の記憶内容を変更しない。
If the
CPU11は第2閾値を越えないと判断した場合(ステップS346でNO)、第1閾範囲ファイル151から第1閾範囲の上限及び下限を読み出す(ステップS348)。CPU11は記憶部15に記憶した第1補正量を読み出す(ステップS349)。CPU11は第1閾範囲の上限から第1補正量を減算する(ステップS351)。CPU11は第1閾範囲の下限に第1補正量を加算する(ステップS352)。CPU11は第2補正量を記憶部15から読み出す(ステップS353)。
If the
CPU11は第2閾範囲ファイル152から第2閾範囲を読み出す(ステップS354)。CPU11は第2閾範囲から第2補正量を減算する(ステップS355)。これにより、第1閾範囲及び第2閾範囲を実際の運用面に即して調整することが可能となる。
The
本実施の形態3は以上の如きであり、その他は実施の形態1及び2と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The third embodiment is as described above, and the others are the same as in the first and second embodiments. Therefore, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
実施の形態4
実施の形態4は第1補正量及び第2補正量を変更する形態に関する。図36は第1閾範囲ファイル151のレコードレイアウトを示す説明図である。第1閾範囲ファイル151は日時フィールド、第1閾範囲フィールド及び補正内容フィールド等を含む。サーバコンピュータ1のCPU11は図17乃至図22で述べた危険性の増減に伴い、第1閾範囲が補正された場合に、補正後の第1閾範囲、日時及び補正内容を記憶する。その他、CPU11は図33乃至図35で述べた異常情報の出力回数及び対応情報の有無に伴い第1閾範囲が補正された場合に、補正後の第1閾範囲、日時及び補正内容を記憶する。
The fourth embodiment relates to a mode in which the first correction amount and the second correction amount are changed. FIG. 36 is an explanatory diagram showing a record layout of the first
日時フィールドには、第1閾範囲が補正された際の日時が記憶されている。CPU11は第1閾範囲が補正された際に時計部18から出力される日時を日時フィールドに記憶する。CPU11は補正後の第1閾範囲を第1閾範囲フィールドに記憶する。CPU11は補正内容フィールドに、第1閾範囲が大きく補正されたか、小さく補正されたかの情報を記憶する。例えばCPU11はステップS177及びS178の処理により第1閾範囲の上限に第1補正量が加算され、第1閾範囲の下限から第1補正量が減算された場合、大きく補正されたと判断する。また、例えば、CPU11はステップS167及びS168の処理により第1閾範囲の上限から第1補正量が減算され、第1閾範囲の下限に第1補正量が加算された場合、小さく補正されたと判断する。
The date and time when the first threshold range is corrected is stored in the date and time field. The
図37は第2閾範囲ファイル152のレコードレイアウトを示す説明図である。第2閾範囲ファイル152は日時フィールド、第2閾範囲フィールド及び補正内容フィールド等を含む。サーバコンピュータ1のCPU11は図17乃至図22で述べた危険性の増減に伴い、第2閾範囲が補正された場合に、補正後の第2閾範囲、日時及び補正内容を記憶する。その他、CPU11は図33乃至図35で述べた異常情報の出力回数及び対応情報の有無に伴い第2閾範囲が補正された場合に、補正後の第2閾範囲、日時及び補正内容を記憶する。
FIG. 37 is an explanatory diagram showing a record layout of the second threshold range file 152. The second threshold range file 152 includes a date / time field, a second threshold range field, a correction content field, and the like. The
日時フィールドには、第2閾範囲が補正された際の日時が記憶されている。CPU11は第2閾範囲が補正された際に時計部18から出力される日時を日時フィールドに記憶する。CPU11は補正後の第2閾範囲を第2閾範囲フィールドに記憶する。CPU11は補正内容フィールドに、第2閾範囲が大きく補正されたか、小さく補正されたかの情報を記憶する。例えばCPU11はステップS1711の処理により第2閾範囲に第2補正量が加算された場合、大きく補正されたと判断する。また、例えば、CPU11はステップS172の処理により第2閾範囲の上限から第2補正量が減算された場合、小さく補正されたと判断する。
The date and time field stores the date and time when the second threshold range is corrected. The
図38及び図39は変更量の算出処理手順を示すフローチャートである。CPU11は第1閾範囲ファイル151のレコードが更新される度に以下の処理を行う。CPU11は第1閾範囲ファイル151の補正内容フィールドの前回及び今回のレコードを参照し、第1閾範囲は前回も大きく補正されたか否かを判断する(ステップS381)。具体的にはCPU11は今回の補正内容フィールドが大きく補正と記憶され、かつ、前回の補正内容フィールドも大きく補正されている場合に、前回も大きく補正されたと判断する。
38 and 39 are flowcharts showing the change amount calculation processing procedure. The
CPU11は、第1閾範囲は前回も大きく補正されたと判断した場合(ステップS381でYES)、記憶部15に記憶した第1補正量を読み出す(ステップS382)。CPU11は記憶部15に記憶した第1変更量を読み出す(ステップS383)。この第1変更量は後述するように次第に減少する値であり、オペレータが初期値及び減少幅を予め記憶部15に記憶しておけばよい。例えば初期値は5としておけばよい。CPU11は、第1変更量が第1補正量以上であるか否かを判断する(ステップS384)。CPU11は、第1変更量は第1補正量以上でないと判断した場合(ステップS384でNO)、ステップS387へ移行する。
If the
CPU11は第1補正量から第1変更量を減算する(ステップS387)。CPU11は減算後の第1補正量を記憶部15に記憶する(ステップS388)。これにより連続して第1閾範囲が拡大される場合でも、拡大幅の増加率が低減される。CPU11は第1変更量を減少させる(ステップS389)。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1ずつ減少させるなどである。その他、第1変更量の平方根、対数を減少後の第1変更量としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第1変更量を数式に代入することにより、減少後の第1変更量を算出しても良い。本実施形態においては説明を容易にするために、初期値を5、ステップS389の処理の度に0まで1ずつ減少させる例を挙げて説明する。
The
CPU11は減少後の第1変更量を記憶部15に記憶する(ステップS391)。これにより連続して第1閾範囲が拡大した場合でも、拡大幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第1変更量が第1補正量以上であると判断した場合(ステップS384でYES)、第1変更量をゼロに設定する(ステップS385)。CPU11はゼロとした第1変更量を記憶部15に記憶する(ステップS386)。
The
CPU11はステップS381において、第1閾範囲が前回も大きく補正されたと判断しない場合(ステップS381でNO)、ステップS392へ移行する。CPU11は第1閾範囲ファイル151の補正内容フィールドの前回及び今回のレコードを参照し、第1閾範囲は前回も小さく補正されたか否かを判断する(ステップS392)。具体的にはCPU11は今回の補正内容フィールドが小さく補正と記憶され、かつ、前回の補正内容フィールドも小さく補正されている場合に、前回も小さく補正されたと判断する。
If the
CPU11は、第1閾範囲は前回も小さく補正されたと判断した場合(ステップS392でYES)、記憶部15に記憶した第1補正量を読み出す(ステップS393)。CPU11は記憶部15に記憶した第1変更量を読み出す(ステップS394)。CPU11は、第1変更量が第1補正量以上であるか否かを判断する(ステップS395)。CPU11は、第1変更量は第1補正量以上でないと判断した場合(ステップS395でNO)、ステップS398へ移行する。
When the
CPU11は第1補正量から第1変更量を減算する(ステップS398)。CPU11は減算後の第1補正量を記憶部15に記憶する(ステップS399)。CPU11は第1変更量を減少させる(ステップS3910)。CPU11は減少後の第1変更量を記憶部15に記憶する(ステップS3911)。これにより連続して第1閾範囲が縮小した場合でも、縮小幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第1変更量が第1補正量以上であると判断した場合(ステップS395でYES)、第1変更量をゼロに設定する(ステップS396)。CPU11はゼロとした第1変更量を記憶部15に記憶する(ステップS397)。
The
CPU11は、第1閾範囲は前回も小さく補正されたと判断しない場合(ステップS392でNO)、ステップS3912へ移行する。CPU11は第1変更量を初期値に戻す(ステップS3912)。CPU11は初期値に戻した第1変更量を記憶部15に記憶する(ステップS3913)。
If the
図40及び図41は変更量の算出処理手順を示すフローチャートである。CPU11は第2閾範囲ファイル152のレコードが更新される度に以下の処理を行う。CPU11は第2閾範囲ファイル152の補正内容フィールドの前回及び今回のレコードを参照し、第2閾範囲は前回も大きく補正されたか否かを判断する(ステップS401)。具体的にはCPU11は今回の補正内容フィールドが大きく補正と記憶され、かつ、前回の補正内容フィールドも大きく補正されている場合に、前回も大きく補正されたと判断する。
40 and 41 are flowcharts showing the change amount calculation processing procedure. The
CPU11は、第2閾範囲は前回も大きく補正されたと判断した場合(ステップS401でYES)、記憶部15に記憶した第2補正量を読み出す(ステップS402)。CPU11は記憶部15に記憶した第2変更量を読み出す(ステップS403)。この第2変更量は後述するように次第に減少する値であり、オペレータが初期値及び減少幅を予め記憶部15に記憶しておけばよい。例えば初期値は10分としておけばよい。CPU11は、第2変更量が第2補正量以上であるか否かを判断する(ステップS404)。CPU11は、第2変更量は第2補正量以上でないと判断した場合(ステップS404でNO)、ステップS407へ移行する。
When the
CPU11は第2補正量から第2変更量を減算する(ステップS407)。CPU11は減算後の第2補正量を記憶部15に記憶する(ステップS408)。これにより連続して第2閾範囲が拡大される場合でも、拡大幅の増加率が低減される。CPU11は第2変更量を減少させる(ステップS409)。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1分ずつ減少させるなどである。その他、第2変更量の平方根、対数を減少後の第2変更量としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第2変更量を数式に代入することにより、減少後の第2変更量を算出しても良い。本実施形態においては説明を容易にするために、初期値を5、ステップS409の処理の度に0まで1分ずつ減少させる例を挙げて説明する。
The
CPU11は減少後の第2変更量を記憶部15に記憶する(ステップS411)。これにより連続して第2閾範囲が拡大した場合でも、拡大幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第2変更量が第2補正量以上であると判断した場合(ステップS404でYES)、第2変更量をゼロに設定する(ステップS405)。CPU11はゼロとした第2変更量を記憶部15に記憶する(ステップS406)。
The
CPU11はステップS401において、第2閾範囲が前回も大きく補正されたと判断しない場合(ステップS401でNO)、ステップS412へ移行する。CPU11は第2閾範囲ファイル152の補正内容フィールドの前回及び今回のレコードを参照し、第2閾範囲は前回も小さく補正されたか否かを判断する(ステップS412)。具体的にはCPU11は今回の補正内容フィールドが小さく補正と記憶され、かつ、前回の補正内容フィールドも小さく補正されている場合に、前回も小さく補正されたと判断する。
If the
CPU11は、第2閾範囲は前回も小さく補正されたと判断した場合(ステップS412でYES)、記憶部15に記憶した第2補正量を読み出す(ステップS413)。CPU11は記憶部15に記憶した第2変更量を読み出す(ステップS414)。CPU11は、第2変更量が第2補正量以上であるか否かを判断する(ステップS415)。CPU11は、第2変更量は第2補正量以上でないと判断した場合(ステップS415でNO)、ステップS418へ移行する。
If the
CPU11は第2補正量から第2変更量を減算する(ステップS418)。CPU11は減算後の第2補正量を記憶部15に記憶する(ステップS419)。CPU11は第2変更量を減少させる(ステップS4110)。CPU11は減少後の第2変更量を記憶部15に記憶する(ステップS4111)。これにより連続して第2閾範囲が縮小した場合でも、縮小幅は緩やかとなり、異常検出の精度が低下することを防止することが可能となる。CPU11は第2変更量が第2補正量以上であると判断した場合(ステップS415でYES)、第2変更量をゼロに設定する(ステップS416)。CPU11はゼロとした第2変更量を記憶部15に記憶する(ステップS417)。
The
CPU11は、第2閾範囲は前回も小さく補正されたと判断しない場合(ステップS412でNO)、ステップS4112へ移行する。CPU11は第2変更量を初期値に戻す(ステップS4112)。CPU11は初期値に戻した第2変更量を記憶部15に記憶する(ステップS4113)。これにより、第1閾範囲及び第2閾範囲が補正により大きく、または小さくなった場合でも、適宜補正量が変更されるため、第1閾範囲及び第2閾範囲の補正に伴う異常検出精度の低下を防止することが可能となる。
If the
本実施の形態4は以上の如きであり、その他は実施の形態1乃至3と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fourth embodiment is as described above, and the others are the same as in the first to third embodiments. Therefore, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
実施の形態5
実施の形態5は適宜第2閾範囲を小さくする形態に関する。実施の形態4に加えて、または実施の形態4とは別に、第2閾範囲を所定時間毎に減少させても良い。図42は第2閾範囲の調整処理の手順を示すフローチャートである。CPU11は、一定時間(例えば6時間)を経過したか否かを判断する(ステップS421)。CPU11は一定時間を経過していないと判断した場合(ステップS421でNO)、一定時間を経過するまで待機する。CPU11は一定時間を経過したと判断した場合(ステップS421でYES)、第2閾範囲ファイル152に記憶した第2閾範囲を読み出す(ステップS422)。CPU11は記憶部15に記憶した調整値を読み出す(ステップS423)。CPU11は、調整値が第2閾範囲以上であるか否かを判断する(ステップS424)。CPU11は、調整値は第2閾範囲以上でないと判断した場合(ステップS424でNO)、ステップS427へ移行する。
The fifth embodiment relates to a mode in which the second threshold range is appropriately reduced. In addition to or separately from the fourth embodiment, the second threshold range may be decreased every predetermined time. FIG. 42 is a flowchart showing the procedure of the adjustment process of the second threshold range. The
CPU11は第2閾範囲から調整値を減算する(ステップS427)。CPU11は減算後の第2閾範囲を第2閾範囲ファイル152に記憶する(ステップS428)。CPU11は調整値を減少させる(ステップS429)。CPU11は減少後の調整値を記憶部15に記憶する(ステップS4210)。調整値は例えば10分であり、ステップS429の処理により減少する。CPU11は記憶部15に予め記憶した減少幅に基づき減少させればよい。例えば1ずつ減少させるなどである。その他、第2閾範囲の平方根、対数を減少後の調整値としても良い。さらに、入力した値を減少させる数式を予め記憶しておき、CPU11が第2閾範囲または調整値を数式に代入することにより、減少後の調整値を算出しても良い。本実施形態においては説明を容易にするために、調整値の初期値を10、ステップS429の処理の度に0まで減少させる例を挙げて説明する。
The
CPU11は調整値が第2閾範囲以上であると判断した場合(ステップS424でYES)、調整値をゼロに設定する(ステップS425)。CPU11はゼロとした調整値を記憶部15に記憶する(ステップS426)。これにより、時間の経過と共にセキュリティが低下するおそれを防止することが可能となる。
If the
本実施の形態5は以上の如きであり、その他は実施の形態1乃至4と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The fifth embodiment is as described above, and the other parts are the same as those of the first to fourth embodiments. Therefore, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
実施の形態6
実施の形態6は中央装置(情報処理装置)としてパーソナルコンピュータを用いた形態に関する。図43は実施の形態6に係る情報処理システムの概要を示す模式図である。実施の形態1乃至5で述べたサーバコンピュータ1はパーソナルコンピュータ1であっても良い。パーソナルコンピュータ1には、入力情報の一例としてアプリ操作命令が、入力部13を通じて、ユーザにより直接入力される。アプリ操作命令が入力された後の異常検出処理、並びに、第1閾範囲及び第2閾範囲の補正処理等は実施の形態1乃至5で述べたとおりである。これにより、クライアントコンピュータ単体においても異常検出が可能となる。
The sixth embodiment relates to a form using a personal computer as a central device (information processing device). FIG. 43 is a schematic diagram showing an outline of an information processing system according to the sixth embodiment. The
図44は上述した形態のサーバコンピュータ1またはパーソナルコンピュータ1の動作を示す機能ブロック図である。CPU11が制御プログラム15Pを実行することにより、サーバコンピュータ1及びパーソナルコンピュータ1は以下のとおり機能する。第1判断部101は、入力情報に基づく値が記憶部15に記憶した第1閾範囲を越えるか否か判断する。第2判断部102は、第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部15に記憶した第2閾範囲を越えるか否か判断する。取得部103は、危険性の増減情報を取得する。補正部104は、取得部103により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する。出力部105は、第2判断部102により第2閾範囲を越えると判断した場合に、異常情報を出力する。
FIG. 44 is a functional block diagram showing the operation of the
本実施の形態6は以上の如きであり、その他は実施の形態1乃至5と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The sixth embodiment is as described above, and the other parts are the same as those of the first to fifth embodiments. Accordingly, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
実施の形態7
図45は実施の形態7に係るサーバコンピュータ1のハードウェア群を示すブロック図である。サーバコンピュータ1を動作させるためのプログラムは、ディスクドライブ等の読み取り部10AにCD-ROM、DVD(Digital Versatile Disc)ディスクまたはUSB(Universal Serial Bus)メモリ等の可搬型記録媒体1Aを読み取らせて記憶部15に記憶しても良い。また当該プログラムを記憶したフラッシュメモリ等の半導体メモリ1Bをサーバコンピュータ1内に実装しても良い。さらに、当該プログラムは、インターネット等の通信網Nを介して接続される他のサーバコンピュータ(図示せず)からダウンロードすることも可能である。以下に、その内容を説明する。
FIG. 45 is a block diagram illustrating a hardware group of the
図45に示すサーバコンピュータ1は、上述した各種ソフトウェア処理を実行するプログラムを、可搬型記録媒体1Aまたは半導体メモリ1Bから読み取り、或いは、通信網Nを介して他のサーバコンピュータ(図示せず)からダウンロードする。当該プログラムは、制御プログラム15Pとしてインストールされ、RAM12にロードして実行される。これにより、上述したサーバコンピュータ1として機能する。
The
本実施の形態7は以上の如きであり、その他は実施の形態1乃至6と同様であるので、対応する部分には同一の参照番号を付してその詳細な説明を省略する。 The seventh embodiment is as described above, and the other parts are the same as those of the first to sixth embodiments. Therefore, the corresponding parts are denoted by the same reference numerals, and detailed description thereof is omitted.
以上の実施の形態1乃至7を含む実施形態は、処理に矛盾の無い範囲で適宜複数を組み合わせて実施しても構わない。以上の実施の形態1乃至7を含む実施形態に関し、さらに以下の付記を開示する。 The embodiments including the above first to seventh embodiments may be implemented by appropriately combining a plurality of embodiments within a range where there is no contradiction in processing. The following additional notes are further disclosed with respect to the embodiments including the first to seventh embodiments.
(付記1)
制御部を有する情報処理装置に入力された入力情報を処理する情報処理方法において、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
情報処理方法。
(Appendix 1)
In an information processing method for processing input information input to an information processing apparatus having a control unit,
The control unit obtains risk increase / decrease information,
Based on the risk increase / decrease information acquired by the control unit, the first threshold range stored in the storage unit or the second threshold range stored in the storage unit is corrected,
Determining whether or not a value based on input information exceeds the first threshold range by the control unit;
When the control unit determines that the first threshold range is exceeded, it is determined whether or not the number of times it has been determined to exceed or the time that has been exceeded exceeds the second threshold range,
An information processing method for outputting abnormality information when the control unit determines that the second threshold range is exceeded.
(付記2)
第1閾範囲または第2閾範囲を補正する場合、
取得した増減情報により危険性が増加する場合に、前記制御部により前記第1閾範囲または第2閾範囲を小さく補正し、
取得した増減情報により危険性が減少する場合に、前記制御部により前記第1閾範囲または第2閾範囲を大きく補正する
付記1に記載の情報処理方法。
(Appendix 2)
When correcting the first threshold range or the second threshold range,
When the risk increases due to the acquired increase / decrease information, the control unit corrects the first threshold range or the second threshold range to be small,
The information processing method according to
(付記3)
前記入力情報に基づく値は、
前記情報処理装置に対し入力された命令数または前記情報処理装置に対し入力された命令に基づき処理したデータ量を含み、
第1閾値を越えるか否かを判断する場合、
前記制御部により、命令数またはデータ量が記憶部に記憶した第1閾範囲を越えるか否かを判断する
付記1または2に記載の情報処理方法。
(Appendix 3)
The value based on the input information is
Including the number of instructions input to the information processing apparatus or the amount of data processed based on the instructions input to the information processing apparatus,
When determining whether or not the first threshold is exceeded,
The information processing method according to
(付記4)
異常情報の出力回数、及び、異常に対応したことを示す対応情報を記憶部に記憶し、
前記記憶部により異常情報の出力回数が第1閾値を越えるか否か判断し、
第1閾値を越えると判断した場合に、前記制御部により前記記憶部に対応情報が記憶されているか判断し、
前記制御部により、前記対応情報が記憶されていないと判断した場合に、前記第1閾範囲または第2閾範囲を大きく補正し、
前記制御部により、前記対応情報が記憶されていると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
付記1乃至3のいずれか一つに記載の情報処理方法。
(Appendix 4)
Store the correspondence information indicating the number of times of abnormality information output and the correspondence to the abnormality in the storage unit,
Determining whether or not the output number of the abnormality information exceeds the first threshold by the storage unit;
When it is determined that the first threshold value is exceeded, the control unit determines whether correspondence information is stored in the storage unit,
When the control unit determines that the correspondence information is not stored, the first threshold range or the second threshold range is greatly corrected,
The information processing method according to any one of
(付記5)
前記記憶部により前記第1閾値を越えないと判断した場合に、前記記憶部に記憶した異常情報の出力回数が前記第1閾値より小さい第2閾値を越えるか否か判断し、
第2閾値を越えないと判断した場合に、前記第1閾範囲または第2閾範囲を小さく補正し、
前記制御部により、前記第2閾値を越えると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
付記4に記載の情報処理方法。
(Appendix 5)
When it is determined by the storage unit that the first threshold value is not exceeded, it is determined whether or not the output count of the abnormality information stored in the storage unit exceeds a second threshold value that is smaller than the first threshold value,
When it is determined that the second threshold value is not exceeded, the first threshold range or the second threshold range is corrected to be small,
The information processing method according to
(付記6)
前記制御部により第1閾範囲または第2閾範囲を補正した場合に、記憶部に補正の履歴を記憶し、
前記記憶部に記憶した補正の履歴に基づき、第1閾範囲または第2閾範囲が連続して小さくまたは大きく補正されたと判断した場合、前記制御部により第1閾範囲または第2閾範囲の補正量を変更する
付記2乃至5のいずれか一つに記載の情報処理方法。
(Appendix 6)
When the first threshold range or the second threshold range is corrected by the control unit, the correction history is stored in the storage unit,
When it is determined that the first threshold range or the second threshold range is continuously reduced or increased based on the correction history stored in the storage unit, the control unit corrects the first threshold range or the second threshold range. The information processing method according to any one of
(付記7)
前記記憶部に記憶した補正の履歴に基づき、第1閾範囲または第2閾範囲が連続して小さく補正されておらず、かつ、連続して大きく補正されていないと判断した場合、前記制御部により第1閾範囲または第2閾範囲の補正量に対する変更量を初期値へ戻す
付記6に記載の情報処理方法。
(Appendix 7)
If it is determined that the first threshold range or the second threshold range is not continuously corrected to be small and is not continuously greatly corrected based on the correction history stored in the storage unit, the control unit The information processing method according to
(付記8)
前記制御部により前記第2閾範囲を時間の経過に基づき減少する
付記1乃至7のいずれか一つに記載の情報処理方法。
(Appendix 8)
The information processing method according to any one of
(付記9)
記憶部に記憶した入力情報に基づく値を用いて、前記制御部により分散を算出し、
算出した分散に基づいて、前記制御部により第1閾範囲または第2閾範囲の範囲を決定する
付記1乃至8のいずれか一つに記載の情報処理方法。
(Appendix 9)
Using the value based on the input information stored in the storage unit, the variance is calculated by the control unit,
The information processing method according to any one of
(付記10)
セキュリティポリシーを記憶したテーブル及び算出した分散に基づき、前記制御部により第1閾範囲または第2閾範囲の範囲を決定する
付記9に記載の情報処理方法。
(Appendix 10)
The information processing method according to
(付記11)
制御部を有するコンピュータに入力された入力情報を処理するプログラムにおいて、
コンピュータに、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
処理を実行させるプログラム。
(Appendix 11)
In a program for processing input information input to a computer having a control unit,
On the computer,
The control unit obtains risk increase / decrease information,
Based on the risk increase / decrease information acquired by the control unit, the first threshold range stored in the storage unit or the second threshold range stored in the storage unit is corrected,
The control unit determines whether the value based on the input information exceeds the first threshold range,
When the control unit determines that the first threshold range is exceeded, it is determined whether or not the number of times it has been determined to exceed or the time that has been exceeded exceeds the second threshold range,
A program for executing processing for outputting abnormality information when the control unit determines that the second threshold range is exceeded.
(付記12)
入力された入力情報を処理する情報処理装置において、
入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理装置。
(Appendix 12)
In an information processing apparatus that processes input information,
A first determination unit for determining whether a value based on input information exceeds a first threshold range stored in the storage unit;
A second determination unit for determining whether or not the number of times determined to exceed or the time exceeded exceeds the second threshold range stored in the storage unit when it is determined that the first threshold range is exceeded;
An acquisition unit for acquiring risk increase / decrease information;
A correction unit that corrects the first threshold range or the second threshold range based on the risk increase / decrease information acquired by the acquisition unit;
An information processing apparatus comprising: an output unit that outputs abnormality information when the second determination unit determines that the second threshold range is exceeded.
(付記13)
通信網を介して端末装置と中央装置とが接続された情報処理システムにおいて、
前記中央装置は、
前記端末装置から送信された入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理システム。
(Appendix 13)
In an information processing system in which a terminal device and a central device are connected via a communication network,
The central device is
A first determination unit that determines whether or not a value based on input information transmitted from the terminal device exceeds a first threshold range stored in a storage unit;
A second determination unit for determining whether or not the number of times determined to exceed or the time exceeded exceeds the second threshold range stored in the storage unit when it is determined that the first threshold range is exceeded;
An acquisition unit for acquiring risk increase / decrease information;
A correction unit that corrects the first threshold range or the second threshold range based on the risk increase / decrease information acquired by the acquisition unit;
An information processing system comprising: an output unit that outputs abnormality information when the second determination unit determines that the second threshold range is exceeded.
1 サーバコンピュータ、パーソナルコンピュータ
1A 可搬型記録媒体
1B 半導体メモリ
2、2A〜2C パーソナルコンピュータ
2、2D 指紋認証装置
3 管理コンピュータ
4 セキュリティサーバ
11 CPU
12 RAM
13 入力部
14 表示部
15 記憶部
15A アプリケーションプログラム
15P 制御プログラム
16 通信部
18 時計部
21 CPU
22 RAM
23 入力部
24 表示部
25 記憶部
25P 制御プログラム
26 通信部
31 CPU
32 RAM
33 入力部
34 表示部
35 記憶部
35P 制御プログラム
36 通信部
38 時計部
101 第1判断部
102 第2判断部
103 取得部
104 補正部
105 出力部
151 第1閾範囲ファイル
152 第2閾範囲ファイル
153 履歴DB
154 セキュリティポリシーテーブル
155 分散テーブル
156 範囲テーブル
157 異常履歴DB
201 制御部
203 指紋入力部
204 表示部
205 記憶部
205P 制御プログラム
206 通信部
208 ロック部
351 人事ファイル
352 環境ファイル
2051 指紋データファイル
N 通信網
DESCRIPTION OF
12 RAM
DESCRIPTION OF
22 RAM
23
32 RAM
33
154 Security policy table 155 Distributed table 156 Range table 157 Abnormal history DB
Claims (12)
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
情報処理方法。 In an information processing method for processing input information input to an information processing apparatus having a control unit,
The control unit obtains risk increase / decrease information,
Based on the risk increase / decrease information acquired by the control unit, the first threshold range stored in the storage unit or the second threshold range stored in the storage unit is corrected,
Determining whether or not a value based on input information exceeds the first threshold range by the control unit;
When the control unit determines that the first threshold range is exceeded, it is determined whether or not the number of times it has been determined to exceed or the time that has been exceeded exceeds the second threshold range,
An information processing method for outputting abnormality information when the control unit determines that the second threshold range is exceeded.
取得した増減情報により危険性が増加する場合に、前記制御部により前記第1閾範囲または第2閾範囲を小さく補正し、
取得した増減情報により危険性が減少する場合に、前記制御部により前記第1閾範囲または第2閾範囲を大きく補正する
請求項1に記載の情報処理方法。 When correcting the first threshold range or the second threshold range,
When the risk increases due to the acquired increase / decrease information, the control unit corrects the first threshold range or the second threshold range to be small,
The information processing method according to claim 1, wherein when the risk decreases due to the acquired increase / decrease information, the control unit corrects the first threshold range or the second threshold range largely.
前記情報処理装置に対し入力された命令数または前記情報処理装置に対し入力された命令に基づき処理したデータ量を含み、
第1閾範囲を越えるか否かを判断する場合、
前記制御部により、命令数またはデータ量が記憶部に記憶した第1閾範囲を越えるか否かを判断する
請求項1または2に記載の情報処理方法。 The value based on the input information is
Including the number of instructions input to the information processing apparatus or the amount of data processed based on the instructions input to the information processing apparatus,
When judging whether to exceed the first threshold range ,
The information processing method according to claim 1 or 2, wherein the control unit determines whether or not the number of instructions or the amount of data exceeds a first threshold range stored in a storage unit.
前記記憶部により異常情報の出力回数が第1閾値を越えるか否か判断し、
第1閾値を越えると判断した場合に、前記制御部により前記記憶部に対応情報が記憶されているか判断し、
前記制御部により、前記対応情報が記憶されていないと判断した場合に、前記第1閾範囲または第2閾範囲を大きく補正し、
前記制御部により、前記対応情報が記憶されていると判断した場合に、前記第1閾範囲または第2閾範囲の値を維持する
請求項1乃至3のいずれか一つに記載の情報処理方法。 Store the correspondence information indicating the number of times of abnormality information output and the correspondence to the abnormality in the storage unit,
Determining whether or not the output number of the abnormality information exceeds the first threshold by the storage unit;
When it is determined that the first threshold value is exceeded, the control unit determines whether correspondence information is stored in the storage unit,
When the control unit determines that the correspondence information is not stored, the first threshold range or the second threshold range is greatly corrected,
The information processing method according to any one of claims 1 to 3, wherein when the control unit determines that the correspondence information is stored, the value of the first threshold range or the second threshold range is maintained. .
コンピュータに、
前記制御部により、危険性の増減情報を取得し、
前記制御部により取得した危険性の増減情報に基づき、記憶部に記憶した第1閾範囲または記憶部に記憶した第2閾範囲を補正し、
前記制御部により入力情報に基づく値が前記第1閾範囲を越えるか否か判断し、
前記制御部により前記第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が前記第2閾範囲を越えるか否か判断し、
前記制御部により前記第2閾範囲を越えると判断した場合に、異常情報を出力する
処理を実行させるプログラム。 In a program for processing input information input to a computer having a control unit,
On the computer,
The control unit obtains risk increase / decrease information,
Based on the risk increase / decrease information acquired by the control unit, the first threshold range stored in the storage unit or the second threshold range stored in the storage unit is corrected,
Determining whether or not a value based on input information exceeds the first threshold range by the control unit;
When the control unit determines that the first threshold range is exceeded, it is determined whether or not the number of times it has been determined to exceed or the time that has been exceeded exceeds the second threshold range,
A program for executing processing for outputting abnormality information when the control unit determines that the second threshold range is exceeded.
入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理装置。 In an information processing apparatus that processes input information,
A first determination unit for determining whether a value based on input information exceeds a first threshold range stored in the storage unit;
A second determination unit for determining whether or not the number of times determined to exceed or the time exceeded exceeds the second threshold range stored in the storage unit when it is determined that the first threshold range is exceeded;
An acquisition unit for acquiring risk increase / decrease information;
A correction unit that corrects the first threshold range or the second threshold range based on the risk increase / decrease information acquired by the acquisition unit;
An information processing apparatus comprising: an output unit that outputs abnormality information when the second determination unit determines that the second threshold range is exceeded.
前記中央装置は、
前記端末装置から送信された入力情報に基づく値が記憶部に記憶した第1閾範囲を越えるか否か判断する第1判断部と、
第1閾範囲を越えると判断した場合に、越えると判断した回数または越えた時間が記憶部に記憶した第2閾範囲を越えるか否か判断する第2判断部と、
危険性の増減情報を取得する取得部と、
該取得部により取得した危険性の増減情報に基づき、第1閾範囲または第2閾範囲を補正する補正部と、
前記第2判断部により第2閾範囲を越えると判断した場合に、異常情報を出力する出力部と
を備える情報処理システム。 In an information processing system in which a terminal device and a central device are connected via a communication network,
The central device is
A first determination unit that determines whether or not a value based on input information transmitted from the terminal device exceeds a first threshold range stored in a storage unit;
A second determination unit for determining whether or not the number of times determined to exceed or the time exceeded exceeds the second threshold range stored in the storage unit when it is determined that the first threshold range is exceeded;
An acquisition unit for acquiring risk increase / decrease information;
A correction unit that corrects the first threshold range or the second threshold range based on the risk increase / decrease information acquired by the acquisition unit;
An information processing system comprising: an output unit that outputs abnormality information when the second determination unit determines that the second threshold range is exceeded.
危険性の増減情報を取得し、Get risk increase / decrease information,
前記情報処理装置に対して入力された入力情報に基づく値が、取得した前記増減情報に基づいて決定される第1閾範囲を越えるか否か判定し、Determining whether a value based on input information input to the information processing apparatus exceeds a first threshold range determined based on the acquired increase / decrease information;
前記第1閾範囲を越えると判定した場合に、越えると判断した回数または越えた時間が、取得した前記増減情報に基づいて決定される第2閾範囲を越えるか否か判定し、When it is determined that the first threshold range is exceeded, it is determined whether or not the number of times or the time exceeded is determined to exceed a second threshold range determined based on the acquired increase / decrease information,
前記第2閾範囲を越えると判定した場合に、異常情報を表示手段に出力するWhen it is determined that the second threshold range is exceeded, abnormality information is output to the display means.
ことを実行することを特徴とする情報処理方法。An information processing method comprising:
取得した増減情報により危険性が増加する場合に、前記第1閾範囲または第2閾範囲を小さく補正し、When the risk increases due to the acquired increase / decrease information, the first threshold range or the second threshold range is corrected to be small,
取得した増減情報により危険性が減少する場合に、前記第1閾範囲または第2閾範囲を大きく補正するWhen the risk decreases due to the acquired increase / decrease information, the first threshold range or the second threshold range is largely corrected.
請求項8に記載の情報処理方法。The information processing method according to claim 8.
前記情報処理装置に対し入力された命令数または前記情報処理装置に対し入力された命令に基づき処理したデータ量を含み、Including the number of instructions input to the information processing apparatus or the amount of data processed based on the instructions input to the information processing apparatus,
第1閾範囲を越えるか否かを判断する場合、When judging whether to exceed the first threshold range,
命令数またはデータ量が記憶部に記憶した第1閾範囲を越えるか否かを判断するDetermine whether the number of instructions or the amount of data exceeds the first threshold range stored in the storage unit
請求項8または9に記載の情報処理方法。The information processing method according to claim 8 or 9.
危険性の増減情報を取得し、Get risk increase / decrease information,
前記情報処理装置に対して入力された入力情報に基づく値が、取得した前記増減情報に基づいて決定される第1閾範囲を越えるか否か判定し、Determining whether a value based on input information input to the information processing apparatus exceeds a first threshold range determined based on the acquired increase / decrease information;
前記第1閾範囲を越えると判定した場合に、越えると判断した回数または越えた時間が、取得した前記増減情報に基づいて決定される第2閾範囲を越えるか否か判定し、When it is determined that the first threshold range is exceeded, it is determined whether or not the number of times or the time exceeded is determined to exceed a second threshold range determined based on the acquired increase / decrease information,
前記第2閾範囲を越えると判定した場合に、異常情報を表示手段に出力するWhen it is determined that the second threshold range is exceeded, abnormality information is output to the display means.
ことを実行させることを特徴とするプログラム。A program characterized by causing execution.
情報処理装置に対して入力された入力情報に基づく値が、取得した前記増減情報に基づいて決定される第1閾範囲を越えるか否か判定する第1判定部と、
前記第1閾範囲を越えると判定した場合に、越えると判断した回数または越えた時間が、取得した前記増減情報に基づいて決定される第2閾範囲を越えるか否か判定する第2判定部と、
前記第2閾範囲を越えると判定した場合に、異常情報を表示手段に出力する出力部と
を備えることを特徴とする情報処理装置。 An acquisition unit for acquiring risk increase / decrease information ;
Value based on the input information input to information processing apparatus, the first determination unit determines whether more than a first threshold range determined based on the acquired increased or decreased information,
A second determination unit that determines whether or not the number of times or the time that has been exceeded exceeds a second threshold range determined based on the obtained increase / decrease information when it is determined that the first threshold range is exceeded; When,
An information processing apparatus comprising: an output unit that outputs abnormality information to the display means when it is determined that the second threshold range is exceeded.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011007256A JP5691539B2 (en) | 2011-01-17 | 2011-01-17 | Information processing method, program, information processing apparatus, and information processing system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011007256A JP5691539B2 (en) | 2011-01-17 | 2011-01-17 | Information processing method, program, information processing apparatus, and information processing system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012150570A JP2012150570A (en) | 2012-08-09 |
JP5691539B2 true JP5691539B2 (en) | 2015-04-01 |
Family
ID=46792773
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011007256A Active JP5691539B2 (en) | 2011-01-17 | 2011-01-17 | Information processing method, program, information processing apparatus, and information processing system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5691539B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6611249B2 (en) * | 2016-03-02 | 2019-11-27 | ソフトバンク株式会社 | Authentication server and authentication server program |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP4518387B2 (en) * | 2004-09-22 | 2010-08-04 | 日立ソフトウエアエンジニアリング株式会社 | Security diagnosis program and system for secure OS |
US7908645B2 (en) * | 2005-04-29 | 2011-03-15 | Oracle International Corporation | System and method for fraud monitoring, detection, and tiered user authentication |
JP4514717B2 (en) * | 2006-01-20 | 2010-07-28 | パラマウントベッド株式会社 | A bed apparatus equipped with a bed prediction and detection system |
JP2008287435A (en) * | 2007-05-16 | 2008-11-27 | Toshiba Corp | Security level monitoring evaluation device and security level monitoring evaluation program |
US8732825B2 (en) * | 2008-05-28 | 2014-05-20 | Symantec Corporation | Intelligent hashes for centralized malware detection |
JP5191376B2 (en) * | 2008-12-25 | 2013-05-08 | 株式会社野村総合研究所 | Risk-based authentication system, risk information acquisition server, and risk-based authentication method |
-
2011
- 2011-01-17 JP JP2011007256A patent/JP5691539B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2012150570A (en) | 2012-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108268354B (en) | Data security monitoring method, background server, terminal and system | |
CN108055281B (en) | Account abnormity detection method, device, server and storage medium | |
US11531766B2 (en) | Systems and methods for attributing security vulnerabilities to a configuration of a client device | |
CA2580731C (en) | Fraud risk advisor | |
CN110383278A (en) | The system and method for calculating event for detecting malice | |
JP2017146951A (en) | System and method of detecting fraudulent user transactions | |
US20150067835A1 (en) | Detecting Anomalous User Behavior Using Generative Models of User Actions | |
JP2017004521A (en) | Method and device for controlling communication of endpoint in industrial enterprise system based on integrity | |
CA2854966A1 (en) | Fraud analyst smart cookie | |
US20220198054A1 (en) | Rights management regarding user data associated with data lifecycle discovery platform | |
CN110493181B (en) | User behavior detection method and device, computer equipment and storage medium | |
CN103201747A (en) | A method for attesting a plurality of data processing systems | |
US10664619B1 (en) | Automated agent for data copies verification | |
US20240045991A1 (en) | Data lifecycle discovery and management | |
CN110474911A (en) | Trusted end-user recognition methods, device, equipment and computer readable storage medium | |
CN111984724A (en) | Operating strategy and distributed database for industrial field devices | |
US20190007405A1 (en) | Electronic device identification | |
JP5691539B2 (en) | Information processing method, program, information processing apparatus, and information processing system | |
KR20200115730A (en) | System and method for generating software whistlist using machine run | |
US20180205752A1 (en) | Security Breach Detection in a Digital Medium Environment | |
CN116910816A (en) | Multiparty asset collaborative management method and device for improving privacy protection | |
US20220171886A1 (en) | Authenticity verification | |
CN113627808B (en) | Security assessment method and system for third-party intelligent electric power Internet of things equipment of power distribution network | |
CN108804951B (en) | Method and apparatus to identify integrity degradation of a process control system | |
CN111127183A (en) | Data processing method, device, server and computer readable storage medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20131007 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20140624 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140708 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20140908 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20140930 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20141121 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150106 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150119 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5691539 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |