JP6014746B2 - 不正利用検出方法及び不正利用検出装置 - Google Patents

不正利用検出方法及び不正利用検出装置 Download PDF

Info

Publication number
JP6014746B2
JP6014746B2 JP2015502685A JP2015502685A JP6014746B2 JP 6014746 B2 JP6014746 B2 JP 6014746B2 JP 2015502685 A JP2015502685 A JP 2015502685A JP 2015502685 A JP2015502685 A JP 2015502685A JP 6014746 B2 JP6014746 B2 JP 6014746B2
Authority
JP
Japan
Prior art keywords
unauthorized use
user
operation feature
use detection
terminal device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2015502685A
Other languages
English (en)
Other versions
JPWO2014132431A1 (ja
Inventor
知広 花井
知広 花井
克朗 菊地
克朗 菊地
友洋 中村
友洋 中村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Ltd
Original Assignee
Hitachi Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Ltd filed Critical Hitachi Ltd
Application granted granted Critical
Publication of JP6014746B2 publication Critical patent/JP6014746B2/ja
Publication of JPWO2014132431A1 publication Critical patent/JPWO2014132431A1/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/88Detecting or preventing theft or loss
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Debugging And Monitoring (AREA)
  • User Interface Of Digital Computer (AREA)
  • Information Transfer Between Computers (AREA)

Description

本発明は、計算機システムにおけるユーザの特定方法に関する。
スマートフォンやタブレット端末などのモバイル端末の急速な普及により、従業員がこれらの端末を利用して業務を行うことが増えている。しかしながら、端末の紛失や盗難により第三者が端末を悪用した場合に、社内システムへの不正アクセスにより情報漏洩などが発生するリスクがある。一般的には端末側でのセキュリティ対策(端末ロック、リモートワイプ等)が実施されるが、ロック未設定やアンロック状態での盗難の場合は、完全に防ぐことができない。そのため端末側での対策によらず、社内システム側でも不正利用対策が必要である。
特開2006−260454 特開2011−197802 特開2009−175984
特許文献1では、オンラインバンキングにおいてユーザ操作が従来の傾向と異なる場合にそれを検知して別の手段(メール又は電話)で認証を行う方法が開示されている。ユーザ操作の具体的なものとして記載されているのは、パスワードの間違い方の傾向、入力の癖(全角/半角、数値のカンマの有無)などである。しかしながら、複数の判定基準を組み合わせて検知する方法については開示されておらず、誤検知の確率が高いという問題がある。また、入力項目に入力されサーバ側へ送信された情報のみから判定処理を行っている。そのため、入力項目あるページでないと判定できず、検知のタイミングが限定される。さらに、不正利用を検知した場合に、メールや電話により再認証を行うため、認証コストが大きいという問題がある。
特許文献2では、Webブラウザ上での操作の特徴量を利用してWebサイト利用者の特徴および傾向を分析する方法が開示されている。しかし分析内容は、Webサイトのコンテンツに依存して設計されるため、一般的なWebサイトには適用することが出来ない。また、Webサイト利用者の特徴および傾向を分析するものであって、不正利用か否かを判定するものではない。
特許文献3では、過去の慣習情報から構築したベイジアンネットにより、アクセスユーザが本人である確率を算出する方法について開示されている。利用する慣習情報として記載されているのは、アクセス年月日、アクセス時間帯等を含む時間情報、IDやパスワード入力時のキーボードの平均打鍵速度や隣接打鍵間速度、マウス操作の軌跡情報などである。しかしながら、これらの慣習情報を用いた具体的な確率算出方法は開示されておらず、慣習情報のユーザ間のばらつきは考慮されていない
以上の従来技術においては、複数の判断基準(特徴量)を組合せて不正利用の判定処理を行っておらず、特徴量のユーザ間のばらつきを考慮していないため、誤検出確率が高いという問題がある。
本発明はこのような事情に鑑み、端末の不正利用の検出精度を向上させることを目的とする。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、下記の通りである。
ユーザの操作ログから算出される複数の操作特徴量と、他のユーザの複数の操作特徴量を用いて算出されるユーザの複数の操作特徴量の重みとを記録し、端末装置の操作ログを取得し、操作ログから複数の操作特徴量を算出し、算出した複数の操作特徴量と記録されたユーザの複数の操作特徴量との類似度を、記録されたユーザの複数の操作特徴量の重みを用いて算出し、端末装置の不正利用を検出する不正利用検出方法である。
本発明によれば、端末の不正利用の検出精度を向上させることが可能となる。
上記した以外の課題、構成及び効果は、以下の実施形態の説明より明らかにされる。
システムのハードウェア構成を表す図の例である。 操作特徴量重み算出処理の流れを表す図の例である。 操作ログテーブルの例である。 操作特徴量テーブルの例である。 操作特徴量重みテーブルの例である。 不正利用検出機能における操作特徴量重みテーブル算出処理を表すフローチャートの例である。 不正利用検出機能における利用状況判定処理を表すフローチャートの例である。 不正利用判定処理の流れを表す図の例である。 判定閾値テーブルの例である。 判定結果テーブルの例である。 不正利用検出機能における不正利用判定処理を表すフローチャートの例である。 モバイル端末装置において不正利用検出を行う場合のシステム構成及び動作の流れを表す図の例である。
以下、本発明の一実施形態を添付図面に基づいて説明する。
図1は実施形態を示し、本発明を適用する計算機システムのハードウェア構成を示すブロック図である。
図1において、ネットワーク101にはユーザが業務を行うモバイル端末装置110と、ユーザの端末操作を分析し不正利用の監視を行う操作分析サーバ130と、ユーザが業務を行うためのアプリケーションプログラムが動作する業務Webサーバ170が接続されている。
モバイル端末装置110は、演算処理を行うCPU111と、プログラムやデータを格納するメモリ112と、ネットワーク101を介して他のサーバと通信を行う通信インターフェース113と、モバイル端末の位置を検出するための位置検出モジュール114と、モバイル端末の加速度を測定するための加速度センサ115と、操作画面を表示するための画面表示装置116と、画面表示装置においてユーザが触れた位置を検出するためのタッチセンサ117を備える。ユーザはタッチセンサ117を操作することによりWebブラウザ121を操作する。通信インターフェース113とネットワーク101の接続は、有線ネットワークもしくは無線ネットワークのどちらでもよい。
モバイル端末装置110のメモリ112には、Webブラウザ121が、プログラムとして存在する。さらにWebブラウザ121は、業務Webサーバ170からのレスポンスを画面表示するレンダリングエンジン122と、レスポンスに含まれる操作記録機能124および操作ログ送信機能125を実行するスクリプトエンジン123を含む。操作記録機能124は、ユーザがWebブラウザ121上で行った操作を操作ログとして記録し、操作ログ送信機能125は、記録された操作ログを操作分析サーバ130へ送信する。
操作分析サーバ130は、CPU131と、メモリ132と、通信インターフェース133と、ディスクコントローラ134と、ローカルディスク135と、を備える。操作分析サーバ130のメモリ132には、操作分析プログラム141が存在し、操作分析プログラム141は、操作記録モジュール挿入機能142と、レスポンス改変機能143と、不正利用検出機能144と、を含む。CPU131がメモリに記録されている各種プログラムを読み出して実行することにより、各種機能を実現する。また、ローカルディスク135には、操作ログテーブル145と、操作特徴量テーブル146と、操作特徴量重みテーブル147と、判定閾値テーブル148と、判定結果テーブル149が格納されている。
業務Webサーバ170は、CPU171と、メモリ172と、通信インターフェース173と、ディスクコントローラ174と、ローカルディスク175と、を備える。操作分析サーバ170のメモリ172には、業務アプリケーションプログラム181が存在する。ここで業務アプリケーションプログラム181は、例えば、メール送受信、商品在庫管理、勤怠管理、営業案件管理などをWebブラウザから操作することが可能なプログラムである。
はじめに、図2から図7を用いて、不正利用判定処理に必要な操作特徴量重みを算出する処理について説明する。
図2は、操作特徴量重みを算出する際の処理の流れを表すシステム構成図である。
ユーザはモバイル端末装置110のWebブラウザ121を用いて、業務Webサーバ170で動作する業務アプリケーション181にアクセスする。Webブラウザ121がリクエスト(S201)を発行すると、そのリクエストを操作分析サーバ130の操作記録モジュール142がトラップし、操作記録モジュール142が同一のリクエストを業務Webサーバ170の業務アプリケーション181へ送信する(S202)。業務アプリケーション181はリクエストに対するレスポンスを送信し(S203)、操作記録モジュール142は受信したレスポンスへ操作記録機能124および操作ログ送信機能125を埋め込んで、Webブラウザ121へ送信する(S205)。
Webブラウザ121では業務アプリケーション181の画面が表示されるが、同時に操作記録機能124および操作ログ送信機能125がスクリプトエンジン123において実行される。画面上でユーザが操作を行った場合(S206)、その操作内容を操作記録機能124が記録し(S207)、操作ログ送信機能125が操作分析サーバ130へ送信する(S208)。
操作分析サーバ130上の不正利用検出機能144はモバイル端末装置110からの操作ログを受信すると、操作ログテーブル145へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、操作特徴量テーブル146に格納する(S209)。さらに、操作特徴量テーブル146から特徴量の重みを算出し、操作特徴量重みテーブル147へ格納する(S210)。
上記のように、操作記録モジュール142が、モバイル端末装置110へのレスポンスS205に操作記録機能124および操作ログ送信機能125を埋め込むことによって、モバイル端末装置110および業務Webサーバ170を変更することなく、自動的にWebブラウザ121において操作記録機能124および操作ログ送信機能125を動作させることが可能となる。
図3に、操作ログテーブル145の一例を示す。
操作ログテーブル145には、ユーザを識別するためのID301、操作が行われた日時302、操作が行われたWebページのURL303、操作によって発生したイベントの種別304、イベント種別に応じた属性値305が含まれる。
例として、ユーザがWebページを表示した際には、イベント種別が“load”である操作ログレコードが記録される。ユーザが別のWebページを表示したり、Webブラウザを終了した場合には、イベント種別“unload”が記録される。また、ユーザがタッチパネルに手を触れた際には、イベント種別が“touchstart”、タッチパネルから手を離した際には、イベント種別が“touchend”である操作ログレコードが記録される。この際、属性値には手を触れたもしくは離した際のタッチパネル上の座標が記録される。
また、ユーザがWebブラウザ上に表示されたWebページをスクロールさせた場合には、イベント種別“scroll”がスクロール移動量とともに記録される。
また、ユーザがWebページ内の入力欄にテキストを入力した場合は、その内容が“keypress”として記録される。
また、ユーザがWebページ上に表示されたボタンや他のWebページへのリンクなどを押した場合には、“click”が記録される。
また、ユーザがモバイル端末装置110の画面表示方向(縦長方向または横長方向)を変更した場合には、イベント種別”orientationchange”が記録される。
また、位置検出モジュール114から取得された端末位置情報(緯度、経度、移動速度)は、イベント種別“geolocation”として記録される。
また、加速度センサ115から取得された加速度情報は、イベント種別“devicemotion”として記録される。
図4に、操作特徴量テーブル146の一例を示す。
操作特徴量テーブル146には、WebページのURL401、ユーザを識別するためのID402、モバイル端末装置の利用状況403の組み合わせに対し、N個の操作特徴量404から406が記録される。ここでは、利用状況が机上である場合のユーザXの操作特徴量Viの値をVXi_Dと記載し、利用状況が手持ちである場合をVXi_Hと記載している。利用状況403については、図7の説明において詳細を述べる。
操作特徴量は、モバイル端末の加速度センサ115で取得される加速度情報、位置検出モジュール114で取得される位置情報、さらにはタッチセンサ117で取得されるタッチパネルの操作情報などから算出される。
ここで操作特徴量とは、例えば次のようなものである。“load”から“unload”までの所要時間から算出されるページの閲覧時間、“touchstart”から“touchend”までの所要時間の平均から算出されるタッチ平均時間、スクロール移動量およびスクロール時のタッチ所要時間から算出されるスクロール操作速度、“touchstart”および“touchend”の座標から算出されるタッチパネル上でのスクロール操作位置、“touchstart”および“touchend”の座標から算出されるタッチ操作によるWebページ表示の拡大・縮小の操作方向および頻度、“keypress”から算出される文字の入力速度、“orientationchange”に記録された画面表示方向(縦長/横長)、“devicemotion”に記録された加速度から算出される端末の角度および振動量である。
また、操作特徴量テーブル146は、Webページ毎に全てのユーザについて各々の操作特徴量を平均した操作特徴量平均値Vi_avgが格納されている。
図5に、操作特徴量重みテーブル147の一例を示す。
操作特徴量重みテーブル147には、WebページのURL501、ユーザを識別するためのID502、モバイル端末装置の利用状況503の組み合わせに対し、N個の操作特徴量重み504から506が含まれる。ここでは、ユーザXの操作特徴量Viに対する操作特徴量重みの値Wiを、WXi_Dと記載している。
図6に、不正利用検出機能144における特徴量重み算出処理のフローチャートを示す。
モバイル端末装置110からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル145へ書き込む(S601)。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する(S602)。次に、図7で述べる利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する(S603)。当該WebページURLおよび当該ユーザおよび利用状況に対し、操作特徴量を操作特徴量テーブル146へ書き込み(S604)、操作特徴量テーブル146における平均値Vi_avgを再度算出し更新する(S604)。
さらに数1によって操作特徴量重みを算出し、当該ユーザのS604で判定した利用状況における操作特徴量重みを記録する(S606)。
Figure 0006014746
数1における操作特徴量重み算出は、全ユーザの平均からより異なっている特徴量の重みを高くするようになっている。これにより、各ユーザの特徴が出やすい操作に対して特徴量重みが高くなるため、不正利用検出精度の向上効果が得られる。
図7に、不正利用検出機能144における利用状況判定処理S603のフローチャートの例を示す。
操作特徴量テーブル146に格納された振動量を用いて、振動量が一定値以上かを判定する(S701)。振動量が一定値より大きい場合は、振動周期が一定値以下であるか判定する(S702)。振動周期が一定値以下である場合は、電車や自動車等に「乗車中」であると判定する(S703)。振動周期が一定以上である場合は、端末角度に変動があるかを判定し(S704)、変動がある場合は端末を「手持ち歩行中」であると判定する(S705)。端末角度に変動が無い場合は、利用状況を「その他不明」とする(S706)。S701において振動量が一定値以下である場合も、S704と同様に端末角度に変動があるがを判定し(S707)、変動がある場合は端末を「手持ち静止中」であると判定する(S708)。端末角度に変動が無い場合は、利用状況を「机上」とする(S709)。
上記では端末角度および振動量により判定処理を行う例を示したが、端末位置情報を組み合わせて判定してもよい。
モバイル端末装置は、机上に置いて両手で操作する場合と、片手で持ちもう一方の手で操作する場合で操作の傾向が大きく異なる。また歩行中や、電車や自動車等に乗車中などでは周囲の環境により操作の傾向が変わる可能性がある。そのため上記のように振動量や端末角度からモバイル端末装置の利用状況を判定(S604)して、利用状況毎の操作特徴量重みを算出することにより、不正利用検出精度の向上が期待できる。
以上まで、操作特徴量重みを算出する際の処理について説明した。次に、ユーザがアクセスした際に不正利用検出処理を行う際の処理の流れについて図8から図11を用いて説明する。
図8は、不正利用検出処理の流れを表すシステム構成図である。
ユーザが、Webブラウザ121において業務アプリケーション181の画面を表示して操作を行うと(S801)、操作記録機能124および操作ログ送信機能125により、その操作ログが操作分析サーバ130へ送信される(S802、S803)。操作分析サーバ130上の不正利用検出機能144はモバイル端末装置110からの操作ログを受信すると、操作ログテーブル145へ操作ログを格納する。さらに、受信した操作ログから操作特徴量を算出し、当該ユーザIDに対応する操作特徴量および操作特徴量重みを、操作特徴量テーブル146および操作特徴量重みテーブル147から取得する。受信した操作ログから算出された操作特徴量と、操作特徴量テーブル146に記録されている操作特徴量の類似度を算出する。この時、操作特徴量重みテーブル147に記録されている操作特徴量重みを使用して操作特徴量の類似度を重みつきで算出する。これにより、正規ユーザの特徴が表れやすい特徴量をより重視して操作特徴量の類似度を算出することが可能となり、不正利用の判定精度の向上が可能となる。この特徴量の重み付き類似度の算出方法については後述の図11の説明において詳細に説明する。この特徴量の重み付き類似度を不正利用確度とする。算出された不正利用確度に対して、判定閾値テーブル148に格納されている判定閾値と比較することにより不正利用判定結果を算出し、判定結果テーブル149に格納する(S804)。
その後、ユーザからWebページのリクエストが行われた場合、S805からS808の流れは図2におけるS201からS204の流れと同一であるが、レスポンス改変機能143は、判定結果テーブル149を参照し、当該ユーザにおける判定結果を基に、モバイル端末装置110へのレスポンスを改変する(S809)。
不正利用の可能性が疑われる場合の再認証において、常にモバイル端末におけるユーザIDやパスワードの再入力をさせることは、ユーザにとって操作が煩雑となる。そこで、本実施例では、不正利用確度に応じて再認証の方法を切り替える。これにより、ユーザIDやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。以下、詳細に説明する。
図9に、判定閾値テーブル148の一例を示す。
判定閾値テーブル148には、レスポンス種別901、および、各レスポンス種別に対応した判定閾値902が含まれる。判定閾値902は、端末が管理エリア内にある場合の判定閾値903と、管理エリア外にある場合の判定閾値904からなる。管理エリア外の場合の判定閾値905はさらに、ユーザのアクセス先がWebサイトAである場合の判定閾値905と、WebサイトBである場合の判定閾値906からなる。ここで管理エリアとは、端末が安全に利用可能な場所であり、例えばオフィスの執務室である。この例では、管理エリア外の場合の判定閾値904のみがアクセス先のWebサイトにより異なる判定閾値が設定されているが、管理エリア内の場合の判定閾値903についても同様にWebサイト毎に判定閾値を設定してもよい。
端末の位置情報から端末が管理エリア内にあるか判定し、管理エリア内にある場合は、不正利用確度がTIN_1以上である場合に判定結果はアクセス拒否となり、不正利用確度がTIN_1未満TIN_2以上である場合に判定結果は認証要となり、不正利用確度がTIN_2未満TIN_3以上である場合に判定結果は再操作要となり、不正利用確度がTIN_3未満である場合に判定結果は問題なしとなる。端末が管理エリア外にある場合も、TOUT_1〜TOUT_3を用いて同様に判定する。操作分析サーバは、端末が管理エリア内にあるかを判定するために、管理エリア内外に対応する位置情報を予め保持している。また、判定閾値は、操作分析サーバの管理者が、外部から設定可能である。
管理エリア外判定閾値904(TOUT_1〜TOUT_3)を管理エリア内判定閾値903(TIN_1〜TIN_3)より低く設定することにより、移動中など端末の盗難や紛失が発生しやすい状況における不正利用検出確率を向上させることが可能となる。また、アクセス先Webサイトに応じた判定閾値を使用することにより、機密性の高いWebサイトは判定閾値を厳しくし、機密性の低いWebサイトは判定閾値を緩くするといった、Webサイトの特性に応じた判定処理が可能となる。
図10に、判定結果テーブル149の一例を示す。
判定結果テーブル149には、ユーザID1001、および、各ユーザIDに対応した判定結果1002が含まれる。
レスポンス改変機能143は、ユーザからのリクエストが行われた際に、当該ユーザのユーザIDに対応する不正利用判定結果を判定結果テーブル149から取得し、不正利用判定結果に応じたレスポンス改変を行って、Webブラウザ121へレスポンスを送信する。
不正利用判定結果が「アクセス拒否」である場合は、レスポンスを送信せず、ユーザからのアクセスを拒否する。不正利用判定結果が「認証要」である場合は、ユーザIDおよびパスワードによる認証用Webページへユーザを移動させる。不正利用判定結果が「再操作要」である場合は、操作特徴量の違いが表れやすい他のWebページへユーザを移動させる。ここで、ユーザをどのWebページへ移動させるかは、数2により当該ユーザにおける各Webページの操作特徴量感度を算出し、最も操作特徴量感度が高いWebページを移動先ページとして選択する。
Figure 0006014746
不正利用判定結果が「問題なし」である場合は、レスポンスを改変せずWebブラウザ121へ送信する。
上記のとおり、不正利用確度に応じて再認証の方法を切り替えることにより、不正利用確度が大きくない場合にユーザIDやパスワードによる煩雑な認証手順を行わずに済むため、ユーザビリティを向上させることが可能となる。
図11に、不正利用検出機能144における不正利用判定処理のフローチャートを示す。
モバイル端末装置110からのユーザの操作ログを受信すると、その操作ログを操作ログテーブル145へ書き込む(S1101)。次に、受信した操作ログを基に、当該ユーザの操作特徴量を算出する(S1102)。次に、図7で述べた利用状況判定処理により、当該ユーザのモバイル端末の利用状況を判定する(S1103)。WebページURL、ユーザID、利用状況の組み合わせに対応する操作特徴量を、操作特徴量テーブル146から取得し(S1104)、数3により不正利用確度を算出する(S1105)。算出した不正利用確度と判定閾値テーブル148により、不正利用判定処理を行い、判定結果を判定結果テーブルへ書き込む(S1106)。
Figure 0006014746
以上の実施例構成により、複数の操作特徴量の組み合わせ、および、ユーザ間の操作特徴量のばらつきを考慮するための操作特徴量重み算出判定処理により、不正利用検出精度を向上させることが可能となる。
また、不正利用確度に応じて再認証の方法を切り替えることにより、ユーザIDやパスワードによる煩雑な認証を行わずにすむため、ユーザビリティを向上させることが可能となる。
本実施例では、モバイル端末装置110側で不正利用判定処理を行う方法について示す。
図12に、モバイル端末装置110側で不正利用判定処理を行う場合のシステム構成および処理の流れを示す。
ユーザはモバイル端末装置110のWebブラウザ121を用いて、業務Webサーバ170で動作する業務アプリケーション181にアクセスする。Webブラウザ121がリクエスト(S1201)を発行すると、そのリクエストを操作分析サーバ130の操作記録モジュール142がトラップし、操作記録モジュール142が同一のリクエストを業務Webサーバ170の業務アプリケーション181へ送信する(S1202)。業務アプリケーション181はリクエストに対するレスポンスを送信し(S1203)、操作記録モジュール142は受信したレスポンスへ操作記録機能124および端末側不正利用検出機能150を埋め込んで、Webブラウザ121へ送信する(S1205)。この際、端末側不正利用検出機能150には、操作分析サーバの操作特徴量テーブル146、操作特徴量重みテーブル147、判定閾値テーブル148の当該ユーザに関する情報が送信される(S1204)。
ユーザが、Webブラウザ121において業務アプリケーション181の画面を表示して操作を行うと(S1206)、操作記録機能124により操作内容が取得される(S1207)。
端末側不正利用検出機能150は、取得された操作内容および操作特徴量テーブル146、操作特徴量重みテーブル147、判定閾値テーブル148から、不正利用判定処理を行い、その結果を判定結果テーブル149へ格納する。この際の判定処理方法は、図11に記載のものと同一である。
端末側不正利用検出機能150は、判定処理結果に基づいて、Webブラウザ121へページ遷移リクエストを行う(S1209)。
以上の通り、モバイル端末装置110において不正利用検出処理を行うことにより、ユーザがWebページにアクセスするタイミングに限らず、任意のタイミングで不正利用検出処理を行うことが可能である。
以上の実施例1および実施例2では、操作記録機能124、操作ログ送信機能125、端末側不正利用検出機能150は、Webブラウザ121上で動作するものとして説明したが、Webブラウザでなく、業務アプリケーションに対応した独立したプログラムであってもよい。
また、操作分析プログラム141を業務サーバ170の上で動作させ、操作分析サーバ130を不要としてもよい。
なお、本発明は上記した実施例に限定されるものではなく、様々な変形例が含まれる。例えば、上記した実施例は本発明を分かりやすく説明するために詳細に説明したものであり、必ずしも説明した全ての構成を備えるものに限定されるものではない。また、ある実施例の構成の一部を他の実施例の構成に置き換えることが可能であり、また、ある実施例の構成に他の実施例の構成を加えることも可能である。また、各実施例の構成の一部について、他の構成の追加・削除・置換をすることが可能である。また、上記の各構成、機能、処理部、処理手段等は、それらの一部又は全部を、例えば集積回路で設計する等によりハードウェアで実現してもよい。また、上記の各構成、機能等は、プロセッサがそれぞれの機能を実現するプログラムを解釈し、実行することによりソフトウェアで実現してもよい。各機能を実現するプログラム、テーブル、ファイル等の情報は、メモリや、ハードディスク、SSD(Solid State Drive)等の記録装置、または、ICカード、SDカード、DVD等の記録媒体に置くことができる。
また、制御線や情報線は説明上必要と考えられるものを示しており、製品上必ずしも全ての制御線や情報線を示しているとは限らない。実際には殆ど全ての構成が相互に接続されていると考えてもよい。
110 モバイル端末装置
130 操作分析サーバ
170 業務Webサーバ
121 Webブラウザ
141 操作分析プログラム
142 操作記録モジュール挿入機能
143 レスポンス改変機能
144 不正利用検出機能
145 操作ログテーブル
146 操作特徴量テーブル
147 操作特徴量重みテーブル
148 判定閾値テーブル
149 判定結果テーブル
181 業務アプリケーション

Claims (14)

  1. ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録し、
    端末装置の操作ログを取得し、
    操作ログから一つ以上の種類の操作特徴量を算出し、
    算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出方法。
  2. 請求項1に記載の不正利用検出方法であって、
    前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも1つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出方法。
  3. 請求項1に記載の不正利用検出方法であって、
    前記操作特徴量から前記端末装置の利用状況を判定し、
    前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出方法。
  4. 請求項1に記載の不正利用検出方法であって、
    前記ユーザが閲覧したWebページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出方法。
  5. 請求項1に記載の不正利用検出方法であって、
    前記類似度に応じて認証方法を変更することを特徴とする不正利用検出方法。
  6. 請求項5に記載の不正利用検出方法であって、
    前記類似度と所定の閾値を比較し、
    前記比較結果に応じて、Webページへのアクセスを拒否するか、再認証用Webページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのWebページを前記端末装置に表示するか、何れか1つを選択することを特徴とする不正利用検出方法。
  7. 請求項6に記載の不正利用検出方法であって、
    アクセス先のWebサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出方法。
  8. ユーザの操作ログから算出される一つ以上の種類の操作特徴量と、前記操作特徴量の種類ごとに算出される複数のユーザの前記操作特徴量の平均と前記ユーザの操作特徴量から算出される前記ユーザの一つ以上の種類の操作特徴量の重みと、を記録する記録部と、
    端末装置の操作ログを取得する操作ログ取得部と、
    操作ログから一つ以上の種類の操作特徴量を算出する操作特徴量算出部と、
    算出した操作特徴量と、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量との類似度を、該算出した操作特徴量の種類に対応する前記記録されたユーザの操作特徴量の重みを用いて算出し、前記端末装置の不正利用を検出する不正利用検出部と、を有することを特徴とする不正利用検出装置。
  9. 請求項8に記載の不正利用検出装置であって、
    前記操作特徴量算出部は、前記端末装置の加速度情報、位置情報、又は前記端末装置のタッチパネルの操作情報の少なくとも1つを用いて、前記一つ以上の種類の操作特徴量を算出することを特徴する不正利用検出装置。
  10. 請求項8に記載の不正利用検出装置であって、
    前記操作特徴量から前記端末装置の利用状況を判定する利用状況判定部を有し、
    前記不正利用検出部は、前記判定された利用状況に対応する前記ユーザの一つ以上の種類の操作特徴量の重みを用いて、前記類似度を算出することを特徴とする不正利用検出装置。
  11. 請求項8に記載の不正利用検出装置であって、
    前記記録部は、前記ユーザが閲覧したWebページごとに、前記一つ以上の種類の操作特徴量と前記一つ以上の種類の操作特徴量の重みを記録することを特徴とする不正利用検出装置。
  12. 請求項8に記載の不正利用検出装置であって、
    前記類似度に応じて認証方法を変更することを特徴とする不正利用検出装置。
  13. 請求項12に記載の不正利用検出装置であって、
    前記類似度と所定の閾値を比較し、
    前記比較結果に応じて、Webページへのアクセスを拒否するか、再認証用Webページを前記端末装置に表示するか、又は前記端末装置のユーザが再操作を行うためのWebページを前記端末装置に表示するか、何れか1つを選択することを特徴とする不正利用検出装置。
  14. 請求項13に記載の不正利用検出装置であって、
    アクセス先のWebサイト、または、前記端末装置の位置情報に応じて、前記所定の閾値を変更することを特徴とする不正利用検出装置。
JP2015502685A 2013-03-01 2013-03-01 不正利用検出方法及び不正利用検出装置 Expired - Fee Related JP6014746B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2013/055616 WO2014132431A1 (ja) 2013-03-01 2013-03-01 不正利用検出方法及び不正利用検出装置

Publications (2)

Publication Number Publication Date
JP6014746B2 true JP6014746B2 (ja) 2016-10-25
JPWO2014132431A1 JPWO2014132431A1 (ja) 2017-02-02

Family

ID=51427731

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015502685A Expired - Fee Related JP6014746B2 (ja) 2013-03-01 2013-03-01 不正利用検出方法及び不正利用検出装置

Country Status (3)

Country Link
US (1) US9589137B2 (ja)
JP (1) JP6014746B2 (ja)
WO (1) WO2014132431A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10028991B2 (en) 2011-07-12 2018-07-24 Gdb Patent Holdings, Llc Composition, and method of using the composition, effective for minimizing the harmful effects associated with individuals suffering from alcohol intoxication

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106714094B (zh) * 2015-07-20 2021-03-02 阿里巴巴集团控股有限公司 数据处理方法、装置及系统
RU2626337C1 (ru) 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
JP2017091496A (ja) * 2016-04-21 2017-05-25 株式会社Cygames 情報処理装置、情報処理方法及びプログラム
JP6347557B2 (ja) * 2016-05-03 2018-06-27 株式会社カウリス サービス提供システム、サービス提供方法、照合装置、照合方法及びコンピュータプログラム
CN107346310B (zh) 2016-05-05 2020-10-27 腾讯科技(深圳)有限公司 一种账号申诉处理方法及服务器
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
CN106778389B (zh) * 2016-11-25 2018-09-04 维沃移动通信有限公司 一种移动终端的丢失检测方法及移动终端
JP2019021094A (ja) * 2017-07-19 2019-02-07 株式会社日立製作所 Webアクセス制御装置
JP6923806B2 (ja) * 2018-01-09 2021-08-25 富士通株式会社 不正検知装置、不正検知方法、および不正検知プログラム
JP6989464B2 (ja) * 2018-08-30 2022-01-05 株式会社日立製作所 ソフトウェア生成方法およびソフトウェア生成システム
CN111198797B (zh) * 2019-12-27 2021-12-31 华为技术有限公司 操作监控方法及装置、操作分析方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001092783A (ja) * 1999-09-27 2001-04-06 Hitachi Software Eng Co Ltd 個人認証方法およびシステム、記録媒体
JP2008276453A (ja) * 2007-04-27 2008-11-13 Toshiba Corp 行動識別装置および行動識別方法
JP2009175984A (ja) * 2008-01-23 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> 本人認証装置、本人認証方法および本人認証プログラム
JP2011197802A (ja) * 2010-03-17 2011-10-06 Ntt Comware Corp ユーザ特徴と利用動向の分析システム、およびその処理方法とプログラム
JP2011227569A (ja) * 2010-04-15 2011-11-10 Mitsumi Electric Co Ltd 個人認証装置

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006260454A (ja) 2005-03-18 2006-09-28 Bank Of Tokyo-Mitsubishi Ufj Ltd 第三者による不正操作の検知システム、及び検知方法
EP2348444B1 (en) * 2009-12-16 2014-03-19 Nxp B.V. Data processing apparatus
JP5803463B2 (ja) * 2011-09-13 2015-11-04 日本電気株式会社 セキュリティイベント監視装置、方法およびプログラム
US9058486B2 (en) * 2011-10-18 2015-06-16 Mcafee, Inc. User behavioral risk assessment
US8793255B1 (en) * 2012-05-11 2014-07-29 Google Inc. Generating a reputation score based on user interactions

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001092783A (ja) * 1999-09-27 2001-04-06 Hitachi Software Eng Co Ltd 個人認証方法およびシステム、記録媒体
JP2008276453A (ja) * 2007-04-27 2008-11-13 Toshiba Corp 行動識別装置および行動識別方法
JP2009175984A (ja) * 2008-01-23 2009-08-06 Nippon Telegr & Teleph Corp <Ntt> 本人認証装置、本人認証方法および本人認証プログラム
JP2011197802A (ja) * 2010-03-17 2011-10-06 Ntt Comware Corp ユーザ特徴と利用動向の分析システム、およびその処理方法とプログラム
JP2011227569A (ja) * 2010-04-15 2011-11-10 Mitsumi Electric Co Ltd 個人認証装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10028991B2 (en) 2011-07-12 2018-07-24 Gdb Patent Holdings, Llc Composition, and method of using the composition, effective for minimizing the harmful effects associated with individuals suffering from alcohol intoxication

Also Published As

Publication number Publication date
JPWO2014132431A1 (ja) 2017-02-02
US20160012230A1 (en) 2016-01-14
US9589137B2 (en) 2017-03-07
WO2014132431A1 (ja) 2014-09-04

Similar Documents

Publication Publication Date Title
JP6014746B2 (ja) 不正利用検出方法及び不正利用検出装置
US10359876B2 (en) Biometric initiated communication
US9819676B2 (en) Biometric capture for unauthorized user identification
KR101951279B1 (ko) 컨텍스트형 장치 잠금/잠금해제
CN106599716B (zh) 一种消息内容的保护方法、装置及移动终端
US20120204257A1 (en) Detecting fraud using touchscreen interaction behavior
US9817963B2 (en) User-touchscreen interaction analysis authentication system
US20150205957A1 (en) Method, device, and system of differentiating between a legitimate user and a cyber-attacker
US9275210B2 (en) System and method of enhancing security of a wireless device through usage pattern detection
US10212158B2 (en) Automatic association of authentication credentials with biometrics
US20080284743A1 (en) Electronic devices with preselected operational characteristics, and associated methods
US8108000B2 (en) Electronic device and method of controlling the electronic device
CN106485173B (zh) 敏感信息展示方法和装置
WO2014206203A1 (en) System and method for detecting unauthorized login webpage
EP2487572A1 (en) Systems and methods for screen data management
JP5651742B1 (ja) パスワードの入力方法、入力端末、及び入力システム
US20070198843A1 (en) System, method, and computer program product for secure input for mobile devices
KR20190137752A (ko) 디바이스 및 그를 이용한 컨텐츠 공유 방법
US9600167B2 (en) Systems and methods for a user-adaptive keyboard
KR102054005B1 (ko) 디바이스 및 그를 이용한 컨텐츠 공유 방법
Tang et al. Niffler: A context-aware and user-independent side-channel attack system for password inference
US11163883B2 (en) Enhancing security of a touch screen device
CN105868594A (zh) 一种终端的控制方法及装置
US20200082129A1 (en) Systems and methods for masking user input and sensor data at a user device
CN106921805B (zh) 一种加密方法及移动终端

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160804

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160830

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160926

R151 Written notification of patent or utility model registration

Ref document number: 6014746

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151

LAPS Cancellation because of no payment of annual fees