JP6508353B2 - 情報処理装置 - Google Patents
情報処理装置 Download PDFInfo
- Publication number
- JP6508353B2 JP6508353B2 JP2017545169A JP2017545169A JP6508353B2 JP 6508353 B2 JP6508353 B2 JP 6508353B2 JP 2017545169 A JP2017545169 A JP 2017545169A JP 2017545169 A JP2017545169 A JP 2017545169A JP 6508353 B2 JP6508353 B2 JP 6508353B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- information
- data
- behavior
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6281—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
- G06N20/10—Machine learning using kernel methods, e.g. support vector machines [SVM]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N7/00—Computing arrangements based on specific mathematical models
- G06N7/01—Probabilistic graphical models, e.g. probabilistic networks
Description
以下、本発明の実施形態について図面を参照して説明する。図1は、本発明の第1の実施形態にかかる不審行動検知システムの構成例を示すブロック図である。図1に示す不審行動検知システム10は、モデル記憶手段11と、判定手段12とを備える。
次に、本発明の第2の実施形態について説明する。なお、以下では、不審行動の検知対象とするデータが、ファイルサーバによって管理されるファイルである場合を例に用いて説明を行うが、データはファイルサーバによって管理されるファイルに限定されない。例えば、データは、データベースシステム等に格納される任意の単位のデータであってもよい。
上記の実施形態では、検知した不審行動を通知するまでを実施する構成を示したが、不審行動検知システムは、不審行動が検知された利用者に対する対象データのアクセス権限の設定を自動で変更することも可能である。そのようにして、アクセス権限の穴を自動的に塞ぐことにより、ファイルサーバの利用者がデータを不正に持ち出す行為をプロアクティブに抑止することができる。
また、第1変形例では、検知された不審行動に基づいて、アクセス権限設定の穴を自動的に塞ぐ例を示したが、システムは、運用担当者等の特定ユーザに、不審行動の情報とともに当該不審行動にかかるアクセス権限の設定変更を提案し、応答を待った上でアクセス権限の制御を行うことも可能である。そのようにすれば、実運用において、データやファイルサーバのアクセス権限設定が自動的に変更されてしまうことで、現場の業務が混乱することを防止できる。
また、本実施形態および各変形例では、アクセス行動学習ステップ、アクセス行動予測ステップ、不審行動通知ステップ、の3つのステップをすべて同一装置で実施する例を示したが、ネットワーク経由で(例えば、インターネット上に公開された予測モデルの配信サーバなどから)で予測モデルを受信する構成であれば、アクセス行動学習ステップを省略することも可能である。
次に、本実施形態の第4変形例について説明する。これまで、学習・予測に用いる入力データとして、利用者データと、文書データの2つの入力データを想定して説明をしたが、アクセス行動学習ステップおよびアクセス行動予測ステップにおいて、3つ以上の入力データ(N入力データ)を処理させることも可能である。
次に、本実施形態の第5変形例について説明する。本実施形態のこれまでの説明では、アクセスログの特に指定した期間(予測期間)から抽出されるアクセス行動における<利用者ID、文書ID>の組に対して、不審行動か否かを判定した。しかし、予想対象とするアクセス行動は、このようなアクセスログによって示されるものに限定されない。例えば、実際に行われたアクセス行動に対してだけでなく、事前に、危険文書や危険利用者を予測することも可能である。ここで、危険文書は、ある特定の利用者または利用者群にとって不審行動の対象となりやすい文書または文書群、より具体的には当該特定の利用者または利用者群がアクセスする可能性の低い文書または文書群をいう。また、危険利用者は、ある特定のデータまたはデータ群にとって不審行動の主体となりやすい利用者または利用者群、より具体的には当該特定のデータまたはデータ群にアクセスする可能性の低い利用者または利用者群をいう。危険文書や危険利用者を予め予測することにより、例えば、危険文書への特定利用者によるアクセスや、危険利用者による特定文書へのアクセスをあらかじめ制限する等の事前予防を実施できる。
WHEN:利用者がデータにアクセスした日時(平日、休日、日中、夜間、など)
WHERE:利用者がデータにアクセスした場所(ファイルサーバ、データベース、SNS、など)
WHAT:利用者がアクセスしたデータ(タイトル、プロパティ、内容、など)
WHY:利用者がデータにアクセスした理由(読込、書込、コピー、削除、など)
HOW:利用者がデータにアクセスした方法(アクセス端末、アクセス経路、など)
11 モデル記憶手段
12 判定手段
13 学習手段
14 不審行動検知手段
15 通知手段
16 数値ベクトル生成手段
161 第1数値ベクトル生成手段
162 第2数値ベクトル生成手段
17 危険利用者予測手段
18 危険データ予測手段
19 アクセス権限変更手段
101 利用者データ記憶部
102 文書データ記憶部
103 利用者データ前処理部
104 文書データ前処理部
105 アクセスログ記憶部
106 アクセスログ前処理部
107 利用者属性特徴抽出部
108 文書属性特徴抽出部
109 アクセス実績学習部
110 予測モデル記憶部
111 予測スコア算出部
112 予測スコア記憶部
113 不審行動通知部
114 アクセス権限制御部
115 アクセス権限記憶部
116 アクセス権限制御画面部
117 予測モデル受信部
Claims (9)
- データに対する利用者の行動であるデータアクセス行動に関するアクセス情報であって、データにアクセスする利用者に由来する第1の情報と、アクセスされるデータに由来する第2の情報とを含むアクセス情報と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶するモデル記憶手段と、
前記アクセス行動モデルに基づいて、任意のデータアクセス行動が不審行動であるか否かを判定する判定手段と、
前記アクセス行動モデルに基づいて、不審行動に該当するアクセス行動が行われる危険性があるデータを予測する危険データ予測手段とを備えた
ことを特徴とする情報処理装置。 - アクセス情報は、第1の情報として、アクセスする利用者、アクセスされる時間、アクセス種別もしくはアクセス方法に関する情報を含む、または、第2の情報として、データ自体もしくはデータの格納場所に関する情報を含む
請求項1に記載の情報処理装置。 - アクセス情報は、アクセスする利用者に関する情報として、当該利用者が生成したテキストに関する情報もしくは当該利用者が所定のデータに対して行ったアクセス行動に関する統計値を含む、または、データ自体に関する情報として、当該データの内容に関する情報もしくは当該データに対して行われたアクセス行動に関する統計値を含む
請求項2に記載の情報処理装置。 - アクセス情報と、前記アクセス情報が示すデータアクセス行動が不審行動であるか否かを示す情報とを学習データに用いて、機械学習によりアクセス行動モデルを生成する学習手段を備えた
請求項1から請求項3のうちのいずれか1項に記載の情報処理装置。 - ファイルサーバによって管理されているファイルを、対象データとする情報処理装置であって、
モデル記憶手段は、所定のファイルに対するアクセス履歴に含まれるアクセス行動のうち指定された期間におけるアクセス行動に関するアクセス情報と、前記アクセス行動が不審行動か否かを判別可能な情報とを用いて機械学習されたアクセス行動モデルを記憶する
請求項1から請求項4のうちのいずれか1項に記載の情報処理装置。 - アクセス情報から、各々が多次元の数値からなる2以上の数値ベクトルを生成する数値ベクトル生成手段を備え、
モデル記憶手段は、前記2以上の数値ベクトルの組と、不審行動または正常行動との関係を示すアクセス行動モデルとの関係を示すアクセス行動モデルを記憶し、
判定手段は、前記アクセス行動モデルを用いて算出される、指定されたアクセス情報から生成される2以上の数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、前記アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する
請求項1から請求項5のうちのいずれか1項に記載の情報処理装置。 - 数値ベクトル生成手段として、
アクセス情報に含まれる第1情報から、多次元の数値からなる第1数値ベクトルを生成する第1数値ベクトル生成手段と、
アクセス情報に含まれる第2情報から、多次元の数値からなる第2数値ベクトルを生成する第2数値ベクトル生成手段とを備え、
モデル記憶手段は、前記第1数値ベクトルと前記第2数値ベクトルとの組と、不審行動または正常行動との関係を示すアクセス行動モデルを記憶し、
判定手段は、前記アクセス行動モデルを用いて算出される、指定されたアクセス情報に含まれる第1情報および第2情報から生成される前記第1数値ベクトルと前記第2数値ベクトルの組に対する不審行動または正常行動の確度に基づいて、前記アクセス情報によって示されるデータアクセス行動が不審行動であるか否かを判定する
請求項6に記載の情報処理装置。 - アクセス行動モデルに基づいて、不審行動に該当するデータアクセス行動を行う危険性がある利用者を予測する危険利用者予測手段を備えた
請求項1から請求項7のうちのいずれか1項に記載の情報処理装置。 - 判定手段による判定結果に基づいて、アクセス権限を変更するアクセス権限変更手段を備えた
請求項1から請求項8のうちのいずれか1項に記載の情報処理装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2015202280 | 2015-10-13 | ||
JP2015202280 | 2015-10-13 | ||
PCT/JP2016/079637 WO2017065070A1 (ja) | 2015-10-13 | 2016-10-05 | 不審行動検知システム、情報処理装置、方法およびプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JPWO2017065070A1 JPWO2017065070A1 (ja) | 2018-08-16 |
JP6508353B2 true JP6508353B2 (ja) | 2019-05-08 |
Family
ID=58518146
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2017545169A Active JP6508353B2 (ja) | 2015-10-13 | 2016-10-05 | 情報処理装置 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20180293377A1 (ja) |
JP (1) | JP6508353B2 (ja) |
WO (1) | WO2017065070A1 (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
CN108197444A (zh) * | 2018-01-23 | 2018-06-22 | 北京百度网讯科技有限公司 | 一种分布式环境下的权限管理方法、装置及服务器 |
US10592145B2 (en) * | 2018-02-14 | 2020-03-17 | Commvault Systems, Inc. | Machine learning-based data object storage |
CN111919185B (zh) * | 2018-03-20 | 2023-10-20 | 三菱电机株式会社 | 显示装置、显示系统和显示画面生成方法 |
US11238366B2 (en) | 2018-05-10 | 2022-02-01 | International Business Machines Corporation | Adaptive object modeling and differential data ingestion for machine learning |
US11271939B2 (en) * | 2018-07-31 | 2022-03-08 | Splunk Inc. | Facilitating detection of suspicious access to resources |
CN110909355A (zh) * | 2018-09-17 | 2020-03-24 | 北京京东金融科技控股有限公司 | 越权漏洞检测方法、系统、电子设备和介质 |
JP7249125B2 (ja) * | 2018-10-17 | 2023-03-30 | 日本電信電話株式会社 | データ処理装置、データ処理方法及びデータ処理プログラム |
US11201871B2 (en) * | 2018-12-19 | 2021-12-14 | Uber Technologies, Inc. | Dynamically adjusting access policies |
CN109918899A (zh) * | 2019-01-23 | 2019-06-21 | 平安科技(深圳)有限公司 | 服务器、员工泄露企业信息的预测方法及存储介质 |
US11469878B2 (en) * | 2019-01-28 | 2022-10-11 | The Toronto-Dominion Bank | Homomorphic computations on encrypted data within a distributed computing environment |
US11297078B2 (en) * | 2019-02-28 | 2022-04-05 | Paypal, Inc. | Cybersecurity detection and mitigation system using machine learning and advanced data correlation |
CN111651753A (zh) * | 2019-03-04 | 2020-09-11 | 顺丰科技有限公司 | 用户行为分析系统及方法 |
CN110162982A (zh) * | 2019-04-19 | 2019-08-23 | 中国平安人寿保险股份有限公司 | 检测非法权限的方法及装置、存储介质、电子设备 |
CN110222504B (zh) * | 2019-05-21 | 2024-02-13 | 平安银行股份有限公司 | 用户操作的监控方法、装置、终端设备及介质 |
CN110321694A (zh) * | 2019-05-22 | 2019-10-11 | 中国平安人寿保险股份有限公司 | 基于标签更新系统的操作权限分配方法及相关设备 |
CN112765598A (zh) * | 2019-10-21 | 2021-05-07 | 中国移动通信集团重庆有限公司 | 识别异常操作指令的方法、装置及设备 |
US11438354B2 (en) * | 2019-11-04 | 2022-09-06 | Verizon Patent And Licensing Inc. | Systems and methods for utilizing machine learning models to detect cloud-based network access anomalies |
WO2021130991A1 (ja) * | 2019-12-26 | 2021-07-01 | 楽天グループ株式会社 | 不正検知システム、不正検知方法、及びプログラム |
CN112491872A (zh) * | 2020-11-25 | 2021-03-12 | 国网辽宁省电力有限公司信息通信分公司 | 一种基于设备画像的异常网络访问行为检测方法和系统 |
US11785025B2 (en) | 2021-04-15 | 2023-10-10 | Bank Of America Corporation | Threat detection within information systems |
US11930025B2 (en) * | 2021-04-15 | 2024-03-12 | Bank Of America Corporation | Threat detection and prevention for information systems |
US11561978B2 (en) | 2021-06-29 | 2023-01-24 | Commvault Systems, Inc. | Intelligent cache management for mounted snapshots based on a behavior model |
CN113763616B (zh) * | 2021-08-20 | 2023-03-28 | 太原市高远时代科技有限公司 | 一种基于多传感器的无感安全型户外机箱门禁系统及方法 |
JP7397841B2 (ja) | 2021-11-09 | 2023-12-13 | ソフトバンク株式会社 | サーバ、ユーザ端末、システム、及びアクセス制御方法 |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2000148276A (ja) * | 1998-11-05 | 2000-05-26 | Fujitsu Ltd | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 |
JP2004312083A (ja) * | 2003-04-02 | 2004-11-04 | Kddi Corp | 学習データ作成装置、侵入検知システムおよびプログラム |
JP2005190066A (ja) * | 2003-12-25 | 2005-07-14 | Hitachi Ltd | 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム |
JP2008158959A (ja) * | 2006-12-26 | 2008-07-10 | Sky Kk | 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム |
JP2010009239A (ja) * | 2008-06-25 | 2010-01-14 | Kansai Electric Power Co Inc:The | 情報漏洩予測方法 |
JP5427599B2 (ja) * | 2009-12-28 | 2014-02-26 | 株式会社エヌ・ティ・ティ・データ | アクセス制御設定装置、方法及びコンピュータプログラム |
US8793790B2 (en) * | 2011-10-11 | 2014-07-29 | Honeywell International Inc. | System and method for insider threat detection |
US9672374B2 (en) * | 2012-10-19 | 2017-06-06 | Mcafee, Inc. | Secure disk access control |
US9563771B2 (en) * | 2014-01-22 | 2017-02-07 | Object Security LTD | Automated and adaptive model-driven security system and method for operating the same |
JP6098600B2 (ja) * | 2014-09-18 | 2017-03-22 | 日本電気株式会社 | 評価対象者の評価装置、評価方法及び評価システム |
US10412106B2 (en) * | 2015-03-02 | 2019-09-10 | Verizon Patent And Licensing Inc. | Network threat detection and management system based on user behavior information |
US20190311367A1 (en) * | 2015-06-20 | 2019-10-10 | Quantiply Corporation | System and method for using a data genome to identify suspicious financial transactions |
US20190259033A1 (en) * | 2015-06-20 | 2019-08-22 | Quantiply Corporation | System and method for using a data genome to identify suspicious financial transactions |
US20170024660A1 (en) * | 2015-07-23 | 2017-01-26 | Qualcomm Incorporated | Methods and Systems for Using an Expectation-Maximization (EM) Machine Learning Framework for Behavior-Based Analysis of Device Behaviors |
-
2016
- 2016-10-05 US US15/767,383 patent/US20180293377A1/en not_active Abandoned
- 2016-10-05 WO PCT/JP2016/079637 patent/WO2017065070A1/ja active Application Filing
- 2016-10-05 JP JP2017545169A patent/JP6508353B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
JPWO2017065070A1 (ja) | 2018-08-16 |
US20180293377A1 (en) | 2018-10-11 |
WO2017065070A1 (ja) | 2017-04-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6508353B2 (ja) | 情報処理装置 | |
CN110399925B (zh) | 账号的风险识别方法、装置及存储介质 | |
US11295034B2 (en) | System and methods for privacy management | |
JP6888109B2 (ja) | インテリジェントセキュリティ管理 | |
Legg et al. | Automated insider threat detection system using user and role-based profile assessment | |
US20190253447A1 (en) | Method for the continuous calculation of a cyber security risk index | |
US9661010B2 (en) | Security log mining devices, methods, and systems | |
CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
Lu et al. | Insider threat detection with long short-term memory | |
US20170161503A1 (en) | Determining a risk indicator based on classifying documents using a classifier | |
Le et al. | Exploring anomalous behaviour detection and classification for insider threat identification | |
CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
CN113392426A (zh) | 用于增强工业系统或电功率系统的数据隐私的方法及系统 | |
CN109388949B (zh) | 一种数据安全集中管控方法和系统 | |
Javadi et al. | Monitoring AI services for misuse | |
Wall et al. | A Bayesian approach to insider threat detection | |
US11314892B2 (en) | Mitigating governance impact on machine learning | |
CN117370548A (zh) | 用户行为风险识别方法、装置、电子设备及介质 | |
Al-Sanjary et al. | Challenges on digital cyber-security and network forensics: a survey | |
Suthaharan et al. | An approach for automatic selection of relevance features in intrusion detection systems | |
Alaba et al. | Ransomware attacks on remote learning systems in 21st century: A survey | |
CN115146263A (zh) | 用户账号的失陷检测方法、装置、电子设备及存储介质 | |
Ju et al. | Detection of malicious code using the direct hashing and pruning and support vector machine | |
KR101923996B1 (ko) | 사이버 정보 유출 행위 추출 시스템 | |
Rajadorai et al. | Data Protection and Data Privacy Act for BIG DATA Governance |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180404 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180404 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20181030 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20181227 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190305 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190318 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6508353 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |