JP6757991B2 - グループウェア使用者の異常行為探知方法および装置 - Google Patents

グループウェア使用者の異常行為探知方法および装置 Download PDF

Info

Publication number
JP6757991B2
JP6757991B2 JP2019027679A JP2019027679A JP6757991B2 JP 6757991 B2 JP6757991 B2 JP 6757991B2 JP 2019027679 A JP2019027679 A JP 2019027679A JP 2019027679 A JP2019027679 A JP 2019027679A JP 6757991 B2 JP6757991 B2 JP 6757991B2
Authority
JP
Japan
Prior art keywords
uri
primitive
user
sequence
action
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019027679A
Other languages
English (en)
Other versions
JP2020113233A (ja
Inventor
スンヨン バク
スンヨン バク
サンギュ シム
サンギュ シム
ドクス キム
ドクス キム
ソクウ イ
ソクウ イ
ミョンジン キム
ミョンジン キム
Original Assignee
ペンタ・セキュリティ・システムズ・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020190010285A external-priority patent/KR102151173B1/ko
Application filed by ペンタ・セキュリティ・システムズ・インコーポレーテッド filed Critical ペンタ・セキュリティ・システムズ・インコーポレーテッド
Publication of JP2020113233A publication Critical patent/JP2020113233A/ja
Application granted granted Critical
Publication of JP6757991B2 publication Critical patent/JP6757991B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/958Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Description

本発明はグループウェア使用者の異常行為探知方法および装置に関するものであって、さらに詳細には、使用者がグループウェア(groupware)に接続時に生成されたURI(Uniform Resource Identifier)を利用して使用者の異常行為を探知する方法および装置に関することである。
協業ソフトウェアとも呼ばれるグループウェア(groupware)は、多様な使用者が別個の作業環境で統合された一つのプロジェクトを同時に遂行できるように支援するソフトウェアを意味し得る。ここで、グループウェアの個別使用者は各自付与された接続情報を利用してグループウェアに接続することができ、このようなグループウェアの接続情報が攻撃者によって奪取される場合、攻撃者が使用者の権限をそのまま使用できる問題点がある。
このような問題点を解決するために、従来には接続情報自体に対する暗号化などのようなセキュリティー措置をする方法が利用されたり、攻撃者の外部接続を遮断する方法が主に利用された。ただし、このような従来方法だけでは攻撃者が使用者の代わりにグループウェアに接続することを完全に排除することができないため、他の代案が必要であるのが実情である。
前記のような問題点を解決するための本発明の目的は、グループウェア使用者の異常行為探知方法を提供するところにある。
前記のような問題点を解決するための本発明の他の目的は、グループウェア使用者の異常行為探知装置を提供するところにある。
前記目的を達成するための本発明の一実施例に係る異常行為探知方法は、使用者の行為からURI(Uniform Resource Identifier)を獲得する段階、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する段階、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階、原始URIシークエンスからログ確率値を算出する段階およびログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する段階を含むことができる。
ここで、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する段階は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する段階を含むことができる。
ここで、URIシークエンスに前処理を遂行して原始URIシークエンスを生成する段階は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する段階を含むことができる。
ここで、原始URIシークエンスからログ確率値を算出する段階は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する段階および転移確率に基づいてログ確率値を算出する段階を含むことができる。
ここで、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する段階は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出する段階を含むことができる。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する段階は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断する段階を含むことができる。
前記他の目的を達成するための本発明の一実施例に係る異常行為探知装置は、プロセッサ(processor)およびプロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(memory)を含み、少なくとも一つの命令は、使用者の行為からURI(Uniform Resource Identifier)を獲得するように実行され、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成するように実行され、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成するように実行され、原始URIシークエンスからログ確率値を算出するように実行され、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知するように実行され得る。
ここで、少なくとも一つの命令は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成するように実行され得る。
ここで、少なくとも一つの命令は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成するように実行され得る。
ここで、少なくとも一つの命令は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出するように実行され、転移確率に基づいてログ確率値を算出するように実行され得る。
ここで、少なくとも一つの命令は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出するように実行され得る。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、少なくとも一つの命令は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断するように実行され得る。
本発明によると、攻撃者がグループウェアに接続できる使用者の接続情報を奪取して浸透することを探知することができる。
本発明によると、複数の使用者が別途の作業環境で安全に一つのプロジェクトを共に遂行できる。
本発明の一実施例に係る原始URIシークエンスを生成する方法を説明する図面。 本発明の一実施例に係るTP値をアップデートする方法を説明する図面。 本発明の一実施例に係る初期TP値を算出するアルゴリズムを示した図面。 本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスを利用する第1方法によりTP値をアップデートするアルゴリズムを示した図面。 本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスのうち、一部を利用する第2方法によりTP値をアップデートするアルゴリズムを示した図面。 本発明の一実施例に係る異常行為探知装置のブロック構成図。 本発明の一実施例に係る異常行為探知方法のフローチャート。
本発明は多様な変更を加えることができ、多様な実施例を有することができるところ、特定の実施例を図面に例示して詳細な説明に詳細に説明する。しかし、これは本発明を特定の実施形態に限定しようとするものではなく、本発明の思想および技術範囲に含まれるすべての変更、均等物乃至代替物を含むものと理解されるべきである。各図面の説明において、類似する参照符号を類似する構成要素に付した。
第1、第2、A、Bなどの用語は多様な構成要素の説明に使われ得るが、前記構成要素は前記用語によって限定されてはならない。前記用語は一つの構成要素を他の構成要素から区別する目的でのみ使われる。例えば、本発明の権利範囲を逸脱することなく第1構成要素は第2構成要素と命名され得、同様に第2構成要素も第1構成要素と命名され得る。「および/または」という用語は複数の関連した記載された項目の組み合わせまたは複数の関連した記載された項目のうちいずれかの項目を含む。
ある構成要素が他の構成要素に「連結されて」いるとか「接続されて」いると言及された時には、その他の構成要素に直接的に連結されていたりまたは接続されていてもよく、中間に他の構成要素が存在してもよいと理解されるべきである。反面、ある構成要素が他の構成要素に「直接連結されて」いるとか「直接接続されて」いると言及された時には、中間に他の構成要素が存在しないものと理解されるべきである。
本出願で使った用語は単に特定の実施例を説明するために使われたものであって、本発明を限定しようとする意図ではない。単数の表現は文脈上明白に異なることを意味しない限り、複数の表現を含む。本出願で、「含む」または「有する」等の用語は明細書上に記載された特徴、数字、段階、動作、構成要素、部品またはこれらを組み合わせたものが存在することを指定しようとするものであって、一つまたはそれ以上の他の特徴や数字、段階、動作、構成要素、部品またはこれらを組み合わせたものなどの存在または付加の可能性をあらかじめ排除しないものと理解されるべきである。
異なって定義されない限り、技術的または科学的な用語を含んで、ここで使われるすべての用語は、本発明が属する技術分野で通常の知識を有する者によって一般的に理解されるものと同じ意味を有している。一般的に使われる辞書に定義されているような用語は、関連技術の文脈上有する意味と一致する意味を有すると解釈されるべきであり、本出願で明白に定義しない限り、理想的または過度に形式的な意味と解釈されない。
以下、添付した図面を参照して、本発明の好ましい実施例をより詳細に説明する。本発明の説明において、全体的な理解を容易にするために図面上の同じ構成要素については同じ参照符号を付し、同じ構成要素に対する重複する説明は省略する。以下、本発明に係る好ましい実施例を添付された図面を参照して詳細に説明する。
本発明の説明でグループウェア(groupware)は複数の使用者が同じ作業をしたり、スケジュールに合わせて共同作業をするのに適合するように設計されたソフトウェアを意味し得、これは企業、機関および団体などの構成員がコンピュータに連結された作業場で互いに協力して業務効率を上げるために使われ得る。
統一資源識別子(Uniform Resource Identifier、URI)は特定資源を識別する文字列を意味し得、URL(Uniform Resource Locator)およびURN(Uniform Resource Name)はURIの下位概念として含まれ得る。URIは一貫性を保障するために、すべてのURIはあらかじめ定義された構文規則(syntax rule)の集合に従い得、別途に定義された階層的ネーミングスキーマ(naming scheme)を通じて拡張性を維持することもできる。
URIシークエンス(sequence)は使用者がグループウェアに接続時に使用者の行為により順に発生する複数のURIまたはURI集合を意味し得る。
本発明の一実施例に係る異常行為探知装置は、特定の行為により発生するURIシークエンスを利用して使用者の行為を定義することができる。ただし、URIは使用者の行為により変わるため、異常行為探知装置は使用者の類似行為を互いに異なる行為と判断されないために発生するURIに対して前処理を遂行できる。
URI前処理過程は使用者の行為により発生するURIにキー値(key value)を除去または削除する過程を意味し得る。ここで、キー値はURIで使用者のクッキーおよび掲示板の掲示物番号などのように多様な要因によって変化する値を意味し得る。
より詳細には、使用者が同じ掲示板に接続した二つの行為を例にして説明する。同じ掲示板に対して使用者が最初に接続した場合と二番目に接続した場合のURIをそれぞれ第1URIおよび第2URIと指称することができ、表1の通りであると仮定する。
表1を参照すると、第1URIのキー値は1010000、0および1481156427を含むことができ、第2URIのキー値は1010000、0および1481241824を含むことができる。
本発明の一実施例に係る異常行為探知装置は、使用者の類似行為を互いに異なる行為と判断されないためにURIに対する前処理として各URIでキー値を除去または削除することができ、第1URIおよび第2URIは表2のように一つの前処理されたURIで統一され得る。
表2を参照すると、第1URIおよび第2URIはキー値を削除して一つの前処理されたURIで統一され得、前処理されたURIは原始URI(primitiveURI)で定義され得る。
本発明の一実施例に係る異常行為探知装置は、前述したようなURI前処理過程を通じて複数のURIを一つの前処理されたURIまたは原始URIに変換または統合することができ、原始URIに基づいて使用者が同じ掲示板に接続した二つの行為を同じ行為と判断され得る。
本発明の一実施例に係る異常行為探知装置は、使用者がグループウェアに接続して複数の行為を遂行するので、複数の行為のそれぞれにより発生する複数のURIを発生順に羅列してURIシークエンス(sequence)を生成することができる。換言すれば、異常行為探知装置は使用者の複数の行為のそれぞれにより発生する複数のURIに対してそれぞれ前処理を遂行してキー値を除去することができ、複数の前処理されたURIまたは複数の原始URIを発生順序にしたがって羅列して原始URIシークエンス(primitiveURI sequence)を生成することができる。原始URIシークエンスを生成する方法については図1と共に詳細に後述する。
図1は、本発明の一実施例に係る原始URIシークエンスを生成する方法を説明する図面である。
図1を参照すると、使用者はグループウェアに接続して少なくとも一つの行為を遂行することができ、行為ごとに一つのURIが発生し得る。ここで、一つの行為に対応して発生する一つのURIはURIインスタンス(instance)と指称されてもよい。
本発明の一実施例に係る異常行為探知装置は、使用者がグループウェアを間欠的に利用することを仮定して、複数のURIを少なくとも一つのURIシークエンスに区分するための時間間隔があらかじめ決定され得る。
換言すれば、本発明の一実施例に係る異常行為探知装置は、複数のURIインスタンスが発生する場合、時間的に隣接した二つのURIインスタンス間の時間間隔(interval)があらかじめ決定された時間Tを超過する場合、先行URIインスタンスと後続URIインスタンスを互いに異なる一連の行為に区分して判断することができる。
例えば、第1URIインスタンス〜第6URIインスタンスが順次発生し、第1URIインスタンスと第2URIインスタンス間の時間間隔が2秒、第2URIインスタンスと第3URIインスタンス間の時間間隔が1秒、第3URIインスタンスと第4URIインスタンス間の時間間隔が5秒、第4URIインスタンスと第5URIインスタンス間の時間間隔が3秒および第5URIインスタンスと第6URIインスタンス間の時間間隔が2秒であり、あらかじめ決定された時間Tが4秒である場合、本発明の一実施例に係る異常行為探知装置は、隣接したURIインスタンス間の時間間隔が4秒より大きい第4URIインスタンスと第4URIインスタンスを互いに異なる一連の行為に区分することができる。
換言すれば、本発明の一実施例に係る異常行為探知装置は、第1URIインスタンス〜第4URIインスタンスを羅列または群集させて第1URI集合と判断することができ、第4URIインスタンス〜第6URIインスタンスを羅列または群集させて第2URI集合と判断することができる。ここで、URI集合はURIシークエンスで定義され得る。
その後、本発明の一実施例に係る異常行為探知装置は、一つのURIシークエンスに含まれた少なくとも一つのURIインスタンスのそれぞれに対して前述した前処理を遂行することができ、少なくとも一つのURIインスタンスが少なくとも一つの原始URIに変換された場合、変換された少なくとも一つの原始URIを含む原始URI集合を原始URIシークエンスであると定義することができる。換言すれば、原始URIシークエンスはURIシークエンス内のすべてのURIを前処理したものを意味し得る。
本発明の一実施例に係る異常行為探知装置は、使用者のグループウェアに接続して特定の行為を遂行した場合、前述にしたがって遂行した行為によるURIに基づいて原始URIシークエンスを生成することができ、これに基づいて正規化されたログ確率(Normalized Log Probability、NLP)値を算出することができ、算出したNLP値とあらかじめ決定されたしきい値とを比較して使用者の特定の行為が異常行為であるかを判断することができる。
より詳細には、異常行為探知装置は使用者の行為により原始URIシークエンスを生成することができ、原始URIシークエンスに対してあらかじめ設定した長さのスライディングウインドウ(sliding window)を利用して原始URIシークエンスから原始URIサブシークエンス(subsequence)を抽出することができる。その後、異常行為探知装置は抽出した原始URIサブシークエンスからログ確率(Log Probability、LP)値を算出することができる。
ただし、原始URIシークエンスの長さがスルライティンウインドウのあらかじめ設定した長さより短い場合も存在し得るため、このような場合を考慮するために、算出された原始URIサブシークエンスのLP値を原始URIサブシークエンスの長さで割って正規化されたログ確率値を算出することができる。ここで、原始URIシークエンスの正規化されたログ確率(NLP)値は、数1のように転移確率(Transition Probability、TP)の積に対する幾何平均(geometric mean)と同じであるため、これを通じて算出され得る。
数1において、xは与えられた原始URIサブシークエンス内のk番目の原始URIを意味し得、Kは与えられた原始URIサブシークエンスの長さを意味し得る。また、Pr(x)はxの確率値を意味し得、Pr(xk+1|x)はxでxk+1での転移確率を意味し得る。ここで、転移確率は数2のように算出され得る。
数2において、xは与えられた原始URIサブシークエンス内のk番目の原始URIを意味し得、Nijはi番目の原始URIとj番目の原始URIが連続的に発生する回数を意味し得る。
本発明の一実施例に係る異常行為探知装置は、前述にしたがって使用者の行為によるNLP値を算出することができ、算出したNLP値があらかじめ決定されたしきい値より低い場合、使用者の行為が異常行為であると判断することができる。
ここで、使用者の行為によるNLP値はTP値を利用して算出されるが、TP値は使用者の過去行為に基づいて算出されるため、使用者の行為が累積されることによってアップデートされ得る。TP値をアップデートする方法については図2とともに詳細に後述する。
図2は本発明の一実施例に係るTP値をアップデートする方法を説明する図面である。
本発明の一実施例に係る異常行為探知装置は、TP値をアップデートすることができる。TP値のアップデートはリアルタイムで遂行され得るが、一定の周期ごとに遂行されてもよい。本発明の説明ではTP値をリアルタイムでアップデートする方法について詳細に説明する。ここで、TP値をリアルタイムでアップデートする方法は、探知対象である使用者の行為が発生した日付によりTP値を再び算出する方法であり得るため、使用者の行為が発生した日付を基準としてTP値を算出する方法を説明する。
本発明の一実施例に係る異常行為探知装置は、使用者の行為によるNLP値を算出する場合、使用者の行為直前までの原始URIシークエンスを利用してTP値を算出できるが、使用者の行為直前に異常行為が含まれている場合、TP値が不正確であり得るため、使用者の行為から基準日以前までの原始URIシークエンスだけを利用してTP値を算出することができる。
図2を参照すると、探知対象である使用者の行為が発生した日付はdであり、基準日はDであると仮定することができる。本発明の一実施例に係る異常行為探知装置は、使用者の行為が発生した日付がDay dである場合、使用者の行為によるNLP値を算出するために、Day d−D+1からDay d−1までの原始URIシークエンスは利用せず、あらかじめ設定された日付からDay d−Dまでの原始URIシークエンスを利用してTP値を算出することができる。
ここで、TP値の算出のために利用される原始URIシークエンスは、あらかじめ設定された期間により、基準日から算定されたあらかじめ設定された日付から使用者の行為発生日から基準日以前まで発生した原始URIシークエンスを含むことができ、本発明に係る異常行為探知方法が遂行される初期から持続的に累積された原始URIシークエンスを利用することができ、累積された原始URIシークエンスのうち、特定の方法により一部のみを算出した一部の原始URIシークエンスを利用することもできるが、これに限定されるものではない。
図3は、本発明の一実施例に係る初期TP値を算出するアルゴリズムを示した図面である。
図4は、本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスを利用する第1方法によりTP値をアップデートするアルゴリズムを示した図面である。
図5は、本発明の一実施例に係る使用者の行為発生日から基準日以前の原始URIシークエンスのうち、一部を利用する第2方法によりTP値をアップデートするアルゴリズムを示した図面である。
図6は、本発明の一実施例に係る異常行為探知装置のブロック構成図である。
図6を参照すると、本発明の一実施例に係る異常行為探知装置600は、少なくとも一つのプロセッサ610、メモリ620および保存装置630を含むことができる。
プロセッサ610はメモリ620および/または保存装置630に保存されたプログラム命令(program command)を実行することができる。プロセッサ610は中央処理装置(CPU、Central Processing Unit)、グラフィック処理装置(GPU、Graphics Processing Unit)または本発明に係る方法が遂行される専用のプロセッサを意味し得る。メモリ620と保存装置630は揮発性保存媒体および/または不非揮発性保存媒体で構成され得る。例えば、メモリ620は読み取り専用メモリ(ROM、Read Only Memory)および/またはランダムアクセスメモリ(RAM、Random Access Memory)で構成され得る。
メモリ620はプロセッサ610を通じて実行される少なくとも一つの命令を保存していることができる。少なくとも一つの命令は、使用者の行為からURI(Uniform Resource Identifier)を獲得する命令、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する命令、URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する命令、原始URIシークエンスからログ確率値を算出する命令およびログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する命令を含むことができる。
ここで、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成する命令は、URIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する命令を含むことができる。
ここで、URIシークエンスに前処理を遂行して原始URIシークエンスを生成する命令は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する命令を含むことができる。
ここで、原始URIシークエンスからログ確率値を算出する命令は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する命令および転移確率に基づいてログ確率値を算出する命令を含むことができる。
ここで、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する命令は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出する命令を含むことができる。
ここで、使用者の行為が発生した日による基準日は、使用者の行為が発生した日からあらかじめ設定された日数前と決定され得る。
ここで、ログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知する命令は、ログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断する命令を含むことができる。
図7は、本発明の一実施例に係る異常行為探知方法のフローチャートである。
図7を参照すると、本発明の一実施例に係る異常行為探知装置は、使用者の行為からURI(Uniform Resource Identifier)を獲得することができ(S710)、あらかじめ決定した時間間隔に基づいてURIからURIシークエンスを生成することができる(S720)。ここで、異常行為探知装置はURIが複数である場合、時間的に隣接したURI間の時間間隔とあらかじめ決定した時間間隔を比較して複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成することができる。
異常行為探知装置はURIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成することができる(S730)。ここで、異常行為探知装置は、URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して原始URIシークエンスを生成する段階を含むことができる。
異常行為探知装置は原始URIシークエンスからログ確率値を算出することができる(S740)。ここで、異常行為探知装置は、原始URIシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出することができ、転移確率に基づいてログ確率値を算出する段階を含むことができる。また、異常行為探知装置は、原始URIシークエンスとあらかじめ設定された日から使用者の行為が発生した日による基準日までの原始URIシークエンスに基づいて転移確率を算出することができ、使用者の行為が発生した日による基準日を使用者の行為が発生した日からあらかじめ設定された日数前に決めることができる。
異常行為探知装置はログ確率値とあらかじめ決定されたしきい値に基づいて使用者の行為が異常行為であるかを探知することができる(S750)。換言すれば、異常行為探知装置はログ確率値があらかじめ決定されたしきい値より低い場合、使用者の行為を異常行為であると判断することができる。
本発明の実施例に係る動作は、コンピュータで読み込みできる記録媒体にコンピュータが読み込みできるプログラムまたはコードで具現することが可能である。コンピュータが読み込みできる記録媒体は、コンピュータシステムによって読み込まれ得るデータが保存されるすべての種類の記録装置を含む。また、コンピュータが読み込みできる記録媒体は、ネットワークで連結されたコンピュータシステムに分散して分散方式でコンピュータで読み込みできるプログラムまたはコードが保存されて実行され得る。
また、コンピュータが読み込みできる記録媒体は、ロム(rom)、ラム(ram)、フラッシュメモリ(flash memory)等のようにプログラム命令を保存して遂行するように特別に構成されたハードウェア装置を含むことができる。プログラム命令はコンパイラ(compiler)により作られるような機械語コードだけでなく、インタープリタ(interpreter)等を使ってコンピュータによって実行され得る高級言語コードを含むことができる。
本発明の一部の側面は装置の文脈で説明されたが、それは相応する方法にともなう説明でも表すことができ、ここでブロックまたは装置は方法段階または方法段階の特徴に相応する。同様に、方法の文脈で説明された側面は、相応するブロックまたはアイテムまたは相応する装置の特徴で表すことができる。方法段階のいくつかまたは全部は、例えば、マイクロプロセッサ、プログラム可能なコンピュータまたは電子回路のようなハードウェア装置によって(または利用して)遂行され得る。いくつかの実施例で、最も重要な方法段階の一つ以上はこのような装置によって遂行され得る。
実施例で、プログラム可能なロジック装置(例えば、フィールドプログラマブルゲートアレイ)がここで説明された方法の機能の一部又は全部を遂行するために使われ得る。実施例で、フィールドプログラマブルゲートアレイは、ここで説明された方法のうち一つを遂行するためのマイクロプロセッサとともに作動することができる。一般的に、方法はあるハードウェア装置によって遂行されることが好ましい。
前記では本発明の好ましい実施例を参照して説明したが、該当技術分野の熟練した当業者は、下記の特許請求の範囲に記載された本発明の思想および領域から逸脱しない範囲内で本発明を多様に修正および変更できることが理解できるはずである。

Claims (14)

  1. グループウェア使用者の行為が異常行為であるかを探知する方法であって、
    前記使用者の行為からURI(Uniform Resource Identifier)を獲得する段階と、
    あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階と、
    前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成する段階と、
    あらかじめ設定した長さのスライディングウインドウ(sliding window)を利用して前記原始URIシークエンスから原始URIサブシークエンス(subsequence)を生成する段階と、
    前記原始URIサブシークエンスからログ確率値を算出する段階と、および
    前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階を含む、異常行為探知方法。
  2. 前記あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成する段階は、
    前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。
  3. 前記URIシークエンスに前処理を遂行して原始URIシークエンスを生成する段階は、
    前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成する段階を含む、請求項1に記載の異常行為探知方法。
  4. 前記原始URIサブシークエンスからログ確率値を算出する段階は、
    前記原始URIサブシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出する段階と、および
    前記転移確率に基づいて前記ログ確率値を算出する段階を含む、請求項1に記載の異常行為探知方法。
  5. 前記原始URIサブシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率を算出する段階は、
    前記原始URIサブシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIサブシークエンスに基づいて前記転移確率を算出する段階を含む、請求項4に記載の異常行為探知方法。
  6. 前記使用者の行為が発生した日による基準日は、
    前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項5に記載の異常行為探知方法。
  7. 前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知する段階は、
    前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断する段階を含む、請求項1に記載の異常行為探知方法。
  8. グループウェア使用者の行為が異常行為であるかを探知する装置であって、
    プロセッサ(processor)と、および
    前記プロセッサを通じて実行される少なくとも一つの命令が保存されたメモリ(mem
    ory)を含み、
    前記少なくとも一つの命令は、
    前記使用者の行為からURI(Uniform Resource Identifier)を獲得するように実行され、
    あらかじめ決定した時間間隔に基づいて前記URIからURIシークエンスを生成するように実行され、
    前記URIシークエンスに前処理を遂行して原始(primitive)URIシークエンスを生成するように実行され、
    あらかじめ設定した長さのスライディングウインドウ(sliding window)を利用して前記原始URIシークエンスから原始URIサブシークエンス(subsequence)を生成するように実行され、
    前記原始URIサブシークエンスからログ確率値を算出するように実行され、
    前記ログ確率値とあらかじめ決定されたしきい値に基づいて前記使用者の行為が異常行為であるかを探知するように実行される、異常行為探知装置。
  9. 前記少なくとも一つの命令は、
    前記URIが複数である場合、時間的に隣接したURI間の時間間隔と前記あらかじめ決定した時間間隔を比較して前記複数のURIのうち、少なくとも一つのURIを含む少なくとも一つのURIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置。
  10. 前記少なくとも一つの命令は、
    前記URIシークエンスに含まれた少なくとも一つのURIでキー値(key value)を削除して前記原始URIシークエンスを生成するように実行される、請求項8に記載の異常行為探知装置。
  11. 前記少なくとも一つの命令は、
    前記原始URIサブシークエンスに含まれた少なくとも一つの原始URIに基づいて転移確率(transition probability)を算出するように実行され、
    前記転移確率に基づいて前記ログ確率値を算出するように実行される、請求項8に記載の異常行為探知装置。
  12. 前記少なくとも一つの命令は、
    前記原始URIサブシークエンスとあらかじめ設定された日から前記使用者の行為が発生した日による基準日までの原始URIサブシークエンスに基づいて前記転移確率を算出するように実行される、請求項11に記載の異常行為探知装置。
  13. 前記使用者の行為が発生した日による基準日は、
    前記使用者の行為が発生した日からあらかじめ設定された日数前と決定される、請求項12に記載の異常行為探知装置。
  14. 前記少なくとも一つの命令は、
    前記ログ確率値が前記あらかじめ決定されたしきい値より低い場合、前記使用者の行為を異常行為であると判断するように実行される、請求項8に記載の異常行為探知装置。
JP2019027679A 2019-01-14 2019-02-19 グループウェア使用者の異常行為探知方法および装置 Active JP6757991B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
KR10-2019-0004882 2019-01-14
KR20190004882 2019-01-14
KR1020190010285A KR102151173B1 (ko) 2019-01-14 2019-01-28 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
KR10-2019-0010285 2019-01-28

Publications (2)

Publication Number Publication Date
JP2020113233A JP2020113233A (ja) 2020-07-27
JP6757991B2 true JP6757991B2 (ja) 2020-09-23

Family

ID=71517003

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019027679A Active JP6757991B2 (ja) 2019-01-14 2019-02-19 グループウェア使用者の異常行為探知方法および装置

Country Status (2)

Country Link
US (1) US11336668B2 (ja)
JP (1) JP6757991B2 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113780318B (zh) * 2020-08-31 2024-04-16 京东科技控股股份有限公司 用于生成提示信息的方法、装置、服务器和介质
EP4006760B1 (en) * 2020-09-29 2023-06-28 Rakuten Group, Inc. Anomaly determination system, anomaly determination method, and program
CN112306982B (zh) * 2020-11-16 2021-07-16 杭州海康威视数字技术股份有限公司 异常用户检测方法、装置、计算设备及存储介质
CN112231700B (zh) * 2020-12-17 2021-05-11 腾讯科技(深圳)有限公司 行为识别方法和装置、存储介质及电子设备
CN115277150B (zh) * 2022-07-21 2024-04-12 格尔软件股份有限公司 异常访问行为分析方法、装置、计算机设备和存储介质

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101615186B (zh) * 2009-07-28 2012-07-04 东北大学 一种基于隐马尔科夫理论的bbs用户异常行为审计方法
US20120137367A1 (en) * 2009-11-06 2012-05-31 Cataphora, Inc. Continuous anomaly detection based on behavior modeling and heterogeneous information analysis
KR101130108B1 (ko) * 2010-06-28 2012-03-28 엔에이치엔(주) 만년력 형태의 웹문서 트랩 검출 및 이를 이용한 검색 데이터베이스 구축 방법, 시스템 및 컴퓨터 판독 가능한 기록 매체
WO2013036269A1 (en) 2011-09-09 2013-03-14 Hewlett-Packard Development Company, L.P. Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events
US9285958B1 (en) * 2012-11-19 2016-03-15 Amazon Technologies, Inc. Browser interface for accessing predictive content
US9531736B1 (en) * 2012-12-24 2016-12-27 Narus, Inc. Detecting malicious HTTP redirections using user browsing activity trees
US9379952B2 (en) * 2013-08-20 2016-06-28 Futurewei Technologies, Inc. Monitoring NAT behaviors through URI dereferences in web browsers
CA2934627C (en) * 2013-12-20 2024-02-27 Kevin O'leary Communications security
CN103714456B (zh) * 2014-01-06 2015-08-19 同济大学 软件行为监控验证系统
US20150348071A1 (en) * 2014-05-27 2015-12-03 Iperceptions Inc Server and method for generating predictive patterns for website analysis
US10015188B2 (en) 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
US10505981B2 (en) * 2016-11-03 2019-12-10 RiskIQ, Inc. Techniques for detecting malicious behavior using an accomplice model
KR102408476B1 (ko) * 2017-07-10 2022-06-14 십일번가 주식회사 사용자 행동 순서에 기반한 구매 확률 예측 방법 및 이를 위한 장치

Also Published As

Publication number Publication date
US20200228552A1 (en) 2020-07-16
US11336668B2 (en) 2022-05-17
JP2020113233A (ja) 2020-07-27

Similar Documents

Publication Publication Date Title
JP6757991B2 (ja) グループウェア使用者の異常行為探知方法および装置
CN108632097B (zh) 异常行为对象的识别方法、终端设备及介质
KR102151173B1 (ko) 그룹웨어 사용자의 이상 행위 탐지 방법 및 장치
JP3832281B2 (ja) 外れ値ルール生成装置と外れ値検出装置、その外れ値ルール生成方法と外れ値検出方法及びそのプログラム
Sha et al. Statistical learning for anomaly detection in cloud server systems: A multi-order Markov chain framework
US20160062815A1 (en) Detection of anomalies in error signals of cloud based service
US11593475B2 (en) Security information analysis device, security information analysis method, security information analysis program, security information evaluation device, security information evaluation method, security information analysis system, and recording medium
EP3050007A1 (en) Sequence identification
US20140039972A1 (en) Automatic detection of different types of changes in a business process
US20190303266A1 (en) String transformation based trace classification and analysis
JP2011138422A (ja) 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム
JP2017059205A (ja) 主題推定システム、主題推定方法およびプログラム
US20160255109A1 (en) Detection method and apparatus
Richetti et al. Declarative process mining: Reducing discovered models complexity by pre-processing event logs
Maggi Discovering metric temporal business constraints from event logs
Mohd Khairudin et al. Effect of temporal relationships in associative rule mining for web log data
Li et al. ε-matching: Event processing over noisy sequences in real time
Son et al. Program plagiarism detection using parse tree kernels
Freeman et al. Host-based intrusion detection using user signatures
Yu et al. Prediction of web user behavior by discovering temporal relational rules from web log data
Seeliger et al. Process compliance checking using taint flow analysis
CN114969333A (zh) 基于数据挖掘的网络信息安全管理方法及装置
Krapivin et al. Focused page rank in scientific papers ranking
WO2015045091A1 (ja) ベイジアンネットワークの構造学習におけるスーパーストラクチャ抽出のための方法及びプログラム
Bibyan et al. Testing coverage-based software modeling incorporating random effect with change point and its release

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190219

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191226

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20200121

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20200325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200818

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200826

R150 Certificate of patent or registration of utility model

Ref document number: 6757991

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250