JP7189252B2 - Analysis device, analysis method and analysis program - Google Patents

Analysis device, analysis method and analysis program Download PDF

Info

Publication number
JP7189252B2
JP7189252B2 JP2021060640A JP2021060640A JP7189252B2 JP 7189252 B2 JP7189252 B2 JP 7189252B2 JP 2021060640 A JP2021060640 A JP 2021060640A JP 2021060640 A JP2021060640 A JP 2021060640A JP 7189252 B2 JP7189252 B2 JP 7189252B2
Authority
JP
Japan
Prior art keywords
analysis
credit card
detection unit
http request
payment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2021060640A
Other languages
Japanese (ja)
Other versions
JP2022156776A (en
Inventor
恭英 加藤
衛 石野
守 山内
博行 中島
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Communications Corp
Original Assignee
NTT Communications Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Communications Corp filed Critical NTT Communications Corp
Priority to JP2021060640A priority Critical patent/JP7189252B2/en
Publication of JP2022156776A publication Critical patent/JP2022156776A/en
Application granted granted Critical
Publication of JP7189252B2 publication Critical patent/JP7189252B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Description

本発明は、分析装置、分析方法及び分析プログラムに関する。 The present invention relates to an analysis device, an analysis method, and an analysis program.

従来、API(Application Programming Interface)を介して提供される金融サービスが知られている。また、APIを介して提供されるサービスにおいては、サービス利用者の端末から送信されたAPIリクエストを基に新たなリクエストを生成し、当該生成したリクエストを用いてリダイレクトを行うことを端末に要求するAPIの処理方法が用いられる場合がある。 Conventionally, financial services provided via APIs (Application Programming Interfaces) are known. In addition, in the service provided via API, a new request is generated based on the API request sent from the terminal of the service user, and the terminal is requested to perform redirection using the generated request. An API processing method may be used.

特開2017-33221号公報Japanese Unexamined Patent Application Publication No. 2017-33221

しかしながら、従来の技術には、金融サービスにおける不正利用を検知することが困難な場合があるという問題がある。例えば、金融サービスにおけるクレジットカード決済に関する詳細な情報は保護されているため入手できない場合がある。その結果、不正なクレジットカードの決済を検知することが難しくなる。 However, conventional techniques have the problem that it can be difficult to detect fraudulent use in financial services. For example, detailed information about credit card transactions in financial services may be protected and unavailable. As a result, it becomes difficult to detect fraudulent credit card payments.

上述した課題を解決し、目的を達成するために、分析装置は、端末から送信されたAPIリクエストを解釈し、サーバに金融サービスを提供させるゲートウェイ装置のログを、所定の形式のデータに変換する変換部と、前記変換部によって変換されたデータから、前記金融サービスの不正利用に関する所定の条件を満たす事象を検出する検出部と、を有することを特徴とする。 In order to solve the above-mentioned problems and achieve the purpose, the analysis device interprets the API request sent from the terminal and converts the log of the gateway device that causes the server to provide financial services into data in a predetermined format. The present invention is characterized by comprising a conversion unit and a detection unit that detects, from the data converted by the conversion unit, an event that satisfies a predetermined condition regarding unauthorized use of the financial service.

本発明によれば、金融サービスにおける不正利用を検知することができる。 According to the present invention, fraudulent use in financial services can be detected.

図1は、サービス提供システムの構成例を示す図である。FIG. 1 is a diagram showing a configuration example of a service providing system. 図2は、分析装置による分析方法を説明する図である。FIG. 2 is a diagram for explaining the analysis method by the analysis device. 図3は、分析装置の構成例を示す図である。FIG. 3 is a diagram showing a configuration example of an analysis device. 図4は、グラフへの変換について説明する図である。FIG. 4 is a diagram illustrating conversion into a graph. 図5は、グラフデータの例を示す図である。FIG. 5 is a diagram showing an example of graph data. 図6は、第1の実施形態に係る分析装置の処理の流れを示すフローチャートである。FIG. 6 is a flow chart showing the flow of processing of the analyzer according to the first embodiment. 図7は、分析プログラムを実行するコンピュータの一例を示す図である。FIG. 7 is a diagram showing an example of a computer that executes an analysis program.

以下に、本願に係る分析装置、分析方法及び分析プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。 EMBODIMENT OF THE INVENTION Below, embodiment of the analysis apparatus which concerns on this application, an analysis method, and an analysis program is described in detail based on drawing. In addition, this invention is not limited by embodiment described below.

[第1の実施形態の構成]
まず、図1を用いて、分析装置を含むサービス提供システムの構成について説明する。図1は、サービス提供システムの構成例を示す図である。 [Configuration of the first embodiment]
First, using FIG. 1, the configuration of a service providing system including an analysis device will be described. FIG. 1 is a diagram showing a configuration example of a service providing system.

図1に示すように、サービス提供システム1は、インターネットを利用してサービス利用者に様々なサービスを提供するためのシステムである。 As shown in FIG. 1, a service providing system 1 is a system for providing various services to service users using the Internet.

図1の例では、サービス利用者は端末10からAPIを実行し、サーバ30によるサービスの提供を受ける。例えば、端末10はスマートフォン又はパーソナルコンピュータである。 In the example of FIG. 1, the service user executes the API from the terminal 10 and receives services provided by the server 30 . For example, terminal 10 is a smart phone or a personal computer.

サービス提供システム1は、ITインフラサービス、金融サービス、飲食サービスといった様々なサービスを提供することができる。例えば、ITインフラサービスは、利用者にネットワーク上のサーバ等を利用させるサービスである。また、例えば、金融サービスは、クレジットカードのオンラインでの決済を行うサービスである。また、例えば、飲食サービスは、飲食店における商品の注文をネットワーク経由で行うサービスである。 The service providing system 1 can provide various services such as IT infrastructure services, financial services, and eating and drinking services. For example, an IT infrastructure service is a service that allows a user to use a server or the like on a network. Also, for example, the financial service is a service for online settlement of credit card payments. Also, for example, a food service is a service for ordering products in a restaurant via a network.

まず、端末10は、利用するサービスの内容に応じたリクエスト(例えば、HTTPリクエスト)をインターネットに送信する。ここで、端末10によって送信されたリクエストはゲートウェイ装置20によって受信される。 First, the terminal 10 transmits a request (for example, an HTTP request) according to the content of the service to be used to the Internet. Here, the request transmitted by terminal 10 is received by gateway device 20 .

ゲートウェイ装置20は、受信したリクエストに含まれるURLからクエリ文字列を抽出し、当該抽出したクエリ文字列を復号する。そして、ゲートウェイ装置20は、復号したクエリ文字列を基に、端末10に対してリダイレクトを実行することを要求する。 The gateway device 20 extracts a query string from the URL included in the received request and decodes the extracted query string. Then, the gateway device 20 requests the terminal 10 to redirect based on the decrypted query string.

端末10は、ゲートウェイ装置20の要求に従ってリダイレクトを実行する。このとき、リダイレクトによって生じたリクエストはサーバ30に送信される。サーバ30は、受け取ったリクエストを基にサービスの提供に関する所定のアプリケーションを実行する。 Terminal 10 executes redirection according to the request of gateway device 20 . At this time, the request generated by redirection is sent to the server 30 . The server 30 executes a predetermined application related to service provision based on the received request.

ここで、分析装置40は、ゲートウェイ装置20からサービス利用ログを取得する。そして、分析装置40は、取得したサービス利用ログを用いて、サービスの不正利用の検知するための分析を行う。 Here, the analysis device 40 acquires service usage logs from the gateway device 20 . The analysis device 40 then uses the acquired service usage log to perform analysis for detecting unauthorized use of the service.

図2は、分析装置による分析方法を説明する図である。図2に示すように、分析装置40は、ゲートウェイ装置20から取得したサービス利用ログをDB(データベース)化する。例えば、分析装置40は、サービス利用ログをグラフデータに変換し、DB化する。 FIG. 2 is a diagram for explaining the analysis method by the analysis device. As shown in FIG. 2, the analysis device 40 converts service usage logs acquired from the gateway device 20 into a DB (database). For example, the analysis device 40 converts the service usage log into graph data and creates a DB.

そして、分析装置40はDBを基にリスクを検出し、検出結果をサービス運用者の端末50に通知する。 Then, the analysis device 40 detects the risk based on the DB and notifies the terminal 50 of the service operator of the detection result.

図3は、分析装置の構成例を示す図である。図3に示すように、分析装置40は、通信部41、記憶部42及び制御部43を有する。 FIG. 3 is a diagram showing a configuration example of an analysis device. As shown in FIG. 3 , the analysis device 40 has a communication section 41 , a storage section 42 and a control section 43 .

通信部41は、ネットワークを介して、ゲートウェイ装置20等の装置との間でデータ通信を行う。例えば、通信部41はNIC(Network Interface Card)である。 The communication unit 41 performs data communication with devices such as the gateway device 20 via a network. For example, the communication unit 41 is a NIC (Network Interface Card).

記憶部42は、HDD(Hard Disk Drive)、SSD(Solid State Drive)、光ディスク等の記憶装置である。なお、記憶部42は、RAM(Random Access Memory)、フラッシュメモリ、NVSRAM(Non Volatile Static Random Access Memory)等のデータを書き換え可能な半導体メモリであってもよい。 The storage unit 42 is a storage device such as a HDD (Hard Disk Drive), an SSD (Solid State Drive), an optical disc, or the like. Note that the storage unit 42 may be a rewritable semiconductor memory such as a RAM (Random Access Memory), a flash memory, or an NVSRAM (Non Volatile Static Random Access Memory).

記憶部42は、分析装置40で実行されるOS(Operating System)や各種プログラムを記憶する。記憶部42は、ログ情報422及び検出情報423を記憶する。ログ情報422は、DB化されたサービス利用ログであり、例えばグラフデータである。また、検出情報423は、不正利用の検出結果である。 The storage unit 42 stores an OS (Operating System) and various programs executed by the analysis device 40 . The storage unit 42 stores log information 422 and detection information 423 . The log information 422 is a DBized service usage log, such as graph data. Further, the detection information 423 is the detection result of unauthorized use.

制御部43は、分析装置40全体を制御する。制御部43は、例えば、CPU(Central Processing Unit)、MPU(Micro Processing Unit)、GPU(Graphics Processing Unit)等の電子回路や、ASIC(Application Specific Integrated Circuit)、FPGA(Field Programmable Gate Array)等の集積回路である。また、制御部43は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。 The control unit 43 controls the analysis device 40 as a whole. The control unit 43 includes, for example, electronic circuits such as CPU (Central Processing Unit), MPU (Micro Processing Unit), GPU (Graphics Processing Unit), ASIC (Application Specific Integrated Circuit), FPGA (Field Programmable Gate Array), etc. It is an integrated circuit. The control unit 43 also has an internal memory for storing programs defining various processing procedures and control data, and executes each processing using the internal memory.

また、制御部43は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部43は、変換部431、検出部432、加算部433及び通知部434を有する。 Further, the control unit 43 functions as various processing units by running various programs. For example, the control unit 43 has a conversion unit 431 , a detection unit 432 , an addition unit 433 and a notification unit 434 .

変換部431は、端末10から送信されたAPIリクエストを解釈した結果に基づきサーバ30に金融サービスを提供させるゲートウェイ装置20のサービス利用ログを、所定の形式のデータに変換する。 The conversion unit 431 converts the service usage log of the gateway device 20 that causes the server 30 to provide financial services based on the result of interpreting the API request sent from the terminal 10 into data in a predetermined format.

ゲートウェイ装置20は、URLから抽出したクエリ文字列を復号することにより、APIリクエストを解釈しているということができる。 It can be said that the gateway device 20 interprets the API request by decoding the query string extracted from the URL.

図4は、グラフへの変換について説明する図である。変換部431は、サービス利用ログを、「IPアドレス」、「クレジットカード」、「加盟店」の3種類のノードを持つグラフデータに変換する。 FIG. 4 is a diagram illustrating conversion into a graph. The conversion unit 431 converts the service usage log into graph data having three types of nodes: "IP address", "credit card", and "affiliated store".

「IPアドレス」はクレジットカード決済を行うユーザが利用する端末10のIPアドレスに相当する。「クレジットカード」はユーザが利用するクレジットカードに相当し、クレジットカード番号等によって識別される。「加盟店」はクレジットカードの決済により入金が行われる対象である。なお、クレジットカード決済に関する各処理はサーバ30がAPIを実行することにより行われる。また、ノード間のエッジは取引があったことを意味している。取引には、決済の依頼、入金等が含まれる。 The "IP address" corresponds to the IP address of the terminal 10 used by the user who makes the credit card payment. "Credit card" corresponds to the credit card used by the user and is identified by the credit card number or the like. A "member store" is an object to which payment is made by credit card settlement. Each processing related to credit card settlement is performed by the server 30 executing an API. Also, an edge between nodes means that there was a transaction. Transactions include requests for settlement, deposits, and the like.

また、ある1つのノードから他の1つのノードに対して複数回の取引があった場合、図4に示すように、当該ノード間には複数のエッジが配置される。 Also, when there are multiple transactions from one node to another node, multiple edges are arranged between the nodes as shown in FIG.

図5は、グラフデータの例を示す図である。一例として、変換部431は、サービス利用ログを図5のようなグラフデータに変換する。 FIG. 5 is a diagram showing an example of graph data. As an example, the conversion unit 431 converts the service usage log into graph data as shown in FIG.

検出部432は、変換部431によって変換されたデータから、金融サービスの不正利用に関する所定の条件を満たす事象を検出する。 The detection unit 432 detects, from the data converted by the conversion unit 431, an event that satisfies a predetermined condition regarding fraudulent use of financial services.

検出部432は、クレジットカードを利用した履歴が存在しないIPアドレスからの決済が行われたことを検出することができる。これは、例えば図5のグラフにおいて、「IPアドレス」ノードと「クレジットカード」ノードとの間に新たなエッジが発生することに相当する。 The detection unit 432 can detect that payment has been made from an IP address that does not have a history of using a credit card. This corresponds to the generation of a new edge between the "IP address" node and the "credit card" node in the graph of FIG. 5, for example.

検出部432は、1つのIPアドレスから複数のクレジットカードの決済が行われたことを検出する。例えば、図5には、「IPアドレス」ノード712から「クレジットカード」ノード722及び723に対して決済が行われたことが示されている。 The detection unit 432 detects that multiple credit card payments have been made from one IP address. For example, FIG. 5 shows that payments have been made from “IP Address” node 712 to “Credit Card” nodes 722 and 723 .

検出部432は、払い戻しの履歴があるクレジットカードによる決済が行われたことを検出する。これにより、検出部432は、払い戻しを繰り返すように不正を検出する。 The detection unit 432 detects that payment has been made using a credit card with a history of refunds. As a result, the detection unit 432 detects fraud such as repeated refunds.

検出部432は、決済が行われた加盟店に関する所定の条件を満たすことを検出する。例えば、1つのクレジットカードが、一定の時間帯で多数の加盟店で利用されていた場合、不正に利用された可能性が考えられる。 The detection unit 432 detects that a predetermined condition regarding the member store where the payment has been made is satisfied. For example, if one credit card is used at a number of affiliated stores within a certain period of time, there is a possibility that it has been used fraudulently.

例えば、検出部432は、図5の「クレジットカード」ノード722との間にエッジを持つ「加盟店」ノード734及び735に対応する加盟店の所在地間の距離が一定以上であることを検出する。 For example, the detection unit 432 detects that the distance between locations of member stores corresponding to the "member store" nodes 734 and 735 having an edge with the "credit card" node 722 in FIG. .

また、検出部432は、加盟店による履歴にない取引の発生を検出する。例えば、図5の「クレジットカード」ノード724と「加盟店」ノード736との間にエッジが存在するが、「クレジットカード」ノード724と「IPアドレス」ノードとの間のエッジは存在しない。検出部432は、このような事象を加盟店による履歴にない取引の発生として検出する。 Also, the detection unit 432 detects the occurrence of a transaction that is not recorded by the member store. For example, an edge exists between the "Credit Card" node 724 and the "Merchant" node 736 in FIG. 5, but an edge does not exist between the "Credit Card" node 724 and the "IP Address" node. The detection unit 432 detects such an event as the occurrence of a transaction that is not recorded by the member store.

また、検出部432は、「IPアドレス」ノードと「クレジットカード」ノードとの間の支払い金額と、対応する「クレジットカード」ノードと「加盟店」ノードとの間の支払い金額と、が一致しないことを検出する。 In addition, the detection unit 432 determines that the payment amount between the "IP address" node and the "credit card" node does not match the payment amount between the corresponding "credit card" node and the "merchant" node. detect that

加算部433は、検出部432によって検出された事象をリスクとみなし、関連するノードにポイントを加算する。このポイントが大きいほど不正利用の可能性が高くなる。 The adder 433 regards the event detected by the detector 432 as a risk and adds points to the associated nodes. The higher the number of points, the higher the possibility of fraudulent use.

通知部434は、検出結果を運用者に通知する。例えば、加算部433によって加算されたポイントが一定値を越えたノードに関する情報を通知する。 The notification unit 434 notifies the operator of the detection result. For example, information about a node whose points added by the adder 433 have exceeded a certain value is notified.

[第1の実施形態の処理]
図6は、第1の実施形態に係る分析装置の処理の流れを示すフローチャートである。図6に示すように、まず、分析装置40は、ゲートウェイ装置20のサービス利用ログをグラフデータに変換する(ステップS101)。 [Processing of the first embodiment]
FIG. 6 is a flow chart showing the flow of processing of the analyzer according to the first embodiment. As shown in FIG. 6, the analysis device 40 first converts the service usage log of the gateway device 20 into graph data (step S101).

次に、分析装置40は、グラフデータからリスクを検出する(ステップS102)。そして、分析装置40は、リスクに応じてグラフデータのノードにポイントを加算する(ステップS103)。 Next, analysis device 40 detects risk from the graph data (step S102). Then, the analysis device 40 adds points to the nodes of the graph data according to the risk (step S103).

そして、分析装置40は、検出結果を運用者に通知する(ステップS104)。 The analysis device 40 then notifies the operator of the detection result (step S104).

[第1の実施形態の効果]
これまで説明してきたように、変換部431は、端末10から送信されたAPIリクエストを解釈した結果に基づきサーバに金融サービスを提供させるゲートウェイ装置20のログを、所定の形式のデータに変換する。検出部432は、変換部431によって変換されたデータから、金融サービスの不正利用に関する所定の条件を満たす事象を検出する。 [Effects of the first embodiment]
As described above, the conversion unit 431 converts the log of the gateway device 20, which causes the server to provide financial services based on the result of interpreting the API request sent from the terminal 10, into data in a predetermined format. The detection unit 432 detects, from the data converted by the conversion unit 431, an event that satisfies a predetermined condition regarding fraudulent use of financial services.

分析装置40は、ゲートウェイ装置20のログを参照することで、入手困難なクレジットカードの決済に関する情報を得ることができる。このため、本実施形態によれば、金融サービスにおける不正利用を検知することができる。 By referring to the log of the gateway device 20, the analysis device 40 can obtain information on the difficult-to-obtain credit card settlement. Therefore, according to this embodiment, fraudulent use of financial services can be detected.

変換部431は、ログを、決済元のIPアドレス、クレジットカード及び加盟店をノードとし、ノード間における取引をエッジとするグラフに変換する。これにより、エッジ数の計測といった既存のグラフ分析手法を用いて検出を行うことができる。 The conversion unit 431 converts the log into a graph in which the IP address of the payment source, the credit card, and the member store are set as nodes, and the transactions between the nodes are set as edges. As a result, detection can be performed using existing graph analysis methods such as counting the number of edges.

検出部432は、クレジットカードを利用した履歴が存在しないIPアドレスからの決済が行われたことを検出する。これにより、偽造クレジットカード等による不正な決済を検出することができる。 The detection unit 432 detects that payment has been made from an IP address that does not have a history of using a credit card. This makes it possible to detect fraudulent payment by forged credit cards or the like.

検出部432は、1つのIPアドレスから複数のクレジットカードの決済が行われたことを検出する。これにより、クレジットカードの盗難等による不正な決済を検出することができる。 The detection unit 432 detects that multiple credit card payments have been made from one IP address. This makes it possible to detect fraudulent payments due to theft of credit cards or the like.

検出部432は、払い戻しの履歴があるクレジットカードによる決済が行われたことを検出する。これにより、不正な払い戻しを検出することができる。 The detection unit 432 detects that payment has been made using a credit card with a history of refunds. This makes it possible to detect fraudulent refunds.

検出部432は、決済が行われた加盟店に関する所定の条件を満たすことを検出する。これにより、加盟店による不正な処理を検出することができる。 The detection unit 432 detects that a predetermined condition regarding the member store where the payment has been made is satisfied. This makes it possible to detect fraudulent processing by member stores.

[システム構成等]
また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、CPU及び当該CPUにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、CPUだけでなく、GPU等の他のプロセッサによって実行されてもよい。 [System configuration, etc.]
Also, each component of each device illustrated is functionally conceptual, and does not necessarily need to be physically configured as illustrated. In other words, the specific form of distribution and integration of each device is not limited to the illustrated one, and all or part of them can be functionally or physically distributed or Can be integrated and configured. Furthermore, all or any part of each processing function performed by each device can be implemented by a CPU and a program analyzed and executed by the CPU, or implemented as hardware based on wired logic. Note that the program may be executed not only by the CPU but also by other processors such as a GPU.

また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。 Further, among the processes described in the present embodiment, all or part of the processes described as being automatically performed can be performed manually, or the processes described as being performed manually can be performed manually. All or part of this can also be done automatically by known methods. In addition, information including processing procedures, control procedures, specific names, and various data and parameters shown in the above documents and drawings can be arbitrarily changed unless otherwise specified.

[プログラム]
一実施形態として、分析装置40は、パッケージソフトウェアやオンラインソフトウェアとして上記の分析処理を実行する分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分析プログラムを情報処理装置に実行させることにより、情報処理装置を分析装置40として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やPHS(Personal Handyphone System)等の移動体通信端末、さらには、PDA(Personal Digital Assistant)等のスレート端末等がその範疇に含まれる。 [program]
As one embodiment, the analysis device 40 can be implemented by installing an analysis program that executes the above analysis processing as package software or online software on a desired computer. For example, the information processing device can function as the analysis device 40 by causing the information processing device to execute the above analysis program. The information processing apparatus referred to here includes a desktop or notebook personal computer. In addition, information processing devices include mobile communication terminals such as smartphones, mobile phones and PHS (Personal Handyphone Systems), and slate terminals such as PDAs (Personal Digital Assistants).

図7は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ1000は、例えば、メモリ1010、CPU1020を有する。また、コンピュータ1000は、ハードディスクドライブインタフェース1030、ディスクドライブインタフェース1040、シリアルポートインタフェース1050、ビデオアダプタ1060、ネットワークインタフェース1070を有する。これらの各部は、バス1080によって接続される。 FIG. 7 is a diagram showing an example of a computer that executes an analysis program. The computer 1000 has a memory 1010 and a CPU 1020, for example. Computer 1000 also has hard disk drive interface 1030 , disk drive interface 1040 , serial port interface 1050 , video adapter 1060 and network interface 1070 . These units are connected by a bus 1080 .

メモリ1010は、ROM(Read Only Memory)1011及びRAM(Random Access Memory)1012を含む。ROM1011は、例えば、BIOS(Basic Input Output System)等のブートプログラムを記憶する。ハードディスクドライブインタフェース1030は、ハードディスクドライブ1090に接続される。ディスクドライブインタフェース1040は、ディスクドライブ1100に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ1100に挿入される。シリアルポートインタフェース1050は、例えばマウス1110、キーボード1120に接続される。ビデオアダプタ1060は、例えばディスプレイ1130に接続される。 The memory 1010 includes a ROM (Read Only Memory) 1011 and a RAM (Random Access Memory) 1012 . The ROM 1011 stores a boot program such as BIOS (Basic Input Output System). Hard disk drive interface 1030 is connected to hard disk drive 1090 . A disk drive interface 1040 is connected to the disk drive 1100 . A removable storage medium such as a magnetic disk or optical disk is inserted into the disk drive 1100 . Serial port interface 1050 is connected to mouse 1110 and keyboard 1120, for example. Video adapter 1060 is connected to display 1130, for example.

ハードディスクドライブ1090は、例えば、OS1091、アプリケーションプログラム1092、プログラムモジュール1093、プログラムデータ1094を記憶する。すなわち、分析装置40の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール1093として実装される。プログラムモジュール1093は、例えばハードディスクドライブ1090に記憶される。例えば、分析装置40における機能構成と同様の処理を実行するためのプログラムモジュール1093が、ハードディスクドライブ1090に記憶される。なお、ハードディスクドライブ1090は、SSD(Solid State Drive)により代替されてもよい。 The hard disk drive 1090 stores an OS 1091, application programs 1092, program modules 1093, and program data 1094, for example. That is, a program that defines each process of the analysis device 40 is implemented as a program module 1093 in which computer-executable code is described. Program modules 1093 are stored, for example, on hard disk drive 1090 . For example, the hard disk drive 1090 stores a program module 1093 for executing processing similar to the functional configuration of the analysis device 40 . The hard disk drive 1090 may be replaced by an SSD (Solid State Drive).

また、上述した実施形態の処理で用いられる設定データは、プログラムデータ1094として、例えばメモリ1010やハードディスクドライブ1090に記憶される。そして、CPU1020は、メモリ1010やハードディスクドライブ1090に記憶されたプログラムモジュール1093やプログラムデータ1094を必要に応じてRAM1012に読み出して、上述した実施形態の処理を実行する。 Also, setting data used in the processing of the above-described embodiment is stored as program data 1094 in the memory 1010 or the hard disk drive 1090, for example. Then, the CPU 1020 reads the program modules 1093 and program data 1094 stored in the memory 1010 and the hard disk drive 1090 to the RAM 1012 as necessary, and executes the processes of the above-described embodiments.

なお、プログラムモジュール1093やプログラムデータ1094は、ハードディスクドライブ1090に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ1100等を介してCPU1020によって読み出されてもよい。あるいは、プログラムモジュール1093及びプログラムデータ1094は、ネットワーク(LAN(Local Area Network)、WAN(Wide Area Network)等)を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール1093及びプログラムデータ1094は、他のコンピュータから、ネットワークインタフェース1070を介してCPU1020によって読み出されてもよい。 The program modules 1093 and program data 1094 are not limited to being stored in the hard disk drive 1090, but may be stored in a removable storage medium, for example, and read by the CPU 1020 via the disk drive 1100 or the like. Alternatively, program modules 1093 and program data 1094 may be stored in another computer connected via a network (LAN (Local Area Network), WAN (Wide Area Network), etc.). Program modules 1093 and program data 1094 may then be read by CPU 1020 through network interface 1070 from other computers.

1 サービス提供システム
10、50 端末
20 ゲートウェイ装置
30 サーバ
40 分析装置
41 通信部
42 記憶部
43 制御部
422 ログ情報
423 検出情報
431 変換部
432 検出部
433 加算部
434 通知部 1 service providing system 10, 50 terminal 20 gateway device 30 server 40 analysis device 41 communication unit 42 storage unit 43 control unit 422 log information 423 detection information 431 conversion unit 432 detection unit 433 addition unit 434 notification unit

Claims (8)

端末から送信されたHTTPリクエストに含まれるURLから抽出したクエリ文字列を復号することにより、前記HTTPリクエストを解釈した結果に基づきサーバに金融サービスを提供させるゲートウェイ装置のHTTPリクエストのログを、所定の形式のデータに変換する変換部と、
前記変換部によって変換されたデータから、前記金融サービスの不正利用に関する所定の条件を満たす事象を検出する検出部と、
を有することを特徴とする分析装置。 By decoding the query string extracted from the URL included in the HTTP request sent from the terminal, the log of the HTTP request of the gateway device that causes the server to provide financial services based on the result of interpreting the HTTP request is stored in a predetermined manner. a conversion unit that converts data into format data;
a detection unit that detects an event that satisfies a predetermined condition regarding unauthorized use of the financial service from the data converted by the conversion unit;
An analysis device characterized by having 前記変換部は、前記ログを、決済元のIPアドレス、クレジットカード及び加盟店をノードとし、ノード間における取引をエッジとするグラフに変換することを特徴とする請求項1に記載の分析装置。 2. The analysis apparatus according to claim 1, wherein the conversion unit converts the log into a graph having the IP address of the payment source, the credit card, and the affiliated store as nodes and the transactions between the nodes as edges. 前記検出部は、クレジットカードを利用した履歴が存在しないIPアドレスからの決済が行われたことを検出することを特徴とする請求項1又は2に記載の分析装置。 3. The analysis apparatus according to claim 1, wherein the detection unit detects that payment has been made from an IP address that does not have a history of using a credit card. 前記検出部は、1つのIPアドレスから複数のクレジットカードの決済が行われたことを検出することを特徴とする請求項1又は2に記載の分析装置。 3. The analyzer according to claim 1, wherein the detection unit detects that a plurality of credit card payments have been made from one IP address. 前記検出部は、払い戻しの履歴があるクレジットカードによる決済が行われたことを検出することを特徴とする請求項1又は2に記載の分析装置。 3. The analysis apparatus according to claim 1, wherein the detection unit detects that payment has been made with a credit card that has a history of refunds. 前記検出部は、決済が行われた加盟店に関する所定の条件を満たすことを検出することを特徴とする請求項1又は2に記載の分析装置。 3. The analysis device according to claim 1, wherein the detection unit detects that a predetermined condition regarding a member store where payment has been made is satisfied. 分析装置によって実行される分析方法であって、
端末から送信されたHTTPリクエストに含まれるURLから抽出したクエリ文字列を復号することにより、前記HTTPリクエストを解釈した結果に基づきサーバに金融サービスを提供させるゲートウェイ装置のHTTPリクエストのログを、所定の形式のデータに変換する変換工程と、
前記変換工程によって変換されたデータから、前記金融サービスの不正利用に関する所定の条件を満たす事象を検出する検出工程と、
を含むことを特徴とする分析方法。 An analysis method performed by an analysis device, comprising:
By decoding the query string extracted from the URL included in the HTTP request sent from the terminal, the log of the HTTP request of the gateway device that causes the server to provide financial services based on the result of interpreting the HTTP request is stored in a predetermined manner. a conversion step of converting data into a format;
a detection step of detecting an event that satisfies a predetermined condition regarding fraudulent use of the financial service from the data converted by the conversion step;
A method of analysis characterized by comprising コンピュータを、請求項1から6のいずれか1項に記載の分析装置として機能させるための分析プログラム。 An analysis program for causing a computer to function as the analysis device according to any one of claims 1 to 6.
JP2021060640A 2021-03-31 2021-03-31 Analysis device, analysis method and analysis program Active JP7189252B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2021060640A JP7189252B2 (en) 2021-03-31 2021-03-31 Analysis device, analysis method and analysis program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2021060640A JP7189252B2 (en) 2021-03-31 2021-03-31 Analysis device, analysis method and analysis program

Publications (2)

Publication Number Publication Date
JP2022156776A JP2022156776A (en) 2022-10-14
JP7189252B2 true JP7189252B2 (en) 2022-12-13

Family

ID=83559868

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2021060640A Active JP7189252B2 (en) 2021-03-31 2021-03-31 Analysis device, analysis method and analysis program

Country Status (1)

Country Link
JP (1) JP7189252B2 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140279306A1 (en) 2013-03-13 2014-09-18 Opera Solutions, Llc System and Method for Detecting Merchant Points of Compromise Using Network Analysis and Modeling
US20200242615A1 (en) 2019-01-28 2020-07-30 Fair Isaac Corporation First party fraud detection
US20200349586A1 (en) 2019-04-30 2020-11-05 Paypal, Inc. Detecting fraud using machine-learning
US20210049606A1 (en) 2018-02-13 2021-02-18 Ocado Innovation Limited Apparatus and method of fraud prevention

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140279306A1 (en) 2013-03-13 2014-09-18 Opera Solutions, Llc System and Method for Detecting Merchant Points of Compromise Using Network Analysis and Modeling
US20210049606A1 (en) 2018-02-13 2021-02-18 Ocado Innovation Limited Apparatus and method of fraud prevention
US20200242615A1 (en) 2019-01-28 2020-07-30 Fair Isaac Corporation First party fraud detection
US20200349586A1 (en) 2019-04-30 2020-11-05 Paypal, Inc. Detecting fraud using machine-learning

Also Published As

Publication number Publication date
JP2022156776A (en) 2022-10-14

Similar Documents

Publication Publication Date Title
US11184380B2 (en) Security weakness and infiltration detection and repair in obfuscated website content
US9032520B2 (en) Remote security self-assessment framework
US8893286B1 (en) Systems and methods for preventing fraudulent activity associated with typo-squatting procedures
US11586687B2 (en) Apparatus, method and computer program for cloud scraping using pre-scraped big data
US11605088B2 (en) Systems and methods for providing concurrent data loading and rules execution in risk evaluations
CN111768258A (en) Method, device, electronic equipment and medium for identifying abnormal order
US20190188578A1 (en) Automatic discovery of data required by a rule engine
US20150221043A1 (en) Method and system for providing global ready financial applications
JP2022188217A (en) Analyzer, analysis method, and analysis program
CN112602084A (en) System and method for identifying data leaks
CN113132400A (en) Business processing method, device, computer system and storage medium
JP7189252B2 (en) Analysis device, analysis method and analysis program
US20110196722A1 (en) Marketplace for captcha developers
JP6988010B2 (en) Dynamic IP address classification system and method
Ou et al. Viopolicy-detector: An automated approach to detecting GDPR suspected compliance violations in websites
WO2014130045A1 (en) Remote security self-assessment framework
RU2727932C1 (en) Method and system for detecting malicious files by generating ads on online trading platforms
TWI757925B (en) System for making two applications run simultaneously by calling input program and method thereof
US11363038B2 (en) Detection impersonation attempts social media messaging
Ojugo et al. An Intelligent Lightweight Market Basket Associative Rule Mining for Smartphone Cloud-Based Application To Ease Banking Transaction
CN116483654A (en) Data detection method, device, electronic equipment and medium
CN116049561A (en) Information pushing method and device, electronic equipment and computer readable storage medium
CN114338069A (en) System and method for granting access to a user's data
CN116797024A (en) Service processing method, device, electronic equipment and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210331

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220517

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220719

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20221115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20221201

R150 Certificate of patent or registration of utility model

Ref document number: 7189252

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150