JP7452849B2 - Abnormal operation detection device, abnormal operation detection method, and program - Google Patents

Abnormal operation detection device, abnormal operation detection method, and program Download PDF

Info

Publication number
JP7452849B2
JP7452849B2 JP2020090851A JP2020090851A JP7452849B2 JP 7452849 B2 JP7452849 B2 JP 7452849B2 JP 2020090851 A JP2020090851 A JP 2020090851A JP 2020090851 A JP2020090851 A JP 2020090851A JP 7452849 B2 JP7452849 B2 JP 7452849B2
Authority
JP
Japan
Prior art keywords
detection device
variable
reference list
abnormal operation
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020090851A
Other languages
Japanese (ja)
Other versions
JP2021189490A (en
Inventor
誠幸 辻村
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Communication Systems Ltd
Original Assignee
NEC Communication Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Communication Systems Ltd filed Critical NEC Communication Systems Ltd
Priority to JP2020090851A priority Critical patent/JP7452849B2/en
Publication of JP2021189490A publication Critical patent/JP2021189490A/en
Application granted granted Critical
Publication of JP7452849B2 publication Critical patent/JP7452849B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Debugging And Monitoring (AREA)

Description

本発明は、会社などの組織内の情報システムにおいて利用されるユーザ端末での異常操作を検出する異常操作検出装置、異常操作検出方法、およびプログラムに関する。 The present invention relates to an abnormal operation detection device, an abnormal operation detection method, and a program for detecting an abnormal operation on a user terminal used in an information system within an organization such as a company.

従来、会社などの組織内の情報システムにおいて利用されるユーザ端末からの情報漏えいを防ぐために、様々な対策が講じられている。 Conventionally, various measures have been taken to prevent information leaks from user terminals used in information systems within organizations such as companies.

例えば、特許文献1には、異常操作検出装置がユーザ端末の操作内容を取得し、あらかじめ記憶された通常の操作と比較することで、異常操作を検出する技術が開示されている。 For example, Patent Document 1 discloses a technique in which an abnormal operation detection device detects an abnormal operation by acquiring the operation content of a user terminal and comparing it with a normal operation stored in advance.

特開2010-250502号公報Japanese Patent Application Publication No. 2010-250502

しかしながら、特許文献1に記載の技術では、異常操作検出装置にあらかじめ記憶させておく通常の操作の設定が難しく、当該異常操作検出装置の運用初期には誤検出が発生してしまう可能性もあった。 However, with the technology described in Patent Document 1, it is difficult to set normal operations that are stored in advance in the abnormal operation detection device, and there is a possibility that false detections may occur during the initial operation of the abnormal operation detection device. Ta.

本発明の目的は、ユーザ端末での異常操作を検出するための設定を容易にすることができる異常操作検出装置、異常操作検出方法、およびプログラムを提供することにある。 An object of the present invention is to provide an abnormal operation detection device, an abnormal operation detection method, and a program that can facilitate settings for detecting abnormal operations on a user terminal.

本発明の一態様による異常操作検出装置は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段とを有する。 An abnormal operation detection device according to one aspect of the present invention includes an operation log collected from a user terminal, a standard list according to an organization to which the user belongs, and a variable item corresponding to a normal operation at the user terminal and the above-described list. a detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing it with the standard list that includes the immutable item that corresponds to an abnormal operation at the user terminal; and the standard list. and updating means for updating the variable items in accordance with an analysis result of the operation log.

本発明の一態様による異常操作検出方法は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップとを含む。 An abnormal operation detection method according to one aspect of the present invention includes an operation log collected from a user terminal, which is a standard list according to the organization to which the user belongs, and includes variable items corresponding to normal operations at the user terminal and the a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing it with the standard list that includes the immutable item that corresponds to the abnormal operation at the user terminal; and the standard list and updating the variable items in accordance with an analysis result of the operation log.

本発明の一態様によるプログラムは、コンピュータに上記異常操作検出方法を実行させる。 A program according to one aspect of the present invention causes a computer to execute the above abnormal operation detection method.

本発明によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。 According to the present invention, settings for detecting an abnormal operation on a user terminal can be easily made. Note that, according to the present invention, other effects may be achieved instead of or in addition to the above effects.

第1の実施形態に係る情報システムの構成例を示す図である。FIG. 1 is a diagram illustrating a configuration example of an information system according to a first embodiment. 第1の実施形態に係る異常操作検出装置の機能ブロック図である。FIG. 2 is a functional block diagram of the abnormal operation detection device according to the first embodiment. 図2に示した異常操作検出装置の各構成要素の関係を説明する図である。FIG. 3 is a diagram illustrating the relationship between each component of the abnormal operation detection device shown in FIG. 2. FIG. 第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す図である。FIG. 3 is a diagram illustrating a configuration example of a reference list and a reference list pattern according to the first embodiment. 第1の実施形態に係る異常操作検出処理のフローチャートを示す図である。FIG. 3 is a diagram showing a flowchart of abnormal operation detection processing according to the first embodiment. 第1の実施形態に係るアラート通知処理のフローチャートを示す図である。FIG. 3 is a diagram showing a flowchart of alert notification processing according to the first embodiment. 第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。1 is a diagram showing a hardware configuration of a computer that operates as an abnormal operation detection device according to a first embodiment; FIG. 第2の実施形態に係る異常操作検出装置の機能ブロック図である。FIG. 2 is a functional block diagram of an abnormal operation detection device according to a second embodiment.

以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。 Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in this specification and the drawings, elements that can be explained in the same manner may be designated by the same reference numerals, so that redundant explanation can be omitted.

説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.第1の実施形態
2.1.情報システムの構成
2.2.異常操作検出装置
2.3.動作例
2.4.変形例1
2.5.変形例2
2.6.ハードウェア構成
2.7.効果の説明
3.第2の実施形態
3.1.異常操作検出装置
3.2.動作例
4.他の実施形態
5.付記 The explanation will be given in the following order.
1. Overview of embodiments of the present invention 2. First embodiment 2.1. Information system configuration 2.2. Abnormal operation detection device 2.3. Operation example 2.4. Modification example 1
2.5. Modification example 2
2.6. Hardware configuration 2.7. Explanation of effects 3. Second embodiment 3.1. Abnormal operation detection device 3.2. Operation example 4. Other embodiments 5. Additional notes

<<1.本発明の実施形態の概要>>
本発明の実施形態では、例えば、異常操作検出装置が、情報システム内の各ユーザ端末から収集された操作ログと、当該ユーザ端末のユーザが所属する組織に基づく基準リストを分析する。そうすることにより、異常操作検出装置は、ユーザ端末が正常に利用されているかどうかを判断することができる。 <<1. Overview of embodiments of the present invention >>
In an embodiment of the present invention, for example, the abnormal operation detection device analyzes operation logs collected from each user terminal in the information system and a reference list based on the organization to which the user of the user terminal belongs. By doing so, the abnormal operation detection device can determine whether the user terminal is being used normally.

なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。 Note that the above-mentioned technical features are specific examples of the embodiments of the present invention, and the embodiments of the present invention are not limited to the above-mentioned technical features.

<<2.第1の実施形態>>
<2.1.情報システムの構成>
図1は、第1の実施形態に係る情報システムの構成例を示す。本実施形態に係る情報システムは、会社などの組織内で利用される情報システムであって、異常操作検出装置10と、複数のユーザ端末12と、外部コンピュータ14と、業務システムサーバ15と、管理者端末1とを含む。 <<2. First embodiment >>
<2.1. Information system configuration>
FIG. 1 shows an example of the configuration of an information system according to the first embodiment. The information system according to this embodiment is an information system used within an organization such as a company, and includes an abnormal operation detection device 10, a plurality of user terminals 12, an external computer 14, a business system server 15, and a management system. terminal 1.

異常操作検出装置10は、ネットワーク11に接続されており、複数のユーザ端末12のネットワーク11上での動作、例えばインターネット13を介して行うWebサーバなどの外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作などを検出する。そして、異常操作検出装置10は、検出された動作が異常である場合には、その旨を各端末に通知する。また、情報システムの管理者は、ネットワーク11に接続された管理者端末16を利用して、異常操作検出装置10の設定を行うことができる。 The abnormal operation detection device 10 is connected to a network 11 and detects operations of a plurality of user terminals 12 on the network 11, for example, operations on an external computer 14 such as a web server via the Internet 13, or a business system server 15. Detects actions performed when connected to etc. Then, if the detected operation is abnormal, the abnormal operation detection device 10 notifies each terminal to that effect. Further, the administrator of the information system can configure the abnormal operation detection device 10 using the administrator terminal 16 connected to the network 11.

<2.2.異常操作検出装置>
図2は、本実施形態に係る異常操作検出装置の機能ブロック図を示す。 <2.2. Abnormal operation detection device>
FIG. 2 shows a functional block diagram of the abnormal operation detection device according to this embodiment.

異常操作検出装置10は、ログ収集部101、異常検知レベル判定部102、アラート通知部103、操作-基準リスト比較部104、基準リストパターン判定部105、可変項目更新部106、およびデータベース(DB)107を有する。データベース107は、操作ログDB1071、ユーザDB1072、基準リストDB1073、基準リストパターンDB1074、システム定義DB1075を有する。
上述した各構成要素の関係は、図3を参照して後述する。 The abnormal operation detection device 10 includes a log collection unit 101, an abnormality detection level determination unit 102, an alert notification unit 103, an operation-standard list comparison unit 104, a standard list pattern determination unit 105, a variable item update unit 106, and a database (DB). It has 107. The database 107 includes an operation log DB 1071, a user DB 1072, a reference list DB 1073, a reference list pattern DB 1074, and a system definition DB 1075.
The relationship between the above-mentioned components will be described later with reference to FIG. 3.

図3は、図2に示した異常操作検出装置の各構成要素の関係を説明する図である。 FIG. 3 is a diagram illustrating the relationship between each component of the abnormal operation detection device shown in FIG. 2.

ログ収集部101は、各ユーザ端末12におけるユーザ操作をログ(以下、操作ログとも称する)として収集し、収集した操作ログを操作ログDB1071に保存する。また、ログ収集部101は、ログ収集を行った旨を異常検知レベル判定部102に通知する。 The log collection unit 101 collects user operations on each user terminal 12 as a log (hereinafter also referred to as an operation log), and stores the collected operation log in the operation log DB 1071. Further, the log collection unit 101 notifies the abnormality detection level determination unit 102 that the log collection has been performed.

異常検知レベル判定部102は、各ユーザ端末12におけるユーザ操作の異常検知レベルを判定する。具体的には、異常検知レベル判定部102は、ログ収集部101から、ログ収集を行った旨の通知を受け取ると、ユーザDB1072にアクセスし、異常検知レベルの判定対象のユーザの情報を取得する。さらに、異常検知レベル判定部102は、当該ユーザに関する操作ログを操作ログDB1071から取得し、基準リスト情報を基準リストDB1073から取得し、分析を行う。異常検知レベル判定部102は、アラートを出す場合には、その旨をアラート通知部103に通知する。判定終了後、異常検知レベル判定部102は、操作-基準リスト比較部104にその旨を通知する。このように、異常検知レベル判定部102は、ユーザ端末12での異常操作を検出する検出手段として機能する。 The abnormality detection level determination unit 102 determines the abnormality detection level of user operations at each user terminal 12. Specifically, when the anomaly detection level determination unit 102 receives a notification from the log collection unit 101 that log collection has been performed, the anomaly detection level determination unit 102 accesses the user DB 1072 and acquires information on the user whose anomaly detection level is to be determined. . Furthermore, the abnormality detection level determination unit 102 acquires an operation log regarding the user from the operation log DB 1071, acquires reference list information from the reference list DB 1073, and performs analysis. When the abnormality detection level determination unit 102 issues an alert, it notifies the alert notification unit 103 to that effect. After the determination is completed, the abnormality detection level determination unit 102 notifies the operation-criteria list comparison unit 104 of the determination. In this way, the abnormality detection level determination unit 102 functions as a detection means for detecting an abnormal operation on the user terminal 12.

アラート通知部103は、対象のユーザ端末12に対してアラートを出力する。具体的には、アラート通知部103は、異常検知レベル判定部102から通知を受信すると、システム定義DB1075からアラート通知方法を取得し、対象のユーザ端末12に対してアラートを出力する。このように、アラート通知部103は、アラートの出力手段として機能する。 The alert notification unit 103 outputs an alert to the target user terminal 12. Specifically, upon receiving the notification from the abnormality detection level determination unit 102, the alert notification unit 103 acquires the alert notification method from the system definition DB 1075, and outputs the alert to the target user terminal 12. In this way, the alert notification unit 103 functions as an alert output means.

操作-基準リスト比較部104は、操作ログと既存の基準リスト、基準リストパターンを分析して、基準リストを更新するかどうか判定する。具体的には、操作-基準リスト比較部104は、異常検知レベル判定部102からの通知を受信すると、操作ログDB1071から操作ログを取得し、基準リストパターン判定部105に送信する。操作-基準リスト比較部104は、基準リストパターン判定部105から返信された基準リストパターン情報と操作ログ、基準リストDB1073から取得した基準リスト情報を分析する。操作-基準リスト比較部104は、基準リストの可変項目を修正する必要がある場合は、可変項目更新部106に情報を送信する。さらに、操作-基準リスト比較部104は、システム定義DB1075から、基準リスト精錬期間情報を取得する。基準リスト精錬期間情報は、基準リストの可変項目を更新し、異常操作の検出精度を向上させるための所定の期間を示す。 The operation-criteria list comparison unit 104 analyzes the operation log, the existing criteria list, and the criteria list pattern, and determines whether to update the criteria list. Specifically, upon receiving the notification from the abnormality detection level determination unit 102, the operation-standard list comparison unit 104 acquires the operation log from the operation log DB 1071 and transmits it to the reference list pattern determination unit 105. The operation-standard list comparison unit 104 analyzes the standard list pattern information and operation log returned from the standard list pattern determination unit 105 and the standard list information acquired from the standard list DB 1073. The operation-criteria list comparison unit 104 transmits information to the variable item updating unit 106 when it is necessary to modify the variable items in the criteria list. Further, the operation-criteria list comparison unit 104 acquires criterion list refining period information from the system definition DB 1075. The reference list refinement period information indicates a predetermined period for updating the variable items of the reference list and improving the detection accuracy of abnormal operations.

基準リストパターン判定部105は、基準リストを精錬させるために必要な基準リストパターンを、操作ログを基に判定する。具体的には、基準リストパターン判定部105は、操作-基準リスト比較部104から操作ログを受信すると、基準リストパターンDB1074から必要な基準リストパターン情報を取得し、操作ログと併せて分析した結果を操作-基準リスト比較部104に返信する。 The reference list pattern determination unit 105 determines a reference list pattern necessary for refining the reference list based on the operation log. Specifically, upon receiving the operation log from the operation-reference list comparison unit 104, the reference list pattern determination unit 105 acquires necessary reference list pattern information from the reference list pattern DB 1074, and analyzes the result along with the operation log. is returned to the operation-reference list comparison unit 104.

可変項目更新部106は、既存の基準リストの可変項目を更新する。すなわち、可変項目更新部106は、可変項目の更新手段として機能する。具体的には、可変項目更新部106は、操作-基準リスト比較部104から通知を受信すると、基準リストDB1073にある基準リスト情報を更新する。 The variable item update unit 106 updates the variable items in the existing reference list. In other words, the variable item updating unit 106 functions as a means for updating variable items. Specifically, upon receiving the notification from the operation-criteria list comparison unit 104, the variable item update unit 106 updates the criteria list information in the criteria list DB 1073.

操作ログDB1071は、ログ収集部101によって収集された操作ログを保存する。保存された操作ログは、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。 The operation log DB 1071 stores operation logs collected by the log collection unit 101. The saved operation log is used by the abnormality detection level determination section 102 and the operation-criteria list comparison section 104.

ユーザDB1072は、ユーザ情報を保存する。ユーザ情報は、異常検知レベル判定部102によって使用される。また、異常検知レベル判定部102によって算出される異常検知累積値もユーザDB1072に保存される。異常検知累積値の詳細については後述する。 User DB 1072 stores user information. The user information is used by the abnormality detection level determination unit 102. Further, the abnormality detection cumulative value calculated by the abnormality detection level determination unit 102 is also stored in the user DB 1072. Details of the abnormality detection cumulative value will be described later.

基準リストDB1073は、基準リスト情報を保存する。基準リスト情報は、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。また、基準リスト情報は、可変項目更新部106によって更新される。 The standard list DB 1073 stores standard list information. The reference list information is used by the abnormality detection level determination section 102 and the operation-criteria list comparison section 104. Further, the reference list information is updated by the variable item updating unit 106.

基準リストパターンDB1074は、複数の基準リストパターン情報を保存する。基準リストパターン情報は、基準リストパターン判定部105によって使用される。 The reference list pattern DB 1074 stores a plurality of reference list pattern information. The reference list pattern information is used by the reference list pattern determination unit 105.

システム定義DB1075は、システム全体の情報を保存する。当該情報には、例えば、ユーザ端末12に対するアラート通知方法や、基準リスト精錬期間も含まれ、アラート通知部103や操作-基準リスト比較部104によって参照される。 The system definition DB 1075 stores information about the entire system. The information includes, for example, an alert notification method for the user terminal 12 and a reference list refinement period, and is referred to by the alert notification unit 103 and the operation-criteria list comparison unit 104.

図4は、第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す。 FIG. 4 shows a configuration example of a reference list and a reference list pattern according to the first embodiment.

図示されるように、基準リスト1、2、3はそれぞれ、可変項目と不可変項目とを含む。可変項目は、ホワイトリストの役割を持ち、正常操作に該当する操作項目を示す。一方、不可変項目は、ブラックリストの役割を持ち、異常操作に該当する操作項目を示す。また、それぞれ異なる可変項目a、可変項目b、および可変項目cが用意され、それぞれを不可変項目と組み合わせたものを基準リストパターンとする。可変項目の例として、就業時間、業務で普段利用するソフトウェア、当該ソフトウェアの利用時間、アクセス可能な共有サーバへアクセスする時間、などがある。不可変項目の例として、業務での利用が禁止されているソフトウェアのインストール、閲覧が禁止されているウェブサイトへのアクセス、業務で普段利用することが無い共有サーバへのアクセス、などがある。このように、異常操作とは、当該ユーザ端末で禁止されている操作、および、所定の時間外での操作のことをいう。 As illustrated, reference lists 1, 2, and 3 each include variable items and immutable items. The variable items serve as a whitelist and indicate operation items that correspond to normal operations. On the other hand, the immutable items serve as a blacklist and indicate operation items that correspond to abnormal operations. Further, variable item a, variable item b, and variable item c, which are different from each other, are prepared, and a combination of each with an immutable item is used as a reference list pattern. Examples of variable items include working hours, software normally used for work, usage time of the software, and time for accessing an accessible shared server. Examples of immutable items include installing software that is prohibited for business use, accessing websites that are prohibited from viewing, and accessing shared servers that are not normally used for business purposes. In this way, an abnormal operation refers to an operation that is prohibited on the user terminal and an operation outside a predetermined time.

なお、本実施形態に係る基準リストおよび基準リストパターンの数や構成は、図示された例に限定されない。 Note that the number and configuration of the reference list and reference list pattern according to this embodiment are not limited to the illustrated example.

<2.3.動作例>
第1の実施形態に係る動作例を説明する。図5は、第1の実施形態に係る異常操作検出処理のフローチャートを示す。 <2.3. Operation example>
An example of operation according to the first embodiment will be described. FIG. 5 shows a flowchart of abnormal operation detection processing according to the first embodiment.

まず、異常操作検出装置10は、基準リストDB1073に、ユーザごとに組織や部署に応じた基準リストを保存する(S101)。 First, the abnormal operation detection device 10 stores a reference list corresponding to the organization or department for each user in the reference list DB 1073 (S101).

次いで、ログ収集部101は、各ユーザ端末12から操作ログを収集し、収集した操作ログを操作ログDB1071に保存し、異常検知レベル判定部102に通知する(S102)。 Next, the log collection unit 101 collects operation logs from each user terminal 12, stores the collected operation logs in the operation log DB 1071, and notifies the abnormality detection level determination unit 102 (S102).

異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、アラート通知処理を行う(S103)。アラート通知処理については、図6を参照して後述する。その後、操作-基準リスト比較部104は、基準リストパターン判定部105に操作ログ情報を送信し、基準リストパターンの判定を要求する。 Upon receiving the notification from the log collection unit 101, the abnormality detection level determination unit 102 performs an alert notification process (S103). The alert notification process will be described later with reference to FIG. Thereafter, the operation-reference list comparison unit 104 transmits the operation log information to the reference list pattern determination unit 105 and requests determination of the reference list pattern.

基準リストパターン判定部105は、操作-基準リスト比較部104から受信した操作ログ情報のうち、可変項目に関する情報を抽出する。その後、基準リストパターン判定部105は、抽出された可変項目に関する情報を、基準リストパターンDB1074内の各基準リストパターンにおける可変項目と比較し(S104)、エラーの状況を判別する(S105)。エラーの数が極端に多いもしくは少ない基準リストパターンについては、今後、操作-基準リスト比較部104での比較対象外とし、参照しないこととする(S106)。このように、基準リストパターン判定部105は、複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段として機能する。 The reference list pattern determination unit 105 extracts information regarding variable items from the operation log information received from the operation-reference list comparison unit 104. Thereafter, the reference list pattern determination unit 105 compares the information regarding the extracted variable items with the variable items in each reference list pattern in the reference list pattern DB 1074 (S104), and determines the error situation (S105). Reference list patterns with an extremely large or small number of errors will no longer be compared in the operation-reference list comparison unit 104 and will not be referenced (S106). In this way, the reference list pattern determination unit 105 functions as a selection unit that selects a reference list pattern in which the number of errors is within a predetermined threshold range from a plurality of reference list patterns.

次いで、基準リストパターン判定部105は、次の基準リストが存在するかどうか判定する(S107)。次の基準リストが存在する場合は、S104に戻り、処理を繰り返す。すなわち、基準リストパターン判定部105は、S104からS106の処理を基準リストの数だけ繰り返し(S107)、比較対象の各基準リストパターンの情報のみを、操作-基準リスト比較部104に送信する。 Next, the reference list pattern determination unit 105 determines whether the next reference list exists (S107). If the next reference list exists, the process returns to S104 and repeats the process. That is, the reference list pattern determination unit 105 repeats the processes from S104 to S106 as many times as the number of reference lists (S107), and sends only information on each reference list pattern to be compared to the operation-reference list comparison unit 104.

次いで、操作-基準リスト比較部104は、基準リストパターン判定部105から受信した比較対象の各基準リストパターンの情報、操作ログ、および既存の基準リスト情報を比較分析する(S108)。可変項目が、既存の基準リストの可変項目と異なる場合、操作-基準リスト比較部104は、可変項目更新部106に新規の可変項目情報を送信する。可変項目更新部106は、新規の可変項目情報を受信した場合、その情報を用いて基準リストDB1073に記憶された基準リストの可変項目を更新し、新たな基準リストを設定する(S109)。このように、可変項目更新部106は、操作ログの分析結果に応じて可変項目を更新する更新手段として機能する。 Next, the operation-criteria list comparison unit 104 compares and analyzes the information on each comparison target criterion list pattern received from the criterion list pattern determination unit 105, the operation log, and the existing criterion list information (S108). If the variable item is different from the variable item in the existing standard list, the operation-standard list comparison unit 104 transmits new variable item information to the variable item updating unit 106. When receiving new variable item information, the variable item update unit 106 updates the variable items of the standard list stored in the standard list DB 1073 using the information, and sets a new standard list (S109). In this way, the variable item update unit 106 functions as an update unit that updates variable items according to the analysis result of the operation log.

また、操作-基準リスト比較部104は、システム定義DB1075から基準リスト精錬期間情報を取得し、期間内であれば、新たにログ収集部101によって収集された操作ログを基に、基準リストの精錬を行う(S110)。 In addition, the operation-criteria list comparison unit 104 acquires criterion list refinement period information from the system definition DB 1075, and if it is within the period, refines the criterion list based on the operation log newly collected by the log collection unit 101. (S110).

図6は、第1の実施形態に係るアラート通知処理のフローチャートを示す。以下で説明するアラート通知処理は、図5のS103に対応する。 FIG. 6 shows a flowchart of alert notification processing according to the first embodiment. The alert notification process described below corresponds to S103 in FIG. 5.

まず、異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、ユーザDB1072から該当ユーザの情報を取得する(S201)。 First, upon receiving a notification from the log collection unit 101, the abnormality detection level determination unit 102 acquires information on the corresponding user from the user DB 1072 (S201).

次いで、異常検知レベル判定部102は、取得したユーザ情報を基に、そのユーザに関する操作ログを操作ログDB1071から取得する。異常検知レベル判定部102は、あらかじめ基準リストDB1073から取得した基準リスト情報と操作ログ情報とを比較し、異常操作が行われたかどうか判定する。具体的には、異常検知レベル判定部102は、取得した操作ログ情報のうち、不可変項目に関する情報を抽出し、抽出した不可変項目と基準リスト情報における不可変項目とを比較する(S202)。一つでも一致する項目があれば、異常検知レベル判定部102は、アラート通知部103に情報を送信する(すなわち、S207に進む)。一方、一致する項目が無かった場合、異常検知レベル判定部102は、ユーザDB1072から取得したユーザ情報のうち、役職や雇用形態、所属部門に関する情報(すなわち、ユーザの属性)を抽出し、可変項目ごとに異常検知レベルを取得する(S203)。異常検知レベル判定部102は、例えば、役職や雇用形態、所属部門といった情報を可変項目ごとに異常検知レベルとしてスコア化し、当該異常検知レベルにしたがって、アラートを出しやすくしたり出しにくくしたりして、アラートの出力を制御する。このように、異常検知レベルは可変項目ごとに設定される。可変項目の例として、就業時間、業務で普段利用するソフトウェア、アクセス可能な共有サーバへアクセスする時間、などがあり、それぞれに対してユーザ情報(部署、役職など)に応じて異常検知レベルが設定される。ユーザ情報と操作ログ、異常検知レベルを分析して、可変項目ごとに異常操作を検出(すなわち、正常操作の範囲外であると判断)した累積回数が一定の値に達した場合に、アラートが出力される。 Next, the abnormality detection level determination unit 102 acquires an operation log related to the user from the operation log DB 1071 based on the acquired user information. The abnormality detection level determination unit 102 compares the reference list information obtained in advance from the reference list DB 1073 with the operation log information, and determines whether or not an abnormal operation has been performed. Specifically, the abnormality detection level determination unit 102 extracts information regarding immutable items from the acquired operation log information, and compares the extracted immutable items with the immutable items in the reference list information (S202). . If there is even one matching item, the abnormality detection level determination unit 102 transmits information to the alert notification unit 103 (that is, proceeds to S207). On the other hand, if there is no matching item, the anomaly detection level determination unit 102 extracts information regarding the position, employment type, and department (i.e., user attributes) from the user information acquired from the user DB 1072, and extracts the variable item The abnormality detection level is acquired for each time (S203). The anomaly detection level determination unit 102 scores information such as position, employment type, and department as an anomaly detection level for each variable item, and makes it easier or harder to issue an alert according to the anomaly detection level. , to control the output of alerts. In this way, the abnormality detection level is set for each variable item. Examples of variable items include working hours, software normally used for work, time spent accessing accessible shared servers, and anomaly detection levels are set for each according to user information (department, position, etc.) be done. By analyzing user information, operation logs, and anomaly detection levels, an alert is issued when the cumulative number of abnormal operations detected for each variable item (i.e., judged to be outside the normal operation range) reaches a certain value. Output.

次いで、異常検知レベル判定部102は、抽出したユーザ情報と操作ログ、異常検知レベルを分析し(S204)、異常操作が検出された累積回数を示す異常検知累積値を算出し、ユーザDB1072に保存する(S205)。 Next, the abnormality detection level determination unit 102 analyzes the extracted user information, operation log, and abnormality detection level (S204), calculates an abnormality detection cumulative value indicating the cumulative number of abnormal operations detected, and stores it in the user DB 1072. (S205).

次いで、異常検知レベル判定部102は、異常検知累積値が所定の閾値を超えたかどうか判定し(S206)、異常検知累積値が所定の閾値を超えた操作を検出した場合、アラート通知部103に情報を送信する(すなわち、S207に進む)。なお、異常検知累積値が所定の閾値以下である場合は、処理を終了する。 Next, the abnormality detection level determining unit 102 determines whether the cumulative abnormality detection value exceeds a predetermined threshold (S206), and if an operation for which the cumulative abnormality detection value exceeds the predetermined threshold is detected, the abnormality detection level determining unit 102 sends an alert to the alert notification unit 103. Send the information (that is, proceed to S207). Note that if the abnormality detection cumulative value is less than or equal to the predetermined threshold, the process ends.

アラート通知部103は、異常検知レベル判定部102からの情報を受信すると、システム定義DB1075から該当ユーザ端末12へのアラート通知方法を取得し(S207)、該当ユーザ端末12へアラートを通知する(S208)。 Upon receiving the information from the abnormality detection level determination unit 102, the alert notification unit 103 acquires the alert notification method to the corresponding user terminal 12 from the system definition DB 1075 (S207), and notifies the alert to the corresponding user terminal 12 (S208). ).

<2.4.変形例1>
本実施形態の変形例1によると、基準リストは、可変項目を含まなくもよい。基準リストは、組織や部署によっては、不可変項目のみで管理することも可能とする。これにより、基準リストDB1073に保存された基準リストのメンテナンスを容易にすることができる。 <2.4. Modification example 1>
According to the first modification of the present embodiment, the reference list may not include variable items. Depending on the organization or department, the standard list may be managed using only immutable items. Thereby, maintenance of the standard list stored in the standard list DB 1073 can be facilitated.

<2.5.変形例2>
本実施形態の変形例2によると、可変項目および不可変項目の内容は、基準リストの精錬期間が終了した後、異常操作検出装置10の管理者が手動で変更することを可能とする。例えば、精錬期間が終了した後、情報システムにおいて新しくクラウドサーバが利用される場合、当該クラウドサーバに関する情報を基準リストに反映させるために基準リストを精錬し直すと、正常に操作を検出するまでに時間を要する。そこで、管理者による手動変更を可能にすることで、基準リストに情報を即時に反映させることを可能にする。 <2.5. Modification example 2>
According to the second modification of the present embodiment, the contents of the variable items and immutable items can be manually changed by the administrator of the abnormal operation detection device 10 after the reference list refinement period ends. For example, if a new cloud server is used in the information system after the refining period ends, if the standard list is re-refined to reflect information about the cloud server in the standard list, it will take some time before the operation is successfully detected. It takes time. Therefore, by allowing the administrator to make manual changes, information can be immediately reflected in the standard list.

<2.6.ハードウェア構成>
図7は、第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。 <2.6. Hardware configuration>
FIG. 7 is a diagram showing the hardware configuration of a computer that operates as the abnormal operation detection device according to the first embodiment.

コンピュータ700は、CPU701と、主記憶装置702と、補助記憶装置703と、インタフェース704と、通信インタフェース705とを備える。 The computer 700 includes a CPU 701, a main storage device 702, an auxiliary storage device 703, an interface 704, and a communication interface 705.

コンピュータ700の動作は、プログラムの形式で補助記憶装置703に記憶されている。CPU701は、そのプログラムを補助記憶装置703から読み出して主記憶装置702に展開し、そのプログラムに従って、本実施形態で説明した異常操作検出装置の動作を実行する。 The operations of the computer 700 are stored in the auxiliary storage device 703 in the form of a program. The CPU 701 reads the program from the auxiliary storage device 703, expands it to the main storage device 702, and executes the operation of the abnormal operation detection device described in this embodiment according to the program.

補助記憶装置703は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース704を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ700に配信される場合、配信を受けたコンピュータ700がそのプログラムを主記憶装置702に展開し、そのプログラムに従って動作してもよい。 Auxiliary storage 703 is an example of a non-transitory tangible medium. Other examples of non-transitory tangible media include magnetic disks, magneto-optical disks, CD-ROMs (Compact Disk Read Only Memory), DVD-ROMs (Digital Versatile Disk Read Only Memory), etc. connected via the interface 704. Examples include semiconductor memory. Furthermore, when a program is distributed to the computer 700 via a communication line, the computer 700 that receives the program may load the program into the main storage device 702 and operate according to the program.

また、異常操作検出装置の各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。 Further, some or all of the components of the abnormal operation detection device may be realized by a general-purpose or dedicated circuit, a processor, etc., or a combination thereof. These may be configured by a single chip or multiple chips connected via a bus. Part or all of each component may be realized by a combination of the circuits and the like described above and a program.

なお、異常操作検出装置を実現するコンピュータだけでなく、ユーザ端末12、外部コンピュータ14、業務システムサーバ15、および管理者端末16などを実現するコンピュータも同様に構成され得る。 Note that not only the computer that implements the abnormal operation detection device, but also the computer that implements the user terminal 12, external computer 14, business system server 15, administrator terminal 16, etc. may be configured in the same manner.

<2.7.効果の説明>
以上説明したように、本実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。 <2.7. Effect explanation>
As described above, according to the present embodiment, settings for detecting abnormal operations on the user terminal can be made easy.

<<3.第2の実施形態>>
上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。なお、第2の実施形態に係る情報システムは、第1の実施形態に係る情報システムと同様であるため、説明は省略する。 <<3. Second embodiment >>
The first embodiment described above is a specific embodiment, but the second embodiment is a more generalized embodiment. Note that the information system according to the second embodiment is the same as the information system according to the first embodiment, so a description thereof will be omitted.

<3.1.異常操作検出装置>
図8は、第2の実施形態に係る異常操作検出装置の機能ブロック図を示す。異常操作検出装置800は、ユーザ端末での異常操作を検出する。異常操作検出装置800は、検出部801および更新部802を有する。 <3.1. Abnormal operation detection device>
FIG. 8 shows a functional block diagram of an abnormal operation detection device according to the second embodiment. The abnormal operation detection device 800 detects an abnormal operation at a user terminal. The abnormal operation detection device 800 includes a detection section 801 and an update section 802.

検出部801及び更新部802は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。検出部801及び更新部802は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。 The detection unit 801 and the update unit 802 may be implemented by one or more processors, memory (eg, non-volatile memory and/or volatile memory), and/or a hard disk. The detection unit 801 and the update unit 802 may be implemented by the same processor, or may be implemented by separate processors. The memory may be included within the one or more processors or external to the one or more processors.

異常操作検出装置800は、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、検出部801及び更新部802の動作を行ってもよい。上記プログラムは、検出部801及び更新部802の動作をプロセッサに実行させるためのプログラムであってもよい。 The abnormal operation detection device 800 may include a memory that stores a program (instruction) and one or more processors that can execute the program (instruction). The one or more processors may execute the above program to perform the operations of the detection unit 801 and the update unit 802. The above program may be a program for causing a processor to execute the operations of the detection unit 801 and the update unit 802.

<3.2.動作例>
第2の実施形態に係る動作例を説明する。 <3.2. Operation example>
An example of operation according to the second embodiment will be described.

第2の実施形態によれば、異常操作検出装置800(検出部801)は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、ユーザ端末での正常操作に該当する可変項目とユーザ端末での異常操作に該当する不可変項目とを含む基準リストと比較して、可変項目に該当しない、または、不可変項目に該当する操作を検出する。また、異常操作検出装置800(更新部802)は、基準リストの可変項目を、操作ログの分析結果に応じて更新する。 According to the second embodiment, the abnormal operation detection device 800 (detection unit 801) collects operation logs collected from user terminals into a standard list according to the organization to which the user belongs, and determines whether the user terminal is normal. By comparing the variable items corresponding to the operations and the immutable items corresponding to the abnormal operations at the user terminal with a reference list, an operation that does not correspond to the variable items or corresponds to the immutable items is detected. Further, the abnormal operation detection device 800 (updating unit 802) updates the variable items of the reference list according to the analysis result of the operation log.

-第1の実施形態との関係
一例として、第2の実施形態に係る異常操作検出装置800は、第1の実施形態に係る異常操作検出装置10である。例えば、検出部801は、第1の実施形態に係る異常検知レベル判定部102の動作を行ってもよい。また、更新部802は、第1の実施形態に係る可変項目更新部106の動作を行ってよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用され得る。 -Relationship with the first embodiment As an example, the abnormal operation detection device 800 according to the second embodiment is the abnormal operation detection device 10 according to the first embodiment. For example, the detection unit 801 may perform the operation of the abnormality detection level determination unit 102 according to the first embodiment. Furthermore, the updating unit 802 may perform the operations of the variable item updating unit 106 according to the first embodiment. In this case, the description of the first embodiment may also be applied to the second embodiment.

なお、第2の実施形態は、この例に限定されない。 Note that the second embodiment is not limited to this example.

以上、第2の実施形態を説明した。第2の実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることが可能になる。 The second embodiment has been described above. According to the second embodiment, it is possible to easily configure settings for detecting abnormal operations on a user terminal.

<<4.他の実施形態>>
なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。 <<4. Other embodiments >>
Note that the present invention is not limited to the embodiments described above. It will be understood by those skilled in the art that the embodiments described above are exemplary only and that various modifications can be made without departing from the scope and spirit of the invention.

例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャートとして記載された順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。 For example, the steps in the process described herein do not necessarily have to be performed chronologically in the order described in the flowchart. For example, steps in a process may be performed in a different order than that described in the flowchart, or in parallel. Also, some of the steps in the process may be deleted, and additional steps may be added to the process.

また、本明細書において説明した異常操作検出装置の構成要素を備える装置(例えば、異常操作検出装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。 In addition, a device comprising the components of the abnormal operation detection device described in this specification (for example, one or more devices (or units) of a plurality of devices (or units) constituting the abnormal operation detection device, or the above A module for one of a plurality of devices (or units) may be provided. Further, a method including processing of the above-mentioned components may be provided, and a program for causing a processor to execute the processing of the above-mentioned components may be provided. Further, a non-transitory computer readable medium may be provided that records the program. Of course, such devices, modules, methods, programs, and computer-readable non-transitory storage media are also included in the present invention.

<<5.付記>>
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。 <<5. Additional notes >>
Part or all of the above embodiments may be described as in the following additional notes, but are not limited to the following.

(付記1)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。 (Additional note 1)
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. Detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection device comprising: an updating unit that updates the variable item of the reference list according to an analysis result of the operation log.

(付記2)
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする付記1に記載の異常操作検出装置。 (Additional note 2)
Further comprising a selection means for selecting a reference list pattern in which the number of errors is within a predetermined threshold range from a plurality of reference list patterns combining different variable items and the non-variable items,
The abnormal operation detection device according to appendix 1, wherein the updating means updates the variable item according to an analysis result of the operation log using the selected reference list pattern.

(付記3)
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする付記1または2に記載の異常操作検出装置。 (Additional note 3)
3. The abnormal operation detection device according to appendix 1 or 2, wherein the updating means repeatedly updates the variable items for a predetermined period according to the analysis results of newly collected operation logs.

(付記4)
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする付記3に記載の異常操作検出装置。 (Additional note 4)
The abnormal operation detection device according to appendix 3, wherein after the predetermined period ends, the variable items and the immutable items in the reference list can be changed by an administrator.

(付記5)
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする付記1乃至4のいずれか1項に記載の異常操作検出装置。 (Appendix 5)
The abnormal operation detection device according to any one of Supplementary Notes 1 to 4, further comprising an output means for outputting an alert indicating that the operation has been detected to the user terminal.

(付記6)
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする付記5に記載の異常操作検出装置。 (Appendix 6)
5. The abnormal operation detection device according to appendix 5, wherein the output means controls output of the alert according to an abnormality detection level for each of the variable items according to attributes of the user.

(付記7)
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする付記6に記載の異常操作検出装置。 (Appendix 7)
The abnormal operation detection device according to appendix 6, wherein the attributes include information on the user's job title, employment type, and department.

(付記8)
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする付記5乃至7のいずれか1項に記載の異常操作検出装置。 (Appendix 8)
8. The abnormal operation detection device according to any one of Supplementary Notes 5 to 7, wherein the output means outputs the alert according to an alert notification method depending on the user.

(付記9)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含むことを特徴とする異常操作検出方法。 (Appendix 9)
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection method, comprising: an updating step of updating the variable item of the reference list according to an analysis result of the operation log.

(付記10)
コンピュータに付記9に記載の方法を実行させるためのプログラム。 (Appendix 10)
A program for causing a computer to execute the method described in Appendix 9.

本発明は、会社などの組織内の情報システムにおいて、ユーザ端末での異常操作を検出するために利用することができる。本発明によれば、ハッキングや内部不正操作による組織外への情報漏えいを防止することができる。また、本発明を導入することにより、内部不正の抑止効果も期待できる。 INDUSTRIAL APPLICABILITY The present invention can be used in an information system within an organization such as a company to detect an abnormal operation on a user terminal. According to the present invention, it is possible to prevent information leakage outside the organization due to hacking or internal unauthorized operations. Further, by introducing the present invention, it is possible to expect the effect of deterring internal improprieties.

10 異常操作検出装置
101 ログ収集部
102 異常検知レベル判定部
103 アラート通知部
104 操作-基準リスト比較部
105 基準リストパターン判定部
106 可変項目更新部
107 データベース
1071 操作ログDB
1072 ユーザDB
1073 基準リストDB
1074 基準リストパターンDB
1075 システム定義DB

 10 Abnormal operation detection device 101 Log collection unit 102 Abnormality detection level determination unit 103 Alert notification unit 104 Operation-standard list comparison unit 105 Standard list pattern determination unit 106 Variable item update unit 107 Database 1071 Operation log DB
1072 User DB
1073 Standard list DB
1074 Standard list pattern DB
1075 System definition DB

Claims (10)

ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。 Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. Detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection device comprising: an updating unit that updates the variable item of the reference list according to an analysis result of the operation log. 異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする請求項1に記載の異常操作検出装置。 Further comprising a selection means for selecting a reference list pattern in which the number of errors is within a predetermined threshold range from a plurality of reference list patterns combining different variable items and the non-variable items,
2. The abnormal operation detection device according to claim 1, wherein the updating means updates the variable item according to an analysis result of the operation log using the selected reference list pattern. 前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする請求項1または2に記載の異常操作検出装置。 3. The abnormal operation detection device according to claim 1, wherein the updating means repeatedly updates the variable items for a predetermined period according to the analysis results of newly collected operation logs. 前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする請求項3に記載の異常操作検出装置。 4. The abnormal operation detection device according to claim 3, wherein the variable items and the immutable items in the reference list can be changed by an administrator after the predetermined period ends. 前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする請求項1乃至4のいずれか1項に記載の異常操作検出装置。 The abnormal operation detection device according to any one of claims 1 to 4, further comprising an output means for outputting an alert indicating that the operation has been detected to the user terminal. 前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする請求項5に記載の異常操作検出装置。 6. The abnormal operation detection device according to claim 5, wherein the output means controls the output of the alert according to an abnormality detection level for each of the variable items according to an attribute of the user. 前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする請求項6に記載の異常操作検出装置。 7. The abnormal operation detection device according to claim 6, wherein the attributes include information on the user's job title, employment type, and department. 前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする請求項5乃至7のいずれか1項に記載の異常操作検出装置。 The abnormal operation detection device according to any one of claims 5 to 7, wherein the output means outputs the alert according to an alert notification method depending on the user. コンピュータによって実行される方法であって、
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含み、
前記コンピュータは、前記操作ログ及び前記基準リストを有するデータベースを有する
ことを特徴とする異常操作検出方法。 A method performed by a computer, the method comprising:
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations on the user terminal and immutable items corresponding to abnormal operations on the user terminal. a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
an updating step of updating the variable item of the reference list according to an analysis result of the operation log ,
The computer has a database having the operation log and the criteria list.
An abnormal operation detection method characterized by: コンピュータに請求項9に記載の方法を実行させるためのプログラム。
 A program for causing a computer to execute the method according to claim 9.
JP2020090851A 2020-05-25 2020-05-25 Abnormal operation detection device, abnormal operation detection method, and program Active JP7452849B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2020090851A JP7452849B2 (en) 2020-05-25 2020-05-25 Abnormal operation detection device, abnormal operation detection method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2020090851A JP7452849B2 (en) 2020-05-25 2020-05-25 Abnormal operation detection device, abnormal operation detection method, and program

Publications (2)

Publication Number Publication Date
JP2021189490A JP2021189490A (en) 2021-12-13
JP7452849B2 true JP7452849B2 (en) 2024-03-19

Family

ID=78849439

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020090851A Active JP7452849B2 (en) 2020-05-25 2020-05-25 Abnormal operation detection device, abnormal operation detection method, and program

Country Status (1)

Country Link
JP (1) JP7452849B2 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269419A (en) 2007-04-23 2008-11-06 Sky Kk Terminal monitor and terminal monitoring program
JP2011138260A (en) 2009-12-28 2011-07-14 Fujitsu Ltd Mail check device, mail check program, and method of checking mail
CN104901964A (en) 2015-05-28 2015-09-09 北京邮电大学 Security monitoring method for protecting cloud system
JP2019121161A (en) 2018-01-04 2019-07-22 富士通株式会社 Determination program, determination method, and determination apparatus
JP2020004009A (en) 2018-06-27 2020-01-09 日本電信電話株式会社 Abnormality detection device, and abnormality detection method

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008269419A (en) 2007-04-23 2008-11-06 Sky Kk Terminal monitor and terminal monitoring program
JP2011138260A (en) 2009-12-28 2011-07-14 Fujitsu Ltd Mail check device, mail check program, and method of checking mail
CN104901964A (en) 2015-05-28 2015-09-09 北京邮电大学 Security monitoring method for protecting cloud system
JP2019121161A (en) 2018-01-04 2019-07-22 富士通株式会社 Determination program, determination method, and determination apparatus
JP2020004009A (en) 2018-06-27 2020-01-09 日本電信電話株式会社 Abnormality detection device, and abnormality detection method

Also Published As

Publication number Publication date
JP2021189490A (en) 2021-12-13

Similar Documents

Publication Publication Date Title
US9413773B2 (en) Method and apparatus for classifying and combining computer attack information
CN111178760B (en) Risk monitoring method, risk monitoring device, terminal equipment and computer readable storage medium
US20160378583A1 (en) Management computer and method for evaluating performance threshold value
EP3488346B1 (en) Anomaly detection using sequences of system calls
KR101733000B1 (en) Method and Apparatus for Collecting Cyber Incident Information
CN110083475B (en) Abnormal data detection method and device
CN110474911B (en) Terminal credibility identification method, device, equipment and computer readable storage medium
JP2007148728A (en) Policy control method, apparatus and program
CN111460445A (en) Method and device for automatically identifying malicious degree of sample program
JP6717206B2 (en) Anti-malware device, anti-malware system, anti-malware method, and anti-malware program
CN112818307B (en) User operation processing method, system, equipment and computer readable storage medium
US9514176B2 (en) Database update notification method
US20170277887A1 (en) Information processing apparatus, information processing method, and computer readable medium
CN110213255B (en) Method and device for detecting Trojan horse of host and electronic equipment
JP6282217B2 (en) Anti-malware system and anti-malware method
US11227051B2 (en) Method for detecting computer virus, computing device, and storage medium
JP7019533B2 (en) Attack detection device, attack detection system, attack detection method and attack detection program
JP7452849B2 (en) Abnormal operation detection device, abnormal operation detection method, and program
CN111181979B (en) Access control method, device, computer equipment and computer readable storage medium
CN112738094A (en) Expandable network security vulnerability monitoring method, system, terminal and storage medium
JP2017211806A (en) Communication monitoring method, security management system, and program
CN114968726A (en) Method and system for monitoring system asset change, electronic device and storage medium
CN112583761B (en) Management method and device of security entity, computer equipment and storage medium
CN114116284A (en) Lost account detection method and device, electronic equipment and storage medium
CN111475400A (en) Verification method of service platform and related equipment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20230405

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20231122

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231219

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240122

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240206

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240229

R151 Written notification of patent or utility model registration

Ref document number: 7452849

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R151