JP7452849B2 - Abnormal operation detection device, abnormal operation detection method, and program - Google Patents
Abnormal operation detection device, abnormal operation detection method, and program Download PDFInfo
- Publication number
- JP7452849B2 JP7452849B2 JP2020090851A JP2020090851A JP7452849B2 JP 7452849 B2 JP7452849 B2 JP 7452849B2 JP 2020090851 A JP2020090851 A JP 2020090851A JP 2020090851 A JP2020090851 A JP 2020090851A JP 7452849 B2 JP7452849 B2 JP 7452849B2
- Authority
- JP
- Japan
- Prior art keywords
- detection device
- variable
- reference list
- abnormal operation
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 129
- 230000002159 abnormal effect Effects 0.000 title claims description 89
- 230000005856 abnormality Effects 0.000 claims description 38
- 238000000034 method Methods 0.000 claims description 23
- 230000008520 organization Effects 0.000 claims description 14
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 11
- 230000001186 cumulative effect Effects 0.000 description 8
- 230000004048 modification Effects 0.000 description 7
- 238000012986 modification Methods 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 239000000284 extract Substances 0.000 description 4
- 238000007670 refining Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Debugging And Monitoring (AREA)
Description
本発明は、会社などの組織内の情報システムにおいて利用されるユーザ端末での異常操作を検出する異常操作検出装置、異常操作検出方法、およびプログラムに関する。 The present invention relates to an abnormal operation detection device, an abnormal operation detection method, and a program for detecting an abnormal operation on a user terminal used in an information system within an organization such as a company.
従来、会社などの組織内の情報システムにおいて利用されるユーザ端末からの情報漏えいを防ぐために、様々な対策が講じられている。 Conventionally, various measures have been taken to prevent information leaks from user terminals used in information systems within organizations such as companies.
例えば、特許文献1には、異常操作検出装置がユーザ端末の操作内容を取得し、あらかじめ記憶された通常の操作と比較することで、異常操作を検出する技術が開示されている。 For example, Patent Document 1 discloses a technique in which an abnormal operation detection device detects an abnormal operation by acquiring the operation content of a user terminal and comparing it with a normal operation stored in advance.
しかしながら、特許文献1に記載の技術では、異常操作検出装置にあらかじめ記憶させておく通常の操作の設定が難しく、当該異常操作検出装置の運用初期には誤検出が発生してしまう可能性もあった。 However, with the technology described in Patent Document 1, it is difficult to set normal operations that are stored in advance in the abnormal operation detection device, and there is a possibility that false detections may occur during the initial operation of the abnormal operation detection device. Ta.
本発明の目的は、ユーザ端末での異常操作を検出するための設定を容易にすることができる異常操作検出装置、異常操作検出方法、およびプログラムを提供することにある。 An object of the present invention is to provide an abnormal operation detection device, an abnormal operation detection method, and a program that can facilitate settings for detecting abnormal operations on a user terminal.
本発明の一態様による異常操作検出装置は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段とを有する。 An abnormal operation detection device according to one aspect of the present invention includes an operation log collected from a user terminal, a standard list according to an organization to which the user belongs, and a variable item corresponding to a normal operation at the user terminal and the above-described list. a detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing it with the standard list that includes the immutable item that corresponds to an abnormal operation at the user terminal; and the standard list. and updating means for updating the variable items in accordance with an analysis result of the operation log.
本発明の一態様による異常操作検出方法は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップとを含む。 An abnormal operation detection method according to one aspect of the present invention includes an operation log collected from a user terminal, which is a standard list according to the organization to which the user belongs, and includes variable items corresponding to normal operations at the user terminal and the a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing it with the standard list that includes the immutable item that corresponds to the abnormal operation at the user terminal; and the standard list and updating the variable items in accordance with an analysis result of the operation log.
本発明の一態様によるプログラムは、コンピュータに上記異常操作検出方法を実行させる。 A program according to one aspect of the present invention causes a computer to execute the above abnormal operation detection method.
本発明によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。 According to the present invention, settings for detecting an abnormal operation on a user terminal can be easily made. Note that, according to the present invention, other effects may be achieved instead of or in addition to the above effects.
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複説明が省略され得る。 Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings. Note that, in this specification and the drawings, elements that can be explained in the same manner may be designated by the same reference numerals, so that redundant explanation can be omitted.
説明は、以下の順序で行われる。
1.本発明の実施形態の概要
2.第1の実施形態
2.1.情報システムの構成
2.2.異常操作検出装置
2.3.動作例
2.4.変形例1
2.5.変形例2
2.6.ハードウェア構成
2.7.効果の説明
3.第2の実施形態
3.1.異常操作検出装置
3.2.動作例
4.他の実施形態
5.付記
The explanation will be given in the following order.
1. Overview of embodiments of the present invention 2. First embodiment 2.1. Information system configuration 2.2. Abnormal operation detection device 2.3. Operation example 2.4. Modification example 1
2.5. Modification example 2
2.6. Hardware configuration 2.7. Explanation of effects 3. Second embodiment 3.1. Abnormal operation detection device 3.2. Operation example 4. Other embodiments 5. Additional notes
<<1.本発明の実施形態の概要>>
本発明の実施形態では、例えば、異常操作検出装置が、情報システム内の各ユーザ端末から収集された操作ログと、当該ユーザ端末のユーザが所属する組織に基づく基準リストを分析する。そうすることにより、異常操作検出装置は、ユーザ端末が正常に利用されているかどうかを判断することができる。
<<1. Overview of embodiments of the present invention >>
In an embodiment of the present invention, for example, the abnormal operation detection device analyzes operation logs collected from each user terminal in the information system and a reference list based on the organization to which the user of the user terminal belongs. By doing so, the abnormal operation detection device can determine whether the user terminal is being used normally.
なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。 Note that the above-mentioned technical features are specific examples of the embodiments of the present invention, and the embodiments of the present invention are not limited to the above-mentioned technical features.
<<2.第1の実施形態>>
<2.1.情報システムの構成>
図1は、第1の実施形態に係る情報システムの構成例を示す。本実施形態に係る情報システムは、会社などの組織内で利用される情報システムであって、異常操作検出装置10と、複数のユーザ端末12と、外部コンピュータ14と、業務システムサーバ15と、管理者端末1とを含む。
<<2. First embodiment >>
<2.1. Information system configuration>
FIG. 1 shows an example of the configuration of an information system according to the first embodiment. The information system according to this embodiment is an information system used within an organization such as a company, and includes an abnormal
異常操作検出装置10は、ネットワーク11に接続されており、複数のユーザ端末12のネットワーク11上での動作、例えばインターネット13を介して行うWebサーバなどの外部コンピュータ14に対する操作、あるいは業務システムサーバ15などに接続して行う動作などを検出する。そして、異常操作検出装置10は、検出された動作が異常である場合には、その旨を各端末に通知する。また、情報システムの管理者は、ネットワーク11に接続された管理者端末16を利用して、異常操作検出装置10の設定を行うことができる。
The abnormal
<2.2.異常操作検出装置>
図2は、本実施形態に係る異常操作検出装置の機能ブロック図を示す。
<2.2. Abnormal operation detection device>
FIG. 2 shows a functional block diagram of the abnormal operation detection device according to this embodiment.
異常操作検出装置10は、ログ収集部101、異常検知レベル判定部102、アラート通知部103、操作-基準リスト比較部104、基準リストパターン判定部105、可変項目更新部106、およびデータベース(DB)107を有する。データベース107は、操作ログDB1071、ユーザDB1072、基準リストDB1073、基準リストパターンDB1074、システム定義DB1075を有する。
上述した各構成要素の関係は、図3を参照して後述する。
The abnormal
The relationship between the above-mentioned components will be described later with reference to FIG. 3.
図3は、図2に示した異常操作検出装置の各構成要素の関係を説明する図である。 FIG. 3 is a diagram illustrating the relationship between each component of the abnormal operation detection device shown in FIG. 2.
ログ収集部101は、各ユーザ端末12におけるユーザ操作をログ(以下、操作ログとも称する)として収集し、収集した操作ログを操作ログDB1071に保存する。また、ログ収集部101は、ログ収集を行った旨を異常検知レベル判定部102に通知する。
The
異常検知レベル判定部102は、各ユーザ端末12におけるユーザ操作の異常検知レベルを判定する。具体的には、異常検知レベル判定部102は、ログ収集部101から、ログ収集を行った旨の通知を受け取ると、ユーザDB1072にアクセスし、異常検知レベルの判定対象のユーザの情報を取得する。さらに、異常検知レベル判定部102は、当該ユーザに関する操作ログを操作ログDB1071から取得し、基準リスト情報を基準リストDB1073から取得し、分析を行う。異常検知レベル判定部102は、アラートを出す場合には、その旨をアラート通知部103に通知する。判定終了後、異常検知レベル判定部102は、操作-基準リスト比較部104にその旨を通知する。このように、異常検知レベル判定部102は、ユーザ端末12での異常操作を検出する検出手段として機能する。
The abnormality detection
アラート通知部103は、対象のユーザ端末12に対してアラートを出力する。具体的には、アラート通知部103は、異常検知レベル判定部102から通知を受信すると、システム定義DB1075からアラート通知方法を取得し、対象のユーザ端末12に対してアラートを出力する。このように、アラート通知部103は、アラートの出力手段として機能する。
The
操作-基準リスト比較部104は、操作ログと既存の基準リスト、基準リストパターンを分析して、基準リストを更新するかどうか判定する。具体的には、操作-基準リスト比較部104は、異常検知レベル判定部102からの通知を受信すると、操作ログDB1071から操作ログを取得し、基準リストパターン判定部105に送信する。操作-基準リスト比較部104は、基準リストパターン判定部105から返信された基準リストパターン情報と操作ログ、基準リストDB1073から取得した基準リスト情報を分析する。操作-基準リスト比較部104は、基準リストの可変項目を修正する必要がある場合は、可変項目更新部106に情報を送信する。さらに、操作-基準リスト比較部104は、システム定義DB1075から、基準リスト精錬期間情報を取得する。基準リスト精錬期間情報は、基準リストの可変項目を更新し、異常操作の検出精度を向上させるための所定の期間を示す。
The operation-criteria
基準リストパターン判定部105は、基準リストを精錬させるために必要な基準リストパターンを、操作ログを基に判定する。具体的には、基準リストパターン判定部105は、操作-基準リスト比較部104から操作ログを受信すると、基準リストパターンDB1074から必要な基準リストパターン情報を取得し、操作ログと併せて分析した結果を操作-基準リスト比較部104に返信する。
The reference list
可変項目更新部106は、既存の基準リストの可変項目を更新する。すなわち、可変項目更新部106は、可変項目の更新手段として機能する。具体的には、可変項目更新部106は、操作-基準リスト比較部104から通知を受信すると、基準リストDB1073にある基準リスト情報を更新する。
The variable
操作ログDB1071は、ログ収集部101によって収集された操作ログを保存する。保存された操作ログは、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。
The
ユーザDB1072は、ユーザ情報を保存する。ユーザ情報は、異常検知レベル判定部102によって使用される。また、異常検知レベル判定部102によって算出される異常検知累積値もユーザDB1072に保存される。異常検知累積値の詳細については後述する。
基準リストDB1073は、基準リスト情報を保存する。基準リスト情報は、異常検知レベル判定部102、および操作-基準リスト比較部104によって使用される。また、基準リスト情報は、可変項目更新部106によって更新される。
The
基準リストパターンDB1074は、複数の基準リストパターン情報を保存する。基準リストパターン情報は、基準リストパターン判定部105によって使用される。
The reference
システム定義DB1075は、システム全体の情報を保存する。当該情報には、例えば、ユーザ端末12に対するアラート通知方法や、基準リスト精錬期間も含まれ、アラート通知部103や操作-基準リスト比較部104によって参照される。
The
図4は、第1の実施形態に係る基準リストおよび基準リストパターンの構成例を示す。 FIG. 4 shows a configuration example of a reference list and a reference list pattern according to the first embodiment.
図示されるように、基準リスト1、2、3はそれぞれ、可変項目と不可変項目とを含む。可変項目は、ホワイトリストの役割を持ち、正常操作に該当する操作項目を示す。一方、不可変項目は、ブラックリストの役割を持ち、異常操作に該当する操作項目を示す。また、それぞれ異なる可変項目a、可変項目b、および可変項目cが用意され、それぞれを不可変項目と組み合わせたものを基準リストパターンとする。可変項目の例として、就業時間、業務で普段利用するソフトウェア、当該ソフトウェアの利用時間、アクセス可能な共有サーバへアクセスする時間、などがある。不可変項目の例として、業務での利用が禁止されているソフトウェアのインストール、閲覧が禁止されているウェブサイトへのアクセス、業務で普段利用することが無い共有サーバへのアクセス、などがある。このように、異常操作とは、当該ユーザ端末で禁止されている操作、および、所定の時間外での操作のことをいう。 As illustrated, reference lists 1, 2, and 3 each include variable items and immutable items. The variable items serve as a whitelist and indicate operation items that correspond to normal operations. On the other hand, the immutable items serve as a blacklist and indicate operation items that correspond to abnormal operations. Further, variable item a, variable item b, and variable item c, which are different from each other, are prepared, and a combination of each with an immutable item is used as a reference list pattern. Examples of variable items include working hours, software normally used for work, usage time of the software, and time for accessing an accessible shared server. Examples of immutable items include installing software that is prohibited for business use, accessing websites that are prohibited from viewing, and accessing shared servers that are not normally used for business purposes. In this way, an abnormal operation refers to an operation that is prohibited on the user terminal and an operation outside a predetermined time.
なお、本実施形態に係る基準リストおよび基準リストパターンの数や構成は、図示された例に限定されない。 Note that the number and configuration of the reference list and reference list pattern according to this embodiment are not limited to the illustrated example.
<2.3.動作例>
第1の実施形態に係る動作例を説明する。図5は、第1の実施形態に係る異常操作検出処理のフローチャートを示す。
<2.3. Operation example>
An example of operation according to the first embodiment will be described. FIG. 5 shows a flowchart of abnormal operation detection processing according to the first embodiment.
まず、異常操作検出装置10は、基準リストDB1073に、ユーザごとに組織や部署に応じた基準リストを保存する(S101)。
First, the abnormal
次いで、ログ収集部101は、各ユーザ端末12から操作ログを収集し、収集した操作ログを操作ログDB1071に保存し、異常検知レベル判定部102に通知する(S102)。
Next, the
異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、アラート通知処理を行う(S103)。アラート通知処理については、図6を参照して後述する。その後、操作-基準リスト比較部104は、基準リストパターン判定部105に操作ログ情報を送信し、基準リストパターンの判定を要求する。
Upon receiving the notification from the
基準リストパターン判定部105は、操作-基準リスト比較部104から受信した操作ログ情報のうち、可変項目に関する情報を抽出する。その後、基準リストパターン判定部105は、抽出された可変項目に関する情報を、基準リストパターンDB1074内の各基準リストパターンにおける可変項目と比較し(S104)、エラーの状況を判別する(S105)。エラーの数が極端に多いもしくは少ない基準リストパターンについては、今後、操作-基準リスト比較部104での比較対象外とし、参照しないこととする(S106)。このように、基準リストパターン判定部105は、複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段として機能する。
The reference list
次いで、基準リストパターン判定部105は、次の基準リストが存在するかどうか判定する(S107)。次の基準リストが存在する場合は、S104に戻り、処理を繰り返す。すなわち、基準リストパターン判定部105は、S104からS106の処理を基準リストの数だけ繰り返し(S107)、比較対象の各基準リストパターンの情報のみを、操作-基準リスト比較部104に送信する。
Next, the reference list
次いで、操作-基準リスト比較部104は、基準リストパターン判定部105から受信した比較対象の各基準リストパターンの情報、操作ログ、および既存の基準リスト情報を比較分析する(S108)。可変項目が、既存の基準リストの可変項目と異なる場合、操作-基準リスト比較部104は、可変項目更新部106に新規の可変項目情報を送信する。可変項目更新部106は、新規の可変項目情報を受信した場合、その情報を用いて基準リストDB1073に記憶された基準リストの可変項目を更新し、新たな基準リストを設定する(S109)。このように、可変項目更新部106は、操作ログの分析結果に応じて可変項目を更新する更新手段として機能する。
Next, the operation-criteria
また、操作-基準リスト比較部104は、システム定義DB1075から基準リスト精錬期間情報を取得し、期間内であれば、新たにログ収集部101によって収集された操作ログを基に、基準リストの精錬を行う(S110)。
In addition, the operation-criteria
図6は、第1の実施形態に係るアラート通知処理のフローチャートを示す。以下で説明するアラート通知処理は、図5のS103に対応する。 FIG. 6 shows a flowchart of alert notification processing according to the first embodiment. The alert notification process described below corresponds to S103 in FIG. 5.
まず、異常検知レベル判定部102は、ログ収集部101からの通知を受信すると、ユーザDB1072から該当ユーザの情報を取得する(S201)。
First, upon receiving a notification from the
次いで、異常検知レベル判定部102は、取得したユーザ情報を基に、そのユーザに関する操作ログを操作ログDB1071から取得する。異常検知レベル判定部102は、あらかじめ基準リストDB1073から取得した基準リスト情報と操作ログ情報とを比較し、異常操作が行われたかどうか判定する。具体的には、異常検知レベル判定部102は、取得した操作ログ情報のうち、不可変項目に関する情報を抽出し、抽出した不可変項目と基準リスト情報における不可変項目とを比較する(S202)。一つでも一致する項目があれば、異常検知レベル判定部102は、アラート通知部103に情報を送信する(すなわち、S207に進む)。一方、一致する項目が無かった場合、異常検知レベル判定部102は、ユーザDB1072から取得したユーザ情報のうち、役職や雇用形態、所属部門に関する情報(すなわち、ユーザの属性)を抽出し、可変項目ごとに異常検知レベルを取得する(S203)。異常検知レベル判定部102は、例えば、役職や雇用形態、所属部門といった情報を可変項目ごとに異常検知レベルとしてスコア化し、当該異常検知レベルにしたがって、アラートを出しやすくしたり出しにくくしたりして、アラートの出力を制御する。このように、異常検知レベルは可変項目ごとに設定される。可変項目の例として、就業時間、業務で普段利用するソフトウェア、アクセス可能な共有サーバへアクセスする時間、などがあり、それぞれに対してユーザ情報(部署、役職など)に応じて異常検知レベルが設定される。ユーザ情報と操作ログ、異常検知レベルを分析して、可変項目ごとに異常操作を検出(すなわち、正常操作の範囲外であると判断)した累積回数が一定の値に達した場合に、アラートが出力される。
Next, the abnormality detection
次いで、異常検知レベル判定部102は、抽出したユーザ情報と操作ログ、異常検知レベルを分析し(S204)、異常操作が検出された累積回数を示す異常検知累積値を算出し、ユーザDB1072に保存する(S205)。
Next, the abnormality detection
次いで、異常検知レベル判定部102は、異常検知累積値が所定の閾値を超えたかどうか判定し(S206)、異常検知累積値が所定の閾値を超えた操作を検出した場合、アラート通知部103に情報を送信する(すなわち、S207に進む)。なお、異常検知累積値が所定の閾値以下である場合は、処理を終了する。
Next, the abnormality detection
アラート通知部103は、異常検知レベル判定部102からの情報を受信すると、システム定義DB1075から該当ユーザ端末12へのアラート通知方法を取得し(S207)、該当ユーザ端末12へアラートを通知する(S208)。
Upon receiving the information from the abnormality detection
<2.4.変形例1>
本実施形態の変形例1によると、基準リストは、可変項目を含まなくもよい。基準リストは、組織や部署によっては、不可変項目のみで管理することも可能とする。これにより、基準リストDB1073に保存された基準リストのメンテナンスを容易にすることができる。
<2.4. Modification example 1>
According to the first modification of the present embodiment, the reference list may not include variable items. Depending on the organization or department, the standard list may be managed using only immutable items. Thereby, maintenance of the standard list stored in the
<2.5.変形例2>
本実施形態の変形例2によると、可変項目および不可変項目の内容は、基準リストの精錬期間が終了した後、異常操作検出装置10の管理者が手動で変更することを可能とする。例えば、精錬期間が終了した後、情報システムにおいて新しくクラウドサーバが利用される場合、当該クラウドサーバに関する情報を基準リストに反映させるために基準リストを精錬し直すと、正常に操作を検出するまでに時間を要する。そこで、管理者による手動変更を可能にすることで、基準リストに情報を即時に反映させることを可能にする。
<2.5. Modification example 2>
According to the second modification of the present embodiment, the contents of the variable items and immutable items can be manually changed by the administrator of the abnormal
<2.6.ハードウェア構成>
図7は、第1の実施形態に係る異常操作検出装置として動作するコンピュータのハードウェア構成を示す図である。
<2.6. Hardware configuration>
FIG. 7 is a diagram showing the hardware configuration of a computer that operates as the abnormal operation detection device according to the first embodiment.
コンピュータ700は、CPU701と、主記憶装置702と、補助記憶装置703と、インタフェース704と、通信インタフェース705とを備える。
The
コンピュータ700の動作は、プログラムの形式で補助記憶装置703に記憶されている。CPU701は、そのプログラムを補助記憶装置703から読み出して主記憶装置702に展開し、そのプログラムに従って、本実施形態で説明した異常操作検出装置の動作を実行する。
The operations of the
補助記憶装置703は、一時的でない有形の媒体の例である。一時的でない有形の媒体の他の例として、インタフェース704を介して接続される磁気ディスク、光磁気ディスク、CD-ROM(Compact Disk Read Only Memory )、DVD-ROM(Digital Versatile Disk Read Only Memory )、半導体メモリ等が挙げられる。また、プログラムが通信回線によってコンピュータ700に配信される場合、配信を受けたコンピュータ700がそのプログラムを主記憶装置702に展開し、そのプログラムに従って動作してもよい。
また、異常操作検出装置の各構成要素の一部または全部は、汎用または専用の回路(circuitry )、プロセッサ等や、これらの組み合わせによって実現されてもよい。これらは、単一のチップによって構成されてもよいし、バスを介して接続される複数のチップによって構成されてもよい。各構成要素の一部または全部は、上述した回路等とプログラムとの組み合わせによって実現されてもよい。 Further, some or all of the components of the abnormal operation detection device may be realized by a general-purpose or dedicated circuit, a processor, etc., or a combination thereof. These may be configured by a single chip or multiple chips connected via a bus. Part or all of each component may be realized by a combination of the circuits and the like described above and a program.
なお、異常操作検出装置を実現するコンピュータだけでなく、ユーザ端末12、外部コンピュータ14、業務システムサーバ15、および管理者端末16などを実現するコンピュータも同様に構成され得る。
Note that not only the computer that implements the abnormal operation detection device, but also the computer that implements the
<2.7.効果の説明>
以上説明したように、本実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることができる。
<2.7. Effect explanation>
As described above, according to the present embodiment, settings for detecting abnormal operations on the user terminal can be made easy.
<<3.第2の実施形態>>
上述した第1の実施形態は、具体的な実施形態であるが、第2の実施形態は、より一般化された実施形態である。なお、第2の実施形態に係る情報システムは、第1の実施形態に係る情報システムと同様であるため、説明は省略する。
<<3. Second embodiment >>
The first embodiment described above is a specific embodiment, but the second embodiment is a more generalized embodiment. Note that the information system according to the second embodiment is the same as the information system according to the first embodiment, so a description thereof will be omitted.
<3.1.異常操作検出装置>
図8は、第2の実施形態に係る異常操作検出装置の機能ブロック図を示す。異常操作検出装置800は、ユーザ端末での異常操作を検出する。異常操作検出装置800は、検出部801および更新部802を有する。
<3.1. Abnormal operation detection device>
FIG. 8 shows a functional block diagram of an abnormal operation detection device according to the second embodiment. The abnormal
検出部801及び更新部802は、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。検出部801及び更新部802は、同一のプロセッサにより実装されてもよく、別々に異なるプロセッサにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
The
異常操作検出装置800は、プログラム(命令)を記憶するメモリと、当該プログラム(命令)を実行可能な1つ以上のプロセッサとを含んでもよい。当該1つ以上のプロセッサは、上記プログラムを実行して、検出部801及び更新部802の動作を行ってもよい。上記プログラムは、検出部801及び更新部802の動作をプロセッサに実行させるためのプログラムであってもよい。
The abnormal
<3.2.動作例>
第2の実施形態に係る動作例を説明する。
<3.2. Operation example>
An example of operation according to the second embodiment will be described.
第2の実施形態によれば、異常操作検出装置800(検出部801)は、ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、ユーザ端末での正常操作に該当する可変項目とユーザ端末での異常操作に該当する不可変項目とを含む基準リストと比較して、可変項目に該当しない、または、不可変項目に該当する操作を検出する。また、異常操作検出装置800(更新部802)は、基準リストの可変項目を、操作ログの分析結果に応じて更新する。 According to the second embodiment, the abnormal operation detection device 800 (detection unit 801) collects operation logs collected from user terminals into a standard list according to the organization to which the user belongs, and determines whether the user terminal is normal. By comparing the variable items corresponding to the operations and the immutable items corresponding to the abnormal operations at the user terminal with a reference list, an operation that does not correspond to the variable items or corresponds to the immutable items is detected. Further, the abnormal operation detection device 800 (updating unit 802) updates the variable items of the reference list according to the analysis result of the operation log.
-第1の実施形態との関係
一例として、第2の実施形態に係る異常操作検出装置800は、第1の実施形態に係る異常操作検出装置10である。例えば、検出部801は、第1の実施形態に係る異常検知レベル判定部102の動作を行ってもよい。また、更新部802は、第1の実施形態に係る可変項目更新部106の動作を行ってよい。この場合に、第1の実施形態についての説明は、第2の実施形態にも適用され得る。
-Relationship with the first embodiment As an example, the abnormal
なお、第2の実施形態は、この例に限定されない。 Note that the second embodiment is not limited to this example.
以上、第2の実施形態を説明した。第2の実施形態によれば、ユーザ端末での異常操作を検出するための設定を容易にすることが可能になる。 The second embodiment has been described above. According to the second embodiment, it is possible to easily configure settings for detecting abnormal operations on a user terminal.
<<4.他の実施形態>>
なお、本発明は上述した実施形態に限定されるものではない。上述した実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
<<4. Other embodiments >>
Note that the present invention is not limited to the embodiments described above. It will be understood by those skilled in the art that the embodiments described above are exemplary only and that various modifications can be made without departing from the scope and spirit of the invention.
例えば、本明細書に記載されている処理におけるステップは、必ずしもフローチャートに記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、フローチャートとして記載された順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。 For example, the steps in the process described herein do not necessarily have to be performed chronologically in the order described in the flowchart. For example, steps in a process may be performed in a different order than that described in the flowchart, or in parallel. Also, some of the steps in the process may be deleted, and additional steps may be added to the process.
また、本明細書において説明した異常操作検出装置の構成要素を備える装置(例えば、異常操作検出装置を構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。 In addition, a device comprising the components of the abnormal operation detection device described in this specification (for example, one or more devices (or units) of a plurality of devices (or units) constituting the abnormal operation detection device, or the above A module for one of a plurality of devices (or units) may be provided. Further, a method including processing of the above-mentioned components may be provided, and a program for causing a processor to execute the processing of the above-mentioned components may be provided. Further, a non-transitory computer readable medium may be provided that records the program. Of course, such devices, modules, methods, programs, and computer-readable non-transitory storage media are also included in the present invention.
<<5.付記>>
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
<<5. Additional notes >>
Part or all of the above embodiments may be described as in the following additional notes, but are not limited to the following.
(付記1)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出手段と、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。
(Additional note 1)
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. Detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection device comprising: an updating unit that updates the variable item of the reference list according to an analysis result of the operation log.
(付記2)
異なる可変項目と前記不可変項目とを組み合わせた複数の基準リストパターンから、エラーの数が所定の閾値の範囲内にある基準リストパターンを選択する選択手段をさらに備え、
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする付記1に記載の異常操作検出装置。
(Additional note 2)
Further comprising a selection means for selecting a reference list pattern in which the number of errors is within a predetermined threshold range from a plurality of reference list patterns combining different variable items and the non-variable items,
The abnormal operation detection device according to appendix 1, wherein the updating means updates the variable item according to an analysis result of the operation log using the selected reference list pattern.
(付記3)
前記更新手段は、新たに収集された操作ログの分析結果に応じた前記可変項目の更新を、所定の期間、繰り返すことを特徴とする付記1または2に記載の異常操作検出装置。
(Additional note 3)
3. The abnormal operation detection device according to appendix 1 or 2, wherein the updating means repeatedly updates the variable items for a predetermined period according to the analysis results of newly collected operation logs.
(付記4)
前記所定の期間が終了した後、前記基準リストの前記可変項目と前記不可変項目は、管理者によって変更することが可能であることを特徴とする付記3に記載の異常操作検出装置。
(Additional note 4)
The abnormal operation detection device according to appendix 3, wherein after the predetermined period ends, the variable items and the immutable items in the reference list can be changed by an administrator.
(付記5)
前記ユーザ端末に対して、前記操作が検出されたことを示すアラートを出力する出力手段をさらに有することを特徴とする付記1乃至4のいずれか1項に記載の異常操作検出装置。
(Appendix 5)
The abnormal operation detection device according to any one of Supplementary Notes 1 to 4, further comprising an output means for outputting an alert indicating that the operation has been detected to the user terminal.
(付記6)
前記出力手段は、前記ユーザの属性に応じた前記可変項目ごとの異常検知レベルにしたがって、前記アラートの出力を制御することを特徴とする付記5に記載の異常操作検出装置。
(Appendix 6)
5. The abnormal operation detection device according to appendix 5, wherein the output means controls output of the alert according to an abnormality detection level for each of the variable items according to attributes of the user.
(付記7)
前記属性は、前記ユーザの役職、雇用形態、また所属部門の情報を含むことを特徴とする付記6に記載の異常操作検出装置。
(Appendix 7)
The abnormal operation detection device according to appendix 6, wherein the attributes include information on the user's job title, employment type, and department.
(付記8)
前記出力手段は、前記ユーザに応じたアラート通知方法にしたがって、前記アラートを出力することを特徴とする付記5乃至7のいずれか1項に記載の異常操作検出装置。
(Appendix 8)
8. The abnormal operation detection device according to any one of Supplementary Notes 5 to 7, wherein the output means outputs the alert according to an alert notification method depending on the user.
(付記9)
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含むことを特徴とする異常操作検出方法。
(Appendix 9)
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection method, comprising: an updating step of updating the variable item of the reference list according to an analysis result of the operation log.
(付記10)
コンピュータに付記9に記載の方法を実行させるためのプログラム。
(Appendix 10)
A program for causing a computer to execute the method described in Appendix 9.
本発明は、会社などの組織内の情報システムにおいて、ユーザ端末での異常操作を検出するために利用することができる。本発明によれば、ハッキングや内部不正操作による組織外への情報漏えいを防止することができる。また、本発明を導入することにより、内部不正の抑止効果も期待できる。 INDUSTRIAL APPLICABILITY The present invention can be used in an information system within an organization such as a company to detect an abnormal operation on a user terminal. According to the present invention, it is possible to prevent information leakage outside the organization due to hacking or internal unauthorized operations. Further, by introducing the present invention, it is possible to expect the effect of deterring internal improprieties.
10 異常操作検出装置
101 ログ収集部
102 異常検知レベル判定部
103 アラート通知部
104 操作-基準リスト比較部
105 基準リストパターン判定部
106 可変項目更新部
107 データベース
1071 操作ログDB
1072 ユーザDB
1073 基準リストDB
1074 基準リストパターンDB
1075 システム定義DB
10 Abnormal
1072 User DB
1073 Standard list DB
1074 Standard list pattern DB
1075 System definition DB
Claims (10)
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新手段と
を有することを特徴とする異常操作検出装置。 Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations at the user terminal and immutable items corresponding to abnormal operations at the user terminal. Detection means for detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
An abnormal operation detection device comprising: an updating unit that updates the variable item of the reference list according to an analysis result of the operation log.
前記更新手段は、前記選択された基準リストパターンを用いた前記操作ログの分析結果に応じて前記可変項目を更新することを特徴とする請求項1に記載の異常操作検出装置。 Further comprising a selection means for selecting a reference list pattern in which the number of errors is within a predetermined threshold range from a plurality of reference list patterns combining different variable items and the non-variable items,
2. The abnormal operation detection device according to claim 1, wherein the updating means updates the variable item according to an analysis result of the operation log using the selected reference list pattern.
ユーザ端末から収集された操作ログを、ユーザが所属する組織に応じた基準リストであって、前記ユーザ端末での正常操作に該当する可変項目と前記ユーザ端末での異常操作に該当する不可変項目とを含む前記基準リストと比較して、前記可変項目に該当しない、または、前記不可変項目に該当する操作を検出する検出ステップと、
前記基準リストの前記可変項目を、前記操作ログの分析結果に応じて更新する更新ステップと
を含み、
前記コンピュータは、前記操作ログ及び前記基準リストを有するデータベースを有する
ことを特徴とする異常操作検出方法。 A method performed by a computer, the method comprising:
Operation logs collected from user terminals are classified into a standard list according to the organization to which the user belongs, with variable items corresponding to normal operations on the user terminal and immutable items corresponding to abnormal operations on the user terminal. a detection step of detecting an operation that does not correspond to the variable item or corresponds to the immutable item by comparing with the reference list including;
an updating step of updating the variable item of the reference list according to an analysis result of the operation log ,
The computer has a database having the operation log and the criteria list.
An abnormal operation detection method characterized by:
A program for causing a computer to execute the method according to claim 9.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020090851A JP7452849B2 (en) | 2020-05-25 | 2020-05-25 | Abnormal operation detection device, abnormal operation detection method, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020090851A JP7452849B2 (en) | 2020-05-25 | 2020-05-25 | Abnormal operation detection device, abnormal operation detection method, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021189490A JP2021189490A (en) | 2021-12-13 |
JP7452849B2 true JP7452849B2 (en) | 2024-03-19 |
Family
ID=78849439
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020090851A Active JP7452849B2 (en) | 2020-05-25 | 2020-05-25 | Abnormal operation detection device, abnormal operation detection method, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7452849B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269419A (en) | 2007-04-23 | 2008-11-06 | Sky Kk | Terminal monitor and terminal monitoring program |
JP2011138260A (en) | 2009-12-28 | 2011-07-14 | Fujitsu Ltd | Mail check device, mail check program, and method of checking mail |
CN104901964A (en) | 2015-05-28 | 2015-09-09 | 北京邮电大学 | Security monitoring method for protecting cloud system |
JP2019121161A (en) | 2018-01-04 | 2019-07-22 | 富士通株式会社 | Determination program, determination method, and determination apparatus |
JP2020004009A (en) | 2018-06-27 | 2020-01-09 | 日本電信電話株式会社 | Abnormality detection device, and abnormality detection method |
-
2020
- 2020-05-25 JP JP2020090851A patent/JP7452849B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008269419A (en) | 2007-04-23 | 2008-11-06 | Sky Kk | Terminal monitor and terminal monitoring program |
JP2011138260A (en) | 2009-12-28 | 2011-07-14 | Fujitsu Ltd | Mail check device, mail check program, and method of checking mail |
CN104901964A (en) | 2015-05-28 | 2015-09-09 | 北京邮电大学 | Security monitoring method for protecting cloud system |
JP2019121161A (en) | 2018-01-04 | 2019-07-22 | 富士通株式会社 | Determination program, determination method, and determination apparatus |
JP2020004009A (en) | 2018-06-27 | 2020-01-09 | 日本電信電話株式会社 | Abnormality detection device, and abnormality detection method |
Also Published As
Publication number | Publication date |
---|---|
JP2021189490A (en) | 2021-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9413773B2 (en) | Method and apparatus for classifying and combining computer attack information | |
CN111178760B (en) | Risk monitoring method, risk monitoring device, terminal equipment and computer readable storage medium | |
US20160378583A1 (en) | Management computer and method for evaluating performance threshold value | |
EP3488346B1 (en) | Anomaly detection using sequences of system calls | |
KR101733000B1 (en) | Method and Apparatus for Collecting Cyber Incident Information | |
CN110083475B (en) | Abnormal data detection method and device | |
CN110474911B (en) | Terminal credibility identification method, device, equipment and computer readable storage medium | |
JP2007148728A (en) | Policy control method, apparatus and program | |
CN111460445A (en) | Method and device for automatically identifying malicious degree of sample program | |
JP6717206B2 (en) | Anti-malware device, anti-malware system, anti-malware method, and anti-malware program | |
CN112818307B (en) | User operation processing method, system, equipment and computer readable storage medium | |
US9514176B2 (en) | Database update notification method | |
US20170277887A1 (en) | Information processing apparatus, information processing method, and computer readable medium | |
CN110213255B (en) | Method and device for detecting Trojan horse of host and electronic equipment | |
JP6282217B2 (en) | Anti-malware system and anti-malware method | |
US11227051B2 (en) | Method for detecting computer virus, computing device, and storage medium | |
JP7019533B2 (en) | Attack detection device, attack detection system, attack detection method and attack detection program | |
JP7452849B2 (en) | Abnormal operation detection device, abnormal operation detection method, and program | |
CN111181979B (en) | Access control method, device, computer equipment and computer readable storage medium | |
CN112738094A (en) | Expandable network security vulnerability monitoring method, system, terminal and storage medium | |
JP2017211806A (en) | Communication monitoring method, security management system, and program | |
CN114968726A (en) | Method and system for monitoring system asset change, electronic device and storage medium | |
CN112583761B (en) | Management method and device of security entity, computer equipment and storage medium | |
CN114116284A (en) | Lost account detection method and device, electronic equipment and storage medium | |
CN111475400A (en) | Verification method of service platform and related equipment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230405 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20231122 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20231219 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240122 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20240206 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20240229 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7452849 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |