JP7466711B2 - 電子メール分類のために人間関係構造を使用するシステムおよび方法 - Google Patents

電子メール分類のために人間関係構造を使用するシステムおよび方法 Download PDF

Info

Publication number
JP7466711B2
JP7466711B2 JP2022578015A JP2022578015A JP7466711B2 JP 7466711 B2 JP7466711 B2 JP 7466711B2 JP 2022578015 A JP2022578015 A JP 2022578015A JP 2022578015 A JP2022578015 A JP 2022578015A JP 7466711 B2 JP7466711 B2 JP 7466711B2
Authority
JP
Japan
Prior art keywords
detected
anomaly
recipient
sender
deep learning
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2022578015A
Other languages
English (en)
Other versions
JP2023515910A (ja
Inventor
ハルシャム,ブレット
智織 堀
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of JP2023515910A publication Critical patent/JP2023515910A/ja
Application granted granted Critical
Publication of JP7466711B2 publication Critical patent/JP7466711B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/21Design or setup of recognition systems or techniques; Extraction of features in feature space; Blind source separation
    • G06F18/214Generating training patterns; Bootstrap methods, e.g. bagging or boosting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/22Matching criteria, e.g. proximity measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/10Office automation; Time management
    • G06Q10/107Computer-aided management of electronic mailing [e-mailing]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/18Commands or executable codes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/216Handling conversation history, e.g. grouping of messages in sessions or threads
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/90Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]

Description

本開示は、概して機械学習に関し、より具体的には、送信者と受信者との間の電子メール関係に基づいた通信分類器として深層学習アルゴリズムを訓練し、これを使用して、受信者を保護するおよび/またはセキュリティ担当者に警告する等の防御措置を講じるために、個人および組織データに対する敵対的要求等の異常を検出することに関する。
インターネットの使用の成熟に伴い、詐欺を働こうとする者が、詐欺を通じて、他人に害を与える、インターネットの通信チャネルを盗用、そうでなければ悪用する機会を見出すことになった。詐欺は、伝える者が虚偽とわかっている間違った信用を他者に生み出そうとする意図的な試みとして理解することができ、詐欺のそのような側面には、多くの異なる実行手段が存在し得る。たとえば、詐欺は、偽の情報の提供(たとえば電子メール詐欺、フィッシングなど)により、または、テキストコンテンツの作者、著者の性別または年齢の偽装(たとえばなりすまし)により、行われる可能性がある。インターネットに対する詐欺行為の悪影響は、企業の活動領域にも個人にも影響する可能性があり、従業員または個人が、経済的、感情的、および心理的に影響を受ける場合がある。
従来の電子メールシステムは、電子商取引詐欺を防止しようと試みてきた。企業の中には詐欺行為からの攻撃を防ぐために詐欺防止ソフトウェアを実現した企業があり、たとえば、連邦取引委員会はその従業員のためにフィッシング防止ガイドを実現した。これらのガイドは、ユーザがフィッシングの試みを検出するための情報を提供するが、電子メール受信者から無視されることが多い。多くの電子メールフィッシング詐欺では、ユーザの名前、住所、電話番号、パスワード、および社会保障番号等の個人情報を得るために、典型的には、これらの詐欺の行為者が送信した電子メールが、受信者を、後に窃盗を特定するために使用できるように、ユーザの個人情報の収集のみを目的として打ち立てられた、虚偽のウェブサイトに導く。フィッシングによる損失は数十億ドルになることから、フィッシング対策技術が大いに必要とされている。
多くの企業および電子商取引企業は、そのような詐欺またはフィッシング電子メールを報告するよう消費者および顧客に警告しようとしてきた。しかしながら、これらの詐欺およびフィッシング電子メールを止めさせようとする意識的な試みにもかかわらず、これらの詐欺の行為者の阻止にはほとんど何も役に立たなかった。そのため、詐欺に基づいたインターネットスキームおよびフィッシングの試みを検出するためのアルゴリズムおよびソフトウェアツールを開発する必要がある。多くのエンティティ、すなわちGoogle(登録商標)、Microsoft(登録商標)、およびMcAfee(登録商標)が、フィッシング対策ツールの開発を始めているが、そのようなこれらの問題を解決しようとする試みは、これらのフィッシング電子メールおよび同様の電子メールに対処できていない。
たとえば、従来の電子メールシステムは、電子メールをスパム/ジャンクとして分類するが、それでもなお、既知の相手からと思われる着信電子メールの分類の問題を有している。スピアフィッシング(spear phishing)攻撃を検出するためのシステムは、埋め込まれたURLに関連する特徴(URLの存続期間、URLに含まれる言語学的特徴など)を、検出のために使用する傾向があるが、これは十分に有効ではない。
したがって、(個人および企業)データおよびネットワーク行為に対する敵対的要求等の「スピアフィッシング電子メール」の受信者を特定し警告を与えるために、着信通信(電子メール)の電子メール分類を改善することができるシステムおよび方法を開発する必要がある。
本開示は、概して機械学習に関し、より具体的には、送信者と受信者との間の電子メール関係に基づいた通信分類器として深層学習アルゴリズムを訓練し、これを使用して異常を検出することにより、個人および組織データならびにネットワーク行為に対する敵対的要求等の「フィッシング電子メール」を受信者が受信するのを防止することに関する。
本開示のいくつかの実施形態は、送信者から受信者への着信電子通信における異常を検出するためのシステムおよび方法を含む。人間関係構造を使用することにより、関連性(association)モデルを規定する、すなわち、個人とエンティティとの間の関連性の複数種類の表示を規定することができ、各表示は、送信者と受信者との間の人間関係構造に固有の、送信者と受信者との間のつながりと相関させることができる。関連性の表示が検出できない場合、または検出された関連性が電子メールの内容と一致しない場合は、着信電子通信すなわち電子メールが詐欺を意図していた可能性が非常に高い。関連性のこれらの複数種類の表示と電子通信の内容との相関関係を検出するために、ニューラルネットワークが、着信電子通信の異常すなわち詐欺を、着信電子通信の内容と、送信者と受信者との間の関連性の表示との対応関係に従い、検出するように訓練される。ニューラルネットワークが訓練されると、受信した着信電子通信と関連性モデルとを入力としてニューラルネットワークに与えることによってニューラルネットワークを実行することにより、異常検出の結果を、すなわち、真陽性(true positive)の異常としての詐欺の確認、または、偽陽性(false positive)の異常としての異常検出なしを、生成することができる。加えて、別々のタイプの異常がわかっている場合、同一のまたは別個のニューラルネットワークを訓練することにより、異常のタイプを特定してもよい。異常が検出されると、異常のタイプに関連付けられた一連の防御措置が講じられ、これは、着信電子通信を受信者に配信しないこと、電子通信をサニタイジング(sanitizing)すること、および/または1人以上の人物に通知することを、含み得る。複数のタイプの異常が検出された場合、関連付けられた防護措置のシーケンスが、発見的にまたは学習されたモデルを用いて、組み合わされてもよい。
しかしながら、本開示のシステムおよび方法をより良く理解するためには、何らかの用語が定義される必要がある。たとえば、関連性の表示は、人物間もしくはエンティティ間の特定種類のつながり、または人物間もしくはエンティティ間の特定種類のつながりの蓋然性として理解することができる。例として、同一組織の2人の従業員は、彼らがこの組織に所属しているという点でつながりがある。双方がある組織のある組織単位で働いている、この組織の2人の従業員には、同一の組織単位に所属しているという別のつながりがある。これら2人の従業員に指導者/被指導者の関係がある場合、彼らには指導関係を表すもう1つのつながりがある。さらに、一般化された種類を表す、例として一般的な種類の事業単位を表す、エンティティが含まれていてもよい。経理事務を行う事業部で働く従業員は、経理業務を表す一般化されたエンティティにつながりを持つ可能性がある。関連性モデルは、特定の2人の人物間の関連性の一組の表示であり、これは、これらの人物に関してわかっている、さまざまな組織への彼らの所属、彼らの過去の電子メールなどを含む、すべての情報から計算される。人間関係構造は、人物、組織、たとえば事業および事業の下位単位等を含むエンティティと、所属の表示、事業関連性の表示、非事業関連性の表示、および家族のつながりの表示を含む、エンティティ間のつながりとを含む。人間関係構造は、組織図および組織データベースを含む複数の形態で存在する。人間関係構造は、電子通信の、テキストから、または、ヘッダおよび電子メールの署名ブロック等のつながりを明示するメタデータから、またはつながりの蓋然性を示唆するテキストから、つながりと所属リンクを抽出することにより、構築または拡張することができる。人間関係構造は、つながりが存在することがわかっている場合はつながりのみを含んでいてもよく、または、関連付けられた存在の蓋然性を有するつながりを含み得る。人間関係構造は、さらに、過去に存在していたが現在は存在しないつながりに関する情報を含み得る。異常という用語は、標準の、通常の、または予想されたものから逸脱しているものと理解することができる。よって、本開示に係る異常という用語は、詐欺に基づいた送信者から受信者への着信通信に関連付けることができる。詐欺は、伝える者すなわち送信者が虚偽とみなす信用を、受信者に生み出そうとする、送信者の意図的な試みとして、理解することができる。基本的に、送信者は、故意に、着信通信の操作により受信者に間違った信用をまたは受信者による間違った結論を生じさせることを意図し、送信者は、着信通信の受信者に、間違った信用に基づいて、何らかの行為を行わせる、たとえばセキュリティクレデンシャル、機密の財務情報、または個人情報を、送信者の利益になるように、提供させる。
本開示の少なくとも1つの実現形態は、人間関係構造を用いて、送信者と受信者とを含む人間関係構造に固有の、送信者と受信者との間の関連性モデルを規定することを含む。このモデルによって表される関連性の表示を用いることにより、送信者と受信者との間のつながりを特定することで、着信通信が異常であると判断する、すなわち着信通信における詐欺を確認することができる。たとえば、異常が検出されない場合、特定された関連性の表示は、送信者と受信者が十分なつながりを有し互いを知っているまたは予め確立された何らかの通信もしくは関係を有している可能性が非常に高いことを証明し、それにより、着信通信には、着信通信が受信者に送信することができる敵対的要求(すなわち敵対的意図または敵対的攻撃)がないことを、立証する。しかしながら、異常が検出される場合、すなわち可能性のある詐欺が確認される場合、送信者と受信者との間の十分なつながりが検出されなかった、または間違った種類のつながりが検出されたということなので、着信通信は敵対的要求を含む可能性が非常に高い。異常の検出後、この異常をデータベースに格納されている他の異常と比較することにより、当該異常が真陽性か偽陽性かを判断することができる。異常が確認されると、すなわち着信通信に詐欺が確認されると、防御措置のセットが実行される。さまざまなタイプの異常が特定された場合、受信された電子通信における異常のタイプを分類し、防御措置の異なるセットを、さまざまなタイプの異常に関連付けることができる。多数の種類の防御措置が可能であり、最も単純なものは、着信通信を受信者に配信しないことである。
敵対的意図の一例は、電子メールフィッシングの可能性があり、これは、大抵は、あたかも送信者が受信者を知っているかのように記述された、送信者からの通信、すなわち、受動的または把握し難いという特徴がある通信である。そのような敵対的意図の受信者は、受信した通信を見て、着信した通信が敵対的であることを検出または理解、判断しないことが多い。電子メールフィッシングのもう1つの定義として、盗人の利益となるようユーザすなわち受信者の個人的な財務または機密情報を盗むために使用されることが多い一種のソーシャルエンジニアリング攻撃と定義することもできる。着信通信の受信者から盗まれるデータの例として、ログインクレデンシャル、クレジットカード番号、社会保障番号などを挙げることができる。フィッシングは、攻撃者すなわち送信者が、被害者すなわち受信者を騙して着信通信すなわち電子メール、インスタントメッセージ、またはテキストメッセージを開かせるよう、信頼されるエンティティを装う場合に起こることが多い。フィッシングは、偽装電子メールを武器として使用するサイバー攻撃である。目的は、電子メールの受信者を騙して、メッセージは受信者が欲しいまたは必要とするものである、すなわち受信者の銀行情報からの要求であると、受信者に信じさせることである、または、メッセージは受信者の組織または企業内のある人からの通信を装っている可能性があり、サイバー攻撃者は、受信者に、リンクをクリックさせるまたは添付物をダウンロードさせようと試みる。
これに対し、敵対的攻撃は、電子メールフィッシングと比較すると、より大胆な表現で作成されており、たとえば、敵対的攻撃の電子メールは、受信者が何らかのアクションを起こすことを要求するアクションステートメントを行うことがあり、これは、すなわちサービス拒否(denial-of-service)攻撃であり、受信者が、他に理由がなくても送信者のコンタクト情報を特定することによって着信通信が敵対的攻撃であると検出する可能性が高くなるように、提示される。しかしながら、ほとんどの着信通信に対し、受信者は、着信通信が受信者を騙そうとしているまたは受信者に対して詐欺を働こうとしているか否かを判断しようと試みるという、難易度が高く難しい課題を有する。受信者にとって敵対的要求すなわち敵対的意図/攻撃を検出するのが極めて困難になり得る少なくとも1つの理由は、詐欺が、数多くの異なる形態でかつ数多くの異なる方法で提示される可能性があることにある。これらの、着信通信に関連付けられた敵対的意図/敵対的攻撃を検出するという重要な問題に対処するために、本開示は、実験中に、これらの問題の対処にあたり、いくつかの認識を得た。
本開示の少なくとも1つの認識は、送信者と受信者との間のアイデンティティレベル等において人間関係構造に関連付けられる関連性の表示を規定することの重要性を認識したことであった。アイデンティティレベルにおける関連付けは、送信者と受信者との間の電子通信の内容に相関関係がある可能性がある送信者と受信者の間のつながりに対して表示を相関させることができる、1つの方法である。たとえば、送信者と受信者との間のアイデンティティレベルにおける関連性のいくつかの表示は、組織内での役割で、すなわち職務階層で、たとえば送信者からの着信通信に開示されている肩書や職務記述書から、特定することができる。送信者のこれらのアイデンティティを使用することにより、送信者と受信者との間の関連性の表示を特定するまたはその検出を支援することができる。
本開示のもう1つの認識は、送信者と受信者との間のメッセージレベルにおいて人間関係構造に関連付けられる関連性の表示を規定するということである。メッセージレベルにおける関連性の表示は、送信者と受信者との間の電子通信の内容に相関関係がある可能性がある送信者と受信者の間のつながりに対してこの表示を相関させることができる、1つの方法である。たとえば、送信者と受信者との間のメッセージレベルにおける関連性のいくつかの表示は、組織内のキーワードに関連付けることができ、それは、たとえば、(a)組織内の同一の技術用語、コンセプト、フレーズまたは名称、(b)組織内または組織外のいずれかにおける送信者と受信者との間の以前の電子メールによる会話で発生したキーワードまたは用語、(c)家族構成員のステータスを組織の従業員プロフィールデータベース等の他のソースを通して確認できる場合の、送信者と受信者との間で使用された姓、用語またはフレーズによる、家族構成員の関連性等である。
本開示のもう1つの認識は、タイプが異なる攻撃は、その度合いが異なっており、異なる緩和を必要とする場合があること、および、それ故に防御措置をこれらのタイプに関連付けることができるようにするには攻撃の異なるカテゴリを分類し検出できることが望ましいこと、である。例として、敵対的攻撃に対し、敵対的意図と異なる防御措置を講じることが望ましいであろう。これは、これらを異なるタイプの異常として分類し、各タイプに異なる防御措置のシーケンスを関連付けることにより、行うことができる。
実験から見出されたことは、ほとんどの人々の詐欺検出能力が十分ではなく、実際のところ不十分でさえあることである。これらの理由から、非限定的な例として、本願の実施形態のうちのいくつかは、受信者が着信通信を読む前に詐欺を検出するための技術を構築するように構成される。本開示のいくつかの詐欺検出の方策は、送信者と受信者との間の電子通信の内容に相関関係がある関連性の表示に基づいた、数学モデルすなわち深層学習アルゴリズム等のニューラルネットワークを使用する。
本開示のいくつかの実施形態は、電子メールの分類を、深層学習ネットワーク分類タスクにおいて人間関係構造の表現を使用することにより、改善する。グラフの形態の人間関係構造は、1つのまたは多数のソースにおいて見出された送信者と受信者との間のつながりに基づく送信者と受信者との関連性の表示を含み得るものであり、これは、(a)肩書、組織名をテキストコンテンツとして使用できるように、組織内の従業員の職務階層を含む組織データベースを使用すること、(b)組織技術データベースを使用することを含み、組織に関連付けられる各技術は、テキストコンテンツとして使用される予め定められた技術用語のセットを含み、さらに、(c)すべてテキストコンテンツとしての用語として使用することができる、過去に組織で就いていた役職等の職歴、趣味、姓、家族の連絡先情報を含む各従業員プロフィールを含む、組織の各従業員ごとの従業員データベースを使用すること、(d)組織の従業員と組織外の非従業員との間の以前の会話を含む、組織の各従業員ごとの従業員電子メールデータベースを使用すること、(e)組織のメンバーからおよび/または組織のメンバーへの以前の通信に基づいて判断された、および/または従業員電子メールデータベース、従業員データベース、組織技術データベース、組織データベースなどのうちの1つ以上の分析によって得られた、推測関係データベースを使用すること、を含む。
たとえば、本開示のいくつかの実施形態は、電子メールのやり取りにおける送信者と受信者との間の、わかっているまたは推測されたつながりを符号化することにより、着信通信の分類を改善する。たとえば、着信電子メールは、非敵対的電子メールとしてもしくは偽陽性の異常として検出され得る、または、送信者と受信者との関係を確立するのに十分なつながりが検出される。電子メール以外の、その他の形態の非同期通信は、非限定的な例として、インスタグラム(登録商標)、ツイッター(登録商標)なども分類することができる。
本開示のいくつかの実施形態は、着信通信を受信すると、組織の着信通信のうちの1つ以上を、非限定的な例として、1電子メールごとに、インデックスする。インデックスされたデータは、1つ以上のデータベースに格納することができ、即時または後のある時点でアクセスすることができる。または、コンピュータシステムがリアルタイムで動作する場合、着信通信をインデックスして格納することができ、テキストをデータから抽出することができる。インデックスし、テキストを抽出し、データを1つ以上のデータベースに格納すると、コンピュータシステムは、分類された特定の各アルゴリズムすなわちフィルタに従ってデータを処理することができ、分類された各アルゴリズムが、各着信通信に対するデータの精度を、分類された各アルゴリズムの訓練方法との比較において、スコアリングするようにする。異常または異常なしを検出するために、分類された各アルゴリズムを訓練するプロセスは、特定の異常分類の検出に対応するテキストデータのデータセットの訓練を作成することに基づき、1つ以上の訓練データセットを用いて1つ以上の深層学習アルゴリズムを訓練するために使用される。次に、組織に関連する電子通信が抽出され、1つ以上の深層学習アルゴリズムに適用されて、検出された異常または異常なしが特定および報告される。さらに、異常が検出された場合は、この異常のさらなるテストを、格納されている異常データベースに対して実施し、検出された異常が偽陽性か真陽性かを判断する。真陽性が検出された場合、すなわち異常が検出された場合、着信通信が敵対的意図または敵対的攻撃を含む可能性は非常に高く、1つ以上の深層学習アルゴリズムを即時または後で再訓練できるように、真陽性の異常を真陽性データベースに保存してもよい。さらに、電子メールのサニタイジングもしくは削除、電子メールへの警告添付、および/またはセキュリティ管理者への通知等の、防御措置を講じてもよい。偽陽性が検出された場合、すなわち異常なしが検出された場合、送信者と受信者との間に十分なつながりがあると判断されており、および/または陰性例データベースおよび/または偽陽性データベースとの十分な類似性があり、着信通信が敵対的意図または敵対的攻撃を含まない可能性は非常に高く、この偽陽性異常を偽陽性データベースに保存してもよく、1つ以上の深層学習アルゴリズムを再訓練してもよい。また、異常なしまたは偽陽性異常と判断されると、着信通信すなわち電子メールを、通常処理することができ、たとえば、受信者に配信することができる。
実験中、異常を検出するために、すなわち送信者と受信者との間の電子通信の内容に相関関係がある関連性の表示を検出して、関連性の表示と電子通信の内容との間の不一致を検出できるようにするために、ニューラルネットワークを訓練した。特に、これらの分類モデルの構築において、機械学習およびデータマイニング(data mining)方法が、実験的にテストされ、有効であることがわかった。先に述べたように、判別分析(discriminant analysis)、ロジスティック回帰(logistic regression)、決定木(decision tree)、およびニューラルネットワークのような、機械学習方法が、実験的にテストされ、詐欺の検出に適用できることがわかった。実験された、詐欺検出のための各種機械学習技術の比較は、ニューラルネットワーク方法が、最も一貫性がありロバストな性能を実現したことを示した。
実験からわかったことは、ニューラルネットワークによる表示手法が、詐欺の検出に有効であり、関連性の表示がないこと、または間違った関連性の表示を実証できた場合、詐欺が立証される可能性は非常に高く、後者の立証は、テストされた実験手法が多いほど明らかであることがわかった。この実験から認識されたことは、関連性の表示と電子通信の内容との間の相関関係を訓練し検証するために使用されるデータセットが、異常の検出すなわち詐欺の確認に関して適格な結果に到達するために十分ロバストである必要がある、ということであった。適格な結果は、着信通信における、敵対的意図すなわち異常検出の肯定結果、または、非敵対的意図すなわち異常検出の否定結果の判断において、一貫した結果の基準を満たすものであると、理解することができ、適格性は、予め定められたしきい値による、一貫した結果の予め定められた品質またはレベルに基づき得る。たとえば、実験から発見されたことは、電子通信の1つの特定のデータセットおよび関連性の表示が、本開示の基準で、一貫した結果の基準のレベルに達するのに十分ではなかった、ということであった。しかしながら、認識されたことは、電子通信の複数のデータセットおよび関連性の表示の使用が、許容できる予め定められたしきい値のように、詐欺の検出において一貫した有効な結果を提供することがわかったことであった。先に述べたように、敵対的意図を検出するために使用できる電子通信の1つのデータセットは存在せず、詐欺を働くものを阻止するために敵対的要求すなわち敵対的意図/敵対的攻撃を検出する研究の分野は極めて新しいものであり、現代社会の敵対的要求の検出の技術開発分野おいて発展はほとんどなかった。近年、アメリカ合衆国国土安全保障省は、この技術分野に「将来の属性スクリーニング技術」という呼称を与え、これは現在、この技術分野において政府機関が開始した研究である。
敵対的意図を持つ現代の詐欺師は、数多くの異なる詐欺手法の使用において一層巧妙になりつつあり、これらの詐欺手法は、急速に変化することが多く、詐欺を検出するためには電子通信の複数のデータセットが必要である。そのため、世界中の個人および組織が、本開示の実施形態を使用することにより、詐欺および詐欺師の敵対的意図を検出する必要がある。
本開示のいくつかの実施形態は、統計的モデリングと、送信者と受信者との間の電子通信の内容に相関関係がある関連性の表示との双方を組み合わせた、統計的システム/方法を利用する。特に、本開示のいくつかの実施形態に従うと、コンピュータシステムによって使用されるいくつかのステップは、さまざまな局面のうちでも特に、非限定的な例として、1)着信通信における異常すなわち詐欺を検出するために、送信者と受信者との間の電子通信の内容に相関関係がある、複数種類の関連性表示を特定することと、2)データベースに格納された人間関係構造から、特定したこれらの複数種類の関連性表示を計算し表現することと、3)特定した、複数種類の関連性表示またはそれらがないことを、最も関係性が高い/重要度が高いものから最も関係性が低い/重要度が低いものまでの範囲で、ランク付けすることと、4)特定した複数種類の関連性表示の統計的モデル化と、5)問題に対処するために確率テストを設計することと、6)設計したモデルを、モデルの精度および有効性を保証するために現在のテストデータを用いてテストすることと、7)以前に特定し確認した異常検出のすなわち確認した関連性表示の種類の、データベースの作成を、これらの表示のデータベースの作成とともに行うこととを含む。
本開示は、さまざまな局面のうちでも特に、人間関係構造の関連性の表示と、電子テキストメッセージの内容との相関関係を、確認し評価するために、テキストコンテンツの統計分析のうちの少なくとも1つにより、着信通信すなわちデジタル形態のテキストメッセージの詐欺について自動的に分析するソフトウェアでプログラムされたコンピュータを用いて、電子メールを介した着信通信における異常を検出すなわち詐欺を検出するための、システムおよび方法を提供することによって、従来の電子メールシステムの問題に対処しこれらの問題を克服する。
本開示の別の実施形態に従うと、コンピュータシステムは、送信者から受信者への着信電子通信における異常を検出するためのコンピュータシステムである。このシステムは、送信者と受信者との間の訓練された関連性モデルを規定する人間関係構造と、着信電子通信とを受け付けるように構成された、入力インターフェイスを含む。メモリが、1つ以上のニューラルネットワークを格納するように構成され、1つ以上のニューラルネットワークは、着信電子通信における異常を検出し異常をタイプによって分類するように訓練され、異常は、着信電子通信の内容と、送信者と受信者との間の訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類される。プロセッサが、送信者と受信者との間の更新された関連性モデルを、送信者および受信者の組織表示に基づき、着信電子通信の内容を用いて計算し、1つ以上のニューラルネットワークを、着信電子通信と、更新された関連性モデルとを1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にし、特定された防御措置のセットを組み合わせて1つの一連の防御措置にし、1つの一連の防御措置が予め定められた配信しきい値を上回る場合に、1つの一連の防御措置を実行することにより、着信電子通信を受信者に配信するように、構成される。
本開示の別の実施形態に従うと、方法は、送信者から受信者への着信電子通信における異常を検出するための方法である。この方法は、送信者と受信者との間の訓練された関連性モデルを規定する人間関係構造と、着信電子通信とを受信するステップと、1つ以上のニューラルネットワークを含む格納されたデータを有するメモリにアクセスするステップとを含み、1つ以上のニューラルネットワークは、着信電子通信における異常を検出し異常をタイプによって分類するように訓練され、異常は、着信電子通信の内容と、送信者と受信者との間の訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類され、送信者と受信者との間の更新された関連性モデルを、送信者および受信者の組織表示に基づき、着信電子通信の内容を用いて計算するステップと、1つ以上のニューラルネットワークを、着信電子通信と、更新された関連性モデルとを1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にするステップと、1つの一連の防御措置が予め定められた配信しきい値を上回る場合に、1つの一連の防御措置を実行することにより、着信電子通信を受信者に配信するステップとを含む。
本開示の別の実施形態に従うと、非一時的なコンピュータ読取可能記憶媒体は、方法を実行するためにプロセッサが実行可能なプログラムが実装された非一時的なコンピュータ読取可能記憶媒体である。送信者から受信者への着信通信における異常を検出するためのこの方法は、送信者と受信者との間の訓練された関連性モデルを規定する関係構造と、着信通信とを受信するステップと、1つ以上のニューラルネットワークを含む格納されたデータを有するメモリにアクセスするステップとを含み、1つ以上のニューラルネットワークは、着信通信における異常を検出し異常をタイプによって分類するように訓練され、異常は、着信通信の内容と、訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類され、更新された関連性モデルを、送信者および受信者の組織表示に基づき、着信通信の内容を用いて計算するステップと、1つ以上のニューラルネットワークを、着信通信と、更新された関連性モデルとを1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にするステップと、1つの一連の防御措置が予め定められた配信しきい値を上回る場合に、1つの一連の防御措置を実行することにより、着信電子通信を受信者に配信するステップとを含む。
ここに開示される実施形態について添付の図面を参照しながらさらに説明する。示されている図面は必ずしも正しい縮尺ではなく、代わりに、ここに開示される実施形態の原理の説明に際し広く強調が加えられる。
本開示の実施形態に係る方法を示すフロー図である。 本開示の実施形態に係る、いくつかの方法およびシステムを実現する通信システムに使用することができるコンピューティング装置を非限定的な例として示す概略図である。 本開示のいくつかの実施形態に係る、コンピュータシステム設計プランのある実施形態のいくつかの構成要素を示す概略図である。 本開示のいくつかの実施形態に係る、送信者と受信者との間の関連性のいくつかの表示を示す概略図である。 本開示のいくつかの実施形態に係る、分類されたテキストおよび深層学習アルゴリズムを用いて、送信者から受信者への着信電子通信における異常を特定または検出し、早期警告を与える、着信通信すなわち電子メールをサニタイジングする、または配信しない等の、防御措置を講じるための、いくつかのコンピュータシステムプロセスフローステップを示すフロー図である。 本開示のいくつかの実施形態に係る、如何にして、異常検出の結果が、格納されている異常および異常なしの例に従ってさらに検証され得るかを示す、図3Aに示されるフロー図の変形の図である。 本開示の実施形態に係る、方法およびシステムのいくつかの技術を実現する通信システムに使用することができるモバイルコンピューティング装置を示す概略図である。
上記図面はここに開示されている実施形態を示すが、本明細書に記載されているように他の実施形態も意図されている。本開示は、限定するものではなく代表として、説明のための実施形態を示す。当業者は、ここに開示されている実施形態の原理の範囲および精神に含まれる多数の他の変形および実施形態を考案することができる。
図1Aは、本開示の実施形態に係る方法を示すフロー図である。この方法は、送信者から受信者への着信電子通信における異常を検出するためのものである。
図1Aのステップ133は、着信電子通信のコンテキストを定める送信者と受信者との間の関連性の表示を含む関連性モデルを受信することを含む。
図1Aのステップ135は、格納されたデータを有するメモリにアクセスすることを含み、格納されたデータは、着信電子通信の内容と、送信者と受信者との間の関連性モデルとの対応関係に従い、着信電子通信の異常を検出するように訓練された、ニューラルネットワークを含む。
図1Aのステップ137は、受信した着信電子通信と関連性モデルとをニューラルネットワークに与えることによってニューラルネットワークを実行することにより、異常検出の結果と異常に関連付けられるタイプとを生成することを含む。
図1Aのステップ139は、異常のタイプに関連付けられる一連の防御措置を実行することを含む。
この方法のある側面は、受信した着信電子通信を、分類されたテキストになるように処理し、深層学習アルゴリズムを含むニューラルネットワークで使用することにより、異常を検出することであってもよい。プロセッサは、電子通信と、送信者と受信者との間の関連性モデルとの双方を含むテキストデータの訓練データセットを作成し、電子通信の内容と関連性モデルとの間の相関関係が学習されるように、上記1つ以上の訓練データセットを用いて深層学習アルゴリズムを訓練するように、構成される。さらに送信者と受信者とを結び付ける人間関係構造の格納された表現から関連性モデルを抽出するステップが実行され、学習アルゴリズムは、電子通信と、送信者と受信者との間の関連性モデルとの組み合わせに適用されて、検出された異常を特定し報告する。次に、プロセスは、検出された異常が真陽性か偽陽性かを判断する。検出された異常が、敵対的意図を示す真陽性である場合は、電子通信を真陽性データベースに保存するとともに、深層学習アルゴリズムを再訓練するために使用する。しかしながら、検出された異常が偽陽性である場合は、電子通信を偽陽性データベースに保存し、深層学習アルゴリズムを再訓練するために使用する。また、異常が偽陽性であることが確認されると、着信電子通信は正常として処理される。
深層学習アルゴリズムの別の側面は、各深層学習アルゴリズムが異なる関連性モデルで訓練されることである。いくつかの異なる関連性モデルは、アイデンティティレベルにおいて検出された関連性の表示を含み得るものであり、他の関連性モデルは、メッセージレベルにおいて検出された関連性を含み得るものであり、他の関連性モデルは、組織レベルにおいて検出された関連性の表示を含み得るものである。各深層学習アルゴリズムは、アイデンティティレベルの関連性等の関連性の特定の表示に関連付けられる。よって、アイデンティティレベルの関連性に関連付けられた深層学習アルゴリズムは、送信者と受信者との間のアイデンティティレベルにおける前の関連性に関連付けられた、前に特定された関連性モデルデータを用いて訓練される。さらに、メッセージレベルの関連性に関連付けられた別の深層学習アルゴリズムは、送信者と受信者との間のメッセージレベルにおける前の関連性に関連付けられた、前に特定された関連性モデルデータを用いて訓練される。さらに、組織レベル関連性に関連付けられた別の深層学習アルゴリズムは、送信者と受信者との間の組織レベルにおける前の関連性に関連付けられた、前に特定された関連性モデルデータを用いて訓練される。
本開示のいくつかの実施形態について意図されているのは、着信電子通信をインデックスすることができることである。各深層学習のスコアリングは、インデックスされたデータの使用であってもよく、インデックスされたデータは、深層学習アルゴリズムに精度を提供する。なぜなら、このデータは、送信者と受信者との間の関連性の表示と、異常なしとしてマークされたまたは特定のタイプの異常としてマークされた、前に格納された電子通信とを含むからである。スコアは評価することができ、スコアおよび関連するデータを、予め定められた異常スコアしきい値を上回るスコアに基づいて、検出異常データベースに格納することができる。
本開示の実施形態は、固有の側面を提供し、非限定的な例として、深層学習ネットワークを利用し、コンテキストに基づいて将来の会話を予測するためにこのネットワークの能力を向上させる。本開示は、深層ネットワークの要素として、家族構造と組織構造との双方を含む人間関係構造を使用することにより、さまざまな側面のうちでも特に、各種電子メール分類タスクを改善する。ユースケースは、敵対的(「スパム」または「スピアフィッシング」)着信電子メールの検出を含む。
本開示のいくつかの実施形態の他のユースケースは、送信される電子メールドラフトにおける、場合によっては不適切な言葉遣いを検出し、ユーザが電子メールドラフトを書き直して改善できるようにすることを、含み得る。たとえば、組織内でほぼ対等の立場にある2人の人物の間で適切な言葉遣いは、2人の人物が指導者/被指導者の関係にある場合に使用される言葉遣いとは異なり、同様に、近くで一緒に働いている2人の人物の間で適切な言葉遣いは、異なる組織単位に所属する人々の間で使用される言葉遣いとは異なる。従来の電子メールシステムは、送信する通信を不適切な言葉遣いで記述するユーザに警告を与えない。最良のケースにおいて、ユーザは、従来の電子メールシステムを使用しながら、メッセージを送信前にしばらくの間寝かせてドラフトを修正するが、それでもなお、送信者と受取人との間の職業的および/または個人的関係には不適切な言葉遣いで電子メールを作成し送信した後でユーザが「送信者の後悔」に駆られることはよくあることである。これらの従来の電子メールシステムは、電子メールの作成に対し、標準的な文法およびスペルに関する提案を行うように構成されるが、これは、ユーザが送信する通信に不適切な言葉遣いを入力して後から後悔することへの対応として、何もしない。これに対し、本開示のいくつかの実施形態は、従来の電子メールシステムの欠陥を、送信者(書き手)と受信者との関係にとって不適切な言葉遣い(場合によっては送信者が強い感情表現を記述することに起因する)を含む電子メールを特定することにより、克服する。本開示のこれらの実施形態は、不適切な言葉遣いを特定し、電子メールの送信者に、電子メールを送信前に見直して編集するよう警告を与える。
図1Bは、本開示の実施形態に係る、いくつかの方法およびシステムを実現する通信システムに使用することができるコンピューティング装置100Bを非限定的な例として示す概略図である。コンピューティング装置またはデバイス100Bは、ラップトップ、デスクトップ、ワークステーション、個人情報端末、サーバ、ブレードサーバ、メインフレーム、およびその他の適切なコンピュータ等の、各種形態のデジタルコンピュータを表す。図1Bの構成要素は、特定のユーザ用途に応じて、図4に組み込むことができ、逆も同様であることが、理解される。
コンピューティングデバイス100Bは、すべてバス150に接続されている、電源108と、プロセッサ109と、メモリ110と、記憶装置111とを含み得る。さらに、高速インターフェイス112、低速インターフェイス113、高速拡張ポート114、および低速拡張ポート115を、バス150に接続することができる。また、低速拡張ポート116もバス150に接続されている。非限定的な例として、特定の用途に応じて共通のマザーボードに搭載し得るさまざまな構成要素の構成が意図されている。またさらに、入力インターフェイス117を、バス150を介して外部受信機106と出力インターフェイス118とに接続することができる。受信機119を、バス150を介して外部送信機107および送信機120に接続することができる。また、外部メモリ104、外部センサ103、マシン102、および環境101も、バス150に接続されてもよい。さらに、1つ以上の外部入出力デバイス105がバス150に接続されてもよい。ネットワークインターフェイスコントローラ(NIC)121を、バス150を通してネットワーク122に接続するように適合させることができ、とりわけ、データまたはその他のデータを、第三者ディスプレイデバイス、第三者撮像デバイス、および/またはコンピュータデバイス100Bの外部の第三者プリンティングデバイスに、接続することができる。
引続き図1Bを参照して、メモリ110は、コンピュータデバイス100Bによる実行が可能な命令、履歴データ、ならびに本開示の方法およびシステムによる利用が可能な任意のデータを格納できることが、意図されている。メモリ110は、ランダムアクセスメモリ(RAM)、読出専用メモリ(ROM)、フラッシュメモリ、またはその他任意の適切なメモリシステムを含み得る。メモリ110は、1つもしくは複数の揮発性メモリユニット、および/または1つもしくは複数の不揮発性メモリユニットであってもよい。また、メモリ110は、磁気または光ディスク等の別の形態のコンピュータ読取可能媒体であってもよい。
記憶装置111は、コンピュータデバイス100Bが使用する補足データおよび/またはソフトウェアモジュールを格納するように適合させることができる。たとえば、記憶装置111は、本開示について先に述べたような履歴データおよびその他の関連データを格納することができる。これに加えてまたはこれに代えて、記憶装置111は、本開示について先に述べたようなデータと同様の履歴データを格納することができる。記憶装置111は、ハードドライブ、光学ドライブ、サムドライブ、ドライブのアレイ、またはその任意の組み合わせを含み得る。さらに、記憶装置111は、フロッピー(登録商標)ディスクデバイス、ハードディスクデバイス、光ディスクデバイス、もしくはテープデバイス、フラッシュメモリもしくは他の同様のソリッドステートメモリデバイス、または、ストレージエリアネットワークもしくはその他の構成におけるデバイスを含むデバイスのアレイ等の、コンピュータ読取可能媒体を含み得る。命令は情報キャリアに格納することができる。命令は、1つ以上の処理装置(たとえばプロセッサ109)によって実行されると、上記方法等の1つ以上の方法を実行する。
システムは、任意で、システムをディスプレイデバイス125およびキーボード124に接続するように適合させたディスプレイインターフェイスまたはユーザインターフェイス(HMI)123に、バス150を通して接続することができ、ディスプレイデバイス125は、とりわけ、コンピュータモニタ、カメラ、テレビ、プロジェクタ、またはモバイルデバイスを含み得る。
引続き図1Bを参照して、コンピュータデバイス100Bは、ユーザ入力インターフェイス117を含んでいてもよく、プリンタインターフェイス(図示せず)をバス150を通してプリンティングデバイス(図示せず)に接続するように適合させてもよく、プリンティングデバイスは、とりわけ、液体インクジェットプリンタ、固体インクプリンタ、大規模商用プリンタ、サーマルプリンタ、UVプリンタ、または昇華型プリンタを含み得る。
高速インターフェイス112は、コンピューティングデバイス100Bの帯域幅集約動作を管理し、低速インターフェイス113は、低帯域幅集約動作を管理する。そのような機能の割当は一例にすぎない。いくつかの実装形態において、高速インターフェイス112は、メモリ110、ユーザインターフェイス(HMI)123、キーボード124、およびディスプレイ125に、(たとえばグラフィックプロセッサまたはアクセラレータを通して)結合することができ、各種拡張カード(図示せず)を受け入れることができる高速拡張ポート114にバス150を通して結合することもできる。この実装形態において、低速インターフェイス113は、記憶装置111および低速拡張ポート115に、バス150を通して結合される。各種通信ポート(たとえばUSB、ブルートゥース(登録商標)、イーサネット(登録商標)、ワイヤレスイーサネット)を含み得る、低速拡張ポート115は、1つ以上の入出力デバイス105に、および他のデバイスとして、キーボード124、ポインティングデバイス(図示せず)、スキャナ(図示せず)、または、スイッチもしくはルータ等のネットワーキングデバイスに、たとえばネットワークアダプタを通して、結合されてもよい。
引続き図1Bを参照して、コンピューティングデバイス100Bは、図面に示されるように、いくつかの異なる形態で実現されてもよい。たとえば、標準サーバ126として実現されてもよく、または、一群のそのようなサーバにおいて複数実現されてもよい。加えて、ラップトップコンピュータ127等のパーソナルコンピュータにおいて実現されてもよい。また、ラックサーバシステム128の一部として実現されてもよい。これに代えて、コンピューティングデバイス100Bの構成要素が、図4のモバイルコンピューティングデバイス等のモバイルデバイス(図示せず)における他の構成要素と組み合わされてもよい。そのようなデバイスの各々は、図1Bのコンピューティングデバイスおよび図4のモバイルコンピューティングデバイスのうちの1つ以上を含んでいてもよく、システム全体が、相互通信する複数のコンピューティングデバイスで構成されてもよい。
図1Cは、本開示のいくつかの実施形態に係る、コンピュータシステム設計プランのある実施形態のいくつかの構成要素を示す概略図である。コンピュータシステム設計プラン100Cは、ネットワーク(すなわちワイドエリアネットワーク(WAN)/ローカルエリアネットワーク(LAN))19と、ネットワーク19と通信することが可能な、サーバコンピュータ12と、分類サーバコンピュータ14と、データセンサコンピュータ16とを含む。
ワイヤレスネットワーク7は、ネットワーク19と通信することができ、ワイヤレスネットワーク7および/またはネットワーク19と通信するクライアント関連デバイス(すなわちクライアントタブレット2、クライアントラップトップ4、クライアント電話/コンピュータ6)を含み得る。クライアントの特定の用途または使用に応じて、クライアントデバイス2、4、6は、企業エンティティまたは何らかの他のタイプの組織に関連付けることができる。周知のクライアントコンピュータ構成と同様に、クライアントデバイスは、クライアントに関連するアプリケーション、オーディオ/ビデオコンポーネント、および関連するセキュリティ保護デバイス、すなわちファイアウォール、サイバーセキュリティソフトウェアなどの他の較正要素を含む、図1Bおよび図4の構成要素のうちのいくつかまたはすべてを含み得る。
引続き図1Cを参照して、ネットワーク19は、分類サーバコンピュータ14、データセンサコンピュータ16、サーバコンピュータ12と通信することを含む、用途およびユーザの要求に応じて、他のネットワークコンピュータおよびハードウェアシステムで、構成することができる。また、ネットワークは、特定の用途に応じて、ネットワーク構成要素に関して図1Bおよび図4に記載される特徴のうちのいくつかまたはすべてを含み得る。たとえば、センサコンピュータ16は、ニューラルネットワーク、機械学習エンジン、分類器コンピュータ14を含むアプリケーションを実行することができ、ユーザ構成要素設計ごとに必要であればセンサおよび分類器アプリケーションを含み得る。本開示の実施形態をサポートするために、図1Bおよび図4の構成要素を組み合わせて単一または複数の同様のデバイスにできるように、コンピュータ構成が、ユーザ仕様および用途に応じて変化し得ることが、意図されている。
図2は、本開示の実施形態に係る、送信者と受信者との間の電子通信の内容と相関関係がある送信者と受信者との間の関連性のいくつかの表示を示す概略図である。
本開示のいくつかの実施形態は、深層ネットワーク分類タスクにおいて人間関係構造を使用することにより、電子メールの分類を改善する。グラフの形態の人間関係構造は、1つ以上の関連性の表示281に基づいた送信者と受信者との間の関連性モデルを含み得るものであって、関連性の表示は、(a)組織図データベース、すなわち組織内の従業員の職務階層を含む職務階層282と、(b)組織技術図データベース289とを含み、各技術は、一組の予め定められた検索可能な技術用語を含み得るものであり、さらに、(c)組織の各従業員ごとの従業員組織データベース291を含み、各従業員ごとのデータは、過去に組織で就いていた役職等の職歴、教育レベルおよび就学などのような職歴と、組織の従業員と組織の外部の非従業員との間の以前の会話を含む、組織の各従業員ごとの電子メールデータベース293とを含み得るものであり、さらに、(e)従業員電子メールデータベース293の分析に基づいた送信者と受信者との間の予め定められた数の以前の通信に基づいて判断できる、従業員推測関係データベース294を含む。
引続き図2を参照して、組織図データベース282は、事務員285および秘書286等の組織内での肩書の名称283を含み得る。組織に関連付けられた有給または無給の任意の人物を、組織チャートデータベース282に含めることができる。
組織技術図データベース289は、各技術のリスト290を含んでいてもよく、各技術は、その技術に関連する、関連付けられた検索可能な用語および語句を有し得る。また、従業員組織データベース291は、各従業員が就いていた過去の肩書292等の従業員関連データを、各従業員ごとの電子媒体を介したすべての会話の電子メールデータベースとともに、含み得る。組織が獲得可能な各従業員に関連する任意の情報が、各従業員ごとに含まれていてもよいことが、意図されている。
引続き図2を参照して、従業員推測関係データベース294は、送信者と受信者との間の以前の通信の過去の数等のデータ295を、家族関係を示す送信者と受信者との間の電子通信に関するデータ296とともに、含み得る。
関連性の表示281はまた、組織が受けた、送信者による、以前に特定され確認された電子メールフィッシング、および、以前に特定され確認された電子メールフィッシングの他のソース297の、1つ以上のデータベースを含み得る。
引続き図2を参照して、本開示のいくつかの実施形態に従うと、送信者と受信者との間の電子通信と相関関係がある送信者と受信者との間の関連性の表示を、着信電子通信の内容の詐欺を検出するために、1つ以上のニューラルネットワークの入力として、使用することができる。たとえば、送信者と受信者との間の関連性モデルを含むデータを、マッチング電子通信とともに、1つ以上のニューラルネットワークへの入力として使用することにより、これらのネットワークを訓練して、関連性モデルと通信内容との間の相関関係を検出することができる。
関連性の表示を如何にして詐欺の検出に使用できるかをより適切に理解するためには、さらに定義される電子メールフィッシングの側面を、電子メールフィッシングのいくつかの種類および例とともに、より適切に理解する必要がある。実験ごとに(下記参照)、フィッシング電子メールは、受信者が電子メールを開いた場合に電子メールの作成者が受信者を油断させるまたは受信者に疑われないよう周到に作成された。フィッシング電子メールを開封した際のある結果として、電子メールが開封されると攻撃者がシステム内にアクセスし、銀行口座の詳細、クレジットカード番号、社会保障番号、パスワードなどのような機密データにアクセスする。フィッシング詐欺師は、この情報を得ると直ちに、この情報を悪用する人々に送信または売却する。往々にして、フィッシングは、結果として情報の損失を引き起こすだけでなく、ウィルスを被害者のコンピュータまたは電話に注入する。感染させると、フィッシング詐欺師は、デバイスを掌握し、それを通して電子メールおよびメッセージを、サーバを通して接続された他の人々に送信することができる。
引続き図2を参照して、多数の異なるタイプのフィッシングが存在する可能性があり、着信電子メールの受信者に働きかけて電子メールを開封させることができるタイプは、「検索エンジンフィッシング」と呼ばれるフィッシングに関連し得る。これは、特定のキーワードを標的にした偽装ウェブページを作成し検索者が偽装ウェブページにたどり着くのを待つ、ある種のフィッシングである。検索者は、一旦ページリンクをクリックすると、手遅れになるまで、騙されたことに気付くことはない。別のタイプのフィッシングは「スピアフィッシング」である。何百万もの未知のユーザに電子メールを送信することが必要な従来のフィッシングとは異なり、スピアフィッシングは典型的には標的型であり、電子メールは、特定のユーザを標的とするよう慎重に設計される。これらの攻撃はリスクがより大きい、というのも、フィッシング詐欺師は、ユーザおよびその組織に関して、彼らのソーシャルメディアプロフィールおよび企業ウェブサイトを通じて、完璧な社会的プロフィールリサーチを行うからである。さらにもう1つのタイプのフィッシングは、ホエーリング(Whaling)であり、これは、スピアフィッシングと大きくは変わらないが、標的とするグループは、より特定的になりこの種のフィッシング攻撃に限定される。この技術は、フィッシング用語で「ホエール(クジラ)」としても知られている、組織の情報連鎖においてトッププレーヤーであると考えられる上級管理職を標的とする。従業員が多くデータへの依存度が高い大組織が、フィッシング詐欺師が対象とする標的である。
また、さまざまなタイプのフィッシング攻撃が存在し、詐欺師は、ソーシャルエンジニアリングを使用して、次の潜在的被害者のオンラインでの行動および好みを把握し、これは、詐欺師が巧妙な攻撃を仕掛けるのに役立つ。フィッシング攻撃の第1の例は、「電子メールなりすまし(Spoofing)、すなわち名前の詐称」と呼ばれる。電子メールなりすましは、ユーザについての知識なしでユーザからデータを獲得するために使用される、最も簡単なタイプのフィッシングの1つである。これは、さまざまな方法で行うことができ、たとえば、ありふれたユーザ名で電子メールを送信する、または、組織の上司を装った電子メールを送信し何らかの重要なデータを要求する、または、もっと酷い場合は、組織のIDを詐称し従業員に内部データを共有するよう求める。1例として、組織の人事部(HR:Human Resource Dept.)から送信された電子メールのように見えるものを挙げることができ、この電子メールは、HRのウェブページのように見えるウェブページの文書を開くよう従業員に要求する、すなわち、詐欺師は、文書が開かれるとHR部による署名を偽装した電子メールも示す。そのような、詐欺師がこの種の詳細事項で入念に作成した偽装電子メールは、受信者が開封しフィッシング詐欺にあう可能性がより高くなる。本開示の実施形態に関連があるいくつかの他のタイプのフィッシング攻撃は、2、3の例を挙げると、マス標的ブランド偽装、URLフィッシング、サブドメイン攻撃、ウェブサイトなりすましおよびクローンフィッシングを含み得る。そのため、電子メールフィッシングが引き起こし得る上記問題のすべてに基づいて、本開示の実施形態は、これらの問題のうちの多くを、異常検出を通して、解決するように構成され、すなわち、受信者が電子メールを開封し受信者に対して起こり得る危険を警告する前に、着信通信における送信者と受信者との間の通信の内容と相関関係がある送信者と受信者との間の関連性の表示の種類の確認を通して、解決するように構成される。
実験
実験からわかったいくつかの側面は、電子メールフィッシングが、詐欺師にとっては大きな取引であり、世界中の個人および企業IDにとっては相当な金銭トラブルである、ということである。フィッシングは、犯罪者が策略によって受信者から受信者のオンラインIDを騙し取り、受信者を操ってまたは騙して機密金融情報、個人情報、すなわちパスワード、誕生日、社会保障番号などを漏洩させる犯罪現場である。詐欺師は、受信者の個人ID情報または金融口座クレデンシャルを、金銭的利益を得るために不正使用する。詐欺師が受信者を騙すために可能な他の方法は、消費者購買のために使用される受信者の通常のウェブサイト、すなわちアマゾン(登録商標)、メイシーズ(登録商標)、ホームデポ(登録商標)の1つを装った偽りのウェブサイトに受信者を誘導する、または、受信者が企業パスワードを機密資料/文書に送る受信者の組織/企業ウェブサイトを装うことである。他の詐欺の方法は、技術サービス要員またはサービスサポート要員のふりをするまたはそれを装って受信者に個人情報を提供させようとし提供させることを含み得るものであって、詐欺師の窃盗という目的を果たすために使用される騙しに基づく。
電子メールは現代の通信方法によって主に使用されているので、この通信媒体は、虚偽のメッセージングを使用する詐欺師によって最も標的にされるもののうちの1つである。電子メールフィッシングが詐欺師にとって成長市場である理由は、詐欺師がそのIDを隠すための方法を複数有していることにあり、たとえば、送信者のアドレスは、匿名サーバを通してルーティングすることができる、または、送信者は、複数のユーザ名を使用し匿名チャネルを介してメッセージ配信することができる。また、空港および図書館のような多くの公共の場所を介したインターネットへのアクセシビリティは、詐欺師がその技能を実践するための匿名性を提供することできる。
図3Aは、本開示のいくつかの実施形態に係る、分類されたテキストおよび深層学習アルゴリズムを用いて、送信者から受信者への着信電子通信における異常を特定または検出し、着信通信すなわち電子メールを配信するまたは配信しない等によって早期警告を与えるための、いくつかのコンピュータシステムプロセスフローステップを示すフロー図である。異常の検出はニューラルネットワークの使用に基づき、ニューラルネットワークにおいて、異常を有する訓練データセットが、1つ以上の深層学習アルゴリズムによる訓練のために、発掘(マイニング)される。
図3Aのステップ305は、十分な量のテキストコンテンツを有する各通信ごとに格納された、送信者と受信者との間の関連性の表示を有する、確認されたデータセットに基づいて収集された、訓練データを含む。格納された、異常である通信も、関連付けられた異常のタイプを有する。関連性の表示のこれらの分類(またはカテゴリもしくはラベル)は、組織外のソースから得ることができる。コンピュータシステムは、これらのデータセットに対してデータマイニングを行うことにより、特定のカテゴリ内の十分な数のデータセットを抽出して深層学習アルゴリズムを訓練する。
人間関係構造という観点で、たとえば、アイデンティティレベルにおける、およびメッセージレベルにおける、関連性の表示は、例として通信の内容が送信者と受信者との間の特定タイプの関連性に相関関係があるが送信者と受信者とのこの関連性の表示が検出されない場合に、送信者と受信者との間の電子通信における詐欺の表示として、使用することができる。
アイデンティティレベルにおける関連性の表示
引続き図3Aのステップ305を参照して、たとえば、アイデンティティレベルにおける関連性の表示は、職務階層における相対的地位等の、送信者と受信者との間のつながりを比較することを含み得る。着信通信に開示されている肩書および職務記述書を用いて、送信者と受信者との間のつながりを特定するまたはその検出に役立てることができる。フィッシングのいくつかの例として、以下を挙げることができる。(a)着信通信における添付物を送信する管理者等の従業員を装った送信者であり、関連付けられたデータは、組織ネットワークを介して、および/または組織の合法URLと一致しない着信通信に埋め込まれたリンクを介して、従業員から既にアクセス可能であり、(b)(i)パスワードおよび個人データの予定外更新を要求する技術サポートグループ等の組織のグループを装った送信者、(ii)組織の機密安全情報へのアクセスを要求する、組織の関連企業を装った送信者、(iii)組織の人事部を装った送信者であり、従業員に、提供されたリンクをクリックさせ、その機密情報すなわちクレデンシャルを入力させ、リンクは従業員を偽のログインページに誘導し、従業員はその口座名、パスワード、社会保障番号などを提供し、この時点で情報漏洩が起こっており、(iv)組織の人事部を装った送信者であり、従業員に、新たな給与通知を確認させるにあたり、偽のログインページに導くリンクを介して機密データを入力させ、(v)組織の最高幹部を装った送信者であり、従業員に添付物のダウンロードを要求するまたは偽のログインページであるリンクに進ませる。
メッセージレベルにおける関連性の表示
メッセージレベルにおける関連性の表示は、送信者と受信者との間のつながりに関連付けられるキーワードを含み得るものであり、それはたとえば、(a)同一の技術用語、フレーズまたは名称等の、共有されている組織技術、(b)以前の電子メールの会話、過去の肩書および職務記述書、組織の委員会、グループ、タスクフォース、特別プロジェクトなどのような、関連する従業員のプロフィールに見られるキーワードまたは用語、(c)家族の一員、すなわち、姓、兄弟の名前などのような、推測される従業員の関係や、電子メールの会話の数に相関関係がある単語、(d)組織の特定された以前の不正なテキスト内容、組織の外部で取得された、その他の特定された以前の不正なテキスト内容、である。
引続き図3Aのステップ305を参照して、訓練データの他のソースが存在する可能性がある、すなわち確認された特定の異常検出の内部組織ソース、すなわち特定のタイプの訓練データである。いくつかの例を挙げると、各タイプの企業に固有の、確認された以前の異常からのテキストデータ(組織データベース、職務階層、組織技術データベース、従業員プロフィールデータベース、従業員の推測関係データベースなど)、ならびに、受信者および認定された企業異常検出者による確認からのデータであり、着信通信における特定のテキストは、ニューラルネットワーク、深層学習アルゴリズムにより、ニューラルネットワークに保存され再訓練に使用されねばならないことを示す方法で、スコアリングされている。
強力な深層学習アルゴリズムを作成するために必要なデータマイニングは、いくつかのタイプの実際の異常を表面化することを目的とし、各タイプごとに、送信者と受信者との間の関連性のさまざまな表示と、電子通信のさまざまな特徴との間の相関関係が学習される。
1つ以上の実施形態において、コンピュータシステムの、最重要であるが唯一ではない、訓練データのソースは、送信者と受信者との間の電子通信と、アイデンティティレベルおよびメッセージレベルならびに組織レベルにおける関連性の表示とで、構成される。本発明のシステムがテストデータで表面化させようとしている異常は、送信者と受信者との間に存在する関連性の表示と電子通信の内容との間に十分な相関関係がない場合の異常である。検出された相関関係の程度が、予め定められた精度スコアにより、すなわち、非限定的な例として0.00から最大1.0までの精度スコアにより、報告される。訓練データはまた、関連性の表示と相関関係がないとわかっているテキスト、または関連性モデルに対しコンテキストが異常であるとがわかっておりしたがって異常である可能性が高い通信等の、ポジティブ訓練データを含み得る。システムは、ネガティブ訓練データを使用することにより、特定の異常タイプに関連付けられるものとしてテストデータをより適切にスコアリングすることができる。
引続き図3Aのステップ305を参照して、訓練データは、深層学習エンジンがテストデータにおけるテキストに対して正確なスコアを生成できるようにするために極めて重要であり、典型的に、テストデータは、主として電子メールすなわち着信通信からなる。アルゴリズムは、符号化された、電子メール内のテキストを、送信者と受信者との間の関連性の表示に関連するポジティブ訓練データによって記述されたベクトル空間と比較し、かつ、関連性の表示がテキストと整合しない場合のネガティブ訓練データと比較する。実験からわかったことは、訓練データがニューラルネットワークの訓練において有効であったこと、すなわち、深層学習アルゴリズムが本開示の実施形態にとって有用でありロバストであることを、保証する必要があることである。
図3Aのステップ310は、この訓練材料を集めて深層学習エンジンに提供するプロセスを含み、これは、ブロックにおける各単語または単語シーケンスごとに、その前後の2つまたは3つの単語との関連で、「ベクトル」を作成することを含む。したがって、各単語ベクトルはそれ自身のコンテキストを有し、このコンテキストは、深層学習アルゴリズムを訓練する対象である、類似性のタイプに関して有意義なものである。特定の分類(または類似性検出もしくは異常検出)に使用されたテキストの、数値ベクトルへの変換は、Bag of words、Word2vec GloVe:Global Vectors for Word Representation、TF-IDF、LDAなどのような、さまざまな方法によって実現し得るものである。
先に述べたように、深層学習アルゴリズムは、テキストを、すなわち他の単語のコンテキスト内の単語を符号化するが、類似性または異常は、単語単位、文章単位、または段落単位でアルゴリズムに提供される訳ではない。代わりに、着信したテキストすなわち電子メールにおけるテキストの全ブロックが、取り込むために提示される。
引続き図3Aのステップ310を参照して、多数の訓練データセットを取得するためのいくつかの側面は、深層学習アルゴリズムを、適切に機能ししたがって「ロバスト」とみなされるように、訓練することである。ニューラルネットワークに入力された訓練データ、すなわち深層学習アルゴリズムは、自然言語処理で適切に機能する。本開示のいくつかの実施形態は、長・短期メモリを有する回帰型ニューラルネットワーク等の深層学習アルゴリズムを使用することができる。これらの深層学習回帰型ニューラルネットワークは、隠れ計算ノードおよび各種ゲートを使用し、チューニングすなわち操作を要求する。また、深層学習アルゴリズムは、異常の検出とは関連がない1つ以上のデータセットで訓練することができる。
チューニングのプロセス後に、アルゴリズムを見直して、ニューラルネットワークが、訓練データセットの異常を正確に特定するように訓練されているか否かを判断する、というのも、ニューラルネットワークは、訓練前にランダム状態に初期化されるからである。多くの異なるニューラルネットワークモデルが一組の訓練データでテストされることはよくあることであり、典型的に、訓練後の精度は、モデルごとに大きく異なり得る。アルゴリズムが、特定のタイプの異常を「理解する」ように訓練されると、それは「フィルタ」とみなされてもよい。典型的に、システムは、2つ以上のフィルタからなる。システムは、通信および関連性モデルを各フィルタに通し、深層学習アルゴリズムが、異常を特定するように訓練される、すなわち着信データをフィルタリングして異常な例だけを選択するように訓練される。
図3Aのステップ315は、ニューラルネットワークが訓練されると、送信者からの着信電子通信を受信することを含む。コンピュータシステムは、着信電子通信をインデックスし、インデックス処理からテキストを抽出する、または着信電子通信すなわち電子メールおよび任意の添付物からテキストを直接抽出することができる。このプロセスにおいて何がいつ抽出され如何にして格納されるかは、すべて、各組織に固有のプロトコルまたは計画手順および方針によって決まる。本開示のいくつかの実施形態の場合、コンピュータシステムは、リアルタイムで動作して、着信通信すなわち未処理のデータを受信し、着信通信をインデックスし、メモリに格納する。
図3Aのステップ320は、コンピュータシステムが、格納されている未処理のデータ(すなわち組織の着信通信の内部電子メールデータ)に、またはインデックスされたデータにアクセスし、テキストを抽出して個々のフィルタにかけることを含み、この場合、各フィルタは、カテゴリ固有のアルゴリズムに固有のものである。テキストが、各フィルタに関連付けられたデータベースに格納されると、フィルタは、フィルタテキストデータを、各電子メールごとに、各フィルタが訓練された方法との比較において、精度についてスコアリングする。各電子メールが、フィルタにより、異常との関連で精度についてスコアリングされた後に、スコアおよびテキストが、異常検出として、または異常検出なしとして、すなわち検出された相関関係は予め定められたしきい値を満たすものとして、出力される。言い換えると、ニューラルネットワーク(NN)は、受信した着信電子通信および関連性モデルをNNに与えることによって開始され、異常検出(真陽性)または異常検出なし(偽陽性)、すなわち検出された相関関係は予め定められた相関関係しきい値を満たす、という結果を生成する。なお、すべてのフィルタについてフィルタリングされたすべてのテキストの量は、受信した未処理のデータの量よりも少なく、よって、未処理のデータをフィルタリングすることにより、データ量が減じられる。2つ以上のタイプの異常がある場合、異常検出結果は、検出された異常と最も整合する異常のタイプを含む。
図3Aのステップ325は、ニューラルネットワークからの出力を受信し、異常が検出されるか否かを判断する。
図3Aのステップ340は、異常が検出されない場合、すなわち、相関関係の量が予め定められた相関関係しきい値を上回ることが検出された場合、それを認め、この場合、異常検出なしが、異常なしデータベースに保存される。
図3Aのステップ345は、異常検出なし情報を受信し、次にニューラルネットワークを再訓練してニューラルネットワークを更新する。
図3Aのステップ350は、異常検出なしを認め、電子メール配信システムの通常動作に従って電子メールを処理し、たとえば着信電子メールを受信者に配信する。
しかしながら、図3Aのステップ330は、異常が検出されたことを認め(真陽性)、検出された異常を異常データベースに保存する。
図3Aのステップ360は、検出された異常のタイプに関連付けられた一連の防御措置を講じる。組織が異常の検出に基づいて講じ得るこれらの防御措置は、電子メールをサニタイジングまたは隔離すること、組織の従業員の一部またはすべてに敵対的攻撃を警告することを、他の予防策とともに、含み得る。意図されているのは、各組織が、各タイプの異常が検出されたときに、各組織のセキュリティの手順および方針に固有の、多数の措置を取ることができるということである。
図3Aのステップ335は、異常が検出されたことを認め、次にニューラルネットワークを再訓練して更新する。
図3Bは、本開示のいくつかの実施形態に従う、図3Aに示されるフロー図の変形であり、如何にして、異常検出の結果を、格納されている異常および異常なしデータの例に従い検証し得るかを示す。
図3Bのブロック341は、異常なしデータベースであり、異常を含まないデータの例が格納されている。
図3Bのブロック329は、異常データベースであり、異常を含むデータが格納されている。異常データベースは、異常の各タイプごとに別々のサブタイプデータベースを含み得るものである、または、これらが一緒に格納され、各異常例が、異常のタイプを示すメタデータを添付されて格納されてもよい。
図3Bのブロック327は、検出された異常を受け入れる。検出された異常は、異常データベース329および異常なしデータベース341内の同様の例との比較によるさらなる検証を受ける。異常通信テキストの特徴と関連性モデルとの類似性に基づいてヒューリスティック比較が行われてもよく、または訓練された分類器が使用されてもよい。検証ステップにおいて、検出された異常が異常なしの例と最も整合すると判断された場合、検出された異常は、異常ではなく「偽陽性」であり、その例は、異常なしデータベース341に、偽陽性であったことを示すメタデータと、元の異常検出結果とともに格納され、再訓練および/またはハンドラベリングに使用できるようにされる。検証ステップにおいて、異常が異常として正しくマーキングされていると判断された場合、この異常は「真陽性」である。真陽性の異常は異常データベース329に保存される。検出された異常タイプが、検証ステップによって出力されたタイプと整合しない場合、異常は、異常なしデータベースの、検証されたサブタイプデータベースに保存されるか、または検証された異常タイプと整合するメタデータとともに、また、元の異常検出結果を示すメタデータとともに保存され、再訓練および/またはハンドラベリングに使用できるようにされる。
図4は、本開示の実施形態に係る、方法およびシステムのいくつかの技術を実現するために通信システムで使用することができる、モバイルコンピューティング装置を示す、概略図である。モバイルコンピューティングデバイス400は、さまざまな構成要素のうちでも特に、プロセッサ461、メモリ462、入出力デバイス463、および通信インターフェイス464を接続する、バス495を含む。バス495は、追加のストレージを提供するための、マイクロドライブまたは他のデバイス等の記憶装置465に接続することもできる。
プロセッサ461は、メモリ462に格納された命令を含む命令を、モバイルコンピューティングデバイス400内で実行することができる。プロセッサ461は、別々の複数のアナログデジタルプロセッサを含むチップのチップセットとして実現されてもよい。プロセッサ461は、たとえば、ユーザインターフェイスの制御等の、モバイルコンピューティングデバイス400の他の構成要素の調整のために、モバイルコンピューティングデバイス400によって実行されるアプリケーション、およびモバイルコンピューティングデバイス400によるワイヤレス通信などを、提供し得る。特定の用途に応じて、共通マザーボード(非限定的な例として499)上に搭載され得る各種の構成要素の構成が意図されている。
プロセッサ461は、ディスプレイ468に結合された制御インターフェイス466およびディスプレイインターフェイス467を通してユーザと通信することができる。ディスプレイ468は、たとえばTFT(Thin-Film-Transistor Liquid Crystal Display:薄膜トランジスタ液晶ディスプレイ)もしくはOLED(Organic Light Emitting Diode:有機発光ダイオード)ディスプレイ、または他の適切なディスプレイ技術であってもよい。ディスプレイインターフェイス467は、ディスプレイ468を駆動してグラフィック情報および他の情報をユーザに提示するための適切な回路を含み得る。制御インターフェイス466は、ユーザからコマンドを受信し、プロセッサ461に提供するために変換することができる。加えて、モバイルコンピューティングデバイス400と他のデバイスとの近距離通信を可能にするために、外部インターフェイス469がプロセッサ461との通信を提供してもよい。外部インターフェイス469は、たとえば、ある実装形態では有線通信を提供してもよく、または他の実装形態では無線通信を提供してもよく、複数のインターフェイスが使用されてもよい。
引続き図4を参照して、コンピューティングデバイス1050内の情報を格納する。メモリ1064は、コンピュータ読取可能な媒体、揮発性メモリユニットまたは不揮発性メモリユニットのうちの1つ以上として実現されてもよい。また、拡張メモリ1074が設けられて、拡張インターフェイス1072を介してデバイス1050に接続されてもよく、拡張インターフェイス572は、たとえばSIMM(Single In Line Memory Module:シングル・インライン・メモリ・モジュール)カードインターフェイスを含み得る。このような拡張メモリ1074は、デバイス1050に対して追加の記憶領域を提供してもよく、またはデバイス1050のためにアプリケーションもしくは他の情報を格納してもよい。具体的には、拡張メモリ1074は、上記のプロセスを実行または補完するための命令を含んでもよく、セキュリティ保護された情報も含んでもよい。したがって、たとえば、拡張メモリ1074は、デバイス1050のためのセキュリティモジュールとして提供されてもよく、デバイス1050の安全な使用を可能にする命令でプログラムされてもよい。また、ハッキングできない態様でSIMMカードに識別情報を載せるなど、追加情報とともに、セキュリティ保護されたアプリケーションがSIMMカードを介して提供されてもよい。
メモリ462は、以下で述べるように、たとえばフラッシュメモリおよび/またはNVRAMメモリ(不揮発性ランダムアクセスメモリ)を含み得る。いくつかの実装形態において、命令は情報キャリアに格納され、これらの命令は、1つ以上の処理デバイス(たとえばプロセッサ400)によって実行されると、上記方法のような1つ以上の方法を実行する。命令は、1つ以上のコンピュータまたはマシン読取可能媒体等の、1つ以上の記憶装置(たとえばメモリ462、拡張メモリ470、またはプロセッサ462上のメモリ)によって格納されてもよい。いくつかの実装形態において、命令は、たとえばトランシーバ471または外部インターフェイス469を通して伝搬された信号において受信されてもよい。
引続き図4を参照して、図4のモバイルコンピューティング装置またはデバイス400は、個人情報端末、携帯電話、スマートフォン、およびその他同様のコンピューティングデバイス等の、さまざまな形態のモバイルデバイスを表すことを意図している。モバイルコンピューティングデバイス400は、必要に応じてデジタル信号処理回路を含み得る通信インターフェイス464を通して無線通信し得るものである。通信インターフェイス464は、とりわけ、GSM(登録商標)(Global System for Mobile communications:汎欧州デジタルセルラーシステム)ボイスコール、SMS(Short Message Service:ショートメッセージサービス)、EMS(Enhanced Messaging Service:拡張メッセージングサービス)、もしくはMMS(Multimedia Messaging Service:マルチメディアメッセージングサービス)メッセージング、CDMA(code division multiple access:符号分割多元接続)、TDMA(time division multiple access:時分割多元接続)、PDC(Personal Digital Cellular:デジタル携帯電話)、WCDMA(登録商標)(Wideband Code Division Multiple Access:広帯域符号分割多元接続)、CDMA2000、またはGPRS(General Packet Radio Service:汎用パケット無線サービス)等の、さまざまなモードまたはプロトコルの下での通信を提供し得る。そのような通信は、たとえば無線周波数を使用するトランシーバ471を通して行われてもよい。加えて、ブルートゥース、Wi-Fi(登録商標)、または他のそのようなトランシーバ(図示せず)等を用いて短距離通信が行われてもよい。加えて、GPS(Global Positioning System:全地球測位システム)受信機モジュール473が、モバイルコンピューティングデバイス400に、追加のナビゲーションおよび位置関連データをモバイルコンピューティングデバイス400に提供してもよく、これを、モバイルコンピューティングデバイス400上で実行されるアプリケーションにより、適宜使用されてもよい。
モバイルコンピューティングデバイス400は、ユーザからの発話情報を受信し使用可能なデジタル情報に変換するオーディオコーデック472を用いて可聴通信することもできる。オーディオコーデック472は、同様に、たとえばモバイルコンピューティングデバイス400のハンドセットのスピーカを通して、ユーザのための可聴音声を生成してもよい。そのような音声は、音声電話呼び出しからの音を含み得るものであって、録音された音声(たとえばボイスメッセージ、音楽ファイルなど)を含み得るものであり、また、モバイルコンピューティングデバイス499上で動作しているアプリケーションによって生成された音声も含み得る。
引続き図4を参照して、モバイルコンピューティングデバイス400は、図面に示されるように複数の異なる形態で実現されてもよい。たとえば、携帯電話474として実現されてもよい。また、スマートフォン475、個人情報端末、またはその他同様のモバイルデバイスの一部として実現されてもよい。また、入力インターフェイス377、出力インターフェイス478、受信機479および送信機480が、モバイルコンピューティングデバイス400に含まれていてもよい。
特徴
下記の側面は、この特徴のセクションにおいて上記システムおよび方法について以下で列挙する側面のうちの1つ以上の組み合わせに基づいて、1つ以上の実施形態を個別にまたは組み合わせて作成することを、意図している。
ある側面は、受信された着信電子通信が、分類されたテキストになるように処理され、異常を検出するために深層学習アルゴリズムを含むニューラルネットワークで使用されることにより、異常を検出することを、含み得る。プロセッサは、検出された関係に基づいた通信分類を有する訓練された関連性モデルに対応するテキストデータに対する訓練データセットを作成し、深層学習アルゴリズムを1つ以上の訓練データセットを用いて訓練するように、構成される。組織に関連する電子通信を抽出し、深層学習アルゴリズムを電子通信に適用することにより、検出された異常を特定および報告する。検出された異常が真陽性か偽陽性かを判断する。検出された異常が、敵対的意図を示す真陽性の場合は、検出された異常が、配信可能として予め定められているか配信不能として予め定められているかを特定する。次に、電子通信を、特定された配信可能な異常のための予め定められた配信可能サブデータベースに従って、または特定された配信不能な異常のための予め定められた配信不能サブデータベースに従って、真陽性データベースに保存し、深層学習アルゴリズムを再訓練する。または、検出された異常が、異常なしが検出されたことを示す偽陽性の場合は、電子通信を偽陽性データベースに保存し、深層学習アルゴリズムを再訓練する。異常なしが検出されたことを示す偽陽性が検出され検出された異常が配信可能なものとして特定された場合は、着信電子通信を受信者に配信する。
ある側面は、各深層学習アルゴリズムが、訓練された関連性モデルの、異なる関係ベースの通信分類器を用いて、関係ベースの通信分類が、アイデンティレベル分類において検出される類似性またはメッセージレベル分類において検出される類似性を含むように、訓練され、深層学習アルゴリズムが、アイデンティティレベル分類において検出される類似性に関連付けられ、送信者と受信者との間のアイデンティティレベル訓練において検出された以前の類似性に関連付けられる、以前の関係ベースの通信分類データを用いて訓練され、別の深層学習アルゴリズムが、メッセージレベル分類において検出される類似性に関連付けられ、送信者と受信者との間のメッセージレベルにおいて検出された以前の類似性に関連付けられる以前の関係ベースの通信分類データを用いて訓練されることを、含む。ある側面において、アイデンティティレベルにおいて検出された類似性は、職務階層を含む組織構造内における類似性等の、送信者と受信者との間の類似性に関連付けられるテキストの表示に基づく。さらに、ある側面において、職務階層は、(a)添付された添付物と組み合わされる従業員の幹部肩書、および組織内の従業員がアクセス可能なデータの名称、(b)適法URLの組織リストと一致しないURLと組み合わされる従業員の幹部肩書、(c)パスワードまたは個人データの更新と組み合わされる、技術サポートグループを含む、組織内の1つ以上のグループ名称、(d)機密安全組織情報の1つ以上の名称と組み合わされる、組織の1つ以上の関連企業、(e)組織の機密情報の1つ以上のリンクおよび名称と組み合わされる人的資源、に関連付けられるテキストを含む。さらに、ある側面において、メッセージレベルにおいて検出された類似性は、(a)組織技術、(b)前の肩書、組織委員会名称、組織グループ名称、組織タスクフォース名称、特別プロジェクト名称のうちの1つを含む従業員プロフィール、(c)従業員プロフィールと組み合わされる、受信者と同一の姓を有する送信者を含む、従業員の推測される関係内の類似性等の、送信者と受信者との間の類似性に関連付けられるテキストの表示に基づく。
ある側面において、ニューラルネットワークは1つ以上の深層学習アルゴリズムを含み、1つ以上の深層学習アルゴリズムは、異常の検出に関連付けられる敵対的要求についてのモデルのソースとなる、関係ベースの通信分類データを用いて、訓練された関連性モデルにより、訓練される。また、ある側面において、検出された配信可能な各異常は、プロセッサによって実現される1つ以上の予め定められたコマンドアクションに対応する。意図されている側面において、訓練された関連性モデルは、事業等の組織内の人物および組織下位単位の関係を含むグラフまたはデータベースにおいて符号化された人間関係構造を処理することによって生成される。
実施形態
以下の説明は、具体例としての実施形態のみを提供し、開示の範囲、適用可能性、または構成を限定することを意図していない。むしろ、具体例としての実施形態の以下の説明は、具体例としての1つ以上の実施形態を実装すること可能にする説明を、当業者に提供するであろう。添付の請求項に記載されている開示された主題の精神および範囲から逸脱することなく、要素の機能および構成に対してなされ得る、各種変更が意図されている。詳細事項は、以下の記載において、実施形態の十分な理解のために与えられる。しかしながら、これらの具体的な詳細事項がなくても実施形態を実行できることを、当業者は理解できる。たとえば、開示された主題におけるシステム、プロセス、および他の要素は、実施形態を不必要な詳細で不明瞭にしないために、ブロック図の形態で構成要素として示される場合もある。他の例では、実施形態を不明瞭にしないよう、周知のプロセス、構造、および技術は、不必要な詳細事項を伴わずに示されることがある。さらに、各種図面における同様の参照番号および名称は同様の要素を示す。また、個々の実施形態は、フローチャート、フロー図、データフロー図、構造図、またはブロック図として示されるプロセスとして説明される場合がある。フローチャートは動作を逐次プロセスとして説明することができるが、動作の多くは並列にまたは同時に実行することができる。さらに、動作の順序は入れ替え可能である。プロセスは、その動作が完了したときに終了されてもよいが、論じられていないかまたは図に含まれていない追加のステップを有する場合がある。さらに、具体的に記載されている何らかのプロセスにおけるすべての動作がすべての実施形態に起こり得る訳ではない。プロセスは、方法、関数、手順、サブルーチン、サブプログラムなどに対応し得る。プロセスが関数に対応する場合、関数の終了は、呼び出し関数または主関数に関数を戻すことに対応し得る。
さらに、開示された主題の実施形態は、少なくとも部分的に手動または自動のいずれかで実現することができる。手動または自動による実現は、マシン、ハードウェア、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語、またはそれらの任意の組み合わせの使用を通して行われてもよく、または少なくとも支援されてもよい。ソフトウェア、ファームウェア、ミドルウェア、またはマイクロコードで実現される場合、必要なタスクを実行するプログラムコードまたはコードセグメントは、マシン読取可能媒体に格納されてもよい。プロセッサは必要なタスクを実行できる。
さらに、本開示の実施形態および本明細書に記載の機能的動作は、デジタル電子回路において、有形で実装されるコンピュータソフトウェアもしくはファームウェアにおいて、本明細書に開示される構造およびそれらの構造的均等物を含むコンピュータハードウェアにおいて、または、それらのうちの1つ以上の組み合わせにおいて、実現することができる。さらに、本開示のいくつかの実施形態は、1つ以上のコンピュータプログラムとして、すなわちデータ処理装置が実行するためにまたはデータ処理装置の動作を制御するために、有形の非一時的なプログラムキャリア上に符号化されたコンピュータプログラム命令の1つ以上のモジュールとして、実現することができる。またさらに、プログラム命令は、人為的に生成された伝搬信号上に、たとえば、データ処理装置が実行するために適切な受信装置に送信される情報を符号化するために生成された、マシンによって生成された電気、光学、または電磁信号上に、符号化することができる。コンピュータ記憶媒体は、マシン読取可能なストレージデバイス、マシン読取可能なストレージ基板、ランダムもしくはシリアルアクセスメモリデバイス、またはそれらの1つ以上の組み合わせであってもよい。
本開示の実施形態に従うと、「データ処理装置」という用語は、例として、プログラム可能なプロセッサ、コンピュータ、または複数のプロセッサもしくはコンピュータを含む、データを処理するすべての種類の装置、デバイス、およびマシンを包含し得る。装置は、専用論理回路、たとえばFPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)を含み得る。この装置はまた、ハードウェアに加えて、当該コンピュータプログラムの実行環境を生成するコード、たとえば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、またはそれらの1つ以上の組み合わせを構成するコードを含み得る。
コンピュータプログラム(プログラム、ソフトウェア、ソフトウェアアプリケーション、モジュール、ソフトウェアモジュール、スクリプト、またはコードと呼ばれるまたはそういうものとして説明されることもある)は、コンパイルされたもしくは解釈された言語、または宣言的もしくは手続き型言語を含む任意の形態のプログラミング言語で記述することができ、スタンドアロンプログラムとして、またはモジュール、コンポーネント、サブルーチン、もしくはコンピューティング環境での使用に適した他のユニットとして、任意の形態でデプロイすることができる。コンピュータプログラムは、ファイルシステム内のファイルに対応し得るが、対応していなくてもよい。プログラムは、他のプログラムまたはデータを保持するファイルの一部に、たとえばマークアップ言語文書に格納された1つ以上のスクリプト、対象プログラム専用の単一ファイル、またはコーディネートした複数のファイル、たとえば1つ以上のモジュール、サブプログラム、またはコードの一部を格納するファイルに、格納することができる。コンピュータプログラムは、1つのコンピュータ上で、または1つの場所に位置するかもしくは複数の場所に分散され通信ネットワークで相互に接続された複数のコンピュータ上で実行されるようにデプロイすることができる。コンピュータプログラムの実行に適したコンピュータは、一例として、汎用マイクロプロセッサもしくは専用マイクロプロセッサもしくはその両方、または任意の他の種類の中央処理装置に基づいていてもよい。一般的に、中央処理装置は、読出専用メモリまたはランダムアクセスメモリまたはその両方から命令およびデータを受ける。コンピュータの必須要素は、命令を実施または実行するための中央処理装置と、命令およびデータを記憶するための1つ以上のメモリデバイスとである。一般的に、コンピュータはまた、データを記憶するための1つ以上の大容量記憶装置、たとえば、磁気、光磁気ディスク、もしくは光ディスクを含むか、または、それからデータを受けるかまたはそれにデータを転送するかまたはその両方を行うように、上記ディスクに作動的に結合される。しかしながら、コンピュータはそのようなデバイスを有していなくてもよい。さらに、コンピュータは、別のデバイスに埋め込むことができる、たとえば数例を挙げると、携帯電話、携帯情報端末(PDA)、モバイルオーディオもしくはビデオプレーヤ、ゲームコンソール、グローバルポジショニングシステム(GPS)受信機、または携帯型記憶装置、たとえばユニバーサルシリアルバス(USB)フラッシュドライブに、埋め込むことができる。
ユーザとのやり取りを提供するために、本明細書に記載の主題の実施形態を、ユーザに情報を表示するための表示装置、たとえばCRT(陰極線管)またはLCD(液晶ディスプレイ)モニタと、ユーザがコンピュータに入力を提供できるようにするキーボードおよびポインティングデバイス、たとえばマウスまたはトラックボールとを有する、コンピュータ上で実現されてもよい。他の種類のデバイスを用いてユーザとのやり取りを提供してもよい。たとえば、ユーザに提供されるフィードバックは、任意の形態の感覚フィードバック、たとえば、視覚フィードバック、聴覚フィードバック、または触覚フィードバックであってもよく、ユーザからの入力は、音響入力、音声入力、または触覚入力を含む任意の形態で受けることができる。加えて、コンピュータは、ユーザとのやり取りを、ユーザが使用するデバイスに文書を送信し当該デバイスから文書を受信することによって、たとえばユーザのクライアントデバイス上のウェブブラウザに、ウェブブラウザから受信した要求に応じてウェブページを送信することによって、実現することができる。
本明細書に記載の主題の実施形態は、たとえばデータサーバとしてバックエンドコンポーネントを含む、または、ミドルウェアコンポーネント、たとえばアプリケーションサーバを含む、または、フロントエンドコンポーネント、たとえば本明細書に記載の主題の実装形態とユーザがやり取りできるようにするグラフィカルユーザインターフェイスもしくはウェブブラウザを有するクライアントコンピュータを含む、または、そのようなバックエンド、ミドルウェア、もしくはフロントエンドコンポーネントの1つ以上の任意の組み合わせを含む、コンピューティングシステムにおいて実現することができる。システムの構成要素は、デジタルデータ通信の任意の形態または媒体、たとえば通信ネットワークにより、相互に接続することができる。通信ネットワークの例は、ローカルエリアネットワーク(「LAN」)およびワイドエリアネットワーク(「WAN」)、たとえばインターネットを含む。
コンピューティングシステムは、クライアントおよびサーバを含み得る。クライアントおよびサーバは、一般的には互いに離れており、典型的には通信ネットワークを通してやり取りする。クライアントとサーバの関係は、各コンピュータ上で実行されクライアントとサーバの相互の関係を有するコンピュータプログラムから発生する。
本開示をいくつかの好ましい実施形態を用いて説明してきたが、その他さまざまな適合化および修正を本開示の精神および範囲の中で実施できることが理解されねばならない。したがって、本開示の真の精神および範囲に含まれるこのような変形および修正形をすべてカバーすることが以下の請求項の意図である。

Claims (16)

  1. 送信者から受信者への着信電子通信における異常を検出するためのコンピュータシステムであって、前記コンピュータシステムは、
    前記送信者と前記受信者との間の訓練された関連性モデルを規定する人間関係構造と、前記着信電子通信とを受け付けるように構成された、入力インターフェイスと、
    1つ以上のニューラルネットワークを格納するように構成されたメモリとを備え、
    前記入力インターフェイスは、電子通信の、テキストから、または、ヘッダおよび電子メールの署名ブロックのつながりを明示するメタデータから、またはつながりの蓋然性を示唆するテキストから、つながりと所属リンクを抽出することにより、前記人間関係構造を受け付け、
    前記1つ以上のニューラルネットワークは、前記着信電子通信における異常を検出し前記異常をタイプによって分類するように訓練され、前記異常は、前記着信電子通信の内容と、前記送信者と前記受信者との間の前記訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類され、前記コンピュータシステムはさらに、
    プロセッサを備え、前記プロセッサは、
    前記送信者と前記受信者との間の更新された関連性モデルを、送信者および受信者の組織表示に基づき、前記着信電子通信の前記内容を用いて計算し、
    前記1つ以上のニューラルネットワークを、前記着信電子通信と、前記更新された関連性モデルとを前記1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、前記少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にし、
    前記1つの一連の防御措置が、前記送信者と前記受信者との間の相関関係の量を示すしきい値を上回る場合に、前記1つの一連の防御措置を実行することにより、前記着信電子通信を前記受信者に配信する
    ように、構成される、コンピュータシステム。
  2. 受信された前記着信電子通信は、分類されたテキストになるように処理され、前記異常を検出するために深層学習アルゴリズムを含む前記ニューラルネットワークで使用され、
    前記プロセッサは、
    検出された前記相関関係に基づいた通信分類を有する前記訓練された関連性モデルに対応するテキストデータに対する訓練データセットを作成し、前記訓練データセットを用いて前記深層学習アルゴリズムを訓練し、
    組織に関連する電子通信を抽出し、前記深層学習アルゴリズムを前記電子通信に適用することにより、前記検出された異常を特定および報告し、
    前記検出された異常が真陽性か偽陽性かを判断し、
    前記検出された異常が、敵対的意図を示す前記真陽性の場合は、前記電子通信を真陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、または、
    前記検出された異常が、異常なしが検出されたことを示す前記偽陽性の場合は、前記電子通信を偽陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、
    異常なしが検出されたことを示す前記偽陽性が検出され前記検出された異常が配信可能なものとして特定された場合は、前記着信電子通信を前記受信者に配信する、
    ように、構成される、請求項1に記載のコンピュータシステム。
  3. 各深層学習アルゴリズムは、前記訓練された関連性モデルの、異なる関係ベースの通信分類器を用いて、前記関係ベースの通信分類器が、アイデンティレベル分類において検出される類似性またはメッセージレベル分類において検出される類似性を含むように、訓練され、
    深層学習アルゴリズムが、アイデンティティレベル分類において検出される前記類似性に関連付けられ、前記送信者と前記受信者との間のアイデンティティレベル訓練において検出された以前の類似性に関連付けられる、以前の関係ベースの通信分類データを用いて訓練され、
    別の深層学習アルゴリズムが、メッセージレベル分類において検出される前記類似性に関連付けられ、前記送信者と前記受信者との間のメッセージレベルにおいて検出された以前の類似性に関連付けられる以前の関係ベースの通信分類データを用いて訓練される、請求項2に記載のコンピュータシステム。
  4. 前記アイデンティティレベルにおいて検出された前記類似性は、職務階層を含む組織構造内における類似性の、前記送信者と前記受信者との間の類似性に関連付けられるテキストの表示に基づく、請求項3に記載のコンピュータシステム。
  5. 前記職務階層は、
    (a)添付された添付物と組み合わされる従業員の幹部肩書、および前記組織内の従業員がアクセス可能なデータの名称、
    (c)パスワードまたは個人データの更新と組み合わされる、技術サポートグループを含む、前記組織内の1つ以上のグループ名称、
    (d)機密安全組織情報の1つ以上の名称と組み合わされる、前記組織の1つ以上の関連企業、
    (e)前記組織の機密情報の1つ以上のリンクおよび名称と組み合わされる人的資源、
    に関連付けられるテキストを含む、請求項4に記載のコンピュータシステム。
  6. 前記メッセージレベルにおいて検出された前記類似性は、
    (a)組織技術、
    (b)前の肩書、組織委員会名称、組織グループ名称、組織タスクフォース名称、特別プロジェクト名称のうちの1つを含む従業員プロフィール、
    (c)従業員プロフィールと組み合わされる、前記受信者と同一の姓を有する送信者を含む、従業員の推測される関係、
    内の類似性の、前記送信者と受信者との間の類似性に関連付けられるテキストの表示に基
    づく、請求項3に記載のコンピュータシステム。
  7. 前記ニューラルネットワークは、1つ以上の深層学習アルゴリズムを含み、前記1つ以上の深層学習アルゴリズムは、前記異常の検出に関連付けられる敵対的要求についてのモデルのソースとなる、関係ベースの通信分類データを用いて、前記訓練された関連性モデルにより、訓練される、請求項1に記載のコンピュータシステム。
  8. 前記訓練された関連性モデルは、事業の組織内の人物および組織下位単位の関係を含むグラフまたはデータベースにおいて符号化された人間関係構造を処理することによって生成される、請求項1に記載のコンピュータシステム。
  9. 送信者から受信者への着信電子通信における異常を検出するための方法であって、前記方法は、
    前記送信者と前記受信者との間の訓練された関連性モデルを規定する人間関係構造と、前記着信電子通信とを受信するステップと、
    1つ以上のニューラルネットワークを含む格納されたデータを有するメモリにアクセスするステップとを含み、前記1つ以上のニューラルネットワークは、前記着信電子通信における異常を検出し前記異常をタイプによって分類するように訓練され、前記異常は、前記着信電子通信の内容と、前記送信者と前記受信者との間の前記訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類され、前記方法はさらに、
    前記送信者と前記受信者との間の更新された関連性モデルを、送信者および受信者の組織表示に基づき、前記着信電子通信の前記内容を用いて計算するステップと、
    前記1つ以上のニューラルネットワークを、前記着信電子通信と、前記更新された関連性モデルとを前記1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、前記少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にするステップと、
    前記1つの一連の防御措置が、前記送信者と前記受信者との間の相関関係の量を示すしきい値を上回る場合に、前記1つの一連の防御措置を実行することにより、前記着信電子通信を前記受信者に配信するステップとを含む、方法。
  10. 受信した前記着信電子通信は、分類されたテキストになるように処理され、前記異常を検出するために深層学習アルゴリズムを含む前記ニューラルネットワークで使用され、プロセッサは、
    検出された前記相関関係に基づいた通信分類の前記訓練された関連性モデルに対応するテキストデータに対する訓練データセットを作成し、前記訓練データセットを用いて前記深層学習アルゴリズムを訓練し、
    組織に関連する電子通信を抽出し、前記学習アルゴリズムを前記電子通信に適用することにより、前記検出された異常を特定および報告し、
    前記検出された異常が真陽性か偽陽性かを判断し、
    前記検出された異常が、敵対的意図を示す前記真陽性の場合は、前記電子通信を真陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、または、
    前記検出された異常が、異常なしが検出されたことを示す前記偽陽性の場合は、前記電子通信を偽陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、
    異常なしが検出されたことを示す前記偽陽性が検出された場合は、前記着信電子通信を前記受信者に配信する
    ように、構成される、請求項9に記載の方法。
  11. 各深層学習アルゴリズムは、前記訓練された関連性モデルの、異なる関係ベースの通信
    分類器を用いて、前記関係ベースの通信分類器が、アイデンティレベル分類において検出される類似性またはメッセージレベル分類において検出される類似性を含むように、訓練され、
    深層学習アルゴリズムが、アイデンティティレベル分類において検出される前記類似性に関連付けられ、前記送信者と前記受信者との間のアイデンティティレベル訓練において検出された以前の類似性に関連付けられる、以前の関係ベースの通信分類データを用いて訓練され、
    別の深層学習アルゴリズムが、メッセージレベル分類において検出される前記類似性に関連付けられ、前記送信者と前記受信者との間のメッセージレベルにおいて検出された以前の類似性に関連付けられる以前の関係ベースの通信分類データを用いて訓練される、請求項10に記載の方法。
  12. 前記着信電子通信をインデックスするステップと、
    前記深層学習アルゴリズムのうちの各深層学習アルゴリズムを介して、前記インデックスしたデータを、前記インデックスしたデータの前記送信者と前記受信者との間の前記訓練された関連性モデルの前記相関関係に基づいた通信分類に関連付けられる、前記深層学習アルゴリズムを用いて、精度についてスコアリングするステップとをさらに含み、前記検出された異常は前記スコアと関連データとを含み、前記関連データは、予め定められた異常スコアしきい値を上回るスコアに基づいて検出異常データベースに格納されている、
    請求項10に記載の方法。
  13. 送信者から受信者への着信通信における異常を検出するための方法を実行するためにプロセッサが実行可能なプログラムが実装された非一時的なコンピュータ読取可能記憶媒体であって、前記方法は、
    前記送信者と前記受信者との間の訓練された関連性モデルを規定する関係構造と、前記着信通信とを受信するステップと、
    1つ以上のニューラルネットワークを含む格納されたデータを有するメモリにアクセスするステップとを含み、前記1つ以上のニューラルネットワークは、前記着信通信における異常を検出し前記異常をタイプによって分類するように訓練され、前記異常は、前記着信通信の内容と、前記訓練された関連性モデルとの間の、対応関係に従い、検出された異常の各タイプが防御措置のセットと関連付けられるように、分類され、前記方法はさらに、
    更新された関連性モデルを、送信者および受信者の組織表示に基づき、前記着信通信の前記内容を用いて計算するステップと、
    前記1つ以上のニューラルネットワークを、前記着信通信と、前記更新された関連性モデルとを前記1つ以上のニューラルネットワークに与えて実行することにより、少なくとも1つの異常検出の結果および異常分類タイプを生成し、次に、前記少なくとも1つの異常検出に関連付けられる防御措置のセットを組み合わせて1つの一連の防御措置にするステップと、
    前記1つの一連の防御措置が、前記送信者と前記受信者との間の相関関係の量を示すしきい値を上回る場合に、前記1つの一連の防御措置を実行することにより、前記着信通信を前記受信者に配信するステップとを含む、非一時的なコンピュータ読取可能記憶媒体。
  14. 前記訓練された関連性モデルは、事業の組織内の人物および組織下位単位の関係を含むグラフまたはデータベースにおいて符号化された関係構造を処理することによって生成される、請求項13に記載の非一時的なコンピュータ読取可能媒体。
  15. 受信された前記着信通信は、分類されたテキストになるように処理され、前記異常を検出するために深層学習アルゴリズムを含む前記ニューラルネットワークで使用され、前記プロセッサは、
    検出された前記相関関係に基づいた通信分類の前記訓練された関連性モデルに対応するテキストデータに対する訓練データセットを作成し、前記訓練データセットを用いて前記深層学習アルゴリズムを訓練し、
    組織に関連する電子通信を抽出し、前記深層学習アルゴリズムを前記通信に適用することにより、前記検出された異常を特定および報告し、
    前記検出された異常が真陽性か偽陽性かを判断し、
    前記検出された異常が、敵対的意図を示す前記真陽性の場合は、前記電子通信を真陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、または、
    前記検出された異常が、異常なしが検出されたことを示す前記偽陽性の場合は、前記電子通信を偽陽性データベースに保存し、前記深層学習アルゴリズムを再訓練し、
    異常なしが検出されたことを示す前記偽陽性が検出された場合は、前記着信通信を前記受信者に配信する
    ように、構成される、請求項13に記載の非一時的なコンピュータ読取可能媒体。
  16. 前記ニューラルネットワークは深層学習アルゴリズムを含み、各深層学習アルゴリズムは、前記送信者と前記受信者との間の関係ベースの通信分類を有する前記訓練された関連性モデルに関連付けられた1つ以上のデータセットで、訓練され、前記訓練された関連性モデルは、アイデンティティレベル分類における類似性とメッセージレベルにおける類似性とを含む、請求項15に記載の非一時的なコンピュータ読取可能媒体。
JP2022578015A 2020-04-03 2021-02-19 電子メール分類のために人間関係構造を使用するシステムおよび方法 Active JP7466711B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/839,129 2020-04-03
US16/839,129 US11651222B2 (en) 2020-04-03 2020-04-03 System and method for using human relationship structures for email classification
PCT/JP2021/007590 WO2021199821A1 (en) 2020-04-03 2021-02-19 System and method for using human relationship structures for email classification

Publications (2)

Publication Number Publication Date
JP2023515910A JP2023515910A (ja) 2023-04-14
JP7466711B2 true JP7466711B2 (ja) 2024-04-12

Family

ID=75173411

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2022578015A Active JP7466711B2 (ja) 2020-04-03 2021-02-19 電子メール分類のために人間関係構造を使用するシステムおよび方法

Country Status (3)

Country Link
US (1) US11651222B2 (ja)
JP (1) JP7466711B2 (ja)
WO (1) WO2021199821A1 (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11605100B1 (en) 2017-12-22 2023-03-14 Salesloft, Inc. Methods and systems for determining cadences
US20220067778A1 (en) * 2020-08-31 2022-03-03 Zeta Global Corp. System of determining advertising incremental lift
US20220327947A1 (en) * 2021-04-13 2022-10-13 D2L Corporation Systems and methods for automatically revising feedback in electronic learning systems
US20230046392A1 (en) * 2021-08-13 2023-02-16 Sap Se Computer system attack detection
US11586878B1 (en) * 2021-12-10 2023-02-21 Salesloft, Inc. Methods and systems for cascading model architecture for providing information on reply emails
CN114401160B (zh) * 2022-01-19 2022-12-02 腾讯科技(深圳)有限公司 数据处理方法、装置、服务器、终端及存储介质
CN116452165A (zh) * 2023-03-22 2023-07-18 北京游娱网络科技有限公司 一种人才信息推荐方法、服务系统及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004049193A1 (ja) 2002-11-28 2004-06-10 Matsushita Electric Industrial Co.,Ltd. 電子メール作成支援のための装置、プログラムおよび方法
US20180097836A1 (en) 2016-10-03 2018-04-05 Telepathy Labs, Inc. System and method for enterprise authorization for social partitions
JP2019145107A (ja) 2018-02-20 2019-08-29 ダークトレース リミテッドDarktrace Limited 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7359676B2 (en) 2003-04-21 2008-04-15 Airdefense, Inc. Systems and methods for adaptively scanning for wireless communications
US9177293B1 (en) * 2006-07-21 2015-11-03 Cousins Intellectual Properties Llc Spam filtering system and method
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10425444B2 (en) * 2017-06-07 2019-09-24 Bae Systems Applied Intelligence Us Corp. Social engineering attack prevention
US11824870B2 (en) * 2018-12-19 2023-11-21 Abnormal Security Corporation Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11258811B2 (en) * 2019-03-25 2022-02-22 Saudi Arabian Oil Company Email attack detection and forensics

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004049193A1 (ja) 2002-11-28 2004-06-10 Matsushita Electric Industrial Co.,Ltd. 電子メール作成支援のための装置、プログラムおよび方法
US20180097836A1 (en) 2016-10-03 2018-04-05 Telepathy Labs, Inc. System and method for enterprise authorization for social partitions
JP2019145107A (ja) 2018-02-20 2019-08-29 ダークトレース リミテッドDarktrace Limited 機械学習モデルを用いてeメールネットワークを保護するサイバー脅威防御システム

Also Published As

Publication number Publication date
WO2021199821A1 (en) 2021-10-07
US11651222B2 (en) 2023-05-16
JP2023515910A (ja) 2023-04-14
US20210312395A1 (en) 2021-10-07

Similar Documents

Publication Publication Date Title
JP7466711B2 (ja) 電子メール分類のために人間関係構造を使用するシステムおよび方法
US11403400B2 (en) Troll account detection
Ho et al. Detecting and characterizing lateral phishing at scale
US10027701B1 (en) Method and system for reducing reporting of non-malicious electronic messages in a cybersecurity system
US11256812B2 (en) End user social network protection portal
US11134097B2 (en) Automated social account removal
US10425444B2 (en) Social engineering attack prevention
US11418527B2 (en) Malicious social media account identification
US9674214B2 (en) Social network profile data removal
US9774626B1 (en) Method and system for assessing and classifying reported potentially malicious messages in a cybersecurity system
US9674212B2 (en) Social network data removal
US9027134B2 (en) Social threat scoring
Ramanathan et al. Phishing detection and impersonated entity discovery using Conditional Random Field and Latent Dirichlet Allocation
US20140337973A1 (en) Social risk management
US11394722B2 (en) Social media rule engine
US20190014148A1 (en) Methods for automated social phishing
US11165801B2 (en) Social threat correlation
US11563757B2 (en) System and method for email account takeover detection and remediation utilizing AI models
US10868824B2 (en) Organizational social threat reporting
US20210075824A1 (en) System and method for email account takeover detection and remediation utilizing anonymized datasets
US20190036937A1 (en) Social network page protection
Vorobeva et al. Detection of business email compromise attacks with writing style analysis
Arya et al. Multi layer detection framework for spear-phishing attacks
Kotenko Detection of Business Email Compromise Attacks with Writing Style Analysis
Rahim et al. A survey on anti-phishing techniques: From conventional methods to machine learning

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20220825

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220825

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230830

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230912

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231003

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20231212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231227

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240305

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240402

R150 Certificate of patent or registration of utility model

Ref document number: 7466711

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150