JPWO2018216100A1 - 行動分析システム、行動分析方法及び記録媒体 - Google Patents
行動分析システム、行動分析方法及び記録媒体 Download PDFInfo
- Publication number
- JPWO2018216100A1 JPWO2018216100A1 JP2019519840A JP2019519840A JPWO2018216100A1 JP WO2018216100 A1 JPWO2018216100 A1 JP WO2018216100A1 JP 2019519840 A JP2019519840 A JP 2019519840A JP 2019519840 A JP2019519840 A JP 2019519840A JP WO2018216100 A1 JPWO2018216100 A1 JP WO2018216100A1
- Authority
- JP
- Japan
- Prior art keywords
- behavior
- analysis
- data group
- behavior data
- parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Medical Informatics (AREA)
- Computational Linguistics (AREA)
- Quality & Reliability (AREA)
- Computer Hardware Design (AREA)
- Debugging And Monitoring (AREA)
Abstract
複数の行動データを含む行動データ群を分析対象ごとに生成する生成部と、前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換する変換部と、前記複数の分析対象の変換後の前記行動データ群を用いて分析を行う分析部と、を備えることを特徴とする行動分析システムが提供される。
Description
本発明は、行動分析システム、行動分析方法及び記録媒体に関する。
ユーザ又は装置の行動を示す複数のデータのパターンから特徴を検出することにより、異常検出等を行う技術が知られている。特許文献1には、携帯端末等を操作するユーザの操作から特徴の検出を行うデータ処理装置が記載されている。
特許文献1のデータ処理装置は、系列取得部と、断片化部と、パターン抽出部と、生成部とを備える。系列取得部は、複数のデータが配列されたデータ系列を取得する。断片化部は、データ系列を断片化して、複数の部分データ系列を得る。パターン抽出部は、複数の部分データ系列の少なくとも1つに出現する1以上のデータのパターンを複数抽出する。生成部は、複数の部分データ系列のそれぞれについて、複数のパターンのそれぞれを含むか否かに応じて異なる要素値を有する特徴ベクトルを生成する。これにより、発生時刻が時間的に不規則な現象を示す時系列のデータから、特徴ベクトルを生成して特徴を検出できる。
しかしながら、特許文献1に記載の技術において、複数のユーザ又は装置の行動に共通して現れる特徴を検出しようとした場合に、データに含まれるパラメタの種類によってはモデル化を適切に行うことが難しい場合がある。
本発明は、上述の問題に鑑みて行われたものであって、複数のユーザ又は装置の行動に共通して現れる特徴を検出する際に、より適切にモデル化を行うことができる行動分析システム、行動分析方法及び記録媒体を提供することを目的とする。
本発明の1つの観点によれば、複数の行動データを含む行動データ群を分析対象ごとに生成する生成部と、前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換する変換部と、前記複数の分析対象の変換後の前記行動データ群を用いて分析を行う分析部と、を備えることを特徴とする行動分析システムが提供される。
本発明によれば、複数のユーザ又は装置の行動に共通して現れる特徴を検出する際に、より適切にモデル化を行うことができる行動分析システム、行動分析方法及び記録媒体を提供することができる。
以下、図面を参照して、本発明の実施形態を説明する。なお、以下で説明する図面において、同一の機能又は対応する機能を有する要素には同一の符号を付し、その繰り返しの説明は省略することもある。
[第1実施形態]
本発明の第1実施形態による行動分析システム及び行動分析方法について図1乃至図6を用いて説明する。
本発明の第1実施形態による行動分析システム及び行動分析方法について図1乃至図6を用いて説明する。
まず、本実施形態による行動分析システム及び行動分析の対象である対象システムを含む概略構成について図1を用いて説明する。図1は、本実施形態に係る行動分析システム及び対象システムを示す概略図である。
図1に示すように、本実施形態に係る行動分析システム1には、行動分析システム1による処理の対象となるログを生成して出力する1つ又は複数の対象システム2がネットワーク3を介して通信可能に接続されている。ネットワーク3は、例えば、LAN(Local Area Network)、WAN(Wide Area Network)であるが、その種別が限定されるものではない。また、ネットワーク3は、有線のネットワークであってもよいし、無線のネットワークであってもよい。
対象システム2は、特定のシステムに限定されるものではないが、例えばIT(Information Technology)システムである。ITシステムは、サーバ、クライアント端末、ネットワーク機器その他の情報機器等の機器、及び当該機器上で動作するシステム・ソフトウェア、アプリケーション・ソフトウェア等のソフトウェアにより構成される。対象システム2は、稼働中の装置の行動、対象システム2を利用するユーザの行動、対象システム2により取得された人の行動等の行動を記録したログ(行動履歴)を生成する。対象システム2により生成されたログは、本実施形態による行動分析システム1に入力されて処理される。なお、行動分析システム1の分析対象である装置、ユーザ等は、複数であり得る。この場合、ログは、分析対象ごとに生成される。
本実施形態による行動分析システム1には、対象システム2において生成されたログがネットワーク3を介して入力されるようになっている。対象システム2から行動分析システム1にログを入力する態様は、特に限定されるものではなく、対象システム2の構成等に応じて適宜選択することができる。
例えば、対象システム2における通知エージェントが、対象システム2において生成されたログを行動分析システム1に送信することにより、行動分析システム1にログを入力することができる。ログを送信するプロトコルは、特に限定されるものではなく、ログを生成するシステムの構成等に応じて適宜選択することができる。例えば、プロトコルとして、syslogプロトコル、FTP(File Transfer Protocol)、FTPS(File Transfer Protocol over TLS(Transport Layer Security)/SSL(Secure Sockets Layer))、SFTP(SSH(Secure Shell) File Transfer Protocol)を用いることができる。また、対象システム2が、生成したログを行動分析システム1と共有することにより、行動分析システム1にログを入力することができる。ログを共有するためのファイル共有の手法は、特に限定されるものではなく、ログを生成するシステムの構成等に応じて適宜選択することができる。例えば、SMB(Server Message Block)又はこれを拡張したCIFS(Common Internet File System)によるファイル共有を用いることができる。
なお、本実施形態による行動分析システム1は、必ずしも対象システム2とネットワーク3を介して通信可能に接続されている必要はない。例えば、行動分析システム1は、対象システム2からログを収集するログ収集システム(不図示)とネットワーク3を介して通信可能に接続されていてもよい。この場合、対象システム2で生成されたログは、一旦、ログ収集システムにより収集され、ログ収集システムからネットワーク3を介して行動分析システム1に入力される。また、本実施形態による行動分析システム1は、対象システム2で生成されたログを記録した記録媒体からログを取得することもできる。この場合、対象システム2は、ネットワークを介して行動分析システム1に接続されている必要はない。
以下、本実施形態による行動分析システム1の具体的構成について更に図2乃至図6を用いて説明する。図2は、本実施形態に係る行動分析システムの機能構成を示すブロック図である。図3は、本実施形態に係るログの一例を示す表である。図4は、本実施形態に係る行動分析システムを用いた行動分析方法を示すフローチャートである。図5は、実施形態に係るパラメタの変換を説明する表である。図6は、本実施形態に係る行動分析システムのハードウェア構成の一例を示すブロック図である。
図2に示すように、本実施形態による行動分析システム1は、処理部10、記憶部20及び表示部30を有している。
処理部10は、対象システム2における行動を分析するための各種の処理を実行する。処理部10は、ログ取得部102、シーケンス生成部104、データ数取得部106、パラメタ変換部108、変換位置取得部110、出現頻度算出部112及び出力部114を有している。
記憶部20は、対象システム2で生成されたログを記憶するログ記憶部202を有している。記憶部20は、例えば、後述する記憶装置により構成される。対象システム2で生成されたログは、定期若しくは不定期に又はリアルタイムに記憶部20に入力され、ログ記憶部202に記憶される。ここで、対象システム2が複数個ある場合には、ログ記憶部202は、対象システム2ごとにログを記憶することができる。
表示部30は、処理部10により出力される処理の結果を表示する装置である。表示部30は、ディスプレイ、プリンタ等の出力装置により構成される。なお、表示部30への表示に代えて行動分析システム1の外部の装置に処理結果のデータを送信する構成であってもよい。データを受信した当該他の装置は、必要に応じて当該データを用いた処理を行ってもよく、当該データの表示を行ってもよい。また、行動分析システム1は、処理結果を記憶部20に記憶しておき、他の装置からの要求に応じて処理結果を他の装置に送信する構成であってもよい。
本実施形態に係る行動分析システム1による処理の対象となるログは、対象システム2又はこれに含まれる構成要素により定期又は不定期に生成されて出力されたものである。ログは、稼働中の状況等の装置の行動、対象システム2を利用するユーザの行動、対象システム2により取得された人の行動等が記録されたものである。また、ログは、これらの他に、生成された時刻を示すタイムスタンプ、そのログを生成した構成要素のIP(Internet Protocol)アドレス、そのログを生成した構成要素の名称等の他の情報を更に含むことができる。また、ログは、例えば、一行又は複数行のテキストデータであり、情報の単位として1以上のフィールドを含むことができる。複数のフィールドは、セパレータ又はデリミタにより区切られていてもよいし、区切られずに連続するものであってもよい。連続するフィールドは、単語、形態素、文字種等により分離することができる。
本実施形態が適用され得るログの一例である、あるユーザのメール送信履歴について図3を参照して説明する。図3には、あるユーザが、2017年1月13日から2017年1月18日までの間に8件のメール送信を行ったことを示すログが表形式で示されている。図3に示されるように、メール送信履歴は、メールの送信が行われた日時、メールを送信した宛先及び添付ファイルの有無をパラメタとして含む。図3では、これらのパラメタを1列目から3列目に分けて表示している。また、図3の各行は1つの行動データ、すなわち1回のメール送信に対応する。したがって、図3では、8件分のメール送信履歴が8行に分けて表示されている。
なお、図3に示すメール送信履歴は、例示であり、これら以外のパラメタを更に含んでもよい。また、図3は理解を容易にするために表形式で図示されているが、これに限定されるものではなく、メール送信履歴は、上述のように区切られずに連続したテキストデータ等のデータ形式で記憶されていてもよい。図3では複数のユーザのうちの1つのユーザのメール送信履歴のみが例示されているが、他のユーザについても同様のメール送信履歴が記憶されているものとする。
本実施形態に係る行動分析システム1は、ログを処理することにより分析対象の行動分析を行うものである。以下、処理部10に含まれる各部の動作について図4のフローチャートに沿って詳述する。なお、以下の説明では、上述のメール送信履歴に対する行動分析を例として説明するが、本発明はこれに限定されるものではない。
ログ取得部102は、シーケンス生成部104からの指示に従い、シーケンス生成部104での処理に供するため、ログ記憶部202に記憶されたログを取得する。
データ数取得部106は、シーケンス生成部104で生成する行動シーケンスのデータの個数の設定値を取得する(ステップS11)。データの個数の値は、他の装置、操作者等により外部から入力されてもよく、記憶部20等に記憶されている値を読み出すことで取得してもよい。このデータの個数は行動分析の対象とする行動の個数であり、図3のメール送信履歴の例では、分析対象とするメール送信件数(図3の表の行数)を決定することに相当する。以下の説明では、データ数取得部106が取得したデータの個数はL個とする。
シーケンス生成部104は、ログ取得部102を介して、データ数取得部106で取得したデータの個数であるL個の行動データをログ記憶部202に記憶されたログから取得する。そして、シーケンス生成部104は、L個の行動データを含む行動シーケンスをユーザごとに生成する(ステップS12)。
行動シーケンスの生成について図3のメール送信履歴の例を用いてより具体的に説明する。ここではLの値は3であり、図3のメール送信履歴のうち、送信日時に基づいて選択された直近の3個メール送信のパラメタである「宛先」及び「添付ファイルの有無」が取得されるものとする。このとき、生成される行動シーケンスは、「yyy@efgh.com 有,nnn@lmn.com 無,xxx@abcd.com 有」となる。行動シーケンス内のカンマで区切られた一群のデータのそれぞれが1つの行動データを示しており、1つの行動データに含まれるパラメタ(本例では宛先と添付ファイルの有無)がスペースで区切られて表示されている。
なお、行動シーケンスの生成に用いるデータの個数は本例では直近のL個であり、行動シーケンスは固定長であるため、各ユーザに対して同一の長さの行動シーケンスが生成される。しかしながら、行動シーケンスは可変長であってもよい。例えば、処理部10にデータ数取得部106に代えて対象とするデータ取得期間を取得する期間取得部を設け、所定期間内の行動データを取得するように構成してもよい。所定期間内のメール送信数はユーザによって異なるのが通常であるため、この場合、ユーザごとに異なる長さの行動シーケンスが生成され得る。
変換位置取得部110は、パラメタ変換部108での変換対象とするパラメタの位置の設定を取得する(ステップS13)。パラメタの位置の設定は、他の装置、操作者等により外部から入力されてもよく、記憶部20等に記憶されている値を読み出すことで取得してもよい。ここで、変換対象とするパラメタは、分析対象に依存する特有の要素を含むパラメタである。例えば、図3のメール送信履歴の例では、2列目の「宛先」がユーザに依存する特有のパラメタである。どの宛先にメールを送信するかは、メール送信を行うユーザによって大きく異なるものであり、ユーザに依存する特有のパラメタであるといえる。本例では、変換対象とするパラメタの位置として「2列目」を設定する。なお、パラメタの位置の設定は列以外の要素によるものであってもよく、例えば、ログの各パラメタにID(Identification)、番号等が付されていればこれらを用いて設定してもよい。
パラメタ変換部108は、行動シーケンスに含まれるパラメタのうち、変換位置取得部110により取得された位置のパラメタを所定の規則によりユーザに依存しないようなパラメタに変換する(ステップS14)。この所定の規則は、例えば、過去に同様の行動が行われたことがあるか否かという規則であり得る。
行動シーケンスの変換について図3のメール送信履歴の例を用いてより具体的に説明する。ここでは、過去に同様の行動が行われたことがあるか、すなわち、同じ宛先にメールを送信した実績があるか否かに基づいて「宛先」を変換する例を説明する。図5は、パラメタの変換を説明する表である。図5は、図3に宛先実績の有無を追加した表である。一例として、6行目に記載された2017年1月17日15時21分50秒のyyy@efgh.comへのメール送信に着目する。これについては、2行目の2017年1月13日15時1分48秒に同じ宛先(yyy@efgh.com)への送信が行われた履歴があることから宛先実績は「有」となる。
行動シーケンスの「宛先」のパラメタをユーザに依存しない「宛先実績」のパラメタに置き換えることにより、行動シーケンスの変換が行われる。具体的には、上述の「yyy@efgh.com 有,nnn@lmn.com 無,xxx@abcd.com 有」という行動シーケンスは、「有 有,無 無,有 有」に変換される。変換後の行動シーケンスは、宛先のメールアドレスのようなユーザに依存するパラメタを含まないため、複数のユーザに共通のパラメタとして扱うことができる。
出現頻度算出部112は、ユーザごとに生成された変換後の行動シーケンスに含まれるパラメタのパターンごとに出現頻度を算出して、出現頻度のリストを生成する(ステップS15)。例えば、変換後の行動シーケンスが「有 有,無 無,有 有」というパターンであるユーザが120人いた場合、「(有 有,無 無,有 有),120」が出現頻度のリストの一要素となる。
出力部114は、変換後の行動シーケンス及び出現頻度のリストを行動分析により得られた行動モデルとして表示部30に出力する。
出力された出現頻度のリストを参照したとき、仮に1000人のユーザのうち、変換後の行動シーケンスのパターンが「無 有,有 無,無 有」であるユーザが1人のみであった場合、このユーザは、他のユーザとは異なる異常な行動(メール送信)を行っているといえる。また、行動シーケンスに対応するユーザを参照することにより、異常な行動を行っているユーザを特定することができる。
上述した行動分析システム1は、例えばコンピュータ装置により構成される。行動分析システム1のハードウェア構成の一例について図6を用いて説明する。なお、行動分析システム1は、単一の装置により構成されていてもよいし、有線又は無線で接続された2つ以上の物理的に分離された装置により構成されていてもよい。
行動分析システム1は、図6に示すように、CPU(Central Processing Unit)1002と、ROM(Read Only Memory)1004と、RAM(Random Access Memory)1006と、HDD(Hard Disk Drive)1008とを有している。また、行動分析システム1は、通信インターフェース(I/F(Interface))1010を有している。また、行動分析システム1は、ディスプレイコントローラ1012と、ディスプレイ1014とを有している。更に、行動分析システム1は、入力装置1016を有している。CPU1002、ROM1004、RAM1006、HDD1008、及び通信I/F1010、ディスプレイコントローラ1012、及び入力装置1016は、共通のバスライン1018に接続されている。
CPU1002は、行動分析システム1の全体の動作を制御する。また、CPU1002は、処理部10におけるログ取得部102、シーケンス生成部104、データ数取得部106、パラメタ変換部108、変換位置取得部110、出現頻度算出部112及び出力部114の各部の機能を実現するプログラムを実行する。CPU1002は、HDD1008等に記憶されたプログラムをRAM1006にロードして実行することにより、処理部10における各部の機能を実現する。
ROM1004は、ブートプログラム等のプログラムが記憶されている。RAM1006は、CPU1002がプログラムを実行する際のワーキングエリアとして使用される。また、HDD1008には、CPU1002が実行するプログラムが記憶されている。
また、HDD1008は、記憶部20におけるログ記憶部202の機能を実現する記憶装置である。なお、ログ記憶部202の機能を実現する記憶装置は、不揮発性であればHDD1008に限定されるものではなく、例えばフラッシュメモリ等であってもよい。
通信I/F1010は、ネットワーク3に接続された対象システム2との間のデータの通信を制御する。通信I/F1010は、CPU1002とともに処理部10におけるログ取得部102の機能を実現する。
ディスプレイコントローラ1012には、表示部30として機能するディスプレイ1014が接続されている。ディスプレイコントローラ1012は、CPU1002とともに出力部114として機能し、出力されたデータに基づく画像をディスプレイ1014に表示させる。
入力装置1016は、例えば、キーボード、マウス等のヒューマンインターフェースである。また、入力装置1016は、ディスプレイ1014に組み込まれたタッチパネルであってもよい。行動分析システム1の操作者は、入力装置1016を介して、行動分析システム1の設定の入力、処理の実行指示の入力等を行うことができる。
なお、行動分析システム1のハードウェア構成は、上述した構成に限定されるものではなく、種々の構成とすることができる。
本実施形態の効果について説明する。複数のユーザ、装置といった分析対象の行動に共通して現れる特徴を検出する際に、行動データに分析対象に依存するパラメタが含まれているとモデル化を適切に行うことができない場合がある。例えば、共通性がある複数の行動であっても分析対象に依存して外見上異なる行動を行っているように見える場合に、その共通性を把握できないことがあり得る。
例えば、ユーザAが宛先Xに繰り返し添付ファイル付きのメールを送信する行動と、ユーザBが宛先Yに繰り返し添付ファイル付きのメールを送信する行動とでは、宛先が異なる。そのため、宛先をパラメタとするモデルでは、外見上は異なる行動を行っているように見える。
しかしながら、ユーザによる依存性を排除してモデル化を行うことができれば、これらの行動には、同じ宛先に繰り返し添付ファイル付きメールを送信しているという共通の特徴を発見することができる。そこで、本例では、ユーザによる依存性を排除してモデル化を行うことがより適切である。
本実施形態では、行動シーケンス中のユーザに依存する特有のパラメタ(宛先)をユーザに依存しないパラメタ(宛先実績の有無)に変換することにより、当該パラメタを複数のユーザに共通のパラメタとして扱って特徴の検出を行うことができる。したがって、より適切にモデル化を行うことができる行動分析システムが提供される。
[第2実施形態]
本発明の第2実施形態による行動分析システム及び行動分析方法について図7及び図8を用いて説明する。以下の説明において、第1実施形態と同様の構成については、省略又は簡略化することがある。
本発明の第2実施形態による行動分析システム及び行動分析方法について図7及び図8を用いて説明する。以下の説明において、第1実施形態と同様の構成については、省略又は簡略化することがある。
図7は、本実施形態に係る行動分析システムの機能構成を示すブロック図である。図8は、本実施形態に係る行動分析システムを用いた行動分析方法を示すフローチャートである。本実施形態の行動分析システムは、図7に図示されているように、行動の異常度により行動シーケンスをランキング(順位付け)するランキング部116を更に備える。ランキング部116は、行動シーケンスの内容及び出現頻度の少なくとも1つに基づく行動の異常度の指標を用いて行動シーケンスをランキングする(ステップS16)。このランキング結果は、変換後の行動シーケンス及び出現頻度のリストとともに、出力部114から表示部30に出力される。
ランキング部116におけるランキング方法の例をいくつか説明する。第1の例は、出現頻度を異常度の指標とする例である。一般的に、出現頻度が低い行動はより異常な行動である可能性が高い。したがって、出現頻度が低い順に複数の行動シーケンスをソートすることにより、行動シーケンスをランキングすることができる。
上述の手法では簡易にランキングを行うことができる。しかしながら、行動シーケンスに含まれる行動の種類が多く、複雑な場合、あるいは分析対象の個数が多い場合には、出現頻度の値が同一の値又は近い値となる行動シーケンスが大量に提示され、異常行動として注目すべき行動が判別しにくくなることがある。
そこで、第2の例として、行動シーケンス中の行動のランダム性を異常度の指標とするランキング方法の例を説明する。行動シーケンスに含まれる行動データの個数をL、行動シーケンスに含まれる行動の種類数をKとする。このとき、例えば、K/Lをランダム性に対応する値として扱うことができるため、これを異常度の指標として用いることができる。K/Lが低い順に複数の行動シーケンスをソートすることにより、行動シーケンスをランキングすることができる。
K/Lの算出について具体例を挙げて説明する。Lの値が3であり、行動シーケンスが、「有 有,有 有,有 有」の場合、行動の種類は「有 有」の1種類のみであるためKの値は1である。したがって、K/Lの値は1/3と算出される。一方、行動シーケンスが、「有 無,無 有,有 有」の場合、行動の種類は「有 無」、「無 有」、「有 有」の3種類であるためKの値は3である。したがって、K/Lの値は1と算出される。このように各行動がばらばらであり、ランダム性が高いほどK/Lの値は1に近くなり、各行動が規則的でランダム性が低いほどK/Lの値は0に近くなる。
2つのシーケンス「有 有,有 有,有 有」、「有 無,無 有,有 有」が同じ出現頻度であった場合、ランダム性が高い後者よりも、規則性が高い前者の方がより異常度が高く注目すべき行動である。ランダム性の高い行動は、偶然に出現したものである可能性が高いが、規則性の高い行動は何らかの理由があって生じている可能性が高いためである。第2の例では、行動の内容を考慮したランキングが可能である。また、行動シーケンスに含まれる行動の種類が多く、複雑な場合、あるいは分析対象の個数が多い場合にも値が重複しにくいため、異常行動として注目すべき行動が判別しやすい利点がある。
第3の例では、第1の例の出現頻度と第2の例のK/Lの積を異常度の指標とする。出現頻度とK/Lの積が低い順に複数の行動シーケンスをソートすることにより、行動シーケンスをランキングすることができる。例えば、出現頻度の値が12、K/Lの値が2/8である場合、これらの積は3となる。出現頻度、K/Lはいずれも小さいほど異常度が高いため、これらの積も値が小さいほど異常度が高い。本例では、出現頻度とランダム性の両方を考慮したランキングが可能である。また、行動シーケンスに含まれる行動の種類が多く、複雑な場合、あるいは分析対象の個数が多い場合に、第2の例よりも更に値が重複しにくく、異常行動として注目すべき行動が判別しやすい利点がある。
以上のように本実施形態では、第1実施形態の効果に加えて、行動シーケンスの内容及び出現頻度の少なくとも1つに基づく異常度の指標を用いたランキング結果を出力することができる。これにより、行動分析システムの利用者は、出力された行動シーケンスの中から異常度が高い行動を容易に判別することができる。
[第3実施形態]
上述の各実施形態において説明した行動分析システムは、第3実施形態によれば、図9に示すように構成することもできる。図9は、第3実施形態に係る行動分析システムの機能構成を示すブロック図である。
上述の各実施形態において説明した行動分析システムは、第3実施形態によれば、図9に示すように構成することもできる。図9は、第3実施形態に係る行動分析システムの機能構成を示すブロック図である。
図9に示すように、第3実施形態による行動分析システム1は、複数の行動データを含む行動データ群を分析対象ごとに生成する生成部12を有している。また、行動分析システム1は、行動データ群に含まれるパラメタのうち、分析対象に依存するパラメタを分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の行動データ群を変換する変換部14を有している。また、行動分析システム1は、複数の分析対象の変換後の行動データ群を用いて分析を行う分析部16を有している。これにより、複数のユーザ又は装置の行動に共通して現れる特徴を検出する際に、より適切にモデル化を行うことができる行動分析システム1が提供される。
[変形実施形態]
以上、実施形態を参照して本発明を説明したが、本発明は上述の実施形態に限定されるものではない。本願発明の構成及び詳細には本発明の要旨を逸脱しない範囲で、当業者が理解し得る様々な変形をすることができる。
以上、実施形態を参照して本発明を説明したが、本発明は上述の実施形態に限定されるものではない。本願発明の構成及び詳細には本発明の要旨を逸脱しない範囲で、当業者が理解し得る様々な変形をすることができる。
例えば、上述の実施形態では、行動分析に用いる行動データ群の形式として、行動の発生時刻に基づく順序で配列された行動シーケンスを用いているが、データの形式はシーケンスに限定されない。例えば、順序の情報を含まない「集合」であってもよい。「シーケンス」の場合は、「有 無,無 無,有 有」と「無 無,有 有,有 無」とは異なるデータであるが、「集合」の場合には、順序を考慮しないため、これらは同一のデータとして扱われる。行動分析システムの適用先又は行動履歴の内容に依存してより適切な形式のデータを選択して用いることができる。なお、「行動シーケンス」及び「集合」は一般的に「行動データ群」と呼ぶことができる。
また、上述の実施形態では、ログ記憶部202に既に記憶されたログを用いて行動分析を行っており、行動分析システム1で既に取得済みのデータを用いた分析という意味で、静的かつオフラインな処理であるといえる。しかしながら、本発明は、行動発生時にオンラインでデータを取得して処理を行う動的なものであってもよく、そのような例を説明する。本例では、記憶部20に過去に取得された行動シーケンスと出現頻度のリストをあらかじめ生成して記憶しておく。新たにメール送信等の行動が発生したときに、行動分析システム1は、その行動データを取得し、当該ユーザの行動シーケンスを生成する。行動分析システム1は、この行動シーケンスを記憶しているリストと対比してその行動シーケンスの出現頻度、異常度、ランキング結果等を算出し、出力する。これにより、異常な行動を行動発生時に即時に検出することができる。また、新たにメール送信等の行動が発生したときには、上述の処理に加えて、行動シーケンスと出現頻度のリストの更新を行ってもよい。
また、上述の実施形態では、メールシステム、あるいは情報通信の技術領域への本発明の適用例として、メール送信履歴の行動分析を例示したが、本発明はメールシステム、情報通信以外の技術領域にも適用可能である。
例えば、本発明は、運送業における配送履歴の行動分析に適用することができる。ユーザごとに配送品、配送先、配送サービスの種類の履歴を記録しておき、この履歴に対して配送行動、注文行動等の行動分析を行うことにより、異常な配送、注文等を検出することができる。
また、例えば、本発明は、小売業又は金融業におけるクレジットカードの使用履歴の行動分析に適用することができる。ユーザごとに使用したクレジットカード、購入品等の履歴を記録しておき、この履歴に対して行動分析を行うことにより、異常なクレジットカードの使用、他人によるカードの不正使用等を検出することができる。
このように、本発明は、多様な領域におけるユーザ又は装置の行動分析に適用することができ、これによりユーザ又は装置の異常、不正等の検出を行うことができる。
また、上述の各実施形態の機能を実現するように該実施形態の構成を動作させるプログラムを記録媒体に記録させ、該記録媒体に記録されたプログラムをコードとして読み出し、コンピュータにおいて実行する処理方法も各実施形態の範疇に含まれる。すなわち、コンピュータ読取可能な記録媒体も各実施形態の範囲に含まれる。また、上述のコンピュータプログラムが記録された記録媒体はもちろん、そのコンピュータプログラム自体も各実施形態に含まれる。
該記録媒体としては、例えばフロッピー(登録商標)ディスク、ハードディスク、光ディスク、光磁気ディスク、CD−ROM(Compact Disc-Read Only Memory)、磁気テープ、不揮発性メモリカード、ROMを用いることができる。また該記録媒体に記録されたプログラム単体で処理を実行しているものに限らず、他のソフトウェア、拡張ボードの機能と共同して、OS(Operating System)上で動作して処理を実行するものも各実施形態の範疇に含まれる。
上述の各実施形態の機能により実現されるサービスは、SaaS(Software as a Service)の形態でユーザに対して提供することもできる。
上述の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
(付記1)
複数の行動データを含む行動データ群を分析対象ごとに生成する生成部と、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換する変換部と、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行う分析部と、
を備えることを特徴とする行動分析システム。
複数の行動データを含む行動データ群を分析対象ごとに生成する生成部と、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換する変換部と、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行う分析部と、
を備えることを特徴とする行動分析システム。
(付記2)
前記変換部は、前記分析対象に依存するパラメタを過去に同様の行動が行われたことがあるか否かを示すパラメタに変換することを特徴とする付記1に記載の行動分析システム。
前記変換部は、前記分析対象に依存するパラメタを過去に同様の行動が行われたことがあるか否かを示すパラメタに変換することを特徴とする付記1に記載の行動分析システム。
(付記3)
前記分析部は、前記複数の分析対象の変換後の前記行動データ群に含まれるパラメタのパターンごとに出現頻度を算出することを特徴とする付記1又は2に記載の行動分析システム。
前記分析部は、前記複数の分析対象の変換後の前記行動データ群に含まれるパラメタのパターンごとに出現頻度を算出することを特徴とする付記1又は2に記載の行動分析システム。
(付記4)
変換後の前記行動データ群に含まれる行動及び前記出現頻度の少なくとも1つに基づく行動の異常度を用いて前記行動データ群をランキングするランキング部を更に備えることを特徴とする付記3に記載の行動分析システム。
変換後の前記行動データ群に含まれる行動及び前記出現頻度の少なくとも1つに基づく行動の異常度を用いて前記行動データ群をランキングするランキング部を更に備えることを特徴とする付記3に記載の行動分析システム。
(付記5)
前記ランキング部は、前記複数の分析対象の変換後の前記行動データ群に含まれる行動のランダム性を前記異常度の指標として前記ランキングを行うことを特徴とする付記4に記載の行動分析システム。
前記ランキング部は、前記複数の分析対象の変換後の前記行動データ群に含まれる行動のランダム性を前記異常度の指標として前記ランキングを行うことを特徴とする付記4に記載の行動分析システム。
(付記6)
前記ランキング部は、前記行動データ群に含まれる前記行動データの個数をL、前記行動データ群に含まれる行動の種類数をKとしたとき、K/Lに基づいて前記ランキングを行うことを特徴とする付記4又は5に記載の行動分析システム。
前記ランキング部は、前記行動データ群に含まれる前記行動データの個数をL、前記行動データ群に含まれる行動の種類数をKとしたとき、K/Lに基づいて前記ランキングを行うことを特徴とする付記4又は5に記載の行動分析システム。
(付記7)
前記ランキング部は、K/Lと前記出現頻度との積に基づいて前記ランキングを行うことを特徴とする付記6に記載の行動分析システム。
前記ランキング部は、K/Lと前記出現頻度との積に基づいて前記ランキングを行うことを特徴とする付記6に記載の行動分析システム。
(付記8)
前記行動データ群は、前記行動データ群に含まれる複数の前記行動データが行動の発生時刻に基づく順序で配列されたシーケンスであることを特徴とする付記1乃至7のいずれか1項に記載の行動分析システム。
前記行動データ群は、前記行動データ群に含まれる複数の前記行動データが行動の発生時刻に基づく順序で配列されたシーケンスであることを特徴とする付記1乃至7のいずれか1項に記載の行動分析システム。
(付記9)
複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を含むことを特徴とする行動分析方法。
複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を含むことを特徴とする行動分析方法。
(付記10)
コンピュータに、
複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を実行させることを特徴とするプログラムが記録された記録媒体。
コンピュータに、
複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を実行させることを特徴とするプログラムが記録された記録媒体。
Claims (10)
- 複数の行動データを含む行動データ群を分析対象ごとに生成する生成部と、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換する変換部と、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行う分析部と、
を備えることを特徴とする行動分析システム。 - 前記変換部は、前記分析対象に依存するパラメタを過去に同様の行動が行われたことがあるか否かを示すパラメタに変換することを特徴とする請求項1に記載の行動分析システム。
- 前記分析部は、前記複数の分析対象の変換後の前記行動データ群に含まれるパラメタのパターンごとに出現頻度を算出することを特徴とする請求項1又は2に記載の行動分析システム。
- 変換後の前記行動データ群に含まれる行動及び前記出現頻度の少なくとも1つに基づく行動の異常度を用いて前記行動データ群をランキングするランキング部を更に備えることを特徴とする請求項3に記載の行動分析システム。
- 前記ランキング部は、前記複数の分析対象の変換後の前記行動データ群に含まれる行動のランダム性を前記異常度の指標として前記ランキングを行うことを特徴とする請求項4に記載の行動分析システム。
- 前記ランキング部は、前記行動データ群に含まれる前記行動データの個数をL、前記行動データ群に含まれる行動の種類数をKとしたとき、K/Lに基づいて前記ランキングを行うことを特徴とする請求項4又は5に記載の行動分析システム。
- 前記ランキング部は、K/Lと前記出現頻度との積に基づいて前記ランキングを行うことを特徴とする請求項6に記載の行動分析システム。
- 前記行動データ群は、前記行動データ群に含まれる複数の前記行動データが行動の発生時刻に基づく順序で配列されたシーケンスであることを特徴とする請求項1乃至7のいずれか1項に記載の行動分析システム。
- 複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を含むことを特徴とする行動分析方法。 - コンピュータに、
複数の行動データを含む行動データ群を分析対象ごとに生成するステップと、
前記行動データ群に含まれるパラメタのうち、前記分析対象に依存するパラメタを前記分析対象に依存しないパラメタに変換することにより、複数の分析対象の各々の前記行動データ群を変換するステップと、
前記複数の分析対象の変換後の前記行動データ群を用いて分析を行うステップと、
を実行させることを特徴とするプログラムが記録された記録媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2017/019193 WO2018216100A1 (ja) | 2017-05-23 | 2017-05-23 | 行動分析システム、行動分析方法及び記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPWO2018216100A1 true JPWO2018216100A1 (ja) | 2019-12-26 |
| JP6936960B2 JP6936960B2 (ja) | 2021-09-22 |
Family
ID=64396374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2019519840A Active JP6936960B2 (ja) | 2017-05-23 | 2017-05-23 | 行動分析システム、行動分析方法及び記録媒体 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11574210B2 (ja) |
| JP (1) | JP6936960B2 (ja) |
| WO (1) | WO2018216100A1 (ja) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002259168A (ja) * | 2001-03-05 | 2002-09-13 | Toshiba Corp | ログ特徴を抽出する装置、方法、およびプログラム |
| JP2008192091A (ja) * | 2007-02-07 | 2008-08-21 | Intelligent Wave Inc | ログ分析プログラム、ログ分析装置及びログ分析方法 |
| JP2011138422A (ja) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム |
| WO2015159926A1 (ja) * | 2014-04-15 | 2015-10-22 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5936240B2 (ja) | 2014-09-12 | 2016-06-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | データ処理装置、データ処理方法、およびプログラム |
| JP6784044B2 (ja) * | 2016-03-24 | 2020-11-11 | カシオ計算機株式会社 | 行動解析装置、行動解析方法及びプログラム |
| CN110287697A (zh) * | 2018-03-19 | 2019-09-27 | 阿里巴巴集团控股有限公司 | 行为识别、数据处理方法及装置 |
-
2017
- 2017-05-23 WO PCT/JP2017/019193 patent/WO2018216100A1/ja active Application Filing
- 2017-05-23 JP JP2019519840A patent/JP6936960B2/ja active Active
- 2017-05-23 US US16/614,829 patent/US11574210B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002259168A (ja) * | 2001-03-05 | 2002-09-13 | Toshiba Corp | ログ特徴を抽出する装置、方法、およびプログラム |
| JP2008192091A (ja) * | 2007-02-07 | 2008-08-21 | Intelligent Wave Inc | ログ分析プログラム、ログ分析装置及びログ分析方法 |
| JP2011138422A (ja) * | 2009-12-29 | 2011-07-14 | Nippon Telegr & Teleph Corp <Ntt> | 行動パターン検出装置、行動パターン検出方法及び行動パターン検出プログラム |
| WO2015159926A1 (ja) * | 2014-04-15 | 2015-10-22 | 株式会社Ubic | 情報漏洩検知装置、情報漏洩検知方法、および情報漏洩検知プログラム |
Non-Patent Citations (1)
| Title |
|---|
| 竹森敬祐,ほか3名: "IDSログから算出される情報エントロピー値の変動に注目した異常検出", 情報処理学会研究報告 2004−CSEC−25, vol. 第2004巻,第54号, JPN6017026835, 21 May 2004 (2004-05-21), JP, pages 31 - 36, ISSN: 0004489279 * |
Also Published As
| Publication number | Publication date |
|---|---|
| US20200210863A1 (en) | 2020-07-02 |
| WO2018216100A1 (ja) | 2018-11-29 |
| US11574210B2 (en) | 2023-02-07 |
| JP6936960B2 (ja) | 2021-09-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10210036B2 (en) | Time series metric data modeling and prediction | |
| CA2825764C (en) | Systems, methods, apparatuses, and computer program products for forensic monitoring | |
| US20130042306A1 (en) | Determining machine behavior | |
| JP6030272B2 (ja) | ウェブサイト情報抽出装置、システム、ウェブサイト情報抽出方法、および、ウェブサイト情報抽出プログラム | |
| JP7005936B2 (ja) | 評価プログラム、評価方法および情報処理装置 | |
| CN102428476A (zh) | 非法操作检测系统和非法操作检测方法 | |
| CN111183620B (zh) | 入侵调查 | |
| US10560473B2 (en) | Method of network monitoring and device | |
| CN112347165A (zh) | 日志处理方法、装置及服务器和计算机可读存储介质 | |
| JP2016122273A (ja) | アラート発信方法、プログラム、及び装置 | |
| JP2017126112A (ja) | サーバ、分散型サーバシステム、及び情報処理方法 | |
| JP6623128B2 (ja) | ログ分析システム、ログ分析方法及びログ分析装置 | |
| JP7412938B2 (ja) | 情報分析装置、情報分析方法、情報分析システムおよびプログラム | |
| JP2016024486A (ja) | データ活用システム及びその制御方法 | |
| JP6988827B2 (ja) | 異常識別システム、方法及びプログラム | |
| US20150244598A1 (en) | Remote monitoring of events on a network using localized sensors | |
| JP6936960B2 (ja) | 行動分析システム、行動分析方法及び記録媒体 | |
| JPWO2019186777A1 (ja) | 情報処理装置、制御方法、及びプログラム | |
| JP7140268B2 (ja) | 警告装置、制御方法、及びプログラム | |
| CN111865696B (zh) | 网络安全的可视化方法、装置、设备及介质 | |
| EP3799367B1 (en) | Generation device, generation method, and generation program | |
| JP2018005607A (ja) | 情報処理装置及びプログラム | |
| JP2018132787A (ja) | ログ分析支援装置およびログ分析支援方法 | |
| US20150286488A1 (en) | Verification support method, verification supporting device, and storage medium | |
| JP6606222B1 (ja) | ログ情報収集分析システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190830 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20190830 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20201013 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20210420 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210618 |
|
| C60 | Trial request (containing other claim documents, opposition documents) |
Free format text: JAPANESE INTERMEDIATE CODE: C60 Effective date: 20210618 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20210629 |
|
| C21 | Notice of transfer of a case for reconsideration by examiners before appeal proceedings |
Free format text: JAPANESE INTERMEDIATE CODE: C21 Effective date: 20210701 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20210729 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20210811 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6936960 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |