WO2007077624A1 - 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム - Google Patents
不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム Download PDFInfo
- Publication number
- WO2007077624A1 WO2007077624A1 PCT/JP2006/300021 JP2006300021W WO2007077624A1 WO 2007077624 A1 WO2007077624 A1 WO 2007077624A1 JP 2006300021 W JP2006300021 W JP 2006300021W WO 2007077624 A1 WO2007077624 A1 WO 2007077624A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- event
- score
- computer
- value
- unauthorized
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 19
- 238000012544 monitoring process Methods 0.000 claims abstract description 76
- 238000004364 calculation method Methods 0.000 claims description 53
- 238000010586 diagram Methods 0.000 description 18
- 230000006399 behavior Effects 0.000 description 11
- 206010042635 Suspiciousness Diseases 0.000 description 8
- 239000008186 active pharmaceutical agent Substances 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Abstract
コンピュータに対する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過から示される不審値を反映して不正スコアを算出する不正操作監視プログラムを提供することを目的とする。 本発明においては、対象イベントについて不正操作の確率を示す不正スコアを算出すると、算出された不正スコアの水準に対応した不審値(PSV)を設定する。次回に新たなイベントが発生した場合には、新たなイベントについて算出したスコア(原スコア)に対して、前回イベントで設定されたPSVと前回イベントとの時間差を反映した不正スコアを算出することによって、不正の可能性が高い操作が連続して行われる場合や、より不審値が高い操作が繰り返される場合には、不正スコアとしてより高いスコアが算出されるよう構成されている。
Description
明 細 書
不正操作監視プログラム、不正操作監視方法、及び不正操作監視システ ム
技術分野
[0001] 本発明は、コンピュータに対する不正操作を監視するために、コンピュータを操作 するユーザの一連の操作経過力 示される不審値を反映して不正スコアを算出する 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システムに関する ものである。
背景技術
[0002] 企業等においてコンピュータを使用する場合、インターネット等のネットワークを通じ て外部力 不正なデータが侵入を防止することと合わせて、コンピュータの不正操作 によって内部からのデータ流出や情報漏洩を防止することが重要な課題となってい る。出願人は、このような内部からの情報漏洩を防止するために、コンピュータへの不 正操作を自動的に検出して対策を講ずる内部情報漏洩対策システムを提供している (http: / Z www. iwi. co. jpZ Japanese/し WATz index. html)。
[0003] 上記の内部情報漏洩対策システムにおいては、コンピュータのユーザによる通常と は異なる特異挙動を監視して、各々の操作についての不正の可能性を判定し、不正 行為である可能性が高いと判断される場合には、プリンタへの出力や外部ディスクへ の書出しを停止するなどの (例えば、特許文献 1参照。)、情報漏洩を防止するため の所定の動作を実行する。不正の可能性の判定においては、不正行為の一般的な ルールと対照させる他に、ユーザ毎のプロファイルを参照して日常的な操作と異なる 特異挙動を検出したり、ユーザ毎のみでなくノード単位でのプロファイルを参照したり するなど (例えば、特許文献 2参照。)、様々な判定方法を採用することができる
[0004] 特許文献 1:特開 2005— 149243号公報
特許文献 2 :国際公開第 05Z048119号パンフレット
発明の開示
発明が解決しょうとする課題
[0005] 上記のように、コンピュータに対する操作を監視して不正操作の可能性を判定する 場合には、個々に行われた操作に対して、一般的なルールやユーザ毎の行動バタ ーンと対照させることによって、一般的に不正行為であることが多い場合 (例えば、大 容量のデータの書出しを行う場合)や操作を行ったユーザにとって特異挙動と認めら れる場合 (例えば、通常はコンピュータを操作しないユーザの休日にデータの出力操 作を行う場合)に該当すると、不正操作の可能性が高いと判定している。つまり、不正 操作の判定は、個々の操作にっ 、て各々行われることとなって 、る。
[0006] しかしながら、同じ不正操作の可能性が高いと判定される操作であっても、その以 前に行われた一連の操作の手順によって、不正操作である可能性は異なることが通 常である。例えば、同じ大容量のデータの書出しという操作であっても、通常の業務 時間中にコンピュータが起動され、文書の作成等が行われた後に書出しが行われる 場合と、業務時間外である深夜にコンピュータが起動され、大容量のデータのコピー 力 連続して書出しが行われる場合とであれば、一連の操作として捉えた場合には 明らかに後者の挙動のほうが不審の度合 、が高 、ものと考えられる。
[0007] 従って、コンピュータに対する操作を監視して、不正操作である可能性をより精緻に 判定するためには、コンピュータに対して行われた操作の不審の度合を個々に捉え て判定するよりも、ユーザの一連の連続操作の流れを反映した不審の度合を示す不 審値を用いて判定を行うことが好まし 、。
[0008] 本発明は、このような課題に対応するためになされたものであり、コンピュータに対 する不正操作を監視するために、コンピュータを操作するユーザの一連の操作経過 力も示される不審値を反映して不正スコアを算出する不正操作監視プログラム、不正 操作監視方法、及び不正操作監視システムに関するものである。
課題を解決するための手段
[0009] 本発明においては、ユーザの操作が不正操作である可能性を示す不正スコアを算 出すると、算出された不正スコアの水準に対応した不審値を設定する。次回に新たな 操作が行われた場合には、該操作について算出した新たなスコアに対して、前回の 操作で設定された不審値を反映して不正スコアを算出することによって、不正操作の 可能性が高 、操作が連続して行われる場合や、より不審値が高 、操作が繰り返され
る場合には、不正スコアとしてより高いスコアが算出されるよう構成されている。
[0010] 本発明にかかる不正操作監視プログラムは、コンピュータに対するユーザの不正操 作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して
、前記ユーザの操作によって発生した n回目のイベントにおける不正操作の確率を示 す不正スコアを算出する不正操作監視プログラムであって、前記コンピュータのメモリ には、前記ユーザの操作によって発生した n— 1回目のイベントにおける不正スコア を反映して設定した不審値が一時記憶されていて、前記コンピュータに、前記ユーザ の操作により発生した n回目のイベントを受け付けるイベント受付ステップと、前記コン ピュータ又は前記コンピュータとネットワークを通じて接続された他のコンピュータに 備えられた前記イベントが不正操作に該当するかを判断するためのルールを格納す る不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネットワーク を通じて接続された他のコンピュータに備えられた前記ユーザの過去の操作により発 生したイベントに関するプロファイルを格納するプロファイル格納部の少なくとも一つ を参照して、 n回目のイベントを発生させた操作が不正操作である可能性を反映した 原スコアを算出する原スコア算出ステップと、 n— 1回目のイベントを受け付けた時間 と、 n回目のイベントを受け付けた時間との時間差を算出する時間差算出ステップと、 前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記 不審値を反映して、 n回目のイベントにおける不正操作の確率を示す不正スコアを算 出する不正スコア算出ステップと、前記不正スコアが所定の基準値を超過する場合 には、 n回目のイベントを発生させた操作により実行される動作を停止させるためのコ マンドを実行する不正操作停止ステップと、前記コンピュータのメモリに一時記憶され た n— 1回目のイベントにおける不正スコアを反映して設定した不審値を、前記不審 値に前記不正スコア算出ステップで算出した n回目のイベントにおける不正スコアを 反映して、 n回目のイベントにおける不正スコアを反映して設定した不審値に更新し て前記コンピュータのメモリに一時記憶させる不審値更新ステップと、を実行させるこ とを特徴とする不正操作監視プログラムである。
[0011] また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他の コンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値
記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算 出ステップで算出した n回目のイベントにおける不正スコアに対応する乗算値を前記 乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶された n— 1回目のィ ベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによ つて、 n回目のイベントにおける不正スコアを反映して設定した不審値に更新すること を特徴とすることちでさる。
[0012] さらに、前記コンピュータに、前記ユーザからのログインを受け付けると、前記不審 値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステツ プを実行させ、前記イベント受付ステップにおいて受け付けるイベントが、前記ユー ザの操作により発生した 1回目のイベントである場合には、前記不正スコア算出ステツ プにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特 定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶さ れた前記初期値を、前記初期値に前記不正スコア算出ステップで特定された 1回目 のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンビユー タのメモリに一時記憶させることを特徴としてもょ 、。
[0013] 本発明にかかる不正操作監視方法は、コンピュータに対するユーザの不正操作を 監視するために、前記ユーザの過去の操作経過から示される不審値を反映して、前 記ユーザの操作によって発生した n回目のイベントにおける不正操作の確率を示す 不正スコアを算出する不正操作監視方法であって、前記コンピュータのメモリには、 前記ユーザの操作によって発生した n— 1回目のイベントにおける不正スコアを反映 して設定した不審値が一時記憶されていて、前記コンピュータが、前記ユーザの操 作により発生した n回目のイベントを受け付けるイベント受付ステップと、前記コンビュ 一タカ 前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他 のコンピュータに備えられた前記イベントが不正操作に該当するかを判断するための ルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンビユー タとネットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去 の操作により発生したイベントに関するプロファイルを格納するプロファイル格納部の 少なくとも一つを参照して、 n回目のイベントを発生させた操作が不正操作である可
能性を反映した原スコアを算出する原スコア算出ステップと、前記コンピュータが、 n 1回目のイベントを受け付けた時間と、 n回目のイベントを受け付けた時間との時間 差を算出する時間差算出ステップと、前記コンピュータが、前記原スコアに、前記時 間差と、前記コンピュータのメモリ領域力 読み出した前記不審値を反映して、 n回目 のイベントにおける不正操作の確率を示す不正スコアを算出する不正スコア算出ス テツプと、前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には 、 n回目のイベントを発生させた操作により実行される動作を停止させるためのコマン ドを実行する不正操作停止ステップと、前記コンピュータが、前記コンピュータのメモ リに一時記憶された n— 1回目のイベントにおける不正スコアを反映して設定した不 審値を、前記不審値に前記不正スコア算出ステップで算出した n回目のイベントにお ける不正スコアを反映して、 n回目のイベントにおける不正スコアを反映して設定した 不審値に更新して前記コンピュータのメモリに一時記憶させる不審値更新ステップと 、を有することを特徴とする不正操作監視方法である。
[0014] また、前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他の コンピュータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値 記憶部が備えられていて、前記不審値更新ステップにおいては、前記不正スコア算 出ステップで算出した n回目のイベントにおける不正スコアに対応する乗算値を前記 乗算値記憶部から取得し、前記コンピュータのメモリに一時記憶された n— 1回目のィ ベントにおける不正スコアを反映して設定した不審値に前記乗算値を乗じることによ つて、 n回目のイベントにおける不正スコアを反映して設定した不審値に更新すること を特徴とすることちでさる。
[0015] さらに、前記コンピュータが、前記ユーザからのログインを受け付けると、前記不審 値を初期値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステツ プを有していて、前記イベント受付ステップにおいて受け付けるイベントが、前記ユー ザの操作により発生した 1回目のイベントである場合には、前記不正スコア算出ステツ プにおいては、前記原スコア算出ステップで算出した原スコアを不正スコアとして特 定し、前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶さ れた前記初期値を、前記初期値に前記不正スコア算出ステップで特定された 1回目
のイベントにおける不正スコアを反映して設定した不審値に更新して前記コンビユー タのメモリに一時記憶させることを特徴としてもょ 、。
[0016] 本発明に力かる不正操作監視システムは、コンピュータに対するユーザの不正操 作を監視するために、前記ユーザの過去の操作経過から示される不審値を反映して 、前記ユーザの操作によって発生した n回目のイベントにおける不正操作の確率を示 す不正スコアを算出する不正操作監視システムであって、前記ユーザの操作によつ て発生したイベントにおける不正スコアを反映して設定した不審値を一時記憶する不 審値記憶手段と、前記ユーザの操作により発生した n回目のイベントを受け付けるィ ベント受付手段と、前記イベント受付手段が受け付けたイベントが不正操作に該当す るかを判断するためのルールを格納する不正ルール格納手段と、前記ユーザの過 去の操作により発生したイベントに関するプロファイルを格納するプロファイル格納手 段と、前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを 参照して、 n回目のイベントを発生させた操作が不正操作である可能性を反映した原 スコアを算出する原スコア算出手段と、 n— 1回目のイベントを受け付けた時間と、 n 回目のイベントを受け付けた時間との時間差を算出する時間差算出手段と、前記原 スコアに、前記時間差と、前記不審値記憶手段から読み出した n— 1回目のイベント における不正スコアを反映して設定した不審値を反映して、 n回目のイベントにおけ る不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、前記不正ス コアが所定の基準値を超過する場合には、 n回目のイベントを発生させた操作により 実行される動作を停止させるためのコマンドを実行する不正操作停止手段と、前記 不審値記憶手段に記憶された n— 1回目のイベントにおける不正スコアを反映して設 定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコアを反 映して、 n回目のイベントにおける不正スコアを反映して設定した不審値に更新する 不審値更新手段と、を備えることを特徴とする不正操作監視システムである。
[0017] また、前記不正スコア算出手段の算出した不正スコアのレベルに対応する乗算値 を定めて記憶した乗算値記憶手段が備えられていて、前記不審値更新手段は、前 記不正スコア算出手段が算出した n回目のイベントにおける不正スコアに対応する乗 算値を前記乗算値記憶手段から取得し、前記不審値記憶手段に一時記憶された n
1回目のイベントにおける不正スコアを反映して設定した不審値に前記乗算値を 乗じることによって、 n回目のイベントにおける不正スコアを反映して設定した不審値 に更新することを特徴とすることもできる。
[0018] さらに、ユーザからのログインを受け付けると、前記不審値記憶手段に記憶する不 審値を初期値にセットする不審値初期化手段を備えていて、前記不正スコア算出手 段は、前記イベント受付手段が受け付けたイベントが前記ユーザの操作により発生し た 1回目のイベントである場合には、前記原スコア算出手段が算出した原スコアを不 正スコアとして特定し、前記不審値更新手段が 1回目のイベントにおける不正スコア を反映して設定した不審値を更新する際には、前記不審値記憶手段に記憶された 前記初期値を、前記初期値に前記不正スコア算出手段において特定された不正ス コアを反映した不審値に更新することを特徴としてもよい。
発明の効果
[0019] 本発明によると、コンピュータに対する不正操作を監視する際に、コンピュータに対 する個々の操作についての不審の度合のみでなぐユーザの一連の操作経過から 示される不審の度合を反映して不正スコアを算出することによって、不審の度合をよ り精緻に反映したスコア値を算出することが可能になる。より精緻に算出されたスコア 値に基づ 、て不正操作の可能性を判定して対処を行うことによって、内部情報漏洩 等に対する安全性を高めることができる。
発明を実施するための最良の形態
[0020] 本発明を実施するための最良の形態について、図面を用いて以下に詳細に説明 する。尚、以下に説明する実施形態において例示する不正スコアの算出式や乗算値 の設定などの具体例は本発明の一例であって、本発明はかかる実施形態に限定さ れるものではない。
[0021] 図 1は、本発明にかかる不正操作監視システムの利用形態を示す図である。図 2は 、本発明にカゝかる不正操作監視システムの構成を示すブロック図である。図 3は、本 発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図である。 図 4は、本発明にカゝかる不正操作監視システムにおける PSV演算テーブルの一例を 示す図である。図 5は、本発明にカゝかる不正操作監視システムにおいて原スコアに乗
算する値の時間差による変化の例を示す図である。図 6〜図 14は、本発明にかかる 不正操作監視システムにおける不正スコア監視のための動作を示す、それぞれ第 1 〜第 9の図である。図 15、図 16は、本発明に力かる不正操作監視システムにおける 不正スコア監視のフローを示す、それぞれ第 1、第 2のフローチャートである。
[0022] 図 1を用いて、本発明にかかる不正操作監視システムの利用形態について説明す る。本発明にかかる不正操作監視システムは、主として企業内等における内部情報 漏洩対策として導入されるものなので、通常は企業内 LAN等に接続されるコンビュ ータにお 、て用いられる力 スタンドアローンで設置されるコンピュータにお 、て用い ることとしてもよい。図 1では、企業内 LAN等のネットワークに接続された一般社員等 が利用するユーザ端末におけるオペレーションの監視に用いられる例を示している 力 ユーザ端末には監視用のプログラムが備えられ、各々の端末において不正の可 能性が高いと判定されたオペレーションにより実行される動作を停止させるための処 理を行う。
[0023] また、本発明に力かる不正操作監視システムは、ユーザ端末に対するオペレーショ ンの他にも、監視用サーバにおいてネットワークを流れるデータをセグメント単位又は ネットワーク全体で監視する場合や、メールサーノくから送受信されるメールの監視、 ゲートウェイを経由するデータの監視などにも適用することが可能である。これらの監 視において、監視対象となるのはコンピュータに対して実行されるオペレーションに 限られず、ネットワークから取得するデータやサーバに書き込まれたデータを監視す ることになるが、これらのデータにルール等を適用して不正スコアを算出する点にお いては、オペレーションを対象に不正スコアを算出する場合と異なるものではないた め、本発明による不正スコアの演算方式を同様に適用することが可能である。
[0024] 尚、不正スコアを算出するための一般的なルールや特異挙動を判断するためのュ 一ザ毎のプロファイルは、監視用プログラムが備えられる各々のコンピュータに格納 されるのが通常であるが、ネットワーク内の不正監視サーバ等に格納しておいて、不 正スコアの算出時には不正監視サーバにアクセスして、ルールやプロファイルを参照 するよう構成してちょい。
[0025] 図 2において、本発明にカゝかる不正操作監視システムは、 LANに接続されたコンビ
ユータ 10に備えられている。コンピュータ 10において、 HDD14に格納されたアプリ ケーシヨンプログラムによって所定の処理を実行するためには、 ROM13に記憶され た入力制御や出力制御などのハードウェア制御のための基本的な各種プログラムを 起動し、 RAM12をアプリケーションプログラムのワークエリアとして機能させながら、 CPU11が演算処理を行う。
[0026] HDD14には、コンピュータ 10が受け付けたオペレーションが不正でないかを判定 する不正判定プログラム 141、不正判定の一部に用いられる、一連の操作経過の不 審の度合を示す不審値(以下の説明においては、 Previous Status Valueの略か ら「PSV」と称する。)を算出する PSV演算プログラム 142が格納されている。また、不 正判定プログラム 141により算出された不正スコアから、次回の判定に用いられる PS Vを算出する際に参照される PSV演算テーブル 143が記憶されている。
[0027] RAMI 2には PSVを記憶させるための領域である PSV記憶部 121が設けられ、 PS V演算プログラム 142によって算出された PSVは、 PSV記憶部 121に一時記憶され る。一時記憶された PSVは次回の不正スコア算出の際に読み出され、次回の不正ス コアが算出された際には該不正スコアを反映した新たな PSVに更新されて、 PSV記 憶部 121に一時記憶される。尚、 PSV記憶部 121は、 HDD14の仮想メモリ領域に 設けられるものであってもよ 、。
[0028] さらに、 HDD14には、コンピュータ 10が受け付けたオペレーションの内容と受付時 間等に関する情報を蓄積するオペレーションログ格納部 144が備えられている。不正 判定プログラム 141によって不正スコアを算出するために、スコア算出の基準として 用いられるユーザ毎の挙動パターンを定めたユーザプロファイル格納部 145、不正 操作に関する一般的なパターンをルールイ匕した不正判定ルール格納部 146等が備 えられている力 これらの一部又は全部を不正監視サーバ 50に備えて、不正スコア の算出毎に LANを介して参照することとしてもよい。また、不正判定ルール格納部 1 46をコンピュータ 10の HDD14に備える場合には、不正監視サーバ 50から新たに 設定されたルールを送信して、不正判定ルール格納部 146に格納されたルールを 随時更新することとしてもょ 、。
[0029] 不正判定プログラム 141によって、受け付けたオペレーションが不正である可能性
が高いと判定された場合には、不正判定プログラム 141は該オペレーションを停止さ せるための動作を実行する。例えば、 LANを通じて外部にデータを送信するォペレ ーシヨンが不正と判定された場合には、 NIC 15にデータの送信を停止する命令を発 信し、出力装置 30や外部記憶装置 40にデータの出力や書出しを行うオペレーショ ンが不正と判定された場合には、外部接続バス 16に送信された出力命令や書出命 令を停止させる命令を発信する。
[0030] ここで、 PSVを用いて一連の操作経過の不審の度合を反映した不正スコアを算出 する方法について、図 3を用いて説明する。コンピュータが、ユーザが行ったォペレ ーシヨンにより発生した不正スコアの算出対象となるイベントを受け付けると、従来の 不正判定システムと同様に、不正判定のためのルールやユーザの通常の挙動パタ ーンを記録したユーザプロファイルを参照して、不正である可能性を示す原スコア( 以下、 Direct Score =「DS」とする。 )を算出する。従来の不正判定システムにおい ては、ここで算出された原スコアがそのまま不正スコアとして採用される。
[0031] これに対して本発明では、原スコアに対して直前のイベントまでの操作経過の不審 の度合をスコアに反映するために、所定の数値を用いて調整した不正スコア(以下、 Modified Score =「MS」とする。 )を算出する。具体的には、前回イベントから対象 イベントまでの時間差に関する数値 (以下、「Term%」とする。)と、直前のイベントま での不審の度合を反映した PSVを、不正スコアの調整に用いる。
[0032] 前回イベントから対象イベントまでの時間差については、一般に時間差が短いほど 不審の度合が高いと考えられる。そこで、例えば、
Term% = l. 00— { (対象イベント発生時間一前回イベント発生時間)÷ 100} (発生時間の単位は分)
により算出することとする。
[0033] PSVについては、同じオペレーションであっても、不正の可能性が高いオペレーシ ヨンが連続して行われるほど、より高い不正スコアが算出されるように設定することが 好ましい。なぜならば、例えば不正の可能性が高い大量なファイルの書き出しという オペレーションであっても、通常の勤務時間中に文書ファイルの作成等の一般的な オペレーションの後に実行される場合と、勤務時間外の夜間にコンピュータが立ち上
げられ、普段はアクセスすることが少な 、ファイルにアクセスした後に実行される場合 を比較すれば、後者のほうが明らかに不正である可能性が高いと考えられるからであ る。
[0034] そこで、 PSVの設定には、例えば図 4の例に示したような PSV演算テーブルを用い て、対象イベントにより算出された不正スコアのレベルに応じて、対応する乗算値を 前回イベントにより設定された PSVに乗じていくことによって、不正の可能性が高い オペレーションが連続して行われるほど、 PSVの値を高く設定することが可能になる 。尚、 PSVは、対象となるユーザがコンピュータにログインした段階で初期値( = 1. 0 0)に設定し、ログオフされるまでの間は、随時更新されることとする。
[0035] つまり、ログイン時には、
PSV= 1. 00
と設定され、初回のイベントの不正スコア力 乗算値が 1. 30と特定された場合、
PSV= 1. 00 X 1. 30= 1. 30
に更新される。さらに、次回イベントの不正スコアからも乗算値が 1. 30と特定された 場合は、
PSV= 1. 30 X 1. 30= 1. 69
となり、高い不正スコアが連続して算出された場合には、 PSVの値も順次増加してい くことになる。
[0036] これまで説明したように、 Term%、 PSVを算出することとすると、不正スコア(MS) は、例えば、
MS = DS X{(PSV- 1. 00) XTerm% + l. 00}
によって算出するものと定義することができる。このような算出式によると、オペレーシ ヨンが短時間に連続するほど(=Term%の値が大きいほど)、不正の可能性が高い オペレーションが連続するほど( = PSVが高いほど)、対象イベントのみ力 算出した 原スコア (DS)より、実態を精緻に反映した不正スコア (MS)を算出することができる
[0037] 上記のように、不正スコア(MS)は、原スコア(DS)に
(PSV- 1. 00) XTerm% + l. 00
を乗算することによって求められる力 対象イベント発生時間と前回イベント発生時間 の時間差が 100分となれば
Term% = 0
となるので、原スコア (DS)に乗算する値は 0ということになる。この関係を例示したも のが図 5で、点線は PSV= 1. 30の場合に時間差によって乗算する値が変化する様 子を、破線は PSV=0. 90の場合に時間差によって乗算する値が変化する様子を示 している。つまり、不審な挙動が連続して PSVが高くなつている場合であっても、前回 イベントとの間の時間差が拡大するにつれて、前回イベントとの関連性が低いものと 判断して、乗算する値は 1. 00に収束することになる。正常な挙動が連続して PSVが 低くなつている場合でも同様に、前回イベントとの間の時間差が拡大するにつれて、 前回イベントとの関連性が低いものと判断して、乗算する値は 1. 00に収束すること になる。
[0038] 続いて、図 6〜図 14を用いて、本発明に力かる不正操作監視システムにおける不 正スコア監視のための動作について説明する。尚、図 6〜図 14に示すメインメモリは 、コンピュータに備えられたメインメモリの他に、ハードディスク上の仮想メモリも含むも のとする。
[0039] まず、図 6に示したようにユーザがコンピュータにログインを行うと、 PSVの初期値で ある 1. 00力 メインメモリの所定の記憶領域(図 2であれば PSV記憶部 121)に一時
SC fedれる。
[0040] 図 7に示したように、ログインしたユーザが最初のオペレーションを行うと、該ォペレ ーシヨンにより発生したイベント 1を受け付けて、イベント 1が不正なオペレーションに よるものかを判定するために、ハードディスクからメインメモリに不正判定プログラム( 図 2であれば不正判定プログラム 141)が読み出される。読み出された不正判定プロ グラムによって、イベント 1が不正である可能性を示す原スコアが算出される力 原ス コアを算出するためのスコアリングモデルについては特に限定されるものではない。
[0041] 例えば、イベント 1をユーザの通常の挙動パターンを定めたユーザプロファイルと対 比して、該ユーザについて特異挙動に該当しないかから不正である可能性を判断し てもよいし、イベント 1を一般的な不正のパターンを定義した不正判定ルールと対比
して、経験則的に不正であることが多いパターンに該当しないかから不正である可能 性を判断することとしてもょ ヽ。
[0042] さらに、図 8に示したように、受け付けたイベント 1に関する情報を、ハードディスクの 所定の記憶領域(図 2であればオペレーションログ格納部 144)に、ログとして記録す る。記録する情報には、イベント 1が発生した時間(受け付けた時間でもよい)が含ま れる。
[0043] 初回のイベントについての不正スコアを算出する際には、ログイン後については前 回イベントが存在しないため、前回イベントとの時間差を算出することができない。ま た、 PSVは初期値である 1. 00と設定されている。従って、初回の不正スコアについ ては、図 8に示したように先に算出された原スコアがそのまま採用される。
[0044] このようにしてイベント 1についての不正スコアが算出されると、不正スコアが所定の 閾値を超える力否かによって、イベント 1を発生させたオペレーションが不正であるか 否かを判定する。閾値を超える場合には、図 9に示したように、イベント 1を発生させ たオペレーションを停止させるためのコマンド、例えばプリンタへの出力や外部ディス クへの書き出しの停止処理、ネットワークとの接続を切断する処理や電子メールの送 信停止処理などを実行する。閾値を超えない場合には、イベント 1による処理がその まま実行される。
[0045] イベント 1についての不正判定が終了すると、算出した不正スコアを反映して PSV を更新するために、図 10に示したように、ハードディスクからメインメモリに PSV演算 プログラム(図 2であれば PSV演算プログラム 142)が読み出される。読み出された P SV演算プログラムによって、イベント 1について算出された不正スコアを反映した新 たな PSVが算出され、メインメモリに一時記憶された PSVの値が更新される。
[0046] 新たな PSVの算出は、ハードディスクに記憶された PSV演算テーブル(図 2であれ ば PSV演算テーブル 143)を参照し、イベント 1について算出された不正スコアに対 応する乗算値を取得して、 PSVの初期値として記憶されている 1. 00に取得した乗 算値を乗じることによって算出される。メインメモリの所定の記憶領域に一時記憶され た PSVの初期値は、算出された新たな PSV (図 10の「1. X χ」)に更新される。
[0047] 次に、図 11に示したように、同一のユーザが 2回目のオペレーションを行うと、該ォ
ペレーシヨンにより発生したイベント 2を受け付けて、イベント 2が不正なオペレーショ ンによるものかを判定するために、ハードディスクからメインメモリに不正判定プロダラ ムが読み出される。読み出された不正判定プログラムによって、イベント 2が不正であ る可能性を示す原スコアが算出される。
[0048] また、図 12に示したように、受け付けたイベント 2に関する情報を、ハードディスクの 所定の記憶領域に、ログとして記録する。記録する情報には、イベント 2が発生した時 間(受け付けた時間でもよい)が含まれる。さらに、記録されたログ力 前回イベントで あるイベント 1が発生した時間を取得して、イベント 2が発生した時間との時間差を算 出する。
[0049] イベント 2についての不正スコアを算出する際には、算出した時間差と、メインメモリ に一時記憶されている PSVが用いられる。不正スコアの算出式に時間差と PSVをど のように用いるかは特に限定されるものではないが、 PSVが高い値であるほど不正ス コアが高!、値となるように、時間差が長 、ほど PSVによる影響を緩和させるように用 いることが好ましい。原スコアにかかる算出式を適用して、図 12に示したようにィベン ト 2についての不正スコアが算出される。
[0050] このようにしてイベント 2についての不正スコアが算出されると、不正スコアが所定の 閾値を超える力否かによって、イベント 2を発生させたオペレーションが不正であるか 否かを判定する。閾値を超える場合には、図 13に示したように、イベント 2を発生させ たオペレーションを停止させるためのコマンドを実行する。閾値を超えな 、場合には 、イベント 2による処理がそのまま実行される。
[0051] イベント 2についての不正判定が終了すると、算出した不正スコアを反映して PSV を更新するために、図 14に示したように、ハードディスクからメインメモリに PSV演算 プログラムが読み出される。読み出された PSV演算プログラムによって、イベント 2に ついて算出された不正スコアを反映した新たな PSVが算出され、メインメモリに記憶 された PSVの値が更新される。
[0052] 新たな PSVの算出は、ハードディスクに記憶された PSV演算テーブルを参照し、ィ ベント 2について算出された不正スコアに対応する乗算値を取得して、前回イベント であるイベント 1の不正スコアを反映した値として一時記憶されている PSV= 1. X X
に、取得した乗算値を乗じることによって算出される。メインメモリの所定の記憶領域 に一時記憶された PSV= 1. X Xは、算出された新たな PSV (図 14の「1.△△」)に 更新される。
[0053] さらに、続いて同一のユーザが 3回目以降のオペレーションを連続して行うと、各回 のオペレーション毎に、図 11〜図 14によって説明したのと同様の処理が繰り返され る。 PSVは同一のユーザのログインからログオフまでの間は更新が継続され、メインメ モリにおいて保持される。
[0054] 尚、図 6〜図 14においては、コンピュータに対してユーザが実行するオペレーショ ンが不正でな!ヽかを判定する例につ!、て説明したが、ここで説明した PSVや時間差 を用いた不正スコアの算出方法については、不正操作の監視はコンピュータに実行 されたオペレーションを直接監視する場合に限られず、例えば LAN等のネットワーク を流れるデータによって不正なデータの送受信等を監視したり、ゲートウェイを通過 するデータによって不正なデータ送受信等を監視したりする場合の、不正スコアの算 出に適用することも可能である。この場合、受け付けるイベントに換えて、監視用のサ ーバがネットワークから取得したデータや、ゲートウェイを通過するデータ力 原スコ ァを算出する対象になる。
[0055] 図 15、図 16を用いて、本発明に力かる不正操作監視システムにおける不正スコア 監視のフローについて説明する。まず、コンピュータが対象となるイベントを受け付け ると(S01)、不正判定ルールやユーザプロファイルを参照して(S02、 S03)、対象ィ ベントの内容のみを反映した原スコアを算出する(S04)。
[0056] 対象イベントが初回のイベントでな 、場合には(S05)、前回受け付けたイベントの 発生時間をログ力 読み出して(S06)、今回受け付けた対象イベントの発生時間と の時間差を算出する(S07)。対象イベントが初回のイベントである場合には、ステツ プ 06、ステップ 07の処理は実行されない。
[0057] 次に、一時記憶されている PSVを読み出して(S08)、原スコアに時間差と PSVを 適用して、ユーザの一連の操作経過カゝら示される不審の度合を反映した不正スコア を算出する(S09)。算出された不正スコアが、不正と判断するための基準値を超過し ていないかを確認し (S 10)、基準値を超過している場合には、対象イベントを発生さ
せたオペレーションによる処理を停止させるための処理を実行する(Sl l)。基準値を 超過していない場合には、該オペレーションによる処理は停止されないため、そのま ま実行される。以上の図 15に示したフローにより、対象イベントについての不正判定 が終了する。
[0058] このようにして対象イベントについての不正判定が終了すると、図 16のフローに示 した PSV更新の処理が行われる。不正判定の処理が終了すると、 PSV演算テープ ルを参照して(S12)、対象イベントについて算出された不正スコアに対応する乗算 値を特定する(S13)。特定した乗算値を一時記憶された PSVに乗じて新たな PSV を算出し (S14)、一時記憶された PSVを算出された PSVに更新することによって、 P SV更新の処理を終了する。
[0059] 尚、図 15及び図 16に示した、不正スコアが基準値を超過するかによってオペレー シヨンの停止を実行する処理(S 10〜S 11)と、 PSV更新の処理(S 12〜S 15)の処 理順序については特に限定されるのではなぐ先の説明とは逆に、 PSV更新の後に 不正スコアと基準値の対比を行うこととしてもょ 、。
図面の簡単な説明
[0060] [図 1]本発明にかかる不正操作監視システムの利用形態を示す図である。
[図 2]本発明にかかる不正操作監視システムの構成を示すブロック図である。
[図 3]本発明にかかる不正操作監視システムによる不正スコアの算出方法を示す図 である。
[図 4]本発明にかかる不正操作監視システムにおける PSV演算テーブルの一例を示 す図である。
[図 5]本発明にかかる不正操作監視システムにおいて原スコアに乗算する値の時間 差による変化の例を示す図である。
[図 6]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 1の図である。
[図 7]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 2の図である。
[図 8]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作
を示す第 3の図である。
[図 9]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 4の図である。
[図 10]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 5の図である。
[図 11]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 6の図である。
[図 12]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 7の図である。
[図 13]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 8の図である。
[図 14]本発明にかかる不正操作監視システムにおける不正スコア監視のための動作 を示す第 9の図である。
[図 15]本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示 す第 1のフローチャートである。
[図 16]本発明にかかる不正操作監視システムにおける不正スコア監視のフローを示 す第 2のフローチャートである。
符号の説明
10 コンピュータ
11 CPU
12 RAM
121 PS V記憶部
13 ROM
14 HDD
141 不正判定プログラム
142 PSV演算プログラム
143 PSV演算テーブル
144 オペレーションログ格納部
145 ユーザプロファイル格納部
146 不正判定ルール格納部
15 NIC
16 外部接続バス
20 入力装置
30 出力装置
0 外部記憶装置
50 不正監視サーバ
Claims
請求の範囲
コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の 操作経過から示される不審値を反映して、前記ユーザの操作によって発生した n回 目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視プ ログラムであって、前記コンピュータのメモリには、前記ユーザの操作によって発生し た n— 1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶さ れていて、前記コンピュータに、
前記ユーザの操作により発生した n回目のイベントを受け付けるイベント受付ステップ と、
前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンビ ユータに備えられた前記イベントが不正操作に該当するかを判断するためのルール を格納する不正ルール格納部、若しくは前記コンピュータ又は前記コンピュータとネ ットワークを通じて接続された他のコンピュータに備えられた前記ユーザの過去の操 作により発生したイベントに関するプロファイルを格納するプロファイル格納部の少な くとも一つを参照して、 n回目のイベントを発生させた操作が不正操作である可能性 を反映した原スコアを算出する原スコア算出ステップと、
n— 1回目のイベントを受け付けた時間と、 n回目のイベントを受け付けた時間との時 間差を算出する時間差算出ステップと、
前記原スコアに、前記時間差と、前記コンピュータのメモリ領域から読み出した前記 不審値を反映して、 n回目のイベントにおける不正操作の確率を示す不正スコアを算 出する不正スコア算出ステップと、
前記不正スコアが所定の基準値を超過する場合には、 n回目のイベントを発生させた 操作により実行される動作を停止させるためのコマンドを実行する不正操作停止ステ ップと、
前記コンピュータのメモリに一時記憶された n— 1回目のイベントにおける不正スコア を反映して設定した不審値を、前記不審値に前記不正スコア算出ステップで算出し た n回目のイベントにおける不正スコアを反映して、 n回目のイベントにおける不正ス コアを反映して設定した不審値に更新して前記コンピュータのメモリに一時記憶させ
る不審値更新ステップと、
を実行させることを特徴とする不正操作監視プログラム。
[2] 前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンビ ユータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部 が備えられていて、
前記不審値更新ステップにお 、ては、前記不正スコア算出ステップで算出した n回 目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し 、前記コンピュータのメモリに一時記憶された n— 1回目のイベントにおける不正スコ ァを反映して設定した不審値に前記乗算値を乗じることによって、 n回目のイベントに おける不正スコアを反映して設定した不審値に更新すること
を特徴とする請求項 1記載の不正操作監視プログラム。
[3] 前記コンピュータに、前記ユーザからのログインを受け付けると、前記不審値を初期 値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを実行 させ、
前記イベント受付ステップにお ヽて受け付けるイベントが、前記ユーザの操作により 発生した 1回目のイベントである場合には、
前記不正スコア算出ステップにお 、ては、前記原スコア算出ステップで算出した原ス コアを不正スコアとして特定し、
前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前 記初期値を、前記初期値に前記不正スコア算出ステップで特定された 1回目のィべ ントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメ モリに一時記憶させること
を特徴とする請求項 1又は 2記載の不正操作監視プログラム。
[4] コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の 操作経過から示される不審値を反映して、前記ユーザの操作によって発生した n回 目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視方 法であって、前記コンピュータのメモリには、前記ユーザの操作によって発生した n— 1回目のイベントにおける不正スコアを反映して設定した不審値が一時記憶されてい
て、
前記コンピュータが、前記ユーザの操作により発生した n回目のイベントを受け付ける イベント受付ステップと、
前記コンピュータ力 前記コンピュータ又は前記コンピュータとネットワークを通じて接 続された他のコンピュータに備えられた前記イベントが不正操作に該当するかを判断 するためのルールを格納する不正ルール格納部、若しくは前記コンピュータ又は前 記コンピュータとネットワークを通じて接続された他のコンピュータに備えられた前記 ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプロファ ィル格納部の少なくとも一つを参照して、 n回目のイベントを発生させた操作が不正 操作である可能性を反映した原スコアを算出する原スコア算出ステップと、 前記コンピュータが、 n— 1回目のイベントを受け付けた時間と、 n回目のイベントを受 け付けた時間との時間差を算出する時間差算出ステップと、
前記コンピュータが、前記原スコアに、前記時間差と、前記コンピュータのメモリ領域 力も読み出した前記不審値を反映して、 n回目のイベントにおける不正操作の確率を 示す不正スコアを算出する不正スコア算出ステップと、
前記コンピュータが、前記不正スコアが所定の基準値を超過する場合には、 n回目の イベントを発生させた操作により実行される動作を停止させるためのコマンドを実行 する不正操作停止ステップと、
前記コンピュータが、前記コンピュータのメモリに一時記憶された n— 1回目のイベント における不正スコアを反映して設定した不審値を、前記不審値に前記不正スコア算 出ステップで算出した n回目のイベントにおける不正スコアを反映して、 n回目のィべ ントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメ モリに一時記憶させる不審値更新ステップと、
を有することを特徴とする不正操作監視方法。
前記コンピュータ又は前記コンピュータとネットワークを通じて接続された他のコンビ ユータには、不正スコアのレベルに対応する乗算値を定めて記憶した乗算値記憶部 が備えられていて、
前記不審値更新ステップにお 、ては、前記不正スコア算出ステップで算出した n回
目のイベントにおける不正スコアに対応する乗算値を前記乗算値記憶部から取得し
、前記コンピュータのメモリに一時記憶された n— 1回目のイベントにおける不正スコ ァを反映して設定した不審値に前記乗算値を乗じることによって、 n回目のイベントに おける不正スコアを反映して設定した不審値に更新すること
を特徴とする請求項 4記載の不正操作監視方法。
[6] 前記コンピュータが、前記ユーザからのログインを受け付けると、前記不審値を初期 値にセットして前記コンピュータのメモリに一時記憶させる初期値記憶ステップを有し ていて、
前記イベント受付ステップにお ヽて受け付けるイベントが、前記ユーザの操作により 発生した 1回目のイベントである場合には、
前記不正スコア算出ステップにお 、ては、前記原スコア算出ステップで算出した原ス コアを不正スコアとして特定し、
前記不審値更新ステップにおいては、前記コンピュータのメモリに一時記憶された前 記初期値を、前記初期値に前記不正スコア算出ステップで特定された 1回目のィべ ントにおける不正スコアを反映して設定した不審値に更新して前記コンピュータのメ モリに一時記憶させること
を特徴とする請求項 4又は 5記載の不正操作監視方法。
[7] コンピュータに対するユーザの不正操作を監視するために、前記ユーザの過去の 操作経過から示される不審値を反映して、前記ユーザの操作によって発生した n回 目のイベントにおける不正操作の確率を示す不正スコアを算出する不正操作監視シ ステムであって、
前記ユーザの操作によって発生したイベントにおける不正スコアを反映して設定した 不審値を一時記憶する不審値記憶手段と、
前記ユーザの操作により発生した n回目のイベントを受け付けるイベント受付手段と、 前記イベント受付手段が受け付けたイベントが不正操作に該当するかを判断するた めのルールを格納する不正ルール格納手段と、
前記ユーザの過去の操作により発生したイベントに関するプロファイルを格納するプ 口ファイル格納手段と、
前記不正ルール格納手段、又は前記プロファイル格納手段の少なくとも一つを参照 して、 n回目のイベントを発生させた操作が不正操作である可能性を反映した原スコ ァを算出する原スコア算出手段と、
n— 1回目のイベントを受け付けた時間と、 n回目のイベントを受け付けた時間との時 間差を算出する時間差算出手段と、
前記原スコアに、前記時間差と、前記不審値記憶手段から読み出した n— 1回目のィ ベントにおける不正スコアを反映して設定した不審値を反映して、 n回目のイベントに おける不正操作の確率を示す不正スコアを算出する不正スコア算出手段と、 前記不正スコアが所定の基準値を超過する場合には、 n回目のイベントを発生させた 操作により実行される動作を停止させるためのコマンドを実行する不正操作停止手 段と、
前記不審値記憶手段に記憶された n— 1回目のイベントにおける不正スコアを反映し て設定した不審値を、前記不審値に前記不正スコア算出手段が算出した不正スコア を反映して、 n回目のイベントにおける不正スコアを反映して設定した不審値に更新 する不審値更新手段と、
を備えることを特徴とする不正操作監視システム。
[8] 前記不正スコア算出手段の算出した不正スコアのレベルに対応する乗算値を定め て記憶した乗算値記憶手段が備えられて!/、て、
前記不審値更新手段は、前記不正スコア算出手段が算出した n回目のイベントにお ける不正スコアに対応する乗算値を前記乗算値記憶手段から取得し、前記不審値記 憶手段に一時記憶された n— 1回目のイベントにおける不正スコアを反映して設定し た不審値に前記乗算値を乗じることによって、 n回目のイベントにおける不正スコアを 反映して設定した不審値に更新すること
を特徴とする請求項 7記載の不正操作監視システム。
[9] ユーザからのログインを受け付けると、前記不審値記憶手段に記憶する不審値を 初期値にセットする不審値初期化手段を備えて 、て、
前記不正スコア算出手段は、前記イベント受付手段が受け付けたイベントが前記ュ 一ザの操作により発生した 1回目のイベントである場合には、前記原スコア算出手段
が算出した原スコアを不正スコアとして特定し、
前記不審値更新手段が 1回目のイベントにおける不正スコアを反映して設定した不 審値を更新する際には、前記不審値記憶手段に記憶された前記初期値を、前記初 期値に前記不正スコア算出手段において特定された不正スコアを反映した不審値に 更新すること
を特徴とする請求項 7又は 8記載の不正操作監視システム。
Priority Applications (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP06702126A EP1978465A4 (en) | 2006-01-05 | 2006-01-05 | UNAUTHORIZED ACCESS MONITORING PROGRAM, METHOD AND SYSTEM FOR UNAUTHORIZED MONITORING |
| CNA2006800521214A CN101366039A (zh) | 2006-01-05 | 2006-01-05 | 非法操作监视程序、非法操作监视方法以及非法操作监视系统 |
| US12/159,918 US20100325726A1 (en) | 2006-01-05 | 2006-01-05 | Unauthorized operation monitoring program, unauthorized operation monitoring method, and unauthorized operation monitoring system |
| JP2006525970A JP3942628B1 (ja) | 2006-01-05 | 2006-01-05 | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
| PCT/JP2006/300021 WO2007077624A1 (ja) | 2006-01-05 | 2006-01-05 | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/JP2006/300021 WO2007077624A1 (ja) | 2006-01-05 | 2006-01-05 | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2007077624A1 true WO2007077624A1 (ja) | 2007-07-12 |
Family
ID=38227988
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/JP2006/300021 WO2007077624A1 (ja) | 2006-01-05 | 2006-01-05 | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20100325726A1 (ja) |
| EP (1) | EP1978465A4 (ja) |
| JP (1) | JP3942628B1 (ja) |
| CN (1) | CN101366039A (ja) |
| WO (1) | WO2007077624A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008158959A (ja) * | 2006-12-26 | 2008-07-10 | Sky Kk | 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8887289B1 (en) * | 2011-03-08 | 2014-11-11 | Symantec Corporation | Systems and methods for monitoring information shared via communication services |
| CN102955912B (zh) * | 2011-08-23 | 2013-11-20 | 腾讯科技(深圳)有限公司 | 一种程序恶意属性判别方法和服务器 |
| CN103632085A (zh) * | 2013-08-28 | 2014-03-12 | 广州品唯软件有限公司 | 黑名单管理方法和系统 |
| JP6223380B2 (ja) * | 2015-04-03 | 2017-11-01 | 三菱電機ビルテクノサービス株式会社 | 中継装置及びプログラム |
| US9674202B1 (en) * | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Techniques for preventing large-scale data breaches utilizing differentiated protection layers |
| US9674201B1 (en) | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Unobtrusive protection for large-scale data breaches utilizing user-specific data object access budgets |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001256064A (ja) * | 2000-03-10 | 2001-09-21 | Mitsubishi Electric Corp | 複数周期実行タスクの最適化スケジューリング方式 |
| JP2003330820A (ja) * | 2002-05-10 | 2003-11-21 | Mitsubishi Electric Corp | 不正アクセス管理装置 |
| JP2004213476A (ja) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | 不正アクセス検出装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6769066B1 (en) * | 1999-10-25 | 2004-07-27 | Visa International Service Association | Method and apparatus for training a neural network model for use in computer network intrusion detection |
-
2006
- 2006-01-05 JP JP2006525970A patent/JP3942628B1/ja active Active
- 2006-01-05 EP EP06702126A patent/EP1978465A4/en not_active Withdrawn
- 2006-01-05 US US12/159,918 patent/US20100325726A1/en not_active Abandoned
- 2006-01-05 WO PCT/JP2006/300021 patent/WO2007077624A1/ja active Application Filing
- 2006-01-05 CN CNA2006800521214A patent/CN101366039A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001256064A (ja) * | 2000-03-10 | 2001-09-21 | Mitsubishi Electric Corp | 複数周期実行タスクの最適化スケジューリング方式 |
| JP2003330820A (ja) * | 2002-05-10 | 2003-11-21 | Mitsubishi Electric Corp | 不正アクセス管理装置 |
| JP2004213476A (ja) * | 2003-01-07 | 2004-07-29 | Nri & Ncc Co Ltd | 不正アクセス検出装置 |
Non-Patent Citations (2)
| Title |
|---|
| "Naibu Joho Roei Taisaku System CWAT Saishin no Naibu Joho Roei Taisaku System 'CWAT' ni Tsuite", KABUSHIKI KAISHA INTELLIGENT WAVE, 28 October 2005 (2005-10-28), XP003015066, Retrieved from the Internet <URL:http://www.expo.nikkeibp.co.jp/secu-ex/2005/img_work/1028_10.pdf> * |
| See also references of EP1978465A4 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008158959A (ja) * | 2006-12-26 | 2008-07-10 | Sky Kk | 端末監視サーバと端末監視プログラムとデータ処理端末とデータ処理端末プログラム |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1978465A1 (en) | 2008-10-08 |
| JPWO2007077624A1 (ja) | 2009-06-04 |
| CN101366039A (zh) | 2009-02-11 |
| US20100325726A1 (en) | 2010-12-23 |
| JP3942628B1 (ja) | 2007-07-11 |
| EP1978465A4 (en) | 2010-04-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109815332B (zh) | 损失函数优化方法、装置、计算机设备及存储介质 | |
| WO2007077624A1 (ja) | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム | |
| US9607155B2 (en) | Method and system for analyzing an environment | |
| JP5155909B2 (ja) | 操作監視システム及び操作監視プログラム | |
| JP5179792B2 (ja) | 操作検知システム | |
| CN102037472B (zh) | 软件信誉的建立和监控系统及方法 | |
| WO2006105443A2 (en) | Automated change approval | |
| CN101447113A (zh) | 构建基于Internet浏览器的自助终端客户端的方法 | |
| WO2020004315A1 (ja) | 異常検知装置、および、異常検知方法 | |
| JP2007183911A (ja) | 不正操作監視プログラム、不正操作監視方法、及び不正操作監視システム | |
| JP6282217B2 (ja) | 不正プログラム対策システムおよび不正プログラム対策方法 | |
| US20070180516A1 (en) | Unauthorized operation judgment system, unauthorized operation judgment method, and unauthorized operation judgement program | |
| US10204036B2 (en) | System and method for altering application functionality | |
| EP2980697B1 (en) | System and method for altering a functionality of an application | |
| CN110619214A (zh) | 一种监控软件正常运行的方法和装置 | |
| JP2004139292A (ja) | アクセス制御のポリシー診断システム | |
| DE102013104988A1 (de) | Verfahren und Vorrichtungen zum Identifizieren einer Verschlechterung der Integrität eines Prozesssteuerungssystems | |
| CN114860481A (zh) | 剪贴板保护方法、系统、存储介质及计算机设备 | |
| US20180373603A1 (en) | Web Application System and Database Utilization Method Therefor | |
| JP2009053896A (ja) | 不正操作検出装置およびプログラム | |
| CN106572083A (zh) | 一种日志处理方法及系统 | |
| CN111353150A (zh) | 一种可信启动方法、装置、电子设备及可读存储介质 | |
| US7482946B2 (en) | Method and apparatus for camouflaging business-activity information in a telemetry signal | |
| CN113888339B (zh) | 一种风险事件的核查方法、装置、设备及存储介质 | |
| JP2015141643A (ja) | 業務システムの監視装置及び監視装置の制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| WWE | Wipo information: entry into national phase |
Ref document number: 2006525970 Country of ref document: JP |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 200680052121.4 Country of ref document: CN |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2006702126 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 12159918 Country of ref document: US |