ホーム > 特許ランキング > LINEヤフー株式会社
知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024118312
(43)【公開日】2024-08-30
(54)【発明の名称】情報処理装置、情報処理方法、及び情報処理プログラム
(51)【国際特許分類】
G06Q 50/10 20120101AFI20240823BHJP
【FI】
G06Q50/10
【審査請求】未請求
【請求項の数】5
【出願形態】OL
(21)【出願番号】P 2023024670
(22)【出願日】2023-02-20
(71)【出願人】
【識別番号】500257300
【氏名又は名称】LINEヤフー株式会社
(74)【代理人】
【識別番号】110002147
【氏名又は名称】弁理士法人酒井国際特許事務所
(72)【発明者】
【氏名】中村 征良
【テーマコード(参考)】
5L049
5L050
【Fターム(参考)】
5L049CC12
5L049CC17
5L050CC12
5L050CC17
(57)【要約】
【課題】アクセス情報を分析して有用な情報を得ることができる情報処理装置、情報処理方法、及び情報処理プログラムを提供すること。
【解決手段】本開示に係る情報処理装置は、利用者のアクセスに関する情報を示すアクセス情報を取得する取得部と、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部と、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部と、全体アクセス分布と、個別アクセス分布との類似度を算出する類似度算出部と、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部と、を備える。
【選択図】図3
【解決手段】本開示に係る情報処理装置は、利用者のアクセスに関する情報を示すアクセス情報を取得する取得部と、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部と、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部と、全体アクセス分布と、個別アクセス分布との類似度を算出する類似度算出部と、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部と、を備える。
【選択図】図3
【特許請求の範囲】
【請求項1】
利用者のアクセスに関する情報を示すアクセス情報を取得する取得部と、
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部と、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部と、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出する類似度算出部と、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部と、
を備える、情報処理装置。
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部と、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部と、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出する類似度算出部と、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部と、
を備える、情報処理装置。
【請求項2】
前記類似度算出部は、前記全体アクセス分布における時系列アクセス分布と、前記個別アクセス分布における時系列アクセス分布の違いに基づいて、前記類似度を算出する、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項3】
前記類似度算出部は、前記全体アクセス分布におけるアクセス元IPアドレス分布と、前記個別アクセス分布におけるアクセス元IPアドレス分布の違いに基づいて、前記類似度を算出する、
請求項1に記載の情報処理装置。
請求項1に記載の情報処理装置。
【請求項4】
利用者のアクセスに関する情報を示すアクセス情報を取得するステップと、
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出するステップと、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、
を含む、情報処理方法。
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出するステップと、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、
を含む、情報処理方法。
【請求項5】
利用者のアクセスに関する情報を示すアクセス情報を取得するステップと、
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出するステップと、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、
をコンピュータに実行させる情報処理プログラム。
前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、
前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、
前記全体アクセス分布と、前記個別アクセス分布との類似度を算出するステップと、
前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、
をコンピュータに実行させる情報処理プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、情報処理装置、情報処理方法、及び情報処理プログラムに関する。
【背景技術】
【0002】
EC(Electronic Commerce)サイトなどを運営する情報提供サービスを実施する事業者のサーバには、多方面からのアクセスがある。そのため、情報提供サービス事業者のサーバには、アクセスに関する多くのデータが蓄積されており、アクセスデータを監視して、障害や攻撃、不正などを検知することが行われていた。
【0003】
例えば、下記の特許文献1には、アクセスログに含まれるユーザの動線情報を分析するプログラムを実行するプロセッサと、ユーザの過去の動線情報をモデル化したアクセスモデルを格納する記憶装置と、を備え、プロセッサは、ユーザの現時点の動線情報とアクセスモデルとを照合することにより、ユーザの行動の変化の度合いを示す第1の値を算出することを特徴とするデータ分析装置が開示されている。
【先行技術文献】
【特許文献】
【0004】
【特許文献1】特開2016-21132号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1に記載のデータ分析装置は、事前に取得されたアクセスログに含まれる動線情報に基づいて作成されたユーザのアクセスモデルを照合してユーザの変化を検出することはできるものの、所定ドメインに含まれる個別ページに関する不正アクセスを判定することはできなかった。
【0006】
本開示は上記課題を鑑み、アクセス情報を分析して有用な情報を得ることができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することを目的とする。
【課題を解決するための手段】
【0007】
上述した課題を解決し、目的を達成するために、本開示に係る情報処理装置は、利用者のアクセスに関する情報を示すアクセス情報を取得する取得部と、前記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部と、前記アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部と、前記全体アクセス分布と、前記個別アクセス分布との類似度を算出する類似度算出部と、前記類似度が所定の閾値を超える前記個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部と、を備える。
【発明の効果】
【0008】
本開示によれば、アクセス情報を分析して有用な情報を得ることができる情報処理装置、情報処理方法、及び情報処理プログラムを提供することができる。
【図面の簡単な説明】
【0009】
【発明を実施するための形態】
【0010】
以下に、本開示に係る情報処理装置、情報処理方法、及び情報処理プログラムを実施するための形態(以下、「実施形態」と記載する。)について図面を参照しつつ詳細に説明する。なお、この実施形態により本開示に係る情報処理装置、情報処理方法、及び情報処理プログラムが限定されるものではない。
【0011】
(実施形態)
〔1.実施形態に係る情報処理〕
〔1-1.実施形態に係る情報処理の一例〕
まず、図1を用いて、実施形態に係る情報処理の一例について説明する。図1は、実施形態に係る情報処理の一例を示す図である。図1では、実施形態に係る情報処理が情報処理装置100、利用者端末200により実行される例を示す。以下、実施形態に係る情報処理についてステップごとに順を追って説明する。
〔1.実施形態に係る情報処理〕
〔1-1.実施形態に係る情報処理の一例〕
まず、図1を用いて、実施形態に係る情報処理の一例について説明する。図1は、実施形態に係る情報処理の一例を示す図である。図1では、実施形態に係る情報処理が情報処理装置100、利用者端末200により実行される例を示す。以下、実施形態に係る情報処理についてステップごとに順を追って説明する。
【0012】
まず、情報処理装置100は、利用者端末200から利用者のアクセス情報を取得する(ステップS1)。ここで、アクセス情報とは、利用者が利用者端末200を用いて情報処理装置100にアクセスしたときの行動に関する情報のことを指している。アクセス情報は、例えば、ユーザがWEBサイトにログインした時からWEBサイトからログアウトするまでの情報が記録されていてよく、WEBサイト上でのページ遷移の情報、WEBサイトを訪れた時間の情報、及びWEBサイトでのクリック履歴などの利用者の行動に関する情報が含まれていてよい。情報処理装置100は、利用者端末200からアクセス情報を取得したら、取得したアクセス情報をアクセス情報記憶部121に記憶する。
【0013】
次に、情報処理装置100は、アクセス情報に基づいて、利用者の全体アクセス分布を特定する(ステップS2)。例えば、情報処理装置100は、全体アクセス分布として、アクセスの時系列分布、アクセス元IPアドレスの分布、アクセス先での行動の分布を、アクセス情報が示すデータの所定ドメイン全体のアクセス傾向を確率モデル、言い換えると、確率分布などによって近似して全体アクセス分布を特定する。
【0014】
次に、情報処理装置100は、アクセス情報に基づいて、個別アクセス分布を特定する(ステップS3)。例えば、情報処理装置100は、所定のドメインに含まれるページ単位での、アクセスの時系列分布、アクセス元IPアドレス分布、アクセス先での行動の分布を特定する。具体的には、情報処理装置100は、アクセス情報が示すデータの所定ドメインの各ページ単位でのアクセス傾向を確率モデルなどによって近似して個別アクセス分布を特定する。
【0015】
次に、情報処理装置100は、個別アクセス分布と、全体アクセス分布の類似度に基づいて不正アクセスを判定する(ステップS4)。例えば、情報処理装置100は、全体アクセス分布の確率モデルと、個別アクセス分布の確率モデルとを比較して、両者の類似度を計算する。類似度を計算する方法は、二つの確率モデルの間の重なり具合を測るKL(Kullback-Leibler)ダイバージェンス、JS(Jensen-shannon)ダイバージェンスを算出することにより実現されてよい。なお、KLダイバージェンス、及びJSダイバージェンスによる表される類似度は、数値が大きいほど、二つの確率モデルが似ていないことを示す。例えば、情報処理装置100は、所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合に、所定の閾値、例えば、2を超える場合に、不正アクセスがあったと判定してよい。また、情報処理装置100は、類似度算出部134が所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合であれば、例えば、0.5を超える場合に、不正アクセスがあったと判定してよい。
【0016】
これによれば、所定ドメイン全体の全体アクセス分布と、所定ドメインの各ページ単位の個別アクセス分布を比較して、類似度が所定の閾値を超えるページがある場合に、不正アクセスがあったと判定して、不正アクセスを検知することができる。そのため、アクセス情報を分析して有用な情報を得ることができる情報処理装置100を提供することができる。
【0017】
〔1-2.実施形態に係る情報処理の他の例〕
情報処理装置100は、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて、類似度を算出する。
情報処理装置100は、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて、類似度を算出する。
【0018】
この情報処理について順を追って説明する。まず、情報処理装置100は、図1に示したステップS1からS3と同じ処理を実行する。ステップS1からS3は、上述した処理と同じであるから説明を省略する。
【0019】
次に、情報処理装置100は、全体アクセス分布の時系列の変化と、個別アクセス分布の時系列の変化の違いに基づいて、類似度を算出し、個別アクセス分布と、全体アクセス分布の類似度に基づいて不正アクセスを判定する(ステップS4-1)。例えば、情報処理装置100は、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて、KLダイバージェンス、JSダイバージェンスを算出することによって両者の類似度を計算する。そして、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の類似度が所定の閾値を超えるページがある場合に、不正アクセスを判定する。つまり、情報処理装置100は、所定ドメイン全体の時系列アクセス分布と、所定ドメインに含まれる個別ページの時系列アクセス分布の類似度を算出して、個々の類似度に基づいて、不正アクセスを判定する。
【0020】
これによれば、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて類似度を算出することができる。そのため、不正アクセスの判定において、時系列アクセス分布の類似度に基づいて、不正アクセスを判定することができる。
【0021】
〔1-3.実施形態に係る情報処理の他の例〕
情報処理装置100は、全体アクセス分布における利用者のアクセスの訪問先の分布と、個別アクセス分布における利用者のアクセスの訪問先の分布の違いに基づいて、類似度を算出する。
情報処理装置100は、全体アクセス分布における利用者のアクセスの訪問先の分布と、個別アクセス分布における利用者のアクセスの訪問先の分布の違いに基づいて、類似度を算出する。
【0022】
この情報処理について順を追って説明する。まず、情報処理装置100は、図1に示したステップS1からS3と同じ処理を実行する。ステップS1からS3は、上述した処理と同じであるから説明を省略する。
【0023】
次に、情報処理装置100は、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の違いに基づいて、類似度を算出し、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の類似度に基づいて不正アクセスを判定する(ステップS4-2)。例えば、情報処理装置100は、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の違いに基づいて、KLダイバージェンス、JSダイバージェンスを算出することによって両者の類似度を計算する。そして、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の類似度が所定の閾値を超えるページがある場合に、不正アクセスを判定する。つまり、情報処理装置100は、所定ドメイン全体のアクセス元IPアドレス分布と、所定ドメインに含まれる個別ページのアクセス元IPアドレス分布の類似度を算出して、個々の類似度に基づいて、不正アクセスを判定する。
【0024】
これによれば、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレスの違いに基づいて類似度を算出することができる。そのため、不正アクセスの判定において、アクセス元IPアドレス分布の類似度に基づいて、不正アクセスを判定することができる。
【0025】
〔2.情報処理システムの構成〕
次に、図2を用いて実施形態に係る情報処理システムの構成について説明する。図2は、実施形態に係る情報処理システムの構成例を示す図である。図2に示すように、実施形態に係る情報処理システム1は、情報処理装置100と、利用者端末200と、ネットワークNを有する。以下、これらの構成について簡単に順を追って説明する。
次に、図2を用いて実施形態に係る情報処理システムの構成について説明する。図2は、実施形態に係る情報処理システムの構成例を示す図である。図2に示すように、実施形態に係る情報処理システム1は、情報処理装置100と、利用者端末200と、ネットワークNを有する。以下、これらの構成について簡単に順を追って説明する。
【0026】
情報処理装置100は、例えばPC(Personal Computer)、WS(Work Station)、サーバの機能を備えるコンピュータなどの情報処理装置であってよい。情報処理装置100は、例えば、利用者端末200からネットワークNを介して送信されてきた情報に基づいて処理を行う。
【0027】
利用者端末200は、利用者が利用する情報処理装置である。利用者端末200は、例えば、スマートフォン、タブレット型端末、デスクトップ型PC、ノート型PC、携帯電話機、PDA(Personal Digital Assistant)等の情報処理装置であってよい。なお、図1に示す例においては、利用者端末200がスマートフォンである場合を示している。
【0028】
ネットワークNは、情報処理装置100と、利用者端末200を有線、又は無線により相互に通信可能に接続する。ネットワークNが有線の場合は、IEEE802.3に規定されるイーサネット(登録商標)(ETHERNET(登録商標))により実現されてよい。また、ネットワークNが無線の場合は、IEEE802.11に規定される無線LAN(Local Area Network)により実現されてよい。
【0029】
〔3.情報処理装置の構成〕
次に、図3を用いて、情報処理装置100の構成について説明する。
次に、図3を用いて、情報処理装置100の構成について説明する。
【0030】
【0031】
(通信部110について)
通信部110は、例えば、NIC(Network Interface Card)、無線LAN(Local Area Network)カード等によって実現される。そして、通信部110は、ネットワークNと有線または無線で接続され、利用者端末200などとの間で情報の送受信を行う。
通信部110は、例えば、NIC(Network Interface Card)、無線LAN(Local Area Network)カード等によって実現される。そして、通信部110は、ネットワークNと有線または無線で接続され、利用者端末200などとの間で情報の送受信を行う。
【0032】
(記憶部120について)
記憶部120は、主記憶装置と外部記憶装置とを備える。主記憶装置は、制御部130が実行するプログラム、あるいは制御部130が処理するデータを記憶する。主記憶装置は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等のような半導体メモリ素子によって実現されてよい。外部記憶装置は、制御部130が処理するデータを保存する。外部記憶装置は、例えば、ハードディスクやSSD(Solid State Drive)、磁気テープ、光ディスク等によって実現されてよい。
記憶部120は、主記憶装置と外部記憶装置とを備える。主記憶装置は、制御部130が実行するプログラム、あるいは制御部130が処理するデータを記憶する。主記憶装置は、例えば、RAM(Random Access Memory)、ROM(Read Only Memory)、フラッシュメモリ(Flash Memory)等のような半導体メモリ素子によって実現されてよい。外部記憶装置は、制御部130が処理するデータを保存する。外部記憶装置は、例えば、ハードディスクやSSD(Solid State Drive)、磁気テープ、光ディスク等によって実現されてよい。
【0033】
図3に示すように、記憶部120は、アクセス情報記憶部121を有する。以下、これらの構成について順を追って説明する。
【0034】
(アクセス情報記憶部121について)
アクセス情報記憶部121は、アクセスに関係する情報を記憶する。ここで、図4を用いて、アクセス情報記憶部121が記憶する情報の一例を説明する。図4は、実施形態に係る情報処理装置のアクセス情報記憶部に記憶される情報の一例を示す図である。
アクセス情報記憶部121は、アクセスに関係する情報を記憶する。ここで、図4を用いて、アクセス情報記憶部121が記憶する情報の一例を説明する。図4は、実施形態に係る情報処理装置のアクセス情報記憶部に記憶される情報の一例を示す図である。
【0035】
図4に示す例において、アクセス情報記憶部121は、「アクセスID」、「IPアドレス」、「アクセス日時」、「訪問先」、「行動情報」という項目に係る情報を紐付けて記憶する。
【0036】
「アクセスID」は、アクセスを識別する識別子であり、文字列や番号などによって表される。なお、「アクセスID」には、アクセスがあった利用者端末200や利用者を識別する識別子が含まれていてもよい。「IPアドレス」は、「アクセスID」によって識別されるアクセスがあったIPアドレスを示す。「アクセス日時」は、「アクセスID」により識別されるアクセスの日時を示し、例えば、ログイン日時とログオフ日時が含まれていてよい。「訪問先」は、「アクセスID」が示すアクセスによって訪問したWEBサイトに関する情報を示す。「行動情報」は、「訪問先」が示すWEBサイトによって行われたリンクのクリックや、入力ボックスへの文字入力などの行動に関する情報を示す。
【0037】
すなわち、図4においては、アクセスID「AID#1」により識別されるアクセスのIPアドレスが「IPAD#1」であり、アクセス日時が「ACTM#1」であり、訪問先が「VSST#1」であり、行動情報が「ACT#1」であることを示している。
【0038】
なお、アクセス情報記憶部121に記憶される情報は、「アクセスID」、「IPアドレス」、「アクセス日時」、「訪問先」、「行動情報」という項目に係る情報に限定されるものではなく、その他の任意のアクセスに関係する情報が記憶されてよい。
【0039】
(制御部130について)
次に、図3に戻って、制御部130について説明する。制御部130は、情報処理装置100を制御するコントローラ(Controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、情報処理装置100の記憶部120に記憶されている各種プログラムを読み出して、RAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array))等の集積回路により実現されてもよい。
次に、図3に戻って、制御部130について説明する。制御部130は、情報処理装置100を制御するコントローラ(Controller)であり、例えば、CPU(Central Processing Unit)やMPU(Micro Processing Unit)等によって、情報処理装置100の記憶部120に記憶されている各種プログラムを読み出して、RAMを作業領域として実行されることにより実現される。また、制御部130は、コントローラであり、例えば、ASIC(Application Specific Integrated Circuit)やFPGA(Field Programmable Gate Array))等の集積回路により実現されてもよい。
【0040】
制御部130は、図3に示すように、取得部131と、全体分布特定部132と、個別分布特定部133と、類似度算出部134と、不正判定部135を有する。制御部130は、記憶部120からプログラムを読み出して、RAMを作業領域として実行することで、これらの機能を実現して、以下に説明する情報処理の機能や作用を実現または実行する。以下、これらの処理を、順を追って説明する。
【0041】
(取得部131について)
取得部131は、利用者のアクセスに関する情報を示すアクセス情報を取得する。この場合のアクセス情報には、例えば、ユーザがWEBサイトにログインした時からWEBサイトからログアウトするまでの情報が記録されていてよく、WEBサイト上でのページ遷移の情報、WEBサイトを訪れた時間の情報、及びWEBサイトでのクリック履歴などの利用者の行動に関する情報が含まれていてよい。取得部131は、利用者端末200からアクセスがあるたびに、利用者端末200からアクセス情報を取得して、取得したアクセス情報をアクセス情報記憶部121に記憶する。
取得部131は、利用者のアクセスに関する情報を示すアクセス情報を取得する。この場合のアクセス情報には、例えば、ユーザがWEBサイトにログインした時からWEBサイトからログアウトするまでの情報が記録されていてよく、WEBサイト上でのページ遷移の情報、WEBサイトを訪れた時間の情報、及びWEBサイトでのクリック履歴などの利用者の行動に関する情報が含まれていてよい。取得部131は、利用者端末200からアクセスがあるたびに、利用者端末200からアクセス情報を取得して、取得したアクセス情報をアクセス情報記憶部121に記憶する。
【0042】
(全体分布特定部132について)
全体分布特定部132は、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する。所定ドメインとは、ツリー構造に形成されたWEBサイトの体系に含まれる個々ページの集合体のことを指している。ここで、全体アクセス分布としては、アクセスの時系列分布、アクセス元IPアドレスの分布、アクセス先での行動の分布が挙げられる。全体分布特定部132は、アクセス情報が示すデータの所定ドメイン全体のアクセス傾向を確率モデル、言い換えると、確率分布などによって近似して全体アクセス分布を特定する。
全体分布特定部132は、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する。所定ドメインとは、ツリー構造に形成されたWEBサイトの体系に含まれる個々ページの集合体のことを指している。ここで、全体アクセス分布としては、アクセスの時系列分布、アクセス元IPアドレスの分布、アクセス先での行動の分布が挙げられる。全体分布特定部132は、アクセス情報が示すデータの所定ドメイン全体のアクセス傾向を確率モデル、言い換えると、確率分布などによって近似して全体アクセス分布を特定する。
【0043】
(個別分布特定部133について)
個別分布特定部133は、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する。すなわち、個別分布特定部133は、ドメインに含まれるページ単位での、アクセスの時系列分布、アクセス元IPアドレス分布、アクセス先での行動の分布を特定する。個別分布特定部133は、アクセス情報が示すデータの所定ドメインの各ページ単位でのアクセス傾向を確率モデルなどによって近似して個別アクセス分布を特定する。
個別分布特定部133は、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する。すなわち、個別分布特定部133は、ドメインに含まれるページ単位での、アクセスの時系列分布、アクセス元IPアドレス分布、アクセス先での行動の分布を特定する。個別分布特定部133は、アクセス情報が示すデータの所定ドメインの各ページ単位でのアクセス傾向を確率モデルなどによって近似して個別アクセス分布を特定する。
【0044】
(類似度算出部134について)
類似度算出部134は、全体アクセス分布と、個別アクセス分布との類似度を算出する。類似度算出部134は、全体アクセス分布の確率モデルと、個別アクセス分布の確率モデルとを比較して、両者の類似度を計算する。例えば、類似度算出部134は、所定ドメインに含まれるページ単位の個別アクセス分布と、全体アクセス分布との類似度をそれぞれ算出する。類似度は、全体アクセス分布、及び個別アクセス分布に含まれるアクセスの時系列分布、アクセス元IPアドレス分布、アクセス先での行動分布のそれぞれについて計算される。なお、類似度を計算する方法は、二つの確率モデルの間の重なり具合を測るKL(Kullback-Leibler)ダイバージェンス、JS(Jensen-shannon)ダイバージェンスを算出することにより実現されてよい。なお、KLダイバージェンス、及びJSダイバージェンスによる表される類似度は、数値が大きいほど、二つの確率モデルが似ていないことを示す。
類似度算出部134は、全体アクセス分布と、個別アクセス分布との類似度を算出する。類似度算出部134は、全体アクセス分布の確率モデルと、個別アクセス分布の確率モデルとを比較して、両者の類似度を計算する。例えば、類似度算出部134は、所定ドメインに含まれるページ単位の個別アクセス分布と、全体アクセス分布との類似度をそれぞれ算出する。類似度は、全体アクセス分布、及び個別アクセス分布に含まれるアクセスの時系列分布、アクセス元IPアドレス分布、アクセス先での行動分布のそれぞれについて計算される。なお、類似度を計算する方法は、二つの確率モデルの間の重なり具合を測るKL(Kullback-Leibler)ダイバージェンス、JS(Jensen-shannon)ダイバージェンスを算出することにより実現されてよい。なお、KLダイバージェンス、及びJSダイバージェンスによる表される類似度は、数値が大きいほど、二つの確率モデルが似ていないことを示す。
【0045】
すなわち、類似度算出部134は、全体アクセス分布におけるアクセスの時系列分布と、個別アクセス分布におけるアクセスの時系列分布の違いに基づいて、類似度を算出する。類似度算出部134が全体アクセス分布におけるアクセスの時系列分布と、個別アクセス分布におけるアクセスの時系列分布の違いに基づいて、類似度を算出する場合は、アクセスの時系列分布の確率モデルの間の重なり具合を測って類似度を算出してよい。
【0046】
類似度算出部134は、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の違いに基づいて、類似度を算出する。類似度算出部134が全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元アドレス分布の違いに基づいて、類似度を算出する場合は、アクセス元IPアドレスの確率モデルの重なり具合を測って類似度を算出してよい。
【0047】
(不正判定部135について)
不正判定部135は、全体アクセス分布と、個別アクセス分布の類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する。例えば、不正判定部135は、類似度算出部134が所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合に、所定の閾値、例えば、2を超える場合に、不正アクセスがあったと判定してよい。また、不正判定部135は、類似度算出部134が所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合であれば、例えば、0.5を超える場合に、不正アクセスがあったと判定してよい。
不正判定部135は、全体アクセス分布と、個別アクセス分布の類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する。例えば、不正判定部135は、類似度算出部134が所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合に、所定の閾値、例えば、2を超える場合に、不正アクセスがあったと判定してよい。また、不正判定部135は、類似度算出部134が所定ドメインにおける全体アクセス分布と、個別アクセス分布の類似度を、KLダイバージェンスを用いて算出した場合であれば、例えば、0.5を超える場合に、不正アクセスがあったと判定してよい。
【0048】
〔4.利用者端末の構成〕
次に、図5を用いて、実施形態に係る利用者端末200の構成について説明する。図5は、実施形態に係る利用者端末の構成例を示す図である。図5に示すように、利用者端末200は、通信部210と、入力部220と、出力部230と、制御部240を有する。
次に、図5を用いて、実施形態に係る利用者端末200の構成について説明する。図5は、実施形態に係る利用者端末の構成例を示す図である。図5に示すように、利用者端末200は、通信部210と、入力部220と、出力部230と、制御部240を有する。
【0049】
通信部210は、例えば、NIC、無線LANカード等によって実現される。そして、通信部210は、ネットワークNと有線又は無線で接続され、ネットワークNを介して、情報処理装置100との間で各種の情報の送受信を行う。
【0050】
入力部220は、利用者から各種の操作情報が入力される。例えば、入力部220は、タッチパネルにより表示面(例えば出力部230)を介して利用者からの各種操作を受け付けてもよい。また、入力部220は、利用者端末200に設けられたボタンや、利用者端末200に接続されたキーボードやマウスからの各種操作を受け付けてもよい。
【0051】
出力部230は、例えば液晶ディスプレイや有機EL(Electro-Luminescence)ディスプレイ等によって実現されるタブレット型端末等の表示画面であり、各種情報を表示するための表示装置である。つまり、利用者端末200は、入力部220がタッチパネルである場合は、出力部230である表示画面により利用者の入力を受け付け、利用者への出力も行う。また、出力部230は、スピーカーであってもよく、スピーカーにより音声を出力してよい。
【0052】
制御部240は、例えば、CPUやMPU等によって、利用者端末200に記憶されている各種プログラムがRAMを作業領域として実行されることにより実現される。また、制御部240は、例えば、ASICやFPGA等の集積回路により実現されてもよい。
【0053】
図5に示すように、制御部240は、受付部241を有する。
【0054】
受付部241は、利用者の操作を受け付ける。例えば、受付部241は、利用者の所定のWEBサイトへのアクセスに関する操作を受け付ける。例えば、受付部241は、利用者からWEBサイトに表示されたリンクに対するクリック操作や、文字入力ボックスへの文字入力操作、スクロールバーに対するスワイプ操作といった操作を受け付ける。
【0055】
〔5.情報処理のフロー〕
次に、図6を用いて、実施形態に係る情報処理の手順について説明する。図6は、実施形態に係る情報処理の一例を示すフローチャートである。以下、図6に示すフローチャートに沿って、実施形態に係る情報処理の手順について説明する。
次に、図6を用いて、実施形態に係る情報処理の手順について説明する。図6は、実施形態に係る情報処理の一例を示すフローチャートである。以下、図6に示すフローチャートに沿って、実施形態に係る情報処理の手順について説明する。
【0056】
まず、情報処理装置100は、利用者のアクセスに関する情報を示すアクセス情報を取得する(ステップS101)。次に、情報処理装置100は、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する(ステップS102)。そして、情報処理装置100は、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する(ステップS103)。そして、情報処理装置100は、全体アクセス分布と、個別アクセス分布との類似度を算出する(ステップS104)。そして、情報処理装置100は、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する(ステップS105)。
【0057】
これによれば、所定ドメイン全体の全体アクセス分布と、所定ドメインの各ページ単位の個別アクセス分布を比較して、類似度が所定の閾値を超えるページがある場合に、不正アクセスがあったと判定して、不正アクセスを検知することができる。そのため、アクセス情報を分析して有用な情報を得ることができる情報処理装置100、情報処理方法、及び情報処理プログラムを提供することができる。
【0058】
〔6.ハードウェア構成〕
また、上述した実施形態に係る情報処理装置100は、例えば図7に示すような構成のコンピュータ1000によって実現される。図7は、情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ1000は、出力装置1010、入力装置1020と接続され、演算装置1030、一次記憶装置1040、二次記憶装置1050、出力IF(Interface)1060、入力IF1070、ネットワークIF1080がバス1090により接続された形態を有する。
また、上述した実施形態に係る情報処理装置100は、例えば図7に示すような構成のコンピュータ1000によって実現される。図7は、情報処理装置の機能を実現するコンピュータの一例を示すハードウェア構成図である。コンピュータ1000は、出力装置1010、入力装置1020と接続され、演算装置1030、一次記憶装置1040、二次記憶装置1050、出力IF(Interface)1060、入力IF1070、ネットワークIF1080がバス1090により接続された形態を有する。
【0059】
演算装置1030は、一次記憶装置1040や二次記憶装置1050に格納されたプログラムや入力装置1020から読み出したプログラム等に基づいて動作し、各種の処理を実行する。一次記憶装置1040は、RAM等、演算装置1030が各種の演算に用いるデータを一次的に記憶するメモリ装置である。また、二次記憶装置1050は、演算装置1030が各種の演算に用いるデータや、各種のデータベースが記憶される記憶装置であり、ROM(Read Only Memory)、HDD(Hard Disk Drive)、フラッシュメモリ等により実現される。
【0060】
出力IF1060は、モニタやプリンタといった各種の情報を出力する出力装置1010に対し、出力対象となる情報を送信するためのインタフェースであり、例えば、USB(Universal Serial Bus)やDVI(Digital Visual Interface)、HDMI(登録商標)(High Definition Multimedia Interface)といった規格のコネクタにより実現される。また、入力IF1070は、マウス、キーボード、およびスキャナ等といった各種の入力装置1020から情報を受信するためのインタフェースであり、例えば、USB等により実現される。
【0061】
なお、入力装置1020は、例えば、CD(Compact Disc)、DVD(Digital Versatile Disc)、PD(Phase change rewritable Disk)等の光学記録媒体、MO(Magneto-Optical disk)等の光磁気記録媒体、テープ媒体、磁気記録媒体、または半導体メモリ等から情報を読み出す装置であってもよい。また、入力装置1020は、USBメモリ等の外付け記憶媒体であってもよい。
【0062】
ネットワークIF1080は、ネットワークNを介して他の機器からデータを受信して演算装置1030へ送り、また、ネットワークNを介して演算装置1030が生成したデータを他の機器へ送信する。
【0063】
演算装置1030は、出力IF1060や入力IF1070を介して、出力装置1010や入力装置1020の制御を行う。例えば、演算装置1030は、入力装置1020や二次記憶装置1050からプログラムを一次記憶装置1040上にロードし、ロードしたプログラムを実行する。
【0064】
例えば、コンピュータ1000が情報処理装置100として機能する場合、コンピュータ1000の演算装置1030は、一次記憶装置1040上にロードされたプログラムを実行することにより、情報処理装置100の制御部130の機能を実現する。
【0065】
〔7.構成と効果〕
本開示に係る情報処理装置100は、利用者のアクセスに関する情報を示すアクセス情報を取得する取得部131と、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部132と、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部133と、全体アクセス分布と、個別アクセス分布との類似度を算出する類似度算出部134と、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部135と、を備える。
本開示に係る情報処理装置100は、利用者のアクセスに関する情報を示すアクセス情報を取得する取得部131と、アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定する全体分布特定部132と、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定する個別分布特定部133と、全体アクセス分布と、個別アクセス分布との類似度を算出する類似度算出部134と、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定する不正判定部135と、を備える。
【0066】
この構成によれば、所定ドメイン全体の全体アクセス分布と、所定ドメインの各ページ単位の個別アクセス分布を比較して、類似度が所定の閾値を超えるページがある場合に、不正アクセスがあったと判定して、不正アクセスを検知することができる。そのため、アクセス情報を分析して有用な情報を得ることができる情報処理装置100を提供することができる。
【0067】
本開示に係る情報処理装置100の類似度算出部134は、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて、類似度を算出する。
【0068】
この構成によれば、全体アクセス分布における時系列アクセス分布と、個別アクセス分布における時系列アクセス分布の違いに基づいて類似度を算出することができる。そのため、不正アクセスの判定において、時系列アクセス分布の類似度に基づいて、不正アクセスを判定することができる。
【0069】
本開示に係る情報処理装置100の類似度算出部134は、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレス分布の違いに基づいて、類似度を算出する。
【0070】
この構成によれば、全体アクセス分布におけるアクセス元IPアドレス分布と、個別アクセス分布におけるアクセス元IPアドレスの違いに基づいて類似度を算出することができる。そのため、不正アクセスの判定において、アクセス元IPアドレス分布の類似度に基づいて、不正アクセスを判定することができる。
【0071】
本開示に係る情報処理方法は、利用者のアクセスに関する情報を示すアクセス情報を取得するステップと、記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、全体アクセス分布と、個別アクセス分布との類似度を算出するステップと、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、を含む。
【0072】
この構成によれば、所定ドメイン全体の全体アクセス分布と、所定ドメインの各ページ単位の個別アクセス分布を比較して、類似度が所定の閾値を超えるページがある場合に、不正アクセスがあったと判定して、不正アクセスを検知することができる。そのため、アクセス情報を分析して有用な情報を得ることができる情報処理方法を提供することができる。
【0073】
本開示に係る情報処理プログラムは、利用者のアクセスに関する情報を示すアクセス情報を取得するステップと、記アクセス情報に基づいて、所定ドメイン全体のアクセス分布を示す全体アクセス分布を特定するステップと、アクセス情報に基づいて、所定ドメインの各ページ単位でのアクセス分布を示す個別アクセス分布を特定するステップと、全体アクセス分布と、個別アクセス分布との類似度を算出するステップと、類似度が所定の閾値を超える個別アクセス分布があるページには、不正アクセスがあったと判定するステップと、コンピュータに実行させる。
【0074】
この構成によれば、所定ドメイン全体の全体アクセス分布と、所定ドメインの各ページ単位の個別アクセス分布を比較して、類似度が所定の閾値を超えるページがある場合に、不正アクセスがあったと判定して、不正アクセスを検知することができる。そのため、アクセス情報を分析して有用な情報を得ることができる情報処理プログラムを提供することができる。
【0075】
以上、本願の実施形態を図面に基づいて詳細に説明したが、これは例示であり、発明の開示の欄に記載の態様を始めとして、当業者の知識に基づいて種々の変形、改良を施した他の形態で本発明を実施することが可能である。
【0076】
また、上述してきた「部(section、module、unit)」は、「手段」や「回路」などに読み替えることができる。例えば、取得部131は、取得手段や取得回路に読み替えることができる。
【符号の説明】
【0077】
1 情報処理システム
100 情報処理装置
110 通信部
120 記憶部
121 アクセス情報記憶部
130 制御部
131 取得部
132 全体分布特定部
133 個別分布特定部
134 類似度算出部
135 不正判定部
200 利用者端末
210 通信部
220 入力部
230 出力部
240 制御部
241 受付部
N ネットワーク
100 情報処理装置
110 通信部
120 記憶部
121 アクセス情報記憶部
130 制御部
131 取得部
132 全体分布特定部
133 個別分布特定部
134 類似度算出部
135 不正判定部
200 利用者端末
210 通信部
220 入力部
230 出力部
240 制御部
241 受付部
N ネットワーク
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】