知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024090333
(43)【公開日】2024-07-04
(54)【発明の名称】不正検知装置、不正検知方法、およびプログラム
(51)【国際特許分類】
H04L 12/22 20060101AFI20240627BHJP
【FI】
H04L12/22
【審査請求】未請求
【請求項の数】17
【出願形態】OL
(21)【出願番号】P 2022206164
(22)【出願日】2022-12-23
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.ANDROID
2.iOS
(71)【出願人】
【識別番号】518038836
【氏名又は名称】株式会社Spider Labs
(74)【代理人】
【識別番号】100115749
【弁理士】
【氏名又は名称】谷川 英和
(72)【発明者】
【氏名】エウリコ ドイラド
(72)【発明者】
【氏名】赤石 暁
【テーマコード(参考)】
5K030
【Fターム(参考)】
5K030GA15
5K030JA10
5K030MA04
5K030MB09
5K030MC08
(57)【要約】
【課題】従来、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができなかった。
【解決手段】ネットワーク情報を取得するネットワーク情報取得部131と、ネットワーク情報を用いて、一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部135と、サイト情報を取得するサイト情報取得部132と、サイト情報を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部136と、IPアドレス情報を取得するIPアドレス情報取得部133と、IPアドレス情報を用いて、一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部137と、ネットワーク検知結果とサイト検知結果とIPアドレス検知結果とを出力する出力部141とを具備する不正検知装置1により、上記課題を解決できる。
【選択図】図3
【解決手段】ネットワーク情報を取得するネットワーク情報取得部131と、ネットワーク情報を用いて、一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部135と、サイト情報を取得するサイト情報取得部132と、サイト情報を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部136と、IPアドレス情報を取得するIPアドレス情報取得部133と、IPアドレス情報を用いて、一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部137と、ネットワーク検知結果とサイト検知結果とIPアドレス検知結果とを出力する出力部141とを具備する不正検知装置1により、上記課題を解決できる。
【選択図】図3
【特許請求の範囲】
【請求項1】
1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得部と、
前記ネットワーク情報取得部が取得した前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、
一のサイトに関するサイト情報を取得するサイト情報取得部と、
前記サイト情報取得部が取得した前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、
一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、
前記IPアドレス情報取得部が取得した前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、
前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力部とを具備する不正検知装置。
前記ネットワーク情報取得部が取得した前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、
一のサイトに関するサイト情報を取得するサイト情報取得部と、
前記サイト情報取得部が取得した前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、
一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、
前記IPアドレス情報取得部が取得した前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、
前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力部とを具備する不正検知装置。
【請求項2】
一のユーザが行った操作に関するユーザ操作情報を取得するユーザ操作情報取得部と、
前記ユーザ操作情報取得部が取得した前記ユーザ操作情報を用いて、前記一のユーザに対する不正検知を行い、ユーザ検知結果を取得するユーザ不正検知部とをさらに具備し、
前記出力部は、
前記ユーザ検知結果をも出力する、請求項1記載の不正検知装置。
前記ユーザ操作情報取得部が取得した前記ユーザ操作情報を用いて、前記一のユーザに対する不正検知を行い、ユーザ検知結果を取得するユーザ不正検知部とをさらに具備し、
前記出力部は、
前記ユーザ検知結果をも出力する、請求項1記載の不正検知装置。
【請求項3】
前記ネットワーク情報取得部は、
前記一のネットワークにおけるアプリケーションのダウンロード数、当該一のネットワークに属するサイト数、日本語でない言語の設定がされているユーザ端末からのアクセス数、日本語でない言語の設定がされているユーザ端末からのアプリのインストール数、日本ではないアクセス元であるユーザ端末からのアクセス数、日本ではないアクセス元であるユーザ端末からのアプリのインストール数、CV操作に該当する操作識別子の数、予め決められた条件を満たす端末の端末種類識別子で識別され種類のユーザ端末からのアクセス数、予め決められた条件を満たすOSのOS種類識別子で識別されるOSを搭載したユーザ端末からのアクセス数のうちの1以上のネットワーク属性値を含む2以上のネットワーク属性値を取得し、
前記ネットワーク不正検知部は、
前記2以上のネットワーク属性値を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、請求項1または請求項2記載の不正検知装置。
前記一のネットワークにおけるアプリケーションのダウンロード数、当該一のネットワークに属するサイト数、日本語でない言語の設定がされているユーザ端末からのアクセス数、日本語でない言語の設定がされているユーザ端末からのアプリのインストール数、日本ではないアクセス元であるユーザ端末からのアクセス数、日本ではないアクセス元であるユーザ端末からのアプリのインストール数、CV操作に該当する操作識別子の数、予め決められた条件を満たす端末の端末種類識別子で識別され種類のユーザ端末からのアクセス数、予め決められた条件を満たすOSのOS種類識別子で識別されるOSを搭載したユーザ端末からのアクセス数のうちの1以上のネットワーク属性値を含む2以上のネットワーク属性値を取得し、
前記ネットワーク不正検知部は、
前記2以上のネットワーク属性値を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、請求項1または請求項2記載の不正検知装置。
【請求項4】
前記ネットワーク情報取得部は、
前記一のネットワークにおける特徴量の分布に関するネットワーク分布情報であるネットワーク属性値を取得し、
前記ネットワーク不正検知部は、
前記ネットワーク属性値を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、請求項1または請求項2記載の不正検知装置。
前記一のネットワークにおける特徴量の分布に関するネットワーク分布情報であるネットワーク属性値を取得し、
前記ネットワーク不正検知部は、
前記ネットワーク属性値を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、請求項1または請求項2記載の不正検知装置。
【請求項5】
前記ネットワーク分布情報に対する正当な情報を特定するネットワーク正当分布情報が格納される正当情報格納部をさらに具備し、
前記ネットワーク不正検知部は、
前記ネットワーク情報取得部が取得した前記ネットワーク分布情報と前記ネットワーク正当分布情報との差異に関するネットワーク分布差異情報を取得し、当該ネットワーク分布差異情報を用いて、前記ネットワーク検知結果を取得し、
予め決められた更新条件を満たした場合に、前記ネットワーク正当分布情報を更新する正当情報更新部をさらに具備する、請求項4記載の不正検知装置。
前記ネットワーク不正検知部は、
前記ネットワーク情報取得部が取得した前記ネットワーク分布情報と前記ネットワーク正当分布情報との差異に関するネットワーク分布差異情報を取得し、当該ネットワーク分布差異情報を用いて、前記ネットワーク検知結果を取得し、
予め決められた更新条件を満たした場合に、前記ネットワーク正当分布情報を更新する正当情報更新部をさらに具備する、請求項4記載の不正検知装置。
【請求項6】
前記サイト情報取得部は、
前記一のサイトにおける特徴量の分布に関するサイト分布情報を取得し、
前記サイト不正検知部は、
前記サイト分布情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得する、請求項1または請求項2記載の不正検知装置。
前記一のサイトにおける特徴量の分布に関するサイト分布情報を取得し、
前記サイト不正検知部は、
前記サイト分布情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得する、請求項1または請求項2記載の不正検知装置。
【請求項7】
前記サイト分布情報は、CTITの分布に関する情報、当該サイトにアクセスされるユーザ端末のOSのバーションごとのシェアであるOSバージョンシェアの分布に関する情報、当該サイトにアクセスされるユーザ端末の種類ごとのユーザ端末シェアの分布に関する情報、当該サイトにアクセスされるプロバイダーの種類ごとのプロバイダーシェアの分布に関する情報、当該サイトにアクセスされる地域の種類ごとの地域シェアの分布に関する情報のいずれかを含む、請求項5記載の不正検知装置。
【請求項8】
前記サイト分布情報に対する正当な情報を特定するサイト正当分布情報が格納される正当情報格納部をさらに具備し、
前記サイト不正検知部は、
前記サイト情報取得部が取得した前記サイト分布情報と前記サイト正当分布情報との差異に関するサイト分布差異情報を取得し、当該サイト分布差異情報を用いて、前記サイト検知結果を取得し、
予め決められた更新条件を満たした場合に、前記サイト正当分布情報を更新する正当情報更新部をさらに具備する、請求項6または請求項7記載の不正検知装置。
前記サイト不正検知部は、
前記サイト情報取得部が取得した前記サイト分布情報と前記サイト正当分布情報との差異に関するサイト分布差異情報を取得し、当該サイト分布差異情報を用いて、前記サイト検知結果を取得し、
予め決められた更新条件を満たした場合に、前記サイト正当分布情報を更新する正当情報更新部をさらに具備する、請求項6または請求項7記載の不正検知装置。
【請求項9】
前記サイト情報取得部は、
前記一のサイトの記述に用いられている2種類以上の特定の各タグの数である2以上のタグ数を取得し、
前記サイト不正検知部は、
前記2以上のタグ数を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得する、請求項1記載の不正検知装置。
前記一のサイトの記述に用いられている2種類以上の特定の各タグの数である2以上のタグ数を取得し、
前記サイト不正検知部は、
前記2以上のタグ数を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得する、請求項1記載の不正検知装置。
【請求項10】
前記サイト不正検知部は、
2以上の各サイトの2以上のタグ数を用いて、2以上のサイトをクラスタリングし、前記2以上のタグ数を用いた検査では不正なサイトではないと判断したサイトでも、前記2以上のタグ数を用いた検査で不正であると判断したサイトと同じクラスに属するサイトを不正なサイトであると判断して、前記サイト検知結果を取得する、請求項9記載の不正検知装置。
2以上の各サイトの2以上のタグ数を用いて、2以上のサイトをクラスタリングし、前記2以上のタグ数を用いた検査では不正なサイトではないと判断したサイトでも、前記2以上のタグ数を用いた検査で不正であると判断したサイトと同じクラスに属するサイトを不正なサイトであると判断して、前記サイト検知結果を取得する、請求項9記載の不正検知装置。
【請求項11】
前記サイト情報取得部は、
2以上の各サイトのサイト情報を取得し、
前記サイト不正検知部は、
当該サイト情報を用いて、2以上の各サイトが不正なサイトの候補であるか否かの簡易検査を行い、当該簡易検査の結果が不正であると判断された1以上の各サイトのサイト情報を用いて、1以上の各サイトが不正なサイトであるか否かの詳細検査を行い、サイト検知結果を取得する、請求項1または請求項2記載の不正検知装置。
2以上の各サイトのサイト情報を取得し、
前記サイト不正検知部は、
当該サイト情報を用いて、2以上の各サイトが不正なサイトの候補であるか否かの簡易検査を行い、当該簡易検査の結果が不正であると判断された1以上の各サイトのサイト情報を用いて、1以上の各サイトが不正なサイトであるか否かの詳細検査を行い、サイト検知結果を取得する、請求項1または請求項2記載の不正検知装置。
【請求項12】
前記IPアドレス情報取得部は、
前記一のIPアドレスにアクセスしたユーザ端末の1以上の各種類の数である種類別アクセス数を含む1以上のIPアドレス属性値を取得し、
前記IPアドレス不正検知部は、
前記1以上のIPアドレス属性値を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得する、請求項1記載の不正検知装置。
前記一のIPアドレスにアクセスしたユーザ端末の1以上の各種類の数である種類別アクセス数を含む1以上のIPアドレス属性値を取得し、
前記IPアドレス不正検知部は、
前記1以上のIPアドレス属性値を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得する、請求項1記載の不正検知装置。
【請求項13】
前記IPアドレス情報取得部は、
一のIPアドレスに対して、ユーザ端末の種類を特定する種類識別子と前記ユーザ端末の画面サイズを特定するサイズ情報とを含む2以上のIPアドレス属性値を取得し、
前記IPアドレス不正検知部は、
前記2以上のIPアドレス属性値に含まれる前記種類識別子に対応する画面サイズと、前記サイズ情報が示す画面サイズとが不一致である前記2以上のIPアドレス属性値が不正条件を満たすほど多い場合に、不正であることを示すIPアドレス検知結果を取得する、請求項12記載の不正検知装置。
一のIPアドレスに対して、ユーザ端末の種類を特定する種類識別子と前記ユーザ端末の画面サイズを特定するサイズ情報とを含む2以上のIPアドレス属性値を取得し、
前記IPアドレス不正検知部は、
前記2以上のIPアドレス属性値に含まれる前記種類識別子に対応する画面サイズと、前記サイズ情報が示す画面サイズとが不一致である前記2以上のIPアドレス属性値が不正条件を満たすほど多い場合に、不正であることを示すIPアドレス検知結果を取得する、請求項12記載の不正検知装置。
【請求項14】
前記ユーザ操作情報取得部は、
一のフィンガープリント情報と対になる2以上のユーザ操作情報を取得し、
前記ユーザ不正検知部は、
前記2以上のユーザ操作情報の中に特定の操作を示す操作情報が頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、請求項2記載の不正検知装置。
一のフィンガープリント情報と対になる2以上のユーザ操作情報を取得し、
前記ユーザ不正検知部は、
前記2以上のユーザ操作情報の中に特定の操作を示す操作情報が頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、請求項2記載の不正検知装置。
【請求項15】
前記特定の操作を示す操作情報の正当な頻度を示す頻度正当情報が格納される正当情報格納部をさらに具備し、
前記ユーザ不正検知部は、
前記2以上のユーザ操作情報の中に特定の操作を示す操作情報の頻度情報が頻度正当情報と比較して、頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、請求項14記載の不正検知装置。
前記ユーザ不正検知部は、
前記2以上のユーザ操作情報の中に特定の操作を示す操作情報の頻度情報が頻度正当情報と比較して、頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、請求項14記載の不正検知装置。
【請求項16】
ネットワーク情報取得部と、ネットワーク不正検知部と、サイト情報取得部と、サイト不正検知部と、IPアドレス情報取得部と、IPアドレス不正検知部と、出力部とにより実現される不正検知方法であって、
前記ネットワーク情報取得部が、1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得ステップと、
前記ネットワーク不正検知部が、前記ネットワーク情報取得ステップで取得された前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知ステップと、
前記サイト情報取得部が、一のサイトに関するサイト情報を取得するサイト情報取得ステップと、
前記サイト不正検知部が、前記サイト情報取得ステップで取得された前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知ステップと、
前記IPアドレス情報取得部が、一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得ステップと、
前記IPアドレス不正検知部が、前記IPアドレス情報取得ステップで取得された前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知ステップと、
前記出力部が、前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力ステップとを具備する不正検知方法。
前記ネットワーク情報取得部が、1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得ステップと、
前記ネットワーク不正検知部が、前記ネットワーク情報取得ステップで取得された前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知ステップと、
前記サイト情報取得部が、一のサイトに関するサイト情報を取得するサイト情報取得ステップと、
前記サイト不正検知部が、前記サイト情報取得ステップで取得された前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知ステップと、
前記IPアドレス情報取得部が、一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得ステップと、
前記IPアドレス不正検知部が、前記IPアドレス情報取得ステップで取得された前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知ステップと、
前記出力部が、前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力ステップとを具備する不正検知方法。
【請求項17】
コンピュータを
1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得部と、
前記ネットワーク情報取得部が取得した前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、
一のサイトに関するサイト情報を取得するサイト情報取得部と、
前記サイト情報取得部が取得した前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、
一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、
前記IPアドレス情報取得部が取得した前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、
前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力部として機能させるためのプログラム。
1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得部と、
前記ネットワーク情報取得部が取得した前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、
一のサイトに関するサイト情報を取得するサイト情報取得部と、
前記サイト情報取得部が取得した前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、
一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、
前記IPアドレス情報取得部が取得した前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、
前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力部として機能させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワーク、サイト、およびIPアドレスに対する不正検知を行う不正検知装置等に関するものである。
【背景技術】
【0002】
従来、ユーザによるサービスの利用状況に応じた特徴量を用いて、機械学習により、ユーザの不正を検知するシステムがあった(特許文献1参照)。
【先行技術文献】
【特許文献】
【0003】
【特許文献1】特許第7133107号公報
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、従来技術においては、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができなかった。
【課題を解決するための手段】
【0005】
本第一の発明の不正検知装置は、1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得部と、ネットワーク情報取得部が取得したネットワーク情報を用いて、一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、一のサイトに関するサイト情報を取得するサイト情報取得部と、サイト情報取得部が取得したサイト情報を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、IPアドレス情報取得部が取得したIPアドレス情報を用いて、一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、ネットワーク検知結果とサイト検知結果とIPアドレス検知結果とを出力する出力部とを具備する不正検知装置である。
【0006】
かかる構成により、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができる。
【0007】
また、本第二の発明の不正検知装置は、第一の発明に対して、一のユーザが行った操作に関するユーザ操作情報を取得するユーザ操作情報取得部と、ユーザ操作情報取得部が取得したユーザ操作情報を用いて、一のユーザに対する不正検知を行い、ユーザ検知結果を取得するユーザ不正検知部とをさらに具備し、出力部は、ユーザ検知結果をも出力する、不正検知装置である。
【0008】
かかる構成により、ユーザに対する不正検知をも含めた、より包括的な不正検知ができる。
【0009】
また、本第三の発明の不正検知装置は、第一または第二の発明に対して、ネットワーク情報取得部は、一のネットワークにおけるアプリケーションのダウンロード数、一のネットワークに属するサイト数、日本語でない言語の設定がされているユーザ端末からのアクセス数、日本語でない言語の設定がされているユーザ端末からのアプリのインストール数、日本ではないアクセス元であるユーザ端末からのアクセス数、日本ではないアクセス元であるユーザ端末からのアプリのインストール数、CV操作に該当する操作識別子の数、予め決められた条件を満たす端末の端末種類識別子で識別され種類のユーザ端末からのアクセス数、予め決められた条件を満たすOSのOS種類識別子で識別されるOSを搭載したユーザ端末からのアクセス数のうちの1以上のネットワーク属性値を含む2以上のネットワーク属性値を取得し、ネットワーク不正検知部は、2以上のネットワーク属性値を用いて、一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、不正検知装置である。
【0010】
かかる構成により、ネットワークに対する適切な不正検知ができる。
【0011】
また、本第四の発明の不正検知装置は、第一または第二の発明に対して、ネットワーク情報取得部は、一のネットワークにおける特徴量の分布に関するネットワーク分布情報であるネットワーク属性値を取得し、ネットワーク不正検知部は、ネットワーク属性値を用いて、一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得する、不正検知装置である。
【0012】
かかる構成により、ネットワークに対するより適切な不正検知ができる。
【0013】
また、本第五の発明の不正検知装置は、第四の発明に対して、ネットワーク分布情報に対する正当な情報を特定するネットワーク正当分布情報が格納される正当情報格納部をさらに具備し、ネットワーク不正検知部は、ネットワーク情報取得部が取得したネットワーク分布情報とネットワーク正当分布情報との差異に関するネットワーク分布差異情報を取得し、ネットワーク分布差異情報を用いて、ネットワーク検知結果を取得し、予め決められた更新条件を満たした場合に、ネットワーク正当分布情報を更新する正当情報更新部をさらに具備する、不正検知装置である。
【0014】
かかる構成により、ネットワークに対するより適切な不正検知ができる。
【0015】
また、本第六の発明の不正検知装置は、第一または第二の発明に対して、サイト情報取得部は、一のサイトにおける特徴量の分布に関するサイト分布情報を取得し、サイト不正検知部は、サイト分布情報を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得する、不正検知装置である。
【0016】
かかる構成により、サイトに対する適切な不正検知ができる。
【0017】
また、本第七の発明の不正検知装置は、第五の発明に対して、サイト分布情報は、CTITの分布に関する情報、サイトにアクセスされるユーザ端末のOSのバーションごとのシェアであるOSバージョンシェアの分布に関する情報、サイトにアクセスされるユーザ端末の種類ごとのユーザ端末シェアの分布に関する情報、当該サイトにアクセスされるプロバイダーの種類ごとのプロバイダーシェアの分布に関する情報、当該サイトにアクセスされる地域の種類ごとの地域シェアの分布に関する情報のいずれかを含む、不正検知装置である。
【0018】
かかる構成により、サイトに対するより適切な不正検知ができる。
【0019】
また、本第八の発明の不正検知装置は、第六または第七の発明に対して、サイト分布情報に対する正当な情報を特定するサイト正当分布情報が格納される正当情報格納部をさらに具備し、サイト不正検知部は、サイト情報取得部が取得したサイト分布情報とサイト正当分布情報との差異に関するサイト分布差異情報を取得し、サイト分布差異情報を用いて、サイト検知結果を取得し、予め決められた更新条件を満たした場合に、サイト正当分布情報を更新する正当情報更新部をさらに具備する、不正検知装置である。
【0020】
かかる構成により、サイトに対するより適切な不正検知ができる。
【0021】
また、本第九の発明の不正検知装置は、第一の発明に対して、サイト情報取得部は、一のサイトの記述に用いられている2種類以上の特定の各タグの数である2以上のタグ数を取得し、サイト不正検知部は、2以上のタグ数を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得する、不正検知装置である。
【0022】
かかる構成により、サイトに対するより適切な不正検知ができる。
【0023】
また、本第十の発明の不正検知装置は、第九の発明に対して、サイト不正検知部は、2以上の各サイトの2以上のタグ数を用いて、2以上のサイトをクラスタリングし、2以上のタグ数を用いた検査では不正なサイトではないと判断したサイトでも、2以上のタグ数を用いた検査で不正であると判断したサイトと同じクラスに属するサイトを不正なサイトであると判断して、サイト検知結果を取得する、不正検知装置である。
【0024】
かかる構成により、サイトに対するより適切な不正検知ができる。
【0025】
また、本第十一の発明の不正検知装置は、第一または第二の発明に対して、サイト情報取得部は、2以上の各サイトのサイト情報を取得し、サイト不正検知部は、サイト情報を用いて、2以上の各サイトが不正なサイトの候補であるか否かの簡易検査を行い、簡易検査の結果が不正であると判断された1以上の各サイトのサイト情報を用いて、1以上の各サイトが不正なサイトであるか否かの詳細検査を行い、サイト検知結果を取得する、不正検知装置である。
【0026】
かかる構成により、サイトに対するより適切な不正検知ができる。
【0027】
また、本第十二の発明の不正検知装置は、第一の発明に対して、IPアドレス情報取得部は、一のIPアドレスにアクセスしたユーザ端末の1以上の各種類の数である種類別アクセス数を含む1以上のIPアドレス属性値を取得し、IPアドレス不正検知部は、1以上のIPアドレス属性値を用いて、一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得する、不正検知装置である。
【0028】
かかる構成により、IPアドレスに対する適切な不正検知ができる。
【0029】
また、本第十三の発明の不正検知装置は、第十二の発明に対して、IPアドレス情報取得部は、一のIPアドレスに対して、ユーザ端末の種類を特定する種類識別子とユーザ端末の画面サイズを特定するサイズ情報とを含む2以上のIPアドレス属性値を取得し、IPアドレス不正検知部は、2以上のIPアドレス属性値に含まれる種類識別子に対応する画面サイズと、サイズ情報が示す画面サイズとが不一致である2以上のIPアドレス属性値が不正条件を満たすほど多い場合に、不正であることを示すIPアドレス検知結果を取得する、不正検知装置である。
【0030】
かかる構成により、IPアドレスに対するより適切な不正検知ができる。
【0031】
また、本第十四の発明の不正検知装置は、第二の発明に対して、ユーザ操作情報取得部は、一のフィンガープリント情報と対になる2以上のユーザ操作情報を取得し、ユーザ不正検知部は、2以上のユーザ操作情報の中に特定の操作を示す操作情報が頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、不正検知装置である。
【0032】
かかる構成により、ユーザに対する適切な不正検知ができる。
【0033】
また、本第十五の発明の不正検知装置は、第十四の発明に対して、特定の操作を示す操作情報の正当な頻度を示す頻度正当情報が格納される正当情報格納部をさらに具備し、ユーザ不正検知部は、2以上のユーザ操作情報の中に特定の操作を示す操作情報の頻度情報が頻度正当情報と比較して、頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する、不正検知装置である。
【0034】
かかる構成により、ユーザに対するより適切な不正検知ができる。
【発明の効果】
【0035】
本発明による不正検知装置によれば、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができる。
【図面の簡単な説明】
【0036】
【図1】実施の形態1における不正検知システムAの概念図
【図2】同不正検知システムAのブロック図
【図3】同不正検知装置1のブロック図
【図4】同不正検知装置1の動作例について説明するフローチャート
【図5】同ネットワーク不正処理の例について説明するフローチャート
【図6】同サイト不正処理の例について説明するフローチャート
【図7】同IPアドレス不正処理の例について説明するフローチャート
【図8】同ユーザ不正処理の例について説明するフローチャート
【図9】同正当情報更新処理の例について説明するフローチャート
【図10】同サーバ2の動作例について説明するフローチャート
【図11】同ユーザ端末3の動作例について説明するフローチャート
【図12】同不正条件管理表を示す図
【図13】同不正条件管理表を示す図
【図14】同不正条件管理表を示す図
【図15】同出力例を示す図
【図16】同出力例を示す図
【図17】同出力例を示す図
【図18】同出力例を示す図
【図19】同コンピュータシステムの概観図
【図20】同コンピュータシステムのブロック図
【発明を実施するための形態】
【0037】
以下、不正検知装置等の実施形態について図面を参照して説明する。なお、実施の形態において同じ符号を付した構成要素は同様の動作を行うので、再度の説明を省略する場合がある。
【0038】
(実施の形態1)
本実施の形態において、ネットワークに対する不正検知、サイトに対する不正検知、およびIPアドレスに対する不正検知を行い、各々に対する検知結果を出力する不正検知装置を具備する不正検知システムについて説明する。なお、一のネットワークには、1または2以上のサイトが存在する。
本実施の形態において、ネットワークに対する不正検知、サイトに対する不正検知、およびIPアドレスに対する不正検知を行い、各々に対する検知結果を出力する不正検知装置を具備する不正検知システムについて説明する。なお、一のネットワークには、1または2以上のサイトが存在する。
【0039】
また、本実施の形態において、ユーザに対する不正検知も行い、当該検知結果をも出力する不正検知装置を具備する不正検知システムについて説明する。
【0040】
なお、ネットワークに対する不正検知には、例えば、アプリのダウンロード数と当該ネットワークに属するサイト数との関係に関する情報、ネットワークに関する正当な特徴量の分布が用いられる。また、正当な特徴量の分布は、例えば、定期的に更新される。
【0041】
また、サイトに対する不正検知には、例えば、不正なサイトのHTMLの2以上の各タグの個数が用いられる。また、サイトに対する不正検知には、例えば、簡易検査により不正候補のサイトを検出し、当該不正候補から詳細検査により、不正なサイトを検知するといった方法が用いられる。
【0042】
また、IPアドレスに対する不正検知には、例えば、ユーザ端末の種類ごとのアクセス数が用いられる。
【0043】
さらに、ユーザに対する不正検知には、例えば、ユーザが行った操作の情報の中に特定の操作の情報が用いられる。
【0044】
なお、本実施の形態において、情報Xが情報Yに対応付いていることは、情報Xから情報Yを取得できること、または情報Yから情報Xを取得できることであり、その対応付けの方法は問わない。情報Xと情報Yとがリンク付いていても良いし、同じバッファに存在していても良いし、情報Xが情報Yに含まれていても良いし、情報Yが情報Xに含まれている等でも良い。
【0045】
図1は、本実施の形態における不正検知システムAの概念図である。不正検知システムAは、不正検知装置1、1または2以上のサーバ2、および1または2以上のユーザ端末3を備える。
【0046】
不正検知装置1は、サーバ2とユーザ端末3のうちの1種類または2種類の装置から元情報を受信し、当該元情報を用いて、ネットワークに対する不正検知、サイトに対する不正検知、およびIPアドレスに対する不正検知を行い、各々に対する検知結果を出力する装置である。なお、元情報とは、不正検知のための情報を取得するための元になる情報である。元情報は、通常、ユーザのユーザ端末3に対する操作の結果、構成される情報である。元情報は、通常、ユーザのユーザ端末3からサーバ2にアクセスされた結果、構成される情報である。
【0047】
不正検知装置1は、通常、サーバであり、例えば、クラウドサーバ、ASPサーバであるが、その種類は問わない。
【0048】
サーバ2は、ユーザ端末3からアクセスされる装置である。サーバ2には、例えば、1または2以上のアプリケーションプログラムが格納されている。当該アプリケーションプログラムは、ユーザ端末3にインストールされる。サーバ2は、例えば、広告サーバであり、1または2以上の広告情報が格納されている。かかる広告情報は、ユーザ端末3によりダウンロードされ、ユーザ端末3で出力される。サーバ2は、例えば、ECサイトのサーバであり、ユーザ端末3を使用したユーザにより商品を販売したり、商品情報を閲覧したりされる装置である。ただし、サーバ2が行えるサービス、サーバ2に格納される情報は問わない。
【0049】
サーバ2は、例えば、クラウドサーバ、ASPサーバであるが、その種類は問わない。
【0050】
ユーザ端末3は、ユーザが使用する端末である。ユーザ端末3は、サーバ2にアクセスする端末である。ユーザ端末3は、例えば、広告サーバ、ECサイト等にアクセスする端末である。ユーザ端末3は、例えば、アプリケーションプログラムがインストールされる端末である。
【0051】
ユーザ端末3は、例えば、いわゆるパソコン、タブレット端末、スマートフォン、時計型端末等であり、その種類は問わない。
【0052】
不正検知装置1と1または2以上の各サーバ2、不正検知装置1と1または2以上の各ユーザ端末3、1または2以上の各サーバ2と1または2以上の各ユーザ端末3とは、通常、インターネットやLAN等により通信可能である。
【0053】
【0054】
不正検知装置1は、格納部11、受信部12、処理部13、および送信部14を備える。格納部11は、正当情報格納部111を備える。処理部13は、ネットワーク情報取得部131、ユーザ操作情報取得部134、IPアドレス情報取得部133、ユーザ操作情報取得部134、ネットワーク不正検知部135、ユーザ不正検知部138、IPアドレス不正検知部137、ユーザ不正検知部138、および正当情報更新部139を備える。送信部14は、出力部141を備える。
【0055】
サーバ2は、サーバ格納部21、サーバ受信部22、サーバ処理部23、およびサーバ送信部24を備える。
【0056】
ユーザ端末3は、端末格納部31、端末受付部32、端末処理部33、端末送信部34、端末受信部35、および端末出力部36を備える。
【0057】
不正検知装置1を構成する格納部11には、各種の情報が格納される。各種の情報は、例えば、1または2以上の元情報、不正条件、後述するネットワーク正当分布情報、後述するサイト正当分布情報、頻度条件、特定の1または2以上のタグである。なお、タグとは、例えば、HTMLのタグである。
【0058】
不正条件とは、不正として検知するための条件、または不正でないと判断するための条件である。不正条件は、例えば、ネットワーク不正条件、サイト不正条件、IPアドレス不正条件、ユーザ不正条件である。なお、不正条件は、プログラム中に埋め込まれていても良い。
【0059】
ネットワーク不正条件とは、ネットワークに対して不正であると判断するための条件、またはネットワークに対して不正でないと判断するための条件である。ネットワーク不正条件は、1以上のネットワーク属性値を用いた条件である。ここでのネットワーク属性値は、例えば、アプリのインストール数、ネットワークに属するサイト数、言語識別子、サーバ2にアクセスするユーザ端末3の国であるアクセス元国、ユーザの操作を識別する操作識別子、ユーザ端末3の種類を識別する端末種類識別子、ユーザ端末3のOSの種類を識別するOS種類識別子である。ネットワーク不正条件は、例えば、後述する図12の「ID=1~7」の不正条件である。
【0060】
サイト不正条件とは、サイトに対して不正であると判断するための条件、またはサイトに対して不正でないと判断するための条件である。サイト不正条件は、1以上のサイト属性値を用いた条件である。ここでのサイト属性値は、例えば、CTIT、OS種類識別子、端末種類識別子、アクセス元国、言語識別子、ウェブページ情報のHTMLのタグである。サイト不正条件は、例えば、後述する図13の「ID=51~59」の不正条件である。なお、CTITとは、クリックからインストールまでの時間であり、「Click to Install Time」の略語である。
【0061】
IPアドレス不正条件とは、IPアドレスに対して不正であると判断するための条件、またはIPアドレスに対して不正でないと判断するための条件である。IPアドレス不正条件は、1以上のIPアドレス属性値を用いた条件である。ここでのIPアドレス属性値は、例えば、端末種類識別子、画面サイズである。IPアドレス不正条件は、例えば、後述する図13の「ID=101~103」の不正条件である。
【0062】
ユーザ不正条件とは、ユーザに対して不正であると判断するための条件、またはユーザに対して不正でないと判断するための条件である。ユーザ不正条件は、1以上のユーザ属性値を用いた条件である。ここでのユーザ属性値は、例えば、操作識別子である。IPアドレス不正条件は、例えば、後述する図13の「ID=151~152」の不正条件である。
【0063】
頻度条件とは、特定の操作の頻度に関する条件である。頻度条件は、例えば、特定の操作の割合いが閾値以上または閾値より多いこと、単位期間の特定の操作の数が閾値以上または閾値より多いことである。
【0064】
正当情報格納部111には、1または2以上の正当分布情報が格納される。正当分布情報とは、正当な分布を特定する情報である。正当分布情報は、通常、2以上の要素を有するベクトルで表現できる。正当分布情報は、例えば、ネットワーク正当分布情報、サイト正当分布情報、頻度正当情報である。
【0065】
ネットワーク正当分布情報とは、ネットワーク分布情報に対する正当な情報を特定する情報である。ネットワーク分布情報とは、ネットワークに関する特徴量の分布を特定する情報である。ネットワーク分布情報は、例えば、ネットワークに関する特徴量の2以上の各範囲の数または割合いを要素とするベクトルである。ネットワークに関する特徴量とは、ネットワーク属性値、または1または2以上のネットワーク属性値から取得される情報である。ネットワークに関する特徴量は、例えば、アプリケーションのダウンロード数と各ネットワークに属するサイト数との比である。
【0066】
サイト正当分布情報とは、サイト分布情報に対する正当な情報を特定する情報である。サイト分布情報とは、サイトに関する特徴量の分布を特定する情報である。サイト分布情報は、例えば、サイトに関する特徴量の2以上の各範囲の数または割合いを要素とするベクトルである。サイトに関する特徴量とは、サイト属性値、または1または2以上のサイト属性値から取得される情報である。サイトに関する特徴量は、例えば、CTIT、サイトにアクセスされるユーザ端末3のOS種類識別子ごとのシェア、サイトにアクセスされるユーザ端末3の種類である端末種類識別子ごとのシェア、サイトにアクセスされるプロバイダーごとのシェア、サイトにアクセスされる地域ごとのシェアである。サイト分布情報は、CTITの分布に関する情報、サイトにアクセスされるユーザ端末3のOSの種類(例えば、OS名とバーション)ごとのシェアであるOS種類識別子の分布に関する情報、サイトにアクセスされるユーザ端末3の種類ごとのユーザ端末シェアの分布に関する情報、サイトにアクセスされるプロバイダーの種類ごとのプロバイダーシェアの分布に関する情報、サイトにアクセスされる地域の種類ごとの地域シェアの分布に関する情報のいずれかを含む。
【0067】
CTITの分布に関する正当な情報は、CTIT正当分布情報と言う。CTIT正当分布情報の構造は、例えば、(「CTIT<=1秒」の元情報数,「1秒<CTIT<=2秒」の元情報数,・・・,「N秒<CTIT」の元情報数)、(「CTIT<=1秒」の元情報の割合,「1秒<CTIT<=2秒」の割合,・・・,「N秒<CTIT」の割合)、(平均値,中央値,標準偏差,最小値,最大値)である。
【0068】
OS種類識別子の分布に関する正当な情報は、OS種類正当分布情報と言う。OS種類正当分布情報の構造は、例えば、(iOS 14.7の割合,iOS 15.0の割合,・・・,iOS 14.3の割合)である。
【0069】
ユーザ端末シェアの分布に関する情報は、端末種類正当分布情報と言う。端末種類正当分布情報の構造は、例えば、(端末種類識別子1の割合,端末種類識別子2の割合,・・・,端末種類識別子Nの割合)である。
【0070】
頻度正当情報とは、特定の操作を示す操作情報の正当な頻度を示す情報である。頻度は、例えば、単位期間の数、割合い、または数である。特定の操作を示す操作情報は、例えば、特定のボタンの押下を示す情報、特定の商品の購入を示す情報、特定の広告情報に対するクリックを示す情報である。
【0071】
受信部12は、各種の情報を受信する。各種の情報は、例えば、元情報である。受信部12は、例えば、サーバ2から元情報を受信する。受信部12は、例えば、ユーザ端末3から元情報を受信する。
【0072】
元情報は、例えば、ダウンロード情報、インストール情報、ユーザ操作情報、ウェブページ情報である。
【0073】
ダウンロード情報とは、ユーザ端末3がアプリケーションをサーバ2からダウンロードしたことに関する情報である。ダウンロード情報は、例えば、ダウンロードしたアプリケーションのアプリケーション識別子、ネットワーク識別子、サイト識別子、ユーザ端末3によりアクセスされたサーバ2のIPアドレス、サーバ2にアクセスしたユーザ端末3のIPアドレス、フィンガープリント情報、端末情報を有する。
【0074】
アプリケーション識別子とは、アプリケーションを識別する情報であり、例えば、アプリケーションのID、アプリケーション名である。
【0075】
ネットワーク識別子とは、ネットワークを識別する情報であり、例えば、ネットワークのID、ネットワーク名である。ネットワーク識別子は、ここでは、サーバ2が属するネットワークの識別子である。
【0076】
サイト識別子とは、サイトを識別する情報であり、例えば、サイトのID、サイト名である。サイト識別子は、ここでは、サーバ2が存在するサイトの識別子である。
【0077】
フィンガープリント情報とは、ここでは、ユーザ端末3で使用されるブラウザを特定する情報である。フィンガープリント情報は、例えば、ブラウザのIDである。
【0078】
端末情報とは、サーバ2にアクセスしたユーザ端末3に関する情報である。端末情報は、例えば、OS種類識別子、端末種類識別子、言語識別子、サイズ情報である。
【0079】
OS種類識別子とは、ユーザ端末3のOSの種類を特定する情報である。OS種類識別子は、OSのバージョンまで含むことは好適である。OS種類識別子は、例えば、「iOS」「Android OS」「iOS Ver14.7」である。
【0080】
端末種類識別子とは、ユーザ端末3の種類を特定する情報である。端末種類識別子は、例えば、「パソコン」「スマートフォン」「タブレット」である。端末種類識別子は、機種名でも良い。
【0081】
言語識別子とは、ユーザ端末3において設定されている言語を特定する情報である、例えば、「日本語」「英語」「中国語」である。
【0082】
サイズ情報とは、ユーザ端末3の画面のサイズを特定する情報である。サイズ情報は、例えば、(縦のサイズ,横のサイズ)である。
【0083】
インストール情報とは、ユーザ端末3がアプリケーションをインストールしたことに関する情報である。インストール情報は、例えば、アプリケーション識別子、ネットワーク識別子、サイト識別子、IPアドレス、フィンガープリント情報、端末情報、CTITを有する。アプリケーション識別子とは、インストールされたアプリケーションの識別子である。
【0084】
ユーザ操作情報とは、サーバ2に対する操作に関する情報である。ユーザ操作情報には、アプリケーションのダウンロードに関する操作の情報、アプリケーションのインストールに関する操作の情報は含まれる、と考えても良い。ユーザ操作情報は、ユーザが行った操作を特定する操作情報を有する。ユーザ操作情報は、例えば、操作情報、ネットワーク識別子、サイト識別子、IPアドレス、フィンガープリント情報、端末情報を有する。
【0085】
操作情報は、例えば、指示されたボタンのボタン識別子、商品が購入されたことを示す情報、商品がカートに入れられたことを示す情報、購入金額を有する。
【0086】
ウェブページ情報とは、ウェブページに関する情報である。ウェブページ情報は、例えば、ウェブページのファイルである。なお、ウェブページは、例えば、HTMLまたはXMLで記述されている。
【0087】
処理部13は、各種の処理を行う。各種の処理は、例えば、ネットワーク情報取得部131、ユーザ操作情報取得部134、IPアドレス情報取得部133、ユーザ操作情報取得部134、ネットワーク不正検知部135、ユーザ不正検知部138、IPアドレス不正検知部137、ユーザ不正検知部138、正当情報更新部139が行う処理である。
【0088】
ネットワーク情報取得部131は、ネットワーク情報を取得する。ネットワーク情報取得部131は、通常、受信部12が受信した元情報からネットワーク情報を取得する。ネットワーク情報取得部131は、各ネットワーク識別子ごとに、ネットワーク識別子を有する1または2以上の元情報からネットワーク情報を取得する。
【0089】
ネットワーク情報とは、1または2以上のサイトを含む一のネットワークに関する情報である。ネットワーク情報は、1または2以上のネットワーク属性値を含む。ネットワーク属性値は、例えば、アプリケーションのダウンロード数、一のネットワークに属するサイト数、日本語でない言語の設定がされているユーザ端末3からのアクセス数、日本語でない言語の設定がされているユーザ端末3からのアプリのインストール数、日本ではないアクセス元であるユーザ端末3からのアクセス数、日本ではないアクセス元であるユーザ端末3からのアプリのインストール数、CV操作に該当する操作識別子の数、予め決められた条件を満たす不適切な(例えば、特定の古い)端末の端末種類識別子で識別され種類のユーザ端末3からのアクセス数、予め決められた条件を満たす不適切な(例えば、特定の古い)OSのOS種類識別子で識別されるOSを搭載したユーザ端末3からのアクセス数である。アプリケーションのダウンロード数は、2以上のアプリケーションの総ダウンロード数でも良いし、一つの特定のアプリケーションのダウンロード数でも良い。CV操作とは、コンバージョンに該当する操作である。CV操作は、例えば、商品購入の操作、会員登録の操作、資料請求の操作、アプリのインストールの操作である。
【0090】
ネットワーク情報取得部131は、例えば、受信部12が受信した1または2以上のダウンロード情報を用いて、1以上の各ネットワークにおけるアプリケーションのダウンロード数と各ネットワークに属するサイト数とを含む2以上のネットワーク属性値を取得する。
【0091】
ネットワーク情報取得部131は、例えば、ネットワーク識別子とサイト識別子とを有する2以上のダウンロード情報から、1以上の各ネットワーク識別子ごとに、対になるサイト識別子のユニーク処理を行い、サイト識別子の数を取得する。
【0092】
ネットワーク情報取得部131は、例えば、1以上の各ネットワークに関する特徴量である1以上のネットワーク属性値を取得する。ネットワークに関する特徴量は、例えば、アプリケーションのダウンロード数と各ネットワークに属するサイト数との比である。
【0093】
ネットワーク情報取得部131は、例えば、各ネットワークにおける特徴量の分布に関するネットワーク分布情報であるネットワーク属性値を取得する。ネットワーク分布情報は、例えば、一のネットワーク識別子と対になるCTITの分布の情報である。
【0094】
サイト情報取得部132は、サイト情報を取得する。サイト情報取得部132は、通常、受信部12が受信した元情報からサイト情報を取得する。サイト情報取得部132は、各サイト識別子ごとに、サイト識別子を有する1または2以上の元情報からサイト情報を取得する。なお、サイト情報とは、一のサイトに関する情報である。サイト情報は、通常、1または2以上のサイト属性値を有する。
【0095】
サイト情報取得部132は、例えば、1以上の各サイトにおける特徴量である1以上のサイト属性値を取得し、かつサイトごとに、1以上の各サイト属性値の分布に関するサイト分布情報を取得する。
【0096】
1以上のサイト属性値は、例えば、CTIT、サイトにアクセスされるユーザ端末3のOS種類識別子ごとのシェアであるOSシェア、サイトにアクセスされるユーザ端末3の端末種類識別子ごとのシェアであるユーザ端末シェアのいずれかを含む。
【0097】
サイト情報取得部132は、例えば、一のサイトの記述に用いられているウェブページ情報から、1または2種類以上の特定の各タグのタグ数を取得する。
【0098】
サイト情報取得部132は、2以上の各サイトのサイト情報を取得することは好適である。
【0099】
IPアドレス情報取得部133は、IPアドレス情報を取得する。IPアドレス情報取得部133は、通常、受信部12が受信した元情報からIPアドレス情報を取得する。IPアドレス情報取得部133は、各IPアドレスごとに、IPアドレスを有する1または2以上の元情報からIPアドレス情報を取得する。IPアドレス情報とは、一のIPアドレスに関する情報である。IPアドレス情報は、通常、1または2以上のIPアドレス属性値を有する。IPアドレス属性値は、例えば、端末情報、種類別アクセス数である。
【0100】
種類別アクセス数とは、一のIPアドレスにアクセスしたユーザ端末3の1以上の各種類の数である。種類別アクセス数は、端末種類識別子に対応付く。
【0101】
IPアドレス情報取得部133は、例えば、一のIPアドレスにアクセスしたユーザ端末3の1以上の各種類の数である種類別アクセス数を含む1以上のIPアドレス属性値を取得する。
【0102】
IPアドレス情報取得部133は、例えば、一のIPアドレスに対して、ユーザ端末3の種類を特定する端末種類識別子とユーザ端末3の画面サイズを特定するサイズ情報とを含む2以上のIPアドレス属性値を取得する。
【0103】
ユーザ操作情報取得部134は、一のユーザが行った操作に関するユーザ操作情報を取得する。ユーザ操作情報取得部134は、通常、受信部12が受信した元情報からユーザ操作情報を取得する。ユーザ操作情報取得部134は、各フィンガープリント情報ごとに、フィンガープリント情報を有する1または2以上の元情報からIPアドレス情報を取得する。
【0104】
ユーザ操作情報取得部134は、例えば、1以上の各フィンガープリント情報と対になる2以上のユーザ操作情報を取得する。
【0105】
ネットワーク不正検知部135は、ネットワーク情報取得部131が取得したネットワーク情報を用いて、1以上の各ネットワークに対する不正検知を行い、ネットワークごとに、ネットワーク検知結果を取得する。なお、ネットワーク情報は、1または2以上のネットワーク属性値を有する。
【0106】
ネットワーク不正検知部135は、例えば、ネットワーク情報取得部131が取得したネットワーク分布情報を取得し、当該ネットワーク分布情報を用いて、ネットワーク検知結果を取得する。
【0107】
ネットワーク検知結果とは、ネットワークの不正に関する検知の結果である。ネットワーク検知結果は、例えば、不正である「1」、または不正でない「0」を含む。
【0108】
ネットワーク不正検知部135は、例えば、ネットワーク情報取得部131が取得したネットワーク分布情報と正当情報格納部111のネットワーク正当分布情報との差異に関するネットワーク分布差異情報を取得し、当該ネットワーク分布差異情報を用いて、ネットワーク検知結果を取得する。なお、ネットワーク分布差異情報が、大きな差異を示す情報である場合に、ネットワーク不正検知部135は、不正である旨のネットワーク検知結果を取得する。大きな差異を示す情報は、例えば、ネットワーク分布差異情報が予め決められた値以上または予め決められた値より大きい場合である。ネットワーク分布差異情報は、例えば、ネットワーク情報取得部131が取得したネットワーク分布情報であるベクトルとネットワーク正当分布情報であるベクトルとの距離である。
【0109】
ネットワーク不正検知部135は、例えば、一のネットワークにおけるアプリケーションのダウンロード数(D)と当該一のネットワークに属するサイト数(S)との比(D/S)を算出し、当該比が閾値以下または閾値未満である場合、不正であることを示すネットワーク検知結果を取得する。
【0110】
サイト不正検知部136は、1以上の各サイトごとに、ユーザ操作情報取得部134が取得したサイト情報を用いて、サイトに対する不正検知を行い、サイト検知結果を取得する。
【0111】
サイト検知結果とは、サイトの不正に関する検知の結果を示す情報である。サイト検知結果は、例えば、不正である「1」、または不正でない「0」を含む。
【0112】
サイト不正検知部136は、例えば、1以上のサイト分布情報を用いて、一のサイトに対する不正検知を行い、サイト検知結果を取得する。
【0113】
サイト不正検知部136は、例えば、ユーザ操作情報取得部134が取得した1以上のサイト分布情報と正当情報格納部111のサイト正当分布情報との差異に関するサイト分布差異情報を取得し、サイト分布差異情報を用いて、サイト検知結果を取得する。なお、サイト分布差異情報は、例えば、サイト分布情報であるベクトルとサイト正当分布情報であるベクトルとの距離である。
【0114】
サイト不正検知部136は、例えば、サイトのウェブページの中の1または2種類以上の各タグのタグ数を用いて、当該サイトに対する不正検知を行い、サイト検知結果を取得する。
【0115】
サイト不正検知部136は、例えば、サイトのウェブページの中の特定のタグのタグ数またはタグの割合いが閾値以上または閾値より多い場合に、当該サイトが不正である、と判断する。サイト不正検知部136は、例えば、当該サイト内に存在する2種類以上のタグの順番が、所定の順番である場合又は所定の順番と異なる場合に当該サイトが不正であると判断してもよい。
【0116】
サイト不正検知部136は、例えば、2以上の各サイトの1または2種類以上の各タグのタグ数を用いて、2以上のサイトをクラスタリングし、1または2以上のタグ数を用いた検査では不正なサイトではないと判断したサイトでも、2以上のタグ数を用いた検査で不正であると判断したサイトと同じクラスに属するサイトを不正なサイトであると判断して、サイト検知結果を取得する。なお、サイト不正検知部136は、例えば、2以上のサイトを、各サイトのウェブページの中の2以上のタグ数を要素とするベクトルを用いて、クラスタリングする。ベクトルのクラスタリングには、例えば、K-means法を用いるが、そのアルゴリズムは問わない。
【0117】
サイト不正検知部136は、例えば、サイト情報を用いて、2以上の各サイトが不正なサイトの候補であるか否かの簡易検査を行い、簡易検査の結果が不正であると判断された1以上の各サイトのサイト情報を用いて、1以上の各サイトが不正なサイトであるか否かの詳細検査を行い、サイト検知結果を取得する。サイト不正検知部136は、例えば、サイトのウェブページの中の特定の1または2以上の各タグのタグ数またはタグの割合いが閾値以上または閾値より多いか否かの簡易検査を行う。
【0118】
IPアドレス不正検知部137は、1以上の各IPアドレスごとに、IPアドレス情報取得部133が取得したIPアドレス情報を用いて、IPアドレスに対する不正検知を行い、IPアドレス検知結果を取得する。
【0119】
IPアドレス検知結果とは、IPアドレスに対する不正の検知の結果を示す情報である。IPアドレス検知結果は、例えば、不正である「1」、または不正でない「0」を含む。
【0120】
IPアドレス不正検知部137は、例えば、1以上のIPアドレス属性値を用いて、一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得する。
【0121】
IPアドレス不正検知部137は、例えば、2以上のIPアドレス情報に含まれる端末種類識別子に対応する画面サイズと、受信された元情報に含まれるサイズ情報が示す画面サイズとが対応しない(例えば、不一致である)IPアドレス情報が不正条件を満たすほど多い場合に、不正であることを示すIPアドレス検知結果を取得する。なお、不正条件は、例えば、端末種類識別子に対応する画面サイズと受信された元情報に含まれるサイズ情報が示す画面サイズとが対応しない割合いが閾値以上または閾値より大きいである。また、閾値は、例えば、95%であるが、問わない。
【0122】
ユーザ不正検知部138は、ユーザごとに、ユーザ操作情報取得部134が取得したユーザ操作情報を用いて、ユーザに対する不正検知を行い、ユーザ検知結果を取得する。なお、ユーザごととは、通常、フィンガープリント情報ごとである。
【0123】
ユーザ検知結果とは、ユーザに対する不正の検知の結果を示す情報である。ユーザ検知結果は、例えば、不正である「1」、または不正でない「0」を含む。
【0124】
ユーザ不正検知部138は、例えば、2以上のユーザ操作情報の中に特定の操作を示す操作情報が頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する。
【0125】
ユーザ不正検知部138は、例えば、2以上のユーザ操作情報の中に特定の操作を示す操作情報の頻度情報が他のユーザの1または2以上の頻度情報と比較して、ベースラインと比較して、頻度条件を満たすほど多く含まれる場合、不正であることを示すユーザ検知結果を取得する。
【0126】
正当情報更新部139は、1または2以上の正当分布情報を更新する。正当分布情報は、例えば、ネットワーク正当分布情報、サイト正当分布情報であるが、問わない。正当情報更新部139は、例えば、予め決められた更新条件を満たした場合に、正当分布情報を更新する。更新条件は、例えば、予め決められた時になったこと、予め決められた数の元情報が、新しく受信されたことである。
【0127】
正当情報更新部139は、例えば、処理対象の複数の元情報を用いて、新たな正当分布情報を構成し、当該正当分布情報を正当情報格納部111に蓄積する。なお、かかる蓄積は、正当分布情報の更新である。なお、処理対象の複数の元情報は、例えば、新しく受信された元情報、または受信されている正常な元情報である。
【0128】
正当情報更新部139は、例えば、処理対象の複数の各元情報が有するCTITを取得し、CTITの2以上の各範囲に対応する数または割合いを取得し、当該各数または当該各割合いを要素とするベクトルである正当分布情報を構成し、当該ベクトルを正当情報格納部111に蓄積する。なお、ここでの正当分布情報は、例えば、サイト正当分布情報である。
【0129】
正当情報更新部139は、例えば、処理対象の複数の各元情報が有するOS種類識別子取得し、2以上の各OS種類識別子の出現数を取得し、当該各出現数を要素とするベクトルである正当分布情報を構成し、当該ベクトルを正当情報格納部111に蓄積する。なお、ここでの正当分布情報は、例えば、サイト正当分布情報である。
【0130】
正当情報更新部139は、例えば、処理対象の複数の各元情報が有する端末種類識別子取得し、2以上の各端末種類識別子の出現数を取得し、当該各出現数を要素とするベクトルである正当分布情報を構成し、当該ベクトルを正当情報格納部111に蓄積する。なお、ここでの正当分布情報は、例えば、サイト正当分布情報である。
【0131】
送信部14は、各種の情報を出力する。各種の情報は、例えば、検知結果である。検知結果は、ネットワーク検知結果、サイト検知結果、IPアドレス検知結果、またはユーザ検知結果である。送信部14は、例えば、図示しない管理端末に各種の情報を送信する。
【0132】
出力部141は、ネットワーク検知結果とサイト検知結果とIPアドレス検知結果とを出力する。また、出力部141は、ユーザ検知結果をも出力することは好適である。
【0133】
ここで、出力とは、通常、外部の装置への送信であるが、ディスプレイへの表示、プロジェクターを用いた投影、プリンタでの印字、音出力、記録媒体への蓄積、他の処理装置や他のプログラムなどへの処理結果の引渡しなどを含む概念であっても良い。
【0134】
サーバ2を構成するサーバ格納部21には、各種の情報が格納される。各種の情報は、例えば、アプリケーションプログラム、ウェブページ情報、広告情報、送信条件である。なお、ウェブページ情報には、例えば、ユーザ端末3が元情報を構成し、不正検知装置1に送信するためのスクリプトが埋め込まれている。スクリプトは、例えば、Java Script(登録商標)である。
【0135】
送信条件とは、元情報を不正検知装置1に送信するための条件である。送信条件は、例えば、サーバ受信部22がユーザ端末3から受信する指示や情報を特定する情報である。送信条件は、例えば、サーバ受信部22が受信する指示や情報にダウンロード指示である「download *」を含むこと、サーバ受信部22が受信する指示や情報に特定ボタンの押下を示す「button_click 特定ボタンの識別子」を含むことである。
【0136】
サーバ受信部22は、ユーザ端末3から、各種の指示や情報を受信する。各種の指示や情報は、例えば、ダウンロード指示、ユーザ操作情報である。
【0137】
サーバ処理部23は、各種の処理を行う。サーバ処理部23は、ユーザ端末3から受信
した指示や情報に応じた処理を行う。サーバ処理部23は、例えば、受信されたダウンロード指示に応じたアプリケーションプログラムをサーバ格納部21から取得する。サーバ処理部23は、例えば、受信されたユーザ操作情報に含まれる購入指示に応じて、決済処理を行う。
した指示や情報に応じた処理を行う。サーバ処理部23は、例えば、受信されたダウンロード指示に応じたアプリケーションプログラムをサーバ格納部21から取得する。サーバ処理部23は、例えば、受信されたユーザ操作情報に含まれる購入指示に応じて、決済処理を行う。
【0138】
サーバ処理部23は、サーバ受信部22が各種の指示や情報を受信した場合に、当該指示や情報に対応する元情報を構成する。
【0139】
サーバ処理部23は、例えば、受信された指示または情報が送信条件に合致するか否かを判断する。そして、サーバ処理部23は、例えば、送信条件に合致すると判断した場合のみ、受信された指示または情報に対応する元情報を構成する。
【0140】
サーバ処理部23は、送信条件に合致するか否かを判断しないで、受信された指示または情報を用いて、元情報を構成しても良い。
【0141】
サーバ送信部24は、各種の情報を送信する。サーバ送信部24は、例えば、サーバ処理部23が構成した元情報を不正検知装置1に送信する。
【0142】
サーバ送信部24は、例えば、サーバ処理部23が取得したアプリケーションプログラムを、ユーザ端末3に送信する。
【0143】
サーバ送信部24は、例えば、サーバ処理部23が行ったユーザ操作情報に応じた処理の結果に関する情報を、ユーザ端末3に送信する。
【0144】
ユーザ端末3を構成する端末格納部31には、各種の情報が格納される。各種の情報は、例えば、ユーザ識別子、元情報、送信条件である。
【0145】
送信条件とは、元情報を不正検知装置1に送信するための条件である。送信条件は、例えば、端末受付部32が受け付けた指示や情報を特定する情報、端末受付部32が受け付けた指示や情報に対応する処理結果を特定する情報である。送信条件は、例えば、端末受付部32が受け付けた指示や情報に、インストール指示である「install *」を含むこと、端末受付部32が受け付けた指示や情報に、特定ボタンの押下を示す「button_click 特定ボタンの識別子」を含むことである。
【0146】
端末受付部32は、各種の指示や情報を受け付ける。各種の指示や情報は、例えば、ダウンロード指示、インストール指示、操作情報である。
【0147】
各種の指示や情報の入力手段は、タッチパネルやキーボードやマウスやメニュー画面によるもの等、何でも良い。
【0148】
端末処理部33は、各種の処理を行う。各種の処理とは、例えば、端末受付部32が受け付けた指示や情報等を、送信する構造の指示や情報等に変更する処理、端末受信部35が受信した情報を出力する構造に変更する処理等である。
【0149】
端末処理部33は、端末受付部32が受け付けた各種の指示や情報に応じた元情報を構成する。
【0150】
端末処理部33は、端末受付部32が受け付けたインストール指示に応じて、当該インストール指示に対応するアプリケーションプログラムをインストールする。
【0151】
端末処理部33は、例えば、端末受付部32が受け付けた指示や情報、端末受付部32が受け付けた指示や情報に対応する処理結果が送信条件に合致するか否かを判断する。端末処理部33は、例えば、送信条件に合致すると判断した場合のみ、端末受付部32が受け付けた指示や情報、端末受付部32が受け付けた指示や情報に対応する処理結果を用いて元情報を構成する。なお、端末処理部33は、送信条件に合致するか否かを判断しないで、端末受付部32が受け付けた指示や情報または端末受付部32が受け付けた指示や情報に対応する処理結果を用いて、元情報を構成しても良い。
【0152】
端末送信部34は、各種指示や情報を送信する。端末送信部34は、例えば、ダウンロード指示、操作情報をサーバ2に送信する。端末送信部34は、例えば、端末処理部33が構成した元情報を不正検知装置1に送信する。
【0153】
端末受信部35は、各種の情報を受信する。各種の情報は、例えば、アプリケーションプログラム、操作情報の送信の結果を示す情報である。
【0154】
端末出力部36は、各種の情報を出力する。各種の情報は、例えば、ユーザ操作情報の送信の結果を示す情報である。
【0155】
ここで、出力とは、ディスプレイへの表示、プロジェクターを用いた投影、プリンタでの印字、音出力、外部の装置への送信、記録媒体への蓄積、他の処理装置や他のプログラムなどへの処理結果の引渡しなどを含む概念である。
【0156】
格納部11、正当情報格納部111、サーバ格納部21、および端末格納部31は、不揮発性の記録媒体が好適であるが、揮発性の記録媒体でも実現可能である。
【0157】
格納部11等に情報が記憶される過程は問わない。例えば、記録媒体を介して情報が格納部11等で記憶されるようになってもよく、通信回線等を介して送信された情報が格納部11等で記憶されるようになってもよく、あるいは、入力デバイスを介して入力された情報が格納部11等で記憶されるようになってもよい。
【0158】
受信部12、サーバ受信部22、および端末受信部35は、通常、無線または有線の通信手段で実現されるが、放送を受信する手段で実現されても良い。
【0159】
処理部13、ネットワーク情報取得部131、ユーザ操作情報取得部134、IPアドレス情報取得部133、ユーザ操作情報取得部134、ネットワーク不正検知部135、ユーザ不正検知部138、IPアドレス不正検知部137、ユーザ不正検知部138、正当情報更新部139、サーバ処理部23、および処理部33は、通常、プロセッサやメモリ等から実現され得る。処理部13等の処理手順は、通常、ソフトウェアで実現され、当該ソフトウェアはROM等の記録媒体に記録されている。但し、ハードウェア(専用回路)で実現しても良い。なお、プロセッサは、CPU、MPU、GPU等であり、その種類は問わない。
【0160】
送信部14、出力部141、サーバ送信部24、および端末送信部34は、通常、無線または有線の通信手段で実現されるが、放送手段で実現されても良い。
【0161】
端末受付部32は、タッチパネルやキーボード等の入力手段のデバイスドライバーや、メニュー画面の制御ソフトウェア等で実現され得る。
【0162】
端末出力部36は、ディスプレイやスピーカー等の出力デバイスを含むと考えても含まないと考えても良い。端末出力部36は、出力デバイスのドライバーソフトまたは、出力デバイスのドライバーソフトと出力デバイス等で実現され得る。
【0163】
次に、不正検知システムAの動作例について説明する。まず、不正検知装置1の動作例について、図4のフローチャートを用いて説明する。
【0164】
(ステップS401)受信部12は、サーバ2またはユーザ端末3から、元情報を受信したか否かを判断する。元情報を受信した場合はステップS402に行き、元情報を受信しなかった場合はステップS403に行く。
【0165】
(ステップS402)処理部13は、ステップS401で受信された元情報を格納部11に蓄積する。ステップS401に戻る。
【0166】
(ステップS403)処理部13は、不正検知を行うタイミングであるか否かを判断する。不正検知を行うタイミングであればステップS404に行き、不正検知を行うタイミングでなければステップS401に戻る。
【0167】
なお、不正検知を行うタイミングは、例えば、予め決められた時刻になった場合、受信部12が不正検知指示を受信した場合、閾値以上の数の元情報が蓄積された場合である。
【0168】
(ステップS404)ネットワーク不正検知部135等は、ネットワーク不正処理を行う。ネットワーク不正処理の例について、図5のフローチャートを用いて説明する。
【0169】
(ステップS405)ユーザ不正検知部138等は、サイト不正処理を行う。サイト不正処理の例について、図6のフローチャートを用いて説明する。
【0170】
(ステップS406)IPアドレス不正検知部137等は、IPアドレス不正処理を行う。IPアドレス不正処理の例について、図7のフローチャートを用いて説明する。
【0171】
(ステップS407)ユーザ不正検知部138等は、ユーザ不正処理を行う。ユーザ不正処理の例について、図8のフローチャートを用いて説明する。
【0172】
(ステップS408)処理部13は、ステップS404からステップS407における不正検知処理の結果を用いて、出力結果を構成する。
【0173】
(ステップS409)出力部141は、ステップS408で構成された出力結果を出力する。ステップS401に戻る。なお、ここでの出力は、例えば、記録媒体への蓄積、外部の装置への送信であるが、他の処理装置や他のプログラムなどへの処理結果の引渡し、ディスプレイへの表示、プロジェクターを用いた投影、プリンタでの印字、音出力などを含む概念であっても良い。
【0174】
(ステップS410)処理部13は、正当情報の更新条件に合致するか否かを判断する。更新条件に合致する場合はステップS411に行き、更新条件に合致しない場合はステップS401に戻る。
【0175】
(ステップS411)正当情報更新部139は、正当情報更新処理を行う。はステップS401に戻る。正当情報更新処理の例について、図9のフローチャートを用いて説明する。
【0176】
なお、図4のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0177】
次に、ステップS404のネットワーク不正処理の例について、図5のフローチャートを用いて説明する。
【0178】
(ステップS501)ネットワーク情報取得部131は、カウンタiに1を代入する。
【0179】
(ステップS502)ネットワーク情報取得部131は、i番目のネットワーク識別子が存在するか否かを判断する。i番目のネットワーク識別子が存在する場合はステップS503に行き、i番目のネットワーク識別子が存在しない場合は上位処理にリターンする。
【0180】
(ステップS503)ネットワーク情報取得部131は、不正検知の処理対象である元情報の中から、i番目のネットワーク識別子を含む1または2以上の元情報を、格納部11から取得する。
【0181】
(ステップS504)ネットワーク不正検知部135は、カウンタjに1を代入する。
【0182】
(ステップS505)ネットワーク不正検知部135は、j番目のネットワーク不正条件が存在するか否かを判断する。j番目のネットワーク不正条件が存在する場合はステップS506に行き、j番目のネットワーク不正条件が存在しない場合はステップS512に行く。
【0183】
(ステップS506)ネットワーク不正検知部135は、j番目のネットワーク不正条件を格納部11から取得する。
【0184】
(ステップS507)ネットワーク情報取得部131は、j番目のネットワーク不正条件を判断するために使用する1以上の情報を取得する。1以上の各情報は、ネットワーク属性値またはネットワーク特徴量である。
【0185】
(ステップS508)ネットワーク不正検知部135は、ステップS507で取得された1以上の情報が、j番目のネットワーク不正条件を満たすか否かを判断する。j番目のネットワーク不正条件を満たす場合(ここでは、不正である場合)はステップS509に行き、満たさない場合はステップS510に行く。
【0186】
(ステップS509)ネットワーク不正検知部135は、i番目のネットワーク識別子とj番目のネットワーク不正条件とに対応付けて、不正である旨のネットワーク検知結果を取得し、図示しないバッファに一時蓄積する。ステップS511に行く。
【0187】
(ステップS510)ネットワーク不正検知部135は、i番目のネットワーク識別子とj番目のネットワーク不正条件とに対応付けて、不正でない旨のネットワーク検知結果を取得し、図示しないバッファに一時蓄積する。
【0188】
(ステップS511)ネットワーク不正検知部135は、カウンタjを1、インクリメントする。ステップS505に戻る。
【0189】
(ステップS512)ネットワーク不正検知部135は、図示しないバッファに蓄積されたネットワーク検知結果を用いて、i番目のネットワーク識別子に対応付く最終的なネットワーク検知結果を構成する。
【0190】
(ステップS513)ネットワーク情報取得部131は、カウンタiを1、インクリメントする。ステップS502に戻る。
【0191】
次に、ステップS405のサイト不正処理の例について、図6のフローチャートを用いて説明する。
【0192】
(ステップS601)サイト情報取得部132は、カウンタiに1を代入する。
【0193】
(ステップS602)サイト情報取得部132は、i番目のサイト識別子が存在するか否かを判断する。i番目のサイト識別子が存在する場合はステップS603に行き、i番目のサイト識別子が存在しない場合は上位処理にリターンする。
【0194】
(ステップS603)サイト情報取得部132は、不正検知の処理対象である元情報の中から、i番目のサイト識別子を含む1または2以上の元情報を、格納部11から取得する。
【0195】
(ステップS604)サイト不正検知部136は、カウンタjに1を代入する。
【0196】
(ステップS605)サイト不正検知部136は、j番目のサイト不正条件が存在するか否かを判断する。j番目のサイト不正条件が存在する場合はステップS606に行き、j番目のサイト不正条件が存在しない場合はステップS612に行く。
【0197】
(ステップS606)サイト不正検知部136は、j番目のサイト不正条件を格納部11から取得する。
【0198】
(ステップS607)サイト情報取得部132は、j番目のサイト不正条件を判断するために使用する1以上の情報を取得する。1以上の各情報は、サイト属性値またはサイト特徴量である。
【0199】
(ステップS608)サイト不正検知部136は、ステップS607で取得された1以上の情報が、j番目のサイト不正条件を満たすか否かを判断する。j番目のサイト不正条件を満たす場合はステップS609に行き、満たさない場合はステップS610に行く。
【0200】
(ステップS609)サイト不正検知部136は、i番目のサイト識別子とj番目のサイト不正条件とに対応付けて、不正である旨のサイト検知結果を取得し、図示しないバッファに一時蓄積する。ステップS611に行く。
【0201】
(ステップS610)サイト不正検知部136は、i番目のサイト識別子とj番目のサイト不正条件とに対応付けて、不正でない旨のサイト検知結果を取得し、図示しないバッファに一時蓄積する。
【0202】
(ステップS611)サイト不正検知部136は、カウンタjを1、インクリメントする。ステップS605に戻る。
【0203】
(ステップS612)サイト不正検知部136は、図示しないバッファに蓄積されたサイト検知結果を用いて、i番目のサイト識別子に対応付く最終的なサイト検知結果を構成する。
【0204】
(ステップS613)サイト情報取得部132は、カウンタiを1、インクリメントする。ステップS602に戻る。
【0205】
次に、ステップS406のIPアドレス不正処理の例について、図7のフローチャートを用いて説明する。
【0206】
(ステップS701)IPアドレス情報取得部133は、カウンタiに1を代入する。
【0207】
(ステップS702)IPアドレス情報取得部133は、i番目のIPアドレス識別子が存在するか否かを判断する。i番目のIPアドレス識別子が存在する場合はステップS703に行き、i番目のIPアドレス識別子が存在しない場合は上位処理にリターンする。なお、IPアドレス識別子は、IPアドレスでも良い。
【0208】
(ステップS703)IPアドレス情報取得部133は、不正検知の処理対象である元情報の中から、i番目のIPアドレス識別子を含む1または2以上の元情報を、格納部11から取得する。
【0209】
(ステップS704)IPアドレス不正検知部137は、カウンタjに1を代入する。
【0210】
(ステップS705)IPアドレス不正検知部137は、j番目のIPアドレス不正条件が存在するか否かを判断する。j番目のIPアドレス不正条件が存在する場合はステップS706に行き、j番目のIPアドレス不正条件が存在しない場合はステップS712に行く。
【0211】
(ステップS706)IPアドレス不正検知部137は、j番目のIPアドレス不正条件を格納部11から取得する。
【0212】
(ステップS707)IPアドレス情報取得部133は、j番目のIPアドレス不正条件を判断するために使用する1以上の情報を取得する。1以上の各情報は、IPアドレス属性値またはIPアドレス特徴量である。
【0213】
(ステップS708)IPアドレス不正検知部137は、ステップS707で取得された1以上の情報が、j番目のIPアドレス不正条件を満たすか否かを判断する。j番目のIPアドレス不正条件を満たす場合はステップS709に行き、満たさない場合はステップS710に行く。
【0214】
(ステップS709)IPアドレス不正検知部137は、i番目のIPアドレス識別子とj番目のIPアドレス不正条件とに対応付けて、不正である旨のIPアドレス検知結果を取得し、図示しないバッファに一時蓄積する。ステップS711に行く。
【0215】
(ステップS710)IPアドレス不正検知部137は、i番目のIPアドレス識別子とj番目のIPアドレス不正条件とに対応付けて、不正でない旨のIPアドレス検知結果を取得し、図示しないバッファに一時蓄積する。
【0216】
(ステップS711)IPアドレス不正検知部137は、カウンタjを1、インクリメントする。ステップS705に戻る。
【0217】
(ステップS712)IPアドレス不正検知部137は、図示しないバッファに蓄積されているIPアドレス検知結果を用いて、i番目のIPアドレス識別子に対応付く最終的なIPアドレス検知結果を構成する。
【0218】
(ステップS713)IPアドレス情報取得部133は、カウンタiを1、インクリメントする。ステップS702に戻る。
【0219】
次に、ステップS407のユーザ不正処理の例について、図8のフローチャートを用いて説明する。
【0220】
(ステップS801)ユーザ操作情報取得部134は、カウンタiに1を代入する。
【0221】
(ステップS802)ユーザ操作情報取得部134は、i番目のユーザ識別子が存在するか否かを判断する。i番目のユーザ識別子が存在する場合はステップS803に行き、i番目のユーザ識別子が存在しない場合は上位処理にリターンする。なお、ここでのユーザ識別子は、通常、フィンガープリント情報である。
【0222】
(ステップS803)ユーザ操作情報取得部134は、不正検知の処理対象である元情報の中から、i番目のユーザ識別子を含む1または2以上の元情報を、格納部11から取得する。
【0223】
(ステップS804)ユーザ不正検知部138は、カウンタjに1を代入する。
【0224】
(ステップS805)ユーザ不正検知部138は、j番目のユーザ不正条件が存在するか否かを判断する。j番目のユーザ不正条件が存在する場合はステップS806に行き、j番目のユーザ不正条件が存在しない場合はステップS812に行く。
【0225】
(ステップS806)ユーザ不正検知部138は、j番目のユーザ不正条件を格納部11から取得する。
【0226】
(ステップS807)ユーザ操作情報取得部134は、j番目のユーザ不正条件を判断するために使用する1以上の情報を取得する。1以上の各情報は、ユーザ属性値またはユーザ特徴量である。
【0227】
(ステップS808)ユーザ不正検知部138は、ステップS807で取得された1以上の情報が、j番目のユーザ不正条件を満たすか否かを判断する。j番目のユーザ不正条件を満たす場合はステップS809に行き、満たさない場合はステップS810に行く。
【0228】
(ステップS809)ユーザ不正検知部138は、i番目のユーザ識別子とj番目のユーザ不正条件とに対応付けて、不正である旨のユーザ検知結果を取得し、図示しないバッファに一時蓄積する。ステップS811に行く。
【0229】
(ステップS810)ユーザ不正検知部138は、i番目のユーザ識別子とj番目のユーザ不正条件とに対応付けて、不正でない旨のユーザ検知結果を取得し、図示しないバッファに一時蓄積する。
【0230】
(ステップS811)ユーザ不正検知部138は、カウンタjを1、インクリメントする。ステップS805に戻る。
【0231】
(ステップS812)ユーザ不正検知部138は、図示しないバッファに蓄積されているユーザ検知結果を用いて、i番目のユーザ識別子に対応付く最終的なユーザ検知結果を構成する。
【0232】
(ステップS813)ユーザ操作情報取得部134は、カウンタiを1、インクリメントする。ステップS802に戻る。
【0233】
次に、ステップS411の正当情報更新処理の例について、図9のフローチャートを用いて説明する。
【0234】
(ステップS901)正当情報更新部139は、カウンタiに1を代入する。
【0235】
(ステップS902)正当情報更新部139は、更新対象のi番目の正当分布情報が存在するか否かを判断する。i番目の正当分布情報が存在する場合はステップS903に行き、i番目の正当情報が存在しない場合は上位処理にリターンする。
【0236】
(ステップS903)正当情報更新部139は、格納部11の中の処理対象の元情報から、i番目の正当分布情報を構成するために用いる情報である正当元情報を取得する。なお、正当元情報は、例えば、CTIT、OS種類識別子、端末種類識別子、特定の操作情報(例えば、「donwload」「購入を示す操作情報」)である。
【0237】
(ステップS904)正当情報更新部139は、ステップS903で取得した正当元情報を用いて、更新される正当分布情報を構成する。
【0238】
(ステップS905)正当情報更新部139は、ステップS904で構成された正当分布情報を、正当情報格納部111に上書きする。
【0239】
(ステップS906)正当情報更新部139は、カウンタiを1、インクリメントする。ステップS902に戻る。
【0240】
次に、サーバ2の動作例について、図10のフローチャートを用いて説明する。
【0241】
(ステップS1001)サーバ受信部22は、ユーザ端末3から、指示や情報を受信したか否かを判断する。指示や情報を受信した場合はステップS1002に行き、受信しなかった場合はステップS1001に戻る。
【0242】
(ステップS1002)サーバ処理部23は、ステップS1001で受信された指示や情報に応じた処理を行う。
【0243】
(ステップS1003)サーバ処理部23は、ステップS1001で受信された指示または情報が、サーバ格納部21の送信条件に合致するか否かを判断する。送信条件に合致する場合はステップS1004に行き、合致しない場合はステップS1001に戻る。
【0244】
(ステップS1004)サーバ処理部23は、アクセスしたユーザ端末3のフィンガープリント情報を取得する。
【0245】
(ステップS1005)サーバ処理部23は、サーバ2のIPアドレスを取得する。サーバ処理部23は、ユーザ端末3のIPアドレスを取得する。
【0246】
(ステップS1006)サーバ処理部23は、サーバ2のサイト識別子を取得する。
【0247】
(ステップS1007)サーバ処理部23は、サーバ2が属するネットワークのネットワーク識別子を取得する。
【0248】
(ステップS1008)サーバ処理部23は、ステップS1001で受信された指示または情報に対応する情報(例えば、「download」「button_click 特定ボタンの識別子」)を取得する。
【0249】
(ステップS1009)サーバ処理部23は、ステップS1004からステップS1008の処理により取得した情報を含む元情報を構成する。
【0250】
(ステップS1010)サーバ送信部24は、ステップS1009で構成された元情報を不正検知装置1に送信する。ステップS1001に戻る。
【0251】
なお、図10のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0252】
次に、ユーザ端末3の動作例について、図11のフローチャートを用いて説明する。
【0253】
(ステップS1101)端末受付部32は、指示や情報を受け付けたか否かを判断する。指示や情報を受け付けた場合はステップS1102に行き、受け付けなかった場合はステップS1111に行く。
【0254】
(ステップS1102)端末処理部33は、ステップS1101で受け付けられた指示や情報から送信する指示や情報を構成する。端末送信部34は、当該指示や情報をサーバ2に送信する。
【0255】
(ステップS1103)端末処理部33は、ステップS1101で受け付けられた指示または情報、またはステップS1111で受信された情報が、端末格納部31の送信条件に合致するか否かを判断する。送信条件に合致する場合はステップS1104に行き、合致しない場合はステップS1101に戻る。
【0256】
(ステップS1104)端末処理部33は、フィンガープリント情報を取得する。
【0257】
(ステップS1105)端末処理部33は、アクセスしたサーバ2のIPアドレスを取得する。サーバ処理部23は、ユーザ端末3のIPアドレスを取得する。
【0258】
(ステップS1106)端末処理部33は、アクセスしたサーバ2のサイト識別子を取得する。
【0259】
(ステップS1107)端末処理部33は、アクセスしたサーバ2が属するネットワークのネットワーク識別子を取得する。
【0260】
(ステップS1108)端末処理部33は、ステップS1101で受信された指示または情報、またはステップS1111で受信された情報に対応する情報(例えば、「download」「button_click 特定ボタンの識別子」)であり、元情報を構成するための情報を取得する。
【0261】
(ステップS1109)端末処理部33は、ステップS1104からステップS1108の処理により取得した情報を含む元情報を構成する。
【0262】
(ステップS1110)端末送信部34は、ステップS1109で構成された元情報を不正検知装置1に送信する。ステップS1101に戻る。
【0263】
(ステップS1111)端末受信部35は、サーバ2から情報を受信したか否かを判断する。情報を受信した場合はステップS1112に行き、情報を受信しなかった場合はステップS1101に戻る。
【0264】
(ステップS1112)端末処理部33は、受信された情報を用いて、出力する情報を構成する。端末出力部36は、当該情報を出力する。ステップS1103に行く。
【0265】
なお、図11のフローチャートにおいて、電源オフや処理終了の割り込みにより処理は終了する。
【0266】
以下、本実施の形態における不正検知システムAの具体的な動作例について説明する。
【0267】
今、不正検知装置1の格納部11には、図12から図14に示す不正条件管理表が格納されている。不正条件管理表とは、各種の不正条件を管理する表である。不正条件管理表は、「ID」「不正種類識別子」「不正条件」を有する1以上のレコードを管理する。「ID」は、レコードを識別する。「不正種類識別子」は、不正の種類を識別する情報である。不正種類識別子「1」は、ネットワークの不正を示す。不正種類識別子「2」は、サイトの不正を示す。不正種類識別子「3」は、IPアドレスの不正を示す。不正種類識別子「4」は、ユーザの不正を示す。ここでの各種の不正条件は、不正条件に合致した場合には不正であり、合致しない場合は不正でない、とする。
【0268】
「ID=1」の不正条件は、ネットワークに属するサイトの1サイトあたりのインストール数の平均値が閾値A(例えば、「閾値A=2」)以下であることである。「ID=2」の不正条件は、ネットワークに属するサイトの数が閾値B(例えば、「閾値B=20」)以上であることである。「ID=3」の不正条件は、ネットワークに属するサイトにアクセスし、アプリケーションプログラムがインストールされた際のユーザ端末3の言語設定が日本語ではない言語設定のインストール数の、全インストール数の対する割合いが閾値C以上であることである。なお、「!=」は不一致であることを示す演算子である。「ID=4」の不正条件は、海外IPからのインストール数の割合いが閾値D以上であることである。なお、「$アクセス元国」は、ネットワークに属するサイトにアクセスしてきたユーザ端末3のIPアドレスから取得されたユーザ端末3が存在する国名が代入される変数である。また、格納部11には、IPアドレスの範囲を示す情報と国名との対応を示す2以上の対応情報を含む対応表が格納されている。そして、ネットワーク情報取得部131は、かかる対応表を参照し、受信された元情報に含まれるユーザ端末3のIPアドレスに対応する国名を取得し、「$アクセス元国」に代入する。「ID=5」の不正条件は、ネットワークに属する一サイトあたりのコンバージョン(CV)操作の数が閾値E以下であることである。なお、変数「$CV操作」は格納部11に格納されており、変数「$CV操作」には、コンバージョン操作であると判断される1以上の操作識別子が予め格納されている。「ID=6」の不正条件は、ネットワークに属するサイトにアクセスするユーザ端末3の種類が適切でない(例えば、古いデバイス)種類である割合いが閾値F以上であることである。なお、変数「$適正端末種類識別子」は格納部11に格納されており、変数「$適正端末種類識別子」には、1以上の適正な端末種類識別子(例えば、新しいデバイスの種類識別子)が予め格納されている。「ID=7」の不正条件は、ネットワークに属するサイトにアクセスするユーザ端末3のOSの種類が適切でない(例えば、古いOS)種類である割合いが閾値G以上であることである。なお、変数「$適正OS種類識別子」は格納部11に格納されており、変数「$適正OS種類識別子」には、1以上の適正なOS種類識別子(例えば、新しいOSの種類識別子)が予め格納されている。
【0269】
図13の「ID=51」の不正条件は、サイトにおけるCTITの分布と、CTIT正当分布情報との差異の絶対値が閾値H以上であることである。なお、CTIT正当分布情報は、例えば、(70000,20000,・・・,5000)である。また、両社の差異は、ここでは、2つのベクトルの距離である。「ID=52」の不正条件は、サイトにアクセスしたユーザ端末3のOSの種類の分布と、OS種類正当分布情報との差異の絶対値が閾値I以上であることである。なお、OS種類正当分布情報は、例えば、(54.9%,14.2%,・・・,2.0%)である。「ID=53」の不正条件は、サイトにアクセスしたユーザ端末3の種類の分布と、端末種類正当分布情報との差異の絶対値が閾値J以上であることである。不正の判断の対象となる元情報は異なるが、「ID=54,55」の不正条件は、「ID=6,7」の不正条件と同じであるので、説明は省略する。「ID=56」の不正条件は、CTITの平均値が小過ぎる場合、または大き過ぎることである。「ID=57,58」の不正条件は、「ID=4,3」の不正条件と類似するので、説明は省略する。「ID=59」の不正条件は、サイトの中の1または2以上のウェブページを実現するHTMLにおける特定の「タグX」の数が閾値Q以上である、または特定の「タグY」の数が閾値R以上であることである。
【0270】
図14の「ID=101」の不正条件は、端末種類識別子(例えば、「スマートフォン」、「パソコン」)に対応する画面サイズと、元情報に含まれる画面サイズとが対応しない割合いが閾値S以上であることである。「ID=102」の不正条件は、適正でない端末種類識別子を含む元情報の数が閾値T以上であることである。「ID=103」の不正条件は、スプーフィングであると判断される元情報の割合いが閾値U以上であることである。
【0271】
図14の「ID=151」の不正条件は、操作識別子「特定操作A」を含む元情報の数が閾値V以上であることである。「ID=152」の不正条件は、操作識別子「CLICK(広告)」を含む元情報の数が閾値W以上であることである。なお、操作識別子「CLICK(広告)」を含む元情報の数は、同じ広告をクリックした回数である。
【0272】
以上の状況において、不正検知装置1は、以下のように動作する。つまり、不正検知装置1の受信部12は、1または2以上の各サーバ2から多数の元情報を受信する。そして、処理部13は、受信された多数の元情報を格納部11に蓄積する。また、不正検知装置1の受信部12は、1または2以上の各ユーザ端末3から多数の元情報を受信する。そして、処理部13は、受信された多数の元情報を格納部11に蓄積する。そして、格納部11には、多数の元情報が蓄積された、とする。
【0273】
なお、不正検知装置1が、サーバ2から受信し、蓄積した元情報の例は、ダウンロード情報である(アプリケーション識別子、ネットワーク識別子、サイト識別子、サーバ2のIPアドレス、ユーザ端末3のIPアドレス、フィンガープリント情報、OS種類識別子、端末種類識別子、言語識別子、サイズ情報)の構造を有する元情報、ユーザ操作情報である(操作識別子(オブジェクト識別子)、ネットワーク識別子、サイト識別子、サーバ2のIPアドレス、ユーザ端末3のIPアドレス、フィンガープリント情報、OS種類識別子、端末種類識別子、言語識別子、サイズ情報)の構造を有する元情報、HTMLで記述されたウェブページ情報を含む(ネットワーク識別子、サイト識別子、サーバ2のIPアドレス、ウェブページ情報)の構造を有する元情報である。
【0274】
また、不正検知装置1が、ユーザ端末3から受信し、蓄積した元情報の例は、ダウンロード情報である(アプリケーション識別子、ネットワーク識別子、サイト識別子、サーバ2のIPアドレス、ユーザ端末3のIPアドレス、フィンガープリント情報、OS種類識別子、端末種類識別子、言語識別子、サイズ情報)の構造を有する元情報、インストール情報である(アプリケーション識別子、ネットワーク識別子、サイト識別子、IPアドレス、フィンガープリント情報、CTIT、OS種類識別子、端末種類識別子、言語識別子、サイズ情報)の構造を有する元情報、ユーザ操作情報である(操作識別子(オブジェクト識別子)、ネットワーク識別子、サイト識別子、サーバ2のIPアドレス、ユーザ端末3のIPアドレス、フィンガープリント情報、OS種類識別子、端末種類識別子、言語識別子、サイズ情報)の構造を有する元情報である。
【0275】
以上の状況において、例えば、予め決められた時刻になり、処理部13は、不正検知を行うタイミングである、と判断したとする。そして、以下、4つの具体例について説明する。具体例1は、ネットワーク検知結果を取得する場合である。具体例2は、サイト検知結果を取得する場合である。具体例3は、IPアドレス検知結果を取得する場合である。具体例4は、ユーザ検知結果を取得する場合である。
【0276】
(具体例1)
ネットワーク情報取得部131は、ネットワーク識別子ごとに、当該ネットワーク識別子を有する1または2以上の元情報を格納部11から取得する。そして、ネットワーク情報取得部131は、ネットワーク識別子ごとに、取得した1または2以上の元情報を用いて、1以上のネットワーク属性値を取得する。ここでは、1以上のネットワーク属性値は、サイト数、インストール数を含む。1以上のネットワーク属性値は、例えば、インストールを示す操作識別子と対になる各言語識別子の数、インストールを示す操作識別子と対になる各アクセス元国の数でありユーザ端末3のIPアドレスから取得できる各アクセス元国の数、CVに該当する操作識別子を含む元情報の数、適正な端末種類識別子を含まない元情報の数、適正なOS種類識別子を含まない元情報の数を含む。
ネットワーク情報取得部131は、ネットワーク識別子ごとに、当該ネットワーク識別子を有する1または2以上の元情報を格納部11から取得する。そして、ネットワーク情報取得部131は、ネットワーク識別子ごとに、取得した1または2以上の元情報を用いて、1以上のネットワーク属性値を取得する。ここでは、1以上のネットワーク属性値は、サイト数、インストール数を含む。1以上のネットワーク属性値は、例えば、インストールを示す操作識別子と対になる各言語識別子の数、インストールを示す操作識別子と対になる各アクセス元国の数でありユーザ端末3のIPアドレスから取得できる各アクセス元国の数、CVに該当する操作識別子を含む元情報の数、適正な端末種類識別子を含まない元情報の数、適正なOS種類識別子を含まない元情報の数を含む。
【0277】
ネットワーク情報取得部131は、例えば、一のネットワーク識別子を有する1以上の元情報からサイト識別子を取得し、当該サイト識別子に対して、ユニーク処理を行い、その結果からサイト識別子の数(サイト数)を取得する。ネットワーク情報取得部131は、例えば、一のネットワーク識別子を有する1以上の元情報から操作識別子「install」を含む元情報の数であるインストール数を取得する。
【0278】
次に、ネットワーク不正検知部135は、不正条件管理表の「ID=1~7、8以降」の各ネットワーク不正条件に基づいて、ネットワーク識別子ごとに取得されたネットワーク属性値を用いて、ネットワーク識別子ごと、ネットワーク不正条件ごとに、ネットワークが不正であるか否かを判断する。ネットワーク不正検知部135は、ネットワーク識別子ごとに、例えば、「ID=1」のネットワーク不正条件を用いて、1サイトにおけるインストール数を算出し、閾値A(例えば「2」)以下であるネットワークを不正である、と判断する。
【0279】
次に、出力部141は、当該ネットワークの不正検知の結果を出力する。かかる出力例は、図15である。
【0280】
図15において、「No」はネットワーク識別子、「#installs_ct」はインストール数、「retio(%)」は操作識別子「install」を含む元情報の割合い、「fraudulent_score」は、不正か否かを示すネットワーク検知結果、「#site_3」はサイト数、「installs/「#site_3」は1サイトあたりのインストール数である。図15において、矩形で囲った行に対応するネットワーク識別子「3,6,10」のネットワーク(1501)が不正であることを示す。
【0281】
(具体例2)
サイト情報取得部132は、サイト識別子ごとに、当該サイト識別子を有する1または2以上の元情報を格納部11から取得する。そして、サイト情報取得部132は、サイト識別子ごとに、取得した1または2以上の元情報を用いて、1以上のサイト属性値を取得する。ここでは、1以上のサイト属性値は、例えば、CTIT、OS種類識別子、端末種類識別子、ユーザ識別子のIPアドレス、言語識別子、ウェブページ情報を含む。
サイト情報取得部132は、サイト識別子ごとに、当該サイト識別子を有する1または2以上の元情報を格納部11から取得する。そして、サイト情報取得部132は、サイト識別子ごとに、取得した1または2以上の元情報を用いて、1以上のサイト属性値を取得する。ここでは、1以上のサイト属性値は、例えば、CTIT、OS種類識別子、端末種類識別子、ユーザ識別子のIPアドレス、言語識別子、ウェブページ情報を含む。
【0282】
次に、サイト不正検知部136は、不正条件管理表の「ID=51~59等」の各不正条件に基づいて、サイト識別子ごとに取得されたサイト属性値を用いて、サイト識別子ごと、サイト不正条件ごとに、サイトが不正であるか否かを判断する。
【0283】
サイト不正検知部136は、サイトごとに、例えば、「ID=51」のサイト不正条件を用いて、各サイトにおけるCTIT分布情報を取得し、正当情報格納部111のCTIT正当分布情報と比較する。ここでは、ネットワーク不正検知部135は、各サイトにおけるCTITの集合から、CTIT分布情報(平均値,中央値,標準偏差,最小値,最大値)を取得する。
【0284】
ここで、サイト不正検知部136は、例えば、一のサイトの2以上の各元情報が有するCTITから、CTIT分布情報(10.7,3.7,1.3,0.1,1428.8)を取得した、とする。また、CTIT正当分布情報は、(33.9,0.8,9.4,0.3,1439.7)である、とする。そして、サイト不正検知部136は、2つのベクトル(10.7,3.7,1.3,0.1,1428.8)(33.9,0.8,9.4,0.3,1439.7)の距離を算出し、当該距離が閾値H以上である、と判断した、とする。つまり、サイト不正検知部136は、当該一のサイトのCTIT分布情報が正当ではなく、当該一のサイトが不正である旨のサイト検知結果を取得する。
【0285】
次に、出力部141は、当該サイトの不正検知の結果を出力する。かかる出力例は、図16である。図16において、1601はCTIT正当分布情報、1602は、当該一のサイトのCTIT分布情報である。図16において、CTIT正当分布情報、CTIT分布情報ともに、平均値(avg),中央値(median),標準偏差(stdev),最小値(min),最大値(max)を有する。
【0286】
また、サイト不正検知部136は、サイトごとに、例えば、「ID=52」のサイト不正条件を用いて、各サイトにおけるOS種類分布情報を取得し、正当情報格納部111のOS種類正当分布情報と比較する。ここでは、サイト不正検知部136は、各サイトにおけるOS種類分布情報から構成されるベクトルとOS種類正当分布情報から構成されるベクトルとの距離を算出し、サイトごとに不正であるか否かを判断する。OS種類分布情報、OS種類正当分布情報は、OSの種類ごとの元情報の割合いである。
【0287】
次に、出力部141は、当該サイトのOS種類識別子の不正検知の結果を出力する。かかる出力例は、図17である。図17の1701はOS種類正当分布情報であり、1702は各サイトのOS種類分布情報である。図17において、×は不正なサイトであり、○は正当なサイトであることを示す。
【0288】
(具体例3)
IPアドレス情報取得部133は、アクセスされるサーバ2のIPアドレスごとに、IPアドレスを有する1または2以上の元情報を格納部11から取得する。また、IPアドレス情報取得部133は、取得した元情報から、元情報がスプーフィングに該当するか否かを判断するための1以上のIPアドレス属性値を取得する。ここでは、1以上のIPアドレス属性値は、例えば、端末種類識別子、画面サイズを含む。
IPアドレス情報取得部133は、アクセスされるサーバ2のIPアドレスごとに、IPアドレスを有する1または2以上の元情報を格納部11から取得する。また、IPアドレス情報取得部133は、取得した元情報から、元情報がスプーフィングに該当するか否かを判断するための1以上のIPアドレス属性値を取得する。ここでは、1以上のIPアドレス属性値は、例えば、端末種類識別子、画面サイズを含む。
【0289】
IPアドレス不正検知部137は、1以上のIPアドレス属性値を用いて、元情報がスプーフィングに該当するか否かを判断する。ここで、IPアドレス不正検知部137は、例えば、端末種類識別子に対応する画面サイズと、元情報に含まれる画面サイズとが対応しない場合に、元情報がスプーフィングに該当すると判断する。
【0290】
次に、IPアドレス不正検知部137は、IPアドレスごとに、すべての元情報の数と、スプーフィングに該当すると判断した元情報の数とを取得する。次に、IPアドレス不正検知部137は、IPアドレスごとに、スプーフィングの割合い(スプーフィングに該当すると判断した元情報の数/すべての元情報の数)を算出する。次に、IPアドレス不正検知部137は、スプーフィングの割合いが閾値U(ここでは、95%)以上であるIPアドレスを不正である、と判断する。次に、IPアドレス不正検知部137は、スプーフィングに基づく不正検知がされたIPアドレスを含むIPアドレス検知結果を取得する。
【0291】
次に、出力部141は、当該IPアドレス検知結果を出力する。かかる出力例は、図18である。図18の「Row」はレコードのID、「isp」はIPアドレスに対応する組織名、「ip_adress」はIPアドレス、「total_count」はすべての元情報の数、「spoofed_count」はスプーフィングに該当する元情報の数、「spoofed_reta」はスプーフィングの割合いである。図18において、すべてのIPアドレスが不正であることを示す。「spoofed_reta」が0.95以上であるからである。
【0292】
(具体例4)
ユーザ操作情報取得部134は、フィンガープリント情報ごとに、元情報を格納部11から取得する。次に、ユーザ操作情報取得部134は、フィンガープリント情報ごとに、取得した元情報から操作識別子「特定操作A」を含む元情報の数を取得する。また、ユーザ操作情報取得部134は、フィンガープリント情報ごとに、取得した元情報から各広告情報に対する「CLICK」の操作識別子を含む元情報の数を取得する。
ユーザ操作情報取得部134は、フィンガープリント情報ごとに、元情報を格納部11から取得する。次に、ユーザ操作情報取得部134は、フィンガープリント情報ごとに、取得した元情報から操作識別子「特定操作A」を含む元情報の数を取得する。また、ユーザ操作情報取得部134は、フィンガープリント情報ごとに、取得した元情報から各広告情報に対する「CLICK」の操作識別子を含む元情報の数を取得する。
【0293】
次に、ユーザ不正検知部138は、不正条件管理表の「ID=151、152等」の各ユーザ不正条件に基づいて、フィンガープリント情報ごとに取得されたユーザ属性値(操作識別子「特定操作A」を含む元情報の数等)を用いて、フィンガープリント情報ごと、ユーザ不正条件ごとに、ユーザが不正であるか否かを判断する。そして、ユーザ不正検知部138は、ユーザ検知結果を取得する。
【0294】
次に、出力部141は、ユーザが不正であるか否かを示すユーザ検知結果を出力する。
【0295】
以上、本実施の形態によれば、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができる。
【0296】
また、本実施の形態によれば、ユーザに対する不正検知をも含めた、より包括的な不正検知ができる。
【0297】
なお、本実施の形態における処理は、ソフトウェアで実現しても良い。そして、このソフトウェアをソフトウェアダウンロード等により配布しても良い。また、このソフトウェアをCD-ROMなどの記録媒体に記録して流布しても良い。なお、このことは、本明細書における他の実施の形態においても該当する。なお、本実施の形態における不正検知装置1を実現するソフトウェアは、以下のようなプログラムである。つまり、このプログラムは、コンピュータを1または2以上のサイトを含む一のネットワークに関するネットワーク情報を取得するネットワーク情報取得部と、前記ネットワーク情報取得部が取得した前記ネットワーク情報を用いて、前記一のネットワークに対する不正検知を行い、ネットワーク検知結果を取得するネットワーク不正検知部と、一のサイトに関するサイト情報を取得するサイト情報取得部と、前記サイト情報取得部が取得した前記サイト情報を用いて、前記一のサイトに対する不正検知を行い、サイト検知結果を取得するサイト不正検知部と、一のIPアドレスに関するIPアドレス情報を取得するIPアドレス情報取得部と、前記IPアドレス情報取得部が取得した前記IPアドレス情報を用いて、前記一のIPアドレスに対する不正検知を行い、IPアドレス検知結果を取得するIPアドレス不正検知部と、前記ネットワーク検知結果と前記サイト検知結果と前記IPアドレス検知結果とを出力する出力部として機能させるためのプログラムである。
【0298】
また、図19は、本明細書で述べたプログラムを実行して、上述した種々の実施の形態の不正検知装置1、サーバ2、ユーザ端末3を実現するコンピュータの外観を示す。上述の実施の形態は、コンピュータハードウェア及びその上で実行されるコンピュータプログラムで実現され得る。図19は、このコンピュータシステム300の概観図であり、図20は、システム300のブロック図である。
【0299】
図19において、コンピュータシステム300は、CD-ROMドライブを含むコンピュータ301と、キーボード302と、マウス303と、モニタ304とを含む。
【0300】
図20において、コンピュータ301は、CD-ROMドライブ3012に加えて、MPU3013と、CD-ROMドライブ3012等に接続されたバス3014と、ブートアッププログラム等のプログラムを記憶するためのROM3015と、MPU3013に接続され、アプリケーションプログラムの命令を一時的に記憶するとともに一時記憶空間を提供するためのRAM3016と、アプリケーションプログラム、システムプログラム、及びデータを記憶するためのハードディスク3017とを含む。ここでは、図示しないが、コンピュータ301は、さらに、LANへの接続を提供するネットワークカードを含んでも良い。
【0301】
コンピュータシステム300に、上述した実施の形態の不正検知装置1等の機能を実行させるプログラムは、CD-ROM3101に記憶されて、CD-ROMドライブ3012に挿入され、さらにハードディスク3017に転送されても良い。これに代えて、プログラムは、図示しないネットワークを介してコンピュータ301に送信され、ハードディスク3017に記憶されても良い。プログラムは実行の際にRAM3016にロードされる。プログラムは、CD-ROM3101またはネットワークから直接、ロードされても良い。
【0302】
プログラムは、コンピュータ301に、上述した実施の形態の不正検知装置1等の機能を実行させるオペレーティングシステム(OS)、またはサードパーティープログラム等は、必ずしも含まなくても良い。プログラムは、制御された態様で適切な機能(モジュール)を呼び出し、所望の結果が得られるようにする命令の部分のみを含んでいれば良い。コンピュータシステム300がどのように動作するかは周知であり、詳細な説明は省略する。
【0303】
なお、上記プログラムにおいて、情報を送信するステップや、情報を受信するステップなどでは、ハードウェアによって行われる処理、例えば、送信ステップにおけるモデムやインターフェースカードなどで行われる処理(ハードウェアでしか行われない処理)は含まれない。
【0304】
また、上記プログラムを実行するコンピュータは、単数であってもよく、複数であってもよい。すなわち、集中処理を行ってもよく、あるいは分散処理を行ってもよい。
【0305】
また、上記各実施の形態において、一の装置に存在する2以上の通信手段は、物理的に一の媒体で実現されても良いことは言うまでもない。
【0306】
また、上記各実施の形態において、各処理は、単一の装置によって集中処理されることによって実現されてもよく、あるいは、複数の装置によって分散処理されることによって実現されてもよい。
【0307】
本発明は、以上の実施の形態に限定されることなく、種々の変更が可能であり、それらも本発明の範囲内に包含されるものであることは言うまでもない。
【産業上の利用可能性】
【0308】
以上のように、本発明にかかる不正検知装置1は、ネットワーク、サイト、およびIPアドレスの3層構造の全階層に対する包括的な不正検知ができるという効果を有し、不正を検知するサーバ等として有用である。
【符号の説明】
【0309】
A 不正検知システム
1 不正検知装置
2 サーバ
3 ユーザ端末
11 格納部
12 受信部
13、33 処理部
14 送信部
21 サーバ格納部
22 サーバ受信部
23 サーバ処理部
24 サーバ送信部
31 端末格納部
32 端末受付部
33 端末処理部
34 端末送信部
35 端末受信部
36 端末出力部
111 正当情報格納部
131 ネットワーク情報取得部
132 サイト情報取得部
133 IPアドレス情報取得部
134 ユーザ操作情報取得部
135 ネットワーク不正検知部
136 サイト不正検知部
137 IPアドレス不正検知部
138 ユーザ不正検知部
139 正当情報更新部
141 出力部
1 不正検知装置
2 サーバ
3 ユーザ端末
11 格納部
12 受信部
13、33 処理部
14 送信部
21 サーバ格納部
22 サーバ受信部
23 サーバ処理部
24 サーバ送信部
31 端末格納部
32 端末受付部
33 端末処理部
34 端末送信部
35 端末受信部
36 端末出力部
111 正当情報格納部
131 ネットワーク情報取得部
132 サイト情報取得部
133 IPアドレス情報取得部
134 ユーザ操作情報取得部
135 ネットワーク不正検知部
136 サイト不正検知部
137 IPアドレス不正検知部
138 ユーザ不正検知部
139 正当情報更新部
141 出力部
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】