IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

特許7487769異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム
<>
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図1
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図2
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図3
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図4
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図5
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図6
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図7
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図8
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図9
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図10
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図11
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図12
  • 特許-異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム 図13
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-05-13
(45)【発行日】2024-05-21
(54)【発明の名称】異常アクセス予測システム、異常アクセス予測方法および異常アクセス予測プログラム
(51)【国際特許分類】
   H04L 43/0876 20220101AFI20240514BHJP
【FI】
H04L43/0876
【請求項の数】 8
(21)【出願番号】P 2022510300
(86)(22)【出願日】2020-03-27
(86)【国際出願番号】 JP2020013888
(87)【国際公開番号】W WO2021192191
(87)【国際公開日】2021-09-30
【審査請求日】2023-02-15
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100149618
【弁理士】
【氏名又は名称】北嶋 啓至
(72)【発明者】
【氏名】外川 遼介
【審査官】前田 健人
(56)【参考文献】
【文献】特開2017-152852(JP,A)
【文献】特開2019-216305(JP,A)
【文献】特開2018-007179(JP,A)
【文献】特表2019-535068(JP,A)
【文献】土江 康太 Kota Tsuchie,アラート数削減を目的としたCSIRT運用のためのサイバー攻撃監視支援システム,2020年 暗号と情報セキュリティシンポジウム予稿集 ,2020年01月21日,p4
(58)【調査した分野】(Int.Cl.,DB名)
H04L 43/0876
G06F 21/00
(57)【特許請求の範囲】
【請求項1】
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得する取得手段と、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する予測手段と
前記第1の複数の端末装置と前記サーバとを示すノードと、前記ノード間のアクセスの有無を示すエッジとを含み、前記第1の期間における、前記第1の複数の端末装置から前記サーバへのアクセスの時系列順序を示すグラフ時系列データを生成するグラフ生成手段と、
異常なアクセスを行った可能性のあるユーザを示す予測結果と、前記グラフ時系列データとを出力する表示制御手段と
を備える異常アクセス予測システム。
【請求項2】
前記表示制御手段は、異常アクセスを行ったとする予測の理由をさらに出力する、
求項1に記載の異常アクセス予測システム。
【請求項3】
前記表示制御手段は、前記グラフ時系列データのノードが示す装置の属性に関する属性データを出力し、
前記属性データは、前記装置の種類、管理者、アクセスを許可されているユーザの識別情報、データの読み出し量、他装置からのアクセス回数、通信履歴、通信量、ネットワークへの接続形態、認証回数、認証の失敗回数のうち、少なくとも1つを含む
請求項1または2に記載の異常アクセス予測システム。
【請求項4】
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に前記予測モデルを生成する予測モデル生成手段
をさらに備える請求項1からのいずれか一項に記載の異常アクセス予測システム。
【請求項5】
前記予測モデル生成手段は、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて前記予測モデルの再学習を行う
請求項に記載の異常アクセス予測システム。
【請求項6】
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得し、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測し、
前記第1の複数の端末装置と前記サーバとを示すノードと、前記ノード間のアクセスの有無を示すエッジとを含み、前記第1の期間における、前記第1の複数の端末装置から前記サーバへのアクセスの時系列順序を示すグラフ時系列データを生成し、
異常なアクセスを行った可能性のあるユーザを示す予測結果と、前記グラフ時系列データとを出力する、
常アクセス予測方法。
【請求項7】
異常アクセスを行ったとする予測の理由をさらに出力する
請求項に記載の異常アクセス予測方法。
【請求項8】
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得する処理と、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する処理と
前記第1の複数の端末装置と前記サーバとを示すノードと、前記ノード間のアクセスの有無を示すエッジとを含み、前記第1の期間における、前記第1の複数の端末装置から前記サーバへのアクセスの時系列順序を示すグラフ時系列データを生成する処理と、
異常なアクセスを行った可能性のあるユーザを示す予測結果と、前記グラフ時系列データとを出力する処理と
をコンピュータに実行させる異常アクセス予測プログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークの監視技術に関するものであり、特に、通常とは異なるアクセスを行っている端末装置を予測する技術に関するものである。
【背景技術】
【0002】
秘密情報の流出の防止などネットワークのセキュリティを維持する上で、権限の無い端末装置からのネットワーク上のサーバへの不正なアクセスなどの異常アクセスを防止することが重要である。また、異常アクセスは、複数の端末装置を介するなど複数ステップで行われることもあるが、個々のアクセスの記録を基に異常アクセスを検出するためには膨大な作業量が必要になることがある。そのため、異常アクセスを防止するためネットワークの監視を自動で行う技術の開発が盛んに行われている。そのような、異常アクセスを防止するためのネットワークの監視技術としては、例えば、特許文献1、特許文献2および特許文献3のような技術が開示されている。
【0003】
特許文献1には、サーバ等において実行された処理のログを時系列データとして分析し、不正なアクセスを検出する技術が開示されている。また、特許文献2および特許文献3には、ネットワークの異常を検出する技術が開示されている。
【先行技術文献】
【特許文献】
【0004】
【文献】特開2018-61240号公報
【文献】特開2019-80201号公報
【文献】特開2014-123996号公報
【発明の概要】
【発明が解決しようとする課題】
【0005】
しかしながら、特許文献1、特許文献2および特許文献3の技術は、ネットワークへの不正なアクセスを行っている端末装置を複数ステップさかのぼって検出することはできない。そのため、特許文献1、特許文献2および特許文献3の技術では、他の端末装置を介した不正なアクセスが行われた場合などに、不正なアクセスを異常アクセスとして検出できない恐れがある。
【0006】
本発明は、上記の課題を解決するため、異常アクセスが複数ステップのアクセスによって行われた場合にも、異常アクセスを行った端末装置の候補を予測によって提示し、ネットワークのセキュリティの向上と管理の効率化を行うことができる異常アクセス分析システム等を提供することを目的としている。
【課題を解決するための手段】
【0007】
上記の課題を解決するため、本発明の異常アクセス予測システムは、取得部と、予測部を備えている。取得部は、第1の期間における、時系列アクセスデータと、時系列リソース使用量データとを取得する。時系列アクセスデータは、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関するデータである。時系列リソース使用量データは、第1の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。予測部は、第1の期間よりも過去の第2の期間における、時系列アクセスデータと時系列リソース使用量データとを基に生成される予測モデルと、第1の期間における時系列アクセスデータと、時系列リソース使用量データを用いて、第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する。第2の期間における時系列アクセスデータは、第2の期間において第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際のアクセスに関するデータである。第2の期間における時系列リソース使用量データは、第2の期間において第2の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。
【0008】
本発明の異常アクセス予測方法は、第1の期間における、時系列アクセスデータと、時系列リソース使用量データとを取得する。時系列アクセスデータは、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関するデータである。時系列リソース使用量データは、第1の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。本発明の異常アクセス予測方法は、第1の期間よりも過去の第2の期間における、時系列アクセスデータと時系列リソース使用量データとを基に生成される予測モデルと、第1の期間における時系列アクセスデータと、時系列リソース使用量データを用いて、第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する。第2の期間における時系列アクセスデータは、第2の期間において第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際のアクセスに関するデータである。第2の期間における時系列リソース使用量データは、第2の期間において第2の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。
【0009】
本発明のプログラム記録媒体は、異常アクセス予測プログラムを記録している。異常アクセス予測プログラムは、第1の期間における、時系列アクセスデータと、時系列リソース使用量データとを取得する処理をコンピュータに実行させる。時系列アクセスデータは、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関するデータである。時系列リソース使用量データは、第1の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。本発明の異常アクセス予測プログラムは、第1の期間よりも過去の第2の期間における、時系列アクセスデータと時系列リソース使用量データとを基に生成される予測モデルと、第1の期間における時系列アクセスデータと、時系列リソース使用量データを用いて、第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する処理をコンピュータに実行させる。第2の期間における時系列アクセスデータは、第2の期間において第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際のアクセスに関するデータである。第2の期間における時系列リソース使用量データは、第2の期間において第2の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。
【発明の効果】
【0010】
本発明によると、複数ステップによる異常アクセスを行っている端末装置の候補を予測することで、ネットワークのセキュリティの向上や、管理の効率化など、ネットワーク管理を好適に支援することができる。
【図面の簡単な説明】
【0011】
図1】本発明の第1の実施形態の異常アクセス予測システムの構成を示す図である。
図2】本発明の第1の実施形態の予測モデル生成装置の構成を示す図である。
図3】本発明の第1の実施形態のグラフの例を模式的に示す図である。
図4】本発明の第1の実施形態の予測装置の構成を示す図である。
図5】本発明の第1の実施形態の予測モデル生成装置の動作フローを示す図である。
図6】本発明の第1の実施形態の入力データの例を示す図である。
図7】本発明の第1の実施形態の入力データの例を示す図である。
図8】本発明の第1の実施形態の入力データの例を示す図である。
図9】本発明の第1の実施形態の予測装置の動作フローを示す図である。
図10】本発明の第1の実施形態の予測結果の例を示す図である。
図11】本発明の第2の実施形態の異常アクセス予測システムの構成を示す図である。
図12】本発明の第2の実施形態の異常アクセス予測システムの動作フローを示す図である。
図13】本発明の他の構成の例を示す図である。
【発明を実施するための形態】
【0012】
(第1の実施形態)
本発明の第1の実施形態について図を参照して詳細に説明する。図1は、本実施形態の異常アクセス予測システムの構成の概要を示す図である。本実施形態の異常アクセス予測システムは、予測システム100と、通信管理サーバ300を備えている。予測システム100と、通信管理サーバ300は、ネットワークを介して接続されている。
【0013】
本実施形態の異常アクセス予測システムは、異常アクセスを行っている端末装置を、複数の端末装置それぞれからのネットワーク上のサーバ等への時系列のアクセス履歴および端末装置それぞれのリソース使用量から予測モデルを用いて予測するシステムである。また、本実施形態の異常アクセス予測システムは、特に、複数ステップにわたる異常アクセスを行っている端末装置を予測することを特徴とする。
【0014】
予測モデルは、例えば、異常アクセスを行っている端末装置を予測したい期間が、第1の期間であったとき、第1の期間よりも過去の第2の期間における端末装置からサーバ等への時系列のアクセス履歴と、端末装置それぞれのリソース使用量を用いて生成される。第1の期間において第1の複数のユーザがそれぞれ操作する第1の複数の端末装置の中から異常アクセスを行っている端末装置を予測モデルを用いて予測したいとする。このとき、予測モデルは、第2の期間において、第2の複数のユーザがそれぞれ操作する第2の複数の端末装置それぞれからのネットワーク上のサーバ等への時系列のアクセス履歴および端末装置それぞれのリソース使用量を用いて生成される。第1の複数の端末装置と、第2の複数の端末装置は、同一であってもよく、異なっていもよい。また、第1の複数の端末装置と、第2の複数の端末装置は、一部の端末装置が同一であってもよい。また、同様に第1の複数のユーザと、第2の複数のユーザは、同一であってもよく、異なっていもよい。また、第1の複数のユーザと、第2の複数のユーザは、一部のユーザが同一であってもよい。
【0015】
異常アクセスとは、権限の無い不正なデータ取得、不正なデータの閲覧、データの改ざん、データの消去、権限の無いアクセス、権限の無いリソースの使用等のネットワークを不正に利用するアクセスのことをいう。また、異常アクセスには、ネットワークの負荷を意図的に増大させる行為なども含まれる。また、異常アクセスには、コンピュータウィルスによる上述の動作など端末装置を操作するユーザが意図していないアクセスも含まれる。
【0016】
複数ステップにわたる異常アクセスとは、例えば、ある端末装置が他の複数の端末装置を介して、接続する権限の無いネットワーク上のサーバ等に不正にアクセスすることをいう。また、複数ステップにわたる異常アクセスには、不正なアクセスを行うユーザがあるアカウントまたは認証情報を利用した上で、権限の無い他のユーザのアカウントまたは認証情報を利用して、ネットワーク上のサーバ等に不正にアクセスすることをいう。また、複数ステップにわたる異常アクセスには、1台の端末装置からサーバに対して複数回アクセスすることによって、不正なデータ取得等を行うアクセスも含まれる。
【0017】
予測システム100は、予測モデル生成装置10と、予測装置20を備えている。予測モデル生成装置10と、予測装置20は、ネットワークを介して接続されている。また、予測モデル生成装置10と、予測装置20は、一体の装置として形成されていてもよい。
【0018】
予測モデル生成装置10の構成について説明する。図2は、予測モデル生成装置10の構成を示す図である。予測モデル生成装置10は、取得部11と、記憶部12と、グラフ生成部13と、予測モデル生成部14と、予測モデル記憶部15と、予測モデル出力部16を備えている。予測モデル生成装置10は、複数の端末装置それぞれからのネットワーク上のサーバ等への時系列のアクセス履歴と、端末装置それぞれリソース使用量から異常アクセスを行っている端末装置を予測する際に用いる予測モデルを生成する装置である。複数の端末装置は、それぞれのユーザによって操作される。また、同一のユーザが2台以上の端末装置を操作してもよい。
【0019】
取得部11は、予測モデルの生成に用いるデータを取得する。取得部11は、複数のユーザがそれぞれ操作する複数の端末装置からネットワーク上の他の端末装置およびサーバへの時系列のアクセス履歴を示すデータを時系列アクセスデータとして取得する。
【0020】
時系列アクセスデータは、例えば、サーバにおける処理のログであるイベントログが用いられる。イベントログは、サーバに処理を要求した端末装置と、要求に応じてサーバで実行された処理を含む時系列のデータである。時系列アクセスデータには、通信履歴のデータが用いられてもよい。通信履歴のデータは、接続元と接続先の情報を含む時系列のデータである。時系列アクセスデータは、端末装置間と、端末装置とサーバ間の通信の履歴が時系列で示されているものであれば、イベントログおよび通信履歴以外のデータであってもよい。
【0021】
また、取得部11は、複数の端末装置それぞれの時系列のリソース使用量のデータを時系列リソース使用量データとして取得する。時系列リソース使用量データは、例えば、端末装置がサーバから読み出したデータ量の時間推移のデータが用いられる。時系列リソース使用量データには、端末装置からサーバへのアクセス回数、使用しているネットワークの帯域などネットワークまたはサーバのリソースの使用量に関する時系列のデータであれば他のデータを用いてもよい。
【0022】
取得部11は、通信管理サーバ300から、時系列アクセスデータおよび時系列リソース使用量データを取得する。時系列アクセスデータおよび時系列リソース使用量データは、作業者によって予測モデル生成装置10に入力されてもよい。また、取得部11は、予測対象の期間における時系列アクセスデータおよび時系列リソース使用量データを、各端末装置およびサーバから取得してもよい。
【0023】
記憶部12は、取得部11から入力された時系列アクセスデータおよび時系列リソース使用量データを記憶する。
【0024】
グラフ生成部13は、時系列アクセスデータからグラフをグラフ構造データとして生成する。時系列アクセスデータから生成されるグラフ構造データは、時系列アクセスデータに含まれる端末装置およびサーバを示すノードと、各端末装置間と、端末装置とサーバ間にアクセスがそれぞれ存在することを示すエッジによって構成されている。
【0025】
図3は、グラフ生成部13が生成するグラフの例を模式的に示している。図3の丸は、端末装置またはサーバを表すノードである。図3では、丸の中に端末装置とサーバの識別情報を模式的に示している。識別情報は、装置名またはアドレスなど個々の装置を識別できるものであればどのような形式のものでもよい。各ノードを接続する線(エッジとも言う。)は、線で接続されている端末装置間または端末装置とサーバ間においてアクセスがあったことを示している。すなわち、各ノード間のエッジは、ノードが表す端末装置またはサーバ間でアクセス(通信)があることを示す。
【0026】
予測モデル生成部14は、異常アクセスを行っている端末装置を予測するため予測モデルを生成する。予測モデル生成部14は、グラフ構造データと、時系列リソース使用量データを基に、異常アクセスを行っている端末装置を予測するための予測モデルを生成する。予測モデル生成部14は、グラフ構造データ、時系列リソース使用量データを入力とし、NN(Neural Network)やディープラーニングを用いた機械学習によって、グラフの特徴量を算出することで予測モデルを生成する。また、予測モデルは、教師あり学習、教師なし学習、半教師あり学習または強化学習など、どのような機械学習手法を用いて生成されてもよい。例えば、教師あり学習の場合、予測モデル生成部14は、異常アクセスを行っていると予測した端末装置が実際に異常アクセスを行っていたか否かを示すラベルデータを用いて、グラフ構造データと、時系列リソース使用量データを基に、予測モデルを生成する。
【0027】
予測モデル生成部14は、例えば、STAR法によってグラフの特徴量を算出することで予測モデルを生成する。STAR法は、複数の時点におけるグラフ構造データを入力として、グラフの特徴量を算出することで予測モデルを生成する。STAR法の詳細は、Dongkuan Xu et al., " Spatio-Temporal Attentive RNN for Node Classification in Temporal Attributed Graphs", Proceedings of the Twenty-Eighth International Joint Conference on Artificial Intelligence (IJCAI-19), [2020年2月27日検索] Internet <URL: https://www.ijcai.org/Proceedings/2019/0548.pdf>に記載されている。
【0028】
あるいは、予測モデル生成部14は、TGNet法によってグラフの特徴量を算出することで予測モデルを生成してもよい。TGNet法は、動的データおよび静的データと、ラベルデータを入力として機械学習を行い、学習済みモデルを生成する。TGNet法の詳細は、Qi Song, et al., "TGNet: Learning to Rank Nodes in Temporal Graphs", Proceedings of the 27th ACM International Conference on Information and Knowledge Management, p.97-106に記載されている。
【0029】
また、予測モデル生成部14は、例えば、Netwalk法などの特徴量を抽出する手法を用いて特徴量を抽出し、InerHAT法などの特徴量の分析を行う手法を組み合わせることで予測モデルを生成してもよい。Netwalk法の詳細は、Wenchow Yu, et al., "NetWalk: A Flexible Deep Embedding Approach for Anomaly Detection in Dynamic Networks", KDD 2018, p.2672-2681に記載されている。また、InerHAT法の詳細は、Zeyu Li, et al., "Interpretable Click-Through Rate Prediction through Hierarchical Attention", WSDM 2020: The Thirteenth ACM International Conference on Web Search and Data Miningに記載されている。また、InerHAT法に代えてGradient Boosting法などの予測技術を用いてもよい。予測モデル生成部14は、グラフを解析し、特徴パターンを抽出する手法であれば、他の手法を用いて予測モデルを生成してもよい。
【0030】
予測モデル記憶部15は、予測モデル生成部14が生成した予測モデルを記憶する。
【0031】
予測モデル出力部16は、予測モデル記憶部15に記憶されている予測モデルを予測装置20に出力する。
【0032】
予測装置20の構成について説明する。図4は、予測装置20の構成を示す図である。予測装置20は、取得部21と、予測モデル記憶部22と、グラフ生成部23と、予測部24と、予測理由生成部25と、表示制御部26を備えている。
【0033】
取得部21は、異常アクセスを行っている端末装置を予測モデルを用いて予測する際の入力データを取得する。取得部21は、予測対象の期間における複数の端末装置それぞれからのネットワークへの時系列のアクセス履歴を示す時系列アクセスデータと、端末装置それぞれの時系列のリソースの使用履歴を示す時系列リソース使用量データを取得する。取得部21は、予測対象の期間における時系列アクセスデータおよび時系列リソース使用量データを通信管理サーバ300から取得する。予測対象の期間における時系列アクセスデータおよび時系列リソース使用量データは、作業者によって予測装置20に入力されてもよい。取得部21は、予測対象の期間における時系列アクセスデータおよび時系列リソース使用量データを、各端末装置およびサーバから取得してもよい。
【0034】
予測モデル記憶部22は、予測モデル生成装置10が生成した予測モデルを記憶している。予測モデル記憶部22が記憶している予測モデルは、予測モデル生成装置10から入力される。取得部21が、予測モデル生成装置10から予測モデルを取得してもよい。
【0035】
グラフ生成部23は、予測対象の期間における時系列アクセスデータからグラフ構造データを生成する。時系列アクセスデータから生成されるグラフ構造データは、端末装置およびサーバを示すノードと、端末装置間または端末装置とサーバ間のアクセス順序または通信アクセスの有無を示すエッジによって構成されている。すなわち、グラフ生成部23により生成されるグラフは、端末装置間または端末装置とサーバ間のアクセス順序または通信アクセスの有無に関するグラフである。エッジは、端末装置間または端末装置とサーバ間のアクセス順序と通信アクセスの有無の両方の情報を含んでいてもよい。
【0036】
予測部24は、予測モデル記憶部22に記憶されている予測モデルを用いて、入力データから異常アクセスを行っている端末装置を予測する。予測部24は、予測対象の期間における時系列アクセスデータに基づくグラフ構造データと、時系列リソース使用量データを入力とし、予測モデルを用いて、異常アクセスを行っている端末装置を予測する。
【0037】
予測理由生成部25は、異常アクセスを行っている端末装置を予測部24が予測した予測の理由を生成する。後の予測フェーズにおいて、予測の理由を、図10を用いて説明する。
【0038】
表示制御部26は、予測の理由が付加された予測結果を表示するように予測装置20が有する表示部(不図示)または予測装置20の外部にある表示装置を制御する。また、表示制御部26は、予測結果を利用する利用者の端末に予測の理由を付加した予測結果を送信することで表示装置への表示を制御してもよいが、表示制御方法はこれに限定されない。また、表示制御部26は、予測結果だけを表示装置に表示するように当該表示装置を制御してもよい。これにより、本実施形態の異常アクセス予測システムは、ネットワークの管理者に異常アクセスの恐れのある端末装置と、異常アクセスの恐れのある端末装置として予測した理由を提示することにより、ネットワークの安全性の管理をより好適に支援することができる。
【0039】
取得部21、グラフ生成部23、予測部24、予測理由生成部25および表示制御部26における各処理は、CPU上でコンピュータプログラムを実行することで行われる。
【0040】
予測モデル記憶部22は、例えば、ハードディスクドライブを用いて構成されている。予測モデル記憶部22は、不揮発性の半導体記憶装置または複数の種類の記憶装置の組み合わせによって構成されていてもよい。
【0041】
図1において、通信管理サーバ300は、ネットワーク上の通信履歴のデータおよびサーバのイベントログの取得と記憶を行っている。通信管理サーバ300は、各端末装置およびサーバ、または、ネットワーク上の通信装置から各端末装置間および端末装置とサーバ間の通信履歴のデータを取得する。通信管理サーバ300は、取得した通信履歴のデータおよびイベントログのデータを時系列アクセスデータとして記憶する。また、通信管理サーバ300は、時系列アクセスデータおよび時系列リソース使用量データを予測モデル生成装置10と、予測装置20にそれぞれ送る。
【0042】
<学習フェーズ>
本実施形態の異常アクセス予測システムの動作について説明する。始めに、異常アクセスを行っている端末装置を予測する際に用いる予測モデルを生成する際の動作について説明する。図5は、予測モデル生成装置10が異常アクセスを行っている端末装置を予測するための予測モデルを生成する際の動作フローを示す図である。
【0043】
取得部11は、複数のユーザがそれぞれ操作する複数の端末装置からサーバへの時系列のアクセス履歴を示す時系列アクセスデータと、各端末装置それぞれのアクセスによる時系列リソース使用量データを取得する(ステップS11)。取得部11は、通信管理サーバ300から各データを取得する。各データを取得すると、取得部11は、取得したデータを記憶部12に記憶する。
【0044】
図6は、時系列アクセスデータの一例を示す図である。図6の時系列アクセスデータの例は、サーバのイベントログを示している。図6のサーバのイベントログでは、端末装置を操作するユーザのアカウント、端末装置の識別情報と、イベントと、アクセス日時の情報が紐付いている。図6のイベントは、サーバへの処理の要求内容を示している。
【0045】
また、図7は、時系列アクセスデータの一例である通信履歴のデータを示している。図7の通信履歴のデータの例では、装置間でアクセスが行われた日時と、接続元の端末装置またはサーバの識別情報と、接続先の端末装置の情報が紐付いている。通信履歴のデータには、接続等の通信処理内容が紐付けられていてもよい。
【0046】
図8は、時系列リソース使用量のデータの一例を示す図である。図8では、ユーザそれぞれが操作する端末装置ごとのリソース使用量の時間推移を示している。図8の横軸は時刻を示し、縦軸はデータ量を示している。図8の例では縦軸は、GB(Giga Byte)単位で示しているが、他の単位であってもよい。リソース使用量は、例えば、サーバからのデータの読み出し量として設定される。リソース使用量は、最大値またはその他の値で規格化されていてもよい。
【0047】
時系列アクセスデータが取得されると、グラフ生成部13は、時系列アクセスデータを基にグラフ構造データを生成する(ステップS12)。グラフ生成部13は、時系列アクセスデータを基に、端末装置およびサーバを示すノード、ノード間でアクセスがあったことを示すエッジによって構成されるグラフ構造データを生成する。グラフ構造データを生成すると、グラフ生成部13は、生成したグラフ構造データを予測モデル生成部14に送る。また、グラフ生成部13は、端末装置ではなく、端末装置を利用するユーザをノードとして、任意のユーザによるサーバへのアクセスをエッジとして定義したグラフ構造データを生成してもよい。
【0048】
グラフ構造データが入力されると、予測モデル生成部14は、予測モデルの生成に用いる各データを記憶部12から読み出す。各データを読み出すと、グラフ構造データと、時系列リソース使用量データを入力として機械学習を行い、異常アクセスを行っている端末装置を予測するための予測モデルを生成する(ステップS13)。
【0049】
予測モデルを生成すると、予測モデル生成部14は、生成した予測モデルを学習済みモデルとして予測モデル記憶部15に記憶する。予測モデルが生成されると、予測モデル出力部16は、予測モデルを予測装置20に出力する(ステップS14)。予測装置20に入力された予測モデルは、予測モデル記憶部22に記憶される。
【0050】
予測モデル生成装置10が生成した予測モデルは、再学習によって更新されてもよい。例えば、予測モデル生成部14は、予測モデルを用いて予測を行った期間の複数のユーザによる端末装置からサーバへのアクセスを示す時系列アクセスデータと、各ユーザのアクセスによるリソース使用量のデータを用いて再学習を行う。再学習を行うことで、予測の対象となっているネットワークにおいて、異常アクセスを行っている端末装置の候補を予測する際の予測精度をさらに向上することができる。また、予測モデル生成部14は、時系列アクセスデータと、リソース使用量とを入力とし、異常アクセスを行っていると予測した端末装置が実際に異常アクセスを行っていたかをラベルデータとして用いて予測モデルを新たに生成してもよい。
【0051】
<予測フェーズ>
次に予測装置20において、異常アクセスを行っている端末装置を予測する際の動作について説明する。図9は、予測装置20において、異常アクセスを行っている端末装置を予測モデルを用いて予測する際の動作フローを示す図である。
【0052】
取得部21は、予測対象となる期間によって行われた各端末装置からサーバへのアクセスに関する時系列アクセスデータと、時系列リソース使用量データを取得する(ステップS21)。取得部21が時系列アクセスデータと時系列リソース使用量データを取得すると、グラフ生成部23は、時系列アクセスデータからグラフ構造データを生成する(ステップS22)。グラフ構造データを生成すると、グラフ生成部23は、時系列アクセスデータのグラフ構造データを予測部24に送る。
【0053】
グラフ構造データを受け取ると、予測部24は、予測モデル記憶部22に記憶されている予測モデルを用いて時系列アクセスデータのグラフ構造データと、時系列リソース使用量データを入力として、異常アクセスを行っている端末装置を予測する(ステップS23)。異常アクセスを行っている端末装置を予測すると、予測部24は、異常アクセスを行っている端末装置の識別情報を予測理由生成部25に送る。予測部24は、他の端末装置のアクセスの傾向との類似度が低い端末装置を異常アクセスを行っている端末装置として予測する。また、予測部24は、過去のアクセス傾向との類似度が低い端末装置を異常アクセスを行っている端末装置として予測してもよい。また、予測部24は、サーバまたは他の端末装置に対するアクセスの時系列順序などの時系列特徴に基づいて、異常アクセスを行っている端末装置を予測してもよい。
【0054】
予測結果を受け取ると、予測理由生成部25は、予測の理由を抽出する(ステップS24)。予測の理由は、予測部24による予測の理由を利用者に提示するための情報である。予測理由生成部25は、例えば、異常アクセス、すなわち、他の端末装置のアクセスの傾向に類似していないとの予測への寄与度の高いエッジを抽出し、抽出したエッジの両端のノード間においてアクセスが行われたことに基づいて予測の理由を生成する。あるいは、予測理由生成部25は、過去の同一端末装置のアクセス傾向と現在のアクセス傾向が異なる端末装置を抽出し、当該端末装置において異常アクセスが行われたことに基づいて予測の理由を生成してもよい。例えばこの場合、予測理由生成部25は、「過去の同一端末装置のアクセス傾向と現在のアクセス傾向が異なる」などの予測の理由をテキストデータや音声データとして生成してもよい。また、予測理由生成部25は、時系列特徴に基づいて予測された端末装置の予測の理由として、「アクセスの時系列順序」などの予測の理由をテキストデータや音声データとして生成してもよい。
【0055】
予測の理由を生成すると、予測理由生成部25は、予測の理由を表示制御部26に出力する。
【0056】
予測結果と予測の理由を受け取ると、表示制御部26は、表示装置を制御して予測結果と予測の理由を当該表示装置に表示する(ステップS25)。表示制御部26は、予測結果を利用する利用者の端末の表示装置に予測結果と予測の理由が表示されるように、利用者の端末への予測結果と予測の理由のデータの送信を制御してもよい。
【0057】
図10は、予測結果の表示データの一例を示す図である。図10では、異常なアクセスを行っていると予測される端末装置の識別情報が被疑端末として示されている。また、予測結果である被疑端末の識別情報に紐付けて予測の理由が提示されている。
【0058】
図10の例では、被疑端末「mc-7」に関し、他の端末装置を介してサーバにアクセスしているという予測の理由と、夜間にデータの転送量が多いという予測の理由が示されている。例えば、端末装置「xc-4」がサーバにアクセスし、さらに端末装置「mc-7」が端末装置「xc-4」にアクセスしていたとする。このとき、端末装置のアクセスパターンが類似していないとの予測へ端末装置「mc-7」と端末装置「xc-4」の間のアクセスが示すエッジの寄与度が大きかったとき、予測理由生成部25は、端末装置「mc-7」と端末装置「xc-4」の間のアクセスの存在を、異常アクセスを行っている端末装置を予測した予測の理由とする。予測部24および予測理由生成部25は、2つの端末装置のうちいずれを被疑端末とするかの基準をあらかじめ保持している。例えば、予測部24は、他の端末装置を介してサーバにアクセスしている側を被疑端末とする。また、図10における「夜間にデータの転送量が多い」との予測理由は、リソース使用量の予測結果への寄与度によって抽出される。図10における「夜間にデータの転送量が多い」との予測理由は、予測前の前処理において、夜間にデータ転送量が多いという属性データがあらかじめ導出され、属性データを基に抽出されたものであってもよい。そのような場合には、予測理由生成部25は、被疑端末として端末装置「mc-7」が予測された場合に、端末装置「mc-7」の属性データである時間ごとのデータの転送量から予測の理由を生成する。また、データ転送量に関する属性データは、「昼間:9時-17時」、「夜間:18時-21時」、「深夜:22時-5時」、「早朝:5時-9時」など時間帯ごとのデータ転送量が端末装置ごとにあらかじめ抽出されたものであってもよい。
【0059】
また、表示制御部26は、図10のような形式ではなく、グラフ生成部23により生成される、端末装置/サーバの通信アクセスに関するグラフを表示してもよい。この場合、表示制御部26は、当該グラフにおいて、異常アクセスをしたと予測される端末装置を強調表示してもよい。例えば、表示制御部26は、グラフにおいて、異常アクセスをしたと予測される端末装置を、矩形や丸で囲うよう表示したり、色を変えて(つけて)表示したり、当該予測される端末装置のアイコン又はノードの大きさを変えることで、強調表示してもよい。異常アクセスをしたと予測される端末装置を強調表示することにより、ユーザの視認性を向上させることができる。このように、予測結果と予測の理由を提示することで、通信システムの管理者は、異常なアクセスを行っている恐れのある端末装置を予測の理由とともに認識し、異常アクセスへの対応を行うことが可能になる。
【0060】
端末装置と、サーバにそれぞれ属性データが設定され、予測モデルの生成および予測モデルを用いた予測に用いられてもよい。属性データとしては、例えば、端末装置の設置場所、端末装置が接続されているネットワーク、端末装置のセキュリティの対策水準、使用されているソフトフェア、サーバの用途のうち1つまたは複数の項目を用いることができる。また、端末装置を操作するユーザの属性データが予測モデルの生成および予測モデルを用いた予測に用いられてもよい。ユーザの属性データとしては、例えば、ユーザの所属、役職、アクセス権限、情報技術のスキルレベルのうち1つまたは複数の項目を用いることができる。
【0061】
また、そのような属性データを用いて予測モデルの生成と予測を行った場合に、各属性データを基に予測の理由が生成されてもよい。そのような場合に、予測の理由には、端末装置の設置場所、端末装置が接続されているネットワーク、端末装置を操作する利用者、端末装置のセキュリティの対策水準、通信量、通信回数、通信帯域、データ転送量、データの消去または変更回数、エラーの発生回数、ログインの失敗回数のうちいずれか1項目または複数の項目が設定されてもよい。
【0062】
また、時系列アクセスデータのグラスを生成する際に、エッジとして端末装置間または端末装置とサーバ間のアクセスの有無を示しているが、エッジに、通信量、通信回数または通信頻度などの情報が含まれていてもよい。そのような構成とすることで、アクセス量またはアクセス頻度を考慮した予測を行うことができるので異常アクセスの予測精度が向上する。
【0063】
時系列アクセスデータは、複数の端末装置がそれぞれサーバにアクセスして実行している処理において、端末装置ごとに行っている処理の時系列順序を示すデータであってもよい。端末装置ごとの処理の時系列順序を示す時系列アクセスデータを用いることで、他の端末装置を介さずにサーバにアクセスしている際にも、通常とは異なる傾向の順序で処理を実行している端末装置を予測することで、異常アクセスを行っている端末装置を予測することができる。
【0064】
本実施形態の異常アクセス予測システムは、予測モデル生成装置10において時系列アクセスデータを基にグラフ構造データを生成しグラフ構造データと、時系列リソース使用量データを用いて予測モデルを生成している。また、本実施形態の異常アクセス予測システムは、生成した予測モデルを基に予測装置20において時系列アクセスデータと時系列リソース使用量データから異常なアクセスを行っている端末装置を予測している。本実施形態の異常アクセス予測システムは、グラフ構造データを基に生成された予測モデルを用いて予測を行うことで、複数ステップにわたるアクセスを基に異常なアクセスを行っている端末装置を予測することができる。
【0065】
複数ステップにわたるアクセスを基に異常なアクセスを行っている端末装置を予測することで、本実施形態の異常アクセス予測システムは、異常なアクセスを行っている端末装置の予測精度を向上することができる。また、本実施形態の異常アクセス予測システムは、予測結果とともに予測の理由を提示することで、ネットワークの管理者は、異常アクセスの有無を確認する際に、予測の理由を参照して確認の優先度を設定することができる。
【0066】
例えば、図10のような予測結果であるとき、ネットワークの管理者は、他の端末装置を介してサーバにアクセスしているとの予測の理由を参照し、異常アクセスを行っていると予測された端末装置間の通信履歴を他の項目よりも優先して確認することができる。確認の優先度を設定することで、異常アクセスを早期に発見できる可能性が高まる。また、同様に、図10のような予測結果であるとき、ネットワークの管理者は、夜間にデータの転送量が多いとの予測の理由を参照し、夜間のデータ転送の履歴を他の項目よりも優先して確認することで、異常アクセスを早期に発見する可能性が高くなる。
【0067】
履歴データから異常アクセスを直接、確認できない場合でも、異常アクセスの可能性が高い個所の監視を強化することで異常アクセスを発見できる可能性が高くなる。このように、予測の理由を提示することで、ネットワークの管理者は、膨大なログの中から確認の優先度を設定し、効率的に確認を行うことができるようになるとともに、異常アクセスを特定できる履歴をより確実に発見できるようになる。そのため、本実施形態の異常アクセス予測システムは、ネットワークのセキュリティの向上や、管理の効率化など、ネットワーク管理を好適に支援することができる。
【0068】
(第2の実施形態)
本発明の第2の実施形態について図を参照して詳細に説明する。図11は、本実施形態に異常アクセス予測システムの構成の概要を示す図である。本実施形態の異常アクセス予測システムは、取得部31と、予測部32を備えている。本実施形態の営業支援システムでは、取得部31と予測部32が単一の装置に備えられてもよいし、それぞれが異なる装置に備えられてもよい。
【0069】
取得部31は、第1の期間における、時系列アクセスデータと、時系列リソース使用量データとを取得する。時系列アクセスデータは、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関するデータである。時系列リソース使用量データは、第1の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。具体的に、第1の期間とは、予測モデルを用いて異常アクセスを予測する際に、予測の対象とするアクセスが行われた期間のことをいう。また、第2の期間とは、第1の期間よりも過去であり、予測モデルを生成する際にデータとして用いるアクセスが行われた期間のことをいう。
【0070】
取得部31は、取得手段の一例である。また、取得部31の一例は、第1の実施形態の予測装置20の取得部21である。
【0071】
予測部32は、第1の期間よりも過去の第2の期間における、時系列アクセスデータと時系列リソース使用量データとを基に生成される予測モデルと、第1の期間における時系列アクセスデータと、時系列リソース使用量データを用いて、第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する。第2の期間における時系列アクセスデータは、第2の期間において第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際のアクセスに関するデータである。第2の期間における時系列リソース使用量データは、第2の期間において第2の複数の端末装置それぞれのリソース使用量の時系列変化に関するデータである。
【0072】
予測部32は、予測手段の一例である。また、予測部32の一例は、第1の実施形態の予測装置20の予測部24である。
【0073】
本実施形態の異常予測システムの動作について説明する。図12は、本実施形態の異常予測システムの動作フローを示す図である。始めに取得部31は、第1の期間における第1の複数の端末装置の時系列アクセスデータと、時系列リソース使用量データを取得する(ステップS31)。各データを取得すると、予測部32は、第2の期間における時系列アクセスデータと、時系列リソース使用量データを基に生成された予測モデルと、第1の期間の時系列アクセスデータと、時系列リソース使用量データから異常なアクセスを行う端末装置を予測する(ステップS32)。具体的に、予測部32は、異常アクセスの検出する対象となる第1の複数の端末装置の第1の期間の時系列アクセスデータと、時系列リソース使用量データと、予測モデルを用いて、第1の複数の端末装置の中に異常なアクセスを行っている端末装置があるかを予測する。
【0074】
本実施形態の異常アクセス予測システムは、予測モデルと、取得部31が取得した時系列アクセスデータとリソース使用量を用いて異常なアクセスを行っている端末装置を予測している。本実施形態の異常アクセス予測システムは、時系列アクセスデータを用いて生成された予測モデルを用いて予測を行うことで、複数ステップのアクセスを考慮して異常なアクセスを行っている端末装置を予測することができる。そのため、本実施形態の異常アクセス予測システムは、異常なアクセスを行っている端末装置の予測精度を向上することができる。本実施形態の異常アクセス予測システムは、複数ステップで異常なアクセスを行っている場合でも、異常なアクセスを行っている端末装置を予測する精度が向上し、ネットワークのセキュリティの向上や、管理の効率化など、ネットワーク管理を好適に支援することができる。
【0075】
第1の実施形態の予測モデル生成装置10および予測装置20、並びに第2の実施形態の取得部31および予測部32における各処理は、コンピュータプログラムをコンピュータで実行することによって行うことができる。図13は、予測モデル生成装置10および予測装置20における各処理を行うコンピュータプログラムを実行するコンピュータ40の構成の例を示したものである。コンピュータ40は、CPU41と、メモリ42と、記憶装置43と、入出力I/F(Interface)44と、通信I/F45を備えている。また、第1の実施形態の通信管理サーバ300も、同様の構成とすることができる。
【0076】
CPU41は、記憶装置43から各処理を行うコンピュータプログラムを読み出して実行する。コンピュータプログラムを実行する演算処理部は、CPU41に代えて、CPUとGPUとの組み合わせによって構成されていてもよい。メモリ42は、DRAM(Dynamic Random Access Memory)等によって構成され、CPU41が実行するコンピュータプログラムや処理中のデータが一時記憶される。記憶装置43は、CPU41が実行するコンピュータプログラムを記憶している。記憶装置43は、例えば、不揮発性の半導体記憶装置によって構成されている。記憶装置43には、ハードディスクドライブ等の他の記憶装置が用いられてもよい。入出力I/F44は、作業者からの入力の受付および表示データ等の出力を行うインタフェースである。通信I/F45は、異常アクセス予測システム内の各装置および利用者の端末等との間でデータの送受信を行うインタフェースである。
【0077】
また、各処理の実行に用いられるコンピュータプログラムは、記録媒体に格納して頒布することもできる。記録媒体としては、例えば、データ記録用磁気テープや、ハードディスクなどの磁気ディスクを用いることができる。また、記録媒体としては、CD-ROM(Compact Disc Read Only Memory)等の光ディスクを用いることもできる。不揮発性の半導体記憶装置を記録媒体として用いてもよい。
【0078】
上記の実施形態の一部又は全部は、以下の付記のようにも記載されうるが、以下には限られない。
【0079】
[付記1]
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得する取得手段と、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する予測手段と
を備える異常アクセス予測システム。
【0080】
[付記2]
異常なアクセスを行った可能性のある端末装置を示す予測結果と、異常アクセスを行ったとする予測の理由とを表示するように表示装置を制御する表示制御手段を
さらに備える付記1に記載の異常アクセス予測システム。
【0081】
[付記3]
前記第1の期間における、前記第1の複数の端末装置と前記サーバとを示すノードと、前記ノード間のアクセスの有無を示すエッジを含むグラフ時系列データを生成するグラフ生成手段
をさらに備え、
前記表示制御手段は、前記グラフ時系列データと前記予測結果を表示するように制御し、
前記グラフ時系列データは、前記第1の期間における前記第1の複数の端末装置から前記サーバへのアクセスの時系列順序を示す
付記2に記載の異常アクセス予測システム。
【0082】
[付記4]
前記表示制御手段は、前記グラフ時系列データのノードが示す装置の属性に関する属性データを表示するよう前記表示装置を制御し、
前記属性データは、前記装置の種類、管理者、アクセスを許可されているユーザの識別情報、データの読み出し量、他装置からのアクセス回数、通信履歴、通信量、ネットワークへの接続形態、認証回数、認証の失敗回数のうち、少なくとも1つを含む
付記3に記載の異常アクセス予測システム。
【0083】
[付記5]
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に前記予測モデルを生成する予測モデル生成手段
をさらに備える付記1から4のいずれか一項に記載の異常アクセス予測システム。
【0084】
[付記6]
前記予測モデル生成手段は、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて前記予測モデルの再学習を行う
付記5に記載の異常アクセス予測システム。
【0085】
[付記7]
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得し、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する
を備える異常アクセス予測方法。
【0086】
[付記8]
異常なアクセスを行った可能性のあるユーザを示す予測結果と、異常アクセスを行ったとする予測の理由とを表示するように表示装置を制御する
さらに備える付記7に記載の異常アクセス予測方法。
【0087】
[付記9]
前記第1の期間における、前記第1の複数の端末装置と前記サーバとを示すノードと、前記ノード間のアクセスの有無を示すエッジを含むグラフ時系列データを生成し、
前記グラフ時系列データと前記予測結果を表示するように制御し、
前記グラフ時系列データは、前記第1の期間における前記第1の複数の端末装置から前記サーバへのアクセスの時系列順序を示す
付記8に記載の異常アクセス予測方法。
【0088】
[付記10]
前記グラフ時系列データのノードが示す装置の属性に関する属性データを表示するよう前記表示装置を制御し、
前記属性データは、前記装置の種類、管理者、アクセスを許可されているユーザの識別情報、データの読み出し量、他装置からのアクセス回数、通信履歴、通信量、ネットワークへの接続形態、認証回数、認証の失敗回数のうち、少なくとも1つを含む
付記9に記載の異常アクセス予測方法。
【0089】
[付記11]
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に前記予測モデルを生成する
付記7から10のいずれか一項に記載の異常アクセス予測方法。
【0090】
[付記12]
前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて前記予測モデルの再学習を行う
付記11に記載の異常アクセス予測方法。
【0091】
[付記13]
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得する処理と、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する処理と
をコンピュータに実行させる異常アクセス予測プログラムを記録したプログラム記録媒体。
【0092】
[付記14]
第1の期間における、第1の複数のユーザそれぞれが操作する第1の複数の端末装置からネットワーク上のサーバへのアクセスに関する時系列アクセスデータと、前記第1の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを取得する取得手段と、
前記第1の期間よりも過去の第2の期間における、第2の複数のユーザそれぞれが操作する第2の複数の端末装置からネットワーク上のサーバへアクセスした際の時系列アクセスデータと、前記第2の複数の端末装置それぞれのリソース使用量の時系列変化に関する時系列リソース使用量データとを基に生成される予測モデルと、前記第1の期間における、前記第1の複数の端末装置それぞれの前記時系列アクセスデータと、前記時系列リソース使用量データを用いて、前記第1の複数の端末装置のうち異常なアクセスを行う端末装置を予測する予測手段と
を備える異常アクセス予測装置。
【0093】
以上、上述した実施形態を模範的な例として本発明を説明した。しかしながら、本発明は、上述した実施形態には限定されない。即ち、本発明は、本発明のスコープ内において、当業者が理解し得る様々な態様を適用することができる。
【符号の説明】
【0094】
10 予測モデル生成装置
11 取得部
12 記憶部
13 グラフ生成部
14 予測モデル生成部
15 予測モデル記憶部
16 予測モデル出力部
20 予測装置
21 取得部
22 予測モデル記憶部
23 グラフ生成部
24 予測部
25 予測理由生成部
26 表示制御部
31 取得部
32 予測部
40 コンピュータ
41 CPU
42 メモリ
43 記憶装置
44 入出力I/F
45 通信I/F
100 予測システム
300 通信管理サーバ
図1
図2
図3
図4
図5
図6
図7
図8
図9
図10
図11
図12
図13
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.