知財求人 - 知財ポータルサイト「IP Force」
▶ コミッサリア ア レネルジー アトミーク エ オ ゼネルジ ザルタナテイヴの特許一覧
特表2024-501035監視されるシステム中の自動化した不正行為危険検出のための方法およびシステム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-01-10
(54)【発明の名称】監視されるシステム中の自動化した不正行為危険検出のための方法およびシステム
(51)【国際特許分類】
G06F 21/55 20130101AFI20231227BHJP
G06N 3/045 20230101ALI20231227BHJP
G06N 3/09 20230101ALI20231227BHJP
G06N 3/088 20230101ALI20231227BHJP
G06Q 20/40 20120101ALI20231227BHJP
G06F 3/01 20060101ALI20231227BHJP
【FI】
G06F21/55 320
G06N3/045
G06N3/09
G06N3/088
G06Q20/40
G06F3/01 510
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023539348
(86)(22)【出願日】2021-12-28
(85)【翻訳文提出日】2023-07-27
(86)【国際出願番号】 EP2021087710
(87)【国際公開番号】W WO2022144347
(87)【国際公開日】2022-07-07
(31)【優先権主張番号】2014184
(32)【優先日】2020-12-28
(33)【優先権主張国・地域又は機関】FR
(81)【指定国・地域】
(71)【出願人】
【識別番号】502124444
【氏名又は名称】コミッサリア ア レネルジー アトミーク エ オ ゼネルジ ザルタナテイヴ
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】ハキマ・バードゥーズ・クリチ・アニバ
【テーマコード(参考)】
5E555
5L055
【Fターム(参考)】
5E555AA53
5E555BA02
5E555BA43
5E555BA45
5E555BB01
5E555BC01
5E555BC15
5E555DD06
5E555EA05
5E555EA19
5L055AA72
(57)【要約】
本発明は、監視されるシステム中の不正行為の危険性を、前記監視されるシステムによって生成され、前記監視されるシステム中の操作者によって実施または生成されるイベントを特徴づけるデータストリームに基づいて、自動検出するための方法およびシステムに関する。方法は、操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータの事前処理(30~38)と、第1の正当性スコアおよび第1の関連する発生確率を得るための、不正行為の危険性についての第1のパラメータ化した推定プロセスの反復適用(52、56)と、第2の正当性スコアおよび第2の関連する発生確率を得るための、不正行為の危険性についての第2のパラメータ化した推定プロセスの反復適用(54、58)と、前記操作者が正当な操作者であるか不正な操作者であるかを決定する(64)ための、前記第1のプロセスの結果と第2のプロセスの結果の比較(60)とを含む。
【特許請求の範囲】
【請求項1】
監視されるシステム中の不正行為の危険性を、前記監視されるシステムによって生成され、前記監視されるシステム中の操作者によって実施または生成されるイベントを特徴づけるデータストリームから自動検出するための方法であって、計算プロセッサによって実施される以下のステップ、すなわち(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータの事前処理(30~38)と、
(B)不正行為の危険性の推定の第1のパラメータ化したプロセスの反復適用(52、56)であって、前記第1のパラメータ化したプロセスのパラメータが、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース上で学習することによって得られる、第1のパラメータ化したプロセスの反復適用(52、56)と、
(C)不正行為の前記危険性の推定の第2のパラメータ化したプロセスの反復適用(54、58)であって、前記第2のプロセスのパラメータが、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実行または生成されたイベントを表す第2のデータベース上で学習することによって得られる、第2のパラメータ化したプロセスの反復適用(54、58)と、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定する(64)ための、前記第1のプロセスの結果と第2のプロセスの結果の比較(60)と
を含むことを特徴とする、方法。
【請求項2】
前記事前処理が、前記記録されたデータからのイベントの決定(32)、前記イベントの少なくとも一部の各イベントの署名の計算(36)を含み、前記署名が、前記イベントに続く前記監視されるシステムの誤動作の危険性を表す、請求項1に記載の方法。
【請求項3】
前記事前処理が、署名が予め規定された危険性のしきい値より大きい、危機的なイベントのサブセットの決定(38)をさらに含む、請求項2に記載の方法。
【請求項4】
前記第1のプロセスおよび第2のプロセスの前記適用ステップの連続した反復(52、54)を含み、前記第1のプロセスが、第1の収束基準の確認(56)まで危機的なイベントの前記サブセットの別個の部分に適用され、前記第2のプロセスが、第2の収束基準の確認(58)まで危機的なイベントの前記サブセットの別個の部分に適用される、請求項1から3のいずれか一項に記載の方法。
【請求項5】
第1の時間期間と呼ばれる時間期間にわたって記録されたデータの組に対するステップ(A)から(C)の実施に続いて、ステップ(D)が、第3の収束基準を実施し、前記第3の収束基準にしたがって収束が不足の場合に、前記方法が、前記第1の時間期間に対して過去に位置する第2の時間期間にわたって記録された別の組のデータに対するステップ(A)から(D)の反復を含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
各イベントの署名の計算(36)が、ロジスティック回帰方法によって、過去のイベントにしたがって実施される、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記第1のパラメータ化したプロセスの前記パラメータが教師あり学習(46)によって得られる、請求項1から6のいずれか一項に記載の方法。
【請求項8】
前記第2のパラメータ化したプロセスの前記パラメータが教師なし学習(48)によって得られる、請求項1から7のいずれか一項に記載の方法。
【請求項9】
複数のクラスへの前記イベントの分類の予備ステップ(34)と、イベントの少なくとも1つのクラスについてステップ(A)から(D)を適用することとを含む、請求項1から8のいずれか一項に記載の方法。
【請求項10】
プログラム可能電子システムによって実行されると、請求項1から9のいずれか一項に記載の、監視されるシステム中の不正行為の危険性を自動検出する方法を実施するソフトウェア命令を含む、コンピュータプログラム。
【請求項11】
監視されるシステム中の不正行為の危険性を、前記監視されるシステムによって生成され、前記監視されるシステム中の操作者によって実施または生成されるイベントを特徴づけるデータストリームに基づいて、自動検出するためのシステムであって、以下すなわち、(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータを事前処理するためのモジュール(14)と、
(B)不正行為の危険性を推定する第1のパラメータ化したプロセスの反復適用のためのモジュール(16)であって、前記第1のパラメータ化したプロセスのパラメータが、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース(BDD1)上で学習することによって得られる、モジュール(16)と、
(C)不正行為の前記危険性を推定する第2のパラメータ化したプロセスの反復適用のためのモジュール(16)であって、前記第2のプロセスのパラメータが、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実行または生成されたイベントを表す第2のデータベース(BDD2)上で学習することによって得られる、モジュール(16)と、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定するために、前記第1のプロセスの結果と第2のプロセスの結果を比較するためのモジュール(17)と
を実装するように構成される少なくとも1つの計算プロセッサを備えることを特徴とする、システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、監視されるシステムを特徴づける信号に基づいた、監視されるシステム中の不正行為の危険を自動検出するための方法およびシステムに関する。
【0002】
本発明は、自動化した不正行為の予測および検出の分野に属し、不正行為が発生する可能性があるシステム、たとえば、金融システム、遵法性および履行を管理し検査するためのシステム、銀行業務システム、保険業務システム、産業システムにおいて様々な用途が見いだされる。
【0003】
より一般的に、イベント(たとえば、操作、行為、取引、実行、データ送達)を特徴づける、異種混成的な、構造化された(たとえば、実行ログ、フォーマットされたファイル)または構造化されていない(たとえば、画像、音声記録)データストリームによって特徴づけられ、監視される必要がある重要なシステムに興味が向けられる。イベントは操作者に割り当てられ、監視されるシステムの操作者によって実施または生成/制御される。監視されるシステムを特徴づけるデータが適時に記録される。
【背景技術】
【0004】
金融システム、銀行業務システム、産業システム、および情報システムに関係するものであろうとなかろうと、一定の再発する問題は、システムの不正な使用、またはシステムの使用における誤り、またはシステムに影響をおよぼす可能性がある危殆化さらには侵入の結果であり得る、何らかの不規則性、異常、または不整合を早い段階で自動的に検出することである。ここで、不正とは、システムの正当な動作、またはその1つまたは複数の属性を規定する1つもしくは複数のルールおよび防御用障壁に意図的に違反することによって実行される動作を言い、属性とは、システムの基礎となる特徴を言う。不正な動作または取引が疑われる場合、そのような動作/取引を命じた操作者は、不正行為者であると推測され、不正行為の原因であることが疑われる。(たとえば、正当な操作者のプロフィールの難読化によって)正当な操作者であると装った外部の操作者から生じた外部の不正行為と、先験的には正当であるが、潜在的に悪意があり、挙動を危うくし、または潜在的に外部の操作者と共犯である操作者から生じた内部の不正行為とを、区別することができる。
【0005】
不正行為検出、特に、金融の不正行為検出の様々な方法が従来技術で知られている。それは、金融取引に関するデータベースについての教師あり学習に基づいた、人工知能および機械学習技法に基づく。知られている方法は、一般的に、不正行為の危険性または可能性を特徴づける、格付け構成要素を提供する。どの確率的推定方法でも、偽陽性率および偽陰性率という用語で表される意思決定の誤りの危険性(確率)がある。偽陽性率は、適用された方法が不正行為を検出したが、実際には、証明された正当な操作者である場合の割合である。それと対をなして、偽陰性率は、適用された方法が正当な操作者を検出するものの、実際にはそれが証明された不正行為者である場合の割合である。そのような決定における誤りの確率は、不正行為または証明された正当なイベント/操作の場合に関係するデータに決定方法を適用することによって計算される。
【0006】
しかし、ほとんどの従来技術の不正行為検出方法は、高すぎる偽陽性率をもたらすことが発見されており、このことは、性能および消費者の経験の点でシステムに負の影響をおよぼし、またすべての偽陰性が検出されていることを保証しない。
【先行技術文献】
【特許文献】
【0007】
【特許文献1】特許第FR3009615B1号
【発明の概要】
【発明が解決しようとする課題】
【0008】
本発明の目標の1つは、より信頼できる方法を提案することによってそのような欠点を改善することである。
【課題を解決するための手段】
【0009】
そのために、本発明は、1つの態様にしたがった、監視されるシステム中の不正行為の危険性を、前記監視されるシステムによって生成され、前記監視されるシステム中の操作者によって実施または生成されるイベントを特徴づけるデータストリームから自動検出する方法を提案する。方法は、計算プロセッサが実施する以下のステップを含む。
(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータの事前処理、
(B)不正行為の危険性を推定する第1のパラメータ化したプロセスの反復適用であって、前記第1のパラメータ化したプロセスのパラメータは、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース上で学習することによって得られる、第1のパラメータ化したプロセスの反復適用、
(C)不正行為の危険性を推定する第2のパラメータ化したプロセスの反復適用であって、前記第2のプロセスのパラメータは、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実施または生成されたイベントを表す第2のデータベース上で学習することによって得られる、第2のパラメータ化したプロセスの反復適用、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定するための、前記第1のプロセスの結果と前記第2のプロセスの結果の比較。
(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータの事前処理、
(B)不正行為の危険性を推定する第1のパラメータ化したプロセスの反復適用であって、前記第1のパラメータ化したプロセスのパラメータは、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース上で学習することによって得られる、第1のパラメータ化したプロセスの反復適用、
(C)不正行為の危険性を推定する第2のパラメータ化したプロセスの反復適用であって、前記第2のプロセスのパラメータは、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実施または生成されたイベントを表す第2のデータベース上で学習することによって得られる、第2のパラメータ化したプロセスの反復適用、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定するための、前記第1のプロセスの結果と前記第2のプロセスの結果の比較。
【0010】
有利なことに、本発明にしたがった、監視されるシステム中の不正行為の危険性の自動検出の方法は、正当性を計算する第1のプロセスと、これに付随する違法性を計算する第2のプロセスを独立して実施する。有利なことに、第1のプロセスおよび第2のプロセスは、実質的に並列に展開される堅牢な計算方法である。
【0011】
本発明にしたがった監視されるシステム中の不正行為の危険性の自動検出の方法は、独立して採用される、または全部の技術的に実行可能な組合せにしたがって採用される1つまたは複数の以下の特徴をさらに有することができる。
【0012】
事前処理は、前記記録されたデータからのイベントの決定、前記イベントの少なくとも一部の各イベントの署名の計算を含み、前記署名は、前記イベントに続く監視されるシステムの誤動作の危険性を表す。
【0013】
事前処理は、署名が予め規定された危険性のしきい値より大きい、危機的なイベントのサブセットの決定をさらに含む。
【0014】
方法は、前記第1のプロセスおよび第2のプロセスの適用ステップの連続した反復を含み、第1のプロセスは、第1の収束基準の確認まで危機的なイベントの前記サブセットの別個の部分に適用され、第2のプロセスは、第2の収束基準の確認まで危機的なイベントの前記サブセットの別個の部分に適用される。
【0015】
第1の時間期間と呼ばれる時間期間にわたって記録されたデータの組に対するステップ(A)から(C)の実施に続いて、ステップ(D)が、第3の収束基準を実施し、第3の収束基準にしたがって収束が不足の場合に、方法は、前記第1の時間期間に対して過去に位置する第2の時間期間にわたって記録された別の組のデータに対するステップ(A)から(D)の反復を含む。
【0016】
各イベントの署名の計算は、ロジスティック回帰方法によって、過去のイベントにしたがって実施される。
【0017】
前記第1のパラメータ化したプロセスのパラメータは教師あり学習によって得られる。
【0018】
前記第2のパラメータ化したプロセスのパラメータは教師なし学習によって得られる。
【0019】
方法は、複数のクラスへの前記イベントの分類の予備ステップ、および、イベントの少なくとも1つのクラスについて、ステップ(A)から(D)を適用することを含む。
【0020】
別の態様によれば、本発明は、監視されるシステム中の不正行為の危険性を、前記監視されるシステムによって生成され、前記監視されるシステム中の操作者によって実施または生成されるイベントを特徴づけるデータストリームから自動検出するためのシステムに関する。本システムは、以下を実施するように構成される少なくとも1つの計算プロセッサを含む。
(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータを事前処理するためのモジュール、
(B)不正行為の危険性を推定する第1のパラメータ化したプロセスの反復適用のためのモジュールであって、前記第1のパラメータ化したプロセスのパラメータが、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース上で学習することによって得られる、モジュール、
(C)不正行為の危険性を推定する第2のパラメータ化したプロセスの反復適用のためのモジュールであって、前記第2のプロセスのパラメータが、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実施または生成されたイベントを表す第2のデータベース上で学習することによって得られる、モジュール、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定するための、前記第1のプロセスの結果と第2のプロセスの結果を比較するためのモジュール。
(A)操作者に関連する危機的なイベントのサブセットを得るために、ある時間期間にわたって記録された少なくとも1つの組のデータを事前処理するためのモジュール、
(B)不正行為の危険性を推定する第1のパラメータ化したプロセスの反復適用のためのモジュールであって、前記第1のパラメータ化したプロセスのパラメータが、第1の正当性スコアおよび第1の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、正当な操作者によって実施または生成されたイベントを表す第1のデータベース上で学習することによって得られる、モジュール、
(C)不正行為の危険性を推定する第2のパラメータ化したプロセスの反復適用のためのモジュールであって、前記第2のプロセスのパラメータが、第2の正当性スコアおよび第2の関連する発生確率を得るために、危機的なイベントの前記サブセットの少なくとも一部を基に、不正な操作者によって実施または生成されたイベントを表す第2のデータベース上で学習することによって得られる、モジュール、
(D)前記操作者が正当な操作者であるか不正な操作者であるかを決定するための、前記第1のプロセスの結果と第2のプロセスの結果を比較するためのモジュール。
【0021】
別の態様によれば、本発明は、プログラム可能電子デバイスによって実施されると、上で簡単に記載されたような、監視されるシステム中の不正行為の危険性を自動検出する方法を実施するソフトウェア命令を含む、1つまたは複数のコンピュータプログラムに関する。
【0022】
本発明の他の特徴および利点は、同封される図を参照して、非限定の例として下で与えられる記載から明らかになろう。
【図面の簡単な説明】
【0023】
【図1】一実施形態にしたがった、不正行為検出のシステムの例を示す図である。
【図2】一実施形態にしたがった、不正行為の危険性の自動検出の方法の事前処理フェーズの主要ステップの概略図である。
【図3】不正行為の危険性の自動検出のための2つの別個のプロセスによる処理の主要ステップの概略フローチャートである。
【図4】ニューラルネットワークアーキテクチャを概略的に図示する図である。
【発明を実施するための形態】
【0024】
本発明は、監視される任意のシステム中の、より具体的には、監視されるシステムが産業分野での遵法性および履行を検査するための管理システムである場合の、不正行為の危険性の自動検出についての用途を見いだしている。
【0025】
図1は、監視されるシステム2における、一実施形態にしたがった、不正行為の自動検出のためのシステムを概略的に図示する。
【0026】
監視されるシステムがデータストリーム41~4kを生成し、これを、たとえばデータベースの形式または任意の他のデータ記憶構造で、1つまたは複数の電子メモリユニット6に記憶する。たとえば、ユニット6は、複数の相互接続したメモリからなる。
【0027】
各データストリーム4Iは時間期間TIに対応し、時間期間T1~Tkは、時間的に次々に続く。たとえば、各時間期間TIは、たとえば1か月と1年の間の、たとえば6か月に等しい、同じ予め規定された期間を有する。時間期間は、たとえば所与の時間的順番で次々に続き、たとえば、期間Ti+1は期間Tiより早い、などである。
【0028】
好ましくは、データストリーム4Iが監視されるシステム2によって生成されると、データストリーム4Iが記憶される。
【0029】
各データストリームは、構造化されたデータまたは構造化されていないデータを含み、監視されるシステム2によって実施または生成されるイベントを特徴づける。
【0030】
監視されるシステムによって記録されると、構造化されたまたは構造化されていないデータは、好ましくは、分類され、監視されるシステムの特殊性にしたがってラベルづけされる。
【0031】
構造化されたデータとしては、たとえば、実行ログ、フォーマットされたファイル、監視メカニズムによって転送される警告が含まれ、構造化されていないデータとしては、たとえば、画像/動画、音声記録が含まれる。
【0032】
記録されたデータは、イベントを特徴づける(たとえば、操作、行為、取引、実行、データ供給)。
【0033】
イベントは操作者に割り当てられ、監視されるシステムの操作者によって実施または生成/制御される。
【0034】
また、データストリーム4Iに関連する、操作者に関係する情報も記録される。
【0035】
たとえば、一実施形態では、Opによって示される各操作者は、選択された識別子Id_Opによって識別され、任意選択で、各操作者が、同じく監視されるシステム2によって記憶される関連するプロファイルProfile_Opも有する。
【0036】
操作者のプロファイルは、年齢、性別、出生地、専門家であるか否かなどの、操作者の特性属性を含む。
【0037】
関連する時間期間TIにわたって記録されたデータストリーム4Iは、本発明にしたがった自動化した不正行為検出システム10によってアクセス可能である。
【0038】
一実施形態では、システム10は、外部データベース8から文脈情報9をさらに受け取るのに好適であり、文脈情報9は、たとえば推測される不正行為者のプロファイルについての統計的な知識を含む。
【0039】
システム10は、恐れられる状況または脅威に関係するイベント(以降では危機的なイベントと呼ばれる)を決定するために、記憶されたデータストリーム4Iおよび任意選択で文脈情報9を使用する。
【0040】
ここで、危機的なイベントとは、実行される分析にしたがった、監視されるシステムの潜在的な誤動作、すなわち、監視されるシステムの動作ルールに関係する、前兆となるイベントの検出の際の異常もしくは不整合または異常もしくは不整合の危険性に関係する可能性がある任意の操作、行為、取引、実行もしくはデータの供給を言う。各イベント、各危機的なイベントであればなおさら、操作者に割り当てられる。
【0041】
危機的なイベントの検出に続いて、本発明は、危機的なイベントに関連する操作者または各操作者が正当な操作者であるかまたは不正な操作者(または推測される不正行為者)であるかを検出するために使用することができる。
【0042】
正当な操作者の場合には、検出される危機的なイベントは監視されるシステムの誤りまたは誤動作に対応し、実行される検出は、その後監視されるシステムを改善するための機会となり、および/または、前記システム中で操作、取引などを管理するもしくは実施する方法となる。
【0043】
不正な操作者(推測される不正行為者)の場合には、本発明は、不正な操作者が行為を続けるのを防止するための処置をとるため、補正処置をとるため、大きい危険または脅威の発生を防止するために使用することができる。
【0044】
自動化した不正行為検出のためのシステム10は、たとえば、いくつかのコンピュータにわたって分散される、または、単一コンピュータもしくは複数の一般的にプログラム可能な電子デバイス上の、
-任意選択で、データストリーム4iのデータをクラスに分類するためのモジュール12と、
-操作者に関連する重要なデータのサブセットを決定するために、イベントを事前処理するためのモジュール14と、
-不正行為の危険性の推定の、2つのパラメータ化したプロセス、すなわちそれぞれ、
不正行為の危険性の推定のための第1のパラメータ化したプロセスであって、第1のパラメータ化したプロセスのパラメータは、正当な操作者によって実施されたまたは生成されたイベントを表すデータの第1のデータベースBDD1上で学習することによって得られる(モジュール18)、
不正行為の危険性の推定のための第2のパラメータ化したプロセスであって、第2のプロセスのパラメータは、不正な操作者によって実施されたまたは生成されたイベントを表す第2のデータベース上で学習することによって得られる(モジュール20)、
を実質的に並列に適用するためのモジュール16と、
-前記操作者が正当な操作者であるか不正な操作者であるかを決定するため、前記第1のプロセスの結果と第2のプロセスの結果を比較するためのモジュール17と
を実装するように構成される、1つまたは複数の計算ユニット11(たとえば、1つまたは複数の計算プロセッサ)を備える。
-任意選択で、データストリーム4iのデータをクラスに分類するためのモジュール12と、
-操作者に関連する重要なデータのサブセットを決定するために、イベントを事前処理するためのモジュール14と、
-不正行為の危険性の推定の、2つのパラメータ化したプロセス、すなわちそれぞれ、
不正行為の危険性の推定のための第1のパラメータ化したプロセスであって、第1のパラメータ化したプロセスのパラメータは、正当な操作者によって実施されたまたは生成されたイベントを表すデータの第1のデータベースBDD1上で学習することによって得られる(モジュール18)、
不正行為の危険性の推定のための第2のパラメータ化したプロセスであって、第2のプロセスのパラメータは、不正な操作者によって実施されたまたは生成されたイベントを表す第2のデータベース上で学習することによって得られる(モジュール20)、
を実質的に並列に適用するためのモジュール16と、
-前記操作者が正当な操作者であるか不正な操作者であるかを決定するため、前記第1のプロセスの結果と第2のプロセスの結果を比較するためのモジュール17と
を実装するように構成される、1つまたは複数の計算ユニット11(たとえば、1つまたは複数の計算プロセッサ)を備える。
【0045】
第1のプロセスと第2のプロセスは、以降で詳細に説明されるように、収束基準が確認されるまで、期間Tiに関連するデータストリーム4iに適用される。
【0046】
計算ユニット11は、メモリユニット22と通信するのに好適であり、メモリユニット22は、モジュール12、14、16、および17の実装に有益なデータおよびパラメータを記憶するため使用される。
【0047】
一実施形態では、適切な場合は、モジュール12ならびにモジュール14、16、および17は、プログラム可能電子デバイスによって実装されると、監視されるシステム中の不正行為の危険性を自動検出する方法を実施するソフトウェア命令を含む、ソフトウェアコードの形およびコンピュータプログラムの形で具体化される。
【0048】
変形形態(図示せず)では、モジュール12、14、16、17は各々が、FPGA(フィールドプログラム可能ゲートアレイ)もしくはGPGPU(グラフィックス処理用汎用処理)などのプログラム可能論理構成要素の形で、または、ASIC(特定用途向け集積回路)などの専用集積回路の形で具体化される。
【0049】
監視されるシステム中の不正行為の危険性の自動検出のためのコンピュータプログラムは、コンピュータ可読媒体(図示せず)上に記録されることがさらに多い。コンピュータ可読媒体は、たとえば、電気的命令を記憶し、コンピュータシステムのバスに結合されることが多い媒体である。例として、可読媒体は、光ディスク、光磁気ディスク、ROMメモリ、RAMメモリ、任意のタイプの不揮発性メモリ(たとえば、EPROM、EEPROM、FLASH、NVRAM)、磁気カード、または光学カードである。
【0050】
一実施形態では、学習モジュール18、20の各々はソフトウェアコードの形で具体化され、不正行為の危険性を推定する第1および第2のプロセスの各々についての学習フェーズを実施するコンピュータプログラムを形成する。
【0051】
図2は、一実施形態にしたがった、不正行為の危険性の検出の方法の事前処理フェーズの主要ステップの概略図である。
【0052】
そのような事前処理フェーズは、監視されるシステムによって生成された1つまたは複数のデータストリーム41~4kを得るステップ30を含む。
【0053】
たとえば、選択された時間期間Tiに対応するデータストリーム4iが、ステップ30の間に得られる。
【0054】
ステップ30の後には、たとえば、操作、行為、取引、実行、監視されるシステムへのデータ供給、事象の警告、および以降で記載されるイベントの分類の任意選択のステップ34といった、イベントを決定するためのデータ分析のステップ32が続く。
【0055】
ステップ32またはステップ34の後には、各イベントについて監視されるシステムの誤動作の危険性を表す署名の計算のステップ36、次いで、危機的なイベントのサブセットの決定および抽出のステップ38が続く。
【0056】
一実施形態では、特許第FR3009615B1号に記載されるように、監視されるシステムの誤動作の危険性を表す署名の計算のステップ36および危機的なイベントのサブセットの決定のステップ38は、弱い信号をキャプチャし、その信号を特徴づける方法を行うことによって実施される。
【0057】
変形形態では、危険性署名は、検討されるイベントとその検討されるイベントが依存する過去のイベントとの間の依存性を使用することによって、たとえば、イベント間の依存性を表すツリーを使用することによって、検討されるイベントについて計算される。
【0058】
たとえば、次式が適用される。
S=G2×θ×MR
上式で、
S=G2×θ×MR
上式で、
【0059】
【数1】
【0060】
および、G,θ,μi∈{1,2,3,4}
【0061】
一実施形態では、危険性署名は、ロジスティック回帰アルゴリズムによって計算される。
【0062】
危険性署名
【0063】
【数2】
【0064】
は、次式によって計算される。
【0065】
【数3】
【0066】
ここで、
【0067】
【数4】
【0068】
は、式
【0069】
【数5】
【0070】
を有する活性化関数であり、wは重みベクトルである。
【0071】
たとえば、イベントの危険性署名は、各々が署名σi,i∈{1,…,N}を有するN個の過去のイベントの危険性署名から計算される。値δは、バイアスをもたらす。
【0072】
一実施形態では、各イベントについて、監視されるシステムの誤動作の危険性を表す署名の計算に続いて、署名が予め規定された危険性のしきい値と比較され、危機的なイベントのサブセットは、署名が前記予め規定された危険性のしきい値より上であるイベントのサブセットとして決定される。
【0073】
ステップ38の終わりに、危機的なイベントのサブセットが決定され、各危機的なイベントが操作者と関連づけられる。
【0074】
不正行為の危険性の検出の方法の次のステップは、危機的なイベントのサブセットのうちの1つまたは複数の危機的なイベントに関連する操作者のうちの1人または各々について実施される。
【0075】
変形形態では、事前処理ステップ32~38は、ただ1人の同じ操作者に関連するイベントに対して実施される。
【0076】
それにより、上で記載した事前処理の適用によって、危機的なイベントの1つまたは複数のサブセットを決定することが可能になり、危機的なイベントの各サブセットは、監視されるシステム中で識別された操作者と関連づけられる。
【0077】
変形形態では、方法は、たとえばデータ分析ステップ32の前または後のいずれかに実装される、たとえば操作、行為、取引、実行、監視されるシステムへのデータ供給、事象の警告、複数のイベントクラスへのイベントの分類といった、イベントを決定するための任意選択の分類ステップ34をさらに含む。
【0078】
たとえば、主成分分析(PCA)分類方法は、関連性の表を使用して、定量的データまたは定性的データについて使用することができる。たとえば、多重対応因子分析(MCA)が使用される。
【0079】
もちろん、従来技術の他の分類方法も適用可能である。
【0080】
前記変形形態では、すべての他のステップが、イベントのクラスごとに繰り返して適用される。
【0081】
図3は、不正行為の危険性の推定のための2つの別個のパラメータ化したプロセスによる処理の主要ステップの概略フローチャートであり、処理は、同じ操作者について、また適切な場合には同じイベントのクラスについて、実質的に並列に実施される。
【0082】
方法は、識別子Id_Mを有する同じ操作者Op_Mに関連する、より正確には割り当てられた、危機的なイベントを表すデータの供給を含む初期化ステップ50を含み、データは、以前の事前処理フェーズの終わりに決定される危機的なイベントのサブセットの少なくとも一部に対応する。危機的なイベントを表すデータは、たとえば、測定値、評価値、ドリフト、しきい値などを含む。
【0083】
イベントを表すデータは、1つまたは複数の時間期間にわたって提供される。
【0084】
指数kは、処理が適用される時間期間Tkを示し、時間期間は、たとえば、逆時系列順、すなわち、現在の瞬間に近い時間期間から開始して逆時系列順に進行する、すなわち、現在の瞬間から過去に向かって動く、選択された順番で処理される。
【0085】
たとえば、指数kは1に初期化され、T1は、現在の瞬間(すなわち、処理の適用の瞬間)の前の最後の時間期間を指す。もちろん、上記はオプションであって、他のオプションが可能である。
【0086】
初期化ステップ50の後に、実質的に同時に行われるステップ52と54が続き、これらはそれぞれ、以降では「プロセス1」と呼ばれる、不正行為の危険性の推定のための第1のパラメータ化したプロセスの適用であるステップ52、および、以降ではプロセス2と呼ばれる、不正行為の危険性の推定のための第2のパラメータ化したプロセスの適用であるステップ54である。
【0087】
「プロセス1」および「プロセス2」は、時間期間TkのId_Mによって識別される操作者に関連する危機的なイベントを表すデータの同じ部分に適用される。
【0088】
一実施形態では、「プロセス1」は、たとえば、複数の層、すなわち入力層、少なくとも1つの隠れ層、および出力層をそれぞれ含む人工のニューラルネットワークといった、機械学習アルゴリズムを実施する。好ましくは、「プロセス1」のパラメータの学習46は、教師ありタイプの学習である。
【0089】
一実施形態では、プロセス2は、たとえば、1つまたは複数の層を含む人工のニューラルネットワークといった、機械学習アルゴリズムを実施する。好ましくは、「プロセス2」のパラメータの学習48は、教師なしタイプの学習である。
【0090】
2つのプロセスは、異なる学習ベースBDD1およびBDD2上でそれぞれ訓練されることによってパラメータ化された異なるニューラルネットワークを適用しており、第1のデータベースBDD1は、正当な操作者によって実施または生成されたイベントを表すデータを含み、第2のデータベースBDD2は、不正な操作者によって実施または生成されたイベントを表すデータを含む。
【0091】
そのことによって、両方のプロセスは、相反する前提に基づく。
【0092】
そのようなニューラルネットワークの入力に供給されるデータX1~XNは、ベクトルまたは行列の形で表される。そのようなデータは、たとえば、Id_Mによって識別される操作者に関連する以前に決定された危機的なイベントを表す。
【0093】
図4は、2つの隠れ層を有するディープニューラルネットワークを概略的に図示する。
【0094】
図4に示されるニューラルネットワーク100は、入力層102、2つの隠れ層104、106、および出力層108を含む。
【0095】
各層Ciは、ある数Niのニューロン110を含む。数Niは、層ごとに変わる。
【0096】
前記の例では、各層の各ニューロンは、前の層の各ニューロンおよび後続の層の各ニューロンに接続され、そのようなニューラルネットワークは、全結合ネットワークである。
【0097】
ニューロン110は、任意選択でバイアスbを加えて、それらの入力の加重和を計算し、次いで、計算した加重和に活性化関数σと呼ばれる関数を適用する。
【0098】
次のように書くことができる。
【0099】
【数6】
【0100】
および
Y=σ(Z)
上式で、xiは入力であり、wiはそれぞれの重みであり、bはバイアスであり、σは活性化関数であり、Yは出力である。
Y=σ(Z)
上式で、xiは入力であり、wiはそれぞれの重みであり、bはバイアスであり、σは活性化関数であり、Yは出力である。
【0101】
それによって、各ニューロンは、入力の非線形の組合せを実施する。
【0102】
活性化関数σは、たとえばシグモイド関数である。
【0103】
【数7】
【0104】
もちろん、たとえば、R(z)によって示される整流された線形ユニットのためのReLu関数といった、他の活性化関数が知られている。
R(z)=max(0,z)
R(z)=max(0,z)
【0105】
双曲正接関数またはヘビサイド関数などといった他の知られている活性化関数も適用可能である。
【0106】
1つまたは複数の選択された活性化関数(たとえば、活性化関数は層ごとに異なってよい)についての、ニューラルネットワークを規定するパラメータは、各層の各ニューロンについての、重みwiおよびバイアス値bである。そのようなパラメータは、目標を達成するために、すなわち、たとえばJ(W,B)によって示される費用関数といった予め規定された基準を満足する出力層108の出力値を得るために、教師ありまたは教師なしの訓練データを基に訓練フェーズに計算され、ここで、Wは、ニューラルネットワークを規定する重みの組を示し、Bは、バイアスの組を示す。費用関数J(W,B)は、結果を求める際に誤りの確率が最小化されるように規定される。
【0107】
図3に戻って、一実施形態では、「プロセス1」が適用されるニューラルネットワークは、出力層の出力に、Id_Mによって識別される操作者を特徴づける第1の正当性スコアScore1(M,X,k)、および時間期間Tkにわたって試験される危機的なイベントに関連する第1の発生確率Prob1(M,X,k)を供給する。
【0108】
第1の正当性スコアは、たとえば、それぞれ0%の正当性から最高100%の正当性に対応する0と1の間の実価である。一実施形態では、第1の正当性スコアの値は、識別子操作者Id_Mと正当な基準の個人の間の距離の推定、または、識別子操作者Id_Mと基準の不正行為者個人の間の距離の推定を示す。
【0109】
正当な基準の個人は、個人が代表する人口の統計的な分布を表す統計的な個人、または、その正当性が具体的に証明されているもしくは最終的に証明されなかった疑惑の後の1人または複数の個人、または正当な基準の個人として個人の資質を妥当なものにする最適な時刻歴にしたがった個人のいずれかである。
【0110】
「プロセス1」が適用されるニューラルネットワークについて最小化されるべき費用関数は、たとえば、不正な操作者の検出の誤りに関連する関数である。
【0111】
たとえば、一実施形態では、「プロセス1」は、たとえば、入力層、出力層、および2つの隠れ層を含む畳込みニューラルネットワーク(CNN)を実施する。
【0112】
同様に、一実施形態では、「プロセス2」が適用されるニューラルネットワークは、出力層の出力に、操作者Id_Mを特徴づける第2の正当性スコアScore2(M,X,k)、および時間期間Tkにわたって試験される危機的なイベントに関連する第2の発生確率Prob2(M,X,k)を供給する。
【0113】
たとえば、一実施形態では、「プロセス2」は、畳込みニューラルネットワーク(CNN)を実施する。「プロセス2」では、解釈可能性および説明可能性を向上させるために、たとえば単一層を有するニューラルネットワークといった簡単なアーキテクチャが好ましくは選好される。
【0114】
「プロセス1」の結果の第1の収束基準がステップ56中に検証され、第1の収束基準が検証されない場合、「プロセス1」は、時間期間Tkの危機的なイベントのサブセットのうちの他の危機的なイベントを表すデータで繰り返される。
【0115】
同様に「プロセス2」の結果の第2の収束基準がステップ58中に検証され、第2の収束基準が検証されない場合、「プロセス2」は、時間期間Tkの危機的なイベントのサブセットのうちの他の危機的なイベントを表すデータで繰り返される。
【0116】
次いで、第1の収束基準および第2の収束基準が検証されると、「プロセス1」と「プロセス2」のそれぞれの結果は、第3の収束基準を実施する比較ステップ60中に比較される。たとえば、第1の正当性スコアと第2の正当性スコアの間の計算された絶対差が、予め規定された正当性スコアしきい値と比較される。
【0117】
第3の収束基準が満足されない場合、処理される時間期間を示す指数kが増加され(ステップ62)、ステップ52、56、および54、58が新しい時間期間にわたって、好ましくは過去の時間期間にわたって、繰り返される。
【0118】
第3の収束基準が満足される場合、比較ステップ60の後に、最終結果の検証のステップ64が続く。第3の収束基準の検証は、第1の正当性スコアと第2の正当性スコアが同じ最終的正当性スコアに近いことを示す。ステップ64では、最終的正当性スコアが、基準の不正な個人に対応するか、すなわち、Id_Mによって識別される操作者が推定される不正な操作者であることを示すかどうかが検証される。
【0119】
そうでない場合、Id_Mによって識別される操作者が正当であると推定され、ステップ64の後に、第1の訓練データベースBDD1を拡張するステップ66が続く。
【0120】
任意選択で、ステップ66の後に、「プロセス1」のパラメータを学習するステップ46の実施が続く。
【0121】
Id_Mによって識別される操作者が不正行為者であると推定される場合、ステップ64の後に、監視されるシステムの管理責任者に、たとえば、通知または任意の他の手段を送信することによって警告を発するためのステップ68が続く。
【0122】
好ましくは、不正行為の自動検出を確認するかまたは確認しないかのいずれかである人間の監視者による検証70を適用することによって、警告は処理される。
【0123】
検証ステップ74の期間の確認の場合、前記ステップの後に、第2のデータベースBDD2を拡張するステップ72、および任意選択で、「プロセス2」のパラメータを学習するステップ48の実施が続く。
【0124】
産業的不正行為とみなすことができる、産業的製造または変換方法における意図的な不規則性の疑惑の後に展開される調査の文脈では、本解決策は、関係する区域中で操作および/または相互作用しているすべての人間参加者を識別すること、ならびに全部の関係するプロセスの組織要因、そして最終的に、方法をホストする産業設備の動作および産業履歴をリスト化および評価することによって、対象となる方法に関連する調査の範囲を画定することになる。
【0125】
適用される規制または運用リポジトリに関するプロセスおよび組織形態に関連するすべての不適合の検出を目標にすることに加えて、本解決策によって、本方法に存在するもしくは介在する各個人、または方法の上流もしくは下流にいる個人ですら評価される。
【0126】
たとえば、ある個人が数年間にわたって施設の中に存在しており、その者の階級と矛盾しており、たとえば自身の計算またはタスクを同僚が検査または検証することを許可しない場合、システムはその個人の正当性スコアを低下させ、その個人が意図的に不正行為またはデータ改ざんを犯したことを確認または否定するためにさらなる調査を開始し、適切な場合には、調査官が意思決定するのを助けるのに不可欠な一連の証拠を探すことになる。
【符号の説明】
【0127】
2 監視されるシステム
6 電子メモリユニット
8 外部データベース
9 文脈情報
10 不正行為検出システム
11 計算ユニット
12 分類するためのモジュール
14 事前処理するためのモジュール
16 プロセスの反復適用のためのモジュール
17 比較するためのモジュール
18 学習モジュール
20 学習モジュール
22 メモリユニット
30 データストリーム41~4kを得るステップ、事前処理
32 データ分析、事前処理
34 分類、事前処理
36 署名の計算、事前処理
38 危機的なイベントのサブセットの決定、事前処理
46 教師あり学習
48 教師なし学習
50 初期化
52 第1のプロセス
54 第2のプロセス
56 第1のプロセス、収束基準の確認
58 第2のプロセス、収束基準の確認
60 比較
62 増加
64 検証
66 拡張
68 警告
70 検証
72 拡張
74 検証
100 ニューラルネットワーク
102 入力層
104 隠れ層
106 隠れ層
108 出力層
110 ニューロン
6 電子メモリユニット
8 外部データベース
9 文脈情報
10 不正行為検出システム
11 計算ユニット
12 分類するためのモジュール
14 事前処理するためのモジュール
16 プロセスの反復適用のためのモジュール
17 比較するためのモジュール
18 学習モジュール
20 学習モジュール
22 メモリユニット
30 データストリーム41~4kを得るステップ、事前処理
32 データ分析、事前処理
34 分類、事前処理
36 署名の計算、事前処理
38 危機的なイベントのサブセットの決定、事前処理
46 教師あり学習
48 教師なし学習
50 初期化
52 第1のプロセス
54 第2のプロセス
56 第1のプロセス、収束基準の確認
58 第2のプロセス、収束基準の確認
60 比較
62 増加
64 検証
66 拡張
68 警告
70 検証
72 拡張
74 検証
100 ニューラルネットワーク
102 入力層
104 隠れ層
106 隠れ層
108 出力層
110 ニューロン
【図1】
【図2】
【図3】
【図4】
【国際調査報告】