JP6661768B2 - ユーザ挙動を異常として分類すること - Google Patents

ユーザ挙動を異常として分類すること Download PDF

Info

Publication number
JP6661768B2
JP6661768B2 JP2018525505A JP2018525505A JP6661768B2 JP 6661768 B2 JP6661768 B2 JP 6661768B2 JP 2018525505 A JP2018525505 A JP 2018525505A JP 2018525505 A JP2018525505 A JP 2018525505A JP 6661768 B2 JP6661768 B2 JP 6661768B2
Authority
JP
Japan
Prior art keywords
user
path graph
resource
test
nodes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018525505A
Other languages
English (en)
Other versions
JP2018523885A (ja
Inventor
ジン・ユ
レグーナサン・ラダクリシュナン
アニルード・コンダヴィーティ
Original Assignee
ピヴォタル・ソフトウェア・インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ピヴォタル・ソフトウェア・インコーポレーテッド filed Critical ピヴォタル・ソフトウェア・インコーポレーテッド
Publication of JP2018523885A publication Critical patent/JP2018523885A/ja
Application granted granted Critical
Publication of JP6661768B2 publication Critical patent/JP6661768B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Social Psychology (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Debugging And Monitoring (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

この明細書は、大きなデータセットにおいて、異常を検出することに関する。
大きなデータセットにおいて異常を検出するための技術が、コンピュータネットワークセキュリティおよびヘルスケアを含む、データ処理アプリケーションの多数のエリアにおいて使用され得る。
この明細書は、データ処理システムが、1つまたは複数の特定のデータ処理システムにおいて、ユーザによってアクセスされるリソースを示すデータを活用する様々な技術に従って、ユーザ挙動をどのように、異常または非異常として分類し得るのかを説明する。たとえユーザが、アクセスされたすべてのリソースへアクセスするための許可を有し得ていても、このシステムは未だに、いくつかのユーザ挙動を、疑わしいとして分類し得る。
一般に、この明細書において説明される主題の1つの革新的な態様は、主題システム(subject system)において、ユーザの挙動を表すユーザ挙動データを取得するステップであって、ユーザ挙動データは、主題システムにおいてユーザによってアクセスされた1つまたは複数のリソースと、ユーザによってアクセスされた各リソースについて、リソースがいつアクセスされたのかとを示す、ステップと、ユーザ挙動データからテストデータを生成するステップであって、テストデータは、テスト期間中、ユーザによってアクセスされたリソースを示す第1の表示を備える、ステップと、ユーザ挙動データから訓練データを生成するステップであって、訓練データは、テスト期間の前の多数の期間の各々について、ユーザによってアクセスされたリソースを示すそれぞれの第2の表示を備える、ステップと、訓練データから初期モデルを生成するステップであって、初期モデルは、訓練データの第1の特性的特徴を有する、ステップと、訓練データから、および、テスト期間のための第1の表示の多数のインスタンスから、再サンプリングモデルを生成するステップであって、再サンプリングモデルは、訓練データの第2の特性的特徴と、テスト期間のための第1の表示の多数のインスタンスとを有する、ステップと、訓練データの第1の特性的特徴と、訓練データの第2の特性的特徴と、テスト期間のための第1の表示の多数のインスタンスとを比較することを含む、初期モデルと再サンプリングモデルとの差分を計算するステップと、初期モデルと再サンプリングモデルとの差分に基づいて、テスト期間におけるユーザ挙動を、異常として分類するステップとからなる動作を含む方法において具体化され得る。この態様の他の実施形態は、対応するコンピュータシステム、装置、および、1つまたは複数のコンピュータ記憶デバイスに記録されたコンピュータプログラムを含み、これら各々は、方法の動作を実行するように構成される。このシステムがシステム上にインストールした、特定の工程または動作手段を実行するように構成されるべき1つまたは複数のコンピュータのシステムのために、工程におけるソフトウェア、ファームウェア、ハードウェア、またはこれらの組合せは、このシステムに対して、工程または動作を実行させる。特定の工程または動作手段を実行するように構成されるべき1つまたは複数のコンピュータプログラムのために、1つまたは複数のプログラムは、データ処理装置によって実行される場合、この装置に対して、工程または動作を実行させる命令を含む。
先述した、および、他の実施形態は各々、オプションで、以下の特徴のうちの1つまたは複数を、単独で、または、組み合わせて含み得る。ユーザ挙動データは、各々が、ファイルシステムにおいてユーザによってアクセスされたフォルダまたはファイルを表すユーザアクセス記録を備える。これら動作は、訓練データのベクトルと、テストデータの同じベクトルのN個のインスタンスとを含む、第1の行列を生成するステップと、第1の行列の第1の複数の主成分を生成するために、第1の行列について、主成分分析を実行するステップと、訓練データの複数のベクトルから第2の行列を生成するステップと、第2の行列の第2の複数の主成分を生成するために、第2の行列について、主成分分析を実行するステップであって、初期モデルと再サンプリングモデルとの差分を計算するステップは、第1の複数の主成分のうちの1つまたは複数と、第2の複数の主成分との間の角度を計算するステップを備える、ステップとを含む。これら動作は、訓練データのベクトルと、テストデータの同じベクトルのN個のインスタンスとを含む、第1の行列を生成するステップと、第1の行列の第1の複数の主成分を生成するために、第1の行列について、特異値分解を実行するステップと、訓練データの複数のベクトルから第2の行列を生成するステップと、第2の行列の第2の複数の主成分を生成するために、第2の行列について、特異値分解を実行するステップであって、初期モデルと再サンプリングモデルとの差分を計算するステップは、第1の複数の主成分のうちの1つまたは複数と、第2の複数の主成分との間の角度を計算するステップを備える、ステップとを含む。
この明細書において説明される主題の別の革新的な態様は、複数のトピックを取得するステップであって、各トピックは、個々のユーザのユーザ挙動データにおいて頻繁に共起する複数のファイルタイプを表すデータである、ステップと、主題システムにおいてユーザの挙動を表すユーザ挙動データを取得するステップであって、ユーザ挙動データは、主題システムにおいてユーザによってアクセスされたファイルのファイルタイプと、ファイルがユーザによっていつアクセスされたのかとを示す、ステップと、ユーザ挙動データからテストデータを生成するステップであって、テストデータは、ユーザ挙動データのファイルタイプに従って、テスト期間中に、ユーザがどのトピックにアクセスしたのかを示す第1の表示を備える、ステップと、ユーザ挙動データから訓練データを生成するステップであって、訓練データは、テスト期間の前の多数の期間の各々において、ユーザがどのトピックにアクセスしたのかを示すそれぞれの第2の表示を備える、ステップと、テストデータから、初期SVDモデルを生成するステップと、テスト期間中、ユーザがどのトピックにアクセスしたのかを示す第1の表示の多数のインスタンスからの訓練データから、再サンプリングモデルを生成するステップと、初期モデルと再サンプリングモデルとの差分を計算するステップと、初期モデルと再サンプリングモデルとの差分に基づいて、テスト期間におけるユーザ挙動を異常として分類するステップとからなる動作を含む方法において具体化され得る。この態様の他の実施形態は、対応するコンピュータシステム、装置、および、1つまたは複数のコンピュータ記憶デバイスに記録されたコンピュータプログラムを含み、これら各々は、方法の動作を実行するように構成される。
先述した、および、他の実施形態は各々、オプションで、以下の特徴のうちの1つまたは複数を、単独で、または、組み合わせて含み得る。これら動作は、主題システムにおいて多数のユーザによってアクセスされたファイルのファイルタイプから、複数のトピックを生成するステップを含む。これら動作は、各ユーザがドキュメントになるように、および、各ユーザによってアクセスされる各ファイルタイプが、対応するドキュメントにおける用語になるように定義することを含むトピックモデリング処理を使用してトピックを生成するステップを含む。トピックモデリング処理を使用してトピックを生成するステップは、あらかじめ決定された数であるK個のトピックを生成するステップを備える。これら動作は、複数の候補値であるK回、反復するステップと、特定の候補値であるKを、あらかじめ決定された数Kとして選択するステップとを含む。
この明細書において説明される主題の別の革新的な態様は、主題システムにおいて、ユーザの挙動を表すユーザ挙動データを取得するステップであって、ユーザ挙動データは、主題システムにおいてユーザによってアクセスされた1つまたは複数のリソースと、ユーザによってアクセスされた各リソースについて、リソースがいつアクセスされたのかとを示す、ステップと、ユーザ挙動データからテストデータを生成するステップであって、テストデータは、テスト期間中、ユーザによってアクセスされたリソースを示す第1の表示を備える、ステップと、ユーザ挙動データから訓練データを生成するステップであって、訓練データは、テスト期間の前の多数の期間の各々において、ユーザによってアクセスされたリソースを示すそれぞれの第2の表示を備える、ステップと、訓練データから初期パスグラフを生成するステップであって、初期パスグラフは、訓練データによって表される1つまたは複数の期間中に主題システムにおいてユーザによってアクセスされたリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、ユーザが、ペアの第2のノードによって表される第2のリソースから、ペアの第1のノードによって表される第1のリソースへアクセスしたことを示す、ステップと、テストデータからテストパスグラフを生成するステップであって、テストパスグラフは、テスト期間中に主題システムにおいてユーザによってアクセスされるリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、ユーザが、ペアの第2のノードによって表される第2のリソースから、ペアの第1のノードによって表される第1のリソースへアクセスしたことを表す、ステップと、初期パスグラフとテストパスグラフとの差分を計算するステップと、初期パスグラフとテストパスグラフとの差分に基づいて、テスト期間におけるユーザによるユーザ挙動を異常として分類するステップとからなる動作を含む方法において具体化され得る。
先述した、および、他の実施形態は各々、オプションで、以下の特徴のうちの1つまたは複数を、単独で、または、組み合わせて含み得る。ユーザ挙動データは、各々が、ファイルシステムにおいてユーザによってアクセスされたフォルダまたはファイルを表すユーザアクセス記録を備える。初期パスグラフを生成するステップは、主題システムにおいて、ユーザの訓練データと、ユーザの1つまたは複数のピアの訓練データとから、初期パスグラフを生成するステップを備える。これら動作は、訓練データによって表される期間中、ユーザと同じように、少なくともしきい値数のリソースへアクセスした1人または複数の他のユーザを主題システムにおいて判定するステップと、主題システムにおいて、1人または複数の他のユーザを、ユーザのピアとして指定するステップとを含む。初期パスグラフとテストパスグラフとの差分を計算するステップは、初期パスグラフとテストパスグラフとの間のジャカール距離を計算するステップを備え、ジャカール距離は、初期パスグラフとテストパスグラフとの間の交差ノードの濃度と、初期パスグラフとテストパスグラフとの間のノードの結合の濃度とに基づく。初期パスグラフとテストパスグラフとの差分を計算するステップは、初期パスグラフおよびテストパスグラフにおけるノードによって表されるリソースに関連付けられた重みを取得するステップと、初期パスグラフとテストパスグラフとの間の重み付けられたジャカール距離を計算するステップとを備え、重み付けられたジャカール距離は、初期パスグラフとテストパスグラフとの交差において発生するすべてのノードのための重みの総和と、テストパスグラフにおいて発生するすべてのノードのための重みの総和とに基づく。これら動作は、主題システムにおけるフォルダのサブフォルダよりも、主題システムにおけるフォルダへ、より高い重みを割り当てるステップを含む。これら動作は、リソースの階層における、しきい値数のレベルよりも上にある主題システムにおけるすべてのリソースへ同じ重みを割り当てるステップを含む。これら重みは、リソースの人気の尺度に基づく。これら動作は、ハイブリッドグラフを生成するステップであって、ハイブリッドグラフは、このシステムにおけるユーザを表すユーザノードと、このシステムにおけるリソースを表すリソースノードとを備え、ハイブリッドグラフは、各ユーザ-リソースリンクがシステムにおけるリソースにアクセスするそれぞれのユーザを表すユーザ-リソースリンクと、各リソース-リソースリンクがシステムにおけるリソースの構成を表すリソース-リソースリンクとを含む、ステップと、ハイブリッドグラフに従って、システムにおける1つまたは複数のリソースの人気の尺度を計算するステップと、最も高い人気の尺度を有する1つまたは複数のノードを選択するステップと、最も高い人気の尺度を有する1つまたは複数のノードの各々へのパスを、ユーザのための初期パスグラフへ追加するステップとを含む。
この明細書で説明される主題の特定の実施形態は、以下の利点のうちの1つまたは複数の実現するように実施され得る。このシステムは、たとえユーザアクセスパターンが、以前に見られていなくても、異常として分類し得る。これは、ルールベースのシステムはできない。このシステムは、以前のアプローチよりもはるかに高い感度で、異常検出を行うために、テストデータ再サンプリングを使用し得る。このシステムは、システムにおける各ユーザのためのユーザモデルを生成し、ユーザの挙動を、異常として、自動的にフラグし得る。ユーザのピアの動作は、異常検出における誤った肯定を低減するために、分析に組み込まれ得る。このシステムは、以前のアプローチよりもより高い粒度レベルでデータを活用し得、たとえば、フォルダアクセスおよびファイルアクセスを説明するデータを使用し得る。このシステムは、ユーザが、予期しないファイルタイプのグループへアクセスしている時を検出するために、トピックモデルを使用し得る。
この明細書の主題の1つまたは複数の実施形態の詳細は、添付図面および以下の説明に記述される。主題の他の特徴、態様、および利点は、説明、図面、および特許請求の範囲から明らかになるであろう。
例示的な異常検出システムを示す図である。 セグメントノードを示す図である。 再サンプリングモデルを使用してユーザアクセス記録を異常として分類するための例示的な処理のフローチャートである。 トピックモデルを使用してユーザ挙動を異常として分類するための例示的な処理のフローチャートである。 パスグラフを使用してユーザ挙動を異常として分類するための例示的な処理のフローチャートである。 初期パスグラフを例示する図である。 例示的なテストパスグラフを例示する図である。 別の例示的なテストパスグラフを例示する図である。 主題システムにおいて最も人気のあるリソースを判定するための例示的な処理のフローチャートである。 例示的なハイブリッドグラフを例示する図である。
様々な図面において同一の参照番号および指定は、同一の要素を示す。
図1Aは、例示的な異常検出システム100の図解である。異常検出システム100は、異常なユーザ挙動を検出するために使用され得るコンピューティングシステムの例である。一般に、異常検出システム100は、ユーザデバイス102、マスタノード110、および多数のセグメントノード114a、114b、乃至114nを含む。
検出されるべき異常なユーザ挙動は、典型的には、異常検出システム100とは異なる主題システムにおけるユーザによる挙動である。たとえば、主題システムは、企業に属するコンピュータネットワークであり得る。
ユーザデバイス102のユーザは、マスタノード110と通信することによって、異常検出システム100に記憶されたデータにアクセスし得る。ユーザデバイス102は、パーソナルコンピュータ、スマートフォン、または、ユーザがインタラクトし得る他の任意の種類のコンピュータベースのデバイスであり得る。たとえば、ユーザは、たとえば、前日または前週のような指定された期間中に発生した異常なユーザ挙動について、マスタノードへ問い合わせ得る。マスタノード110は、その後、指定された期間中、挙動が疑わしかったユーザの識別情報を取得するために、セグメントノード114a〜nと通信し得、マスタノード110は、その後、この識別情報を、ユーザデバイス102へ通信し得る。
マスタノード110および各セグメントノード114a〜nは、1つまたは複数の物理的なコンピュータにインストールされたソフトウェアとして、または、1つまたは複数の物理的なコンピュータにおける1つまたは複数の仮想的なマシンとしてインストールされたソフトウェアとして、またはその両方として実施される。それに加えて、各セグメントノード114a〜nは、セグメントノード内で、多数のセグメント処理を実行し得る。たとえば、セグメントノードは、各セグメント処理が、異なるコアで実行する、マルチコアコンピュータであり得る。いくつかの実施では、各物理的なセグメントノードは、8乃至12のセグメント処理を有する。
マスタノード110は、たとえば、1つまたは複数の通信ネットワークによって、たとえば、ローカルエリアネットワークまたはインターネットによって、または、ダイレクトな接続によって、セグメントノード114a〜nの各々へ接続される。それに加えて、セグメントノード114a〜nの各々は、1つまたは複数の他のセグメントノードへ接続され得る。マスタノード110は、異常検出システム100に記憶されたデータの一部で動作するために各セグメントノードを割り当てる。
各データ部分は、一般に、主題システムにおけるユーザによるユーザ挙動データの集合である。セグメントノード114a〜nによる並列処理を導入するために、各異なるユーザのためにすべてのユーザ挙動データが、単一の部分に記憶され得る。しかしながら、単一のセグメントノードが、特定のユーザのためのすべてのユーザ挙動データを取得し得るように、セグメントノード114a〜nはまた、情報を共有するために、互いに通信し得る。
ユーザ挙動データは、主題システムにおけるリソースにアクセスしているユーザを表すデータである。たとえば、データは、ユーザが、サーバ、ウェブサイト、ウェブページ、ファイル、ディレクトリ、データベース、または、主題システムにおける他の任意のアクセス可能なリソースへ何回アクセスしたのかを表し得る。
リソースにアクセスしているユーザの各インスタンスは、たとえば、アクセス記録によって、ユーザ挙動データにおいて表される。アクセス記録は、リソースを説明する情報、ユーザ、および、リソースがアクセスされた日時を含み得る。ユーザ挙動データはまた、アグリゲートされたアクセス記録を含み得る。たとえば、ユーザ挙動データは、各ユーザについて、特定の期間中、各リソースが何回アクセスされたのかを表すデータを含み得る。
システム100は、任意の適切なフォーマットで、何百万または何十億ものアクセス記録を記憶し得る。たとえば、システムは、ファイルシステムにおけるファイルとして、または、ファイルシステムにおけるファイルにおけるデータのラインまたは行として、または、データベースにおける記録として、各アクセス記録を記憶し得る。アクセス記録は、インデクスされ得る。
マスタノード110は、たとえばセグメントノード114a〜nのように、N個のセグメントノードに処理を分割し得る。セグメントノードは、たとえば、Hadoop File System(HDFS)を実施するシステムのような、基礎をなす分散記憶システムにおけるデータノードと通信することによって、アクセス記録を取得し得る。データは、一般に、多数の記憶デバイス間で区分され、任意の適切なキー値記憶サブシステムによって体系化され得る。たとえば、データ部分は、たとえば、超並列処理(MPP)データベースの一部として、多数の記憶デバイス間に分散されたリレーショナルデータベースのテーブル区分であり得る。データ部分はまた、たとえば、キー値ペアによって、データを異なる列ファミリに体系化し、多数の記憶デバイスにわたって分散されたHadoop Database(HBase)におけるように、分散された、非リレーショナルなデータベースの一部として記憶され得る。データ部分はまた、セグメントノード114a〜nによってローカルに記憶されるように区分され得る。
図1Aに例示された例示的な異常検出システム100では、マスタノード110は、基礎をなす分散記憶システムの第1の記憶サブシステム132aに記憶された第1のユーザのグループのためのアクセス記録142aに関して動作するために、セグメントノード114aを割り当てた。同様に、マスタノード110は、第2の記憶サブシステム132bに記憶されたアクセス記録142bに関して動作するために、セグメントノード114bを割り当て、マスタノード110は、第Nの記憶サブシステム132nに記憶されたアクセス記録142nに関して動作するために、セグメントノード114nを割り当てた。
図1Bは、セグメントノード114の図解である。システムにおけるセグメントノード114a〜nの各々は、ユーザ毎のモデルを並列的に計算する。言い換えれば、システムは、主題システムの各ユーザのために、1つまたは複数の異なるモデルを生成する。
各セグメントノード114は、マスタノードによって割り当てられたユーザID145を受信するセグメントノード114にインストールされた異常検出ソフトウェアを実行させる。異常検出ソフトウェアは、その後、基礎をなす記憶サブシステムから、ユーザID145に対応するユーザのユーザアクセス記録142を取得し、どのアクセス記録142が訓練データであり、どのアクセス記録がテストデータであるのかを判定する。いくつかの個々のアクセス記録は、訓練データとテストデータとの両方として使用され得る。
一般に、テストデータは、最近の期間、ユーザによってアクセスされたリソースを示す表示を含み、訓練データは、テストデータの期間の前の多数の期間、アクセスされたリソースを表す表示を含む。たとえば、期間が、その年の週であれば、テストデータは、最も直近の週の間にアクセスされたリソースを示す表示を含み得、訓練データは、前月または前年中にアクセスされたリソースを示す表示を含み得る。テストデータに対応する期間は、テスト期間と称され得る。
しかしながら、テストデータは、直近の期間を表す必要はない。たとえば、このシステムは、過去に発生した異常挙動を識別するために、任意の適切な期間のアクセス記録をテストデータとして使用し得る。
セグメントノード114にインストールされた異常検出ソフトウェアは、ユーザのアクセス記録142が、ユーザによる異常挙動を反映しているか否かを判定するために、各セグメントノードにインストールされた1つまたは複数のモデリングエンジン180、182、および184を活用する。モデリングエンジン180、182、および184のすべて、または、モデリングエンジン180、182、および184のいくつかのみが、任意の特定のセグメントノードにインストールされ得る。
セグメントノード114は、テストデータのうちのいくつかを訓練データとして再サンプルする再サンプリングモデルエンジン180を使用し得る。再サンプリングモデルは、図2を参照して、より詳細に以下に説明される。セグメントノード114はまた、ユーザによってアクセスされたファイルタイプに基づいてトピックモデルを生成する、トピックモデルエンジン182をも使用し得る。トピックモデルは、図3を参照して、より詳細に以下に説明される。セグメントノード114はまた、パスグラフモデルエンジン184を使用し得る。これは、異常挙動を判定するために、訓練データおよびテストデータからパスグラフを構築する。パスグラフは、図4〜図7を参照して、より詳細に以下に説明される。
このシステムは、ユーザアクセス記録142のテストデータを、異常または非異常として分類するために、モデリングエンジン180、182、および184を使用し得る。テストデータが異常として分類されると、セグメントノード114は、異常挙動通知155を生成し得、たとえば、マスタノード110へ戻すように、システムにおける別のノードへこの通知155を提供し得る。マスタノード110は、その後、この通知を、ユーザデバイス102へ伝搬し得る。
図2は、再サンプリングモデルを使用して、ユーザアクセス記録を異常として分類するための例示的な処理のフローチャートである。一般に、このシステムは、多数回再サンプルした場合、テストデータが、ユーザのアクセス挙動の初期統計モデルの特性的特徴にどれくらい影響を与えたのかを判定する。例示的な処理は、1つまたは複数のコンピュータの、適切にプログラムされたシステムによって実行されるものとして説明されるであろう。
このシステムは、ユーザのアクセス記録を取得する(210)。上述されるように、アクセス記録は、多数の期間の各々の間、どのリソースがユーザによってアクセスされたのかを示す。
このシステムは、ユーザのアクセス記録を示す表示を生成する(220)。いくつかの実施では、この表示は、ベクトルまたは行列であり、このシステムは、いくつかの期間の各々のために、ベクトルを生成する。ベクトルにおける各位置は、主題システムにおけるリソースを表し、ベクトルにおける各値は、主題システムにおけるリソースにユーザがアクセスした回数を表し、これは、ベクトルにおける値の位置に対応する。
このシステムは、訓練データを使用して、初期モデルを生成する(230)。上述されるように、訓練データは、前の期間のためのユーザのアクセス記録を示す表示を含む。
特性を表すための任意の適切な統計モデルは、データセットに注目しているので、このシステムは、初期モデルを生成し得る。いくつかの実施では、システムは、データを行列として表し、ユーザのための訓練データの特性的特徴を示す表示を生成するために、たとえば、特異値分解(SVD)、主成分分析(PCA)、または非負行列因子分解(NMF)のような任意の適切な行列因数分解技術を使用する。
たとえば、このシステムは、訓練データからの、アクセス記録ベクトルの行列Xを生成し得る。このシステムは、その後、Xの主成分を表す行列Tを生成するために、SVDを実行し得る。
このシステムは、訓練データと、多数回サンプルされたテストデータとから、再サンプリングモデルを生成する(240)。テストデータを多数回再サンプルすることは、訓練データとテストデータとの差分を拡大する効果を有する。
たとえば、再サンプリングモデルを生成するためにSVDを使用するのであれば、このシステムは、訓練データのすべてのベクトルと、テストデータのベクトルのN個のインスタンスとを使用し得る。言い換えれば、このシステムは、訓練データのベクトルと、テストデータのベクトルのN個のインスタンスとを含む行列X'を生成し得る。一般に、行列X'は、初期モデルのための行列Xよりも多くの列を含むであろう。このシステムは、その後、X'の主成分を表す行列T'を生成するために、SVDを実行し得る。
このシステムは、初期モデルと再サンプリングモデルとを比較する(250)。このシステムは、たとえば、モデルの特性的特徴間の差分を計算することによって、初期モデルと再サンプリングモデルとがどれくらい異なるのかを判定するために、任意の適切な比較方法を使用し得る。SVDを使用するのであれば、このシステムは、初期モデルTのための主成分と、再サンプリングモデルT'のための主成分との間の角度を計算し得る。
このシステムは、この比較に基づいて、テスト期間におけるユーザ挙動を、異常または非異常として分類する(260)。初期モデルと再サンプリングモデルとの差分は、テストデータが、初期モデルに対して、再サンプリングモデルにおいて、より劇的な効果を有する場合、常に大きくなるであろう。したがって、テストデータは、差分が大きい場合、異常となる可能性が高い。
しかしながら、初期モデルと再サンプリングモデルとの差分が小さいのであれば、テストデータは、訓練データのみから生成される初期モデルに対して、最小のインパクトしか有さない。したがって、テストデータは、異常となる可能性は低い。
したがって、このシステムは、両モデル間の差分が、しきい値を満足するか否かを判定し得、差分がしきい値を満足するのであれば、ユーザ挙動を異常として分類し得る。
図3は、トピックモデルを使用してユーザ挙動を異常として分類するための例示的な処理のフローチャートである。この例示的な処理では、このシステムは、ユーザによってアクセスされたリソースに従うのではなく、ユーザによってアクセスされた関連するファイルタイプのグループに従って、主題システムにおけるユーザの挙動を表す。関連するファイルタイプのグループは、トピックとして表され得、テスト期間中に、ユーザが実質的に異なるファイルタイプにアクセスしたことをテストデータが示すのであれば、このシステムは、ユーザの挙動を異常として分類し得る。この処理は、1つまたは複数のコンピュータの適切にプログラムされたシステムによって実行されるとして説明されるであろう。
このシステムは、主題システムにおいてファイルからトピックを生成する(310)。このシステムは、トピックを生成し得、ここでは、各トピックが、個々のユーザのユーザアクセス記録において頻繁に共起するファイルタイプのグループを表す。典型的には、このシステムは、多くの異なるユーザからのユーザアクセス記録を使用してトピックを生成する。
いくつかの実施では、このシステムは、ファイルのタイプを示すために、ファイルの拡張子を使用する。しかしながら、このシステムは、ファイルタイプを判定するために、システムにおけるファイルに関する他のメタデータを使用し得る。
このシステムは、各ユーザを、ドキュメントとして、および、ユーザによってアクセスされた各ファイルタイプを、ドキュメントにおいて発生する用語として取り扱うことによって、任意の適切なトピックモデリング技術を使用し得る。このシステムは、主題システムにおいてユーザアクセスファイルを表すすべてのユーザアクセス記録にわたって、トピックモデリング技術を使用し得る。この結果は、その後、各々が、頻繁に発生するファイルタイプを表すトピックの数となる。このシステムは、発見された各トピックのためにユニークな識別子を割り当て得る。
たとえば、このシステムは、Latent Dirichlet Allocation(LDA)を使用してK個のトピックを生成し得る。LDAは、入力パラメータとして、トピックの数Kを採用し、K個のトピックの各々のための確率分布を生成する。各確率分布は、トピックに割り当てられたファイルタイプにアクセスしたユーザによってアクセスされている特定のファイルタイプへ、確率を割り当てる。
このシステムは、Kのための候補値にわたって反復することと、モデルの複雑さを計算することとによって、Kのための値を選択し得る。このシステムは、モデルにおけるトピックの数と、モデルの複雑さとをバランスさせるKのための値を選択し得る。
このシステムは、ユーザのアクセス記録を取得する(320)。アクセス記録は、ユーザによってアクセスされた電子ファイルと、ユーザによってアクセスされたファイルのファイルタイプ情報とを示し得る。
このシステムは、ユーザのアクセス記録を示す表示を生成する(330)。このシステムは、いくつかの期間の各々のためのベクトルを生成し得る。ベクトルの各要素は、K個のトピックのうちの1つを表し、ベクトルにおける各値は、対応するトピックの各々に属するファイルタイプへユーザがアクセスした回数を表す。いくつかの実施では、各要素は、対応するトピックの各々に属するファイルタイプにユーザがアクセスした各期間における日の数を表す。
このシステムは、テストデータを再構築するために、訓練データから生成される初期SVDモデルを使用する(340)。上述したように、このシステムは、訓練データと、たとえばSVDまたはPCAのようなテストデータとの特性的特徴を表すために、任意の適切な統計モデルを使用し得る。
このシステムは、同様に、テストデータが訓練データへ多数回追加された場合、初期SVDモデルが、再サンプリングモデルに対してどれくらい変化したのかを判定するために、図2を参照して上述された再サンプリング技術を使用し得る。
いくつかの実施では、このシステムは、モデルを比較するために、特異値分解(SVD)を使用し得る。たとえば、このシステムは、訓練データからの行列Xを生成し得る。ここで、各列は、訓練データにおける期間を表し、各行は、K個のトピックのうちの1つを表す。このシステムは、その後、行列Yを生成するためにSVDを実行し得る。このシステムは、その後、Yから、先頭のk個の右単一列ベクトルVを、訓練期間中、ユーザの挙動を表すものとして選択し得る。
このシステムは、その後、
D=||xi+1-V×(VT×xi+1)||
に従って距離Dを計算することによって、訓練データのベクトルとして表されるテストデータを比較し得る。
このシステムは、この比較に基づいて、テスト期間におけるユーザ挙動を、異常または非異常として分類する(350)。この差分がしきい値を満足するのであれば、このシステムは、ユーザ挙動を異常として分類し得る。そうではない場合、このシステムは、ユーザ挙動を、非異常として分類し得る。
図4は、パスグラフを使用してユーザ挙動を異常として分類するための例示的な処理のフローチャートである。パスグラフは、関連する期間中、主題システムにおけるリソースへユーザがどのようにナビゲートしたのかを示す表示である。テスト期間においてパスグラフが著しく変化するのであれば、このシステムは、ユーザ挙動を異常として分類し得る。この処理は、1つまたは複数のコンピュータの適切にプログラムされたシステムにおって実行されるものとして説明されるであろう。
このシステムは、訓練データを使用して、初期パスグラフを生成する(410)。パスグラフは、主題システムにおいてユーザによってアクセスされたリソース間の関係を表す。
パスグラフは、主題システムにおいてユーザによってアクセスされたリソースを表すノードを含む。たとえば、パスグラフのノードは、ファイルシステムにおけるフォルダおよびファイルを表し得る。パスグラフのノードはまた、主題システムによって維持されたウェブページをも表し得る。
パスグラフは、あるノードから別のノードへアクセスしているユーザを表すための、2つのノード間のリンクを含む。言い換えれば、パスグラフは、第1のノードによって表される第1のリソースを訪問し、その後、第2のノードによって表される第2のリソースを訪問するユーザを表すためのリンクを含む。したがって、これらリンクは、フォルダおよびサブフォルダの関係、ウェブページ間のリンク、ファイルシステムにおける象徴的なリンクまたはショートカット、または、別のリソースからあるリソースへアクセスするための他の任意の適切な方法を表し得る。
図5Aは、初期パスグラフを例示する。この例では、パスグラフのノードは、ファイルシステムにおけるフォルダを表し、リンクは、親フォルダからサブフォルダへアクセスしているユーザを表す。
初期パスグラフは、「ホーム」ディレクトリを表すルートノード510を有する。初期パスグラフはまた、「ホーム」ディレクトリのサブフォルダを表す他のノード520、522、および530を含む。
ノード510とノード520との間のリンクは、ユーザが、「ホーム」ディレクトリを訪問し、その後、「ホーム」ディレクトリから「フォルダB」を訪問したことを表す。同様に、ノード520とノード530との間のリンクは、ユーザが、「フォルダ」ディレクトリから「サブフォルダC」ディレクトリを訪問したことを表す。
したがって、このシステムが、訓練データを使用して初期パスグラフを生成する場合、結果として得られる初期パスグラフは、ユーザによってアクセスされたリソースを表すノードと、ユーザがそれらリソースへどのようにナビゲートしたのかを表すリンクとを含む。
このシステムはまた、初期パスグラフを生成した場合、ユーザのピアからのデータを含み得る。いくつかのインスタンスでは、初期パスグラフを、ユーザのピアからのデータとともに使用することは、異常挙動の誤った肯定的な検出を低減し得る。
ユーザのピアは、一般に、アクセスされたリソースに関して、ユーザとの実質的なオーバラップを有する主題システムにおけるユーザである。たとえば、ユーザのピアは、組織内の同じチームの他のメンバ、または、同じ部署、地域、または会社における他の従業員であり得る。
いくつかの実施では、このシステムは、少なくとも、しきい値量のリソースオーバラップを有する他のユーザを識別することによって、ユーザのピアを判定する。言い換えれば、このシステムは、他のどのユーザが、考慮されたユーザと同様に、たとえば、同じリソースの少なくとも10%、50%、または80%のように、少なくともしきい値量のリソースへアクセスしたのかを計算するために、主題システムにおけるすべてのユーザのための訓練データを使用する。
このシステムはまた、主題システムを所有する組織のための組織データを使用し得る。たとえば、このシステムは、同じチームまたは部署の一部であるユーザを、ピアとして指定し得る。このシステムはまた、組織内の同じまたは類似の役割を有するユーザを、ピアであるべきと指定し得る。
ユーザのピアを識別した後、このシステムは、ユーザおよび、ユーザのピアのすべてのための訓練データを使用して、初期パスグラフを生成し得る。
図4に図示されるように、このシステムは、テストデータを使用して、テストパスグラフを生成する(420)。テストパスグラフは、テストデータから生成されたパスグラフである。上述されるように、テストデータは、最も直近の期間中、ユーザによってアクセスされたリソースを表し得る。したがって、テストパスグラフは、テストデータによって表される期間中、ユーザが、主題システムにおけるリソースへどのようにナビゲートしたのかを表す。
図5Bは、例示的なテストパスグラフを例示する。テストパスグラフは、2つの新たなノードであるノード540および542と、破線によって表される、対応する新たなリンクとを含む。新たなノード540および542は、テスト期間中、ユーザによってアクセスされるリソースを表すが、訓練期間中は表さない。
図4に図示されるように、このシステムは、初期パスグラフをテストパスグラフと比較する(430)。このシステムは、初期パスグラフをテストパスグラフと比較するために様々な方法を使用し得る。一般に、このシステムは、初期パスグラフとテストパスグラフとの間のオーバラップの尺度を計算する。初期パスグラフと著しくオーバラップするテストパスグラフは、正常なユーザ挙動を示す。一方、初期パスグラフとオーバラップせず、多くのノードおよびエッジを有するテストパスグラフは、異常的なユーザ挙動を示す。
たとえば、このシステムは、
Figure 0006661768
に従って、初期パスグラフG1と、テストパスグラフG2との間のジャカール距離Dを計算し得る。ここで、
Figure 0006661768
は、G1におけるノードのセットと、G2におけるノードのセットとの交差の濃度を表し、
Figure 0006661768
は、G1におけるノードのセットと、G2におけるノードのセットとの結合の濃度を表す。
いくつかの実施では、このシステムは、リソースへの重みに従って、重み付けられたジャカール距離を計算する。このシステムは、様々な要因に基づいて、リソースへ重みを割り当て得る。たとえば、このシステムは、たとえば、機密の企業または従業員データのような機密情報を含むリソースへ、より高い重みを割り当て得る。したがって、異常挙動の検出は、より高い重みを有するフォルダにアクセスしているユーザに対して、より感度が高くなる。
このシステムはまた、階層的なリソースの関係に基づいて、重みを割り当て得る。たとえば、リソースが、フォルダおよびサブフォルダを表すのであれば、このシステムは、フォルダのサブフォルダよりも、フォルダへ、より高い重みを割り当て得る。これは、異常挙動の検出を、ユーザがすでにアクセスしたフォルダの新たなサブフォルダにユーザが単にアクセスした状況に対して、より感度を低くする。いくつかの実施では、このシステムは、第1の重みを、階層におけるしきい値数のレベルよりも上にあるすべてのリソースへ割り当て、より小さな第2の重みを、他のすべてのリソースへ割り当てる。たとえば、このシステムは、第1の重みを、ファイルシステムのルートディレクトリと、ルートディレクトリの下方最大3レベルのすべてのディレクトリとに割り当て得る。他のすべてのサブフォルダについて、このシステムは、第2の重みを割り当て得る。
このシステムはまた、このシステムにおけるリソースの世代に基づいて重みを割り当て得る。いくつかの状況では、異常挙動は、古いリソースよりも、新たに生成されたリソースを含む可能性がより高い。したがって、このシステムは、新たなリソースへ割り当てられる重みを増加させ得、リソースが古くなると、リソースのための重みを減少させ得る。
このシステムはまた、主題システムにおけるリソースの人気の尺度に基づいて、重みを割り当て得る。たとえば、このシステムは、主題システムにおいて、多くのユーザによってアクセスされた人気のあるリソースへ割り当てられる重みを低下させ得る。このシステムは同様に、たとえば、人気のあるフォルダのサブフォルダのように、人気のあるリソースのすべての子リソースの重みを低下させ得る。
システムにおけるリソースへ重みを割り当てた後、このシステムは、
Figure 0006661768
に従って、重み付けられたジャカール距離WDを計算し得る。ここで、分子項は、G1とG2との交差において発生するすべてのノードのための重みの総和を表し、分母項は、G2において発生するすべてのノードのための重みの総和を表す。
このシステムは、この比較に基づいて、テスト期間におけるユーザ挙動を、異常または非異常として分類する(440)。初期パスグラフとテストパスグラフとの間の計算された距離が、大きいのであれば、ユーザ挙動は、異常である可能性がより高い。計算された距離が小さいのであれば、ユーザ挙動は、異常である可能性がより低い。したがって、このシステムは、計算された距離がしきい値を満足するのであれば、ユーザ挙動を異常として分類し得る。
異常イベントは典型的に、主題システムの法医学チームによるフォローアップを必要とする。したがって、このシステムは、異常ケースを調査するために、このチームの予期される有用性に基づいて、各テスト期間のためのしきい値を調節し得る。
たとえば、図5Aに例示される初期パスグラフと、図5Bに例示されるテストパスグラフとの間のジャカール距離は、比較的低い0.333である。したがって、このシステムは、ユーザ挙動が異常であると考慮しないことがあり得る。
図5Cは、別の例示的なテストパスグラフを例示する。テストパスグラフは、6つの新たなノード540、542、544、550、552、および554と、破線によって表される対応する新たなリンクとを含む。
図5Aに例示された初期パスグラフと、図5Cに例示されたテストパスグラフとの間のジャカール距離は、比較的高い0.6である。したがって、このシステムは、ユーザ挙動が異常であると考慮し得る。
図6は、主題システムにおいて、最も人気のあるリソースを判定するための例示的な処理のフローチャートである。このシステムは、異常またはそうではないユーザ挙動の判定を行う場合、どのリソースが人気があるのかを考慮し得る。別の方法で人気があるリソースへアクセスすることを除いて、ユーザの挙動が正常であれば、システムは、ユーザ挙動が、異常であるとフラグすることを回避する。この処理は、1つまたは複数のコンピュータの適切にプログラムされたシステムによって実行されるとして説明されるであろう。
このシステムは、ハイブリッドユーザ/リソースグラフを生成する(610)。ハイブリッドグラフは、2つのタイプのノード、すなわち、ユーザを表すユーザノードと、主題システムにおけるリソースを表すリソースノードとを有する。ハイブリッドグラフはまた、2つのタイプの対応するリンク、すなわち、主題システムにおけるリソースの構造を表すリソース-リソースリンクと、主題システムにおけるリソースにアクセスしているユーザを表すユーザ-リソースリンクとを有する。
図7は、例示的なハイブリッドグラフを例示する。ハイブリッドグラフは、図5Aに図示される例示的なグラフと同じリソース構造を有し、ファイルシステムにおけるフォルダを表す4つのリソースノード710、720、722、および730を有する。
ハイブリッドグラフは、リソースノード間のリソース-リソースリンクを有する。これは、システムにおけるリソースの構造を表す。この例では、リソース-リソースリンクは、ディレクトリ取り込みを表す。
ハイブリッドグラフはまた、システムにおける異なるユーザを表す2つのユーザノード760および762を含む。ハイブリッドグラフは、各ユーザがどのリソースにアクセスしたのかを表すユーザ-リソースリンクを有する。
この例では、ホームフォルダは、他のフォルダよりもより多くのユーザによってアクセスされたので、ユーザ-リソースリンクは、ホームフォルダが、他のフォルダよりもより人気のあることを示す可能性が高い。
図6に図示されるように、このシステムは、ハイブリッドグラフに従って、このシステムにおけるリソースのためのスコアを計算する(620)。一般に、このスコアは、グラフによって表される関係に基づいて、このシステムにおけるリソースのための人気の尺度を表す。したがって、より多くのユーザによってアクセスされたリソースは、より高いスコアを有し、より少ないユーザによってアクセスされたリソースは、より低いスコアを有するであろう。
いくつかの実施では、このシステムは、ノードにおいて終了するリソース-リソースリンクを介してランダムナビゲーションを実行するユーザの可能性を表す第1の成分と、子ノードの親ノードによって表されるリソースから、子ノードによって表されるリソースに達するユーザの可能性を表す第2の成分とを有するスコアを計算する。
このシステムは、以下の式に従って、各ノードS(i)のスコアを反復的に計算し得る。
Figure 0006661768
ここで、各ノードjは、別のユーザノード、または、ノードiへのリンクを有する別のリソースノードを表し、Nは、ハイブリッドグラフにおけるノードの数であり、dは、減衰率である。どのような出射端をも有さないノードについて、システムは、グラフにおけるN個のすべてのノード間に等しくスコアを分配し得る。
このシステムは、最も高いスコアを有するリソースノードを選択する(630)。このシステムは、計算されたスコアによって、リソースノードをランク付けし得、最も高くランク付けされたリソースノードを、このシステムにおいて最も人気のあるノードとして選択し得る。このシステムは、最も高くランク付けされたリソースノードのうち、あらかじめ決定された数のリソースノードを選択し得るか、または、あるいは、このシステムは、しきい値を満足するスコアを有するすべてのリソースノードを選択し得る。
このシステムは、選択されたリソースノードへのパスを、すべての初期パスグラフへ追加する(640)。最も人気のあるノードを判定した後、このシステムは、最も人気のあるノードのすべてへのパスを、主題システムにおけるすべてのユーザのための初期パスグラフへ追加し得る。そうすることによって、このシステムは、あたかもユーザが、最も人気のあるフォルダの各々にアクセスしたかのように、各ユーザを取り扱う。ピアベースのアプローチを使用する場合、このシステムは、あたかもユーザのピアが、最も人気のあるフォルダの各々にアクセスしたかのように、ユーザのピアの各々を取り扱う。
最も人気のあるフォルダへパスを追加することによって、ユーザが頻繁に訪問しないフォルダであるものの、逆にこのシステムにおけるユーザの間で人気のあるフォルダに、ユーザが訪問することによって生成される、誤った肯定の量を、このシステムは低減し得る。
この明細書において説明された主題および機能的工程の実施形態は、デジタル電子回路において、有形的に具体化されたコンピュータソフトウェアまたはファームウェアにおいて、この明細書において開示された構成およびその構成的等価物を含むコンピュータハードウェアにおいて、または、それらのうちの1つまたは複数の組合せにおいて実施され得る。この明細書において説明された主題の実施形態は、データ処理装置による実行のために、または、データ処理装置の工程を制御するために、有形の非一時的なプログラムキャリアにおいてエンコードされた、1つまたは複数のコンピュータプログラム、すなわち、コンピュータプログラム命令の1つまたは複数のモジュールとして実施され得る。あるいは、または、それに加えて、プログラム命令は、データ処理装置による実行のために、適切な受信機装置への送信のための情報をエンコードするために生成された、たとえば、マシンによって生成された電気、光、または電磁信号のような人工的に生成された伝搬信号においてエンコードされ得る。コンピュータ記憶媒体は、マシン読取可能な記憶デバイス、マシン読取可能な記憶基板、ランダムまたはシリアルなアクセスメモリデバイス、または、これらのうちの1つまたは複数の組合せであり得る。しかしながら、コンピュータ記憶媒体は、伝搬された信号ではない。
「データ処理装置」という用語は、例によれば、プログラマブルプロセッサ、コンピュータ、または、マルチプロセッサまたはコンピュータを含む、データを処理するためのすべての種類の装置、デバイス、およびマシンを包含する。装置は、専用論理回路、たとえば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)を含み得る。装置はまた、ハードウェアに加えて、問題となっているコンピュータプログラムのための実行環境を生成するコード、たとえば、プロセッサファームウェア、プロトコルスタック、データベース管理システム、オペレーティングシステム、または、これらの1つまたは複数の組合せを構成するコードを含み得る。
(プログラム、ソフトウェア、ソフトウェアアプリケーション、モジュール、ソフトウェアモジュール、スクリプト、またはコードとしても称され得るか、または説明される)コンピュータプログラムは、コンパイルまたはインタプリタされた言語、または、宣言型または手続型言語を含む任意の形態のプログラミング言語で記述され得、スタンドアロンプログラムとして、または、モジュール、構成要素、サブルーチン、またはコンピューティング環境における使用のために適切な他のユニットを含む任意の形態で展開され得る。コンピュータプログラムは、ファイルシステムにおけるファイルに対応し得るが、対応する必要はない。プログラムは、たとえば、マークアップ言語ドキュメントに記憶された1つまたは複数のスクリプトのように、他のプログラムまたはデータを保持するファイルの一部に、問題となっているプログラムに専用の単一のファイルに、または、たとえば、1つまたは複数のモジュール、サブプログラム、または、コードの一部を記憶するファイルのような、多数の調整されたファイルに記憶され得る。コンピュータプログラムは、1つのコンピュータにおいて、または、1つのサイトにおいて配置された、または、多数のサイトにわたって分散され、通信ネットワークによって相互接続された多数のコンピュータにおいて実行されるように展開され得る。
この明細書において使用されるように、「エンジン」または「ソフトウェアエンジン」は、入力とは異なる出力を提供する、ソフトウェアによって実施される入力/出力システムを称する。エンジンは、ライブラリ、プラットフォーム、ソフトウェア開発キット(「SDK」)、またはオブジェクトのような、エンコードされた機能のブロックであり得る。各エンジンは、たとえば、サーバ、モバイル電話、タブレットコンピュータ、ノートブックコンピュータ、音楽プレーヤ、電子ブックリーダ、ラップトップまたはデスクトップコンピュータ、PDA、スマートフォン、または、他の固定式またはポータブルデバイスのように、1つまたは複数のプロセッサおよびコンピュータ読取可能な媒体を含む、任意の適切なタイプのコンピューティングデバイスにおいて実施され得る。それに加えて、これらエンジンのうちの2つ以上は、同じコンピューティングデバイスにおいて、または、異なるコンピューティングデバイスにおいて実施され得る。
この明細書において説明された処理および論理フローは、入力データに対して動作し、出力を生成することによって、機能を実行するために、1つまたは複数のコンピュータプログラムを実行する1つまたは複数のプログラマブルコンピュータによって実行され得る。処理および論理フローはまた、たとえば、FPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途向け集積回路)のような、専用論理回路によって実行され得、装置はまた、たとえば、FPGAまたはASICのような、専用論理回路によって実施され得る。
コンピュータプログラムの実行のために適切なコンピュータは、汎用または専用のマイクロプロセッサ、または、その両方、または、他の任意の種類の中央処理装置を含み、例によれば、汎用または専用のマイクロプロセッサ、または、その両方、または、他の任意の種類の中央処理装置に基づき得る。一般に、中央処理装置は、読取専用メモリまたはランダムアクセスメモリまたはこれら両方から命令およびデータを受信するであろう。コンピュータの必須要素は、命令を実行または実施するための中央処理装置と、命令およびデータを記憶するための1つまたは複数のメモリデバイスである。一般に、コンピュータはまた、たとえば磁気、磁気光ディスク、または光ディスクのように、データを記憶するための1つまたは複数の大容量デバイスを含むか、または、これらからデータを受信またはこれらへのデータの伝送、またはその両方のために動作可能に結合されるであろう。しかしながら、コンピュータは、そのようなデバイスを有する必要はない。その上、コンピュータは、いくつか名前を挙げると、たとえば、モバイル電話、携帯情報端末(PDA)、モバイルオーディオまたはビデオプレーヤ、ゲーム機、全地球測位システム(GPS)受信機、または、たとえばユニバーサルシリアルバス(USB)フラッシュドライブのようなポータブル記憶デバイスのような別のデバイスに埋め込まれ得る。
コンピュータプログラム命令およびデータを記憶するために適切なコンピュータ読取可能な媒体は、例によれば、たとえば、EPROM、EEPROM、およびフラッシュメモリデバイスのような半導体メモリデバイスと、たとえば、内部ハードディスクまたはリムーバブルディスクのような磁気ディスクと、磁気光ディスクと、CD ROMディスクおよびDVD-ROMディスクとを含む、すべての形態の不揮発性メモリ、媒体およびメモリデバイスを含む。プロセッサおよびメモリは、専用論理回路によって補強され得るか、または、専用論理回路へ組み込まれ得る。
ユーザとのインタラクションを提供するために、この明細書において説明された主題の実施形態は、たとえば、CRT(陰極放電管)モニタ、LCD(液晶ディスプレイ)モニタ、またはOLEDディスプレイのように、ユーザへ情報を表示するためのディスプレイデバイスのみならず、たとえば、キーボード、マウス、または、存在検知ディスプレイまたは他の面のように、コンピュータへ入力を提供するための入力デバイスをも有するコンピュータにおいて実施され得る。他の種類のデバイスもまた、ユーザとのインタラクションを提供するために使用され得、たとえば、ユーザへ提供されるフィードバックは、たとえば、視覚的フィードバック、聴覚的フィードバック、または触覚的フィードバックのような任意の形態の知覚的フィードバックであり得、ユーザからの入力は、音響、発話、または触覚入力を含む任意の形態で受信され得る。それに加えて、たとえば、ウェブブラウザから受信したリクエストに応じて、ユーザのクライアントデバイスにおけるウェブブラウザへウェブページを送信することによって、コンピュータは、ユーザによって使用されるデバイスへリソースを送信し、このデバイスからリソースを受信することによって、ユーザとインタラクトし得る。
この明細書において説明された主題の実施形態は、たとえばデータサーバのようなバックエンド構成要素を含む、または、たとえばアプリケーションサーバのようなミドルウェア構成要素を含む、または、たとえば、この明細書において説明された主題の実施とユーザがインタラクトし得るグラフィックユーザインターフェースまたはウェブブラウザを有するクライアントコンピュータのようなフロントエンド構成要素、または、1つまたは複数のそのようなバックエンド構成要素、ミドルウェア構成要素、またはフロントエンド構成要素の任意の組合せを含む、コンピューティングシステムにおいて実施され得る。システムの構成要素は、たとえば通信ネットワークのようなデジタルデータ通信の任意の形態または媒体によって相互接続され得る。通信ネットワークの例は、ローカルエリアネットワーク(「LAN」)と、たとえばインターネットのような広域ネットワーク(「WAN」)とを含む。
コンピューティングシステムは、クライアントおよびサーバを含み得る。クライアントおよびサーバは、一般に、互いに離れており、典型的には、通信ネットワークを介してインタラクトする。クライアントとサーバとの関係は、それぞれのコンピュータにおいて起動し、互いにクライアント-サーバ関係を有している、コンピュータプログラムによって生じる。
この明細書は、多くの具体的な実施詳細を含んでいるが、これらは、任意の発明の、または、特許請求され得るものの範囲に対する限定としてではなく、特定の発明の特定の実施形態に特有であり得る特徴の説明として解釈されるべきである。個別の実施形態のコンテキストにおいてこの明細書において説明されているいくつかの特徴はまた、単一の実施形態における組合せにおいても実施され得る。逆に、単一の実施形態のコンテキストにおいて説明されている様々な特徴はまた、多数の実施形態において個別に、または、任意の適切な部分組合せにおいても実施され得る。その上、特徴は、いくつかの組合せにおいて動作するものとして上述され得、そのようなものとして最初に特許請求されているが、特許請求された組合せからの1つまたは複数の特徴が、いくつかのケースでは、組合せから削除され得、特許請求された組合せは、部分組合せまたは部分組合せの変形を対象とされ得る。
同様に、工程は、特定の順序で図面に描写されているが、これは、所望される結果を達成するために、そのような工程が、図示された特定の順序または順番で実行されることも、または、例示されたすべての工程が実行されることも、必要としているとして理解されるべきではない。いくつかの環境では、マルチタスクおよび並列処理が有利であり得る。その上、上述された実施形態における様々なシステムモジュールおよび構成要素の分離は、すべての実施形態においてそのような分離を必要としているとして理解されるべきではなく、説明されたプログラム構成要素およびシステムは、一般に、単一のソフトウェア製品にともに統合され得るか、または、多数のソフトウェア製品へパッケージされ得ることが理解されるべきである。
主題の特定の実施形態が説明された。他の実施形態は、以下の特許請求の範囲内である。たとえば、特許請求の範囲に記述された動作は、異なる順序で実行され得、なお、所望される結果を達成し得る。一例として、添付図面に描写された処理は、所望される結果を達成するために、必ずしも、図示された特定の順序、または順番を必要とする訳ではない。いくつかの実施では、マルチタスクおよび並列処理が有利であり得る。
100 異常検出システム
102 ユーザデバイス
110 マスタノード
114 セグメントノード
114a セグメントノード
114b セグメントノード
114n セグメントノード
132a 第1の記憶サブシステム
132b 第2の記憶サブシステム
132n 第Nの記憶サブシステム
142 ユーザアクセス記録
142a アクセス記録
142b アクセス記録
142n アクセス記録
145 ユーザID
155 異常挙動通知
180 再サンプリングモデルエンジン
182 トピックモデルエンジン
184 パスグラフモデルエンジン
510 ルートノード
520 他のノード
522 他のノード
530 他のノード
540 新たなノード
542 新たなノード
544 新たなノード
550 新たなノード
552 新たなノード
554 新たなノード
710 リソースノード
720 リソースノード
722 リソースノード
730 リソースノード
760 ユーザノード
762 ユーザノード

Claims (18)

  1. コンピュータによって実施される方法であって、
    主題システムにおいてユーザの挙動を表すユーザ挙動データを取得するステップであって、前記ユーザ挙動データは、前記主題システムにおいて前記ユーザによってアクセスされた1つまたは複数のリソースと、前記ユーザによってアクセスされた各リソースについて、前記リソースがいつアクセスされたのかとを示す、ステップと、
    前記ユーザ挙動データからテストデータを生成するステップであって、前記テストデータは、テスト期間中、前記ユーザによってアクセスされたリソースを示す第1の表示を備える、ステップと、
    前記ユーザ挙動データから訓練データを生成するステップであって、前記訓練データは、前記テスト期間の前の多数の期間の各々において、前記ユーザによってアクセスされたリソースを示すそれぞれの第2の表示を備える、ステップと、
    前記訓練データから初期パスグラフを生成するステップであって、前記初期パスグラフは、前記訓練データによって表される1つまたは複数の期間中に前記主題システムにおいて前記ユーザによってアクセスされたリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記ユーザが複数のリソースにどのようにナビゲートしたのかを表す前記テストデータからテストパスグラフを生成するステップであって、前記テストパスグラフは、前記テスト期間中に前記主題システムにおいて前記ユーザによってアクセスされるリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記初期パスグラフと前記テストパスグラフとの差分を計算するステップと、
    前記初期パスグラフと前記テストパスグラフとの前記差分に基づいて、前記テスト期間における前記ユーザによる前記ユーザ挙動を異常として分類するステップと
    を備え
    前記初期パスグラフと前記テストパスグラフとの前記差分を計算するステップは、
    前記初期パスグラフおよび前記テストパスグラフにおけるノードによって表されるリソースに関連付けられた重みを取得するステップと、
    前記初期パスグラフと前記テストパスグラフとの間の重み付けられたジャカール距離を計算するステップであって、前記重み付けられたジャカール距離は、前記初期パスグラフと前記テストパスグラフとの交差において発生するすべてのノードのための重みの総和と、前記テストパスグラフにおいて発生するすべてのノードのための重みの総和とに基づく、ステップと
    を備える、方法。
  2. 前記ユーザ挙動データは、各々が、ファイルシステムにおいて前記ユーザによってアクセスされたフォルダまたはファイルを表すユーザアクセス記録を備える、請求項1に記載の方法。
  3. 前記初期パスグラフを生成するステップは、前記主題システムにおいて、前記ユーザの訓練データと、前記ユーザの1つまたは複数のピアの訓練データとから、前記初期パスグラフを生成するステップを備える、請求項1に記載の方法。
  4. 前記訓練データによって表される前記期間中、前記ユーザと同じように、少なくともしきい値数のリソースへアクセスした1人または複数の他のユーザを前記主題システムにおいて判定するステップと、
    前記主題システムにおいて、前記1人または複数の他のユーザを、前記ユーザのピアとして指定するステップとをさらに備える、請求項3に記載の方法。
  5. 前記初期パスグラフと前記テストパスグラフとの前記差分を計算するステップは、前記初期パスグラフと前記テストパスグラフとの間のジャカール距離を計算するステップを備え、前記ジャカール距離は、前記初期パスグラフと前記テストパスグラフとの間の交差ノードの濃度と、前記初期パスグラフと前記テストパスグラフとの間のノードの結合の濃度とに基づく、請求項1に記載の方法。
  6. 前記主題システムにおけるフォルダのサブフォルダよりも、前記主題システムにおける前記フォルダへ、より高い重みを割り当てるステップをさらに備える、請求項1に記載の方法。
  7. 前記リソースの階層における、しきい値数のレベルよりも上にある前記主題システムにおけるすべてのリソースへ同じ重みを割り当てるステップをさらに備える、請求項1に記載の方法。
  8. 前記重みは、前記リソースの人気の尺度に基づく、請求項1に記載の方法。
  9. ハイブリッドグラフを生成するステップであって、前記ハイブリッドグラフは、前記システムにおけるユーザを表すユーザノードと、前記システムにおけるリソースを表すリソースノードとを備え、前記ハイブリッドグラフは、各ユーザ-リソースリンクが前記システムにおけるリソースにアクセスするそれぞれのユーザを表すユーザ-リソースリンクと、各リソース-リソースリンクが前記システムにおけるリソースの構成を表すリソース-リソースリンクとを含む、ステップと、
    前記ハイブリッドグラフに従って、前記システムにおける1つまたは複数のリソースの人気の尺度を計算するステップと、
    最も高い人気の尺度を有する1つまたは複数のノードを選択するステップと、
    前記最も高い人気の尺度を有する前記1つまたは複数のノードの各々へのパスを、前記ユーザのための前記初期パスグラフへ追加するステップと
    をさらに備える、請求項8に記載の方法。
  10. システムであって、
    1つまたは複数のコンピュータと、
    前記1つまたは複数のコンピュータに、
    主題システムにおいてユーザの挙動を表すユーザ挙動データを取得するステップであって、前記ユーザ挙動データは、前記主題システムにおいて前記ユーザによってアクセスされた1つまたは複数のリソースと、前記ユーザによってアクセスされた各リソースについて、前記リソースがいつアクセスされたのかとを示す、ステップと、
    前記ユーザ挙動データからテストデータを生成するステップであって、前記テストデータは、テスト期間中、前記ユーザによってアクセスされたリソースを示す第1の表示を備える、ステップと、
    前記ユーザ挙動データから訓練データを生成するステップであって、前記訓練データは、前記テスト期間の前の多数の期間の各々において、前記ユーザによってアクセスされたリソースを示すそれぞれの第2の表示を備える、ステップと、
    前記訓練データから初期パスグラフを生成するステップであって、前記初期パスグラフは、前記訓練データによって表される1つまたは複数の期間中に前記主題システムにおいて前記ユーザによってアクセスされたリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記ユーザが複数のリソースにどのようにナビゲートしたのかを表す前記テストデータからテストパスグラフを生成するステップであって、前記テストパスグラフは、前記テスト期間中に前記主題システムにおいて前記ユーザによってアクセスされるリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記初期パスグラフと前記テストパスグラフとの差分を計算するステップと、
    前記初期パスグラフと前記テストパスグラフとの前記差分に基づいて、前記テスト期間における前記ユーザによる前記ユーザ挙動を異常として分類するステップと
    を備え、
    前記初期パスグラフと前記テストパスグラフとの前記差分を計算するステップは、
    前記初期パスグラフおよび前記テストパスグラフにおけるノードによって表されるリソースに関連付けられた重みを取得するステップと、
    前記初期パスグラフと前記テストパスグラフとの間の重み付けられたジャカール距離を計算するステップであって、前記重み付けられたジャカール距離は、前記初期パスグラフと前記テストパスグラフとの交差において発生するすべてのノードのための重みの総和と、前記テストパスグラフにおいて発生するすべてのノードのための重みの総和とに基づく、ステップと
    を具備する動作を実行させるように動作可能な命令を格納する1つまたは複数の格納デバイスと
    を具備するシステム。
  11. 前記ユーザ挙動データは、各々が、ファイルシステムにおいて前記ユーザによってアクセスされたフォルダまたはファイルを表すユーザアクセス記録を備える、請求項10に記載のシステム。
  12. 前記初期パスグラフを生成するステップは、前記主題システムにおいて、前記ユーザの訓練データと、前記ユーザの1つまたは複数のピアの訓練データとから、前記初期パスグラフを生成するステップを備える、請求項10に記載のシステム。
  13. 前記動作は、
    前記訓練データによって表される前記期間中、前記ユーザと同じように、少なくともしきい値数のリソースへアクセスした1人または複数の他のユーザを前記主題システムにおいて判定するステップと、
    前記主題システムにおいて、前記1人または複数の他のユーザを、前記ユーザのピアとして指定するステップと
    をさらに備える、請求項12に記載のシステム。
  14. 前記初期パスグラフと前記テストパスグラフとの前記差分を計算するステップは、前記初期パスグラフと前記テストパスグラフとの間のジャカール距離を計算するステップを備え、前記ジャカール距離は、前記初期パスグラフと前記テストパスグラフとの間の交差ノードの濃度と、前記初期パスグラフと前記テストパスグラフとの間のノードの結合の濃度とに基づく、請求項10に記載のシステム。
  15. 前記動作は、前記主題システムにおけるフォルダのサブフォルダよりも、前記主題システムにおける前記フォルダへ、より高い重みを割り当てるステップをさらに備える、請求項10に記載のシステム。
  16. 前記動作は、前記リソースの階層における、しきい値数のレベルよりも上にある前記主題システムにおけるすべてのリソースへ同じ重みを割り当てるステップをさらに備える、請求項10に記載のシステム。
  17. 前記動作は、
    ハイブリッドグラフを生成するステップであって、前記ハイブリッドグラフは、前記システムにおけるユーザを表すユーザノードと、前記システムにおけるリソースを表すリソースノードとを備え、前記ハイブリッドグラフは、各ユーザ-リソースリンクが前記システムにおけるリソースにアクセスするそれぞれのユーザを表すユーザ-リソースリンクと、各リソース-リソースリンクが前記システムにおけるリソースの構成を表すリソース-リソースリンクとを含む、ステップと、
    前記ハイブリッドグラフに従って、前記システムにおける1つまたは複数のリソースの人気の尺度を計算するステップと、
    最も高い人気の尺度を有する1つまたは複数のノードを選択するステップと、
    前記最も高い人気の尺度を有する前記1つまたは複数のノードの各々へのパスを、前記ユーザのための前記初期パスグラフへ追加するステップと
    をさらに備える、請求項10に記載のシステム。
  18. コンピュータプログラム命令でエンコードされた1つまたは複数の非一時的コンピュータ記憶媒体であって、前記コンピュータプログラム命令は、1つまたは複数のコンピュータにより実行されると、前記1つまたは複数のコンピュータに、
    主題システムにおいてユーザの挙動を表すユーザ挙動データを取得するステップであって、前記ユーザ挙動データは、前記主題システムにおいて前記ユーザによってアクセスされた1つまたは複数のリソースと、前記ユーザによってアクセスされた各リソースについて、前記リソースがいつアクセスされたのかとを示す、ステップと、
    前記ユーザ挙動データからテストデータを生成するステップであって、前記テストデータは、テスト期間中、前記ユーザによってアクセスされたリソースを示す第1の表示を備える、ステップと、
    前記ユーザ挙動データから訓練データを生成するステップであって、前記訓練データは、前記テスト期間の前の多数の期間の各々において、前記ユーザによってアクセスされたリソースを示すそれぞれの第2の表示を備える、ステップと、
    前記訓練データから初期パスグラフを生成するステップであって、前記初期パスグラフは、前記訓練データによって表される1つまたは複数の期間中に前記主題システムにおいて前記ユーザによってアクセスされたリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記ユーザが複数のリソースにどのようにナビゲートしたのかを表す前記テストデータからテストパスグラフを生成するステップであって、前記テストパスグラフは、前記テスト期間中に前記主題システムにおいて前記ユーザによってアクセスされるリソースを表すノードと、ノードの1つまたは複数のペア間のリンクとを備え、ノードの各ペア間の各リンクは、前記ユーザが、前記ペアの第1のノードによって表される第1のリソースへアクセスし、次に前記ペアの第2のノードによって表される第2のリソースにナビゲートしたことを表す、ステップと、
    前記初期パスグラフと前記テストパスグラフとの差分を計算するステップと、
    前記初期パスグラフと前記テストパスグラフとの前記差分に基づいて、前記テスト期間における前記ユーザによる前記ユーザ挙動を異常として分類するステップと
    を備え、
    前記初期パスグラフと前記テストパスグラフとの前記差分を計算するステップは、
    前記初期パスグラフおよび前記テストパスグラフにおけるノードによって表されるリソースに関連付けられた重みを取得するステップと、
    前記初期パスグラフと前記テストパスグラフとの間の重み付けられたジャカール距離を計算するステップであって、前記重み付けられたジャカール距離は、前記初期パスグラフと前記テストパスグラフとの交差において発生するすべてのノードのための重みの総和と、前記テストパスグラフにおいて発生するすべてのノードのための重みの総和とに基づく、ステップと
    を具備する動作を実行させる、非一時的コンピュータ記憶媒体。
JP2018525505A 2015-07-27 2016-07-27 ユーザ挙動を異常として分類すること Active JP6661768B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/810,328 2015-07-27
US14/810,328 US10430721B2 (en) 2015-07-27 2015-07-27 Classifying user behavior as anomalous
PCT/US2016/044198 WO2017019735A1 (en) 2015-07-27 2016-07-27 Classifying user behavior as anomalous

Publications (2)

Publication Number Publication Date
JP2018523885A JP2018523885A (ja) 2018-08-23
JP6661768B2 true JP6661768B2 (ja) 2020-03-11

Family

ID=56609977

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018525505A Active JP6661768B2 (ja) 2015-07-27 2016-07-27 ユーザ挙動を異常として分類すること

Country Status (6)

Country Link
US (4) US10430721B2 (ja)
EP (1) EP3329411B1 (ja)
JP (1) JP6661768B2 (ja)
CN (1) CN108140075B (ja)
AU (2) AU2016298250B2 (ja)
WO (1) WO2017019735A1 (ja)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134630A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US9542650B2 (en) 2013-03-01 2017-01-10 RedOwl Analytics, Inc. Analyzing behavior in light of social time
US10791131B2 (en) * 2015-05-28 2020-09-29 Hewlett Packard Enterprise Development Lp Processing network data using a graph data structure
US10037425B2 (en) * 2015-08-26 2018-07-31 Symantec Corporation Detecting suspicious file prospecting activity from patterns of user activity
US9942252B1 (en) * 2015-09-08 2018-04-10 EMC IP Holding Co. LLC Graph-based techniques for detecting coordinated network attacks
US9888007B2 (en) * 2016-05-13 2018-02-06 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network using identity services
US11030673B2 (en) 2016-07-28 2021-06-08 International Business Machines Corporation Using learned application flow to assist users in network business transaction based apps
US11222270B2 (en) 2016-07-28 2022-01-11 International Business Machiness Corporation Using learned application flow to predict outcomes and identify trouble spots in network business transactions
US10210283B2 (en) 2016-09-28 2019-02-19 International Business Machines Corporation Accessibility detection and resolution
US10187369B2 (en) 2016-09-30 2019-01-22 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph
US10250583B2 (en) 2016-10-17 2019-04-02 Idm Global, Inc. Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score
US10320819B2 (en) * 2017-02-27 2019-06-11 Amazon Technologies, Inc. Intelligent security management
US10965668B2 (en) 2017-04-27 2021-03-30 Acuant, Inc. Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10803178B2 (en) 2017-10-31 2020-10-13 Forcepoint Llc Genericized data model to perform a security analytics operation
US11188917B2 (en) * 2018-03-29 2021-11-30 Paypal, Inc. Systems and methods for compressing behavior data using semi-parametric or non-parametric models
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11025638B2 (en) 2018-07-19 2021-06-01 Forcepoint, LLC System and method providing security friction for atypical resource access requests
CN108984791A (zh) * 2018-08-02 2018-12-11 苏州市千尺浪信息科技服务有限公司 一种基于区块链大数据的存储***
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
CN109413036B (zh) * 2018-09-12 2022-02-08 全球能源互联网研究院有限公司 敏感信息异常流出监测方法、装置和服务器
US11048807B2 (en) * 2018-09-12 2021-06-29 International Business Machines Corporation Protecting data security with hierarchical authorization analysis
CN109299592B (zh) * 2018-09-29 2021-08-10 武汉极意网络科技有限公司 人机行为特征边界构建方法、***、服务器及存储介质
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
CN109753906B (zh) * 2018-12-25 2022-06-07 西北工业大学 基于域迁移的公共场所异常行为检测方法
JP2021015421A (ja) * 2019-07-11 2021-02-12 富士通株式会社 情報処理プログラム、情報処理方法および情報処理装置
US11736503B2 (en) 2019-10-22 2023-08-22 Salesforce, Inc. Detection of anomalous lateral movement in a computer network
CN111104979B (zh) * 2019-12-18 2023-08-01 北京思维造物信息科技股份有限公司 一种用户行为价值评估模型的生成方法、装置及设备
US11570197B2 (en) 2020-01-22 2023-01-31 Forcepoint Llc Human-centric risk modeling framework
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11080109B1 (en) 2020-02-27 2021-08-03 Forcepoint Llc Dynamically reweighting distributions of event observations
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11080032B1 (en) 2020-03-31 2021-08-03 Forcepoint Llc Containerized infrastructure for deployment of microservices
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention
CN112953758A (zh) * 2021-01-26 2021-06-11 亚太卫星宽带通信(深圳)有限公司 一种乘客上网行为和模拟测试***和方法
CN113221104B (zh) * 2021-05-12 2023-07-28 北京百度网讯科技有限公司 用户异常行为的检测方法及用户行为重构模型的训练方法
US20230023723A1 (en) * 2021-07-26 2023-01-26 Cisco Technology, Inc. Transparent security and policy enforcement for low-code orchestration
US11832119B2 (en) * 2021-08-31 2023-11-28 Verizon Patent And Licensing Inc. Identification of anomalous telecommunication service
US20230275913A1 (en) * 2022-02-25 2023-08-31 Microsoft Technology Licensing, Llc Using graph enrichment to detect a potentially malicious access attempt
US20230403289A1 (en) * 2022-06-14 2023-12-14 Microsoft Technology Licensing, Llc Machine learning approach for solving the cold start problem in stateful models

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6285999B1 (en) 1997-01-10 2001-09-04 The Board Of Trustees Of The Leland Stanford Junior University Method for node ranking in a linked database
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
US7096499B2 (en) * 1999-05-11 2006-08-22 Cylant, Inc. Method and system for simplifying the structure of dynamic execution profiles
JP2004309998A (ja) * 2003-02-18 2004-11-04 Nec Corp 確率分布推定装置および異常行動検出装置,ならびにその確率分布推定方法および異常行動検出方法
US20050203881A1 (en) 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US7533070B2 (en) 2006-05-30 2009-05-12 Honeywell International Inc. Automatic fault classification for model-based process monitoring
US8595834B2 (en) * 2008-02-04 2013-11-26 Samsung Electronics Co., Ltd Detecting unauthorized use of computing devices based on behavioral patterns
US8832119B2 (en) 2008-06-12 2014-09-09 Fuji Xerox Co., Ltd. Systems and methods for organizing files in a graph-based layout
US20090328215A1 (en) * 2008-06-30 2009-12-31 Microsoft Corporation Semantic networks for intrusion detection
US8769684B2 (en) 2008-12-02 2014-07-01 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for masquerade attack detection by monitoring computer user behavior
JP2012053716A (ja) * 2010-09-01 2012-03-15 Research Institute For Diversity Ltd 思考モデルの作成方法、思考モデルの作成装置及び思考モデルの作成プログラム
US8838613B1 (en) * 2011-02-18 2014-09-16 Google Inc. Identifying trends from micro-posts
US9106687B1 (en) * 2011-11-01 2015-08-11 Symantec Corporation Mechanism for profiling user and group accesses to content repository
US9183512B2 (en) 2011-12-15 2015-11-10 Northeastern University Real-time anomaly detection of crowd behavior using multi-sensor information
JP6148323B2 (ja) * 2012-03-22 2017-06-14 ロス アラモス ナショナル セキュリティー,リミテッド ライアビリティー カンパニーLos Alamos National Security,Llc 計算機ネットワークにおいて調整グループ攻撃を識別する異常検出
CN102750469B (zh) * 2012-05-18 2015-12-09 北京邮电大学 一种基于开放平台的安全检测***及其检测方法
CN103138986B (zh) * 2013-01-09 2016-08-03 天津大学 一种基于可视分析的网站异常访问行为的检测方法
JP6047017B2 (ja) * 2013-01-11 2016-12-21 キヤノン株式会社 パターン抽出装置および制御方法
EP2959413B1 (en) 2013-02-19 2019-12-25 The University Of Tulsa Compliance method for a cyber- physical system
US9264442B2 (en) 2013-04-26 2016-02-16 Palo Alto Research Center Incorporated Detecting anomalies in work practice data by combining multiple domains of information
JP6219621B2 (ja) 2013-07-02 2017-10-25 セコム株式会社 通信照合装置
US9367809B2 (en) * 2013-10-11 2016-06-14 Accenture Global Services Limited Contextual graph matching based anomaly detection
EP2874073A1 (en) 2013-11-18 2015-05-20 Fujitsu Limited System, apparatus, program and method for data aggregation
CN103823883B (zh) * 2014-03-06 2015-06-10 焦点科技股份有限公司 一种网站用户访问路径的分析方法及***
CN103853841A (zh) * 2014-03-19 2014-06-11 北京邮电大学 一种社交网用户异常行为的分析方法

Also Published As

Publication number Publication date
US11727311B2 (en) 2023-08-15
EP3329411A1 (en) 2018-06-06
US20230394367A1 (en) 2023-12-07
WO2017019735A1 (en) 2017-02-02
US20170032274A1 (en) 2017-02-02
US20220366309A1 (en) 2022-11-17
AU2016298250A1 (en) 2018-02-22
US20200012968A1 (en) 2020-01-09
CN108140075A (zh) 2018-06-08
JP2018523885A (ja) 2018-08-23
AU2019275615B2 (en) 2021-05-20
AU2016298250B2 (en) 2019-09-26
AU2019275615A1 (en) 2020-01-02
US11436530B2 (en) 2022-09-06
EP3329411B1 (en) 2021-06-02
US10430721B2 (en) 2019-10-01
CN108140075B (zh) 2021-10-26

Similar Documents

Publication Publication Date Title
JP6661768B2 (ja) ユーザ挙動を異常として分類すること
JP6457693B1 (ja) 予測データ分析のためのシステムおよび技術
Zheng et al. Personalized reliability prediction of web services
US9747551B2 (en) Determining and localizing anomalous network behavior
Wu et al. Data mining with big data
US8364613B1 (en) Hosting predictive models
Baldominos et al. A scalable machine learning online service for big data real-time analysis
US10216622B2 (en) Diagnostic analysis and symptom matching
US11380443B2 (en) Predicting non-communicable disease with infectious risk factors using artificial intelligence
Ali et al. Complex scientific applications made fault-tolerant with the sparse grid combination technique
Agrawal et al. Adaptive real‐time anomaly detection in cloud infrastructures
CN112070559A (zh) 状态获取方法和装置、电子设备和存储介质
Dass et al. Amelioration of Big Data analytics by employing Big Data tools and techniques
Muhamediyeva et al. Utilizing ensemble learning methods for the classification of forest cover types
Aliguliyev et al. The investigation of opportunities of big data analytics as analytics-as-a-service in cloud computing for oil and gas industry
Thiyagarajan Platfora Method for High Data Delivery in Large Datasets
US11500933B2 (en) Techniques to generate and store graph models from structured and unstructured data in a cloud-based graph database system
US20230394332A1 (en) Determining target policy performance via off-policy evaluation in embedding spaces
Banchhor et al. A comprehensive study of data intelligence in the context of big data analytics
Mehfooz SenseMark–A database benchmark and evaluation study for alternative databases for Sensor data and IoT
Chen degree in dynamics and control from Dalian University of Technology, Dalian, China, in 2003 and 2006, respectively, and the Ph. D. degree in electrical engineering from Duke University, Durham, NC, in 2010.
Mohan Kumar et al. A Survey on Estimation of Time on Hadoop Cluster for Data Computation

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180328

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190118

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190304

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190604

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20190805

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190904

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200120

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200212

R150 Certificate of patent or registration of utility model

Ref document number: 6661768

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250