+

WO1997031317A1 - Method for controlling access to information system - Google Patents

Method for controlling access to information system Download PDF

Info

Publication number
WO1997031317A1
WO1997031317A1 PCT/JP1996/000424 JP9600424W WO9731317A1 WO 1997031317 A1 WO1997031317 A1 WO 1997031317A1 JP 9600424 W JP9600424 W JP 9600424W WO 9731317 A1 WO9731317 A1 WO 9731317A1
Authority
WO
WIPO (PCT)
Prior art keywords
information
user
information system
access management
management method
Prior art date
Application number
PCT/JP1996/000424
Other languages
French (fr)
Japanese (ja)
Inventor
Motohisa Funabashi
Hiroaki Sengoku
Akira Maeda
Kenichi Yoshida
Original Assignee
Hitachi, Ltd.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi, Ltd. filed Critical Hitachi, Ltd.
Priority to PCT/JP1996/000424 priority Critical patent/WO1997031317A1/en
Publication of WO1997031317A1 publication Critical patent/WO1997031317A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour

Definitions

  • the present invention relates to an information system that can be used (accessed) by a plurality of users.
  • the present invention relates to a response to an access request from a user, and in particular to an access management method for preventing an unauthorized information system from being used by a user who does not have an access right.
  • a password is given to a user in advance.
  • the user enters a password given at the time of starting access to the information system, and permits use of the information system only when the entered password is recognized as valid. Things. Whether the password is valid is the same as the previously given passcode and the entered passcode, and is the user given the passcode authorized as a user of the information system? It is determined by whether or not.
  • An object of the present invention is to accurately detect and prevent unauthorized access to an information system. It is another object of the present invention to provide an information system access management method adapted to a distributed information system. Furthermore, it is not just to detect unauthorized access, but also malicious It also aims to provide an access control method for information systems that is resistant to attacks on the authentication function of power. Disclosure of the invention
  • the authentication of access to the information system does not depend only on the password. Also, unauthorized access is prevented by performing the authentication work not only once but also during the access (during the session). In addition, we restructured the overall logic so that it could use not only statistical processing and rule-based techniques that were conventionally used to detect fraud, but also better logic.
  • the physiological characteristics of the user and how to operate the information system from the terminal are used as the basic information for authentication, and a predetermined process is performed for the judgment process on the basic information based on the knowledge about the immune action in the biological system.
  • the decision processing function is configured to operate in a distributed and cooperative manner by one or more information processing mechanisms existing in the information system.
  • the manner of operation and physiological characteristics of the user with respect to the information system are information indicating characteristics unique to the user.
  • the operation method may be an operation pattern from the terminal.
  • the operation patterns include the time-series pattern of the keystroke of the terminal key, the time-series pattern of the operation of the mouse and pen, the character conversion pattern such as kana-kanji conversion, file generation driven from the terminal, and file reference / change.
  • There are program operation patterns such as patterns.
  • Physiological features include facial images, audio, and fingerprints.
  • the above-mentioned object can be achieved by continuously determining the validity of the user during the session by using such information as a source.
  • the validity refers to, for example, a match between a registered name of a user registered in advance and a user who has actually accessed. This ongoing determination of justification must be made in a very uncertain environment. Therefore, in the present invention, the management action of the information system is performed in parallel with the judgment, such as actively collecting the characteristics of the user as necessary.
  • a more specific configuration for operating one or more information processing mechanisms existing in the information system in a distributed and cooperative manner is as follows. Information monitored by the decentralized management functions is exchanged with each other, and the grant of access rights is determined in a distributed manner based on the exchanged information.
  • FIG. 1 is a diagram showing a basic configuration of an information system for realizing the present invention.
  • FIG. 2 is a diagram showing a configuration of a distributed computer system to which the present invention has been applied.
  • FIG. 3 is a diagram showing an operation flow of the present invention.
  • FIG. 1 shows a basic configuration of an information system for realizing the present invention.
  • 11 is a user terminal used by the user to access the information system. Although only one 11 is shown here, there is one or more 11.
  • Reference numeral 12 denotes an information processing mechanism in which a user accesses using the user terminal 11 and utilizes the resources.
  • 1 2 has at least one as well as 1 1.
  • 1 3 is a communication network connecting 1 1 and 1 2.
  • Reference numeral 14 denotes a system administrator terminal 14 for an administrator who manages the information system. The system administrator terminal 14 may be configured to be installed as needed.
  • the information processing mechanism 12 allocates system resources according to the request from the user, determines the validity of the user with the process monitor means 12 1 that satisfies the information processing request from the user, and should respond according to the situation. It has a repetitive authentication means 1 2 2 that issues an action.
  • the repetitive authentication means 122 has a user authentication means 123 for judging (authenticating) the validity of the user.
  • the user authentication means 123 determines the validity using the user determination function stored in the storage means 124.
  • the repetitive authentication means 122 also has an action determination means 125 for determining an appropriate action based on the judgment made by the user authentication means 123 and issuing the action.
  • the action determination means 125 determines an action using the action determination rules stored in the storage means 126.
  • the user discriminant function is a function that receives information representing the characteristics of a user as an input and outputs the validity of the user as a numerical value.
  • the information representing the characteristics of the user is a manner of operation or a logical characteristic of the user with respect to the information system. These include those described above.
  • the operation method may be input as time-series information.
  • the action decision rule is a description of an action command to be taken by the system administrator by the repetitive authentication means 122 based on the output of the user discriminant function.
  • the operation of the configuration shown in FIG. 1 is as follows. First, the user inputs his / her password from the user terminal 11 to the information processing mechanism 12 and obtains permission to use the information system. After obtaining the permission, the user requests the information processing mechanism 12 through the user terminal 11 for desired processing. Up to this point, it is the same as the system management process in a conventional information system. However, in parallel with this processing, the user authentication means 1 2 3 sends the user's operation history on the user terminal 11 and the program It monitors at least one of the movement of the ram and a physiological feature measured by a sensor attached to the user terminal 11. Then, it evaluates whether the result monitored using the user discriminant function is that of the user to whom the information system has given the license.
  • continuous monitoring will increase the accuracy of monitoring.
  • continuous monitoring means that monitoring may be performed at predetermined time intervals. Also, a predetermined process may be monitored as a trigger. In addition, monitoring may be continuously performed.
  • the function determining means 125 performs the following processing using the result of the evaluation as input. First, an action to be taken by the information system is determined based on the action determination rules stored in the storage means 122, and the determined content is sent to a predetermined target according to the determined action. For example, when it is doubtful that the user currently using the information system is a legitimate user, a message may be displayed on the user terminal 11 so as to input a keyword again. If the keyword is not input again, the use of the information system may be prohibited.
  • the action determining means performs the following processing.
  • 1 Notify the process monitor and Increase the recording density of user startup of programs and access to files, and restrict these actions.
  • (3) Notify other information processing mechanisms 12 that a user deemed suspicious for personal authentication has entered.
  • Information about the user may also be reported.
  • the information about the user is, for example, information indicating the characteristics of the user, the address of the user terminal 11 used, and the like. ⁇ Notify the system administrator that a suspicious user has entered the personal authentication.
  • information on the user may be reported as in (3).
  • at least one of the processing of 1 to 4 may be performed.
  • the present invention measures information that characterizes the individual in the user's physiological characteristics and actions. This measurement should be made continuously. In addition, these information may be used in combination with the following items.
  • One is to measure when the user operates the user terminal 11 c.
  • it is time-series information on operation input to the user's user terminal 11 or the administrator's system administrator terminal 12 .
  • the keying time-series pattern includes data such as the speed at which the keyboard is hit, input errors, and the frequency of use of each key.
  • the mouse movement time-series pattern includes the speed, direction, and position of the mouse at a predetermined time.
  • the character conversion pattern This includes case conversion of data and conversion (translation) between different languages.
  • a terminal operation pattern is referred to as a terminal operation pattern.
  • cameras and microphones are added to terminals, and video and audio information obtained through these cameras is information that characterizes individuals.
  • Each of the keying time-series patterns and the kana-kanji conversion patterns described above contains individual characteristics.
  • the present invention pays attention to this fact and uses these patterns (information) for authentication diagnosis.
  • the other is an access pattern to a program / file activated by input from the user terminal 11.
  • a series of history information such as program execution, file creation, reference, change, and deletion is also characteristic information that indicates the user's personality. Therefore, this information is also used for the authentication judgment process.
  • program operation pattern such information is referred to as a program operation pattern.
  • the present invention may have a configuration in which such information is distributed to a plurality of packets and transmitted from the user terminal 11 to the information processing mechanism 12. At this time, the feature information of one user may be distributed to a plurality of buckets.
  • a user who uses the information system is a true user (actor). It has an authentication function that checks whether a user is authorized to access the system or a user who has impersonated a true user, and takes appropriate action as a result. In this case, it is more effective to check whether the user is a continuous true user.
  • the present invention employs a configuration in which the information system learns the decision logic from the user's behavior patterns (user's characteristic information) without the system administrator directly modifying the configuration of the authentication decision logic. I do.
  • the correct decision logic detects whether an unauthorized user has entered the information system.
  • the action decision logic is to take prescribed measures for suspected fraudulent users and to take defense measures against information systems.
  • the action decision logic draws conclusions in accordance with the detection content of the authentication decision logic.
  • the living body discriminates between the self and the non-self, and attacks the non-self to eliminate it from the body.
  • This self-discrimination is not innately incorporated as genetic information, but achieves its function by the cognitive cells taking various configurations in a combinatorial manner by trial and error. That is, the ability of the living body to discriminate is acquired through learning.
  • learning is performed in the same manner as in the immune action of a living body. The specific authentication decision logic and learning method are described below.
  • the behavior pattern and physiological characteristics of the user are regarded as antigens in the immune system of the living body.
  • the characteristic information is represented by bi (t) (bi (t): characteristic information representing the behavior pattern indicated by the user i (ie I) at time t, including time-series information).
  • “to” is the time when the operation of the information system starts, and the input here includes information that is input to the information system without the user's awareness.
  • a discriminant function P (b, w) which indicates the likelihood that the feature information currently measured is a true user, and an authentication decision is made using this.
  • the function value of this discriminant function indicates the degree of belonging, but may take two values, the degree of belonging and the degree of non-belonging.
  • b is feature information
  • w is a discrimination parameter.
  • the discrimination parameter w j uniquely identifies the user, and thus corresponds to the antibody of the immune system.
  • the immune system has a kind of learning logic that generates antibodies that react specifically to antigens that have entered the body.
  • the following configuration is adopted to provide the same learning logic.
  • the learning index L (i, P, B) is defined. This is a function for estimating the discrimination parameter wi for the user i based on the accumulation B of the feature information. That is, the discriminant parameter that minimizes the learning index L (i, P, B) is used as the estimated value. In some cases, it may be convenient to estimate the discriminant parameters recursively. For this, the learning index Also needs to be expressed recursively, but this expression takes the form L * (i, wi 0, P, B). In other words, the discrimination parameter wi for the user i is estimated from the initial estimated value wi0.
  • the discrimination parameter wi (t) for identifying the user i at the time t using this index can be expressed as follows.
  • arg min (w) ⁇ means the term that minimizes ⁇ by focusing on the variable w. It is necessary to grasp the degree of progress of the estimation of the discriminant parameter, and this uses a learning index value defined as follows.
  • mi (t) learning index value (2 min (x) ⁇ L (i, P (bi ,, w), bi, GBi '(t) for all i') ⁇ or min (x) ⁇ L * ( i, wiO, P (bi ', w), bi'eBi' (t) for all i ') ⁇
  • the learning method in the present invention in consideration of the above is as follows.
  • the method of learning has the effect of being more compatible with real phenomena than conventional statistical or rule-based methods.
  • the learning index is the square of the output error
  • the backpropagation is based on the logic of parameter estimation using recursive expressions. Can be considered.
  • the discriminant parameter corresponds to the parameter that defines the degree of conformity included in the rule. In this case, learning based on the learning index corresponds to optimizing the fitness parameter, and the index may be the square of the output error.
  • the fuzzy rule base is useful when you have some knowledge about what combination of feature information should be used to authenticate an individual. You. Neural networks, on the other hand, are useful when there is no such foresight.
  • Equations (1) and (1) 'above include a minimization operation, but when selecting various combinations of feature information, it is more effective to use a genetic algorithm including random search as this operation. It is a target. This adoption does not cause any problem, regardless of whether the discriminant function is composed of a neural network or a force S or a fuzzy rule base.
  • the feature information is the information that the information system needs to hold in order to compare it with the input feature information. For this reason, it is essential to compress the data.
  • the certain time may be determined in advance. Also, it may be changed for each user. When changing for each user, it is determined based on the access frequency of each user.
  • the repetitive authentication means 122 constructs an authentication logic from the input feature information. This is called initial learning. This means that the decision parameter is continuously learned from the accumulated data until the learning index value mi (t) reaches a certain threshold value mi0. This process can be expressed as follows.
  • wi (t) arg min (w) ⁇ L (i, P (bi ', w)
  • bi'EBi' (t) for all i ') ⁇ & nd (t) rain (w) ⁇ L ( i, P (bi ,, w)! bi'eBi '(t) for all i') otherwise do nothing (accumulation of data)... (2)
  • the learning index value is set to an appropriate value at the initial time, and learning is repeated until the target index value miO is reached at subsequent times.
  • a recursive learning index may be used.
  • authentication starts (without initial learning if the user accesses the information system for the second time or later).
  • the likelihood that the user called user i is user j is calculated as follows.
  • null null for all i, j... (3)
  • null means that learning of the judgment parameter has not been completed and the judgment is retained.
  • wi (t) arg min (w) ⁇ L * (i, wi (t,), P (bi ', w)! bi'e Bi, (t', t) for all i ') ⁇
  • & mi (t) min (w) ⁇ L * (i, wi (t '), P (bi', w)
  • represents the concentration of the set.
  • a predetermined range R (n) is compared with the discrimination result, and an appropriate action is issued. Specifically, it is as follows. Depending on the situation, an integral evaluation with a forgetting factor for the IF part and a forgetting factor adjustment in an emergency are also performed.
  • Action number 2 n n 1, N... (5)
  • the main action decision rules are as follows.
  • the emergency system is "Inform the system administrator of the information system.” Examples include “restrict the use of system resources desired by the user”, “increase the density of the system use log of the user”, “warn the user”, and “prompt the user for input of characteristic information”.
  • the distributed computer has the configuration shown in Fig. 2.
  • Each repetition authentication means 1 2 2 operates in cooperation with each other.
  • the following operation model is assumed as an information system.
  • (1) There are a plurality of information processing mechanisms 12, and each information processing mechanism is provided with a repetitive authentication means 122 having an authentication function.
  • (2) The user walks across these information processing mechanisms 12.
  • (3) The repetitive authentication means 122 of each information processing mechanism 122 can observe the characteristic information only when the user visits the resource managing the information processing mechanism 122.
  • the following points should be noted in such a distributed computer system.
  • (1) The quality of certification should be improved for the information system as a whole (minimize type 1 and type 2 errors). 2 However, the observation data If all the data is exchanged, the burden on the network will increase.
  • the information processing mechanism 1 or 2 may be stopped for maintenance or may be newly added to the system. However, it is desirable that the quality of authentication performed by each information processing system 12 be as uniform as possible. Or, it is desirable to be gradually homogeneous.
  • Bi! k (t) accumulation of feature information input by user i (iei) to information processing mechanism k (keK) by time t (bi! k (s)! s ⁇ t)
  • the operation on the receiving side is as follows. In other words, if the estimated parameters are received before learning, learning is attempted using this as the initial value. At the end of learning, data is received and additional learning is performed. In addition, it is also possible to receive data when not learning and to try the initial learning together with the data that had been obtained up to that point. Specifically, this procedure is as follows.
  • wi! k '(t) arg min (w) ⁇ L * (i, wi! k (t), P (bi', w)! bi'e Bi '! k' (t) for all i,) ⁇
  • each information processing mechanism 12 of the distributed computer system as shown in FIG. 2 are based on the discrimination parameters acquired by each information processing mechanism 12 by the dispersion emphasis learning logic described above. You can do it. In this case, it may be more appropriate for the information processing mechanisms 12 to issue actions that interfere with each other.
  • a certain information processing mechanism detects the presence of a user with low legitimacy. In such a case, it is more secure to notify other information processing mechanisms than to simply keep the action within the scope of its own information processing mechanism. If such a report is received from another information processing mechanism, the information processing mechanism shall take appropriate measures according to the report. Countermeasures include prohibiting access to the reported user.
  • the action determination rule described in equation (5) is a rule having a discriminant function value with a high learning index value (a criterion is set in advance, and a higher learning index value is used. Are merged to obtain the discrimination result, and this result is linked to an action decision.
  • Figure 3 summarizes the overall operation of the access management described above.
  • the user applies for the use of the information system according to a predetermined procedure.
  • the information processing mechanism 12 learns the user's propensity (information for identifying the user)
  • the information processing mechanism 12 permits use of limited resources of the information processing mechanism 12 itself. For example, use is limited to public resources that have no problem if released to all humans.
  • the information processing mechanism 12 learns the user's propensity, it releases the use of resources. There is also a configuration in which the utilization of this resource is released in multiple stages by the user.
  • the information processing mechanism authenticates the user's legitimacy and limits the scope of releasing resources as necessary. Here, the authentication of the user's validity may be performed continuously. Industrial applicability
  • a person (user) accessing the information system is monitored at the level of its operation characteristics, so that an unauthorized act in the information system can be suppressed. Further, since the access management method of the present invention can be performed in a distributed and cooperative manner, it is very resilient to unauthorized attacks and unexpected partial failures of information systems.
  • the present invention is suitable for stable management of information systems.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Storage Device Security (AREA)

Abstract

A method for disclosing a user making fraudulent use of an information system and excluding such a user from the regular use. User authentication is repeatedly performed during a session based on the user's physiological characters and habits when the user operates a terminal and writes a program. This authentication is automatically performed using a learning technique and can follow up frequent change of users and changes of user's habits with time. The access of a user is limited or reported to the system controller in accordance with the degree of qualification of the user obtained as a result of certification. The safety of the information system against fraudulent use can be improved as compared with the conventional method using passwords only. In addition, the system controller can monitor the action of the user one by one and safety control and operate the system without analyzing the disclosed unauthentic user.

Description

明 細 書 情報システムのアクセス管理方法 技術分野  Description Access control method for information systems Technical field
本発明は、 複数のユーザが利用 (アクセス) 可能な情報システムに係 る。 この情報システムにおいて、 ュ一ザからのアクセス要求への対応、 特にアクセス権限を与えていないュ一ザからの不正な情報システムの利 用を防止するアクセス管理方法に関する。 背景技術  The present invention relates to an information system that can be used (accessed) by a plurality of users. In this information system, the present invention relates to a response to an access request from a user, and in particular to an access management method for preventing an unauthorized information system from being used by a user who does not have an access right. Background art
従来の情報システムに対するアクセス管理方法には、 予めユーザにパ スワードを与えておくものがある。 この方法では、 ユーザが情報システ ムへのアクセス開始時に与えられたパスヮードを入力し、 入力されたパ スヮ一ドが正当であることが認められた場合に限って情報システムの利 用を許すものである。 正当なパスワードか否かは、 予め与えられたパス ヮ一ドと入力されたパスヮ一ドが同じであり、 パスヮ一ドを与えられた ュ—ザが、 情報システムの利用者として承認されているか否かで判断さ れる。  In a conventional access management method for an information system, there is a method in which a password is given to a user in advance. In this method, the user enters a password given at the time of starting access to the information system, and permits use of the information system only when the entered password is recognized as valid. Things. Whether the password is valid is the same as the previously given passcode and the entered passcode, and is the user given the passcode authorized as a user of the information system? It is determined by whether or not.
上述した従来の技術においては、 一旦情報システムに対する利用を認 めると、 ユーザは認められた範囲で自由に情報システムの資源を利用す ることができる。 また、 ファイル情報を変更することもできる。  In the above-mentioned conventional technology, once the use of the information system is approved, the user can freely use the resources of the information system within the permitted range. You can also change file information.
このため、 不正行為を働く意志を持った者に情報システムへの利用を 許した場合、 より厳格に管理がなされているシステム資源への新たなァ クセス権利の獲得や、 他のユーザの情報システムの利用を妨害できるな どの問題を含んでいる。 さらに、 情報システムへのアクセス開始時のみ 真のユーザが利用し、 それ以外は他のユーザ (アクセスする権利を有し ない者) が利用できるとの問題もある。 For this reason, if a person who intends to commit fraud is allowed to use the information system, he or she can acquire new access rights to system resources that are more strictly managed, and can use other users' information systems. Includes issues that could impede use. In addition, only at the start of access to the information system There is also a problem that a true user can use it, and the rest can be used by other users (who do not have access right).
これらの問題は、 以下の①および②により引き起こされる。  These problems are caused by the following ① and ②.
①ユーザそれぞれに与えられたパスヮードだけを拠り所にしてユーザの 認証をしている。  (1) User authentication is performed based only on the password given to each user.
②情報システムへのアクセスの認証を、 アクセス開始時にのみ行いそれ 以外は全く行っていない。  (2) Authentication of access to the information system is performed only at the start of access, and is not performed otherwise.
これらの問題を角 決するものが、 Teresa F. Lunt著 "A survey of intrusion detection techniques, Computers&Securi ty, 12, p405- 418 (1993) " に記載されている。 これには、 ユーザによって引き起こさ れるプログラムの動作を記録にとり、 この記録に対して統計的手法や ルールべ一ス手法を適用することが記載されている。 この構成により、 情報システムを現在利用しているユーザが真のユーザか否かを判断し、 不正な情報システムの利用 (情報システムへの侵入) を発見する。  The determinant of these problems is described in Teresa F. Lunt, "A survey of intrusion detection techniques, Computers & Security, 12, p405-418 (1993)." It states that it records the actions of the program caused by the user and applies statistical or rule-based methods to this record. With this configuration, it is determined whether the user currently using the information system is a true user, and an unauthorized use of the information system (intrusion into the information system) is detected.
しかし、 単にプログラム動作に対して統計的手法やルールベース手法 を適用するのみでは、 十分に不正な情報システムへの侵入を検出するこ とができない。 また、 この技術では不正な情報システムへの侵入が検出 された場合、 情報システムの管理者に通報することしかできない。 通報 するのみでは、 情報システムの管理者へ支援を行うための機能が十分発 揮されているとは言えない。 さらに、 不正な侵入に対する検出は集中的 に構成されており、 情報システムが分散的に構成される今日の情報シス テムの趨勢を反映していない。  However, simply applying a statistical method or a rule-based method to program operation cannot sufficiently detect unauthorized intrusion into an information system. Also, with this technology, when an unauthorized intrusion into an information system is detected, it can only notify the information system administrator. Simply reporting the information does not mean that the function to provide support to the information system manager has been fully implemented. In addition, detection of unauthorized intrusions is centralized and does not reflect the trends in today's distributed information systems.
本発明では、 情報システムへの不正なアクセスを的確に検出、 防止す ることを目的とする。 また、 分散的に構成された情報システムに適応す る情報システムのアクセス管理方法を提供することも目的とする。 さら に、 単に不正なアクセスを検出することに止まらず、 悪意をもったもの 力^の認証機能への攻撃にも強い情報システムのアクセス管理方法を提 供することも目的とする。 発明の開示 An object of the present invention is to accurately detect and prevent unauthorized access to an information system. It is another object of the present invention to provide an information system access management method adapted to a distributed information system. Furthermore, it is not just to detect unauthorized access, but also malicious It also aims to provide an access control method for information systems that is resistant to attacks on the authentication function of power. Disclosure of the invention
本発明では、 情報システムへのアクセスの認証をパスワードのみに依 存しない構成とした。 また、 認証の作業をただ 1度だけでなく、 ァクセ ス中 (セッション中) に繰り返し行うことにより不正なアクセスを防止 する。 また、 従来不正の検出に用いられていた統計処理やルールベース 技術ばかりでなく、 より優れた論理をも用いることができるよう全体論 理を再構成した。  In the present invention, the authentication of access to the information system does not depend only on the password. Also, unauthorized access is prevented by performing the authentication work not only once but also during the access (during the session). In addition, we restructured the overall logic so that it could use not only statistical processing and rule-based techniques that were conventionally used to detect fraud, but also better logic.
言い換えれば、 ユーザの生理的特徴や端末からの情報システムに対す る操作の仕方を認証のための基本情報とし、 生体系における免疫作用に 関する知見を背景に基本情報に対する判断処理に所定の処理を導入する。 また、 判断処理機能を情報システム内に存在する 1以上の情報処理機構 に分散協調的に動作させる構成とした。  In other words, the physiological characteristics of the user and how to operate the information system from the terminal are used as the basic information for authentication, and a predetermined process is performed for the judgment process on the basic information based on the knowledge about the immune action in the biological system. Introduce. In addition, the decision processing function is configured to operate in a distributed and cooperative manner by one or more information processing mechanisms existing in the information system.
ユーザの情報システムに対する操作の仕方や生理的特徴は、 ユーザ固 有の特徴を表す情報である。 ここで、 操作の仕方には、 端末からの操作 パターンなどが考えられる。 そして、 操作パターンには、 端末キ一の打 鍵の時系列パターン、 マウス .ペンの操作時系列パターン、 カナ漢字変 換などの文字変換パターン、 端末から駆動されるファイル生成、 フアイ ル参照 ·変更パターンなどのプログラム動作パターンなどがある。 また、 生理的特徴には、 顔映像、 音声、 指紋などがある。  The manner of operation and physiological characteristics of the user with respect to the information system are information indicating characteristics unique to the user. Here, the operation method may be an operation pattern from the terminal. The operation patterns include the time-series pattern of the keystroke of the terminal key, the time-series pattern of the operation of the mouse and pen, the character conversion pattern such as kana-kanji conversion, file generation driven from the terminal, and file reference / change. There are program operation patterns such as patterns. Physiological features include facial images, audio, and fingerprints.
したがって、 これらの情報をよりどころとして、 セッション中に継続 的にユーザの正当性を判断することにより上述した目的を達成できる。 正当性とは、 例えば、 予め登録されたユーザの登録名称と実際にァクセ スしているユーザの合致性などを指す。 この正当性の継続的な判断は、 非常に不確実な環境下で行わざるを得 ない。 したがって、 本発明においては、 必要に応じてユーザの特性を積 極的に採取するなど、 情報システムの管理上のァクションを判断と並行 して行う。 Therefore, the above-mentioned object can be achieved by continuously determining the validity of the user during the session by using such information as a source. The validity refers to, for example, a match between a registered name of a user registered in advance and a user who has actually accessed. This ongoing determination of justification must be made in a very uncertain environment. Therefore, in the present invention, the management action of the information system is performed in parallel with the judgment, such as actively collecting the characteristics of the user as necessary.
また、 情報システム内に存在する 1以上の情報処理機構に分散協調的 に動作させるためのより具体的な構成は、 以下の通りである。 それぞれ 分散化された管理機能において監視した情報を相互に交換し合い、 交換 された情報に基づいてアクセス権利の付与を分散的に決定する。 図面の簡単な説明  A more specific configuration for operating one or more information processing mechanisms existing in the information system in a distributed and cooperative manner is as follows. Information monitored by the decentralized management functions is exchanged with each other, and the grant of access rights is determined in a distributed manner based on the exchanged information. BRIEF DESCRIPTION OF THE FIGURES
第 1図は、 本発明を実現する情報システムの基本構成を示す図である。 第 2図は、 本発明を適用した分散計算機システムの構成を示す図である。 第 3図は、 本発明の運用フローを示す図である。 発明を実施するための最良の形態  FIG. 1 is a diagram showing a basic configuration of an information system for realizing the present invention. FIG. 2 is a diagram showing a configuration of a distributed computer system to which the present invention has been applied. FIG. 3 is a diagram showing an operation flow of the present invention. BEST MODE FOR CARRYING OUT THE INVENTION
以下、 本発明の一実施例を説明する。  Hereinafter, an embodiment of the present invention will be described.
( 1 ) 発明の基本的な構成  (1) Basic structure of the invention
第 1図は、 本発明を実現する情報システムの基本構成を示す。 ここで 1 1は、 ユーザが情報システムにアクセスするために用いるユーザ端末 である。 なお、 ここでは 1 1を 1個しか図示しなかったが、 1 1は1個 以上存在する。 1 2は、 ユーザがユーザ端末 1 1を用いてアクセスし、 その資源を活用する情報処理機構である。 1 2も 1 1と同様に 1個以上 存在する。 1 3は、 1 1や 1 2をつなぐ通信ネットワークである。 また、 1 4は情報システムを管理する管理者用のシステム管理者端末 1 4であ る。 システム管理者端末 1 4は、 必要に応じて設置するよう構成しても よい。 情報処理機構 1 2は、 ユーザからの要求に応じてシステム資源を割り 当て、 ュ一ザからの情報処理要求を満たすプロセスモニタ手段 1 2 1と ユーザの正当性を判断し状況に応じてしかるべきアクションを発行する 繰返し認証手段 1 2 2を有する。 ここで、 繰返し認証手段 1 2 2は、 ユーザの正当性を判断 (認証) するユーザ認証手段 1 2 3を有する。 こ こで、 ユーザ認証手段 1 2 3は、 格納手段 1 2 4に格納されたユーザ判 別関数を用いて正当性を判断する。 また、 繰返し認証手段 1 2 2は、 ユーザ認証手段 1 2 3での判断に基づいてしかるべきアクションを決定 し、 発行するアクション決定手段 1 2 5も有する。 ここで、 ァクション 決定手段 1 2 5は、 格納手段 1 2 6に格納されたアクション決定ルール を用いてァクションを決定する。 FIG. 1 shows a basic configuration of an information system for realizing the present invention. Here, 11 is a user terminal used by the user to access the information system. Although only one 11 is shown here, there is one or more 11. Reference numeral 12 denotes an information processing mechanism in which a user accesses using the user terminal 11 and utilizes the resources. 1 2 has at least one as well as 1 1. 1 3 is a communication network connecting 1 1 and 1 2. Reference numeral 14 denotes a system administrator terminal 14 for an administrator who manages the information system. The system administrator terminal 14 may be configured to be installed as needed. The information processing mechanism 12 allocates system resources according to the request from the user, determines the validity of the user with the process monitor means 12 1 that satisfies the information processing request from the user, and should respond according to the situation. It has a repetitive authentication means 1 2 2 that issues an action. Here, the repetitive authentication means 122 has a user authentication means 123 for judging (authenticating) the validity of the user. Here, the user authentication means 123 determines the validity using the user determination function stored in the storage means 124. The repetitive authentication means 122 also has an action determination means 125 for determining an appropriate action based on the judgment made by the user authentication means 123 and issuing the action. Here, the action determination means 125 determines an action using the action determination rules stored in the storage means 126.
ここで、 ユーザ判別関数とは、 ユーザの特徴を表す情報を入力として、 そのユーザの正当性を数値として出力する関数である。 ここで、 ユーザ の特徴を表す情報とは、 ユーザの情報システムに対する操作の仕方や生 理的特徴である。 これらについては、 上述したものが含まれる。 また、 操作の仕方は、 時系列情報として入力してもよい。  Here, the user discriminant function is a function that receives information representing the characteristics of a user as an input and outputs the validity of the user as a numerical value. Here, the information representing the characteristics of the user is a manner of operation or a logical characteristic of the user with respect to the information system. These include those described above. The operation method may be input as time-series information.
また、 アクション決定ルールとは、 ユーザ判別関数の出力に基づいて、 繰返し認証手段 1 2 2が、 システム管理者がとるべき行動の命令を記述 したものである。  The action decision rule is a description of an action command to be taken by the system administrator by the repetitive authentication means 122 based on the output of the user discriminant function.
第 1図に示した構成の動作は、 以下の通りである。 ユーザがユーザ端 末 1 1から情報処理機構 1 2に対して、 まず自分のパスワードを入力し て、 情報システムを利用する許諾を得る。 許諾を得た後、 ユーザは、 ユーザ端末 1 1を通して情報処理機構 1 2に所望の処理を要求する。 こ こまでは、 従来の情報システムにおけるシステム管理のプロセスと同じ である。 ただし、 この処理と並行してユーザ認証手段 1 2 3は、 ユーザ のユーザ端末 1 1での操作履歴、 ユーザによって引き起こされたプログ ラムの動作およびユーザ端末 1 1に装着されたセンサによって測定され る生理的特徴のうち少なくとも 1つを監視する。 そして、 ユーザ判別関 数を用いて監視された結果が、 情報システム側が利用許諾を与えたユー ザのものであるかを評価する。 The operation of the configuration shown in FIG. 1 is as follows. First, the user inputs his / her password from the user terminal 11 to the information processing mechanism 12 and obtains permission to use the information system. After obtaining the permission, the user requests the information processing mechanism 12 through the user terminal 11 for desired processing. Up to this point, it is the same as the system management process in a conventional information system. However, in parallel with this processing, the user authentication means 1 2 3 sends the user's operation history on the user terminal 11 and the program It monitors at least one of the movement of the ram and a physiological feature measured by a sensor attached to the user terminal 11. Then, it evaluates whether the result monitored using the user discriminant function is that of the user to whom the information system has given the license.
評価する際は、 利用許諾を与えるユーザのこれらの特徴を記憶してお き、 この記憶内容と監視された結果が同一か否かによつて判断する構成 もとれる。 また、 同一の判断においても幅を持たせ、 ある程度似ていた ら同一と判断する構成もとれる。  At the time of evaluation, these features of the user who grants the license are stored, and a judgment is made based on whether or not the stored content and the monitored result are the same. In addition, there is a configuration in which the same judgment is made to have a certain width, and if they are similar to some extent, they are judged to be the same.
さらに、 監視は、 継続的に行うとより監視の精度があがる。 継続的に 監視を行うとは、 所定時間毎に監視してもよい。 また、 所定の処理をト リガ一として監視してもよい。 また、 連続的に監視し続けてもよい。 ァクション決定手段 1 2 5は、 このように評価された結果を入力とし て以下の処理を行う。 まず、 格納手段 1 2 2に格納されたアクション決 定ルールに基づいて、 情報システムがとるべきアクションを決定し、 決 定されたアクションに応じて所定の対象にその決定内容を送付する。 例 えば、 現在情報システムを利用しているユーザが正規のユーザか疑わし い場合は、 再度キーワードを入力するようユーザ端末 1 1に表示するこ とがあげられる。 また、 再度のキ一ワードの入力がない場合は、 情報シ ステムの使用を禁止することもある。  In addition, continuous monitoring will increase the accuracy of monitoring. The term “continuous monitoring” means that monitoring may be performed at predetermined time intervals. Also, a predetermined process may be monitored as a trigger. In addition, monitoring may be continuously performed. The function determining means 125 performs the following processing using the result of the evaluation as input. First, an action to be taken by the information system is determined based on the action determination rules stored in the storage means 122, and the determined content is sent to a predetermined target according to the determined action. For example, when it is doubtful that the user currently using the information system is a legitimate user, a message may be displayed on the user terminal 11 so as to input a keyword again. If the keyword is not input again, the use of the information system may be prohibited.
ここで、 このようにして使用を禁止されたユーザの特徴を表す情報を 記憶しておき、 後ほど用いることも考えられる。 つまり、 このように記 憶された情報と監視されたユーザの特徴を表す情報を比較して、 比較結 果に応じて情報システムの使用を直ちに差し止める。  Here, it is conceivable to store information indicating the characteristics of the user whose use is prohibited in this way and use it later. That is, the information stored in this way is compared with the information indicating the characteristics of the monitored user, and the use of the information system is immediately stopped according to the comparison result.
次にアクション決定手段は、 現在ュ一ザ端末 1 1を使用しているユー ザが、 情報システムが本来利用を許しているユーザと異なると判断した 場合は、 以下の処理を行う。 ①プロセスモニタに通報して、 該当する ュ一ザによるプログラムの起動やファイルへのアクセス記録密度を高め たり、 これらの行動を制限する。 ②該当するユーザが利用しているユー ザ端末 1 1に対して、 ユーザの正当性を確認するために指定した行動を とるように要請したり、 情報システム内における行動を制限する警告を 出す。 ③他の情報処理機構 1 2に対して、 個人認証に不審と見られる ユーザが入り込んでいることを通報する。 また、 そのユーザに関する情 報も通報してもよい。 ユーザに関する情報とは、 例えば、 そのユーザの 特徴を表す情報や使用しているュ一ザ端末 1 1のァドレスなどである。 ④システム管理者に対して、 個人認証に不審とみられるユーザが入り込 んでいることを通報する。 また、 ③と同様にユーザに関する情報も通報 してもよい。 ここで、 ①〜④の処理のうち少なくとも 1つをおこなえば よい。 Next, if the user currently using the user terminal 11 determines that the information system is different from the user who is originally permitted to use the action, the action determining means performs the following processing. ① Notify the process monitor and Increase the recording density of user startup of programs and access to files, and restrict these actions. (2) Request the user terminal 11 used by the applicable user to take the specified action to confirm the user's legitimacy, or issue a warning to restrict the action in the information system. (3) Notify other information processing mechanisms 12 that a user deemed suspicious for personal authentication has entered. Information about the user may also be reported. The information about the user is, for example, information indicating the characteristics of the user, the address of the user terminal 11 used, and the like.通報 Notify the system administrator that a suspicious user has entered the personal authentication. In addition, information on the user may be reported as in (3). Here, at least one of the processing of ① to ④ may be performed.
( 2 ) 採集すべき情報  (2) Information to be collected
ユーザの正当性を繰返し判断するために、 本発明では、 ユーザの生理 的特徴や行動の中でその個人を特徴づける情報を測定する。 この測定は、 継続的に行うのが望ましい。 また、 これらの情報は、 次にあげるものの みでなく、 組み合わせて使用してもよい。  In order to repeatedly determine the legitimacy of a user, the present invention measures information that characterizes the individual in the user's physiological characteristics and actions. This measurement should be made continuously. In addition, these information may be used in combination with the following items.
一つは、 ユーザがユーザ端末 1 1を操作する際に測定するものである c 言い換えると、 ユーザのユーザ端末 1 1や管理者のシステム管理者端末 1 2への操作入力に関する時系列情報である。 キーボードの打鍵時系列 パターン、 マウスの動作時系列パターン、 仮名漢字変換などの文字変換 パターンなどが含まれる。 ここで、 打鍵時系列パターンには、 キーボー ドを打つ速さ、 入力ミス、 各キーの使用頻度などのデータが含まれる。 マウスの動作時系列パターンには、 マウスを動かす速さ、 方向、 所定時 刻の位置などが含まれる。 さらに、 入力ペンを動かす速さ、 方向、 所定 時刻の位置も含まれる。 ここで、 文字変換パターンには、 アルファべッ 卜の大文字小文字変換、 異なる言語間での変換 (翻訳) も含まれる。 以 下、 これらの情報を端末操作パターンと呼ぶ。 One is to measure when the user operates the user terminal 11 c. In other words, it is time-series information on operation input to the user's user terminal 11 or the administrator's system administrator terminal 12 . Includes keystroke time-series patterns, mouse operation time-series patterns, and character conversion patterns such as kana-kanji conversion. Here, the keying time-series pattern includes data such as the speed at which the keyboard is hit, input errors, and the frequency of use of each key. The mouse movement time-series pattern includes the speed, direction, and position of the mouse at a predetermined time. In addition, the speed, direction, and position of the input pen at a predetermined time are also included. Here, the character conversion pattern This includes case conversion of data and conversion (translation) between different languages. Hereinafter, such information is referred to as a terminal operation pattern.
また、 端末にカメラやマイクロフォンを付加し、 これらを通じて得ら れる映像情報や音声情報も個人を特徴づける情報である。 このほか、 指 紋を採集すること、 腕時計状の装置によってユーザに固有の血流パター ンなどの生理学的情報をとり、 これを端末に通信する方法もある。  In addition, cameras and microphones are added to terminals, and video and audio information obtained through these cameras is information that characterizes individuals. In addition, there is a method of collecting fingerprints, collecting physiological information such as a blood flow pattern unique to the user using a wristwatch-like device, and communicating this to the terminal.
以上述べた打鍵時系列パタ一ンゃ仮名漢字変換パターンなどには、 そ れぞれ個人固有の特徴が含まれている。 本発明では、 このことに着目し て、 これらのパターン (情報) を認証診断に用いるのである。  Each of the keying time-series patterns and the kana-kanji conversion patterns described above contains individual characteristics. The present invention pays attention to this fact and uses these patterns (information) for authentication diagnosis.
他の一つは、 ユーザ端末 1 1からの入力によって起動されるプロダラ ムゃファイルへのアクセスパターンである。 このようなプログラムの実 行やファイル生成 ·参照 ·変更 ·消去など一連の履歴情報も、 ユーザの 個性をあらわす特徴的な情報である。 したがって、 これらの情報も認証 判断処理に活用する。 以下、 これらの情報をプログラム動作パターンと 呼ぶ。  The other is an access pattern to a program / file activated by input from the user terminal 11. A series of history information such as program execution, file creation, reference, change, and deletion is also characteristic information that indicates the user's personality. Therefore, this information is also used for the authentication judgment process. Hereinafter, such information is referred to as a program operation pattern.
これら二つのタイプの情報は、 ユーザ端末 1 1を利用しているユーザ の個性を特徴づけるものである。 さらに、 継続的に測定可能である。 本 発明では、 これらの情報のいずれか、 あるいはその組合わせを個人の認 証に用いる。 ここで、 不正を働く意図をもった者が、 これらの情報を奪 うおそれがある。 これに対して、 本発明では、 これらの情報を複数のパ ケットに分散してユーザ端末 1 1から情報処理機構 1 2へ送る構成を とってもよい。 このとき 1人のュ一ザの特徴情報を複数のバケツ 卜に分 散してもよい。  These two types of information characterize the personality of the user using the user terminal 11. In addition, it can be measured continuously. In the present invention, any of these pieces of information or a combination thereof is used for personal authentication. Here, there is a risk that someone who intends to commit fraud may steal such information. On the other hand, the present invention may have a configuration in which such information is distributed to a plurality of packets and transmitted from the user terminal 11 to the information processing mechanism 12. At this time, the feature information of one user may be distributed to a plurality of buckets.
次に、 具体的な認証判断処理の内容を説明する。  Next, the contents of the specific authentication determination processing will be described.
( 3 ) 認証判断論理  (3) Authentication decision logic
本発明では、 情報システムを利用しているユーザが真のユーザ (ァク セスの権限を与えられたュ一ザ) なのか、 真のュ一ザになりすました ユーザなのかを調べ、 この結果しかるべきァクションをとる認証機能を 有する。 この際、 継続的真のュ一ザか否かを調べるとより効果的である。 According to the present invention, a user who uses the information system is a true user (actor). It has an authentication function that checks whether a user is authorized to access the system or a user who has impersonated a true user, and takes appropriate action as a result. In this case, it is more effective to check whether the user is a continuous true user.
この認証機能を達成するためには、 以下の事項を考慮する必要がある。 ①情報システムが大きくなればなるほど、 これを利用するユーザは固定 的でなくなる。 頻繁なユーザの参入、 退去が発生する。 ②ュ一ザの情報 システムの情報システムの利用における性癖も時間とともに変化する可 能性が大きい。  To achieve this authentication function, the following items need to be considered. (1) As the information system gets larger, the users who use it become less fixed. Frequent users enter and leave. (2) The propensity of a user's information system to use the information system is likely to change over time.
このため、 本発明では、 システム管理者が認証判断論理の構成に直接 手を加えることなく、 ユーザの行動パターン ど (ユーザの特徴的な情 報) から情報システムが判断論理を学習する構成を採用する。  For this reason, the present invention employs a configuration in which the information system learns the decision logic from the user's behavior patterns (user's characteristic information) without the system administrator directly modifying the configuration of the authentication decision logic. I do.
^1正判断論理は、 不正なユーザが情報システムの中に入り込んでいる かどうかを検出するものである。 また、 アクション決定論理は、 不正の 疑いのあるユーザに対して所定の処置を加えたり、 情報システムに対す る防御策を講じるものである。 なお、 アクション決定論理は、 認証判断 論理の検出内容に従って結論を出すものである。  ^ 1 The correct decision logic detects whether an unauthorized user has entered the information system. In addition, the action decision logic is to take prescribed measures for suspected fraudulent users and to take defense measures against information systems. The action decision logic draws conclusions in accordance with the detection content of the authentication decision logic.
これらの論理には、 生体の免疫作用と同様の機能を持たせる。 生体に は、 自己と非自己とを弁別し、 非自己に対しては体内からこれを排除す るための攻擊活動を加える。 この自己弁別は、 遺伝子情報として先天的 に組込まれているのではなく、 認識細胞が組合せ論的に多様な構成を試 行錯誤的にとることによってその作用を達成するようになる。 すなわち、 生体の弁別の能力は、 学習により獲得される。 本発明では、 生体の免疫 作用と同様に学習を行う。 以下に、 具体的な認証判断論理と学習の仕方 を述べる。  These logics have functions similar to those of the body's immune system. The living body discriminates between the self and the non-self, and attacks the non-self to eliminate it from the body. This self-discrimination is not innately incorporated as genetic information, but achieves its function by the cognitive cells taking various configurations in a combinatorial manner by trial and error. That is, the ability of the living body to discriminate is acquired through learning. In the present invention, learning is performed in the same manner as in the immune action of a living body. The specific authentication decision logic and learning method are described below.
本発明では、 ユーザの行動パターンや生理的特徴 (ユーザの特徴的な 情報であり、 以下特徴情報と呼ぶ) を生体の免疫系でいう抗原とみなす。 以下、 特徴情報を bi(t)であらわすことにする (bi(t) :ユーザ i ( i e I ) が時刻 tで示した行動パターンをあらわす特徴情報で、 ここには時 系列情報も含む) 。 また、 説明のための記号として、 ユーザ iが時刻 t までに入力した特徴情報の集積 (集まり) を Bi(t) (= (bi(s) ! se [tO,t] } ) とあらわす。 ここのでの toは、 情報システムの動作開始時 刻である。 なお、 ここでの入力は、 ュ一ザが意識せずに情報システムに 入力される情報も含む。 In the present invention, the behavior pattern and physiological characteristics of the user (characteristic information of the user, hereinafter referred to as characteristic information) are regarded as antigens in the immune system of the living body. Hereinafter, the characteristic information is represented by bi (t) (bi (t): characteristic information representing the behavior pattern indicated by the user i (ie I) at time t, including time-series information). Also, as a symbol for explanation, the accumulation (gathering) of the feature information input by the user i up to the time t is represented as Bi (t) (= (bi (s)! Se [tO, t]}). Here, “to” is the time when the operation of the information system starts, and the input here includes information that is input to the information system without the user's awareness.
本発明では、 現在測定している特徴情報が真のユーザである確からし さをあらわす判別関数 P (b, w) を定義し、 これを用いて認証判断を する。 この判別関数の関数値は、 帰属度合を表すものであるが、 帰属度 合と非帰属度合の二つの値をとるものでもよい。 ここに、 bは特徴情報 であり、 wは判別パラメータである。 判別パラメ一タ wは、 w j という 値をとり、 このパラメータを判別関数に適用したとき、 特徴情報 bの ユーザ j への帰属度合が求められる。 すなわち、 pij(t) ( = P(bi(t),wj(t)))によって、 特徴情報 bi(t)が得られたとき、 この特徴情 報の発信者がユーザ jである確からしさをあらわす。 判別パラメータ w jは、 ユーザに固有に識別するものなので、 免疫系の抗体に対応するも のである。  In the present invention, a discriminant function P (b, w) is defined which indicates the likelihood that the feature information currently measured is a true user, and an authentication decision is made using this. The function value of this discriminant function indicates the degree of belonging, but may take two values, the degree of belonging and the degree of non-belonging. Here, b is feature information and w is a discrimination parameter. The discrimination parameter w takes a value w j, and when this parameter is applied to the discrimination function, the degree of belonging of the feature information b to the user j is obtained. That is, when feature information bi (t) is obtained by pij (t) (= P (bi (t), wj (t))), it is determined that the sender of this feature information is user j. It represents. The discrimination parameter w j uniquely identifies the user, and thus corresponds to the antibody of the immune system.
免疫系では、 体内に侵入した抗原に対して特異的に反応する抗体を自 己生成する一種の学習論理が備わっている。 本発明では、 同様の学習論 理を備えるため、 以下の構成とした。  The immune system has a kind of learning logic that generates antibodies that react specifically to antigens that have entered the body. In the present invention, the following configuration is adopted to provide the same learning logic.
まず、 学習指標 L ( i , P, B) を定義する。 これは、 特徴情報の集 積 Bに基づいてユーザ iに関する判別パラメータ w iを推定するための 関数である。 すなわち、 学習指標 L ( i , P, B) を最小化する判別パ ラメータをもってその推定値とする。 場合によっては、 判別パラメ一タ を再帰的に推定するのが都合の良い場合もある。 このために、 学習指標 も再帰的に表現する必要があるが、 この表現は、 L* ( i , w i 0, P, B) という形をとるものとする。 言い換えれば、 ユーザ iに関する判別 パラメータ w iを初期推定値 w i 0から推定する構成としている。 First, the learning index L (i, P, B) is defined. This is a function for estimating the discrimination parameter wi for the user i based on the accumulation B of the feature information. That is, the discriminant parameter that minimizes the learning index L (i, P, B) is used as the estimated value. In some cases, it may be convenient to estimate the discriminant parameters recursively. For this, the learning index Also needs to be expressed recursively, but this expression takes the form L * (i, wi 0, P, B). In other words, the discrimination parameter wi for the user i is estimated from the initial estimated value wi0.
この指標を用いた、 時刻 tでのユーザ i を識別するための判別パラ メータ wi (t)は以下の通り表すことができる。  The discrimination parameter wi (t) for identifying the user i at the time t using this index can be expressed as follows.
wi(t)=arg min(w) {L(i, P(bi'( w), bi'eBi'(t) for all i,) } … (1) wi (t) =arg min( ) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i,) } wi (t) = arg min (w) {L (i, P (bi ' ( w), bi'eBi' (t) for all i,)}… (1) wi (t) = arg min () { L * (i, wiO, P (bi ', w), bi'eBi' (t) for all i,)}
… (1) , ここで、 arg min(w) {}は、 変数 wに着目して {}内を最小にする項を意 味する。 この判別パラメータの推定の進行度合を把握する必要があるが、 これは次のように定義する学習指標値を用いる。  … (1), where arg min (w) {} means the term that minimizes {} by focusing on the variable w. It is necessary to grasp the degree of progress of the estimation of the discriminant parameter, and this uses a learning index value defined as follows.
mi(t) : 学習指標値 (二 min(x) {L(i,P(bi,, w),bi, GBi'(t) for all i')} もしくは、 min(x) {L* (i, wiO, P(bi', w) , bi'eBi'(t) for all i') } ここで、 以上のことを考慮した本発明での学習の仕方は次のようにな る。 この学習の仕方は、 従来の統計的な手法やルールベース手法よりも 実現象への適合性がよいという効果を生む。  mi (t): learning index value (2 min (x) {L (i, P (bi ,, w), bi, GBi '(t) for all i')} or min (x) {L * ( i, wiO, P (bi ', w), bi'eBi' (t) for all i ')} Here, the learning method in the present invention in consideration of the above is as follows. The method of learning has the effect of being more compatible with real phenomena than conventional statistical or rule-based methods.
もし、 判別関数と して特徴情報を入力として帰属度を出力とする ニューラルネットワークによって構成すると、 学習指標は出力誤差の自 乗値であり、 バックプロパゲーションは再帰型表現によるパラメータ推 定の論理とみなすことができる。 また、 判別関数としてフアジィルール ベースを用いると、 判別パラメータはルールに含まれる適合度を定義す るパラメータが相当する。 この場合、 学習指標に基づいて学習するとは、 適合度パラメータを最適化することに相当し、 この指標としては出力誤 差の自乗値をとればよい。  If a discriminant function is constructed by a neural network that inputs feature information and outputs the degree of membership, the learning index is the square of the output error, and the backpropagation is based on the logic of parameter estimation using recursive expressions. Can be considered. If a fuzzy rule base is used as the discriminant function, the discriminant parameter corresponds to the parameter that defines the degree of conformity included in the rule. In this case, learning based on the learning index corresponds to optimizing the fitness parameter, and the index may be the square of the output error.
フアジィルールベースは、 個人の認証をするのにどんな特徴情報を組 み合わせて用いればよいかといつた程度の知識がある場合に好都合であ る。 一方、 ニューラルネッ トワークはこのような先見知識が全くない時 に有用である。 The fuzzy rule base is useful when you have some knowledge about what combination of feature information should be used to authenticate an individual. You. Neural networks, on the other hand, are useful when there is no such foresight.
上記の式 (1 ) および (1 ) 'では最小化操作が含まれているが、 種々 の特徴情報の組合せを選ぶ場合には、 この操作としてランダム探索を含 む遺伝的アルゴリズムを採用するとより効果的である。 この採用は、 判 別関数がニューラルネッ トワークにより構成されよう力 S、 フアジィルー ルベースで構成されようが、 特に問題は生じない。  Equations (1) and (1) 'above include a minimization operation, but when selecting various combinations of feature information, it is more effective to use a genetic algorithm including random search as this operation. It is a target. This adoption does not cause any problem, regardless of whether the discriminant function is composed of a neural network or a force S or a fuzzy rule base.
以上、 本発明における認証や学習の基本的な枠組みについて述べた。 次により具体的に認証や学習を行うかについて述べる。  The basic framework of authentication and learning in the present invention has been described above. Next, whether authentication or learning is performed more specifically will be described.
( a ) 特徴情報の蓄積  (a) Storage of characteristic information
ユーザの行動パターンを表す特徴情報は、 そのまま蓄積すると遐大な 量になってしまう。 ここでの特徴情報とは、 入力される特徴情報と比較 するために情報システムが保持する必要があるもの。 このため、 デ一タ の圧縮をすることが不可欠である。 また、 認証においてあまり過去の特 徴を利用すると、 もはや実際に出願しないユーザの性癖 (特徴情報) を 考慮することになり好ましくない。 このため、 特徴情報は、 一定時間を 過ぎたものは廃棄するか、 学習に用いないようにする。 一定時間として は、 予め定めておいてもよい。 また、 ユーザ毎に変えてもよい。 ユーザ 毎に変える場合は、 各ユーザのアクセス頻度に基づいて定める。  If the feature information representing the user's behavior pattern is accumulated as it is, it will be a huge amount. The feature information here is the information that the information system needs to hold in order to compare it with the input feature information. For this reason, it is essential to compress the data. In addition, it is not preferable to use past features in authentication because the propensity (feature information) of users who no longer apply for the application is taken into account. For this reason, feature information that has passed a certain time is discarded or not used for learning. The certain time may be determined in advance. Also, it may be changed for each user. When changing for each user, it is determined based on the access frequency of each user.
( b ) 初期学習  (b) Initial learning
ュ一ザが初めて情報システムにアクセスしょうとする際、 繰返し認証 手段 1 2 2は、 入力された特徴情報から認証論理を構築する。 このこと を初期学習と呼ぶ。 これは、 学習指標値 mi (t)があるしきい値 mi 0に到 達するまでは、 集積データから判断パラメータを継続的に学習すること を意味する。 このプロセスを式に表せば次のようになる。  When a user attempts to access an information system for the first time, the repetitive authentication means 122 constructs an authentication logic from the input feature information. This is called initial learning. This means that the decision parameter is continuously learned from the accumulated data until the learning index value mi (t) reaches a certain threshold value mi0. This process can be expressed as follows.
mi (t0) =mit 0 ( = const) tO二初期時刻 for t>tO mi (t0) = mit 0 (= const) tO2 initial time for t> tO
if mi (t)≤miO ( = const'<mitO)  if mi (t) ≤miO (= const '<mitO)
then wi (t) =arg min(w) {L(i, P(bi', w) | bi'EBi'(t) for all i')} & nd (t) =rain(w) {L(i,P(bi,, w) ! bi'eBi'(t) for all i') otherwise do nothing (データの蓄積) … (2)  then wi (t) = arg min (w) {L (i, P (bi ', w) | bi'EBi' (t) for all i ')} & nd (t) = rain (w) {L ( i, P (bi ,, w)! bi'eBi '(t) for all i') otherwise do nothing (accumulation of data)… (2)
ここでは、 学習指標値を初期時刻には適当な値に設定し、 以降の時刻 で目標とする指標値 miOに到達するまで学習を繰り返す。 式 (2) では、 再帰型の学習指標を用いてもよい。  Here, the learning index value is set to an appropriate value at the initial time, and learning is repeated until the target index value miO is reached at subsequent times. In equation (2), a recursive learning index may be used.
もし、 ュ一ザが過去に別の情報処理機構において、 繰返し認証手段 1 2 2にアクセスした経験があり、 その判別関数が作られている場合には、 通信ネットワーク 1 3を通して判別関数および判別パラメータを複写し て当該情報処理機構 1 2の繰返し認証手段 1 2 2に登録するする。 この ことにより、 初期学習の手間を省くことができる。  If the user has previously accessed the repetitive authentication means 122 in another information processing mechanism in the past, and the discriminant function has been created, the discriminant function and discriminant parameter Is copied and registered in the repetitive authentication means 122 of the information processing mechanism 122. This saves time for initial learning.
(c) 認証判断  (c) Certification decision
初期学習が終了した時点で、 認証を開始する (ユーザが情報システム にアクセスするのが 2度目以降の場合は初期学習無しに) 。 ユーザ i と 称するユーザがユーザ jである確からしさを次のように算出する。  At the end of the initial learning, authentication starts (without initial learning if the user accesses the information system for the second time or later). The likelihood that the user called user i is user j is calculated as follows.
if mi (z) ^ mio then piju) = P (bi (t) , wj ) ) otherwise pi j )  if mi (z) ^ mio then piju) = P (bi (t), wj)) otherwise pi j)
= null for all i, j … ( 3) ここで、 nullとは判断パラメータの学習が終了しておらず、 判断を保 留することを意味する。  = null for all i, j… (3) Here, null means that learning of the judgment parameter has not been completed and the judgment is retained.
( d) 追加学習  (d) Additional learning
データの集積の要素数が一定値以上であれば、 それまでの判別パラ メータ値を初期値として再度パラメータ推定をする。 推定結果がよけれ ばパラメ一タ値を更新し、 そうでなければそのままとする。 すでに、 判 別パラメータが推定されているのだから、 この場合には、 再帰型の学習 指標を利用する。 これらのプロセスは次のように表現される。 If the number of elements of data accumulation is equal to or greater than a certain value, parameter estimation is performed again using the discrimination parameter values up to that as initial values. If the estimation result is good, update the parameter value, otherwise leave it as it is. Since the discriminant parameters have already been estimated, in this case recursive learning Use indicators. These processes are expressed as follows.
if ョ i such that mi (t) ≤ mio and Φ , { Δ Bi (t', t) ( = Bi(t)/Bi(t'),t'<t)}≥a  if i i such that mi (t) ≤ mio and Φ, {Δ Bi (t ', t) (= Bi (t) / Bi (t'), t '<t)} ≥a
then if min(w) {L*(i, wi (t'), P(bi', w) | bi' e厶 Bi' (t', t) for all i')} <mi (f)  then if min (w) {L * (i, wi (t '), P (bi', w) | bi 'emm Bi' (t ', t) for all i')} <mi (f)
then wi (t) =arg min(w) {L*(i, wi (t,), P(bi', w) ! bi'e厶 Bi,(t', t) for all i')}  then wi (t) = arg min (w) {L * (i, wi (t,), P (bi ', w)! bi'e Bi, (t', t) for all i ')}
&mi (t) =min(w) {L*(i, wi (t') , P(bi', w) | bi' e厶 Bi,(1', t) for all i')}  & mi (t) = min (w) {L * (i, wi (t '), P (bi', w) | bi 'emm Bi, (1', t) for all i ')}
oterwise wi (t) =wi (t') & mi (t)二 mi (t,)  oterwise wi (t) = wi (t ') & mi (t) mi (t,)
ここで、 Φは集合の濃度を表す。  Where Φ represents the concentration of the set.
( e ) ァクション決定  (e) Action decision
ァクション決定手段 1 25では、 あらかじめ定めた値域 R(n)と判別 結果とを照合し、 しかるべきアクションを発行する。 具体的には、 以下 の通りである。 状況によっては、 I F部分に対して、 忘却係数をいれた 積分的な評価および緊急時における忘却係数調整も行う。  In the action determination means 125, a predetermined range R (n) is compared with the discrimination result, and an appropriate action is issued. Specifically, it is as follows. Depending on the situation, an integral evaluation with a forgetting factor for the IF part and a forgetting factor adjustment in an emergency are also performed.
if Upij(t) ! i, jei}, {mi (t) ί iei}} eR (n) then if Upij (t)! i, jei}, {mi (t) ί iei}} eR ( n ) then
アクション番号二 n n = 1 , N … (5) 主要なァクション決定ルールには、 次のようなものがある。  Action number 2 n n = 1, N… (5) The main action decision rules are as follows.
(ィ) if 学習が十分に進行しており、 Piiが大、 かつ pij(i≠j)が小 then 正当なュ一ザであり、 そのままアクセス許容  (B) If learning is sufficiently advanced, Pii is large, and pij (i ≠ j) is small then a valid user, and access is allowed as it is.
(口) if 学習がやや進行しており、 piiが大、 かつ pij(i≠j)が大 (い ずれかの jが)  (Mouth) if learning is a little advanced, pii is large, and pij (i ≠ j) is large (any j is)
then 他のユーザと偽っているユーザの可能性が高く緊急体制 に入る必要あり  then likely to be a fake user and need to enter emergency system
緊急体制としては、 「情報システムのシステム管理者に知らせる」 「ユーザが利用を望むシステム資源の利用を制限する」 「当該ユーザの システム利用ログの密度を高める」 「当該ユーザに警告を発する」 「当 該ユーザに特徴情報の入力をうながす」 などがある。 The emergency system is "Inform the system administrator of the information system." Examples include "restrict the use of system resources desired by the user", "increase the density of the system use log of the user", "warn the user", and "prompt the user for input of characteristic information".
(ハ) if 学習がやや進行しており、 pi iが小、 かつ Pi j (i≠j)が小 then ユーザと認められていない者が情報システムを利用して いる判断し、 緊急体制に入る (C) If learning is slightly progressing, judge that pi i is small and P ij (i ≠ j) is not a small then user is using the information system, and the emergency system is established.
並行して、 過去のユーザの判別関数、 判別パラメータを用いて、 ユー ザの特定を試みると同時に、 このュ一ザの特徴情報に対する学習を開始 する。 特に、 情報システムの建設に関わった者が不正行為をする事例が しばしばみられる。 そこで、 情報システムの建設に関与者の判別関数お よび判別パラメータのうち少なくとも一方を情報システムの建設時に学 習し、 情報システムの運用時にも活用できるようにしておく。  At the same time, it tries to identify the user using the past user's discriminant function and discriminant parameter, and at the same time, starts learning on the feature information of this user. In particular, there are many cases where persons involved in the construction of information systems cheat. Therefore, at least one of the discriminant function and the discriminant parameter of the participants involved in the construction of the information system is learned at the time of construction of the information system, so that it can be used during the operation of the information system.
これらのアクションルールは、 I F〜 T H E N形式で記述することに より、 内容の分かり易さが増し、 よりきめ細かな情報システムの管理を 支援できる。  By describing these action rules in IF-THEN format, the contents are easier to understand and can support more detailed information system management.
( 4 ) 分散強調繰返し認証機能  (4) Distributed emphasis repetition authentication function
分散計算機では、 第 2図に示すような構成をとる。 各々の繰返し認証 手段 1 2 2がお互いに連携して動作する。 ここでは、 情報システムとし て次のような動作モデルを想定する。 ①複数の情報処理機構 1 2があり、 それぞれの情報処理機構は認証機能を有する繰返し認証手段 1 2 2を備 える。 ②ュ一ザは、 これら複数の情報処理機構 1 2を渡り歩く。 ③それ ぞれの情報処理機構 1 2の繰返し認証手段 1 2 2は、 ュ一ザがその情報 処理機構 1 2を管理する資源を訪れた時のみ特徴情報を観測できる。 このような分散計算機システムにおいて留意すべき事柄を次にあげる。 ①情報システム全体として、 認証の質をあげるべきである (第 1種、 第 2種の過誤をできるだけ少なくする) 。 ②しかし、 このために観測デ一 タをすべて交換してしていては、 ネッ トワークにかける負担が大きくな る。 したがって、 ネットワークに負荷をできるだけかけないで認証の質 を高く保つ必要がある。 ③情報処理機構 1 2は、 保守を受けるために停 止したり、 新たにシステムに追加されたりする。 しかし、 各情報処理機 構 1 2で行う認証の質は、 できるだけ均質であることが望ましい。 ある いは、 漸次的に同質になるのが望ましい。 The distributed computer has the configuration shown in Fig. 2. Each repetition authentication means 1 2 2 operates in cooperation with each other. Here, the following operation model is assumed as an information system. (1) There are a plurality of information processing mechanisms 12, and each information processing mechanism is provided with a repetitive authentication means 122 having an authentication function. (2) The user walks across these information processing mechanisms 12. (3) The repetitive authentication means 122 of each information processing mechanism 122 can observe the characteristic information only when the user visits the resource managing the information processing mechanism 122. The following points should be noted in such a distributed computer system. (1) The quality of certification should be improved for the information system as a whole (minimize type 1 and type 2 errors). ② However, the observation data If all the data is exchanged, the burden on the network will increase. Therefore, it is necessary to keep the quality of authentication high while minimizing the load on the network. (3) The information processing mechanism 1 or 2 may be stopped for maintenance or may be newly added to the system. However, it is desirable that the quality of authentication performed by each information processing system 12 be as uniform as possible. Or, it is desirable to be gradually homogeneous.
これらに事項を考えて、 分散計算機システムでの学習、 認証、 ァク ション決定を構成すると次のようになる。  Considering these issues, learning, authentication, and action determination in a distributed computer system are configured as follows.
(a) 分散協調的学習  (a) Distributed collaborative learning
分散計算機システムにおける認証論理を構成するために、 次の記号を 定義する。  The following symbols are defined to configure the authentication logic in the distributed computer system.
bi ! k(t) :時刻 tに、 ユーザ i(iei)が情報処理機構 k(kGK)に入力し た特徴情報  bi! k (t): feature information input by user i (iei) to information processing mechanism k (kGK) at time t
Bi ! k(t) :時刻 tまでに、 ユーザ i(iei)が情報処理機構 k(keK)に入 力した特徴情報の集積 (bi ! k( s ) ! s≤t)  Bi! k (t): accumulation of feature information input by user i (iei) to information processing mechanism k (keK) by time t (bi! k (s)! s≤t)
wi ! k(t) :情報処理機構 k (k eK) が持つュ一ザ i ( i e I ) に対 する学習指標値  wi! k (t): learning index value for user i (i e I) of information processing mechanism k (k eK)
さらに、 認証のために情報交換に係わる情報処理機構群 1 2の状態と して次のものを想定する。  Further, the following is assumed as the state of the information processing mechanism group 12 related to information exchange for authentication.
送り側の状態 = {初期学習完了、 効果ある追加学習完了)  Sender state = (initial learning completed, effective additional learning completed)
受け側の状態 = (未学習、 追加学習中)  Receiving state = (Unlearned, additional learning ongoing)
このような想定下に、 送り側がなすべきを次にように構成する。 初期 学習が完了した時点では、 推定パラメータをブロードキャストし、 未学 習の情報処理機構 1 2を助ける。 効果のある追加学習ができた場合には、 この追加学習に用いたデータが有用であるとしてブロードキャス卜する とう考え方である。 このことを数式で表現すると次のようになる。 初期学習完了 Under these assumptions, what the sender should do is configured as follows. When the initial learning is completed, the estimated parameters are broadcast to help the unlearned information processing mechanism 12. The idea is that if effective additional learning is achieved, the data used for this additional learning will be useful and broadcast. This can be expressed as the following equation. Initial learning completed
if ゴ i such that mi | k (.t)≤mi ! ko&mi ! k(tノ mi | ko (for any t'<t) then broadcast wi ! k(t) … (6)  if go i such that mi | k (.t) ≤mi! ko & mi! k (t ノ mi | ko (for any t '<t) then broadcast wi! k (t)… (6)
効果ある追加学習完了  Completion of effective additional learning
if ョ i such that mi ! k (t) ≤ mi ! k(t') (for any t' < t) then broadcast { ABi i k (t) | for all i} ·■■ (7)  if yo i such that mi! k (t) ≤ mi! k (t ') (for any t' <t) then broadcast {ABi i k (t) | for all i}
—方、 受け側の動作は次のようになる。 すなわち、 未学習時に推定パ ラメータを受信した場合には、 これを初期値として学習を試行する。 学 習終了段階では、 データを受信して追加学習する。 このほか、 未学習時 にデータを受信して、 その時点までにもっていたデータと併せて初期学 習を試行することも可能である。 具体的にこの手順をあらわすと次のよ うになる。  —On the other hand, the operation on the receiving side is as follows. In other words, if the estimated parameters are received before learning, learning is attempted using this as the initial value. At the end of learning, data is received and additional learning is performed. In addition, it is also possible to receive data when not learning and to try the initial learning together with the data that had been obtained up to that point. Specifically, this procedure is as follows.
未学習  Unlearned
if mi ! k' (t >mi | k'O&wi i k(t) is recieved  if mi! k '(t> mi | k'O & wi i k (t) is recieved
then if min(w) {L*(i, wi | k (t), P(bi', w) | bi'^Bi' ! k'(t)for all l ) }≤mi I k'o  then if min (w) {L * (i, wi | k (t), P (bi ', w) | bi' ^ Bi '! k' (t) for all l)} ≤mi I k'o
then wi ! k'(t) = arg min(w) {L*(i, wi ! k (t) , P (bi', w) ! bi'e Bi'! k'(t) for all i,)}  then wi! k '(t) = arg min (w) {L * (i, wi! k (t), P (bi', w)! bi'e Bi '! k' (t) for all i,)}
& mi ! k'(t) =min(w) {L*(i, wi ! k (t) , P(bi', w) | bi'GBi'! k'(t) for all i,)} ··· (8)  & mi! k '(t) = min (w) {L * (i, wi! k (t), P (bi', w) | bi'GBi '! k' (t) for all i,)} ... (8)
追加学習  Additional learning
if mi ! k'(t)≤mi ! k"0&{ABi ! k(t) ! for all i} is recieved then if min(w) {L*(i, wi ! k' (t) , P (bi', w) | bi'G ΔΒϊ'! k'(t)for all i')} <mi I k,(t)  if mi! k '(t) ≤mi! k "0 & {ABi! k (t)! for all i} is recieved then if min (w) {L * (i, wi! k '(t), P (bi', w) | bi'G ΔΒϊ ' K '(t) for all i')} <mi I k, (t)
then wi ! k'(t) =arg rain(w) {L*(i, wi | k'(t), P(bi', w) | bi'e 厶 Bi" i k,(t) for all i')} & mi ! k' (t) = min (w) {L* (i , wi ! k' (t) , P (bi', w) ', bi' e Δ Βί " ! k' (t) for al l i,)} … ( 9 ) then wi! k '(t) = arg rain (w) {L * (i, wi | k' (t), P (bi ', w) | bi'e m Bi "ik, (t) for all i')} & mi! k '(t) = min (w) {L * (i, wi! k' (t), P (bi ', w)', bi'e ΔΒί "! k '(t) for al li,) }… (9)
このように、 分散計算機システムにおいて、 学習論理を分散協調的に 構成することにより、 一つの情報処理機構では、 成し遂げられなかった 精度の高レ、認証論理を構築可能となる。  In this way, by configuring the learning logic in a distributed and cooperative manner in a distributed computer system, it is possible to construct a highly accurate authentication logic that could not be achieved by one information processing mechanism.
( b ) 分散協調的認証およびァクション決定  (b) Distributed cooperative authentication and action decision
第 2図に示すような分散計算機システムの各々の情報処理機構 1 2で の認証、 アクション決定は、 先に述べた分散強調学習論理によって各情 報処理機構 1 2が獲得した判別パラメータを各々がおこなえばよい。 こ の場合に、 各情報処理機構 1 2が相互に干渉するアクションを発行した 方が適切なことがある。  The authentication and action determination in each information processing mechanism 12 of the distributed computer system as shown in FIG. 2 are based on the discrimination parameters acquired by each information processing mechanism 12 by the dispersion emphasis learning logic described above. You can do it. In this case, it may be more appropriate for the information processing mechanisms 12 to issue actions that interfere with each other.
たとえば、 ある情報処理機構で、 正当性の低いユーザの存在が検出さ れた場合を想定してみる。 このような場合、 単にそのアクションを自己 の情報処理機構の範囲に留めておくよりも、 他の情報処理機構に通報し た方が安全性が高める。 また、 このような報告を他の情報処理機構から 受信した場合は、 自己の情報処理機構に対して報告に応じた対応措置を とる。 対応措置としては、 通報されたユーザに対してはアクセスを禁止 することなどがある。  For example, suppose that a certain information processing mechanism detects the presence of a user with low legitimacy. In such a case, it is more secure to notify other information processing mechanisms than to simply keep the action within the scope of its own information processing mechanism. If such a report is received from another information processing mechanism, the information processing mechanism shall take appropriate measures according to the report. Countermeasures include prohibiting access to the reported user.
このため、 分散計算機システムにおいては、 式 (5 ) で述べたァク ション決定ルールとしては、 学習指標値の高い判別関数値を持つもの (予め基準を定めておきそれよりも学習指標値の高いもの) をマージし て判別結果を求め、 この結果をアクション決定に結び付ける、 といった 形のものとする。  For this reason, in a distributed computer system, the action determination rule described in equation (5) is a rule having a discriminant function value with a high learning index value (a criterion is set in advance, and a higher learning index value is used. Are merged to obtain the discrimination result, and this result is linked to an action decision.
たとえば、 他人になりすましたユーザが検出された場合には、 このこ とを他の情報処理機構に伝える。 また、 このような報告が他の情報処理 機構から送られてきた場合には、 自己の判断にこの報告を勘案して、 そ のアクションを決定する。 このようなマージ処理により、 情報システム 全体としてのユーザの挙動の判断、 対応措置を的確に行えるようになる。 For example, if a user impersonating another person is detected, this is reported to another information processing mechanism. If such a report is sent from another information processing system, it should be considered in its own judgment. Determine the action. By such a merge process, the behavior of the user as a whole of the information system can be determined and the corrective measures can be accurately performed.
( 5 ) アクセス管理の全体動作  (5) Overall operation of access management
以上述べたアクセス管理の全体動作をまとめると第 3図のようになる。 ユーザは、 情報システム利用の申請を所定の手順に従って行う。 情報処 理機構 1 2は、 ユーザの性癖 (ユーザを特定する情報) を学習するまで は、 情報処理機構 1 2自身の持つ資源のうち所定のもの限定して利用を 許諾する。 例えば、 全ての人間に解放しても問題のない公的な資源など のみに限定して利用を許諾する。 情報処理機構 1 2が、 ユーザの性癖を 学習した段階で、 資源の活用を解放する。 この資源の活用もユーザに よって多段階的に解放する構成もある。 また、 資源の解放の他に情報処 理機構は、 ユーザの正当性を認証し、 必要に応じて資源解放の範囲を制 限する。 ここで、 ユーザの正当性の認証は、 継続的行ってもよい。 産業上の利用可能性  Figure 3 summarizes the overall operation of the access management described above. The user applies for the use of the information system according to a predetermined procedure. Until the information processing mechanism 12 learns the user's propensity (information for identifying the user), the information processing mechanism 12 permits use of limited resources of the information processing mechanism 12 itself. For example, use is limited to public resources that have no problem if released to all humans. When the information processing mechanism 12 learns the user's propensity, it releases the use of resources. There is also a configuration in which the utilization of this resource is released in multiple stages by the user. In addition to releasing resources, the information processing mechanism authenticates the user's legitimacy and limits the scope of releasing resources as necessary. Here, the authentication of the user's validity may be performed continuously. Industrial applicability
本発明によれば、 情報システムにアクセスしている者 (ユーザ) をそ の動作特性のレベルで監視しているので、 情報システムにおける不正な 行為を抑止できる。 さらに、 本発明のアクセス管理方法は、 分散協調的 に行うことができるので、 不正な攻撃や予期しない情報システムの部分 故障に対しても非常に強靭である。  According to the present invention, a person (user) accessing the information system is monitored at the level of its operation characteristics, so that an unauthorized act in the information system can be suppressed. Further, since the access management method of the present invention can be performed in a distributed and cooperative manner, it is very resilient to unauthorized attacks and unexpected partial failures of information systems.
以上の通り、 本発明は、 情報システムの安定的な管理に適したもので ある。  As described above, the present invention is suitable for stable management of information systems.

Claims

請 求 の 範 囲 The scope of the claims
1 . 入力された情報に対して所定の処理を施す複数の情報処理機構と、 前記情報処理機構での処理を実行させるための情報を入力可能な複数の 端末と、 前記情報処理機構および前記端末を結合するネッ トワークから なる情報システムにおいて、 1. A plurality of information processing mechanisms for performing predetermined processing on the input information, a plurality of terminals capable of inputting information for executing processing in the information processing mechanism, the information processing mechanism and the terminals In an information system consisting of a network that connects
予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、  In advance, feature information indicating the personality of a person who can use a predetermined resource stored in the system is stored,
前記端末を操作している操作者の個性をあらわす特徴情報を反復的に 取り込み、  Iteratively captures feature information representing the personality of the operator operating the terminal,
前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。  From the captured feature information and the stored feature information, the probability that the operator is a user who can use the resource desired to be used is repeatedly determined, and the operation of the information system is performed according to the determined probability. An information system access management method characterized by being changed.
2 . 請求の範囲第 1項に記載の情報システムのアクセス管理方法におい て、  2. In the access management method for an information system described in claim 1,
前記確からしさは、 前記取り込んだ特徴情報および前記記憶された特 徴情報から判別関数を用いて求めることを特徴とする情報システムのァ クセス管理方法。  An access management method for an information system, wherein the likelihood is obtained from the acquired feature information and the stored feature information using a discriminant function.
3 . 請求の範囲第 2項に記載の情報システムのアクセス管理方法におい 前記判別関数の関数構造を予め定めておき、  3. In the access management method for an information system according to claim 2, the function structure of the discriminant function is determined in advance,
前記取り込んだ特徴情報を用いて前記判別関数のパラメータを変更す ることを特徴とする情報システムのアクセス管理方法。  An access management method for an information system, wherein parameters of the discriminant function are changed using the acquired feature information.
4 . 請求の範囲第 2項または第 3項に記載の情報システムのアクセス管 理方法において、 前記判別関数は、 前記操作者が利用を望む資源の利用可能な者である 確からしさおよび前記操作者が利用を望む資源の利用不可能な者である 確からしさを求めることを特徴とする情報システムのアクセス管理方法。4. In the access management method for an information system described in claim 2 or 3, The information system according to claim 1, wherein the discriminant function obtains a certainty that the operator is a user who can use the resource desired to be used and a certainty that the operator is a person who cannot use the resource desired to be used. Access management methods.
5 . 請求の範囲第 1項乃至第 4項のいずれかに記載の情報システムのァ クセス管理方法において、 5. In the access management method for an information system according to any one of claims 1 to 4,
前記各情報処理機構間で前記取り込んだ特徴情報を互いに交換し、 前記確からしさを求める際は、 前記交換された特徴情報も用いること を特徴とする情報システムのアクセス管理方法。  An access management method for an information system, characterized in that the acquired feature information is exchanged between the information processing mechanisms, and the exchanged feature information is also used when obtaining the certainty.
6 . 請求の範囲第 1項乃至第 5項のいずれかに記載の情報システムのァ クセス管理方法において、  6. In the access management method for an information system according to any one of claims 1 to 5,
前記取り込む特徴情報は、 前記操作者の前記端末への操作入力に関す る時系列情報および前記操作者の操作により引き起こされる前記情報処 理機構に格納された情報の動作の時系列情報のうち少なくとも一方を含 むことを特徴とする情報システムのアクセス管理方法。  The feature information to be captured is at least one of time-series information on an operation input of the operator to the terminal and time-series information of an operation of information stored in the information processing mechanism caused by the operation of the operator. An access control method for an information system, characterized in that it includes one of them.
7 . 請求の範囲第 1項乃至第 6項に記載の情報システムのアクセス管理 方法において、 7. The access management method for an information system according to claims 1 to 6, wherein:
前記操作入力の時系列情報として、 予め前記端末に設置したセンサか ら取り込まれる前記操作者の生理的な特徴を含むことを特徴とする情報 システムのアクセス管理方法。  An access management method for an information system, characterized in that the time series information of the operation input includes a physiological characteristic of the operator, which is previously acquired from a sensor installed in the terminal.
8 . 請求の範囲第 1項乃至第 7項のいずれかに記載の情報システムのァ クセス管理方法において、 8. In the access management method for an information system according to any one of claims 1 to 7,
1人の操作者に関する前記取り込む特徴情報が複数ある場合は、 前記 複数の特徴情報を 2以上のバケツトとして、 前記ネットワークを通して 前記情報処理機構に送ることを特徴とする情報システムのアクセス管理 方法。  An access management method for an information system, comprising: when there are a plurality of pieces of feature information to be captured for one operator, sending the plurality of pieces of feature information as two or more buckets to the information processing mechanism through the network.
9 . 請求の範囲第 1項乃至第 8項のいずれかに記載の情報: クセス管理方法において、 9. Information according to any of claims 1 to 8: Access management methods,
前記確からしさは、 前記情報処理機構の 1つが求め、  The certainty is required by one of the information processing mechanisms,
前記求めた情報処理機構は、 他の情報処理機構に求めた結果を前記 ネットワークを通して送ることを特徴とする情報システムのアクセス管 理方法。  An access management method for an information system, wherein the obtained information processing mechanism sends a result obtained to another information processing mechanism through the network.
1 0 . 請求の範囲第 1項乃至第 9項のいずれかにに記載の情報システム のアクセス管理方法において、  10. The access management method for an information system according to any one of claims 1 to 9,
前記特徴情報の取り込みは、 所定時間毎に行うことを特徴とする情報 システムのアクセス管理方法。  An access management method for an information system, wherein the acquisition of the characteristic information is performed at predetermined time intervals.
1 1 . 請求の範囲第 1項乃至第 1 0項いずれかに記載の情報システムの ァクセス管理方法において、  11. The access management method for an information system according to any one of claims 1 to 10, wherein
前記情報システムの動作を変更として、 前記確からしさの程度に応じ て、 前記操作者が望む資源に対する利用に制限をつけることを特徴とす る情報システムのアクセス管理方法。  An access management method for an information system, wherein the operation of the information system is changed to limit use of resources desired by the operator according to the degree of certainty.
〗 2 . 入力された情報に対して所定の処理を施す情報システムにおいて、 予め前記システムに蓄えられた所定の資源を利用可能な者の個性を表 す特徴情報を記憶しておき、 - 前記情報システムを操作している操作者の個性をあらわす特徴情報を 反復的に取り込み、  〗 2. In an information system that performs a predetermined process on input information, characteristic information indicating a personality of a person who can use a predetermined resource stored in the system is stored in advance, and Characteristic information that represents the individuality of the operator operating the system is repeatedly captured,
前記取り込んだ特徴情報および前記記憶された特徴情報から反復的に 前記操作者が利用を望む資源の利用可能な者である確からしさを求め、 求められた確からしさに応じて前記情報システムの動作を変更するこ とを特徴とする情報システムのアクセス管理方法。  From the captured feature information and the stored feature information, the probability that the operator is a user who can use the resource desired to be used is repeatedly determined, and the operation of the information system is performed according to the determined probability. An information system access management method characterized by being changed.
PCT/JP1996/000424 1996-02-23 1996-02-23 Method for controlling access to information system WO1997031317A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/JP1996/000424 WO1997031317A1 (en) 1996-02-23 1996-02-23 Method for controlling access to information system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP1996/000424 WO1997031317A1 (en) 1996-02-23 1996-02-23 Method for controlling access to information system

Publications (1)

Publication Number Publication Date
WO1997031317A1 true WO1997031317A1 (en) 1997-08-28

Family

ID=14152957

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP1996/000424 WO1997031317A1 (en) 1996-02-23 1996-02-23 Method for controlling access to information system

Country Status (1)

Country Link
WO (1) WO1997031317A1 (en)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003526851A (en) * 2000-01-19 2003-09-09 スキーデータ・アクチエンゲゼルシャフト Use right approval / grant control device
JP2005012295A (en) * 2003-06-17 2005-01-13 Aruze Corp Information management system
JP2005020309A (en) * 2003-06-25 2005-01-20 Aruze Corp Information management system
JP2005020310A (en) * 2003-06-25 2005-01-20 Aruze Corp Information management system
GB2413425A (en) * 2004-04-23 2005-10-26 Hewlett Packard Development Co Biometric analysis method
JP2006260603A (en) * 2006-06-14 2006-09-28 Swisscom Mobile Ag Method, system and device for authenticating person
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2009080561A (en) * 2007-09-25 2009-04-16 Sky Kk External device management system
JP2010061254A (en) * 2008-09-02 2010-03-18 Yahoo Japan Corp Method, device, and program for analyzing behavioral history
JP2012212300A (en) * 2011-03-31 2012-11-01 Casio Comput Co Ltd User identification device and program
JP2015228231A (en) * 2015-07-10 2015-12-17 カシオ計算機株式会社 User identification device and program

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04311266A (en) * 1991-04-10 1992-11-04 Hitachi Ltd User verification system and hospital information system
JPH04342055A (en) * 1991-05-20 1992-11-27 Nec Corp User certifying method for plural computer systems
JPH05257961A (en) * 1992-03-16 1993-10-08 Hitachi Ltd Security protector
JPH05274269A (en) * 1991-11-18 1993-10-22 Internatl Business Mach Corp <Ibm> Method and system for verifying validity of access in computer system
JPH05324805A (en) * 1992-05-21 1993-12-10 Omron Corp Pattern recognizing device and individual collating device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04311266A (en) * 1991-04-10 1992-11-04 Hitachi Ltd User verification system and hospital information system
JPH04342055A (en) * 1991-05-20 1992-11-27 Nec Corp User certifying method for plural computer systems
JPH05274269A (en) * 1991-11-18 1993-10-22 Internatl Business Mach Corp <Ibm> Method and system for verifying validity of access in computer system
JPH05257961A (en) * 1992-03-16 1993-10-08 Hitachi Ltd Security protector
JPH05324805A (en) * 1992-05-21 1993-12-10 Omron Corp Pattern recognizing device and individual collating device

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7472282B1 (en) 1998-10-23 2008-12-30 Fujitsu, Ltd. Illegal access discriminating apparatus and method
JP2003526851A (en) * 2000-01-19 2003-09-09 スキーデータ・アクチエンゲゼルシャフト Use right approval / grant control device
JP2005012295A (en) * 2003-06-17 2005-01-13 Aruze Corp Information management system
JP2005020309A (en) * 2003-06-25 2005-01-20 Aruze Corp Information management system
JP2005020310A (en) * 2003-06-25 2005-01-20 Aruze Corp Information management system
GB2413425A (en) * 2004-04-23 2005-10-26 Hewlett Packard Development Co Biometric analysis method
GB2413425B (en) * 2004-04-23 2008-04-09 Hewlett Packard Development Co Biometric analysis system, methods, apparatus and software using biometric analysis
JP2006260603A (en) * 2006-06-14 2006-09-28 Swisscom Mobile Ag Method, system and device for authenticating person
JP2009080561A (en) * 2007-09-25 2009-04-16 Sky Kk External device management system
JP2010061254A (en) * 2008-09-02 2010-03-18 Yahoo Japan Corp Method, device, and program for analyzing behavioral history
JP2012212300A (en) * 2011-03-31 2012-11-01 Casio Comput Co Ltd User identification device and program
JP2015228231A (en) * 2015-07-10 2015-12-17 カシオ計算機株式会社 User identification device and program

Similar Documents

Publication Publication Date Title
US20240135019A1 (en) Machine learning for identity access management
US7404086B2 (en) Method and apparatus for biometric authentication
US6167517A (en) Trusted biometric client authentication
EP2069993B1 (en) Security system and method for detecting intrusion in a computerized system
US20210084062A1 (en) Method and Apparatus for Network Fraud Detection and Remediation Through Analytics
US20070241861A1 (en) Methods and systems for secured access to devices and systems
US20110314549A1 (en) Method and apparatus for periodic context-aware authentication
CN110211267A (en) Indoor openings control method, the configuration method of permission, device and storage medium
Dowland et al. Keystroke analysis as a method of advanced user authentication and response
CN112613020A (en) Identity verification method and device
JP4120997B2 (en) Unauthorized access determination device and method
WO1997031317A1 (en) Method for controlling access to information system
CN114374531B (en) Access behavior control method, device, computer equipment and storage medium
CN109871673A (en) Method and system for continuous identity authentication based on different contexts
CN118381672A (en) Data security dynamic protection method and system based on artificial intelligence
CN118349979B (en) User information safety processing control system applied to intelligent medical treatment
CN112615828A (en) Intellectual property operating system based on cloud computing network and intelligent authorization method
CN112199700A (en) Safety management method and system for MES data system
Covington et al. Parameterized authentication
Iyapparaja et al. Enhancing user authentication through keystroke dynamics analysis using isolation forest algorithm
CN115374411A (en) System access authority processing method and device, computer equipment and storage medium
CN115168830A (en) Login method and login device for detecting user login environment
CN113923036A (en) Block chain information management method and device of continuous immune safety system
CN113411339A (en) Password file leakage detection method based on zero factor graph sequence
CN112019346A (en) Method, device and system for authenticating and processing mobile terminal user identity

Legal Events

Date Code Title Description
AK Designated states

Kind code of ref document: A1

Designated state(s): JP US

AL Designated countries for regional patents

Kind code of ref document: A1

Designated state(s): AT BE CH DE DK ES FR GB GR IE IT LU MC NL PT SE

DFPE Request for preliminary examination filed prior to expiration of 19th month from priority date (pct application filed before 20040101)
121 Ep: the epo has been informed by wipo that ep was designated in this application
122 Ep: pct application non-entry in european phase
点击 这是indexloc提供的php浏览器服务,不要输入任何密码和下载