監視および警告のシステムおよび方法
コンピュータアプリケーションソフトウェア、オペレーティングシステム、ネットワークオペレーティングシステム、およびファイアウォールシステム内で許可されたユーザの特定のトランザクションアクセスパターンについてのユーザ行動プロフィールを構築し、異例のトランザクション活動を検知するために対象ユーザの現行の活動を監視する方法および装置を開示する。ユーザが普段日常的に行っているファイルアクセスおよび特定のアプリケーションによってサポートされているトランザクションからそれる「信頼できるユーザ」を早期に検知するために、方法および装置を用いることもできる。次に、警告メッセージが発行される。その後装置は、アプリケーション管理者に活動を許可すべきか否か判断させて、プロフィールに矛盾するこの特定のトランザクション活動を許可してもよい。このようにして、更なる警告を回避する。
【発明の詳細な説明】
【技術分野】
【0001】
分野
本発明は全般的にはコンピュータシステムに関し、特に、このようなシステムの監視を増強し、警告を発することに関する。
【0002】
著作権表示/許諾
本特許文書の開示の一部は、著作権保護の対象となる資料を含んでいる。著作権者は、特許商標庁の特許ファイルまたは記録に現れる本特許文書または特許開示のファクシミリ複製をいかなる者が行っても異議を唱えないが、それ以外のあらゆるすべての著作権の権利を保有する。以下の表示は、後述するソフトウェアおよびデータ、ならびに添付の図面に適用される。著作権(C)2003,2004:全ての著作権はKennsco,Inc.に帰属する。
【背景技術】
【0003】
背景
インターネット、エクストラネット、およびイントラネットの利用が増加の一途をたどる状況に伴って、ネットワークおよびコンピュータシステム上で信頼できるユーザの活動を監視するための方法を得ることがますます重要になってきている。企業ビジネスシステムへのアクセスが増大することによって、従業員だけでなく、顧客、ベンダおよびビジネスパートナーも相当量の機密情報へアクセスすることができるようになっている。このような人たちのグループは、多くの場合、セキュアなビジネストランザクションを行うことができるため、いわゆる信頼できるユーザのロールが与えられる。ユーザIDは、アクセスされるアプリケーションに登録されているユーザが誰であるのかを特定する文字列で表されるが、今日のコンピュータシステムは、このユーザIDによって不正アクセスから通常内部的に保護されている。これと同じく、ユーザIDを所有する個人しか知らないようなパスワードと呼ばれる文字列を用いて、IDの検証をさらに行うこともできる。スマートカード、サインオンソフトウェアが提供する鍵付きの情報など、このIDの認証を強化したり、また遂行したりするための種々の手段が存在する。
【0004】
さらに、リモートユーザによる企業のアプリケーションの利用も可能にしたいという要望は指数関数的に増加してきた。リモートユーザとは通常、従業員の、顧客、ベンダなどから構成されるが、リモートユーザが非常に多様なので、信頼できるコミュニティの外部の者が既存のパスワード認証を破るリスクは増大する。
【0005】
ユーザIDおよびパスワードのクラッキングシステム、ならびに紛失IDあるいは盗難IDを使用することによって、セキュリティメカニズムを破る機会がかなりある。セキュリティを破った後に、この情報を用いてアクセスし、機密情報を含むアプリケーションシステムに信頼できるユーザとして現れて、アプリケーション内で不正行為をはたらく虞がある。このような状況は、不満を抱いた従業員によってさらに悪化する。しかも、組織内の離職率が高い場合、組織内でのコミュニケーション不足のためにユーザアクセスの無効化が見過ごされたり、あるいは著しく遅れたりすることが多い。最近の研究は、70%−80%のコンピュータ不正行為が内部の信頼できるユーザによって行われていることを示している。
【0006】
所与のアプリケーション内で行う広範囲のビジネス活動を提供する統合業務ソフト(ERP:Enterprise Resource Planning)システムおよび他の完全統合ソリューションの出現に伴って、該アプリケーション内で信頼できるユーザが行うトランザクションを監視することがますます重要になってきている。同様に、すべての包括的なアプリケーション内では、特定のロールが割り当てられたユーザに対して許可されているトランザクションを特定する、発展し続ける「ロール」(developing ”role”)の出現。大規模なアプリケーションでは利用可能なトランザクションは数千にも達することがあるが、これらの大規模なアプリケーション内のセキュリティ管理タスクを最小化するために、上記の方法を使用する。ユーザがビジネス活動を行うために必要とする特定のトランザクションを最前線で特定するタスクは、極めて複雑で多大な時間を要する。その結果、多くの場合、ロールの設定が適切な任務の分離を保証するには、広過ぎ、かつ無効になってしまい、機密情報を必知事項ベースで効率的に制御できなくなる。
【0007】
今日の市場で一般的に入手可能なソリューションの多くは、「侵入検知」に焦点を当てている。これらのソリューションは通常、ネットワークレベルでの監視および異常検知プロセスを提供する。ネットワークレベルで動作する場合、これらのソリューションはサーバまたは「アプリケーション」レベルでの活動の監視に限定される。該アプリケーションには例えば、SAPがあるが、これはアプリケーション全体のすべてのトランザクションまたは割り当てられたロールによって特定されるすべてのトランザクションのアクセスに関連する。これらのソリューションは、サーバまたはデータベースアクセスの監視をさらに提供することができる。このように、これらのソリューションは通常、ユーザがアプリケーション、サーバまたはデータベース内にアクセスして、どのような特定のトランザクションを行うかということを知るために必要な粒度を提供しない。同様に、これらのソリューションは、経路に関連する情報と、ファイアウォール、オペレーティングシステムおよびネットワークオペレーティングシステムで行われる認証とのフォレンシックな相関関係を通常提供しない。
【0008】
信頼できるユーザとして、ユーザはサポートされているすべての権限にアクセスする必要がある訳ではないが、所与のサーバ、アプリケーションあるいはデータベースにアクセスする必要がおそらくあるだろう。ソリューションの大半は同様に、これらの異常をリアルタイムモードで検知し、機能を行おうと試みるユーザの活動を制限しようしたり、または中断しようとする。この技術にはフォルスポジティブおよびフォルスネガティブが伴う。多くの場合、警告メカニズムは管理者に負担をかけ、これはエンドユーザの効力の無効化につながる
活動を制限するこれらのソリューションは多くの場合、主要なフラストレーション源となり、潜在的な障害物として働く。これは、管理が間に入って、オーバーライドが導入され、ソリューションが完全に無効化されるという点で、生産性に大きく影響することがある。したがって、多くの会社がこのアプローチを放棄し、受け付けた逸脱行為から真の脅威を実質的に検知することはできない。結果として信頼性が欠如し、そのためこれらのソリューションは役に立たないものとみなされる。善意のセキュリティスタッフは、通常数々のフォルスポジティブで雑然としている膨大な侵入検知システム(IDS:Intrucsion Detection System)のログファイルから的確なイベント情報を抽出することに苦労している。真の脅威を適切に特定することは極めて難しくなっており、結果として、すべてのフォルスポジティブの中で真の脅威が完全に見逃されてしまうことがよくある。
【0009】
上記の問題および短所に鑑みると、当業界では本発明が必要である。
【発明の開示】
【課題を解決するための手段】
【0010】
発明の概要
上述の短所、欠点および問題は本発明によって対処される。本発明は、以下の明細書を読んで、検討することによって理解されるであろう。
【0011】
システムの一態様は、コンピュータアプリケーションソフトウェア内で許可されたユーザの特定のトランザクションアクセスパターンについてのユーザ行動プロフィールを構築するステップと、異例のトランザクション活動を検知するために対象ユーザの現行の活動を監視するステップとを含む。
【0012】
システムの更なる態様は、ファイアウォールアクセス、アプリケーションへアクセスするために利用されるオペレーティングシステム(OS)およびネットワークオペレーティングシステム(NOS)に関連する経路ならびに認証プロセスの形跡についてフォレンシックな手がかりを提供するステップを含む。
【0013】
ユーザが普段日常的に行っているファイルアクセスおよび特定のアプリケーションによってサポートされているトランザクションからそれる「信頼できるユーザ」を早期に検知するために、方法および装置を用いることもできる。次に、警告メッセージが発行される。その後装置は、アプリケーションを管理している権限者に該活動を許可するべきか否かを判断させて、プロフィールに矛盾するこの特定のトランザクション活動を許可してもよい。このようにして、更なる警告を回避する。方法およびソフトウェアツールは、トランザクション活動ハーベスタ、トランザクションパーサ、解析プロフィールビルダ、クライアントIDビルダ、アプリケーション内のトランザクションのトランザクションIDビルダ、および監視警告システムを含む構成とすることもできる。
【0014】
更なる態様は、アプリケーションの使用を監視する方法を含む。方法は、一人以上のコンピュータアプリケーションのユーザのトランザクション活動を受け取るステップを含む。次に、トランザクション活動を解析してもよい。解析によって、所望しないレコードを除去して、レコードを定形フォーマットに置くこともできる。次に、解析済みのトランザクション活動とユーザの所定のプロフィールとを比較してもよい。所定のプロフィールは、ユーザの以前のログオンおよびトランザクション活動に通常基づくものであろう。解析済みのトランザクション活動のいずれかが所定のプロフィールに一致しない場合、警告を発することもできる。
【0015】
またシステムおよび方法の更なる態様は、目的のトランザクションの識別および警告の発生を許可する条件の識別を補助するために、ルールエンジンを用いることもできるという点である。
【0016】
本発明は、システム、クライアント、サーバ、方法および可変範囲であるコンピュータで読み取り可能な媒体を説明する。この概要に記載されている本発明の態様および利点に加え、本発明の更なる態様および利点は図面を参照することによって、また、以下の詳細な説明を読むことによって明らかになるであろう。
【発明を実施するための最良の形態】
【0017】
詳細な説明
以下の本発明の典型的な実施形態の詳細な説明では、本明細書の一部を成す添付の図面を参照する。該図面には、本発明を実施することができる特定の典型的な実施形態を図解によって示す。当業者が本発明を実施できるように、これらの実施形態を十分に詳細に説明する。また、他の実施形態を利用してもよく、本発明の範囲から逸脱することなく、論理的、機械的、電気的な変更および他の変更を行ってもよいことを理解されたい。
【0018】
コンピュータメモリ内のデータビットに対する操作のアルゴリズムおよびシンボル表現を用いて、以下の詳細な説明の一部を提示する。これらのアルゴリズム的記述および表現は、データ処理業界の当業者が自身の研究内容を他の当業者に最も効率的に伝えるために用いる方法である。ここではアルゴリズムは、通常、所望の結果を導く首尾一貫したステップのシーケンスである考えられる。このステップは、物理量の物理的な操作を必要とするステップである。必須ではないが、たいていの場合これらの量は、記憶、転送、結合、比較、およびその他の方法で操作することができる電子的な信号または磁気的な信号の形をとっている。主に慣用の理由から、これらの信号をビット、値、要素、シンボル、文字、項、数字、またはそれに類するものとして参照する方が、時として便利であることがわかっている。しかし、これらの用語および同様の用語はすべて、適切な物理量に関連付けられており、これらの量に都合のよいラベルが適用されているだけである点に留意されたい。特に言及したり、あるいは、以下の論考から明らかである場合を除き、「処理」、「演算」、「計算」、「判断」、「表示」または同様の用語などは、コンピュータシステムのレジスタおよびメモリ内で物理(例えば、電気)量として表されるデータを操作して、コンピュータシステムのメモリまたはレジスタ、あるいは他の情報記憶、伝送または表示デバイス内で同様に物理量として表される他データに変換するコンピュータシステムまたは同様のデバイスの動作およびプロセスを示している。
【0019】
図において、複数の図に現れる同一の構成要素を示すために、同一の参照番号を一貫して用いる。信号および接続は、同一参照番号またはラベルが付されている場合もあるが、実際の意味合いは説明の文脈中の使用法から明確になるであろう。
【0020】
したがって、以下の詳細な説明は限定的な意味でとられるべきものではなく、また、本発明の範囲は添付の特許請求の範囲によってのみ画定される。
動作環境
図1は、本発明の一実施形態による方法の全体的な処理およびトランザクション監視警告システムを構成する主要なモジュールの機能ブロック図を示す。本方法は、アプリケーションへのアクセス取得に関連する活動をキャプチャすることから始まる。該活動のキャプチャは、アクセスに関連する情報、ならびにファイアウォール、オペレーティングシステムおよびネットワークオペレーティングシステムレベルで行われる認証プロセスのほか、対象とする一つ以上のアプリケーションセット内でトランザクションレベルのデータをキャプチャすることによって行われる。なお、該アプリケーションは、アプリケーションサーバおよびデータベースサーバ上に存在し、これらのサーバは企業内に存在してもよい。このようなトランザクション活動は、トランザクションを実行する過程でユーザが行う特定の活動についての情報と、ユーザがどのようにアプリケーションへアクセスしたかというフォレンシックな手がかりとを含むこともできる。このような情報の例は、どのアカウントがアクセスされたか、品番または注文書がどれかなどを含む。図2で、このプロセスについてのさらに詳細な事項を提供する。
【0021】
対象アプリケーションに対する所望のトランザクション活動のすべてをキャプチャした後に、活動情報をリモートホスト側に伝送して、さらに処理してもよい。本発明のいくつかの実施形態において、ファイル転送プロトコル(FTP:File Transfer Protocol)をデータ転送に用いる。しかしながら、本発明は何らかの特定のファイル転送メカニズムに限定されるものではない。更なる実施形態においては、伝送する前に活動データを暗号化する。さらに、いくつかの実施形態において、トランザクションが発生するソフトウェアアプリケーションと同一のシステム上で、以下に記載のシステムおよび方法を実行してもよい。これらの実施形態では、トランザクションを転送する必要はない。
【0022】
活動データの転送後に、監視警告システムは解析プロセスを開始する。いくかの実施形態において、該解析プロセスは六つの主要なプロセス活動を含む。いくつかの実施形態においては、いわゆるコントアリングエンジン(contouring engine)の一部として該プロセス活動を実行する。これらの主要なプロセス活動は、トランザクション活動ハーベスタ1、トランザクション活動パーサ2、解析プロフィールビルダ3、クライアントIDビルダ4、トランザクションIDビルダ5、および監視警告システム6を含む。これらのプロセスのいくつか、あるいはすべては、特定のコンピュータアプリケーション内で信頼できるユーザの異例のトランザクション活動を検知するために、リアルタイムに近いモードで動作することもできる。
【0023】
図2は、本発明の一実施形態による、監視される特定のアプリケーション内でのトランザクション活動についてのユーザプロフィールを構築する活動プロフィールビルダのブロック図を示す。いくつかの実施形態において、活動プロフィールビルダは三つの機能を含み、その第一の機能がトランザクション活動101の収集である。トランザクション活動は、アクセスおよび認証活動を含み、該アクセスおよび認証活動は、特定の装置で利用しているファイアウォール、オペレーティングシステム、および/またはネットワークオペレーティングシステムによって維持することもできる。いくつかの実施形態において、Secure Computing,Inc.より入手可能なファイアウォールからトランザクション活動を収集することもできる。ネットワークオペレーティングシステムの例には、Novel Network Operating Systemを含む。アクセス活動、認証活動およびアプリケーションの実行時の活動を取得することもできるオペレーティングシステムの例には、Microsoft Corporationの様々なバージョンのWindows(登録商標)オペレーティングシステムとLinuxを含む様々なバージョンのUNIX(登録商標)オペレーティングシステムとを含む。
【0024】
さらに、トランザクション活動は、SAP、Peoplesoft、あるいはJD Edwardsなどのアプリケーションまたはアプリケーションスーツ内におけるトランザクションレベルの活動を含んでもよい。本発明は、何らかの特定のアプリケーションまたはアプリケーションスーツに限定されるものではない。例えば、アプリケーションが信頼できるユーザによって誤用された場合、機密情報および財務情報が漏洩するリスクの高い他のアプリケーションを本発明のシステムおよび方法に適用することができる。いくつかの実施形態では、次の二つの方法のどちらかまたは両方を用いて、当該活動をトランザクション活動ファイル102にキャプチャすることもできる。オペレーションシステムおよびアプリケーションへの変更によって新たな機会が開かれた場合、追加の方法を実装することもできる。第一の方法は、監視されているオペレーティングシステムまたはアプリケーションのトランザクションハンドラ機能に含まれるトランザクション関連情報のキャプチャを伴う。
【0025】
トランザクション監査ログを介し、必要な情報を集める第二の方法を遂行してもよい。トランザクション監査ログは、ファイアウォール、オペレーティングシステム、およびアプリケーション内の固有の機能であってもよい。いくつかの実施形態において、トランザクション活動ログハーベスタ103は、アプリケーション制御ロケータ104内に示される期間中、アプリケーションのホストシステム上でトランザクション活動を収集する。いくつかの実施形態において、該アプリケーション制御ロケータは、監視するアプリケーション、監視する一または複数の会社、トランザクションログファイルのフォーマット表示子、監視機能を行う頻度、ユーザの初期プロフールを構築するのに用いる時間、トランザクションIDの同期頻度、次の同期までの日数、クライアントの再同期の頻度、次の同期までの日数、および、適切と思われる他の妥当なアプリケーションおよび会社情報などの機能を制御する。アプリケーションに関連するビジネスサイクルに応じて活動のベースラインを効率的に設定するために、各会社およびアプリケーションは種々の期間を持つ。いくつかの実施形態において、トランザクション活動ハーベスタモジュール103は、ファイル転送プロトコルを用いてホストベースの監視アプリケーションに情報をセキュアに転送するために、暗号化技術を利用する一般的に入手可能な通信ソフトウェアを利用する。いくつかの実施形態において、トランザクション活動ログハーベスタ103はまた、受領の際にデータの検証を行い、監視されているアプリケーションに関連するトランザクションをすべて統合データベース105内に整理する。次に、トランザクションパーサ106が呼び出され、監視ルールエンジン107を利用し、監視された個々のレコードを分析し、さらに検討するためにトランザクションを次プロセスにまわすべきか否かを判断する。これによって、ルールデータベースによって監視プロセスには重要ではないものであるとあらかじめ定められているトランザクションを除去する。いくつかの実施形態において、適用可能なルールには、印刷、メモリ管理などの通常のハウスキーピングトランザクションのように、当該アプリケーションの監視プロセスにとって重要ではないと考えられるトランザクションを取り除くためのルールを含むが、これに限定されない。
【0026】
このように、更なる監視の対象となったレコードを次にトランザクションワーキングセットデータベース108に出力する。その後、解析プロフィールビルダ109が呼び出され、監視されるファイアウォール、オペレーティングシステム、ネットワークオペレーティングシステムおよびアプリケーション内でのトランザクション活動についての特定のユーザのプロフィールを作成または更新してもよい。プロフィールデータベース110の典型的な定形フォーマットを表1に示す。
【0027】
【表1】
図3は、本発明の種々の実施形態による、トランザクションIDビルダおよびメンテナンス機能のブロック図を示す。いくつかの実施形態において、トランザクションIDビルダ204は三つの主要な機能を含む。いくつかの実施形態において、プロセスの第一のタスクは、監視の対象となっているアプリケーションのアプリケーションサーバから、トランザクションID関連データ201の抽出するステップを伴う。いくつかの実施形態において、トランザクションID関連データ201はまた、ネットワークオペレーティングシステム、ファイアウォール、あるいはコンピュータオペレーティングシステムから抽出したIDデータを含んでもよい。トランザクションIDコレクタモジュール202が定期的に呼び出されてもよく、該コレクタモジュールは、アプリケーションロケータデータベース203に問い合わせ、対象の会社からいつどのアプリケーショントランザクションを抽出すべきかを判断する。いくつかの実施形態においては、コレクタモジュールを毎日呼び出す。このように予定が組まれると、コレクタはこれが再同期の実行であるのか、あるいは初期ロードであるのかを判断する。いくつかの実施形態において、コレクタモジュールは、ファイル転送プロトコルを用いてホストベースの監視アプリケーションに情報をセキュアに転送する暗号化技術を利用した一般的に入手可能な通信ソフトウェアを利用する。トランザクションIDコレクタは受領の際にデータの検証を行い、再同期がリクエストされているのか、それとも初期ロードがリクエストされているのかによって、アプリケーション内で作成モードまたは変更モードを開始する。初期ロードオプションは、すべてのトランザクションIDおよび関連情報とともに、トランザクションIDマスタファイル207に組み込まれる。再同期がリクエストされている場合、コレクタモジュールはトランザクションIDマスタデータベース207に問い合わせ、レコードが既に存在するか否かを判断する。レコードが存在する場合、受け取ったファイルのデータとデータベース内のデータ要素とを同期する。この時、いかなる変更もトランザクションID変更ログ206に記録する。トランザクションIDマスタレコードが存在しない場合、トランザクションIDマスタデータベース207へのエントリを作成し、トランザクションID変更ログ206内に新規のトランザクションIDを記録する。また、同期プロセス中に必要が生じた場合、トランザクションIDマスタレコード207を保持するために、トランザクションIDメンテナンスモジュール205からのリクエストに応じて、トランザクションIDビルダモジュール204を呼び出してもよい。同様に、すべての新規のエントリおよび変更をID変更ログ206に記録してもよい。トランザクションIDデータベースの典型的な定形フォーマットを以下の表2に示す。
【0028】
【表2】
図4は、本発明の種々の実施形態による、クライアントIDビルダおよびメンテナンス機能のブロック図を示す。いくつかの実施形態において、クライアントIDビルダは三つの主要な機能を含む。いくつかの実施形態において、プロセスの第一のタスクは、監視の対象となっているアプリケーションのアプリケーションサーバから、クライアントID関連データ301を抽出するステップを伴う。いくつかの実施形態において、オペレーティングシステム、ネットワークオペレーティングシステム、あるいはファイアウォールシステムの一つ以上からクライアントIDデータ301を抽出することもできる。クライアントIDコレクタモジュール302を定期的に(例えば、毎日)呼び出してもよい。該コレクタモジュールは、アプリケーションロケータデータベース303に問い合わせ、対象の会社からいつどのアプリケーションクライアントを抽出すべきかを判断する。このように予定が組まれると、コレクタはこれが再同期の実行であるのか、あるいは初期ロードであるのかを判断する。いくつかの実施形態において、コレクタモジュールは、ファイル転送プロトコルを用いてホストベースの監視アプリケーションへの情報のセキュアな転送を行うために、暗号化技術を利用した一般的に入手可能な通信ソフトウェアを利用する。いくつかの実施形態において、クライアントIDビルダ304は、受領の際にデータの検証を行い、再同期がリクエストされているのか、それとも初期ロードがリクエストされているのかによって、アプリケーション内で作成モードまたは変更モードを開始する。初期ロードオプションは、すべてのクライアントIDおよび関連情報とともに、クライアントIDマスタファイル307に組み込まれてもよい。同期がリクエストされている場合、コレクタモジュールはクライアントIDマスタデータベースに問い合わせ、レコードが存在するか否かを判断する。レコード(すなわち、テーブルエントリ)が存在する場合、受け取ったファイルのデータとデータベース内のデータ要素とを同期する。この時、いかなる変更もクライアントID変更ログ306に記録する。クライアントIDマスタが存在しない場合、クライアントIDマスタへのエントリを作成し、新規のクライアントIDをクライアントID変更ログ306内に記録する。同期プロセス中に必要が生じた場合、クライアントIDマスタレコードを保持するリクエストに応じて、クライアントIDメンテナンスモジュール305を呼び出してもよい。同様に、すべての新規のエントリおよび変更はID変更ログ306に記録される。クライアントIDマスタデータベースの典型的な定形フォーマットを以下の表3に示す。
【0029】
【表3】
図5は、本発明の一実施形態による、トランザクション監視警告システムのブロック図を示す。いくつかの実施形態において、トランザクション監視警告システムは、ユーザの通常のビジネス活動の過程の中で、以前に開始されていないトランザクションへのアクセスを検知する目的で、特定のユーザのトランザクション活動プロフィールに対して現行のトランザクションを監視する。スタートアップの情報収集フェーズの間に、これらの通常の活動プロフィールをトランザクション活動プロフィールビルダ109に通常設定する。いくつかの実施形態において、監視警告システムは、先に図示したもの(図2)と実質的に同じプロセスをプロフィールビルダの元で利用して、対象アプリケーションからトランザクション活動を得、トランザクション活動を整理し、トランザクションを解析し、トランザクションワーキングセット108を構築する。
【0030】
各トランザクションの監視中、監視警告システム405が一連の分析プロセスを行い、特定のユーザに対して少しでも異常な行動がないかを判断する。いくつかの実施形態において、システムは監視ルールエンジン107からの入力を用いる。該監視ルールエンジンは、階層的な方法で設定することのできるルールを格納しており、会社レベルで全体的なルールが設定でき、これを部門レベル、個人レベルまたはトランザクションレベルにオーバーライドすることもできる。開始時に、クライアントIDマスタデータベース307を利用して、トランザクションに関連付けられたユーザIDを検証してもよく、これによって、監視システムは所与のアプリケーション内で信頼できるユーザとして特定されたユーザを確認できるようになる。実行されるトランザクションが既知のトランザクションであるか判断するために、トランザクションIDマスタデータベース207を利用してもよい。また、当該トランザクションに対する権限がユーザに付与されているのかを判断するために、Contouring Engineプロフィールマスタ110を利用してもよい。同様に、トランザクションIDマスタデータベース20を用いて、トランザクションを開始する試みがアプリケーションに組み込まれた固有のセキュリティによって拒否され、その後2回以上の試みがなされたか否か、つまり、信頼できるユーザが一つ以上の保護されているトランザクションへ繰り返しアクセスを試みたかのかを判断することもできる。さらに、クライアントまたはトランザクションが特定できなったり、あるいはトランザクションが許可されていなかったり、またはユーザのプロフィールに対して異常を示すような状況のいずれかが起こると、警告メッセージを警告メッセージキュー409に向けることもできる。該メッセージには、何者かが権限付与の手続きを回避してアプリケーションに侵入したことを示せるように所定の深刻度レベルを割り当てておく。「使用中止」と識別されたユーザによって、トランザクション活動が開始されたか否かを判断するために分析をさらに行ってもよい。そのような場合は、警告メッセージを所定のセキュリティレベルで同様に開始してもよい。このとき、メッセージは、使用中止になったユーザとの関係が終了した後も従業員、ベンダ、請負業者、あるいは顧客がアプリケーション内のトランザクションにアクセスし続けていることを示す。通常のビジネスの過程で過去に当該ユーザが当該トランザクションに対してアクセス権限を付与されていたことをContouring Engineプロフィールマスタが示すか否かを判断するためにさらに分析を行ってもよい。いくつかの実施形態では、この特定のユーザ、このユーザの部門、あるいはすべてのユーザに対して、このトランザクションへのアクセスを制限し、Contouring Engineプロフィールマスタ110をオーバーライドするような何らかのルールが適用されているか否かを監視ルールエンジン107を利用して分析してもよい。監視警告システム405は、トランザクションが使用の制限時間内に行われたか否か、あるいは、活動が個人の通常労働時間外に起こったか否かを判断するために、監視ルールエンジン110を利用してさらに監視を行ってもよい。更なる実施形態において、監視ルールエンジン107は、個人が配属されている特定の部門に関連する規則に伴う標準労働時間など種々の監視条件をオーバーライドする権限と提供することもでき、あるいはオーバーライドに対して有効な開始および終了期日を分析した後に、余分に許可された時間を一時的に割り当てるオーバーライド権限を提供することもできる。さらに、一つ以上のトランザクションへの一時的な許可を特定の個人に対して一時的に許可することもできる。これによって、トランザクションを通常行っている一または複数のユーザが、休暇、病気などのために一時的にこれらのトランザクションを行うことができない場合に、特定のユーザがトランザクションを行うことができるようになる。
【0031】
さらに、いくつかの実施形態において、同一期間中または重複する期間中に一人のユーザによって、2つ以上のログオンまたは2つ以上のトランザクションが実行されたか否かを、あるいは、特定のユーザによって、トランザクションがユーザに割り当てられた以外のデバイスまたはユーザが普段使っている以外のデバイスから実行されたか否かを検知するために、監視警告システムは上記のデータベースを用いてもよい。
【0032】
上記からわかるように、活動プロフィールをルールエンジンおよび/またはデータベースとともに用いて、特定のユーザに対して正当なトランザクションセットを定義することもできる。正当なトランザクションのセットに一致しないトランザクションを異常な条件であるとみなすこともできる。
【0033】
これらの異常な条件のいずれかが存在する場合、警告メッセージキュー409と警告追跡ハンドラ407は、トランザクションIDマスタ207で識別されるトランザクションコード分類に関連付けられた優先度を伴うメッセージの発行を受けてもよい。さらに、ファイアウォール、オペレーティングシステムおよび/またはネットワークオペレーティングシステムから検索されたトランザクション活動を含むフォレンシックなデータセットを警告用に生成することもできる。フォレンシックなデータセットは、ネットワークおよび/またはオペレーシングシステムを介してユーザがとった経路および不審なトランザクション活動が検知されたときに使われたアクセスの詳細事項を判断するのに有益なデータを含む。
【0034】
いくつかの実施形態において、警告メッセージハンドラ408が監視警告エンジン405から警告メッセージを受け取り、そこからクライアントワークステーション411までのルーティングを制御する。いくつかの実施形態において、警告メッセージハンドラ408は仮想プライベートネットワーク(VPN:Virtual Private Network)410を用いて、メッセージをクライアントワークステーション411に送る。しかし、VPNは必須ではなく、別の実施形態においては、インターネット、イントラネット、あるいはローカルエリアネットワーク接続を経由してメッセージをクライアントワークステーション411に送ってもよい。更なる別の実施形態において、クライアントワークステーション411を監視警告システムに直接接続することもできる。
【0035】
上記の説明からもわかるように、クライアント会社からトランザクションデータを受け取るサービスプロバイダが、監視警告システムを提供することもできる。いくつかの実施形態において、サービスプロバイダは監視されるトランザクションの量、トランザクションデータが占めるディスク空間の容量、あるいはトランザクションの一件あたりに基づいて、クライアント会社に課金することもできる。本発明の実施形態は、特定の課金メカニズムに限定されない。
【0036】
図6は、ハードウェアおよび操作環境の図であり、これらを組み合わせれば本発明の実施形態を実施することもできる。図6の記載は、本発明と組み合わせて実装することができる適切なコンピュータハードウェアと適切なコンピューティング環境に関し簡潔で一般的な説明を提供することを目的とする。必須ではないが、本発明は、パーソナルコンピュータあるいはサーバコンピュータなどのコンピュータによって実行されるプログラムモジュールなど、コンピュータによって実行可能な命令が通常あるものとして説明する。一般的に、プログラムモジュールは特定のタスクを行ったり、特定の抽象データ型を実装したりするルーチン、プログラム、オブジェクト、要素、データ構造体などを含む。
【0037】
さらに、当業者には認識されるであろうが、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースの家庭用電化製品またはプログラム可能な家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータおよびこれに類するものを含む他のコンピュータシステムの構成を用いて、本発明を実施することもできる。また、通信網を介してリンクされているリモート処理デバイスを用いてタスクを行う分散コンピューティング環境で本発明を実施してもよい。分散コンピューティング環境では、ローカルおよびリモートにあるメモリストレージデバイスの両方にプログラムモジュールを置くこともできる。
【0038】
図6に示すように、コンピューティングシステム600はプロセッサを含む。Intel Corporationによって製造されたマイクロプロセッサであるPENTIUM(登録商標)ファミリー、Silicon Graphics CorporationのマイクロプロセッサであるMIPS(登録商標)ファミリー、Motorola CorporationおよびIBM Corporationの双方のマイクロプロセッサであるPOWERPC(登録商標)ファミリー、Hewlett−Packard CompanyのマイクロプロセッサであるPRECISION ARCHITECTURE(登録商標)ファミリー、Sun Microsystems CorporationのマイクロプロセッサであるSPARC(登録商標)ファミリー、あるいはCompaq Computer CorporationのマイクロプロセッサであるALPHA(登録商標)ファミリーなどのマイクロプロセッサベースのコンピュータ上で本発明を実装することができる。コンピューティングシステム600は、いかなるパーソナルコンピュータ、ラップトップ、サーバ、あるいはハンドヘルドPCとして知られるバッテリ式のポケット型モバイルコンピュータをも表す。
【0039】
コンピューティングシステム600は、システムメモリ613(読み取り専用メモリ(ROM:read−only memory)614およびランダムアクセスメモリ(RAM:random access memory)615を含む)を含み、該システムメモリはシステムデータ/アドレスバス616によって、プロセッサ612に接続されている。ROM614は、電気消去可能なプログラマブル読み取り専用メモリ(EEPROM(electrically erasable programmable read−only memory)、フラッシュメモリなどを含め、主として読み取り専用である任意のデバイスを表す。RAM615は同期ダイナミックランダムアクセスメモリなどの任意のランダムアクセスメモリを表す。
【0040】
コンピューティングシステム600内では、バスコントローラ619を介して、入出力バス618がデータ/アドレスバス616に接続されている。一実施形態においては、入出力バス618を標準的な周辺コンポーネント相互接続(PCI:Peripheral Component Interconnect)バスとして実装する。バスコントローラ619はプロセッサ612からの信号すべてを検査し、信号を適切なバスへルーティングする。プロセッサ612とシステムメモリ613との間の信号は、単にバスコントローラ619へ通される。しかし、プロセッサ612からシステムメモリ613以外に向けた信号は入出力バス618上にルーティングされる。
【0041】
ハードディスクドライブ620、フロッピー(登録商標)ディスク651を読み取るために用いるフロッピー(登録商標)ドライブ621、および光学ディスク652を読み取るために用いるCD−ROMドライブなどの光学ドライブ622を含む種々のデバイスが入出力バス618に接続される。ビデオアダプタ625を介して、ビデオディスプレイ624あるいはその他の種類のディスプレイデバイスが入出力バス618に接続される。
【0042】
ユーザは、入出力ポート628を介してバス618に接続されているキーボード40、および/またはマウス42などのポインティングデバイス用いて、コンピューティングシステム600にコマンドと情報とを入力する。他の種類のポインティングデバイス(図6には図示せず)には、トラックパッド、トラックボール、ジョイスティック、データグローブ、ヘッドトラッカ、およびビデオディスプレイ624上でカーソルの位置を決めるのに適する他のデバイスを含む。
【0043】
図6に示すように、コンピューティングシステム600はまた、モデム629を含む。図6ではモデム629をコンピューティングシステム600の外部に図示している。しかし、当業者はすぐに気付くであろうが、該モデムをコンピューティングシステム600の内部にも置くこともできる。モデム629はグローバルインターネットなどのワイドエリアネットワーク(図示せず)で通信するために通常用いる。また、当業界では周知のように、コンピューティングシステムはネットワーク上での通信するためにネットワークインターフェースカード53を含んでもよい。
【0044】
ソフトウェアアプリケーション636およびデータはメモリストレージデバイスの一つによって通常記憶され、実行するためにRAM615にコピーされる。なお、該メモリストレージデバイスには、ハードディスク620、フロッピー(登録商標)ディスク651、CD−ROM652を含むこともできるが、一実施形態では、ソフトウェアアプリケーション636をROM614に記憶し、実行するためにRAM615にコピーしたり、あるいはROM614から直接実行したりする。
【0045】
一般的に、オペレーシングシステム635がソフトウェアアプリケーション636を実行して、ユーザが発行した命令を行う。例えば、ユーザがソフトウェアアプリケーション636をロードしたい場合、オペレーシングシステム635は命令を解読し、プロセッサ612にハードディスク620または光学ディスク652のどちらかからRAM615へソフトウェアアプリケーション636をロードさせる。ソフトウェアアプリケーション636をRAM615にロードすると、プロセッサ612はこれを用いることができる。大規模なソフトウェアアプリケーション636の場合、必要に応じてプロセッサ612はプログラムモジュールの種々の部分をRAM615にロードする。
【0046】
コンピューティングシステム600の基本出入力システム(BIOS:Basic Input/Output System)はROM614に記憶され、ブート時にRAM615にロードされる。当業者には認識されるであろうが、BIOS617は実行可能な基本ルーチンのセットであり、コンピューティングシステム600内のコンピューティング資源間での情報の転送を都合よく補助する。オペレーシングシステム635あるいは他のソフトウェアアプリケーション636が、これらの低レベルのサービスルーチンを用いる。
【0047】
一実施形態において、コンピューティングシステム600は、コンピューティングシステム600のコンフィギュレーション情報を持つシステムデータベースであるレジストリ(図示せず)を含む。例えば、MicrosoftのWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)NT、Windows(登録商標)2000、およびWindows(登録商標)XPでは、内蔵ディスクなどの永久ストレージデバイスに置かれたUSER.DATとSYSTEM.DATと呼ばれる、二つの隠しファイルにレジストリを保持している。
【0048】
結論
信頼できるユーザの活動を監視するシステムおよび方法が開示されている。説明したシステムおよび方法は先行のシステムよりも優れた利点を提供する。
【0049】
本明細書では特定の実施形態を図示し、説明してきたが、ここに示した特定の実施形態の代わりに、同一の目的を達成するために考えられるいかなる構成をも用いることができるということは、当業者には認識されるであろう。本出願は本発明のいかなる改良あるいは変更をも包括することを目的とする。
【0050】
本出願明細書で用いられている用語は、これらの環境すべてを含むものとする。上記の説明は例示的なものに過ぎず、限定的なものではないことを理解されたい。上記の説明を精査する際に、他の多くの実施形態が当業者には明らかとなるであろう。したがって、本発明が以下の特許請求の範囲およびその均等物によってのみ限定されることは明白である。
【図面の簡単な説明】
【0051】
【図1】図1は、本発明の一実施形態による、方法の全体的な処理とトランザクション監視警告システムを構成する主要なモジュールの機能ブロック図を示す。
【図2】図2は、本発明の一実施形態による、監視される特定のアプリケーション内でのトランザクション活動についてのユーザプロフィールを構築する活動プロフィールビルダのブロック図を示す。
【図3】図3は、本発明の種々の実施形態による、トランザクションIDビルダおよびメンテナンス機能のブロック図を示す。
【図4】図4は、本発明の種々の実施形態による、クライアントIDビルダおよびメンテナンス機能のブロック図を示す。
【図5】図5は、本発明の一実施形態による、トランザクション監視警告システムのブロック図を示す。
【図6】図6は、本発明の実施形態を実行することもできるコンピュータのブロック図を示す。
【技術分野】
【0001】
分野
本発明は全般的にはコンピュータシステムに関し、特に、このようなシステムの監視を増強し、警告を発することに関する。
【0002】
著作権表示/許諾
本特許文書の開示の一部は、著作権保護の対象となる資料を含んでいる。著作権者は、特許商標庁の特許ファイルまたは記録に現れる本特許文書または特許開示のファクシミリ複製をいかなる者が行っても異議を唱えないが、それ以外のあらゆるすべての著作権の権利を保有する。以下の表示は、後述するソフトウェアおよびデータ、ならびに添付の図面に適用される。著作権(C)2003,2004:全ての著作権はKennsco,Inc.に帰属する。
【背景技術】
【0003】
背景
インターネット、エクストラネット、およびイントラネットの利用が増加の一途をたどる状況に伴って、ネットワークおよびコンピュータシステム上で信頼できるユーザの活動を監視するための方法を得ることがますます重要になってきている。企業ビジネスシステムへのアクセスが増大することによって、従業員だけでなく、顧客、ベンダおよびビジネスパートナーも相当量の機密情報へアクセスすることができるようになっている。このような人たちのグループは、多くの場合、セキュアなビジネストランザクションを行うことができるため、いわゆる信頼できるユーザのロールが与えられる。ユーザIDは、アクセスされるアプリケーションに登録されているユーザが誰であるのかを特定する文字列で表されるが、今日のコンピュータシステムは、このユーザIDによって不正アクセスから通常内部的に保護されている。これと同じく、ユーザIDを所有する個人しか知らないようなパスワードと呼ばれる文字列を用いて、IDの検証をさらに行うこともできる。スマートカード、サインオンソフトウェアが提供する鍵付きの情報など、このIDの認証を強化したり、また遂行したりするための種々の手段が存在する。
【0004】
さらに、リモートユーザによる企業のアプリケーションの利用も可能にしたいという要望は指数関数的に増加してきた。リモートユーザとは通常、従業員の、顧客、ベンダなどから構成されるが、リモートユーザが非常に多様なので、信頼できるコミュニティの外部の者が既存のパスワード認証を破るリスクは増大する。
【0005】
ユーザIDおよびパスワードのクラッキングシステム、ならびに紛失IDあるいは盗難IDを使用することによって、セキュリティメカニズムを破る機会がかなりある。セキュリティを破った後に、この情報を用いてアクセスし、機密情報を含むアプリケーションシステムに信頼できるユーザとして現れて、アプリケーション内で不正行為をはたらく虞がある。このような状況は、不満を抱いた従業員によってさらに悪化する。しかも、組織内の離職率が高い場合、組織内でのコミュニケーション不足のためにユーザアクセスの無効化が見過ごされたり、あるいは著しく遅れたりすることが多い。最近の研究は、70%−80%のコンピュータ不正行為が内部の信頼できるユーザによって行われていることを示している。
【0006】
所与のアプリケーション内で行う広範囲のビジネス活動を提供する統合業務ソフト(ERP:Enterprise Resource Planning)システムおよび他の完全統合ソリューションの出現に伴って、該アプリケーション内で信頼できるユーザが行うトランザクションを監視することがますます重要になってきている。同様に、すべての包括的なアプリケーション内では、特定のロールが割り当てられたユーザに対して許可されているトランザクションを特定する、発展し続ける「ロール」(developing ”role”)の出現。大規模なアプリケーションでは利用可能なトランザクションは数千にも達することがあるが、これらの大規模なアプリケーション内のセキュリティ管理タスクを最小化するために、上記の方法を使用する。ユーザがビジネス活動を行うために必要とする特定のトランザクションを最前線で特定するタスクは、極めて複雑で多大な時間を要する。その結果、多くの場合、ロールの設定が適切な任務の分離を保証するには、広過ぎ、かつ無効になってしまい、機密情報を必知事項ベースで効率的に制御できなくなる。
【0007】
今日の市場で一般的に入手可能なソリューションの多くは、「侵入検知」に焦点を当てている。これらのソリューションは通常、ネットワークレベルでの監視および異常検知プロセスを提供する。ネットワークレベルで動作する場合、これらのソリューションはサーバまたは「アプリケーション」レベルでの活動の監視に限定される。該アプリケーションには例えば、SAPがあるが、これはアプリケーション全体のすべてのトランザクションまたは割り当てられたロールによって特定されるすべてのトランザクションのアクセスに関連する。これらのソリューションは、サーバまたはデータベースアクセスの監視をさらに提供することができる。このように、これらのソリューションは通常、ユーザがアプリケーション、サーバまたはデータベース内にアクセスして、どのような特定のトランザクションを行うかということを知るために必要な粒度を提供しない。同様に、これらのソリューションは、経路に関連する情報と、ファイアウォール、オペレーティングシステムおよびネットワークオペレーティングシステムで行われる認証とのフォレンシックな相関関係を通常提供しない。
【0008】
信頼できるユーザとして、ユーザはサポートされているすべての権限にアクセスする必要がある訳ではないが、所与のサーバ、アプリケーションあるいはデータベースにアクセスする必要がおそらくあるだろう。ソリューションの大半は同様に、これらの異常をリアルタイムモードで検知し、機能を行おうと試みるユーザの活動を制限しようしたり、または中断しようとする。この技術にはフォルスポジティブおよびフォルスネガティブが伴う。多くの場合、警告メカニズムは管理者に負担をかけ、これはエンドユーザの効力の無効化につながる
活動を制限するこれらのソリューションは多くの場合、主要なフラストレーション源となり、潜在的な障害物として働く。これは、管理が間に入って、オーバーライドが導入され、ソリューションが完全に無効化されるという点で、生産性に大きく影響することがある。したがって、多くの会社がこのアプローチを放棄し、受け付けた逸脱行為から真の脅威を実質的に検知することはできない。結果として信頼性が欠如し、そのためこれらのソリューションは役に立たないものとみなされる。善意のセキュリティスタッフは、通常数々のフォルスポジティブで雑然としている膨大な侵入検知システム(IDS:Intrucsion Detection System)のログファイルから的確なイベント情報を抽出することに苦労している。真の脅威を適切に特定することは極めて難しくなっており、結果として、すべてのフォルスポジティブの中で真の脅威が完全に見逃されてしまうことがよくある。
【0009】
上記の問題および短所に鑑みると、当業界では本発明が必要である。
【発明の開示】
【課題を解決するための手段】
【0010】
発明の概要
上述の短所、欠点および問題は本発明によって対処される。本発明は、以下の明細書を読んで、検討することによって理解されるであろう。
【0011】
システムの一態様は、コンピュータアプリケーションソフトウェア内で許可されたユーザの特定のトランザクションアクセスパターンについてのユーザ行動プロフィールを構築するステップと、異例のトランザクション活動を検知するために対象ユーザの現行の活動を監視するステップとを含む。
【0012】
システムの更なる態様は、ファイアウォールアクセス、アプリケーションへアクセスするために利用されるオペレーティングシステム(OS)およびネットワークオペレーティングシステム(NOS)に関連する経路ならびに認証プロセスの形跡についてフォレンシックな手がかりを提供するステップを含む。
【0013】
ユーザが普段日常的に行っているファイルアクセスおよび特定のアプリケーションによってサポートされているトランザクションからそれる「信頼できるユーザ」を早期に検知するために、方法および装置を用いることもできる。次に、警告メッセージが発行される。その後装置は、アプリケーションを管理している権限者に該活動を許可するべきか否かを判断させて、プロフィールに矛盾するこの特定のトランザクション活動を許可してもよい。このようにして、更なる警告を回避する。方法およびソフトウェアツールは、トランザクション活動ハーベスタ、トランザクションパーサ、解析プロフィールビルダ、クライアントIDビルダ、アプリケーション内のトランザクションのトランザクションIDビルダ、および監視警告システムを含む構成とすることもできる。
【0014】
更なる態様は、アプリケーションの使用を監視する方法を含む。方法は、一人以上のコンピュータアプリケーションのユーザのトランザクション活動を受け取るステップを含む。次に、トランザクション活動を解析してもよい。解析によって、所望しないレコードを除去して、レコードを定形フォーマットに置くこともできる。次に、解析済みのトランザクション活動とユーザの所定のプロフィールとを比較してもよい。所定のプロフィールは、ユーザの以前のログオンおよびトランザクション活動に通常基づくものであろう。解析済みのトランザクション活動のいずれかが所定のプロフィールに一致しない場合、警告を発することもできる。
【0015】
またシステムおよび方法の更なる態様は、目的のトランザクションの識別および警告の発生を許可する条件の識別を補助するために、ルールエンジンを用いることもできるという点である。
【0016】
本発明は、システム、クライアント、サーバ、方法および可変範囲であるコンピュータで読み取り可能な媒体を説明する。この概要に記載されている本発明の態様および利点に加え、本発明の更なる態様および利点は図面を参照することによって、また、以下の詳細な説明を読むことによって明らかになるであろう。
【発明を実施するための最良の形態】
【0017】
詳細な説明
以下の本発明の典型的な実施形態の詳細な説明では、本明細書の一部を成す添付の図面を参照する。該図面には、本発明を実施することができる特定の典型的な実施形態を図解によって示す。当業者が本発明を実施できるように、これらの実施形態を十分に詳細に説明する。また、他の実施形態を利用してもよく、本発明の範囲から逸脱することなく、論理的、機械的、電気的な変更および他の変更を行ってもよいことを理解されたい。
【0018】
コンピュータメモリ内のデータビットに対する操作のアルゴリズムおよびシンボル表現を用いて、以下の詳細な説明の一部を提示する。これらのアルゴリズム的記述および表現は、データ処理業界の当業者が自身の研究内容を他の当業者に最も効率的に伝えるために用いる方法である。ここではアルゴリズムは、通常、所望の結果を導く首尾一貫したステップのシーケンスである考えられる。このステップは、物理量の物理的な操作を必要とするステップである。必須ではないが、たいていの場合これらの量は、記憶、転送、結合、比較、およびその他の方法で操作することができる電子的な信号または磁気的な信号の形をとっている。主に慣用の理由から、これらの信号をビット、値、要素、シンボル、文字、項、数字、またはそれに類するものとして参照する方が、時として便利であることがわかっている。しかし、これらの用語および同様の用語はすべて、適切な物理量に関連付けられており、これらの量に都合のよいラベルが適用されているだけである点に留意されたい。特に言及したり、あるいは、以下の論考から明らかである場合を除き、「処理」、「演算」、「計算」、「判断」、「表示」または同様の用語などは、コンピュータシステムのレジスタおよびメモリ内で物理(例えば、電気)量として表されるデータを操作して、コンピュータシステムのメモリまたはレジスタ、あるいは他の情報記憶、伝送または表示デバイス内で同様に物理量として表される他データに変換するコンピュータシステムまたは同様のデバイスの動作およびプロセスを示している。
【0019】
図において、複数の図に現れる同一の構成要素を示すために、同一の参照番号を一貫して用いる。信号および接続は、同一参照番号またはラベルが付されている場合もあるが、実際の意味合いは説明の文脈中の使用法から明確になるであろう。
【0020】
したがって、以下の詳細な説明は限定的な意味でとられるべきものではなく、また、本発明の範囲は添付の特許請求の範囲によってのみ画定される。
動作環境
図1は、本発明の一実施形態による方法の全体的な処理およびトランザクション監視警告システムを構成する主要なモジュールの機能ブロック図を示す。本方法は、アプリケーションへのアクセス取得に関連する活動をキャプチャすることから始まる。該活動のキャプチャは、アクセスに関連する情報、ならびにファイアウォール、オペレーティングシステムおよびネットワークオペレーティングシステムレベルで行われる認証プロセスのほか、対象とする一つ以上のアプリケーションセット内でトランザクションレベルのデータをキャプチャすることによって行われる。なお、該アプリケーションは、アプリケーションサーバおよびデータベースサーバ上に存在し、これらのサーバは企業内に存在してもよい。このようなトランザクション活動は、トランザクションを実行する過程でユーザが行う特定の活動についての情報と、ユーザがどのようにアプリケーションへアクセスしたかというフォレンシックな手がかりとを含むこともできる。このような情報の例は、どのアカウントがアクセスされたか、品番または注文書がどれかなどを含む。図2で、このプロセスについてのさらに詳細な事項を提供する。
【0021】
対象アプリケーションに対する所望のトランザクション活動のすべてをキャプチャした後に、活動情報をリモートホスト側に伝送して、さらに処理してもよい。本発明のいくつかの実施形態において、ファイル転送プロトコル(FTP:File Transfer Protocol)をデータ転送に用いる。しかしながら、本発明は何らかの特定のファイル転送メカニズムに限定されるものではない。更なる実施形態においては、伝送する前に活動データを暗号化する。さらに、いくつかの実施形態において、トランザクションが発生するソフトウェアアプリケーションと同一のシステム上で、以下に記載のシステムおよび方法を実行してもよい。これらの実施形態では、トランザクションを転送する必要はない。
【0022】
活動データの転送後に、監視警告システムは解析プロセスを開始する。いくかの実施形態において、該解析プロセスは六つの主要なプロセス活動を含む。いくつかの実施形態においては、いわゆるコントアリングエンジン(contouring engine)の一部として該プロセス活動を実行する。これらの主要なプロセス活動は、トランザクション活動ハーベスタ1、トランザクション活動パーサ2、解析プロフィールビルダ3、クライアントIDビルダ4、トランザクションIDビルダ5、および監視警告システム6を含む。これらのプロセスのいくつか、あるいはすべては、特定のコンピュータアプリケーション内で信頼できるユーザの異例のトランザクション活動を検知するために、リアルタイムに近いモードで動作することもできる。
【0023】
図2は、本発明の一実施形態による、監視される特定のアプリケーション内でのトランザクション活動についてのユーザプロフィールを構築する活動プロフィールビルダのブロック図を示す。いくつかの実施形態において、活動プロフィールビルダは三つの機能を含み、その第一の機能がトランザクション活動101の収集である。トランザクション活動は、アクセスおよび認証活動を含み、該アクセスおよび認証活動は、特定の装置で利用しているファイアウォール、オペレーティングシステム、および/またはネットワークオペレーティングシステムによって維持することもできる。いくつかの実施形態において、Secure Computing,Inc.より入手可能なファイアウォールからトランザクション活動を収集することもできる。ネットワークオペレーティングシステムの例には、Novel Network Operating Systemを含む。アクセス活動、認証活動およびアプリケーションの実行時の活動を取得することもできるオペレーティングシステムの例には、Microsoft Corporationの様々なバージョンのWindows(登録商標)オペレーティングシステムとLinuxを含む様々なバージョンのUNIX(登録商標)オペレーティングシステムとを含む。
【0024】
さらに、トランザクション活動は、SAP、Peoplesoft、あるいはJD Edwardsなどのアプリケーションまたはアプリケーションスーツ内におけるトランザクションレベルの活動を含んでもよい。本発明は、何らかの特定のアプリケーションまたはアプリケーションスーツに限定されるものではない。例えば、アプリケーションが信頼できるユーザによって誤用された場合、機密情報および財務情報が漏洩するリスクの高い他のアプリケーションを本発明のシステムおよび方法に適用することができる。いくつかの実施形態では、次の二つの方法のどちらかまたは両方を用いて、当該活動をトランザクション活動ファイル102にキャプチャすることもできる。オペレーションシステムおよびアプリケーションへの変更によって新たな機会が開かれた場合、追加の方法を実装することもできる。第一の方法は、監視されているオペレーティングシステムまたはアプリケーションのトランザクションハンドラ機能に含まれるトランザクション関連情報のキャプチャを伴う。
【0025】
トランザクション監査ログを介し、必要な情報を集める第二の方法を遂行してもよい。トランザクション監査ログは、ファイアウォール、オペレーティングシステム、およびアプリケーション内の固有の機能であってもよい。いくつかの実施形態において、トランザクション活動ログハーベスタ103は、アプリケーション制御ロケータ104内に示される期間中、アプリケーションのホストシステム上でトランザクション活動を収集する。いくつかの実施形態において、該アプリケーション制御ロケータは、監視するアプリケーション、監視する一または複数の会社、トランザクションログファイルのフォーマット表示子、監視機能を行う頻度、ユーザの初期プロフールを構築するのに用いる時間、トランザクションIDの同期頻度、次の同期までの日数、クライアントの再同期の頻度、次の同期までの日数、および、適切と思われる他の妥当なアプリケーションおよび会社情報などの機能を制御する。アプリケーションに関連するビジネスサイクルに応じて活動のベースラインを効率的に設定するために、各会社およびアプリケーションは種々の期間を持つ。いくつかの実施形態において、トランザクション活動ハーベスタモジュール103は、ファイル転送プロトコルを用いてホストベースの監視アプリケーションに情報をセキュアに転送するために、暗号化技術を利用する一般的に入手可能な通信ソフトウェアを利用する。いくつかの実施形態において、トランザクション活動ログハーベスタ103はまた、受領の際にデータの検証を行い、監視されているアプリケーションに関連するトランザクションをすべて統合データベース105内に整理する。次に、トランザクションパーサ106が呼び出され、監視ルールエンジン107を利用し、監視された個々のレコードを分析し、さらに検討するためにトランザクションを次プロセスにまわすべきか否かを判断する。これによって、ルールデータベースによって監視プロセスには重要ではないものであるとあらかじめ定められているトランザクションを除去する。いくつかの実施形態において、適用可能なルールには、印刷、メモリ管理などの通常のハウスキーピングトランザクションのように、当該アプリケーションの監視プロセスにとって重要ではないと考えられるトランザクションを取り除くためのルールを含むが、これに限定されない。
【0026】
このように、更なる監視の対象となったレコードを次にトランザクションワーキングセットデータベース108に出力する。その後、解析プロフィールビルダ109が呼び出され、監視されるファイアウォール、オペレーティングシステム、ネットワークオペレーティングシステムおよびアプリケーション内でのトランザクション活動についての特定のユーザのプロフィールを作成または更新してもよい。プロフィールデータベース110の典型的な定形フォーマットを表1に示す。
【0027】
【表1】
図3は、本発明の種々の実施形態による、トランザクションIDビルダおよびメンテナンス機能のブロック図を示す。いくつかの実施形態において、トランザクションIDビルダ204は三つの主要な機能を含む。いくつかの実施形態において、プロセスの第一のタスクは、監視の対象となっているアプリケーションのアプリケーションサーバから、トランザクションID関連データ201の抽出するステップを伴う。いくつかの実施形態において、トランザクションID関連データ201はまた、ネットワークオペレーティングシステム、ファイアウォール、あるいはコンピュータオペレーティングシステムから抽出したIDデータを含んでもよい。トランザクションIDコレクタモジュール202が定期的に呼び出されてもよく、該コレクタモジュールは、アプリケーションロケータデータベース203に問い合わせ、対象の会社からいつどのアプリケーショントランザクションを抽出すべきかを判断する。いくつかの実施形態においては、コレクタモジュールを毎日呼び出す。このように予定が組まれると、コレクタはこれが再同期の実行であるのか、あるいは初期ロードであるのかを判断する。いくつかの実施形態において、コレクタモジュールは、ファイル転送プロトコルを用いてホストベースの監視アプリケーションに情報をセキュアに転送する暗号化技術を利用した一般的に入手可能な通信ソフトウェアを利用する。トランザクションIDコレクタは受領の際にデータの検証を行い、再同期がリクエストされているのか、それとも初期ロードがリクエストされているのかによって、アプリケーション内で作成モードまたは変更モードを開始する。初期ロードオプションは、すべてのトランザクションIDおよび関連情報とともに、トランザクションIDマスタファイル207に組み込まれる。再同期がリクエストされている場合、コレクタモジュールはトランザクションIDマスタデータベース207に問い合わせ、レコードが既に存在するか否かを判断する。レコードが存在する場合、受け取ったファイルのデータとデータベース内のデータ要素とを同期する。この時、いかなる変更もトランザクションID変更ログ206に記録する。トランザクションIDマスタレコードが存在しない場合、トランザクションIDマスタデータベース207へのエントリを作成し、トランザクションID変更ログ206内に新規のトランザクションIDを記録する。また、同期プロセス中に必要が生じた場合、トランザクションIDマスタレコード207を保持するために、トランザクションIDメンテナンスモジュール205からのリクエストに応じて、トランザクションIDビルダモジュール204を呼び出してもよい。同様に、すべての新規のエントリおよび変更をID変更ログ206に記録してもよい。トランザクションIDデータベースの典型的な定形フォーマットを以下の表2に示す。
【0028】
【表2】
図4は、本発明の種々の実施形態による、クライアントIDビルダおよびメンテナンス機能のブロック図を示す。いくつかの実施形態において、クライアントIDビルダは三つの主要な機能を含む。いくつかの実施形態において、プロセスの第一のタスクは、監視の対象となっているアプリケーションのアプリケーションサーバから、クライアントID関連データ301を抽出するステップを伴う。いくつかの実施形態において、オペレーティングシステム、ネットワークオペレーティングシステム、あるいはファイアウォールシステムの一つ以上からクライアントIDデータ301を抽出することもできる。クライアントIDコレクタモジュール302を定期的に(例えば、毎日)呼び出してもよい。該コレクタモジュールは、アプリケーションロケータデータベース303に問い合わせ、対象の会社からいつどのアプリケーションクライアントを抽出すべきかを判断する。このように予定が組まれると、コレクタはこれが再同期の実行であるのか、あるいは初期ロードであるのかを判断する。いくつかの実施形態において、コレクタモジュールは、ファイル転送プロトコルを用いてホストベースの監視アプリケーションへの情報のセキュアな転送を行うために、暗号化技術を利用した一般的に入手可能な通信ソフトウェアを利用する。いくつかの実施形態において、クライアントIDビルダ304は、受領の際にデータの検証を行い、再同期がリクエストされているのか、それとも初期ロードがリクエストされているのかによって、アプリケーション内で作成モードまたは変更モードを開始する。初期ロードオプションは、すべてのクライアントIDおよび関連情報とともに、クライアントIDマスタファイル307に組み込まれてもよい。同期がリクエストされている場合、コレクタモジュールはクライアントIDマスタデータベースに問い合わせ、レコードが存在するか否かを判断する。レコード(すなわち、テーブルエントリ)が存在する場合、受け取ったファイルのデータとデータベース内のデータ要素とを同期する。この時、いかなる変更もクライアントID変更ログ306に記録する。クライアントIDマスタが存在しない場合、クライアントIDマスタへのエントリを作成し、新規のクライアントIDをクライアントID変更ログ306内に記録する。同期プロセス中に必要が生じた場合、クライアントIDマスタレコードを保持するリクエストに応じて、クライアントIDメンテナンスモジュール305を呼び出してもよい。同様に、すべての新規のエントリおよび変更はID変更ログ306に記録される。クライアントIDマスタデータベースの典型的な定形フォーマットを以下の表3に示す。
【0029】
【表3】
図5は、本発明の一実施形態による、トランザクション監視警告システムのブロック図を示す。いくつかの実施形態において、トランザクション監視警告システムは、ユーザの通常のビジネス活動の過程の中で、以前に開始されていないトランザクションへのアクセスを検知する目的で、特定のユーザのトランザクション活動プロフィールに対して現行のトランザクションを監視する。スタートアップの情報収集フェーズの間に、これらの通常の活動プロフィールをトランザクション活動プロフィールビルダ109に通常設定する。いくつかの実施形態において、監視警告システムは、先に図示したもの(図2)と実質的に同じプロセスをプロフィールビルダの元で利用して、対象アプリケーションからトランザクション活動を得、トランザクション活動を整理し、トランザクションを解析し、トランザクションワーキングセット108を構築する。
【0030】
各トランザクションの監視中、監視警告システム405が一連の分析プロセスを行い、特定のユーザに対して少しでも異常な行動がないかを判断する。いくつかの実施形態において、システムは監視ルールエンジン107からの入力を用いる。該監視ルールエンジンは、階層的な方法で設定することのできるルールを格納しており、会社レベルで全体的なルールが設定でき、これを部門レベル、個人レベルまたはトランザクションレベルにオーバーライドすることもできる。開始時に、クライアントIDマスタデータベース307を利用して、トランザクションに関連付けられたユーザIDを検証してもよく、これによって、監視システムは所与のアプリケーション内で信頼できるユーザとして特定されたユーザを確認できるようになる。実行されるトランザクションが既知のトランザクションであるか判断するために、トランザクションIDマスタデータベース207を利用してもよい。また、当該トランザクションに対する権限がユーザに付与されているのかを判断するために、Contouring Engineプロフィールマスタ110を利用してもよい。同様に、トランザクションIDマスタデータベース20を用いて、トランザクションを開始する試みがアプリケーションに組み込まれた固有のセキュリティによって拒否され、その後2回以上の試みがなされたか否か、つまり、信頼できるユーザが一つ以上の保護されているトランザクションへ繰り返しアクセスを試みたかのかを判断することもできる。さらに、クライアントまたはトランザクションが特定できなったり、あるいはトランザクションが許可されていなかったり、またはユーザのプロフィールに対して異常を示すような状況のいずれかが起こると、警告メッセージを警告メッセージキュー409に向けることもできる。該メッセージには、何者かが権限付与の手続きを回避してアプリケーションに侵入したことを示せるように所定の深刻度レベルを割り当てておく。「使用中止」と識別されたユーザによって、トランザクション活動が開始されたか否かを判断するために分析をさらに行ってもよい。そのような場合は、警告メッセージを所定のセキュリティレベルで同様に開始してもよい。このとき、メッセージは、使用中止になったユーザとの関係が終了した後も従業員、ベンダ、請負業者、あるいは顧客がアプリケーション内のトランザクションにアクセスし続けていることを示す。通常のビジネスの過程で過去に当該ユーザが当該トランザクションに対してアクセス権限を付与されていたことをContouring Engineプロフィールマスタが示すか否かを判断するためにさらに分析を行ってもよい。いくつかの実施形態では、この特定のユーザ、このユーザの部門、あるいはすべてのユーザに対して、このトランザクションへのアクセスを制限し、Contouring Engineプロフィールマスタ110をオーバーライドするような何らかのルールが適用されているか否かを監視ルールエンジン107を利用して分析してもよい。監視警告システム405は、トランザクションが使用の制限時間内に行われたか否か、あるいは、活動が個人の通常労働時間外に起こったか否かを判断するために、監視ルールエンジン110を利用してさらに監視を行ってもよい。更なる実施形態において、監視ルールエンジン107は、個人が配属されている特定の部門に関連する規則に伴う標準労働時間など種々の監視条件をオーバーライドする権限と提供することもでき、あるいはオーバーライドに対して有効な開始および終了期日を分析した後に、余分に許可された時間を一時的に割り当てるオーバーライド権限を提供することもできる。さらに、一つ以上のトランザクションへの一時的な許可を特定の個人に対して一時的に許可することもできる。これによって、トランザクションを通常行っている一または複数のユーザが、休暇、病気などのために一時的にこれらのトランザクションを行うことができない場合に、特定のユーザがトランザクションを行うことができるようになる。
【0031】
さらに、いくつかの実施形態において、同一期間中または重複する期間中に一人のユーザによって、2つ以上のログオンまたは2つ以上のトランザクションが実行されたか否かを、あるいは、特定のユーザによって、トランザクションがユーザに割り当てられた以外のデバイスまたはユーザが普段使っている以外のデバイスから実行されたか否かを検知するために、監視警告システムは上記のデータベースを用いてもよい。
【0032】
上記からわかるように、活動プロフィールをルールエンジンおよび/またはデータベースとともに用いて、特定のユーザに対して正当なトランザクションセットを定義することもできる。正当なトランザクションのセットに一致しないトランザクションを異常な条件であるとみなすこともできる。
【0033】
これらの異常な条件のいずれかが存在する場合、警告メッセージキュー409と警告追跡ハンドラ407は、トランザクションIDマスタ207で識別されるトランザクションコード分類に関連付けられた優先度を伴うメッセージの発行を受けてもよい。さらに、ファイアウォール、オペレーティングシステムおよび/またはネットワークオペレーティングシステムから検索されたトランザクション活動を含むフォレンシックなデータセットを警告用に生成することもできる。フォレンシックなデータセットは、ネットワークおよび/またはオペレーシングシステムを介してユーザがとった経路および不審なトランザクション活動が検知されたときに使われたアクセスの詳細事項を判断するのに有益なデータを含む。
【0034】
いくつかの実施形態において、警告メッセージハンドラ408が監視警告エンジン405から警告メッセージを受け取り、そこからクライアントワークステーション411までのルーティングを制御する。いくつかの実施形態において、警告メッセージハンドラ408は仮想プライベートネットワーク(VPN:Virtual Private Network)410を用いて、メッセージをクライアントワークステーション411に送る。しかし、VPNは必須ではなく、別の実施形態においては、インターネット、イントラネット、あるいはローカルエリアネットワーク接続を経由してメッセージをクライアントワークステーション411に送ってもよい。更なる別の実施形態において、クライアントワークステーション411を監視警告システムに直接接続することもできる。
【0035】
上記の説明からもわかるように、クライアント会社からトランザクションデータを受け取るサービスプロバイダが、監視警告システムを提供することもできる。いくつかの実施形態において、サービスプロバイダは監視されるトランザクションの量、トランザクションデータが占めるディスク空間の容量、あるいはトランザクションの一件あたりに基づいて、クライアント会社に課金することもできる。本発明の実施形態は、特定の課金メカニズムに限定されない。
【0036】
図6は、ハードウェアおよび操作環境の図であり、これらを組み合わせれば本発明の実施形態を実施することもできる。図6の記載は、本発明と組み合わせて実装することができる適切なコンピュータハードウェアと適切なコンピューティング環境に関し簡潔で一般的な説明を提供することを目的とする。必須ではないが、本発明は、パーソナルコンピュータあるいはサーバコンピュータなどのコンピュータによって実行されるプログラムモジュールなど、コンピュータによって実行可能な命令が通常あるものとして説明する。一般的に、プログラムモジュールは特定のタスクを行ったり、特定の抽象データ型を実装したりするルーチン、プログラム、オブジェクト、要素、データ構造体などを含む。
【0037】
さらに、当業者には認識されるであろうが、ハンドヘルドデバイス、マルチプロセッサシステム、マイクロプロセッサベースの家庭用電化製品またはプログラム可能な家庭用電化製品、ネットワークPC、ミニコンピュータ、メインフレームコンピュータおよびこれに類するものを含む他のコンピュータシステムの構成を用いて、本発明を実施することもできる。また、通信網を介してリンクされているリモート処理デバイスを用いてタスクを行う分散コンピューティング環境で本発明を実施してもよい。分散コンピューティング環境では、ローカルおよびリモートにあるメモリストレージデバイスの両方にプログラムモジュールを置くこともできる。
【0038】
図6に示すように、コンピューティングシステム600はプロセッサを含む。Intel Corporationによって製造されたマイクロプロセッサであるPENTIUM(登録商標)ファミリー、Silicon Graphics CorporationのマイクロプロセッサであるMIPS(登録商標)ファミリー、Motorola CorporationおよびIBM Corporationの双方のマイクロプロセッサであるPOWERPC(登録商標)ファミリー、Hewlett−Packard CompanyのマイクロプロセッサであるPRECISION ARCHITECTURE(登録商標)ファミリー、Sun Microsystems CorporationのマイクロプロセッサであるSPARC(登録商標)ファミリー、あるいはCompaq Computer CorporationのマイクロプロセッサであるALPHA(登録商標)ファミリーなどのマイクロプロセッサベースのコンピュータ上で本発明を実装することができる。コンピューティングシステム600は、いかなるパーソナルコンピュータ、ラップトップ、サーバ、あるいはハンドヘルドPCとして知られるバッテリ式のポケット型モバイルコンピュータをも表す。
【0039】
コンピューティングシステム600は、システムメモリ613(読み取り専用メモリ(ROM:read−only memory)614およびランダムアクセスメモリ(RAM:random access memory)615を含む)を含み、該システムメモリはシステムデータ/アドレスバス616によって、プロセッサ612に接続されている。ROM614は、電気消去可能なプログラマブル読み取り専用メモリ(EEPROM(electrically erasable programmable read−only memory)、フラッシュメモリなどを含め、主として読み取り専用である任意のデバイスを表す。RAM615は同期ダイナミックランダムアクセスメモリなどの任意のランダムアクセスメモリを表す。
【0040】
コンピューティングシステム600内では、バスコントローラ619を介して、入出力バス618がデータ/アドレスバス616に接続されている。一実施形態においては、入出力バス618を標準的な周辺コンポーネント相互接続(PCI:Peripheral Component Interconnect)バスとして実装する。バスコントローラ619はプロセッサ612からの信号すべてを検査し、信号を適切なバスへルーティングする。プロセッサ612とシステムメモリ613との間の信号は、単にバスコントローラ619へ通される。しかし、プロセッサ612からシステムメモリ613以外に向けた信号は入出力バス618上にルーティングされる。
【0041】
ハードディスクドライブ620、フロッピー(登録商標)ディスク651を読み取るために用いるフロッピー(登録商標)ドライブ621、および光学ディスク652を読み取るために用いるCD−ROMドライブなどの光学ドライブ622を含む種々のデバイスが入出力バス618に接続される。ビデオアダプタ625を介して、ビデオディスプレイ624あるいはその他の種類のディスプレイデバイスが入出力バス618に接続される。
【0042】
ユーザは、入出力ポート628を介してバス618に接続されているキーボード40、および/またはマウス42などのポインティングデバイス用いて、コンピューティングシステム600にコマンドと情報とを入力する。他の種類のポインティングデバイス(図6には図示せず)には、トラックパッド、トラックボール、ジョイスティック、データグローブ、ヘッドトラッカ、およびビデオディスプレイ624上でカーソルの位置を決めるのに適する他のデバイスを含む。
【0043】
図6に示すように、コンピューティングシステム600はまた、モデム629を含む。図6ではモデム629をコンピューティングシステム600の外部に図示している。しかし、当業者はすぐに気付くであろうが、該モデムをコンピューティングシステム600の内部にも置くこともできる。モデム629はグローバルインターネットなどのワイドエリアネットワーク(図示せず)で通信するために通常用いる。また、当業界では周知のように、コンピューティングシステムはネットワーク上での通信するためにネットワークインターフェースカード53を含んでもよい。
【0044】
ソフトウェアアプリケーション636およびデータはメモリストレージデバイスの一つによって通常記憶され、実行するためにRAM615にコピーされる。なお、該メモリストレージデバイスには、ハードディスク620、フロッピー(登録商標)ディスク651、CD−ROM652を含むこともできるが、一実施形態では、ソフトウェアアプリケーション636をROM614に記憶し、実行するためにRAM615にコピーしたり、あるいはROM614から直接実行したりする。
【0045】
一般的に、オペレーシングシステム635がソフトウェアアプリケーション636を実行して、ユーザが発行した命令を行う。例えば、ユーザがソフトウェアアプリケーション636をロードしたい場合、オペレーシングシステム635は命令を解読し、プロセッサ612にハードディスク620または光学ディスク652のどちらかからRAM615へソフトウェアアプリケーション636をロードさせる。ソフトウェアアプリケーション636をRAM615にロードすると、プロセッサ612はこれを用いることができる。大規模なソフトウェアアプリケーション636の場合、必要に応じてプロセッサ612はプログラムモジュールの種々の部分をRAM615にロードする。
【0046】
コンピューティングシステム600の基本出入力システム(BIOS:Basic Input/Output System)はROM614に記憶され、ブート時にRAM615にロードされる。当業者には認識されるであろうが、BIOS617は実行可能な基本ルーチンのセットであり、コンピューティングシステム600内のコンピューティング資源間での情報の転送を都合よく補助する。オペレーシングシステム635あるいは他のソフトウェアアプリケーション636が、これらの低レベルのサービスルーチンを用いる。
【0047】
一実施形態において、コンピューティングシステム600は、コンピューティングシステム600のコンフィギュレーション情報を持つシステムデータベースであるレジストリ(図示せず)を含む。例えば、MicrosoftのWindows(登録商標)95、Windows(登録商標)98、Windows(登録商標)NT、Windows(登録商標)2000、およびWindows(登録商標)XPでは、内蔵ディスクなどの永久ストレージデバイスに置かれたUSER.DATとSYSTEM.DATと呼ばれる、二つの隠しファイルにレジストリを保持している。
【0048】
結論
信頼できるユーザの活動を監視するシステムおよび方法が開示されている。説明したシステムおよび方法は先行のシステムよりも優れた利点を提供する。
【0049】
本明細書では特定の実施形態を図示し、説明してきたが、ここに示した特定の実施形態の代わりに、同一の目的を達成するために考えられるいかなる構成をも用いることができるということは、当業者には認識されるであろう。本出願は本発明のいかなる改良あるいは変更をも包括することを目的とする。
【0050】
本出願明細書で用いられている用語は、これらの環境すべてを含むものとする。上記の説明は例示的なものに過ぎず、限定的なものではないことを理解されたい。上記の説明を精査する際に、他の多くの実施形態が当業者には明らかとなるであろう。したがって、本発明が以下の特許請求の範囲およびその均等物によってのみ限定されることは明白である。
【図面の簡単な説明】
【0051】
【図1】図1は、本発明の一実施形態による、方法の全体的な処理とトランザクション監視警告システムを構成する主要なモジュールの機能ブロック図を示す。
【図2】図2は、本発明の一実施形態による、監視される特定のアプリケーション内でのトランザクション活動についてのユーザプロフィールを構築する活動プロフィールビルダのブロック図を示す。
【図3】図3は、本発明の種々の実施形態による、トランザクションIDビルダおよびメンテナンス機能のブロック図を示す。
【図4】図4は、本発明の種々の実施形態による、クライアントIDビルダおよびメンテナンス機能のブロック図を示す。
【図5】図5は、本発明の一実施形態による、トランザクション監視警告システムのブロック図を示す。
【図6】図6は、本発明の実施形態を実行することもできるコンピュータのブロック図を示す。
【特許請求の範囲】
【請求項1】
アプリケーションの使用を監視するコンピュータ化された方法であって、方法は、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーション使用を表しているステップと、
前記トランザクション活動を解析するステップと、
前記解析済みのトランザクション活動に基づいて前記ユーザのプロフィールを構築するステップと、
を含む、方法。
【請求項2】
アプリケーションの使用を監視するコンピュータ化された方法であって、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーションの使用を表す活動を含むステップと、
前記トランザクション活動を解析するステップと、
ユーザに関連付けられた前記解析済みトランザクション活動のサブセットと前記ユーザの所定のプロフィールとを比較するステップであって、前記プロフィールは、少なくとも部分的に前記ユーザの以前のトランザクション活動に基づいているステップと、
前記解析済みのトランザクション活動のいずれかが前記所定のプロフィールと一致しない場合に、警告を発するステップと、
を含む方法。
【請求項3】
前記コンピュータアプリケーションは、PeopleSoft、SAPおよびJD Edwardsからなる群より選択したコンピュータアプリケーションを含む、請求項2に記載の方法。
【請求項4】
前記トランザクション活動は、アクセスおよび認証システムからのトランザクション活動をさらに含み、前記方法は、前記トランザクション活動に基づくフォレンシックなデータセットを作成するステップをさらに含む、請求項2に記載の方法。
【請求項5】
前記トランザクション活動は、ネットワークオペレーティングシステム、オペレーティングシステムおよびファイアウォールからなる群より選択したシステムからのトランザクション活動を含む、請求項4に記載の方法。
【請求項6】
前記トランザクション活動を解析する前に、前記トランザクション活動はリモートシステムに送られる、請求項2に記載の方法。
【請求項7】
前記リモートシステムへ送られる前に、前記トランザクション活動は暗号化される請求項6に記載の方法。
【請求項8】
前記プロフィールは、前記ユーザの労働時間を含む、請求項2に記載の方法。
【請求項9】
前記ユーザによってトランザクションが実行される時間が、前記トランザクション活動によって定められ、ユーザの前記通常の許可された労働時間内に前記トランザクションが行われたか否かを判断するのに利用される、請求項8に記載の方法。
【請求項10】
前記労働時間は、システム管理者によって設定される、請求項8に記載の方法。
【請求項11】
前記プロフィールは前記ユーザによって通常実行されるトランザクションを含む、請求項2に記載の方法。
【請求項12】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に一人のユーザによって二つ以上のトランザクションが実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項13】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のネットワークログオンが実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項14】
警告を発するステップは、トランザクションがユーザによって前記ユーザに割り当てられた以外のデバイスから実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項15】
トランザクションが身元不明のユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項16】
トランザクションが前記アプリケーションに認識されていないユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項17】
トランザクションが使用中止にされたユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項18】
前記トランザクション活動に基づいて課金レコードを生成するステップをさらに含む、請求項2に記載の方法。
【請求項19】
前記課金レコードは、トランザクション活動の前記量に基づいて生成される、請求項18に記載の方法。
【請求項20】
前記課金レコードは、前記トランザクション活動のトランザクション数に基づいて生成される、請求項18に記載の方法。
【請求項21】
コンピュータアプリケーションの使用を監視するコンピュータ化されたシステムであって、
コンピュータアプリケーションからトランザクションを受け取るように動作可能であるトランザクション活動ハーベスタと、
前記トランザクションを解析するように動作可能であるトランザクションパーサと、
ユーザのプロフィールを作成するように動作可能である解析プロフィールビルダであって、前記プロフィールは前記ユーザの正当なトランザクションのセットを含んでいる解析プロフィールビルダと、
前記コンピュータアプリケーションで前記ユーザによって実行されたトランザクションと前記ユーザの正当なトランザクションの前記セットとを比較し、前記実行されたトランザクションが正当なトランザクションの前記セットと一致しない場合に、警告を発するように動作可能である監視警告システムと、
を含む、システム。
【請求項22】
前記監視警告システムは、ユーザが保護されているトランザクションへのアクセスを繰り返し試みていることを検知した際に、警告を発するようにさらに動作可能である、請求項21に記載のシステム。
【請求項23】
正当なトランザクションの前記セットは、過去に前記ユーザが実行したトランザクションを含む、請求項21に記載のシステム。
【請求項24】
実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項25】
ユーザに割り当てられた以外のデバイスから、前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項26】
前記ユーザの標準労働日および時間以外に前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項27】
身元不明のユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項28】
前記アプリケーションに認識されていないユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項29】
監視されるユーザのセットを特定するように動作可能であるクライアントIDビルダをさらに含む、請求項21に記載のシステム。
【請求項30】
監視されるトランザクションのセットを特定するように動作可能であるトランザクションIDビルダをさらに含む、請求項21に記載のシステム。
【請求項31】
前記トランザクション活動ハーベスタは、オペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載のシステム。
【請求項32】
前記システムがファイアウォールをさらに含み、前記トランザクション活動ハーベスタは、前記ファイアウォールからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載のシステム。
【請求項33】
前記システムがネットワークオペレーティングシステムをさらに含み、前記トランザクション活動ハーベスタは、前記ネットワークオペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載の方法。
【請求項34】
前記監視警告システムによって適用されるルールセットを含んでいるルールデータベースに動作可能に接続されているルールエンジンをさらに含む、請求項21に記載のシステム。
【特許請求の範囲】
【請求項1】
アプリケーションの使用を監視するコンピュータ化された方法であって、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーションの使用を表す活動を含むステップと、
前記トランザクション活動を解析するステップと、
ユーザに関連付けられた前記解析済みトランザクション活動のサブセットと前記ユーザの所定のプロフィールとを比較するステップであって、前記プロフィールは、少なくとも部分的に前記ユーザの以前のトランザクション活動に基づいているステップと、
前記解析済みのトランザクション活動のいずれかが前記所定のプロフィールと一致しない場合に、警告を発するステップと、
を含む方法。
【請求項2】
前記コンピュータアプリケーションは、PeopleSoft、SAPおよびJD Edwardsからなる群より選択したコンピュータアプリケーションを含む、請求項1に記載の方法。
【請求項3】
前記トランザクション活動は、アクセスおよび認証システムからのトランザクション活動をさらに含み、前記方法は、前記トランザクション活動に基づくフォレンシックなデータセットを作成するステップをさらに含む、請求項1に記載の方法。
【請求項4】
前記トランザクション活動は、ネットワークオペレーティングシステム、オペレーティングシステムおよびファイアウォールからなる群より選択したシステムからのトランザクション活動を含む、請求項3に記載の方法。
【請求項5】
前記トランザクションを解析する前に、前記トランザクション活動はリモートシステムへ送られる、請求項1に記載の方法。
【請求項6】
前記リモートシステムへ送られる前に、前記トランザクション活動は暗号化される請求項5に記載の方法。
【請求項7】
前記プロフィールは、前記ユーザの労働時間を含む、請求項1に記載の方法。
【請求項8】
前記ユーザによってトランザクションが実行される時間が、前記トランザクション活動によって定められ、ユーザの前記通常の許可された労働時間内に前記トランザクションが行われたか否かを判断するのに利用される、請求項7に記載の方法。
【請求項9】
前記労働時間は、システム管理者によって設定される、請求項7に記載の方法。
【請求項10】
前記プロフィールは前記ユーザによって通常実行されるトランザクションを含む、請求項1に記載の方法。
【請求項11】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に一人のユーザによって二つ以上のトランザクションが実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項12】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のネットワークログオンが実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項13】
警告を発するステップは、トランザクションがユーザによって前記ユーザに割り当てられた以外のデバイスから実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項14】
トランザクションが身元不明のユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項15】
トランザクションが前記アプリケーションに認識されていないユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項16】
トランザクションが使用中止にされたユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項17】
前記トランザクション活動に基づいて課金レコードを生成するステップをさらに含む、請求項1に記載の方法。
【請求項18】
前記課金レコードは、トランザクション活動の前記量に基づいて生成される、請求項14に記載の方法。
【請求項19】
前記課金レコードは、前記トランザクション活動のトランザクション数に基づいて生成される、請求項14に記載の方法。
【請求項20】
コンピュータアプリケーションの使用を監視するコンピュータ化されたシステムであって、
コンピュータアプリケーションからトランザクションを受け取るように動作可能であるトランザクション活動ハーベスタと、
前記トランザクションを解析するように動作可能であるトランザクションパーサと、
ユーザのプロフィールを作成するように動作可能である解析プロフィールビルダであって、前記プロフィールは前記ユーザの正当なトランザクションのセットを含んでいる、解析プロフィールビルダと、
前記コンピュータアプリケーションで前記ユーザによって実行されたトランザクションと前記ユーザの正当なトランザクションの前記セットとを比較し、前記実行されたトランザクションが正当なトランザクションの前記セットと一致しない場合に、警告を発するように動作可能である監視警告システムと、
を含む、システム。
【請求項21】
前記監視警告システムは、ユーザが保護されているトランザクションへのアクセスを繰り返し試みていることを検知した際に、警告を発するようにさらに動作可能である、請求項20に記載のシステム。
【請求項22】
正当なトランザクションの前記セットは、過去に前記ユーザが実行したトランザクションを含む、請求項20に記載のシステム。
【請求項23】
実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項24】
ユーザに割り当てられた以外のデバイスから、前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項25】
前記ユーザの標準労働日および時間以外に前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項26】
身元不明のユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項27】
前記アプリケーションに認識されていないユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項28】
監視されるユーザのセットを特定するように動作可能であるクライアントIDビルダをさらに含む、請求項20に記載のシステム。
【請求項29】
監視されるトランザクションのセットを特定するように動作可能であるトランザクションIDビルダをさらに含む、請求項20に記載のシステム。
【請求項30】
前記トランザクション活動ハーベスタは、オペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載のシステム。
【請求項31】
前記システムがファイアウォールをさらに含み、前記トランザクション活動ハーベスタは、前記ファイアウォールからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載のシステム。
【請求項32】
前記システムがネットワークオペレーティングシステムをさらに含み、前記トランザクション活動ハーベスタは、前記ネットワークオペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載の方法。
【請求項33】
前記監視警告システムによって適用されるルールセットを含んでいるルールデータベースに動作可能に接続されているルールエンジンをさらに含む、請求項17に記載のシステム。
【請求項1】
アプリケーションの使用を監視するコンピュータ化された方法であって、方法は、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーション使用を表しているステップと、
前記トランザクション活動を解析するステップと、
前記解析済みのトランザクション活動に基づいて前記ユーザのプロフィールを構築するステップと、
を含む、方法。
【請求項2】
アプリケーションの使用を監視するコンピュータ化された方法であって、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーションの使用を表す活動を含むステップと、
前記トランザクション活動を解析するステップと、
ユーザに関連付けられた前記解析済みトランザクション活動のサブセットと前記ユーザの所定のプロフィールとを比較するステップであって、前記プロフィールは、少なくとも部分的に前記ユーザの以前のトランザクション活動に基づいているステップと、
前記解析済みのトランザクション活動のいずれかが前記所定のプロフィールと一致しない場合に、警告を発するステップと、
を含む方法。
【請求項3】
前記コンピュータアプリケーションは、PeopleSoft、SAPおよびJD Edwardsからなる群より選択したコンピュータアプリケーションを含む、請求項2に記載の方法。
【請求項4】
前記トランザクション活動は、アクセスおよび認証システムからのトランザクション活動をさらに含み、前記方法は、前記トランザクション活動に基づくフォレンシックなデータセットを作成するステップをさらに含む、請求項2に記載の方法。
【請求項5】
前記トランザクション活動は、ネットワークオペレーティングシステム、オペレーティングシステムおよびファイアウォールからなる群より選択したシステムからのトランザクション活動を含む、請求項4に記載の方法。
【請求項6】
前記トランザクション活動を解析する前に、前記トランザクション活動はリモートシステムに送られる、請求項2に記載の方法。
【請求項7】
前記リモートシステムへ送られる前に、前記トランザクション活動は暗号化される請求項6に記載の方法。
【請求項8】
前記プロフィールは、前記ユーザの労働時間を含む、請求項2に記載の方法。
【請求項9】
前記ユーザによってトランザクションが実行される時間が、前記トランザクション活動によって定められ、ユーザの前記通常の許可された労働時間内に前記トランザクションが行われたか否かを判断するのに利用される、請求項8に記載の方法。
【請求項10】
前記労働時間は、システム管理者によって設定される、請求項8に記載の方法。
【請求項11】
前記プロフィールは前記ユーザによって通常実行されるトランザクションを含む、請求項2に記載の方法。
【請求項12】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に一人のユーザによって二つ以上のトランザクションが実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項13】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のネットワークログオンが実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項14】
警告を発するステップは、トランザクションがユーザによって前記ユーザに割り当てられた以外のデバイスから実行された場合に、警告を発するステップを含む、請求項2に記載の方法。
【請求項15】
トランザクションが身元不明のユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項16】
トランザクションが前記アプリケーションに認識されていないユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項17】
トランザクションが使用中止にされたユーザによって実行された場合に、警告を発するステップをさらに含む、請求項2に記載の方法。
【請求項18】
前記トランザクション活動に基づいて課金レコードを生成するステップをさらに含む、請求項2に記載の方法。
【請求項19】
前記課金レコードは、トランザクション活動の前記量に基づいて生成される、請求項18に記載の方法。
【請求項20】
前記課金レコードは、前記トランザクション活動のトランザクション数に基づいて生成される、請求項18に記載の方法。
【請求項21】
コンピュータアプリケーションの使用を監視するコンピュータ化されたシステムであって、
コンピュータアプリケーションからトランザクションを受け取るように動作可能であるトランザクション活動ハーベスタと、
前記トランザクションを解析するように動作可能であるトランザクションパーサと、
ユーザのプロフィールを作成するように動作可能である解析プロフィールビルダであって、前記プロフィールは前記ユーザの正当なトランザクションのセットを含んでいる解析プロフィールビルダと、
前記コンピュータアプリケーションで前記ユーザによって実行されたトランザクションと前記ユーザの正当なトランザクションの前記セットとを比較し、前記実行されたトランザクションが正当なトランザクションの前記セットと一致しない場合に、警告を発するように動作可能である監視警告システムと、
を含む、システム。
【請求項22】
前記監視警告システムは、ユーザが保護されているトランザクションへのアクセスを繰り返し試みていることを検知した際に、警告を発するようにさらに動作可能である、請求項21に記載のシステム。
【請求項23】
正当なトランザクションの前記セットは、過去に前記ユーザが実行したトランザクションを含む、請求項21に記載のシステム。
【請求項24】
実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項25】
ユーザに割り当てられた以外のデバイスから、前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項26】
前記ユーザの標準労働日および時間以外に前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項27】
身元不明のユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項28】
前記アプリケーションに認識されていないユーザによってトランザクションが実行された場合に、警告が発生する、請求項21に記載のシステム。
【請求項29】
監視されるユーザのセットを特定するように動作可能であるクライアントIDビルダをさらに含む、請求項21に記載のシステム。
【請求項30】
監視されるトランザクションのセットを特定するように動作可能であるトランザクションIDビルダをさらに含む、請求項21に記載のシステム。
【請求項31】
前記トランザクション活動ハーベスタは、オペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載のシステム。
【請求項32】
前記システムがファイアウォールをさらに含み、前記トランザクション活動ハーベスタは、前記ファイアウォールからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載のシステム。
【請求項33】
前記システムがネットワークオペレーティングシステムをさらに含み、前記トランザクション活動ハーベスタは、前記ネットワークオペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項21に記載の方法。
【請求項34】
前記監視警告システムによって適用されるルールセットを含んでいるルールデータベースに動作可能に接続されているルールエンジンをさらに含む、請求項21に記載のシステム。
【特許請求の範囲】
【請求項1】
アプリケーションの使用を監視するコンピュータ化された方法であって、
コンピュータアプリケーションからトランザクション活動を受け取るステップであって、前記トランザクション活動はユーザによる前記コンピュータアプリケーションの使用を表す活動を含むステップと、
前記トランザクション活動を解析するステップと、
ユーザに関連付けられた前記解析済みトランザクション活動のサブセットと前記ユーザの所定のプロフィールとを比較するステップであって、前記プロフィールは、少なくとも部分的に前記ユーザの以前のトランザクション活動に基づいているステップと、
前記解析済みのトランザクション活動のいずれかが前記所定のプロフィールと一致しない場合に、警告を発するステップと、
を含む方法。
【請求項2】
前記コンピュータアプリケーションは、PeopleSoft、SAPおよびJD Edwardsからなる群より選択したコンピュータアプリケーションを含む、請求項1に記載の方法。
【請求項3】
前記トランザクション活動は、アクセスおよび認証システムからのトランザクション活動をさらに含み、前記方法は、前記トランザクション活動に基づくフォレンシックなデータセットを作成するステップをさらに含む、請求項1に記載の方法。
【請求項4】
前記トランザクション活動は、ネットワークオペレーティングシステム、オペレーティングシステムおよびファイアウォールからなる群より選択したシステムからのトランザクション活動を含む、請求項3に記載の方法。
【請求項5】
前記トランザクションを解析する前に、前記トランザクション活動はリモートシステムへ送られる、請求項1に記載の方法。
【請求項6】
前記リモートシステムへ送られる前に、前記トランザクション活動は暗号化される請求項5に記載の方法。
【請求項7】
前記プロフィールは、前記ユーザの労働時間を含む、請求項1に記載の方法。
【請求項8】
前記ユーザによってトランザクションが実行される時間が、前記トランザクション活動によって定められ、ユーザの前記通常の許可された労働時間内に前記トランザクションが行われたか否かを判断するのに利用される、請求項7に記載の方法。
【請求項9】
前記労働時間は、システム管理者によって設定される、請求項7に記載の方法。
【請求項10】
前記プロフィールは前記ユーザによって通常実行されるトランザクションを含む、請求項1に記載の方法。
【請求項11】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に一人のユーザによって二つ以上のトランザクションが実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項12】
警告を発するステップは、実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のネットワークログオンが実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項13】
警告を発するステップは、トランザクションがユーザによって前記ユーザに割り当てられた以外のデバイスから実行された場合に、警告を発するステップを含む、請求項1に記載の方法。
【請求項14】
トランザクションが身元不明のユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項15】
トランザクションが前記アプリケーションに認識されていないユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項16】
トランザクションが使用中止にされたユーザによって実行された場合に、警告を発するステップをさらに含む、請求項1に記載の方法。
【請求項17】
前記トランザクション活動に基づいて課金レコードを生成するステップをさらに含む、請求項1に記載の方法。
【請求項18】
前記課金レコードは、トランザクション活動の前記量に基づいて生成される、請求項14に記載の方法。
【請求項19】
前記課金レコードは、前記トランザクション活動のトランザクション数に基づいて生成される、請求項14に記載の方法。
【請求項20】
コンピュータアプリケーションの使用を監視するコンピュータ化されたシステムであって、
コンピュータアプリケーションからトランザクションを受け取るように動作可能であるトランザクション活動ハーベスタと、
前記トランザクションを解析するように動作可能であるトランザクションパーサと、
ユーザのプロフィールを作成するように動作可能である解析プロフィールビルダであって、前記プロフィールは前記ユーザの正当なトランザクションのセットを含んでいる、解析プロフィールビルダと、
前記コンピュータアプリケーションで前記ユーザによって実行されたトランザクションと前記ユーザの正当なトランザクションの前記セットとを比較し、前記実行されたトランザクションが正当なトランザクションの前記セットと一致しない場合に、警告を発するように動作可能である監視警告システムと、
を含む、システム。
【請求項21】
前記監視警告システムは、ユーザが保護されているトランザクションへのアクセスを繰り返し試みていることを検知した際に、警告を発するようにさらに動作可能である、請求項20に記載のシステム。
【請求項22】
正当なトランザクションの前記セットは、過去に前記ユーザが実行したトランザクションを含む、請求項20に記載のシステム。
【請求項23】
実質的に同一の期間あるいは重複する期間に、一人のユーザによって二つ以上のトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項24】
ユーザに割り当てられた以外のデバイスから、前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項25】
前記ユーザの標準労働日および時間以外に前記ユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項26】
身元不明のユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項27】
前記アプリケーションに認識されていないユーザによってトランザクションが実行された場合に、警告が発生する、請求項20に記載のシステム。
【請求項28】
監視されるユーザのセットを特定するように動作可能であるクライアントIDビルダをさらに含む、請求項20に記載のシステム。
【請求項29】
監視されるトランザクションのセットを特定するように動作可能であるトランザクションIDビルダをさらに含む、請求項20に記載のシステム。
【請求項30】
前記トランザクション活動ハーベスタは、オペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載のシステム。
【請求項31】
前記システムがファイアウォールをさらに含み、前記トランザクション活動ハーベスタは、前記ファイアウォールからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載のシステム。
【請求項32】
前記システムがネットワークオペレーティングシステムをさらに含み、前記トランザクション活動ハーベスタは、前記ネットワークオペレーティングシステムからトランザクション活動を受け取るようにさらに動作可能である、請求項20に記載の方法。
【請求項33】
前記監視警告システムによって適用されるルールセットを含んでいるルールデータベースに動作可能に接続されているルールエンジンをさらに含む、請求項17に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2006−519439(P2006−519439A)
【公表日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願番号】特願2006−503547(P2006−503547)
【出願日】平成16年2月13日(2004.2.13)
【国際出願番号】PCT/US2004/004230
【国際公開番号】WO2004/075036
【国際公開日】平成16年9月2日(2004.9.2)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Linux
【出願人】(505303750)プロディジェン, エルエルシー (1)
【Fターム(参考)】
【公表日】平成18年8月24日(2006.8.24)
【国際特許分類】
【出願日】平成16年2月13日(2004.2.13)
【国際出願番号】PCT/US2004/004230
【国際公開番号】WO2004/075036
【国際公開日】平成16年9月2日(2004.9.2)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
Linux
【出願人】(505303750)プロディジェン, エルエルシー (1)
【Fターム(参考)】
[ Back to top ]