行動パターン抽出装置および異常行動検出装置
【課題】 人間の行動の不確かさも考慮して、適切に行動パターンの抽出や異常行動の検出を行う装置を提供する。
【解決手段】 本発明に係る行動パターン抽出装置は、認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、抽出された履歴系列を格納する履歴系列データベースと、ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする。
【解決手段】 本発明に係る行動パターン抽出装置は、認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、抽出された履歴系列を格納する履歴系列データベースと、ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、行動パターン抽出装置及び異常行動検出装置に関する。
【背景技術】
【0002】
従来の行動パターン抽出装置および異常行動検出装置の例として、下記特許文献1に記載の「不正ログイン検出装置」が挙げられる。同装置では、ユーザがPC(パーソナルコンピュータ)やPPP(ポイントツーポイントプロトコル)サーバへログインする際、当該ユーザの過去のログイン時刻データから予め抽出されてある通常のログインパターン(行動パターン)を基準にして、行動パターンに一致しないログインが不正ログインと判定される。
【0003】
上記先行例では、行動パターンの情報として、ログイン統計情報データベースにユーザ名と単位時間毎にログインに成功した回数とが対応付けられて格納される。ログイン回数積算部が、ユーザ認証されログインされたユーザ名とログイン時刻を得ると、ログイン統計情報データベースの当該ユーザにおける該当する時刻範囲のログイン回数を1加算することにより、ユーザの行動パターンを得る。不正ログイン検出処理部は、ユーザ認証後、当該ユーザのログイン回数に基づき予め定義された不正ログイン条件による検証を行い、不正ログインの疑いの有無を判定する。
【0004】
同先行例では、ログイン時刻範囲別に異常行動判定が行われている。つまり、偶々一度だけ通常と異なる時間にログインを生じた場合、直ちに不正ログインと判定される。人間が日常と異なる行動を取ることはしばしば生じるのであり、先行例のような行動パターン抽出方法および異常行動判定方法では、不要な検出である誤検出が多発することになると思われる。
【特許文献1】特開2002−297543公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、人間の行動の不確かさをある程度考慮しつつも、適切に行動パターンの抽出や異常行動の検出を行う装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記の目的を達成するためになされたものである。本発明に係る行動パターン抽出装置は、
認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、
抽出された履歴系列を格納する履歴系列データベースと、
ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、
抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする行動パターン抽出装置である。
【発明の効果】
【0007】
本発明を利用することにより、1回の履歴データではなく履歴系列から行動パターンを抽出して、各ユーザの行動パターンを把握することができる。更に、1回の履歴データではなく履歴系列から行動パターンを抽出した上で異常行動を検出するので、検出動作を実効的且つ効率的に行うことができる。
【発明を実施するための最良の形態】
【0008】
本発明に係る行動パターン抽出装置は、一定時間(例えば、1日)または一定区間(例えば、入場から退場まで)における連続する履歴データの系列(以下、履歴系列と言う。)からユーザの行動パターンを抽出する機能を提供する。また、本発明に係る異常行動検出装置は、所与の行動パターン(データ)と差異ある履歴系列が生じた場合に、異常行動として検出する機能を提供する。
【0009】
個別の履歴データではなく、履歴系列データから行動パターンを抽出するので、1回程度通常と異なる履歴データが生じても異常行動と判定しない。従って、誤検出の多発を防ぐことができる。また、ユーザの行動パターンを1つだけ抽出するのではなく複数抽出するので、人の広範な行動パターンを捕らえより誤検出をより軽減することができる。
【0010】
以下、図面を参照して本発明に係る好適な実施の形態を説明する。
【0011】
実施の形態1.
図1は、本発明の実施の形態1に係る行動パターン抽出装置2の構成を示すブロック図である。実施の形態1に係る行動パターン抽出装置2は、適切なコンピュータシステム上に実装される。行動パターン抽出装置2は従来例の入退室管理システム4に接続する。
【0012】
図1に示される行動パターン抽出装置2は、
・通行履歴データベース6から、ユーザ毎の履歴系列データを抽出する履歴系列抽出部8と、
・抽出された履歴系列データを格納する履歴系列データベース12と、
・ユーザ毎の複数の履歴系列データから、ユーザ毎の一つ以上の行動パターン(データ)を抽出する行動パターン抽出部10と、
・抽出された行動パターン(データ)を格納する行動パターンデータベース14と
から構成される。
【0013】
なお、上記通行履歴データベース6は、入退室管理システム4に付属するデータベースであり、各種認証装置やセンサから得られる通行履歴データを格納している。
【0014】
実施の形態1に係る行動パターン抽出装置2は、行動パターンを抽出・分類する。人の通常の行動パターンは、過去の多数の行動に係るデータを分類することで得られる。本発明では、入退室管理システム4の通行履歴データベース6から、人の過去の行動に係るデータを得る。
【0015】
以下では、分類処理に用いるデータを「分類データ」と言う。分類処理では、1人の人間の行動パターンを1つ以上の行動パターンに分類することができる。更に、実施の形態1では、単体の履歴データを分類データとせず、複数の履歴データが繋がって形成される履歴系列データを分類データとして、行動パターンを抽出する。履歴系列抽出部8が、分類データである履歴系列(データ)を作成する。行動パターン抽出部10は、行動パターンの抽出を行う。
【0016】
通行履歴データベース6は、従来例の入退室管理システム4に付属し、認証装置やセンサなどから得られるデータを格納している。このデータは、ユーザが入退室管理システム4の管理する建物内の所定の位置を通行したことを示す情報である。この「ユーザが・・・所定の位置を通行したことを示す情報」が、“履歴”データである。
【0017】
通行履歴データベース6の内容は、図2に示すように、データベース内の管理用インデックス、(通行)時刻、ユーザID、認証装置やセンサの認証装置IDからなる複数の履歴で構成される。履歴データは、認証装置やセンサから得られた時刻の順に並んでいる。
【0018】
前述のように本発明では、行動パターンを抽出するために、個別のユーザに関して履歴系列(データ)を用いる。ここで、履歴系列(データ)の始端と終端を定義する必要がある。以下のような、履歴系列の始端と終端の定義が想定される。
・1日、1週間、就業時間などの、一定時間
・建物内に入ってから出るまでの通行区間などの、一定区間
履歴系列の始端と終端の定義を如何に設定するかは、行動パターンを抽出する対象システム(図1では、入退室管理システム4)の特性に拠る。図1の入退室管理システム4では、例えば、1日の履歴系列を用いて行動パターン抽出を行うのが有効であると考えられる。
【0019】
履歴系列抽出部8は、通行履歴データベース6の履歴(データ)からユーザ別の履歴系列を抽出する。図3は、履歴系列抽出部8の処理フローチャートである。履歴系列抽出部8は、通行履歴データベース6内の行動パターンを抽出する対象となる全ての履歴(データ)について次の処理を行う(S02・S14)。
【0020】
該履歴のユーザIDを既に見つけているか判定する(S04)。ここで、初めてのユーザIDであれば(S04・No)該ユーザIDの履歴系列を保存するための領域を履歴系列データベース12に確保し(S08)、履歴系列の先頭にその履歴を保存する(S12)。ユーザIDを既に見つけていれば(S04・Yes)、その履歴が該ユーザIDの1つ前の履歴と異なる日であるかを判定する(S06)。異なる日であれば(S06・Yes)その履歴を別の履歴系列の先頭に保存し(S12)、同じ日であれば(S06・No)既にある履歴系列の末尾に追加する(S10)。
【0021】
履歴系列抽出部8で抽出された履歴系列データは、履歴系列データベース12に保存される。図4は、履歴系列データベース12に格納されるユーザ“u”に関する履歴系列である。なお、図4のインデックスiは図2のインデックスiとは関係が無く、ユーザ“u”に関する履歴に対して順に番号付けを仕直したものである。
【0022】
行動パターン抽出部10は、履歴系列データベース12内の履歴系列からユーザ毎の行動パターンを抽出し、行動パターンデータベース14に格納する。
【0023】
図5は、1人のユーザの履歴系列データの例を示す表である。説明上の便宜のため、図4に示したインデックス、時刻、ユーザIDは省略している。表の各行が一つの履歴系列であり、この例では19日分の履歴系列が含まれている。履歴系列の0、1、2などの数値は、ユーザが通過した認証装置IDを表している。
【0024】
これらの履歴系列から行動パターンを抽出するためには、履歴系列データ同士を対照し、履歴系列同士がどの程度似ているかを判断・決定しなければならない。しかし、履歴系列は各々長さ(即ち、1日に通過した認証装置の数)が異なるため、単純に履歴系列同士を対照しても何も得られない。そこで、実施の形態1では、長さが異なるデータを比較する手法であるDP(Dynamic Programing)マッチングを用いる。
【0025】
DPマッチングについて簡単に説明する。例として、図6に示す履歴系列AとBを比較する。“a0”や“b1”などは、A、Bの各要素(履歴)である。AとBとでは履歴系列の長さが異なるため、そのまま系列の要素を比較することができない。そこで、短い方の履歴系列の要素に“*”を入れてAとBの系列の長さを揃えた系列A’、B’を作成する。系列中に“*”が入れられる位置は、数2の式で表されているdiの規則を使用し、A’とB’との比較結果であるDが最も小さくなるように定められる。Dの定義は次の通りである。
【0026】
【数1】
ここで、LはA’、B’の要素の数である。以下ではLをDの長さと言う。つまり、可能な限り、同じ認証装置ID(ai=bi)が比較されるように、元の履歴系列AとBとに“*”が入れられる。ここで、iは履歴系列の前からi番目の要素であることを表している。
【数2】
【0027】
従って、履歴系列の長さを合わせ、数2の式で表されているdiの規則によりA’とB’の各要素a’i、b’iを比較し、比較結果Dを求める。図6における履歴系列AとBとの比較結果Dは、
【数3】
となる。Dの値は、履歴系列が似ている程小さな値となる。
【0028】
Dの値をそのまま用いて行動パターンを抽出することも可能と言えるが、Dは長い履歴系列である程大きな値になる可能性がある。そうすると、公平に類似度を表しているとはいい難い。そこで、Dを正規化、即ち、最大値を1に固定するようにする。その正規化された値をここでは履歴系列間の距離と呼び、履歴系列同士の比較に用いる。理論上Dが最も大きくなるのは、数2の式の定義より、全ての要素が全く異なるときである。そのときのDは“Dの長さ×2=2L”となる。従って、正規化された“距離”を、
D/(2L)
と定義する。ここでのDの長さLは、“*”が入れられた後のA’やB’の要素の数を示す。図6の例では
距離=15/(22×2)=0.34
である。従って、距離は、2つの履歴系列中の異なる要素の割合を表すことになる。
【0029】
次に、分類データの行動パターンへの分類について説明する。まず、一人の人間の行動パターンは、一つに限定されるものではない。そのため、複数の履歴系列を複数の行動パターンに分類することを考える。本明細書では、上記の履歴系列データ相互の距離に基づいて、公知の分類(クラスタリング)アルゴリズムであるLBGアルゴリズムにより履歴系列の分類を行う。
【0030】
LBG(Linde、Buzo and Gray)アルゴリズムは、個々のデータ(ここでは履歴系列)がどのクラスタ(行動パターン)に属するべきかというクラスタ間の境界を決定するアルゴリズムである。数学的には、クラスタ間分散が大きくなり、かつクラスタ内分散が小さくなるようにクラスタが決定される。このことは、行動パターンが異なる履歴系列同士の距離は大きくなり、行動パターンが同じ履歴系列同士の距離は小さくなることを示している。履歴系列を2次元座標上で表現することはできないが、分類方法を概念的に2次元座標上に表したものを、図7に示す。●と○が分類データ(履歴系列)を表しており、線がクラスタ間の境界を表している。×がクラスタの重心であり、○が重心に最も近い履歴系列データを表している(ここで、クラスタの重心に最も近い履歴系列データを、代表点と称する。)。代表点は、一つのクラスタに属する履歴系列の中で、同じクラスタに属する他の全ての履歴系列との距離の和が最小となるものを求めることで得られる。
【0031】
ところで、上記のLBGアルゴリズムは、クラスタ数が決まっている場合に用いられる方法である。一方で、そもそも人間の行動パターンの数は、個人によって異なる。従って、クラスタ数は履歴系列から自動的に求められることが望ましい。本発明では最大距離アルゴリズムと呼ばれるクラスタ数を決定する方法を用いる。図8に最大距離アルゴリズムの動作概念図を示し、以下にその概略の手順を示す。
【0032】
1)まず、クラスタ数1として、全履歴系列の重心および代表点を求める(図8(1))。
2)クラスタの代表点から最も遠い点(最遠点)の距離が予め定められた閾値α以上である場合には(図8(1)の最遠点)、クラスタを1つ増やし代表点と最遠点を初期点としてLBGアルゴリズムにより履歴系列を分類する(図8(2))。
3)各履歴系列につきその履歴系列から最も近いクラスタの代表点の距離を求め、その上でそれら距離のうち最も大きいものである点(最遠点)を確定する(図8(2)の最遠点)。最遠点と(近接の)代表点との距離が閾値以上の場合、クラスタ数を1つ増やし、各クラスタの代表点と最遠点を初期点として分類していく(図8(3))。
4)以下全ての履歴系列が代表点から閾値α以内の距離に入るまで、3)の処理を繰り返す。
【0033】
図5の分類データである履歴系列を、最遠点の閾値αを0.25として分類したところ、クラスタ数が“5”となり、図9に示す結果となった。つまり、このユーザの行動パターンを抽出したところ、5つの行動パターンが得られたことになる。
【0034】
あるユーザの履歴系列を分類した結果、あるクラスタに属する分類データの数が少ない場合、そのクラスタは通常の行動パターンでは略発生しないと見なされ得るため、削除してもよい。例えば、予め閾値β(0≦β≦1)を定めておき、
M/N<β
のとき該クラスタを行動パターンから削除する。ここで、Nは、あるユーザの分類データである履歴系列の数、Mは、あるクラスタに分類された履歴系列数を表す。
【0035】
以上のような分類を受けて、行動パターンデータベース14は、クラスタIDと各クラスタの代表点における履歴系列とを格納情報として、行動パターンを記録する。
【0036】
ここまで、履歴の時刻要素を考慮に入れずに行動パターンを分類しているが、実際の人間の行動パターンにおいて時刻は重要な要素であると考えられる。そこで、履歴系列の比較のDPマッチングのdiの定義式[数1]を以下の式[数4]のように変更し、時刻を考慮することも可能である。
【数4】
【0037】
上記数4において、t(a’i)、t(b’i)は履歴a’i、b’iが得られた時刻、Tは時刻に関する閾値であるとする。つまり、履歴a’iとb’iの取得した時刻が十分に異なれば、diの値は無限大(十分大きな数)となることを表している。但し、実際にdiに無限大を割り当ててしまうのではない。つまり、時刻が十分に異なる場合、(diが無条件に無限大になってしまうから)認証装置IDが同じであっても(例えば、図10のA、Bの末尾の履歴のように)異なる履歴であるとして“*”を代入する契機とするものである。図5の履歴系列の中で、認証装置IDの系列は同じであるが、時刻を考慮した結果、距離が大きくなる、という例を図11に示す。図11の例では「T=2」(時間)とした。
【0038】
以上の実施の形態1では、履歴系列を用いて行動パターンを抽出するため、1回の通常と異なる履歴データが生じても直ぐに別の行動パターンとして抽出するのではなく、人の行動を複数の履歴の流れでとらえる。また、複数の行動パターンを抽出するので、人の広範な行動パターンを抽出することができる。また、履歴の意味を抽出することができ、入退室管理システムにおける監視業務の負荷軽減または効率化を図ることができる。
【0039】
実施の形態2.
図12は、本発明の実施の形態2に係る異常行動検出装置22の構成を示すブロック図である。実施の形態2に係る異常行動検出装置22は、実施の形態1に係る行動パターン抽出装置2を包含し、且つ、実施の形態1に係る行動パターン抽出装置2と略同様のものである。従って、同一部位には同一符号を付して説明を省略し、両者の差異を中心に説明する。
【0040】
異常行動検出装置22は、実施の形態1に係る行動パターン抽出装置2に加えて、異常行動検出部24を含む。異常行動検出部24は、行動パターン抽出装置2の履歴系列データベース12に格納されている任意のユーザの履歴系列と行動パターンデータベース14の同ユーザの行動パターンとを比較し、該履歴系列が行動パターンと異なっていると判断した場合、該履歴系列が異常行動であると判定する。
【0041】
次に、装置全体の動作を示す。行動パターン抽出装置2が作成する行動パターンデータベース14における分類データにより、新たに生じる履歴系列データが、異常行動を示すものであるかどうか判定される。この判定は異常行動検出部24が行う。以下では判定に向けられる履歴系列データを判定データと称する。
【0042】
行動パターンデータベース14にユーザの行動パターンが格納されるまでは、実施の形態1と同様である。但し、履歴系列抽出部8は、分類データのみならず判定データも、実施の形態1と同様に、通行履歴データベース14から抽出する。
【0043】
異常行動検出部24は、判定データである履歴系列データと、当該ユーザの持つ複数の行動パターンとを比較し、最も似ている行動パターンを見つける。そこで最も似ている行動パターンと比較したにも関わらず、あまり似ていないと判断された場合には、判定データである履歴系列を異常行動と判定する。
【0044】
似ているか似ていないかの判定は、例えば以下の手順で行う。
(1)各クラスタの代表点と判定対象となる履歴系列とをDPマッチングで比較し、距離を求める。
(2)最も距離が短かったクラスタ(の代表点)との距離が、予め定められた閾値γ以上であれば、どのクラスタにも属さない、つまりどの行動パターンにも属さないとして、異常行動と判定する。
【0045】
図9の行動パターン抽出部10の抽出結果を基に、異常行動検出を行った結果を、図13に示す。判定対象となった履歴系列は、図5と同じユーザの別の1ヶ月の履歴系列データである。「比較先クラスタ」は、それぞれの履歴系列との距離が最も近い図9のクラスタIDを示しており、「代表点からの距離」は、そのクラスタの代表点からの距離を表している。代表点からの距離の値が大きい履歴系列は、どのクラスタにもあまり似ていないことを表しており、従ってそのことにより異常行動であることが示されている。例えば、閾値γを“0.25”とした場合、図13にて網掛けされた履歴系列が、異常行動として検出される。
【0046】
ここで、予め異常行動パターンと判定できる履歴系列が判明している場合には、その履歴系列を異常行動パターンとして予め定義しておき、その異常行動パターンと判定データである履歴系列との距離が、所与の閾値εより小さい場合には、その判定データにつき異常行動と判定する、ということも可能である。
【0047】
実施の形態2では、履歴系列データを用いて異常行動を判定するのであり、1回の(即ち、一時の)通常と異なる行動(の履歴)を異常とは判定しない。従って、実施の形態2には、過度に過敏な異常行動検出を防ぐという効果がある。また、異常な行動を行ったユーザを事後的に検出することができるため、後に該ユーザにその行動につき確認することや、そのユーザに対して監視カメラや警備員が爾後注目することが可能になる。これらのことにより、その後の不正行為の発生が可及的に防がれるという効果がある。
【0048】
実施の形態3.
実施の形態3に係る異常行動検出装置の構成は、実施の形態2に係る異常行動検出装置22と同様のものであるため、以下、図12を利用して、実施の形態3に係る異常行動検出装置を説明する。
【0049】
実施の形態2に係る異常行動検出装置22は、予め履歴系列データベース24に格納されている履歴系列データに基づいて、異常行動を検出する。一方、実施の形態3では、各種認証装置やセンサから得られる通行履歴データが生じる毎に、履歴系列データベースに履歴データが追加され、そして、個々の履歴系列につき終了の区切りを迎えると、直ちに異常行動であるか否かが検出(判断)される。
【0050】
つまり、実施の形態3に係る異常行動検出装置22は、実施の形態2と比べて、各構成要素の動作のタイミングが異なる。履歴系列抽出部8は、実施の形態2と同様に通行履歴データベース6から履歴系列を抽出する。まず、履歴系列抽出部8は、予め同データベース6から分類データとなる履歴系列を抽出する。その後、判定データとなる履歴系列は、通行履歴データベースに履歴が追加される毎に、履歴系列抽出部8が履歴系列データベースに該履歴を追加することで作成される。
【0051】
行動パターン抽出部10は、分類データに対して処理を行う。即ち、行動パターン抽出部10は、実施の形態2の場合と同様に、履歴系列データベース12から行動パターンを抽出し、行動パターンデータベース14に格納する。この動作は、予め一度実行されるのであってもよい。
【0052】
ここで、実施の形態2と異なり、異常行動検出部8は履歴系列の終了の区切りを見出すと、履歴系列データベース12の最新の履歴系列データと行動パターンデータベース14の行動パターンを比較し、その行動が異常であるかどうかを判定する。判定方法については、実施の形態2と同様である。
【0053】
履歴系列の終了の区切りは、次のように定義する。異常行動検出部24が動作するタイミングである履歴系列の終了の区切りは、履歴系列の定義によって異なる。一定時間(例えば、一日、一週間、就業時間など)を履歴系列と定義している場合には、その一定時間の終了時が履歴系列の終了であり、そのときに異常行動検出部24が動作する。また、一定区間(例えば、ビル内に入ってから出るまで、ある通行区間に入ってから出るまで、など)を履歴系列と定義している場合には、ユーザ(行動検出対象者)がその区間に入って出た後に異常行動検出部24が動作する。
【0054】
実施の形態3に係る異常行動検出装置22を利用することにより、一つの履歴系列データの終結後、直ちに異常行動を検出することができる。
【0055】
実施の形態4.
実施の形態4に係る異常行動検出装置の構成は、実施の形態3に係る異常行動検出装置と同様のものである。実施の形態3では、履歴系列終了時に異常行動を検出していたが、実施の形態4では、履歴データが得られる毎に、その履歴が追加された履歴系列が異常行動であるか否かが判断される。
【0056】
実施の形態4に係る異常行動検出装置22における行動パターン抽出装置10は、実施の形態3のものと同じである。同様に、異常行動検出部24以外の各部の動作は、実施の形態3のものと同じであるため、説明を省略する。
【0057】
従って、以下では、実施の形態4に係る異常行動検出装置22における異常行動検出部24について説明する。履歴データが履歴系列に追加される毎に、その履歴系列に対して異常行動であるか否か判定を行うとすると、その履歴系列は終了の区切りを迎えていないから、(行動パターンデータベース14の)行動パターンと大きく異なってしまう可能性が高い。そこで、履歴系列が終了の区切りを迎えていない場合には、その履歴系列の後に続く履歴を、異常行動検出部24が予測して付加し、その上で異常行動であるか否か判定する。
【0058】
例えば、行動パターン抽出部10で抽出された、あるユーザの(行動パターンデータベース14内の)行動パターンが、図14の3つのものであったとする。ここで、ある日のそのユーザの履歴系列が図15に示されたものであるとする。この履歴系列に最も近い行動パターンは、図16の行動パターンID1である。しかし、このまま比較したのでは、その後に来ると予測される履歴が未だ無いため、この履歴系列が異常行動と判定される可能性が高い。
【0059】
そこで、現状の履歴系列の後に来ると想定される履歴を補完し、その上で比較することにより、終了の区切りを迎えていない履歴系列の異常行動の判定を行う。補完される履歴は、最も近い行動パターンとの距離が最も小さくなるように、履歴系列の末尾に追加されるものとする。
【0060】
図17は、実施の形態4に係る異常行動検出部24の処理フローチャートである。異常行動検出部24は、定期的に履歴系列データベース12に履歴が追加されるかどうかを検査する(S22)。追加されていれば(S22・YES)、その履歴系列が終了しているかどうかを判定する(S24)。履歴系列が終了していれば(S24・YES)、実施の形態3と同様の異常行動の判定を行う(S28、S30、S32、S34)。履歴系列が終了していなければ(S24・NO)、得られた履歴系列はまだ途中であるため、概履歴系列に最も近い行動パターンの代表点の履歴系列を参照し、履歴系列を補完する(S26)。補完された履歴系列を用いて異常行動の判定を行う(S28、S30、S32、S34)。
【0061】
以上のような構成とすることにより、履歴が得られるたびに異常行動を検出することができるため、異常行動を行ったユーザを素早く知ることができる。
【図面の簡単な説明】
【0062】
【図1】本発明の実施の形態1に係る行動パターン抽出装置の構成を示すブロック図である。
【図2】通行履歴データベースの内容の例である。
【図3】履歴系列抽出部の処理フローチャートである。
【図4】履歴系列データベースに格納されるユーザ“u”に関する履歴系列である。
【図5】1人のユーザの履歴系列データの例を示す表である。
【図6】DPマッチングを説明するための履歴系列AとBの比較例である。
【図7】LBGアルゴリズムによる分類方法を、概念的に2次元座標上に表したものである。
【図8】最大距離アルゴリズムの動作概念図である。
【図9】図5の分類データである履歴系列を、最遠点の閾値αを0.25として分類した結果の表である。
【図10】時刻を考慮した場合の、履歴系列の比較例である。
【図11】図5の履歴系列の中で、認証装置IDの系列は同じであるが、時刻を考慮した結果、距離が大きくなる、という例を示す表である。
【図12】本発明の実施の形態2に係る異常行動検出装置の構成を示すブロック図である。
【図13】図9の行動パターン抽出部の抽出結果を基に、異常行動検出を行った結果である。
【図14】行動パターン抽出部で抽出された、あるユーザの(行動パターンデータベース内の)行動パターンの例である。
【図15】ある日のあるユーザの履歴系列の(途中)例である。
【図16】図14の行動パターンと図15の履歴系列との、比較の例である。
【図17】本発明の実施の形態4に係る異常行動検出部の処理フローチャートである。
【符号の説明】
【0063】
2 行動パターン抽出装置、 4 入退室管理システム、 6 入退室管理システム、 8 履歴系列抽出部、 10 行動パターン抽出部、 12 履歴系列データベース、 14 行動パターンデータベース、 22 異常行動検出装置、 24 異常行動検出部。
【技術分野】
【0001】
本発明は、行動パターン抽出装置及び異常行動検出装置に関する。
【背景技術】
【0002】
従来の行動パターン抽出装置および異常行動検出装置の例として、下記特許文献1に記載の「不正ログイン検出装置」が挙げられる。同装置では、ユーザがPC(パーソナルコンピュータ)やPPP(ポイントツーポイントプロトコル)サーバへログインする際、当該ユーザの過去のログイン時刻データから予め抽出されてある通常のログインパターン(行動パターン)を基準にして、行動パターンに一致しないログインが不正ログインと判定される。
【0003】
上記先行例では、行動パターンの情報として、ログイン統計情報データベースにユーザ名と単位時間毎にログインに成功した回数とが対応付けられて格納される。ログイン回数積算部が、ユーザ認証されログインされたユーザ名とログイン時刻を得ると、ログイン統計情報データベースの当該ユーザにおける該当する時刻範囲のログイン回数を1加算することにより、ユーザの行動パターンを得る。不正ログイン検出処理部は、ユーザ認証後、当該ユーザのログイン回数に基づき予め定義された不正ログイン条件による検証を行い、不正ログインの疑いの有無を判定する。
【0004】
同先行例では、ログイン時刻範囲別に異常行動判定が行われている。つまり、偶々一度だけ通常と異なる時間にログインを生じた場合、直ちに不正ログインと判定される。人間が日常と異なる行動を取ることはしばしば生じるのであり、先行例のような行動パターン抽出方法および異常行動判定方法では、不要な検出である誤検出が多発することになると思われる。
【特許文献1】特開2002−297543公報
【発明の開示】
【発明が解決しようとする課題】
【0005】
本発明は、人間の行動の不確かさをある程度考慮しつつも、適切に行動パターンの抽出や異常行動の検出を行う装置を提供することを目的とする。
【課題を解決するための手段】
【0006】
本発明は、上記の目的を達成するためになされたものである。本発明に係る行動パターン抽出装置は、
認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、
抽出された履歴系列を格納する履歴系列データベースと、
ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、
抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする行動パターン抽出装置である。
【発明の効果】
【0007】
本発明を利用することにより、1回の履歴データではなく履歴系列から行動パターンを抽出して、各ユーザの行動パターンを把握することができる。更に、1回の履歴データではなく履歴系列から行動パターンを抽出した上で異常行動を検出するので、検出動作を実効的且つ効率的に行うことができる。
【発明を実施するための最良の形態】
【0008】
本発明に係る行動パターン抽出装置は、一定時間(例えば、1日)または一定区間(例えば、入場から退場まで)における連続する履歴データの系列(以下、履歴系列と言う。)からユーザの行動パターンを抽出する機能を提供する。また、本発明に係る異常行動検出装置は、所与の行動パターン(データ)と差異ある履歴系列が生じた場合に、異常行動として検出する機能を提供する。
【0009】
個別の履歴データではなく、履歴系列データから行動パターンを抽出するので、1回程度通常と異なる履歴データが生じても異常行動と判定しない。従って、誤検出の多発を防ぐことができる。また、ユーザの行動パターンを1つだけ抽出するのではなく複数抽出するので、人の広範な行動パターンを捕らえより誤検出をより軽減することができる。
【0010】
以下、図面を参照して本発明に係る好適な実施の形態を説明する。
【0011】
実施の形態1.
図1は、本発明の実施の形態1に係る行動パターン抽出装置2の構成を示すブロック図である。実施の形態1に係る行動パターン抽出装置2は、適切なコンピュータシステム上に実装される。行動パターン抽出装置2は従来例の入退室管理システム4に接続する。
【0012】
図1に示される行動パターン抽出装置2は、
・通行履歴データベース6から、ユーザ毎の履歴系列データを抽出する履歴系列抽出部8と、
・抽出された履歴系列データを格納する履歴系列データベース12と、
・ユーザ毎の複数の履歴系列データから、ユーザ毎の一つ以上の行動パターン(データ)を抽出する行動パターン抽出部10と、
・抽出された行動パターン(データ)を格納する行動パターンデータベース14と
から構成される。
【0013】
なお、上記通行履歴データベース6は、入退室管理システム4に付属するデータベースであり、各種認証装置やセンサから得られる通行履歴データを格納している。
【0014】
実施の形態1に係る行動パターン抽出装置2は、行動パターンを抽出・分類する。人の通常の行動パターンは、過去の多数の行動に係るデータを分類することで得られる。本発明では、入退室管理システム4の通行履歴データベース6から、人の過去の行動に係るデータを得る。
【0015】
以下では、分類処理に用いるデータを「分類データ」と言う。分類処理では、1人の人間の行動パターンを1つ以上の行動パターンに分類することができる。更に、実施の形態1では、単体の履歴データを分類データとせず、複数の履歴データが繋がって形成される履歴系列データを分類データとして、行動パターンを抽出する。履歴系列抽出部8が、分類データである履歴系列(データ)を作成する。行動パターン抽出部10は、行動パターンの抽出を行う。
【0016】
通行履歴データベース6は、従来例の入退室管理システム4に付属し、認証装置やセンサなどから得られるデータを格納している。このデータは、ユーザが入退室管理システム4の管理する建物内の所定の位置を通行したことを示す情報である。この「ユーザが・・・所定の位置を通行したことを示す情報」が、“履歴”データである。
【0017】
通行履歴データベース6の内容は、図2に示すように、データベース内の管理用インデックス、(通行)時刻、ユーザID、認証装置やセンサの認証装置IDからなる複数の履歴で構成される。履歴データは、認証装置やセンサから得られた時刻の順に並んでいる。
【0018】
前述のように本発明では、行動パターンを抽出するために、個別のユーザに関して履歴系列(データ)を用いる。ここで、履歴系列(データ)の始端と終端を定義する必要がある。以下のような、履歴系列の始端と終端の定義が想定される。
・1日、1週間、就業時間などの、一定時間
・建物内に入ってから出るまでの通行区間などの、一定区間
履歴系列の始端と終端の定義を如何に設定するかは、行動パターンを抽出する対象システム(図1では、入退室管理システム4)の特性に拠る。図1の入退室管理システム4では、例えば、1日の履歴系列を用いて行動パターン抽出を行うのが有効であると考えられる。
【0019】
履歴系列抽出部8は、通行履歴データベース6の履歴(データ)からユーザ別の履歴系列を抽出する。図3は、履歴系列抽出部8の処理フローチャートである。履歴系列抽出部8は、通行履歴データベース6内の行動パターンを抽出する対象となる全ての履歴(データ)について次の処理を行う(S02・S14)。
【0020】
該履歴のユーザIDを既に見つけているか判定する(S04)。ここで、初めてのユーザIDであれば(S04・No)該ユーザIDの履歴系列を保存するための領域を履歴系列データベース12に確保し(S08)、履歴系列の先頭にその履歴を保存する(S12)。ユーザIDを既に見つけていれば(S04・Yes)、その履歴が該ユーザIDの1つ前の履歴と異なる日であるかを判定する(S06)。異なる日であれば(S06・Yes)その履歴を別の履歴系列の先頭に保存し(S12)、同じ日であれば(S06・No)既にある履歴系列の末尾に追加する(S10)。
【0021】
履歴系列抽出部8で抽出された履歴系列データは、履歴系列データベース12に保存される。図4は、履歴系列データベース12に格納されるユーザ“u”に関する履歴系列である。なお、図4のインデックスiは図2のインデックスiとは関係が無く、ユーザ“u”に関する履歴に対して順に番号付けを仕直したものである。
【0022】
行動パターン抽出部10は、履歴系列データベース12内の履歴系列からユーザ毎の行動パターンを抽出し、行動パターンデータベース14に格納する。
【0023】
図5は、1人のユーザの履歴系列データの例を示す表である。説明上の便宜のため、図4に示したインデックス、時刻、ユーザIDは省略している。表の各行が一つの履歴系列であり、この例では19日分の履歴系列が含まれている。履歴系列の0、1、2などの数値は、ユーザが通過した認証装置IDを表している。
【0024】
これらの履歴系列から行動パターンを抽出するためには、履歴系列データ同士を対照し、履歴系列同士がどの程度似ているかを判断・決定しなければならない。しかし、履歴系列は各々長さ(即ち、1日に通過した認証装置の数)が異なるため、単純に履歴系列同士を対照しても何も得られない。そこで、実施の形態1では、長さが異なるデータを比較する手法であるDP(Dynamic Programing)マッチングを用いる。
【0025】
DPマッチングについて簡単に説明する。例として、図6に示す履歴系列AとBを比較する。“a0”や“b1”などは、A、Bの各要素(履歴)である。AとBとでは履歴系列の長さが異なるため、そのまま系列の要素を比較することができない。そこで、短い方の履歴系列の要素に“*”を入れてAとBの系列の長さを揃えた系列A’、B’を作成する。系列中に“*”が入れられる位置は、数2の式で表されているdiの規則を使用し、A’とB’との比較結果であるDが最も小さくなるように定められる。Dの定義は次の通りである。
【0026】
【数1】
ここで、LはA’、B’の要素の数である。以下ではLをDの長さと言う。つまり、可能な限り、同じ認証装置ID(ai=bi)が比較されるように、元の履歴系列AとBとに“*”が入れられる。ここで、iは履歴系列の前からi番目の要素であることを表している。
【数2】
【0027】
従って、履歴系列の長さを合わせ、数2の式で表されているdiの規則によりA’とB’の各要素a’i、b’iを比較し、比較結果Dを求める。図6における履歴系列AとBとの比較結果Dは、
【数3】
となる。Dの値は、履歴系列が似ている程小さな値となる。
【0028】
Dの値をそのまま用いて行動パターンを抽出することも可能と言えるが、Dは長い履歴系列である程大きな値になる可能性がある。そうすると、公平に類似度を表しているとはいい難い。そこで、Dを正規化、即ち、最大値を1に固定するようにする。その正規化された値をここでは履歴系列間の距離と呼び、履歴系列同士の比較に用いる。理論上Dが最も大きくなるのは、数2の式の定義より、全ての要素が全く異なるときである。そのときのDは“Dの長さ×2=2L”となる。従って、正規化された“距離”を、
D/(2L)
と定義する。ここでのDの長さLは、“*”が入れられた後のA’やB’の要素の数を示す。図6の例では
距離=15/(22×2)=0.34
である。従って、距離は、2つの履歴系列中の異なる要素の割合を表すことになる。
【0029】
次に、分類データの行動パターンへの分類について説明する。まず、一人の人間の行動パターンは、一つに限定されるものではない。そのため、複数の履歴系列を複数の行動パターンに分類することを考える。本明細書では、上記の履歴系列データ相互の距離に基づいて、公知の分類(クラスタリング)アルゴリズムであるLBGアルゴリズムにより履歴系列の分類を行う。
【0030】
LBG(Linde、Buzo and Gray)アルゴリズムは、個々のデータ(ここでは履歴系列)がどのクラスタ(行動パターン)に属するべきかというクラスタ間の境界を決定するアルゴリズムである。数学的には、クラスタ間分散が大きくなり、かつクラスタ内分散が小さくなるようにクラスタが決定される。このことは、行動パターンが異なる履歴系列同士の距離は大きくなり、行動パターンが同じ履歴系列同士の距離は小さくなることを示している。履歴系列を2次元座標上で表現することはできないが、分類方法を概念的に2次元座標上に表したものを、図7に示す。●と○が分類データ(履歴系列)を表しており、線がクラスタ間の境界を表している。×がクラスタの重心であり、○が重心に最も近い履歴系列データを表している(ここで、クラスタの重心に最も近い履歴系列データを、代表点と称する。)。代表点は、一つのクラスタに属する履歴系列の中で、同じクラスタに属する他の全ての履歴系列との距離の和が最小となるものを求めることで得られる。
【0031】
ところで、上記のLBGアルゴリズムは、クラスタ数が決まっている場合に用いられる方法である。一方で、そもそも人間の行動パターンの数は、個人によって異なる。従って、クラスタ数は履歴系列から自動的に求められることが望ましい。本発明では最大距離アルゴリズムと呼ばれるクラスタ数を決定する方法を用いる。図8に最大距離アルゴリズムの動作概念図を示し、以下にその概略の手順を示す。
【0032】
1)まず、クラスタ数1として、全履歴系列の重心および代表点を求める(図8(1))。
2)クラスタの代表点から最も遠い点(最遠点)の距離が予め定められた閾値α以上である場合には(図8(1)の最遠点)、クラスタを1つ増やし代表点と最遠点を初期点としてLBGアルゴリズムにより履歴系列を分類する(図8(2))。
3)各履歴系列につきその履歴系列から最も近いクラスタの代表点の距離を求め、その上でそれら距離のうち最も大きいものである点(最遠点)を確定する(図8(2)の最遠点)。最遠点と(近接の)代表点との距離が閾値以上の場合、クラスタ数を1つ増やし、各クラスタの代表点と最遠点を初期点として分類していく(図8(3))。
4)以下全ての履歴系列が代表点から閾値α以内の距離に入るまで、3)の処理を繰り返す。
【0033】
図5の分類データである履歴系列を、最遠点の閾値αを0.25として分類したところ、クラスタ数が“5”となり、図9に示す結果となった。つまり、このユーザの行動パターンを抽出したところ、5つの行動パターンが得られたことになる。
【0034】
あるユーザの履歴系列を分類した結果、あるクラスタに属する分類データの数が少ない場合、そのクラスタは通常の行動パターンでは略発生しないと見なされ得るため、削除してもよい。例えば、予め閾値β(0≦β≦1)を定めておき、
M/N<β
のとき該クラスタを行動パターンから削除する。ここで、Nは、あるユーザの分類データである履歴系列の数、Mは、あるクラスタに分類された履歴系列数を表す。
【0035】
以上のような分類を受けて、行動パターンデータベース14は、クラスタIDと各クラスタの代表点における履歴系列とを格納情報として、行動パターンを記録する。
【0036】
ここまで、履歴の時刻要素を考慮に入れずに行動パターンを分類しているが、実際の人間の行動パターンにおいて時刻は重要な要素であると考えられる。そこで、履歴系列の比較のDPマッチングのdiの定義式[数1]を以下の式[数4]のように変更し、時刻を考慮することも可能である。
【数4】
【0037】
上記数4において、t(a’i)、t(b’i)は履歴a’i、b’iが得られた時刻、Tは時刻に関する閾値であるとする。つまり、履歴a’iとb’iの取得した時刻が十分に異なれば、diの値は無限大(十分大きな数)となることを表している。但し、実際にdiに無限大を割り当ててしまうのではない。つまり、時刻が十分に異なる場合、(diが無条件に無限大になってしまうから)認証装置IDが同じであっても(例えば、図10のA、Bの末尾の履歴のように)異なる履歴であるとして“*”を代入する契機とするものである。図5の履歴系列の中で、認証装置IDの系列は同じであるが、時刻を考慮した結果、距離が大きくなる、という例を図11に示す。図11の例では「T=2」(時間)とした。
【0038】
以上の実施の形態1では、履歴系列を用いて行動パターンを抽出するため、1回の通常と異なる履歴データが生じても直ぐに別の行動パターンとして抽出するのではなく、人の行動を複数の履歴の流れでとらえる。また、複数の行動パターンを抽出するので、人の広範な行動パターンを抽出することができる。また、履歴の意味を抽出することができ、入退室管理システムにおける監視業務の負荷軽減または効率化を図ることができる。
【0039】
実施の形態2.
図12は、本発明の実施の形態2に係る異常行動検出装置22の構成を示すブロック図である。実施の形態2に係る異常行動検出装置22は、実施の形態1に係る行動パターン抽出装置2を包含し、且つ、実施の形態1に係る行動パターン抽出装置2と略同様のものである。従って、同一部位には同一符号を付して説明を省略し、両者の差異を中心に説明する。
【0040】
異常行動検出装置22は、実施の形態1に係る行動パターン抽出装置2に加えて、異常行動検出部24を含む。異常行動検出部24は、行動パターン抽出装置2の履歴系列データベース12に格納されている任意のユーザの履歴系列と行動パターンデータベース14の同ユーザの行動パターンとを比較し、該履歴系列が行動パターンと異なっていると判断した場合、該履歴系列が異常行動であると判定する。
【0041】
次に、装置全体の動作を示す。行動パターン抽出装置2が作成する行動パターンデータベース14における分類データにより、新たに生じる履歴系列データが、異常行動を示すものであるかどうか判定される。この判定は異常行動検出部24が行う。以下では判定に向けられる履歴系列データを判定データと称する。
【0042】
行動パターンデータベース14にユーザの行動パターンが格納されるまでは、実施の形態1と同様である。但し、履歴系列抽出部8は、分類データのみならず判定データも、実施の形態1と同様に、通行履歴データベース14から抽出する。
【0043】
異常行動検出部24は、判定データである履歴系列データと、当該ユーザの持つ複数の行動パターンとを比較し、最も似ている行動パターンを見つける。そこで最も似ている行動パターンと比較したにも関わらず、あまり似ていないと判断された場合には、判定データである履歴系列を異常行動と判定する。
【0044】
似ているか似ていないかの判定は、例えば以下の手順で行う。
(1)各クラスタの代表点と判定対象となる履歴系列とをDPマッチングで比較し、距離を求める。
(2)最も距離が短かったクラスタ(の代表点)との距離が、予め定められた閾値γ以上であれば、どのクラスタにも属さない、つまりどの行動パターンにも属さないとして、異常行動と判定する。
【0045】
図9の行動パターン抽出部10の抽出結果を基に、異常行動検出を行った結果を、図13に示す。判定対象となった履歴系列は、図5と同じユーザの別の1ヶ月の履歴系列データである。「比較先クラスタ」は、それぞれの履歴系列との距離が最も近い図9のクラスタIDを示しており、「代表点からの距離」は、そのクラスタの代表点からの距離を表している。代表点からの距離の値が大きい履歴系列は、どのクラスタにもあまり似ていないことを表しており、従ってそのことにより異常行動であることが示されている。例えば、閾値γを“0.25”とした場合、図13にて網掛けされた履歴系列が、異常行動として検出される。
【0046】
ここで、予め異常行動パターンと判定できる履歴系列が判明している場合には、その履歴系列を異常行動パターンとして予め定義しておき、その異常行動パターンと判定データである履歴系列との距離が、所与の閾値εより小さい場合には、その判定データにつき異常行動と判定する、ということも可能である。
【0047】
実施の形態2では、履歴系列データを用いて異常行動を判定するのであり、1回の(即ち、一時の)通常と異なる行動(の履歴)を異常とは判定しない。従って、実施の形態2には、過度に過敏な異常行動検出を防ぐという効果がある。また、異常な行動を行ったユーザを事後的に検出することができるため、後に該ユーザにその行動につき確認することや、そのユーザに対して監視カメラや警備員が爾後注目することが可能になる。これらのことにより、その後の不正行為の発生が可及的に防がれるという効果がある。
【0048】
実施の形態3.
実施の形態3に係る異常行動検出装置の構成は、実施の形態2に係る異常行動検出装置22と同様のものであるため、以下、図12を利用して、実施の形態3に係る異常行動検出装置を説明する。
【0049】
実施の形態2に係る異常行動検出装置22は、予め履歴系列データベース24に格納されている履歴系列データに基づいて、異常行動を検出する。一方、実施の形態3では、各種認証装置やセンサから得られる通行履歴データが生じる毎に、履歴系列データベースに履歴データが追加され、そして、個々の履歴系列につき終了の区切りを迎えると、直ちに異常行動であるか否かが検出(判断)される。
【0050】
つまり、実施の形態3に係る異常行動検出装置22は、実施の形態2と比べて、各構成要素の動作のタイミングが異なる。履歴系列抽出部8は、実施の形態2と同様に通行履歴データベース6から履歴系列を抽出する。まず、履歴系列抽出部8は、予め同データベース6から分類データとなる履歴系列を抽出する。その後、判定データとなる履歴系列は、通行履歴データベースに履歴が追加される毎に、履歴系列抽出部8が履歴系列データベースに該履歴を追加することで作成される。
【0051】
行動パターン抽出部10は、分類データに対して処理を行う。即ち、行動パターン抽出部10は、実施の形態2の場合と同様に、履歴系列データベース12から行動パターンを抽出し、行動パターンデータベース14に格納する。この動作は、予め一度実行されるのであってもよい。
【0052】
ここで、実施の形態2と異なり、異常行動検出部8は履歴系列の終了の区切りを見出すと、履歴系列データベース12の最新の履歴系列データと行動パターンデータベース14の行動パターンを比較し、その行動が異常であるかどうかを判定する。判定方法については、実施の形態2と同様である。
【0053】
履歴系列の終了の区切りは、次のように定義する。異常行動検出部24が動作するタイミングである履歴系列の終了の区切りは、履歴系列の定義によって異なる。一定時間(例えば、一日、一週間、就業時間など)を履歴系列と定義している場合には、その一定時間の終了時が履歴系列の終了であり、そのときに異常行動検出部24が動作する。また、一定区間(例えば、ビル内に入ってから出るまで、ある通行区間に入ってから出るまで、など)を履歴系列と定義している場合には、ユーザ(行動検出対象者)がその区間に入って出た後に異常行動検出部24が動作する。
【0054】
実施の形態3に係る異常行動検出装置22を利用することにより、一つの履歴系列データの終結後、直ちに異常行動を検出することができる。
【0055】
実施の形態4.
実施の形態4に係る異常行動検出装置の構成は、実施の形態3に係る異常行動検出装置と同様のものである。実施の形態3では、履歴系列終了時に異常行動を検出していたが、実施の形態4では、履歴データが得られる毎に、その履歴が追加された履歴系列が異常行動であるか否かが判断される。
【0056】
実施の形態4に係る異常行動検出装置22における行動パターン抽出装置10は、実施の形態3のものと同じである。同様に、異常行動検出部24以外の各部の動作は、実施の形態3のものと同じであるため、説明を省略する。
【0057】
従って、以下では、実施の形態4に係る異常行動検出装置22における異常行動検出部24について説明する。履歴データが履歴系列に追加される毎に、その履歴系列に対して異常行動であるか否か判定を行うとすると、その履歴系列は終了の区切りを迎えていないから、(行動パターンデータベース14の)行動パターンと大きく異なってしまう可能性が高い。そこで、履歴系列が終了の区切りを迎えていない場合には、その履歴系列の後に続く履歴を、異常行動検出部24が予測して付加し、その上で異常行動であるか否か判定する。
【0058】
例えば、行動パターン抽出部10で抽出された、あるユーザの(行動パターンデータベース14内の)行動パターンが、図14の3つのものであったとする。ここで、ある日のそのユーザの履歴系列が図15に示されたものであるとする。この履歴系列に最も近い行動パターンは、図16の行動パターンID1である。しかし、このまま比較したのでは、その後に来ると予測される履歴が未だ無いため、この履歴系列が異常行動と判定される可能性が高い。
【0059】
そこで、現状の履歴系列の後に来ると想定される履歴を補完し、その上で比較することにより、終了の区切りを迎えていない履歴系列の異常行動の判定を行う。補完される履歴は、最も近い行動パターンとの距離が最も小さくなるように、履歴系列の末尾に追加されるものとする。
【0060】
図17は、実施の形態4に係る異常行動検出部24の処理フローチャートである。異常行動検出部24は、定期的に履歴系列データベース12に履歴が追加されるかどうかを検査する(S22)。追加されていれば(S22・YES)、その履歴系列が終了しているかどうかを判定する(S24)。履歴系列が終了していれば(S24・YES)、実施の形態3と同様の異常行動の判定を行う(S28、S30、S32、S34)。履歴系列が終了していなければ(S24・NO)、得られた履歴系列はまだ途中であるため、概履歴系列に最も近い行動パターンの代表点の履歴系列を参照し、履歴系列を補完する(S26)。補完された履歴系列を用いて異常行動の判定を行う(S28、S30、S32、S34)。
【0061】
以上のような構成とすることにより、履歴が得られるたびに異常行動を検出することができるため、異常行動を行ったユーザを素早く知ることができる。
【図面の簡単な説明】
【0062】
【図1】本発明の実施の形態1に係る行動パターン抽出装置の構成を示すブロック図である。
【図2】通行履歴データベースの内容の例である。
【図3】履歴系列抽出部の処理フローチャートである。
【図4】履歴系列データベースに格納されるユーザ“u”に関する履歴系列である。
【図5】1人のユーザの履歴系列データの例を示す表である。
【図6】DPマッチングを説明するための履歴系列AとBの比較例である。
【図7】LBGアルゴリズムによる分類方法を、概念的に2次元座標上に表したものである。
【図8】最大距離アルゴリズムの動作概念図である。
【図9】図5の分類データである履歴系列を、最遠点の閾値αを0.25として分類した結果の表である。
【図10】時刻を考慮した場合の、履歴系列の比較例である。
【図11】図5の履歴系列の中で、認証装置IDの系列は同じであるが、時刻を考慮した結果、距離が大きくなる、という例を示す表である。
【図12】本発明の実施の形態2に係る異常行動検出装置の構成を示すブロック図である。
【図13】図9の行動パターン抽出部の抽出結果を基に、異常行動検出を行った結果である。
【図14】行動パターン抽出部で抽出された、あるユーザの(行動パターンデータベース内の)行動パターンの例である。
【図15】ある日のあるユーザの履歴系列の(途中)例である。
【図16】図14の行動パターンと図15の履歴系列との、比較の例である。
【図17】本発明の実施の形態4に係る異常行動検出部の処理フローチャートである。
【符号の説明】
【0063】
2 行動パターン抽出装置、 4 入退室管理システム、 6 入退室管理システム、 8 履歴系列抽出部、 10 行動パターン抽出部、 12 履歴系列データベース、 14 行動パターンデータベース、 22 異常行動検出装置、 24 異常行動検出部。
【特許請求の範囲】
【請求項1】
認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、
抽出された履歴系列を格納する履歴系列データベースと、
ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、
抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする行動パターン抽出装置。
【請求項2】
請求項1記載の行動パターン抽出装置を含み、
履歴系列データベースに格納されている、任意のユーザの履歴系列と行動パターンデータベースの該ユーザの行動パターンと比較し、該履歴系列が行動パターンと異なっていると判断した場合、該ユーザの履歴系列が異常行動を示すデータであると判定する異常行動検出部を備えていることを特徴とする異常行動検出装置。
【請求項3】
履歴系列抽出部が、ユーザ毎の一定時間または一定通行区間の履歴系列を抽出することを特徴とする請求項1記載の行動パターン抽出装置。
【請求項4】
履歴系列抽出部が、ユーザ毎の一定時間または一定通行区間の履歴系列を抽出することを特徴とする請求項2記載の異常行動検出装置。
【請求項5】
行動パターン抽出部が、履歴系列同士の類似度を示す値である距離を定義して比較する行動パターンを抽出することを特徴とする請求項1又は請求項3に記載の行動パターン抽出装置。
【請求項6】
行動パターン抽出部が、履歴系列同士の類似度を示す値である距離を定義して比較する行動パターンを抽出し、
異常行動検出部が、ユーザの履歴系列と該ユーザの行動パターンと比較する際に、最も距離の小さい行動パターンとの距離が、予め設定されている閾値以上である場合に該履歴系列を異常行動であると判定することを特徴とする請求項2又は請求項4に記載の異常行動検出装置。
【請求項7】
履歴系列抽出部が、認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出し、さらに通行履歴データベースに履歴が追加される度にリアルタイムに履歴系列データベースに該履歴を追加し、
異常行動検出部が、履歴系列抽出部が抽出した最新の履歴系列と行動パターンデータベースの行動パターンとを比較し、該履歴系列が行動パターンと異なっていると判断した場合、該ユーザの履歴系列が異常行動を示すデータであると判定することを特徴とする請求項2、4、若しくは6のうちのいずれか一つに記載の異常行動検出装置。
【請求項8】
履歴系列が終了の区切りを迎えた後、
履歴系列抽出部が、抽出した履歴系列と行動パターンを比較し異常行動を判定することを特徴とする請求項6記載の異常行動検出装置。
【請求項9】
履歴が得られるたびに履歴系列を履歴系列データベースに追加する履歴系列抽出部と、
履歴系列に履歴が追加されるたびに、
該履歴系列を補完して、異常行動の判定を行う異常行動検出部を備えていることを特徴とする請求項6記載の異常行動検出装置。
【請求項1】
認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出する履歴系列抽出部と、
抽出された履歴系列を格納する履歴系列データベースと、
ユーザ毎の複数の履歴系列からユーザ毎の一つ以上の行動パターンを抽出する行動パターン抽出部と、
抽出された行動パターンを格納する行動パターンデータベースを備えていることを特徴とする行動パターン抽出装置。
【請求項2】
請求項1記載の行動パターン抽出装置を含み、
履歴系列データベースに格納されている、任意のユーザの履歴系列と行動パターンデータベースの該ユーザの行動パターンと比較し、該履歴系列が行動パターンと異なっていると判断した場合、該ユーザの履歴系列が異常行動を示すデータであると判定する異常行動検出部を備えていることを特徴とする異常行動検出装置。
【請求項3】
履歴系列抽出部が、ユーザ毎の一定時間または一定通行区間の履歴系列を抽出することを特徴とする請求項1記載の行動パターン抽出装置。
【請求項4】
履歴系列抽出部が、ユーザ毎の一定時間または一定通行区間の履歴系列を抽出することを特徴とする請求項2記載の異常行動検出装置。
【請求項5】
行動パターン抽出部が、履歴系列同士の類似度を示す値である距離を定義して比較する行動パターンを抽出することを特徴とする請求項1又は請求項3に記載の行動パターン抽出装置。
【請求項6】
行動パターン抽出部が、履歴系列同士の類似度を示す値である距離を定義して比較する行動パターンを抽出し、
異常行動検出部が、ユーザの履歴系列と該ユーザの行動パターンと比較する際に、最も距離の小さい行動パターンとの距離が、予め設定されている閾値以上である場合に該履歴系列を異常行動であると判定することを特徴とする請求項2又は請求項4に記載の異常行動検出装置。
【請求項7】
履歴系列抽出部が、認証装置やセンサから得たユーザの通行履歴を格納している通行履歴データベースからユーザ毎の履歴系列を抽出し、さらに通行履歴データベースに履歴が追加される度にリアルタイムに履歴系列データベースに該履歴を追加し、
異常行動検出部が、履歴系列抽出部が抽出した最新の履歴系列と行動パターンデータベースの行動パターンとを比較し、該履歴系列が行動パターンと異なっていると判断した場合、該ユーザの履歴系列が異常行動を示すデータであると判定することを特徴とする請求項2、4、若しくは6のうちのいずれか一つに記載の異常行動検出装置。
【請求項8】
履歴系列が終了の区切りを迎えた後、
履歴系列抽出部が、抽出した履歴系列と行動パターンを比較し異常行動を判定することを特徴とする請求項6記載の異常行動検出装置。
【請求項9】
履歴が得られるたびに履歴系列を履歴系列データベースに追加する履歴系列抽出部と、
履歴系列に履歴が追加されるたびに、
該履歴系列を補完して、異常行動の判定を行う異常行動検出部を備えていることを特徴とする請求項6記載の異常行動検出装置。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【公開番号】特開2006−65572(P2006−65572A)
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願番号】特願2004−247072(P2004−247072)
【出願日】平成16年8月26日(2004.8.26)
【出願人】(000006013)三菱電機株式会社 (33,312)
【出願人】(000236056)三菱電機ビルテクノサービス株式会社 (1,792)
【公開日】平成18年3月9日(2006.3.9)
【国際特許分類】
【出願日】平成16年8月26日(2004.8.26)
【出願人】(000006013)三菱電機株式会社 (33,312)
【出願人】(000236056)三菱電機ビルテクノサービス株式会社 (1,792)
[ Back to top ]