本公開總體上涉及計(jì)算機(jī)安全領(lǐng)域，并且具體而言，涉及檢測欺詐用戶交易的系統(tǒng)和方法。

背景技術(shù)：

人們?cè)絹碓蕉嗟厥褂酶鞣N計(jì)算裝置(例如，計(jì)算機(jī)、平板電腦、筆記本、智能電話等)，以簡化其日常任務(wù)：讀報(bào)紙、通過電子郵件或即時(shí)消息業(yè)務(wù)通信、網(wǎng)上購物等。使用計(jì)算裝置的一個(gè)重要領(lǐng)域是遠(yuǎn)程管理資金或網(wǎng)上銀行。遠(yuǎn)程管理資金是將資金從一個(gè)銀行賬戶轉(zhuǎn)到另一個(gè)銀行賬戶的非常方便的方法，但是該資金管理方法不是很安全，在訪問互聯(lián)網(wǎng)的每個(gè)計(jì)算裝置可能受到罪犯的攻擊的世界，使用上述計(jì)算裝置來管理其資金的人的資金也遭受危險(xiǎn)。

為了保護(hù)用戶遠(yuǎn)離罪犯(使用例如惡意軟件(例如，密鑰跟蹤器)盜取資金管理的賬戶記錄的人)的活動(dòng)，銀行通常使用多重認(rèn)證，這可以降低除了銀行賬戶的所有者以外的人訪問資金的可能性。在使用多重認(rèn)證時(shí)，用戶應(yīng)使用幾種方法來確認(rèn)其身份，以便接收某些服務(wù)(例如，輸入對(duì)應(yīng)賬戶記錄的登錄和密碼，并且還輸入通過sms消息提供的一次性密碼)。然而，可能具有以下情況：罪犯訪問用于多重認(rèn)證的所有裝置。因此，需要提供安全的其他方法，以確保用戶及其資金的安全。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供了檢測在與遠(yuǎn)程銀行服務(wù)器交互時(shí)用戶的行為的異常的問題的更有效的解決方案。本發(fā)明的一個(gè)技術(shù)成果包括在用戶交易中保護(hù)遠(yuǎn)程銀行服務(wù)器遠(yuǎn)離欺詐行為，如果在用戶的計(jì)算裝置與遠(yuǎn)程銀行服務(wù)器交互期間，檢測到欺詐行為，則通過阻止用戶的裝置與遠(yuǎn)程銀行服務(wù)器的交互來實(shí)現(xiàn)。

一種用于在用戶交易時(shí)檢測欺詐活動(dòng)的示例性方法包括：在用戶通過輸入裝置與在計(jì)算裝置上的應(yīng)用程序的圖形接口的一組或多組元素交互時(shí)，收集用戶行為數(shù)據(jù)；由處理器基于所收集的用戶行為數(shù)據(jù)，計(jì)算所述圖形接口的每組元素的異常用戶行為系數(shù)；在異常用戶行為系數(shù)的組合超過預(yù)定的閾值時(shí)，由所述處理器檢測欺詐活動(dòng)；并且響應(yīng)于檢測到欺詐活動(dòng)，由所述處理器阻止用戶與應(yīng)用程序的交互。

在一個(gè)示例性方面，用戶與一組或多組元素的交互涉及用戶通過銀行應(yīng)用、銀行網(wǎng)站或自動(dòng)柜員機(jī)中的一個(gè)進(jìn)行金融交易。

在一個(gè)示例性方面，收集用戶行為進(jìn)一步包括：通過生成數(shù)據(jù)的散列和來進(jìn)行所收集的用戶數(shù)據(jù)的去個(gè)性化。

在一個(gè)示例性方面，計(jì)算異常用戶行為系數(shù)，包括使用用戶的已知行為訓(xùn)練行為分類算法。

在一個(gè)示例性方面，所述異常用戶行為系數(shù)是通過將簡單概率分類器應(yīng)用于所收集的用戶行為數(shù)據(jù)來計(jì)算的數(shù)值。

在一個(gè)示例性方面，計(jì)算異常用戶行為系數(shù)的組合，包括以下中的一個(gè)或多個(gè)：計(jì)算用戶訪問圖形接口的一組元素的次數(shù)；計(jì)算圖形接口的元素的組數(shù)，通過圖形接口的這些組元素用戶能夠獲得對(duì)圖形接口的另一組元素的訪問；計(jì)算完成交易所需要的用戶的基本活動(dòng)的數(shù)量，其中，基本活動(dòng)包括移動(dòng)鼠標(biāo)光標(biāo)、按壓輸入裝置的鍵、在計(jì)算裝置的屏幕上移動(dòng)用戶的手指或鐵筆而不從屏幕表面拿掉、使用戶的手指或鐵筆與計(jì)算裝置的屏幕接觸中的一個(gè)或多個(gè)；以及在確定的時(shí)間段內(nèi)，計(jì)算代表用戶執(zhí)行的欺詐活動(dòng)的已知案例數(shù)。

在一個(gè)示例性方面，響應(yīng)于檢測到欺詐活動(dòng)，所述方法包括將進(jìn)行欺詐活動(dòng)的應(yīng)用歸類為惡意的。

一種用于在用戶交易時(shí)檢測欺詐活動(dòng)的示例性系統(tǒng)包括：處理器，被配置成：在用戶通過輸入裝置與在計(jì)算裝置上的應(yīng)用程序的圖形接口的一組或多組元素交互時(shí)，收集用戶行為數(shù)據(jù)；基于所述收集的用戶行為數(shù)據(jù)，計(jì)算所述圖形接口的每組元素的異常用戶行為系數(shù)；在異常用戶行為系數(shù)的組合超過預(yù)定的閾值時(shí)，檢測欺詐活動(dòng)；以及響應(yīng)于檢測到欺詐活動(dòng)，阻止用戶與應(yīng)用程序交互。

實(shí)例方面的以上簡化發(fā)明內(nèi)容用于提供本公開的基本理解。該發(fā)明內(nèi)容并非所有預(yù)期方面的廣泛概述，旨在不識(shí)別所有方面的關(guān)鍵或決定性元素，也不描繪本公開的任何或所有方面的范圍。其唯一目的在于，通過簡化的形式呈現(xiàn)一個(gè)或多個(gè)方面，作為以下公開內(nèi)容的更詳細(xì)描述的序言。為了實(shí)現(xiàn)以上內(nèi)容，本公開的一個(gè)或多個(gè)方面包括在權(quán)利要求中描述和特別指出的特征。

附圖說明

包含在本說明書內(nèi)并且構(gòu)成本說明書的一部分的附圖示出了本公的一個(gè)或多個(gè)實(shí)例方面，并且與詳細(xì)描述一起用于解釋其原理和實(shí)現(xiàn)方式。

圖1示出了用于檢測欺詐用戶交易的示例性系統(tǒng)的示圖；

圖2示出了用戶與應(yīng)用圖形接口的元素交互的實(shí)例；

圖3示出了用于檢測欺詐用戶交易的示例性方法的流程圖；

圖4示出了可以根據(jù)一個(gè)實(shí)例方面實(shí)現(xiàn)公開的系統(tǒng)和方法的通用計(jì)算機(jī)系統(tǒng)的實(shí)例。

具體實(shí)施方式

在用于在用戶交易中檢測欺詐行為的系統(tǒng)、方法以及計(jì)算機(jī)程序產(chǎn)品的背景中，在本文中描述實(shí)例方面。本領(lǐng)域的技術(shù)人員會(huì)理解的是，以下描述僅僅是說明性的，并非旨在通過任何方式限制。其他方面容易浮現(xiàn)在具有本公開的優(yōu)點(diǎn)的本領(lǐng)域的技術(shù)人員的腦海中。現(xiàn)在，詳細(xì)參考在附圖中示出的實(shí)例方面的實(shí)現(xiàn)方式。在附圖和以下描述中盡可能使用相同的附圖標(biāo)記來表示相同或相似的物品。

在本文中的公開內(nèi)容提供用于促進(jìn)解釋不同方面的多個(gè)定義和概念。應(yīng)理解的是，提供以下定義，用于示例性方面的目的。

惡意應(yīng)用程序是能夠?qū)τ?jì)算機(jī)或計(jì)算機(jī)的用戶造成傷害的應(yīng)用程序(軟件)，例如，因特網(wǎng)蠕蟲、密鑰跟蹤器或計(jì)算機(jī)病毒。造成的傷害可能非法訪問計(jì)算機(jī)資源，包括儲(chǔ)存在計(jì)算機(jī)上的數(shù)據(jù)，用于盜竊的目的，并且還非法使用資源，包括數(shù)據(jù)存儲(chǔ)器，進(jìn)行計(jì)算等。

關(guān)于用戶行為的數(shù)據(jù)是由計(jì)算裝置的至少輸入裝置獲得的信息。該信息可以包括關(guān)于計(jì)算裝置的輸入裝置的使用的數(shù)據(jù)：擊鍵、按壓觸摸屏的坐標(biāo)、在觸摸屏之上移動(dòng)手指/鐵筆的軌道等。在通常情況下，該信息描述用戶使用計(jì)算裝置的方式以及用戶在哪些情況下使用計(jì)算裝置。

異常用戶行為系數(shù)是其數(shù)值越大行為的特征越少的數(shù)值，聚集并且用于計(jì)算該系數(shù)的數(shù)據(jù)是針對(duì)上述用戶的。在一個(gè)實(shí)例中，在與圖形用戶的一組元素交互時(shí)，樸素貝葉斯可以用于計(jì)算應(yīng)用于關(guān)于用戶行為的數(shù)據(jù)中的異常系數(shù)。

基本活動(dòng)是用戶可以關(guān)于計(jì)算裝置執(zhí)行的裝置的用戶活動(dòng)。基本活動(dòng)可以包括但不限于；移動(dòng)鼠標(biāo)指針、按壓輸入裝置的鍵盤、在計(jì)算裝置的屏幕之上移動(dòng)個(gè)人的手指或鐵筆而不從屏幕表面中拿掉、用戶的手指或鐵筆在計(jì)算裝置的屏幕上接觸。

欺詐活動(dòng)是利用用戶的裝置或?qū)儆谟脩舻馁~戶記錄執(zhí)行的與遠(yuǎn)程銀行服務(wù)器的交互，以便執(zhí)行所述活動(dòng)，并且用戶不知道?？梢越柚趹?yīng)用程序執(zhí)行所述活動(dòng)。關(guān)于欺詐活動(dòng)的已知案例的信息可以儲(chǔ)存在遠(yuǎn)程銀行服務(wù)器上的數(shù)據(jù)庫內(nèi)，例如，欺詐活動(dòng)的案例的日期以及是否確實(shí)是欺詐活動(dòng)(而非虛假警報(bào))的指示。擁有對(duì)應(yīng)信息的銀行職員可以將該信息加入數(shù)據(jù)庫中。

與遠(yuǎn)程銀行服務(wù)器交互的一個(gè)目的可能是與遠(yuǎn)程服務(wù)器的參與進(jìn)行交易。與遠(yuǎn)程銀行服務(wù)器交互的另一個(gè)目的是關(guān)于資金的任何其他操作(例如，獲得關(guān)于存在于特定銀行賬戶內(nèi)的資金的信息)。用戶或者以用戶名義的第三方可以例如通過用戶的裝置或?qū)儆谟脩舻馁~戶記錄進(jìn)行交互，以執(zhí)行上述交互，而用戶不知道。應(yīng)理解的是，無論誰與遠(yuǎn)程銀行服務(wù)器交互，都使用特定的計(jì)算裝置進(jìn)行交互。個(gè)人(用戶)通過安裝在用戶的計(jì)算裝置上的應(yīng)用程序(稍后公開的類型和特征)與遠(yuǎn)程銀行服務(wù)器交互。

圖1示出了用于通過用戶的計(jì)算裝置使用遠(yuǎn)程銀行服務(wù)器檢測欺詐用戶交易的示例性系統(tǒng)的方框圖。用戶使用計(jì)算裝置100與遠(yuǎn)程銀行服務(wù)器150交互。計(jì)算裝置100可以是計(jì)算機(jī)、筆記本、智能電話、平板電腦、或具有處理器和隨機(jī)存取存儲(chǔ)器的任何其他裝置(例如，智能手表腕表)。在圖4呈現(xiàn)了示例性計(jì)算裝置的詳細(xì)示圖。遠(yuǎn)程銀行服務(wù)器150包括一組硬件和軟件元件，用于實(shí)現(xiàn)與用戶裝置100交互，以便管理用戶的資金。在一個(gè)方面，銀行服務(wù)器150是與計(jì)算裝置100相同的計(jì)算裝置。在另一個(gè)方面，服務(wù)器150是一組計(jì)算裝置，構(gòu)成遠(yuǎn)程銀行服務(wù)器150的資源設(shè)置在這組計(jì)算裝置上。在一個(gè)示例性方面，遠(yuǎn)程銀行服務(wù)器150屬于銀行(在金融領(lǐng)域執(zhí)行活動(dòng)的法人實(shí)體)。使用計(jì)算裝置100，用戶可以與遠(yuǎn)程銀行服務(wù)器150交互，包括管理或劃撥資金、查詢帳戶結(jié)余等。應(yīng)理解的是，罪犯也可以使用裝置100。在這種情況下，與服務(wù)器150進(jìn)行交互，如同用戶進(jìn)行一樣。形式上，在這種情況下，用戶還執(zhí)行與遠(yuǎn)程銀行服務(wù)器的交互，除非證明相反(例如，如果檢測到欺詐活動(dòng))。

為了與遠(yuǎn)程銀行服務(wù)器150交互，計(jì)算裝置100的用戶使用應(yīng)用程序100，該應(yīng)用程序可以是：互聯(lián)網(wǎng)瀏覽器，用戶通過互聯(lián)網(wǎng)瀏覽器獲得訪問遠(yuǎn)程銀行服務(wù)器150的網(wǎng)絡(luò)客戶端；或者為計(jì)算裝置100的硬件平臺(tái)開發(fā)的應(yīng)用程序(原生應(yīng)用程序)，例如，從銀行定購的，在一個(gè)示例性方面，這種應(yīng)用程序是用于不同族的操作系統(tǒng)(os)(android、ios、windows、unix等)的應(yīng)用程序。

應(yīng)用程序110向用戶呈現(xiàn)與遠(yuǎn)程銀行服務(wù)器150交互的應(yīng)用程序的圖形接口115的一組元素。在一個(gè)示例性方面，應(yīng)用程序的圖形接口115的這種元素可以是：按鈕、輸入字段、顯示信息的字段(包括文本和圖形)、復(fù)選框接口元素、滾動(dòng)條以及圖形接口的任何其他元素，通過這些元素，發(fā)生用戶(通過裝置100)和遠(yuǎn)程銀行服務(wù)器150的交互。在一個(gè)示例性方面，為了訪問在應(yīng)用程序110中顯示的內(nèi)容，用戶應(yīng)通過認(rèn)證，遠(yuǎn)程銀行服務(wù)器150需要該認(rèn)證來驗(yàn)證裝置100的用戶的身份。在一個(gè)示例性方面，可以使用由服務(wù)器150驗(yàn)證的賬戶名和密碼，進(jìn)行裝置100的用戶的認(rèn)證。在另一個(gè)方面，可以基于裝置認(rèn)證，進(jìn)行用戶的認(rèn)證，在這種情況下，假設(shè)僅僅裝置的所有者可以使用裝置100。

在一個(gè)示例性方面，應(yīng)用程序110包括行為確定模塊120，確定模塊120被配置成在用戶與圖形接口115的元素交互期間，聚集關(guān)于用戶行為的數(shù)據(jù)。模塊120進(jìn)一步被配置成將圖形接口的元素聚集在一起并且聚集關(guān)于用戶與構(gòu)成所述組的圖形接口的元素的交互的數(shù)據(jù)。與圖形接口的元素的交互至少包括：通過圖形接口的元素輸入的數(shù)據(jù)(按壓按鈕或在文本字段內(nèi)輸入數(shù)據(jù))、在顯示所述元素的屏幕的區(qū)域之上移動(dòng)光標(biāo)(移動(dòng)手指/鐵筆)。這種分組的結(jié)果的實(shí)例可以是僅僅包括文本輸入字段的組、包括文本輸入字段和按鈕的組、或包括通過應(yīng)用程序110向用戶顯示的整組圖形元素的組(例如，應(yīng)用程序110的窗口的接口115的一組圖形元素、或向用戶顯示的網(wǎng)頁的圖形接口115的一組元素，如果應(yīng)用程序110是網(wǎng)頁瀏覽器)。在一個(gè)示例性方面，可以實(shí)現(xiàn)模塊120，作為由應(yīng)用程序110向用戶顯示的網(wǎng)頁的元件，例如，作為具有javascript語言的腳本(這種實(shí)現(xiàn)是應(yīng)用程序110是網(wǎng)頁瀏覽器的情況的特征)。在另一個(gè)示例性方面，可以實(shí)現(xiàn)模塊120，作為應(yīng)用程序庫，并且可以由銀行以及應(yīng)用程序110提供。在一個(gè)示例性方面，通過檢索對(duì)應(yīng)系統(tǒng)api函數(shù)(例如，用于windowsos的“getcursorposition”)或者從對(duì)應(yīng)事件處理程序(例如，用于osandroid的“ontouch”)中，可以收集關(guān)于用戶行為的數(shù)據(jù)。

關(guān)于用戶行為的數(shù)據(jù)構(gòu)成通過輸入裝置提供給裝置100(因此，提供給應(yīng)用程序110)的信息。根據(jù)裝置100的硬件和軟件，例如，裝置的類型(例如，智能電話或筆記本)、裝置100的os族、以及應(yīng)用程序110的類型(是否是網(wǎng)頁瀏覽器)，這種信息的容量可以不同。

在一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由“鼠標(biāo)”型操縱器提供的信息，例如，光標(biāo)的坐標(biāo)(例如，相對(duì)于裝置100的屏幕)；以及按壓/釋放按鈕的坐標(biāo)。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的鍵盤(包括在裝置100的觸摸屏上顯示的鍵盤)提供的信息，例如，對(duì)應(yīng)于按壓的按鍵的鍵盤字符；以及按壓的兩個(gè)或三個(gè)按鍵的序列。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的觸摸屏提供的信息，例如，按壓/釋放屏幕的點(diǎn)的坐標(biāo)；以及按壓屏幕的力。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的麥克風(fēng)提供的信息，例如，具有數(shù)字格式的聲音的記錄。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的照明傳感器提供的信息，例如，關(guān)于在傳感器附近的光源的存在和強(qiáng)度的信息。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的攝影機(jī)/攝像機(jī)提供的信息，例如，由相機(jī)拍攝的照片；以及由相機(jī)記錄的視頻剪輯。

在另一個(gè)示例性方面，關(guān)于用戶行為的數(shù)據(jù)包括由裝置100的加速計(jì)提供的信息，例如，關(guān)于在空間內(nèi)裝置的位置變化的信息。

在一個(gè)示例性方面，除了上述信息，行為確定模塊120還另外聚集關(guān)于每個(gè)上述事件的時(shí)間(每個(gè)上述事件(移動(dòng)光標(biāo)、按壓屏幕)的時(shí)間戳)的信息。在一個(gè)示例性方面，如果應(yīng)用程序110是網(wǎng)頁瀏覽器，則模塊120收集關(guān)于行為的數(shù)據(jù)的能力可以受到j(luò)avascript提供的能力限制(如果用javascript語言寫入腳本)。在一個(gè)示例性方面，考慮這種限制，模塊120聚集關(guān)于行為的數(shù)據(jù)，所述數(shù)據(jù)包括由“鼠標(biāo)”型操縱器、裝置100的鍵盤以及裝置100的觸摸屏提供的信息。在另一個(gè)示例性方面，如果應(yīng)用程序110并非網(wǎng)絡(luò)客戶端，則行為確定模塊120聚集關(guān)于行為數(shù)據(jù)。由計(jì)算裝置100的os資源提供對(duì)該數(shù)據(jù)的訪問。

在一般情況下，聚集的行為數(shù)據(jù)的容量取決于裝置100的軟件和硬件。

在一個(gè)示例性方面，用戶的計(jì)算裝置100還可以包括安全模塊130，安全模塊130被配置為在用戶與圖形接口115的元素組交互用于與遠(yuǎn)程銀行服務(wù)器150進(jìn)行交互時(shí)，收集關(guān)于計(jì)算裝置100的哪些應(yīng)用程序訪問關(guān)于用戶行為的數(shù)據(jù)的信息。為此，安全模塊130可以登錄負(fù)責(zé)訪問關(guān)于用戶行為的數(shù)據(jù)系統(tǒng)函數(shù)的調(diào)用(保持關(guān)于哪個(gè)應(yīng)用程序的過程檢索這些函數(shù)的信息)(例如，“setcursorpos”函數(shù))。在一個(gè)示例性方面，安全模塊130包括os核心級(jí)驅(qū)動(dòng)器，通過該驅(qū)動(dòng)器，模塊130攔截訪問關(guān)于用戶行為的數(shù)據(jù)的函數(shù)調(diào)用。

在一個(gè)示例性方面，在光標(biāo)(對(duì)于“鼠標(biāo)”型操縱器)的位置改變時(shí)，“鼠標(biāo)”裝置的中斷處理程序檢索光標(biāo)坐標(biāo)變化函數(shù)(例如，“setcursorpos”)，該光標(biāo)因此改變其在計(jì)算裝置100的屏幕上的位置；然后，包括嵌入處理中斷處理程序的請(qǐng)求的驅(qū)動(dòng)器的堆棧內(nèi)的驅(qū)動(dòng)器的安全模塊130接收關(guān)于哪個(gè)過程改變光標(biāo)的坐標(biāo)的信息(例如，真實(shí)“鼠標(biāo)”裝置的驅(qū)動(dòng)器或某個(gè)應(yīng)用程序，例如，惡意應(yīng)用程序)。

在一個(gè)示例性方面，安全模塊130可以是殺毒軟件。

在另一個(gè)方面，由安全模塊130聚集的信息可以儲(chǔ)存在作為模塊130的一部分的數(shù)據(jù)庫內(nèi)。

在聚集關(guān)于用戶行為的數(shù)據(jù)之后，行為確定模塊120可以給行為分類模塊160轉(zhuǎn)發(fā)該數(shù)據(jù)以及關(guān)于在與裝置110的用戶接口115的哪些組的圖形元素交互的期間收集所述數(shù)據(jù)的信息。在另一個(gè)示例性方面，在與圖形接口的規(guī)定的一組元素組(例如，與至少5組)交互時(shí)，僅僅聚集關(guān)于用戶行為的數(shù)據(jù)之后，行為確定模塊120將上述信息傳輸給模塊160。

應(yīng)注意的是，在傳輸由模塊120聚集的關(guān)于用戶行為的數(shù)據(jù)之前，該數(shù)據(jù)可以通過模塊120經(jīng)受處理：例如，光標(biāo)的這組坐標(biāo)轉(zhuǎn)換成光標(biāo)的運(yùn)動(dòng)軌道，而按壓觸摸屏并且釋放的點(diǎn)的這組坐標(biāo)轉(zhuǎn)換成在屏幕之上(刷)移動(dòng)手指的軌道。在一個(gè)示例性方面，在規(guī)定的時(shí)間間隔(例如，5分鐘或24小時(shí))內(nèi)，由模塊120收集關(guān)于用戶行為的數(shù)據(jù)，然后，將該數(shù)據(jù)傳輸給行為分類模塊160。在另一個(gè)示例性方面，在用戶與圖形接口115的單獨(dú)一組元素交互時(shí)，可以收集關(guān)于用戶行為的數(shù)據(jù)：如果例如用戶將光標(biāo)從圖形接口115的一組元素移動(dòng)到另一組元素，或者如果用戶從總體上構(gòu)成圖形接口的一組元素的一個(gè)網(wǎng)頁移動(dòng)到另一個(gè)頁面，行為數(shù)據(jù)由模塊120被發(fā)送給模塊160。

在另一個(gè)示例性方面，模塊120如下執(zhí)行收集的數(shù)據(jù)的處理：對(duì)于鼠標(biāo)光標(biāo)的移動(dòng)(由光標(biāo)移動(dòng)穿過的這組點(diǎn)確定的移動(dòng))，計(jì)算位移矢量(例如，在光標(biāo)位置的端點(diǎn)與起始點(diǎn)之間)，在光標(biāo)的每個(gè)點(diǎn)上的運(yùn)動(dòng)和加速度的速率以及角速度和角加速度(為了相當(dāng)于運(yùn)動(dòng)的起始點(diǎn)將光標(biāo)從一個(gè)移動(dòng)點(diǎn)移動(dòng)到下一個(gè)移動(dòng)點(diǎn)所計(jì)算的)。

在一個(gè)示例性方面，行為確定模塊120可以執(zhí)行收集的數(shù)據(jù)的“去個(gè)性化”(例如，避免違反用于收集個(gè)人數(shù)據(jù)的裝置100的用戶的隱私權(quán)，還防止傳輸大量數(shù)據(jù))，關(guān)于用戶的行為收集的數(shù)據(jù)可以經(jīng)受處理，例如，使用散列函數(shù)(例如，md5、sha-0或sha-1等)。因此，可以不向模塊160發(fā)送關(guān)于用戶的行為的“原始”數(shù)據(jù)，而是發(fā)送散列和，所述散列和具有(僅僅由發(fā)生碰撞的可能性限制)唯一識(shí)別關(guān)于裝置100的用戶行為的數(shù)據(jù)的很高的可能性，并且使用上述散列和，不可能重構(gòu)其中計(jì)算相應(yīng)散列和的數(shù)據(jù)。在一個(gè)示例性方面，關(guān)于裝置100的用戶的行為收集的所有數(shù)據(jù)經(jīng)受這種處理。在另一個(gè)示例性方面，僅僅包括由相機(jī)拍攝的照片和視頻剪輯以及具有數(shù)字格式的聲音記錄的數(shù)據(jù)可以經(jīng)受這種處理。

在一個(gè)示例性方面，行為分類模塊160被配置成在與行為確定模塊120聚集關(guān)于用戶的行為的哪組數(shù)據(jù)交互期間，計(jì)算圖形接口的每組元素的異常用戶行為系數(shù)。異常用戶行為系數(shù)是在對(duì)裝置的所有者(或賬戶記錄，用于與遠(yuǎn)程銀行服務(wù)器交互)異常的用戶的行為(根據(jù)關(guān)于行為聚集的數(shù)據(jù))的程度上示出的數(shù)字，例如，從0到100的數(shù)字(在另一個(gè)方面，任何其他實(shí)數(shù))。該數(shù)字越大，該越少的用戶特征是關(guān)于在用戶與遠(yuǎn)程銀行服務(wù)器150交互期間收集的數(shù)據(jù)的行為。在一個(gè)示例性方面，異常系數(shù)的值0表示關(guān)于在用戶與某組圖形元素交互期間收集的數(shù)據(jù)的用戶的行為完全符合裝置100的用戶。

為了計(jì)算異常用戶行為系數(shù)，分類模塊160使用分類算法，例如，樸素貝葉斯分類器等。這種算法的輸入數(shù)據(jù)是在用戶與圖形接口115的一組元素交互期間關(guān)于用戶行為的數(shù)據(jù)。這種算法的工作結(jié)果是被視為異常用戶行為系數(shù)的數(shù)字。

為了行為分類模塊160能夠計(jì)算異常用戶行為系數(shù)，首先使用的分類算法經(jīng)受學(xué)習(xí)階段。在學(xué)習(xí)期間，通過關(guān)于在用戶與圖形接口115的不同元素組交互期間的計(jì)算裝置100的用戶的行為的明確已知的數(shù)據(jù)(下面提供這種數(shù)據(jù)的實(shí)例)以及關(guān)于這種交互是否是欺詐活動(dòng)的明確已知的信息(如果其他人使用裝置100)，呈現(xiàn)算法。在一個(gè)示例性方面，用于學(xué)習(xí)的信息可以儲(chǔ)存在數(shù)據(jù)庫165內(nèi)。除了在使用相同裝置100時(shí)使用這種算法能夠區(qū)分一個(gè)用戶和另一個(gè)用戶的行為，該算法還能夠認(rèn)識(shí)到用戶的行為由軟件模仿的情況：在這種模仿期間的光標(biāo)的運(yùn)動(dòng)軌道讓人想起直線，通過按壓鍵，以刪除輸入的最后字符，通常不實(shí)現(xiàn)使用圖形接口的元素輸入文本來輸入的數(shù)據(jù)，在用戶使用裝置100時(shí)，加速傳感器通常表示該裝置并非靜止，照明傳感器還通常表示在完全黑暗時(shí)用戶不使用裝置100，并且在真實(shí)用戶使用裝置100時(shí)，麥克風(fēng)可以記錄某些聲音(例如，由用戶的運(yùn)動(dòng)造成)，這并非軟件模仿用戶的行為的情況的特征。

在一個(gè)示例性方面，為了分類算法的教導(dǎo)內(nèi)容，在與遠(yuǎn)程銀行服務(wù)器150交互期間關(guān)于計(jì)算裝置100的用戶的行為的明確已知的數(shù)據(jù)(具體而言，與用戶與遠(yuǎn)程銀行服務(wù)器150交互的圖形接口115的元素組)由行為確定模塊120連續(xù)收集并且傳輸給行為分類模塊160，這在數(shù)據(jù)庫165中保存該信息。控制的數(shù)據(jù)先驗(yàn)被視為對(duì)應(yīng)于非欺詐活動(dòng)(在收集關(guān)于用戶行為的數(shù)據(jù)期間與遠(yuǎn)程服務(wù)器150的交互不被視為欺詐活動(dòng))，直到在實(shí)現(xiàn)本發(fā)明的至少一種方法的背景下，檢測(證明)相反的這組時(shí)間，或者銀行員工本身通過用戶的裝置100指示欺詐活動(dòng)的周期，從而指示在與圖形接口115的元素組交互時(shí)對(duì)應(yīng)于關(guān)于用戶的行為收集的數(shù)據(jù)的欺詐活動(dòng)的實(shí)例。在一個(gè)示例性方面，人們使用關(guān)于用戶行為的數(shù)據(jù)來教導(dǎo)分類算法，在特定的時(shí)間間隔(例如，一個(gè)月或一年)收集所述數(shù)據(jù)。在一個(gè)示例性方面，為了教導(dǎo)，在教導(dǎo)分類算法的時(shí)刻之前(例如，一個(gè)月)，人們選擇不遲于某個(gè)時(shí)間量結(jié)束的規(guī)定的長度的時(shí)間間隔(例如，一個(gè)月，如上所述)，在教導(dǎo)中的這種類型的“延遲”可用于銀行員工可以在指示的時(shí)間段(在收集關(guān)于用戶行為的數(shù)據(jù)的結(jié)束與教導(dǎo)算法的開始之間)內(nèi)發(fā)現(xiàn)欺詐活動(dòng)并且對(duì)儲(chǔ)存在數(shù)據(jù)庫165內(nèi)的數(shù)據(jù)做出相應(yīng)改變的情況。

接下來，參考圖2，提供行為分類模塊160的工作的實(shí)例。圖2描述了計(jì)算裝置100(在規(guī)定的情況下，智能電話)，其中，關(guān)于用戶行為的數(shù)據(jù)包括至少按壓/釋放裝置100的觸摸屏的點(diǎn)的坐標(biāo)。在與遠(yuǎn)程銀行服務(wù)器150交互期間，在用戶與應(yīng)用程序110的圖形接口115的一組元素(在規(guī)定的情況下，向用戶顯示的圖形接口的所有元素)交互期間，使用模塊120聚集以下信息：在點(diǎn)200上并且在位于手指的運(yùn)動(dòng)軌道上的所有其他點(diǎn)上按壓(點(diǎn)的坐標(biāo))屏幕，直到釋放點(diǎn)210。該信息(以及與該信息對(duì)應(yīng)的接口115的哪組顯示的圖形元素的指示)由模塊120發(fā)送給行為分類模塊160。該模塊160基于所獲得的數(shù)據(jù)確定運(yùn)動(dòng)(其特征在于，手指在觸摸屏上從點(diǎn)200到點(diǎn)210的移動(dòng))是裝置100的用戶的非特征的程度，即，在與不同組的圖形接口115交互期間，預(yù)先收集關(guān)于其行為的數(shù)據(jù)的用戶，用于教導(dǎo)模塊160的分類算法。在算法教導(dǎo)階段，行為分類模塊160使用關(guān)于用戶行為的數(shù)據(jù)，該數(shù)據(jù)包括關(guān)于用戶的手指沿著從點(diǎn)200到點(diǎn)220的軌道在計(jì)算裝置100的觸摸屏之上移動(dòng)的信息。在規(guī)定的情況下，行為分類模塊160計(jì)算圖形接口的上述元素組的異常用戶行為系數(shù)，該系數(shù)的值大，例如，90或者在一個(gè)示例性方面甚至是100(適用于從200到210和從200到220的運(yùn)動(dòng)軌道沒有交叉點(diǎn)的情況)。如果通過關(guān)于用戶行為的數(shù)據(jù)(包括關(guān)于按壓屏幕的點(diǎn)的坐標(biāo)的信息，對(duì)應(yīng)于手指沿著從點(diǎn)200到點(diǎn)230的軌道在屏幕之上的運(yùn)動(dòng)(該軌道部分符合在點(diǎn)200與220之間的運(yùn)動(dòng)軌道))呈現(xiàn)行為確定模塊120，則行為分類模塊160計(jì)算異常用戶行為系數(shù)，其值比在前一個(gè)實(shí)例中更小，例如，22。

在一個(gè)示例性方面，數(shù)據(jù)庫165儲(chǔ)存關(guān)于從所有用戶裝置100中收集的用戶行為的數(shù)據(jù)。該數(shù)據(jù)用于由模塊160教導(dǎo)分類算法。在另一個(gè)方面，數(shù)據(jù)庫165包含對(duì)應(yīng)于每個(gè)單獨(dú)裝置100的關(guān)于用戶行為的單獨(dú)數(shù)據(jù)組。為了在某個(gè)裝置100上教導(dǎo)用于關(guān)于用戶行為的數(shù)據(jù)的分類算法，可以使用對(duì)應(yīng)于上述裝置100以及關(guān)于行為的另一個(gè)組的數(shù)據(jù)或這種組的組合的關(guān)于用戶行為的一組數(shù)據(jù)。在使用不同裝置100時(shí)的用戶行為高度不同的情況下(例如，在使用平板電腦和臺(tái)式電腦時(shí))，關(guān)于用戶行為收集的數(shù)據(jù)這樣劃分成對(duì)應(yīng)于用戶的裝置100的幾組，對(duì)于分類算法的教導(dǎo)有效。

在另一個(gè)示例性方面，行為分類模塊160可以使用支持向量算法(支持向量機(jī)器svm)計(jì)算異常系數(shù)。svm算法的學(xué)習(xí)階段與上述階段相似。

在另一個(gè)示例性方面，行為分類模塊160可以使用任何其他分類算法計(jì)算異常系數(shù)，雇傭教師學(xué)習(xí)該算法。裝置算法的學(xué)習(xí)階段與上述階段相似。

行為分類模塊160計(jì)算圖形接口115的每組元素的異常用戶行為系數(shù)，其中，在用戶與圖形接口115的上述元素組交互期間，行為確定模塊120聚集并且轉(zhuǎn)發(fā)關(guān)于用戶行為的數(shù)據(jù)。至少一個(gè)計(jì)算的異常用戶行為系數(shù)由模塊160發(fā)送給決策制定模塊170。

在一個(gè)示例性方面，如果在前一個(gè)步驟中計(jì)算的異常用戶行為系數(shù)的組合超過確定的閾值，則在用戶(通過計(jì)算裝置100)與遠(yuǎn)程銀行服務(wù)器150交互期間，決策制定模塊170被配置成檢測到欺詐活動(dòng)。在計(jì)算異常用戶行為系數(shù)的組合時(shí)，使用以下信息，該信息儲(chǔ)存在數(shù)據(jù)庫165內(nèi)：

對(duì)于圖形接口的元素組，用戶訪問圖形接口的上述元素組(與其交互)的次數(shù)。在數(shù)據(jù)從模塊120到達(dá)模塊160時(shí)，在數(shù)據(jù)庫165內(nèi)的該信息可以由模塊160改變，即，在某組圖形元素交互時(shí)，關(guān)于用戶行為的越多數(shù)據(jù)到達(dá)模塊160，用戶訪問圖形接口的單獨(dú)元素組的次數(shù)就越大，該信息由模塊160保存在數(shù)據(jù)庫165內(nèi)。上述參數(shù)(用戶訪問上述元素組的次數(shù))可以是用戶在24小時(shí)內(nèi)訪問上述元素組的平均次數(shù)；

對(duì)于圖形接口的元素組，與可以獲得對(duì)圖形接口的上述元素組的訪問的用戶互動(dòng)的圖形接口的元素的組數(shù)，例如，構(gòu)成圖形接口的各組元素的按鈕的數(shù)量，在按壓這些按鈕時(shí)，通過圖形接口的某個(gè)組(上述“單獨(dú)”)的元素，呈現(xiàn)裝置100的用戶。該信息可以由與遠(yuǎn)程銀行服務(wù)器150交互的接口開發(fā)人員加入數(shù)據(jù)庫165中；

對(duì)于圖形接口的該組元素，使用遠(yuǎn)程銀行服務(wù)器執(zhí)行交易所需要的用戶的基本活動(dòng)的數(shù)量，如果用戶與圖形接口的上述元素組交互，例如，在與某組圖形用戶115(例如，向用戶顯示該組元素：輸入字段、按鈕以及包含文本信息的字段)交互的情況下，在用戶執(zhí)行交易(涉及資金)所需要的圖形接口115的不同按鈕上“點(diǎn)擊”(按壓“鼠標(biāo)”操縱器的按鈕)的次數(shù)，例如，用戶進(jìn)行連續(xù)訪問某些數(shù)量的網(wǎng)頁所需要的基本活動(dòng)的數(shù)量(如果應(yīng)用程序110是網(wǎng)頁瀏覽器)，而，在最后一個(gè)網(wǎng)頁上，顯示圖形接口(例如，按鈕)的元素，通過與該圖形接口的元素交互，用戶能夠給銀行發(fā)送執(zhí)行涉及資金(例如，通過這些資金支付罰款)的某個(gè)活動(dòng)的命令；

在確定的時(shí)間段內(nèi)，代表用戶執(zhí)行的欺詐活動(dòng)的明確已知的案例數(shù)。在一個(gè)示例性方面，模塊170保存關(guān)于使用用戶裝置100執(zhí)行的欺詐活動(dòng)的檢測到的案例的信息。在另一個(gè)示例性方面，該信息由訪問對(duì)應(yīng)信息的銀行員工保存在數(shù)據(jù)庫165內(nèi)。

應(yīng)注意的是，上述信息可以由銀行員工保存在數(shù)據(jù)庫165內(nèi)。

如果決策制定模塊170從行為分類模塊160中接收僅僅一個(gè)異常用戶行為系數(shù)，則在決策制定模塊170檢測欺詐活動(dòng)時(shí)，僅僅使用這個(gè)系數(shù)，考慮上述信息用于計(jì)算異常用戶行為系數(shù)的組合。模塊170使用數(shù)學(xué)函數(shù)計(jì)算某個(gè)值(異常用戶行為系數(shù)的組合)，其中的一個(gè)輸入?yún)?shù)是異常用戶行為系數(shù)的組。該組可以包括一個(gè)或多個(gè)元素。在一個(gè)示例性方面，以下公式用于由模塊170計(jì)算異常用戶行為系數(shù)的組合。

其中，k是異常用戶行為系數(shù)的組合；n是異常用戶行為系數(shù)的數(shù)量(因此，圖形接口115的元素的組，基于該接口，計(jì)算系數(shù))，基于這些系數(shù)，計(jì)算所述組合；ki是為圖形接口115的第i組元素計(jì)算的第i個(gè)異常用戶行為系數(shù)；pi是用戶訪問圖形接口的第i個(gè)單獨(dú)組元素的次數(shù)；ri是圖形接口的元素的組數(shù)，用戶通過與圖形接口的元素的這些組交互可以獲得對(duì)圖形接口的第i組元素的訪問；di是使用遠(yuǎn)程銀行服務(wù)器執(zhí)行交易所需要的用戶的基本活動(dòng)的數(shù)量，如果用戶與圖形接口的第i組元素交互；f是在規(guī)定的時(shí)間段內(nèi)代表用戶執(zhí)行的欺詐活動(dòng)的明確已知的案例數(shù)。

在一個(gè)示例性方面，其他公式可以用于計(jì)算異常用戶行為系數(shù)的組合，據(jù)此，異常用戶行為系數(shù)的組合與以下值(或至少一些以下值)f、ki、pi、ri成正比，并且與以下值di成反比(如果在公式中具有這些值)。上面提供了以上名稱的定義。

如果異常用戶行為系數(shù)的組合超過確定的(閾值)值(例如，“70”)，則決策制定模塊170在用戶通過裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)檢測欺詐活動(dòng)。但是如果異常用戶行為系數(shù)的組合不超過確定的值，則繼續(xù)分析由模塊120聚集的新數(shù)據(jù)。

在一個(gè)示例性方面，不是通過對(duì)異常用戶行為系數(shù)的組合和確定的閾值進(jìn)行比較，而是使用啟發(fā)式規(guī)則，由決策制定模塊170檢測欺詐活動(dòng)，其中，基于用于公式中的上述信息，作出決策(包括所有計(jì)算的異常系數(shù)的值)。在一個(gè)示例性方面，該規(guī)則看起來像以下中的一個(gè)：如果在異常用戶行為系數(shù)之中，具有超過確定的閾值(例如，90)的系數(shù)，則檢測欺詐活動(dòng)；如果在異常用戶行為系數(shù)之中，具有系數(shù)滿足ki*pi*ri＞90，則檢測欺詐活動(dòng)。

在另一個(gè)示例性方面，決策制定模塊170可以通過另一個(gè)啟發(fā)式規(guī)則檢測欺詐活動(dòng)，據(jù)此，以下值f、ki、pi、ri(上面限定的)越大，并且以下值di(上面限定的)越小，模塊170更可能檢測欺詐活動(dòng)。

應(yīng)理解的是，在以上描述中使用的數(shù)字僅僅是實(shí)例，并且不同的值可以用于本發(fā)明的其他配置和方面。

在一個(gè)示例性方面，如果在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)(或者更簡單地說，在用戶與遠(yuǎn)程銀行服務(wù)器交互時(shí))，檢測到欺詐活動(dòng)，則決策制定模塊170可以阻止用戶通過計(jì)算裝置100與遠(yuǎn)程銀行服務(wù)器150交互。

在另一個(gè)示例性方面，在檢測欺詐活動(dòng)時(shí)，決策制定模塊170可以通過例如電子郵件或sms消息(對(duì)應(yīng)員工的聯(lián)系數(shù)據(jù)可以儲(chǔ)存在數(shù)據(jù)庫165內(nèi))通知銀行員工，并且在可以使用的規(guī)定的時(shí)間間隔(例如，6個(gè)小時(shí))內(nèi)，暫停用戶通過計(jì)算裝置100與遠(yuǎn)程銀行服務(wù)器150交互，使得所述銀行員工有時(shí)間聯(lián)系代表執(zhí)行欺詐活動(dòng)的人的用戶。

在另一個(gè)示例性方面，如果在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，檢測到欺詐活動(dòng)，則決策制定模塊170將相應(yīng)的警報(bào)發(fā)送給安全模塊130。在一個(gè)示例性方面，模塊160向模塊170不僅發(fā)送為圖形接口的每組元素計(jì)算的異常用戶行為系數(shù)，而且發(fā)送從模塊120中接收的并且用于計(jì)算上述系數(shù)的關(guān)于用戶行為的實(shí)際數(shù)據(jù)。反過來。如果檢測到欺詐活動(dòng)，則決策制定模塊170向安全模塊130發(fā)送包含關(guān)于用戶行為的數(shù)據(jù)的信息，該數(shù)據(jù)用于計(jì)算異常用戶行為系數(shù)。

在一個(gè)示例性方面，安全模塊130使用關(guān)于用戶行為接收的數(shù)據(jù)，在用戶與應(yīng)用程序110的圖形接口115的元素組交互時(shí)，確定哪些應(yīng)用程序執(zhí)行對(duì)關(guān)于用戶行為的數(shù)據(jù)的訪問(在用戶和應(yīng)用程序110交互時(shí)，由安全模塊130保存對(duì)應(yīng)信息)。如果在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，檢測到欺詐活動(dòng)，則安全模塊130將在計(jì)算裝置100上的應(yīng)用程序識(shí)別為惡意的(從模塊170中接收對(duì)應(yīng)警報(bào))，并且在用戶與圖形接口115的至少一組元素交互，用于與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，上述應(yīng)用程序訪問關(guān)于用戶行為的數(shù)據(jù)，其中，由模塊120聚集關(guān)于用戶行為的組數(shù)據(jù)。

在另一個(gè)示例性方面，模塊170向模塊130僅僅發(fā)送關(guān)于用戶行為的數(shù)據(jù)(然后用于在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)找出訪問關(guān)于用戶行為的數(shù)據(jù)的應(yīng)用程序)，該數(shù)據(jù)對(duì)應(yīng)于在行為分類模塊160計(jì)算的系數(shù)之中的規(guī)定數(shù)量的最大(例如，2個(gè)最大)異常用戶行為系數(shù)。

在另一個(gè)示例性方面，模塊170可以警告用戶裝置100，例如，通過由電子郵件或sms通信(其中，用于這種通知的用戶的聯(lián)系數(shù)據(jù)可以保持在數(shù)據(jù)庫165內(nèi))發(fā)送的消息，檢測到代表用戶執(zhí)行的欺詐活動(dòng)：使用用戶的計(jì)算裝置100或者使用用于與遠(yuǎn)程銀行服務(wù)器150交互的賬戶記錄。

圖3示出了用于檢測欺詐用戶交易的示例性方法的流程圖。在步驟301中，在用戶與應(yīng)用程序110的圖形接口115的至少一組元素交互時(shí)，行為確定模塊120收集關(guān)于用于與遠(yuǎn)程銀行服務(wù)器150交互的用戶行為的數(shù)據(jù)。聚集的數(shù)據(jù)由模塊120發(fā)送給模塊160。與遠(yuǎn)程銀行服務(wù)器150交互的目標(biāo)在于與遠(yuǎn)程銀行服務(wù)器150參與進(jìn)行交易(例如，涉及計(jì)算裝置100的用戶的資金)。對(duì)于圖形接口115的每組元素，收集關(guān)于用戶行為的單獨(dú)一組數(shù)據(jù)。關(guān)于用戶行為的數(shù)據(jù)是使用至少計(jì)算裝置100的輸入裝置所獲得的信息。

在一個(gè)示例性方面，此外，在用戶與應(yīng)用程序110的圖形接口115的每組元素交互用于與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，安全模塊130聚集關(guān)于計(jì)算裝置100的哪些應(yīng)用程序訪問關(guān)于用戶行為的數(shù)據(jù)的信息，其中，在步驟301中聚集關(guān)于用戶行為的組數(shù)據(jù)。

在步驟302中，行為分類模塊160計(jì)算圖形接口的每組元素的異常用戶行為系數(shù)，在與所述組交互期間，在步驟301中聚集關(guān)于用戶行為的數(shù)據(jù)。異常用戶行為系數(shù)是數(shù)值，在行為具有所述用戶的越少特征時(shí)，該數(shù)值越大，在步驟301中聚集該行為的數(shù)據(jù)。在計(jì)算異常系數(shù)時(shí)，在與圖形接口的一組元素交互時(shí)，樸素貝葉斯分類器可以應(yīng)用于關(guān)于用戶行為的數(shù)據(jù)中。所計(jì)算的異常用戶行為系數(shù)由模塊160發(fā)送給模塊170。

在步驟303中，如果在步驟302中計(jì)算的異常用戶行為系數(shù)的組合超過確定的閾值，則在用戶裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，使用決策制定模塊170檢測欺詐活動(dòng)。在計(jì)算異常用戶行為系數(shù)的組合時(shí)，使用儲(chǔ)存在數(shù)據(jù)庫165內(nèi)的以下信息：對(duì)于圖形接口的這組元素，用戶訪問圖形接口的單獨(dú)組元素的次數(shù)；對(duì)于圖形接口的這組元素，圖形接口的元素的組數(shù)，通過圖形接口的元素的這些組用戶可以獲得對(duì)圖形接口的上述組元素的訪問；對(duì)于圖形接口的這組元素，使用遠(yuǎn)程銀行服務(wù)器進(jìn)行交易所需要的用戶的基本活動(dòng)的數(shù)量，如果用戶與圖形接口的上述組元素交互；在確定的時(shí)間段內(nèi)，代表用戶執(zhí)行的欺詐活動(dòng)的已知案例的數(shù)量。

基本活動(dòng)可以包括但不限于：移動(dòng)鼠標(biāo)光標(biāo)、按壓輸入裝置的鍵、在計(jì)算裝置100的屏幕上移動(dòng)用戶的手指或鐵筆而不從屏幕表面拿掉、使用戶的手指或鐵筆與計(jì)算裝置100的屏幕接觸。欺詐活動(dòng)包括但不限于與使用用戶的裝置100或?qū)儆谟脩舻挠糜趫?zhí)行所述交互的賬戶記錄執(zhí)行的遠(yuǎn)程銀行服務(wù)器150的交互，并且用戶不知道。關(guān)于欺詐活動(dòng)的已知案例的信息儲(chǔ)存在遠(yuǎn)程銀行服務(wù)器150上的數(shù)據(jù)庫165內(nèi)。

在步驟304中，如果在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，在步驟303中檢測到欺詐活動(dòng)，則決策制定模塊170阻止用戶與遠(yuǎn)程銀行服務(wù)器150交互(例如，用戶通過計(jì)算裝置100執(zhí)行)。

在另一個(gè)示例性方面，此外，如果在用戶的裝置100與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，在步驟303中，發(fā)現(xiàn)了欺詐活動(dòng)，則在計(jì)算裝置100上的應(yīng)用程序由安全模塊130視為惡意的，并且在用戶與應(yīng)用程序110的圖形接口115的至少一組元素交互，用于與遠(yuǎn)程銀行服務(wù)器150交互時(shí)，上述應(yīng)用程序訪問關(guān)于用戶行為的數(shù)據(jù)，聚集關(guān)于用戶行為的組數(shù)據(jù)。

圖4示出了可以根據(jù)一個(gè)實(shí)例方面實(shí)現(xiàn)公開的系統(tǒng)和方法的通用計(jì)算機(jī)系統(tǒng)(可以是個(gè)人電腦或服務(wù)器)的實(shí)例。如圖所示，計(jì)算機(jī)系統(tǒng)包括連接至各種系統(tǒng)元件的中央處理單元21、系統(tǒng)存儲(chǔ)器22以及系統(tǒng)總線23，包括與中央處理單元21相關(guān)聯(lián)的存儲(chǔ)器。實(shí)現(xiàn)系統(tǒng)總線23，與先有技術(shù)已知的任何總線結(jié)構(gòu)一樣，反過來包含總線存儲(chǔ)器或總線存儲(chǔ)器控制器、外圍總線和局部總線，其能夠與任何其他總線架構(gòu)交互。系統(tǒng)存儲(chǔ)器包括永久存儲(chǔ)器(rom)24和隨機(jī)存取存儲(chǔ)器(ram)25?；据斎?輸出系統(tǒng)(bios)26包括基本程序，確保在個(gè)人電腦20的部件之間傳輸信息，例如，在使用rom24裝載操作系統(tǒng)時(shí)的基本程序。

個(gè)人電腦20反過來包括用于讀取和寫入數(shù)據(jù)的硬盤27、用于在可移動(dòng)磁盤29上讀取和寫入的磁盤驅(qū)動(dòng)器28、以及用于可移動(dòng)光盤31上讀取和寫入的光盤驅(qū)動(dòng)器30，例如，cd-rom、dvd-rom以及其他光學(xué)信息介質(zhì)。硬盤27、磁盤驅(qū)動(dòng)器28以及光盤驅(qū)動(dòng)器30分別通過硬盤接口32、磁盤接口33以及光盤驅(qū)動(dòng)器接口34連接至系統(tǒng)總線23。驅(qū)動(dòng)器和對(duì)應(yīng)的計(jì)算機(jī)信息介質(zhì)是功率無關(guān)的模塊，用于儲(chǔ)存?zhèn)€人電腦20的計(jì)算機(jī)指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊以及其他數(shù)據(jù)。

本公開提供了實(shí)現(xiàn)使用硬盤27、可移動(dòng)磁盤29以及可移動(dòng)光盤31的系統(tǒng)，但是應(yīng)理解的是，可以使用能夠通過計(jì)算機(jī)可讀的形式儲(chǔ)存數(shù)據(jù)的其他類型的計(jì)算機(jī)信息介質(zhì)56(固態(tài)驅(qū)動(dòng)器、閃存卡、數(shù)字光盤、隨機(jī)存取存儲(chǔ)器(ram)等)，其通過控制器55連接至系統(tǒng)總線23。

計(jì)算機(jī)20具有保持記錄的操作系統(tǒng)35的文件系統(tǒng)36以及額外的程序應(yīng)用程序37、其他程序模塊38以及程序數(shù)據(jù)39。用戶能夠使用輸入裝置(鍵盤40、鼠標(biāo)42)將命令和信息輸入個(gè)人電腦20內(nèi)?？梢允褂闷渌斎胙b置(未示出)：麥克風(fēng)、控制桿、游戲控制器、掃描儀等。這種輸入裝置通常通過串行端口46插入計(jì)算機(jī)系統(tǒng)20內(nèi)，該串行端口發(fā)過來連接至系統(tǒng)總線，但是這種輸入裝置可以通過其他方式連接，例如，使用并行端口、游戲端口或通用串行總線(usb)。顯示器47或其他類型的顯示裝置也通過接口(例如，視頻適配器48)連接至系統(tǒng)總線23。除了顯示器47，個(gè)人電腦還可以裝有其他外圍輸出裝置(未示出)，例如，揚(yáng)聲器、打印機(jī)等。

個(gè)人電腦20能夠使用與一個(gè)或多個(gè)遠(yuǎn)程電腦49的網(wǎng)絡(luò)連接在網(wǎng)絡(luò)環(huán)境中操作。在描述個(gè)人電腦20的性質(zhì)時(shí)，遠(yuǎn)程電腦(或電腦)49也是具有大部分或所有上述部件的個(gè)人電腦或服務(wù)器，如圖3所示。在計(jì)算機(jī)網(wǎng)絡(luò)中還可以具有其他裝置，例如，路由器、網(wǎng)絡(luò)站、對(duì)等裝置或其他網(wǎng)絡(luò)節(jié)點(diǎn)。

網(wǎng)絡(luò)連接可以形成局域計(jì)算機(jī)網(wǎng)絡(luò)(lan)50和廣域計(jì)算機(jī)網(wǎng)絡(luò)(wan)。這種網(wǎng)絡(luò)用于企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和內(nèi)部公司網(wǎng)絡(luò)內(nèi)，并且通常訪問互聯(lián)網(wǎng)。在lan或wan網(wǎng)絡(luò)中，個(gè)人電腦20通過網(wǎng)絡(luò)適配器或網(wǎng)絡(luò)接口51連接至局域網(wǎng)50。在使用網(wǎng)絡(luò)時(shí)，個(gè)人電腦20可以使用調(diào)制解調(diào)器54或其他模塊，用于提供與廣域計(jì)算機(jī)網(wǎng)絡(luò)(例如，互聯(lián)網(wǎng))的通信。作為內(nèi)部或外部裝置的調(diào)制解調(diào)器54由串行端口46連接至系統(tǒng)總線23。應(yīng)注意的是，網(wǎng)絡(luò)連接僅僅是實(shí)例，并且不需要描述網(wǎng)絡(luò)的精確配置，即，實(shí)際上，具有其他方式來由技術(shù)通信模塊在計(jì)算機(jī)之間建立連接。

在各個(gè)方面，在本文中描述的系統(tǒng)和方法可以以硬件、軟件、固件或其任何組合實(shí)現(xiàn)。如果以軟件實(shí)現(xiàn)，則可以儲(chǔ)存所述方法，作為在永久性計(jì)算機(jī)可讀介質(zhì)上的一個(gè)或多個(gè)指令或代碼。計(jì)算機(jī)可讀介質(zhì)包括數(shù)據(jù)存儲(chǔ)器。通過實(shí)例，而非限制性地，這種計(jì)算機(jī)可讀介質(zhì)可以包括ram、rom、eeprom、cd-rom、閃速存儲(chǔ)器或其他類型的電氣、磁性或光學(xué)儲(chǔ)存介質(zhì)、或可以用于通過指令或數(shù)據(jù)結(jié)構(gòu)的形式攜帶或儲(chǔ)存期望的程序代碼并且可以由通用計(jì)算機(jī)的處理器訪問的任何其他介質(zhì)。

在各個(gè)方面，可以在模塊方面尋址在本公開中描述的系統(tǒng)和方法。在本文中使用的術(shù)語“模塊”表示使用硬件實(shí)現(xiàn)的元件的實(shí)際裝置、元件或設(shè)置，例如，通過專用集成電路(asic)或現(xiàn)場可編程陣列(fpga)，或者作為硬件和軟件的組合，例如，通過微處理器系統(tǒng)和實(shí)現(xiàn)模塊功能的一組指令，這組執(zhí)行(在執(zhí)行時(shí))將微處理器系統(tǒng)傳輸?shù)綄Ｓ醚b置內(nèi)。還可以實(shí)現(xiàn)模塊，作為這兩者的組合，僅僅由硬件促進(jìn)某些功能，并且由硬件和軟件的組合促進(jìn)其他功能。在某些實(shí)現(xiàn)方式中，至少一部分并且在某些情況下所有模塊可以在通用計(jì)算機(jī)的處理器(例如，上面在圖3更詳細(xì)描述的處理器)上執(zhí)行。因此，每個(gè)模塊可以在各種合適的配置中實(shí)現(xiàn)，并且不應(yīng)限于在本文中例證的任何特定實(shí)現(xiàn)方式。

為了清晰起見，在本文中并未公開這些方面的所有例行特征。要理解的是，在本公開的任何實(shí)際實(shí)現(xiàn)方式的發(fā)展中，必須做出多個(gè)實(shí)現(xiàn)方式特有的決策，以便實(shí)現(xiàn)開發(fā)人員的特定目的，并且這些特定目的對(duì)于不同的實(shí)現(xiàn)方式和不同的開發(fā)人員變化。要理解的是，這種開發(fā)工作可能復(fù)雜并且耗時(shí)，然而，對(duì)于具有本公開的優(yōu)點(diǎn)的本領(lǐng)域的技術(shù)人員，是例行的工程事業(yè)。

而且，要理解的是，在本文中使用的措辭或術(shù)語用于描述而非限制的目的，使得本說明書的措辭或術(shù)語要由本領(lǐng)域的技術(shù)人員根據(jù)本文中呈現(xiàn)的教導(dǎo)內(nèi)容和指導(dǎo)結(jié)合相關(guān)領(lǐng)域的技術(shù)人員的知識(shí)解釋。而且，在本說明書或權(quán)利要求中的任何術(shù)語并非旨在歸結(jié)于罕有的或特殊的意義，除非這樣明確陳述。

在本文中公開的各個(gè)方面包括在本文中通過說明的方式引用的已知模塊的現(xiàn)有和未來已知的等同物。而且，雖然示出和描述了方面和應(yīng)用，但是對(duì)于具有本公開的優(yōu)點(diǎn)的本領(lǐng)域的技術(shù)人員，在不背離在本文中公開的概念的情況下，顯然可以具有比上述修改更多的修改。