專利名稱:檢測和控制欺詐性登錄行為的用戶認(rèn)證系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及檢測和控制欺詐性登錄行為的系統(tǒng)和方法�。本發(fā)明也涉 及用于檢測和控制欺詐性登錄行為的計算機程序產(chǎn)品。
背景技術(shù):
目前大量的日常工作在網(wǎng)絡(luò)上完成���,如因特網(wǎng)或通常連接到因特網(wǎng)
的局域網(wǎng)(LAN)��。結(jié)果�����,用戶越來越多地需要登錄到連接到這樣的網(wǎng) 絡(luò)的服務(wù)器�����。對于很多服務(wù)器管理員而言�����,要優(yōu)先考慮服務(wù)器入侵和數(shù) 據(jù)竊取的威脅��。由此帶來的結(jié)果是很多人在能夠使用服務(wù)器提供的資源 之前需要通過認(rèn)證過程����。與丟失密碼相關(guān)的不便和時間損失已經(jīng)眾所周 知。然而對于服務(wù)器管理員而言需要維持適當(dāng)級別的安全性��,特別是在 入侵者變得日益老練的情況下��。
目前有各種基于網(wǎng)絡(luò)的應(yīng)用可以提供用戶認(rèn)證���。最常見的情況是現(xiàn) 有基于網(wǎng)絡(luò)的應(yīng)用檢查用戶標(biāo)識和密碼���。進一步的發(fā)展提供在預(yù)定次數(shù) 的失敗的用戶登錄嘗試后阻止用戶訪問和/或向已經(jīng)忘記用戶標(biāo)識和/或 密碼的用戶提供某些手段重新得到這些信息。這些手段經(jīng)常采取用戶已 經(jīng)提供了答案的問題的形式��。這些方式公知為密碼提示并且目前廣泛使 用����。這種類型系統(tǒng)的一個可能的問題與方便性有關(guān)。如果用戶在一次或 兩次提供了不正確的密碼和/或標(biāo)識后必須回答問題�����,這對于用戶可能很 麻煩��。另一方面����,允許太多次地輸入不正確的密碼和/或標(biāo)識而不采取保 護性措施可能犧牲被訪問的計算機系統(tǒng)的安全性。
另一種控制訪問的方式是通過使用反向圖靈測試或RTT�。這些測試 強制要求人類參與并且意在由此禁止自動化程序或腳本的訪問。這種測 試的一個例子是顯示若干符號的變形代碼并要求用戶輸入該代碼�。所述 變形代碼不被自動化程序或腳本識別。RTT對于防御計算機化的攻擊特
別有用����。然而,RTT不可能辨別計算機的人類用戶有多大的可能性是該 計算機的授權(quán)用戶��。其原因是任何人類用戶都能識別所述變形代碼�����。因 此這樣的RTT有可能被人類用戶的團隊攻擊。而且也不能為在一段時間 里都正確登錄的可信用戶調(diào)整使用方便性����。
國際專利出版物WO 01/90859 A1公開了 一種自適應(yīng)多級認(rèn)證系統(tǒng)。 該系統(tǒng)提供只有用戶從新環(huán)境里嘗試連接時才使用的次級認(rèn)證�。為每個 用戶保留用戶/使用配置文件,并且將用戶登錄信息與特定用戶的用戶/ 使用配置文件的信息相比較�����,用戶/使用配置文件中包含用戶曾用以建立 帳戶的全部用戶信息并且使用配置文件還詳細(xì)規(guī)定用戶的訪問模式�。計 算當(dāng)前用戶登錄位置的可信級別并且該發(fā)明確定是否需要向用戶提出任 何附加的問題。
美國專利出版物US 2002/0112184 Al公開了能夠用于監(jiān)控嘗試入侵 訪問系統(tǒng)的系統(tǒng)�����。該系統(tǒng)檢測到訪問系統(tǒng)中的訪問系統(tǒng)事件并且確定是 否所述訪問系統(tǒng)事件是被監(jiān)控的類型����。如果所述訪問系統(tǒng)事件是被監(jiān)控 的類型,系統(tǒng)報告有關(guān)所述訪問系統(tǒng)事件的信息�。在一種實現(xiàn)中,訪問 系統(tǒng)包括身份管理和訪問管理功能性��。在另一個實施例中���,訪問系統(tǒng)包 括訪問管理功能性并且不包括身份管理功能性����。訪問系統(tǒng)事件可以是認(rèn) 證成功事件,認(rèn)證失敗事件�����,或其他適當(dāng)?shù)氖录?br>
國際專利出版物WO 01/22201 Al公開了在加密系統(tǒng)中對環(huán)境敏感 的動態(tài)認(rèn)證�。其公開了為第二用戶執(zhí)行第一用戶認(rèn)證的系統(tǒng)��,所述系統(tǒng) 包括第一用戶提交多個認(rèn)證數(shù)據(jù)實例的能力�,所述多個認(rèn)證數(shù)據(jù)實例被 評估并且隨后用于產(chǎn)生所要求的所述第一用戶身份的整體置信級別。根 據(jù)以下情況評估單個認(rèn)證實例第 一用戶在認(rèn)證過程中提供的用戶和第 一用戶在注冊過程中提供的數(shù)據(jù)的匹配程度�;所使用的認(rèn)證技術(shù)固有的 可靠性;第一用戶產(chǎn)生認(rèn)證數(shù)據(jù)的周圍環(huán)境���;以及第一用戶產(chǎn)生注冊數(shù) 據(jù)的周圍環(huán)境���。該置信級別與至少部分地基于第二用戶的要求的所需信 任級別相比較,并且認(rèn)證結(jié)果基于該比較����。
上述出版物的 一個特別的問題是均未提供這樣的裝置�����,使已建立的 可信用戶與相對新的并且可能不可信的用戶或用戶群組相比能夠體驗到
方便的登錄過程����。
發(fā)明內(nèi)容
本發(fā)明是基于提供能夠隨著可信用戶增加他的或她的成功登錄嘗試 的次數(shù)可以自動地自我調(diào)整以提供更高級別的安全性的登錄過程的需 要��。本發(fā)明通過分析登錄嘗試的連續(xù)模式實現(xiàn)這一點����。如果用戶是可信 的,所述連續(xù)模式將以預(yù)期的方式改變��。本發(fā)明利用這點�����,將用戶認(rèn)證 系統(tǒng)調(diào)整為隨著在連續(xù)模式中 一個或多個模式特征以特定方式改變而降 低對登錄失敗的容忍度����。
結(jié)果,如果未授權(quán)用戶嘗試進行訪問���,所述模式特征會以不同的方 式改變�����,表明未經(jīng)授權(quán)的訪問并且觸發(fā)系統(tǒng)的保護動作�����。
例如�����,隨著可信用戶對密碼和/或用戶名或代碼越來越熟悉�,連續(xù)模 式將顯示不成功登錄的次數(shù)減少�����。在此情況下相關(guān)特征將與登錄成功或 失敗的概率有關(guān)�����。
在本發(fā)明范圍內(nèi)的另 一個例子中����,相關(guān)特征可能與登錄嘗試的速度 有關(guān)。當(dāng)授權(quán)用戶作出登錄嘗試時�,該登錄嘗試速度相對穩(wěn)定����,變動很 小��。而登錄嘗試速度突然提高可能表明在未授權(quán)訪問點的可能嘗試�����。檢 測到提高的登錄嘗試速度時���,可以根據(jù)提高的級別觸發(fā)某種形式的保護 動作���。
由此根據(jù)本發(fā)明提供了 一種適用于檢測和控制潛在欺詐性登錄行為 的用戶認(rèn)證系統(tǒng)。所述系統(tǒng)包括配置用于記錄登錄嘗試并檢測登錄嘗試 結(jié)果模式的模式記錄模塊��。分析模塊可操作地連接到所述模式記錄模塊 并配置用于確定是否所述模式具有一個或多個異常模式范圍的指示�。動 作模塊可操作地連接到所述分析模塊并配置用于執(zhí)行一個或多個動作。 這些動作包括如果所述模式具有預(yù)定的異常模式范圍的指示�����,為后續(xù)模 式調(diào)整異常模式范圍的指示的閾值��。
優(yōu)選地,所述動作模塊配置為記錄異常模式���,或者掛起密碼提示功 能的操作���,或者如果所述模式具有異常模式范圍的指示則取消登錄訪問。
模式記錄模塊優(yōu)選地對預(yù)定次數(shù)的登錄嘗試的每次登錄嘗試的至少一個結(jié)果求和��。模式記錄模塊也優(yōu)選地計算進行所述預(yù)定次數(shù)的登錄嘗 試所用時間的長度���。模式記錄模塊優(yōu)選地根據(jù)所述時間的長度產(chǎn)生校準(zhǔn) 因子���。所述模式記錄模塊也優(yōu)選地通過將所述校準(zhǔn)因子應(yīng)用于每組多次 登錄嘗試的所述至少一個結(jié)果的和而計算對應(yīng)于所述至少一個結(jié)果的概 率的概率值。
所述分析模塊優(yōu)選地確定是否所述概率值由于在概率值的第 一范圍 內(nèi)而成為第一異常模式范圍的指示���,或者由于在概率值的第二范圍內(nèi)而 成為第二異常模式范圍的指示,或者由于在概率值的第三范圍內(nèi)而成為 第三異常模式范圍的指示���。
根據(jù)上述系統(tǒng)的配置���,本發(fā)明也擴展到檢測和控制潛在欺詐性登錄 4亍為的方法。
根據(jù)上述系統(tǒng)的配置����,本發(fā)明也擴展到用于檢測和控制潛在欺詐性 登錄行為的計算機程序產(chǎn)品���。
現(xiàn)在參考附圖描述本發(fā)明的 一個或多個優(yōu)選的實施例。下文描述僅 為示例目的并且并非意在以任何方式限制本發(fā)明的范圍�����。
為了幫助更全面地理解本發(fā)明�,現(xiàn)在參考附圖。這些附圖僅為示例 的目的��,不能理解為限制本發(fā)明���。
圖1一般地示出了根據(jù)本發(fā)明的適用于檢測和控制潛在欺詐性登錄
行為的用戶認(rèn)證系統(tǒng)的 一 個實施例�����;
圖2示出了表明根據(jù)本發(fā)明的適用于檢測和控制潛在欺詐性登錄行 為的計算機程序產(chǎn)品的 一 個實施例的操作的流程圖3示出了表明根據(jù)本發(fā)明的適用于檢測和控制潛在欺詐性登錄行 為的計算機程序產(chǎn)品的另 一個實施例的操作的流程圖4示出了表明根據(jù)本發(fā)明的計算機程序產(chǎn)品的一個實施例所確定 的模式特征的閾值的示圖����,所述鬧值可表明是否所述模式特征是異常模 式的指示���;以及
圖5示出了表明根據(jù)本發(fā)明的計算機程序產(chǎn)品的一個不同實施例所
確定的模式特征的閾值的示圖�,所述闊值可表明是否所述模式特征是異 常模式的指示。
具體實施例方式
本發(fā)明的一個方面是適用于檢測和控制潛在欺詐性登錄行為的用戶 認(rèn)證系統(tǒng)��。
廣義地�����,所述系統(tǒng)包括記錄登錄嘗試并檢測登錄結(jié)果模式的模式記 錄模塊�。所述系統(tǒng)還包括分析模塊,其連接到所述模式記錄模塊�����,用于 確定是否所述模式具有一個或多個異常模式范圍的指示����。動作模塊連接 到所述分析模塊以執(zhí)行若干動作。所述動作包括如果所述模式具有預(yù)定 的異常模式范圍的指示則調(diào)整后續(xù)模式的異常模式范圍的指示的閾值����。
本發(fā)明的其他方面是用于檢測和控制潛在欺砟性登錄行為的方法和 計算機程序產(chǎn)品���。所述方法可以由所述系統(tǒng)或所述計算機程序產(chǎn)品實現(xiàn)��。
以下描述的優(yōu)選實施例在服務(wù)器上實現(xiàn)���。多個工作站通過因特網(wǎng)連 接到服務(wù)器����。然而可以容易地理解�,本發(fā)明的其他實施例可以完全地在 安全的工作站內(nèi)或在其他形式的數(shù)據(jù)處理裝置內(nèi)實現(xiàn)。
本發(fā)明的系統(tǒng)�����、方法和計算機程序產(chǎn)品提供對登錄行為的漸進控制��。 例如����,如果檢測到的異常模式范圍的連續(xù)指示少于預(yù)定數(shù)量,所述系統(tǒng) 可以更新用于確定這些異常模式范圍指示存在的閾值���。其結(jié)果是所述系 統(tǒng)被設(shè)計為隨著檢測到異常模式范圍內(nèi)的更多模式而降低對登錄失敗的 容忍度�����。
這意味著所述系統(tǒng)能夠隨著特定用戶對登錄過程變得更熟悉而自動 的自我配置�。結(jié)果����,所述系統(tǒng)在變得越來越有可能發(fā)現(xiàn)欺詐性登錄行為 的同時保證便于使用���。而且,由于系統(tǒng)固有地以基本不可確定的方式改 變�,入侵攻擊將難以進行。
本說明書以下剩余部分通過參照附圖描述本發(fā)明的一個優(yōu)選實施例 而促進對本發(fā)明的理解�。
在圖1中,參考標(biāo)號IO—般地表示根據(jù)本發(fā)明的適用于檢測和控制
潛在欺詐性登錄行為的用戶認(rèn)證系統(tǒng)的 一個實施例���。
系統(tǒng)10包括認(rèn)證服務(wù)器12�����。認(rèn)證服務(wù)器12執(zhí)行根據(jù)本發(fā)明的計算 機程序產(chǎn)品或軟件程序的實施例��,其在圖中以標(biāo)號14表示并在下文進一 步詳述����。
系統(tǒng)10支持網(wǎng)絡(luò)���。因此認(rèn)證服務(wù)器12可以連接到網(wǎng)絡(luò)16。網(wǎng)絡(luò)16 可以是任何網(wǎng)絡(luò)包括無線網(wǎng)絡(luò)�����。在本實施例中網(wǎng)絡(luò)16是因特網(wǎng)。然而可 以理解�����,網(wǎng)絡(luò)16可以是廣域網(wǎng)(WAN)或局域網(wǎng)(LAN)���。
工作站18以多種不同的方式連接到網(wǎng)絡(luò)16�。如在20處所示����,單個 工作站18.1為單個用戶22提供到網(wǎng)絡(luò)16的連接。在24處����,單個工作 站18.2為用戶群組26提供到網(wǎng)絡(luò)16的連接。在28處��,多個工作站18.3 為各個用戶30提供到網(wǎng)絡(luò)16的連接�����。
系統(tǒng)10對用戶22�、群組26或各個用戶30進行^人證�����。特別地����,認(rèn) 證服務(wù)器12對關(guān)于諸如服務(wù)器12的應(yīng)用或數(shù)據(jù)庫之類的資源32或者不 同的服務(wù)器36的資源34的使用進行認(rèn)證�����。認(rèn)證服務(wù)器12具有用于記錄 用戶在20���、 24或28處進行的登錄嘗試的模式記錄模塊38��。模式記錄模 塊38檢測成功嘗試或不成功嘗試形式的登錄嘗試結(jié)果的模式�����。
認(rèn)證服務(wù)器12具有連接到模式記錄模塊38的分析模塊40�。分析模 塊40確定是否所述模式具有至少一個異常指示�����。動作模塊42連接到分 析模塊40并且執(zhí)行若干動作�����,包括如果所述模式具有預(yù)定的異常指示�, 為后續(xù)模式調(diào)整該異常模式或每個異常指示的閾值。
服務(wù)器12執(zhí)行軟件程序14以調(diào)用模塊38��、 40和42��。圖2示出了 模塊38���、 40和42,其中參考標(biāo)號50 —般地表示軟件程序14的流程圖����。
在步驟52��,軟件程序14為用戶或每個用戶記錄登錄嘗試并且啟動 登錄嘗試計數(shù)器(i)��。在步驟54���,程序14詢問登錄是否成功并且在步 驟56記錄失敗而在步驟58記錄成功��。
在步驟60����,程序14詢問登錄嘗試計數(shù)器(i)是否已經(jīng)達到預(yù)定值 (n)。 (n)的適當(dāng)值的例子在20到30之間�。本發(fā)明人發(fā)現(xiàn)25是特別適 當(dāng)?shù)闹怠1景l(fā)明人發(fā)現(xiàn)所述值太低可能導(dǎo)致并不能代表登錄行為的模式�, 而所述值太高可能導(dǎo)致需要太長時間產(chǎn)生的模式,因此禁止模式分析的 有效反饋����。如果步驟60的詢問返回值為假,登錄嘗試計數(shù)器(i)在步
驟61迭代并且控制過程回到步驟52�。如果步驟60的詢問返回值為真, 啟動一個模式計數(shù)器(j)并且控制過程進入步驟62以確定成功和不成 功登錄嘗試的模式的特征�。應(yīng)當(dāng)理解所述特征可以是多個不同統(tǒng)計分析 的結(jié)果。然而在本實施例中為易于理解�,所述特征優(yōu)選地是單個數(shù)字。 從下文可見����,可以容易地使用登錄成功或失敗的概率值(Pj)。
隨后控制過程進入步驟64,通過將校準(zhǔn)因子(Cj)應(yīng)用于所述特征 而使所述特征歸一化����。必須對所述特征進行歸一化以考慮可能影響該特 征的條件。例如��,認(rèn)證系統(tǒng)IO對于經(jīng)常用戶的失敗登錄嘗試的容忍度與 對非經(jīng)常用戶失敗登錄嘗試的容忍度相比應(yīng)當(dāng)更低。這樣�����,(Cj)可以以 被選擇為具有"經(jīng)常用戶levy"的形式����,并且可以與進行預(yù)定次數(shù)的登 錄嘗試所用的時間相關(guān)���。下文將對此進一步說明����。
在步驟66�,程序14詢問是否所述歸一化特征是異常模式范圍的指 示??梢詫⑺鲋甘九渲脼楸砻魇欠袼瞿J皆谔囟ǖ漠惓DJ椒秶鷥?nèi)。 如果所述詢問返回值為假�,在步驟67迭代(j)后控制過程回到步驟52 以記錄登錄嘗試,所述(j)是模式(無論是否異常)的計數(shù)����。如果所述 詢問返回值為真,在步驟68����,程序14記錄異常模式Pk并且啟動異常模 式的異常模式計數(shù)器(k)����。虛線示出的是可能的附加功能�����,在步驟69����, 程序14可以向管理員提示異常模式。這是可選的步驟�,因為管理員可以 通過查看步驟68產(chǎn)生的日志識別異常模式。
在步驟70,程序14詢問是否Z大于某個值�。可以配置所述值以適 合不同的安全性環(huán)境��。例如在安全性最高的應(yīng)用中(例如政府���、軍隊����、 情報機關(guān))���,Z=0���,使得第一異常模式觸發(fā)保護動作�。在安全性中等的應(yīng) 用中(如財務(wù)應(yīng)用)�,Z=l,使得第二異常模式觸發(fā)保護動作���。在安全性 較低的應(yīng)用中(諸如因特網(wǎng)帳戶和忠誠度方案的"日常"型應(yīng)用)�����,Z=2, 使得第三異常模式觸發(fā)保護動作。
如果詢問返回的值為假����,在步驟74調(diào)整異常模式范圍的指示的閾 值,k在步驟73遞增����,并且控制過程回到步驟52。如果詢問返回的值為 真��,程序14在步驟72執(zhí)行保護動作���。如下文所述���,保護動作的級別可 以取決于所述指示代表的是哪一個特定的^^莫式范圍�����。這可以通過提供指
示的其他閾值實現(xiàn)�����?���?梢岳斫庖部梢栽诓襟E74調(diào)整所述閾值�����。
在控制過程從步驟66和步驟72回到步驟52的各種情況下�����,在步驟
71登錄嘗試計數(shù)器(i)重置為零以便能夠產(chǎn)生新的模式��。
從圖2可見����,軟件程序14包括模式記錄模塊38,分析模塊40和動
作模塊42�����。
在圖3中�,參考標(biāo)號80—般地表示根據(jù)本發(fā)明的計算機程序產(chǎn)品或 軟件程序82 (圖1 )的另一個實施例的流程圖�����。服務(wù)器12執(zhí)行程序82�����。 程序82和程序14 一樣也包括模式記錄模塊38,分析模塊40和動作模 塊42�����。
在步驟84����,當(dāng)用戶嘗試登錄服務(wù)器12或不同的服務(wù)器3 6控制的系 統(tǒng)時���,程序82在步驟86記錄所述登錄嘗試���。程序82還啟動登錄嘗試計 數(shù)器(i)�。在步驟88,程序82為登錄嘗試設(shè)置時間戳�����。在步驟90�,程 序82詢問登錄嘗試是否成功。如果所述詢問返回值為假���,所述程序在步 驟92將不成功的嘗試記錄為Ui)����。如果所述詢問返回值為真���,所述程 序在步驟94將成功的嘗試記錄為(Si)����。
在步驟96,所述程序詢問是否所述登錄嘗試計數(shù)器(i)大于預(yù)定 的值(n)���。如上文所述�����,已經(jīng)發(fā)現(xiàn)值(n)的適當(dāng)范圍為20到30之間�����。 已經(jīng)發(fā)現(xiàn)25特別^^適���。如果所述詢問逸回值為假�����,程序82在步驟98 將登錄嘗試計數(shù)器(i)遞增并且在步驟86記錄下一個登錄嘗試���。如果 所述詢問返回值為真,程序82在步驟IOO計算時間間隔(Atj)并且啟
動模式計數(shù)器(j)�����。
控制過程隨后進入步驟102,其中程序82計算(Gj),其中Gj= ( △ tj)/n,即登錄速度�����。在步驟102��,所述程序還根據(jù)Gj設(shè)置校準(zhǔn)因子Cj���。
在步驟104,所述程序計算上文所述的模式特征��。在本實施例中����, 所述模式特征是以校準(zhǔn)因子Cj歸一化的登錄成功的概率Pj����。這樣,在沒 有歸一化的情況下���,如果巧=1,所有登錄嘗試都成功并且如果Pj-O,所 有登錄嘗試都不成功�。
回到步驟102,發(fā)明人已經(jīng)確定如果Q是1天�����,則Cj的適當(dāng)值是 1.0±10%����。如果Gi小于l天,即用戶1天內(nèi)登錄若干次���,則Cj的適當(dāng)
值是0.8±5%����。如果Gj大于l周,則Cj的適當(dāng)值是1.2±15%����。如果Gj 大于2周,則Cj的適當(dāng)值是1.4±20%����。
作為一般規(guī)則,如果G大于1天�����,C的近似值可以通過公式01 + (G/35 )求得��。
其結(jié)果是Cj等于"經(jīng)常用戶levy"����。 Cj的值基于如下推理如果所 述用戶或用戶群組是可信的而不是非可信的用戶或用戶群組,用戶或用 戶群組嘗試登錄越頻繁�,發(fā)生登錄失敗的可能性越小。
這樣在步驟104�,程序82通過對成功登錄嘗試(Si)求和并將結(jié)果 除以登錄嘗試總和如25,在將結(jié)果乘以Cj來計算Pj�。
控制隨后進入詢問步驟106,其中程序82詢問Pj是否大于Wj��。 Wj 是被選擇用于檢測略有異常的模式的閾值��。 一個示例的值是0.9���。然而可 以理解,根據(jù)程序82的應(yīng)用可以選擇其他的值����。例如,需要犧牲用戶方 便而得到更高安全性的情況下�,可以選擇較高的值如0.95。在需要較低 的安全性以滿足用戶方便的情況下��,可以選擇較低的值如0.85,或者甚 至選擇更低的值�。
如果所述詢問返回的值為假,程序82在步驟108記錄異常模式Pk�。 程序82在步驟124遞增K。
在步驟110,程序82詢問k是否大于z��。 z代表異常模式檢測的不 可接受的最小次數(shù)��,所述最小次數(shù)保證進行調(diào)整使程序82對登錄失敗的 容忍度降低��。
如果所述詢問返回的值為真,程序82在步驟112詢問是否Pk大于 Yk但小于Xk,這將表明需要至少初始保護動作的異常性級別��。如果所述 詢問返回的值為真����,在步驟114程序82掛起密碼提示功能的操作以加強 安全性,并且在步驟117使模式計數(shù)器(j)遞增并在步驟119將登錄嘗 試計數(shù)器(i)設(shè)置為零后�����,隨后使控制過程回到步驟84��。如果所述詢 問返回的值為假����,則表明更高級別的異常性,程序82在步驟116取消訪 問��。
回到詢問步驟106,如果所述詢問返回的值為真����,程序82在步驟118 詢問在產(chǎn)生前述模式后所述密碼提示功能是否已經(jīng)被掛起。如果所述詢問返回的值為真�,程序82在步驟120取消所述密碼提示功能操作的掛起, 并且在將模式計數(shù)器(j)遞增并將登錄嘗試計數(shù)器(i)重置為零后使 控制過程回到步驟84����。如果詢問返回的值為假��,則在將模式計數(shù)器(j) 遞增并將登錄嘗試計數(shù)器(i)重置為零后使控制過程回到步驟84。
回到詢問步驟110,如果所述詢問返回的值為假���,程序82在步驟122 調(diào)整閾值Wj, Xk和Yk�。在本實施例中所述閾值被提高��。例如所述閾值 可以提高5%到15%并且更特別地可以提高10%��。其原因是對于特定的 用戶�,當(dāng)異常模式次數(shù)低于某個閾值時,向上調(diào)整所述閾值可能含蓋用 戶或群組的登錄學(xué)習(xí)曲線�。然而,在所述用戶或群組并不可信的情況下�, 這種調(diào)整可能增加在z迭代后查詢110返回真值的可能性。由于由此可 能禁止未經(jīng)授權(quán)的訪問��,這種情況是希望看到的�����。
在圖4中����,參考標(biāo)號130 —般地表示示出閾值Wj��, Xk和Yk的使用 的圖����。如果Pj在區(qū)域132內(nèi)(大于Wj),則所述模式可以被認(rèn)為是正常 的并且不調(diào)用動作模塊42�����,除非在步驟120有必要取消密碼提示功能操 作的掛起�。如果Pj在區(qū)域134內(nèi)(小于Wj),則Pj是第一范圍的指示, 在第一范圍中所述模式可被認(rèn)為是略有異常并且程序82記錄所述異常 模式Pk��。如果Pk在范圍136內(nèi)(在Yk和Xk之間)����,則Pj是第二范圍的 指示,在第二范圍中所述模式可以被認(rèn)為是中等嚴(yán)重�,要求至少部分保 護動作,并且程序82在步驟114掛起密碼提示功能的操作�����。如果Pj在 區(qū)域138內(nèi)(小于Yk),則Pj是第三范圍的指示����,在第三模式中所述模 式可被認(rèn)為非常嚴(yán)重���,要求完全的保護動作并且程序82在步驟116取消 訪問。
程序82因此能夠在檢測到預(yù)定次數(shù)的異常登錄的情況下調(diào)整閾值 Wj, Xk和Yk�����??梢岳斫膺@允許程序82固有地區(qū)分可信和非可信的用戶 或用戶群組��。其原因是程序82能夠不斷的降低對登錄失敗的容忍度�����。
可以理解���,可以使用很多其他統(tǒng)計特征分析所述模式����。 一種可能的
功登錄的次數(shù)相關(guān)聯(lián)�����。換言之,在步驟104,不是對成功登錄(Si)求和��, 而是對不成功登錄(Ui)求和并除以總登錄次數(shù)�����。 在上述實施例中���,閾值Wj�, Xk和Yk可以是下限閾值而不是上限閾 值�。因此,確定異常模式范圍的指示的范圍可以如圖5所示���, 一般地以 參考標(biāo)號140示出��。特別地����,如果Pj在范圍142 (小于Wj)內(nèi)��,則所述 模式可以被認(rèn)為是正常的并且不調(diào)用動作模塊42,除非需要在步驟120 取消密碼提示功能操作的掛起�����。如果P」在范圍144(大于Wj)內(nèi),則其 為異常模式的指示并且程序82記錄異常模式Pk�����。如果Pk在范圍146內(nèi) (在Xk之Yk間)���,則其為中等嚴(yán)重異常性的指示�����,并且程序82在步驟 114掛起密碼提示功能的操作�����。如果Pj在范圍148內(nèi)(大于Yk),則其 為非常嚴(yán)重異常性的指示�����,并且程序82在步驟116取消訪問�。可以理解 能夠調(diào)整圖3所示的流程圖以示出本實施例的操作���。
同樣在該替代性實施例中�����,Cj的值是Gj的函數(shù)�����,可以選擇Cj,使Gj 越低時Cj相應(yīng)地越高��。相對于使用登錄成功的和���,這反映了 "levy",相 對于非可信用戶或群組����,可信用戶在更短時間段內(nèi)登錄失敗的可能性降 低���。
在更進一步的實施例中����,可以通過考慮登錄嘗試之間的時間間隔得 到相關(guān)的模式特征����,即所述特征可以代表在時間上的分布。可以繪出代 表所述分布的曲線圖�����??梢詫⑺鱿到y(tǒng)配置為根據(jù)與正常登錄嘗試的間 隔相比檢測到登錄嘗試的峰值或群集,掛起密碼提示功能的操作或者取 消訪問�?����?梢岳斫猓鄬τ诒砻骺尚庞脩舻母ig隔的登錄嘗試����,所 述峰值或群集可能代表未授權(quán)登錄的嘗試。
應(yīng)當(dāng)理解�����,根據(jù)至少一個目前優(yōu)選的實施例�,本發(fā)明包括適用于檢 測和控制潛在欺詐性登錄行為的用戶認(rèn)證系統(tǒng)���,對計算機系統(tǒng)用戶進行 認(rèn)證的方法以及計算機程序產(chǎn)品��,所述計算機程序產(chǎn)品包括計算機可用 的介質(zhì)���,所述介質(zhì)包括用于對用戶進行認(rèn)證的計算機可讀程序����?��?傊?, 這些單元可以共同地在至少 一 個運行包括所述計算機程序產(chǎn)品的優(yōu)選實 施例的適當(dāng)軟件程序的通用計算機上實現(xiàn)��。這些單元也可以在至少 一個 集成電路或至少一個集成電路的部分上實現(xiàn)���。這樣�,應(yīng)當(dāng)理解本發(fā)明可 以以硬件��、軟件或硬件和軟件的結(jié)合方式實施�。
盡管本文參照附圖描述了本發(fā)明的示例性實施例,應(yīng)當(dāng)理解�����,本發(fā)
明并不受限于這些具體的實施例����,并且本領(lǐng)域的普通技術(shù)人員可以在不 背離本發(fā)明范圍或精神的情況下對本發(fā)明作出各種其他更改和變更���。
權(quán)利要求
1.一種適用于檢測和控制潛在欺詐性登錄行為的用戶認(rèn)證系統(tǒng),包括模式記錄模塊�����,其配置用于記錄登錄嘗試并檢測登錄嘗試結(jié)果的模式�;分析模塊,其可操作地連接到所述模式記錄模塊并配置用于確定是否所述模式具有至少一個異常模式范圍的指示�����;以及動作模塊��,其可操作地連接到所述分析模塊并配置用于執(zhí)行至少一個動作�����,包括如果所述模式具有預(yù)定的異常模式范圍的指示��,為后續(xù)模式調(diào)整所述異常模式范圍或每個異常模式范圍的指示的閾值����。
2. 根據(jù)權(quán)利要求1所述的用戶認(rèn)證系統(tǒng),其中所述動作模塊配置用于在所述模式具有異常模式范圍的指示的情況下執(zhí)行至少以下動作之一記錄異常模式���;掛起密碼提示功能的操作�;以及 取消登錄訪問�。
3. 根據(jù)權(quán)利要求2所述的用戶認(rèn)證系統(tǒng),其中所述模式記錄模塊 配置用于對預(yù)定次數(shù)的登錄嘗試的每次登錄嘗試的至少一個結(jié)果求和; 計算進行所述預(yù)定次數(shù)的登錄嘗試所用時間的長度����; 根據(jù)所述時間的長度產(chǎn)生校準(zhǔn)因子;并且通過將所述校準(zhǔn)因子應(yīng)用于每組多次登錄嘗試的所述至少一個結(jié) 果的和,計算對應(yīng)于所述至少 一個結(jié)果的概率的概率值��。
4. 根據(jù)權(quán)利要求3所述的用戶認(rèn)證系統(tǒng)����,其中所述分析模塊配置 用于確定是否所述概率值由于在概率值的第一范圍內(nèi)而成為第一異常 模式范圍的指示,或者由于在概率值的第二范圍內(nèi)而成為第二異常模式 范圍的指示����,或者由于在概率值的第三范圍內(nèi)而成為第三異常模式范圍 的指示。
5. 根據(jù)權(quán)利要求4所述的用戶認(rèn)證系統(tǒng)�����,其中所述動作模塊配置用于如果所述概率值是所述第一異常;f莫式范圍的所述指示�,記錄所述異 常模式����;如果所述概率值是所述第二異常模式范圍的所述指示�����,掛起所述密碼提示功能的操作�����;如果所述概率值是所述第三異常模式范圍的所述指示����,取消訪問;并且如果小于預(yù)定數(shù)量的連續(xù)的概率值是所述第一異常模式范圍的指 示���,分別調(diào)整所述第一����、第二和第三異常才莫式范圍的所述指示的第一�、 第二和第三閾值。
6. —種登錄時認(rèn)證計算機系統(tǒng)的用戶或用戶群組的方法�����,所述方法包括以下步驟記錄登錄嘗試��; 檢測登錄嘗試的結(jié)果的模式����;分析所述模式以確定是否所述模式具有至少一個異常模式范圍的指示;以及執(zhí)行至少一個動作�����,包括如果所述模式具有預(yù)定的異常模式范圍的所述指示��,為后續(xù)模式調(diào)整所述異常模式范圍或每個異常模式范圍的 指示的閾值��。
7. 根據(jù)權(quán)利要求6所述的方法���,其中所述執(zhí)行至少一個動作的步驟包括如果所述模式具有異常模式范圍的指示�,則執(zhí)行至少以下動作之記錄異常模式����;掛起密碼提示功能的操作;以及取消登錄訪問�。
8. 根據(jù)權(quán)利要求7所述的方法,其中檢測所述模式的所述步驟包括以下步驟對預(yù)定次數(shù)的登錄嘗試的每次登錄嘗試的至少一個結(jié)果求和�����;計算進行所述預(yù)定次數(shù)的登錄嘗試所用時間的長度; 根據(jù)所述時間的長度產(chǎn)生校準(zhǔn)因子�;并且 通過將所述校準(zhǔn)因子應(yīng)用于每組多次登錄嘗試的所述至少 一 個結(jié) 果的和,計算對應(yīng)于所述至少 一個結(jié)果的概率的概率值�。
9. 根據(jù)權(quán)利要求8所述的方法,其中分析所述模式的步驟包括確 定是否所述概率值由于在概率值的第一范圍內(nèi)而成為第 一異常模式范 圍的指示��,或者由于在概率值的第二范圍內(nèi)而成為第二異常模式范圍的 指示���,或者由于在概率值的第三范圍內(nèi)而成為第三異常模式范圍的指 示�。
10. 根據(jù)權(quán)利要求9所述的方法����,其中所述執(zhí)行至少一個動作的步 驟包括以下步驟 -如果所述概率值是所述第一異常模式范圍的所述指示,記錄所述異常模式�;如果所述概率值是所述第二異常模式范圍的所述指示,掛起所述密碼提示功能的操作����;如果所述概率值是所述第三異常模式范圍的所述指示,取消訪問����;并且如果小于預(yù)定數(shù)量的連續(xù)的概率值是所述第一異常模式范圍的指 示�,分別調(diào)整所述第一��、第二和第三異常模式范圍的所述指示的第一��、 第二和第三閾值���。11一種適用于檢測和控制潛在欺詐性登陸行為的用戶認(rèn)證系統(tǒng),包括模式記錄模塊�,其配置用于記錄登錄嘗試的時間和預(yù)定次數(shù)并且檢 測所述預(yù)定次數(shù)的登錄嘗試中成功而非不成功登錄嘗試結(jié)果的模式; 分析模塊�����,其可操作地連接到所述模式記錄模塊并配置用于確定所述模式的特征����,通過將與記錄所述登錄嘗試的所用時間相關(guān)的校準(zhǔn)因子 應(yīng)用到所述特征而將所述特征歸一化,并且確定所述歸一化特征是否為 所述模式的異常模式范圍的指示�����;以及動作模塊�����,其可操作地連接到所述分析模塊并配置用于執(zhí)行至少一 個下述動作如果所述歸一化特征是異常模式范圍的指示,記錄所述模式��;以及 如果少于預(yù)定數(shù)量的以前檢測到的模式具有異常模式范圍的指示���, 調(diào)整所述異常模式范圍或每個異常模式范圍的指示的閾值�。
全文摘要
提供了適用于檢測和控制潛在欺詐性登錄行為的用戶認(rèn)證系統(tǒng)��。模式記錄模塊配置用于記錄登錄嘗試并檢測登錄嘗試結(jié)果的模式��。分析模塊可操作地連接到模式記錄模塊并配置用于確定是否所述模式具有至少一個異常模式范圍的指示����。動作模塊可操作地連接到分析模塊并配置用于執(zhí)行至少一個動作,包括如果所述模式具有預(yù)定的異常模式范圍的指示�,為后續(xù)模式調(diào)整所述異常模式范圍或每個異常模式范圍的指示的閾值。
文檔編號H04L9/32GK101207487SQ20071018661
公開日2008年6月25日 申請日期2007年11月14日 優(yōu)先權(quán)日2006年12月21日
發(fā)明者M·沃斯芒德 申請人:國際商業(yè)機器公司