專利名稱:數(shù)據(jù)處理系統(tǒng)中的威脅檢測的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般地涉及數(shù)據(jù)處理系統(tǒng)中的威脅檢測���。
背景技術(shù):
web應(yīng)用可能會遭受有意或無意的濫用和攻擊。諸如拒絕服務(wù)(DoS)���、蠻力攻擊 (brute force)或利用無邊界條件(unbounded condition)之類的應(yīng)用層攻擊通過限制應(yīng)用的可用性和完整性來影響企業(yè)��。確定問題并部署解決方案可能會非常耗時�����。當問題存在時���,應(yīng)用會繼續(xù)不可用,通常導(dǎo)致收益損失����。替代地,限制對應(yīng)用的訪問是無效的�����,因為攻擊代理可以輕松地更改位置�����,并且置于網(wǎng)絡(luò)層的任何障礙都可能對應(yīng)用的有效用戶社區(qū)產(chǎn)生巨大影響���。一般的解決方案會在發(fā)生可疑活動時瞄準網(wǎng)絡(luò)層����。但是���,如上所述���,應(yīng)用層攻擊經(jīng)常是無意的。經(jīng)常地,實施異常但非惡意行為的網(wǎng)絡(luò)蜘蛛程序(web crawler)(也稱為機器人或簡稱為bot)����、業(yè)務(wù)伙伴或用戶會造成應(yīng)用層攻擊�。了解有關(guān)攻擊者的更多信息(攻擊者經(jīng)常愿意披露此類數(shù)據(jù))會在問題解決中起到非常重要的作用���。
發(fā)明內(nèi)容
根據(jù)一個實施例,提供了一種計算機實現(xiàn)的用于解決檢測到的威脅的方法�����。所述計算機實現(xiàn)的過程接收來自請求者的請求以形成收到的請求����,提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息,使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證��,以及判定所述請求者是否為威脅����。響應(yīng)于判定所述請求者為威脅���,使用提升增量提升所述請求者的級別,其中所述使用提升增量進一步包括通過滲入到下一用戶級別或直接進入一個用戶級別之一來增加用戶身份和驗證要求��。根據(jù)另一實施例,提供了一種用于解決檢測到的威脅的計算機程序產(chǎn)品,所述計算機程序產(chǎn)品包括包含上面存儲的計算機可執(zhí)行程序代碼的計算機可記錄介質(zhì)�����,所述計算機可執(zhí)行程序代碼包括用于接收來自請求者的請求以形成收到的請求的計算機可執(zhí)行程序代碼����,用于提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息的計算機可執(zhí)行程序代碼�,用于使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證的計算機可執(zhí)行程序代碼�����,用于判定所述請求是否為威脅的計算機可執(zhí)行程序代碼���,以及用于響應(yīng)于判定所述請求為威脅,使用提升增量提升所述請求者的級別的計算機可執(zhí)行程序代碼��,其中所述用于使用提升增量的計算機可執(zhí)行程序代碼進一步包括用于通過滲入(percolate) 到下一用戶級別或直接進入一個用戶級別之一來增加用戶身份和驗證要求的計算機可執(zhí)行程序代碼���。根據(jù)另一實施例�����,提供了一種用于解決檢測到的威脅的裝置�����。所述裝置包括通信結(jié)構(gòu)、與所述通信結(jié)構(gòu)相連的存儲器(其中所述存儲器包含計算機可執(zhí)行程序代碼)、與所述通信結(jié)構(gòu)相連的通信單元、與所述通信結(jié)構(gòu)相連的輸入/輸出單元�、與所述通信結(jié)構(gòu)相連的顯示器以及與所述通信結(jié)構(gòu)相連的處理器單元,其中所述處理器單元執(zhí)行所述計算機可執(zhí)行程序代碼以引導(dǎo)所述裝置接收來自請求者的請求以形成收到的請求����,提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息,使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證����,判定所述請求是否為威脅��,以及響應(yīng)于判定所述請求為威脅,使用提升增量提升所述請求者的級別,其中所述使用提升增量進一步包括通過滲入到下一用戶級別或直接進入一個用戶級別之一來增加用戶身份和驗證要求�。
為了更全面地理解本發(fā)明�����,現(xiàn)在結(jié)合附圖��,參考下面的簡要描述以及詳細的描述, 其中相同的標號表示相同的部分。圖1是可針對本發(fā)明的各實施例運行的示例性數(shù)據(jù)處理系統(tǒng)的方塊圖�;圖2是根據(jù)本發(fā)明的各實施例的基于異常的應(yīng)用入侵檢測系統(tǒng)的流程圖��;圖3是根據(jù)本發(fā)明的一個實施例與圖2中的基于異常的應(yīng)用入侵檢測系統(tǒng)結(jié)合使用的提升增量和用戶級別的方塊圖��;圖4是根據(jù)本發(fā)明的一個實施例使用圖3中的用戶級別的阻止過程的流程圖;圖5a是根據(jù)本發(fā)明的一個實施例的圖4中的提升過程的流程圖�;以及圖5b是根據(jù)本發(fā)明的一個實施例的圖5a中的驗證過程的流程圖����。
具體實施例方式盡管下面提供了一個或多個實施例的說明性實現(xiàn)��,但是所披露的系統(tǒng)和/或方法可以使用任意多種技術(shù)來實現(xiàn)��。本發(fā)明絕不限于下面展示的說明性的實現(xiàn)、附圖和技術(shù),包括在此示出和描述的示例性設(shè)計和實現(xiàn)����,而是可以在所附權(quán)利要求及其等價物的全部范圍內(nèi)進行修改��。本領(lǐng)域的技術(shù)人員將理解�,本發(fā)明可以實現(xiàn)為系統(tǒng)����、方法或計算機程序產(chǎn)品�����。因此�����,本發(fā)明可以采取完全硬件實施例�、完全軟件實施例(包括固件��、駐留軟件��、微代碼等)或組合了軟件和硬件方面的實施例的形式�,所有這些方面在此通常被稱為“電路”���、“模塊”或 “系統(tǒng)”。此外����,本發(fā)明可以采取有形地體現(xiàn)在任何表現(xiàn)介質(zhì)(在介質(zhì)中具有計算機可用程序代碼)中的計算機程序產(chǎn)品的形式。用于執(zhí)行本發(fā)明的操作的計算機程序代碼可以使用一種或多種編程語言的任意組合來編寫,所述編程語言包括諸如Java ����、Smalltalk、C++或類似語言之類的面向?qū)ο蟮木幊陶Z言以及諸如“C”編程語言或類似的編程語言之類的常規(guī)過程編程語言�。Java和所有基于Java的商標和徽標是Sun Microsystems,公司在美國和/或其他國家/地區(qū)的商標����。所述程序代碼可以完全地在用戶計算機上執(zhí)行,部分地在用戶計算機上執(zhí)行,作為獨立的軟件包執(zhí)行�����,部分地在用戶計算機上并部分地在遠程計算機上執(zhí)行��,或者完全地在遠程計算機或服務(wù)器上執(zhí)行。在后者的情況中����,所述遠程計算機可以通過包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)的任何類型網(wǎng)絡(luò)與用戶的計算機相連�����,也可以與外部計算機進行連接(例如, 使用因特網(wǎng)服務(wù)提供商通過因特網(wǎng)連接)。下面參考根據(jù)本發(fā)明的示例性實施例的方法��、裝置、系統(tǒng)和計算機程序產(chǎn)品的流程圖和/或方塊圖對本發(fā)明進行描述�。將理解�,所述流程圖和/或方塊圖的每個方塊以及所述流程圖和/或方塊圖中的方塊的組合可以由計算機程序指令來實現(xiàn)����。
這些計算機程序指令可以被提供給通用計算機、專用計算機或其他可編程數(shù)據(jù)處理裝置的處理器以產(chǎn)生機器�����,以便通過所述計算機或其他可編程數(shù)據(jù)處理裝置的處理器執(zhí)行的所述指令產(chǎn)生用于實現(xiàn)在一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的裝置。這些計算機程序指令也可以被存儲在引導(dǎo)計算機或其他可編程數(shù)據(jù)處理裝置以特定方式執(zhí)行功能的計算機可讀介質(zhì)中,以便存儲在所述計算機可讀介質(zhì)中的所述指令產(chǎn)生一件包括實現(xiàn)在所述一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的指令裝置的制品�����。所述計算機程序指令還可被加載到計算機或其他可編程數(shù)據(jù)處理裝置����,以導(dǎo)致在所述計算機或其他可編程裝置上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的過程�,從而在所述計算機或其他可編程裝置上執(zhí)行的指令提供用于實現(xiàn)在一個或多個流程圖和/或方塊圖方塊中指定的功能/操作的過程。現(xiàn)在參考圖1�,其示出可針對本發(fā)明的各實施例運行的示例性數(shù)據(jù)處理系統(tǒng)的方塊圖���。在該所示的示例中�����,數(shù)據(jù)處理系統(tǒng)100包括通信結(jié)構(gòu)102��,所述通信結(jié)構(gòu)提供處理器單元104�����、存儲器106�、持久性存儲裝置108�、通信單元110�、輸入/輸出(I/O)單元112和顯示器114之間的通信。處理器單元104用于執(zhí)行可以加載到存儲器106內(nèi)的軟件的指令����。處理器單元 104可以是一個或多個處理器的組����,也可以是多處理器核,這取決于特定的實現(xiàn)�����。進一步地�����, 處理器單元104可以使用一個或多個異構(gòu)處理器系統(tǒng)來實現(xiàn)����,在所述異構(gòu)處理器系統(tǒng)中, 單個芯片上同時包括主處理器和從處理器�。作為另一說明性示例,處理器單元104可以是包含多個同類型處理器的對稱多處理器系統(tǒng)�����。存儲器106和持久性存儲裝置108是存儲設(shè)備116的示例��。存儲設(shè)備是能夠存儲信息的任何硬件���,所述信息例如為但不限于數(shù)據(jù)�、功能形式的程序代碼和/或其他適當?shù)呐R時和/或持久信息����。在這些示例中,存儲器106可以例如是隨機存取存儲器或其他任何適當?shù)囊资曰蚍且资源鎯υO(shè)備�����。持久性存儲裝置108可以根據(jù)特定的實現(xiàn)采取各種形式。例如�����,持久性存儲裝置108可以包含一個或多個組件或設(shè)備�。例如����,持久性存儲裝置 108可以是硬盤驅(qū)動器、閃存�����、可擦寫光盤����、可擦寫磁帶或上述元件的某種組合�。持久性存儲裝置108所使用的介質(zhì)也可以是可拆裝的�。例如,可以將可拆裝硬盤驅(qū)動器用作持久性存儲裝置108����。在這些示例中���,通信單元110提供與其他數(shù)據(jù)處理系統(tǒng)或設(shè)備的通信。在這些示例中�,通信單元110為網(wǎng)絡(luò)接口卡。通信單元110可以通過使用物理通信鏈路和無線通信鏈路中的任何一個或兩者提供通信����。輸入/輸出單元112允許與數(shù)據(jù)處理系統(tǒng)100上連接的其他設(shè)備進行數(shù)據(jù)輸入和輸出��。例如,輸入/輸出單元112可以提供連接�,用于通過鍵盤、鼠標和/或其他某種適當?shù)妮斎朐O(shè)備進行的用戶輸入�。進一步地���,輸入/輸出單元112可以將輸出發(fā)送到打印機。顯示器114提供向用戶顯示信息的裝置。操作系統(tǒng)���、應(yīng)用和/或程序的指令可以位于通過通信結(jié)構(gòu)102與處理器單元104 通信的存儲設(shè)備116中��。在這些說明性示例中��,所述指令采取位于持久性存儲裝置108中的功能形式�����。這些指令可以加載到存儲器106內(nèi)以便由處理器單元104執(zhí)行。處理器單元104可以使用計算機實現(xiàn)的指令執(zhí)行不同實施例的過程,所述指令可以位于諸如存儲器
8106之類的存儲器中�����。這些指令被稱為程序代碼�����、計算機可用程序代碼或計算機可讀程序代碼����,其可由處理器單元104中的處理器讀取和執(zhí)行�����。不同實施例中的程序代碼可以體現(xiàn)于不同的物理或有形可讀介質(zhì)���,例如存儲器106或持久性存儲裝置108中。程序代碼118采取功能形式并位于可選擇性地拆裝的計算機可讀介質(zhì)120中�����,并且可以加載或傳輸?shù)綌?shù)據(jù)處理系統(tǒng)100內(nèi)以便由處理器單元104執(zhí)行����。在這些示例中���,程序代碼118和計算機可讀介質(zhì)120構(gòu)成計算機程序產(chǎn)品122。在一個示例中���,計算機可讀介質(zhì) 120可以采取有形形式��,例如光盤或磁帶,所述光盤或磁帶被插入或放入作為持久性存儲裝置108的一部分的驅(qū)動器或其他設(shè)備���,以便傳輸?shù)街T如作為持久性存儲裝置108的一部分的硬盤的存儲設(shè)備上����。在有形形式中,計算機可讀介質(zhì)120還可以采取持久性存儲裝置的形式���,所述持久性存儲裝置例如為與數(shù)據(jù)處理系統(tǒng)100相連的硬盤�����、閃盤(thumb drive)或閃存����。計算機可讀介質(zhì)120的有形形式還被稱為計算機可記錄存儲介質(zhì)�����。在某些示例中, 計算機可讀介質(zhì)120可以是不可拆裝的�。替代地,程序代碼118可以通過與通信單元110的通信鏈路和/或通過與輸入/ 輸出單元112的連接從計算機可讀介質(zhì)120傳輸?shù)綌?shù)據(jù)處理系統(tǒng)100。在所示的示例中���,所述通信鏈路和/或連接可以是物理的或無線的。所述計算機可讀介質(zhì)還可以采取非有形介質(zhì)的形式,例如通信鏈路或包含程序代碼的無線傳輸。在某些示例性實施例中�,程序代碼118可以通過網(wǎng)絡(luò)從另一設(shè)備或數(shù)據(jù)處理系統(tǒng)下載到持久性存儲裝置108中以便在數(shù)據(jù)處理系統(tǒng)100內(nèi)使用���。例如��,服務(wù)器數(shù)據(jù)處理系統(tǒng)內(nèi)的計算機可讀存儲介質(zhì)中存儲的程序代碼可以通過網(wǎng)絡(luò)從服務(wù)器下載到數(shù)據(jù)處理系統(tǒng)100中�。提供程序代碼118的數(shù)據(jù)處理系統(tǒng)可以是服務(wù)器計算機���、客戶端計算機或其他某種能夠存儲和傳輸程序代碼118的設(shè)備��。針對數(shù)據(jù)處理系統(tǒng)100示出的不同組件并非旨在對不同實施例的實現(xiàn)方式做出體系結(jié)構(gòu)方面的限制��?���?梢栽诎ㄗ鳛獒槍?shù)據(jù)處理系統(tǒng)100所示的那些組件的補充或替代的組件的數(shù)據(jù)處理系統(tǒng)中實現(xiàn)其他說明性實施例。圖1中所示的其他組件可以不同于所示的說明性示例�����?���?梢允褂媚軌驁?zhí)行程序代碼的任何硬件設(shè)備或系統(tǒng)實現(xiàn)不同實施例���。作為一個示例�����,數(shù)據(jù)處理系統(tǒng)可以包括與無機組件集成的有機組件和/或可以完全由不包括人類的有機組件構(gòu)成���。例如�����,存儲設(shè)備可以由有機半導(dǎo)體組成�。作為另一示例�,數(shù)據(jù)處理系統(tǒng)100中的存儲設(shè)備可以是任何可以存儲數(shù)據(jù)的硬件裝置。存儲器106�����、持久性存儲裝置108和計算機可讀介質(zhì)120是采取有形形式的存儲設(shè)備的示例��。在另一示例中����,可以使用總線系統(tǒng)來實現(xiàn)通信結(jié)構(gòu)102,并且所述總線系統(tǒng)可以包括諸如系統(tǒng)總線或輸入/輸出總線之類的一條或多條總線�����。當然��,所述總線系統(tǒng)可以使用在與所述總線系統(tǒng)相連的不同組件或設(shè)備之間提供數(shù)據(jù)傳輸?shù)娜魏芜m當類型的體系結(jié)構(gòu)來實現(xiàn)�。此外,通信單元可以包括一個或多個用于發(fā)送和接收數(shù)據(jù)的設(shè)備,例如調(diào)制解調(diào)器或網(wǎng)絡(luò)適配器��。進一步地��,存儲器可以是例如可以在通信結(jié)構(gòu)102中出現(xiàn)的接口或存儲控制集線器中找到的存儲器106或高速緩沖存儲器�����。根據(jù)一個說明性實施例���,提供了計算機實現(xiàn)的用于解決檢測到的威脅的過程���。所述計算機實現(xiàn)的過程接收來自請求者的請求以形成收到的請求,提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息����,使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證,以及判定所述請求者是否為威脅��。響應(yīng)于判定所述請求者為威脅�����,使用提升增量提升所述請求者的級別�,其中所述提升進一步包括滲入到下一用戶級別和直接進入一個用戶級別。使用圖1中的數(shù)據(jù)處理系統(tǒng)100作為示例��,說明實施例提供了存儲在存儲器106 中由處理器單元104執(zhí)行的計算機實現(xiàn)的過程��,所述過程����,例如通過通信單元110或輸入/ 輸出單元112,接收來自請求者的請求以形成收到的請求�。處理器單元104提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成可以存儲在存儲設(shè)備116中的提取的統(tǒng)計信息。處理器單元104使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證��,以及判定所述請求者是否為威脅�����。響應(yīng)于判定所述請求者為威脅��,處理器單元104使用可以存儲在存儲器106或持久性存儲裝置108中的提升增量提升所述請求者�����,其中所述提升進一步包括滲入到下一用戶級別和直接進入一個用戶級別���。所述提升一般涉及增加用戶身份和驗證要求�����。在備選實施例中��,包含計算機實現(xiàn)的過程的程序代碼118可以存儲在計算機可讀介質(zhì)120內(nèi)作為計算機程序產(chǎn)品122���。在另一說明性實施例中�,可以在裝置中實現(xiàn)用于通過使用分級權(quán)重的信任斷言(trust assertion)進行訪問控制的過程���,所述裝置包括通信結(jié)構(gòu)����、與所述通信結(jié)構(gòu)相連的存儲器(其中所述存儲器包含計算機可執(zhí)行程序代碼)�、與所述通信結(jié)構(gòu)相連的通信單元、與所述通信結(jié)構(gòu)相連的輸入/輸出單元�����、與所述通信結(jié)構(gòu)相連的顯示器以及與所述通信結(jié)構(gòu)相連的處理器單元�����。所述裝置的處理器單元執(zhí)行所述計算機可執(zhí)行程序代碼以弓I導(dǎo)所述裝置執(zhí)行所述過程?���,F(xiàn)在參考圖2,其示出根據(jù)本發(fā)明的各種實施例的基于異常的應(yīng)用入侵檢測系統(tǒng)的流程圖����。檢測系統(tǒng)200是能夠逐步提升用戶級別的基于異常的應(yīng)用入侵檢測系統(tǒng)示例。 檢測系統(tǒng)200可以基于新的或現(xiàn)有的基于異常的應(yīng)用層入侵檢測系統(tǒng)�����,例如基于異常的應(yīng)用入侵檢測系統(tǒng)202����。—般的基于異常的應(yīng)用入侵檢測系統(tǒng)(APIDS)可以由基于異常的應(yīng)用入侵檢測系統(tǒng)202來代表���。例如���,基于異常的應(yīng)用入侵檢測系統(tǒng)202包括若干組件,其中包括規(guī)則生成器204�、會話跟蹤器206、活動會話和標識符數(shù)據(jù)庫208���、規(guī)則210和對策212���。規(guī)則生成器204是使用所獲取的不同格式的信息來定義可變的使用基準并產(chǎn)生規(guī)則的組件�,所述信息包括人工輸入���、使用歷史�����、預(yù)測及使用異常�。規(guī)則用于建立符合性性標準�,根據(jù)此標準,可以在開始于操作214的過程中度量有關(guān)接收來自請求者的請求以形成收到的請求216的請求��。例如,當使用網(wǎng)站時�,規(guī)則生成器204可以包括但不限于用于與頁面分發(fā)�����、響應(yīng)時間、每會話命中數(shù)以及上一頁和下一頁相關(guān)的標準的能力。會話跟蹤器206是能夠跟蹤用戶與系統(tǒng)的交互的組件���。該組件一般包括安全會話標識機制,例如��,用于與接收來自請求者的請求以形成收到的請求216關(guān)聯(lián)的web應(yīng)用的加密 cookie����?��;顒訒捄蜆俗R符數(shù)據(jù)庫208是與會話跟蹤器206協(xié)作以收集活動會話及關(guān)聯(lián)標識符的使用統(tǒng)計信息的組件示例����。例如�,標識符可以包括形式為網(wǎng)際協(xié)議地址或用戶代理標識的請求位置?��?梢詧?zhí)行提取與收到的請求關(guān)聯(lián)的統(tǒng)計信息218以提供與(在接收來自請求者的請求以形成收到的請求216中獲取的)請求會話相關(guān)的信息集合���,以便存儲。如果基于異常的應(yīng)用入侵檢測系統(tǒng)202先前將此請求者檢測為威脅��,則可在提取與收到的請求關(guān)聯(lián)的統(tǒng)計信息218的操作期間提取額外的統(tǒng)計信息����。規(guī)則210是能夠在執(zhí)行針對收到的請求的規(guī)則驗證220時將傳入請求的統(tǒng)計信息或特性及關(guān)聯(lián)標識符與現(xiàn)有規(guī)則進行比較的組件示例。執(zhí)行用于所使用的特定用戶級別的規(guī)則的選擇以識別相關(guān)規(guī)則。當獲取請求時���,通過對收到的請求執(zhí)行規(guī)則驗證220來根據(jù)預(yù)定的標準執(zhí)行比較�。在判定請求者是否為威脅222中�����,判定所述請求是否滿足預(yù)定閾值���。 當所述比較不滿足閾值時,在提升請求者的用戶級別224中����,將所述請求標記為可疑的?���?梢烧埱笠话惚环Q為威脅。提升可疑請求將創(chuàng)建用于判定請求者驗證是否成功226的新請求�����。當所述判定得出成功的結(jié)果時���,執(zhí)行針對收到的請求的規(guī)則驗證220���,然后再次判定請求者是否為威脅222�。當沒有任何威脅時�����,執(zhí)行處理請求230����,并且過程在結(jié)束232處終止。對策212是系統(tǒng)內(nèi)能夠?qū)σ炎R別的威脅做出反應(yīng)的組件示例���。對策212表示可以發(fā)生增加用戶識別和驗證要求的位置示例。例如,提供對策作為阻止該請求228��。在另一示例中���,最經(jīng)常被置于web表單中以判定用戶是否為人類并收集驗證信息的挑戰(zhàn)_應(yīng)答測試也可以作為針對可疑攻擊者或可疑用戶提供的對策?�,F(xiàn)在參考圖3���,其示出根據(jù)本發(fā)明的一個實施例與圖2中的基于異常的應(yīng)用入侵檢測系統(tǒng)結(jié)合使用的提升增量和用戶級別的方塊圖�����。提升增量300是包括不同提升級別的系統(tǒng)示例,其中每個級別需要不同于上一級別并且更具體的用戶信息�����。圖2中的檢測系統(tǒng)200檢測需要哪些級別��,所述級別具有逐漸增加的用戶信息披露和用戶驗證要求。當檢測到威脅或異常時�����,強制將用戶提升到下一級別。提升到下一級別包括增加用戶身份和驗證要求���。通過提升用戶身份和驗證要求來防御應(yīng)用層攻擊具有多個優(yōu)點���,包括強制攻擊者披露有關(guān)攻擊者的更多信息��。增加的信息通常會縮短識別攻擊者所需的時間���。由于許多應(yīng)用層攻擊是無意的�����,因此��,使用提升增量300的過程可以有效地揭露攻擊者的身份���。對應(yīng)用的其他用戶的影響可以降到最低��,因為驗證過程是非侵入式的并且集成在應(yīng)用中�。使用提升增量300使得能夠以編程的方式檢測和阻止機器人或非人類代理的未授權(quán)訪問����。所述用戶級別一般分為多個類別或用戶級別302�,包括匿名304����、跟蹤306���、認證 308���、驗證310��、信任312和阻止314���。匿名304是與其中用戶不提供有關(guān)用戶的任何特定信息的請求關(guān)聯(lián)的類別�。例如���,如果這是發(fā)往網(wǎng)站的第一個請求的話���。匿名請求被提升到跟蹤306類別��。如果請求屬于可疑組,例如與特定網(wǎng)際協(xié)議地址或用戶代理關(guān)聯(lián)的已知惡意位置���,則將所述請求提升到認證308用戶級別����。跟蹤306表示屬于在服務(wù)器層被安全跟蹤的會話的請求���。跟蹤允許檢測系統(tǒng)在特定代理使用應(yīng)用的方式中檢測異常,例如蠻力攻擊或拒絕服務(wù)攻擊����。認證308表示當針對跟蹤的請求發(fā)現(xiàn)異常時使用的跟蹤306之后的下一更高級另ij�,此時將強制代理進行認證����。認證一般要求重定向到登錄頁面��,在此要求用戶提供身份并輸入密碼�����。所述登錄頁面通常被弄混亂以阻止機器人或其他自動用戶的自動登錄。作為另一示例�,如果用戶未在系統(tǒng)中注冊,則系統(tǒng)可提供注冊選項并在此時認證用戶�����。系統(tǒng)可以執(zhí)行驗證并確保代理的注冊信息完整��。注冊過程還可要求人類用戶向系統(tǒng)提供更新的電話號碼或電子郵件地址。驗證310是當針對已認證的請求發(fā)現(xiàn)異常時使用的高于認證308的級別����。在這種情況下,用戶被提升到驗證級別�����。驗證310 —般涉及使用人類驗證工具或要求管理員或客戶服務(wù)代表對用戶進行驗證。所述工具確保呈現(xiàn)的用戶不是諸如通過腳本編寫的機器人之類的自動裝置����,并且當前訪問該帳戶的用戶是最初注冊該帳戶的用戶��,或者是最初注冊該帳戶的用戶所信任的用戶��。信任312表示這樣一種用戶級別�����,其中可信用戶是指應(yīng)用管理員已產(chǎn)生異常以始終被信任的用戶�����?�?尚庞脩艨梢源嬖谟谒屑墑e中����,例如,當匿名用戶來自與可信機器人或管理員帳戶關(guān)聯(lián)的可信網(wǎng)際協(xié)議地址時��,可信任該用戶�����。阻止314表示其中阻止用戶執(zhí)行進一步操作的用戶級別����。與信任312相同,通過管理操作將用戶設(shè)置為阻止���,所述管理操作可以是自動執(zhí)行的����,也可以不是自動執(zhí)行的��。通常�����,阻止將響應(yīng)于用戶提交被判定為威脅的請求�����。例如,當重復(fù)使用一組網(wǎng)際協(xié)議地址來攻擊某個站點時�����,屬于這些地址的所有用戶將被阻止����。級別可以提升到或者隨時被設(shè)為信任級別或阻止級別。向上提升遵循采用層次結(jié)構(gòu)的路徑�,而設(shè)為特定級別使用入口點316以便直接訪問。與不同的用戶級別關(guān)聯(lián)的安全性確定過程路徑��?���?尚庞脩艏墑e是立即被處理的。 當用戶被阻止時�,將阻止與所述用戶關(guān)聯(lián)的請求。匿名用戶立即被提升到跟蹤級別以提供附加信息����。所有其他用戶在被視為威脅時,將被提升到下一更高級別���。在采取阻止操作之前���,可給予用戶多種機會來提升。阻止操作的條件或嚴重性將由管理員或安裝定義的策略決定�。參考圖4,其示出根據(jù)本發(fā)明的一個實施例使用圖3中的提升增量的用戶級別的阻止過程的流程圖��。過程400是使用圖3中的提升增量300以及用戶級別302的用戶阻止過程的示例���。過程400開始(步驟402)并判定是否阻止請求(步驟404)���。當判定不阻止請求時,獲取“否”響應(yīng)�。當判定阻止請求時,獲取“是”響應(yīng)����。當在步驟404獲取“否”時,在該示例中將用戶級別302設(shè)為匿名304��。用戶被自動提升到跟蹤306��。當在步驟404獲取“是” 結(jié)果時���,需要執(zhí)行阻止操作并執(zhí)行阻止請求(步驟406)�,之后過程400結(jié)束(步驟418)。過程400判定請求是否為威脅(步驟408)���?���?筛鶕?jù)所跟蹤的該用戶或用戶類型的信息與先前存儲的信息的比較執(zhí)行判定���。所跟蹤信息的比較基于比較與提升增量的用戶級別關(guān)聯(lián)的預(yù)定標準��。當判定請求用戶或請求為威脅時����,獲得“是”���。當判定請求用戶或請求不是威脅時�,獲得“否”結(jié)果����。當在步驟408獲得“否”結(jié)果時,未發(fā)現(xiàn)威脅并且在處理請求 (步驟416)中執(zhí)行用戶請求���,之后過程400結(jié)束(步驟418)�����。例如���,當被跟蹤的用戶在網(wǎng)店上購物,并且用戶嘗試購買異常高數(shù)量的商品時�����,操作將觸發(fā)“威脅”結(jié)果�����。當在步驟408獲取“是”時����,執(zhí)行識別提升增量以形成已識別的提升(步驟410)。 選擇提升增量可以根據(jù)用戶級別層次結(jié)構(gòu)中的下一級別或通過安裝定義的策略做出�。例如,默認設(shè)置可以允許用戶級別向上滲入���。在另一示例中����,策略可根據(jù)給定的情況要求失敗的認證導(dǎo)致將用戶請求設(shè)為阻止。提升通常涉及增加用戶身份和驗證要求�����。執(zhí)行使用已識別的提升增量進行提升(步驟412)��。執(zhí)行的提升取決于分配給安裝或用戶管理員規(guī)范或選擇所確定的相應(yīng)用戶級別的設(shè)置�����。判定提升是否成功(步驟414)��。 當判定提升成功時,在步驟414獲得“是”結(jié)果。當判定提升未成功時�,在步驟414獲得“否” 結(jié)果。當在步驟414獲得“是”結(jié)果時,過程400循環(huán)回到步驟404,在該步驟重新評估用戶請求。
但是���,當在步驟414獲得“否”結(jié)果時,提升沒有成功并且執(zhí)行阻止請求的操作(步驟406)����,之后過程400結(jié)束(步驟418)�����。當請求提升或被設(shè)為驗證310用戶級別時�����,判定請求是否為威脅(步驟420)���。當判定請求為威脅時�����,獲得“是”結(jié)果�。當判定請求不是威脅時,獲得“否”結(jié)果�。當在步驟420 獲得“否”結(jié)果時,沒有發(fā)現(xiàn)任何威脅并且在處理請求步驟416中執(zhí)行用戶請求��,之后像上面一樣�����,過程400在步驟418結(jié)束。當獲得“是”結(jié)果時����,在阻止請求406中執(zhí)行阻止操作, 之后像上面一樣��,過程400在步驟418結(jié)束?��,F(xiàn)在參考圖5a�,其示出根據(jù)本發(fā)明的一個實施例的圖4中的提升過程的流程圖�。 過程500是與驗證過程結(jié)合的提升過程的示例。例如��,使用圖4中已識別的提升增量提升用戶級別以及通常執(zhí)行的驗證細節(jié)����。過程500開始(步驟502)并判定請求是否可信(步驟504)。當判定請求可信時����, 獲得“是”結(jié)果。當判定請求不可信時���,獲得“否”結(jié)果��。當在步驟504獲得“是”時�,執(zhí)行 “執(zhí)行請求”(步驟520),之后過程500結(jié)束(步驟534)�。當在步驟504獲得“否”時,判定是否阻止請求(步驟506)��。當判定阻止請求時��, 獲得“是”結(jié)果����。當判定不阻止請求時,獲得“否”結(jié)果�。當獲得“是”結(jié)果時,執(zhí)行阻止用戶請求(步驟508)���。執(zhí)行創(chuàng)建管理警報(步驟510),之后過程500結(jié)束(步驟534)�。創(chuàng)建管理警報將記錄阻止操作信息。例如�,管理員或自動執(zhí)行的過程可以使用管理警報日志將警報中所涉及的該用戶設(shè)為圖3中的阻止314級別。當在步驟506獲得“否”結(jié)果時��,將使用圖3中的用戶級別302進行提升����。當從圖 3中用戶級別302的匿名304級別進入時���,將自動提升到圖3中的跟蹤306級別。在跟蹤時����,執(zhí)行判定請求是否為威脅(步驟512)。當判定請求為威脅時���,獲得“是”���。當判定沒有與請求關(guān)聯(lián)的威脅時,獲得“否”���。當在步驟512獲得“是”時���,執(zhí)行增強的認證方法(步驟 514)。提升過程可以包括進一步處理在跟蹤與請求關(guān)聯(lián)的會話期間收集的信息�����。例如����,此時可能要求用戶登錄���,并通過區(qū)分計算機和人類的全自動圖靈測試(CAPTCHA)或一組安全提問以證明用戶為人類用戶,或者回答一組安全提問以支持用戶身份���。執(zhí)行判定提升是否成功(步驟516)��。判定提升成功提供“是”結(jié)果�����。判定提升未成功提供“否”結(jié)果���。當在步驟516獲得“否”結(jié)果時,過程500像上面一樣循環(huán)回到執(zhí)行阻止請求(步驟508)����。當在步驟516獲得“是”時��,過程500循環(huán)回以重新評估請求并且像上面一樣執(zhí)行步驟502�����。當從圖3中用戶級別302的認證308級別進入時,執(zhí)行判定請求是否為威脅(步驟518)��。當判定存在威脅時��,獲得“是”結(jié)果����。當判定沒有威脅時,獲得“否”結(jié)果����。當在步驟518獲得“否”時,像上面一樣在步驟520執(zhí)行處理請求�。當在步驟518獲得“是”時,過程500跳到步驟524��,該步驟將在下面的部分中描述并在圖5b中示出�����。當從圖3中用戶級別302的驗證310進入時�����,執(zhí)行判定請求是否為威脅(步驟 522)���。當判定存在威脅時��,獲得“是”結(jié)果�����。當判定沒有威脅時�����,獲得“否”結(jié)果�。當在步驟 522獲得“否”時,像上面一樣在步驟520執(zhí)行處理請求�����,之后過程500結(jié)束(步驟534)�����。當在步驟522獲得“是”時���,過程500循環(huán)回到阻止請求步驟508。像上面一樣����,執(zhí)行創(chuàng)建管理警報(步驟510)���,之后過程500結(jié)束(步驟534)。
現(xiàn)在參考圖5b�,其示出圖5a的驗證過程的流程圖。當判定存在威脅�����,并且在步驟 518獲得“是”結(jié)果時��,執(zhí)行提示請求者進行驗證(步驟524)�。需要請求者提供信息以幫助判定是否應(yīng)當執(zhí)行請求。信息可以是請求者唯一的個人相關(guān)信息或業(yè)務(wù)相關(guān)信息�����,或者是請求者了解的某種形式的特權(quán)信息���。例如�����,所述信息可以包括帳戶代碼��、出生日期����、員工標識符和訪問代碼。提示還可以包括判定是否使用實時代理(live agent)的操作(步驟 526)��。所述實時代理可以采取聊天會話或電話對話的形式��。當判定使用實時代理時�,獲得 “是”結(jié)果。當判定不使用實時代理時���,獲得“否”結(jié)果��。當在步驟526獲得“是”時����,執(zhí)行與實時代理對話(engage)(步驟528)�����。所述代理開始與請求者進行對話以獲得允許請求繼續(xù)所需的信息�����。判定驗證是否成功(步驟530)。 當判定驗證成功時����,獲得“是”結(jié)果�����。當判定驗證未成功時�,獲得“否”結(jié)果。當在步驟530獲得“是”時����,過程像上面一樣循環(huán)回到步驟502中的重新評估請求。當在步驟530獲得“否”時��,過程500像上面一樣循環(huán)回到步驟508中的阻止請求��。過程500然后創(chuàng)建管理警報(步驟510)��,之后結(jié)束(步驟534)�����。當在步驟526獲得“否”時,執(zhí)行提示請求者提供所需的信息(步驟532)�。在這里,需要請求者輸入缺失的信息以在可以處理請求之前用于進一步驗證請求者�����。用戶必須提供所需的信息來響應(yīng)���。例如��,向請求者顯示包括亮顯輸入字段的面板���。請求者必須提供輸入并進行驗證以允許處理請求。像上面一樣執(zhí)行判定驗證是否成功(步驟530)���。因此�����,說明性實施例提供了用于通過增加用戶身份和驗證要求來解決檢測到的威脅的過程���、計算機程序產(chǎn)品和裝置。一個說明性實施例提供了計算機實現(xiàn)的用于解決檢測到的威脅的過程����,其接收來自請求者的請求以形成收到的請求并提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息����。使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證并且響應(yīng)于判定所述請求為威脅��,使用提升增量提升所述請求者的級別���,其中所述使用提升增量進一步包括通過滲入到下一用戶級別和直接進入一個用戶級別之一來增加用戶身份和驗證要求。例如�,說明性實施例可以在機器人代理導(dǎo)致網(wǎng)站流量過大的情況下使用。業(yè)務(wù)合作伙伴可能正在嘗試提取目錄信息�,實施機器人來掃描網(wǎng)站以及將每個產(chǎn)品添加到購物車以獲得價格信息。計算價格是資源密集型操作�。在短時間內(nèi)執(zhí)行數(shù)千次價格操作將導(dǎo)致服務(wù)停用,如果未被檢測和管理的話���。使用所述的過程��,將強制業(yè)務(wù)合作伙伴進行認證�����,然后管理員便可了解是誰導(dǎo)致問題的產(chǎn)生����。驗證過程將可以阻止機器人代理工作,因此業(yè)務(wù)合作伙伴會注意到這點并自行決定與管理員聯(lián)系�。在另一示例中,業(yè)務(wù)用戶嘗試創(chuàng)建包括數(shù)百項商品的購物車���。商店對于購物車中允許的最大商品數(shù)目沒有固定的限制����。購物車需要可產(chǎn)生存儲器不足條件的大存儲器占用���。說明性實施例將在一旦檢測到異常行為時強制用戶登錄�����。在驗證提升期間�����,客戶支持代表可以與用戶進行對話��。在另一示例中�����,使用上述說明性實施例�,用戶故意使用諸如注冊功能之類的高沖擊性應(yīng)用功能攻擊網(wǎng)站。惡意用戶在注意到應(yīng)用需要很長時間才能處理完大量注冊請求后����,創(chuàng)建數(shù)千個用戶注冊請求。用戶不斷地丟棄舊的會話以創(chuàng)建惡意攻擊����。上述說明性實施例將通過識別來自與攻擊關(guān)聯(lián)的特定用戶代理的網(wǎng)際協(xié)議地址的用戶組,來阻止匿名用戶�����。
14
附圖中的流程圖和方塊圖示出了根據(jù)本發(fā)明的各種實施例的系統(tǒng)�、方法和計算機程序產(chǎn)品的可能實施方式的架構(gòu)�、功能和操作。在此方面����,所述流程圖或方塊圖中的每個方塊都可以表示代碼的模塊、段或部分��,所述代碼包括用于實現(xiàn)指定的邏輯功能的一個或多個可執(zhí)行指令�。還應(yīng)指出���,在某些備選實施方式中,在方塊中說明的功能可以不按圖中說明的順序發(fā)生��。例如���,示為連續(xù)的兩個方塊可以實際上被基本同時地執(zhí)行����,或者某些時候�,取決于所涉及的功能,可以以相反的順序執(zhí)行所述方塊���。還應(yīng)指出�,所述方塊圖和/或流程圖的每個方塊以及所述方塊圖和/或流程圖中的方塊的組合可以由執(zhí)行指定功能或操作的基于專用硬件的系統(tǒng)或?qū)S糜布陀嬎銠C指令的組合來實現(xiàn)��。下面權(quán)利要求中的所有裝置或步驟加功能元件的對應(yīng)結(jié)構(gòu)��、材料�、操作和等同物旨在包括用于與其他所聲明的元件結(jié)合執(zhí)行所述功能的任何結(jié)構(gòu)、材料或操作����,如具體聲明的那樣���。出于說明和描述目的給出了對本發(fā)明的描述,但是所述描述并非旨在是窮舉的或是將本發(fā)明限于所公開的形式��。在不偏離本發(fā)明的范圍的情況下�����,許多修改和變化對于本領(lǐng)域的技術(shù)人員來說都將是顯而易見的�����。實施例的選擇和描述是為了最佳地解釋本發(fā)明的原理�、實際應(yīng)用,并且當適合于所構(gòu)想的特定使用時�����,使得本領(lǐng)域的其他技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實施例��。本發(fā)明可以采取完全硬件實施例�、完全軟件實施例或同時包含硬件和軟件元素的實施例的形式����。在優(yōu)選實施例中����,本發(fā)明在軟件中實現(xiàn)��,所述軟件包括但不限于固件��、駐留軟件���、微代碼以及本領(lǐng)域的技術(shù)人員理解的其他軟件介質(zhì)�����。值得注意的是���,盡管在全功能的數(shù)據(jù)處理系統(tǒng)中描述本發(fā)明,但是本領(lǐng)域的技術(shù)人員將理解�,本發(fā)明的過程能夠以指令的計算機可讀介質(zhì)的形式以及各種形式進行分發(fā), 并且本發(fā)明不管實際用于執(zhí)行分發(fā)的特定信號承載介質(zhì)類型是同等適用的����。計算機可讀介質(zhì)的示例包括諸如軟盤、硬盤驅(qū)動器�����、RAM、CD-ROM����、DVD-ROM之類的可記錄類型介質(zhì)以及諸如數(shù)字和模擬通信鏈路、有線或使用例如射頻和光波傳輸?shù)葌鬏斝问降臒o線通信鏈路之類的傳輸類型介質(zhì)�。所述計算機可讀介質(zhì)可以采取編碼格式的形式,所述編碼格式被解碼以實際用于特定的數(shù)據(jù)處理系統(tǒng)�。適合于存儲和/或執(zhí)行程序代碼的數(shù)據(jù)處理系統(tǒng)將包括至少一個通過系統(tǒng)總線直接或間接連接到存儲器元件的處理器。所述存儲器元件可以包括在程序代碼的實際執(zhí)行期間采用的本地存儲器����、大容量存儲裝置以及提供至少某些程序代碼的臨時存儲以減少必須在執(zhí)行期間從大容量存儲裝置檢索代碼的次數(shù)的高速緩沖存儲器。輸入/輸出或I/O設(shè)備(包括但不限于鍵盤��、顯示器����、指點設(shè)備等)可以直接或通過中間I/O控制器與系統(tǒng)相連。網(wǎng)絡(luò)適配器也可以被連接到系統(tǒng)以使所述數(shù)據(jù)處理系統(tǒng)能夠通過中間專用或公共網(wǎng)絡(luò)變得與其他數(shù)據(jù)處理系統(tǒng)或遠程打印機或存儲設(shè)備相連�。調(diào)制解調(diào)器、電纜調(diào)制解調(diào)器和以太網(wǎng)卡只是幾種當前可用的網(wǎng)絡(luò)適配器類型�����。出于說明和描述目的給出了對本發(fā)明的描述,并且所述描述并非旨在是窮舉的或是將本發(fā)明限于所公開的形式�。許多修改和變化對于本領(lǐng)域的技術(shù)人員來說都將是顯而易見的�。實施例的選擇和描述是為了最佳地解釋本發(fā)明的原理、實際應(yīng)用�,并且當適合于所構(gòu)想的特定使用時,使得本領(lǐng)域的其他技術(shù)人員能夠理解本發(fā)明的具有各種修改的各種實施例�。
權(quán)利要求
1.一種用于解決檢測到的威脅的方法�����,所述方法包括 接收來自請求者的請求以形成收到的請求��;提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息; 使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證��; 判定所述請求是否為威脅;以及響應(yīng)于判定所述請求為威脅����,使用提升增量提升所述請求者的級別,其中所述使用提升增量進一步包括通過滲入到下一用戶級別和直接進入一個用戶級別之一來增加用戶身份和驗證要求�����。
2.如權(quán)利要求1中所述的方法�,其中提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息進一步包括跟蹤會話信息以形成跟蹤的會話信息���;以及將所述跟蹤的會話信息存儲在活動會話和標識符數(shù)據(jù)庫中�����。
3.如權(quán)利要求1或權(quán)利要求2中所述的方法,其中執(zhí)行規(guī)則驗證進一步包括 選擇與提升增量關(guān)聯(lián)的規(guī)則以形成選定規(guī)則����;以及將所述選定規(guī)則應(yīng)用于所述收到的請求。
4.如權(quán)利要求2中所述的方法�,其中判定所述請求是否為威脅進一步包括 將所述跟蹤的會話信息與和提升增量的用戶級別關(guān)聯(lián)的預(yù)定標準進行比較以形成比較;以及判定所述比較是否超過預(yù)定閾值���。
5.如上述任一權(quán)利要求中所述的方法��,其中提升請求進一步包括 判定所述請求是否為威脅�;響應(yīng)于判定所述請求為威脅�,提示所述請求者進行驗證;判定是否使用實時代理�����;響應(yīng)于判定使用實時代理,與所述實時代理對話����;判定所述驗證是否成功;以及響應(yīng)于判定所述驗證未成功���,阻止所述請求���。
6.如權(quán)利要求5中所述的方法,其中響應(yīng)于判定未使用所述實時代理 提示所述請求者提供所需的信息���;判定所述驗證是否成功�����;響應(yīng)于判定所述驗證成功�,重新評估所述請求����。
7.如上述任一權(quán)利要求中所述的方法,其中使用提升增量提升所述請求者的級別進一步包括使用選定的一個提升增量創(chuàng)建提升請求���; 判定所述提升請求是否成功��;以及響應(yīng)于判定所述提升請求成功��,重新評估所述請求���;以及響應(yīng)于判定所述提升請求未成功,阻止所述請求�。
8.一種用于解決檢測到的威脅的計算機程序產(chǎn)品,所述計算機程序產(chǎn)品包括包括存儲于其中的計算機可執(zhí)行程序代碼的計算機可記錄介質(zhì)��,所述計算機可執(zhí)行程序代碼包括用于接收來自請求者的請求以形成收到的請求的計算機可執(zhí)行程序代碼�; 用于提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息的計算機可執(zhí)行程序代碼;用于使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證的計算機可執(zhí)行程序代碼����;用于判定所述請求是否為威脅的計算機可執(zhí)行程序代碼;以及用于響應(yīng)于判定所述請求為威脅����,使用提升增量提升所述請求者的級別的計算機可執(zhí)行程序代碼,其中所述用于使用提升增量的計算機可執(zhí)行程序代碼進一步包括用于通過滲入到下一用戶級別和直接進入一個用戶級別之一來增加用戶身份和驗證要求的計算機可執(zhí)行程序代碼�。
9.如權(quán)利要求8中所述的計算機程序產(chǎn)品,其中所述用于提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息的計算機可執(zhí)行程序代碼進一步包括用于跟蹤會話信息以形成跟蹤的會話信息的計算機可執(zhí)行程序代碼��;以及用于將所述跟蹤的會話信息存儲在活動會話和標識符數(shù)據(jù)庫中的計算機可執(zhí)行程序代碼�����。
10.如權(quán)利要求8或權(quán)利要求9中所述的計算機程序產(chǎn)品,其中所述用于執(zhí)行規(guī)則驗證的計算機可執(zhí)行程序代碼進一步包括用于選擇與提升增量關(guān)聯(lián)的規(guī)則以形成選定規(guī)則的計算機可執(zhí)行程序代碼����;以及用于將所述選定規(guī)則應(yīng)用于所述收到的請求的計算機可執(zhí)行程序代碼。
11.如權(quán)利要求9中所述的計算機程序產(chǎn)品�,其中所述用于判定所述請求是否為威脅的計算機可執(zhí)行程序代碼進一步包括用于將所述跟蹤的會話信息與和提升增量的用戶級別關(guān)聯(lián)的預(yù)定標準進行比較以形成比較的計算機可執(zhí)行程序代碼;以及用于判定所述比較是否超過預(yù)定閾值的計算機可執(zhí)行程序代碼��。
12.如權(quán)利要求8至11中任一權(quán)利要求中所述的計算機程序產(chǎn)品���,其中所述用于提升請求的計算機可執(zhí)行程序代碼進一步包括用于判定所述請求是否為威脅的計算機可執(zhí)行程序代碼�����;用于響應(yīng)于判定所述請求為威脅��,提示所述請求者進行驗證的計算機可執(zhí)行程序代碼��;用于判定是否使用實時代理的計算機可執(zhí)行程序代碼����;用于響應(yīng)于判定使用實時代理�,與所述實時代理對話的計算機可執(zhí)行程序代碼�����;用于判定所述驗證是否成功的計算機可執(zhí)行程序代碼���;用于響應(yīng)于判定所述驗證未成功,阻止所述請求的計算機可執(zhí)行程序代碼�����。
13.如權(quán)利要求12中所述的計算機程序產(chǎn)品���,進一步包括用于響應(yīng)于判定未使用所述實時代理,提示所述請求者提供所需的信息的計算機可執(zhí)行程序代碼�;用于判定所述驗證是否成功的計算機可執(zhí)行程序代碼;以及用于響應(yīng)于判定所述驗證成功����,重新評估所述請求的計算機可執(zhí)行程序代碼。
14.如權(quán)利要求8至13中任一權(quán)利要求中所述的計算機程序產(chǎn)品��,其中所述用于使用提升增量提升所述請求者的級別的計算機可執(zhí)行程序代碼進一步包括 用于使用選定的一個提升增量創(chuàng)建提升請求的計算機可執(zhí)行程序代碼���; 用于判定所述提升請求是否成功的計算機可執(zhí)行程序代碼���;以及用于響應(yīng)于判定所述提升請求成功���,重新評估所述請求的計算機可執(zhí)行程序代碼;以及用于響應(yīng)于判定所述提升請求未成功�,阻止所述請求的計算機可執(zhí)行程序代碼。
15.一種用于解決檢測到的威脅的裝置���,所述裝置包括 用于接收來自請求者的請求以形成收到的請求的裝置��;用于提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息的裝置��; 用于使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證的裝置���; 用于判定所述請求是否為威脅的裝置;以及用于響應(yīng)于判定所述請求為威脅���,通過滲入到下一用戶級別和直接進入一個用戶級別之一來增加用戶身份和驗證要求����,使用提升增量提升所述請求者的級別的裝置����。
16.如權(quán)利要求15中所述的裝置���,其中所述提取裝置進一步包括 用于跟蹤會話信息以形成跟蹤的會話信息的裝置;以及用于將所述跟蹤的會話信息存儲在活動會話和標識符數(shù)據(jù)庫中的裝置��。
17.如權(quán)利要求15或權(quán)利要求16中所述的裝置���,其中所述執(zhí)行裝置進一步包括 用于選擇與提升增量關(guān)聯(lián)的規(guī)則以形成選定規(guī)則的裝置�����;以及用于將所述選定規(guī)則應(yīng)用于所述收到的請求的裝置��。
18.如權(quán)利要求16中所述的裝置,其中所述判定裝置進一步包括用于將所述跟蹤的會話信息與和提升增量的用戶級別關(guān)聯(lián)的預(yù)定標準進行比較以形成比較的裝置����;以及用于判定所述比較是否超過預(yù)定閾值的裝置。
19.如權(quán)利要求15至18中任一權(quán)利要求中所述的裝置����,其中所述提升裝置進一步包括用于判定所述請求是否為威脅的裝置;用于響應(yīng)于判定所述請求為威脅�,提示所述請求者進行驗證的裝置;用于判定是否使用實時代理的裝置���;用于響應(yīng)于判定使用實時代理��,與所述實時代理對話的裝置��;用于判定所述驗證是否成功的裝置�����;用于響應(yīng)于判定所述驗證未成功���,阻止所述請求的裝置���。
20.如權(quán)利要求19中所述的裝置,進一步包括�����,響應(yīng)于判定未使用所述實時代理 用于提示所述請求者提供所需的信息的裝置�����;用于判定所述驗證是否成功的裝置�;以及用于響應(yīng)于判定所述驗證成功,重新評估所述請求的裝置。
21.如權(quán)利要求15至20中任一權(quán)利要求中所述的裝置�����,其中所述提升裝置進一步包括用于使用選定的一個提升增量創(chuàng)建提升請求的裝置�����; 用于判定所述提升請求是否成功的裝置��;以及用于響應(yīng)于判定所述提升請求成功��,重新評估所述請求的裝置����;以及用于響應(yīng)于判定所述提升請求未成功,阻止所述請求的裝置����。
全文摘要
說明性實施例提供了用于解決檢測到的威脅的方法����。所述方法接收來自請求者的請求以形成收到的請求,提取與所述收到的請求關(guān)聯(lián)的統(tǒng)計信息以形成提取的統(tǒng)計信息�,使用所述提取的統(tǒng)計信息對所述收到的請求執(zhí)行規(guī)則驗證,以及判定所述請求是否為威脅。響應(yīng)于判定所述請求為威脅��,使用提升增量提升所述請求者的級別�����,其中所述使用提升增量進一步包括通過滲入到下一用戶級別和直接進入一個用戶級別之一來增加用戶身份和驗證要求����。
文檔編號H04L29/06GK102484640SQ201080038051
公開日2012年5月30日 申請日期2010年8月23日 優(yōu)先權(quán)日2009年8月28日
發(fā)明者A·H·沃爾德曼, J·考迪斯 申請人:國際商業(yè)機器公司