方法、設備以及系統(tǒng)與流程

文檔序號：11524142閱讀：232來源：國知局

本公開總體上涉及用于保護網(wǎng)絡服務的方法、設備以及系統(tǒng)。

背景技術：

近來，組織越來越成為攻擊其網(wǎng)絡服務的受害者。這些攻擊大多來自有組織犯罪，往往是針對錢財欺詐。部分攻擊(通常是大規(guī)模的并出現(xiàn)在新聞標題中的攻擊)是欺詐的準備步驟，例如，竊取賬戶憑證、信用卡詳細信息等。

很多已知的欺詐計劃使用這些罪犯自己在為了攻擊所尋求的服務上創(chuàng)建的“假”賬戶。假賬戶創(chuàng)建通常是很多進一步攻擊的第一步，因此，檢測到假賬戶越快，在創(chuàng)建的賬戶用于欺詐交易、垃圾郵件、網(wǎng)絡釣魚等時稍后出現(xiàn)的問題就越少。為了保持對服務/網(wǎng)絡應用不可見，黑客可以從很多不同的機器創(chuàng)建賬戶，通常通過使用僵尸網(wǎng)絡。

技術實現(xiàn)要素：

雖然存在用于保護網(wǎng)絡應用服務的技術，但是通常希望找到用于保護網(wǎng)絡服務的改進的技術。

根據(jù)第一方面，本公開提供了一種方法，包括：將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

根據(jù)進一步方面，本公開提供了一種包括處理器的設備，其被配置成：將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

根據(jù)進一步方面，本公開提供了一種系統(tǒng)，包括：服務器，其托管網(wǎng)絡應用；以及包括處理器的設備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

在從屬權利要求、以下描述和附圖中闡述進一步方面。

附圖說明

參考附圖，通過實例解釋實施方式，其中：

圖1示意性地示出了包括由風險和異常檢測設備監(jiān)視的網(wǎng)絡應用的系統(tǒng)；

圖2示出了作為在網(wǎng)絡應用上的示例性用戶操作的注冊表，其導致向網(wǎng)絡應用發(fā)出用戶請求；

圖3示意性地示出了根據(jù)歸屬域和國家將用戶請求的空間劃分為子集的實施方式；

圖4示意性地示出了根據(jù)歸屬國家和平臺將用戶請求的空間劃分為子集的實施方式；

圖5示出了示例性時間序列，其包括根據(jù)國家和域所確定的在用戶請求的子集中的用戶請求的頻率數(shù)據(jù)；

圖6示意性地描述了可以用于實現(xiàn)風險和異常檢測設備和/或網(wǎng)絡應用的計算機系統(tǒng)的實施方式；

圖7示意性地描述了用于從對于網(wǎng)絡應用的用戶請求確定風險評分的方法的實施方式；以及

圖8的a)至e)示意性地示出了用于檢測在時間序列中的異常的示例性算法。

具體實施方式

在以下實施方式中公開的方法包括將用戶請求的空間劃分為子集，并且基于在用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定該用戶請求的風險評分。

用戶請求可以涉及用戶在網(wǎng)絡應用上的操作。網(wǎng)絡應用可以例如是客戶端-服務器軟件應用、網(wǎng)絡服務、云服務等，例如，由組織向用戶提供的網(wǎng)絡服務。服務器可以例如由服務提供組織控制?？蛻舳丝梢岳缡怯捎脩艨刂频木W(wǎng)絡瀏覽器。常見的網(wǎng)絡應用例如是網(wǎng)絡郵件、娛樂服務、在線游戲、在線零售銷售、在線拍賣、維基、即時消息服務和很多其他服務。

用戶經(jīng)由用戶請求與網(wǎng)絡應用、網(wǎng)絡服務或云服務交互。當用戶在網(wǎng)絡應用上發(fā)起特定操作時或者當用戶請求來自網(wǎng)絡的應用特定信息時，通常由客戶端向服務器發(fā)出用戶請求。用戶請求可以例如涉及從網(wǎng)絡應用檢索內(nèi)容，例如，從新聞門戶檢索新聞文章或例如從視頻流服務檢索視頻。

在下面描述的具體實施方式中，用戶請求涉及賬戶創(chuàng)建操作、電子錢包充值操作、購買操作、登錄操作、反饋操作(例如，對網(wǎng)絡服務的用戶評論)或變更操作(例如，網(wǎng)絡服務的用戶賬戶的銀行賬戶信息的變更)。

用戶請求可以通過當用戶與網(wǎng)絡應用交互時由網(wǎng)絡應用記錄的數(shù)據(jù)表示。網(wǎng)絡應用可以例如在表示用戶請求的數(shù)據(jù)庫條目中記錄關于用戶請求的信息。

用戶請求的空間可以是任何一組用戶請求，例如，例如由網(wǎng)絡應用例如在預定時間段內(nèi)收集或接收的所有用戶請求，或者用戶請求的子部分或預定義子部分，例如由網(wǎng)絡應用例如在預定時間段內(nèi)收集或接收的并且涉及賬戶創(chuàng)建操作的所有用戶請求。

用戶請求可以例如由包括幾個數(shù)據(jù)字段的數(shù)據(jù)庫條目表示。每個數(shù)據(jù)字段可以反映與用戶請求相關的特定信息。

例如，用戶可以在網(wǎng)絡應用上創(chuàng)建賬戶，以便獲得對該網(wǎng)絡應用所提供的服務的訪問。在該實例中，用戶在注冊表中填寫關于其身份的信息。例如，用戶向網(wǎng)絡應用提供其名字、姓氏、頭銜、電子郵件地址、電話號碼以及國家，以便創(chuàng)建賬戶。一旦用戶填寫了注冊表的相應字段，就按下向網(wǎng)絡應用發(fā)起相應用戶請求的提交按鈕(或“創(chuàng)建賬戶”按鈕)。

在賬戶創(chuàng)建操作的該特定實例中的用戶請求可以例如是post請求，其是由萬維網(wǎng)使用的http協(xié)議支持的很多請求方法之一。通過設計，post請求方法請求網(wǎng)絡服務器接受并存儲包含在請求消息的主體中的數(shù)據(jù)。post請求嵌入在注冊表中定義的數(shù)據(jù)字段，作為鍵值對，鍵值對由'&'字符分隔。網(wǎng)絡應用從post請求中讀取鍵值對，并根據(jù)在post請求中包含的數(shù)據(jù)字段開始相應操作。在賬戶創(chuàng)建操作的實例中，網(wǎng)絡應用通過在網(wǎng)絡服務上創(chuàng)建相應的用戶賬戶來注冊用戶。

在接收到用戶請求時，網(wǎng)絡應用可以將與用戶請求相關的信息記錄在數(shù)據(jù)庫中。在賬戶創(chuàng)建請求的情況下，表示用戶請求的數(shù)據(jù)庫條目可以例如包括上述數(shù)據(jù)字段名字、姓氏、頭銜、電子郵件地址、電話號碼以及國家。

存在實現(xiàn)用戶請求的很多可替換的實施方式。例如，萬維網(wǎng)和http基于很多請求方法，包括post和get以及put、delete等。

用戶請求例如還可以符合rest標準，通過該標準，系統(tǒng)與作為由統(tǒng)一資源標識符(uri)標識的網(wǎng)絡資源的外部系統(tǒng)接合。

在實施方式中可以使用檢索表示用戶請求的信息的很多其他方式。例如，網(wǎng)絡應用可以檢索關于發(fā)出用戶請求的平臺的信息。平臺可以是向服務器發(fā)出請求的任何客戶端，例如，網(wǎng)絡瀏覽器、操作系統(tǒng)、嵌入用戶代理的計算機程序等。網(wǎng)絡應用可以例如通過http_user_agent字段識別發(fā)出用戶請求的平臺。例如，基于php的網(wǎng)絡應用可以通過命令$_server['http_user_agent']查詢網(wǎng)絡服務器來檢索該信息。網(wǎng)絡客戶端通常將http_user_agent設置為允許識別客戶端的特定文本串。例如，文本串“mozilla/5.0(playstation3；2.00)”將playstation3標識為發(fā)出用戶請求的平臺。因此，使用http_user_agent，網(wǎng)絡應用可以在推斷發(fā)出用戶請求的特定平臺。因此，平臺標識符可以作為額外數(shù)據(jù)字段儲存在反映用戶請求的數(shù)據(jù)庫條目中。

如上面關于賬戶創(chuàng)建操作示例性描述的，每個用戶請求可以在數(shù)據(jù)庫中表示為包括定義該用戶請求的數(shù)據(jù)字段的數(shù)據(jù)庫條目?？商鎿Q地，用戶請求也可以表示為在列表中的行，每行包括數(shù)據(jù)字段等。

由發(fā)明人進行的歷史流量數(shù)據(jù)集的分析顯示，可以通過搜索在與從客戶端發(fā)送到網(wǎng)絡應用的用戶請求相關的網(wǎng)絡流量中的異常(例如，在每次用戶請求的數(shù)量的演變中的異常)，來識別一部分惡意用戶請求。這些異常是可見的，例如，作為來自良好選擇的請求子集(例如，源自同一電子郵件域的賬戶的所有請求)的后續(xù)請求的時間序列的突然變化。

根據(jù)具體實施方式，根據(jù)在數(shù)據(jù)庫中定義的一個或多個數(shù)據(jù)字段來劃分用戶請求的空間。

將請求劃分成子集可以是無監(jiān)督劃分，這意味著不需要子集的先驗知識。

可以根據(jù)與相應用戶請求相關的域名和/或根據(jù)與相應用戶請求相關的原籍國，和/或根據(jù)與相應用戶請求相關的平臺標識符，可以將用戶請求的空間劃分為子集。

例如，可以從與用戶請求相關的電子郵件地址檢索域名。例如，如果用戶嘗試使用電子郵件地址john.doe@organization1.com在網(wǎng)絡應用上注冊賬戶，則在將用戶請求劃分為子集中，organization1.com可以用作域。

將用戶請求的空間分割成子集可以例如包括識別在一個或多個預定義數(shù)據(jù)字段中具有相同值的所有用戶請求并將其分組在一起，例如，識別與同一域相關和/或源自同一國家的所有用戶請求并將其分組在一起。

觀察在用戶請求的子集中的用戶請求可以提供關于用戶請求的異?；顒拥男畔?。用戶請求的異?；顒涌梢员硎酒墼p性地使用網(wǎng)絡應用。在賬戶創(chuàng)建操作的情況下，假賬戶創(chuàng)建可能構成對網(wǎng)絡應用的欺詐使用。

下面公開的方法可以基于在用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

風險評分可以例如是反映在風險評分歸屬于的用戶請求的相應子集內(nèi)的用戶請求是否反映欺詐使用網(wǎng)絡應用或者反映欺詐使用網(wǎng)絡應用的可能性的數(shù)量、實體、矩陣等。風險評分可以例如是在0和1之間的數(shù)字，其中，0表示非常低的欺詐使用的概率，而1表示非常高的欺詐使用的概率。

用戶請求的數(shù)量的演變可以例如通過能夠描述用戶請求的數(shù)量如何隨時間改變的任何量或度量來描述。

例如，根據(jù)一個實施方式，為用戶請求的子集確定時間序列，并且其中，基于該時間序列確定用戶請求的風險評分。

時間序列可以例如是頻率數(shù)據(jù)的時間序列，其將在時間上的幾個實例與在相應時間實例上的相應用戶請求速率相關聯(lián)。

時間序列可以例如作為數(shù)據(jù)庫條目存儲在數(shù)據(jù)庫中。

根據(jù)一個實施方式，對于每個進入的用戶請求，更新該進入的用戶請求所屬的用戶請求的相應子集的時間序列。

根據(jù)一個實施方式，從時間序列計算在時間序列對應的子集中的用戶請求的數(shù)量的演變是否存在最近的突然增加。然后，可以根據(jù)在用戶請求的流量模式中是否存在最近的突然增加來設置風險評分。

所提出的技術不一定保證用戶請求涉及濫用。所提出的技術提供由于突然的業(yè)務量增加而發(fā)生可疑事件并且需要更多的注意來檢查的指示，這就足夠了。因此，時間序列的確定可以與其他檢查組合，以減少假肯定(falsepositive)。例如，在特定子集中的請求的數(shù)量的突然增加可以是欺詐者已經(jīng)開始自動攻擊的指示。然而，突然增加也可能僅僅是因為促銷活動已經(jīng)開始，在活動開始的那一天吸引了很多新客戶。因此，可以進行額外檢查，以將惡意請求與良性請求區(qū)分。檢查檢測到的異常請求的惡意性的一種可能方式是檢查在子集中的很多請求是否使用相同的密碼。這可能是這些請求源自執(zhí)行自動攻擊的欺詐者的強烈指示。自動攻擊的另一個可能的指示是在子集中的很多請求具有相同的ip地址和用戶代理組合的時間。這就是在本申請中描述的異常檢測技術可以與諸如密碼使用的頻率分析或ip地址+用戶代理組合的頻率分析等其他檢查相結合的原因。

根據(jù)一個實施方式，stl方法和/或esd方法可以用于實時地自動檢測在時間序列中的異常。stl是“使用loess的季節(jié)和趨勢分解”的縮寫，而loess是一種用于估計非線性關系的方法。stl是一種用于分解時間序列的非常通用并且穩(wěn)健的方法。首字母縮略詞esd表示廣義的極端學生化偏差測試，該測試可以用于檢測在遵循近似正態(tài)分布的單變量數(shù)據(jù)集中的一個或多個離群值。

根據(jù)一個實施方式，在每個子集中獨立地進行確定用戶請求的風險評分。

根據(jù)一個實施方式，用戶請求與賬戶創(chuàng)建操作相關，并且風險評分用于檢測假賬戶創(chuàng)建。

根據(jù)一個實施方式，如果用戶請求的風險評分超過預定義值，則生成通知。該通知可以例如發(fā)送給信息安全操作中心和/或網(wǎng)絡操作中心。

根據(jù)一個實施方式，如果用戶請求屬于具有超過預定義值或處于表示網(wǎng)絡應用的欺詐使用的特定預定義范圍/區(qū)域內(nèi)的風險評分的用戶請求的子集，則阻止該用戶請求。很多其他動作是可能的，例如，延遲響應，請求驗證碼或者在進行之前請求終端用戶通過雙因素認證來認證。可以采取的其他動作是禁止或暫停用戶賬戶，將ip地址列入黑名單，或者將用戶賬戶添加到高風險組，用于由異常檢測設備進一步監(jiān)視。

在此處公開的方法可以用于監(jiān)視一個或多個網(wǎng)絡應用。

在一些實施方式中，還實現(xiàn)在本文所述的方法，作為當在計算機和/或處理器上執(zhí)行時促使計算機和/或處理器執(zhí)行該方法的計算機程序。

在一些實施方式中，還提供了一種永久性計算機可讀記錄介質(zhì)，在該介質(zhì)內(nèi)存儲計算機程序產(chǎn)品，當由諸如上述處理器等處理器執(zhí)行時，該計算機程序產(chǎn)品促使執(zhí)行在本文所述的方法。

下面還公開了一種包括處理器的設備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

該設備可以被設置為欺詐和異常檢測系統(tǒng)的一部分。

該設備可以進一步連接至托管網(wǎng)絡應用的服務器。該設備例如可以通過計算機網(wǎng)絡連接至托管網(wǎng)絡應用的服務器。

該設備可以實現(xiàn)為單個服務器或者分布式系統(tǒng)，例如，以云服務的形式。處理器可以是單個cpu，或者可以實現(xiàn)為多個cpu，例如，駐留在單個服務器計算機中或在云處理環(huán)境的意義上本地分布的cpu。

根據(jù)一個實施方式，該設備進一步連接至信息安全操作中心和/或網(wǎng)絡操作中心。該連接可以由一個或多個計算機網(wǎng)絡(例如，lan和wan)實現(xiàn)。

根據(jù)一個實施方式，由欺詐和異常檢測系統(tǒng)執(zhí)行將用戶請求劃分為子集并且確定在子集中的用戶請求的風險評分。

下面還公開了一種系統(tǒng)，包括：服務器，其托管網(wǎng)絡應用；以及包括處理器的設備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

用戶請求可以由網(wǎng)絡應用收集并傳遞到欺詐和異常檢測系統(tǒng)。

圖1示意性地示出了包括由風險和異常檢測設備3監(jiān)視的網(wǎng)絡應用2的系統(tǒng)。用戶1正在(例如)通過網(wǎng)絡瀏覽器與網(wǎng)絡應用2交互。網(wǎng)絡應用2包括邏輯15和數(shù)據(jù)庫16。邏輯15被設置為向用戶1提供網(wǎng)絡服務，例如，在線游戲服務。網(wǎng)絡應用2從用戶1接收用戶請求，例如，與賬戶注冊操作相關的用戶請求。網(wǎng)絡應用2將與這種用戶請求相關的數(shù)據(jù)作為數(shù)據(jù)條目記錄在數(shù)據(jù)庫16中。網(wǎng)絡應用2將該數(shù)據(jù)傳遞給風險和異常檢測設備3，用于進一步分析。

風險和異常檢測設備3包括api6，其由網(wǎng)絡應用2使用，以與風險和異常檢測設備3通信，特別是將與用戶請求相關的數(shù)據(jù)條目傳遞給風險和異常檢測設備3。風險和異常檢測設備3進一步包括將接收到的數(shù)據(jù)存儲在活動數(shù)據(jù)庫12中的事件引擎7。在事件引擎7中的可疑事件的檢測基于存儲在規(guī)則數(shù)據(jù)庫13中并且由規(guī)則引擎8對存儲在活動數(shù)據(jù)庫12中的數(shù)據(jù)上應用的預定義規(guī)則。例如，如果在存儲在活動數(shù)據(jù)庫12中的用戶請求的獨特子集中的用戶請求的流量顯示異常，則事件引擎7可以推斷出特定用戶請求反映了網(wǎng)絡應用2的欺詐使用具有一定可能性。如果事件引擎7檢測到異?；顒?，則事件引擎7改變在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息。存儲在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息反映在用戶請求的一個子集中是否存在欺詐使用的跡象。如果對于用戶請求的特定子集，存儲在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息反映在該用戶請求的子集中存在欺詐使用的高可能性，則相應的分析結果以風險評分的形式存儲在結果數(shù)據(jù)庫13中。

風險評分也發(fā)送回網(wǎng)絡應用2。在接收到風險評分時，網(wǎng)絡應用2將決定如何繼續(xù)該請求。如果風險評分高于閾值，則其可以決定阻止該請求。很多其他動作是可能的，例如，延遲響應，請求驗證碼或者在進行之前請求終端用戶通過雙因素認證來認證。可以采取的其他動作是禁止或暫停用戶賬戶，將ip地址列入黑名單，或者將用戶賬戶添加到高風險組，用于由異常檢測設備進一步監(jiān)視。

如果具有高風險評分的請求的數(shù)量超過配置的數(shù)量，則操作單元9觸發(fā)向信息安全操作中心/網(wǎng)絡操作中心4(soc/noc)發(fā)出相應的通知。然后，信息安全操作中心/網(wǎng)絡操作中心4(soc/noc)可以決定阻止在用戶請求的可疑子集內(nèi)的用戶請求訪問網(wǎng)絡應用2。當soc/noc4接收到很多警報時，可能會觸發(fā)安全操作員調(diào)查是否需要采取緊急手動行動。此外，管理員可以使用儀表板應用程序5來訪問在風險和異常檢測設備3中收集的并且由該設備建立的數(shù)據(jù)。例如，管理員可以研究顯示表示在用戶請求的特定子集內(nèi)的用戶請求的速率的時間序列的示圖。基于對一個或多個時間序列的這種分析，管理員可以推斷新規(guī)則或?qū)m于檢測在用戶請求的業(yè)務中的異常的現(xiàn)有規(guī)則的修改。

在規(guī)則引擎8中的一些規(guī)則的目標可以是檢測在用戶請求的子集中的異常。在這種情況下，狀態(tài)數(shù)據(jù)庫11為請求的每個子集存儲對象，該對象包含在某個時間段(例如，過去的一周)內(nèi)在該子集中的所有過去的用戶請求的頻率。當接收到新請求時，確定該請求屬于哪個子集，并且從狀態(tài)數(shù)據(jù)庫11檢索對應的頻率對象，并且檢查異常。

圖2示出了作為在網(wǎng)絡應用2上的示例性用戶操作的注冊表20，其導致向網(wǎng)絡應用2發(fā)出用戶請求。網(wǎng)絡應用2向用戶提供在線服務，例如，在線游戲服務。為了被允許使用服務，用戶必須注冊。為此，網(wǎng)絡應用在網(wǎng)絡瀏覽器中向用戶呈現(xiàn)注冊表20。注冊表20包括幾個可編輯字段21至26，用戶在注冊過程中必須填寫這些字段。預見字段21和22接收用戶的名字和姓氏，在此處是名字“john”和姓氏“doe”。預見字段23接收用戶的頭銜，在此處是“mr.”。預見字段24接收用戶的電子郵件地址，在此處是“john.doe@organization1.com”。在字段25中，用戶向服務指示其原籍國，在此處是美國，由國家代碼“us”表示。預見字段26接收用戶的電話號碼，在此處是“+11115555”。用戶一填寫了注冊表的字段，就按下提交按鈕27，在此處標記為“注冊”。當按下提交按鈕27時，用戶的網(wǎng)絡瀏覽器向網(wǎng)絡應用的服務器發(fā)出post請求。該post請求嵌入在注冊表中定義的數(shù)據(jù)字段，作為鍵值對，鍵值對由“&”字符分隔。網(wǎng)絡應用可以從post請求中讀取鍵值對，并根據(jù)在post請求中包含的數(shù)據(jù)字段開始相應操作。在賬戶創(chuàng)建操作的實例中，網(wǎng)絡應用通過在網(wǎng)絡服務上創(chuàng)建相應的用戶賬戶來注冊用戶。進一步，網(wǎng)絡應用記錄描述用戶請求的數(shù)據(jù)，用于提交到欺詐和異常檢測系統(tǒng)。

將網(wǎng)絡應用2和風險和異常檢測設備3劃分為如上所述的單元，僅僅是為了說明的目的，并且本公開不限于在特定單元中的任何特定的功能劃分。例如，網(wǎng)絡應用2和風險和異常檢測設備3中的每一個可以由相應的編程處理器、現(xiàn)場可編程門陣列(fpga)等實現(xiàn)。這種編程處理器可以例如實現(xiàn)事件引擎7、規(guī)則引擎8、操作單元9、api6以及opapi10等的功能。

與諸如上面在圖2中描述的賬戶創(chuàng)建操作相關的用戶請求可以表示為具有數(shù)據(jù)字段“名字”、“姓氏”、“頭銜”、“電子郵件”、“國家”以及“電話”(在圖2中的21至26)的數(shù)據(jù)庫條目。表示用戶請求的數(shù)據(jù)庫條目的示例列表如下所示。

表1：表示用戶請求的示例性數(shù)據(jù)庫條目

根據(jù)表1，來自由“us”標識的美國的johndoe先生發(fā)出請求，以將playstation裝置用作平臺(由平臺標識符ps標識)來通過電子郵件地址john.doe@organization1.com和電話“+11115555”注冊賬戶。來自由“de”標識的德國的erikamustermann女士發(fā)出請求，以將internetexplorer用作平臺(由平臺標識符ie標識)來通過電子郵件地址erika.mustermann@organization2.com和電話“+49123456”注冊賬戶。來自由“be”標識的比利時的josjosens博士發(fā)出請求，以將opera網(wǎng)絡瀏覽器用作平臺(由平臺標識符“opera”標識)來通過電子郵件地址jos.joskens123@organization3.com和電話“+32999999”注冊賬戶。

包含用戶的電子郵件地址的字段用于導出歸屬于每個用戶請求的域。例如，johndoe先生的請求涉及域“organization1.com”，erikamustermann女士的請求涉及域“organization2.com”，并且josjoskens博士的請求涉及域organization3.com。

圖3示意性地示出了根據(jù)歸屬域和國家將用戶請求的空間劃分為子集的實施方式。在該實施方式中，假設用戶請求涉及賬戶創(chuàng)建操作，例如，上面在圖2和表1中描述的操作。在該實例中，根據(jù)其歸屬域和國家，將用戶請求的空間劃分為子集。字段31表示所有用戶請求的空間。在該示意性表示的水平方向，用戶請求根據(jù)其原籍國(在此處是“us”、“de”、“in”、“dk”等)來分組。在該示意表示的垂直方向，用戶請求根據(jù)其歸屬域(在此處為“organization1.com”、“organization2.com”、“organization3.com”等)來分組。對于用戶請求的每個子集，在數(shù)據(jù)庫中存儲反映在隨后的時間點在相應子集中的用戶請求的速率的時間序列。在圖3中，時間集33涉及歸屬于域organization3.com和國家德國(“de”)的用戶請求的子集32。對于每個進入的用戶請求，更新進入的用戶請求所屬的用戶請求的相應子集的時間序列。

圖4示意性地示出了根據(jù)歸屬國家和平臺將用戶請求的空間劃分為子集的實施方式。在該實施方式中，再次假設用戶請求涉及賬戶創(chuàng)建操作，例如，上面在圖2和表1中描述的操作。在該實例中，根據(jù)其歸屬國和平臺，將用戶請求的空間劃分為子集。字段41表示所有用戶請求的空間。在該示意性表示的水平方向，用戶請求根據(jù)其原籍國(在此處是“us”、“de”、“in”、“dk”等)來分組。在該示意表示的垂直方向，用戶請求根據(jù)其歸屬平臺標識符(在此處是playstation、internetexplorer、opera等)來分組。對于用戶請求的每個子集，在數(shù)據(jù)庫中存儲反映在隨后的時間點在相應子集中的用戶請求的速率的時間序列。在圖4中，時間序列43涉及由歸屬于國家德國(“de”)的用戶使用internetexplorer平臺發(fā)布的用戶請求的子集42。與在圖3的實施方式中一樣，對于每個進入的用戶請求，更新進入的用戶請求所屬的用戶請求的相應子集的時間序列。

下面的表2以示例性方式描述欺詐和異常檢測系統(tǒng)如何從例如可以由網(wǎng)絡服務器為每個進入的http請求記錄的http-user-agent字符串推導平臺標識符。下面的表2的左列顯示了作為由與進入的用戶請求連接的php$_server['http_user_agent']命令檢索的http-user-agent字符串。表2的右列表示歸屬于相應的http_user_agent字符串的平臺標識符，并且在括號中表示平臺的對應名稱。

表2：http_user_agent字符串到平臺id的示例性映射

從上面的表2可以看出，每個平臺可以由多個可替換的http_user_agent字符串表示。例如，所有三個字符串“mozilla/5.0(playstation3；3.55)”、“mozilla/5.0(playstation3；2.00)”以及“mozilla/5.0(playstation3；1.00)”映射到同一平臺，即，映射到由平臺標識符“ps”標識的playstation平臺。

圖5示出了示例性時間序列33的更詳細的示圖，其包括在根據(jù)國家和域確定的用戶請求的子集中的用戶請求的頻率數(shù)據(jù)34。時間序列33是頻率數(shù)據(jù)34的時間序列，其將在時間上的幾個實例與在相應時間實例上的相應用戶請求速率相關聯(lián)。頻率數(shù)據(jù)34的每個塊表示在對應于在水平時間方向上的盒體的寬度的特定時間間隔內(nèi)已被計數(shù)的用戶請求的數(shù)量。時間序列作為數(shù)據(jù)庫條目存儲在數(shù)據(jù)庫中(例如，在圖1的狀態(tài)數(shù)據(jù)庫11中)?；陬l率數(shù)據(jù)34，計算風險評分35。在圖5的實施方式中，例如，根據(jù)stl方案計算風險評分，如下面在圖8中更詳細地解釋的。在某種簡化的程度上，可以觀察到，在用戶請求的速率的變化大的情況下，風險評分35大，反之亦然。

該實施方式的風險評分35是反映在用戶請求的相應子集中的用戶請求對應于網(wǎng)絡應用的欺詐使用的可能性的值。對于每個進入的用戶請求，更新進入的用戶請求所屬的用戶請求的相應子集的頻率數(shù)據(jù)34。

圖5的時間序列示出即使對于如下所述的創(chuàng)建賬戶操作，在對網(wǎng)絡應用的用戶請求的總業(yè)務中可能看不到任何可疑的內(nèi)容，如果結合域名和國家查看業(yè)務，則可以獲得清晰可見的異常，其可以指示網(wǎng)絡應用的濫用。因此，根據(jù)本實施方式的風險和異常檢測方法利用了以下觀察：與網(wǎng)絡應用的欺詐使用(諸如僵尸網(wǎng)絡攻擊等)相關的用戶請求可以具有區(qū)域特性，即，一個特定僵尸網(wǎng)絡的節(jié)點可以大部分僅僅位于世界的一個區(qū)域中。

圖6示意性地描述了可以用于實現(xiàn)風險和異常檢測設備3和/或網(wǎng)絡應用2的計算機系統(tǒng)50的實施方式。該計算機系統(tǒng)50包括用于存儲數(shù)據(jù)51(例如，存儲在數(shù)據(jù)庫11、12、13、14中的數(shù)據(jù))的存儲器、用于運行在執(zhí)行時執(zhí)行上述方法的程序代碼的處理器52、以及用于與外部裝置通信的i/o接口53(例如，用于從opapi10向soc/noc4發(fā)送通知等)。該計算機系統(tǒng)可以實現(xiàn)為單個服務器或分布式計算機系統(tǒng)，例如，以云服務的形式。處理器52可以是單個cpu，或者可以被實現(xiàn)為多個cpu，例如，駐留在單個服務器計算機中或在云處理環(huán)境的意義上本地分布的cpu。

圖7示意性地描述了用于從對于網(wǎng)絡應用的用戶請求確定風險評分的方法的實施方式。在101，方法開始。在103，接收與在網(wǎng)絡應用上的用戶操作相關的下一個用戶請求。在105，將計數(shù)器i初始化為1。在107，檢查規(guī)則i是否涉及將用戶請求的空間劃分為子集。如果在107處的檢查結果為是，則該方法進入109。如果在107處的檢查結果為否，則該方法進入113。在109，確定用戶請求屬于哪個子集。在111，從狀態(tài)數(shù)據(jù)庫11中檢索包含在相同子集中的先前請求的頻率的對象。用新接收的請求更新該對象。在113，根據(jù)規(guī)則i計算新接收的請求的風險評分si。在115，計數(shù)器i遞增。在117，檢查計數(shù)器i是否已經(jīng)達到規(guī)則的總數(shù)。如果在117處的檢查結果為否，則該方法返回到107。如果在117處的檢查結果為是，則該方法進入119。在119，將個體風險評分si組合成新接收的請求的全局風險評分s。在119之后，該方法返回到103。

圖8的a)至e)示意性地示出了用于檢測在時間序列中的異常的示例性算法。圖8的a)示出了由50個時間樣本組成的示例性時間序列61。在垂直軸上繪制在每個時間樣本中的用戶請求速率。從該時間序列61中，計算反映在用戶請求中的趨勢的中值62(參見圖8的b))。進一步，在減去中值62之后，將多項式近似應用于時間序列61中，以獲得時間序列61的多項式近似63(參見圖8的c))。從時間序列61中減去該多項式近似63，以提取時間序列的波動64，作為剩余分量(見圖8的d))。然后，確定在波動64中的離群值65a、b、c(參見圖8的e))。離群值65a、b、c的這種確定可以例如基于波動64與閾值的比較或者使用stl(使用loess的季節(jié)和趨勢分解)方法和/或esd(極端學生化偏差)測試。

應認識到，實施方式描述了具有方法步驟的示例性序列的方法。然而，方法步驟的特定序列僅僅是為了說明的目的，不應被解釋為具有約束力。

還可以實現(xiàn)上述方法，作為當在計算機和/或處理器上執(zhí)行時促使計算機和/或處理器(例如，上述在圖6中的處理器52)執(zhí)行該方法的計算機程序。在一些實施方式中，還提供了一種永久性計算機可讀記錄介質(zhì)，在該介質(zhì)內(nèi)存儲計算機程序產(chǎn)品，當由諸如上述處理器等處理器執(zhí)行時，該計算機程序產(chǎn)品促使執(zhí)行所描述的方法。

如果沒有另外說明，則在本說明書中所描述的和在所附權利要求中要求保護的所有單元和實體可以作為集成電路邏輯在例如芯片上實現(xiàn)，并且如果沒有另外說明，則由這種單元和實體提供的功能可以由軟件實現(xiàn)。

只要使用軟件控制的數(shù)據(jù)處理設備至少部分地實現(xiàn)上述本公開的實施方式，將理解的是，提供這種軟件控制和傳輸?shù)挠嬎銠C程序、存儲器或通過其提供這種計算機程序的其他介質(zhì)被設想為本公開的方面。

注意，還可以如下所述配置本技術。

(1)一種方法，包括：

將用戶請求的空間劃分為子集，并且

基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

(2)根據(jù)(1)所述的方法，其中，每個用戶請求在數(shù)據(jù)庫中表示為包括數(shù)據(jù)字段的數(shù)據(jù)庫條目，并且其中，根據(jù)在所述數(shù)據(jù)庫中定義的一個或多個數(shù)據(jù)字段來劃分用戶請求的空間。

(3)根據(jù)(1)或(2)所述的方法，其中，根據(jù)與相應用戶請求相關的域名和/或根據(jù)與相應用戶請求相關的原籍國，和/或根據(jù)與相應用戶請求相關的平臺標識符，將用戶請求的空間劃分為子集。

(4)根據(jù)(1)到(3)中任一項所述的方法，其中，為所述用戶請求的子集確定時間序列，并且其中，基于所述時間序列來確定所述用戶請求的風險評分。

(5)根據(jù)(4)所述的方法，其中，所述時間序列是頻率數(shù)據(jù)的時間序列。

(6)根據(jù)(4)或(5)所述的方法，其中，對于每個進入的用戶請求，更新所述進入的用戶請求所屬的用戶請求的相應子集的時間序列。

(7)根據(jù)(4)到(6)中任一項所述的方法，其中，從所述時間序列中計算在所述時間序列對應的子集中的用戶請求的數(shù)量的演變是否存在最近的突然增加。

(8)根據(jù)(7)所述的方法，其中，時間序列的確定與其他檢查結合，以減少假肯定。

(9)根據(jù)(1)到(8)中任一項所述的方法，其中，季節(jié)和趨勢分解方法和/或esd方法用于實時地自動檢測在所述時間序列中的異常。

(10)根據(jù)(1)到(9)中任一項所述的方法，其中，獨立地在每個子集中確定用戶請求的風險評分。

(11)根據(jù)(1)到(10)中任一項所述的方法，其中，所述用戶請求涉及賬戶創(chuàng)建操作、電子錢包充值操作、購買操作、登錄操作、反饋操作或改變操作。

(12)根據(jù)(1)到(11)中任一項所述的方法，其中，所述用戶請求涉及賬戶創(chuàng)建操作，并且其中，所述風險評分用于檢測假賬戶創(chuàng)建。

(13)根據(jù)(1)到(12)中任一項所述的方法，其中，如果用戶請求的風險評分超過預定義數(shù)量的用戶請求的預定義值，則生成通知。

(14)根據(jù)(1)到(13)中任一項所述的方法，其中，如果用戶請求屬于具有超過預定義值的風險評分的用戶請求的子集，則阻止所述用戶請求，延遲對所述用戶請求的響應，從發(fā)出用戶請求的用戶請求驗證碼，在進行之前請求用戶通過雙因素認證來認證，禁止或暫停用戶賬戶，將與用戶請求相對應的ip地址列入黑名單，或者將用戶賬戶添加到高風險組以進行進一步監(jiān)測。

(15)根據(jù)(1)到(14)中任一項所述的方法，其中，由欺詐和異常檢測系統(tǒng)執(zhí)行將用戶請求的空間劃分為子集以及確定在子集中的用戶請求的風險評分。

(16)根據(jù)(1)到(15)中任一項所述的方法，其中，所述用戶請求由網(wǎng)絡應用收集并且傳遞到所述欺詐和異常檢測系統(tǒng)。

(17)一種包括處理器的設備，其被配置成：

將用戶請求的空間劃分為子集，并且

基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

(18)根據(jù)(17)所述的設備，所述設備進一步被設置為欺詐和異常檢測系統(tǒng)的一部分。

(19)根據(jù)(17)所述的設備，所述設備進一步連接至信息安全操作中心和/或網(wǎng)絡操作中心。

(20)一種系統(tǒng)，包括：

服務器，其托管網(wǎng)絡應用；以及

包括處理器的設備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風險評分。

(21)一種計算機程序，其包括當在計算機上執(zhí)行時促使計算機執(zhí)行根據(jù)(1)至(16)中任一項所述的方法的程序代碼。

(22)一種永久性計算機可讀記錄介質(zhì)，在其內(nèi)存儲計算機程序產(chǎn)品，當由處理器執(zhí)行時，所述計算機程序產(chǎn)品促使執(zhí)行根據(jù)(1)至(16)中任一項所述的方法。