JP7403565B2 - Fraud detection device, fraud detection method, and fraud detection program - Google Patents
Fraud detection device, fraud detection method, and fraud detection program Download PDFInfo
- Publication number
- JP7403565B2 JP7403565B2 JP2022043826A JP2022043826A JP7403565B2 JP 7403565 B2 JP7403565 B2 JP 7403565B2 JP 2022043826 A JP2022043826 A JP 2022043826A JP 2022043826 A JP2022043826 A JP 2022043826A JP 7403565 B2 JP7403565 B2 JP 7403565B2
- Authority
- JP
- Japan
- Prior art keywords
- action
- parameter
- fraudulent
- fraud
- request information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 76
- 230000009471 action Effects 0.000 claims description 220
- 238000000034 method Methods 0.000 claims description 18
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 8
- 235000014510 cooky Nutrition 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000001186 cumulative effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Description
本発明は、不正検出装置、不正検出方法、及び不正検出プログラムに関する。 The present invention relates to a fraud detection device, a fraud detection method, and a fraud detection program.
従来、決済処理等における不正決済を検出する等、インターネット上のユーザのアクションに関して不正なアクションを検出する装置が知られている。
特許文献1に記載のシステムでは、各対象サーバがユーザ端末からアクセストークン報を受信すると、認証装置から当該ユーザ端末に係るアクセストークンを受信し、アクセスが許可されたユーザ端末からのアクセスを受け付ける。そして、認証装置は、BPスコアやFPスコア、累計スコアに基づいて設定されるブロックリスト、ユーザ端末から同一の認証情報が複数の異なる対象サーバに送信されたか否か等のルールに基づいてリスク判定を実施する。
2. Description of the Related Art Conventionally, devices are known that detect fraudulent actions of users on the Internet, such as detecting fraudulent payments in payment processing.
In the system described in Patent Document 1, when each target server receives access token information from a user terminal, it receives an access token related to the user terminal from the authentication device, and accepts access from the user terminal for which access is permitted. The authentication device then makes a risk judgment based on the BP score, FP score, block list set based on the cumulative score, and rules such as whether the same authentication information was sent from the user terminal to multiple different target servers. Implement.
ところで、上記のような従来の不正検出システムでは、不正検出の1つのルールとして、ブロックリストに接続元IP等が登録されているかを判定し、不正を検知する。しかしながら、不正ユーザがブロックリストを回避するために、例えばブラウザクッキー等の一部の情報を故意に変更する等により、ブロックリストを回避する回避行動をとる場合があり、不正ユーザによりこのような回避行動がとられると、ブロックリストによる不正検出は困難となる。 By the way, in the conventional fraud detection system as described above, fraud is detected by determining whether a connection source IP or the like is registered in a block list as one rule for fraud detection. However, in order to avoid the block list, an unauthorized user may take evasive actions to avoid the block list, for example, by intentionally changing some information such as browser cookies. Once action is taken, it becomes difficult for blocklists to detect fraud.
本発明は、高い精度で不正検出を実施可能な不正検出装置、不正検出方法、及び不正検出プログラムを提供することを目的とする。 An object of the present invention is to provide a fraud detection device, a fraud detection method, and a fraud detection program that can perform fraud detection with high accuracy.
本発明に係る一態様の不正検出装置は、所定のアクションの実行を要求するアクション要求情報であって、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含む前記アクション要求情報を受信する要求受信部と、1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付部と、不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定部と、過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録部と、を備える。 A fraud detection device according to one aspect of the present invention includes action request information requesting execution of a predetermined action, including action content that is the content of the action and a plurality of parameters when requesting the action. a request receiving unit that receives the action request information; and a request reception unit that associates the action content and the plurality of parameters included in one action request information with each other, and associates the parameters of the newly received action request information with each other, and an association unit that associates the action contents associated with the parameter with each other when the parameter is the same as the parameter included in the action request information received in a fraud determination unit that determines whether the newly received action content is an illegal fraudulent action based on a block list; and when the fraudulent action associated with the previously received parameter satisfies a predetermined condition. and a list registration unit that registers the parameter as the illegal parameter in the block list.
本発明では、パラメータに関連付けられるアクション内容が不正アクションであり、当該パラメータに関連付けられた不正アクションが所定の条件を満たす場合に、そのパラメータを不正パラメータとして検出し、ブロックリストに登録する。これにより、ブロックリストに登録する不正パラメータを拡張でき、例えば接続元IPのみのブロックリストを用いてユーザの不正を検出する場合に比べて、より広い範囲でユーザの不正を検出することができる。よって、不正にサービスを利用するユーザ(不正ユーザ)が、例えばクッキー等の情報の一部を書き換えてアクション要求情報を送信したとしても、他のパラメータがブロックリストに記録されている可能性が高くなり、不正ユーザによるブロックリストの回避行動を抑制でき、より精度の高い不正検出を実施することが可能となる。 In the present invention, when the action content associated with a parameter is an unauthorized action and the unauthorized action associated with the parameter satisfies a predetermined condition, the parameter is detected as an unauthorized parameter and registered in a block list. This allows the fraud parameters to be registered in the block list to be expanded, making it possible to detect user fraud in a wider range than, for example, when detecting user fraud using a block list containing only connection source IPs. Therefore, even if a user who uses the service illegally (unauthorized user) rewrites some information such as cookies and sends action request information, there is a high possibility that other parameters will be recorded in the block list. This makes it possible to suppress block list evasion behavior by unauthorized users, and to perform fraud detection with higher accuracy.
以下、本発明に係る一実施形態の不正検出システムについて説明する。
図1は、本実施形態の不正検出システムを示す概略図である。
不正検出システム1は、サービスサーバ20と、不正検出装置10と、ユーザ端末30と、を含んで構成されている。これらのサービスサーバ20、不正検出装置10、及びユーザ端末30はインターネットを介して通信可能に接続されている。
Hereinafter, a fraud detection system according to an embodiment of the present invention will be described.
FIG. 1 is a schematic diagram showing the fraud detection system of this embodiment.
The fraud detection system 1 includes a
本実施形態では、サービスサーバ20は、ユーザ端末30を操作するユーザに対して所定のサービスを提供する装置であり、ユーザ端末30から送信されたアクション要求情報に対応したサービスを提供する。例えば、サービスサーバ20は、クレジットカードや電子マネー等による決済サービスを提供してもよく、インターネットを介して商品を販売するネットショップサービスやオークションサービスを提供してもよく、その他のサービスを提供してもよい。
サービスサーバ20にユーザ端末30からアクション要求情報が送信されると、サービスサーバ20は、不正検出装置10に当該アクション要求情報を送信する。不正検出装置10は、ユーザ端末30からサービスサーバ20を介して送信されたアクション要求情報を受信すると、そのアクション要求情報が不正なアクション要求であるか否かを判定する。不正が検出されなかった場合は、不正検出装置10はサービスサーバ20にアクション要求情報が適正である旨の応答を返し、これにより、サービスサーバ20はユーザ端末30にサービスを提供する。一方、不正検出装置10により不正が検出された場合は、アクション要求が不正である旨をサービスサーバ20に返し、この場合サービスサーバ20からユーザ端末30へのサービス提供は行われない。また、不正検出装置10は、不正検出の結果に基づいて、サービスの提供を行わないユーザのリストを記録したブロックリストに当該ユーザに関する情報を記録する。
以下、各構成についてより詳細に説明する。
In this embodiment, the
When action request information is transmitted from the
Each configuration will be explained in more detail below.
[不正検出装置10の構成]
不正検出装置10は、コンピュータにより構成され、通信部11と、記憶部12と、制御部13と、等を含んで構成されている。なお、不正検出装置10を構成するコンピュータの数は特に限定されない。例えば、1台のコンピュータによって不正検出装置10が構成されてもよく、複数のコンピュータをネットワークで接続して構築されるクラウドサーバにより不正検出装置10が構成されてもよい。
通信部11は、例えばLAN等を介してネットワーク(インターネット)に接続されており、サービスサーバ20やユーザ端末30等の外部機器と通信する。
[Configuration of fraud detection device 10]
The
The
記憶部12は、例えばメモリ、ハードディスク等により構成されたデータ記録装置である。この記憶部12は、アクションデータベース(アクションDB121)、関連データベース(関連DB122)、ブロックリスト(BL123)等を有する。
なお、ここでは、不正検出装置10の記憶部12に、アクションDB121、及びBL123等が設けられる例を示すが、不正検出装置10とネットワークを介して通信可能に接続された他のデータサーバやクラウドストレージに、これらのデータが記録される構成としてもよい。
また、記憶部12には、不正検出装置10により不正検出処理を実施するための不正検出プログラム等の各種プログラムが記憶されている。
The
Note that here, an example is shown in which the
Further, the
アクションDB121には、サービスサーバ20から送信されたアクション要求情報が蓄積されている。アクション要求情報には、ユーザがサービスを受ける際に必要となる複数のパラメータと、ユーザが提供を希望するサービスの内容に関するアクション内容とが含まれている。例えば、決済サービスを提供するアクション要求情報である場合、アクション内容は決済処理であり、パラメータとして、接続元IP、ユーザを識別するアカウント情報、クレジットカード番号、ユーザの居所、ユーザの電話番号、メール等のメッセージ通知先アドレス、電話番号、クッキー情報等が含まれる。
また、アクションDB121に蓄積されるアクション要求情報には、不正検出装置10によって、アクション内容が不正と判定されたか否かを示す不正判定フラグが記録されている。例えば、決済サービスの場合、決済処理が、不正なく適正決済処理を実施した通常決済であるか、不正決済であるかを示す不正判定フラグが記録される。
The action DB 121 stores action request information sent from the
Further, in the action request information stored in the
関連DB122は、アクション要求情報に含まれる各アクション内容及び各パラメータに関し、これらのアクション内容やパラメータ同士の関連性を記録する。例えば、関連DB122には、各アクション内容及び各パラメータをノードとし、アクション内容に対応したノードと各パラメータに対応したノードとをリンクにより接続したネットワークグラフが記録されていてもよい。この場合、複数のアクション内容に対して共通するパラメータが含まれる場合、当該共通するパラメータに対応するノードを介して複数のアクションノードがリンクにより接続される。リンクによって接続されたこれらのアクションノードやノードは互いに関連付けられた(紐付けられた)アクション内容、パラメータを示す。なお、関連DB122に記録される、パラメータ同士の関連性に関しては、上記に限定されず、例えば、アクション要求情報に含まれるアクション内容とパラメータとを1つのレコードとし、当該レコードに共通するパラメータを有する他のアクション内容を関連付けてもよく、データの管理方法については特に限定されるものではない。
The
BL123は、サービスの利用を提供しないユーザ、つまりブロックすべきユーザに関する情報を記録したリストであり、例えば、ブロック対象のユーザとすべきパラメータが多数記録されている。 The BL 123 is a list that records information regarding users who do not provide service use, that is, users who should be blocked. For example, a large number of parameters that should be used as users to be blocked are recorded.
制御部13は、CPU(Central Processing Unit)等の演算回路、RAM(Random Access Memory)等の記録回路により構成される。制御部13は、記憶部12等に記録されている各種プログラムをRAMに展開し、RAMに展開されたプログラムとの協働により各種処理を実行する。そして、制御部13は、記憶部12に記録された不正判定プログラムを含む各種プログラムを読み込み実行することで、図1に示すように、要求受信部131、関連付部132、不正パラメータ検出部133、リスト登録部134、グラフ作成部135、及び不正判定部136等として機能する。
The
要求受信部131は、ユーザ端末30から送信されたアクション要求情報をサービスサーバ20を介して受信する。
関連付部132は、アクション要求情報に含まれる複数のパラメータを抽出し、抽出したパラメータの関連付けを行い、関連DB122を更新する。
不正パラメータ検出部133は、関連DB122とBL123に基づいて、不正と判定すべきパラメータ(不正パラメータ)、及び不正である可能性があるパラメータ(不正パラメータ候補)を検出する。
The
The
The fraudulent
リスト登録部134は、不正パラメータをBL123に登録する。
グラフ作成部135は、各パラメータ及び各アクション内容の関係性を示すネットワークグラフを作成し、関連DB122に記録する。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか適正であるかの不正判定処理を実施する。例えば、不正判定部136は、BL123に記録されたパラメータが含まれるアクション要求情報を不正なアクション要求情報として判定する。
The
The
The
[サービスサーバ20、及びユーザ端末30の構成]
サービスサーバ20はサービス提供者が保有するコンピュータであり、ユーザ端末30は、ユーザが保有する端末装置(コンピュータ)である。
これらのサービスサーバ20、及びユーザ端末30の具体的な構成の図示は省略するが、一般的なコンピュータが有する基本的な構成を有する。すなわち、サービスサーバ20、及びユーザ端末30は、入力操作を受け付ける入力操作部、画像情報を表示させるディスプレイ、各種情報を記録する記録装置、各種情報を演算処理する演算回路(CPU等)を備えている。
[Configuration of
The
Although illustration of the specific configuration of the
[不正検出システム1の動作]
次に、本実施形態の不正検出システム1による不正検出方法について説明する。
まず、不正判定方法におけるBL123の更新処理について説明する。
図2は、本実施形態の不正検出システムによるBL123の更新処理を示すフローチャートである。
BL123の更新処理は、過去に受信されてアクションDB121に蓄積されているアクション要求情報とBL123とを用いて実施される。
不正パラメータ検出部133は、アクションDB121に蓄積されているアクション要求情報を読み出す(ステップS1)。読み出されるアクション要求情報は、全てのアクション要求情報であってもよく、直近の所定期間のアクション要求情報であってもよい。
また、不正パラメータ検出部133は、読み出した過去のアクション要求情報に含まれる各パラメータについて、当該パラメータに関連付けられたアクション内容(通常アクション、又は不正アクション)を検出する。
そして、不正パラメータ検出部133は、各パラメータに関して、当該パラメータに関連付けられた不正アクションの数が所定の閾値(第一閾値)以上であるか否かを判定する(ステップS2)。
ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、各パラメータに関連付けられたアクション内容において、不正アクションの占める割合が所定の閾値(第二閾値)以上であるか否かを判定する(ステップS3)。
[Operation of fraud detection system 1]
Next, a fraud detection method using the fraud detection system 1 of this embodiment will be explained.
First, the updating process of the
FIG. 2 is a flowchart showing the update process of the
The update process of the
The invalid
Further, the fraudulent
Then, for each parameter, the fraudulent
If YES is determined in step S2, the fraud
図3は、ステップS2及びステップS3でのBL123に登録する不正パラメータの決定手法を示す図である。
図3は、ネットワークグラフの一部の一例であり、判定対象となるパラメータ(判定パラメータR)と、当該判定パラメータRに関連付けられた複数のアクション内容とが示されている。ここで、黒で示されるアクション内容は、不正と判定された不正アクションQFであり、白で示されるアクション内容は、通常に処理されたアクション内容QTである。
ステップS2で、不正パラメータ検出部133は、判定パラメータRに関連付けられた不正アクションQFの数N1が第一閾値以上であるか否かを判定する。そして、ステップS2でYESと判定される場合、さらに、不正パラメータ検出部133は、ステップS3により、判定パラメータRに関連付けられたアクション内容において、不正アクションQFの占める割合N2が第二閾値以上であるか否かを判定する。そして、ステップS2及びステップS3の双方でYESと判定される場合、判定パラメータRを不正パラメータとして検出する。
なお、第一閾値及び第二閾値は、不正検出装置10の管理者またはサービスサーバ20の管理者が適宜設定することができる。例えば、図3に示す判定パラメータRは、第一閾値を4とする場合においてステップS2においてYESと判定される。また、図3に示す判定パラメータRは、第二閾値を0.5とする場合においてステップS3においてYESと判定される。
FIG. 3 is a diagram showing a method for determining fraudulent parameters to be registered in the
FIG. 3 is an example of a part of a network graph, and shows a parameter to be determined (determination parameter R) and a plurality of action contents associated with the determination parameter R. Here, the action content shown in black is the fraudulent action QF that was determined to be fraudulent, and the action content shown in white is the action content QT that was normally processed.
In step S2, the fraud
Note that the first threshold value and the second threshold value can be appropriately set by the administrator of the
ステップS2及びステップS3でYESと判定され、判定パラメータRが不正パラメータとして検出された場合、リスト登録部134は、検出した不正パラメータをBL123に新たに登録する(ステップS4)。なお、上記ステップS2からステップS3の処理は、ステップS1で読み出された各アクション要求情報に含まれる各パラメータについて実施される。
If YES is determined in steps S2 and S3 and the determination parameter R is detected as a fraudulent parameter, the
また、グラフ作成部135は、蓄積された過去のアクション要求情報と、BL123とに基づいて、ネットワークグラフを作成し、記憶部12の関連DB122に記録してもよい(ステップS5)。
図4は、ネットワークグラフの一例である。
グラフ作成部135は、各アクション内容に対応するノードNと、パラメータに対応するノードNとをグラフ上に配置し、互いに関連するノードNをリンクLで接続したネットワークグラフを作成する。この際、不正パラメータや不正アクションと判定されたノードNの大きさや色等の表示形態を変更する。また、関連する不正パラメータの数に応じて、ノードの大きさや色等の表示形態を変更してもよい。
このネットワークグラフは、管理者により閲覧可能に記憶部12に記憶されており、管理者が適宜ネットワークグラフを閲覧することで、容易に互いに関連する不正パラメータのまとまりや、不正なアクション要求として頻繁に使用されるパラメータ等を確認でき、不正検出処理におけるBL123の見直しや更新に貢献することができる。
Further, the
FIG. 4 is an example of a network graph.
The
This network graph is stored in the
次に、更新されたBL123を用いた不正判定処理について説明する。
図5は、不正判定方法における不正判定処理を示すフローチャートである。
本実施形態では、ユーザがサービスサーバ20からサービスの提供を受ける場合、ユーザ端末30からサービスサーバ20に所定のサービスの提供を要求するアクション要求情報を送信する。サービスサーバ20は、アクション要求情報を受信すると、当該アクション要求情報を不正検出装置10に送信し、アクション要求情報に不正がないか否かを問い合わせる。
Next, fraud determination processing using the updated
FIG. 5 is a flowchart showing fraud determination processing in the fraud determination method.
In this embodiment, when a user receives a service from the
不正検出装置10において、要求受信部131がサービスサーバ20からアクション要求情報を受信すると(ステップS6)、関連付部132は、アクション要求情報に含まれるパラメータの関連付けを行う(ステップS7)。
なお、以降の説明にあたり、ステップS6で新規に受信したアクション要求情報に含まれるアクション内容を対象アクションと称し、パラメータを対象パラメータと称する。
In the
In the following description, the action content included in the action request information newly received in step S6 will be referred to as a target action, and the parameter will be referred to as a target parameter.
図6は、パラメータの関連付けを説明するための概略図であり、各パラメータ及び各アクション内容のネットワークグラフの一例を示している。
ステップS7では、過去に受信したアクション要求情報に含まれるアクション内容及びパラメータと、ステップS6で受信したアクション要求情報に含まれる対象アクション及び対象パラメータとの関連付けを行う。例えば、図6のP1は新規に受信した1つのアクション要求情報を示しており、当該アクション要求情報P1には、対象アクションQ1と、複数の対象パラメータR1,R2,R3とが含まれる。
関連付部132は、これらの対象アクションQ1、及び対象パラメータR1,R2,R3を互いに関連付ける。
また、過去にアクション内容Q2、パラメータR1,R4,R5を含むアクション要求情報が受信されている場合、関連DB122には、図6に示すように、アクション内容Q2とパラメータR1,R4,R5とが関連付けられている旨が記録されている。この場合、関連付部132は、図6に示すように、対象アクションQ1及びアクション内容Q2を、共通のパラメータR1を介して関連付ける。つまり、パラメータR1を介して対象アクションQ1とアクション内容Q2とが関連付けられることになる。
FIG. 6 is a schematic diagram for explaining the association of parameters, and shows an example of a network graph of each parameter and each action content.
In step S7, the action contents and parameters included in the action request information received in the past are associated with the target action and target parameters included in the action request information received in step S6. For example, P1 in FIG. 6 indicates one piece of newly received action request information, and the action request information P1 includes a target action Q1 and a plurality of target parameters R1, R2, and R3.
The
Furthermore, if action request information including action content Q2 and parameters R1, R4, and R5 has been received in the past, the action content Q2 and parameters R1, R4, and R5 are stored in the
次に、不正パラメータ検出部133は、対象パラメータが、BL123に含まれるか否かを判定する(ステップS8)。
Next, the invalid
ステップS8でNOと判定される場合、既にBL123に記録されている不正パラメータから対象アクション及び対象パラメータまでの距離が予め設定された閾値(第三閾値)以内であるか否かを判定する(ステップS9)。
図7は、不正パラメータからの距離を説明するための図であり、ネットワークグラフの一部の例を示している。図7において、不正アクションQBL、及び不正パラメータRBLは、既にBL123に記録されている情報である。
ここで、既にBL123に登録されている不正パラメータRBLに紐づけられたアクション内容(不正アクションQBLを含まない)を距離が1のアクション内容(不正アクション候補QF1)とし、当該不正アクション候補QF1に紐づく不正パラメータ候補を距離が1の不正パラメータ候補RF1とする。また、不正パラメータ候補RF1に紐づけられたアクション内容(不正アクション候補QF1を含めない)を距離が2の不正アクション候補QF2とし、当該不正アクション候補QF2に紐づく不正パラメータ候補を距離が2の不正パラメータ候補RF2とする。以降、距離がiの不正パラメータ候補RFiに紐づけられたアクション内容(不正アクション候補QFiを含めない)を距離がi+1の不正アクション候補QFi+1とし、当該不正アクション候補QFi+1に紐づく不正パラメータ候補RFを距離がi+1の不正パラメータ候補RFi+1とする。
If it is determined NO in step S8, it is determined whether the distance from the fraudulent parameter already recorded in the
FIG. 7 is a diagram for explaining the distance from a fraudulent parameter, and shows an example of a part of a network graph. In FIG. 7, the fraudulent action Q BL and the fraudulent parameter R BL are information already recorded in the
Here, the action content (not including the fraudulent action QBL ) linked to the fraudulent parameter RBL already registered in the BL123 is defined as the action content with a distance of 1 (fraudulent action candidate QF1 ), and the corresponding fraudulent action candidate Let the fraudulent parameter candidate linked to QF1 be the fraudulent parameter candidate RF1 with a distance of 1. In addition, the action content (not including the fraudulent action candidate Q F1 ) linked to the fraudulent parameter candidate RF1 is set as a fraudulent action candidate Q F2 with a distance of 2, and the fraudulent parameter candidate linked to the fraudulent action candidate Q F2 is set to a distance of 2. is an incorrect parameter candidate R F2 with 2. Hereinafter, the action content (not including the fraudulent action candidate Q Fi ) associated with the fraudulent parameter candidate R Fi with distance i will be referred to as fraudulent action candidate Q Fi + 1 with distance i + 1, and the fraudulent action linked to the fraudulent action candidate Q Fi + 1 will be Let the parameter candidate R F be an invalid parameter candidate R Fi+1 with a distance of i+1.
ステップS8でYESと判定された場合(対象パラメータがBL123に登録されている場合)、及びステップS9でYESと判定された場合(対象パラメータの不正パラメータからの距離が第三閾値以内である場合)、不正判定部136は、BL123に基づく不正判定処理により、対象パラメータを含むアクション要求情報が不正であると判定する(ステップS10)。また、ステップS9でNOと判定される場合(対象パラメータの不正パラメータからの距離が第三閾値より大きい場合)、他の対象パラメータが不正と判定されていない限り、アクション要求情報が正常であると判定する(ステップS11)。
If YES is determined in step S8 (if the target parameter is registered in BL123), and if YES is determined in step S9 (if the distance of the target parameter from the invalid parameter is within the third threshold) , the
[本実施形態の作用効果]
本実施形態の不正検出装置10では、制御部13が、記憶部12に記憶された不正検出プログラムを読み込み実行することで、要求受信部131、関連付部132、リスト登録部134、及び不正判定部136として機能する。
要求受信部131は、ユーザ端末30から送信されたアクション要求情報を受信する。このアクション要求情報には、アクション内容とパラメータとを含み、例えば決済処理を要求する場合では、決済処理を示すアクション内容と、接続元IPやクレジットカード番号等のパラメータとが含まれる。
関連付部132は、同一のアクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付ける。また、新たに受信したアクション要求情報に含まれる対象パラメータが、過去に受信したアクション要求情報に含まれるパラメータと同一である場合に、当該対象パラメータ(パラメータ)に関連付けられるアクション内容を関連付ける。つまり、対象属性を介して2つのアクション要求情報が関連付けられる。
不正判定部136は、BL123に基づいて、アクション要求情報が不正であるか否かを判定する。
リスト登録部134は、過去に受信したアクション要求情報に基づいて、過去のアクション要求情報に含まれる判定パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該判定パラメータを不正パラメータとしてBL123に登録する。
[Actions and effects of this embodiment]
In the
The
The
The
Based on the action request information received in the past, when the fraudulent action associated with the determination parameter included in the past action request information satisfies a predetermined condition, the
以上のような本実施形態では、不正と判断すべきパラメータを好適に拡張することができ、不正ユーザによるBL123の回避行動を抑制して、精度よく不正を検出することができる。
アクション内容として決済処理を具体例として説明する。従来の不正検出方法では、不正決済が見つかった場合に、その不正決済に関連付けられる単一のパラメータのみ(例えば、接続元IP)をブロックリストとして登録する。この場合、例えば、不正ユーザが他のproxyサーバを経由する、クッキー情報の一部を変更するなどの回避行動をとった場合に、不正を検出することができない。
これに対して、本実施形態では、不正決済に関連付けられた複数のパラメータが不正パラメータ候補となり、これらの不正パラメータ候補において、所定の条件を満たすパラメータが、BL123に登録される。したがって、従来のように、不正決済に基づく接続元IPのみといったブロックリストによる不正検出に比べて、不正決済に紐づく多数のパラメータがBL123に登録される。これにより、不正ユーザが、他のproxyサーバを経由するように決済処理を実施した場合でも、クッキーの一部の情報を書き換えた場合でも、他のパラメータが不正パラメータとして登録されている可能性が高く、不正ユーザによる不正決済を好適に検出することができる。
In the present embodiment as described above, it is possible to suitably expand the parameters that should be used to determine fraud, suppress the avoidance behavior of the
A payment process will be explained as a specific example of the action content. In conventional fraud detection methods, when a fraudulent payment is found, only a single parameter (for example, connection source IP) associated with the fraudulent payment is registered as a block list. In this case, for example, if an unauthorized user takes evasive action such as going through another proxy server or changing part of the cookie information, fraud cannot be detected.
In contrast, in the present embodiment, a plurality of parameters associated with fraudulent payments are fraudulent parameter candidates, and among these fraudulent parameter candidates, parameters that satisfy a predetermined condition are registered in the
本実施形態では、リスト登録部134は、判定パラメータに対して、第一閾値以上の数の不正アクションが関連付けられた場合に、その判定パラメータを不正パラメータとして登録する。
上述したように、不正パラメータに関連するパラメータをBL123に登録することで、不正ユーザによるBL123の回避行動を抑制することが可能となる。しかしながら、不正パラメータに関連するパラメータの全てをBL123に登録すると、不正なアクションではないにもかかわらず、不正と判定される誤検出の発生率が高くなる。例えば、proxyサーバを経由する等により多くのユーザで、接続元IPが同一と判定される場合がある。この場合、当該接続元IPをBL123に登録すると、誤検知が大量に発生する。これに対して、本実施形態では、ステップS2において、上記のように、判定パラメータに関連付けられている不正アクションの数が第一閾値以上である場合に、不正パラメータとして検出する。したがって、判定パラメータに対して第一閾値未満の不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、誤検出の発生を抑制することができる。
In this embodiment, the
As described above, by registering parameters related to fraudulent parameters in the
本実施形態では、リスト登録部134は、判定パラメータに対して関連付けられた複数のアクション内容のうち、第二閾値以上の割合のアクション内容が不正アクションである場合に、判定パラメータを不正パラメータとして検出する。
つまり、判定パラメータに対して第二閾値未満の割合で不正アクションが関連付けられていても、不正パラメータとはみなされず、BL123に登録されない。これにより、上記と同様に、誤検出の発生を抑制することができる。
In the present embodiment, the
In other words, even if a fraudulent action is associated with a determination parameter at a rate less than the second threshold, it is not considered to be a fraudulent parameter and is not registered in the
また、判定パラメータに関連付けられた不正アクションの数のみでBL123に登録するか否かを判定する場合、判定パラメータに関連付けられるアクション内容の数によって誤検出が増大することがある。例えば、判定パラメータに対して関連付けられたアクション内容の数が非常に多く、不正アクションの数が第一閾値以上ではあるものの、大半のアクションが適正である場合、BL123に当該判定パラメータを不正パラメータとして登録すると、多くの適正なアクション内容が不正として検出される。一方、判定パラメータに関連付けられた不正アクションの割合のみでBL123に登録するか否かを判定する場合、判定パラメータに関連付けられるアクション内容が少数である場合に誤検出が増大することがある。例えば、判定パラメータに対して関連付けられたアクション内容が2~3程度である場合では、不正アクションの数が1個程度でも、不正アクションの割合が第二閾値以上としてBL123に登録されることがある。このような場合、データ数が少なく十分な精度で不正を検出することができない。
これに対して、本実施形態では、ステップS2及びステップS3の双方を実施することで、両者のデメリットを補うことができ、適正に不正ユーザを検出可能なBL123を作成できる。
Further, when determining whether to register in the
On the other hand, in this embodiment, by performing both steps S2 and S3, the disadvantages of both can be compensated for, and a BL 123 that can appropriately detect unauthorized users can be created.
本実施形態では、新規に受信したアクション要求情報に含まれる対象パラメータの不正パラメータからの距離が第三閾値以内となる場合に、当該対象パラメータを含むアクション要求情報を不正と判定する。
これにより、不正パラメータからの距離が1である対象パラメータのみならず、より広い範囲に不正と判定すべき不正判定範囲を広げることができ、不正ユーザがBL123を回避してサービスを利用するとする不正行為を抑制できる。
In the present embodiment, if the distance of a target parameter included in newly received action request information from a fraudulent parameter is within the third threshold, the action request information including the target parameter is determined to be fraudulent.
As a result, it is possible to expand the range of fraud determination to include not only the target parameter whose distance from the fraud parameter is 1, but also a wider range, and it is possible to expand the fraud judgment range to include a wider range of fraud when a fraudulent user circumvents BL123 and uses the service. Behavior can be restrained.
本実施形態では、グラフ作成部135が、アクション内容及びパラメータをノードNとして、互いに関連付けられたアクション内容及びパラメータに対応する一対のノードNをリンクLにより接続し、不正パラメータ及び不正パラメータ候補に対応するノードNを、他の通常のパラメータのノードNとは異なる表示形態で表示したネットワークグラフを作成する。
これにより、不正検出装置10の管理者は、当該ネットワークグラフを確認することで、BL123の更新等を容易に行える。また、本実施形態では、上述した第一閾値、第二閾値、第三閾値は、不正検出装置10の管理者によって適宜調整することが可能であり、管理者が、ネットワークグラフを確認することで、これらの閾値を適正な値に容易に調整することができる。
In this embodiment, the
Thereby, the administrator of the
本実施形態では、各サービスサーバ20と別体として不正検出装置10が設けられ、各サービスサーバ20を介してユーザ端末30から送信されるアクション要求情報を受信する。この場合、各サービスサーバ20のサービス内容に応じた様々なパラメータを受信することがで、これらのパラメータの関連付けを行うことができる。したがって、あるサービスにおいて、不正なサービスの利用として判定されたユーザのパラメータがBL123に登録されると、そのパラメータに関連する他のパラメータも不正パラメータとしてBL123に登録される可能性が高くなる。このため、当該ユーザが他のサービスを利用する場合に不正ユーザとして判定される可能性が高くなり、ユーザのサービスの不正利用に対する抑止力としてすることができる。
In this embodiment, a
[変形例]
なお、本発明は、上述した実施形態に限定されるものではなく、本発明の目的を達成できる範囲で、以下に示される変形をも含むものである。
[Modified example]
Note that the present invention is not limited to the embodiments described above, but includes the following modifications as long as the object of the present invention can be achieved.
[変形例1]
上記実施形態では、ステップS9において、不正パラメータからの距離が第三閾値以内の対象パラメータを含むアクション要求情報を不正と判定した。これに対して、他の不正パラメータからの距離をさらに考慮してもよい。
例えば、対象パラメータからの距離が第三閾値以内の範囲に、第一閾値以上の不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。また、対象パラメータからの距離が第三閾値以内の範囲に存在するアクション内容のうち、第二閾値以上の割合で不正パラメータが存在する場合に、対象パラメータを含むアクション要求情報を不正と判定してもよい。
[Modification 1]
In the embodiment described above, in step S9, action request information including a target parameter whose distance from the fraudulent parameter is within the third threshold is determined to be fraudulent. On the other hand, distance from other fraud parameters may be further considered.
For example, if a fraudulent parameter equal to or greater than the first threshold exists within a range within a third threshold from the target parameter, action request information including the target parameter may be determined to be fraudulent. In addition, if there are invalid parameters at a rate equal to or greater than the second threshold among the action contents whose distance from the target parameter is within the third threshold, the action request information including the target parameter is determined to be invalid. Good too.
[変形例2]
上記実施形態では、ステップS2によりYESと判定された場合に、ステップS3の処理を実施したが、ステップS3を先に実施し、ステップS3でYESと判定される場合にステップS2の処理を実施してもよい。この場合でも、上記実施形態と同様に、ステップS2及びステップS3の双方でYESと判定されることで、対象パラメータを不正パラメータとして検出する。
さらに、上記実施形態では、ステップS2及びステップS3の双方を実施する例を示しているが、ステップS2及びステップS3のいずれかのみが実施されてもよい。
[Modification 2]
In the above embodiment, when the determination in step S2 is YES, the process in step S3 is executed. However, it is also possible to perform the process in step S3 first and execute the process in step S2 when it is determined to be YES in step S3. You can. Even in this case, similarly to the above embodiment, if YES is determined in both step S2 and step S3, the target parameter is detected as an incorrect parameter.
Further, in the above embodiment, an example is shown in which both step S2 and step S3 are performed, but only either step S2 or step S3 may be performed.
[変形例3]
上記実施形態では、不正検出装置10と、サービスサーバ20とが別体として設けられ、不正検出装置10は、ユーザ端末30から送信されアクション要求情報がサービスサーバ20を介して受信する構成であるが、これに限定されない。
例えば、各サービスサーバ20を不正検出装置10として機能させてもよい。この場合、各サービスサーバ20の制御部(プロセッサー)が記憶部に記憶された不正検出プログラムを読み出し実行することで、要求受信部131、関連付部132、不正パラメータ検出部133、リスト登録部134、グラフ作成部135、及び不正判定部136として機能する。
[Modification 3]
In the above embodiment, the
For example, each
1…不正検出システム、10…不正検出装置、11…通信部、12…記憶部、13…制御部、20…サービスサーバ、30…ユーザ端末、131…要求受信部、132…関連付部、133…不正パラメータ検出部、134…リスト登録部、135…グラフ作成部、136…不正判定部、121…アクションデータベース、122…関連データベース、123…ブロックリスト、L…リンク、N…ノード。 1... Fraud detection system, 10... Fraud detection device, 11... Communication unit, 12... Storage unit, 13... Control unit, 20... Service server, 30... User terminal, 131... Request receiving unit, 132... Association unit, 133 . . . Fraud parameter detection unit, 134 . . . List registration unit, 135 .
Claims (7)
1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付部と、
不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定部と、
過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録部と、を備える、不正検出装置。 a request receiving unit that receives action request information that requests execution of a predetermined action and includes action content that is the content of the action and a plurality of parameters when requesting the action;
The action content included in one piece of action request information and a plurality of the parameters are associated with each other, and the parameter of the newly received action request information is the parameter included in the previously received action request information. an association unit that associates the action contents associated with the parameter with each other when the parameter is the same as the parameter;
a fraud determining unit that determines whether or not the newly received action content is a fraudulent fraudulent action based on a block list that records fraudulent parameters that are the parameters that should be determined to be fraudulent;
A fraud detection device comprising: a list registration unit that registers the parameter as the fraud parameter in the block list when the fraud action associated with the parameter received in the past satisfies a predetermined condition.
請求項1に記載の不正検出装置。 The list registration unit registers the parameter as a fraudulent parameter when a number of fraudulent actions equal to or greater than a first threshold are associated with the parameter received in the past.
The fraud detection device according to claim 1.
請求項1に記載の不正検出装置。 The list registration unit determines when, among the plurality of action contents associated with the parameter included in the action request information received in the past, a proportion of the action contents equal to or higher than a second threshold value are the fraudulent actions. , registering the parameter as the invalid parameter;
The fraud detection device according to claim 1.
前記不正判定部は、新規に受信した前記アクション要求情報に含まれるパラメータの前記不正パラメータからの距離が第三閾値以内となる場合に、当該アクション要求情報を不正と判定する、
請求項1から請求項3のいずれか1項に記載の不正検出装置。 The action content that is associated with the fraudulent parameter and does not include the fraudulent action is a fraudulent action candidate with a distance of 1, and the parameter that is associated with the fraudulent action candidate with a distance of 1 is The parameter that does not include a fraudulent parameter is defined as a fraudulent parameter candidate with a distance of 1, and the action content that is associated with a fraudulent parameter candidate with a distance of i and that does not include a fraudulent action candidate with a distance of i is defined as a distance. is a fraudulent action candidate with a distance of i+1, and the parameter that is associated with a fraudulent action candidate with a distance of i+1 and does not include a fraudulent parameter candidate with a distance of i is a fraudulent parameter candidate with a distance of i+1. ,
The fraud determining unit determines that the newly received action request information is fraudulent if a distance from the fraudulent parameter of a parameter included in the newly received action request information is within a third threshold.
The fraud detection device according to any one of claims 1 to 3.
請求項1から請求項4のいずれか1項に記載の不正検出装置。 The action content and the parameter are used as nodes, a pair of nodes corresponding to the action content and the parameter that are associated with each other are connected by a link, and the node corresponding to the invalid parameter is connected to the node of the other parameter. further comprising a graph creation unit that creates a network graph displayed in a display format different from the
The fraud detection device according to any one of claims 1 to 4.
前記アクション要求情報は、前記アクションの内容であるアクション内容と、前記アクションを要求する際の複数のパラメータとを含み、
前記コンピュータは、要求受信部、関連付部、不正判定部、及びリスト登録部を備え、
前記要求受信部が、前記アクション要求情報を受信する要求受信ステップと、
前記関連付部が、1つの前記アクション要求情報に含まれる前記アクション内容と複数の前記パラメータとを互いに関連付け、かつ、新たに受信した前記アクション要求情報の前記パラメータが、過去に受信した前記アクション要求情報に含まれる前記パラメータと同一である場合に、当該パラメータに関連付けられた前記アクション内容を互いに関連付ける関連付ステップと、
前記不正判定部が、不正と判定すべき前記パラメータである不正パラメータを記録したブロックリストに基づいて、新規に受信した前記アクション内容が不正な不正アクションであるか否かを判定する不正判定ステップと、
前記リスト登録部が、過去に受信した前記パラメータに関連付けられる前記不正アクションが所定の条件を満たす場合に、当該パラメータを前記不正パラメータとして前記ブロックリストに登録するリスト登録ステップと、
を実施する、不正検出方法。 A fraud detection method for detecting fraud in action request information sent by a computer from a user terminal requesting execution of a predetermined action, the method comprising:
The action request information includes action content that is the content of the action and a plurality of parameters when requesting the action,
The computer includes a request reception unit, an association unit, a fraud determination unit, and a list registration unit,
a request receiving step in which the request receiving unit receives the action request information;
The association unit associates the action content included in one piece of the action request information with a plurality of the parameters, and the parameter of the newly received action request information corresponds to the action request received in the past. an associating step of associating the action contents associated with the parameters when they are the same as the parameters included in the information;
a fraud determination step in which the fraud determination unit determines whether or not the newly received action content is a fraudulent action based on a block list that records fraud parameters that are the parameters to be determined as fraud; ,
a list registration step in which the list registration unit registers the parameter as the fraudulent parameter in the block list if the fraudulent action associated with the previously received parameter satisfies a predetermined condition;
A fraud detection method that implements.
前記コンピュータを請求項1から請求項5のいずれか1項に記載の不正検出装置として機能させる、不正検出プログラム。 A fraud detection program readable and executable by a computer,
A fraud detection program that causes the computer to function as the fraud detection device according to any one of claims 1 to 5.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022043826A JP7403565B2 (en) | 2022-03-18 | 2022-03-18 | Fraud detection device, fraud detection method, and fraud detection program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2022043826A JP7403565B2 (en) | 2022-03-18 | 2022-03-18 | Fraud detection device, fraud detection method, and fraud detection program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2023137572A JP2023137572A (en) | 2023-09-29 |
JP7403565B2 true JP7403565B2 (en) | 2023-12-22 |
Family
ID=88144893
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2022043826A Active JP7403565B2 (en) | 2022-03-18 | 2022-03-18 | Fraud detection device, fraud detection method, and fraud detection program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7403565B2 (en) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100211997A1 (en) | 2008-12-26 | 2010-08-19 | Mcgeehan Ryan | Authenticating user sessions based on reputation of user locations |
JP2018041316A (en) | 2016-09-08 | 2018-03-15 | 株式会社野村総合研究所 | Device, method, and computer program for detecting unauthorized access |
JP2018142266A (en) | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | Illegal access detector, program and method |
US20220012745A1 (en) | 2016-06-23 | 2022-01-13 | Capital One Services, Llc | Neural network systems and methods for generating distributed representations of electronic transaction information |
-
2022
- 2022-03-18 JP JP2022043826A patent/JP7403565B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100211997A1 (en) | 2008-12-26 | 2010-08-19 | Mcgeehan Ryan | Authenticating user sessions based on reputation of user locations |
US20220012745A1 (en) | 2016-06-23 | 2022-01-13 | Capital One Services, Llc | Neural network systems and methods for generating distributed representations of electronic transaction information |
JP2018041316A (en) | 2016-09-08 | 2018-03-15 | 株式会社野村総合研究所 | Device, method, and computer program for detecting unauthorized access |
JP2018142266A (en) | 2017-02-28 | 2018-09-13 | 株式会社野村総合研究所 | Illegal access detector, program and method |
Also Published As
Publication number | Publication date |
---|---|
JP2023137572A (en) | 2023-09-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20220101330A1 (en) | Systems and methods for dynamically detecting and preventing consumer fraud | |
US20200118131A1 (en) | Database transaction compliance | |
JP6068506B2 (en) | System and method for dynamic scoring of online fraud detection | |
CA2580731C (en) | Fraud risk advisor | |
JP5889300B2 (en) | Method and system for reliability assessment of online trading users | |
US11710195B2 (en) | Detection and prevention of fraudulent activity on social media accounts | |
CN112534453A (en) | Block chain transaction security | |
US20130346142A1 (en) | Internet transaction analysis system and method | |
CA3056277C (en) | System for managing transactional data | |
JP2021504861A (en) | Protected e-commerce and e-financial trading systems, devices, and methods | |
TW202105303A (en) | Fraud deduction system, fraud deduction method, and program | |
US20210105302A1 (en) | Systems And Methods For Determining User Intent At A Website And Responding To The User Intent | |
EP3822895A1 (en) | Prevention of malicious activity through friction point implementation | |
CN105760441B (en) | Event result display method and device | |
US10679244B1 (en) | Publisher identity verification through cross-domain barrier | |
US10546304B2 (en) | Risk assessment based on listing information | |
JP7403565B2 (en) | Fraud detection device, fraud detection method, and fraud detection program | |
US20230012460A1 (en) | Fraud Detection and Prevention System | |
CN111078757A (en) | Autonomous learning business wind control rule engine system and risk assessment method | |
JP6835507B2 (en) | Unauthorized access detector, unauthorized access detection method and computer program | |
EP4239557A1 (en) | Real-time fraud detection based on device fingerprinting | |
US11748793B2 (en) | Transaction access control using tokenized reputation scores | |
JP7037628B2 (en) | Unauthorized access detector, unauthorized access detection method and computer program | |
US20230237467A1 (en) | Risk Analysis System for Cold Restore Requests for Digital Wallets | |
TW202244825A (en) | Lending risk detection method and computing device thereof wherein the potential risks of borrowers borrowing through their relatives and friends can be considered to more accurately assess lending risks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220617 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230801 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20231026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231128 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231212 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7403565 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |