RU2758359C1 - Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами - Google Patents

Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами Download PDF

Info

Publication number
RU2758359C1
RU2758359C1 RU2020120453A RU2020120453A RU2758359C1 RU 2758359 C1 RU2758359 C1 RU 2758359C1 RU 2020120453 A RU2020120453 A RU 2020120453A RU 2020120453 A RU2020120453 A RU 2020120453A RU 2758359 C1 RU2758359 C1 RU 2758359C1
Authority
RU
Russia
Prior art keywords
user
activity
users
activities
security service
Prior art date
Application number
RU2020120453A
Other languages
English (en)
Inventor
Сергей Николаевич Иванов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2020120453A priority Critical patent/RU2758359C1/ru
Priority to US17/083,160 priority patent/US11687949B2/en
Application granted granted Critical
Publication of RU2758359C1 publication Critical patent/RU2758359C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/018Certifying business or products
    • G06Q30/0185Product, service or business identity fraud
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0201Market modelling; Market analysis; Collecting market data
    • G06Q30/0204Market segmentation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q40/00Finance; Insurance; Tax strategies; Processing of corporate or income taxes
    • G06Q40/02Banking, e.g. interest calculation or account maintenance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • Development Economics (AREA)
  • Theoretical Computer Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Marketing (AREA)
  • Economics (AREA)
  • Computing Systems (AREA)
  • Game Theory and Decision Science (AREA)
  • Data Mining & Analysis (AREA)
  • Technology Law (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении выявления аномальной активности при взаимодействии пользователей с удаленными сервисами. Способ выявления аномальной активности при взаимодействии пользователей с удаленными сервисами содержит этапы, на которых выявляют признаки активностей пользователей при взаимодействии пользователей с удаленными сервисами во время заданного временного интервала с помощью скрипта, исполняющегося в браузере на вычислительных устройствах пользователей при взаимодействии пользователя с веб-страницей удаленного сервиса; с помощью сервиса безопасности на основании выявленных признаков активностей пользователей выявляют активности каждого пользователя, соответствующие определенному сценарию активностей пользователя; с помощью сервиса безопасности вычисляют степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя в заданном временном интервале; с помощью сервиса безопасности выявляют аномальную активность пользователей. 5 з.п. ф-лы, 3 ил.

Description

Область техники
Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователей с банковскими сервисами, а более конкретно к системам и способам выявления мошеннических активностей при взаимодействии пользователей с банковскими сервисами.
Уровень техники
В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, поставщиков пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные банковские операции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным выполнение банковский операций без использования пластиковой карты или реквизитов банковского счета.
Кроме того, существуют различные механизмы защиты средств пользователей от несанкционированного доступа к ним третьих лиц. При работе пользователей с онлайн-банкингом зачастую используется такой метод, как двухэтапная аутентификация: после ввода в браузере на сайте банка аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.
Однако, стоит отметить, что существует множество мошеннических (англ. fraud) атак, использующих уязвимые стороны при взаимодействии пользователей с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователей. Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение (например, инструменты удаленного администрирования) также позволяет злоумышленникам красть данные учетных записей (и прочие конфиденциальные данные) пользователей и проводить транзакции с подтверждением без ведома пользователей.
Известны технологии, использующие для защиты пользователей от мошеннической активности, так называемый цифровой отпечаток устройства пользователя (англ. device fingerprint). Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения, или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается недоверенным.
Так, публикация US 20150324802 описывает технологию аутентификации транзакций пользователей. При аутентификации используются цифровые отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).
Также известны многократные случаи массовой мошеннической активности. Массовая мошенническая активность позволяет многократно выполнять одни и те же действия от имени пользователя, при этом действия являются легитимными. Вредоносность такой мошеннической активности именно в ее массовости. Зачастую массовая мошенническая активность производится с помощью автоматизированных средств (например, ботов). При этом массовая мошенническая активность выполняется посредством браузеров с устройств, на которых не установлено никаких средств противодействия мошеннической активности (например, антивирусных приложений). Существующие системы и способы неэффективны при обнаружении массовой мошеннической активности, так как не позволяют выявить массовость мошеннической активности (например, все устройства, с которых выполняется упомянутая массовая мошенническая активность).
Настоящее изобретение позволяет выявлять массовые мошеннические активности при взаимодействии пользователей с банковскими сервисами посредством браузера.
Сущность изобретения
Настоящее изобретение предназначено для выявления мошеннических активностей при взаимодействии пользователей с банковскими сервисами путем выявления аномальных активностей во временном интервале.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется способ выявления аномальной активности при взаимодействии пользователей с удаленными сервисами, содержащий этапы, на которых: выявляют признаки активностей пользователей при взаимодействии пользователей с удаленными сервисами во время заданного временного интервала с помощью скрипта, исполняющегося в браузере на вычислительных устройствах пользователей; с помощью сервиса безопасности на основании выявленных признаков активностей пользователей выявляют активности каждого пользователя, соответствующие определенному сценарию активностей пользователя; с помощью сервиса безопасности вычисляют степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя в заданном временном интервале; с помощью сервиса безопасности выявляют аномальную активность пользователей в случае, если степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя, выше порогового значения.
Согласно другому варианту реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является действие пользователя.
Согласно одному из частных вариантов реализации предоставляется способ, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является контекст действия пользователя.
Согласно одному из частных вариантов реализации предоставляется способ, в котором сервисом безопасности является облачный сервис безопасности.
Согласно одному из частных вариантов реализации предоставляется способ, в котором сценарий активностей пользователя содержит по меньшей мере две активности пользователя.
Согласно одному из частных вариантов реализации предоставляется способ, в котором вычисляют степень аномальности активностей пользователей на основании количества всех пользователей, связанных со сценарием активностей пользователя, и количества пользователей, связанных со сценарием активностей пользователя в заданном временном интервале.
Согласно одному из частных вариантов реализации предоставляется способ, в котором степень аномальности активностей пользователя вычисляют с использованием статистической меры, используемой для оценки важности слова в контексте документа.
Согласно одному из частных вариантов реализации предоставляется способ, в котором в качестве документов используют пользователей, а в качестве слов используют сценарий активностей пользователя.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структуру системы выявления массовых мошеннических активностей.
Фиг. 2 отображает схему способа выявления массовых мошеннических активностей.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг. 1 отображает структуру системы выявления массовых мошеннических активностей.
Система выявления массовых мошеннических активностей состоит из браузера 110, выполняющегося на вычислительном устройстве пользователя 100, скрипта 120, выполняющегося в браузере 110, удаленного сервера 130, который предоставляет сервисы пользователю, и с которым взаимодействует пользователь посредством устройства 100, и сервиса безопасности 140, с которым взаимодействует скрипт 120.
Вычислительное устройство пользователя 100 (далее по тексту устройство 100) содержит программную среду исполнения (например, операционную систему), в которой выполняется браузер 110.
В общем случае при взаимодействии пользователей посредством браузера 110, выполняющегося на устройстве 100, с удаленным сервером 130, удаленный сервер передает браузеру 110 веб-страницу, которая в свою очередь содержит файл сценария - скрипт 120 (например, написанный на языке JavaScript).
Удаленным сервером 130 может являться:
- банковский сервер (предоставляемые сервисы: платежи, кредиты, программы лояльности);
- сервер микрофинансовой организации (платежи, кредиты);
- сервер онлайн-магазина (программы лояльности);
- сервер провайдера телекоммуникационных услуг (платежи, программы лояльности);
- сервер логистической (транспортной) компании (платежи, программы лояльности).
Далее по тексту удаленным сервером 130 для большей наглядности является банковский сервер 130.
Скрипт 120 исполняется при открытии в браузере 110 веб-страницы, полученной от банковского сервера 130. Результаты исполнения скрипт 120 передает сервису безопасности 140, который в свою очередь анализирует полученные результаты.
В общем случае активность пользователя при взаимодействии с банковским сервером 130 содержит по меньшей мере следующие признаки (признаки более подробно описаны ниже, при описании сервиса безопасности 140):
- действие пользователя, выполняемое в момент активности;
- контекст действия пользователя, выполняемого в момент активности.
Выявление признаков активности при взаимодействии пользователя с банковским сервером 130 в общем случае выполняет скрипт 120 в результате открытия в браузере 110 веб-страницы, полученной от банковского сервера 130.
В предпочтительном варианте реализации скрипт 120 выявляет по меньшей мере следующие действия пользователя при работе с веб-страницей, полученной от банковского сервера 130:
- навигацию пользователя (т.е. последовательный переход между страницами или элементами страниц с помощью кликов, прокрутки страницы или иных действий);
- фокусировку на элементе веб-страницы (т.е. наведение на заданный элемент курсора мышки или установку фокуса на заданном элементе с помощью клавиатуры или иного устройства ввода);
- ввод данных на странице (в том числе с использованием специализированных элементов интерфейса, таких как формы, поля ввода, панель навигации и т.п.);
- взаимодействие с элементом интерфейса (нажатие кнопок мыши, в том числе двойные, ввод текста с клавиатуры или нажатие отдельных клавиш, перетаскивание элемента и т.д.).
Для выявления контекста действия пользователя при взаимодействии с банковским сервером 130 посредством браузера 110 скрипт 120 собирает по меньшей мере одно из:
- доступную информацию о браузере 110;
- доступную информацию о приложениях, взаимодействующих с браузером (плагинах или внешних приложениях);
- доступную информацию об устройстве пользователя 100 (к примеру IP-адрес, информацию о процессоре и т.д.).
При открытии страницы браузер 110 посылает банковскому серверу 130 идентификационную информацию. Это текстовая строка, являющаяся частью HTTP-запроса, начинающаяся с «User-Agent» и обычно включающая такую информацию, как название браузера 110, версию браузера 110, информацию об операционной системе устройства 100 (название, версия и т.д.), язык операционной системы устройства 100 и прочее. Данные, содержащие упомянутую информацию, могут быть получены скриптом 120 или вычислены облачным сервисом безопасности на основании информации, полученной скриптом 120.
Выявленные данные об активности пользователя скрипт 120 передает сервису безопасности 140. В рамках настоящего изобретения сервис безопасности 140 - это сервис, ресурсы которого полностью или частично используются для удаленного выявления вредоносных программ и вредоносной активности на основании полученных данных (например файлов или упомянутых выше данных об активности пользователя). В предпочтительном варианте реализации сервисом безопасности 140 является облачный сервис безопасности 140, например Kaspersky Security Network (далее по тексту используется признак «облачный сервис безопасности 140»).
В общем случае настоящее изобретение позволяет выявлять массовую мошенническую активность посредством облачного сервиса безопасности 140, при этом облачный сервис безопасности 140 выявляет аномалии в активностях пользователей, основываясь на исторических данных взаимодействия пользователей с банковским сервером 130. В общем случае реализации облачный сервис безопасности 140 накапливает исторические данные в процессе функционирования, то есть данные об уже совершенных активностях пользователей.
Аномалия в активностях пользователя - взаимодействие пользователя с банковским сервером 130 в заданном временном интервале, отличающееся от ожидаемого, то есть от взаимодействия, соответствующего либо с высокой степенью похожего на исторически известные взаимодействия пользователя с банковским сервером 130.
Задача выявления аномалии облачным сервисом безопасности 140 в общем случае реализации может быть сформулирована как обнаружение массовой аномальной активности в заданном временном окне (временном интервале), затрагивающей группу пользователей, объединенную общими признаками. Настоящее изобретение позволяет выявлять как массовые аномальные активности, совершаемые автоматизированными средствами (например, ботами), так и активности, совершаемые вручную (без автоматизации) одним человеком либо группой от имени различных пользователей. Размер группы пользователей, связанных с аномалией, может варьироваться. Для выявления аномалий облачный сервис безопасности 140 сравнивает признаки активностей пользователей в текущем временном окне с историческими данными. В качестве признака активности облачный сервис безопасности 140 использует значение, производное от всех сессий пользователей, для которых вычисляется признак, которое можно сопоставить с историческими (ожидаемыми) данными.
Стоит отметить, что массовые аномальные активности объединены общими признаками аномальности, возможно несколькими. Например, происходят с использованием:
- одного сетевого местоположения (IP-адреса, подсети, страны и т.п.);
- одного физического окружения (браузер, ОС, отпечаток виртуального устройства);
- одного сценария активностей пользователя в сессии (последовательность действий пользователя, например событий ввода, навигаций).
Для обнаружения массовой аномальной активности облачный сервис безопасности 140 использует признаки аномальности для разбиения на группы всех активных сессий пользователей в текущем временном окне, а для полученных групп вычисляет степень аномальности. В предпочтительном варианте реализации облачный сервис безопасности 140 использует сценарий активностей пользователя в сессии как признак аномальности. Стоит отметить, что массовая мошенническая активность может происходить с разных устройств 100, с разных IP-адресов, разных браузеров 110 и операционных систем, но сценарий таких массовых мошеннических активностей совпадает.
Например, произошла утечка базы данных учетных записей (более 10 тысяч записей). Злоумышленники проверяют, например с помощью ботов, действительная ли база. Для этого (с помощью ботнета, при этом отпечатки устройств 100 и IP-адреса разные) проверяют действительность учетных записей. Первый бот выполняет сценарий входа (логин, англ. login), выхода (англ. logoff). Второй бот по действительным учетным записям выполняет сценарий просмотра счетов или писем (логин, затем переход на страницу со счетами или в почтовый ящик). Третий бот выполняет сценарий перевода средств или хищения конфиденциальных данных (логин, денежный перевод или пересылка письма).
Сценарий активностей пользователя в сессии содержит по меньшей мере две активности пользователя, не обязательно смежные по времени. Таким образом, пользователи разбиваются облачным сервисом безопасности 140 на группы, которые выполняли один и тот же сценарий активности, то есть их действия соответствуют одному и тому же сценарию активности, затем для полученных групп вычисляется степень аномальности.
В одном из вариантов реализации облачный сервис безопасности 140 выделяет сценарии активностей в реальном времени, группируя и/или кластеризуя действия пользователей. Стоит отметить, что задачи кластеризации и группировки пользователей по действиям могут выполняться облачным сервисом безопасности 140 по признакам активностей известными из уровня техники способами, которые выходят за рамки настоящего изобретения.
Облачный сервис безопасности 140 для расчета степени аномальности использует TF-IDF признака аномальности. TF-IDF (от англ. TF - term frequency, IDF - inverse document frequency) - статистическая мера, используемая для оценки важности слова в контексте документа (например, веб-страницы), являющегося частью коллекции документов или корпуса документов. Вес некоторого слова пропорционален частоте употребления этого слова в документе и обратно пропорционален частоте употребления слова во всех документах коллекции. В рамках настоящего изобретения облачный сервис безопасности 140 в качестве документов использует пользователей, а в качестве слов - значения общих признаков аномальности.
Пример расчета приведен ниже. Пусть:
Δt - временное окно для расчета аномальности;
U - множество всех пользователей;
N=|U| - общее число пользователей;
s - сессия пользователя;
UΔt=[u ∈ U:*∃s | s ∈ u Λ s ∈ Δt] - множество всех пользователей, имеющих сессии во временном окне;
NΔt=|UΔt| - число пользователей во временном окне;
а - значение общего признака, в предпочтительном варианте реализации - конкретный сценарий активностей пользователя;
t a - время жизни значения признака (период от первого появления до момента времени расчета аномальности);
ΔU - доля новых пользователей, при этом новые пользователи - это пользователи, которые были выявлены впервые в заданном временном окне Δt, а доля новых пользователей - это процент от множества всех пользователей на начало временного окна (то есть, например, если в начале месяца было 1000 пользователей, а в течение месяца выявлены 100 новых пользователей, то, соответственно, их доля 10%);
U a ={u ∈ U: a ∈ u} - множество пользователей, связанных со значением признака;
N a =|U a | - число пользователей, связанных с признаком;
Figure 00000001
- множество пользователей с заданным значением признака во временном окне;
Figure 00000002
- число пользователей, связанных со значением признака во временном окне;
Figure 00000003
- число временных окон за время жизни значения признака.
При этом ожидаемое число пользователей для временного окна заданного размера вычисляется по формуле:
Figure 00000004
Значимость признака вычисляется по формуле:
Figure 00000005
Степень аномальности вычисляется по формуле:
Figure 00000006
Вычисленную степень аномальности облачный сервис безопасности 140 сравнивает с пороговым значением. В случае превышения порогового значения сервис безопасности 140 выявляет массовую аномальную активность, которая с высокой долей вероятности является мошеннической, так как аномальная массовость выполнения конкретного сценария пользователем при взаимодействии с банковским сервером 130 может означать, что совершается мошенническая активность, о чем облачный сервис безопасности 140 передает информацию банковскому серверу 130 для расследования возможного инцидента.
В различных вариантах реализации с учетом данных, полученных от скрипта 120, облачный сервис безопасности 140 может выявлять аномалии по различным параметрам активности. Определить наличие аномалии также возможно, например, сравнив полученное от скрипта 120 (наблюдаемое) значение какого-либо параметра с известным (ожидаемым, историческим) значением. Параметр может быть рассчитан облачным сервисом безопасности 140 на основании полученных от скрипта 120 признаков активности пользователя при взаимодействии с банковским сервисом 130.
Примеры параметров, по которым облачным сервисом безопасности 140 могут быть выявлены аномалии при взаимодействии пользователя с банковским сервером 130:
-число сессий браузера 110 и банковского сервера 130 в единицу времени;
- число сессий браузера 110 и банковского сервера 130 с заданным поведением (то есть, соответствующим или с высокой степенью похожим на заранее заданную последовательность действий пользователя);
- скорость навигации в браузере 110 (в результате перечисленных выше действий пользователя, выявленных скриптом 120) в сессии пользователя;
- скорость/частота событий ввода (в результате перечисленных выше действий пользователя, выявленных скриптом 120);
- число уникальных пользователей, взаимодействующих с банковским сервером 130, в единицу времени.
Фиг. 2 отображает схему способа выявления массовых мошеннических активностей.
На этапе 210 выявляют признаки активностей пользователей при взаимодействии пользователей с банковскими сервисами 130 во время заданного временного интервала с помощью скрипта, исполняющегося в браузере 110 на вычислительных устройствах пользователей 100. Скрипт 120 исполняется при открытии в браузере 110 веб-страницы, полученной от банковского сервера 130.
В общем случае активность пользователя при взаимодействии с банковским сервером 130 содержит по меньшей мере следующие признаки:
- действие пользователя, выполняемое в момент активности;
- контекст действия пользователя, выполняемого в момент активности.
Результаты исполнения (выявленные признаки) скрипт 120 передает сервису безопасности 140, который в свою очередь анализирует полученные результаты.
На этапе 220 с помощью сервиса безопасности 140 на основании выявленных признаков активностей пользователей выявляют активности каждого пользователя, соответствующие определенному сценарию активностей пользователя. В предпочтительном варианте реализации сервисом безопасности 140 является облачный сервис безопасности. В общем случае сценарий активностей пользователя в сессии содержит по меньшей мере две активности пользователя, не обязательно смежные по времени. Таким образом, пользователи разбиваются сервисом безопасности 140 на группы, которые выполняли один и тот же сценарий активности, то есть их действия соответствуют одному и тому же сценарию активности.
На этапе 230 с помощью сервиса безопасности 140 вычисляют степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя в заданном временном интервале. В одном из вариантов реализации с помощью сервиса безопасности 140 вычисляют степень аномальности активностей пользователей на основании количества всех пользователей, связанных со сценарием активностей пользователя, и количества пользователей, связанных со сценарием активностей пользователя в заданном временном интервале. В еще одном из вариантов реализации степень аномальности активностей пользователя вычисляют с использованием статистической меры TF-IDF, используемой для оценки важности слова в контексте документа. При этом в качестве документов сервис безопасности 140 использует пользователей, а в качестве слов -сценарий активностей пользователя. Пример расчета степени аномальности подробно рассмотрен при описании Фиг. 1.
На этапе 240 с помощью сервиса безопасности 140 выявляют аномальную активность пользователей в случае, если степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя, выше порогового значения. В случае превышения порогового значения сервис безопасности 140 выявляет аномальную активность, которая с высокой долей вероятности является мошеннической, так как аномальная массовость выполнения конкретного сценария пользователем при взаимодействии с банковским сервером 130 может означать, что совершается мошенническая активность, о чем облачный сервис безопасности 140 передает информацию банковскому серверу 130 для расследования возможного инцидента.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (10)

1. Способ выявления аномальной активности при взаимодействии пользователей с удаленными сервисами, содержащий этапы, на которых:
а) выявляют признаки активностей пользователей при взаимодействии пользователей с удаленными сервисами во время заданного временного интервала с помощью скрипта, исполняющегося в браузере на вычислительных устройствах пользователей при взаимодействии пользователя с веб-страницей удаленного сервиса;
б) с помощью сервиса безопасности на основании выявленных признаков активностей пользователей выявляют активности каждого пользователя, соответствующие определенному сценарию активностей пользователя;
в) с помощью сервиса безопасности вычисляют степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя в заданном временном интервале, с использованием статистической меры, используемой для оценки важности слова в контексте документа, при этом в качестве документов используют пользователей, а в качестве слов используют сценарий активностей пользователя;
г) с помощью сервиса безопасности выявляют аномальную активность пользователей в случае, если степень аномальности активностей пользователей, соответствующих сценарию активностей пользователя, выше порогового значения.
2. Способ по п. 1, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является действие пользователя.
3. Способ по п. 1, в котором признаком активности пользователя при взаимодействии пользователя с удаленными сервисами является контекст действия пользователя.
4. Способ по п. 1, в котором сервисом безопасности является облачный сервис безопасности.
5. Способ по п. 1, в котором сценарий активностей пользователя содержит по меньшей мере две активности пользователя.
6. Способ по п. 1, в котором вычисляют степень аномальности активностей пользователей на основании количества всех пользователей, связанных со сценарием активностей пользователя, и количества пользователей, связанных со сценарием активностей пользователя в заданном временном интервале.
RU2020120453A 2020-06-19 2020-06-19 Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами RU2758359C1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2020120453A RU2758359C1 (ru) 2020-06-19 2020-06-19 Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
US17/083,160 US11687949B2 (en) 2020-06-19 2020-10-28 System and method of detecting mass hacking activities during the interaction of users with banking services

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020120453A RU2758359C1 (ru) 2020-06-19 2020-06-19 Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами

Publications (1)

Publication Number Publication Date
RU2758359C1 true RU2758359C1 (ru) 2021-10-28

Family

ID=78466455

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020120453A RU2758359C1 (ru) 2020-06-19 2020-06-19 Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами

Country Status (2)

Country Link
US (1) US11687949B2 (ru)
RU (1) RU2758359C1 (ru)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11533373B2 (en) * 2021-02-26 2022-12-20 Trackerdetect Ltd. Global iterative clustering algorithm to model entities' behaviors and detect anomalies

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2637477C1 (ru) * 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" Система и способ обнаружения фишинговых веб-страниц
WO2018190984A1 (en) * 2017-04-13 2018-10-18 Oracle International Corporation Novel non-parametric statistical behavioral identification ecosystem for electricity fraud detection
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
RU2708508C1 (ru) * 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070174080A1 (en) * 2006-01-20 2007-07-26 Christopher Scott Outwater Method and apparatus for improved transaction security using a telephone as a security token
US20090049547A1 (en) * 2007-08-13 2009-02-19 Yuan Fan System for real-time intrusion detection of SQL injection web attacks
US9471920B2 (en) 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
US20150235152A1 (en) * 2014-02-18 2015-08-20 Palo Alto Research Center Incorporated System and method for modeling behavior change and consistency to detect malicious insiders
US10904272B2 (en) * 2017-11-02 2021-01-26 Allstate Insurance Company Consumer threat intelligence service

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
RU2626337C1 (ru) * 2016-02-18 2017-07-26 Акционерное общество "Лаборатория Касперского" Способ обнаружения мошеннической активности на устройстве пользователя
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2637477C1 (ru) * 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" Система и способ обнаружения фишинговых веб-страниц
WO2018190984A1 (en) * 2017-04-13 2018-10-18 Oracle International Corporation Novel non-parametric statistical behavioral identification ecosystem for electricity fraud detection
RU2708508C1 (ru) * 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями

Also Published As

Publication number Publication date
US20210398146A1 (en) 2021-12-23
US11687949B2 (en) 2023-06-27

Similar Documents

Publication Publication Date Title
US10044730B1 (en) Methods, systems, and articles of manufacture for implementing adaptive levels of assurance in a financial management system
US11171925B2 (en) Evaluating and modifying countermeasures based on aggregate transaction status
RU2635275C1 (ru) Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2626337C1 (ru) Способ обнаружения мошеннической активности на устройстве пользователя
US7908645B2 (en) System and method for fraud monitoring, detection, and tiered user authentication
JP6438534B2 (ja) 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
US11258819B1 (en) Security scoring based on multi domain telemetry data
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
US11223651B2 (en) Augmented data collection from suspected attackers of a computer network
US9998486B2 (en) System for utilizing one or more databases to identify a point of compromise
US10931697B2 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints
EP4068125B1 (en) Method of monitoring and protecting access to an online service
RU2762241C2 (ru) Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами
RU2617924C1 (ru) Способ обнаружения вредоносного приложения на устройстве пользователя
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
RU2769651C2 (ru) Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
EP3674942A1 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints
Roy et al. Real-time XSS Vulnerability Detection
EP3306508A1 (en) System and method for performing secure online banking transactions
CN117461288A (zh) 使用云资源管理日志的威胁检测