CN101142570B

CN101142570B - 网络安全和欺诈检测系统及方法

Info

Publication number: CN101142570B
Application number: CN2005800221484A
Authority: CN
Inventors: 格雷戈·皮尔逊; 贾森·德汉
Original assignee: IO VATION Inc
Current assignee: IO VATION Inc; Iovation Inc
Priority date: 2004-06-14
Filing date: 2005-06-14
Publication date: 2012-06-13
Anticipated expiration: 2025-06-14
Also published as: JP2012181844A; KR20070036125A; EP1756994A4; LT1756994T; US20080040802A1; US9203837B2; JP2008503001A; EP1756994B1; CA2570045A1; JP5207736B2; US8776225B2; EP1756994A2; WO2005125073A3; US7272728B2; US20060048211A1; ES2714377T3; CA2570045C; US9118646B2; US20050278542A1; US20130239182A1

Abstract

提供了一种用于检测和防止系统中的欺诈的系统及方法。该系统可以唯一地标识与网络相连的物理设备、注册唯一的设备、跟踪终端用户登录、将终端用户帐户与特定设备相关联并且与多个网络服务提供商共享信息。

Description

网络安全和欺诈检测系统及方法

技术领域

本发明总体上涉及包括欺诈性交易和身份盗用的检测及防止的网络安全的领域。通过共享关于终端用户与特定的网络设备之间的关联的信息，本发明有其他潜在的用途，包括但不限于内容分配、硬件认证、软件及其他电子媒体的防盗版保护、监控客户行为、目标营销以及客户关系管理。

背景技术

网络设备、服务提供商、无线技术及相关的软件产品的激增以及电信基础设施的持续发展已将因特网转变为一种日常使用的工具。商业正越来越多地将因特网用作一种与客户、销售商、雇员以及股东通信和进行商业交易的方法。理论上，在因特网上做生意常常是高效且节省成本的，特别是当可以电子地分配产品和服务时。实践上，由黑客、身份盗用、被盗的信用卡以及其他欺诈性行为引起的破坏可能是费用巨大的并且难以管理。至少，这些事实显著增大了与一般而言在任何类型的网络上、特别是在因特网上做生意相关联的风险和费用。

虽然通常采用许多方法使因特网的使用更加安全并使通信和商业交易便利，但是它们都存在固有的和可利用的弱点。登录名和密码是基本网络安全中最广泛使用和接受的形式之一，其中，访问被局限于登录和密码组合的准确匹配。识别有效的登录名常常是无价值的，特别是在登录对于观察者可见的网络上以及在用户有诸如“firstinitial lastname”的公共登录格式的组织中。由于终端用户常常使用公共的、简单的和默认的密码、共享密码并写下较为复杂的密码，所以密码可以被猜到、被请求或者被观察到。因此，用户名和密码的组合仅提供了基本的安全等级，而不应该排他地依赖这一组合来特别是保卫可通过因特网访问的网络。

二级用户认证系统迈出了超越仅依赖于用户名和密码的一步，并且可以大大提高安全性。二级认证依赖于用户自身拥有的某物，如专用硬件设备。例如，在用户为访问网络而输入有效的用户名和密码之后，用户可被给予代码，作为登录过程的一部分。用户在指定的时间内将该代码输入一设备，且该设备提供让用户输入的二级代码/密码，作为登录过程的一部分。这些系统尽管显著更安全，但并不完美。更重要的是，这些系统在保护公众可以访问的大型网络方面可能不实用，而且对登录产生相当大的障碍。

有时使用可通过USB端口与计算机相连的有时称为“软件狗”的硬件密钥来识别来自特定设备的终端用户连接。还使用用来唯一地标识特定网络设备的固定的系统组件序列号和其他硬件方法来限制对“已知”设备的访问。遗憾的是，这些方法可以以软件来拷贝和仿造。这些系统也产生障碍，而且在保护公众可以访问的大型网络方面可能不实用。

使用数字证书和可信的第三方认证授权是确保与网络相连的一方的确是它们所要求的一方的逐渐普及的方法。遗憾的是，证书可以被拷贝甚至被远程地盗窃。而且，必须相当地信任第三方核实组，第三方核实组对依赖于它们的网络没有直接的既得利益。使网络用户使用证书的需求尤其对于公众可以访问的大型网络也可产生相当大的障碍，并且对登录产生相当大的障碍。

有时使用因特网协议(IP)地址和依赖于IP地址的地理定位服务来核实终端用户或至少利用关于用户的已知信息来对可能的物理位置交叉参考。这些方法受到许多因特网用户每次连接到因特网时都获得新的临时IP地址的事实的限制。而且，利用IP地址来精确定位被连接的设备的实际位置由于分配IP号的块的特性和IP欺骗的相对容易性而有其固有的缺陷，IP欺骗是一种网络入侵者用来使得看起来他们是来自可信的或不同的IP地址的连接的技术。

在欺诈性行为中使用的负信用卡数据库和身份列表是合理的筛选工具并且就其节省成本来说应该被采用。然而，决不能排他地依赖这种列表，因为实践上不可能使这种列表为最新的且全面的。此外，这些列表完全没有提供防止所谓的“友好回收费”的保护，“友好回收费”就是用其自己的有效信用卡进行购买，但后来声称没有进行购买的信用卡持有者所做的拒绝支付。

诸如TrustMarque提供的RiskGardian的筛选服务和其他风险评估服务也是合理的筛选工具并且就其节省成本来说应该被采用。这些服务很少利用关于特定用户或设备的具体信息，而仅基于一般信息和趋势将相关联的相对风险分派给特定交易。最后，这样的服务排他地依赖于历史趋势，并且在识别新问题和显现风险区域方面表现不佳。

指纹、语音识别、视网膜扫描、面部识别、DNA及其他生物统计识别方法将变得越来越常见。目前，这些用户识别方法基本上是成本非常高的。而且，这些方法中的一个或多个必须因为大多数在因特网上做生意的组织考虑并采用而广泛分布并且为终端用户普遍接受。即使这种方法是可用的并且节省成本，但一旦唯一的生物统计标识被转换为电子信息，它们还是会被盗窃、拷贝和以其他方式受到危害。

虽然所有这些方法和其他方法都有其弱点并且可以被利用，但每种方法在网络安全中都占有一定的地位。访问类型、安全等级、用户群体特性以及其他因素将决定每个应用最适用的方法组。本发明并非旨在取代这些保护网络及筛选出未经授权用户的方法中的任何一种。各组织应自己作主采用任何和所有的节省成本的方法来筛选网络访问。本发明通过提供任何其他的以上典型系统和方法都无法提供的能力来增强安全性。因此，期望的是，提供一种网络安全和欺诈检测系统和方法，并且本发明正是针对此目的。

发明内容

通过唯一地标识连接到网络的网络设备并且将登录与所使用的每个网络设备相关联的系统来实现这些及其他目的。此信息可以用来观察登录行为，如来自“过多的”设备的帐户的连接、或来自同一设备的“过多的”帐户的连接。此外，此信息可以用来对由已知的欺诈性帐户所使用的物理设备进行交叉参考，并且对由特定设备所使用的其他帐户进行交叉参考。涉及可疑行为或欺诈性行为的物理设备、或与涉及可疑行为的帐户相关联的设备可被阻止连接到网络。最后，可以与利用所述系统的其他网络共享此信息。这样，基于每个独立网络的商业规则和风险容忍参数，一个网络上的与可疑行为或欺诈性行为相关联的物理设备可被拒绝访问其他网络。

因为该系统在由其他参与的企业所识别的“问题客户”对一企业开始制造问题之前就允许该企业避免这些“问题客户”，并且该系统使得在潜在的重复侵犯者制造更多问题之前就识别他们的过程简单，因此该系统是一种可以显著降低身份欺诈和因特网交易风险的先进的欺诈检测和防止工具。为了达到这一目的，该系统唯一地标识终端用户以及他们彼此之间的关联。该系统随着时间跟踪终端用户行为，基于网络服务提供商建立的参数识别“可疑”行为，并且维护终端用户关联和设备的状态。此信息被所有参与的企业共享，使得一企业可基于新的和现有客户所使用的网络设备以及那些设备关于其它企业的历史记录，做出关于这些新的和现有客户的最有根据的决定。在一个优选的实施例中，所述欺诈检测和防止系统由三个主要的实时组件组成，包括服务器、客户端和一组应用编程接口(API)。所述服务器包含被维护的欺诈历史记录的集中式数据库。所述客户端是向所述服务器“注册”了网络设备的小型可执行程序(有多行代码)。所述客户端可包含在由连接到网络所必须使用的网络服务提供商所分发的程序内。所述客户端也可以通过孤立的应用来递送、嵌入类似通用软件产品的网络浏览器内、或者甚至嵌入硬件或存储器中，其中的任何一种都需要当到网络的连接由该系统所保护的网络服务提供商授权时运行。所述客户端也可以在用户通过他们最喜爱的网络浏览器连接到网络服务提供商时，通过JavaScript、ActiveX控件或类似技术在要求时递送。例如，赌博网站可能让新用户下载产生纸牌桌面用户界面和逻辑的软件应用，而所述欺诈检测和防止系统的客户端是下载的软件应用的一部分。API(在一个优选的实施例中为“ieSnAPI”)是(利用所述欺诈检测和防止系统的)网络服务提供商的后端系统用来与该系统通信的一组工具。除了所述三个实时组件以外，该系统进一步包括两个管理组件，包括网管页面和报告模块。网管页面可允许该系统的用户调整其欺诈容忍等级、观察并改变独立客户的欺诈状态、并且检查客户彼此之间的关系。所述报告将保持向企业通知有新的欺诈行为的现有客户以及系统的使用。

因此，根据本发明，提供了一种网络安全及欺诈检测和防止系统。该系统具有一个或多个提供服务的网络服务提供商、以及为了使用所提供的服务而通过通信网络与网络服务提供商中的至少一个相连的网络设备。网络服务提供商中的至少一个具有包括客户端的欺诈检测器，当网络设备连接到网络服务提供商时，所述客户端下载至网络设备，所述客户端收集关于网络设备的信息以产生标识网络设备的指纹。所述欺诈检测器还具有数据库以及接收指纹、将指纹存储在数据库中并且将指纹与用户信息相关联的模块。根据本发明，指纹和用户信息在一个或多个网络服务提供商之间共享，以在网络服务提供商间检测利用网络设备进行的欺诈，并且其中基于网络服务提供商自己建立的一组状态规则，标识网络设备的指纹的状态被核实为对网络服务提供商是可接受的。

根据本发明的另一方面，提供了一种在网络设备连接到网络服务提供商的过程中利用来自多个关联的网络服务提供商的欺诈检测信息来检测欺诈的方法。利用所述方法，验证分配给网络设备的网络设备标识符，并验证网络设备的网络设备指纹与网络设备标识符的组合。此外，基于网络服务提供商的状态规则，网络设备的网络设备指纹和网络设备标识符的状态被核实为对网络服务提供商是可以接受的。然后，网络设备的网络设备指纹和网络设备标识符的状态被核实为对相关联的网络服务提供商是可以接受的。

根据本发明的再一方面，提供了一种在未知网络设备连接到网络服务提供商的过程中检测欺诈的方法。利用所述方法，启动网络设备上的应用，其又启动网络设备上的欺诈检测客户端。所述客户端然后确定网络设备为未注册的网络设备并接收向欺诈检测系统请求的网络设备标识符。所述客户端然后产生基于网络设备的特性的指纹，该指纹被转发至欺诈检测系统。欺诈检测系统然后核实网络设备的指纹不是复制的，并然后如果指纹不是复制的则向网络设备提供登录对话框。

提供了一种在未知网络设备连接到网络服务提供商的过程中检测欺诈的方法。最初，启动网络设备上的应用，该应用启动网络设备上的欺诈检测客户端。所述客户端确定网络设备为具有分配的网络设备标识符的经注册的网络设备，且所述客户端然后利用所分配的网络设备标识符产生基于网络设备的特性的指纹，该指纹被转发至欺诈检测系统。欺诈检测系统然后核实网络设备的指纹不是复制的，并核实网络设备标识符是有效的，并向网络设备提供登录对话框。

此外，提供了一种网络安全及欺诈检测和防止系统，该系统包括一个或多个提供服务的网络服务提供商、以及为了使用所提供的服务而通过通信网络与网络服务提供商中的至少一个相连的网络设备。至少一个网络服务提供商进一步包括具有客户端装置的欺诈检测器装置，当网络设备连接到网络服务提供商时，所述客户端装置下载至网络设备，所述客户端收集关于网络设备的信息以产生标识网络设备的指纹。所述欺诈检测装置还具有数据库以及接收指纹、将指纹存储在数据库中并且将指纹与用户信息相关联的装置，并且指纹和用户信息在一个或多个网络服务提供商之间共享，以在网络服务提供商间检测利用网络设备进行的欺诈，并且基于网络服务提供商自己建立的一组状态规则，标识网络设备的指纹的状态被核实为对网络服务提供商是可接受的。

附图说明

图1为根据本发明的计算机实施的电子交易网络，其使得一个或多个网络设备连接到一个或多个网络服务提供商，所述一个或多个网络服务提供商与为欺诈检测系统的一部分的欺诈检测服务器共享欺诈信息；

图2为根据本发明的网络设备的实例；

图3为根据本发明的网络服务提供商的实例；

图4为根据本发明的欺诈检测服务器的实例；

图5为每个网络服务提供商的数据库的一部分的实例；

图6为根据本发明的网络设备注册数据库的实例；

图7为根据本发明的标记网络设备的方法；

图8A为根据本发明的欺诈检测系统的数据库模式的一个优选实施例的实例的关系数据库表；

图8B-8E为图8A中所示的数据库表的进一步的细节；

图9A和9B为根据本发明的利用欺诈检测和防止系统来验证帐户的优选方法的流程图；

图9C和9D为根据本发明的利用欺诈检测和防止系统来验证新用户/设备的优选方法的流程图；以及

图9E和9F为根据本发明的利用欺诈检测和防止系统来验证现有用户/设备的优选方法的流程图。

具体实施方式

本发明特别适用于电子交易欺诈检测系统和方法，且正是关于这一点来描述本发明。然而，应理解，根据本发明的系统和方法诸如对于如下类型的交易具有更大的效用，在此类型的交易中，可能期望检测正由一个或多个网络设备和用户帐户通过通信网络执行的欺诈，或甚至检测和防止由试图通过电话或邮件远程地或甚至亲自地完成交易的个人所进行的潜在欺诈或身份盗用。此系统和方法的一个重要方面是将两条有关交易的信息相关联，针对所有客户监控这些关联，并与其他企业共享关于这些关联的状态信息。下面描述的是使用此系统来将物理设备与用户相关联。根据本发明，客户标识符、电话号码、驾驶执照号码、社会保障号码、邮件地址、收货地址、信用卡号码、电子邮件地址、网络设备、零售购买地点以及作为购买的一部分而被捕获的任何其他信息的任何组合的关联可以用来识别和最小化交易欺诈和身份盗用。本发明的最重要的方面之一是创建关联、随时间跟踪行为、并且与持续受益于共享此类信息的多个网络或企业共享信息。这样，可以在一个网络/企业中识别并阻止欺诈性行为，并且可以在通过该欺诈防止系统来共享信息的其他网络/企业中防止欺诈性行为。为了说明的目的，将描述在线赌博网站情况下的欺诈检测系统的一个特定实例。根据本发明，根据本发明的系统可以利用1)网络设备标识符(NDI)和网络设备指纹(NDF)来标识网络设备；2)仅NDI来标识网络设备；3)仅NDF来标识网络设备；4)可使用的任何其他数据来唯一地标识网络设备。用于标识网络设备的信息可称为设备标识符。在一些情况下，可能不可能从网络设备中提取数据，所以仅使用NDI来标识网络设备。在其他情况下，用来标识网络设备的其他数据可以为向电话定购系统呼叫的呼叫者的电话号码或者蜂窝电话的标识符。在下面所述的实例中，使用NDI和NDF二者来标识网络设备。

图1为根据本发明的计算机实施的电子交易网络20，其使得一个或多个网络设备(ND1，......NDn)22连接到一个或多个也称为主机的网络服务提供商(NSP1，......NSPn)24，网络服务提供商(NSP1，......NSPn)24与为欺诈检测系统的一部分的欺诈检测服务器26共享欺诈信息。如图1所示，欺诈检测服务器26可以通过私网与网络服务提供商互连，或可以通过通信网络28、如因特网或万维网或诸如无线网络或蜂窝网络的能够传送数字数据的任何其他网络来与网络服务提供商互连。如果欺诈检测服务器26与通信网络28相连，则网络服务提供商24与欺诈检测服务器26之间的数据可以被加密或通过虚拟私网传送以保证私密性和安全性。如图1所示，每个网络设备都可以采用诸如HTTP、HTTPS等公知的数据协议通过通信网络28与任何网络服务提供商24相连。在图1所示的系统中，每个网络服务提供商都可以向与其相连的网络设备提供服务并且可以与每个网络设备进行电子交易，如赌博游戏中的下注或产品购买。根据本发明，每个电子交易都容易受到欺诈，且每个网络设备及其用户都必须被唯一地标识以降低欺诈的风险。所以，款诈检测服务器26可以从每个网络服务提供商接收唯一用户标识信息并且产生唯一地标识每个网络设备的唯一网络设备标识符。利用依据本发明的唯一用户标识信息和唯一网络设备指纹，欺诈检测服务器26能够检测到跨电子交易网络20的欺诈行为。具体而言，欺诈服务器26可以利用本发明来提供集中式服务以唯一地标识物理设备、注册唯一设备、跟踪终端用户登录、将终端用户帐户与一个或多个特定设备相关联、将设备与一个或多个终端用户帐户相关联、并且与每个网络服务提供商共享该信息。欺诈服务器26可以包括集中式的网络设备注册数据库(NDRD)30。下面将参考图4至图7来描述根据本发明的欺诈服务器和欺诈检测系统的更多细节。

网络设备22例如可以为个人计算机、服务器计算机、膝上型计算机、诸如掌上设备或者Windows CE设备的个人数字助理(PDA)、蜂窝电话、无线设备如无线电子邮件设备或能够与计算机网络无线通信的其他设备、或者具有能够与计算机网络通信和处理电子交易的输入/输出能力、存储器和处理器的任何其他计算资源。网络设备也可以是被用来例如从邮购目录定购物品的用户电话。在工作中，网络设备如ND1可请求访问电子交易网络20和特定的网络服务提供商，如本实例中的NSP1。为了能够访问NSP、完成交易或访问网络的特定部分，用户必须通过网络设备来登录。NSP然后可将终端用户帐户标识符(EAI)传给欺诈服务器26。网络设备上的客户端程序可产生该网络设备的网络设备指纹(NDF)(除非该网络设备已经被分配了指纹)并将该NDF发送给欺诈服务器。欺诈服务器将EAI和NDF存储在NDRD 30中。如以下更加详细描述的那样，基于EAI和NDF，确定具有网络设备ND1的特定终端用户进行欺诈的可能性并采取适当的操作。假定准许网络设备ND1访问网络20，则该网络设备执行其电子交易。如果在该电子交易的过程中发生欺诈行为，则该信息也被存储在NDRD 30中。照这样，一个或多个网络服务提供商24选择性地在彼此之间共享欺诈信息(如以下更加详细的描述的那样)，使得对一个网络服务提供商进行的欺诈被登记入根据本发明的欺诈检测系统并被该系统跟踪。因而，甚至当已进行欺诈行为的用户或网络设备登录不同的网络服务提供商时，该用户或网络设备也被跟踪。所以，用户或网络设备的欺诈行为跨电子交易系统20被跟踪。现在，将更详细地描述每个网络设备。

图2为根据本发明的网络系统22的一个实例。在该实例中，网络设备为个人计算机。在该实例中，网络设备具有：用于向网络设备的用户显示信息和(任选地，图像)的诸如阴极射线管或液晶显示器的显示设备32、机壳34、以及允许用户与网络设备通信并允许网络设备与外界通信的一个或多个输入/输出设备如键盘36、鼠标38和用于连接到通信网络并与之通信的设备40，设备40诸如网络接口卡、线缆调制解调器、DSL调制解调器、无线调制解调器、电话线调制解调器等。网络设备22进一步包括一个或多个处理器42、诸如光带驱动器、光驱动器、硬盘驱动器、闪存等的即使在计算机系统断电时也能存储数据的持久性的存储设备44、以及诸如SRAM、DRAM、SDRAM等的暂时存储由处理器执行的数据且通常当计算机系统断电时丢失数据的存储器46。典型地，当处理器执行计算机程序的指令或基于那些指令处理数据时，所述指令和数据被加载到存储器46中。因而，当网络设备与电子交易系统20通信时，存储器可以存储操作系统(OS)48、浏览器应用50及下载的软件包52，其中这些中的每个都是具有多行指令的使网络设备执行特定功能的软件程序。例如，操作系统48如Windows 2000可用来向用户显示图形用户界面并允许用户执行其他计算机程序，如浏览器应用50及一个或多个下载的软件包52。众所周知，诸如Netscape Navigator或Microsoft Internet Explorer的浏览器应用当由处理器执行时允许用户访问万维网。在这个实例中，网络设备22可以使用由每个网络服务提供商(也称为主机)分发的可下载的应用52来与主机相连。例如，为了与主机1相连，用户必须通过客户端软件包1登录，而为了与主机2相连，用户必须通过客户端软件包2登录，等等。根据本发明，每个可下载的软件包可以包括小型客户端程序54，其在网络设备上执行若干工作，其中包括如下面所述地产生根据本发明的网络设备指纹和执行一些欺诈防止和检测功能。

根据本发明，嵌入在每个客户端软件包中的是执行通用网络设备注册方法(NDRM)的一部分的小型软件，通用网络设备注册方法将在后面参考图7更加详细地描述。在图1所示的实例中，每个主机代表由不共享终端用户身份的独立组织运转的不同的私网环境。而且在该实例中，每个主机所使用的集中式NDRD 30远程地位于欺诈服务器26并且是第三方所提供的服务。本领域的技术人员应该理解，可以在本发明的范围内以各种不同的方式实施NDRM。例如，可以跨多个计算设备(没有中央欺诈服务器26和中央NDRD)分发NDRM，其中，诸如网络设备和网络服务提供商的组合的计算设备每个都执行根据本发明的欺诈检测和防止系统的功能的一部分。可替换地，NDRM可以嵌入用户应用中、嵌入浏览器应用或其他通用应用中或固件中。此外，NDRM可以为孤立的应用或被远程地执行，且NDRM的所有这些实例都在本发明的范围之内。此外，可以在与网络连接的过程之前、之后和/或之中执行NDRM，或以定期的时间间隔执行NDRM，上述的所有组合都在本发明的范围之内。

可以针对不同的网络设备类型来定制根据本发明的NDRM。例如，对于与NSP相连的个人计算机，NDRM可以采用NDI和NDF来标识网络设备。对于蜂窝电话，典型地可以提取来自该蜂窝电话的数据，如其序列号等，使得可以只采用NDF来标识蜂窝电话网络设备。对于个人数字助理(PDA)网络设备，典型地可以只将数据/信息放在该PDA上，使得可以只采用NDI来标识该PDA。另例如，使用Linux的PC将需要与基于Windows的PC的客户端不同的客户端。根据本发明，也可以在如下情况下实施NDRM：在该情况下，可以使用卡上带有预加载的欺诈客户端模块的诸如智能卡或PCMCIA卡的硬件设备，其中卡具有其自己的唯一标识符，该唯一标识符可以用于唯一地标识该卡。因而，可以以各种不同的方式实施根据本发明的NDRM。现在将描述实例性的网络服务提供商(NSP)的更多细节。

图3为根据本发明的网络设备提供商24的实例。在该实例中，网络服务提供商可以为一个或多个能够通过诸如因特网或无线网络的通信网络与网络设备通信并且能够将网页或软件应用下载到网络设备的诸如web服务器、应用服务器、数据库服务器等的基于web的服务器计算机。在这个实例中，网络服务提供商24包括一个或多个处理器60、一个或多个如上所述的持久性存储设备62以及如上所述的存储器64。为了使网络服务提供商24向网络设备提供服务，存储器可以存储(且处理器可以执行)服务器操作系统64及交易处理软件系统68，以便于进行网络设备提供商24与一个或多个网络设备之间的电子交易。例如，交易处理器可以处理赌博网站的下注或电子商务网站的购买。网络服务提供商24可以进一步包括客户端软件包70，其存储在网络服务提供商上然后下载至需要与特定的网络服务提供商进行交易的每个网络设备。例如，该客户端软件包可以为虚拟纸牌桌面游戏、虚拟二十一点游戏、虚拟自动贩卖机、电子商务用户界面等等。根据本发明，每个客户端软件包可以包括客户端欺诈检测模块72(可优选地为多行代码和数据)，其由每个网络设备执行以在本实例中实施欺诈检测和防止系统。每个网络服务提供商24可以进一步包括诸如存储在网络服务提供商的存储器中的数据结构或数据库服务器的数据库74，其存储网络服务提供商的公知的电子交易数据。在用作实例的一个实施例中，该系统利用了嵌入式欺诈检测客户端72。在该系统的一个实施中，客户端被嵌入例如专有的软件应用中，使得客户端可以被包含在由与网络相连所必须使用的网络服务提供商所分发的程序内。在另一个实施例中，客户端也可以通过独立的应用来递送、嵌入类似通用软件产品的网络浏览器内、或甚至嵌入硬件或存储器中，其中的任何一种都需要当到网络的连接由该系统所保护的网络服务提供商授权时运行。在另一实施例中，客户端也可以在用户通过他们最喜爱的网络浏览器连接到网络服务提供商时，通过JavaScript、ActiveX控件或类似技术在要求时递送。根据本发明，该系统可以在网络设备上没有任何客户端的情况下实施。例如，对于电话定购系统或邮件定购系统，该系统可以建立基于电话号码的用户的唯一标识符，其中邮件定购接线员可以回叫用户以核实该电话号码并然后采用该号码作为该用户的唯一标识符。在这种情况下，系统使用NDF(电话号码)。然后，根据本发明，该电话号码可被存储在数据库中，并然后如下面所述地被使用。

因此，根据本发明，安装在设备上的客户端72确定该设备的状态(是否已经有唯一标识符)，并控制该设备与网络服务提供商的连接。网络服务提供商通过例如如下所述地拒绝访问用户或设备来控制每个设备和/或每个用户访问网络服务提供商的资源。因此，网络服务提供商利用由客户端提供的设备/用户状态以有效地控制网络安全并防止欺诈。现在将描述欺诈检测服务器的实例。

图4为根据本发明的欺诈检测服务器26的一个实例。在本实例中，欺诈检测服务器26为具有NDRD 30的诸如服务器计算机的独立计算资源，尽管欺诈服务器26和NDRD 30的功能可以如上所述的那样为分布的。欺诈服务器26可以包括一个或多个服务器80、如上所述的一个或多个持久性存储设备82以及如上所述的存储器84。根据本发明，该欺诈服务器可以进一步包括存储NDRD 30的数据库服务器/管理器86。在上面描述了处理器、持久性存储设备以及存储器的结构和操作。存储器可以存储服务器操作系统88、管理员软件模块90、欺诈检测器软件模块92、报告软件模块94和贴标器软件模块96，其中每个模块包括由处理器执行以实施欺诈检测和防止系统的多个指令(和关联的数据)。根据本发明，下载至该设备的客户端72可以执行每个设备的“贴标记”，其中客户端可以确定该设备是否已经具有来自服务器26的唯一标识符或将请求新的唯一标识符。服务器操作系统是公知的。在一个优选的实施例中，管理员模块90可以产生管理员网页，管理员网页允许欺诈检测和防止系统的用户使用管理员网页与该系统交互并配置系统。例如，管理员网页允许用户配置系统项目、调整查询项目和更新项目。在配置系统项目的过程中，用户可以将主校验在开和关之间切换，其中关设置将总是接受新用户或网络设备访问网络。用户还可以配置可共享特定网络设备/结果的用户(不同的、独特的用户名称)的最大数目以及单个用户可以使用的网络设备的最大数目。如果超过了以上所设置的最大门限且主校验为开，则欺诈检测和防止系统可以限制已超过门限值的网络设备或用户的访问。用户还可以设置特定网络服务提供商的每个用户的状态是否可影响欺诈检测操作，如允许帐户创建、允许登录、允许往帐户里存款或允许从帐户提款。管理员模块还允许用户配置从欺诈检测和防止系统的数据库中提取信息的查询项目。例如，用户可以产生在特定网络设备情况下哪些用户已使用了该网络设备的查询、或者产生在特定用户情况下询问哪些网络设备已被该特定用户使用的查询。用户还可以配置在特定网络设备情况下询问哪些其他网络服务提供商将该网络设备设置为将用户/计算机与预定数目的层深相关联的查询、或者在特定用户情况下询问系统中该用户的当前状态的查询。管理员模块还允许更新项目的配置。例如，用户可以将特定网络设备设置为总是被接受访问系统、将特定网络设备设置为被接受进入系统、将特定网络设备设置为被系统俘获(以进一步确定该网络设备的意图)、将特定网络设备设置为被系统拒绝、或者将给定用户设置为总是被系统接受(例如，所有与该用户相关联的网络设备都总是被接受)。用户还可以将给定用户设置为在预定的时间间隔内被接受或在进行预定的访问尝试时被接受(与该用户相关联的网络设备被接受)、将给定用户(和所有与该用户相关联的网络设备)设置为被俘获、或者将给定用户(和所有与该用户相关联的网络设备)设置为被拒绝。主机可以建立任何数目的设备与用户状态等级，并建立任何数目的行为模式，各行为模式可能需要彼此不同的操作，如通知特定电子邮件地址、寻呼特定号码、拒绝对网络的访问、允许访问但改变设备的状态等。

报告软件模块94允许用户根据欺诈检测和防止系统及其数据库来配置和产生报告。例如，系统可以产生显示日常更改报告(带有状态已改变的网络设备的列表)的报告、列出其他网络服务提供商知道的网络设备及其状态的第三方欺诈报告、或者列出所有与多个用户帐户相关联的网络设备的共享计算机报告。该报告模块还可以产生列出已使用了多个网络设备的用户和每个用户所使用的网络设备的多计算机报告、以及列出被欺诈检测系统跟踪的网络设备的数目、API查询、管理员更新和管理员查询的数目的使用报告。欺诈检测器软件模块92包含指令和逻辑，以基于来自网络设备和用户的数据来确定特定用户/网络设备的适当状态及其进入电子交易系统的访问状态。根据本发明，每个网络服务提供商都可以建立自己的状态规则。例如，特定的网络服务提供商可以建立“允许”或“不允许”与网络服务提供商连接的状态规则。另例如，特定的网络服务提供商可具有“允许连接，但是为特定网络设备产生分数”状态或“允许连接，但是俘获关于网络设备的信息”状态。下面将更加详细地描述欺诈检测逻辑。

贴标器软件模块96包括各种软件、逻辑和数据，以唯一地标识正在与电子交易系统进行连接的每个网络设备(产生特定网络设备的标识符)。与系统的连接可包括但不限于与网络的初始连接、帐户建立、登录、帐户信息改变、存款、提款、购买、与网络的随机完全连接等。根据本发明，标记每个网络设备的实际方法可以变化，如下面所描述的那样。根据本发明，每个网络设备被唯一地标识，使得甚至当不同的用户利用同一个网络设备登录主机时，每个设备都在系统内被跟踪。标记独立的网络设备使得欺诈检测系统能够拒绝特定用户(无论被使用的网络设备如何)、特定网络设备(无论使用该网络设备的用户如何)、特定用户与特定网络设备的组合、或用户与设备的任何组合对主机的访问。现在将更加详细地描述每个网络服务提供商中的用户数据库和欺诈检测系统的网络设备注册数据库的实例。

图5为具有四个网络服务提供商的电子交易系统中的每个网络服务提供商(NSP1、NSP2、NSP3和NSP4)的数据库100₁、100₂、100₃和100₄的一部分的实例。根据本发明，包含在这些数据库中的信息被转发至欺诈检测系统，使得欺诈检测系统可以将每个网络服务提供商的用户与其他网络服务提供商的用户相区别。每个网络服务提供商具有终端用户帐户标识符(EAI)，如EAI₁₁-EAI_n1、EAI₁₂-EAI_n2、EAI₁₃-EAI_n3和EAI₁₄-EAI_n4。在这个实例中，NSP1、NSP2和NSP3采用不提供关于用户帐户的信息的单独的EAI，而NSP 4采用终端用户的实际UserID(“Tim1”和“Smurf”)作为EAI。欺诈系统所需要的全部就是每个主机提供与该主机上的唯一帐户有直接关系的EAI。

图6为可移植的网络设备注册数据库110的实例。在本实例中，所述数据库为包含相关信息的数据库表。然而，数据也可以存储在落入本发明范围内的不同数据库和不同数据库数据结构中。在本实例中，NDRD 110可以包括允许欺诈检测系统将特定主机与特定用户和特定网络设备相关联的主机列112、EAI列114以及网络设备标识符(NDI)列116。如上所述，EAI代表对于每个主机都为唯一的终端用户帐户。网络设备标识符(NDI)代表已与至少一个主机相连的唯一的网络设备。数据库表中的各个行代表主机、EAI和NDI的唯一组合。例如，第一行118表示EAI₁₁从NDI₁到Host₁，表示一帐户来自特定设备(ND 1)并试图连接到主机1。如果此同一帐户从不同设备连接到主机1，就要创建新的行120，例如EAI₁₁从NDI₂到Host₁，使得在系统中跟踪并注册由同一用户通过两个不同网络设备进行的访问。如果Host₁上由EAI₁₁表示的终端用户具有关于Host₂的帐户(由于每个主机有它自己的唯一EAI而示出为EAI₁₂)且从NDI₂连接到Host₂，则要创建新的条目122，如EAI₁₂从NDI₂到Host₂，使得在欺诈系统中跟踪并注册用同一网络设备连接到不同网络服务提供商的同一用户。可以维护大量的附加信息，如最近的成功登录日期和时间、最近的未成功登录日期和时间、所有成功登录、所有未成功登录等。现在将要更加详细描述根据本发明的网络设备注册方法。

图7为根据本发明的标记网络设备的方法130(网络设备注册方法)。该方法实现了唯一地标识连接到欺诈检测和防止系统正保护的电子交易系统的每个网络设备的目的。理想地，设备每次连接到由该系统保护的主机时都执行这一方法，且也可以在整个会话过程中的多个点和时间间隔处执行这一方法。例如，该系统可以定期地执行该方法以定期地检查与网络相连的每个设备。因此，在步骤132中，该方法确定网络设备是否为新的(例如，网络设备是否已经在NDRD中注册并已经被分配了唯一的标识符)。如果网络设备为新的并且不具有唯一指纹，则在步骤134中，该方法产生网络设备的唯一指纹(标记)。所述唯一指纹可以由(如图2所示的实例中的)每个网络设备中的客户端程序54产生，或者由诸如欺诈服务器26的其他装置产生，该装置基于从网络设备或任何组合接收到的信息来产生每个网络设备的指纹。然后在步骤136中，将所述唯一指纹存储在数据库中并完成该方法，使得系统中的每个网络设备被唯一地标识。

因此，当网络设备试图首次连接到网络时，该方法确保该设备以至少两种不同的方法来被注册(且因此被跟踪)。首先，该方法通过主机向NDRD 30请求唯一的网络设备标识符(NDI)。该方法强行地将加密的NDI分为至少两部分来存储，例如部分A以注册表(registry)存储，而部分B以文件存储。NDI由NDRD分发，且保证NDI是唯一的。该方法还通过非强行地收集诸如硬件序列号、软件序列号、安装日期以及其他信息的关于该设备的信息来产生每个设备的网络设备指纹(NDF)，并且通过主机(网络服务提供商)将所得到的NDF发送给NDRD。尽管不保证NDF的各独立部分是唯一的，但增大用来创建NDF的信息的单元的数目或NDF的大小，增大了所得到的NDF是唯一的可能性并且增大了其肯定识别的值。根据本发明，NDI和NDF的组合是唯一的，且允许每个网络设备被唯一地标识。因此，由于所述组合将唯一地标识网络设备，所以图6所示的NDI包括NDF。

注册设备的精确方法不是关键的，只需其以极大可能性来唯一地标识设备。例如，各种唯一地标识设备的方法可以略有不同以适应瘦客户机、手持计算机、蜂窝电话、游戏终端以及其他设备类型的独特情况。所有这些变化都在本发明的范围之内。在一个优选的实施例中，客户端程序54可收集每个网络设备的信息以产生NDF。很有可能的是，使用这一系统的主机可取决于终端用户特性以及用于连接到其网络的典型平台以不同的方式来分发通用的注册方法，或甚至远程地执行注册方法。然而，本领域的技术人员还应理解，用集中式NDRD唯一地标识和注册网络设备(无论是通过中间主机还是通过直接通信)的任何系统都在本发明的范围之内。

除了便于NDRM和NDRD之间的通信之外，网络服务提供商主机还将终端用户帐户标识符(EAI)传递给与正试图访问/连接到网络服务提供商的特定终端用户帐户相关联的NDRD。该标识符可以是客户帐户号，或者是与为了任何其他目的而没有在主机系统中使用的特定终端用户帐户相关联的其他唯一值。取决于主机与NDRM服务提供商之间的商业关系，可以注册或可以不注册真实的客户信息。然而，无论是否提供真实的客户信息都不会在本质上改变该过程。根据本发明，NDRD跟踪每个试图连接到主机的网络设备(具有唯一的NDI)以及其对应的NDF。NDRD还维护连接自每个唯一的网络设备的每个EAI的关联。NDRD还跟踪诸如首次连接、最近的连接、所有连接、最近的失败连接、所有失败连接、主机得到的NDI状态、主机得到的NDF状态的信息。根据本发明，该系统可以利用NDI、NDF、NDI和NDF的组合以及其他信息来验证用户/设备。例如，其他信息可以为蜂窝电话的序列号。现在将更加详细地描述欺诈检测系统的优选数据库模式的实例。

图8A为根据本发明的欺诈检测系统的(用于iovation inc.的ieSnare产品的)数据库模式140的一个优选实施例的实例的关系数据库表，图8B-8E为图8A中所示的数据库表的进一步的细节。如图8A所示，数据库模式140可包括多个数据库表，其包括通过至少一个如所示的诸如SNARE_USR_TKN_2_USR_TKN_ACT_FK的主关键字链接在一起的SNARE_USER_TOKEN_ACTIVITY表141、SNARE_USER_TOKEN表142、SNARE_USER表143、SNARE_AFFILIATE表144、SNARE_SOAPD_AUDIT表145、SNARE_ACTIVITY_TYPE表146、SNARE_TOKEN_ACTIVITY表147、SNARE_TOKEN表148、SNARE_TOKEN_NUID表149、SNARE_AFFIL_TOKEN表150和SNARE_TOKEN_STATUS表151。此处没有描述该数据库模式中的每个表之间的各个主关键字，但是图8A中示出了这些主关键字。在这些数据库表中，TOKEN变量对应于本文献中别处所述的NDI，而变量NUID对应于本文献中别处所述的NDF。

图8B 图示了SNARE_USER_TOKEN表142和SNARE_USER_TOKEN_ACTIVITY表141以及未在图8A中示出的SNARE_TOKEN_NUID_HIST表152和SNARE_AFFIL_TOKEN_HIST表153的更多细节。如图8B所示，示出了每个表中的每个数据字段154，其中每个数据字段包含各种特性，如存储在该字段中的数据类型等。根据本发明，该系统的每个用户可具有一个或多个存储在SNARE_USER_TOKEN表142中的令牌(标识符)，且任何与特定用户的特定令牌相关的事件都存储在SNARE_USER_TOKEN_ACTIVITY表141中。HIST表152和153包含关于令牌和分支机构令牌的历史数据。图8C图示了SNARE_USER表143(其包含关于系统的每个用户的数据)、SNARE_SOAPD_AUDIT表145(其包含系统的调试信息)以及包含系统的每个分支机构的一个或多个令牌(标识符)的SNARE_AFFIL_TOKEN表150的更多细节，其中所述分支机构为特定网络服务提供商。图8D图示了SNARE_AFFILIATE表144(其包含关于与系统相关联的每个分支机构的数据)、SNARE_TOKEN_ACTIVITY表147(其包含关于属于特定令牌的任何事件的数据)以及包含关于带有特定令牌/NDI的设备的网络设备指纹的数据的SNARE_TOKEN_NUID表149的更多细节。最后，图8E图示了SNARE_ACTIVITY_TYPE表146(其包含关于系统内发生的每个唯一的/独特的可跟踪行为的数据)、SNARE_TOKEN表148(其包含关于存储在系统中的每个令牌的数据)以及包含系统中的每个令牌的唯一的/独特的状态的SNARE_TOKEN_STATUS表151的更多细节。

图9A和9B为根据本发明的其中主机正使用欺诈检测和防止系统的验证设备和设备/帐户关联的优选方法200的流程图。图9C至9F图示了根据本发明的验证新用户/设备和现有用户/设备的方法。下面描述的步骤可以通过网络服务提供商的特定主机计算机所执行的软件模块中的计算机指令来实施，也可以通过欺诈服务器所执行的软件模块中的计算机指令来实施。本发明不局限于实施所述验证方法的计算机指令的任何具体位置。在工作中，在帐户(带有特定终端用户帐户标识符的特定网络设备)由特定主机(网络服务提供商)授权之前，每次发生一系列验证步骤。如果被测试的特定网络设备或设备/帐户关联未能满足下述验证步骤中的任一个，则中止验证并且拒绝设备/帐户访问特定主机。验证步骤可以由主机在任何数目的客户交互点处发起，所述客户交互点包括但不限于与网络的初始连接、帐户建立、登录、帐户信息改变、存款、提款、购买、与网络的随机完全连接等。更详细地，在步骤202中，确定网络设备标识符(NDI)是否有效。更详细地，NDI必须显现为未改变、必须具有由NDRD最初发布的值、并且不能显现为当前被登记入同一主机中。如步骤203所示，不允许无效的NDI连接到主机。如果NDI为有效的，则在步骤204中，确定NDI/网络设备指纹(NDF)对是否相匹配。具体而言，登录时提供的NDF必须与最初与试图连接到主机的网络设备的NDI相关联的NDF值相匹配。然而，NDF的某些改变也是允许的。例如，“NDF偏差”必须被认为是用于计算可随时间改变的NDF的单独元素。通常，诸如已安装的一个新的软件或硬件的原始NDF中不存在的额外元素并不是令人为难的。在这些情况下，NDF被更新并且改变被记录。然而，现有的个别NDF值的改变是较令人为难的。根据本发明，每个主机可建立系统偏差的规则，它们察觉到NDF的一个或多个元素为关键的并因此不应在未产生异常/错误消息的情况下被改变。例如，中央处理单元的序列号可认为是关键的，并因此将产生错误消息(NDI/NDF对不匹配)，而仅仅网络设备中的存储器的量的改变可能不造成NDI/NDF对不匹配。另例如，网络设备的若干非关键元件可被改变，但仍认为NDF/NDI对是匹配的。因此，在步骤203中，取决于由每个主机建立和维护的规则，可认为NDI/NDF对是不匹配的并且不允许其连接到主机。

在步骤206中，如果NDI/NDF对匹配，则确定NDI状态对于特定主机是否为可以接受的。具体而言，单独的网络设备可连接到被本系统保护的若干网络，并因此特定的NDI可以与多个主机相关联。根据本发明，每个NDI都有使用NDRD的每个主机的状态，且每个主机限定NDI的任何数目的状态。当网络设备试图连接到主机1时，NDRD遵循与主机1的NDI状态相关联的任何规则。例如，主机1可以只建立两个状态等级，一个允许访问，另一个拒绝访问。主机2可以建立单个组的若干状态等级，其中每个状态都具有一套不同的准则，且其中每个状态都确定其网络的哪个区域可允许设备/帐户访问。主机3可以具有若干组的状态，其中组1应用于与网络的连接，组2应用于对网络的各区域的访问，组3应用于网络上的各种行为(如建立新帐户、改变帐户信息、购买等)，且其中每个状态都具有由主机3建立和维护的唯一准则。如果NDI状态对于特定主机是不可接受的，则在步骤203中中止该方法并拒绝访问。在步骤208中，如果NDI状态对于主机是可以接受的，则确定特定网络设备的NDF状态对于特定主机是否为可以接受的。具体而言，每个NDF也都有使用NDRD的每个主机的状态，且每个主机限定NDF的任何数目的状态。当网络设备试图连接到主机1时，NDRD遵循与主机1的NDF状态相关联的任何规则。如同NDI的状态等级和相关规则一样，主机也可以建立适合其目的的NDF的任何数目的状态等级。如果NDF状态对于特定主机是不可接受的，则在步骤203中中止该方法并拒绝访问。这两个步骤(206和208)是抵御去除NDI的所有痕迹并试图连接到受保护的网络的黑客的一条路线。在极端的情况下，可将新的NDI发给网络设备，但取决于由每个主机控制的NDF的状态，仍可人工地和依照利用NDRD建立的规则来拒绝对网络的访问。

在步骤210中，如果网络设备的NDF状态对于特定主机是可以接受的，则确定特定网络设备的NDI状态对于被该特定主机标识为可信的任何其他主机是否为可以接受的。具体而言，单个网络设备可以连接到若干被本系统保护的网络，并因此NDI可与多个主机相关联。当试图连接到主机1时，主机1的NDI状态可为开通(clear)，而其他主机的NDI状态被标记为“坏”。根据本发明，每个主机都可将其他主机标识为“可信”，由此如果NDI状态对于任何其他可信的主机为“坏”，则网络访问将独立于主机1的NDI状态而被拒绝。该步骤阻止了由可能在第一网络服务提供商上具有坏状态但是在第二网络服务提供商上没有坏状态的用户进行的欺诈，并由此共享了关于由特定NDI标识的“坏”网络设备的信息。如果NDI状态对于任何可信的主机都是不可接受的，则在步骤203中中止该方法并拒绝访问。

在步骤212中，如果NDI对于所有可信的主机都是可以接受的，则确定NDF状态对于被特定主机指示为“可信”的任何其他主机是否为可以接受的。具体而言，单个网络设备可以连接到若干被本系统保护的网络，并因此特定NDF可与多个主机相关联。当试图连接到主机1时，主机1的NDF状态可为开通(clear)，而其他主机的NDF状态被标记为“坏”。每个主机都可将其他主机标识为“可信”，由此如果NDF状态对于任何其他可信的主机为“坏”，则网络访问将独立于主机1的NDF状态而被拒绝。该步骤共享了关于跨电子交易系统的网络设备的NDF状态的信息。如果特定网络设备的NDF对于可信的主机是不可接受的，则具有NDF的帐户被拒绝访问。在步骤214中，如果NDF对于所有可信的主机都是可以接受的，则确定每个NDI的终端用户帐户标识符(EAI)的数目是否在特定主机的可接受范围之内。具体而言，每个主机建立每个NDI的所允许的EAI数目的规则，或者换句话说，可使用单个网络设备的用户的数目。例如，主机1可不必担心有3个或更少的帐户来自单个PC，可期望在有约4-6个帐户来自单个PC时被警告，并且可期望在有7个或更多的帐户来自单个PC时拒绝任何登录尝试的网络访问。根据本发明，对于每组规则，可以实施不同的关注等级和不同的补救办法(无动作、警告或拒绝访问)，并且每个主机可以调整特定的关注等级和补救办法。另例如，另一主机可只允许每个网络设备有一个帐户，且当有多于一个的帐户试图从同一网络设备连接时，该主机拒绝任何登录尝试的访问。

在步骤216中，确定每个EAI的NDI的数目是否在特定主机的可接受范围之内。具体而言，每个主机也建立每个EAI被允许连接自的NDI的数目的规则，或者换句话说，单个帐户被允许连接自的不同网络设备的数目。例如，主机1可不必担心有一个帐户来自5个或更少的PC，可期望在有一个帐户使用6-10个PC时被警告，并且可期望拒绝试图连接自11个或更多的PC的任何登录的网络访问。另一主机可只允许每个PC有一个帐户，且拒绝来自第二网络设备的任何登录尝试的访问。因此，根据本发明，每个主机可调整这些关注等级和补救方法。在步骤218中，允许由特定NDI和EAI对(其满足上面阐述的所有测试)标识的帐户访问特定网络服务提供商的系统，并且将关于交易/连接的数据输入NDRD。

图9C和9D为根据本发明的利用欺诈检测和防止系统验证新用户/设备的优选方法220的流程图。以下所述步骤可以通过网络服务提供商的特定主机计算机所执行的软件模块中的计算机指令来实施，也可以通过欺诈服务器所执行的软件模块中的计算机指令来实施。本发明不局限于实施所述验证方法的计算机指令的任何具体位置。在步骤222中，用户启动一个应用(在客户端被嵌入应用中的实施例中，在从网络服务提供商下载了应用之后)，且该应用自动启动客户端。在步骤224中，客户端确定该设备是否向欺诈检测系统注册。如果该设备已经注册，则该方法完成，且验证现有用户的方法在图9E和9F中阐述。如果客户端未检测到该设备已经注册，则在步骤226中，客户端向网络服务提供商请求新的NDI(标识符/令牌/序列号)，网络服务提供商将该请求转发至欺诈服务器26。服务器26产生唯一的NDI并将其传递给网络服务提供商，然后网络服务提供商将该NDI转发至客户端。然后客户端将该NDI存储在其盘上和其注册表中。在步骤228中，客户端收集来自该设备的数据，产生NDF并将该NDF转发给网络服务提供商。在步骤230中，网络服务提供商将该NDF转发给服务器，服务器存储该NDF并针对特定NDF的状态将该NDF与现有NDF数据进行核对。

在步骤232中，服务器确定该NDF是否为复制的，如：如果黑客已删除了该设备上以前的NDI，但该NDF与现有NDF相同。如果存在复制的NDF，则在步骤234中通知网络服务提供商并终结用户会话。在步骤236中，如果该NDF不是复制的(说明是新设备)，则服务器将验证过程认可消息返回给网络服务提供商。在步骤238中，网络服务提供商向用户提供登录对话框。在步骤240中，网络服务提供商确定是否提供了有效用户名和密码。如果提供了无效的用户名或密码，则在步骤242中终结用户会话。在步骤244中，如果提供了有效的用户名和密码，则网络服务提供商将由网络服务提供商所产生的终端用户帐户信息(EAI)和该设备的NDI发送至服务器。在步骤246中，服务器将NDI和EAI关联登记在其数据库中，并更新该设备的各种信息，如最近的成功登录日期/时间、所有登录和关于该设备的其他数据。在步骤250中，服务器将NDI和EAI状态与网络服务提供商的参数进行核对。在步骤252中，基于网络服务提供商规则，服务器将NDI/EAI状态发送给网络服务提供商。在步骤254中，基于从服务器返回的NDI/EAI状态，网络设备提供商终结/继续用户会话。现在，将对验证现有用户/设备的方法作更加详细的描述。

图9E和9F为根据本发明的利用欺诈检测和防止系统来验证现有用户/设备的优选方法260的流程图。以下所述步骤可以通过网络服务提供商的特定主机计算机所执行的软件模块中的计算机指令来实施，也可以通过欺诈服务器所执行的软件模块中的计算机指令来实施。本发明不局限于实施所述验证方法的计算机指令的任何具体位置。在步骤262中，用户启动一个应用(在客户端被嵌入应用中的实施例中，在从网络服务提供商下载了应用之后)，且该应用自动启动客户端。在步骤264中，客户端确定该设备是否向欺诈检测系统注册。如果该设备未注册，则该方法完成，且验证新设备的方法在图9C和9D中阐述。如果该设备已经注册，则在步骤266中，客户端收集来自该设备的数据、产生NDF并将该NDF和已经分配的NDI转发给网络服务提供商。然后网络服务提供商将该NDF和NDI转发给服务器，服务器存储该NDF并针对特定NDF的状态将该NDF与现有NDF数据进行核对。

在步骤268中，服务器确定NDF和NDI对是否存在于数据库中，如果数据库中不存在匹配，则在步骤270中通知网络服务提供商并终结用户会话。在步骤272中，服务器确定NDI或NDF状态是否为坏，如果两者中任一个的状态为坏，则通知网络服务提供商并在步骤274中终结用户会话。如果NDI和NDF状态为好，则在步骤276中，网络服务提供商向用户提供登录对话框。根据本发明，客户端和/或验证系统也可以向用户提供登录，并且除了执行验证过程以外还执行用户登录过程。在步骤278中，网络服务提供商确定是否提供了有效的用户名和密码。如果提供了无效的用户名或密码，则在步骤280中终结用户会话。在步骤282中，如果提供了有效的用户名和密码，则网络服务提供商将该设备的NDI和EAI发送至服务器。在步骤284中，服务器将NDI和EAI关联登记在其数据库中，并更新该设备的各种信息，如最近的成功登录日期/时间、所有登录和关于该设备的其他数据。在步骤286中，服务器将NDI和EAI状态与网络服务提供商的参数进行核对。在步骤288中，基于网络服务提供商规则，服务器将NDI/EAI状态发送给网络服务提供商。在步骤290中，基于从服务器返回的NDI/EAI状态，网络设备提供商终结/继续用户会话。

现在提供上述方法的工作的几个实例。如上所述，每个主机都将针对本验证方法的每个方面建立其自身的定制规则。因此，导致终端用户对一个主机的访问被拒绝的环境可能不导致对另一个主机的访问被拒绝。因此，以下实例的目的仅在于说明使用本发明可能采取的一些方式。

主机1识别出由EAI2004的EAI标识的帐户有问题。在主机1的系统内关闭该帐户之后，主机1的管理员登录NDRD，并利用用户接口检索NDRD以标识由EAI2004所使用的四个额外的NDI，并改变每个NDI的状态使得它们决不被允许连接到主机1。此外，管理员标识已使用这些NDI来连接到主机1的两个其他的EAI。在研究新标识的帐户之后，它们被确定为具有潜在欺诈性并也被关闭。因此，用户能够标识帐户、其关联的网络设备以及与将被拒绝访问系统的被标识的网络设备相关联的其他EAI。在第一个实例中，终端用户试图使用已被主机1标识为已在欺诈性交易中使用过的NDI来连接到主机1。基于由主机1设置的状态，用户被拒绝访问该网络。在第二个实例中，终端用户试图使用已被主机1标识为怀疑已被使用过的NDI来连接到主机1。基于由主机1设置的状态，用户被允许访问该网络，但对于该终端用户所提供的每个有效的登录名和密码组合，在主机1的系统上，该帐户都被自动禁用，且用户被提示输入不同的用户名和密码。

在第三个实例中，终端用户试图使用已被主机2标识为已在欺诈性交易中使用过的NDI来连接到主机1。基于由主机2设置的NDI状态、以及主机1已将主机2标识为可信的事实，用户被拒绝访问该网络。此外，主机1的NDI状态改变为“坏”并且在主机1的系统上关闭该终端用户的帐户。在第四个实例中，终端用户试图使用已被主机3标识为已在欺诈性交易中使用过的NDI来连接到主机1。由于主机3未被主机1标识为可信，所以忽略此情况并允许该用户访问该网络。

在另一个实例中，来自主机1的管理员定期地从被可信主机标识为“坏”、而对于主机1状态为“好”的所有NDI的NDRD中接收报告，该NDRD包括与这些NDI相关联的对于主机1的所有EAI。管理员研究这些帐户以确定适当的动作过程。例如，然后管理员可将NDI和EAI的状态改变为“坏”，并且研究它们的系统内的关联的用户帐户以标识具有潜在欺诈性的帐户。

在另一个实例中，主机1针对通过NDRD而被标识为共享同一NDI的所有帐户主动鉴别帐户信息，并且可疑帐户被标识以便进一步调查。例如，所宣称的地址在三个不同国家而从同一网络设备登录的三个帐户会被标识为可疑的。可替换地，欺诈防止系统可根据NDRD基于特定主机的请求来自动地和定期地产生信息。现在，将提供根据本发明的欺诈检测系统的实施的工作的一个实例。

一旦特定网络服务提供商(NSP1)已将欺诈检测客户端和系统集成到其系统中，该网络服务提供商系统就可自动地向欺诈检测系统请求信息等。可能由于诸如新客户建立、客户登录、客户购买/存款尝试以及客户退款/提款尝试的各种原因而发生信息请求。在每种情况下，网络服务提供商的客户端软件都可调用欺诈检测客户端，该欺诈检测客户端可返回客户端软件要传递给后端系统的一组信息。在本系统的一个实施中，网络服务提供商的后端系统可以1)将唯一地标识特定网络服务提供商的唯一标识符(其将被提供给签约了该服务的网络服务提供商)传递给欺诈检测系统并允许NDRD根据特定网络服务提供商存储数据；2)将标识特定用户访问会话的唯一“会话标识符”传递给特定网络服务提供商；3)传递用于特定客户的唯一客户标识符(如果可获得，则其应在除了新客户建立的所有情况下)，如EAI；4)传递标识用户帐户类型的“动作码”(见下面)；以及5)将客户端通过API提供的信息传递给服务器。然后服务器可通过API作出响应：为特定帐户提示建议的动作过程的“动作响应”，服务器希望传递给诸如本发明优选实施例中的ieSnare Client的客户端的信息，或者以上两者。现在将对用于欺诈检测系统的API的格式的一个实例作更加详细的描述。

在一个优选的实施例中，API利用可扩展的标记语言(“XML”)在网络服务提供商的后端系统和欺诈检测服务器之间传递信息。API是自动进行通用查询并解释其响应的简单而有力的途径。

典型地，将API请求格式化如下：

<SnareID>SnareCustomerNumber</SnareID>

<SessionID>SessionNumber</SessionID>

<CustomerID>Your Unique Cunstomer Identifier (if not avialable，leave

blank)</CustomerID>

<Action>Actioncode number</Action>

<Data>Information ieSnare Client provided</Data>

</ieRequest>

典型地，将API响应格式化如下：

<SnareID>SnareCustomerNumber</SnareID>

<SessionID>SessionIDnumber</SessionID>

<CustomerID>Your Unique Customer Identifier(or blank ifn/a)</CustomerID>

<ComputerID>Your Unique Customer Identifier</ComputerID>

<Response>Response Code Number</Response>

<Reason>Reason Code Number</Reason>

<PassData>Information to pass to the ieSnare Client(optional)</PassData>

</ieResponse>

其中，当前所支持的动作码号为：

1000-新帐户创建

2000-登录尝试

3000-购买/存款尝试

4000-退款/提款尝试

且当前支持的响应码号为

0-接受

1-俘获

2-拒绝

且当前支持的原因码号为：

0-标准规则

1-对该用户/计算机总是人工设置

2-与其他用户/计算机的关联

3-共享计算机的其他用户的数目

4-该用户正在使用的计算机的数目

尽管前面参考特定实施例对本发明进行了描述，可以理解本领域技术人员可以在不背离本申请和所附权利要求所限定的本发明的原则和精神的情况下做出各种变更。

Claims

1.一种网络安全及欺诈检测和防止系统，包括：

一个或多个提供服务的网络服务提供装置；以及

为了使用所述提供的服务而通过通信网络与所述网络服务提供装置中的至少一个相连的网络设备，

所述至少一个网络服务提供装置进一步包括欺诈检测器，所述欺诈检测器包括客户端装置，

其中所述客户端装置自动下载至所述网络设备并自动收集来自并且关于所述网络设备的设备标识信息以基于所述设备标识信息自动产生标识所述网络设备的唯一的设备指纹，所述欺诈检测器还包括数据库、以及包括接收所述指纹的装置、将所述指纹存储在所述数据库中的装置和将所述指纹与由所述至少一个网络服务提供装置提供的终端用户帐户信息相关联的装置的模块装置，并且其中所述指纹和终端用户帐户信息在选定组的参与的网络服务提供装置之间共享，以跟踪可疑行为并由此检测和避免利用所述网络设备进行的欺诈，并且其中基于所述至少一个网络服务提供装置自己建立的一组状态规则，所述指纹的状态标识所述网络设备是否被核实为对所述至少一个网络服务提供装置是可接受的。

2.如权利要求1所述的系统，其中所述数据库进一步包括多个记录，其中每个记录进一步包括：包含特定网络服务提供装置的标识符的主机字段、包含标识特定用户的来自所述特定网络服务提供装置的信息的用户帐户信息字段、以及唯一地标识所述网络设备的指纹。

3.如权利要求1所述的系统，其中所述欺诈检测器进一步包括为连接到至少一个参与的网络服务提供装置的每个网络设备产生网络指纹的模块装置，其中所述网络指纹与所述指纹协同来唯一地标识每个网络设备。

4.如权利要求1所述的系统，其中所述欺诈检测器定期随机地验证每个网络设备。

5.如权利要求1所述的系统，其中一旦所述网络设备连接到所述至少一个网络服务提供装置，所述欺诈检测器就验证每个网络设备。

6.如权利要求1所述的系统，其中当所述网络设备登录所述至少一个网络服务提供装置时，所述欺诈检测器验证每个网络设备。

7.如权利要求1所述的系统，其中当所述网络设备与所述至少一个网络服务提供装置进行交易时，所述欺诈检测器验证每个网络设备。

8.如权利要求1所述的系统，其中每当所述网络设备重新连接到所述至少一个网络服务提供装置时，所述欺诈检测器就验证每个网络设备。

9.如权利要求1所述的系统，其中所述指纹进一步包括序列号。

10.如权利要求1所述的系统，其中所述客户端装置被嵌入从所述至少一个网络服务提供装置下载至所述网络设备的应用装置中。

11.如权利要求1所述的系统，其中所述客户端装置是从所述至少一个网络服务提供装置下载至所述网络设备的独立的应用装置。

12.如权利要求1所述的系统，其中所述客户端装置是从所述至少一个网络服务提供装置自动下载至所述网络设备的一段代码。

13.如权利要求1所述的系统，其中当所述网络设备连接到所述至少一个网络服务提供装置时，所述客户端装置下载至所述网络设备。

14.如权利要求1所述的系统，其中所述网络设备进一步包括蜂窝电话、个人数字助理、膝上型计算机、个人计算机和电话中的一种。

15.如权利要求1所述的系统，其中所述客户端装置当所述网络设备连接到所述至少一个网络服务提供装置时下载至所述网络设备。

16.如权利要求15所述的系统，其中所述数据库进一步包括多个记录，其中每个记录进一步包括：包含特定网络服务提供装置的标识符的主机字段、包含标识特定用户的来自所述特定网络服务提供装置的信息的用户帐户信息字段、以及唯一地标识所述网络设备的指纹。

17.如权利要求15所述的系统，其中所述欺诈检测器进一步包括为连接到所述至少一个网络服务提供装置的每个网络设备产生网络指纹的装置，其中所述网络指纹与所述指纹协同来唯一地标识每个网络设备。

18.如权利要求15所述的系统，其中所述欺诈检测器进一步包括定期随机地验证每个网络设备的装置。

19.如权利要求15所述的系统，其中所述欺诈检测器进一步包括一旦所述网络设备连接到所述至少一个网络服务提供装置就验证每个网络设备的装置。

20.如权利要求15所述的系统，其中所述欺诈检测器进一步包括当所述网络设备登录所述至少一个网络服务提供装置时验证每个网络设备的装置。

21.如权利要求15所述的系统，其中所述欺诈检测器进一步包括当所述网络设备与所述至少一个网络服务提供装置进行交易时验证每个网络设备的装置。

22.如权利要求15所述的系统，其中所述欺诈检测器进一步包括每当所述网络设备重新连接到所述至少一个网络服务提供装置时就验证每个网络设备的装置。

23.如权利要求15所述的系统，其中所述指纹进一步包括序列号。

24.如权利要求15所述的系统，其中所述客户端装置被嵌入从所述至少一个网络服务提供装置下载至所述网络设备的应用装置中。

25.如权利要求15所述的系统，其中所述客户端装置是从所述至少一个网络服务提供装置下载至所述网络设备的独立的应用装置。

26.如权利要求15所述的系统，其中所述网络设备进一步包括蜂窝电话、个人数字助理、膝上型计算机、个人计算机和电话中的一种。

27.一种网络安全及欺诈检测和防止系统，包括：

一个或多个提供服务的网络服务提供装置；以及

所述至少一个网络服务提供装置进一步包括欺诈检测器，其中客户端装置当所述网络设备连接到所述至少一个网络服务提供装置时自动下载至所述网络设备，所述客户端自动收集来自并且关于所述网络设备的信息以基于所收集的所述信息自动产生标识所述网络设备的唯一的设备指纹，所述欺诈检测器装置还包括数据库以及用于接收所述指纹、将所述指纹存储在所述数据库中并将所述指纹与由所述至少一个网络服务提供装置提供的终端用户帐户信息相关联的装置，并且其中所述指纹和终端用户帐户信息在选定组的参与的网络服务提供装置之间共享，以跟踪可疑行为并由此检测和避免利用所述网络设备进行的欺诈，并且其中基于所述至少一个网络服务提供装置自己建立的一组状态规则，所述指纹的状态标识所述网络设备是否被核实为对所述至少一个网络服务提供装置是可接受的。

28.如权利要求27所述系统，其中所述数据库进一步包括多个记录，其中每个记录进一步包括：包含特定网络服务提供装置的标识符的主机字段、包含标识特定用户的来自所述特定网络服务提供装置的信息的用户帐户信息字段、以及唯一地标识所述网络设备的指纹。

29.如权利要求27所述的系统，其中所述欺诈检测器进一步包括为连接到所述至少一个网络服务提供装置的每个网络设备产生网络指纹的装置，其中所述网络指纹与所述指纹协同来唯一地标识每个网络设备。

30.如权利要求27所述的系统，其中所述欺诈检测器进一步包括用于定期随机地验证每个网络设备的装置。

31.如权利要求27所述的系统，其中所述欺诈检测器装置进一步包括用于一旦所述网络设备连接到所述至少一个网络服务提供装置就验证每个网络设备的装置。

32.如权利要求27所述的系统，其中所述欺诈检测器进一步包括用于当所述网络设备登录所述至少一个网络服务提供装置时验证每个网络设备的装置。

33.如权利要求27所述的系统，其中所述欺诈检测器进一步包括用于当所述网络设备与所述至少一个网络服务提供装置进行交易时验证每个网络设备的装置。

34.如权利要求27所述的系统，其中所述欺诈检测器进一步包括用于每当所述网络设备重新连接到所述至少一个网络服务提供装置时就验证每个网络设备的装置。

35.如权利要求27所述的系统，其中所述指纹进一步包括序列号。

36.如权利要求27所述的系统，其中所述客户端装置被嵌入从所述至少一个网络服务提供装置下载至所述网络设备的应用装置中。

37.如权利要求27所述的系统，其中所述客户端装置是从所述至少一个网络服务提供装置下载至所述网络设备的独立的应用装置。

38.如权利要求27所述的系统，其中所述网络设备进一步包括蜂窝电话、个人数字助理、膝上型计算机、个人计算机和电话中的一种。