CN107548547B - 识别在线服务的帐户的未授权访问的方法 - Google Patents
识别在线服务的帐户的未授权访问的方法 Download PDFInfo
- Publication number
- CN107548547B CN107548547B CN201680025051.7A CN201680025051A CN107548547B CN 107548547 B CN107548547 B CN 107548547B CN 201680025051 A CN201680025051 A CN 201680025051A CN 107548547 B CN107548547 B CN 107548547B
- Authority
- CN
- China
- Prior art keywords
- login
- information
- legitimate user
- user
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
- H04W4/029—Location-based management or tracking services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开涉及一种用于识别在线服务(诸如电子邮件或社交网络服务)的帐户的未授权访问的方法,其中所述帐户与合法用户相关联,所述方法包括以下步骤:从对应于与正在进行的登录尝试或最近期登录尝试相关联的地理位置的账户的近期登录活动取回登录信息;从所述合法用户的设备取回包括合法用户的地理位置的使用信息;通过比较与所述正在进行的登录尝试或最近期登录尝试相关联的所述地理位置和合法用户的所述地理位置,来比较所述登录信息和所述使用信息;以及识别未授权用户的潜在未授权登录。
Description
技术领域
本公开涉及一种用于识别在线服务的帐户的未授权访问的计算机实现的方法和系统。该帐户与合法用户相关联,该方法涉及取回最近登录活动、取回合法用户的使用信息、比较和评估登录信息和使用信息。
背景技术
在过去几十年,在线服务(诸如基于web的电子邮件服务和社交网络服务)在全球范围内迅速普及。一个人为了多个目的而具有多个帐户并不罕见。随着这种系统的使用的增加,涉及入侵和/或盗取账户的非法活动也增多了。这些在线服务的安全性在某些情况下可能被认为相对较低-通常只需要密码就可以访问服务,并且一旦服务被攻击,可能会对合法用户造成损害并且有时例如密码被更改而不准合法用户进入。
一些在线服务供应商提供有关近期登录的信息,其包含以下信息:例如登录何时发生、所使用的是哪种浏览器、从哪个IP以及从哪个国家执行登录。这些数据具有不同的名称,例如“近期登录活动”或“最后的帐户活动”,并且通常这些数据可供用户使用。鼓励用户阅读列表并评估是否他们认为存在不当的访问。
如果在近期登录活动中存在似乎与之前的其它近期登录不符的登录,则一些在线服务供应商还发送可疑活动的警报。然而,在许多情况下,警报是虚假的,并且在其它情况下,没有检测到真正的入侵。无法识别真实入侵和/或产生虚假警报的一个原因是,服务供应商难以评估登录活动中行为的变化是否源于用户自愿改变行为(例如通过从不同的设备进行或登录)。
处理近期登录活动以识别可疑活动的另一个问题是,如果入侵来自与合法用户关系亲密的人(例如家庭成员,朋友或同事),则可能无法将这些访问与合法用户的访问区分开,特别是如果这个人使用属于合法用户的设备时,更是如此。
发明内容
本公开涉及一种用于识别在线服务(诸如电子邮件或社交网络服务)的帐户的未授权访问的计算机实现的方法,其中所述帐户与合法用户相关联,所述方法包括以下步骤:从账户的近期登录活动取回登录信息;从合法用户的设备取回(retrieve)使用信息;比较所述登录信息和使用信息;以及识别未授权用户的(一个或多个)潜在未授权登录。通过从合法用户的设备取回使用信息,该方法能够考虑与合法用户相关联的特定行为和模式。与仅分析近期登录活动相比,该方法具有显著的优点,例如,可以包括关于用户的实时详细信息或仅由合法用户控制的详细信息。如果用户不想将某些类型的信息泄露给在线服务,则后者是相关的。优选地,近期登录活动对应于正在进行的登录尝试或最近期的登录尝试。特别地,取回的登录信息可以对应于与正在进行的登录尝试或最近期的登录尝试相关联的地理位置。优选地,取回的使用信息还包括合法用户的地理位置,其中地理位置来自合法用户的设备。通过比较与正在进行的登录尝试或最近期的登录尝试相关联的地理位置和合法用户的设备的地理位置,实现了有效的地理认证(geographic authentication)。通过比较来自设备(诸如用户的主设备)的合法用户的实际位置和当访问服务时所提供的位置,实现了有效的认证。本方法利用以下事实:即在这种情况下,已知哪个设备限定了合法用户的实际位置。
该方法可以被看作是以设备为中心的方法。与已知的解决方案相反,本公开的方法利用合法用户的设备的实际位置。在一个实施例中,从合法用户的主设备取回关于合法用户的地理位置的信息。目的是当潜在授权用户访问服务时,将请求其手动地提供地理位置,或通过例如借助GPS、IP地址或其它应用程序或网络提取位置来提供地理位置,以便验证其位置。为此目的,合法用户可以限定主设备(诸如移动电话)。主设备可以提供合法用户的实际位置。
取回的使用信息可以被示为用户指纹。如上所述,指纹提供了改进的功能来检查例如用户的实时参数,并且通常可以带来以下优点:从合法用户的设备取回的信息不限于仅与特定登录有关的信息,而可以是连续登录的数据以及提供有关使用模式的相关信息的基本上任何类型的记录数据。来自合法用户的设备的取回的使用信息可以包括例如关于访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序程序/POP3/IMAP)、浏览器、操作系统、IP地址的信息。
来自合法用户的设备的取回的使用信息还可以包括地理位置。地理数据的主要优点是,地理数据可以非常有效地区分开未授权访问与有效登录。使用地理位置有几个优点,并且有几种方法可以实现。可以由设备的全球定位系统(可能是助的GPS(A-GPS))、设备的Wi-Fi系统、或者通过小区定位或小区三角测量来提供合法用户的地理位置。如上所述,结合实时检查和连续的或部分连续的记录合法用户的指纹,将此数据与近期登录活动进行比较,这提供比仅通过近期登录活动的IP地址更准确的结果。诸如移动网络或网络运营商的其它参数也可以提供用于比较的有用信息。
本发明的另一方面涉及用于识别源于与合法用户亲密(靠近)的人的可疑活动的改进的能力。通过结合从设备取回的使用信息的元素,合法用户可以具有安全组合的记录,例如,在白天以特定时间间隔从某个位置读取电子邮件、或使用特定浏览器或从特定移动网络访问。如果访问与安全组合不同,则可以表明与合法用户亲密的人(例如,朋友、家人或同事)无意间发现了密码并且正在尝试以合法用户的名义访问在线服务。
附图说明
图1示出基于web的电子邮件帐户的近期登录活动的示例。
图2示出应用程序中安全位置的示例。
图3示出在与应用程序中设备的位置不同位置处的帐户的未授权登录的示例。
定义
在线服务:指任何类型的基于web的服务,诸如电子邮件、社交网络和社区(体育、学术等)、银行、管理、不同类型的通信(语音、视频、聊天)、支付服务、web商店、管理例如帐单和消费(例如电话和电力)的服务、需要登录的电视和视频流服务等。
合法用户:有权登录到在线服务的帐户的人员,通常是创建帐户或为其创建帐户的人员。如果多人共享帐户,则合法用户应该被理解为共享该帐户的所有人。
未授权用户:未被合法用户指定授权登录帐户的任何人员或设备。
潜在授权用户:该术语可以指在确定用户被认为是合法用户还是未授权用户之前,尝试访问帐户的人员或设备。该用户此时还没有被确认是授权用户还是未授权用户,因此是潜在授权用户。
设备:应被广义地理解为不仅是合法用户的物理设备,还包括例如远程服务器、云或基于web的内容管理系统。应当注意,它是合法用户的设备,即不包括在线服务的服务器。
主设备:在本公开中,主设备被称为合法用户的设备,其是合法用户根据使用信息(通常是地理位置)进行检查的参考设备。主设备可以是例如移动电话、平板电脑、膝上型计算机、智能手表、可穿戴设备等。
使用信息:指合法用户的数据并且涵盖范围广泛的数据,包括但不限于,访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)和/或web浏览器、操作系统、IP地址、地理位置和时间指示。
近期登录活动:指与在线服务的特定帐户相关联的多个登录或登录尝试。在在线服务供应商中使用的诸如“最后帐户活动”之类的其它术语也具有相同的含义。近期登录活动可以指单个登录,也可以是正在进行的登录或登录尝试。因此,本公开的方法可以涉及用于识别正在进行的登录尝试的未授权访问的方法。
来自近期登录活动的登录信息:与在线服务帐户的登录或登录尝试相关联的数据。这种信息涵盖广泛的数据,包括但不限于访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)、浏览器、操作系统、IP地址、地理位置(国家/城市/地理坐标)、日期和时间。数据有时可供该帐户的合法用户使用。通常,数据不是连续的登录数据-代替地,每组数据与登录或登录尝试相关联。
具体实施方式
本公开涉及一种用于识别在线服务(诸如电子邮件或社交网络服务)的帐户的未授权访问的方法,其中所述帐户与合法用户相关联,所述方法包括以下步骤:从对应于与正在进行的登录尝试或最后登录尝试相关联的地理位置的账户的近期登录活动取回登录信息;从所述合法用户的设备取回包括合法用户的地理位置的使用信息;通过比较与所述正在进行的登录尝试或最近期登录尝试相关联的所述地理位置和合法用户的所述地理位置,来比较所述登录信息和所述使用信息;以及识别未授权用户的(一个或多个)潜在未授权登录。通过从合法用户的设备取回使用信息,该方法能够考虑与合法用户相关联的特定行为和模式。与仅分析近期登录活动相比较,该方法具有显著的优点,例如,可以包括关于用户的实时详细信息或仅由合法用户控制的详细信息。特别地,来自合法用户的设备的合法用户的地理位置可以是用于在线服务的地理认证的有效工具。如果用户不想将某些类型的信息泄露给在线服务,则仅由合法用户控制的详细信息是相关的。该方法可以以多种方式实现,特别是作为智能手机的应用程序或作为在PC等上运行的软件。
在一种情况下,请求登录到在线服务的用户手动地、或通过提取他设备上的处理或应用程序来提供地理位置。然后将该提供的位置与合法用户(服务帐户所有者)的位置进行比较。合法用户的位置可以是合法用户的主设备的实际位置,其中合法用户已经指定了他的主设备。如果潜在授权用户(即试图登录的人员)与合法用户的主设备在不同位置,则识别出未授权访问。
该方法可以作为登录验证的一部分执行,但也可以为之前的登录尝试执行该方法。在一个实施例中,请求合法用户为一次或多次登录尝试确认设备的地理位置。
也可以在由同一用户使用的若干在线服务之间共享使用模式。在一个实施例中,在与合法用户相关联的在线服务的至少两个不同帐户之间共享授权和/或未授权登录。例如,该方法可以基于用户通常以一个顺序访问不同服务的事实来进行比较。如果该顺序与参考顺序不同,则该方法可以识别潜在未授权访问。
近期登录活动信息
如上所述,本发明公开的近期登录活动指与在线服务的特定帐户相关联的多个登录或登录尝试。该信息可以包括最后n个登录和/或登录尝试,其中n是等于或大于1的任何整数,诸如1、或2、或3、或4、或5、或6、或7、或8、或9、或10、或20、或30、或40、或50、或100、或200、或500、或1000、或这些数字的任何区间,诸如1至10、1至50、1至100、或1至1000或大于1000。正在进行的登录尝试也被认为在近期登录活动的范围内。这意味着如果所提供的登录信息与合法用户的使用信息不匹配,则潜在未授权用户的登录尝试可能会被停止。
图1示出基于web的电子邮件帐户的近期登录活动的示例。在该示例中,每个登录与日期/时间戳、关于访问类型(浏览器/移动/POP3等)和位置的信息相关联。通常从执行登录的IP地址中提取该位置。IP地址有时会以块的形式分配给网络运营商。如果这些块分配是已知的,则给定的特定IP地址因此可以与运营商网络相关联。
在本发明公开的一个实施例中,从近期登录活动取回登录信息的步骤包括:收集关于每次登录和/或登录尝试的(一个或多个)访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)、和/或(一个或多个)浏览器、和/或(一个或多个)操作系统、和/或(一个或多个)IP地址、和/或(一个或多个)地理位置(国家/城市/地理坐标)、和/或日期、和/或时间的信息。近期登录活动的内容的限制可能依赖于供应商选择包括的内容、以及用户接受放弃的信息类型。通常,连接到在线服务的任何设备都与IP地址相关联,这意味着,基本上总是直接或间接地存在服务供应商可用的某种最小的地理信息,其可以由其它地理信息来补充。取回自治系统号(ASN)和/或将IP映射到网络、区域代码或物理位置的步骤基于本领域技术人员可以获知的公知技术。
如上所述,该帐户的近期登录活动的登录信息是通常直接在在线服务的会话中提供的信息的类型。然而,不一定必须直接从会话中取回根据本发明的近期登录活动,而是还可以直接从设备的登陆信息中取回根据本发明的近期登录活动。可替代地,从设备中取回关于使用与在线服务相关联的应用程序的信息。如果用户由于任何原因不能或不想连接到服务,则近期登录活动可以基于设备上存储的登录或登录尝试或与在线服务相关联的应用程序的使用信息。如果应用程序或程序在未经合法用户许可的情况下活动了一段时间(例如当合法用户离开时),则与在线服务相关联的应用程序或程序的使用可以用作未授权访问的指示。可以通过以下示例来说明这种特征的益处。如果合法用户离开他家中的设备并且离开家,则朋友或家庭成员可以在没有合法用户许可的情况下使用该设备登录到在线服务。此登录信息被存储在设备中。在本发明的一个实施例中,从合法用户的设备中取回帐户的近期登录活动。然后可以在比较登录信息和使用信息以识别未授权访问的步骤中使用该信息。此外,关于这方面,并且如在定义中所述,“设备”应被广义地解释,不仅为合法用户的物理设备,而且还包括例如远程服务器、云或基于web的内容管理系统。
正在进行的登录尝试也被认为在近期登录活动的范围之内。在一个实施例中,最近期的登录尝试是单个最近期的登录尝试。可以由潜在授权用户手动地提供地理位置,作为登录尝试的一部分。可替代地,可以由与在线服务相关联的应用程序(诸如用于电子邮件或在线服务的跟踪脚本)提供地理位置。关于实施第三方在线服务的方法的一个问题可能是服务供应商不提供所有使用信息(例如地理位置)。对于例如电子邮件服务而言,处理这种情况的一种方法是将跟踪脚本包括在查看用户位置的电子邮件中,其中该电子邮件通过例如定位、网络、IP地址、或给出关于读取电子邮件的装置的位置的数据的其它方法来查看用户位置。在一个实施例中,从潜在授权用户的活动中提取地理位置。某些活动与地理位置之间的连接在这方面也可能是有用的。此外,还可以考虑请求潜在授权用户提供地理位置但其并未提供地理位置的事实,以评估访问是否是未授权的。在一个实施例中,请求用户提供对应于正在进行的登录尝试或单个最近登录尝试的地理位置。否定的响应(即,与根据合法用户的设备的合法用户的地理位置不匹配的响应)或在预定义时间段内没有对应于正在进行的登录尝试或单个最近期登录尝试的响应被认为是未授权登录。响应于未授权登录,该方法还可以包括如果正在进行的登录尝试被识别为未授权登录,则拒绝正在进行的登录尝试的步骤。
使用信息
根据本公开的方法从合法用户的设备取回使用信息包括以特定时间间隔、在特定时间点或连续地在一段时间内已经在设备上存储一段时间的信息。这段时间可以是预定义的时间段,诸如回溯1天、或1周、或1个月、或2个月、或6个月、或1年。取回的信息可以包括关于(一个或多个)访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)和/或(一个或多个)浏览器、和/或(一个或多个)操作系统、和/或与合法用户的合法访问相对应的(一个或多个)IP地址的信息。与在线服务的近期登录信息相反,对于可以包括的使用信息的类型没有真正的限制。
由于这种逐个的信息可能不足以找到可靠的用户模式,所以本发明还涉及创建以组为单位系统存储的信息。作为示例,可以存储取回的使用信息,使得对于特定时间或事件,存在关于合法用户在特定时间点正在使用哪个浏览器、操作系统、IP地址的信息。这些组可以被认为是构成合法用户的指纹。如上所述,这带来了以下好处:有关合法用户的信息不受限于特定登录,而可以是连续的登录数据、以及提供有关使用模式的相关信息的基本上任何类型的登录数据。
本发明优于供应商通常使用来警告可疑活动的方法的一个优点是,来自合法用户的设备的使用信息可以包括关于合法用户的地理位置的信息(包括连续记录的地理数据),其可以比近期登录活动信息中的信息更精确和准确,并且其链接到除了所做登录之外的事件或时间点。有几种方式从合法用户的设备取回地理数据。一种方式是从设备的全球定位系统(GPS)或从设备的Wi-Fi连接收集数据。高级GPS是另一个选择。A-GPS通常用于提高GPS的启动性能,或者当设备未连接到GPS卫星时提供位置详细信息。蜂窝定位和蜂窝三角测量是提供地理数据的其它选择。通常不太准确但是相关的,如果用户例如不愿意激活GPS,则用户在计算机网络中取回对应于设备的数字标签的IP地址。IP地址可以是任何类型的IP地址,例如IPv4或IPv6。IP地址有时与移动网络的信息(包括,例如供应商的名称或移动网络的名称)一起呈现。可以通过本公开的方法来提取该信息,以在比较登录信息和使用信息的步骤中使用。可以通过反向域名系统(DNS)查找或反向DNS解析来确定域名,其确定与给定IP地址相关联的域名。IP地址有时以块的形式分配给网络运营商。如果这些块分配是已知的,则给定的特定IP地址因此可以与运营商网络相关联。该信息也可以用作合法用户的使用信息的记录。可以包括的其它信息是移动国家代码(MCC)、和/或移动网络代码(MNC)、和/或位置区域代码(LAC)、和/或移动网络的小区ID。
在一个实施例中,本公开的方法利用合法用户的设备的实际位置。可以由合法用户指定主设备,其根据合法用户的设备提供使用信息。在一个实施例中,从合法用户的主设备取回关于合法用户的地理位置的信息。地理位置可以对应于由合法用户的主设备提供的合法用户的实际位置,并且可以由合法用户定义主设备。因此,比较登录信息和使用信息的步骤还可以包括将与正在进行的或单个最近期登录尝试相对应的地理位置与合法用户的地理位置进行比较的步骤。这种比较可以看作是地理认证。
比较登录信息和使用信息,并识别未授权登录
可以通过多种不同的方法实施比较登录信息和使用信息以及识别未授权用户的潜在未授权登录的步骤。因此,本公开的一个实施例涉及比较登录信息的地理位置和使用信息的地理信息。如果使用信息的地理信息基本上是实时信息,这可能是特别有用的。如果合法用户激活了设备的GPS并且出现了与用户当前位置不匹配的登录,则其可以用作未授权用户已经登录到该帐户的指示。在这种情况下,用户也可以具有管理他认为构成安全位置的可能性。在本发明的一个实施例中,用户可以从他认为有权被授权的位置中选择一个或几个位置。因为用户知道它是只有用户可以访问的私人物理位置,或者该用户信任处在在该位置的其他人,所以他/她可以这么做。如果用户不愿意手动地管理安全位置列表,则自动过程可以利用用户在预定义时间段内所访问的所有位置来更新安全位置列表。
图2示出应用程序中安全位置的示例。安全位置是由合法用户定义的位置。安全位置或者使用位置不是必然被理解为安全的,而是作为用户例如居住、工作或停留一段时间的位置。通过定义安全位置,可以将使用信息固定到特定的安全位置。这提供了一种用于揭露与合法用户类似的未授权用户将使用服务但另一方面又难以识别为未识别登录的方法。如果合法用户的主设备不在安全位置,并且例如使用用于识别未授权访问的标准准则来授权与安全位置相关联的IP地址,则可以基于主设备不在安全位置的事实来识别未授权访问。这种行为的一个示例可以是配偶或同事使用合法用户的辅助设备或使用到在线服务的登录。通过将特定使用信息绑定到安全/使用位置,如果合法用户不在特定使用信息发生的安全位置,则可能会暴露未授权的使用。
图3示出在与应用程序中设备的位置不同位置处的帐户的未授权登录的示例。该示例示出,当合法用户(与特定设备相关联)位于不同位置时,在某个位置存在到某个帐户的访问或者曾经有过到该帐户的访问。
本公开方法的一个优点是,其与仅基于近期登录活动的方法相比,位置的分析更精确。例如,如果使用设备的GPS来提供待比较的信息,则可以在几米内确定位置。根据用户的偏好,可以建立(设定)用于比较登录信息的地理位置与使用信息的地理位置的距离差的适当范围。在本发明的一个实施例中,如果登录信息的地理位置与使用信息的地理位置之间的距离差大于预定距离(诸如优选地大于5m,更优选地大于3m,甚至更优选大于1m,或大于10m,或大于15m,或大于20m,或大于30m,或大于40m,或大于50m,或大于100m,或大于200m,或大于300m,或大于400m,或大于500m,或大于1km,或大于2km,或大于3km,或大于4km,或大于5km,或大于10km,或大于100km,或大于1000km),则该方法识别出潜在未授权登录。
可替代地,该方法可以将任何给定位置映射到特定区域(诸如国家)。因此,在本发明的一个实施例中,如果登录信息的国家(诸如最后注册的国家)不同于使用信息的当前地理信息,则该方法识别出潜在未授权登录,其中使用信息的当前地理信息包括国家。
如上所述,在本发明的一个实施例中,安全列表与合法用户相关联。使用安全位置列表的一种可能性是比较近期登录活动中列出的所执行登录的地理位置与安全列表中的所有地理位置之间的距离。如果近期登录活动中列出的所执行登录的地理位置大于安全列表的所有地理位置的预定距离,则该方法可以将该登录标记为潜在未授权登录。
该方法还可以比较(多种)访问类型、和/或(多个)浏览器、和/或(多个)操作系统、和/或(多个)IP地址、和/或具有(多种)访问类型、和/或(多个)浏览器、和/或(多个)操作系统、和/或(多个)IP地址的登录信息的(多个)网络运营商、和/或针对近期登录活动中信息的使用信息的(多个)网络运营商。如果使用信息包括包含合法访问类型、和/或浏览器、和/或操作系统、和/或IP地址的多个记录,则如果近期登录活动的浏览器与包括合法浏览器的所有记录的浏览器不同,或者如果近期登录活动的访问类型与包括合法访问类型的所有记录的访问类型不同,或者如果近期登录活动的操作系统与包括合法操作系统的所有记录的操作系统不同,或者如果近期登录活动的IP地址与包括合法IP地址的所有记录的IP地址不同,则该方法可以识别出潜在未授权登录。以这种方式,合法用户可以批准几种访问类型/浏览器/操作系统/IP地址/网络运营商,并且一旦访问不对应于访问类型/浏览器/操作系统/IP地址/网络运营商中的任何一个,该方法就可以标记该未授权访问。
本发明的另一方面涉及一种区分来自靠近合法用户的人的未授权访问的方法,其中靠近合法用户的人是就他们地理上位于附近或者他们可以访问例如属于合法用户的设备这个意义而言的。在本公开中,之前提及的合法用户的指纹可以包括与用户的正常行为相对应的信息的组合。因此,如果近期登录活动的地理位置、和/或关于(一种或多种)访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)、和/或(一个或多个)浏览器、和/或(一个或多个)操作系统、和/或(一个或多个)IP地址的信息的组合与安全组合列表的元素中的对应组合不同,则该方法可以识别潜在未授权登录。应用此方法的结果是合法用户可以与正常的和预期的组合相关联,诸如使用特定移动网络从一个位置访问在线服务。某些组合可以是有效的,例如从一个地理位置访问在线服务,但是使用被批准的两个互联网浏览器中的任何一个。然而,结合不同的移动运营商,访问可以源于不是旨在访问该帐户的人,因此该方法可以将该特定组合识别为可能的未授权登录。
有效和无效的组合也可以包括时间间隔。例如,如果用户知道他只在某些时间间隔出现在某些位置,例如在白天工作,在早晨去上班,或在夜间在家,则该方法可以考虑这些组合并且如果某个组合未被合法用户所批准的组合覆盖,则标记未授权登录。作为示例,与合法用户的住所相对应的位置可以与对应于除了上午8点至下午5点之间(在该时间段,合法用户正在工作)的所有时间的时间间隔相结合。在上述时间段内来自家的访问可以表明,家庭成员在未经合法用户许可的情况下从家庭设备访问了在线服务。
即使用于识别在线服务的未授权访问的高级方法也将产生虚假警报,并且无法检测到偶尔进行的真实未授权访问。因此,本发明的一个方面涉及指示评估的可信度如何。为了向用户提供这种信息,该方法还可以包括基于登录信息和使用信息的比较来生成威胁分数的步骤。可以通过几种方式计算威胁分数。在一个实施例中,基于先前注册的评估计算威胁分数;例如,可以知道某些组合在识别未授权登录方面不如其它组合那样有效。也可以量化某些比较,例如地理距离的比较。如果基于地理位置比较的比较失败,则威胁分数可以例如与距离成比例。在国家中远离用户的访问可以被认为是比在比较中被认为是安全区域之外的访问更可靠的未授权访问的指示,并且因此距离失败可以用作威胁分数的参数。
在另一实施例中,本公开的方法还包括基于该比较来将未授权访问与入侵者类别相关联的步骤。可以建立多个类别,包括诸如黑客、同事和家庭成员等潜在入侵者。当根据本发明的方法比较登录信息和使用信息时,可以使用多个不同的标准来识别未授权访问。不同的标准可以与不同的入侵者类别相关联。例如,如果地理位置长距离故障,则未授权访问可以被分类为潜在的黑客攻击,并且如果访问是在合法用户工作时来自于合法用户的住所,那么未授权访问可以被分类为源自家庭成员。
后比较和识别
一旦识别出未授权的访问,则本公开的方法可以产生视觉、听觉和/或有形警报。警报可以例如作为声音、有形警报(例如振动)和/或设备上的弹出窗口、和/或作为移动应用程序和/或计算机程序中的通知、和/或作为电子邮件、和/或作为SMS传递至合法用户,和/或警报被转发到另一设备(诸如另一个移动设备、诸如移动电话、智能手表或可穿戴设备)。警报的一个示例是该方法在设备上的移动应用程序(app)中运行的情况。如果在应用程序中执行根据本发明的方法并且识别出未授权的访问,那么该应用程序可以向用户生成指示,该指示包括例如关于与未授权访问相关联的位置、设备类型、浏览器等的信息。然而,应该注意到,不一定将警报发送到已经从中取回出使用数据的设备。也可以将警报发送到另一个设备、或例如电子邮件或SMS。接收警报的设备也可以将警报转发到辅助设备(例如手表或可穿戴设备)。
本发明的另一方面涉及允许用户自己评估所识别的未授权登录。如果用户将访问权限标识为他自己的访问,或者由于其它原因他考虑待授权的访问,则他可以选择将其传回给执行该方法的应用程序。用户可以批准或拒绝所识别的未授权登录。该信息可以与本公开中作为安全列表(例如安全位置列表)或安全组合列表提及的信息相关联。因此,该方法的一个实施例还包括将批准的所识别的未授权登录添加到包括合法访问类型、和/或浏览器、和/或操作系统、和/或IP地址的安全列表和/或记录中的步骤。
此外,该方法还可以在识别出未授权登录时采取进一步动作。如果合法用户评估并拒绝识别出的未授权登录(拒绝被定义为将该识别考虑为正确),则该方法可以使得该设备从在线服务退出登录。可替代地,如果若干设备同时登录到帐户,则该方法可以包括使得所有设备和/或所有会话退出登录的步骤。这可以基于在线服务可得的信息、或通过跟踪活动会话的方法、或通过包括这种动作的在线服务中的功能来完成,这是本领域技术人员已知的。
当识别出未授权登录时,其它动作也是可行的。由于帐户的一个未授权访问意味着可能有他人跟随,所以该方法的一个实施例涉及临时暂停帐户、和/或更改账户的密码、和/或更改帐户的恢复数据、和/或更新账户的安全设置。如果合法用户怀疑其它帐户也可能会遭到入侵,则该方法还可以暂停这些账户、和/或更改这些账户的密码、和/或更改这些账户的恢复数据、和/或更新这些帐户的安全设置。
在一个实施例中,该方法还包括从在线服务的帐户取回警报和/或警告的步骤。在某些情况下,使用未授权访问的帐户自身警报和/或警告来补充检查、和/或比较结果可能是有意义的。在另一实施例中,本公开的方法还包括在执行该方法之前或之后,取回在线服务帐户的安全设置的步骤。使用该实施例的一种方式将是是否在例如移动应用程序中实施该方法。当启动应用程序时,该方法取回一个或若干个关联帐户的安全设置,并评估它们是否与应用程序的设置相符(即所公开的方法)。如果存在与合法用户相关联的若干帐户,则该方法可以包括评估与合法用户相关联的帐户之间的安全设置的一致性、和/或评估与先前登录有关的安全设置中的改变的进一步的步骤。取回在线服务帐户的安全设置和其它信息可以通常被认为是本领域技术人员已知的。
除了生成警报和/或警告之外,本公开的方法还可以以其它方式阻止所识别的未授权访问。本方法的一个实施例还包括公开未授权用户的信息(诸如IP地址、地理位置、计算机平台或其它数据)的步骤。蜜罐技术或蜂蜜邮件(honeymail)可以用于此目的。这可以由合法用户自动地或手动地完成,例如通过将跟踪脚本插入到消息、文本或电子邮件中。跟踪脚本可能会暴露可以与合法用户的实际使用行为进行比较的信息。
系统和使用
本发明方法中的合法用户的设备不限于特定类型的设备。可以从执行实施该方法的指令中获益的设备的一个示例是移动设备,诸如智能手机、平板计算机、智能手表、智能眼镜或可穿戴设备。也可以内部连接用户的几个设备,这为本公开增加了另一个方面。特别地,如果设备不位于相同的位置,或者如果它们使用不同的操作系统、浏览器等,则该方法可以从任何一个设备取回信息。因此,如果用户的设备与合法用户的附加设备(诸如智能手机、平板电脑、智能手表、智能眼镜或可穿戴设备)相关联,并且其中从附加设备取回使用信息,合法用户不仅可以选择在比较中使用的使用信息的类型,还可以选择应从哪些设备取回信息。作为示例,用户可以从位于其住所的第一计算机或第一移动设备登录。该计算机或移动设备与附加设备(例如,连接到第一设备的智能手表)配对。如果用户佩戴智能手表离开住所,但留下了第一设备,则可以认为来自第一设备的在线服务的访问是未授权的。将第二设备选择为将从中取回待比较的使用信息的设备可以是自动设定,或者也可以是用户手动选择。类似地,用户可以选择其它设置,包括在比较中使用的信息类型,更具体地,在比较中使用的地理位置的类型。
此外,因为该设备可以直接访问例如合法用户的实际地理位置,所以在合法用户的设备上或由该合法用户的设备执行该方法可能是有利的。
本公开的方法可以被实施为单独的计算机程序,但是也可以被实施为在设备上运行或在线运行的现有服务的插件。在一个实施例中,服务是与电子邮件服务器相关联的电子邮件程序或电子邮件服务器或在线服务。这种实施例可以用作安全的电子邮件应用程序,其中只能由提供与来自合法用户的设备的合法用户的地理位置地理匹配的用户来访问电子邮件。还可以将该方法集成在诸如防火墙或授权技术之类的网络安全系统中。
根据本发明公开的计算机实现的方法优选地重复该方法的步骤。关于步骤的重复,出现的问题是程序应该多久执行一次该方法的步骤,以识别帐户的潜在未授权访问。答案是这取决于多种情况。频繁执行该方法的步骤增加了快速识别未授权访问的可能性,但通常意味着更高的功耗和更多的数据传输,特别是如果使用借助例如GPS的地理指示的话,更是如此。在一个实施例中,以固定的时间间隔迭代地重复该方法的步骤,诸如每分钟、每2分钟、每3分钟、每4分钟、每5分钟、每10分钟、每15分钟、每20分钟、每30分钟、每小时、每2小时、每3小时、每4小时、每6小时、每8小时、每10小时、每15小时、每20小时或每24小时重复一次。可替代地,用户可以手动启动该方法,或者根据特定事件迭代地重复这些步骤,使得在线服务帐户的新登录发生。
本发明还涉及一种用于识别在线服务帐户的未授权访问的系统,包括用于存储指令的非过渡性计算机可读存储设备,所述指令在被处理器执行时执行根据所描述方法的用于识别在线服务的账户的未授权访问。该系统可以包括包含处理器和存储器并且配置为执行该方法的移动设备,并且该系统还可以是由固定系统或从中央位置操作的系统、和/或涉及例如云计算的远程系统。本发明还涉及一种具有指令的计算机程序,所述指令当由计算设备或系统执行时,使计算设备或系统根据所描述的方法来识别在线服务的帐户的未授权访问。在这个背景下的计算机程序应被宽泛地解释并包括例如将要在PC上运行的程序或旨在在智能手机、平板电脑或其它移动设备上运行的软件。计算机程序和移动应用程序包括免费的软件和需要购买的软件,还包括通过分销软件平台(诸如Apple App Store、GooglePlay和Windows Phone Store)分发的软件。
本发明的进一步细节
1.一种用于识别在线服务(诸如电子邮件或社交网络服务)的帐户的未授权访问的(计算机实现的)方法,其中所述帐户与合法用户相关联,所述方法包括以下步骤:
-从帐户的近期登录活动取回登录信息;
-从合法用户的设备取回使用信息;
-比较登录信息和使用信息;
-识别未授权用户的潜在未授权登录。
2.根据前述项中任一项所述的方法,其中所述登录信息对应于与正在进行的登录尝试或最近期登录尝试相关联的地理位置。
3.根据前述项中任一项所述的方法,其中所述使用信息包括合法用户的地理位置。
4.根据前述项中任一项所述的方法,其中比较登录信息和使用信息的步骤是通过比较与正在进行的登录尝试或最近期登录尝试相关联的地理位置与合法用户的地理位置来执行的。
5.根据前述项中任一项所述的方法,其中最近期登录尝试是单个最近期登录尝试。
6.根据前述项中任一项所述的方法,其中由潜在授权用户手动地提供所述地理位置,作为登录尝试的一部分。
7.根据前述项中任一项所述的方法,其中由与所述在线服务相关联的应用程序(诸如用于电子邮件或在线服务的跟踪脚本)提供所述地理位置。
8.根据前述项中任一项所述的方法,其中从所述潜在授权用户的活动提取所述地理位置。
9.根据前述项中任一项所述的方法,其中请求所述潜在授权用户提供对应于所述正在进行的登录尝试或单个最近期登录尝试的所述地理位置。
10.根据项8所述的方法,其中对应于所述正在进行的登录尝试或单个最近期登录尝试的预定时间段内的否定响应或响应缺失被认为是未授权登录。
11.根据前述项中任一项所述的方法,还包括如果所述正在进行的登录尝试被识别为未授权登录,则拒绝所述正在进行的登录尝试的步骤。
12.根据前述项中任一项所述的方法,其中近期登录活动包括最后n次登录和/或登录尝试,其中n是等于或大于1的任何整数,诸如1、或2、或3、或4、或5、或6、或7、或8、或9、或10、或20、或30、或40、或50、或100、或200、或500、或1000。
13.根据前述项中任一项所述的方法,其中从近期登录活动取回登录信息的步骤包括:收集关于每次登录和/或登录尝试的一种或多种访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址、和/或一个或多个地理位置(国家/城市/GPS坐标)、和/或日期、和/或时间的信息。
14.根据项13所述的方法,还包括取回与所述登录和/或登录尝试的IP地址相关联的(一个或多个)运营商网络的步骤。
15.根据前述项中任一项所述的方法,其中从所述合法用户的设备中取回所述帐户的近期登录活动的登录信息或与在线服务相关联的应用程序的信息。
16.根据前述项中任一项所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:以预定义时间段(例如回溯1天、或1周、或1个月、或2个月、或6个月、或1年)取回来自合法用户的设备的所存储和所记录的信息。
17.根据前述项中任一项所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回关于与所述合法用户的合法访问相对应的一种或多种访问类型(PC浏览器/移动浏览器/智能手机或平板应用程序/POP3/IMAP)、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址的信息。
18.根据项17所述的方法,其中来自所述合法用户的设备的取回的使用信息包括具有合法访问类型、和/或浏览器、和/或操作系统、和/或IP地址的多个记录。
19.根据前述项中任一项所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回关于所述合法用户的地理位置的信息。
20.根据项19所述的方法,其中从所述合法用户的主设备取回关于所述合法用户的地理位置的信息。
21.根据项19-20中任一项所述的方法,其中所述地理位置对应于由所述合法用户的主设备提供的所述合法用户的实际位置。
22.根据项19-21中任一项所述的方法,其中由所述合法用户限定所述主设备。
23.根据项19-22中任一项所述的方法,其中比较所述登录信息和所述使用信息的步骤包括将与所述正在进行的登录尝试或最近期登录尝试相对应的所述地理位置与所述合法用户的所述地理位置进行比较的步骤。
24.根据项19-23中任一项所述的方法,其中所述主设备是移动电话、计算机、智能手表、可穿戴设备。
25.根据前述项中任一项所述的方法,其中比较所述登录信息和所述使用信息的步骤是地理认证。
26.根据项19-25中任一项所述的方法,其中由所述设备的全球定位系统或由所述设备的Wi-Fi系统提供关于所述合法用户的地理位置的信息。
27.根据前述项中任一项所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回所述合法用户的设备的IP地址。
28.根据项27所述的方法,还包括取回与所述合法用户的设备的IP地址相关联的运营商网络的步骤。
29.根据前述项中任一项所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回关于移动国家代码(MCC)、和/或移动网络代码(MNC)、和/或位置区域代码(LAC)、和/或移动网络的小区ID的信息。
30.根据前述项中任一项所述的方法,其中比较登录信息和使用信息的步骤包括:比较登录信息中的地理位置和使用信息中的地理信息。
31.根据前述项中任一项所述的方法,其中将与近期登录活动中的最后登录或登录尝试相对应的地理位置与所述使用信息中的当前地理信息进行比较。
32.根据前述项中任一项所述的方法,其中将与最近登录活动中的最后登录或登录尝试相对应的地理位置与来自所述合法用户的设备的取回的使用信息中的地理位置列表进行比较。
33.根据前述项中任一项所述的方法,其中所述合法用户已经批准所述地理位置中的至少一个,从而创建地理位置的安全列表。
34.根据前述项中任一项所述的方法,其中合法用户已经批准来自取回的使用信息的所有地理位置。
35.根据前述项中任一项所述的方法,其中比较登录信息和使用信息的步骤包括:比较(多个)访问类型、和/或(多个)浏览器、和/或(多个)操作系统、和/或(多个)IP地址、和/或具有(多个)访问类型、和/或(多个)浏览器、和/或(多个)操作系统、和/或(多个)IP地址的登录信息的(多个)网络运营商、和/或所述使用信息的(多个)网络运营商。
36.根据前述项中任一项所述的方法,其中识别未授权用户的(多个)潜在未授权登录的步骤包括:基于所述登录信息中的地理位置与所述使用信息中的所述地理位置信息之差来识别潜在未授权登录。
37.根据项36所述的方法,其中,如果来自登录信息的地理位置与来自使用信息的地理位置之间的距离之差大于预定距离,则该方法识别潜在未授权登录,例如优选地大于5m,更优选大于3m,甚至更优选大于1m,或大于10m,或大于15m,或大于20m,或大于30m,或大于40m,或大于50m,或大于100m,或大于200m,或大于300m,或大于400m,或大于500m,或大于1km,或大于2km,或大于3km,或大于4km,或大于5km,或大于10km,或大于100km,或大于1000km。
38.根据前述项中任一项所述的方法,其中如果所述登录信息中的国家(例如最后登记的国家)与所述使用信息中的当前地理信息不同,则所述方法识别潜在未授权登录,其中,使用信息中的当前地理信息包括国家。
39.根据前述项中任一项所述的方法,其中如果所述登录信息中的地理位置与所述使用信息中的地理位置之差大于预定距离,则所述方法识别潜在未授权登录,其中将登录信息中的地理位置与安全列表中的所有地理位置和使用信息中的当前地理信息进行单独比较,其中,只有当该差异大于安全列表中的地理位置与使用信息中的当前地理信息的预定距离时,该方法识别潜在未授权登录。
40.根据前述项中任一项所述的方法,其中如果近期登录活动的浏览器与包括合法浏览器的所有记录的浏览器不同,或者如果近期登录活动的访问类型与包括合法访问类型的所有记录的访问类型不同,或者如果近期登录活动的操作系统与包括合法操作系统的所有记录的操作系统不同,或者如果近期登录活动的IP地址与包括合法IP地址的所有记录的IP地址不同,则该方法识别潜在未授权登录。
41.根据前述项中任一项所述的方法,其中如果所述近期登录活动的所述地理位置和/或关于一种或多种访问类型(PC浏览器/移动浏览器/智能手机或平板电脑应用程序/POP3/IMAP)、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址的信息的组合与安全组合列表的元素中的相应组合不同,则所述方法识别潜在未授权登录。
42.根据项41所述的方法,其中合法用户已经批准安全组合列表的元素。
43.根据项41-42中任一项所述的方法,其中所述安全组合列表的元素还包括与元素相关联的时间间隔,所述方法还包括如果所比较的登录和/或登录尝试的时间超出所比较元素的时间间隔,则识别潜在未授权登录的步骤。
44.根据前述项中任一项所述的方法,还包括基于所述登录信息与所述使用信息的比较来生成威胁分数的步骤。
45.根据项44所述的方法,其中所述威胁分数基于所述登录信息中的地理位置与所述使用信息中的地理信息之差。
46.根据前述项中任一项所述的方法,还包括基于所述比较将未授权访问与入侵者类别相关联的步骤。
47.根据前述项中任一项所述的方法,还包括如果识别出未授权访问,则产生视觉、听觉和/或有形警报的步骤。
48.根据项47所述的方法,其中所述警报作为所述设备上的弹出窗口、和/或作为移动应用程序和/或计算机程序中的通知、和/或作为电子邮件、和/或作为SMS传送给所述合法用户,和/或警报被转发到另一设备(诸如另一移动设备、移动电话、智能手表或可穿戴设备)。
49.根据项47-48中任一项所述的方法,还包括请求所述合法用户批准或拒绝识别出的未授权登录的步骤。
50.根据项49所述的方法,还包括以下步骤:将已批准的识别出的未授权登录添加到包括合法访问类型、和/或浏览器、和/或操作系统、和/或IP地址的安全列表或记录中。
51.根据项49-50中任一项所述的方法,还包括如果合法用户拒绝识别出的未授权登录,则使该帐户退出登录的步骤。
52.根据项49-51中任一项所述的方法,其中,使所述帐户退出登录的步骤包括使登录到所述帐户的所有用户和/或会话退出登录。
53.根据项49-52中任一项所述的方法,其中记录跟踪与所述合法用户相关联的其它帐户,并且其中使所述帐户退出登录的步骤还包括使与合法用户相关联的所有其它帐户的所有用户和/或会话退出登录的步骤。
54.根据项49-53中任一项所述的方法,还包括暂停所述帐户、和/或改变所述帐户的密码、和/或更改所述帐户的恢复数据、和/或更新所述帐户的安全设置的步骤。
55.根据项54所述的方法,还包括暂停和/或更改与合法用户相关联的其它帐户的密码、和/或更改与合法用户相关联的其它帐户的恢复数据、和/或更新与合法用户相关联的其它帐户的安全设置的步骤。
56.根据前述项中任一项所述的方法,还包括从所述在线服务的帐户取回警报和/或警告的步骤。
57.根据前述项中任一项所述的方法,还包括在所述其它步骤之前或之后取回所述帐户的安全设置的步骤。
58.根据项57所述的方法,还包括评估与所述合法用户相关联的帐户之间的安全设置的一致性、和/或评估相对于先前登录的所述安全设置的改变的步骤。
59.根据前述项中任一项所述的方法,其中以固定的时间间隔迭代地重复所有步骤,诸如每分钟、每2分钟、每3分钟、每4分钟、每5分钟、每10分钟、每15分钟、每20分钟、每30分钟、每小时、每2小时、每3小时、每4小时、每6小时、每8小时、每10小时、每15小时、每20小时、或每24小时的间隔重复。
60.根据前述项中任一项所述的方法,其中在所述合法用户的所述设备上或由所述合法用户的所述设备执行所述方法。
61.根据前述项中任一项所述的方法,其中所述在线服务是防火墙、网络或/或电子邮件服务器,或与防火墙、网络或/或电子邮件服务器相关联。
62.根据前述项中任一项所述的方法,其中根据特定事件迭代地重复所有步骤,使得发生在线服务帐户的新登录。
63.根据前述项中任一项所述的方法,其中所述设备是移动设备,诸如智能手机、平板计算机、智能手表、智能眼镜或可穿戴设备。
64.根据前述项中任一项所述的方法,其中所述设备与所述合法用户的附加设备相关联,并且其中从所述附加设备取回使用信息,所述附加设备为诸如智能手机、平板计算机、智能手表、智能眼镜或可穿戴设备。
65.根据前述项中任一项所述的方法,其中所述合法用户选择在所述比较中使用的取回的登录信息和使用信息的类型。
66.根据前述项中任一项所述的方法,其中所述合法用户选择在比较中使用的地理位置的类型。
67.一种用于识别在线服务的帐户的未授权访问的系统,包括用于存储指令的非过渡性计算机可读存储设备,所述指令在由处理器执行时,执行根据项1-66中任一项所述的用于识别在线服务的帐户的未授权访问的方法。
68.一种移动设备,包括处理器和存储器并且配置为执行根据项1-66中任一项所述的用于识别在线服务的帐户的未授权访问的方法。
69.一种具有指令的计算机程序,当由计算设备或系统执行时,所述计算机程序使得所述计算设备或系统识别根据项1-66中任一项所述的用于在线服务的帐户的未授权访问。
Claims (42)
1.一种用于识别在线服务的帐户的未授权访问的方法,其中所述帐户与合法用户相关联,所述方法包括以下步骤:
-从对应于与正在进行的登录尝试或最近期登录尝试相关联的地理位置的账户的近期登录活动取回登录信息,其中由潜在授权用户手动地提供所述地理位置或从所述潜在授权用户的活动提取所述地理位置;
-从所述合法用户的设备取回包括合法用户的地理位置的使用信息,其中从所述合法用户的主设备取回关于所述合法用户的所述地理位置的所述信息,或者关于所述合法用户的所述地理位置的所述信息对应于由所述合法用户的所述主设备提供的所述合法用户的实际位置;
-通过比较与所述正在进行的登录尝试或最近期登录尝试相关联的所述地理位置和合法用户的所述地理位置,来比较所述登录信息和所述使用信息;以及
-基于与所述正在进行的登录尝试或最近期登录尝试相关联的所述地理位置与来自所述合法用户的所述设备的所述合法用户的所述地理位置之差来识别未授权用户的一个或多个潜在未授权登录。
2.根据权利要求1所述的方法,其中所述在线服务是电子邮件或社交网络服务。
3.根据权利要求1或2所述的方法,其中所述最近期登录尝试是单个最近期登录尝试。
4.根据权利要求1或2所述的方法,其中由与所述在线服务相关联的应用程序提供所述地理位置。
5.根据权利要求4所述的方法,其中与所述在线服务相关联的应用程序是用于电子邮件或在线服务的跟踪脚本。
6.根据权利要求1或2所述的方法,其中请求所述潜在授权用户提供对应于所述正在进行的登录尝试或单个最近期登录尝试的所述地理位置。
7.根据权利要求6所述的方法,其中在预定时间段内的否定响应或响应缺失对应于所述正在进行的登录尝试或单个最近期登录尝试被认为是未授权登录。
8.根据权利要求1或2所述的方法,还包括如果所述正在进行的登录尝试被识别为未授权登录,则拒绝所述正在进行的登录尝试的步骤。
9.根据权利要求1或2所述的方法,其中从近期登录活动取回登录信息的步骤包括:收集关于每次登录和/或登录尝试的一种或多种访问类型、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址、和/或一个或多个地理位置、和/或日期、和/或时间的信息。
10.根据权利要求9所述的方法,其中,所述一种或多种访问类型包括PC浏览器、移动浏览器、智能手机或平板电脑应用程序、POP3或IMAP。
11.根据权利要求9所述的方法,其中,所述一个或多个地理位置包括国家、城市或GPS坐标。
12.根据权利要求1或2所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回关于与所述合法用户的合法访问相对应的一种或多种访问类型、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址的信息。
13.根据权利要求12所述的方法,其中,所述一种或多种访问类型包括PC浏览器、移动浏览器、智能手机或平板电脑应用程序、POP3或IMAP。
14.根据权利要求1或2所述的方法,其中在与合法用户相关联的在线服务的至少两个不同帐户之间共享授权和/或未授权登录。
15.根据权利要求1或2所述的方法,其中从所述合法用户的设备取回使用信息的步骤包括:取回关于所述合法用户的地理位置的信息。
16.根据权利要求1所述的方法,其中由所述合法用户限定所述主设备。
17.根据权利要求15所述的方法,其中将所述登录信息与所述使用信息进行比较的步骤包括将与所述正在进行的登录尝试或单个最近期登录尝试相对应的所述地理位置与所述合法用户的所述地理位置进行比较的步骤。
18.根据权利要求1或2所述的方法,其中所述主设备是移动电话、计算机、智能手表、或可穿戴设备。
19.根据权利要求1或2所述的方法,其中比较所述登录信息和所述使用信息的步骤是地理认证。
20.根据权利要求1或2所述的方法,其中所述比较登录信息和使用信息的步骤包括:比较所述登录信息中的所述地理位置和所述使用信息中的所述地理信息。
21.根据权利要求1或2所述的方法,其中如果所述近期登录活动的所述地理位置和/或关于一种或多种访问类型、和/或一个或多个浏览器、和/或一个或多个操作系统、和/或一个或多个IP地址的信息的组合与安全组合列表的元素中的相应组合不同,则识别潜在未授权登录。
22.根据权利要求21所述的方法,其中,所述一种或多种访问类型包括PC浏览器、移动浏览器、智能手机或平板电脑应用程序、POP3或IMAP。
23.根据权利要求1或2所述的方法,还包括以下步骤:如果识别出未授权访问,则产生视觉、听觉和/或有形警报和/或通知,其中所述警报作为所述设备上的弹出窗口、和/或作为移动应用程序和/或计算机程序中的通知、和/或作为电子邮件、和/或作为SMS传送给所述合法用户,和/或警报被转发到另一设备。
24.根据权利要求23所述的方法,其中所述另一设备是另一移动设备。
25.根据权利要求24所述的方法,其中所述另一移动设备是移动电话、智能手表或可穿戴设备。
26.根据权利要求1或2所述的方法,还包括请求所述合法用户为一次或多次登录尝试确认所述设备的所述地理位置的步骤。
27.根据权利要求26所述的方法,其中请求所述合法用户为一次或多次登录尝试确认所述设备的所述地理位置的步骤包括登录尝试的反向验证。
28.根据权利要求1或2所述的方法,还包括阻止识别出的未授权访问的步骤。
29.根据权利要求1或2所述的方法,还包括公开所述未授权用户的信息的步骤。
30.根据权利要求29所述的方法,其中所公开的信息是所述未授权用户的IP地址、地理位置、计算机平台或其它数据。
31.根据权利要求29所述的方法,其中公开所述未授权用户的信息包括使用蜜罐技术或蜂蜜邮件公开所述未授权用户的信息。
32.根据权利要求1或2所述的方法,还包括要求所述合法用户批准或拒绝识别出的未授权登录的步骤,并且还包括以下步骤:如果所述合法用户拒绝识别出的未授权登录,则使所述帐户退出登录、和/或暂停所述帐户、和/或改变所述帐户的密码、和/或更改所述帐户的恢复数据、和/或更新所述帐户的安全设置。
33.根据权利要求32所述的方法,其中记录跟踪与所述合法用户相关联的其它帐户,并且其中使所述帐户退出登录的步骤还包括使得与所述合法用户相关联的所有其它帐户的所有用户和/或会话退出登录的步骤。
34.根据权利要求1或2所述的方法,其中以固定的时间间隔迭代地重复所述方法的所有步骤。
35.根据权利要求34所述的方法,以每分钟、每2分钟、每3分钟、每4分钟、每5分钟、每10分钟、每15分钟、每20分钟、每30分钟、每小时、每2小时、每3小时、每4小时、每6小时、每8小时、每10小时、每15小时、每20小时、或每24小时的间隔迭代地重复所述方法的所有步骤。
36.根据权利要求1或2所述的方法,其中在所述合法用户的所述设备上或由所述合法用户的所述设备执行所述方法。
37.根据权利要求1或2所述的方法,其中所述在线服务是防火墙、网络和/或电子邮件服务器,或与防火墙、网络和/或电子邮件服务器相关联。
38.根据权利要求1或2所述的方法,其中所述设备与所述合法用户的附加设备相关联,并且其中从所述附加设备取回所述使用信息。
39.根据权利要求38所述的方法,其中所述附加设备为智能手机、平板计算机、智能手表、智能眼镜或可穿戴设备。
40.一种用于识别在线服务的帐户的未授权访问的系统,包括用于存储指令的非过渡性计算机可读存储设备,所述指令在由处理器执行时,执行根据权利要求1-39中任一项所述的用于识别在线服务的帐户的未授权访问的方法。
41.一种移动设备,包括处理器和存储器并且配置为执行根据权利要求1-39中任一项所述的用于识别在线服务的帐户的未授权访问的方法。
42.一种存储介质,用于存储计算机程序,当所述计算机程序被执行时,促使移动设备执行根据权利要求1-39中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP15165988.5 | 2015-04-30 | ||
EP15165988 | 2015-04-30 | ||
PCT/EP2016/059759 WO2016174261A1 (en) | 2015-04-30 | 2016-05-02 | Method for identifying unauthorized access of an account of an online service |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107548547A CN107548547A (zh) | 2018-01-05 |
CN107548547B true CN107548547B (zh) | 2020-10-30 |
Family
ID=53040407
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680025051.7A Active CN107548547B (zh) | 2015-04-30 | 2016-05-02 | 识别在线服务的帐户的未授权访问的方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US10530782B2 (zh) |
EP (1) | EP3257226B1 (zh) |
CN (1) | CN107548547B (zh) |
DK (1) | DK3257226T3 (zh) |
WO (1) | WO2016174261A1 (zh) |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11374650B2 (en) * | 2016-05-27 | 2022-06-28 | Viasat, Inc. | Position-based access to satellite networks for satellite terminals |
US10984427B1 (en) * | 2017-09-13 | 2021-04-20 | Palantir Technologies Inc. | Approaches for analyzing entity relationships |
WO2019088981A1 (en) * | 2017-10-30 | 2019-05-09 | Hewlett-Packard Development Company, L.P. | Monitoring access |
US10891372B1 (en) * | 2017-12-01 | 2021-01-12 | Majid Shahbazi | Systems, methods, and products for user account authentication and protection |
US11100457B2 (en) * | 2018-05-17 | 2021-08-24 | Here Global B.V. | Venue map based security infrastructure management |
US11095632B2 (en) * | 2018-07-09 | 2021-08-17 | International Business Machines Corporation | Cognitive fraud prevention |
US11558193B2 (en) | 2018-08-13 | 2023-01-17 | Google Llc | Location-based access to controlled access resources |
US10956595B2 (en) | 2018-08-16 | 2021-03-23 | Super Auth, Inc. | User access management from anywhere and prevent intruders by notifying the users after a predetermined time interval |
CN109710437A (zh) * | 2018-10-29 | 2019-05-03 | 努比亚技术有限公司 | 一种应用登录优化方法、终端及计算机可读存储介质 |
CN111526110B (zh) * | 2019-02-01 | 2024-02-27 | 国家计算机网络与信息安全管理中心 | 检测电子邮箱账户非授权登录的方法、装置、设备和介质 |
US11205156B2 (en) * | 2019-10-19 | 2021-12-21 | Paypal, Inc. | Security data points from an electronic message |
CN110881032B (zh) * | 2019-11-06 | 2022-02-22 | 国网浙江武义县供电有限公司 | 账号越权操作的识别方法及装置 |
US10992972B1 (en) * | 2019-12-31 | 2021-04-27 | Adobe Inc. | Automatic identification of impermissable account sharing |
US11012861B1 (en) * | 2020-01-09 | 2021-05-18 | Allstate Insurance Company | Fraud-detection based on geolocation data |
CN111859363B (zh) * | 2020-06-24 | 2024-04-05 | 杭州数梦工场科技有限公司 | 用于识别应用未授权访问的方法、装置以及电子设备 |
US11350174B1 (en) * | 2020-08-21 | 2022-05-31 | At&T Intellectual Property I, L.P. | Method and apparatus to monitor account credential sharing in communication services |
CN112165379B (zh) * | 2020-09-28 | 2022-08-05 | 武汉虹信技术服务有限责任公司 | 一种用户安全登录方法、装置及终端设备 |
US11985146B2 (en) | 2021-09-29 | 2024-05-14 | Bank Of America Corporation | System and methods for proactive protection against malfeasant data collection |
US11963089B1 (en) | 2021-10-01 | 2024-04-16 | Warner Media, Llc | Method and apparatus to profile account credential sharing |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1341250A (zh) * | 1999-02-23 | 2002-03-20 | 西门子公司 | 用户识别方法 |
CN1801787A (zh) * | 2004-11-10 | 2006-07-12 | 微软公司 | 集成的电子邮件和即时消息通信应用程序 |
CN103391286A (zh) * | 2013-07-11 | 2013-11-13 | 北京天地互连信息技术有限公司 | 一种应用于全ip远程监控网络系统及安全认证方法 |
CN104081742A (zh) * | 2011-12-12 | 2014-10-01 | 诺基亚公司 | 用于提供联合服务账户的方法和装置 |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090094164A1 (en) * | 1999-07-09 | 2009-04-09 | Bally Gaming, Inc. | Remote access verification environment system and method |
US7360248B1 (en) * | 1999-11-09 | 2008-04-15 | International Business Machines Corporation | Methods and apparatus for verifying the identity of a user requesting access using location information |
US6687504B1 (en) * | 2000-07-28 | 2004-02-03 | Telefonaktiebolaget L. M. Ericsson | Method and apparatus for releasing location information of a mobile communications device |
US6577274B1 (en) * | 2001-12-19 | 2003-06-10 | Intel Corporation | Method and apparatus for controlling access to mobile devices |
US20050187934A1 (en) | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for geography and time monitoring of a server application user |
US8272032B2 (en) * | 2004-11-10 | 2012-09-18 | Mlb Advanced Media, L.P. | Multiple user login detection and response system |
US7636785B2 (en) * | 2004-11-16 | 2009-12-22 | Microsoft Corporation | Heuristic determination of user origin |
US20090100260A1 (en) * | 2007-05-09 | 2009-04-16 | Gunasekaran Govindarajan | Location source authentication |
US20100268818A1 (en) | 2007-12-20 | 2010-10-21 | Richmond Alfred R | Systems and methods for forensic analysis of network behavior |
ES2791700T3 (es) * | 2008-07-16 | 2020-11-05 | Glympse Inc | Compartición de información de ubicación en un entorno informático en red |
US8961619B2 (en) * | 2009-01-06 | 2015-02-24 | Qualcomm Incorporated | Location-based system permissions and adjustments at an electronic device |
US8750265B2 (en) * | 2009-07-20 | 2014-06-10 | Wefi, Inc. | System and method of automatically connecting a mobile communication device to a network using a communications resource database |
US8370389B1 (en) * | 2010-03-31 | 2013-02-05 | Emc Corporation | Techniques for authenticating users of massive multiplayer online role playing games using adaptive authentication |
EP2646903B1 (en) * | 2010-12-01 | 2021-09-08 | Headwater Research LLC | End user device that secures an association of application to service policy with an application certificate check |
US9177125B2 (en) * | 2011-05-27 | 2015-11-03 | Microsoft Technology Licensing, Llc | Protection from unfamiliar login locations |
JP5411204B2 (ja) * | 2011-05-27 | 2014-02-12 | 株式会社三菱東京Ufj銀行 | 情報処理装置及び情報処理方法 |
US9298890B2 (en) * | 2012-03-20 | 2016-03-29 | Facebook, Inc. | Preventing unauthorized account access using compromised login credentials |
US20140380475A1 (en) | 2013-06-25 | 2014-12-25 | International Business Machines Corporation | User centric fraud detection |
US9253198B2 (en) * | 2013-10-29 | 2016-02-02 | Mapquest, Inc. | Systems and methods for geolocation-based authentication and authorization |
US20150127527A1 (en) * | 2013-11-01 | 2015-05-07 | Knox Payments, Inc. | Payment processing system and method |
US9235729B2 (en) * | 2013-11-08 | 2016-01-12 | Dell Products L.P. | Context analysis at an information handling system to manage authentication cycles |
US10122711B2 (en) * | 2014-03-31 | 2018-11-06 | Kountable, Inc. | Secure communications methods for use with entrepreneurial prediction systems and methods |
US9621563B2 (en) * | 2015-03-27 | 2017-04-11 | International Business Machines Corporation | Geographical location authentication |
-
2016
- 2016-05-02 EP EP16721135.8A patent/EP3257226B1/en active Active
- 2016-05-02 US US15/570,606 patent/US10530782B2/en active Active
- 2016-05-02 WO PCT/EP2016/059759 patent/WO2016174261A1/en active Application Filing
- 2016-05-02 CN CN201680025051.7A patent/CN107548547B/zh active Active
- 2016-05-02 DK DK16721135.8T patent/DK3257226T3/en active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1341250A (zh) * | 1999-02-23 | 2002-03-20 | 西门子公司 | 用户识别方法 |
CN1801787A (zh) * | 2004-11-10 | 2006-07-12 | 微软公司 | 集成的电子邮件和即时消息通信应用程序 |
CN104081742A (zh) * | 2011-12-12 | 2014-10-01 | 诺基亚公司 | 用于提供联合服务账户的方法和装置 |
CN103391286A (zh) * | 2013-07-11 | 2013-11-13 | 北京天地互连信息技术有限公司 | 一种应用于全ip远程监控网络系统及安全认证方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3257226B1 (en) | 2018-07-11 |
WO2016174261A1 (en) | 2016-11-03 |
US20180288066A1 (en) | 2018-10-04 |
DK3257226T3 (en) | 2018-10-29 |
US10530782B2 (en) | 2020-01-07 |
EP3257226A1 (en) | 2017-12-20 |
CN107548547A (zh) | 2018-01-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107548547B (zh) | 识别在线服务的帐户的未授权访问的方法 | |
US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
US9571590B2 (en) | System and method for improved detection and monitoring of online accounts | |
US9098688B1 (en) | Location as a second factor for authentication | |
CN105378790B (zh) | 使用社交联网数据的风险评估 | |
US9348981B1 (en) | System and method for generating user authentication challenges | |
US9268956B2 (en) | Online-monitoring agent, system, and method for improved detection and monitoring of online accounts | |
US20150178715A1 (en) | Authenticating entities engaging in automated or electronic transactions or activities | |
CN105516133B (zh) | 用户身份的验证方法、服务器及客户端 | |
US20140380478A1 (en) | User centric fraud detection | |
WO2017196609A1 (en) | User authentication and access control using identity services | |
US20150120572A1 (en) | Location based mobile deposit security feature | |
US20160173501A1 (en) | Managing electronic account access control | |
US8549597B1 (en) | Temporary virtual identities in a social networking system | |
US20080162692A1 (en) | System and method for identifying and blocking sexual predator activity on the internet | |
US10027770B2 (en) | Expected location-based access control | |
US20130047210A1 (en) | Systems and Methods for Providing Security When Accessing a User Account of a Browser-Based Communications Application | |
US20150229633A1 (en) | Method for implementing login confirmation and authorization service using mobile user terminal | |
Zamir | Cybersecurity and social media | |
US9565527B1 (en) | Location-based services for exigent circumstances | |
Ashraf et al. | " Stalking is immoral but not illegal": Understanding Security, Cyber Crimes and Threats in Pakistan | |
Adu Michael et al. | Mitigating cybercrime and online social networks threats in Nigeria | |
Sabou et al. | Cybersecurity challenges in smart cities–A smart governance perspective | |
Al-Turjman et al. | Security in social networks | |
KR101817414B1 (ko) | 이중 로그인 탐지 방법 및 이중 로그인 탐지 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |