CN108885659A - 对相同性进行匹配和计分的系统和方法 - Google Patents

Abstract

提供了对相同性进行匹配和计分的系统和方法。在一些实施例中，提供了一种计算机实现的方法，该方法包括以下动作：从第一数字交互中识别多个一级锚值，其中多个一级锚值包括一级锚值X和Y；访问一级锚值X的简档，其中：一级锚值X的简档包括多组二级锚值；并且多组二级锚值中的每一组对应于相应的锚类型并且包括该锚类型的一个或多个二级锚值；确定一级锚值X和Y的关联程度；以及至少部分地基于一级锚值X和Y的关联程度，生成指示多个一级锚值的关联程度的关联分数。

Description

对相同性进行匹配和计分的系统和方法

相关申请

根据美国法典第35编第119条，本申请要求2015年9月5日提交的美国临时专利申请No.62/214,969的优先权，通过引用的方式将其全部合并入到本文中。

本申请与代理案卷号为L0702.70005US00题为“SYSTEMS AND METHODS FORDETECTING AND SCORING ANOMALIES”申请序列号为____以及代理案卷号为L0702.70003US01题为“SYSTEMS AND METHODS FOR DETECTING AND PREVENTING”申请序列号为_____同一天提交。通过引用的方式将这些申请中的每一个的全部并入到本文中。

背景技术

处于在线状态的大型组织通常每分钟接收数以万计的请求以启动数字交互。支持多个大型组织的安全系统可以同时处理数百万次数字交互，并且安全系统每周分析的数字交互总数可以轻易超过10亿次。

随着组织越来越需要实时结果，安全系统可能必须分析大量数据，并准确确定数字交互是否合法，所有这些都在几分之一秒内完成。这带来了巨大的技术挑战，尤其是考虑到安全系统处理的大量数字交互。

发明内容

根据一些实施例，提供了一种计算机实现的用于分析第一数字交互的方法，所述方法包括以下动作：从所述第一数字交互中识别多个一级锚值，其中所述多个一级锚值包括一级锚值X和Y；访问所述一级锚值X的简档，其中：所述一级锚值X的简档包括多组二级锚值；以及所述多组二级锚值中的每一组对应于相应的锚类型并且包括该锚类型的一个或多个二级锚值；确定所述一级锚值X和Y的关联程度，包括：确定一级锚值Y是否作为所述一级锚值X的简档中的一组二级锚值中的二级锚值而出现；以及响应于确定所述一级锚值Y作为所述一级锚值X的简档中的一组二级锚值中的二级锚值而出现，使用存储在所述一级锚值X的简档中的信息来确定先前从与所述一级锚值X相同的数字交互中观测到所述一级锚值Y的频率；至少部分地基于所述一级锚值X和Y的关联程度，生成指示多个一级锚值的关联程度的关联分数。

根据一些实施例，提供了一种用于提供锚值的简档的计算机实现的方法，包括以下动作：在不同的时间点检测多个数字交互；对于所述多个数字交互中的每个数字交互：从所述数字交互中识别锚类型T的锚值X；以及更新所述锚值X的简档，其中：所述锚值X的简档包括多个计数器C[i，j](i＝0，...，M-1；j＝0，...，N_i-1)；对于每个i＝0，...，M-1和j＝0，...，N_i-1，所述计数器C[i，j]指示在时间间隔I_i,j期间观测到事件E的次数；以及更新所述锚值X的简档包括：分析所述数字交互以确定是否观测到与所述数字交互相关的事件Z；以及响应于确定观测到与所述数字交互相关的所述事件Z，对于每个i＝0，...，M-1，递增计数器C[i，0]。

根据一些实施例，提供了一种用于分析数字交互的计算机实现的方法，所述方法包括以下动作：从所述数字交互中识别锚值X；在所述数字交互的记录中识别与所述锚值的锚类型T相关联的数据结构，其中，将所述锚类型T的多个锚值划分到多个锚值存储包中；识别所述多个锚值存储包的存储包B，其中所述锚值X落入所述存储包B中；对与所述锚类型T相关联的数据结构进行操作，以指示已经观测到与所述数字交互相关的来自存储包B的至少一个锚值；在与所述锚类型T相关联的所述数据结构中查找所述锚值X，以确定所述锚值X是否已经存储在与所述锚类型T相关联的数据结构中；以及响应于确定所述锚值X未存储在与所述锚类型T相关联的数据结构中，将所述锚值X存储在与所述锚类型T相关联的数据结构中。

根据一些实施例，提供了一种用于分析第一数字交互的计算机实现的方法，所述方法包括以下动作：从所述第一数字交互中识别锚值X；识别之前观测到锚值X的第一多个过去的数字交互，其中，所述第一多个过去的数字交互的每个过去的数字交互都与相应的相同性分数相关联；至少部分地基于各自的相同性分数，从所述第一多个过去的数字交互中选择第二多个过去的数字交互；基于所述第二多个过去的数字交互生成所述锚值X的简档，其中：所述简档包括关于多个属性中的每个属性的历史信息；以及基于从所述第二多个过去的数字交互中获得的测量值选择所述多个属性；对于所述多个属性中的至少一个属性A₁，基于从所述第一数字交互中获得的一个或多个测量值来确定值V₁，其中，所述一个或多个测量值与用户和设备之间的物理交互相关；以及至少部分地通过将至少一个属性A₁的值V₁与关于所述至少一个属性A₁的历史信息进行比较，来确定所述第一数字交互的生物测定分数。

根据一些实施例，提供了一种包括至少一个处理器和至少一个其上存储有指令的计算机可读存储介质的系统，当执行所述指令时，将所述至少一个处理器编程为执行上述任一种方法。

根据一些实施例，至少一个其上存储有指令的计算机可读存储介质，当执行所述指令时，将至少一个处理器编程为执行上述任一种方法。

附图说明

图1A示出了根据一些实施例的示例性系统10，可以通过该示例性系统10发生数据交互；

图1B示出了根据一些实施例的用于处理通过数字交互收集的数据的示例性安全系统14；

图1C示出了根据一些实施例的数字交互内的示例性流程40；

图2示出了根据一些实施例的具有多个锚的示例性数字交互100；

图3示出了根据一些实施例的示例性简档300,305和310；

图4示出了根据一些实施例的示例性简档400和405；

图5示出了根据一些实施例的可由安全系统执行以确定多个一级锚的关联强度的示例性处理500；

图6示出了根据一些实施例的用于保持一个或多个时间间隔上的统计数据的示例性数据结构600；

图7A示出了根据一些实施例的可由安全系统执行以更新一组计数器的示例性处理700；

图7B示出根据一些实施例的可由安全系统执行以更新一组计数器的示例性处理750；

图8A示出了根据一些实施例的用于记录从数字交互观测到的观察数据的示例性数据结构800；

图8B示出了根据一些实施例的用于记录从数字交互观测到的观察数据的示例性数据结构850；

图9示出了根据一些实施例的记录从数字交互观测到的观察数据的示例性处理900；

图10示出了根据一些实施例的用于锚值的示例性聚合数据结构1000。

图11示出了根据一些实施例的到计数器数组的访问路径的示例性树1100；

图12示出了根据一些实施例的示例性数据集合1200及其示例性分割；

图13示出了根据一些实施例的示例性数字交互1300A-D及相关的锚值；

图14示出了根据一些实施例的多个示例性锚值和相应的数字交互流；

图15示出了根据一些实施例的可由安全系统执行以生成与锚值有关的数字交互的相同性分数的示例性处理1500；

图16示出了根据一些实施例的可由安全系统执行以生成简档的示例性处理1600；

图17A示出了根据一些实施例的示例性分布曲线1705A和1710A；

图17B示出了根据一些实施例的示例性分布曲线1705B和1710B；

图17C示出了根据一些实施例的示例性分布曲线1705C和1710C；

图18示出了根据一些实施例的可由安全系统执行以确定生物测定分数的示例性处理1800；

图19示出了根据一些实施例的可由安全系统使用以确定最终分数的示例性处理1900；

图20示意性地示出了可以在其上实现本公开的任何方面的示例性计算机10000。

具体实施方式

本公开的各方面涉及对相同性进行匹配和评分的系统和方法。

发明人已经认识并理解在在线系统与长时间与在线系统交互的用户之间建立信任的各种技术挑战。与店员看到顾客本人并记住顾客的外表和顾客的行为不同，在线系统可能具有有限的“看见”或“记住”用户的方式。例如，在用户第一次从设备成功登录后，在线系统可以存储从该设备接收的数据包中提取的设备标识符，并且可以将设备标识符与用户的账户相关联。当检测到登录账户的新尝试时，在线系统可以检查从新接收的数据包中提取的设备标识符是否与和存储的与该账户相关联的任何标识符匹配。但是，因为设备标识符可能是骗人的，所以此方法可能并不总是有效。因此，在一些实施例中，提供了一种改进的技术，其用于确定当前在特定情况下(例如，访问某个账户、对某个信用卡计费、发送具有某个设备标识符的数据包、通过特定网络地址连接等)观测到的实体是否可能是与在线系统先前在该情况下或相关情况下遇到的相同用户。

发明人已经认识并理解对相同性进行匹配和评分的安全系统可以处理极大量的数据。例如，安全系统可以分析多个大型组织的数字交互。每个组织的网站每秒可以处理数百次登录尝试，这样安全系统每秒可以接收数千、数万或数十万个请求以匹配相同性。在一些情况下，可以从每个数字交互(例如，访问的URL、用户设备信息、按键记录等)捕获几兆字节的数据，并且在评估捕获的数据时，安全系统可以检索并分析几兆字节的历史、人口和/或其他数据。因此，安全系统可以每秒钟分析几千兆字节的数据，以支持每秒1000个请求。因此，在一些实施例中，提供一种用于聚合数据以促进有效存储和/或分析的技术。

某些安全系统会将所有可疑数字交互标记为人工审查，这可能会导致延迟向用户发送确认消息。通过互联网销售实物商品的组织可能会接受适度的延迟，这是因为对于每个订单而言都可以存在时间窗口，在此时间窗口期间将订购的实物商品从仓库中拣出并包装以进行装运，并且在此时间窗口期间可以进行人工审查。然而，许多数字交互涉及数字商品(例如，音乐、游戏等)的销售、资金的转移等。对于这样的交互来说，可能期望安全系统实时响应每个请求，例如在几百或几十毫秒内响应。这种快速响应可以提高用户体验。例如，进行资金转移或订购歌曲、游戏等的用户可能希望实时接收交易已经完成的确认消息。

发明人已经认识并理解某些安全系统着重于检测指示欺诈或其他安全问题的模式。这种安全系统在设计上可能会在每次数字交互中都产生怀疑。例如，每当检测到安全问题的指示符(例如，试图通过黑名单网络地址访问账户；例如，涉及之前账户盗用的IP地址)时，该安全系统可能要求用户执行一个或多个验证任务(例如，回答一个或多个安全问题)来证明用户实际上是该用户声称的用户。发明人已经认识到并理解，这种严格的规则可能导致误报错误。例如，合法用户可能正在旅行，并可能试图从正好位于黑名单上的IP地址访问账户。因此，安全系统可能会阻止该试图访问，或者可能会在授予用户访问权限之前要求用户执行一个或多个验证任务。这可能会对用户体验产生负面影响。

因此，在一些实施例中，提供了一种通过将相同性分析的结果作为确定是否授予访问权限的减轻因素来减少误报错误的技术。例如，如果一个安全系统确定请求访问的实体很有可能是在线系统先前在某种情况下(例如，访问某个账户、对某个信用卡计费、发送具有某个设备标识符的数据包、通过特定网络地址连接等)或相关情况下下遇到过的同一个用户，则尽管检测到一个或多个可疑模式，但是该安全系统仍可准予访问。这可以在保持足够的安全级别的同时减少用户体验的阻力。

一些安全系统仅在用户采取实质性行动，例如，更改一个或多个访问凭证(例如，账户标识符、密码等)、更改联系人信息(例如，电子邮件地址、电话号码等)，更改运送地址、进行购买等时，才执行安全检查。发明人已经认识并理解，该安全系统在安全检查开始时可能已经收集了少量信息。因此，在一些实施例中，一旦实体到达了网站，安全系统就可以开始分析数字交互。例如，甚至在实体尝试登录到某个账户之前，安全系统就可以开始从数字交互中收集数据。在一些实施例中，安全系统可以将实体的行为与群体数据进行比较。另外或可替代地，安全系统可以累积收集的数据，并且一旦实体尝试登录账户，就将该实体的行为和与该账户相关联的历史数据进行比较。通过这种方式，在实体采取任何实质性行动之前，安全系统就可以能够得出关于实体是否可能是合法用户、或者机器人或者欺诈者的一些推论。本文描述了对大量数字交互进行这种实时分析的各种技术。

发明人已经认识并理解，尽管许多攻击表现出已知的可疑模式，但是这种模式可能需要一段时间才会显现出来。例如，攻击者可以控制看起来不相关的多台计算机(例如，与不同用户相关联的计算机、不同的网络地址、不同的地理位置等)，并且可以使用被破坏的多台计算机同时执行攻击。因此，在检测到任何可疑模式时，可能已经造成了损坏。

发明人已经认识并理解，安全系统可能能够在寻找预期模式之前标记潜在的问题，而不是仅仅寻找可疑模式。例如，一旦实体到达网站并声称是特定用户，就可以分析实体的行为(例如，活动时间、导航模式、打字节奏、指针移动、触摸屏手势、设备角度、设备移动等等)并将其与一个或多个预期模式进行比较。通过这种方式，例如，通过简单地检测潜在冒名顶替者的行为与该潜在冒名顶替者所声称的用户的典型行为不同，可以及早发现潜在冒名顶替者。甚至在潜在冒名顶替者采取任何实质性行动之前(例如，更改一个或多个访问凭证(例如，账户标识符和密码)、更改联系人信息(例如，电子邮件地址和电话号码)、更改送货地址、进行购买等)，可以进行这种检测。相比之下，完全依赖恶意模式检测的安全系统可能没有足够的信息来做出任何决定，直到潜在冒名顶替者采取一项或多项实质性行动。

在一些实施例中，如果数字交互表现出与预期模式的一个或多个偏差，则即使偏差尚不足以证明将数字交互分类为攻击的一部分，安全系统也可更密切地仔细检查数字交互。安全系统可以以非侵入方式(例如，记录按键、测量设备角度和/或移动等)来仔细检查数字交互，以减少用户体验的阻力。

例如，安全系统可以在涉及某个账户的数字交互的开始时，检测到改变信用卡号码和账单地址的企图，这可能导致在信用卡号码和账户的标识符之间产生新的关联。这种新的关联可能会偏离预期模式(例如，已知的与账户的关联的信用卡号码)。然而，由于许多用户出于合法原因改变信用卡号码和账单地址，所以这种新的关联本身可能并不充分可疑。一种方法可以是将该试图改变信用卡号码和账单地址的行为标记为高风险行为并要求一个或多个验证任务。发明人已经认识并理解，这种方法可能对用户体验产生负面影响。因此，在一些实施例中，与期望模式的偏差可以触发非侵入性的附加分析。例如，安全系统可以以非侵入方式从数字交互收集附加数据，并且可以对数据进行实时分析，以便在数字交互进行到可能造成损害(例如，更改信用卡或运输货物)的阶段时，安全系统可能已经确定涉及该数字交互的实体是否可能是安全系统先前遇到的同一用户。

I.锚值(Anchor Values)之间的关联

在一些实施例中，安全系统可以检查并匹配涉及可从数字交互观测到的锚的模式。例如，安全系统可以观测到，接收到的与数字交互相关的数据包指示特定的源网络地址和/或特定的源设备标识符。另外或可选地，安全系统可以观测到某个电子邮件地址用于登录和/或某个信用卡在数字交互中被收费。

锚的例子包括但不限于账户标识符、电子邮件地址(例如，用户名和/或电子邮件域)、网络地址(例如，IP地址、子地址等)、电话号码(例如区号和/或用户号码)、位置(例如，GPS坐标、大陆、国家、地区、城市、指定市场区域等)、设备特性(例如，品牌、型号、操作系统、浏览器、设备指纹等)、设备标识符等。

在一些实施例中，安全系统可以检查从数字交互中观测到的锚，并确定这些锚是否具有被一起观测到的历史。例如，安全系统可响应于观测到与数字交互相关的电子邮件地址X而访问一组网络地址，其中每个网络地址和该电子邮件地址X一起已经在过去的至少一次数字交互中被观测到。安全系统随后可以检查观测到的与数字交互相关的网络地址Y是否在之前观测到的一组网络地址中。另外地或可选地，安全系统可以访问一组电子邮件地址，其中每个电子邮件地址和网络地址Y一起已经在过去至少一次数字交互中被观测到，并且安全系统可以检查电子邮件地址X是否在之前观测到的一组电子邮件地址中。

发明人已经认识并理解，一些安全系统依赖于二元查询，例如，“之前已经一起看到网络地址Y和电子邮件地址X？”。例如，如果第一次一起观测到网络地址和电子邮件地址，则安全系统可能会拒绝访问或需要额外的验证任务。发明人已经认识并理解，这种方法可能不够充分并且可能在用户体验上产生阻力。作为一个例子，用户可能之前已经通过公共网络(例如，咖啡店处的无线热点)登录了一次，并且被攻击者解密以使用该用户的电子邮件地址通过同一公共网络的登录，这可能不能被检测到。作为另一个例子，用户可能正在拜访朋友并可能试图通过朋友的家庭网络登录，并且因为从未一起观测到朋友的家庭网络的IP地址和用户的电子邮件地址，所以可能要求用户执行一个或多个验证任务。

因此，在一些实施例中，提供了一种用于评估观测到的模式与一个或多个预期模式的匹配程度的改进技术。例如，安全系统可以确定一起查看到电子邮件地址X和网络地址Y的频率，而不是简单地确定之前是否一起查看到网络地址Y和电子邮件地址X。在一些实施例中，安全系统可以不仅存储已经和电子邮件地址X一起观测到的一组网络地址，而且还存储表示该组网络地址中的每个网络地址和电子邮件地址X一起被观测到的频率的信息。例如，安全系统可以保持用于该组网络地址中的每个网络地址的计数器，并且可以使用该计数器来记录在某个特定时间段内(例如，过去五分钟、过去一小时、过去一天、过去一周、过去两周等)一起观测到该网络地址和电子邮件地址X的次数。通过这种方式，即使存在一些少量的与之前相关联的事件(例如，用户偶尔通过咖啡店的无线热点进行智能登录)，安全系统也可以将数字交互标记为可疑。

发明人已经进一步认识并理解，可能需要分析多个锚之间的关联。例如，可以生成指示各个锚的关联有多紧密的整体关联分数，其中，该整体关联分数可以基于锚对的关联分数。例如，可以将整体关联分数计算为成对关联分数的加权和或最大加权。通过这种方式，电子邮件地址X和设备标识符Z之间的强关联(例如，用户使用他自己的智能手机登录)可以减轻电子邮件地址X和网络地址Y之间的弱关联(例如，用户通过朋友的家庭网络第一次登陆)。这可以在保持足够的安全级别的同时减少误报错误。

II.对数据进行有效处理和表示的技术

发明人已经认识并理解，随着安全系统接收用于数字交互的数据流，可能期望提供数据的摘要。例如，摘要可以存储在可以被有效访问的数据结构中，并且安全系统可以随着用于数字交互的附加数据的到达而保持摘要的更新。发明人已经认识并理解，这种摘要的可用性可以显著加速数字交互的处理，数字交互的处理可能以每秒具有数千、数万或数十万个的速率出现，这可能导致每天超过10亿次的数字交互。

在一些实施例中，摘要可以存储在具有有限大小的数据结构中。通过这种方式，无论从数据交互中捕获的数据量为多少(例如，几个兆字节)，响应于对数字交互的查询，都可以仅分析有限数量的数据(例如，几百千字节)。在一些实施例中，摘要可以足够小以使得可以将所有正在进行的数字交互的摘要加载到内存中。由于从内存访问数据可能比从磁盘存储器访问数据更有效，因此安全系统通过将更多相关信息保存在内存中可以能够更快速地响应查询。

例如，在一些实施例中，可以在摘要中使用特定大小为N的数组来存储已经在数字交互中查看到的多达N个不同的信用卡号码。一旦数组已被充满，就可以使用合适的方法来确定是丢弃新观测到的信用卡号码，还是用新观测的信用卡号码替换所存储的信用卡号码中的一个。在一个例子中，可以存储在数字交互中观测到的前N个不同的信用卡号码，并且可以丢弃每个随后观测到的信用卡号码。在另一个例子中，可以存储在数字交互中观测到的最后N个不同的信用卡号码，并且每个新观测到的信用卡号码可以替换数组中最旧的信用卡号码。在又一个例子中，可以存储感兴趣的N个不同信用卡号码的合适组合，其包括但不限于在数字交互的开始阶段观测到的一个或多个信用卡号码、从数字交互中最新观测到的一个或多个信用卡号码、从数字交互中最频繁观测到的一个或多个信用卡号码，和/或具有一些值得关注的历史(例如，之前涉及的信用卡循环攻击)的一个或多个信用卡号码。

发明人已经认识并理解，除了N个不同的观测数据之外，可能希望在摘要中存储附加信息。例如，可能需要存储总共已观测到多少不同值以及这些值如何分布的指示信息。因此，在一些实施例中，可以将可能值划分到数量为M的多个存储包(bucket)中，并且除了N个不同的观测数据之外还可以存储长度为M的比特串，或者可以存储长度为M的比特串来代替N个不同的观测数据。比特串中的每个比特可以对应于相应的存储包，并且可以被初始化为0。每当观测到存储包中的值时，就可以将与该存储包对应的比特设置为1。在一些实施例中，可以将散列函数应用于可能的值，并且可以应用模数为M的模运算以将得到的散列值划分到M个存储包中。然而，应该认识到，本公开的各方面不限于使用散列模运算(hash-modding)将值划分到存储包中，因为其他方法也可能是合适的。

发明人已经进一步认识并理解到表示和匹配预期模式而不仅仅是表示和匹配可疑模式的各种技术挑战。例如，发明人已经认识并理解，一些安全系统通过分析与先前攻击相关的数据来发现可疑模式。每次攻击可能发生在相对较短的时间段内(例如，几天甚至几个小时)，并且可能涉及相对少量的数字交互(例如，数百、数千或数万)。因此，可以分析相对少量的数据(例如，每个数字交互的几千字节)，并且可以事后(例如，在攻击之后几个小时甚至几天)执行分析。

相比之下，为了捕获合法用户的预期模式，安全系统可能会持续监控极其庞大的数字交互流(例如，每秒数千、数万或数十万次数字交互，这可能导致每天数十亿次数字交互)。例如，安全系统可以监视多个大型组织的数字交互，并且可以基于传入的数字交互不断更新预期模式的表示。此外，为了在造成损害之前防止攻击，安全系统可以实时的分析每个进入的数字交互以确定传入的数字交互是否匹配一个或多个预期模式。因此，在一些实施例中，提供了一种以能够有效存储和/或更新预期模式的方式表示预期模式的技术、和/或有效分析传入的数字交互的技术。

在一些实施例中，安全系统可以使用基于直方图的数据结构来保持在一个或多个时间间隔上的统计信息。例如，可以使用多个计数器，其中每个计数器可以对应于相应的时间间隔并且可以记录在该时间间隔期间观测到某个事件的次数。在一些实施例中，一些时间间隔可以是连续的。例如，可以将两周的时间间隔分成14个连续的一天的时间间隔，为每一天的时间间隔设置单独的计数器，以记录在该一天的时间间隔期间观测到事件的次数。此外，或者可替代地，可以将一天的间隔分成24个连续的一小时间隔，为每个一小时的间隔设置单独的计数器以记录在该一小时间隔期间观测到事件的次数。此外，或者可选地，可以将一个小时的间隔分成12个连续的5分钟的间隔，为每五分钟的间隔设置单独的计数器以记录在该五分钟的间隔期间观测到事件的次数。

在一些实施例中，安全系统可以不断更新一个或多个计数器。例如，对应于连续时间间隔的计数器可以周期性地移位，使得计数器值可以保持最新。例如，可以使用12个计数器，每个计数器对应于过去一小时内的五分钟间隔。每五分钟，可以将每个计数器中的值复制到下一个计数器中，其中可以将计数器中对应于最早时间间隔的值简单地覆盖，并且可以将对应于最新时间间隔的计数器重置为0。其他实现方式也是可以的，例如，以反向时间顺序将计数器排列在链接列表中，并且通过从列表的末尾移除对应于最早时间间隔的计数器并在列表的开头添加计数器(初始化为0)。

在一些实施例中，事件可以包括观测数字交互中的某个锚值或多个锚值的组合。例如，事件可以包括观测同一个数字交互中的电子邮件地址X和网络地址Y。在一些实施例中，可以为第一锚值(例如，电子邮件地址X)建立简档，并且可以使用诸如上面描述的计数器来记录在各个时间间隔上一起查看到第二锚值(例如，网络地址Y)和第一锚值的次数。因此，为了确定从数字交互中观测到的两个锚值是否彼此紧密相关，可以简单地从与锚值相关联的简档中检索相关信息。这可以消除或至少减少与锚值相关联的原始数据的紧急处理，从而提高安全系统的响应性。

发明人已经认识并理解，随着安全系统处理的数字交互量的增加，由安全系统保持的计数器集合可能变得不易于使用。因此，在一些实施例中，可以将相同类型的锚值划分到多个存储包中。安全系统可以为每个锚值存储包保持一个或多个计数器，而不是为每个锚值保持一个或多个计数器。例如，计数器可以记录一起查看到网络地址存储包B中的任何网络地址和电子邮件地址X的次数，而不是一起查看到特定网络地址Y和电子邮件地址X的次数。因此，可以用单个计数器(例如，存储包B中的所有锚值的聚合计数器)替换多个计数器(例如，针对存储包B中的每个锚值的单独计数器)。

通过这种方式，通过选择适当数量的存储包可以实现精度和效率之间的期望平衡。例如，较多数量的存储包可以提供更高的分辨率，但是要保持和更新更多的计数器，而较少数量的存储包可以减少存储需求并且加快检索和更新，但是可能丢失更多信息。

发明人已经认识并理解，可能希望将锚值大致均匀地分布在多个存储包中。因此，在一些实施例中，可以将散列函数应用于锚值，并且可以应用模运算来将得到的散列值划分到多个存储包中，其中可以为模运算的每个余数设置一个存储包。可以基于需要多少存储包来选择适当的模量，并且可以选择适当的散列函数来将锚值大致均匀地散布在可能的散列上。合适的散列函数的例子包括但不限于MD5，MD6，SHA-1，SHA-2，SHA-3等。

例如，可能有成千上万的可能的用户代理。发明人已经认识并理解到精确地跟踪已经查看到哪些用户代理可能并不重要。因此，应用散列模运算技术将成千上万个可能的用户代理划分成例如百个或更少的存储包可能就足够了。通过这种方式，如果已经查看到多个用户代理，则观测到多个存储包的可能性很高，这可以为相同性分析提供足够的信息。

III.行为生物识别

发明人已经认识并理解，在在线环境中识别用户具有不会出现实体情况的技术挑战。例如，在组织的实体办公室开始交易的人可能会被要求亲自出示照片身份证件，并且员工可以进行目视检查，以确保请求交易的人员与显示在照片ID上的人足够相似。相反，在在线环境中，用户可以简单地提交一条或多条个人信息(例如，用户名、密码、安全问题的答案等)以启动数字交互。因此，冒充或以其他方式获得合法用户的个人信息的冒名顶替者可以能够在线执行欺诈性交易，而无需物理地获取伪造的身份证件。

发明人已经认识并理解，诸如姓名、账户标识符、密码、电话号码、信用卡号码、账单地址、送货地址、社会安全号码、安全问题的答案等个人信息可以由诸如政府机构、医疗机构、商家、律师事务所等例行的存储。任何此类实体的数据泄露都可能暴露大量个人信息。此外，在公共记录中可以找到诸如出生地和高中校名等安全问题的答案。因此，仅依靠个人信息知识的认证技术可能无法有效防止在线欺诈或其他安全漏洞。

发明人已经进一步认识并理解到一些安全系统使用多因素认证来确定是否授予用户访问权限。例如，除了要求用户提交用户知道的东西(例如，密码)之外，安全系统可能要求用户证明用户具有某些东西(例如，硬件令牌)。发明人已经认识并理解，这种方法可能产生不合需要的用户体验的阻力。例如，如果硬件令牌放错地方，则用户就可能无法访问。

发明人已经认识并理解，一些安全系统使用行为生物识别来验证用户。例如，安全系统可以分析从用户获取的击键测量以检测某些模式。在随后尝试登录到用户的账户时，安全系统可以将新进行的击键测量与先前检测到的模式进行比较以确定是否存在匹配。只有当新进行的击键测量与先前检测到的模式相匹配时，安全系统才可以授予访问权限。

安全系统可以测量的行为的示例包括但不限于活动时间、导航模式、打字节奏、指针移动、触摸屏手势、设备角度、设备移动等。发明人已经认识并理解，攻击者可能没有简单的方法来学习用户的上述偶然行为。即使攻击者能够长时间的观测用户的偶然行为，或窃取表征此类行为的信息，但是攻击者可能不得不花费大量精力来冒充偶然行为。例如，攻击者可能很难模仿陀螺仪和加速度计读数以模仿用户通常操纵移动设备的方式。此外，由于安全系统监视更多数量的偶然行为(例如，陀螺仪读数、加速度计读数、击键、指针移动等)，攻击者可能越来越难以同时模仿所有的偶然行为。

因此，即使潜在的攻击者能够提供正确的个人信息(例如，账户标识符和密码)，通过将从数字交互中采集的偶然行为与预期模式的简档进行比较，也可以检测到潜在的攻击者。相反，当用户作出看似可疑的行为(例如，从可疑IP地址登录)但用户的偶然行为与预期模式的简档相匹配时，可以避免误报错误。

发明人已经认识并理解到在行为生物识别中匹配相同性的各种技术挑战。例如，一些安全系统将从与某个账户相关的所有数字交互中获得的测量值汇集在一起。发明人已经认识并理解，在这样的数据集合中可能存在噪声。作为一个例子，用户可以与用户家庭中的其他成员共享账户，这样测量值可能来自多个行为不同的人。因此，可能没有明确的行为模式。即使模式是可辨别的(例如，通过最频繁使用账户的家庭成员来辨别)，但是使用这种模式进行认证还是可能导致误报错误(例如，拒绝其他家庭成员访问)。

作为另一个例子，用户可能偶尔表现出与用户通常表现不同的行为。例如，用户通常可以以第一速度键入，但是有一天用户可能开始使用新键盘，因为用户还不熟悉新键盘，所以可能以明显低于第一速度的第二速度键入。在这种情况下拒绝访问可能会对用户的体验产生负面影响。

再举一个例子，即使对一个账户观测到一致的行为模式，但是许多人可能都会有这种行为模式。例如，账户的合法用户的打字速度可能与人群中许多用户的打字速度类似。因此，即使从数字交互中观测到打字速度，安全系统也可能无法以高度的置信度推断参与数字交互的实体实际上是先前遇到的同一用户。

因此，在一些实施例中，提供了一种分析从数字交互中获得的测量值以确定参与数字交互的实体是否与先前遇到的实体是同一用户的改进技术。例如，安全系统可以将从数字交互中获得的测量值与多种行为模式进行匹配。例如，安全系统可以从数字交互中识别多个锚值(例如，账户标识符、网络地址、电子邮件地址、设备标识符、信用卡号码等)，并且可以生成每个锚值的简档。每个锚值的简档可以包括从与该锚值相关联的过去的测量值的集合中检测到的一个或多个行为模式，并且可以将从数字交互获取的测量值与一个或多个行为模式进行比较以确定是否存在足够的匹配。

可选地或附加地，安全系统可以为从数字交互中观测到的多个锚值的组合生成简档。简档可以包括从与锚值的组合(例如，账户标识符和设备标识符)相关联的过去的测量值的集合中检测到的一个或多个行为模式。本发明人已经认识并理解，通过由锚值的组合分割过去的测量值而不是通过单个锚值来分割过去的测量值，可以减少误报错误。例如，尽管多个家庭成员可以共享账户，但每个家庭成员可能倾向于通过各自的个人设备登录，这样按照账户和设备的组合将过去的测量值进行分割，可以得到多组测量值，其中每组测量值可以对应于一个家庭成员。相反，如果仅按照账户对过去的测量值进行分割，则得到的测量值集合可能包括来自不同家庭成员的测量值，如上所述，这可能导致误报错误。

在一些实施例中，可以动态地生成行为模式。例如，可以将从过去的数字交互中获得的测量值与从过去的数字交互中观测到的一个或多个锚值相关联地存储。因此，每个锚值可以与多组测量值相关联，其中每组测量值可以从观测到锚值的相应的过去的数字交互获得。一旦从数字交互中识别出多个锚值，安全系统就可以使用识别出的锚值中的一个或多个来动态组合过去的测量值的集合。例如，安全系统可以检索与识别出的锚值(或识别出的锚值的组合)相关联的一个或多个测量值集合。然后，安全系统可以对动态组合的过去测量值的集合进行分析以检测一个或多个行为模式，并且可以将从数字交互获得的测量值与一个或多个行为模式进行比较，以确定是否存在足够的匹配。另外或替代地，安全系统可以将检测到的一个或多个行为模式存储到与识别出的锚值(或识别出的锚值的组合)相关联的简档中。

可选地或附加地，可以从多个存储的简档中动态地选择简档。例如，安全系统可以保持多个简档，其中每个简档可以对应于某个锚值或锚值的组合。一旦从数字交互中识别出多个锚值，安全系统就可以使用一个或多个识别出的锚值来从存储的多个简档中选择一个或多个简档。

发明人已经认识并理解，通过过滤过去的测量值可以获得更准确的行为模式，以便仅分析高置信度的过去测量值就可以检测行为模式。例如，攻击者可能会尝试通过先前未与用户账户相关联的IP地址登录到用户的账户。另外或可选地，攻击者可以呈现出与用户相比来说不同的打字节奏(例如，当攻击者键入用户的密码时)。因为安全系统可能还没有足够的指示攻击的信息，所以安全系统可能会授予访问权限。(如上所述，太轻易的拒绝访问可能会导致过多的误报，这可能会对用户体验产生负面影响。)但是，安全系统可能会将低置信度与在特定登录尝试期间获得的测量值相关联。在随后的登录尝试中，可以基于与账户相关联的过去测量值为账户生成简档。例如，可以基于置信度阈值对过去的测量值进行过滤，从而可以排除具有低置信度的测量值。通过这种方式，即使攻击者能够访问账户，从攻击者处获得的测量值也不会污染随后为该账户生成的简档。

在一些实施例中，安全系统可以选择一个或多个行为属性来包括在简档中。本发明人已经认识并理解，与随着时间的推移进行的一致性测量相关的行为属性在匹配相同性方面可能是有用的。例如，如果用户几乎总是将他的设备保持在某个角度，则可以将设备角度作为行为属性包括在简档中。相反，如果从设备角度测量中辨别不出特定模式(例如，用户以明显随机的方式在不同时间以不同角度握住他的设备)，那么可以不将设备角度作为行为属性包括在简档中。

本发明人已经进一步认识并理解，如果相对于一种行为属性随着时间的推移获得了一致性测量，并且该测量与从群体中获得的典型测量充分不同，则该行为属性可用于匹配相同性。例如，如果从与某个锚值(例如，某个账户标识符)相关联的数字交互中始终观测到某个设备角度，并且该角度与通常从与相同类型的其他锚值(例如，其他账户标识符)相关联的数字交互中观测到的角度不同，则观测的数字交互中的特殊角度可以使安全系统确信参与数字交互的实体确实是与先前遇到的用户相同的用户。因此，安全系统可以在针对该锚值生成的简档中将设备角度包括进来作为行为属性。

发明人已经认识并理解到匹配合法用户的相同性的其他益处。在传统的实体情况下，反复访问企业的人可能会被企业的工作人员认出。例如，店员可能会认识到经常来的顾客是忠诚和频繁的购物者。店员可以向顾客提供折扣，或以其他方式尝试改善顾客的购物体验，以使顾客保持忠诚和经常购物。店员可能会信任顾客，只是因为店员知道顾客是店员多次遇到的同一个人。发明人已经认识并理解，在在线环境中匹配相同性的能力可以使组织能够识别出有价值的在线客户并采取行动来改善此类客户的体验。例如，组织可能会向有价值的在线客户提供优惠待遇以提高忠诚度，而不是仅仅怀疑所有在线客户都是潜在的欺诈者。此外，或者可选地，组织可以尝试向有价值的在线客户提供无阻力访问，这可以使放弃尝试购买得以减少。使用本文描述的一种或多种技术，可以在不危害安全性的情况下实现这些益处。

IV.进一步的描述

应该意识到，因为上面介绍的以及下面更详细讨论的技术不限于任何特定的实现方式，所以该技术可以以多种方式中的任何一种来实现。这里仅为了说明的目的提供了实施细节的例子。此外，因为本公开的方面不限于任何特定技术或技术组合的使用，所以本文公开的技术可以单独使用或以任何合适的组合使用。

图1A示出了根据一些实施例的示例性系统10，可以通过该示例性系统10发生数据交互。在该示例中，系统10包括用户设备11A-C、在线系统12和13、以及安全系统14。用户15可以使用用户设备11A-C参与数字交互。例如，用户设备11A可以是智能电话并且可以被用户15用来检查电子邮件和下载音乐，用户设备11B可以是平板电脑并且可以被用户15用来购物和银行储蓄，并且用户设备11C可以是笔记本电脑并且可以被用户15用来观看电视和玩游戏。

应该理解的是，因为本公开的方面不限于对任何特定类型的数字交互的分析，除了以上提到的那些数字交互之外或者作为其替代，用户15可以参与其他类型的数字交互。此外，数字互动不限于通过互联网连接进行的互动。例如，数字互动可能涉及租用电话线上的ATM交易。

此外，应该理解，用户设备11A-C的特定组合仅出于说明的目的而提供，这是因为用户15可以使用任何合适的设备或设备的组合来参与数字交互，并且用户可以使用不同的设备参与相同类型的数字互动(例如，检查电子邮件)。

在一些实施例中，数字交互可以涉及用户15与在线系统(例如，在线系统12或在线系统13)之间的交互。例如，在线系统12可以包括托管用户15使用的银行应用程序的后端的应用服务器，并且在线系统13可以包括托管用户15使用网络浏览器访问的零售商的网站的网络服务器。应该理解的是，除了在线系统12和13之外或者代替在线系统12和13，用户15可以与其他在线系统(未示出)交互。例如，用户15可以访问药店的网站以填写处方并且交付、可以访问旅行社的网站以预订旅行、可以访问政府机构的网站以更新许可证等。

在一些实施例中，安全系统14可以对用户15的行为进行测量和分析。例如，在线系统12和13可以向安全系统14报告观测到的用户15的行为。另外地或替代地，用户设备11A-C可以向安全系统14报告观测到的用户15的行为。作为一个例子，从在线系统13托管的网站下载的网页可以包括软件(例如，JavaScript片段)，该软件对在用户设备11A-C之一上运行的浏览器进行编程以观测并报告用户15的行为。这样的软件可以由安全系统14提供并且由在线系统13插入到网页中。作为另一个例子，可以将在用户设备11A-C中的一个上运行的应用程序编程为观测并报告用户15的行为。该应用程序观测到的行为可以包括用户15与应用程序之间的交互、和/或用户15和另一个应用程序之间的交互。作为另一个例子，可以将在用户设备11A-C之一上运行的操作系统编程为观测并报告用户15的行为。

应该意识到，观测并报告用户行为的软件可以用任何合适的语言编写，并且可以以任何合适的方式传递给用户设备。例如，软件可以通过防火墙(例如，应用防火墙)、网络运营商(例如，康卡斯特(Comcast)、Sprint等)、网络加速器(例如，阿卡迈(Akamai))、或沿着用户设备和在线系统之间或用户设备和安全系统之间的通信路径的任何设备来传递。

尽管在图1中仅示出了一个用户(即，用户15)，但是应该理解，安全系统14可以被编程为测量和分析互联网上的许多用户的行为。此外，应该理解的是，除了在线系统12和13之外或者代替在线系统12和13，安全系统14可以与其他在线系统(未示出)交互。本发明人已经认识并理解，通过分析涉及许多不同用户和许多不同的在线系统的数字交互，安全系统14可以更全面和准确地理解用户的行为方式。然而，本公开的各方面不限于对从不同在线系统收集的测量值的分析，这是因为本文描述的一种或多种技术可用于对从单个在线系统收集的测量值的分析。同样地，本公开的各方面不限于对从不同用户收集的测量值的分析，因为本文描述的一种或多种技术可以用于对从单个用户收集的测量值的分析。

图1B示出了根据一些实施例的图1所示的安全系统14的示例性实现方式。在这个例子中，安全系统14包括一个或多个前端系统和/或一个或多个后端系统。例如，安全系统14可以包括被配置为与用户设备(例如，图1A中所示的示例性用户设备11C)和/或在线系统(例如，图1A中所示的示例性在线系统13)交互的前端系统22。另外地或可替代地，安全系统14可以包括被配置为与后端用户界面34交互的后端系统32。在一些实施例中，后端用户界面34可以包括图形用户界面(例如，仪表板)，其用于显示当前观测到的内容和/或关于个人用户和/或用户群体的历史趋势。这样的界面可以以任何合适的方式(例如，作为网络应用程序或云应用程序)传递，并且可以由任何适当的方(例如，组织的安全人员)使用。

在图1B所示的例子中，安全系统14包括日志存储器24。日志存储器24可以存储日志文件，日志文件包括前端系统22从用户设备(例如，用户设备11C)、在线系统(例如，在线系统13)、和/或任何其他合适的源接收到的数据。日志文件可以包括任何合适的信息。例如，在一些实施例中，日志文件可以包括在某段时间(例如，几秒、几分钟、几小时等)从数字交互中记录的击键和/或鼠标点击。另外或可选地，日志文件可以包括感兴趣的其他信息，例如，账户标识符、网络地址、用户设备标识符、用户设备特性、访问的URL、查看的产品的库存保持单元(SKU)等。

在一些实施例中，日志存储器24可以存储在一段合适的时间段(例如，几年)内累积的日志文件，该日志文件可以是达到数百亿、数千亿或者万亿的日志文件。每个日志文件可以具有任何合适的大小。例如，在一些实施例中，可以每分钟从数字交互中捕获大约60千字节的数据，使得记录几分钟用户行为的日志文件可以包括几百千字节的数据，而记录一小时的用户行为的日志文件可以包括几兆字节的数据。因此，日志存储器24可以存储PB(千兆兆)级的全部数据。

发明人已经认识并且理解，每次接收到匹配相同性的请求时，都从日志存储器24检索和分析日志文件可能是不切实际的。例如，可能期望安全系统14在100毫秒、80毫秒、60毫秒、40毫秒、20毫秒或更少的时间内对匹配相同性的请求作出响应。安全系统14可能不能在如此短的时间窗内识别并分析日志存储器24的所有相关日志文件。因此，在一些实施例中，可以提供日志处理系统26以将来自日志存储器24的数据过滤、变换和/或路由到一个或多个数据库28。

日志处理系统26可以以任何合适的方式来实现。例如，在一些实施例中，日志处理系统26可以包括被配置为从日志存储器24检索日志文件、从日志文件提取有用的信息、对一条或多条提取的信息进行变换(例如，向提取的地址添加纬度和经度坐标)、和/或将提取和/或变换的信息存储到一个或多个适当的数据库(例如，一个或多个数据库28中的数据库)中的一个或多个服务。

在一些实施例中，所述一个或多个服务可以包括被配置为将数据从日志文件路由到一个或多个队列的一个或多个服务、和/或被配置为处理一个或多个队列中的数据的一个或多个服务。例如，每个队列可以具有用于处理该队列中的数据的专门服务。根据要处理的队列中的数据量，可以运行适当数量的服务的实例。

一个或多个数据库28可以由安全系统14的任何合适的组件访问。作为一个例子，后端系统32可以查询一个或多个数据库28以生成关于单个用户和/或用户群体的当前观测的内容和/或历史趋势的显示。作为另一个例子，数据服务系统30可以查询一个或多个数据库28以向前端系统22提供输入。

发明人已经认识并理解到一些数据库查询可能是耗时的。例如，如果每当接收到匹配相同性的请求时前端系统22都要查询一个或多个数据库28，则前端系统22可能无法在100毫秒、80毫秒、60毫秒、40毫秒、20毫秒或更短时间内对该请求作出响应。因此，在一些实施例中，数据服务系统30可以保持与一个或多个数据库28分离的一个或多个数据源。数据服务系统30保持的数据源的例子在图8B和图10中示出，并在下面讨论。

在一些实施例中，无论分析多少数据以填充到数据源，数据服务系统30保持的数据源都可以具有有限大小。例如，如果某个账户有一连串活动，则可以将增加的数据量存储到与该账户相关联的一个或多个数据库28中。数据服务系统30可以将存储在一个或多个数据库28中的数据处理为有限大小，以使前端系统22能够以恒定的时间响应请求。

本文描述了用于处理传入的数据的各种技术。例如，在一些实施例中，可以将所有可能的网络地址分成一定数量的存储包。在该存储包上可以保留统计数据，而不是单独的网络地址。通过这种方式，即使观测到的网络地址的实际数量可能随时间波动，也可以分析有限数量的统计数据。除了存储包之外或者替代存储包，还可以使用一种或多种其他技术，例如保持特定大小的数组。

在一些实施例中，数据服务系统30可以包括多个数据服务(例如，使用面向服务的体系结构来实现)。例如，一个或多个数据服务可以周期性地(例如，每小时、每几小时、每天等)访问一个或多个数据库28，并且可以分析所访问的数据并填充前端系统22使用的一个或多个第一数据源。另外或可选地，一个或多个数据服务可以从日志处理系统26接收数据，并且可以使用接收到的数据来更新前端系统22使用的一个或多个第二数据源。该第二数据源可以利用自上一次使用访问的一个或多个数据库28的数据填充一个或多个第一数据源以来已经到达的最新数据来补充一个或多个第一数据源。在各种实施例中，一个或多个第一数据源可以与一个或多个第二数据源相同或不同，或者可以有一些重叠。

尽管如上所述，图1B示出了实现的细节，但是应该理解，本公开的各方面不限于任何特定组件或组件的组合的使用，也不限于组件的任何特定布置。此外，前端系统22、日志处理系统26、数据服务系统30和后端系统32中的每一个都可以以任何合适的方式(例如，使用在相同位置或不同位置处操作的一个或多个并行处理器)来实现。

图1C示出了根据一些实施例的数字交互内的示例性流程40。在该示例中，流程40可以表示用户在商家的网站上进行的一系列活动。例如，用户可登录网站、更改账单地址、查看第一产品的产品详细信息页面、查看第二产品的产品详细信息页面、将第二产品添加到购物车，然后结账。

在一些实施例中，安全系统可以在整个流程40中接收从数字交互捕获的数据。例如，安全系统可以接收来自涉及数字交互(例如，如图1B所示并在上面讨论的数字交互)的用户设备和/或在线系统的日志文件。

安全系统可以以任何合适的方式使用从数字交互捕获的数据。例如，如图1B所示，安全系统可以处理捕获的数据并填充一个或多个数据库(例如，图1B中所示的一个或多个示例性数据库28)。另外或可选地，安全系统可以填充适用于高效访问的一个或多个数据源。例如，安全系统可以以合适的数据结构(例如，图8B中所示的示例性数据结构850)来保持当前交互数据42。作为一个例子，安全系统可以跟踪在流程40中的不同点处观测到的不同网络地址(例如，通过第一网络地址登录和改变账单地址、通过第二网络地址查看第一和第二产品、以及通过第三个网络地址将第二产品添加到购物车并结账)。作为另一个例子，安全系统可以跟踪在数字交互中使用的不同信用卡号码(例如，在结账期间连续输入的不同的信用卡)。可以以任何合适的方式(例如，使用图9中示出的示例性处理900)并由安全系统的任何合适的组件(例如，示例性前端系统22和/或示例性数据服务系统30)来保持数据结构。

在一些实施例中，除了当前交互数据42之外或代替当前交互数据42，安全系统可以以合适的数据结构(例如，图10所示的示例性数据结构1000)来保持历史数据44。历史数据44可以包括一个或多个简档(例如，图3中示出的示例性简档300,305和310和/或图4中示出的示例性简档400和405)。例如，对于从数字交互中观测到的每个锚值，安全系统都可以使用从数字交互捕获的数据来更新与该锚值相关联的简档。

在一些实施例中，除了当前交互数据42和/或历史数据44之外或者代替当前交互数据42和/或历史数据44，安全系统可以维持人口数据46。例如，安全系统可以实时更新统计数据，例如，用户代理对网站流量的细分、地理位置、产品SKU等。作为一个例子，安全系统可以使用散列模运算方法将所有已知的浏览器类型划分到特定数量的存储包(例如，10个存储包、100个存储包)。对于每个存储包来说，安全系统可以计算落入该存储包内的所有网站流量的百分比。作为另一个例子，安全系统可以使用散列模运算方法将所有已知产品SKU划分到一定数量的存储包(例如，10个存储包、100个存储包)并计算相应的流量百分比。另外地或可替代地，安全系统可以为存储包的组合(例如，浏览器类型的存储包、产品SKU的存储包的组合等)计算相应流量百分比。

在一些实施例中，安全系统可以呈现当前交互数据42、历史数据44和/或人口数据46的任何一个或多个方面(例如，通过图1B中所示的示例性后端用户界面34)。例如，安全系统可以使用堆积区域图来呈现网站流量的细分(例如，采用实际流量测量或总流量的百分比)。

图2示出了根据一些实施例的具有多个锚的示例性数字交互100。例如，数字交互100可以是图1A所示的用户15和示例性在线系统13之间的数字交互，其中用户15可以使用示例性的用户设备11C来从由在线系统13托管的电子商务网站进行在线购买。然而，应当理解的是，本公开的各方面不限于对在线购买的分析，这是因为本文描述的一种或多种技术可以用于分析其他类型的数字交互，包括但不限于开设新账户、检查电子邮件、转账等等。

发明人已经认识并且理解，不像店员亲自看到顾客并且记住顾客的样子以及顾客的行为，在线系统能够“看到”或“记住”用户的方式很有限。由于这些限制，以用户为中心的方法可能无法有效区分合法数字交互与恶意数字交互。例如，安全系统可以基于用户标识符对数据进行分段，并且可以孤立地分析与每个用户标识符相关联的数据。发明人已经认识并理解到这种方法可能错过有用的关联。例如，来自家庭的第一用户可能倾向于使用第一电子邮件地址登录并且使用第一信用卡支付在线购物的费用，而来自同一家庭的第二用户可能倾向于使用第二电子邮件地址登录并且使用第二张信用卡支付在线购物的费用。如果安全系统仅基于电子邮件地址或信用卡来对数据进行分段，则安全系统可能仅检测到第一电子邮件地址与第一信用卡之间的关联以及另外的独立的第二电子邮件地址与第二信用卡之间的关联，这样使用第一个电子邮件地址并利用第二信用卡付费的登录可能会出现可疑情况。相比之下，因为第一和第二用户可能使用相同的家庭计算机登录，所以基于多个锚对数据进行分段的安全系统可以通过设备标识符和/或网络地址来检测到第一电子邮件地址和第二信用卡之间的关联。

因此，在一些实施例中，安全系统可以基于多个锚值来分割数据，并且可以使用分割的数据来确定当前在特定情况下(例如，访问某个账户、对某个信用卡计费、发送具有特定设备标识符的数据包、通过某个网络地址连接等)观测到的实体是否是安全系统之前在该情况下或相关情况下遇到的同一用户。

在图2所示的例子中，示例性数字交互100具有五个不同的锚值：电子邮件地址105、电话号码110、网络地址115、设备标识符120和信用卡号码125。可以从数字交互100观测这些锚值，并且因此可以将这些锚值称为一级锚值。

在一些实施例中，一个或多个一级锚值可具有相关联的二级锚值。例如，在图2所示的例子中，安全系统可以保持电子邮件地址105的简档，并且该简档可以存储一个或多个网络地址130，其中，一个或多个网络地址130中的每个网络地址和和电子邮件地址105在一些之前的数字交互中一起被观测到。类似地，简档可以存储之前与电子邮件地址105一起观测到的一个或多个设备标识符135、先前与电子邮件地址105一起观测到的一个或多个信用卡号码140，先前与电子邮件地址105一起观测到的一个或多个电话号码145等。可以将存储在电子邮件地址105的简档中的这些锚值称为二级锚值。

在一些实施例中，除了存储电子邮件地址105的简档之外或者替代存储电子邮件地址105的简档，安全系统可以存储示出的一级锚值中的任何一个或多个锚值(例如，电话号码110、网络地址115、设备标识符120和/或信用卡号码125)的简档。例如，如图2的例子所示，可以存储网络地址115的简档，其包括先前与网络地址115一起观测到的一个或多个电子邮件地址150、先前与网络地址115一起观测到的一个或多个电话号码155、先前与网络地址115一起观测到的一个或多个设备标识符160、先前与网络地址115一起观测到的一个或多个信用卡号码165等。

应该理解的是，图2示出的一级锚值仅仅出于示例性的目的而提供，因为在各种实施例中，可以使用任何合适的锚类型或锚类型的组合。此外，数字交互可以具有相同类型的多个锚值。例如，用户可以通过一个网络地址(例如，家庭网络)的连接来发起在线购物，而通过另一个网络地址(例如，办公网络)的连接完成在线购物。还应该理解的是，图2示出的示例性的二级锚值仅仅出于示例性的目的而提供，这是因为可以将二级锚值的任何合适的组合存储在一级锚值的简档中。

图3示出了根据一些实施例的示例性简档300,305和310。例如，简档300可以是图2所示的示例性一级电子邮件地址105的简档，简档305可以是图2所示的示例性一级网络地址115的简档，并且简档310可以是图2所示的示例性一级信用卡号码125的简档。

在图3所示的例子中，电子邮件地址105的简档300存储多个二级信用卡号码140A，140B，140C等，网络地址115的简档305存储多个二级电子邮件地址150A，150B，150C等和多个二级信用卡号码165A，165B，165C等，并且一级信用卡号码的简档310存储多个二级电子邮件地址170A，170B，170C等。通过这种方式，即使先前没有一起看到一级信用卡号码125和一级电子邮件地址105，也可以通过网络地址115检测到关联。

例如，一级信用卡号码125可能不在存储在一级电子邮件地址105的简档中的二级信用卡号码140A，140B，140C等中，并且一级电子邮件地址105可能不在存储在一级信用卡号码125的简档中的二级电子邮件地址170A，170B，170C等中。然而，一级电子邮件地址105可以是存储在网络地址115的简档中的二级电子邮件地址中的一个(例如，二级电子邮件地址150A)，并且一级信用卡号码125可以是存储在网络地址115的简档中的二级信用卡号码中的一个(例如，二级信用卡号码165B)。安全系统可以确定二级邮件地址150A(其与一级电子邮件地址105相同)和二级信用卡号码165B(其与一级信用卡号码125相同)与网络地址115相关联，因此即使以前从未一起观测到一级电子邮件地址105和一级信用卡号码125，数字交互也可能是合法的。

本发明人已经认识并理解，可能需要确定两个锚值彼此相关联的程度。例如，在上述例子中，如果二级电子邮件地址150A(其与一级电子邮件地址105相同)和二级信用卡号码165B(其与一级信用卡号码125相同)与网络地址115紧密相关，则安全系统可以具有数字交互合法的较高置信度。因此，在一些实施例中，提供了一种用于确定两个锚值彼此相关联的程度技术。

图4示出了根据一些实施例的示例性简档400和405。例如，简档400可以是图2所示的示例性一级电子邮件地址105的简档，并且简档405可以是图2所示的示例性一级网络地址115的简档。

在图4示的例子中，安全系统为简档400和405中的每个二级锚值保持计数器。例如，可以提供计数器410A(相应的410B，410C等)以跟踪记录在某个特定时间段(例如，过去的五分钟、过去的一小时、过去的一天、过去的一周、过去的两周等)已经一起观测到二级网络地址130A(相应的130B，130C等)和以及电子邮件地址105的次数。通过使用这些计数器，安全系统可以能够确定已经一起观测到二级网络地址130A和一级电子邮件地址105的频率(例如，占计数器410A，410B，410C等的总和的百分比)，并且对于二级网络地址130B，130C等来说也是如此。

类似地，可提供计数器415A(相应的415B，415C等)以跟踪记录在某个特定时间段(例如，过去的五分钟、过去的一小时、过去的一天、过去的一周、过去的两周等)已经一起观测到二级电子邮件地址150A(相应的150B，150C等)和一级网络地址115的次数。通过使用这些计数器，安全系统可以能够确定已经一起观测到二级电子邮件地址150A和一级网络地址115的频率(例如，占计数器415A，415B，415C等的总和的百分比)，并且对于二级电子邮件地址150B，150C等来说也是如此。

在一些实施例中，安全系统可以基于计数器410A与计数器410A，410B，410C等中的最高计数器之间的比率来为二级网络地址130A分配分数。例如，在如图4所示的例子中，可以为二级网络地址130A分配25/25＝1.00的分数。类似地，可以为二级网络地址130B分配9/25＝0.360的分数，可以为二级网络地址130C分配1/25＝0.040的分数等，并且可以为二级电子邮件地址150A分配25/32＝0.781的分数，为二级电子邮件地址150B分配32/32＝1.00的分数，为二级电子邮件地址150A分配8/32＝0.250的分数等。

因此，在这个例子中，可以为数据对<电子邮件地址105，网络地址115>分配两个不同的分数。当电子邮件地址105被视为一级锚值并且网络地址115被视为二级锚值(例如，二级网络地址130A)时，可以分配1.00的分数。相比之下，当网络地址115被视为一级锚值并且电子邮件地址105被视为二级锚值(例如，二级邮件地址150A)时，可以分配0.781的分数。

在一些实施例中，安全系统可以通过选择这两个分数中的一个来确定电子邮件地址105与网络地址115之间的关联分数。作为一个例子，安全系统可以选择两个分数中的较高者(例如1.00)。作为另一例子，安全系统可以确定哪种锚类型(例如，电子邮件地址与网络地址)对于匹配相同性来说更有用并且可以将该类型的锚值作为一级锚值来处理。例如，电子邮件地址可能比网络地址更有用，这是因为电子邮件地址很可能被一小组的一个或多个用户使用，而网络地址可能被大量用户共享。因此，可以使用对应于一级电子邮件地址105和二级网络地址130A的分数(即，1.00)。尽管在这个例子中两种方法的得分均为1.00，但应该理解，在一些情况下，这些方法可能导致不同的分数。此外，本公开的各方面不限于通过在不同分数之间进行选择来确定关联分数。在一些实施例中，可以以某种合适的方式对不同的分数进行组合，例如，组合成加权和。可以使用任何适当的加权组合，包括0和1。

还应该理解的是，本公开的各方面不限于确定两个锚值之间的关联分数或任何关联分数。在一些实施例中，安全系统可以确定多于两个锚值的一组锚值的关联分数。作为一个例子，安全系统可以选择锚值(例如，基于匹配相同性的有用性)并且将剩余的锚值组合到一起。例如，可将电子邮件地址105视为一级锚值，并且可为设备标识符和网络地址的每个组合保持单独的计数器。因此，<网络地址130A，设备标识符135A>，<网络地址130A，设备标识符135B>，...，<网络地址130B，设备标识符135A>，<网络地址130B，设备标识符135B>，...，<网络地址130C，设备标识符135A>，<网络地址130C，设备标识符135B>，...等中的每一对都可以有单独的计数器。通过这种方式，可以使用确定双向关联分数的任何合适的方法来确定三向关联分数，同样的也可以确定N向关联分数，其中N>3。

作为另一个例子，安全系统可以基于锚类型(例如，电子邮件地址X、设备标识符Y、网络地址Z、电话号码U等等)来对锚值进行排序。所述排序可以以任何合适的方式来选择，例如基于匹配相同性的有用性。然后，安全系统可以计算成对关联分数(例如，<电子邮件地址X，设备标识符Y>，<设备标识符Y，网络地址Z>，<网络地址Z，电话号码U>等)。然后可以对成对关联分数进行组合，例如，组合成加权和。

作为另一个例子，安全系统可以选择一对或多对锚值。例如，安全系统可对锚值对进行排序，然后计算N个最佳对的成对关联分数，其中可以基于时间预算(例如，组织指定的要求安全系统执行相同性匹配的目标响应时间)来确定N。如在前面的例子中那样，例如，可将成对关联分数组合为加权和。

在一些实施例中，可以基于锚类型对锚值对进行排序。例如，只有在人数足够多(例如，超过某个组织的账户的某个阈值百分比)，在电子邮件地址和设备标识符之间存在强关联(例如，关联分数高于某个阈值分数)时，才可以选择<电子邮件地址X，设备标识符Y>对。

图5示出了根据一些实施例的可由安全系统执行以确定多个一级锚值的关联强度的示例性处理500。例如，处理500可由图1A所示的示例性安全系统14使用以分析图2所示的示例性数字交互100。

在动作505，安全系统可以分析数字交互以识别多个一级锚值。作为一个例子，数字交互可以包括尝试登录，并且可以提交电子邮件地址(例如，图2中示出的示例性的一级电子邮件地址105)以识别与该电子邮件地址相关联的账户。然而，这不是必需的，因为在一些实施例中，可以只提交独立的账户标识符并且可以识别该账户的记录中的电子邮件地址。

作为另一个例子，数字交互可以包括在线购物。可以提交电话号码(例如，图2中示出的示例性一级电话号码110)以安排送货，并且可以提交信用卡号码(例如，图2中示出的示例性一级信用卡号码125)以进行付账。然而，这不是必需的，因为在一些实施例中，可以从进行在线购买的账户的记录中识别电话号码和/或信用卡号码。

作为另一个例子，安全系统可以检查接收到的与数字交互相关联的数据包，并且从数据包中提取信息，例如，源网络地址(例如，图2中示出的示例性的一级网络地址115)和源设备标识符(例如，图2中示出的示例性的一级设备标识符120)。

应该理解的是，上述例子仅仅是示例性的，这是因为本公开的各方面并不限于使用任何特定的锚类型，或者识别锚值的任何特定方法。锚类型的例子包括但不限于以下。

-用户信息

ο账户标识符

ο真实姓名，社会安全号码，驾驶证号码，护照号码等

ο电子邮件地址

■用户名，用户注册国家，用户注册日期等

■电子邮件域名，DNS，服务器状态/类型/可用性/性能/软件等，网络详细信息，域名注册商和相关详细信息(例如，域名注册人所在国家，域名注册人的联系信息等)，域名年限，域名注册的国家等

ο电话号码

■用户号码，国家前缀，号码所在国家，区号的州/省/教区/等或者号码位置的区号。号码是否被激活，号码是否被转发，计费类型(例如，额外费率)，所有权详细信息(例如，个人，商业以及关于电子邮件，域名，网络地址等的相关详细信息)，硬件变更等。

ο地址

■GPS坐标，大陆，国家，地区，州，省，教区，城市，时区，指定的市场区域，大都市统计区域，邮政编码，街道名称，街道号码，公寓号码，地址类型(例如，账单地址、收获地址、家庭地址等)等等

ο支付

■信用卡、支付卡、借记卡、银行卡等的号码的明文或散列，卡类型、主账号(PAN)、发行者识别号码(IIN)、IIN详细信息(例如姓名，地址等)、签发日期、到期日期等。

-设备信息

ο品牌，型号，操作系统，用户代理，已安装组件，渲染构件，浏览器功能，已安装软件，可用功能，可用外部硬件(例如，显示器、键盘、网络和可用的相关数据)等。

ο设备标识符，cookie/HTML存储，其他基于设备的存储，安全密码存储(例如，iOS密钥串)等。

ο设备指纹(例如，来自网络和环境特性)

-网络信息

ο网络地址(例如，IP地址、子地址等)，网络标识符，网络接入标识符，移动台设备身份(IMEI)，媒体访问控制地址(MAC)，订户身份模块(SIM)等等。

οIP路由类型(例如，固定连接、美国在线(aol)、pop、superpop、卫星、缓存代理、国际代理、区域代理、移动网关等)，代理类型(例如，匿名代理、混淆代理、高匿/隐藏代理、透明代理、http代理、服务提供商代理、socks/socks http代理、网站代理等)，连接类型(例如，匿名、VPN、Tor等)，网络速度，网络运营商，自治系统号码(ASN)，电信公司，网络地址的注册组织，组织NAICS代码，组织ISIC代码，组织是否是托管设施等。

回到图5，在动作510，安全系统可以访问分别与在动作505识别的一个或多个一级锚值相关联的一个或多个简档。然后，在动作515，安全系统可以针对每对一级锚值X和Y，基于X和Y的简档中的信息确定X和Y的成对关联分数。上文结合图4讨论了简档和确定成对关联分数的方法的例子。

在动作520，安全系统可以基于在动作515确定的成对关联分数确定总体关联分数。可以使用任何合适的技术或技术组合来组合成对关联分数。例子包括但不限于根据图4描述的那些技术。

在一些实施例中，安全系统可以针对成对关联分数低于选择的阈值的一对一级锚值X和Y(例如，图3中示出的示例性电子邮件地址105和信用卡号码125)，寻找与X和Y都相关联的一个或多个一级锚值Z(例如，图3中所示的示例性网络地址115)。

应该理解的是，图5示出了实现的细节，并且上述讨论仅仅为了说明的目的，这是因为本公开的各方面不限于任何特定的实现方式。例如，安全系统可以访问某些一级锚值而不是所有一级锚值的简档。类似地，安全系统可以确定某些一级锚值对X和Y(但不是全部一级锚值对)的成对关联分数。

在一些实施例中，安全系统可以通过检查与网络地址相关联的各种锚值来检测账户盗用的攻击。例如，安全系统可以确定：

-通过该网络地址的尝试访问是否与同一账户相关联并使用相同的密码；

-通过该网络地址的尝试访问是否与同一账户相关联但使用不同的密码(这可能表示攻击者试图猜测正确的密码)；

-通过该网络地址的尝试访问是否与不同的账户相关联但是使用相同的密码或少量密码(这可能表示攻击者试图通过使用少量通用密码尝试多个账户来访问)；

-通过该网络地址的尝试访问是否与不同账户相关联并且每个账户都使用相同的密码；

-通过该网络地址的尝试访问是否与不同账户相关联并且每个账户使用不同的密码；

-等等。

在一些实施例中，可以将每个密码散列到多个存储包中的一个中，并且可以针对每个存储包保持计数器，并且对于每个账户标识符也同样的保持计数器。这样的计数器可以用于检测上述模式中的一个或多个。例如，如果大量的账户存储包被观测到，但只有少量的密码存储包被观测到，则安全系统可以推断出攻击者正试图通过使用少量的通用密码尝试许多账户来获得访问权。

另外或替代地，安全系统可以通过检查与账户标识符相关联的各种锚值来检测账户盗用的攻击。例如，安全系统可以确定：

-对该账户标识符的尝试访问是否来自相同的设备标识符和相同的网络地址；

-对该账户标识符的尝试访问是否来自相同的设备标识符但不同的网络地址；

-对该账户标识符的尝试访问是否来自不同的设备标识符但来自相同的网络地址；

-对该账户标识符的尝试访问是否来自设备标识符和网络地址的一致配对；

-对该账户标识符的尝试访问是否来自没有一致的配对的许多不同的设备标识符和许多不同的网络地址；

-对该账户标识符至少进行了一次尝试访问的多个不同的设备标识符；

-对该账户标识符至少进行了一次尝试访问的多个不同的网络地址；

-等等。

在一些实施例中，可以将每个设备标识符散列模运算到多个存储包中的一个存储包中，并且可以为每个存储包保持计数器，并且对于每个网络地址也同样的保持计数器。这样的计数器可以用于检测上述模式中的一个或多个。例如，如果大量设备标识符存储包被观测到，但是只有一个网络地址存储包被观测到，则安全系统可以推断对该账户标识符的尝试访问来自许多不同的设备标识符，但可能是相同的网络地址。

在一些实施例中，安全系统可以检查为尝试创建新账户而提交的电子邮件地址。作为一个例子，安全系统可以使用一个或多个计数器(例如，图6中所示的示例性数据结构600)来跟踪记录某个域名的任何电子邮件地址用于创建新账户的次数。通过这种方式，当在某个时间段内从某个域观测到高于预期的尝试次数时，可以检测到异常。

作为另一个例子，安全系统可以检索域的元数据，例如，注册商、注册实体等的。安全系统可以使用一个或多个计数器(例如，图6中所示的示例性数据结构600)来跟踪记录具有某个注册商(或某个注册实体等)的任何域名的电子邮件地址用于创建新账户的次数。通过这种方式，当在某个时间段内从某个注册商(或某个注册实体等)观察到高于预期的尝试次数时，可以检测到异常。

作为另一个例子，安全系统可以检查电子邮件地址的本地部分。例如，安全系统可以确定本地部分(local part)是否像真实姓名，是否主要包括数字，和/或包括违反相关标准中提出的一个或多个规则的特征。这样的特征的例子包括但不限于：.@.，引号中的空格，引号中的“姓名.@.姓名”，(注释)等。安全系统可以使用一个或多个计数器(例如，图6中所示的示例性数据结构600)来跟踪记录在创建账户时观测到的某种类型的特性的次数。通过这种方式，当在某段时间内观察到具有某种类型的特性的高于预期的尝试次数时，可以检测到异常。

在一些实施例中，安全系统可以从电子邮件地址的本地部分去除注释、数字、符号和不寻常字符。可以将剩余部分散列模运算到多个存储包中，并且可以为每个存储包保持一个或多个计数器(例如，图6中所示的说明性数据结构600)。通过这种方式，当在某个时间段内观察到对某个存储包的尝试次数高于预期次数时，可以检测到异常。

在一些实施例中，安全系统可以检查与地区代码相关联的活动。例如，安全系统可以将地区代码散列到多个存储包中并且为每个存储包保持计数器以跟踪记录观测到具有该存储包中的地区代码的任何电话号码的数字交互的次数。通过这种方式，当在某个时间段内观测到针对某个存储包的交互的次数高于预期时，可以检测到异常。

在一些实施例中，安全系统可以检查与地区代码相关联的各种锚值。例如，安全系统可以针对多个地区代码中的每一个地区代码检查与该地区代码相关联的信用卡号码(例如，在观测到具有该地区代码的电话号码的交易中使用的信用卡号码)的银行识别号码(BIN)。发明人已经认识并理解，BIN可以用作一种位置指示器，因为消费者可能倾向于从当地银行申请信用卡。

在一些实施例中，安全系统可以确定：

-某个BIN是否正常地与某个地区代码相关联；

-与其他BIN相比，某个BIN是否广泛分布(例如，与许多不同的地区代码相关联)(可能表示数据泄露或被盗卡)；

-某个BIN是否在短时间内在大量活动中出现(可能表示数据泄露或被盗卡)；

-少量不同的BIN是否与特定地区代码相关联(这可能是预期的)；

-大量不同的BIN是否与特定地区代码相关联(这可能表示异常)；

-等。

在一些实施例中，可以将每个BIN散列模运算到多个存储包中的一个存储包中，并且可以为每个存储包保持计数器以跟踪记录一起观测到该存储包中的任何BIN和特定地区代码的数字交互的次数。这的计数器可以用于检测上述模式中的一个或多个。例如，如果大量存储包被观测到，则安全系统可以推断大量不同的BIN与该区域代码相关联。

另外地或可选地，可以将每个区域代码散列模运算到多个存储包中的一个存储包中，并且可以为每个存储包保持计数器以跟踪记录一起观测到该存储包中的任何地区代码和特定BIN的数字交互的次数。这样的计数器可以用于检测上述模式中的一个或多个。

在一些实施例中，安全系统可以将区域代码与BIN进行组合(例如，连接)并将结果散列模运算到多个存储包中的一个存储包中。可以为每个存储包保持计数器。如果与其他存储包相比特定存储包具有更高的计数，则安全系统可以推断出该存储包中的地区代码和BIN组合可能已发生数据泄露或被盗卡。

在一些实施例中，安全系统可以检查某个地区代码和某个邮政编码的组合。例如，如果大量不同的BIN与特定地区代码相关联，则安全系统可以确定许多不同的BIN是否与特定地区代码和邮政编码组合相关联(这可以进一步证明发生了异常)。

在一些实施例中，安全系统可以将上文结合BIN描述的技术中的任何一种或多种技术应用于诸如网络地址(例如IP子网)的另一类型的位置指示符。

图8A示出了根据一些实施例的用于记录从数字交互观测到的数据的示例性数据结构800。例如，数据结构800可由安全系统(例如，图1A中所示的示例性安全系统14)使用以记录已经在特定情况下观测到的相同类型的不同锚值。然而，这不是必需的，因为在一些实施例中，除了记录锚值之外或者代替记录锚值，数据结构800还可以用于记录其他不同值。

在一些实施例中，数据结构800可以用于存储已经在数字交互中查看到的相同类型的多达N个不同的锚值(例如，N个不同的信用卡号码)。例如，在一些实施例中，数据结构800可以包括具有特定大小N的数组805。一旦数组已经被充满，就可以使用合适的方法来确定是丢弃新观测到的信用卡号码还是用新观测到的信用卡号码替换存储的一个信用卡号码。通过这种方式，无论接收到多少原始数据，响应于查询，只分析有限数量的数据。

在一些实施例中，可以选择N个不同值来提供足够的信息而不使用过量的存储空间。例如，如果精确值对匹配相同性有用，则安全系统可以存储较多不同值(例如8-16)，如果精确值不太重要，则安全系统可以存储较少的不同值(例如2-4)。在一些实施例中，对于网络地址来说N可以是8-16，对于信用卡号码来说N可以是4-8，对于用户代理来说N可以是2-4。安全系统可以使用网络地址来确定是否存在观测到多个网络地址的正当理由(例如，用户旅行并沿途连接到一系列接入点)，而安全系统可以只查找已观测到多个用户代理的简单指示。

应该理解，本公开的各方面不限于使用数组来存储不同的锚值。其他数据结构，例如链表、树等也可以使用。

发明人已经认识并理解，除了N个不同的观测数据之外，可能需要在数据结构800中存储附加信息。例如，可能需要存储总体上已观测到多少不同值的指示以及这些值如何分布。因此，在一些实施例中，可能的值可以被划分到M多个存储包中，并且除了N个不同的观测数据之外或者代替N个不同的观测数据，还可以存储长度为M的比特串810。比特串810中的每个比特可以对应于相应的存储包，并且可以被初始化为0。无论何时观测到存储包中的值，都可以将与该存储包相对应的比特设置为1。

可以以任何合适的方式将可能值划分到存储包中。例如，在一些实施例中，可以将散列函数应用于可能的值，并且可以应用模运算(模数为M)以将得到的散列值划分为M个存储包中。可以选择模数M以实现精度和效率之间的期望平衡。例如，较多数量的存储包可以提供更高的分辨率(例如，较少的可能值被集中在一起并且变得难以区分)，但是比特串810可占用更多的存储空间，并且更新和/或访问比特串810的计算可能更复杂。

应该意识到，本公开的各方面不限于使用散列模运算将可能值划分到存储包中，这是因为其他方法也可能是合适的。例如，在一些实施例中，可以使用基于布隆(Bloom)过滤器的一种或多种技术。

图8B示出了根据一些实施例的用于记录从数字交互观测到的数据的示例性数据结构850。例如，数据结构850可以被安全系统(例如，图1A中所示的示例性安全系统14)使用以记录已经在特定情况下观测到的不同锚值。然而，这不是必需的，因为在一些实施例中，除了记录锚值之外或者代替记录锚值，数据结构850还可以用于记录其他不同值。

在图8B所示的例子中，可以通过会话标识符和流程标识符对数据结构850进行索引。会话标识符可以是网络服务器为网络会话分配的标识符。流程标识符可以标识包括一系列活动的流程(例如，图1C所示的示例性流程40)。安全系统可以使用会话和流程标识符来将检测到的活动与数字交互进行匹配。然而，应该理解，本公开的各方面不限于使用会话标识符和流程标识符来标识数字交互。

在一些实施例中，数据结构850可以包括多个组件，例如图8B中所示的组件855,860,865和870。组件855,860,865和870中的每一个可以类似于图8A中所示的示例性数据结构800。例如，组件855可以存储从数字交互观测到的高达一定数量的不同网络地址，组件860可以存储从数字交互观测到的高达一定数量的不同用户代理，组件865可以存储从数字交互中观测到的高达一定数量的不同信用卡号码等等。

在一些实施例中，数据结构850可以包括相对较少数量(例如，10,20,30等)的组件，例如855,860,865和870。通过这种方式，针对每个正在进行的数字交互可以存储相对少量的数据，同时仍使安全系统能够进行有效的相同性分析。

在一些实施例中，组件870可以存储一列索引列表，其中每个索引列表可以对应于发生在数字交互中的活动。例如，参照图1C中所示的示例性流程40，第一索引列表可对应于登录，第二索引列表可对应于改变账单地址，第三索引列表可对应于查看第一产品，第四索引列表可对应于查看第二产品，第五索引列表可对应于将第二产品添加到购物车，并且第六索引列表可以对应于结账。

在一些实施例中，每个索引列表可以指示从相应活动中观测到的锚值。例如，列表[1,3,2，...]可以指示存储在组件855中的第一网络地址、存储在组件860中的第三用户代理、存储在组件865中的第二信用卡等。这可以提供从每个活动中观测到的锚值的紧凑表示。

在一些实施例中，如果存储在组件中的锚值被另一锚值替换，则可更新包括被替换的锚值的一个或多个索引列表。例如，如果存储在组件855中的第一网络地址被另一个网络地址替换，则可以将列表[1,3,2，...]更新为[Φ，3，2，...]，其中Φ是任何合适的默认值(例如，N+1，其中N是组件855的容量)。

在一些实施例中，安全系统可以使用一列索引列表来确定已经观测到的锚值的频率。例如，安全系统可以对索引1出现在第一位置的列表进行计数。这可以指示已经观测到存储在组件855中的第一网络地址的次数。

应该理解的是，图8B中所示的组件855,860,865和870以及上述讨论仅是为了举例说明的目的，这是因为本公开的各方面不限于存储关于当前数字交互的任何特定信息，或者表示存储信息的任何特定方式。例如，除了图8B所示的示例性数据结构800之外或者作为其替代，可以使用其他类型的组件数据结构。

图9示出了根据一些实施例的记录从数字交互观测到的观察数据的示例性处理900。例如，处理900可以由安全系统(例如，图1A中示出的示例性安全系统14)执行以记录已经在特定情况下(例如，在特定数字交互中)观测到的相同类型的不同值(例如，N个不同的信用卡号码)。可以将不同值记录在如图8A所示的示例性数据结构800中。

在动作905，安全系统可以识别特定情况下的锚值X。例如，在一些实施例中，可以从某个数字交互中观测到锚值X。这可以以任何合适的方式(例如，如结合图5的动作505所讨论的方式)完成。在一些实施例中，安全系统可以访问数字交互的记录，并且可以从记录中识别与锚值X的类型T相关联的数据结构。例如，如果锚值X是信用卡号码，则安全系统可以从数字交互的记录中识别用于存储从数字交互中观测到的信用卡号码的数据结构。

在动作910，安全系统可以识别锚值X所属的存储包B。例如，在一些实施例中，如上述结合图8A所述，可执行散列模运算操作以将锚值X映射到存储包B。

在动作915，安全系统可以存储已经观测到与数字交互相关的来自存储包B的至少一个锚值的指示。例如，安全系统可以对在动作905识别的数据结构进行操作。参考图8A所示的例子，安全系统可以在示例性的比特串810中识别与在动作910识别的存储包B对应的位置并将1写入该位置。

在动作920，安全系统可以确定锚值X是否已经与相关情况相结合地存储。例如，安全系统可以检查锚值X是否已经存储到在动作905识别出的数据结构中。参考图8A中所示的例子，安全系统可以在示例性数组805中查找锚值X。该查找可以以任何合适的方式执行。例如，如果对数组805进行了排序，则安全系统可以执行二分查找以确定锚值X是否已经存储在数组805中。

如果在动作920确定已经存储了锚值X，则处理900可以结束。尽管未示出，但是在一些实施例中，安全系统可以在结束处理900之前递增锚值X的一个或多个计数器。

如果在动作920确定尚未存储锚值X，则安全系统可以进行到动作925以确定是否存储锚值X。参考图8A所示的例子，在一些实施例中，如果数组805未满，则安全系统可以存储锚值X。如果数组805已满，则安全系统可以确定是否用锚值X替换存储的一个锚值。

作为一个例子，安全系统可以在数组805中存储从数字交互中观测到的类型T的前N个不同的锚值，并且可以丢弃每个随后观测到的类型T的锚值。作为另一个例子，安全系统可以用最新观察到的锚值替换存储的最旧的锚值，以便数组805存储在数字交互中观测到的类型T的最后N个不同值。作为另一个例子，安全系统可以在数组805中存储类型T的N个锚值的适当组合，例如，在数字交互的开始期间观测到的一个或多个锚值、从数字交互观测到的最新的一个或多个锚值、从数字交互中最频繁地观测到的一个或多个锚值(例如，基于存储的用于锚值的各个计数器，或者诸如图8B中所示的示例性组件870的索引列表)、和/或一个或多个其他感兴趣的锚值(例如，之前信用卡循环攻击涉及的一个或多个信用卡号码)。

在一些实施例中，安全系统可以在数据结构中保存适于有效访问的历史信息(例如，关于锚值或锚值的组合的统计信息)。发明人已经认识并理解，尽管可以使用计数器来跟踪记录事件在一段时间内发生的总次数，但可能需要保存附加信息，例如，所述事件的发生在该时间段如何分布。例如，对一个星期内发生的10次事件的评估可能与一小时内爆发性发生10次事件有所不同。因此，在一些实施例中，多个计数器用于提供可变的时间分辨率。

图6示出了根据一些实施例的用于保持一个或多个时间间隔上的统计数据的示例性数据结构600。例如，数据结构600可以由安全系统(例如，图1A中所示的示例性安全系统14)使用以跟踪记录一起观测到二级锚值和一级锚值的频繁程度。在一些实施例中，可以将该数据结构存储在一级锚值的简档中(例如，替换图4所示的示例性计数器410A以跟踪记录一起查看到示例性的二级网络地址130A和示例性的一级电子邮件105的频繁程度)。然而，这不是必需的，这是因为数据结构600可以用记录任何适当类型的事件的发生并且可以以任何合适的方式存储。

在图6所示的例子中，数据结构600包括三组计数器-605,610和615。每个计数器可以对应于相应的时间间隔并且可以跟踪记录某个事件(例如，一起观测到某个二级锚值和某个一级锚值)的次数。组605可以对应于两周的时间间隔(例如，过去的两周)，并且可以包括14个计数器，14个计数器中的每一个计数器用于每一天的时间间隔，以跟踪记录在该一天时间间隔观测到事件的次数。组610可以对应于一天的间隔(例如，过去的一天)，并且可以包括24个计数器，24个计数器中的每一个计数器用于每一小时的时间间隔，以跟踪记录在该一小时时间间隔观测到事件的次数。组615可以对应于一个小时的间隔(例如，过去的一小时)，并且可以包括12个计数器，12个计数器中的每个计数器用于每五分钟的时间间隔，以跟踪记录在该五分钟的时间间隔观测到事件的次数。

发明人已经认识并理解，通过保持具有不同时间分辨率的多组计数器，安全系统可以能够通过分析有限数量的数据来回答感兴趣的查询。例如，如果安全系统只保存事件的最新的N次发生，其中N是特定的数字，则事件的最新的N次以上的爆发性发生可能会取代有用的历史信息。相比之下，保持诸如数据结构600之类的数据结构的安全系统可以在一段时间(例如，两周)内容易地访问历史信息，而不管近期的事件爆发性发生。此外，保持诸如数据结构600之类的数据结构的安全系统可以能够进行“放大”(zoom in)，从最近两周放大到最近一天、最近一小时、最近五分钟等，而无需必须即时分析原始数据。

应该理解的是，图6所示的例子和以上描述仅仅是出于举例说明的目的而提供，这是因为本公开的各方面并不限于使用任何特定数目的计数器或任何特定的时间分辨率。作为一个例子，可以使用10分钟(或15分钟)的时间间隔而不是5分钟的时间间隔，这样组615可以包括6个(或4个)计数器，而不是12个。作为另一个例子，组605可以是包括7个一天的计数器，而不是14个。作为另一个例子，可以保持另一组计数器，包括任何合适数量的一周计数器(例如，4,8,12,16等)。发明人已经认识并理解，可以选择时间间隔的长度(例如，五分钟，一小时，一天等)以实现减少存储要求和提供较高时间分辨率之间的期望平衡，并且可以选择计数器的数量和/或计数器组的数量，以实现减少存储需求和容易访问更多历史信息之间的期望平衡。此外，应该理解，每组计数器可以以任何合适的方式实现，包括但不限于，但不限于，数组或链表。

图7A示出了根据一些实施例的可由安全系统执行以更新一组计数器的示例性处理700。例如，处理700可以由安全系统(例如，图1A中示出的示例性安全系统14)使用以更新用于保持关于某个事件的统计信息的数据结构(例如，图6中所示的示例性数据结构600)。

在动作705，安全系统可以检测数字交互中的活动。例如，安全系统可以接收关于新的数字交互(例如，用户到达某个网站)或正在进行的数字交互的信息。可以从用户正在用来浏览的用户设备、为用户提供网站服务的在线系统、或者一些其他合适的系统(例如，防火墙、网络加速器、安全系统使用的专用网络设备等)接收这些信息。

在一些实施例中，安全系统可以使用会话标识符和流程标识符来识别数字交互。会话标识符可以是网络服务器为网络会话分配的标识符。流程标识符可以标识流程，流程可以包括用户的一系列活动，例如，登录、改变账户信息、进行购买或转账等。安全系统可以使用会话和流程标识符来匹配检测到的活动与正在进行的数字互动。

在动作710，安全系统可以确定是否观测到与在动作705检测到的数字交互相关的事件Z。例如，在一些实施例中，事件Z可以是观测来自数字交互的锚值X和Y。可以以任何合适的方式(例如，如结合图5的动作505所讨论的)来识别锚值X和Y。其他事件的例子包括但不限于以下内容：

-观测某个锚值(例如，网络地址、注册商、账户标识符、设备指纹、设备标识符、电话号码、信用卡号码散列数据、BIN、礼品卡号码等)；

-观测某个登录处理(例如，不完整、失败、成功等)；

-查看到某个产品(例如，SKU、姓名等)或产品类别或将其添加到购物车；

-观测某个结账属性(例如，成功/失败、购物车中的项目数量、总金额等)；

-将某个得分分配给数字交互(例如，账户盗用、自动操作、消费者价值等)；

-等。

在一些实施例中，可以基于存储包来定义上述(或其他)事件中的任何一个。例如，可以将相同类型的锚值散列模运算到多个存储包中，并且事件可以包观测来自特定存储包的任何锚值。另外地或可选地，可基于观测的组合(例如，账户标识符、设备指纹和设备标识符的组合，电子邮件域和邮政编码的组合，诸如登录、注册和结账等的活动序列)来定义事件。

响应于确定观测到与在动作705检测到与数字交互相关的事件Z，安全系统可以在动作715更新一个或多个计数器。例如，参照图6所示的例子，安全系统可以递增每个计数器C[0,0](例如，过去的五分钟)、C[1,0](例如，过去的一小时)和C[2,0](例如，过去的一天)。通过这种方式，计数器可以保持最新并准备好使用。例如，在一些实施例中，可以将计数器保存在存储器中。无论何时需要一个或多个计数器值，安全系统都可以简单地从存储器中查找计数器，而无需访问磁盘存储器中的数据。

一旦适当的计数器已经被更新，安全系统可以返回到动作705以处理另一活动。如果在动作710确定未观测到事件Z，则系统也可以返回到动作705。

图7B示出了根据一些实施例的可由安全系统执行以更新一组计数器的示例性处理750。例如，处理700可以由安全系统(例如，图1A中示出的示例性安全系统14)使用以更新用于保持关于某个事件的统计信息的数据结构(例如，图6中所示的示例性数据结构600)。可以除了执行图7A所示的示例性处理700之外或者替代执行处理700，执行处理750。

发明人已经认识到并理解，虽然可能希望能够访问历史信息，但较新的信息(例如，过去五分钟、一小时、一天等的活动)可能比较旧的信息更有价值(例如，一周前、两周前、一个月前的活动等)。因此，在一些实施例中，可以将对应于相继的时间间隔的计数器周期性地移位，其中，可以将对应于最旧间隔的计数器的值丢弃或移动到某个其他存储器(例如，更便宜但不易访问的大容量存储器)。这样，计数器可以只占用有限的存储空间。

参照图6所示的例子，将计数器进行移位的时间段L_i可以是五分钟(或一小时、一天等)。在动作755，安全系统可以确定自上次计数器移位以来是否已经过去L_i时间量。如果确定自上次计数器移位以来已经过去了L_i时间量，则安全系统可以行进到动作760以将计数器移位。例如，在一些实施例中，每组计数器都可以实现为数组，并且可以将每个计数器中的值复制到下一个计数器中，其中，可以将计数器中对应于最早时间间隔的值简单地重写。然后安全系统可以行进到动作765以将对应于最新时间间隔的计数器重置为0。

应该理解的是，仅出于举例说明的目的而提供图7A-B中的细节，这是因为本公开的各方面不限于任何特定的实施方式。例如，在一些实施例中，每组计数器可以实现为按照反向时间顺序的链接列表，并且安全系统可以在示例性处理750的动作760从列表的末端移除对应于最旧时间间隔的计数器。然后，在动作765，安全系统可以将初始化为0的对应于最新的时间间隔的计数器添加到列表的起始处。

发明人已经认识并理解，随着安全系统处理的数字交互量的增加，安全系统保持的计数器的集合可能变得笨重。因此，在一些实施例中，可以将较低分辨率事件定义为涵盖多个较高分辨率事件，并且可以为较低分辨率事件保持一组计数器，而不是为每个较高分辨率事件都保持一组单独的计数器。例如，可以将相同类型的锚值(例如，网络地址)划分到多个存储包中。安全系统可以为锚值的每个存储包保持一个或多个计数器，而不是为每个锚值保持一个或多个计数器。

作为例子，计数器可以跟踪记录来自网络地址的存储包B中的任何网络地址和电子邮件地址X一起被查看到的次数，而不是记录一起查看到特定网络地址Y和电子邮件地址X的次数。因此，可以用单个计数器(例如，用于存储包B中的所有锚值的聚合计数器)替换多个计数器(例如，用于存储包B中的每个锚值的单独计数器)。通过这种方式，通过选择适当数量的存储包可以实现精度和效率之间的平衡。例如，大量的存储包可以提供较高的事件分辨率，但是可能要维护和更新较多的计数器，而较少数量的存储包可以减少存储需求并且加快检索和更新，但是可能丢失更多信息(例如，较多的网络地址被集中在一起，变得难以区分)。

发明人已经认识并理解，可能期望在多个存储包中大致均匀地分布锚值。因此，在一些实施例中，可以将散列函数应用于锚值，并且可以应用模运算以将得到的散列值划分到多个存储包中，其中，模运算的每个可能的余数都可以有一个存储包。可以基于需要多少存储包来选择适当的模量，并且可以选择合适的散列函数来将锚值均匀地散布在可能的散列值上。散列函数的例子包括但不限于MD5，MD6，SHA-1，SHA-2，SHA-3等。然而，应该理解的是，本公开的各方面不限于使用散列模运算将锚值划分到存储包中，其他方法也可能是合适的。

发明人已经认识并理解，尽管安全系统可以执行数据库查询以回答关于锚值的历史问题，但是这样的查询可能是复杂的并且因此很慢。如果安全系统每次接收到这样的请求时都要运行复杂的数据库查询，则安全系统可能无法在几分之一秒内响应匹配相同性的请求。因此，在一些实施例中，安全系统可以保持用于锚值的聚合数据结构。该聚合数据结构可以存储汇总了在某个合适的时间段(例如，一天、一周、一个月等)内从所述锚值观测到的活动的信息，并且安全系统可以存储任何合适数量的这种聚合数据结构(例如，一个，两个，三个，六个，九个，十二个，十三个，十五个等)。该聚合数据结构可以适于被有效地访问，并且当额外的原始数据到达时安全系统可以保持该聚合数据结构更新为最新的。

图10示出了根据一些实施例的用于锚值的示例性聚合数据结构1000。例如，可以将集合数据结构1000存储在电子邮件地址X的简档中(例如，图4中示出的用于图2所示的示例性一级电子邮件地址105的示例性简档400)。在一些实施例中，安全系统可以为每个锚值和/或锚值的每个存储包(例如，基于散列模运算操作的)保持聚合数据结构(例如，聚合数据结构1000)。

在图10所示的例子中，聚合数据结构1000包括M个月度聚合，例如月度聚合1005。然而，应该理解，本公开的各方面不限于每月聚合数据。每个聚合数据结构涵盖的时间量可以变化以提供期望的时间分辨率。此外，聚合的数量M是可以选择的，以使得有足够的历史信息容易获取，而不会占用过量的存储量。

在一些实施例中，聚合数据结构可以包括多个聚合计数器。例如，在图10所示的例子中，月度聚合1005包括聚合计数器1010,1015,1020,1025和1030。在一些实施例中，这些聚合计数器中的每一个可以是一个维度或多个维度的数组。例如，聚合计数器1010可以是可以由网络地址索引的数组IP_Add[]。对于每个网络地址Y，数组条目IP_Add[Y]可以是对过去一个月一起观测到网络地址Y和电子邮件地址X的次数进行计数的计数器。类似地，聚合计数器1015可以是由设备标识符索引的数组Dev_Id[]，其中数组条目Dev_Id[Z]可以是对过去一个月一起观测到设备标识符Z和电子邮件地址X的次数进行计数的计数器，以及聚合计数器1020可以是由信用卡号索引的数组Cred_No[]，其中数组条目Cred_No[U]可以是对过去一个月一起观测到信用卡号U和电子邮件地址X的次数进行计数的计数器。

应该意识到，本公开的各方面不限于为每个计数器值(例如，网络地址、设备标识符、信用卡号码等)保持计数器。例如，如上面结合图6和图7A-B所讨论的，可以为计数器值的存储包(而不是单个计数器值)保持计数器，和/或可保持一组计数器以提供可变的时间分辨率。此外，本公开的各方面不限于使用数组来存储计数器。在一些实施例中，可以将计数器存储在数据库表中，或者一些其他合适的数据结构中。

在图10所示的例子中，聚合计数器1025和1030是多维数组。例如，聚合计数器1025可以是多维数组Type[]...[]，其用于跟踪记录在过去一个月一起观测到电子邮件地址X和不同类型的数字交互的发生的次数。图11示出了根据一些实施例的到数组Type[]...[]的访问路径的示例性树1100。

在一些实施例中，树1100中的每层可以对应于数组Type[]...[]中的维度。例如，顶层1105可对应于指示事件类型(例如，登录、账户创建、更改密码等)的第一维度，中层1110可对应于指示行业类型(例如，金融、电子商务等)的第二纬度，并且底层1115可以对应于指示信号类型(例如，自动操作、账户盗用等)的第三维度。从根节点开始，访问路径(例如，图11中的虚线箭头所示)可以遍历树1100中的所有三个层级并且到达叶节点，叶节点可以对应于以下计数器。

计数器[登录，电子商务，账户盗用]

该计数器可以对一起观测到登录事件和电子邮件地址X的次数进行计数，其中登录事件是针对电子商务交易并且安全系统已经将登录事件标记为可能试图盗用账户。

发明人已经认识并理解，可以定义访问路径，以使得可以更有效地回答更常见的查询。例如，尽管可以以任意顺序排列三个层级1105(事件类型)，1110(行业类型)和1115(信号类型)，但是图11中所示的示例性顺序可以允许常见查询进行有效访问。例如，汇总子树中的所有计数器可以比汇总不同子树中的选定分支的计数器更容易。

回到图10的例子，聚合计数器1030可以是与数组Type[]...[]类似的多维数组Score[]...[]。例如，数组Score[]...[]可以有三个维度。第一维度可以指示事件类型(例如，登录、账户创建、更改密码等)，第二维度可以指示分数类型(例如，行为分数、交易分数等)，并且第三维度可以指示评分类型(例如，针对行为评分的高风险、中等风险或低风险，针对交易评分的高价值、中等价值或低价值等)。虽然没有示出，但是访问路径可以导向计数器，例如计数器[登录、行为、高]，其可以对一起观测到登录事件和电子邮件地址X的次数进行计数，其中，安全系统已经为该登录事件分配了高风险类别的行为评分。

应该理解的是，图10-11示出了实现的细节，并且以上描述仅为了说举例说明的目的。本文描述的发明构思可以以任何合适的方式来实现。例如，本公开的各方面不限于访问树中的任何特定数量的层级，或者不限于访问树中的任何层级处的任何特定数量的节点。

在一些实施例中，每个叶节点可对应于单个计数器或一组计数器(例如，如图6所示的提供可变的时间分辨率的一组计数器)。另外或可选地，访问树中的节点可以对应于值的存储包，而不是单个值。作为一个例子，安全系统可以分配数字分数(例如，行为分数、交易分数等)，并且可以使用适当的阈值将可能的数字分数划分到存储包中(例如，高，中和低)。作为另一个例子，安全系统可以用数十或甚至数百个不同的可能信号来标记事件，但是为了汇总数据结构1000的目的，可以将可能信号划分到少量的存储包中(例如，自动操作、账户盗用等)。

图12示出了根据一些实施例的示例性数据集合1200及其示例性分割。例如，数据集合1200可以包括来自与某个账户(或某个其他锚值)相关联的多个数字交互的观测数据。观测数据可以是任何合适的类型。在一些实施例中，每个观测数据可以包括在数字交互期间从用户与设备之间的物理交互中获取的测量值。该测量值的例子包括但不限于设备角度、打字节奏、触摸屏手势等。在一些实施例中，每个观测数据可以包括交易数据，例如交易类型(例如开设新账户、购买商品或服务、转移资金等)、交易价值(例如购买金额、转账金额等)和/或任何其他合适的信息(例如，购买的商品或服务的类型、付款方式等)。其他类型的观测也是可能的，这是因为本公开的方面不限于分析来自数字交互的任何特定类型的观测。

发明人已经认识并理解，数据集合(例如，集合1200)可能含有噪声。例如，账户可以由多个家庭成员共享。结果，集合1200中的观测数据可以对应于不同的用户。在图12所示的例子中，圆圈可以表示从第一用户(例如，妈妈)进行的数字交互中获得的观测数据，三角形可以表示从第二用户(例如，爸爸)进行的数字交互中获得的观测数据，并且正方形可以表示从第三用户(例如，儿子)进行的数字交互中获得的观测数据。每个人的行为可能不同(例如，不同的打字节奏、不同的浏览模式、不同的购买习惯等)。因此，如果在不分割的情况下分析数据集合1200，则不会出现明确的模式。

发明人已经认识并理解，一旦沿着适当的维度对数据集合进行分割，则模式可以更清楚地显现出来。例如，在图12所示的例子中，不同的家庭成员可能倾向于使用不同的设备来登录账户。例如，妈妈可能倾向于使用她的智能手机，但可能偶尔使用爸爸的笔记本电脑，而父亲可能总是使用他的笔记本电脑，而儿子可能会一直使用他的平板电脑。因此，分割数据集合1205可有助于检测用于匹配相同性的有用模式。

例如，数据集合1205,1210和1215可以通过利用设备标识符分割数据集合1200而产生。由于数据集合1200本身可以是分割更大的数据集合(例如，通过使用账户标识符对从与某个在线商家、银行等进行的所有数字交互中观测到的观测数据进行分割)而得到的，所以数据集合1205,1210和1215中的每一个可以被视为通过使用锚值的组合(例如，账户标识符和设备标识符)分割更大的数据集合而得到的。

通过这种方式，安全系统可以对噪声较少的数据集合执行模式检测分析。例如，数据集合1205,1210和1215中的每一个都可以包括完全或主要来自单个用户的观测数据。对数据集合1205的分析可以检测更强的模式，并且类似的适用于对数据集合1210的分析和对数据集合1215的分析。发明人已经认识并理解，强模式对匹配相同性可能有用，即使安全系统不知道哪种模式属于哪个用户，甚至不知道哪些用户正在使用该账户。只要安全系统能够将来自数字交互的观测数据与三种模式中的一种匹配，安全系统就能够高度自信地推断出参与数字交互的实体与之前遇到的用户是同一用户。

应该理解的是，在图12的例子中使用账户标识符和设备标识符仅是出于举例说明的目的，这是因为本公开的各方面不限于使用锚值的任何特定组合来分割数据。在执行模式检测分析之前，可以使用任何一个或多个锚值(例如，账户标识符、设备标识符、网络地址、电子邮件地址、信用卡号码等)对数据进行分割。

图13示出了根据一些实施例的示例性数字交互1300A-D及相关的锚值。例如，可以通过同一账户和某个在线商家、银行等进行数字交互1300A-D。然而，这不是必需的，这是因为本公开的各方面不限于通过任何特定锚来分割数据。

在一些实施例中，数字交互1300A-D中的每个数字交互都可以与多个一级锚值相关联。可以通过任何合适的方式(例如，上文结合图2-5描述的方式)来确定这些锚值。例如，每个数字交互可以与设备标识符(图13的列1305示出)、信用卡号码(图13的列1310示出)、网络地址(图13的列1315示出)等相关联。为了简洁起见，文本标签“笔记本电脑”、“智能手机”和“平板电脑”用于表示设备标识符，文本标签“AmEx”和“Visa”用于表示信用卡号码。应该理解，设备标识符可以是任何合适的形式，例如MAC(媒体访问控制)地址。同样，信用卡号码可以是任何适合的形式，例如15-19位数字。

在一些实施例中，可为每个数字交互1300A-D存储一个或多个输入简档记录(IPR)。例如，可以存储分别用于数字交互1300A-D的IPR数组1320A-D。IPR可包括在数字交互期间从用户与设备之间的物理交互中获得的一个或多个测量值。例如，数组1320A中的IPR可以包括从数字交互1300A记录的击键、鼠标点击、指针位置、陀螺仪读数、加速度计读数、光传感器读数、压力传感器读数和/或噪声传感器读数序列以及相应的时间戳。

IPR可以包括在任何合适的时间量(例如，几秒、几分钟、10分钟、15分钟、30分钟、一小时等)期间获得的测量值。在一些实施例中，可以每分钟从数字交互中捕获大约60千字节的数据，这样跨越几分钟的IPR可能包含几百千字节的数据，而跨越一个小时的IPR可能包含几兆字节的数据。在一些实施例中，安全系统每年可接收并处理数十亿、数百亿、数千亿或数万亿次的IPR。因此，本文提供了用于有效存储和/或分析大量行为生物测定数据的技术。

测量值可以以任何合适的方式从数字交互中获取。作为一个例子，与数字交互有关的加载的网页可以包括编程web浏览器以与一个或多个传感器交互(例如，通过操作系统)以收集一个或多个测量值的软件。作为另一个例子，经由其进行数字交互的应用程序可以被编程为与一个或多个传感器交互(例如，通过操作系统)以收集一个或多个测量值。可以将所述一个或多个测量值发送到在线系统(例如，图1A中所示的示例性在线系统12或示例性在线系统13)，在线系统然后可以将一个或多个测量值报告给安全系统(例如，图1A中所示的示例性安全系统14)。可替换地或另外地，可以直接从用户设备(例如，图1A中示出的示例性用户设备11A-C中的一个)将一个或多个测量值发送到安全系统。

传感器的例子包括但不限于触摸屏、鼠标、键盘、陀螺仪、加速度计、网络接口等。传感器可以在用户设备上，或者可以是独立设备(例如，诸如智能手表或智能腕带的可穿戴设备)，独立设备被配置为将输出信号直接或间接地传输到用户设备，或者在通知用户设备或不向用户进行任何通知的情况下将输出信号直接或间接传输到在线系统。

可以从数字交互中获取的测量值的例子包括但不限于以下内容。

-键盘或触摸屏

ο按下速率、抬起速率、按下持续时间，按下之间的时间、按下速度、按键压力或触摸压力、抬起速度、抬起和按下之间的时序(一致或不一致)、按下和抬起之间的节奏、触摸或键入相关的键值之间的时间和节奏(例如，键入a和b之间的时间vs键入c和d之间的时间)，等。

ο压力、触摸或引起压力的物体的尺寸，尺寸的一致性(例如，检测多个触摸物体，例如多个手指与单个手指)、触摸物体的形状(例如，区分不同的触摸物体，检测在移动设备上打字的“左拇指右拇指”vs仅用一个手指打字等)等等。

-指针(例如，鼠标、触摸板、触摸屏等)

ο指针位置、鼠标点击、触摸手势、手势的类型和速度、轻扫、手势之间的时间、轻扫和/或鼠标点击等。

ο移动速度、方向和移动方向的改变，为移动而进行的触摸按压或按下按钮，移动中的压力的改变，触摸点的数量及相关参数，移动方向，移动频率，移动之间的时间，移动之间的时间的一致性，移动持续时间，移动持续时间的一致性等。

-设备

ο设备角度(例如，陀螺仪读数)、设备运动(例如，加速度计和/或陀螺仪读数)，

-其他传感器

ο灯光、噪声(例如麦克风)等。

在一些实施例中，安全系统可以对上述和/或其他测量值的任何组合进行分析，以确定活动的一致性、频率、时间等等，时间的改变等。例如，发明人已经认识并理解，可以通过检查从连续击键(例如，连续击键2,3,4次等)中获得的测量值来检测不同的打字模式(例如，快速地打常见字vs慢速但平稳地打数字)和/或不同打字模式之间的转换。因此，在一些实施例中，安全系统可以分析连续击键的三元组。例如，可以将一系列击键“abcdef”分解为四个三元组：“abc”，“bcd”，“cde”和“def”。对于每个三元组可以进行一个或多个以下测量：

-从第一次击键到最后一次击键的时间，

-键被按下的平均时间，

-击键之间的平均时间，

-按下键时间和抬起键时间之间的一致性(例如，从“a”到“b”的时间与从“b”到“c”的时间之间的偏差)

-等。

另外的或可选的，可以以特定速率对指针位置(例如，通过鼠标、触摸屏等形成的指针位置)进行采样，产生位置测量值的时间序列，并且可以检查这些测量值的三元组以识别用于相同性匹配的移动模式(例如，快速和急切vs慢速和稳定)。在一些实施例中，可以基于用户活动调整采样率。例如，可以在登录时使用高采样率，当在某个阈值时间量内没有观测到活动时可以使用低采样率，并且当观测到活动时可以再次使用高采样率。

在一些实施例中，可以以类似的方式分析利用指示笔进行的用户交互。指示笔可以配备有用于测量平移和/或旋转移动、书写表面上的压力、握持指示笔的一个或多个手指的位置和/或压力等的一个或多个传感器。可以对测量值的时间序列的三元组进行分析以识别用于相同性匹配的模式。

在一些实施例中，可以将用户界面元素(例如，按钮、菜单项、文本字段等)划分为多个区域(例如，四个象限、五个垂直条等)。安全系统可以使用例如如图6所示的示例性数据结构600来跟踪记录用户与每个区域交互的频繁程度。该信息可以用于相同性匹配。例如，如果过去登录账户显示是点击某个按钮的左侧，而当前登录显示是点击同一按钮的右侧，则可以触发附加分析以确定当前正在尝试登录的实体很可能是之前登录该账户的同一用户。

在一些实施例中，可以对不同类型的测量值一起进行分析以识别任何相关性。例如，即使快速打字移动设备也一点都没移动，这可能暗示机器人从固定设备按下按键序列。

在一些实施例中，安全系统可将环境测量值(例如，照明条件和/或噪声等级)划分到多个存储包中并且使用计数器来跟踪记录观测到来自某个存储包的任何测量值的次数。对于合法用户而言，可能在一段时间内(例如，在白天时间的一个或多个小时)期望会有不同的照明和/或噪声测量值。只有一个存储包一直被观测到可能暗示人工农场或机器人在实验室中操作。图14示出了根据一些实施例的多个示例性锚值和相应的数字交互流。例如，锚值可以包括图13中所示的一个或多个示例性锚值(例如，设备标识符“笔记本电脑”、“智能手机”、“平板电脑”等)。每个锚值可以与数字交互流相关联。例如，设备标识符“笔记本电脑”可以具有相关联的流1400，流1400可以包括图13所示的示例性数字交互1300A和1300C，并且信用卡号码“AmEx”可以具有相关联的流1405，流1405可以包括图13所示的示例性数字交互1300A和1300B。

在一些实施例中，流中的每个数字交互可以与相同性分数相关联，可以以任何合适的方式分配相同性分数。例如，相同性分数可以指示参与数字交互的实体是之前观测到的使用流的一级锚值的用户是同一用户的置信度水平。作为一个例子，可以将相同性分数95分配给流1400中的数字交互1300A，该相同性分数95指示参与数字交互1300A的实体与之前看到使用设备标识符“笔记本电脑”的用户是同一用户的置信度水平。作为另一个例子，可以将相同性分数98分配给流1405中的数字交互1300A，该相同性分数98指示参与数字交互1300A的实体与之前看到的使用信用卡号码“AmEx”的用户是同一用户的置信度水平。因此，同一数字交互(例如，1300A)可以与不同流中的不同相同性分数相关联。

在一些实施例中，如果存在出现在两个锚值的流中的数字交互，并且该数字交互在每个流中都被分配足够高的相同性分数，则安全系统可以链接两个锚值。例如，参照图14所示的例子，数字交互1300A出现在流1400和1405两者中，并且在两个流中都被分配高相同度分数(分别为95和98)。因此，安全系统可以链接设备标识符“笔记本电脑”和信用卡号码“AmEx”。安全系统可以使用任何合适的阈值来确定相同性分数是否高的足以证明链接两个锚值是正确的。例如，可以选择相同性分数阈值以达到期望的特指性水平(即，真负率)。

在一些实施例中，可以基于以下内容来链接多个锚值：

-已经在同一数字交互中多次(例如，至少三次)观测到锚值；

-长时间(例如，至少两周)在多次数字交互(例如，多次购买)中一起观测到锚值；

-无负面反馈；

-等。

在一些实施例中，锚值可以具有不同的分辨率。作为一个例子，可以基于多个设备特征(例如，品牌、型号、操作系统和版本等)来生成较高分辨率的设备指纹，以使得如果任何设备特征改变(例如，操作系统升级)则设备指纹也可以改变。另一方面，可以基于设备特征的子集(例如，仅品牌、型号和操作系统，没有操作系统的任何版本号)来生成较低分辨率的设备指纹。数字交互既可以出现在与较高分辨率设备指纹相关联的流中，也可以出现在与较低分辨率设备指纹相关联的流中。作为另一个例子，数字交互既可以出现在与特定MAC地址相关联的流中，也可以出现在与已经链接(例如，同一用户使用的两个移动电话)的一组MAC地址相关联的流中。

应该理解的是，尽管数字交互可以出现在多个流中，但是不需要对从该数字交互中获得的测量值进行复制。例如，在一些实施例中，对于流中的每个数字交互，每个流可以存储指向存储一个或多个测量值(例如，原始数据和/或派生数据)的位置的指针，而不是存储测量值本身。通过这种方式，可以使用较少的存储空间。

图15示出了根据一些实施例的可由安全系统执行以生成与锚值有关的数字交互的生物测定分数的示例性处理1500。例如，处理1500可用于生成与示例性锚值“笔记本电脑”有关的示例性数字交互1300A的生物测定分数，并且该生物测定分数可用于生成图14示出的例子中的相同性分数95。同样地，处理1500可用于生成与示例性锚值“AmEx”有关的示例性数字交互1300A的生物测定分数，并且该生物测定分数可用于生成图14示出的例子中的相同性分数98。

在动作1505，安全系统可以从当前数字交互中识别锚值X。这可以以任何合适的方式(例如，如结合图5的动作505所讨论的)完成。锚值X可以是任何合适的类型，例如，账户标识符、电子邮件地址、网络地址、设备标识符、信用卡号码等等。例如，锚值X可以是图14示出的示例性设备标识符“笔记本电脑”。

在动作1510，安全系统可以识别与锚值X相关联的一个或多个过去的数字交互。在一些实施例中，安全系统可以识别观测到锚值X的一个或多个过去的数字交互。例如，在图14所示的例子中，示例性数字交互1300A，1300C等可以与设备标识符“笔记本电脑”相关联。

发明人已经认识并理解，用户在不同的网站上的行为可能不同。因此，在一些实施例中，安全系统可以确定正在发生当前数字交互的网站，并且可以仅考虑通过该网站发生并且与锚值X相关联的过去的数字交互。

在动作1515，安全系统可以从在动作1510识别的那些过去的数字交互中选择一个或多个过去的数字交互以用于生成锚值X的简档。在一些实施例中，安全系统可以基于分配给过去数字交互的相同性分数选择一个或多个过去的数字交互。例如，在图14所示的例子中，在与设备标识符“笔记本电脑”相关联的流中，分配给示例性数字交互1300A和1300C的相同性分数分别为95和65。

发明人已经认识并理解，可能希望仅使用那些具有高相同性分数的过去的数字交互来生成简档，以便异常测量(例如，通过冒名顶替者或偶尔的合法用户(例如家庭成员)所获得的)可以不会污染简档。相应地，在一些实施例中，安全系统可以选择具有高于某个相同性分数阈值的相同性分数的一个或多个过去的数字交互。另外地或可选地，安全系统可以选择具有最高相同性分数的过去数字交互的特定阈值数量(例如，10个)。通过这种方式，只有当参与过去的数字交互的实体与之前观测到具有锚值X的实体是同一用户这一情况具有高置信度时，才可以使用过去的数字交互来生成锚X的简档。

发明人已经认识并理解，用户的习惯可能随时间而改变(例如，用户习惯于新的键盘或新的网站)。因此，去除非常过时的数字交互可能是有益的。另一方面，太新的数字交互可能不太可靠(例如，尚未检测到的部分新攻击)。因此，在一些实施例中，安全系统可以通过期望的时间窗口(例如，三天之前且四个月之后)选择一个或多个过去的数字交互。

应该理解的是，本公开的各方面不限于使用任何特定的选择标准或选择标准的组合。例如，在一些实施例中，安全系统可以从在期望的时间窗期间(例如，三天之前且四个月之后)进行的一组过去的数字交互中选择一定数量(例如，10个)的具有最高的相同性分数的数字交互。可替代地或附加地，安全系统可以从在期望的时间窗期间(例如，三天之前且四个月之后)期间进行的一组过去的数字交互中选择一定数量(例如，10个)的超过特定的相同性分数阈值的最新的数字交互。

发明人进一步认识并理解，当有更多历史数据可用时，相同性匹配可能更可靠。因此，在一些实施例中，安全系统可以确定在动作1515是否至少选择了阈值数量(例如，10个)的过去的数字交互。可以以任何合适的方式来选择阈值数量，例如，通过使用历史数据测试各种候选阈值数量并选择提供期望的可靠性等级的阈值数量。

如果在动作1515，识别出少于阈值数量的过去的数字交互，则安全系统可以结束过程1500。否则，安全系统可以继续使用在动作1515选择的过去的数字交互来生成锚值X的简档。例如，安全系统可以检索从在动作1515选择的过去的数字交互中获得的测量值并分析测量值以检测一个或多个模式。

在动作1525，安全系统可以将从当前数字交互中获得的测量值与在动作1515检测到的一个或多个模式进行比较，以生成生物测定分数。生物测定分数可以指示从当前数字交互中获得的测量值与在动作1515检测到的一个或多个模式相匹配的程度。

应该理解的是，图15示出的实现的细节和上文所述都是仅出于举例说明的目的。本公开的各方面不限于任何特定的实现方式。例如，在一些实施例中，在动作1515使用的用于选择过去的数字交互的相同性分数可以是过去的数字交互的生物测定分数并且可以使用与处理1500类似的过程生成。然而，这不是必需的，因为在一些实施例中，除了生物测定分数之外或者代替生物测定分数，还可以基于一个或多个其他类型的分数(例如，设备分数、位置分数、行为分数等)生成过去的数字交互的相同性分数。

在一些实施例中，可以在动作1505识别锚值的组合(例如，特定账户标识符和特定设备标识符)，而不是识别单个锚值。在动作1510识别的每个过去的数字交互可以与锚值的组合(例如，账户标识符和设备标识符)相关联。通过这种方式，如结合图12所示的例子所讨论的，可以基于锚值的组合而不是基于单个锚值来分割测量值。

在一些实施例中，可以重复处理1500以生成针对从当前数字交互中观测到的不同锚值的生物测定分数。这些生物测定分数可以以任何合适的方式组合。作为一个例子，可以使用加权求和加权最大值来组合生物测定分数，其中可以为每个锚值分配特定的权重。可以以任何合适的方式来选择权重，例如，通过在训练数据上测试权重的不同组合并调整权重以提高相同性匹配过程的可靠性的统计训练过程来选择权重。作为另一个例子，可以混合生物测定分数。例如，可以将组合分数计算为两个最高生物测定分数的加权和，其中最高分数可以具有较高权重(例如，60％)并且第二高分可以具有较低权重(例如，40％)。然而，应该理解的是，本公开的各方面不限于使用两个最高分数来进行混合，或者不限于权重的任何特定组合。可以使用任何合适的权重组合来混合任何合适数量的最高分数。

在一些实施例中，可以提前生成一个或多个常用简档并持续更新。通过这种方式，安全系统可以在动作1520首先检查最近是否生成了锚值X的简档，并且可以仅在没有缓存的简档或缓存的简档陈旧时才生成锚值X的新简档。

图16示出了根据一些实施例的可由安全系统执行以生成简档的示例性处理1600。例如，处理1600可由安全系统在图15所示的示例性处理1500的动作1520执行，以使用从具有高相同性分数的过去N次数字交互中获得的测量值来生成锚值X(或者锚值的组合，例如，特定账户标识符和特定设备标识符的组合)的简档。

在动作1605，安全系统可以确定是否存在要评估的属性。在一些实施例中，属性可以是可能要提问的关于数字交互的问题，并且该属性的值可以是对该问题的回答。作为一个例子，问题可能是“在用户名字段被点击和在用户名字段中录入的第一次击键之间经过了多长时间？”答案可以是基于在用户名字段中点击的时间戳和在该点击之后在用户名字段中的第一次击键的时间戳计算的值(例如，以秒或毫秒为单位)。作为另一个例子，问题可以是“第五次击键的持续时间是多久？”答案可以是基于第五次按下键的时间戳和随后释放按键的时间戳计算的值(例如以秒或毫秒为单位)。

发明人已经认识并理解，当随着时间的推移用户登录到某个网站并重复输入相同的密码时，对这些问题的答案可能变得高度一致。这些问题的答案对于类似的输入字段也可能高度一致。例如，即使当用户访问不同的网站时，用户也可以以类似的方式键入他的姓名，并且同样地适用于用户可以有规律的键入例如电子邮件地址、电话号码、家庭住址、社会安全号码等的任何其他情况。

在一些实施例中，安全系统可以基于正被分析的当前数字交互来识别待评估的属性。例如，参照图15所示的例子，安全系统可以确定正在计算生物测定分数的当前数字交互的类型。作为一个例子，如果当前数字交互包括登录尝试，则可以评估与用户如何键入密码有关的属性。作为另一个例子，如果当前数字交互是通过移动设备进行的，则可以评估与设备角度，设备移动等有关的属性。

在一些实施例中，安全系统可以处理从用户设备接收的原始数据以推导出属性值。例如，安全系统可以接收击键记录并且基于击键和对应的时间戳来回答感兴趣的问题。另外地或可选地，可以由用户设备(例如，通过在用户设备上运行的操作系统、应用程序和/或网络浏览器)执行一些计算。例如，用户设备可以通过以期望的采样率对模拟输出进行采样来离散传感器(例如，加速度计)的模拟输出。另外地或可选地，用户设备可以将具有第一采样率的第一数字输出转换为具有第二采样率的第二数字输出。在一些实施例中，第二采样率可以低于第一采样率，以使得从用户设备向安全系统传输的数据较少。

再次参照图16所示的例子，如果安全系统在动作1605识别出待评估的属性，则安全系统可以继续到动作1610以确定在动作1605识别出的属性的多个存储仓(bin)，其中每个存储仓可对应于属性的一组可能值。作为一个例子，如果属性具有数值(例如，加速度计读数)，则存储仓可以对应于一系列值。作为另一个例子，如果属性具有枚举值(例如，产品SKU)，则存储仓可以对应于一组相关值(例如，产品类别)。

发明人已经认识并理解，可以确定存储仓以实现准确性和效率之间的期望的平衡。例如，较多数量的存储仓可以提供更高的分辨率，但是可能要执行较多的计算来生成当前数字交互的生物测定分数，这可能导致更长的响应时间。相反，较少数量的存储仓可以缩短响应时间，但可能丢失更细微的区别。例如，如果按键的持续时间通常在200-400毫秒范围内，则每个100毫秒的存储仓可能太粗糙，并且可能导致属性值集中在少量存储仓中(例如，200-300毫秒和300-400毫秒)。可能难以区分通常在200-230毫秒范围内的冒名顶替者与通常在260-290毫秒范围内的用户，这是因为两者可能落入相同的100毫秒间隔内(例如，200-300毫秒)。通过使用较小的存储仓(例如，每10毫秒、每20毫秒或每50毫秒)，可以将冒名顶替者与用户区分开来。

本发明人已经认识并理解，与在一段时间内从锚值(或锚值的组合)获得的一致的测量值有关的属性在匹配相同性中可能是有用的。例如，如果用户几乎总是以某个角度握持他的设备，则可以将设备角度作为行为属性包括在简档中(例如，用户账户的标识符的简档，或账户标识符和用户设备标识符的组合的简档)。相反，如果通过设备角度测量值不能辨别出特定模式(例如，用户在不同时间以明显随机的方式以不同角度握持他的设备)，那么可以不将设备角度作为行为属性包括在简档中。

发明人已经进一步认识并理解，如果在一段时间内获得与属性相关的一致的测量值并且该测量值与从群体中获得的常规测量值充分不同，则该属性对于相同性匹配可能是有用的。例如，如果从与某个锚值(例如，某个设备标识符)相关的数字交互中始终观测到某个设备角度，并且该角度与通常从与相同类型的其他锚值(例如，相同类型的移动设备的其他设备标识符)相关的数字交互中观测到的角度不同，那么观测到数字交互中的该特殊角度可以使安全系统确信参与数字交互的实体确实是先前遇到的同一用户。因此，安全系统可以将设备角度包括在为该锚值生成的简档中。

相应地，在图16所示的例子中的动作1615，安全系统可以确定在动作1605识别的属性的质量度量。质量度量可以指示该属性对于匹配相同度的有用程度。例如，质量度量可以指示从具有锚值X的高相同性分数的N次过去的数字交互中获得的测量值是否一致，和/或这些测量值是否与从群体获得的常规测量值充分不同。

可以以任何合适的方式来确定质量度量。令A表示在动作1605识别的属性，并且令V₁,…,V_N表示来自具有锚值X(或锚值的组合)的高相同性分数的过去的N次数字交互的属性A的值。在一些实施例中，安全系统可以使用在动作1610确定的存储仓来由属性值V₁,…,V_N计算直方图。另外或可选地，安全系统可以生成分布曲线。例如，沿着x方向可以是存储仓，并且沿着y方向可以绘制落入每个存储仓中的值的数量。

在一些实施例中，可以调整存储仓以产生更平滑的曲线。例如，如果从第一存储仓到相邻的第二存储仓有大的跳跃，则可以使用更多数量的存储仓，其中每个存储仓可以变得更小。这会重新分配属性值并产生更平滑的曲线。然而，应该认识到，本公开的各方面不限于存储仓的动态调整。

在一些实施例中，可以使用高斯分布来近似属性值V₁,…,V_N的分布。例如，每个存储仓可以表示可能的结果，并且落入该存储仓的属性值的百分比可以被用作该可能结果的概率。可以相应地计算样本平均值μ和样本标准偏差σ，并且具有平均值μ和标准偏差σ的高斯分布可以用作近似值。然而，应该理解的是，本公开的各方面不限于使用高斯分布来近似属性值V₁,…,V_N的分布或任何的其他近似。在一些实施例中，多模态分布(例如，多个高斯分布的加权和)可用于更准确地近似属性值V₁,…,V_N的分布。

在一些实施例中，安全系统可以使用一种或多种上述技术为群体计算直方图和/或直方图的近似值。安全系统可以使用来自与合适群体相关联的过去的数字交互的属性A的值，而不是属性值V₁,…,V_N。例如，如果正在为某个设备标识符开发简档，则群体数据(population data)可以包括来自与同一类型的移动设备的其他设备标识符相关联的过去的数字交互的属性A的值。因此群体数据可以包括属性值的多重集合的集合的多重集合联合，其中每个多重集合对应于相应的设备标识符。安全系统可以使用群体数据利用同一个存储仓(和属性值V₁,…,V_N的存储仓相同)来计算直方图(例如，包括为了获得更平滑的曲线而对存储仓进行的任何调整)。此外或者可选地，安全系统可以使用群体数据来计算高斯分布的样本平均值M和样本标准偏差Σ并将其作为群体数据的近似值。

在一些实施例中，可以基于分别根据属性值V₁,…,V_N的直方图和群体数据的直方图生成的分布曲线来确定属性A的质量度量。例如，可以对分布曲线进行归一化，以使得每条曲线下的总区域的大小为1。然后可以将质量度量计算为第一区域和第二区域的和，其中第一区域在第一分布曲线(例如，从人口数据的直方图生成)之下而不是在第二分布曲线(例如，从属性值V₁,…,V_N的直方图生成)之下。发明人已经认识并理解，随着这两条分布曲线变得彼此更加相似，这两个区域会变小。因此，这两个区域的和可以适合作为质量度量。

图17A示出了根据一些实施例的示例性分布曲线1705A和1710A。例如，曲线1705A可以根据群体数据的直方图生成，而曲线1710A可以根据属性值V₁,…,V_N的直方图生成。在该例子中，曲线1710A可以是相对平坦的(例如，标准偏差σ较大)，这表示属性值V₁,…,V_N没有呈现出高度一致性(例如，用户在不同的时间以明显随机的方式以不同角度握持他的设备)。类似地，曲线1705A也可以是相对平坦的(例如，标准偏差Σ较大)，这表示群体数据也不具有高度的一致性(例如，这种类型的设备的用户以不同的角度握持他们的设备)。因此，在曲线1705A下方但不在曲线1710A下方的第一区域和在曲线1710A下方但不在曲线1705A下方的第二区域可能较小，这导致属性A的质量度量为低。

图17B示出了根据一些实施例的示例性分布曲线1705B和1710B。例如，曲线1705B可以根据人口数据的直方图生成，而曲线1710B可以根据属性值V₁,…,V_N的直方图生成。在该示例中，曲线1710B可以是相对平坦的(例如，标准偏差σ较大)，这表示属性值V₁,…,V_N没有呈现出高度一致性(例如，用户在不同的时间以明显随机的方式以不同角度握持他的设备)。然而，曲线1705B可具有明显的峰值(例如，标准偏差Σ较小)，这表示群体数据呈现出高度一致性(例如，这种类型的设备的用户以大致相同的角度握持他们的设备)。因此，在曲线1705B下方但不在曲线1710B下方的第一区域可能较大，而在曲线1710B下方但不在曲线1705B下方的第二区域可能较小，这导致属性A的质量度量为中等。

类似地，如果曲线1710B具有明显的峰值而曲线1705B相对平坦，则也可以获得中等的质量度量。

图17C示出了根据一些实施例的示例性分布曲线1705C和1710C。例如，曲线1705C可以根据群体数据的直方图生成，而曲线1710C可以根据属性值V₁,…,V_N的直方图生成。在该示例中，曲线1710C可以具有明显的峰值(例如，标准偏差σ较小)，这表示属性值V₁,…,V_N呈现出了高度一致性(例如，用户在不同时间以大致相同的角度握持他的设备)。类似地，曲线1705C也可以具有明显的峰值(例如，标准偏差Σ较小)，这表示群体数据表现出高度一致性(例如，这种类型的设备的用户以大致相同的角度握持他们的设备)。此外，曲线1705C的峰值和曲线1710C的峰值可彼此错开(例如，此用户将他的设备以与其他用户不同的角度握持他的设备)。因此，在曲线1705B下方但不在曲线1710B下方的第一区域和在曲线1710B下方但不在曲线1705B下方的第二区域都可能较大，从而导致属性A的质量度量为高。

另外地或可选地，可以基于属性值V₁,…,V_N的归一化的标准偏差来确定属性A的质量度量。例如，可以通过将样本标准偏差σ除以样本平均值μ来计算归一化的标准偏差。如果归一化的标准偏差低于选定的阈值，则安全系统可以确定属性值V₁,…,V_N是足够一致的。

另外地或可选地，可以基于样本平均值μ(属性值V₁,…,V_N的样本平均值)和样本平均值M(群体数据的样本平均值)之间的差异来确定属性A的质量度量。较大的差异可能会导致更高的质量度量。此外或者可选地，属性值V₁,…,V_N的较小的样本标准偏差σ和/或群体数据的较小的样本标准偏差Σ可以使品质因数较高。

发明人已经认识并理解，在一些情况下，可能无法获得样本平均值和样本标准偏差(例如，在属性是有序或分类变量的情况下)。因此，在一些实施例中，可以使用频率进程来产生单向至n向频率交叉表，以将属性值V₁,…,V_N与群体数据进行比较。例如，可以创建鼠标速度(例如，慢、平均、快、非常快等)和打字速度(例如，慢、平均、快、非常快等)的顺序属性值的双向频率交叉表，以查看每个部分中落入有多少观测数据(例如，鼠标速度快，但是平均打字速度慢)。发明人已经认识并理解，交叉表可以显示两个属性之间有趣的相关性。可以针对某个锚值、锚值的某个组合和/或群体(例如，通过某种类型的设备在某个网站上的所有数字交互)来观测这种相关性。通过这种方式，安全系统可以能够确定是否出现针对某种锚值或锚值的某种组合的任何模式，和/或该模式与群体数据相比是否异常。

另外的或者可选的，对于n>2的n向表来说，可以执行分层分析。作为一个例子，网络服务器可以收到来自全球各地的登录请求。除非这些请求按地点(例如，时区)分层，否则一天中的时间和登录次数之间可能没有明显关系。作为另一个例子，来自IE浏览器的某个帐户的登录请求比来自Chrome浏览器的登录请求可能要更经常。但是，如果按照时间对这种登录请求进行分层，就可能会了解白天的登录请求往往来自IE浏览器(例如，工作计算机)，而夜间登录请求往往来自Chrome浏览器(例如，家庭计算机)。

因此，在一些实施例中，可以将观测数据分为不同的层。可以计算一个或多个层中的统计数据以检测属性之间的相关性。例如，在一些实施例中，可以通过基于一个或多个背景变量(例如，一天中的时间，设备标识符等)的分层来控制一个或多个背景变量的潜在影响。

在图16所示的例子中，在已经在动作1615确定了属性A的质量度量之后，安全系统可以返回到步骤1605以确定是否存在要评估的另一个属性。如果确定没有更多属性要被评估，则安全系统可以继续动作1620以选择将被包括在锚值X(或锚值的组合)的简档中的一个或多个属性。

在一些实施例中，安全系统可以选择具有高于选定阈值的质量度量值的一个或多个属性。另外地或可选地，安全系统可以选择具有最高质量度量值的特定阈值数量(例如，10个)的属性。通过这种方式，锚值X(或者锚值的组合)的简档可以仅包括在一段时间内从与锚值X(或者锚值的组合)相关联的数字交互中获得一致的测量值的属性，并且该测量值与从群体中获得的常规测量值充分不同。

在一些实施例中，安全系统可以在简档中存储与在动作1620选择的一个或多个属性有关的锚值X(或锚值的组合)的信息。可以存储任何合适的信息，包括但不限于，质量度量、属性值、直方图、样本均值、样本标准偏差等。

图18示出了根据一些实施例的可由安全系统执行以确定数字交互的生物测定分数的示例性处理1800。例如，处理1800可以由安全系统在图15所示的示例性处理1500的动作1525执行，以将从当前数字交互中获得的一个或多个测量值与锚值X(或者锚值的组合，例如某个账户标识符和某个设备标识符的组合)的简档进行比较。生物测定分数可以指示从当前数字交互获得的一个或多个测量值与简档的一个或多个模式匹配的程度。

在一些实施例中，锚值X(或锚值的组合)的简档可以包括关于一个或多个属性(例如，如使用图16所示的示例性处理1600选择的属性)的信息。在图18所示的示例性处理1800的动作1805，安全系统可以识别来自简档的要评估的属性。在动作1810，安全系统可以确定在动作1805识别出的针对当前数字交互的属性的值。例如，在一些实施例中，安全系统可以使用从当前数字交互中获得的一个或多个测量值(例如，具有相应时间戳的记录击键序列)以回答与在动作1805识别的属性相关联的问题(例如“第五次击键的持续时间是多少？”)。

在动作1815，安全系统可以将在动作1810确定的属性值与存储在简档中的一个或多个模式进行比较。例如，在一些实施例中，安全系统可以将属性值与存储在简档中的平均值和标准偏差进行比较。如果属性值偏离平均值的量至多为标准偏差的一些选定倍数(例如，1.96个标准偏差)，那么可以将该属性值视为在预期模式内。可以以任何合适的方式来选择标准偏差阈值，例如，通过构建期望百分比(例如95％)的置信区间。

另外地或可选地，可以将置信度分配给属性值。例如，如果属性值接近平均值，则可以分配较高的置信度，而如果属性值远离平均值，则可以分配较低的置信度。通过这种方式，如果属性值接近标准偏差阈值(例如，与平均值有1.96个标准偏差)而没有超过阈值，则可以将该属性值视为在预期模式内，但可以为其分配低置信度。

在一些实施例中，无法从简档中获得平均值和标准偏差。例如，属性可能是有序或分类变量，并且安全系统可以从简档中检索直方图。例如，如以上结合图16所讨论的，所述直方图可能已经基于从与锚值X(或锚值的组合)相关联的过去的数字交互中观测到的属性的值生成。安全系统可以确定属性值落入其中的存储仓，并且可以基于直方图中存储仓的频率为属性值分配置信度。在一些实施例中，除了基于平均值和标准偏差的方法之外或者代替该方法，还可以使用这种基于直方图的方法。

在动作1820，安全系统可以确定是否存在要评估的另一个属性。如果确定存在要评估的另一个属性，则安全系统可以返回到动作1805以识别来自简档的属性。如果确定已经评估了来自简档的所有属性，则安全系统可以继续动作1825以确定锚值X(或锚值的组合)的生物测定分数。

在一些实施例中，可以基于在动作1815确定的锚值X(或锚值的组合)的简档中的一个或多个属性确定的置信度来确定生物测定分数。作为一个例子，可以使用加权求和加权最大值来组合置信度，其中可以为每个属性分配特定值重。可以以任何合适的方式来选择权重，例如，通过在训练数据上测试权重的不同组合并调整权重以提高相同性匹配过程的可靠性的统计训练过程来选择权重。作为另一个例子，可以混合置信度。例如，可以将生物测定分数计算为两个最高置信度的加权和，其中最高置信度可以具有较高权重(例如，60％)并且第二最高置信度可以具有较低权重(例如，40％)。然而，应该理解的是，本公开的各方面不限于使用两个最高置信度来进行混合，或者不限于权重的任何特定组合。可以使用任何合适的权重组合来混合任何合适数量的最高置信度。

图19示出了根据一些实施例的可由安全系统使用以计算数字交互的最终分数的示例性处理1900。可以以任何合适的方式使用该最终分数。例如，可以将最终分数与生物测定分数(例如，如使用图18所示的示例性处理1800所确定的)相结合以获得总体相同性分数。可以以任何合适的方式组合分数。例如，可以使用混合算法，例如以下。

总体相同性得分＝min(1，(sqrt(生物测定分数)*0.55+sqrt(最终分数)*0.45))

在动作1905，安全系统可以计算数字交互的位置分数。在一些实施例中，位置分数可以指示位置与进行数字交互的账户之间的关联程度。可以以任何合适的方式来表示位置，例如，使用网络地址、邮政地址(例如，门牌号、街道、城市、州和/或国家)、GPS坐标等来表示位置。

在一些实施例中，可以考虑位置的不同方面。例如，网络地址可以包括以下几个方面：

-IP地址(a.b.c.d)

-IP子网(a.b.c)

-互联网服务提供商(ISP)

安全系统可以为每个方面分配分数，例如，安全系统可以基于该方面的锚值与进行数字交互的特定账户相关联的频繁程度来分配分数。在一些实施例中，安全系统可以对在某个时间段(例如，上周、上一个月、上三个月等)锚值与特定账户相关联的次数，并且可以将该数字乘以10％，并将结果以百分数表示。因此，如果在过去一个月内查看到5次IP地址a.b.c.d和账户，则IP地址可以得到的分数为50％。

另外地或可选地，安全系统可以考虑锚值的历史的长度和/或性质。例如，如果锚值与特定账户具有较长的历史记录(例如，相对于在过去五天内一起看到五次来说，在过去五个月中一起看到五次)，则可以为给锚值分配较高分数。另外地或可替代地，如果锚值具有指示为可信赖的一种或多种类型的交易的历史(例如，相对于没有值附加到任何数字交互来说，五个数字交互中的每一个都包括确认的金融交易)，则可以为给锚值分配较高分数。

在一些实施例中，安全系统可以针对不同方面对获得的分数进行缩放。缩放因子的任何合适组合都可以使用，例如，IP地址为100％、IP子网为35％、ISP为40％等。然后可以将这些分数中的最大值或混合值作为获得的位置分数。

在动作1910，安全系统可以使用结合动作1905描述的任何一种或多种技术来计算数字交互的设备分数。在一些实施例中，设备分数可以指示设备与进行数字交互的账户之间的关联程度。可以以任何合适的方式来表示设备，例如，可以使用设备标识符(例如MAC地址)、设备指纹、一个或多个设备特性(例如，操作系统、浏览器等)等来表示设备。缩放因子的任何合适组合都可以使用，例如，设备标识符为100％，设备指纹为80％，设备特定为35％等。

在动作1915，安全系统可以使用例如上面结合图4描述的一种或多示例性技术来计算从数字交互观测到的一个或多个锚值的关联分数。

在一些实施例中，可以分别基于在动作1905,1910和1915计算的位置、设备和关联分数来确定最终分数。作为一个例子，可以使用加权求和加权最大值来对位置、设备和关联分数进行组合，其中可以为每个分数分配特定权重。可以以任何合适的方式来选择权重，例如，通过在训练数据上测试权重的不同组合并调整权重以提高相同性匹配过程的可靠性的统计训练过程来选择权重。作为另一个例子，可以混合位置、设备和关联分数。例如，可以将最终分数计算为两个最高分数的加权和，其中最高分数可以具有较高权重(例如，60％)，并且第二最高分数可以具有较低权重(例如，40％)。然而，应该理解的是，本公开的各方面不限于使用两个最高分数来进行混合，也不限于权重的任何特定组合。可以使用任何合适的权重组合来混合任何合适数量的最高分数。

发明人已经认识并理解，一些行为分析系统侧重于识别出并停用受损账户。在一些实施例中，除了仅识别出受损账户之外或者代替仅识别出受损账户，本文提供的一种或多种技术可用于识别可信用户。例如，本文提供的一种或多种技术可用于确定某个观测数据是增加了还是降低了用户被信任的置信度。在一些实施例中，可以测量用户的行为模式，并且当该行为模式落在某个期望标准(例如，根据可信用户的行为简档构建的一些期望的行为模式集合)之外时，可以发出警报提醒。

根据一些实施例，提供了一种当实体与网站或应用程序交互时监视和记录一个或多个行为的系统。该系统可能不知道实体是人类用户还是机器人，该系统可能只是将观测到的行为与锚值关联起来。锚值可以包括一条或多条信息的任何合适的组合，所述信息包括但不限于IP地址、姓名、账户ID、电子邮件地址、设备ID、设备指纹、用户ID和/或散列的信用卡号码。

在一些实施例中，可以生成行为简档并将其与锚值相关联。行为简档可以包括涉及用户与网站或应用程序交互的一个或多个方面的任何合适的信息。交互的例子包括但不限于开设账户、检查电子邮件、进行购买等。例如，行为简档可以包括指示用户的一种或多种习惯的属性信息。这样的属性信息的例子包括但不限于打字速度、导航模式、鼠标跟踪、手势跟踪、设备偏好、设备角度和/或设备运动。

在一些实施例中，每当用户与某个网站或应用程序交互时，都可以捕获一个或多个行为，并且用户的行为简档中的一条或多条属性信息可以相应地更新。例如，除了记录属性的最新的值之外或代替记录属性的最新的值，还可以计算并记录移动平均值。通过这种方式，除了与当前交互相关的行为之外，还可以观测历史模式。例如，可以将观测到的一个或多个行为编译成与锚值相关联的虚拟指纹。

在一些实施例中，用户验证和用户识别可以作为单独的过程来执行。例如，用户识别过程可以执行为回答问题“这个用户是谁？”。相反，用户验证过程可以执行为回答问题“这个用户是他声称是他的用户？”

发明人已经认识并理解，一些现有的基于用户的安全系统依靠密码验证来肯定地识别用户。例如，系统可以提示用户输入用户名和密码，并且只有当用户名和密码组合与先前建立的证书组相匹配时，才可以授予对网站或应用程序的访问权。发明人已经认识并理解，在恶意用户以某种方式获得合法用户的用户名和密码并尝试使用盗窃的凭证登录的情况下，这样的机制可能不是有效的。因此，仅用户名和密码组合可能不会提供可靠的识别。

除了验证用户名和密码的组合之外或者代替验证用户名和密码的组合，某些安全系统还提供了一层用户验证。用户验证技术的非限制性示例包括：

-CAPTCHA挑战(例如，计算机难以识别的混乱和/或被扭曲的文本，但人类阅读相对容易)以验证实体是人而不是旨在模拟人的计算机程序。

-基于知识的认证(KBA)问题，用户知道答案(例如，“你母亲的婚前名是什么？”或“你的三年级老师的名字是什么？”)

-IP地理定位检查以识别进行连接的实体所在的国家或地区。

-仅为特定用户生成的多因素身份验证(MFA)令牌(例如，唯一的文本字符串)，例如，通过如钥匙串表链或独立应用程序这样的外围设备。

尽管上面列出的技术在某些情况下可能是有效的，但是发明人已经认识并理解到这些技术的一些缺点。例如，上述技术可能需要用户积极参与(例如，通过提供一条信息)，并且用户因此可能知道他正在受到挑战。此外，在某些情况下，合法用户可能无法成功完成挑战。例如，用户可能无法阅读CAPTCHA挑战、忘记基于知识的验证答案、在典型国家或地区之外旅行、或无法访问多因素身份验证令牌。

因此，在一些实施例中，提供了不需要用户主动执行验证任务的用户验证技术。例如，可以对用户的一个或多个属性进行测量和分析，而用户不知道他的身份正在被验证。这样的验证对于用户而言可能较不繁琐，因为用户可能不需要记住或掌握特定的信息片段(例如，基于知识的认证回答或多因素认证令牌)，或者执行具有挑战性的任务(例如，读取CAPTCHA或键入随机生成的文本字符串)。这样的验证也可能更安全，因为攻击者伪造属性值可能比窃取和转发诸如基于知识的验证回答等信息或多因素验证令牌更难。

在一些实施例中，安全系统可通过测量和分析行为属性来执行被动用户验证，所述行为属性包括但不限于打字节奏、鼠标节奏和/或行为“抽搐(tics)”。

在一些实施例中，安全系统可通过测量键被按下之间的延迟来分析用户的打字节奏。例如，发明人已经认识并理解，当键入熟悉的内容时，例如用户名或密码，用户可能倾向于使用相同的节奏或模式。举例来说，对于用户名“soccerfan86”，用户可能在“soccer”和“fan”之间具有特征延迟，或者当用户将他的手指从定位行键入位置(例如，“JKL；”，用于QWERTY键盘上的右手)移开以键入“86”时会出现暂停。

发明人已经认识并理解，用户移动他的鼠标的方式也可以用作行为属性。在一些实施例中，安全系统可以通过测量鼠标加速度和/或速度来分析用户的鼠标节奏。对于触摸事件(例如，在具有触摸屏的设备上)可以进行类似的测量。另外地或可选地，可以使用加速度计数据和/或指针位置。

发明人已经进一步认识并理解，用户可以一贯地参与一些可测量的行为(有意或无意)，从而该行为可用于识别用户。例如：

-有些用户双击只需要单击的链接或按钮。

-有些用户在等待页面加载时，不自觉地以特定模式移动光标。

-有些用户使用Tab键在文本字段之间移动，而其他用户可能使用鼠标点击。

-有些用户可能喜欢在密码中使用特定的特殊字符(例如，“％”或“&”或“#”)，因此可能会因熟悉按键组合而在键入这些字符时更快。

-有些用户可以以高精度快速输入，因此不经常使用退格键。

在一些实施例中，安全系统可以在特定网页(例如，登录页面)或移动设备应用程序的屏幕(例如，登录屏幕)上运行一段软件以收集上文描述的任何一个或多个数据点。这可以在通知或不通知用户的情况下完成。软件可以用任何合适的语言编写，包括但不限于JavaScript。

在一些实施例中，可以收集用户在同一网站或应用程序的多次登录、和/或在多个网站和/或应用程序的如上面所讨论的数据点。收集的数据点可以用于生成指示该用户的一个或多个预期行为的行为简档。可以为与用户相关联的锚值(例如，账户ID、设备ID等)建立行为简档。在一些实施例中，可以不提醒用户收集该数据，以避免用户因为知道他正在被监视而有意识地或潜意识地改变他的行为。这可以提高得到的行为简档的质量。然而，本公开的各方面不限于以用户透明的方式收集数据，如在一些实施例中可以使用户知道数据收集。

在一些实施例中，安全系统可以在实体声称是特定用户的当前交互期间收集诸如上面讨论的那些数据点。可以对收集的数据点进行分析并将其与指示该用户的一个或多个预期行为(例如，针对与该用户相关联的锚值建立的行为简档)的行为简档进行比较。例如，可以使用在与该用户的先前交互(例如，观测到锚值的先前交互)期间收集的数据点来生成行为简档。如果在当前交互期间收集的数据点与行为简档相匹配，则可以认为验证已成功完成。否则，安全系统可以确定要采取的一个或多个动作，包括但不限于提示该实体参与主动验证任务。

图20示意性地示出了可以在其上实现本公开的任何方面的示例性计算机10000。在图20所示的实施例中，计算机10000包括具有一个或多个处理器的处理单元10001以及可以包括例如易失性和/或非易失性存储器的非暂时性计算机可读存储介质10002。存储器10002可以存储用于对处理单元10001进行编程以执行本文描述的任何功能的一个或多个指令。除了系统存储器10002之外，计算机10000还可以包括其他类型的非暂时性计算机可读介质，例如，存储器10005(例如，一个或多个磁盘驱动器)。存储器10005还可以存储一个或多个应用程序和/或应用程序使用的外部组件(例如，软件库)，可以将所述一个或多个应用程序和/或外部组件加载到存储器10002中。

计算机10000可以具有一个或多个输入设备和/或输出设备，例如图20中所示的设备10006和10007。除了其他以外，这些设备还可用于呈现用户界面。可用于提供用户界面的输出设备的例子包括用于输出的视觉呈现的打印机或显示屏和用于输出的听觉呈现的扬声器和其他声音生成设备。可用于用户界面的输入设备的例子包括键盘和定点设备(例如，鼠标、触摸板和数字化平板电脑)。作为另一个例子，输入设备10007可以包括用于捕获音频信号的麦克风，并且输出设备10006可以包括用于可视化呈现的显示屏和/或用于可听地呈现识别的文本的扬声器。

如图20所示，计算机10000还可以包括一个或多个网络接口(例如，网络接口10010)以实现经由各个网络(例如，网络10020)的通信。网络的例子包括局域网或广域网，例如企业网络或因特网。该网络可以基于任何合适的技术并且可以根据任何合适的协议来操作，并且可以包括无线网络、有线网络或光纤网络。

已经如此描述了至少一个实施例的若干方面，应该理解，本领域技术人员将容易想到各种改变，修改和改进。这样的改变、修改和改进意图在于均落入本公开的精神和范围内。因此，前面的描述和附图仅作为示例。

本公开的上述实施例可以以多种方式中的任何一种来实现。例如，实施例可以使用硬件、软件或其组合来实现。当以软件实现时，软件代码可以在任何合适的处理器或处理器集合上执行，不管处理器是设置在单个计算机中还是分布在多个计算机中。

而且，本文概述的各种方法或过程可被编码为可在采用各种操作系统或平台中的任何一种的一个或多个处理器上执行的软件。此外，可以使用多种合适的编程语言和/或编程或脚本工具中的任何一种来编写这样的软件，并且还可以将这样的软件编译为在架构或虚拟机上执行的可执行机器语言代码或中间代码。

就这方面而言，本文公开的概念可以体现为非暂时性计算机可读介质(或多个计算机可读介质)(例如，计算机存储器、一个或多个软盘、压缩磁盘、光盘、磁带、闪速存储器、现场可编程门阵列或其他半导体装置中的电路配置、或其他非瞬态有形计算机存储介质)，利用一个或多个程序对该非暂时性计算机可读介质进行编码，当在一个或多个计算机或其他处理器上执行该程序时执行实现以上讨论的本公开的各种实施例。计算机可读介质或媒体可以是可移动的，使得其上存储的一个或多个程序可以被加载到一个或多个不同的计算机或其他处理器上，以实现如上所述的本公开的各个方面。

术语“程序”或“软件”在本文中用于指代可用于对计算机或其他处理器进行编程以实现如上所述的本公开的各个方面的任何类型的计算机代码或计算机可执行指令集。此外，应该认识到，根据该实施例的一个方面，当被执行时执行本公开的方法的一个或多个计算机程序不需要驻留在单个计算机或处理器上，而是可以以模块化方式分布在多个用于实现本公开的各个方面的不同计算机或处理器上。

计算机可执行指令可以有许多形式，例如，由一个或多个计算机或其他设备执行的程序模块。通常，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。通常，程序模块的功能可以根据需要在各种实施例中组合或分布。

同样的，数据结构可以以任何合适的形式存储在计算机可读介质中。为了简化说明，将数据结构示出为具有通过数据结构中的位置相关联的字段。这种关系同样可以通过在传送字段之间的关系的计算机可读介质中为位置字段分配存储空间来实现。然而，可以使用任何合适的机制(包括通过使用建立数据元素之间关系的指针、标签或其他机制)来建立数据结构的字段中的信息之间的关系。

本公开的各个特征和方面可以单独使用、以两种或更多种的任何组合使用、或者在前面描述的实施例中未具体讨论的各种布置中使用，因此本公开的各个特征和方面不限于其应用于前面的说明中提出或附图中示出的组件的细节和布置。例如，可以以任何方式将在一个实施例中描述的方面与其他实施例中描述的方面相组合。

而且，本文公开的概念可以体现为已经提供的示例性的方法。作为该方法的一部分执行的动作可以以任何合适的方式排序。因此，可以构造其中以不同于示出的顺序执行动作的实施例，其可以包括同时执行一些动作，即使在示例性实施例中示出为顺序的执行动作。

在权利要求中使用的用于限定权利要素的诸如“第一”、“第二”、“第三”等序数术语本身并不意味着一个权利要求要素相对于另一权利要求要素的优先权、优先级或顺序，也不意味着方法的动作执行的时间顺序，而是上述序数术语只是用作标记，以将具有某个名称的权利要素和具有相同名称的另一个权利要(但是使用了序数术语)素区分开来，从而达到区分权利要求要素的目的。

而且，本文使用的措辞和术语是为了描述的目的，而不应该被认为是限制性的。“包括”、“包含”、“具有”、“含有”、“涉及”及其变化形式的使用意在涵盖其后列出的项目及其等同物以及附加项目。

Claims (33)

1.一种计算机实现的用于分析第一数字交互的方法，所述方法包括以下动作：

从所述第一数字交互中识别多个一级锚值，其中所述多个一级锚值包括一级锚值X和Y；

访问所述一级锚值X的简档，其中：

所述一级锚值X的简档包括多组二级锚值；以及

所述多组二级锚值中的每一组对应于相应的锚类型并且包括该锚类型的一个或多个二级锚值；

确定所述一级锚值X和Y的关联程度，包括：

确定一级锚值Y是否作为所述一级锚值X的简档中的一组二级锚值中的二级锚值而出现；以及

响应于确定所述一级锚值Y作为所述一级锚值X的简档中的一组二级锚值中的二级锚值而出现，使用存储在所述一级锚值X的简档中的信息来确定先前从与所述一级锚值X相同的数字交互中观测到所述一级锚值Y的频率；以及

至少部分地基于所述一级锚值X和Y的关联程度，生成指示所述多个一级锚值的关联程度的关联分数。

2.根据权利要求1所述的计算机实现的方法，还包括以下动作：

访问所述一级锚值Y的简档，其中：

所述一级锚值Y的简档包括多组二级锚值；

多组二级锚值中的每一组对应于相应的锚类型并且包括对应的锚类型的一个或多个二级锚值；以及

确定所述一级锚值X和Y的关联程度还包括：

确定所述一级锚值X是否作为所述一级锚值Y的简档中的一组二级锚值中的二级锚值而出现；以及

响应于确定所述一级锚值X作为所述一级锚值Y的简档中的一组二级锚值中的二级锚值出现，使用存储在所述一级锚值Y的简档中的信息来确定先前从与所述一级锚值Y相同的数字交互中观测到所述一级锚值X的频率。

3.根据权利要求1所述的计算机实现的方法，其中，基于针对所述多个一级锚值的每对一级锚值X和Y来说所述一阶锚值X和Y的关联程度，生成指示所述多个一级锚值的关联程度的所述关联分数。

4.根据权利要求1所述的计算机实现的方法，其中，对于所述一级锚值X的简档中的至少一组二级锚值：

所述一级锚值X的简档存储用于至少一组二级锚值中的每个二级锚值Z的计数器C[Z]，所述计数器C[Z]指示在一段选定的时间间隔内从与所述一级锚值X相同的数字交互中观测到所述二级锚值Z的次数。

5.根据权利要求4所述的计算机实现的方法，其中：

所述一级锚值Y作为所述一级锚值X的简档中的至少一组二级锚值中二级锚值而出现；以及

确定先前从与所述一级锚值X相同的数字交互中观测到一级锚值Y的频率包括：将计数器C[Y]与所述至少一组二级锚值中的所有二级锚值的计数器C[Z]的最大值进行比较。

6.根据权利要求4所述的计算机实现的方法，其中，所述计数器C[Z]包括第一计数器C₁[Z]，并且所述选定的时间间隔包括第一时间间隔，并且其中：

所述一级锚值X的简档还存储用于所述至少一组二级锚值中的每个二级锚值Z的第二计数器C₂[Z]，所述第二计数器C₂[Z]指示在第二时间间隔内从与所述一级锚值X相同的数字交互中观测到所述二级锚值Z的次数，所述第二时间间隔不同于所述第一时间间隔。

7.根据权利要求6所述的计算机实现的方法，其中，所述第一和第二时间间隔是相同长度的非重叠时间间隔。

8.一种用于提供锚值的简档的计算机实现的方法，包括以下动作：

在不同的时间点检测多个数字交互；

对于所述多个数字交互中的每个数字交互：

从所述数字交互中识别锚类型T的锚值X；以及

更新所述锚值X的简档，其中：

所述锚值X的简档包括多个计数器C[i，j](i＝0，...，M-1；j＝0，...，N_i-1)；

对于每个i＝0，...，M-1和j＝0，...，N_i-1，所述计数器C[i，j]指示在时间间隔I_i,j期间观测到事件E的次数；以及

更新所述锚值X的简档包括：

分析所述数字交互以确定是否观测到与所述数字交互相关的事件Z；以及

响应于确定观测到与所述数字交互相关的所述事件Z，对于每个i＝0，...，M-1，递增计数器C[i，0]。

9.根据权利要求8所述的计算机实现的方法，其中：

时间间隔I_0,j(j＝0,…,N₀-1)是5分钟的时间间隔，并且N₀＝12；

时间间隔I_1,j(j＝0,…,N₁-1)是一小时的时间间隔，并且N₁＝24；以及

时间间隔I_2,j(j＝0,…,N₂-1)是一天的时间间隔，并且N₂＝14。

10.根据权利要求8所述的计算机实现的方法，其中：

对于每个i＝0,..,M-1，时间间隔I_i,j(j＝0,…,N_i-1)具有相同的长度L_i。

11.根据权利要求10所述的计算机实现的方法，其中：

对于每个i＝0,..,M-2，L_i+1＝N_i*L_i。

12.根据权利要求10所述的计算机实现的方法，还包括以下动作：

对于每个i＝0，...，M-1，周期性地移位计数器C[i,j](j＝0,…,N_i-1)，其中：

移位计数器C[i,j](j＝0,…,N_i-1)的周期为L_i，

移动计数器C[i,j](j＝0,…,N_i-1)包括：

对于每个j＝0,…,N_i-2，将计数器C[i,j+1]设置为计数器所述C[i,j]的值；以及

将计数器C[i,0]设置为0。

13.根据权利要求8所述的计算机实现的方法，其中：

确定是否观测到与所述数字交互相关的事件E包括确定是否从所述数字交互中观测到所述锚值X和锚值Y两者。

14.根据权利要求8所述的计算机实现的方法，其中：

将相同锚类型的多个锚值划分到多个锚值存储包中；以及

确定是否观测到与所述数字交互相关的事件E包括：确定是否从所述数字交互中观测到锚值X和来自存储包B的任何锚值。

15.根据权利要求14所述的计算机实现的方法，其中：

至少部分地通过对所述多个锚值应用散列模运算操作来将所述多个锚值划分到所述多个锚值存储包中。

16.根据权利要求14所述的计算机实现的方法，其中：

所述多个锚值包括多个网络地址；

所述多个锚值存储包包括多个网络地址存储包；以及

至少部分地通过对所述多个网络地址应用散列模运算操作来将所述多个网络地址划分到所述多个网络地址存储包中。

17.一种用于分析数字交互的计算机实现的方法，所述方法包括以下动作：

从所述数字交互中识别锚值X；

在所述数字交互的记录中识别与所述锚值的锚类型T相关联的数据结构，其中，将所述锚类型T的多个锚值划分到多个锚值存储包中；

识别所述多个锚值存储包的存储包B，其中所述锚值X落入所述存储包B中；

对与所述锚类型T相关联的数据结构进行操作，以指示已经观测到与所述数字交互相关的来自存储包B的至少一个锚值；

在与所述锚类型T相关联的所述数据结构中查找所述锚值X，以确定所述锚值X是否已经存储在与所述锚类型T相关联的数据结构中；以及

响应于确定所述锚值X未存储在与所述锚类型T相关联的数据结构中，将所述锚值X存储在与所述锚类型T相关联的数据结构中。

18.根据权利要求17所述的计算机实现的方法，其中：

至少部分地通过对所述锚类型T的所述多个锚值应用散列模运算操作来将所述锚类型T的所述多个锚值划分到多个锚值存储包中。

19.根据权利要求18所述的计算机实现的方法，其中：

所述散列模运算操作将所述锚类型T的所述多个锚值划分到M个存储包中；

与所述锚类型T相关联的所述数据结构包括M比特值，其中，M比特值的每个比特对应于M个存储包中的相应的存储包；以及

对与所述锚类型T相关联的所述数据结构进行操作以指示已经观测到与所述数字交互相关的来自所述存储包B的至少一个锚值，其包括：将所述M比特值的比特设置为1，所述比特对应于存储包B。

20.根据权利要求17所述的计算机实现的方法，其中：

与所述锚类型T相关联的所述数据结构被配置为存储所述锚类型T的N个不同的锚值。

21.根据权利要求20所述的计算机实现的方法，还包括以下动作：

确定所述N个不同的锚值是否已经存储在与所述锚类型T相关联的数据结构中，其中：

响应于确定在与所述锚类型T相关联的数据结构中已经存储的不同的锚值少于N个，而将所述锚值X存储在与所述锚类型T相关联的所述数据结构中。

22.根据权利要求20所述的计算机实现的方法，其中：

如果N个不同的锚值存储在与所述锚类型T相关联的所述数据结构中，则用锚值X替换与所述锚类型T相关联的所述数据结构中的最旧的锚值。

23.根据权利要求20所述的计算机实现的方法，还包括以下动作：

确定所述N个不同的锚值是否已经存储在与所述锚类型T相关联的所述数据结构中；以及

确定所述锚值X是否具有比存储在于所述锚类型T相关联的所述数据结构中的至少一个锚值更高的作用，其中：

响应于确定所述N个不同的锚值已经存储在与所述锚类型T相关联的所述数据结构中，但是所述锚值X比存储在与所述锚类型T相关联的所述数据结构中的至少一个锚值更有用，而将所述锚值X存储到与所述锚类型T相关联的所述数据结构中；以及

用所述锚值X替换与所述锚类型T相关联的所述数据结构中的最没用的锚值。

24.根据权利要求17所述的计算机实现的方法，其中：

所述数字交互的记录包括分别与多个锚类型相关联的多个数据结构；以及

对于所述多个锚类型中的每个锚类型，与那个锚类型相关联的数据结构存储该锚类型的多个不同的锚值。

25.一种用于分析第一数字交互的计算机实现的方法，所述方法包括以下动作：

从所述第一数字交互中识别锚值X；

识别之前观测到锚值X的第一多个过去的数字交互，其中，所述第一多个过去的数字交互的每个过去的数字交互都与相应的相同性分数相关联；

至少部分地基于各自的相同性分数，从所述第一多个过去的数字交互中选择第二多个过去的数字交互；

基于所述第二多个过去的数字交互生成所述锚值X的简档，其中：

所述简档包括关于多个属性中的每个属性的历史信息；以及

基于从所述第二多个过去的数字交互中获得的测量值选择所述多个属性；

对于所述多个属性中的至少一个属性A₁，基于从所述第一数字交互中获得的一个或多个测量值来确定值V₁，其中，所述一个或多个测量值与用户和设备之间的物理交互相关；以及

至少部分地通过将至少一个属性A₁的值V₁与关于所述至少一个属性A₁的历史信息进行比较，来确定所述第一数字交互的生物测定分数。

26.根据权利要求25所述的计算机实现的方法，其中：

所述一个或多个测量值包括从所述第一数字交互获得的测量值序列；以及

所述测量值序列中的每个测量值都与各自的时间戳相关联。

27.根据权利要求26所述的计算机实现的方法，其中：

所述测量值序列中的每个测量值包括从由以下组成的组中选择的测量值：击键、鼠标点击、指针位置、加速度计读数、陀螺仪读数、光传感器读数、压力传感器读数和噪声传感器读数。

28.根据权利要求25所述的计算机实现的方法，其中：

关于所述至少一个属性A₁的历史信息包括历史平均值和历史标准差；

基于所述至少一个属性A₁的历史值确定所述历史平均值和历史标准差，所述历史值是从得自所述第二多个过去数字交互的测量值中获得的。

29.根据权利要求28所述的计算机实现的方法，其中，所述第一数字交互的所述生物测定分数至少部分通过以下来确定：

确定所述至少一个属性A₁的所述历史平均值与值V₁之间的差值；以及

将所述差值与所述历史标准差进行比较。

30.根据权利要求25所述的计算机实现的方法，其中，所述多个属性包括从第二多个属性中选择的第一多个属性，并且其中所述方法还包括以下动作：

对于所述第二多个属性中的每个属性，基于所述属性的值来确定相应的质量度量，所述值是从得自所述第二多个过去的数字交互的测量值中获得的；以及

至少部分地基于所述相应的质量度量从所述第二多个属性中选择所述第一多个属性。

31.根据权利要求30所述的计算机实现的方法，其中：

对于所述第二多个属性中的至少一个属性A₂，至少部分地通过以下操作来确定所述质量度量：将基于所述至少一个属性A₂的值确定的平均值和标准差与所述至少一个属性A₂的群体分布进行比较，所述值是从得自所述第二多个过去的数字交互的测量值中获得的。

32.一种包括至少一个处理器和至少一个其上存储有指令的计算机可读存储介质的系统，当执行所述指令时，将所述至少一个处理器编程为执行权利要求1-31中任一项所述的方法。

33.至少一个其上存储有指令的计算机可读存储介质，当执行所述指令时，将至少一个处理器编程为执行权利要求1-31中任一项所述的方法。