CN109478219B - 用于显示网络分析的用户界面 - Google Patents
用于显示网络分析的用户界面 Download PDFInfo
- Publication number
- CN109478219B CN109478219B CN201780030232.3A CN201780030232A CN109478219B CN 109478219 B CN109478219 B CN 109478219B CN 201780030232 A CN201780030232 A CN 201780030232A CN 109478219 B CN109478219 B CN 109478219B
- Authority
- CN
- China
- Prior art keywords
- user
- activity
- attack
- market activity
- accounts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000000694 effects Effects 0.000 claims abstract description 159
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000009471 action Effects 0.000 claims description 18
- 230000004044 response Effects 0.000 claims description 13
- 238000012800 visualization Methods 0.000 claims description 6
- 238000004458 analytical method Methods 0.000 abstract description 40
- 238000004590 computer program Methods 0.000 abstract description 15
- 238000012545 processing Methods 0.000 description 15
- 230000006399 behavior Effects 0.000 description 14
- 238000001514 detection method Methods 0.000 description 13
- 238000009826 distribution Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 9
- 238000010801 machine learning Methods 0.000 description 8
- 230000003993 interaction Effects 0.000 description 7
- 238000004891 communication Methods 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012552 review Methods 0.000 description 4
- 239000013598 vector Substances 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000012447 hatching Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000013507 mapping Methods 0.000 description 3
- 230000000007 visual effect Effects 0.000 description 3
- 238000007405 data analysis Methods 0.000 description 2
- 238000009792 diffusion process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011897 real-time detection Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 239000003086 colorant Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 238000011534 incubation Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003211 malignant effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
- 238000005070 sampling Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- User Interface Of Digital Computer (AREA)
Abstract
包括在计算机存储介质上编码的计算机程序的方法、系统和设备用于呈现数据以可视化并与用户分析引擎的结果交互。系统中的一个包括一个或多个计算机,所述计算机包括一个或多个处理器和一个或多个存储器设备,所述计算机被配置为:通过分析获得的客户端数据来识别欺诈用户帐户;并提供市场活动用户界面,所述市场活动用户界面绘制欺诈用户帐户组以将它们可视化为攻击市场活动,而不是通过列出个体欺诈用户帐户来显示。
Description
技术背景
网络安全依赖于检测恶意用户的能力。恶意用户帐户可被用于进行恶意活动,例如,垃圾邮件、网络钓鱼、虛假点赞和欺诈交易。传统的解决方案集中于在网络中的个体恶性帐户的检测,而未集中于帐户与帐户之间的关系。
发明内容
一般而言,本说明书中描述的主题的一个创新方面可以体现在包括一个或多个计算机---其包括一个或多个处理器和一个或多个存储器设备---的系统中,所述一个或多个计算机被配置为:通过分析获得的客户端数据来识别欺诈用户帐户;并且提供市场活动用户界面,所述市场活动用户界面绘制欺诈用户帐户组以将它们可视化为攻击市场活动,而不是通过列出个体欺诈用户帐户来显示。
上述以及其他实施例可以分别可选地单独或者组合地包括一个或多个以下特征。具体而言,一个实施例组合地包含了下面的所有特征。攻击市场活动对应于在简档或者行为中是相关或者类似的欺诈用户帐户组,所述欺诈用户帐户组指示所述用户帐户可能由同一攻击者控制。所述欺诈用户帐户组根据多个缩略图呈现在所述用户界面中,每个缩略图对使用缩略图总结不同攻击市场活动的不同攻击市场活动用户界面(UI)进行总结。给定的缩略图通过缩略图的颜色和形状的可视化来说明特定攻击市场活动随着时间的主要动作。所述攻击市场活动的时间线通过所述缩略图是可见的。所述攻击市场活动的规模通过所述缩略图是可见的。使用所分析的客户端数据来自动产生与每个缩略图相关联的所述攻击市场活动的描述。缩略图的用户界面显示可以根据不同的标准进行排序以用于显示。所述用户界面呈现了特定选定的攻击市场活动的细节,其中,所述细节说明了确定所述用户帐户组是否为欺诈的因素。所述细节提供了指示所述用户帐户组为什么被确定为欺诈的理由的总结,所述总结包括用户帐户集合是如何相类似或者彼此相关的指示。所述用户帐户集合的高度区别的特征及其对应的统计被自动显示并且与正常用户帐户进行比较。所述用户界面响应于与特定攻击市场活动相关联的用户选择而提供地理视图窗格,并且其中,所述地理视图窗格绘制所述攻击市场活动在世界地图中的起点,并在所述地理视图窗格内使用动画显示所述攻击市场活动如何演变。所述用户界面响应于与特定攻击市场活动相关联的用户选择而提供市场活动链接视图窗格,并且其中,所述市场活动链接视图窗格显示在所述攻击市场活动中的不同用户之间的相关性。所述链接视图窗格提供了包括多个节点的图,每个节点表示一个欺诈用户帐户或一组用户帐户。在所述链接视图窗格中的用户帐户的用户选择提供选定的用户帐户与其他欺诈用户帐户的相关性的说明。响应于用户输入来提供欺诈用户帐户相关在一时间段内的动态视图。所述市场活动链接视图窗格提供欺诈用户帐户的子集的表示。
一般而言,本说明书中描述的主题的一个创新方面可以体现在包括以下动作的方法中:通过分析获得的客户端数据来识别欺诈用户帐户;并且提供市场活动用户界面,所述市场活动用户界面绘制欺诈用户帐户组以将它们可视化为攻击市场活动,而不是通过列出个体欺诈用户帐户来显示。此方面的其他实施例包括相应计算机系统、设备和在一个或多个计算机存储设备上记录的计算机程序,每个被配置为执行方法的动作。对于一个或多个要配置为执行特定操作或动作的计算机的系统,意味着系统已安装软件、固件、硬件或它们的组合,其在操作中会导致系统执行操作或动作。对于一个或多个要配置为执行特定操作或动作的计算机程序,意味着一个或多个程序包括在数据处理设备执行时导致设备执行操作或动作的指令。
一般而言,本说明书中描述的主题的一个创新方面可以体现在包括以下动作的方法中:接收来自客户端用户的请求以查看恶意市场活动仪表板;提供所述恶意市场活动仪表板以用于在客户端用户设备上进行呈现,所述恶意市场活动仪表板显示多个攻击活动及其相应类别的视图;选择特定攻击市场活动来接收用户输入;响应于所述特定攻击市场活动的选择,提供与所述攻击市场活动有关的细节;响应于选择特定视图窗格的用户输入,提供所述攻击市场活动细节的对应可视化。此方面的其他实施例包括相应计算机系统、设备和在一个或多个计算机存储设备上记录的计算机程序,每个被配置为执行方法的动作。对于一个或多个要配置为执行特定操作或动作的计算机的系统,意味着系统已安装软件、固件、硬件或它们的组合,其在操作中会导致系统执行操作或动作。对于一个或多个要配置为执行特定操作或动作的计算机程序,意味着一个或多个程序包括在数据处理设备执行时导致设备执行操作或动作的指令。
本说明书中描述的主题可以被实施在特定实施例中,以实现以下一个或多个优点。攻击市场活动的可视化允许用户以有效方式查看与相关恶意帐户组有关的信息。对恶意帐户进行分组可以允许以有组织地显示在线服务的整个攻击场景的方式来可视化攻击市场活动。恶意市场活动仪表板会显示指示特定攻击市场活动的组中的坏用户,并可视化这些用户之间的共性和相关性,而不只是逐个地显示坏用户。因此,市场活动仪表板可以显示攻击随着时间的推移而如何演变,攻击的起点,攻击技术,和攻击市场活动的特征。此外,市场活动还按诸如攻击事件、攻击时间或攻击大小等标准进行自动分类。因此,该市场活动仪表板允许用户找到有趣/相关的攻击市场活动以快速审查和调解。
本说明书的主题的一个或多个实施例的细节在下面的附图和描述中给出。主题内容的其他特征、方面和优点将从描述、附图和权利要求中显而易见。
附图说明
图1说明使用用户分析引擎的示例系统。
图2A至图2B说明示例仪表板用户界面。
图3显示对与下拉菜单的用户交互进行说明的示例用户界面。
图4显示仪表板用户界面的示例细节界面。
图5显示示例总结描述界面。
图6显示统计视图窗格中的示例输出特征集合。
图7显示地理视图窗格的示例用户界面。
图8显示对用于检测到的帐户的不同地理区域之间的连接进行说明的示例用户界面。
图9显示预警视图窗格的示例用户界面。
图10显示链接视图图窗格的示例用户界面。
图11显示图10的链接视图图的一部分,其中选择了节点之间的特定链接。
图12是说明客户端用户界面交互的流程图。
相似的附图标号和指定在各个附图中指示相似的元件。
具体实施方式
本说明书描述了用于呈现数据以可视化和与用户分析引擎的结果交互的用户界面。用户分析引擎通过将问题用户帐户和活动分组成攻击市场活动来检测他们。问题帐户可以包含恶意帐户、欺诈帐户或其他可疑帐户。下面的技术可以应用于这些类型的问题帐户中的任一个。攻击市场活动指的是展示类似或强烈相关活动的欺诈用户帐户组,这指示它们可能由同一攻击者操作。帐户的市场活动可用于进行不同的非法活动,如垃圾邮件、网络钓鱼、虚假点赞和欺诈交易。分析用户帐户和活动之间的关系不同于集中于个体帐户的传统方法。
由本说明书提供的用户界面(例如,恶意市场活动仪表板)提供了一种通过可视化攻击市场活动有组织地显示在线服务的整个攻击场景来向用户显示检测结果的方式。恶意市场活动仪表板显示指示特定的攻击活动的组中的坏用户并且可视化这些用户之间的共性和相关性,而不只是逐个地显示坏用户。
检测恶意用户帐户
在一些实现中,用户分析引擎以批处理计算或者通过实时分析来检测欺诈用户帐户。该用户分析引擎将检测到的用户帐户组织成攻击市场活动,并将结果写入存储系统和客户端服务器。图1说明了使用用户分析引擎102的一个示例系统100。数据从例如公司或其他实体的客户端104获得。数据可以实时或分批获得。用户分析引擎102处理获得的数据。
可以例如使用API将由用户分析引擎检测到的恶意用户市场活动106发回到客户端108,和/或存储110该恶意用户市场活动106。客户端可以例如通过登录到提供恶意用户市场活动的UI表示的应用程序或网络位置来访问存储的信息112。例如,当客户端登录到由系统提供的用户界面时,系统的前端代码从存储系统获取市场活动结果并显示它们。
分析引擎可以使用不同的技术来检测形成攻击市场活动的恶意的、可疑的和/或欺诈的帐户。在一些实施中,攻击市场活动的检测由大数据分析框架提供以提早检测恶意和被盗的帐户而不需要依赖历史或标记的训练数据。该框架基于大图分析和机器学习技术。它首先构造一组超图表来表示用户活动,并执行大规模的图分析,以确定具有高可信度的恶意帐户和活动的子集。然后,将检测到的高可信度的恶意帐户和活动的子集用作自产生的训练数据,以将其导入到机器学习组件中,从而导出一套风险模型或一组分类器。最后,这些新产生的风险模型或分类器可以用于检测未检测到的用户帐户或帐户活动的剩余集合。
系统的输入包括从服务中随时可用的web日志。示例输入可以包括登录和注册日志。其他示例输入可以包括电子商务交易日志、在线采购日志、例如通常在社交网站可获得的注释或审阅日志。通过大数据分析,系统自动产生一组恶意的假帐户、被盗的帐户和恶意帐户活动,例如,垃圾邮件、网络钓鱼、欺诈交易或付款。此外,该系统还可以产生一组风险模型或分类器,以实时或者通过定期离线批处理分析来检测未来事件或用户帐户。
分析引擎执行以下三种类型的分析以执行恶意帐户和被盗的用户帐户的早期检测:主机(host)属性分析、图分析和基于机器学习的检测。
主机属性分析模块把事件日志作为输入,并自动产生IP地址属性,其可以导致都来自检测输入事件日志的僵尸网络主机、攻击代理服务器和专用攻击主机。
图分析模块构造和分析了几种类型的活动图。在用户和事件之间的连接结构的全局视图对于在孤立地检查每个用户或事件时难以识别隐蔽攻击模式的早期检测非常重要。
基于主机属性分析和图分析结果,分析引擎选择了活动特征,并且使用机器学习框架来产生可被馈送到实时检测的攻击模型。该机器学习框架产生一组风险模型和分类器,其可用于检测未检测到的帐户或活动,以及未来帐户或事件。最后,基于具体的攻击方法和规模,分析引擎可以进一步产生不同的信号和签名来进行实时检测。例如,对于内容垃圾邮件攻击,该引擎可能产生基于内容的签名以及用户行为模式来捕获攻击市场活动。对于欺诈交易攻击,该引擎可能会利用针对每个帐户的检测置信度分数来产生一个可疑帐户列表以用于阻止其未来的交易。
图分析过程允许该系统产生在用户活动和各种看似不相关事件之间的相关性的全局视图,使得系统可以检测到可能在孤立地检查它们时难以识别的在隐身攻击模式。
该系统构造不同类型的活动图,在本说明书中称为超图。超图上的每个节点对应于从一组相关事件或一组相关用户计算的特征配置文件,边缘属性指定它们的相似性或相关关系。
通过图分析,检测引擎可以输出恶意帐户组,而不需要由客户提供的标记数据。标记数据通常很难获得,特别是在新的、看不见的攻击中。利用图分析,系统可以利用恶意帐户或事件的初始列表进行自我引导。此步骤还具有自动捕获新攻击市场活动的能力。随后,此恶意帐户或事件的初始列表可以用作输入以馈送到机械学习系统中以用于检测更多恶意帐户或更多恶意事件。
从超图中检测恶意帐户或事件的初始列表的一种技术是识别可疑的子图组件。在构造的超图上,该系统应用社区检测技术,并且例如通过将可疑节点的百分比与预设阈值进行比较来识别其中组件中大量的图形节点单独被标记为可疑的可疑的子图组件。在这种情况下,来自可疑子图组件的所有节点很可能都是可疑的,即使在孤立地检查它们时它们中有些可能看起来不可疑。因此,系统可以输出与这些可疑子图组件对应的所有帐户或事件作为进一步检查的候选对象。
上面的图分析过程可以提供恶意事件和恶意(或被盗的)帐户的子集,而不使用历史标记的数据。这些已检测到的事件和帐户可以用作坏训练数据,例如恶意帐户或事件的示例,以检测尚未分类的用户和事件的剩余集合。这种额外的检测步骤可以使用机器学习方法来完成。
从超图中检测恶意帐户或事件的初始列表的另一种技术是为每个节点分配一个可疑分数,然后应用一个或多个图扩散技术。图扩散过程将基于具有预先指定的分数的节点集根据图结构来推断每个图节点的可疑分数。在进行图扩散之后,系统可以选取具有高可疑分数的节点集作为候选对象到输出以用于进一步的检查。
一旦产生了训练帐户或事件,它们就可以用于派生一组丰富特征。每个帐户或事件都可以表示为一个特征向量,其可以被馈送到机器学习框架,以产生用于检测的风险模型或分类器。示例特征包括帐户登录计数、帐户生存期、帐户使用的IP地址数。还可以有更多其他合适的派生特征。
示例机器学习方法---例如支持向量机(SVM)或随机森林分类---可用于派生基于输入特征向量的分类器。该派生分类器可用于应用于从测试数据构造以用于分类的特征向量。分类器将输出一组被归类为坏的特征向量。相应的用户帐户和事件与从图分析中检测到的用户帐户和事件集相结合,将输出为恶意(或被盗的)帐户和恶意事件。
在一些其他实现中,检测攻击市场活动使用用户活动日志以派生自定义的IP地址属性。特别是,用户可预测的IP地址或可预测的IP地址范围信息用于检测恶意帐户、被盗的帐户和恶意活动。
IP地址分析模块检查信号的综合集合,包括路由信息、用户人口分布、日模式以及在IP地址的同一集合或相关集合上的相邻用户行为。
用户可预测的IP地址(或范围)是用户将来可能会高概率使用的一个IP地址(或范围)。例如,静态家庭IP地址是用户可预测的IP地址。有时,可预测的IP地址也可以是一个范围。例如,如果该家庭IP位于动态IP地址范围内。该系统还可以分析一起登录在同一IP上的用户。这为我们提供了关于这个IP地址是否可能是坏的信号(例如,僵尸网络主机或专用的坏IP)。直观地,当多个用户使用相同的IP地址登录时,如果此IP地址是用于所有这些用户的可预测IP地址,则可能这是一个很好的IP地址/代理。如果此IP地址不是用于这些用户中的任一个的可预测IP地址,则此IP将有更高的机会成为恶意代理。
IP地址的可疑率可以在不使用训练数据的情况下进行量化。为此,系统利用了bot机器经常租用并且它们对于攻击者是昂贵资源的事实。因此,攻击者通常使用一台bot机器进行多个事件。要捕获此行为,系统可以查看事件的定时。该系统可以分析的特征的几个示例类别可以包括过去几天、几周和几月的事件的日模式(重复性);过去几天、几周和几月的事件计数的变化;和不同类型的事件的不均匀分布。例如,如果IP地址有许多新用户注册事件,但很少有登录事件,则这是一个可疑的指标。
此外,系统还可以分析IP/IP范围内的组用户行为。分析了一组相关用户的行为,而不是个体用户行为,因为组行为更健壮并且提供了更强的信号:个体用户具有不同的行为是正常的,因此基于异常的异常检测方法往往产生高假阳性率或低召回率。
相反,相关用户组的行为提供了更可靠的信号。对于一组合法用户,即使他们使用相同的代理IP,或者有类似的行为(例如,购买产品),但是它们的大部分其他功能也会有所不同。例如,他们将有不同的注册时间,登录计数,行动等。因此,它们的其他特征分布通常遵循总体人口分布。但是,对于攻击者创建的用户,它们的行动都是由相同的攻击者远程控制的,因此它们的动作会类似,并且它们会放大彼此的信号。
在一些其它实现中,检测攻击市场活动使用一种组分析方法,该组分析方法将一组帐户或事件组合在一起进行分析,以确定它们的相似性和可疑程度。这些组可用于确定涉及的帐户或事件集是否可能来自相同类型的攻击或可能受控同一组攻击者。组还可用于检测大量恶意帐户或事件,一旦使用某些方法检测到组中的一个或几个恶意帐户(或事件)(例如,由客户报告或由第三方通知)。
组分析技术基于组成员之间的相似性分析和与帐户和事件的全球性简档的比较。系统的输入包括可从所有服务中随时获得的Web日志或事件日志。示例输入包括登录和注册日志。其他示例输入包括电子商务交易日志、在线采购日志、注释或审阅日志(例如,通常可用于社交网站)、用户的网页导航和行动日志以及资产访问日志。
组分析系统获取用户事件日志的集合,或通过实时提要接收用户事件。组分析系统使用来自用户事件日志/提要的数据来确定用户属性。组分析系统使用用户属性来产生一个或多个组。组分析系统确定产生的组是否有可疑的并且使用可疑组来确定是否存在可疑的帐户或事件。
为了识别可疑组,系统还在整个可用用户人口或整个事件集上计算全局简档。为此,系统将所有用户(或所有事件)组合为一个大组,并使用计算组简档的类似方法来计算全局简档。全局简档捕获总体人口的一般行为。它用作比较的基线,以确定特定的组简档是否可疑。
为将组简档与全局简档进行比较(作为基线),系统逐个特征将两个简档进行比较。对于每个特征,与全局特征直方图相比,系统将计算当前特征直方图是否可疑。
一旦系统检测到可疑组,系统就可以确定与可疑组相关联的恶意帐户或事件。在一些实现中,系统将检测到的组中的所有用户或事件输出为恶意帐户或事件。
市场活动仪表板用户界面
图2A至图2B显示示例恶意市场活动仪表板。具体地,图2A显示了恶意市场活动仪表板200并且图2B显示恶意市场活动仪表板200的一个缩略图部分210。恶意市场活动仪表板200绘制了以多种不同的方式组织的一个或多个检测到的攻击市场活动。每个攻击市场活动在仪表板显示中使用缩略图202进行可视化。对于每个缩略图202,仪表板200显示一段时间内一组用户的活动。例如,可以使用不同的可视标识符(例如,使用颜色、底纹或其他可视征象)来指示不同的事件类型。在一些实现中,每个颜色表示特定的事件类型。例如,红色可能代表检测到的用户帐户进行的注册事件,蓝色可能代表登录事件,灰色颜色可能代表交易事件。缩略图的X轴显示时间,并且Y轴显示在相应时间戳处来自攻击市场活动的总事件的数量。
当客户端登录到用户界面时,只需查看一段时间内缩略图视图的颜色分布,就可以从市场活动中的相应的欺诈帐户中获取事件类别和趋势的全局视图。请注意,可以自动产生对事件类型的颜色映射,但也可以在以后手动调整。在同一客户端的不同攻击市场活动中,映射可以一致。
用户分析引擎在默认情况下自动为每个攻击市场活动分配标题203,标题显示在相应的缩略图之上。标题可能是机器产生的活动标识符,或者它可能是主要的分类和市场运动的规模。与系统关联的客户或团队也可以(例如参见下面的图4的406)将每个标题编辑到一个更有意义或更容易记住的描述中。编辑的标题201可以存储在后端存储系统中,因此下次客户端再次登录时,将会拉入并显示新编辑的标题。可以一次又一次地超时编辑标题。
与系统关联的客户或团队还可以利用“类似”或者类似选择来标记市场活动缩略图(参见下面的图4的407)。所有类似的市场活动缩略图都可以放在仪表板200的顶部,在本例中命名"DataVisor推荐"部分中。如图2B所示“类似”市场活动将停留在"DataVisor推荐"部分的首行中,以便以后可以很容易地找到它们。
仪表板200的用户界面可以通过不同的方式组织市场活动。默认情况下,用户界面根据市场活动大小(以市场活动中检测到的用户帐户的数量计算)呈现市场活动。
图3显示了一个示例用户界面300,其说明与和图2A至图2B中显示的缩略图201相关联的下拉菜单302的用户交互。特别地,缩略图的行具有与通过特征选择市场活动相关联的下拉。客户还可以选择具有特定特征(例如具有特定的事件类型或具有自定义特征302)的市场活动301。当根据特征选择市场活动时,相关特征值将在下拉框中填充,客户端可以基于所需的特征值进一步选择市场活动。
回到图2A至图2B,在选择市场活动缩略图时,仪表板UI显示细节接口212,其包括市场活动仪表板200的顶部部分上的市场活动特征的细节。图4显示了图2A的细节界面212的示例。细节接口212包括几个窗格:
1.事件类别视图(401)
2.统计视图(402)
3.地理视图(403)
4.预警视图(404)
5.链接视图(405)
事件类别视图窗格401显示了由从同一攻击市场活动中检测到的欺诈帐户所进行的事件的不同类别。此视图显示市场活动如何随着时间的推移而演变为其事件类型。X轴表示时间,Y轴表示在每个时间戳处进行的事件的数量。
在事件类别视图窗格401的右侧,显示与相应攻击市场活动有关的概述410(在下面的图5中说明该概述410)。概述410提供了为什么这些帐户被检测为坏并分组在一起的简要总结。在示例总结501中,在市场活动中存在5124个恶意用户帐户。这些用户都来自一个媒体源,使用相同类型的设备,相同的操作系统版本,所有使用WIFI下载游戏,所有来自同一IP地址。这是高度可疑的,因为正常的用户模式是非常多样的。在总结501下面,显示了同一组欺诈用户帐户的详细事件分类,如图5中方框502所示。
回到图4,统计视图窗格402显示来自攻击市场活动的欺诈帐户的相似性。统计视图窗格402还将这些帐户与正常帐户行为进行比较,以显示恶意帐户如何表现不同。用户界面可以选择地显示到一定数量的特征统计,并且将他们从最大区分特征排序到最小区分特征。
为了选择最大区分特征,对于每个特征,系统计算全局差异分数。全局差异分数的值在开始时为零。该分数将通过检查相应功能的一组值桶来更新。对于其中比好用户存在具有落在该桶内的特征值的更多的坏用户的特征值桶,系统在该价值桶上计算局部差异分数,其是坏用户百分比减去好用户百分比。然后通过添加该局部差异分数的平方来更新全局差异分数。在系统利用上述过程对所有特征值桶进行迭代后,系统把总计的全局差分分数的平方根作为全局差分分数的最终值。所有的特征然后根据他们的全球差异分数以反向顺序排序。
图6显示了按顺序排序的统计视图窗格600中的示例输出特征集。统计视图窗格600包括第一个特征的分布602(在此示例中,用户帐户的应用版本)和第二个特征的分布604(在此示例中安装和注册时间差异)。红色彩色系列(601)显示了在该市场活动中捕获的欺诈用户帐户的分布,而蓝色彩色系列(602)显示了每个特征分布602和604的正常用户帐户的分布情况。
通过显示这些统计分布比较图表,客户端可以很容易地看到检测到的欺诈用户与正常用户的差异。在同一市场活动中,欺诈用户的分布是群聚的(spikier),因为它们由同一攻击者控制,因此经常显示相同或相似的特征值。另一方面,正常用户在其分布上有非常多样的行为。
回到图4,地理视图窗格403在一个市场活动中绘制检测到的用户的IP地址或GPS源的全局视图。图7显示了地理视图窗格700的示例用户界面。地理视图窗格700包含指示与欺诈用户帐户相关联的区域的映射702。此外,顶部地理区域在单独的面板704中列出。
欺诈帐户可以通过使用代理IP地址、VPN IP地址或僵尸网络IP地址在整个地理区域分布。他们可以在一个国家显示活动,然后迅速移动到另一个国家。UI可以通过绘制连接用于检测到的帐户的不同地理区域的动画曲线来重播欺诈帐户活动的序列。图8显示说明用于检测到的帐户的不同地理区域之间的连接的示例用户界面800。
回到图4,预警视图窗格404显示了攻击市场活动在主动发起攻击之前已孵化的时间。通常,攻击市场活动具有看起来更合法和良性(如注册,登录,查看简档)的孵化事件和可能会实际上造成损害(如欺诈交易,假评论)的攻击事件的组合。
由于不同客户端可能具有不同事件类型,因此孵化事件与攻击事件的分类可能是客户端特定的。例如,对于金融部门的客户端,交易事件可以被定义为攻击事件,而对于社交平台,发布或审阅事件可能被定义为攻击事件。用户分析引擎使用每个客户端的配置设置来分类攻击事件类型和孵化事件类型以用于用户界面显示。只有当新客户端支持(onboard)由系统提供的服务时,才能设置此配置。
图9显示预警视图窗格900的示例用户界面。在图9所示的预警视图中,X轴表示时间。系统可以在x轴的顶部绘制攻击事件计数902,同时在x轴下绘制孵化事件计数904。这样,系统就可以清楚地呈现这次攻击市场活动仅孵化的时期,并观察该市场活动何时开始进行大规模攻击。系统还可能绘制垂直行906,以通过系统指定此攻击市场活动的检测日期,显示用户分析引擎何时开始识别这组欺诈用户及其攻击模式。
回到图4,链接视图405显示了恶意市场活动中的欺诈用户之间的详细相似性和相关性。图10显示了链接视图图形窗格1002的示例用户界面。如图10所示,链接视图图1002包括用户帐户的节点。图中的每个节点都可能代表一个欺诈用户(例如,节点1003)或一组欺诈用户(例如,节点1004),并且它们由节点的大小和颜色区分开来:较大的节点表示用户集,而较小的节点表示单个欺诈用户。
在一些实现中,系统使用两种不同类型的节点(一种表示单用户,另一个表示一组用户)的组合,因为图区域在显示大小中通常太小,无法清楚地可视化所有单用户节点的结构。因此,系统可以在两级分层视图中显示图结构,其中两个节点之间的链接由后端中的用户分析引擎产生。
对于链接视图图1002中的每个节点,到其相邻节点的链接表示它们相似或相关。当两个用户具有共同的特征或用户属性的子集时,就会链接这两个用户。
通过选择一个欺诈的用户节点,例如,图1000中的节点1002,链接视图图1002将根据需要展开,以绘制与所选用户密切相关的所有其他用户并将它们链接在一起,如果它们尚未显示在图形。
在一些实现中,如果相应的组共享一个公用用户,则表示两个用户集的两个较大节点也可能被链接。通过选择表示一组欺诈用户的较大节点,例如,节点1004,而不是单个用户,将展开相应的节点,并且该组中的所有用户都将显示为个体的较小节点并与现有图连接。
节点之间的链接也可在图中选择。图11显示了图10的链接视图图1002的一部分,其中选择了节点1101之间的特定链接。当客户端用户选择连接两个用户节点的链接1101时,他们将看到为什么这两个用户是相似或相关的。在一些实现中,链接将标记为突出显示的颜色(如红色),并且该链接的两个端点节点和它的相邻部分也将被视觉地区分开来,例如,着色。对两个链接节点(即用户)的详细比较显示在文本面板1102上,在示例界面中,该文本面板1102根据需要可以是弹出窗口。可以在该文本面板1102上计算和显示两个链接用户的公共属性。
回到图10,市场活动中检测到的用户之间的整个链接结构可以利用“播放”按钮1001来自动显示,其中,链接视图窗格同时显示整个图结构,而不是逐个地显示用户和其邻居。可以将播放按钮1001配置为自动播放整个市场活动时间段。当整个市场活动很大时,也可以将播放按钮配置为同时自动显示用户或链接的取样子集。
在链接视图图1002的右侧显示用户信息表1005,以用于显示选定的用户帐户细节。在选择特定的用户节点后,该表将显示选定的用户(在顶部行)以及与所单击用户最相似或相关的所有其他用户。显示的欺诈用户集的公共属性在该表中将突出显示(例如,以不同的颜色或粗体文本显示)。该表是用户可修改的,例如大小调整、可拖动和可滚动。在选择特定的链接时,两个连接的用户将显示在表的前两行中,公共属性也将突出显示(例如,不同的颜色或以粗体文本显示)。此外,对于表中列出的所有其他用户,如果它们将公共特征或属性共享到选定的用户节点或选定的链接,则这些用户行的公共特征或属性也被突出显示,以显示为什么所有这些用户都与不同程度相似或相关。
对于许多用户的大型攻击市场活动,除了使用显示市场活动链接结构的分层方式外,UI还可以对用户子集进行取样,以显示在显示面板中。采样算法将尝试通过在链接图中的不同组件上选择用户子集来保留图结构,只有取样的用户才会示出或显示在图中以及在用户信息表中。
恶意市场活动仪表板UI流
恶意市场活动仪表板是用户分析系统的一部分,如图1所示。系统通过API馈送或通过批处理日志上载从客户端服务中获取用户活动数据。然后,系统以批量或实时地处理数据,以检测欺诈用户活动。检测到的欺诈用户连同他们的市场活动信息将通过API发回到客户端服务。此外,这些信息数据还存储在诸如SQL数据库、云存储系统(例如AWS S3)、索引和搜索系统(例如,弹性搜索)、没有SQL系统(例如Hbase)和传统文件系统等存储系统中。恶意市场活动仪表板前端代码读取来自存储系统的信息并将其显示到相应的客户端设备。
图12是说明客户端用户界面交互的流程图。客户端通常通过以下步骤与UI进行交互。登录后,客户端将导航到恶意市场活动仪表板(1202),以查看攻击市场活动及其相应类别的全局概览。如果客户端有兴趣检查市场活动仪表板中说明的特定市场活动(1204),他们选择相应的缩略图(1206)。或者,用户可以按类别(1208)选择特定的攻击市场活动。然后,客户端通过选择一个视图窗格(例如,地理视图窗格)(1210)来可视化市场活动细节以获取有关特定攻击市场活动的进一步细节。在此过程中,客户端可以使用“类似”标记市场活动或编辑标题(1212)。然后客户端可以移动到不同的攻击市场活动查(1214)。
在本说明书中,术语“引擎”将广泛用于指可以执行一个或多个特定的功能的基于软件的系统或子系统。通常,引擎将被实现为一个或多个软件模块或组件,安装在一个或多个位置的一个或多个计算机上。在一些情况中,一个或多个计算机将专用于特定的引擎;在其他情况中,可以在同一台计算机或计算机上安装和运行多个引擎。
在本说明书中,术语“数据库”广泛用于指任何数据集合:数据不需要以任何特定的方式结构,也无需结构化,并且可以存储在一个或多个位置的存储设备上。
本说明书中描述的主题和功能操作的实施例可以在数字电子电路中实现,具体体现在计算机软件或固件、计算机硬件中,包括在本说明书中公开的结构及其结构等价物中,或在其中一个或多个组合中。本说明书中描述的主题的实施例可以被实现为一个或多个计算机程序,即,计算机程序指令的一个或多个模块,其编码在有形的非-临时存储介质上用于通过数据处理设备执行,或用于控制数据处理设备的操作。计算机存储介质可以是机器可读的存储设备、机器可读的存储基板、随机或串行存取存储器设备,或者它们的一个或多个的组合。可替换地或者另外,程序指令可以被编码在一个人为地-产生的传播信号(如机器产生的电子、光学或电磁信号)上,该信号被产生以编码信息以便传输到适当的接收器设备,以便由数据处理设备执行。
术语“数据处理设备”是指数据处理硬件并且包含用于处理数据的各种设备、装置和机器,包括例如可编程处理器、计算机或多个处理器或计算机等。该设备还可以是或进一步包括专用逻辑电路,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该设备还可以包括为计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统或其中一个或多个组合的代码。
计算机程序(也可以称为程序、软件、软件应用、模块、软件模块、脚本或代码)可用任何形式的编程语言编写,包括编译或解释语言,或声明性或程序性语言;并且它可以以任何形式部署,包括作为单独程序或作为模块、组件、子例程或其他适合在计算环境中使用的单元。程序可能(但不需要)对应于文件系统中的文件。程序可以存储在包含其他程序或数据(例如,在标记语言文档中存储的一个或多个脚本)的文件的一部分中,在专用于讨论中的该程序的单个文件中或在多个协调文件(例如,存储一个或多个模块、子程序或者代码的一部分的文件)中。计算机程序可以部署在一台计算机上,或在多台计算机上(其位于一个站点或者分布在多个站点上并且通过数据通信网络互连)执行。
本说明书中描述的过程和逻辑流可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,所述一个或多个计算机程序通过对输入数据进行操作和产生输出来执行功能。过程和逻辑流也可以通过专用逻辑电路(例如FPGA或者ASIC)或通过专用逻辑电路和一个或多个编程计算机的组合来执行。
适用于执行计算机程序的计算机可以基于通用微处理器或专用微处理器或两者或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器或者随机存取存储器或者二者接收指令和数据。计算机的基本元素是用于进行或执行指令的中心处理单元以及用于存储指令和数据的一个或多个存储设备。中央处理单元和存储器可以由专用逻辑电路补充或者合并到其中。通常,计算机还将包括用于存储数据的一个或者多个大规模存储设备(例如磁盘、磁光盘或者光盘)或者可操作地耦合以从其接收数据或者将数据转移到其或者二者。但是,计算机不需要这样的设备。此外,计算机可以嵌入到其他设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储设备,例如,通用串行总线(USB)闪存驱动器等等。
适用于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,例如包括示例性半导体存储器设备(例如,EPROM、EEPROM和闪存设备);磁盘,例如,内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。
本说明书中描述的各种系统或其中的一部分的控制可在计算机程序产品中实现,该计算机程序产品包括存储在一个或多个非临时机器可读存储介质上的并且在一个或多个处理设备上可执行的指令。本说明书中描述的系统或其中的一部分可以分别实现为设备、方法或电子系统,其可以包括一个或多个处理设备和存储器,该存储器用于存储可执行指令以执行本说明书中描述的操作。
为了提供与用户的交互,本说明书中描述的主题的实施例可实现在具有用于向用户显示信息的显示设备(例如CRT(阴极射线管)或LCD(液晶显示器)监视器)和键盘和指向设备(例如,鼠标或轨迹球,用户可以通过它向计算机提供输入)的计算机上实现。其他类型的设备也可用于提供与用户的交互;例如,向用户提供的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;可以以任何形式接收的来自用户的输入,包括声音、语音或触觉输入。此外,计算机可以通过向由用户使用的设备发送文档和从该设备接收文档来与用户进行交互;例如,通过响应从网页浏览器收到的请求而将网页发送到用户设备上的网页浏览器。
本说明书中描述的主题的实施例可以在计算系统中实现,该计算系统包括例如作为数据服务器的后端组件或者包括中间组件(例如应用服务器)或者包括前端组件(例如具有图形用户界面和网页浏览器的客户端计算机,用户可以通过该网页浏览器与本说明书中描述的主题的实现交互)或者一个或多个这种后端组件、中间组件或者前端组件的任意组合。系统的组件可以通过任何形式或介质的数字数据通信(例如通信网络)相互连接。通信网络的示例包括局域网(LAN)和广域网(WAN),例如因特网。
计算机系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且通常通过通信网络进行交互。客户端和服务器之间的关系凭借在相应的计算机上运行的并且具有彼此的客户端-服务器关系的计算机程序产生。在一些实施例中,服务器将数据(例如,HTML页)传输到用户设备,例如,用于向与用户设备(充当客户端)交互的用户显示数据,并从与用户设备接收用户输入。在用户设备处产生的数据(例如,用户交互的结果)可以从服务器处的用户设备接收。
虽然本说明书包含许多特定的实现细节,但是这些不应被理解为对任何发明的范围的限制,也不应解释为可能被要求的范围,而是作为特定于特定发明具体实施例的特征的描述。在独立的实施例的背景下在本说明书中所描述的某些特征也可以组合地实现在单个实施例中。相反,在单个实施例的背景下所描述的各种特征也可以分别在多个实施例中或在任何合适的子组合中实现。此外,虽然可以将上述特征描述为用在某些组合中,甚至最初所要求是这样,但在某些情况下,来自所要求的组合的一个或多个特征可以从组合中切除,而所要求的组合可能涉及子组合或者子组合的变化。
同样,虽然在附图中以特定顺序描述操作,但不应理解为要求以显示的特定顺序或按先后顺序执行此类操作,或执行所有所示出的操作,以取得理想的结果。在一些情况下,多任务和并行处理可能是有利的。此外,在上述实施例中的各种系统模块和组件的分离不应被理解为需要在所有实施例中进行这种分离,应该理解,所描述的程序组件和系统可以通常是集成在单一软件产品中或封装到多个软件产品中。
已经描述了主题的特定实施例。其他实施例在下列权利要求的范围内。例如,在权利要求中记载的操作可以以不同的顺序执行,并且仍能取得理想的结果。作为示例,附图中所描述的过程不一定要求所显示的特定的顺序或先后顺序,才能取得理想的结果。在一些情况下,多任务和并行处理可能是有利的。
Claims (18)
1.一种系统,包括:
一个或多个计算机,包括一个或多个处理器和一个或多个存储器设备,所述一个或多个计算机被配置为:
通过分析获得的客户端数据并且将欺诈账户分组为攻击市场活动,来识别欺诈用户帐户;并且
提供市场活动用户界面,所述市场活动用户界面绘制欺诈用户帐户组以将它们可视化为攻击市场活动,而不是通过列出个体欺诈用户帐户来显示,其包括:
以多个可选择的缩略图图形来呈现欺诈用户账户组,每个缩略图总结了针对用户账户组的随着时间的不同攻击市场活动,
其中,响应于对于在多个缩略图当中的缩略图的用户选择,所述市场活动用户界面对于由被选择的缩略图所说明的攻击市场活动的特征有关的信息进行显示。
2.根据权利要求1所述的系统,其中,攻击市场活动对应于在简档或者行为中是相关或者类似的欺诈用户帐户组,所述欺诈用户帐户组指示所述欺诈用户帐户组可能由相同的攻击者控制。
3.根据权利要求1所述的系统,其中,给定的缩略图通过缩略图的颜色和形状的可视化来说明特定攻击市场活动随着时间的主要动作。
4.根据权利要求1所述的系统,其中,所述攻击市场活动的时间线通过所述缩略图是可见的。
5.根据权利要求1所述的系统,其中,所述攻击市场活动的规模通过所述缩略图是可见的。
6.根据权利要求1所述的系统,其中,使用所分析的客户端数据来自动产生与每个缩略图相关联的所述攻击市场活动的描述。
7.根据权利要求1所述的系统,其中,缩略图的所述用户界面显示可以根据不同的标准进行排序以用于显示。
8.根据权利要求1所述的系统,其中,针对被选择的缩略图的所述用户界面显示呈现了相应的攻击市场活动的细节,其中,所述细节说明了确定所述用户帐户组是否为欺诈的因素。
9.根据权利要求8所述的系统,其中,所述细节提供了指示所述用户帐户组为什么被确定为欺诈的理由的总结,所述总结包括用户帐户集合是如何相类似或者彼此相关的指示。
10.根据权利要求8所述的系统,其中,所述用户帐户集合的特定区别的特征及其对应的统计被自动显示并且与正常用户帐户进行比较。
11.根据权利要求1所述的系统,其中,所述用户界面响应于与特定攻击市场活动相关联的用户选择而提供地理视图窗格,并且其中,所述地理视图窗格绘制所述攻击市场活动在世界地图中的起点,并在所述地理视图窗格内使用动画显示所述攻击市场活动如何演变。
12.根据权利要求1所述的系统,其中,所述用户界面响应于与特定攻击市场活动相关联的用户选择而提供市场活动链接视图窗格,并且其中,所述市场活动链接视图窗格说明在所述攻击市场活动中的不同用户之间的相关性。
13.根据权利要求12所述的系统,其中,所述链接视图窗格提供包括多个节点的图,每个节点表示一个欺诈用户帐户或一组用户帐户。
14.根据权利要求12所述的系统,其中,在所述链接视图窗格中的用户帐户的用户选择提供被选择的用户帐户与其他欺诈用户帐户的相关性的说明。
15.根据权利要求12所述的系统,其中,响应于用户输入来提供欺诈用户帐户相关性在一时间段内的动态视图。
16.根据权利要求12所述的系统,其中,所述市场活动链接视图窗格提供欺诈用户帐户的子集的表示。
17.一种方法,包括:
通过分析获得的客户端数据来识别欺诈用户帐户;并且
将所述欺诈用户账户组织成多个攻击市场活动,其中,每个攻击市场活动包括欺诈用户账户组;以及
提供市场活动用户界面,所述市场活动用户界面绘制与各个所述欺诈用户帐户组有关的、包括相应的用户账户组随着时间的活动在内的信息以将它们中的每一个可视化为攻击市场活动,而不是通过列出个体欺诈用户帐户来显示,其包括:
以多个可选择的缩略图图形来呈现欺诈用户账户组,每个缩略图总结了针对用户账户组的随着时间的不同攻击市场活动,
其中,响应于对于在多个缩略图当中的缩略图的用户选择,所述市场活动用户界面对于由被选择的缩略图所说明的攻击市场活动的特征有关的信息进行显示。
18.一种方法,包括:
接收来自客户端用户的用以查看恶意市场活动仪表板的请求;
提供所述恶意市场活动仪表板以用于在客户端用户设备上进行呈现,所述恶意市场活动仪表板提供多个市场攻击活动及其相应类别的视图,其中,攻击市场活动的每个视图表示出用户账户组的活动,并且其中,攻击市场活动的每个视图对应于总结了随着时间的相应的攻击市场活动的缩略图;
接收用于对特定攻击市场活动的被呈现的视图进行选择的用户输入;
响应于对所述特定攻击市场活动的选择,提供细节界面,所述细节界面包括有与所述攻击市场活动有关的、包含有多个视图窗格在内的细节;并且
响应于选择特定视图窗格的用户输入,提供与被选择的视图窗格相对应的、所述攻击市场活动细节的对应可视化。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662308674P | 2016-03-15 | 2016-03-15 | |
US62/308,674 | 2016-03-15 | ||
PCT/US2017/022553 WO2017161018A1 (en) | 2016-03-15 | 2017-03-15 | User interface for displaying network analytics |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109478219A CN109478219A (zh) | 2019-03-15 |
CN109478219B true CN109478219B (zh) | 2022-06-17 |
Family
ID=59847215
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780030232.3A Active CN109478219B (zh) | 2016-03-15 | 2017-03-15 | 用于显示网络分析的用户界面 |
Country Status (3)
Country | Link |
---|---|
US (1) | US20170272453A1 (zh) |
CN (1) | CN109478219B (zh) |
WO (1) | WO2017161018A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
US9742803B1 (en) | 2017-04-06 | 2017-08-22 | Knowb4, Inc. | Systems and methods for subscription management of specific classification groups based on user's actions |
US11218357B1 (en) * | 2018-08-31 | 2022-01-04 | Splunk Inc. | Aggregation of incident data for correlated incidents |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130238356A1 (en) * | 2010-11-05 | 2013-09-12 | Georgetown University | System and method for detecting, collecting, analyzing, and communicating emerging event- related information |
CN101510826B (zh) * | 2008-12-17 | 2010-12-22 | 天津大学 | 基于可视化的DDoS攻击检测方法 |
US8516594B2 (en) * | 2009-04-24 | 2013-08-20 | Jeff Bennett | Enterprise information security management software for prediction modeling with interactive graphs |
US20120137367A1 (en) * | 2009-11-06 | 2012-05-31 | Cataphora, Inc. | Continuous anomaly detection based on behavior modeling and heterogeneous information analysis |
US8918904B2 (en) * | 2010-12-17 | 2014-12-23 | Wepay, Inc. | Systems and methods for user identity verification and risk analysis using available social and personal data |
WO2013185101A2 (en) * | 2012-06-07 | 2013-12-12 | Hagar David Eric | Dashboards for displaying threat insight information |
JP5868514B2 (ja) * | 2012-09-19 | 2016-02-24 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
CN103138986B (zh) * | 2013-01-09 | 2016-08-03 | 天津大学 | 一种基于可视分析的网站异常访问行为的检测方法 |
US20150081494A1 (en) * | 2013-09-17 | 2015-03-19 | Sap Ag | Calibration of strategies for fraud detection |
US20150120583A1 (en) * | 2013-10-25 | 2015-04-30 | The Mitre Corporation | Process and mechanism for identifying large scale misuse of social media networks |
US10586234B2 (en) * | 2013-11-13 | 2020-03-10 | Mastercard International Incorporated | System and method for detecting fraudulent network events |
CN105207986A (zh) * | 2015-07-31 | 2015-12-30 | 北京奇虎科技有限公司 | 一种展示网络攻击行为的方法和装置 |
-
2017
- 2017-03-15 CN CN201780030232.3A patent/CN109478219B/zh active Active
- 2017-03-15 US US15/459,664 patent/US20170272453A1/en not_active Abandoned
- 2017-03-15 WO PCT/US2017/022553 patent/WO2017161018A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
CN109478219A (zh) | 2019-03-15 |
US20170272453A1 (en) | 2017-09-21 |
WO2017161018A1 (en) | 2017-09-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10187408B1 (en) | Detecting attacks against a server computer based on characterizing user interactions with the client computing device | |
US10721268B2 (en) | Systems and user interfaces for dynamic and interactive investigation based on automatic clustering of related data in various data structures | |
US10404729B2 (en) | Device, method, and system of generating fraud-alerts for cyber-attacks | |
US11516237B2 (en) | Visualization and control of remotely monitored hosts | |
US11102225B2 (en) | Detecting fraud by correlating user behavior biometrics with other data sources | |
US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
US10009358B1 (en) | Graph based framework for detecting malicious or compromised accounts | |
CN109478219B (zh) | 用于显示网络分析的用户界面 | |
US20150120583A1 (en) | Process and mechanism for identifying large scale misuse of social media networks | |
US9904704B2 (en) | System and method for controlling audience data and tracking | |
US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
US11144939B2 (en) | Cross-device consumer identification and device type determination | |
Shi et al. | Visual analytics of anomalous user behaviors: A survey | |
US11315010B2 (en) | Neural networks for detecting fraud based on user behavior biometrics | |
Conti et al. | Countering security information overload through alert and packet visualization | |
CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
Ferreira et al. | Recommender systems in cybersecurity | |
Etoty et al. | A survey of visualization tools assessed for anomaly-based intrusion detection analysis | |
Kasemsri | A survey, taxonomy, and analysis of network security visualization techniques | |
Vlachos et al. | The SAINT observatory subsystem: an open-source intelligence tool for uncovering cybersecurity threats | |
GB2595954A (en) | Detection program, detection method, and detection device | |
US10158659B1 (en) | Phony profiles detector | |
Vlachos et al. | A social network analysis tool for uncovering cybersecurity threats | |
Westman | Testing an Alert Generation and Detection Framework: On Windows-based Systems and from a Threat Hunting Perspective | |
Eskin et al. | An Evaluation of Big Data Use for Fraud Detection in Hotel Enterprises |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |