CN110023942A - 用于生成和选择访问规则的系统和方法 - Google Patents
用于生成和选择访问规则的系统和方法 Download PDFInfo
- Publication number
- CN110023942A CN110023942A CN201780074148.1A CN201780074148A CN110023942A CN 110023942 A CN110023942 A CN 110023942A CN 201780074148 A CN201780074148 A CN 201780074148A CN 110023942 A CN110023942 A CN 110023942A
- Authority
- CN
- China
- Prior art keywords
- access
- request
- rule
- condition
- access rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
- Machine Translation (AREA)
Abstract
资源安全系统可以生成用于确定是否授予或拒绝访问资源的请求的访问规则。为了生成访问规则,资源安全系统可以选择某些访问请求参数并确定与这些参数关联的条件。资源安全系统可以生成与每个参数的条件关联的相互排斥分段。资源安全系统可以基于分段生成独立的访问规则。然后,资源安全系统可以基于与之前接收的满足特定访问规则的条件的访问请求对应的有效性信息来评估每个访问规则的性能。
Description
相关申请的交叉引用
本申请是2016年11月30日提交的名称为“SYSTEMS AND METHODS FOR GENERATIONAND SELECTION OF ACCESS RULES(用于生成和选择访问规则的系统和方法)”的美国申请No.15/365,389的国际申请,其全部内容出于所有目的以引用方式并入本文中。
背景技术
未经授权的用户可能使用被授权用户的授权信息欺骗性地请求对资源的访问。为防止此类欺骗性访问,资源安全系统可以实施访问规则,以拒绝具有指示为欺骗的某些参数的访问请求。然而,作为对被拒绝访问的响应,未经授权的用户可能更改进行欺骗性访问请求的方法,从而更改参数,以便避免被访问规则拒绝。此外,授权用户还可以随时间的推移更改作出合法访问请求的方法。因此,访问规则的性能可能会随着时间的推移而降低,越来越多地拒绝被授权用户的访问或越来越多地授予未授权用户的访问。因此,可以定期更改或更新访问规则,这可能花费大量的时间和计算资源。因此,需要用于保护对资源的访问的改进的系统和方法。
发明内容
资源安全系统可以生成用于确定是否授予或拒绝访问资源的请求的访问规则。为了生成访问规则,资源安全系统可以选择某些访问请求参数并确定与这些参数关联的条件。资源安全系统可以生成与每个参数的条件关联的相互排斥分段。资源安全系统可以基于分段生成独立的访问规则。然后,资源安全系统可以基于与之前接收的满足特定访问规则的条件的访问请求对应的有效性信息来评估每个访问规则的性能。
其它实施方案涉及与本文中描述的方法关联的系统、设备和计算机可读介质。
可以参考以下具体实施方式和附图来更好地了解本发明实施例的性质和优点。
附图说明
图1示出了根据一些实施例的用于提供对资源的访问的资源安全系统。
图2示出了根据一些实施例在执行规则评估的同时确定访问请求结果的访问服务器的功能框图。
图3示出了根据一些实施例使用决策树生成和选择访问规则的访问规则生成系统的功能框图。
图4示出了根据一些实施例的用于生成访问规则的示例性决策树。
图5示出了根据一些实施例使用分段法生成和选择访问规则的访问规则生成系统的功能框图。
图6示出了根据一些实施例的用于生成和选择访问规则的示例性分段图。
图7示出了根据一些实施例使用计算机系统生成和选择访问规则的方法的流程图。
图8示出了根据一些实施例的包括访问规则生成系统和访问服务器的示例性计算机系统的组件的功能框图。
术语
在讨论本发明的一些实施方案之前,对一些术语的描述可有助于理解本发明的实施方案。
术语“资源”通常指可以使用或消耗的任何资产。例如,资源可以是电子资源(例如存储的数据、接收的数据、计算机账户、联网账户、电子邮件收件箱)、物理资源(例如有形对象、建筑物、保险箱或物理位置)或计算机之间的其它电子通信(例如与用于执行交易的账户对应的通信信号)。
术语“访问请求”通常指访问资源的请求。例如,可以从请求计算机、用户装置或资源计算机接收访问请求。访问请求可以包括授权信息,例如用户名、账号或密码。访问请求还可以包括访问请求参数。
术语“访问请求参数”一般是指有关访问请求及作出访问请求的时间或方式的信息。例如,访问请求的参数可以包括以下当中的一个或多个:接收访问请求的时间,接收访问请求的星期几,访问请求的源位置,请求的资源量,被请求的资源的标识符,用户的标识符,访问装置的标识符,用户装置的标识符,请求计算机的标识符,用户的位置,访问装置的位置,用户装置的位置,请求计算机的位置,资源计算机接收访问请求的时间、地点或方式的指示,用户或用户装置发送访问请求的时间、地点或方式的指示,资源的请求使用的指示和被请求的资源的类型、状态、数量或形式的指示。对于由资源计算机接收的每个访问请求可以存储访问请求信息。如本文中进一步描述的,访问规则包括可以由某些参数值满足的条件。
术语“访问规则”可以包括用来基于特定标准确定访问请求的访问规则结果的任何过程或定义。在一些实施例中,规则可以包括一个或多个规则条件和关联的规则结果。“规则条件”可以规定描述对规则确定结果的所根据情况的逻辑表达。访问规则的条件可以涉及访问请求参数,基于该参数具有特定参数值、基于该参数值在某个范围内、基于该参数值高于或低于阈值或其任何组合。
“分段”可以表示与访问请求参数关联的一个或多个访问规则条件。一个“分段”的访问规则条件与其它分段的访问规则条件相互排斥。也就是说,这些条件是独立的。具有多个分段的分段图可以用来表示潜在访问规则的条件以及满足这些条件的先前访问请求。由于每个分段是独立的,所以每个分段的欺骗检测性能可被同时并且并行地确定。
访问规则的“访问规则结果”可以表示基于规则的一个或多个条件和访问请求的参数由该规则确定的结果。例如,当访问请求涉及访问规则的条件时,访问规则可以提供或为“拒绝”、“接受”或为“审核”的访问规则结果。
术语“访问请求结果”可以包括是否准予访问资源的任何确定。访问请求结果可以包括“接受”、“拒绝”或“审核”。在一些实施例中,如果访问规则中的任一个的访问规则结果为“拒绝”,则访问请求的访问请求结果可以是“拒绝”。在一些实施例中,如果访问规则中的任一个的访问规则结果为“接受”,则不管任何结果为“拒绝”,访问请求的访问请求结果可以是“接受”。访问请求结果为“接受”可以使访问请求被授予。访问请求结果为“拒绝”可以使访问请求被拒绝。“审核”结果可能会启动访问请求的审核过程。在各种实施方案中,可以使用其它结果或这些结果的其它含义。
术语“预测百分比”是指触发访问规则的被预测为欺骗性的访问请求的百分比。可以基于欺骗性(例如,无效的或未经授权的)访问请求预测百分比的报告确定欺骗预测百分比。例如,如果一个访问规则在某个时间段内被100个访问请求触发,并且这些访问请求中的90个被报告为欺骗性的,那么该时间段的访问规则的预测百分比为90%(例如90÷100)。
术语“报告”一般是指识别访问请求是欺骗性的还是合法性的过程。报告可能涉及资源的用户向资源的所有者或运营商报告欺骗性的使用。例如,支付账户的所有者可以对其账户上的欺骗性交易发起退款。在另一实例中,电子邮件账户的用户可以将某个电子邮件报告为“垃圾邮件(junk)”或“兜售信息邮件(spam)”。在一些情况下,资源的授权用户可以报告拒绝访问资源。例如,用户可以报告合法交易被拒绝,或者用户可以报告电子邮件是“非垃圾邮件”。此类报告可用于确定或调整相应访问请求的有效性信息(例如,有效/合法或无效/欺骗性)。例如,如果收到对资源的欺骗性访问的报告,则可以更新与授予访问权限的访问请求对应的有效性信息,以指示访问请求是欺骗性的。
术语“服务器计算机”可以包含功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群或作为一个单元运作的一组计算机。在一个示例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可耦合到数据库,且可以包括用于服务来自一个或多个其它计算机的请求的任何硬件、软件、其它逻辑或前述内容的组合。术语“计算机系统”通常可以指包括耦合到一个或多个数据库的一个或多个服务器计算机的系统。
如本发明中所使用,术语“提供”可包括发送、传输、在网页上可用、用于下载、通过应用、显示或渲染或任何其它适合的方法。在本发明的各个实施方案中,规则简档、规则结果频率和规则结果的设置频率可以任何适合的方式提供。
具体实施方式
资源安全系统可用于授予或拒绝对资源的访问。此外,资源安全系统可以实施访问规则,以拒绝具有指示欺骗的参数的访问请求。如果欺骗性访问确实发生,则其可以被报告,资源安全系统可以基于报告评估访问规则的性能。例如,资源安全系统可以使用该报告来确定由访问规则产生的假阳性的百分比,并相应地调整有效性信息。
资源安全系统可以基于其性能定期更改或更新访问规则。为了生成更新的候选访问规则集,资源安全系统可以选择访问请求参数中的某些参数,并通过将所选参数分割成多个条件来生成多个潜在访问规则。然后,资源安全系统可以独立地和并行地评估相互排斥的分段,从而快速高效地生成从潜在访问规则选择的更新候选访问规则集。
I.资源安全系统
资源安全系统可以接收访问资源的请求。为了确定访问请求是否是欺骗性的,资源安全系统可以包括访问服务器,以基于访问规则确定访问请求的结果。资源安全系统还可以包括访问规则生成系统,以用于生成和选择由访问服务器实施的访问规则。下面更详细地描述了资源安全系统。
A.用于保护对资源的访问的资源安全系统
图1示出了根据一些实施例的用于提供对资源的访问的资源安全系统100。图1中示出的箭头表示资源安全系统100的各元件之间的信息流。资源安全系统100可以用于给授权用户提供对资源的访问,同时拒绝未授权用户的访问。此外,资源安全系统100可以用来拒绝似乎是授权用户的合法访问请求的欺骗性访问请求。资源安全系统100可以实施访问规则122以基于访问请求的参数识别欺骗性访问请求。资源安全系统100可以基于其性能定期更新访问规则122。
资源安全系统100包括资源计算机110。资源计算机110可控制对物理资源118或电子资源116的访问,物理资源例如建筑物或锁箱,电子资源例如本地计算机账户、数字文件或文档、网络数据库、电子邮件收件箱、支付账户或网站登录。在一些实施例中,资源计算机可以是web服务器、电子邮件服务器或账户发行方的服务器。资源计算机110可以通过用户140的用户装置150(例如,计算机或移动电话)接收来自用户140的访问请求。资源计算机110还可以通过与访问装置160(例如,小键盘或终端)耦合的请求计算机170接收来自用户140的访问请求。在一些实施例中,请求计算机170可以是与拥有或操作资源计算机110的资源提供商不同的服务提供商。
访问装置160和用户装置150可以包括用户输入接口,诸如小键盘、键盘、指纹读取器、视网膜扫描器、生物特征读取器、磁条读取器、芯片卡读取器、射频识别接口或无线或非接触式通信接口。用户140可以将授权信息输入到访问装置160或用户装置150中以访问资源。授权信息可以包括例如用户名、账号、令牌、密码、个人识别号、签名以及数字证书中的一个或多个。响应于接收用户140输入的授权信息,用户装置150或请求计算机170可以向资源计算机110发送访问请求以及访问请求的一个或多个参数。访问请求可以包括由用户140提供的授权信息。
在一个示例中,用户140可以将账号、个人识别号和密码中的一个或多个输入到访问装置160中,以请求访问物理资源(例如,打开锁着的安全门以便进入建筑物或锁箱),并且请求计算机170可以生成并将访问请求发送至资源计算机110,以请求访问该资源。在另一示例中,用户140可以操作用户装置150以输入用户名和密码作为对资源计算机110的请求,以提供对由资源计算机110托管的电子资源116(例如,网站登录或文件)的访问。在另一示例中,用户装置150可以发送数据或信息(例如,电子邮件),以请求资源计算机110(例如,电子邮件服务器)提供对电子资源116的数据或信息访问(例如,将电子邮件传送到收件箱)。在另一示例中,用户140可以将账号和/或个人识别号提供至访问装置160,以便请求访问资源(例如,支付账户),用于进行交易。资源计算机110还可以以其它方式接收访问请求。
在一些实施例中,资源计算机110可以基于存储于请求计算机170处的信息验证访问请求的授权信息。在其它实施例中,请求计算机170可以基于存储于资源计算机110处的信息验证访问请求的授权信息。资源计算机110可以基于授权信息的验证而授予或拒绝对资源的访问。
资源计算机110可以基本上实时地接收请求,所述实时考虑了计算机处理和电子通信的延迟。一旦接收访问请求,资源计算机110可以确定访问请求的参数。在一些实施例中,参数可以由用户装置150或请求计算机170提供。例如,访问请求的参数可以包括以下当中的一个或多个:接收访问请求的时间,接收访问请求的星期几,访问请求的源位置,请求的资源量,被请求的资源的标识符,用户140的标识符,访问装置160的标识符,用户装置150的标识符,请求计算机170的标识符,用户140的位置,访问装置160的位置,用户装置150的位置,请求计算机170的位置,资源计算机110接收访问请求的时间、地点或方式的指示,用户140或用户装置150发送访问请求的时间、地点或方式的指示,电子资源116或物理资源118的请求使用的指示和被请求的资源的类型、状态、数量或形式的指示。在其它实施例中,请求计算机170或访问服务器120可以确定访问请求的参数。
尽管资源计算机110可以确定访问请求包括正确的认证信息,资源计算机110仍可以将访问请求的参数发送到访问服务器120,以便确定访问请求是否是欺骗性的。访问服务器120可以在访问服务器120的系统存储器中存储一个或多个访问规则122,以用于识别欺骗性访问请求。每个访问规则122可以包括对应于访问请求的一个或多个参数的一个或多个条件。访问服务器120可以通过将访问规则122与访问请求的参数进行比较确定访问请求结果,访问请求结果指示是否应当接受(例如,授予对资源的访问)、拒绝(例如,拒绝对资源的访问)或审核访问请求,这在下面进一步描述。在一些实施例中,代替确定访问请求结果,访问服务器120可以基于访问规则的结果确定评估得分。评估得分可以指示要使访问请求为欺骗性的风险或可能性。如果评估得分指示访问请求可能是欺骗性的,则访问服务器120可以拒绝该访问请求。
访问服务器120可以将访问请求结果的指示发送至资源计算机110(例如,接受、拒绝或审核)。在一些实施例中,访问服务器120则可以将评估得分发送至资源计算机110。资源计算机110然后可以基于访问请求结果或评估得分的指示授予或拒绝对资源的访问。例如,如果从访问服务器120接收的访问请求结果或评估得分指示“接受”,则资源计算机110可以向用户140或用户装置150提供对资源的访问。如果从访问服务器120接收的访问请求结果或评估得分指示“拒绝”,则资源计算机110可以不向用户140或用户装置150提供对资源的访问。如果访问请求结果或评估得分指示“审核”,则资源计算机110可以启动访问请求的审核过程。审核过程可能涉及联系用户140或请求访问涉及的另一实体(例如,资源提供商或另一服务提供商)。
在一些实施例中,访问服务器120可以由用户远程访问。对访问服务器120的远程访问可以真正提供实时和离线监测访问规则操作集。例如,可以监测访问规则触发和预测能力表现。访问服务器120可以在安全环境中存储访问请求和访问规则数据及日志,并实施用户权限和用户角色管理,以用于访问不同类型的存储数据。例如,可以设置用户权限以使用户能够执行以下操作中的一个或多个操作:查看接收访问请求的日志、查看访问请求结果的日志、启用或禁用访问规则122的执行、更新或修改访问规则122、更改某些访问请求结果。可以为不同用户设置不同的权限。
为了评估访问规则的性能,资源计算机110可以存储其接收的每个访问请求的访问请求信息。访问请求信息可以包括每个访问请求的参数以及访问请求的访问请求结果的指示。资源计算机110还可以存储对应于每个访问请求的有效性信息。有效性信息可以指示访问请求是合法的还是欺骗性的。与访问请求关联的有效性信息最初可以基于相应的访问请求结果。例如,有效性信息可以指示访问请求是合法的,且被拒绝的访问请求是欺骗性的。可以基于接收的对该访问请求的报告或基于对该访问请求的审核过程更新有效性信息。在一些实施例中,访问服务器120或请求计算机170可以生成并存储访问请求信息和有效性信息。
由访问服务器120实施的访问规则122可以由访问规则生成系统130生成。在一些实施例中,访问服务器120和访问规则生成系统130的功能可以由同一服务器或若干服务器执行。访问规则生成系统130可以基于访问请求信息和有效性信息为访问服务器120生成候选访问规则134。由访问服务器120实施的访问规则122可以从候选访问规则134的集中选择。为了生成候选访问规则134,访问规则生成系统130可以从资源计算机110或访问服务器120接收访问请求信息和与访问请求信息对应的有效性信息。访问规则生成系统130可以基于访问请求信息和相应的有效性信息来生成并选择候选访问规则134。
访问规则生成系统130可以定期从资源计算机110或访问服务器120接收新的或更新的访问请求信息和有效性信息。访问规则生成系统130然后可以基于新的或更新的访问请求信息和有效性信息重新生成候选访问规则134。因此,候选访问规则134可以基于最近的欺骗性资源使用模式和最近的合法资源使用模式。访问规则生成系统130可以将新的或更新的候选访问规则134发送至访问服务器120以实施。下面进一步描述了由访问规则生成服务器生成和选择候选访问规则。
B.在执行规则评估的同时确定访问请求结果的访问服务器
如上面讨论的,资源安全系统可以包括访问服务器,访问服务器使用访问规则基于访问请求参数确定访问请求结果。可以使用从访问规则生成系统接收的候选访问规则定期地更改或更新由访问服务器实施的访问规则。访问规则生成系统可以基于其欺骗检测性能生成候选访问规则。但是,可能无法评估当前由访问服务器实施的访问规则的欺骗检测性能,原因是这些规则被用来拒绝被确定为欺骗性的访问请求。例如,当访问请求被拒绝时,可能无法确定该访问请求结果“拒绝”是否为假阳性,原因是假阳性信息可以基于欺骗性活动的报告,而欺骗性活动不会被接收。如下面进一步描述的,访问服务器可以接受本会被访问规则结果拒绝的某些访问请求,以便基于接收的这些访问请求的报告来评估该访问规则的性能。
图2示出了根据一些实施例的在执行规则评估的同时确定访问请求结果的访问服务器200的功能框图。访问服务器200可以类似于上述图1的访问服务器120操作。访问服务器200可以用在类似于上述图1的资源安全系统100的资源安全系统中。如下面进一步描述的,访问服务器200可以将一个或多个访问规则222加载到访问服务器的系统存储器中,并基于访问请求的参数确定访问请求的访问请求结果或评估得分。访问服务器200然后可以将访问请求结果或评估得分提供回资源计算机,资源计算机可以相应地授予或拒绝对资源的访问。
首先,在201处,访问服务器200可以获得某个访问请求的访问请求参数。访问请求参数可以通过网络实时地从资源计算机或者从请求计算机接收。例如,访问请求参数可以包括以下当中的一个或多个:接收访问请求的时间,接收访问请求的星期几,访问请求的源位置,请求的资源量,被请求的资源的标识符,用户的标识符,访问装置的标识符,用户装置的标识符,请求计算机的标识符,用户的位置,访问装置的位置,用户装置的位置,请求计算机的位置,资源计算机接收访问请求的时间、地点或方式的指示,用户或用户装置发送访问请求的时间、地点或方式的指示,资源的请求使用的指示和被请求的资源的类型、状态、数量或形式的指示。在一些实施例中,用户、用户装置、访问装置或请求计算机可以提供访问请求的一个或多个参数。
在202处,在获得访问请求参数之后,访问服务器200可以确定每个访问规则222的访问规则结果。为了确定访问规则结果,访问服务器200可以访问访问服务器200的系统存储器以获得访问规则222。每个访问规则222包括一个或多个可以由某个参数值或参数值范围满足的条件。通过将访问请求参数的参数值与访问规则222的一个或多个条件比较,访问服务器200可以确定特定访问规则222的访问规则结果。如果访问请求的参数值满足该特定访问规则222的一个或多个条件,则访问规则222被该访问请求“触发”,访问规则222提供其关联的访问规则结果。特定访问规则222的访问规则结果可以是“接受”、“拒绝”或“审核”之一。在一些实施例中,访问规则结果可以是指示接受、拒绝或审核的评估得分。
在确定访问规则结果的一个示例中,可以针对网站账户登录的访问请求接收访问请求参数。在本示例中,访问请求的参数可以包括“源位置”和“授权用户位置”,源位置指示请求访问的用户或装置的地理位置,授权用户位置指示网站账户的授权用户的地理位置。在此示例中,当“源位置”与“授权用户位置”不匹配时,某个访问规则可以具有被满足(例如,触发)的条件。由于“源位置”与“授权用户位置”不匹配,这可能指示欺骗性活动,因此访问规则在触发时可以具有“拒绝”结果。因此,来自与授权用户的位置不匹配的位置的访问请求可以被拒绝。
在确定访问规则结果的另一示例中,访问请求可以针对支付交易,并且访问请求的参数可以包括“交易金额”和“运输国家”以用于运输交易中购买的货物。在本示例中,当“交易金额”超过1,000美元并且当“运输国家”是具有更高欺骗报告的国家时,某个访问规则可以具有被满足的条件。此访问规则可以具有“拒绝”的访问请求结果。因此,可能会拒绝向某个国家运输总计超过1,000美元货物的交易的访问请求。
在确定访问规则结果的另一个示例中,访问服务器可以获得访问请求的访问请求参数,以便向收件箱传送电子邮件消息。访问请求的参数可以包括来自电子邮件消息的一个或多个字母数字关键字以及电子邮件消息的“源IP地址”。在本示例中,某个访问规则可以具有第一条件,该条件在一个或多个关键字匹配指示为“垃圾邮件”或欺骗的一个或多个存储字时被满足。该访问规则可以具有第二条件,当IP地址落在IP地址的某一范围内时,第二条件被满足。因此,如果垃圾邮件包含某些关键字且从特定范围的IP地址发送,则垃圾邮件消息可能不会传送到收件箱。
在203处,在确定每个访问规则222的访问规则结果之后,访问服务器200可以基于访问规则结果确定访问请求结果。访问请求结果可以指示“接受”、“拒绝”或“审核”。在确定访问请求结果的一个示例中,如果访问规则结果中的任一个都为“接受”,则访问服务器200可以确定访问请求结果为“接受”。在另一示例中,如果一个或多个访问规则结果为“拒绝”,而且访问规则结果中没有一个是“接受”,则访问服务器200可以确定访问请求结果为“拒绝”。在另一示例中,如果一个或多个访问规则结果为“拒绝”,且一个或多个访问规则结果为“接受”,则访问服务器200可以确定访问请求结果为“审核”。在其它实施例中,访问服务器200可以基于访问规则评估得分确定访问请求评估得分。访问请求评估得分可以基于阈值指示“接受”、“拒绝”或“审核”结果。
如上所述,可以评估由访问服务器200实施的访问规则,以便确定其欺骗检测性能。在204处,访问服务器200可以确定是否接受特定访问请求,以评估被触发的访问规则的性能。例如,如果访问请求结果不是“拒绝”或“审核”,访问服务器200则可以提供访问请求结果“接受”,从而导致授予访问请求,允许在欺骗性访问发生时对其进行报告。通过接受访问请求,可以基于接收的报告确定由被触发的访问规则产生的假阳性的百分比。例如,在评估过程中,具有“拒绝”结果的访问规则可以由被接受的访问请求触发。如果对于该访问请求未报告欺骗性访问,则表明之前访问规则的触发是假阳性。访问规则222的此类假阳性信息可以用来调整触发相同访问规则222的其它访问请求的有效性信息。
在204处,访问服务器200可以确定是否基于某些标准或阈值评估被触发的访问规则。例如,访问服务器200可以基于以下一个或多个来执行评估:自上次评估起接收的访问请求数量、自上次评估起触发此访问规则的访问请求数量、自上次评估起的时间量、自评估此访问规则起的时间量以及随机数发生器。在一个示例中,访问服务器200可以接受本会被某个访问规则拒绝的每100个访问请求中的1个。在另一示例中,访问服务器可以基于随机数发生器自动地接受所有访问请求的0.5%。
如果访问服务器200确定不接受访问请求作为在204处的评估过程的一部分(例如,步骤204的决策是否),则访问服务器200可以提供访问请求结果的指示(例如,接受、拒绝或审核)。访问请求结果的指示可以被发送至将访问请求或访问请求参数发送至访问服务器200的计算机(例如,资源计算机或请求计算机)。然而,如果访问服务器200确定接受访问请求以用于评估被触发的访问规则(例如,步骤204的决策为是),则访问服务器可以提供访问请求结果为“接受”的指示,不管在步骤203处确定的访问请求结果如何。
访问服务器可以存储关于访问请求和正在评估的访问规则的评估信息250。评估信息250可以包括正由访问服务器200实施的访问规则222的标识符。评估信息还可以包括在204处的评估过程中接受的每个访问请求的记录。每个访问请求的记录可以包括被接受的访问请求的标识符、被触发的访问规则222的标识符,以及在203处确定的访问请求结果。评估信息250还可以包括被接受的用于评估被触发的访问规则的访问请求的参数的指示。
由于欺骗性访问模式和合法访问模式可能随时间的推移而变化,当前实施的访问规则222的欺骗检测性能可能会随时间的推移而降低。通过接受某些访问请求以用于对当前实施访问规则222进行评估,可以确定这些访问规则是否提供上述所讨论的假阳性。因此,通过更好地执行访问规则,可以更新或替换具有不良欺骗检测性能的访问规则222。对当前实施的访问规则的评估是有利的,原因是较少的假阳性意味着被非故意地拒绝访问资源的授权用户更少。评估是有利的原因还有更少的欺骗性访问请求被授予,从而改进资源的安全性。
II.使用决策树的访问规则生成和选择
如上面讨论的,资源安全系统可以包括用于生成和选择要由访问服务器实施的候选访问规则的访问规则生成系统。在一些实施例中,访问规则生成系统可以使用决策树或使用分段法来生成访问规则,这在下面进一步描述。
图3示出了根据一些实施例的使用决策树生成和选择访问规则的访问规则生成系统300的功能框图。访问规则生成系统300可以类似于图1的访问规则生成系统130操作。访问规则生成系统300可以在类似于上述图1的资源安全系统100的资源安全系统中实施。
如下文进一步描述的,访问规则生成系统300可以基于先前由访问服务器接收的访问请求使用决策树生成候选访问规则334。访问规则生成系统300生成具有对应于某些访问规则参数条件的节点的决策树。访问规则生成系统300然后可以确定决策树的分支内的节点的性能。分支的性能可以基于具有与分支的条件对应的参数的访问请求的有效性信息。访问规则生成系统300可以继续选择构建分支的节点,直到确定最佳性能分支。访问规则生成系统300然后可以生成候选访问规则334,其具有与分支的条件对应的条件。
访问规则生成系统300可以使用决策树继续构建候选访问规则。访问规则生成系统300可以通过返回树中的更高节点来确定下一个最佳性能分支,以继续评估分支的性能。在生成一个或多个候选访问规则334之后,访问规则生成系统300可以向访问服务器提供候选访问规则334以用于确定访问请求结果。
A.用于生成访问规则的存储的信息
访问规则生成系统300可以存储作为被生成的访问规则的基础的信息。存储的信息可以反映生成的访问规则能够识别的欺骗性资源使用和合法资源使用的类型。访问规则生成系统300可以存储访问请求信息310、有效性信息320和评估信息350。访问请求信息310、有效性信息320和评估信息350可以从资源计算机、请求计算机或访问服务器中的一个或多个接收。
访问请求信息310可以包括先前由访问服务器接收的多个访问请求。访问请求信息310可以包括每个访问请求的访问请求参数。访问请求信息310还可以包括访问请求结果是否为拒绝、接受或审核的指示。
有效性信息320可以指示访问请求信息310中的每个访问请求是合法的还是欺骗性的。例如,有效性信息320可以指示访问请求信息310的某个访问请求被报告为欺骗性的或某个访问请求被报告为合法的指示。与某个访问请求对应的有效性信息也可以基于由访问服务器确定的访问请求的访问请求结果。例如,被拒绝的访问请求最初可以有相应的指示访问请求是欺骗性的有效性信息,并且被接受的访问请求最初可以有相应的指示访问请求是合法的有效性信息。可以基于欺骗性访问的报告或拒绝合法访问的报告(例如,直到稍后时间才可以接收报告,或可以在稍后接收某个访问请求的附加报告),随时间的推移更新与某个访问请求对应的有效性信息320。
评估信息350可以包括由访问服务器实施的访问规则的标识符。评估信息350还可以包括在访问服务器的评估过程中接受的每个访问请求的记录。每个访问请求的记录包括被接受的访问请求的一个或多个标识符、被触发的访问规则的标识符以及访问请求结果。评估信息350还可以包括被接受的用于评估被触发的访问规则的访问请求的参数的指示。
B.调整有效性信息以考虑假阳性
在生成潜在访问规则之前,在301处,访问规则生成系统300可以使用评估信息350调整有效性信息320。访问规则生成系统300可以调整有效性信息320,以考虑被访问服务器实施的访问规则拒绝的访问请求中的假阳性。访问规则生成系统300可以基于接收的由该访问规则触发的访问请求(例如,在评估过程中接受的访问请求)的报告确定某个访问规则(例如,由访问服务器实施的访问规则)的假阳性百分比。
在调整有效性信息的一个示例中,评估信息350可以指示在某个时间段内访问服务器接受而不是拒绝由特定访问规则触发的一百个访问请求。然而,有效性信息320可以指示一百个访问请求中只有六十个访问请求已经被报告为欺骗性的。在此示例中,该访问规则的结果为该时间的40%的假阳性(100中有40个)。访问规则生成服务器300可以调整与由该访问规则拒绝的访问请求对应的有效性信息,以考虑访问规则的40%假阳性百分比。例如,访问规则生成服务器300可以调整对应访问请求的有效性信息,使得有效性信息指示触发访问规则的40%的访问请求是合法的,而不是欺骗性的。在另一示例中,有效访问请求可以在有效性信息320中被分配0.0的有效性得分,欺骗性访问请求可以被分配1.0的有效性得分。访问规则生成系统300然后可以基于假阳性百分比调整与触发访问规则的访问请求对应的有效性得分。在此示例中,访问规则生成系统300可以给被提供该时间的40%的假阳性的访问规则拒绝的访问请求分配有效性得分0.6,而不是1.0。因此,这些访问请求可以被视为60%欺骗性的,而不是100%欺骗性的。经调整的有效性信息(例如,有效性得分)可以被访问规则生成系统300用于确定潜在访问规则的性能。
通过调整有效性信息320以考虑假阳性,访问规则生成系统300可以选择访问规则来替换当前由访问服务器实施的表现欠佳的访问规则,从而导致将来有更少的假阳性。具有更少的假阳性是有利的,是由于取决于访问服务器的目的和实施,更准确的访问规则导致被拒绝访问其网站账户的用户更少、被拒绝的商品或服务的合法交易更少以及标记为“垃圾”电子邮件的合法电子邮件更少。此外,由于假拒绝,需要被重新发送的合法访问请求更少,所以用户装置和资源计算机可以在请求对资源的访问过程中消耗更少的网络资源。
不管使用哪种方法,经调整的有效性信息可用于生成访问规则。例如,经调整的有效性信息可用于使用决策树生成访问规则,并且也可以使用分段法来生成访问规则。使用决策树,访问请求集可对应于决策树的某个分支,并且这些访问请求的经调整的有效性信息可以用于确定分支的性能。使用分段法,唯一的访问请求集可以对应于某个相互排斥的条件段,并且这些访问请求的经调整的有效性信息可以用于确定分段的性能。下面参考图4进一步讨论了使用决策树生成访问规则,并且下面参考图5和图6进一步讨论了使用分段法生成访问规则。
C.使用决策树生成访问规则
访问规则生成系统300可以使用302-307处的流程使用决策树来生成访问规则。图4示出了根据一些实施例的用于生成访问规则的示例性决策树400。决策树400包括多个“节点”401、410-419、420-426和430-433。在图4的决策树400中,节点由圆表示。决策树400开始于“根”节点401,该节点向下分支成多个“子”节点,子节点通过顶点连接到根节点401。例如,连接到根节点401的节点410-419是根节点401的子节点,节点420-246是节点414的子节点,节点430-433是节点421的子节点。沿着树从父节点移动到子节点的互连节点通常被称作决策树400的“分支”。如下文进一步描述的,决策树400的分支可以用来生成访问规则。在决策树400中,子节点仅连接到父节点。子节点彼此互连。
在图4中,每个节点表示访问规则的一个条件,访问规则指示于节点内。例如,节点414代表条件X22。此外,节点的每个分支表示访问规则的一个或多个条件,访问规则指示在节点下方。例如,包括节点414和节点423的分支代表条件X22X31。在决策树400中,根节点401可以不表示任何条件。访问规则生成系统300可以基于访问请求信息310中的访问请求参数确定节点的条件。在图4中,最佳性能节点/分支具有实线,其它节点/分支具有虚线。为了简化表示,图4没有显示决策树400的所有节点或分支。例如,图4中未示出的决策树400的节点以省略号(……)表示。此外,图4中未示出决策树400的某些分支。
访问规则生成系统300可以使用决策树400生成具有某些条件的访问规则。访问规则生成系统300可以基于访问请求信息310生成决策树400。在其它实施例中,访问规则生成系统300可以根据不同访问请求信息生成不同的决策树。例如,访问请求参数可以包括参数X1,其指示访问请求的“星期几”参数。在此示例中,访问规则生成系统300可以确定与参数X1可用的一星期的七天相对应的七个条件:X11、X12、X13、X14、X15、X16和X17。另一个参数X2可以指示访问请求的“运输状态”参数,且可以包括与美国五十个州中的每一个州对应的五十个条件X21至X250。另一个参数X3可以指示访问请求的“资源量”参数,且可以包括与资源数量的十个相互排斥的数值范围对应的10个条件X31至X310。决策树400还可以包括其它非指定参数条件XYZ。
访问规则生成系统300可以基于决策树400生成具有某些条件的访问规则。一般来说,用于生成访问规则的决策树过程可以评估第一级中的每个节点,直到确定最佳性能节点。最佳性能节点可以具有最少的决策误差(例如,合法访问请求被确定为欺骗性的“假阳性”和未检测到欺骗性访问请求的“假阴性”)。性能可以基于决策误差的数量或百分比,或基于节点条件的预测百分比。然后,决策树过程在最佳性能节点上进行二元分割,使得左分割是满足最佳性能节点的条件的第一树,右分割是不满足最佳性能节点的条件的第二树。在满足一个或多个停止标准之前,重复此性能评估和分割过程。
下面描述了生成访问规则的示例决策树流程。再参考图3,在302处,访问规则生成系统300可以确定图4中所示的根节点401的每个子节点410-419的欺骗检测性能。为了确定每个子节点410-419的性能,访问规则生成系统300可以从访问请求信息310确定具有的参数满足与特定节点410-419关联的条件的访问请求集。访问规则生成系统300可以基于其对应访问请求的有效性信息320确定每个特定节点410-419的性能。性能可以基于“预测误差”百分比来确定。检测误差百分比可以基于与特定节点关联的条件的“假阳性”百分比(例如,被确定为欺骗性的合法访问请求)和“假阴性”百分比(例如,被确定为合法的欺骗性请求)。如上所述,在301处,可以调整有效性信息320。例如,总共有100个访问请求。在此示例中,访问规则生成系统300可以基于条件X22(由节点414表示)确定100个访问请求的访问请求结果。访问规则生成系统300可以基于条件X22(由节点414表示)是否被满足确定100个访问请求中将被授予的访问请求数量以及将被拒绝的访问请求数量。在此示例中,这100个访问请求结果中有10个是假阳性或假阴性。因此,在节点414处分开的检测误差百分比可以是10%。与具有更大检测误差百分比的其它节点相比,具有较低检测误差百分比的节点被认为具有更高性能(例如,更少的误差意味着更好的性能)。
在303处,访问规则生成系统300可以选择最佳性能节点(例如,具有最大欺骗预测百分比的节点)以分割决策树。例如,参考图4,访问规则生成系统300可以确定与条件X22关联的节点414具有最高性能(例如,与其它子节点410-413和子节点415-419相比,在节点414处的分割具有更低的检测误差百分比)。因此,访问规则生成系统300可以选择节点414来分割分支。如图4中所示,实线表示在每一级具有最佳性能的节点增加分支,而虚线表示其它可能的节点。在图4中,实线将节点401连接至节点414,而节点410-413和节点415-419由虚线连接至节点401。
在节点414处的分割可以是二元分割,使得左分割是满足最佳性能节点的条件(即,节点414的条件X22)的第一树(包含图4中的节点420-423),右分割是不满足最佳性能节点的条件的第二树(包含图4中的节点424-427)。如图4中所示,符号(′)用于表示相应的条件不被满足。例如,标有X′22的条件表示条件X22不被满足。从节点414处的二元分割中,左分割中的节点420-423包括条件X22,而右分割中的节点424-427包括条件X′22。如图4中所示,从节点414的左分割和从节点414的右分割以实线连接,表示树的最佳性能分支。
在304处,在选择根节点401之外分支的第一节点(例如,节点414)以分割之后,接着访问规则生成系统300可以确定树的第二级中的每个节点(例如,节点420-427)的性能,包括在节点414的左分割中的节点(例如,节点420-423)和在节点414的右分割中的节点(例如,节点424-427)。
如图4中所示,树的第二级中的每个节点(节点420-427)包括分割的对应分支的条件。在图4中,条件显示在节点下方。例如,包括节点421的分支具有条件X22X12,原因是作为节点421的父节点,节点414具有条件X22,节点421具有条件X12。在一些实施例中,节点414的子节点可以不包括X2参数内的条件,原因是节点414与该参数(例如,X22)的条件关联。在构建分支后,访问规则生成系统300可以为每个分支确定满足该分支中所包括节点的每个条件的访问请求信息310的访问请求。然后,访问规则生成系统300可以确定树的第二级中的每个节点(例如,节点420-427)的性能,所述确定基于与具有满足特定节点的条件的参数的访问请求对应的有效性信息320(或者对于右分割,如由符号“'”指示的,特定条件不被满足)。
在305处,访问规则生成系统300可以确定是否基于一个或多个停止标准继续构建当前分支(例如,树包含一定级数,或当每个节点仅对应于有效访问请求或仅对应于无效访问请求时)。如果访问规则生成系统300确定继续构建分支(例如,305处的决策为是),则访问规则生成系统300可以返回到303,以重复选择构建树的节点的过程,然后在304处确定分支的性能。
访问规则生成系统300可以对树的每个分割(例如,节点414的左分割和节点414的右分割)选择构建树的一个节点。参考图4,访问规则生成系统300可以确定节点421(条件X22X12)的性能比节点414的左分割内的其它节点(即节点420、422和423)的性能更高。对于节点414的右分割,访问规则生成系统300可以确定节点426是右分割内节点(例如,节点424-427)中的最高性能节点。
在305处,访问规则生成系统300可以基于一个或多个停止标准来确定是否继续构建树。如果访问规则生成系统确定继续构建树,则在满足一个或多个停止标准之前,重复选择每个分割的最佳性能节点的过程。如图4中所示,节点430可以是节点421的左分割中的最佳性能节点,节点431可以是节点421的右分割中的最佳性能节点,节点432可以是节点426的左分割中的最佳性能节点,节点433可以是节点426的右分割中的最佳性能节点。
一旦满足停止标准,在306处,访问规则生成系统300可以基于树的每个分割的节点的条件生成候选访问规则334。参考图4,在一个示例中,停止标准可以是具有三级的树,四个分支的最佳性能节点可以是节点430、431、432和433。因此,访问规则生成系统300可以生成具有条件X22X12X45的第一候选访问规则、具有条件X′22X′12X63的第二候选访问规则、具有条件X′22X310X17的第三候选访问规则以及具有条件X′22X′310X53的第四候选访问规则。访问规则生成系统300可以向访问服务器提供要被实施的候选访问规则334以用于确定访问请求结果。
如上面讨论的,访问规则生成系统300可以通过重复确定子节点的性能,然后选择要构建分支的节点来使用决策树(例如,决策树400)生成候选访问规则。此过程可能需要消耗大量计算资源。例如,访问请求信息310可以包括几十万个访问请求,以便具有欺骗活动模式的代表性样本。在分支的每个节点,基于访问请求信息310评估所有可能的分割。此外,决策树上的每一级向下的节点都取决于树的以前各级中的节点。因此,在构建决策树时,访问规则生成系统300每次确定和比较节点性能时可能需要消耗大量计算资源,原因是它需要确定节点性能并且进行许多次比较。因此,访问规则生成系统300通过使用决策树生成候选访问规则可能需要花费很长时间,并且可能消耗大量计算资源。与类似图4中的示例的二元分割相比,在使用三元分割或四元分割的决策树中这种复杂性可能加剧。如下面进一步描述的,使用分段法来代替决策树,可以更快速、更高效地处理候选访问规则的生成和选择。
III.基于分段法的规则生成和选择
代替使用上文参考图3和图4讨论的决策树生成访问规则,访问规则生成系统可以使用分段法生成访问规则。通过使用相互排斥分段,访问规则生成系统可以生成可以被独立地评估的独立访问规则。因此,访问规则生成系统可以并行地实施访问规则生成过程,因此与使用决策树的访问规则生成过程相比使访问规则生成更快、更高效。
如下面进一步描述的,使用分段法生成访问规则可以涉及选择某些访问请求参数并将这些参数分割成多个相互排斥的条件。每个访问规则都可以具有来自每个选定参数的一个条件,并且可以生成条件的每种组合的访问规则。因此,基于使用分段法生成的访问规则可以被独立地生成和评估,从而使得能够使用同步并行处理。此外,使用决策树生成访问规则可能要求在每个分支分割处进行性能评估。相比之下,使用分段法生成访问规则可以首先生成每个潜在访问规则,然后一次性评估所有潜在访问规则。因此,与使用决策树相比,访问规则生成系统可以使用分段法更快、更高效地生成访问规则,原因是决策树过程是迭代的,且不能被同时执行。
A.使用分段法生成访问规则的系统
图5示出了根据一些实施例的使用分段法生成和选择访问规则的访问规则生成系统500的功能框图。访问规则生成系统500可以类似于图1的访问规则生成系统130操作。访问规则生成系统500可以在类似于上述图1的资源安全系统100的资源安全系统中实施。如下面进一步描述的,访问规则生成系统500可以基于先前由访问服务器接收的访问请求以及与这些访问请求对应的有效性信息使用分段法生成候选访问规则534。访问规则生成系统500然后可以向访问服务器提供候选访问规则534,以用于确定访问请求结果。
访问规则生成系统500可以存储如本文所讨论的访问请求信息510、有效性信息520以及评估信息550。在生成访问规则之前,在501处,访问规则生成系统500可以使用评估信息550来调整有效性信息520,以考虑上述假阳性。
为了使用分段法生成访问规则,在502处,访问规则生成系统500可以从访问请求参数中选择两个或多个参数(例如,数十个或数百个参数),以用于分割访问请求信息510的访问请求。例如,在502处,访问规则生成系统500可以选择一百个参数,用于分割访问请求信息510的访问请求。访问规则生成系统500可以选择对欺骗性访问请求敏感的参数。例如,可以基于当前由访问服务器实施的访问规则的条件选择一些参数。在一些实施例中,代替在502处由访问规则生成系统500选择参数,参数可以被预先选择。也就是说,访问规则生成系统500可以使用预先确定的参数来生成和选择访问规则。预先确定的参数可能已经基于已知指示欺骗的条件选择好。
在一个示例中,访问请求信息510可以包括具有以下参数的访问请求,这些参数有“用户地理位置”参数X1、“资源量”参数X2、“星期几”参数X3、“时间”参数X4和“请求计算机标识符”参数X5。在此示例中,“用户地理位置”参数X1和“资源量”参数X2可以具有是欺骗的最好指示的关联条件,并且可以基于这些参数生成具有若干条件的访问规则。在其它实施例中,访问请求可以具有不同参数。在其它实施例中,访问规则生成系统500可以选择用于生成访问规则的不同数量的参数。
在选择参数后,访问规则生成系统500可以确定与每个参数(例如,参数X1和参数X2)关联的多个条件。例如,访问请求的“用户地理位置”参数X1可以具有分类参数值,访问规则生成系统500可以基于不同类别将条件X11、X12、X13和X14与“用户地理位置”参数X1关联。例如,条件X11可以由参数值为“加利福尼亚”的参数X1满足,条件X12可以由参数值为“亚利桑那”的参数X1满足,条件X13可以由参数值为“俄勒冈”的参数X1满足,条件X14可以由参数值为“华盛顿”的参数X1满足。
访问请求的“资源量”参数X2可以具有数字参数值,并且访问规则生成系统500可以基于数值范围将条件X21、X22、X23、X24、X25和X26关联。例如,条件X21可以由参数值小于100的参数X2满足,条件X22可以由参数值大于或等于100但小于500的参数X2满足,条件X23可以由参数值大于或等于500但小于2,000的参数X2满足,条件X24可以由参数值大于或等于2,000但小于5,000的参数X2满足,条件X25可以由参数值大于或等于5,000但小于20,000的参数X2满足,条件X26可以由参数值大于20,000的参数X2满足。在其它实施例中,可以使用不同的阈值。访问规则生成系统可以确定条件的数量和条件的范围,或者针对特定参数,条件的数量和范围可以被预先确定。
在选择访问请求参数后(例如,参数X1和参数X2),在503处,访问规则生成系统500可以基于在502处选择的参数生成多个潜在访问规则。访问规则生成系统500可以生成多个潜在访问规则,使得每个访问规则都具有来自每个被选定参数的一个条件,并且独立于其它潜在访问规则中的每一个。也就是说,多个潜在访问规则的条件是相互排斥的。由于访问规则是独立的,因此访问规则生成系统500可以并行地同时生成多个访问规则。
在一些实施例中,在502处选择参数之后,但在503处生成访问规则之前,访问规则生成系统300可以合并相关参数的两个或更多个条件。将多个条件合并成单个条件可以降低运行访问规则的计算复杂性,原因是可能有更少的条件要检查。例如,如果选择了两个条件X21和X22,条件X21被参数值小于100的参数X2满足,条件X22被参数值大于或等于100但小于500的参数X2满足,条件X21和X22可以被合并。合并的条件可以由参数值小于500的参数X2满足(例如,条件X2<100且100≤X2<500的组合)。
B.在生成访问规则时使用分段图
分段图可以用来表示在503处生成的潜在访问规则的相互排斥条件。图6示出了根据一些实施例的用于生成和选择访问规则的示例性分段图600。分段图包括与在503处生成的访问规则的条件对应的分段601-620。例如,分段601对应于条件X11X21,分段602对应于条件X11X22,等等。如图6所示,每个分段都是相互排斥的。
访问规则生成系统500可以基于访问请求的参数将访问请求信息510的每个访问请求与特定分段601-620关联。例如,具有的参数满足与特定分段610-620关联的条件的访问请求可以与该分段601-620关联。
在分段图600中,与某个分段601-620关联的访问请求可以由该分段601-620内的“X”标志或“O”标志表示。“X”标志代表欺骗性访问请求,“O”标志代表合法访问请求。访问规则生成系统500可以基于与该访问请求对应的有效性信息520确定特定访问请求是合法的还是欺骗性的。为简单起见,分段图600仅显示每个分段601-620的几个访问请求。然而,访问规则生成系统500可以基于几十万个访问请求或更多访问请求生成访问规则。在一些实施例中,不使用“X”和“O”标志,访问请求可以用有效性得分表示,其中0.0指示合法访问请求,1.0指示欺骗性访问请求。在此类实施例中,可以通过访问规则生成系统(例如,在501处)调整有效性得分,以考虑如上所述的假阳性。
再参考图5,在504处,访问规则生成系统500可以确定每个潜在访问规则的性能。为了确定每个潜在访问请求的性能,访问规则生成服务器可以基于该分段601-620内的访问请求确定每个分段601-620的预测百分比。如图6的分段图600中所示,代表条件X11X21的分段601包括一个“X”标志和两个“O”标志。因此,访问规则生成系统500可以确定分段601的预测百分比为33.33%(例如,三分之一)。此外,访问规则生成系统500可以基于分段图600确定分段602的预测百分比为0%(例如,4个中有0个),分段614的预测百分比为80%(例如,五分之四)。由于分段601-620相互排斥,所以每个访问请求只能满足单个分段的条件。因此,访问规则生成系统可以同时且并行地确定每个分段601-620的性能(例如,确定预测百分比)。
在确定每个分段601-620的性能之后,在505处,访问规则生成系统500可以从潜在访问规则中选择多个候选访问规则534。例如,访问规则生成系统500可以选择要包括在候选访问规则534集中的最高性能潜在访问规则。例如,访问规则生成系统500可以选择一定数量的潜在访问规则,或者可以选择具有大于特定阈值的预测百分比的潜在访问规则。访问规则生成系统500可以向访问服务器提供要被实施的候选访问规则534以用于确定访问请求结果。
C.使用分段法的计算机性能优势
如上面讨论的,可以使用决策树通过递增地构建树的分支来生成和评估潜在访问规则,使得后来的步骤取决于如上面讨论的先前步骤。与决策树过程相比,生成的与条件的相互排斥分段对应的潜在访问规则允许独立于其它潜在访问规则生成并评估每个潜在访问规则。因此,访问规则生成系统500可以使用并行计算过程快速高效地生成和评估潜在访问规则。例如,访问规则生成系统500可以实施并行计算框架(例如,Apache Hadoop),以使用上文参考图5和图6讨论的分段法来生成和选择候选访问规则。因此,与使用决策树生成访问规则的访问规则生成系统300相比,访问规则生成系统500可以使用分段过程更快速地且使用较少计算资源地生成候选访问规则集。
此外,使用分段法生成和选择候选访问规则的过程是有利的,原因是它只确定每个分段的性能一次,而使用决策树的过程在每次节点添加到分支时重复地确定每个节点的性能。此外,分段过程的复杂性基于所选参数的数量和在这些参数内的条件,而决策树可以对所有参数和条件操作。由于访问请求信息310、510可以包含几十万个访问请求,因此与分段过程相比,在使用决策树生成单个访问规则时多次确定和比较性能可以使用大量计算资源。此外,分段过程可以基于指示每个分段的性能的分段表操作,而决策树过程可以对整个访问请求信息集进行操作。因此,对于相同访问请求信息,与使用决策树生成访问规则生成相比,评估使用分段法生成的访问规则的性能可能在计算上更加高效。通过合并如上面讨论的相关参数的条件,可以进一步降低分段过程的计算复杂性。
IV.用于访问规则生成的示例性方法
图7示出了根据一些实施例的用于使用计算机系统生成和选择访问规则的方法的流程图700。所述方法可以由计算机系统执行,例如由本文中描述的资源安全系统执行。例如,该方法可以由图1的资源安全系统100执行,所述资源安全系统包括访问规则生成系统130和访问服务器120。在一个示例性实施例中,访问规则生成系统可执行步骤701-707,访问服务器可执行步骤708-711。在其它实施例中,所述方法可以由单个计算机或服务器执行。在一些实施例中,可以不执行方法步骤中的一个或多个,并且可以不同的顺序执行这些步骤。
在701处,计算机系统可以存储包括多个先前访问请求的访问请求信息,每个先前访问请求具有多个访问请求参数。多个先前访问请求可能之前已经由访问服务器接收。访问请求信息还可以指示特定访问请求的访问请求结果是拒绝、接受还是审核。
在702处,计算机系统可以存储与多个先前访问请求对应的有效性信息,所述有效性信息指示每个访问请求是欺骗性的还是合法的。与特定访问请求对应的有效性信息可以基于该访问请求的访问请求结果。有效性信息还可以基于欺骗性访问的报告或拒绝合法访问的报告。
在一些实施例中,计算机系统可以确定当前由访问服务器实施的访问规则的假阳性百分比。然后,计算机系统可以基于将由该特定访问请求触发的访问规则的假阳性百分比调整访问请求的有效性信息。
在703处,计算机系统可以从多个访问请求参数中选择第一参数和第二参数,第一参数与第一组条件关联,第二参数与第二组条件关联。例如,如上文参考图5讨论的,计算机系统可以选择第一参数X1和第二参数X2。在此示例中,第一参数X1可以指示“用户地理位置”,第二参数X2可以指示“资源量”。在一些实施例中,可以从多个访问请求参数中选择超过两个参数。例如,计算机系统可以从多个访问请求参数中选择数十个或数百个参数或者甚至全部参数。
在704处,计算机系统可以基于第一组条件和第二组条件来确定多个相互排斥分段,每个分段关联第一组条件中的一个条件和第二组条件中的一个条件。例如,如图6所示,得出的第一参数X1包括一组4个条件,包括X11、X12、X13和X14,第二参数X2可包括一组5个条件,包括X21、X22、X23、X24、和X25。因此,计算机系统可以基于第一组的4个条件和第二组的5个条件确定20个相互排斥分段(例如,图6中的分段601-620),其中每个分段具有来自第一组的一个条件和来自第二组的一个条件。
在705处,计算机系统可以生成多个潜在访问规则,每个潜在访问规则与多个相互排斥分段的不同分段对应,每个潜在访问规则都具有相应分段的条件。每个潜在访问规则可以是独立的。也就是说,一个潜在访问规则的条件可以与其它潜在访问规则的条件相互排斥。由于访问规则是独立的,所以计算机系统可以同时且并行地生成多个访问规则。
在706处,计算机系统可以基于有效性信息确定每个潜在访问规则的预测百分比,所述有效性信息与具有涉及潜在访问规则的条件的一个或多个参数的先前访问请求对应。为了确定潜在访问规则的预测百分比,计算机系统可以确定参数满足潜在访问规则的条件的访问请求集,然后确定在该集合中为欺骗性的访问请求的百分比。与特定结果对应的访问请求可以表示为如图4中所示的“X”标志或“O”标志。由于分段相互排斥,每个访问请求只可以满足分段中的一个分段的条件。因此,访问规则生成系统可以同时且并行地确定每个潜在访问规则的预测百分比。
在707处,计算机系统可以基于每个潜在访问规则的预测百分比选择要包括在访问规则操作集中的潜在访问规则中的一个或多个。例如,计算机系统可以选择要包括在候选访问规则集中的最高性能潜在访问规则,该候选访问规则集可被提供以用在访问规则操作集中。然后,可使用访问规则操作集来确定新接收的访问请求的访问请求结果。
在708处,计算机系统可以接收实时访问请求。例如,如上面讨论的,计算机系统可以通过网络经由资源计算机从用户装置或访问装置接收实时访问请求。访问请求可以包括访问请求的参数。
在709处,计算机系统可以从系统存储器获得访问规则操作集。例如,系统存储器可以包括RAM、ROM、EEPROM或闪存。系统存储器可以包含代码,以用于实施本文中描述的方法。系统存储器可以从例如硬盘驱动器或固态驱动器的计算机可读存储介质加载数据。系统存储器还可以从可网络访问的存储介质加载数据,例如从数据库服务器加载数据。
在710处,计算机系统可以使用访问规则操作集来确定实时访问请求中的一个的访问请求结果。如上面描述的,访问请求结果可以基于由访问规则操作集提供的多个访问规则结果。访问请求结果可以指示接受、拒绝或审核访问请求。
在711处,计算机系统可以基于访问请求结果提供对资源的访问。例如,如果访问请求结果指示接受访问请求,则计算机系统可以提供对资源的访问。在另一示例中,如果访问请求结果指示拒绝访问请求,则计算机系统可以不提供对资源的访问。
V.用于访问规则生成和实施的示范性计算机系统
如上所述的实施例可以涉及实施一个或多个功能、过程、操作或方法步骤。在一些实施例中,由于通过适当编程的计算装置、微处理器、数据处理器等执行指令集或软件代码,可实施功能、过程、操作或方法步骤。指令集或软件代码可存储在由计算装置、微处理器等访问的存储器或其它形式的数据存储元件中。在其它实施例中,功能、过程、操作或方法步骤可由固件或专用处理器、集成电路等实施。
图8示出了根据一些实施例的包括访问规则生成系统830和访问服务器820的示范性计算机系统的部件的功能框图800。各个部件可以由计算机硬件或存储在非瞬时性计算机可读存储介质上的计算机代码实施。
访问规则生成系统830可以包括一个或多个处理器电路831。处理器电路831可执行指令以执行本文所述的访问规则生成系统的功能(例如,生成和选择访问规则)。处理器电路831可以被配置成用于数据的并行处理。处理器电路831可以耦合到被配置成存储数据和指令的一个或多个存储器单元832。存储器单元832可以是非瞬时性计算机可读存储介质。处理器电路831可从存储器单元832读取数据,并将数据写到存储器单元832。例如,处理器电路831可以将如本文所述的以下信息加载到存储器单元832中,这些信息包括:多个访问请求信息、有效性信息、评估信息、与访问规则性能有关的信息、与访问规则生成有关的信息,以及与访问规则选择有关的信息。
访问规则生成系统830还可以包括通信接口833。通信接口833可以从另一计算机的通信接口接收通信,诸如从资源计算机或访问服务器接收通信。通信接口833还可以将通信传输到另一计算机。如本文中所述,访问规则生成系统830可以从资源计算机或访问服务器接收访问请求信息、有效性信息、评估信息。
访问规则生成系统830还可以包括一个或多个存储驱动器834。存储驱动器834可以直接耦合到访问规则生成系统830,或者他们可以是网络访问的存储驱动器834。存储驱动器834可以包括用于存储本文所述的访问请求信息、有效性信息和评估信息的一个或多个数据库。存储驱动器834可以存储可以由处理器电路831加载到存储器单元832中的数据。
访问服务器820可以包括一个或多个处理器电路821。处理器电路821可以执行指令以执行本文所述的访问服务器的功能(例如,操作接受、拒绝或审核访问请求的访问规则)。处理器电路821可以耦合到被配置成存储数据和指令的一个或多个存储器单元822。存储器单元822可以是非瞬时性计算机可读存储介质。处理器电路821可从存储器单元822读取数据,并将数据写到存储器单元822。例如,处理器电路821可以将多个访问请求规则和访问请求的参数加载到存储器单元822中,以便如本文中所述确定访问请求结果。
访问服务器820还可以包括通信接口823。通信接口823可以从另一计算机的通信接口接收通信,诸如从资源计算机或访问服务器接收通信。访问服务器820的通信接口823可以与访问规则生成系统830的通信接口823通信。通信接口823还可以将通信传输到另一计算机。访问服务器820可以通过通信接口823接收访问请求信息和访问请求参数。
访问服务器820还可以包括一个或多个存储驱动器824。存储驱动器824可以直接耦合到访问服务器820,或者他们可以是可网络访问的存储驱动器824。存储驱动器824可以包括用于存储访问请求信息和访问请求参数的一个或多个数据库。存储驱动器824可以存储可以由处理器电路821加载到存储器单元832中的数据。
以上描述是说明性的而非限制性的。本发明的许多变化在所属领域的技术人员查阅本公开时可变得显而易见。因此,本发明的范围可以不参照上文的描述确定,而是可以参照所附权利要求连同其全部范围或等同物确定。
应理解,本发明的任何实施例都可以使用硬件(例如专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式实施,其中通用可编程处理器是模块化的或集成的。如本文中所使用,处理器包含单核处理器、在同一集成芯片上的多核处理器,或在单个电路板上或联网的多个处理单元。基于本公开和本文中所提供的教示,本领域的一般技术人员将知道并且了解使用硬件和硬件与软件的组合来实施本发明的实施例的其它方式和/或方法。
本申请中描述的任何软件组件或功能可实施为使用任何合适的计算机语言(例如,Java、C、C++、C#、Objective-C、Swift)或脚本语言(例如,Perl或Python)使用例如传统的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质上的一系列指令或命令以用于存储和/或传输。适合的非瞬态计算机可读介质可以包含随机存取存储器(RAM)、只读存储器(ROM)、磁介质(例如硬盘驱动器或软盘)或光介质(例如,压缩光盘(CD)或DVD(数字通用盘))、闪存等等。计算机可读介质可以是此类存储或传输装置的任何组合。
用于包含代码或代码部分的存储介质和计算机可读介质可以包括本领域已知或使用的任何适当介质,其包括存储介质和通信介质,诸如但不限于在用于存储和/或传输信息(诸如计算机可读指令、数据结构、程序模块或其它数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除式介质(包括RAM、ROM、EEPROM、闪存或其它存储器技术、CD-ROM、数字通用盘(DVD)或其它光存储器、磁带盒、磁带、磁盘存储器或其它磁存储设备)、数据信号、数据传输或可以用来存储或传输期望信息并且可以由计算机访问的任何其它介质。基于本文中提供的公开和教导,本领域技术人员将了解实现各实施方案的其它方式和/或方法。
此类程序还可以使用适应于经由包含因特网的符合多种协议的有线、光学和/或无线网络进行传输的载波信号来编码和传输。因此,根据本发明的实施例的计算机可读介质可以使用以此类程序编码的数据信号来创建。以程序代码编码的计算机可读介质可与兼容装置一起封装或与其它装置分开地提供(例如,经由因特网下载)。任何此类计算机可读介质可以驻留于单个计算机产品(例如,硬盘驱动器、CD或整个计算机系统)上或内,且可存在于系统或网络内的不同计算机产品上或内。计算机系统可以包含用于将本文中所提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。
本文中所描述的任何方法可以完全或部分地用计算机系统来执行,所述计算机系统包含可被配置成执行所述步骤的一个或多个处理器。因此,实施例可以涉及被配置成执行本文中所描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同组件的计算机系统。尽管以编号的步骤呈现,但是可以同时或以不同的顺序执行本文中的方法的步骤。另外,这些步骤的部分可以与其它方法的其它步骤的部分一起使用。此外,步骤的全部或部分可以是任选的。另外,任何方法的任何步骤都可以用执行这些步骤的模块、单元、电路或其它构件来执行。
在不偏离本发明的实施例的精神和范围的情况下,具体实施例的特定细节可以以任何适当方式组合。然而,本发明的其它实施例可以涉及与每个个别方面或这些个别方面的特定组合相关的特定实施例。
上文对本发明的示例实施例的描述已经出于图示和描述的目的呈现。其不希望是详尽的,或将本发明限于所描述的精确形式,且根据上文的教示许多修改和变化是可能的。
除非明确指示有相反的意思,否则叙述“一个/种”或“所述”旨在表示“一个/种或多个/种”。除非明确指示有相反的意思,否则“或”的使用旨在表示是“包括性的或”,而不是“排他性的或”。
本文中提到的所有专利、专利申请、公开和描述出于所有目的通过引用被全部并入本文中。并非承认它们是现有技术。
Claims (20)
1.一种用于生成访问规则的方法,所述方法包括由计算机系统执行以下步骤:
存储包括多个先前访问请求的访问请求信息,每个先前访问请求具有多个访问请求参数;
存储与所述多个先前访问请求对应的有效性信息,所述有效性信息指示每个访问请求是欺骗性的还是合法的;
从所述多个访问请求参数中选择第一参数和第二参数,所述第一参数与第一组条件关联,所述第二参数与第二组条件关联;
基于所述第一组条件和所述第二组条件确定多个相互排斥分段,每个分段关联所述第一组条件中的一个条件和所述第二组条件中的一个条件;
生成多个潜在访问规则,每个潜在访问规则与所述多个相互排斥分段中的不同分段对应,所述潜在访问规则中的每一个具有对应分段的条件;
基于与先前访问请求对应的有效性信息,确定所述潜在访问规则中的每一个的预测百分比,所述先前访问请求具有涉及所述潜在访问规则的条件的一个或多个参数;
基于所述潜在访问规则中的每一个的预测百分比选择要包括在访问规则操作集中的潜在访问规则中的一个或多个;
通过网络从多个装置接收多个实时访问请求;
当从所述多个装置中的第一装置接收所述多个实时访问请求中的一个时,访问系统存储器以获得所述访问规则操作集;
使用所述访问规则操作集来确定所述实时访问请求的访问请求结果;以及
基于所述访问请求结果提供对资源的访问。
2.根据权利要求1所述的方法,其中所述多个潜在访问规则被并行地同时生成,并且其中所述多个潜在访问规则的预测百分比被并行地同时确定。
3.根据权利要求1所述的方法,其中所述多个先前访问请求中的每一个具有涉及所述多个潜在访问规则中的单个潜在访问规则的条件的参数。
4.根据权利要求1所述的方法,还包括:
基于所述第一参数的参数值确定所述第一组条件,所述第一组条件中的每个条件与所述第一组条件中的其它条件相互排斥;以及
基于所述第二参数的参数值确定所述第二组条件,所述第二组条件中的每个条件与所述第二组条件中的其它条件相互排斥。
5.根据权利要求1所述的方法,还包括:
针对所述潜在访问规则中的每一个,确定所述多个先前访问请求的先前访问请求集,所述先前访问请求集具有涉及所述潜在访问规则的条件的访问请求参数;以及
针对所述先前访问请求集中的每一个,确定与所述先前访问请求集中的每一个先前访问请求对应的有效性信息,其中所述潜在访问规则中的每一个的预测百分比的确定基于与所述先前访问请求集中的每一个先前访问请求对应的有效性信息。
6.根据权利要求1所述的方法,还包括:
通过网络从所述第一装置接收具有访问请求参数的第一访问请求;
响应于接收所述第一访问请求,访问所述系统存储器,以获得所述访问规则操作集;
基于第一访问规则和所述第一访问请求的访问请求参数确定所述第一访问请求的第一访问请求结果,第一访问请求的访问请求结果指示拒绝所述第一访问请求;
确定接受所述访问请求以用于评估所述第一访问规则;以及
基于确定接受所述访问请求,提供对资源的访问。
7.根据权利要求6所述的方法,还包括响应于确定接受所述访问请求,存储评估信息,所述评估信息包括所述第一访问请求的标识符和所述第一访问规则的标识符。
8.根据权利要求7所述的方法,还包括:
接收欺骗性访问资源的报告,所述欺骗性访问由所述第一访问请求产生;以及
基于欺骗性访问的所述报告,调整与所述第一访问请求对应的有效性信息。
9.根据权利要求8所述的方法,还包括:
基于所述评估信息和欺骗性访问的所述报告,确定所述第一访问规则的假阳性百分比;以及
使用所述第一访问规则的假阳性百分比调整与基于所述第一访问规则被拒绝的先前访问请求对应的有效性信息。
10.根据权利要求9所述的方法,其中所述有效性信息用于确定所述潜在访问规则中的每一个的预测百分比。
11.一种计算机系统,所述计算机系统包括:
存储多个指令的计算机可读存储介质;和
一个或多个处理器,所述一个或多个处理器用于执行存储在所述计算机可读存储介质上的指令,以执行以下步骤:
存储包括多个先前访问请求的访问请求信息,每个先前访问请求具有多个访问请求参数;
存储与所述多个先前访问请求对应的有效性信息,所述有效性信息指示每个访问请求是欺骗性的还是合法的;
从所述多个访问请求参数中选择第一参数和第二参数,所述第一参数与第一组条件关联,所述第二参数与第二组条件关联;
基于所述第一组条件和所述第二组条件确定多个相互排斥分段,每个分段关联所述第一组条件中的一个条件和所述第二组条件中的一个条件;
生成多个潜在访问规则,每个潜在访问规则与所述多个相互排斥分段中的不同分段对应,所述潜在访问规则中的每一个具有对应分段的条件;
基于与所述先前访问请求对应的有效性信息,确定所述潜在访问规则中的每一个的预测百分比,所述先前访问请求具有涉及所述潜在访问规则的条件的一个或多个参数;
基于所述潜在访问规则中的每一个的预测百分比选择要包括在访问规则操作集中的潜在访问规则中的一个或多个;
通过网络从多个装置接收多个实时访问请求;
当从所述多个装置中的第一装置接收所述多个实时访问请求中的一个时,访问系统存储器以获得所述访问规则操作集;
使用所述访问规则操作集来确定所述实时访问请求的访问请求结果;以及
基于所述访问请求结果提供对资源的访问。
12.根据权利要求11所述的计算机系统,其中所述多个潜在访问规则被并行地同时生成,并且其中所述多个潜在访问规则的预测百分比被并行地同时确定。
13.根据权利要求11所述的计算机系统,其中所述多个先前访问请求中的每一个具有涉及所述多个潜在访问规则中的单个潜在访问规则的条件的参数。
14.根据权利要求11所述的计算机系统,还包括执行以下操作的指令:
基于所述第一参数的参数值确定所述第一组条件,所述第一组条件中的每个条件与所述第一组条件中的其它条件相互排斥;以及
基于所述第二参数的参数值确定所述第二组条件,所述第二组条件中的每个条件与所述第二组条件中的其它条件相互排斥。
15.根据权利要求11所述的计算机系统,还包括执行以下操作的指令:
针对所述潜在访问规则中的每一个,确定所述多个先前访问请求的先前访问请求集,所述先前访问请求集具有涉及所述潜在访问规则的条件的访问请求参数;以及
针对所述先前访问请求集中的每一个,确定与所述先前访问请求集中的每一个先前访问请求对应的有效性信息,其中所述潜在访问规则中的每一个的预测百分比的确定基于与所述先前访问请求集中的每一个先前访问请求对应的有效性信息。
16.根据权利要求11所述的计算机系统,还包括执行以下操作的指令:
通过网络从所述第一装置接收具有访问请求参数的第一访问请求;
响应于接收所述第一访问请求,访问所述系统存储器,以获得所述访问规则操作集;
基于第一访问规则和所述第一访问请求的访问请求参数确定所述第一访问请求的第一访问请求结果,所述第一访问请求的访问请求结果指示拒绝所述第一访问请求;
确定接受所述访问请求以用于评估所述第一访问规则;以及
基于确定接受所述访问请求,提供对资源的访问。
17.根据权利要求16所述的计算机系统,还包括执行以下操作的指令:响应于确定接受所述访问请求,存储评估信息,所述评估信息包括所述第一访问请求的标识符和所述第一访问规则的标识符。
18.根据权利要求17所述的计算机系统,还包括执行以下操作的指令:
接收欺骗性访问资源的报告,所述欺骗性访问由所述第一访问请求产生;以及
基于欺骗性访问的所述报告,调整与所述第一访问请求对应的有效性信息。
19.根据权利要求18所述的计算机系统,还包括执行以下操作的指令:
基于所述评估信息和欺骗性访问的所述报告,确定所述第一访问规则的假阳性百分比;以及
使用所述第一访问规则的假阳性百分比调整与基于所述第一访问规则被拒绝的先前访问请求对应的有效性信息。
20.根据权利要求19所述的计算机系统,其中所述有效性信息用于确定所述潜在访问规则中的每一个的预测百分比。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/365,389 | 2016-11-30 | ||
US15/365,389 US10320846B2 (en) | 2016-11-30 | 2016-11-30 | Systems and methods for generation and selection of access rules |
PCT/US2017/063911 WO2018102533A1 (en) | 2016-11-30 | 2017-11-30 | Systems and methods for generation and selection of access rules |
Publications (1)
Publication Number | Publication Date |
---|---|
CN110023942A true CN110023942A (zh) | 2019-07-16 |
Family
ID=62190639
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780074148.1A Withdrawn CN110023942A (zh) | 2016-11-30 | 2017-11-30 | 用于生成和选择访问规则的系统和方法 |
Country Status (8)
Country | Link |
---|---|
US (2) | US10320846B2 (zh) |
EP (1) | EP3549050B1 (zh) |
CN (1) | CN110023942A (zh) |
AU (1) | AU2017368152A1 (zh) |
BR (1) | BR112019009331A2 (zh) |
ES (1) | ES2917749T3 (zh) |
RU (1) | RU2019120012A (zh) |
WO (1) | WO2018102533A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545287A (zh) * | 2019-09-19 | 2019-12-06 | 上海易点时空网络有限公司 | 日志访问权限的管理方法以及装置、服务器 |
CN113612730A (zh) * | 2021-07-05 | 2021-11-05 | 苏州裕太微电子有限公司 | 一种acl访问规则控制方法、处理装置及系统 |
Families Citing this family (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9853993B1 (en) | 2016-11-15 | 2017-12-26 | Visa International Service Association | Systems and methods for generation and selection of access rules |
US10320846B2 (en) * | 2016-11-30 | 2019-06-11 | Visa International Service Association | Systems and methods for generation and selection of access rules |
US10318351B2 (en) * | 2017-04-27 | 2019-06-11 | International Business Machines Corporation | Resource provisioning with automatic approval or denial of a request for allocation of a resource |
US10997507B2 (en) * | 2017-06-01 | 2021-05-04 | Accenture Global Solutions Limited | Data reconciliation |
WO2020072049A1 (en) | 2018-10-03 | 2020-04-09 | Visa International Service Association | A real-time feedback service for resource access rule configuration |
CN112511569B (zh) * | 2021-02-07 | 2021-05-11 | 杭州筋斗腾云科技有限公司 | 网络资源访问请求的处理方法、系统及计算机设备 |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
FR2844941B1 (fr) | 2002-09-24 | 2005-02-18 | At & T Corp | Demande d'acces securise aux ressources d'un reseau intranet |
US7900240B2 (en) | 2003-05-28 | 2011-03-01 | Citrix Systems, Inc. | Multilayer access control security system |
US7603419B2 (en) | 2003-08-11 | 2009-10-13 | Teamon Systems, Inc. | System and method for automatically learning mailbox configuration conventions |
US7657497B2 (en) | 2006-11-07 | 2010-02-02 | Ebay Inc. | Online fraud prevention using genetic algorithm solution |
US8327419B1 (en) | 2008-05-22 | 2012-12-04 | Informatica Corporation | System and method for efficiently securing enterprise data resources |
US20090292568A1 (en) | 2008-05-22 | 2009-11-26 | Reza Khosravani | Adaptive Risk Variables |
US20100145814A1 (en) | 2008-12-08 | 2010-06-10 | At&T Mobility Ii Llc | Access modeling in a communication domain |
US8600873B2 (en) * | 2009-05-28 | 2013-12-03 | Visa International Service Association | Managed real-time transaction fraud analysis and decisioning |
US9047458B2 (en) | 2009-06-19 | 2015-06-02 | Deviceauthority, Inc. | Network access protection |
CA2830797A1 (en) | 2011-03-23 | 2012-09-27 | Detica Patent Limited | An automated fraud detection method and system |
US20130346294A1 (en) | 2012-03-21 | 2013-12-26 | Patrick Faith | Risk manager optimizer |
US9183385B2 (en) | 2012-08-22 | 2015-11-10 | International Business Machines Corporation | Automated feedback for proposed security rules |
US20150089632A1 (en) | 2013-09-26 | 2015-03-26 | Aaron Robert Bartholomew | Application authentication checking system |
US9298899B1 (en) | 2014-09-11 | 2016-03-29 | Bank Of America Corporation | Continuous monitoring of access of computing resources |
US9853993B1 (en) * | 2016-11-15 | 2017-12-26 | Visa International Service Association | Systems and methods for generation and selection of access rules |
US10320846B2 (en) * | 2016-11-30 | 2019-06-11 | Visa International Service Association | Systems and methods for generation and selection of access rules |
-
2016
- 2016-11-30 US US15/365,389 patent/US10320846B2/en active Active
-
2017
- 2017-11-30 CN CN201780074148.1A patent/CN110023942A/zh not_active Withdrawn
- 2017-11-30 RU RU2019120012A patent/RU2019120012A/ru not_active Application Discontinuation
- 2017-11-30 BR BR112019009331A patent/BR112019009331A2/pt not_active Application Discontinuation
- 2017-11-30 ES ES17876008T patent/ES2917749T3/es active Active
- 2017-11-30 WO PCT/US2017/063911 patent/WO2018102533A1/en unknown
- 2017-11-30 EP EP17876008.8A patent/EP3549050B1/en active Active
- 2017-11-30 AU AU2017368152A patent/AU2017368152A1/en not_active Abandoned
-
2019
- 2019-05-08 US US16/406,991 patent/US10609087B2/en active Active
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110545287A (zh) * | 2019-09-19 | 2019-12-06 | 上海易点时空网络有限公司 | 日志访问权限的管理方法以及装置、服务器 |
CN113612730A (zh) * | 2021-07-05 | 2021-11-05 | 苏州裕太微电子有限公司 | 一种acl访问规则控制方法、处理装置及系统 |
CN113612730B (zh) * | 2021-07-05 | 2023-04-07 | 裕太微电子股份有限公司 | 一种acl访问规则控制方法、处理装置及系统 |
Also Published As
Publication number | Publication date |
---|---|
AU2017368152A1 (en) | 2019-05-02 |
US20190268378A1 (en) | 2019-08-29 |
ES2917749T3 (es) | 2022-07-11 |
EP3549050A1 (en) | 2019-10-09 |
US20180152478A1 (en) | 2018-05-31 |
US10609087B2 (en) | 2020-03-31 |
US10320846B2 (en) | 2019-06-11 |
BR112019009331A2 (pt) | 2019-07-30 |
EP3549050A4 (en) | 2019-12-18 |
EP3549050B1 (en) | 2022-04-27 |
RU2019120012A (ru) | 2021-01-11 |
WO2018102533A1 (en) | 2018-06-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110023942A (zh) | 用于生成和选择访问规则的系统和方法 | |
US10904259B1 (en) | Graphical user interface and console management system for distributed terminal network | |
US10862913B2 (en) | Systems and methods for securing access to resources | |
US20210174347A1 (en) | User Routing Application and Recommendation Engine for Distributed Terminal Network | |
US10902705B1 (en) | Biometric authentication, decentralized learning framework, and adaptive security protocols in distributed terminal network | |
US11379591B2 (en) | Methods and devices for user authorization | |
CN112513842A (zh) | 预授权访问请求筛查 | |
US20210173674A1 (en) | Distributed Terminals Network Management, Systems, Interfaces and Workflows | |
Salau et al. | Data cooperatives for neighborhood watch | |
US11765173B2 (en) | Techniques for redundant access rule management | |
US11200548B2 (en) | Graphical user interface and operator console management system for distributed terminal network | |
CN114022166B (zh) | 一种信息处理方法、装置、计算机设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WW01 | Invention patent application withdrawn after publication | ||
WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190716 |