CN110226165A - 通过可更新数据结构检测电子入侵者 - Google Patents
通过可更新数据结构检测电子入侵者 Download PDFInfo
- Publication number
- CN110226165A CN110226165A CN201880007168.1A CN201880007168A CN110226165A CN 110226165 A CN110226165 A CN 110226165A CN 201880007168 A CN201880007168 A CN 201880007168A CN 110226165 A CN110226165 A CN 110226165A
- Authority
- CN
- China
- Prior art keywords
- cluster
- new
- data structure
- request
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/405—Establishing or using transaction specific rules
-
- G—PHYSICS
- G07—CHECKING-DEVICES
- G07G—REGISTERING THE RECEIPT OF CASH, VALUABLES, OR TOKENS
- G07G3/00—Alarm indicators, e.g. bells
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
数据结构提供可靠的数据,允许安全应用程序检测欺骗性使用支付账户的潜在情况。可以使用在交易中与来自新认证请求的交易相关联的数据元素来生成数据结构。生成数据结构后,数据结构内的集群可以与合法认证请求或潜在欺骗性认证请求相关联。基准集群可以从数据结构中识别,并用于确定新传入认证请求是否合法或是潜在欺骗性的。
Description
相关申请的交叉引用
本申请是要求2017年1月17日提交的第15/408,236号美国专利申请的提交日的权益的国际专利申请,所述美国专利申请以全文引用的方式并入本文中以用于所有目的。
背景技术
未经授权的用户可能使用被授权用户的某些信息欺骗性地请求访问资源。为防止未经授权的访问,资源安全系统可以实施访问规则,以拒绝具有指示欺骗性攻击的某些参数的访问请求。一般来说,检测机制基于认证请求的单个数据元素的分析,例如名称、秘密标识符(例如,密码)和装置指纹。传统检测方法分析这些个别数据元素,以确定新请求是否与授权用户匹配或将可能入侵者的数据元素与黑名单比较。
当前的检测系统不完全准确,有时会导致批准欺骗性请求。在被授权用户检测到攻击之前发生欺骗性请求的时间段内,这些检测系统尤其有问题。在“感染时间”的这段时间,被授权行动者和欺骗性行动者均可能发起访问请求。某些可疑请求可能被批准并导致欺骗性访问。此外,即使请求是合法的,被授权用户也可能被拒绝。例如,当真正的用户获得新凭证时,用户可能会继续得到由于之前的泄露活动而被拒绝的访问请求。
因此,需要一种检测机制,其能在对资源的攻击涉及联网装置间传送访问请求期间及之后更准确地区分欺骗性访问请求和合法访问请求。
发明内容
本发明的实施例提供用于管理对受保护资源(例如受保护的计算机)的访问的系统、方法和设备。可以使用与资源标识符相关联的多个请求生成的数据结构来管理访问。可以通过在一段时间内从多个请求采集和链接数据元素来生成数据结构。当接收到新请求时,系统可以生成数据结构(或添加到现有数据结构)以将各种数据元素链接在一起作为节点。生成数据结构后,数据结构可以组织成表示合法或潜在欺骗性认证请求的集群。例如,可以根据表示合法认证请求上的统计上可靠的数据的数据结构来识别基准集群。模式识别技术可用于确定新认证请求的数据元素与基准集群中节点的匹配程度。通过将新认证请求与基准集群进行比较,可以做出关于新认证请求的合法性的更可靠的决策。
根据本发明的一个实施例,可接收新认证请求,其中所述新认证请求包括资源标识符和一个或多个当前数据元素。数据结构可以存储在计算机系统可访问的计算机可读介质中,其中所述数据结构与所述资源标识符相关联,并且具有对应于先前认证请求中的现有数据元素的现有节点,所述先前认证请求包括所述资源标识符。数据结构可以具有指示哪些现有节点已经出现在先前认证请求中的连接(绑定)。可以将所述新认证请求中的一个或多个当前数据元素与所述数据结构中的现有节点进行比较,其中所述现有节点基于现有节点之间的连接的共同性存储在一个或多个集群中的数据结构中。响应于新认证请求中的一个或多个当前数据元素与数据结构中的现有节点的比较,可以识别一个或多个当前数据元素中的与数据结构的现有节点之一不匹配的一个或多个新数据元素。将所述一个或多个新数据元素添加为所述数据结构中的附加节点。响应于与现有集群的现有节点匹配的一个或多个当前数据元素的数量,附加节点可存储在现有集群中,其中,所述现有集群表示合法认证请求的模式。附加节点也可存储在所述数据结构中的新集群中,其中,所述数据结构中的新集群表示潜在欺骗性认证请求的模式。
其它实施例涉及与本文中描述的方法关联的系统、便携式消费者装置和计算机可读介质。
可以参考以下详细描述和附图来更好地了解本发明实施例的性质和优点。
附图说明
图1示出了根据一些实施例的用于授权访问资源的资源安全系统。
图2示出了根据本发明的实施例的示出泄露账户的时间轴的时间依赖的图表的实例。
图3示出了根据本发明的实施例的初始数据结构的实例。
图4示出了根据本发明的实施例的更新的数据结构的实例。
图5示出了根据本发明的实施例用于生成数据结构的方法的流程图。
图6示出了根据本发明的实施例的示例性数据结构。
图7示出了根据本发明的实施例的在时域中绘制的数据结构的示例性频率图。
图8示出了显示图6的数据结构的性能数据的表。
图9示出了根据本发明的实施例的另一示例性数据结构。
图10示出了根据本发明的实施例的所有者的第一资源的示例性数据结构。
图11示出了根据本发明的实施例的所有者的第二资源的示例性数据结构。
图12示出了根据本发明的实施例的访问服务器的框图。
术语
在讨论本发明的一些实施方案之前,对一些术语的描述可有助于理解本发明的实施方案。
术语“资源”通常指可以使用或消耗的任何资产。例如,资源可以是电子资源(例如存储的数据、接收的数据、计算机账户、联网账户、电子邮件收件箱)、物理资源(例如有形对象、建筑物、保险箱或物理位置)或计算机之间的其它电子通信(例如与用于执行交易的账户对应的通信信号)。
术语“访问请求”(也称为“认证请求”)通常指对访问资源的请求。例如,可以从请求计算机、用户装置或资源计算机接收访问请求。访问请求可以包括认证信息(也称为授权信息),例如用户名、资源标识符或密码。访问请求还可以包括访问请求参数,例如访问请求标识符、资源标识符、时间戳、日期、装置或计算机标识符、地理位置或任何其它合适的信息。
术语“访问规则”可以包括用来基于特定标准确定访问请求的访问规则结果的任何过程或定义。在一些实施例中,规则可以包括一个或多个规则条件和关联的规则结果。“规则条件”可以规定描述对规则确定结果的所根据情况的逻辑表达。访问规则的条件可以涉及认证信息以及请求参数。例如,可以要求认证信息以,例如基于与数据结构的关键节点和/或与足够数量的节点的匹配,充分地对应于分类为合法的信息。条件可以要求特定参数值、参数值在某个范围内、参数值高于或低于阈值,或其任何组合。
术语“数据结构”可以包括以指定数据元素彼此具有的任何关系的方式组织的一组数据元素。例如,数据结构可以形成链接列表或其它类型的阵列,其中某些数据元素形成各自与一个或多个其它节点链接的节点。可以形成各种类型的链接列表,例如双链接列表、多链接列表(其中一个节点链接到多个节点)、环形链接列表(其中两个节点通过链接到共享节点而彼此直接链接),或者多个环形链接列表(其中两个节点各自链接到两个共享节点)。这种数据结构可以形成节点的层级集合。
术语“绑定”或“连接”可以指在(并且可能只有在)两个元素一起包括在一个访问请求时被绑定的两个数据元素。绑定可以扩展到两个以上元素的情形。一个请求中的所有元素都可以绑定在一起。数据元素(节点)的“集群”可以指重叠绑定的集合或某些数据元素的重叠。术语“隶属”可以指通过在某些常用节点(不包括资源标识符)上重叠而有关联的至少两个集群。访问请求的强隶属和合法历史可以将两个或更多个集群合并为一个较大集群。
术语“服务器计算机”可以包含功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群或作为一个单元运作的一组计算机。在一个示例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可耦合到数据库,且可以包括用于服务来自一个或多个其它计算机的请求的任何硬件、软件、其它逻辑或前述内容的组合。术语“计算机系统”通常可以指包括耦合到一个或多个数据库的一个或多个服务器计算机的系统。
如本文中所使用,术语“提供”可包括发送、传输、在网页上可用、用于下载、通过应用程序、显示或呈现或任何其它适合的方法。
具体实施方式
当前的欺骗检测方法通常使用泄露资源的黑名单,或者与资源欺骗性攻击相关的其它数据元素。例如,当给合法用户发布访问资源的新标识符时,这样使用黑名单可能阻止合法用户访问资源。此类合法用户仍然可能与以前的数据元素(例如,电子邮件)关联,这可能导致未来的访问请求被拒绝。
本发明的实施例可以提供这样一种数据结构,其允许区别欺骗性请求,同时允许合法用户继续访问受资源安全系统保护的一个或多个资源。可以从与资源标识符(例如,计算机资源的用户账户)关联的多个认证请求生成数据结构。可以使用与访问请求相关联的数据元素来生成数据结构,其中数据元素在数据结构内形成节点。数据结构内的节点集可以被识别为属于某些集群,例如,每个集群对应于不同合法或欺骗性行动者。
首先讨论使用资源安全系统的认证,然后描述泄露资源随时间的变化,以及数据结构和其使用情况。
I.访问受保护资源的认证
一般来说,对计算机资源或账户的访问请求(例如,通过互联网的交易)通过欺骗检测系统来确定交易是否被授权或作为欺骗性行为被拒绝。因此,资源安全系统可以接收访问资源的请求。资源安全系统可以包括访问服务器,用于基于访问规则确定访问请求的结果。下面更详细地描述了示例性资源安全系统。
图1示出了根据一些实施例的用于授权对资源的访问的资源安全系统100。资源安全系统100可以用于(例如,通过认证)给授权用户提供对资源的访问,同时拒绝未授权用户的访问。此外,资源安全系统100可以用来拒绝似乎是授权用户的合法访问请求的欺骗性访问请求。资源安全系统100可以实施访问规则,以基于访问请求的参数识别欺骗性访问请求。此参数可对应于数据结构的字段(节点),该数据结构用于区分欺骗性访问请求与真实的访问请求。
资源安全系统100包括资源计算机110。资源计算机110可控制对物理资源118(例如,建筑物或锁箱)或电子资源116(例如,本地计算机账户、数字文件或文档、网络数据库、电子邮件收件箱、支付账户或网站登录)的访问。在一些实施例中,资源计算机可以是网站服务器、电子邮件服务器或账户发行方的服务器。资源计算机110可以通过用户140的用户装置150(例如,计算机或移动电话)接收来自用户140的访问请求。资源计算机110还可以通过与访问装置160(例如,小键盘或终端)耦合的请求计算机170接收来自用户140的访问请求。在一些实施例中,请求计算机170可以是与资源提供商不同的服务提供商。
访问装置160和用户装置150可以包括用户输入接口,诸如小键盘、键盘、指纹读取器、视网膜扫描器、任何其它类型的生物特征读取器、磁条读取器、芯片卡读取器、射频识别读取器或无线或非接触式通信接口。用户140可以将认证信息输入到访问装置160或用户装置150中以访问资源。认证信息还可以由访问装置160和/或用户装置150提供。认证信息可以包括例如用户名、账号、令牌、密码、个人识别号、签名、数字证书、电子邮件地址、电话号码、物理地理以及网络地址中的一个或多个。数据元素可以标记为与特定字段相对应,例如,特定数据元素是电子邮件地址。响应于接收用户140输入的认证信息,用户装置150或请求计算机170可以向资源计算机110发送访问请求(包括认证信息)以及访问请求的一个或多个参数。
在一个实例中,用户140可以将账号、个人识别号和密码中的一个或多个输入到访问装置160中,以请求访问物理资源(例如,打开锁着的安全门以便进入建筑物或锁箱),并且请求计算机170可以生成访问请求并将其发送至资源计算机110,以请求访问资源。在另一示例中,用户140可以操作用户装置150,以请求资源计算机110提供对由资源计算机110托管的电子资源116(例如,网站或文件)的访问。在另一实例中,用户装置150可以向资源计算机110发送访问请求(例如,电子邮件),以便给电子资源116提供数据(例如,将电子邮件传送到收件箱)。在另一实例中,用户140可以将账号和/或个人识别号提供至访问装置160,以便请求访问资源(例如,支付账户),用于进行交易。
在一些实施例中,资源计算机110可以基于存储在请求计算机170处的信息验证访问请求的认证信息。在其它实施例中,请求计算机170可以基于存储在资源计算机110处的信息验证访问请求的认证信息。
资源计算机110可以基本上实时接收请求(例如,考虑了计算机处理和电子通信的延迟)。一旦接收访问请求,资源计算机110可以确定访问请求的参数。在一些实施例中,参数可以由用户装置150或请求计算机170提供。例如,参数可以包括以下当中的一个或多个:接收访问请求的时间,接收访问请求的日期,访问请求的源位置,请求的资源量,被请求的资源的标识符,用户140、访问装置160、用户装置150、请求计算机170的标识符,用户140、访问装置160、用户装置150、请求计算机170的位置,资源计算机110接收访问请求的时间、地点或方式的指示,用户140或用户装置150发送访问请求的时间、地点或方式的指示,电子资源116或物理资源118的请求使用的指示和被请求的资源的类型、状态、数量或形式的指示。在其它实施例中,请求计算机170或访问服务器120可以确定访问请求的参数。
资源计算机110或请求计算机170可以将访问请求的参数发送至访问服务器120,以便确定访问请求是否是欺骗性的。访问服务器120可以存储一个或多个访问规则122,以用于识别欺骗性访问请求。每个访问规则122可以包括对应于访问请求的一个或多个参数的一个或多个条件。访问服务器120可以通过将访问规则122与访问请求的参数进行比较确定访问请求结果,访问请求结果指示是否应当接受(例如,授权访问资源)、拒绝(例如,拒绝对资源的访问)或审核访问请求,这在下面进一步描述。在一些实施例中,代替确定访问请求结果,访问服务器120可以基于访问规则的结果确定评估得分。评估得分可以指示要使访问请求为欺骗性的风险或可能性。如果评估得分指示访问请求可能是欺骗性的,则访问服务器120可以拒绝该访问请求。
访问服务器120可以将访问请求结果的指示发送至资源计算机110(例如,接受、拒绝、审核、接受并审核或拒绝并审核)。在一些实施例中,访问服务器120则可以将评估得分发送至资源计算机110。资源计算机110然后可以基于访问请求结果的指示或基于评估得分授权或拒绝访问资源。资源计算机110还可以启动对于访问请求的审核过程。
在一些实施例中,访问服务器120可以由管理员远程访问以进行配置。访问服务器120可以在安全环境中存储数据,并实施用户权限和用户角色管理,以用于访问不同类型的存储数据。例如,可以设置用户权限以使用户能够执行以下操作中的一个或多个操作:查看接收访问请求的日志、查看访问请求结果的日志、启用或禁用访问规则122的执行、更新或修改访问规则122、更改某些访问请求结果。可以为不同用户设置不同的权限。
资源计算机110可以存储其接收的每个访问请求的访问请求信息。访问请求信息可以包括每个访问请求的认证信息和/或参数。访问请求信息还可以包括访问请求的访问请求结果的指示,例如,访问请求实际上是否是欺骗性的。资源计算机110还可以存储对应于每个访问请求的有效性信息。访问请求的有效性信息最初可以基于其访问请求结果。可以基于访问请求是否被报告为欺骗性的更新有效性信息。在一些实施例中,访问服务器120或请求计算机170可以存储访问请求信息和有效性信息。
II.泄露资源随时间的变化
实施例可以解决泄露的资源以及将新资源发布给用户的问题,同时阻止用户被不当地拒绝访问新发布的资源。例如,如果给合法用户发布新的电子邮件、登录名或新账号,则可以使用实施例管理欺骗检测系统,使得合法用户不会因为与泄露资源相关联而被阻止。
泄露资源随着时间的推移可能有不同的状态。例如,一个资源可以有三个时区:既往时区、感染时区和后时区。在既往时区内,用户可以启动合法访问请求,并获得授权访问资源的权限。但是,资源可能被入侵者破坏。在下一个时间段(如“感染时区”)中,该账户被感染,用户和入侵者均可能在泄露账户上发起请求。某些可疑请求可能被批准并导致入侵者的不当访问,从而造成隐私或资金的损失。此外,即使请求是合法的,某些用户的请求也可能被拒绝。当用户通知资源提供商(例如,取消账户)时,可以发布新资源,例如,发布新账户。但是,在此第三时间段(例如“后时区”)内,仍可能出现若干问题。
图2示出了根据本发明的实施例的示出泄露账户的时间线的时间依赖的图表200的实例。图表200示出了三个时区:既往时区202、感染时区204和后时区206。当账户(例如,电子邮件账户或信用卡账户)发布给所有者时,所有者可以激活账户,并开始在启动开始时间208使用账户,如绿箭头所示。例如,如图2中元素222所示,J.Smith&Associates可以是所有者,被授权用户可以在账户A上进行交易。
在感染开始时间210,攻击者(入侵者)可能会损害所有者的账户并开始进行未经授权的交易,而所有者不知道他们的账户已被损害。如在224所示,攻击者可能会对账户A进行欺骗性交易。可能存在多个攻击者,如两个红色箭头所示。在感染时区204中,可以由原始所有者和攻击者进行交易。由于攻击者和账户所有者都在此时段期间进行交易,因此与该账户相关联的数据元素可能不同。例如,攻击者可以使用与所有者使用的不同的电子邮件地址、IP地址和收货地址。当原始所有者发现其支付账户已泄露时,原始所有者可以取消账户A 212,发行方可以将新账户B 214重新发布至原始所有者。
A.既往时区
在既往时区202中,由账户A的原始所有者和原始所有者授权的用户进行交易。交易可以包括原始所有者和原始所有者授权的那些人(例如:家庭成员、同事、助理、员工等)发起的交易。在此时段期间,与交易相关联的访问请求可以被识别为合法访问请求。可以采集、处理和记录来自这些合法请求的认证数据。此认证数据可用作识别未来合法访问请求的基准集群。例如,由于与由J.Smith&Associates执行的交易对应的数据元素被识别为合法,可以将这些数据元素用作与传入的交易数据进行比较的基准,以确保数据元素是一致的。访问请求中的数据元素不一致可以被识别为欺骗性的。
B.感染时区
在感染时区204中,攻击者可能会通过获取账号和潜在的任何密码或其它秘密数据来损坏所有者的账户。对于电子邮件账户的实例,攻击者可以获得登录名(可以是电子邮件地址)和密码。一旦获得泄露数据后,攻击者可以开始在感染开始时间210做出欺骗性访问请求(例如,未经授权登录电子邮件账户或未经授权的购买)。在该时区中,所有者可能不知道该账户已泄露。因此,该时段可以包括被授权的购买和未经授权的购买。使用传统技术,所有者的有效购买可能被拒绝(例如,基于欺骗性访问请求导致的大量交易),而攻击者的无效购买可获得授权。
如上所述,来自账户A的原始所有者执行的交易的数据元素可以与来自新交易的传入数据元素进行比较。与攻击者执行的交易相关联的数据元素可能与账户A的原始所有者执行的交易相关联的数据元素不同。因此,由于数据元素不一致,可以识别攻击者。
测量一致性水平(或等效地测量不一致性水平)例如,以便将访问请求识别为欺骗性的方式可以多种方式执行。在一种实施方式中,如果一个数据元素与基准(合法)集群不同,则交易可以被识别为欺骗性的。在这种情况下,可以例如,通过文本或电子邮件发送的消息使用第二级认证,以便使用户将访问请求识别为合法的。在另一种实施方式中,可以要求不一致数据元素的数量超过指定数字(例如2、3、4等)或认证信息中的指定数据元素的百分比(例如,大于50%、60%、70%、80%、90%、95%等)。当在合法集群的对应字段中不具有数据元素的精确匹配时,单个数据元素可以被视为不一致。在其它实施例中,可以允许一定程度的不匹配。
在感染时区内,可能出现几个问题。攻击者提交的交易可能被接受。这可能导致资金返还给原始所有者的扣款。此外,在感染时区204中,原始所有者提交的交易可能被拒绝,因为由于攻击者的未经授权交易,交易现在可能被视为可疑的。
C.后时区
当所有者取消账户212以及新账户214重新发布给所有者时,后时区206开始。在后时区206中,所有者的交易可能被拒绝,因为与重新发布的账户关联的数据元素与关联原始账户的数据元素链接。例如,重新发布的账户可以与数据元素,例如所有者的指纹、电子邮件地址、IP地址和电话号码相关联。这些数据元素可以链接到泄露的原始账户。由于重新发布的账户与泄露账户的共同数据元素相关联,因此使用重新发布的账户进行的交易可能被拒绝。此外,攻击者可以继续使用来自原始账户的与其它泄露账户相同的欺骗性数据元素。因此,曾与原始支付账户相关联的数据元素可以被标记为可疑或欺骗性数据元素。
实施例可以解决被授权用户和攻击者同时访问资源的问题,以及给被授权用户发布新资源(例如新电子邮件或支付账户)的情况。下面描述用于欺骗检测系统的数据结构。使新账户免遭过去的攻击的能力可以被称为补救(redemption)。
III.创建攻击者配置文件的数据结构
一些实施例可以生成数据结构,其提供统计上可靠的数据,允许安全应用程序检测支付账户欺骗性使用的潜在实例。可以使用与来自认证请求的交易关联的数据元素生成数据结构。随着时间的推移,当新数据元素添加并且链接到数据结构时,数据结构的统计可靠性增大。
建立数据结构后,可以识别资源的有效用户。此外,可以从数据结构中识别数据结构内的集群。每个集群(也称为“网络基序(Cyber Motif)”)都可以被识别为对应于合法的认证请求或潜在欺骗性认证请求,这最终可能是合法的(例如,表示被授权用户的请求,例如助理、家庭成员等)。例如,基准集群可以被识别为资源所有者执行的合法认证请求。其余集群可以归类为可疑或欺骗性的交易。
新认证请求可以与基准集群进行比较。通过将新认证请求与基准集群进行比较,欺骗检测系统本身可以在交易期间实时地更可靠地确定潜在欺骗事件。例如,(例如,使用访问服务器120实现的)授权系统不需要等待时间逝去来实现扣款,以便确定交易是否是欺骗性的。相反,欺骗性交易可以在第一次尝试中被实时确定。
数据结构对于其它目的的各种用户也可以是有益的。例如,发行方的建模团队、系统工程师、业务单位可以将数据结构用于研究目的。这些数据结构也可以用作犯罪活动如何通过不同资源的不同集群,如何接管资源的标识以及如何跨越不同资源的活动(例如,如第VI节所讨论)的证据。例如,在财务安全方面:(1)发行方可以用其在配置文件级别进行风险评估,以协助进行新账户批准/现有账户维护的决策;以及(2)卡协会网络、收单方、商家、第三方欺骗解决方案提供商,所有这些提供商都可以用其通过其自身渠道提供防欺骗活动(例如,确定交易是否是可疑或欺骗性的)。在其它行业中,它可以用于与身份相关的保护情形:(1)信用局和第三方服务的身份盗用检测和保护;(2)医疗保健欺骗:与自身特性数据元素和标识符类似的数据结构,以检测和防止医疗保健欺骗;(3)保险欺骗:与其自身特性的数据元素和标识符类似的数据结构,以检测和防止任何保险欺骗;和(4)金融机构和政府的反洗钱。
A.创建初始数据结构
可以随时间创建数据元素的数据结构,以用于实时验证新访问请求(也称为认证请求)的目的。可以通过在一段时间内从多个新访问请求采集和链接数据元素来生成数据结构。数据结构可以具有与数据元素对应的节点。随着新认证请求的进入,系统可以确定新交易的数据元素是否与初始数据结构中的现有节点匹配。
图3示出了在本发明的实施例中的示例性初始数据结构300。可以使用来自过去认证请求的数据元素来生初始数据结构300。初始数据结构300可以包括资源标识符302。一般来说,当接收到认证请求时,认证请求可以包括资源标识符和多个数据元素。资源标识符302可以是支付账号、令牌号、数字钱包标识符、指纹、IP地址、收货地址、账单地址等,或这些组件的任何逻辑组合。
如图所示,数据结构300包括多个现有节点304(a)-304(N),其包括对应于字段310(a)-310(M)的现有数据元素308(a)-308(N)。数据结构300可以具有对字段的特定排序,并且当对应字段的数据元素不存在时,节点中可存在空值。对于一个字段可能存在超过一个数据元素,因为用户可以在不同时间以不同方式启动访问请求,例如,使用不同的IP地址。不同用户也可以启动对相同资源的合法访问请求,例如,同一云存储账户可以由多个用户共享,或者同一个信用卡可以由多个用户共享。
如图3所示,字段310(a)可以只包括在执行具有资源标识符302的访问请求时曾使用过的电子邮件地址。资源标识符302的所有者可以授权将资源标识符302用于其它用户,例如他的家庭成员、同事、助理、员工等。类似地,字段310(b)-310(M)可以包括收货地址、装置指纹(例如,一个或多个装置标识符,诸如操作系统、MAC地址、网络浏览器配置信息、TCP/IP配置、IEEE(802.11)无线设置,以及硬件时钟偏移,其可以共同地提供装置的唯一标识)、IP地址等的字段,在执行具有资源标识符302的访问请求时,这些字段被使用。字段不受限制,并且可以创建其它字段以适应新的数据元素。例如,其它数据元素可以包括用户名、账户标识符(例如,用户名或电子邮件)、支付账号、令牌号、数字钱包标识符等。因此,如果初始数据结构300没有用于诸如用户名或账户标识符的新数据元素的字段,则可以添加其它字段以适应新的数据元素。
数据结构可以具有链接现有数据元素308的连接306(a)-306(N)。连接可以定义为从一个节点到另一个节点的指针。因此,节点可以包含数据元素和到一个或多个其它节点的一个或多个指针。连接可以指示链接的数据元素曾存在于同一个访问请求中。在一些实施方式中,连接可以具有与共享数据元素的多个访问请求对应的相关联强度。一个节点可以指向另一个节点,指示这两个节点被绑定在一起,并且在一个请求中呈现,例如,节点308(a)与节点308(b)绑定。此绑定关系可从节点308(a)传递到节点308(M),这可被称为完全绑定。
如图3所示,节点可以指向超过一个其它节点,例如,当电子邮件地址312出现在具有不同IP地址的不同访问请求中时。完全绑定可以重叠,即共享节点。电子邮件地址2和收货地址2在具有不同IP地址的两个完全绑定间共享(重叠节点)。数据结构可以存储节点连接关系,但也将连接强度与指向特定其它节点的指针相结合地存储。连接强度可以是给定的两个节点的绑定关系的频率。
B.更新数据结构
如上所述,当接收到来自新访问请求的认证信息时,可以更新数据结构。在识别到新数据元素时,可以通过添加新节点来更新数据结构。在一些实施例中,当某些节点具有与当前认证信息相同的数据元素时,可以更新节点之间的连接强度,因此连接变得更强。
图4示出了在本发明的实施例中的示例性更新的数据结构400。已将附加节点添加到初始数据结构300以获得更新的数据结构400。
当接收到新认证请求时,系统可以执行模式识别技术,以确定新认证请求的当前数据元素与初始数据结构300中的现有节点304(a)-304(N)的匹配程度。例如,可以将新认证请求的当前数据元素与初始数据结构300中的现有节点304(a)-304(N)进行比较,以识别与初始数据结构300中的现有数据元素308不匹配的任何新数据元素402。
如果识别到新数据元素402,则新数据元素402可以添加到初始数据结构300,这里显示为附加节点404(a)-404(N)。附加节点404(a)-404(N)可以添加到数据结构中的一个或多个集群406(a)-406(N)。一个或多个集群406(a)-406(N)中的每一个可以表示合法认证请求的模式或潜在欺骗性认证请求的模式。换句话说,不同集群可以归类为原始所有者进行的交易,或者被归类为可疑或欺骗性的交易。例如,如图4所示,集群406(a)可以表示由所有者和其妻子进行的合法交易,而集群406(b)-406(N)可以表示攻击者进行的交易。
此外,现有节点(例如,304(a)-304(N))可以基于现有节点之间的连接的共同性存储在一个或多个集群(例如406(a)-406(N))中的初始数据结构300中。在收到新认证请求之前,集群可能已经被识别。可以将集群保存为对应于特定集群的节点列表。在图4的实例中,可以通过存储用于电子邮件地址3、IP地址3和收货地址3的节点的标识符来限定集群406(b)。以此方式,可以基于集群内的节点来识别集群406(b)的属性。在一些实施例中,节点可以属于超过一个集群,因为集群中可以存在交互作用,这与图4中所示的统一的行相反。
可以根据需要为要添加的附加节点分配内存空间。例如,在识别新数据元素时,可以允许新节点的内存。然后,新内存可以存储指向访问请求中具有与新数据元素相同数据元素的任何节点。
如果添加新集群,则最初可能将新集群识别为潜在欺骗性的,基于与集群关联的请求的状态进行后续分类。实例状态包括:通过(授权访问)并且未转变为欺骗性的、通过并且转变为欺骗性的、以及被拒绝并且不知道欺骗状态。在一些实施例中,报告欺骗性事件可能具有延迟效应。
在更新集群分类时,集群可以被重新分类,从较大集群中分离出来,或者这两者。例如,一个子集群(全部在访问请求中找到的节点)最初可以添加到现有的合法集群中。但是,如果报告了该访问请求有破坏,则子集群可以被分离出来作为分类为欺骗性的新集群。并且,即使添加了新集群,在已知请求的最终状态之前,也可能不知道其分类,在这种情况下,可以更新分类。
C.方法
图5示出了根据本发明的实施例的用于生成数据结构的方法500的流程图。方法500可以由计算机系统执行,例如,资源安全系统的访问(认证)服务器(如图1所示),其分析对访问资源的认证请求。更具体地说,方法500可以由访问服务器120执行。在方法500中,管理对资源的访问的数据结构已经存在,例如,如以本文所述的方式生成。
在步骤502中,接收访问受保护资源的新认证请求。新认证请求可以包括资源标识符和一个或多个当前数据元素。新认证请求可以在不同装置中的任何一个接收,例如,图1的用户装置150、访问装置160或请求计算机170。当期望访问受保护资源时,用户可以启动新认证请求。如上所述,受保护资源可以是例如物理资源、计算机资源或在提供访问前需要验证信息的其它电子资源。例如,可以提供账号以及验证数据。
认证请求可以具有指定格式,例如,在数据包或更大消息内数据的长度和位置。在其它实施例中,可以发送带有识别数据元素并且可能识别其长度的标记(标签)的每个数据元素。标记可对应于数据结构的字段(例如,字段310)。访问请求中的数据元素可以被视为绑定在一起,这可以为数据结构提供连接。
在步骤504中,数据结构可以存储在计算机可读介质中,所述计算机可读介质可以被计算机系统访问。数据结构可以以任何合适的方式存储,例如,为阵列、链接列表、图形数据库或为数据库中的表。例如,如参照图3所论述的,初始数据结构300可以存储在数据库中。初始数据结构300可以与从先前的认证请求获得的资源标识符302和现有数据元素308相关联。资源标识符302可对应于数据库中的特定表,因此可以用作访问数据库以获得数据结构的查询中的主密钥。初始数据结构300可以具有对应于现有数据元素308的现有节点304(a)-304(N)。初始数据结构300可以具有连接306(a)-(N),该连接指示哪些现有节点304(a)-304(N)已经出现在同一先前认证请求中。
可以用以下方式初始化数据结构。例如,当用户设置账户时,可以为受保护资源注册资源标识符。在(例如,通过网络注册)注册时,系统可以接收一个或多个初始数据元素,作为注册资源标识符的一部分。可生成数据结构的集群以包括对应于一个或多个初始数据元素的一个或多个节点。
在步骤506中,将新认证请求中的一个或多个当前数据元素与数据结构中的现有节点进行比较。例如,如参照图3和图4所论述的,当从新认证请求接收新的当前数据元素时,将新的当前数据元素与初始数据结构300中的现有节点304(a)-304(N)进行比较以确定当前数据元素是否与现有数据元素308匹配。
比较可以多种方式进行。例如,可以(例如,使用标签或其它标识符)识别每个新数据元素的字段,并且可以将数据元素与该字段的每个节点进行比较。比较可以是数值比较或常规表达式比较或本领域技术人员已知的其他技术。
在步骤508中,响应于步骤506,从一个或多个当前数据元素中识别与数据结构的现有节点中的一个不匹配的一个或多个新数据元素。例如,参照图3,将与新认证请求相关联的一个或多个当前数据元素与初始数据结构300中的现有节点304(a)、…304(N)进行比较。如果数据元素不匹配,则可以将不匹配的数据元素识别为新数据元素。例如,电子邮件地址JohnDoe@xyz.com与电子邮件地址JDoe@abc.com匹配。在图4的实例中,电子邮件地址3可以被识别为与电子邮件地址1或电子邮件地址2不对应,因此被识别为新数据元素。
在步骤510中,将一个或多个新数据元素添加为数据结构中的一个或多个附加节点。例如,如参照图4所论述的,一个或多个新数据元件402可以添加为附加节点404(a)、…404(N),如更新的数据结构400中所示的。在一种实施方式中,附加节点可以是分配的新内存和添加的对应数据元素,并具有指向相关节点的指针。
更新的数据结构400可以具有一个或多个集群406(a)-406(N)。来自一个或多个集群406(a)-406(N)的每个集群可以表示合法认证请求的模式或潜在欺骗性认证请求的模式。例如,现有集群406(a)可以表示合法认证请求的模式,并且新集群406(N)可以表示潜在欺骗性认证请求的模式。
当附加节点404(a)-404(N)添加到更新的数据结构400时,附加节点404(a)-404(N)可以存储在表示合法认证请求模式的现有集群406(a)中,或者存储在表示潜在欺骗性认证请求模式的新集群406(N)中。可以根据需要添加节点之间的连接,例如,基于认证请求中哪些节点匹配数据元素。在创建新集群后,新集群可以被分类为例如良好、可疑或不良(欺骗性的)。潜在欺骗性的初始识别允许后续分析以产生此种分类。分类可以使用与特定认证请求相关联的报告破坏(例如,扣款、数据盗用或其它类型的破坏)。与此类破坏相关联的集群可以被识别为不良,并且可以添加到一组已知的欺骗性集群中,如第VI节所述。这些分类可以存储并用于确定是否授权未来请求。
基于步骤506中的比较,计算机系统可以响应于新认证请求确定是否授权对受保护资源的访问。响应于确定要授权访问,可以将授权信号发送到资源计算机(例如,图1的资源计算机110),以便授权对受保护资源的访问。
在一些实施例中,是否授权访问可以通过以下方式确定。可以确定与现有集群的现有节点匹配的一个或多个当前数据元素的数量,并且可以将此匹配数量与阈值进行比较。在各种实施方式中,数量可以是与现有集群的现有节点匹配的一个或多个当前数据元素的数目,或与现有集群的现有节点匹配的一个或多个当前数据元素的百分比。在各种实例中,匹配的匹配数量的测量可以是具有/不具有不同单位(例如功能、概率、得分或速率)的不同测量,其中单位可以是每个给定时间,每个给定时间变化等。每个匹配节点都可以均匀地为该数量做贡献或被分配用于为该数量做贡献的不同权重。可以基于超出阈值的数量授权访问受保护资源。在另外的实施例中,匹配数量(例如,匹配节点的数目的和、节点百分比、得分等)可以是从相应数量确定的合并级别。每个相应数量均可分配权重。此外,匹配数量可以对应于被满足的许多标准,每个标准要求有足够的匹配数量。因此,可以分别要求不同的匹配测量至少是某个数量。
IV.数据结构的使用
根据实施例,在审核交易时,访问服务器(例如,通过自动操作)或访问服务器的操作员(管理员)可以使用数据结构,以对是否接受或拒绝新认证请求做出决定。包括数据结构的物理图显示可帮助操作员快速确定认证请求是否是合法的或潜在欺骗性的。数据结构的使用不限于操作员(例如,商家操作员)。诸如发行方、信用局员工、收单方(例如,使用请求计算机)的各方和其他第三方可以使用数据结构来获取其好处。这些其他方可以使用此类数据结构保护例如相同类型的其它资源。例如,相同的攻击者可能会攻击其它资源,并且配置文件(通过数据结构中的集群)可以允许另一方的服务器更快地检测欺骗性请求,因为可以利用已接收的数据结构的适当知识。
A.表示合法请求的基准集群的识别
来自数据结构的基准集群可以表示关于合法认证请求的统计上可靠的数据。例如,参照图4,更新的数据结构400表示在一段时间已经生成的数据结构。在字段1下,已使用“电子邮件地址1”进行了52项交易,没有任何欺骗性访问报告(例如,诸如黑客电子邮件账户等的入侵或资源涉及支付账户时的扣款)。如果在足够长的时间间隔内没有任何欺骗性访问报告(例如,考虑报告延迟并假设所有欺骗都将被报告),则可以将集群识别为合法。因此,这种大量使用可能指示“电子邮件地址1”是合法的。因此,集群406(a)可以被识别为表示由原始所有者和资源标识符302的任何其他授权用户进行的合法交易。因此,集群406(a)可以被识别为与新认证请求比较的基准集群,以确定请求是否是合法的或欺骗性的。
在最初创建资源时,可能没有足够的信息来识别基准集群,或至少没有完全按照需要定义。在注册或创建资源时,例如,在创建电子邮件账户、云存储账户、支付账户或进入建筑物的一组徽章时(例如,可能需要密码或其它标准),用户可以将某些字段的数据元素指定为种子。起先,指定的数据元素可以充当基准。但在一些实施例中,要求访问服务器比要求仅对应于指定的数据元素的访问更灵活,例如,当用户可能获得新的装置、电子邮件和/或IP地址(例如,当互联网提供商更改时)。因此,第一次使用可能要求数据元素的至少一定数量(或百分比)与指定的数据元素匹配,但允许有几个(例如,一个或两个)新数据元素。当少于所有数据元素都与基准集群匹配时,新访问请求可被视为隶属于基准集群,并且匹配的百分比是隶属的强度程度。这些新数据元素可以添加到基准集群中,其最初对应于创建资源时指定的数据元素。然后可以重复使用新的数据元素,可能将其状态巩固为合法的。
数据元素可以具有为合法的不同强度(状态)。如上面提到的,创建时指定的值可以被赋予高强度(例如,1-10标度中的9)。在指定数量的阈值使用(例如20、30等)之后,强度可以增加到10。在其它实施例中,强度可继续上升(例如,没有指定最大值或至少高于10的最大值),因为数据元素仍然在未被标记为欺骗性的访问请求中看到。强度可以以另一个值开始,并在满足各种阈值后递增地增加。
匹配数据元素的强度可以允许将同一请求中的新数据元素添加到基准。例如,可以为每个匹配数据元素添加强度得分,并且在新数据元素添加到合法集群之前,可以要求总得分高于某个阈值,这可能是与不同合法用户相对应的基准或另一个集群,该用户与在资源创建/注册时指定的数据元素的用户不同。在添加到合法集群之前,数据元素可以未分类或在不确定(即不合法也非欺骗)的集群中。不确定集群中的数据元素可能不具有相关联的强度或零值。欺骗性集群的数据元素可以具有负强度,如下所述。不同集群的其它实例包括可疑的(可以被视为不确定)、合法的或欺骗性的。
除了认证信息之外,还可以获得访问请求的其它参数,例如请求的位置、请求速度(例如,在一个时间段内的交易次数,可能考虑金额)。
B.表示欺骗性请求的集群
还可以识别表示可疑或欺骗性交易的集群。例如,在图4中,集群406(b)可以被识别为欺骗性的,原因是只执行了两次交易,并且数据元素402与基准集群406(a)中的数据元素不一致。欺骗的分类可能在以后发生变化,例如,如果其它请求包含了来自合法集群的数据元素。
欺骗性集群的数据元素也可以具有得分,例如,负数,其表明数据元素为无效请求的一部分很弱。这些得分可能有助于确定新认证请求是否合法,例如,如果新请求包括合法集群的一个或多个数据元素以及欺骗性集群的一个或多个数据元素。以与正强度类似的方式,负值可用于将数据元素添加到欺骗性集群中。例如,欺骗性请求中出现数据元素的次数可以用作负得分。另外,如果某个请求被明确识别为入侵(例如,扣款或检测到的攻击),那么这些数据元素的得分可以提高得更高(例如,增加5、10等),因为存在入侵确认。
除了使得分与集群的每个数据元素相关联之外,欺骗性集群还可以具有与集群的欺骗性程度有关的副得分。与上面的实例类似,如果例如用户或恶意软件/病毒软件已明确识别了一个指定数量的入侵攻击,集群可以具有更高的欺骗性得分(例如,高的负数)。
C.集群与传入验证请求的比较
当接收到新认证请求时,可以使用模式识别技术来确定新交易的数据元素与基准集群或其它合法集群中的数据节点的匹配程度。新交易的数据元素可以与现有集群进行比较,以确定新交易是否与数据结构中的现有集群一致。例如,如果新交易与基准集群(例如,集群406(a))一致,则可以授权访问请求。但是,如果新访问请求与基准集群或其它合法集群不一致,访问请求可能被拒绝或被视为具有潜在欺骗性。确定新认证请求所属的集群可以被称为分离。
如本文所述,可以测量新访问请求是否足够一致的标准。例如,可以要求一定数目或百分比的新数据元素来匹配合法集群的当前数据元素。与不同数据元素匹配的贡献可以,例如,使用上述得分被不同地加权。可以使用标准操作,例如相同符号,来确定特定数据元素是否匹配,以确定两个数字是否相同。许多编程语言都允许相同符号也与字符串一起使用,例如,用于比较地址或电子邮件地址。
通过将新认证请求与在一段时间上已经生成并识别为合法的基准集群进行比较,访问服务器可以实时更可靠地确定新访问请求是否具有潜在欺骗性。将基准集群与新认证请求进行比较也有助于减少假阳性。例如,对于基准集群,访问服务器将更好地理解哪些传入交易可疑并拒绝这些交易,而不是批准这些交易。
访问服务器还可以将传入的新认证请求与已被识别为可疑或欺骗性的数据结构中的集群进行比较。这允许访问服务器标记与可疑或欺骗性集群的配置文件(集群)匹配的任何新认证请求,使得访问服务器可以进一步评估认证请求。
在一些实施例中,比较可以如下继续进行。在接收到访问请求时,实施例可以确定在当前交易元素中绑定的每个可能组合对基准集群的隶属度(DoA)。下面的实例使用两个元素的组合,但可以有两个以上。
“C”是当前交易中绑定元素的所有可能索引的集合。如果我们选择其中两个:索引集{1,2,3},C={(1,2),(1,3),(2,3)}。“S”代表请求最终状态,例如,接受且不是欺骗、接受且是欺骗,或拒绝。“t”对应于时间线上向后移动的时间窗口,例如,每周窗口。“H”代表历史时间。“freq”是指在该特定时间窗口中计算两个元素绑定事件的函数。“W”是所有权重:给定历史交易的状态,并给定组合(ith,jth)元素,W_ij(t|S)由标记报告滞后时间分布驱动;W_s可以用经验方式确定。如有必要,“Trans”可以对应于任何类型的变换函数,例如,对数变换。
将所有权重相加到一起提供当前请求隶属于来自该资源标识符的历史事件的度量。此示例性测量可以比较所有请求并学习决策的最佳阈值。该阈值可以是当前计算出的DoA在所有请求中所有观察到的/计算出的DoA中的相对位置的百分点。DoA的值可以是正的或负的。正值越大,当前请求隶属于合法集群的概率就越高,负值越小,当前请求隶属于欺骗性集群的概率就越高。
因此,作为实例,学习模型可以确定:(1)当前访问请求与现有集群之间的相似性;和(2)已建立/现有集群的合法可能性。在学习(培训)流程开始时可能存在误差,可以确定用于对数据元素是否应添加到现有集群或创建新集群进行分类的最佳阈值。互补信息可用于确定是否添加到基准集群,例如,通过短信或通过其它通信渠道进行密码验证、通过生物识别技术进行验证,或其它类型的验证。因此,可以使用辅助认证技术确认授权请求的数据元素是否可以被归类为合法,并且此类分类是否可以用于二次认证不可用的后续请求。在一些实施例中,可以给具有二次认证的请求的数据元素分配较高权重,其中一旦集群的数据元素出现足够的数量(包括潜在权重),就会分配合法分类,而不会报告破坏性。
V.示例性数据结构
下面的实例提供了从实际攻击者做出欺骗性访问(认证)请求创建的数据结构。不同的数据结构显示节点的不同数量。显示了在单个访问请求中绑定在一起的节点之间的连接。每个数据结构的集群都标记在右侧。
A.实例1
图6示出了在本发明实施例中的数据结构的实例。数据结构600使用信用卡号602作为资源标识符来生成数据结构。数据结构600包括五个数据字段604(a)–604(e),这些字段与和信用卡号码602相关联的交易的访问请求关联地使用。在本实例中,字段604(a)包括电子邮件地址,字段604(b)包括装置指纹,字段604(c)包括IP地址,字段604(d)包括收货地址,字段604(e)包括电话号码。
数据结构600产生四个集群606(a)–606(d)。如图所示,集群606(a)表示基准合法集群,而集群606(b)–606(d)是可疑或欺骗性集群。在字段604(a)中,该图指示电子邮件地址(例如,数据元素),John_SXXXX@yahoo.com被用于11/04/14至08/04/15之间的52次信用卡交易。由于没有与此电子邮件地址相关的欺骗或未经授权的购买的报告,因此与此电子邮件地址相关的交易被视为合法的。因此,集群606(a)可以被识别为表示合法认证请求模式的基准集群。
基准集群606(a)还包括电子邮件地址SXXXX@fb.com,其只有一次与信用卡号码602相关联的交易。虽然电子邮件地址SXXXX@fb.com只有一次与信用卡号602相关联的交易,但对应的访问请求具有与也包括电子邮件地址John_SXXXX@yahoo.com的访问请求共同的数据元素,例如共同的收货地址、IP地址和电话号码。所有交易都有相同的电话号码。如果这样的数据元素非常普遍,则可以为其分配高强度以预测新访问请求所属的集群。
相应地,基准集群606(a)包括与John_SXXXX@yahoo.com和SXXXX@fb.com相关联的交易。因此,基准集群可以包括超过一个电子邮件地址。此实例表明在集群中的数据元素之间,集群可包括各种交叉连接,其中某些数据元素仅存在于某些访问请求中作为其它数据元素。例如,当电子邮件地址612和装置指纹614首次出现在访问请求中时,它们是隶属于基准的数据元素,假如与基准集群606(a)的数据元素有足够的重叠(一致性),则可以作为基准集群606(a)的一部分添加到数据结构中。
如图所示,电子邮件John_SXXXX@yahoo.com与各种装置指纹和IP地址一起出现。某些装置指纹标记为空。空节点被认为彼此不同,因此不会识别错误的隶属。顶部的IP地址和收货地址也为空。因此,不一定要求有除电子邮件(或另一主数据元素)之外的其他数据元素。可以由对应于主数据元素(例如,要求一个值的数据元素)的字段指定该主数据元素。
其他集群的数据元素(节点)之间没有重叠。每个不同的集群都有不同的电子邮件,每个电子邮件都有指纹和IP地址的不同组合,没有收货地址或电话号码的信息。不同集群可以通过数据结构节点中的分离来识别,即节点之间没有连接。例如,根据一个集群中的一个节点是否存在指针(如根据包括指定节点的集群的定义所确定的,如可以通过节点的标识符或可以存储集群的标识符的节点来进行的)可以确定是否存在连接。
可以在时间图中显示对来自数据结构的集群的访问请求,以说明每个集群的交易的时间线和频率。例如,参考图7,基序1-702(例如,图6中的集群1)是表示合法认证请求的统计上可靠数据的基准集群。该图指示,针对基序1-602进行的交易大致范围是从2014年11月至2015年4月。类似地,图中显示了图6中的可疑或欺骗性集群:基序2-704(例如,集群2)、基序3-706(例如,集群3)和基序4-708(例如,集群4)。
图7中的基序1-4的性能聚焦在图8中。例如,如上所讨论,基序1-702是基准集群。图8揭示了对于基序1,总共有53次交易与基序1有关,其中52次交易已被接受,且只有一次交易被审查。此外,基序1导致零次扣款。因此,性能数据确认基序1正确地识别为基准集群。
与基序2-704相关联的欺骗性请求大致范围是从2015年7月31日至2015年8月29日。总共进行了与基序2-704相关的两次访问请求,其中一次请求被接受,一次请求被拒绝。接受的请求导致扣款,因此有一次成功攻击。因此,数据确认基序2-704是欺骗性集群。
与基序3-706相关的欺骗性请求大致范围是从2015年8月3日至2015年8月27日。总共进行了与基序3-706相关的六次访问请求,其中一次请求被接受,五次请求被拒绝。接受的请求导致扣款,因此有一次成功攻击。因此,数据确认基序3-706是欺骗性集群。
与基序4-708相关联的交易大致范围是从2015年9月至2015年10月。总共进行了与基序4-708相关联的三次交易,其中所有三次认证请求都被拒绝。此外,基序4-708导致零次扣款。因此,数据确认基序4-708是欺骗性集群。
因此,存在未被当前机制检测到的来自扣款交易的字段。使用数据结构和相关联技术的实施例可以发现这些交易,因为其他基序的数据元素未归类为良好基准基序1-702。
在一些实施例中,图6-8可以用作访问服务器的管理员的可视化工具。另外或者作为替代,系统可以,例如,基于新认证请求与合法集群的节点的一致性得分,使用数据结构来自动确定是否提供对资源的访问。
图7是具有可被显示的时间轴的时间线图形的实例。可以接收多个认证请求中的每一个认证请求的时间戳。可以将每个认证请求分配给集群。时间线图形可以包括多个集群中的每个集群,其认证请求中的每个认证请求显示在与时间戳相对应的时间处。可以显示具有集群是否合法的指示的每个集群。
图7还示出为基序1-702的子集的基序1-712,其中对应于特定装置指纹的访问请求集中在一起。这表明并非所有有效请求都具有相同的装置指纹,因此如本文所述,系统优选地具有在使用这些附加数据元素时的灵活性。例如,可以基于隶属性将数据元素添加到合法集群中,这可能在添加之前需要有具体数量的隶属的认证请求。基序1-714显示了不同的IP地址,这些地址的变化更为常见。
扣款是指示与新集群相关联的一个或多个认证请求是欺骗性的实例。可以从受保护资源的管理员(例如,账户的所有者或监控电子资源的IT专业人员)接收此类指示。基于此指示,可以将新集群识别为与受保护资源的入侵者相关联的欺骗性集群。
B.实例2
图9示出了根据本发明的实施例的另一示例性数据结构900。集群1是合法的,但其他集群是可疑或欺骗性的。所有者只使用了资源几次。但是,潜在的欺骗性集群使用了该资源许多次,如下表1所示,这些都显示了扣款。感染时间很长,即原始所有者和攻击者都提交认证请求的时间。
表1.显示了集群、请求数量、请求时间范围、产生的决策以及识别任何入侵的状态。
如图9所示,集群2有三个电子邮件,其中第一电子邮件连接到两个已知装置指纹和三个IP地址。还使用了多个电话号码。这样,当与IP地址914(已知为不良)联合使用新电子邮件地址(例如,电子邮件912)时,那么包括电子邮件912的访问请求可以被拒绝访问资源。
C.实例3
图10示出了根据本发明的实施例的所有者的第一资源的示例性数据结构1000。数据结构1000显示了基准集群1的许多认证请求,以及欺骗性集群2的仅几个认证请求。所有者取消资源,并获得作为第二资源发布的新资源。图11示出了根据本发明的实施例的所有者的第二资源的示例性数据结构1100。
对于第二资源,当原始所有者使用第二资源时,所有者可能将被拒绝,原因是第一资源与欺骗活动相关。突出显示的数据结构1100的框显示了与第一资源的数据结构1000中相同的数据。数据结构1000的合法集群1可以与数据结构1100的单个集群相关,因此可以接受新访问请求,因为他们来自合法用户。因此,实施例可以容易地且自然地将第二资源的访问请求表征到数据结构1000中的基准集群1中。
表2显示了两个资源的结果
表2.显示了集群、请求数量、请求时间范围、产生的决策以及识别任何入侵的状态。
通过使用实施例,来自基序2的4个接受的交易可能已经通过审核或拒绝来防止成为入侵(扣款)。并且,使用新资源的原始所有者进行的33项被拒绝交易可能已被接受。
VI.存储潜在可疑或欺骗性认证请求的保存库
在一些实施例中,可以生成保存库以存储潜在可疑或欺骗性认证请求。例如,再参考图4,更新的数据结构400可以具有一个或多个集群406(a)-406(N),其表示合法或潜在的欺骗性认证请求。集群406(a)可以表示资源标识符302的原始所有者进行的合法交易,集群406(b)-406(N)可以表示攻击者进行的欺骗性交易。
集群406(b)-406(N)内的一个或多个新数据元素402可以存储在保存库中。保存库可以是与多个欺骗性交易相关联的“不良”或“可疑”数据元素的集合。得分服务器系统可以对在线交易实时使用保存库以帮助确定交易得分。例如,保存库可以出售给第三方,并用于第三方的决策制定过程。系统可以使用保存库来确定交易得分,并决定是否接受、审查或拒绝交易。
例如,图9中的集群2-7可以被识别为欺骗性的。然后这些集群可以包括在攻击者的配置文件保存库中,此保存库可以在各种资源中使用。当接收对访问服务器管理的任何资源的新认证请求时,不仅可以将与该资源具体对应的数据结构与当前认证请求的当前数据元素进行比较,而且还可以将当前数据元素与不良配置文件保存库中的集群进行比较。如果当前数据元素与一个或多个不良集群(集群)匹配良好(例如,指定的百分比数),则可以拒绝请求。可以使用上述技术来确定是否存在一致匹配。这样的存储库可以在管理不同资源的不同访问服务器之间共享。
在一些实施例中,保存库中的集群可以被分类为不同级别。例如,集群的一个子集可以被识别为已确认的欺骗,因此具有与这些集群相关联的特定欺骗水平。与这些集群中的一个集群匹配可能导致较高的拒绝可能性。集群的不同子集可以被识别为潜在的欺骗,并且与这些集群相关联的欺骗级别较低。
因此,可以存储其他节点的其他集群的集合,并包括其他数据元素、对应于多个其他资源标识符并与潜在欺骗性认证请求相关联的其他集群的集合。响应新认证请求,新认证请求中的一个或多个当前数据元素可以与另一个集群的一个或多个其他节点进行比较,作为决定是否授权对受保护资源进行访问的一部分。此比较还可用作确定是否将一个或多个新数据元素添加为数据结构中新集群中的附加节点的一部分。当一个或多个新数据元素与其他集群的集合中的其它集群的一个或多个其他节点匹配时,可以将一个或多个新数据元素添加到新集群中。
VII.示例性计算机系统
各种系统可用于实施上文所描述的方法。现在描述示例性验证服务器。
图12示出了根据本发明的实施例的访问服务器1200的框图。访问服务器1200可以用于实施图1的访问服务器120,用于确定是否授权访问受保护资源,例如,物理资源118或电子资源116。访问服务器1200可以包括耦合到网络接口1202和计算机可读介质1206的处理器1201。
处理器1201可以包括一个或多个微处理器,以执行用于执行计算机可读介质1206的功能的程序组件,例如生成、管理和使用数据结构以确定是否授权访问受保护资源。网络接口1202可以被配置成连接到一个或多个通信网络,以允许访问服务器1200与其他实体通信,所述其他实体例如由用户操作的客户端装置、由资源提供商操作的访问装置、请求计算机(例如,商家计算机)、传输计算机(例如,收单方计算机)、授权实体计算机(例如,发行方计算机)等。计算机可读介质1206可以存储可由处理器1201执行以用于实现文中描述的功能的代码。例如,计算机可读介质1206可以包括生成模块1209、分类模块1210、比较模块1212和更新模块814。
数据结构框架1208可以包括有关如何存储数据结构(例如,作为关系数据库中的链接列表或表)以及哪些字段将被存储以及以哪种顺序存储的任何信息。生成模块1209可以使用数据结构框架1208中的任何定义以使用存储在数据库1203中的访问请求的数据元素来创建数据结构。生成模块1209可以用于注册对应于受保护资源的资源标识符。
分类模块1210可以如本文所述将数据结构中的节点分类为集群。比较模块1212可以将新访问请求与数据结构的现有节点比较,更新模块1218可以确定新节点是否应添加到现有集群或是否用于创建新集群。访问模块1214还可以使用比较模块1212的结果来确定是否基于访问请求的数据元素授权受保护资源的。如果授权访问,访问服务器可以向资源计算机发送授权信号,以便授权访问受保护资源。
本文所提及的任何计算机系统都可以使用任何合适数量的子系统。在一些实施方案中,计算机系统包含单个计算机设备,其中子系统可以是计算机设备的组件。在其它实施例中,计算机系统可以包含多个计算机设备,每个计算机设备都是具有内部组件的子系统。计算机系统可包含台式计算机和膝上型计算机、平板计算机、移动电话和其它移动装置。
子系统可以通过系统总线互连。额外的子系统可以包括打印机、键盘、存储装置以及监视器,其可以耦合到显示适配器。耦合到I/O控制器的外围设备和输入/输出(I/O)设备可以通过本领域中已知的各种手段(例如输入/输出(I/O)端口(例如USB、))连接到计算机系统。例如,I/O端口或外部接口(例如,以太网、Wi-Fi等)可用于将计算机系统连接到广域网(例如,因特网)、鼠标输入装置或扫描仪。经由系统总线的互连允许中央处理器与每个子系统进行通信,并控制来自系统存储器或存储装置(例如,固定盘诸如硬盘驱动器,或光盘)的多个指令的执行,以及子系统之间的信息交换。系统存储器和/或存储装置可以体现计算机可读介质。另一子系统是数据收集装置,例如相机、麦克风、加速度计等等。本文所提及的任何数据都可以从一个组件输出到另一组件,并可以输出给用户。
计算机系统可以包括多个相同的组件或子系统,例如,通过外部接口、内部接口或通过可以将一个组件连接到另一组件并移除的可移动存储设备连接在一起。在一些实施例中,计算机系统、子系统或设备可以通过网络通信。在此类情况下,一个计算机可视为客户端,且另一计算机可视为服务器,其中每台计算机可以是同一计算机系统的一部分。客户端和服务器可以各自包含多个系统、子系统或组件。
实施例的各个方面都可以使用硬件(例如专用集成电路或现场可编程门阵列)和/或使用计算机软件以控制逻辑的形式实施,其中通用可编程处理器是模块化的或集成方式的。如本文中所使用,处理器包含单核处理器、在同一集成芯片上的多核处理器,或在单个电路板上或网络化的多个处理单元。基于本公开和本文中所提供的教示,本领域的普通技术人员将知道并且了解使用硬件和硬件与软件的组合来实施本发明的实施例的其它方式和/或方法。
本申请中所描述的任何软件组件或功能可被实施为要使用例如Java、C、C++、C#、Objective-C、Swift的任何合适计算机语言或例如Perl或Python的脚本语言,使用例如常规的或面向对象的技术由处理器执行的软件代码。软件代码可以存储为计算机可读介质上的一系列指令或命令以用于存储和/或传输。适合的非瞬态计算机可读介质可以包含随机存取存储器(RAM)、只读存储器(ROM)、磁介质(例如硬盘驱动器或软盘)或光介质(例如,压缩光盘(CD)或DVD(数字通用盘))、闪存等等。计算机可读介质可以是此类存储或传输装置的任何组合。
此类程序还可以使用适应于经由包含因特网的符合多种协议的有线、光学和/或无线网络进行传输的载波信号来编码和传输。因此,可以使用以此类程序编码的数据信号来创建计算机可读介质。以程序代码编码的计算机可读介质可与兼容装置一起封装或与其它装置分开地提供(例如,经由因特网下载)。任何此类计算机可读介质可以驻留于单个计算机产品(例如,硬盘驱动器、CD或整个计算机系统)上或内,且可存在于系统或网络内的不同计算机产品上或内。计算机系统可以包含用于将本文中所提及的任何结果提供给用户的监视器、打印机或其它合适的显示器。
本文中所描述的任何方法可以完全或部分地用计算机系统来执行,所述计算机系统包含可被配置成执行所述步骤的一个或多个处理器。因此,实施例可以涉及被配置成执行本文中所描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同组件的计算机系统。尽管以编号的步骤呈现,但是可以同时或以不同的顺序执行本文中的方法的步骤。另外,这些步骤的部分可以与其它方法的其它步骤的部分一起使用。此外,步骤的全部或部分可以是任选的。另外,任何方法的任何步骤都可以用执行这些步骤的模块、单元、电路或其它构件来执行。
在不偏离本发明的实施例的精神和范围的情况下,具体实施例的特定细节可以以任何适当方式组合。然而,本发明的其它实施例可以涉及与每个个别方面或这些个别方面的特定组合相关的特定实施例。
上文对本发明的示例实施例的描述已经出于图示和描述的目的呈现。其不希望是详尽的,或将本发明限于所描述的精确形式,且根据上文的教示许多修改和变化是可能的。
除非明确指示有相反的意思,否则叙述“一个/种”或“所述”旨在表示“一个/种或多个/种”。除非明确指示有相反的意思,否则“或”的使用旨在表示是“包括性的或”,而不是“排他性的或”。提到“第一”组件并不一定要求提供第二组件。而且,除非明确指出,否则提到“第一”或“第二”组件并不限制被提到的组件为特定位置。术语“基于”旨在表示“至少部分地基于”。
本文中提到的所有专利、专利申请、公开和描述出于所有目的通过引用被全部并入本文中。不承认它们是现有技术。
Claims (18)
1.一种方法,所述方法包括由计算机系统执行以下操作:
接收访问受保护资源的新认证请求,所述新认证请求包括资源标识符和一个或多个当前数据元素;
将数据结构存储在所述计算机系统可访问的计算机可读介质中,其中所述数据结构与所述资源标识符相关联,并且具有对应于先前认证请求中的现有数据元素的现有节点,所述先前认证请求包括所述资源标识符,所述数据结构具有指示哪些现有节点已经出现在同一先前认证请求中的连接;
将所述新认证请求中的一个或多个当前数据元素与所述数据结构中的现有节点进行比较,其中所述现有节点基于所述现有节点之间的连接的共同性存储在一个或多个集群中的数据结构中;以及
响应于所述比较,识别所述一个或多个当前数据元素中的与所述数据结构的所述现有节点之一不匹配的一个或多个新数据元素;
将所述一个或多个新数据元素添加为所述数据结构中的一个或多个附加节点,其中
(1)响应于与现有集群的现有节点匹配的一个或多个当前数据元素的数量,所述一个或多个附加节点存储在所述现有集群中,所述现有集群表示合法认证请求的模式,或者
(2)所述一个或多个附加节点存储在所述数据结构中的新集群中,所述数据结构中的所述新集群表示潜在欺骗性认证请求的模式,其中所述数据结构用于响应于所述新认证请求确定是否授权访问所述受保护资源。
2.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
对于所述受保护资源注册所述资源标识符;
接收一个或多个初始数据元素,作为注册所述资源标识符的一部分;以及
生成所述数据结构的现有集群以包括对应于所述一个或多个初始数据元素的一个或多个节点。
3.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
从所述受保护资源的管理员接收与所述新集群相关联的一个或多个认证请求是欺骗性的指示;以及
将所述新集群识别为与所述受保护资源的入侵者相关联的欺骗性集群。
4.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
响应于所述新认证请求,基于所述新认证请求中的一个或多个当前数据元素与所述数据结构中的现有节点的比较,确定是否授权访问所述受保护资源。
5.根据权利要求4所述的方法,还包括由所述计算机系统执行以下操作:
响应于确定访问被授权,向资源计算机发送授权信号,以便授权访问所述受保护资源。
6.根据权利要求4所述的方法,还包括由所述计算机系统执行以下操作:
存储包括其它数据元素的其它节点的其它集群的集合,所述其它集群的集合对应于多个其它资源标识符并且与所述潜在欺骗性认证请求相关联;以及
响应于所述新认证请求,将所述新认证请求中的一个或多个当前数据元素与另一个集群的一个或多个其它节点进行比较,作为确定是否授权访问所述受保护资源的一部分。
7.根据权利要求6所述的方法,其中所述其它节点的其它集群的集合被分类为确认为欺骗性的集群和潜在欺骗性的集群。
8.根据权利要求4所述的方法,其中确定是否授权访问所述受保护资源包括:
确定与所述现有集群的现有节点匹配的一个或多个当前数据元素的匹配数量;以及
将所述匹配数量与阈值进行比较。
9.根据权利要求8所述的方法,其中所述匹配数量为:
与所述现有集群的现有节点匹配的一个或多个当前数据元素的数目;
与所述现有集群的现有节点匹配的一个或多个当前数据元素的百分比;或
基于分配给每个匹配数据元素的相应权重确定的得分。
10.根据权利要求8所述的方法,还包括:
基于超出所述阈值的所述数量授权访问所述受保护资源。
11.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
存储包括其它数据元素的其它节点的其它集群的集合,所述其它集群的集合对应于多个其它资源标识符并且与所述潜在欺骗性认证请求相关联;以及
将所述新认证请求中的一个或多个当前数据元素与所述其它集群的集合中的另一个集群的一个或多个其它节点进行比较,作为确定是否添加所述一个或多个新数据元素作为所述数据结构中的新集群中的附加节点的一部分,其中当所述一个或多个新数据元素与所述其它集群的集合中的另一个集群的一个或多个其它节点匹配时,所述一个或多个新数据元素被添加到所述新集群。
12.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
接收多个认证请求中的每一个认证请求的时间戳;
识别所述认证请求中的每一个认证请求对应于多个集群中的哪个集群;以及
显示具有时间轴的时间线图形,其中所述时间线图形包括所述多个集群中的每个集群,所述每个集群的认证请求中的每一个认证请求显示在与所述时间戳对应的时间处,其中显示每个集群以及所述集群是否合法的指示。
13.根据权利要求1所述的方法,还包括由所述计算机系统执行以下操作:
显示所述数据结构的节点,其中各条线指示节点之间的连接,其中所述节点的每个集群与所述数据结构的其它集群分开显示。
14.根据权利要求1所述的方法,其中所述一个或多个当前数据元素和所述现有数据元素包括选自以下中的至少一个:名称、电子邮件地址、装置指纹、IP地址和电话号码。
15.根据权利要求1所述的方法,其中所述资源标识符包括选自以下中的至少一个:用户名、装置指纹和电子邮件。
16.一种计算机系统,包括:
存储多个指令的计算机可读介质;和
一个或多个处理器,所述一个或多个处理器被配置成执行存储在所述计算机可读介质上的指令以执行权利要求1-15中任一项所述的方法。
17.一种计算机可读介质,其存储用于控制计算机系统以执行权利要求1-15中任一项所述的方法的多个指令。
18.一种计算机系统,其包括被配置成执行权利要求1-15中任一项所述的方法的一个或多个处理器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/408,236 US20180204215A1 (en) | 2017-01-17 | 2017-01-17 | Detecting electronic intruders via updatable data structures |
| US15/408,236 | 2017-01-17 | ||
| PCT/US2018/013403 WO2018136307A1 (en) | 2017-01-17 | 2018-01-11 | Detecting electronic intruders via updatable data structures |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110226165A true CN110226165A (zh) | 2019-09-10 |
Family
ID=62840994
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880007168.1A Withdrawn CN110226165A (zh) | 2017-01-17 | 2018-01-11 | 通过可更新数据结构检测电子入侵者 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20180204215A1 (zh) |
| EP (1) | EP3571620A4 (zh) |
| CN (1) | CN110226165A (zh) |
| WO (1) | WO2018136307A1 (zh) |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2526501A (en) | 2013-03-01 | 2015-11-25 | Redowl Analytics Inc | Modeling social behavior |
| US10924479B2 (en) * | 2016-07-20 | 2021-02-16 | Aetna Inc. | System and methods to establish user profile using multiple channels |
| US10404735B2 (en) * | 2017-02-02 | 2019-09-03 | Aetna Inc. | Individualized cybersecurity risk detection using multiple attributes |
| SG10201702881VA (en) * | 2017-04-07 | 2018-11-29 | Mastercard International Inc | Systems and methods for processing an access request |
| US10356120B1 (en) * | 2017-04-28 | 2019-07-16 | EMC IP Holding Company LLC | Method, apparatus and computer program product for assessing the risk of electronic communications using logon types |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10866995B2 (en) * | 2017-08-29 | 2020-12-15 | Paypal, Inc. | Rapid online clustering |
| US11488170B1 (en) | 2018-03-19 | 2022-11-01 | Worldpay, Llc | Systems and methods for automated fraud detection and analytics using aggregated payment vehicles and devices |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US11755584B2 (en) * | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US20200034852A1 (en) | 2018-07-25 | 2020-01-30 | Ebay Korea Co., Ltd. | Fraud detection system |
| SG11202100775XA (en) | 2018-07-31 | 2021-02-25 | Visa Int Service Ass | Pre-authorization access request screening |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US10664742B1 (en) * | 2019-05-16 | 2020-05-26 | Capital One Services, Llc | Systems and methods for training and executing a recurrent neural network to determine resolutions |
| US11489862B2 (en) | 2020-01-22 | 2022-11-01 | Forcepoint Llc | Anticipating future behavior using kill chains |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US20210336947A1 (en) * | 2020-04-27 | 2021-10-28 | Microsoft Technology Licensing, Llc | Rogue certificate detection |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| CN111597024B (zh) * | 2020-05-14 | 2022-02-18 | 科东(广州)软件科技有限公司 | 跨域集群处理方法、装置、电子设备及存储介质 |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| US20220180119A1 (en) * | 2020-12-09 | 2022-06-09 | International Business Machines Corporation | Chart micro-cluster detection |
| US20220300903A1 (en) * | 2021-03-19 | 2022-09-22 | The Toronto-Dominion Bank | System and method for dynamically predicting fraud using machine learning |
| CN113139182B (zh) * | 2021-05-17 | 2022-06-21 | 深圳市蜜蜂互联网络科技有限公司 | 一种在线电商平台的数据入侵检测方法 |
| US20230360048A1 (en) * | 2022-05-04 | 2023-11-09 | Bank Of America Corporation | Systems and method for fraud detection based on changes in posted data with tiered code response deployment |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6697948B1 (en) * | 1999-05-05 | 2004-02-24 | Michael O. Rabin | Methods and apparatus for protecting information |
| US7401235B2 (en) * | 2002-05-10 | 2008-07-15 | Microsoft Corporation | Persistent authorization context based on external authentication |
| US7458508B1 (en) * | 2003-05-12 | 2008-12-02 | Id Analytics, Inc. | System and method for identity-based fraud detection |
| JP4791760B2 (ja) * | 2005-05-17 | 2011-10-12 | 株式会社リコー | アクセス制御装置、アクセス制御方法、及びアクセス制御プログラム |
| US20070239998A1 (en) * | 2006-04-11 | 2007-10-11 | Medox Exchange, Inc. | Dynamic binding of access and usage rights to computer-based resources |
| US7984500B1 (en) * | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
| US10769290B2 (en) | 2007-05-11 | 2020-09-08 | Fair Isaac Corporation | Systems and methods for fraud detection via interactive link analysis |
| US8756661B2 (en) * | 2009-08-24 | 2014-06-17 | Ufp Identity, Inc. | Dynamic user authentication for access to online services |
| US20110251951A1 (en) | 2010-04-13 | 2011-10-13 | Dan Kolkowitz | Anti-fraud event correlation |
| US8825006B2 (en) * | 2012-05-30 | 2014-09-02 | International Business Machines Corporation | Authentication request management |
| US9202249B1 (en) * | 2014-07-03 | 2015-12-01 | Palantir Technologies Inc. | Data item clustering and analysis |
| US9813402B1 (en) * | 2016-01-08 | 2017-11-07 | Allstate Insurance Company | User authentication based on probabilistic inference of threat source |
-
2017
- 2017-01-17 US US15/408,236 patent/US20180204215A1/en not_active Abandoned
-
2018
- 2018-01-11 WO PCT/US2018/013403 patent/WO2018136307A1/en unknown
- 2018-01-11 EP EP18741917.1A patent/EP3571620A4/en not_active Withdrawn
- 2018-01-11 CN CN201880007168.1A patent/CN110226165A/zh not_active Withdrawn
Also Published As
| Publication number | Publication date |
|---|---|
| EP3571620A1 (en) | 2019-11-27 |
| EP3571620A4 (en) | 2019-11-27 |
| US20180204215A1 (en) | 2018-07-19 |
| WO2018136307A1 (en) | 2018-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110226165A (zh) | 通过可更新数据结构检测电子入侵者 | |
| US11276022B2 (en) | Enhanced system and method for identity evaluation using a global score value | |
| US10628828B2 (en) | Systems and methods for sanction screening | |
| US10037533B2 (en) | Systems and methods for detecting relations between unknown merchants and merchants with a known connection to fraud | |
| US10346845B2 (en) | Enhanced automated acceptance of payment transactions that have been flagged for human review by an anti-fraud system | |
| US20180097790A1 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph | |
| CN107636662A (zh) | 网络内容认证 | |
| US11743245B2 (en) | Identity access management using access attempts and profile updates | |
| US20230274009A1 (en) | System for designing and validating fine grained fraud detection rules | |
| WO2017196609A1 (en) | User authentication and access control using identity services | |
| WO2018075314A1 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score | |
| CN107710258A (zh) | 用于个人识别和验证的系统和方法 | |
| Pandey et al. | Case study on online fraud detection using machine learning | |
| WO2021137753A1 (en) | Electronic authentication system and process using the same | |
| Shareef et al. | Prevent/control identity theft: Impact on trust and consumers’ purchase intention in B2C EC | |
| US20220101328A1 (en) | Systems, methods, and devices for assigning a transaction risk score | |
| WO2021234476A1 (en) | De-identified identity proofing methods and systems | |
| Sheik et al. | Considerations for secure mosip deployment | |
| Bala et al. | Data Mining and E-banking Security | |
| Bala et al. | 4 Data Mining and | |
| Kitbuncha | Legal measures on authentication of electronic fund transfer | |
| Gazizov et al. | Methods and Means of Information Countermeasures to Threats of Information Security Breaches in an Open Computer Network of an Online Store | |
| Kyeremeh et al. | A Study into the Social Engineering Risk and Its Effects in the Public Institutions in Ghana | |
| White | Threat assessment of cyber attacks on retail and financial organizations | |
| CN111144890A (zh) | 一种账户财务多方监管方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20190910 |
|
| WW01 | Invention patent application withdrawn after publication |