ES2862157T3 - Sistemas y métodos para garantizar el acceso a los recursos - Google Patents

Sistemas y métodos para garantizar el acceso a los recursos Download PDF

Info

Publication number
ES2862157T3
ES2862157T3 ES17872558T ES17872558T ES2862157T3 ES 2862157 T3 ES2862157 T3 ES 2862157T3 ES 17872558 T ES17872558 T ES 17872558T ES 17872558 T ES17872558 T ES 17872558T ES 2862157 T3 ES2862157 T3 ES 2862157T3
Authority
ES
Spain
Prior art keywords
access
rule
requests
rules
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17872558T
Other languages
English (en)
Inventor
Haochuan Zhou
Hung-Tzaw Hu
Rong Zhang
Benjamin Scott Boding
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Visa International Service Association
Original Assignee
Visa International Service Association
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Visa International Service Association filed Critical Visa International Service Association
Application granted granted Critical
Publication of ES2862157T3 publication Critical patent/ES2862157T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • G06Q20/3224Transactions dependent on location of M-devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/389Keeping log of transactions for guaranteeing non-repudiation of a transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4015Transaction verification using location information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Accounting & Taxation (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Strategic Management (AREA)
  • Finance (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Un método para garantizar el acceso a un recurso, el método que comprende realizar, mediante un sistema informático: almacenar (1001) una pluralidad de solicitudes de acceso recibidas anteriormente y parámetros de la pluralidad de solicitudes de acceso recibidas anteriormente; almacenar (1002) información de validez correspondiente a la pluralidad de solicitudes de acceso recibidas anteriormente, la información de validez que indica si cada solicitud de acceso de la pluralidad de solicitudes de acceso recibidas anteriormente es válida o no válida; generar (1003) una regla de acceso potencial que incluye una o más condiciones; determinar (1004) un primer conjunto de solicitudes de acceso recibidas anteriormente de la pluralidad de solicitudes de acceso recibidas anteriormente, cada solicitud de acceso recibida anteriormente del primer conjunto que incluye uno o más parámetros que satisfacen una o más condiciones de la regla de acceso potencial; segmentar (1006) el primer conjunto de solicitudes de acceso recibidas anteriormente en una pluralidad de subconjuntos de solicitudes de acceso basadas en el tiempo; determinar (1007) un porcentaje predictivo para cada uno de la pluralidad de subconjuntos basados en el tiempo en base a la información de validez correspondiente a cada solicitud de acceso recibida anteriormente de los subconjuntos basados en el tiempo; determinar (1008) un índice de estabilidad de detección de la regla de acceso potencial comparando la pluralidad de porcentajes predictivos y calculando una variación de la pluralidad de porcentajes predictivos en cada uno de los subconjuntos basados en el tiempo; seleccionar (1009) la regla de acceso potencial para incluir en un conjunto operativo de reglas de acceso en base al índice de estabilidad de detección de la regla de acceso potencial en comparación con los índices de estabilidad de detección de otras reglas de acceso; cargar (1010) el conjunto operativo de reglas de acceso en una memoria del sistema; recibir (1011), a través de una red desde una pluralidad de dispositivos, una pluralidad de solicitudes de acceso en tiempo real; acceder a la memoria del sistema para obtener (1012) el conjunto operativo de reglas de acceso cuando se recibe una de la pluralidad de solicitudes de acceso en tiempo real desde un primer dispositivo de la pluralidad de dispositivos; usar (1013) el conjunto operativo de reglas de acceso para determinar el resultado de una solicitud de acceso para la única solicitud de acceso en tiempo real; y proporcionar (1014) acceso al recurso en base al resultado de la solicitud de acceso.

Description

DESCRIPCIÓN
Sistemas y métodos para garantizar el acceso a los recursos
Antecedentes
Un usuario no autorizado puede solicitar de forma fraudulenta el acceso a un recurso mediante el uso de la información de autorización de un usuario autorizado. Para impedir el acceso no autorizado, un sistema de seguridad de recursos puede implementar vías de acceso para rechazar las solicitudes de acceso que tienen ciertos parámetros que indican fraude. Sin embargo, en respuesta a acceso denegado, el usuario no autorizado puede cambiar su método para realizar solicitudes de acceso fraudulentas, cambiando de esta manera los parámetros, para evitar que las reglas de acceso lo rechacen. Además, los usuarios autorizados también pueden cambiar sus métodos para realizar solicitudes de acceso legítimas a lo largo del tiempo. En consecuencia, el desempeño de las reglas de acceso puede degradarse con el tiempo, negando cada vez más el acceso a los usuarios autorizados o concediendo cada vez más acceso a los usuarios no autorizados.
El documento US 2013/0346294 A1 describe un optimizador de gestión de riesgos. El documento US 2010/0305993 A1 describe un sistema gestionado de análisis y toma de decisiones de fraudes en transacciones en tiempo real. En consecuencia, existe la necesidad de sistemas y métodos mejorados para garantizar el acceso a los recursos. Breve resumen
La presente invención se dirige a la materia que se describe en las reivindicaciones adjuntas.
En algunas modalidades, un sistema de seguridad de recursos puede determinar el resultado de una solicitud de acceso (por ejemplo, aceptar, rechazar o revisar) para una solicitud de acceso en base a las reglas de acceso. El sistema de seguridad de recursos puede generar y seleccionar las reglas de acceso en base a su desempeño y su estabilidad en el tiempo. Por ejemplo, el sistema de seguridad de recursos puede seleccionar un subconjunto de entrenamiento del conjunto de solicitudes de acceso recibidas, por ejemplo, incluyendo solicitudes de acceso recibidas recientemente, y generar una pluralidad de reglas de acceso potenciales en base al conjunto de entrenamiento. El sistema de seguridad de recursos puede determinar y comparar el desempeño y la estabilidad de las reglas de acceso potenciales. El sistema de seguridad de recursos puede seleccionar las posibles vías de acceso más estables y de mejor desempeño que se usarán para determinar el resultado de una solicitud de acceso. En algunas modalidades, el sistema de seguridad de recursos puede determinar y rastrear el porcentaje de activación y el porcentaje predictivo para cada posible regla de acceso a lo largo del tiempo. El sistema de seguridad de recursos puede entonces determinar la estabilidad del porcentaje de activación y del porcentaje predictivo para cada posible regla de acceso. En algunas modalidades, el sistema de seguridad de recursos puede determinar el porcentaje predictivo y su estabilidad en base a un retardo esperado en la notificación de acceso fraudulento. En consecuencia, el sistema de generación de reglas de acceso puede seleccionar reglas de acceso que tengan altos porcentajes predictivos de fraude y que sean estables en el tiempo, reduciendo de esta manera el acceso fraudulento y también reduciendo los falsos positivos.
Otras modalidades se dirigen a sistemas, dispositivos portátiles de consumo y medios legibles por ordenador asociados con los métodos descritos en la presente descripción.
Puede obtenerse una mejor comprensión de la naturaleza y las ventajas de las modalidades de la presente invención con referencia a la siguiente descripción detallada y los dibujos adjuntos.
Breve descripción de los dibujos
La Figura 1 muestra un sistema de seguridad de recursos para autorizar el acceso a los recursos, de acuerdo con algunas modalidades
La Figura 2 muestra un diagrama de bloques funcional de un servidor de acceso para determinar el resultado de una solicitud de acceso, de acuerdo con algunas modalidades.
La Figura 3 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso para generar y seleccionar reglas de acceso, de acuerdo con algunas modalidades.
La Figura 4 muestra un gráfico ilustrativo de porcentajes de activación para dos reglas de acceso a lo largo del tiempo, de acuerdo con algunas modalidades.
La Figura 5 muestra un gráfico ilustrativo de los porcentajes predictivos observados para dos reglas de acceso a lo largo del tiempo, de acuerdo con algunas modalidades.
La Figura 6 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso para generar y seleccionar reglas de acceso que sean estables en el tiempo, de acuerdo con algunas modalidades. La Figura 7 muestra un gráfico ilustrativo del retardo de tiempo en la notificación de solicitudes de acceso fraudulentas, de acuerdo con algunas modalidades.
La Figura 8 muestra un gráfico de porcentajes predictivos observados y porcentajes predictivos compensados para una regla de acceso a lo largo del tiempo, de acuerdo con algunas modalidades.
La Figura 9 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso para generar y seleccionar reglas de acceso en base a la información de retardo en la notificación, de acuerdo con algunas modalidades.
La Figura 10 muestra un diagrama de flujo de un método para generar y seleccionar reglas de acceso estables, de acuerdo con algunas modalidades.
La Figura 11 muestra un diagrama de flujo de un método para generar y seleccionar reglas de acceso en base a la información de validez compensada, de acuerdo con algunas modalidades.
La Figura 12 muestra un diagrama de bloques funcional de componentes de un sistema informático ilustrativo que incluye un sistema de generación de reglas de acceso y un servidor de acceso, de acuerdo con algunas modalidades.
Términos
Antes de discutir las modalidades de la invención, la descripción de algunos términos puede ser útil para comprender las modalidades de la invención.
El término "recurso" generalmente se refiere a cualquier activo que puede usarse o consumirse. Por ejemplo, el recurso puede ser un recurso electrónico (por ejemplo, datos almacenados, datos recibidos, una cuenta de ordenador, una cuenta de red, una bandeja de entrada de correo electrónico), un recurso físico (por ejemplo, un objeto tangible, un edificio, una caja fuerte, o una ubicación física), u otras comunicaciones electrónicas entre ordenadores (por ejemplo, una señal de comunicación correspondiente a una cuenta para realizar una transacción). El término "solicitud de acceso" generalmente se refiere a una solicitud para acceder a un recurso. La solicitud de acceso puede recibirse desde un ordenador solicitante, un dispositivo de usuario o un ordenador de recursos, por ejemplo. La solicitud de acceso puede incluir información de autorización, tal como un nombre de usuario, número de cuenta o contraseña. La solicitud de acceso también puede incluir y acceder a parámetros de solicitud, tales como un identificador de solicitud de acceso, un identificador de recurso, una marca de tiempo, una fecha, un dispositivo o identificador informático, una ubicación geográfica o cualquier otra información adecuada.
El término "regla de acceso" puede incluir cualquier procedimiento o definición usados para determinar un resultado de regla de acceso para una solicitud de acceso en base a ciertos criterios. En algunas modalidades, la regla puede comprender una o más condiciones de regla y un resultado de regla asociado. Una "condición de regla" puede especificar una expresión lógica que describe las circunstancias bajo las cuales se determina el resultado de la regla. Una condición de la regla de acceso puede involucrarse por un parámetro de solicitud de acceso en base al parámetro que tiene un valor de parámetro específico, en base a que el valor del parámetro está dentro de un cierto intervalo, en base a que el valor del parámetro está por encima o por debajo de un umbral, o cualquier combinación del mismo.
Un "resultado regla de acceso" de una regla de acceso puede representar un resultado que esa regla determina en base a una o más condiciones de la regla y los parámetros de la solicitud de acceso. Por ejemplo, una regla de acceso puede proporcionar un resultado de regla de acceso de "rechazar", "aceptar" o "revisar", cuando una solicitud de acceso involucra sus condiciones.
El término "resultado de solicitud de acceso" puede incluir cualquier determinación sobre si conceder acceso al recurso. Los resultados de solicitud de acceso pueden incluir "aceptar", "rechazar" o "revisar." En algunas modalidades, un resultado de solicitud de acceso para una solicitud de acceso puede ser "rechazar" si alguna de las reglas de acceso tiene un resultado de regla de acceso de "rechazar." En algunas modalidades, un resultado de solicitud de acceso para una solicitud de acceso puede ser "aceptar" si alguna de las reglas de acceso tiene un resultado de regla de acceso de "aceptar", independientemente de que algún resultado sea "rechazar." Un resultado de solicitud de acceso de "aceptar" puede hacer que se conceda la solicitud de acceso. Un resultado de solicitud de acceso de "rechazar" puede hacer que se rechace la solicitud de acceso. El resultado de "revisión" puede iniciar un proceso de revisión para la solicitud de acceso. En diversas modalidades, pueden usarse otros resultados u otros significados de estos resultados.
El término "porcentaje de activación" es una métrica que describe el porcentaje de solicitudes de acceso recibidas durante un cierto período de tiempo que satisfacen (por ejemplo, involucran o cumplen) una o más condiciones de una determinada regla de acceso. Es decir, la regla de acceso se "activa" por una solicitud de acceso que involucra las condiciones de la regla de acceso. En un ejemplo, una regla de acceso puede activarse por 100 solicitudes de acceso de 1000000 de solicitudes de acceso recibidas en un mes. Es decir, la "frecuencia de activación" de la regla de acceso es 100 por mes. En consecuencia, el porcentaje de activación de la regla de acceso durante ese mes es 0. 01 % (por ejemplo, 100 - 1000000).
El término "porcentaje predictivo" se refiere al porcentaje de solicitudes de acceso que activan una regla de acceso que se predice que es fraudulento. El porcentaje predictivo de fraude puede determinarse basándose en notificaciones de solicitudes de acceso fraudulentas (por ejemplo, inválidas o no autorizadas). Por ejemplo, si una regla de acceso se activa por 100 solicitudes de acceso dentro de un cierto período de tiempo y se notifica que 90 de esas solicitudes de acceso son fraudulentas, entonces el porcentaje predictivo de la regla de acceso para ese período de tiempo puede determinarse en 90 % ( por ejemplo, 90 - 100).
El término "notificación" generalmente se refiere a un proceso para identificar si una solicitud de acceso fue fraudulenta o legítima. La notificación puede involucrar a un usuario de un recurso que informa sobre el uso no autorizado al propietario u operador del recurso. Por ejemplo, el propietario de una cuenta de pago puede iniciar un contracargo por una transacción fraudulenta en su cuenta. En otro ejemplo, un usuario de una cuenta de correo electrónico puede informar de un determinado correo electrónico como correo "basura" o "spam". En algunas situaciones, un usuario autorizado de un recurso puede informar una negación de acceso al recurso. Por ejemplo, un usuario puede informar que se denegó una transacción legítima, o el usuario puede informar que un correo electrónico "no es spam." Esta notificación puede usarse para determinar información de validez (por ejemplo, válida/legítima o inválida/fraudulenta) para la solicitud de acceso correspondiente.
El término "ordenador servidor" puede incluir un ordenador poderoso o un grupo de ordenadores. Por ejemplo, el ordenador servidor puede ser una unidad central grande, un clúster de miniordenador o un grupo de ordenadores que funcionan como una unidad. En un ejemplo, el ordenador servidor puede ser un servidor de base de datos acoplado a un servidor web. El ordenador servidor puede acoplarse a una base de datos y puede incluir cualquier hardware, software, otra lógica o combinación de las anteriores para atender las solicitudes de uno o más ordenadores. El término "sistema informático" puede referirse generalmente a un sistema que incluye uno o más ordenadores servidor acoplados a una o más bases de datos.
Como se usa en la presente descripción, el término "proporcionar" puede incluir enviar, transmitir, poner a disposición en una página web, para descargar, a través de una aplicación, visualizar o reproducir, o cualquier otro método adecuado. En diferentes modalidades de la invención, los perfiles de reglas, las frecuencias de los resultados de las reglas y las frecuencias de disposición de los resultados de las reglas pueden proporcionarse de cualquier manera adecuada.
Descripción detallada
Puede usarse un sistema de seguridad de recursos para otorgar o denegar el acceso a los recursos. Además, el sistema de seguridad de recursos puede implementar reglas de acceso para rechazar solicitudes de acceso que tengan parámetros indicativos de fraude. El sistema de seguridad de recursos puede evaluar el desempeño de las reglas de acceso basándose en notificaciones de acceso fraudulento. El sistema de seguridad de recursos también puede compensar la información de validez de las solicitudes de acceso basándose en un retardo de notificación esperado. Entonces, el sistema de seguridad de recursos puede determinar la estabilidad del desempeño de las reglas a lo largo del tiempo y seleccionar reglas estables para ser implementadas. Periódicamente, el sistema de seguridad de recursos puede cambiar o actualizar las reglas de acceso basándose en su desempeño.
1. Sistema de seguridad de recursos
Un sistema de seguridad de recursos puede recibir solicitudes para acceder a un recurso. El sistema de seguridad de recursos puede incluir un servidor de acceso para determinar el resultado de la solicitud de acceso basándose en las reglas de acceso. El sistema de seguridad de recursos también puede incluir un sistema de generación de reglas de acceso para generar y seleccionar las reglas de acceso. El sistema de seguridad de recursos se describe con más detalle más abajo.
A. Sistema de Seguridad de Recursos para Asegurar el Acceso a un Recurso
La Figura 1 muestra un sistema de seguridad de recursos 100 para autorizar el acceso a los recursos, de acuerdo con algunas modalidades. El sistema de seguridad de recursos 100 puede usarse para proporcionar a los usuarios autorizados acceso a un recurso mientras se niega el acceso a usuarios no autorizados. Además, el sistema de seguridad de recursos 100 puede usarse para denegar solicitudes de acceso fraudulentas que parecen ser solicitudes de acceso legítimas de usuarios autorizados. El sistema de seguridad de recursos 100 puede implementar reglas de acceso para identificar solicitudes de acceso fraudulentas basándose en parámetros de la solicitud de acceso. Las reglas de acceso pueden seleccionarse en función de su desempeño y su estabilidad en el tiempo.
El sistema de seguridad de recursos 100 incluye un ordenador de recursos 110. El ordenador de recursos 110 puede controlar el acceso a un recurso físico 118, tal como un edificio o una caja de seguridad, o un recurso electrónico 116, tal como una cuenta de ordenador local, archivos o documentos digitales, una base de datos de red, una bandeja de entrada de correo electrónico, una cuenta de pago o un inicio de sesión en el sitio web. En algunas modalidades, el ordenador de recursos puede ser un servidor web, un servidor de correo electrónico o un servidor de un emisor de cuentas. El ordenador de recursos 110 puede recibir una solicitud de acceso de un usuario 140 a través de un dispositivo de usuario 150 (por ejemplo, un ordenador o un teléfono móvil) del usuario 140. El ordenador de recursos 110 también puede recibir la solicitud de acceso del usuario 140 a través de un ordenador de solicitudes 170 acoplado con un dispositivo de acceso 160 (por ejemplo, un teclado o un terminal). En algunas modalidades, el ordenador de solicitudes 170 puede ser un proveedor de servicios que es diferente del proveedor de recursos.
El dispositivo de acceso 160 y el dispositivo de usuario 150 pueden incluir una interfaz de entrada de usuario tal como un teclado numérico, un teclado, un lector de huellas dactilares, un escáner de retina, cualquier otro tipo de lector biométrico, un lector de banda magnética, un lector de tarjetas con chip, un lector de identificación por radiofrecuencia, o una interfaz de comunicación inalámbrica o sin contacto, por ejemplo. El usuario 140 puede introducir información de autorización en el dispositivo de acceso 160 o en el dispositivo de usuario 150 para acceder al recurso. La información de autorización puede incluir uno o más de un nombre de usuario, un número de cuenta, un token, una contraseña, un número de identificación personal, una firma y un certificado digital, por ejemplo. En respuesta a recibir información de autorización introducida por el usuario 140, el dispositivo de usuario 150 o el ordenador de solicitudes 170 pueden enviar una solicitud de acceso al ordenador de recursos 110 junto con uno o más parámetros de la solicitud de acceso. La solicitud de acceso puede incluir la información de autorización proporcionada por el usuario 140.
En un ejemplo, el usuario 140 puede ingresar uno o más de un número de cuenta, un número de identificación personal y una contraseña en el dispositivo de acceso 160, para solicitar acceso a un recurso físico (por ejemplo, para abrir una puerta de seguridad cerrada para acceder un edificio o una caja de seguridad) y el ordenador de solicitudes 170 puede generar y enviar una solicitud de acceso al ordenador de recursos 110 para solicitar acceso al recurso. En otro ejemplo, el usuario 140 puede operar el dispositivo de usuario 150 para solicitar que el ordenador de recursos 110 proporcione acceso al recurso electrónico 116 (por ejemplo, un sitio web o un archivo) que se aloja en el ordenador de recursos 110. En otro ejemplo, el dispositivo de usuario 150 puede enviar una solicitud de acceso (por ejemplo, un correo electrónico) al ordenador de recursos 110 (por ejemplo, un servidor de correo electrónico) para proporcionar datos al recurso electrónico 116 (por ejemplo, entregar el correo electrónico a una bandeja de entrada). En otro ejemplo, el usuario 140 puede proporcionar un número de cuenta y/o un número de identificación personal a un dispositivo de acceso 160 para solicitar acceso a un recurso (por ejemplo, una cuenta de pago) para realizar una transacción.
En algunas modalidades, el ordenador de recursos 110 puede verificar la información de autorización de la solicitud de acceso basándose en la información almacenada en el ordenador de solicitudes 170. En otras modalidades, el ordenador de solicitudes 170 puede verificar la información de autorización de la solicitud de acceso basándose en la información almacenada en el ordenador de recursos 110.
El ordenador de recursos 110 puede recibir la solicitud sustancialmente en tiempo real (por ejemplo, tener en cuenta los retardos en el procesamiento del ordenador y la comunicación electrónica). Una vez que se recibe la solicitud de acceso, el ordenador de recursos 110 puede determinar los parámetros de la solicitud de acceso. En algunas modalidades, los parámetros pueden proporcionarse por el dispositivo de usuario 150 o el ordenador de solicitudes 170. Por ejemplo, los parámetros pueden incluir uno o más de: una hora en que se recibió la solicitud de acceso, un día de la semana en que se recibió la solicitud de acceso, la ubicación de origen de la solicitud de acceso, la cantidad de recursos solicitados, un identificador del recurso que se solicita, un identificador del usuario 140, el dispositivo de acceso 160, el dispositivo de usuario 150, el ordenador de solicitudes 170, una ubicación del usuario 140, el dispositivo de acceso 160, el dispositivo de usuario 150, el ordenador de solicitudes 170, una indicación de cuándo, dónde o cómo el ordenador de recursos 110 recibe la solicitud de acceso, una indicación de cuándo, dónde o cómo el usuario 140 o el dispositivo de usuario 150 envía la solicitud de acceso, una indicación del uso solicitado del recurso electrónico 116 o del recurso físico 118, y una indicación del tipo, estado, cantidad o forma del recurso que se solicita. En otras modalidades, el ordenador de solicitudes 170 o el servidor de acceso 120 pueden determinar los parámetros de la solicitud de acceso.
Mientras la solicitud de acceso puede incluir la información de autenticación adecuada, el ordenador de recursos puede enviar los parámetros de la solicitud de acceso al servidor de acceso 120 para determinar si la solicitud de acceso es fraudulenta. El servidor de acceso 120 puede almacenar una o más reglas de acceso 122 para identificar una solicitud de acceso fraudulenta. Cada una de las reglas de acceso 122 puede incluir una o más condiciones que corresponden a uno o más parámetros de la solicitud de acceso. El servidor de acceso 120 puede determinar un resultado de solicitud de acceso que indique si la solicitud de acceso debe aceptarse (por ejemplo, acceso al recurso concedido), rechazarse (por ejemplo, acceso al recurso denegado) o revisarse mediante la comparación de las reglas de acceso 122 con los parámetros de la solicitud de acceso como se describe en más detalle más abajo. En algunas modalidades, en lugar de determinar el resultado de una solicitud de acceso, el servidor de acceso 120 puede determinar una puntuación de evaluación basada en los resultados de las reglas de acceso. La puntuación de evaluación puede indicar el riesgo o la posibilidad de que el acceso requiera ser fraudulento. Si la puntuación de evaluación indica que es probable que la solicitud de acceso sea fraudulenta, entonces el servidor de acceso 120 puede rechazar la solicitud de acceso.
El servidor de acceso 120 puede enviar la indicación del resultado de la solicitud de acceso al ordenador de recursos 110 (por ejemplo, aceptar, rechazar o revisar). En algunas modalidades, el servidor de acceso 120 puede enviar la puntuación de evaluación al ordenador de recursos 110 en su lugar. El ordenador de recursos 110 puede entonces conceder o denegar el acceso al recurso basándose en la indicación del resultado de la solicitud de acceso o basándose en la puntuación de evaluación. El ordenador de recursos 110 también puede iniciar un proceso de revisión para la solicitud de acceso.
En algunas modalidades, un usuario puede acceder de forma remota al servidor de acceso 120. El servidor de acceso 120 puede almacenar datos en un entorno seguro e implementar privilegios de usuario y gestión de roles de usuario para acceder a diferentes tipos de datos almacenados. Por ejemplo, los privilegios de usuario pueden establecerse para permitir que los usuarios realicen una o más de las siguientes operaciones: ver registros de solicitudes de acceso recibidas, ver registros de resultados de solicitudes de acceso, habilitar o deshabilitar la ejecución de las reglas de acceso 122, actualizar o modificar las reglas de acceso 122, cambiar ciertos resultados de las solicitudes de acceso. Pueden establecerse diferentes privilegios para diferentes usuarios.
El ordenador de recursos 110 puede almacenar información de solicitud de acceso para cada solicitud de acceso que recibe. La información de la solicitud de acceso puede incluir los parámetros de cada una de las solicitudes de acceso. La información de la solicitud de acceso también puede incluir una indicación del resultado de la solicitud de acceso para la solicitud de acceso. El ordenador de recursos 110 también puede almacenar información de validez correspondiente a cada solicitud de acceso. La información de validez para una solicitud de acceso puede basarse inicialmente en el resultado de su solicitud de acceso. La información de validez puede actualizarse en base a si se notifica que la solicitud de acceso es fraudulenta. En algunas modalidades, el servidor de acceso 120 o el ordenador de solicitudes 170 pueden almacenar la información de solicitud de acceso y la información de validez.
Las reglas de acceso 122 implementadas por el servidor de acceso 120 pueden generarse por un sistema de generación 130 de reglas de acceso. El sistema de generación 130 de reglas de acceso puede generar reglas de acceso candidatas 134 para el servidor de acceso 120 en base a la información de solicitud de acceso y la información de validez. El sistema de generación 130 de reglas de acceso puede recibir la información de la solicitud de acceso y la información de validez correspondiente a la información de la solicitud de acceso desde el ordenador de recursos 110 o el servidor de acceso 120. Las reglas de acceso 122 implementadas por el servidor de acceso 120 pueden incluir algunas o todas las reglas de acceso candidatas 134.
El sistema de generación 130 de reglas de acceso puede volver a generar periódicamente las reglas de acceso candidatas 134 basándose en información de solicitud de acceso nueva o actualizada e información de validez nueva o actualizada. Como tal, las reglas de acceso candidatas 134 pueden basarse en los patrones más recientes de uso de recursos fraudulento y los patrones más recientes de uso de recursos legítimo. La generación y selección de reglas de acceso candidatas se describe en más detalle más abajo.
B. Servidor de Acceso para Determinar el Resultado de una Solicitud de Acceso
La Figura 2 muestra un diagrama de bloques funcional de un servidor de acceso 200 para determinar el resultado de una solicitud de acceso, de acuerdo con algunas modalidades. Un ordenador de recursos puede proporcionar los parámetros de una solicitud de acceso al servidor de acceso 200 para determinar si la solicitud de acceso es fraudulenta. El servidor de acceso 200 puede implementar reglas de acceso 222 para determinar el resultado de la solicitud de acceso o una puntuación de evaluación basada en los parámetros de la solicitud de acceso. El servidor de acceso puede cargar las reglas de acceso 222 en una memoria del sistema del servidor de acceso. El servidor de acceso 200 puede entonces proporcionar el resultado o una puntuación de evaluación al ordenador de recursos, que puede conceder o denegar el acceso al recurso en consecuencia.
El servidor de acceso 200 puede funcionar de forma similar al servidor de acceso 120 de la Figura 1 descrito anteriormente. El servidor de acceso 200 puede usarse en un sistema de acceso a recursos similar al sistema de acceso a recursos 100 de la Figura 1 descrito anteriormente. El servidor de acceso 200 puede almacenar una o más reglas de acceso 222. Las reglas de acceso 222 pueden generarse y recibirse desde un sistema de generación de reglas de acceso. La una o más reglas de acceso 222 pueden cargarse en una memoria del servidor de acceso 200 para usarse para determinar el resultado de una solicitud de acceso.
En 201, el servidor de acceso 200 puede obtener los parámetros de solicitud de acceso para una determinada solicitud de acceso. Los parámetros de solicitud de acceso pueden recibirse desde un ordenador de recursos o desde un ordenador de solicitudes. La solicitud de acceso y/o los parámetros de la solicitud de acceso pueden recibirse desde el servidor de acceso 200 desde el ordenador de recursos a través de una red en tiempo real. Los parámetros pueden incluir, por ejemplo, una o más de las horas en que se recibió la solicitud de acceso, el día de la semana en que se recibió la solicitud de acceso, la ubicación de origen de la solicitud de acceso, la cantidad de recursos solicitados, un identificador del recurso que se solicita, un identificador del usuario 140, el dispositivo de acceso 160, el dispositivo de usuario 150, el ordenador de solicitudes 170, una ubicación del usuario 140, el dispositivo de acceso 160, el dispositivo de usuario 150, el ordenador de solicitudes 170, una indicación de cuándo, dónde o cómo el ordenador de recursos 110 recibe la solicitud de acceso, una indicación de cuándo, dónde o cómo el usuario 140 o el dispositivo de usuario 150 envía la solicitud de acceso, una indicación del uso solicitado del recurso electrónico 116 o del recurso físico 118, y una indicación del tipo, estado, cantidad o forma del recurso que se solicita puede determinar los parámetros de la solicitud de acceso. En algunas modalidades, el usuario 140, el dispositivo de usuario 150, el dispositivo de acceso 160 o el ordenador de solicitudes 170 pueden proporcionar uno o más parámetros de la solicitud de acceso.
En respuesta a la obtención de los parámetros de solicitud de acceso, el servidor de acceso 200 puede acceder a la memoria del sistema del servidor de acceso 200 para obtener las reglas de acceso. En 202, el servidor de acceso 200 puede determinar un resultado de regla de acceso para cada regla de acceso 222. Cada regla de acceso 222 incluye ciertas condiciones que pueden ser satisfechas por los parámetros de la solicitud de acceso. El servidor de acceso 200 puede comparar los parámetros de la solicitud de acceso con las condiciones de cada regla de acceso 222 para determinar si una regla de acceso 222 se activa por la solicitud de acceso. Cada regla de acceso 222 puede tener un resultado de regla de acceso asociado. En algunas modalidades, el resultado de la regla de acceso puede indicar aceptar, rechazar o revisar. En algunas modalidades, el resultado de la regla de acceso puede ser una puntuación de evaluación.
En un ejemplo de determinación del resultado de una regla de acceso, una solicitud de acceso puede ser para el inicio de sesión de una cuenta de sitio web y los parámetros de la solicitud de acceso pueden incluir una "ubicación de origen" que indica la ubicación geográfica del usuario o dispositivo que solicita acceso y una "ubicación del usuario autorizado" que indica la ubicación geográfica del usuario autorizado de la cuenta del sitio web. En este ejemplo, una determinada regla de acceso puede tener condiciones que se cumplen (por ejemplo, activarse) cuando la "ubicación de origen" no coincide con la "ubicación de usuario autorizado" y esa regla de acceso puede tener un resultado de "rechazo." En consecuencia, puede rechazarse una solicitud de acceso procedente de una ubicación geográfica que no coincida con la ubicación geográfica del usuario autorizado.
En otro ejemplo de determinación del resultado de una regla de acceso, una solicitud de acceso puede ser para una transacción de pago y los parámetros de la solicitud de acceso pueden incluir el "monto de la transacción" y el "país de envío" para el envío de mercancías compradas en la transacción. En este ejemplo, una determinada regla de acceso puede tener condiciones que se cumplen cuando el "monto de la transacción" es superior a $ 1000 y cuando el "país de envío" es un país que tiene un alto índice de notificación de fraude. Esta regla de acceso puede tener un resultado de solicitud de acceso de "rechazo." En consecuencia, puede rechazarse una solicitud de acceso para una transacción para enviar mercancías por más de $ 1000 a un determinado país.
En otro ejemplo de determinar el resultado de una regla de acceso, una solicitud de acceso puede ser para entregar un mensaje de correo electrónico a una bandeja de entrada y los parámetros de la solicitud de acceso pueden incluir una o más palabras clave alfanuméricas del mensaje de correo electrónico y una "dirección IP de origen" del mensaje de correo electrónico. En este ejemplo, una determinada regla de acceso puede tener condiciones que se satisfacen cuando uno o más de los parámetros de palabras clave coinciden con una o más palabras clave almacenadas que indican correo electrónico "spam". Esa regla de acceso también puede tener condiciones que se cumplen cuando la dirección IP se encuentra dentro de un cierto intervalo de direcciones IP que se notifica que son spam. En consecuencia, es posible que un mensaje de correo electrónico spam no se envíe a una bandeja de entrada cuando contenga determinadas palabras clave y se envíe desde determinadas direcciones IP.
En 203, después de determinar el resultado de la regla de acceso para cada una de las reglas de acceso 222, el servidor de acceso 200 puede determinar un resultado de la solicitud de acceso. El resultado de la solicitud de acceso puede ser aceptar, rechazar o revisar. Por ejemplo, el servidor de acceso 200 puede determinar un resultado de solicitud de acceso de "aceptar" si cualquiera de los resultados de la regla de acceso es "aceptar." En otro ejemplo, el servidor de acceso 200 puede determinar un resultado de solicitud de acceso de "rechazar" si uno o más de los resultados de la regla de acceso son "rechazar" y ninguno de los resultados de las reglas de acceso es "aceptar." En otro ejemplo, el servidor de acceso 200 puede determinar un resultado de la solicitud de acceso de "revisar" si uno o más de los resultados de la regla de acceso son "rechazar" y uno o más de los resultados de las reglas de acceso son "aceptar." En otras modalidades, el servidor de acceso 200 puede determinar una puntuación de evaluación basada en los resultados de la regla de acceso. El servidor de acceso 200 puede enviar el resultado de la solicitud de acceso o la puntuación de evaluación al ordenador de recursos.
Después de determinar el resultado de la solicitud de acceso en 203, el servidor de acceso 200 puede proporcionar una indicación del resultado de la solicitud de acceso al ordenador que envió la solicitud de acceso o los parámetros de la solicitud de acceso al servidor de acceso 200 (por ejemplo, el ordenador de recursos o el ordenador de solicitudes). El ordenador de recursos puede recibir la indicación del resultado de la solicitud de acceso y proporcionar acceso al recurso basándose en el resultado de la solicitud de acceso.
En algunas modalidades, cuando el resultado de la regla de acceso es "rechazar", el servidor de acceso 200 puede decidir evaluar el desempeño de la regla de acceso activada cambiando el resultado de la regla de acceso a "aceptar" en su lugar. Al aceptar la solicitud de acceso, puede evaluarse el desempeño de la regla de acceso activada, ya que la solicitud de acceso puede informarse como fraudulenta. Por lo tanto, si no se notifica un acceso fraudulento para la regla de acceso activada, entonces la activación de la regla de acceso fue un falso positivo.
El servidor de acceso 200 puede determinar si evaluar la regla de acceso basándose en diferentes criterios, tal como el número de solicitudes de acceso recibidas en general, el número de solicitudes de acceso recibidas que activaron esta regla de acceso, la cantidad de tiempo desde la última evaluación, la cantidad de tiempo desde que se evaluó esta regla de acceso, o se basa en un generador de números aleatorios.
La evaluación de las reglas de acceso 222 implementadas actualmente por el servidor de acceso 200 puede ser ventajoso ya que las reglas de acceso 222 pueden haberse generado basándose en patrones de solicitudes de acceso legítimas y fraudulentas que han cambiado con el tiempo. Por lo tanto, al aceptar la solicitud de acceso en lugar de rechazarla, es posible determinar el desempeño de las reglas de acceso 222 implementadas actualmente en base a las notificaciones recibidas para la solicitud de acceso que activa las reglas de acceso 222. Es decir, el porcentaje de verdaderos positivos y el porcentaje de falsos positivos generados por cada regla de acceso 222 pueden determinarse basándose en la información de validez correspondiente a las notificaciones.
C.
D. Sistema de Generación y Selección de Reglas de Acceso
La Figura 3 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso 300 para generar y seleccionar reglas de acceso, de acuerdo con algunas modalidades. El sistema de generación de reglas de acceso 300 puede generar las reglas de acceso candidatas 324 en base a las solicitudes de acceso recibidas anteriormente y la información de validez correspondiente. El sistema de generación de reglas de acceso 300 puede entonces proporcionar las reglas de acceso candidatas 324 a un servidor de acceso para usarse en determinar el resultado de una solicitud de acceso. El sistema de generación de reglas de acceso 300 puede funcionar de manera similar al sistema de generación de reglas de acceso 130 de la Figura 1. El sistema de generación de reglas de acceso 300 puede implementarse en un sistema de acceso a recursos similar al sistema de acceso a recursos 100 de la Figura 1 descrito anteriormente.
El sistema de generación de reglas de acceso 300 puede almacenar información de solicitud de acceso 310 y la información de validez 320 correspondiente para su uso en la generación de reglas de acceso candidatas 324. La información de solicitud de acceso 310 y la información de validez 320 pueden recibirse desde un ordenador de recursos, un ordenador de solicitudes o un servidor de acceso. En 301, el sistema de generación de reglas de acceso 300 puede seleccionar un subconjunto de solicitudes de acceso de la información de solicitud de acceso 310 almacenada para obtener un conjunto de entrenamiento 330 de solicitudes de acceso para su uso en la generación de las reglas de acceso candidatas 324. El sistema de generación de reglas de acceso 300 puede seleccionar solicitudes de acceso para incluir en el conjunto de entrenamiento 330 en base a la hora y fecha en que se recibió la solicitud de acceso. Por ejemplo, el sistema de generación de reglas de acceso 300 puede seleccionar solicitudes de acceso que ocurrieron dentro de un período de tiempo entre hace seis meses y hace dieciocho meses. En algunas modalidades, el sistema de generación de reglas de acceso 300 puede no seleccionar las solicitudes de acceso que se produzcan dentro de los últimos seis meses porque puede haber un retardo de hasta seis meses en la notificación de solicitudes de acceso fraudulentas. En otras modalidades, el sistema de generación de reglas de acceso 300 también puede seleccionar otros períodos de tiempo.
El sistema de generación de reglas de acceso 300 también puede seleccionar el conjunto de entrenamiento de manera que incluya tanto las solicitudes de acceso recientes (por ejemplo, las que ocurren dentro de los últimos dieciocho meses) como las solicitudes de acceso históricas (por ejemplo, las que ocurren hace más de dieciocho meses). Como tal, el conjunto de entrenamiento puede contener solicitudes de acceso que son representativas tanto de patrones recientes de fraude como de patrones antiguos de fraude. En consecuencia, las reglas de acceso candidatas generadas en base a este conjunto de entrenamiento pueden detectar el fraude realizado de acuerdo con métodos o patrones tanto nuevos como antiguos.
En 302, el sistema de generación de reglas de acceso 300 puede generar una pluralidad de reglas de acceso potenciales 340 en base al conjunto de entrenamiento 330 de solicitudes de acceso. En algunas modalidades, el sistema de generación de reglas de acceso 300 puede generar las reglas de acceso potenciales basándose en un árbol de decisiones. Por ejemplo, cada nodo del árbol de decisiones puede representar una condición de un parámetro de regla de acceso y las ramas del árbol de decisiones pueden representar reglas de acceso potenciales 340. En algunas modalidades, cada regla de acceso de las reglas de acceso potenciales 340 puede tener condiciones que son mutuamente excluyentes de las condiciones de las otras reglas de acceso potenciales. Es decir, una solicitud de acceso del conjunto de entrenamiento 330 sólo puede satisfacer (por ejemplo, activar) las condiciones de una única regla de acceso de las reglas de acceso 340 potenciales.
En algunas modalidades, en lugar de seleccionar todas las reglas posibles que pueden generarse mediante el uso de un conjunto de entrenamiento 330, el sistema de generación de reglas de acceso 300 puede generar las reglas de acceso potenciales 340 seleccionando ramas del árbol de decisiones que se sabe que tienen mayores porcentajes predictivos de fraude basados en información histórica. Este método puede generar menos reglas de acceso potenciales 340, reduciendo de esta manera la cantidad de recursos informáticos y de almacenamiento usados para generar y evaluar las reglas de acceso potenciales 340 para la selección de reglas de acceso candidatas.
Después de generar la pluralidad de reglas de acceso potenciales 340, el sistema de generación de reglas de acceso 300 puede determinar, en 303, el desempeño de cada una de las reglas de acceso potenciales 340. El desempeño de una regla de acceso potencial puede basarse en la información de validez 320 correspondiente a las solicitudes de acceso del conjunto de entrenamiento 330 que satisfacen las condiciones de la regla de acceso potencial. Por ejemplo, el sistema de generación de reglas de acceso 300 puede determinar el desempeño de una regla de acceso potencial 340 basándose en el porcentaje de solicitudes de acceso en el conjunto de entrenamiento 330 que desencadenan la regla de acceso potencial que se notifica que son fraudulentas (por ejemplo, el porcentaje predictivo). Como tal, el desempeño de una regla de acceso se suma a todas las solicitudes de acceso que desencadenan en el conjunto de entrenamiento.
En 304, el sistema de generación de reglas de acceso 300 puede seleccionar un conjunto de reglas de acceso candidatas 334 de las reglas de acceso potenciales 340 comparando los desempeños de las reglas de acceso potenciales 340. Por ejemplo, el sistema de generación de reglas de acceso 300 puede seleccionar las veinte reglas de acceso potenciales de mejor desempeño para comprender el conjunto de reglas de acceso candidatas 334. En algunas modalidades, el sistema de generación de reglas de acceso 300 también puede seleccionar un número diferente de reglas de acceso candidatas 334. Las reglas de acceso candidatas 334 pueden proporcionarse al operador del recurso y algunas o todas las reglas de acceso candidatas 334 pueden usarse como reglas de acceso implementadas por un servidor de acceso.
II. Análisis de estabilidad de las reglas de acceso a lo largo del tiempo
La selección de reglas de acceso candidatas puede basarse en la estabilidad de una regla de acceso potencial además de su desempeño. Si bien el desempeño de una regla de acceso puede basarse en el porcentaje predictivo agregado en todas las solicitudes de acceso en el conjunto de entrenamiento, la estabilidad de una regla de acceso puede tener en cuenta las tendencias o variaciones en el desempeño a lo largo del tiempo. Como tal, la selección de reglas de acceso candidatas en base a su estabilidad puede proporcionar más consistencia en los resultados de la solicitud de acceso.
A. Estabilidad del Porcentaje de Activación de una Regla de Acceso a lo Largo del Tiempo
El porcentaje de activación de una regla de acceso puede determinarse basándose en el porcentaje de solicitudes de acceso en el conjunto de entrenamiento que involucran (es decir, satisfacen) una o más condiciones de esa regla de acceso. En general, cuando aumenta el porcentaje de activación de una regla de acceso, también aumenta la cantidad de falsos positivos generados por la regla de acceso. Para reducir los falsos positivos, un sistema de generación de reglas de acceso puede seleccionar reglas de acceso que tengan una mayor estabilidad de activación.
La Figura 4 muestra un gráfico ilustrativo 400 de porcentajes de activación para dos reglas de acceso a lo largo del tiempo, de acuerdo con algunas modalidades. El gráfico 400 muestra el porcentaje de activación de una primera regla, la Regla A (indicada por una línea continua), de acuerdo con la fecha en que se recibió la solicitud de acceso. El gráfico 400 también muestra el porcentaje de activación de una segunda regla, la Regla B (indicada por una línea discontinua), de acuerdo con la fecha en que se recibió la solicitud de acceso.
En general, cuando aumenta el porcentaje de activación, también aumenta la cantidad de falsos positivos y, por lo tanto, el porcentaje predictivo disminuye. Por ejemplo, los estafadores pueden darse cuenta de que sus solicitudes de acceso fraudulentas están siendo rechazadas y pueden cambiar su forma de cometer fraude para evitar ser rechazados por las reglas de acceso. Sin embargo, es posible que el comportamiento de los usuarios legítimos no cambie tanto con el tiempo. Como tal, el porcentaje de falsos positivos para una regla de acceso puede aumentar con el tiempo a medida que los estafadores dejan de realizar solicitudes de acceso de acuerdo con los patrones rechazados por esa regla de acceso. Por lo tanto, es ventajoso realizar un seguimiento de la estabilidad del porcentaje de activación a lo largo del tiempo, ya que el porcentaje de activación puede determinarse directamente a partir de las solicitudes de acceso recibidas. Es decir, el porcentaje de activación no depende de la notificación, mientras que el porcentaje predictivo sí lo es.
Como se muestra en el gráfico 400, la Regla A puede haber tenido un porcentaje de activación superior al 0,10 % en el momento en que comenzaron las pruebas de las reglas de acceso. Entre el momento en que comenzaron las pruebas y hace 6 meses, el porcentaje de activación de la Regla A puede haber caído por debajo del 0,05 % durante un período de tiempo y luego volver a subir a más del 0,10 % más tarde. Entonces, el porcentaje de activación de la Regla A puede haber aumentado a más del 0,15 % en la actualidad, cuando se está realizando la generación y selección de reglas. Por lo tanto, el porcentaje de activación de la Regla A ha fluctuado de menos de 0,05 % a más de 0,15 % desde que comenzaron las pruebas.
Como se muestra en el gráfico 400, la Regla B puede haber tenido un porcentaje de activación superior al 0,05 % pero inferior al 0,10 % desde el momento en que comenzaron las pruebas hasta hoy. Como tal, el porcentaje de activación de la Regla B tiene menos variación a lo largo del tiempo en comparación con el porcentaje de activación de la Regla A. La variación de los porcentajes de activación de la Regla A puede indicar que la Regla A es más sensible a los cambios en el comportamiento del usuario que la Regla B, que puede hacer que la Regla A sea menos precisa durante ciertos períodos de tiempo y, por lo tanto, menos consistente en comparación con la Regla B.
El ordenador de generación de reglas puede determinar un índice de estabilidad de activación para una regla de acceso en base a la variación de los porcentajes de activación a lo largo del tiempo. Por ejemplo, el ordenador de generación de reglas puede segmentar las solicitudes de acceso del conjunto de entrenamiento en subconjuntos basados en el tiempo basándose en el momento en que se recibieron las solicitudes de acceso. Cada segmento puede corresponder a un cierto período de tiempo (por ejemplo, una ventana de tiempo). El ordenador de generación de reglas puede entonces determinar los porcentajes de activación para cada uno de los segmentos basados en el tiempo y calcular la variación de los porcentajes de activación. En algunas modalidades, la solicitud de acceso puede segmentarse semana a semana o día a día. En otras modalidades, las solicitudes de acceso pueden segmentarse mediante el uso de una ventana deslizante de manera que los porcentajes de activación se calculen cada día durante una ventana de una semana.
Con base en la variación de los porcentajes de activación de los segmentos, el ordenador de generación de reglas puede determinar que la Regla B tiene un índice de estabilidad de activación más alto en comparación con la Regla A, ya que el porcentaje de activación de la Regla B varía menos con el tiempo. El sistema de generación de reglas de acceso puede usar los índices de estabilidad de activación de las reglas de acceso potenciales para seleccionar reglas de acceso candidatas que sean estables y, por lo tanto, más precisas y consistentes a lo largo del tiempo.
B. Estabilidad del Porcentaje Predictivo de una Regla de Acceso a lo Largo del Tiempo
El porcentaje predictivo puede determinarse en base al porcentaje de solicitudes de acceso que desencadenan una regla de acceso que se notifican como fraudulentas. Ciertas reglas de acceso pueden tener un alto porcentaje predictivo en conjunto, pero pueden ser sensibles a los cambios en el comportamiento de las solicitudes de acceso durante ciertos períodos de tiempo. Para reducir los falsos positivos, un sistema de generación de reglas de acceso puede determinar el porcentaje predictivo de una regla de acceso a lo largo del tiempo y seleccionar reglas de acceso que tengan mayor estabilidad de detección.
La Figura 5 muestra un gráfico 500 ilustrativo de los porcentajes predictivos observados para dos reglas de acceso a lo largo del tiempo, de acuerdo con algunas modalidades. El gráfico 500 muestra el porcentaje de solicitudes de acceso que activan una primera regla, la Regla A (indicada con una línea continua), que son fraudulentas de acuerdo con la fecha en que se recibieron las solicitudes de acceso (por ejemplo, un porcentaje predictivo observado). El gráfico 500 también muestra el porcentaje de solicitudes de acceso que activan una segunda regla, la Regla B (indicada por una línea discontinua), que son fraudulentas de acuerdo con la fecha en que se recibieron las solicitudes de acceso. El porcentaje predictivo observado puede basarse en la información de validez correspondiente a las solicitudes de acceso.
Como se muestra en el gráfico 500, la Regla A puede tener un porcentaje predictivo observado que varía de más del 90 % a menos del 40 %, con varias variaciones entre el 50 % y el 70 %) a lo largo del tiempo desde que comenzaron las pruebas hasta hace 6 meses. Como se muestra en el gráfico 500, la Regla B puede tener un porcentaje predictivo observado que varía entre el 60 % y el 70 % a lo largo del tiempo desde que comenzaron las pruebas hasta hace 6 meses. Como tal, el porcentaje predictivo observado de la Regla B tiene menos variación a lo largo del tiempo en comparación con el porcentaje predictivo observado de la Regla A. La variación más grande en el porcentaje observado para la Regla A puede indicar que la Regla A es sensible a los cambios en el comportamiento del usuario, lo que hace la Regla A menos precisa durante ciertos períodos de tiempo.
Como se describe en más detalle más abajo, el sistema de generación de reglas de acceso puede determinar un índice de estabilidad de detección para una regla de acceso en base a las tendencias en la variación de los porcentajes predictivos observados a lo largo del tiempo. Por ejemplo, el ordenador de generación de reglas puede segmentar las solicitudes de acceso del conjunto de entrenamiento en subconjuntos basados en el tiempo basándose en el momento en que se recibieron las solicitudes de acceso. Cada segmento puede corresponder a un cierto período de tiempo (por ejemplo, una ventana de tiempo). El ordenador de generación de reglas puede entonces determinar los porcentajes de activación para cada uno de los segmentos basados en el tiempo y calcular la variación de los porcentajes de activación. En algunas modalidades, la solicitud de acceso puede segmentarse semana a semana o día a día. En otras modalidades, las solicitudes de acceso pueden segmentarse mediante el uso de una ventana deslizante de manera que los porcentajes de activación se calculen cada día durante una ventana de una semana.
Según las tendencias en la variación de los porcentajes predictivos de los segmentos, el sistema de generación de reglas de acceso puede determinar que la Regla B tiene un índice de estabilidad de detección más alta en comparación con la Regla A, ya que el porcentaje predictivo observado de la Regla B varía menos a lo largo del tiempo. El sistema de generación de reglas de acceso puede usar los índices de estabilidad de detección de las reglas de acceso potenciales para seleccionar reglas de acceso candidatas que sean estables y, por lo tanto, más precisas y consistentes a lo largo del tiempo.
C. Sistema de Generación y Selección de Reglas de Acceso Estables a lo Largo del Tiempo
La Figura 6 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso 600 para generar y seleccionar reglas de acceso que son estables a lo largo del tiempo, de acuerdo con algunas modalidades. El sistema de generación de reglas de acceso 600 puede determinar la variación del porcentaje de activación y el porcentaje predictivo y seleccionar reglas de acceso candidatas que tengan índices de estabilidad más altos.
El sistema de generación de reglas de acceso 600 puede funcionar de manera similar al sistema de generación de reglas de acceso 130 de la Figura 1 y el sistema de generación de reglas de acceso 300 de la Figura 3. El sistema de generación de reglas de acceso 300 puede implementarse en un sistema de acceso a recursos similar al sistema de acceso a recursos 100 de la Figura 1 descrito anteriormente.
El sistema de generación de reglas de acceso 600 puede almacenar información de solicitud de acceso 610 y la información de validez 620 correspondiente para su uso en la generación de reglas de acceso candidatas 624. La información de solicitud de acceso 610 y la información de validez 620 pueden recibirse desde un ordenador de recursos, un ordenador de solicitudes o un servidor de acceso. En 601, el sistema de generación de reglas de acceso 600 puede seleccionar un subconjunto de solicitudes de acceso de la información de solicitud de acceso 610 almacenada para obtener un conjunto de entrenamiento 630 de solicitudes de acceso para su uso en la generación de las reglas de acceso candidatas 624. El sistema de generación de reglas de acceso 600 puede seleccionar solicitudes de acceso para incluir en el conjunto de entrenamiento 630 en base a la hora y fecha en que se recibió la solicitud de acceso. El sistema de generación de reglas de acceso 600 también puede seleccionar el conjunto de entrenamiento de manera que incluya tanto las solicitudes de acceso recientes (por ejemplo, las que ocurren dentro de los últimos dieciocho meses) como las solicitudes de acceso históricas (por ejemplo, las que ocurren hace más de dieciocho meses).
En 602, el sistema de generación de reglas de acceso 600 puede generar una pluralidad de reglas de acceso potenciales 640 en base al conjunto de entrenamiento 630 de solicitudes de acceso. En algunas modalidades, el sistema de generación de reglas de acceso 600 puede generar las reglas de acceso potenciales basándose en un árbol de decisiones. Por ejemplo, cada nodo del árbol de decisiones puede representar una condición de un parámetro de regla de acceso y las ramas del árbol de decisiones pueden representar reglas de acceso potenciales 640.
Después de generar la pluralidad de reglas de acceso potenciales 640, el sistema de generación de reglas de acceso 600 puede determinar, en 603, el desempeño de cada una de las reglas de acceso potenciales 640. El desempeño de una regla de acceso potencial puede basarse en la información de validez 620 correspondiente a las solicitudes de acceso del conjunto de entrenamiento 630 que satisfacen las condiciones de la regla de acceso potencial. Por ejemplo, el sistema de generación de reglas de acceso 600 puede determinar un "porcentaje predictivo total" para cada una de las reglas de acceso potenciales 940 en base a todas las solicitudes de acceso en el conjunto de entrenamiento 630 que activan esa regla.
En 604, el sistema de generación de reglas de acceso 600 puede determinar la estabilidad de activación y la estabilidad de detección de las reglas de acceso potenciales 640. El sistema de generación de reglas de acceso 600 puede segmentar las solicitudes de acceso del conjunto de entrenamiento 630 en subconjuntos de acuerdo con diferentes períodos de tiempo (por ejemplo, semana a semana o mes a mes). En algunas modalidades, los segmentos pueden basarse en una ventana deslizante (por ejemplo, un período de una semana calculado para cada día). El sistema de generación de reglas de acceso 600 puede determinar porcentajes de activación para cada uno de la pluralidad de subconjuntos de solicitudes de acceso basados en el tiempo. El sistema de generación de reglas de acceso 600 puede determinar un índice de estabilidad de activación comparando la pluralidad de porcentajes de activación. Por ejemplo, el sistema de generación de reglas de acceso 600 puede determinar el índice de estabilidad de activación de una regla de acceso basándose en la variación de los porcentajes de activación para los subconjuntos.
El sistema de generación de reglas de acceso 600 también puede determinar porcentajes predictivos para cada uno de la pluralidad de subconjuntos de solicitudes de acceso basados en el tiempo. El sistema de generación de reglas de acceso 600 puede determinar un índice de estabilidad de detección comparando la pluralidad de porcentajes predictivos. Por ejemplo, el sistema de generación de reglas de acceso 600 puede determinar el índice de estabilidad de detección de una regla de acceso basándose en la variación de los porcentajes predictivos para los subconjuntos. El sistema de generación de reglas de acceso 600 puede asignar índices de estabilidad de activación y detección más altos a las reglas de acceso que tienen menor variación de activación y menor variación de detección en comparación con otras reglas de acceso potenciales.
En algunas circunstancias, el porcentaje predictivo de una regla de acceso puede tener una gran variación debido a que su porcentaje predictivo aumenta a lo largo del tiempo. En este caso, el servidor de generación de reglas de acceso 600 puede determinar un índice de estabilidad de detección más alta para la regla de acceso.
En 605, el sistema de generación de reglas de acceso 600 puede seleccionar un conjunto de reglas de acceso candidatas 634 de las reglas de acceso potenciales 640 comparando el desempeño y los índices de estabilidad de las reglas de acceso potenciales 640. Por ejemplo, puede seleccionarse una regla de acceso más estable sobre una regla de acceso de mayor desempeño. Las reglas de acceso candidatas 634 pueden proporcionarse al operador del recurso y algunas o todas las reglas de acceso candidatas 634 pueden usarse como reglas de acceso implementadas por un servidor de acceso.
Además, el sistema de generación de reglas de acceso 600 puede identificar reglas de acceso potenciales que tienen alto desempeño pero baja estabilidad. El sistema de generación de reglas de acceso 600 puede agregar ciertas condiciones a la regla de acceso para tener en cuenta la variabilidad a lo largo del tiempo, mejorando de esta manera el desempeño y la estabilidad de las reglas de acceso. Como tal, el sistema de generación de reglas de acceso 600 puede seleccionar reglas de acceso candidatas que sean a la vez de alto desempeño y consistentes en su desempeño.
III. Retardo en notificar las solicitudes de acceso fraudulentas
Típicamente existe un retardo entre la ocurrencia del acceso fraudulento y la notificación del acceso fraudulento. El retardo puede ocurrir porque los usuarios autorizados del recurso pueden no notar inmediatamente los efectos del acceso no autorizado. Como tal, la información de validez para las solicitudes de acceso recientes puede ser inexacta hasta que haya pasado una cantidad de tiempo suficiente para que se notifiquen los casos de acceso fraudulento. Por esta razón, es posible que los sistemas de generación de reglas de acceso anteriores no incluyan solicitudes de acceso más recientes en el conjunto de entrenamiento. Por ejemplo, los sistemas de generación de reglas de acceso anteriores pueden no considerar las solicitudes de acceso recibidas dentro de los últimos tres meses o los últimos seis meses, por ejemplo, debido al retardo en la notificación. Sin embargo, no incluir las solicitudes de acceso más recientes en el conjunto de entrenamiento significa que es posible que el conjunto de entrenamiento no sea representativo de los patrones más recientes de actividad fraudulenta. Como tal, las reglas de acceso seleccionadas basadas en solicitudes de acceso más antiguas pueden no identificar con precisión las solicitudes de acceso fraudulentas realizadas de acuerdo con nuevos patrones de fraude y también pueden generar más falsos positivos.
Para mejorar el desempeño de las reglas de acceso, el sistema de generación de reglas de acceso puede rastrear notificaciones de acceso fraudulento a lo largo del tiempo para desarrollar una distribución del tiempo de notificación que indique la proporción de acceso fraudulento que se ha notificado después de una cierta cantidad de tiempo. El sistema de generación de reglas de acceso puede compensar la información de validez correspondiente a las solicitudes de acceso que desencadenan una determinada regla en base a las notificaciones recibidas para otras reglas de acceso que también desencadenan la misma regla. La información de validez puede compensarse de acuerdo con el retardo de notificación esperado, de manera que las solicitudes de acceso más recientes se compensen más que las solicitudes de acceso más antiguas. En consecuencia, las solicitudes de acceso recibidas más recientemente pueden incluirse en el conjunto de entrenamiento, haciendo de esta manera que las reglas de acceso candidatas sean más precisas con respecto a los nuevos patrones de fraude.
A. Distribución de Notificaciones a lo Largo del Tiempo
La Figura 7 muestra un gráfico 700 ilustrativo del retardo de tiempo en la notificación de solicitudes de acceso fraudulentas a lo largo del tiempo, de acuerdo con algunas modalidades. El gráfico 700 muestra el porcentaje de solicitudes de acceso fraudulentas (por ejemplo, solicitudes de acceso fraudulentas que no fueron rechazadas) que han sido notificadas dentro de un cierto número de días desde la ocurrencia de la solicitud de acceso. El eje x indica el número de días entre la solicitud de acceso que se realiza y la notificación de que la solicitud de acceso es fraudulenta (por ejemplo, el retardo en la notificación). El eje y indica el porcentaje de solicitudes de acceso no válidas notificadas dentro del número de días indicado en el eje x. En el ejemplo mostrado en la Figura 7, solo un pequeño porcentaje de solicitudes de acceso fraudulentas se notifica dentro de la primera semana después de que ocurre el acceso fraudulento. Sin embargo, después de 216 días, se ha notificado del 100 % de las solicitudes de acceso fraudulentas que se notificarán. Es decir, la información de validez es 100 % precisa después de 216 días.
La información de retardo en la notificación también puede representarse como se muestra en la Tabla 1:
Tabla 1 - Distribución Acumulativa en la Notificación de Solicitudes de Acceso Fraudulentas
Figure imgf000013_0001
La información de retardo en la notificación también puede basarse en una función matemática o algoritmo que determina una pluralidad de porcentajes de notificación para una pluralidad correspondiente de períodos de tiempo.
Una tabla de información de retardo en la notificación puede basarse en dicha función o algoritmo.
Los servidores de acceso usados para diferentes propósitos pueden tener diferentes retardos en las notificaciones.
Además, los diferentes canales de notificaciones también pueden tener diferentes retardos en las notificaciones. Por ejemplo, puede haber una distribución diferente en el tiempo de retardo entre las notificaciones recibidas de los usuarios y las notificaciones recibidas de los operadores de recursos. En consecuencia, la información de notificación usada por el servidor de generación de reglas de acceso puede incluir varias distribuciones de retardo en la notificación diferentes para diferentes tipos de solicitudes de acceso o diferentes canales de notificación. La información de retardo en la notificación puede obtenerse rastreando la hora y fecha en que se realizaron las solicitudes de acceso, la hora y fecha en que se informó que las solicitudes de acceso no eran válidas y el canal desde el que se recibió la notificación.
Dichas distribuciones de retardo en las notificaciones pueden usarse para estimar o determinar la cantidad total de solicitudes de acceso no válidas que se notificarán en base a la cantidad de solicitudes de acceso fraudulentas que ya se han notificado y el porcentaje de solicitudes de acceso fraudulentas que se espera que se hayan notificado después de un cierto retardo. Como se describe en más detalle más abajo, un ordenador de generación de reglas de acceso puede compensar las solicitudes de acceso recibidas recientemente basándose en la distribución de notificaciones para tener en cuenta el retardo en las notificaciones.
B. Compensación de la Detección de Fraude Observada basada en el Retardo en la Notificación
La Figura 8 muestra un gráfico 800 de porcentajes predictivos observados y porcentajes predictivos compensados para una regla de acceso a lo largo del tiempo, de acuerdo con algunas modalidades. El porcentaje predictivo observado puede determinarse en base al porcentaje de solicitudes de acceso que activan y que se informó que eran fraudulentas. Sin embargo, como se describió anteriormente, puede haber un retardo en notificar el acceso fraudulento a un recurso. En consecuencia, como se muestra en el gráfico 800, el porcentaje predictivo observado para una regla de acceso puede ser menor para períodos de tiempo más recientes (por ejemplo, desde hace seis meses hasta hoy). Por ejemplo, como se muestra en el gráfico 800, el porcentaje predictivo observado (indicado por la línea continua) para una primera regla de acceso, la Regla A, puede disminuir de más del 60 % antes de hace 6 meses a menos del 1 % en la actualidad.
Sin embargo, como se describió anteriormente, un ordenador de generación de reglas puede compensar la información de validez basándose en la información de retardo en la notificación. Por tanto, los porcentajes predictivos pueden ajustarse en consecuencia, como se muestra mediante la línea discontinua en la Figura 8. El ordenador de generación de reglas puede usar la información de validez compensada para determinar la estabilidad del porcentaje predictivo observado para una regla de acceso. Como se describe en más detalle más abajo, el sistema de generación de reglas de acceso puede determinar un índice de estabilidad de detección para una regla de acceso basada en los porcentajes predictivos compensados.
C. Sistema de Generación y Selección de Reglas de Acceso en base al Retardo en la Notificación
La Figura 9 muestra un diagrama de bloques funcional de un sistema de generación de reglas de acceso 900 para generar y seleccionar reglas de acceso basadas en información de retardo en la notificación, de acuerdo con algunas modalidades. La información de retardo en la notificación puede usarse para compensar la información de validez, ajustando de esta manera los porcentajes predictivos y la estabilidad de detección de las reglas de acceso.
En consecuencia, las reglas de acceso candidatas pueden ser más precisas para los patrones recientes de fraude.
El sistema de generación de reglas de acceso 900 puede funcionar de manera similar al sistema de generación de reglas de acceso 600 de la Figura 6. El sistema de generación de reglas de acceso 900 puede usarse en un sistema de acceso a recursos similar al sistema de acceso a recursos 100 de la Figura 1 descrito anteriormente.
El sistema de generación de reglas de acceso 900 puede almacenar información de solicitud de acceso 910 y la información de validez 920 correspondiente para su uso en la generación de reglas de acceso candidatas 934. El sistema de generación de reglas de acceso 900 también puede almacenar información de evaluación 950 para determinar el desempeño de las reglas de acceso que se implementan actualmente por el servidor de acceso. La información de evaluación 950 puede incluir identificadores de las reglas de acceso que se implementan actualmente por un servidor de acceso. La información de evaluación 950 también puede incluir registros de evaluación que incluyen identificadores y parámetros de las solicitudes de acceso que se permitieron durante la evaluación de una regla de acceso e identificadores de las reglas de acceso evaluadas.
El sistema de generación de reglas de acceso 900 también puede almacenar información de retardo en la notificación 960 para compensar la información de validez. La información de retardo en la notificación 960 puede indicar factores de compensación para ajustar la información de validez correspondiente a las solicitudes de acceso recibidas recientemente. Los factores de compensación pueden basarse en el porcentaje de solicitudes de acceso fraudulentas que se espera sean notificadas después de un cierta cantidad de tiempo. En algunas modalidades, la información de retardo en la notificación 960 puede incluir una función para determinar el factor de compensación basándose en el número de días desde que se aceptó la solicitud de acceso. En algunas modalidades, la información de retardo en la notificación 960 puede incluir una tabla de compensación que indica los factores de compensación correspondientes a la cantidad de tiempo desde que se aceptó la solicitud de acceso. La tabla puede identificar un porcentaje acumulativo de notificaciones que se espera recibir después de una cierta cantidad de días similar a la Tabla 1 anterior. Por ejemplo, la información de retardo en la notificación 960 puede indicar que se espera que el 10 % de las notificaciones se reciban dentro de 14 días. En consecuencia, la tabla de compensación puede indicar un factor de compensación de 10 (por ejemplo, 1 10 %). La información de solicitud de acceso 910, la información de validez 920, la información de evaluación y la información de retardo en la notificación pueden recibirse desde un ordenador de recursos, un ordenador de solicitudes o un servidor de acceso.
En 901, el sistema de generación de reglas de acceso 900 puede seleccionar un subconjunto de solicitudes de acceso de la información de solicitud de acceso almacenada 910 para obtener un conjunto de entrenamiento 930 de solicitudes de acceso para usar en la generación de las reglas de acceso candidatas 924. El sistema de generación de reglas de acceso 900 puede seleccionar solicitudes de acceso para incluir en el conjunto de entrenamiento 930 en base a la hora y fecha en que se recibió la solicitud de acceso. El sistema de generación de reglas de acceso 900 también puede seleccionar el conjunto de entrenamiento de manera que incluya tanto las solicitudes de acceso recientes (por ejemplo, las que ocurren dentro de los últimos dieciocho meses) como las solicitudes de acceso históricas (por ejemplo, las que ocurren hace más de dieciocho meses).
En 902, el sistema de generación de reglas de acceso 900 puede generar una pluralidad de reglas de acceso potenciales 940 en base al conjunto de entrenamiento 930 de solicitudes de acceso. En algunas modalidades, el sistema de generación de reglas de acceso 900 puede generar las reglas de acceso potenciales basándose en un árbol de decisiones. Por ejemplo, cada nodo del árbol de decisiones puede representar una condición de un parámetro de regla de acceso y las ramas del árbol de decisiones pueden representar reglas de acceso potenciales 940.
Antes de determinar el desempeño de las reglas de acceso potenciales, el sistema de generación de reglas de acceso 900 puede ajustar la información de validez 920 en base a la información de evaluación 950 y la información de retardo en la notificación 960. En 903, el sistema de generación de reglas de acceso 900 puede ajustar la información de validez 920 para tener en cuenta los falsos positivos en las solicitudes de acceso rechazadas por las reglas de acceso implementadas por el servidor de acceso. La información de validez 920 puede ajustarse para tener en cuenta los falsos positivos (por ejemplo, las solicitudes de acceso legítimo que se niegan).
El sistema de generación de reglas de acceso 900 determina un porcentaje de falso positivo para cada una de las reglas de acceso implementadas actualmente por el servidor de acceso en base a la información de validez 920 y la información de evaluación 950. Como se describió anteriormente con referencia a la Figura 2, pueden aceptarse ciertas solicitudes de acceso en lugar de rechazarlas para evaluar el desempeño de las reglas de acceso que habrían rechazado la solicitud de acceso. Por ejemplo, el servidor de acceso puede haber aceptado (en lugar de rechazar) 100 solicitudes de acceso activadas por una regla de acceso (por ejemplo, para la evaluación de la regla de acceso) y 60 de esas solicitudes de acceso pueden haberse notificado como fraudulentas. En este ejemplo, el resultado de esa regla de acceso es un falso positivo el 40 % del tiempo (40 de cada 100). En algunas modalidades, el sistema de generación de reglas de acceso 900 puede recibir dicha información de falso positivo desde el servidor de acceso, el ordenador de recursos o el ordenador de solicitudes.
El sistema de generación de reglas de acceso 900 puede usar el porcentaje de falsos positivos para una regla de acceso implementada actualmente para ponderar la información de validez correspondiente a las solicitudes de acceso que activan esa regla de acceso. Por ejemplo, a una solicitud de acceso válida se le puede asignar una puntuación de validez de 0,0 y a una solicitud de acceso fraudulenta se le puede asignar una puntuación de validez de 1,0 en la información de validez 920. El sistema de generación de reglas de acceso 900 puede ajustar las puntuaciones de validez para las solicitudes de acceso rechazadas (por ejemplo, las solicitudes que no se permitieron para la evaluación de la regla de acceso) para dar cuenta del porcentaje de falsos positivos. En consecuencia, la puntuación de validez de las solicitudes de acceso rechazadas puede ajustarse de 1,0 a 0,6 en base al porcentaje de falsos positivos del 40 %. En consecuencia, la información de validez 920 para las solicitudes de acceso rechazadas puede dar cuenta de la información de evaluación que indica que la regla de acceso genera falsos positivos el 40 % del tiempo.
La información de validez 920 ajustada (por ejemplo, puntuación de validez) puede usarse por el sistema de generación de reglas de acceso 900 para determinar el desempeño de las reglas de acceso potenciales 940. Por lo tanto, el sistema de generación de reglas de acceso 900 puede determinar un porcentaje predictivo de fraude para reglas de acceso potenciales que tengan las mismas o similares condiciones que las reglas de acceso implementadas actualmente. Por lo tanto, el sistema de generación de reglas de acceso 900 proporciona una selección de reglas candidatas mejorada, ya que puede actualizar o reemplazar ciertas reglas de acceso de bajo desempeño que se están implementando actualmente por el servidor de acceso. Como tal, el sistema de generación de reglas de acceso 900 supera los problemas de los sistemas de generación de reglas anteriores que no son capaces de evaluar el desempeño de las reglas implementadas actualmente.
Tener menos falsos positivos es ventajoso para los usuarios y el dispositivo de usuario. En dependencia del propósito y la implementación del servidor de acceso, las reglas de acceso de mayor desempeño (por ejemplo, menos falsos positivos) seleccionadas por el sistema de generación de reglas de acceso 900 pueden dar lugar a que a menos usuarios se les niegue el acceso a sus cuentas del sitio web, menos transacciones legítimas de bienes o servicios siendo denegadas, y menos correos electrónicos legítimos etiquetados como correo "basura". Además, los dispositivos de usuario pueden consumir menos recursos de red ya que las solicitudes de acceso legítimo no necesitarán ser reenviadas con tanta frecuencia ya que las reglas de acceso producen menos falsos positivos.
El ordenador de generación de reglas de acceso puede ajustar más la información de validez. En 904, el sistema de generación de reglas de acceso 900 puede compensar la información de validez 920 para tener en cuenta el retardo en la notificación basándose en la información de retardo en la notificación 960. La información de retardo en la notificación 960 puede indicar factores de compensación para compensar las solicitudes de acceso recibidas recientemente. Los factores de compensación pueden basarse en el porcentaje de solicitudes de acceso fraudulentas que se espera sean notificadas después de una cierta cantidad de tiempo desde que se aceptó la solicitud de acceso. En algunas modalidades, la información de retardo en la notificación 960 puede incluir una función o una tabla para determinar el factor de compensación basándose en el número de días desde que se aceptó la solicitud de acceso.
En un ejemplo de información de validez compensatoria, la información de retardo en la notificación 960 puede indicar que se espera que el 30 % de las notificaciones se reciban dentro de los 33 días y que se espera que el 40 % de las notificaciones se reciban dentro de los 42 días posteriores a la solicitud de acceso. En consecuencia, la información de retardo en la notificación 960 puede indicar un factor de compensación de 2,5 (por ejemplo, 100 % 40 %) para las solicitudes de acceso recibidas dentro de los últimos 34 a 42 días. En este ejemplo, el sistema de generación de reglas de acceso 900 compensa las solicitudes de acceso notificadas que se recibieron dentro de los últimos 34 a 42 días en base al factor de compensación de 2,5. En consecuencia, si a una solicitud de acceso fraudulenta se le asigna una puntuación de validez de 1,0, entonces la puntuación de validez compensada sería de 2,5. El sistema de generación de reglas de acceso 900 puede compensar cada una de las solicitudes de acceso de acuerdo con la información de retardo en la notificación 960.
Después de generar la pluralidad de reglas de acceso potenciales 940, el sistema de generación de reglas de acceso 900 puede determinar, en 905, el desempeño de cada una de las reglas de acceso potenciales 940. El desempeño de una regla de acceso potencial puede basarse en la información de validez 920 correspondiente a las solicitudes de acceso del conjunto de entrenamiento 930 que satisfacen las condiciones de la regla de acceso potencial. Como se describió anteriormente, la información de validez 920 puede ajustarse para tener en cuenta los falsos positivos y puede compensarse para tener en cuenta el retardo en la notificación. El sistema de generación de reglas de acceso 900 puede determinar el desempeño de una regla de acceso potencial 940 basándose en su porcentaje predictivo.
Después de determinar el desempeño de las reglas de acceso potenciales 940, el sistema de generación de reglas de acceso 900 puede determinar, en 906, la estabilidad de activación y la estabilidad de detección de las reglas de acceso potenciales 940. El sistema de generación de reglas de acceso 900 puede segmentar las solicitudes de acceso del conjunto de entrenamiento 930 en diferentes períodos de tiempo (por ejemplo, semana a semana o mes a mes). En algunas modalidades, los segmentos pueden basarse en una ventana deslizante (por ejemplo, un período de una semana calculado para cada día). El sistema de generación de reglas de acceso 900 puede determinar la variación de activación de una regla de acceso basándose en la variación de sus porcentajes de activación para cada uno de los segmentos. El sistema de generación de reglas de acceso 900 también puede determinar la variación de detección de una regla de acceso basándose en la variación de sus porcentajes predictivos para cada uno de los segmentos. El sistema de generación de reglas de acceso 900 puede asignar índices de estabilidad más altos a las reglas de acceso que tienen menos variación de activación y menos variación de detección.
Después de determinar el desempeño y la estabilidad de las reglas de acceso potenciales 940, el sistema de generación de reglas de acceso 900 puede seleccionar, en 907, un conjunto de reglas de acceso candidatas 934, de las reglas de acceso potenciales 940 al comparar el desempeño y los índices de estabilidad de las reglas de acceso potenciales 940. Por ejemplo, puede seleccionarse una regla de acceso más estable sobre una regla de acceso de mayor desempeño. Las reglas de acceso candidatas 934 pueden proporcionarse al operador del recurso y algunas o todas las reglas de acceso candidatas 934 pueden usarse como reglas de acceso implementadas por un servidor de acceso.
En consecuencia, las reglas de acceso candidatas 934 generadas y seleccionadas por el sistema de generación de reglas de acceso 900 pueden tener un porcentaje predictivo más alto y producir menos falsos positivos ya que el proceso de generación de reglas ajustó la información de validación en base a la información de evaluación y la información de retardo en la notificación y porque la selección de la regla de acceso candidata consideró la estabilidad de las reglas de acceso potenciales a lo largo del tiempo.
Además, después de generar y seleccionar las reglas de acceso candidatas 934, el sistema de generación de reglas de acceso 900 puede recibir periódicamente una o más de: información de solicitud de acceso 910 actualizada, información de validez 920 actualizada, información de evaluación 950 actualizada e información de notificación 960 actualizada. En respuesta a recibir información actualizada, el sistema de generación de reglas de acceso 900 puede generar y seleccionar un nuevo conjunto de reglas de acceso candidatas mediante el uso de información actualizada de acuerdo con el proceso descrito anteriormente. El sistema de generación de reglas de acceso 900 puede entonces proporcionar un conjunto nuevo o actualizado de reglas de acceso candidatas al servidor de acceso. Como tal, las reglas de acceso implementadas por el servidor de acceso pueden responder a los patrones de fraude más recientes, reduciendo de esta manera el acceso fraudulento y también reduciendo los falsos positivos.
IV. Métodos ilustrativos para la generación de reglas de acceso
A. Método ilustrativo para Generar y Seleccionar Reglas de Acceso Estables
La Figura 10 muestra un diagrama de flujo 1000 de un método para generar y seleccionar reglas de acceso estables, de acuerdo con algunas modalidades. El método puede realizarse por un sistema informático, tal como el sistema de seguridad de recursos descrito en la presente descripción. En algunas modalidades, algunas de las etapas del método pueden no realizarse o las etapas pueden realizarse en un orden diferente.
En la etapa 1001, el sistema informático puede almacenar una pluralidad de solicitudes de acceso anteriores y parámetros de la pluralidad de solicitudes de acceso anteriores. La pluralidad de solicitudes de acceso anteriores y los parámetros de la pluralidad de solicitudes de acceso anteriores pueden usarse para generar reglas de acceso candidatas. En algunas modalidades, el sistema informático puede reducir la pluralidad de solicitudes de acceso anteriores a un subconjunto de entrenamiento de solicitudes de acceso. Por ejemplo, un sistema de generación de reglas de acceso puede almacenar información de solicitud de acceso y seleccionar un conjunto de entrenamiento de solicitud de acceso como se describió anteriormente.
En la etapa 1002, el sistema informático puede almacenar información de validez correspondiente a la pluralidad de solicitudes de acceso anteriores. La información de validez puede indicar si una solicitud de acceso es fraudulenta, legítima o rechazada (por ejemplo, rechazada en base a las reglas de acceso). La información de validación puede incluir puntuaciones de validez correspondientes a cada solicitud de acceso de la pluralidad de solicitudes de acceso anteriores. La información de validez puede basarse en notificaciones de acceso fraudulento. Por ejemplo, un sistema de generación de reglas de acceso puede almacenar información de validez como se describió anteriormente.
En la etapa 1003, el sistema informático puede generar una regla de acceso potencial que incluye una o más condiciones. Las reglas de acceso potenciales pueden activarse por solicitudes de acceso que involucren una o más condiciones de la regla de acceso. La regla de acceso potencial puede proporcionar un resultado de regla de acceso (por ejemplo, aceptar, rechazar o revisar) cuando se activa. En algunas modalidades, el sistema informático puede generar la regla de acceso potencial basándose en un árbol de decisiones donde cada nodo del árbol de decisiones representa una condición y las ramas del árbol de decisiones representan reglas de acceso potenciales. Por ejemplo, un sistema de generación de reglas de acceso puede generar reglas de acceso potenciales basadas en el conjunto de entrenamiento de solicitudes de acceso como se describió anteriormente.
En la etapa 1004, el sistema informático puede determinar un primer conjunto de solicitudes de acceso anteriores de la pluralidad de solicitudes de acceso anteriores. El primer conjunto de solicitudes de acceso anteriores puede involucrar una o más condiciones de la regla de acceso potencial. Es decir, el primer conjunto de solicitudes de acceso anteriores puede activar la regla de acceso potencial. Por ejemplo, antes de determinar el desempeño de una regla de acceso potencial, un sistema de generación de reglas de acceso puede determinar qué solicitudes de acceso de un conjunto de entrenamiento de solicitudes de acceso activan la regla de acceso potencial.
En la etapa 1005, el sistema informático puede determinar un porcentaje predictivo total para la primera regla de acceso basándose en la información de validez. El porcentaje predictivo total puede basarse en el porcentaje de solicitud de acceso que activa la regla de acceso potencial que es fraudulenta en base a la información de validez.
Por ejemplo, un sistema de generación de reglas de acceso puede determinar el desempeño de una regla de acceso potencial basándose en la información de validez correspondiente a la solicitud de acceso del conjunto de entrenamiento que activa esa regla de acceso.
En la etapa 1006, el sistema informático puede segmentar el primer conjunto de solicitudes de acceso anteriores en una pluralidad de subconjuntos de solicitudes de acceso basadas en el tiempo. Cada segmento puede corresponder a un cierto período de tiempo (por ejemplo, una ventana de tiempo). En algunas modalidades, la solicitud de acceso puede segmentarse semana a semana o día a día. En otras modalidades, las solicitudes de acceso pueden segmentarse mediante el uso de una ventana deslizante de manera que los porcentajes de activación se calculen cada día durante una ventana de una semana. Por ejemplo, un sistema de generación de reglas de acceso puede determinar la estabilidad de activación y la estabilidad de detección de una regla de acceso segmentando las solicitudes de acceso de un conjunto de entrenamiento de solicitudes de acceso en una pluralidad de subconjuntos basados en el momento en que se recibieron las solicitudes de acceso.
En la etapa 1007, el sistema informático puede determinar un porcentaje predictivo para cada uno de la pluralidad de subconjuntos basados en el tiempo. Los porcentajes predictivos pueden basarse en la información de validez correspondiente a cada una de las solicitudes de acceso en los subconjuntos. Por ejemplo, un sistema de generación de reglas de acceso puede determinar el porcentaje de activación y el porcentaje predictivo de una regla de acceso durante ciertos períodos de tiempo (por ejemplo, ventanas de tiempo) basándose en la información de solicitud de acceso y la información de validez.
En la etapa 1008, el sistema informático puede determinar un índice de estabilidad de detección de la primera regla de acceso comparando la pluralidad de porcentajes predictivos. El índice de estabilidad de detección de la primera regla de acceso puede basarse en una variación calculada de los porcentajes predictivos, de manera que el índice de estabilidad de detección aumenta a medida que disminuye la variación. Por ejemplo, un sistema de generación de reglas de acceso puede determinar un índice de estabilidad de detección basándose en el cálculo de la variación de la estabilidad de detección en cada uno de los subconjuntos, que corresponden a diferentes períodos de tiempo. En la etapa 1009, el sistema informático puede seleccionar la regla de acceso potencial que se incluirá en un conjunto operativo de reglas de acceso basándose en el índice de estabilidad de detección. La selección de la regla de acceso potencial que se incluirá en el conjunto operativo también puede basarse en el porcentaje predictivo total de la regla de acceso. La selección también puede basarse en una comparación del índice de estabilidad de detección en comparación con los índices de estabilidad de otras reglas de acceso potenciales. Por ejemplo, un sistema de generación de reglas de acceso puede seleccionar un conjunto de reglas de acceso candidatas del conjunto de reglas de acceso potenciales como se describió anteriormente.
En la etapa 1010, el sistema informático puede cargar el conjunto operativo de reglas de acceso en una memoria del sistema. La memoria del sistema puede comprender RAM, ROM, EEPROM o memoria flash, por ejemplo. La memoria del sistema puede contener código para implementar los métodos descritos en la presente descripción. La memoria del sistema puede cargar datos desde un medio de almacenamiento legible por ordenador, tal como una unidad de disco duro o una unidad de estado sólido. La memoria del sistema también puede cargar datos desde medios de almacenamiento accesibles en red, tales como desde un servidor de base de datos. Por ejemplo, un servidor de acceso puede cargar las reglas de acceso recibidas del sistema de generación de reglas de acceso en una memoria del sistema del servidor de acceso.
En la etapa 1011, el sistema informático puede recibir, desde una pluralidad de dispositivos, una pluralidad de solicitudes de acceso en tiempo real. Por ejemplo, el servidor de acceso puede recibir una pluralidad de solicitudes de acceso en tiempo real desde un dispositivo de usuario o un dispositivo de acceso, a través de un ordenador de recursos, como se describió anteriormente. Las solicitudes de acceso pueden incluir parámetros para cada una de las solicitudes de acceso.
En la etapa 1012, cuando se recibe una de las solicitudes de acceso, el sistema informático puede obtener el conjunto operativo de reglas de acceso de la memoria del sistema. Por ejemplo, cuando un servidor de acceso recibe una solicitud de acceso de un ordenador de recursos, el servidor de acceso puede obtener las reglas de acceso de la memoria del sistema.
En la etapa 1013, el sistema informático puede usar el conjunto operativo de reglas de acceso para determinar el resultado de una solicitud de acceso para una de las solicitudes de acceso en tiempo real. El resultado de la solicitud de acceso puede basarse en una pluralidad de resultados de la solicitud de acceso proporcionados por el conjunto operativo de reglas de acceso basadas en los parámetros de la solicitud de acceso. El resultado de la solicitud de acceso puede indicar aceptar, rechazar o revisar la solicitud de acceso. Por ejemplo, un servidor de acceso puede determinar el resultado de una solicitud de acceso basándose en las reglas de acceso como se describió anteriormente.
En la etapa 1014, el sistema informático puede proporcionar acceso al recurso basándose en el resultado de la solicitud de acceso. Por ejemplo, el sistema informático puede proporcionar acceso al recurso si el resultado de la solicitud de acceso indica que se acepta la solicitud de acceso. Es posible que el sistema informático no proporcione acceso al recurso si el resultado de la solicitud de acceso indica que se rechaza la solicitud de acceso. Por ejemplo, como se describió anteriormente, un servidor de acceso puede enviar una indicación a un ordenador de recursos para que se acepte la solicitud de acceso y luego el ordenador de recursos puede proporcionar acceso al recurso. B. Método Ilustrativo para Generar y Seleccionar Reglas de Acceso basadas en Información de Validez Compensada
La Figura 11 muestra un diagrama de flujo 1100 de un método para generar y seleccionar reglas de acceso basadas en información de validez compensada, de acuerdo con algunas modalidades. El método puede realizarse por un sistema informático, tal como el sistema de seguridad de recursos descrito en la presente descripción. En algunas modalidades, algunas de las etapas del método pueden no realizarse o las etapas pueden realizarse en un orden diferente.
En la etapa 1101, el sistema informático puede almacenar una pluralidad de solicitudes de acceso anteriores y parámetros de la pluralidad de solicitudes de acceso anteriores. La pluralidad de solicitudes de acceso anteriores y los parámetros de la pluralidad de solicitudes de acceso anteriores pueden usarse para generar reglas de acceso candidatas. En algunas modalidades, el sistema informático puede reducir la pluralidad de solicitudes de acceso anteriores a un subconjunto de entrenamiento de solicitudes de acceso. Por ejemplo, un sistema de generación de reglas de acceso puede almacenar información de solicitud de acceso y seleccionar un conjunto de entrenamiento de solicitud de acceso como se describió anteriormente.
En la etapa 1102, el sistema informático puede almacenar información de validez correspondiente a la pluralidad de solicitudes de acceso anteriores. La información de validez puede indicar si una solicitud de acceso es fraudulenta o legítima. La información de validación puede incluir puntuaciones de validez correspondientes a cada solicitud de acceso de la pluralidad de solicitudes de acceso anteriores. La información de validez puede basarse en notificaciones de acceso fraudulento. Por ejemplo, un sistema de generación de reglas de acceso puede almacenar información de validez como se describió anteriormente.
En la etapa 1103, el sistema informático puede compensar la información de validez basándose en la información de retardo en la notificación. El sistema informático puede compensar la información de validez basándose en una distribución de retardo en la notificación que indica una cantidad de tiempo esperada entre el momento en que se realizó la solicitud de acceso y el momento en que se notificó el acceso fraudulento. Por ejemplo, una puntuación de validez para una solicitud de acceso puede compensarse en base a factores de compensación determinados mediante el uso de la información de retardo en la notificación. Por ejemplo, un sistema de generación de reglas de acceso puede compensar la información de validez mediante el uso de factores de compensación que se basan en la información de retardo en la notificación.
En la etapa 1104, el sistema informático puede generar una regla de acceso potencial que incluye una o más condiciones. Las reglas de acceso potenciales pueden activarse por solicitudes de acceso que involucren una o más condiciones de la regla de acceso. La regla de acceso puede proporcionar un resultado de la regla de acceso (por ejemplo, aceptar, rechazar o revisar) cuando se activa. En algunas modalidades, el sistema informático puede generar las reglas de acceso potenciales basándose en un árbol de decisiones donde cada nodo del árbol de decisiones representa una condición de un parámetro de regla de acceso y las ramas del árbol de decisiones representan las reglas de acceso potenciales. Por ejemplo, un sistema de generación de reglas de acceso puede generar reglas de acceso potenciales basadas en el conjunto de entrenamiento de solicitudes de acceso como se describió anteriormente.
En la etapa 1105, el sistema informático puede determinar un primer conjunto de solicitudes de acceso anteriores de la pluralidad de solicitudes de acceso anteriores. El primer conjunto de solicitudes de acceso anteriores puede involucrar una o más condiciones de la regla de acceso potencial. Es decir, el primer conjunto de solicitudes de acceso anteriores puede activar la regla de acceso potencial. Por ejemplo, antes de determinar el desempeño de una regla de acceso potencial, un sistema de generación de reglas de acceso puede determinar qué solicitudes de acceso de un conjunto de entrenamiento de solicitudes de acceso activan la regla de acceso potencial.
En la etapa 1106, el sistema informático puede determinar un porcentaje predictivo total para la primera regla de acceso basándose en la información de validez compensada correspondiente al primer conjunto. El porcentaje predictivo total puede basarse en el porcentaje de solicitud de acceso que activa la regla de acceso potencial que es fraudulenta en base a la información de validez. Por ejemplo, un sistema de generación de reglas de acceso puede determinar el desempeño de una regla de acceso potencial basándose en la información de validez correspondiente a la solicitud de acceso del conjunto de entrenamiento que activa esa regla de acceso.
En la etapa 1107, el sistema informático puede seleccionar la primera regla de acceso que se incluirá en un conjunto operativo de reglas de acceso basándose en el porcentaje predictivo total. La selección de la regla de acceso potencial que se incluirá en el conjunto operativo también puede basarse en el porcentaje predictivo total de la regla de acceso. La selección también puede basarse en una comparación del índice de estabilidad de detección en comparación con los índices de estabilidad de otras reglas de acceso potenciales. Por ejemplo, un sistema de generación de reglas de acceso puede seleccionar un conjunto de reglas de acceso candidatas del conjunto de reglas de acceso potenciales como se describió anteriormente.
En la etapa 1108, el sistema informático puede cargar el conjunto operativo de reglas de acceso en una memoria del sistema. La memoria del sistema puede comprender RAM, ROM, EEPROM o memoria flash, por ejemplo. La memoria del sistema puede contener código para implementar los métodos descritos en la presente descripción. La memoria del sistema puede cargar datos desde un medio de almacenamiento legible por ordenador, tal como una unidad de disco duro o una unidad de estado sólido. La memoria del sistema también puede cargar datos desde medios de almacenamiento accesibles en red, tales como desde un servidor de base de datos. Por ejemplo, un servidor de acceso puede cargar las reglas de acceso recibidas del sistema de generación de reglas de acceso en una memoria del sistema del servidor de acceso.
En la etapa 1109, el sistema informático puede recibir, desde una pluralidad de dispositivos, una pluralidad de solicitudes de acceso en tiempo real.
Por ejemplo, el servidor de acceso puede recibir una pluralidad de solicitudes de acceso en tiempo real desde un dispositivo de usuario o un dispositivo de acceso, a través de un ordenador de recursos, como se describió anteriormente. Las solicitudes de acceso pueden incluir parámetros para cada una de las solicitudes de acceso. En la etapa 1110, cuando se recibe una de las solicitudes de acceso, el sistema informático puede obtener el conjunto operativo de reglas de acceso de la memoria del sistema. Por ejemplo, cuando un servidor de acceso recibe una solicitud de acceso de un ordenador de recursos, el servidor de acceso puede obtener las reglas de acceso de la memoria del sistema.
En la etapa 1111, el sistema informático puede usar el conjunto operativo de reglas de acceso para determinar el resultado de una solicitud de acceso para una de las solicitudes de acceso en tiempo real. El resultado de la solicitud de acceso puede basarse en una pluralidad de resultados de la solicitud de acceso proporcionados por el conjunto operativo de reglas de acceso basadas en los parámetros de la solicitud de acceso. El resultado de la solicitud de acceso puede indicar aceptar, rechazar o revisar la solicitud de acceso. Por ejemplo, un servidor de acceso puede determinar el resultado de una solicitud de acceso basándose en las reglas de acceso como se describió anteriormente.
En la etapa 1112, el sistema informático puede proporcionar acceso al recurso basándose en el resultado de la solicitud de acceso. Por ejemplo, el sistema informático puede proporcionar acceso al recurso si el resultado de la solicitud de acceso indica que se acepta la solicitud de acceso. Es posible que el sistema informático no proporcione acceso al recurso si el resultado de la solicitud de acceso indica que se rechaza la solicitud de acceso. Por ejemplo, como se describió anteriormente, un servidor de acceso puede enviar una indicación a un ordenador de recursos para que se acepte la solicitud de acceso y luego el ordenador de recursos puede proporcionar acceso al recurso. V. Sistemas informáticos ilustrativos para la generación e implementación de reglas de acceso
Las modalidades descritas anteriormente pueden implicar la implementación de una o más funciones, procesos, operaciones o etapas del método. En algunas modalidades, las funciones, procesos, operaciones o etapas del método pueden implementarse como resultado de la ejecución de un conjunto de instrucciones o código de software mediante un dispositivo informático, microprocesador, procesador de datos o similar programado adecuadamente. El conjunto de instrucciones o código de software puede almacenarse en una memoria u otra forma de elemento de almacenamiento de datos al que se accede mediante el dispositivo informático, microprocesador, etcétera. En otras modalidades, las funciones, procesos, operaciones o etapas del método pueden implementarse mediante microprograma o un procesador dedicado, circuito integrado, etcétera.
La Figura 12 muestra un diagrama de bloques funcional 1200 de componentes de un sistema informático ilustrativo que incluye un sistema de generación de reglas de acceso 1230 y un servidor de acceso 1220, de acuerdo con algunas modalidades. Los diferentes componentes pueden llevarse a la práctica mediante hardware de un ordenador o código de un ordenador almacenado en un medio de almacenamiento legible por ordenador no transitorio.
El sistema de generación de reglas de acceso 1230 puede comprender uno o más circuitos de procesador 1231. Los circuitos de procesador 1231 pueden ejecutar instrucciones para realizar las funciones de los sistemas de generación de reglas de acceso descritos en la presente descripción (por ejemplo, generar y seleccionar reglas de acceso). Los circuitos de procesador 1231 pueden acoplarse a una o más unidades de memoria 1232 que se configuran para almacenar datos e instrucciones. Las unidades de memoria 1232 pueden ser un medio de almacenamiento legible por ordenador no transitorio. Los circuitos de procesador 1231 pueden leer datos de las unidades de memoria 1232 y escribir datos en las unidades de memoria 1232. Por ejemplo, los circuitos de procesador 1231 pueden cargar en las unidades de memoria 1232 una pluralidad de información de solicitud de acceso, información de validez, información de retardo en la notificación, información de evaluación, datos del conjunto de entrenamiento, información relacionada con el desempeño de las reglas de acceso, información relacionada con la generación de reglas de acceso, e información relacionada con la selección de reglas de acceso como se describió en la presente descripción.
El sistema de generación de reglas de acceso 1230 también puede comprender una interfaz de comunicación 1233. La interfaz de comunicación 1233 puede recibir comunicaciones de una interfaz de comunicación de otro ordenador, tales como las comunicaciones de un ordenador de recursos o un servidor de acceso. La interfaz de comunicación 1233 también puede transmitir comunicaciones a otro ordenador. Como se describió en la presente descripción, el sistema de generación de reglas de acceso 1230 puede recibir información de solicitud de acceso, información de notificación, información de evaluación e información de notificación desde un ordenador de recursos o un servidor de acceso.
El sistema de generación de reglas de acceso 1230 también puede comprender una o más unidades de almacenamiento 1234. Las unidades de almacenamiento 1234 pueden acoplarse directamente al sistema de generación de reglas de acceso 1230 o pueden ser unidades de almacenamiento de acceso a la red 1234. Las unidades de almacenamiento 1234 pueden comprender una o más bases de datos para almacenar la información de solicitud de acceso, la información de notificación, la información de evaluación y la información de notificación descrita en la presente descripción. Las unidades de almacenamiento 1234 pueden almacenar datos que pueden cargarse en las unidades de memoria 1232 mediante los circuitos de procesador 1231.
El servidor de acceso 1220 puede comprender uno o más circuitos de procesador 1221. Los circuitos de procesador 1221 pueden ejecutar instrucciones para realizar las funciones de los servidores de acceso descritos en la presente descripción (por ejemplo, operar reglas de acceso para aceptar, rechazar o revisar solicitudes de acceso). Los circuitos de procesador 1221 pueden acoplarse a una o más unidades de memoria 1222 que se configuran para almacenar datos e instrucciones. Las unidades de memoria 1222 pueden ser un medio de almacenamiento legible por ordenador no transitorio. Los circuitos de procesador 1221 pueden leer datos de las unidades de memoria 1222 y escribir datos en las unidades de memoria 1222. Por ejemplo, los circuitos de procesador 1221 pueden cargar en las unidades de memoria 1222 una pluralidad de reglas de solicitud de acceso y parámetros de una solicitud de acceso para determinar el resultado de una solicitud de acceso, como se describió en la presente descripción.
El servidor de acceso 1220 también puede comprender una interfaz de comunicación 1223. La interfaz de comunicación 1223 puede recibir comunicaciones de una interfaz de comunicación de otro ordenador, tales como las comunicaciones de un ordenador de recursos o un servidor de acceso. La interfaz de comunicación 1223 del servidor de acceso 1220 puede comunicarse con la interfaz de comunicación 1223 del sistema de generación de reglas de acceso 1230. La interfaz de comunicación 1223 también puede transmitir comunicaciones a otro ordenador. El servidor de acceso 1220 puede recibir información de solicitud de acceso y parámetros de solicitud de acceso a través de la interfaz de comunicación 1223.
El servidor de acceso 1220 también puede comprender una o más unidades de almacenamiento 1224. Las unidades de almacenamiento 1224 pueden acoplarse directamente al servidor de acceso 1220 o pueden ser unidades de almacenamiento accesibles por red 1224. Las unidades de almacenamiento 1224 pueden comprender una o más bases de datos para almacenar la información de la solicitud de acceso y los parámetros de la solicitud de acceso. Las unidades de almacenamiento 1224 pueden almacenar datos que pueden cargarse en las unidades de memoria 1232 mediante los circuitos de procesador 1221.
La descripción anterior es ilustrativa y no es restrictiva. Muchas variaciones de la invención pueden resultar evidentes para los expertos en la técnica tras la revisión de la descripción.
Debe entenderse que cualquiera de las modalidades de la presente invención puede implementarse en forma de lógica de control mediante el uso de hardware (por ejemplo, un circuito integrado de aplicación específica o una matriz de puertas programables de campo) y/o mediante el uso de software de ordenador con un procesador generalmente programable de manera modular o integrada. Como se usa en la presente descripción, un procesador incluye un procesador de un solo núcleo, un procesador de múltiples núcleos en un mismo chip integrado o múltiples unidades de procesamiento en una sola placa de circuito o en red. En base a la descripción y las enseñanzas proporcionadas en la presente descripción, un experto en la técnica puede conocer y apreciar otras maneras y/o métodos para implementar las modalidades de la presente invención mediante el uso de hardware y una combinación de hardware y software.
Cualquiera de los componentes o funciones de software descritos en esta aplicación, puede implementarse como código de software para ejecutarse por un procesador mediante el uso de cualquier lenguaje de ordenador adecuado tal como, por ejemplo, Java, C, C++, C#, Objective-C, Swift, o lenguajes de scripting tales como Perl mediante el uso, por ejemplo, de técnicas convencionales u orientado a objetos. El código de software puede almacenarse como una serie de instrucciones o comandos en un medio legible por ordenador para almacenamiento y/o transmisión. Un medio legible por ordenador no transitorio adecuado puede incluir una memoria de acceso aleatorio (RAM), una memoria de solo lectura (ROM), un medio magnético tal como un disco duro o un disquete, o un medio óptico tal como un disco compacto (CD ) o DVD (disco versátil digital), memoria flash y similares. El medio legible por ordenador puede ser cualquier combinación de dichos dispositivos de almacenamiento o transmisión. Los medios de almacenamiento y los medios legibles por ordenador para contener código, o porciones de código, pueden incluir cualquier medio apropiado conocido o usado en la técnica, que incluye los medios de almacenamiento y los medios de comunicación, tales como por ejemplo, volátiles y no volátiles, medios extraíbles y no extraíbles implementados en cualquier método o tecnología para el almacenamiento y/o transmisión de información, tal como instrucciones legibles por ordenador, estructuras de datos, módulos de programa u otros datos, que incluye RAM, ROM, EEPROM, memoria flash u otra tecnología de memoria, CD- ROM, disco versátil digital (DVD) u otro almacenamiento óptico, casetes magnéticos, cinta magnética, almacenamiento en disco magnético u otros dispositivos de almacenamiento magnético, señales de datos, transmisiones de datos o cualquier otro medio que pueda usarse para almacenar o transmitir la información deseada y al que puede acceder el ordenador. En base a la descripción y las enseñanzas proporcionadas en la presente descripción, un experto en la técnica puede apreciar otras maneras y/o métodos para implementar las diferentes modalidades.
Dichos programas también pueden codificarse y transmitirse mediante el uso de señales portadoras adaptadas para la transmisión a través de redes cableadas, ópticas y/o inalámbricas que se ajusten a una variedad de protocolos, que incluye Internet. Como tal, puede crearse un medio legible por ordenador de acuerdo con una modalidad de la presente invención mediante el uso de una señal de datos codificada con tales programas. Los medios legibles por ordenador codificados con el código de programa pueden empaquetarse con un dispositivo compatible o proporcionarse por separado de otros dispositivos (por ejemplo, mediante descarga de Internet). Cualquier medio legible por ordenador puede residir en o dentro de un solo producto informático (por ejemplo, un disco duro, un CD o un sistema informático completo) y puede estar presente en o dentro de diferentes productos informáticos dentro de un sistema o red. Un sistema informático puede incluir un monitor, una impresora u otra pantalla adecuada para proporcionar a un usuario cualquiera de los resultados mencionados en la presente descripción.
Cualquiera de los métodos descritos en la presente descripción puede realizarse total o parcialmente con un sistema informático que incluya uno o más procesadores, que pueden configurarse para realizar las etapas. Por tanto, las modalidades pueden dirigirse a sistemas informáticos configurados para realizar las etapas de cualquiera de los métodos descritos en la presente descripción, potencialmente con diferentes componentes que realizan una etapa respectiva o un grupo de etapas respectivas. Aunque se presentan como etapas numeradas, las etapas de los métodos en la presente descripción pueden realizarse al mismo tiempo o en un orden diferente. Adicionalmente, porciones de estas etapas pueden usarse con porciones de otras etapas de otros métodos. Además, toda o porciones de un etapa pueden ser opcionales. Adicionalmente, cualquiera de las etapas de cualquiera de los métodos puede realizarse con módulos, unidades, circuitos u otros medios para realizar estas etapas.
Los detalles específicos de modalidades particulares pueden combinarse de cualquier manera adecuada sin apartarse del alcance de las modalidades de la invención. Sin embargo, otras modalidades de la invención pueden dirigirse a modalidades específicas relacionadas con cada aspecto individual, o combinaciones específicas de estos aspectos individuales.
La descripción anterior de ejemplos de modalidades de la invención se ha presentado con fines ilustrativos y descriptivos, no pretende ser exhaustiva ni limitar la invención a la forma precisa descrita, y son posibles muchas modificaciones y variaciones a la luz de las enseñanzas anteriores.
Una mención de "un", "uno" o "el" pretende significar "uno o más" a menos que se indique específicamente lo contrario. El uso de "o"<*>pretende significar un "o inclusivo" y no un "o exclusivo" a menos que se indique específicamente lo contrario.

Claims (12)

  1. REIVINDICACIONES
    i. Un método para garantizar el acceso a un recurso, el método que comprende realizar, mediante un sistema informático:
    almacenar (1001) una pluralidad de solicitudes de acceso recibidas anteriormente y parámetros de la pluralidad de solicitudes de acceso recibidas anteriormente;
    almacenar (1002) información de validez correspondiente a la pluralidad de solicitudes de acceso recibidas anteriormente, la información de validez que indica si cada solicitud de acceso de la pluralidad de solicitudes de acceso recibidas anteriormente es válida o no válida;
    generar (1003) una regla de acceso potencial que incluye una o más condiciones;
    determinar (1004) un primer conjunto de solicitudes de acceso recibidas anteriormente de la pluralidad de solicitudes de acceso recibidas anteriormente, cada solicitud de acceso recibida anteriormente del primer conjunto que incluye uno o más parámetros que satisfacen una o más condiciones de la regla de acceso potencial;
    segmentar (1006) el primer conjunto de solicitudes de acceso recibidas anteriormente en una pluralidad de subconjuntos de solicitudes de acceso basadas en el tiempo;
    determinar (1007) un porcentaje predictivo para cada uno de la pluralidad de subconjuntos basados en el tiempo en base a la información de validez correspondiente a cada solicitud de acceso recibida anteriormente de los subconjuntos basados en el tiempo;
    determinar (1008) un índice de estabilidad de detección de la regla de acceso potencial comparando la pluralidad de porcentajes predictivos y calculando una variación de la pluralidad de porcentajes predictivos en cada uno de los subconjuntos basados en el tiempo;
    seleccionar (1009) la regla de acceso potencial para incluir en un conjunto operativo de reglas de acceso en base al índice de estabilidad de detección de la regla de acceso potencial en comparación con los índices de estabilidad de detección de otras reglas de acceso;
    cargar (1010) el conjunto operativo de reglas de acceso en una memoria del sistema;
    recibir (1011), a través de una red desde una pluralidad de dispositivos, una pluralidad de solicitudes de acceso en tiempo real;
    acceder a la memoria del sistema para obtener (1012) el conjunto operativo de reglas de acceso cuando se recibe una de la pluralidad de solicitudes de acceso en tiempo real desde un primer dispositivo de la pluralidad de dispositivos;
    usar (1013) el conjunto operativo de reglas de acceso para determinar el resultado de una solicitud de acceso para la única solicitud de acceso en tiempo real; y
    proporcionar (1014) acceso al recurso en base al resultado de la solicitud de acceso.
  2. 2. El método de la reivindicación 1, que comprende además:
    almacenar información de retardo en la notificación que indique un porcentaje de las solicitudes de acceso recibidas anteriormente que se espera que se hayan notificado como válidas o no válidas después de ciertas cantidades de tiempo; y
    compensar la información de validez en base a la información de retardo en la notificación, en donde un porcentaje predictivo total y la pluralidad de porcentajes predictivos se basan en la información de validez compensada.
  3. 3. El método de la reivindicación 2, en donde la información de retardo en la notificación indica una pluralidad de períodos de tiempo y una pluralidad correspondiente de porcentajes de notificación, la pluralidad correspondiente de porcentajes de notificación que indica el porcentaje de las solicitudes de acceso recibidas anteriormente que se espera que se hayan notificado dentro de la pluralidad de períodos de tiempo.
  4. 4. El método de la reivindicación 3, en donde la información de validez correspondiente a una solicitud de acceso reciente se compensa más que la información de validez correspondiente a una solicitud de acceso posterior.
  5. 5. El método de cualquier reivindicación anterior, que comprende además determinar una variación de detección de la pluralidad de porcentajes predictivos, en donde la determinación del índice de estabilidad de detección de la regla de acceso potencial se basa además en una tendencia de la variación de detección a lo largo del tiempo.
  6. 6. El método de cualquier reivindicación anterior, en donde la segmentación del primer conjunto de solicitudes de acceso recibidas anteriormente en una pluralidad de subconjuntos de solicitudes de acceso se basa en una pluralidad de ventanas de tiempo deslizantes.
  7. 7. El método de cualquier reivindicación anterior, que comprende además:
    determinar un porcentaje de activación para cada uno de la pluralidad de subconjuntos basados en el tiempo en base a la información de validez correspondiente a cada solicitud de acceso recibida anteriormente de los subconjuntos basados en el tiempo; y
    determinar un índice de estabilidad de activación de la regla de acceso potencial comparando la pluralidad de porcentajes de activación, en donde la selección de la regla de acceso potencial que se incluirá en el conjunto operativo de reglas de acceso se basa además en el índice de estabilidad de activación de la regla de acceso potencial.
  8. 8. El método de la reivindicación 7, que comprende además determinar una variación de activación de la pluralidad de porcentajes de activación, en donde la determinación del índice de estabilidad de detección de la regla de acceso potencial se basa además en la variación de activación.
  9. 9. El método de cualquier reivindicación anterior, que comprende además ajustar la información de validez basándose en porcentajes de falsos positivos del conjunto operativo de reglas de acceso.
  10. 10. El método de cualquier reivindicación anterior, en donde el primer conjunto de solicitudes de acceso recibidas anteriormente incluye al menos una solicitud de acceso recibida anteriormente que se recibió durante la semana pasada y al menos una solicitud de acceso recibida anteriormente que se recibió hace más de dieciocho meses.
  11. 11. El método de cualquier reivindicación anterior, que comprende además:
    determinar (1005) un porcentaje predictivo total para la regla de acceso potencial en base a la información de validez correspondiente a cada solicitud de acceso recibida anteriormente del primer conjunto de solicitudes de acceso recibidas anteriormente, en donde seleccionar la regla de acceso potencial que se incluirá en el conjunto operativo de reglas de acceso se basa además en el porcentaje predictivo total para la regla de acceso potencial.
  12. 12. Un producto informático que comprende:
    un medio de almacenamiento legible por ordenador que almacena una pluralidad de instrucciones para controlar un sistema informático que, cuando se ejecuta, hace que el sistema informático realice el método de cualquiera de las reivindicaciones 1-11.
ES17872558T 2016-11-15 2017-11-10 Sistemas y métodos para garantizar el acceso a los recursos Active ES2862157T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US15/352,491 US9853993B1 (en) 2016-11-15 2016-11-15 Systems and methods for generation and selection of access rules
PCT/US2017/061180 WO2018093685A1 (en) 2016-11-15 2017-11-10 Systems and methods for securing access to resources

Publications (1)

Publication Number Publication Date
ES2862157T3 true ES2862157T3 (es) 2021-10-07

Family

ID=60674726

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17872558T Active ES2862157T3 (es) 2016-11-15 2017-11-10 Sistemas y métodos para garantizar el acceso a los recursos

Country Status (7)

Country Link
US (4) US9853993B1 (es)
EP (2) EP3542299B1 (es)
CN (1) CN110214322A (es)
AU (1) AU2017360928A1 (es)
ES (1) ES2862157T3 (es)
RU (1) RU2019118464A (es)
WO (1) WO2018093685A1 (es)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853993B1 (en) 2016-11-15 2017-12-26 Visa International Service Association Systems and methods for generation and selection of access rules
US10320846B2 (en) * 2016-11-30 2019-06-11 Visa International Service Association Systems and methods for generation and selection of access rules
JP6375047B1 (ja) * 2017-12-05 2018-08-15 株式会社サイバーセキュリティクラウド ファイアウォール装置
CN108449358B (zh) * 2018-04-10 2021-04-09 深圳市深银联易办事金融服务有限公司 基于云的低延时安全计算方法
US10977380B2 (en) * 2018-05-25 2021-04-13 Uptake Technologies, Inc. Hybrid role and attribute based access control system
US11184359B2 (en) 2018-08-09 2021-11-23 Microsoft Technology Licensing, Llc Automated access control policy generation for computer resources
US11140166B2 (en) 2018-10-15 2021-10-05 Uptake Technologies, Inc. Multi-tenant authorization
CN113542204B (zh) * 2020-04-22 2023-04-07 中国电信股份有限公司 防护规则生成方法、装置和存储介质
US11443037B2 (en) * 2020-07-09 2022-09-13 International Business Machines Corporation Identification of invalid requests
US11568075B2 (en) * 2020-07-10 2023-01-31 Visa International Service Association Auto-tuning of rule weights in profiles
CN112511569B (zh) * 2021-02-07 2021-05-11 杭州筋斗腾云科技有限公司 网络资源访问请求的处理方法、系统及计算机设备
US20230085509A1 (en) * 2021-09-14 2023-03-16 The Mitre Corporation Optimizing network microsegmentation policy for cyber resilience

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2844941B1 (fr) 2002-09-24 2005-02-18 At & T Corp Demande d'acces securise aux ressources d'un reseau intranet
US7603419B2 (en) * 2003-08-11 2009-10-13 Teamon Systems, Inc. System and method for automatically learning mailbox configuration conventions
US7657497B2 (en) 2006-11-07 2010-02-02 Ebay Inc. Online fraud prevention using genetic algorithm solution
US8327419B1 (en) 2008-05-22 2012-12-04 Informatica Corporation System and method for efficiently securing enterprise data resources
US20090292568A1 (en) 2008-05-22 2009-11-26 Reza Khosravani Adaptive Risk Variables
US20100145814A1 (en) 2008-12-08 2010-06-10 At&T Mobility Ii Llc Access modeling in a communication domain
US8600873B2 (en) * 2009-05-28 2013-12-03 Visa International Service Association Managed real-time transaction fraud analysis and decisioning
US9047458B2 (en) * 2009-06-19 2015-06-02 Deviceauthority, Inc. Network access protection
EP2689384A1 (en) 2011-03-23 2014-01-29 Detica Patent Limited An automated fraud detection method and system
US20130346294A1 (en) 2012-03-21 2013-12-26 Patrick Faith Risk manager optimizer
US9183385B2 (en) * 2012-08-22 2015-11-10 International Business Machines Corporation Automated feedback for proposed security rules
US20150089632A1 (en) * 2013-09-26 2015-03-26 Aaron Robert Bartholomew Application authentication checking system
US9298899B1 (en) * 2014-09-11 2016-03-29 Bank Of America Corporation Continuous monitoring of access of computing resources
US9853993B1 (en) 2016-11-15 2017-12-26 Visa International Service Association Systems and methods for generation and selection of access rules
US10320846B2 (en) 2016-11-30 2019-06-11 Visa International Service Association Systems and methods for generation and selection of access rules

Also Published As

Publication number Publication date
EP3542299A1 (en) 2019-09-25
US10862913B2 (en) 2020-12-08
AU2017360928A1 (en) 2019-04-18
RU2019118464A (ru) 2020-12-17
US10110621B2 (en) 2018-10-23
EP3542299B1 (en) 2021-03-10
US10440041B2 (en) 2019-10-08
US9853993B1 (en) 2017-12-26
EP3542299A4 (en) 2019-12-25
US20190387014A1 (en) 2019-12-19
EP3869373B1 (en) 2022-10-26
US20190089726A1 (en) 2019-03-21
US20180139225A1 (en) 2018-05-17
WO2018093685A1 (en) 2018-05-24
CN110214322A (zh) 2019-09-06
EP3869373A1 (en) 2021-08-25

Similar Documents

Publication Publication Date Title
ES2862157T3 (es) Sistemas y métodos para garantizar el acceso a los recursos
AU2021200523B2 (en) Systems and methods for dynamically detecting and preventing consumer fraud
US11146546B2 (en) Identity proofing and portability on blockchain
ES2917749T3 (es) Método y producto informático y métodos para la generación y selección de reglas de acceso
AU2013308905B2 (en) Protecting assets on a device
US20140089189A1 (en) System, method, and apparatus to evaluate transaction security risk
US11216794B1 (en) Systematic crowdsourcing of geolocation data
BR102014027453A2 (pt) método e sistema para utilizar telefone móvel como localizador para gerenciar a aceitação de cartão
US20240135379A1 (en) Authenticating Based on Behavioral Transactional Patterns
US11954218B2 (en) Real-time access rules using aggregation of periodic historical outcomes
US20240152926A1 (en) Preventing digital fraud utilizing a fraud risk tiering system for initial and ongoing assessment of risk
US20230245128A1 (en) Detecting digital harvesting utilizing a dynamic transaction request fraud detection model
US20230222212A1 (en) Utilizing machine-learning models to determine take-over scores and intelligently secure digital account features
US20230281629A1 (en) Utilizing a check-return prediction machine-learning model to intelligently generate check-return predictions for network transactions
Tsuchiya et al. Identifying Risky Vendors in Cryptocurrency P2P Marketplaces
CN117151894A (zh) 一种基于区块链的信用融资管理方法