ES2917187T3 - Monitorización de la autenticidad del usuario en sistemas distribuidos - Google Patents
Monitorización de la autenticidad del usuario en sistemas distribuidos Download PDFInfo
- Publication number
- ES2917187T3 ES2917187T3 ES17000090T ES17000090T ES2917187T3 ES 2917187 T3 ES2917187 T3 ES 2917187T3 ES 17000090 T ES17000090 T ES 17000090T ES 17000090 T ES17000090 T ES 17000090T ES 2917187 T3 ES2917187 T3 ES 2917187T3
- Authority
- ES
- Spain
- Prior art keywords
- user
- risk score
- feature
- model
- specific
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012544 monitoring process Methods 0.000 title claims abstract description 27
- 230000000694 effects Effects 0.000 claims abstract description 127
- 238000000034 method Methods 0.000 claims abstract description 117
- 230000009471 action Effects 0.000 claims abstract description 112
- 230000008569 process Effects 0.000 claims abstract description 31
- 238000012795 verification Methods 0.000 claims abstract description 19
- 230000004044 response Effects 0.000 claims abstract description 8
- 230000006399 behavior Effects 0.000 claims description 91
- 230000003044 adaptive effect Effects 0.000 claims description 34
- 238000009826 distribution Methods 0.000 claims description 34
- 239000013598 vector Substances 0.000 claims description 33
- 230000000295 complement effect Effects 0.000 claims description 25
- 239000000203 mixture Substances 0.000 claims description 24
- 230000007704 transition Effects 0.000 claims description 23
- 230000006870 function Effects 0.000 claims description 16
- 238000004458 analytical method Methods 0.000 claims description 10
- 230000000977 initiatory effect Effects 0.000 claims description 7
- 238000004364 calculation method Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 5
- 238000012546 transfer Methods 0.000 claims description 4
- 238000001514 detection method Methods 0.000 claims description 2
- 230000003542 behavioural effect Effects 0.000 description 11
- 230000008520 organization Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 230000001960 triggered effect Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000000605 extraction Methods 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 238000003062 neural network model Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000012935 Averaging Methods 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 238000007418 data mining Methods 0.000 description 2
- 230000003247 decreasing effect Effects 0.000 description 2
- 230000010006 flight Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 238000013450 outlier detection Methods 0.000 description 2
- 230000010076 replication Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000005315 distribution function Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012821 model calculation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000012502 risk assessment Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000011524 similarity measure Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 230000009182 swimming Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
- G06Q50/26—Government or public services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- Accounting & Taxation (AREA)
- General Health & Medical Sciences (AREA)
- General Business, Economics & Management (AREA)
- Social Psychology (AREA)
- Finance (AREA)
- Educational Administration (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Development Economics (AREA)
- Debugging And Monitoring (AREA)
- Alarm Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
Se proporciona un método para monitorear la autenticidad del usuario durante las actividades del usuario en una sesión de usuario en al menos un servidor de aplicaciones. El método se lleva a cabo de manera distribuida mediante un sistema de servidor distribuido. El método comprende un proceso de modelado de usuario y un proceso de verificación del usuario. El proceso de modelado del usuario se realiza en un servidor de modelos de usuario, en el que un modelo de usuario existente está adaptado session por sesión a los datos de actividad de usuario recibidos del servidor de aplicaciones. El proceso de verificación del usuario se realiza en al menos un servidor de aplicaciones en función del modelo de usuario adaptado en el servidor de modelos de usuario. El proceso de verificación del usuario comprende comparar el modelo de usuario con las características extraídas de la actividad del usuario en la sesión del usuario en el servidor de aplicaciones y determinar un valor total de puntaje de riesgo en función de la comparación. En respuesta al valor total de la puntuación de riesgo que excede un umbral dado, se realiza una acción correctiva. (Traducción automática con Google Translate, sin valor legal)
Description
DESCRIPCIÓN
Monitorización de la autenticidad del usuario en sistemas distribuidos
Campo de la invención
La invención se refiere al campo de la monitorización de la autenticidad del usuario durante las actividades del usuario en al menos un servidor de aplicaciones.
Antecedentes
El documento WO 2006 118 968 A2 describe un método para que los proveedores de servicios identifiquen posibles transacciones fraudulentas, basándose en el análisis de datos históricos de usuario y dispositivos con un conjunto de reglas predeterminado. El análisis de datos de usuario comprende analizar los patrones de comportamiento de usuario comparándolos con reglas predefinidas. Un motor de puntuación con un modelo de ponderación basado en reglas determina si el patrón de comportamiento es fraudulento o no.
El documento US 2013/0104203 A1 describe un método para determinar un nivel de autenticación asociado con un usuario, basándose también en una huella digital de comportamiento.
En "A Survey of Outlier Detection Methodologies", Artificial Intelligence Review, vol. 22, no. 2, 1 de octubre de 2004 (2004-10-01), páginas 85-126, XP055176642, ISSN: 0269-2821, Victoria Hodge et al. da a conocer el uso de mezclas gaussianas y el uso de cadenas de Markov en la detección de valores atípicos, técnicas que pueden utilizarse para detectar comportamientos fraudulentos.
Compendio de la invención
La invención está definida por las reivindicaciones independientes.
Descripción general, también de realizaciones opcionales
Según un primer aspecto, se proporciona un método para monitorizar la autenticidad del usuario durante las actividades del usuario en sesiones de usuario en al menos un servidor de aplicaciones.
Monitorizar la autenticidad del usuario en las sesiones de usuario se refiere a comprobar si un usuario que ha iniciado sesión en el servidor de aplicaciones y que utiliza las aplicaciones que se ejecutan en él, es realmente el usuario que pretende ser.
Una sesión de usuario es el conjunto de todas las acciones consecutivas realizadas por un usuario determinado después de haber sido autenticado en la aplicación utilizando sus credenciales (es decir, al "iniciar sesión"), hasta que el usuario cierra su sesión utilizando la funcionalidad de desautenticación proporcionada por la aplicación.
El método se lleva a cabo de manera distribuida por medio de un sistema de servidor distribuido. El sistema de servidor distribuido comprende el al menos un servidor de aplicaciones y al menos un servidor de modelo de usuario. El al menos un servidor de aplicaciones es el servidor en el que se ejecutan la aplicación o aplicaciones en las que el usuario está realizando actividades. Se puede ejecutar una aplicación en cada servidor de aplicaciones o se puede ejecutar una pluralidad de aplicaciones en un solo servidor de aplicaciones o una combinación de los mismos. El al menos un servidor de modelo de usuario es un servidor con procesador o procesadores que están físicamente separados del procesador o procesadores del servidor o servidores de aplicaciones. Por ejemplo, también se proporciona un servidor o servidores de inicio de sesión y seguridad para acceder al servidor o servidores de aplicaciones. El al menos un servidor de aplicaciones y el al menos un servidor de modelo de usuario están conectados entre sí a través de una red, tal como Internet.
Cada uno de los al menos dos servidores comprende al menos un procesador y al menos una memoria no volátil que comprende al menos un programa informático con instrucciones ejecutables almacenadas en el mismo. El método es llevado a cabo por los procesadores que ejecutan las instrucciones. El uno o más procesadores son, por ejemplo, procesadores de un servidor de aplicaciones y de otros servidores utilizados para llevar a cabo el método. Las instrucciones generalmente se dan mediante un código de programa informático ejecutable, la memoria no volátil es, por ejemplo, una memoria de solo lectura (ROM), una memoria de solo lectura programable borrable eléctricamente (EEPROM) o una memoria flash.
Las instrucciones hacen que el procesador o procesadores, cuando el procesador las lleve a cabo, realice un proceso de modelado de usuario en el que un modelo de usuario existente se adapta sesión por sesión a las actividades del usuario. El término "proceso" con respecto al "proceso de modelado de usuario" y al "proceso de verificación de usuario" mencionados anteriormente se refiere a submétodos del método de monitorización de la autenticidad del usuario durante las actividades del usuario en sesiones de usuario que comprenden una pluralidad de tareas llevadas a cabo por el procesador o procesadores en lugar de tareas individuales llevadas a
cabo por el procesador o procesadores.
El modelo de usuario no está restringido solamente a ciertas características de comportamiento del usuario, tal como el tiempo de acceso a una aplicación de reserva en el servidor de aplicaciones o el origen geográfico de este acceso, por ejemplo, desde Francia o desde China, sino que tiene en cuenta una pluralidad de tales características. Así, por ejemplo, el modelo de usuario también tiene en cuenta qué navegador de Internet se ha utilizado para el acceso en qué sistema operativo o dispositivo cliente, por citar algunos ejemplos. El modelo de usuario, de esta manera, refleja una pluralidad de características de comportamiento que pueden analizarse y asignarse a tal modelo mediante el método descrito en la presente memoria.
El modelo de usuario existente que se adapta puede basarse, por ejemplo, en un modelo de usuario que se ha determinado durante una fase de capacitación con una duración ejemplar de tres meses o en un modelo de usuario que se ha predefinido por un administrador sobre la base de datos de comportamiento del usuario. La adaptación del modelo de usuario existente se realiza sesión por sesión. De esta forma, la adaptación del modelo de usuario puede realizarse, bien en tiempo real, es decir, durante la sesión del usuario, o bien al principio o al final de una sesión.
En cualquier caso, el modelo de usuario es (i) centrado en el usuario, (ii) adaptable y (iii) extensible para tener en cuenta el nuevo comportamiento del usuario, ya que el comportamiento del usuario también podría cambiar de vez en cuando.
El método de monitorización de la autenticidad del usuario durante las actividades del usuario en las sesiones de usuario comprende la transferencia de datos de actividad del usuario desde el al menos un servidor de aplicaciones a al menos un servidor de modelo de usuario. De esta manera, el al menos un servidor de modelo de usuario sirve como un nodo central para todos los datos de actividad del usuario de todas las aplicaciones que se ejecutan en el al menos un servidor de aplicaciones. El modelo de usuario se adapta en este servidor de modelo de usuario según los datos de actividad del usuario transferidos. El método de monitorización de la autenticidad del usuario durante las actividades del usuario en sesiones de usuario comprende además una transferencia de datos de modelo de usuario adaptado desde el al menos un servidor de modelo de usuario a al menos un servidor de aplicaciones. Los datos del modelo de usuario adaptado significan, bien un delta entre el modelo de usuario actualmente almacenado en el servidor de aplicaciones y el modelo de usuario que ha sido adaptado en el servidor de modelo de usuario, o bien significa simplemente el propio modelo de usuario adaptado.
Como se ha mencionado anteriormente, el proceso de modelado de usuario se realiza en un servidor de modelo de usuario y el modelo de usuario se adapta basándose en los datos de actividad del usuario transferidos desde el al menos un servidor de aplicaciones.
El modelo de usuario se determina y adapta, por ejemplo, basándose en los datos recibidos de registro de aplicación específicos del usuario, que contienen trazas completas de las actividades del usuario. Esto se puede hacer regularmente cuando el usuario ha completado una sesión, es decir, de forma post-mortem o mediante transmisión en tiempo real. Los datos se transmiten, por ejemplo, desde las aplicaciones al servidor de modelo de usuario o cualquier otra instancia, donde se construye y adapta el modelo de usuario. Para sondear los datos de registro, por ejemplo, se ejecuta un daemon en el nodo de red entre el servidor del modelo de usuario y el servidor de aplicaciones para sondear los datos de registro cada 5 a 60 minutos o al final de cada sesión de usuario. La transmisión de datos al servidor de modelo de usuario se realiza, por ejemplo, a través del protocolo simple de gestión de red (SNMP) a nivel de red y a nivel de aplicación mediante interfaces C++. Las actividades del usuario se pueden reconstruir a partir de los datos de registro mencionados anteriormente.
Estas actividades del usuario reconstruidas se analizan a través de al menos un algoritmo de minería de datos para extraer las características de los diferentes modelos adaptativos de comportamiento de usuario específicos en términos de característica. Ejemplos de tales algoritmos de minería de datos son los modelos ocultos de Markov, las máquinas de vectores de soporte o las redes neuronales.
El modelo de usuario comprende, por ejemplo, distribuciones estadísticas que modelan marcas de tiempo de inicio de sesión de un usuario o, por ejemplo, modelos de cadena de Markov que modelan secuencias de acciones del usuario. También pueden contener vectores de características de una pluralidad de características extraídas de las actividades del usuario para obtener un centroide de estos vectores de características y una diferencia de un vector de características de las actividades actuales del usuario con este centroide. Estos modelos se adaptan, por ejemplo, volviendo a calcular los modelos e incluyendo las nuevas características extraídas de los datos recién recibidos de registro de sesión de usuario. Estos cálculos pueden requerir almacenamientos de datos de varios terabytes, así como una gran potencia de cálculo, ya que estos modelos centrados en el usuario se determinan y adaptan por separado para cada usuario que utiliza la aplicación o aplicaciones.
Además, las instrucciones hacen que el procesador realice un proceso de verificación de usuario. El proceso de verificación de usuario comprende comparar el modelo de usuario con características extraídas de la actividad
del usuario en la sesión del usuario en el servidor de aplicaciones. Partes específicas de los modelos de comportamiento del usuario, en lo sucesivo denominados modelos de comportamiento del usuario con características específicas, por ejemplo, reflejan el comportamiento del usuario con respecto a características particulares. Las partes específicas del modelo de usuario se comparan, por ejemplo, con características específicas extraídas del comportamiento del usuario asociado con estas partes específicas, y las desviaciones se agregan para obtener una desviación total entre el modelo de usuario y el comportamiento del usuario. A modo de ejemplo, una desviación entre un tiempo de conexión actual y una parte del modelo de usuario que es específica de los tiempos de conexión se combina con una desviación entre un origen actual de una actividad del usuario y una parte del modelo de usuario que es específica del origen de las actividades del usuario, es decir, una clase de características relacionadas con los orígenes de la actividad del usuario. Los miembros de esta clase de características son, por ejemplo, la dirección IP de una solicitud de usuario o la ubicación geográfica del usuario.
Alternativamente, las actividades actuales del usuario, reflejadas por todas las características extraídas, se toman como un todo y se comparan como un todo con el modelo de usuario, por ejemplo, comparando estas actividades con un modelo de red neuronal suficientemente entrenado y adaptado.
Ejecutándose el proceso de verificación de usuario en al menos un servidor de aplicaciones, en donde el proceso de verificación de usuario se realiza utilizando los datos del modelo de usuario adaptado transferidos desde el servidor de modelo de usuario.
Después de haber sido adaptado, por ejemplo, después de una sesión de usuario, el modelo de usuario, después de haber sido adaptado en el servidor de modelo de usuario, se replica en el al menos un servidor de aplicaciones mediante la transferencia de datos del modelo de usuario adaptado al servidor de aplicaciones. Esta transferencia puede lograrse copiando la versión adaptada del modelo de usuario del servidor de modelo de usuario al servidor de aplicaciones como un todo o copiando solamente un delta entre el modelo de usuario adaptado y la versión no adaptada del modelo de usuario. En el servidor o servidores de aplicaciones, por ejemplo, se mantiene un diario en el que se registran las actividades actuales del usuario. Las actividades del usuario actuales almacenadas en este diario se pueden comparar con el modelo de usuario copiado en el servidor de aplicaciones para obtener la desviación entre este modelo de usuario más actualizado y los datos de usuario actuales.
Sobre la base de la comparación de la actividad actual del usuario con el modelo de usuario, o más precisamente sobre la desviación obtenida por esta comparación, se determina un valor total de puntuación de riesgo. Cuanto mayor sea la desviación, mayor será el valor total de la puntuación de riesgo.
Es una indicación de autenticidad dudosa del usuario cuando este valor total de puntuación de riesgo supera un umbral determinado. Este umbral lo establece, por ejemplo, un administrador. El umbral también se podría elegir de manera específica para el usuario, ya que hay usuarios que tienden a cambiar sus hábitos con respecto a, por ejemplo, la reserva de vuelos, con más frecuencia y otros que no.
En respuesta a la superación del umbral determinado, se desencadena una acción correctiva. Esta acción correctiva consiste en (i) un cierre de sesión de usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario y (iv) un inicio de una función de alerta.
El cierre de sesión del usuario es, por ejemplo, el cierre de sesión de usuario en la sesión actual. La solicitud de una autenticación de dos factores del usuario es, por ejemplo, la solicitud de que el usuario responda una pregunta de seguridad predefinida y el cierre de sesión de usuario cuando la respuesta a la pregunta de seguridad predefinida es incorrecta. El bloqueo del usuario es, por ejemplo, la eliminación de un perfil de usuario y/o la denegación del acceso del usuario al servidor de aplicaciones de forma permanente. El inicio de una función de alerta es, por ejemplo, la emisión de una alerta a un operador humano, para que pueda apreciar la situación y tomar las acciones necesarias.
La comparación se realiza en el servidor de aplicaciones y también se desencadena la acción correctiva mediante el servidor de aplicaciones. Por lo tanto, la evaluación de las actividades del usuario para verificar la autenticidad se lleva a cabo directamente en el servidor donde se realizan estas acciones y es posible que se requiera una interacción a corto plazo (tal como desencadenar la acción correctiva), pero sin embargo, sobre la base del modelo de usuario más actualizado. De esta manera, el desencadenamiento de una acción correctiva no se ve afectada por ninguna latencia de la red, ya que el proceso de verificación de usuario que desencadena la misma se encuentra justo en el servidor de aplicaciones en el que se realizan las actividades del usuario. La creación y adaptación de modelos de usuario es un proceso a largo plazo y no requiere necesariamente datos actualizados sobre las actividades del usuario, pero sin embargo, requiere mucha potencia de cálculo. Por lo tanto, el proceso de modelo de usuario se realiza en al menos un servidor de modelo de usuario separado.
Como una parte del método de monitorización de la autenticidad del usuario (la parte de modelado del usuario) se lleva a cabo en el servidor de modelo de usuario, sobre la base de los datos transferidos desde el servidor o servidores de aplicaciones al servidor o servidores de modelo de usuario y la otra parte del método (la parte de
verificación del usuario) se lleva a cabo en el servidor de aplicaciones, pero basándose en los datos transferidos desde el servidor del modelo de usuario al servidor o servidores de aplicaciones (datos del modelo de usuario adaptado), el método es, por así decirlo, llevado a cabo de manera doblemente distribuida. El primer tipo de distribución es la distribución del método en diferentes servidores, la otra parte de la distribución es que el servidor de aplicaciones es una fuente de datos (actividades del usuario, etc.) para el servidor de modelo de usuario, pero sin embargo, al mismo tiempo un sumidero de datos para el servidor de modelo de usuario (modelo de usuario, etc.) y viceversa.
En algunas realizaciones, la acción correctiva se selecciona basándose en el valor total de puntuación de riesgo. El tipo de acción correctiva desencadenada depende, por ejemplo, del umbral real que ha sido excedido por el valor total de la puntuación de riesgo. Para desencadenar acciones correctivas de tres tipos diferentes existen, por ejemplo, tres umbrales diferentes. Si el valor total de la puntuación de riesgo es superior a un primer umbral, por ejemplo, se emite una autenticación de dos factores. Si el valor total de la puntuación de riesgo es superior a un segundo umbral, se cierra la sesión del usuario. Sin embargo, si el valor total de la puntuación de riesgo es superior a un tercer umbral, el usuario queda bloqueado.
En algunas realizaciones, los datos de actividad del usuario comprenden al menos un archivo de registro de actividad del usuario. Los datos de registro mencionados anteriormente que comprenden información sobre las actividades de los usuarios en el al menos un servidor de aplicaciones se almacenan, por ejemplo, en un archivo de registro de este tipo. El archivo de registro se transmite desde las aplicaciones al servidor de modelo de usuario. En el servidor de modelo de usuario, las características utilizadas para adaptar el modelo de usuario se extraen de este archivo de registro mediante el motor de aprendizaje mencionado anteriormente que realiza la reconstrucción de la sesión del usuario.
En algunas realizaciones, las características se pueden obtener desde al menos dos aplicaciones diferentes, ejecutándose en al menos dos servidores de aplicaciones diferentes.
El modelo de usuario se adapta, por ejemplo, en un servidor de modelo de usuario sobre la base de la actividad del usuario asociada con diferentes aplicaciones que se ejecutan en diferentes servidores de aplicaciones. Por lo tanto, las instrucciones ejecutables se programan, por ejemplo, de manera que se proporcionan interfaces para una pluralidad de aplicaciones diferentes.
El modelo de usuario puede tener partes específicas para diferentes aplicaciones, como ciertos patrones de comportamiento, por ejemplo, el método de pago elegido puede variar para un usuario dependiendo de la aplicación. Si, por ejemplo, se reserva un viaje mediante el sitio web de una compañía de trenes, el usuario puede optar por pagar mediante domiciliación bancaria, mientras que el mismo usuario puede preferir pagar con tarjeta de crédito, al reservar un vuelo en el sitio web de un proveedor de reservas de vuelos. Las mismas técnicas de modelado (medidas de similitud, redes neuronales, mezcla gaussiana, etc.) pueden utilizarse para crear estas partes específicas de la aplicación del modelo de usuario para las mismas características. En estos ejemplos, la duración de la sesión en términos de característica, es decir, el tiempo entre el inicio de sesión de usuario y el cierre de sesión, se asigna, por ejemplo, a un modelo de mezcla gaussiana, sin embargo, con características diferentes para diferentes aplicaciones.
Sin embargo, también se pueden utilizar diferentes técnicas de modelado para modelar las mismas características extraídas de datos de registro de diferentes aplicaciones. Por lo tanto, para la aplicación "X", la duración de la sesión en términos de característica (técnica de modelado de duraciones de sesión para la aplicación "X") podría asignarse a un modelo de mezcla gaussiana, mientras que para la aplicación "Y", la duración de la sesión podría asignarse a un promedio móvil de duraciones de sesión (técnica de modelado de duraciones de sesión para la aplicación "Y").
En algunas realizaciones, la acción correctiva se realiza independientemente del valor de puntuación de riesgo, en respuesta a la detección de un cierto patrón de características.
De esta manera, independientemente del valor total de la puntuación de riesgo y las estadísticas subyacentes, algunos patrones de comportamiento pueden causar una acción correctiva (solicitar una autenticación de dos factores del usuario o bloquear al usuario). Estos patrones de comportamiento podrían ser definidos por un analista de riesgos. Si alguien, por ejemplo, envía repetidamente solicitudes para cambiar su nombre de usuario y contraseña, esto genera dudas sobre la identidad del usuario y, por lo tanto, conduce automáticamente a la solicitud de una autenticación de dos factores por parte del usuario.
En algunas realizaciones, el modelo de usuario comprende una pluralidad de modelos de comportamiento de usuario específico en términos de característica.
Un modelo de comportamiento de usuario específico en términos de característica es un modelo asociado con una característica indicativa del comportamiento del usuario. Por lo tanto, los modelos adaptativos de comportamiento de usuario específico en términos de característica pueden verse como submodelos del modelo
de usuario. Un modelo adaptativo de comportamiento de usuario específico en términos de característica es, por ejemplo, específico para las duraciones en términos de característica de las sesiones, por ejemplo, en una aplicación, otro modelo adaptativo de comportamiento de usuario específico en términos de característica es, por ejemplo, específico para la secuencia de acciones en términos de característica, ya que un determinado usuario podría tener la costumbre de olvidar la contraseña de la aplicación pero, sin embargo, suele introducir el nombre de usuario correcto. Si, por ejemplo, este usuario de repente escribe repetidamente un nombre de usuario incorrecto, este comportamiento podría ser sospechoso. Otro modelo de comportamiento de usuario específico en términos de característica es, por ejemplo, específico para el software cliente y el tipo de máquina cliente utilizado. Cuando un usuario no tiene la costumbre de utilizar una aplicación desde un i-phone® o cualquier otro producto de apple®, pero este comportamiento se detecta repentinamente, esto podría indicar un fraude, ya que alguien podría pretender ser el propietario de un determinado perfil de usuario.
El modelo de comportamiento específico en términos de característica se elige de tal manera que sea apropiado para reflejar las características asociadas con él. Un modelo de cadena de Markov es, por ejemplo, más adecuado para modelar una secuencia de acciones que un modelo de mezcla gaussiana, mientras que este último es más adecuado para modelar la distribución de las duraciones de las sesiones de usuario o los tiempos de inicio de sesión de usuario.
Además, por ejemplo, los orígenes de las solicitudes enviadas a una aplicación en el servidor o el tipo de navegador de Internet o el ordenador cliente utilizado, se modelan, por ejemplo, mediante técnicas basadas en patrones de frecuencia, que identifican subsecuencias en el comportamiento de los usuarios relacionados con los ordenadores cliente o los orígenes de las solicitudes y contar el número de subsecuencias poco frecuentes en una secuencia de período de tiempo prolongado. Las secuencias de acciones del usuario en una aplicación, por ejemplo, al reservar un vuelo, también pueden analizarse mediante técnicas basadas en la similitud, que calculan un centroide de vectores de características registrados previamente, obtenidos de secuencias de acciones pasadas, por ejemplo, al reservar un vuelo. Este centroide puede, por ejemplo, utilizarse para obtener la diferencia entre un vector de características de las actividades actuales del usuario y el centroide. Por lo tanto, por ejemplo, una técnica como el modelo adaptativo de comportamiento del usuario específico en términos de característica relacionado con la secuencia de acciones de un usuario cuando utiliza una aplicación particular.
Estos modelos se adaptan, por ejemplo, recalculando los modelos y teniendo en cuenta nuevos valores en términos de característica, cada vez que se transmiten nuevos datos de actividad del usuario a un módulo de cálculo de modelo adaptativo de comportamiento de usuario específico en términos de característica, comenzando con una solución modelo que corresponde al último modelo de comportamiento de usuario específico en términos de característica donde no se habían tenido en cuenta los nuevos valores en términos de característica.
A continuación, se describen con más detalle algunas características extraídas de la actividad del usuario en la sesión de usuario, a saber, la clase de características relacionadas con los orígenes de la actividad del usuario, las marcas de tiempo en términos de característica de las actividades, las duraciones de una sesión de usuario en la que se realizan las actividades y al menos una de la clase de la información del cliente en términos de característica, la información de oficina en términos de característica y la información de la organización en términos de característica y su asignación a un modelo de comportamiento de usuario específico en términos de característica.
El origen de la actividad del usuario se refiere al país o región desde donde se ha emitido la solicitud al servidor de aplicaciones para llevar a cabo la actividad. La información sobre el origen de la solicitud puede, por ejemplo, extraerse de un "registro whois" de la dirección IP de la solicitud, por ejemplo, una solicitud HTTP. Este "registro whois" contiene información sobre el proveedor de servicios de Internet (ISP). De la distribución regional de un ISP se puede deducir el origen de la solicitud. Si la información sobre qué direcciones IP son enrutadas por ciertos proveedores de servicios de Internet a través de qué enrutadores está disponible, el origen puede determinarse, incluso con mayor precisión que analizando la distribución regional de los ISP.
Si el origen de la solicitud del usuario es, por ejemplo, generalmente Alemania, más específicamente entre Munich y Stuttgart, pero sin embargo, a veces también se encuentra en Sachsen o en la Alta Austria. Estos datos se utilizan para crear modelos adaptativos de comportamiento de usuario específicos en términos de característica asociados con los orígenes de las solicitudes. Si el usuario descrito anteriormente inicia sesión en el servidor de aplicaciones desde Bielorrusia, el comportamiento podría causar un valor total de puntuación de riesgo alto, ya que la desviación entre el modelo de usuario y la actividad actual del usuario es alta, al menos con respecto a esta característica.
El origen de la actividad del usuario también puede referirse a las direcciones IP de las solicitudes del usuario. Se puede determinar un modelo de comportamiento específico en términos de característica de estas direcciones IP, por ejemplo, recopilando todas las direcciones IP desde las que se reciben las solicitudes del usuario y asignando una probabilidad específica a cada dirección IP. Se puede calcular una distancia en el espacio IP entre la dirección IP de la solicitud actual y todas las demás direcciones IP desde las que se emiten
normalmente las solicitudes, por ejemplo, teniendo en cuenta la proximidad de dos direcciones diferentes en el espacio IP comparando las subredes a las que pertenecen. Se puede calcular un promedio ponderado de todas las distancias basadas en IP para reflejar la proximidad promedio de la dirección IP del usuario actual a todas las demás direcciones desde las que el usuario ha enviado solicitudes, por lo que las distancias anteriores se pueden ponderar según la frecuencia relativa de ocurrencia de cada dirección IP.
Las marcas de tiempo de las actividades del usuario son, por ejemplo, las marcas de tiempo asociadas con las solicitudes de usuario al utilizar una aplicación. Tal solicitud de usuario en cuestión es una solicitud dirigida a una aplicación que se ejecuta por el usuario en el servidor de aplicaciones. Ejemplos de una solicitud de usuario de este tipo son: una solicitud de inicio de sesión, una solicitud para conectarse a una determinada aplicación, una solicitud de reserva final, etc.
Por lo tanto, se puede deducir del modelo adaptativo de comportamiento específico en términos de característica asociado con esas marcas de tiempo, por ejemplo, si el usuario, por ejemplo, se conecta a ciertas aplicaciones en el servidor de aplicaciones en lugar de a primera hora de la tarde, tarde en la noche, los fines de semana o durante días laborables o similares.
Un modelo de comportamiento específico en términos de característica asociado con las marcas de tiempo de las acciones del usuario comprende un modelo de mezcla gaussiana de marcas de tiempo de la actividad del usuario.
Un modelo de mezcla gaussiana es un modelo probabilístico que supone que todos los puntos de datos (en este caso particular, las marcas de tiempo) se generan a partir de una mezcla de un número finito de distribuciones gaussianas con parámetros desconocidos. Tal modelo de mezcla gaussiana viene matemáticamente dado por la siguiente fórmula:
en donde ai es una probabilidad a priori de la i-ésima Distribución Gaussiana Gi(x, pi, ai), p¡ es el valor esperado de la i-ésima distribución gaussiana y ai es la desviación estándar de la i-ésima distribución gaussiana y P(x) es la probabilidad de una cierta marca de tiempo x.
Los valores esperados p¡ y las desviaciones estándar ai de las distribuciones gaussianas se adaptan a las marcas de tiempo de la actividad del usuario, por ejemplo, una solicitud de usuario, mediante la sesión por sesión de usuario como se ha descrito anteriormente y también los pesos descritos anteriormente de las distribuciones gaussianas con estas desviaciones estándar y valores esperados. De ese modo, el modelo de comportamiento de usuario específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario se adapta al comportamiento del usuario.
Además, por ejemplo, también las duraciones de una sesión de usuario son una característica modelada por un modelo adaptativo de comportamiento específico en términos de característica. Esto proporciona información de autenticidad del usuario cuando un usuario realiza, por ejemplo, una reserva de vuelo de cierta manera y, por lo tanto, necesita un cierto tiempo para realizar la tarea de reservar un vuelo. Naturalmente, el tiempo que necesita el usuario para realizar una transacción bancaria podría ser diferente al tiempo para realizar la tarea en la aplicación de reserva de vuelos. Por lo tanto, existe, por ejemplo, una cierta duración de sesión de usuario con respecto a una aplicación de reserva de vuelos y una duración de sesión de usuario con respecto a aplicaciones bancarias. Estas duraciones de sesión ejemplares, a continuación se reflejan, por ejemplo, mediante dos modelos adaptativos de comportamiento específico en términos de característica diferentes pertenecientes a diferentes aplicaciones sobre la base de los cuales se construyen diferentes valores de puntuación de riesgo específicos en términos de característica asociados con las duraciones de la sesión, uno específico, por ejemplo, específico para la aplicación de reserva, uno específico para la aplicación bancaria.
Un modelo de comportamiento específico en términos de característica que caracteriza la duración de las sesiones de usuario asigna la duración de las sesiones de usuario a al menos uno de (i) un promedio móvil, (ii) una mediana, (iii) una desviación estándar de la duración de la sesión de usuario, (iv) un cuantil de la duración de las sesiones de usuario.
Un promedio móvil viene dado por un promedio de, por ejemplo, las últimas 1000 duraciones de sesiones de usuario.
Una desviación estándar de un conjunto de datos se define en estadística como la raíz cuadrada de una varianza de un conjunto de datos o distribución de probabilidad, es decir, la diferencia cuadrada promediada entre (i) el valor esperado de una variable aleatoria, en este caso una sesión- duración, y (ii) el valor real de esa variable. Una mediana es el número que separa la mitad superior de una muestra de datos o distribución de probabilidad
de la mitad inferior de la muestra de datos o distribución de probabilidad. Si, por ejemplo, un conjunto de duraciones de sesión de usuario viene dado por {1,0, 2,0, 5,0, 6,0, 8,0, 12,0, 16,0} minutos, la mediana es 6,0 min, ya que es el punto de datos central del conjunto ordenado.
Un cuantil es un cierto valor de duración del usuario que divide una distribución de probabilidad en una sección a la izquierda de este valor y una sección a la derecha de este valor. Si, por ejemplo, se registra una distribución de probabilidad de las duraciones de sesión del usuario, se puede deducir de esta distribución que el 75% de las duraciones de sesiones de usuario están por debajo de un cierto valor, por ejemplo, 8 minutos. De esta forma si, por ejemplo, el 80% de las últimas diez duraciones de sesión ha estado por encima de este valor determinado, esto podría ser indicativo de un comportamiento fraudulento.
Al menos uno de (i) un promedio móvil, (ii) una desviación estándar, (iii) una mediana de duraciones de sesiones de usuario o una combinación de los mismos forman un modelo adaptativo de comportamiento simple específico en términos de característica, que se adapta teniendo en cuenta nuevas duraciones de sesión al calcular un nuevo promedio móvil, una desviación estándar o una mediana.
El cuantil se adapta, por ejemplo, teniendo en cuenta nuevos valores al calcular la distribución de probabilidad de las duraciones de sesión de usuario de, por ejemplo, las últimas 1000 duraciones de sesión.
La clase de información del cliente en términos de característica, por ejemplo, pertenece al hardware y software específico que utiliza el usuario cuando realiza acciones en la aplicación o aplicaciones en el servidor o servidores de aplicaciones. Este es, por ejemplo, el navegador de Internet utilizado (google-chrome ®, Microsoft Internet Explorer ®, etc.), o el tipo de ordenador utilizado (tableta, PC, teléfono inteligente, etc.) y el sistema operativo (android ®, iOS ®) utilizado.
La información del cliente también puede ser proporcionada por un así llamado agente de usuario, que son registros particulares que identifican en detalle el navegador de Internet utilizado por el usuario.
La información de la oficina y la información de la organización, por ejemplo, pertenece a una dirección IP estática utilizada por una determinada empresa, un valor hash asociado con las solicitudes de usuario que identifican las solicitudes para pertenecer a una determinada empresa u organización, o similares. De esta forma se puede identificar al usuario, por ejemplo, como empleado de una determinada organización/empresa, etc. analizando las solicitudes con respecto a estos identificadores.
La secuencia de acciones en términos de característica realizada por el usuario y la forma posible de modelar esta característica mediante una cadena de Markov se describen a continuación.
La secuencia de acciones es un conjunto de actividades ordenadas oportunamente que el usuario realiza cuando utiliza el servidor de aplicaciones. Una secuencia de acciones ejemplar viene dada por:
1. iniciar de sesión,
2. explorar diferentes opciones combinadas de vuelos y hoteles de cinco estrellas en Grecia,
3. elegir un hotel de cinco estrellas con piscina y servicio "todo incluido",
4. alquilar un pequeño coche urbano
5. pagar 1 a 5 minutos después de elegir por transacción bancaria anticipada, a través del banco "XY"
6. cerrar sesión en la aplicación de reservas
Ya que las secuencias de acciones al utilizar una aplicación indican hábitos del usuario, son adecuadas para fines de verificación del usuario. Por lo tanto, tales secuencias están modeladas por un modelo de comportamiento de usuario específico en términos de característica.
El modelo de comportamiento específico en términos de característica que caracteriza la relación entre las acciones individuales de la secuencia de acciones es un modelo de cadena de Markov.
Los modelos de cadena de Markov modelan un sistema aleatorio con una pluralidad de estados aquí: una acción realizada por el usuario, en la que cada uno de estos estados tiene una probabilidad de transición asociada a otro estado. El comportamiento de un usuario cuando, por ejemplo, reserva un vuelo o un hotel puede verse como un sistema aleatorio con una pluralidad de estados. En un modelo de Markov, que es un así llamado modelo "sin memoria", las probabilidades de transición de un estado a otro dependen solamente del estado actual, no de los estados anteriores.
La probabilidad de transición de una "operación A" anterior, por ejemplo, "explorar hoteles de cinco estrellas" a una "operación B" posterior, por ejemplo, "reservar un hotel de tres estrellas", viene dada, por ejemplo, por:
Pr(Xt = B I X ^ = A) = 0,01
La probabilidad total de la secuencia completa de seis acciones sucesivas, Xi a X6 realizadas por el usuario desde un tiempo t=1 hasta un tiempo t=6, estando cada marca de tiempo asociada a una determinada actividad del usuario, viene dada por:
En donde P(X1,... X6) es la probabilidad total de que se realicen las seis acciones sucesivas, X1 a X6, P(X1) es la probabilidad de que la acción X1 se realice, y P(Xt-1Xt) es la probabilidad de transición de una operación Xt-1 a una operación Xt.
Esas seis acciones etiquetadas como X1 a X6 podrían ser, por ejemplo, las seis acciones descritas anteriormente realizadas por el usuario al reservar una oferta combinada de hotel y vuelo.
No solamente se puede aplicar un método para crear un modelo de comportamiento de usuario específico en términos de característica, sino más bien diferentes modelos de comportamiento de usuario específicos en términos de característica relacionados con la misma característica, por ejemplo, una secuencia de acciones, se puede obtener analizando los mismos valores de característica por diferentes métodos de análisis.
Para proporcionar un ejemplo, una secuencia de acciones se puede asignar a un modelo de comportamiento de usuario específico en términos de característica realizado como un modelo de cadena de Markov o a un modelo basado en la similitud en donde las acciones se combinan con un vector en términos de característica y se calcula un centroide de una pluralidad de tales vectores en términos de característica.
En algunas realizaciones, los modelos de comportamiento de usuario específicos en términos de característica también son específicos de la aplicación. Como se ha mencionado anteriormente, el modelo de usuario puede tener partes específicas para diferentes aplicaciones, ya que ciertos patrones de comportamiento pueden variar para un usuario dependiendo de la aplicación. Estas partes específicas del modelo de usuario se realizan, por ejemplo, como modelos de comportamiento de usuario específicos en términos de característica que también son específicos de la aplicación. Por lo tanto, existe, por ejemplo, un modelo de comportamiento de usuario específico en términos de característica asociado con la duración de sesión en términos de característica ejemplar para la aplicación "X" y otro modelo de comportamiento de usuario específico en términos de característica para la aplicación "Y". por consiguiente, los diferentes modelos de comportamiento específicos en términos de característica, que están asociados con diferentes aplicaciones, se comparan con las características obtenidas de las actividades del usuario actuales realizadas por el usuario en diferentes aplicaciones para determinar los valores de puntuación de riesgo específicos en términos de característica asociados con estas diferentes aplicaciones. Tales valores de puntuación de riesgo específicos en términos de característica se explican con más detalle a continuación.
En algunas realizaciones, la determinación del valor total de puntuación de riesgo comprende la determinación de valores de puntuación de riesgo específicos en términos de característica basándose en una desviación entre una pluralidad de valores en términos de característica y los respectivos modelos de comportamiento de usuario específicos en términos de característica.
El proceso de verificación del usuario comprende la determinación de una pluralidad de valores de puntuación de riesgo específicos en términos de característica. Un valor de puntuación de riesgo específico en términos de característica es un valor que cuantifica el riesgo de que ciertos valores de características sean fraudulentos con respecto a la autenticidad del usuario. Existe, por ejemplo, un valor de puntuación de riesgo específico en términos de característica asociado con los tiempos de inicio de sesión (tiempos de conexión) de un usuario y otro valor de puntuación de riesgo específico en términos de característica asociado con la duración de la sesión o el origen de una solicitud.
La determinación de un valor de puntuación de riesgo específico en términos de característica de la pluralidad de valores de puntuación de riesgo específicos en términos de característica comprende la comparación del al menos un modelo adaptativo de comportamiento del usuario específico en términos de característica con una característica respectiva extraída de la actividad del usuario en una sesión de usuario en el servidor de aplicaciones.
Para proporcionar un ejemplo, cuando la secuencia de acciones es la característica en cuestión, se compara una secuencia de acciones actual realizada por el usuario con el modelo adaptativo de comportamiento de usuario específico en términos de característica asociado con esa característica. Esta comparación se logra, por ejemplo, calculando una distancia del vector de características construido por la secuencia de acciones actual descrita anteriormente a un centroide de un grupo de secuencias anteriores. Esta distancia puede, por ejemplo, servir
como el valor de puntuación de riesgo específico para la característica "secuencia de acciones".
El cálculo de los valores de puntuación de riesgo específico en términos de característica asociados con las marcas de tiempo en términos de característica se explica con más detalle para el caso de que se utilice un modelo de mezcla gaussiana como modelo de comportamiento específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario.
Calcular el valor de puntuación de riesgo específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario comprende evaluar un complemento de la probabilidad de la marca de tiempo extraída de las acciones del usuario, tomándose el complemento del modelo de mezcla gaussiana.
Cuando la probabilidad de una cierta marca de tiempo de una actividad del usuario, por ejemplo, una solicitud de conexión a una aplicación en el servidor de aplicaciones, es P(x), a continuación, el complemento de la probabilidad de la marca de tiempo es 1 - P(X). Por lo tanto, cuando la probabilidad de una determinada marca de tiempo es, por ejemplo, 0,05, normalizado de 0 a 1, el valor de puntuación de riesgo específico en términos de característica asociado a la marca de tiempo es 0,95. Alternativamente, se utiliza una función de puntuación exponencial, por ejemplo, Puntuación:
, en donde P corresponde a P(x) definida anteriormente. Al ajustar el parámetro a se pueden obtener diferentes modelos de puntuación.
El valor de puntuación de riesgo específico en términos de característica, asociado con la clase de la información de cliente de las características, se obtiene, por ejemplo, mediante una combinación de valores de puntuación de riesgo específicos en términos de característica asociados con características individuales de esta clase, tales como el navegador de Internet utilizado, el usuario agente, información del sistema operativo e información del tipo de equipo cliente. El valor de puntuación de riesgo específico en términos de característica asociado con la información del cliente es, de esta manera, más bien un valor de puntuación de riesgo específico en términos de característica combinado previamente, pero no un valor total de puntuación de riesgo.
En algunas realizaciones, el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones de usuario comprende el cálculo de la diferencia entre la duración de una sesión de usuario y al menos uno de (i) un promedio móvil, (ii) una mediana de duraciones de sesiones de usuario, y/o una comparación de la duración de una sesión de usuario con intervalos de confianza, dados por múltiplos de la desviación estándar.
Una diferencia entre una duración de una sesión momentánea, por ejemplo, el tiempo que ha pasado desde la hora de inicio de sesión del usuario, o la duración de la última sesión ya cerrada, y el promedio móvil de, por ejemplo, las últimas 100 duraciones de sesión sirven, por ejemplo, como el valor adaptativo de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones de usuario. Cuanto mayor sea, por ejemplo, el valor absoluto de esta diferencia, mayor será la probabilidad de fraude.
Lo mismo es cierto para el valor medio de las duraciones de las sesiones de usuario. También en este caso, la diferencia o el valor absoluto de la diferencia entre una duración de una sesión momentánea o la duración de la última sesión ya cerrada y la mediana de las últimas, por ejemplo, 100 duraciones de sesión, sirve, por ejemplo, como el valor adaptativo de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones de usuario.
También los intervalos de confianza, por ejemplo, dados por múltiplos de la desviación estándar de una desviación de probabilidad de las duraciones de sesión (1o, 2o, 3o), se puede utilizar al calcular el valor de puntuación de riesgo específico en términos de característica. La probabilidad de que una duración de sesión se encuentre dentro de un rango (intervalo de confianza) de g ± 1o, en donde g es el valor esperado y o es la desviación estándar, es de aproximadamente 68,27%, mientras que la probabilidad de que una duración de sesión se encuentre dentro de un intervalo de confianza de g ± 2o es 95.45%. Por lo tanto, como puede verse en estos números, la probabilidad de que una duración de sesión no se encuentre dentro de estos intervalos es del 31,73 % o del 4,55 %, respectivamente. Por lo tanto, el complemento de estas probabilidades se utiliza, por ejemplo, como el valor de puntuación de riesgo. De esta forma, un valor de duración de sesión que no se encuentre dentro del intervalo de confianza de g ± 2o es, por ejemplo, con una probabilidad de fraude del 95,45% y un valor de puntuación de riesgo correspondiente.
El cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la secuencia de acciones realizada por el usuario comprende la determinación de un complemento de la probabilidad de Markov de una secuencia dada de acciones extraídas de las acciones del usuario.
El complemento de la probabilidad de Markov, en este contexto, es la probabilidad de que un determinado
usuario no realice una "operación B" después de una "operación A". Si, por ejemplo, un usuario tiene la costumbre de pagar mediante transacción bancaria anticipada después de reservar un vuelo, esta transición de "reservar un vuelo" (operación A) a "pagar mediante transacción bancaria anticipada" (operación B) la probabilidad de Markov de esta secuencia (parcial) podría tener un valor de 0,95. El complemento de la probabilidad de Markov es 0,05, por lo tanto, el valor de puntuación de riesgo específico en términos de característica de esta secuencia de acciones corresponde a este complemento y, por lo tanto, es bastante bajo. Sin embargo, si se realiza otra transición con una probabilidad de transición bastante baja, el valor de puntuación de riesgo específico en términos de característica es bastante alto. Para dar un ejemplo, si un usuario no suele olvidar nunca su contraseña, un intento múltiple para iniciar sesión (debido a la entrada de contraseña incorrecta), correspondiente a una probabilidad de transición de una "operación A" a la misma "operación A ", se asocia, a continuación, con un alto complemento de la probabilidad de Markov y, por lo tanto, un alto valor de puntuación de riesgo específico en términos de característica.
Además, el complemento de Markov no solamente de una probabilidad de transición, sino también el complemento de la probabilidad de Markov de una secuencia de acciones particular, se utiliza, por ejemplo, como un valor de puntuación de riesgo específico en términos de característica. Cuando P(X1,... X6) es la probabilidad total de seis acciones sucesivas, el complemento de esta probabilidad viene dado por 1 -P(X1,...,Xb). Nuevamente, aquí los complementos altos corresponden a valores altos de puntuación de riesgo específicos en términos de características.
En algunas realizaciones, el valor total de puntuación de riesgo se determina mediante un motor adaptativo de puntuación de riesgo, en donde el motor adaptativo de puntuación de riesgo está programado para determinar los valores de puntuación de riesgo específicos en términos de característica y para combinar los valores de puntuación de riesgo específicos en términos de característica según su probabilidad relativa de fraude para obtener el valor total de puntuación de riesgo.
Al realizar el proceso de verificación del usuario, las instrucciones hacen que el procesador determine un valor total de puntuación de riesgo indicativo de la falta de autenticidad del usuario. Determinar el valor total de puntuación de riesgo comprende a) la ponderación y combinación la pluralidad de valores de puntuación de riesgo específicos de características, o b) la ponderación y combinación de valores de puntuación de riesgo combinados previamente. Los valores de puntuación de riesgo combinados previamente se determinan mediante la combinación de una parte de la pluralidad de valores de puntuación de riesgo específicos en términos de característica basándose en el análisis de decisión multicriterio (MCDA).
Cada valor de puntuación de riesgo, tomado por sí mismo, solamente es indicativo de la falta de autenticidad del usuario con respecto a una característica en particular. Sin embargo, en particular, un solo comportamiento que influye en una sola característica podría ser modificado por un usuario de vez en cuando. Para proporcionar un ejemplo, si alguien utiliza google-chrome® como navegador de Internet en lugar de Microsoft Internet Explorer®, durante un cierto período de tiempo, esto por sí solo podría no ser indicativo de un comportamiento fraudulento. Por lo tanto, la puntuación de riesgo real para el usuario que no es el usuario que pretende ser viene, más bien dada por la combinación de una pluralidad de valores individuales de puntuación de riesgo específicos en términos de característica.
Los valores individuales de puntuación de riesgo específicos en términos de característica pueden combinarse directamente con un valor total de puntuación de riesgo o algunos valores de puntuación de riesgo específicos en términos de característica, por ejemplo, pertenecientes a la misma clase de características, como las características relacionadas con la información del cliente, pueden estar combinadas previamente con un valor de puntuación de riesgo combinado previamente, por ejemplo, estar asociado a diferentes características relacionadas con la información del cliente de clase de característica. De esta manera, por ejemplo, el valor de puntuación de riesgo específico en términos de característica asociado con el navegador de Internet utilizado podría combinarse con el valor de puntuación de riesgo específico en términos de característica asociado con el sistema operativo utilizado, el sistema operativo del tipo de ordenador para obtener el valor de puntuación de riesgo combinado previamente asociado con la información del cliente.
Como no todas las características podrían desempeñar el mismo papel cuando se trata de protección contra fraudes, algunos patrones de comportamiento de un usuario podrían ser más fluctuantes que otros, es decir, es más probable que una determinada característica cambie que otra característica, cada valor de puntuación de riesgo específico en términos de característica podría no contribuir al valor total de puntuación de riesgo con el mismo peso.
Para proporcionar un ejemplo, un inicio de sesión real desde China, cuando el usuario ha iniciado sesión hace tres horas desde Francia, es más indicativo de un fraude que, por ejemplo, cuando el usuario envía una solicitud desde otro ordenador (dirección IP) o tipo de ordenador (ordenador de escritorio, ordenador portátil) que el que utiliza habitualmente pero aún desde el mismo país.
Por lo tanto, la combinación de los valores de puntuación de riesgo específicos en términos de característica, por ejemplo, comprende la ponderación de los valores de puntuación según su probabilidad relativa de fraude.
Los valores de puntuación de riesgo específicos en términos de característica se ponderan, por ejemplo, según su probabilidad relativa de fraude. Esta ponderación de los valores de puntuación de riesgo específicos en términos de característica y también el tipo de combinación elegida es, por ejemplo, definida por un analista de riesgos.
También el umbral con el que se compara el valor total de puntuación de riesgo se adapta, por ejemplo, al valor de determinados valores de puntuación de riesgo. De esta forma, si determinados valores de puntuación de riesgo específicos en términos de característica exceden un umbral individual, o se detectan ciertos patrones de comportamiento, ya sean aprendidos por un modelo de red neuronal o predefinidos, el umbral general se reducirá, de manera que la acción correctiva descrita anteriormente es emitida en todo caso.
Al combinar de manera adaptativa el peso de los valores de puntuación de riesgo específicos en términos de característica, también se pueden tener en cuenta las sinergias entre ciertos criterios, es decir, las puntuaciones de riesgo asociadas con ciertas características. Como en el ejemplo anterior, un valor alto de puntuación de riesgo asociado con la marca de tiempo podría ser alto solamente porque alguien está trabajando de noche; sin embargo, cuando también el valor de puntuación de riesgo asociado con el origen de la solicitud es alto, la ponderación de estos dos factores en la combinación que produce el valor total de puntuación de riesgo podría potenciarse, por ejemplo, multiplicando los por un cierto número cercano al umbral o similar.
Sin embargo, algunos otros valores de puntuación de riesgo específicos en términos de característica podrían ser redundantes, como por ejemplo, cuando el valor de puntuación de riesgo específico en términos de característica asociado con el ordenador cliente es alto, también el valor de puntuación de riesgo específico en términos de característica asociado con el navegador de Internet es alto, como cuando se utiliza otro ordenador cliente, como una tableta® Android®, es probable que también otro navegador de Internet preinstalado, tal como Google Chrome® se utilice en lugar de Microsoft Internet Explorer® lo que podría ser la preferencia normal del usuario en un ordenador con Windows.
Por lo tanto, en tales casos, la ponderación de ambos valores de puntuación de riesgo específicos en términos de característica podría disminuir en relación con su ponderación estándar en la combinación que produce el valor total de puntuación de riesgo.
También dicha regla podría ser elegida por un analista de riesgos o alternativamente podría ser encontrada automáticamente por el método de monitorización de la autenticidad del usuario, por ejemplo, ajustando iterativamente los factores de ponderación sobre la base de un modelo de red neuronal o similar.
Una forma sencilla de combinar los valores de puntuación de riesgo específicos en términos de característica es utilizar un promedio ponderado de los valores de puntuación de riesgo específicos en términos de característica. Un ejemplo de cómo determinar el valor total de la puntuación de riesgo de esa manera es el siguiente:
, en donde R es el valor total de la puntuación de riesgo, ri son N diferentes valores de puntuación de riesgo específicos en términos de característica, y pi son sus respectivos pesos.
Los valores de puntuación de riesgo específicos en términos de característica se combinan utilizando el análisis de decisión multicriterio (MCDA).
El análisis de decisión multicriterio comprende determinar al menos uno de un promedio ponderado ordenado ponderado y un promedio ponderado ordenado de estos valores.
Los promedios ponderados ordenados y los promedios ponderados ordenados ponderados son herramientas estadísticas de las técnicas MCDA para entornos inciertos o "difusos", es decir, entornos en los que la transición entre dos estados, por ejemplo, fraude o no fraude, es más bien confusa que definible con exactitud.
La obtención del valor total de puntuación de riesgo implica el uso de un promedio ponderado ordenado de los valores de puntuación de riesgo específicos en términos de característica. Los valores de puntuación de riesgo específicos en términos de característica son, de esta manera, ponderados por su orden.
Un promedio ponderado ordenado de valores de puntuación de riesgo específicos en términos de característica para obtener un valor de puntuación de riesgo total viene dado por:
R(r± ...rN) = WB
, en donde R es el valor total de puntuación de riesgo, W = (w1... wn) es un vector de pesos wi, y B = (b1...bN) es un vector de valores de puntuación de riesgo específicos en términos de característica bi, ordenados según su
magnitud comenzando con el mayor valor de puntuación de riesgo como elemento bi. Los pesos w¡ del vector W suman uno:
OWA se diferencia de un promedio ponderado clásico en que en el promedio ponderado clásico los pesos no están asociados con la posición de una entrada en particular en una secuencia ordenada de entradas, sino con su magnitud independientemente de la posición. Por el contrario, en OWA los pesos generalmente dependen de la posición de las entradas en una secuencia ordenada de entradas. Como resultado, OWA puede enfatizar, por ejemplo, los valores más grandes, más pequeños o de rango medio. Esto posibilita que un analista de riesgos incluya ciertas preferencias entre los valores de puntuación de riesgo específicos en términos de característica, tales como "la mayoría de" o "al menos" k criterios (fuera de N) para tener un valor alto significativo para que el valor total de la puntuación de riesgo también sea significativo.
Una secuencia ordenada de entradas (ordenadas según la magnitud decreciente) puede denominarse W y representa una lista, o "vector" de entradas. Como ejemplo, un analista de riesgos podría querer enfatizar dos o más valores altos significativos de puntuación de riesgo específicos en términos de característica. Por lo tanto, se selecciona el peso más alto en 2- posición en W. Cuando, por ejemplo, suponiendo Bi = [0.9, 0.0, 0.0, 0.8, 0.0] y Wi = [0, 1, 0, 0, 0], se obtendría un valor medio aritmético de 0,34 y un valor de 0,8 de Ow Aw correspondiente. Cuando, en otro ejemplo, se supone que B2 = [0.2,1.0,0.3,0.2,0.3] y W2 = [0, 1,0, 0, 0], se obtendría en su lugar un valor medio aritmético de 0,40 y un valor de OWAw correspondiente de 0,3. Es evidente que OWA puede marcar una diferencia clara entre estos dos vectores de valores de puntuación de riesgo específicos en términos de característica, mientras que la media aritmética no puede hacerlo.
Otra posibilidad de obtener el valor total de puntuación de riesgo es utilizar un promedio ponderado ordenado ponderado de los valores de puntuación de riesgo específicos en términos de característica. Los valores de puntuación de riesgo específicos en términos de característica se ponderan por orden e importancia. Esta característica de agregación combina las ventajas de ambos tipos de funciones de promedio al posibilitar que el analista de riesgos cuantifique la fiabilidad de los valores de puntuación de riesgo específicos en términos de característica con un vector P (como lo hace la media ponderada) y, al mismo tiempo, ponderar los valores en relación a su posición relativa con un segundo vector W (como el operador OWA).
A continuación, W y P son dos vectores de ponderación que suman 1 con el mismo significado que se ha utilizado anteriormente para OWA y la media ponderada, respectivamente. Un promedio ponderado ordenado ponderado de valores de puntuación de riesgo específicos en términos de característica para obtener un valor total de puntuación de riesgo viene dado por:
\R(ri ...rN) = UB
, en donde R es el valor total de puntuación de riesgo, U = (u1... un) es un vector de pesos u¡, y B = (b1... bN) es un vector de valores de puntuación de riesgo específicos en términos de característica bi, ordenado según su magnitud comenzando por el mayor valor de puntuación de riesgo como elemento b i. Los pesos u¡ de vectores U que suman de nuevo uno: 2^= iuí = Los pesos de U se obtienen a través de una función de interpolación monótona no decreciente G aplicada a subconjuntos combinatorios de vectores de ponderación P, por lo que la función de interpolación G se define a través de un conjunto de puntos ligados al vector de ponderación W. Esencialmente, el operador WOWA puede verse como una función OWA con los pesos u¡, que se obtienen combinando dos vectores de ponderación W (como se ha utilizado en OWA) y P (como se ha utilizado en la media ponderada) utilizando una función de generación G:
U = fuñe (W ,P)
Nuevamente, como ejemplo, un analista de riesgos podría querer enfatizar dos o más valores altos significativos de puntuación de riesgo específicos en términos de característica y al mismo tiempo quiere expresar la importancia relativamente mayor de las características #1 y #4. Por lo tanto, se selecciona el peso más alto en 2-posición en U. Si se supone que B1 = [0.9, 0.0, 0.0, 0.8, 0.0], W1 = [0, 1,0, 0, 0] y P1 = [0.4, 0.1,0.1, 0.3, 0,1], se obtendría un valor medio aritmético de 0,34, un valor medio ponderado de 0,60 y un valor de WOWAu.b correspondiente de 0,90. Cuando, por el contrario, B2 = [0.2,1.0,0.3,0.2,0.3], W2 = [0, 1, 0, 0, 0] y P2 = [0.4, 0.1, 0.1,0.3, 0,1], se obtendría en su lugar, un valor medio aritmético de 0,40, un valor medio ponderado de 0,30 y un valor de w Ow Au.b de 0,25. Queda claro que WOWA puede marcar una diferencia aún mayor entre estos dos vectores de valores de puntuación de riesgo específicos en términos de característica. Como ya se ha indicado junto con los ejemplos dados a conocer anteriormente, la media aritmética no proporciona una distinción clara entre los diferentes vectores para los ejemplos mostrados. Una media ponderada (WM) produce una mejor distinción que una media aritmética normal hasta cierto punto; WOWA proporciona una distinción aún más clara. En el ejemplo presentado, la diferencia en el valor medio ponderado es solamente 0,30, mientras que WOWA separa los dos casos en 0,65.
Sin embargo, también se aplican otras técnicas de combinación en el campo de las técnicas MCDA, tales como integrales difusas, por ejemplo, para obtener el valor total de puntuación de riesgo. Las integrales difusas, como las integrales de Choquet, son adecuadas para incluir interacciones positivas (sinergias) e interacciones negativas (redundancias) entre ciertos subconjuntos de valores de puntuación de riesgo específicos en términos de característica en la combinación de valores de puntuación de riesgo específicos en términos de característica. Las integrales difusas se definen con respecto a las llamadas medidas (o capacidades) difusas, que son establecer funciones utilizadas para definir, en cierto sentido, la importancia de cualquier subconjunto perteneciente al conjunto de potencia de N (el conjunto de características). Las integrales difusas pueden verse como una generalización de todas las funciones de promedio descritas anteriormente.
Como se ha descrito anteriormente, el valor total de puntuación de riesgo se determina mediante un motor adaptativo de puntuación de riesgo en el servidor de aplicaciones que aplica la técnica MCDA en el valor de puntuación de riesgo específico en términos de característica, después de haber determinado estos valores de puntuación de riesgo específicos en términos de característica.
En algunas realizaciones, el motor adaptativo de puntuación de riesgo se adapta en el servidor de modelo de usuario adaptando el análisis de decisión multicriterio (MCDA). Como se ha descrito anteriormente, el motor adaptativo de puntuación de riesgo se adapta, por ejemplo, adaptando los pesos de los valores de puntuación de riesgo específicos en términos de característica cuando se combinan con el valor total de puntuación de riesgo mediante una técnica MCDA, por ejemplo, cambiando el vector de peso mencionado anteriormente
En algunas realizaciones, el motor adaptativo de puntuación de riesgo se replica desde el servidor de modelo de usuario al servidor de aplicaciones después de adaptarse y el valor total de puntuación de riesgo específico se determina mediante el motor adaptativo de puntuación de riesgo en el servidor de aplicaciones, sobre la base del modelo de usuario recibido del servidor de modelo de usuario.
Las características que han sido, por ejemplo, extraídas de un archivo de registro con el fin de adaptar el modelo de usuario en el servidor de modelo de usuario también pueden utilizarse para adaptar el motor adaptativo de puntuación de riesgo en el servidor de modelo de usuario.
Como se ha mencionado anteriormente, algunos valores de puntuación de riesgo específicos en términos de característica pueden ser redundantes para la determinación del valor total de puntuación de riesgo, ya que las características subyacentes podrían tener la misma causa raíz. Cuando se determina al adaptar el modelo de comportamiento de usuario que, por ejemplo, tales dos características redundantes, por ejemplo, ordenador cliente y el sistema operativo han cambiado, esta información podría utilizarse para reducir el peso relativo de los dos valores de puntuación de riesgo específicos en términos de característica asociados con estas características redundantes, ya que deberían contribuir menos al valor total de puntuación de riesgo cuando ambas características han cambiado en relación con los modelos de usuario anteriores que si solamente ha cambiado uno.
El motor adaptativo de puntuación de riesgo se replica en el servidor de aplicaciones después de haber sido adaptado en el servidor del modelo de usuario. Esta replicación puede tener lugar copiando la versión adaptada del motor de puntuación de riesgo del servidor de modelo de usuario al servidor de aplicaciones como un todo o copiando solamente un delta entre la versión adaptada del motor de puntuación de riesgo y la versión no adaptada del motor de puntuación de riesgo.
La adaptación y replicación del motor adaptativo de puntuación de riesgo descritas anteriormente garantiza que siempre se utilice el motor adaptativo de puntuación de riesgo más actualizado para comparar las actividades actuales del usuario con el modelo de usuario más actualizado para obtener los valores de puntuación de riesgo específicos en términos de característica. Estos valores de puntuación de riesgo específicos en términos de característica, a continuación, se combinan mediante el motor adaptativo de puntuación de riesgo para obtener el valor total de puntuación de riesgo. A partir de entonces, el valor total de puntuación de riesgo se compara con el umbral o umbrales dados almacenados en la memoria caché de reglas en el servidor de aplicaciones. Dependiendo del resultado de esta comparación, se desencadena o no un determinado tipo de acción correctiva asociada con el caso de que el valor total de la puntuación de riesgo sea mayor que el umbral determinado asociado con el tipo de acción correctiva.
En algunas realizaciones, el acceso del usuario al servidor de aplicaciones está controlado por un servidor de inicio de sesión y seguridad al comienzo de una sesión de usuario y el valor total de puntuación de riesgo se compara con el umbral dado en el servidor de aplicaciones, en donde la acción correctiva es ejecutada por un control de acceso durante la sesión del usuario, en donde el control de acceso está compuesto por el servidor de aplicaciones.
El acceso del usuario al servidor de aplicaciones está, por ejemplo, controlado por el servidor de inicio de sesión y seguridad mediante un control de acceso basado en funciones. El control de acceso basado en funciones comprende comprobar un nombre de usuario del usuario frente a una lista de control de acceso que comprende diferentes niveles de seguridad o derechos de acceso para diferentes usuarios. Cuando el nivel de seguridad o
derecho de acceso del usuario es suficiente y el usuario, por ejemplo, ingresa la contraseña correcta asociada con este nombre de usuario, el usuario inicia sesión en la aplicación.
Cuando el motor adaptativo de puntuación de riesgo ha determinado un valor total de puntuación de riesgo en el servidor de aplicaciones, este valor total de puntuación de riesgo se compara con el umbral o umbrales dados, por ejemplo, almacenados en la memoria caché de reglas en el servidor de aplicaciones. Si el valor total de puntuación de riesgo es, por ejemplo, superior al primer umbral, se puede solicitar al usuario una acción correctiva, tal como una solicitud de autenticación de dos factores. Un control de acceso, ubicado en el servidor de aplicaciones, es, por ejemplo, informado sobre la violación del umbral del valor total de puntuación de riesgo, por medio de la memoria caché de reglas. La memoria caché de reglas, por ejemplo, envía la solicitud de autenticación de dos factores al servidor de inicio de sesión y seguridad. La autenticación de dos factores la lleva a cabo, por ejemplo, el servidor de inicio de sesión y seguridad, que interactúa con el usuario.
Según un segundo aspecto, se proporciona un sistema de servidor distribuido, comprendiendo el sistema de servidor distribuido al menos un servidor de aplicaciones y al menos un servidor de modelo de usuario. Los servidores comprenden al menos un procesador y al menos una memoria no volátil que comprende al menos un programa informático con instrucciones ejecutables almacenadas en él para un método de monitorización de la autenticidad del usuario durante las actividades del usuario en una sesión de usuario en el al menos un servidor de aplicaciones. El método se lleva a cabo de manera distribuida por medio del sistema de servidor distribuido. Las instrucciones ejecutables, cuando son ejecutadas por al menos un procesador de los servidores, hacen que al menos un procesador realice un proceso de modelado de usuarios en el que un modelo de usuario existente se adapta sesión por sesión a las actividades del usuario.
Realizar un proceso de verificación de usuario que comprenda
- la comparación del modelo de usuario con características extraídas de la actividad del usuario en la sesión del usuario en el servidor de aplicaciones,
- la determinación de un valor total de puntuación de riesgo sobre la base de la comparación,
- en respuesta al valor total de puntuación de riesgo que excede un umbral dado, se realiza una acción correctiva, en la que la acción correctiva comprende al menos uno de entre (i) un cierre de sesión del usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario, y (iv) un inicio de una función de alerta.
El proceso de modelado de usuario que se realiza en un servidor de modelo de usuario, en donde el modelo de usuario se adapta a los datos de actividad del usuario recibidos del servidor de aplicaciones y el proceso de verificación de usuario se realiza en al menos un servidor de aplicaciones, en donde el proceso de verificación de usuario se realiza sobre la base del modelo de usuario adaptado en el servidor de modelo de usuario.
En algunas realizaciones, las instrucciones ejecutables, cuando son ejecutadas por los procesadores de los servidores, provocan además que los procesadores lleven a cabo cualquiera de las actividades descritas anteriormente.
Breve descripción de los dibujos
A continuación, se describen realizaciones ejemplares de la invención, también con referencia a los dibujos adjuntos, en donde
La fig. 1 es una descripción general esquemática de un sistema de servidor distribuido ejemplar que lleva a cabo un método ejemplar de monitorización de la autenticidad del usuario,
La fig. 2 ilustra esquemáticamente una extracción de características de un archivo de registro específico de la aplicación,
La fig. 3a es un diagrama de bloques esquemático de un método ejemplar para monitorizar la autenticidad del usuario con un único valor de puntuación de riesgo específico en términos de característica para cada característica y una combinación de una sola operación de los valores de puntuación de riesgo específicos en términos de característica utilizando técnicas MCDA,
La fig. 3b es un diagrama de bloques esquemático de un método ejemplar para monitorizar la autenticidad del usuario con un único valor de puntuación de riesgo específico en términos de característica para cada característica y una combinación de dos operaciones de los valores de puntuación de riesgo específicos en términos de característica utilizando una técnica MCDA,
La fig. 3c es un diagrama de bloques esquemático del método ejemplar de monitorización de la autenticidad del usuario con dos valores de puntuación de riesgo específicos en términos de característica que resultan de dos modelos de usuario diferentes para cada característica y una combinación de dos operaciones de valores de
puntuación de riesgo específicos en términos de característica utilizando una técnica MCDA,
La fig. 4 ilustra la combinación de valores de puntuación de riesgo específicos en términos de característica utilizando un promedio ponderado ordenado ponderado o un promedio ponderado ordenado,
La fig. 5 ilustra un modelo de mezcla gaussiana de una distribución de probabilidad de marcas de tiempo de las actividades del usuario,
La fig. 6 ilustra esquemáticamente un modelo de cadena de Markov de una secuencia de acciones realizadas por el usuario,
La fig. 7 es un diagrama de flujo esquemático de un método ejemplar para monitorizar la autenticidad del usuario,
La fig. 8 es un perfil de riesgo que ilustra una pluralidad de valores de puntuación de riesgo específicos en términos de característica y una probabilidad de fraude,
La fig. 9 ilustra un sistema informático ejemplar utilizado para llevar a cabo el método descrito en la presente memoria.
Los dibujos y la descripción de los dibujos son ejemplos de la invención y no de la invención en sí. Signos de referencia similares se refieren a elementos similares a lo largo de la siguiente descripción de realizaciones.
Descripción de las realizaciones
En la fig. 1 se ilustra una descripción general esquemática de un sistema 5 de servidor distribuido ejemplar que está dispuesto para realizar un método ejemplar de monitorización de la autenticidad del usuario. Los servidores 1, 1', 1", 2, 3 y 4 cada uno comprende uno o más procesadores y memoria no volátil que contiene uno o más programas informáticos con instrucciones ejecutables almacenadas en ellos para un método de monitorización de autenticidad del usuario durante las actividades del usuario en una sesión de usuario en al menos un servidor de aplicaciones 1, 1', 1". La línea punteada vertical ilustra una separación física, es decir, espacial, del servidor 1 de aplicaciones de los otros servidores 2, 3 y 4. Las instrucciones ejecutables, cuando son ejecutadas por el procesador o procesadores de cualquiera de los servidores 1, 2, 3 o 4 hacen que los procesadores de los servidores 1, 2, 3, 4 realicen el método ejemplar descrito a continuación:
Un daemon (no mostrado), que se ejecuta en al menos un servidor 1, 1', 1" de aplicaciones, envía datos 60 de registro de aplicación a un motor 22 de aprendizaje, que se ejecuta en un servidor 2 de modelo de usuario. Los datos 60 de registro de aplicación comprenden información sobre las actividades que el usuario realiza en la aplicación o aplicaciones que son dadas por el código 11 de aplicación.
El método descrito se puede realizar para una pluralidad de diferentes aplicaciones 11 que se ejecutan en un único servidor 1 de aplicaciones o para una pluralidad de diferentes aplicaciones 11, cada una de las cuales se ejecuta en un servidor diferente 1, 1', 1" o una combinación de los mismos. Para simplificar, el método se describe en esta descripción de realizaciones para un servidor 1 de aplicaciones y las actividades que realiza un usuario en una aplicación 11 que se ejecuta en este servidor 1 de aplicaciones.
El servidor 2 de modelo de usuario está conectado al servidor 1 de aplicaciones mediante una red, tal como Internet, una red de área local (LAN) o una red de área metropolitana (MAN), una red de área amplia (WAN) o similar. El motor 22 de aprendizaje comprende un módulo 23 de extracción en términos de característica y un módulo 24 de modelado de comportamiento. El módulo 23 de extracción en términos de característica analiza los datos 60 de registro de la aplicación utilizando varias técnicas automáticas de análisis de registros, con el fin de extraer características relevantes para adaptar un modelo 25 de usuario existente, que reside en el servidor 2 de modelo de usuario. Las características extraídas comprenden, por ejemplo, una secuencia de acciones realizadas por el usuario, información 81 de usuario, tal como información de oficina u organización, información 82 de tiempo en forma de tiempos de conexión, es decir, la marca de tiempo de la solicitud de conexión del usuario, las duraciones 83 de sesión, la información 84 del cliente y los orígenes de las solicitudes 85 de usuario.
Las características extraídas se transmiten al módulo 24 de modelado de comportamiento que adapta el modelo 25 de usuario existente según las características extraídas. El modelo 25 de usuario existente se adapta mediante la adaptación de modelos 26 de comportamiento de usuario específicos en términos de característica asociados con las características extraídas, como se muestra en las figs. 3a y 3b. Los modelos 26 de comportamiento de usuario específicos en términos de característica se utilizan además como entrada para un motor 21 de puntuación de riesgo, que también reside en el servidor 2 de modelo de usuario. El motor 21 de puntuación de riesgo se adapta a los modelos 26 de comportamiento de usuario específicos en términos de característica adaptando, por ejemplo, un peso de los valores 70 de puntuación de riesgo específicos en términos de característica en una técnica de análisis de decisión multicriterio (MCDA) para combinar los valores 70 de puntuación de riesgo específicos en términos de característica en un solo valor 71 total de puntuación de riesgo. Los valores 70 de puntuación de riesgo específicos en términos de característica se pueden obtener
sobre la base de los modelos 26 de comportamiento de usuario específicos en términos de característica.
Tanto el modelo 25 de usuario (adaptado) como el motor 21 de puntuación de riesgo (adaptado) se replican en el lado de la aplicación, es decir, se copian desde el servidor 2 de modelo de usuario al servidor 1 de aplicaciones a través de la red. En el lado de la aplicación, es decir, el lado derecho de la línea punteada vertical en la Fig. 1, la última actividad del usuario se registra en un diario. El motor 17 replicado de puntuación de riesgo compara las características extraídas de este diario con el modelo 16 de usuario replicado, más precisamente, con los modelos 26 de comportamiento de usuario específicos en términos de característica comprendidos por el modelo 16 de usuario replicado. De esta manera, el motor 17 replicado de puntuación de riesgo obtiene valores 70 de puntuación de riesgo específicos en términos de característica y los combina según el peso de estos valores 70 en un valor 71 total de puntuación de riesgo.
El valor 71 total de puntuación de riesgo se compara con un umbral dado mediante una aplicación 14 de control de acceso que está conectada a la aplicación mediante una interfaz 15 de aplicación de control de acceso. El umbral dado se define en una memoria caché 12 de reglas, replicado desde una memoria caché 42 de reglas, construido originalmente en un servidor 4 de reglas. Cuando el valor 71 total de puntuación de riesgo excede el umbral dado de la memoria caché 12 de reglas, la aplicación 14 de control de acceso desencadena una acción 72 correctiva que está predefinida en la memoria caché 12 de reglas. La acción 72 correctiva depende del valor real del valor 71 total de puntuación de riesgo, y por lo tanto, del umbral excedido. La acción 72 correctiva desencadenada es, por ejemplo, llevada a cabo por un módulo 34 de acción correctiva en un servidor 3 de inicio de sesión y seguridad. La acción 72 correctiva es una de entre (i) un cierre de sesión de usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario, y (iv) un inicio de una función de alerta. A modo de ejemplo, hay tres umbrales, cada uno de los cuales corresponde a una acción 72 correctiva diferente. Si el valor 71 total de puntuación de riesgo está por encima de un primer umbral, se solicita al usuario una autenticación de dos factores, si el valor 71 total de puntuación de riesgo está por encima de un segundo umbral, se cierra la sesión de usuario, mientras que cuando el valor 71 total de puntuación de riesgo está por encima de un tercer umbral, se bloquea el usuario.
Sin embargo, la acción 72 correctiva también puede ser desencadenada por la aplicación 14 de control de acceso, cuando se detecta un determinado patrón de característica en las actividades del usuario que corresponde a un patrón de característica predefinido almacenado en la memoria caché 12 de reglas. Por lo tanto, algunas acciones del usuario causan una determinada acción 72 correctiva, independientemente del valor 71 total de puntuación de riesgo. Los patrones de característica predefinidos son, por ejemplo, definidos por un técnico de análisis de riesgos en el servidor 4 de reglas y exportados a la memoria caché 12 de reglas en el servidor 1 de aplicaciones después de la definición del patrón de característica.
Si el valor 71 total de puntuación de riesgo está por debajo de los umbrales dados, no se aplica ninguna acción 72 correctiva y se transmiten nuevos datos 60 de registro, que comprenden actividades registradas del usuario durante la sesión de usuario, al motor 22 de aprendizaje al final de la sesión, es decir, cuando el usuario ha cerrado sesión en la aplicación. El modelo 25 de usuario se adapta de nuevo a las características extraídas de los datos 60 de registro como se ha descrito anteriormente. De esta forma, se verifica la autenticidad del usuario y el modelo 25 de usuario, así como el motor 21 de puntuación de riesgo se adaptan a las actividades del usuario en una sesión de usuario sesión por sesión.
En la fig. 2 se ilustra una extracción de característica esquemática de un archivo 60 de registro específico de la aplicación. Las características se extraen de los datos 60' de registro de una aplicación, en la que se registran las actividades del usuario durante la sesión de usuario. Las características extraídas comprenden, por ejemplo, las actividades 80 realizadas por el usuario, tal como una secuencia de acciones realizadas por el usuario. Otro ejemplo de una característica extraída es la información 81 de usuario, tal como información de oficina/organización, información 82 de tiempo en forma de tiempos de conexión, es decir, la marca de tiempo de la solicitud de conexión del usuario. Además, las duraciones 83 de sesión, por lo tanto, el tiempo que pasa entre el inicio de sesión del usuario y el cierre de sesión del usuario, se pueden extraer del archivo 60 de registro como una característica. Ejemplos de características adicionales son la información 84 de cliente, tal como el tipo de navegador de Internet utilizado, el tipo de ordenador utilizado o el sistema operativo utilizado, etc. y el origen de las solicitudes 85 de usuario, por ejemplo, dado por las direcciones IP de las solicitudes o la región a la que se puede asociar una dirección IP.
Las características se extraen de los datos 60' de registro, por ejemplo, analizando un archivo 60 de registro mediante varios algoritmos de análisis y reconstruyendo la sesión del usuario secuenciando la información recopilada por los algoritmos de análisis, de manera que la información analizada refleje las actividades sucesivas realizadas por el usuario al utilizar la aplicación. La secuenciación puede basarse en marcas de tiempo o en condiciones lógicas que vinculan las acciones. Ya que un usuario solamente puede pagar cuando ya ha sido redirigido a una aplicación bancaria, esto proporciona un ejemplo de tal condición lógica. La reconstrucción de la sesión de usuario se denominará en lo sucesivo como seguimiento 61 de la sesión de usuario (no se muestra en la fig. 2).
En la Fig. 3a se muestra un diagrama de bloques esquemático de un método ejemplar para monitorizar la autenticidad del usuario con un único valor de puntuación de riesgo para cada característica y una combinación de una sola operación de valores 70 de puntuación de riesgo específicos en términos de característica utilizando técnicas MCDA.
En una primera actividad, el registro o registros 60 de aplicación obtenidos de una o más aplicaciones en el servidor 1 de aplicaciones se utilizan para reconstruir una sesión o sesiones de usuario mediante el seguimiento 61 de sesión de usuario, como se ha descrito anteriormente. En el método ejemplar ilustrado en la Fig. 3a, se extraen tres características diferentes:
1. el origen 85 de la actividad del usuario, por ejemplo, la dirección IP de una solicitud HTTP;
2. la información 82 de tiempo, es decir, marcas de tiempo de conexión del usuario;
3. la duración 83, es decir, la duración de la sesión de usuario.
Según el valor de estas tres características extraídas ejemplares, se adaptan los modelos 26 de comportamiento de usuario específicos en términos de característica asociados con estas características. El origen de la actividad del usuario puede modelarse asociando probabilidades a regiones geográficas, por ejemplo, países, distritos o similares, según la frecuencia con la que el usuario realiza una actividad que se origina en estas regiones, por ejemplo, cuando el usuario envía una solicitud desde una ciudad en particular. Las marcas de tiempo de conexión del usuario pueden modelarse mediante una función de distribución, por ejemplo, mediante un modelo de mezcla gaussiana de estas marcas de tiempo, como se muestra en la fig. 5. Las duraciones de sesión esperadas se modelan, por ejemplo, mediante la asignación de duraciones de sesión calculadas a los valores medios de las duraciones de sesión, derivando un cuantil superior de las duraciones de sesión después de encontrar una distribución de probabilidad de las duraciones de sesión, etc.
Estos modelos 26 de comportamiento de usuario específicos en términos de característica se adapta a los valores en términos de característica recién adquiridos (los valores en términos de característica extraídos de los datos 60' de registro) modificando los conjuntos de datos existentes y derivando nuevas distribuciones sobre la base de los nuevos conjuntos de datos. El resultado son tres modelos 26 adaptados de comportamiento de usuario específicos en términos de característica, en la fig. 3a indicados por los recuadros "UBM 1", "UBM 2" y "UBM 3".
Estos modelos 26 de comportamiento de usuario específicos en términos de característica se utilizan como entrada para el motor 21 de puntuación de riesgo, que se muestra en la fig. 1. El motor 21 de puntuación de riesgo, compara las actividades actuales realizadas por el usuario en una sesión de usuario con los modelos 26 de comportamiento de usuario específicos en términos de característica. Mediante esta comparación, se genera un número que indica una probabilidad de que la actividad actual del usuario no la realice realmente el usuario al que pertenece el modelo 25 de usuario y, por tanto, la probabilidad de fraude. Estos números son valores 70 de puntuación de riesgo específicos en términos de característica; uno para las marcas de tiempo de conexión (información 82 de tiempo), uno para el origen de las actividades (orígenes 85) y otro para la duración de las sesiones de usuario (duración 83). Estos números normalmente se normalizan entre 0 y 1.
Estos valores 70 de puntuación de riesgo específicos en términos de característica se combinan en 67 mediante una técnica MCDA para obtener un valor 71 total de puntuación de riesgo. Por ejemplo, se utiliza un promedio ponderado ordenado ponderado (WOWA), en donde el valor 70 de puntuación de riesgo específico en términos de característica asociado con los orígenes de las actividades del usuario y el valor 70 de puntuación de riesgo específico en términos de característica asociado con las marcas de tiempo de conexión se ponderan dos veces más alto que el valor 70 de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones.
Se muestra un diagrama de bloques esquemático de un método ejemplar para monitorizar la autenticidad del usuario con un único valor 70 de puntuación de riesgo específico en términos de característica para cada característica y una combinación de dos operaciones de los valores 70 de puntuación de riesgo específicos en términos de característica utilizando una técnica MCDA en la fig. 3b. Como se describe junto con la fig. 3a, los modelos 26 de comportamiento de usuario específicos en términos de característica se modelan a partir de las características extraídas.
Como lo indican las flechas conectadas por una barra común que conduce a una pluralidad de valores 70 de puntuación de riesgo específicos en términos de característica, cada valor 70 de puntuación de riesgo específico en términos de característica asociado con un modelo 26 de comportamiento de usuario específico en términos de característica es calculado por el motor 17 de puntuación de riesgo. En el método ejemplar ilustrado por la fig.
3b, los valores 70 de puntuación de riesgo específicos en términos de característica se combinan previamente con valores 70' de puntuación de riesgo, es decir, subgrupos de valores 70 de puntuación de riesgo específicos en términos de característica relacionados funcionalmente. Para proporcionar un ejemplo, un valor 70 de puntuación de riesgo específico en términos de característica asociado con información específica de cliente, tal
como el sistema operativo utilizado y un valor 70 de puntuación de riesgo específico en términos de característica asociado con el navegador web utilizado y el tipo de ordenador utilizado (tableta, ordenador personal etc.) se combinan previamente mediante un promedio ponderado ordenado a un valor 70’ de puntuación de riesgo combinado previamente asociado con la información de cliente (información 84 de cliente), como se muestra en la fig. 4. Además, por ejemplo, el valor 70’ de puntuación de riesgo específico en términos de característica asociado con los orígenes de la actividad del usuario (orígenes 85) y el valor 70 de puntuación de riesgo específico en términos de característica asociado con el identificador de oficina u organización se combinan previamente con un valor 70’ de puntuación de riesgo combinado previamente, asociado con el origen y la oficina, utilizando una integral de Choquet. Un tercer valor 70’ de puntuación de riesgo combinado previamente, asociado con los tiempos de conexión específicos de usuario y las duraciones de sesión, se obtiene calculando un promedio ponderado del valor o valores 70 de puntuación de riesgo específicos en términos de característica asociados con los tiempos de conexión y el valor 70 de puntuación de riesgo específico en términos de característica asociado con la duración de sesión.
Estos tres valores 70’ ejemplares de puntuación de riesgo combinados previamente se combinan en 68 en un valor 71 total de puntuación de riesgo mediante una técnica MCDA, tal como un promedio ponderado ordenado ponderado.
Se ilustra en la fig. 3c un diagrama de bloques esquemático de un método ejemplar para monitorizar la autenticidad del usuario con dos valores 70 de puntuación de riesgo específicos en términos de característica que resultan de dos modelos 26 diferentes de comportamiento del usuario específicos en términos de característica para cada característica y una combinación de dos operaciones de los valores 70 de puntuación de riesgo específicos en términos de característica que utilizan una técnica MCDA.
En el método ejemplar que se muestra en la fig. 3c, los valores 70 de puntuación de riesgo específicos en términos de característica se obtienen aplicando diferentes métodos estadísticos y/o modelos de evaluación (en el contexto de la fig. 3c también denominados modelos 26 de comportamiento de usuario específicos en términos de característica) a ciertas características extraídas. Por ejemplo, se calcula un valor 70 de puntuación de riesgo específico en términos de característica, calculando la diferencia entre una duración de sesión actual (extraída) con un valor medio de las últimas 100 duraciones de sesión, mientras que otro valor 70 de puntuación de riesgo específico en términos de característica se obtiene comparando la duración de sesión extraída con una duración media, por ejemplo, calculando la diferencia entre la duración de sesión actual y la mediana y la dirección de la desviación de la mediana (a valores más altos o a valores más bajos). Estos dos valores 70 de puntuación de riesgo específicos en términos de característica para la duración de sesión se combinan previamente con un valor 70' de puntuación de riesgo combinado previamente asociado con la duración de sesión (comparar con la duración 83 en términos de característica). Además, por ejemplo, las secuencias de acciones se asignan mediante dos modelos 26 diferentes de comportamiento de usuario específicos en términos de característica a dos valores 70 diferentes de puntuación de riesgo específicos en términos de característica asociados con los mismos.
Se podría obtener un valor 70 de puntuación de riesgo específico en términos de característica tomando el complemento de una probabilidad de Markov de la secuencia de acciones, mientras que otro valor 70 de puntuación de riesgo específico en términos de característica podría obtenerse mediante una técnica basada en la similitud, por ejemplo, calculando la diferencia entre un vector de característica que contiene las acciones sucesivas actualmente extraídas a un centroide de vectores de característica anteriores de acciones sucesivas. Estos dos valores 70 de puntuación de riesgo específicos en términos de característica asociados con la secuencia de acciones están combinados previamente, por ejemplo, por una integral de Choquet, a un valor 70’ de puntuación de riesgo combinado previamente. Además, por ejemplo, los orígenes de las actividades del usuario se asignan a dos valores 70 de puntuación de riesgo específicos en términos de característica, que se obtienen utilizando dos técnicas de modelado diferentes. Un modelo, que representa un centroide de los últimos 100 orígenes de las solicitudes de usuario (aquí denominado modelo 26 de comportamiento del usuario específico en términos de característica), se utiliza, por ejemplo, para calcular las diferencias entre un origen actual (extraído) de la actividad del usuario y un centroide de los últimos 100 orígenes de las solicitudes de usuario (que representan las actividades de los usuarios) y lo asigna a un valor 70 de puntuación de riesgo específico en términos de característica. Otro modelo, por ejemplo, compara el origen actual (extraído) con una distribución estadística de los orígenes de las actividades de los usuarios y obtiene el valor 70 de puntuación de riesgo específico en términos de característica como el complemento de la probabilidad del origen actual según la distribución estadística. Estos dos valores 70 de puntuación de riesgo específicos en términos de característica se combinan previamente, por ejemplo, con un valor 70’ de puntuación de riesgo combinado previamente mediante un promedio ponderado.
Los valores 70’ de puntuación de riesgo combinados previamente, a continuación, se combinan en 68 para obtener un valor 71 total de puntuación de riesgo. Los valores 70’ individuales de puntuación de riesgo combinados previamente también pueden ponderarse antes de la combinación en 68.
En la fig. 4 se ilustra una combinación ejemplar de valores 70 de puntuación de riesgo específicos en términos de
característica y/o valores 70’ de puntuación de riesgo combinados previamente con un valor 71 total de puntuación de riesgo.
Se determina un valor 70 de puntuación de riesgo específico en términos de característica, asociado con una secuencia de acciones (actividad 80). También se determina un valor 70’ de puntuación de riesgo combinado previamente asociado con la información 81 de usuario (ID de oficina, identificador de organización, etc.) mediante un promedio ordenado ponderado de los valores 70 de puntuación de riesgo específicos en términos de característica asociados con la ID de oficina, el identificador de organización y el país. Además, se determina un valor 70 de puntuación de riesgo específico en términos de característica asociado con la información 82 de tiempo, en este ejemplo se determinan los tiempos de conexión, así como un valor 70 de puntuación de riesgo específico en términos de característica asociado con la duración 83, en este ejemplo la duración de sesiones. Se determina otro promedio ponderado ordenado de valores 70 de puntuación de riesgo específicos en términos de característica asociados con el sistema operativo del cliente y el navegador del cliente. Este promedio ponderado ordenado es un valor 70 de puntuación de riesgo combinado previamente asociado con la información 84 de cliente. También se determina otro valor 70 de puntuación de riesgo específico en términos de característica asociado con los orígenes de las actividades del usuario (orígenes 85).
Los valores 70 de puntuación de riesgo específicos en términos de característica mencionados anteriormente y los valores 70' de puntuación de riesgo combinados previamente se combinan en un valor 71 total de puntuación de riesgo mediante un promedio ponderado ordenado ponderado de estos valores. La posición de los valores 70 de puntuación de riesgo específicos en términos de característica y los valores 70’ de puntuación de riesgo combinados previamente en este promedio ponderado ordenado ponderado se indica mediante letras debajo de las flechas que conducen al promedio ponderado ordenado ponderado. Por lo tanto, el valor 70 de puntuación de riesgo específico en términos de característica asociado con la actividad 80 con la etiqueta "a" es el primer sumando en el promedio ponderado ordenado ponderado y el valor 70’ de puntuación de riesgo combinado previamente asociado con la información 84 de cliente con la etiqueta "e" es el último sumando en este promedio ponderado ordenado ponderado.
En la fig. 5 se proporciona un modelo de mezcla gaussiana de una distribución de probabilidad de marcas de tiempo de las actividades del usuario. El modelo de mezcla gaussiana es un ejemplo de un modelo 26 de comportamiento de usuario específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario. La actividad del usuario ejemplar evaluada en el diagrama de la fig. 5 es un tiempo de conexión, es decir, el momento en que el usuario inicia sesión en el servidor 1 de aplicaciones.
El diagrama ilustrado por la fig. 5 es un diagrama de marca de tiempo frente a probabilidad. El eje del tiempo cubre 24 horas en total. La probabilidad de que un usuario inicie sesión dentro de un determinado intervalo de 0,5 h, por ejemplo, de 20:00 a 20:30 se ilustra con las barras que se muestran en la fig. 5. Un modelo de mezcla gaussiana, por ejemplo, que consta de una mezcla de diez distribuciones de Gauss con diferentes valores esperados y diferentes desviaciones estándar, ajustado a las barras, se indica mediante la curva discontinua que cubre las barras.
Un inicio de sesión actual en el intervalo de tiempo entre las 14:00 y las 14:30 se designa mediante una marca, conectada al eje de marca de tiempo y al eje de probabilidad en la curva de mezcla gaussiana. Por lo tanto, se asocia una probabilidad de 0,05 a este inicio de sesión. El complemento de esta probabilidad (0,95), por ejemplo, se puede utilizar como el valor 70 de puntuación de riesgo específico en términos de característica asociado con las marcas de tiempo, por ejemplo, los tiempos de conexión del usuario.
Un modelo ejemplar de Cadena de Markov de una secuencia de acciones (actividades 80) realizadas por el usuario se ilustra en la fig. 6. Cuatro estados diferentes, correspondientes a actividades ejemplares llevadas a cabo por el usuario, se ilustran mediante cajas cuadráticas "A", " B", "C" y "D". Las transiciones entre estos estados se indican mediante flechas que apuntan de un estado a otro. Tres probabilidades de transición ejemplares, es decir, la probabilidad de que una transición particular se lleve a cabo realmente, a saber, "PA,B", "PD,C", y PD,D" se indican mediante etiquetas respectivas debajo de las flechas que ilustran las transiciones. Estas probabilidades de transición, por ejemplo, pueden ser "Pa,b" = 0.2, "Pd,c" = 0.4, y "Pd,d" = 0.1.
El estado "D", por ejemplo, puede ser una entrada de contraseña por parte del usuario al iniciar sesión en una aplicación, tal como una aplicación de reserva. Por lo tanto, una probabilidad de transición del estado "D" al estado "D" corresponde a la probabilidad de que el mismo usuario vuelva a ingresar su contraseña, por ejemplo, debido a un error tipográfico. El estado "A", por ejemplo, puede representar un cambio de contraseña, mientras que el estado "C" puede representar un cambio de nombre de usuario. El estado "B" puede representar una solicitud de envío de la contraseña de usuario a la dirección de correo electrónico registrada del usuario. La suma de todas las probabilidades de transición de un estado a uno o más estados o al estado mismo es la unidad.
La probabilidad de un determinado trayecto de estados, por ejemplo, del estado "D" al estado "A" mediante el estado "C" viene dado por el producto de las probabilidades de transición de las transiciones individuales "D" a "C" y "C" a "A".
Un flujo de proceso ejemplar de un método ejemplar de monitorización de la autenticidad del usuario se ilustra en la fig. 7. Los recuadros rectangulares discontinuos, que rodean las operaciones individuales del flujo de proceso descrito (véanse las operaciones 100, 102, 103, 104, 107 y 109), indican un servidor en el que se realizan las operaciones respectivas. En la operación 100, las actividades del usuario en el servidor 1 de aplicaciones se registran en un archivo 60 de registro. Los datos 60’ de registro que comprenden las actividades del usuario se envían desde el servidor 1 de aplicaciones al servidor 2 de modelo de usuario, como se indica en la operación 101. En el servidor 2 de modelo de usuario se realizan tres operaciones diferentes, concretamente las operaciones 102, 103 y 104, como se indica mediante el recuadro rectangular discontinuo etiquetado como "2". En la operación 102, las características se extraen de los datos 60' de registro y en la operación 103, un modelo 25 de usuario existente se actualiza al incluir las características recién extraídas en el modelo 25 de usuario. También, el motor 21 de puntuación de riesgo se adapta en la operación 104 cambiando el peso de los valores 70 particulares de puntuación de riesgo específicos en términos de característica en una fórmula de cálculo del valor 71 total de puntuación de riesgo, según los valores de característica recientemente adquiridos. Esto se logra, por ejemplo, al disminuir el peso del valor 70 de puntuación de riesgo específico en términos de característica (en el lado de la aplicación) asociado con el sistema operativo cuando los valores en términos de característica extraídos indican que el ordenador del cliente ha cambiado.
Como se indica en las operaciones 105 y 106, el modelo 25 de usuario adaptado y el motor 21 de puntuación de riesgo adaptado se copian del servidor 2 de modelo de usuario al servidor 1 de aplicaciones. En el servidor 1 de aplicaciones, la actividad actual del usuario se mantiene en un diario y los valores en términos de característica asociados con estas actividades se comparan con los respectivos modelos 26 de comportamiento de usuario específicos en términos de característica mediante el motor 21 de puntuación de riesgo en la operación 107. Como resultado de esta comparación, se obtienen valores 70 de puntuación de riesgo específicos en términos de característica y se combinan en un valor 71 total de puntuación de riesgo, utilizando una técnica MCDA. En la operación 108, el valor 71 total de puntuación de riesgo se compara con un umbral dado obtenido de una memoria caché 12 de reglas (que se muestra en la fig. 1). Siempre que el valor 71 total de puntuación de riesgo no supere el umbral dado durante una sesión de usuario, el método de monitorización de la autenticidad del usuario continúa llevando a cabo las operaciones 100 a 108 al final de una sesión de usuario. En respuesta al valor 71 total de puntuación de riesgo que excede un umbral dado durante una sesión de usuario, un módulo 14 de control de acceso en el servidor 1 de aplicaciones exige la ejecución de una acción 72 correctiva. Acto seguido, la acción 72 correctiva es llevada a cabo por el módulo 34 de acción correctiva en un servidor 3 de inicio de sesión y seguridad. Dependiendo del umbral específico que ha sido excedido por el valor 71 total de puntuación de riesgo, se elige una de las siguientes acciones 72 correctivas: (i) un cierre de sesión del usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario, (iv) un inicio de una función de alerta.
En la fig. 8 se ilustra un perfil de usuario que ilustra una pluralidad de modelos 26 de comportamiento de usuario específicos en términos de característica que producen una probabilidad de fraude. En el perfil de usuario mostrado en la fig. 8, se presentan varios valores y probabilidades de característica para ciertos valores de características.
En una primera sección del perfil de usuario, se asigna un valor 70 de puntuación de riesgo específico en términos de característica de 0,87, asociado con una secuencia de acciones, a una primera secuencia de acciones, a saber: "Buscar usuario" ^ "Presentar un usuario" ^ " Cerrar pestaña", mientras que un valor 70 de puntuación de riesgo específico en términos de característica de 0,52 se asigna a una segunda secuencia de acciones, a saber: "Mostrar aplicación" ^ "Administrar AppRole".
En una segunda sección del perfil de usuario, se muestran las probabilidades asociadas con los orígenes 85 de las actividades del usuario. La probabilidad de que una actividad del usuario de este usuario en particular se emita desde Francia es del 100 %. La probabilidad de que la IP de origen de este usuario sea 172.16.252.183 es dada como del 81 %.
En una tercera sección del perfil de usuario, se enumeran las probabilidades asociadas con el ordenador cliente utilizado. La probabilidad de un sistema operativo Windows 7® que se utiliza se afirma que es del 100%. La probabilidad de que Internet Explorer 9® se utilice como navegador de Internet por parte del usuario se afirma que es del 95%, mientras que la probabilidad de que Firefox 3® se utilice como navegador de Internet se muestra en un 5%. Además, la probabilidad de que el agente de usuario sea Mozilla/4.0® (compatible; MSIE 7.0...) se obtiene que es un 95%.
En una cuarta sección del perfil de usuario se exponen datos de las duraciones de sesión del usuario. La duración promedio de sesión es de 18 min, la mediana de las duraciones de sesión es de 8 min, y también se obtiene el tiempo en el que la duración de la sesión está en el cuantil superior (en el 75% superior de una distribución de probabilidad que representa la duración de la sesión) y se almacena en el perfil de usuario.
En una quinta sección del perfil de usuario, se obtienen y almacenan las probabilidades para ciertos ID de oficina y ciertas organizaciones. La probabilidad de que las actividades del usuario tengan un ID de oficina
"NCE1A0995" es del 80 %, mientras que la probabilidad de que las actividades del usuario tengan un ID de oficina "NCE1A0955" es del 20 %. La probabilidad de que las actividades del usuario estén asociadas con la organización "1A" es del 100%.
En conjunto, cuando el perfil de usuario se compara con las actividades actuales de usuario y se evalúa, por ejemplo, el perfil de usuario produce un valor 71 total de puntuación de riesgo de 0,28 (riesgo bajo) para la fecha 23-12-2014 a las 10:45:34 y un valor 71 total de puntuación de riesgo de 0,92 (riesgo alto) para la fecha 12-01 2015 a las 03:14:10.
En la fig. 9 se muestra una representación esquemática de un sistema 500 informático ejemplar. El sistema 500 informático está dispuesto para ejecutar un conjunto de instrucciones 510, para hacer que el sistema 500 informático realice cualquiera de las metodologías utilizadas para el método de monitorización de la autenticidad del usuario durante las actividades del usuario en una sesión de usuario en al menos un servidor 1 de aplicaciones, como se describe en la presente memoria. El servidor 1 de aplicaciones, el servidor 2 de modelo de usuario, el servidor 3 de inicio de sesión y seguridad y el servidor 4 de reglas, por ejemplo, se realizan como un sistema 500 informático de este tipo.
El sistema 500 informático incluye un procesador 502, una memoria 504 principal y una interfaz 508 de red. La memoria 504 principal incluye un espacio 504’ de usuario, que está asociado con aplicaciones ejecutadas por el usuario, y un espacio 504’’ de núcleo, que está reservado para aplicaciones asociadas con el sistema operativo y el hardware. El sistema 500 informático incluye además una memoria 506 estática, por ejemplo, una unidad flash no extraíble y/o unidad de estado sólido y/o una tarjeta Micro o Mini SD extraíble, que almacena de forma permanente el software que habilita al sistema 500 informático para ejecutar funciones del sistema 500 informático. Además, puede incluir una pantalla 503 de video, un módulo 507 de control de interfaz de usuario y/o un dispositivo 505 alfanumérico y de entrada de cursor. Opcionalmente, interfaces 509 de E/S adicionales, tales como lector de tarjetas e interfaces USB pueden estar presentes. Los componentes del sistema 502 a 509 informático están interconectados por un bus 501 de datos.
En algunas realizaciones ejemplares, el software programado para llevar a cabo el método descrito en la presente memoria se almacena en la memoria 506 estática; en otras realizaciones ejemplares se utilizan bases de datos externas.
Un conjunto de instrucciones ejecutable (es decir, software) 510 que incorpora cualquiera de las metodologías descritas anteriormente, o todas ellas, reside completamente, o al menos parcialmente, de forma permanente en la memoria 506 no volátil. Cuando se ejecuta, los datos del proceso residen en la memoria 504 principal y/o en el procesador 502.
Claims (11)
1. Un método para monitorizar la autenticidad del usuario durante las actividades del usuario en sesiones de usuario en al menos un servidor de aplicaciones, el método se lleva a cabo de manera distribuida por medio de un sistema de servidor distribuido, comprendiendo el sistema de servidor distribuido al menos un servidor de aplicaciones y al menos un servidor de modelo de usuario, comprendiendo el método:
la transferencia de datos de actividad del usuario desde el al menos un servidor de aplicaciones al, al menos, un servidor de modelo de usuario;
la realización de un proceso de modelado de usuario en el al menos un servidor de modelo de usuario en el que un modelo de usuario existente se adapta a las actividades del usuario sesión por sesión, en donde el modelo de usuario se adapta basándose en los datos de actividad del usuario transferidos desde el al menos un servidor de aplicaciones;
en donde el modelo de usuario comprende una pluralidad de modelos de comportamiento de usuario específicos en términos de característica, siendo los modelos de comportamiento del usuario específicos en términos de característica submodelos del modelo de usuario asociado con una característica que es indicativa del comportamiento del usuario,
en donde un modelo de comportamiento específico en términos de característica asociado con las marcas de tiempo de las acciones del usuario es un modelo de mezcla gaussiana de marcas de tiempo de la actividad del usuario, en donde el modelo de mezcla gaussiana viene dado por la siguiente fórmula
en donde ai es un peso de la i-ésima distribución gaussiana Gi(x, p¡, oí), p¡ es el valor esperado de la i-ésima distribución gaussiana y o¡ es la desviación estándar de la i-ésima distribución gaussiana y P(x) es la probabilidad de una cierta marca de tiempo x,
en donde un modelo de comportamiento específico en términos de característica que caracteriza la duración de las sesiones de usuario asigna la duración de las sesiones de usuario a al menos uno de (i) un promedio móvil, (ii) una mediana, (iii) una desviación estándar de la duración de la sesión de usuario, (iv) un cuantil de la duración de las sesiones de usuario,
en donde un modelo de comportamiento específico en términos de característica que caracteriza una secuencia de acciones realizadas por el usuario es un modelo de cadena de Markov,
en donde el modelo de cadena de Markov modela un sistema aleatorio con una pluralidad de estados correspondientes a las acciones realizadas por el usuario, en donde cada estado tiene una probabilidad de transición asociada a otro estado,
en donde una probabilidad total de una secuencia de acciones Xi a Xn realizadas por el usuario desde un tiempo 1 hasta un tiempo n, estando cada marca de tiempo asociada a una determinada actividad del usuario, viene dada por:
t=n
P(Xa<„ .X n)= P ÍX ^ Y lP ÍX t - iX t )
t = 2
en donde P(X1,... Xn) es la probabilidad total de que se realicen las n acciones sucesivas, X1 a Xn, P(X1) es la probabilidad de que se realice la acción X1, y P(Xt-1Xt) es la probabilidad de transición de una operación Xt-1 a una operación Xt,
la transferencia de datos de modelo de usuario adaptado desde al menos un servidor de modelo de usuario a al menos un servidor de aplicaciones, en donde la transferencia se logra copiando la versión adaptada del modelo de usuario desde el servidor de modelo de usuario al servidor de aplicaciones como un todo o copiando un delta entre el modelo de usuario adaptado y la versión no adaptada del modelo de usuario al servidor de aplicaciones,
la realización de un proceso de verificación de usuario en el al menos un servidor de aplicaciones sobre la base de los datos del modelo de usuario adaptado transferidos, comprendiendo el proceso de verificación de usuario - la comparación del modelo de usuario con características extraídas de las actividades del usuario en una sesión de usuario en el servidor de aplicaciones,
- la determinación de un valor total de puntuación de riesgo sobre la base de la comparación,
en donde el valor total de puntuación de riesgo se determina mediante un motor adaptativo de puntuación de riesgo en el servidor de aplicaciones utilizando los datos del modelo de usuario adaptado transferidos desde el servidor del modelo de usuario,
en donde la determinación del valor total de la puntuación de riesgo comprende la determinación de valores de puntuación de riesgo específicos en términos de característica basándose en una desviación entre una pluralidad de valores de característica y los respectivos modelos de comportamiento de usuario específicos en términos de característica,
en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario comprende la evaluación de un complemento de la probabilidad de la marca de tiempo extraída de las acciones del usuario, tomándose el complemento del modelo de mezcla gaussiana, en donde si P(x) representa la probabilidad de una marca de tiempo de una actividad del usuario, el complemento de la probabilidad de la marca de tiempo viene dado por 1 - P(x), en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones de usuario comprende el cálculo de la diferencia entre la duración de una sesión de usuario y al menos uno de (i) un promedio móvil, (ii) una mediana de duraciones de sesiones de usuario, y/o la comparación de la duración de una sesión de usuario con intervalos de confianza, dados por múltiplos de una desviación estándar,
en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la secuencia de acciones realizadas por el usuario comprende la determinación de un complemento de la probabilidad de Markov de una secuencia de acciones dada extraídas de las acciones del usuario, en donde cuando P(X1,... Xn) es la probabilidad total de n acciones sucesivas, el complemento de esta probabilidad viene dado por 1 - P(X1,... Xn),
en donde el motor adaptativo de puntuación de riesgo está programado para determinar los valores de puntuación de riesgo específicos en términos de característica y ponderar los valores de puntuación de riesgo según su probabilidad relativa de fraude y combinar los valores de puntuación de riesgo específicos en términos de característica para obtener el valor total de puntuación de riesgo,
en donde el valor total de puntuación de riesgo se obtiene utilizando un promedio ponderado ordenado de los valores de puntuación de riesgo específicos en términos de característica, en donde los valores de puntuación de riesgo específicos en términos de característica se ponderan por su ordenación y un promedio ponderado ordenado de los valores de puntuación de riesgo específicos en términos de característica para obtener un valor total de puntuación de riesgo viene dado por:
, en donde R es el valor total de puntuación de riesgo, W = (w1... wn) es un vector de pesos wi, y B = (b1... bN) es un vector de valores bi de puntuación de riesgo específicos en términos de característica, ordenados según su magnitud comenzando con el mayor valor de puntuación de riesgo como elemento bi, sumando los pesos w¡ de vectores W uno: £¿=i w i “
- en respuesta al valor total de puntuación de riesgo que supera un umbral determinado, la realización de una acción correctiva, en donde la acción correctiva comprende al menos uno de (i) un cierre de sesión del usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario, y (iv) un inicio de una función de alerta.
2. El método de la reivindicación 1, en donde la acción correctiva se selecciona basándose en el valor total de puntuación de riesgo.
3. El método de la reivindicación 1 o 2, en donde los datos de actividad del usuario comprenden al menos un archivo de registro de actividad del usuario.
4. El método de una cualquiera de las reivindicaciones 1 a 3, en donde las características se pueden obtener desde al menos dos aplicaciones diferentes, ejecutándose en al menos dos servidores de aplicaciones diferentes.
5. El método de una cualquiera de las reivindicaciones 1 a 4, en donde la acción correctiva se realiza independientemente del valor de la puntuación de riesgo, en respuesta a la detección de un cierto patrón de característica.
6. El método de una cualquiera de las reivindicaciones 1 a 5, en donde los modelos de comportamiento de usuario específicos en términos de característica también son específicos de la aplicación.
7. El método de una cualquiera de las reivindicaciones 1 a 6, en donde los valores de puntuación de riesgo específicos en términos de característica se combinan utilizando un análisis de decisión multicriterio (MCDA).
8. El método de la reivindicación 7, en donde el motor adaptativo de puntuación de riesgo se adapta en el servidor de modelo de usuario adaptando el análisis de decisión multicriterio (MCDA).
9. El método de cualquiera de las reivindicaciones 1 a 8, en donde el acceso del usuario al servidor de aplicaciones es controlado por un servidor de inicio de sesión y seguridad al comienzo de una sesión de usuario y el valor total de puntuación de riesgo se compara con el umbral dado en el servidor de aplicaciones, en donde la acción correctiva es ejecutada por un control de acceso durante la sesión de usuario, en donde el control de acceso está compuesto por el servidor de aplicaciones.
10. Un sistema de servidor distribuido, comprendiendo el sistema de servidor distribuido al menos un servidor de aplicaciones y al menos un servidor de modelo de usuario, comprendiendo los servidores de aplicación y de modelo de usuario al menos un procesador y al menos una memoria no volátil que comprenda al menos un programa informático con instrucciones ejecutables almacenadas en el mismo para un método de monitorización de la autenticidad del usuario durante las actividades del usuario en una sesión de usuario en el al menos un servidor de aplicaciones, siendo llevado a cabo el método de forma distribuida por medio del sistema de servidor distribuido, las instrucciones ejecutables, cuando se ejecutan por al menos un procesador de los servidores, hacen que al menos un procesador:
transfiera datos de actividad del usuario desde al menos un servidor de aplicaciones a al menos un servidor de modelo de usuario;
realice un proceso de modelado de usuario en el al menos un servidor de modelo de usuario en el que un modelo de usuario existente se adapta a las actividades del usuario sesión por sesión, en donde el modelo de usuario se adapta basándose en los datos de actividad del usuario transferidos desde el al menos uno servidor de aplicaciones;
en donde el modelo de usuario comprende una pluralidad de modelos de comportamiento de usuario específicos en términos de característica, siendo los modelos de comportamiento de usuario específicos en términos de característica submodelos del modelo de usuario asociado con una característica que es indicativa del comportamiento del usuario,
en donde un modelo de comportamiento específico de características asociado con las marcas de tiempo de las acciones del usuario comprende un modelo de mezcla gaussiana de marcas de tiempo de la actividad del usuario,
en donde el modelo de mezcla gaussiana viene dado por la siguiente fórmula
en donde ai es un peso de la i-ésima distribución gaussiana G¡(x, p¡, oí), p¡ es el valor esperado de la i-ésima distribución gaussiana y o¡ es la desviación estándar de la i-ésima distribución gaussiana y P(x) es la probabilidad de una cierta marca de tiempo x,
en donde un modelo de comportamiento específico en términos de característica que caracteriza la duración de las sesiones de usuario asigna la duración de las sesiones de usuario a al menos uno de (i) un promedio móvil, (ii) una mediana, (iii) una desviación estándar de la duración de la sesión de usuario, (iv) un cuantil de la duración de las sesiones de usuario,
en donde un modelo de comportamiento específico en términos de característica que caracteriza una secuencia de acciones realizadas por el usuario es un modelo de cadena de Markov,
en donde el modelo de cadena de Markov modela un sistema aleatorio con una pluralidad de estados correspondientes a acciones realizadas por el usuario, en donde cada estado tiene asociada una probabilidad de transición a otro estado,
en donde una probabilidad total de una secuencia de acciones X1 a Xn realizadas por el usuario desde un tiempo 1 hasta un tiempo n, estando cada marca de tiempo asociada a una determinada actividad del usuario, viene dada por:
t=n
p(x1;... xn)= P C x o P J p c w y
t=2
en donde P(X1,... Xn) es la probabilidad total de que se realicen las n acciones sucesivas, X1 a Xn, P(X1) es la
probabilidad de que se realice la acción Xi, y P(Xt-iXt) es la probabilidad de transición de una operación Xt-i a una operación Xt,
transferir datos de modelo de usuario adaptados desde al menos un servidor de modelo de usuario al, al menos, un servidor de aplicaciones, en donde la transferencia se logra copiando la versión adaptada del modelo de usuario desde el servidor de modelo de usuario al servidor de aplicaciones como un todo o copiando un delta entre el modelo de usuario adaptado y la versión no adaptada del modelo de usuario al servidor de aplicaciones,
realizar un proceso de verificación de usuario en el al menos un servidor de aplicaciones, que comprende - la comparación del modelo de usuario con características extraídas de las actividades del usuario en una sesión de usuario en el servidor de aplicaciones
- la determinación de un valor total de puntuación de riesgo sobre la base de la comparación,
en donde el valor total de la puntuación de riesgo se determina mediante un motor adaptativo de puntuación de riesgo en el servidor de aplicaciones utilizando los datos del modelo de usuario adaptado transferidos desde el servidor del modelo de usuario,
en donde la determinación del valor total de la puntuación de riesgo comprende la determinación de valores de puntuación de riesgo específicos en términos de característica basándose en una desviación entre una pluralidad de valores en términos de característica y los respectivos modelos de comportamiento del usuario específicos en términos de característica,
en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con las marcas de tiempo de las actividades del usuario comprende la evaluación de un complemento de la probabilidad de la marca de tiempo extraída de las acciones del usuario, tomándose el complemento del modelo de mezcla gaussiana, en donde si P(x) representa la probabilidad de una marca de tiempo de una actividad del usuario, el complemento de la probabilidad de la marca de tiempo viene dado por 1 - P(x), en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la duración de las sesiones de usuario comprende el cálculo de la diferencia entre la duración de una sesión de usuario y al menos uno de (i) un promedio móvil, (ii) una mediana de duraciones de sesiones de usuario, y/o la comparación de la duración de una sesión de usuario con intervalos de confianza, dados por múltiplos de una desviación estándar,
en donde el cálculo del valor de puntuación de riesgo específico en términos de característica asociado con la secuencia de acciones realizadas por el usuario comprende la determinación de un complemento de la probabilidad de Markov de una secuencia de acciones dada extraídas de las acciones del usuario, en donde cuando P(X1,... Xn) es la probabilidad total de n acciones sucesivas, el complemento de esta probabilidad viene dado por 1 - P(X1,... Xn),
en donde el motor adaptativo de puntuación de riesgo está programado para determinar los valores de puntuación de riesgo específicos en términos de característica y ponderar los valores de puntuación de riesgo según su probabilidad relativa de fraude y combinar los valores de puntuación de riesgo específicos en términos de característica para obtener el valor total de puntuación de riesgo,
en donde el valor total de puntuación de riesgo se obtiene utilizando un promedio ponderado ordenado de los valores de puntuación de riesgo específicos en términos de característica, en donde los valores de puntuación de riesgo específicos en términos de característica se ponderan por su ordenación y un promedio ponderado ordenado de los valores de puntuación de riesgo específicos en términos de característica para obtener un valor total de puntuación de riesgo viene dado por:
, en donde R es el valor total de puntuación de riesgo, W = (w1... wn) es un vector de pesos wi, y B = (b1... bN) es un vector de valores bi de puntuación de riesgo específicos en términos de característica, ordenados según su magnitud comenzando con el mayor valor de puntuación de riesgo como elemento bi, sumado los y N w _ -i
pesos w¡ de vectores W uno: ¿4=i w>
- en respuesta al valor total de puntuación de riesgo que supera un umbral determinado, la realización de una acción correctiva, en donde la acción correctiva comprende al menos uno de (i) un cierre de sesión de usuario, (ii) una solicitud de una autenticación de dos factores del usuario, (iii) un bloqueo del usuario, y (iv) un inicio de una función de alerta.
11. El sistema de servidor distribuido de la reivindicación 10, en donde las instrucciones ejecutables, cuando son
ejecutadas por al menos un procesador, provocan además que al menos un procesador lleve a cabo las actividades de cualquiera de las reivindicaciones 2 a 9.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/015,871 US10110634B2 (en) | 2016-02-04 | 2016-02-04 | Monitoring user authenticity in distributed system |
| FR1650875A FR3047595B1 (fr) | 2016-02-04 | 2016-02-04 | Surveillance de l'authenticite d'un utilisateur dans un systeme distribue |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2917187T3 true ES2917187T3 (es) | 2022-07-07 |
Family
ID=57821794
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES17000090T Active ES2917187T3 (es) | 2016-02-04 | 2017-01-19 | Monitorización de la autenticidad del usuario en sistemas distribuidos |
Country Status (2)
| Country | Link |
|---|---|
| EP (1) | EP3203436B1 (es) |
| ES (1) | ES2917187T3 (es) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11170375B1 (en) * | 2016-03-25 | 2021-11-09 | State Farm Mutual Automobile Insurance Company | Automated fraud classification using machine learning |
| US11461696B2 (en) | 2019-03-26 | 2022-10-04 | Aetna Inc. | Efficacy measures for unsupervised learning in a cyber security environment |
| CN110688469B (zh) * | 2019-09-27 | 2022-10-11 | 厦门市美亚柏科信息股份有限公司 | 一种自动分析相似行为特征的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2606326A1 (en) * | 2005-04-29 | 2006-11-09 | Bharosa Inc. | System and method for fraud monitoring, detection, and tiered user authentication |
| US8713704B2 (en) | 2011-09-24 | 2014-04-29 | Elwha Llc | Behavioral fingerprint based authentication |
-
2017
- 2017-01-19 ES ES17000090T patent/ES2917187T3/es active Active
- 2017-01-19 EP EP17000090.5A patent/EP3203436B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3203436A1 (en) | 2017-08-09 |
| EP3203436B1 (en) | 2022-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110634B2 (en) | Monitoring user authenticity in distributed system | |
| US9876825B2 (en) | Monitoring user authenticity | |
| ES2917187T3 (es) | Monitorización de la autenticidad del usuario en sistemas distribuidos | |
| RU2670030C2 (ru) | Способы и системы для определения нестандартной пользовательской активности | |
| ES2679286T3 (es) | Distinguir usuarios válidos de robots, OCR y solucionadores de terceras partes cuando se presenta CAPTCHA | |
| ES2862157T3 (es) | Sistemas y métodos para garantizar el acceso a los recursos | |
| US20080010678A1 (en) | Authentication Proxy | |
| CN109687991A (zh) | 用户行为识别方法、装置、设备及存储介质 | |
| ES2917749T3 (es) | Método y producto informático y métodos para la generación y selección de reglas de acceso | |
| CN108989150A (zh) | 一种登录异常检测方法及装置 | |
| US10587650B2 (en) | Communications security | |
| US8898808B1 (en) | System and method for assessing effectiveness of online advertising | |
| JP2012504920A (ja) | 秘密情報の検出 | |
| US11595377B2 (en) | Method and system for monitoring for and blocking fraudulent attempts to log into remote services using list validation attacks | |
| WO2020210976A1 (en) | System and method for detecting anomaly | |
| US11531754B2 (en) | Transpiration of fraud detection rules to native language source code | |
| TWI701932B (zh) | 一種身份認證方法、伺服器及用戶端設備 | |
| CN109858735A (zh) | 用户风险评分评定方法、装置、计算机设备及存储介质 | |
| Kawase et al. | Internet fraud: the case of account takeover in online marketplace | |
| CN116260715B (zh) | 基于大数据的账号安全预警方法、装置、介质及计算设备 | |
| BR102015027435A2 (pt) | método para detectar um risco de substituição de um terminal, dispositivo, programa e meio de gravação correspondentes | |
| CN116094849B (zh) | 应用访问鉴权方法、装置、计算机设备和存储介质 | |
| Aljebreen | Towards intelligent intrusion detection systems for cloud computing | |
| Eisentraut et al. | Assessing Security of Cryptocurrencies with Attack-Defense Trees: Proof of Concept and Future Directions | |
| Gupta | A decentralized approach towards secure firmware updates and testing over commercial IoT Devices |