JP5166432B2 - ネットワークにおける不正行為の検出及び禁止 - Google Patents
ネットワークにおける不正行為の検出及び禁止 Download PDFInfo
- Publication number
- JP5166432B2 JP5166432B2 JP2009537316A JP2009537316A JP5166432B2 JP 5166432 B2 JP5166432 B2 JP 5166432B2 JP 2009537316 A JP2009537316 A JP 2009537316A JP 2009537316 A JP2009537316 A JP 2009537316A JP 5166432 B2 JP5166432 B2 JP 5166432B2
- Authority
- JP
- Japan
- Prior art keywords
- user
- data
- data packet
- fraud
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000001514 detection method Methods 0.000 title claims description 85
- 238000000034 method Methods 0.000 claims description 73
- 238000012545 processing Methods 0.000 claims description 55
- 238000013480 data collection Methods 0.000 claims description 52
- 230000008569 process Effects 0.000 claims description 40
- 238000004590 computer program Methods 0.000 claims description 32
- 230000009471 action Effects 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 6
- 230000002452 interceptive effect Effects 0.000 claims description 5
- 238000013500 data storage Methods 0.000 claims 4
- 230000000903 blocking effect Effects 0.000 claims 1
- 238000013481 data capture Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 description 29
- 230000006399 behavior Effects 0.000 description 28
- 238000010586 diagram Methods 0.000 description 28
- 230000004044 response Effects 0.000 description 24
- 230000005540 biological transmission Effects 0.000 description 23
- 230000008901 benefit Effects 0.000 description 13
- 238000011084 recovery Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 7
- 230000000694 effects Effects 0.000 description 6
- 238000001914 filtration Methods 0.000 description 5
- 230000003542 behavioural effect Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 239000006096 absorbing agent Substances 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 230000035939 shock Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 238000004148 unit process Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0852—Delays
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Description
本発明は、一般的にコンピュータプログラム製品を含むコンピュータベースの方法及び装置に関し、これらはネットワークにおける不正行為(詐欺的行為)を検出かつ禁止し、ネットワークにおけるデータを復元(再構成)し、ネットワークにおけるユーザセッションを統一し、ネットワークにおける不正行為を検出し、保存された情報を使用してネットワークにおける不正行為を検出し、ネットワークにおけるデータ供給に同意するためのものである。
情報のアクセス及び提供のためにネットワークの使用が増えたことは、ネットワーク上で送信されたデータの量の急激な増加をもたらした。この増加した交通量を取り扱うために、情報を保存、処理及び送信するために使用されるコンピュータ・システムはサイズが増加しかつデータ・センター間で分配された。データ・センター間でのこのような分配は速度を増加させて、これにより情報の検索及び処理における応答時間を減少させることができる。
しかしながら、増加した速度及び多様化されたデータ・センターは複数のデータ・センターに送られるデータに関する問題をもたらす。問題はユーザに及びユーザから送られたデータがデータ・センター間で分配されるということである。唯一のデータ・センターからのデータが分析される場合、ユーザの行為の完全な表示を得ることができなければ非常に困難である。
ユーザの行為を全体として分析できることがネットワーク上で信頼されているサービスを提供する広範囲の産業において重要である。これらの産業はユーザの行為を分析してフィードバックを提供しかつシステムの性能を向上させることができなければならない。加えて、産業界はそのネットワーク上の不正行為を有効かつ効率的に識別することができなければならない。
不正行為はネットワーク・ベースの行為の上昇とともに増加した。産業界は資金及び威信の損失を阻止するために不正検出システムを利用することによって対応してきた。しかしながら、これらの不正検出システムがリアルタイムでかつ顧客の実績に影響を与えることなくデータ・センターのすべてからデータを回収(収集)することができなければ困難であった。不正行為は増加しているので、産業界、例えば金融サービス業界が不正検出システムを有することが重要であり、このシステムは複数のデータ・センターからデータ・パケットを回収しかつ不正行為の検出及び他の使用のためにデータを復元することができる。
ネットワーク上でデータを回収するための一つのアプローチは、ネットワーク上で送信されたデータ・パケットをデータに復元することである。一態様において、複数のデータ・センターから送信されるデータ・パケットを受信する、データ復元方法が提供される。各データ・センターは1以上のサーバを含む。前記データ・パケットは同じユーザ位置から前記データ・センターに送られる。前記データ・パケットは処理される。復元エンジンは前記データ・パケットからの前記データを特定のプロトコルに準拠しているフォーマットに復元する。
別の態様において、データ復元のためのコンピュータ・プログラム製品が提供される。前記コンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置が復元エンジンで複数のデータ・センターからデータ・パケットを受信するように実施可能な指令を含む。各データ・センターは1以上のサーバを含む。前記データ・パケットは同じユーザ位置から前記複数のデータ・センターにおける異なるデータ・センターに送信される。前記データ・パケットは処理される。前記データは前記データ・パケットから特定のプロトコルに準拠しているフォーマットに復元される。
別の態様において、データ復元のためのシステムが提供される。前記システムはデータ回収システムと復元エンジンとを含む。前記データ回収システムはデータ・センターでデータ・パケットを回収する。前記データ・パケットは前記復元エンジンに送信される。前記復元エンジンはネットワーク上で複数のデータ回収システムからデータ・パケットを受信する。前記復元エンジンは前記データ・パケットを処理しかつ前記データ・パケットを特定のプロトコルに準拠しているデータに復元する。
別の態様において、データ復元のための別のシステムが提供される。前記システムはデータ・センターでデータ・パケットを回収するための手段とデータを復元するための手段とを含む。前記データ・パケット回収手段はデータ・センターからデータ・パケットを受信しかつ前記データ復元手段に前記データ・パケットを送信する。前記データ復元手段は特定のプロトコルに準拠しているデータ・パケットからデータを復元する。
別の態様において、ネットワーク上のユーザ・セッションは統一される。別の態様において、ユーザ・セッションの統一方法が提供される。この方法は複数のデータ・センターからユーザ要求を受信する統一エンジンを含む。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求はユーザ位置から前記データ・センターに送信される。前記ユーザ要求は処理される。前記ユーザ要求は前記統一エンジンによってユーザ・セッションに統一される。
別の態様において、ユーザ・セッションの統一のためのコンピュータ・プログラム製品が提供される。このコンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置が統一エンジンでユーザ要求を受信するように実施可能な指令を含む。前記ユーザ要求は複数のデータ・センターから受信される。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求は処理のための前記複数のデータ・センター間で分割された。前記ユーザ要求は特定のプロトコルに準拠しているフォーマットで前記復元エンジンによってユーザ・セッションに復元される。
別の態様において、ユーザ・セッションの統一のためのシステムが提供される。このシステムはデータ回収システムと統一エンジンとを含む。前記データ回収システムはデータ・センターからユーザ要求を回収しかつ前記統一エンジンに前記ユーザ要求を送信する。各ユーザ要求は1以上のデータ・パケットを含む。前記統一エンジンは前記データ回収システムからユーザ要求を受信しかつ前記ユーザ要求を処理してユーザ・セッションを復元する。
別の態様において、ユーザ・セッションの統一のための別のシステムが提供される。このシステムはデータ・センターでユーザ要求を回収するユーザ要求回収手段を含む。各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求は前記ユーザ要求回収手段からユーザ・セッション統一手段に送信される。前記ユーザ・セッション統一手段は前記ユーザ要求を処理してユーザ・セッション内に前記ユーザ要求を統一する。
別の態様において、ネットワーク上のユーザ・セッションは分析されて不正行為を検出する。別の態様において、ネットワーク上で不正行為を検出するための方法が提供される。この方法はデータ・センターからユーザ要求を受信することを含む。前記ユーザ要求は複数のデータ・センターに送信するために互いに分離されるが、組み合わされてユーザ・セッションを形成する。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ・セッションは処理されて、プロファイリング・エンジン及び/又はルール・エンジンを使用して前記ユーザ・セッションが不正であるかを決める。
別の態様において、ネットワーク上で不正行為を検出するためのコンピュータ・プログラム製品が提供される。このコンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置がデータ・センターからユーザ要求を受信するように実施可能な指令を含む。前記ユーザ要求は組み合わされてユーザ・セッションを形成する。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求は前記データ・センター間で処理のために分離された。プロファイリング・エンジン及び/又はルール・エンジンを使用して前記ユーザ・セッションが不正であるかが決められる。
別の態様において、ネットワーク上で不正行為を検出するためのシステムが提供される。このシステムは統一エンジンと不正検出システムとを含む。前記統一エンジンはデータ・センターからユーザ要求を受信する。各ユーザ要求は1以上のデータ・パケットを含む。前記統一エンジンは前記ユーザ要求を処理してユーザ・セッションを復元する。前記不正検出システムはユーザ・セッションを分析して前記ユーザ・セッションが不正であるかを決める。
別の態様において、ネットワーク上で不正行為を検出するための別のシステムが提供される。このシステムはユーザ・セッションを統一するための手段と不正検出手段とを含む。前記ユーザ・セッション統一手段はデータ・センターからユーザ要求を受信する。各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ・セッション統一手段は前記ユーザ要求を処理してユーザ・セッションを統一する。前記不正検出手段は前記ユーザ・セッションを分析して前記ユーザ・セッションが不正であるかを決める。
別の態様において、ネットワーク上の前記ユーザ・セッションは分析されて保存された情報を使用して不正行為を検出する。別の態様において、保存された情報を使用してネットワーク上の不正行為を検出するための方法が提供される。この方法はデータ・センターからユーザ要求を受信することを含む。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求はデータ・センターで処理される。前記ユーザ・セッションに関連のある要素はメモリ・モジュールに保存される。分析は前記メモリ・モジュールに保存されている要素の少なくとも一部を使用して前記ユーザ・セッションに関して行なわれる。
別の態様において、保存された情報を使用してネットワーク上の不正行為を検出するためのコンピュータ・プログラム製品が提供される。このコンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置がデータ・センターからユーザ要求を受信するように実施可能な指令を含む。前記ユーザ要求は組み合わされてユーザ・セッションを形成する。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ要求は前記データ・センター間で分離された。前記ユーザ・セッションに関連のある要素はメモリ・モジュールに保存される。分析は前記メモリ・モジュールに保存された前記要素の少なくとも一部を使用して前記ユーザ・セッションに関して行なわれ前記ユーザ・セッションに関連のある行為が不正であるかを決める。
別の態様において、保存された情報を使用してネットワーク上の不正行為を検出するための方法が提供される。このシステムは統一エンジンと、データベース・システムと、不正検出システムとを含む。前記統一エンジンはデータ・センターからユーザ要求を受信する。前記統一エンジンは前記ユーザ要求を処理してこれらをユーザ・セッション内に統一する。各ユーザ要求は1以上のデータ・パケットを含む。前記データベース・システムはメモリ・モジュールに前記ユーザ・セッションに関連のある要素を保存する。前記不正検出システムは前記メモリ・モジュールに保存された前記要素の少なくとも一部を使用して第一ユーザ・セッションが不正であるかを決める。
別の態様において、保存された情報を使用してネットワーク上の不正行為を検出するための別のシステムが提供される。このシステムはユーザ・セッションを統一するための手段と、要素を保存するための手段と、不正検出手段とを含む。前記ユーザ・セッション統一手段はデータ・センターからユーザ要求を受信しかつ前記ユーザ要求を処理してユーザ・セッションを形成する。各ユーザ要求は1以上のデータ・パケットを含む。前記要素保存手段はメモリ・モジュールに前記ユーザ・セッションに関連のある要素を保存する。前記不正検出手段は前記メモリ・モジュールに保存された前記要素を使用して第一ユーザ・セッションを処理して前記第一ユーザ・セッションが不正であるかを決める。
別のアプローチにおいて、ネットワーク上の前記ユーザ・セッションは分析されて前記ネットワーク上の不正行為を検出かつ禁止する。別の態様において、ネットワーク上の不正行為を検出かつ禁止するための方法が提供される。この方法はデータ・センターからユーザ要求を受信しかつ前記ユーザ要求を組み合わせてユーザ・セッションを形成することを含む。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ・セッションは分析されて不正行為を検出し、不正行為が検出されると、前記ユーザ・セッションは禁止される。
別の態様において、ネットワーク上の不正行為を検出かつ禁止するためのコンピュータ・プログラム製品が提供される。このコンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置がデータ・センターからユーザ要求を受信するように実施可能な指令を含む。前記ユーザ要求は組み合わされてユーザ・セッションを形成する。各データ・センターは1以上のサーバを含み、各ユーザ要求は1以上のデータ・パケットを含む。前記ユーザ・セッションは分析されて不正行為を検出する。不正行為が検出されると、前記ユーザ・セッションは禁止される。
別の態様において、ネットワーク上の不正行為を検出かつ禁止するためのシステムが提供される。このシステムは統一エンジンと、不正検出システムと、セッション禁止システムとを含む。前記統一エンジンはデータ・センターからユーザ要求を受信しかつ前記ユーザ要求を組み合わせてユーザ・セッションを形成する。各ユーザ要求は1以上のデータ・パケットを含む。前記不正検出システムは前記ユーザ・セッションを分析して不正行為を検出する。不正行為が検出された場合、前記セッション禁止システムは前記ユーザ・セッションを禁止する。
別の態様において、ネットワーク上の不正行為を検出かつ禁止するためのシステムが提供される。このシステムはユーザ・セッションを統一するための手段と、不正検出手段と、セッション禁止手段とを含む。前記ユーザ・セッション統一手段はデータ・センターからユーザ要求を受信しかつ前記ユーザ要求を組み合わせてユーザ・セッションを形成する。各ユーザ要求は1以上のデータ・パケットを含む。前記不正検出手段は前記ユーザ・セッションを分析して不正行為を検出する。不正行為が検出された場合、前記セッション禁止手段は前記ユーザ・セッションを禁止する。
別の態様において、ネットワーク上の復元されたデータはネットワーク上の同意者に分配される。別の態様において、ネットワーク上のデータ供給に同意するための方法が提供される。この方法はデータ・センターからデータ・パケットを受信した後で前記データ・パケットを処理することを含む。各データ・センターは1以上のサーバを含む。前記データ・パケットは復元されて特定のプロトコルに準拠しているフォーマットでデータを形成する。前記復元されたデータの全て又は一部は要求者に送信される。
別の態様において、ネットワーク上のデータ供給に同意するためのコンピュータ・プログラム製品が提供される。このコンピュータ・プログラム製品は情報キャリアにおいて明白に具現化される。前記コンピュータ・プログラム製品はデータ処理装置がデータ・バスでデータ・パケットを受信するように実施可能な指令を含む。前記データ・パケットは複数のデータ・センターから受信されることができる。前記複数のデータ・センターからの前記データ・パケットは同じユーザ位置から異なるデータ・センターに送信される。各データ・センターは1以上のサーバを含む。前記データ・パケットは前記コンピュータ・プログラム製品によって処理される。特定のプロトコルにおけるデータは前記データから復元される。前記データの少なくとも一部は要求者によって要求される。要求されたデータは前記要求者に送信される。
別の態様において、ネットワーク上のデータ供給に同意するためのシステムが提供される。このシステムは複数のデータ・センターからデータ・パケットを受信するデータ・バスを含む。前記システムは前記データ・パケットからデータを復元する復元エンジンを含む。前記データは特定のプロトコルに準拠しているフォーマットに復元される。前記システムは前記復元されたデータの一部の要求者からの要求を受信する要求モジュールを含む。前記要求モジュールは前記要求者に前記要求された復元データを送信する。
別の態様において、ネットワーク上のデータ供給に同意するためのシステムが提供される。このシステムは複数のデータ・センターからデータ・パケットを受信するための手段を含む。前記システムは前記データ・パケットから特定のフォーマットに準拠しているフォーマットにデータを復元するための手段と前記復元データの少なくとも一部に対する要求を受信しかつ要求者に前記要求されたデータを送信する手段とを含む。
別の例において、前記のいかなる態様も以下の特徴の1以上を含むことができる。前記データ・センターはロードバランサから前記データ・パケットを受信する。前記ロードバランサは、前記データ・センターの入手可能な能力、前記ネットワークの状態、前記データ・パケットに関するサービス指示器の質、適用可能性、各データ・センターへの接続数及び/又は所定の経路指示に従って、前記異なるデータ・センターに前記データ・パケットを送る。前記データ・センターでのサーバは同じ時間又はほぼ同じ時間にかつ前記データを復元する前記復元エンジンとは別に前記データ・パケットを処理する。前記データ・パケットの処理はデータ・パケットを復号化し及び/又はデータ・パケットを濾過することを含む。
さらに別の例において、前記データがフォーマットされるプロトコルはハイパーテキスト輸送プロトコル(HTTP)、インターネット上の音声プロトコル(VoIP)、送信制御プロトコル(TCP)及び/又はインターネット・プロトコル(IP)である。前記ハイパーテキスト輸送プロトコル(HTTP)は開放された標準メッセージ・プロトコルに変換される。前記プロファイリング・エンジンは地理的位置プロファイリング・エンジン及び/又は挙動プロファイリング・エンジンであってもよい。前記ルール・エンジンは適用ルール・エンジン及び/又は取引ルール・エンジンであってもよい。前記メモリ・モジュールは揮発性メモリ及び/又は固定記憶装置である。
別の例において、前記ユーザ・セッションの禁止は、前記ユーザが前記ネットワーク上で認証することを必要とし、前記ユーザに前記不正行為を通知し、前記ネットワークから前記ユーザ・セッションを切断して前記不正行為を止め、及び/又はネットワークを分離して前記不正行為を緩和することを前記ユーザ・セッションに指示する。前記ユーザの禁止は、認証システムに通信して前記ユーザ・セッションが前記ネットワークにアクセスすることを防ぐことによって生じる。前記ユーザの禁止は、前記不正行為に基づいてルールを生成しかつ前記システムへのアクセスを阻止する前記認証システムに前記ルールを通信することによって生じる。
さらに別の例において、前記同意要求は設定された時間行なわれる。前記要求者はマーケティング分析エンジン、ネットワーク侵入検出システム、顧客サービス・システム及び/又は性能分析システムである。
前記態様及び例のいずれも以下の利点の1以上を提供することができる。これらはデータを復元し及び/又は多数のデータ・センターからのユーザ・セッションを統一することができる。前記復元されたデータ及び/又は統一されたユーザ・セッションはユーザの行為の完全又は部分的な表示として分析に使用されることができる。データ・パケットのデータへの復元は分析されるユーザの行為の表示を改善させることができるが、これは1つのデータ・センターのみからのデータ・パケットは前記データ・センターとのユーザの交信をおそらく示すだけであり、前記データ・センターのすべてとの交信をし示すものではない。ユーザの行為の表示は、不正行為を検出し、ユーザ及びシステムにフィードバックし及び/又はシステムの性能を改善するための行為の全体的分析を可能にする。
他の利点は、不正検出のためのユーザ・セッションへのユーザ要求の統一である。複数のデータ・センターに送信されるユーザ要求の統一は不正検出システムがユーザの行為の改善された表示を分析することを可能にする。このユーザの行為の改善された表示は複数のデータ・センターにおける1つのデータ・センターとのユーザの交信以上のものである。それは複数のデータ・センターとのユーザの行為の一部又はすべてである。このことはユーザの行為が個々ではなく全体として分析されることを可能にする。
他の利点は、ネットワークの残り(例えばサーバ・システム)へのデータ・パケット及び/又はユーザ要求の送信に干渉することなくネットワークからデータ・パケット及び/又はユーザ要求を捕集することである。サーバ・システムによるデータ・パケット及び/又はユーザ要求の処理はデータ・パケット及び/又はユーザ要求の捕集に干渉されない。
他の利点は、リアルタイムで不正検出システムによってデータ及び/又はユーザ・セッションを処理することである。データ回収システムは、サーバ・システムがデータ・パケット及び/又はユーザ要求を受信すると同時にデータ・パケット及び/又はユーザ要求を回収する。復元データ及び/又は統一ユーザ・セッションは、サーバ・システムがデータ及び/又はユーザ要求を処理すると同時に不正検出システムによって処理される。リアルタイム不正検出は、不正行為がシステムを損傷することができる前に不正行為を禁止することを可能にする(例えば、不正検出システムは、不正取引が完全に処理される前に不正取引を阻止することができる)。
他の利点は、メモリ・モジュールが揮発性メモリであることである。データ及び/又はユーザ・セッションを処理して不正行為が存在するかを決めることがリアルタイムで行なわれる。不正検出システムは、メモリ・モジュールに保存された要素にアクセスしかつ保存された要素を使用してリアルタイムでデータ及び/又はユーザ・セッションを分析するために揮発性メモリの高速アクセス能力を利用する。
他の利点は、データ・バス同意サービスである。データ・バス同意サービスはネットワーク上のデータ供給の同意である。ネットワーク上のデータ供給に同意することは、他の要求者システムが複数のデータ・センターから回収されたデータにアクセスすることを可能にする。同意サービスを提供することによって、他の要求者システム、例えば性能分析システム及び顧客サービス・システムは、複数のデータ・センターのうちの1つのデータ・センターから送信されたユーザの行為の単なる一部ではなく、ユーザの行為の全体的な表示を分析することができる。
本発明の他の態様及び利点は添付図面を参照した以下の詳細な説明から明らかとなり、例としてのみ本発明の方針を例証する。
本発明の前記及び他の目的、特徴及び利点、並びに発明そのものは、添付図面を参照して読まれた場合、様々な実施例の以下の説明からより完全に理解される。
図1は典型的システム100の機能ブロック図であり、このシステムはシステム上で送信されたデータを復元しかつ不正検出システム160にこのデータを送信する。いくつかの例において、データはユーザ112とシステム100との間の交信の記録を含む。交信の記録は例えばユーザ112から仲介会社への売買注文及び/又はユーザ112による製品及びサービスの購買のクレジット・カード取引を含む。
システム100上の送信はパケット・ベースのネットワーク及び/又は回路ベースのネットワーク上で生じることができる。パケット・ベースのネットワークは例えばインターネット、キャリア・インターネット・プロトコル(IP)ネットワーク(例えばローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)、キャンパス・エリア・ネットワーク(CAN)、メトロポリタン・エリア・ネットワーク(MAN)、ホーム・エリア・ネットワーク(HAN))、プライベートIPネットワーク、IPプライベート分岐交換(IPBX)、無線ネットワーク(例えばラジオ・アクセス・ネットワーク(RAN),802.11ネットワーク、802.16ネットワーク、一般パケット・ラジオ・サービス(GPRS)ネットワーク、ハイパーLAN)及び/又は他のパケット・ベースのネットワークを含む。回路ベースのネットワークは例えばパブリック切換電話ネットワーク(PSTN)、プライベート分岐交換(PBX)、無線ネットワーク(例えばRAN、ブルートゥース、コード分割マルチプル・アクセス(CDMA)ネットワーク、時間分割マルチプル・アクセス(TDMA)ネットワーク、移動通信(GSM)ネットワークのためのグローバル・システム)及び/又は他の回路ベースのネットワークを含む。
システム100は送信装置110と交信するユーザ112を含み、この装置はロードバランサ130にデータ・パケットとして1以上の部分におけるデータを送信する。いくつかの例において、ユーザ112はデータ・パケットを送信するために送信装置110のいかなる型も使用することができる。送信装置110は例えばコンピュータ、ブラウザ装置付きコンピュータ、電話、IP電話、移動装置(例えば携帯電話、パーソナル・デジタル・アシスタント(PDA)装置、ラップトップ・コンピュータ、電子メール装置)及び/又は他の通信装置を含む。ブラウザ装置は例えばコンピュータ(例えばデスクトップ・コンピュータ、ラップトップ・コンピュータ)を含み、このコンピュータは世界的ウェブ・ブラウザ(例えばMicrosoft(登録商標)InternetExplorer(登録商標)、Mozilla(登録商標)Firefox)を備える。移動演算装置は例えばBlackberry(登録商標)を含む。
ロードバランサ130はネットワーク・システムであってもよい。ネットワーク・システムは例えばネットワーク・ルータ、ネットワーク・スイッチ、ネットワーク・ハブ、コンピュータ及び/又は他の通信装置を含む。ネットワーク・システムは例えば1以上のネットワーク・アダプタ(例えば10/100/1000ベース−Tネットワーク・インターフェース・アダプタ・カード(NIC)、1000ベース−SX NIC、1000ベース−LX NIC、1000ベース−FX NIC)を含む。ネットワーク・システムは1以上のモジュールを含み、このモジュールはデータ・パケットを処理する。モジュールはデジタル電子回路、コンピュータ・ハードウェア、ファームウェア及び/又はソフトウェアにおいて実施される。モジュールは例えばデータ経路指示モジュール、インターネット・プロトコル(IP)経路指示モジュール、ドメイン名サービス(DNS)経路指示モジュール及び/又は他の経路指示モジュールを含む。
いくつかの例において、システム100は他のシステムからデータ・パケットを受信する。他のシステムは1以上のネットワーク・システムを含み、これらのシステムはそれぞれ1以上の送信装置110を含む。他のシステムは処理のためにデータ・センター120a及び120bに送信するためにロードバランサ130にデータを送信する。
ロードバランサ130はロードバランス技術に基づいて異なるデータ・センター120a又は120bにデータ・パケットを送信する。いくつかの例において、ロードバランサ130は、データ・センターの入手可能な能力(例えばプロセッサ能力、ディスク容量)、ネットワークの状態(例えばパケット・トリップ時間、パケット損失)、データ・パケットに関するサービス指示器の質、適用可能性、各データ・センターへの接続数及び/又は所定の経路指示に従って、複数のデータ・センター120a及び120bから選択されたデータ・センターにデータ・パケットを送信する。
図1はデータ・センターA120a及びB120bを備える典型的システム100を示す。システム100は2つのデータ・センター120a及び120bとともに示されているが、他の例はいかなる数(例えば3、4、10、20、100、1,000、10,000)のデータ・センターでも含む。同様にシステム100は1つのロードバランサ130を例証するが、他の例は多層において複数のロードバランサを含む。例えばユーザの送信装置110はロードバランサ130にデータ・パケットを送信し、この場合バランサは第一ロードバランサ130がデータ・パケットを送信する一層のロードバランサを有する。第一ロードバランサ130の下の層の第二ロードバランサは複数のデータ・センターから選択されたデータ・センターにデータ・パケットを送信する。
データ・センター120a及び120bにおけるデータ・パケットはサーバ・システム122a及び122b並びにデータ回収システム124a及び124bにそれぞれ送信される。例えば、データ・パケットはユーザ送信装置110からロードバランサ130に送信される。データ・パケットはロードバランサ130からデータ・センターA120aに送信される。データ・パケットはデータ・センターA120aにおいてサーバ・システム122a及びデータ回収システム124aに送信される。
データ・センターA120aにおけるサーバ・システム122a及びデータ回収システム124aへのデータ・パケットの送信は、例えばネットワーク装置を使用して同時にかつ互いに独立して生じることができる。ネットワーク装置は例えば、ネットワーク・ルータ、ネットワーク・ファイアウォール、ネットワーク・ハブ、ネットワーク・スイッチ、コンピュータ及び/又は他のネットワーク装置(例えばGigamonSystemsLLCから入手可能なGigamonGigaVUE−MP)を含む。
サーバ・システム122a及び122bはそれぞれ1以上のサーバを含むことができる(例えば126a、127a、127b及び128b)。サーバは例えばウェブ・サーバ(例えば126a)、アプリケーション・サーバ(例えば128b)(例えばOracleCorporationから入手可能なOracle(登録商標)アプリケーション・サーバ10g)、データベース・サーバ(例えば127a及び127b)(例えばOracleCorporationから入手可能なOracle(登録商標)データベース10g)、通信サーバ、ファクス・サーバ、ファイル・サーバ、ゲーム・サーバ、認証サーバ(例えばRSASecurityInc.から入手可能なRSA(登録商標)認証マネージャ)、デスクトップ・コンピュータ、セントラル・アド・サーバ、ファイル輸送プロトコル・サーバ、画像サーバ、メール・サーバ、ニュース・サーバ、プロクシ・サーバ、印刷サーバ、音サーバ、ストリーミング媒体サーバ、ターミナル・サーバ、ファイアウォール、ネットワーク・ルータ、ネットワーク・ハブ、ネットワーク(例えばイントラネット125a)及び/又はネットワーク・スイッチを含む。
いくつかの例において、データ回収システム124a及び124bは1以上の演算装置を含み、この装置は例えばコンピュータ、ラップトップ・コンピュータ、ネットワーク・ルータ、ネットワーク・スイッチ及び/又はネットワーク・ハブ(RadwareLtd.から入手可能なRadware(登録商標)AS4、CovelightSystem,Inc.から入手可能なCovelightInflight(商標)5000、GigamonSystemsLLCから入手可能なGigamonGigaVUE−MP)であってもよい。
データ回収システム124a及び124bは、ネットワークの残りへのデータ送信に干渉することなくネットワークからデータ・パケットを捕集することができる。例えばデータ回収システム124aはロードバランサ130からデータ・センター120aに送信されたデータ・パケットを受信する一方で同時にデータ・パケットはサーバ・システム122aに受信され、データ・パケットを受信するための平行経路を生成する。
データ回収システム124a及び124bはサーバ・システム122a及び122bによってユーザにそれぞれ返信されたデータ・パケットを捕集することができる。例えば、ユーザ112は送信装置110を使用して情報を要求するデータ・パケットを送信する。データ・パケットはロードバランサ130からデータ・センターB120bに送られる。データ・パケットはサーバ・システム122b及びデータ回収システム124bに送信される。サーバ・システム122bはデータ・パケットを処理しかつデータ・パケット応答を送信することによってユーザの要求に答える。データ・パケット応答はデータ回収システム124bによって捕集される。
データ・パケット及び/又はデータ・パケット応答はデータ回収システム124a及び124bから復元エンジン150に送信される。復元エンジン150は複数のデータ・センター120a及び120bからデータ・パケットを受信する。復元エンジン150はデータ・パケットを処理してユーザ112からのデータの一部又は全てを形成する。復元データはユーザの送信装置110によってネットワーク上で送信される情報の一部又は全てを表す(例えばネットワーク上で送信される原情報)。
サーバ・システム122aによるデータ・パケットの処理は同時に又はほぼ同時にかつデータを復元する復元エンジン150とは別に生じることができる。例えばデータ・パケットはサーバ・システム122aから送信され、データ回収システム124aが復元エンジン150にデータ・パケットを送信しかつ復元エンジン150がデータ・パケットをデータに復元すると同時に又はほぼ同時に処理される。サーバ・システム122aによる処理は例えばサーバ・システム122aによって受信されたデータ・パケットがイントラネット125aに送信されイントラネットがウェブ・サーバ126aにこのデータ・パケットを送信することを含む。ウェブ・サーバ126aはデータ・パケットを処理してウェブ・サーバ126aがデータ・パケットに応答する必要があるか及び/又はウェブ・サーバ126aがデータベース・サーバ127aからの情報にアクセスする必要があるか決める。ウェブ・サーバ126aは、データ・パケットに応答するために(例えばウェブ・サーバ126aの一部である探索モジュールへの探索サブミッション)データベース・サーバ127aからの情報を必要とする。ウェブ・サーバ126aはデータベース・サーバ127aに質問し、データベース・サーバ127aはこの質問に答える(例えば探索から要求される情報)。ウェブ・サーバ126aは質問から返信された情報を処理しかつ要求された情報とともにウェブ・ページをイントラネット125aからユーザ112の送信装置110に返信する。
復元エンジン150はデータ・パケットを分析してデータ・パケット情報を決めることができる。データ・パケット情報は送り先パラメータ及び/又は送り元パラメータを含む。データ・パケット・パラメータはデータ・パケットを合わせてユーザ112のデータを形成するために復元エンジン150によって使用されることができる。データ・パケット・パラメータはネットワーク・アドレス、ユーザ・アドレス、作動システム(OS)指紋、ネットワーク・カード・アドレス、ユーザ・クッキ、形式データ、暗号キー及び/又は取引識別子を含む。ネットワーク・アドレスはデータ・パケットを送信する送信装置110のアドレス、データ・パケットを送信するネットワーク・アドレス翻訳装置(例えばファイアウォール)又はデータ・パケットを送信する他のネットワーク装置のアドレスを含む。ユーザ・アドレスはデータ・パケットを送信する送信装置110でのユーザ112のアドレス、ユーザの送信装置110の識別情報又はユーザ112に関連のある他の識別情報を含む。OS指紋はデータ・パケットを送信するOSを示すデータのフォーマット化、OSからのデータ・パケットにおける識別情報又はOSに関連のある他の識別情報を含む。ネットワーク・カード・アドレスはユーザの送信装置110におけるネットワーク・カードのアドレス又は送信装置110に関連のある送信装置の他の識別情報を含む。ユーザ・クッキはユーザの送信装置110に保存された情報(例えばユーザの送信装置110上のウェブ・ブラウザに保存された情報)又はユーザの送信装置110に保存されている他の識別情報を含む。形式データはユーザ112に関連のあるデータ・パケットにおける情報(例えばUserID=GeorgeSmith等のデータ・パケットにおける情報)又はデータ・パケットにおける他の識別情報を含む。
いくつかの例において、復元エンジン150はデータ・パケットを処理してデータ・パケットがサーバ・システム122a及び122bからの要求に合っているか決める。例えばサーバ・システム122aはユーザ112に情報に対する要求(即ちユーザ112からの情報を要求するデータ・パケット)を送信する(例えばログイン情報−ユーザid及びパスワード)。ユーザ112はデータ・パケットを送信することによって送信装置110から応答する(例えばユーザid及びパスワード)。復元エンジン150はユーザ112からのデータ・パケットにサーバ・システム122aからの情報に対する要求を(例えばログイン情報にログイン情報に対する要求を)合わせる。ユーザ112からのデータ・パケットにサーバ・システム122aからの情報に対する要求を適合させることは、データ・パケットを適合させるために復元エンジン150によって使用される。
復元エンジン150はデータ・パケットを処理することができる。データ・パケットの処理は濾過、復号化及び/又は暗号化(RadwareLtd.から入手可能なRadware(登録商標)SSL復号化)を含む。濾過は例えばインターネット・プロトコル・アドレス、プロトコル、データの種類(例えばグラフのインターフェース・フォーマット(gifs)、ハイパーテキスト・マークアップ言語(html)、ジョイント・フォトグラフィック・エキスパーツ・グループ(jpegs)、カスケード・スタイル・シート(css)、ジャヴァスクリプト(js))、パラメータ(例えばパスワード、ピン、個人識別情報)、コンテンツ、コンテンツの種類、一様リソース位置入力装置(URL)経路及び/又はインターネット・プロトコル(IP)範囲による濾過を含む。
復元エンジン150は例えば1時間につき10億を越えるデータ・パケットを受信する。例えば、復元エンジン150は信頼されているインターネット・プロトコル・アドレス(例えば信頼されているデータ・センターからのアドレス10.111.23.12)からのデータ・パケットを濾過することができる。復元エンジン150は信頼されているインターネット・プロトコル・アドレスからのデータ・パケットを全て濾過して復元エンジン150に対する負荷を低減する。例えば復元エンジン150はパスワード及びピン番号等のパラメータを濾過して機密情報が不正検出システム160に送信されることを防ぐ。
復元エンジン150は不正検出システム160にデータを送信する。不正検出システム160はデータを処理して不正行為を検出する。データの処理は例えばデータを処理する1以上のシステムを含む(例えばTIBCOSoftwareInc.から入手可能なTIBCO(登録商標)BusinessEvents(登録商標)、SourceForge(登録商標)から入手可能なDeepNetworkAnalyzer(DNA))。
図2はデータ・センター120a及び120bからデータ・バス210に輸送されているデータを示す典型的システム200の機能ブロック図である。典型的システム200は送信装置110を使用するユーザ112を含み、この装置はロードバランサ130にデータ・パケットとして1以上の部分におけるデータを送信する。ロードバランサ130はロードバランス技術に基づいて複数のデータ・センター120a及び120bにおけるデータ・センターにデータ・パケットを送信する。データ・パケットはサーバ・システム122a及び122b並びにデータ回収システム124a及び124bにそれぞれ送信される。
データ回収システム124a及び124bはデータ・バス210にデータ・パケットを送信する。いくつかの例において、データ・バス210は複数のデータ・センター120a及び120bからのデータ・パケットを統合して復元エンジン150等のデータを必要及び/又は要求しているシステムに分配する。
データ・パケットはデータ・バス210からデータベース220及び復元エンジン150に送信される。復元エンジン150は複数のデータ・センター120a及び120bから受信されたデータ・パケットからデータを復元する。復元されたデータは不正検出システム160及びデータベース220に送信される。
いくつかの例において、データ・バス210はネットワークに接続されている1以上のコンピュータ・システムを含む(例えば演算ブレード、ネットワーク・サーバ、ネットワーク・ルータ、ネットワーク・スイッチ、ネットワーク・ハブ)。いくつかの例において、データベース220はデータ・パケット及び/又はデータを保存する。データベース220は例えばメモリ・モジュールである。メモリ・モジュールは例えば固定記憶装置及び/又は揮発性記憶装置である。
図3はユーザ要求からのユーザ・セッションの統一を示す典型的システム300の機能ブロック図である。システム300はユーザ・セッション310を有するユーザ112を含む。ユーザ・セッション310はユーザ112に関連のあるユーザ要求の全てを編集したものである。ユーザ112はシステム300から情報を要求かつ受信する。この情報の要求及び受信はユーザ要求によって達成される。
ユーザ要求はロードバランサ130に送信される。ロードバランサ130はロードバランス技術に基づいてデータ・センター120a又は120bにユーザ要求を送信する。ユーザ要求は、ユーザ要求が送られたデータ・センター(例えば120a又は120b)に基づいてサーバ・システム122a又は122b及びデータ回収システム124a又は124bに送信される。データ回収システム124a又は124bはデータ・バス210にユーザ要求を送信する。ユーザ要求はデータ・バス210からデータベース220及び統一エンジン320に送信される。統一エンジン320はユーザ112から受信されたユーザ要求を組み合わせて統一されたユーザ・セッションを形成し、この統一されたユーザ・セッションはユーザ・セッション310の全て又は一部を含み、最初に分割されてデータ・センター120a及び120bに送信された。統一されたユーザ・セッションは例えば、ネットワーク上で送信装置110から送信されない交信を含むユーザの行為の一部又は全てを表すものを含んでもよい(例えばサーバ・システム122a及び122bとのインターフェースのアプリケーション等の送信装置に関するアプリケーションに関連のある情報)。
統一エンジン320はユーザ要求を分析してユーザ要求情報を決めることができる。ユーザ要求情報は送り元パラメータ及び/又は送り先パラメータを含む。ユーザ要求パラメータの1以上は例えば、ユーザ要求を互いに合わせてユーザ112の統一されたユーザ・セッションを形成するために統一エンジン320によって使用される。
統一エンジン320はユーザ要求を分析してユーザ要求がサーバ・システム122a及び122bからの情報に対する要求及び/又はユーザの送信装置110に関連のあるアプリケーション・モジュールからの情報に対する要求(例えばサーバ・システム122a及び122bと通信するクライアント側アプリケーション)と一致しているか決めることができる。例えば、ユーザの送信装置110に関連のあるアプリケーション・モジュールはユーザ112から情報を要求する。ユーザ112はアプリケーション・モジュールに情報を入力する。送信装置110からのアプリケーション・モジュールは処理するためのサーバ・システム122a又は122bへのユーザ要求の形式で情報を送信する。統一エンジン320はアプリケーション・モジュールによって要求された情報にユーザ要求を一致させる(即ち統一エンジン320はどの情報がアプリケーション・モジュールによって要求されているかに気づき、そのためユーザ要求に情報を合わせることができる)。ユーザ112からのユーザ要求にアプリケーション・モジュールからの情報要求を一致させることは、ユーザ要求を合わせてユーザ・セッションを形成するために統一エンジン320によって使用される。
統一エンジン320はユーザ要求を処理することができる。ユーザ要求の処理は例えば濾過、復号化及び/又は暗号化を含む。
統一エンジン320によって統一されたユーザ・セッションは保存のためのデータベース220及び不正検出システム160に送信される。不正検出システム160が不正行為を検出すると、不正検出システム160は禁止システム330に通信する。禁止システム330は例えばロードバランサ130へのユーザ要求の通信を停止させる。
図4はユーザ・セッションのデータベース450を含む不正検出システム405の部分を示す典型的システム400の機能ブロック図である。典型的システム400の部分は図1、2及び3を参照した上述のとおりである。
統一エンジン320はユーザ要求を統一しかつ不正検出システム405に統一されたユーザ・セッションを送信する。不正検出システム405は地理的位置プロファイリング・エンジン410、挙動プロファイリング・エンジン420、アプリケーション・ルール・エンジン430、取引ルール・エンジン440及びデータベース450を含む。不正検出システム405は例えば、これらのエンジン又はエンジンの組み合わせの1つを含んでもよい。
地理的位置プロファイリング・エンジン410はユーザ位置、ネットワーク経路及び/又はネットワーク・アドレスを分析する。例えば、地理的位置プロファイリング・エンジン410は送信装置110のネットワーク・アドレスを分析してネットワーク・アドレスが疑わしいアドレス(例えばかなりの不正行為を有すると知られている外国からのネットワーク・アドレス)として公知のアドレスであるかを決める。ネットワーク・アドレスが疑わしいと決めることは不正検出システム405によって分析された情報の全て又は一部を含み、行為が不正であるかを決める。例えば、地理的位置プロファイリング・エンジン410はユーザ112のネットワーク経路を分析してユーザ112がアクセスしている経路が疑わしいネットワークを通過するか又は疑わしいネットワークによって傍受されているかを決める。ユーザ112のネットワーク経路が疑わしいネットワークによって傍受されている場合、地理的位置プロファイリング・エンジン410は不正検出システム405に不正行為を報告する。
挙動プロファイリング・エンジン420は挙動を分析するが、これはログオンなく生じるページ・ビュー数、悪意あるソフトウェアの訪問、疑わしいとして分類される探索条件、疑わしいとして分類される一様リソース位置入力装置(URL)、急激なアクセスとして分類される口座アクセス、多数の口座へのアクセス。1セッションごとの多数のネットワーク接続及び/又は1セッションごとの多数のユーザを分析することによって行なわれる。
例えば、ユーザ112が10の異なる口座にアクセスし、これらの口座が互いに接続されていない場合、挙動プロファイリング・エンジン420はユーザの行為は不正であると決めかつ不正検出システム405に不正行為を報告する。しかしながら、ユーザ112が10の異なる口座にアクセスし、これらの口座がすべて互いに接続されている場合(例えば全てが同じメール・アドレス、同じ固有のユーザ識別子を有する)、挙動プロファイリング・エンジン420はユーザの行為が不正ではないと決める。
挙動プロファイリング・エンジン420は異形ベースのプロファイリング・エンジンを含む。異形ベースのプロファイリング・エンジンは行為がいつ基準線の外側になるかを検出するために通常行為の基準線を使用する。通常行為の基準線は例えばプロファイリング・エンジンにプログラムされ及び/又はプロファイリング・エンジンによって学習されることができる一方で、ネットワーク上の情報、データ及び/又はユーザ・セッションを処理する。行為はいかなるイベント、状態、コンテンツ、挙動、取引及び/又はネットワーク400とのユーザ112による同様の処理も含む。
例えば、ユーザ112はインターネット・サービス・プロバイダからの典型的システム400上のEメイル・アドレス(例えばstandardisp.comでの標準ユーザ)を10年間使用してきたが、これを総称的な容易に得られるEメイル・ホスト・サービス(例えばhotmail.comでの総称ユーザ)でのEメイル・アドレスに変更する。ユーザのEメイル・アドレスのこのような変更は数人のユーザにとって通常の挙動であるかもしれないが、この特定のユーザ112にとって、Eメイル・アドレスの変更は通常の挙動の外側となり、挙動プロファイリング・エンジン420は行為を不正行為として分類する。不正行為としての行為の分類は、例えばユーザ112が、Eメイルの変更が提出された通信チャンネルの外側でEメイル・アドレスの変更を確認することを必要とする(例えば、Eメイル・アドレス変更がシステム400に関連のあるウェブサイトを通過すると、通信チャンネルの外側でのEメイル・アドレス変更の確認はシステム400からの電話によるものとなる)。
アプリケーション・ルール・エンジン430は典型的システム400のモジュール間の交信を監視する。アプリケーション・ルール・エンジン430は例えば、ログイン・モジュール、探索モジュール、取引モジュール、情報モジュール及び/又はシステム400の一部である他のモジュールを監視する。アプリケーション・ルール・エンジン430は典型的システム400のモジュールを監視してモジュールとの交信の通常範囲外の交信を検出する(例えば、エンジンにおけるルールに違反する交信)。モジュールを監視することによって、不正検出システム405は、不正のパターンを検出することができるが、この不正はユーザ取引を単に分析するだけでは検出されることができないが、典型的システムのアプリケーションとの交信を分析することによって検出されてもよい。
例えば、一組のユーザが認証モジュールにおけるセキュリティ・ホールを利用しようとしている。アプリケーション・ルール・エンジン430は認証モジュールを監視しながら、ユーザの組が同じユーザ名及びパスワードを使用してシステム400に対して認証しようとしていることを検出する(例えば、ユーザ名及び/又はパスワード・フィールドにおける緩衝器のオーバーフロー)。交信の通常範囲は同じユーザ名及びパスワードを使用してシステム400に対して認証しようとしている1人のユーザ以上ではない。従って、アプリケーション・ルール・エンジン430はユーザの組の行為が不正であると決める。
取引ルール・エンジン440はユーザ・セッションに信頼性レベルを付ける。信頼性レベルはシステム400がユーザ・セッションをランク付けするレベルを決めるための分析である。例えば、ユーザ112がユーザのプロファイル内の位置(例えばユーザの家のコンピュータ)から送信しているが、ユーザ112による取引はユーザのプロファイルの外側である場合(例えば、金融市場口座における金の全てを海外銀行口座に送金するが、この場合ユーザは海外銀行口座に送金したことがない)、ユーザ・セッションの信頼性レベルは低い番号が付けられる。この低い番号は、行為が不正であるかを決めるために、取引ルール・エンジン440及び/又は不正検出システム405によって利用される。
しかしながら、例えば、ユーザ112がユーザのプロファイル内の位置から来ないが(例えばニューヨーク市のホテル、この場合ユーザは以前ニューヨーク市のホテルからログインしたことがない)、ユーザ112による取引はユーザのプロファイル内であり(例えば、金融市場口座における金の全てを海外銀行口座に送金し、この場合ユーザは隔週に海外銀行口座に送金している)ユーザが使用しているコンピュータのコンピュータ署名がユーザのプロファイルにおけるコンピュータ署名に一致している場合(例えば、ユーザはニューヨーク市のホテルで通常家で使用しているラップトップを使用している)、ユーザ・セッションの信頼性レベルは高い番号であり、これは取引はユーザの通常行為の範囲内であるがユーザはユーザのプロファイルの外側の位置からログインしているからである。高い番号は、行為が不正であるかを決めるために取引ルール・エンジン440及び/又は不正検出システム405によって利用される。
取引ルール・エンジン440は署名ベースのルール・エンジンを含む。署名ベースのルール・エンジンはユーザ・セッションにおいて所定のパターン(例えば署名)を探索する。パターンは例えば、不正行為を特徴づける一組の条件を含む。例えば、httpヘッダ及び/又はhttpペイロード・コンテンツは分析されて可変の上書き、パラメータ過負荷及び/又は不正行為が生じているかもしれないことを示す他の種類の行為を検出する。
例えば、ユーザ112は口座から海外銀行口座に$1,000,000を送金する要求を提出している。取引ルール・エンジン440は行為を監視しかつhttpペイロード・コンテンツを調べてコンテンツが行為の情報に相当していることを確実にしている。httpペイロード・コンテンツはユーザid=GeorgeRichを含む一方で、ユーザはユーザid=GeorgeFraudとしてログオンされる。ユーザ112は資金を彼の口座からではなく別のユーザの口座から、httpペイロード・コンテンツにおけるユーザidパラメータを変更することによって送金しようとしている。取引ルール・エンジン440はこの不一致を検出しかつユーザ・セッションを不正として分類している。
データベース450はメモリ・モジュールにユーザ・セッションの要素を保存する。要素は例えば、ユーザ識別、ネットワーク・アドレス、時間、ネットワーク経路、システムにログインされた時間の長さ、取引及び/又はユーザ・セッションに含まれる他の情報を含む。メモリ・モジュールは例えば、揮発性メモリであって、保存されたユーザ・セッションのアクセスの速度を増す。メモリ・モジュールは例えば、履歴の分析のために維持する固定保存装置である(例えばOracle Corporationから入手可能なOracle(登録商標)Berkeley DB)。
例えば、不正検出システム405はデータベース450に保存されているユーザ・セッションを探索し同じネットワーク・アドレス及び/又はネットワーク・サブネットによってアクセスされる。ユーザ・セッションの要素がデータベース450に保存され不正行為に関連のある要素に類似及び/又は一致していると、不正検出システム405はユーザ・セッションを不正であるとして分類する(例えば保存された要素はサブネット10.10.10.0は不正行為に関連があり、そして10.10.10.5からのユーザ・セッションは不正であるとして分類される)。
例えば、データベース450は高速アクセス用揮発性メモリに全ての債券購入用取引金額の全てを保存する。不正検出システム405は統一エンジン320からユーザ・セッションを受信する。ユーザ・セッションは不正検出システム405によって処理されて不正行為が存在するかを決める。不正検出システム405による処理の一部は、ユーザ・セッションにおける取引金額と購入している債券用の以前の取引金額とを比較することである。購入されている債券用のデータベース450における保存された要素は1年につき100,000を越える取引で10年間の取引を含む。不正検出システム405は揮発性メモリにおけるデータベース450から100万件を越える取引を検索してユーザ・セッションにおける取引が不正行為であるかを分析する。不正検出システム405は揮発性メモリ(例えばランダム・アクセス・メモリ)におけるデータベース450の速度を利用して、サーバ・システム122a又は122bが取引を処理していると同時に又はほぼ同時に取引を処理する。ユーザ・セッションにおける取引(例えば9,232の債券の購入)が通常範囲であると(例えば購入の範囲は1〜10,342)、不正検出システム405は取引を禁止しない。ユーザ・セッションにおける取引(例えば132,230の債券の購入)が通常範囲ではない場合(例えば購入の範囲は1〜10,342)、不正検出システム405は取引を禁止する。
図5はデータ・バス210からデータを受信する要求システムを示す典型的システム500の機能ブロック図である。典型的システム500の部品は図1、2、3及び4を参照した上述のとおりである。データ・バス210は要求システムにデータ・パケットを送信する。いくつかの例において、要求システムはマーケティング分析システム562、ネットワーク侵入検出システム564、顧客サービス・システム566及び/又は性能分析システム568を含む。
データ・バス210によって受信されたデータ・パケットは例えば、要求システムに送信される前にデータに復元される。データ・バス210によって受信されたユーザ要求は例えば、要求システムに送信される前にユーザ・セッションに統一される。データ・バス210は例えば、図3に示されている統一エンジン320及び/又は図1に示されている復元エンジン150を含む。
データ・バス210はデータ回収システム124a及び124bから暗号化された情報としてデータ・パケット及び/又はユーザ要求を受信する。データ・バス210は要求システムに送信する前に情報を復号化する。
データ・バス210は特定のプロトコルに準拠しているフォーマットにデータ・パケット及び/又はユーザ要求を処理する。特定のプロトコールはインターネット上の音声プロトコル(VoIP)、送信制御プロトコル(TCP)、インターネット・プロトコル(IP)、拡張可能マークアップ言語(XML)、ハイパーテキスト・マークアップ言語(HTML)及び/又は標準一般化マークアップ言語(SGML)を含む。
図6Aはログイン・モジュールによって生成されたスクリーン・ショット600aである。スクリーン・ショット600aはログイン・モジュールによって生成されたログイン・スクリーンを示し、このモジュールは図1のロードバランサ130に関連のあるネットワークに含まれる。ログイン・スクリーンは顧客識別フィールド602a、ピン・フィールド604a及び情報提出ボタン606aを含む。フィールド602a、604a及び606aはユーザ要求における情報の一部又は全てである。
図6Bは図1の送信装置110から図6Aにおいて情報を含むログイン・モジュールに送られた情報の図600bである。図600bはデータ・パケット及び/又はユーザ要求の一部又は全てである。情報パラメータ610bは情報がどのように導かれ及び/又は処理されるかを規定する。情報パラメータ610bは情報の源、情報の送り先、経路指示情報、情報用プロトコル及び/又は他の型の送信パラメータを含む。情報データ612bはコンテンツ情報を含む。情報データ612bはフォーマット化情報、コンテンツ情報、取引情報及び/又は他の型のコンテンツ情報を含む。取引情報はログイン・スクリーン602aの顧客idフィールドに相当する顧客id602bを備えてもよい。取引情報はログイン・スクリーン604aのピン・フィールドに相当するピン604bを備えてもよい。取引情報はログイン提出ボタン606aに相当するログイン・イン606bコマンド情報を備えてもよい。フィールド602b、604b及び606bはデータ・パケットにおける情報及び/又はユーザ要求における情報の一部又は全てである。
図3の典型的システム300は600a及び600bによって示されているようにユーザ要求をユーザ・セッションに統一する。ユーザ・セッションは不正検出システム160によって分析されて多数の口座への口座アクセスを探す。不正検出システム160はユーザ112が現在のログインと同じ時間枠又は近い時間枠において以前多数の他の口座にログされた口座にログインすることを検出する。不正検出システム160は口座へのアクセスが不正であることを決めかつ禁止システム330にユーザ112のための不正行為情報を送信する。禁止システム330はユーザ112のシステム300へのアクセスを遮断する。
図6Cは図3のサーバ・システム122a又は122bにおける探索モジュールによって生成されたスクリーン・ショット600cである。スクリーン・ショット600cにおけるフィールドはユーザ要求における情報の一部又は全てを備えてもよい。
図6Dは図3の送信装置110からサーバ・システム122a又は122bにおける探索モジュールに送信された情報の図600dであり、このサーバ・システムは図6Cにおける情報を含む。図600dはデータ・パケット及び/又はユーザ要求の一部又は全てである。情報パラメータ610dは情報がどのように導かれかつ処理されるかを規定する。情報データ612dはコンテンツ情報を含む。
図6Eは図3のサーバ・システム122a又は122bにおける探索モジュールから受信された情報の図600eである。図600eはデータ・パケット及び/又はユーザ要求の一部又は全てである。情報パラメータ610eは情報がどのように導かれかつ処理されるかを規定する。情報データ612eはコンテンツ情報を含む。
図6Fは図3のサーバ・システム122a又は122bにおける探索モジュールによって生成された情報のスクリーン・ショット600fである。スクリーン・ショット600fは探索モジュールから受信された情報を示す。スクリーン・ショット600fに示されている情報は図6Eの図における情報612eに相当する。
図6Gは図3のサーバ・システム122a又は122bにおける取引モジュールに送信された情報の図600gである。図600gはデータ・パケット及び/又はユーザ要求の一部又は全てである。情報パラメータ610gは情報がどのように導かれかつ処理されるかを規定する。情報データ612gはコンテンツ情報を含む。
図6Hは図3のサーバ・システム122a又は122bにおける情報モジュールから受信された情報の図600hである。図600hはデータ・パケット及び/又はユーザ要求の一部又は全てである。情報パラメータ610hは情報がどのように導かれかつ処理されるかを規定する。情報データ612hはコンテンツ情報を含む。
図6Iは図3のサーバ・システム122a又は122bにおける情報モジュールによって生成された情報のスクリーン・ショット600iである。スクリーン・ショット600iに示されている情報は図6Hの図における情報612hに相当する。
情報600b、600d、600e、600g及び600hの図は図1のデータ回収システム124a又は124bで回収されたデータ・パケット及び/又はユーザ要求を示す。復元されたデータはデータ回収システム124a及び124bで回収されたデータ・パケットの全ての組み合わせである。復元されたデータは、送信装置110及びサーバ・システム122a及び122bから送信される情報である(例えばシステム100上で送信される原パケットの全て)。スクリーン・ショット600a、600c、600f及び600i及び情報600b、600d、600e、600g及び600hの図に含まれる情報はユーザ・セッションの一部又は全てを示す。ユーザ・セッションは取引を含むユーザの行為の一部又は全てを示し、この取引はネットワーク上で送信装置110から送信されていない。
例えば、送信装置110はサーバ・システム122a及び122bと交信するためのアプリケーションを含む。ユーザ112と送信装置110上のアプリケーションとの間の交信はユーザの行為の一部であり、このようにユーザ・セッションは送信装置110上のアプリケーションとユーザ112との間の交信を含む。統一エンジン320は送信装置110上で使用されるアプリケーションに気づき(例えば、データベース220においてアプリケーションに関する情報及びアプリケーションとの交信を保存することによって)、アプリケーションに関連のある交信を統一されたユーザ・セッションに統合する。
図7は図1の典型的システム100からデータを送信する工程を示すフローチャート700である。ユーザ112は送信装置110を使用してデータ・パケットを送信する(710)。ロードバランサ130はデータ・パケットを受信しかつデータ・センター120a及び120bの1つにデータ・パケットを送る(720)。図7はデータ・センターA120aで行なわれグループ分け730aとして示されている処理及びデータ・センターB120bで行なわれグループ分け730bとして示されている処理を含む。いずれのデータ・センターでも、データ・パケットはサーバ・システム122a及び122bにそれぞれ導かれ(732a及び732b)、データ回収システム124a及び124bはそれぞれデータ・パケットを捕集する(736a及び736b)。データ・パケットはサーバ・システム122a及び122bによってそれぞれ処理される(734a及び734b)。サーバ・システム122a及び122bからの応答はユーザに返信されかつデータ回収システム124a及び124bによってそれぞれ捕集される(736a及び736b)。データ回収システム124a及び124bは復元エンジン150にデータ・パケットを送る(738a及び738b)。復元エンジン150はデータ・センター120a及び120bからデータ・パケットを受信する。復元エンジン150はデータ・パケットからデータを復元する(750)。
データ・パケットの復元(750)はいくつかの異なる方法で生じることができる。例えば、復元(750)はデータ・パケット間の送り元パラメータを一致させることを含んでもよい。例えば図1の典型的システム100及び図6A〜6Iのデータの部分を使用して、復元エンジン150はデータ・パケットをデータに復元する。データ・パケット600b、600d及び600gは情報パラメータ610b、610d及び610gを示す。情報パラメータ610b、610d及び610gは送り元パラメータ(例えばソース・フィールド)を含む。ソース・フィールドは、データ・パケットがアドレス192.168.0.1から発せられたことを示す。発信元フィールドは復元エンジン150によってデータ・パケット間で一致させることができる。一致されたデータ・パケットは情報データ612b、612d及び612gを使用してハイパーテキスト・マークアップ言語(HTML)に変換され、これはHTMLタグを含んでデータの一部又は全てを形成する。
典型的システム100の利点はデータ・パケット600b、600d及び600gが異なるデータ・センター130a及び130bにロードバランサ130によって導かれてサーバ・システム122a及び122bによって処理され(734a及び734b)、異なるデータ・センター130a及び130bに導かれたデータ・パケット600b、600d及び600gはユーザの送信装置110によって送信かつ受信されたデータの一部又は全てに復元される。データ・パケット600bはデータ・センターA120aにロードバランサ130によって導かれる(720)一方で、データ・パケット600d及び600gはデータ・センターB120bにロードバランサ130によって導かれる(720)。データ・パケット600bはサーバ・システム122aに導かれ(732a)かつデータ・センターA120aにおいてデータ回収システム124aによって捕集される(736a)。データ・パケット600d及び600gはサーバ・システム122bに導かれ(732b)かつデータ・センターB120bにおいてデータ回収システム124bによって捕集される(736b)。データ回収システム124a及び124bは復元エンジン150にデータ・パケットを送る(738a及び738b)。復元エンジン150はデータ・センターA120a及びB120bから受信されたデータ・パケットをユーザ112が送ったデータに復元する(750)。このように、データ・パケットはデータ・センター120a及び120bの間で分割されサーバ・システム122a及び122bによって処理されるが(734a及び734b)、復元エンジン150によって復元される(750)。
例えば、復元(750)はデータ・パケット間で送り元及び送り先パラメータを一致させることを含んでもよい。例えば図1の典型的システム100及び図6A〜6Iのデータの部分を使用して、復元エンジン150はデータ・パケットをデータに復元する。データ・パケット600b、600d、600e、600g及び600hは情報パラメータ610b、610d、610e、610g及び610hを示す。情報パラメータ610b、610d、610e、610g及び610hは送り元パラメータ(例えばソース・フィールド、送り先フィールド)を含む。ソース・フィールドは図6B、6D及び6Gに示されているデータ・パケットがアドレス192.168.0.1から発生していることを示す。送り先フィールドはデータ・パケット600e及び600hがアドレス192.168.0.1に送られることを示す。送り元フィールド及び送り先フィールドはデータ・パケット間で復元エンジン150によって一致されデータを形成する。一致させることはデータの復元(750)の一部又は全てである。
典型的システム100の利点はデータ・パケット600b、600d及び600gが異なるデータ・センター130a及び130bにロードバランサ130によって導かれてサーバ・システム122a及び122bによって処理され(734a及び734b)、異なるデータ・センター130a及び130bから導かれたデータ・パケット600b、600d及び600g及びサーバ・システム122a及び122bによって送信されたデータ・パケットはユーザの送信装置110によって送信かつ受信されたデータに復元される。データ・パケット600bはデータ・センターA120aにロードバランサ130によって導かれる(720)一方で、データ・パケット600d及び600gはデータ・センターB120bにロードバランサ130によって導かれる(720)。データ・パケット600bはサーバ・システム122aに導かれ(732a)かつデータ・センターA120aにおいてデータ回収システム124aによって捕集される(736a)。データ・パケット600d及び600gはサーバ・システム122bに導かれ(732b)かつデータ・センターB120bにおいてデータ回収システム124bによって捕集される(736b)。データ回収システム124a及び124bはデータ・パケット600e及び600hを捕集するが(736a及び736b)これらのパケットはユーザ112への応答である。データ回収システム124a及び124bは復元エンジン150にデータ・パケットを送る(738a及び738b)。復元エンジン150はデータ・センターA120a及びB120bから受信されたデータ・パケットをユーザ112が送りかつ受信したデータに復元する(750)。このように、データ・パケットはデータ・センター120a及び120bの間で分割されサーバ・システム122a及び122bによって処理されるが(734a及び734b)、復元エンジン150によって復元される(750)。
図8は図3の典型的システム300によるユーザ要求の送信の工程を示すフローチャート800である。ユーザ112は送信装置110を使用してユーザ要求を送信する(810)。ロードバランサ130はユーザ要求を受信しかつデータ・センター120a及び120bの1つにユーザ要求を送る(820)。図8はデータ・センターA120aで行なわれグループ分け830aとして示されている処理及びデータ・センターB120bで行なわれグループ分け830bとして示されている処理を含む。いずれのデータ・センターでも、ユーザ要求はデータ・センター120a又は120bで受信される(832a及び232b)。ユーザ要求はサーバ・システム122a又は122b及びデータ回収システム124a又は124bにそれぞれ送られる(834a又は834b)。データ回収システムはデータ・バス210にユーザ要求を送る(836a又は836b)。統一エンジン320はデータ・バス210からユーザ要求を受信する(850)。統一エンジン320はデータ・バス210から受信されたユーザ要求を統一して(860)ユーザ・セッションを形成する。
ユーザ要求の統一(860)はいくつかの異なる方法で生じることができる。例えば、統一(860)はユーザ要求間で送り元及び送り先パラメータを一致させることを含む。例えば図3の典型的システム300及び図6A〜6Iのユーザ・セッションの部分を使用して、統一エンジン320はユーザ要求をユーザ・セッションに統一する(860)。ユーザ・セッションはユーザ要求600b、600d及び600g、応答600e及び600h及びスクリーン・ショット600a、600c、600f及び600i用情報を含む。ユーザ要求600b、600d及び600g及び応答600e及び600hは情報パラメータ610b、610d、610e、610g及び610hを示す。情報パラメータ610b、610d、610e、610g及び610hは送り元パラメータ(例えばソース・フィールド、送り先フィールド)を含む。ソース・フィールドはユーザ要求600b、600d及び600gが192.168.0.1から発生していることを示す。送り先フィールドはユーザ要求600e及び600hがアドレス192.168.0.1に送られていることを示す。情報データ612b、612d、612e、612g及び612hはスクリーンショット600a、600c、600f及び600i用情報の一部又は全てとなり、これらのスクリーンショットはユーザ・セッションの一部又は全てである。送り元フィールド及び送り先フィールドはユーザ要求間で統一エンジン320によって一致されデータを形成する。データベース220に保存された情報に基づいて、統一エンジン320はスクリーンショットにおける情報をユーザ要求に一致させることができる(例えば統一エンジンはログイン情報を含むユーザ要求をログイン・モジュールによって生成された図6のスクリーンショット600aに一致させることができる)。フィールドを一致させること及びスクリーンショットにおける情報を一致させることはユーザ・セッションの統一(860)の一部又は全てである。
典型的システム300の利点はロードバランサ130によって異なるデータ・センター130a及び130bに導かれるユーザ要求600b、600d及び600gはユーザ112に送られているユーザ要求600e及び600h及びスクリーンショット600a、600c、600f及び600iに含まれている情報と統一されることである。
図9は図3の典型的システム300によるユーザ要求の送信の工程を示すフローチャート900である。ユーザ112は送信装置110を使用してユーザ要求を送信する(910)。ユーザ要求はロードバランサ130によってデータ・センター120bに送られる(920)。データ・センターB120bはこの例において使用されているが、ロードバランサはデータ・センターA120aにユーザ要求を送る(920)ことができる。要求はサーバ・システム122bに導かれる(932)。サーバ・システム122bは要求を処理する(934)。サーバ・システム122bはユーザ要求に応答する(936)。応答はユーザの送信装置110によってユーザ112に返信されかつデータ回収システム124bによって捕集される(942)。データ回収システム124bはユーザ要求がサーバ・システム122bに導かれる(932)と同時に又はほぼ同時にユーザ要求を捕集する(942)。データ回収システム124bは、サーバ・システム122bによってユーザ要求の処理(934)に影響を与えることなくユーザ要求を捕集(942)する。ユーザ要求を捕集した(942)後、データ回収システム124bは統一エンジン320にユーザ要求を送る(944)。統一エンジン320はユーザ要求を統一(946)してユーザ・セッションを形成する。統一エンジン320はそれ自身によって又は他のユーザ要求とユーザ要求を統一して(946)ユーザ・セッションを形成する。ユーザ・セッションは不正検出システム160によって処理されて(948)不正行為を検出する。
例えば、図4の典型的システム400及び図6A〜6Iのユーザ・セッションを使用して、不正検出システム405はユーザ・セッションを処理して(948)行為が不正であるか決める。不正検出システム405は地理的位置プロファイリング・エンジン410、挙動プロファイリング・エンジン420及び取引ルール・エンジン440を使用してユーザ・セッションを処理(948)するが、このセッションはユーザ要求600gに買い注文を含む(即ち資金の1,000,000債券)。地理的位置プロファイリング・エンジン410はユーザ112が買い注文を送信している位置を処理する(948)。位置は、ネットワーク・アドレス及びネットワーク・サブネットに基づいて疑わしくない(例えばネットワーク・アドレス及びネットワーク・サブネットは疑わしいネットワークのリストに載っていない)。地理的位置プロファイリング・エンジン410は非不正行為の報告を生成する。挙動プロファイリング・エンジン420は買い注文を分析して買い注文がユーザのプロファイルの挙動の範囲の外側であるかを決める。挙動プロファイリング・エンジン420は買い注文がユーザ112の挙動の範囲の外側ではないことを決めるが、これはデータベース450に保存された要素にアクセスすることによって、挙動プロファイリング・エンジン420はユーザ112が過去10年間で何百万もの債券の割り当てを買い売りしたことを決めるからである。挙動プロファイリング・エンジン420は非不正行為の報告を生成する。取引ルール・エンジン440は買い注文を分析して買い注文が特定の債券の買い及び売り注文の通常範囲の外側であるかを決める。取引ルール・エンジン440は百万の債券を売り買いすることが特定の債券の通常範囲であることを決める(例えば債券は平均すると1週間当たり1億の買い売り取引である)。取引ルール・エンジン440は非不正行為の報告を生成する。地理的位置プロファイリング・エンジン410、挙動プロファイリング・エンジン420及び取引ルール・エンジン440の報告に基づいて、不正検出システム405はユーザ・セッションが不正ではないことを決める。
図10は図5の典型的システム500によるデータ・パケットの送信の工程を示すフローチャート1000である。ユーザ112は送信装置110を使用してデータ・パケットを送信する(1010)。データ・パケットはロードバランサ130によってデータ・センターB120bに送られる(1020)。データ・センターB120bはこの例において使用されているが、ロードバランサはデータ・センターA120aにユーザ要求を送る(1020)ことができる。データ・パケットはサーバ・システム122bに導かれる(1032)。サーバ・システム122bはデータ・パケットを処理する(1034)。サーバ・システム122bはデータ・パケットに応答する(1036)。応答は送信装置110によってユーザ112に返信されかつデータ回収システム124bによって捕集される(1042)。データ回収システム124bはデータ・パケットがサーバ・システム122bに導かれる(1032)と同時に又はほぼ同時にデータ・パケットを捕集する(1042)。データ回収システム124bはサーバ・システム122bによるデータ・パケットの処理(1034)に影響を与えることなくデータ・パケットを捕集する(1042)。データ・パケットを捕集した後(1042)、データ回収システム124bはデータ・バス210にデータ・パケットを送る(1044)。要求システムはデータ・バス210からデータの一部を要求する(1046)。要求されたデータはデータ・バス210から要求システムに送信される(1048)。
例えば図5の典型的システム500及び図6A〜6Iのデータの部分を使用して、要求システム(例えば562、564、566及び/又は568)はデータ・バス210からデータの部分を要求する(1046)。この例において、要求システムは性能分析システム568である。性能分析システム568はデータ・パケットを分析して探索モジュールの応答時間を決める。性能分析システム568は探索モジュールにかつ探索モジュールから送られるデータを要求する(1046)。データ・バス210は性能分析システム568にデータの要求された部分を送信する(1048)。データの部分はデータ・パケット600d及び600eであり、これらのパケットは探索モジュールにかつ探索モジュールから送られるデータの部分を表す。性能分析システム568は探索を要求するデータ・パケット600dと探索結果を送信したデータ・パケット600eとの間の応答時間を分析する。高い応答時間はシステム500が負荷されかつ性能分析システム568がロードバランサ130及び/又はサーバ・システム122a及び122bの形態を変更して応答時間を低減させたことを示す。低い応答時間はシステム500が適切な時間枠でユーザ要求に応答しかつ訂正行為が必要とされなかったことを示す。性能分析システム568はシステム500のモジュールを監視しかつシステム500を変更して適切な場合に応答時間を低減させる。
この例において、要求システムは顧客サービス・システム566である。顧客サービス・システム566はデータ・パケットを分析してユーザ112がシステム500に関して有している問題を診断かつ解決する。ユーザ112は、システム500の一部である探索モジュールに情報を提出することによって、情報データ612dを利用して情報を探索しようとしている。探索モジュールは正確な情報を返信していない。ユーザ112は、ユーザ112用データを見るために顧客サービス・システム566を使用している顧客サービス代表者に連絡する。データの部分は顧客サービス・システム566によって要求される(1046)。顧客サービス代表者は、情報パラメータ610dがシステム500に正確に送信されていないので情報要求が失敗していることを識別する。顧客サービス代表者はユーザ112に世界ウェブ・ブラウザ・ソフトウェア(例えばMozilla(登録商標)Firefox)を更新しかつ再び試みるように指示する。ユーザ112は世界ウェブ・ブラウザ・ソフトウェアを更新しかつシステム500にデータ・パケット600dを提出する。ユーザ112は、スクリーンショット600fに示されているようにデータ・パケット応答600e(即ちユーザの要求に対する応答)を受信する。
図11は図3の典型的システム300によるユーザ要求の送信の工程を示すフローチャート1100である。ユーザ112は送信装置110を使用してユーザ要求を送信する(1110)。禁止システム330は、ユーザ・セッションが不正検出システム160からの通知に基づいて禁止されるべきかを決める(1164)。不正検出システム160は、例えばユーザ112がユーザの挙動プロファイルの外側で取引している場合、禁止システム330に通知を送る(例えばユーザ112は1000万の株式の割り当てを買っていて、この場合ユーザ112はこの取引の前にポートフォリオにおいて100の株式の割り当てを有しているにすぎない)。
禁止システム330がユーザ・セッションを禁止していないと(1164)、ユーザ要求はロードバランサ130によってデータ・センター120bに導かれる(1120)。禁止システム330がユーザ・セッションを禁止していないと(1164)、システム1100のアクセスは停止される(1166)。データ・センターB120bはこの例において使用されているが、ロードバランサはデータ・センターA120aにユーザ要求を送ることができる(920)。要求はサーバ・システム122bに導かれる(1032)。サーバ・システム122bは要求を処理する(1034)。サーバ・システム122bはユーザ要求に応答する(1036)。応答は送信装置110によってユーザ112に返信されるが、これは禁止システム330が、不正検出システム160からの通知に基づいてユーザ・セッションが禁止されるべきかを決めない(1162)場合である。禁止システム330がユーザ・セッションを禁止しないと(1162)、アクセスはシステム1100が停止される(1166)(即ちユーザ要求への応答はユーザ112に返送されていない)。
データ回収システム124bはユーザ要求がサーバ・システム122bに導かれる(1132)と同時に又はほぼ同時にユーザ要求を捕集する(1142)。データ回収システム124bは、サーバ・システム122bによるユーザ要求の処理(1134)に影響を与えることなくユーザ要求を捕集する(1142)。ユーザ要求を捕集した後(1142)、データ回収システム124bはデータ・バス210にユーザ要求を送る(1144)。統一エンジン320はデータ・バス210からユーザ要求を受信する(1146)。統一エンジン320はユーザ要求を統一して(1148)ユーザ・セッションを形成する。統一エンジン320はそれ自身によって又は他のユーザ要求でユーザ要求を統一して(1148)ユーザ・セッションを形成する。ユーザ・セッションは不正検出システム160によって処理されて(1050)不正行為を検出する。不正検出システム160が不正行為を検出すると(1160)、不正検出システム160は禁止システム330に通知する。不正検出システム160が不正行為を検出しないと(1160)、不正検出システム160はユーザ・セッションを処理し続けて(1150)不正行為を探す。
例えば図4の典型的システム400及び図6A〜6Iのユーザ・セッションを使用して、禁止システム330はユーザ要求及びユーザ要求への応答を禁止するかを決める(1162及び1164)。統一エンジン320によるユーザ要求のユーザ・セッションへの統一(1148)は上述したとおりである。ユーザ・セッションは不正検出システム405によって処理されて(1150)疑わしいとして分類される探索条件を探す。不正検出システム405は、ユーザ・セッションを処理(1150)するために挙動プロファイリング・エンジン420を使用する。挙動プロファイリング・エンジン420は情報データ612dにおける探索条件を処理(1150)して探索条件が挙動プロファイリング・エンジン420によって疑わしいとして分類されるか決める。高い収益の債券用探索条件、10年以上の資金の実績及び5つ星のモーニングスター評価は挙動プロファイリング・エンジン420によって疑わしい探索条件として分類されないが、これは探索が長期投資探索として分類され不正探索として分類されないからである。従って、挙動プロファイリング・エンジン420はユーザ112による探索を不正行為として分類しないかつ不正検出システム160は禁止システム330に通知(1160)しないが、これは不正行為が検出されていないからである。
図12は図4の典型的システム400によるユーザ要求の送信の工程を示すフローチャート1200である。ユーザ要求の送信の工程は上述した図11に部分的に類似している。ユーザ112は送信装置110を使用してユーザ要求を送信する(1110)。ユーザ要求は認証システムに送られ、このシステムはユーザ112が、適切に認証されたユーザ112からのユーザ要求のみがシステム1200にアクセスすることを許可されることを検証することを認証(1270)する。ユーザ112がシステム1200へのアクセスを許可されると(1268)、ユーザ要求はロードバランサ130に送信される。ユーザ112がシステム1200へのアクセスを許可されないと(1268)、ユーザ・アクセスは停止される(1166)。
いくつかの例において、認証システムはコンピュータ、ネットワーク・ハブ、ネットワーク・スイッチ、ネットワーク・ルータ、ネットワーク・ファイアウォール、認証サーバ(例えばMicrosoft Corporationから入手可能なWindows(登録商標)Server2003におけるKerberos認証サーバ、Oracle Corporationから入手可能なOracle(登録商標)アクセス・マネージャ)及び/又は他の認証モジュールを含む。
図13は図4の典型的システム400によるユーザ要求の送信の工程を示すフローチャート1300である。ユーザ要求の送信の工程は上述された図11及び12に部分的に類似している。不正検出システム405が不正行為を検出すると(1160)、禁止システム330は不正行為に基づいて認証ルールを生成する(1382)。認証ルールは認証システムに通信されている(1384)。ユーザ112がユーザ要求を送信すると(1110)、認証システムはユーザ112を認証している場合(1270)ルールを有する。いくつかの例において、ルールは典型的システムへのアクセスを許可されていない或る位置の識別、典型的システムへのアクセスを許可されていない或るユーザ口座の識別及び/又は設定時間の間、典型的システムへのアクセスを許可されていない或るユーザ口座の識別を含む。
図14は図4の典型的システム400によるユーザ要求の送信の工程を示すフローチャート1400である。ユーザ要求の送信の工程は上述された図11、12及び13に部分的に類似している。不正検出システム405が不正行為を検出すると(1160)、禁止システム330はユーザ要求及び不正が検出されたユーザ・セッションに対するユーザ要求への応答を禁止する(1162及び1164)。そして禁止システム330は別のネットワークにユーザ要求及びユーザ要求に対する応答を再送する(1470)。いくつかの例において、別のネットワークはハニーポット・サーバ、ハニーポット・ネットワーク、サーバ・システム、ネットワーク・ファイアウォール、ネットワーク・ルータ、ネットワーク・ハブ、ネットワーク・スイッチ及び/又は他のネットワーク通信装置を含む。別のネットワークは例えば、ユーザ115がデータ・センター120a及び120bに悪影響を及ぼすことなく不正行為を続けることができるように使用される。ユーザ115に別のネットワーク上で不正行為を続けて行なわせることができるので、不正検出システム405に対するルール及び/又はプロファイルの追加又は修正に対する不正行為の分析を行なうことができる。
前記システム及び方法はデジタル電子回路、コンピュータ・ハードウェア、ファームウェア及び/又はソフトウェアにおいて実施されることができる。実施はコンピュータ・プログラム製品として行なわれる(即ち情報キャリアにおいて明白に具現化されるコンピュータ・プログラム製品)。実施は例えば、機械読み取り可能な記憶装置及び/又は伝播された信号において行なわれることができ、データ処理装置による実行又はこの装置の作動制御が行なわれる。実施は例えば、プログラム可能な処理装置、コンピュータ及び/又は多数のコンピュータにおいて行なわれることができる。
コンピュータ・プログラムはいかなる形式のプログラム言語でも書かれることができ、この言語は編集及び/又は翻訳された言語を含み、コンピュータ・プログラムはいかなる形式でも実施され、この形式はスタンドアロン・プログラム又はサブルーチン、要素及び/又は演算環境における使用に適している他の装置を含む。コンピュータ・プログラムは1台のコンピュータ又は1つの場所での多数のコンピュータ上で実行されるように構成されている。
方法ステップは1以上のプログラム可能なプロセッサによって行なわれることができ、コンピュータ・プログラムを実行させて本発明の機能を行い、これは入力データに基づいて作動しかつ出力を発生することによって行なわれる。また、方法ステップは特別な目的の論理回路によって行なわれることができ、装置はこの回路として実施されることができる。回路は例えば、FPGA(フィールド・プログラム可能ゲート・アレイ)及び/又はASIC(アプリケーション特定の集積回路)であってもよい。モジュール、サブルーチン及びソフトウェア・エージェントはコンピュータ・プログラム、プロセッサ、特別な回路、ソフトウェア及び/又はその機能を実施するハードウェアであってもよい。
コンピュータ・プログラムの実行に適しているプロセッサは例えば、一般的及び特別な目的のマイクロプロセッサの両方及びあらゆる種類のデジタル・コンピュータの1以上のプロセッサを含む。一般的に、プロセッサは読取り専用メモリ又はランダム・アクセス・メモリ又はこれらの両方から指令及びデータを受信する。コンピュータの重要な要素は指令を実行するためのプロセッサ及び指令及びデータを保存するための1以上のメモリ装置である。一般的に、コンピュータはデータを保存するための1以上の大容量記憶装置(例えば磁気、光磁気ディスク又は光ディスク)を含んでもよく、これらの装置に作動可能に接続されてこれらの装置からデータを受信及び/又は装置にデータを転送することができる。
データ送信及び指示は通信ネットワーク上で生じることができる。コンピュータ・プログラム指令及びデータを具現化させるために適切な情報キャリアはあらゆる形式の不揮発性メモリを含み、例として半導体メモリ装置を含む。情報キャリアは例えば、EPROM、EEPROM、フラッシュ・メモリ装置、磁気ディスク、内部ハードディスク、取り外し可能なディスク、光磁気ディスク、CD−ROM及び/又はDVD−ROMディスクであってもよい。プロセッサ及びメモリは特別目的論理回路が追加及び/又はこの回路に組み込まれてもよい。
ユーザと交信するために、前記技術は表示装置を有するコンピュータ上で実施されることができる。表示装置は例えば、陰極線管(CRT)及び/又は液晶表示(LCD)モニタであってもよい。ユーザとの交信は例えば、ユーザへの情報の表示、キーボード及び印刷装置(例えばマウス又はトラックボール)であってもよく、この装置によってユーザはコンピュータに入力することができる(例えばユーザ・インターフェース要素との交信)。他の種類の装置はユーザと交信するために使用されることができる。他の装置は例えば、あらゆる形式の感覚フィードバックでユーザに提供されるフィードバックであってもよい(例えば視覚フィードバック、聴覚フィードバック又は触覚フィードバック)。ユーザからの入力は例えば、聴覚、発話及び/又は触覚入力を含むどの形式でも受信されることができる。
前記技術は分配演算システムにおいて実施されることができ、このシステムはバックエンド部品を含む。バックエンド部品は例えば、データ・サーバ、ミドルウェア部品及び/又はアプリケーション・サーバであってもよい。前記技術は分配演算システムにおいて実施されることができ、このシステムはフロントエンド部品を含む。フロントエンド部品は例えば、グラフィカル・ユーザ・インターフェースを有するクライアント・コンピュータ、ユーザが実施例によって交信可能なウェブ・ブラウザ及び/又は送信装置用の他のグラフィカル・ユーザ・インターフェースであってもよい。システムの部品はデジタル・データ通信のいかなる形式又は媒体によっても相互接続されることができる(例えば通信ネットワーク)。通信ネットワークは例えば、ローカル・エリア・ネットワーク(LAN)、ワイド・エリア・ネットワーク(WAN)、インターネット、有線ネットワーク及び/又は無線ネットワークを含んでもよい。
システムはクライアントとサーバとを含んでもよい。クライアント及びサーバは一般的に互いに離れていて、通常通信ネットワークを通じて交信する。クライアントとサーバとの関係はコンピュータ・プログラムによって生じ、このプログラムは各コンピュータ上で作動しかつ互いにクライアントとサーバとの関係を有する。
備える、含む及び/又はそれぞれの複数形は開放端であり、挙げられた部品を含み、挙げられていない追加の部品も含むことができる。及び/又は開放端であり、挙げられた部品の1以上及び挙げられた部品の組み合わせを含む。
当業者は、本発明が発明の要旨又は重要な特徴から逸脱することなく他の特定の形式において具現化されてもよいことを認識している。従って前記実施例はここに述べられた発明を限定するというよりも、あらゆる点において例証であると考えられる。このように発明の範囲は、前記説明によってというよりも、添付された請求項の範囲によって示されているので、請求項の範囲に等価の意味及び範囲内の変更はすべて本発明に含まれるように意図されている。
100 システム
110 送信装置
112 ユーザ
120a、120b データセンター
122a、122b サーバシステム
124a、124b データ回収(収集)システム
130 ロードバランサ
160 不正検出システム
110 送信装置
112 ユーザ
120a、120b データセンター
122a、122b サーバシステム
124a、124b データ回収(収集)システム
130 ロードバランサ
160 不正検出システム
Claims (12)
- ネットワークにおける不正行為を検出して禁止する方法であって、
ユーザ要求に関連するデータパケットを取り込むステップにして、複数のデータセンターの少なくとも一つからユーザ要求に関連するデータパケットを受信するステップと、該ユーザ要求のノーマルインラインサービスに干渉することなく該データパケットのコピーを生成するステップとを含む該データパケット取り込みステップと、
前記ユーザ要求のノーマルインラインサービスと並行に前記データパケットのコピーを処理するステップとを含み、
前記処理ステップは、前記データパケットのコピーを一つ又は複数の分析エンジンに送信するステップと、
一つ又は複数のユーザセッションを生成するため、前記一つ又は複数の分析エンジンにおいて、前記データパケットのコピーと別のデータパケットとの一致を、該データパケットのコピー及び該別のデータパケットに関連するパラメータに基づいて決定するステップと、
前記一つ又は複数のユーザセッションをデータ記憶モジュールに格納するステップとを含み、
該方法は、
前記一つ又は複数のユーザセッションを不正検出エンジンに送信するステップと、
前記不正検出エンジンにおいて、不正行為の存在を決定する一つ又は複数の不正監視基準に対して前記一つ又は複数のユーザセッションを分析するステップとを含み、
前記分析するステップは、複数のユーザセッションを統合して行為プロファイルを生成するステップと、
不正行為の存在を決定するため、前記行為プロファイルを処理するステップとを含み、
該方法は、
不正行為を検出するや否や前記ユーザセッションを禁止するステップを含む方法。 - 単一のユーザセッションが、複数の異なるユーザもしくは複数の異なるユーザ装置、又はこれらの両方に関連付けられる請求項1の方法。
- 前記別のデータパケットは第2ユーザ要求に関連付けられる請求項2の方法。
- 前記ユーザセッションの禁止は、前記ユーザに前記ネットワークに対して認証することを要求し;前記ユーザに前記不正行為を通知し;前記不正行為を停止するため、前記ネットワークから前記ユーザセッションを遮断し;前記不正行為を緩和するため、前記ユーザセッションを別個のネットワークに向け直し;又は、これらの組合せを行う請求項1の方法。
- 前記不正監視基準は、地理的位置プロファイル、挙動プロファイル、アプリケーションルールプロファイル、及び取引ルールプロファイルを含む請求項1の方法。
- 前記統合されたユーザセッションは、複数の異なるユーザもしくは複数の異なるユーザ装置、又はこれらの両方に関連付けられる請求項1の方法。
- 前記一つ又は複数のユーザセッションに対する要求を受信するステップにして、要求元からの該一つ又は複数のユーザセッションに対する加入要求を受け入れるステップを含む該要求受信ステップと、
前記一つ又は複数のユーザセッションを前記要求元に送信するステップとを更に含む請求項1〜6のいずれか一つの方法。 - 一つ又は複数のユーザセッションを生成するステップが、特定のプロトコルに準拠するように前記データパケットを処理するステップを含む請求項1〜7のいずれか一つの方法。
- 前記処理ステップは、前記ユーザ要求の前記ノーマルインラインサービスと同時でかつ該サービスとは別個に行われる請求項1〜8のいずれか一つの方法。
- コンピュータ読み取り可能な情報媒体に実体的に具体化されたコンピュータプログラムであって、
データ処理装置に対し、次のコンピュータ処理を実行させるように動作可能な命令を含み、
該コンピュータ処理は、
ユーザ要求に関連するデータパケットを取り込むステップにして、複数のデータセンターの少なくとも一つからユーザ要求に関連するデータパケットを受信するステップと、該ユーザ要求のノーマルインラインサービスに干渉することなく該データパケットのコピーを生成するステップとを含む該データパケット取り込みステップと、
前記ユーザ要求のノーマルインラインサービスと並行に前記データパケットのコピーを処理するステップとを含み、
前記処理ステップは、前記データパケットのコピーを一つ又は複数の分析エンジンに送信するステップと、
一つ又は複数のユーザセッションを生成するため、前記一つ又は複数の分析エンジンにおいて、前記データパケットのコピーと別のデータパケットとの一致を、該データパケットのコピー及び該別のデータパケットに関連するパラメータに基づいて決定するステップと、
前記一つ又は複数のユーザセッションをデータ記憶モジュールに格納するステップとを含み、
該コンピュータ処理は、
前記一つ又は複数のユーザセッションを不正検出エンジンに送信するステップと、
前記不正検出エンジンにおいて、不正行為の存在を決定する一つ又は複数の不正監視基準に対して前記一つ又は複数のユーザセッションを分析するステップとを含み、
前記分析するステップは、複数のユーザセッションを統合して行為プロファイルを生成するステップと、
不正行為の存在を決定するため、前記行為プロファイルを処理するステップとを含み、
該コンピュータ処理は、
不正行為を検出するや否や前記ユーザセッションを禁止するステップを含むコンピュータプログラム。 - ネットワークにおける不正行為を検出して禁止するためのシステムであって、
ユーザ要求に関連するデータパケットを取り込むように構成されるデータ回収サーバにして、該取り込みが、複数のデータセンターの少なくとも一つからユーザ要求に関連するデータパケットを受信すること、及び、該ユーザ要求のノーマルインラインサービスに干渉することなく該データパケットのコピーを生成することを含む該データ回収サーバと、
前記ユーザ要求のノーマルインラインサービスと並行に前記データパケットのコピーを処理するように構成される統一サーバとを備え、
前記処理は、前記データパケットのコピーを一つ又は複数の分析エンジンに送信することと、
一つ又は複数のユーザセッションを生成するため、前記一つ又は複数の分析エンジンにおいて、前記データパケットのコピーと別のデータパケットとの一致を、該データパケットのコピー及び該別のデータパケットに関連するパラメータに基づいて決定することと、
前記一つ又は複数のユーザセッションをデータ記憶モジュールに格納することとを含み、
前記統一サーバは、
前記一つ又は複数のユーザセッションを不正検出エンジンに送信し、かつ、
前記不正検出エンジンにおいて、不正行為の存在を決定する一つ又は複数の不正監視基準に対して前記一つ又は複数のユーザセッションを分析するように構成され、
前記分析は、複数のユーザセッションを統合して行為プロファイルを生成することと、
不正行為の存在を決定するため、前記行為プロファイルを処理することとを含み、
前記統一サーバは、
不正行為を検出するや否や前記ユーザセッションを禁止するように構成されるシステム。 - ネットワークにおける不正行為を検出して禁止するためのシステムであって、
ユーザ要求に関連するデータパケットを取り込むための手段にして、該取り込みが、複数のデータセンターの少なくとも一つからユーザ要求に関連するデータパケットを受信すること、及び、該ユーザ要求のノーマルインラインサービスに干渉することなく該データパケットのコピーを生成することを含む該パケットデータ取り込み手段と、
前記ユーザ要求のノーマルインラインサービスと並行に前記データパケットのコピーを処理するための手段とを備え、
前記処理は、前記データパケットのコピーを一つ又は複数の分析エンジンに送信することと、
一つ又は複数のユーザセッションを生成するため、前記一つ又は複数の分析エンジンにおいて、前記データパケットのコピーと別のデータパケットとの一致を、該データパケットのコピー及び該別のデータパケットに関連するパラメータに基づいて決定することと、
前記一つ又は複数のユーザセッションをデータ記憶モジュールに格納することとを含み、
該システムは、
前記一つ又は複数のユーザセッションを不正検出エンジンに送信するための手段と、
前記不正検出エンジンにおいて、不正行為の存在を決定する一つ又は複数の不正監視基準に対して前記一つ又は複数のユーザセッションを分析するための手段とを含み、
前記分析は、複数のユーザセッションを統合して行為プロファイルを生成することと、
不正行為の存在を決定するため、前記行為プロファイルを処理することとを含み、
該システムは、
不正行為を検出するや否や前記ユーザセッションを禁止するための手段を含むシステム。
Applications Claiming Priority (13)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/559,762 US20080114858A1 (en) | 2006-11-14 | 2006-11-14 | Reconstructing Data on a Network |
| US11/559,784 | 2006-11-14 | ||
| US11/559,764 | 2006-11-14 | ||
| US11/559,775 | 2006-11-14 | ||
| US11/559,767 US8145560B2 (en) | 2006-11-14 | 2006-11-14 | Detecting fraudulent activity on a network |
| US11/559,762 | 2006-11-14 | ||
| US11/559,784 US8180873B2 (en) | 2006-11-14 | 2006-11-14 | Detecting fraudulent activity |
| US11/559,771 | 2006-11-14 | ||
| US11/559,775 US7856494B2 (en) | 2006-11-14 | 2006-11-14 | Detecting and interdicting fraudulent activity on a network |
| US11/559,771 US20080115213A1 (en) | 2006-11-14 | 2006-11-14 | Detecting Fraudulent Activity on a Network Using Stored Information |
| US11/559,764 US20080114883A1 (en) | 2006-11-14 | 2006-11-14 | Unifying User Sessions on a Network |
| US11/559,767 | 2006-11-14 | ||
| PCT/US2007/084540 WO2008127422A2 (en) | 2006-11-14 | 2007-11-13 | Detecting and interdicting fraudulent activity on a network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010512035A JP2010512035A (ja) | 2010-04-15 |
| JP5166432B2 true JP5166432B2 (ja) | 2013-03-21 |
Family
ID=39864546
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2009537316A Expired - Fee Related JP5166432B2 (ja) | 2006-11-14 | 2007-11-13 | ネットワークにおける不正行為の検出及び禁止 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP2090065A2 (ja) |
| JP (1) | JP5166432B2 (ja) |
| AU (1) | AU2007351385B2 (ja) |
| CA (1) | CA2669546A1 (ja) |
| WO (1) | WO2008127422A2 (ja) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8041592B2 (en) * | 2007-11-30 | 2011-10-18 | Bank Of America Corporation | Collection and analysis of multiple data sources |
| US9378345B2 (en) | 2014-04-29 | 2016-06-28 | Bank Of America Corporation | Authentication using device ID |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH07262135A (ja) * | 1994-03-17 | 1995-10-13 | Hitachi Ltd | セキュリティ管理装置 |
| CA2415888C (en) * | 2000-08-04 | 2008-10-21 | Avaya Technology Corporation | Intelligent demand driven recognition of url objects in connection oriented transactions |
| AU3054102A (en) * | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
| KR100439950B1 (ko) * | 2001-05-22 | 2004-07-12 | (주)인젠 | 네트워크 침입탐지 시스템 |
| JP2003085006A (ja) * | 2001-09-07 | 2003-03-20 | Hitachi Information Systems Ltd | Ipアドレス逆探知システム及びそのipアドレス逆探知方法及びそのログ収集用サーバに格納されるプログラム |
| JP2004064694A (ja) * | 2002-07-31 | 2004-02-26 | Nec Corp | 通信ネットワークにおけるパケット収集の負荷分散方法及びその装置 |
| JP2005117100A (ja) * | 2003-10-02 | 2005-04-28 | Oki Electric Ind Co Ltd | 侵入検知システムおよびトラヒック集約装置 |
| JP2006025096A (ja) * | 2004-07-07 | 2006-01-26 | Japan Telecom Co Ltd | ネットワークシステム |
| JP2006120130A (ja) * | 2004-09-21 | 2006-05-11 | Software Partner:Kk | アクセスログの管理システム及び管理方法 |
| US20060236395A1 (en) * | 2004-09-30 | 2006-10-19 | David Barker | System and method for conducting surveillance on a distributed network |
| JP4479459B2 (ja) * | 2004-10-19 | 2010-06-09 | 横河電機株式会社 | パケット解析システム |
| JP4421462B2 (ja) * | 2004-12-06 | 2010-02-24 | 三菱電機株式会社 | 不正侵入検知システムおよび管理装置 |
-
2007
- 2007-11-13 EP EP07873613A patent/EP2090065A2/en not_active Withdrawn
- 2007-11-13 AU AU2007351385A patent/AU2007351385B2/en not_active Ceased
- 2007-11-13 CA CA002669546A patent/CA2669546A1/en not_active Abandoned
- 2007-11-13 JP JP2009537316A patent/JP5166432B2/ja not_active Expired - Fee Related
- 2007-11-13 WO PCT/US2007/084540 patent/WO2008127422A2/en active Application Filing
Also Published As
| Publication number | Publication date |
|---|---|
| CA2669546A1 (en) | 2008-10-23 |
| AU2007351385A2 (en) | 2009-09-03 |
| WO2008127422A9 (en) | 2008-12-04 |
| WO2008127422A2 (en) | 2008-10-23 |
| WO2008127422A3 (en) | 2009-04-23 |
| JP2010512035A (ja) | 2010-04-15 |
| AU2007351385B2 (en) | 2013-05-16 |
| AU2007351385A1 (en) | 2008-10-23 |
| EP2090065A2 (en) | 2009-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7856494B2 (en) | Detecting and interdicting fraudulent activity on a network | |
| US8180873B2 (en) | Detecting fraudulent activity | |
| US8145560B2 (en) | Detecting fraudulent activity on a network | |
| US20080115213A1 (en) | Detecting Fraudulent Activity on a Network Using Stored Information | |
| US20080114883A1 (en) | Unifying User Sessions on a Network | |
| US20080114858A1 (en) | Reconstructing Data on a Network | |
| US7373524B2 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
| US8732472B2 (en) | System and method for verification of digital certificates | |
| US8996669B2 (en) | Internet improvement platform with learning module | |
| US8850567B1 (en) | Unauthorized URL requests detection | |
| EP3570519B1 (en) | Identifying self-signed certificates using http access logs for malware detection | |
| US8769128B2 (en) | Method for extranet security | |
| US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
| US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
| US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
| US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
| US20090129400A1 (en) | Parsing and flagging data on a network | |
| US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
| US20050188222A1 (en) | Methods, systems and computer program products for monitoring user login activity for a server application | |
| RU2634174C1 (ru) | Система и способ выполнения банковской транзакции | |
| CN111447232A (zh) | 一种网络流量检测方法及装置 | |
| US11206279B2 (en) | Systems and methods for detecting and validating cyber threats | |
| RU2601147C2 (ru) | Система и способ выявления целевых атак | |
| CN114629719A (zh) | 资源访问控制方法和资源访问控制系统 | |
| JP5166432B2 (ja) | ネットワークにおける不正行為の検出及び禁止 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20101115 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20120607 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20120731 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20121031 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20121120 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20121220 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20151228 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |