New! View global litigation for patent families

RU2015128769A - Способ и устройство для идентификации поведения пользователя - Google Patents

Способ и устройство для идентификации поведения пользователя

Info

Publication number
RU2015128769A
RU2015128769A RU2015128769A RU2015128769A RU2015128769A RU 2015128769 A RU2015128769 A RU 2015128769A RU 2015128769 A RU2015128769 A RU 2015128769A RU 2015128769 A RU2015128769 A RU 2015128769A RU 2015128769 A RU2015128769 A RU 2015128769A
Authority
RU
Grant status
Application
Patent type
Application number
RU2015128769A
Other languages
English (en)
Other versions
RU2628127C2 (ru )
Inventor
Хуа ЧЖАН
И. Ся
Динкунь ХУН
Хайчжо ВАН
Original Assignee
Сяоми Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRICAL DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing packet switching networks
    • H04L43/10Arrangements for monitoring or testing packet switching networks using active monitoring, e.g. heartbeat protocols, polling, ping, trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING; COUNTING
    • G06FELECTRICAL DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Claims (58)

1. Способ идентификации поведения пользователя, содержащий:
получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
2. Способ идентификации поведения пользователя по п. 1, при этом скользящее временное окно содержит m эквациональных временных промежутков;
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна содержит:
оценку, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получение n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления; и
оценку, выходит ли отношение n к m за пределы первого порогового значения отношения;
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, содержит:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение n к m выходит за пределы первого порогового значения отношения.
3. Способ идентификации поведения пользователя по п. 1, при этом квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна содержит:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов; и
оценку, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени;
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, содержит:
определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
4. Способ идентификации поведения пользователя по п. 1, при этом квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна содержит:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
вычисление отношения дисперсии во времени к среднему значению временных интервалов; и
оценку, является ли отношение меньше заданного второго порогового значения отношения;
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, содержит:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение является меньше заданного второго порогового значения отношения.
5. Способ идентификации поведения пользователя по п. 1, при этом квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна содержит:
получение общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
оценку, выходит ли общее количество за пределы заданного порогового значения общего количества; и
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
6. Устройство для идентификации поведения пользователя, содержащее:
модуль сбора, выполненный с возможностью получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
модуль квалифицирования, выполненный с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
модуль определения, выполненный с возможностью определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатом квалифицирования.
7. Устройство для идентификации поведения пользователя по п. 6, при этом скользящее временное окно содержит m эквациональных временных промежутков;
модуль квалифицирования содержит:
субмодуль временных промежутков, выполненный с возможностью оценки, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получения n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления; и
первый субмодуль отношения, выполненный с возможностью оценки, выходит ли отношение n к m за пределы первого порогового значения отношения;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если отношение n к m выходит за пределы первого порогового значения отношения.
8. Устройство для идентификации поведения пользователя по п. 6, при этом модуль квалифицирования содержит:
субмодуль интервала, выполненный с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
модуль дисперсии во времени, выполненный с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов; и
первый субмодуль квалифицирования, выполненный с возможностью квалифицирования, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
9. Устройство для идентификации поведения пользователя по п. 6, при этом модуль квалифицирования содержит:
субмодуль интервала, выполненный с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
модуль дисперсии во времени, выполненный с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
субмодуль отношения, выполненный с возможностью вычисления отношения дисперсии во времени к среднему значению временных интервалов; и
второй субмодуль отношения, выполненный с возможностью оценки, является ли отношение меньше заданного второго порогового значения отношения;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если отношение является меньшим заданного второго порогового значения отношения.
10. Устройство для идентификации поведения пользователя по п. 6, при этом модуль квалифицирования содержит:
субмодуль общего количества, выполненный с возможностью получения общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
субмодуль оценки общего количества, выполненный с возможностью оценки, выходит ли общее количество за пределы заданного порогового значения общего количества; и
второй субмодуль квалифицирования, выполненный с возможностью квалифицирования случаев поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
11. Устройство для идентификации поведения пользователя, содержащее:
процессор; и
запоминающее устройство, выполненное с возможностью хранения команд, выполняемых процессором;
при этом, процессор выполнен с возможностью:
получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
RU2015128769A 2014-11-27 2015-04-30 Способ и устройство для идентификации поведения пользователя RU2628127C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201410708281.6 2014-11-27
CN 201410708281 CN104486298B (zh) 2014-11-27 2014-11-27 识别用户行为的方法及装置
PCT/CN2015/078019 WO2016082462A1 (zh) 2014-11-27 2015-04-30 识别用户行为的方法及装置

Publications (2)

Publication Number Publication Date
RU2015128769A true true RU2015128769A (ru) 2017-01-20
RU2628127C2 RU2628127C2 (ru) 2017-08-15

Family

ID=52760802

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015128769A RU2628127C2 (ru) 2014-11-27 2015-04-30 Способ и устройство для идентификации поведения пользователя

Country Status (7)

Country Link
US (1) US20160156653A1 (ru)
EP (1) EP3026864A1 (ru)
JP (1) JP2017503293A (ru)
KR (1) KR101677217B1 (ru)
CN (1) CN104486298B (ru)
RU (1) RU2628127C2 (ru)
WO (1) WO2016082462A1 (ru)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
CN104881479A (zh) * 2015-06-03 2015-09-02 北京京东尚科信息技术有限公司 一种限制用户最小操作间隔的方法及装置
CN104967629A (zh) * 2015-07-16 2015-10-07 网宿科技股份有限公司 网络攻击检测方法及装置
CN106657410B (zh) * 2017-02-28 2018-04-03 国家电网公司 基于用户访问序列的异常行为检测方法

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
KR100479328B1 (ko) * 2002-12-24 2005-03-31 한국전자통신연구원 슬라이딩 윈도우 캐쉬 구조
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
KR101074597B1 (ko) * 2004-09-17 2011-10-17 주식회사 케이티 가상 웹서버 기반의 침입 유도 시스템 및 그 방법
JP2006279930A (ja) * 2005-03-01 2006-10-12 Nec Corp 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
EP2109841B1 (en) * 2007-01-16 2017-09-20 Absolute Software Corporation A security module having a secondary agent in coordination with a host agent
US7885976B2 (en) * 2007-02-23 2011-02-08 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
EP2009864A1 (en) 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
JP4948359B2 (ja) * 2007-10-26 2012-06-06 三菱電機株式会社 不正アクセス検知装置及び不正アクセス検知方法及びプログラム
US20090144545A1 (en) * 2007-11-29 2009-06-04 International Business Machines Corporation Computer system security using file system access pattern heuristics
JP2009217555A (ja) * 2008-03-11 2009-09-24 Mitsubishi Electric Corp ネットワーク異常判定装置
US8572736B2 (en) * 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8326987B2 (en) * 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
CN101446956A (zh) * 2008-12-12 2009-06-03 北京理工大学 预测模型的在线增量式插入与删除方法
JP2010146160A (ja) * 2008-12-17 2010-07-01 Kureo:Kk 通信管理装置、通信管理方法、およびプログラム
WO2010088550A3 (en) * 2009-01-29 2010-12-02 Breach Security, Inc. A method and apparatus for excessive access rate detection
US9805271B2 (en) * 2009-08-18 2017-10-31 Omni Ai, Inc. Scene preset identification using quadtree decomposition analysis
JP5911431B2 (ja) * 2010-01-21 2016-05-11 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 悪意のあるアクセスの遮断
CN102769549B (zh) * 2011-05-05 2016-02-17 腾讯科技(深圳)有限公司 网络安全监控的方法和装置
US9571508B2 (en) * 2011-07-29 2017-02-14 Hewlett Packard Enterprise Development Lp Systems and methods for distributed rule-based correlation of events
JP5791548B2 (ja) * 2012-03-15 2015-10-07 三菱電機株式会社 アドレス抽出装置
US20130291107A1 (en) * 2012-04-27 2013-10-31 The Irc Company, Inc. System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis
US20140304833A1 (en) * 2013-04-04 2014-10-09 Xerox Corporation Method and system for providing access to crowdsourcing tasks
CN104113519B (zh) * 2013-04-16 2017-07-14 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置

Also Published As

Publication number Publication date Type
EP3026864A1 (en) 2016-06-01 application
KR101677217B1 (ko) 2016-11-17 grant
US20160156653A1 (en) 2016-06-02 application
JP2017503293A (ja) 2017-01-26 application
CN104486298A (zh) 2015-04-01 application
WO2016082462A1 (zh) 2016-06-02 application
RU2628127C2 (ru) 2017-08-15 grant
CN104486298B (zh) 2018-03-09 grant
KR20160077009A (ko) 2016-07-01 application

Similar Documents

Publication Publication Date Title
DE102014001356A8 (de) Portabler Datenträger
ES1122455Y (es) Alicates
DE102015100749A8 (de) Drehtisch
RU2016120202A (ru) Адаптация мультипористых моделей
RU2015144369A (ru) Способ и устройство для управления яркостью подсветки
RU2016107443A (ru) Способ и устройство для рекомендации справочных документов
RU2015153226A (ru) Способ идентификации протяженных объектов земной поверхности
RU2015139691A (ru) Устройство генерации лазерного излучения
RU2016106354A (ru) Способ и аппаратура идентификации метки
RU2016101635A (ru) Устройство для измерения электрических величин и способ измерения электрических величин
RU2016110719A (ru) Способ и устройство выделения характеристики
RU2016110721A (ru) Способ и устройство выделения характеристики
RU2015135640A (ru) Способ и система для отображения контактов
RU2015135167A (ru) Опорный механизм велосипеда, велосипед и способ использования опорного механизма велосипеда
JP6300611B2 (ja) 画像形成装置及び画像形成方法
RU2016112281A (ru) Способ, устройство и терминал для регулировки громкости
RU2016122298A (ru) Устройство для физиотерапии
RU2016106764A (ru) Способ и устройство для подачи и обращения с отходами
RU2015126354A (ru) Установка для определения положения
RU2016101176A (ru) Устройство и способ обработки информации
RU2016100862A (ru) Устройство и способ обработки информации
RU2015153428A (ru) Способ управления доступом и устройство
RU2015145481A (ru) Устройство для обработки белья
RU2015130346A (ru) Устройство для обработки белья
RU2015130339A (ru) Устройство для обработки белья