RU2017111477A - Способы и системы для определения нестандартной пользовательской активности - Google Patents

Способы и системы для определения нестандартной пользовательской активности Download PDF

Info

Publication number
RU2017111477A
RU2017111477A RU2017111477A RU2017111477A RU2017111477A RU 2017111477 A RU2017111477 A RU 2017111477A RU 2017111477 A RU2017111477 A RU 2017111477A RU 2017111477 A RU2017111477 A RU 2017111477A RU 2017111477 A RU2017111477 A RU 2017111477A
Authority
RU
Russia
Prior art keywords
user activity
user
application
predetermined threshold
service
Prior art date
Application number
RU2017111477A
Other languages
English (en)
Other versions
RU2017111477A3 (ru
RU2670030C2 (ru
Inventor
Дмитрий Николаевич Ковега
Екатерина Александровна Ковега
Original Assignee
Общество С Ограниченной Ответственностью "Яндекс"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Яндекс" filed Critical Общество С Ограниченной Ответственностью "Яндекс"
Priority to RU2017111477A priority Critical patent/RU2670030C2/ru
Priority to US15/864,127 priority patent/US10581889B2/en
Publication of RU2017111477A publication Critical patent/RU2017111477A/ru
Publication of RU2017111477A3 publication Critical patent/RU2017111477A3/ru
Application granted granted Critical
Publication of RU2670030C2 publication Critical patent/RU2670030C2/ru
Priority to US16/690,805 priority patent/US11252171B2/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Information Transfer Between Computers (AREA)

Claims (41)

1. Способ определения нестандартной пользовательской активности, способ выполняется на сервере, сервер соединен со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, способ включает в себя:
отслеживание сервером, за первый период времени, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения;
определение сервером того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временный период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем,
пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством;
в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживание, за второй период времени, сервером пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения;
определение сервером того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств,
пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством;
в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирование сервером процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.
2. Способ по п. 1, далее включающий в себя: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа ко множеству сервисов приложений на клиентском устройстве.
3. Способ по п. 2, в котором отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения далее включает в себя отслеживание пользовательской активности, связанной со множеством сервисом приложений, множество сервисов приложений включает в себя сервис первого приложения.
4. Способ по п. 3, в котором каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом и в котором множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.
5. Способ по п. 4, в котором отслеживание пользовательской активности далее включает в себя получение, сервером, указания на пользовательское взаимодействие с сервисом приложения, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.
6. Способ по п. 5, в котором каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.
7. Способ по п. 6, в котором определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.
8. Способ по п. 7, в которой одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.
9. Способ по п. 8, в котором определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки с соответствующей второй средней оценкой.
10. Способ по п. 9, в котором первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.
11. Способ по п. 10, в котором содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.
12. Способ по п. 11, в котором процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.
13. Система определения нестандартной пользовательской активности, система соединена со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, система включает в себя:
процессор;
постоянный машиночитаемый носитель компьютерной информации, содержащий инструкции, процессор;
при выполнении инструкций, настраиваемый на осуществление:
отслеживания системой, за первый временно период, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения;
определения системой того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временный период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем,
пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством;
в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживания, за второй период времени, системой пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения;
определения системой того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств,
пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством;
в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирования системой процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.
14. Система по п. 13, далее включающая в себя: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа ко множеству сервисов приложений на клиентском устройстве.
15. Система по п. 14, в которой отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения далее включает в себя отслеживание пользовательской активности, связанной со множеством сервисом приложений, множество сервисов приложений включает в себя сервис первого приложения.
16. Система по п. 15, в которой каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом и в котором множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.
17. Система по п. 16, в которой отслеживание пользовательской активности далее включает в себя получение, сервером, указания на пользовательское взаимодействие с сервисом приложения, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.
18. Система по п. 17, в которой каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.
19. Система по п. 18, в которой определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.
20. Система по п. 19, в которой одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.
21. Система по п. 20, в которой определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки со второй средней оценкой.
22. Система по п. 21, в которой первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.
23. Система по п. 22, в которой содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.
24. Система по п. 23, в которой процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.
RU2017111477A 2017-04-05 2017-04-05 Способы и системы для определения нестандартной пользовательской активности RU2670030C2 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2017111477A RU2670030C2 (ru) 2017-04-05 2017-04-05 Способы и системы для определения нестандартной пользовательской активности
US15/864,127 US10581889B2 (en) 2017-04-05 2018-01-08 Methods and systems for detecting abnormal user activity
US16/690,805 US11252171B2 (en) 2017-04-05 2019-11-21 Methods and systems for detecting abnormal user activity

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017111477A RU2670030C2 (ru) 2017-04-05 2017-04-05 Способы и системы для определения нестандартной пользовательской активности

Publications (3)

Publication Number Publication Date
RU2017111477A true RU2017111477A (ru) 2018-10-05
RU2017111477A3 RU2017111477A3 (ru) 2018-10-05
RU2670030C2 RU2670030C2 (ru) 2018-10-17

Family

ID=63711872

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017111477A RU2670030C2 (ru) 2017-04-05 2017-04-05 Способы и системы для определения нестандартной пользовательской активности

Country Status (2)

Country Link
US (2) US10581889B2 (ru)
RU (1) RU2670030C2 (ru)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11171941B2 (en) 2015-02-24 2021-11-09 Nelson A. Cicchitto Mobile device enabled desktop tethered and tetherless authentication
US10848485B2 (en) * 2015-02-24 2020-11-24 Nelson Cicchitto Method and apparatus for a social network score system communicably connected to an ID-less and password-less authentication system
US11122034B2 (en) 2015-02-24 2021-09-14 Nelson A. Cicchitto Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
EP3528459B1 (en) * 2018-02-20 2020-11-04 Darktrace Limited A cyber security appliance for an operational technology network
US11477222B2 (en) 2018-02-20 2022-10-18 Darktrace Holdings Limited Cyber threat defense system protecting email networks with machine learning models using a range of metadata from observed email communications
US11151568B2 (en) * 2018-05-09 2021-10-19 Capital One Services, Llc Real-time selection of authentication procedures based on risk assessment
US11063953B2 (en) * 2018-11-07 2021-07-13 Citrix Systems, Inc. Systems and methods for continuous authentication
US11050793B2 (en) 2018-12-19 2021-06-29 Abnormal Security Corporation Retrospective learning of communication patterns by machine learning models for discovering abnormal behavior
US11824870B2 (en) 2018-12-19 2023-11-21 Abnormal Security Corporation Threat detection platforms for detecting, characterizing, and remediating email-based threats in real time
US11431738B2 (en) 2018-12-19 2022-08-30 Abnormal Security Corporation Multistage analysis of emails to identify security threats
SG11202101624WA (en) 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
US10778734B1 (en) * 2019-04-30 2020-09-15 Slack Technologies, Inc. Systems and methods for initiating processing actions utilizing automatically generated data of a group-based communication system
CN110322320B (zh) * 2019-06-28 2022-04-22 北京金山安全软件有限公司 一种阈值确定方法、装置及电子设备
US11200072B2 (en) 2019-10-01 2021-12-14 Microsoft Technology Licensing, Llc User interface adaptations based on inferred content occlusion and user intent
CN111092757B (zh) * 2019-12-06 2021-11-23 网宿科技股份有限公司 一种异常数据的检测方法、系统及设备
US11620663B2 (en) * 2019-12-31 2023-04-04 Yahoo Ad Tech Llc Network profile generation
EP4104078A1 (en) * 2020-02-11 2022-12-21 Citrix Systems, Inc. Systems and methods for expedited access to applications
RU2740027C1 (ru) * 2020-02-12 2020-12-30 Варити Менеджмент Сервисез Лимитед Способ и система предотвращения вредоносных автоматизированных атак
US10911489B1 (en) * 2020-02-21 2021-02-02 Abnormal Security Corporation Discovering email account compromise through assessments of digital activities
US11470042B2 (en) * 2020-02-21 2022-10-11 Abnormal Security Corporation Discovering email account compromise through assessments of digital activities
US11477234B2 (en) 2020-02-28 2022-10-18 Abnormal Security Corporation Federated database for establishing and tracking risk of interactions with third parties
US11252189B2 (en) 2020-03-02 2022-02-15 Abnormal Security Corporation Abuse mailbox for facilitating discovery, investigation, and analysis of email-based threats
WO2021178423A1 (en) 2020-03-02 2021-09-10 Abnormal Security Corporation Multichannel threat detection for protecting against account compromise
US11451576B2 (en) 2020-03-12 2022-09-20 Abnormal Security Corporation Investigation of threats using queryable records of behavior
WO2021217049A1 (en) 2020-04-23 2021-10-28 Abnormal Security Corporation Detection and prevention of external fraud
US11528242B2 (en) 2020-10-23 2022-12-13 Abnormal Security Corporation Discovering graymail through real-time analysis of incoming email
US11687648B2 (en) 2020-12-10 2023-06-27 Abnormal Security Corporation Deriving and surfacing insights regarding security threats
US11831661B2 (en) 2021-06-03 2023-11-28 Abnormal Security Corporation Multi-tiered approach to payload detection for incoming communications
US11916858B1 (en) * 2022-09-30 2024-02-27 Sophos Limited Method and system for outbound spam mitigation

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7490356B2 (en) * 2004-07-20 2009-02-10 Reflectent Software, Inc. End user risk management
JP4899853B2 (ja) * 2006-12-19 2012-03-21 富士ゼロックス株式会社 認証プログラム、認証サーバおよびシングルサインオン認証システム
US8171545B1 (en) * 2007-02-14 2012-05-01 Symantec Corporation Process profiling for behavioral anomaly detection
US20090293121A1 (en) 2008-05-21 2009-11-26 Bigus Joseph P Deviation detection of usage patterns of computer resources
US8844005B2 (en) 2008-11-13 2014-09-23 Palo Alto Research Center Incorporated Authentication based on user behavior
US8490195B1 (en) * 2008-12-19 2013-07-16 Symantec Corporation Method and apparatus for behavioral detection of malware in a computer system
US9185095B1 (en) 2012-03-20 2015-11-10 United Services Automobile Association (Usaa) Behavioral profiling method and system to authenticate a user
US9122681B2 (en) 2013-03-15 2015-09-01 Gordon Villy Cormack Systems and methods for classifying electronic information using advanced active learning techniques
US9122866B1 (en) 2013-05-08 2015-09-01 Emc Corporation User authentication
US9558347B2 (en) * 2013-08-27 2017-01-31 Globalfoundries Inc. Detecting anomalous user behavior using generative models of user actions
EP3080743B1 (en) * 2013-12-12 2020-12-02 McAfee, LLC User authentication for mobile devices using behavioral analysis
US9699178B2 (en) 2014-11-25 2017-07-04 International Business Machines Corporation Temporal modification of authentication challenges
US9361175B1 (en) * 2015-12-07 2016-06-07 International Business Machines Corporation Dynamic detection of resource management anomalies in a processing system
RU2617924C1 (ru) * 2016-02-18 2017-04-28 Акционерное общество "Лаборатория Касперского" Способ обнаружения вредоносного приложения на устройстве пользователя

Also Published As

Publication number Publication date
US10581889B2 (en) 2020-03-03
RU2017111477A3 (ru) 2018-10-05
US20200092317A1 (en) 2020-03-19
US11252171B2 (en) 2022-02-15
RU2670030C2 (ru) 2018-10-17
US20180295146A1 (en) 2018-10-11

Similar Documents

Publication Publication Date Title
RU2017111477A (ru) Способы и системы для определения нестандартной пользовательской активности
CN108768943B (zh) 一种检测异常账号的方法、装置及服务器
US9462009B1 (en) Detecting risky domains
CN104519032B (zh) 一种互联网账号的安全策略及系统
EP3544250B1 (en) Method and device for detecting dos/ddos attack, server, and storage medium
US9565203B2 (en) Systems and methods for detection of anomalous network behavior
US9800594B2 (en) Method and system for detecting unauthorized access attack
CN110784355B (zh) 一种故障识别方法及装置
US10812314B2 (en) Methods and apparatuses for pushing a message
CN107819631B (zh) 一种设备异常检测方法、装置及设备
CN110417778B (zh) 访问请求的处理方法和装置
US20160308878A1 (en) Exception prompting method, apparatus, and system using the same
US9674210B1 (en) Determining risk of malware infection in enterprise hosts
CN106953758A (zh) 一种基于Nginx服务器的动态配置管理方法及系统
RU2015136264A (ru) Способ ведения базы данных и соответствующий сервер
JPWO2016006520A1 (ja) 検知装置、検知方法及び検知プログラム
JP2019507424A5 (ru)
US20140330960A1 (en) Systems and Methods for Identifying Applications in Mobile Networks
CN111106976B (zh) 一种cdn网络的探测方法、装置、电子设备及可读存储介质
WO2019205788A1 (zh) 数据存储方法、存储服务器及云存储系统
CN109800085B (zh) 资源配置的检测方法、装置、存储介质和电子设备
CN113660216B (zh) 口令攻击检测方法、装置、电子装置和存储介质
CN109413022B (zh) 一种基于用户行为检测http flood攻击的方法和装置
JP5304689B2 (ja) 影響サービスを特定する監視システムおよびその方法
CN107870848B (zh) Cpu性能冲突的检测方法、装置和系统