RU2628127C2 - Способ и устройство для идентификации поведения пользователя - Google Patents

Способ и устройство для идентификации поведения пользователя Download PDF

Info

Publication number
RU2628127C2
RU2628127C2 RU2015128769A RU2015128769A RU2628127C2 RU 2628127 C2 RU2628127 C2 RU 2628127C2 RU 2015128769 A RU2015128769 A RU 2015128769A RU 2015128769 A RU2015128769 A RU 2015128769A RU 2628127 C2 RU2628127 C2 RU 2628127C2
Authority
RU
Russia
Prior art keywords
behavior
during
access
time
time window
Prior art date
Application number
RU2015128769A
Other languages
English (en)
Other versions
RU2015128769A (ru
Inventor
Хуа ЧЖАН
И. Ся
Динкунь ХУН
Хайчжо ВАН
Original Assignee
Сяоми Инк.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Сяоми Инк. filed Critical Сяоми Инк.
Publication of RU2015128769A publication Critical patent/RU2015128769A/ru
Application granted granted Critical
Publication of RU2628127C2 publication Critical patent/RU2628127C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2133Verifying human interaction, e.g., Captcha
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/142Denial of service attacks against network infrastructure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

Изобретение относится к способу и устройству для идентификации поведения пользователя. Техническим результатом является повышение эффективности и точности при идентификации вредоносного поведения пользователя. Способ включает в себя: получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна; квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна, содержащее получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна; и вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов; определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования. 3 н. и 4 з.п. ф-лы, 9 ил.

Description

ПЕРЕКРЕСТНАЯ ССЫЛКА НА РОДСТВЕННЫЕ ЗАЯВКИ
[0001] Для настоящей заявки испрашивается приоритет в соответствии с китайской заявкой на патент №201410708281.6, поданной 27 ноября 2014 года, полное содержание которой включено в настоящее описание посредством ссылки.
ОБЛАСТЬ ТЕХНИКИ
[0002] Настоящее изобретение в целом относится к области связи и компьютерной обработки и, в частности, к способу и устройству для идентификации поведения пользователя.
УРОВЕНЬ ТЕХНИКИ
[0003] С развитием сети Интернет общий доступ к ресурсам может быть реализован через сеть. Люди могут получать еще больше информации удобным и быстрым образом через Интернет. Многие веб-сайты сталкиваются с различными вредоносными атаками во время получения пользователями информации.
[0004] Установлено, что на известном уровне техники при совершении вредоносной атаки на веб-сайты отправляется пакет данных в течение сравнительно короткого промежутка времени. Такие события часто происходят на веб-сайтах, часто посещаемых с целью быстрого приобретения предлагаемых товаров со скидками. Такое поведение, когда доступ осуществляется с высокой частотой, достигается посредством программного обеспечения с целью быстрого совершения покупки, поскольку поведение, когда доступ осуществляется с высокой частотой, невозможно воспроизвести вручную. На известном уровне техники некоторые средства могут предотвращать такое вредоносное поведение, но достигаемый эффект является нежелательным. Следовательно, имеется проблема, которую необходимо срочно решить, и которая заключается в реализации более эффективной идентификации вредоносного поведения пользователя.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0005] Чтобы решить проблемы, имеющиеся на известном уровне техники, настоящее изобретение предлагает способ и устройство для идентификации поведения пользователя.
[0006] В соответствии с первым аспектом вариантов осуществления настоящего изобретения, предлагается способ идентификации поведения пользователя, включающий в себя:
получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
[0007] Техническое решение, предусмотренное в вариантах осуществления настоящего изобретения, позволяет достичь следующих положительных эффектов: в настоящем варианте осуществления с помощью скользящего временного окна отслеживается поведение пользователя при осуществлении доступа в реальном времени, проводится квалифицирование поведения при осуществлении доступа, и тем самым определяется, является ли поведение пользователя при осуществлении доступа вредоносным.
[0008] В одном варианте осуществления скользящее временное окно включает в себя m эквациональных временных промежутков;
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
оценку, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получение n временных промежутков, в которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления;
оценку, выходит ли отношение n к m за пределы первого порогового значения отношения; и
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение п к m выходит за пределы первого порогового значения отношения.
[0009] Техническое решение, предусмотренное в вариантах осуществления настоящего изобретения, позволяет достичь следующих положительных эффектов: в настоящем варианте осуществления отслеживается поведение при осуществлении доступа для каждого временного промежутка, и осуществляется проверка, является ли количество моментов осуществления доступа постоянно относительно большим, и тем самым квалифицируется, является ли поведение при осуществлении доступа вредоносным; таким образом, результат квалифицирования является более точным.
[0010] В одном варианте осуществления этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа в соответствии с полученными временными интервалами; и
оценку, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени;
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
[0011] Техническое решение, предусмотренное в вариантах осуществления настоящего изобретения, позволяет достичь следующих преимуществ: в настоящем варианте осуществления вычисление дисперсии во времени осуществляется для временного интервала, чтобы оценить, происходят ли случаи поведения при осуществлении доступа с постоянной частотой, если да, то может быть установлено, что случаи поведения при осуществлении доступа приводятся в действие программным обеспечением, а не пользователем. Тем самым можно более точно определить вредоносное поведение.
[0012] В одном варианте осуществления этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа в соответствии с полученными временными интервалами;
вычисление отношения дисперсии во времени к среднему значению временных интервалов; и
оценку, является ли отношение меньше заданного второго порогового значения отношения;
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение является меньше заданного второго порогового значения отношения.
[0013] Техническое решение, предусмотренное в вариантах осуществления настоящего изобретения, позволяет достичь следующих положительных эффектов: в настоящем варианте осуществления может быть произведено дальнейшее сравнение дисперсии и среднего значения временных интервалов, чтобы более точно идентифицировать вредоносное поведение.
[0014] В одном варианте осуществления этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
оценку, выходит ли общее количество за пределы заданного порогового значения общего количества; и
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0015] Техническое решение, предусмотренное в вариантах осуществления настоящего изобретения, позволяет достичь следующих положительных эффектов: в настоящем варианте осуществления можно более точно идентифицировать вредоносное поведение путем дальнейшего квалифицирования поведения при осуществлении доступа, используя общее количество случаев поведения при осуществлении доступа на основе вышеупомянутого решения.
[0016] В соответствии со вторым аспектом вариантов осуществления настоящего изобретения, предлагается устройство для идентификации поведения пользователя, включающее в себя:
модуль сбора, выполненный с возможностью получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
модуль квалифицирования, выполненный с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
модуль определения, выполненный с возможностью определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатом квалифицирования.
[0017] В одном варианте осуществления скользящее временное окно включает в себя m эквациональных временных промежутков;
модуль квалифицирования включает в себя:
субмодуль временных промежутков, выполненный с возможностью оценки, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получения n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления; и
первый субмодуль отношения, выполненный с возможностью оценки, выходит ли отношение n к m за пределы первого порогового значения отношения;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если отношение n к m выходит за пределы первого порогового значения отношения.
[0018] В одном варианте осуществления, модуль квалифицирования включает в себя:
субмодуль интервала, выполненный с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения при осуществлении доступа в течение скользящего временного окна;
субмодуль дисперсии, выполненный с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа в соответствии с полученными временными интервалами; и
первый субмодуль квалифицирования, выполненный с возможностью оценки, превышает ли дисперсия во времени заданное пороговое значение дисперсии;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если дисперсия во времени превышает заданное пороговое значение дисперсии.
[0019] В одном варианте осуществления, первый модуль квалифицирования включает в себя:
субмодуль интервала, выполненный с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения при осуществлении доступа в течение скользящего временного окна;
субмодуль дисперсии во времени, выполненный с возможностью вычисления дисперсии случаев поведения при осуществлении доступа в соответствии с полученными временными интервалами;
субмодуль отношения, выполненный с возможностью вычисления отношения дисперсии во времени к среднему значению временных интервалов; и
второй субмодуль отношения, выполненный с возможностью оценки, является ли отношение меньше заданного второго порогового значения отношения;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если отношение является меньшим заданного второго порогового значения отношения.
[0020] В одном варианте осуществления, модуль квалифицирования включает в себя:
субмодуль общего количества, выполненный с возможностью получения общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
субмодуль оценки общего количества, выполненный с возможностью оценки, выходит ли общее количество за пределы заданного порогового значения общего количества; и
второй субмодуль квалифицирования, выполненный с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0021] В соответствии с третьим аспектом вариантов осуществления настоящего изобретения, предлагается устройство для идентификации поведения пользователя, включающее в себя:
процессор; и
запоминающее устройство, выполненное с возможностью хранения команд, выполняемых процессором;
при этом, процессор выполнен с возможностью:
получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
[0022] Следует понимать, что как предшествующее общее описание, так и последующее подробное описание являются исключительно иллюстративными и пояснительными, и не ограничивают данное изобретение.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[0023] Сопровождающие чертежи, которые включены и являются частью данного описания, иллюстрируют варианты осуществления изобретения в соответствии с его сущностью и совместно с описанием поясняют принципы сущности изобретения.
[0024] Фиг. 1 - блок-схема, иллюстрирующая способ идентификации поведения пользователя в соответствии с примером осуществления.
[0025] Фиг. 2 - блок-схема, иллюстрирующая способ идентификации поведения пользователя в соответствии с примером осуществления.
[0026] Фиг. 3 - блок-схема, иллюстрирующая способ идентификации поведения пользователя в соответствии с примером осуществления.
[0027] Фиг. 4 - структурная схема, иллюстрирующая способ идентификации поведения пользователя в соответствии с примером осуществления.
[0028] Фиг. 5 - структурная схема, иллюстрирующая модуль квалифицирования в соответствии с примером осуществления.
[0029] Фиг. 6А - структурная схема, иллюстрирующая модуль квалифицирования в соответствии с примером осуществления.
[0030] Фиг. 6В - структурная схема, иллюстрирующая модуль квалифицирования в соответствии с примером осуществления.
[0031] Фиг. 7 - структурная схема, иллюстрирующая модуль квалифицирования в соответствии с примером осуществления.
[0032] Фиг. 8 - структурная схема, иллюстрирующая устройство в соответствии с примером осуществления.
ПОДРОБНОЕ ОПИСАНИЕ
[0033] Далее следует подробное описание примеров осуществления, примеры которых проиллюстрированы в сопровождающих чертежах. В последующем описании представлены ссылки на сопровождающие чертежи, в которых одни и те же номера на разных чертежах представляют одни и те же или аналогичные элементы, если не указано иное. Формы реализации, представленные в последующем описании примеров осуществления, не представляют всех форм реализации, соответствующих изобретению. Напротив, они являются только примерами инструментариев и способов, соответствующих аспектам, связанным с изобретением, как изложено в прилагаемой формуле изобретения.
[0034] В известном уровне техники сетевая деятельность становится все более частым явлением, и сетевые продавцы часто проводят акции по «секкиллингу» (моментальным покупкам) товаров по заниженной цене. Для совершения секкиллинга по низкой цене пользователи могут посещать веб-сайты продавцов с высокой частотой в течение короткого промежутка времени. Некоторые пользователи для быстрого совершения покупки могут использовать программное обеспечение. Программное обеспечение для быстрого совершения покупки может посещать веб-сайты продавцов с большей частотой посещения, чем обычные пользователи. Однако поведение при осуществлении доступа, воспроизводимое программным обеспечением для быстрого совершения покупки, является вредоносным поведением, что может привести к выходу веб-сайта из строя. Ниже приведено одно возможное решение: осуществляется оценка, выходит ли количество моментов осуществления доступа в течение заданного периода времени за пределы заданного порогового значения, и, если количество моментов осуществления доступа в течение заданного периода времени выходит за пределы заданного порогового значения, устанавливается, что имеет место вредоносное поведение при осуществлении доступа. Однако данный метод идентификации является достаточно простым и не может идентифицировать, является количество моментов осуществления доступа результатом поведения пользователя или воспроизводится программным обеспечением для быстрого совершения покупки, и, таким образом не является достаточно точным при идентификации результатов.
[0035] Чтобы решить данную проблему, в настоящем варианте осуществления отслеживается поведение терминала при осуществлении доступа посредством скользящего временного окна, что может позволить достаточно точную идентификацию, является ли поведение терминала при осуществлении доступа вредоносным.
[0036] Скользящее временное окно в настоящем варианте осуществления является динамическим временным окном, которое имеет фиксированную протяженность, такую как 3600 секунд. Конечная точка скользящего временного окна всегда является текущей временной точкой. Поэтому, при изменении времени скользящее временное окно сдвигается.
[0037] В известном уровне техники имеется следующее решение для регистрации количества моментов осуществления доступа в течение заданного периода времени: если заданный период времени равен 1000 секундам, регистрация проводится один раз в течение 0~1000-ной секунды, потом еще один раз в течение 1001~2000-ной секунды, и т.д. Однако, оно не способно зарегистрировать поведение при осуществлении доступа в течение 500~1500-ной секунды. В настоящем варианте осуществления регистрация в реальном времени проводится при движении скользящего временного окна. Например, если продолжительность скользящего временного окна 1000 секунд, регистрация проводится один раз в течение 0~1000-ной секунды, еще один раз - в течение 1-й~1001-й секунды, и еще раз - в течение 2-й~1002-й секунды и т.д. Таким образом очевидно, что, в сравнении с техническим решением известного уровня техники, настоящее изобретение может быть более точным при поиске и идентификации вредоносного поведения.
[0038] На фиг. 1 показана блок-схема, иллюстрирующая способ идентификации поведения пользователя, в соответствии с примером осуществления; как показано на фиг. 1, способ может быть реализован сервером, включая в себя следующие этапы:
[0039] на этапе 101 осуществляется получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна.
[0040] на этапе 102 проводится квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна.
[0041] на этапе 103 осуществляется определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатом квалифицирования.
[0042] В настоящем варианте осуществления, поведение терминала при осуществлении доступа может отслеживаться в реальном времени посредством скользящего временного окна; также возможно одновременно отслеживать поведение при осуществлении доступа в течение определенного периода времени и квалифицировать, является ли поведение при осуществлении доступа вредоносным, с более точными результатами идентификации. В настоящем варианте осуществления может отслеживаться и квалифицироваться поведение одного терминала, а терминал может быть определен по имени пользователя, IP-адресу (IP - межсетевой протокол), МАС-адресу (MAC - управление доступом к среде) и т.п.
[0043] Если вредоносный доступ идентифицирован, могут приниматься различные меры. Например, возможно потребуется отправить проверочный код с терминала, или временно заблокировать доступ пользователя (или терминала), или пользователя может быть добавлен в черный список, чтобы блокировать доступ пользователя на постоянной основе, или пользователю может быть отправлено предупреждение и т.д.
[0044] В одном варианте осуществления Этап 102 может быть реализован как Этап А.
[0045] на этапе А поведение при осуществлении доступа в течение скользящего временного окна квалифицируется в соответствии с поведением при осуществлении доступа в каждом временном промежутке скользящего временного окна.
[0046] В настоящем варианте осуществления скользящее временное окно может быть далее разделено на множество временных промежутков, каждый из которых имеет одинаковую продолжительность (является эквациональным). Например, если подвижное временное окно, включающее в себя десять временных промежутков, имеет продолжительность в 3600 секунд, каждый временной промежуток имеет продолжительность в 360 секунд. В настоящем варианте осуществления отслеживается поведение пользователя при осуществлении доступа, при этом временной промежуток принимается за единицу, а степень детализации отслеживания далее уменьшается, что способствует более точной идентификации вредоносного поведения. Более того, в настоящем варианте осуществления оно квалифицируется в соответствии с поведением при осуществлении доступа в каждом временном промежутке и поведением при осуществлении доступа в течение скользящего временного окна в целом, что дает более точные результаты квалифицирования.
[0047] В одном варианте осуществления Этап А может включать в себя Этапы А1~А2.
[0048] на этапе А1, для каждого временного промежутка осуществляется оценка, выходит ли количество моментов осуществления доступа в каждом временном промежутке за пределы заданного порогового значения количества моментов для данного деления, и получение n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления; и
[0049] на этапе А2 осуществляется оценка, выходит ли отношение n к m за пределы первого порогового значения отношения.
[0050] Этап 103 может быть реализован как Этап A3.
[0051] на этапе A3 проводится определение поведения терминала при осуществлении доступа как вредоносного, если отношение n к m выходит за пределы первого порогового значения отношения.
[0052] А именно, определяются временные промежутки, в которые количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления. Осуществляется оценка, выходит ли отношение количества временных промежутков, в которые количество моментов осуществления доступа выходит за пределы порогового значения количества моментов для данного деления, к общему количеству временных промежутков, за пределы заданного первого порогового значения отношения. Случаи поведения при осуществлении доступа в течение скользящего временного окна квалифицируются в соответствии с результатом оценки.
[0053] В настоящем варианте осуществления количество моментов осуществления доступа определяется как слишком высокое, и вредоносное поведение имеет место, если отношение количества временных промежутков, в которые количество моментов осуществления доступа выходит за пределы порогового значения количества моментов для данного деления, к общему количеству временных промежутков, выходит за пределы заданного первого порогового значения отношения, в противном случае определяется, что вредоносное поведение отсутствует.
[0054] Например, если скользящее временное окно, включающее в себя десять временных промежутков t1-t10, имеет продолжительность в 3600 секунд, каждый временной промежуток имеет продолжительность в 360 секунд. Значениями количества моментов осуществления доступа, соответствующих десяти временным промежуткам, являются соответственно: t1=50, t2=60, t3=52, t4=55, t5=48, t6=56, t7=58, t8=54, t9=56 и t10=57. Пороговое значение количества моментов для данного деления равно 50. Таким образом, за исключением временного промежутка t5, количество моментов осуществления доступа, соответствующих всем другим девяти временным промежуткам, превышает пороговое значение количества моментов для данного деления. Отношение количества временных промежутков, в которые количество моментов осуществления доступа выходит за пределы порогового значения количества моментов для данного деления, к общему количеству временных промежутков, рассчитывается следующим образом: 9/10=90%. Если предположить, что первое пороговое значение отношение составляет 90%, путем сравнения отношения (90%) количества временных промежутков, в которые количество моментов осуществления доступа превышает пороговое значение количества моментов для данного деления, к общему количеству временных промежутков и первого порогового значения отношения (90%), а также путем квалифицирования поведения при осуществлении доступа, определяется, что в скользящем временном окне Т имеет место вредоносный доступ.
[0055] В одном варианте осуществления Этап 102 может быть реализован как Этап В.
[0056] Решение В:
[0057] на этапе В1 осуществляется получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна.
[0058] на этапе В2 проводится вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов.
[0059] на этапе В3 проводится квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с дисперсией во времени. Проводится оценка, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени.
[0060] на этапе 103 осуществляется определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
[0061] В настоящем варианте осуществления проводится сравнение дисперсии во времени и заданного порогового значения дисперсии. Дисперсия считается относительно большой, если она превышает заданное пороговое значение дисперсии, что значит, что колебание временного интервала случаев поведения при осуществлении доступа является достаточно большим. В таком случае может быть установлено, что поведение при осуществлении доступа происходит от пользователя, а не от программного обеспечения для быстрого совершения покупок, и далее может быть установлено, что вредоносное поведение отсутствует. В противном случае, может быть установлено, что имеет место вредоносное поведение, если дисперсия во времени не превышает заданное пороговое значение дисперсии.
[0062] Например, временные интервалы (х1, х2, х3, …, xn) между двумя смежными
случаями поведения при осуществлении доступа получены для каждых двух смежных случаев поведения при осуществлении доступа в течение скользящего временного окна, а
Figure 00000001
является средним значением от х1~xn. Ниже приведена формула для вычисления дисперсии:
Figure 00000002
где s - дисперсия, полученная путем вычисления.
[0063] В одном варианте осуществления Решение В может быть объединено с Этапами А1-А3. Например, дисперсия, соответствующая каждому временному промежутку, рассчитывается таким образом, чтобы определять временные промежутки, в которых дисперсия превышает пороговое значение дисперсии, и определять отношение количества временных промежутков, в которых дисперсия превышает пороговое значение дисперсии, к общему количеству временных промежутков, и данное отношение далее сравнивается с первым пороговым значением отношения для определения, имеет ли место вредоносный доступ.
[0064] В одном варианте осуществления, Решение В может быть далее модифицировано. Этап В3 может включать в себя Этапы В31 и В32.
[0065] Осуществляется получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна; и
проводится вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов.
[0066] на этапе В31 проводится вычисление отношения дисперсии во времени к среднему значению временных интервалов.
[0067] на этапе В32 проводится оценка, является ли отношение меньше заданного второго порогового значения отношения. Поведение при осуществлении доступа в течение скользящего временного окна квалифицируется в соответствии с результатом оценки.
[0068] Этап 103 может быть реализован как Этап В33.
[0069] на этапе В33 осуществляется определение поведения терминала при осуществлении доступа как вредоносного, если отношение меньше заданного второго порогового значения отношения.
[0070] В настоящем варианте осуществления, если отношение дисперсии во времени к среднему значению временных интервалов выходит за пределы заданного второго порогового значения отношения, это значит, что дисперсия во времени достаточно близка к среднему значению временных интервалов. Может быть установлено, что поведение при осуществлении доступа приводится в действие и создается программным обеспечением для быстрого совершения покупок, и что вредоносный доступ имеет место. В противном случае, может быть установлено, что поведение при осуществлении доступа приводится в действие и создается пользователем, и что вредоносный доступ отсутствует.
[0071] Например, среднее значение х равно 1, а дисперсия во времени - 0,5. Отношение дисперсии во времени к среднему значению составляет 50%, больше, чем заданное второе пороговое значение отношение, равное 10%. Дисперсия (0,5) является сравнительном малой, но сравнительно большой в отклонении от среднего значения (1).
[0072] В другом примере среднее значение х равно 10, а дисперсия во времени - 0,5. Отношение дисперсии во времени к среднему значению составляет 5%, меньше, чем заданное второе пороговое значение отношение, равное 10%. Дисперсия во времени (0,5) является достаточно близкой к среднему значению, в то время как среднее значение (10) является достаточно большим.
[0073] В настоящем варианте осуществления поведение при осуществлении доступа можно квалифицировать более точно путем сравнения степени приближения дисперсии к среднему значению (также, с другой точки зрения рассматриваемое как степень отклонения).
[0074] В одном варианте осуществления Этап 102 может быть реализован как Этап С.
[0075] Решение С:
[0076] на этапе С1 осуществляется получение общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна.
[0077] на этапе С2 проводится оценка, выходит ли общее количество за пределы заданного порогового значения общего количества.
[0078] на этапе С3 квалифицируется поведение при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0079] В настоящем варианте осуществления может быть установлено, что PV (просмотр страниц) слишком высок и имеет место вредоносный доступ, если общее количество случаев осуществления доступа в течение скользящего временного окна выходит за пределы порогового значения общего количества. В противном случае может быть установлено, что вредоносный доступ отсутствует.
[0080] В одном варианте осуществления Решение С может быть объединено с вышеупомянутыми Решениями. Оценка в соответствии с Решением С далее выполняется на основе результатов оценки в соответствии с Этапом А и Решением В. Заключение о наличии вредоносного доступа не делается, если не установлено, что имеет место вредоносный доступ, в соответствии со всеми результатами оценки.
[0081] Процесс реализации идентификации поведения пользователя будет представлен подробно посредством следующих нескольких вариантов осуществления.
[0082] На фиг. 2 представлена блок-схема, иллюстрирующая способ идентификации поведения пользователя, в соответствии с примером осуществления; как показано на фиг. 2, способ может быть реализован сервером, включая в себя следующие этапы.
[0083] на этапе 201 осуществляется получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна.
[0084] на этапе 202, для каждого временного промежутка в скользящем временном окне проводится сравнение количества моментов осуществления доступа, соответствующих каждому временному промежутку, с заданным пороговым значением количества временных промежутков для данного деления.
[0085] на этапе 203 определяется временной промежуток, в который количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления.
[0086] на этапе 204 вычисляется отношение количества временных промежутков, в которые количество моментов осуществления доступа выходит за пределы порогового значения количества моментов для данного деления, к общему количеству временных промежутков.
[0087] на этапе 205 осуществляется оценка, выходит ли отношение, полученное в результате расчета, за пределы заданного первого порогового значения отношения. Этап 206 выполняется, если отношение, полученное в результате расчета, выходит за пределы заданного первого порогового значения отношения, в противном случае выполняется Этап 207.
[0088] на этапе 206 определяется наличие вредоносного доступа.
[0089] на этапе 207 определяется отсутствие вредоносного доступа.
[0090] В настоящем варианте осуществления поведение при осуществлении доступа может отслеживаться более тщательно с помощью временных промежутков. Существует возможность более точно идентифицировать, имеет ли место вредоносный доступ, путем отслеживания количества моментов осуществления доступа с меньшей степенью детализации.
[0091] На фиг. 3 показана блок-схема, иллюстрирующая способ идентификации поведения пользователя, в соответствии с примером осуществления; как показано на фиг. 3, способ может быть реализован сервером, включая в себя следующие этапы.
[0092] на этапе 301 осуществляется получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна.
[0093] на этапе 302 осуществляется получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна.
[0094] на этапе 303 проводится вычисление среднего значения временных интервалов в соответствии с полученными временными интервалами.
[0095] на этапе 304 проводится вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов.
[0096] на этапе 305 проводится вычисление отношения дисперсии во времени к среднему значению временных интервалов.
[0097] на этапе 306 проводится оценка, является ли отношение меньше заданного второго порогового значения отношения. Этап 307 выполняется, если отношение является меньшим, чем заданное второе пороговое значение отношения, в противном случае выполняется Этап 308.
[0098] на этапе 307 определяется наличие вредоносного доступа.
[0099] на этапе 308 определяется отсутствие вредоносного доступа.
[0100] В настоящем варианте осуществления посредством дисперсии устанавливается, распределены ли случаи осуществления доступа равномерно во времени. Может быть установлено, что случаи осуществления доступа созданы программным обеспечением, а не пользователем, если случаи осуществления доступа распределены во времени равномерно. В противном случае может быть установлено, что вредоносный доступ отсутствует. Тем самым можно более точно определить вредоносный доступ.
[0101] Реализация идентификации поведения пользователя приведена выше, и реализация может быть выполнена на сервере; ниже представлены внутренняя структура и функции устройства.
[0102] На фиг. 4 представлена структурная схема, иллюстрирующая способ идентификации поведения пользователя в соответствии с примером осуществления. Как показано на фиг. 4, устройство включает в себя: модуль сбора 401, модуль квалифицирования 402 и модуль определения 403.
[0103] Модуль сбора 401 выполнен с возможностью получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна.
[0104] Модуль квалифицирования 402 выполнен с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна.
[0105] Модуль определения 403 выполнен с возможностью определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатом квалифицирования.
[0106] В одном варианте осуществления скользящее временное окно включает в себя m эквациональных временных промежутков; как показано на фиг. 5, модуль квалифицирования 402 включает в себя: субмодуль временных промежутков 4021 и первый субмодуль отношения 4028.
[0107] Субмодуль временных промежутков 4021 выполнен с возможностью оценки, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получения n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления.
[0108] Первый субмодуль отношения 4028 выполнен с возможностью оценки, выходит ли отношение n к m за пределы первого порогового значения отношения.
[0109] Модуль определения 403 определяет поведение терминала при осуществлении доступа как вредоносное, если отношение n к m выходит за пределы первого порогового значения отношения.
[0110] В одном варианте осуществления, как показано на фиг. 6А, модуль квалифицирования 402 включает в себя: субмодуль интервала 4022, субмодуль дисперсии во времени 4023 и первый субмодуль квалифицирования 4024.
[0111] Субмодуль интервала 4022 выполнен с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна.
[0112] Модуль дисперсии во времени 4023 выполнен с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов.
[0113] Первый субмодуль квалифицирования 4024 выполнен с возможностью оценки, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени.
[0114] Модуль определения 403 определяет поведение терминала при осуществлении доступа как вредоносное, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
[0115] В одном варианте осуществления субмодуль временных промежутков 4021 может также включать в себя: субмодуль интервала 4022, субмодуль дисперсии во времени 4023 и первый субмодуль квалифицирования 4024.
[0116] В одном варианте осуществления, как показано на фиг. 6 В, модуль квалифицирования 402 включает в себя: субмодуль интервала 4022, субмодуль дисперсии во времени 4023, субмодуль отношения 4029 и второй субмодуль отношения 40210.
[0117] Субмодуль интервала 4022 выполнен с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна.
[0118] Модуль дисперсии во времени 4023 выполнен с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов.
[0119] Субмодуль отношения 4029 выполнен с возможностью вычисления отношения дисперсии во времени к среднему значению временных интервалов.
[0120] Второй субмодуль отношения 40210 выполнен с возможностью оценки, является ли отношение меньше заданного второго порогового значения отношения.
[0121] Модуль определения 403 определяет поведение терминала при осуществлении доступа как вредоносное, если отношение является меньшим заданного второго порогового значения отношения.
[0122] В одном варианте осуществления, как показано на фиг. 7, модуль квалифицирования 402 включает в себя: субмодуль общего количества 4025, субмодуль оценки общего количества 4026 и второй субмодуль квалифицирования 4027.
[0123] Субмодуль общего количества 4025 выполнен с возможностью получения общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна.
[0124] Субмодуль оценки общего количества 4026 выполнен с возможностью оценки, выходит ли общее количество за пределы заданного порогового значения общего количества.
[0125] Второй субмодуль квалифицирования 4027 выполнен с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0126] Поскольку конкретные режимы работы модулей подробно описаны в варианте осуществления предлагаемого способа, подробное описание иллюстративных примеров в отношении варианта осуществления предлагаемого устройства не требуется.
[0127] На фиг. 8 показана структурная схема устройства 800 для идентификации поведения пользователя в соответствии с примером осуществления. Например, устройство 800 может представлять собой компьютер. Как показано на фиг. 8, устройство 800 включает в себя процессорный компонент 822, который далее включает в себя один или несколько процессоров, и запоминающий ресурс, представленный запоминающим устройством 832, выполненным с возможностью хранения команд, таких как прикладные программы, исполняемые процессорным компонентом 822. Прикладная программа, хранящаяся в запоминающем устройстве 832, может включать в себя один или несколько модулей, каждый из которых соответствует набору команд. Кроме того, процессорный компонент 822 выполнен с возможностью исполнения команд в целях исполнения вышеупомянутого способа для идентификации поведения пользователя.
[0128] Устройство 800 может также включать в себя компонент питания 826, выполненный с возможностью управления питанием устройства 800, проводной или беспроводной интерфейс связи 850, выполненный с возможностью соединять устройство 800 с сетью, и интерфейс ввода-вывода (I/O) 858. Устройство 800 может работать на операционной системе, использующей запоминающее устройство и хранящейся в нем, например, Windows Server™, Mac OS X™, Unix™, Linux™, FreeBSD™ или иной аналогичной операционной системе.
[0129] Устройство для идентификации поведения пользователя включает в себя:
процессор; и
запоминающее устройство, выполненное с возможностью хранения команд, выполняемых процессором;
при этом, процессор выполнен с возможностью:
получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
[0130] Процессор может быть также выполнен с возможностью осуществлять:
скользящее временное окно, включающее в себя m эквациональных временных промежутков;
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
оценку, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получение n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления;
оценку, выходит ли отношение n к m за пределы первого порогового значения отношения; и
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение n к m выходит за пределы первого порогового значения отношения.
[0131] Процессор может быть также выполнен с возможностью осуществлять:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
оценку, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени; и
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
[0132] Процессор может быть также выполнен с возможностью осуществлять:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна, включающий в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
вычисление отношения дисперсии во времени к среднему значению временных интервалов; и
оценку, является ли отношение меньше заданного второго порогового значения отношения;
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение является меньше заданного второго порогового значения отношения.
[0133] Процессор может быть также выполнен с возможностью осуществлять:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
оценку, выходит ли общее количество за пределы заданного порогового значения общего количества; и
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0134] Энергонезависимая машиночитаемая среда хранения данных, при этом команды в среде хранения выполняются процессором мобильного терминала, чтобы мобильный терминал мог выполнять способ идентификации поведения пользователя, и способ включает в себя:
получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна; и
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
[0135] Команды в среде хранения могут также включать в себя:
скользящее временное окно, включающее в себя m эквациональных временных промежутков;
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
оценку, выходит ли количество моментов осуществления доступа для каждого временного промежутка за пределы заданного порогового значения количества моментов для данного деления, и получение n временных промежутков, при которых количество моментов осуществления доступа выходит за пределы заданного порогового значения количества моментов для данного деления;
оценку, выходит ли отношение n к m за пределы первого порогового значения отношения; и
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение n к m выходит за пределы первого порогового значения отношения.
[0136] Команды в среде хранения могут также включать в себя:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
оценку, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени; и
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
[0137] Команды в среде хранения могут также включать в себя:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна;
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
вычисление отношения дисперсии во времени к среднему значению временных интервалов; и
оценку, является ли отношение меньше заданного второго порогового значения отношения;
этап определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, включает в себя:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение является меньше заданного второго порогового значения отношения.
[0138] Команды в среде хранения могут также включать в себя:
этап квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна включает в себя:
получение общего количества случаев поведения при осуществлении доступа в течение скользящего временного окна;
оценку, выходит ли общее количество за пределы заданного порогового значения общего количества; и
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с результатом оценки.
[0139] Другие варианты осуществления изобретения будут очевидны для специалистов в данной области техники при рассмотрении настоящего описания и применении раскрытого здесь изобретения. Подразумевается, что в сферу действия настоящей заявки включены любые варианты, способы использования либо изменения предлагаемого изобретения в соответствии с его принципами, включая отступления от настоящего описания согласно известной или общепринятой практике, применяемой в данной области техники. Предполагается, что описание и примеры должны рассматриваться только в качестве примеров, причем действительный объем и сущность изобретения указаны в следующих пунктах формулы изобретения.
[0140] Следует принять во внимание, что настоящее изобретение не ограничивается конкретными вариантами осуществления, описанными выше и проиллюстрированными на чертежах, и что в пределах объема настоящего изобретения допустимы различные изменения и модификации. Предполагается, что объем изобретения ограничивается только приведенной ниже формулой изобретения.

Claims (36)

1. Способ идентификации поведения пользователя, содержащий:
получение сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна, содержащее получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна; и
вычисление дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
причем способ также содержит
определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
2. Способ идентификации поведения пользователя по п. 1, при этом квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна дополнительно содержит:
оценку, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени;
а определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, содержит:
определение поведения терминала при осуществлении доступа как вредоносного, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
3. Способ идентификации поведения пользователя по п. 1, при этом квалифицирование поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна содержит:
вычисление отношения дисперсии во времени к среднему значению временных интервалов; и
оценку, является ли отношение меньшим заданного второго порогового значения отношения;
а определение, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования, содержит:
определение поведения терминала при осуществлении доступа как вредоносного, если отношение является меньше заданного второго порогового значения отношения.
4. Устройство для идентификации поведения пользователя, содержащее:
модуль сбора, выполненный с возможностью получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
модуль квалифицирования, выполненный с возможностью квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна, содержащий субмодуль интервала, выполненный с возможностью получения временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна, и
модуль дисперсии во времени, выполненный с возможностью вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
причем устройство дополнительно содержит
модуль определения, выполненный с возможностью определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатом квалифицирования.
5. Устройство для идентификации поведения пользователя по п. 4, при этом модуль квалифицирования содержит:
первый субмодуль квалифицирования, выполненный с возможностью квалифицирования, превышает ли дисперсия во времени заданное пороговое значение дисперсии во времени;
модуль определения определяет поведение терминала при осуществлении доступа как вредоносное, если дисперсия во времени превышает заданное пороговое значение дисперсии во времени.
6. Устройство для идентификации поведения пользователя по п. 4, при этом модуль квалифицирования содержит:
субмодуль отношения, выполненный с возможностью вычисления отношения дисперсии во времени к среднему значению временных интервалов; и
второй субмодуль отношения, выполненный с возможностью оценки, является ли отношение меньше заданного второго порогового значения отношения;
а модуль определения выполнен определяющим поведение терминала при осуществлении доступа как вредоносное, если отношение является меньшим заданного второго порогового значения отношения.
7. Устройство для идентификации поведения пользователя, содержащее:
процессор; и
запоминающее устройство, выполненное с возможностью хранения команд, выполняемых процессором;
при этом процессор выполнен с возможностью:
получения сведений о поведении терминала при осуществлении доступа в течение заданного скользящего временного окна;
квалифицирования поведения при осуществлении доступа в течение скользящего временного окна в соответствии с поведением при осуществлении доступа в течение скользящего временного окна, содержащего получение временного интервала между двумя смежными случаями поведения при осуществлении доступа для каждых двух смежных случаев поведения в течение скользящего временного окна; и
вычисления дисперсии во времени случаев поведения при осуществлении доступа на основании полученных временных интервалов;
причем процессор также выполнен с возможностью определения, является ли поведение терминала при осуществлении доступа вредоносным в соответствии с результатами квалифицирования.
RU2015128769A 2014-11-27 2015-04-30 Способ и устройство для идентификации поведения пользователя RU2628127C2 (ru)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201410708281.6 2014-11-27
CN201410708281.6A CN104486298B (zh) 2014-11-27 2014-11-27 识别用户行为的方法及装置
PCT/CN2015/078019 WO2016082462A1 (zh) 2014-11-27 2015-04-30 识别用户行为的方法及装置

Publications (2)

Publication Number Publication Date
RU2015128769A RU2015128769A (ru) 2017-01-20
RU2628127C2 true RU2628127C2 (ru) 2017-08-15

Family

ID=52760802

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2015128769A RU2628127C2 (ru) 2014-11-27 2015-04-30 Способ и устройство для идентификации поведения пользователя

Country Status (9)

Country Link
US (1) US20160156653A1 (ru)
EP (1) EP3026864B1 (ru)
JP (1) JP2017503293A (ru)
KR (1) KR101677217B1 (ru)
CN (1) CN104486298B (ru)
BR (1) BR112015018912A2 (ru)
MX (1) MX350670B (ru)
RU (1) RU2628127C2 (ru)
WO (1) WO2016082462A1 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2721176C2 (ru) * 2016-03-04 2020-05-18 Аксон Вайб Аг Системы и способы для предсказания поведения пользователя на основе данных о местоположении

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置
CN104881479B (zh) * 2015-06-03 2018-07-13 北京京东尚科信息技术有限公司 一种限制用户最小操作间隔的方法及装置
CN106327230B (zh) * 2015-06-30 2019-12-24 阿里巴巴集团控股有限公司 一种异常用户检测方法及设备
CN104967629B (zh) * 2015-07-16 2018-11-27 网宿科技股份有限公司 网络攻击检测方法及装置
CN105282047B (zh) * 2015-09-25 2020-04-14 小米科技有限责任公司 访问请求处理方法及装置
CN106789831B (zh) * 2015-11-19 2020-10-23 阿里巴巴集团控股有限公司 识别网络攻击的方法和装置
CN111629010B (zh) * 2015-11-23 2023-03-10 创新先进技术有限公司 一种恶意用户识别方法及装置
CN106506451B (zh) * 2016-09-30 2019-08-27 百度在线网络技术(北京)有限公司 恶意访问的处理方法及装置
JP6737189B2 (ja) * 2017-01-18 2020-08-05 トヨタ自動車株式会社 不正判定システム及び不正判定方法
CN106657410B (zh) * 2017-02-28 2018-04-03 国家电网公司 基于用户访问序列的异常行为检测方法
CN107046489B (zh) * 2017-04-07 2020-07-28 上海熙菱信息技术有限公司 一种频次类实时统计模型系统及方法
CN107481090A (zh) * 2017-07-06 2017-12-15 众安信息技术服务有限公司 一种用户异常行为检测方法、装置和系统
FR3094518B1 (fr) 2019-04-01 2021-02-26 Idemia Identity & Security France Procédé de détection de bots dans un réseau d’utilisateurs
KR102295463B1 (ko) * 2019-07-12 2021-08-27 경상국립대학교산학협력단 가속도 센서를 구비한 돼지이표
KR102034998B1 (ko) * 2019-07-12 2019-10-22 경상대학교산학협력단 돼지움직임 감지용 광이표
CN111224939B (zh) * 2019-11-15 2022-07-12 上海钧正网络科技有限公司 任务请求的拦截方法、装置、计算机设备和存储介质
CN110933115B (zh) * 2019-12-31 2022-04-29 上海观安信息技术股份有限公司 基于动态session的分析对象行为异常检测方法及装置
CN113114611B (zh) * 2020-01-13 2024-02-06 北京沃东天骏信息技术有限公司 黑名单管理的方法和装置
CN112784288B (zh) * 2021-01-22 2024-05-10 尚娱软件(深圳)有限公司 访问管理方法、终端及计算机可读存储介质
US11991196B2 (en) 2021-03-04 2024-05-21 Qatar Foundation For Education, Science And Community Development Anomalous user account detection systems and methods

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2460220C2 (ru) * 2007-01-16 2012-08-27 Абсолют Софтвеа Корпорейшн Модуль обеспечения безопасности, включающий вторичный агент, взаимодействующий с главным агентом
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
KR100479328B1 (ko) * 2002-12-24 2005-03-31 한국전자통신연구원 슬라이딩 윈도우 캐쉬 구조
JP2005044277A (ja) * 2003-07-25 2005-02-17 Fuji Xerox Co Ltd 不正通信検出装置
KR101074597B1 (ko) * 2004-09-17 2011-10-17 주식회사 케이티 가상 웹서버 기반의 침입 유도 시스템 및 그 방법
JP2006279930A (ja) * 2005-03-01 2006-10-12 Nec Corp 不正アクセス検出方法及び装置、並びに不正アクセス遮断方法及び装置
US7885976B2 (en) * 2007-02-23 2011-02-08 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
EP2009864A1 (en) * 2007-06-28 2008-12-31 Nibelung Security Systems GmbH Method and apparatus for attack prevention
JP4948359B2 (ja) * 2007-10-26 2012-06-06 三菱電機株式会社 不正アクセス検知装置及び不正アクセス検知方法及びプログラム
US20090144545A1 (en) * 2007-11-29 2009-06-04 International Business Machines Corporation Computer system security using file system access pattern heuristics
JP2009217555A (ja) * 2008-03-11 2009-09-24 Mitsubishi Electric Corp ネットワーク異常判定装置
US8572736B2 (en) * 2008-11-12 2013-10-29 YeeJang James Lin System and method for detecting behavior anomaly in information access
US8326987B2 (en) * 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
CN101446956A (zh) * 2008-12-12 2009-06-03 北京理工大学 预测模型的在线增量式插入与删除方法
JP2010146160A (ja) * 2008-12-17 2010-07-01 Kureo:Kk 通信管理装置、通信管理方法、およびプログラム
WO2010088550A2 (en) * 2009-01-29 2010-08-05 Breach Security, Inc. A method and apparatus for excessive access rate detection
US9805271B2 (en) * 2009-08-18 2017-10-31 Omni Ai, Inc. Scene preset identification using quadtree decomposition analysis
JP5911431B2 (ja) * 2010-01-21 2016-05-11 アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited 悪意のあるアクセスの遮断
CN102769549B (zh) * 2011-05-05 2016-02-17 腾讯科技(深圳)有限公司 网络安全监控的方法和装置
CN103718170B (zh) * 2011-07-29 2017-06-13 惠普发展公司,有限责任合伙企业 用于事件的分布式基于规则的相关的系统和方法
JP5791548B2 (ja) * 2012-03-15 2015-10-07 三菱電機株式会社 アドレス抽出装置
US20130291107A1 (en) * 2012-04-27 2013-10-31 The Irc Company, Inc. System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis
US20140304833A1 (en) * 2013-04-04 2014-10-09 Xerox Corporation Method and system for providing access to crowdsourcing tasks
CN104486298B (zh) * 2014-11-27 2018-03-09 小米科技有限责任公司 识别用户行为的方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2460220C2 (ru) * 2007-01-16 2012-08-27 Абсолют Софтвеа Корпорейшн Модуль обеспечения безопасности, включающий вторичный агент, взаимодействующий с главным агентом
CN104113519A (zh) * 2013-04-16 2014-10-22 阿里巴巴集团控股有限公司 网络攻击检测方法及其装置
RU133954U1 (ru) * 2013-04-29 2013-10-27 Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования "Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича" (СПбГУТ) Устройство защиты сети

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2721176C2 (ru) * 2016-03-04 2020-05-18 Аксон Вайб Аг Системы и способы для предсказания поведения пользователя на основе данных о местоположении
US11625629B2 (en) 2016-03-04 2023-04-11 Axon Vibe AG Systems and methods for predicting user behavior based on location data

Also Published As

Publication number Publication date
RU2015128769A (ru) 2017-01-20
JP2017503293A (ja) 2017-01-26
EP3026864A1 (en) 2016-06-01
MX350670B (es) 2017-09-12
US20160156653A1 (en) 2016-06-02
EP3026864B1 (en) 2018-09-26
CN104486298B (zh) 2018-03-09
MX2015009131A (es) 2016-08-01
KR101677217B1 (ko) 2016-11-17
KR20160077009A (ko) 2016-07-01
BR112015018912A2 (pt) 2017-07-18
CN104486298A (zh) 2015-04-01
WO2016082462A1 (zh) 2016-06-02

Similar Documents

Publication Publication Date Title
RU2628127C2 (ru) Способ и устройство для идентификации поведения пользователя
JP6422617B2 (ja) ネットワークアクセス動作識別プログラム、サーバ及び記憶媒体
CN104601601B (zh) 网络爬虫的检测方法及装置
EP2691848B1 (en) Determining machine behavior
US9588813B1 (en) Determining cost of service call
CN107992738B (zh) 一种账号登录异常检测方法、装置及电子设备
US11184449B2 (en) Network-based probabilistic device linking
CN104219230B (zh) 识别恶意网站的方法及装置
CN109889511B (zh) 进程dns活动监控方法、设备及介质
CN105119735B (zh) 一种用于确定流量类型的方法和装置
CN109034867B (zh) 点击流量检测方法、装置及存储介质
CN114095567B (zh) 数据访问请求的处理方法、装置、计算机设备及介质
CN104579830A (zh) 服务监控方法及装置
CN111768258A (zh) 识别异常订单的方法、装置、电子设备和介质
US20150180990A1 (en) Methods and systems for determining user online time
CN110971690B (zh) 一种ios客户端的推送消息处理方法、装置及设备
CN112347457A (zh) 异常账户检测方法、装置、计算机设备和存储介质
CN110119334B (zh) 一种页面脚本监控方法及装置
CN110929129A (zh) 一种信息检测方法、设备及机器可读存储介质
US20180232753A1 (en) Dynamic deterministic dwell times in a venue
CN113139182B (zh) 一种在线电商平台的数据入侵检测方法
CN103095786B (zh) 在线业务请求识别方法、系统、服务器及在线服务器集群
CN107544968B (zh) 一种确定网站可用性的方法及装置
CN110569475A (zh) 一种网民影响力的评估方法、装置、设备和存储介质
CN112541183B (zh) 数据处理方法及装置、边缘计算设备、存储介质