RU2659736C1 - Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами - Google Patents

Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами Download PDF

Info

Publication number
RU2659736C1
RU2659736C1 RU2017133836A RU2017133836A RU2659736C1 RU 2659736 C1 RU2659736 C1 RU 2659736C1 RU 2017133836 A RU2017133836 A RU 2017133836A RU 2017133836 A RU2017133836 A RU 2017133836A RU 2659736 C1 RU2659736 C1 RU 2659736C1
Authority
RU
Russia
Prior art keywords
user
distance
key characteristics
change
rate
Prior art date
Application number
RU2017133836A
Other languages
English (en)
Inventor
Владимир Александрович Скворцов
Евгений Борисович Колотинский
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017133836A priority Critical patent/RU2659736C1/ru
Priority to US15/910,365 priority patent/US10580004B2/en
Priority to EP18171886.7A priority patent/EP3462359B1/en
Application granted granted Critical
Publication of RU2659736C1 publication Critical patent/RU2659736C1/ru
Priority to CN201810770868.8A priority patent/CN109583177B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Finance (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к обеспечению безопасного взаимодействия пользователя с банковскими сервисами. Технический результат – расширение арсенала технических средств для выявления нового устройства. Система выявления нового устройства, которое предоставляет удаленные сервисы пользователю, при взаимодействии пользователя посредством аккаунта через устройство, которое предоставляет удаленные сервисы пользователю, в которой собирают цифровой отпечаток устройства, выделяют ключевые характеристики устройства, формируют набор кластеров, в который входят ранее известные устройства указанного пользователя на основании векторов ключевых характеристик, вычисляют расстояние между векторами ключевых характеристик устройства, и устройств, которые предоставляли банковские сервисы пользователю ранее, вычисляют скорость изменения расстояния для сформированного набора кластеров, определяют упомянутое устройство как новое устройство пользователя на основании вычисленной скорости изменения расстояния. 2 н. и 2 з.п. ф-лы, 6 ил.

Description

Область техники
Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления новых устройств при взаимодействии пользователя с банковскими сервисами.
Уровень техники
В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным проведение денежных операций без участия пластиковой карты или реквизитов банковского счета.
Кроме того, существуют различные механизмы защиты денежных средств пользователя от доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двойная аутентификация. После ввода аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) в браузере на сайте банка пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.
Однако стоит отметить, что существует множество атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошеннической активностью (англ. fraud activity). Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение для мобильных устройств позволяет злоумышленникам получать доступ к дополнительным проверочным кодам и проводить транзакции с подтверждением без ведома пользователя.
Известны системы и способы, использующие для защиты пользователей от мошеннической активности так называемый отпечаток устройства пользователя. Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается опасным.
Так, публикация US 20150324802 описывает систему и способ для аутентификации транзакций пользователя. При аутентификации используются отпечатки устройств, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).
Однако одни и те же устройства используют разный набор программ, разные прошивки, разные браузеры для доступа к онлайн-банкингу. Известные системы и способы сравнения отпечатков устройств выявляют, использовал ли пользователь устройство ранее. Если использовал, и оно доверенное, то процедура взаимодействия с банком упрощается (например, пользователю при использовании приложения банка не надо каждый раз вводить логин и пароль, а затем ждать SMS, достаточно лишь выполнить вход по заданному пользователю PIN-коду приложения). Однако при упомянутых изменениях наборов программ и прошивок, устройство может быть опознано системами безопасности банков как новое, посредством которого пользователь не взаимодействовал с банковскими сервисами ранее. При этом появляется необходимость повторной идентификации и авторизации того же самого устройства, что делает его использование не комфортным. Подобные определения устройства новым для пользователя также называются ложными срабатываниями систем безопасности.
Настоящее изобретение эффективно решает задачу по выявлению новых устройств при взаимодействии пользователя с банковскими сервисами.
Сущность изобретения
Настоящее изобретение предназначено для выявления новых устройств при взаимодействии пользователя с банковскими сервисами.
Технический результат настоящего изобретения заключается в реализации заявленного назначения.
Согласно одному из вариантов реализации предоставляется система выявления нового устройства, которое предоставляет удаленные сервисы пользователю, при взаимодействии пользователя посредством аккаунта через устройство, которое предоставляет удаленные сервисы пользователю, которая содержит: средство сбора, предназначенное для: сбора цифрового отпечатка устройства пользователя, при этом цифровой отпечаток содержит по меньшей мере одну характеристику упомянутого устройства, в момент времени, когда выполняется взаимодействие пользователя с удаленными сервисами посредством упомянутого устройства; передачи цифрового отпечатка, содержащего упомянутые характеристики, средству анализа; средство анализа, предназначенное для: выделения из собранных характеристик ключевых характеристик, а именно характеристик, которые влияют на безопасность упомянутого устройства; формирования набора кластеров, в который входят ранее известные устройства указанного пользователя, при этом кластеризация выполняется на основании векторов ключевых характеристик устройства, где вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства; вычисления расстояния между вектором ключевых характеристик упомянутого устройства, и вектором ключевых характеристик по меньшей мере одного устройства, которое предоставляло удаленные сервисы пользователю ранее и которое входит в состав упомянутых созданных кластеров; вычисления скорости изменения упомянутого расстояния для сформированного набора кластеров на основании информации о скорости изменения расстояния на всех известных устройствах других пользователей; определения упомянутого устройства как нового устройства пользователя в случае, если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения; базу данных, предназначенную для хранения данных, полученных от средства сбора и средства анализа и информации о скорости изменения расстояния между векторами ключевых характеристик от всех известных устройств других пользователей.
Согласно другому варианту реализации предоставляется система, в которой средство анализа на основании скорости изменения расстояния дополнительно определяет факторы риска.
Согласно одному из частных вариантов реализации предоставляется способ выявления новых устройств, посредством которых выполняется онлайн-доступ пользователя к удаленным сервисам, содержащий этапы, на которых: собирают цифровой отпечаток устройства пользователя, при этом цифровой отпечаток содержит по меньшей мере одну характеристику упомянутого устройства, в момент времени, когда выполняется взаимодействие пользователя с удаленными сервисами посредством упомянутого устройства; выделяют из собранных характеристик ключевые характеристики, а именно характеристики, которые влияют на безопасность упомянутого устройства; формируют набор кластеров, в который входят ранее известные устройства указанного пользователя, при этом кластеризация выполняется на основании векторов ключевых характеристик устройства, где вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства; вычисляют расстояние между вектором ключевых характеристик упомянутого устройства, и вектором ключевых характеристик по меньшей мере одного устройства, которое предоставляло удаленные сервисы пользователю ранее и которое входит в состав упомянутых созданных кластеров; вычисляют скорость изменения упомянутого расстояния для сформированного набора кластеров на основании информации о скорости изменения расстояния на всех известных устройствах других пользователей для набора упомянутых кластеров; определяют упомянутое устройство как новое устройство пользователя в случае, если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения.
Согласно одному из частных вариантов реализации предоставляется способ, в котором на основании скорости изменения расстояния дополнительно определяют факторы риска.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структуру системы выявления новых устройств пользователя.
Фиг. 2 отображает примеры изменения характеристик устройств во времени.
Фиг. 3 отображает схему способа выявления новых устройств пользователя.
Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.
Фиг. 1 отображает структуру системы выявления новых устройств пользователя.
Система выявления нового устройства 190, которое предоставляет удаленные сервисы (англ. remote services) пользователю, при взаимодействии пользователя посредством аккаунта через упомянутое устройство 190, в общем случае состоит из средства сбора 110 и средства анализа 120 и предназначена для выявления новых устройств 190 при взаимодействии пользователя с удаленными сервизами. Удаленные сервисы - это сетевые или онлайн службы, выполняющиеся (функционирующие) на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса, взаимодействие пользователя с которыми выполняется посредством аккаунта. Примером таких служб являются банковские сервисы, электронная почта, социальные сети и прочие (далее по тексту банковские сервисы 199).
Устройство 190 в рамках настоящего изобретения - программная среда исполнения, выполняющаяся на вычислительном устройстве (например, браузер, выполняющийся на компьютере, приложение банка, выполняющееся на мобильном устройстве).
В одном из вариантов реализации средство сбора 110 предназначено для сбора цифровых отпечатков (англ. fingerprint, далее используется термин отпечаток) устройств 190. В общем случае отпечаток содержит характеристики устройства 190. Характеристиками устройства 190 являются:
- идентификатор операционной системы, под управлением которой работает устройство 190;
- местоположение (геолокация) устройства 190;
- региональные характеристики прошивки устройства 190 (например, континент/ страна/ город);
- идентификатор аккаунта (например, идентификатор аккаунта Microsoft, Google или Apple);
- данные о том, функционирует ли устройство 190 (программная среда исполнения) в рамках виртуальной машины или эмулятора (является ли устройство эмулируемым);
- наличие на устройстве 190 корневого доступа (англ. root access);
- версия браузера, установленного на устройстве 190 (браузер устройства 190);
- плагины, установленные в браузере устройства 190;
- уязвимые приложения, установленные на устройстве 190 (известные уязвимости приложений);
- прочие.
В одном из вариантов реализации сбор упомянутых цифровых отпечатков происходит путем исполнения в браузере устройства 190 JavaScript-сценария, при этом упомянутый сценарий может храниться на банковском сервере и выполняться при обращении устройства 190 к банковскому сервису 199. Таким образом средство сбора 110 хранится на банковском сервере, а выполняется на устройстве 190 пользователя.
В еще одном из вариантов реализации сбор упомянутых цифровых отпечатков осуществляют приложения безопасности (например, антивирусные приложения). В данном случае средство сбора 110 является модулем приложения безопасности.
В еще одном варианте реализации сбор упомянутых цифровых отпечатков осуществляют посредством приложения, работающего на устройстве 190, при этом приложение может быть предназначено для доступа к банковским сервисам (например, приложение «Сбербанк-онлайн») 199 и создано с использованием комплекта средств разработки (от англ. software development kit, SDK), поставляемого, например, производителем антивирусного приложения (например, Kaspersky Mobile Security SDK). В данном случае средство сбора 110 является модулем упомянутого приложения.
В одном из вариантов реализации средство сбора 110 собирает отпечатки устройств 190 в моменты времени, когда выполняется взаимодействии пользователя с банковскими сервисами посредством упомянутого устройства 190. В другом варианте реализации средство сбора 110 собирает упомянутые отпечатки устройств 190 в определенные моменты времени (например, по расписанию, раз в сутки выходным дням, два раза в сутки по рабочим дням). В еще одном из вариантов реализации средство сбора 110 собирает упомянутые отпечатки устройств 190 через определенные интервалы времени (например, каждые 6 часов).
Данные, собранные средством сбора 110 об устройстве 190, передаются средству анализа 120. В одном из вариантов реализации упомянутые цифровые отпечатки, собранные средством сбора 110 об устройстве 190, средство сбора 110 сохраняет в базе данных 111.
Средство анализа 120 выполняется (функционирует) на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса. В общем случае средство анализа 120 вычисляет вектор ключевых характеристик по отпечатку устройства 190 на основании данных, полученных от средства сбора 110 или из базы данных 111.
В общем случае средство анализа 120 выделяет ключевые характеристики, при этом ключевыми характеристиками являются характеристики, которые влияют на безопасность устройства 190, посредством которого пользователь взаимодействует с банковскими сервисами 199. В общем случае ключевые характеристики выделяются статистически в процессе работы системы. Например, характеристика «версия приложения калькулятор» не может являться ключевой характеристикой, так как не влияет на безопасность устройства 190, посредством которого пользователь взаимодействует с банковскими сервисами 199.
В одном из вариантов реализации средство анализа 120 создает кластеры (выполняет кластеризацию) устройств 190 на основании по меньшей мере одной ключевой характеристики устройства 190, выделенной из отпечатка устройства 190. Упомянутая кластеризация в общем случае является обучением системы. В одном из вариантов реализации кластеризация выполняется на основании нескольких выделенных упомянутых ключевых характеристик устройства 190, которые в свою очередь являются вектором ключевых характеристик устройства 190. Таким образом, вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства. В результате для каждого пользователя средство анализа 120 формирует набор кластеров, в которые входят ранее известные устройства 190 пользователя.
Далее, средство вычисления расстояния 120, используя одну или несколько известных из уровня техники функций расстояния между векторами, вычисляет расстояние между вектором ключевых характеристик устройства 190, посредством которого выполняется взаимодействие пользователя с банковскими сервисами 199, и вектором ключевых характеристик по меньшей мере одного устройства 190, посредством которого ранее выполнялось взаимодействии пользователя с банковскими сервисами 199 и которое входит в состав вышеупомянутых созданных кластеров. Устройство 190 считается новым (посредством которого пользователь не взаимодействовал с банковскими сервисами 199 ранее), если вычисленное расстояние превышает пороговое значение. В целом для нового устройства 190 могут применяться базовые политики безопасности, например, двухфакторная аутентификация. Выявление новых устройств 190 - важная задача, однако нельзя считать каждое устройство 190 новым, так как это весьма неудобно для пользователя, так как приходится снова и снова применять одни и те же политики безопасности. Например, для устройств пользователя, посредством которых пользователь взаимодействовал с банковскими сервисами 199 ранее (ранее известных), можно не запрашивать дополнительный пароль (двухфакторная аутентификация), не проводить проверку ввода данных (например, САРТСНА). Если пользователь впервые зашел в онлайн-банк с другого браузера или с нового мобильного телефона, то данные устройства 190 являются новыми. Однако, если обновилась версия браузера, или пользователь обновил прошивку телефона до новой версии, то устройства 190 не являются новыми.
Стоит отметить, однако, что просто введения функции расстояния недостаточно, так как упомянутая функция не полностью отражает характер возможной изменчивости вектора ключевых характеристик устройства 190. Так, например, пользователь может в течение какого-либо длительного промежутка времени выполнить несколько обновлений своего устройства 190. При этом, изменится версия прошивки (например, Android обновится с версии 6 на 7), набор приложений в прошивке, набор приложений пользователя, набор версий установленных приложений. В результате расстояния между векторами ключевых характеристик одного и того же устройства в начале и в конце промежутка времени (в течение которого была обновлена прошивка устройства 190 и некоторые установленные приложения) будет выше порогового значения, что для настоящей системы будет означать, что у пользователя появилось новое устройство 190, однако, устройство 190 на самом деле остается прежним. Таким образом происходит ложное срабатывание системы.
Для решения задачи снижения подобных ложных срабатываний при вычислении расстояний требуется учитывать время, прошедшее между сбором характеристик устройства 190. Таким образом, в одном из вариантов реализации средство анализа 120 вычисляет скорость изменения расстояния между векторами характеристик устройства 190, посредством которого выполняется взаимодействие пользователя с банковскими сервисами 199. В общем случае скорость изменения расстояния вычисляется средством анализа 120 на основании информации о скорости изменения расстояния на всех известных устройствах 190 других пользователей, которые соответствуют созданным кластерам. В случае если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения, устройство 190 считается новым для пользователя. В одном из вариантов реализации пороговое значение задано с учетом времени, прошедшего с момент предыдущего сбора отпечатка устройства 190.
Скорость изменения расстояния может быть вычислена, например, нормированием изменения расстояния векторов ключевых характеристик устройства 190 во времени. Например, для устройств 190 всех пользователей, которые соответствуют кластеру, которому соответствует устройство 190, посредством которого выполняется взаимодействие пользователя с банковскими сервисами 199, вычисляются допустимые нормативные значения ключевых характеристик. В одном из вариантов реализации допустимые нормативные значения вычисляются как среднее арифметическое. В другом варианте реализации допустимые нормативные значения вычисляются статистически на основании нормального распределения (распределения Гаусса). Пример скорости изменения во времени представлен на Фиг. 2. На Фиг. 2А диаграмме отображено изменение версии прошивки во времени. Например, после выпуска устройство имело операционную систему Android 6. Пользователь в момент времени t1 взаимодействовал с банковскими сервисами 199. Далее, взаимодействие выполнялось в моменты t2 и t3 на версии Android 7.0 и 7.1.1. Таким образом, если устройство 190 в момент времени t4 уже обновлено до версии Android 8 (значение данной ключевой характеристики не соответствует ранее созданным кластерам, официально такая прошивка производителем не выпускалась), вероятно, пользователь обновил телефон на стороннюю неоригинальную прошивку (например, CyanogenMod), что можно считать новым устройством 190, так как прошивка неизвестна, неизвестны ее ошибки и уязвимости. Выделенный участок отображает допустимые отклонения скорости изменения расстояния. На Фиг. 2Б отражено изменение версии браузера во времени. В момент времени t1 пользователь выполнил вход в онлайн-банк с версии браузера 25.6. В следующий раз в момент t2 пользователь использует версию 28.3, но есть другие кластера устройств 190 с подобной ключевой характеристикой. Однако, если в момент времени t3 версия браузера стала 16.3, то есть вероятность, что устройство 190 скомпрометировано или изменено. Имеет смысл считать устройство 190 новым. На Фиг. 2 В отражено изменение серийного номера устройства 190 во времени. Серийный номер должен оставаться неизменным.
Вычисленную скорость изменения расстояния между векторами ключевых характеристик всех известных устройств 190 других пользователей средство анализа 120 в общем случае сохраняет в базе данных 111.
В одном из вариантов реализации последовательность векторов ключевых характеристик устройств 190 может быть представлена средством анализа 120 в виде цепочки событий, где узлами цепочки будут векторы ключевых характеристик устройства 190, а сами звенья цепочки будут прямо зависеть от времени.
При этом в одном из вариантов реализации средство анализа 120 выделяет на основании кластеров устройств 190 пользователей или групп пользователей вероятности того (например, статистически), что векторы ключевых характеристик устройств 190 изменятся с течением времени. Если вектор ключевых характеристик изменился, но при этом вероятность этого мала, такое событие средство анализа 120 определяет фактором риска.
В общем случае вероятность изменения ключевых характеристик с учетом скорости изменения расстояния выбирается средством анализа 120 из базы данных 111. В базу данных 111 вероятность изменения ключевых характеристик может быть добавлена на основании статистических данных автоматически (например, средством анализа 120) или экспертом по компьютерной безопасности.
В одном из вариантов реализации средство анализа 120 анализирует изменчивость скоростей вдоль всей цепочки и на ее отдельных участках. Резкие изменения/скачки скоростей средство анализа 120 определяет факторами риска.
В еще одном из вариантов реализации средство анализа 120 определяет динамику изменения характеристик устройств 190 во времени и допустимые отклонения. Так, например, в результате обновления некоторые характеристики устройства 190 должны меняться всегда в одну и ту же сторону (например, номер версии обычно всегда увеличивается). Если же в этой направленной цепочке событий изменения ключевых характеристик будут направлены в противоположную ожидаемой сторону хотя бы в одном из узлов, то средство анализа 120 определяет это как фактор риска.
В еще одном из вариантов реализации средство анализа 120 определяет достоверность произошедшего изменения характеристики устройства 190. Для этого могут потребоваться знания из сторонних источников о характере ожидаемых изменений (например, данные из Kaspersky Security Network, KSN). Например, если известно, что в некоторый отрезок времени не выходило новых версий устройств 190, то в наблюдаемой цепочке событий не должно быть соответствующих изменений. При обнаружении упомянутых изменений средство анализа 120 определяет фактор риска.
В общем случае выявление фактора риска свидетельствует о повышении вероятности мошенничества с устройства 190, на котором был выявлен фактор риска. В одном из вариантов реализации в случае выявления факторов риска данные о них отправляются средством анализа 120 системам безопасности банковских сервисов 199 для принятия действий по предотвращению мошеннической активности (например, для блокировки транзакции).
Фиг. 3 отображает схему способа выявления новых устройств пользователя.
На этапе 310 с помощью средства сбора 110 собирают цифровой отпечаток устройства пользователя, при этом цифровой отпечаток содержит по меньшей мере одну характеристику упомянутого устройства 190, в момент времени, когда выполняется взаимодействие пользователя с банковскими сервисами 199 посредством упомянутого устройства 190.
На этапе 320 с помощью средства анализа 120 выделяют из собранных характеристик ключевые характеристики, а именно характеристики, которые влияют на безопасность упомянутого устройства 190.
На этапе 330 с помощью средства анализа 120 формируют набор кластеров, в который входят ранее известные устройства 190 указанного пользователя, при этом кластеризация выполняется на основании векторов ключевых характеристик устройства 190, где вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства 190.
На этапе 340 с помощью средства анализа 120 вычисляют расстояние между вектором ключевых характеристик упомянутого устройства, и вектором ключевых характеристик по меньшей мере одного устройства 190, которое предоставляло банковские сервисы 199 пользователю ранее и которое входит в состав упомянутых созданных кластеров.
На этапе 350 с помощью средства анализа 120 вычисляют скорость изменения упомянутого расстояния для сформированного набора кластеров на основании информации о скорости изменения расстояния на всех известных устройствах 190 других пользователей для набора упомянутых кластеров.
На этапе 360 с помощью средства анализа 120 определяют упомянутое устройство 190 как новое устройство 190 пользователя в случае, если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения.
В одном из вариантов реализации на этапе 370 с помощью средства анализа 120 на основании скорости изменения расстояния и вероятности изменения ключевых характеристик дополнительно определяют факторы риска для упомянутого устройства 190.
В одном из вариантов реализации на этапе 380 в случае выявления факторов риска данные о них отправляются средством анализа 120 системам безопасности банковских сервисов 199 для принятия действий по предотвращению мошеннической активности.
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п.Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (20)

1. Система выявления нового устройства, которое предоставляет удаленные сервисы пользователю, при взаимодействии пользователя посредством аккаунта через устройство, которое предоставляет удаленные сервисы пользователю, которая содержит:
• средство сбора, предназначенное для
- сбора цифрового отпечатка устройства пользователя, при этом цифровой отпечаток содержит по меньшей мере одну характеристику упомянутого устройства, в момент времени, когда выполняется взаимодействие пользователя с удаленными сервисами посредством упомянутого устройства;
- передачи цифрового отпечатка, содержащего упомянутые характеристики, средству анализа;
• средство анализа, предназначенное для
- выделения из собранных характеристик ключевых характеристик, а именно характеристик, которые влияют на безопасность упомянутого устройства;
- формирования набора кластеров, в который входят ранее известные устройства указанного пользователя, при этом кластеризация выполняется на основании векторов ключевых характеристик устройства, где вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства;
- вычисления расстояния между вектором ключевых характеристик упомянутого устройства и вектором ключевых характеристик по меньшей мере одного устройства, которое предоставляло удаленные сервисы пользователю ранее и которое входит в состав упомянутых созданных кластеров;
- вычисления скорости изменения упомянутого расстояния для сформированного набора кластеров на основании информации о скорости изменения расстояния на всех известных устройствах других пользователей;
- определения упомянутого устройства как нового устройства пользователя в случае, если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения;
• базу данных, предназначенную для хранения данных, полученных от средства сбора и средства анализа и информации о скорости изменения расстояния между векторами ключевых характеристик от всех известных устройств других пользователей.
2. Система по п. 1, в которой средство анализа на основании скорости изменения расстояния дополнительно определяет факторы риска.
3. Способ выявления новых устройств, посредством которых выполняется онлайн-доступ пользователя к удаленным сервисам, реализуемый с помощью средств из п. 1 настоящей формулы и содержащий этапы, на которых:
а) собирают цифровой отпечаток устройства пользователя, при этом цифровой отпечаток содержит по меньшей мере одну характеристику упомянутого устройства, в момент времени, когда выполняется взаимодействие пользователя с удаленными сервисами посредством упомянутого устройства;
б) выделяют из собранных характеристик ключевые характеристики, а именно характеристики, которые влияют на безопасность упомянутого устройства;
в) формируют набор кластеров, в который входят ранее известные устройства указанного пользователя, при этом кластеризация выполняется на основании векторов ключевых характеристик устройства, где вектор ключевых характеристик содержит по крайней мере часть выделенных ключевых характеристик устройства;
г) вычисляют расстояние между вектором ключевых характеристик упомянутого устройства и вектором ключевых характеристик по меньшей мере одного устройства, которое предоставляло удаленные сервисы пользователю ранее и которое входит в состав упомянутых созданных кластеров;
д) вычисляют скорость изменения упомянутого расстояния для сформированного набора кластеров на основании информации о скорости изменения расстояния на всех известных устройствах других пользователей для набора упомянутых кластеров;
е) определяют упомянутое устройство как новое устройство пользователя в случае, если вычисленное расстояние с учетом вычисленной скорости изменения расстояния выше порогового значения.
4. Способ по п. 3, в котором на основании скорости изменения расстояния дополнительно определяют факторы риска.
RU2017133836A 2017-09-29 2017-09-29 Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами RU2659736C1 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2017133836A RU2659736C1 (ru) 2017-09-29 2017-09-29 Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
US15/910,365 US10580004B2 (en) 2017-09-29 2018-03-02 System and method of identifying new devices during a user's interaction with banking services
EP18171886.7A EP3462359B1 (en) 2017-09-29 2018-05-11 System and method of identifying new devices during a user's interaction with banking services
CN201810770868.8A CN109583177B (zh) 2017-09-29 2018-07-13 在用户与银行服务的交互期间识别新设备的系统和方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017133836A RU2659736C1 (ru) 2017-09-29 2017-09-29 Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами

Publications (1)

Publication Number Publication Date
RU2659736C1 true RU2659736C1 (ru) 2018-07-03

Family

ID=62815444

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017133836A RU2659736C1 (ru) 2017-09-29 2017-09-29 Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами

Country Status (1)

Country Link
RU (1) RU2659736C1 (ru)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724783C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ отбора кандидатов для сравнения отпечатков устройств
CN114374465A (zh) * 2022-01-18 2022-04-19 四川九洲电器集团有限责任公司 一种自适应抗灵巧与欺骗类信号干扰的方法及系统
GB2608357A (en) * 2021-06-18 2023-01-04 F Secure Corp Method for identifying network devices in computer network and an apparatus configured to identify network devices in computer network

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110302087A1 (en) * 2006-05-15 2011-12-08 Crooks Theodore J Comprehensive online fraud detection system and method
RU2011115355A (ru) * 2008-09-22 2012-10-27 Виза Интерншнл Сервис Ассосиейшн (Us) Мобильное платежное устройство, способ предотвращения несанкционированного доступа к платежному приложению и элемент памяти данных
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US20150324802A1 (en) * 2009-05-15 2015-11-12 Idm Global, Inc. Transaction assessment and/or authentication
RU2601148C1 (ru) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий при подключении устройств

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8739278B2 (en) * 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US20110302087A1 (en) * 2006-05-15 2011-12-08 Crooks Theodore J Comprehensive online fraud detection system and method
RU2011115355A (ru) * 2008-09-22 2012-10-27 Виза Интерншнл Сервис Ассосиейшн (Us) Мобильное платежное устройство, способ предотвращения несанкционированного доступа к платежному приложению и элемент памяти данных
US20150324802A1 (en) * 2009-05-15 2015-11-12 Idm Global, Inc. Transaction assessment and/or authentication
RU2601148C1 (ru) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий при подключении устройств

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2724783C1 (ru) * 2018-12-28 2020-06-25 Акционерное общество "Лаборатория Касперского" Система и способ отбора кандидатов для сравнения отпечатков устройств
GB2608357A (en) * 2021-06-18 2023-01-04 F Secure Corp Method for identifying network devices in computer network and an apparatus configured to identify network devices in computer network
US11736353B2 (en) 2021-06-18 2023-08-22 F-Secure Corporation Method for identifying network devices in computer network and an apparatus configured to identify network devices in computer network
GB2608357B (en) * 2021-06-18 2024-05-29 F Secure Corp Method for identifying network devices in computer network and an apparatus configured to identify network devices in computer network
CN114374465A (zh) * 2022-01-18 2022-04-19 四川九洲电器集团有限责任公司 一种自适应抗灵巧与欺骗类信号干扰的方法及系统

Similar Documents

Publication Publication Date Title
US11218474B2 (en) Contextual and risk-based multi-factor authentication
RU2635275C1 (ru) Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2666644C1 (ru) Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
CN105913257A (zh) 用于检测欺诈性在线交易的系统和方法
US20180196875A1 (en) Determining repeat website users via browser uniqueness tracking
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
US20160125522A1 (en) Automatic account lockout
EP3750275B1 (en) Method and apparatus for identity authentication, server and computer readable medium
US10958673B1 (en) Multi-factor authentication augmented workflow
RU2659736C1 (ru) Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
US10897479B1 (en) Systems and methods for machine-learning based digital threat assessment with integrated activity verification
US10587629B1 (en) Reducing false positives in bot detection
US11411947B2 (en) Systems and methods for smart contract-based detection of authentication attacks
US20240089260A1 (en) System and method for graduated deny list
EP3462359B1 (en) System and method of identifying new devices during a user's interaction with banking services
RU2724783C1 (ru) Система и способ отбора кандидатов для сравнения отпечатков устройств
CN116452135A (zh) 基于以太坊的分布式匿名投票方法、装置、设备及介质
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
CN117134999B (zh) 一种边缘计算网关的安全防护方法、存储介质及网关
RU2762527C1 (ru) Система и способ контроля операций при взаимодействии пользователя с удаленными сервисами
JP2019192197A (ja) ユーザとバンキングサービスとのインタラクション中に新規デバイスを識別するシステムおよび方法
RU2769651C2 (ru) Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система
EP3674942A1 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints