用于檢測欺詐性在線交易的系統(tǒng)和方法
【專利摘要】本發(fā)明公開了一種用于檢測欺詐性在線交易的系統(tǒng)和方法。示例性的方法包括:接收與電子交易有關(guān)的數(shù)據(jù),所述數(shù)據(jù)包括用戶動(dòng)作數(shù)據(jù)和惡意軟件動(dòng)作數(shù)據(jù)中的至少一者;基于在電子存儲(chǔ)器中存儲(chǔ)的預(yù)定的算法,分析所述數(shù)據(jù)以確定所述電子交易是否是可能的欺詐交易;確定所述可能的欺詐交易是否是合法的電子交易;以及如果所述硬件處理器確定所述可能的欺詐交易是合法的電子交易,則調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。
【專利說明】
用于檢測欺詐性在線交易的系統(tǒng)和方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明總體涉及計(jì)算機(jī)安全領(lǐng)域,更具體地,涉及檢測欺詐性在線交易的系統(tǒng)和 方法。
【背景技術(shù)】
[0002] 當(dāng)今,有大量的可以用來進(jìn)行各種在線交易的軟件應(yīng)用程序。使用標(biāo)準(zhǔn)瀏覽器在 網(wǎng)上銀行的輔助下進(jìn)行很多交易,也使用獨(dú)立的銀行客戶端,尤其是在移動(dòng)平臺(tái)上受歡迎 的銀行客戶端。當(dāng)使用瀏覽器進(jìn)行交易時(shí),用戶通常去往銀行網(wǎng)站并進(jìn)行授權(quán)(其有時(shí)是雙 因素類型,例如使用SMS或令牌),之后,用戶能夠?qū)ζ浯婵钸M(jìn)行操作。
[0003] 不必驚訝的是,隨著在線支付的增長,電腦黑客已對該服務(wù)區(qū)域越來越感興趣,積 極探索截獲交易數(shù)據(jù)從而非法轉(zhuǎn)移資金的方式。通常使用安裝到用戶的計(jì)算機(jī)上、從而使 計(jì)算機(jī)感染的惡意程序來進(jìn)行數(shù)據(jù)竊取。最常見的是,這樣的程序通過受歡迎的網(wǎng)上瀏覽 器來使計(jì)算機(jī)感染;可以在通過輸入設(shè)備(諸如鍵盤或鼠標(biāo))輸入數(shù)據(jù)時(shí)或者將數(shù)據(jù)發(fā)送至 網(wǎng)頁瀏覽器時(shí)來截獲該數(shù)據(jù)。例如,使瀏覽器感染的惡意程序可以訪問瀏覽器文件、網(wǎng)頁訪 問歷史記錄和對于所訪問的網(wǎng)頁的用戶密碼。鍵盤記錄器截獲從鍵盤或鼠標(biāo)進(jìn)行的數(shù)據(jù)輸 入、進(jìn)行屏幕截圖并通過各種各樣的隱藏程序技術(shù)來隱藏它們在系統(tǒng)中的存在。也使用類 似的技術(shù)來截獲網(wǎng)絡(luò)數(shù)據(jù)包(流量嗅探器),該類似的技術(shù)截獲正在發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包并從 該網(wǎng)絡(luò)數(shù)據(jù)包提取有價(jià)值的信息,諸如密碼和其它個(gè)人數(shù)據(jù)。應(yīng)當(dāng)明白,最常見的是通過采 用軟件中的缺陷來使感染發(fā)生,使得可以使用各種安全漏洞來進(jìn)入計(jì)算機(jī)系統(tǒng)。
[0004] 盡管現(xiàn)有的防病毒技術(shù)(諸如使用簽名匹配、啟發(fā)式分析、主動(dòng)防御、或使用被信 任的應(yīng)用程序的列表(即白名單))能夠檢測出用戶計(jì)算機(jī)上的很多惡意程序,但并不是總 能夠識(shí)別它們的很多的新的病毒改型或變型,其中,新的病毒改型或變型正以越來越高的 頻率出現(xiàn)。因此,需要能夠確保在線交易(諸如在線支付)對于用戶而言安全的解決方案。
[0005] 考慮到在線服務(wù)和在線交易上的黑客攻擊越來越多,銀行正在使用它們自己的驗(yàn) 證在線交易的可靠性的方式。一種這樣的驗(yàn)證基于對用戶正在輸入的數(shù)據(jù)的分析,來識(shí)別 惡意程序(例如bot程序)的工作。例如,一些系統(tǒng)基于與特定的數(shù)據(jù)輸入?yún)?shù)的過度高的值 相關(guān)聯(lián)的異常來檢測欺詐。其它的系統(tǒng)可以基于某些參數(shù)(諸如,進(jìn)行的交易的數(shù)量)的過 大的改變來檢測欺詐。
[0006] 然而,常規(guī)的系統(tǒng)不提供檢測和處理誤報(bào)(第一種錯(cuò)誤)的方式,但是由金融機(jī)構(gòu) (例如,銀行、電子商務(wù)網(wǎng)站)提供的服務(wù)的質(zhì)量直接取決于這樣的錯(cuò)誤的數(shù)量。因此,需要 改進(jìn)的檢測欺詐性在線交易的系統(tǒng)和方法。
【發(fā)明內(nèi)容】
[0007] 公開了一種用于優(yōu)化欺詐性在線交易的檢測的系統(tǒng)和方法。在一個(gè)方面中,用于 檢測欺詐交易的示例性方法包括:通過通信接口接收與電子交易有關(guān)的數(shù)據(jù),所述數(shù)據(jù)包 括用戶動(dòng)作數(shù)據(jù)和惡意軟件動(dòng)作數(shù)據(jù)中的至少一者;基于在電子存儲(chǔ)器中存儲(chǔ)的預(yù)定的算 法,通過硬件處理器分析所述數(shù)據(jù)以確定所述電子交易是否是可能的欺詐交易;通過所述 硬件處理器確定所述可能的欺詐交易是否是合法的電子交易;以及如果所述硬件處理器確 定所述可能的欺詐交易是合法的電子交易,則通過所述硬件處理器調(diào)節(jié)所述預(yù)定的算法的 操作參數(shù)。
[0008] 在另一方面中,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時(shí)間段期間由執(zhí)行請求的 電子交易的計(jì)算機(jī)執(zhí)行的事件的數(shù)量。
[0009] 在另一方面中,由所述計(jì)算機(jī)執(zhí)行的所述事件可以包括以下中的至少一者:鍵盤 上的按鍵的激活數(shù)量;計(jì)算機(jī)鼠標(biāo)的按鈕的激活數(shù)量;所述鼠標(biāo)或軌跡球的移動(dòng)軌跡;下載 網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時(shí)刻;以及在鍵擊期間的錯(cuò)誤的出現(xiàn)和校正。
[0010] 在另一方面中,所述預(yù)定的時(shí)間段是所述預(yù)定的算法的所述操作參數(shù)中的至少一 個(gè)操作參數(shù)。
[0011] 在另一方面中,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):通過將由所述 計(jì)算機(jī)執(zhí)行的所述電子交易的平均持續(xù)時(shí)間除以由所述計(jì)算機(jī)執(zhí)行的所述事件的數(shù)量,計(jì) 算平均片格(frame)值;通過將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的最小持續(xù)時(shí)間除以由 所述計(jì)算機(jī)執(zhí)行的事件的數(shù)量,計(jì)算最小片格值;計(jì)算所述平均片格值的和所述最小片格 值的相應(yīng)的倒數(shù);以及將所述預(yù)定的時(shí)間段更新為計(jì)算的各個(gè)倒數(shù)的平均值。
[0012] 在另一方面,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):將由所述計(jì)算機(jī) 執(zhí)行的所述電子交易的時(shí)間分成具有相等持續(xù)時(shí)間的多個(gè)片格;對所述多個(gè)片格中的每一 片格中的事件的數(shù)量進(jìn)行計(jì)數(shù);計(jì)算在所述多個(gè)片格中的每一片格中的所述事件的數(shù)量的 平均值和離差;根據(jù)以下公式計(jì)算成本函數(shù):
[0014]其中,k是所述平均值,v是所述離差,A是所述多個(gè)片格中的每一片格的所述持續(xù) 時(shí)間,以及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量;以及更新所述預(yù)定的時(shí)間段以最小化所計(jì)算 的成本函數(shù)。
[0015] 在另一方面中,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):將由所述計(jì)算 機(jī)執(zhí)行的所述電子交易的時(shí)間設(shè)定為單個(gè)片格;對在所述單個(gè)片格中的事件的數(shù)量進(jìn)行計(jì) 數(shù);如果所述事件的數(shù)量大于〇,將所述單個(gè)片格分成兩個(gè)相等的片格;繼續(xù)將所述兩個(gè)相 等的片格中的每個(gè)片格分別分成另外的兩個(gè)相等的片格,直到所述另外的兩個(gè)相等的片格 中的一個(gè)片格具有〇數(shù)量的事件;以及基于具有〇數(shù)量的事件的所述另外的兩個(gè)相等的片格 中的一個(gè)片格的片格尺寸,更新所述預(yù)定的時(shí)間段。
[0016] 在另一方面中,公開了一種用于檢測欺詐交易的系統(tǒng),所述系統(tǒng)包括:通信接口, 所述通信接口被配置成接收與電子交易有關(guān)的數(shù)據(jù);以及硬件處理器,所述硬件處理器被 配置成:基于在電子存儲(chǔ)器中存儲(chǔ)的預(yù)定的算法,分析所述數(shù)據(jù)以確定所述電子交易是否 是可能的欺詐交易,確定所述可能的欺詐交易是否是合法的電子交易,以及如果所述硬件 處理器確定所述可能的欺詐交易是合法的電子交易,則調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。
[0017] 示例性方面的上述簡化的
【發(fā)明內(nèi)容】
用于提供對本發(fā)明的基本理解。該
【發(fā)明內(nèi)容】
不 是對考慮的所有方面的全面概述,且既不意在識(shí)別所有方面的關(guān)鍵或重要的因素,也不意 在描述本發(fā)明的任何方面或所有方面的范圍。其唯一目的是將簡化形式的一個(gè)或多個(gè)方面 呈現(xiàn)為本發(fā)明的下面的更詳細(xì)的描述的前奏。為了實(shí)現(xiàn)上述內(nèi)容,本發(fā)明的所述一個(gè)或多 個(gè)方面包括所描述的、尤其在權(quán)利要求書中所指出的特征。
【附圖說明】
[0018] 并入到本說明書中并構(gòu)成本說明書的一部分的附圖示出了本發(fā)明的一個(gè)或多個(gè) 示例性方面,并且結(jié)合詳細(xì)描述一起用來說明示例性方面的原理和實(shí)現(xiàn)方式。
[0019] 圖1示出了用于在線交易的示例性用戶動(dòng)作的直方圖;
[0020] 圖2示出了用于在檢測欺詐性在線交易中識(shí)別誤報(bào)的示例性系統(tǒng);
[0021] 圖3示出了在檢測欺詐性在線交易中識(shí)別誤報(bào)的示例性方法;以及
[0022] 圖4示出了根據(jù)示例性方面的可在其上實(shí)現(xiàn)所公開的系統(tǒng)和方法的通用計(jì)算機(jī)系 統(tǒng)(其可以是個(gè)人計(jì)算機(jī)或服務(wù)器)的示例。
【具體實(shí)施方式】
[0023] 所公開的系統(tǒng)和方法消除了用于防止在線欺詐和在檢測欺詐性在線交易中識(shí)別 誤報(bào)的常規(guī)解決方案的缺點(diǎn)。本文在用于檢測計(jì)算機(jī)上的欺詐交易的系統(tǒng)、方法和計(jì)算機(jī) 程序產(chǎn)品的上下文中描述了示例性方面。本領(lǐng)域的技術(shù)人員將明白,下文的描述僅僅是說 明性的且不意在以任何方式進(jìn)行限制。其它方面將容易地將自身表明給了解本發(fā)明的優(yōu)勢 的本領(lǐng)域的技術(shù)人員?,F(xiàn)在將詳細(xì)參考附圖中示出的示例性方面的實(shí)現(xiàn)方式。在所有附圖 中和下面的描述中,將盡量使用相同的附圖標(biāo)記來指代相同或相似的項(xiàng)。
[0024] 通常,試圖進(jìn)行在線購物或在銀行網(wǎng)站上對其存款進(jìn)行一系列動(dòng)作的計(jì)算機(jī)用戶 將進(jìn)行一系列動(dòng)作,包括但不限于按下鼠標(biāo)或鍵盤的按鍵、下載某些頁面、進(jìn)行交易、進(jìn)行 數(shù)據(jù)輸入/輸出、進(jìn)行與在線交易有關(guān)的其它動(dòng)作等。會(huì)話是一組受一定片格限制的這樣的 用戶動(dòng)作,該片格通常是時(shí)間段。該時(shí)間段可以是固定的(例如10分鐘)或者取決于某些參 數(shù)(例如,通過用戶進(jìn)入和離開網(wǎng)站所決定的會(huì)話時(shí)間)。
[0025] 圖1示出了用于在線交易的用戶動(dòng)作的直方圖。如圖所示,直方圖100示出了取決 于時(shí)間的用戶動(dòng)作的數(shù)量。出于示例性目的,圖1假定了直方圖1〇〇表示單個(gè)的用戶會(huì)話。具 體地,每一列120示出了在給定的時(shí)間間隔(例如,1秒)中的動(dòng)作的示例性數(shù)量。列120的組 形成了片格110,片格110的尺寸可以變化。因此,本領(lǐng)域的技術(shù)人員將理解,會(huì)話可以包括 多個(gè)片格。出于本發(fā)明的目的,假設(shè)會(huì)話包括一個(gè)或多個(gè)片格110。從分析的角度看,片格 110用于識(shí)別欺詐交易的邏輯。通常,本文公開的系統(tǒng)和方法對在所選擇的片格110內(nèi)發(fā)生 的事件進(jìn)行分析以識(shí)別偏差(例如異?,F(xiàn)象),該偏差接著可以被解釋為由惡意程序(即惡 意軟件)進(jìn)行的欺詐交易。
[0026] 所公開的系統(tǒng)和方法解決了選擇片格110的尺寸的問題,從而消除與用戶動(dòng)作相 關(guān)聯(lián)的可能的誤報(bào)。
[0027]圖2示出了用于在檢測欺詐性在線交易期間識(shí)別誤報(bào)的示例性系統(tǒng)230。在示例性 方面中,惡意程序280可以安裝在用戶的計(jì)算機(jī)210上,該惡意程序280可以在用戶不知情的 情況下從用戶的計(jì)算機(jī)210進(jìn)行一個(gè)或多個(gè)欺詐交易。然后,交易數(shù)據(jù)被發(fā)送到銀行的網(wǎng)頁 服務(wù)240或支付服務(wù),在該網(wǎng)頁服務(wù)240或支付服務(wù)處,該交易數(shù)據(jù)將正常地被處理從而在 服務(wù)器端(后臺(tái),在圖2中沒有示出)進(jìn)行交易。為了從欺詐行為的角度來評估該交易,可以 包括用戶動(dòng)作數(shù)據(jù)和/或惡意軟件動(dòng)作數(shù)據(jù)的交易數(shù)據(jù)被提供給數(shù)據(jù)分析模塊250,該數(shù)據(jù) 分析模塊250使用來自規(guī)則數(shù)據(jù)庫260的規(guī)則來檢測欺詐交易。
[0028]考慮到,檢測方法類似于上文討論的方法,并且基于諸如在單位時(shí)間中進(jìn)行的動(dòng) 作的數(shù)量的數(shù)據(jù)。一般而言,欺詐交易的特征在于,與個(gè)人進(jìn)行的慣常交易相比有多個(gè)異常 現(xiàn)象。例如,個(gè)人通過使用鼠標(biāo)在相當(dāng)長的時(shí)間內(nèi)輸入關(guān)于交易的數(shù)據(jù),從而在數(shù)據(jù)輸入窗 口的元件等之間進(jìn)行切換。相反,使用數(shù)據(jù)輸入的欺詐性方法的特洛伊木馬程序通常不同 于用戶交易,例如,在其執(zhí)行期間,沒有來自鼠標(biāo)或鍵盤的實(shí)際數(shù)據(jù)輸入,該數(shù)據(jù)輸入相當(dāng) 快,等等。數(shù)據(jù)分析模塊250可以確定這些差異,從而檢測可能的欺詐交易。
[0029]另一方面,例如,如果用戶的動(dòng)作像可能的欺詐交易,則用于檢測欺詐交易的不良 調(diào)節(jié)的數(shù)據(jù)分析模塊或錯(cuò)誤規(guī)則阻止來自用戶的交易,這種情況下當(dāng)然有可能會(huì)出現(xiàn)誤 報(bào)。為了消除或減少誤報(bào),系統(tǒng)230包括調(diào)節(jié)模塊270,該調(diào)節(jié)模塊270被配置成改變數(shù)據(jù)分 析模塊250或數(shù)據(jù)庫260的操作參數(shù)。
[0030] 在一個(gè)示例性方面中,安全模塊220(諸如防病毒軟件)也被安裝在計(jì)算機(jī)210上, 安全模塊220將關(guān)于用戶交易的另外的信息發(fā)送給調(diào)節(jié)模塊270。安全模塊220通常被配置 成檢測惡意程序280,這是本領(lǐng)域的技術(shù)人員會(huì)理解的,但當(dāng)防病毒數(shù)據(jù)庫并沒有在安全模 塊220中得到更新時(shí)或用于其檢測的模塊被關(guān)閉時(shí),并不總是可以進(jìn)行該檢測。
[0031] 圖3示出了在檢測欺詐交易期間識(shí)別誤報(bào)的示例性方法。如圖所示,在步驟310中, 在交易期間收集交易數(shù)據(jù)。在步驟320中,基于所收集的數(shù)據(jù),確定一個(gè)或多個(gè)可能的欺詐 交易。接下來,在步驟330中,該方法基于交易數(shù)據(jù)檢查誤報(bào)的可能性。如果沒有識(shí)別出誤 報(bào),則在步驟340中,系統(tǒng)繼續(xù)以正常模式操作。該正常模式可以包括將步驟310到步驟330 作為循環(huán)而重復(fù)。如果識(shí)別出誤報(bào),則在步驟350中,該系統(tǒng)被配置成改變操作參數(shù)。下面將 討論圖3中示出的步驟的細(xì)節(jié)。
[0032] 根據(jù)示例性方面,步驟310可以包括獲得來自用戶的計(jì)算機(jī)210和/或來自銀行的 網(wǎng)頁服務(wù)240連同數(shù)據(jù)分析模塊250的信息。該數(shù)據(jù)可以被收集在一個(gè)或多個(gè)片格110內(nèi)且 可以包括但不限于:(i)鍵盤上的按鍵或鼠標(biāo)的按鈕的激活數(shù)目;(ii)鼠標(biāo)或軌跡球的移動(dòng) 軌跡;(iii)網(wǎng)頁的下載;(iv)網(wǎng)頁上的鏈接的點(diǎn)擊頻率(速度);以及(v)用戶進(jìn)行數(shù)據(jù)輸入 的獨(dú)特性(例如,鍵擊之間的間歇、輸入期間的錯(cuò)誤的出現(xiàn)和校正、使用鼠標(biāo)以及填寫網(wǎng)頁 上的數(shù)據(jù)輸入字段的特征等)。
[0033] 如上所述,該數(shù)據(jù)(其可以被視為用戶動(dòng)作或事件)被輸入到用于確定欺詐交易的 算法中。如上所述,當(dāng)來自惡意程序的交易將不同于實(shí)際計(jì)算機(jī)用戶所進(jìn)行的交易時(shí),有很 多用于檢測以類似的方式操作的欺詐交易的已知算法,該已知算法基于識(shí)別所輸入的該組 數(shù)據(jù)中的異?,F(xiàn)象。用于檢測欺詐交易的這樣的算法的示例公開于美國專利No.8,650,080 和美國公布文本No.2012/0204257中,該美國專利和美國公布文本均以引用的方式并入本 申請。
[0034] 然而,如上所述,這些用于檢測欺詐交易的算法不受誤報(bào)的影響。換言之,該算法 可能將合法的電子交易錯(cuò)誤地識(shí)別為欺詐性的。例如,這可以在交易期間的數(shù)據(jù)輸入中用 戶的特定行為可能部分地類似于惡意程序的工作模型時(shí)發(fā)生,這可能導(dǎo)致交易被數(shù)據(jù)分析 模塊250識(shí)別為欺詐性的且被該數(shù)據(jù)分析模塊250阻止。為了糾正這些錯(cuò)誤,所公開的方法 在步驟330中識(shí)別誤報(bào)(即,合法的電子交易被識(shí)別為欺詐性的)。
[0035] 在各個(gè)方面中,誤報(bào)可以采用以下不同的方式來識(shí)別:(i)從計(jì)算機(jī)210的用戶接 收具有關(guān)于失敗的電子交易的信息的通知,該通知有助于將該交易識(shí)別為合法的;(ii)從 安全模塊220接收該欺詐交易實(shí)際上是合法的且安全的通知;以及本領(lǐng)域的技術(shù)人員知道 的其它方法。
[0036] 當(dāng)檢測到誤報(bào)時(shí),系統(tǒng)230被配置成在步驟350中執(zhí)行改變用于檢測欺詐交易的上 述的一個(gè)或多個(gè)算法的操作參數(shù)。在一個(gè)方面中,可以通過根據(jù)事件數(shù)量來改變片格110的 尺寸而改變操作參數(shù)。
[0037] 在一個(gè)示例性方面中,算法的訓(xùn)練可以包括:收集關(guān)于會(huì)話的數(shù)據(jù)(例如持續(xù)時(shí) 間);計(jì)算對于片格110的平均值(例如,會(huì)話的平均持續(xù)時(shí)間除以該會(huì)話期間的事件的平均 數(shù)量);計(jì)算用于片格110的最小值(例如,將該會(huì)話的最小持續(xù)時(shí)間除以該會(huì)話期間的事件 的最小數(shù)量);計(jì)算用于片格110的平均值和最小值的倒數(shù);以及將片格尺寸110更新為兩個(gè) 計(jì)算出的倒數(shù)的平均值)。
[0038] 在另一示例性方面中,算法的訓(xùn)練可以包括:將會(huì)話分成若干個(gè)相等持續(xù)時(shí)間的 片格110);對每個(gè)片格110中的事件數(shù)量進(jìn)行計(jì)數(shù);計(jì)算每列120中的事件數(shù)量的平均值和 離差;以及根據(jù)以下公式計(jì)算成本函數(shù):
[0040] 其中,k是平均值,v是離差,A是片格尺寸,以及n是訓(xùn)練會(huì)話的數(shù)量。一旦計(jì)算出 成本函數(shù),則改變片格尺寸11 〇以最小化成本函數(shù)。
[0041] 在另一示例性方面中,算法的訓(xùn)練可以包括:將整個(gè)會(huì)話作為一個(gè)片格110;對在 片格110中的事件的數(shù)量進(jìn)行計(jì)數(shù);如果事件的數(shù)量大于〇,則將該片格分成兩個(gè)相等的片 格;重復(fù)上一步驟,直到在多個(gè)片格中的一個(gè)片格中的事件的數(shù)量等于0;以及基于先前的 片格除法迭代(frame division iteration)來選擇片格尺寸。
[0042] 根據(jù)示例性方面,在選擇/更新片格尺寸110后,用于在檢測的欺詐交易中識(shí)別誤 報(bào)的系統(tǒng)230繼續(xù)操作,直到檢測到新的誤報(bào)。根據(jù)另一方面,系統(tǒng)可以基于一定數(shù)量的先 前的誤報(bào)的累積來檢測誤報(bào)。在又一方面中,僅僅在誤報(bào)與所檢測到的欺詐交易的總數(shù)的 比率超出一定閾值(例如,0.01)后,所公開的系統(tǒng)230才可以執(zhí)行在圖3中示出的步驟。
[0043] 圖4示出了根據(jù)示例性方面的可在其上實(shí)現(xiàn)所公開的系統(tǒng)和方法的通用計(jì)算機(jī)系 統(tǒng)(其可以是個(gè)人計(jì)算機(jī)或服務(wù)器)的示例。計(jì)算機(jī)系統(tǒng)20包括中央處理單元21、系統(tǒng)存儲(chǔ) 器22和連接各個(gè)系統(tǒng)部件的系統(tǒng)總線23,所述各個(gè)系統(tǒng)部件包括與中央處理單元21相關(guān)聯(lián) 的存儲(chǔ)器。系統(tǒng)總線23被實(shí)現(xiàn)為如同現(xiàn)有技術(shù)中已知的任何總線結(jié)構(gòu),則包括總線存儲(chǔ)器 或總線存儲(chǔ)器控制器、外圍總線和局部總線,該系統(tǒng)總線23能夠與任何其它的總線架構(gòu)相 互作用。系統(tǒng)存儲(chǔ)器包括只讀存儲(chǔ)器(R〇M)24和隨機(jī)存取存儲(chǔ)器(RAM)25?;据斎?輸出系 統(tǒng)(BI0S)26包括確保個(gè)人計(jì)算機(jī)20的元件之間的信息傳輸?shù)幕境绦颍T如在通過使用 ROM 24下載操作系統(tǒng)時(shí)的基本程序。
[0044] 個(gè)人計(jì)算機(jī)20則包括用于數(shù)據(jù)的讀和寫的硬盤27、用于在可移除的磁盤29上讀和 寫的磁盤驅(qū)動(dòng)器28和用于在可移除的光盤31(諸如⑶-R0M、DVD-R0M和其它的光學(xué)信息媒 介)上讀和寫的光驅(qū)30。硬盤27、磁盤驅(qū)動(dòng)器28和光驅(qū)30分別經(jīng)由硬盤接口 32、磁盤接口 33 和光驅(qū)接口 34而連接到系統(tǒng)總線23。驅(qū)動(dòng)器和對應(yīng)的計(jì)算機(jī)信息媒介是用于存儲(chǔ)個(gè)人計(jì)算 機(jī)20的計(jì)算機(jī)指令、數(shù)據(jù)結(jié)構(gòu)、程序模塊和其它數(shù)據(jù)的電力獨(dú)立的模塊。
[0045] 本發(fā)明提供了使用硬盤27、可移除的磁盤29和可移除的光盤31的系統(tǒng)的實(shí)現(xiàn)方 式,但應(yīng)當(dāng)理解,可以使用其它類型的能夠存儲(chǔ)計(jì)算機(jī)可讀的形式的數(shù)據(jù)的計(jì)算機(jī)信息媒 介56(固態(tài)驅(qū)動(dòng)器、閃存卡、數(shù)字卡、隨機(jī)存取存儲(chǔ)器(RAM)等),該計(jì)算機(jī)信息媒介56經(jīng)由控 制器55連接至系統(tǒng)總線23。
[0046] 計(jì)算機(jī)20具有保存記錄的操作系統(tǒng)35的文件系統(tǒng)36以及另外的程序應(yīng)用37、其它 程序模塊38和程序數(shù)據(jù)39。用戶能夠通過使用輸入設(shè)備(鍵盤40、鼠標(biāo)42)將命令和信息輸 入到個(gè)人計(jì)算機(jī)20??梢允褂闷渌妮斎朐O(shè)備(未示出):耳機(jī)、控制桿、游戲控制器、掃描儀 等。這樣的輸入設(shè)備通常通過串行端口46而插接到計(jì)算機(jī)系統(tǒng)20中,該串行端口46則連接 至系統(tǒng)總線,但這樣的輸入設(shè)備可以以其它方式(例如在并行端口、游戲端口或通用串行總 線(USB)的輔助下)被連接。監(jiān)控器47或其它類型的顯示設(shè)備也經(jīng)過接口(諸如視頻適配器 48)連接至系統(tǒng)總線23。除了監(jiān)控器47外,個(gè)人計(jì)算機(jī)還可以配備有其它的外圍輸出設(shè)備 (未示出),諸如揚(yáng)聲器、打印機(jī)等。
[0047]個(gè)人計(jì)算機(jī)20能夠使用與一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)49的網(wǎng)絡(luò)連接而工作在網(wǎng)絡(luò)環(huán) 境中。一個(gè)或多個(gè)遠(yuǎn)程計(jì)算機(jī)49也是具有描述個(gè)人計(jì)算機(jī)20的性質(zhì)的上述元件中的大多數(shù) 元件或所有元件的個(gè)人計(jì)算機(jī)或服務(wù)器,如圖4所示。其它設(shè)備也可以存在于計(jì)算機(jī)網(wǎng)絡(luò) 中,諸如路由器、網(wǎng)絡(luò)站、對等設(shè)備或其他網(wǎng)絡(luò)節(jié)點(diǎn)。
[0048] 網(wǎng)絡(luò)連接可以形成局域計(jì)算機(jī)網(wǎng)絡(luò)(LAN)50(諸如有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò))和廣 域計(jì)算機(jī)網(wǎng)絡(luò)(WAN)。這樣的網(wǎng)絡(luò)用在企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)絡(luò)中,且它們通常有權(quán)訪 問互聯(lián)網(wǎng)。在LAN網(wǎng)絡(luò)或WAN網(wǎng)絡(luò)中,個(gè)人計(jì)算機(jī)20經(jīng)過網(wǎng)絡(luò)適配器或網(wǎng)絡(luò)接口 51連接至局 域網(wǎng)50。當(dāng)使用網(wǎng)絡(luò)時(shí),個(gè)人計(jì)算機(jī)20可以使用調(diào)制解調(diào)器54或用于提供與廣域計(jì)算機(jī)網(wǎng) 絡(luò)(諸如互聯(lián)網(wǎng))的通信的其它模塊。作為內(nèi)部設(shè)備或外部設(shè)備的調(diào)制解調(diào)器54通過串行端 口 46連接至系統(tǒng)總線23。應(yīng)當(dāng)注意到,網(wǎng)絡(luò)連接僅僅是示例且不需要描述網(wǎng)絡(luò)的確切配置, 即實(shí)際上,具有通過技術(shù)通信模塊建立一個(gè)計(jì)算機(jī)到另一計(jì)算機(jī)的連接的其它方式,諸如 藍(lán)牙。
[0049] 在各個(gè)方面中,本文描述的系統(tǒng)和方法可以以硬件、軟件、固件或其任意組合而實(shí) 現(xiàn)。如果以軟件實(shí)現(xiàn),則方法可以作為一個(gè)或多個(gè)指令或代碼而存儲(chǔ)在非暫態(tài)計(jì)算機(jī)可讀 介質(zhì)上。計(jì)算機(jī)可讀介質(zhì)包括數(shù)據(jù)存儲(chǔ)器。例如且非限制性地,這樣的計(jì)算機(jī)可讀介質(zhì)可以 包括1^11、1?(通、££?1?011丄0-1?(通、閃存或其它類型的電存儲(chǔ)介質(zhì)、磁存儲(chǔ)介質(zhì)、或光存儲(chǔ)介質(zhì)、 或者可以用來承載或存儲(chǔ)以指令或數(shù)據(jù)結(jié)構(gòu)的形式的期望程序代碼以及可以通過通用計(jì) 算機(jī)的處理器訪問的任何其它介質(zhì)。
[0050] 在各個(gè)方面中,本發(fā)明中以模塊的形式描述了系統(tǒng)和方法。本文中使用的術(shù)語"模 ±夬"指的是使用硬件(諸如通過專用集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA))實(shí)現(xiàn)的實(shí) 際的設(shè)備、部件或部件組合布置,例如,或者作為硬件和軟件的組合,諸如通過微處理器系 統(tǒng)和實(shí)現(xiàn)模塊的功能的指令集實(shí)現(xiàn)的實(shí)際的設(shè)備、部件或部件組合布置,該指令集(在被執(zhí) 行時(shí))將微處理器系統(tǒng)轉(zhuǎn)換為專用設(shè)備。一個(gè)模塊還可以被實(shí)現(xiàn)為兩個(gè)模塊的組合,其中, 一些功能僅通過硬件來促進(jìn),其它功能通過硬件和軟件的組合來促進(jìn)。在一些實(shí)現(xiàn)方式中, 模塊的至少一部分、且在一些情況所有部分可以在通用計(jì)算機(jī)(諸如上面圖3中更詳細(xì)描述 的通用計(jì)算機(jī))的處理器上執(zhí)行。因此,每個(gè)模塊可以以各種適合的配置而實(shí)現(xiàn),且不應(yīng)當(dāng) 局限于本文示例化的任何示例性實(shí)現(xiàn)方式。
[0051] 為了清楚,本文并沒有公開所有的方面的常規(guī)特征。將會(huì)明白的是,在本發(fā)明的任 何實(shí)際實(shí)現(xiàn)方式的發(fā)展中,必須做出多個(gè)特定實(shí)現(xiàn)方式的決定,以實(shí)現(xiàn)開發(fā)者的特定目的, 且這些特定目的將針對不同的實(shí)現(xiàn)于和不同的開發(fā)者而變化。將會(huì)明白的是,這樣的發(fā)展 工作可能是復(fù)雜且耗時(shí)的,但對于了解本發(fā)明的優(yōu)勢的本領(lǐng)域普通技術(shù)人員而言是常規(guī)工 程。
[0052] 而且,應(yīng)當(dāng)理解,本文中使用的措辭或術(shù)語是出于描述目的而非限制目的,使得本 說明書的術(shù)語或措辭通過本領(lǐng)域的技術(shù)人員根據(jù)本文示出的教導(dǎo)和指導(dǎo)結(jié)合相關(guān)技術(shù)領(lǐng) 域的技術(shù)人員的知識(shí)而解釋。而且,除非明確規(guī)定,本說明書或權(quán)利要求書中的任何術(shù)語不 意在歸納為不常見或特殊的意思。
[0053]本文公開的各個(gè)方面涵蓋通過說明而在本文中提到的已知模塊的當(dāng)前和未來知 道的等同物。而且,盡管已經(jīng)示出和描述了多個(gè)方面和應(yīng)用,但對于了解本發(fā)明的優(yōu)勢的本 領(lǐng)域的技術(shù)人員而言明顯的是,在不脫離本文公開的發(fā)明性方面的情況下,比上述改動(dòng)更 多的改動(dòng)是可行的。
【主權(quán)項(xiàng)】
1. 一種用于檢測欺詐交易的方法,所述方法包括: 通過通信接口接收與電子交易有關(guān)的數(shù)據(jù),所述數(shù)據(jù)包括用戶動(dòng)作數(shù)據(jù)和惡意軟件動(dòng) 作數(shù)據(jù)中的至少一者; 基于在電子存儲(chǔ)器中存儲(chǔ)的預(yù)定的算法,通過硬件處理器分析所述數(shù)據(jù)W確定所述電 子交易是否是可能的欺詐交易; 通過所述硬件處理器確定所述可能的欺詐交易是否是合法的電子交易;W及 當(dāng)所述硬件處理器確定所述可能的欺詐交易是合法的電子交易時(shí),通過所述硬件處理 器調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。2. 根據(jù)權(quán)利要求1所述的方法,其中,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時(shí)間段期 間由執(zhí)行請求的所述電子交易的計(jì)算機(jī)執(zhí)行的事件的數(shù)量。3. 根據(jù)權(quán)利要求2所述的方法,其中,由所述計(jì)算機(jī)執(zhí)行的所述事件包括W下中的至少 一者:鍵盤上的按鍵的激活數(shù)量;計(jì)算機(jī)鼠標(biāo)的按鈕的激活數(shù)量;所述鼠標(biāo)或軌跡球的移動(dòng) 軌跡;下載網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時(shí)刻;W及在鍵擊期間的錯(cuò)誤的出 現(xiàn)和校正。4. 根據(jù)權(quán)利要求2所述的方法,其中,所述預(yù)定的時(shí)間段是所述預(yù)定的算法的所述操作 參數(shù)中的至少一個(gè)操作參數(shù)。5. 根據(jù)權(quán)利要求4所述的方法,其中,調(diào)節(jié)所述操作參數(shù)包括: 通過將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的平均持續(xù)時(shí)間除W由所述計(jì)算機(jī)執(zhí)行的 所述事件的數(shù)量,計(jì)算平均片格值; 通過將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的最小持續(xù)時(shí)間除W由所述計(jì)算機(jī)執(zhí)行的 事件的數(shù)量,計(jì)算最小片格值; 計(jì)算所述平均片格值的和所述最小片格值的相應(yīng)的倒數(shù);W及 將所述預(yù)定的時(shí)間段更新為計(jì)算的各個(gè)倒數(shù)的平均值。6. 根據(jù)權(quán)利要求4所述的方法,其中,調(diào)節(jié)所述操作參數(shù)包括: 將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的時(shí)間分成具有相等持續(xù)時(shí)間的多個(gè)片格; 對所述多個(gè)片格中的每一片格中的事件的數(shù)量進(jìn)行計(jì)數(shù); 計(jì)算在所述多個(gè)片格中的每一片格中的所述事件的數(shù)量的平均值和離差; 根據(jù)W下公式計(jì)算成本函數(shù):其中,k是所述平均值,V是所述離差,A是所述多個(gè)片格中的每一片格的所述持續(xù)時(shí) 間,W及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量;W及 更新所述預(yù)定的時(shí)間段W最小化所計(jì)算的成本函數(shù)。7. 根據(jù)權(quán)利要求4所述的方法,其中,調(diào)節(jié)所述操作參數(shù)包括: 將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的時(shí)間設(shè)定為單個(gè)片格; 對在所述單個(gè)片格中的事件的數(shù)量進(jìn)行計(jì)數(shù); 如果所述事件的數(shù)量大于O,則將所述單個(gè)片格分成兩個(gè)相等的片格; 繼續(xù)將所述兩個(gè)相等的片格中的每個(gè)片格分別分成另外兩個(gè)相等的片格,直到所述另 外兩個(gè)相等的片格中的一個(gè)片格具有O數(shù)量的事件;W及 基于具有O數(shù)量的事件的所述另外的兩個(gè)相等的片格中的一個(gè)片格的片格尺寸,更新 所述預(yù)定的時(shí)間段。8. -種用于檢測欺詐交易的系統(tǒng),所述系統(tǒng)包括: 通信接口,所述通信接口被配置成接收與電子交易有關(guān)的數(shù)據(jù),所述數(shù)據(jù)包括用戶動(dòng) 作數(shù)據(jù)和惡意軟件動(dòng)作數(shù)據(jù)中的至少一者;W及 硬件處理器,所述硬件處理器被配置成: 基于在電子存儲(chǔ)器中存儲(chǔ)的預(yù)定的算法,分析所述數(shù)據(jù)W確定所述電子交易是否是可 能的欺詐交易, 確定所述可能的欺詐交易是否是合法的電子交易,W及 如果所述硬件處理器確定所述可能的欺詐交易是合法的電子交易,貝U 調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。9. 根據(jù)權(quán)利要求8所述的系統(tǒng),其中,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時(shí)間段期 間由執(zhí)行請求的所述電子交易的計(jì)算機(jī)所執(zhí)行的事件的數(shù)量。10. 根據(jù)權(quán)利要求9所述的系統(tǒng),其中,由所述計(jì)算機(jī)執(zhí)行的所述事件能夠包括W下中 的至少一者:鍵盤上的按鍵的激活數(shù)量;計(jì)算機(jī)鼠標(biāo)的按鈕的激活數(shù)量;所述鼠標(biāo)或軌跡球 的移動(dòng)軌跡;下載網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時(shí)刻;W及在鍵擊期間的錯(cuò) 誤的出現(xiàn)和校正。11. 根據(jù)權(quán)利要求9所述的系統(tǒng),其中,所述預(yù)定的時(shí)間段是所述預(yù)定的算法的所述操 作參數(shù)中的至少一個(gè)操作參數(shù)。12. 根據(jù)權(quán)利要求11所述的系統(tǒng),其中,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 通過將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的平均持續(xù)時(shí)間除W由所述計(jì)算機(jī)執(zhí)行的 所述事件的數(shù)量,計(jì)算平均片格值; 通過將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的最小持續(xù)時(shí)間除W由所述計(jì)算機(jī)執(zhí)行的 事件的數(shù)量,計(jì)算最小片格值; 計(jì)算所述平均片格值的和所述最小片格值的相應(yīng)的倒數(shù);W及 將所述預(yù)定的時(shí)間段更新為計(jì)算的各個(gè)倒數(shù)的平均值。13. 根據(jù)權(quán)利要求11所述的系統(tǒng),其中,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的時(shí)間分成具有相等持續(xù)時(shí)間的多個(gè)片格; 對所述多個(gè)片格中的每一片格中的事件的數(shù)量進(jìn)行計(jì)數(shù); 計(jì)算在所述多個(gè)片格中的每一片格中的所述事件的數(shù)量的平均值和離差; 根據(jù)W下公式計(jì)算成本函數(shù):其中,k是所述平均值,V是所述離差,A是所述多個(gè)片格中的每一片格的所述持續(xù)時(shí) 間,W及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量;W及 更新所述預(yù)定的時(shí)間段W最小化所計(jì)算的成本函數(shù)。14.根據(jù)權(quán)利要求11所述的系統(tǒng),其中,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 將由所述計(jì)算機(jī)執(zhí)行的所述電子交易的時(shí)間設(shè)定為單個(gè)片格; 對在所述單個(gè)片格中的事件的數(shù)量進(jìn)行計(jì)數(shù); 如果所述事件的數(shù)量大于O,則將所述單個(gè)片格分成兩個(gè)相等的片格; 繼續(xù)將所述兩個(gè)相等的片格中的每個(gè)片格分別分成另外的兩個(gè)相等的片格,直到所述 另外的兩個(gè)相等的片格中的一個(gè)片格具有O數(shù)量的事件;W及 基于具有O數(shù)量的事件的所述另外的兩個(gè)相等的片格中的一個(gè)片格的片格尺寸,更新 所述預(yù)定的時(shí)間段。
【文檔編號(hào)】G06Q20/38GK105913257SQ201510868287
【公開日】2016年8月31日
【申請日】2015年12月1日
【發(fā)明人】葉夫根尼·B·科羅汀斯基
【申請人】卡巴斯基實(shí)驗(yàn)室股份制公司