用于檢測欺詐性在線交易的系統(tǒng)和方法
【專利摘要】本發(fā)明公開了一種用于檢測欺詐性在線交易的系統(tǒng)和方法��。示例性的方法包括:接收與電子交易有關(guān)的數(shù)據(jù)�,所述數(shù)據(jù)包括用戶動作數(shù)據(jù)和惡意軟件動作數(shù)據(jù)中的至少一者;基于在電子存儲器中存儲的預(yù)定的算法��,分析所述數(shù)據(jù)以確定所述電子交易是否是可能的欺詐交易����;確定所述可能的欺詐交易是否是合法的電子交易;以及如果所述硬件處理器確定所述可能的欺詐交易是合法的電子交易��,則調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)�����。
【專利說明】
用于檢測欺詐性在線交易的系統(tǒng)和方法
技術(shù)領(lǐng)域
[0001 ]本發(fā)明總體涉及計算機安全領(lǐng)域���,更具體地����,涉及檢測欺詐性在線交易的系統(tǒng)和 方法。
【背景技術(shù)】
[0002] 當今�����,有大量的可以用來進行各種在線交易的軟件應(yīng)用程序�����。使用標準瀏覽器在 網(wǎng)上銀行的輔助下進行很多交易�,也使用獨立的銀行客戶端�,尤其是在移動平臺上受歡迎 的銀行客戶端。當使用瀏覽器進行交易時���,用戶通常去往銀行網(wǎng)站并進行授權(quán)(其有時是雙 因素類型���,例如使用SMS或令牌),之后����,用戶能夠?qū)ζ浯婵钸M行操作。
[0003] 不必驚訝的是��,隨著在線支付的增長,電腦黑客已對該服務(wù)區(qū)域越來越感興趣�����,積 極探索截獲交易數(shù)據(jù)從而非法轉(zhuǎn)移資金的方式��。通常使用安裝到用戶的計算機上�、從而使 計算機感染的惡意程序來進行數(shù)據(jù)竊取。最常見的是��,這樣的程序通過受歡迎的網(wǎng)上瀏覽 器來使計算機感染;可以在通過輸入設(shè)備(諸如鍵盤或鼠標)輸入數(shù)據(jù)時或者將數(shù)據(jù)發(fā)送至 網(wǎng)頁瀏覽器時來截獲該數(shù)據(jù)�。例如,使瀏覽器感染的惡意程序可以訪問瀏覽器文件���、網(wǎng)頁訪 問歷史記錄和對于所訪問的網(wǎng)頁的用戶密碼�����。鍵盤記錄器截獲從鍵盤或鼠標進行的數(shù)據(jù)輸 入��、進行屏幕截圖并通過各種各樣的隱藏程序技術(shù)來隱藏它們在系統(tǒng)中的存在��。也使用類 似的技術(shù)來截獲網(wǎng)絡(luò)數(shù)據(jù)包(流量嗅探器)�����,該類似的技術(shù)截獲正在發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包并從 該網(wǎng)絡(luò)數(shù)據(jù)包提取有價值的信息���,諸如密碼和其它個人數(shù)據(jù)����。應(yīng)當明白����,最常見的是通過采 用軟件中的缺陷來使感染發(fā)生,使得可以使用各種安全漏洞來進入計算機系統(tǒng)���。
[0004] 盡管現(xiàn)有的防病毒技術(shù)(諸如使用簽名匹配、啟發(fā)式分析���、主動防御����、或使用被信 任的應(yīng)用程序的列表(即白名單))能夠檢測出用戶計算機上的很多惡意程序���,但并不是總 能夠識別它們的很多的新的病毒改型或變型�,其中����,新的病毒改型或變型正以越來越高的 頻率出現(xiàn)���。因此�����,需要能夠確保在線交易(諸如在線支付)對于用戶而言安全的解決方案。
[0005] 考慮到在線服務(wù)和在線交易上的黑客攻擊越來越多�,銀行正在使用它們自己的驗 證在線交易的可靠性的方式。一種這樣的驗證基于對用戶正在輸入的數(shù)據(jù)的分析����,來識別 惡意程序(例如bot程序)的工作。例如�����,一些系統(tǒng)基于與特定的數(shù)據(jù)輸入?yún)?shù)的過度高的值 相關(guān)聯(lián)的異常來檢測欺詐����。其它的系統(tǒng)可以基于某些參數(shù)(諸如,進行的交易的數(shù)量)的過 大的改變來檢測欺詐�����。
[0006] 然而,常規(guī)的系統(tǒng)不提供檢測和處理誤報(第一種錯誤)的方式����,但是由金融機構(gòu) (例如,銀行�����、電子商務(wù)網(wǎng)站)提供的服務(wù)的質(zhì)量直接取決于這樣的錯誤的數(shù)量�����。因此����,需要 改進的檢測欺詐性在線交易的系統(tǒng)和方法。
【發(fā)明內(nèi)容】
[0007] 公開了一種用于優(yōu)化欺詐性在線交易的檢測的系統(tǒng)和方法���。在一個方面中,用于 檢測欺詐交易的示例性方法包括:通過通信接口接收與電子交易有關(guān)的數(shù)據(jù)����,所述數(shù)據(jù)包 括用戶動作數(shù)據(jù)和惡意軟件動作數(shù)據(jù)中的至少一者;基于在電子存儲器中存儲的預(yù)定的算 法,通過硬件處理器分析所述數(shù)據(jù)以確定所述電子交易是否是可能的欺詐交易�����;通過所述 硬件處理器確定所述可能的欺詐交易是否是合法的電子交易;以及如果所述硬件處理器確 定所述可能的欺詐交易是合法的電子交易���,則通過所述硬件處理器調(diào)節(jié)所述預(yù)定的算法的 操作參數(shù)�。
[0008] 在另一方面中���,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時間段期間由執(zhí)行請求的 電子交易的計算機執(zhí)行的事件的數(shù)量���。
[0009] 在另一方面中,由所述計算機執(zhí)行的所述事件可以包括以下中的至少一者:鍵盤 上的按鍵的激活數(shù)量;計算機鼠標的按鈕的激活數(shù)量;所述鼠標或軌跡球的移動軌跡;下載 網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時刻����;以及在鍵擊期間的錯誤的出現(xiàn)和校正。
[0010] 在另一方面中��,所述預(yù)定的時間段是所述預(yù)定的算法的所述操作參數(shù)中的至少一 個操作參數(shù)���。
[0011] 在另一方面中����,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):通過將由所述 計算機執(zhí)行的所述電子交易的平均持續(xù)時間除以由所述計算機執(zhí)行的所述事件的數(shù)量,計 算平均片格(frame)值;通過將由所述計算機執(zhí)行的所述電子交易的最小持續(xù)時間除以由 所述計算機執(zhí)行的事件的數(shù)量�����,計算最小片格值;計算所述平均片格值的和所述最小片格 值的相應(yīng)的倒數(shù);以及將所述預(yù)定的時間段更新為計算的各個倒數(shù)的平均值�����。
[0012] 在另一方面���,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):將由所述計算機 執(zhí)行的所述電子交易的時間分成具有相等持續(xù)時間的多個片格;對所述多個片格中的每一 片格中的事件的數(shù)量進行計數(shù);計算在所述多個片格中的每一片格中的所述事件的數(shù)量的 平均值和離差;根據(jù)以下公式計算成本函數(shù):
[0014]其中����,k是所述平均值�����,v是所述離差�����,A是所述多個片格中的每一片格的所述持續(xù) 時間����,以及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量;以及更新所述預(yù)定的時間段以最小化所計算 的成本函數(shù)����。
[0015] 在另一方面中,所述方法包括通過以下操作來調(diào)節(jié)所述操作參數(shù):將由所述計算 機執(zhí)行的所述電子交易的時間設(shè)定為單個片格;對在所述單個片格中的事件的數(shù)量進行計 數(shù);如果所述事件的數(shù)量大于〇�����,將所述單個片格分成兩個相等的片格;繼續(xù)將所述兩個相 等的片格中的每個片格分別分成另外的兩個相等的片格��,直到所述另外的兩個相等的片格 中的一個片格具有〇數(shù)量的事件����;以及基于具有〇數(shù)量的事件的所述另外的兩個相等的片格 中的一個片格的片格尺寸,更新所述預(yù)定的時間段���。
[0016] 在另一方面中���,公開了一種用于檢測欺詐交易的系統(tǒng),所述系統(tǒng)包括:通信接口�����, 所述通信接口被配置成接收與電子交易有關(guān)的數(shù)據(jù)�;以及硬件處理器����,所述硬件處理器被 配置成:基于在電子存儲器中存儲的預(yù)定的算法�����,分析所述數(shù)據(jù)以確定所述電子交易是否 是可能的欺詐交易�,確定所述可能的欺詐交易是否是合法的電子交易,以及如果所述硬件 處理器確定所述可能的欺詐交易是合法的電子交易�,則調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。
[0017] 示例性方面的上述簡化的
【發(fā)明內(nèi)容】
用于提供對本發(fā)明的基本理解�。該
【發(fā)明內(nèi)容】
不 是對考慮的所有方面的全面概述,且既不意在識別所有方面的關(guān)鍵或重要的因素��,也不意 在描述本發(fā)明的任何方面或所有方面的范圍���。其唯一目的是將簡化形式的一個或多個方面 呈現(xiàn)為本發(fā)明的下面的更詳細的描述的前奏�����。為了實現(xiàn)上述內(nèi)容���,本發(fā)明的所述一個或多 個方面包括所描述的、尤其在權(quán)利要求書中所指出的特征����。
【附圖說明】
[0018] 并入到本說明書中并構(gòu)成本說明書的一部分的附圖示出了本發(fā)明的一個或多個 示例性方面,并且結(jié)合詳細描述一起用來說明示例性方面的原理和實現(xiàn)方式��。
[0019] 圖1示出了用于在線交易的示例性用戶動作的直方圖�����;
[0020] 圖2示出了用于在檢測欺詐性在線交易中識別誤報的示例性系統(tǒng)�;
[0021] 圖3示出了在檢測欺詐性在線交易中識別誤報的示例性方法;以及
[0022] 圖4示出了根據(jù)示例性方面的可在其上實現(xiàn)所公開的系統(tǒng)和方法的通用計算機系 統(tǒng)(其可以是個人計算機或服務(wù)器)的示例�����。
【具體實施方式】
[0023] 所公開的系統(tǒng)和方法消除了用于防止在線欺詐和在檢測欺詐性在線交易中識別 誤報的常規(guī)解決方案的缺點��。本文在用于檢測計算機上的欺詐交易的系統(tǒng)���、方法和計算機 程序產(chǎn)品的上下文中描述了示例性方面���。本領(lǐng)域的技術(shù)人員將明白,下文的描述僅僅是說 明性的且不意在以任何方式進行限制�����。其它方面將容易地將自身表明給了解本發(fā)明的優(yōu)勢 的本領(lǐng)域的技術(shù)人員。現(xiàn)在將詳細參考附圖中示出的示例性方面的實現(xiàn)方式�。在所有附圖 中和下面的描述中,將盡量使用相同的附圖標記來指代相同或相似的項����。
[0024] 通常,試圖進行在線購物或在銀行網(wǎng)站上對其存款進行一系列動作的計算機用戶 將進行一系列動作�,包括但不限于按下鼠標或鍵盤的按鍵、下載某些頁面�����、進行交易�����、進行 數(shù)據(jù)輸入/輸出��、進行與在線交易有關(guān)的其它動作等����。會話是一組受一定片格限制的這樣的 用戶動作,該片格通常是時間段�。該時間段可以是固定的(例如10分鐘)或者取決于某些參 數(shù)(例如,通過用戶進入和離開網(wǎng)站所決定的會話時間)�。
[0025] 圖1示出了用于在線交易的用戶動作的直方圖�����。如圖所示�,直方圖100示出了取決 于時間的用戶動作的數(shù)量����。出于示例性目的�,圖1假定了直方圖1〇〇表示單個的用戶會話。具 體地���,每一列120示出了在給定的時間間隔(例如��,1秒)中的動作的示例性數(shù)量�����。列120的組 形成了片格110,片格110的尺寸可以變化�����。因此�,本領(lǐng)域的技術(shù)人員將理解���,會話可以包括 多個片格�。出于本發(fā)明的目的,假設(shè)會話包括一個或多個片格110�。從分析的角度看,片格 110用于識別欺詐交易的邏輯����。通常,本文公開的系統(tǒng)和方法對在所選擇的片格110內(nèi)發(fā)生 的事件進行分析以識別偏差(例如異?����,F(xiàn)象)�����,該偏差接著可以被解釋為由惡意程序(即惡 意軟件)進行的欺詐交易���。
[0026] 所公開的系統(tǒng)和方法解決了選擇片格110的尺寸的問題��,從而消除與用戶動作相 關(guān)聯(lián)的可能的誤報���。
[0027]圖2示出了用于在檢測欺詐性在線交易期間識別誤報的示例性系統(tǒng)230。在示例性 方面中,惡意程序280可以安裝在用戶的計算機210上�,該惡意程序280可以在用戶不知情的 情況下從用戶的計算機210進行一個或多個欺詐交易。然后��,交易數(shù)據(jù)被發(fā)送到銀行的網(wǎng)頁 服務(wù)240或支付服務(wù)��,在該網(wǎng)頁服務(wù)240或支付服務(wù)處��,該交易數(shù)據(jù)將正常地被處理從而在 服務(wù)器端(后臺����,在圖2中沒有示出)進行交易�����。為了從欺詐行為的角度來評估該交易�,可以 包括用戶動作數(shù)據(jù)和/或惡意軟件動作數(shù)據(jù)的交易數(shù)據(jù)被提供給數(shù)據(jù)分析模塊250,該數(shù)據(jù) 分析模塊250使用來自規(guī)則數(shù)據(jù)庫260的規(guī)則來檢測欺詐交易。
[0028]考慮到����,檢測方法類似于上文討論的方法,并且基于諸如在單位時間中進行的動 作的數(shù)量的數(shù)據(jù)���。一般而言�����,欺詐交易的特征在于�����,與個人進行的慣常交易相比有多個異常 現(xiàn)象����。例如,個人通過使用鼠標在相當長的時間內(nèi)輸入關(guān)于交易的數(shù)據(jù)�����,從而在數(shù)據(jù)輸入窗 口的元件等之間進行切換��。相反�����,使用數(shù)據(jù)輸入的欺詐性方法的特洛伊木馬程序通常不同 于用戶交易�����,例如��,在其執(zhí)行期間,沒有來自鼠標或鍵盤的實際數(shù)據(jù)輸入���,該數(shù)據(jù)輸入相當 快���,等等。數(shù)據(jù)分析模塊250可以確定這些差異��,從而檢測可能的欺詐交易���。
[0029]另一方面�,例如���,如果用戶的動作像可能的欺詐交易,則用于檢測欺詐交易的不良 調(diào)節(jié)的數(shù)據(jù)分析模塊或錯誤規(guī)則阻止來自用戶的交易����,這種情況下當然有可能會出現(xiàn)誤 報。為了消除或減少誤報�����,系統(tǒng)230包括調(diào)節(jié)模塊270,該調(diào)節(jié)模塊270被配置成改變數(shù)據(jù)分 析模塊250或數(shù)據(jù)庫260的操作參數(shù)�����。
[0030] 在一個示例性方面中,安全模塊220(諸如防病毒軟件)也被安裝在計算機210上�����, 安全模塊220將關(guān)于用戶交易的另外的信息發(fā)送給調(diào)節(jié)模塊270�。安全模塊220通常被配置 成檢測惡意程序280,這是本領(lǐng)域的技術(shù)人員會理解的,但當防病毒數(shù)據(jù)庫并沒有在安全模 塊220中得到更新時或用于其檢測的模塊被關(guān)閉時���,并不總是可以進行該檢測��。
[0031] 圖3示出了在檢測欺詐交易期間識別誤報的示例性方法���。如圖所示,在步驟310中����, 在交易期間收集交易數(shù)據(jù)。在步驟320中���,基于所收集的數(shù)據(jù)�,確定一個或多個可能的欺詐 交易��。接下來,在步驟330中���,該方法基于交易數(shù)據(jù)檢查誤報的可能性����。如果沒有識別出誤 報���,則在步驟340中��,系統(tǒng)繼續(xù)以正常模式操作��。該正常模式可以包括將步驟310到步驟330 作為循環(huán)而重復(fù)�����。如果識別出誤報�,則在步驟350中��,該系統(tǒng)被配置成改變操作參數(shù)���。下面將 討論圖3中示出的步驟的細節(jié)。
[0032] 根據(jù)示例性方面�,步驟310可以包括獲得來自用戶的計算機210和/或來自銀行的 網(wǎng)頁服務(wù)240連同數(shù)據(jù)分析模塊250的信息��。該數(shù)據(jù)可以被收集在一個或多個片格110內(nèi)且 可以包括但不限于:(i)鍵盤上的按鍵或鼠標的按鈕的激活數(shù)目�;(ii)鼠標或軌跡球的移動 軌跡�;(iii)網(wǎng)頁的下載;(iv)網(wǎng)頁上的鏈接的點擊頻率(速度)����;以及(v)用戶進行數(shù)據(jù)輸入 的獨特性(例如,鍵擊之間的間歇��、輸入期間的錯誤的出現(xiàn)和校正�����、使用鼠標以及填寫網(wǎng)頁 上的數(shù)據(jù)輸入字段的特征等)���。
[0033] 如上所述�,該數(shù)據(jù)(其可以被視為用戶動作或事件)被輸入到用于確定欺詐交易的 算法中���。如上所述����,當來自惡意程序的交易將不同于實際計算機用戶所進行的交易時���,有很 多用于檢測以類似的方式操作的欺詐交易的已知算法����,該已知算法基于識別所輸入的該組 數(shù)據(jù)中的異常現(xiàn)象�����。用于檢測欺詐交易的這樣的算法的示例公開于美國專利No.8,650,080 和美國公布文本No.2012/0204257中�����,該美國專利和美國公布文本均以引用的方式并入本 申請����。
[0034] 然而,如上所述�����,這些用于檢測欺詐交易的算法不受誤報的影響�。換言之,該算法 可能將合法的電子交易錯誤地識別為欺詐性的�����。例如��,這可以在交易期間的數(shù)據(jù)輸入中用 戶的特定行為可能部分地類似于惡意程序的工作模型時發(fā)生�����,這可能導(dǎo)致交易被數(shù)據(jù)分析 模塊250識別為欺詐性的且被該數(shù)據(jù)分析模塊250阻止��。為了糾正這些錯誤��,所公開的方法 在步驟330中識別誤報(即����,合法的電子交易被識別為欺詐性的)。
[0035] 在各個方面中�,誤報可以采用以下不同的方式來識別:(i)從計算機210的用戶接 收具有關(guān)于失敗的電子交易的信息的通知,該通知有助于將該交易識別為合法的����;(ii)從 安全模塊220接收該欺詐交易實際上是合法的且安全的通知;以及本領(lǐng)域的技術(shù)人員知道 的其它方法����。
[0036] 當檢測到誤報時,系統(tǒng)230被配置成在步驟350中執(zhí)行改變用于檢測欺詐交易的上 述的一個或多個算法的操作參數(shù)����。在一個方面中���,可以通過根據(jù)事件數(shù)量來改變片格110的 尺寸而改變操作參數(shù)。
[0037] 在一個示例性方面中���,算法的訓練可以包括:收集關(guān)于會話的數(shù)據(jù)(例如持續(xù)時 間)�����;計算對于片格110的平均值(例如�,會話的平均持續(xù)時間除以該會話期間的事件的平均 數(shù)量)��;計算用于片格110的最小值(例如�����,將該會話的最小持續(xù)時間除以該會話期間的事件 的最小數(shù)量)�����;計算用于片格110的平均值和最小值的倒數(shù)�;以及將片格尺寸110更新為兩個 計算出的倒數(shù)的平均值)。
[0038] 在另一示例性方面中,算法的訓練可以包括:將會話分成若干個相等持續(xù)時間的 片格110);對每個片格110中的事件數(shù)量進行計數(shù);計算每列120中的事件數(shù)量的平均值和 離差�����;以及根據(jù)以下公式計算成本函數(shù):
[0040] 其中��,k是平均值�,v是離差���,A是片格尺寸����,以及n是訓練會話的數(shù)量����。一旦計算出 成本函數(shù),則改變片格尺寸11 〇以最小化成本函數(shù)�����。
[0041] 在另一示例性方面中����,算法的訓練可以包括:將整個會話作為一個片格110;對在 片格110中的事件的數(shù)量進行計數(shù);如果事件的數(shù)量大于〇,則將該片格分成兩個相等的片 格;重復(fù)上一步驟,直到在多個片格中的一個片格中的事件的數(shù)量等于0;以及基于先前的 片格除法迭代(frame division iteration)來選擇片格尺寸�����。
[0042] 根據(jù)示例性方面��,在選擇/更新片格尺寸110后���,用于在檢測的欺詐交易中識別誤 報的系統(tǒng)230繼續(xù)操作���,直到檢測到新的誤報。根據(jù)另一方面�,系統(tǒng)可以基于一定數(shù)量的先 前的誤報的累積來檢測誤報。在又一方面中����,僅僅在誤報與所檢測到的欺詐交易的總數(shù)的 比率超出一定閾值(例如,0.01)后��,所公開的系統(tǒng)230才可以執(zhí)行在圖3中示出的步驟���。
[0043] 圖4示出了根據(jù)示例性方面的可在其上實現(xiàn)所公開的系統(tǒng)和方法的通用計算機系 統(tǒng)(其可以是個人計算機或服務(wù)器)的示例�����。計算機系統(tǒng)20包括中央處理單元21�����、系統(tǒng)存儲 器22和連接各個系統(tǒng)部件的系統(tǒng)總線23,所述各個系統(tǒng)部件包括與中央處理單元21相關(guān)聯(lián) 的存儲器����。系統(tǒng)總線23被實現(xiàn)為如同現(xiàn)有技術(shù)中已知的任何總線結(jié)構(gòu)���,則包括總線存儲器 或總線存儲器控制器���、外圍總線和局部總線,該系統(tǒng)總線23能夠與任何其它的總線架構(gòu)相 互作用��。系統(tǒng)存儲器包括只讀存儲器(R〇M)24和隨機存取存儲器(RAM)25��?���;据斎?輸出系 統(tǒng)(BI0S)26包括確保個人計算機20的元件之間的信息傳輸?shù)幕境绦颍T如在通過使用 ROM 24下載操作系統(tǒng)時的基本程序��。
[0044] 個人計算機20則包括用于數(shù)據(jù)的讀和寫的硬盤27���、用于在可移除的磁盤29上讀和 寫的磁盤驅(qū)動器28和用于在可移除的光盤31(諸如⑶-R0M����、DVD-R0M和其它的光學信息媒 介)上讀和寫的光驅(qū)30。硬盤27�����、磁盤驅(qū)動器28和光驅(qū)30分別經(jīng)由硬盤接口 32�����、磁盤接口 33 和光驅(qū)接口 34而連接到系統(tǒng)總線23����。驅(qū)動器和對應(yīng)的計算機信息媒介是用于存儲個人計算 機20的計算機指令、數(shù)據(jù)結(jié)構(gòu)�、程序模塊和其它數(shù)據(jù)的電力獨立的模塊。
[0045] 本發(fā)明提供了使用硬盤27�����、可移除的磁盤29和可移除的光盤31的系統(tǒng)的實現(xiàn)方 式��,但應(yīng)當理解��,可以使用其它類型的能夠存儲計算機可讀的形式的數(shù)據(jù)的計算機信息媒 介56(固態(tài)驅(qū)動器、閃存卡���、數(shù)字卡��、隨機存取存儲器(RAM)等)��,該計算機信息媒介56經(jīng)由控 制器55連接至系統(tǒng)總線23��。
[0046] 計算機20具有保存記錄的操作系統(tǒng)35的文件系統(tǒng)36以及另外的程序應(yīng)用37��、其它 程序模塊38和程序數(shù)據(jù)39。用戶能夠通過使用輸入設(shè)備(鍵盤40�、鼠標42)將命令和信息輸 入到個人計算機20?���?梢允褂闷渌妮斎朐O(shè)備(未示出):耳機、控制桿����、游戲控制器、掃描儀 等��。這樣的輸入設(shè)備通常通過串行端口46而插接到計算機系統(tǒng)20中���,該串行端口46則連接 至系統(tǒng)總線���,但這樣的輸入設(shè)備可以以其它方式(例如在并行端口����、游戲端口或通用串行總 線(USB)的輔助下)被連接�����。監(jiān)控器47或其它類型的顯示設(shè)備也經(jīng)過接口(諸如視頻適配器 48)連接至系統(tǒng)總線23��。除了監(jiān)控器47外�����,個人計算機還可以配備有其它的外圍輸出設(shè)備 (未示出)���,諸如揚聲器����、打印機等�。
[0047]個人計算機20能夠使用與一個或多個遠程計算機49的網(wǎng)絡(luò)連接而工作在網(wǎng)絡(luò)環(huán) 境中。一個或多個遠程計算機49也是具有描述個人計算機20的性質(zhì)的上述元件中的大多數(shù) 元件或所有元件的個人計算機或服務(wù)器���,如圖4所示��。其它設(shè)備也可以存在于計算機網(wǎng)絡(luò) 中�,諸如路由器、網(wǎng)絡(luò)站�、對等設(shè)備或其他網(wǎng)絡(luò)節(jié)點。
[0048] 網(wǎng)絡(luò)連接可以形成局域計算機網(wǎng)絡(luò)(LAN)50(諸如有線網(wǎng)絡(luò)和/或無線網(wǎng)絡(luò))和廣 域計算機網(wǎng)絡(luò)(WAN)��。這樣的網(wǎng)絡(luò)用在企業(yè)計算機網(wǎng)絡(luò)和企業(yè)內(nèi)網(wǎng)絡(luò)中�����,且它們通常有權(quán)訪 問互聯(lián)網(wǎng)���。在LAN網(wǎng)絡(luò)或WAN網(wǎng)絡(luò)中����,個人計算機20經(jīng)過網(wǎng)絡(luò)適配器或網(wǎng)絡(luò)接口 51連接至局 域網(wǎng)50��。當使用網(wǎng)絡(luò)時���,個人計算機20可以使用調(diào)制解調(diào)器54或用于提供與廣域計算機網(wǎng) 絡(luò)(諸如互聯(lián)網(wǎng))的通信的其它模塊。作為內(nèi)部設(shè)備或外部設(shè)備的調(diào)制解調(diào)器54通過串行端 口 46連接至系統(tǒng)總線23�����。應(yīng)當注意到,網(wǎng)絡(luò)連接僅僅是示例且不需要描述網(wǎng)絡(luò)的確切配置�, 即實際上,具有通過技術(shù)通信模塊建立一個計算機到另一計算機的連接的其它方式����,諸如 藍牙。
[0049] 在各個方面中���,本文描述的系統(tǒng)和方法可以以硬件��、軟件�、固件或其任意組合而實 現(xiàn)���。如果以軟件實現(xiàn)�����,則方法可以作為一個或多個指令或代碼而存儲在非暫態(tài)計算機可讀 介質(zhì)上�。計算機可讀介質(zhì)包括數(shù)據(jù)存儲器�����。例如且非限制性地,這樣的計算機可讀介質(zhì)可以 包括1^11���、1?(通����、££?1?011丄0-1?(通�����、閃存或其它類型的電存儲介質(zhì)����、磁存儲介質(zhì)、或光存儲介質(zhì)���、 或者可以用來承載或存儲以指令或數(shù)據(jù)結(jié)構(gòu)的形式的期望程序代碼以及可以通過通用計 算機的處理器訪問的任何其它介質(zhì)�����。
[0050] 在各個方面中,本發(fā)明中以模塊的形式描述了系統(tǒng)和方法����。本文中使用的術(shù)語"模 ±夬"指的是使用硬件(諸如通過專用集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA))實現(xiàn)的實 際的設(shè)備��、部件或部件組合布置�,例如���,或者作為硬件和軟件的組合��,諸如通過微處理器系 統(tǒng)和實現(xiàn)模塊的功能的指令集實現(xiàn)的實際的設(shè)備�����、部件或部件組合布置����,該指令集(在被執(zhí) 行時)將微處理器系統(tǒng)轉(zhuǎn)換為專用設(shè)備����。一個模塊還可以被實現(xiàn)為兩個模塊的組合,其中�, 一些功能僅通過硬件來促進,其它功能通過硬件和軟件的組合來促進�����。在一些實現(xiàn)方式中, 模塊的至少一部分�����、且在一些情況所有部分可以在通用計算機(諸如上面圖3中更詳細描述 的通用計算機)的處理器上執(zhí)行�。因此,每個模塊可以以各種適合的配置而實現(xiàn)��,且不應(yīng)當 局限于本文示例化的任何示例性實現(xiàn)方式����。
[0051] 為了清楚,本文并沒有公開所有的方面的常規(guī)特征�����。將會明白的是�����,在本發(fā)明的任 何實際實現(xiàn)方式的發(fā)展中��,必須做出多個特定實現(xiàn)方式的決定�,以實現(xiàn)開發(fā)者的特定目的, 且這些特定目的將針對不同的實現(xiàn)于和不同的開發(fā)者而變化�����。將會明白的是�����,這樣的發(fā)展 工作可能是復(fù)雜且耗時的���,但對于了解本發(fā)明的優(yōu)勢的本領(lǐng)域普通技術(shù)人員而言是常規(guī)工 程�����。
[0052] 而且���,應(yīng)當理解,本文中使用的措辭或術(shù)語是出于描述目的而非限制目的�����,使得本 說明書的術(shù)語或措辭通過本領(lǐng)域的技術(shù)人員根據(jù)本文示出的教導(dǎo)和指導(dǎo)結(jié)合相關(guān)技術(shù)領(lǐng) 域的技術(shù)人員的知識而解釋��。而且����,除非明確規(guī)定,本說明書或權(quán)利要求書中的任何術(shù)語不 意在歸納為不常見或特殊的意思。
[0053]本文公開的各個方面涵蓋通過說明而在本文中提到的已知模塊的當前和未來知 道的等同物�。而且,盡管已經(jīng)示出和描述了多個方面和應(yīng)用�����,但對于了解本發(fā)明的優(yōu)勢的本 領(lǐng)域的技術(shù)人員而言明顯的是��,在不脫離本文公開的發(fā)明性方面的情況下����,比上述改動更 多的改動是可行的。
【主權(quán)項】
1. 一種用于檢測欺詐交易的方法�,所述方法包括: 通過通信接口接收與電子交易有關(guān)的數(shù)據(jù),所述數(shù)據(jù)包括用戶動作數(shù)據(jù)和惡意軟件動 作數(shù)據(jù)中的至少一者�; 基于在電子存儲器中存儲的預(yù)定的算法,通過硬件處理器分析所述數(shù)據(jù)W確定所述電 子交易是否是可能的欺詐交易���; 通過所述硬件處理器確定所述可能的欺詐交易是否是合法的電子交易�;W及 當所述硬件處理器確定所述可能的欺詐交易是合法的電子交易時����,通過所述硬件處理 器調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)。2. 根據(jù)權(quán)利要求1所述的方法���,其中�����,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時間段期 間由執(zhí)行請求的所述電子交易的計算機執(zhí)行的事件的數(shù)量��。3. 根據(jù)權(quán)利要求2所述的方法���,其中,由所述計算機執(zhí)行的所述事件包括W下中的至少 一者:鍵盤上的按鍵的激活數(shù)量;計算機鼠標的按鈕的激活數(shù)量;所述鼠標或軌跡球的移動 軌跡;下載網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時刻��;W及在鍵擊期間的錯誤的出 現(xiàn)和校正����。4. 根據(jù)權(quán)利要求2所述的方法,其中�����,所述預(yù)定的時間段是所述預(yù)定的算法的所述操作 參數(shù)中的至少一個操作參數(shù)���。5. 根據(jù)權(quán)利要求4所述的方法���,其中�,調(diào)節(jié)所述操作參數(shù)包括: 通過將由所述計算機執(zhí)行的所述電子交易的平均持續(xù)時間除W由所述計算機執(zhí)行的 所述事件的數(shù)量���,計算平均片格值��; 通過將由所述計算機執(zhí)行的所述電子交易的最小持續(xù)時間除W由所述計算機執(zhí)行的 事件的數(shù)量���,計算最小片格值; 計算所述平均片格值的和所述最小片格值的相應(yīng)的倒數(shù)�����;W及 將所述預(yù)定的時間段更新為計算的各個倒數(shù)的平均值�����。6. 根據(jù)權(quán)利要求4所述的方法�����,其中��,調(diào)節(jié)所述操作參數(shù)包括: 將由所述計算機執(zhí)行的所述電子交易的時間分成具有相等持續(xù)時間的多個片格��; 對所述多個片格中的每一片格中的事件的數(shù)量進行計數(shù)�����; 計算在所述多個片格中的每一片格中的所述事件的數(shù)量的平均值和離差; 根據(jù)W下公式計算成本函數(shù):其中���,k是所述平均值�����,V是所述離差,A是所述多個片格中的每一片格的所述持續(xù)時 間����,W及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量;W及 更新所述預(yù)定的時間段W最小化所計算的成本函數(shù)����。7. 根據(jù)權(quán)利要求4所述的方法,其中��,調(diào)節(jié)所述操作參數(shù)包括: 將由所述計算機執(zhí)行的所述電子交易的時間設(shè)定為單個片格�����; 對在所述單個片格中的事件的數(shù)量進行計數(shù)�����; 如果所述事件的數(shù)量大于O,則將所述單個片格分成兩個相等的片格��; 繼續(xù)將所述兩個相等的片格中的每個片格分別分成另外兩個相等的片格���,直到所述另 外兩個相等的片格中的一個片格具有O數(shù)量的事件��;W及 基于具有O數(shù)量的事件的所述另外的兩個相等的片格中的一個片格的片格尺寸��,更新 所述預(yù)定的時間段����。8. -種用于檢測欺詐交易的系統(tǒng)���,所述系統(tǒng)包括: 通信接口��,所述通信接口被配置成接收與電子交易有關(guān)的數(shù)據(jù)���,所述數(shù)據(jù)包括用戶動 作數(shù)據(jù)和惡意軟件動作數(shù)據(jù)中的至少一者;W及 硬件處理器�����,所述硬件處理器被配置成: 基于在電子存儲器中存儲的預(yù)定的算法,分析所述數(shù)據(jù)W確定所述電子交易是否是可 能的欺詐交易�, 確定所述可能的欺詐交易是否是合法的電子交易,W及 如果所述硬件處理器確定所述可能的欺詐交易是合法的電子交易���,貝U 調(diào)節(jié)所述預(yù)定的算法的操作參數(shù)�����。9. 根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中�����,所述與電子交易有關(guān)的數(shù)據(jù)是在預(yù)定的時間段期 間由執(zhí)行請求的所述電子交易的計算機所執(zhí)行的事件的數(shù)量�����。10. 根據(jù)權(quán)利要求9所述的系統(tǒng)�,其中��,由所述計算機執(zhí)行的所述事件能夠包括W下中 的至少一者:鍵盤上的按鍵的激活數(shù)量;計算機鼠標的按鈕的激活數(shù)量;所述鼠標或軌跡球 的移動軌跡;下載網(wǎng)頁;選擇所述網(wǎng)頁上的鏈接的頻率;鍵擊的時刻����;W及在鍵擊期間的錯 誤的出現(xiàn)和校正�。11. 根據(jù)權(quán)利要求9所述的系統(tǒng)�����,其中��,所述預(yù)定的時間段是所述預(yù)定的算法的所述操 作參數(shù)中的至少一個操作參數(shù)�����。12. 根據(jù)權(quán)利要求11所述的系統(tǒng)�,其中,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 通過將由所述計算機執(zhí)行的所述電子交易的平均持續(xù)時間除W由所述計算機執(zhí)行的 所述事件的數(shù)量����,計算平均片格值; 通過將由所述計算機執(zhí)行的所述電子交易的最小持續(xù)時間除W由所述計算機執(zhí)行的 事件的數(shù)量�����,計算最小片格值��; 計算所述平均片格值的和所述最小片格值的相應(yīng)的倒數(shù)��;W及 將所述預(yù)定的時間段更新為計算的各個倒數(shù)的平均值。13. 根據(jù)權(quán)利要求11所述的系統(tǒng)��,其中�,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 將由所述計算機執(zhí)行的所述電子交易的時間分成具有相等持續(xù)時間的多個片格; 對所述多個片格中的每一片格中的事件的數(shù)量進行計數(shù)�; 計算在所述多個片格中的每一片格中的所述事件的數(shù)量的平均值和離差; 根據(jù)W下公式計算成本函數(shù):其中�����,k是所述平均值���,V是所述離差�,A是所述多個片格中的每一片格的所述持續(xù)時 間�����,W及n是對所述預(yù)定的算法調(diào)節(jié)的數(shù)量��;W及 更新所述預(yù)定的時間段W最小化所計算的成本函數(shù)�。14.根據(jù)權(quán)利要求11所述的系統(tǒng)����,其中,所述硬件處理器被配置成通過W下來調(diào)節(jié)所述 操作參數(shù): 將由所述計算機執(zhí)行的所述電子交易的時間設(shè)定為單個片格; 對在所述單個片格中的事件的數(shù)量進行計數(shù)��; 如果所述事件的數(shù)量大于O�,則將所述單個片格分成兩個相等的片格; 繼續(xù)將所述兩個相等的片格中的每個片格分別分成另外的兩個相等的片格�,直到所述 另外的兩個相等的片格中的一個片格具有O數(shù)量的事件;W及 基于具有O數(shù)量的事件的所述另外的兩個相等的片格中的一個片格的片格尺寸�,更新 所述預(yù)定的時間段。
【文檔編號】G06Q20/38GK105913257SQ201510868287
【公開日】2016年8月31日
【申請日】2015年12月1日
【發(fā)明人】葉夫根尼·B·科羅汀斯基
【申請人】卡巴斯基實驗室股份制公司