RU2599943C2 - Способ оптимизации системы обнаружения мошеннических транзакций - Google Patents
Способ оптимизации системы обнаружения мошеннических транзакций Download PDFInfo
- Publication number
- RU2599943C2 RU2599943C2 RU2015105806/08A RU2015105806A RU2599943C2 RU 2599943 C2 RU2599943 C2 RU 2599943C2 RU 2015105806/08 A RU2015105806/08 A RU 2015105806/08A RU 2015105806 A RU2015105806 A RU 2015105806A RU 2599943 C2 RU2599943 C2 RU 2599943C2
- Authority
- RU
- Russia
- Prior art keywords
- transaction
- frame
- fraudulent
- data
- user
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4016—Transaction verification involving fraud or risk level assessment in transaction processing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/405—Establishing or using transaction specific rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/42—Confirmation, e.g. check or permission by the legal debtor of payment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Accounting & Taxation (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Finance (AREA)
- General Business, Economics & Management (AREA)
- Strategic Management (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Economics (AREA)
- Development Economics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Virology (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Debugging And Monitoring (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- User Interface Of Digital Computer (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Изобретение относится к технологиям защиты электронных данных. Техническим результатом является уменьшение ложных срабатываний при обнаружении мошеннических транзакций за счет настройки размера фрейма. Предложен способ настройки размера фрейма для исключения ложного срабатывания при обнаружении мошеннических транзакций. Способ настройки размера фрейма при обнаружении мошеннических транзакций включает этапы, на которых получают данные о пользовательской сессии во время транзакции, при этом пользовательская сессия ограничена во времени и разбивается на равные по длительности фреймы. Далее, согласно способу, осуществляют подсчет количества событий в каждом из фреймов, используют полученные данные для определения мошеннической транзакции в рамках одного фрейма. Определяют ложное срабатывание при определении мошеннической транзакции, при этом определение ложного срабатывания заключается в определении, что транзакция пользователя определяется как мошенническая транзакция. 3 з.п. ф-лы, 4 ил.
Description
Область техники
Изобретение относится к технологиям сферы компьютерной безопасности, а более конкретно к способам оптимизации системы обнаружения мошеннических транзакций.
Уровень техники
В настоящее время существует большое количество программного обеспечения, с помощью которого можно проводить различные онлайн-транзакции. Многие транзакции совершаются с помощью онлайн-банкинга, используя стандартные браузеры, также используются отдельные банковские клиенты, которые особенно популярны на мобильных платформах. Используя браузер для проведения транзакции, пользователь, как правило, заходит на сайт банка, проходит авторизацию (которая иногда бывает двухфакторной, например, с помощью SMS или токена), после чего получает возможность проводить операции со своими средствами.
Неудивительно, что с ростом количества онлайн-платежей данным сегментом услуг заинтересовались злоумышленники, которые активно исследуют возможные варианты перехвата передаваемых во время транзакции данных с целью незаконного перевода средств. Как правило, кражу данных транзакций осуществляют с помощью вредоносных программ, которые попадают на компьютеры пользователей (посредством заражения компьютеров). Чаще всего подобные программы попадают на компьютеры через популярные интернет-браузеры, выполняют перехват данных, вводимых с устройств ввода (таких как клавиатура или мышь), или перехватывают данные, отправляемые в сеть (сетевые пакеты). Например, вредоносные программы, заражающие браузеры, получают доступ к файлам браузера, просматривают историю посещений и сохраненные пароли при посещении веб-страниц. Перехватчики ввода данных (англ. keyloggers) перехватывают ввод данных с клавиатуры или мыши, делают снимки экранов (англ. screenshots) и скрывают свое присутствие в системе с помощью целого ряда руткит-технологий (англ. rootkit). Подобные технологии также применяются при реализации перехватчиков сетевых пакетов (снифферов трафика, англ. traffic sniffers), которые перехватывают передаваемые сетевые пакеты, извлекая из них ценную информацию, такую как пароли и другие личные данные. Стоит отметить, что заражение чаще всего происходит с использованием уязвимостей в программном обеспечении, которые позволяют использовать различные эксплойты (англ. exploit) для проникновения в компьютерную систему.
Существующие антивирусные технологии, такие как использование сигнатурной или эвристической проверок, методы проактивной защиты или использование списков доверенных приложений (англ. whitelist), хотя и позволяют добиться обнаружения многих вредоносных программ на компьютерах пользователей, однако не всегда способны определить их новые модификации, частота появления которых растет день ото дня. Таким образом, требуются решения, которые могли бы обезопасить процедуру проведения онлайн-платежей у пользователей.
Учитывая растущее количество онлайн-транзакций со стороны злоумышленников, которые являются мошенническими (англ. fraud), банки используют свои схемы проверки проводимых онлайн-транзакций. Одна из таких проверок основана на определении вводимых пользователем данных с целью определения работы вредоносных программ (ботов).
Например, в заявке US 20110251951 описан вариант обнаружения мошенничества на основании аномалий, связанных со слишком высоким значением определенного параметра ввода данных. Патент US 7793835 раскрывает обнаружение факта мошенничества на основании слишком большого изменения определенных параметров (например, количества проведенных транзакций).
Однако настоящие публикации не предлагают возможности определения ложных срабатываний (ошибки первого рода, когда транзакция пользователя определяется как мошенническая) и борьбы с ними, а вместе с тем от количества подобных ошибок напрямую зависит качество предоставляемого банком (финансовой организации) сервиса.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно способом оптимизации системы обнаружения мошеннических транзакций.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в уменьшении ложных срабатываний при работе способа обнаружения ложных срабатываний. Для достижения указанного результата предлагается способ настройки параметров системы для обнаружения мошеннических транзакций, при этом способ включает этапы, на которых: получают данные о пользовательской сессии во время транзакции; используют полученные данные для определения мошеннической транзакции; определяют ложное срабатывание при определении мошеннической транзакции; изменяют параметры системы для обнаружения мошеннических транзакций для исключения ложного срабатывания.
Согласно одному из вариантов реализации пользовательская сессия разбивается на фреймы.
Согласно еще одному из вариантов реализации определение мошеннической транзакции происходит в рамках фрейма.
Согласно другому варианту реализации пользовательская сессия включает набор пользовательских действий.
Согласно одному из вариантов реализации пользовательская сессия ограничена по времени.
Согласно еще одному из вариантов реализации данные о пользовательской сессии могут включать по меньшей мере одно из: количество нажатий клавиш на клавиатуре, кнопок мыши; траектория движения мыши или трекбола; загрузка веб-страниц; частота перехода по ссылкам на веб-страницах; особенности ввода данных пользователем.
Согласно другому варианту реализации обнаружение мошеннических транзакций основано на определении аномалий.
Согласно одному из вариантов реализации аномалии включают по меньшей мере одно из: большая скорость перехода по веб-страницам; посещение веб-страниц, которые пользователь обычно не посещает; большая частота выполнения действий, связанных с вводом данных
Согласно еще одному из вариантов реализации система обнаружения мошеннических транзакций включает средство анализа данных, которое использует данные о пользовательской сессии для обнаружения аномалий.
Согласно другому варианту реализации параметры системы включают размер фрейма.
Согласно одному из вариантов реализации ложное срабатывание заключается в определении, что транзакция пользователя определяется как мошенническая транзакция.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 иллюстрирует гистограмму пользовательских действий.
Фиг. 2 показывает работу системы по обнаружению ложных срабатываний, связанных с обнаружением мошеннических транзакций.
Фиг. 3 отображает способ обнаружения ложных срабатываний, связанных с обнаружением мошеннических транзакций.
Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Настоящее изобретение позволяет устранить недостатки текущих решений по борьбе с электронным мошенничеством (англ. online fraud), которые связаны с ложными срабатываниями подобных систем. Для более полного понимания работы настоящего изобретения в описании будут даны пояснения относительно общих принципов работы методов электронной коммерции (англ. online commerce) и связанных с этими методами угроз.
Пользователь, который пытается совершить онлайн покупку или выполнить ряд действий со своими денежными средствами на сайте банка, совершает ряд действий - нажимает клавиши мыши или клавиатуры, загружает определенные страницы, выполняет запросы на проведение транзакций, выполняет вход/выход в личный кабинет на сайте банка или выполняет иные действия, связанные с онлайн транзакциями. Сессией называется набор подобных действий, ограниченных определенными рамками - как правило, временными. Период времени может быть фиксированным (например, 10 минут) или зависеть от каких-либо параметров (например, время сессии, которое определяется входом и выходом пользователя в личный кабинет на сайте банка).
Фиг. 1 иллюстрирует гистограмму пользовательских действий. Гистограмма 100 иллюстрирует количество пользовательских действий в зависимости времени. Для упрощения понимания будем считать, что гистограмма 100 отражает одну пользовательскую сессию. Каждый столбец 120 показывает количество действий за заданный промежуток времени (например, за одну секунду). Набор столбцов 120 формирует фрейм 110, размер которого может варьироваться. Таким образом, можно говорить, что сессия включает несколько фреймов. В дальнейшем описании будем придерживаться того варианта реализации, в котором сессия включает один или несколько фреймов 110. С точки зрения анализа фреймы 110 используются для логики определения мошеннических транзакций. Как правило, в рамках выбранного фрейма 110 происходит анализ произошедших событий для определений отклонений (аномалий), которые можно рассматривать как мошеннические транзакции.
Настоящая заявка решает задачу выбора размера фрейма 110 с таким расчетом, чтобы исключить возможные ложные срабатывания, связанные с работой пользователя.
Рассмотрим работу системы 230 (Фиг. 2) по обнаружению ложных срабатываний, связанных с обнаружением мошеннических транзакций. На компьютере пользователя 210 может быть установлена вредоносная программа 280, которая совершает мошеннические транзакции с компьютера 210 без ведома пользователя. Данные по транзакции попадают на веб-сервис 240 банка или платежного сервиса, где они должны будут быть обработаны для проведения транзакции уже на серверной стороне (англ. backend, не отражено на Фиг. 2). Для оценки транзакции с точки зрения мошеннических действий данные по транзакции попадают на средство анализа данных 250. Данное средство 250 использует правила из базы данных правил 260 для обнаружения факта мошеннической транзакции.
Транзакция может быть признана мошеннической, если действия, которые привели к ее выполнению, по тем или иным признакам отличаются от обычных для пользователя действий (являются аномалиями). К примеру, подобными признаками могут являться:
- нестандартная (слишком большая) для пользователя скорость выполнения действий, таких как переход по страницам;
- посещение страниц, которые пользователь обычно не посещает;
- нестандартная (слишком большая) частота выполнения действий. Правила для обнаружения аномалий могут использовать один или несколько признаков для определения вероятности того, что транзакция может быть мошеннической.
Методы обнаружения аналогичны тем, что приведены в уровне техники и основаны на таких данных, как количество совершенных действий в единицу времени. Как правило, мошеннические транзакции характерны по ряду аномалий по сравнению с обычными транзакциями, которые выполняет человек - например, человек достаточно долго вводит данные по транзакции, использует мышь для переключения между элементами окна для ввода данных и т.д. Троянские программы, которые используют мошеннические методы ввода данных, как правило, имеют отличия - во время их работы нет фактического ввода данных с клавиатуры или мыши, ввод данных слишком быстрый и т.д.
С другой стороны, нельзя отбрасывать возможности ложных срабатываний, когда плохо настроенное средство анализа данных 250 (или неверно введенные правила для обнаружения факта мошеннической транзакции) может блокировать транзакции от пользователей в случае их похожести на возможные мошеннические транзакции. Для предотвращения подобных случаев используется средство настройки 270, которое выполняет изменение параметров работы средства 250 или базы данных 260.
В одном из вариантов реализации на компьютере 210 также установлено средство безопасности 220 (например, антивирус), которое передает дополнительную информацию о транзакции на средство настройки 270. Средство безопасности 220 может обнаружить вредоносную программу 280, однако это не всегда возможно, так как у средства безопасности 220 могут быть не обновлены антивирусные базы или отключены модули для обнаружения.
На Фиг. 3 отображен способ обнаружения ложных срабатываний, связанных с обнаружением мошеннических транзакций. На этапе 310 происходит сбор данных во время транзакции. На основе собранных данных на этапе 320 определяют факт возможной мошеннической транзакции, при этом на этапе 330 проверяется возможность ложного срабатывания. Если ложное срабатывание не было подтверждено, то работа системы по обнаружению ложных срабатываний, связанных с обнаружением мошеннических транзакций, продолжается в штатном режиме на этапе 340. В случае ложного срабатывания на этапе 350 производят изменение параметров работы.
Рассмотрим более подробно этапы, приведенные на Фиг. 3.
Набор данных на этапе 310 включает получение информации с компьютера пользователя 210 или с веб-сервиса 240 банка с помощью средства анализа данных 250. Данные могут собираться в рамках одного или нескольких фреймов 110. Данные могут включать:
- количество нажатий клавиш на клавиатуре, кнопок мыши;
- траекторию движения мыши или трекбола;
- загрузку веб-страниц;
- частоту (скорость) перехода по ссылкам на веб-страницах;
- особенности ввода данных пользователем (например, пауза между нажатиями клавиш, наличие и исправление ошибок при вводе, особенности использования мыши в виде траектории движения и заполнения полей ввода на веб-странице и т.д.).
Собранные данные попадают на вход алгоритмов (работающие в средстве 250) по определению мошеннических транзакций. Подобных алгоритмов много, и они работают примерно по одному общему шаблону, который основан на выявлении аномалий в наборе введенных данных, когда транзакция со стороны вредоносной программы будет отличаться от транзакций, которые проводит сам пользователь. Примеры алгоритмов раскрыты в публикациях US 8650080, US 20120204257 и других подобных.
Однако приведенные алгоритмы не застрахованы от ложных срабатываний, когда специфичное поведение пользователя при вводе данных во время транзакции может быть частично похоже на модель работы вредоносной программы, что будет заблокировано с помощью средства анализа данных 250. Таким образом, требуется определить ложные срабатывания на этапе 330. Ложные срабатывания могут быть определены несколькими возможными вариантами:
- обращение пользователя компьютера 210 с информацией о неудавшейся транзакции;
- оповещение от средства безопасности 220 о безопасной транзакции;
- информация от сотрудника банка о безопасной транзакции;
- дополнительное подтверждение от пользователя о легитимности попытки совершения транзакции (например, через СМС-подтверждение, голосовое подтверждение или при помощи иного средства двухфакторной авторизации, которое используется для дополнительного подтверждения легитимности транзакции);
- иные факторы.
При обнаружении ложного срабатывания на этапе 350 происходит изменение параметров работы указанных выше алгоритмов. В одном из вариантов реализации в настоящей заявке предлагаются подходы по изменению размера фреймов 110 в зависимости от количества событий.
Приведем несколько подходов, которые предполагают тренировку алгоритмов по определению размера фрейма.
Подход №1:
- сбор данных по сессиям (например, длительность)
- вычисление среднего значения по фрейму 110 (средняя длительность сессии делится на среднее количество событий в рамках сессии)
- вычисление минимального значения по фрейму 110 (минимальная длительность сессии делится на минимальное количество событий в рамках сессии);
- вычисляют обратные величины от среднего и минимального значения по фрейму 110;
- размер фрейма 110 будет равен среднему значению от двух вычисленных обратных величин.
Подход №2:
- изначально сессия делится на несколько равных по длительности фреймов 110;
- подсчитывается количество событий в каждом фрейме 110;
- подсчитывается среднее значение и дисперсия количества событий в каждом столбце 120;
- вычисляется функция стоимости
где - k - среднее значение,
- v - дисперсия,
- Δ - размер фрейма,
- n - количество сессий для тренировки,
- далее размер фрейма 110 изменяется для минимизации функции стоимости.
Подход №3:
- вся сессия берется за один фрейм 110;
- считается количество событий во фрейме 110;
- при количестве событий более 0, фрейм делится на два равных фрейма;
- предыдущий шаг повторяется до тех пор, пока в одном из фреймов количество событий не станет равным 0;
- размер фрейма выбирается на основании предыдущей итерации деления фрейма.
После того, как размер фрейма 110 был подобран, работа системы 230 по обнаружению ложных срабатываний, связанных с обнаружением мошеннических транзакций, может быть продолжена до тех пор, пока не будет обнаружено новое ложное срабатывание. В качестве другого критерия может быть накопление определенного количества ложных срабатываний. В рамках еще одного варианта реализации выполнение способа на Фиг. 3 может быть сделано только после того, как отношение ложных срабатываний к общему числу обнаруженных мошеннических транзакций превысит определенный порог (например, 0.01).
Кроме того, подбор фрейма может быть произведен на исторических данных, если таковые имеются. В этом случае предварительно накопленные сведения о легитимных пользовательских сессиях и транзакциях и о мошеннических транзакциях используются для предварительного обучения. В дальнейшем работа системы по обработке ложных срабатываний совпадает с описанным выше.
Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.
Claims (4)
1. Способ настройки размера фрейма при обнаружении мошеннических транзакций, при этом способ включает этапы, на которых:
а) получают данные о пользовательской сессии во время транзакции, при этом пользовательская сессия ограничена во времени и разбивается на равные по размеру фреймы, а данные о пользовательской сессии включают по меньшей мере одно из событий:
количество нажатий клавиш на клавиатуре, кнопок мыши;
траекторию движения мыши или трекбола;
загрузку веб-страниц;
частоту (скорость) перехода по ссылкам на веб-страницах;
особенности ввода данных пользователем;
б) подсчитывают количество событий в каждом из фреймов;
в) используют полученные данные для определения мошеннической транзакции в рамках одного фрейма;
г) определяют ложное срабатывание при определении мошеннической транзакции, при этом определение ложного срабатывания заключается в определении, что транзакция пользователя определяется как мошенническая транзакция;
д) изменяют размер фрейма в последующей работе, при этом изменение размера фрейма основано на минимизации функции стоимости.
а) получают данные о пользовательской сессии во время транзакции, при этом пользовательская сессия ограничена во времени и разбивается на равные по размеру фреймы, а данные о пользовательской сессии включают по меньшей мере одно из событий:
количество нажатий клавиш на клавиатуре, кнопок мыши;
траекторию движения мыши или трекбола;
загрузку веб-страниц;
частоту (скорость) перехода по ссылкам на веб-страницах;
особенности ввода данных пользователем;
б) подсчитывают количество событий в каждом из фреймов;
в) используют полученные данные для определения мошеннической транзакции в рамках одного фрейма;
г) определяют ложное срабатывание при определении мошеннической транзакции, при этом определение ложного срабатывания заключается в определении, что транзакция пользователя определяется как мошенническая транзакция;
д) изменяют размер фрейма в последующей работе, при этом изменение размера фрейма основано на минимизации функции стоимости.
2. Способ по п. 1, в котором определение мошеннической транзакции происходит в рамках фрейма.
3. Способ по п. 1, в котором обнаружение мошеннических транзакций основано на определении аномалий.
4. Способ по п. 1, в котором функция стоимости выражается формулой:
где k - среднее значение,
v - дисперсия,
Δ - размер фрейма,
n - количество сессий для тренировки.
где k - среднее значение,
v - дисперсия,
Δ - размер фрейма,
n - количество сессий для тренировки.
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015105806/08A RU2599943C2 (ru) | 2015-02-20 | 2015-02-20 | Способ оптимизации системы обнаружения мошеннических транзакций |
| US14/721,872 US20160247158A1 (en) | 2015-02-20 | 2015-05-26 | System and method for detecting fraudulent online transactions |
| EP15171336.9A EP3059694B1 (en) | 2015-02-20 | 2015-06-10 | System and method for detecting fraudulent online transactions |
| CN201510868287.4A CN105913257B (zh) | 2015-02-20 | 2015-12-01 | 用于检测欺诈性在线交易的系统和方法 |
| JP2016014048A JP2016167254A (ja) | 2015-02-20 | 2016-01-28 | 不正なオンライン取引を検出するためのシステムおよび方法 |
| JP2016096774A JP6472771B2 (ja) | 2015-02-20 | 2016-05-13 | 不正なオンライン取引を検出するためのシステムおよび方法 |
| US16/166,310 US20190057388A1 (en) | 2015-02-20 | 2018-10-22 | System and method for detecting fraudulent transactions using transaction session information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2015105806/08A RU2599943C2 (ru) | 2015-02-20 | 2015-02-20 | Способ оптимизации системы обнаружения мошеннических транзакций |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2015105806A RU2015105806A (ru) | 2016-09-10 |
| RU2599943C2 true RU2599943C2 (ru) | 2016-10-20 |
Family
ID=56693202
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2015105806/08A RU2599943C2 (ru) | 2015-02-20 | 2015-02-20 | Способ оптимизации системы обнаружения мошеннических транзакций |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US20160247158A1 (ru) |
| JP (2) | JP2016167254A (ru) |
| CN (1) | CN105913257B (ru) |
| RU (1) | RU2599943C2 (ru) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
| US10528948B2 (en) * | 2015-05-29 | 2020-01-07 | Fair Isaac Corporation | False positive reduction in abnormality detection system models |
| FR3057378B1 (fr) * | 2016-10-07 | 2022-03-18 | Worldline | Systeme de detection de fraude dans un flux de donnees |
| RU2634174C1 (ru) * | 2016-10-10 | 2017-10-24 | Акционерное общество "Лаборатория Касперского" | Система и способ выполнения банковской транзакции |
| CN108243049B (zh) * | 2016-12-27 | 2021-09-14 | 中国移动通信集团浙江有限公司 | 电信欺诈识别方法及装置 |
| US20180308099A1 (en) * | 2017-04-19 | 2018-10-25 | Bank Of America Corporation | Fraud Detection Tool |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
| US10616267B2 (en) * | 2017-07-13 | 2020-04-07 | Cisco Technology, Inc. | Using repetitive behavioral patterns to detect malware |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
| US11694293B2 (en) * | 2018-06-29 | 2023-07-04 | Content Square Israel Ltd | Techniques for generating analytics based on interactions through digital channels |
| US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
| US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
| US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
| US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
| US10263996B1 (en) | 2018-08-13 | 2019-04-16 | Capital One Services, Llc | Detecting fraudulent user access to online web services via user flow |
| US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
| AU2019337773B2 (en) | 2018-09-11 | 2024-02-15 | Mastercard Technologies Canada ULC | Transpilation of fraud detection rules to native language source code |
| US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
| US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
| US20210035118A1 (en) * | 2019-07-30 | 2021-02-04 | Bank Of America Corporation | Integrated interaction security system |
| US11223646B2 (en) | 2020-01-22 | 2022-01-11 | Forcepoint, LLC | Using concerning behaviors when performing entity-based risk calculations |
| US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
| US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
| US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
| US11303672B2 (en) | 2020-04-02 | 2022-04-12 | International Business Machines Corporation | Detecting replay attacks using action windows |
| US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
| US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
| US12130908B2 (en) | 2020-05-01 | 2024-10-29 | Forcepoint Llc | Progressive trigger data and detection model |
| US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
| US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
| US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
| US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
| US20240354445A1 (en) * | 2023-04-21 | 2024-10-24 | nference, inc. | Apparatus and a method for the anonymization of user data |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2438172C2 (ru) * | 2006-03-02 | 2011-12-27 | Виза Интернешнл Сервис Ассошиэйшн | Способ и система для осуществления двухфакторной аутентификации при транзакциях, связанных с заказами по почте и телефону |
| RU2534943C2 (ru) * | 2009-01-28 | 2014-12-10 | ВЭЛИДСОФТ ЮКей ЛИМИТЕД | Предотвращение ложноположительного определения карты |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060235795A1 (en) * | 2005-04-19 | 2006-10-19 | Microsoft Corporation | Secure network commercial transactions |
| US8650080B2 (en) * | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
| US20120072982A1 (en) * | 2010-09-17 | 2012-03-22 | Microsoft Corporation | Detecting potential fraudulent online user activity |
| IL226747B (en) * | 2013-06-04 | 2019-01-31 | Verint Systems Ltd | A system and method for studying malware detection |
| US10019744B2 (en) * | 2014-02-14 | 2018-07-10 | Brighterion, Inc. | Multi-dimensional behavior device ID |
| US20160125290A1 (en) * | 2014-10-30 | 2016-05-05 | Microsoft Technology Licensing, Llc | Combined discrete and incremental optimization in generating actionable outputs |
-
2015
- 2015-02-20 RU RU2015105806/08A patent/RU2599943C2/ru active
- 2015-05-26 US US14/721,872 patent/US20160247158A1/en not_active Abandoned
- 2015-12-01 CN CN201510868287.4A patent/CN105913257B/zh active Active
-
2016
- 2016-01-28 JP JP2016014048A patent/JP2016167254A/ja active Pending
- 2016-05-13 JP JP2016096774A patent/JP6472771B2/ja active Active
-
2018
- 2018-10-22 US US16/166,310 patent/US20190057388A1/en not_active Abandoned
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2438172C2 (ru) * | 2006-03-02 | 2011-12-27 | Виза Интернешнл Сервис Ассошиэйшн | Способ и система для осуществления двухфакторной аутентификации при транзакциях, связанных с заказами по почте и телефону |
| RU2534943C2 (ru) * | 2009-01-28 | 2014-12-10 | ВЭЛИДСОФТ ЮКей ЛИМИТЕД | Предотвращение ложноположительного определения карты |
Also Published As
| Publication number | Publication date |
|---|---|
| RU2015105806A (ru) | 2016-09-10 |
| JP2016224929A (ja) | 2016-12-28 |
| JP6472771B2 (ja) | 2019-02-20 |
| CN105913257B (zh) | 2020-04-07 |
| CN105913257A (zh) | 2016-08-31 |
| JP2016167254A (ja) | 2016-09-15 |
| US20190057388A1 (en) | 2019-02-21 |
| US20160247158A1 (en) | 2016-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2599943C2 (ru) | Способ оптимизации системы обнаружения мошеннических транзакций | |
| RU2571721C2 (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
| RU2587423C2 (ru) | Система и способ обеспечения безопасности онлайн-транзакций | |
| US8819769B1 (en) | Managing user access with mobile device posture | |
| RU2635275C1 (ru) | Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами | |
| US7908645B2 (en) | System and method for fraud monitoring, detection, and tiered user authentication | |
| ES2854701T3 (es) | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones | |
| RU2676021C1 (ru) | Система и способ определения DDoS-атак | |
| US8806622B2 (en) | Fraudulent page detection | |
| US8850567B1 (en) | Unauthorized URL requests detection | |
| RU2635276C1 (ru) | Безопасная аутентификация по логину и паролю в сети Интернет с использованием дополнительной двухфакторной аутентификации | |
| US11582251B2 (en) | Identifying patterns in computing attacks through an automated traffic variance finder | |
| EP3474177A1 (en) | System and method of detecting malicious files using a trained machine learning model | |
| US10373135B2 (en) | System and method for performing secure online banking transactions | |
| RU2767710C2 (ru) | Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур | |
| US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
| EP2922265B1 (en) | System and methods for detection of fraudulent online transactions | |
| EP3059694B1 (en) | System and method for detecting fraudulent online transactions | |
| RU2758359C1 (ru) | Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами | |
| EP3441930A1 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
| RU2757535C2 (ru) | Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам | |
| RU2769651C2 (ru) | Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система | |
| RU2659735C1 (ru) | Система и способ настройки систем безопасности при DDoS-атаке | |
| RU2665919C1 (ru) | Система и способ определения DDoS-атак при некорректной работе сервисов сервера | |
| EP3306508A1 (en) | System and method for performing secure online banking transactions |