[发明专利]方法、设备以及系统

说明书

技术领域

本公开总体上涉及用于保护网络服务的方法、设备以及系统。

背景技术

近来，组织越来越成为攻击其网络服务的受害者。这些攻击大多来自有组织犯罪，往往是针对钱财欺诈。部分攻击(通常是大规模的并出现在新闻标题中的攻击)是欺诈的准备步骤，例如，窃取账户凭证、信用卡详细信息等。

很多已知的欺诈计划使用这些罪犯自己在为了攻击所寻求的服务上创建的“假”账户。假账户创建通常是很多进一步攻击的第一步，因此，检测到假账户越快，在创建的账户用于欺诈交易、垃圾邮件、网络钓鱼等时稍后出现的问题就越少。为了保持对服务/网络应用不可见，黑客可以从很多不同的机器创建账户，通常通过使用僵尸网络。

发明内容

虽然存在用于保护网络应用服务的技术，但是通常希望找到用于保护网络服务的改进的技术。

根据第一方面，本公开提供了一种方法，包括：将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

根据进一步方面，本公开提供了一种包括处理器的设备，其被配置成：将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

根据进一步方面，本公开提供了一种系统，包括：服务器，其托管网络应用；以及包括处理器的设备，其被配置成将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

在从属权利要求、以下描述和附图中阐述进一步方面。

附图说明

参考附图，通过实例解释实施方式，其中：

图1示意性地示出了包括由风险和异常检测设备监视的网络应用的系统；

图2示出了作为在网络应用上的示例性用户操作的注册表，其导致向网络应用发出用户请求；

图3示意性地示出了根据归属域和国家将用户请求的空间划分为子集的实施方式；

图4示意性地示出了根据归属国家和平台将用户请求的空间划分为子集的实施方式；

图5示出了示例性时间序列，其包括根据国家和域所确定的在用户请求的子集中的用户请求的频率数据；

图6示意性地描述了可以用于实现风险和异常检测设备和/或网络应用的计算机系统的实施方式；

图7示意性地描述了用于从对于网络应用的用户请求确定风险评分的方法的实施方式；以及

图8的a)至e)示意性地示出了用于检测在时间序列中的异常的示例性算法。

具体实施方式

在以下实施方式中公开的方法包括将用户请求的空间划分为子集，并且基于在用户请求所属的用户请求的子集中的用户请求的数量的演变来确定该用户请求的风险评分。

用户请求可以涉及用户在网络应用上的操作。网络应用可以例如是客户端-服务器软件应用、网络服务、云服务等，例如，由组织向用户提供的网络服务。服务器可以例如由服务提供组织控制。客户端可以例如是由用户控制的网络浏览器。常见的网络应用例如是网络邮件、娱乐服务、在线游戏、在线零售销售、在线拍卖、维基、即时消息服务和很多其他服务。

用户经由用户请求与网络应用、网络服务或云服务交互。当用户在网络应用上发起特定操作时或者当用户请求来自网络的应用特定信息时，通常由客户端向服务器发出用户请求。用户请求可以例如涉及从网络应用检索内容，例如，从新闻门户检索新闻文章或例如从视频流服务检索视频。

在下面描述的具体实施方式中，用户请求涉及账户创建操作、电子钱包充值操作、购买操作、登录操作、反馈操作(例如，对网络服务的用户评论)或变更操作(例如，网络服务的用户账户的银行账户信息的变更)。

用户请求可以通过当用户与网络应用交互时由网络应用记录的数据表示。网络应用可以例如在表示用户请求的数据库条目中记录关于用户请求的信息。

用户请求的空间可以是任何一组用户请求，例如，例如由网络应用例如在预定时间段内收集或接收的所有用户请求，或者用户请求的子部分或预定义子部分，例如由网络应用例如在预定时间段内收集或接收的并且涉及账户创建操作的所有用户请求。

用户请求可以例如由包括几个数据字段的数据库条目表示。每个数据字段可以反映与用户请求相关的特定信息。