用于对异常进行检测和评分的系统和方法技术方案

用于对异常进行检测和评分的系统和方法。在一些实施例中，提供了一种方法，包括以下动作：(A)识别属性的多个值，所述多个值中的每个值分别对应于多个数字交互中的数字交互；(B)将所述多个值划分成多个桶；(C)对于所述多个桶中的至少一个桶，确定来自落入所述至少一个桶内的所述多个值的值的计数；(D)将来自落入所述至少一个桶内的所述多个值的值的计数与关于所述属性的历史信息进行比较；以及(E)至少部分基于动作(D)的结果确定属性是否异常。

【技术实现步骤摘要】
【国外来华专利技术】用于对异常进行检测和评分的系统和方法相关申请本申请根据35U.S.C.§119要求于2015年9月5日提交的美国临时专利申请第62/214,969号的权益，其通过引用整体并入本文。本申请与以下申请在同一天提交：申请序列号__，题为“SYSTEMSANDMETHODSFORMATCHINGANDSCORINGSAMENESS”，代理案号为L0702.70006US00，以及申请序列号__，题为“SYSTEMSANDMETHODSFORDETECTINGANDPREVENTINGSPOOFING”，代理案号为L0702.70003US01。这些申请中的每一个都通过引用整体并入本文。
技术介绍
具有在线存在的大型组织通常每分钟接收数以万计的请求以启动数字交互。支持多个大型组织的安全系统可能同时处理数百万次数字交互，并且安全系统每周分析的数字交互总数可能轻易超过10亿次。随着组织越来越需要实时结果，安全系统必须分析大量数据，并在几分之一秒内准确确定数字交互是否合法。这带来了巨大的技术挑战，尤其是考虑到安全系统处理的大量数字交互。
技术实现思路
根据一些实施例，提供了一种用于分析多个数字交互的计算机实现的方法，所述方法包括以下动作：(A)识别属性的多个值，所述多个值中的每个值分别对应于所述多个数字交互中的数字交互；(B)将所述多个值划分成多个桶；(C)对于所述多个桶中的至少一个桶，确定来自落入所述至少一个桶内的所述多个值的值的计数；(D)将来自落入所述至少一个桶内的所述多个值的值的计数与关于所述属性的历史信息进行比较；以及(E)至少部分基于动作(D)的结果确定属性是否是异常的。根据一些实施例，提供了一种用于分析数字交互的计算机实现的方法，所述方法包括以下动作：从简档中识别多个属性；针对所述多个属性中的每个属性，确定所述数字交互关于所述属性是否匹配所述简档，包括：从所述简档识别所述属性的可能值的至少一个桶，所述至少一个桶指示异常行为；从数字交互中识别属性的值；以及确定从数字交互识别的值是否落入至少一个桶中，其中如果确定从数字交互识别的值落入至少一个桶中，则将数字交互确定为关于上述属性匹配简档；以及至少部分基于关于其所述数字交互与所述简档相匹配的属性的计数来确定罚分。根据一些实施例，提供了一种用于分析数字交互的计算机实现的方法，所述方法包括以下动作：确定数字交互是否可疑；响应于确定数字交互是可疑的，部署第一类型的安全探测器以从数字交互收集第一数据；分析由所述第一类型的安全探测器从所述数字交互收集的第一数据以确定所述数字交互是否继续表现为可疑；如果通过第一类型的安全探测器从数字交互中收集到的第一数据指示数字交互继续表现为可疑，则部署第二类型的安全探测器以从数字交互中收集第二数据；并且如果通过第一类型的安全探测器从数字交互中收集到的第一数据指示数字交互不再表现为可疑，则部署第三类型的安全探测器以从数字交互中收集第三数据。根据一些实施例，提供了一种系统，包括至少一个处理器和至少一个其上存储有指令的计算机可读存储介质，所述指令在被执行时编程所述至少一个处理器以执行任何上述方法。根据一些实施例，其上存储有指令的至少一个计算机可读存储介质在被执行时编程至少一个处理器以执行任何上述方法。附图说明图1A示出根据一些实施例的可以经由其发生数字交互的说明性系统10。图1B示出根据一些实施例的用于处理从数字交互收集的数据的说明性安全系统14。图1C示出了根据一些实施例的数字交互内的说明性流程40。图2A示出根据一些实施例的用于记录来自数字交互的观察的说明性数据结构200。图2B示出根据一些实施例的用于记录来自数字交互的观察的说明性数据结构220。图2C示出了根据一些实施例的用于记录来自数字交互的观察的说明性过程230。图3示出了根据一些实施例的可以由安全系统监视的说明性属性。图4示出了根据一些实施例的用于检测异常的说明性过程400。图5示出根据一些实施例的用于将多个数字属性值划分成多个范围的说明性技术。图6示出根据一些实施例的用于将数字和/或非数字属性值划分成桶的说明性散列取模技术。图7A示出了根据一些实施例的表示多个桶之间的数字属性值的分布的说明性直方图700。图7B示出了根据一些实施例的表示多个桶之间的属性值分布的说明性直方图720。图8A示出了根据一些实施例的表示多个桶之间的属性值分布的说明性预期直方图820。图8B示出了根据一些实施例的图7B的说明性直方图720与图8A的说明性预期直方图820之间的比较。图9示出了根据一些实施例的说明性时间段902和904。图10示出了根据一些实施例的说明性归一化直方图1000。图11示出了根据一些实施例的随时间推移的直方图的说明性阵列1100。图12示出了根据一些实施例的具有多个异常属性的说明性简档1200。图13示出了根据一些实施例的用于检测异常的说明性过程1300。图14示出根据一些实施例的用于将数字交互与模糊简档匹配的说明性过程1400。图15示出了根据一些实施例的说明性模糊简档1500。图16示出了根据一些实施例的说明性模糊简档1600。图17示出了根据一些实施例的用于动态安全探测器部署的说明性过程1700。图18示出了根据一些实施例的用于更新一个或多个分段列表的说明性循环1800。图19示出了根据一些实施例的用于动态部署多个安全探测器的说明性过程1900。图20示出了根据一些实施例的可由安全系统用来确定是否部署探测器和/或将部署哪个或哪些探测器的决策树2000的示例。图21示意性地示出了可以在其上实现本公开的任何方面的说明性计算机5000。具体实施方式本公开的各方面涉及用于对异常进行检测和评分的系统和方法。在对网站或应用程序的分布式攻击中，攻击者可能会协调多台计算机来执行攻击。例如，攻击者可能会使用“僵尸网络”发起攻击。在某些情况下，僵尸网络可能包含受攻击者远程控制的病毒感染计算机网络。专利技术人已经认识并理解检测web攻击中的各种挑战。例如，在分布式攻击中，所涉及的计算机可能位于世界各地，并可能具有不同的特征。因此，可能很难确定哪些计算机参与了相同的攻击。另外，为了逃避检测，复杂的攻击者可以稍微修改每个受控计算机的行为，以便在整个攻击过程中不容易辨别出一致的行为简档。因此，在一些实施例中，提供了异常检测技术，其针对由展现不同行为的计算机参与的攻击提高了有效性。I.动态生成的模糊简档一些安全系统使用触发器，这些触发器会对于某些观察到的行为脱扣(trip)。例如，触发器可以是包括电子商务用户进行高价值订单并运送到新地址或者使用不同信用卡号进行多个订单的新账户的模式。当检测到这些可疑模式中的一个时，可以针对用户或账户提出警报，和/或可以采取行动(例如，暂停交易或账户)。然而，专利技术人已经认识并理解，基于触发器的系统可能产生假阳性(例如，对于合法事件脱扣的触发器)和/或假阴性(例如，当已有重大损害时攻击期间未脱扣或脱扣过晚的触发器)。因此，在一些实施例中，提供具有降低的假阳性率和/或假阴性率的异常检测技术。例如，可以创建一个或多个模糊简档。当从数字交互形成观察时，可以为每个模糊简档导出分数，其中分数指示观察与模糊简档匹配的程度。在一些实施例中，除了如上所述的触发器的布尔输出之外或者代替布尔输本文档来自技高网...

【技术保护点】
1.一种用于分析多个数字交互的计算机实现的方法，所述方法包括以下动作：(A)识别属性的多个值，所述多个值中的每个值分别对应于所述多个数字交互中的数字交互；(B)将所述多个值划分成多个桶；(C)对于所述多个桶中的至少一个桶，确定来自落入至少一个桶内的多个值的值的计数；(D)将来自落入所述至少一个桶内的所述多个值的值的计数与关于所述属性的历史信息进行比较；以及(E)至少部分地基于动作(D)的结果来确定所述属性是否异常。

【技术特征摘要】
【国外来华专利技术】2015.09.05 US 62/214,9691.一种用于分析多个数字交互的计算机实现的方法，所述方法包括以下动作：(A)识别属性的多个值，所述多个值中的每个值分别对应于所述多个数字交互中的数字交互；(B)将所述多个值划分成多个桶；(C)对于所述多个桶中的至少一个桶，确定来自落入至少一个桶内的多个值的值的计数；(D)将来自落入所述至少一个桶内的所述多个值的值的计数与关于所述属性的历史信息进行比较；以及(E)至少部分地基于动作(D)的结果来确定所述属性是否异常。2.如权利要求1所述的方法，其中：所述多个值中的每个值包括在相应的数字交互中的第一点和第二点之间的时间测量；以及所述多个桶中的每个桶包括时间测量的范围。3.如权利要求1所述的方法，其中：将所述多个值划分成多个桶的动作(B)包括对所述多个值中的每个值应用散列取模操作；并且所述多个桶中的每个桶对应于所述散列取模操作的余数。4.如权利要求3所述的方法，还包括以下动作：(F)记录关于所述属性的多个观察，从所述多个数字交互的相应数字交互记录所述多个观察的每个观察；以及(G)基于从相应的数字交互记录的观察导出所述多个值中的每个值。5.根据权利要求1所述的方法，其中，关于所述属性的所述历史信息包括所述至少一个桶的预期计数，并且其中动作(D)包括：将来自落入所述至少一个桶内的所述多个值的值的计数与所述至少一个桶的预期计数进行比较。6.如权利要求5所述的方法，其中，动作(E)包括：确定来自落入所述至少一个桶内的所述多个值的值的计数是否超过所述至少一个桶的所述预期计数达到至少选定的阈值量，其中，响应于确定来自落入所述至少一个桶内的所述多个值的值的计数超过所述至少一个桶的预期计数达到至少选定的阈值量，将所述属性确定为异常。7.如权利要求5所述的方法，其中：所述多个数字交互包括从第一时间段观察到的多个第一数字交互；所述多个值包括所述属性的多个第一值；将所述属性的多个第二值划分成所述多个桶，所述多个第二值中的每一个值分别对应于多个第二数字交互中的数字交互；所述至少一个桶的预期计数包括来自落入所述至少一个桶内的所述多个第二值的值的计数；从第二时间段观察所述多个第二数字交互，所述第二时间段具有与所述第一时间段相同的长度；并且所述第一时间段在所述第二时间段之后发生。8.如权利要求5所述的方法，其中，所述多个桶包括多个第一桶，并且其中，所述方法进一步包括：确定来自落入所述至少一个桶内的所述多个值的值的计数是否超过所述至少一个桶的所述预期计数达到至少选定的阈值量；以及响应于确定落入所述至少一个桶内的值的计数超过所述至少一个桶的所述预期计数达到至少所述选定的阈值量，将所述多个值划分为多个第二桶，其中，存在比第一桶更多的第二桶。9.如权利要求1所述的方法，其中，关于所述属性的所述历史信息包括所述至少一个桶的预期比率，并且其中，动作(D)包括：确定来自落入所述至少一个桶内的所述多个值的值的计数与来自所述多个值的值的总计数之间的比率；以及将所述比率与所述至少一个桶的预期比率进行比较。10.如权利要求1所述的方法，还包括：选择多个属性，所述多个属性包括所述属性，其中，针对所述多个属性中的每个属性执行动作(A)-(E)；以及在简档中存储关于被确定为异常的一个或多个属性的信息。11.一种用于分析数字交互的计算机实现的方法，所述方法包括以下动作：从简档中识别多个属性；针对所述多个属性中的每个属性，确定所述数字交互关于所述属性是否匹配所述简档，包括：从所述简档识别所述属性的可能值的至少一个桶，所述至少一个桶指示异常行为；从所述数字交互中识别所述属性的值；以及确定从所述数字交互识别的值是否落入所述至少一个桶中，其中，如果确定从所述数字交互识别的所述值落入所述至少一个桶中，则将所述数字交互确定为关于所述属性匹配所述简档；以及至少部分地基于关于其所述数字交互与该简档相匹配的属性的计数来确定罚分。12.如权利要求11所述的方法，其中，对于至少一个属性：从所述数字交互识别的值包括所述数字交互中第一点和第二点之间的时间测量；并且所述至少一个桶包括时间测量的范围。13.如权利要求11所述的方法，其中，对于至少一个属性：确定从数字交互识别的值是否落入所述至少一个桶中的动作包括：将散列取模操作应用于从所述数字交互识别的值；并且所述至少一个桶对应于所述散列取模操作的余数。14.如权利要求13所述的方法，其中，从所述数字交互识别所述属性的值的动作包括：从所述数字交互中记录关于所述属性的观察；以及基于从所述数字交互记录的观察导出所述属性的值。15.如权利要求14所述的方法，其中，基于从所述数字交互记录的所述观察导出所述属性的所述值的动作包...

【专利技术属性】
技术研发人员：C·E·拜利，R·鲁卡斯胡克，G·W·理查森，
申请(专利权)人：万事达卡技术加拿大无限责任公司，
类型：发明
国别省市：加拿大,CA