Способ для обработки запроса от потенциального несанкционированного пользователя на доступ к ресурсу и серверу, используемый в нем

 

Область техники, к которой относится изобретение

Настоящее изобретение относится к способам и системам обработки доступа несанкционированного пользователя к ресурсу.

Уровень техники

В наши дни обычный пользователь электронного устройства имеет доступ ко множеству приложений, каждое из множества приложений нацелено на то, чтобы помочь пользователю решать конкретные задачи. Например, почтовое приложение позволяет пользователю отправлять и получать электронные сообщения, как рабочие так и личные. Веб-браузер позволяет пользователю просматривать Интернет на предмет наличия ресурсов, удовлетворяющих запросам пользователя, опять же, для рабочих или личных целей.

Обычный поставщик услуг предоставляет пользователю множество услуг, таких как, услуги электронной почты, услуги облачного хранения данных, услуги планирования, услуги скачивания фильмов и так далее.

Пользователь имеет доступ ко множеству электронных устройств (таких как настольный компьютер, ноутбук, беспроводное устройство связи, умное ТВ и тому подобное). Большинство этих устройств соединено с Интернетом, что помогает пользователю решать одну или несколько задач с помощью доступа в интернет и поиска ресурсов, направленных на помощь в решении пользовательских задач. К сожалению, некоторые злоумышленники пользуются подобным широким распространением электронных устройств, связанных с сетью интернет, для достижения своих целей.

Например, подобные индивидуумы и даже организации "взламывают" различные учетные записи пользователей и используют их для распространения вредоносных электронных сообщений (также известных как спам).

Раскрытие изобретения

Задачей предлагаемой технологии является устранение по меньшей мере некоторых недостатков, присущих известному уровню техники.

Первым объектом настоящей технологии является способ для обработки запроса от потенциально несанкционированного пользователя на доступ к ресурсу, выполняемый на сервере и включающий в себя: получение идентификатора первого сеанса связи, который связан с учетной записью пользователя; получение идентификатора второго сеанса связи, который связан с учетной записью пользователя: создание первой модели поведения пользователя, связанной с первым сеансом связи, на основе поведения пользователя в первом сеансе связи; создание второй модели поведения пользователя, связанной со вторым сеансом связи, на основе поведения пользователя во втором сеансе связи; наложение запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса связи и второго сеанса связи, если одна из первой модели поведения пользователя и второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя.

Возможен вариант осуществления способа, в котором дополнительно разрешают неограниченную пользовательскую активность в первом или втором сеансе связи.

Возможен вариант осуществления способа, в котором идентификатор первого сеанса связи включает в себя куки.

Возможен вариант осуществления способа, в котором идентификатор второго сеанса связи включает в себя куки.

Возможен вариант осуществления способа, в котором первый сеанс связи выполняют на первом электронном устройстве и второй сеанс связи выполняют на втором электронном устройстве.

Возможен вариант осуществления способа, в котором первый сеанс связи и второй сеанс связи выполняют на одном электронном устройстве.

Возможен вариант осуществления способа, в котором этап создания первой модели поведения пользователя включает в себя анализ по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления способа, в котором параметр конкретного устройства включает в себя по меньшей мере одно из следующего: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором дополнительно создают хранящуюся модель поведения пользователя, связанную с учетной записью пользователя до получения идентификатора сеанса связи.

Возможен вариант осуществления способа, в котором этап создания хранящейся модели поведения санкционированного пользователя включает в себя анализ по меньшей мере одного из: факторов конкретного устройства и факторов пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором запрет включает в себя блокировку доступа к учетной записи пользователя.

Возможен вариант осуществления способа, в котором запрет включает в себя ограничение функциональности учетной записи пользователя.

Возможен вариант осуществления способа, в котором до этапа наложения запрета, дополнительно выполняют процедуру проверки для соответствующего одного из: первого или второго сеанса связи для подтверждения того, является ли доступ пользователя несанкционированным.

Возможен вариант осуществления способа, в котором наложение запрета включает в себя связывание куки, которые соответствуют одному из первого и второго сеанса связи, с меткой, указывающей на параметр нарушения безопасности.

Возможен вариант осуществления способа, в котором дополнительно определяют параметр нарушения безопасности, указывающий на степень доверия тому, что соответствующий один из первого и второго сеанса связи связан с санкционированным пользователем.

Возможен вариант осуществления способа, в котором параметр нарушения безопасности включают в куки, хранящиеся в связи с соответствующим одним из первого и второго сеанса связи.

Еще одним объектом настоящей технологии является сервер, включающий в себя: интерфейс связи для соединения с электронным устройством через сеть передачи данных; процессор, функционально соединенный с интерфейсом связи, процессор выполнен с возможностью обработки запроса на доступ от потенциально несанкционированного пользователя; получения идентификатора первого сеанса связи, который связан с учетной записью пользователя; получения идентификатора второго сеанса связи, который связан с учетной записью пользователя; создания первой модели поведения пользователя, связанной с первым сеансом связи на основе поведения пользователя в первом сеансе связи; создания второй модели поведения пользователя, связанной со вторым сеансом связи на основе поведения пользователя во втором сеансе связи; наложения запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса связи и второго сеанса связи, если одна из первой модели поведения пользователя и второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя.

Возможен вариант осуществления сервера, в котором процессор дополнительно выполнен с возможностью разрешения неограниченной пользовательской активности в первом или втором сеансе связи.

Возможен вариант осуществления сервера, в котором идентификатор первого сеанса связи включает в себя куки.

Возможен вариант осуществления сервера, в котором идентификатор второго сеанса связи включает в себя куки.

Возможен вариант осуществления сервера, в котором для создания первой модели поведения пользователя процессор выполнен с возможностью анализа по меньшей мере одного из: параметров конкретного устройства и параметров пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления сервера, в котором параметр конкретного устройства включает в себя по меньшей мере одно из следующего: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

Возможен вариант осуществления сервера, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором процессор дополнительно выполнен с возможностью создавать хранящуюся модель поведения пользователя, связанную с учетной записью пользователя до получения идентификатора сеанса связи.

Возможен вариант осуществления сервера, в котором для создания хранящейся модели поведения санкционированного пользователя процессор выполнен с возможностью анализа по меньшей мере одного из: факторов конкретного устройства и факторов пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором для наложения запрета процессор выполнен с возможностью блокировки доступа к учетной записи пользователя.

Возможен вариант осуществления сервера, в котором для наложения запрета процессор выполнен с возможностью ограничения функциональности учетной записи пользователя.

Возможен вариант осуществления сервера, в котором процессор выполнен с возможностью выполнения процедуры проверки для соответствующего одного из первого или второго сеанса связи до выполнения запрета, для подтверждения того, является ли доступ пользователя несанкционированным.

Возможен вариант осуществления сервера, в котором для наложения запрета процессор выполнен с возможностью связывания куки, которые соответствуют одному из первого и второго сеанса связи, с меткой, указывающей на параметр нарушения безопасности.

Возможен вариант осуществления сервера, в котором процессор дополнительно выполнен с возможностью определения параметра нарушения безопасности, указывающего на степень доверия тому, что соответствующий один из первого и второго сеанса связи связан с санкционированным пользователем.

Возможен вариант осуществления сервера, в котором параметр нарушения безопасности включен в куки, хранящиеся в связи с соответствующим одним из первого и второго сеанса связи.

Другим объектом настоящей технологии является способ авторизации пользователя в сети, выполняемый на сервере и включающий в себя: обнаружение модели поведения несанкционированного пользователя, связанной с несанкционированным доступом к сетевому ресурсу несанкционированным лицом, причем модель поведения несанкционированного пользователя создают в момент блокировки несанкционированного доступа к сетевому ресурсу несанкционированным лицом; получение из журнала, хранящегося на сетевом сервере, указания на множество пользователей, каждый из которых связан с соответствующей моделью поведения пользователя; присвоение учетной записи пользователя параметра нарушения безопасности, если модель поведения пользователя совпадает с моделью поведения несанкционированного пользователя; наложение запрета на пользовательскую активность в учетной записи пользователя в ответ на параметр нарушения безопасности.

Возможен вариант осуществления способа, в котором дополнительно, до наложения запрета, выполняют процедуру проверки соответствующей учетной записи пользователя, для подтверждения того, что доступ пользователя является несанкционированным.

Возможен вариант осуществления способа, в котором выполнение процедуры проверки включает в себя направление пользователю вопроса, связанного с учетной записью пользователя.

Возможен вариант осуществления способа, в котором параметр нарушения безопасности включает в себя куки, связанные с учетной записью пользователя, которые отмечены меткой, указывающей на параметр нарушения безопасности.

Возможен вариант осуществления способа, в котором параметр нарушения безопасности указывает на степень доверия тому, что пользователь, связанный с учетной записью пользователя, является несанкционированным пользователем.

Возможен вариант осуществления способа, в котором запрет включает в себя блокировку доступа к учетной записи пользователя.

Возможен вариант осуществления способа, в котором запрет включает в себя ограничение функциональности учетной записи пользователя.

Возможен вариант осуществления способа, в котором модель поведения несанкционированного пользователя создают с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления способа, в котором параметр конкретного устройства включает в себя: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором перед обнаружением дополнительно создают каждую из соответствующих моделей поведения пользователя. Возможен вариант осуществления способа, в котором соответствующая модель поведения пользователя создают с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления способа, в котором параметр конкретного устройства включает в себя по меньшей мере одно из следующего: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

Возможен вариант осуществления способа, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Другим объектом настоящей технологии является сервер, включающий в себя: интерфейс связи для соединения с электронным устройством через сеть передачи данных; процессор, функционально соединенный с интерфейсом связи, процессор выполнен с возможностью: авторизации пользователя в сети, обнаружения модели поведения несанкционированного пользователя, связанной с несанкционированным доступом к сетевому ресурсу несанкционированным лицом; получения из журнала, хранящегося на сетевом сервере, указания на множество пользователей, каждый из которых связан с соответствующей моделью поведения пользователя; присвоение учетной записи пользователя параметра нарушения безопасности, если модель поведения пользователя совпадает с моделью поведения несанкционированного пользователя; наложение запрета на пользовательскую активность в учетной записи пользователя в ответ на параметр нарушения безопасности.

Возможен вариант осуществления сервера, в котором процессор дополнительно выполнен с возможностью выполнения процедуры проверки соответствующей учетной записи пользователя, для подтверждения того, что доступ пользователя является несанкционированным до наложения запрета.

Возможен вариант осуществления сервера, в котором для выполнения процедуры проверки процессор выполнен с возможностью направления пользователю вопроса, связанного с учетной записью пользователя.

Возможен вариант осуществления сервера, в котором параметр нарушения безопасности включает в себя куки, связанные с учетной записью пользователя, которые отмечены меткой, указывающей на параметр нарушения безопасности.

Возможен вариант осуществления сервера, в котором параметр нарушения безопасности содержит указание степени доверия тому, что пользователь, связанный с учетной записью пользователя, является несанкционированным пользователем.

Возможен вариант осуществления сервера, в котором для наложения запрета процессор выполнен с возможностью блокировки доступа к учетной записи пользователя.

Возможен вариант осуществления сервера, в котором для наложения запрета процессор выполнен с возможностью ограничения функциональности учетной записи пользователя.

Возможен вариант осуществления сервера, в котором модель поведения несанкционированного пользователя создана с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления сервера, в котором параметр конкретного устройства включает в себя: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

Возможен вариант осуществления сервера, в котором параметр пользовательского взаимодействия с устройством включает в себя, по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором процессор дополнительно выполнен с возможностью создания каждой из соответствующих моделей поведения пользователя до этапа обнаружения.

Возможен вариант осуществления сервера, в котором соответствующая модель поведения пользователя создана с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Возможен вариант осуществления сервера, в котором параметр пользовательского взаимодействия с устройством включает в себя, по меньшей мере одно из следующего: шаблон щелчков, связанный с пользователем; шаблон движений мыши, связанный с пользователем; шаблон ввода, связанный с пользователем; шаблон использования функций, связанный с пользователем; временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Возможен вариант осуществления сервера, в котором параметр конкретного устройства включает в себя, по меньшей мере, одно из следующего: сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи; версию браузерного приложения, используемого для установления сеансов связи.

В контексте настоящего описания, если четко не указано иное, «сервер» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от электронных устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для данной технологии.

В контексте настоящей технологии использование выражения «сервер» не означает, что каждая задача (например, полученные инструкции или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же сервером (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может являться одним сервером или несколькими серверами, оба варианта включены в выражение «по меньшей мере один сервер».

В контексте настоящего описания, если четко не указано иное, «электронное устройство» подразумевает под собой аппаратное устройство, способное работать с программным обеспечением, подходящим к решению соответствующей задачи. Таким образом, примерами электронных устройств (среди прочего) могут служить персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.) смартфоны, планшеты, а также сетевое оборудование, такое как маршрутизаторы, коммутаторы и шлюзы. Следует иметь в виду, что устройство, ведущее себя как электронное устройство в настоящем контексте, может вести себя как сервер по отношению к другим электронным устройствам. Использование выражения «электронное устройство» не исключает возможности использования множества электронных устройств для получения/отправки, выполнения или инициирования выполнения любой задачи или запроса, или же последствий любой задачи или запроса, или же этапов любого вышеописанного метода.

В контексте настоящего описания, если четко не указано иное, термин «информация» включает в себя информацию любую информацию, которая может храниться в базе данных. Таким образом, информация включает в себя, среди прочего, аудиовизуальные произведения (изображения, видео, звукозаписи, презентации и т.д.), данные (данные о местоположении, цифровые данные, имена пользователей, пароли, адреса электронной почты и т.д.), текст (мнения, комментарии, вопросы, сообщения и т.д.), документы, таблицы и т.д.

В контексте настоящего описания, если четко не указано иное, термин «компонент» подразумевает под собой программное обеспечение (соответствующее конкретному аппаратному контексту), которое является необходимым и достаточным для выполнения конкретной(ых) указанной(ых) функции(й).

В контексте настоящего описания, если четко не указано иное, слова «первый», «второй», «третий» и и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной связи между этими существительными. Так, например, следует иметь в виду, что использование терминов "первый сервер" и "третий сервер" не подразумевает какого-либо порядка, отнесения к определенному типу, хронологии, иерархии или ранжирования (например) серверов/между серверами, равно как и их использование (само по себе) не предполагает, что некий "второй сервер" обязательно должен существовать в той или иной ситуации. В дальнейшем, как указано здесь в других контекстах, упоминание "первого" элемента и "второго" элемента не исключает возможности того, что это один и тот же фактический реальный элемент. Так, например, в некоторых случаях, "первый" сервер и "второй" сервер могут являться одним и тем же программным и/или аппаратным обеспечением, а в других случаях они могут являться разным программным и/или аппаратным обеспечением.

Каждый вариант осуществления настоящей технологии включает по меньшей мере одну из вышеупомянутых целей и/или объектов, но наличие всех не является обязательным. Следует иметь в виду, что некоторые варианты осуществления данной технологии, полученные в результате попыток достичь вышеупомянутой цели, могут удовлетворять и другим целям, отдельно не указанным здесь.

Варианты осуществления настоящей технологии станут очевидными из последующего описания, прилагаемых чертежей и прилагаемой формулы изобретения.

Краткое описание чертежей

Для лучшего понимания настоящей технологии, а также других вариантов осуществления сделана ссылка на следующее описание, которое должно использоваться в сочетании с прилагаемыми чертежами, где:

На Фиг. 1 показана система, реализованная в соответствии с неограничивающими вариантами осуществления настоящей технологии.

На Фиг. 2 показан неограничивающий вариант осуществления таблицы профилей пользователей, находящейся на сервере системы, показанной на Фиг. 1.

На Фиг. 3 показан неограничивающий вариант осуществления информации, хранящейся в связи с данной моделью поведения пользователя, хранящейся в таблице профилей пользователей, показанной на Фиг. 2.

На Фиг. 4 показана блок-схема способа, выполненного в соответствии с вариантами осуществления настоящей технологии, не ограничивающими ее объем.

На Фиг. 5 показана блок-схема способа, реализованного в соответствии с другими вариантами осуществления настоящей технологии, не ограничивающими ее объем.

Осуществление изобретения

На Фиг. 1 показана схема системы 100. Важно иметь в виду, что система 100 является лишь одним из вариантов осуществления настоящей технологии. Таким образом, все последующее описание представлено только как описание иллюстративного примера настоящей технологии. Это описание не предназначено для определения объема или установления границ настоящей технологии. Некоторые полезные примеры модификаций компьютерной системы 100 также могут быть охвачены нижеследующим описанием.

Целью этого является также исключительно облегчение понимания, а не определение объема и границ настоящей технологии. Эти модификации не представляют собой исчерпывающий список, и специалистам в данной области техники будет понятно, что возможны и другие модификации. Кроме того, это не должно интерпретироваться так, что там, где это еще не было сделано, т.е. там, где не были изложены примеры модификаций, никакие модификации невозможны, и/или что то, что описано, является единственным вариантом осуществления этого элемента настоящей технологии. Как будет понятно специалисту в данной области техники, это, скорее всего, не так. Кроме того, следует иметь в виду, что система 100 представляет собой в некоторых конкретных проявлениях достаточно простой вариант осуществления настоящей технологии, и в подобном случае представлен здесь с целью облегчения понимания. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.

На Фиг. 1 представлена система 100 в соответствии с одним из вариантов осуществления. Система 100 включает в себя первое электронное устройство 102. Первое электронное устройство 102 обычно связано с пользователем (не показан) и, таким образом, иногда может упоминаться как «клиентское устройство». Следует отметить, что тот факт, что первое электронное устройство 102 связано с пользователем, не подразумевает какого-либо конкретного режима работы, равно как и необходимости входа в систему, быть зарегистрированным, или чего-либо подобного.

Варианты первого электронного устройства 102 конкретно не ограничены, но в качестве примера перового электронного устройства 102 могут использоваться персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.), беспроводные электронные устройства (мобильные телефоны, смартфоны, планшеты и т.п.), а также сетевое оборудование (маршрутизаторы, коммутаторы или шлюзы). Общий вариант осуществления первого электронного устройства 102 известен в области техники, и поэтому не будет здесь подробно описан. Достаточно сказать, что первое электронное устройство 102 содержит пользовательский интерфейс ввода (например, клавиатуру, мышь, сенсорную панель, сенсорный экран и т.п.) для получения пользовательского ввода; пользовательский интерфейс вывода (например, экран, сенсорный экран, принтер и т.п.) для предоставления визуального или звукового вывода пользователю; интерфейс сетевой связи (например, модем, сетевую карту и т.п.) для двусторонней связи по сети 112 передачи данных; и процессор, соединенный с пользовательским интерфейсом ввода, пользовательским интерфейсом вывода и интерфейсом сетевой связи, который выполнен с возможностью выполнять различные процедуры, включая те, что описаны ниже. С этой целью процессор может сохранять или иметь доступ к машиночитаемым командам, выполнение которых инициирует процессор выполнять различные описанные здесь процедуры.

Система 100 дополнительно включает в себя второе электронное устройство 103. Второе электронное устройство 103 также связано с пользователем (не показан) и, таким образом, иногда может упоминаться как «клиентское устройство». Следует отметить, что тот факт, что второе электронное устройство 103 связано с пользователем, не подразумевает какого-либо конкретного режима работы, равно как и необходимости входа в систему, быть зарегистрированным, или чего-либо подобного.

Первое электронное устройство 102 включает в себя аппаратное и/или прикладное программное, и/или системное программное обеспечение (или их комбинацию), для выполнения сетевого приложения 104. Второе электронное устройство 103 включает в себя аппаратное и/или прикладное программное, и/или системное программное обеспечение (или их комбинацию), для выполнения сетевого приложения 106. В общем случае, природа сетевого приложения 104 и сетевого приложения 106 конкретно никак не ограничена. В различных вариантах осуществления настоящей технологии сетевое приложение 104 и сетевое приложение 106 могут позволять пользователю выполнять одно или несколько из следующего: отправлять и получать электронные сообщения (например, электронные письма, текстовые сообщения, мультимедийные сообщения и тому подобное), просматривать сетевые ресурсы (например, проводить поиск и/или получать доступ к веб-ресурсам) и тому подобное.

Для представленных ниже примеров предполагается, что сетевое приложение 104 и сетевое приложение 106 используются как почтовые приложения.

Кроме того, система 100 включает в себя вышеупомянутую сеть 112 передачи данных. В некоторых вариантах осуществления настоящей технологии, не ограничивающих ее объем, сеть 112 связи может представлять собой Интернет. В других вариантах осуществления настоящей технологии, сеть 112 передачи данных может быть реализована иначе - в виде глобальной сети связи, локальной сети связи, частной сети связи и т.п.

Первое электронное устройство 102 соединено с сетью 112 передачи данные через первую линию 108 передачи данных, а второе электронное устройство 103 соединено с сетью 112 передачи данные через вторую линию 110 передачи данных. То, как именно реализованы первая линия 108 передачи данных и вторая линия 110 передачи данных, никак конкретно не ограничено, и будет зависеть только от того, как именно реализованы соответствующие первое электронное устройство 102 и второе электронное устройство 103.

Например, первое электронное устройство 102 представляет собой, в данном примере, ноутбук, первая линия 108 передачи данных может быть как беспроводной (беспроводной интернет Wireless Fidelity или коротко WiFi®, Bluetooth® и т.п) так и проводной (соединение на основе сети EthernetTM).

Или, например, второе электронное устройство 103 представляет собой, в данном примере, планшет, тогда вторая линия 110 передачи данных может быть как беспроводной (беспроводной интернет Wireless Fidelity или коротко WiFi®, Bluetooth® и т.п) так и сотовой (например, 3G, LTE и так далее).

Система 100 дополнительно включает в себя сервер 114, соединенный с сетью 112 передачи данных через линию передачи данных (отдельно не пронумерована). Сервер 114 может представлять собой обычный компьютерный сервер. В примере варианта осуществления, сервер 114 может представлять собой сервер Dell™ PowerEdge™, на котором используется операционная система Microsoft™ Windows Server™. Излишне говорить, что сервер 114 может представлять собой любое другое подходящее аппаратное и/или прикладное программное, и/или системное программное обеспечение или их комбинацию. В представленном варианте осуществления настоящей технологии, не ограничивающем ее объем, сервер 114 является одиночным сервером. В других вариантах осуществления настоящей технологии, не ограничивающих ее объем, функциональность сервера 114 может быть разделена, и может выполняться с помощью нескольких серверов. С учетом представленных выше примеров сетевого приложения 104 и сетевого приложения 106, которые реализованы как почтовые приложения, сервер 114 может быть реализован как почтовый сервер.

Вариант осуществления сервера 114 хорошо известен. Тем не менее, вкратце, сервер 114 содержит интерфейс связи (не показан), который настроен и выполнен с возможностью устанавливать соединение с различными элементами (например, первым электронным устройством 102 и другими устройствами, потенциально присоединенными к сети 112 передачи данных) через сеть 112 передачи данных. Сервер 114 дополнительно включает в себя одно или несколько из следующего: компьютерный процессор (не показан), функционально соединенный с интерфейсом связи и настроенный и выполненный с возможностью выполнять различные процессы, описанные здесь.

Для того чтобы авторизовать пользователя в почтовом сервисе, предоставляемом сервером 114, обычно пользователю необходимо ввести учетные данные, чтобы авторизовать себя на сервере 114. Учетные данные могут представлять собой сочетание логина и пароля или же любое другое средство аутентификации.

Для целей настоящего описания, представленного ниже, предполагается, что пользователь авторизован в почтовом сервисе в обоих почтовых приложениях 104 и 106. Другими словами, только в качестве примера предполагается, что пользователь предоставил свои учетные данные и пароль обоим почтовым приложениям 104 и 106. Таким образом, первое электронное устройство 102 устанавливает первый сеанс 120 связи между первым электронным устройством 102 и сервером 114. Второе электронное устройство 103 устанавливает второй сеанс 122 связи между первым электронным устройством 102 и сервером 114.

Сервер 114 выполнен с возможностью запускать модуль 116 доступа. Модуль 116 доступа выполнен с возможностью получать запрос на доступ от пользователя, запрос пользователя включает в себя учетные данные от сетевого приложения 104 и сетевого приложения 106, и разрешать доступ или отказывать в доступе в ответ на запрос на основе учетных данных санкционированного пользователя, сохраненных во внешней памяти (не показана).

Модуль 116 доступа также выполнен с возможностью назначать идентификатор 130 первого сеанса связи первому сеансу 120 связи и идентификатор 132 второго сеанса связи второму сеансу 122 связи.

Следует отметить, что, несмотря на то, что первый сеанс 120 связи представлен как выполняемый первым электронным устройством 102, а второй сеанс 122 связи представлен как выполняемый вторым электронным устройством 103, в альтернативных вариантах осуществления первый сеанс 120 связи и второй сеанс 122 связи могут выполняться на одном электронном устройстве, например, на первом электронном устройстве 102 или втором электронном устройстве 103.

Сервер 114 также выполнен с возможностью запускать модуль 118 анализатора сеанса. В общем случае, модуль 118 анализатора сеанса выполнен с возможностью анализировать один или несколько пользовательских сеансов, например, первый сеанс 120 связи и второй сеанс 122 связи, для определения того, является ли пользователь, который инициирует или участвует в этих сеансах, санкционированным пользователем сервиса, связанного с ними. Специалисты в данной области техники оценят тот факт, что, несмотря на то, что для входа могли быть использованы правильные учетные данные, сам пользователь, который предоставил эти данные, может являться несанкционированным.

Например, возможно, что учетные данные пользователя были присвоены, спам-роботом (не показан) или, например, злоумышленником. Как известно специалистам в данной области техники, спам-робот может злонамеренно использовать несанкционированные учетные данные в первом сеансе 120 связи и/или втором сеансе 122 связи для отправки вредоносных сообщений, таких как, спам по электронной почте и тому подобное. Следует иметь в виду, что раскрытая здесь технология не ограничивается какой-либо конкретной целью, для которой могут быть использованы подобные присвоенные учетные данные.

Модуль 118 анализа сеанса выполнен с возможностью содержать базу 140 данных профилей пользователей. База 140 данных профилей пользователей хранит таблицу 142 профилей пользователей. В некоторых вариантах осуществления настоящей технологии таблица 142 профилей пользователей показывает соответствие данного набора учетных данных соответствующим моделям поведения пользователя. В других вариантах осуществления технологии таблица 142 профилей пользователей показывает соответствие идентификатора, связанному с данным пользовательским сеансом связи (например, первым сеансом 120 связи и вторым сеансом 122 связи), с моделью поведения пользователя, связанной с ним.

В рамках вариантов осуществления настоящей технологии модуль 118 анализа сеанса выполнен с возможностью определять модель поведения пользователя и хранить указания на нее в базе 142 данных профилей пользователей. В рамках неограничивающих вариантов осуществления настоящей технологии, модуль 118 анализа сеанса выполнен с возможностью определять модель поведения пользователя на основе по меньшей мере одного параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

На Фиг. 2 представлен не ограничивающий вариант осуществления таблицы 142 профилей пользователя. В рамках представленного варианта осуществления технологии таблица 142 профилей пользователя показывает соответствие данного идентификатора 202 пользователя с моделью 204 поведения пользователя. В рамках некоторых вариантов осуществления настоящей технологии, идентификатор 202 пользователя может представлять собой учетные данные (или другой подходящий уникальный идентификатор пользователя). В других вариантах осуществления настоящей технологии идентификатор 202 пользователя может представлять собой идентификатор сеанса (например, первого сеанса 120 связи и второго сеанса 122 связи). В некоторых вариантах осуществления настоящей технологии идентификатор сеанса может представлять собой куки сеанса. Важно иметь в виду, что в других вариантах осуществления настоящей технологии идентификатор сеанса может быть выполнен в виде любого другого подходящего уникального идентификатора, связанного с одним из первого сеанса 120 связи и второго сеанса 122 связи.

В рамках представленного варианта осуществления технологии, таблица 142 профилей пользователя включает в себя пять записей - первую запись 206, вторую запись 207, третью запись 208, четвертую запись 210 и пятую запись 212. Каждая из записей показывает соответствие данного идентификатора 202 пользователя (обозначены для простоты как "Запись 1" - "Запись 5") модели 204 поведения пользователя (обозначены для простоты как "Модель 1" - "Модель 5"). Естественно, следует иметь в виду, что таблица 142 профилей пользователей может хранить больше, чем пять записей, которые представлены на Фиг. 2.

На Фиг. 3 представлен не ограничивающий вариант осуществления информации, хранящейся в данной модели 204 поведения пользователя. В представленном неограничивающем варианте осуществления технологии, модель 204 поведения пользователя включает в себя идентификатор 302 пользователя (обозначенный как "ID пользователя"), первую часть 304 модели и вторую часть 306 модели. Следует отметить, что в других неограничивающих вариантах осуществления технологии первая часть 304 модели и вторая часть 306 модели могут быть реализованы в виде единой части модели.

В рамках некоторых вариантов осуществления настоящей технологии, первая часть 304 модели основана на одном или нескольких параметрах конкретного устройства. В некоторых вариантах осуществления настоящей технологии, первая часть 304 модели представляет собой хэш-функции одного или нескольких параметров конкретного устройства. В представленных вариантах осуществления технологии, хэш-функция представлена как "XXXXX", но она может принимать и любую другую численно-буквенную форму. Аналогичным образом, вторая часть 306 модели основана на одном или нескольких параметрах пользовательского взаимодействия с устройством. В некоторых вариантах осуществления настоящей технологии, вторая часть 306 модели представляет собой хэш-функции одного или нескольких параметров пользовательского взаимодействия с устройством. В представленных вариантах осуществления технологии, хэш-функция представлена как "YYYYYY", но она может принимать и любую другую цифро-буквенную форму.

В альтернативных вариантах осуществления технологии вместо двух хэш-функций модель 204 поведения пользователя может быть создана в виде единой хэш-функции, основанной на параметрах конкретного устройства и параметрах пользовательского взаимодействия с устройством, соответственно, создание единой части модели 304, 306.

В рамках различных вариантов осуществления настоящей технологии, параметр конкретного устройства в общем случае указывает на одно или несколько электронных устройств (например, первое электронное устройство 102 и второе электронное устройство 103), которые обычно использует пользователь для установления сеансов связи (например, первого сеанса 120 связи и второго сеанса 122 связи) с сервером 114. Фактические варианты осуществления параметра конкретного устройства никак не ограничены, и различные примеры могут включать в себя, среди прочего:

- сетевой адрес, связанный с одним или несколькими электронными устройствами (например, первое электронное устройство 102 и второе электронное устройство 103), которые обычно использует пользователь для установления сеансов связи (например, первого сеанса 120 связи и второго сеанса 122 связи);

- версию браузерного приложения, установленного и используемого пользователем на одном или нескольких электронных устройствах (например, первое электронное устройство 102 и второе электронное устройство 103), которые обычно использует пользователь для установления сеансов связи (например, первого сеанса 120 связи и второго сеанса 122 связи).

В рамках различных вариантов осуществления, параметр пользовательского взаимодействия с устройством в общем случае указывает на тип действий, которые обычно выполняет пользователь с помощью одного или нескольких электронных устройств (например, первое электронное устройство 102 и второе электронное устройство 102) в сеансах связи (например, первом сеансе 120 связи и втором сеансе 122 связи) с сервером 114.

Фактические варианты осуществления параметра пользовательского взаимодействия с устройством никак не ограничены, и различные примеры могут включать в себя, среди прочего:

- временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

- шаблон щелчков, связанный с пользователем;

- шаблон движений мыши, связанный с пользователем;

- шаблон ввода, связанный с пользователем;

- шаблон использования функций, связанный с пользователем.

Далее будут представлены некоторые конкретные примеры параметров конкретного устройства и параметров пользовательского взаимодействия с устройством, которые могут быть использованы для установления модели поведения пользователя.

В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеансов высчитывает параметр пользовательского взаимодействия с устройством на основе взаимодействия пользователя с сервисом, предоставляемым сервером 114 (в данном случае, почтовый сервис). Например, модуль 118 анализа сеанса может анализировать историю взаимодействий пользователя с почтовым сервисом и строить модель обычного поведения пользователя. Примеры факторов, которые могут быть проанализированы: складывает ли пользователь электронные сообщения по папкам, перемещает ли пользователь электронные сообщения между папками, отмечает ли пользователь электронные сообщения флажками, помечает ли пользователь сообщения как прочитанные/непрочитанные, проверяет ли пользователь папку "спам", выполняет ли пользователь пакетную обработку электронных сообщений (например, массовое удаление или массовое перемещение сообщений), шаблон прочтения сообщений, связанный с пользователем, использует ли пользователь поисковую функцию для нахождения конкретного электронного сообщения во входящих или в других папках, обычное число электронных сообщений, отправляемых пользователем за заранее определенный промежуток времени (например, за 10 минут, 1 час, 1 день и так далее). Эти взаимодействия могут быть рассмотрены как "параметры конкретного приложения" или класс параметра пользовательского взаимодействия с устройством.

Модуль 118 анализа сеанса также может анализировать то, что может быть отнесено к категории "агностические параметры приложения", которые относятся к классу пользовательского взаимодействия с устройством. Эти параметры могут включать в себя, среди прочего: шаблоны щелчков, связанные с пользователями; шаблоны скорости ввода, связанные с пользователями; шаблоны перемещения мыши, связанные с пользователями.

В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса также может анализировать параметры пользовательского взаимодействия с устройством, связанные с сервисом, которые отличается от предоставляемого сервером 114. В некоторых вариантах осуществления настоящей технологии, модуль 118 анализа сеанса может получать информацию, представляющую параметры пользовательского взаимодействия с устройством, связанные с сервисами, которые отличаются от используемых пользователем. Эта информация может быть получена, например, через прикладной интерфейс программирования (API) с других серверов (не показаны), которые отвечают за доставку других услуг, на которые подписан пользователь.

В некоторых вариантах осуществления настоящей технологии пользователь может быть авторизован в сервисе, предоставляемом сервером 114, или в других сервисах с помощью единого входа в систему. Примеры единого входа в систему хороши известны в области техники, и включают в себя, среди прочего, Яндекс.ПаспортТМ, предоставляемый поисковой системой ЯндексТМ, единый вход в систему Google+™ и так далее. В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса может получать указание на параметры пользовательского взаимодействия с устройством от сервера (не показан) в ответ на единый вход в систему. В других вариантах осуществления технологии, каждый из отличных сервисов может быть связан с отдельными учетными данными, и в подобных вариантах осуществления технологии модуль 118 анализа сеанса может получать указание на параметры пользовательского взаимодействия с устройством от сервера агрегации (не показан), ответственного за агрегацию информации о поведении пользователя, или сервер 118 анализа сеанса может действовать как сервер агрегации.

В некоторых вариантах осуществления технологии различные источники параметров пользовательского взаимодействия с устройством могут являться серверами (не показаны), ответственными за выполнение сервиса анти-спама, серверами геолокации, серверами целевой рекламы и тому подобное. Некоторые из этих серверов могут быть такими же, как сервер 114, а некоторые из них могут выполняться как отдельные серверы, выполненные с возможностью обмениваться данными с сервером 114 через подходящие API и тому подобное.

В некоторых вариантах осуществления настоящей технологии параметр конкретного устройства может быть реализован в виде одного или нескольких обычных IP-адресов, связанных с электронными устройствами (например, первым электронным устройством 102 и вторым электронным устройством 103), которые пользователь применяет для соединения с сервисами, предоставляемыми сервером 114. В других вариантах осуществления технологии параметр конкретного устройства может быть включен в указание пользовательского агента установить первым электронным устройством 102 и вторым электронным устройством 103 сеансы связи (например, первый сеанс 120 связи и второй сеанс 122 связи) с сервером 114. Указанием пользовательского агента может являться идентификатор использования браузера (например, Яндекс™ браузера, Google™ Chrome™ браузер, Opera™ браузер и тому подобное). Альтернативно, указанием пользовательского агента может являться версия использованного браузера, или комбинация идентификатора и версии использованного браузера.

В некоторых вариантах осуществления настоящей технологии параметр пользовательского взаимодействия с устройством может быть выполнен в виде одного из (или комбинации): краткосрочного параметра пользовательского взаимодействия с устройством и долгосрочного параметра пользовательского взаимодействия с устройством. В некоторых вариантах осуществления настоящей технологии краткосрочный параметр пользовательского взаимодействия с устройством указывает на поведение пользователя за достаточно короткий промежуток времени, такой как один сеанс связи (например, длительность одного из первого сеанса 120 связи и второго идентификатора 132 связи). Долгосрочный параметр пользовательского взаимодействия с устройством указывает на поведение пользователя за достаточно длинный промежуток времени, например, такой как более серьезный сеанс связи, аналогичный первому сеансу 120 связи и второму идентификатору 132 связи.

В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса выполнен для расчета параметра нарушения безопасности. В некоторых вариантах осуществления настоящей технологии параметр нарушения безопасности выполнен как индикатор степени доверия тому, что данный сеанс связи был инициирован санкционированным (или несанкционированным) пользователем. В некоторых вариантах осуществления технологии параметр нарушения безопасности может представлять собой численное значение на шкале, например, от нуля до сотни, и чем выше число, тем с большей вероятностью пользователь, связанный с конкретным пользовательским сеансом, является несанкционированным, или же наоборот.

В некоторых вариантах осуществления настоящей технологии параметр нарушения безопасности может быть рассчитан по следующей формуле:

SVP=SVP_old+(sum(sum(SVP_sess_i))+sum(SVP_i)

Уравнение 1

Где SVP - параметр нарушения безопасности, SVP_old - предыдущий параметр нарушения безопасности, связанный с конкретным прошедшим промежутком времени SVP_sess_i - параметр нарушения безопасности, связанный с конкретным пользовательским сеансом, или, другими словами, основан на кратковременных факторах (где i=0…N, соответствует источникам информации для факторов пользовательского взаимодействия с устройством и/или факторов конкретного устройства), SVP_i - параметр нарушения безопасности, основанный на долговременных факторах.

В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса дополнительно выполнен с возможностью рассчитывать параметр нарушения безопасности, не зависящий от сеанса (SVP_i). В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса выполнен с возможностью определять параметр нарушения безопасности, не зависящий от сеанса, на основе параметров пользовательского взаимодействия с устройством и/или параметров конкретного устройства, которые являются долгосрочными параметрами, как было описано выше.

В рамках вариантов осуществления настоящей технологии параметр нарушения безопасности, связанный с конкретным пользовательским сеансом, который может быть обозначен как "параметр нарушения безопасности, связанный с конкретным пользовательским сеансом", может быть рассчитан следующим образом. Модуль 118 анализа сеанса получает один или несколько параметров пользовательского взаимодействия с устройством и параметров конкретного устройства. Для каждого из одного или нескольких параметров пользовательского взаимодействия с устройством и параметров конкретного устройства, модуль 118 анализа сеанса может настраивать значения параметра нарушения безопасности (повышать, понижать или оставлять неизменным) в зависимости от того, на что указывает каждый из одного или нескольких параметров пользовательского взаимодействия с устройством и параметров конкретного устройства.

Таким образом, в различных вариантах осуществления настоящей технологии параметр нарушения безопасности может обладать отрицательным значением (если анализ свидетельствует о том, что при перевешивании отрицательными параметрами положительных параметров, пользователь является несанкционированным пользователем), положительным значением (если пользователь выполняет обычные действия в соответствии с хранящимся профилем поведения санкционированного пользователя) или же быть равным нулю (в случае, если действия пользователя или параметры конкретного устройства не позволяют модулю 118 анализа сеанса выполнять определение).

В некоторых вариантах осуществления настоящей технологии модуль 118 анализа сеанса также выполнен с возможностью рассчитывать параметр нарушения безопасности, связанный с конкретным пользовательским сеансом, может быть рассчитан по следующей формуле:

SVP_sess=sum(SVP_sess_i)

Уравнение 2

Где SVP_sess - параметр нарушения безопасности, связанный с конкретным пользовательским сеансом, SVP_sess_i - параметр нарушения безопасности, связанный с конкретным пользовательским сеансом, или, другими словами, основан на кратковременных факторах (где i=0…N, соответствует источникам информации для факторов пользовательского взаимодействия с устройством и/или факторов конкретного устройства).

С учетом описанной выше архитектуры, возможно выполнение способа обработки запроса несанкционированного доступа пользователя. На Фиг. 4 представлена блок-схема способа 400, который выполняется в соответствии с не ограничивающими вариантами осуществления настоящей технологии. Способ 400 может быть выполнен на сервере 114 и, конкретнее, модулем 118 анализа сеанса.

Этап 402 - получение идентификатора первого сеанса связи, который связан с учетной записью пользователя

Способ 400 начинается на этапе 402, где модуль 118 анализа сеанса получает идентификатор первого сеанса 120 связи, связанный с учетной записью пользователя. В некоторых вариантах осуществления технологии этап 402 выполняется в ответ на установление первого сеанса 120 связи. В других вариантах осуществления технологии этап 402 выполняется в тот момент, когда первый сеанс 120 связи уже запущен, например, после заранее определенного периода времени после установления первого сеанса 120 связи.

В некоторых вариантах осуществления настоящей технологии идентификатор первого сеанса включает в себя куки сеанса связи.

Этап 404 - получение идентификатора второго сеанса связи, связанного с учетной записью пользователя

Далее, на этапе 404 модуль 118 анализа сеанса получает идентификатор второго сеанса 122 связи, связанный с учетной записью пользователя.

В некоторых вариантах осуществления настоящей технологии идентификатор второго сеанса включает в себя куки сеанса связи.

Следует отметить, что в некоторых вариантах осуществления технологии первый сеанс 120 связи выполняется на первом электронном устройстве 102, а второй сеанс 122 связи выполняется на втором электронном устройстве 103. Этот вариант осуществления технологии был описан подробнее со ссылкой на Фиг. 1. Тем не менее, в альтернативных вариантах осуществления настоящей технологии первый сеанс 120 связи и второй сеанс 122 связи могут выполняться на одном электронном устройстве, например на первом электронном устройстве 102 втором электронном устройстве 103.

Этап 406 - создание первой модели поведения пользователя, связанной с первым сеансом связи, на основе поведения пользователя в первом сеансе связи

Далее, на этапе 406 модуль 118 анализа сеанса, на основе поведения пользователя в первом сеансе 120 связи, создает первую модель поведения пользователя, связанную с первым сеансом 120 связи.

В некоторых вариантах осуществления настоящей технологии этап создания первой модели поведения пользователя включает в себя анализ по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

Параметр пользовательского взаимодействия с устройством может представлять собой одно или несколько из следующего:

- шаблон щелчков, связанный с пользователем;

- шаблон движений мыши, связанный с пользователем;

- шаблон ввода, связанный с пользователем;

- шаблон использования функций, связанный с пользователем.

- временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Параметр конкретного устройства может представлять собой одно или несколько из следующего:

- сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи;

- версию браузерного приложения, используемого для установления сеансов связи.

В некоторых вариантах осуществления настоящей технологии, параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Этап 408 - создание второй модели поведения пользователя, связанной со вторым сеансом связи, на основе поведения пользователя во втором сеансе связи

Далее, на этапе 408 модуль 118 анализа сеанса, на основе поведения пользователя во втором сеансе 122 связи, создает вторую модель поведения пользователя, связанную со вторым сеансом 122 связи.

Вторая модель поведения пользователя может быть создана по существу аналогично первой модели поведения пользователя.

Этап 410 - наложение запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса связи и второго сеанса связи если одна из первой модели поведения пользователя и второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя

Далее, на этапе 410 модуль 118 анализа сеанса, в ответ на то, что одна из первой модели поведения пользователя или второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя, накладывает запрет на пользовательскую активность в рамках соответствующего одного из первого сеанса 120 связи или второго сеанса 122 связи.

В некоторых вариантах осуществления настоящей технологии этап наложения запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса 120 связи и второго сеанса 122 связи никак не отражается на другом из первого сеанса 120 связи и второго сеанса 122 связи. Таким образом, в некоторых вариантах осуществления технологии способ 400 дополнительно включает в себя разрешение неограниченной пользовательской активности в первом (120) или втором (122) сеансе связи. Конкретным техническим эффектом, относящимся к данным вариантам осуществления настоящей технологии, в отличие от технологий, относящихся к известному уровню техники, где наложение запрета на доступ выполняется на всю учетную запись пользователя, будет то, что наложение запрета не отражается на пользовательской активности в другом сеансе связи, который, по-видимому, связан с санкционированным пользователем.

В некоторых вариантах осуществления настоящей технологии этап запрета включает в себя блокировку доступа к учетной записи пользователя. В некоторых вариантах осуществления настоящей технологии этап наложения запрета включает в себя ограничение функциональности учетной записи пользователя.

В некоторых вариантах осуществления настоящей технологии, до выполнения этапа наложения запрета, способ дополнительно включает в себя выполнение процедуры проверки для соответствующего одного из: первого или второго сеанса связи для подтверждения того, является ли доступ пользователя несанкционированным. В некоторых вариантах осуществления настоящей технологии процедура проверки может включать в себя предоставление одного или нескольких вопросов, ответы на которые были заранее установлены санкционированным пользователем. В других вариантах осуществления технологии процедура проверки может включать в себя предоставление одного или нескольких вопросов, которые были созданы модулем 118 анализа сеанса на основе информации, которая будет известна только санкционированному пользователю (например, когда учетная запись была создана и тому подобное).

В некоторых вариантах осуществления настоящей технологии этап наложения запрета включает в себя связывание куки сеанса, которые соответствуют одному из первого и второго сеанса связи, с меткой, указывающей на параметр нарушения безопасности. Параметр нарушения безопасности указывает на степень доверия тому, что соответствующий один из первого и второго сеанса связи связан с санкционированным пользователем.

Параметр нарушения безопасности может быть включен в куки, хранящиеся в связи с соответствующим одним из первого и второго сеанса связи.

В некоторых вариантах осуществления настоящей технологии в момент времени до этапа получения, способ дополнительно включает в себя создание хранящейся модели поведения санкционированного пользователя, связанного с сеансом связи. Этап создания хранящейся модели поведения санкционированного пользователя включает в себя анализ по меньшей мере одного из: факторов конкретного устройства и факторов пользовательского взаимодействия с устройством.

Способ 400 далее завершается или возвращается к выполнению этапа 402.

С учетом описанной выше архитектуры возможно выполнить способ авторизации пользователя в сети, который выполняется на сервере. На Фиг. 5 представлена блок-схема способа 500, который выполняется в соответствии с другими не ограничивающими вариантами осуществления настоящей технологии. Способ 500 может быть выполнен на сервере 114 и, конкретнее, модулем 118 анализа сеанса.

Этап 502 - обнаружение модели поведения несанкционированного пользователя, связанной с несанкционированным доступом к сетевому ресурсу несанкционированным лицом, причем модель поведения несанкционированного пользователя была создана в момент блокировки несанкционированного доступа к сетевому ресурсу несанкционированным лицом

Способ 500 начинается на этапе 502, где модуль 118 анализа сеанса обнаруживает модель поведения несанкционированного пользователя, связанную с несанкционированным доступом к сетевому ресурсу несанкционированным лицом, причем модель поведения несанкционированного пользователя была создана в момент блокировки несанкционированного доступа к сетевому ресурсу несанкционированным лицом. В некоторых вариантах осуществления настоящей технологии модель поведения несанкционированного пользователя может быть создана с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

В некоторых вариантах осуществления настоящей технологии параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из:

- шаблон щелчков, связанный с пользователем;

- шаблон движений мыши, связанный с пользователем;

- шаблон ввода, связанный с пользователем;

- шаблон использования функций, связанный с пользователем;

- временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

В некоторых вариантах осуществления настоящей технологии, параметр конкретного устройства включает в себя:

- сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи;

- версию браузерного приложения, используемого для установления сеансов связи.

В некоторых вариантах осуществления настоящей технологии, параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочный параметр пользовательского взаимодействия с устройством и долгосрочный параметр пользовательского взаимодействия с устройством.

Этап 504 - получение из журнала, хранящегося на сетевом сервере, указания на множество пользователей, каждый из которых связан с соответствующей моделью поведения пользователя

На этапе 504 модуль 118 анализа сеанса получает из журнала, хранящегося на сетевом сервере, указание на множество пользователей, каждый из которых связан с соответствующей моделью поведения пользователя. В некоторых вариантах осуществления настоящей технологии журнал может быть реализован аналогично описанной выше таблице 142 профилей пользователей.

В некоторых вариантах осуществления настоящей технологии до выполнения этапа обнаружения, способ дополнительно включает в себя этап создания каждой из соответствующих моделей поведения пользователя. Как было объяснено выше, соответствующая модель поведения пользователя может быть создана с помощью анализа по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством. Другими словами, способ 500 после установления санкционированного доступа (например, с помощью способа 400) может получать профиль поведения пользователя, связанный с несанкционированным лицом и, как будет описано далее, "просматривать" все известные профили поведения пользователя, чтобы определить несанкционированные профили поведения пользователя путем сравнения их с моделью поведения несанкционированного пользователя.

Аналогично описанному выше, параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из:

- шаблон щелчков, связанный с пользователем;

- шаблон движений мыши, связанный с пользователем;

- шаблон ввода, связанный с пользователем;

- шаблон использования функций, связанный с пользователем.

- временной шаблон пользователя, в котором обычно устанавливаются сеансы связи.

Аналогичным образом, параметр конкретного устройства включает в себя по меньшей мере одно из:

- сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи;

- версию браузерного приложения, используемого для установления сеансов связи.

Этап 506 - присвоение учетной записи пользователя параметра нарушения безопасности если модель поведения пользователя совпадает с моделью поведения несанкционированного пользователя

Далее, на этапе 506 модуль 118 анализа сеанса присваивает учетной записи пользователя параметр нарушения безопасности, если модель поведения пользователя совпадает с моделью поведения несанкционированного пользователя. В некоторых вариантах осуществления настоящей технологии параметр нарушения безопасности включает в себя куки, связанные с учетной записью пользователя, которые отмечены меткой, указывающей на параметр нарушения безопасности. В некоторых вариантах осуществления настоящей технологии параметр нарушения безопасности указывает на степень доверия тому, что пользователь, связанный с учетной записью пользователя, является несанкционированным пользователем.

Этап 508 - наложение запрета на пользовательскую активность в учетной записи пользователя в ответ на параметр нарушения безопасности

Далее, на этапе 508 модуль 118 анализа сеанса в ответ на параметр нарушения безопасности, накладывает запрет на пользовательскую активность в учетной записи пользователя.

В некоторых вариантах осуществления настоящей технологии, до выполнения этапа запрета, способ дополнительно включает в себя выполнение процедуры проверки для соответствующего одного из: первого или второго сеанса связи для подтверждения того, является ли доступ пользователя несанкционированным. В некоторых вариантах осуществления настоящей технологии процедура проверки может включать в себя предоставление одного или нескольких вопросов, ответы на которые были заранее установлены санкционированным пользователем. В других вариантах осуществления технологии процедура проверки может включать в себя предоставление одного или нескольких вопросов, которые были созданы модулем 118 анализа сеанса на основе информации, которая будет известна только санкционированному пользователю (например, когда учетная запись была создана и тому подобное).

В некоторых вариантах осуществления настоящей технологии этап запрета включает в себя блокировку доступа к учетной записи пользователя. В некоторых вариантах осуществления настоящей технологии этап запрета включает в себя ограничение функциональности учетной записи пользователя.

Способ 500 далее заканчивается или возвращается к выполнению этапа 502, если был определен другой профиль поведения несанкционированного пользователя.

Модификации и улучшения вышеописанных вариантов осуществления настоящей технологии будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не несет никаких ограничений. Таким образом, объем настоящей технологии ограничен только объемом прилагаемой формулы изобретения.

1. Способ для обработки запроса от потенциально несанкционированного пользователя на доступ к ресурсу, выполняемый на сервере и включающий в себя:
получение идентификатора первого сеанса связи, который связан с учетной записью пользователя;
получение идентификатора второго сеанса связи, который связан с учетной записью пользователя;
создание первой модели поведения пользователя, связанной с первым сеансом связи, на основе поведения пользователя в первом сеансе связи;
создание второй модели поведения пользователя, связанной со вторым сеансом связи, на основе поведения пользователя во втором сеансе связи;
наложение запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса связи и второго сеанса связи, если одна из первой модели поведения пользователя и второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя.

2. Способ по п. 1, в котором дополнительно разрешают неограниченную пользовательскую активность в первом или втором сеансе связи.

3. Способ по п. 1, в котором идентификатор первого сеанса связи включает в себя куки.

4. Способ по п. 1, в котором идентификатор второго сеанса связи включает в себя куки.

5. Способ по п. 1, в котором первый сеанс связи выполняют на первом электронном устройстве и второй сеанс связи выполняют на втором электронном устройстве.

6. Способ по п. 1, в котором первый сеанс связи и второй сеанс связи выполняют на одном электронном устройстве.

7. Способ по п. 1, в котором этап создания первой модели поведения пользователя включает в себя анализ по меньшей мере одного из: параметра конкретного устройства и параметра пользовательского взаимодействия с устройством.

8. Способ по п. 7, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего:
шаблон щелчков, связанный с пользователем;
шаблон движений мыши, связанный с пользователем;
шаблон ввода, связанный с пользователем;
шаблон использования функций, связанный с пользователем.
временной шаблон пользователя, в котором обычно устанавливаются пользовательские сеансы.

9. Способ по п. 7, в котором параметр конкретного устройства включает в себя по меньшей мере одно из следующего:
сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи;
версию браузерного приложения, используемого для установления сеансов связи.

10. Способ по п. 7, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочного параметра пользовательского взаимодействия с устройством и долгосрочного параметра пользовательского взаимодействия с устройством.

11. Способ по п. 1, в котором дополнительно создают хранящуюся модель поведения пользователя, связанную с учетной записью пользователя до получения идентификатора сеанса связи.

12. Способ по п. 11, в котором этап создания хранящейся модели поведения санкционированного пользователя включает в себя анализ по меньшей мере одного из: факторов конкретного устройства и факторов пользовательского взаимодействия с устройством.

13. Способ по п. 1, в котором запрет включает в себя блокировку доступа к учетной записи пользователя.

14. Способ по п. 1, в котором запрет включает в себя ограничение функциональности учетной записи пользователя.

15. Способ по п. 1, в котором до этапа наложения запрета дополнительно выполняют процедуру проверки для соответствующего одного из: первого или второго сеанса связи для подтверждения того, является ли доступ пользователя несанкционированным.

16. Способ по п. 1, в котором наложение запрета включает в себя связывание куки, которые соответствуют одному из первого и второго пользовательского сеанса, с меткой, указывающей на параметр нарушения безопасности.

17. Способ по п. 1, в котором дополнительно определяют параметр нарушения безопасности, указывающий на степень доверия тому, что соответствующий один из первого и второго сеанса связи связан с санкционированным пользователем.

18. Способ по п. 17, в котором параметр нарушения безопасности включают в куки, хранящиеся в связи с соответствующим одним из первого и второго сеанса связи.

19. Сервер, включающий в себя:
интерфейс связи для соединения с электронным устройством через сеть передачи данных;
процессор, функционально соединенный с интерфейсом связи, процессор выполнен с возможностью обработки запроса на доступ от потенциально несанкционированного пользователя;
получения идентификатора первого сеанса связи, который связан с учетной записью пользователя;
получения идентификатора второго сеанса связи, который связан с учетной записью пользователя;
создания первой модели поведения пользователя, связанной с первым сеансом связи на основе поведения пользователя в первом сеансе связи;
создания второй модели поведения пользователя, связанной со вторым сеансом связи на основе поведения пользователя во втором сеансе связи;
наложения запрета на пользовательскую активность в рамках соответствующего одного из первого сеанса связи и второго сеанса связи, если одна из первой модели поведения пользователя и второй модели поведения пользователя отличается от хранящейся модели поведения санкционированного пользователя, связанной с учетной записью пользователя.

20. Сервер по п. 19, в котором процессор дополнительно выполнен с возможностью разрешения неограниченной пользовательской активности в первом или втором сеансе связи.

21. Сервер по п. 19, в котором идентификатор первого сеанса связи включает в себя куки.

22. Сервер по п. 19, в котором идентификатор второго сеанса связи включает в себя куки.

23. Сервер по п. 19, в котором для создания первой модели поведения пользователя процессор выполнен с возможностью анализа по меньшей мере одного из: параметров конкретного устройства и параметров пользовательского взаимодействия с устройством.

24. Сервер по п. 23, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из следующего:
шаблон щелчков, связанный с пользователем;
шаблон движений мыши, связанный с пользователем;
шаблон ввода, связанный с пользователем;
шаблон использования функций, связанный с пользователем;
временной шаблон пользователя, в котором обычно устанавливаются пользовательские сеансы связи.

25. Сервер по п. 23, в котором параметр конкретного устройства включает в себя по меньшей мере одно из следующего:
сетевой адрес, связанный с электронным устройством пользователя, которое обычно используется для установления сеансов связи;
версию браузерного приложения, используемого для установления сеансов связи.

26. Сервер по п. 23, в котором параметр пользовательского взаимодействия с устройством включает в себя по меньшей мере одно из: краткосрочного параметра пользовательского взаимодействия с устройством и долгосрочного параметра пользовательского взаимодействия с устройством.

27. Сервер по п. 19, в котором процессор дополнительно выполнен с возможностью создавать хранящуюся модель поведения пользователя, связанную с учетной записью пользователя до получения идентификатора сеанса связи.

28. Сервер по п. 27, в котором для создания хранящейся модели поведения санкционированного пользователя процессор выполнен с возможностью анализа по меньшей мере одного из: факторов конкретного устройства и факторов пользовательского взаимодействия с устройством.

29. Сервер по п. 19, в котором для наложения запрета процессор выполнен с возможностью блокировки доступа к учетной записи пользователя.

30. Сервер по п. 19, в котором для наложения запрета процессор выполнен с возможностью ограничения функциональности учетной записи пользователя.

31. Сервер по п. 19, в котором процессор выполнен с возможностью выполнения процедуры проверки для соответствующего одного из первого или второго сеанса связи до выполнения запрета, для подтверждения того, является ли доступ пользователя несанкционированным.

32. Сервер по п. 19, в котором для наложения запрета процессор выполнен с возможностью связывания куки, которые соответствуют одному из первого и второго пользовательского сеанса связи, с меткой, указывающей на параметр нарушения безопасности.

33. Сервер по п. 19, в котором процессор дополнительно выполнен с возможностью определения параметра нарушения безопасности, указывающего на степень доверия тому, что соответствующий один из первого и второго сеанса связи связан с санкционированным пользователем.

34. Сервер по п. 33, в котором параметр нарушения безопасности включен в куки, хранящиеся в связи с соответствующим одним из первого и второго сеанса связи.