Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами



Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами

 


Владельцы патента RU 2635275:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретение относится к системам и способам выявления подозрительной активности пользователя при взаимодействии с банковскими сервисами. Технический результат заключается в повышении безопасности взаимодействия пользователя с банковскими сервисами посредством аккаунта пользователя при помощи устройства, которое предоставляет банковские сервисы. Система содержит средство сбора данных, работающее на устройстве, которое предоставляет банковские сервисы, и предназначенное для сбора информации о прошедших активностях, определения устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом; средство построения модели, предназначенное для создания модели поведения пользователя на основании собранной информации, вычисления вероятности мошенничества для прошедшей активности пользователя, аккаунта пользователя и устройства; средство анализа, предназначенное для формирования шаблонов подозрительного поведения пользователя, выявления подозрительной активности пользователя на основании сформированных шаблонов подозрительного поведения; средство блокировки, предназначенное для выполнения действия по предотвращению мошенничества в случае выявления подозрительной активности. 2 н. и 4 з.п. ф-лы, 4 ил.

 

Область техники

Изобретение относится к решениям для выявления случаев банковского мошенничества, а более конкретно к системам и способам выявления подозрительной активности пользователя при взаимодействии с различными банковскими сервисами.

Уровень техники

В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции. Кроме того, новые технологии бесконтактной оплаты, онлайн-банкинг и мобильного банкинг делают возможным проведение денежных операций без участия пластиковой карты или реквизитов банковского счета.

Кроме того, существуют различные механизмы защиты средств пользователя от доступа к ним третьих лиц. Так, например, для пластиковых карт используется PIN-код. Его необходимо вводить во время оплаты покупки на терминале или при выполнении операций по карте с использованием банкомата. При утрате карты третье лицо не сможет воспользоваться ею, так как не знает PIN-кода карты. При общении пользователя с оператором call-центра банка для идентификации пользователя обычно используется секретный вопрос или секретное слово. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двойная аутентификация. После ввода логина и пароля (которые могли стать доступны третьим лицам) в браузере на сайте банка пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.

Однако стоит отметить, что существующие методы защиты не позволяют в полной мере обеспечить безопасность средств пользователя от злоумышленников. Существует множество комплексных атак, использующих уязвимые стороны при взаимодействии пользователя с двумя и более банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошенническими (англ. fraud). Так, например, с помощью фишинговых сайтов, могут быть получены логин и пароль для доступа к онлайн-банкингу, а также секретное слово (неграмотные с точки зрения компьютерной безопасности пользователи зачастую используют один и тот же пароль или одно и то же проверочное слово). После этого злоумышленник может позвонить в колл-центр банка, пройти аутентификацию, заказать выпуск второй карты, привязанной к счету пользователя с доставкой на другой адрес. И в дальнейшем распорядиться деньгами пользователя по своему усмотрению. Стоит отметить, что подобную атаку невозможно обнаружить, анализируя активности лишь при взаимодействии пользователя с одним банковским сервисом.

В настоящее время существуют системы и способы, направленные на повышение безопасности денежных средств пользователя и защиту от мошеннических атак. Так, публикация US 8683586 описывает систему обнаружения мошенничества на основании соответствия поведения пользователя шаблонам, которым система обучилась при авторизации пользователя. Для обучения шаблонам системой анализируется поведение пользователя на более чем одном сайте.

Публикация US 9092823 описывает способ выявления вредоносного программного обеспечения, атакующего пользователя во время его взаимодействия с банковскими сервисами. Выявление происходит путем поиска в скачанных файлах URL доверенных банков.

Описываемые способы позволяют выявить некоторые случаи мошеннической активности, однако не позволяют противодействовать атакам, использующим взаимодействия пользователя с двумя и более банковскими сервисами. Для выявления подобных атак необходимо оценивать поведение (активность) пользователя, анализируя взаимодействие пользователя с различными банковскими сервисами. При поведении пользователя, схожим с поведением, описанным мошенническим шаблоном или сценарием, выявляется подозрительное поведение, которое может свидетельствовать о мошеннической активности, происходящей от имени пользователя.

Предлагаемая система и способ позволяют выявлять случаи мошенничества, основываясь на подозрительном поведении пользователя при взаимодействии пользователя с различными банковскими сервисами.

Сущность изобретения

Технический результат настоящего изобретения заключается в повышении безопасности взаимодействия пользователя с банковскими сервисами посредством аккаунта пользователя при помощи устройства, которое предоставляет банковские сервисы пользователю, с помощью способа выявления подозрительной активности, который заключается в выявлении активности, соответствующей сформированному шаблону подозрительного поведения. Еще один технический результат настоящего изобретения заключается в снижении риска мошенничества при взаимодействии пользователя с банковскими сервисами посредством аккаунта пользователя при помощи устройства, которое предоставляет банковские сервисы пользователю, с помощью способа выявления подозрительной активности, который заключается в выявлении активности, соответствующей сформированному шаблону подозрительного поведения.

Согласно одному из вариантов реализации предоставляется система выявления подозрительной активности на компьютерном устройстве пользователя при взаимодействии пользователя посредством аккаунта через компьютерное устройство с банковскими сервисами состоит из: средства сбора данных, работающего на по меньшей мере одном компьютерном устройстве, с использованием которого пользователь взаимодействует с по меньшей мере одним банковским сервисом, и предназначенного для: сбора информации о прошедших активностях, совершенных на упомянутом устройстве в результате взаимодействия пользователя посредством аккаунта с по меньшей мере двумя банковскими сервисами, при этом банковскими сервисами являются: онлайн-банкинг на веб-сайте банка (online banking); интернет-транзакции; мобильное приложение банка (mobile banking); банкомат (automated teller machine, ATM); платежный терминал (pos-terminal); центр обработки звонков (call-center); определения устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом; передачи собранной информации о прошедших активностях и данных об определенном устройстве средству построения модели и средству анализа; средства построения модели, работающего на удаленном сервере или в качестве облачного сервиса, и предназначенное для: создания модели поведения пользователя на основании собранной информации о прошедших активностях, совершенных на устройствах во время взаимодействия пользователя с банковскими сервисами, и определенных устройств, причем упомянутая модель также содержит набор правил взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя; вычисления вероятности мошенничества для прошедшей активности пользователя, аккаунта пользователя и устройства; средства анализа, работающего на удаленном сервере или в качестве облачного сервиса, предназначенного для: формирования шаблонов подозрительного поведения пользователя, при этом упомянутые шаблоны содержат набор указанных прошедших активностей при взаимодействии пользователя с по меньшей мере одним банковским сервисом, причем упомянутый набор содержит по меньшей мере одну подозрительную прошедшую активность, при этом подозрительной является активность, которая соответствует аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения; выявления текущей активности пользователя, возникающей в результате взаимодействия пользователя посредством аккаунта с по меньшей мере одним банковским сервисом, как подозрительной в случае, если текущая активность пользователя соответствует по меньшей мере одному сформированному шаблону подозрительного поведения пользователя.

Согласно одному из частных вариантов реализации предоставляется система, в которой правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя представляет собой сценарий, описывающий набор действий пользователя.

Согласно другому частному варианту реализации предоставляется система, в которой для каждого правила взаимодействия между устройством и банковским сервисом вычисляют вероятность мошенничества.

Согласно еще одному частному варианту реализации предоставляется способ выявления подозрительной активности на компьютерном устройстве пользователя при взаимодействии пользователя посредством аккаунта через компьютерное устройство с банковскими сервисами, в котором: с помощью средства сбора данных, работающего на по меньшей мере одном компьютерном устройстве, с использованием которого пользователь взаимодействует с по меньшей мере одним банковским сервисом, производят сбор информации о прошедших активностях, совершенных на упомянутом устройстве в результате взаимодействия пользователя посредством аккаунта с по меньшей мере двумя банковскими сервисами, при этом банковскими сервисами являются: онлайн-банкинг на веб-сайте банка (online banking); интернет-транзакции; мобильное приложение банка (mobile banking); банкомат (automated teller machine, ATM); платежный терминал (pos-terminal); центр обработки звонков (call-center); с помощью средства сбора данных определяют устройство, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом; с помощью средства построения модели, работающего на удаленном сервере или в качестве облачного сервиса, создают модель поведения пользователя на основании собранной информации о прошедших активностях, совершенных на устройствах во время взаимодействия пользователя с банковскими сервисами, и определенных устройств, причем упомянутая модель также содержит набор правил взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя; с помощью средства построения модели для прошедшей активности пользователя, аккаунта пользователя и устройства вычисляют вероятность мошенничества; с помощью средства анализа, работающего на удаленном сервере или в качестве облачного сервиса, формируют шаблоны подозрительного поведения пользователя, при этом упомянутые шаблоны содержат набор указанных прошедших активностей при взаимодействии пользователя с по меньшей мере одним банковским сервисом, причем упомянутый набор содержит по меньшей мере одну подозрительную прошедшую активность, при этом подозрительной является активность, которая соответствует аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения; с помощью средства анализа выявляют текущую активность пользователя, возникающую в результате взаимодействия пользователя посредством аккаунта с по меньшей мере одним банковским сервисом, как подозрительную в случае, если текущая активность пользователя соответствует по меньшей мере одному сформированному шаблону подозрительного поведения пользователя.

Согласно еще одному частному варианту реализации предоставляется способ, в котором правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя представляет собой сценарий, описывающий набор действий пользователя.

Согласно еще одному частному варианту реализации предоставляется способ, в котором для каждого правила взаимодействия между устройством и банковским сервисом вычисляют вероятность мошенничества.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 изображает структуру взаимодействия пользователя с банковскими сервисами;

Фиг. 2 отображает структуру системы выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами;

Фиг. 3 отображает способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами;

Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Фиг. 1 отображает структуру взаимодействия пользователя с банковскими сервисами.

Взаимодействие пользователя с банком 105 может производиться с помощью различных сервисов дистанционного банковского обслуживания (банковских сервисов):

- онлайн-банкинга на веб-сайте банка (англ. online banking) 110;

- интернет-транзакций (англ. online transaction) 115;

- мобильного приложения банка (англ. mobile banking) 120;

- банкомата (англ. automated teller machine, ATM) 130;

- платежного терминала (англ. point of sale terminal, POS-terminal) 140;

- центра обработки звонков (англ. call-center) 150.

Стоит отметить, что аккаунт пользователя в банке - это сущность, которая идентифицирует пользователя. Аккаунт пользователя может содержать его личные данные (паспортные данные, электронная почта, номер мобильного телефона, аутентификационные данные для онлайн-банкинга). С аккаунтом пользователя связана история денежных (платежи, переводы, покупки) и неденежных (изменение личных данных, перевыпуск карты) операций. В одном из вариантов реализации аккаунт пользователя и связанная с ним история хранятся в базе данных, размещенной в IT-системах банка (например, на сервере баз данных банка).

Стоит отметить, что для одного банковского аккаунта возможно выполнение одних и тех же операций посредством различных банковских сервисов. Так, например, личные данные могут быть изменены с помощью онлайн-банкинга 110 в личном кабинете, после звонка в центр обработки звонков 150 и последующей идентификацией пользователя, например, с использованием секретного слова и непосредственно во время визита пользователя в отделение банка. Перевод средств на другую карту или счет возможен с помощью банкомата 130 или онлайн-банкинга 110. Оплата товаров и услуг может быть осуществлена посредством банкомата 130, интернет-транзакции 115, мобильного приложения 120, платежного терминала 140 или онлайн-банкинга 110. Стоит отметить, что взаимодействие с некоторыми банковскими сервисами происходит через посредников (например, можно пользоваться банкоматом 130 банка, который не выпускал карту пользователя, оплата товара может производиться с использованием платежного терминала 140, который связан с банком магазина, в котором пользователь производит покупку). Также у пользователя в одном и том же банке могут быть различные карты (как дебетовые, так и кредитные с разными условиями использования, лимитами и тарифами), кроме того, карты пользователя, выпущенные в одном банке, могут использовать различные платежные системы (например, Visa или MasterCard).

Описанное многообразие банковских сервисов и операций, производимых пользователем, приводит к многообразию мошеннических сценариев, которые применяются злоумышленниками для неправомерного использования банковских средств пользователя.

Фиг. 2 отображает структуру системы выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами.

С помощью средства сбора данных 210 производят сбор информации о взаимодействии пользователя с двумя и более банковскими сервисами:

- онлайн-банкинг на веб-сайте банка 110;

- интернет-транзакции 115;

- мобильное приложение банка 120;

- банкомат 130;

- платежный терминал 140;

- центр обработки звонков 150.

Стоит отметить, что в общем случае средство сбора данных 210 собирает информацию о пользовательской активности и сопряженным с ней параметрам окружения. Активность в общем случае - совокупность действия пользователя и результата данного действия, где событие возникает в результате действия пользователя, а действие производится с использованием устройства при взаимодействии пользователя с отдельно взятым банковским сервисом.

Устройство в рамках настоящего изобретения - программная среда исполнения, выполняющаяся на вычислительном устройстве (например, браузер, выполняющийся на компьютере, приложение банка, выполняющееся на мобильном устройстве, операционные системы банкомата и терминала оплаты).

Сопряженные параметры окружения - параметры активности (например, время активности, геолокация активности, свойства устройства, с которого проводилась активность). В одном из вариантов реализации сопряженные параметры окружения включают в себя параметры действия пользователя. В другом варианте реализации сопряженные параметры окружения включают в себя параметры события. В еще одном варианте реализации сопряженные параметры окружения включают в себя параметры устройства, которое использовалось во время пользовательской активности.

К параметрам действия в общем случае относятся:

- аккаунт (или его идентификатор) пользователя в банке;

- время действия;

- идентификатор действия внутри банка (в общем случае в системах различных банков идентификаторы действий различны).

К параметрам события в общем случае относятся:

- результат события;

- контрагент пользователя;

- банк контрагента пользователя.

К параметрам устройства в общем случае относятся основные характеристики устройства и тип его связи с банком, например:

- версия операционной системы устройства, посредством которой пользователь взаимодействует с банковским сервисом;

- версия браузера;

- местоположение устройства;

- тип платежной системы;

- тип платежа (оплата с помощью PIN, оплата с помощью Pay-pass, оплата с помощью реквизитов банковской карты, оплата с помощью реквизитов банковского счета);

- идентификатор операционной системы, под управлением которой работает устройство;

- идентификатор Google ID или Apple ID;

- функционирует ли устройство (программная среда исполнения) в рамках виртуальной машины или эмулятора.

Количество сопряженных параметров окружения не ограничено и зависит от реализации настоящей системы. Любая информация, собранная средством сбора данных 210 и описывающая параметр окружения, может быть использована настоящей системой в дальнейшем.

Средство сбора данных 210 работает на отдельном компьютерном устройстве, с использованием которого пользователь взаимодействует с отдельным банковским сервисом.

Стоит отметить, что при взаимодействии с банковскими сервисами пользователь использует свой аккаунт или связанные с ним отдельные атрибуты (логин, номер счета, номер карты, номер телефона, адрес). В зависимости от банка и сложности его информационных систем атрибуты аккаунта и доступные пользователю активности при взаимодействии с банком в общем случае схожи, но отличаются количеством и возможностью доступа к некоторым атрибутам посредством какого-либо отдельного банковского сервиса (например, выпуск дополнительной карты в банках одной группы возможен после заявления в онлайн-банкинге 110, в банках другой группы после звонка в центр обработки звонков 150, а в банках третьей группы только после личного посещения офиса банка).

С использованием отдельного банковского сервиса возможен ограниченный набор действий (активностей) с ограниченным набором атрибутов (например, с помощью платежного терминала 140 нельзя менять пользовательские данные, а с помощью звонка в центр обработки звонков 150 нельзя выполнять платеж по реквизитам счета).

В одном из вариантов реализации средство сбора данных 210 получает данные, содержащие параметры устройства с помощью сценария JavaScript, размещенного на веб-сайте банка. Сценарий используется для сбора данных, например, при работе пользователя в личном кабинете посредством браузера. В данном случае сценарий также может выполнять функции обнаружения атак «человек посередине» (англ. man in the middle). В еще одном варианте реализации средство сбора данных 210 получает информацию об устройстве с помощью интерфейса программирования приложений (англ. application programming interface, API), предоставляемый мобильным комплектом разработчика (англ. mobile software development kit, Mobile SDK). Так информация об устройстве может быть получена при использовании мобильного приложения банка на смартфоне пользователя. В еще одном варианте реализации средство сбора данных 210 получает информацию с помощью расширения браузера при проведении пользователем платежей в сети интернет, при этом расширение браузера может являться, например, компонентом приложения безопасности (антивирусного приложения). В одном из вариантов реализации средство сбора данных 210 может быть компонентом программного обеспечения, под управлением которого работает банкомат 130, при этом средство сбора данных 210 может собирать данные о поведении пользователя (например, время реакции пользователя на ввод PIN-кода, скорость ввода PIN-кода), получать изображение с камеры, встроенной в банкомат 130. В одном из вариантов реализации банкомат может быть оборудован биометрическими системами (например, камерой или сканером отпечатков пальцев), данные с которых (например, фотография пользователя или данные, хранящие в себе описание отпечатка пальца пользователя) также получает средство сбора данных 210.

С помощью упомянутых вариантов реализации средством сбора данных 210 может быть вычислен «отпечаток» (англ. fingerprint) устройства. Отпечаток - это рассчитанный математическими методами идентификатор устройства, позволяющий идентифицировать (отличить от других) данное устройство. В одном из вариантов реализации отпечаток есть функция от параметров устройства (например, хеш-сумма, вычисленная по параметрам устройства). В общем случае отпечаток содержит идентификатор устройства, который в свою очередь может являться числом, строкой, набором чисел/строк или иной, описываемой математически, структурой данных.

Собранная информация передается средству построения модели 220 и средству анализа 230.

Средство построения модели 220 исполняется на удаленном сервере 280 или в качестве облачного сервиса. Средство построения модели 220, используя собранную средством сбора данных 210 информацию о взаимодействия пользователя с по меньшей мере двумя банковскими сервисами, обнаруживает связи между активностями пользователя. В общем случае связи активностей обнаруживаются средством построения модели 220 в рамках одного банковского аккаунта пользователя. Кроме того, средство построения модели 220 обнаруживает связи активностей разных банковских аккаунтов пользователей. Такая связь - это, например, использование одного устройства несколькими пользователями. Еще одним примером упомянутой связи может являться цель платежа. Например, если пользователь «А» и пользователь «В» оплачивают один и тот же номер телефона.

По обнаруженным связям средство построения модели 220 создает модель поведения пользователя. Модель поведения может описывать как отдельного пользователя, так и группу пользователей. Модель строится на основании предоставленных средством сбора данных 210 идентификаторов устройств и аккаунтов пользователей, посредством которых были совершены активности. В общем случае модель - это граф из сущностей и связей между ними. Сущности - это вершины графа, в общем варианте реализации сущностями являются устройства и аккаунты пользователей. Связи графа - это набор правил взаимодействия, при этом правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя - это сценарий, описывающий набор действий пользователя. В общем случае правило взаимодействия описано с помощью условий, основывающихся на сопряженных параметрах окружения.

Стоит отметить, что каждая активность (событие и его результат), информация о которой собрана средством сбора 210 и передана средству построения модели 220, связана с по меньшей мере одной сущностью.

Связи между сущностями отражают совместное или последовательное использование разных вершин (например, пользователи могут использовать разные устройства с разной частотой). Связи между сущностями могут иметь отношение одна ко многим и многие ко многим.

В частном случае в качестве модели может выступать набор правил, нейросеть (или набор нейросетей), одно/несколько деревьев или лес, или же иная композиция, описываемая сущностями (в частном случае вершинами) и связами между ними (в частном случае функциями).

Правила взаимодействия между сущностями (связи) могут быть описаны в текстовом виде, в виде статистической информации (статистическая модель с параметрами), деревьев решений (англ. decision tree), нейросети.

В процессе работы средство построения модели 220 накапливает информацию, полученную от средства сбора 210. Граф при этом строится на основании накопленной информации об активностях пользователя. Каждая активность пользователя в данном варианте реализации модели представляет собой путь в графе (переход от вершины к вершине) между сущностями. При этом путь не ограничен двумя вершинами.

В одном из вариантов реализации граф может перестраиваться частично, например, при получении каждой новой активности пользователя. В другом варианте реализации граф может перестраиваться полностью. В еще одном варианте реализации граф может перестраиваться целиком или частично средством построения модели 220 после накопления заданного количества активностей (например, 10000). Стоит отметить, что банковские IT-системы - это высоконагруженные системы. Количество активностей от всех пользователей банка достаточно велико (может достигать нескольких тысяч активностей в секунду). Поэтому перестроение графа на каждом шаге может вызывать замедление IT-систем банка, так как использует значительное количество вычислительных ресурсов.

В одном из вариантов реализации для хранения модели могут использоваться графовые базы данных 290 (известны из существующего уровня техники).

В общем случае построение модели начинается средством построения модели 220 сразу, с первых активностей пользователя, полученных от средства сбора данных 210. В одном из вариантов реализации построение модели начинается после временного интервала (несколько недель или месяцев). Модель считается построенной, если в ней присутствует набор активностей, содержащий по меньшей мере две активности взаимодействия пользователя посредством аккаунта с по меньшей мере двумя различными с банковскими сервисами. Построенная модель доступна средству анализа 230.

В одном из вариантов реализации при возникновении активности, уже присутствующей в графе, повышается вероятность этой активности, то есть увеличивается вероятность совместного использования сущностей, с которыми связано произошедшее событие.

В одном из вариантов реализации после построения граф не содержит путей, описывающих мошеннические активности. В другом варианте реализации граф содержит пути, описывающие мошенническую активность, которая была выявлена в других банках (например, активность, в которой использование устройства и платежи по карте производятся из мест, географически далеко удаленных друг от друга). Таким образом, впоследствии накопленные данные (например, имеющиеся шаблоны поведения) по конкретному банку дополняют модель банка, а также могут быть использованы в моделях других банков в дальнейшем.

В одном из вариантов реализации для каждой прошедшей активности пользователя, каждого аккаунта пользователя и каждого устройства средство построения модели 220 вычисляет вероятность мошенничества (в общем случае от 0 до 1). Например, если с аккаунта пользователя многократно выявлялась мошенническая активность по информации от банка, аккаунт такого пользователя будет иметь высокую (например, более 0.6) вероятность мошенничества. Если происходит активность с одинаковыми (совпадающими) сопряженными параметрами окружения, например, оплата одного и того же номера мобильного телефона, с разных устройств разными картами, и об активностях оплаты этого номера мобильного телефона есть подтвержденная информация о мошенничестве от банка, то такая активность (очередная оплата этого номера мобильного телефона) также будет высокую вероятность мошенничества. В одном из вариантов реализации для каждого правила взаимодействия между устройством и банковским сервисом средство построения модели 220 также вычисляет вероятность мошенничества. Например, использование виртуальной машины (сопряженный параметр окружения, описывающий устройство) в некоторых случаях увеличивает вероятность мошенничества во время взаимодействия пользователя с банковским сервисом. Использование, так называемых «устройств со странной конфигурацией» (англ. odd devices) также зачастую увеличивает вероятность мошенничества. Примером такого устройства является совместное использование «Internet Explorer 6» и «Windows 10». В одном из вариантов реализации все вычисленные вероятности мошенничества сохраняются в графе.

В общем случае средство построения модели 220 также получает информацию по подтвержденному мошенничеству (например, клиент сообщил лично банку о случае мошенничества, а банк 105 в свою очередь проинформировал настоящую систему). В одном из вариантов реализации банк 105 предоставляет идентификатор сущности, по которому средство построения модели 220 обнаруживает в графе сущность и связи, которые связаны с мошенничеством. Средство построения модели 220 выстраивает набор связей, связанных с мошенничеством. В одном из вариантов реализации средство построения модели 220 определяет, какие сущности были связаны с этим случаем мошенничества, используя сопряженные параметры окружения. Например, если мошенничество произошло во время онлайн-сессии пользователя, определяется контрагент (например, другой пользователь), и набор сущностей, связанных с ним (с другим пользователем). Если мошенничество произошло с использованием банковской карты, определяется, например, набор связей между терминалом оплаты и множеством пользователей, использующих его.

В одном из вариантов реализации при добавлении в модель мошеннических активностей в связи между сущностями добавляются правила «если». В одном из вариантов реализации данные правила могут основываться на сопряженных параметрах окружения. Например, если оплата производится со скомпрометированного мошеннической активностью терминала (сущностью, входящей в состав пути, отражающего мошенническую активность в графе), то такая транзакция (активность) - подозрительная, то есть, вероятно, мошенническая. Если устройство скомпрометировано, все, кто пользуется устройством, находятся в зоне риска (потенциально могут стать жертвой мошенничества). Стоит отметить, что скомпрометированное устройство - это сущность, для которой в модели содержатся связи, вероятность мошенничества которых выше порогового значения.

Средство анализа 230 исполняется на удаленном сервере 280 или в качестве облачного сервиса. Средство анализа 230 во время очередной активности пользователя при взаимодействии с банковским сервисом проверяет вероятность мошенничества активности по модели, основываясь на информации, предоставленной средством сбора данных 210. В одном из вариантов реализации проверка происходит путем сопоставления происходящих активностей с путями графа модели. При возникновении активности она обнаруживается средством анализа 230 в дереве, затем при возникновении следующей активности средство анализа производит движение по путям дерева. Если путь дерева имеет малую вероятность (активность редкая) или является мошенническим (активность соответствует заведомо мошенническому пути в графе), средство анализа 230 формирует инцидент. После формирования инцидента в одном из вариантов реализации происходит информирование банка через один или несколько каналов коммуникации настоящей системы с банком. В другом варианте реализации выполняется действие по предотвращению мошенничества (например, блокировка аккаунта пользователя). В еще одном варианте реализации инцидент передается средству блокировки 250.

В одном из вариантов реализации средство анализа 230 формирует шаблоны подозрительного (вероятно мошеннического) поведения. Шаблон подозрительного поведения - это сценарий, содержащий набор прошедших активностей взаимодействия пользователя с по меньшей мере двумя различными банковскими сервисами. Набор содержит по меньшей мере одну подозрительную активность. Подозрительная активность в рамках работы средства анализа 230 - это активность, соответствующая аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения.

Стоит отметить, что для выявления шаблонов могут использоваться экспертные знания, эвристики, а также модели, известные из уровня техники и основанные на обучении (статистические, deep learning и другие).

Стоит также отметить, что выявление шаблонов меняет правила взаимодействия сущностей в модели для определения вероятностей мошенничества. В одном из вариантов реализации средство анализа 230 передает выделенный шаблон подозрительного поведения средству построения модели 220 для изменения модели.

Кроме того, шаблоны могут формироваться средством анализа 230 и без явного информирования системы со стороны банка о подозрительной активности. В одном из вариантов реализации аккаунт пользователя (или группа аккаунтов пользователей) в графе имеет вероятность мошенничества (например, от 0 до 1). Чем меньше случаев мошенничества выявлено на аккаунте пользователя, тем вероятность мошенничества меньше. В этом случае на основании ненормального поведения пользователя определяется вероятность того, насколько такое поведение мошенническое. Ненормальное поведение - это та активность, вероятность мошенничества которой близка (например, менее 0.05) вероятности мошенничества. Например, транзакция происходит с устройства, которое исполняется на виртуальной машине (определено по параметрам окружения). В одном случае исполнение транзакции на виртуальной машине нормально (пользователь всегда использует защищенные схемы оплаты), в другом случае - ненормально (пользователь первый раз за 1000 транзакций воспользовался виртуальной машиной, что может свидетельствовать либо о том, что он повысил безопасность транзакции, либо транзакция скомпрометирована).

В одном из вариантов реализации при определении ненормального поведения пользователя используются по меньшей мере две вероятности мошенничества взаимодействия пользователя с по меньшей мере двумя банковскими сервисами.

В случае выявления ненормального поведения при взаимодействии пользователя с по меньшей мере двумя различными банковскими сервисами средство анализа 230 рассматривает упомянутое поведение, как кандидат на шаблон подозрительной активности. Средство анализа 230 информирует банк. После проверки каждой подобной активности в банке может формироваться подтвержденная банком мошенническая активность (либо, наоборот, подтвержденное банком отсутствие мошеннической активности), и шаблон предается средством анализа 230 средству построения модели 220 для перестроения связей модели. В одном из вариантов реализации в случае выявления ненормального поведения средство анализа 230 передает информацию средству блокировки 250.

Средство кластеризации 240 может функционировать как отдельное средство или как часть средства анализа 230. Оно выделяет кластера типовых активностей, отличных от большинства. Типовая активность - это набор событий при взаимодействии пользователя с банковским сервисом, имеющий схожую последовательность связей и параметры окружения. Каждый кластер содержит активности взаимодействия пользователя с по меньшей мере двумя банковскими сервисами. В одном из вариантов реализации средство кластеризации выделяет кластера по параметрам окружения, полученным от банка (например, система безопасности банка определила, что ведется атака банковских IT-систем). После выделения кластера он может быть описан шаблоном и передан средству анализа на предмет определения мошенничества. При выделении кластера могут использоваться методы активного обучения (англ. active learning), известные из существующего уровня техники. После выделения кластера в одном из вариантов реализации он может быть отправлен аналитику (специалисту по безопасности) для выявления мошеннической активности. В другом варианте реализации выделенный кластер отправляется на анализ в банк.

Средство блокировки 250 после получения инцидента от средства анализа 230 блокирует следующую активность пользователя при взаимодействии с банковским сервисом, отличном от банковского сервиса, при взаимодействии с которым произошла текущая активность. Например, если обнаружена мошенническая активность через онлайн-банк, происходит информирование банковские систем о том, что системой обнаружена мошенническая активность, затрагивающая онлайн-банкинг и, например, по шаблону в дальнейшем мобильный банкинг. Если злоумышленник попробует использовать мобильное приложение - система заблокирует это событие (например, операция входа в мобильное приложение будет завершена с ошибкой даже при вводе злоумышленником корректных данных).

Фиг. 3 отображает способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами.

На этапе 310 с помощью средства сбора данных 210, работающего на компьютерных устройствах, с использованием которых пользователь взаимодействует с банковскими сервисами, производят сбор информации о прошедших активностях, совершенных на упомянутых устройствах в результате взаимодействия пользователя посредством аккаунта с по меньшей мере двумя различными банковскими сервисами:

- онлайн-банкинг на веб-сайте банка 110;

- интернет-транзакции 115;

- мобильное приложение банка 120;

- банкомат 130;

- платежный терминал 140;

- центр обработки звонков 150.

На этапе 320 с помощью средства сбора данных 210 вычисляют идентификатор каждого устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом.

На этапе 330 с помощью средства построения модели 220, работающего на удаленном сервере или в качестве облачного сервиса, создают модель поведения пользователя на основании собранной информации о прошедших активностях, совершенных на устройствах во время взаимодействия пользователя с банковскими сервисами, и вычисленных идентификаторов устройств, причем упомянутая модель также содержит набор правил взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя. В одном из вариантов реализации правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя представляет собой сценарий, описывающий набор действий пользователя.

На этапе 340 с помощью средства построения модели 220 для каждой прошедшей активности пользователя, каждого аккаунта пользователя и каждого устройства вычисляют вероятность мошенничества. В одном из вариантов реализации для каждого правила взаимодействия между устройством и банковским сервисом также вычисляют вероятность мошенничества.

На этапе 350 с помощью средства анализа 230, работающего на удаленном сервере или в качестве облачного сервиса, формируют шаблоны подозрительного поведения пользователя, при этом упомянутые шаблоны содержат набор указанных прошедших активностей при взаимодействии пользователя с по меньшей мере одним банковским сервисом, причем упомянутый набор содержит по меньшей мере одну подозрительную прошедшую активность, при этом подозрительной является активность, которая соответствует аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения.

На этапе 360 с помощью средства анализа 230 выявляют текущую активность пользователя, возникающую в результате взаимодействия пользователя посредством аккаунта с по меньшей мере одним банковским сервисом, как подозрительную в случае, если текущая активность пользователя соответствует по меньшей мере одному сформированному шаблону подозрительного поведения пользователя.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система выявления подозрительной активности на устройстве, которое предоставляет банковские сервисы пользователю, при взаимодействии пользователя посредством аккаунта через устройство, которое предоставляет банковские сервисы пользователю, состоящая из:

- средства сбора данных, работающего на по меньшей мере одном устройстве, которое предоставляет банковские сервисы пользователю, с использованием которого пользователь взаимодействует с по меньшей мере одним банковским сервисом, и предназначенного для:

сбора информации о прошедших активностях, совершенных на упомянутом устройстве в результате взаимодействия пользователя посредством аккаунта с по меньшей мере двумя банковскими сервисами, при этом банковскими сервисами являются:

- онлайн-банкинг на веб-сайте банка;

- мобильный банкинг;

причем банковские сервисы предоставляются с использованием:

- интернет-транзакции;

- мобильного приложения банка;

- банкомата;

- платежного терминала;

- центра обработки звонков;

определения устройства, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом;

передачи собранной информации о прошедших активностях и данных об определенном устройстве средству построения модели и средству анализа;

- средства построения модели, работающего на удаленном сервере или в качестве облачного сервиса, и предназначенное для:

создания модели поведения пользователя на основании собранной информации о прошедших активностях, совершенных на устройствах во время взаимодействия пользователя с банковскими сервисами, и определенных устройств, причем упомянутая модель также содержит набор правил взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя;

вычисления вероятности мошенничества для прошедшей активности пользователя, аккаунта пользователя и устройства;

- средства анализа, работающего на удаленном сервере или в качестве облачного сервиса, предназначенного для:

формирования шаблонов подозрительного поведения пользователя, при этом упомянутые шаблоны содержат набор указанных прошедших активностей при взаимодействии пользователя с по меньшей мере одним банковским сервисом, причем упомянутый набор содержит по меньшей мере одну подозрительную прошедшую активность, при этом подозрительной является активность, которая соответствует аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения;

выявления текущей активности пользователя, возникающей в результате взаимодействия пользователя посредством аккаунта с по меньшей мере одним банковским сервисом, как подозрительной в случае, если текущая активность пользователя соответствует по меньшей мере одному сформированному шаблону подозрительного поведения пользователя;

- средства блокировки, работающего на удаленном сервере или в качестве облачного сервиса, предназначенного для выполнения действия по предотвращению мошенничества в случае выявления подозрительной активности.

2. Система по п. 1, в которой правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя представляет собой сценарий, описывающий набор действий пользователя.

3. Система по п. 1, в которой для каждого правила взаимодействия между устройством и банковским сервисом вычисляют вероятность мошенничества.

4. Способ выявления подозрительной активности на устройстве, которое предоставляет банковские сервисы пользователю, при взаимодействии пользователя посредством аккаунта через устройство, которое предоставляет банковские сервисы пользователю, в котором:

с помощью средства сбора данных, работающего на по меньшей мере одном устройстве, которое предоставляет банковские сервисы пользователю, с использованием которого пользователь взаимодействует с по меньшей мере одним банковским сервисом, производят сбор информации о прошедших активностях, совершенных на упомянутом устройстве в результате взаимодействия пользователя посредством аккаунта с по меньшей мере двумя банковскими сервисами, при этом банковскими сервисами являются:

- онлайн-банкинг на веб-сайте банка;

- мобильный банкинг;

причем банковские сервисы предоставляются с использованием:

- интернет-транзакции;

- мобильного приложения банка;

- банкомата;

- платежного терминала;

- центра обработки звонков;

с помощью средства сбора данных определяют устройство, которое используется при взаимодействии через аккаунт пользователя с банковским сервисом;

с помощью средства построения модели, работающего на удаленном сервере или в качестве облачного сервиса, создают модель поведения пользователя на основании собранной информации о прошедших активностях, совершенных на устройствах во время взаимодействия пользователя с банковскими сервисами, и определенных устройств, причем упомянутая модель также содержит набор правил взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя;

с помощью средства построения модели для прошедшей активности пользователя, аккаунта пользователя и устройства вычисляют вероятность мошенничества;

с помощью средства анализа, работающего на удаленном сервере или в качестве облачного сервиса, формируют шаблоны подозрительного поведения пользователя, при этом упомянутые шаблоны содержат набор указанных прошедших активностей при взаимодействии пользователя с по меньшей мере одним банковским сервисом, причем упомянутый набор содержит по меньшей мере одну подозрительную прошедшую активность, при этом подозрительной является активность, которая соответствует аккаунту пользователя или устройству, для которых вычислена вероятность мошенничества, которая выше порогового значения;

с помощью средства анализа выявляют текущую активность пользователя, возникающую в результате взаимодействия пользователя посредством аккаунта с по меньшей мере одним банковским сервисом, как подозрительную в случае, если текущая активность пользователя соответствует по меньшей мере одному сформированному шаблону подозрительного поведения пользователя;

с помощью средства блокировки выполняют действие по предотвращению мошенничества в случае выявления подозрительной активности.

5. Способ по п. 4, в котором правило взаимодействия между устройствами и банковскими сервисами посредством аккаунта пользователя представляет собой сценарий, описывающий набор действий пользователя.

6. Способ по п. 4, в котором для каждого правила взаимодействия между устройством и банковским сервисом вычисляют вероятность мошенничества.



 

Похожие патенты:

Изобретение относится к области категоризации неизвестных образов сборок, созданных на устройстве. Техническим результатом является повышение безопасности устройства, путем ограничения доступа образа машинного кода, имеющего категорию доверия недоверенный, к ресурсам, предоставляемым операционной системой.

Изобретение относится к обеспечению защиты информации, вводимой через сенсорный экран. Технический результат – предотвращение утечки информации, вводимой через сенсорный экран.

Изобретение относится к защите информации, хранящейся на электронных носителях. Технический результат заключается в повышении уровня безопасности управления доступом.

Изобретение относится к устройствам обработки информации, которые применимы в случае, когда прикладную программу выполняют в соответствии с воспроизведением содержания, такого как телевизионная программа.

Изобретение относится к системам и способам защиты объектов критической инфраструктуры путем контроля состояния такого объекта критической инфраструктуры, как технологическая система, посредством кибернетической системы контроля.

Изобретение относится к системам и способам обнаружения компьютерных атак. Технический результат заключается в повышении эффективности выявления компьютерных атак.

Изобретение относится к области обнаружения компьютерных атак. Техническим результатом является повышение эффективности выявления компьютерных атак.

Изобретение относится к области защиты компьютерных систем от вредоносных программ. Техническим результатом является помещение компонента, обнаруживающего запуски процесса, за пределами соответствующей виртуальной машины на более высокий уровень привилегий процессора, чем уровень привилегий операционной системы, что обеспечивает возможность предотвращать сокрытие вредоносного программного обеспечения от компонентов защиты от вредоносных программ.

Изобретение относится к радиотехнике и вычислительной технике. Технический результат заключается в повышение надежности защиты ключевой информации и радиоданных.

Изобретение относится к области защиты данных от несанкционированного доступа, а более конкретно, к системам безопасной аутентификации. Техническим результатом является обеспечение защищенной передачи данных пользователя на сайт в сети Интернет. Система для защищенной передачи аутентификационных данных пользователя на сайт в сети Интернет содержит следующие средства: плагин в браузере, установленный на компьютере пользователя, при этом плагин предназначен для определения, что пользователь с помощью упомянутого браузера произвел соединение с сайтом, при взаимодействии с которым требуется защищать получаемые и передаваемые аутентификационные данные (далее - защищаемый сайт), и передачи информации о том, что произошло соединение с защищаемым сайтом, антивирусному приложению; антивирусное приложение, установленное на упомянутом компьютере, предназначенное для проверки операционной системы, установленной на упомянутом компьютере, на наличие уязвимостей и вредоносных приложений после получения упомянутой информации от плагина и передачи информации о проведенной проверке, а также информации, полученной от плагина, на устройство для безопасной передачи данных, и применения настроек безопасного канала передачи данных; устройство для безопасной передачи данных, предназначенное для: выбора настроек безопасного канала передачи данных между устройством для безопасной передачи данных и защищаемым сайтом на основании информации о проведенной антивирусным приложением проверке, передачи по безопасному каналу передачи данных между устройством для безопасной передачи данных и защищаемым сайтом аутентификационных данных пользователя на защищаемый сайт для аутентификации на данном сайте, при этом передача происходит на основании информации о том, что пользователь с помощью браузера произвел соединение с защищаемым сайтом, при этом аутентификационные данные хранятся на устройстве для безопасной передачи данных в зашифрованном виде. 2 н. и 6 з.п. ф-лы, 5 ил.

Изобретение относится к системе аутентификации аппарата обработки изображения. Технический результат заключается в обеспечении централизованного управления аутентификацией пользователей аппаратов обработки изображения без использования выделенного сервера аутентификации. Система содержит множество соединенных друг с другом аппаратов обработки изображения, каждый из которых содержит блок ввода информации идентификации пользователя, блок хранения информации аутентификации и блок аутентификации, при этом один из аппаратов служит в качестве главного устройства, а другие - в качестве локальных; главное устройство содержит блок редактирования информации аутентификации и блок передачи информации аутентификации; каждое из локальных устройств содержит блок приема информации аутентификации, блок обновления информации аутентификации, блок настройки доступности аутентификации, который, когда информация аутентификации не принята от главного устройства, выбирает и устанавливает, разрешить ли блоку аутентификации локального устройства выполнить аутентификацию, и блок хранения настройки доступности аутентификации. 3 н. и 7 з.п. ф-лы, 9 ил.

Изобретение относится к системе и способу обеспечения безопасных транзакций электронной коммерции. Технический результат заключается в повышении безопасности транзакций электронной коммерции. В способе создают зашифрованный цифровой сертификат объекта для объекта и сохраняют его в базе данных, создают зашифрованный цифровой сертификат продавца для продавца объекта и сохраняют его в базе данных, присваивают активный, приостановленный или аннулированный статус сертификату объекта согласно первому заданному критерию и сертификату продавца согласно второму заданному критерию и сохраняют статусы в базе данных, создают зашифрованный цифровой сертификат продажи путем агрегирования элементов, содержащих сертификат объекта и сертификат продавца и сохраняют сертификат в базе данных, присваивают аннулированный статус сертификату продажи, если оба статуса сертификата продавца и сертификата объекта не являются активными, и активный статус в противном случае и сохраняют статус в базе данных, публикуют сертификат продажи и его статус в онлайн-магазине. 2 н. и 7 з.п. ф-лы, 5 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении точности передачи данных. Способ, включающий обнаружение события многоточечного прикосновения к целевому объекту; определение того, является ли обнаруженное событие многоточечного прикосновения заранее заданным первым событием многоточечного прикосновения, причем первое событие многоточечного прикосновения используют для запуска переключения целевого объекта в режим безопасного отображения; переключение целевого объекта в режим безопасного отображения, в котором отображается только целевой объект, если обнаруженное событие многоточечного прикосновения является первым событием многоточечного прикосновения, при этом целевой объект содержит графический объект, текстовый объект, объект мультимедиа или оконный объект. 3 н. и 10 з.п. ф-лы, 13 ил.

Изобретение относится к технологиям сетевой связи. Технический результат заключается в повышении безопасности передачи данных. Устройство содержит модуль вычислительный (МВ), выполненный из блока выдачи видеоинформации, интерфейса внешних устройств, блока разуплотнения потока данных для передачи во внешние устройства, блока хранения и обмена данными шумовой последовательности, блока формирования и хранения ключей и масок шифрования, контроллера памяти, администратора состояний, блока шифрования, маскирования, демаскирования и дешифрации данных, модуль контроля управления и индикации (МКУИ), выполненный из контроллера состояния батареи питания, блока контроля напряжений питания, блока контроля вскрытия корпуса, блока управления элементами дополнительной индикации, контроллера ввода данных с клавиатуры, модуль интерфейсов (МИ), выполненный из внешних устройств - блока взаимодействия с радиоаппаратурой, контроллера взаимодействия с устройством ввода радиоданных (УВРД), блока взаимодействия с персональной электронно-вычислительной машиной (ПЭВМ), клавиатуру и дисплей. 1 ил.

Изобретение относится к области аутентификации пользователей. Технический результат – эффективное управление безопасностью вычислительных ресурсов. Способ управления доступом к одному или более вычислительным ресурсам провайдера вычислительных ресурсов содержит: под управлением одной или более компьютерных систем, функционирующих на основе выполняемых команд, прием от первого объекта запроса делегирования, выполнение которого включает в себя разрешение второму объекту привилегии доступа к вычислительному ресурсу; генерирование ключа сеанса на основе, по меньшей мере частично, ограничения и секретного сертификата, совместно используемого с первым объектом; предоставление ключа сеанса первому объекту; прием от второго объекта запроса доступа на осуществление доступа к вычислительному ресурсу, причем запрос доступа включает в себя ключ сеанса, предоставленный первому объекту; подтверждение запроса доступа на основе, по меньшей мере частично, ключа сеанса, содержащегося в запросе доступа; и разрешение второму объекту доступа к вычислительному ресурсу. 3 н. и 17 з.п. ф-лы, 24 ил.
Изобретение относится к области защиты информации, хранимой в информационных системах персональных данных (ИСПДн), от несанкционированного доступа (НСД) и может быть использовано на стадиях разработки и оптимизации ИСПДн в защищенном исполнении. Техническим результатом является повышение уровня безопасности ИСПДн. Способ обезличивания персональных данных обеспечивает защиту ИСПДн от НСД на стадиях разработки и оптимизации, оперирует персональными данными субъектов, хранящимися и обрабатываемыми в ИСПДн, и осуществляет хеширование ключевых атрибутов по алгоритму Keccak. При этом на первом этапе экспертным путем определяются ключевые атрибуты. На втором этапе исходное множество данных D(d1, d2, ..., dM), где М - число атрибутов, разбивается на два непересекающихся подмножества данных А1 и А2, относящихся к ключевым и неключевым атрибутам соответственно. На третьем этапе производится хеширование данных из А1 для каждого субъекта и вычисляется значение хеш-функции, которое является одним из атрибутов обоих множеств. 1 з.п. ф-лы.

Изобретение относится к методикам аутентификации, а именно к аутентификации, основанной на использовании персональных биологических данных, таких как конфигурации вен тела человека. Технический результат – обеспечение достоверной аутентификации и портативность устройства. Устройство для биометрической идентификации пользователя содержит блок освещения, выполненный с возможностью испускания по меньшей мере одного первого оптического излучения на тело человека; блок модуляции, выполненный с возможностью модуляции по меньшей мере одного второго оптического излучения, рассеиваемого от тела человека; датчик, выполненный с возможностью регистрации интегральной мощности по меньшей мере одного второго оптического излучения, рассеиваемого от тела человека; блок обработки и хранения, выполненный с возможностью переключения состояний блока модуляции, получения сигнала от датчика таким образом, чтобы каждое показание датчика соответствовало конкретному состоянию блока модуляции, выполнения биометрической аутентификации пользователя. 2 н. и 6 з.п. ф-лы, 11 ил.

Изобретение относится к управлению административной связью между учетной записью и устройством. Технический результат – повышение эффективности установления административной связи между устройством и учетными записями. Способ управления административной связью между учетной записью и целевым интеллектуальным устройством включает прием запроса связывания устройства, переданного из первого терминала, при этом запрос связывания устройства содержит идентификатор целевого интеллектуального устройства, транслируемый из целевого интеллектуального устройства, и первый идентификатор учетной записи, соответствующий учетной записи, для которой выполнена аутентификация в первом терминале, определение второго идентификатора учетной записи, соответствующего главной административной учетной записи, связанной с целевым интеллектуальным устройством, передачу сообщения с запросом связывания во второй терминал, в котором выполнена аутентификация учетной записи, соответствующей второму идентификатору учетной записи, причем сообщение с запросом связывания содержит первый идентификатор учетной записи и идентификатор устройства, и регистрацию учетной записи, соответствующей первому идентификатору учетной записи, в качестве вспомогательной административной учетной записи для целевого интеллектуального устройства, если из второго терминала принято первое сообщение подтверждения, соответствующее сообщению с запросом связывания. 2 н. и 10 з.п. ф-лы, 11 ил.

Изобретение относится к области обеспечения безопасности виртуальных сетей связи. Технический результат заключается в обеспечении защиты элементов виртуальных сетей связи от DDoS-атак. Способ, в котором создают статистические модели изменения параметров сетевого трафика абонентов виртуальной сети из белого списка IP-адресов, описывают значения параметров аномального поведения абонентов из белого списка IP-адресов, во время функционирования элемента виртуальной частной сети осуществляют мониторинг аномального поведения абонентов, при обнаружении аномального поведения проверяют метки времени, криптографическую функцию хеширования, если абонент не подтвердил свою легитимность, соединение разрывается и проводится повторное соединение, при отсутствии IP-адреса в «Белом» и «Черном» списке проводится фильтрация содержимого принятого пакета согласно заданным правилам фильтрации, при обнаружении и подтверждении признаков начала DDoS-атак моделируют ее влияние на элемент виртуальной частной сети, если значения параметров элемента виртуальной частной сети подверженного DDoS-атаке по результатам моделирования ниже требуемых, принимаемый сетевой трафик от абонентов виртуальной частной сети, не входящих в «Белый» список, перенаправляют в центры очистки. 6 ил.
Наверх