Способ и система для определения вредоносных действий определенного вида

Область техники, к которой относится изобретение

[1] Настоящая технология относится в целом к системам и способам определения вредоносных действий определенного вида и, в частности, к способам и системам для обнаружения куки-стаффинга.

Уровень техники

[2] Различные глобальные и локальные сети (Интернет, World Wide Web, локальные сети и т.д.) обеспечивают пользователю доступ к огромному объему информации. Эта информация включает в себя множество контекстно-зависимых тем, таких как новости и текущие события, карты, информация о компаниях, финансовая информация и ресурсы, информация о дорожном движении, информация об играх и развлечениях и т.д. Пользователи применяют разнообразные клиентские устройства (настольный компьютер, ноутбук, смартфон, планшет и т.д.) для получения доступа к богатому информационному содержимому (изображениям, аудиоматериалам, видеоматериалам, анимации и другому мультимедийному контенту из таких сетей).

[3] Несмотря на то, что основополагающая концепция партнерского маркетинга (выплата вознаграждения за привлеченных клиентов) возникла раньше Интернета, он вырос вместе с Интернетом, поскольку позволяет онлайн-продавцам расширять видимость, а партнерам - легко зарабатывать свое вознаграждение.

[4] В общем случае партнерская онлайн-программа работает следующим образом. Партнер обеспечивает работу веб-сайта, который посещает пользователь. Веб-сайт содержит реферальную ссылку, при переходе по которой пользователь направляется на домашнюю страницу продавца или на страницу продукта. Если пользователь покупает продукт у продавца, партнер получает вознаграждение (обычно в процентах от стоимости продукта) за направление пользователя к продавцу.

[5] Для надлежащей идентификации объекта, направившего пользователя к продавцу, реферальная ссылка может инициировать формирование продавцом куки-файла для сохранения в браузерном приложении пользователя. Куки-файл содержит уникальный идентификатор партнера. При выполнении транзакции продавец может проанализировать куки-файл браузерного приложения и идентифицировать партнера для выплаты вознаграждения.

[6] Подобно многим другим областям, связанным с деньгами, партнерский маркетинг подвержен мошенничеству со стороны злонамеренных пользователей, пытающихся ненадлежащим образом получить вознаграждение от продавца.

[7] В качестве известного примера такого мошенничества можно привести «куки-стаффинг». В общем случае куки-стаффинг представляет собой способ, при котором веб-сайт внедряет реферальную ссылку, инициирующую получение посетителем куки-файла, связанного с веб-сайтом продавца, без фактического доступа пользователя к веб-сайту продавца (или даже без согласия на посещение веб-сайта продавца). Когда посетитель впоследствии посещает веб-сайт продавца и выполняет транзакцию, веб-сайт продавца подтверждает куки-файл и за направление посетителя выплачивает вознаграждение объекту, управляющему веб-сайтом или контролирующему его. Поскольку веб-сайту (или связанному с ним объекту) выплачивается вознаграждение при том, что он не побудил посетителя посетить веб-сайт продавца, куки-стаффинг считается незаконным операторами многих партнерских программ.

[8] В патенте US7877800B1 «Preventing Fraudulent Misdirection of Affiliate Program Cookie Tracking» (Symantec Corporation, выдан 25 января 2011 г.) описан менеджер контроля куки-файлов, обнаруживающий мошеннические обновления куки-файлов на компьютере. Менеджер контроля куки-файлов проверяет куки-файлы и обнаруживает попытки записи в них. Менеджер контроля куки-файлов определяет, является ли каждая обнаруженная попытка записи попыткой записи в куки-файл мошеннического идентификатора партнера. Менеджер контроля куки-файлов обнаруживает мошеннические попытки записи, например, путем выявления попытки записи в куки-файл известного мошеннического идентификатора партнера, путем выявления попытки записи в куки-файл процессом, отличным от браузера, или путем выявления нескольких попыток записи в куки-файл идентификаторов партнеров в течение достаточно короткого периода времени. Когда менеджер отслеживания куки-файлов обнаруживает попытку записи в куки-файл мошеннического идентификатора партнера, он может заблокировать эту попытку записи и/или запустить программу удаления такого рекламно-мошеннического программного обеспечения на компьютере.

[9] В патенте US9349134B1 «Detecting Illegitimate Network Traffic» (Google Inc., выдан 24 мая 2016 г.) описана эмуляция пользовательского сеанса просмотра веб-страниц, включая направление веб-браузера, установленного в компьютерной системе, для посещения одного или нескольких веб-сайтов. Способ включает в себя регистрацию сетевого трафика, поступившего в компьютерную систему после посещения веб-браузером одного или нескольких веб-сайтов. Способ также включает в себя определение сетевого трафика, запрошенного приложением, установленным в компьютерной системе, и поступившего веб-браузеру после посещения веб-браузером одного или нескольких веб-сайтов.

Раскрытие изобретения

[10] Разработанные не имеющие ограничительного характера варианты осуществления настоящей технологии основаны на понимании разработчиком по меньшей мере одной технической проблемы, связанной с известными решениями.

[11] В соответствии с одним из аспектов настоящей технологии реализован компьютерный способ определения вредоносных действий определенного вида, выполняемый сервером. Способ включает в себя: получение сервером указания на множество веб-ресурсов, каждый из которых доступен через сеть связи по соответствующему сетевому адресу; анализ сервером множества веб-ресурсов с целью определения подмножества веб-ресурсов, потенциально связанных с вредоносными действиями; выполнение сервером автоматического браузерного приложения, способного осуществлять доступ к каждому веб-ресурсу из подмножества веб-ресурсов; анализ сервером журнала, который связан с автоматическим браузерным приложением, осуществляющим доступ к каждому веб-ресурсу, и содержит указание на наличие куки-файла, не связанного с этими веб-ресурсами; и определение для веб-ресурса, включенного в состав подмножества веб-ресурсов, наличия вредоносных действий на основе журнала.

[12] В некоторых не имеющих ограничительного характера вариантах осуществления способа сервер дополнительно связан с веб-сервисом, при этом определенный вид действий представляет собой куки-стаффинг куки-файла, связанного с веб-сервисом.

[13] В некоторых не имеющих ограничительного характера вариантах осуществления способа сервер дополнительно связан с электронным устройством, а получение множества веб-ресурсов включает в себя получение от электронного устройства истории навигации, содержащей указание на это множество веб-ресурсов, к каждому из которых ранее обращалось электронное устройство.

[14] В некоторых не имеющих ограничительного характера вариантах осуществления способа сервер дополнительно связан с веб-сервисом, а получение истории навигации выполняется в случае выполнения электронным устройством заранее заданного действия, связанного с веб-сервисом.

[15] некоторых не имеющих ограничительного характера вариантах осуществления способа заранее заданное действие представляет собой обращение к веб-сервису, выполнение транзакции в веб-сервисе или завершение работы с веб-сервисом.

[16] В некоторых не имеющих ограничительного характера вариантах осуществления способа анализ множества веб-ресурсов выполняется в случае выявления в памяти куки-файла, связанного с электронным устройством и полученного до обращения к веб-сервису.

[17] В некоторых не имеющих ограничительного характера вариантах осуществления способа анализ множества веб-ресурсов включает в себя удаление повторяющихся веб-ресурсов и/или удаление веб-ресурсов, количество просмотров страниц которых превышает заранее заданный порог.

[18] В некоторых не имеющих ограничительного характера вариантах осуществления способа автоматическое браузерное приложение не обращалось к веб-сервису, а куки-файл был назначен в результате посещения веб-ресурса из подмножества веб-ресурсов.

[19] В некоторых не имеющих ограничительного характера вариантах осуществления способа в случае наличия куки-файла в журнале автоматического браузерного приложения способ дополнительно включает в себя получение исходного HTML-кода, связанного с веб-сервисом.

[20] В некоторых не имеющих ограничительного характера вариантах осуществления способа определение наличия вредоносных действий включает в себя анализ исходного HTML-кода с целью выявления заранее заданного образца кода, указывающего на вредоносные действия.

[21] В некоторых не имеющих ограничительного характера вариантах осуществления способа определение наличия заранее заданного образца кода включает в себя определение наличия в части исходного HTML-кода триггера назначения куки-файла.

[22] В некоторых не имеющих ограничительного характера вариантах осуществления способа триггер назначения куки-файла соответствует универсальному указателю ресурсов (URL, Uniform Resource Locator), содержащему доменное имя веб-сервиса, и идентификатор пользователя, который связан с партнером, находящимся в партнерских отношениях с веб-сервисом, и инициирует сохранение куки-файла в журнале.

[23] В некоторых не имеющих ограничительного характера вариантах осуществления способа часть исходного HTML-кода соответствует HTML-тегу «image» в исходном HTML-коде.

[24] В некоторых не имеющих ограничительного характера вариантах осуществления способа часть исходного HTML-кода соответствует HTML-тегу «iframe» в исходном HTML-коде.

[25] В некоторых не имеющих ограничительного характера вариантах осуществления способа в случае выявления вредоносных действий способ дополнительно включает в себя выполнение сервером ограничивающего действия в отношении партнера.

[26] В некоторых не имеющих ограничительного характера вариантах осуществления способа ограничивающее действие представляет собой временное прекращение партнерских отношений с партнером или полное прекращение партнерских отношений с партнером.

[27] В некоторых не имеющих ограничительного характера вариантах осуществления способа веб-сервис представляет собой веб-ресурс площадки для онлайн-торговли. В некоторых не имеющих ограничительного характера вариантах осуществления способа исходный HTML-код извлекается из журнала.

[28] Согласно другому аспекту настоящей технологии реализован сервер для определения вредоносных действий определенного вида, содержащий процессор, способный: получать указание на множество веб-ресурсов, каждый из которых доступен через сеть связи по соответствующему сетевому адресу; анализировать множество веб-ресурсов с целью определения подмножества веб-ресурсов, потенциально связанных с вредоносными действиями; выполнять автоматическое браузерное приложение, способное осуществлять доступ к каждому веб-ресурсу из подмножества веб-ресурсов и анализировать журнал, связанный с автоматическим браузерным приложением, осуществляющим доступ к каждому веб-ресурсу, и содержащий указание на наличие куки-файла, не связанного с этими веб-ресурсами; и определять для веб-ресурса, включенного в состав подмножества веб-ресурсов, наличие вредоносных действий на основе журнала.

[29] В некоторых не имеющих ограничительного характера вариантах осуществления сервера он дополнительно связан с веб-сервисом, при этом определенный вид действий представляет собой куки-стаффинг куки-файла, связанного с веб-сервисом.

[30] В некоторых не имеющих ограничительного характера вариантах осуществления сервера он дополнительно связан с электронным устройством, при этом для получения множества веб-ресурсов процессор способен получать от электронного устройства историю навигации, содержащую указание на множество веб-ресурсов, к каждому из которых ранее обращалось электронное устройство.

[31] В контексте настоящего описания термин «сервер» означает компьютерную программу, выполняемую соответствующими аппаратными средствами и способную принимать запросы (например, из электронных устройств) через сеть и выполнять эти запросы или инициировать их выполнение. Аппаратные средства могут представлять собой один физический компьютер или одну компьютерную систему, что не существенно для настоящей технологии. В настоящем контексте выражение «по меньшей мере один сервер» не означает, что каждая задача (например, принятая команда или запрос) или некоторая определенная задача принимается, выполняется или запускается одним сервером (т.е. одними и теми же программными и/или аппаратными средствами). Это выражение означает, что любое количество программных средств или аппаратных средств может принимать, отправлять, выполнять или инициировать выполнение любой задачи или запроса либо результатов любых задач или запросов. Все эти программные и аппаратные средства могут представлять собой один сервер или несколько серверов, причем оба эти случая подразумеваются в выражении «по меньшей мере один сервер».

[32] В контексте настоящего описания, если явно не указано другое, числительные «первый», «второй», «третий» и т.д. используются лишь для указания различия между существительными, к которым они относятся, но не для описания каких-либо определенных взаимосвязей между этими существительными. Например, должно быть понятно, что использование терминов «первый сервер» и «третий сервер» не подразумевает какого-либо определенного порядка, типа, хронологии, иерархии или классификации, в данном случае, серверов, а также что их использование (само по себе) не подразумевает обязательного наличия «второго сервера» в любой ситуации. Кроме того, как встречается в настоящем описании в другом контексте, ссылка на «первый» элемент и «второй» элемент не исключает того, что эти два элемента в действительности могут быть одним и тем же элементом. Таким образом, например, в некоторых случаях «первый» сервер и «второй» сервер могут представлять собой одно и то же программное и/или аппаратное средство, а в других случаях - различные программные и/или аппаратные средства.

[33] В контексте настоящего описания, если специально не указано другое, термин «база данных» означает любой структурированный набор данных, независимо от его конкретной структуры, программного обеспечения для управления базой данных или компьютерных аппаратных средств для хранения этих данных, их применения или обеспечения их использования иным способом. База данных может располагаться в тех же аппаратных средствах, где реализован процесс, обеспечивающий хранение или использование информации, хранящейся в базе данных, либо база данных может располагаться в отдельных аппаратных средствах, таких как специализированный сервер или множество серверов.

Краткое описание чертежей

[34] Дальнейшее описание приведено для лучшего понимания настоящей технологии, а также других аспектов и их признаков, и должно использоваться совместно с приложенными чертежами.

[35] На фиг. 1 представлена схема системы, реализованной согласно не имеющим ограничительного характера вариантам осуществления настоящей технологии.

[36] На фиг. 2 представлена схема истории навигации, иллюстрирующая взаимоотношения при партнерском маркетинге.

[37] На фиг. 3 представлена схема истории навигации с куки-стаффингом.

[38] На фиг. 4 представлена схема процесса для обнаружения куки-стаффинга.

[39] На фиг. 5 представлена блок-схема способа обнаружения куки-стаффинга.

Осуществление изобретения

[40] На фиг. 1 представлена схема системы 100, пригодной для реализации вариантов осуществления настоящей технологии, не имеющих ограничительного характера. Очевидно, что система 100 приведена лишь для демонстрации варианта реализации настоящей технологии. Таким образом, дальнейшее описание системы представляет собой описание примеров, иллюстрирующих настоящую технологию. Это описание не предназначено для определения объема или границ настоящей технологии. В некоторых случаях приводятся полезные примеры модификаций системы 100. Они способствуют пониманию, но также не определяют объем или границы настоящей технологии. Эти модификации не составляют исчерпывающего перечня. Как должно быть понятно специалисту в данной области, вероятно, возможны и другие модификации. Кроме того, если в некоторых случаях модификации не описаны (т.е. примеры модификаций отсутствуют), это не означает, что они невозможны и/или что описание содержит единственно возможный вариант реализации того или иного элемента настоящей технологии. Специалисту в данной области должно быть понятно, что это не так. Кроме того, следует понимать, что система 100 в некоторых случаях может представлять собой упрощенную реализацию настоящей технологии, и что такие варианты представлены для того, чтобы способствовать лучшему ее пониманию. Специалистам в данной области должно быть понятно, что различные варианты осуществления настоящей технологии могут быть значительно сложнее.

[41] Представленные в данном описании примеры и условный язык предназначены для обеспечения лучшего понимания принципов настоящей технологии, а не для ограничения ее объема до таких специально приведенных примеров и условий. Очевидно, что специалисты в данной области техники способны разработать различные способы и устройства, которые явно не описаны и не показаны, но реализуют принципы настоящей технологии в пределах ее существа и объема. Кроме того, чтобы способствовать лучшему пониманию, последующее описание может содержать упрощенные варианты реализации настоящей технологии. Специалисту в данной области должно быть понятно, что различные варианты осуществления данной технологии могут быть значительно сложнее.

[42] Более того, описание принципов, аспектов и вариантов реализации настоящей технологии, а также их конкретные примеры предназначены для охвата их структурных и функциональных эквивалентов, независимо от того, известны они в настоящее время или будут разработаны в будущем. Например, специалистам в данной области техники должно быть очевидно, что любые описанные здесь структурные схемы соответствуют концептуальным представлениям иллюстративных принципиальных схем, реализующих принципы настоящей технологии. Также должно быть очевидно, что любые блок-схемы, схемы процессов, диаграммы изменения состояния, псевдокоды и т.п. соответствуют различным процессам, которые могут быть представлены на машиночитаемом физическом носителе информации и могут выполняться компьютером или процессором, независимо от того, показан такой компьютер или процессор явно или нет.

[43] Функции различных элементов, показанных на рисунках, включая любой функциональный блок, обозначенный как «процессор», могут быть реализованы с использованием специализированных аппаратных средств, а также аппаратных средств, способных выполнять соответствующее программное обеспечение. Если используется процессор, эти функции могут выполняться одним выделенным процессором, одним совместно используемым процессором или множеством отдельных процессоров, некоторые из которых могут использоваться совместно. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии процессор может представлять собой процессор общего назначения, такой как центральный процессор (CPU), или специализированный процессор, такой как графический процессор (GPU). Кроме того, явное использование термина «процессор» или «контроллер» не должно трактоваться как указание исключительно на аппаратные средства, способные выполнять программное обеспечение, и может подразумевать, помимо прочего, аппаратные средства цифрового сигнального процессора (DSP), сетевой процессор, специализированную интегральную схему (ASIC), программируемую вентильную матрицу (FPGA), постоянное запоминающее устройство (ПЗУ) для хранения программного обеспечения, оперативное запоминающее устройство (ОЗУ) и энергонезависимое запоминающее устройство (ЗУ). Также могут подразумеваться другие аппаратные средства, общего назначения и/или заказные.

[44] Далее с учетом вышеизложенных принципов рассмотрены некоторые не имеющие ограничительного характера примеры, иллюстрирующие различные варианты реализации аспектов настоящей технологии.

[45] Система 100 содержит электронное устройство 102. Электронное устройство 102 обычно взаимодействует с пользователем (не показан) и иногда может называться «клиентским устройством». Следует отметить, что связь электронного устройства 102 с пользователем не означает необходимости предлагать или предполагать какой-либо режим работы, например, вход в систему, регистрацию и т.п.

[46] В контексте настоящего описания, если явно не указано другое, термин «электронное устройство» означает любое компьютерное аппаратное средство, способное выполнять программы, подходящие для решения данной задачи. Таким образом, некоторые (не имеющие ограничительного характера) примеры электронных устройств включают в себя персональные компьютеры (настольные, ноутбуки, нетбуки и т.п.), смартфоны и планшеты, а также сетевое оборудование, такое как маршрутизаторы, коммутаторы и шлюзы. Следует отметить, что в данном контексте устройство, функционирующее как электронное устройство, также может функционировать как сервер в отношении других электронных устройств. Использование выражения «электронное устройство» не исключает использования нескольких электронных устройств для приема, отправки, выполнения или инициирования выполнения любой задачи или запроса либо результатов любых задач или запросов либо шагов любого описанного здесь способа.

[47] Электронное устройство 102 содержит энергонезависимое ЗУ 104. Энергонезависимое ЗУ 104 может содержать один или несколько носителей информации и в общем случае обеспечивает пространство для хранения компьютерных команд, исполняемых процессором 106. Например, энергонезависимое ЗУ 104 может быть реализовано как пригодная для чтения компьютером среда, включая ПЗУ, жесткие диски (HDD), твердотельные накопители (SSD) и карты флэш-памяти.

[48] Электронное устройство 102 содержит известные в данной области техники аппаратные средства и/или программное обеспечение и/или встроенное программное обеспечение (либо их сочетание) для выполнения браузерного приложения 108. В общем случае браузерное приложение 108 обеспечивает пользователю (не показан) доступ к одному или нескольким веб-ресурсам. Способ реализации браузерного приложения 108 известен в данной области техники и здесь не описан. Достаточно сказать, что в качестве браузерного приложения 108 может использоваться браузер Google™ Chrome™, браузер Yandex.Browser™ или другой коммерчески доступный или проприетарный браузер.

[49] Независимо от способа реализации, браузерное приложение 108 обычно имеет командный интерфейс 110 и интерфейс 112 просмотра. В общем случае пользователь (не показан) может получать доступ к веб-ресурсу через сеть связи двумя основными способами. Пользователь может получать доступ к конкретному веб-ресурсу непосредственно, введя с клавиатуры адрес веб-ресурса (обычно URL-адрес, такой как www.example.com) в командном интерфейсе 110, либо перейдя по ссылке в сообщении электронной почты или на другом веб-ресурсе (это действие эквивалентно копированию и вставке в командный интерфейс 110 URL-адреса, связанного со ссылкой).

[50] В качестве альтернативы, пользователь в соответствии со своей целью может выполнять поиск интересующего ресурса с использованием поисковой системы (не показана). Последний вариант особенно удобен, когда пользователю известна интересующая его тема, но не известен URL-адрес веб-ресурса. Поисковая система обычно формирует страницу результатов поисковой системы (SERP, Search Engine Result Page), которая содержит ссылки на один или несколько веб-ресурсов, соответствующих запросу пользователя. После перехода по одной или нескольким ссылкам на странице SERP пользователь может открыть требуемый веб-ресурс.

[51] Электронное устройство 102 содержит интерфейс связи (не показан) для двухстороннего соединения с сетью 114 связи по линии 116 связи. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии в качестве сети 114 связи может использоваться сеть Интернет. В других вариантах осуществления настоящей технологии сеть 114 связи может быть реализована иначе, например, в виде любой глобальной сети связи, локальной сети связи, частной сети связи и т.п.

[52] На реализацию линии 116 связи не накладывается каких-либо особых ограничений, она зависит от реализации электронного устройства 102. Лишь в качестве примера, не имеющего ограничительного характера, в тех вариантах осуществления настоящей технологии, где электронное устройство 102 реализовано в виде беспроводного устройства связи (такого как смартфон), линия 116 связи может быть реализована в виде беспроводной линии связи (такой как канал сети связи 3G, канал сети связи 4G, Wireless Fidelity или сокращенно WiFi®, Bluetooth® и т.п.) или проводной линии связи (такой как соединение на основе Ethernet).

[53] Должно быть очевидно, что варианты реализации электронного устройства 102, линии 116 связи и сети 114 связи приведены лишь в качестве иллюстрации. Специалисту в данной области должны быть понятными и другие конкретные детали реализации электронного устройства 102, лини 116 связи и сети 114 связи. Представленные выше примеры никак не ограничивают объем настоящей технологии.

[54] Система 100 также содержит сервер 118, соединенный с сетью 114 связи. Сервер 118 может быть реализован в виде традиционного компьютерного сервера. В примере осуществления настоящей технологии сервер 118 может быть реализован в виде сервера Dell™ PowerEdge™, работающего под управлением операционной системы Microsoft™ Windows Server™. Очевидно, что сервер 118 может быть реализован с использованием любых других подходящих аппаратных средств и/или прикладного программного обеспечения и/или встроенного программного обеспечения либо их сочетания. В представленном не имеющем ограничительного характера варианте осуществления настоящей технологии сервер 118 реализован в виде одного сервера. В других не имеющих ограничительного характера вариантах осуществления настоящей технологии функции сервера 118 могут быть распределены между несколькими серверами.

[55] Реализация сервера 118 хорошо известна. Вкратце, сервер 118 содержит интерфейс связи (не показан), структура и настройки которого позволяют осуществлять связь с различными элементами (такими как электронное устройство 102 и другие устройства, которые могут быть соединены с сетью 114 связи). Подобно электронному устройству 102, сервер 118 содержит память 120 сервера, включая один или несколько носителей информации, и в общем случае обеспечивает пространство для хранения компьютерных программных команд, исполняемых процессором 122 сервера. Например, память 120 сервера может быть реализована в виде машиночитаемого физического носителя информации, включая ПЗУ и/или ОЗУ. Память 120 сервера также может включать в себя одно или несколько устройств длительного хранения, таких как жесткие диски (HDD), твердотельные накопители (SSD) и карты флэш-памяти.

[56] В некоторых вариантах осуществления изобретения сервер 118 может управляться организацией, предоставляющей описанное выше браузерное приложение 108. Например, если браузерное приложение 108 представляет собой браузер Yandex.Browser™, то сервер 118 может управляться компанией Yandex LLC (ул. Льва Толстого, 16, Москва, 119021, Россия). В других вариантах осуществления изобретения сервер 118 может управляться организацией, отличной от той, что предоставляет описанное выше браузерное приложение 108.

[57] В соответствии с настоящей технологией сервер 118 обеспечивает веб-сервис 214 онлайн-продавца (такой как сервис eBay™, сервис Amazon™, сервис Yandex.Market™), доступный с использованием электронного устройства 102 путем ввода с клавиатуры URL-адреса веб-портала или веб-страницы, содержащей сервис электронной коммерции, в командном интерфейсе 110 браузерного приложения 108 (или путем перехода по соответствующей гиперссылке).

[58] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии дополнительно предусмотрен веб-сервер 126, соединенный с сетью 114 связи. На способ реализации веб-сервера 126 не накладывается каких-либо ограничений. Например, он может быть реализован подобно серверу 118.

[59] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии веб-сервер 126 может содержать веб-страницу 212. Очевидно, что несмотря на то, что показана лишь одна страница, содержащаяся на веб-сервере 126, объем изобретения этим не ограничивается. Предполагается, что веб-сервер может содержать несколько веб-страниц.

[60] На реализацию веб-страницы 212 не накладывается каких-либо ограничений. Например, веб-страница 212 может представлять собой персональный блог или персональную веб-страницу, связанную с объектом 128, который может соответствовать физическому лицу или коммерческой организации.

[61] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии объект 128 находится в партнерских отношениях с веб-сервисом 214 онлайн-продавца. Иными словами, веб-сервис 214 онлайн-продавца выплачивает вознаграждение объекту 128 за каждого посетителя или клиента, привлеченного благодаря маркетинговой деятельности объекта 128.

[62] В общем случае, когда объект 128 устанавливает партнерские отношения с любым сервисом электронной коммерции, таким как веб-сервис 214 онлайн-продавца, ему присваивается уникальный идентификатор партнера (например, «548425»). Затем объект 128 формирует (или получает) партнерскую ссылку 310, содержащую URL-адрес веб-сервиса 214 онлайн-продавца и уникальный идентификатор партнера (например, www.abcde.com/548425).

[63] Затем объект 128 размещает партнерскую ссылку 130 на веб-странице 212. На способ размещения партнерской ссылки 130 на веб-странице 212 не накладывается каких-либо ограничений. Например, она может быть реализована в виде гиперссылки, рекламного объявления, баннера и т.п.

[64] На фиг. 2 представлена схема истории навигации, иллюстрирующая взаимоотношения при партнерском маркетинге.

[65] Можно предположить, что на фиг. 2 представлена история 200 навигации, связанная с браузерным приложением 108. История 200 навигации содержит веб-страницы, к которым браузерное приложение 108 осуществляло доступ до обращения к веб-сервису 214 онлайн-продавца.

[66] История 200 навигации указывает на то, что браузерное приложение 108 обращалось к шести веб-страницам до обращения к веб-сервису 214 онлайн-продавца. Доступ к шести веб-страницам выполнялся в следующей последовательности (показано стрелками): первая веб-страница 202, вторая веб-страница 204, третья веб-страница 206, четвертая веб-страница 208, пятая веб-страница 210 и веб-страница 212.

[67] В общем случае, когда пользователь, связанный с браузерным приложением 108, переходит по партнерской ссылке 130 (см. фиг. 1), браузерное приложение 108 переходит к веб-сервису 214 онлайн-продавца, в результате чего сервер 118 формирует и назначает куки-файл 216 для электронного устройства 102. Куки-файл 216 содержит указание на уникальный идентификатор партнера. В случае завершения пользователем транзакции в веб-сервисе 214 онлайн-продавца в течение заранее заданного интервала времени после назначения куки-файла 216 (например, в течение недели, двух недель, месяца и т.п.) сервер 118 получает куки-файл 216 от браузерного приложения 108 и инициирует выплату согласованного вознаграждения направившему пользователя объекту.

[68] Несмотря на то, что согласно представленному выше описанию вознаграждение выплачивается после завершения транзакции в веб-сервисе 214 онлайн-продавца, объем изобретения этим не ограничивается.

[69] Например, веб-сервис 214 онлайн-продавца может выплачивать вознаграждение объекту 128 в ответ на инициирование объектом 128 посещения браузерным приложением 108 веб-сервиса 214 онлайн-продавца (т.е. до выполнения транзакции с использованием веб-сервиса 214 онлайн-продавца).

[70] В другом примере веб-сервис 214 онлайн-продавца может выплачивать вознаграждение объекту 128 в ответ на инициирование объектом 128 посещения браузерным приложением 108 веб-сервиса 214 онлайн-продавца и перехода в нем по ссылке конкретного вида. Предполагается, что веб-сервис 214 онлайн-продавца представляет собой платформу, где поставщики (такие как физические лица или коммерческие организации) могут рекламировать продукты или услуги. Заинтересованные пользователи, выбравшие рекламируемый продукт или услугу, перенаправляются на веб-сайт поставщика, где осуществляется фактическая транзакция. Соответственно, когда браузерное приложение 108 перенаправляется на веб-сайт поставщика, веб-сервис 214 онлайн-продавца может выплачивать вознаграждение объекту 128.

[71] На фиг. 3 представлена схема истории навигации с куки-стаффингом.

[72] Как показано на фиг. 3, браузерное приложение 108 посетило в хронологическом порядке первую веб-страницу 202, вторую веб-страницу 204, веб-страницу 212, третью веб-страницу 206, четвертую веб-страницу 208, пятую веб-страницу 210 и веб-сервис 214 онлайн-продавца. Иными словами, в отличие от истории 200 навигации, браузерное приложение 108 не обращалось к веб-сервису 214 онлайн-продавца сразу после веб-страницы 212.

[73] Тем не менее, как показано, браузерное приложение получило куки-файл 216 после обращения к веб-странице 212 без обращения к веб-сервису 214 онлайн-продавца. Иными словами, веб-страница 212 без обращения к веб-сервису 214 онлайн-продавца инициировала сохранение куки-файла 216 в браузерном приложении 108 (это называется «куки-стаффинг»).

[74] На способ реализации куки-стаффинга веб-страницей 212 не накладывается каких-либо ограничений. Например, веб-страница 212 может содержать HTML-тег <img>, в котором исходный код изображения заменен на партнерскую ссылку 130. В другом примере для партнерской ссылки www.abcde.com/548425 может использоваться тег изображения <img src = “www.abcde.com/548425”>.

[75] При загрузке веб-страницы 212 браузерное приложение 108 переходит по партнерской ссылке 130, но вместо загрузки изображения оно получает от сервера 118 куки-файл 216 (см. фиг. 2). Иными словами, браузерное приложение 108 сохраняет куки-файл 216, несмотря на то, что оно не обращалось к веб-сервису 214 онлайн-продавца. В другом примере партнерская ссылка 130 может содержаться не в HTML-теге <img>, а в HTML-теге <iframe>.

[76] Очевидно, что возможны и другие средства куки-стаффинга. Например, предполагается, что веб-страница 212 может содержать партнерскую ссылку 130, загруженную в баннер, инициирующий сохранение куки-файла 213 в браузерном приложении 108 при загрузке веб-страницы 212.

[77] В еще одном примере куки-стаффинг может осуществляться с использованием программного обеспечения Adobe Flash™, когда при загрузке веб-страницы выполняется принудительное посещение пользователем веб-сервиса 214 онлайн-продавца.

[78] Например, если браузерное приложение 108 через некоторое время обращается к веб-сервису 214 онлайн-продавца и выполняет транзакцию, то сервер 118 (см. фиг. 1) получает куки-файл 216 и выплачивает вознаграждение партнеру, несмотря на то, что веб-страница 212 фактически не направляла браузерное приложение 108 на веб-сервис 214 онлайн-продавца.

[79] Поскольку веб-страница 212 фактически не побуждала браузерное приложение 108 посещать веб-сервис 214 онлайн-продавца, этот способ считается незаконным во многих партнерских программах.

[80] Сервер 118 способен выполнять приложение 124 аутентификации (см. фиг. 1). В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии приложение 124 аутентификации способно определять, подвергалось ли куки-стаффингу браузерное приложение 108, которое обращается к веб-сервису 214 онлайн-продавца.

[81] Несмотря на то, что система 100 описана со ссылками на различные элементы аппаратных средств (такие как сервер 118, электронное устройство 102, веб-сервер 126), изображенные по отдельности, должно быть понятно, что это сделано для лучшего понимания. Предполагается, что различные функции, выполняемые этими элементами, могут выполняться одним элементом или могут распределяться между различными элементами.

Приложение 124 аутентификации

[82] На фиг. 4 представлена схема процесса для обнаружения куки-стаффинга. Процесс для определения куки-стаффинга выполняется приложением 124 аутентификации (см. фиг. 1), реализованным согласно не имеющему ограничительного характера варианту осуществления настоящей технологии. Приложение 124 аутентификации выполняет процедуру 402 приема и процедуру 404 определения (или иным способом осуществляет доступ к ним).

[83] В контексте настоящего описания термин «процедура» подразумевает подмножество компьютерных программных команд приложения 124 аутентификации, выполняемых процессором 122 сервера (процедура 402 приема, процедура 404 определения). Должно быть однозначно понятно, что процедура 402 приема и процедура 404 определения показаны по отдельности для удобства объяснения процесса, выполняемого приложением 124 аутентификации. Предполагается, что процедура 402 приема и/или процедура 304 определения могут быть реализованы в виде одной или нескольких комбинированных процедур.

[84] Для лучшего понимания настоящей технологии ниже описаны функции и сохраняемые данные процедуры 402 приема и процедуры 404 определения.

Процедура 402 приема

[85] Процедура 402 приема способна получать пакет 408 данных от электронного устройства 102. Можно предположить, что пакет 408 данных содержит историю 300 навигации (см. фиг. 3).

[86] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии пакет 408 данных отправляется процедуре 402 приема в ответ на заранее заданное действие. Например, заранее заданное действие может соответствовать (а) обращению электронного устройства 102 к веб-сервису 214 онлайн-продавца, (б) выполнению электронным устройством 102 транзакции в веб-сервисе 214 онлайн-продавца и (в) направлению электронного устройства 102 с веб-сервиса 214 онлайн-продавца на другую коммерческую веб-страницу.

[87] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии история 300 навигации может не приниматься от электронного устройства 102 в пакете 408 данных, а формироваться с использованием приложения веб-аналитики (не показано), такого как приложение Yandex.Metrica™. На способ получения истории 300 навигации с использованием приложения веб-аналитики не накладывается каких-либо ограничений. Например, может использоваться технология, описанная в патентной заявке этого же заявителя US15893824 «Method and system for detection potential spam activity during account registration» (поданной 12 февраля 2018 г.), которая полностью включена в настоящий документ посредством ссылки. Очевидно, что для получения истории 300 навигации могут использоваться и другие способы.

[88] Таким образом, можно сказать, что в различных не имеющих ограничительного характера вариантах осуществления настоящей технологии история 300 навигации принимается от электронного устройства 102 (в пакете 408 данных) или от приложения веб-аналитики (не показано) в случае выполнения электронным устройством 102 некоторого условия.

[89] Например, это условие может соответствовать наличию у электронного устройства 102, обращающегося к веб-сервису 214 онлайн-продавца, куки-файла, связанного с веб-сервисом 214 онлайн-продавца. Иными словами, если электронное устройство 102 при обращении к веб-сервису 214 онлайн-продавца не имеет куки-файла, то электронное устройство 102 не подвергалось воздействию куки-стаффинга и, следовательно, история 300 навигации, связанная с электронным устройством 102, не извлекается процедурой 402 приема.

[90] Далее в ответ на получение пакета 408 данных процедура 402 приема способна выполнять следующие функции.

[91] Сначала процедура 402 приема способна анализировать историю 300 навигации и выбирать одну или несколько подозрительных веб-страниц на основе анализа истории 300 навигации. Иными словами, процедура 402 приема может выбирать одну или несколько веб-страниц из истории 300 навигации, способные инициировать куки-стаффинг.

[92] На способ определения одной или нескольких подозрительных веб-страниц не накладывается каких-либо ограничений. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии процедура 402 приема способна применять одно или несколько правил в отношении истории 300 навигации и/или каждой веб-страницы из истории 300 навигации (т.е. в отношении первой веб-страницы 202, второй веб-страницы 204, третьей веб-страницы 206, четвертой веб-страницы 208, пятой веб-страницы 210 и веб-страницы 212).

[93] Например, процедура 402 способна удалять популярные веб-страницы. В частности, процедура 402 приема может иметь доступ к списку популярных веб-сайтов, такому как Alexa Rank™, и может быть способной удалять из истории 300 навигации веб-страницы, соответствующие 50 наиболее популярным веб-сайтам. Разумеется, здесь предполагается, что может быть использован и другой порог.

[94] В другом примере процедура 402 приема способна удалять веб-страницы, повторяющиеся в истории 300 навигации. Если для иллюстрации предположить, что первая веб-страница 202 совпадает с четвертой веб-страницей 208 (т.е. они имеют один и тот же URL-адрес), то процедура 402 приема может удалить из истории 300 навигации первую веб-страницу 202 или четвертую веб-страницу 208.

[95] В еще одном примере предполагается, что процедура 402 приема вместо удаления веб-страниц, повторяющихся в истории 300 навигации, способна удалять веб-страницы с одинаковым доменным именем.

[96] Для пояснения можно предположить, что из истории 300 навигации удалены первая веб-страница 202, третья веб-страница 206, четвертая веб-страница 208 и пятая веб-страница 210.

[97] Затем процедура 402 приема способна отправлять пакет 410 данных процедуре 404 определения. Пакет 410 данных содержит веб-страницы, которые не были удалены из истории 300 навигации, или, иными словами, которые были определены как подозрительные (т.е. вторую веб-страницу 204 и веб-страницу 212, которые также могут рассматриваться как возможные источники куки-стаффинга).

Процедура 404 определения

[98] В ответ на получение пакета 410 данных процедура 404 определения способна выполнять следующие функции.

[99] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии процедура 404 определения может выполнять автоматическое браузерное приложение 406. Автоматическое браузерное приложение 406 соответствует программному обеспечению, способному имитировать управляемое человеком браузерное приложение (такое как браузерное приложение 108) и обращаться к каждой веб-странице из пакета 410 данных (т.е. ко второй веб-странице 204 и к веб-странице 212). Разумеется, также предполагается, что автоматическое браузерное приложение 406 может представлять собой традиционное браузерное приложение, управляемое пользователем-человеком.

[100] Процедура 404 определения способна инициировать обращение автоматического браузерного приложения 406 ко второй веб-странице 204 и к веб-странице 212.

[101] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии автоматическое браузерное приложение 406 для каждого обращения ко второй веб-странице 204 и к веб-странице 212 способно сохранять в соответствующем журнале один или несколько параметров вместе со второй веб-страницей 204 и с веб-страницей 212.

[102] Например, автоматическое браузерное приложение 406 может сохранить один или несколько параметров для второй веб-страницы 204 в первом журнале 412 и один или несколько параметров для веб-страницы 212 во втором журнале 414.

[103] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии один или несколько параметров, сохраненных в первом журнале 412, могут содержать параметр, указывающий на наличие одного или нескольких куки-файлов, назначенных для автоматического браузерного приложения 406 после посещения второй веб-страницы 204, и/или на исходный HTML-код второй веб-страницы 204. Аналогично, один или несколько параметров, сохраненных во втором журнале 414, могут содержать параметр, указывающий на наличие одного или нескольких куки-файлов, назначенных для автоматического браузерного приложения 406 после посещения веб-страницы 212, и/или на исходный HTML-код веб-страницы 212.

[104] Далее процедура 404 определения способна определять, являются ли один или несколько куки-файлов, добавленных в первый журнал 212 и во второй журнал 214, куки-файлами, связанными с веб-сервисом 214 онлайн-продавца. Иными словами, процедура 404 определения способна определять, получило ли автоматическое браузерное приложение 406 куки-файл, связанный с веб-сервисом 214 онлайн-продавца, просто в результате обращения ко второй веб-странице 204 или к веб-странице 212. Предполагается, что поскольку автоматическое браузерное приложение 406 не обращалось к веб-сервису 214 онлайн-продавца, то куки-файл, связанный с веб-сервисом 214 онлайн-продавца и сохраненный автоматическим браузерным приложением 406, указывает на то, что имел место куки-стаффинг.

[105] На способ такого определения не накладывается каких-либо ограничений. Например, сервер 118 (см. фиг. 1) может быть связан с базой данных куки-файлов (не показана), в которой хранится указание на куки-файлы, созданные и назначенные сервером 118 для веб-сервиса 214 онлайн-продавца, вместе с указанием на соответствующий уникальный идентификатор партнера (если он имеется). Соответственно, процедура 404 определения способна определять, был ли один из куки-файлов создан сервером 118.

[106] Разумеется, также предполагается, что процедура 404 определения способна анализировать один или несколько куки-файлов для определения наличия какого-либо уникального идентификатора партнера (на основе базы данных куки-файлов) в одном или нескольких куки-файлах.

[107] Если в первом журнале 412 отсутствуют куки-файлы, связанные с веб-сервисом 214 онлайн-продавца, процедура 404 определения может определять, что вторая веб-страница 204 не связана с куки-стаффингом.

[108] С другой стороны, можно предположить, что куки-файл 416, хранящийся во втором журнале 414, связан с веб-сервисом 214 онлайн-продавца. Соответственно, процедура 404 определения может определять, что веб-страница 212 связана с куки-стаффингом, поскольку куки-файл 416 был получен без посещения веб-сервиса 214 онлайн-продавца.

[109] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии процедура 404 определения способна определять уникальный идентификатор партнера, связанный с куки-файлом 416, путем обращения к базе данных куки-файлов и выполнять ограничивающее действие в отношении объекта, связанного с определенным уникальным идентификатором партнера.

[110] Например, можно предположить, что определенный уникальный идентификатор партнера связан с объектом 128 (см. фиг. 1). Процедура 404 определения способна выполнять одно из следующих ограничивающих действий: (а) временное прекращение партнерских отношений с объектом 128 или (б) исключение объекта 128 из числа партнеров веб-сервиса 214 онлайн-продавца.

[111] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии помимо определения наличия куки-файла 416, процедура 404 определения дополнительно способна определять наличие заранее заданного образца кода, указывающего на куки-стаффинг, в исходном HTML-коде веб-страницы 212. В частности, процедура 404 определения может определять в части исходного HTML-кода веб-страницы 212 триггер назначения куки-файла, инициирующий назначение куки-файла 416 для автоматического браузерного приложения 406.

[112] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии триггер назначения куки-файла содержит доменное имя, связанное с веб-сервисом 214 онлайн-продавца, и триггер, инициирующий формирование сервером 118 куки-файла 416. Например, с учетом того, что объект 128 связан с уникальным идентификатором партнера, триггер может соответствовать уникальному идентификатору партнера.

[113] Как кратко описано выше, триггер назначения куки-файла может быть включен в состав части исходного HTML-кода, соответствующей тегу <iframe> и/или тегу <img>.

[114] Соответственно, при анализе этих HTML-тегов из исходного HTML-кода процедура 404 определения способна проверять наличие в них триггера назначения куки-файла. Если исходный HTML-код содержит триггер назначения куки-файла, процедура 404 способна извлекать уникальный идентификатор партнера из триггера назначения куки-файла и выполнять ограничивающее действие в отношении объекта, связанного с извлеченным уникальным идентификатором партнера.

[115] Описанные выше архитектура и примеры позволяют выполнять компьютерный способ определения мошеннического доступа к веб-ресурсу. На фиг. 5 представлена блок-схема способа 500, выполняемого согласно вариантам осуществления настоящей технологии, не имеющим ограничительного характера. Способ 500 может выполняться сервером 118.

[116] Шаг 502: получение сервером указания на множество веб-ресурсов, каждый из которых доступен через сеть связи по соответствующему сетевому адресу.

[117] Способ 500 начинается на шаге 502, на котором процедура 402 приема получает пакет 408 данных, содержащий историю 300 навигации электронного устройства 102.

[118] История 300 навигации указывает на то, что браузерное приложение 108 посетило в хронологическом порядке первую веб-страницу 202, вторую веб-страницу 204, веб-страницу 212, третью веб-страницу 206, четвертую веб-страницу 208, пятую веб-страницу 210 и веб-сервис 214 онлайн-продавца. Иными словами, в отличие от истории 200 навигации, браузерное приложение 108 не обращалось к веб-сервису 214 онлайн-продавца сразу после веб-страницы 212.

[119] Шаг 504: анализ сервером множества веб-ресурсов с целью определения подмножества веб-ресурсов, потенциально связанных с вредоносными действиями.

[120] На шаге 504 процедура 402 приема способна анализировать историю 300 навигации и выбирать одну или несколько подозрительных веб-страниц. Иными словами, процедура 402 приема может выбирать одну или несколько веб-страниц из истории 300 навигации, способные инициировать куки-стаффинг.

[121] На способ определения одной или нескольких подозрительных веб-страниц не накладывается каких-либо ограничений. В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии процедура 402 приема способна применять одно или несколько правил в отношении истории 300 навигации и/или каждой веб-страницы из истории 300 навигации (т.е. в отношении первой веб-страницы 202, второй веб-страницы 204, третьей веб-страницы 206, четвертой веб-страницы 208, пятой веб-страницы 210 и веб-страницы 212).

[122] Для пояснения можно предположить, что из истории 300 навигации удаляются первая веб-страница 202, третья веб-страница 206, четвертая веб-страница 208 и пятая веб-страница 210.

[123] Затем процедура 402 приема способна отправлять пакет 410 данных процедуре 404 определения. Пакет 410 данных содержит веб-страницы, которые не были удалены из истории 300 навигации (т.е. вторую веб-страницу 204 и веб-страницу 212).

[124] Шаг 506: выполнение сервером автоматического браузерного приложения, способного осуществлять доступ к каждому веб-ресурсу из подмножества веб-ресурсов.

[125] На шаге 506 в ответ на получение пакета 410 данных процедура 404 определения способна выполнять автоматическое браузерное приложение 406. Автоматическое браузерное приложение 406 соответствует программному обеспечению, способному имитировать управляемое человеком браузерное приложение (такое как браузерное приложение 108) и обращаться к каждой веб-странице из пакета 410 данных (т.е. ко второй веб-странице 204 и к веб-странице 212). Разумеется, также предполагается, что автоматическое браузерное приложение 406 может представлять собой традиционное браузерное приложение, управляемое пользователем-человеком.

[126] Процедура 404 определения способна инициировать обращение автоматического браузерного приложения 406 ко второй веб-странице 204 и к веб-странице 212.

[1] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии автоматическое браузерное приложение 406 для каждого обращения ко второй веб-странице 204 и к веб-странице 212 способно сохранять в соответствующем журнале один или несколько параметров вместе со второй веб-страницей 204 и с веб-страницей 212.

[128] Например, автоматическое браузерное приложение 406 способно сохранять один или несколько параметров для второй веб-страницы 204 в первом журнале 412 и один или несколько параметров для веб-страницы 212 во втором журнале 414.

[129] Шаг 508: анализ сервером журнала, который связан с автоматическим браузерным приложением, осуществляющим доступ к каждому веб-ресурсу, и содержит указание на наличие куки-файла, не связанного с этими веб-ресурсами.

[130] На шаге 508 процедура 404 определения способна анализировать первый журнал 412 и второй журнал 414.

[131] В некоторых не имеющих ограничительного характера вариантах осуществления настоящей технологии одно или несколько действий, сохраненных в первом журнале 412, могут содержать указание на наличие одного или нескольких куки-файлов, назначенных для автоматического браузерного приложения 406 после посещения второй веб-страницы 204, и/или на исходный HTML-код второй веб-страницы 204. Аналогично, одно или несколько действий, сохраненных во втором журнале 414, могут содержать указание на наличие одного или нескольких куки-файлов, назначенных для автоматического браузерного приложения 406 после посещения веб-страницы 212, и/или на исходный HTML-код веб-страницы 212.

[132] Шаг 510: определение для веб-ресурса, включенного в состав подмножества веб-ресурсов, наличия вредоносных действий на основе журнала.

[133] На шаге 510 процедура 404 определения способна определять, являются ли один или несколько куки-файлов, добавленных в первый журнал 212 и во второй журнал 214, куки-файлами, связанными с веб-сервисом 214 онлайн-продавца. Иными словами, процедура 404 определения способна определять, получило ли автоматическое браузерное приложение 406 куки-файл, связанный с веб-сервисом 214 онлайн-продавца, просто в результате обращения ко второй веб-странице 204 или к веб-странице 212.

[134] Например, можно предположить, что в первом журнале 412 отсутствуют куки-файлы, связанные с веб-сервисом 214 онлайн-продавца, поэтому процедура 404 определения может определить, что вторая веб-страница 204 не связана с куки-стаффингом.

[135] С другой стороны, можно предположить, что куки-файл 416, хранящийся во втором журнале 414, связан с веб-сервисом 214 онлайн-продавца. Соответственно, процедура 404 определения может определить, что веб-страница 212 связана с куки-стаффингом, поскольку куки-файл 416 был получен без посещения веб-сервиса 214 онлайн-продавца.

[136] Для специалиста в данной области могут быть очевидными возможные изменения и усовершенствования описанных выше вариантов осуществления настоящей технологии. Предшествующее описание приведено в качестве примера, а не для ограничения объема изобретения. Объем охраны настоящей технологии определяется исключительно объемом приложенной формулы изобретения.

[137] Несмотря на то, что описанные выше варианты реализации приведены со ссылкой на конкретные шаги, выполняемые в определенном порядке, должно быть понятно, что эти шаги могут быть объединены, разделены или что их порядок может быть изменен без выхода за границы настоящей технологии. Соответственно, порядок и группировка шагов не носят ограничительного характера для настоящей технологии.

1. Компьютерный способ определения вредоносных действий определенного вида, выполняемый сервером и включающий в себя:

- получение сервером указания на множество веб-ресурсов, каждый из которых доступен через сеть связи по соответствующему сетевому адресу;

- анализ сервером множества веб-ресурсов с целью определения подмножества веб-ресурсов, потенциально связанных с вредоносными действиями;

- выполнение сервером автоматического браузерного приложения, способного осуществлять доступ к каждому веб-ресурсу из подмножества веб-ресурсов;

- анализ сервером журнала, который связан с автоматическим браузерным приложением, осуществляющим доступ к каждому веб-ресурсу, и содержит указание на наличие куки-файла, не связанного с этими веб-ресурсами; и

- определение для веб-ресурса, включенного в состав подмножества веб-ресурсов, наличия вредоносных действий на основе журнала.

2. Способ по п. 1, отличающийся тем, что сервер дополнительно связан с веб-сервисом, при этом определенный вид действий представляет собой куки-стаффинг куки-файла, связанного с веб-сервисом.

3. Способ по п. 2, отличающийся тем, что сервер дополнительно связан с электронным устройством, а получение множества веб-ресурсов включает в себя получение от электронного устройства истории навигации, содержащей указание на множество веб-ресурсов, к каждому из которых ранее обращалось электронное устройство.

4. Способ по п. 3, отличающийся тем, что сервер дополнительно связан с веб-сервисом, а получение истории навигации выполняется в случае выполнения электронным устройством заранее заданного действия, связанного с этим веб-сервисом.

5. Способ по п. 4, отличающийся тем, что заранее заданное действие представляет собой обращение к веб-сервису, выполнение транзакции в веб-сервисе или завершение работы с веб-сервисом.

6. Способ по п. 3, отличающийся тем, что анализ множества веб-ресурсов выполняется в случае определения наличия в памяти, связанной с электронным устройством, куки-файла, полученного до обращения к веб-сервису.

7. Способ по п. 1, отличающийся тем, что анализ множества веб-ресурсов включает в себя удаление повторяющихся веб-ресурсов и/или удаление веб-ресурсов, количество просмотров страниц которых превышает заранее заданный порог.

8. Способ по п. 2, отличающийся тем, что автоматическое браузерное приложение не обращалось к веб-сервису, а куки-файл был назначен в результате посещения веб-ресурса из подмножества веб-ресурсов.

9. Способ по п. 8, отличающийся тем, что в случае наличия куки-файла в журнале автоматического браузерного приложения способ дополнительно включает в себя получение исходного HTML-кода, связанного с веб-сервисом.

10. Способ по п. 9, отличающийся тем, что определение наличия вредоносных действий включает в себя анализ исходного HTML-кода для определения наличия заранее заданного образца кода, указывающего на вредоносные действия.

11. Способ по п. 10, отличающийся тем, что определение наличия заранее заданного образца кода включает в себя определение наличия в части исходного HTML-кода триггера назначения куки-файла.

12. Способ по п. 11, отличающийся тем, что триггер назначения куки-файла соответствует универсальному указателю ресурсов, содержащему доменное имя веб-сервиса и идентификатор пользователя, который связан с партнером, находящимся в партнерских отношениях с веб-сервисом, и инициирует сохранение куки-файла в журнале.

13. Способ по п. 12, отличающийся тем, что часть исходного HTML-кода соответствует HTML-тегу «image» в исходном HTML-коде.

14. Способ по п. 12, отличающийся тем, что в случае определения наличия вредоносных действий способ дополнительно включает в себя выполнение сервером ограничивающего действия в отношении партнера.

15. Способ по п. 14, отличающийся тем, что ограничивающее действие представляет собой временное прекращение партнерских отношений с партнером или полное прекращение партнерских отношений с партнером.

16. Способ по п. 2, отличающийся тем, что веб-сервис представляет собой веб-ресурс площадки для онлайн-торговли.

17. Способ по п. 9, отличающийся тем, что исходный HTML-код извлекается из журнала.

18. Сервер для определения вредоносных действий определенного вида, содержащий процессор, выполненный с возможностью:

- получения указания на множество веб-ресурсов, каждый из которых доступен через сеть связи по соответствующему сетевому адресу;

- анализа множества веб-ресурсов с целью определения подмножества веб-ресурсов, потенциально связанных с вредоносными действиями;

- выполнения автоматического браузерного приложения, выполненного с возможностью обращения к каждому веб-ресурсу из подмножества веб-ресурсов;

- анализа журнала, связанного с автоматическим браузерным приложением, осуществляющим доступ к каждому веб-ресурсу, и содержащего указание на наличие куки-файла, не связанного с этими веб-ресурсами; и

- определения для веб-ресурса, включенного в состав подмножества веб-ресурсов, наличия вредоносных действий на основе журнала.

19. Сервер по п. 18, отличающийся тем, что он дополнительно связан с веб-сервисом, при этом определенный вид действий представляет собой куки-стаффинг куки-файла, связанного с веб-сервисом.

20. Сервер по п. 19, отличающийся тем, что он дополнительно связан с электронным устройством, а для получения множества веб-ресурсов процессор выполнен с возможностью получения от электронного устройства истории навигации, содержащей указание на множество веб-ресурсов, к каждому из которых ранее обращалось электронное устройство.