检测和控制欺诈性登录行为的用户认证系统和方法转让专利
申请号 : CN200710186611.X
文献号 : CN101207487B
文献日 : 2010-11-10
发明人 : M·沃斯芒德
申请人 : 国际商业机器公司
摘要 :
提供了适用于检测和控制潜在欺诈性登录行为的用户认证系统。模式记录模块配置用于记录登录尝试并检测登录尝试结果的模式。分析模块可操作地连接到模式记录模块并配置用于确定是否所述模式具有至少一个异常模式范围的指示。动作模块可操作地连接到分析模块并配置用于执行至少一个动作,包括:如果所述模式具有预定的异常模式范围的指示,为后续模式调整所述异常模式范围或每个异常模式范围的指示的阈值。
权利要求 :
1.一种适用于检测和控制潜在欺诈性登录行为的用户认证系统,包括:模式记录模块,其配置用于记录登录尝试并检测登录尝试结果的模式;
分析模块,其可操作地连接到所述模式记录模块并配置用于确定所述模式的特征,将校准因子应用到该特征而将所述特征归一化,并且确定所述归一化特征是否为所述模式的至少一个异常模式范围的指示;以及动作模块,其可操作地连接到所述分析模块并配置用于执行至少一个动作,包括:如果所述归一化特征是异常模式范围的指示,记录所述模式,为后续模式调整所述异常模式范围或每个异常模式范围的指示的阈值。
2.根据权利要求1所述的用户认证系统,其中所述动作模块配置用于在所述模式具有异常模式范围的指示的情况下执行至少以下动作之一:记录异常模式;
挂起密码提示功能的操作;以及
取消登录访问。
3.根据权利要求2所述的用户认证系统,其中所述模式记录模块配置用于:对预定次数的登录尝试的每次登录尝试的至少一个结果求和;
计算进行所述预定次数的登录尝试所用时间的长度;
根据所述时间的长度产生校准因子;并且
通过将所述校准因子应用于每组多次登录尝试的所述至少一个结果的和,计算对应于所述至少一个结果的概率的概率值。
4.根据权利要求3所述的用户认证系统,其中所述分析模块配置用于确定是否所述概率值由于在概率值的第一范围内而成为第一异常模式范围的指示,或者由于在概率值的第二范围内而成为第二异常模式范围的指示,或者由于在概率值的第三范围内而成为第三异常模式范围的指示。
5.根据权利要求4所述的用户认证系统,其中所述动作模块配置用于:如果所述概率值是所述第一异常模式范围的所述指示,记录所述异常模式;
如果所述概率值是所述第二异常模式范围的所述指示,挂起所述密码提示功能的操作;
如果所述概率值是所述第三异常模式范围的所述指示,取消访问;并且如果小于预定数量的连续的概率值是所述第一异常模式范围的指示,分别调整所述第一、第二和第三异常模式范围的所述指示的第一、第二和第三阈值。
6.一种登录时认证计算机系统的用户或用户群组的方法,所述方法包括以下步骤:记录登录尝试;
检测登录尝试的结果的模式;
分析所述模式以确定所述模式的特征,将校准因子应用到该特征而将所述特征归一化,并且确定所述归一化特征是否为所述模式的至少一个异常模式范围的指示;以及执行至少一个动作,包括:如果所述归一化特征为异常模式范围的所述指示,记录所述模式,为后续模式调整所述异常模式范围或每个异常模式范围的指示的阈值。
7.根据权利要求6所述的方法,其中所述执行至少一个动作的步骤包括如果所述模式具有异常模式范围的指示,则执行至少以下动作之记录异常模式;
挂起密码提示功能的操作;以及
取消登录访问。
8.根据权利要求7所述的方法,其中检测所述模式的所述步骤包括以下步骤:对预定次数的登录尝试的每次登录尝试的至少一个结果求和;
计算进行所述预定次数的登录尝试所用时间的长度;
根据所述时间的长度产生校准因子;并且
通过将所述校准因子应用于每组多次登录尝试的所述至少一个结果的和,计算对应于所述至少一个结果的概率的概率值。
9.根据权利要求8所述的方法,其中分析所述模式的步骤包括确定是否所述概率值由于在概率值的第一范围内而成为第一异常模式范围的指示,或者由于在概率值的第二范围内而成为第二异常模式范围的指示,或者由于在概率值的第三范围内而成为第三异常模式范围的指示。
10.根据权利要求9所述的方法,其中所述执行至少一个动作的步骤包括以下步骤:如果所述概率值是所述第一异常模式范围的所述指示,记录所述异常模式;
如果所述概率值是所述第二异常模式范围的所述指示,挂起所述密码提示功能的操作;
如果所述概率值是所述第三异常模式范围的所述指示,取消访问;并且如果小于预定数量的连续的概率值是所述第一异常模式范围的指示,分别调整所述第一、第二和第三异常模式范围的所述指示的第一、第二和第三阈值。
11.一种适用于检测和控制潜在欺诈性登录行为的用户认证系统,包括:模式记录模块,其配置用于记录登录尝试的时间和预定次数并且检测所述预定次数的登录尝试中成功而非不成功登录尝试结果的模式;
分析模块,其可操作地连接到所述模式记录模块并配置用于确定所述模式的特征,通过将与记录所述登录尝试的所用时间相关的校准因子应用到所述特征而将所述特征归一化,并且确定所述归一化特征是否为所述模式的异常模式范围的指示;以及动作模块,其可操作地连接到所述分析模块并配置用于执行至少一个下述动作:如果所述归一化特征是异常模式范围的指示,记录所述模式;以及如果少于预定数量的以前检测到的模式具有异常模式范围的指示,调整所述异常模式范围或每个异常模式范围的指示的阈值。
说明书 :
技术领域
本发明涉及检测和控制欺诈性登录行为的系统和方法。本发明也涉及用于检测和控制欺诈性登录行为的计算机程序产品。
背景技术
目前大量的日常工作在网络上完成,如因特网或通常连接到因特网的局域网(LAN)。结果,用户越来越多地需要登录到连接到这样的网络的服务器。对于很多服务器管理员而言,要优先考虑服务器入侵和数据窃取的威胁。由此带来的结果是很多人在能够使用服务器提供的资源之前需要通过认证过程。与丢失密码相关的不便和时间损失已经众所周知。然而对于服务器管理员而言需要维持适当级别的安全性,特别是在入侵者变得日益老练的情况下。
目前有各种基于网络的应用可以提供用户认证。最常见的情况是现有基于网络的应用检查用户标识和密码。进一步的发展提供在预定次数的失败的用户登录尝试后阻止用户访问和/或向已经忘记用户标识和/或密码的用户提供某些手段重新得到这些信息。这些手段经常采取用户已经提供了答案的问题的形式。这些方式公知为密码提示并且目前广泛使用。这种类型系统的一个可能的问题与方便性有关。如果用户在一次或两次提供了不正确的密码和/或标识后必须回答问题,这对于用户可能很麻烦。另一方面,允许太多次地输入不正确的密码和/或标识而不采取保护性措施可能牺牲被访问的计算机系统的安全性。
另一种控制访问的方式是通过使用反向图灵测试或RTT。这些测试强制要求人类参与并且意在由此禁止自动化程序或脚本的访问。这种测试的一个例子是显示若干符号的变形代码并要求用户输入该代码。所述变形代码不被自动化程序或脚本识别。RTT对于防御计算机化的攻击特别有用。然而,RTT不可能辨别计算机的人类用户有多大的可能性是该计算机的授权用户。其原因是任何人类用户都能识别所述变形代码。因此这样的RTT有可能被人类用户的团队攻击。而且也不能为在一段时间里都正确登录的可信用户调整使用方便性。
国际专利出版物WO 01/90859 A1公开了一种自适应多级认证系统。该系统提供只有用户从新环境里尝试连接时才使用的次级认证。为每个用户保留用户/使用配置文件,并且将用户登录信息与特定用户的用户/使用配置文件的信息相比较,用户/使用配置文件中包含用户曾用以建立帐户的全部用户信息并且使用配置文件还详细规定用户的访问模式。计算当前用户登录位置的可信级别并且该发明确定是否需要向用户提出任何附加的问题。
美国专利出版物US 2002/0112184 A1公开了能够用于监控尝试入侵访问系统的系统。该系统检测到访问系统中的访问系统事件并且确定是否所述访问系统事件是被监控的类型。如果所述访问系统事件是被监控的类型,系统报告有关所述访问系统事件的信息。在一种实现中,访问系统包括身份管理和访问管理功能性。在另一个实施例中,访问系统包括访问管理功能性并且不包括身份管理功能性。访问系统事件可以是认证成功事件,认证失败事件,或其他适当的事件。
国际专利出版物WO 01/22201 A1公开了在加密系统中对环境敏感的动态认证。其公开了为第二用户执行第一用户认证的系统,所述系统包括第一用户提交多个认证数据实例的能力,所述多个认证数据实例被评估并且随后用于产生所要求的所述第一用户身份的整体置信级别。根据以下情况评估单个认证实例:第一用户在认证过程中提供的用户和第一用户在注册过程中提供的数据的匹配程度;所使用的认证技术固有的可靠性;第一用户产生认证数据的周围环境;以及第一用户产生注册数据的周围环境。该置信级别与至少部分地基于第二用户的要求的所需信任级别相比较,并且认证结果基于该比较。
上述出版物的一个特别的问题是均未提供这样的装置,使已建立的可信用户与相对新的并且可能不可信的用户或用户群组相比能够体验到方便的登录过程。
目前有各种基于网络的应用可以提供用户认证。最常见的情况是现有基于网络的应用检查用户标识和密码。进一步的发展提供在预定次数的失败的用户登录尝试后阻止用户访问和/或向已经忘记用户标识和/或密码的用户提供某些手段重新得到这些信息。这些手段经常采取用户已经提供了答案的问题的形式。这些方式公知为密码提示并且目前广泛使用。这种类型系统的一个可能的问题与方便性有关。如果用户在一次或两次提供了不正确的密码和/或标识后必须回答问题,这对于用户可能很麻烦。另一方面,允许太多次地输入不正确的密码和/或标识而不采取保护性措施可能牺牲被访问的计算机系统的安全性。
另一种控制访问的方式是通过使用反向图灵测试或RTT。这些测试强制要求人类参与并且意在由此禁止自动化程序或脚本的访问。这种测试的一个例子是显示若干符号的变形代码并要求用户输入该代码。所述变形代码不被自动化程序或脚本识别。RTT对于防御计算机化的攻击特别有用。然而,RTT不可能辨别计算机的人类用户有多大的可能性是该计算机的授权用户。其原因是任何人类用户都能识别所述变形代码。因此这样的RTT有可能被人类用户的团队攻击。而且也不能为在一段时间里都正确登录的可信用户调整使用方便性。
国际专利出版物WO 01/90859 A1公开了一种自适应多级认证系统。该系统提供只有用户从新环境里尝试连接时才使用的次级认证。为每个用户保留用户/使用配置文件,并且将用户登录信息与特定用户的用户/使用配置文件的信息相比较,用户/使用配置文件中包含用户曾用以建立帐户的全部用户信息并且使用配置文件还详细规定用户的访问模式。计算当前用户登录位置的可信级别并且该发明确定是否需要向用户提出任何附加的问题。
美国专利出版物US 2002/0112184 A1公开了能够用于监控尝试入侵访问系统的系统。该系统检测到访问系统中的访问系统事件并且确定是否所述访问系统事件是被监控的类型。如果所述访问系统事件是被监控的类型,系统报告有关所述访问系统事件的信息。在一种实现中,访问系统包括身份管理和访问管理功能性。在另一个实施例中,访问系统包括访问管理功能性并且不包括身份管理功能性。访问系统事件可以是认证成功事件,认证失败事件,或其他适当的事件。
国际专利出版物WO 01/22201 A1公开了在加密系统中对环境敏感的动态认证。其公开了为第二用户执行第一用户认证的系统,所述系统包括第一用户提交多个认证数据实例的能力,所述多个认证数据实例被评估并且随后用于产生所要求的所述第一用户身份的整体置信级别。根据以下情况评估单个认证实例:第一用户在认证过程中提供的用户和第一用户在注册过程中提供的数据的匹配程度;所使用的认证技术固有的可靠性;第一用户产生认证数据的周围环境;以及第一用户产生注册数据的周围环境。该置信级别与至少部分地基于第二用户的要求的所需信任级别相比较,并且认证结果基于该比较。
上述出版物的一个特别的问题是均未提供这样的装置,使已建立的可信用户与相对新的并且可能不可信的用户或用户群组相比能够体验到方便的登录过程。
发明内容
本发明是基于提供能够随着可信用户增加他的或她的成功登录尝试的次数可以自动地自我调整以提供更高级别的安全性的登录过程的需要。本发明通过分析登录尝试的连续模式实现这一点。如果用户是可信的,所述连续模式将以预期的方式改变。本发明利用这点,将用户认证系统调整为随着在连续模式中一个或多个模式特征以特定方式改变而降低对登录失败的容忍度。
结果,如果未授权用户尝试进行访问,所述模式特征会以不同的方式改变,表明未经授权的访问并且触发系统的保护动作。
例如,随着可信用户对密码和/或用户名或代码越来越熟悉,连续模式将显示不成功登录的次数减少。在此情况下相关特征将与登录成功或失败的概率有关。
在本发明范围内的另一个例子中,相关特征可能与登录尝试的速度有关。当授权用户作出登录尝试时,该登录尝试速度相对稳定,变动很小。而登录尝试速度突然提高可能表明在未授权访问点的可能尝试。检测到提高的登录尝试速度时,可以根据提高的级别触发某种形式的保护动作。
由此根据本发明提供了一种适用于检测和控制潜在欺诈性登录行为的用户认证系统。所述系统包括配置用于记录登录尝试并检测登录尝试结果模式的模式记录模块。分析模块可操作地连接到所述模式记录模块并配置用于确定是否所述模式具有一个或多个异常模式范围的指示。动作模块可操作地连接到所述分析模块并配置用于执行一个或多个动作。这些动作包括如果所述模式具有预定的异常模式范围的指示,为后续模式调整异常模式范围的指示的阈值。
优选地,所述动作模块配置为记录异常模式,或者挂起密码提示功能的操作,或者如果所述模式具有异常模式范围的指示则取消登录访问。
模式记录模块优选地对预定次数的登录尝试的每次登录尝试的至少一个结果求和。模式记录模块也优选地计算进行所述预定次数的登录尝试所用时间的长度。模式记录模块优选地根据所述时间的长度产生校准因子。所述模式记录模块也优选地通过将所述校准因子应用于每组多次登录尝试的所述至少一个结果的和而计算对应于所述至少一个结果的概率的概率值。
所述分析模块优选地确定是否所述概率值由于在概率值的第一范围内而成为第一异常模式范围的指示,或者由于在概率值的第二范围内而成为第二异常模式范围的指示,或者由于在概率值的第三范围内而成为第三异常模式范围的指示。
根据上述系统的配置,本发明也扩展到检测和控制潜在欺诈性登录行为的方法。
根据上述系统的配置,本发明也扩展到用于检测和控制潜在欺诈性登录行为的计算机程序产品。
现在参考附图描述本发明的一个或多个优选的实施例。下文描述仅为示例目的并且并非意在以任何方式限制本发明的范围。
结果,如果未授权用户尝试进行访问,所述模式特征会以不同的方式改变,表明未经授权的访问并且触发系统的保护动作。
例如,随着可信用户对密码和/或用户名或代码越来越熟悉,连续模式将显示不成功登录的次数减少。在此情况下相关特征将与登录成功或失败的概率有关。
在本发明范围内的另一个例子中,相关特征可能与登录尝试的速度有关。当授权用户作出登录尝试时,该登录尝试速度相对稳定,变动很小。而登录尝试速度突然提高可能表明在未授权访问点的可能尝试。检测到提高的登录尝试速度时,可以根据提高的级别触发某种形式的保护动作。
由此根据本发明提供了一种适用于检测和控制潜在欺诈性登录行为的用户认证系统。所述系统包括配置用于记录登录尝试并检测登录尝试结果模式的模式记录模块。分析模块可操作地连接到所述模式记录模块并配置用于确定是否所述模式具有一个或多个异常模式范围的指示。动作模块可操作地连接到所述分析模块并配置用于执行一个或多个动作。这些动作包括如果所述模式具有预定的异常模式范围的指示,为后续模式调整异常模式范围的指示的阈值。
优选地,所述动作模块配置为记录异常模式,或者挂起密码提示功能的操作,或者如果所述模式具有异常模式范围的指示则取消登录访问。
模式记录模块优选地对预定次数的登录尝试的每次登录尝试的至少一个结果求和。模式记录模块也优选地计算进行所述预定次数的登录尝试所用时间的长度。模式记录模块优选地根据所述时间的长度产生校准因子。所述模式记录模块也优选地通过将所述校准因子应用于每组多次登录尝试的所述至少一个结果的和而计算对应于所述至少一个结果的概率的概率值。
所述分析模块优选地确定是否所述概率值由于在概率值的第一范围内而成为第一异常模式范围的指示,或者由于在概率值的第二范围内而成为第二异常模式范围的指示,或者由于在概率值的第三范围内而成为第三异常模式范围的指示。
根据上述系统的配置,本发明也扩展到检测和控制潜在欺诈性登录行为的方法。
根据上述系统的配置,本发明也扩展到用于检测和控制潜在欺诈性登录行为的计算机程序产品。
现在参考附图描述本发明的一个或多个优选的实施例。下文描述仅为示例目的并且并非意在以任何方式限制本发明的范围。
附图说明
为了帮助更全面地理解本发明,现在参考附图。这些附图仅为示例的目的,不能理解为限制本发明。
图1一般地示出了根据本发明的适用于检测和控制潜在欺诈性登录行为的用户认证系统的一个实施例;
图2示出了表明根据本发明的适用于检测和控制潜在欺诈性登录行为的计算机程序产品的一个实施例的操作的流程图;
图3示出了表明根据本发明的适用于检测和控制潜在欺诈性登录行为的计算机程序产品的另一个实施例的操作的流程图;
图4示出了表明根据本发明的计算机程序产品的一个实施例所确定的模式特征的阈值的示图,所述阈值可表明是否所述模式特征是异常模式的指示;以及
图5示出了表明根据本发明的计算机程序产品的一个不同实施例所确定的模式特征的阈值的示图,所述阈值可表明是否所述模式特征是异常模式的指示。
图1一般地示出了根据本发明的适用于检测和控制潜在欺诈性登录行为的用户认证系统的一个实施例;
图2示出了表明根据本发明的适用于检测和控制潜在欺诈性登录行为的计算机程序产品的一个实施例的操作的流程图;
图3示出了表明根据本发明的适用于检测和控制潜在欺诈性登录行为的计算机程序产品的另一个实施例的操作的流程图;
图4示出了表明根据本发明的计算机程序产品的一个实施例所确定的模式特征的阈值的示图,所述阈值可表明是否所述模式特征是异常模式的指示;以及
图5示出了表明根据本发明的计算机程序产品的一个不同实施例所确定的模式特征的阈值的示图,所述阈值可表明是否所述模式特征是异常模式的指示。
具体实施方式
本发明的一个方面是适用于检测和控制潜在欺诈性登录行为的用户认证系统。
广义地,所述系统包括记录登录尝试并检测登录结果模式的模式记录模块。所述系统还包括分析模块,其连接到所述模式记录模块,用于确定是否所述模式具有一个或多个异常模式范围的指示。动作模块连接到所述分析模块以执行若干动作。所述动作包括如果所述模式具有预定的异常模式范围的指示则调整后续模式的异常模式范围的指示的阈值。
本发明的其他方面是用于检测和控制潜在欺诈性登录行为的方法和计算机程序产品。所述方法可以由所述系统或所述计算机程序产品实现。
以下描述的优选实施例在服务器上实现。多个工作站通过因特网连接到服务器。然而可以容易地理解,本发明的其他实施例可以完全地在安全的工作站内或在其他形式的数据处理装置内实现。
本发明的系统、方法和计算机程序产品提供对登录行为的渐进控制。例如,如果检测到的异常模式范围的连续指示少于预定数量,所述系统可以更新用于确定这些异常模式范围指示存在的阈值。其结果是所述系统被设计为随着检测到异常模式范围内的更多模式而降低对登录失败的容忍度。
这意味着所述系统能够随着特定用户对登录过程变得更熟悉而自动的自我配置。结果,所述系统在变得越来越有可能发现欺诈性登录行为的同时保证便于使用。而且,由于系统固有地以基本不可确定的方式改变,入侵攻击将难以进行。
本说明书以下剩余部分通过参照附图描述本发明的一个优选实施例而促进对本发明的理解。
在图1中,参考标号10一般地表示根据本发明的适用于检测和控制潜在欺诈性登录行为的用户认证系统的一个实施例。
系统10包括认证服务器12。认证服务器12执行根据本发明的计算机程序产品或软件程序的实施例,其在图中以标号14表示并在下文进一步详述。
系统10支持网络。因此认证服务器12可以连接到网络16。网络16可以是任何网络包括无线网络。在本实施例中网络16是因特网。然而可以理解,网络16可以是广域网(WAN)或局域网(LAN)。
工作站18以多种不同的方式连接到网络16。如在20处所示,单个工作站18.1为单个用户22提供到网络16的连接。在24处,单个工作站18.2为用户群组26提供到网络16的连接。在28处,多个工作站18.3为各个用户30提供到网络16的连接。
系统10对用户22、群组26或各个用户30进行认证。特别地,认证服务器12对关于诸如服务器12的应用或数据库之类的资源32或者不同的服务器36的资源34的使用进行认证。认证服务器12具有用于记录用户在20、24或28处进行的登录尝试的模式记录模块38。模式记录模块38检测成功尝试或不成功尝试形式的登录尝试结果的模式。
认证服务器12具有连接到模式记录模块38的分析模块40。分析模块40确定是否所述模式具有至少一个异常指示。动作模块42连接到分析模块40并且执行若干动作,包括如果所述模式具有预定的异常指示,为后续模式调整该异常模式或每个异常指示的阈值。
服务器12执行软件程序14以调用模块38、40和42。图2示出了模块38、40和42,其中参考标号50一般地表示软件程序14的流程图。
在步骤52,软件程序14为用户或每个用户记录登录尝试并且启动登录尝试计数器(i)。在步骤54,程序14询问登录是否成功并且在步骤56记录失败而在步骤58记录成功。
在步骤60,程序14询问登录尝试计数器(i)是否已经达到预定值(n)。(n)的适当值的例子在20到30之间。本发明人发现25是特别适当的值。本发明人发现所述值太低可能导致并不能代表登录行为的模式,而所述值太高可能导致需要太长时间产生的模式,因此禁止模式分析的有效反馈。如果步骤60的询问返回值为假,登录尝试计数器(i)在步骤61迭代并且控制过程回到步骤52。如果步骤60的询问返回值为真,启动一个模式计数器(j)并且控制过程进入步骤62以确定成功和不成功登录尝试的模式的特征。应当理解所述特征可以是多个不同统计分析的结果。然而在本实施例中为易于理解,所述特征优选地是单个数字。从下文可见,可以容易地使用登录成功或失败的概率值(Pj)。
随后控制过程进入步骤64,通过将校准因子(Cj)应用于所述特征而使所述特征归一化。必须对所述特征进行归一化以考虑可能影响该特征的条件。例如,认证系统10对于经常用户的失败登录尝试的容忍度与对非经常用户失败登录尝试的容忍度相比应当更低。这样,(Cj)可以以被选择为具有“经常用户levy”的形式,并且可以与进行预定次数的登录尝试所用的时间相关。下文将对此进一步说明。
在步骤66,程序14询问是否所述归一化特征是异常模式范围的指示。可以将所述指示配置为表明是否所述模式在特定的异常模式范围内。如果所述询问返回值为假,在步骤67迭代(j)后控制过程回到步骤52以记录登录尝试,所述(j)是模式(无论是否异常)的计数。如果所述询问返回值为真,在步骤68,程序14记录异常模式Pk并且启动异常模式的异常模式计数器(k)。虚线示出的是可能的附加功能,在步骤69,程序14可以向管理员提示异常模式。这是可选的步骤,因为管理员可以通过查看步骤68产生的日志识别异常模式。
在步骤70,程序14询问是否Z大于某个值。可以配置所述值以适合不同的安全性环境。例如在安全性最高的应用中(例如政府、军队、情报机关),Z=0,使得第一异常模式触发保护动作。在安全性中等的应用中(如财务应用),Z=1,使得第二异常模式触发保护动作。在安全性较低的应用中(诸如因特网帐户和忠诚度方案的“日常”型应用),Z=2,使得第三异常模式触发保护动作。
如果询问返回的值为假,在步骤74调整异常模式范围的指示的阈值,k在步骤73递增,并且控制过程回到步骤52。如果询问返回的值为真,程序14在步骤72执行保护动作。如下文所述,保护动作的级别可以取决于所述指示代表的是哪一个特定的模式范围。这可以通过提供指示的其他阈值实现。可以理解也可以在步骤74调整所述阈值。
在控制过程从步骤66和步骤72回到步骤52的各种情况下,在步骤71登录尝试计数器(i)重置为零以便能够产生新的模式。
从图2可见,软件程序14包括模式记录模块38,分析模块40和动作模块42。
在图3中,参考标号80一般地表示根据本发明的计算机程序产品或软件程序82(图1)的另一个实施例的流程图。服务器12执行程序82。程序82和程序14一样也包括模式记录模块38,分析模块40和动作模块42。
在步骤84,当用户尝试登录服务器12或不同的服务器36控制的系统时,程序82在步骤86记录所述登录尝试。程序82还启动登录尝试计数器(i)。在步骤88,程序82为登录尝试设置时间戳。在步骤90,程序82询问登录尝试是否成功。如果所述询问返回值为假,所述程序在步骤92将不成功的尝试记录为(ui)。如果所述询问返回值为真,所述程序在步骤94将成功的尝试记录为(si)。
在步骤96,所述程序询问是否所述登录尝试计数器(i)大于预定的值(n)。如上文所述,已经发现值(n)的适当范围为20到30之间。已经发现25特别合适。如果所述询问返回值为假,程序82在步骤98将登录尝试计数器(i)递增并且在步骤86记录下一个登录尝试。如果所述询问返回值为真,程序82在步骤100计算时间间隔(Δtj)并且启动模式计数器(j)。
控制过程随后进入步骤102,其中程序82计算(Gj),其中Gj=(Δtj)/n,即登录速度。在步骤102,所述程序还根据Gj设置校准因子Cj。
在步骤104,所述程序计算上文所述的模式特征。在本实施例中,所述模式特征是以校准因子Cj归一化的登录成功的概率Pj。这样,在没有归一化的情况下,如果Pj=1,所有登录尝试都成功并且如果Pj=0,所有登录尝试都不成功。
回到步骤102,发明人已经确定如果Gj是1天,则Cj的适当值是1.0±10%。如果Gj小于1天,即用户1天内登录若干次,则Cj的适当值是0.8±5%。如果Gj大于1周,则Cj的适当值是1.2±15%。如果Gj大于2周,则Cj的适当值是1.4±20%。
作为一般规则,如果G大于1天,C的近似值可以通过公式C=1+(G/35)求得。
其结果是Cj等于“经常用户levy”。Cj的值基于如下推理:如果所述用户或用户群组是可信的而不是非可信的用户或用户群组,用户或用户群组尝试登录越频繁,发生登录失败的可能性越小。
这样在步骤104,程序82通过对成功登录尝试(si)求和并将结果除以登录尝试总和如25,在将结果乘以Cj来计算Pj。
控制随后进入询问步骤106,其中程序82询问Pj是否大于Wj。Wj是被选择用于检测略有异常的模式的阈值。一个示例的值是0.9。然而可以理解,根据程序82的应用可以选择其他的值。例如,需要牺牲用户方便而得到更高安全性的情况下,可以选择较高的值如0.95。在需要较低的安全性以满足用户方便的情况下,可以选择较低的值如0.85,或者甚至选择更低的值。
如果所述询问返回的值为假,程序82在步骤108记录异常模式Pk。程序82在步骤124递增K。
在步骤110,程序82询问k是否大于z。z代表异常模式检测的不可接受的最小次数,所述最小次数保证进行调整使程序82对登录失败的容忍度降低。
如果所述询问返回的值为真,程序82在步骤112询问是否Pk大于Yk但小于Xk,这将表明需要至少初始保护动作的异常性级别。如果所述询问返回的值为真,在步骤114程序82挂起密码提示功能的操作以加强安全性,并且在步骤117使模式计数器(j)递增并在步骤119将登录尝试计数器(i)设置为零后,随后使控制过程回到步骤84。如果所述询问返回的值为假,则表明更高级别的异常性,程序82在步骤116取消访问。
回到询问步骤106,如果所述询问返回的值为真,程序82在步骤118询问在产生前述模式后所述密码提示功能是否已经被挂起。如果所述询问返回的值为真,程序82在步骤120取消所述密码提示功能操作的挂起,并且在将模式计数器(j)递增并将登录尝试计数器(i)重置为零后使控制过程回到步骤84。如果询问返回的值为假,则在将模式计数器(j)递增并将登录尝试计数器(i)重置为零后使控制过程回到步骤84。
回到询问步骤110,如果所述询问返回的值为假,程序82在步骤122调整阈值Wj,Xk和Yk。在本实施例中所述阈值被提高。例如所述阈值可以提高5%到15%并且更特别地可以提高10%。其原因是对于特定的用户,当异常模式次数低于某个阈值时,向上调整所述阈值可能含盖用户或群组的登录学习曲线。然而,在所述用户或群组并不可信的情况下,这种调整可能增加在z迭代后查询110返回真值的可能性。由于由此可能禁止未经授权的访问,这种情况是希望看到的。
在图4中,参考标号130一般地表示示出阈值Wj,Xk和Yk的使用的图。如果Pj在区域132内(大于Wj),则所述模式可以被认为是正常的并且不调用动作模块42,除非在步骤120有必要取消密码提示功能操作的挂起。如果Pj在区域134内(小于Wj),则Pj是第一范围的指示,在第一范围中所述模式可被认为是略有异常并且程序82记录所述异常模式Pk。如果Pk在范围136内(在Yk和Xk之间),则Pj是第二范围的指示,在第二范围中所述模式可以被认为是中等严重,要求至少部分保护动作,并且程序82在步骤114挂起密码提示功能的操作。如果Pj在区域138内(小于Yk),则Pj是第三范围的指示,在第三模式中所述模式可被认为非常严重,要求完全的保护动作并且程序82在步骤116取消访问。
程序82因此能够在检测到预定次数的异常登录的情况下调整阈值Wj,Xk和Yk。可以理解这允许程序82固有地区分可信和非可信的用户或用户群组。其原因是程序82能够不断的降低对登录失败的容忍度。
可以理解,可以使用很多其他统计特征分析所述模式。一种可能的计算Pj的方法是使其与不成功登录的次数相关联而不是上文所述的与成功登录的次数相关联。换言之,在步骤104,不是对成功登录(si)求和,而是对不成功登录(ui)求和并除以总登录次数。
在上述实施例中,阈值Wj,Xk和Yk可以是下限阈值而不是上限阈值。因此,确定异常模式范围的指示的范围可以如图5所示,一般地以参考标号140示出。特别地,如果Pj在范围142(小于Wj)内,则所述模式可以被认为是正常的并且不调用动作模块42,除非需要在步骤120取消密码提示功能操作的挂起。如果Pj在范围144(大于Wj)内,则其为异常模式的指示并且程序82记录异常模式Pk。如果Pk在范围146内(在Xk之Yk间),则其为中等严重异常性的指示,并且程序82在步骤114挂起密码提示功能的操作。如果Pj在范围148内(大于Yk),则其为非常严重异常性的指示,并且程序82在步骤116取消访问。可以理解能够调整图3所示的流程图以示出本实施例的操作。
同样在该替代性实施例中,Cj的值是Gj的函数,可以选择Cj使Gj越低时Cj相应地越高。相对于使用登录成功的和,这反映了“levy”,相对于非可信用户或群组,可信用户在更短时间段内登录失败的可能性降低。
在更进一步的实施例中,可以通过考虑登录尝试之间的时间间隔得到相关的模式特征,即所述特征可以代表在时间上的分布。可以绘出代表所述分布的曲线图。可以将所述系统配置为根据与正常登录尝试的间隔相比检测到登录尝试的峰值或群集,挂起密码提示功能的操作或者取消访问。可以理解,相对于表明可信用户的更正常间隔的登录尝试,所述峰值或群集可能代表未授权登录的尝试。
应当理解,根据至少一个目前优选的实施例,本发明包括适用于检测和控制潜在欺诈性登录行为的用户认证系统,对计算机系统用户进行认证的方法以及计算机程序产品,所述计算机程序产品包括计算机可用的介质,所述介质包括用于对用户进行认证的计算机可读程序。总之,这些单元可以共同地在至少一个运行包括所述计算机程序产品的优选实施例的适当软件程序的通用计算机上实现。这些单元也可以在至少一个集成电路或至少一个集成电路的部分上实现。这样,应当理解本发明可以以硬件、软件或硬件和软件的结合方式实施。
尽管本文参照附图描述了本发明的示例性实施例,应当理解,本发明并不受限于这些具体的实施例,并且本领域的普通技术人员可以在不背离本发明范围或精神的情况下对本发明作出各种其他更改和变更。
广义地,所述系统包括记录登录尝试并检测登录结果模式的模式记录模块。所述系统还包括分析模块,其连接到所述模式记录模块,用于确定是否所述模式具有一个或多个异常模式范围的指示。动作模块连接到所述分析模块以执行若干动作。所述动作包括如果所述模式具有预定的异常模式范围的指示则调整后续模式的异常模式范围的指示的阈值。
本发明的其他方面是用于检测和控制潜在欺诈性登录行为的方法和计算机程序产品。所述方法可以由所述系统或所述计算机程序产品实现。
以下描述的优选实施例在服务器上实现。多个工作站通过因特网连接到服务器。然而可以容易地理解,本发明的其他实施例可以完全地在安全的工作站内或在其他形式的数据处理装置内实现。
本发明的系统、方法和计算机程序产品提供对登录行为的渐进控制。例如,如果检测到的异常模式范围的连续指示少于预定数量,所述系统可以更新用于确定这些异常模式范围指示存在的阈值。其结果是所述系统被设计为随着检测到异常模式范围内的更多模式而降低对登录失败的容忍度。
这意味着所述系统能够随着特定用户对登录过程变得更熟悉而自动的自我配置。结果,所述系统在变得越来越有可能发现欺诈性登录行为的同时保证便于使用。而且,由于系统固有地以基本不可确定的方式改变,入侵攻击将难以进行。
本说明书以下剩余部分通过参照附图描述本发明的一个优选实施例而促进对本发明的理解。
在图1中,参考标号10一般地表示根据本发明的适用于检测和控制潜在欺诈性登录行为的用户认证系统的一个实施例。
系统10包括认证服务器12。认证服务器12执行根据本发明的计算机程序产品或软件程序的实施例,其在图中以标号14表示并在下文进一步详述。
系统10支持网络。因此认证服务器12可以连接到网络16。网络16可以是任何网络包括无线网络。在本实施例中网络16是因特网。然而可以理解,网络16可以是广域网(WAN)或局域网(LAN)。
工作站18以多种不同的方式连接到网络16。如在20处所示,单个工作站18.1为单个用户22提供到网络16的连接。在24处,单个工作站18.2为用户群组26提供到网络16的连接。在28处,多个工作站18.3为各个用户30提供到网络16的连接。
系统10对用户22、群组26或各个用户30进行认证。特别地,认证服务器12对关于诸如服务器12的应用或数据库之类的资源32或者不同的服务器36的资源34的使用进行认证。认证服务器12具有用于记录用户在20、24或28处进行的登录尝试的模式记录模块38。模式记录模块38检测成功尝试或不成功尝试形式的登录尝试结果的模式。
认证服务器12具有连接到模式记录模块38的分析模块40。分析模块40确定是否所述模式具有至少一个异常指示。动作模块42连接到分析模块40并且执行若干动作,包括如果所述模式具有预定的异常指示,为后续模式调整该异常模式或每个异常指示的阈值。
服务器12执行软件程序14以调用模块38、40和42。图2示出了模块38、40和42,其中参考标号50一般地表示软件程序14的流程图。
在步骤52,软件程序14为用户或每个用户记录登录尝试并且启动登录尝试计数器(i)。在步骤54,程序14询问登录是否成功并且在步骤56记录失败而在步骤58记录成功。
在步骤60,程序14询问登录尝试计数器(i)是否已经达到预定值(n)。(n)的适当值的例子在20到30之间。本发明人发现25是特别适当的值。本发明人发现所述值太低可能导致并不能代表登录行为的模式,而所述值太高可能导致需要太长时间产生的模式,因此禁止模式分析的有效反馈。如果步骤60的询问返回值为假,登录尝试计数器(i)在步骤61迭代并且控制过程回到步骤52。如果步骤60的询问返回值为真,启动一个模式计数器(j)并且控制过程进入步骤62以确定成功和不成功登录尝试的模式的特征。应当理解所述特征可以是多个不同统计分析的结果。然而在本实施例中为易于理解,所述特征优选地是单个数字。从下文可见,可以容易地使用登录成功或失败的概率值(Pj)。
随后控制过程进入步骤64,通过将校准因子(Cj)应用于所述特征而使所述特征归一化。必须对所述特征进行归一化以考虑可能影响该特征的条件。例如,认证系统10对于经常用户的失败登录尝试的容忍度与对非经常用户失败登录尝试的容忍度相比应当更低。这样,(Cj)可以以被选择为具有“经常用户levy”的形式,并且可以与进行预定次数的登录尝试所用的时间相关。下文将对此进一步说明。
在步骤66,程序14询问是否所述归一化特征是异常模式范围的指示。可以将所述指示配置为表明是否所述模式在特定的异常模式范围内。如果所述询问返回值为假,在步骤67迭代(j)后控制过程回到步骤52以记录登录尝试,所述(j)是模式(无论是否异常)的计数。如果所述询问返回值为真,在步骤68,程序14记录异常模式Pk并且启动异常模式的异常模式计数器(k)。虚线示出的是可能的附加功能,在步骤69,程序14可以向管理员提示异常模式。这是可选的步骤,因为管理员可以通过查看步骤68产生的日志识别异常模式。
在步骤70,程序14询问是否Z大于某个值。可以配置所述值以适合不同的安全性环境。例如在安全性最高的应用中(例如政府、军队、情报机关),Z=0,使得第一异常模式触发保护动作。在安全性中等的应用中(如财务应用),Z=1,使得第二异常模式触发保护动作。在安全性较低的应用中(诸如因特网帐户和忠诚度方案的“日常”型应用),Z=2,使得第三异常模式触发保护动作。
如果询问返回的值为假,在步骤74调整异常模式范围的指示的阈值,k在步骤73递增,并且控制过程回到步骤52。如果询问返回的值为真,程序14在步骤72执行保护动作。如下文所述,保护动作的级别可以取决于所述指示代表的是哪一个特定的模式范围。这可以通过提供指示的其他阈值实现。可以理解也可以在步骤74调整所述阈值。
在控制过程从步骤66和步骤72回到步骤52的各种情况下,在步骤71登录尝试计数器(i)重置为零以便能够产生新的模式。
从图2可见,软件程序14包括模式记录模块38,分析模块40和动作模块42。
在图3中,参考标号80一般地表示根据本发明的计算机程序产品或软件程序82(图1)的另一个实施例的流程图。服务器12执行程序82。程序82和程序14一样也包括模式记录模块38,分析模块40和动作模块42。
在步骤84,当用户尝试登录服务器12或不同的服务器36控制的系统时,程序82在步骤86记录所述登录尝试。程序82还启动登录尝试计数器(i)。在步骤88,程序82为登录尝试设置时间戳。在步骤90,程序82询问登录尝试是否成功。如果所述询问返回值为假,所述程序在步骤92将不成功的尝试记录为(ui)。如果所述询问返回值为真,所述程序在步骤94将成功的尝试记录为(si)。
在步骤96,所述程序询问是否所述登录尝试计数器(i)大于预定的值(n)。如上文所述,已经发现值(n)的适当范围为20到30之间。已经发现25特别合适。如果所述询问返回值为假,程序82在步骤98将登录尝试计数器(i)递增并且在步骤86记录下一个登录尝试。如果所述询问返回值为真,程序82在步骤100计算时间间隔(Δtj)并且启动模式计数器(j)。
控制过程随后进入步骤102,其中程序82计算(Gj),其中Gj=(Δtj)/n,即登录速度。在步骤102,所述程序还根据Gj设置校准因子Cj。
在步骤104,所述程序计算上文所述的模式特征。在本实施例中,所述模式特征是以校准因子Cj归一化的登录成功的概率Pj。这样,在没有归一化的情况下,如果Pj=1,所有登录尝试都成功并且如果Pj=0,所有登录尝试都不成功。
回到步骤102,发明人已经确定如果Gj是1天,则Cj的适当值是1.0±10%。如果Gj小于1天,即用户1天内登录若干次,则Cj的适当值是0.8±5%。如果Gj大于1周,则Cj的适当值是1.2±15%。如果Gj大于2周,则Cj的适当值是1.4±20%。
作为一般规则,如果G大于1天,C的近似值可以通过公式C=1+(G/35)求得。
其结果是Cj等于“经常用户levy”。Cj的值基于如下推理:如果所述用户或用户群组是可信的而不是非可信的用户或用户群组,用户或用户群组尝试登录越频繁,发生登录失败的可能性越小。
这样在步骤104,程序82通过对成功登录尝试(si)求和并将结果除以登录尝试总和如25,在将结果乘以Cj来计算Pj。
控制随后进入询问步骤106,其中程序82询问Pj是否大于Wj。Wj是被选择用于检测略有异常的模式的阈值。一个示例的值是0.9。然而可以理解,根据程序82的应用可以选择其他的值。例如,需要牺牲用户方便而得到更高安全性的情况下,可以选择较高的值如0.95。在需要较低的安全性以满足用户方便的情况下,可以选择较低的值如0.85,或者甚至选择更低的值。
如果所述询问返回的值为假,程序82在步骤108记录异常模式Pk。程序82在步骤124递增K。
在步骤110,程序82询问k是否大于z。z代表异常模式检测的不可接受的最小次数,所述最小次数保证进行调整使程序82对登录失败的容忍度降低。
如果所述询问返回的值为真,程序82在步骤112询问是否Pk大于Yk但小于Xk,这将表明需要至少初始保护动作的异常性级别。如果所述询问返回的值为真,在步骤114程序82挂起密码提示功能的操作以加强安全性,并且在步骤117使模式计数器(j)递增并在步骤119将登录尝试计数器(i)设置为零后,随后使控制过程回到步骤84。如果所述询问返回的值为假,则表明更高级别的异常性,程序82在步骤116取消访问。
回到询问步骤106,如果所述询问返回的值为真,程序82在步骤118询问在产生前述模式后所述密码提示功能是否已经被挂起。如果所述询问返回的值为真,程序82在步骤120取消所述密码提示功能操作的挂起,并且在将模式计数器(j)递增并将登录尝试计数器(i)重置为零后使控制过程回到步骤84。如果询问返回的值为假,则在将模式计数器(j)递增并将登录尝试计数器(i)重置为零后使控制过程回到步骤84。
回到询问步骤110,如果所述询问返回的值为假,程序82在步骤122调整阈值Wj,Xk和Yk。在本实施例中所述阈值被提高。例如所述阈值可以提高5%到15%并且更特别地可以提高10%。其原因是对于特定的用户,当异常模式次数低于某个阈值时,向上调整所述阈值可能含盖用户或群组的登录学习曲线。然而,在所述用户或群组并不可信的情况下,这种调整可能增加在z迭代后查询110返回真值的可能性。由于由此可能禁止未经授权的访问,这种情况是希望看到的。
在图4中,参考标号130一般地表示示出阈值Wj,Xk和Yk的使用的图。如果Pj在区域132内(大于Wj),则所述模式可以被认为是正常的并且不调用动作模块42,除非在步骤120有必要取消密码提示功能操作的挂起。如果Pj在区域134内(小于Wj),则Pj是第一范围的指示,在第一范围中所述模式可被认为是略有异常并且程序82记录所述异常模式Pk。如果Pk在范围136内(在Yk和Xk之间),则Pj是第二范围的指示,在第二范围中所述模式可以被认为是中等严重,要求至少部分保护动作,并且程序82在步骤114挂起密码提示功能的操作。如果Pj在区域138内(小于Yk),则Pj是第三范围的指示,在第三模式中所述模式可被认为非常严重,要求完全的保护动作并且程序82在步骤116取消访问。
程序82因此能够在检测到预定次数的异常登录的情况下调整阈值Wj,Xk和Yk。可以理解这允许程序82固有地区分可信和非可信的用户或用户群组。其原因是程序82能够不断的降低对登录失败的容忍度。
可以理解,可以使用很多其他统计特征分析所述模式。一种可能的计算Pj的方法是使其与不成功登录的次数相关联而不是上文所述的与成功登录的次数相关联。换言之,在步骤104,不是对成功登录(si)求和,而是对不成功登录(ui)求和并除以总登录次数。
在上述实施例中,阈值Wj,Xk和Yk可以是下限阈值而不是上限阈值。因此,确定异常模式范围的指示的范围可以如图5所示,一般地以参考标号140示出。特别地,如果Pj在范围142(小于Wj)内,则所述模式可以被认为是正常的并且不调用动作模块42,除非需要在步骤120取消密码提示功能操作的挂起。如果Pj在范围144(大于Wj)内,则其为异常模式的指示并且程序82记录异常模式Pk。如果Pk在范围146内(在Xk之Yk间),则其为中等严重异常性的指示,并且程序82在步骤114挂起密码提示功能的操作。如果Pj在范围148内(大于Yk),则其为非常严重异常性的指示,并且程序82在步骤116取消访问。可以理解能够调整图3所示的流程图以示出本实施例的操作。
同样在该替代性实施例中,Cj的值是Gj的函数,可以选择Cj使Gj越低时Cj相应地越高。相对于使用登录成功的和,这反映了“levy”,相对于非可信用户或群组,可信用户在更短时间段内登录失败的可能性降低。
在更进一步的实施例中,可以通过考虑登录尝试之间的时间间隔得到相关的模式特征,即所述特征可以代表在时间上的分布。可以绘出代表所述分布的曲线图。可以将所述系统配置为根据与正常登录尝试的间隔相比检测到登录尝试的峰值或群集,挂起密码提示功能的操作或者取消访问。可以理解,相对于表明可信用户的更正常间隔的登录尝试,所述峰值或群集可能代表未授权登录的尝试。
应当理解,根据至少一个目前优选的实施例,本发明包括适用于检测和控制潜在欺诈性登录行为的用户认证系统,对计算机系统用户进行认证的方法以及计算机程序产品,所述计算机程序产品包括计算机可用的介质,所述介质包括用于对用户进行认证的计算机可读程序。总之,这些单元可以共同地在至少一个运行包括所述计算机程序产品的优选实施例的适当软件程序的通用计算机上实现。这些单元也可以在至少一个集成电路或至少一个集成电路的部分上实现。这样,应当理解本发明可以以硬件、软件或硬件和软件的结合方式实施。
尽管本文参照附图描述了本发明的示例性实施例,应当理解,本发明并不受限于这些具体的实施例,并且本领域的普通技术人员可以在不背离本发明范围或精神的情况下对本发明作出各种其他更改和变更。