JP6472771B2 - 不正なオンライン取引を検出するためのシステムおよび方法 - Google Patents

不正なオンライン取引を検出するためのシステムおよび方法 Download PDF

Info

Publication number
JP6472771B2
JP6472771B2 JP2016096774A JP2016096774A JP6472771B2 JP 6472771 B2 JP6472771 B2 JP 6472771B2 JP 2016096774 A JP2016096774 A JP 2016096774A JP 2016096774 A JP2016096774 A JP 2016096774A JP 6472771 B2 JP6472771 B2 JP 6472771B2
Authority
JP
Japan
Prior art keywords
computer
events
transaction
electronic transaction
executed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2016096774A
Other languages
English (en)
Other versions
JP2016224929A (ja
Inventor
ビー.コロチンスキ エフゲニー
ビー.コロチンスキ エフゲニー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2016224929A publication Critical patent/JP2016224929A/ja
Application granted granted Critical
Publication of JP6472771B2 publication Critical patent/JP6472771B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Virology (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • User Interface Of Digital Computer (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Description

本出願は、米国特許法35 U.S.C.(a)-(d)に基づいて、2015年2月20日に出願されたロシア特許出願第2015105806について、優先権の利益を主張し、本明細書中に援用される。
本開示は、一般的にコンピュータセキュリティの分野に関連しており、より具体的には、不正なオンライン取引を検出する、システムおよび方法である。
今日、様々なオンライン取引を実行するために用いることができるソフトウェアアプリケーションが多数存在する。多くの取引は、標準的なブラウザを用い、オンラインバンキングによって行われている。そして、個別の銀行クライアントも用いられ、特にモバイルプラットフォーム上での使用が浸透している。取引を実行するためにブラウザを使用している場合、ユーザは、通常、銀行のサイトに行き、認証(それは、例えば、SMSまたはトークンを使用する、二段階タイプであることが多い)を行い、その後、その人は、自分の資金について操作を実行することができる。
驚くべきことではないが、オンライン決済の成長に伴って、ハッカーは、このサービス領域にますます興味を持つようになっており、不法に資金を移すために、取引データを傍受する方法を積極的に模索している。データの盗難は、一般的に、ユーザのコンピュータにインストールされた悪意のあるプログラムを使用して行われ、こうして、コンピュータに感染する。ほとんどの場合、このようなプログラムは、人気のあるインターネットブラウザを介してコンピュータに感染する。データが入力デバイス(例えば、キーボード又はマウス等)を介して入力される場合、または、データがウェブブラウザに送信される場合、に傍受される。たとえば、ブラウザに感染する悪意のあるプログラムは、ブラウザファイルへのアクセス権、訪れたウェブページの履歴、および、訪れたウェブページ用のユーザパスワードを取得する。キーロガーは、ルートキット技術の全範囲によって、キーボード又はマウスからのデータの入力を傍受し、スクリーンショットを取り、システム内でその存在を隠す。同様の技術はまた、ネットワークパケット(トラフィックスニファ)を傍受するために用いられ、伝送される傍受ネットワークパケットを傍受し、そこから、パスワード及びその他の個人データ等の貴重な情報を抽出する。感染は、コンピュータシステムに入りこむ様々なエクスプロイトを用い、ソフトウェアの脆弱性を利用することにより、最も頻繁に発生じることが理解されるべきである。
署名照合、ヒューリスティック分析、プロアクティブ保護の使用、又は、信頼できるアプリケーションにおけるリスト(すなわち、ホワイトリスト)の使用等、既存のウイルス対策技術が存在することにより、ユーザのコンピュータ上の多くの悪意のあるプログラムを検出できるとはいえ、頻繁に現れるウイルスにおける新しい改変または変更の多くを常に識別することができるわけではない。したがって、解決策として、オンライン決済などのオンライン取引が、ユーザにとって安全であることを確実にする必要がある。
オンラインサービス及び取引へ攻撃するハッキングの増加により、銀行はオンライン取引の真正性を検証する独自の方法を使用している。そのような検証は、悪意のあるプログラム(例えば、bots)の動作を特定するために、ユーザによって入力されたデータでの解析に基づいている。例えば、いくつかのシステムは、特定のデータ入力パラメータの値が過度に高い場合、それに付随する異常に基づいて不正行為を検出する。他のシステムは、(例えば、行われた取引の数等)特定のパラメータで過度に大きな変化がある場合、それに基づいて不正行為を検出することができる。
しかし、従来のシステムは、偽陽性(第一種の誤り)を検出し、対処する方法を提供しておらず、金融機関が提供するサービスの品質(例えば、銀行、電子商取引のウェブサイト)は、未だに、このようなエラーの数に直結している。したがって、不正なオンライン取引を検出するためのシステム及び方法が改良される必要がある。
不正なオンライン取引の検出を最適化するためのシステムおよび方法が開示される。一態様では、不正取引を検出するための例示的方法は、
通信インターフェースにより電子取引に関連するデータを受信する工程と、
そのデータは、少なくとも1つのユーザアクションデータとマルウェアアクションデータを含み、
電子取引が不正取引の可能性がある取引であるか否かを判断するために、電子メモリに保存された所定のアルゴリズムに基づいて、データをハードウェアプロセッサで解析する工程と、
不正取引の可能性がある取引が正当な電子取引であるか否かを、ハードウェアプロセッサで判断する工程と、
ハードウェアプロセッサにより、不正取引の可能性がある取引が正当な電子取引であると判断された場合、所定のアルゴリズムにおける操作パラメータをハードウェアプロセッサで調整する工程を含む。
別の態様では、電子取引に関連するデータは、所定の時間間隔の間、要求された電子取引を遂行するようにコンピュータで実行されるイベントの数である。
別の態様では、コンピュータで実行されるイベントは、
キーボード上のキーの起動回数、コンピュータのマウスのボタンの起動回数、マウス又はトラックボードの移動軌跡、ウェブページのダウンロード、ウェブページ上でリンクを選択する頻度、キーストロークのタイミング、および、キーストローク中のエラーの有無及びエラー修正、
のうち少なくとも1つを含む。
別の態様では、所定の時間間隔は、所定のアルゴリズムの操作パラメータの少なくとも1つである。
別の態様では、方法は、
コンピュータで実行されるイベントの数により、コンピュータで実行される電子取引の時間の平均期間を割ることによって、平均フレーム値を計算することと、
コンピュータで実行されるイベントの数により、コンピュータで実行される電子取引の時間の最小期間を割ることによって、最小フレーム値を計算することと、
平均フレーム値及び最小フレーム値のそれぞれの逆数を計算することと、
それぞれの計算された逆数の平均値として所定の時間間隔を更新することによって、
操作パラメータを調整する工程を含む。
別の態様では、本方法は、
コンピュータで実行される電子取引の時間を、等しい期間である複数のフレームに分割することと、
複数のフレームの各々におけるイベントの数を集計することと、
複数のフレームの各々におけるイベントの数の平均値と分散を計算することと、
次の式に従って、コスト関数を計算することと、

kは平均値、vは分散、Δは複数のフレームの各々における期間、及び、nは所定のアルゴリズムの調整の数であり、
計算されたコスト関数を最小化にするように、所定の時間間隔を更新することによって、
操作パラメータを調整する工程を含む。
別の態様で、本方法は、
単一のフレームとして、コンピュータで実行される電子取引の時間を設定することと、
単一のフレームでのイベントの数を集計することと、
イベントの数が0より大きい場合、単一のフレームを2つの等しいフレームに分割することと、
2つの等しいフレーム各々を2つの追加の等しいフレームにそれぞれ分割することを、追加の等しいフレームのうち1つがイベント数0を有するまで続けることと、
イベント数0を有する、1つの追加の等しいフレームのフレームサイズに基づいて、所定の時間間隔を更新することによって、操作パラメータを調整する工程を含む。
別の態様では、不正取引を検出するためのシステムが開示され、本システムは、電子取引に関連するデータに対して構成される通信インターフェースとハードウェアプロセッサを含み、
ハードウェアプロセッサは、
電子メモリに保存される所定のアルゴリズムに基づいて、電子取引が不正取引の可能性がある取引であるか否かを判断するために、データを解析し、
不正取引の可能性がある取引が、正当な電子取引であるか否か判断し、
ハードウェアプロセッサにより、不正取引の可能性がある取引が正当な電子取引であると判断された場合、所定のアルゴリズムの操作パラメータを調整する、ように構成される。
別の態様では、不正取引を検出するなどのためのコンピュータ実行可能命令を保存する非一時的なコンピュータ可読媒体が開示される。
命令は、
通信インターフェースにより、電子取引に関連するデータを受信する命令と、
不正取引の可能性がある取引が、正当な電子取引か否かを判断するために、電子メモリに保存された所定のアルゴリズムに基づいて、データをハードウェアプロセッサで解析する命令と、
不正取引の可能性がある取引が正当な電子取引であるか否かを、ハードウェアプロセッサで判断する命令と、
ハードウェアプロセッサにより、不正取引の可能性がある取引が正当な電子取引であることを判断された場合、所定のアルゴリズムにおける操作パラメータをハードウェアプロセッサで調整する命令
を含む。
例示的態様における上記の簡単な概要は、本開示の基本的な理解を提供するのに役立つ。この概要は、企図される全ての態様における広範な概観ではない。つまり、すべての態様における主要または重要な要素を特定することでもなく、本開示の任意の範囲又は全ての態様を区切ることでもないということを意図している。その唯一の目的は、以下にある本開示のより詳細な説明の前置きとして、簡略化された形式で1つまたは複数の態様を提示することである。前述の達成のために、本開示の1つまたは複数の態様は、特許請求の範囲に記載され、特に指摘される特徴を含む。
添付の図面は、本明細書に組み込まれ、その一部を構成し、本開示における1つまたはそれ以上の例示的な態様を示し、詳細な説明と共に、それらの原理および実装を説明するのに役立つ。
図1は、オンライン取引に対するユーザアクションの一例であるヒストグラムを示す。 図2は、不正なオンライン取引の検出において偽陽性を識別するシステムの一例を示す。 図3は、不正なオンライン取引の検出において偽陽性を識別する方法の一例を示す。 図4は、例示的態様に従って実装され、開示されたシステムおよび方法における、汎用コンピュータシステム(パーソナルコンピュータ又はサーバであってもよい)の一例を示す。
詳細な説明
開示されたシステムおよび方法は、不正なオンライン取引の検出において、オンライン不正行為及び偽陽性の識別を防止するため、従来の解決における欠点を解消する。例示的態様は、コンピュータ上で不正な取引を検出するためのシステム、方法及びコンピュータプログラム製品における文脈で本明細書に記載されている。当業者は、以下の説明は単なる例示であり、決して限定であることを意図するものではないことを理解するであろう。他の態様は、この開示の利益を有する当業者にとって、容易に示されるものである。参照は、添付の図面に示されるように、例示的態様の実装において詳細な説明がなされる。同じ参照指標は、図面及び以下の説明全体を通じて可能な限り、同一または同様の項目を参照するように用いられる。
概して、ユーザが銀行ウェブサイトでの資金を用いてオンライン購入を試み、一連のアクションを実行しようとすると、以下の一連のアクションを実行することになるだろう。しかし、それに限定されるものではない。例えば、そのアクションとは、マウス又はキーボードのキーを押すこと、特定のページを読込み、取引の実行、データ入力/出力の実行、オンライン取引などに関連する他のアクションの実行等である。セッションは、特定のフレームワーク(一般的には、時間間隔)によって制限されている一連のユーザアクションである。時間間隔は、(例えば、10分)に固定され、または、特定のパラメータ(例えば、サイトへのユーザの出入りにより決まるセッション時間)に依存する。
図1は、オンライン取引に対するユーザアクションのヒストグラムを示す。示されるように、ヒストグラム100は、時間に応じるユーザアクションの数を示す。例示的な目的のために、図1は、ヒストグラム100が、単一のユーザセッションを表していることを前提としている。具体的には、各列120は、与えられた時間区分(例えば、1秒)におけるアクションの典型的な数を示している。一連の列120は、フレーム110を形成し、そのサイズは可変である。したがって、当業者は、セッションが複数のフレームを含むことができることを理解するであろう。本開示の目的のために、セッションが1つまたは複数のフレーム110を含むことが想定される。解析の観点から、フレーム110は、不正取引を識別するロジックに用いられる。一般的に、本明細書で開示されるシステムおよび方法は、偏差(例えば、異常)を識別するために、選択されたフレーム110内で発生するイベントの解析が行われ、次に、それは、悪意のあるプログラム(例:マルウェア)によって実行される不正取引と解釈される可能性がある。
開示されたシステムおよび方法は、ユーザのアクションに絡む偽陽性を排除することができるように、フレーム110サイズの選択における問題を解決する。
図2は、不正なオンライン取引を検出する間に、偽陽性を識別するための例示的なシステム230を示している。例示的な態様では、悪意のあるプログラム280は、ユーザのコンピュータ210にインストールされることが可能であり、ユーザが知ることなく、ユーザのコンピュータ210からの1つまたは複数の不正な取引を実行することができる。取引データは、その後、銀行のウェブサービス240又は支払いサービスに伝送され、通常、サーバ側(バックエンド、図2には図示せず)で取引を実行するために処理される。不正アクションの観点から取引を評価するために、取引データは、ユーザアクションデータ、及び/又は、マルウェアアクションデータを含むことができ、不正な取引を検出するために、ルールデータベース260からのルールを使用するデータ解析モジュール250に提供される。
検出方法は、上述したものと同様であり、時間の単位で行われるアクションの数等のデータに基づいていることが意図されている。一般的に、不正な取引は、人によって実行される通常の取引と比較して、異常の数によって特徴付けられる。例えば、人は、データ入力画面の要素を切り替える等のために、マウスを使用して、かなり長時間、取引においてデータを入力する。対照的に、データ入力の不正な方法を使用するトロイの木馬プログラムは、ユーザの取引とは一般的に異なっており、例えば、その実行時に、マウス又はキーボードからの実際のデータ入力が存在しないこと、データ入力はかなり速いこと、などがある。データ解析モジュール250は、不正取引の可能性がある取引を検出するために、これらの違いを判断することができる。
一方、ユーザのアクションが不正取引の可能性がある取引に類似している場合、例えば、不正な取引を検出するため、調整不良のデータ解析モジュール又は間違ったルールにより、ユーザからの取引を遮断する時、偽陽性であることがかなりの可能性であるらしい。
偽陽性を排除又は低減するために、システム230は、調整モジュール270を含み、それは、データ解析ジュール250又はデータベース260の操作パラメータを変更するように構成される。
例示的な態様では、ウイルス対策ソフトウェアなどのセキュリティモジュール220もコンピュータ210にインストールされ、ユーザ取引に関する追加情報を調整モジュール270に伝送する。セキュリティモジュール220は、概して、(当業者には理解されるように)悪意のあるプログラム280を検出するように構成されているが、ウイルス対策データベースがセキュリティモジュール220に更新されない場合、又は、それらの検出用のモジュールのスイッチが入ってない場合、この検出は常に可能であるというわけではない。
図3は、不正取引の検出時の偽陽性を識別する例示的な方法を示す。図に示されるように、ステップ310で、取引データは取引中に収集される。収集したデータに基づいて、一つ又は複数の不正取引の可能性がある取引が、ステップ320で判断され、次に、本方法は、ステップ330で、取引データに基づいて、偽陽性の可能性をチェックする。偽陽性が識別されない場合、システムは、ステップ340で、通常モードで操作し続け、ステップ310から330を繰り返す工程を含むことができる。イベントにおいて偽陽性が識別される場合、システムは、ステップ350において操作パラメータを変更するように構成される。図3で示されるステップの詳細は、次に説明される。
例示的な態様によれば、ステップ310は、データ解析モジュール250と連動して、ユーザのコンピュータ210から、及び/又は、銀行のウェブサービス240から情報を得ることを含むことができる。データは、1つ又は複数のフレーム110内で収集することができ、以下を含むが、それに限定されない。
(1)キーボードのキー又はマウスのボタンでの起動回数、
(2)マウス又はトラックボールの移動軌跡、
(3)ウェブページのダウンロード
(4)ウェブページ上のリンクをクリックする頻度(速度)、および
(5)ユーザによるデータ入力の特殊性(例えば、キーストローク間のポーズ、入力時のエラーの有無及びエラー修正、マウスの使用における特徴、ウェブページ等のデータ入力フィールドへの記入。)
上述したように、本データ(ユーザのアクション又はイベントとみなすことができる)は、不正取引を判断するためのアルゴリズムに入力される。上述のように、類似の手段で動作する不正取引を検出するための多くの既知のアルゴリズムがあり、それは、悪意のあるプログラムからの取引が、実際のコンピュータのユーザによって実行される取引とは異なる場合に、一連の入力されたデータにおける異常を識別することに基づくアルゴリズムである。不正取引を検出するためのそのようなアルゴリズムの例は、米国特許8650080号、及び、米国特許公開2012/0204257に開示されており、両案件は、参照により本明細書に組み込まれる。
しかしながら、前述したように、不正取引を検出するためのこれらのアルゴリズムは、偽陽性を識別してしまうこともありえる。つまり、アルゴリズムが、誤って不正として正当な電子取引を識別するかもしれない。これは、生じる可能性があり、例えば、取引の間のデータ入力でのユーザの特定の動作は、悪意のあるプログラムの動作モデルと部分的に似ている場合があり、これにより、取引が不正として識別され、データ解析モジュール250による遮断を引き起こすかもしれない。これらの間違いを修正するために、開示された方法は、ステップ330で偽陽性(すなわち、不正であると識別された正当な電子取引)を識別する。
様々な態様において、偽陽性は異なる方法で識別することができる。
(1)失敗した電子取引に関する情報を有するコンピュータ210のユーザからの通知を受信する方法。(それは、正当な取引を識別するのに役立つ)
(2)不正な取引が実際には正当且つ安全であるという通知をセキュリティモジュール220から受信する方法。
および、当業者に知られている他の方法。
偽陽性が検出されると、システム230は、ステップ350で実行される不正取引を検出するための上で示したアルゴリズム(複数可)の動作パラメータを変更するように構成される。一態様では、動作パラメータは、イベントの数に応じてフレーム110のサイズを変更することによって変更できる。
一つの例示的な態様では、アルゴリズムのトレーニングは、以下を含むことができる。セッション(例えば、期間)でデータを収集すること。フレーム110の平均値を計算すること(例えば、セッションの平均期間をセッション中のイベントの平均数で割る)。フレーム110の最小値を計算すること(例えば、セッションの最小期間をセッション中のイベントの最小数で割る)。フレーム110の平均値と最小値の逆数を計算し、二つの計算された逆数における平均値として、フレームサイズ110を更新すること。
別の例示的な態様では、アルゴリズムのトレーニングは以下を含むことができる。セッションを等しい期間のいくつかのフレーム110に分割すること。各フレーム110内のイベントの数を集計すること。各列120内のイベントの数の平均値と分散を計算すること。そして、以下の式に従ってコスト関数を計算すること。
kは平均値、Vは分散、Δはフレームサイズ、nはトレーニングセッションの数である。コスト関数が計算されると、フレームサイズ110は、コスト関数を最小化するために変更される。
別の例示的な態様では、アルゴリズムのトレーニングは以下を含むことができる。セッション全体を1つフレーム110として取り扱うこと。フレーム110内のイベントの数を集計すること。イベントの数が0より大きい場合には、2つの等しいフレームに分割し、1つのフレームでイベントの数が0に等しくなるまで、前のステップを繰り返すこと。そして、前の手順であるフレーム分割の反復に基づいてフレームサイズを選択する。
例示的な態様によれば、フレームサイズ110が選択/更新された後、検出された不正取引で偽陽性を識別するため、システム230は、新しい偽陽性を検出されるまで操作を続ける。別の態様によれば、システムは、以前の偽陽性における特定の数の蓄積に基づいて、偽陽性を検出することができる。さらに別の態様では、開示されたシステム230は、検出された不正取引の総数に対する偽陽性の割合が一定の閾値(例えば、0.01)を超える場合のみ、図3に示した手順を実行することができる。
図4は、開示されたシステム(パーソナルコンピュータ又はサーバであってもよい)および方法は、例示的態様に従って実装することができる。コンピュータシステム20は、中央処理ユニット21、システムメモリ22及びシステムバス23を含み、システムバスは、様々なシステムコンポーネント(中央処理ユニット21に付随するメモリを含む)に接続している。システムバス23は、先行文献で知られている任意のバス構造のように実現され、順にバスメモリ又はバスメモリコントローラ、周辺バス、及びローカルバスを含み、それは、任意の他のバスアーキテクチャと相互作用することができる。システムメモリは、読み出し専用メモリ(ROM)24およびランダムアクセスメモリ(RAM)25を含む。基本入出力システム(BOIS)26は、パーソナルコンピュータ20の要素間で情報の転送を保証する基本的な手順を含み、ROM24を使用してオペレーティングシステムをロードする時にも同様である。
パーソナルコンピュータ20は、順に、データの読み書き用ハードディスク27、リムーバブル磁気ディスク29への読み書き用磁気ディスクドライブ28、及び、リムーバブル光ディスク31(CD-ROM、DVD-ROM又は他の光情報媒体等)への読み書き用光ドライブ30を含む。
ハードディスク27、磁気ディスクドライブ28、及び光ドライブ30は、それぞれ、ハードディスクインターフェース32、磁気ディスクインタフェース33及び光ドライブインターフェース34を介してシステムバス23に接続されている。
ドライブ及び対応するコンピュータ情報媒体は、パーソナルコンピュータ20のコンピュータ命令、データ構造、プログラムモジュール、およびその他のデータを記憶するための電力に依存しないモジュールである。
本開示は、ハードディスク27、リムーバブル磁気ディスク29およびリムーバブル光ディスク31を使用するシステムの実装を提供するが、コンピュータによって読み取り可能な形式でデータを保存することができる他のタイプのコンピュータ情報媒体56(ソリッドステートドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)等)を使用することも可能であることが理解されるべきであり、それらは、コントローラ55を介してシステムバス23に接続される。
コンピュータ20は、ファイルシステム36を有し、そこには記録されたオペレーティングシステム35が保持され、および、追加プログラムアプリケーション37、他のプログラムモジュール38およびプログラムデータ39、もまた同様である。
ユーザは、入力デバイス(キーボード40、マウス42)で、パーソナルコンピュータ20に、コマンドと情報を入力することができる。他の入力デバイス(図示せず)として、マイクロホン、ジョイスティック、ゲームコントローラ、スキャナ等を用いることができる。そのような入力デバイスは、通常、シリアルポート46を介してコンピュータシステム20に接続され、それは、順番に、システムバスに接続される。それらは、他の方法(例えば、パラレルポート、ゲームポート、又はユニバーサルシリアルバス(USB))を用いて接続できる。モニター47又は他のタイプの表示デバイスもまた、ビデオアダプタ48などのインタフェースを介してシステムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンター等の他の周辺出力デバイス(図示せず)を搭載することができる。
パーソナルコンピュータ20は、1つ又は複数のリモートコンピュータ49を用いて、ネットワーク環境で作業することができる。図4に示すように、リモートコンピュータ(複数可)49も、前述の要素の大部分又は全てを有するパーソナルコンピュータ又はサーバであり、その要素は、パーソナルコンピュータ20の本質を示している。ルータ、ネットワーク局、ピアデバイスまたは他のネットワークノード等、他のデバイスも、コンピュータネットワークに存在できる。
ネットワーク接続は、有線および/または無線ネットワーク等のローカルエリアコンピュータネットワーク(LAN)50、およびワイドエリアコンピュータネットワーク(WAN)を形成することができる。このようなネットワークは、企業コンピュータネットワークと社内ネットワークで使用されており、これらは一般的にインターネットへのアクセス権を有している。LANまたはWANネットワークでは、パーソナルコンピュータ20は、ネットワークで使用しているネットワークアダプタまたはネットワークインタフェース51を介してローカルエリアネットワーク50に接続される。ネットワークが用いられる場合、パーソナルコンピュータ20は、インターネットのようなワイドエリアコンピュータネットワークとの通信を提供するため、モデム54または他のモジュールを使用する。モデム54は、内部または外部デバイスであり、シリアルポート46によってシステムバス23に接続される。ネットワーク接続は、単なる例であり、ネットワークの正確な構成を示す必要はないことに留意すべきである。すなわち、現実には、Bluetooth(登録商標)などの技術的な通信モジュールによる別のコンピュータの接続を確立する他の方法がある。
様々な態様において、本明細書で説明するシステム及び方法は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実装することができる。ソフトウェアで実装する場合、その方法は、非一時的なコンピュータ可読媒体上の1つまたは複数の命令またはコードとして保存されることができる。コンピュータ可読媒体は、データ記憶を含む。コンピュータ可読媒体を以下に例示するが、限定するものではない。コンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROM、フラッシュメモリ、又は、他のタイプの電気的、磁気的、または光記憶媒体、又は他の任意の媒体、を備えることができ、命令またはデータ構造の形で所望のプログラムコードを搬送又は保存するために用いられ、汎用コンピュータのプロセッサによってアクセスすることができる。
様々な態様では、システムおよび方法は、モジュールの観点から、本開示で説明される。本明細書で使用される用語「モジュール」とは、現実世界のデバイス、コンポーネント、または、ハードウェアを用いて実装されたコンポーネントの配置を言及しており、例えば、または、ハードウェアとソフトウェアの組み合わせとして、特定用途向け集積回路(ASIC)またはフィールド・プログラマブル・ゲート・アレイ(FPGA)などによって実装され、モジュールの機能を実装するマイクロプロセッサシステムと命令セットなどによって、(実行される間に)マイクロプロセッサシステムを専用のデバイスに変換される。モジュールも、2つの組合せとして実装されることができ、ハードウェアだけによって容易とされる特定の機能、および、ハードウェアとソフトウェアの組み合わせによって容易とされる他の機能と、これらの組み合わせとして実現することができる。特定の実施態様では、少なくとも一部、およびいくつかのケースでは、モジュールのすべては、(例えば、図3上部に詳細に説明したもののように)汎用コンピュータのプロセッサ上で実行することができる。したがって、各モジュールは、適切な様々な構成で実現することができ、そして本明細書中に任意の例示的な実施形態に限定されるものではない。
明瞭にするために、態様のルーチン機能のすべてが、本明細書に開示されているわけではない。本開示における任意の実際の実装における開発で、多数の実装固有の決定が、開発者の特定の目標を達成するためになされなければならないことが理解されるであろう。さらに、これらの具体的な目標は、異なる実装及び異なる開発者に対して変化することが理解されるであろう。そのような開発努力は複雑で時間がかかるかもしれないが、それでも本開示の利益を有する当業者にとっては、エンジニアリングの日常の仕事であると理解されるであろう。
さらに、本明細書で使用される用語又は表現は、説明のためであり、制限するものではなく、つまり、関連技術の熟練の知識と組み合わせて、本明細書の用語または表現は、ここに示される教示及び指針に照らして当業者によって解釈されるべきであることが理解されるべきである。
明示的な記載がない限り、明細書または特許請求の範囲内で、任意の用語に対して、珍しいまたは特別な意味を帰することは意図されていない。
本明細書で開示された様々な態様は、例示のために本明細書に言及した既知のモジュールの、現在および将来の既知の均等物を包含する。さらに、態様および用途を示し、説明してきたが、本明細書に開示された発明の概念から逸脱することなく、上述したよりも多くの改変が可能であることが、この開示の利益を有する当業者には明らかであろう。

Claims (14)

  1. 不正取引を検出する方法であって、
    工程(1)〜(4)を備え、
    前記工程(1)では、通信インターフェースにより少なくとも1つの電子取引に関連するデータを受信し、
    前記データは、
    所定の時間間隔の間、前記少なくとも1つの電子取引を実行するコンピュータによって実行されるイベントの数であり、
    少なくとも1つのユーザアクションデータとマルウェアアクションデータを含み、
    前記工程(2)では、前記少なくとも1つの電子取引が不正取引の可能性がある取引であるか否かを判断するために、電子メモリに保存された所定のアルゴリズムに基づいて、受信した前記データをプロセッサで解析し、
    前記工程(3)では、前記不正取引の可能性がある取引が正当な電子取引であるか否かを、前記プロセッサで判断し、
    前記工程(4)では、前記プロセッサにより、前記不正取引の可能性がある取引が正当な電子取引であることを判断された場合、前記所定のアルゴリズムにおける操作パラメータを前記プロセッサで調整し、
    前記データは、所定の時間間隔の間、要求された前記少なくとも1つの電子取引を遂行するようにコンピュータで実行されるイベントの数であり、且つ前記所定の時間間隔は、前記所定のアルゴリズムの前記操作パラメータの少なくとも1つであり、
    前記操作パラメータの調整は、前記少なくとも1つの電子取引が不正取引であると判定される偽陽性を排除又は低減するために前記所定の時間間隔の長さを調整することを含み、
    前記判定は、調整された前記所定の時間間隔に前記少なくとも1つの電子取引に対して実行されたイベントの数に基づいて行われる、
    方法。
  2. 前記コンピュータで実行される前記イベントの数は、キーボード上のキーの起動回数、コンピュータのマウスのボタンの起動回数、前記マウス又はトラックボールの移動軌跡、ウェブページのダウンロード、ウェブページ上でリンクを選択する頻度、キーストロークのタイミング、及びキーストローク中のエラーの有無及びエラー修正、のうち少なくとも1つを含む、
    請求項1に記載の方法。
  3. 前記操作パラメータを調整する工程は、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の平均期間を割ることによって、平均フレーム値を計算する工程と、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の最小期間を割ることによって、最小フレーム値を計算する工程と、
    前記平均フレーム値及び前記最小フレーム値のそれぞれの逆数を計算する工程と、
    前記それぞれ計算された逆数の平均値として、前記所定の時間間隔を更新する工程と、を備える、
    請求項1に記載の方法。
  4. 前記操作パラメータを調整する工程は、
    前記コンピュータで実行される前記少なくとも1つの電子取引の時間を、等しい期間である複数のフレームに分割する工程と、
    前記複数のフレームの各々におけるイベントの数を集計する工程と、
    前記複数のフレームの各々におけるイベントの数の平均値と分散を計算し、且つ次の式に従って、コスト関数を計算する工程と、

    (kは平均値、vは分散、Δは前記複数のフレームの各々における期間、及び、nは前記所定のアルゴリズムの調整の数)
    前記計算されたコスト関数を最小化にするように、前記所定の時間間隔を更新する工程と、を備える、
    請求項1に記載の方法。
  5. 前記操作パラメータを調整する工程は、
    単一のフレームとして前記コンピュータで実行される前記少なくとも1つの電子取引の時間を設定する工程と、
    前記単一のフレームでのイベントの数を集計する工程と、
    前記イベントの数が、0より大きい場合、前記単一のフレームを2つの等しいフレームに分割する工程と、
    2つの等しいフレーム各々を2つの追加の等しいフレームにそれぞれ分割することを、前記追加の等しいフレームのうち1つがイベントの数0を有するまで続ける工程と、
    イベントの数0を有する、1つの前記追加の等しいフレームのフレームサイズに基づいて、前記所定の時間間隔を更新する工程と、を備える、
    請求項1に記載の方法。
  6. 不正取引を検出するシステムであって、
    通信インターフェースと、プロセッサと、を備え、
    前記通信インターフェースは、少なくとも1つの電子取引に関連するデータを受信するように構成され、
    前記データは、
    所定の時間間隔における前記少なくとも1つの電子取引を実行するコンピュータによって実行されるイベントの数であり、
    少なくとも1つのユーザアクションデータとマルウェアアクションデータを含み、
    前記プロセッサは、工程(2)〜(4)を実行するように構成され、
    前記工程(2)では、前記少なくとも1つの電子取引が不正取引の可能性がある取引であるか否かを判断するために、電子メモリに保存された所定のアルゴリズムに基づいて、前記受信したデータを解析し、
    前記工程(3)では、前記不正取引の可能性がある取引が正当な電子取引であるか否かを判断し、
    前記工程(4)では、前記不正取引の可能性がある取引が正当な電子取引であることを判断された場合、前記所定のアルゴリズムにおける操作パラメータを調整し、
    前記データは、所定の時間間隔の間、要求された前記少なくとも1つの電子取引を遂行するようにコンピュータで実行されるイベントの数であり、且つ前記所定の時間間隔は、前記所定のアルゴリズムの前記操作パラメータの少なくとも1つであり、
    前記操作パラメータの調整は、前記少なくとも1つの電子取引が不正取引であると判定される偽陽性を排除又は低減するために前記所定の時間間隔の長さを調整することを含み、
    前記判定は、調整された前記所定の時間間隔に前記少なくとも1つの前記電子取引に対して実行されたイベントの数に基づいて行われる、
    システム。
  7. 前記コンピュータで実行される前記イベントの数は、キーボード上のキーの起動回数、コンピュータのマウスの起動回数、前記マウス又はトラックボールの移動軌跡、ウェブページのダウンロード、ウェブページ上でリンクを選択する頻度、キーストロークのタイミング、及び、キーストローク中のエラーの有無及びエラー修正、のうち少なくとも1つを含む、
    請求項6に記載のシステム。
  8. 前記プロセッサは、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の平均期間を割ることによって、平均フレーム値を計算することと、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の最小期間を割ることによって、最小フレーム値を計算することと、
    前記平均フレーム値と前記最小フレーム値のそれぞれの逆数を計算することと、
    計算される逆数のそれぞれの平均値として前記所定の時間間隔を更新することとによって、前記操作パラメータを調整するように構成される、
    請求項6に記載のシステム。
  9. 前記プロセッサは、
    前記コンピュータで実行される前記少なくとも1つの電子取引の時間を、等しい期間である複数のフレームに分割することと、
    前記複数のフレームの各々におけるイベントの数を集計することと、
    前記複数のフレームの各々におけるイベントの数の平均値と分散を計算し、且つ次の式に従ってコスト関数を計算することと、

    (kは平均値、vは分散、Δは複数のフレームの各々における期間、及び、nは所定のアルゴリズムの調整の数)
    計算されたコスト関数を最小化するように、前記所定の時間間隔を更新することによって、操作パラメータを調整するように構成される、
    請求項8に記載のシステム。
  10. 前記プロセッサは、
    単一のフレームとして前記コンピュータで実行される前記少なくとも1つの電子取引の時間を設定することと
    前記単一のフレームでのイベントの数を集計することと、
    前記イベントの数が0より大きい場合には、前記単一のフレームを2つの等しいフレームに分割することと、
    前記2つの等しいフレーム各々を、2つの追加の等しいフレームにそれぞれ分割することを、前記追加の等しいフレームのうち1つがイベントの数0を有するまで続けることと、
    イベントの数0を有する、1つの前記追加の等しいフレームのフレームサイズに基づいて、前記所定の時間間隔を更新することと、によって操作パラメータを調整するように構成されている、
    請求項6に記載のシステム。
  11. 不正取引を検出するためのコンピュータ実行可能な命令を保存する、非一時的なコンピュータ可読媒体であって、
    前記命令は、命令(1)〜(4)を含み、
    前記命令(1)では、通信インターフェースによって、少なくとも1つの電子取引に関連するデータを受信し、
    前記データは、
    所定の時間間隔における前記少なくとも1つの電子取引を実行するコンピュータによって実行されるイベントの数であり、
    少なくとも1つのユーザアクションデータとマルウェアアクションデータを含み、
    前記命令(2)では、電子メモリに保存される所定のアルゴリズムに基づいて、前記少なくとも1つの電子取引が不正取引の可能性がある取引であるか否かを判断するために、前記受信したデータを解析し、
    前記命令(3)では、前記不正取引の可能性がある取引が正当な電子取引であるか否かを判断し、
    前記命令(4)では、前記不正取引の可能性がある取引が正当な電子取引であると判断された場合、前記所定のアルゴリズムの操作パラメータを調整し、
    電子取引に関連する前記データは、所定の時間間隔の間、要求された前記少なくとも1つの電子取引を遂行するようにコンピュータで実行されるイベントの数であり、且つ前記所定の時間間隔は、前記所定のアルゴリズムの前記操作パラメータの少なくとも1つであり、
    前記操作パラメータの調整は、前記少なくとも1つの電子取引が前記不正取引であると判定される偽陽性を排除又は低減するために前記所定の時間間隔の長さを調整することを含み、
    前記判定は、調整された前記所定の時間間隔に前記少なくとも1つの電子取引に対して実行されたイベントの数に基づいて行われる、
    非一時的なコンピュータ可読媒体。
  12. 不正取引を検出するため、コンピュータ実行可能命令は、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の平均期間を割るとによって、平均フレーム値を計算する命令と、
    前記コンピュータで実行されるイベントの数により、前記コンピュータで実行される前記少なくとも1つの電子取引の時間の最小期間を割ることによって、最小フレーム値を計算する命令と、
    前記平均フレーム値及び前記最小フレーム値のそれぞれの逆数を計算する命令と、
    各々の計算された逆数の平均値として、前記所定の時間間隔を更新する命令を、さらに含む、
    請求項11に記載の非一時的なコンピュータ可読媒体。
  13. 不正取引を検出するため、コンピュータ実行可能命令は、
    前記コンピュータで実行される前記少なくとも1つの電子取引の時間を、等しい期間である複数のフレームに分割する命令と、
    前記複数のフレームの各々でのイベントの数を集計する命令と、
    前記複数のフレームの各々でのイベントの数の平均値と分散を計算し、且つ次の式に従って、コスト関数を計算する命令と、

    (kは平均値、vは分散、Δは複数のフレーム各々における期間、nは、所定のアルゴリズムの調整の数)
    前記計算されたコスト関数を最小化するように、前記所定の時間間隔を更新する命令を、さらに含む、
    請求項11に記載の非一時的なコンピュータ可読媒体。
  14. コンピュータ実行可能命令は、不正取引を検出するために、
    単一フレームとして、前記コンピュータで実行される前記少なくとも1つの電子取引の時間を設定する命令と、
    前記単一フレームでの前記イベントの数を集計する命令と、
    前記イベントの数が0より大きい場合、前記単一フレームを2つの等しいフレームに分割することを、追加の等しいフレームのうち1つがイベントの数0を有するまで続ける命令と、
    イベントの数0を有する、1つの前記追加の等しいフレームのフレームサイズに基づいて、前記所定の時間間隔を更新する命令とをさらに含む、
    請求項11に記載の非一時的なコンピュータ記憶媒体。
JP2016096774A 2015-02-20 2016-05-13 不正なオンライン取引を検出するためのシステムおよび方法 Active JP6472771B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
RU2015105806/08A RU2599943C2 (ru) 2015-02-20 2015-02-20 Способ оптимизации системы обнаружения мошеннических транзакций
US14/721,872 US20160247158A1 (en) 2015-02-20 2015-05-26 System and method for detecting fraudulent online transactions
US14/721,872 2015-05-26

Publications (2)

Publication Number Publication Date
JP2016224929A JP2016224929A (ja) 2016-12-28
JP6472771B2 true JP6472771B2 (ja) 2019-02-20

Family

ID=56693202

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2016014048A Pending JP2016167254A (ja) 2015-02-20 2016-01-28 不正なオンライン取引を検出するためのシステムおよび方法
JP2016096774A Active JP6472771B2 (ja) 2015-02-20 2016-05-13 不正なオンライン取引を検出するためのシステムおよび方法

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2016014048A Pending JP2016167254A (ja) 2015-02-20 2016-01-28 不正なオンライン取引を検出するためのシステムおよび方法

Country Status (4)

Country Link
US (2) US20160247158A1 (ja)
JP (2) JP2016167254A (ja)
CN (1) CN105913257B (ja)
RU (1) RU2599943C2 (ja)

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134630A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US10528948B2 (en) * 2015-05-29 2020-01-07 Fair Isaac Corporation False positive reduction in abnormality detection system models
FR3057378B1 (fr) * 2016-10-07 2022-03-18 Worldline Systeme de detection de fraude dans un flux de donnees
RU2634174C1 (ru) * 2016-10-10 2017-10-24 Акционерное общество "Лаборатория Касперского" Система и способ выполнения банковской транзакции
CN108243049B (zh) * 2016-12-27 2021-09-14 ***通信集团浙江有限公司 电信欺诈识别方法及装置
US20180308099A1 (en) * 2017-04-19 2018-10-25 Bank Of America Corporation Fraud Detection Tool
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10616267B2 (en) * 2017-07-13 2020-04-07 Cisco Technology, Inc. Using repetitive behavioral patterns to detect malware
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
US11694293B2 (en) * 2018-06-29 2023-07-04 Content Square Israel Ltd Techniques for generating analytics based on interactions through digital channels
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US10263996B1 (en) 2018-08-13 2019-04-16 Capital One Services, Llc Detecting fraudulent user access to online web services via user flow
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
SG11202101192YA (en) 2018-09-11 2021-03-30 Mastercard Tech Canada Ulc Optimized execution of fraud detection rules
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US20210035118A1 (en) * 2019-07-30 2021-02-04 Bank Of America Corporation Integrated interaction security system
US11489862B2 (en) 2020-01-22 2022-11-01 Forcepoint Llc Anticipating future behavior using kill chains
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11303672B2 (en) 2020-04-02 2022-04-12 International Business Machines Corporation Detecting replay attacks using action windows
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060235795A1 (en) * 2005-04-19 2006-10-19 Microsoft Corporation Secure network commercial transactions
MX2008011021A (es) * 2006-03-02 2008-09-10 Visa Int Service Ass Metodo y sistema para realizar autenticacion de dos factores en transacciones de ordenes por correo y ordenes por telefono.
US8650080B2 (en) * 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
GB0901407D0 (en) * 2009-01-28 2009-03-11 Validsoft Uk Ltd Card false-positive prevention
US20120072982A1 (en) * 2010-09-17 2012-03-22 Microsoft Corporation Detecting potential fraudulent online user activity
IL226747B (en) * 2013-06-04 2019-01-31 Verint Systems Ltd A system and method for studying malware detection
US10019744B2 (en) * 2014-02-14 2018-07-10 Brighterion, Inc. Multi-dimensional behavior device ID
US20160125290A1 (en) * 2014-10-30 2016-05-05 Microsoft Technology Licensing, Llc Combined discrete and incremental optimization in generating actionable outputs

Also Published As

Publication number Publication date
JP2016167254A (ja) 2016-09-15
RU2599943C2 (ru) 2016-10-20
CN105913257B (zh) 2020-04-07
US20160247158A1 (en) 2016-08-25
CN105913257A (zh) 2016-08-31
JP2016224929A (ja) 2016-12-28
US20190057388A1 (en) 2019-02-21
RU2015105806A (ru) 2016-09-10

Similar Documents

Publication Publication Date Title
JP6472771B2 (ja) 不正なオンライン取引を検出するためのシステムおよび方法
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
RU2587423C2 (ru) Система и способ обеспечения безопасности онлайн-транзакций
RU2610254C2 (ru) Система и способ определения измененных веб-страниц
USRE46158E1 (en) Methods and systems to detect attacks on internet transactions
US11140150B2 (en) System and method for secure online authentication
ES2854701T3 (es) Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones
CN106326737B (zh) 用于检测可在虚拟堆栈机上执行的有害文件的***和方法
US9542683B2 (en) System and method for protecting electronic money transactions
JP6438534B2 (ja) 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
EP2922265B1 (en) System and methods for detection of fraudulent online transactions
US8266704B1 (en) Method and apparatus for securing sensitive data from misappropriation by malicious software
US10580004B2 (en) System and method of identifying new devices during a user's interaction with banking services
EP3059694B1 (en) System and method for detecting fraudulent online transactions
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
EP3012771B1 (en) System and method for protecting electronic money transactions
EP2854088A1 (en) A system and method for ensuring safety of online transactions
EP3261009B1 (en) System and method for secure online authentication
EP3306508A1 (en) System and method for performing secure online banking transactions

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170516

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170816

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171013

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180327

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180727

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20181106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20190115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20190123

R150 Certificate of patent or registration of utility model

Ref document number: 6472771

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250