检测欺诈用户交易的系统和方法与流程

本公开总体上涉及计算机安全领域，并且具体而言，涉及检测欺诈用户交易的系统和方法。

背景技术：

人们越来越多地使用各种计算装置(例如，计算机、平板电脑、笔记本、智能电话等)，以简化其日常任务：读报纸、通过电子邮件或即时消息业务通信、网上购物等。使用计算装置的一个重要领域是远程管理资金或网上银行。远程管理资金是将资金从一个银行账户转到另一个银行账户的非常方便的方法，但是该资金管理方法不是很安全，在访问互联网的每个计算装置可能受到罪犯的攻击的世界，使用上述计算装置来管理其资金的人的资金也遭受危险。

为了保护用户远离罪犯(使用例如恶意软件(例如，密钥跟踪器)盗取资金管理的账户记录的人)的活动，银行通常使用多重认证，这可以降低除了银行账户的所有者以外的人访问资金的可能性。在使用多重认证时，用户应使用几种方法来确认其身份，以便接收某些服务(例如，输入对应账户记录的登录和密码，并且还输入通过sms消息提供的一次性密码)。然而，可能具有以下情况：罪犯访问用于多重认证的所有装置。因此，需要提供安全的其他方法，以确保用户及其资金的安全。

技术实现要素：

本发明提供了检测在与远程银行服务器交互时用户的行为的异常的问题的更有效的解决方案。本发明的一个技术成果包括在用户交易中保护远程银行服务器远离欺诈行为，如果在用户的计算装置与远程银行服务器交互期间，检测到欺诈行为，则通过阻止用户的装置与远程银行服务器的交互来实现。

一种用于在用户交易时检测欺诈活动的示例性方法包括：在用户通过输入装置与在计算装置上的应用程序的图形接口的一组或多组元素交互时，收集用户行为数据；由处理器基于所收集的用户行为数据，计算所述图形接口的每组元素的异常用户行为系数；在异常用户行为系数的组合超过预定的阈值时，由所述处理器检测欺诈活动；并且响应于检测到欺诈活动，由所述处理器阻止用户与应用程序的交互。

在一个示例性方面，用户与一组或多组元素的交互涉及用户通过银行应用、银行网站或自动柜员机中的一个进行金融交易。

在一个示例性方面，收集用户行为进一步包括：通过生成数据的散列和来进行所收集的用户数据的去个性化。

在一个示例性方面，计算异常用户行为系数，包括使用用户的已知行为训练行为分类算法。

在一个示例性方面，所述异常用户行为系数是通过将简单概率分类器应用于所收集的用户行为数据来计算的数值。

在一个示例性方面，计算异常用户行为系数的组合，包括以下中的一个或多个：计算用户访问图形接口的一组元素的次数；计算图形接口的元素的组数，通过图形接口的这些组元素用户能够获得对图形接口的另一组元素的访问；计算完成交易所需要的用户的基本活动的数量，其中，基本活动包括移动鼠标光标、按压输入装置的键、在计算装置的屏幕上移动用户的手指或铁笔而不从屏幕表面拿掉、使用户的手指或铁笔与计算装置的屏幕接触中的一个或多个；以及在确定的时间段内，计算代表用户执行的欺诈活动的已知案例数。

在一个示例性方面，响应于检测到欺诈活动，所述方法包括将进行欺诈活动的应用归类为恶意的。

一种用于在用户交易时检测欺诈活动的示例性系统包括：处理器，被配置成：在用户通过输入装置与在计算装置上的应用程序的图形接口的一组或多组元素交互时，收集用户行为数据；基于所述收集的用户行为数据，计算所述图形接口的每组元素的异常用户行为系数；在异常用户行为系数的组合超过预定的阈值时，检测欺诈活动；以及响应于检测到欺诈活动，阻止用户与应用程序交互。

实例方面的以上简化发明内容用于提供本公开的基本理解。该发明内容并非所有预期方面的广泛概述，旨在不识别所有方面的关键或决定性元素，也不描绘本公开的任何或所有方面的范围。其唯一目的在于，通过简化的形式呈现一个或多个方面，作为以下公开内容的更详细描述的序言。为了实现以上内容，本公开的一个或多个方面包括在权利要求中描述和特别指出的特征。

附图说明

包含在本说明书内并且构成本说明书的一部分的附图示出了本公的一个或多个实例方面，并且与详细描述一起用于解释其原理和实现方式。

图1示出了用于检测欺诈用户交易的示例性系统的示图；

图2示出了用户与应用图形接口的元素交互的实例；

图3示出了用于检测欺诈用户交易的示例性方法的流程图；

图4示出了可以根据一个实例方面实现公开的系统和方法的通用计算机系统的实例。

具体实施方式

在用于在用户交易中检测欺诈行为的系统、方法以及计算机程序产品的背景中，在本文中描述实例方面。本领域的技术人员会理解的是，以下描述仅仅是说明性的，并非旨在通过任何方式限制。其他方面容易浮现在具有本公开的优点的本领域的技术人员的脑海中。现在，详细参考在附图中示出的实例方面的实现方式。在附图和以下描述中尽可能使用相同的附图标记来表示相同或相似的物品。

在本文中的公开内容提供用于促进解释不同方面的多个定义和概念。应理解的是，提供以下定义，用于示例性方面的目的。

恶意应用程序是能够对计算机或计算机的用户造成伤害的应用程序(软件)，例如，因特网蠕虫、密钥跟踪器或计算机病毒。造成的伤害可能非法访问计算机资源，包括储存在计算机上的数据，用于盗窃的目的，并且还非法使用资源，包括数据存储器，进行计算等。

关于用户行为的数据是由计算装置的至少输入装置获得的信息。该信息可以包括关于计算装置的输入装置的使用的数据：击键、按压触摸屏的坐标、在触摸屏之上移动手指/铁笔的轨道等。在通常情况下，该信息描述用户使用计算装置的方式以及用户在哪些情况下使用计算装置。

异常用户行为系数是其数值越大行为的特征越少的数值，聚集并且用于计算该系数的数据是针对上述用户的。在一个实例中，在与图形用户的一组元素交互时，朴素贝叶斯可以用于计算应用于关于用户行为的数据中的异常系数。

基本活动是用户可以关于计算装置执行的装置的用户活动。基本活动可以包括但不限于；移动鼠标指针、按压输入装置的键盘、在计算装置的屏幕之上移动个人的手指或铁笔而不从屏幕表面中拿掉、用户的手指或铁笔在计算装置的屏幕上接触。

欺诈活动是利用用户的装置或属于用户的账户记录执行的与远程银行服务器的交互，以便执行所述活动，并且用户不知道。可以借助于应用程序执行所述活动。关于欺诈活动的已知案例的信息可以储存在远程银行服务器上的数据库内，例如，欺诈活动的案例的日期以及是否确实是欺诈活动(而非虚假警报)的指示。拥有对应信息的银行职员可以将该信息加入数据库中。

与远程银行服务器交互的一个目的可能是与远程服务器的参与进行交易。与远程银行服务器交互的另一个目的是关于资金的任何其他操作(例如，获得关于存在于特定银行账户内的资金的信息)。用户或者以用户名义的第三方可以例如通过用户的装置或属于用户的账户记录进行交互，以执行上述交互，而用户不知道。应理解的是，无论谁与远程银行服务器交互，都使用特定的计算装置进行交互。个人(用户)通过安装在用户的计算装置上的应用程序(稍后公开的类型和特征)与远程银行服务器交互。

图1示出了用于通过用户的计算装置使用远程银行服务器检测欺诈用户交易的示例性系统的方框图。用户使用计算装置100与远程银行服务器150交互。计算装置100可以是计算机、笔记本、智能电话、平板电脑、或具有处理器和随机存取存储器的任何其他装置(例如，智能手表腕表)。在图4呈现了示例性计算装置的详细示图。远程银行服务器150包括一组硬件和软件元件，用于实现与用户装置100交互，以便管理用户的资金。在一个方面，银行服务器150是与计算装置100相同的计算装置。在另一个方面，服务器150是一组计算装置，构成远程银行服务器150的资源设置在这组计算装置上。在一个示例性方面，远程银行服务器150属于银行(在金融领域执行活动的法人实体)。使用计算装置100，用户可以与远程银行服务器150交互，包括管理或划拨资金、查询帐户结余等。应理解的是，罪犯也可以使用装置100。在这种情况下，与服务器150进行交互，如同用户进行一样。形式上，在这种情况下，用户还执行与远程银行服务器的交互，除非证明相反(例如，如果检测到欺诈活动)。

为了与远程银行服务器150交互，计算装置100的用户使用应用程序100，该应用程序可以是：互联网浏览器，用户通过互联网浏览器获得访问远程银行服务器150的网络客户端；或者为计算装置100的硬件平台开发的应用程序(原生应用程序)，例如，从银行定购的，在一个示例性方面，这种应用程序是用于不同族的操作系统(os)(android、ios、windows、unix等)的应用程序。

应用程序110向用户呈现与远程银行服务器150交互的应用程序的图形接口115的一组元素。在一个示例性方面，应用程序的图形接口115的这种元素可以是：按钮、输入字段、显示信息的字段(包括文本和图形)、复选框接口元素、滚动条以及图形接口的任何其他元素，通过这些元素，发生用户(通过装置100)和远程银行服务器150的交互。在一个示例性方面，为了访问在应用程序110中显示的内容，用户应通过认证，远程银行服务器150需要该认证来验证装置100的用户的身份。在一个示例性方面，可以使用由服务器150验证的账户名和密码，进行装置100的用户的认证。在另一个方面，可以基于装置认证，进行用户的认证，在这种情况下，假设仅仅装置的所有者可以使用装置100。

在一个示例性方面，应用程序110包括行为确定模块120，确定模块120被配置成在用户与图形接口115的元素交互期间，聚集关于用户行为的数据。模块120进一步被配置成将图形接口的元素聚集在一起并且聚集关于用户与构成所述组的图形接口的元素的交互的数据。与图形接口的元素的交互至少包括：通过图形接口的元素输入的数据(按压按钮或在文本字段内输入数据)、在显示所述元素的屏幕的区域之上移动光标(移动手指/铁笔)。这种分组的结果的实例可以是仅仅包括文本输入字段的组、包括文本输入字段和按钮的组、或包括通过应用程序110向用户显示的整组图形元素的组(例如，应用程序110的窗口的接口115的一组图形元素、或向用户显示的网页的图形接口115的一组元素，如果应用程序110是网页浏览器)。在一个示例性方面，可以实现模块120，作为由应用程序110向用户显示的网页的元件，例如，作为具有javascript语言的脚本(这种实现是应用程序110是网页浏览器的情况的特征)。在另一个示例性方面，可以实现模块120，作为应用程序库，并且可以由银行以及应用程序110提供。在一个示例性方面，通过检索对应系统api函数(例如，用于windowsos的“getcursorposition”)或者从对应事件处理程序(例如，用于osandroid的“ontouch”)中，可以收集关于用户行为的数据。

关于用户行为的数据构成通过输入装置提供给装置100(因此，提供给应用程序110)的信息。根据装置100的硬件和软件，例如，装置的类型(例如，智能电话或笔记本)、装置100的os族、以及应用程序110的类型(是否是网页浏览器)，这种信息的容量可以不同。

在一个示例性方面，关于用户行为的数据包括由“鼠标”型操纵器提供的信息，例如，光标的坐标(例如，相对于装置100的屏幕)；以及按压/释放按钮的坐标。

在另一个示例性方面，关于用户行为的数据包括由装置100的键盘(包括在装置100的触摸屏上显示的键盘)提供的信息，例如，对应于按压的按键的键盘字符；以及按压的两个或三个按键的序列。

在另一个示例性方面，关于用户行为的数据包括由装置100的触摸屏提供的信息，例如，按压/释放屏幕的点的坐标；以及按压屏幕的力。

在另一个示例性方面，关于用户行为的数据包括由装置100的麦克风提供的信息，例如，具有数字格式的声音的记录。

在另一个示例性方面，关于用户行为的数据包括由装置100的照明传感器提供的信息，例如，关于在传感器附近的光源的存在和强度的信息。

在另一个示例性方面，关于用户行为的数据包括由装置100的摄影机/摄像机提供的信息，例如，由相机拍摄的照片；以及由相机记录的视频剪辑。

在另一个示例性方面，关于用户行为的数据包括由装置100的加速计提供的信息，例如，关于在空间内装置的位置变化的信息。

在一个示例性方面，除了上述信息，行为确定模块120还另外聚集关于每个上述事件的时间(每个上述事件(移动光标、按压屏幕)的时间戳)的信息。在一个示例性方面，如果应用程序110是网页浏览器，则模块120收集关于行为的数据的能力可以受到javascript提供的能力限制(如果用javascript语言写入脚本)。在一个示例性方面，考虑这种限制，模块120聚集关于行为的数据，所述数据包括由“鼠标”型操纵器、装置100的键盘以及装置100的触摸屏提供的信息。在另一个示例性方面，如果应用程序110并非网络客户端，则行为确定模块120聚集关于行为数据。由计算装置100的os资源提供对该数据的访问。

在一般情况下，聚集的行为数据的容量取决于装置100的软件和硬件。

在一个示例性方面，用户的计算装置100还可以包括安全模块130，安全模块130被配置为在用户与图形接口115的元素组交互用于与远程银行服务器150进行交互时，收集关于计算装置100的哪些应用程序访问关于用户行为的数据的信息。为此，安全模块130可以登录负责访问关于用户行为的数据系统函数的调用(保持关于哪个应用程序的过程检索这些函数的信息)(例如，“setcursorpos”函数)。在一个示例性方面，安全模块130包括os核心级驱动器，通过该驱动器，模块130拦截访问关于用户行为的数据的函数调用。

在一个示例性方面，在光标(对于“鼠标”型操纵器)的位置改变时，“鼠标”装置的中断处理程序检索光标坐标变化函数(例如，“setcursorpos”)，该光标因此改变其在计算装置100的屏幕上的位置；然后，包括嵌入处理中断处理程序的请求的驱动器的堆栈内的驱动器的安全模块130接收关于哪个过程改变光标的坐标的信息(例如，真实“鼠标”装置的驱动器或某个应用程序，例如，恶意应用程序)。

在一个示例性方面，安全模块130可以是杀毒软件。

在另一个方面，由安全模块130聚集的信息可以储存在作为模块130的一部分的数据库内。

在聚集关于用户行为的数据之后，行为确定模块120可以给行为分类模块160转发该数据以及关于在与装置110的用户接口115的哪些组的图形元素交互的期间收集所述数据的信息。在另一个示例性方面，在与图形接口的规定的一组元素组(例如，与至少5组)交互时，仅仅聚集关于用户行为的数据之后，行为确定模块120将上述信息传输给模块160。

应注意的是，在传输由模块120聚集的关于用户行为的数据之前，该数据可以通过模块120经受处理：例如，光标的这组坐标转换成光标的运动轨道，而按压触摸屏并且释放的点的这组坐标转换成在屏幕之上(刷)移动手指的轨道。在一个示例性方面，在规定的时间间隔(例如，5分钟或24小时)内，由模块120收集关于用户行为的数据，然后，将该数据传输给行为分类模块160。在另一个示例性方面，在用户与图形接口115的单独一组元素交互时，可以收集关于用户行为的数据：如果例如用户将光标从图形接口115的一组元素移动到另一组元素，或者如果用户从总体上构成图形接口的一组元素的一个网页移动到另一个页面，行为数据由模块120被发送给模块160。

在另一个示例性方面，模块120如下执行收集的数据的处理：对于鼠标光标的移动(由光标移动穿过的这组点确定的移动)，计算位移矢量(例如，在光标位置的端点与起始点之间)，在光标的每个点上的运动和加速度的速率以及角速度和角加速度(为了相当于运动的起始点将光标从一个移动点移动到下一个移动点所计算的)。

在一个示例性方面，行为确定模块120可以执行收集的数据的“去个性化”(例如，避免违反用于收集个人数据的装置100的用户的隐私权，还防止传输大量数据)，关于用户的行为收集的数据可以经受处理，例如，使用散列函数(例如，md5、sha-0或sha-1等)。因此，可以不向模块160发送关于用户的行为的“原始”数据，而是发送散列和，所述散列和具有(仅仅由发生碰撞的可能性限制)唯一识别关于装置100的用户行为的数据的很高的可能性，并且使用上述散列和，不可能重构其中计算相应散列和的数据。在一个示例性方面，关于装置100的用户的行为收集的所有数据经受这种处理。在另一个示例性方面，仅仅包括由相机拍摄的照片和视频剪辑以及具有数字格式的声音记录的数据可以经受这种处理。

在一个示例性方面，行为分类模块160被配置成在与行为确定模块120聚集关于用户的行为的哪组数据交互期间，计算图形接口的每组元素的异常用户行为系数。异常用户行为系数是在对装置的所有者(或账户记录，用于与远程银行服务器交互)异常的用户的行为(根据关于行为聚集的数据)的程度上示出的数字，例如，从0到100的数字(在另一个方面，任何其他实数)。该数字越大，该越少的用户特征是关于在用户与远程银行服务器150交互期间收集的数据的行为。在一个示例性方面，异常系数的值0表示关于在用户与某组图形元素交互期间收集的数据的用户的行为完全符合装置100的用户。

为了计算异常用户行为系数，分类模块160使用分类算法，例如，朴素贝叶斯分类器等。这种算法的输入数据是在用户与图形接口115的一组元素交互期间关于用户行为的数据。这种算法的工作结果是被视为异常用户行为系数的数字。

为了行为分类模块160能够计算异常用户行为系数，首先使用的分类算法经受学习阶段。在学习期间，通过关于在用户与图形接口115的不同元素组交互期间的计算装置100的用户的行为的明确已知的数据(下面提供这种数据的实例)以及关于这种交互是否是欺诈活动的明确已知的信息(如果其他人使用装置100)，呈现算法。在一个示例性方面，用于学习的信息可以储存在数据库165内。除了在使用相同装置100时使用这种算法能够区分一个用户和另一个用户的行为，该算法还能够认识到用户的行为由软件模仿的情况：在这种模仿期间的光标的运动轨道让人想起直线，通过按压键，以删除输入的最后字符，通常不实现使用图形接口的元素输入文本来输入的数据，在用户使用装置100时，加速传感器通常表示该装置并非静止，照明传感器还通常表示在完全黑暗时用户不使用装置100，并且在真实用户使用装置100时，麦克风可以记录某些声音(例如，由用户的运动造成)，这并非软件模仿用户的行为的情况的特征。

在一个示例性方面，为了分类算法的教导内容，在与远程银行服务器150交互期间关于计算装置100的用户的行为的明确已知的数据(具体而言，与用户与远程银行服务器150交互的图形接口115的元素组)由行为确定模块120连续收集并且传输给行为分类模块160，这在数据库165中保存该信息。控制的数据先验被视为对应于非欺诈活动(在收集关于用户行为的数据期间与远程服务器150的交互不被视为欺诈活动)，直到在实现本发明的至少一种方法的背景下，检测(证明)相反的这组时间，或者银行员工本身通过用户的装置100指示欺诈活动的周期，从而指示在与图形接口115的元素组交互时对应于关于用户的行为收集的数据的欺诈活动的实例。在一个示例性方面，人们使用关于用户行为的数据来教导分类算法，在特定的时间间隔(例如，一个月或一年)收集所述数据。在一个示例性方面，为了教导，在教导分类算法的时刻之前(例如，一个月)，人们选择不迟于某个时间量结束的规定的长度的时间间隔(例如，一个月，如上所述)，在教导中的这种类型的“延迟”可用于银行员工可以在指示的时间段(在收集关于用户行为的数据的结束与教导算法的开始之间)内发现欺诈活动并且对储存在数据库165内的数据做出相应改变的情况。

接下来，参考图2，提供行为分类模块160的工作的实例。图2描述了计算装置100(在规定的情况下，智能电话)，其中，关于用户行为的数据包括至少按压/释放装置100的触摸屏的点的坐标。在与远程银行服务器150交互期间，在用户与应用程序110的图形接口115的一组元素(在规定的情况下，向用户显示的图形接口的所有元素)交互期间，使用模块120聚集以下信息：在点200上并且在位于手指的运动轨道上的所有其他点上按压(点的坐标)屏幕，直到释放点210。该信息(以及与该信息对应的接口115的哪组显示的图形元素的指示)由模块120发送给行为分类模块160。该模块160基于所获得的数据确定运动(其特征在于，手指在触摸屏上从点200到点210的移动)是装置100的用户的非特征的程度，即，在与不同组的图形接口115交互期间，预先收集关于其行为的数据的用户，用于教导模块160的分类算法。在算法教导阶段，行为分类模块160使用关于用户行为的数据，该数据包括关于用户的手指沿着从点200到点220的轨道在计算装置100的触摸屏之上移动的信息。在规定的情况下，行为分类模块160计算图形接口的上述元素组的异常用户行为系数，该系数的值大，例如，90或者在一个示例性方面甚至是100(适用于从200到210和从200到220的运动轨道没有交叉点的情况)。如果通过关于用户行为的数据(包括关于按压屏幕的点的坐标的信息，对应于手指沿着从点200到点230的轨道在屏幕之上的运动(该轨道部分符合在点200与220之间的运动轨道))呈现行为确定模块120，则行为分类模块160计算异常用户行为系数，其值比在前一个实例中更小，例如，22。

在一个示例性方面，数据库165储存关于从所有用户装置100中收集的用户行为的数据。该数据用于由模块160教导分类算法。在另一个方面，数据库165包含对应于每个单独装置100的关于用户行为的单独数据组。为了在某个装置100上教导用于关于用户行为的数据的分类算法，可以使用对应于上述装置100以及关于行为的另一个组的数据或这种组的组合的关于用户行为的一组数据。在使用不同装置100时的用户行为高度不同的情况下(例如，在使用平板电脑和台式电脑时)，关于用户行为收集的数据这样划分成对应于用户的装置100的几组，对于分类算法的教导有效。

在另一个示例性方面，行为分类模块160可以使用支持向量算法(支持向量机器svm)计算异常系数。svm算法的学习阶段与上述阶段相似。

在另一个示例性方面，行为分类模块160可以使用任何其他分类算法计算异常系数，雇佣教师学习该算法。装置算法的学习阶段与上述阶段相似。

行为分类模块160计算图形接口115的每组元素的异常用户行为系数，其中，在用户与图形接口115的上述元素组交互期间，行为确定模块120聚集并且转发关于用户行为的数据。至少一个计算的异常用户行为系数由模块160发送给决策制定模块170。

在一个示例性方面，如果在前一个步骤中计算的异常用户行为系数的组合超过确定的阈值，则在用户(通过计算装置100)与远程银行服务器150交互期间，决策制定模块170被配置成检测到欺诈活动。在计算异常用户行为系数的组合时，使用以下信息，该信息储存在数据库165内：

对于图形接口的元素组，用户访问图形接口的上述元素组(与其交互)的次数。在数据从模块120到达模块160时，在数据库165内的该信息可以由模块160改变，即，在某组图形元素交互时，关于用户行为的越多数据到达模块160，用户访问图形接口的单独元素组的次数就越大，该信息由模块160保存在数据库165内。上述参数(用户访问上述元素组的次数)可以是用户在24小时内访问上述元素组的平均次数；

对于图形接口的元素组，与可以获得对图形接口的上述元素组的访问的用户互动的图形接口的元素的组数，例如，构成图形接口的各组元素的按钮的数量，在按压这些按钮时，通过图形接口的某个组(上述“单独”)的元素，呈现装置100的用户。该信息可以由与远程银行服务器150交互的接口开发人员加入数据库165中；

对于图形接口的该组元素，使用远程银行服务器执行交易所需要的用户的基本活动的数量，如果用户与图形接口的上述元素组交互，例如，在与某组图形用户115(例如，向用户显示该组元素：输入字段、按钮以及包含文本信息的字段)交互的情况下，在用户执行交易(涉及资金)所需要的图形接口115的不同按钮上“点击”(按压“鼠标”操纵器的按钮)的次数，例如，用户进行连续访问某些数量的网页所需要的基本活动的数量(如果应用程序110是网页浏览器)，而，在最后一个网页上，显示图形接口(例如，按钮)的元素，通过与该图形接口的元素交互，用户能够给银行发送执行涉及资金(例如，通过这些资金支付罚款)的某个活动的命令；

在确定的时间段内，代表用户执行的欺诈活动的明确已知的案例数。在一个示例性方面，模块170保存关于使用用户装置100执行的欺诈活动的检测到的案例的信息。在另一个示例性方面，该信息由访问对应信息的银行员工保存在数据库165内。

应注意的是，上述信息可以由银行员工保存在数据库165内。

如果决策制定模块170从行为分类模块160中接收仅仅一个异常用户行为系数，则在决策制定模块170检测欺诈活动时，仅仅使用这个系数，考虑上述信息用于计算异常用户行为系数的组合。模块170使用数学函数计算某个值(异常用户行为系数的组合)，其中的一个输入参数是异常用户行为系数的组。该组可以包括一个或多个元素。在一个示例性方面，以下公式用于由模块170计算异常用户行为系数的组合。

其中，k是异常用户行为系数的组合；n是异常用户行为系数的数量(因此，图形接口115的元素的组，基于该接口，计算系数)，基于这些系数，计算所述组合；ki是为图形接口115的第i组元素计算的第i个异常用户行为系数；pi是用户访问图形接口的第i个单独组元素的次数；ri是图形接口的元素的组数，用户通过与图形接口的元素的这些组交互可以获得对图形接口的第i组元素的访问；di是使用远程银行服务器执行交易所需要的用户的基本活动的数量，如果用户与图形接口的第i组元素交互；f是在规定的时间段内代表用户执行的欺诈活动的明确已知的案例数。

在一个示例性方面，其他公式可以用于计算异常用户行为系数的组合，据此，异常用户行为系数的组合与以下值(或至少一些以下值)f、ki、pi、ri成正比，并且与以下值di成反比(如果在公式中具有这些值)。上面提供了以上名称的定义。

如果异常用户行为系数的组合超过确定的(阈值)值(例如，“70”)，则决策制定模块170在用户通过装置100与远程银行服务器150交互时检测欺诈活动。但是如果异常用户行为系数的组合不超过确定的值，则继续分析由模块120聚集的新数据。

在一个示例性方面，不是通过对异常用户行为系数的组合和确定的阈值进行比较，而是使用启发式规则，由决策制定模块170检测欺诈活动，其中，基于用于公式中的上述信息，作出决策(包括所有计算的异常系数的值)。在一个示例性方面，该规则看起来像以下中的一个：如果在异常用户行为系数之中，具有超过确定的阈值(例如，90)的系数，则检测欺诈活动；如果在异常用户行为系数之中，具有系数满足ki*pi*ri＞90，则检测欺诈活动。

在另一个示例性方面，决策制定模块170可以通过另一个启发式规则检测欺诈活动，据此，以下值f、ki、pi、ri(上面限定的)越大，并且以下值di(上面限定的)越小，模块170更可能检测欺诈活动。

应理解的是，在以上描述中使用的数字仅仅是实例，并且不同的值可以用于本发明的其他配置和方面。

在一个示例性方面，如果在用户的装置100与远程银行服务器150交互时(或者更简单地说，在用户与远程银行服务器交互时)，检测到欺诈活动，则决策制定模块170可以阻止用户通过计算装置100与远程银行服务器150交互。

在另一个示例性方面，在检测欺诈活动时，决策制定模块170可以通过例如电子邮件或sms消息(对应员工的联系数据可以储存在数据库165内)通知银行员工，并且在可以使用的规定的时间间隔(例如，6个小时)内，暂停用户通过计算装置100与远程银行服务器150交互，使得所述银行员工有时间联系代表执行欺诈活动的人的用户。

在另一个示例性方面，如果在用户的装置100与远程银行服务器150交互时，检测到欺诈活动，则决策制定模块170将相应的警报发送给安全模块130。在一个示例性方面，模块160向模块170不仅发送为图形接口的每组元素计算的异常用户行为系数，而且发送从模块120中接收的并且用于计算上述系数的关于用户行为的实际数据。反过来。如果检测到欺诈活动，则决策制定模块170向安全模块130发送包含关于用户行为的数据的信息，该数据用于计算异常用户行为系数。

在一个示例性方面，安全模块130使用关于用户行为接收的数据，在用户与应用程序110的图形接口115的元素组交互时，确定哪些应用程序执行对关于用户行为的数据的访问(在用户和应用程序110交互时，由安全模块130保存对应信息)。如果在用户的装置100与远程银行服务器150交互时，检测到欺诈活动，则安全模块130将在计算装置100上的应用程序识别为恶意的(从模块170中接收对应警报)，并且在用户与图形接口115的至少一组元素交互，用于与远程银行服务器150交互时，上述应用程序访问关于用户行为的数据，其中，由模块120聚集关于用户行为的组数据。

在另一个示例性方面，模块170向模块130仅仅发送关于用户行为的数据(然后用于在用户的装置100与远程银行服务器150交互时找出访问关于用户行为的数据的应用程序)，该数据对应于在行为分类模块160计算的系数之中的规定数量的最大(例如，2个最大)异常用户行为系数。

在另一个示例性方面，模块170可以警告用户装置100，例如，通过由电子邮件或sms通信(其中，用于这种通知的用户的联系数据可以保持在数据库165内)发送的消息，检测到代表用户执行的欺诈活动：使用用户的计算装置100或者使用用于与远程银行服务器150交互的账户记录。

图3示出了用于检测欺诈用户交易的示例性方法的流程图。在步骤301中，在用户与应用程序110的图形接口115的至少一组元素交互时，行为确定模块120收集关于用于与远程银行服务器150交互的用户行为的数据。聚集的数据由模块120发送给模块160。与远程银行服务器150交互的目标在于与远程银行服务器150参与进行交易(例如，涉及计算装置100的用户的资金)。对于图形接口115的每组元素，收集关于用户行为的单独一组数据。关于用户行为的数据是使用至少计算装置100的输入装置所获得的信息。

在一个示例性方面，此外，在用户与应用程序110的图形接口115的每组元素交互用于与远程银行服务器150交互时，安全模块130聚集关于计算装置100的哪些应用程序访问关于用户行为的数据的信息，其中，在步骤301中聚集关于用户行为的组数据。

在步骤302中，行为分类模块160计算图形接口的每组元素的异常用户行为系数，在与所述组交互期间，在步骤301中聚集关于用户行为的数据。异常用户行为系数是数值，在行为具有所述用户的越少特征时，该数值越大，在步骤301中聚集该行为的数据。在计算异常系数时，在与图形接口的一组元素交互时，朴素贝叶斯分类器可以应用于关于用户行为的数据中。所计算的异常用户行为系数由模块160发送给模块170。

在步骤303中，如果在步骤302中计算的异常用户行为系数的组合超过确定的阈值，则在用户装置100与远程银行服务器150交互时，使用决策制定模块170检测欺诈活动。在计算异常用户行为系数的组合时，使用储存在数据库165内的以下信息：对于图形接口的这组元素，用户访问图形接口的单独组元素的次数；对于图形接口的这组元素，图形接口的元素的组数，通过图形接口的元素的这些组用户可以获得对图形接口的上述组元素的访问；对于图形接口的这组元素，使用远程银行服务器进行交易所需要的用户的基本活动的数量，如果用户与图形接口的上述组元素交互；在确定的时间段内，代表用户执行的欺诈活动的已知案例的数量。

基本活动可以包括但不限于：移动鼠标光标、按压输入装置的键、在计算装置100的屏幕上移动用户的手指或铁笔而不从屏幕表面拿掉、使用户的手指或铁笔与计算装置100的屏幕接触。欺诈活动包括但不限于与使用用户的装置100或属于用户的用于执行所述交互的账户记录执行的远程银行服务器150的交互，并且用户不知道。关于欺诈活动的已知案例的信息储存在远程银行服务器150上的数据库165内。

在步骤304中，如果在用户的装置100与远程银行服务器150交互时，在步骤303中检测到欺诈活动，则决策制定模块170阻止用户与远程银行服务器150交互(例如，用户通过计算装置100执行)。

在另一个示例性方面，此外，如果在用户的装置100与远程银行服务器150交互时，在步骤303中，发现了欺诈活动，则在计算装置100上的应用程序由安全模块130视为恶意的，并且在用户与应用程序110的图形接口115的至少一组元素交互，用于与远程银行服务器150交互时，上述应用程序访问关于用户行为的数据，聚集关于用户行为的组数据。

图4示出了可以根据一个实例方面实现公开的系统和方法的通用计算机系统(可以是个人电脑或服务器)的实例。如图所示，计算机系统包括连接至各种系统元件的中央处理单元21、系统存储器22以及系统总线23，包括与中央处理单元21相关联的存储器。实现系统总线23，与先有技术已知的任何总线结构一样，反过来包含总线存储器或总线存储器控制器、外围总线和局部总线，其能够与任何其他总线架构交互。系统存储器包括永久存储器(rom)24和随机存取存储器(ram)25。基本输入/输出系统(bios)26包括基本程序，确保在个人电脑20的部件之间传输信息，例如，在使用rom24装载操作系统时的基本程序。

个人电脑20反过来包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于可移动光盘31上读取和写入的光盘驱动器30，例如，cd-rom、dvd-rom以及其他光学信息介质。硬盘27、磁盘驱动器28以及光盘驱动器30分别通过硬盘接口32、磁盘接口33以及光盘驱动器接口34连接至系统总线23。驱动器和对应的计算机信息介质是功率无关的模块，用于储存个人电脑20的计算机指令、数据结构、程序模块以及其他数据。

本公开提供了实现使用硬盘27、可移动磁盘29以及可移动光盘31的系统，但是应理解的是，可以使用能够通过计算机可读的形式储存数据的其他类型的计算机信息介质56(固态驱动器、闪存卡、数字光盘、随机存取存储器(ram)等)，其通过控制器55连接至系统总线23。

计算机20具有保持记录的操作系统35的文件系统36以及额外的程序应用程序37、其他程序模块38以及程序数据39。用户能够使用输入装置(键盘40、鼠标42)将命令和信息输入个人电脑20内。可以使用其他输入装置(未示出)：麦克风、控制杆、游戏控制器、扫描仪等。这种输入装置通常通过串行端口46插入计算机系统20内，该串行端口发过来连接至系统总线，但是这种输入装置可以通过其他方式连接，例如，使用并行端口、游戏端口或通用串行总线(usb)。显示器47或其他类型的显示装置也通过接口(例如，视频适配器48)连接至系统总线23。除了显示器47，个人电脑还可以装有其他外围输出装置(未示出)，例如，扬声器、打印机等。

个人电脑20能够使用与一个或多个远程电脑49的网络连接在网络环境中操作。在描述个人电脑20的性质时，远程电脑(或电脑)49也是具有大部分或所有上述部件的个人电脑或服务器，如图3所示。在计算机网络中还可以具有其他装置，例如，路由器、网络站、对等装置或其他网络节点。

网络连接可以形成局域计算机网络(lan)50和广域计算机网络(wan)。这种网络用于企业计算机网络和内部公司网络内，并且通常访问互联网。在lan或wan网络中，个人电脑20通过网络适配器或网络接口51连接至局域网50。在使用网络时，个人电脑20可以使用调制解调器54或其他模块，用于提供与广域计算机网络(例如，互联网)的通信。作为内部或外部装置的调制解调器54由串行端口46连接至系统总线23。应注意的是，网络连接仅仅是实例，并且不需要描述网络的精确配置，即，实际上，具有其他方式来由技术通信模块在计算机之间建立连接。

在各个方面，在本文中描述的系统和方法可以以硬件、软件、固件或其任何组合实现。如果以软件实现，则可以储存所述方法，作为在永久性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。通过实例，而非限制性地，这种计算机可读介质可以包括ram、rom、eeprom、cd-rom、闪速存储器或其他类型的电气、磁性或光学储存介质、或可以用于通过指令或数据结构的形式携带或储存期望的程序代码并且可以由通用计算机的处理器访问的任何其他介质。

在各个方面，可以在模块方面寻址在本公开中描述的系统和方法。在本文中使用的术语“模块”表示使用硬件实现的元件的实际装置、元件或设置，例如，通过专用集成电路(asic)或现场可编程阵列(fpga)，或者作为硬件和软件的组合，例如，通过微处理器系统和实现模块功能的一组指令，这组执行(在执行时)将微处理器系统传输到专用装置内。还可以实现模块，作为这两者的组合，仅仅由硬件促进某些功能，并且由硬件和软件的组合促进其他功能。在某些实现方式中，至少一部分并且在某些情况下所有模块可以在通用计算机的处理器(例如，上面在图3更详细描述的处理器)上执行。因此，每个模块可以在各种合适的配置中实现，并且不应限于在本文中例证的任何特定实现方式。

为了清晰起见，在本文中并未公开这些方面的所有例行特征。要理解的是，在本公开的任何实际实现方式的发展中，必须做出多个实现方式特有的决策，以便实现开发人员的特定目的，并且这些特定目的对于不同的实现方式和不同的开发人员变化。要理解的是，这种开发工作可能复杂并且耗时，然而，对于具有本公开的优点的本领域的技术人员，是例行的工程事业。

而且，要理解的是，在本文中使用的措辞或术语用于描述而非限制的目的，使得本说明书的措辞或术语要由本领域的技术人员根据本文中呈现的教导内容和指导结合相关领域的技术人员的知识解释。而且，在本说明书或权利要求中的任何术语并非旨在归结于罕有的或特殊的意义，除非这样明确陈述。

在本文中公开的各个方面包括在本文中通过说明的方式引用的已知模块的现有和未来已知的等同物。而且，虽然示出和描述了方面和应用，但是对于具有本公开的优点的本领域的技术人员，在不背离在本文中公开的概念的情况下，显然可以具有比上述修改更多的修改。