方法、设备以及系统与流程

本公开总体上涉及用于保护网络服务的方法、设备以及系统。

背景技术：

近来，组织越来越成为攻击其网络服务的受害者。这些攻击大多来自有组织犯罪，往往是针对钱财欺诈。部分攻击(通常是大规模的并出现在新闻标题中的攻击)是欺诈的准备步骤，例如，窃取账户凭证、信用卡详细信息等。

很多已知的欺诈计划使用这些罪犯自己在为了攻击所寻求的服务上创建的“假”账户。假账户创建通常是很多进一步攻击的第一步，因此，检测到假账户越快，在创建的账户用于欺诈交易、垃圾邮件、网络钓鱼等时稍后出现的问题就越少。为了保持对服务/网络应用不可见，黑客可以从很多不同的机器创建账户，通常通过使用僵尸网络。

技术实现要素：

虽然存在用于保护网络应用服务的技术，但是通常希望找到用于保护网络服务的改进的技术。

根据第一方面，本公开提供了一种方法，包括：将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

根据进一步方面，本公开提供了一种包括处理器的设备，其被配置成：将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

根据进一步方面，本公开提供了一种系统，包括：服务器，其托管网络应用；以及包括处理器的设备，其被配置成将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

在从属权利要求、以下描述和附图中阐述进一步方面。

附图说明

参考附图，通过实例解释实施方式，其中：

图1示意性地示出了包括由风险和异常检测设备监视的网络应用的系统；

图2示出了作为在网络应用上的示例性用户操作的注册表，其导致向网络应用发出用户请求；

图3示意性地示出了根据归属域和国家将用户请求的空间划分为子集的实施方式；

图4示意性地示出了根据归属国家和平台将用户请求的空间划分为子集的实施方式；

图5示出了示例性时间序列，其包括根据国家和域所确定的在用户请求的子集中的用户请求的频率数据；

图6示意性地描述了可以用于实现风险和异常检测设备和/或网络应用的计算机系统的实施方式；

图7示意性地描述了用于从对于网络应用的用户请求确定风险评分的方法的实施方式；以及

图8的a)至e)示意性地示出了用于检测在时间序列中的异常的示例性算法。

具体实施方式

在以下实施方式中公开的方法包括将用户请求的空间划分为子集，并且基于在用户请求所属的用户请求的子集中的用户请求的数量的演变来确定该用户请求的风险评分。

用户请求可以涉及用户在网络应用上的操作。网络应用可以例如是客户端-服务器软件应用、网络服务、云服务等，例如，由组织向用户提供的网络服务。服务器可以例如由服务提供组织控制。客户端可以例如是由用户控制的网络浏览器。常见的网络应用例如是网络邮件、娱乐服务、在线游戏、在线零售销售、在线拍卖、维基、即时消息服务和很多其他服务。

用户经由用户请求与网络应用、网络服务或云服务交互。当用户在网络应用上发起特定操作时或者当用户请求来自网络的应用特定信息时，通常由客户端向服务器发出用户请求。用户请求可以例如涉及从网络应用检索内容，例如，从新闻门户检索新闻文章或例如从视频流服务检索视频。

在下面描述的具体实施方式中，用户请求涉及账户创建操作、电子钱包充值操作、购买操作、登录操作、反馈操作(例如，对网络服务的用户评论)或变更操作(例如，网络服务的用户账户的银行账户信息的变更)。

用户请求可以通过当用户与网络应用交互时由网络应用记录的数据表示。网络应用可以例如在表示用户请求的数据库条目中记录关于用户请求的信息。

用户请求的空间可以是任何一组用户请求，例如，例如由网络应用例如在预定时间段内收集或接收的所有用户请求，或者用户请求的子部分或预定义子部分，例如由网络应用例如在预定时间段内收集或接收的并且涉及账户创建操作的所有用户请求。

用户请求可以例如由包括几个数据字段的数据库条目表示。每个数据字段可以反映与用户请求相关的特定信息。

例如，用户可以在网络应用上创建账户，以便获得对该网络应用所提供的服务的访问。在该实例中，用户在注册表中填写关于其身份的信息。例如，用户向网络应用提供其名字、姓氏、头衔、电子邮件地址、电话号码以及国家，以便创建账户。一旦用户填写了注册表的相应字段，就按下向网络应用发起相应用户请求的提交按钮(或“创建账户”按钮)。

在账户创建操作的该特定实例中的用户请求可以例如是post请求，其是由万维网使用的http协议支持的很多请求方法之一。通过设计，post请求方法请求网络服务器接受并存储包含在请求消息的主体中的数据。post请求嵌入在注册表中定义的数据字段，作为键值对，键值对由'&'字符分隔。网络应用从post请求中读取键值对，并根据在post请求中包含的数据字段开始相应操作。在账户创建操作的实例中，网络应用通过在网络服务上创建相应的用户账户来注册用户。

在接收到用户请求时，网络应用可以将与用户请求相关的信息记录在数据库中。在账户创建请求的情况下，表示用户请求的数据库条目可以例如包括上述数据字段名字、姓氏、头衔、电子邮件地址、电话号码以及国家。

存在实现用户请求的很多可替换的实施方式。例如，万维网和http基于很多请求方法，包括post和get以及put、delete等。

用户请求例如还可以符合rest标准，通过该标准，系统与作为由统一资源标识符(uri)标识的网络资源的外部系统接合。

在实施方式中可以使用检索表示用户请求的信息的很多其他方式。例如，网络应用可以检索关于发出用户请求的平台的信息。平台可以是向服务器发出请求的任何客户端，例如，网络浏览器、操作系统、嵌入用户代理的计算机程序等。网络应用可以例如通过http_user_agent字段识别发出用户请求的平台。例如，基于php的网络应用可以通过命令$_server['http_user_agent']查询网络服务器来检索该信息。网络客户端通常将http_user_agent设置为允许识别客户端的特定文本串。例如，文本串“mozilla/5.0(playstation3；2.00)”将playstation3标识为发出用户请求的平台。因此，使用http_user_agent，网络应用可以在推断发出用户请求的特定平台。因此，平台标识符可以作为额外数据字段储存在反映用户请求的数据库条目中。

如上面关于账户创建操作示例性描述的，每个用户请求可以在数据库中表示为包括定义该用户请求的数据字段的数据库条目。可替换地，用户请求也可以表示为在列表中的行，每行包括数据字段等。

由发明人进行的历史流量数据集的分析显示，可以通过搜索在与从客户端发送到网络应用的用户请求相关的网络流量中的异常(例如，在每次用户请求的数量的演变中的异常)，来识别一部分恶意用户请求。这些异常是可见的，例如，作为来自良好选择的请求子集(例如，源自同一电子邮件域的账户的所有请求)的后续请求的时间序列的突然变化。

根据具体实施方式，根据在数据库中定义的一个或多个数据字段来划分用户请求的空间。

将请求划分成子集可以是无监督划分，这意味着不需要子集的先验知识。

可以根据与相应用户请求相关的域名和/或根据与相应用户请求相关的原籍国，和/或根据与相应用户请求相关的平台标识符，可以将用户请求的空间划分为子集。

例如，可以从与用户请求相关的电子邮件地址检索域名。例如，如果用户尝试使用电子邮件地址john.doe@organization1.com在网络应用上注册账户，则在将用户请求划分为子集中，organization1.com可以用作域。

将用户请求的空间分割成子集可以例如包括识别在一个或多个预定义数据字段中具有相同值的所有用户请求并将其分组在一起，例如，识别与同一域相关和/或源自同一国家的所有用户请求并将其分组在一起。

观察在用户请求的子集中的用户请求可以提供关于用户请求的异常活动的信息。用户请求的异常活动可以表示欺诈性地使用网络应用。在账户创建操作的情况下，假账户创建可能构成对网络应用的欺诈使用。

下面公开的方法可以基于在用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

风险评分可以例如是反映在风险评分归属于的用户请求的相应子集内的用户请求是否反映欺诈使用网络应用或者反映欺诈使用网络应用的可能性的数量、实体、矩阵等。风险评分可以例如是在0和1之间的数字，其中，0表示非常低的欺诈使用的概率，而1表示非常高的欺诈使用的概率。

用户请求的数量的演变可以例如通过能够描述用户请求的数量如何随时间改变的任何量或度量来描述。

例如，根据一个实施方式，为用户请求的子集确定时间序列，并且其中，基于该时间序列确定用户请求的风险评分。

时间序列可以例如是频率数据的时间序列，其将在时间上的几个实例与在相应时间实例上的相应用户请求速率相关联。

时间序列可以例如作为数据库条目存储在数据库中。

根据一个实施方式，对于每个进入的用户请求，更新该进入的用户请求所属的用户请求的相应子集的时间序列。

根据一个实施方式，从时间序列计算在时间序列对应的子集中的用户请求的数量的演变是否存在最近的突然增加。然后，可以根据在用户请求的流量模式中是否存在最近的突然增加来设置风险评分。

所提出的技术不一定保证用户请求涉及滥用。所提出的技术提供由于突然的业务量增加而发生可疑事件并且需要更多的注意来检查的指示，这就足够了。因此，时间序列的确定可以与其他检查组合，以减少假肯定(falsepositive)。例如，在特定子集中的请求的数量的突然增加可以是欺诈者已经开始自动攻击的指示。然而，突然增加也可能仅仅是因为促销活动已经开始，在活动开始的那一天吸引了很多新客户。因此，可以进行额外检查，以将恶意请求与良性请求区分。检查检测到的异常请求的恶意性的一种可能方式是检查在子集中的很多请求是否使用相同的密码。这可能是这些请求源自执行自动攻击的欺诈者的强烈指示。自动攻击的另一个可能的指示是在子集中的很多请求具有相同的ip地址和用户代理组合的时间。这就是在本申请中描述的异常检测技术可以与诸如密码使用的频率分析或ip地址+用户代理组合的频率分析等其他检查相结合的原因。

根据一个实施方式，stl方法和/或esd方法可以用于实时地自动检测在时间序列中的异常。stl是“使用loess的季节和趋势分解”的缩写，而loess是一种用于估计非线性关系的方法。stl是一种用于分解时间序列的非常通用并且稳健的方法。首字母缩略词esd表示广义的极端学生化偏差测试，该测试可以用于检测在遵循近似正态分布的单变量数据集中的一个或多个离群值。

根据一个实施方式，在每个子集中独立地进行确定用户请求的风险评分。

根据一个实施方式，用户请求与账户创建操作相关，并且风险评分用于检测假账户创建。

根据一个实施方式，如果用户请求的风险评分超过预定义值，则生成通知。该通知可以例如发送给信息安全操作中心和/或网络操作中心。

根据一个实施方式，如果用户请求属于具有超过预定义值或处于表示网络应用的欺诈使用的特定预定义范围/区域内的风险评分的用户请求的子集，则阻止该用户请求。很多其他动作是可能的，例如，延迟响应，请求验证码或者在进行之前请求终端用户通过双因素认证来认证。可以采取的其他动作是禁止或暂停用户账户，将ip地址列入黑名单，或者将用户账户添加到高风险组，用于由异常检测设备进一步监视。

在此处公开的方法可以用于监视一个或多个网络应用。

在一些实施方式中，还实现在本文所述的方法，作为当在计算机和/或处理器上执行时促使计算机和/或处理器执行该方法的计算机程序。

在一些实施方式中，还提供了一种永久性计算机可读记录介质，在该介质内存储计算机程序产品，当由诸如上述处理器等处理器执行时，该计算机程序产品促使执行在本文所述的方法。

下面还公开了一种包括处理器的设备，其被配置成将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

该设备可以被设置为欺诈和异常检测系统的一部分。

该设备可以进一步连接至托管网络应用的服务器。该设备例如可以通过计算机网络连接至托管网络应用的服务器。

该设备可以实现为单个服务器或者分布式系统，例如，以云服务的形式。处理器可以是单个cpu，或者可以实现为多个cpu，例如，驻留在单个服务器计算机中或在云处理环境的意义上本地分布的cpu。

根据一个实施方式，该设备进一步连接至信息安全操作中心和/或网络操作中心。该连接可以由一个或多个计算机网络(例如，lan和wan)实现。

根据一个实施方式，由欺诈和异常检测系统执行将用户请求划分为子集并且确定在子集中的用户请求的风险评分。

下面还公开了一种系统，包括：服务器，其托管网络应用；以及包括处理器的设备，其被配置成将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

用户请求可以由网络应用收集并传递到欺诈和异常检测系统。

图1示意性地示出了包括由风险和异常检测设备3监视的网络应用2的系统。用户1正在(例如)通过网络浏览器与网络应用2交互。网络应用2包括逻辑15和数据库16。逻辑15被设置为向用户1提供网络服务，例如，在线游戏服务。网络应用2从用户1接收用户请求，例如，与账户注册操作相关的用户请求。网络应用2将与这种用户请求相关的数据作为数据条目记录在数据库16中。网络应用2将该数据传递给风险和异常检测设备3，用于进一步分析。

风险和异常检测设备3包括api6，其由网络应用2使用，以与风险和异常检测设备3通信，特别是将与用户请求相关的数据条目传递给风险和异常检测设备3。风险和异常检测设备3进一步包括将接收到的数据存储在活动数据库12中的事件引擎7。在事件引擎7中的可疑事件的检测基于存储在规则数据库13中并且由规则引擎8对存储在活动数据库12中的数据上应用的预定义规则。例如，如果在存储在活动数据库12中的用户请求的独特子集中的用户请求的流量显示异常，则事件引擎7可以推断出特定用户请求反映了网络应用2的欺诈使用具有一定可能性。如果事件引擎7检测到异常活动，则事件引擎7改变在状态数据库11中的状态信息。存储在状态数据库11中的状态信息反映在用户请求的一个子集中是否存在欺诈使用的迹象。如果对于用户请求的特定子集，存储在状态数据库11中的状态信息反映在该用户请求的子集中存在欺诈使用的高可能性，则相应的分析结果以风险评分的形式存储在结果数据库13中。

风险评分也发送回网络应用2。在接收到风险评分时，网络应用2将决定如何继续该请求。如果风险评分高于阈值，则其可以决定阻止该请求。很多其他动作是可能的，例如，延迟响应，请求验证码或者在进行之前请求终端用户通过双因素认证来认证。可以采取的其他动作是禁止或暂停用户账户，将ip地址列入黑名单，或者将用户账户添加到高风险组，用于由异常检测设备进一步监视。

如果具有高风险评分的请求的数量超过配置的数量，则操作单元9触发向信息安全操作中心/网络操作中心4(soc/noc)发出相应的通知。然后，信息安全操作中心/网络操作中心4(soc/noc)可以决定阻止在用户请求的可疑子集内的用户请求访问网络应用2。当soc/noc4接收到很多警报时，可能会触发安全操作员调查是否需要采取紧急手动行动。此外，管理员可以使用仪表板应用程序5来访问在风险和异常检测设备3中收集的并且由该设备建立的数据。例如，管理员可以研究显示表示在用户请求的特定子集内的用户请求的速率的时间序列的示图。基于对一个或多个时间序列的这种分析，管理员可以推断新规则或对适于检测在用户请求的业务中的异常的现有规则的修改。

在规则引擎8中的一些规则的目标可以是检测在用户请求的子集中的异常。在这种情况下，状态数据库11为请求的每个子集存储对象，该对象包含在某个时间段(例如，过去的一周)内在该子集中的所有过去的用户请求的频率。当接收到新请求时，确定该请求属于哪个子集，并且从状态数据库11检索对应的频率对象，并且检查异常。

图2示出了作为在网络应用2上的示例性用户操作的注册表20，其导致向网络应用2发出用户请求。网络应用2向用户提供在线服务，例如，在线游戏服务。为了被允许使用服务，用户必须注册。为此，网络应用在网络浏览器中向用户呈现注册表20。注册表20包括几个可编辑字段21至26，用户在注册过程中必须填写这些字段。预见字段21和22接收用户的名字和姓氏，在此处是名字“john”和姓氏“doe”。预见字段23接收用户的头衔，在此处是“mr.”。预见字段24接收用户的电子邮件地址，在此处是“john.doe@organization1.com”。在字段25中，用户向服务指示其原籍国，在此处是美国，由国家代码“us”表示。预见字段26接收用户的电话号码，在此处是“+11115555”。用户一填写了注册表的字段，就按下提交按钮27，在此处标记为“注册”。当按下提交按钮27时，用户的网络浏览器向网络应用的服务器发出post请求。该post请求嵌入在注册表中定义的数据字段，作为键值对，键值对由“&”字符分隔。网络应用可以从post请求中读取键值对，并根据在post请求中包含的数据字段开始相应操作。在账户创建操作的实例中，网络应用通过在网络服务上创建相应的用户账户来注册用户。进一步，网络应用记录描述用户请求的数据，用于提交到欺诈和异常检测系统。

将网络应用2和风险和异常检测设备3划分为如上所述的单元，仅仅是为了说明的目的，并且本公开不限于在特定单元中的任何特定的功能划分。例如，网络应用2和风险和异常检测设备3中的每一个可以由相应的编程处理器、现场可编程门阵列(fpga)等实现。这种编程处理器可以例如实现事件引擎7、规则引擎8、操作单元9、api6以及opapi10等的功能。

与诸如上面在图2中描述的账户创建操作相关的用户请求可以表示为具有数据字段“名字”、“姓氏”、“头衔”、“电子邮件”、“国家”以及“电话”(在图2中的21至26)的数据库条目。表示用户请求的数据库条目的示例列表如下所示。

表1：表示用户请求的示例性数据库条目

根据表1，来自由“us”标识的美国的johndoe先生发出请求，以将playstation装置用作平台(由平台标识符ps标识)来通过电子邮件地址john.doe@organization1.com和电话“+11115555”注册账户。来自由“de”标识的德国的erikamustermann女士发出请求，以将internetexplorer用作平台(由平台标识符ie标识)来通过电子邮件地址erika.mustermann@organization2.com和电话“+49123456”注册账户。来自由“be”标识的比利时的josjosens博士发出请求，以将opera网络浏览器用作平台(由平台标识符“opera”标识)来通过电子邮件地址jos.joskens123@organization3.com和电话“+32999999”注册账户。

包含用户的电子邮件地址的字段用于导出归属于每个用户请求的域。例如，johndoe先生的请求涉及域“organization1.com”，erikamustermann女士的请求涉及域“organization2.com”，并且josjoskens博士的请求涉及域organization3.com。

图3示意性地示出了根据归属域和国家将用户请求的空间划分为子集的实施方式。在该实施方式中，假设用户请求涉及账户创建操作，例如，上面在图2和表1中描述的操作。在该实例中，根据其归属域和国家，将用户请求的空间划分为子集。字段31表示所有用户请求的空间。在该示意性表示的水平方向，用户请求根据其原籍国(在此处是“us”、“de”、“in”、“dk”等)来分组。在该示意表示的垂直方向，用户请求根据其归属域(在此处为“organization1.com”、“organization2.com”、“organization3.com”等)来分组。对于用户请求的每个子集，在数据库中存储反映在随后的时间点在相应子集中的用户请求的速率的时间序列。在图3中，时间集33涉及归属于域organization3.com和国家德国(“de”)的用户请求的子集32。对于每个进入的用户请求，更新进入的用户请求所属的用户请求的相应子集的时间序列。

图4示意性地示出了根据归属国家和平台将用户请求的空间划分为子集的实施方式。在该实施方式中，再次假设用户请求涉及账户创建操作，例如，上面在图2和表1中描述的操作。在该实例中，根据其归属国和平台，将用户请求的空间划分为子集。字段41表示所有用户请求的空间。在该示意性表示的水平方向，用户请求根据其原籍国(在此处是“us”、“de”、“in”、“dk”等)来分组。在该示意表示的垂直方向，用户请求根据其归属平台标识符(在此处是playstation、internetexplorer、opera等)来分组。对于用户请求的每个子集，在数据库中存储反映在随后的时间点在相应子集中的用户请求的速率的时间序列。在图4中，时间序列43涉及由归属于国家德国(“de”)的用户使用internetexplorer平台发布的用户请求的子集42。与在图3的实施方式中一样，对于每个进入的用户请求，更新进入的用户请求所属的用户请求的相应子集的时间序列。

下面的表2以示例性方式描述欺诈和异常检测系统如何从例如可以由网络服务器为每个进入的http请求记录的http-user-agent字符串推导平台标识符。下面的表2的左列显示了作为由与进入的用户请求连接的php$_server['http_user_agent']命令检索的http-user-agent字符串。表2的右列表示归属于相应的http_user_agent字符串的平台标识符，并且在括号中表示平台的对应名称。

表2：http_user_agent字符串到平台id的示例性映射

从上面的表2可以看出，每个平台可以由多个可替换的http_user_agent字符串表示。例如，所有三个字符串“mozilla/5.0(playstation3；3.55)”、“mozilla/5.0(playstation3；2.00)”以及“mozilla/5.0(playstation3；1.00)”映射到同一平台，即，映射到由平台标识符“ps”标识的playstation平台。

图5示出了示例性时间序列33的更详细的示图，其包括在根据国家和域确定的用户请求的子集中的用户请求的频率数据34。时间序列33是频率数据34的时间序列，其将在时间上的几个实例与在相应时间实例上的相应用户请求速率相关联。频率数据34的每个块表示在对应于在水平时间方向上的盒体的宽度的特定时间间隔内已被计数的用户请求的数量。时间序列作为数据库条目存储在数据库中(例如，在图1的状态数据库11中)。基于频率数据34，计算风险评分35。在图5的实施方式中，例如，根据stl方案计算风险评分，如下面在图8中更详细地解释的。在某种简化的程度上，可以观察到，在用户请求的速率的变化大的情况下，风险评分35大，反之亦然。

该实施方式的风险评分35是反映在用户请求的相应子集中的用户请求对应于网络应用的欺诈使用的可能性的值。对于每个进入的用户请求，更新进入的用户请求所属的用户请求的相应子集的频率数据34。

图5的时间序列示出即使对于如下所述的创建账户操作，在对网络应用的用户请求的总业务中可能看不到任何可疑的内容，如果结合域名和国家查看业务，则可以获得清晰可见的异常，其可以指示网络应用的滥用。因此，根据本实施方式的风险和异常检测方法利用了以下观察：与网络应用的欺诈使用(诸如僵尸网络攻击等)相关的用户请求可以具有区域特性，即，一个特定僵尸网络的节点可以大部分仅仅位于世界的一个区域中。

图6示意性地描述了可以用于实现风险和异常检测设备3和/或网络应用2的计算机系统50的实施方式。该计算机系统50包括用于存储数据51(例如，存储在数据库11、12、13、14中的数据)的存储器、用于运行在执行时执行上述方法的程序代码的处理器52、以及用于与外部装置通信的i/o接口53(例如，用于从opapi10向soc/noc4发送通知等)。该计算机系统可以实现为单个服务器或分布式计算机系统，例如，以云服务的形式。处理器52可以是单个cpu，或者可以被实现为多个cpu，例如，驻留在单个服务器计算机中或在云处理环境的意义上本地分布的cpu。

图7示意性地描述了用于从对于网络应用的用户请求确定风险评分的方法的实施方式。在101，方法开始。在103，接收与在网络应用上的用户操作相关的下一个用户请求。在105，将计数器i初始化为1。在107，检查规则i是否涉及将用户请求的空间划分为子集。如果在107处的检查结果为是，则该方法进入109。如果在107处的检查结果为否，则该方法进入113。在109，确定用户请求属于哪个子集。在111，从状态数据库11中检索包含在相同子集中的先前请求的频率的对象。用新接收的请求更新该对象。在113，根据规则i计算新接收的请求的风险评分si。在115，计数器i递增。在117，检查计数器i是否已经达到规则的总数。如果在117处的检查结果为否，则该方法返回到107。如果在117处的检查结果为是，则该方法进入119。在119，将个体风险评分si组合成新接收的请求的全局风险评分s。在119之后，该方法返回到103。

图8的a)至e)示意性地示出了用于检测在时间序列中的异常的示例性算法。图8的a)示出了由50个时间样本组成的示例性时间序列61。在垂直轴上绘制在每个时间样本中的用户请求速率。从该时间序列61中，计算反映在用户请求中的趋势的中值62(参见图8的b))。进一步，在减去中值62之后，将多项式近似应用于时间序列61中，以获得时间序列61的多项式近似63(参见图8的c))。从时间序列61中减去该多项式近似63，以提取时间序列的波动64，作为剩余分量(见图8的d))。然后，确定在波动64中的离群值65a、b、c(参见图8的e))。离群值65a、b、c的这种确定可以例如基于波动64与阈值的比较或者使用stl(使用loess的季节和趋势分解)方法和/或esd(极端学生化偏差)测试。

应认识到，实施方式描述了具有方法步骤的示例性序列的方法。然而，方法步骤的特定序列仅仅是为了说明的目的，不应被解释为具有约束力。

还可以实现上述方法，作为当在计算机和/或处理器上执行时促使计算机和/或处理器(例如，上述在图6中的处理器52)执行该方法的计算机程序。在一些实施方式中，还提供了一种永久性计算机可读记录介质，在该介质内存储计算机程序产品，当由诸如上述处理器等处理器执行时，该计算机程序产品促使执行所描述的方法。

如果没有另外说明，则在本说明书中所描述的和在所附权利要求中要求保护的所有单元和实体可以作为集成电路逻辑在例如芯片上实现，并且如果没有另外说明，则由这种单元和实体提供的功能可以由软件实现。

只要使用软件控制的数据处理设备至少部分地实现上述本公开的实施方式，将理解的是，提供这种软件控制和传输的计算机程序、存储器或通过其提供这种计算机程序的其他介质被设想为本公开的方面。

注意，还可以如下所述配置本技术。

(1)一种方法，包括：

将用户请求的空间划分为子集，并且

基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

(2)根据(1)所述的方法，其中，每个用户请求在数据库中表示为包括数据字段的数据库条目，并且其中，根据在所述数据库中定义的一个或多个数据字段来划分用户请求的空间。

(3)根据(1)或(2)所述的方法，其中，根据与相应用户请求相关的域名和/或根据与相应用户请求相关的原籍国，和/或根据与相应用户请求相关的平台标识符，将用户请求的空间划分为子集。

(4)根据(1)到(3)中任一项所述的方法，其中，为所述用户请求的子集确定时间序列，并且其中，基于所述时间序列来确定所述用户请求的风险评分。

(5)根据(4)所述的方法，其中，所述时间序列是频率数据的时间序列。

(6)根据(4)或(5)所述的方法，其中，对于每个进入的用户请求，更新所述进入的用户请求所属的用户请求的相应子集的时间序列。

(7)根据(4)到(6)中任一项所述的方法，其中，从所述时间序列中计算在所述时间序列对应的子集中的用户请求的数量的演变是否存在最近的突然增加。

(8)根据(7)所述的方法，其中，时间序列的确定与其他检查结合，以减少假肯定。

(9)根据(1)到(8)中任一项所述的方法，其中，季节和趋势分解方法和/或esd方法用于实时地自动检测在所述时间序列中的异常。

(10)根据(1)到(9)中任一项所述的方法，其中，独立地在每个子集中确定用户请求的风险评分。

(11)根据(1)到(10)中任一项所述的方法，其中，所述用户请求涉及账户创建操作、电子钱包充值操作、购买操作、登录操作、反馈操作或改变操作。

(12)根据(1)到(11)中任一项所述的方法，其中，所述用户请求涉及账户创建操作，并且其中，所述风险评分用于检测假账户创建。

(13)根据(1)到(12)中任一项所述的方法，其中，如果用户请求的风险评分超过预定义数量的用户请求的预定义值，则生成通知。

(14)根据(1)到(13)中任一项所述的方法，其中，如果用户请求属于具有超过预定义值的风险评分的用户请求的子集，则阻止所述用户请求，延迟对所述用户请求的响应，从发出用户请求的用户请求验证码，在进行之前请求用户通过双因素认证来认证，禁止或暂停用户账户，将与用户请求相对应的ip地址列入黑名单，或者将用户账户添加到高风险组以进行进一步监测。

(15)根据(1)到(14)中任一项所述的方法，其中，由欺诈和异常检测系统执行将用户请求的空间划分为子集以及确定在子集中的用户请求的风险评分。

(16)根据(1)到(15)中任一项所述的方法，其中，所述用户请求由网络应用收集并且传递到所述欺诈和异常检测系统。

(17)一种包括处理器的设备，其被配置成：

将用户请求的空间划分为子集，并且

基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

(18)根据(17)所述的设备，所述设备进一步被设置为欺诈和异常检测系统的一部分。

(19)根据(17)所述的设备，所述设备进一步连接至信息安全操作中心和/或网络操作中心。

(20)一种系统，包括：

服务器，其托管网络应用；以及

包括处理器的设备，其被配置成将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求的子集中的用户请求的数量的演变来确定用户请求的风险评分。

(21)一种计算机程序，其包括当在计算机上执行时促使计算机执行根据(1)至(16)中任一项所述的方法的程序代码。

(22)一种永久性计算机可读记录介质，在其内存储计算机程序产品，当由处理器执行时，所述计算机程序产品促使执行根据(1)至(16)中任一项所述的方法。