速度事件评估系统的制作方法

网络攻击使公司和个人损失数十亿美元。2015年的一份报告指出，网络攻击每年使公司损失超过4000亿美元。除了财务成本之外，网络攻击还可能导致有价值信息的破坏或丢失。例如，勒索软件攻击可以加密个人计算机上的所有数据，包括财务文档、家庭照片、电子邮件消息等的唯一副本。如果没有支付赎金，则数据可能会永远保持加密状态。即使支付了赎金，攻击者也可能不提供用于解密数据的密钥。由于网络攻击的高成本，公司和个人在开发和购买安全系统方面花费了大量资源作为网络攻击的防御。这些安全系统包括防火墙系统、防病毒系统、身份验证系统、入侵防御系统、访问控制系统等。

对网络攻击的一些防御可能依赖于检测“速度事件”的发生。当在一段时间内从两个不同的位置访问资源时，如果这段时间对于一个人在这些位置之间合理行进来说太短暂，则发生速度事件，也称为“速度事件”。图1示出了速度事件的示例。计算机系统110(即，资源)可以在1:00从第一因特网协议(“ip”)地址接收到用户的登录请求120，并且在2:00从第二ip地址接收到用户的另一登录请求130。(提供给计算机系统的ip地址被认为是源ip地址，因为它是从其接收到登录地址的计算机的ip地址。)ip/位置表140将ip地址映射到相应的物理地址。在该示例中，ip/位置表将第一地址映射到纽约，并且将第二地址映射到特拉维夫。由于纽约与特拉维夫之间的距离超过5000英里，一个人不可能在一小时内从纽约前往特拉维夫。因此，这些登录不可能是由在这些位置之间行进的同一个人尝试的。至少一个登录请求可能是黑客或某个其他未授权用户尝试的网络攻击。当检测到这样的速度事件时，可以采取对策。对策可以包括锁定用户的帐户，需要附加认证(例如，多因素认证)，发送电子邮件以警告用户，等等。

然而，某些速度事件可能是误报，因为即使ip地址与不同位置相关联，用户也不在这些位置之一处。这种速度事件可以被认为是假速度事件，这是有问题的，与真速度事件相反，这是有问题的。由于各种原因，速度事件可能是假的。例如，ip地址到位置的映射可能不准确。作为另一示例，可以通过具有不同ip地址的服务器来引导源自具有一个ip地址的用户的计算机的登录请求。接收登录请求的计算机系统仅知道登录请求是从服务器的ip地址发送的。用户的计算机和服务器的ip地址分别称为“始发”ip地址和“替代”ip地址。例如，当用户尝试经由虚拟专用网络(“vpn”)登录到计算机系统时，可以使用替代ip地址。因此，如果纽约的用户首先在1:00经由他们的智能电话提交登录请求，并且然后在2:00仍然在纽约经由连接到特拉维夫的服务器的计算机提交登录请求，则将检测到速度事件。然而，速度事件是假的。

如果对每个假速度事件采取对策，将不必要地使用相当多的计算机资源。因此，这些计算机资源将无法用于检测和防止网络攻击。另外，用户可能认为对策(例如，锁定帐户)是繁重的并且对用户施加不适当的负担。

技术实现要素：

提供了一种用于确定速度事件是假还是真的系统。在一些实施例中，该系统访问速度事件的数据存储库，每个速度事件指定共享速度事件的一对地址。对于速度事件的每个地址，该系统基于地址具有的过去的速度事件的数目以及与该地址共享速度事件的地址来设置该地址的得分。当该地址的得分满足始发地址标准时，该系统将该地址指明为始发地址。当速度事件的两个地址都是始发地址时，该系统可以确定速度事件为真。

提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

附图说明

图1示出了速度事件的示例。

图2是示出表示速度事件的图表的图。

图3是具有基于图2的图表的迭代的结果的表。

图4是示出一些实施例中的rvei系统的组件的框图。

图5是示出一些实施例中的rvei系统的标识始发地址组件的处理的流程图。

图6是示出一些实施例中的rvei系统的生成邻接矩阵组件的处理的流程图。

图7是示出一些实施例中的rvei系统的生成得分组件的处理的流程图。

图8是示出一些实施例中的rvei系统的第一标识真速度事件组件的处理的流程图。

图9是示出一些实施例中的rvei系统的第二标识真速度事件组件的处理的流程图。

具体实施方式

提供了一种用于确定速度事件是真还是假的方法和系统。在一些实施例中，真速度事件标识(“rvei”)系统一组处理速度事件(真和假)以生成速度事件的每个唯一地址的得分。地址的得分指示地址是始发地址还是替代地址。例如，继续图1的示例，纽约ip地址的得分将指示它是始发ip地址，并且特拉维夫ip地址的得分将指示它是替代ip地址。地址的得分可以从指示替代地址的替代得分(例如，0.0)到指示始发地址的始发得分(例如，1.0)。rvei系统可以基于rvei系统对地址是替代地址还是始发地址的信任程度来将得分设置为在该范围内的任何值。

在一些实施例中，当检测到速度事件时，rvei系统基于速度事件的地址是始发地址还是替代地址来确定速度事件是真还是假。如果两个地址都是始发地址，则速度事件更可能为真。但是，如果地址之一是替代地址，则速度事件更可能是假的。为了确定速度事件是真还是假，rvei系统可以组合速度事件的地址的得分。例如，如果得分范围从0.0到1.0，则rvei系统可以将得分相乘。如果组合的得分满足真标准(例如，高于某个阈值)，则rvei系统将速度事件指明为真事件；否则，rvei将速度事件指明为假事件。以这种方式，可以实时地检测到并且可以阻止所尝试的网络攻击，例如，通过拒绝后来的登录请求和/或中止先前的登录请求。在一些实施例中，rvei系统可以使用真速度事件的地址(例如，潜在的攻击者地址)来拒绝来自这些地址的后续登录请求，即使后续登录请求不与速度事件相关联。

尽管rvei系统主要在对计算机帐户的登录请求的上下文中描述，但是rvei系统可以用于检测针对各种资源的潜在网络攻击。例如，在用户登录到帐户之后，用户可能尝试访问特别敏感的文档。在授予对文档的访问之前，rvei系统可以检查该地址是否与最近的真速度事件相关联，并且如果是，则拒绝访问。rvei系统可以使用除了ip地址之外的地址。例如，具有全球定位系统(“gps”)能力的智能电话可以在尝试访问资源时发送gps坐标(即，地址)。如果所尝试的访问的gps坐标相距太远(例如，由智能电话和服务器提供的gps坐标)，则检测到速度事件。rvei系统可以与用于处理速度事件的其他技术组合使用，诸如在于2015年11月30日提交的题为“techniquefordetectingunauthorizedaccesstocloudapplicationsbasedonvelocityevents”的美国专利申请no.14/954,136中描述的那些技术。

在一些实施例中，rvei系统确定请求的源地址是替代地址还是始发地址。rvei系统可以保存速度事件的数据存储库。每个速度事件指定共享该速度事件的一对地址。继续这一示例，纽约ip地址和特拉维夫ip地址将共享相同的速度事件。(如果在3:00有来自东京的后续登录请求，则会有两个附加速度事件，一个共享纽约ip地址和东京ip地址，另一个共享特拉维夫ip地址和东京ip地址。)rvei系统基于与该地址共享速度事件的唯一地址的数目或者该地址共享的速度事件的数目来设置速度事件的每个地址的得分。例如，如果地址对应于登录请求所针对的服务器的ip地址，则该ip地址可能处于很多速度事件中。当该地址的得分满足替代地址标准时，rvei系统将该地址指明为替代地址；否则，它将该地址指明为始发地址或至少可能是始发地址。

图2是示出表示速度事件的图表的图。图表100包括经由链路211-219连接的节点201-208。速度事件表210包括每个速度事件的条目。每个节点表示与速度事件相关联的ip地址，并且每个链接表示共享速度事件的ip地址。例如，表示ip地址a的节点201经由链路213连接到表示ip地址d的节点204。速度事件表的第一条目表示由ip地址a和ip地址d共享的速度事件。与每个链接相关联的括号中的数字指示与该链接相关联的ip地址共享的速度事件的数目。例如，数字10与链路213相关联，以指示ip地址a和ip地址d共享10个速度事件。经由链路219连接到节点201的节点208指示ip地址a与某个数目的其他ip地址共享速度事件。在该示例中，节点201连接到比任何其他节点更多的节点。因此，ip地址a更可能表示替代ip地址而不是其他ip地址。

在一些实施例中，rvei系统基于与该地址共享速度事件的ip地址的得分来生成ip地址的得分。例如，ip地址a的得分基于由节点202-206和208表示的ip地址的得分。作为另一示例，ip地址g的得分基于由节点203和206表示的ip地址的得分。rvei系统可以使用迭代过程来计算得分，直到得分收敛于特定解。rvei系统最初可以将每个节点的得分设置为1.0。在每次迭代期间，rvei系统可以如下式所示来设置每个节点的得分：

其中sa表示ip地址a的得分，bb表示图表中的一组相邻ip地址(即，与ip地址a共享速度事件的ip地址)，并且sab表示相邻ip地址的得分。当迭代收敛时，得分接近0.0的ip地址倾向于表示替代ip地址，而得分接近1.0的ip地址倾向于表示始发ip地址。

图3是具有基于图2的图表的迭代的结果的表。该表的每一列表示ip地址的得分，并且该表的每一行表示在每次迭代期间计算的得分。尽管未在表中示出，但是计算假定ip地址a连接到200个其他节点208，这些其他节点208未连接到任何其他节点。最初，每个得分被设置为1.0，如第0行所示。在第一次迭代期间，ip地址a的得分被设置为0.0094，即1除以206，因为节点201连接到204个其他节点。类似地，ip地址d的得分被设置为0.5，即1除以2，因为节点204连接到以供其他节点。可以看出，从迭代13到迭代14，得分的至少四个小数位相同，并且可以认为计算已经收敛于特定解。由于ip地址a的得分接近零，因此rvei系统将ip地址a指明为替代ip地址。rvei系统可以使用各种算法来计算ip地址的得分。例如，当计算目标ip地址的得分时，可以基于每个ip地址共享的速度事件的数目相对于目标ip地址共享的速度事件的总数来对ip地址的得分进行加权。例如，ip地址a共享200个速度事件。因此，当计算ip地址a的得分时，ip地址d的得分的权重将是10/200，并且ip地址c的得分的权重将是40/200。rvei系统还可以使用各种技术来确定收敛。例如，当从一次迭代到下一次迭代的得分差异的平均值小于阈值平均值时，可以确定得分已经收敛。rvei系统也可以假定在一定次数的迭代之后收敛。

图4是示出一些实施例中的rvei系统的组件的框图。rvei系统400包括标识速度事件组件410、标识始发地址组件420、生成邻接矩阵组件430、生成得分组件440、标识真速度事件组件450和采取对策组件460。rvei系统还包括速度事件存储库470和地址得分存储库480。标识速度事件组件基于同一用户在不同时间和位置对资源的访问来标识速度事件，这表明用户在这些位置之间行进是不合理的。标识速度事件组件将速度事件存储在速度事件存储库中。标识始发地址组件基于速度事件标识始发地址。标识始发地址组件调用生成邻接矩阵组件和生成得分组件。生成邻接矩阵组件为速度事件存储库中的每个ip地址生成具有行和列的邻接矩阵。邻接矩阵的每个元素指示行的ip地址是否与列的ip地址共享速度事件。在一些实施例中，邻接矩阵可以存储ip地址共享的速度事件的计数，以用于确定得分的权重。因为ip地址的数目可能非常大，所以邻接矩阵可能相对稀疏。在这种情况下，rvei系统可以使用各种公知的技术来存储稀疏矩阵。生成得分组件迭代地生成ip地址的得分并且将得分存储在地址得分存储库中。标识真速度事件组件标识速度事件是真还是假。标识真速度事件组件可以调用生成邻接矩阵组件和生成得分组件。或者，标识真速度事件组件可以访问地址得分存储库的得分。采取对策组件负责在检测到真速度事件时采取各种对策。

由rvei系统使用的计算系统可以包括中央处理单元、输入设备、输出设备(例如，显示设备和扬声器)、存储设备(例如，存储器和磁盘驱动器)、网络接口、图形处理单元、加速度计、蜂窝无线电链路接口、全球定位系统设备等。计算系统可以包括数据中心的服务器、大规模并行系统等。计算系统可以访问计算机可读介质，包括计算机可读存储介质和数据传输介质。计算机可读存储介质是有形存储装置，其不包括暂态传播信号。计算机可读存储介质的示例包括存储器，诸如主存储器、高速缓冲存储器和辅助存储器(例如，dvd)和其他存储器。计算机可读存储介质可以在其上记录实现rvei系统的计算机可执行指令或逻辑，或者可以用实现rvei系统的计算机可执行指令或逻辑进行编码。数据传输介质用于经由有线或无线连接经由暂态传播信号或载波(例如，电磁)来传输数据。

rvei系统可以在由一个或多个计算机、处理器或其他设备执行的计算机可执行指令(诸如程序模块和组件)的一般上下文中描述。通常，程序模块或组件包括执行任务或实现数据类型的例程、程序、对象、数据结构等。通常，程序模块的功能可以在各种实施例中根据需要进行组合或分布。rvei系统的各方面可以使用例如专用集成电路(asic)以硬件而被实现。

图5是示出一些实施例中的rvei系统的标识始发地址组件的处理的流程图。标识始发地址组件500标识哪些地址可能是始发地址以及哪些地址可能是替代地址。在框501中，该组件访问速度事件表。在框502中，该组件调用生成邻接矩阵组件以生成速度事件的邻接矩阵。在框503中，该组件调用生成得分组件以基于邻接矩阵来生成每个ip地址的得分。在框504-508中，该组件循环确定每个ip地址是始发地址还是替代地址。在框504中，该组件选择下一ip地址。在判定框505中，如果已经选择了所有ip地址，则该组件完成，否则该组件在框506处继续。在判定框506中，如果通过所选择的ip地址的得分满足始发地址标准，则该组件在框507处继续，否则该组件在框508处继续。在框507中，该组件将所选择的ip地址标记为始发地址，并且循环到框504以选择下一ip地址。在框508中，该组件将所选择的ip地址标记为替代地址，并且然后循环到框504以选择下一ip地址。

图6是示出一些实施例中的rvei系统的生成邻接矩阵组件的处理的流程图。生成邻接矩阵组件600生成指示哪些ip地址共享速度事件的邻接矩阵。在框601中，该组件为每个ip地址分配具有行和列的矩阵。邻接矩阵可以是三角矩阵。在框602中，该组件选择下一速度事件。在判定框603中，如果已经选择了所有速度事件，则该组件完成，否则该组件在框604处继续。在框604中，该组件递增由所选择的速度事件的ip地址索引的矩阵元素以生成ip地址共享的速度事件的计数。在一些实施例中，这些元素可以仅包含1或0而不是计数。然后该组件循环到框602以选择下一速度事件。

图7是示出一些实施例中的rvei系统的生成得分组件的处理的流程图。调用生成得分组件700以基于速度事件的ip地址的邻接矩阵生成得分。在框701中，该组件初始化每个ip地址的得分。在框702中，从第一次开始，该组件选择下一次迭代。在框703中，该组件选择下一ip地址a。在判定框704中，如果已经选择了所有ip地址，则该组件在框710处继续，否则该组件在框705处继续。在框705-708中，该组件循环累积与所选择的ip地址a相邻的ip地址bb的得分。在框705中，该组件初始化累积得分。在框706中，该组件选择下一相邻地址b。在判定框707中，如果已经选择了所有相邻地址bb，则该组件在框709继续，否则该组件在框708继续。在框708中，该组件将累积得分递增所选择的相邻ip地址b的得分，并且然后循环到框706以选择下一相邻ip地址b。在框709中，该组件计算所选择的ip地址a的得分，并且循环到框703以选择当前迭代的下一ip地址a。在判定框710中，如果ip地址的得分已经收敛，则该组件完成，否则该组件循环到框703以开始下一次迭代。

图8是示出一些实施例中的rvei系统的第一标识真速度事件组件的处理的流程图。标识真速度事件组件800基于共享速度事件的ip地址的得分的组合来生成速度事件。在框801中，该组件调用生成得分组件以生成针对ip地址的得分。在框802中，该组件接收速度事件的指示。在框803中，该组件组合共享速度事件的ip地址的得分。例如，该组件可以将得分相乘。在判定框804中，如果组合的得分满足真标准(或者，不满足假标准)，则该组件在框805处继续，否则该组件在框806处继续。在框805中，该组件将速度事件标记为真并且完成。在框806中，该组件将速度事件标记为假并且完成。

图9是示出一些实施例中的rvei系统的第二标识真速度事件组件的处理的流程图。标识真速度事件组件900基于对ip地址是否已经被指明为始发的确定来生成速度事件。在框901中，该组件调用标识始发地址组件以将速度事件的ip地址标识为始发地址。在框902中，该组件接收速度事件。在判定框903中，如果速度事件的两个ip地址都是始发地址，则该组件在框904处继续，否则该组件在框905处继续。在框904中，该组件将速度事件标记为真并且完成。在框905中，该组件将速度事件标记为假并且然后完成。

以下段落描述rvei系统的各方面的各种实施例。rvei系统的实现可以采用实施例的任何组合。下面描述的处理可以由具有处理器的计算设备执行，该处理器执行被存储在计算机可读存储介质上的实现rvei系统的计算机可执行指令。

在一些实施例中，提供了一种由计算设备执行的、用于确定地址是否为始发地址的方法。该方法访问速度事件的数据存储库。每个速度事件指定共享速度事件的一对地址。针对速度事件的每个地址，该方法基于与该地址共享速度事件的地址的数目来设置针对该地址的得分。当针对该地址的得分满足始发地址标准时，该方法将该地址指明为始发地址。在一些实施例中，针对速度事件的每个地址，当针对地址的得分满足替代地址标准时，该方法还将地址指明为替代地址。在一些实施例中，针对地址的得分的设置包括将针对每个地址的得分设置为初始值，并且基于该地址的得分和与该地址共享速度事件的地址的得分的总和来迭代地重置每个地址的得分，直到得分收敛于解。在一些实施例中，地址的得分被设置为上述总和的倒数。在一些实施例中，针对地址的得分的重置基于该地址和唯一地址共享的速度事件的数目与该地址共享的速度事件的数目的比例来对与该地址共享速度事件的每个唯一地址的得分进行加权。在一些实施例中，该方法还基于共享速度事件的地址的得分的组合来确定速度事件是否真。在一些实施例中，得分的组合是得分的乘积。在一些实施例中，每个地址是与对资源的尝试访问相关联的地址。在一些实施例中，尝试访问是向计算机资源的登录。在一些实施例中，速度事件与时间间隔相关联，并且共享速度事件的地址各自与位置相关联，并且位置使得人在该时间间隔期间不能在位置之间合理地行进。在一些实施例中，始发地址与用户所在的位置相关联，并且替代地址与除了用户所在的位置之外的位置相关联。

在一些实施例中，提供了一种由计算设备执行的用于确定速度事件是否为真的方法。每个速度事件具有共享速度事件的一对地址。针对速度事件的每个地址，该方法针对地址生成指示地址是否为始发地址的得分。响应于检测到速度事件，该方法基于共享速度事件的地址的得分来确定速度事件是否为真。在一些实施例中，得分在替代地址得分和始发地址得分的范围中，并且该确定包括生成共享速度事件的地址的得分的乘积，并且在乘积满足真速度事件标准时指示速度事件为真。在一些实施例中，针对地址的得分基于地址共享的速度事件的数目。在一些实施例中，地址共享的速度事件的数目越高，地址就越不可能是始发地址。在一些实施例中，响应于确定速度事件为真，该方法还指引对策被采取以确保经由共享速度事件的地址对资源的访问为授权访问。

在一些实施例中，提供了一种用于确定速度事件是否为真的计算系统。每个速度事件具有一对地址。该计算系统包括存储计算机可执行指令的计算机可读存储介质和用于执行存储在计算机可读存储介质中的计算机可执行指令的处理器。这些指令控制计算系统访问地址存储库，该地址存储库指示速度事件的地址为始发地址，并且响应于检测到速度事件，当速度事件的两个地址都是始发地址时，确定速度事件为真。在一些实施例中，这些指令还控制计算系统访问存储速度事件的地址的速度事件存储库，并且针对速度事件的每个地址，基于与该地址共享速度事件的唯一地址的数目来设置针对该地址的得分，并且当该地址的得分满足始发地址标准时，将该地址指明为始发地址。在一些实施例中，指令还控制计算系统基于该地址与其共享速度事件的地址的得分来设置该地址的得分。在一些实施例中，每个速度事件与资源相关联，并且这些指令还控制计算系统在确定速度事件为真时，采取对策以确保对与速度事件相关联的资源的访问被授权。

尽管用结构特征和/或动作专用的语言描述了本主题，但是应当理解，所附权利要求书中定义的主题不必限于上述具体特征或动作。而是，上述具体特征和动作被公开作为实现权利要求的示例形式。因此，除了所附权利要求之外，本发明不受限制。