Способы и системы для определения нестандартной пользовательской активности Российский патент 2018 года по МПК G06F15/00 

Описание патента на изобретение RU2670030C2

ОБЛАСТЬ ТЕХНИКИ

[0001] Настоящая технология относится к пользовательской авторизации и, конкретнее, к способам и системам для определения нестандартной пользовательской активности.

УРОВЕНЬ ТЕХНИКИ

[0002] Развитие интернета в купе с увеличением рынка мобильных электронных устройств позволяет миллиардам людей использовать их мобильные устройства ежедневно для обучения, общения, обмена информацией и проведения финансовых операций. При выполнении подобных активностей, профиль, персональная информация и персональные данные часто вводятся в устройство, сохраняются на нем и передаются по линиям и сетям передачи данных для поставщиков сервисов.

[0003] Тем не менее, ценность и объемы личной информации, обрабатываемые мобильными устройствами и поставщикам онлайн сервисов, значительно возросли, а вместе с ними увеличилось и число попыток злоумышленников получить доступ к личной информации и использовать ее для финансовых махинаций или иных мошеннических схем. С учетом того, что серверы и мобильные устройства доступны через интернет, часто злоумышленники работают через удаленные системы, которые они могут взломать, снижая тем самым собственные риски.

[0004] Например, они могут проводить кибер-атаки на онлайн системы и сетевые инфраструктуры, воровать или взламывать криптографические ключи, воровать или взламывать пароли к онлайн и финансовым аккаунтам пользователя, прибегать к фишингу с помощью электронной почты и красть личные или финансовые аккаунты, производить неавторизованные финансовые транзакции, устанавливать вредоносный софт на мобильные устройства или удаленные серверы и сетевое оборудование и так далее. Для снижения подобных рисков, создатели мобильных устройств и поставщики сервисов обычно предпринимают меры кибер- безопасности для защиты своих онлаин-систем, которые связаны с основными мерами авторизации, например, использование личного идентификационного кода (PIC) или биометрических данных для разблокирования устройства и выполнения важных операций, а также реализуют анти-вредоносные меры (как на уровне аппаратуры, так и на уровне программ) на мобильном устройстве.

[0005] Тем не менее, когда злоумышленники успешно получают доступ к аккаунту пользователя, например, в электронной почте или социальной сети, или к пользовательскому устройству, злоумышленники могут также подвергать опасности другие связанные аккаунты, связанные с пользователем, и могут с легкостью украсть профиль пользователя, обмануть пользователя и использовать его аккаунт для распространения спама и обмана других пользователей.

[0006] Кроме того, с учетом объема финансовой информации, которая обрабатывается и проходит ежедневно через сети передачи данных на мобильных и других электронных устройствах, а также учитывая потенциал для мгновенного финансового обогащения мошенников, получение доступа к пользовательскому аккаунту со стороны мошенников представляет собой большую опасность.

[0007] Американская патентная заявка No. 8,713,023, выданная 10 ноября 2015 года Автомобильной Ассоциации США (USAA), описывает способы и системы для создания профилей поведения. В некоторых вариантах осуществления технологии, способ включает в себя наблюдение за поведенческими характеристиками пользовательских взаимодействий во время текущей сессии с помощью одного из множества каналов. Вариации поведенческих характеристик пользовательских взаимодействий, которые наблюдаются во время текущей сессии, а также профиля поведения, который был разработан ранее на основе предыдущих шаблонов взаимодействия пользователя с помощью множества каналов, определяются в режиме реального времени или почти реального времени. Для пользователя в сессии, уровень проверки реализуется на основе вариаций между поведенческими характеристиками и поведенческим профилем.

[0008] Американская патентная заявка No. 2016/0224777 от автора Ребело и др. описывает шаблоны использования мобильного устройства авторизованным пользователем, шаблоны создаются из собранных данных, которые представляют использование устройства со стороны авторизованного пользователя. Эти шаблоны использования далее могут сравниваться с наблюдаемым использованием мобильного устройства. Если использование мобильного устройства превышает порог, основанный на одном или нескольких шаблонах использования, доступ к данным на мобильном устройстве может быть ограничен.

РАСКРЫТИЕ ТЕХНОЛОГИИ

[0009] Варианты осуществления настоящего технического решения были разработаны с учетом определения разработчиками по меньшей мере одного технического недостатка, связанного с известным уровнем техники. Конкретнее, разработчики настоящей технологии предположили, что, по меньшей мере по вышеназванным причинам, существует потребность в способах и системах обнаружения нестандартной пользовательской активности.

[00010] Варианты осуществления настоящей технологии были разработаны на основе предположений разработчиков о том, что, несмотря на то что на существующем уровне техники используются пороги для обнаружения необычной пользовательской активности и последующей блокировки пользовательского доступа к сервису или приложению, необычная пользовательская активность не обязательно будет указывать на взломанный аккаунт, и блокировка пользовательского доступа может быть несвоевременной и неудобной для пользователя (тем самым порождая недовольство пользователя сервисом, который заблокировал пользовательский аккаунт).

[00011] Настоящая технология также проистекает из наблюдений разработчиков о том, что постоянное отслеживание каждого пользовательского взаимодействия и содержимого пользовательских взаимодействий на множестве сервисов может быть ресурсозатратным с точки зрения клиентского устройств и сервера, когда нет подозрений в потенциальной нестандартной пользовательской активности.

[00012] Следовательно, разработчики предлагают способ и системы для определения нестандартной пользовательской активности.

[00013] Первым объектом настоящей технологии является способ определения нестандартной пользовательской активности, способ выполняется на сервере, сервер соединен со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, способ включает в себя: отслеживание сервером, за первый период времени, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения, определение сервером того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временный период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем, пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством,

в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживание, за второй период времени, сервером пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения, определение сервером того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств, пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством, в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирование сервером процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.

[00014] В некоторых вариантах осуществления технологии, способ может дополнительно включать в себя: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа ко множеству сервисов приложений на клиентском устройстве.

[00015] В некоторых вариантах осуществления технологии, отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения далее включает в себя отслеживание пользовательской активности, связанной со множеством сервисом приложений, множество сервисов приложений включает в себя сервис первого приложения.

[00016] В некоторых вариантах осуществления технологии, каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом, и причем множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.

[00017] В некоторых вариантах осуществления технологии, отслеживание пользовательской активности далее включает в себя получение, сервером, указания на пользовательское взаимодействие с сервисом приложения, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.

[00018] В некоторых вариантах осуществления технологии, каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.

[00019] В некоторых вариантах осуществления технологии, определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.

[00020] В некоторых вариантах осуществления технологии, одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.

[00021] В некоторых вариантах осуществления технологии, определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки с соответствующей второй средней оценкой.

[00022] В некоторых вариантах осуществления технологии, первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.

[00023] В некоторых вариантах осуществления технологии, содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.

[00024] Вторым объектом настоящей технологии является система для определения нестандартной пользовательской активности, система соединена со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, система включает в себя: процессор, постоянный машиночитаемый носитель компьютерной информации, содержащий инструкции, процессор, при выполнении инструкций, настраиваемый на осуществление: отслеживания системой, за первый период времени, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения, определения системой того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временный период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем, пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством, в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживания, за второй период времени, системой пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения, определения системой того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств, пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством, в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирование системой процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.

[00025] В некоторых вариантах осуществления технологии, система может дополнительно инициировать: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа ко множеству сервисов приложений на клиентском устройстве.

[00026] В некоторых вариантах осуществления технологии, отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения далее включает в себя отслеживание пользовательской активности, связанной со множеством сервисом приложений, множество сервисов приложений включает в себя сервис первого приложения.

[00027] В некоторых вариантах осуществления технологии, каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом и в котором множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.

[00028] В некоторых вариантах осуществления технологии, отслеживание пользовательской активности далее включает в себя получение, сервером, указания на пользовательское взаимодействие с сервисом приложения, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.

[00029] В некоторых вариантах осуществления технологии, каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.

[00030] В некоторых вариантах осуществления технологии, определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.

[00031] В некоторых вариантах осуществления технологии, одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.

[00032] В некоторых вариантах осуществления технологии, определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки со второй средней оценкой.

[00033] В некоторых вариантах осуществления технологии, первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.

[00034] В некоторых вариантах осуществления технологии, содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.

[00035] В некоторых вариантах осуществления технологии, процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.

[00036] В некоторых вариантах осуществления технологии, процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.

[00037] В контексте настоящего описания «сервер» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один компьютер или одну компьютерную систему, однако ни то, ни другое не является обязательным в отношении предлагаемой технологии. В контексте настоящей технологии, использование выражения «сервер» не означает, что каждая задача (например, полученные команды или запросы) или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же сервером (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может быть одним сервером или несколькими серверами, оба варианта включены в выражение «по меньшей мере один сервер».

[00038] В контексте настоящего описания «клиентское устройство» подразумевает под собой аппаратное устройство, способное работать с программным обеспечением, подходящим к решению соответствующей задачи. В контексте настоящего описания в общем случае «клиентское устройство» связано с пользователем клиентского устройства. Таким образом, некоторые (неограничивающие) варианты осуществления клиентских устройств включают в себя персональные компьютеры (настольные, ноутбуки, нетбуки и так далее), смартфоны и планшеты, а также сетевое оборудование, например, маршрутизаторы, коммутаторы и шлюзы. Следует иметь в виду, что устройство, функционирующее как клиентское устройство в настоящем контексте может функционировать как сервер для других клиентских устройств. Использование выражения «клиентское устройство» не исключает возможности использования множества клиентских устройств для получения/отправки, выполнения или инициирования выполнения любой задачи или запроса, или же последствий любой задачи или запроса, или же этапов любого вышеописанного способа.

[00039] В контексте настоящего описания термин «информация» включает в себя информацию любую информацию, которая может храниться в базе данных. Таким образом, информация включает в себя, среди прочего, аудиовизуальные произведения (изображения, видео, звукозаписи, презентации и т.д.), данные (данные о местоположении, цифровые данные и т.д.), текст (мнения, комментарии, вопросы, сообщения и т.д.), документы, таблицы и т.д.

[00040] В контексте настоящего описания, «программный компонент» подразумевает под собой программное обеспечение (соответствующее конкретному аппаратному контексту), которое является необходимым и достаточным для выполнения конкретной(ых) указанной(ых) функции(й).

[00041] В контексте настоящего описания, термин "документ" может широко интерпретироваться как включающий в себя любой машиночитаемый продукт или продукт, который может храниться на машине. Документ может включать в себя электронное сообщение, веб-сайт, файл, комбинацию файлов, один или несколько файлов со встроенными ссылками на другие файлы, групповое размещение новостей, блог, веб-рекламу и т.д. В контексте Интернета, обычный документ представляет собой веб-страницу. Веб-страницы часто включают в себя текстовую информацию и могут включать в себя встроенную информацию (например, мета-информацию, изображения, гиперссылки и т.д.) и/или встроенные инструкции (например, Javascript и т.д.). Страница может соответствовать документу или части документа. Следовательно, слова "страница" и "документ" могут быть взаимозаменяемы в некоторых случаях. В других случаях, термин "страница" может относиться к части документа, например, суб-документу. Также возможно, что страница будет соответствовать более чем одному документу.

[00042] В контексте настоящего описания, «носитель компьютерной информации» (также упоминаемый как носитель информации) подразумевает под собой носитель абсолютно любого типа и характера, включая ОЗУ, ПЗУ, диски (компакт диски, DVD-диски, дискеты, жесткие диски и т.д.), USB флеш-накопители, твердотельные накопители, накопители на магнитной ленте и т.д. Множество компонентов может быть объединено в носитель компьютерной информации, включая два или более мультимедийных компонента одного типа и/или два или более компонента разных типов.

[00043] В контексте настоящего описания, «база данных» подразумевает под собой любой структурированный набор данных, не зависящий от конкретной структуры, программного обеспечения по управлению базой данных, аппаратного обеспечения компьютера, на котором данные хранятся, используются или иным образом оказываются доступны для использования. База данных может находиться на том же оборудовании, выполняющем процесс, на котором хранится или используется информация, хранящаяся в базе данных, или же база данных может находиться на отдельном оборудовании, например, выделенном сервере или множестве серверов.

[00044] В контексте настоящего описания слова «первый», «второй», «третий» и и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными. Так, например, следует иметь в виду, что использование терминов ʺпервая база данныхʺ и ʺтретий серверʺ не подразумевает какого-либо порядка, отнесения к определенному типу, хронологии, иерархии или ранжирования (например) серверов/между серверами, равно как и их использование (само по себе) не предполагает, что некий ʺвторой серверʺ обязательно должен существовать в той или иной ситуации. В дальнейшем, как указано здесь в других контекстах, упоминание «первого» элемента и «второго» элемента не исключает возможности того, что это один и тот же фактический реальный элемент. Так, например, в некоторых случаях, «первый» сервер и «второй» сервер могут являться одним и тем же программным и/или компонентами аппаратного обеспечения, а в других случаях они могут являться разными компонентами программного и/или аппаратного обеспечения.

[00045] Каждый вариант осуществления настоящей технологии преследует по меньшей мере одну из вышеупомянутых целей и/или объектов, но наличие всех не является обязательным. Следует иметь в виду, что некоторые объекты данной технологии, полученные в результате попыток достичь вышеупомянутой цели, могут не удовлетворять этой цели и/или могут удовлетворять другим целям, отдельно не указанным здесь.

[00046] Дополнительные и/или альтернативные характеристики, аспекты и преимущества вариантов осуществления настоящего технического решения станут очевидными из последующего описания, прилагаемых чертежей и прилагаемой формулы изобретения.

КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ

[00047] Эти и другие аспекты, свойства и преимущества настоящей технологии будут лучше понятны с учетом следующего описания, прилагаемой формулы изобретения и чертежей, где:

[00048] На Фиг. 1 представлены компоненты и свойства клиентского устройства, выполненного в соответствии с вариантом осуществления настоящей технологии.

[00049] На Фиг. 2 представлена система, которая включает в себя клиентское устройство, показанное на Фиг. 1, реализованное в соответствии с вариантом осуществления настоящей технологии.

[00050] На Фиг. 3 представлены сервисы, предоставляемые поставщиком сервиса, как реализовано в системе на Фиг. 2 в соответствии с вариантом осуществления настоящей технологии.

[00051] На Фиг. 4 представлена первая таблица пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00052] На Фиг. 5 представлена вторая таблица пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00053] На Фиг. 6 представлена третья таблица пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00054] На Фиг. 7 представлена первая таблица потенциально нестандартной пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00055] На Фиг. 8 представлена первая таблица нестандартной пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00056] На Фиг. 9 представлена вторая таблица нестандартной пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00057] На Фиг. 10 представлена третья таблица нестандартной пользовательской активности в соответствии с вариантом осуществления настоящей технологии.

[00058] На Фиг. 11 представлена блок-схема способа, выполняемого сервером для определения подозрительной пользовательской активности, реализованного в соответствии с неограничивающими вариантами осуществления настоящей технологии.

ОСУЩЕСТВЛЕНИЕ

[00059] Все примеры и используемые здесь условные конструкции предназначены, главным образом, для того, чтобы помочь читателю понять принципы настоящей технологии, а не для установления границ ее объема. Следует также отметить, что специалисты в данной области техники могут разработать различные схемы, отдельно не описанные и не показанные здесь, но которые, тем не менее, воплощают собой принципы настоящей технологии и находятся в границах ее объема.

[00060] Кроме того, для ясности в понимании, следующее описание касается достаточно упрощенных вариантов осуществления настоящей технологии. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.

[00061] Некоторые полезные примеры модификаций настоящей технологии также могут быть охвачены нижеследующим описанием. Целью этого является также исключительно помощь в понимании, а не определение объема и границ настоящей технологии. Эти модификации не представляют собой исчерпывающего списка, и специалисты в данной области техники могут создавать другие модификации, остающиеся в границах объема настоящей технологии. Кроме того, те случаи, где не были представлены примеры модификаций, не должны интерпретироваться как то, что никакие модификации невозможны, и/или что то, что было описано, является единственным вариантом осуществления этого элемента настоящей технологии.

[00062] Более того, все заявленные здесь принципы, аспекты и варианты осуществления настоящей технологии, равно как и конкретные их примеры, предназначены для обозначения их структурных и функциональных основ, вне зависимости от того, известны ли они на данный момент или будут разработаны в будущем. Таким образом, например, специалистами в данной области техники будет очевидно, что представленные здесь блок-схемы представляют собой концептуальные иллюстративные схемы, отражающие принципы настоящей технологии. Аналогично, любые блок-схемы, диаграммы, псевдокоды и т.п. представляют собой различные процессы, которые могут быть представлены на машиночитаемом носителе и, таким образом, использоваться компьютером или процессором, вне зависимости от того, показан явно подобный компьютер или процессор, или нет.

[00063] Функции различных элементов, показанных на фигурах, включая функциональный блок, обозначенный как «процессор» или «графический процессор», могут быть обеспечены с помощью специализированного аппаратного обеспечения или же аппаратного обеспечения, способного использовать подходящее программное обеспечение. Когда речь идет о процессоре, функции могут обеспечиваться одним специализированным процессором, одним общим процессором или множеством индивидуальных процессоров, причем некоторые из них могут являться общими. В некоторых вариантах осуществления настоящей технологии, процессор может являться универсальным процессором, например, центральным процессором (CPU) или специализированным для конкретной цели процессором, например, графическим процессором (GPU). Более того, использование термина «процессор» или «контроллер» не должно подразумевать исключительно аппаратное обеспечение, способное поддерживать работу программного обеспечения, и может включать в себя, без установления ограничений, цифровой сигнальный процессор (DSP), сетевой процессор, интегральную схему специального назначения (ASIC), программируемую пользователем вентильную матрицу (FPGA), постоянное запоминающее устройство (ПЗУ) для хранения программного обеспечения, оперативное запоминающее устройство (ОЗУ) и энергонезависимое запоминающее устройство. Также в это может быть включено другое аппаратное обеспечение, обычное и/или специальное.

[00064] Программные модули или простые модули, представляющие собой программное обеспечение, могут быть использованы здесь в комбинации с элементами блок-схемы или другими элементами, которые указывают на выполнение этапов процесса и/или текстовое описание. Подобные модели могут быть выполнены на аппаратном обеспечении, показанном напрямую или косвенно.

[00065] С учетом этих примечаний, далее будут рассмотрены некоторые не ограничивающие варианты осуществления аспектов настоящей технологии.

[00066] На Фиг. 1 представлена схема первого клиентского устройства 100, которое подходит для некоторых вариантов осуществления настоящей технологии, причем первое клиентское устройство 100 включает в себя различные аппаратные компоненты, включая один или несколько одно- или многоядерных процессоров, которые представлены процессором 110, графический процессор (GPU) 111, твердотельный накопитель 120, ОЗУ 130, интерфейс 140 монитора, и интерфейс 150 ввода/вывода.

[00067] Связь между различными компонентами клиентского устройства 100 может осуществляться с помощью одной или нескольких внутренних и/или внешних шин 160 (например, шины PCI, универсальной последовательной шины, высокоскоростной шины IEEE 1394, шины SCSI, шины Serial ATA и так далее), с которыми электронными средствами соединены различные аппаратные компоненты.

[00068] Интерфейс 150 ввода/вывода может быть соединен с сенсорным экраном 190 и/или одной или несколькими внутренними и/или внешними шинами 160. Сенсорный экран 190 может быть частью экрана. В некоторых вариантах осуществления настоящей технологии сенсорный экран 190 является монитором. Сенсорный экран 190 может также упоминаться как экран 190. В вариантах осуществления технологии, изображенных на Фиг. 1 сенсорный экран 190 включает в себя сенсорное устройство 194 (например, чувствительные к давлению ячейки, встроенные в слой монитора, что позволяет обнаруживать физическое взаимодействие между пользователем и монитором) и сенсорный контроллер 192 ввода/вывода, позволяющий взаимодействовать интерфейсу 140 монитора и/или одной или нескольким внешним и/или внутренним шинам 160. В некоторых вариантах осуществления настоящей технологии, интерфейс 150 ввода/вывода может быть связан с клавиатурой (не показано), мышью (не показано) или трекпадом (не показано), что позволяет пользователю взаимодействовать с первым клиентским устройством 100 дополнительно к сенсорному экрану 190 или вместо него.

[00069] В соответствии с вариантами осуществления настоящей технологии твердотельный накопитель 120 хранит программные команды, подходящие для загрузки в ОЗУ 130, и использующиеся процессором 110 и/или графическим процессором GPU 111. Например, программные команды могут представлять собой часть библиотеки или приложение.

[00070] Первое клиентское устройство 100 может быть сервером, настольным компьютером, ноутбуком, планшетом, смартфоном, персональным цифровым органайзером (PDA) или другим устройством, которое может быть выполнено с возможностью реализовать настоящую технологию, как должно быть понятно специалисту в данной области техники.

[00071] Возвращаясь к Фиг. 2, система 200 передачи данных представлена в соответствии с вариантом осуществления настоящей технологии. Система 200 передачи данных включает в себя множество пользователей 201, множество пользователей 201 включает в себя первого пользователя 203, второго пользователя 205 и третьего пользователя 207, которые связаны соответственно с первым клиентским устройством 100, вторым клиентским устройством 215 и третьим клиентским устройством 217, соединенными с сетью 280 передачи данным с помощью ссылки 290 передачи данных. Второе клиентское устройство 215 может быть реализовано как ноутбук и третье клиентское устройство 217 может быть реализовано как смартфон. В некоторых вариантах осуществления настоящей технологии, не ограничивающих ее объем, сеть 280 передачи данных может представлять собой Интернет. В других вариантах осуществления настоящей технологии сеть 280 передачи данных может быть реализована иначе - в виде глобальной сети передачи данных, локальной сети передачи данных, частной сети передачи данных и т.п.

[00072] То, как именно реализована линия 290 передачи данных, никак конкретно не ограничено, и будет зависеть только от того, как именно реализованы соответствующие первое клиентское устройство 110, второе клиентское устройство 215 и третье клиентское устройство 217. В качестве примера, но не ограничения, в данных вариантах осуществления настоящей технологии в случаях, когда по меньшей мере одно из первого клиентского устройства 100, второго клиентского устройства 215 и третьего клиентского устройства 217, реализовано как беспроводное устройство связи (например, смартфон), линия 290 передачи данных представляет собой беспроводную сеть передачи данных (например, среди прочего, линию передачи данных 3G, линию передачи данных 4G, беспроводной интернет Wireless Fidelity или коротко WiFi®, Bluetooth® и т.п.). В тех примерах, где по меньшей мере одно из первого клиентского устройства 100, второго клиентского устройства 215 и третьего клиентского устройства 217 представляет собой портативный компьютер, линия 290 передачи данных может быть как беспроводной (беспроводной интернет Wireless Fidelity или коротко WiFi®, Bluetooth® и т.п.) так и проводной (соединение на основе сети Ethernet).

[00073] Важно иметь в виду, что варианты осуществления воплощения первого клиентского устройства 100, второго клиентского устройства 215 и третьего клиентского устройства 217, линии 290 передачи данных и сети 280 передачи данных представлены исключительно в иллюстрационных целях. Таким образом, специалисты в данной области техники смогут понять подробности других конкретных вариантов осуществления первого клиентского устройства 100, второго клиентского устройства 215 и третьего клиентского устройства 290, линии 290 передачи данных и сети 280 передачи данных. Таким образом, представленные здесь примеры не ограничивают объем настоящей технологии.

[00074] Также с сетью передачи данных соединен первый сервер 220, второй сервер 230, третий сервер 240 и сервер 250 отслеживания. Первый сервер 220, второй сервер 230, третий сервер 240 и сервер 250 отслеживания могут быть реализованы как обычные компьютерные серверы. В примере варианта осуществления настоящей технологии, первый сервер 220, второй сервер 230, третий сервер 240 и сервер 250 отслеживания могут представлять собой серверы Dell™ PowerEdge™, на которых используется операционная система Microsoft™ Windows Server™. Излишне говорить, что любой из первого сервера 220, второго сервера 230, третьего сервера 240 и сервера 250 отслеживания может представлять собой любое другое подходящее аппаратное и/или прикладное программное, и/или системное программное обеспечение или их комбинацию.

[00075] В представленном неограничивающем варианте осуществления технологии, первый сервер 220, второй сервер 230, третий сервер 240 и сервер 250 отслеживания являются независимыми серверами. В других вариантах осуществления настоящей технологии, не ограничивающих ее объем, функциональность каждого из первого сервера 220, второго сервера 230, третьего сервера 240 и сервера 250 отслеживания может быть реализована на одном сервере или может быть разделена и может выполняться с помощью нескольких серверов (не показано).

[00076] На Фиг. 3 представлено множество сервисов 300. Поставщик 305 сервиса может предоставлять пользователям в Интернете множество сервисов, упоминаемых как сервисы или сервисы приложений. Примеры поставщиков сервисов включают в себя: Яндекс™, Google™, Yahoo™, и Facebook™. В общем случае, пользователь, например, первый пользователь 203 может зарегистрировать пользовательский аккаунт 307 у поставщика 305 сервиса с помощью своего первого клиентского устройства 100, и получить доступ ко множеству сервисов, например, сервису 225 электронной почты, расположенному на первом сервере 220, сервису 235 социальных медиа, расположенному на втором сервере 230 и сервису 245 денежных переводов, расположенному на третьем сервере, с помощью браузера (путем доступа к веб-сайту, связанному с сервисом) или отдельного приложения, которое может выполняться на первом клиентском устройстве 100.

[00077] Поставщик 305 сервиса (и каждый из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов) может быть связан с сервером 250 отслеживания. В других вариантах осуществления настоящей технологии, первый пользователь 203 мог зарегистрироваться в первом сервисе, например, сервисе 225 электронной почты, который может быть связан с поставщиком 305 сервиса, и поставщик 305 сервиса может автоматически создавать и связывать пользовательский аккаунт 307 с сервисом 235 социальных медиа и сервисом 245 денежных переводов. В других неограничивающих вариантах осуществления настоящей технологии, первый пользователь 203 мог зарегистрироваться в сервисе 225 электронной почты и вручную связать свои аккаунты с сервисом 235 социальных медиа и сервисом 245 денежных переводов (которые могут быть связаны с другим поставщиком сервиса) и авторизовать отслеживание своей пользовательской активности с помощью сервера 250 отслеживания. Связывание пользовательского аккаунта 307 обычно выполняется с помощью приложения с технологией единого входа, например, Яндекс.Пасспорт™

[00078] Поставщик 305 сервиса может управлять сервером 250 отслеживания, и сервер 250 отслеживания может отслеживать пользовательскую активность и создавать процедуру проверки пользователя для каждого пользователя (например, первого пользователя 203, второго пользователя 205 и третьего пользователя 207), связанного со множеством сервисов. Тем не менее, в других вариантах осуществления технологии, функции сервера 250 отслеживания могут быть реализованы напрямую на одном из первого сервера 220, второго сервера 230 и третьего сервера 240 или напрямую на каждом из первого клиентского устройства 100, второго клиентского устройства 210 и третьего клиентского устройства 217.

[00079] Таким образом, сервер 250 отслеживания может получать каждое пользовательское взаимодействие, осуществленное пользователем, например, первым пользователем 203, на сервисе приложения, например, на каждом из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов на своем первом клиентском устройстве 100 (или другом клиентском устройстве, которым может пользоваться первый пользователь 203), и может вести журнал пользовательской активности. В других вариантах осуществления настоящей технологии, сервер 250 отслеживания может получать только выбранное подмножество пользовательских взаимодействий, выполненных первым пользователем 203 на первом клиентском устройстве 100. Выбранное подмножество пользовательских взаимодействий может включать в себя только те пользовательские взаимодействия, которые обычно связаны с нестандартной пользовательской активностью, с учетом предыдущей пользовательской активности.

[00080] То, как сервер 250 отслеживания ведет журнал пользовательской активности, никак конкретно не ограничено и хорошо известно в данной области техники. Например, каждое пользовательское взаимодействие или пользовательское событие, полученное сервером 250 отслеживания напрямую от первого клиентского устройства 100 или от одного из первого сервера 220, второго сервера 230 и третьего сервера 240 может быть связано с IP-адресом, ID устройства, временной отметкой, включая дату, время, часовой пояс, статус, содержимое и оценку, связанную со статусом.

[00081] Другие пользовательские взаимодействия могут быть связаны с другими оценками, каждая соответствующая оценка представляет собой важность соответствующего пользовательского взаимодействия, причем пользовательские взаимодействия, которые могут быть индикаторами взломанного аккаунта (например, отправка электронного сообщения всему списков контактов, изменение персональной информации, связанной с аккаунтом), связаны с более высокой оценкой, а пользовательские взаимодействия, которые являются индикаторами нормального поведения пользователя (например, чтение электронного сообщения, отправка одного электронного сообщения, удаление электронного сообщения), связаны с более низкой оценкой. Каждая оценка, связанная с пользовательским взаимодействием, может быть установлена вручную администратором поставщика 306 сервиса или алгоритмом машинного обучения на сервере 250 отслеживания. Кроме того, оценки, связанные с пользовательскими взаимодействиями, могут постоянно обновляться в зависимости от полученных результатов, например, если пользователь сообщает о том, что его/ее аккаунт был взломан, а сервер 250 отслеживания не обнаружил нестандартной активности или наоборот.

[00082] На Фиг. 4-6, представлены неограничивающие примеры первой таблицы пользовательской активности активности 410, второй таблицы пользовательской активности 510 и третьей таблицы пользовательской активности, связанные с соответствующим сервисом, и пользовательский аккаунт 307, из которого могут быть определены первый порог и второй порог.

[00083] Первая таблица пользовательской активности 410 может быть связана с сервисом 225 электронной почты, вторая таблица пользовательской активности 235 может быть связана с сервисом 235 социальных медиа, третья таблица пользовательской активности 610 может быть связана с сервисом 245 денежных переводов, и каждая из первой таблицы пользовательской активности 410, второй таблицы пользовательской активности 510 и третьей таблицы пользовательской активности 610 может быть связана с пользовательским аккаунтом первого пользователя.

[00084] Первая таблица пользовательской активности 410, вторая таблица пользовательской активности 510 и третья таблица пользовательской активности 610 может быть использована для определения соответствующего первого порога пользовательской активности и второго порога пользовательской активности для первого пользователя 203. Соответствующий первый порог пользовательской активности может быть использован для обнаружения пользовательской активности в аккаунте (например, пользовательском аккаунте 307), связанном по меньшей мере с одним сервисом, которая может нестандартной в сравнении с предыдущей пользовательской активностью, связанной с тем же аккаунтом и по меньшей мере одним сервисом (например, сервисом 225 электронной почты). Пользовательская активность, превышающая первый порог, может потенциально указывать на то, что пользовательский аккаунт (например, пользовательский аккаунт 307) или клиентское устройство (например, первое клиентское устройство 100) было взломано, и инициировать более внимательное / строгое отслеживание пользовательской активности по меньшей мере на одном сервисе за заранее определенный период времени. Пользовательская активность по меньшей мере на одном сервисе, превышающая второй глобальный порог, может указывать на то, что пользовательский аккаунт (например, пользовательский аккаунт 307) или клиентское устройство (например, первое клиентское устройство 100) было взломано, и инициировать процедуру проверки пользователя для авторизации пользователя (например, первого пользователя 203) пользовательского аккаунта (например, пользовательского аккаунта 307) и клиентского устройства (например, первого клиентского устройства 100). Процедура проверки пользователя может включать в себя вопрос пользователю о предыдущей пользовательской активности до достижения первого порога.

[00085] Первая таблица пользовательской активности 410, связанная с сервисом 225 электронной почты, включает в себя колонку 415 пользовательской активности клиентского устройства и колонку 420 пользовательской активности сервера отслеживания. Колонка 415 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), а колонка 420 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240).

[00086] Колонка 420 пользовательской активности сервера отслеживания включает в себя колонку 422 IP-адреса, колонку 424 временной отметки, статус 426 пользовательского взаимодействия, колонку 428 содержимого и колонку 429 оценки. Колонка 422 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 424 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 426 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 428 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 430 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Содержимое пользовательского взаимодействия может зависеть от типа пользовательского взаимодействия, и может включать в себя географическое положение пользовательского взаимодействия, текстового содержимого пользовательского взаимодействия (например, использование конкретных ключевых слов), языка пользовательского взаимодействия, получателя(ей) пользовательского взаимодействия, времени, которое занимает у пользователя выполнение пользовательского взаимодействия, скорость курсора мыши, тип виртуальной клавиатуры, используемой для пользовательского взаимодействия, и другие данные, связанные с пользовательским взаимодействием, которые могут отслеживаться клиентским устройством (например, первым клиентским устройством 100).

[00087] Содержимое каждого пользовательского взаимодействия может отслеживаться только в заранее определенный период времени после того как первый пользователь 203 зарегистрировался у поставщика 305 сервиса, для определения первого порога и второго порога. В некоторых вариантах осуществления настоящей технологии, первый порог и второй порог могут обновляться время от времени или периодически.

[00088] Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 225 электронной почты, может обладать соответствующей записью в каждой из колонки 422 IP-адреса, колонки 424 временной отметки, статуса 426 пользовательского взаимодействия, колонки 428 содержимого и колонки 429 оценки.

[00089] В первом взаимодействии 430, первый пользователь 203 может открывать сервис 225 электронной почты с помощью приложения электронной почты, ранее полученного из магазина приложений (или просматривать сервис 225 электронной почты через браузерное приложение (не показано)) на свое первое клиентское устройство 100, и авторизоваться в своем аккаунте 307. Первое взаимодействие может создавать запись в первой таблице пользовательской активности 410, запись содержит IP-адрес (127.0.0.1), временную отметку (01.02.2017 08:14:59 -0700), статус (user_login=1), содержимое (null) и оценку (0,5).

[00090] Первый пользователь 203 может далее осуществлять множество пользовательских взаимодействий 440 в различное время, каждое из которых приводит к записи в некоторых или во всех из колонки 422 IP-адреса, колонки 424 временной отметки, статуса 426 пользовательского взаимодействия, колонки 428 содержимого и колонки 429 оценки. Множество пользовательских взаимодействий 440, представленных на Фиг. 4, не является исчерпывающим, и может включать в себя открытие и чтение электронного сообщения, отправку электронного сообщения, изменение пароля, изменение телефонного номера, удаление электронного сообщения. Первый пользователь 203 может также соединяться со своим аккаунтом с другого клиентского устройства (не показано), которое могло быть ранее зарегистрировано в сервисе 225 электронной почты. Первый пользователь 203 может взаимодействовать с сервисом 225 электронной почты с другого IP-адреса или из другого местоположения.

[00091] Первая таблица пользовательской активности 410 может далее быть использована для определения первого порога пользовательской активности для сервиса 225 электронной почты.

[00092] На Фиг. 5, вторая таблица пользовательской активности 510, связанная с сервисом 235 социальных медиа, включает в себя колонку 515 пользовательской активности клиентского устройства и колонку 520 пользовательской активности сервера отслеживания. Колонка 515 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 520 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240). Колонка 520 пользовательской активности сервера отслеживания включает в себя колонку 522 IP-адреса, колонку 524 временной отметки, статус 526 пользовательского взаимодействия, колонку 528 содержимого и колонку 529 оценки. Колонка 422 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 524 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 526 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 528 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 529 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 235 социальных медиа может обладать соответствующей записью по меньшей мере в некоторых из колонки 522 IP-адреса, колонки 524 временной отметки, статуса 526 пользовательского взаимодействия, колонки 528 содержимого и колонки 529 оценки.

[00093] Первый пользователь 203 может далее осуществлять множество пользовательских взаимодействий 530 в различное время, каждое составляет запись в колонке 522 IP-адреса, колонке 524 временной отметки, статусе 526 пользовательского взаимодействия, колонке 528 содержимого и колонке 529 оценки. В неограничивающем примере, показанном на Фиг. 4, множество пользовательских взаимодействий 530, представленных на Фиг. 5, является неисчерпывающим списком и может включать в себя добавление контакта, обновление статуса, написание отзыва о заведении, отметку о присутствии (чекин) в заведении.

[00094] Вторая таблица пользовательской активности 510 может далее быть использована для определения первого порога пользовательской активности для сервиса 235 социальных медиа.

[00095] На Фиг. 6, третья таблица пользовательской активности 610, связанная с сервисом 245 денежных переводов, включает в себя колонку 615 пользовательской активности клиентского устройства и колонку 620 пользовательской активности сервера отслеживания. Колонка 615 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 620 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240).

[00096] Колонка 620 пользовательской активности сервера отслеживания включает в себя колонку 622 IP-адреса, колонку 624 временной отметки, статус 626 пользовательского взаимодействия, колонку 628 содержимого и колонку 629 оценки. Колонка 622 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 624 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 626 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 628 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 629 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 245 денежных переводов может обладать соответствующей записью по меньшей мере в некоторых из колонки 622 IP-адреса, колонки 624 временной отметки, статуса 626 пользовательского взаимодействия, колонки 628 содержимого и колонки 629 оценки.

[00097] Первый пользователь 203 может далее осуществлять множество пользовательских взаимодействий 640 в различное время, каждое составляет запись по крайней мере в некоторых из колонки 622 IP-адреса, колонки 624 временной отметки, статусе 626 пользовательского взаимодействия, колонки 628 содержимого и колонки 629 оценки. В неограничивающем примере, показанном на Фиг. 4, множество пользовательских взаимодействий 640, представленных на Фиг. 6, не является исчерпывающим списком и может включать в себя денежный перевод, оплату счета и онлайн покупку товаров.

[00098] После заранее определенного периода времени, числа пользовательских взаимодействий или числа авторизаций, сервер 250 отслеживания может определить соответствующий первый порог для пользовательской активности, связанной с каждым из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. В некоторых вариантах осуществления настоящей технологии, соответствующий первый порог может быть основан на предыдущей пользовательской активности пользователей с аналогичными признаками (например, возраст, географическое положение, профессия и так далее), которые взаимодействовали с каждым из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов в прошлом. В других вариантах осуществления настоящей технологии, соответствующий первый порог может быть одинаковым для каждого пользователя, который был зарегистрирован в каждом из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов.

[00099] В некоторых вариантах осуществления настоящей технологии, может выполняться статистический анализ (например, с помощью алгоритма машинного обучения) пользовательской активности, связанной с каждым сервисом, например, пользовательской активности в каждой из первой таблицы пользовательской активности 410, второй таблицы пользовательской активности 510 и третьей таблицы пользовательской активности 610. Первая таблица пользовательской активности 410, вторая таблица пользовательской активности 510 и третья таблица пользовательской активности 610 могут быть использованы соответственно как часть пользовательской активности первого пользователя 203 для сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов, из которой сервер 250 отслеживания может определять шаблоны поведения нормальной или не подозрительной пользовательской активности путем просмотра статуса пользовательского взаимодействия, оценки, связанной с пользовательским взаимодействием, и временной отметки, связанной с пользовательским взаимодействием.

[000100] В качестве неограничивающего примера, шаблоны поведения могут включать в себя время, когда пользователь взаимодействует с сервисом, статус пользовательского взаимодействия и оценку пользовательского взаимодействия, например, оплата членства каждые две недели до 9 утра с помощью сервиса 245 денежных переводов, публикацию обновления статуса каждый вечер в 8 вечера с помощью сервиса 235 социальных медиа, отправку электронного сообщения дочери каждый день в обеденное время и т.д.

[000101] Следовательно, пользовательский аккаунт, например, пользовательский аккаунт 307 может быть связан с набором шаблонов поведения, причем шаблон поведения может включать в себя статус пользовательского взаимодействия, оценку, связанную с пользовательским взаимодействием, и период времени, связанный с пользовательским взаимодействием.

[000102] После определения нормальной или необычной пользовательской активности, может быть установлен соответствующий первый порог для каждого из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. В качестве неограничивающего примера, где пользовательская активность сервиса электронной почты показана в таблице пользовательской активности 410, может учитываться частота пользовательской активности, и может быть установлена общая оценка пользовательской активности для заранее определенного периода, например, нескольких часов, дней или недель. Первый порог, установленный для заранее определенного периода времени, может быть основан на том факте, что пользователь-человек не может выполнять подобные взаимодействия за такой короткий промежуток времени, что может указывать на то, что пользовательский аккаунт или устройство были взломаны вирусом или ботом. Соответствующий заранее определенный порог может быть основан на пользовательской активности множества пользователей, которые взаимодействуют с соответствующим сервисом, например, пользовательская активность каждого из множества пользователей 201, взаимодействующих с каждым из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов.

[000103] Первый порог может быть далее определен на основе средней оценки и периода времени. В некоторых вариантах осуществления настоящей технологии, каждый сервис может быть связан с множеством первого заранее определенного порога на основе временных периодов. В общем случае, первый порог может быть выше, чем средняя оценка для аккаунта для вариаций пользовательского поведения (пользователь может предпринимать больше действий за данный день). Первый порог также может постоянно обновляться через заранее определенные периоды времени (например, каждые две недели) на основе обновленной пользовательской активности. Следовательно, первый порог может быть использован как индикатор нормального или типичного пользовательского поведения, и пользовательская активность, превышающая первый порог, может указывать на нестандартное пользовательское поведение и, следовательно, может классифицировать как потенциально подозрительное пользовательское поведение, которое может указывать на то, что пользовательский аккаунт 307 первого клиентского устройства 100 был взломан третьей стороной или ботом.

[000104] В неограничивающих примерах, показанных на Фиг. 4-6, соответствующий первый порог определен на основе предыдущей пользовательской активности первого пользователя 203 на каждом из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Тем не менее, в альтернативных вариантах осуществления настоящей технологии, соответствующий первый порог может быть определен на основе предыдущей пользовательской активности других пользователей, которые были зарегистрированы в сервисе 225 электронной почты, сервисе 235 социальных медиа и сервисе 245 денежных переводов.

[000105] Определение того, что данный пользователь превышает первый порог, может использоваться при инициировании отслеживания пользователя по меньшей мере на одном сервисе из множества сервисов (например, сервисе 275 социальных медиа и сервисе 245 денежных переводов), связанных с поставщиком 305 сервиса во время втором периода времени, второй период времени начинается при превышении первого порога. В некоторых вариантах осуществления настоящей технологии, только с одним сервисом, например, сервисом 225 электронной почты, может быть связана отслеживаемая пользовательская активность, и она может быть связана с первым порогом и вторым порогом.

[000106] Отслеживание множества сервисов за второй период времени может быть более точным отслеживанием, чем за первый период времени, где может отслеживаться такая информация как содержимое пользовательского взаимодействия, включая географическое положение пользовательского взаимодействия и дополнительные подробности пользовательских взаимодействий. Например, отслеживание пользовательской активности за второй период времени может учитывать то, куда пользователь нажимает, среднее время, проведенное на странице сервиса, анализ нажатия клавиш, используемый язык и лексический анализ. В широком смысле, целью отслеживания пользовательской активности за второй период времени является увеличение дискриминационной силы сервера 250 отслеживания при определении того, был ли взломан пользовательский аккаунт, например, пользовательский аккаунт 307.

[000107] На основе пользовательской активности, собранной в каждой из первой таблицы пользовательской активности 410, второй таблицы пользовательской активности 510 и третьей таблицы пользовательской активности 610, оценка первого порога в виде 20 баллов для 24 часов может быть установлена для сервиса 225 электронной почты, оценка первого порога в виде 15 баллов для 24 часов может быть установлена для сервиса 235 социальных медиа и оценка первого порога в виде 20 баллов для одного часа может быть установлена для сервиса 245 денежных переводов.

[000108] Сервер 250 отслеживания может устанавливать второй порог. Второй порог может представлять собой единый глобальный порог для общей пользовательской активности для сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов, связанных с поставщиком 305 сервиса. Другими словами, второй порог может быть единым глобальным порогом для общей пользовательской активности во всех сервисах приложений, связанных с пользовательским аккаунтом 307.

[000109] Второй порог может быть активирован после превышения первого порога. Для первого порога может выполняться статический анализ (например, с помощью алгоритма машинного обучения) пользовательской активности для каждого сервиса, управляемого поставщиком 302 сервиса, и связанного с первым пользователем 203 первого клиентского устройства 100, и может быть установлен единый глобальный порог для пользовательской активности, связанной с сервисом 225 электронной почты, сервисом 235 социальных медиа и сервисом 245 денежных переводов.

[000110] Например, сервер 250 отслеживания может отслеживать пользовательскую активность в сервисе 225 электронной почты, также как и в сервисе 235 социальных медиа и сервисе 245 денежных переводов, а также анализирует содержимое каждого пользовательского взаимодействия, связанного с каждым из сервиса 225 электронной почты, а также сервиса 235 социальных медиа и сервиса 245 денежных переводов, для обнаружения нестандартной пользовательской активности. В некоторых вариантах осуществления настоящей технологии, второй порог является суммой соответствующих первых порогов. В других вариантах осуществления настоящей технологии, может существовать множество вторых порогов на основе соответствующего периода времени.

[000111] В качестве неограничивающего примера, сервис 225 электронной почты, сервер 250 отслеживания может отслеживать содержимое пользовательских взаимодействий, например, электронное сообщение от получателя, наличие слов ʺвы выигралиʺ, ʺВиаграʺ, ʺполучить бесплатноʺ, язык электронного сообщения и т.д., все это может быть связано с оценкой. В другом неограничивающем примере, для сервиса 235 социальных медиа, сервер 250 отслеживания может также отслеживать обновления, содержащие ссылки на веб-сайты, которые известны как спам, наличие слов, ʺвы выигралиʺ, ʺВиаграʺ, ʺполучить бесплатноʺ, ʺнаркотикиʺ, ʺсексʺ, ʺодинокие девушкиʺ и т.д. В качестве другого примера, для сервиса 245 денежных переводов, также могут отслеживаться взаимодействия в зарубежных странах, операции, включающие в себя большие суммы денег, частота взаимодействий и переводы с помощью подозрительных веб-сайтов.

[000112] На основе пользовательской активности, собранной в каждой из первой таблицы пользовательской активности 410, второй таблицы пользовательской активности 510 и третьей таблицы пользовательской активности 610, второй порог оценки в виде 30 баллов за один час может быть установлен как второй порог, с учетом пользовательского взаимодействия и содержимого пользовательского взаимодействия.

[000113] Определение того, что данный пользователь превышает второй порог, может использоваться при инициировании процедуры проверки пользователя для первого пользователя 203 первого клиентского устройства 100. Процедура проверки пользователя может передаваться на первое клиентское устройство 100 для авторизации пользователя как настоящего хозяина пользовательского аккаунта 307 и для остановки мошеннических действий в том случае, если пользовательский аккаунт 307 был взломан злоумышленниками. Процедура проверки пользователя может принимать различные формы: биометрическая проверка (например, авторизация отпечатков пальцев пользователя на первом клиентском устройстве 100 или распознавание голоса, при котором первому пользователю 203 нужно говорить в микрофон первого клиентского устройства 100), заранее определенный секретный вопрос или САРТСНА.

[000114] В общем случае, процедура проверки пользователя может спрашивать первого пользователя 203 о конкретных пользовательских взаимодействиях по меньшей мере с одним сервисом, которые произошли за первый период времени, до того как пользовательская активность превысит первый порог (что считается "надежным" периодом времени в соответствии с вариантами осуществления настоящей технологии). В неограничивающем примере, процедура проверки пользователя может спрашивать пользователя, где он купил товар в конкретный день (что может быть указано в третьей таблице 610 пользовательской активности), имя человека, с которым пользователь связывался через сервис 225 электронной почты или сервиса 235 социальных медиа. Процедура проверка пользователя может также спрашивать пользователя о персональной информации, связанной с пользовательским аккаунтом 307 или с первым клиентским устройством 100. Пользователь может отвечать на процедуру проверки пользователя напрямую с помощью ввода ответа в первое клиентское устройство 100 или с помощью микрофона путем принятия автоматического телефонного звонка на первое клиентское устройство 100.

[000115] В широком смысле, цель процедуры проверки пользователя - проверить, используется ли пользовательский аккаунт 307 первым пользователем 203. Если ответ на процедуру проверки положительный, т.е. пользователь дает правильный ответ, сервер 250 отслеживания может позволить пользователю продолжить пользовательскую активность на каждом из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Если ответ на процедуру проверки пользователя отрицательный т.е. первый пользователь 203 дает неверный ответ, доступ к каждому из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов может быть частично или полностью заблокирован до тех пор пока первый пользователь 203 не свяжется с поставщиком 305 сервиса и не предоставит информацию для авторизации. В некоторых вариантах осуществления настоящей технологии, процедура проверки пользователя может сочетать различные типы проверки пользователя, такие как вопросы и биометрическая идентификация.

[000116] Как будет понятно специалистам в данной области техники, первый порог и второй порог могут быть или не быть персонализированными или же только первый порог или только второй порог может быть персонализирован.

[000117] На Фиг. 7-10, представлены неограничивающие примеры множества таблиц пользовательской активности 400, связанные с соответствующим сервисом и пользовательским аккаунтом 307.

[000118] На Фиг. 7, таблица потенциальной нестандартной пользовательской активности 710, связанная с сервисом 225 электронной почты, включает в себя колонку 715 пользовательской активности клиентского устройства и колонку 720 пользовательской активности сервера отслеживания. Колонка 715 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 720 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240).

[000119] Колонка 720 пользовательской активности сервера отслеживания включает в себя колонку 722 IP-адреса, колонку 724 временной отметки, статус 726 пользовательского взаимодействия и колонку 729 оценки. Колонка 722 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 724 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 726 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием и колонка 729 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 225 электронной почты может обладать соответствующей записью по меньшей мере в некоторых из колонки 722 IP-адреса, колонки 624 временной отметки, статусе 726 пользовательского взаимодействия и колонки 729 оценки.

[000120] Пользовательский аккаунт 307 может взаимодействовать с сервисом 225 электронной почты между 4 февраля 2017 и 14 февраля 2017 в первом множестве взаимодействий 730. Далее, второе множество взаимодействий 750 может быть осуществлено 15 февраля 2017, что может считаться нестандартным.

[000121] Второе множество взаимодействий 750 может включать в себя изменение пароля к пользовательскому аккаунту 307 с IP-адреса 129.0.1.1, связанное с оценкой 5, изменение телефонного номера пользовательского аккаунта 307 после 2 секунд с IP-адреса 128.0.1.1, связанное с оценкой 5, отправку электронного сообщения с пользовательского аккаунта 307 всему списку контактов после 3 секунд с IP-адреса 128.0.01, связанную с оценкой 5, и изменение пароля пользовательского аккаунта 307 во второй раз через 10 секунд с IP-адреса 129.0.1.1, связанное с оценкой 5, что в общей сложности дает 20 баллов меньше чем за минуту и превышает заранее определенный порог в 20 баллов за 24 часа. Асессором (или алгоритмом машинного обучения) может быть заранее определено на основе статистики, что маловероятно, что человек может выполнить столько действий меньше чем за 6 секунд, и это может указывать на то, что пользовательский аккаунт 307 был взломан.

[000122] Второе множество взаимодействий 750, которое превышает первый заранее определенный порог, может указывать на потенциально нестандартную пользовательскую активность в сравнении с обычной пользовательской активностью, и может инициировать отслеживание пользовательской активности за второй период времени, отслеживание включает в себя отслеживание содержимого пользовательского взаимодействия.

[000123] На Фиг. 8, первая таблица нестандартной пользовательской активности 810, связанная с сервисом 225 электронной почты, включает в себя колонку 815 пользовательской активности клиентского устройства и колонку 820 пользовательской активности сервера отслеживания. Колонка 815 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 820 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240). Колонка 820 пользовательской активности сервера отслеживания включает в себя колонку 822 IP-адреса, колонку 824 временной отметки, статус 826 пользовательского взаимодействия, колонку 828 содержимого и колонку 829 оценки. Колонка 822 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 824 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 826 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 828 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 829 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 245 денежных переводов может обладать соответствующей записью в каждой из колонки 822 IP-адреса, колонки 824 временной отметки, статусе 826 пользовательского взаимодействия, колонки 828 содержимого и колонки 829 оценки.

[000124] Пользовательский аккаунт 307 может взаимодействовать с сервисом 225 электронной почты, начиная с 15 февраля 2017, в первом множестве взаимодействий 830. Далее, второе множество пользовательских взаимодействий 850 может быть осуществлено 16 февраля 2017, что может считаться нестандартным. Второе множество пользовательских взаимодействий 850 включает в себя отправку электронных сообщений с пользовательского аккаунта всему списку контактов с IP-адреса 128.0.0.1 в 10:13:46 и далее с IP-адреса 125.0.0.1 в 20:13:48, каждое из которых связано с оценкой 5.

[000125] На Фиг. 9, третья таблица пользовательской активности 910, связанная с сервисом 235 социальных медиа, включает в себя колонку 915 пользовательской активности клиентского устройства и колонку 920 пользовательской активности сервера отслеживания. Колонка 915 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 920 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240). Колонка 920 пользовательской активности сервера отслеживания включает в себя колонку 922 IP-адреса, колонку 924 временной отметки, статус 926 пользовательского взаимодействия, колонку 928 содержимого и колонку 929 оценки. Колонка 922 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 924 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 926 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 928 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 929 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 245 денежных переводов может обладать соответствующей записью в каждой из колонки 922 IP-адреса, колонки 924 временной отметки, статусе 926 пользовательского взаимодействия, колонки 928 содержимого и колонки 929 оценки.

[000126] Пользовательский аккаунт 307 может взаимодействовать с сервисом 235 социальных медиа, начиная с 15 февраля 2017, в первом множестве взаимодействий 930. Далее, второе множество взаимодействий 950 может быть осуществлено 16 февраля 2017, что может считаться нестандартным. Второе множество взаимодействий 950 может полностью быть обновлением статуса с двух различных IP-адресов 127.0.0.1 и 128.0.0.1 в течение одного часа, каждое обновление содержит ссылку на веб-сайт, который известен как веб-сайт с фишингом, что может быть запрещено. Каждое из множества взаимодействий 950 может быть связано с оценкой 5, что в результате дает 30 за временной промежуток между 20:12:59 и 20:44:35.

[000127] На Фиг. 10, третья таблица нестандартной пользовательской активности 1010, связанная с сервисом 245 денежных переводов, включает в себя колонку 1015 пользовательской активности клиентского устройства и колонку 1020 пользовательской активности сервера отслеживания. Колонка 1015 пользовательской активности клиентского устройства может представлять пользовательскую активность, осуществленную первым пользователем 203 на клиентском устройстве (например, первом клиентском устройстве 100), и колонка 1020 пользовательской активности сервера отслеживания может представлять информацию, связанную с пользовательской активностью, которая была получена сервером 250 отслеживания (напрямую от первого клиентского устройства 100 или через первый сервер 220, второй сервер 230 или третий сервер 240).

[000128] Колонка 1020 пользовательской активности сервера отслеживания включает в себя колонку 1022 IP-адреса, колонку 1024 временной отметки, статус 1026 пользовательского взаимодействия, колонку 1028 содержимого и колонку 1029 оценки. Колонка 1022 IP-адреса представляет IP-адрес первого клиентского устройства 100, с которого было зафиксировано пользовательское взаимодействие, колонка 1024 временной отметки представляет дату, время и часовой пояс, из которых было осуществлено пользовательское взаимодействие, статус 1026 пользовательского взаимодействия представляет статус, связанный с пользовательским взаимодействием, колонка 1028 содержимого представляет содержимое, связанное с пользовательским взаимодействием, и колонка 1029 оценки представляет оценку, связанную со статусом пользовательского взаимодействия, выполненного на первом клиентском устройстве 100 (или другом клиентском устройстве, используемом первым пользователем 203). Таким образом, каждое пользовательское взаимодействие, выполняемое на сервисе 245 денежных переводов может обладать соответствующей записью по меньшей мере в некоторых из колонки 1022 IP-адреса, колонки 1024 временной отметки, статусе 1026 пользовательского взаимодействия, колонки 1028 содержимого и колонки 1029 оценки.

[000129] Пользовательский аккаунт 307 может взаимодействовать с сервисом 245 денежных переводов, начиная с 15 февраля 2017, в первом множестве взаимодействий 1030. Далее, второе множество взаимодействий 1050 может быть осуществлено 16 февраля 2017, что может считаться нестандартным. Второе множество взаимодействий 1050 может включать в себя два денежных перевода пользователем неизвестному контакту в Гонконге с IP-адреса 128.0.0.1, что может быть связано с оценкой 3, и покупку 4 подарочных карт в магазине в Гонконге с IP-адреса 128.4.5.1 и IP-адреса 128.3.5.1, которые могут быть связаны с оценкой 8, что в сумме дает 30 баллов за временной промежуток между 20:13:51 и 20:14:08

[000130] Сервер 250 отслеживания может определять, что второй порог был превышен путем добавления общих оценок пользовательской активности каждого из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов, и учитывать соответствующие временные отметки для общей оценки пользовательской активности 5+30+30=70 баллов для 16 февраля 2017 между 20:12:59 и 20:55:35. Сервер 250 отслеживания может далее инициировать процедуру проверки пользователя на первом клиентском устройстве 100.

[000131] На Фиг. 11 представлена блок-схема способа 1100 определения нестандартной пользовательской активности.

[000132] В некоторых вариантах осуществления настоящей технологии, способ 1100 может выполняться для одного сервиса, например, сервиса 225 электронной почты. В других вариантах осуществления настоящей технологии, способ 1100 может выполняться для множества сервисов, например для сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Способ 1100 может выполняться сервером 250 отслеживания и начинаться на этапе 1102.

[000133] ЭТАП 1102: отслеживание сервером пользовательской активности за первый период времени

[000134] На этапе 1102, сервер 250 отслеживания может отслеживать за первый период времени пользовательскую активность, связанную с сервисом 225 электронной почты, отслеживание может включать в себя получение, сервером отслеживания, указания на пользовательское взаимодействие с сервисом 225 электронной почты, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие. В других вариантах осуществления настоящей технологии, отслеживание включает в себя отслеживание пользовательской активности, связанной с каждым из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Способ 1100 далее может перейти к выполнению этапа 1104.

[000135] ЭТАП 1104: определение сервером того, что пользовательская активность превышает первый заранее определенный порог, первый заранее определенный порог основан на предыдущей пользовательской активности

[000136] На этапе 1104, сервер 250 отслеживания может определять, что пользовательская активность, связанная с сервисом 225 электронной почты, превышает первый заранее определенный порог пользовательской активности за первый период времени, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом 225 электронной почты, и осуществляемой на каждом клиентском устройстве из множества клиентских устройств 210 соответствующим пользователем, пользовательская активность превышает первый заранее определенный порог, что указывает на потенциально нестандартную пользовательскую активность на сервисе 225 электронной почты, связанном с первым клиентским устройством 100. В некоторых вариантах осуществления настоящей технологии, каждый из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов может быть связан с соответствующим первым заранее определенным порогом на основе предыдущей пользовательской активности, связанной соответственно с каждым из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов и на основе предыдущей пользовательской активности. Способ 1100 далее может перейти к выполнению этапа 1106.

[000137] ЭТАП 1106: в ответ на определение того, что пользовательская активность превысила первый заранее определенный порог, отслеживание сервером пользовательской активности за второй период времени

[000138] На этапе 1106, в ответ на определение того, что пользовательская активность превысила первый заранее определенный порог, сервер 250 отслеживания может отслеживать, за второй период времени, пользовательскую активность, связанную с сервисом 225 электронной почты, и отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом 225 электронной почты, содержимое включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и запрещенную ссылку на веб-сайт. В некоторых вариантах осуществления настоящей технологии, сервер отслеживания может отслеживать каждый из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов за второй период времени, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий в каждом из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Способ 1100 далее может перейти к выполнению этапа 1108.

[000139] ЭТАП 1108: определение сервером того, что пользовательская активность превышает второй заранее определенный порог, второй заранее определенный порог основан на предыдущей пользовательской активности

[000140] На этапе 1108, сервер 250 отслеживания может определять, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом 225 электронной почты, пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность. В некоторых вариантах осуществления технологии, второй порог может представлять собой единый глобальный порог для общей пользовательской активности для сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. Способ 1100 далее может перейти к выполнению этапа 1110.

[000141] ЭТАП 1110: в ответ на определение того, что пользовательская активность превысила второй заранее определенный порог, создание процедуры проверки пользователя.

[000142] На этапе 1110, в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, сервер 250 отслеживания может инициировать процедуру проверки пользователя на первом клиентском устройстве 100, процедура проверки пользователя для авторизации первого пользователя 203 первого клиентского устройства 100, процедура проверки пользователя основана на пользовательской активности с сервисом 225 электронной почты за первый период времени, выполняемый на первом клиентском устройстве 100. В некоторых вариантах осуществления настоящей технологии (где отслеживаются несколько сервисов), проверка пользователя может быть основана на пользовательской активности, связанной с одним из сервиса 225 электронной почты, сервиса 235 социальных медиа и сервиса 245 денежных переводов. В других вариантах осуществления настоящей технологии, процедура проверки пользователя может быть основана на другой информации, связанной с первым пользователем 203 и пользовательским аккаунтом 307. В альтернативных вариантах осуществления технологии, процедура проверки пользователя может запрашивать первого пользователя 203 о биометрических данных (например, распознавание отпечатков пальцев с помощью первого клиентского устройства 100), заранее определенный секретный вопрос или САРТСНА. Способ 1100 далее может перейти к выполнению этапа 1112 или этапа 1114.

[000143] ЭТАП 1112: в ответ на то, что ответ на процедуру проверку пользователя с первого клиентского устройства совпадает с пользовательской активностью за первый период времени, разрешение на осуществление пользовательской активности со множеством сервисов приложений

[000144] На этапе 1112, в ответ на то, что ответ на процедуру проверку пользователя с первого клиентского устройства 100 совпадает с пользовательской активностью за первый период времени, разрешение на осуществление пользовательской активности с сервисом 225 электронной почты, сервисом 235 социальных медиа и сервисом 245 денежных переводом, сервером 250 отслеживания.

[000145] ЭТАП 1114: в ответ на то, что ответ на процедуру проверку пользователя с первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировка доступа к множеству сервисов приложений на клиентском устройстве

[000146] На этапе 1114, в ответ на то, что ответ на процедуру проверку пользователя с первого клиентского устройства 100 не совпадает с пользовательской активностью за первый период времени, блокировка доступа к сервису 225 электронной почты, сервису 235 социальных медиа и сервису 245 денежных переводом, сервером 250 отслеживания.

[000147] Далее способ 1100 завершается.

[000148] В рамках приведенного описания следует иметь в виду, что при упоминании любого случая, который включает в себя извлечение данных из любого клиентского устройства и/или из любого почтового сервера, может использоваться извлечение электронного или иного сигнала из соответствующего клиентского устройства (сервера, почтового сервера), а также отображение на экране устройства может быть реализовано ка передача сигнала на экран, причем сигнал включает в себя конкретную информацию, которая далее может быть интерпретирована конкретным изображением и по меньшей мере частично отображена на экране клиентского устройства. Отправка и получение сигнала не упоминается в настоящем описании в некоторых случаях для упрощения описания и с целью облегчить понимание. Одной из возможных причин перекластеризации может быть то обстоятельство, что предыдущая кластеризация могла повлечь возникновение графических символов более крупных размеров, в результате чего новый графический символ кластера может коснуться графического символа метки точки интереса.

Похожие патенты RU2670030C2

название год авторы номер документа
ФИНАНСОВЫЕ ТРАНЗАКЦИИ С ОПЛАТОЙ ПЕРЕДАЧИ И ПРИЕМА СООБЩЕНИЙ 2005
  • Реардон Дейвид С.
RU2380754C2
СПОСОБ ОБРАБОТКИ ВХОДЯЩЕГО ЭЛЕКТРОННОГО СООБЩЕНИЯ И СЕРВЕР 2014
  • Шелковин Алексей Юрьевич
  • Никишин Сергей Иванович
RU2580437C2
СПОСОБ (ВАРИАНТЫ) ОБРАБОТКИ ВХОДЯЩЕГО ЭЛЕКТРОННОГО СООБЩЕНИЯ И СЕРВЕР (ВАРИАНТЫ) 2014
  • Шелковин Алексей Юрьевич
  • Никишин Сергей Иванович
RU2580438C2
Способ и система для определения аномальной краудсорсинговой метки 2019
  • Тощаков Алексей Васильевич
  • Посадская Анастасия Леонидовна
  • Анисимов Александр Владимирович
  • Аглинская Евгения Владимировна
RU2775591C2
УСТРОЙСТВО И СПОСОБ ПРЕДСТАВЛЕНИЯ СЧЕТА И ЕГО ОПЛАТЫ 2011
  • Келли Мери Л.
  • Рисковский Сьюзан Е.
  • Альтман Тереза
  • Толле Майкл
  • Ломэн Дарлен
  • Мюллер Брайан В.
  • Сангхви Хемаль
  • Рамалингам Шридхар
  • Эмплман Рич
  • Хоффман Роберт
  • Оу Полин
  • Фолькер Дженнифер
RU2581784C2
СПОСОБ И СИСТЕМА ДЛЯ ОБЕСПЕЧЕНИЯ УРОВНЯ СЕРВИСА ПРИ РЕКЛАМЕ ЭЛЕМЕНТА КОНТЕНТА 2019
  • Соколов Евгений Андреевич
  • Данильченко Андрей Петрович
RU2757406C1
Способ проведения платежа онлайн-пользователем при наличии информации об идентификаторе пользователя 2020
  • Поляков Денис Леонидович
  • Лагуткин Николай Сергеевич
RU2743147C1
СПОСОБЫ И СЕРВЕРЫ ДЛЯ ОПРЕДЕЛЕНИЯ ЗАВИСЯЩИХ ОТ МЕТРИКИ ПОРОГОВ, ИСПОЛЬЗУЕМЫХ СО МНОЖЕСТВОМ ВЛОЖЕННЫХ МЕТРИК ДЛЯ БИНАРНОЙ КЛАССИФИКАЦИИ ЦИФРОВОГО ОБЪЕКТА 2020
  • Тощаков Алексей Васильевич
  • Носовский Михаил Михайлович
  • Мещеряков Артём Владимирович
RU2795202C2
Система децентрализованного цифрового расчетного сервиса 2018
  • Ефремов Александр Васильевич
RU2679532C1
СПОСОБ УПРАВЛЕНИЯ ЭЛЕКТРОННЫМ УСТРОЙСТВОМ И ЭЛЕКТРОННОЕ УСТРОЙСТВО 2015
  • Горский Константин Павлович
  • Быков Александр Сергеевич
  • Каримов Ильдар Рафаэлевич
  • Авдиенков Олег Анатольевич
RU2606879C2

Иллюстрации к изобретению RU 2 670 030 C2

Реферат патента 2018 года Способы и системы для определения нестандартной пользовательской активности

Изобретение относится к системам авторизации пользователя. Технический результат направлен на расширение арсенала средств того же назначения. Способ определения нестандартной пользовательской активности выполняется на сервере, сервер соединен со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем. Способ включает в себя отслеживание сервером, за первый период времени, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживание, за второй период времени, сервером пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения. 2 н. и 22 з.п. ф-лы, 11 ил.

Формула изобретения RU 2 670 030 C2

1. Способ определения нестандартной пользовательской активности, способ выполняется на сервере, сервер соединен со множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, способ включает в себя:

отслеживание сервером, за первый период времени, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения;

определение сервером того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временный период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем,

пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством;

в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог, отслеживание, за второй период времени, сервером пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения;

определение сервером того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств,

пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством;

в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирование сервером процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.

2. Способ по п. 1, далее включающий в себя: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа ко множеству сервисов приложений на клиентском устройстве.

3. Способ по п. 2, в котором отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения далее включает в себя отслеживание пользовательской активности, связанной со множеством сервисом приложений, множество сервисов приложений включает в себя сервис первого приложения.

4. Способ по п. 3, в котором каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом и в котором множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.

5. Способ по п. 4, в котором отслеживание пользовательской активности далее включает в себя получение сервером указания на пользовательское взаимодействие с сервисом приложения, и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.

6. Способ по п. 5, в котором каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.

7. Способ по п. 6, в котором определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.

8. Способ по п. 7, в котором одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.

9. Способ по п. 8, в котором определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки с соответствующей второй средней оценкой.

10. Способ по п. 9, в котором первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.

11. Способ по п. 10, в котором содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.

12. Способ по п. 11, в котором процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.

13. Система определения нестандартной пользовательской активности, система соединена с множеством клиентских устройств через сеть передачи данных, каждое клиентское устройство из множества клиентских устройств связано с соответствующим пользователем, система включает в себя:

процессор;

постоянный машиночитаемый носитель компьютерной информации, содержащий инструкции, процессор;

при выполнении инструкций настраиваемый на осуществление:

отслеживания системой, за первый временной период, пользовательской активности, связанной с сервисом первого приложения, выполняемом на первом клиентском устройстве, пользовательская активность включает в себя пользовательские взаимодействия с сервисом первого приложения;

определения системой того, что пользовательская активность, связанная с сервисом первого приложения, превышает первый заранее определенный порог пользовательской активности за первый временной период, первый заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств соответствующим пользователем,

пользовательская активность, превышающая первый заранее определенный порог, указывает на потенциально нестандартную пользовательскую активность в сервисе первого приложения, связанную с первым клиентским устройством;

в ответ на определение того, что пользовательская активность превышает первый заранее определенный порог отслеживания, за второй период времени, системой пользовательской активности, связанной с сервисом первого приложения, на первом клиентском устройстве, отслеживание включает в себя отслеживание содержимого пользовательских взаимодействий с сервисом первого приложения;

определения системой того, что пользовательская активность превышает второй заранее определенный порог пользовательской активности за второй временный период, второй заранее определенный порог был определен на основе предыдущей пользовательской активности, связанной с сервисом первого приложения и выполняемой на каждом клиентском устройстве из множества клиентских устройств,

пользовательская активность, превышающая второй заранее определенный порог, указывает на нестандартную пользовательскую активность, связанную первым клиентским устройством;

в ответ на определение того, что пользовательская активность превышает второй заранее определенный порог, инициирования системой процедуры проверки пользователя на первом клиентском устройстве, процедура проверки пользователя используется для авторизации пользователя первого клиентского устройства, процедура проверки пользователя основана на пользовательской активности с сервисом первого приложения за первый период времени, выполняемой на первом клиентском устройстве.

14. Система по п. 13, далее включающая в себя: в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства совпадает с пользовательской активностью за первый период времени, предоставление возможности осуществлять пользовательскую активность на множестве сервисов приложений, и в ответ на то, что результат процедуры проверки пользователя от первого клиентского устройства не совпадает с пользовательской активностью за первый период времени, блокировку доступа к множеству сервисов приложений на клиентском устройстве.

15. Система по п. 14, в которой отслеживание за первый период времени и второй период времени пользовательской активности, связанной с первым сервисом приложения, далее включает в себя отслеживание пользовательской активности, связанной с множеством сервисов приложений, множество сервисов приложений включает в себя сервис первого приложения.

16. Система по п. 15, в которой каждый сервис приложений из множества сервисов приложений связан с соответствующим первым заранее определенным порогом и в котором множество сервисов приложений включает в себя первый сервис приложения, который связан с одиночным вторым заранее определенным порогом.

17. Система по п. 16, в которой отслеживание пользовательской активности далее включает в себя получение сервером указания на пользовательское взаимодействие с сервисом приложения и связывание оценки, временной отметки и статуса с указанием на пользовательское взаимодействие.

18. Система по п. 17, в которой каждый соответствующий первый заранее определенный порог, связанный с каждым сервисом приложения из множества сервисов приложений, представляет собой первую среднюю оценку, соответствующая первая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием на соответствующем сервисе приложения.

19. Система по п. 18, в которой определение того, что пользовательская активность, связанная с сервисом приложения из множества сервисов приложений превышает соответствующий первый заранее определенный порог за первый период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности, связанной с сервисом приложения, за первый период времени, и сравнение общей оценки с соответствующей первой средней оценкой.

20. Система по п. 19, в которой одиночный второй заранее определенный порог является второй средней оценкой, вторая средняя оценка была определена на основе оценок, связанных с каждым предыдущим пользовательским взаимодействием из предыдущей пользовательской активности на множестве сервисов.

21. Система по п. 20, в которой определение того, что пользовательская активность превышает одиночный второй заранее определенный порог за второй период времени, включает в себя добавление каждой оценки, связанной с каждым пользовательским взаимодействием из пользовательской активности за второй период времени, и сравнение общей оценки со второй средней оценкой.

22. Система по п. 21, в которой первый заранее определенный порог и второй заранее определенный порог далее основаны на временных отметках пользовательской активности.

23. Система по п. 22, в которой содержимое пользовательского взаимодействия включает в себя по меньшей мере одно из: текстовое содержимое, параметр геолокации, ID устройства, запрещенное ключевое слово и ссылку на запрещенный веб-сайт.

24. Система по п. 23, в которой процедура проверки пользователя включает в себя вопрос о конкретном пользовательском взаимодействии, связанном с сервисом приложения из множества сервисов приложений за первый период времени.

Документы, цитированные в отчете о поиске Патент 2018 года RU2670030C2

Пломбировальные щипцы 1923
  • Громов И.С.
SU2006A1
US 8171545 B1, 01.05.2012
US 8490195 B1, 16.07.2013
Токарный резец 1924
  • Г. Клопшток
SU2016A1
US 9361175 B1, 07.06.2016
Способ обнаружения вредоносного приложения на устройстве пользователя 2016
  • Колотинский Евгений Борисович
  • Скворцов Владимир Александрович
RU2617924C1

RU 2 670 030 C2

Авторы

Ковега Дмитрий Николаевич

Ковега Екатерина Александровна

Даты

2018-10-17Публикация

2017-04-05Подача