[go: up one dir, main page]

RU2617924C1 - Method of detecting harmful application on user device - Google Patents

Method of detecting harmful application on user device Download PDF

Info

Publication number
RU2617924C1
RU2617924C1 RU2016105565A RU2016105565A RU2617924C1 RU 2617924 C1 RU2617924 C1 RU 2617924C1 RU 2016105565 A RU2016105565 A RU 2016105565A RU 2016105565 A RU2016105565 A RU 2016105565A RU 2617924 C1 RU2617924 C1 RU 2617924C1
Authority
RU
Russia
Prior art keywords
user
behavior
data
banking server
group
Prior art date
Application number
RU2016105565A
Other languages
Russian (ru)
Inventor
Евгений Борисович Колотинский
Владимир Александрович Скворцов
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2016105565A priority Critical patent/RU2617924C1/en
Application granted granted Critical
Publication of RU2617924C1 publication Critical patent/RU2617924C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • User Interface Of Digital Computer (AREA)

Abstract

FIELD: information technology.
SUBSTANCE: method collects, by means of a security tool, information, what applications of the computing device access the user's behavior data, when the user interacts with each group of the GUI elements to interact with a remote bank server; the behavior abnormality factor is calculated using the behavior classification tool; fraudulent activity is detected using the decision means, when the user's device interacts with a remote bank server, the application on the computing device is recognized malicious using the security tool.
EFFECT: providing detection of malicious applications on the computing device, when the user interacts with a remote bank server.
2 cl, 4 dwg

Description

Область техникиTechnical field

Изобретение относится к области защиты от компьютерных угроз, а именно к способам обнаружения вредоносного приложения на устройстве пользователя.The invention relates to the field of protection against computer threats, and in particular to methods for detecting a malicious application on a user's device.

Уровень техникиState of the art

В настоящее время различные вычислительные устройства (компьютеры, планшеты, ноутбуки, смартфоны и пр.) все чаще и чаще используются людьми для упрощения выполнения повседневных задач: для чтения новостей, для общения через e-mail или другие сервисы мгновенного обмена сообщения, для осуществления покупок через Интернет и т.п. Одной из важных областей применения вычислительных устройств является удаленное управление финансовыми средствами, или онлайн-банкинг. Удаленное управление финансовыми средствами является очень удобным способом для перевода средств с одного банковского счета на другой, однако такой способ управления финансовыми средствами нельзя назвать самым безопасным - в мире, где каждое вычислительное устройство, имеющее доступ к сети Интернет, может быть атаковано злоумышленником, подвергаются опасности и финансовые средства человека, который для их управления пользуется упомянутым вычислительным устройством.Currently, various computing devices (computers, tablets, laptops, smartphones, etc.) are increasingly used by people to simplify everyday tasks: to read news, to communicate via e-mail or other instant messaging services, to make purchases via the Internet, etc. One of the important areas of application of computing devices is remote financial management, or online banking. Remote financial management is a very convenient way to transfer funds from one bank account to another, but this method of financial management cannot be called the safest - in a world where every computing device that has access to the Internet can be attacked by an attacker, and the financial means of the person who uses the said computing device to control them.

Для защиты пользователя от действий злоумышленников (которые, например, используя вредоносное программное обеспечение - клавиатурные шпионы, крадут данные учетной записи для управления финансовыми средствами) банки используют многофакторную аутентификацию, которая позволяет снизить вероятность того, что к финансовым средствам будет иметь доступ кто-либо кроме владельца этих средств. При использовании многофакторной аутентификации пользователь должен использовать несколько способов подтверждения своей личности для получения некоторых услуг (например, ввести логин и пароль соответствующей учетной записи, а также ввести одноразовый пароль, который предоставляется через SMS-сообщение). Однако возможны ситуации, когда злоумышленники имеют доступ ко всем устройствам, которые используются для многофакторной аутентификации. Поэтому для обеспечения безопасности пользователя и финансовых средств, которыми он владеет, необходимы другие способы обеспечения безопасности.To protect the user from the actions of cybercriminals (who, for example, using malware such as keyloggers, steal account information to manage financial resources), banks use multi-factor authentication, which reduces the likelihood that anyone other than financial resources will have access owner of these funds. When using multi-factor authentication, the user must use several methods of confirming his identity in order to receive certain services (for example, enter the login and password of the corresponding account, as well as enter the one-time password, which is provided via SMS). However, situations are possible where attackers have access to all devices that are used for multi-factor authentication. Therefore, to ensure the security of the user and the financial assets that he owns, other ways of ensuring security are needed.

В публикации US 20130133055 A1 описан метод непрерывной аутентификации пользователя с использованием информации, которая может быть получена от различных сенсоров мобильного вычислительного устройства - датчиков ускорения, наклона и т.п. Однако в упомянутой публикации не описаны подходы, которые бы учитывали особенности взаимодействия пользователя с удаленными банковскими серверами.In the publication US 20130133055 A1 describes a method of continuous user authentication using information that can be obtained from various sensors of a mobile computing device - acceleration sensors, tilt sensors, etc. However, the mentioned publication does not describe approaches that take into account the features of user interaction with remote banking servers.

В публикации US 8230232 B2 описан подход аутентификации пользователя путем сравнения траектории движения курсора мыши с заранее сформированными шаблонами. При отклонении траектории движения от шаблона обнаруживается аномалия в поведении пользователя. Однако в упомянутой публикации также не описаны подходы, которые бы учитывали особенности взаимодействия пользователя с удаленными банковскими серверами.US 8230232 B2 describes a user authentication approach by comparing mouse cursor paths with pre-formed patterns. When the trajectory deviates from the template, an anomaly is detected in the user's behavior. However, the mentioned publication also does not describe approaches that take into account the features of user interaction with remote banking servers.

Хотя рассмотренные подходы направлены на решение определенных задач в области обнаружения аномальной активности с устройства пользователя, они не решают задачу достаточно эффективно: упомянутые подходы не используют особенности взаимодействия пользователя с удаленными банковскими серверами. Настоящее изобретение позволяет более эффективно решить задачу обнаружения аномалий в поведении пользователя при взаимодействии с удаленным банковским сервером.Although the considered approaches are aimed at solving certain problems in the field of detecting abnormal activity from a user's device, they do not solve the problem quite effectively: the mentioned approaches do not use the features of user interaction with remote banking servers. The present invention allows to more effectively solve the problem of detecting anomalies in user behavior when interacting with a remote banking server.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение предназначено для обнаружения аномалий в поведении пользователя.The present invention is intended to detect abnormalities in user behavior.

Технический результат настоящего изобретения заключается в обеспечении обнаружения вредоносных приложений, которое достигается путем признания приложения на вычислительном устройстве вредоносным, если была обнаружена мошенническая активность при взаимодействии пользователя с удаленным банковским сервером, и упомянутое приложение осуществляло доступ к данным о поведении пользователя.The technical result of the present invention is to provide detection of malicious applications, which is achieved by recognizing the application on the computing device as malicious if fraudulent activity was detected during user interaction with a remote banking server, and said application accessed data on user behavior.

Способ обнаружения вредоносного приложения на устройстве пользователя при взаимодействии вычислительного устройства пользователя с удаленным банковским сервером, в котором: собирают при помощи средства определения поведения данные о поведении пользователя во время взаимодействия пользователя с по меньшей мере одной группой элементов графического интерфейса приложения, которые используются для взаимодействия с удаленным банковским сервером; при этом целью взаимодействия с удаленным банковским сервером является осуществление транзакции с участием удаленного банковского сервера; при этом данными о поведении пользователя является информация, которую получают при помощи по меньшей мере устройств ввода вычислительного устройства; собирают при помощи средства обеспечения безопасности информацию о том, какие приложения вычислительного устройства осуществляют доступ к данным о поведении пользователя при взаимодействии пользователя с каждой группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером, для которой на этапе ранее собирают данные о поведении пользователя; вычисляют при помощи средства классификации поведения коэффициент аномальности поведения пользователя для каждой группы элементов графического интерфейса, данные о поведении пользователя во время взаимодействия с которой были собраны на этапе ранее; при этом коэффициент аномальности поведения пользователя представляет собой численное значение, чем больше которое, тем менее характерно поведение, данные о котором были собраны на этапе ранее, упомянутому пользователю; обнаруживают при помощи средства принятия решения мошенническую активность при взаимодействии устройства пользователя с удаленным банковским сервером, если комбинация коэффициентов аномальности поведения пользователя, вычисленных на этапе ранее, не превышает установленное пороговое значение; при этом при вычислении комбинации коэффициентов аномальности поведения пользователя используется следующая информация: для группы элементов графического интерфейса - число обращений пользователей к группе элементов графического интерфейса; для группы элементов графического интерфейса - количество групп элементов графического интерфейса, при взаимодействии с которыми пользователь может получить доступ к упомянутой группе элементов графического интерфейса; для группы элементов графического интерфейса - количество элементарных действий пользователя, необходимых для осуществления транзакции с участием удаленного банковского сервера, при условии взаимодействия пользователя с упомянутой группой элементов графического интерфейса; количество заведомо известных случаев мошеннической активности, осуществляемой от лица пользователя за установленный промежуток времени; при этом под элементарным действием понимают по меньшей мере: перемещение указателя мыши, нажатие клавиши устройства ввода, движение пальца человека или стилуса по экрану вычислительного устройства без отрыва от поверхности экрана, прикосновение пальца человека или стилуса к экрану вычислительного устройства; при этом под мошеннической активностью понимают взаимодействие с удаленным банковским сервером, осуществляемое с использованием устройства пользователя или учетной записи для осуществления упомянутого взаимодействия, принадлежащей пользователю, и без ведома пользователя; при этом информация о заведомо известных случаях мошеннической активности хранится в базе данных на удаленном банковском сервере; признают при помощи средства обеспечения безопасности приложение на вычислительном устройстве вредоносным, если на этапе ранее была обнаружена мошенническая активность при взаимодействии пользователя с удаленным банковским сервером, и упомянутое приложение осуществляло доступ к данным о поведении пользователя при взаимодействии пользователя с по меньшей мере одной группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером, для которой были собраны данные о поведении пользователя.A method for detecting a malicious application on a user’s device when a user’s computing device interacts with a remote banking server, which: collects data on the behavior of a user during a user’s interaction with at least one group of application GUI elements that are used to interact with remote banking server; while the purpose of interaction with a remote banking server is to carry out a transaction involving a remote banking server; however, data on user behavior is information that is obtained using at least input devices of a computing device; using security tools, collect information about which applications of the computing device access data about user behavior during user interaction with each group of graphical interface elements for interaction with a remote banking server, for which user behavior data was previously collected; calculate, using the means of classifying behavior, the coefficient of anomalous behavior of the user for each group of elements of the graphical interface, data on the behavior of the user during interaction with which were collected at the stage earlier; the coefficient of anomalous behavior of the user is a numerical value, the larger it is, the less characteristic is the behavior, data about which was collected at the stage previously mentioned to the user; detect fraudulent activity using the decision-making tool when the user device interacts with the remote banking server if the combination of user behavior anomaly coefficients calculated in the step earlier does not exceed the set threshold value; at the same time, when calculating the combination of coefficients of anomalous behavior of the user, the following information is used: for a group of graphical interface elements — the number of user calls to a group of graphical interface elements; for a group of graphical interface elements - the number of groups of graphical interface elements, during interaction with which the user can access the said group of graphical interface elements; for a group of graphical interface elements - the number of elementary user actions required to complete a transaction involving a remote banking server, provided that the user interacts with the said group of graphical interface elements; the number of known cases of fraudulent activity carried out on behalf of the user for a specified period of time; at the same time, elementary action is understood as at least: moving the mouse pointer, pressing a key of an input device, moving a finger of a person or stylus on the screen of a computing device without detaching from the surface of the screen, touching a finger of a person or stylus on the screen of a computing device; while fraudulent activity is understood as interaction with a remote banking server, carried out using a user device or account to carry out the said interaction, owned by the user, and without the knowledge of the user; at the same time, information about known cases of fraudulent activity is stored in a database on a remote banking server; using a security tool, an application on a computing device is recognized to be malicious if fraudulent activity was detected at the stage when a user interacted with a remote banking server, and the said application accessed data on user behavior when a user interacted with at least one group of graphical interface elements to interact with a remote banking server for which user behavior data was collected.

В частном случае реализации способа при вычислении коэффициента аномальности используется наивный байесовский классификатор, применяемый к данным о поведении пользователя во время взаимодействия с группой элементов графического интерфейса.In the particular case of implementing the method, in calculating the anomaly coefficient, a naive Bayesian classifier is used, which is applied to data on user behavior during interaction with a group of graphical interface elements.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 иллюстрирует структурную схему системы обнаружения мошеннической активности на устройстве пользователя.FIG. 1 illustrates a block diagram of a fraud detection system on a user device.

Фиг. 2 иллюстрирует пример взаимодействия пользователя с элементами графического интерфейса приложения.FIG. 2 illustrates an example of user interaction with application GUI elements.

Фиг. 3 показывает примерную схему работы одного из вариантов реализации способа изобретения.FIG. 3 shows an example operation diagram of one embodiment of a method of the invention.

Фиг. 4 показывает пример компьютерной системы общего назначения.FIG. 4 shows an example of a general purpose computer system.

Хотя изобретение может иметь различные модификации и альтернативные формы, характерные признаки, показанные в качестве примера на чертежах, будут описаны подробно. Следует понимать, однако, что цель описания заключается не в ограничении изобретения конкретным его воплощением. Наоборот, целью описания является охват всех изменений, модификаций, входящих в рамки данного изобретения, как это определено приложенной формуле.Although the invention may have various modifications and alternative forms, the characteristic features shown by way of example in the drawings will be described in detail. It should be understood, however, that the purpose of the description is not to limit the invention to its specific embodiment. On the contrary, the purpose of the description is to cover all changes, modifications that are included in the scope of this invention, as defined by the attached formula.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является не чем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details necessary to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

Введем ряд определений и понятий, которые будут использоваться при описании вариантов осуществления изобретения.We introduce a number of definitions and concepts that will be used in the description of embodiments of the invention.

Вредоносное приложение - приложение (программное обеспечение), способное нанести вред компьютеру или пользователю компьютера, например: сетевой червь, клавиатурный шпион, компьютерный вирус. В качестве нанесенного вреда может выступать неправомерный доступ к ресурсам компьютера, в том числе к данным, хранящимся на компьютере, с целью хищения, а также неправомерное использование ресурсов, в том числе для хранения данных, проведения вычислений и т.п.Malicious application - an application (software) that can harm a computer or a computer user, for example: network worm, keylogger, computer virus. The damage may be caused by unauthorized access to computer resources, including data stored on a computer for theft, as well as unlawful use of resources, including for storing data, performing calculations, etc.

Данные о поведении пользователя - информация, которую получают при помощи по меньшей мере устройств ввода вычислительного устройства. При этом такая информация может включать в себя данные о использовании устройств ввода вычислительного устройства: о нажатых клавишах, о координатах нажатия на сенсорный экран, о траекториях движения пальца/стилуса по сенсорному экрану и пр. В общем случае такая информация описывает то, как и в каких условиях вычислительное устройство используется пользователем.User behavior data is information that is obtained using at least input devices of a computing device. Moreover, such information may include data on the use of input devices of the computing device: the keys pressed, the coordinates of pressing the touch screen, the trajectories of the finger / stylus on the touch screen, etc. In general, such information describes how what conditions the computing device is used by the user.

Коэффициент аномальности поведения пользователя - численное значение, чем больше которое, тем менее характерно поведение, данные о котором были собраны и использованы для вычисления этого коэффициента, упомянутому пользователю. В частном случае при вычислении коэффициента аномальности используется наивный байесовский классификатор, применяемый к данным о поведении пользователя во время взаимодействия с группой элементов графического интерфейса.The coefficient of anomalous behavior of the user is a numerical value, the larger it is, the less characteristic is the behavior the data about which were collected and used to calculate this coefficient to the mentioned user. In the particular case, when calculating the anomaly coefficient, a naive Bayesian classifier is used, which is applied to data on user behavior during interaction with a group of graphical interface elements.

Элементарное действие - действие пользователя устройства, которое он может совершить в отношении вычислительного устройства. Элементарное действие - по меньшей мере: перемещение указателя мыши, нажатие клавиши устройства ввода, движение пальца человека или стилуса по экрану вычислительного устройства без отрыва от поверхности экрана, прикосновение пальца человека или стилуса к экрану вычислительного устройства.Elementary action - the action of the user of the device, which he can perform in relation to the computing device. An elementary action is at least: moving the mouse pointer, pressing a key on an input device, moving a finger of a person or stylus on the screen of a computing device without detaching from the surface of the screen, touching a finger of a person or stylus on the screen of a computing device.

Мошенническая активность - взаимодействие с удаленным банковским сервером, осуществляемое с использованием устройства пользователя или учетной записи для осуществления упомянутого взаимодействия, принадлежащей пользователю, и без ведома пользователя. Упомянутое взаимодействие может осуществляться при помощи приложения. При этом информация о заведомо известных случаях мошеннической активности хранится в базе данных на удаленном банковском сервере, например дата случая мошеннической активности и указание, является ли мошенническая активность таковой (не ложное срабатывание), добавленное сотрудником банка. Такая информация может быть добавлена в упомянутую базу данных сотрудником банка, который обладает соответствующей информацией.Fraudulent activity - interaction with a remote banking server, carried out using the user's device or account to carry out the said interaction, owned by the user, and without the knowledge of the user. Mentioned interaction can be carried out using the application. In this case, information about known cases of fraudulent activity is stored in a database on a remote banking server, for example, the date of the case of fraudulent activity and an indication of whether fraudulent activity is such (not a false positive) added by a bank employee. Such information can be added to the mentioned database by a bank employee who has relevant information.

Цель взаимодействия с удаленным банковским сервером - осуществление транзакции с участием удаленного сервера. В еще одном частном случае реализации изобретения целью взаимодействия с удаленным банковским сервером может быть любая другая операция в отношении финансовых средства (например, получение информации о наличии средств на некотором банковском счете). При этом взаимодействие может осуществляться как пользователем, так и третьим лицом от имени пользователя, например с использованием устройства пользователя или учетной записи для осуществления упомянутого взаимодействия, принадлежащей пользователю, и без ведома пользователя. Стоит понимать, что кто бы ни взаимодействовал с удаленным банковским сервером, это взаимодействие осуществляется с помощью некоторого вычислительного устройства. При этом человек (пользователь) взаимодействует с удаленным банковским сервером при помощи приложения (виды и особенности которого будут раскрыты дальше), которое установлено на вычислительном устройстве. Для удобства позволим в дальнейшем опускать тот факт, что взаимодействие пользователя с банком (удаленным банковским сервером) осуществляется при помощи именно некоторого приложения и вычислительного устройства, будем говорить о «взаимодействии пользователя с удаленным банковским сервером».The purpose of interaction with a remote banking server is to conduct a transaction involving a remote server. In another particular case of the invention, the purpose of interacting with a remote banking server can be any other operation in relation to financial assets (for example, obtaining information about the availability of funds in a certain bank account). In this case, the interaction can be carried out both by the user and by a third party on behalf of the user, for example, using the user's device or account to carry out the said interaction, owned by the user, and without the knowledge of the user. It should be understood that no matter who interacts with a remote banking server, this interaction is carried out using some computing device. In this case, a person (user) interacts with a remote banking server using an application (the types and features of which will be described later), which is installed on a computing device. For convenience, let us further omit the fact that user interaction with a bank (remote banking server) is carried out using just some application and computing device, we will talk about “user interaction with a remote banking server”.

На Фиг. 1 изображена структурная схема системы обнаружения мошеннической активности на устройстве пользователя. Вычислительное устройство 100 используется пользователем для взаимодействия с удаленным банковским сервером 150. Вычислительное устройство 100 может представлять собой компьютер, ноутбук, смартфон, планшет или любое другое устройство с процессором и памятью произвольного доступа (например, наручные часы Smart Watch). Детальная схема одного из вариантов вычислительного устройства представлена на Фиг. 4. Удаленный банковский сервер представляет собой совокупность программно-аппаратных средств для реализации взаимодействия с устройством 100 пользователя с целью управления финансовыми средствами пользователя. В частном случае реализации банковский сервер 150 - такое же вычислительное устройство, как и вычислительное устройство 100 пользователя. В другом частном случае реализации сервер 150 является совокупностью вычислительных устройств, на которых располагаются средства, входящие в состав удаленного банковского сервера 150. В частном случае реализации удаленный банковский сервер 150 принадлежит банку (юридическому лицу, осуществляемому деятельность в сфере финансов). Пользователь посредством вычислительного устройства 100 осуществляет взаимодействие с удаленным банковским сервером 150. В частном случае реализации изобретения цель такого взаимодействия - управление финансовыми средствами пользователя. В частном случае реализации под таким управлением понимается осуществление транзакций в отношении банковского счета пользователя (например, для перечисления финансовых средств с одного банковского счета на другой). В еще одном частном случае реализации изобретения целью взаимодействия с удаленным банковским сервером может быть любая другая операция в отношении финансовых средства (например, получение информации о наличии средств на некотором банковском счете). Стоит понимать, что устройством 100 может воспользоваться и злоумышленник. В таком случае взаимодействие с сервером 150 будет производиться так же от лица пользователя устройства 100. Формально, в таком случае взаимодействие с удаленным банковским сервером осуществляет также пользователь, пока не будет доказано обратное (например, если будет обнаружена мошенническая активность).In FIG. 1 is a structural diagram of a fraud detection system on a user device. Computing device 100 is used by a user to interact with a remote banking server 150. Computing device 100 may be a computer, laptop, smartphone, tablet, or any other device with a processor and random access memory (for example, a Smart Watch). A detailed diagram of one embodiment of a computing device is shown in FIG. 4. The remote banking server is a set of software and hardware for implementing interaction with the device 100 of the user in order to manage the financial resources of the user. In the particular case of implementation, the bank server 150 is the same computing device as the computing device 100 of the user. In another particular case of implementation, server 150 is a set of computing devices that host the funds that make up the remote banking server 150. In the particular case of implementation, the remote banking server 150 belongs to the bank (legal entity engaged in financial activities). The user through the computing device 100 interacts with a remote banking server 150. In the particular case of the invention, the purpose of this interaction is to manage the financial resources of the user. In the particular case of implementation, such management is understood as the execution of transactions in relation to the user's bank account (for example, for transferring funds from one bank account to another). In another particular case of the invention, the purpose of interacting with a remote banking server can be any other operation in relation to financial assets (for example, obtaining information about the availability of funds in a certain bank account). It should be understood that an attacker can also use device 100. In this case, the interaction with the server 150 will also be performed on behalf of the user of the device 100. Formally, in this case, the user will also interact with the remote banking server until the opposite is proved (for example, if fraudulent activity is detected).

Для взаимодействия с удаленным банковским сервером 150 пользователь вычислительного устройства 100 (для простоты будем называть его «пользователь») использует приложение 110. Приложение 110, посредством которого осуществляется взаимодействие пользователя и удаленного банковского сервера 150, может являться:To interact with the remote banking server 150, the user of the computing device 100 (for simplicity, we will call it “user”) uses application 110. Application 110, through which the user and the remote banking server 150 interact, can be:

• интернет-браузером, посредством которого пользователь получает доступ к web-клиенту удаленного банковского сервера 150;• an Internet browser, through which the user gains access to the web client of the remote banking server 150;

• приложением, которое разработано с учетом аппаратной платформы вычислительного устройства 100 (native application), например по заказу банка, в частном случае реализации таким приложением является приложение для различных семейств операционных систем (ОС): Android, iOS, Windows, Unix и т.п.• an application that is developed taking into account the hardware platform of computing device 100 (native application), for example, by order of a bank, in the particular case of implementation, such an application is an application for various families of operating systems (OS): Android, iOS, Windows, Unix, etc. .

Приложение 110 предоставляет пользователю множество элементов графического интерфейса 115 приложения (в дальнейшем принадлежность элементов графического интерфейса приложению не будет указываться явно) для взаимодействия с удаленным банковским сервером 150. В частном случае реализации такими элементами графического интерфейса 115 приложения могут быть: кнопка, поле ввода, поле для отображения информации (в том числе текстовой и графической), элемент интерфейса «флажок» (checkbox), полоса прокрутки (scroll bar), а также любые другие элементы графического интерфейса, при помощи которых происходит взаимодействие пользователя (через устройство 100) и удаленного банковского сервера 150. В частном случае реализации для доступа к отображаемому в приложении 110 содержимому пользователь должен пройти аутентификацию, необходимую удаленному банковскому серверу 150, чтобы понять, кто пользуется устройством 100 и взаимодействует с удаленным банковским сервером 150. В частном случае реализации аутентификация пользователя устройства осуществляется при помощи ввода пароля учетной записи для взаимодействия, который затем проверяется удаленным банковским сервером 150. В еще одном частном случае реализации аутентификация пользователя происходит «по устройству» - предполагается, что устройством 100 может пользоваться только владелец устройства.Application 110 provides the user with many elements of the graphical interface 115 of the application (in the future, the belonging of the elements of the graphical interface to the application will not be indicated explicitly) for interaction with the remote banking server 150. In the particular case, the implementation of such elements of the graphical interface 115 of the application can be: button, input field, field to display information (including text and graphic), the checkbox interface element, scroll bar (scroll bar), as well as any other graphic elements interface, through which the user (through the device 100) and the remote banking server 150 interact. In a particular implementation, to access the contents displayed in the application 110, the user must pass the authentication required by the remote banking server 150 to understand who is using the device 100 and interacts with the remote banking server 150. In the particular case of the implementation, authentication of the device user is carried out by entering the account password for interaction Corollary, which is then verified by a remote bank server 150. In another particular embodiment, user authentication occurs "on the device" - it is assumed that the device 100 may use only the owner of the device.

В состав приложения входит средство определения поведения 120, которое предназначено для сбора данных о поведении пользователя во время взаимодействия пользователя с элементами графического интерфейса 115. В частном случае реализации средство 120 группирует элементы графического интерфейса и собирает данные о взаимодействии пользователя с элементами графического интерфейса, входящими в упомянутую группу. При этом под взаимодействием с элементами графического интерфейса понимают по крайней мере: ввод данных с использованием элемента графического интерфейса (нажатие на кнопку или ввод данных в текстовое поле), перемещение курсора (движение пальца/стилуса) по области экрана, на которой отображен упомянутый элемент. Примером результата такой группировки может быть группа, состоящая только из поля ввода текста, группа, состоящая из поля ввода текста и кнопка, или группа, которая включает в себя весь набор графических элементов, отображенных пользователю посредством приложения 110 (в частном случае набор графических элементов интерфейса 115 окна приложения 110, в еще одном частном случае набор элементов графического интерфейса 115 web-страницы, отображенной пользователю, если приложение 110 - web-браузер, или). В частном случае реализации средство определения поведения 120 может быть реализовано как компонент web-страницы, отображаемой приложением 110 пользователю - например в качества скрипта на языке JavaScript (такая реализация характерна для ситуации, когда приложение 110 - web-браузер). В еще одном частном случае реализации изобретения средство определения поведения 120 может быть реализовано в качестве библиотеки приложения и поставляться банком вместе с приложением 110. При этом сбор данных о поведении пользователя осуществляется путем вызова соответствующих системных API-функций (например, для ОС Windows - «GetCursorPosition») или из обработчиков соответствующих событий (например, для ОС Android -«onTouch»).The application includes a tool for determining behavior 120, which is designed to collect data on user behavior during user interaction with graphical user interface elements 115. In a particular case, the implementation of the tool 120 groups the graphical user interface elements and collects data on user interaction with the graphical user interface elements mentioned group. At the same time, interaction with elements of the graphical interface is understood as at least: entering data using a graphical interface element (clicking on a button or entering data in a text field), moving the cursor (moving the finger / stylus) over the area of the screen on which the said element is displayed. An example of the result of such a grouping can be a group consisting of only a text input field, a group consisting of a text input field and a button, or a group that includes the entire set of graphic elements displayed to the user through application 110 (in the particular case, a set of graphic interface elements 115 windows of the application 110, in another particular case, a set of GUI elements 115 of the web page displayed to the user, if the application 110 is a web browser, or). In the particular case of the implementation, the behavior determination tool 120 can be implemented as a component of the web page displayed by the application 110 to the user, for example, as a JavaScript script (such an implementation is typical for the situation when the application 110 is a web browser). In another particular embodiment of the invention, the behavior determination tool 120 can be implemented as an application library and supplied by the bank with the application 110. At the same time, data on user behavior is collected by calling the corresponding system API functions (for example, for Windows - “GetCursorPosition ") Or from the handlers of the corresponding events (for example, for the Android OS -" onTouch ").

Данные о поведении пользователя представляют собой информацию, которая предоставляется устройству 100 (а, соответственно, и приложению 110) при помощи устройств ввода. Объем такой информации может отличаться в зависимости от аппаратного и программного обеспечения устройства 100, например от вида устройства (например, смартфон или ноутбук), семейства ОС устройства 100, а также типа приложения 110 (является оно web-браузером или нет).User behavior data is information that is provided to the device 100 (and, accordingly, the application 110) via input devices. The amount of such information may vary depending on the hardware and software of the device 100, for example, the type of device (e.g., smartphone or laptop), the OS family of the device 100, and the type of application 110 (is it a web browser or not).

В частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую манипулятором типа «мышь»:In the particular case of the implementation, data on user behavior includes information provided by a mouse-type manipulator:

• координаты курсора (например, относительно экрана устройства 100);• cursor coordinates (for example, relative to the screen of the device 100);

• координаты нажатия/отжатия (отпускания) клавиш.• coordinates of pressing / releasing (releasing) the keys.

В частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую клавиатурой устройства 100 (в том числе и клавиатурой, отображаемой на сенсорном экране устройства 100 - touchscreen):In the particular case of implementation, data on user behavior includes information provided by the keyboard of the device 100 (including the keyboard displayed on the touch screen of the device 100 - touchscreen):

• символ клавиатуры, соответствующий нажатой клавише;• keyboard symbol corresponding to the pressed key;

• последовательность из двух/трех нажатий клавиш.• a sequence of two / three keystrokes.

В еще одном частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую сенсорным экраном устройства 100:In another particular embodiment, the user behavior data includes information provided by the touch screen of the device 100:

• координаты точки нажатия/отжатия на экран;• coordinates of the point of pressing / depressing on the screen;

• сила нажатия на экран.• the strength of pressing the screen.

В еще одном частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую микрофоном устройства 100:In another particular embodiment, user behavior data includes information provided by the microphone of device 100:

• запись звуков в цифровом формате.• Recording sounds in digital format.

В еще одном частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую датчиком освещенности устройства 100:In another particular embodiment, the user behavior data includes information provided by the light sensor of the device 100:

• информация о наличии и силе источников света вблизи датчика.• information on the presence and strength of light sources near the sensor.

В еще одном частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую фото/видео камерой устройства 100:In yet another particular embodiment, user behavior data includes information provided by a photo / video camera of device 100:

• фотографии, снятые камерой;• photos taken with the camera;

• видеодорожка, снятая камерой.• The video track captured by the camera.

В еще одном частном случае реализации данные о поведении пользователя включают в себя информацию, предоставляемую датчиком ускорения устройства 100:In another particular embodiment, the user behavior data includes information provided by the acceleration sensor of the device 100:

• информация об изменении положения устройства в пространстве.• information about the change in the position of the device in space.

В частном случае реализации в дополнении к вышеописанной информации средством определения поведения 120 дополнительно собирается информация о времени каждого из вышеупомянутых событий (временная метка каждого из вышеописанных событий - перемещения курсора, нажатия на экран). В частном случае реализации, если приложение 110 является web-браузером, то возможности сбора данных о поведении средства определения поведения 120 ограничены возможностями, предоставляемыми JavaScript (в случае, если скрипт написан на языке JavaScript). В частном случае реализации ввиду таких ограничений средство 120 собирает данные о поведении, которые включают информацию, предоставляемую манипулятором типа «мышь», клавиатурой устройства 100, а также сенсорным экраном устройства 100. В другом частном случае реализации, если приложение 110 не является web-клиентом, средство определения поведения 120 собирает данные о поведении, доступ к которым предоставляют средства ОС вычислительного устройства 100.In the particular case of implementation, in addition to the above information, the behavior determination tool 120 additionally collects information about the time of each of the above events (the time stamp of each of the above events is the cursor movement, clicking on the screen). In the particular case of implementation, if the application 110 is a web browser, then the data collection capabilities of the behavior determination tool 120 are limited by the capabilities provided by JavaScript (if the script is written in JavaScript). In the particular implementation case, due to such restrictions, the tool 120 collects behavior data, which includes information provided by the mouse, the keyboard of the device 100, and the touch screen of the device 100. In another particular implementation, if the application 110 is not a web client , a behavioral determiner 120 collects behavior data accessed by the OS means of the computing device 100.

В общем случае объем собираемых данных о поведении зависит от программного и аппаратного обеспечения устройства 100.In general, the amount of behavior data collected depends on the software and hardware of the device 100.

В частном случае реализации на вычислительном устройстве 100 пользователя также присутствует средство обеспечения безопасности 130. Средство обеспечения безопасности 130 предназначено для сбора информации о том, какие приложения вычислительного устройства 100 осуществляют доступ к данным о поведении пользователя в то время, как пользователя осуществляет взаимодействие с группами элементов графического интерфейса 115 для взаимодействия с удаленным банковским сервером 150. Для этого средство обеспечения безопасности 130 журналирует (англ. logging) вызовы системных функций (сохраняет информацию о том, процесс какого приложения осуществляет вызов этих функций), которые отвечают за доступ к данным о поведении пользователя (например, функция «SetCursorPos»). В частном случае реализации средство обеспечения безопасности 130 включает в себя драйвер уровня ядра, с помощью которого средство 130 перехватывает вызовы функций доступа к данным о поведении пользователя.In the particular case of implementation, a security tool 130 is also present on the user's computing device 100. The security tool 130 is designed to collect information about which applications of the computing device 100 access the user behavior data while the user interacts with groups of elements a graphical interface 115 for interacting with a remote banking server 150. For this, the security tool 130 logs g) calls to system functions (stores information about which process the application calls these functions) that are responsible for accessing data about user behavior (for example, the “SetCursorPos” function). In the particular case of the implementation, the security tool 130 includes a kernel-level driver with which the tool 130 intercepts calls to user behavior data access functions.

В частном случае реализации при изменении положения курсора (для манипулятора типа «мышь») обработчик прерывания устройства «мышь» вызывает функции изменения координат курсора (например, «SetCursorPos»), который вследствие этого изменяет свое положение на экране вычислительного устройства; при этом средство обеспечения безопасности 130, включая в себя драйвер, внедренный в стек драйверов, которые обрабатывают запросы от обработчика прерывания, получает информацию, какой процесс изменяет координаты курсора (например, либо драйвер реального устройства «мышь», либо некоторое приложение, например вредоносное приложение).In the particular case of implementation, when the cursor position is changed (for a mouse type manipulator), the mouse interrupt handler calls the cursor coordinate change functions (for example, “SetCursorPos”), which consequently changes its position on the screen of the computing device; the security tool 130, including the driver embedded in the driver stack, which processes requests from the interrupt handler, receives information about which process changes the coordinates of the cursor (for example, either the driver of a real mouse device, or some application, for example, a malicious application )

В частном случае реализации средство обеспечения безопасности 130 является антивирусным программным обеспечением. В еще одном частном случае реализации собранная средством обеспечения безопасности 130 информация хранится в базе данных, входящей в состав средства 130.In the particular case of implementation, the security tool 130 is an anti-virus software. In another special case of implementation, the information collected by the security tool 130 is stored in a database that is part of the tool 130.

После сбора данных о поведении пользователя средство определения поведения 120 пересылает эти данные вместе с информацией о том, во время взаимодействия с какими группами графических элементов интерфейса 115 пользователя устройства 110 были собраны упомянутые данные, средству классификации поведения 160. В еще одном частном случае реализации изобретения средство определения поведения 120 передает вышеописанную информацию средству 160 только после того, когда будет собраны данные о поведении пользователя при взаимодействии с заданным количеством групп элементов графического интерфейса (например, с по меньшей мере 5 группами).After collecting data on user behavior, a behavioral determiner 120 sends this data along with information about during which interaction with which groups of graphical elements of the user interface 115 of the device 110 the said data was collected to the behavior classification means 160. In another particular embodiment of the invention, the means behavior determination 120 transmits the above information to the means 160 only after the data on user behavior when interacting with a given amount is collected Twomey groups GUI elements (e.g., at least 5 bands).

Стоит отметить, что перед передачей собранных средством 120 данных о поведении пользователя, эти данные могут подвергаться обработке при помощи средства 120: например, совокупность координат курсора преобразуется в траекторию движения курсора, а совокупность координат точек нажатия на сенсорный экран и отжатая - в траекторию движения пальца по экрану (англ. swipe). В частном случае реализации данные о поведении пользователя собираются средством 120 в течение заданного промежутка времени (например, 5 минут или сутки), эти данные затем передаются средству классификации поведения 160. В еще одном частном случае реализации изобретения данные о поведения пользователя собираются в течение взаимодействия пользователя с отдельной группой элементов графического интерфейса 115: собранные данные о поведении будут переданы средством 120 средству 160, если, например, пользователь передвинет курсор с одной группы элементов графического интерфейса 115 на другую группу элементов, или если пользователь перейдет с одной web-страницы, которая целиком представляет собой группу элементов графического интерфейса, на другую.It is worth noting that before the user behavior data collected by means 120 is transmitted, this data can be processed using means 120: for example, the set of coordinates of the cursor is transformed into the trajectory of the cursor, and the set of coordinates of the points of pressing the touch screen and released to the trajectory of the finger on the screen (English swipe). In the particular case of implementation, data on user behavior is collected by means of the tool 120 over a given period of time (for example, 5 minutes or a day), this data is then transmitted to the behavior classification tool 160. In yet another particular case of the invention, data on user behavior is collected during user interaction with a separate group of GUI elements 115: the collected behavior data will be transferred by means of 120 to means of 160, if, for example, the user moves the cursor from one group of email cops graphical interface 115 to the other group members, or if the user enters one web-page which is entirely represents a group of GUI elements on the other.

В еще одном частном случае реализации изобретения средство 120 осуществляет обработку собранных данных следующим образом:In another particular case of the invention, the tool 120 processes the collected data as follows:

• для перемещений курсора мыши (которое определяется множеством точек, по которым движется курсор) вычисляется вектор перемещения (например, между конечной и начальной точкой положения курсора), скорость перемещения и ускорение в каждой точке курсора, а также угловая скорость и угловое ускорение (рассчитываются при перемещении курсора от одной точки движения к следующей относительно начальной точки движения).• for mouse cursor movements (which is determined by the set of points along which the cursor moves), a movement vector (for example, between the end and start points of the cursor position) is calculated, the speed of movement and acceleration at each cursor point, as well as the angular velocity and angular acceleration (calculated at moving the cursor from one point of movement to the next relative to the starting point of movement).

В частном случае реализации средство определения поведения 120 осуществляет «обезличивание» собранных данных (например, в целях ненарушения прав пользователя устройства 100 на сбор личных данных, а также для исключения передачи большого объема данных) - собранные данные о поведении пользователя могут подвергаться обработке, например при помощи хеш-функции (например, MD5, SHA-0 или SHA-1 и т.п.). Таким образом, передаваться средству 160 будут не «сырые» данные (англ. raw data) о поведении пользователя, а хеш-суммы, которые будет с высокой вероятностью (ограниченной только вероятностью возникновения коллизии) однозначно идентифицировать данные о поведении пользователя устройства 100, при этом, используя упомянутые хеш-суммы, будет невозможно восстановить данные, от которых были вычислены соответствующие хеш-суммы. В частном случае реализации такой обработке подвергаются все собранные данные о поведении пользователя устройства 100. В еще одном частном случае реализации такой обработке подвергаются данные, включающие только: фотографии и видеодорожка, снятые камерой, запись звуков в цифровом формате.In the particular case of the implementation, the behavioral determiner 120 “depersonalizes” the collected data (for example, in order to not violate the user rights of the device 100 to collect personal data, as well as to exclude the transfer of a large amount of data) - the collected data about the user’s behavior can be processed, for example, using a hash function (for example, MD5, SHA-0 or SHA-1, etc.). Thus, the means 160 will be transmitted not “raw” data (English raw data) about the user’s behavior, but hash sums that will be highly likely (limited only by the likelihood of a collision) to uniquely identify the user behavior data of the device 100, while Using the mentioned hash sums, it will be impossible to recover the data from which the corresponding hash sums were calculated. In the particular case of the implementation, all the collected data on the behavior of the user of the device 100 is subjected to such processing. In yet another particular case, the data is subjected to such processing, including only: photographs and the video track taken by the camera, recording sounds in digital format.

Средство классификации поведения 160 предназначено для вычисления коэффициента аномальности поведения пользователя для каждой группы элементов графического интерфейса, данные о поведении пользователя во время взаимодействия с которой были собраны средством определения поведения 120. Коэффициент аномальности поведения пользователя - число, например от 0 до 100 (в еще одном частном случае реализации - любое другое действительное число), которое показывает насколько поведение пользователя (в соответствии с собранными данными о поведении) не характерно владельцу устройства (или учетной записи для взаимодействия с удаленным банковским сервером). Чем больше это число, тем менее характерно поведение, данные о котором были собраны в время взаимодействия пользователя и удаленного банковского сервера 150, этому пользователю. В частном случае реализации значение 0 коэффициента аномальности может означать, что поведение пользователя, данные о котором были собраны при взаимодействии пользователя с некоторой группой графических элементов, полностью соответствует пользователю устройства 100.The behavior classification tool 160 is designed to calculate the coefficient of anomalous behavior of a user for each group of elements of the graphical interface, the data on user behavior during interaction with which were collected by means of determining the behavior of 120. The coefficient of anomalous behavior of a user is a number, for example, from 0 to 100 (in another a particular implementation case is any other real number), which shows how much the user's behavior (in accordance with the collected behavior data) is not Typical to the owner of the device (or account to interact with the remote banking server). The larger this number, the less characteristic is the behavior, data about which was collected during the interaction of the user and the remote banking server 150, to this user. In the particular case of implementation, the value 0 of the anomaly coefficient can mean that the user’s behavior, data about which was collected during the user’s interaction with a certain group of graphic elements, fully corresponds to the user of the device 100.

Для вычисления коэффициента аномальности поведения пользователя средство классификации 160 использует алгоритм классификации. В частном случае таким алгоритмом считают наивный байесовский классификатор. Входными данными для такого алгоритма являются данные о поведении пользователя во время взаимодействия пользователя с группой элементов графического интерфейса 115. Результат работы такого алгоритма - число, которое принимается за коэффициент аномальности поведения пользователя.To calculate the coefficient of abnormality of user behavior, the classification tool 160 uses a classification algorithm. In a particular case, the naive Bayes classifier is considered such an algorithm. The input for such an algorithm is data on user behavior during user interaction with a group of elements of the graphical interface 115. The result of such an algorithm is a number, which is taken as the coefficient of anomalous behavior of the user.

Для того, чтобы средство классификации поведения 160 могло вычислить коэффициент аномальности поведения пользователя, используемый алгоритм классификации предварительно проходит этап обучения. Во время обучения алгоритму предоставляются заведомо известные данные (ниже будут даны примеры таких данных) о поведении пользователя вычислительного устройства 100 во время взаимодействия пользователя с различными группами элементов графического интерфейса 115, а также заведомо известную информацию о том, является ли такое взаимодействие мошеннической активностью (на случай ситуации, когда кто-то другой использует устройство 100). Информация, используемая для обучения, в частном случае реализации изобретения хранится в базе данных 165. Кроме того, что использование такого алгоритма позволит отличить поведение одного пользователя от другого при использовании одного и того же устройства 100, данный алгоритм также поможет распознать ситуации, когда поведение пользователя имитируется программно: траектория перемещения курсора при такой имитации больше напоминает прямую линию, ввод данных с использованием элементов графического интерфейса для ввода текста, как правило, не будет сопровождаться нажатием клавиши удаления последнего введенного символа, при использовании устройства 100 пользователем датчик ускорения, как правило, показывает, что устройство не неподвижно, датчик освещенности также, как правило, показывает, что пользователь использует устройство 100 не в полной темноте, при использовании устройства 100 реальным пользователем микрофон может записывать определенные звуки (например, вызванные движением пользователя), что не характерно ситуации с программным имитированием поведением пользователя.In order for the behavioral classification tool 160 to calculate the coefficient of anomalous behavior of the user, the classification algorithm used passes the training step first. During the training, the algorithm is provided with known data (examples of such data will be given below) on the behavior of the user of the computing device 100 during user interaction with various groups of graphical interface elements 115, as well as known information on whether this interaction is fraudulent activity (on a case where someone else is using device 100). The information used for training, in the particular case of implementing the invention, is stored in the database 165. In addition to using this algorithm to distinguish the behavior of one user from another when using the same device 100, this algorithm will also help to recognize situations where user behavior it is simulated programmatically: the cursor’s trajectory during such a simulation is more like a straight line, data input using graphical interface elements to enter text, as rules oh, it will not be accompanied by pressing the delete key of the last entered character, when using the device 100 by the user, the acceleration sensor usually shows that the device is not stationary, the light sensor also usually shows that the user uses the device 100 not in complete darkness, when when the device 100 is used by a real user, the microphone can record certain sounds (for example, caused by the movement of the user), which is not typical of a situation with software imitation of user behavior la.

В частном случае реализации изобретения для обучения алгоритма классификации заведомо известные данные о поведении пользователя вычислительного устройства 100 во время взаимодействия с удаленным банковским сервером 150 (а именно с группами элементов графического интерфейса 115 для взаимодействия с удаленным банковским сервером 150) собираются непрерывно при помощи средства определения поведения 120, передаются средству классификации поведения 160, которое сохраняет эту информацию в базе данных 165. Собранные данные априори считаются соответствующими не мошеннической активности (взаимодействие с удаленным сервером 150, в течение которого были собраны данные о поведении пользователя, не считается мошеннической активностью), пока обратное не будет обнаружено (доказано) в рамках по крайней мере одного из способов реализации настоящего изобретения, или сотрудник банка сам не укажет периоды мошеннической активности с устройства пользователя 100, тем самым указывая факты мошеннических активностей, соответствующих собранным данным о поведении пользователя при взаимодействии с группами элементов графического интерфейса 115. В частном случае реализации для обучения алгоритма классификации используются данные о поведении пользователя, собранные в течение заданного промежутка времени (например, один месяц или один год). В частном случае реализации для обучения выбирается временной промежуток заданной длины (например, как указано выше, один месяц), который оканчивается не позднее, чем за определенное количество времени до момента обучения алгоритма классификации (например, за месяц) - такая «задержка» в обучении полезна в ситуациях, когда сотрудник банка может за указанный период времени (между окончание момента сбора данных о поведении пользователя и моментом начала обучения алгоритма) обнаружить мошенническую активность и внести соответствующие изменения в данные, которые хранятся в базе данных 165.In the particular case of the invention for training the classification algorithm, known data about the behavior of the user of the computing device 100 during interaction with the remote banking server 150 (namely, groups of graphical interface elements 115 for interacting with the remote banking server 150) are continuously collected using the behavior determination tool 120 are transmitted to a behavior classification tool 160, which stores this information in the database 165. The data collected are a priori considered to be non-fraudulent activity (interaction with the remote server 150, during which user behavior data were collected, is not considered fraudulent activity) until the opposite is detected (proved) in at least one of the ways of implementing the present invention, or a bank employee he himself will not indicate periods of fraudulent activity from the user’s device 100, thereby indicating facts of fraudulent activities corresponding to the collected data on user behavior when interacting with ppami GUI elements 115. In the particular case of the learning classification algorithm uses data about user behavior collected for a specified time period (eg, one month or one year). In the particular case of implementation, a time period of a given length is selected for training (for example, as indicated above, one month), which ends no later than a certain amount of time before the classification algorithm is trained (for example, for a month) - such a “delay” in training useful in situations where a bank employee can detect fraudulent activity and make appropriate changes for the specified period of time (between the end of the moment of collecting data on user behavior and the moment the learning algorithm begins) Data stored in the database 165.

Приведем пример работы средства классификации поведения 160. Для наглядности обратимся к Фиг. 2. На Фиг. 2 изображено вычислительное устройство 100 (в данном случае смартфон), при этом данные о поведении пользователя включают по крайней мере координаты точки нажатия/отжатия на сенсорный экран устройства 100. При взаимодействии пользователя с группой элементов графического интерфейса 115 (в данном случае - все элементы графического интерфейса, отображенные пользователю) приложения 110 во время взаимодействия с удаленным банковским сервером 150 была собрана при помощи средства 120 следующая информация: о нажатии (координаты точек) на экран в точке 200 и во всех остальных точках, которые лежат на траектории движения пальца до точки отжатая 210. Эту информацию (вместе с указанием, какой группе отображенных графических элементов интерфейса 115 соответствует эта информация) средство 120 передает средству классификации поведения 160. Средство 160 на основании полученных данных определяет, насколько такое движение, охарактеризованное перемещением пальца по сенсорному экрану из точки 200 в точку 210, не характерно пользователю устройства 100 - пользователю, данные о поведении которого при взаимодействии с различными группами графического интерфейса 115 были собраны заранее для обучения алгоритма классификации средства 160. При этом, на этапе обучения алгоритма средство классификации поведения 160 использовало данные о поведении пользователя, которые включали информацию о движении пальца пользователя по сенсорному экрану вычислительного устройства 100 по траектории от точки 200 до точки 220. В данном случае средство классификации поведения 160 вычислит коэффициент аномальности поведения пользователя для упомянутой группы элементов графического интерфейса, при этом значение коэффициента будет большим, например 90 или в частном случае реализации - вообще 100 (справедливо для ситуации, когда траектории движения от 200 до 210 и от 200 до 220 не имеют точек пересечения). При этом, если бы средством определения поведения 120 были бы предоставлены данные о поведении пользователя, включающие информацию координатах точек нажатия на экран, соответствующие перемещению пальца по экрану по траектории от точки 200 до точки 230 (эта траектория частично совпадает с траекторией движения между точками 200 и 220), то средство классификации поведения 160 вычислило бы коэффициент аномальности поведения пользователя, при этом его значение было бы меньше, чем в предыдущем примере, например 22.Let us give an example of the operation of the means for classifying behavior 160. For clarity, we turn to FIG. 2. In FIG. 2 depicts a computing device 100 (in this case, a smartphone), while user behavior data includes at least the coordinates of a tap / press point on the touch screen of device 100. When a user interacts with a group of graphical interface elements 115 (in this case, all graphical elements of the interface displayed to the user) of the application 110 during interaction with the remote banking server 150, the following information was collected using the tool 120: on pressing (coordinates of points) on the screen at point 200 at all other points that lie on the trajectory of the finger to the point pressed 210. This information (together with an indication of which group of graphic elements of the interface 115 this information corresponds to) means 120 passes to the means of classifying behavior 160. The means 160 determines based on the received data how much such movement, characterized by the movement of a finger on the touch screen from point 200 to point 210, is not typical for the user of device 100 — a user whose behavior data during interaction and with various groups of the graphical interface 115 were assembled in advance to teach the classification algorithm of the tool 160. At the same time, at the stage of learning the algorithm, the behavior classification tool 160 used user behavior data, which included information about the user's finger moving along the touch screen of computing device 100 along the path from point 200 to point 220. In this case, the behavioral classification tool 160 will calculate an anomaly coefficient of user behavior for said group of graphic elements interface, in this case, the coefficient value will be large, for example, 90, or in the particular case of implementation - generally 100 (this is true for the situation when the motion paths from 200 to 210 and from 200 to 220 do not have intersection points). At the same time, if the behavioral determinant 120 would provide data on the user's behavior, including information on the coordinates of the points where the screen was pressed, corresponding to the finger moving along the screen along the path from point 200 to point 230 (this path partially coincides with the path between 200 and 220), then the behavior classification tool 160 would calculate the coefficient of anomalous behavior of the user, while its value would be less than in the previous example, for example 22.

В частном случае реализации база данных 165 хранит данные о поведении пользователя, собранные со всех устройств 100 пользователя, при помощи которых пользователь осуществляет взаимодействие с удаленным банковским сервером 150. Соответственно, эти данные используются при обучении алгоритма классификации средства 160. В еще одном частном случае реализации изобретения база данных 165 содержит отдельные наборы данных о поведении пользователя, соответствующие каждому отдельному устройству 100, при помощи которого пользователь осуществляет взаимодействие с удаленным банковским сервером 150. При этом для обучения алгоритма классификации, применяемого к данным о поведении пользователя на некотором устройстве 100, может быть использован набор данных о поведении пользователя, соответствующий как упомянутому устройству 100, так и любой другой набор данных о поведении или комбинация таких наборов. Такое разделение собранных данных о поведении пользователя по группам, соответствующим вычислительным устройствам 100 пользователя, эффективно для обучения алгоритма классификации в случае, если поведение пользователя при использовании различных вычислительных устройств 100 сильно отличается (например, при использовании планшета и настольного компьютера).In the particular case of implementation, the database 165 stores data on user behavior collected from all devices 100 of the user, by which the user interacts with the remote banking server 150. Accordingly, this data is used to train the classification algorithm of the tool 160. In another particular case of implementation of the invention, database 165 contains separate sets of user behavior data corresponding to each individual device 100 by which the user interacts action with a remote banking server 150. In this case, to train the classification algorithm applied to user behavior data on some device 100, a user behavior data set corresponding to both said device 100 and any other behavior data set or combination can be used such sets. Such a separation of the collected user behavior data into groups corresponding to the user computing devices 100 is effective for training the classification algorithm if the user behavior when using different computing devices 100 is very different (for example, when using a tablet and a desktop computer).

В еще одном частном случае реализации изобретения средство классификации поведения 160 вычисляет коэффициент аномальности при помощи алгоритма опорных векторов (англ. support vector machine - SVM). При этом этап обучения алгоритма SVM аналогичен вышеописанному.In another particular embodiment of the invention, the behavior classification tool 160 calculates the anomaly coefficient using the support vector machine (SVM) algorithm. At the same time, the training stage of the SVM algorithm is similar to the above.

В еще одном частном случае реализации изобретения средство классификации поведения 160 вычисляет коэффициент аномальности при помощи любого другого алгоритма классификации, для которого применяется обучение с учителем. При этом этап обучения такого алгоритма аналогичен вышеописанному.In another particular embodiment of the invention, the behavior classification tool 160 calculates an anomaly coefficient using any other classification algorithm for which training with a teacher is applied. Moreover, the training stage of such an algorithm is similar to the above.

Средство классификации поведения 160 вычисляет коэффициент аномальности поведения пользователя для каждой группы элементов графического интерфейса 115, для которой средство определения поведения 120 собрало и передало данные о поведении пользователя при взаимодействии пользователя с упомянутыми группами элементов графического интерфейса 115. Вычисленный по меньшей мере один коэффициент аномальности поведения пользователя передается средством 160 средству принятия решения 170.The behavior classification tool 160 calculates a user behavior anomaly coefficient for each group of graphical user interface elements 115, for which the behavior determination tool 120 has collected and transmitted user behavior data when the user interacts with said groups of graphical user interface elements 115. At least one user behavior anomaly coefficient is calculated transmitted by means 160 to decision making means 170.

Средство принятия решения 170 предназначено для обнаружения мошеннической активности при взаимодействии пользователя (посредством вычислительного устройства 100) с удаленным банковским сервером 150, если комбинация коэффициентов аномальности поведения пользователя, вычисленных на этапе ранее, превышает установленное пороговое значение. При этом при вычислении комбинации коэффициентов аномальности поведения пользователя используется следующая информация, которая хранится в базе данных 165:Decision tool 170 is designed to detect fraudulent activity when a user interacts (via computing device 100) with a remote banking server 150 if the combination of user behavior anomaly coefficients calculated in the step earlier exceeds a predetermined threshold value. In this case, when calculating the combination of the coefficients of the anomalous behavior of the user, the following information is used, which is stored in the database 165:

• для группы элементов графического интерфейса - число обращений (взаимодействий) пользователей к упомянутой группе элементов графического интерфейса. При этом упомянутая информация в базе данных 165 может быть изменена средством 160 по мере того, как от средства 120 поступают данные средству 160, т.е. чем больше данных о поведении пользователя при взаимодействии с некоторой группой графических элементов поступает средству 160, тем большее число обращений пользователей к отдельно группе элементов графического интерфейса будет сохранено в базе данных 165 средством 160. В качестве упомянутого параметра - числа обращений пользователей к упомянутой группе элементов - может быть использовано среднее число обращений пользователей за сутки к упомянутой группе элементов;• for a group of graphical interface elements - the number of calls (interactions) of users to the said group of graphical interface elements. Moreover, the mentioned information in the database 165 can be changed by the means 160 as the means 160 receive the data from the means 120, i.e. the more data about the user’s behavior when interacting with a certain group of graphic elements is received by the tool 160, the greater the number of user calls to a separate group of graphic interface elements will be stored in the database 165 by means of 160. As the mentioned parameter, the number of user calls to the said group of elements can be used the average number of user calls per day to the mentioned group of elements;

• для группы элементов графического интерфейса - количество групп элементов графического интерфейса, при взаимодействии с которыми пользователь может получить доступ к упомянутой группе элементов графического интерфейса, например количество кнопок, входящих в различные группы элементов графического интерфейса, при нажатии которых пользователю устройства 100 будет отображена некоторая (вышеупомянутая «отдельная») группа элементов графического интерфейса. При этом данная информация может быть добавлена в базу данных 165 разработчиком интерфейса для взаимодействия с удаленным банковским сервером 150;• for a group of graphical interface elements — the number of groups of graphical interface elements that, when interacting with, the user can access the said group of graphical interface elements, for example, the number of buttons included in various groups of graphical interface elements, when pressed, a certain number will be displayed to the user of the device 100 ( the aforementioned “separate”) group of graphical interface elements. Moreover, this information can be added to the database 165 by the interface developer for interaction with the remote banking server 150;

• для группы элементов графического интерфейса - количество элементарных действий пользователя, необходимых для осуществления транзакции с использованием удаленного банковского сервера, при условии взаимодействия пользователя с упомянутой группой элементов графического интерфейса -например, количество «кликов» (нажатий клавиши манипулятора «мышь») на различные кнопки графического интерфейса 115, которое необходимо пользователю, чтобы в ситуации, когда он взаимодействует с некоторой группой графического интерфейса 115 (например, пользователю отображена эта группа элементов - поле ввода, кнопка и поле, содержащее текстовую информацию), осуществить транзакцию (в отношении финансовых средств) - например количество элементарных действий, необходимых пользователю, чтобы последовательно посетить некоторое количество web-страниц (в случае, если приложение 110 - web-браузер), при этом на последней web-странице будут отображены элементы графического интерфейса (например, кнопка), при взаимодействии с которыми пользователь сможет передать банку команду совершить некоторое действие в отношении финансовых средств (например, оплатить штраф при помощи этих финансовых средств);• for a group of graphical interface elements — the number of elementary user actions necessary to complete a transaction using a remote banking server, provided that the user interacts with the mentioned group of graphical interface elements — for example, the number of “clicks” (pressing the mouse button) on various buttons GUI 115, which the user needs, so that in a situation where he interacts with some group of graphical interface 115 (for example, the caller is shown this group of elements - an input field, a button and a field containing text information), to carry out a transaction (in relation to financial means) - for example, the number of elementary actions required by the user to consecutively visit a certain number of web pages (in case application 110 - a web browser), while the last web page will display graphical interface elements (for example, a button), when interacting with which the user can instruct the bank to perform some action in relation to financial resources (for example, to pay a fine with these financial resources);

• количество заведомо известных случаев мошеннической активности, осуществляемой от лица пользователя за установленный промежуток времени. В частном случае реализации средство 170 сохраняет информацию об обнаруженных случаях мошеннической активности, осуществляемой при помощи устройства 100 пользователя. В еще одном частном случае реализации изобретения данная информация сохраняется в базе данных 165 сотрудником банка, имеющим доступ к соответствующей информации.• the number of known cases of fraudulent activity carried out on behalf of the user for a specified period of time. In the particular case of implementation, the tool 170 stores information about detected cases of fraudulent activity carried out using the device 100 of the user. In another particular case of the invention, this information is stored in a database 165 by a bank employee with access to relevant information.

Стоит отметить, что упомянутая выше информация может быть сохранена в базе данных 165 сотрудником банка.It is worth noting that the information mentioned above can be stored in a database by a 165 bank employee.

При этом, если средство принятия решения 170 получило от средства классификации поведения 160 только один коэффициент аномальности поведения пользователя, при обнаружении мошеннической активности средством принятия решения 170 используется только этот один коэффициент с учетом вышеописанной информации, используемой при вычислении комбинации коэффициентов аномальности поведения пользователя. Средство 170 вычисляет некоторое значение (комбинация коэффициентов аномальности поведения пользователя) при помощи математической функции, один из входных параметров которой - множество коэффициентов аномальности поведения пользователя, при этом упомянутое множество может состоять как из одного элемента, так и из нескольких. В частном случае реализации изобретения при расчете комбинации коэффициентов аномальности поведения пользователя средством 170 используется следующая формула:Moreover, if the decision-making tool 170 received only one user behavior anomaly coefficient from the behavior classification tool 160, when fraudulent activity is detected, the decision-making tool 170 uses only this one coefficient, taking into account the above information used in calculating the combination of the user behavior anomaly coefficients. The tool 170 calculates a certain value (a combination of coefficients of anomalous behavior of the user) using a mathematical function, one of the input parameters of which is the set of coefficients of anomalous behavior of the user, while the mentioned set can consist of one element or several. In the particular case of the invention, when calculating the combination of the coefficients of the anomalous behavior of the user by means 170, the following formula is used:

Figure 00000001
,
Figure 00000001
,

где K - комбинация коэффициентов аномальности поведения пользователя; n - число коэффициентов аномальности поведения пользователя (соответственно, и групп элементов графического интерфейса 115, на основании которых вычисляются коэффициенты), на основании которых вычисляется указанная комбинация; ki-i-й коэффициент аномальности поведения пользователя, вычисленный для i-й группы элементов графического интерфейса 115; pi - число обращений пользователей к i-й отдельной группе элементов графического интерфейса; ri - количество групп элементов графического интерфейса, при взаимодействии с которыми пользователь может получить доступ к i-й группе элементов графического интерфейса; di - количество элементарный действий пользователя, необходимых для осуществления транзакции с использованием удаленного банковского сервера, при условии взаимодействия пользователя с i-й группой элементов графического интерфейса; f - количество заведомо известных случаев мошеннической активности, осуществляемой от лица пользователя за установленный промежуток времени.where K is a combination of anomaly coefficients of user behavior; n is the number of coefficients of anomalous behavior of the user (respectively, and groups of elements of the graphical interface 115, based on which the coefficients are calculated), based on which the specified combination is calculated; k i is the i-th coefficient of anomalous behavior of the user, calculated for the i-th group of elements of the graphical interface 115; p i - the number of user calls to the i-th separate group of graphical interface elements; r i - the number of groups of elements of the graphical interface, with which the user can access the i-th group of elements of the graphical interface; d i - the number of elementary user actions required to complete a transaction using a remote banking server, provided that the user interacts with the i-th group of graphical interface elements; f - the number of known cases of fraudulent activity carried out on behalf of the user for a specified period of time.

В частном случае реализации для расчета комбинации коэффициентов аномальности поведения пользователя используется любая другая формула, в соответствии с которой комбинация коэффициентов аномальности поведения пользователя прямо пропорциональна следующим значениям (или хотя бы некоторым из следующих значений): f, ki, pi, ri, и обратно пропорциональная следующим значениям: di, (при условии, что эти значения присутствуют в формуле). Описания приведенных обозначений даны выше.In the particular case of implementation, any other formula is used to calculate the combination of anomaly coefficients for user behavior, according to which the combination of anomaly coefficients for user behavior is directly proportional to the following values (or at least some of the following values): f, k i , p i , r i , and inversely proportional to the following values: d i , (provided that these values are present in the formula). Descriptions of the above notation are given above.

Если комбинация коэффициентов аномальности поведения пользователя превышает установленное (пороговое) значение (например, «70»), средство принятия решения 170 обнаруживает мошенническую активность при взаимодействии пользователя посредством вычислительного устройства 100 с удаленным банковским сервером 150. Если же комбинация коэффициентов аномальности поведения пользователя не превышает установленное значение, работа изобретения продолжается в отношении новых данных, собираемых средством 120.If the combination of abnormality coefficients of user behavior exceeds a set (threshold) value (for example, “70”), decision tool 170 detects fraudulent activity when the user interacts with computing device 100 with a remote banking server 150. If the combination of abnormality coefficients of user behavior does not exceed the established meaning, the work of the invention continues with respect to new data collected by means 120.

В частном случае реализации обнаружение мошеннической активности средством принятия решения 170 осуществляется не путем сравнения комбинации коэффициентов аномальности с установленным пороговым значением, а при помощи эвристического правила, в котором решение принимается на основании вышеописанной информации, использованной в формуле (в том числе и значений всех вычисленных коэффициентов аномальности). В частном случае реализации такое правило может иметь вид одного из следующих:In the particular case of implementation, the detection of fraudulent activity by means of decision making 170 is carried out not by comparing the combination of anomaly coefficients with a set threshold value, but using a heuristic rule in which a decision is made based on the above information used in the formula (including the values of all calculated coefficients abnormalities). In the particular case of implementation, such a rule may take the form of one of the following:

• если среди коэффициентов аномальности поведения пользователя есть коэффициент, превышающий установленное пороговое значение (например, 90), то обнаружена мошенническая активность;• if among the coefficients of anomalous behavior of the user there is a coefficient that exceeds the set threshold value (for example, 90), fraudulent activity is detected;

• если среди коэффициентов аномальности поведения пользователя есть такой коэффициент, для которого справедливо:• if among the coefficients of anomalous behavior of the user there is a coefficient for which it is true:

ki*pi*ri>90,ki * pi * ri> 90,

то обнаружена мошенническая активность (описания приведенных обозначений даны выше).then fraudulent activity was detected (descriptions of the above designations are given above).

В еще одном частном случае реализации средство принятия решения 170 обнаруживает мошенническую активность при помощи любого другого эвристического правила, в соответствии с которым, чем больше следующие значения: f, ki, pi, ri (описания приведенных обозначений даны выше), и меньше следующие значениям: di (описания приведенных обозначений даны выше), тем более вероятно, что средство 170 обнаружит мошенническую активность.In another particular embodiment, the decision-making tool 170 detects fraudulent activity using any other heuristic rule, according to which, the greater the following values: f, k i , p i , r i (descriptions of the above notation are given above), and less the following values: d i (descriptions of the above notation are given above), all the more likely that the tool 170 will detect fraudulent activity.

Стоит понимать, что числа, использованные в описание ранее - лишь примеры, которые не ограничивают реализацию изобретения.It should be understood that the numbers used in the description previously are only examples that do not limit the implementation of the invention.

В частном случае реализации изобретения средство принятия решения 170 блокирует взаимодействие пользователя посредством вычислительного устройства 100 с удаленным банковским сервером 150, если была обнаружена мошенническая активность при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150 (или, упрощенно, при взаимодействии пользователя с удаленным банковским сервером).In the particular case of the invention, the decision-making means 170 blocks the user’s interaction through the computing device 100 with the remote banking server 150 if fraudulent activity was detected when the user device 100 interacts with the remote banking server 150 (or, more simply, when the user interacts with the remote banking server) .

В еще одном частном случае реализации изобретения обнаружении мошеннической активности средство принятия решения 170 при уведомляет сотрудника банка, например при помощи электронной почты или SMS-сообщения (упомянутые контактные данные соответствующего сотрудника могут храниться в базе данных 165), и приостанавливает взаимодействие пользователя посредством вычислительного устройства 100 с удаленным банковским сервером 150 на заданный промежуток времени (например, 6 часов), который может использоваться, чтобы упомянутый сотрудник банка имел время связаться с пользователем, от лица которого осуществлялась мошенническая активность.In another particular embodiment of the invention, detection of fraudulent activity, the decision-making tool 170 notifies the bank employee, for example, by e-mail or SMS message (the mentioned contact details of the corresponding employee can be stored in the database 165), and stops the user’s interaction through the computing device 100 with a remote banking server 150 for a specified period of time (for example, 6 hours), which can be used so that the said bank employee time to contact the user, which carried out a fraudulent activity of a person.

В еще одном частном случае реализации, если была обнаружена мошенническая активность при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150, средство принятия решения 170 посылает соответствующее уведомление средству обеспечения безопасности 130. В частном случае реализации средство 160 передает средству 170 не только вычисленные коэффициенты аномальности поведения пользователя для каждой группы элементов графического интерфейса, но также и сами данные о поведении пользователя, полученные от средства 120 и на основании которых были вычислены упомянутые коэффициенты. В свою очередь средство принятия решения 170, если была обнаружена мошенническая активность, передает средству обеспечения безопасности 130 информацию, содержащую данные о поведении пользователя, которые использовались для вычисления коэффициентов аномальности поведения пользователя.In another particular implementation case, if fraudulent activity was detected during the interaction of the user device 100 with the remote banking server 150, the decision maker 170 sends a corresponding notification to the security tool 130. In the particular case of the implementation, the tool 160 transmits to the tool 170 not only the calculated behavior anomaly coefficients user for each group of graphical interface elements, but also the data on user behavior received from means 120 and based on In the calculation of which the mentioned coefficients were calculated. In turn, the decision tool 170, if fraudulent activity has been detected, transmits to the security tool 130 information containing user behavior data that was used to calculate user behavior anomaly coefficients.

Средство обеспечения безопасности 130, используя полученные данные о поведении пользователя, определяет, какие приложения осуществляли доступ к данным о поведении пользователя при взаимодействии пользователя с группами элементов графического интерфейса 115 приложения 110 (соответствующая информация сохраняется средством обеспечения безопасности 130 во время взаимодействия пользователя и приложения 110). Средство обеспечения безопасности 130 признает приложение на вычислительном устройстве вредоносным, если была обнаружена мошенническая активность при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150 (было получено соответствующее уведомление от средства 170), и упомянутое приложение осуществляло доступ к данным о поведении пользователя при взаимодействии пользователя с по меньшей мере одной группой элементов графического интерфейса 115 для взаимодействия с удаленным банковским сервером 150, для которой были собраны данные о поведении пользователя средством 120.The security tool 130, using the obtained user behavior data, determines which applications accessed the user behavior data when the user interacted with groups of graphical interface elements 115 of the application 110 (the corresponding information is stored by the security tool 130 during the interaction of the user and the application 110) . The security tool 130 recognizes the application on the computing device as malicious if fraudulent activity was detected during the interaction of the user device 100 with the remote banking server 150 (a notification was received from the tool 170), and the said application accessed data on user behavior when the user interacted with at least one group of graphical interface elements 115 for interacting with remote banking server 150, for which there were user behavior data is collected by means of 120.

В еще одном частном случае реализации средство 170 передает средству 130 только те данные о поведении пользователя (которые будут впоследствии использоваться для поиска приложения, осуществлявшего доступ к данным о поведении пользователя при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150), которые соответствуют заданному числу наибольших (например, два наибольших) среди вычисленных средством классификации поведения 160 коэффициентов аномальности поведения пользователя.In yet another particular embodiment, the means 170 transfers to the means 130 only those data on user behavior (which will subsequently be used to search for an application that accesses data on user behavior when the user device 100 interacts with the remote banking server 150) that correspond to a given number of largest (for example, the two largest ones) among 160 behavioral anomaly coefficients calculated by the classification tool for behavior.

В еще одном частном случае реализации изобретения средство 170 может уведомить пользователя устройства 100, например при помощи уведомления, посылаемого через электронную почту или SMS-сообщение (при этом контактные данные пользователя для такого оповещения могут храниться в базе данных 165), о том, что обнаружена мошенническая активность, осуществляемая от лица пользователя: с использованием вычислительного устройства 100 пользователя или с использованием учетной записи для взаимодействия с удаленным банковским сервером 150.In another particular embodiment of the invention, the means 170 can notify the user of the device 100, for example, by means of a notification sent via e-mail or SMS (in this case, the user’s contact information for such an alert can be stored in the database 165) that it has been detected fraudulent activity carried out on behalf of the user: using the computing device 100 of the user or using the account to interact with the remote banking server 150.

На Фиг. 3 изображена примерная схема работы одного из вариантов реализации изобретения. На этапе 301 собирают при помощи средства определения поведения 120 данные о поведении пользователя во время взаимодействия пользователя с по меньшей мере одной группой элементов графического интерфейса 115 приложения 110, которые используются для взаимодействия с удаленным банковским сервером 150. Собранные данные передаются средством 120 средству 160. При этом целью взаимодействия с удаленным банковским сервером 150 является осуществление транзакции с участием удаленного сервера 150 (например, в отношении финансовых средств пользователя вычислительного устройства 100). При этом для каждой группы элементов графического интерфейса 115 собирается отдельный набор данных о поведении пользователя. При этом данными о поведении пользователя является информация, которую получают при помощи по меньшей мере устройств ввода вычислительного устройства 100.In FIG. 3 depicts an exemplary operation diagram of one embodiment of the invention. At step 301, user behavior data is collected by means of behavioral determiner 120 during user interaction with at least one group of graphical interface elements 115 of application 110 that are used to interact with remote banking server 150. The collected data is transmitted by means of 120 to means 160. When this purpose of interaction with the remote banking server 150 is to carry out a transaction involving the remote server 150 (for example, in relation to the user's financial resources itelnogo device 100). Moreover, for each group of elements of the graphical interface 115, a separate set of data on user behavior is collected. In this case, the data on user behavior is information that is obtained using at least input devices of computing device 100.

В частном случае реализации изобретения дополнительно собирают при помощи средства обеспечения безопасности 130 информацию о том, какие приложения вычислительного устройства 100 осуществляют доступ к данным о поведении пользователя при взаимодействии пользователя с каждой группой элементов графического интерфейса 115 приложения 110 для взаимодействия с удаленным банковским сервером 150, для которой на этапе 301 собирают данные о поведении пользователя.In the particular case of implementing the invention, information is additionally collected using security tool 130 about which applications of computing device 100 access user behavior data when a user interacts with each group of graphical interface elements 115 of application 110 for interacting with remote banking server 150, for which, at step 301, user behavior data is collected.

На этапе 302 вычисляют при помощи средства классификации поведения 160 коэффициент аномальности поведения пользователя для каждой группы элементов графического интерфейса, данные о поведении пользователя во время взаимодействия с которой были собраны на этапе 301. При этом коэффициент аномальности поведения пользователя представляет собой численное значение, чем больше которое, тем менее характерно поведение, данные о котором были собраны на этапе 301, упомянутому пользователю. При этом при вычислении коэффициента аномальности используется наивный байесовский классификатор, применяемый к данным о поведении пользователя во время взаимодействия с группой элементов графического интерфейса. Вычисленные коэффициенты аномальности поведения пользователя передаются средством 160 средству 170.At step 302, a behavior behavior anomaly coefficient for each group of graphical user interface elements is calculated using behavior classification means 160, user behavior data during interaction with which was collected at step 301. Moreover, the behavior behavior anomaly coefficient is a numerical value, the larger which , the behavior which data was collected at step 301 mentioned to the user is less characteristic. In this case, when calculating the anomaly coefficient, a naive Bayesian classifier is used, which is applied to data on user behavior during interaction with a group of graphical interface elements. The calculated coefficients of anomalous behavior of the user are transmitted by means 160 to means 170.

На этапе 303 обнаруживают при помощи средства принятия решения 170 мошенническую активность при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150, если комбинация коэффициентов аномальности поведения пользователя, вычисленных на этапе 302, превышает установленное пороговое значение. При этом при вычислении комбинации коэффициентов аномальности поведения пользователя используется следующая информация, которая хранится в базе данных 165:At step 303, fraudulent activity is detected using the decision tool 170 during the interaction of the user device 100 with the remote banking server 150 if the combination of the user behavior anomaly coefficients calculated at step 302 exceeds a predetermined threshold value. In this case, when calculating the combination of the coefficients of the anomalous behavior of the user, the following information is used, which is stored in the database 165:

• для группы элементов графического интерфейса - число обращений пользователей к отдельной группе элементов графического интерфейса;• for a group of graphical interface elements - the number of user calls to a separate group of graphical interface elements;

• для группы элементов графического интерфейса - количество групп элементов графического интерфейса, при взаимодействии с которыми пользователь может получить доступ к упомянутой группе элементов графического интерфейса;• for a group of graphical interface elements - the number of groups of graphical interface elements, with which the user can access the said group of graphical interface elements;

• для группы элементов графического интерфейса - количество элементарных действий пользователя, необходимых для осуществления транзакции с использованием удаленного банковского сервера, при условии взаимодействия пользователя с упомянутой группой элементов графического интерфейса;• for a group of graphical interface elements — the number of elementary user actions required to complete a transaction using a remote banking server, provided that the user interacts with the said group of graphical interface elements;

• количество известных случаев мошеннической активности, осуществляемой от лица пользователя за установленный промежуток времени.• the number of known cases of fraudulent activity carried out on behalf of the user for a specified period of time.

При этом под элементарным действием понимают по меньшей мере: перемещение указателя мыши, нажатие клавиши устройства ввода, движение пальца человека или стилуса по экрану вычислительного устройства 100 без отрыва от поверхности экрана, прикосновение пальца человека или стилуса к экрану вычислительного устройства 100. При этом под мошеннической активностью понимают взаимодействие с удаленным банковским сервером 150, осуществляемое с использованием устройства 100 пользователя или учетной записи для осуществления упомянутого взаимодействия, принадлежащей пользователю, и без ведома пользователя. При этом информация о заведомо известных случаях мошеннической активности хранится в базе данных 165 на удаленном банковском сервере 150.At the same time, elementary action is understood as at least: moving the mouse pointer, pressing a key of an input device, moving a finger of a person or stylus on the screen of computing device 100 without detaching from the surface of the screen, touching a finger of a person or stylus on the screen of computing device 100. At the same time, it’s fraudulent activity understand the interaction with the remote banking server 150, carried out using the device 100 of the user or account to carry out the said interaction Owned by the user, without the user's knowledge. Moreover, information about known cases of fraudulent activity is stored in a database 165 on a remote banking server 150.

На этапе 304 блокируют при помощи средства принятия решения 170 взаимодействие пользователя (которое пользователь осуществляет посредством вычислительного устройства 100) с удаленным банковским сервером 150, если была обнаружена мошенническая активность при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150 на этапе 303.In step 304, the user interaction (which the user performs through the computing device 100) with the remote banking server 150 is blocked by the decision tool 170 if fraudulent activity was detected in the interaction of the user device 100 with the remote banking server 150 in step 303.

В еще одном частном случае реализации изобретения дополнительно признают при помощи средства обеспечения безопасности 130 приложение на вычислительном устройстве 100 вредоносным, если была обнаружена мошенническая активность на этапе 303 при взаимодействии устройства 100 пользователя с удаленным банковским сервером 150, и упомянутое приложение осуществляло доступ к данным о поведении пользователя при взаимодействии пользователя с по меньшей мере одной группой элементов графического интерфейса 115 приложения 110 для взаимодействия с удаленным банковским сервером 150, для которой были собраны данные о поведении пользователя.In another particular embodiment of the invention, the application on the computing device 100 is additionally recognized as malicious if a fraudulent activity was detected at step 303 when the user device 100 interacted with the remote banking server 150 and the application accessed behavior data the user when the user interacts with at least one group of graphical interface elements 115 of the application 110 to interact with the remote the second banking server 150 for which user behavior data has been collected.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 4 is an example of a general purpose computer system, a personal computer or server 20 comprising a central processor 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processor 21. The system bus 23 is implemented as any prior art bus structure comprising, in turn, a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26, contains basic procedures that ensure the transfer of information between the elements of the personal computer 20, for example, at the time of loading the operating ROM systems 24.

Персональный компьютер 20, в свою очередь, содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29, and an optical drive 30 for reading and writing to removable optical disks 31, such as a CD-ROM , DVD-ROM and other optical storage media. The hard disk 27, the magnetic disk drive 28, the optical drive 30 are connected to the system bus 23 through the interface of the hard disk 32, the interface of the magnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29, and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который, в свою очередь, подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36 where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38, and program data 39. The user is able to enter commands and information into personal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to the computer system 20 via a serial port 46, which, in turn, is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB) . A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer can be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. .

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment, using a network connection with another or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature the personal computer 20 of FIG. 4. Other devices, such as routers, network stations, peer-to-peer devices, or other network nodes may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, the personal computer 20 is connected to the local area network 50 via a network adapter or network interface 51. When using the networks, the personal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via the serial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims.

Claims (19)

1. Способ обнаружения вредоносного приложения на устройстве пользователя при взаимодействии вычислительного устройства пользователя с удаленным банковским сервером, в котором:1. A method for detecting a malicious application on a user’s device when a user’s computing device interacts with a remote banking server, in which: собирают при помощи средства определения поведения данные о поведении пользователя во время взаимодействия пользователя с по меньшей мере одной группой элементов графического интерфейса приложения, которые используются для взаимодействия с удаленным банковским сервером; using a means of determining behavior, collect data on user behavior during user interaction with at least one group of application GUI elements that are used to interact with a remote banking server; при этом целью взаимодействия с удаленным банковским сервером является осуществление транзакции с участием удаленного банковского сервера;while the purpose of interaction with a remote banking server is to carry out a transaction involving a remote banking server; при этом данными о поведении пользователя является информация, которую получают при помощи по меньшей мере устройств ввода вычислительного устройства;however, data on user behavior is information that is obtained using at least input devices of a computing device; собирают при помощи средства обеспечения безопасности информацию о том, какие приложения вычислительного устройства осуществляют доступ к данным о поведении пользователя при взаимодействии пользователя с каждой группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером, для которой на этапе ранее собирают данные о поведении пользователя; using security tools, collect information about which applications of the computing device access data about user behavior during user interaction with each group of graphical interface elements for interaction with a remote banking server, for which user behavior data was previously collected; вычисляют при помощи средства классификации поведения коэффициент аномальности поведения пользователя для каждой группы элементов графического интерфейса, данные о поведении пользователя во время взаимодействия с которой были собраны на этапе ранее; calculate, using the means of classifying behavior, the coefficient of anomalous behavior of the user for each group of elements of the graphical interface, data on the behavior of the user during interaction with which were collected at the stage earlier; при этом коэффициент аномальности поведения пользователя представляет собой численное значение, чем больше которое, тем менее характерно поведение, данные о котором были собраны на этапе ранее, упомянутому пользователю;the coefficient of anomalous behavior of the user is a numerical value, the larger it is, the less characteristic is the behavior, data about which was collected at the stage previously mentioned to the user; обнаруживают при помощи средства принятия решения мошенническую активность при взаимодействии устройства пользователя с удаленным банковским сервером, если комбинация коэффициентов аномальности поведения пользователя, вычисленных на этапе ранее, превышает установленное пороговое значение;detect fraudulent activity using the decision-making tool when the user device interacts with the remote banking server if the combination of user behavior anomaly coefficients calculated at the stage earlier exceeds the set threshold value; при этом при вычислении комбинации коэффициентов аномальности поведения пользователя используется следующая информация:in this case, when calculating the combination of coefficients of anomalous behavior of the user, the following information is used: для группы элементов графического интерфейса:for a group of GUI elements: число обращений пользователей к группе элементов графического интерфейса;the number of user calls to a group of graphical interface elements; количество групп элементов графического интерфейса, при взаимодействии с которыми пользователь может получить доступ к упомянутой группе элементов графического интерфейса;the number of groups of graphical interface elements, with which the user can access the said group of graphical interface elements; количество элементарных действий пользователя, необходимых для осуществления транзакции с участием удаленного банковского сервера, при условии взаимодействия пользователя с упомянутой группой элементов графического интерфейса;the number of elementary user actions required to complete a transaction involving a remote banking server, provided that the user interacts with the mentioned group of graphical interface elements; количество заведомо известных случаев мошеннической активности, осуществляемой от лица пользователя за установленный промежуток времени; the number of known cases of fraudulent activity carried out on behalf of the user for a specified period of time; при этом под элементарным действием понимают по меньшей мере: перемещение указателя мыши, нажатие клавиши устройства ввода, движение пальца человека или стилуса по экрану вычислительного устройства без отрыва от поверхности экрана, прикосновение пальца человека или стилуса к экрану вычислительного устройства;at the same time, elementary action is understood as at least: moving the mouse pointer, pressing a key of an input device, moving a finger of a person or stylus on the screen of a computing device without detaching from the surface of the screen, touching a finger of a person or stylus on the screen of a computing device; при этом под мошеннической активностью понимают взаимодействие с удаленным банковским сервером, осуществляемое с использованием устройства пользователя или учетной записи для осуществления упомянутого взаимодействия, принадлежащей пользователю, и без ведома пользователя;while fraudulent activity is understood as interaction with a remote banking server, carried out using a user device or account to carry out the said interaction, owned by the user, and without the knowledge of the user; при этом информация о заведомо известных случаях мошеннической активности хранится в базе данных на удаленном банковском сервере;at the same time, information about known cases of fraudulent activity is stored in a database on a remote banking server; признают при помощи средства обеспечения безопасности приложение на вычислительном устройстве вредоносным, если на этапе ранее была обнаружена мошенническая активность при взаимодействии пользователя с удаленным банковским сервером, и упомянутое приложение осуществляло доступ к данным о поведении пользователя при взаимодействии пользователя с по меньшей мере одной группой элементов графического интерфейса для взаимодействия с удаленным банковским сервером, для которой были собраны данные о поведении пользователя.using a security tool, an application on a computing device is recognized to be malicious if fraudulent activity was detected at the stage when a user interacted with a remote banking server, and the said application accessed data on user behavior when a user interacted with at least one group of graphical interface elements to interact with a remote banking server for which user behavior data was collected. 2. Способ по п. 1, в котором при вычислении коэффициента аномальности используется наивный байесовский классификатор, применяемый к данным о поведении пользователя во время взаимодействия с группой элементов графического интерфейса.2. The method according to p. 1, in which when calculating the anomaly coefficient, a naive Bayesian classifier is used, which is applied to data on user behavior during interaction with a group of graphical interface elements.
RU2016105565A 2016-02-18 2016-02-18 Method of detecting harmful application on user device RU2617924C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2016105565A RU2617924C1 (en) 2016-02-18 2016-02-18 Method of detecting harmful application on user device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2016105565A RU2617924C1 (en) 2016-02-18 2016-02-18 Method of detecting harmful application on user device

Publications (1)

Publication Number Publication Date
RU2617924C1 true RU2617924C1 (en) 2017-04-28

Family

ID=58697555

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2016105565A RU2617924C1 (en) 2016-02-18 2016-02-18 Method of detecting harmful application on user device

Country Status (1)

Country Link
RU (1) RU2617924C1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2670030C2 (en) * 2017-04-05 2018-10-17 Общество С Ограниченной Ответственностью "Яндекс" Methods and systems for determining non-standard user activity
RU2764873C1 (en) * 2020-12-01 2022-01-21 Акционерное общество "Концерн "Созвездие" Method for detecting abnormalities in information and communication systems

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0296256A1 (en) * 1987-06-22 1988-12-28 WEDA-Dammann & Westerkamp GmbH Method and device for the automatic identification of animals
WO2012087685A1 (en) * 2010-12-23 2012-06-28 Intel Corporation Signature-independent, system behavior-based malware detection
RU130429U1 (en) * 2013-04-01 2013-07-20 Общество с ограниченной ответственностью "Инновационно-производственный центр "Нейтральные компьютерные системы" TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL
US20130198840A1 (en) * 2012-01-31 2013-08-01 International Business Machines Corporation Systems, methods and computer programs providing impact mitigation of cyber-security failures
US20160012227A1 (en) * 2006-04-06 2016-01-14 Pulse Secure Llc Malware detection system and method for compressed data on mobile platforms

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0296256A1 (en) * 1987-06-22 1988-12-28 WEDA-Dammann & Westerkamp GmbH Method and device for the automatic identification of animals
US20160012227A1 (en) * 2006-04-06 2016-01-14 Pulse Secure Llc Malware detection system and method for compressed data on mobile platforms
WO2012087685A1 (en) * 2010-12-23 2012-06-28 Intel Corporation Signature-independent, system behavior-based malware detection
US20130198840A1 (en) * 2012-01-31 2013-08-01 International Business Machines Corporation Systems, methods and computer programs providing impact mitigation of cyber-security failures
RU130429U1 (en) * 2013-04-01 2013-07-20 Общество с ограниченной ответственностью "Инновационно-производственный центр "Нейтральные компьютерные системы" TERMINAL AND PROTECTED COMPUTER SYSTEM INCLUDING TERMINAL

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2670030C2 (en) * 2017-04-05 2018-10-17 Общество С Ограниченной Ответственностью "Яндекс" Methods and systems for determining non-standard user activity
RU2764873C1 (en) * 2020-12-01 2022-01-21 Акционерное общество "Концерн "Созвездие" Method for detecting abnormalities in information and communication systems

Similar Documents

Publication Publication Date Title
RU2626337C1 (en) Method of detecting fraudulent activity on user device
US11877152B2 (en) Method, device, and system of differentiating between a cyber-attacker and a legitimate user
US11483324B2 (en) Detection of malicious activity using behavior data
Shukla et al. Beware, your hands reveal your secrets!
Li et al. Unobservable re-authentication for smartphones.
Murmuria et al. Continuous authentication on mobile devices using power consumption, touch gestures and physical movement of users
Damopoulos et al. From keyloggers to touchloggers: Take the rough with the smooth
US11537693B2 (en) Keyboard and mouse based behavioral biometrics to enhance password-based login authentication using machine learning model
US20150205957A1 (en) Method, device, and system of differentiating between a legitimate user and a cyber-attacker
US20180033010A1 (en) System and method of identifying suspicious user behavior in a user's interaction with various banking services
US20120204257A1 (en) Detecting fraud using touchscreen interaction behavior
RU2767710C2 (en) System and method for detecting remote control by remote administration tool using signatures
Rayani et al. Continuous user authentication on smartphone via behavioral biometrics: a survey
Wang et al. Personal PIN leakage from wearable devices
Mahadi et al. A survey of machine learning techniques for behavioral-based biometric user authentication
Creutzburg The strange world of keyloggers-an overview, Part I
Avdić Use of biometrics in mobile banking security: case study of Croatian banks
RU2617924C1 (en) Method of detecting harmful application on user device
Pramila et al. A survey on adaptive authentication using machine learning techniques
Jancok et al. Security aspects of behavioral biometrics for strong user authentication
Sbai et al. A survey of keylogger and screenlogger attacks in the banking sector and countermeasures to them
Tang et al. Niffler: A Context‐Aware and User‐Independent Side‐Channel Attack System for Password Inference
Jiang et al. Smartphone user authentication using touch dynamics in the big data era: Challenges and opportunities
RU2758359C1 (en) System and method for detecting mass fraudulent activities in the interaction of users with banking services
EP3208759B1 (en) System and method of detecting fraudulent user transactions