CN109074436A - 在授权系统的存储器中授权规则的循环 - Google Patents
在授权系统的存储器中授权规则的循环 Download PDFInfo
- Publication number
- CN109074436A CN109074436A CN201780024433.2A CN201780024433A CN109074436A CN 109074436 A CN109074436 A CN 109074436A CN 201780024433 A CN201780024433 A CN 201780024433A CN 109074436 A CN109074436 A CN 109074436A
- Authority
- CN
- China
- Prior art keywords
- authorization
- rule
- mode
- requests
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明的实施方案大体上涉及用于操作授权规则的系统和方法。授权规则具有可以由授权请求满足的条件。在时间间隔上,使规则在第一模式和第二模式之间循环,在所述时间间隔中,接收第一授权请求集。第一授权请求集的第一子集可以不被拒绝。在第一时间间隔之后,可通过独立过程验证不被拒绝的授权请求。基于满足规则的条件的且有效的那部分授权请求确定规则的准确率。
Description
背景技术
本申请是2016年4月19日提交的第15/133,134号美国临时申请的国际申请并要求其提交日的权益,该临时申请的全部内容以引用方式并入本文以用于所有目的。
可响应于授权请求而准予对资源的访问。然而,一些授权请求可能是欺诈性的。可使用一个或多个授权规则基于是否满足所述授权规则的条件而拒绝授权请求。例如,如果授权请求的参数满足授权规则中的至少一个的条件,那么可拒绝所述授权请求。可基于代表性训练样本选择每个授权规则的条件,所述代表性训练样本包括欺诈或无效授权请求的已知模式或实例。因此,可对照授权规则检查授权请求,以便拒绝欺诈性的请求访问资源。
需要确保授权规则不变得过时或不准确。还需要确定哪些授权规则相比其它授权规则具有更高的准确度。本发明的实施方案解决了这些和其他问题。
发明内容
本发明的实施方案大体上涉及用于授权规则的循环的方法和系统。
本发明的一个实施方案提供包括处理器电路的授权计算机。所述授权计算机还包括:耦合到所述处理器电路的存储器;以及非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质耦合到所述处理器电路并存储能够由所述处理器电路执行以执行操作授权规则的方法的代码。所述方法包括将包括第一规则的多个授权规则加载到存储器中。所述多个授权规则中的每个授权规则被分配给第一模式或第二模式。所述授权规则在被分配给第一模式时可用于拒绝满足其条件的授权请求。每个授权规则在被分配给第二模式时可不用于拒绝授权请求。所述方法还包括在时间间隔上使所述第一规则在所述第一模式和所述第二模式之间循环。所述方法还包括在所述时间间隔的第一时段期间接收第一授权请求集,所述第一规则在所述第一时段期间被分配给所述第二模式。所述方法还包括确定满足所述第一规则的条件的第一授权请求集的第一子集。所述方法还包括在所述第一时间间隔之后,通过独立过程确认所述第一子集中哪些授权请求是有效的。所述方法还包括基于所述第一子集中有效的那部分授权请求确定所述第一规则的第一准确率。
本发明的另一实施方案提供一种用于操作授权规则的方法。所述方法包括将包括第一规则的多个授权规则加载到存储器电路中。所述多个授权规则中的每个授权规则被分配给第一模式或第二模式。每个授权规则在被分配给第一模式时可用于拒绝满足其条件的授权请求。每个授权规则在被分配给第二模式时可不用于拒绝授权请求。所述方法还包括在时间间隔上使所述第一规则在所述第一模式和所述第二模式之间循环。所述方法还包括在所述时间间隔的第一时段期间,接收第一授权请求集。所述第一规则在所述第一时段期间被分配给所述第二模式。所述方法还包括确定满足所述第一规则的条件的第一授权请求集的第一子集。所述方法还包括在所述第一时间间隔之后,通过独立过程确认所述第一子集中哪些授权请求是有效的。所述方法还包括基于所述第一子集中有效的那部分授权请求确定所述第一规则的第一准确率。
关于本发明的实施方案的其他细节可见于具体实施方式和附图。
附图说明
图1是根据本发明的实施方案用户请求访问资源的高级框图。
图2是示出根据本发明的实施方案授权规则的不同操作模式的表。
图3是示出根据本发明的实施方案基于授权规则的操作模式分析授权规则的表。
图4是示出根据本发明的实施方案授权规则和备用授权规则的操作的表。
图5是示出根据本发明的实施方案操作各组授权规则的表。
图6是可以用来实施本发明的实施方案的示范性授权系统的部件的框图。
图7是用于操作授权规则的方法的流程图。
术语
在讨论本发明的一些实施方案之前,对一些术语的描述可有助于理解本发明的实施方案。
术语“授权请求”通常指访问资源的请求。授权请求可以从请求计算机(例如资源的可能使用者)接收。授权请求可包括授权请求参数,例如授权请求标识符、时间、日期、请求计算机标识符、账户标识符、账户凭证、地理位置、生物测量信息或任何其它适合的信息。
术语“资源”通常指可以使用或消耗的任何资产。例如,资源可以是计算机资源(例如存储的数据或联网计算机账户)、物理资源(例如有形对象或物理位置)或其它电子资源或计算机之间的通信(例如与用于执行交易的账户对应的通信信号)。
术语“授权规则”可包括用来基于特定标准确定授权请求的授权规则结果的任何过程或定义。在一些实施方案中,规则可包括规则条件和规则结果。“规则条件”可以规定描述对规则确定结果的所根据情况的逻辑表达。例如,授权请求可以具有账户标识符参数和地理位置参数,授权规则可以具有如果授权请求中的地理位置距离存储在授权服务器的数据库中的存储的账户的地理位置超过10英尺而满足(即授权规则被“触发”)的条件。用于此授权请求的实例授权规则结果可以是“拒绝”。授权服务器可以拒绝授权请求,原因是至少授权规则的结果是“拒绝”。在另一实例中,授权请求可包括作为参数的生物测量信息,授权规则可以具有在授权请求中的生物测量信息与存储在授权服务器的数据库中的生物测量数据不一致时满足的条件。
对于授权请求的“授权规则结果”可以表示由该规则基于规则的条件和授权请求的参数确定的结果。然而,与交易关联的授权规则结果不一定可以确定授权请求的结果(例如,访问资源是否被准予或拒绝)。在一些实施方案中,如果任何一个授权规则的结果为“拒绝”,则授权服务器可拒绝授权请求。
术语“授权请求结果”可包括是否准予访问资源的任何确定。授权请求结果可包括“接受”、“拒绝”或“审查”。“接受”结果可指示请求计算机可以被准予访问资源。“拒绝”结果可指示请求计算机可能被拒绝访问资源。“审查”结果可指示根据独立审查过程,请求计算机可被准予访问资源。在各种实施方案中,可以使用其它结果或这些结果的其它含义。
术语“预防模式”大体上指操作授权规则的一种模式,其中,授权服务器可以拒绝满足授权规则的一个或多个条件的授权请求。可以使用被分配给预防模式的授权规则阻止欺诈性访问资源。
术语“监视模式”大体上指操作授权规则的一种模式,其中,授权服务器可以不拒绝满足授权规则的一个或多个条件的授权请求。可使用监视模式基于独立验证过程评估授权规则的准确度和性能。
术语“独立过程”大体上指用于检验或验证与授权规则的操作无关的授权请求的过程。例如,如果资源是建筑物,则独立过程可包括审查安全相机的镜头,确定未授权个人是否进入该建筑物。如果资源是计算机账户,则独立过程可基于来自计算机账户的管理员的通知识别授权请求为无效的。在另一实例中,如果资源是用于执行交易的账户,则独立过程可包括确定交易是否逆转(例如对于支付交易进行退单)的确定。
术语“触发频率”是一个度量,其大体上指满足特定的授权规则的一个或多个条件(即授权规则被“触发”)的授权请求的数目。在一个实例中,授权规则的条件被1000个授权请求中的10个授权请求满足。在此实例中,该授权规则的触发频率为10,相对触发频率为授权请求的总数的1%。
术语“真正欺诈尝试率”指所接收的欺诈性授权请求的真实数目,包括即被拒绝又被接受的授权请求。真正欺诈尝试率可基于已经由独立过程确定为无效的所接受授权请求的百分比来确定。
“授权规则组”可包括授权规则的分组,其中,组中的每个规则被分配给相同的操作模式。例如,一组中的每个授权规则可以被分配给预防模式。在另一实例中,一组中的每个授权规则可以被分配给监视模式。
术语“服务器计算机”可以包括功能强大的计算机或计算机集群。例如,服务器计算机可以是大型主机、小型计算机集群或像单元一样工作的一组服务器。在一个实例中,服务器计算机可以是耦合到网络服务器的数据库服务器。服务器计算机可以耦合到数据库并且可以包括用于服务于来自一个或多个客户端计算机的请求的任何硬件、软件、其他逻辑、或前述内容的组合。服务器计算机可以包括一个或多个计算装置并且可以使用各种计算结构、布置和编译中的任何计算结构、布置和编译来服务于来自一个或多个客户端计算机的请求。
如本发明中所使用,术语“提供”可包括发送、传输、在网页上可用、用于下载、通过应用、显示或渲染或任何其它适合的方法。在本发明的各个实施方案中,规则简档、规则结果频率和规则结果的设置频率可以任何适合的方式提供。
具体实施方式
资源可受保护以防止未经授权的用户对其访问。资源的预期用户可通过在授权请求中提供授权信息而请求访问资源。举例来说,用户可呈现密钥或输入密码以便访问锁闭的建筑物、输入密码以访问受保护的计算机账户或文件,或输入个人标识号码以在支付账户上进行交易。然而,一些授权请求可包含实际具有欺诈性的有效授权信息。举例来说,未经资源的所有者授权使用资源的用户可能呈现经授权用户的授权信息以便获得对资源的访问。为防止对资源的欺诈性的访问,授权服务器可考虑授权请求的特定参数以查看其是否与欺诈活动的已知例项匹配。
可使用规则确定给定认证请求是否将被认为是有效的。但是,在使用预防欺诈的规则测试规则的假阳性(false positive)是有问题的。实施方案涉及用于改变在存储器中加载的规则的模式的计算机技术,使得可检查规则的假阳性,以及允许认证系统操作来预防欺诈。
I.授权框图
在下面参照图1进一步描述请求对资源的访问的过程。
图1是根据本发明的实施方案用户101请求访问资源102的高级框图100。资源102可以是物理建筑物、计算机账户或文件或支付账户。用户101可直接或通过使用用户设备105(例如,移动设备或计算机)访问资源。对资源的访问可由资源计算机103准予或拒绝。资源计算机103可包括资源102,或资源102可与资源计算机103分离。举例来说,在资源102是对建筑物的访问的情况下,资源计算机103可集成到建筑物或建筑物的门中,且资源计算机103可通过解锁所述门而准予用户101访问资源102。在另一实例中,资源102是计算机账户或文件,资源计算机103包括计算机账户或文件(即,资源),且资源计算机103可准予访问用户101的用户设备105。
资源计算机103可基于授权服务器107的确定而准予访问用户101或用户设备105。用户101可通过将授权信息输入到请求计算机104的访问设备106中来请求对资源102的访问。访问设备106可集成到请求计算机104中,或者可以是分开的设备。访问可以是用于接收对应的授权信息的任何输入设备。例如,小键盘可以接收个人标识号码,键盘可接收口令或密码,指纹读取器可接收用户101的指纹的扫描,视网膜扫描器可接收用户101的眼睛的扫描,或者生物测量读取器可接收用户101的生物测量信息。用户101还可以使用用户设备105输入授权信息。用户设备105和访问设备106也可以相互传送数据(例如指示用户的输入的数据)。
用户设备105或访问设备106可以将用于授权请求的多个参数发送至请求计算机104,所述参数包括授权信息。用户设备105和访问设备106可以耦合到请求计算机104或者可以通过网络109互连。参数可包括:授权信息,用户101或用户设备105的凭证,请求的时间,请求的日期,用户101、用户设备105、访问设备105、资源102和资源计算机103中一个的标识符,或者用户101、用户设备105、访问设备105、资源102和资源计算机103中的一个的地理位置。
请求计算机104可从用户设备105和访问设备105接收请求参数,且基于所接收的请求参数生成授权请求。请求计算机可将授权请求发送到授权服务器107。请求计算机104可耦合到授权服务器107,或其可经由网络108连接到授权服务器。授权服务器107还可耦合到资源计算机103,或其可经由网络108连接到资源计算机103。
如下文进一步描述,授权服务器107可包括可用于确定授权请求是否有效的多个授权规则。授权规则具有可以与授权请求的参数比较的多个条件。如果授权请求的参数满足一个或多个授权规则的一个或多个条件,那么授权服务器可确定应拒绝授权请求(例如,拒绝用户101访问资源102)。授权服务器107可将授权响应发送到请求计算机104,所述授权响应包含指示拒绝还是接受了授权请求的结果指示。授权响应还可指示请求计算机应审查授权请求(例如,请求来自用户101或用户设备105的额外信息)。授权服务器107还可将授权响应发送到资源计算机103。
请求计算机104可将授权响应发送至资源计算机103。请求计算机可耦合到资源计算机,或其可经由网络109连接到授权服务器。资源计算机可基于授权响应而准予或拒绝访问资源102。举例来说,资源计算机可解锁建筑物的门,或其可准予对计算机账户或文件的许可,或其可授权相对于支付账户的交易。
由授权服务器107使用的授权规则可拒绝欺诈性的授权请求。然而,授权规则也可能不经意地拒绝来自用户101或用户设备105的实际有效的授权请求(例如,用户101或用户设备105已经由资源102的拥有者授权)。随时间推移,如果欺诈活动的模式已经改变,则授权规则在识别真正欺诈性授权请求时可能变得不太准确。为了优化授权规则的准确度,授权服务器107可以评估授权规则的性能并修改授权规则的条件,或者基于其性能取代授权规则,这在下面进一步描述。
II.授权规则
如本发明中所描述,授权服务器计算机(“授权服务器”)可存储指示被授权访问特定资源的特定账户的账户信息。请求计算机(例如由资源的用户访问资源使用的计算机)可以将包括账户标识符的授权请求发送至授权服务器计算机以请求访问资源。例如,资源可以是计算机资源(例如存储的数据或联网计算机账户)、物理资源(例如有形对象或物理位置)或交易资源(例如用于执行交易的账户)。授权服务器可基于账户指示符和存储的账户信息确定是否准予请求计算机访问资源。
授权服务器可包括处理器电路和耦合到处理器电路的存储器电路。授权服务器还可包括耦合到处理器电路的非暂时性计算机可读存储介质。存储介质可以存储可由处理器电路执行,以实施本发明中描述的操作授权规则的方法的代码。
然而,一些授权请求可能是欺诈性的。例如,不被授权访问资源的请求计算机可以发送授权请求,指示被授权访问资源的账户。因此,授权服务器可以比对一个或多个授权规则检查授权请求的参数(例如,授权信息、凭证、请求计算机的位置或接收授权请求的时间)以便防止欺诈性访问资源。如果授权请求的参数满足授权规则的一个或多个条件,则可以使用一个或多个授权规则拒绝授权请求。例如,如果凭证与账户标识符不匹配,如果请求计算机的位置与特定位置不匹配,或者如果在特定时间接收授权请求,则授权规则可拒绝授权请求。
可基于代表性训练样本选择每个授权规则的条件,所述代表性训练样本包括欺诈或无效授权请求的已知实例或模式。可通过独立过程确定欺诈性授权请求的这种实例或模式。例如,如果资源是建筑物,则独立过程可包括审查安全相机的镜头。在另一实例中,如果资源是用于执行交易的账户,则独立过程可包括由账户的拥有者确定是否返回或逆转交易。
可以在“预防”模式操作授权规则。尽管在预防模式操作,但可使用授权规则拒绝满足授权规则的一个或多个条件的授权请求。因此,可以使用授权规则拒绝可能是欺诈性的授权请求。尽管授权规则是预防欺诈性访问资源的有效方式,但其也可能不经意地拒绝实际上是有效的授权请求。而且,随时间推移,授权规则在识别真正欺诈性授权请求时可能变得不太准确。例如,欺诈模式可能已经变化,授权规则的条件可能基于过时的模式。
授权服务器可以评估授权规则以确定每个授权规则的准确度。授权规则的准确度可以基于假阳性率(针对被拒绝的每一无效授权请求的被拒绝的有效授权请求的数目)。授权规则的准确度还可以基于假阳性率(不被接受的有效授权请求的百分比)。
然而,当授权请求被拒绝时,独立过程不可能确定授权请求是否是真正有效的,原因是不准予访问资源。例如,审查安全相机镜头不可能识别建筑物中的授权个人,原因是该人被拒绝进入建筑物。在另一实例中,如果交易因为被拒绝而没有进行,则不可以逆转或返回欺诈性交易。
因此,为了评估授权规则,对特定的时段,授权服务器可以分配特定的授权规则在“监视”模式而不是预防模式操作。授权服务器可以确定授权请求是否满足被分配给监视模式的授权规则的条件,但授权服务器不可以使用该授权规则拒绝授权请求。实际上,在授权规则处于监视模式时,授权服务器可基于独立过程评估授权规则。在下面更详细地描述授权规则的操作模式。
授权服务器还可以给授权规则分配不同的操作模式。例如,授权服务器也可以给授权规则分配“活动”模式。在授权规则被分配给活动模式时,当授权请求的参数满足授权规则的条件时,授权规则的结果可以为“接受”、“审查”或“拒绝”。因此,可以使用被分配给活动模式的授权规则接受、审查或拒绝授权请求。授权服务器还可以给授权规则分配“不活动”模式。在授权规则被分配给不活动模式时,不可以使用授权规则接受、审查或拒绝授权请求。
授权服务器还可以给授权规则分配任何其它模式。例如,授权服务器可以给授权规则分配第一模式和第二模式,与在第二模式操作相比,授权规则在第一模式不同地操作。第一模式或第二模式可以被分配给本发明中描述的任何模式或者任何其它模式。
III.授权规则的操作模式
授权规则可以具有可以由授权请求的参数满足的一个或多个条件。当满足授权规则的一个或多个条件时,授权服务器可以基于授权规则被授权请求满足,拒绝或接受授权请求。然而,如本发明所描述,评估授权规则的性能并优化授权规则的条件以提高其准确度是有利的。例如,授权规则可在“预防”模式操作,其中,授权服务器使用该规则,拒绝满足该授权规则的条件的授权请求。授权规则还可以在“监视”模式操作,其中,授权服务器不使用该规则拒绝满足该授权规则的条件的授权请求,而是,授权服务器将跟踪条件是否满足,以便在验证授权请求的独立验证过程之后,评估授权规则的性能。
图2是示出根据本发明的实施方案授权规则的不同操作模式的表200。例如,授权规则可以在几种模式中操作。例如,授权规则可以在“预防”模式或“监视”模式操作。如上面描述的,在分配授权规则在预防模式操作时,可以使用授权规则拒绝满足授权规则的一个或多个条件的授权请求,在分配授权规则在监视模式操作时,不可以使用授权规则拒绝满足授权规则的一个或多个条件的授权请求。授权规则还可以在“活动”模式或“不活动”模式操作,正如上面描述的。
授权服务器可以分配授权规则在不同时间在不同的模式操作。例如,授权服务器通常可以分配授权规则在预防模式操作,不过在特定的时段期间也可以分配授权规则在监视模式操作,以便如本发明中描述的评估授权规则。因此,在某时间间隔(例如三十天)上,授权服务器可以使授权规则在第一模式(例如预防模式)和第二模式(例如监视模式)之间循环。在另一实例中,授权服务器通常可以分配授权规则在活动模式操作,不过在特定的时段期间也可以分配授权规则在不活动模式操作,以便评估授权规则。
在图2中,表200示出在三十天的第一时间间隔授权规则的实例操作。表的单元的颜色指示对时间间隔的每一天授权规则被分配的模式。有颜色(灰色)单元指示分配授权规则在预防模式操作。无颜色单元(白色)指示分配授权规则在监视模式操作。如本发明中所描述,在授权规则操作于监视模式时,授权服务器可确定所接收的授权请求是否满足授权规则的条件,不过当授权规则操作于监视模式时,授权服务器不可以拒绝满足授权规则的条件的授权请求。授权规则还可以被分配给其它模式,例如活动模式、不活动模式或另一操作模式。
如图2中所示,在该时间间隔上,授权服务器可以使授权规则的操作模式循环。在三十天时间间隔的第一天201,授权服务器分配授权规则在预防模式操作。在该时间间隔的前八天,分配授权规则在监视模式操作。从该时间间隔的第九天202开始,授权服务器接着分配授权规则在监视模式操作两天。如本发明中所描述,在该时间间隔的第九天和第十天,在授权规则操作于监视模式时,授权服务器可以评估授权规则的性能。
在时间间隔的第十一天203,授权服务器分配授权规则在预防模式操作。授权服务器分配授权规则在预防模式操作三天。在该时间间隔的第十四天204,授权服务器分配授权规则在监视模式操作一天,接着在第十五天205使授权规则循环回预防模式。授权服务器还可以分配授权规则在第二十天206在监视模式操作一天,并从第二十六天207开始在监视模式操作三天。如图2中所示,在该时间间隔的其它天,授权服务器分配授权规则在预防模式操作。
授权服务器也可以使用不同的时间间隔。例如,授权服务器可以使用二十四小时时间间隔,且在该时间间隔的不同的小时、分钟或秒使授权规则循环到不同的模式。授权规则可以根据不同时间间隔的不同模式使授权规则循环。例如,在稍后的时间间隔,在不同的日子(例如,只在第一天、第二天和第三天)授权服务器可以分配授权规则在监视模式操作。在一些实施方案中,授权服务器可根据不为时间间隔的间隔使授权规则循环。例如,在已经接收特定数目的授权请求之后,授权服务器可以选择使授权规则在各模式之间循环的新模式。授权服务器还可以基于在时间间隔内预先确定的时间量使授权规则在预防模式和监视模式之间循环。授权服务器还可以基于已在时间间隔内接收的授权请求的预先确定的数目,使授权规则在预防模式和监视模式之间循环。
授权服务器还可以在时间间隔上使授权规则在不同的操作模式之间循环。例如,授权服务器可以在时间间隔上使授权规则在活动模式和不活动模式之间循环。授权服务器还可以使授权规则在超过两个操作模式之间循环。例如,授权服务器可以使授权规则在具有不同操作模式的第一模式、第二模式、第三模式和第四模式之间循环。
IV.授权规则的评估
可以评估授权规则以确定其性能。如果可以确定授权规则的性能,则可以修改授权规则的条件以便提高其性能。例如,授权规则的评估可以确定授权规则相比其它授权规则具有大的触发频率(例如,授权规则被更频繁地触发),授权规则较其它授权规则不那么准确(例如,授权规则具有较高的假阳性率)。授权服务器可以基于由独立验证过程确定的真阳性的实例,修改规则的条件以降低规则的触发频率。在下面进一步描述通过关于不同的授权请求和不同的操作模式分析授权规则的结果,来评估授权规则。
图3是示出根据本发明的实施方案基于授权规则的操作模式分析授权规则的表300。如本发明中所描述,当授权请求的参数满足在预防模式操作的授权规则的一个或多个条件时,授权服务器可以拒绝授权请求。然而,当授权规则操作于监视模式时,授权服务器不可以拒绝满足授权规则的条件的授权请求。因此,授权服务器可以通过将满足授权规则的条件但当授权规则操作于监视模式时不拒绝的授权请求的实例与来自独立过程的验证信息进行比较,从而评估授权规则的准确度。
例如,当授权规则操作于预防模式时,第一授权请求301、第二授权请求302、第三授权请求303和第四授权请求304可以由授权服务器接收。当授权规则不操作于预防模式时(例如,授权规则操作于监视模式),第五授权请求305、第六授权请求306、第七授权请求307和第八授权请求308可以由授权服务器接收。如图3中所示,当授权规则操作于预防模式时,如果授权请求满足授权规则的条件,则授权服务器可以拒绝授权请求。但当授权规则不操作于预防模式时,不管授权请求是否满足授权规则的条件,授权服务器都不可以拒绝授权请求。
授权服务器可以基于独立过程评估授权规则的准确度(例如假阳性率)。例如,如果所请求的资源是建筑物,则独立过程可包括审查安全相机镜头。在另一实例中,如果所请求的资源是用于执行交易的账户,则独立过程可包括由账户的拥有者确定交易是否被返回或逆转。独立过程可在评估授权规则的时间间隔之后执行。
如图3中所示,在授权规则操作于预防模式时,第一授权请求301和第二授权请求302被拒绝。因此,独立过程可能不可能确定授权请求是否是真正有效的,原因是不准予对资源的访问。因此,由于第一授权请求301和第二授权请求302被拒绝,所以其有效性可能是未知的。然而,独立过程可确定其它授权请求303-308的有效性,原因是这些请求没有被拒绝。
第五授权请求305满足授权规则的条件。因此,如果授权规则在预防模式操作,则第五授权请求305会被授权服务器拒绝。然而,第五授权请求305曾是有效的(例如,其不是欺诈性的),有效性曾被独立过程确认(例如,在特定的时段之后独立过程确定没有无效性指示)。授权规则的结果中的此不正确的结果通常可以称作假阳性。规则的条件可以被修改,使得授权规则的条件不满足第五授权请求305的参数,原因是第五授权请求305是有效的授权请求。
第六授权请求306也满足授权规则的条件。因此,如果授权规则在预防模式操作,则第六授权请求306会被授权服务器拒绝。实际上,第六授权请求306曾是无效的(例如,其是欺诈性的),无效性曾被独立过程确认(例如,在特定的时段之后独立过程确定无效性指示)。授权规则的结果中的此正确的结果通常可以称作真阳性。
当授权规则操作于监视模式和独立过程的结果时,授权服务器可以基于授权规则的结果(例如,基于其条件本会被拒绝或接受)确定授权规则的准确率。例如,授权服务器可以将授权规则的假阳性的数量与真阳性的数量比较,以便确定授权规则的准确率。
授权服务器可以确定满足授权规则的条件的无效授权请求的数目。授权服务器可以将由独立过程确认的无效授权请求的组合总数与所接收的授权请求的总数比较,以便确定“真正欺诈尝试率”(例如,为无效的授权请求的百分比)。如上面描述的,如果授权请求被拒绝,因此不能够由独立过程确认,则授权服务器不能够确定授权规则的准确率或者真正欺诈尝试率。
授权服务器还可以通过将满足规则的一个或多个条件的授权请求的数目与由授权服务器接收的授权请求的总数比较,确定每个授权规则的“触发频率”(例如,触发率)。例如,每个授权规则的相对触发频率可以在0.1%到0.3%之间。然而,授权规则的相对触发频率也可以小于0.1%或大于0.3%。大体上,授权规则的触发频率越大,授权规则可能越不准确(例如其具有更高的假阳性率)。例如,与相对触发频率为1.5%的第二授权规则相比,相对触发频率为0.1%的第一规则通常具有较低的假阳性率。因此,可以修改授权规则(例如由授权服务器),降低授权规则的触发频率以便降低其假阳性率。因此,可以优化授权规则的集合,提高准确度。
真正欺诈尝试率可以与由独立过程识别的无效授权请求的数目比较,以便确定不满足任何授权规则的条件的无效请求的数目。特定的授权规则可以使其条件(例如,规则的条件变得更宽,从而提高规则的触发频率)被修改,以便其条件由本不会被拒绝的这种无效授权请求满足。也可以生成新授权规则来覆盖这种无效的授权请求。授权服务器也可以基于与所接收的授权请求的总数相比满足至少一个授权规则的一个或多个条件的授权请求的数目,确定“总拒绝率”。
V.授权规则的循环
授权服务器可以确定在某时间间隔上用于使多个授权规则在预防模式和监视模式之间循环的计划,以便评估授权规则。在该时间间隔内的特定时段期间,授权服务器可以给每个规则分配特定的模式。对于每个授权请求,授权服务器还可以给每个授权规则分配特定的模式。在特定的时段之后,或者在已经接收特定数目的授权请求之后,授权服务器可以重新分配每个授权规则。如本发明中所讨论,授权服务器可以在该时间间隔之后评估规则,且可以修改授权规则的条件,或者基于授权规则的评估用新授权规则代替特定的授权规则。授权服务器可以使用新修改的授权规则在随后的时间间隔确定用于循环多个授权规则的另一计划。在下面更详细地讨论使授权规则在不同模式之间循的方法。
A.用备用授权规则循环
图4是示出根据本发明的实施方案授权规则和备用授权规则的操作的表400。在某时间间隔上,授权服务器可以安排授权规则以被分配给第一模式(例如预防模式)或第二模式(例如监视模式)。授权服务器可以根据确定的安排使每个授权规则在第一模式和第二模式之间循环(例如切换)。图4中单元的颜色指示在时间间隔的每一天授权规则被分配的模式。有颜色(灰色)单元指示分配授权规则在预防模式操作。无颜色单元(白色)指示分配授权规则在监视模式操作。
在此实施方案中,授权服务器可以使用五个授权规则组成的第一集合来拒绝授权请求。在其它实施方案中,可以使用不同数目的授权规则。第一授权规则集包括规则A、规则B、规则C、规则D和规则E。授权服务器通常可以给第一规则集分配预防模式。
授权服务器也可以使用七个授权规则组成的第二集合作为备用授权规则。第二授权规则集包括:规则S1、规则S2、规则S3、规则S4、规则S5、规则S6和规则S7。在其它实施方案中,可以使用不同数目的备用授权规则。第二授权规则集称作“备用”规则的原因是授权服务器通常可以不给这些授权规则分配预防模式(例如,通常第二规则集合被分配给监视模式)。当授权服务器从第一集合中选择一个或多个授权规则使其从被分配预防模式变成被分配监视模式时,授权服务器也可以从第二集合选择一个或多个备用授权规则使其从被分配监视模式变成被分配预防模式。
如图4中所示,在七天时间间隔的某些天,授权服务器可以从第一授权规则集中选择特定的授权规则,并分配所述特定的授权规则在监视模式操作。授权规则的选择可以被授权服务器随机确定或者所述选择可以被预先确定。授权服务器可以选择对应的备用规则以分配其在预防模式操作,来取代已经被分配给监视模式的第一集合中的授权规则。例如,在时间间隔的第一天(如表400的单元411处所示),授权服务器给第一授权规则集中的规则A分配监视模式,并在同一天(如在单元412处所示)对应地给第二授权规则集中的备用规则S2分配预防模式。即,响应于使规则A在预防模式和监视模式之间循环,授权服务器可以使备用规则S2在监视模式和预防模式之间循环。
当每个授权规则的相对触发频率相似时,在用第二集合中的备用授权规则代替第一集合中的一个授权规则时,授权规则的总拒绝率可以保持相似。授权服务器可以基于相对触发频率给特定规则分配预防模式或监视模式,以便保持总拒绝率。例如,授权服务器可以使授权规则在预防模式和监视模式之间循环,使得被分配给预防模式的规则的总拒绝率接近目标拒绝率(例如最大拒绝率),不超过目标拒绝率。可以使用目标拒绝率来确保特定百分比的授权请求不被拒绝。
例如,规则D的相对触发频率(例如拒绝率)可以为0.3%,备用规则S5的相对触发频率可以为0.2%,备用规则S6的相对触发频率可以为0.1%。在时间间隔的第二天(第二时段),授权服务器可以给第一集合的规则D分配监视模式(如在单元421处所示)。授权服务器可以确定备用规则S5(0.2%)和备用规则S7(0.1%)的组合相对触发频率等于规则D的相对触发频率(0.3%)。因此,在第二天中,授权服务器可以给第二集合的备用规则S5和规则S6分配预防模式(如分别在单元422和单元423处所示),同时给规则D被分配给监视模式。授权服务器还可以转而基于其组合相对触发频率与来自第一集合的被分配给监视模式的授权规则的相对触发频率相似(例如在0.1%内)的一个或多个其它备用规则,选择一个或多个其它备用规则以分配给监视模式。
如图4中所示,在第三天(如单元431处所示),授权规则可以给规则B分配监视模式。规则B可以具有0.3%的相对触发频率。在第三天,授权服务器可以给具有相似的相对触发频率的备用规则分配预防模式,来代替规则B。备用规则S4的相对触发频率可以为0.2%。因此,在第一天(在单元432处),授权服务器可以给备用规则S4分配预防模式。因此,在第三天,授权服务器可以保持被分配给预防模式的授权规则的相似的总拒绝率。
在时间间隔的某一天,如图4中第四天所示,授权服务器还可以确定不给第一授权规则集中的任一授权规则分配监视模式。因此,在第四天,授权服务器可以不给第二集合中的任何授权规则分配预防模式。如图4中所示,在第一授权规则集中的规则被分配给监视模式的那些天里,授权服务器将第二规则集中的一个或多个备用规则分配给预防模式。用备用授权规则代替授权规则的操作允许授权服务器评估在第一集合中授权规则的准确度和性能。
B.授权规则的分组循环
图5是示出根据本发明的实施方案授权规则组的操作的表500。如本发明中所描述,授权服务器可以将多个授权规则分成多个组,对于每个授权请求,给每个组分配第一模式(例如预防模式)或第二模式(例如监视模式)。图5中表的单元的颜色指示对每个授权请求授权规则组被分配的模式。有颜色(灰色)单元指示分配在预防模式操作的组。无颜色单元(白色)指示分配在监视模式操作的组。
授权服务器可以基于该授权规则的相对触发频率(例如触发频率)与多个授权规则的总组合相对触发频率的比较,将授权规则分组。授权服务器可以基于目标拒绝率和多个授权规则的总组合触发频率确定组数。例如,如果多个授权规则的组合总相对触发频率为10%(例如,授权请求的10%被拒绝),且目标拒绝率为8%,则授权服务器可以确定组数为五个。目标拒绝率还可以是一个范围(例如6-10%或7-9%)。因此,授权服务器可以选择使四组授权规则操作于预防模式,一组授权规则操作于监视模式,使得被分配给预防模式的授权规则的拒绝率满足目标拒绝率8%。授权服务器可以将授权规则分组,使得授权规则中的每个组相对其它组具有相似的组合相对触发频率(例如,2%的相对触发频率)。
如图5中所示,五组授权规则被标记为组A-E。授权服务器可以选择四个组以分配给预防模式。每个组A-E的相对触发频率可以是2%。因此,全部交易的拒绝率可以是8%。授权服务器可以随机地选择四个组以分配给预防模式,或者组的选择可以根据模式被预先确定。
为简单起见,图5示出对于十个授权请求,A-E组的模式分配。然而,对于任何数目的授权请求,授权服务器可以执行组的选择。如图5中所示,对于第一授权请求,授权服务器可以选择A组以分配给监视模式。因此,对于第一授权请求,授权服务器可以选择B-E组以分配给预防模式。对于第二授权请求,授权服务器可以选择D组以分配给监视模式,且可以将A-C组和E组分配给预防模式。如图5中所示,对于每个授权请求,授权服务器可以选择五组授权规则中的一组以分配给监视模式。
在其它实施方案中,授权规则的组数目可以是不同的。例如,在一个实施方案中,目标拒绝率可以为6%,多个授权规则可以具有10%的组合相对触发频率。在此实施方案中,授权服务器可以将多个授权规则分成十组,每组具有1%的相对触发频率。对于每个授权请求,授权服务器可以选择十组中的六组以分配给预防模式,且可以选择四个未选择的组以分配给监视模式。基于6%的目标拒绝率,授权服务器选择六个组以分配给预防模式。
VI.示范性授权系统
图6是可以用来实施本发明的实施方案的示范性授权系统601的部件的框图600。授权系统601包括授权服务器计算机602,其可以接收授权请求,并基于如上面描述的多个授权规则确定是否接受或拒绝授权请求。授权系统601的各个部件可以由计算机硬件或存储在非暂时性计算机可读存储介质上的计算机代码实施。
授权服务计算机602可包括处理器电路608。处理器电路608可执行指令,以执行本发明中描述的授权服务器的功能。处理器电路608可以耦合到存储器电路610,存储器电路610被配置成存储数据。处理器电路608可从存储器电路610读取数据,并将数据写到存储器电路610。例如,处理器电路608可以将多个授权规则加载到存储器电路610中。例如,处理器电路608可将在“预防”模式操作的第一多个授权规则611和在“监视”模式操作的第二多个授权规则612加载到存储器电路610中。根据本发明中描述的用于操作授权规则的方法,在执行授权规则在“预防”模式和“监视”模式之间循环时,处理器电路608可以将特定的授权规则加载到存储器电路610的特定位置中。例如,被用于预防模式的规则可以加载到处理器电路的缓存中,以便软件例程访问规则并执行对当前请求的分析。
授权服务计算机602还可包括网络接口607。网络接口607可从请求计算机613接收授权请求。网络接口还可将授权响应传输到请求计算机。
授权服务计算机602还可包括存储介质609。存储介质609可以是非瞬时性计算机可读存储介质。存储介质609可以存储数据以由处理器电路608使用。处理器电路608还可以将存储在存储介质609中的数据加载到存储器电路610中。存储介质609可以存储指令614。代码614可以由处理器电路执行,以实施本发明中描述的操作授权规则的方法。
授权服务计算机602的网络接口607可以耦合到账户数据库603。账户数据库603可包括非暂时性计算机可读存储介质。账户数据库可以存储被授权访问资源的实体的账户信息和/或凭证。在确定是否准予请求计算机访问资源时,授权服务计算机602可以将存储在账户数据库603中的账户信息和凭证与来自请求计算机的授权请求中的那些进行比较。
授权服务计算机602的网络接口607也可以耦合到规则数据库604。规则数据库604可包括非暂时性计算机可读存储介质。规则数据库604可以由授权服务计算机602使用以存储授权规则。规则数据库604还可以存储备用授权规则。对于每个规则,规则数据库604还可以存储满足授权规则的条件。规则数据库604还可以存储关于每个授权规则的统计数字,如其准确率(例如假阳性率)和触发频率。规则数据库604还可以存储由独立过程确定的每个授权规则的有效性信息。
授权服务计算机602的网络接口607可以耦合到请求数据库605。请求数据库605可包括非暂时性计算机可读存储介质。请求数据库605可以由授权服务计算机602使用以存储一个或多个授权请求。请求数据库605可以存储每个授权请求的参数,例如授权请求标识符、请求计算机标识符、账户标识符、账户凭证、地理位置或任何其它适合的信息。请求数据库605还可包括指示授权请求的结果的信息(例如,授权请求是否被拒绝、接受或标记为审查)。
授权服务计算机602的网络接口607可以耦合到规则修改数据库606。规则修改数据库606可包括非暂时性计算机可读存储介质。规则修改数据库606可以由授权服务计算机602使用,存储包含关于每个授权规则的特定条件和对该授权规则做出的每个修改的细节的修改日志。授权服务计算机602可以审查修改日志,以便优化授权规则,并跟踪随时间推移授权规则的准确度和性能。
VII.示范性方法
图7是操作授权规则的方法的流程图700。出于简洁,流程图700被简化。然而,用于操作授权规则的方法还可包括本发明中描述的用于操作授权规则的方法的任何组合。用于操作授权规则的方法可以由计算机执行,所述计算机例如参照图6在上面描述的授权服务器计算机602。
在步骤701处,所述方法将包括第一规则的多个授权规则加载到存储器电路中。多个授权规则中的每个授权规则可以被分配给第一模式(例如,用来拒绝授权请求的预防模式)或第二模式(例如,不使用其拒绝授权请求的监视模式)。当每个授权规则被分配给第一模式(例如预防模式)时,可使用该授权规则拒绝满足其条件的授权请求。当每个授权规则被分配给第二模式(例如监视模式)时,可不使用该授权规则拒绝授权请求。
在步骤702处,所述方法可以在时间间隔上使第一规则在第一模式和第二模式之间循环。例如,授权服务器可以根据安排使授权规则在预防模式和监视模式之间切换。第一规则的循环可以被随机确定或者可以被预先确定。
在步骤703处,所述方法可以在时间间隔的第一时段期间接收第一授权请求集。例如,第一时段可以是一天,时间间隔可以是数星期或一个月。时段还可以是特定的秒数、分钟数或小时数。
在步骤704处,所述方法可以确定满足第一规则的一个或多个条件的第一授权请求集的第一子集。特定的授权请求是否满足第一规则的条件的确定可以基于如本发明中描述的该授权请求的参数。
在决策步骤705处,所述方法确定第一规则在第一时段期间是被分配给第一模式(例如预防模式)还是第二模式(例如监视模式)。如果第一规则在第一时段期间被分配给第一模式(例如,是,被分配给第一模式),则所述方法从决策步骤705继续到步骤706。在步骤706处,所述方法拒绝在授权请求的第一子集中的授权请求,原因是这些授权请求满足被分配给第一模式(例如预防模式)的第一规则的条件。在其它实施方案中,第一模式可以是不同的操作模式,而不是预防模式。在其它实施方案中,第二模式可以是不同的操作模式,而不是监视模式。
如果第一规则在第一时段不被分配给第一模式(例如,而是被分配给第二模式),则所述方法从决策步骤705继续到步骤707。在步骤707处,所述方法接受授权请求的第一子集。所述方法可以接受授权请求的第一子集,原因是给第一规则被分配给第二模式(例如监视模式),第一子集的授权请求不满足多个授权规则的任何其它授权规则在第一时段期间被分配给第一模式的条件。
在步骤708处,在第一时间间隔过去之后,所述方法通过独立过程确认第一子集中哪些授权请求是有效的。在步骤709处,所述方法基于第一子集中有效的那部分授权请求确定第一规则的第一准确率(例如假阳性率)。确定第一规则的准确率是有利的,原因是如本发明中所描述第一规则的条件可以被修改以优化第一规则(例如,提高准确度)。授权服务器可以基于第一准确率修改第一规则的一个或多个条件,使得提高第一准确率。授权服务器可以用新授权规则代替第一规则。
如本发明中所描述,授权规则可以应用于请求对建筑物、计算机账户或交易账户访问的授权请求。然而,本发明中描述的用于操作和优化授权规则的系统和方法可应用于对任何类型的资源的访问请求,其中,可以由某过程确定请求的有效性。I,本发明中描述的用于操作和优化授权规则的系统和方法可以应用于其结果可确定为假阳性或真阳性的任何类型的规则集。
VIII.优点
本发明中描述的用于操作授权规则的系统和方法提供几个优点。一个优点是在监视模式中授权规则可以被评估和优化,同时还用于拒绝。例如,通过确定每个授权规则的准确率并以此修改条件来提高其准确率,可以优化每个授权规则。因此,可以对每个授权规则按常规测量性能,包括最近被修改或更新的任何授权规则。基于测量的性能,授权系统可以选择具有最佳性能的授权规则来代替性能衰减的授权规则。因此,本发明中描述的授权系统可以提供降低的假阳性率和降低的假阴性率。因此,更多有效的授权请求被不经意地接收,较少的无效授权请求被不经意地拒绝,从而降低处理授权中的这些错误使用的人、计算和财务资源的量。
另一优点是持续的测量和评估授权规则,之后修改现有的规则,增加新规则,去掉衰减的规则,允许授权系统在最优的性能等级操作。另一优点是授权系统可以被配置成自动地评估和修改授权规则,从而降低操作授权系统使用的人、计算和财务资源的量。
另一优点是授权系统通过使新授权规则循环到系统中以用于预防模式,可以容易地处理欺诈模式的新变化。因此,新规则可连续地产生,并渐进地循环到授权系统中。另一优点是欺诈更难发生,原因是由于授权系统频繁地变化,外界不能确定授权系统的操作。
因此,用于操作授权规则的系统和方法提高授权服务器的操作。由用于操作授权规则的系统和方法提供的其它优点包括更安全地访问资源,减少有效授权请求被拒绝的情况。
IX.示例计算机系统
本文所描述的各种参与者和元件可以操作一个或多个计算机装置以利于本文所述的功能。上文描述的图式中的任何要素,包括任何服务器或数据库,都可以使用任何合适数量的子系统来促进文中描述的功能。
这样的子系统或部件经由系统总线互连。子系统可以包括,诸如打印机、键盘、固定磁盘(或包括计算机可读介质的其他存储器)、耦合至显示适配器的监视器以及其他。耦合到I/O控制器(可以是处理器或任何合适的控制器)的外设和输入/输出(I/O)设备可以通过任何本领域已知的手段(诸如串行端口)连接到计算机系统。例如,可以使用串行端口或外部接口将计算机装置连接到如互联网的广域网、鼠标输入设备或扫描仪。经由系统总线的互连允许中央处理器与每个子系统通信,并控制来自系统存储器或固定磁盘的指令的执行以及信息在子系统之间的交换。系统存储器和/或固定磁盘可以体现计算机可读介质。
如上所述,实施方案可以涉及实现一个或多个功能、过程、操作或方法步骤。在一些实施方案中,由于通过适当编程的计算装置、微处理器、数据处理器等执行指令集或软件代码,可以实现功能、过程、操作或方法步骤。指令集或软件代码可以存储在由计算装置、微处理器等访问的存储器或其他形式的数据存储元件中。在其他实施方案中,功能、过程、操作或方法步骤可以由固件或专用处理器、集成电路等实现。
应当理解,如上文描述的本发明可以用控制逻辑的形式以模块化或集成方式使用计算机软件来实现。基于本文提供的公开内容和教导,本领域普通技术人员将知道并理解使用硬件和硬件和软件的组合来实施本发明的其他方式和/或方法。
本申请中描述的任何软件部件或功能可以实现为由处理器使用例如常规的或面向对象的技术并使用任何合适的计算机语言(诸如例如,Java、C++或Perl)执行的软件代码。软件代码可以被存储为计算机可读介质(诸如,随机存取存储器(RAM)、只读存储器(ROM)、磁介质(诸如硬盘或软盘)或光介质(诸如CD-ROM))上的一系列指令或命令。计算机可读介质可以是这些存储或传输设备的任何组合。
也可以使用适于通过符合各种协议(包括互联网)的有线、光学、和/或无线网络传输的载波信号来编码和传输这样的程序。因此,根据本发明的实施方案的计算机可读介质可以使用用这种程序编码的数据信号来创建。利用程序代码编码的计算机可读介质可以利用兼容的设备来封装,或与其他设备可分开地提供(例如通过互联网下载)。任何这样的计算机可读介质都可以驻留在单个计算机产品(例如硬盘驱动器,CD或整个计算机系统)上或内部,并且可以存在于系统或网络内的不同计算机产品上或内部。计算机系统可包括监视器、打印机,或用于向用户提供本文所提及的任何结果的其他合适的显示器。
本文中描述的任何方法可以完全地或部分地用包括可被配置成执行这些步骤的一个或多个处理器的计算机系统执行。因此,实施方案可以涉及被配置成执行本文中描述的任何方法的步骤、可能具有执行相应步骤或相应步骤群组的不同组件的计算机系统。尽管呈现为编号步骤,但本文中的方法的步骤可以同时或以不同顺序被执行。另外,这些步骤的部分可以与来自其他方法的掐他步骤的部分一起使用。同样,一个步骤的全部或部分可以是可选的。另外,任何方法的任何步骤可以用模块、单元、电路或用于执行这些步骤的其他手段来执行。
虽然已经详细描述了并且在附图中示出了一些示例性实施方案,但是应当理解,这样的实施方案仅仅是对本发明的说明而不是限制性的,并且本发明不限于示出和描述的具体安排和结构,因为本领域的普通技术人员可以想到各种其他修改。
如本文所使用,除非明确指示有相反的意思,使用“一个”、“一种”或“该”旨在表示“至少一个”。
Claims (20)
1.一种授权计算机,包括:
处理器电路;
耦合到所述处理器电路的存储器电路;以及
非暂时性计算机可读存储介质,所述非暂时性计算机可读存储介质耦合到所述处理器电路并存储能够由所述处理器电路执行以用于执行操作的代码,所述操作包括:
将包括第一规则的多个授权规则加载到所述存储器电路中,所述多个授权规则中的每个授权规则包括一个或多个条件,并被分配给第一模式或第二模式;
在时间间隔上使所述第一规则在所述第一模式和所述第二模式之间循环;
在所述时间间隔的第一时段期间,通过网络从多个请求计算机接收第一授权请求集;
确定满足所述第一规则的一个或多个条件的所述第一授权请求集的第一子集;
在所述第一时间间隔之后,通过独立过程确认所述第一子集中哪些授权请求是有效的;以及
基于所述第一子集中有效的那部分授权请求确定所述第一规则的第一准确率。
2.根据权利要求1所述的授权计算机,其中,所述第一规则在所述第一时段期间被分配给所述第二模式,并且其中,所述第一规则在被分配给所述第二模式时不用于拒绝授权请求。
3.根据权利要求1所述的授权计算机,所述操作还包括响应于使所述第一规则在所述第一模式和所述第二模式之间循环,使第二规则在所述第一模式和所述第二模式之间循环,所述第二规则在所述第一规则被分配给所述第二模式时被分配给所述第一模式并且在所述第一规则被分配给所述第一模式时被分配给所述第二模式。
4.根据权利要求1所述的授权计算机,所述操作还包括:
将所述多个授权规则分成第一组授权规则和第二组授权规则,所述第一组授权规则包括所述第一规则;
选择在所述第一时段期间要被分配给所述第二模式的第一组授权规则;以及
在所述第一时段期间将所述第一组授权规则的授权规则分配给所述第二模式,并将所述第二组授权规则的授权规则分配给所述第一模式,其中,使所述第一规则在所述第一模式和所述第二模式之间循环基于要被分配给所述第二模式的所述第一组授权规则的选择。
5.根据权利要求4所述的授权计算机,其中,所述第一组规则和所述第二组规则中的至少一个的选择基于目标拒绝。
6.根据权利要求1所述的授权计算机,所述操作还包括基于满足所述第一规则的所述一个或多个条件的授权请求的数目和授权请求的总数,确定所述第一规则的第一触发频率,其中,所述第一组规则和所述第二组规则中的至少一个的选择基于所述第一触发频率。
7.根据权利要求1所述的授权计算机,所述操作还包括基于所述第一准确率修改所述第一规则的所述一个或多个条件。
8.根据权利要求1所述的授权计算机,所述操作还包括:
在所述时间间隔的第二时段期间接收第二授权请求集,在所述第二时段期间,所述第一规则被设置成所述第一模式;
确定满足所述第一规则的条件的所述第二授权请求集的第二子集;以及
将包括结果指示的授权响应传输到所述请求计算机,所述结果指示拒绝授权请求的所述第二子集。
9.根据权利要求1所述的授权计算机,其中,使所述第一规则在所述第一模式和所述第二模式之间循环基于所述时间间隔内的预先确定的时间量或已在所述时间间隔内接收的授权请求的预先确定的数目。
10.根据权利要求1所述的授权计算机,所述操作还包括:
基于所述独立过程确定所述多个授权规则中的每一个的准确率;以及
基于所述多个授权规则的准确率的组合确定欺诈尝试率。
11.根据权利要求1所述的授权计算机,所述操作还包括通过网络接口将对于所述第一授权请求集的第一子集的第一授权请求的第一授权响应传输到所述请求计算机,所述第一授权响应指示所述第一授权请求被接受。
12.一种用于操作授权规则的方法,包括:
将包括第一规则的多个授权规则加载到存储器电路中;
在时间间隔上使所述第一规则在第一模式和第二模式之间循环;
在所述时间间隔的第一时段期间,通过网络从多个请求计算机接收第一授权请求集;
确定满足所述第一规则的一个或多个条件的所述第一授权请求集的第一子集;
在所述第一时间间隔之后,通过独立过程确认所述第一子集中哪些授权请求是有效的;以及
基于所述第一子集中有效的那部分授权请求确定所述第一规则的第一准确率。
13.根据权利要求12所述的方法,其中,所述第一规则在所述第一时段期间被分配给所述第二模式,并且其中,所述第一规则在被分配给所述第二模式时不用于拒绝授权请求。
14.根据权利要求12所述的方法,响应于使所述第一规则在所述第一模式和所述第二模式之间循环,使第二规则在所述第一模式和所述第二模式之间循环,所述第二规则在所述第一规则被分配给所述第二模式时被分配给所述第一模式并且在所述第一规则被分配给所述第一模式时被分配给所述第二模式。
15.根据权利要求12所述的方法,还包括:
将所述多个授权规则分成第一组授权规则和第二组授权规则,所述第一组授权规则包括所述第一规则;
选择在所述第一时段期间要被分配给所述第二模式的第一组授权规则;以及
在所述第一时段期间将所述第一组授权规则的授权规则分配给所述第二模式,并将所述第二组授权规则的授权规则分配给所述第一模式,其中,使所述第一规则在所述第一模式和所述第二模式之间循环基于要被分配给所述第二模式的所述第一组授权规则的选择,其中,所述第一组规则和所述第二组规则中的至少一个的选择基于目标拒绝。
16.根据权利要求12所述的方法,还包括:基于满足所述第一规则的所述一个或多个条件的授权请求的数目和授权请求的总数,确定所述第一规则的第一触发频率,其中,所述第一组规则和所述第二组规则中的至少一个的选择基于所述第一触发频率。
17.根据权利要求12所述的方法,还包括:基于第一准确率修改所述第一规则的所述一个或多个条件。
18.根据权利要求12所述的方法,还包括:
在所述时间间隔的第二时段期间接收第二授权请求集,在所述第二时段期间,所述第一规则被设置成所述第一模式;
确定满足所述第一规则的条件的所述第二授权请求集的第二子集;以及
将包括结果指示的授权响应传输到所述请求计算机,所述结果指示拒绝授权请求的所述第二子集。
19.根据权利要求12所述的方法,其中,使所述第一规则在所述第一模式和所述第二模式之间循环基于所述时间间隔内的预先确定的时间量或已在所述时间间隔内接收的授权请求的预先确定的数目。
20.根据权利要求12所述的方法,还包括:
基于所述独立过程确定所述多个授权规则中的每一个的准确率;以及
基于所述多个授权规则的准确率的组合确定欺诈尝试率。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/133,134 US10333982B2 (en) | 2016-04-19 | 2016-04-19 | Rotation of authorization rules in memory of authorization system |
| US15/133,134 | 2016-04-19 | ||
| PCT/US2017/026838 WO2017184369A1 (en) | 2016-04-19 | 2017-04-10 | Rotation of authorization rules in memory of authorization system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109074436A true CN109074436A (zh) | 2018-12-21 |
Family
ID=60039134
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780024433.2A Withdrawn CN109074436A (zh) | 2016-04-19 | 2017-04-10 | 在授权系统的存储器中授权规则的循环 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US10333982B2 (zh) |
| EP (1) | EP3446249B1 (zh) |
| CN (1) | CN109074436A (zh) |
| AU (1) | AU2017254084A1 (zh) |
| MX (1) | MX2018012712A (zh) |
| RU (1) | RU2018140490A (zh) |
| WO (1) | WO2017184369A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10333982B2 (en) | 2016-04-19 | 2019-06-25 | Visa International Service Association | Rotation of authorization rules in memory of authorization system |
| CN107306183B (zh) * | 2016-04-22 | 2021-12-21 | 索尼公司 | 客户端、服务端、方法和身份验证系统 |
| SG10201610686SA (en) * | 2016-12-20 | 2018-07-30 | Mastercard International Inc | Systems and methods for processing a payment transaction authorization request |
| WO2018222752A1 (en) * | 2017-05-31 | 2018-12-06 | Reza Jalili | Improved methods and systems for creating and controlling use of transaction keys |
| CN112313646B (zh) * | 2018-06-14 | 2024-09-17 | 京瓷办公信息系统株式会社 | 认证装置以及图像形成装置 |
| US11146593B2 (en) * | 2019-05-10 | 2021-10-12 | International Business Machines Corporation | Local evaluation of runtime authorization rules derived from externally-derived policy |
| US11403644B2 (en) * | 2019-11-12 | 2022-08-02 | Feedzai—Consultadoria e Inovação Tecnológica, S.A. | Automated rules management system |
| US11627113B2 (en) * | 2020-04-01 | 2023-04-11 | The Westem Union Company | Network-based authentication rule cleaning and optimization |
| US12014371B2 (en) * | 2020-06-05 | 2024-06-18 | Capital One Services, Llc | Systems and methods for fraud detection and prevention |
| CN113222466A (zh) * | 2021-05-28 | 2021-08-06 | 深圳市大恩信息科技有限公司 | 一种基于erp的会计项目流程监控方法及系统 |
| US20240160745A1 (en) * | 2022-11-16 | 2024-05-16 | Nxp B.V. | Testing of security systems in integrated circuits |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008537267A (ja) | 2005-04-18 | 2008-09-11 | ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク | ハニーポットを用いて攻撃を検出し抑止するためのシステム及び方法 |
| US8266702B2 (en) | 2006-10-31 | 2012-09-11 | Microsoft Corporation | Analyzing access control configurations |
| US7657497B2 (en) | 2006-11-07 | 2010-02-02 | Ebay Inc. | Online fraud prevention using genetic algorithm solution |
| US20090292568A1 (en) | 2008-05-22 | 2009-11-26 | Reza Khosravani | Adaptive Risk Variables |
| US8600873B2 (en) * | 2009-05-28 | 2013-12-03 | Visa International Service Association | Managed real-time transaction fraud analysis and decisioning |
| US8676726B2 (en) | 2010-12-30 | 2014-03-18 | Fair Isaac Corporation | Automatic variable creation for adaptive analytical models |
| US9824199B2 (en) | 2011-08-25 | 2017-11-21 | T-Mobile Usa, Inc. | Multi-factor profile and security fingerprint analysis |
| US8984583B2 (en) | 2012-05-30 | 2015-03-17 | Accenture Global Services Limited | Healthcare privacy breach prevention through integrated audit and access control |
| US9231979B2 (en) | 2013-03-14 | 2016-01-05 | Sas Institute Inc. | Rule optimization for classification and detection |
| US9898741B2 (en) | 2013-07-17 | 2018-02-20 | Visa International Service Association | Real time analytics system |
| KR20160090905A (ko) | 2013-12-02 | 2016-08-01 | 인텔 코포레이션 | 보안 규칙 평가를 포함하는 보호 시스템 |
| US10333982B2 (en) | 2016-04-19 | 2019-06-25 | Visa International Service Association | Rotation of authorization rules in memory of authorization system |
-
2016
- 2016-04-19 US US15/133,134 patent/US10333982B2/en active Active
-
2017
- 2017-04-10 WO PCT/US2017/026838 patent/WO2017184369A1/en not_active Ceased
- 2017-04-10 RU RU2018140490A patent/RU2018140490A/ru not_active Application Discontinuation
- 2017-04-10 CN CN201780024433.2A patent/CN109074436A/zh not_active Withdrawn
- 2017-04-10 EP EP17786346.1A patent/EP3446249B1/en active Active
- 2017-04-10 AU AU2017254084A patent/AU2017254084A1/en not_active Abandoned
- 2017-04-10 MX MX2018012712A patent/MX2018012712A/es unknown
-
2019
- 2019-05-14 US US16/412,090 patent/US10594738B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| RU2018140490A (ru) | 2020-05-19 |
| EP3446249B1 (en) | 2021-08-18 |
| EP3446249A4 (en) | 2019-02-27 |
| US10594738B2 (en) | 2020-03-17 |
| AU2017254084A1 (en) | 2018-09-06 |
| EP3446249A1 (en) | 2019-02-27 |
| US20190268382A1 (en) | 2019-08-29 |
| US20170302702A1 (en) | 2017-10-19 |
| MX2018012712A (es) | 2019-01-31 |
| US10333982B2 (en) | 2019-06-25 |
| WO2017184369A1 (en) | 2017-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109074436A (zh) | 在授权系统的存储器中授权规则的循环 | |
| US12045357B2 (en) | System for designing and validating fine grained fraud detection rules | |
| CN112513842B (zh) | 预授权访问请求筛查 | |
| US20200151842A1 (en) | Systems and methods for storing contract information on multiple blockchain ledgers | |
| US10609087B2 (en) | Systems and methods for generation and selection of access rules | |
| AU2017277538A1 (en) | Systems and methods for providing identity scores | |
| CN110214322A (zh) | 用于保护对资源的访问的系统和方法 | |
| US11902252B2 (en) | Access rule management | |
| CN114066584B (zh) | 用于区块链的风险防控的方法及装置 | |
| US11765173B2 (en) | Techniques for redundant access rule management | |
| WO2022011181A1 (en) | Auto-tuning of rule weights in profiles | |
| Xie et al. | Towards secure and trustworthy flash loans: A blockchain-based trust management approach | |
| Chegenizadeh et al. | Cardano shared send transactions untangling in numbers | |
| Savinov | A dynamic risk-based access control approach: model and implementation | |
| KR100564310B1 (ko) | 네트워크 상에서의 개인 정보 인증, 관리, 운영 시스템 및방법 | |
| KR102533108B1 (ko) | 특허 관리서버 및 이를 포함하는 특허 관리시스템 | |
| US20250348787A1 (en) | Distributed systems for federated machine learning techniques in anomaly detection | |
| US20260012430A1 (en) | Knowledge registry for agentic artificial intelligence models stored on a distributed network | |
| US20260019379A1 (en) | Managing digital artifact access using agentic artificial intelligence models | |
| US20260012431A1 (en) | Allocating resources among autonomous artificial intelligence agents within a distributed computational network | |
| KR102640619B1 (ko) | 디지털 자산 결제 대행 시스템 및 방법 | |
| US20260012432A1 (en) | Detecting anomalous resource distribution patterns in distributed artificial intelligence-based agent networks | |
| HK1262948A1 (zh) | 在授权系统的存储器中授权规则的循环 | |
| Drgon et al. | Robust KYC via Distributed Ledger Technology | |
| CN113904836A (zh) | 一种基于区块链的主客观协同云服务信任管理方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1262948 Country of ref document: HK |
|
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20181221 |
|
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1262948 Country of ref document: HK |