RU2762527C1

RU2762527C1 - System and method for controlling operations during user's interaction with remote services

Info

Publication number: RU2762527C1
Application number: RU2020128087A
Authority: RU
Inventors: Максим Сергеевич Федюшкин
Original assignee: Акционерное общество "Лаборатория Касперского"
Priority date: 2020-08-24
Filing date: 2020-08-24
Publication date: 2021-12-21

Abstract

FIELD: information security.

SUBSTANCE: invention relates to a method for controlling an operation during user’s interaction with a remote server. The method contains stages, at which: a) using a collection means, at least one user’s action requiring the operation control is detected during the user’s interaction with the remote server; b) using a task formation means, a trained model is used that, based on data on the user’s action and on user equipment, forms a task vector to be performed, and the formed task vector is transmitted to an operation control means; c) using the operation control means, a value of the information security level of the mentioned user’s action requiring the operation control is calculated, a task list to be performed is formed for the mentioned user’s action based on the mentioned formed task vector, depending on the calculated value of the information security level, and the formed task list to be performed is provided to the user; d) using the remote server, in the case of successful performance of tasks from the formed list by the user, the mentioned user’s action is performed.

EFFECT: increase in the reliability of user’s verification.

13 cl, 5 dwg

Description

Область техникиTechnology area

Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с удаленными сервисами, а более конкретно к системам и способам контроля операций при взаимодействии пользователя с удаленными сервисами, в частности за счет аутентификации и авторизации, на основании результатов выполнения пользователем сформированных задач.The invention relates to solutions for ensuring secure user interaction with remote services, and more specifically to systems and methods for monitoring operations when a user interacts with remote services, in particular through authentication and authorization, based on the results of performing the generated tasks by the user.

Уровень техникиState of the art

В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным проведение денежных операций без использования пластиковой карты или реквизитов банковского счета.Currently, the banking sector has expanded significantly. The user (client of the bank) is provided with new opportunities for interacting with the bank, methods of payment and transfer of funds. The variety of payment systems, plastic cards and banking services (bank services are often called remote banking services) allows the user to perform a variety of transactions through computing devices. Online banking and mobile banking make it possible to carry out monetary transactions without using a plastic card or bank account details.

Кроме того, существуют различные механизмы защиты средств пользователя от доступа к ним третьих лиц. При работе пользователя с интернет-банкингом зачастую используется такой метод, как двухфакторная аутентификация. После ввода на странице онлайн-банкинга таких аутентификационных данных, как логин и пароль, банком на мобильный телефон пользователя направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле на странице. Кроме того, многие операции в рамках интернет-банкинга конкретного пользователя также должны контролироваться для обеспечения безопасности. Такой контроль реализуется за счет авторизации. В самых простых вариантах реализации авторизация на выполнение тех или операций может включать одноэтапную проверку, например, за счет ввода в специальное поле кода, полученного от банка. Однако, возможны варианты, где авторизация операций может осуществляться с использованием многоэтапной проверки.In addition, there are various mechanisms to protect user funds from access to them by third parties. When a user is working with Internet banking, a method such as two-factor authentication is often used. After entering such authentication data as login and password on the online banking page, the bank sends a message to the user's mobile phone containing, for example, an additional verification code that must be entered in a special field on the page. In addition, many transactions within the Internet banking of a particular user must also be monitored to ensure security. This control is implemented through authorization. In the simplest implementation options, authorization to perform certain operations can include a one-step check, for example, by entering a code received from a bank into a special field. However, there are options where the authorization of transactions can be carried out using multi-stage verification.

Однако, стоит отметить, что существует множество атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошенническими (англ. fraud). Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. В свою очередь вредоносное программное обеспечение для мобильных устройств может позволить злоумышленникам проводить транзакции с подтверждением без ведома пользователя.However, it should be noted that there are many attacks that exploit vulnerabilities when a user interacts with banking services, which are carried out by cybercriminals in order to gain access to the user's funds. These attacks are often referred to as fraudulent attacks. For example, using phishing sites, a login and password can be obtained to access online banking. In turn, malicious software for mobile devices can allow attackers to conduct verified transactions without the user's knowledge.

Известны системы и способы, использующие для защиты пользователей от мошеннической активности так называемый отпечаток устройства пользователя. Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения, или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается опасным.Systems and methods are known that use the so-called fingerprint of the user's device to protect users from fraudulent activity. The user generally uses the same devices, each device contains a certain set of software and features that are known to the bank. In the event that a set of software changes on a device, or the device itself changes, there is a high probability that fraudulent activity is observed. When committing fraudulent activity on a device, the latter is considered dangerous.

Так, публикация US 20150324802 описывает систему и способ для оценки и подтверждения транзакций пользователя. Для этого используются отпечатки браузеров, а также векторы различных комбинаций параметров, включая характеристики устройства, геолокацию, информацию о самой транзакции.Thus, publication US 20150324802 describes a system and method for evaluating and confirming user transactions. For this, browser fingerprints are used, as well as vectors of various combinations of parameters, including device characteristics, geolocation, information about the transaction itself.

Однако, излишняя «параноидальность» в вопросе информационной безопасности и множество проверок (например, двух- или трехфакторная аутентификация) доставляют неудобства пользователям. Например, при покупке с помощью мобильного устройства в каком-либо магазине необходимо сначала авторизоваться в приложении магазина (например, для получения штрих-кода или QR-кода), затем авторизоваться в платежном приложении (например, Apple Pay) для выполнения платежа. Прохождение нескольких проверок при выполнении любого действия зачастую раздражает пользователей, в результате чего они отказываются от активного использования сервисов дистанционного банковского обслуживания, онлайн-сервисов, онлайн-покупок.However, excessive "paranoid" in the issue of information security and a lot of checks (for example, two- or three-factor authentication) cause inconvenience to users. For example, when buying with a mobile device in a store, you must first log in to the store application (for example, to receive a barcode or QR code), then log in to a payment application (for example, Apple Pay) to complete the payment. Passing multiple checks when performing any action often annoys users, as a result of which they refuse to actively use remote banking services, online services, and online purchases.

Настоящее изобретение упрощает процессы аутентификации и авторизации, используя контроль операций при взаимодействии пользователя с удаленными сервисами на основании результатов выполнения пользователем сформированных задач.The present invention simplifies the authentication and authorization processes by using the control of operations when the user interacts with remote services based on the results of the user generated tasks.

Сущность изобретенияThe essence of the invention

Настоящее изобретение предназначено для контроля операций при взаимодействии пользователя с удаленным сервером на основании результатов выполнения пользователем сформированных задач.The present invention is intended to monitor operations in the interaction of a user with a remote server based on the results of the execution of the user generated tasks.

Технический результат настоящего изобретения заключается в реализации заявленного назначения.The technical result of the present invention is to implement the declared purpose.

Согласно одному из вариантов реализации предоставляется способ контроля операции при взаимодействии пользователя с удаленным сервером, содержащий этапы, на которых: с помощью средства сбора выявляют по меньшей мере одно действие пользователя при взаимодействии пользователя с удаленным сервером, требующее контроля операции; с помощью средства контроля операции вычисляют значение уровня информационной безопасности упомянутого действия пользователя, требующего контроля операции, формируют для упомянутого действия пользователя список задач для выполнения в зависимости от вычисленного значения уровня информационной безопасности и предоставляют сформированный список задач для выполнения пользователю; с помощью удаленного сервера в случае успешного выполнения пользователем задач из сформированного списка выполняют упомянутое действие пользователя.According to one embodiment, there is provided a method for monitoring an operation when a user interacts with a remote server, comprising the steps of: using the collection means, at least one user action is detected during a user's interaction with a remote server, requiring control of the operation; using the operation control means calculating the value of the information security level of said user action requiring control of the operation; generating for said user action a list of tasks to be performed depending on the calculated value of the information security level and providing the generated list of tasks to be performed by the user; with the help of the remote server, if the user successfully completes the tasks from the generated list, the said user action is performed.

Согласно другому варианту реализации предоставляется способ, в котором контролем операции является, по меньшей мере, процедура аутентификации пользователя.According to another embodiment, a method is provided in which the control of the operation is at least a user authentication procedure.

Согласно одному из частных вариантов реализации предоставляется способ, в котором контролем операции является, по меньшей мере, процедура авторизации операции.According to one particular implementation, a method is provided in which the control of the operation is at least the procedure for authorizing the operation.

Согласно одному из частных вариантов реализации предоставляется способ, в котором с помощью средства сбора выявляют по меньшей мере одно действие пользователя на основании манипуляций пользователя, выполняемых с помощью устройства пользователя для целей взаимодействия с удаленным сервером.According to one particular implementation, a method is provided in which the collecting means detects at least one user action based on user manipulations performed by the user's device for interacting with a remote server.

Согласно одному из частных вариантов реализации предоставляется способ, в котором с помощью средства сбора выявляют данные об устройстве пользователя.According to one of the private embodiments, a method is provided in which data about a user's device is identified using the collection means.

Согласно одному из частных вариантов реализации предоставляется способ, в котором с помощью средства контроля операции вычисляют значение уровня информационной безопасности на основании информации, связанной с аккаунтом пользователя на удаленном сервере.According to one of the private embodiments, a method is provided, in which the information security level value is calculated using the operation control means based on the information associated with the user's account on the remote server.

Согласно одному из частных вариантов реализации предоставляется способ, в котором информацией, связанной с аккаунтом пользователя на удаленном сервере, является, по меньшей мере, информация: о верификации аккаунта пользователя; об объеме денежных средств на счетах пользователя; о гражданстве пользователя; о длительности регистрации пользователя; о рейтинге пользователя.According to one of the private embodiments, a method is provided, in which the information associated with a user account on a remote server is at least information about: verification of a user account; on the amount of funds in the user's accounts; about the citizenship of the user; about the duration of user registration; about the user's rating.

Согласно одному из частных вариантов реализации предоставляется способ, в котором список задач для выполнения включает по меньшей мере одну задачу, включающую в частности: нажатие кнопки; ввод САРТСНА; ввод пароля; тест Тьюринга; ввод кода аутентификации; запрос кода в сообщении; переход по ссылке в сообщении; предоставление QR-кода; предоставление биометрических данных; предоставление голосового подтверждения.According to one particular implementation, a method is provided in which the list of tasks to be performed includes at least one task, including in particular: pressing a button; input of SARTSNA; password entry; Turing test; entering an authentication code; request for a code in a message; following a link in a message; providing a QR code; provision of biometric data; providing voice confirmation.

Согласно одному из частных вариантов реализации предоставляется способ, в котором с помощью средства формирования задач создают и обучают модель, которая на основании данных о действии пользователя и об устройстве пользователя формирует вектор задач, включающий значения весов каждой задачи.According to one particular implementation, a method is provided, in which a model is created and trained with the help of a task generating tool, which, based on data on the user's action and on the user's device, generates a task vector including the values of the weights of each task.

Согласно одному из частных вариантов реализации предоставляется способ, в котором с помощью средства контроля операции формируют список задач для выполнения на основании правил и результатов сопоставления значения уровня информационной безопасности с весами задач из вектора задач.According to one of the particular embodiments, a method is provided in which a list of tasks to be performed is formed using the operation control means based on the rules and the results of the comparison of the information security level value with the task weights from the task vector.

Согласно одному из частных вариантов реализации предоставляется способ, в котором список задач для выполнения формируется с помощью переобученной модели на основании задач, выполненных ранее.According to one particular implementation, a method is provided in which a list of tasks to be performed is generated using a retrained model based on tasks performed earlier.

Согласно одному из частных вариантов реализации предоставляется способ, в котором в случае успешного выполнения пользователем задач из сформированного списка переобучают модель таким образом, чтобы вектор задач, сформированный переобученной моделью, содержал меньшее количество задач.According to one of the particular embodiments, a method is provided in which, if the user successfully completes the tasks from the generated list, the model is retrained so that the task vector generated by the retrained model contains a smaller number of tasks.

Согласно одному из частных вариантов реализации предоставляется способ, в котором в случае успешного выполнения пользователем задач из сформированного списка переобучают модель таким образом, чтобы значения весов задач были выше значений весов задач, сформированной моделью до переобучения.According to one of the particular embodiments, a method is provided in which, if the user successfully completes the tasks from the generated list, the model is retrained so that the values of the task weights are higher than the values of the task weights generated by the model before the retraining.

Краткое описание чертежейBrief Description of Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objects, features and advantages of the present invention will be apparent from a reading of the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1 отображает структуру системы контроля операций при взаимодействии пользователя с удаленными сервисами.FIG. 1 shows the structure of the control system for operations in the interaction of the user with remote services.

Фиг. 2 отображает пример нейронной сети.FIG. 2 displays an example of a neural network.

Фиг. 2.1 отображает примеры векторов задач, сформированных нейронной сетью.FIG. 2.1 displays examples of task vectors generated by the neural network.

Фиг. 3 отображает схему способа контроля операций при взаимодействии пользователя с удаленными сервисами.FIG. 3 shows a diagram of a method for controlling operations when a user interacts with remote services.

Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.FIG. 4 illustrates an example of a general purpose computer system on which the present invention may be implemented.

Описание вариантов осуществления изобретенияDescription of embodiments of the invention

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The essence recited in the description is nothing more than specific details provided to assist a person skilled in the art in a comprehensive understanding of the invention, and the present invention is defined only within the scope of the appended claims.

Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips). Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств или все средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.The system means in the present invention means real devices, systems, components, groups of components implemented using hardware, such as application-specific integrated circuits (ASICs) or field-programmable gate arrays , FPGA) or, for example, in the form of a combination of software and hardware, such as a microprocessor system and a set of software instructions, as well as neurosynaptic chips. The functionality of these system means can be implemented exclusively by hardware means, as well as in the form of a combination, where part of the functionality of the system means is implemented by software means, and part by hardware. In some implementations, some or all of the tools may be executed on a processor of a general purpose computer (eg, as shown in FIG. 4). In this case, the components (each of the means) of the system can be implemented within the framework of both one computing device and spaced between several interconnected computing devices.

Система контроля операций при взаимодействии пользователя с удаленными сервисами в общем случае состоит из средства сбора 110, исполняющегося на устройстве пользователя 190, средства формирования задач 120 и средства контроля операции 130.The system for monitoring operations when a user interacts with remote services generally consists of a collection facility 110 running on the user's device 190, a task generation facility 120, and an operation control facility 130.

В одном из вариантов реализации контролем операции является процедура аутентификации пользователя сервиса, предоставляемого удаленным сервером 199.In one implementation, the operation control is a procedure for authenticating a user of a service provided by the remote server 199.

В еще одном из вариантов реализации контролем операции является процедура авторизации действия пользователя при взаимодействии с сервисом, предоставляемым удаленным сервером 199.In yet another implementation, the operation control is a procedure for authorizing a user action when interacting with a service provided by a remote server 199.

Таким образом, система контроля операций при взаимодействии пользователя с удаленными сервисами предназначена для аутентификации пользователя и/или авторизации его действий на основании выполнения пользователем сформированных задач при онлайн-взаимодействии пользователя с помощью устройства 190 с удаленным сервером 199, предоставляющим пользователю различные удаленные сервисы.Thus, the system for controlling operations in the interaction of a user with remote services is designed to authenticate the user and / or authorize his actions based on the performance of the generated tasks by the user during the online interaction of the user using a device 190 with a remote server 199 providing the user with various remote services.

Устройство 190 в рамках настоящего изобретения - программная среда исполнения, выполняющаяся на вычислительном устройстве (например, браузер, выполняющийся на компьютере, приложение банка, выполняющееся на мобильном устройстве).A device 190 within the scope of the present invention is a software runtime running on a computing device (eg, a browser running on a computer, a bank application running on a mobile device).

Удаленным сервером 199 может являться, например:The remote server 199 can be, for example:

- банковский сервер, предоставляющий, в частности, такие сервисы, как платежи, кредиты, открытие и обслуживание банковских продуктов и иные сервисы;- a bank server providing, in particular, such services as payments, loans, opening and servicing of banking products and other services;

- сервер микрофинансовой организации, предоставляющий, в частности, такие сервисы, как платежи, кредиты и иные сервисы;- a server of a microfinance organization, providing, in particular, such services as payments, loans and other services;

- сервер онлайн-магазина, предоставляющий, в частности, такие сервисы, как платежи, программы лояльности и иные сервисы;- the server of the online store, which provides, in particular, such services as payments, loyalty programs and other services;

- сервер провайдера телекоммуникационных услуг, предоставляющий, в частности, такие сервисы, как платежи, программы лояльности и иные сервисы;- a server of a telecommunications service provider, providing, in particular, such services as payments, loyalty programs and other services;

- сервер логистической (например, транспортной) компании, предоставляющий, в частности, такие сервисы, как платежи, программы лояльности и иные сервисы.- a server of a logistics (for example, transport) company, which provides, in particular, such services as payments, loyalty programs and other services.

В общем случае средство сбора 110 предназначено для выявления информации об устройстве 190, в частности его цифрового отпечатка (англ. fingerprint, далее используется термин отпечаток). В общем случае отпечаток содержит информацию о характеристиках устройства 190. Характеристиками устройства 190 являются:In the general case, the collection tool 110 is designed to identify information about the device 190, in particular its digital fingerprint (English fingerprint, hereinafter referred to as fingerprint). In general, a fingerprint contains information about the characteristics of the device 190. The characteristics of the device 190 are:

• идентификатор устройства 190;• device identifier 190;

• идентификатор операционной системы, под управлением которой работает устройство 190;• the identifier of the operating system under which the device 190 operates;

• местоположение (геолокация) устройства 190;• location (geolocation) of device 190;

• региональные характеристики прошивки устройства 190 (например, континент/страна/город);• regional characteristics of device firmware 190 (for example, continent / country / city);

• идентификатор аккаунта (например, идентификатор аккаунта Microsoft, Google или Apple);• account ID (for example, Microsoft, Google, or Apple account ID);

• данные об использовании виртуальной машины или эмулятора для функционирования программной среды исполнения на устройстве 190;• data on the use of the virtual machine or emulator for the operation of the software runtime environment on the device 190;

• наименование и версия браузера устройства 190;• the name and version of the browser of the device 190;

• плагины, установленные в браузере устройства 190;• plugins installed in the browser of the device 190;

• уязвимые приложения, установленные на устройстве 190;• vulnerable applications installed on device 190;

• аппаратные способы аутентификации, имеющиеся на устройстве 190 (например, сканер отпечатков пальца, сканер радужки глаз, сканер лица);• hardware authentication methods available on device 190 (eg, fingerprint reader, iris scanner, face scanner);

• программные способы аутентификации, имеющиеся на устройстве 190 (например, пароль, пин-код, рисунок для разблокировки экрана);• software authentication methods available on device 190 (for example, password, pin code, screen unlock pattern);

• наличие доступных каналов связи на устройстве 190 (имеет ли доступ по беспроводным интерфейсам передачи данных, например Wi-Fi, включена ли на устройстве передача данных посредством мобильных сетей и скольких мобильных сетей, включена ли передача данных по беспроводным интерфейсам);• availability of available communication channels on the device 190 (whether it has access via wireless data transmission interfaces, for example, Wi-Fi, whether data transmission via mobile networks and how many mobile networks is enabled on the device, whether data transmission via wireless interfaces is enabled);

• прочие.• others.

В одном из вариантов реализации выявление отпечатков происходит путем исполнения в браузере на устройстве 190 JavaScript-сценария, при этом упомянутый сценарий является средством сбора 110, может храниться на удаленном сервере 199 и выполняться при обращении пользователя с устройства 190 к удаленному серверу 199.In one embodiment, fingerprint detection occurs by executing a JavaScript script in a browser on device 190, said script being a collector 110, may be stored on a remote server 199, and executed when a user from a device 190 accesses a remote server 199.

В еще одном варианте реализации сбор осуществляют посредством приложения, работающего на устройстве 190, при этом приложение может быть антивирусным приложением (например, Kaspersky Anti-Virus for Mobile). В еще одном из вариантов реализации приложение, работающее на устройстве 190, и посредством которого осуществляют сбор, предназначено для доступа к удаленным сервисам (например, банковское приложение «Сбербанк-онлайн») и создано с использованием комплекта средств разработки (от англ. software development kit, SDK), поставляемого, например, производителем антивирусного приложения (например, Kaspersky Mobile Security SDK).In yet another implementation, the collection is performed by an application running on device 190, the application may be an anti-virus application (eg, Kaspersky Anti-Virus for Mobile). In yet another embodiment, the application running on the device 190 and through which the collection is carried out is designed to access remote services (for example, the Sberbank-online banking application) and is created using a software development kit , SDK) supplied, for example, by the manufacturer of the anti-virus application (for example, Kaspersky Mobile Security SDK).

Информация об устройстве 190, выявляемая средством сбора 110, также может включать данные о потенциально опасных состояниях устройства 190. Под потенциально опасными состояниями понимаются состояния устройства 190, когда не может быть гарантировано безопасное взаимодействие пользователя посредством устройства 190 с удаленным сервером 199. Ниже приведены примеры таких состояний.Information about device 190 detected by collector 110 may also include data on potentially dangerous states of device 190. Potentially dangerous states are states of device 190, when safe interaction between the user via device 190 and remote server 199 cannot be guaranteed. states.

В одном из вариантов реализации потенциально опасным состоянием является наличие на устройстве 190 корневого (англ. root) доступа (далее по тексту - root-доступа), при этом средство сбора 110 выявляет наличие root-доступа на устройстве 190. Стоит отметить, что из уровня техники известно, что на устройстве 190 с root-доступом антивирусное приложение не может выявить активность вредоносного программного обеспечения. Поэтому такое состояние устройства 190 не может гарантировать безопасное взаимодействие пользователя посредством устройства 190 с удаленным сервером 199.In one of the implementation options, a potentially dangerous state is the presence of root (English root) access on the device 190 (hereinafter referred to as root access), while the collector 110 detects the presence of root access on the device 190. It should be noted that from the level It is known in the art that on a rooted device 190, an antivirus application cannot detect malicious software activity. Therefore, this state of device 190 cannot guarantee secure user interaction by device 190 with remote server 199.

В еще одном из вариантов реализации потенциально опасным состоянием является заражение устройства 190, при этом средство сбора 110 получает данные о наличии заражения (например, обнаруживает активность вредоносных программ на устройстве 190). Данные о заражении устройства 190 могут быть получены как в момент обращения пользователя к удаленному серверу 199, так и выявляться средством сбора 110 в течение периода времени, пока пользователь не взаимодействует с удаленным сервером 199 (например, упомянутые данные может собирать запущенное в фоновом режиме средство сбора 110).In yet another embodiment, a potentially dangerous condition is an infection of device 190, and the collector 110 obtains information about the presence of infection (for example, detects malware activity on the device 190). Data on device 190 infection can be obtained both at the moment the user accesses the remote server 199, and can be detected by the collector 110 during the period of time until the user interacts with the remote server 199 (for example, the data collected by the collector running in the background) 110).

В еще одном варианте реализации средство сбора 110 может получать информацию об устройстве 190 от сервера безопасности 140. Такой информацией могут быть сведения о компрометации устройства 190, выполненной любым иным известным из уровня техники способом (например, данные о компрометации могут быть получены из Kaspersky Security Network, KSN).In another embodiment, the collector 110 can receive information about the device 190 from the security server 140. Such information can be information about the compromise of the device 190 performed by any other method known from the prior art (for example, information about the compromise can be obtained from the Kaspersky Security Network , KSN).

Кроме того, средство сбора 110 определяет также манипуляции пользователя, выполняемые с помощью устройства 190 для целей онлайн-взаимодействия с удаленным сервером 199. В предпочтительном варианте реализации средство сбора 110 определяет по меньшей мере следующие манипуляции пользователя при работе с веб-страницей, полученной от удаленного сервера 199, или в приложении, работающем на устройстве 190 и предназначенном для доступа к сервисам, предоставляемым удаленным сервером 199:In addition, the collector 110 also determines the user manipulations performed by the device 190 for the purpose of online interaction with the remote server 199. In a preferred embodiment, the collector 110 determines at least the following user manipulations when working with the web page received from the remote server 199, or in an application running on device 190 for accessing services provided by remote server 199:

- навигацию (например, взаимодействие с элементами интерфейса, последовательный переход между страницами, элементами страниц элементами приложений с помощью кликов, нажатий на экран, прокрутки страницы или иных действий);- navigation (for example, interaction with interface elements, sequential transition between pages, page elements by application elements using clicks, taps on the screen, scrolling the page or other actions);

- фокусировку на элементе страницы или приложения (например, наведение на заданный элемент курсора мышки или установку фокуса на заданном элементе приложения с помощью клавиатуры, сенсорного экрана или иного устройства ввода);- focusing on an element of a page or application (for example, hovering over a given element with the mouse cursor or setting focus on a given element of an application using a keyboard, touch screen or other input device);

- ввод данных на странице или в приложении, в том числе с использованием таких специализированных элементов интерфейса, как формы, поля ввода, панель навигации и иных.- entering data on a page or in an application, including using such specialized interface elements as forms, input fields, navigation bar, and others.

- передачу данных в буфер обмена;- transferring data to the clipboard;

- изменения состояния страницы или приложения (например, за счет изменения cookie, по истечению времени);- changes in the state of the page or application (for example, by changing the cookie, after the expiration of time);

- управление модулями и апплетами, встроенными в страницу или приложение (к примеру, видеопроигрывателем);- management of modules and applets built into a page or application (for example, a video player);

- указанные выше действия со вспомогательными элементами страницы или приложения, такими как всплывающие окна (англ. popup), встроенные страницы (англ. iframe) и так далее.- the above actions with auxiliary elements of a page or application, such as pop-ups (English popups), embedded pages (English iframes), and so on.

В общем случае средство сбора 110 на основании определенных манипуляций выявляет по меньшей мере одно действие пользователя, требующее контроля операции.In general, the collection means 110, based on certain manipulations, detects at least one user action requiring control of the operation.

В ином варианте реализации информация о тех или иных манипуляциях пользователя может передаваться средством сбора 110 на удаленный сервер 199 или сервер безопасности 140. Таким образом, указанное по меньшей мере одно действие пользователя, требующее контроля операции, может быть выявлено на стороне удаленного сервера 199 или сервера безопасности 140 с учетом полученной информации.In another implementation, information about certain manipulations of the user can be transmitted by the collection means 110 to the remote server 199 or the security server 140. Thus, the specified at least one user action requiring control of the operation can be detected on the side of the remote server 199 or the server security 140 taking into account the information received.

Данные, выявленные средством сбора 110 об устройстве 190 и действии пользователя, требующем контроля операции при онлайн-взаимодействии с удаленным сервером 199 (например, пользователь своим действием совершает попытку логина, для которого требуется процедура аутентификации, или платеж, для которого требуется процедура авторизации), передаются средству контроля операции 130 и средству формирования задач 120.The data revealed by the collection means 110 about the device 190 and the user's action requiring control of the operation when interacting online with the remote server 199 (for example, the user, by his action, attempts to login, for which an authentication procedure is required, or a payment for which an authorization procedure is required), transferred to the operation control 130 and the task generator 120.

В предпочтительном варианте реализации средство формирования задач 120 создает и обучает модель формирования задач для каждого пользователя известными из уровня техники способами. В общем случае модель формирования задач использует в своей работе нейронную сеть 200 (представлена на Фиг. 2). На основании полученных данных о действии пользователя 210 и об устройстве пользователя 220 упомянутая нейронная сеть 200 формирует на выходе вектор задач 290, которые необходимо выполнить пользователю для контроля операции, при этом вектор содержит по меньшей мере одну задачу. В общем случае результирующий вектор содержит веса для каждой задачи. Задача является доступной для добавления в сформированной список, если ее вес более нуля. Чем выше вес задачи, тем задача более безопасная.In a preferred embodiment, the task generator 120 creates and trains a task generation model for each user in a manner known in the art. In the general case, the task formation model uses in its work a neural network 200 (shown in Fig. 2). Based on the received data on the actions of the user 210 and on the device of the user 220, said neural network 200 generates at the output a vector of tasks 290 that must be performed by the user to control the operation, and the vector contains at least one task. In general, the resulting vector contains weights for each task. A task is available for adding to the generated list if its weight is more than zero. The higher the task weight, the safer the task.

Задачами для выполнения пользователем могут являться по меньшей мере:The tasks to be performed by the user can be at least:

- нажатие кнопки на веб-странице/в приложении;- clicking a button on a web page / application;

- ввод САРТСНА;- input of SARTSNA;

- ввод пароля;- entering a password;

- тест Тьюринга;- Turing test;

- ввод кода аутентификации (например, генерируемого приложением Google Authenticator);- entering an authentication code (for example, generated by the Google Authenticator app);

- запрос кода по SMS/EMAIL-сообщении;- code request via SMS / EMAIL-message;

- запрос перехода по ссылке в SMS/EMAIL-сообщении;- request to follow a link in an SMS / EMAIL message;

- активация мобильного токена;- activation of a mobile token;

- запрос на предоставление QR-кода;- a request to provide a QR code;

- запрос на предоставление биометрических данных (например, отпечатка пальца, сетчатки глаза, лица);- request for the provision of biometric data (for example, fingerprint, retina, face);

- запрос на голосовое подтверждение (например, автоматически или через оператора);- request for voice confirmation (for example, automatically or through an operator);

- прочие.- others.

Каждая задача в результирующем векторе имеет вес, представляющий собой числовую величину. Пример результирующего вектора представлен на Фиг. 2. Более подробно функционирование системы и использование векторов будут рассмотрены на примерах ниже.Each task in the resulting vector has a numerical weight. An example of the resulting vector is shown in FIG. 2. In more detail, the operation of the system and the use of vectors will be discussed in the examples below.

В предпочтительном варианте реализации средство контроля операции 130 вычисляет уровень информационной безопасности действия пользователя, требующего контроля операции, при этом уровень информационной безопасности представляет собой числовую величину. По общему правилу чем выше уровень информационной безопасности действия, тем более строгий контроль операции требуется.In a preferred embodiment, the transaction monitor 130 calculates the security level of the user action requiring transaction control, the security level being a numeric value. As a general rule, the higher the level of information security of the action, the more strict control of the operation is required.

Уровень информационной безопасности действия пользователя, требующего контроля операции, в общем случае вычисляется средством контроля операции 130 на основании информации, связанной с аккаунтом пользователя. В общем случае указанная информация не связана с манипуляциями пользователя, выполняемыми с помощью устройства 190 для целей онлайн-взаимодействия с удаленным сервером 199.The information security level of an action by a user requiring transaction control is generally calculated by the transaction control 130 based on information associated with the user's account. In general, this information is not related to user manipulations performed by the device 190 for the purpose of online interaction with the remote server 199.

В предпочтительном варианте реализации для каждого выявленного действия пользователя средство контроля операции 130 выявляет базовый уровень информационной безопасности действия (например, средство контроля операции 130 выбирает информацию о базовом уровне информационной безопасности из базы данных 111). Затем средство контроля операции 130 вычисляет уровень информационной безопасности действия пользователя на основании базового уровня информационной безопасности и указанной информации о пользователе.In the preferred embodiment, for each detected user action, the transaction monitor 130 determines the baseline information security of the action (eg, the transaction monitor 130 fetches the baseline information security information from the database 111). The operation monitor 130 then calculates the information security level of the user action based on the baseline information security level and the specified user information.

Примеры информации, связанной с аккаунтом пользователя, перечислены ниже:Examples of information associated with a user account are listed below:

- информация о верификации аккаунта пользователя (в том случае, если аккаунт пользователя сервиса, предоставляемого удаленным сервером 199, например банковским сервером, не верифицирован, средство контроля операции 130 добавляет к базовому уровню информационной безопасности некоторое значение, чтобы повысить указанный уровень, то есть уровень информационной безопасности действия, например, связанного с банковским переводом, для верифицированных пользователей может составлять, например, 0.8, для не верифицированных - 0.9);- information about the verification of the user account (in the event that the user account of the service provided by the remote server 199, for example, the bank server, is not verified, the transaction control 130 adds a certain value to the basic level of information security in order to increase the specified level, that is, the level of information the security of an action, for example, associated with a bank transfer, for verified users can be, for example, 0.8, for unverified users - 0.9);

- информация об объеме денежных средств средств на счетах пользователя (в том случае, если аккаунт пользователя сервиса, предоставляемого удаленным сервером 199, например банковским сервером, содержит ненулевой баланс, средство контроля операции 130 добавляет к базовому уровню информационной безопасности некоторое значение, чтобы повысить указанный уровень, то есть для пользователей с нулевым балансом уровень информационной безопасности действия, например, связанного с онлайн платежом, может составлять, например, 0.8, для пользователей с балансом до 1000 американских долларов - 0.9, для пользователей с балансом свыше 1000 американских долларов - 1.0);- information about the amount of funds in the user's accounts (in the event that the user account of the service provided by the remote server 199, for example, a bank server, contains a non-zero balance, the transaction control 130 adds some value to the basic level of information security in order to increase the specified level , that is, for users with a zero balance, the level of information security of an action, for example, associated with an online payment, can be, for example, 0.8, for users with a balance of up to 1000 US dollars - 0.9, for users with a balance of more than 1000 US dollars - 1.0);

- информация о гражданстве пользователя (в том случае, если аккаунт пользователя сервиса, предоставляемого удаленным сервером 199, например банковским сервером, принадлежит пользователю с гражданством страны Европейского Союза, средство контроля операции 130 добавляет к базовому уровню информационной безопасности некоторое значение, чтобы повысить указанный уровень, то есть для пользователей с гражданством Европейского Союза уровень информационной безопасности действия, например, связанного с просмотром личных данных аккаунта, может составлять, например, 0.5, для пользователей с иным гражданством- 0.1);- information about the citizenship of the user (in the event that the user account of the service provided by the remote server 199, for example, a bank server, belongs to a user with the citizenship of a country of the European Union, the control tool 130 adds a certain value to the basic level of information security in order to increase the specified level, that is, for users with citizenship of the European Union, the level of information security of an action, for example, associated with viewing personal account data, can be, for example, 0.5, for users with other citizenship - 0.1);

- информация о длительности регистрации пользователя на удаленном сервере (в том случае, если аккаунт пользователя сервиса, предоставляемого удаленным сервером 199, например сервером онлайн-магазина, принадлежит пользователю более трех лет, средство контроля операции 130 отнимает от базового уровня информационной безопасности некоторое значение, чтобы понизить указанный уровень, то есть для пользователей с длительностью регистрации менее одного года уровень информационной безопасности действия, например, связанного с попыткой входа, может составлять, например, 0.8, для пользователей с длительностью регистрации от одного года до трех лет - 0.75, а для пользователей с длительностью регистрации более трех лет - 0.7);- information about the duration of the user's registration on the remote server (in the event that the user account of the service provided by the remote server 199, for example, the server of the online store, belongs to the user for more than three years, the operation control tool 130 subtracts some value from the basic level of information security so that lower the specified level, that is, for users with a registration duration of less than one year, the level of information security of an action, for example, associated with an attempt to log in, can be, for example, 0.8, for users with a registration duration from one to three years - 0.75, and for users with a registration duration of more than three years - 0.7);

- информация о рейтинге пользователя на удаленном сервере 199 (в том случае, если рейтинг пользователя сервиса на удаленном сервере 199, например сервере онлайн-магазина, высокий, средство контроля операции 130 отнимает от базового уровня информационной безопасности некоторое значение, чтобы понизить указанный уровень, то есть для пользователей с «серебряным» рейтингом на площадке AHExpress уровень информационной безопасности действия, например, связанного с онлайн платежом, может составлять, например, 0.9, а для пользователей с «платиновым» рейтингом -0.7- information about the rating of the user on the remote server 199 (if the rating of the user of the service on the remote server 199, for example, the server of the online store, is high, the control of the operation 130 subtracts some value from the basic level of information security in order to lower the specified level, then there is for users with a "silver" rating on the AHExpress platform, the level of information security of an action, for example, associated with an online payment, may be, for example, 0.9, and for users with a "platinum" rating -0.7

В предпочтительном варианте реализации средство контроля операции 130 может комбинировать различную информацию из отмеченных примеров для вычисления уровня информационной безопасности действия, требующего контроля операции.In a preferred embodiment, the transaction monitor 130 may combine various information from the noted examples to calculate the information security level of an action requiring transaction monitoring.

В предпочтительном варианте реализации средство контроля операции 130 получает от средства формирования задач 120 вектор задач, сформированный на основании данных о действии пользователя и об устройстве пользователя 190.In a preferred embodiment, the activity monitor 130 receives from the task generator 120 a task vector generated based on the user action and the device of the user 190.

На основании вычисленного уровня информационной безопасности и полученного вектора задач средство контроля операции 130 формирует список задач, выполнение которых пользователем необходимо для контроля операции при онлайн-взаимодействии с удаленным сервером 199.Based on the calculated information security level and the obtained vector of tasks, the operation control tool 130 generates a list of tasks that the user needs to complete to control the operation during online interaction with the remote server 199.

Средство контроля операции 130 формирует из вектора задач, сформированного средством формирования задач 120, список, содержащий по меньшей мере одну задачу. При этом общий вес задач списка (уровень информационной безопасности списка задач) должен соответствовать правилам:The operation control means 130 generates from the vector of tasks generated by the task generating means 120 a list containing at least one task. In this case, the total weight of the tasks in the list (the level of information security of the task list) must comply with the following rules:

- должен быть выше или равен уровню информационной безопасности действия пользователя (например, если уровень информационной безопасности действия вычислен как 0.55, то, согласно примеру на Фиг. 2, ему соответствуют Задача#N, Задача#N + другие задачи с ненулевым весом, Задача#2 + Задача#5);- must be higher or equal to the level of information security of the user's action (for example, if the information security level of the action is calculated as 0.55, then, according to the example in Fig. 2, it corresponds to Task # N, Task # N + other tasks with non-zero weight, Task # 2 + Objective # 5);

- количество действий является наименьшим (согласно примеру на Фиг. 2 ему соответствуют Задача#N);- the number of actions is the smallest (according to the example in Fig. 2 it corresponds to Task # N);

- общий вес является наименьшим из всех возможных вариантов, если количество действий для контроля операции одинаково (например, если уровень информационной безопасности действия вычислен как 0.85, то, согласно примеру на Фиг. 2, ему соответствуют Задача#N+Задача#5, Задача#N+Задача#2, и Задача#N+Задача#3, однако общий вес минимален у Задача#N+Задача#3).- the total weight is the smallest of all possible options, if the number of actions to control the operation is the same (for example, if the information security level of an action is calculated as 0.85, then, according to the example in Fig. 2, it corresponds to Task # N + Task # 5, Task # N + Task # 2, and Task # N + Task # 3, however, the total weight is minimal for Task # N + Task # 3).

В общем случае список задач передается средством контроля операции 130 на устройство пользователя 190 для выполнения пользователем задач.In general, the task list is communicated by the activity monitor 130 to the user's device 190 for the user to perform tasks.

Результаты выполнения задач пользователем средство контроля операции 130 передает средству формирования задач 120, которое переобучает нейронную сеть 200. При этом в случае, если пользователь выполняет задачи успешно и не меняет устройство 190, нейронная сеть 200 переобучается так, чтобы уменьшалось количество формируемых задач, и увеличивались веса задач. В случае, если пользователь выполняет задачи некорректно или меняет устройство 190, при переобучении нейронной сети 200 количество задач растет, веса задач уменьшаются.The results of the tasks performed by the user, the operation control tool 130 transmits to the task generator 120, which retrains the neural network 200. In this case, if the user completes the tasks successfully and does not change the device 190, the neural network 200 is retrained so that the number of generated tasks decreases and increases task weights. In the event that the user performs tasks incorrectly or changes the device 190, when retraining the neural network 200, the number of tasks increases, the weights of the tasks decrease.

В результате в одном из вариантов реализации в случае успешного выполнения пользователем задач из сформированного списка средство формирования задач 120 переобучает модель таким образом, чтобы список задач, сформированный переобученной моделью, содержал меньшее количество задач. В другом варианте реализации в случае успешного выполнения пользователем задач из сформированного списка средство формирования задач 120 переобучает модель таким образом, чтобы уровень информационной безопасности списка задач был выше уровня информационной безопасности списка задач, сформированного моделью до переобучения.As a result, in one embodiment, if the user successfully completes tasks from the generated list, the task generator 120 retrains the model so that the task list generated by the retrained model contains fewer tasks. In another embodiment, if the user successfully completes tasks from the generated list, the task generating tool 120 retrains the model so that the information security level of the task list is higher than the information security level of the task list generated by the model before retraining.

В предпочтительном варианте реализации средство контроля операции 130 и средство формирования задач 120 исполняются на удаленном сервере 199. В другом варианте реализации средство контроля операции 130 и средство формирования задач 120 исполняются на сервере безопасности 140 (на Фиг. 1 связи отображены пунктирной линией). В рамках настоящего изобретения сервер безопасности 140 - это сервер, ресурсы которого полностью или частично используются для контроля операции при онлайн-взаимодействии пользователя с удаленным сервером 199 на основании полученных данных (упомянутых выше данных об устройстве и действии пользователя). В предпочтительном варианте реализации сервером безопасности 140 является облачный сервис безопасности, например Kaspersky Security Network.In a preferred embodiment, the transaction monitor 130 and the task builder 120 are executed on the remote server 199. In another implementation, the transaction monitor 130 and the task builder 120 are executed on the security server 140 (in FIG. 1, the links are shown with dashed lines). Within the framework of the present invention, the security server 140 is a server whose resources are fully or partially used to control the operation during the online interaction of the user with the remote server 199 based on the received data (the aforementioned data about the device and the user's action). In a preferred embodiment, the security server 140 is a cloud-based security service such as Kaspersky Security Network.

В одном из вариантов реализации средство контроля операции 130 может иметь в своем составе средство формирования задач 120, в ином варианте реализации средство контроля операции 130 и средство формирования задач 120 представляют собой отдельные модули.In one embodiment, the operation monitor 130 may include a task generator 120, in another implementation, the operation monitor 130 and the task generator 120 are separate modules.

В одном из вариантов реализации данные об устройстве 190, собранные средством сбора 110, сохраняются средством контроля операции 130 в базе данных 111 для дальнейшего переобучения нейронной сети 200 на большем объеме данных.In one implementation, the data about the device 190 collected by the collector 110 is stored by the transaction monitor 130 in the database 111 for further retraining of the neural network 200 on a larger amount of data.

В дополнительном варианте реализации результаты выполнения задач пользователем сохраняются средством контроля операции 130 в базе данных 111 для дальнейшего переобучения нейронной сети 200 на большем объеме данных.In a further embodiment, the results of the user's execution of tasks are stored by the operation monitor 130 in the database 111 for further retraining of the neural network 200 on a larger amount of data.

Средство контроля операции 130 передает результаты выполнения задач удаленному серверу 199. Удаленный сервер 199 на основании результатов выполнения задач разрешает или запрещает выполнение действия.The operation monitor 130 transmits the results of the execution of the tasks to the remote server 199. The remote server 199, based on the results of the execution of the tasks, allows or denies the execution of the action.

Примеры функционирования настоящей системы рассмотрены ниже, примеры векторов представлены на Фиг. 2.1. Пусть в примерах - Задача#2 есть «нажатие на кнопку (Войти)», Задача#5 есть «ввести пароль», Задача#N есть «ввести код из SMS». Действие, которое хочет выполнить пользователь - «войти в личный кабинет», имеет уровень информационной безопасности 0.5. Вектор с весами до переобучения модели обозначен непрерывной линией, вектор с весами после переобучения модели обозначен прерывистой линией.Examples of the functioning of the present system are discussed below, examples of vectors are shown in FIG. 2.1. Let in the examples - Task # 2 is “pressing the (Enter) button”, Task # 5 is “enter the password”, Task # N is “enter the code from SMS”. The action that the user wants to perform - "enter his personal account", has an information security level of 0.5. A vector with weights before model retraining is indicated by a continuous line, a vector with weights after model retraining is indicated by a dashed line.

Пример 1.Example 1.

Пусть для действий пользователя сформирован вектор с указанными весами для задач. Пользователь выполняет аутентификацию. Для того, чтобы успешно пройти контроль операции, необходимо, чтобы пользователь выполнил задачи с общим весом выше 0.5. Например, выполнил Задачу#2 и Задачу#5 или только Задачу#N. Однако, с учетом вышеуказанных правил, средство контроля операции 130 выбирает Задачу#N, так как количество задач наименьшее. В случае успешно пройденного контроля операции с помощью кода по CMC модель переобучается, и для последующих операций с этого устройства 190 вектор задач изменяется.Let a vector with the indicated weights for tasks be formed for user actions. The user is authenticating. In order to successfully pass the control of the operation, it is necessary for the user to complete tasks with a total weight of more than 0.5. For example, completed Task # 2 and Task # 5, or only Task # N. However, subject to the above rules, the operation monitor 130 selects Task # N since the number of tasks is the smallest. In the case of a successfully passed control of the operation using the CMC code, the model is retrained, and for subsequent operations from this device 190 the task vector is changed.

Пример 2.Example 2.

Пусть пользователь продолжает работать с устройства 190 (продолжение Примера 1). Пользователь выполняет очередную аутентификацию. Для того, чтобы успешно пройти контроль операции, необходимо, чтобы пользователь выполнил задачи с общим весом выше 0.5. Например, выполнил только Задачу#5 или только Задачу#N (так как в обоих случаях количество задач минимальное). Однако, с учетом вышеуказанных правил, средство контроля операции 130 выбирает Задачу#5 (так как вес задач наименьший). В случае успешно пройденного контроля операции с помощью ввода пароля модель переобучается, и для последующих операций с этого устройства 190 вектор задач изменяется.Let the user continue to work from device 190 (continuation of Example 1). The user performs another authentication. In order to successfully pass the control of the operation, it is necessary for the user to complete tasks with a total weight of more than 0.5. For example, completed only Task # 5 or only Task # N (since in both cases the number of tasks is minimal). However, subject to the above rules, the operation monitor 130 selects Task # 5 (since the weight of the tasks is the smallest). In the case of a successfully passed control of the operation by entering a password, the model is retrained, and for subsequent operations from this device 190 the vector of tasks is changed.

Пример 3.Example 3.

Пусть пользователь продолжает работать с устройства 190 (продолжение Примера 1), но забыл пароль. В случае неуспешной аутентификации (пароль введен некорректно несколько раз) модель переобучается, и для последующих операций с этого устройства 190 вектор задач изменяется. При этом для аутентификации по-прежнему необходимо, чтобы пользователь выполнил задачи с общим весом выше 0.5. Однако, теперь необходимо выполнить Задачу#5 и Задачу#N. Например, для успешного выполнения контроля операции пользователю необходимо пройти процедуру сброса пароля, а после успешного ввода пароля дополнительно ввести код из SMS.Let the user continue to work from device 190 (continuation of Example 1), but forgot the password. In case of unsuccessful authentication (the password was entered incorrectly several times), the model is retrained, and for subsequent operations from this device 190 the task vector is changed. However, authentication still requires the user to complete tasks with a total weight greater than 0.5. However, Task # 5 and Task # N now need to be completed. For example, to successfully complete the control of the operation, the user must go through the password reset procedure, and after successfully entering the password, additionally enter the code from the SMS.

Пример 4.Example 4.

Пусть пользователь продолжает работать с устройства 190 (продолжение Примера 1), но на устройстве появился root-доступ. В случае аутентификации модель использует информацию о потенциально опасном состоянии устройства 190. При этом для устройства с root-доступом модель вычисляет вектор с пониженным весом для Задачи#N, например, равным 0.4, так как код из SMS может быть перехвачен вредоносным приложением, использующим root-доступ. Кроме того, после выполнения аутентификации, модель переобучается, и для последующих операций с этого устройства 190 вектор задач изменяется так, что задача#N будет иметь еще меньший вес, например, 0.3.Let the user continue to work from device 190 (continuation of Example 1), but root access appeared on the device. In the case of authentication, the model uses information about the potentially dangerous state of device 190. At the same time, for a device with root access, the model calculates a vector with a reduced weight for Task # N, for example, equal to 0.4, since the code from SMS can be intercepted by a malicious application using root -access. In addition, after authentication is performed, the model is retrained, and for subsequent operations from this device 190 the task vector is changed so that task # N will have an even lower weight, for example, 0.3.

На этапе 310 с помощью средства сбора 110 на основании манипуляций пользователя, выполняемых с помощью устройства 190 для целей взаимодействия с удаленным сервером 199, выявляют действие пользователя при онлайн-взаимодействии с удаленным сервером 199, требующее контроля операции.At step 310, the collector 110, based on user manipulations performed by the device 190 for interacting with the remote server 199, detects the user's online interaction with the remote server 199 requiring control of the operation.

В еще одном варианте реализации контролем операции является процедура авторизации действия пользователя при взаимодействии с сервисом, предоставляемым удаленным сервером 199In another implementation, the control of the operation is the procedure for authorizing the user's actions when interacting with the service provided by the remote server 199

В общем случае средство сбора 110 также предназначено для выявления информации об устройстве 190, посредством которого пользователь взаимодействует с удаленным сервером 199, в частности, его цифрового отпечатка. В общем случае отпечаток содержит информацию о характеристиках устройства 190. Характеристики устройства 190 подробно рассмотрены при описании Фиг. 1.В одном из вариантов реализации выявление отпечатков происходит за счет исполнения в браузере на устройстве 190 JavaScript-сценария, при этом упомянутый сценарий является средством сбора 110, может храниться на удаленном сервере 199 и выполняться при обращении пользователя с устройства 190 к удаленному серверу 199.In general, the collection means 110 is also intended to detect information about the device 190, through which the user interacts with the remote server 199, in particular, his digital fingerprint. In general, the fingerprint contains information about the characteristics of the device 190. The characteristics of the device 190 are discussed in detail in the description of FIG. 1. In one embodiment, fingerprint detection occurs by executing a JavaScript script in the browser on the device 190, said script being a collector 110, can be stored on a remote server 199 and executed when a user from a device 190 accesses a remote server 199.

В еще одном варианте реализации сбор осуществляют посредством приложения, работающего на устройстве 190, при этом приложение может быть антивирусным приложением, или быть предназначенным для доступа к удаленным сервисам и созданным с использованием комплекта средств разработки.In yet another implementation, the collection is performed by an application running on device 190, which application may be an anti-virus application, or be designed to access remote services and created using a development kit.

На этапе 320 с помощью средства контроля операции 130 вычисляют уровень информационной безопасности действия пользователя, требующего контроля операции. Уровень информационной безопасности действия пользователя, требующего контроля операции, представляет собой числовую величину. В общем случае этом уровень вычисляется средством контроля операции 130 на основании информации, связанной с аккаунтом пользователя. Примеры подобной информации подробно рассмотрены при описании Фиг. 1.In step 320, the transaction control 130 calculates the information security level of the user action requiring transaction control. The level of information security of a user action requiring control of an operation is a numerical value. In general, the level is calculated by the transaction monitor 130 based on information associated with the user's account. Examples of such information are discussed in detail in the description of FIG. one.

На этапе 330 с помощью средства контроля операции 130 в зависимости от вычисленного уровня информационной безопасности для действия пользователя формируют список задач для выполнения.At step 330, a list of tasks to be performed is generated by the control means of operation 130, depending on the calculated information security level for the user's action.

Задачи для выполнения пользователем подробно рассмотрены при описании Фиг. 1.Tasks to be performed by the user are discussed in detail in the description of FIG. one.

В предпочтительном варианте реализации средство контроля операции 130 для формирования списка задач использует вектор задач, полученный от средства формирования задач 120. Средство формирования задач 120 создает и обучает модель формирования задач для каждого пользователя известными из уровня техники способами, принимая во внимание получаемые данные о действии пользователя 210 и об устройстве пользователя 220. В общем случае модель формирования задач использует в своей работе нейронную сеть 200. На основании полученных данных о действии пользователя 210 и об устройстве пользователя 220 упомянутая нейронная сеть 200 формирует на выходе вектор задач 290, которые необходимо выполнить пользователю для контроля операции, при этом вектор содержит по меньшей мере одну задачу. В общем случае результирующий вектор содержит веса для каждой задачи. Средство контроля операции 130 сопоставляет указанные веса из полученного вектора задач со значением уровня информационной безопасности для формирования списка задач с учетом правил.In a preferred embodiment, the operation monitor 130 uses the task vector received from the task generator 120 to generate the task list. The task generator 120 creates and trains a task generation model for each user using methods known in the art, taking into account the received user action data. 210 and about the user's device 220. In the general case, the task formation model uses a neural network 200 in its operation. Based on the received data about the actions of the user 210 and about the user's device 220, the said neural network 200 generates at the output a vector of tasks 290 that the user needs to perform for control of the operation, while the vector contains at least one task. In general, the resulting vector contains weights for each task. Operation control tool 130 compares the indicated weights from the resulting task vector with the information security level value to generate a list of tasks based on the rules.

Примеры формирования списка задач на основании вычисленного уровня информационной безопасности, а также вектора задач 290, подробно рассмотрены при описании Фиг. 1.Examples of generating a task list based on the calculated information security level as well as the task vector 290 are discussed in detail in the description of FIG. one.

На этапе 340 с помощью средства контроля операции 130 предоставляют сформированный список задач для выполнения пользователю, выполняющему действие, требующее контроля операции.At step 340, the operation control 130 provides the generated task list for execution to the user performing the action requiring operation control.

На этапе 350 с помощью удаленного сервера 199 в случае успешного выполнения пользователем задач из сформированного списка выполняют упомянутое действие пользователя при онлайн-взаимодействии пользователя с удаленным сервером 199.At step 350, with the help of the remote server 199, if the user successfully completes the tasks from the generated list, said user action is performed when the user interacts online with the remote server 199.

На этапе 360 в случае успешного выполнения пользователем задач из сформированного списка средство формирования задач 120 переобучает модель таким образом, чтобы список задач, сформированный переобученной моделью, содержал меньшее количество задач. В еще одном из вариантов реализации в случае успешного выполнения пользователем задач из сформированного списка средство формирования задач 120 переобучает модель таким образом, чтобы уровень информационной безопасности списка задач был выше уровня информационной безопасности списка задач, сформированного моделью до переобучения. Таким образом, в дальнейшем список задач для выполнения формируется средством формирования задач 120 с помощью переобученной модели на основании задач, выполненных пользователем ранее.In step 360, if the user successfully completes the tasks from the generated list, the task generator 120 retrains the model so that the task list generated by the retrained model contains fewer tasks. In another embodiment, if the user successfully completes tasks from the generated list, the task generating tool 120 retrains the model so that the information security level of the task list is higher than the information security level of the task list generated by the model before retraining. Thus, in the future, the list of tasks to be performed is generated by the task generating means 120 using the retrained model based on the tasks performed by the user earlier.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 4 shows an example of a general-purpose computer system, a personal computer or server 20, comprising a central processing unit 21, a system memory 22, and a system bus 23 that contains various system components, including memory associated with the central processing unit 21. The system bus 23 is implemented as any bus structure known from the prior art, containing in turn a bus memory or a bus memory controller, a peripheral bus and a local bus that is capable of interfacing with any other bus architecture. System memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains basic procedures that transfer information between the elements of the personal computer 20, for example, at the time of loading the operating room systems using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.The personal computer 20, in turn, contains a hard disk 27 for reading and writing data, a magnetic disk drive 28 for reading and writing to removable magnetic disks 29 and an optical drive 30 for reading and writing to removable optical disks 31, such as CD-ROM, DVD -ROM and other optical media. The hard disk 27, the magnetic disk drive 28, and the optical drive 30 are connected to the system bus 23 via the hard disk interface 32, the magnetic disk interface 33, and the optical drive interface 34, respectively. Drives and corresponding computer storage media are non-volatile storage media for computer instructions, data structures, program modules and other data of a personal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses a hard disk 27, a removable magnetic disk 29 and a removable optical disk 31, but it should be understood that other types of computer storage media 56 that are capable of storing data in a computer readable form (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.), which are connected to the system bus 23 through the controller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has a file system 36, where the recorded operating system 35 is stored, as well as additional software applications 37, other program modules 38 and program data 39. The user has the ability to enter commands and information into the personal computer 20 through input devices (keyboard 40, manipulator " mouse "42). Other input devices may be used (not shown): microphone, joystick, game console, scanner, etc. Such input devices are conventionally connected to the computer system 20 through a serial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). A monitor 47 or other type of display device is also connected to the system bus 23 via an interface such as a video adapter 48. In addition to the monitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, etc. ...

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.The personal computer 20 is capable of operating in a networked environment using a network connection with other or more remote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the entity. the personal computer 20 shown in FIG. 4. The computer network may also contain other devices, for example, routers, network stations, peer-to-peer devices or other network nodes.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, personal computer 20 is connected to local network 50 via a network adapter or network interface 51. When using networks, personal computer 20 may use a modem 54 or other means of providing communication with a wide area network, such as the Internet. Modem 54, which is an internal or external device, is connected to the system bus 23 via a serial port 46. It should be noted that network connections are only exemplary and are not required to reflect the exact configuration of the network, i. E. in fact, there are other ways of establishing a connection by technical means of communication of one computer with another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information given in the description are examples and do not limit the scope of the present invention defined by the claims. One skilled in the art will appreciate that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims

1. A method for controlling an operation when a user interacts with a remote server, containing the stages at which:

a) using the collection means, at least one user action is detected when the user interacts with the remote server, requiring control of the operation;

b) using the task formation tool, a trained model is used, which, based on data about the user's action and about the user's device, generates a vector of tasks to be performed, and transfers the generated task vector to the operation control tool;

c) using the operation control means, the value of the information security level of said user action requiring control of the operation is calculated, a list of tasks to be performed for said user action based on the mentioned generated task vector is generated depending on the calculated value of the information security level, and the generated list of tasks to be performed is provided user;

d) with the help of a remote server, if the user successfully completes tasks from the generated list, the said user action is performed.

2. The method of claim 1, wherein the control of the operation is at least a user authentication procedure.

3. The method according to claim 1, wherein the control of the operation is at least a procedure for authorizing the operation.

4. The method of claim 1, wherein the collecting means detects at least one user action based on user manipulations performed by the user's device for interacting with a remote server.

5. The method according to claim 1, wherein the collection means identifies data about the user's device.

6. The method according to claim 1, wherein the operation control means calculates an information security level value based on information associated with a user account on a remote server.

7. The method according to claim 6, in which the information associated with the user account on the remote server is at least information:

- about the verification of the user account;

- about the amount of funds in the user's accounts;

- about the citizenship of the user;

- about the duration of user registration;

- about the user's rating.

8. The method according to claim 1, wherein the list of tasks to be performed includes at least one task, including, in particular:

- button press;

- input of SARTSNA;

- entering a password;

- Turing test;

- entering the authentication code;

- request for a code in a message;

- following the link in the message;

- providing a QR code;

- provision of biometric data;

- provision of voice confirmation.

9. The method of claim 1, wherein the task vector includes weight values for each task.

10. The method according to claim 9, in which a list of tasks is formed using the operation control means to be performed based on the rules and the results of the comparison of the information security level value with the task weights from the task vector.

11. The method according to claim 1, wherein the list of tasks to be performed is generated using the retrained model based on the tasks performed earlier.

12. The method according to claim 11, in which, if the user successfully completes tasks from the generated list, the model is retrained so that the task vector generated by the retrained model contains fewer tasks.

13. The method according to claim 11, in which, if the user successfully completes tasks from the generated list, the model is retrained so that the values of the task weights are higher than the values of the task weights generated by the model before the retraining.