(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN107070876A(43)申请公布日2017.08.18(21)申请号201710064198.3(74)专利代理机构北京康信知识产权代理有限责任公司1(22)申请日2017.02.041240代理人梁丽超刘彬(30)优先权数据15/016,9962016.02.05US(51)Int.Cl.H04L29/06(2006.01)(71)申请人索尼公司地址日本东京申请人索尼互动娱乐有限责任公司(72)发明人李·柯尔斯滕·古尔德康纳·艾尔沃德克里斯蒂安·特劳姆伊戈尔·邦达连科阿列克谢·卡尔波夫雨果·恩布里希茨权利要求书2页说明书12页附图8页(54)发明名称方法、设备以及系统(57)摘要本发明公开了方法、设备以及系统。该方法包括将用户请求的空间划分为子集，并且基于在该用户请求所属的用户请求子集中的用户请求的数量的演变来确定用户请求的风险评分。CN107070876ACN107070876A权利要求书1/2页1.一种方法，包括：将用户请求的空间划分为子集，并且确定用户请求的风险评分，所述确定基于在所述用户请求所属的用户请求子集中的用户请求的数量的演变。2.根据权利要求1所述的方法，其中，每个用户请求在数据库中表示为包括数据字段的数据库条目，并且其中，根据在所述数据库中定义的一个或多个所述数据字段来划分用户请求的空间。3.根据权利要求1所述的方法，其中，根据以下各项，将用户请求的空间划分为子集：根据与相应的用户请求相关的域名；和/或根据与相应的用户请求相关的原籍国；和/或根据与相应的用户请求相关的平台标识符。4.根据权利要求1所述的方法，其中，为所述用户请求子集确定时间序列，并且其中，基于所述时间序列来确定所述用户请求的风险评分。5.根据权利要求4所述的方法，其中，所述时间序列是频率数据的时间序列。6.根据权利要求4所述的方法，其中，对于每个进入的用户请求，更新所述进入的用户请求所属的相应的用户请求子集的时间序列。7.根据权利要求4所述的方法，其中，从所述时间序列中计算在所述时间序列对应的子集中的用户请求的数量的演变是否存在最近的突然增加。8.根据权利要求4所述的方法，其中，时间序列的确定与其他检查结合，以减少假肯定。9.根据权利要求4所述的方法，其中，季节和趋势分解方法和/或ESD方法用于实时地自动检测在所述时间序列中的异常。10.根据权利要求1所述的方法，其中，独立地在每个子集中确定用户请求的风险评分。11.根据权利要求1所述的方法，其中，所述用户请求涉及以下各项：账户创建操作、电子钱包充值操作、购买操作、登录操作、反馈操作、或变更操作。12.根据权利要求1所述的方法，其中，所述用户请求涉及账户创建操作，并且其中，所述风险评分用于检测假账户创建。13.根据权利要求1所述的方法，其中，如果用户请求的风险评分超过针对预定义数量的用户请求的预定义值，则生成通知。14.根据权利要求1所述的方法，其中，如果用户请求属于具有超过预定义值的风险评分的用户请求子集，则阻止所述用户请求，延迟对所述用户请求的响应，请求发出所述用户请求的用户的验证码，在进行之前请求用户通过双因素认证来认证，禁止或暂停用户账户，将与所述用户请求对应的IP地址列入黑名单，或者将用户账户添加到高风险组以进行进一步监测。15.根据权利要求1所述的方法，其中，由欺诈和异常检测系统执行将用户请求的空间划分为子集以及确定子集中的用户请求的风险评分。16.根据权利要求15所述的方法，其中，所述用户请求由网络应用收集并且传递到所述欺诈和异常检测系统。17.一种包括处理器的设备，所述设备被配置成：将用户请求的空间划分为子集，并且2CN107070876A权利要求书2/2页确定用户请求的风险评分，所述确定基于在所述用户请求所属的用户请求子集中的用户请求的数量的演变。18.根据权利要求17所述的设备，所述设备进一步被设置为欺诈和异常检测系统的一部分。19.根据权利要求17所述的设备，所述设备进一步连接至信息安全操作中心和/或网络操作中心。20.一种系统，包括：服务器，托管网络应用；以及包括处理器的设备，所述设备被配置成将用户请求的空间划分为子集，并且确定用户请求的风险评分，所述确定基于在所述用户请求所属的用户请求子集中的用户请求的数量的演变。3CN107070876A说明书1/12页方法、设备以及系统技术领域[0001]本公开总体上涉及用于保护网络服务的方法、设备以及系统。背景技术[0002]近来，组织越来越成为攻击其网络服务的受害者。这些攻击大多来自有组织犯罪，往往是针对钱财欺诈。部分攻击(通常是大规模的并出现在新闻标题中的攻击)是欺诈的准备步骤，例如，窃取账户凭证、信用卡详细信息等。[0003]很多已知的欺诈