[发明专利]速度事件评估系统

说明书

提供了一种用于确定速度事件是假还是真的系统。该系统访问速度事件的数据存储库，每个速度事件指定共享速度事件的一对地址。针对速度事件的每个地址，该系统基于与该地址共享速度事件的地址的数目来设置针对该地址的得分。当针对该地址的得分满足始发地址标准时，该系统将该地址指明为始发地址。当速度事件的两个地址都是始发地址时，该系统可以确定速度事件为真。

技术领域

本公开涉及一种计算系统及其方法。

背景技术

网络攻击使公司和个人损失数十亿美元。2015年的一份报告指出，网络攻击每年使公司损失超过4000亿美元。除了财务成本之外，网络攻击还可能导致有价值信息的破坏或丢失。例如，勒索软件攻击可以加密个人计算机上的所有数据，包括财务文档、家庭照片、电子邮件消息等的唯一副本。如果没有支付赎金，则数据可能会永远保持加密状态。即使支付了赎金，攻击者也可能不提供用于解密数据的密钥。由于网络攻击的高成本，公司和个人在开发和购买安全系统方面花费了大量资源作为网络攻击的防御。这些安全系统包括防火墙系统、防病毒系统、身份验证系统、入侵防御系统、访问控制系统等。

对网络攻击的一些防御可能依赖于检测“速度事件”的发生。当在一段时间内从两个不同的位置访问资源时，如果这段时间对于一个人在这些位置之间合理行进来说太短暂，则发生速度事件，也称为“速度事件”。图1示出了速度事件的示例。计算机系统110(即，资源)可以在1:00从第一因特网协议(“IP”)地址接收到用户的登录请求120，并且在2:00从第二IP地址接收到用户的另一登录请求130。(提供给计算机系统的IP地址被认为是源IP地址，因为它是从其接收到登录地址的计算机的IP地址。)IP/位置表140将IP地址映射到相应的物理地址。在该示例中，IP/位置表将第一地址映射到纽约，并且将第二地址映射到特拉维夫。由于纽约与特拉维夫之间的距离超过5000英里，一个人不可能在一小时内从纽约前往特拉维夫。因此，这些登录不可能是由在这些位置之间行进的同一个人尝试的。至少一个登录请求可能是黑客或某个其他未授权用户尝试的网络攻击。当检测到这样的速度事件时，可以采取对策。对策可以包括锁定用户的帐户，需要附加认证(例如，多因素认证)，发送电子邮件以警告用户，等等。

然而，某些速度事件可能是误报，因为即使IP地址与不同位置相关联，用户也不在这些位置之一处。这种速度事件可以被认为是假速度事件，这是有问题的，与真速度事件相反，这是有问题的。由于各种原因，速度事件可能是假的。例如，IP地址到位置的映射可能不准确。作为另一示例，可以通过具有不同IP地址的服务器来引导源自具有一个IP地址的用户的计算机的登录请求。接收登录请求的计算机系统仅知道登录请求是从服务器的IP地址发送的。用户的计算机和服务器的IP地址分别称为“始发”IP地址和“替代”IP地址。例如，当用户尝试经由虚拟专用网络(“VPN”)登录到计算机系统时，可以使用替代IP地址。因此，如果纽约的用户首先在1:00经由他们的智能电话提交登录请求，并且然后在2:00仍然在纽约经由连接到特拉维夫的服务器的计算机提交登录请求，则将检测到速度事件。然而，速度事件是假的。

如果对每个假速度事件采取对策，将不必要地使用相当多的计算机资源。因此，这些计算机资源将无法用于检测和防止网络攻击。另外，用户可能认为对策(例如，锁定帐户)是繁重的并且对用户施加不适当的负担。

发明内容

提供了一种用于确定速度事件是假还是真的系统。在一些实施例中，该系统访问速度事件的数据存储库，每个速度事件指定共享速度事件的一对地址。对于速度事件的每个地址，该系统基于地址具有的过去的速度事件的数目以及与该地址共享速度事件的地址来设置该地址的得分。当该地址的得分满足始发地址标准时，该系统将该地址指明为始发地址。当速度事件的两个地址都是始发地址时，该系统可以确定速度事件为真。

提供本发明内容是为了以简化的形式介绍一些概念，这些概念将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

附图说明

图1示出了速度事件的示例。