本公開總體上涉及用于保護(hù)網(wǎng)絡(luò)服務(wù)的方法、設(shè)備以及系統(tǒng)。

背景技術(shù)：

近來，組織越來越成為攻擊其網(wǎng)絡(luò)服務(wù)的受害者。這些攻擊大多來自有組織犯罪，往往是針對錢財(cái)欺詐。部分攻擊(通常是大規(guī)模的并出現(xiàn)在新聞標(biāo)題中的攻擊)是欺詐的準(zhǔn)備步驟，例如，竊取賬戶憑證、信用卡詳細(xì)信息等。

很多已知的欺詐計(jì)劃使用這些罪犯自己在為了攻擊所尋求的服務(wù)上創(chuàng)建的“假”賬戶。假賬戶創(chuàng)建通常是很多進(jìn)一步攻擊的第一步，因此，檢測到假賬戶越快，在創(chuàng)建的賬戶用于欺詐交易、垃圾郵件、網(wǎng)絡(luò)釣魚等時(shí)稍后出現(xiàn)的問題就越少。為了保持對服務(wù)/網(wǎng)絡(luò)應(yīng)用不可見，黑客可以從很多不同的機(jī)器創(chuàng)建賬戶，通常通過使用僵尸網(wǎng)絡(luò)。

技術(shù)實(shí)現(xiàn)要素：

雖然存在用于保護(hù)網(wǎng)絡(luò)應(yīng)用服務(wù)的技術(shù)，但是通常希望找到用于保護(hù)網(wǎng)絡(luò)服務(wù)的改進(jìn)的技術(shù)。

根據(jù)第一方面，本公開提供了一種方法，包括：將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

根據(jù)進(jìn)一步方面，本公開提供了一種包括處理器的設(shè)備，其被配置成：將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

根據(jù)進(jìn)一步方面，本公開提供了一種系統(tǒng)，包括：服務(wù)器，其托管網(wǎng)絡(luò)應(yīng)用；以及包括處理器的設(shè)備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

在從屬權(quán)利要求、以下描述和附圖中闡述進(jìn)一步方面。

附圖說明

參考附圖，通過實(shí)例解釋實(shí)施方式，其中：

圖1示意性地示出了包括由風(fēng)險(xiǎn)和異常檢測設(shè)備監(jiān)視的網(wǎng)絡(luò)應(yīng)用的系統(tǒng)；

圖2示出了作為在網(wǎng)絡(luò)應(yīng)用上的示例性用戶操作的注冊表，其導(dǎo)致向網(wǎng)絡(luò)應(yīng)用發(fā)出用戶請求；

圖3示意性地示出了根據(jù)歸屬域和國家將用戶請求的空間劃分為子集的實(shí)施方式；

圖4示意性地示出了根據(jù)歸屬國家和平臺(tái)將用戶請求的空間劃分為子集的實(shí)施方式；

圖5示出了示例性時(shí)間序列，其包括根據(jù)國家和域所確定的在用戶請求的子集中的用戶請求的頻率數(shù)據(jù)；

圖6示意性地描述了可以用于實(shí)現(xiàn)風(fēng)險(xiǎn)和異常檢測設(shè)備和/或網(wǎng)絡(luò)應(yīng)用的計(jì)算機(jī)系統(tǒng)的實(shí)施方式；

圖7示意性地描述了用于從對于網(wǎng)絡(luò)應(yīng)用的用戶請求確定風(fēng)險(xiǎn)評(píng)分的方法的實(shí)施方式；以及

圖8的a)至e)示意性地示出了用于檢測在時(shí)間序列中的異常的示例性算法。

具體實(shí)施方式

在以下實(shí)施方式中公開的方法包括將用戶請求的空間劃分為子集，并且基于在用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定該用戶請求的風(fēng)險(xiǎn)評(píng)分。

用戶請求可以涉及用戶在網(wǎng)絡(luò)應(yīng)用上的操作。網(wǎng)絡(luò)應(yīng)用可以例如是客戶端-服務(wù)器軟件應(yīng)用、網(wǎng)絡(luò)服務(wù)、云服務(wù)等，例如，由組織向用戶提供的網(wǎng)絡(luò)服務(wù)。服務(wù)器可以例如由服務(wù)提供組織控制?？蛻舳丝梢岳缡怯捎脩艨刂频木W(wǎng)絡(luò)瀏覽器。常見的網(wǎng)絡(luò)應(yīng)用例如是網(wǎng)絡(luò)郵件、娛樂服務(wù)、在線游戲、在線零售銷售、在線拍賣、維基、即時(shí)消息服務(wù)和很多其他服務(wù)。

用戶經(jīng)由用戶請求與網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)服務(wù)或云服務(wù)交互。當(dāng)用戶在網(wǎng)絡(luò)應(yīng)用上發(fā)起特定操作時(shí)或者當(dāng)用戶請求來自網(wǎng)絡(luò)的應(yīng)用特定信息時(shí)，通常由客戶端向服務(wù)器發(fā)出用戶請求。用戶請求可以例如涉及從網(wǎng)絡(luò)應(yīng)用檢索內(nèi)容，例如，從新聞門戶檢索新聞文章或例如從視頻流服務(wù)檢索視頻。

在下面描述的具體實(shí)施方式中，用戶請求涉及賬戶創(chuàng)建操作、電子錢包充值操作、購買操作、登錄操作、反饋操作(例如，對網(wǎng)絡(luò)服務(wù)的用戶評(píng)論)或變更操作(例如，網(wǎng)絡(luò)服務(wù)的用戶賬戶的銀行賬戶信息的變更)。

用戶請求可以通過當(dāng)用戶與網(wǎng)絡(luò)應(yīng)用交互時(shí)由網(wǎng)絡(luò)應(yīng)用記錄的數(shù)據(jù)表示。網(wǎng)絡(luò)應(yīng)用可以例如在表示用戶請求的數(shù)據(jù)庫條目中記錄關(guān)于用戶請求的信息。

用戶請求的空間可以是任何一組用戶請求，例如，例如由網(wǎng)絡(luò)應(yīng)用例如在預(yù)定時(shí)間段內(nèi)收集或接收的所有用戶請求，或者用戶請求的子部分或預(yù)定義子部分，例如由網(wǎng)絡(luò)應(yīng)用例如在預(yù)定時(shí)間段內(nèi)收集或接收的并且涉及賬戶創(chuàng)建操作的所有用戶請求。

用戶請求可以例如由包括幾個(gè)數(shù)據(jù)字段的數(shù)據(jù)庫條目表示。每個(gè)數(shù)據(jù)字段可以反映與用戶請求相關(guān)的特定信息。

例如，用戶可以在網(wǎng)絡(luò)應(yīng)用上創(chuàng)建賬戶，以便獲得對該網(wǎng)絡(luò)應(yīng)用所提供的服務(wù)的訪問。在該實(shí)例中，用戶在注冊表中填寫關(guān)于其身份的信息。例如，用戶向網(wǎng)絡(luò)應(yīng)用提供其名字、姓氏、頭銜、電子郵件地址、電話號(hào)碼以及國家，以便創(chuàng)建賬戶。一旦用戶填寫了注冊表的相應(yīng)字段，就按下向網(wǎng)絡(luò)應(yīng)用發(fā)起相應(yīng)用戶請求的提交按鈕(或“創(chuàng)建賬戶”按鈕)。

在賬戶創(chuàng)建操作的該特定實(shí)例中的用戶請求可以例如是post請求，其是由萬維網(wǎng)使用的http協(xié)議支持的很多請求方法之一。通過設(shè)計(jì)，post請求方法請求網(wǎng)絡(luò)服務(wù)器接受并存儲(chǔ)包含在請求消息的主體中的數(shù)據(jù)。post請求嵌入在注冊表中定義的數(shù)據(jù)字段，作為鍵值對，鍵值對由'&'字符分隔。網(wǎng)絡(luò)應(yīng)用從post請求中讀取鍵值對，并根據(jù)在post請求中包含的數(shù)據(jù)字段開始相應(yīng)操作。在賬戶創(chuàng)建操作的實(shí)例中，網(wǎng)絡(luò)應(yīng)用通過在網(wǎng)絡(luò)服務(wù)上創(chuàng)建相應(yīng)的用戶賬戶來注冊用戶。

在接收到用戶請求時(shí)，網(wǎng)絡(luò)應(yīng)用可以將與用戶請求相關(guān)的信息記錄在數(shù)據(jù)庫中。在賬戶創(chuàng)建請求的情況下，表示用戶請求的數(shù)據(jù)庫條目可以例如包括上述數(shù)據(jù)字段名字、姓氏、頭銜、電子郵件地址、電話號(hào)碼以及國家。

存在實(shí)現(xiàn)用戶請求的很多可替換的實(shí)施方式。例如，萬維網(wǎng)和http基于很多請求方法，包括post和get以及put、delete等。

用戶請求例如還可以符合rest標(biāo)準(zhǔn)，通過該標(biāo)準(zhǔn)，系統(tǒng)與作為由統(tǒng)一資源標(biāo)識(shí)符(uri)標(biāo)識(shí)的網(wǎng)絡(luò)資源的外部系統(tǒng)接合。

在實(shí)施方式中可以使用檢索表示用戶請求的信息的很多其他方式。例如，網(wǎng)絡(luò)應(yīng)用可以檢索關(guān)于發(fā)出用戶請求的平臺(tái)的信息。平臺(tái)可以是向服務(wù)器發(fā)出請求的任何客戶端，例如，網(wǎng)絡(luò)瀏覽器、操作系統(tǒng)、嵌入用戶代理的計(jì)算機(jī)程序等。網(wǎng)絡(luò)應(yīng)用可以例如通過http_user_agent字段識(shí)別發(fā)出用戶請求的平臺(tái)。例如，基于php的網(wǎng)絡(luò)應(yīng)用可以通過命令$_server['http_user_agent']查詢網(wǎng)絡(luò)服務(wù)器來檢索該信息。網(wǎng)絡(luò)客戶端通常將http_user_agent設(shè)置為允許識(shí)別客戶端的特定文本串。例如，文本串“mozilla/5.0(playstation3；2.00)”將playstation3標(biāo)識(shí)為發(fā)出用戶請求的平臺(tái)。因此，使用http_user_agent，網(wǎng)絡(luò)應(yīng)用可以在推斷發(fā)出用戶請求的特定平臺(tái)。因此，平臺(tái)標(biāo)識(shí)符可以作為額外數(shù)據(jù)字段儲(chǔ)存在反映用戶請求的數(shù)據(jù)庫條目中。

如上面關(guān)于賬戶創(chuàng)建操作示例性描述的，每個(gè)用戶請求可以在數(shù)據(jù)庫中表示為包括定義該用戶請求的數(shù)據(jù)字段的數(shù)據(jù)庫條目?？商鎿Q地，用戶請求也可以表示為在列表中的行，每行包括數(shù)據(jù)字段等。

由發(fā)明人進(jìn)行的歷史流量數(shù)據(jù)集的分析顯示，可以通過搜索在與從客戶端發(fā)送到網(wǎng)絡(luò)應(yīng)用的用戶請求相關(guān)的網(wǎng)絡(luò)流量中的異常(例如，在每次用戶請求的數(shù)量的演變中的異常)，來識(shí)別一部分惡意用戶請求。這些異常是可見的，例如，作為來自良好選擇的請求子集(例如，源自同一電子郵件域的賬戶的所有請求)的后續(xù)請求的時(shí)間序列的突然變化。

根據(jù)具體實(shí)施方式，根據(jù)在數(shù)據(jù)庫中定義的一個(gè)或多個(gè)數(shù)據(jù)字段來劃分用戶請求的空間。

將請求劃分成子集可以是無監(jiān)督劃分，這意味著不需要子集的先驗(yàn)知識(shí)。

可以根據(jù)與相應(yīng)用戶請求相關(guān)的域名和/或根據(jù)與相應(yīng)用戶請求相關(guān)的原籍國，和/或根據(jù)與相應(yīng)用戶請求相關(guān)的平臺(tái)標(biāo)識(shí)符，可以將用戶請求的空間劃分為子集。

例如，可以從與用戶請求相關(guān)的電子郵件地址檢索域名。例如，如果用戶嘗試使用電子郵件地址john.doe@organization1.com在網(wǎng)絡(luò)應(yīng)用上注冊賬戶，則在將用戶請求劃分為子集中，organization1.com可以用作域。

將用戶請求的空間分割成子集可以例如包括識(shí)別在一個(gè)或多個(gè)預(yù)定義數(shù)據(jù)字段中具有相同值的所有用戶請求并將其分組在一起，例如，識(shí)別與同一域相關(guān)和/或源自同一國家的所有用戶請求并將其分組在一起。

觀察在用戶請求的子集中的用戶請求可以提供關(guān)于用戶請求的異常活動(dòng)的信息。用戶請求的異?；顒?dòng)可以表示欺詐性地使用網(wǎng)絡(luò)應(yīng)用。在賬戶創(chuàng)建操作的情況下，假賬戶創(chuàng)建可能構(gòu)成對網(wǎng)絡(luò)應(yīng)用的欺詐使用。

下面公開的方法可以基于在用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

風(fēng)險(xiǎn)評(píng)分可以例如是反映在風(fēng)險(xiǎn)評(píng)分歸屬于的用戶請求的相應(yīng)子集內(nèi)的用戶請求是否反映欺詐使用網(wǎng)絡(luò)應(yīng)用或者反映欺詐使用網(wǎng)絡(luò)應(yīng)用的可能性的數(shù)量、實(shí)體、矩陣等。風(fēng)險(xiǎn)評(píng)分可以例如是在0和1之間的數(shù)字，其中，0表示非常低的欺詐使用的概率，而1表示非常高的欺詐使用的概率。

用戶請求的數(shù)量的演變可以例如通過能夠描述用戶請求的數(shù)量如何隨時(shí)間改變的任何量或度量來描述。

例如，根據(jù)一個(gè)實(shí)施方式，為用戶請求的子集確定時(shí)間序列，并且其中，基于該時(shí)間序列確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

時(shí)間序列可以例如是頻率數(shù)據(jù)的時(shí)間序列，其將在時(shí)間上的幾個(gè)實(shí)例與在相應(yīng)時(shí)間實(shí)例上的相應(yīng)用戶請求速率相關(guān)聯(lián)。

時(shí)間序列可以例如作為數(shù)據(jù)庫條目存儲(chǔ)在數(shù)據(jù)庫中。

根據(jù)一個(gè)實(shí)施方式，對于每個(gè)進(jìn)入的用戶請求，更新該進(jìn)入的用戶請求所屬的用戶請求的相應(yīng)子集的時(shí)間序列。

根據(jù)一個(gè)實(shí)施方式，從時(shí)間序列計(jì)算在時(shí)間序列對應(yīng)的子集中的用戶請求的數(shù)量的演變是否存在最近的突然增加。然后，可以根據(jù)在用戶請求的流量模式中是否存在最近的突然增加來設(shè)置風(fēng)險(xiǎn)評(píng)分。

所提出的技術(shù)不一定保證用戶請求涉及濫用。所提出的技術(shù)提供由于突然的業(yè)務(wù)量增加而發(fā)生可疑事件并且需要更多的注意來檢查的指示，這就足夠了。因此，時(shí)間序列的確定可以與其他檢查組合，以減少假肯定(falsepositive)。例如，在特定子集中的請求的數(shù)量的突然增加可以是欺詐者已經(jīng)開始自動(dòng)攻擊的指示。然而，突然增加也可能僅僅是因?yàn)榇黉N活動(dòng)已經(jīng)開始，在活動(dòng)開始的那一天吸引了很多新客戶。因此，可以進(jìn)行額外檢查，以將惡意請求與良性請求區(qū)分。檢查檢測到的異常請求的惡意性的一種可能方式是檢查在子集中的很多請求是否使用相同的密碼。這可能是這些請求源自執(zhí)行自動(dòng)攻擊的欺詐者的強(qiáng)烈指示。自動(dòng)攻擊的另一個(gè)可能的指示是在子集中的很多請求具有相同的ip地址和用戶代理組合的時(shí)間。這就是在本申請中描述的異常檢測技術(shù)可以與諸如密碼使用的頻率分析或ip地址+用戶代理組合的頻率分析等其他檢查相結(jié)合的原因。

根據(jù)一個(gè)實(shí)施方式，stl方法和/或esd方法可以用于實(shí)時(shí)地自動(dòng)檢測在時(shí)間序列中的異常。stl是“使用loess的季節(jié)和趨勢分解”的縮寫，而loess是一種用于估計(jì)非線性關(guān)系的方法。stl是一種用于分解時(shí)間序列的非常通用并且穩(wěn)健的方法。首字母縮略詞esd表示廣義的極端學(xué)生化偏差測試，該測試可以用于檢測在遵循近似正態(tài)分布的單變量數(shù)據(jù)集中的一個(gè)或多個(gè)離群值。

根據(jù)一個(gè)實(shí)施方式，在每個(gè)子集中獨(dú)立地進(jìn)行確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

根據(jù)一個(gè)實(shí)施方式，用戶請求與賬戶創(chuàng)建操作相關(guān)，并且風(fēng)險(xiǎn)評(píng)分用于檢測假賬戶創(chuàng)建。

根據(jù)一個(gè)實(shí)施方式，如果用戶請求的風(fēng)險(xiǎn)評(píng)分超過預(yù)定義值，則生成通知。該通知可以例如發(fā)送給信息安全操作中心和/或網(wǎng)絡(luò)操作中心。

根據(jù)一個(gè)實(shí)施方式，如果用戶請求屬于具有超過預(yù)定義值或處于表示網(wǎng)絡(luò)應(yīng)用的欺詐使用的特定預(yù)定義范圍/區(qū)域內(nèi)的風(fēng)險(xiǎn)評(píng)分的用戶請求的子集，則阻止該用戶請求。很多其他動(dòng)作是可能的，例如，延遲響應(yīng)，請求驗(yàn)證碼或者在進(jìn)行之前請求終端用戶通過雙因素認(rèn)證來認(rèn)證?？梢圆扇〉钠渌麆?dòng)作是禁止或暫停用戶賬戶，將ip地址列入黑名單，或者將用戶賬戶添加到高風(fēng)險(xiǎn)組，用于由異常檢測設(shè)備進(jìn)一步監(jiān)視。

在此處公開的方法可以用于監(jiān)視一個(gè)或多個(gè)網(wǎng)絡(luò)應(yīng)用。

在一些實(shí)施方式中，還實(shí)現(xiàn)在本文所述的方法，作為當(dāng)在計(jì)算機(jī)和/或處理器上執(zhí)行時(shí)促使計(jì)算機(jī)和/或處理器執(zhí)行該方法的計(jì)算機(jī)程序。

在一些實(shí)施方式中，還提供了一種永久性計(jì)算機(jī)可讀記錄介質(zhì)，在該介質(zhì)內(nèi)存儲(chǔ)計(jì)算機(jī)程序產(chǎn)品，當(dāng)由諸如上述處理器等處理器執(zhí)行時(shí)，該計(jì)算機(jī)程序產(chǎn)品促使執(zhí)行在本文所述的方法。

下面還公開了一種包括處理器的設(shè)備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

該設(shè)備可以被設(shè)置為欺詐和異常檢測系統(tǒng)的一部分。

該設(shè)備可以進(jìn)一步連接至托管網(wǎng)絡(luò)應(yīng)用的服務(wù)器。該設(shè)備例如可以通過計(jì)算機(jī)網(wǎng)絡(luò)連接至托管網(wǎng)絡(luò)應(yīng)用的服務(wù)器。

該設(shè)備可以實(shí)現(xiàn)為單個(gè)服務(wù)器或者分布式系統(tǒng)，例如，以云服務(wù)的形式。處理器可以是單個(gè)cpu，或者可以實(shí)現(xiàn)為多個(gè)cpu，例如，駐留在單個(gè)服務(wù)器計(jì)算機(jī)中或在云處理環(huán)境的意義上本地分布的cpu。

根據(jù)一個(gè)實(shí)施方式，該設(shè)備進(jìn)一步連接至信息安全操作中心和/或網(wǎng)絡(luò)操作中心。該連接可以由一個(gè)或多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)(例如，lan和wan)實(shí)現(xiàn)。

根據(jù)一個(gè)實(shí)施方式，由欺詐和異常檢測系統(tǒng)執(zhí)行將用戶請求劃分為子集并且確定在子集中的用戶請求的風(fēng)險(xiǎn)評(píng)分。

下面還公開了一種系統(tǒng)，包括：服務(wù)器，其托管網(wǎng)絡(luò)應(yīng)用；以及包括處理器的設(shè)備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

用戶請求可以由網(wǎng)絡(luò)應(yīng)用收集并傳遞到欺詐和異常檢測系統(tǒng)。

圖1示意性地示出了包括由風(fēng)險(xiǎn)和異常檢測設(shè)備3監(jiān)視的網(wǎng)絡(luò)應(yīng)用2的系統(tǒng)。用戶1正在(例如)通過網(wǎng)絡(luò)瀏覽器與網(wǎng)絡(luò)應(yīng)用2交互。網(wǎng)絡(luò)應(yīng)用2包括邏輯15和數(shù)據(jù)庫16。邏輯15被設(shè)置為向用戶1提供網(wǎng)絡(luò)服務(wù)，例如，在線游戲服務(wù)。網(wǎng)絡(luò)應(yīng)用2從用戶1接收用戶請求，例如，與賬戶注冊操作相關(guān)的用戶請求。網(wǎng)絡(luò)應(yīng)用2將與這種用戶請求相關(guān)的數(shù)據(jù)作為數(shù)據(jù)條目記錄在數(shù)據(jù)庫16中。網(wǎng)絡(luò)應(yīng)用2將該數(shù)據(jù)傳遞給風(fēng)險(xiǎn)和異常檢測設(shè)備3，用于進(jìn)一步分析。

風(fēng)險(xiǎn)和異常檢測設(shè)備3包括api6，其由網(wǎng)絡(luò)應(yīng)用2使用，以與風(fēng)險(xiǎn)和異常檢測設(shè)備3通信，特別是將與用戶請求相關(guān)的數(shù)據(jù)條目傳遞給風(fēng)險(xiǎn)和異常檢測設(shè)備3。風(fēng)險(xiǎn)和異常檢測設(shè)備3進(jìn)一步包括將接收到的數(shù)據(jù)存儲(chǔ)在活動(dòng)數(shù)據(jù)庫12中的事件引擎7。在事件引擎7中的可疑事件的檢測基于存儲(chǔ)在規(guī)則數(shù)據(jù)庫13中并且由規(guī)則引擎8對存儲(chǔ)在活動(dòng)數(shù)據(jù)庫12中的數(shù)據(jù)上應(yīng)用的預(yù)定義規(guī)則。例如，如果在存儲(chǔ)在活動(dòng)數(shù)據(jù)庫12中的用戶請求的獨(dú)特子集中的用戶請求的流量顯示異常，則事件引擎7可以推斷出特定用戶請求反映了網(wǎng)絡(luò)應(yīng)用2的欺詐使用具有一定可能性。如果事件引擎7檢測到異?；顒?dòng)，則事件引擎7改變在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息。存儲(chǔ)在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息反映在用戶請求的一個(gè)子集中是否存在欺詐使用的跡象。如果對于用戶請求的特定子集，存儲(chǔ)在狀態(tài)數(shù)據(jù)庫11中的狀態(tài)信息反映在該用戶請求的子集中存在欺詐使用的高可能性，則相應(yīng)的分析結(jié)果以風(fēng)險(xiǎn)評(píng)分的形式存儲(chǔ)在結(jié)果數(shù)據(jù)庫13中。

風(fēng)險(xiǎn)評(píng)分也發(fā)送回網(wǎng)絡(luò)應(yīng)用2。在接收到風(fēng)險(xiǎn)評(píng)分時(shí)，網(wǎng)絡(luò)應(yīng)用2將決定如何繼續(xù)該請求。如果風(fēng)險(xiǎn)評(píng)分高于閾值，則其可以決定阻止該請求。很多其他動(dòng)作是可能的，例如，延遲響應(yīng)，請求驗(yàn)證碼或者在進(jìn)行之前請求終端用戶通過雙因素認(rèn)證來認(rèn)證。可以采取的其他動(dòng)作是禁止或暫停用戶賬戶，將ip地址列入黑名單，或者將用戶賬戶添加到高風(fēng)險(xiǎn)組，用于由異常檢測設(shè)備進(jìn)一步監(jiān)視。

如果具有高風(fēng)險(xiǎn)評(píng)分的請求的數(shù)量超過配置的數(shù)量，則操作單元9觸發(fā)向信息安全操作中心/網(wǎng)絡(luò)操作中心4(soc/noc)發(fā)出相應(yīng)的通知。然后，信息安全操作中心/網(wǎng)絡(luò)操作中心4(soc/noc)可以決定阻止在用戶請求的可疑子集內(nèi)的用戶請求訪問網(wǎng)絡(luò)應(yīng)用2。當(dāng)soc/noc4接收到很多警報(bào)時(shí)，可能會(huì)觸發(fā)安全操作員調(diào)查是否需要采取緊急手動(dòng)行動(dòng)。此外，管理員可以使用儀表板應(yīng)用程序5來訪問在風(fēng)險(xiǎn)和異常檢測設(shè)備3中收集的并且由該設(shè)備建立的數(shù)據(jù)。例如，管理員可以研究顯示表示在用戶請求的特定子集內(nèi)的用戶請求的速率的時(shí)間序列的示圖?；趯σ粋€(gè)或多個(gè)時(shí)間序列的這種分析，管理員可以推斷新規(guī)則或?qū)m于檢測在用戶請求的業(yè)務(wù)中的異常的現(xiàn)有規(guī)則的修改。

在規(guī)則引擎8中的一些規(guī)則的目標(biāo)可以是檢測在用戶請求的子集中的異常。在這種情況下，狀態(tài)數(shù)據(jù)庫11為請求的每個(gè)子集存儲(chǔ)對象，該對象包含在某個(gè)時(shí)間段(例如，過去的一周)內(nèi)在該子集中的所有過去的用戶請求的頻率。當(dāng)接收到新請求時(shí)，確定該請求屬于哪個(gè)子集，并且從狀態(tài)數(shù)據(jù)庫11檢索對應(yīng)的頻率對象，并且檢查異常。

圖2示出了作為在網(wǎng)絡(luò)應(yīng)用2上的示例性用戶操作的注冊表20，其導(dǎo)致向網(wǎng)絡(luò)應(yīng)用2發(fā)出用戶請求。網(wǎng)絡(luò)應(yīng)用2向用戶提供在線服務(wù)，例如，在線游戲服務(wù)。為了被允許使用服務(wù)，用戶必須注冊。為此，網(wǎng)絡(luò)應(yīng)用在網(wǎng)絡(luò)瀏覽器中向用戶呈現(xiàn)注冊表20。注冊表20包括幾個(gè)可編輯字段21至26，用戶在注冊過程中必須填寫這些字段。預(yù)見字段21和22接收用戶的名字和姓氏，在此處是名字“john”和姓氏“doe”。預(yù)見字段23接收用戶的頭銜，在此處是“mr.”。預(yù)見字段24接收用戶的電子郵件地址，在此處是“john.doe@organization1.com”。在字段25中，用戶向服務(wù)指示其原籍國，在此處是美國，由國家代碼“us”表示。預(yù)見字段26接收用戶的電話號(hào)碼，在此處是“+11115555”。用戶一填寫了注冊表的字段，就按下提交按鈕27，在此處標(biāo)記為“注冊”。當(dāng)按下提交按鈕27時(shí)，用戶的網(wǎng)絡(luò)瀏覽器向網(wǎng)絡(luò)應(yīng)用的服務(wù)器發(fā)出post請求。該post請求嵌入在注冊表中定義的數(shù)據(jù)字段，作為鍵值對，鍵值對由“&”字符分隔。網(wǎng)絡(luò)應(yīng)用可以從post請求中讀取鍵值對，并根據(jù)在post請求中包含的數(shù)據(jù)字段開始相應(yīng)操作。在賬戶創(chuàng)建操作的實(shí)例中，網(wǎng)絡(luò)應(yīng)用通過在網(wǎng)絡(luò)服務(wù)上創(chuàng)建相應(yīng)的用戶賬戶來注冊用戶。進(jìn)一步，網(wǎng)絡(luò)應(yīng)用記錄描述用戶請求的數(shù)據(jù)，用于提交到欺詐和異常檢測系統(tǒng)。

將網(wǎng)絡(luò)應(yīng)用2和風(fēng)險(xiǎn)和異常檢測設(shè)備3劃分為如上所述的單元，僅僅是為了說明的目的，并且本公開不限于在特定單元中的任何特定的功能劃分。例如，網(wǎng)絡(luò)應(yīng)用2和風(fēng)險(xiǎn)和異常檢測設(shè)備3中的每一個(gè)可以由相應(yīng)的編程處理器、現(xiàn)場可編程門陣列(fpga)等實(shí)現(xiàn)。這種編程處理器可以例如實(shí)現(xiàn)事件引擎7、規(guī)則引擎8、操作單元9、api6以及opapi10等的功能。

與諸如上面在圖2中描述的賬戶創(chuàng)建操作相關(guān)的用戶請求可以表示為具有數(shù)據(jù)字段“名字”、“姓氏”、“頭銜”、“電子郵件”、“國家”以及“電話”(在圖2中的21至26)的數(shù)據(jù)庫條目。表示用戶請求的數(shù)據(jù)庫條目的示例列表如下所示。

表1：表示用戶請求的示例性數(shù)據(jù)庫條目

根據(jù)表1，來自由“us”標(biāo)識(shí)的美國的johndoe先生發(fā)出請求，以將playstation裝置用作平臺(tái)(由平臺(tái)標(biāo)識(shí)符ps標(biāo)識(shí))來通過電子郵件地址john.doe@organization1.com和電話“+11115555”注冊賬戶。來自由“de”標(biāo)識(shí)的德國的erikamustermann女士發(fā)出請求，以將internetexplorer用作平臺(tái)(由平臺(tái)標(biāo)識(shí)符ie標(biāo)識(shí))來通過電子郵件地址erika.mustermann@organization2.com和電話“+49123456”注冊賬戶。來自由“be”標(biāo)識(shí)的比利時(shí)的josjosens博士發(fā)出請求，以將opera網(wǎng)絡(luò)瀏覽器用作平臺(tái)(由平臺(tái)標(biāo)識(shí)符“opera”標(biāo)識(shí))來通過電子郵件地址jos.joskens123@organization3.com和電話“+32999999”注冊賬戶。

包含用戶的電子郵件地址的字段用于導(dǎo)出歸屬于每個(gè)用戶請求的域。例如，johndoe先生的請求涉及域“organization1.com”，erikamustermann女士的請求涉及域“organization2.com”，并且josjoskens博士的請求涉及域organization3.com。

圖3示意性地示出了根據(jù)歸屬域和國家將用戶請求的空間劃分為子集的實(shí)施方式。在該實(shí)施方式中，假設(shè)用戶請求涉及賬戶創(chuàng)建操作，例如，上面在圖2和表1中描述的操作。在該實(shí)例中，根據(jù)其歸屬域和國家，將用戶請求的空間劃分為子集。字段31表示所有用戶請求的空間。在該示意性表示的水平方向，用戶請求根據(jù)其原籍國(在此處是“us”、“de”、“in”、“dk”等)來分組。在該示意表示的垂直方向，用戶請求根據(jù)其歸屬域(在此處為“organization1.com”、“organization2.com”、“organization3.com”等)來分組。對于用戶請求的每個(gè)子集，在數(shù)據(jù)庫中存儲(chǔ)反映在隨后的時(shí)間點(diǎn)在相應(yīng)子集中的用戶請求的速率的時(shí)間序列。在圖3中，時(shí)間集33涉及歸屬于域organization3.com和國家德國(“de”)的用戶請求的子集32。對于每個(gè)進(jìn)入的用戶請求，更新進(jìn)入的用戶請求所屬的用戶請求的相應(yīng)子集的時(shí)間序列。

圖4示意性地示出了根據(jù)歸屬國家和平臺(tái)將用戶請求的空間劃分為子集的實(shí)施方式。在該實(shí)施方式中，再次假設(shè)用戶請求涉及賬戶創(chuàng)建操作，例如，上面在圖2和表1中描述的操作。在該實(shí)例中，根據(jù)其歸屬國和平臺(tái)，將用戶請求的空間劃分為子集。字段41表示所有用戶請求的空間。在該示意性表示的水平方向，用戶請求根據(jù)其原籍國(在此處是“us”、“de”、“in”、“dk”等)來分組。在該示意表示的垂直方向，用戶請求根據(jù)其歸屬平臺(tái)標(biāo)識(shí)符(在此處是playstation、internetexplorer、opera等)來分組。對于用戶請求的每個(gè)子集，在數(shù)據(jù)庫中存儲(chǔ)反映在隨后的時(shí)間點(diǎn)在相應(yīng)子集中的用戶請求的速率的時(shí)間序列。在圖4中，時(shí)間序列43涉及由歸屬于國家德國(“de”)的用戶使用internetexplorer平臺(tái)發(fā)布的用戶請求的子集42。與在圖3的實(shí)施方式中一樣，對于每個(gè)進(jìn)入的用戶請求，更新進(jìn)入的用戶請求所屬的用戶請求的相應(yīng)子集的時(shí)間序列。

下面的表2以示例性方式描述欺詐和異常檢測系統(tǒng)如何從例如可以由網(wǎng)絡(luò)服務(wù)器為每個(gè)進(jìn)入的http請求記錄的http-user-agent字符串推導(dǎo)平臺(tái)標(biāo)識(shí)符。下面的表2的左列顯示了作為由與進(jìn)入的用戶請求連接的php$_server['http_user_agent']命令檢索的http-user-agent字符串。表2的右列表示歸屬于相應(yīng)的http_user_agent字符串的平臺(tái)標(biāo)識(shí)符，并且在括號(hào)中表示平臺(tái)的對應(yīng)名稱。

表2：http_user_agent字符串到平臺(tái)id的示例性映射

從上面的表2可以看出，每個(gè)平臺(tái)可以由多個(gè)可替換的http_user_agent字符串表示。例如，所有三個(gè)字符串“mozilla/5.0(playstation3；3.55)”、“mozilla/5.0(playstation3；2.00)”以及“mozilla/5.0(playstation3；1.00)”映射到同一平臺(tái)，即，映射到由平臺(tái)標(biāo)識(shí)符“ps”標(biāo)識(shí)的playstation平臺(tái)。

圖5示出了示例性時(shí)間序列33的更詳細(xì)的示圖，其包括在根據(jù)國家和域確定的用戶請求的子集中的用戶請求的頻率數(shù)據(jù)34。時(shí)間序列33是頻率數(shù)據(jù)34的時(shí)間序列，其將在時(shí)間上的幾個(gè)實(shí)例與在相應(yīng)時(shí)間實(shí)例上的相應(yīng)用戶請求速率相關(guān)聯(lián)。頻率數(shù)據(jù)34的每個(gè)塊表示在對應(yīng)于在水平時(shí)間方向上的盒體的寬度的特定時(shí)間間隔內(nèi)已被計(jì)數(shù)的用戶請求的數(shù)量。時(shí)間序列作為數(shù)據(jù)庫條目存儲(chǔ)在數(shù)據(jù)庫中(例如，在圖1的狀態(tài)數(shù)據(jù)庫11中)。基于頻率數(shù)據(jù)34，計(jì)算風(fēng)險(xiǎn)評(píng)分35。在圖5的實(shí)施方式中，例如，根據(jù)stl方案計(jì)算風(fēng)險(xiǎn)評(píng)分，如下面在圖8中更詳細(xì)地解釋的。在某種簡化的程度上，可以觀察到，在用戶請求的速率的變化大的情況下，風(fēng)險(xiǎn)評(píng)分35大，反之亦然。

該實(shí)施方式的風(fēng)險(xiǎn)評(píng)分35是反映在用戶請求的相應(yīng)子集中的用戶請求對應(yīng)于網(wǎng)絡(luò)應(yīng)用的欺詐使用的可能性的值。對于每個(gè)進(jìn)入的用戶請求，更新進(jìn)入的用戶請求所屬的用戶請求的相應(yīng)子集的頻率數(shù)據(jù)34。

圖5的時(shí)間序列示出即使對于如下所述的創(chuàng)建賬戶操作，在對網(wǎng)絡(luò)應(yīng)用的用戶請求的總業(yè)務(wù)中可能看不到任何可疑的內(nèi)容，如果結(jié)合域名和國家查看業(yè)務(wù)，則可以獲得清晰可見的異常，其可以指示網(wǎng)絡(luò)應(yīng)用的濫用。因此，根據(jù)本實(shí)施方式的風(fēng)險(xiǎn)和異常檢測方法利用了以下觀察：與網(wǎng)絡(luò)應(yīng)用的欺詐使用(諸如僵尸網(wǎng)絡(luò)攻擊等)相關(guān)的用戶請求可以具有區(qū)域特性，即，一個(gè)特定僵尸網(wǎng)絡(luò)的節(jié)點(diǎn)可以大部分僅僅位于世界的一個(gè)區(qū)域中。

圖6示意性地描述了可以用于實(shí)現(xiàn)風(fēng)險(xiǎn)和異常檢測設(shè)備3和/或網(wǎng)絡(luò)應(yīng)用2的計(jì)算機(jī)系統(tǒng)50的實(shí)施方式。該計(jì)算機(jī)系統(tǒng)50包括用于存儲(chǔ)數(shù)據(jù)51(例如，存儲(chǔ)在數(shù)據(jù)庫11、12、13、14中的數(shù)據(jù))的存儲(chǔ)器、用于運(yùn)行在執(zhí)行時(shí)執(zhí)行上述方法的程序代碼的處理器52、以及用于與外部裝置通信的i/o接口53(例如，用于從opapi10向soc/noc4發(fā)送通知等)。該計(jì)算機(jī)系統(tǒng)可以實(shí)現(xiàn)為單個(gè)服務(wù)器或分布式計(jì)算機(jī)系統(tǒng)，例如，以云服務(wù)的形式。處理器52可以是單個(gè)cpu，或者可以被實(shí)現(xiàn)為多個(gè)cpu，例如，駐留在單個(gè)服務(wù)器計(jì)算機(jī)中或在云處理環(huán)境的意義上本地分布的cpu。

圖7示意性地描述了用于從對于網(wǎng)絡(luò)應(yīng)用的用戶請求確定風(fēng)險(xiǎn)評(píng)分的方法的實(shí)施方式。在101，方法開始。在103，接收與在網(wǎng)絡(luò)應(yīng)用上的用戶操作相關(guān)的下一個(gè)用戶請求。在105，將計(jì)數(shù)器i初始化為1。在107，檢查規(guī)則i是否涉及將用戶請求的空間劃分為子集。如果在107處的檢查結(jié)果為是，則該方法進(jìn)入109。如果在107處的檢查結(jié)果為否，則該方法進(jìn)入113。在109，確定用戶請求屬于哪個(gè)子集。在111，從狀態(tài)數(shù)據(jù)庫11中檢索包含在相同子集中的先前請求的頻率的對象。用新接收的請求更新該對象。在113，根據(jù)規(guī)則i計(jì)算新接收的請求的風(fēng)險(xiǎn)評(píng)分si。在115，計(jì)數(shù)器i遞增。在117，檢查計(jì)數(shù)器i是否已經(jīng)達(dá)到規(guī)則的總數(shù)。如果在117處的檢查結(jié)果為否，則該方法返回到107。如果在117處的檢查結(jié)果為是，則該方法進(jìn)入119。在119，將個(gè)體風(fēng)險(xiǎn)評(píng)分si組合成新接收的請求的全局風(fēng)險(xiǎn)評(píng)分s。在119之后，該方法返回到103。

圖8的a)至e)示意性地示出了用于檢測在時(shí)間序列中的異常的示例性算法。圖8的a)示出了由50個(gè)時(shí)間樣本組成的示例性時(shí)間序列61。在垂直軸上繪制在每個(gè)時(shí)間樣本中的用戶請求速率。從該時(shí)間序列61中，計(jì)算反映在用戶請求中的趨勢的中值62(參見圖8的b))。進(jìn)一步，在減去中值62之后，將多項(xiàng)式近似應(yīng)用于時(shí)間序列61中，以獲得時(shí)間序列61的多項(xiàng)式近似63(參見圖8的c))。從時(shí)間序列61中減去該多項(xiàng)式近似63，以提取時(shí)間序列的波動(dòng)64，作為剩余分量(見圖8的d))。然后，確定在波動(dòng)64中的離群值65a、b、c(參見圖8的e))。離群值65a、b、c的這種確定可以例如基于波動(dòng)64與閾值的比較或者使用stl(使用loess的季節(jié)和趨勢分解)方法和/或esd(極端學(xué)生化偏差)測試。

應(yīng)認(rèn)識(shí)到，實(shí)施方式描述了具有方法步驟的示例性序列的方法。然而，方法步驟的特定序列僅僅是為了說明的目的，不應(yīng)被解釋為具有約束力。

還可以實(shí)現(xiàn)上述方法，作為當(dāng)在計(jì)算機(jī)和/或處理器上執(zhí)行時(shí)促使計(jì)算機(jī)和/或處理器(例如，上述在圖6中的處理器52)執(zhí)行該方法的計(jì)算機(jī)程序。在一些實(shí)施方式中，還提供了一種永久性計(jì)算機(jī)可讀記錄介質(zhì)，在該介質(zhì)內(nèi)存儲(chǔ)計(jì)算機(jī)程序產(chǎn)品，當(dāng)由諸如上述處理器等處理器執(zhí)行時(shí)，該計(jì)算機(jī)程序產(chǎn)品促使執(zhí)行所描述的方法。

如果沒有另外說明，則在本說明書中所描述的和在所附權(quán)利要求中要求保護(hù)的所有單元和實(shí)體可以作為集成電路邏輯在例如芯片上實(shí)現(xiàn)，并且如果沒有另外說明，則由這種單元和實(shí)體提供的功能可以由軟件實(shí)現(xiàn)。

只要使用軟件控制的數(shù)據(jù)處理設(shè)備至少部分地實(shí)現(xiàn)上述本公開的實(shí)施方式，將理解的是，提供這種軟件控制和傳輸?shù)挠?jì)算機(jī)程序、存儲(chǔ)器或通過其提供這種計(jì)算機(jī)程序的其他介質(zhì)被設(shè)想為本公開的方面。

注意，還可以如下所述配置本技術(shù)。

(1)一種方法，包括：

將用戶請求的空間劃分為子集，并且

基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

(2)根據(jù)(1)所述的方法，其中，每個(gè)用戶請求在數(shù)據(jù)庫中表示為包括數(shù)據(jù)字段的數(shù)據(jù)庫條目，并且其中，根據(jù)在所述數(shù)據(jù)庫中定義的一個(gè)或多個(gè)數(shù)據(jù)字段來劃分用戶請求的空間。

(3)根據(jù)(1)或(2)所述的方法，其中，根據(jù)與相應(yīng)用戶請求相關(guān)的域名和/或根據(jù)與相應(yīng)用戶請求相關(guān)的原籍國，和/或根據(jù)與相應(yīng)用戶請求相關(guān)的平臺(tái)標(biāo)識(shí)符，將用戶請求的空間劃分為子集。

(4)根據(jù)(1)到(3)中任一項(xiàng)所述的方法，其中，為所述用戶請求的子集確定時(shí)間序列，并且其中，基于所述時(shí)間序列來確定所述用戶請求的風(fēng)險(xiǎn)評(píng)分。

(5)根據(jù)(4)所述的方法，其中，所述時(shí)間序列是頻率數(shù)據(jù)的時(shí)間序列。

(6)根據(jù)(4)或(5)所述的方法，其中，對于每個(gè)進(jìn)入的用戶請求，更新所述進(jìn)入的用戶請求所屬的用戶請求的相應(yīng)子集的時(shí)間序列。

(7)根據(jù)(4)到(6)中任一項(xiàng)所述的方法，其中，從所述時(shí)間序列中計(jì)算在所述時(shí)間序列對應(yīng)的子集中的用戶請求的數(shù)量的演變是否存在最近的突然增加。

(8)根據(jù)(7)所述的方法，其中，時(shí)間序列的確定與其他檢查結(jié)合，以減少假肯定。

(9)根據(jù)(1)到(8)中任一項(xiàng)所述的方法，其中，季節(jié)和趨勢分解方法和/或esd方法用于實(shí)時(shí)地自動(dòng)檢測在所述時(shí)間序列中的異常。

(10)根據(jù)(1)到(9)中任一項(xiàng)所述的方法，其中，獨(dú)立地在每個(gè)子集中確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

(11)根據(jù)(1)到(10)中任一項(xiàng)所述的方法，其中，所述用戶請求涉及賬戶創(chuàng)建操作、電子錢包充值操作、購買操作、登錄操作、反饋操作或改變操作。

(12)根據(jù)(1)到(11)中任一項(xiàng)所述的方法，其中，所述用戶請求涉及賬戶創(chuàng)建操作，并且其中，所述風(fēng)險(xiǎn)評(píng)分用于檢測假賬戶創(chuàng)建。

(13)根據(jù)(1)到(12)中任一項(xiàng)所述的方法，其中，如果用戶請求的風(fēng)險(xiǎn)評(píng)分超過預(yù)定義數(shù)量的用戶請求的預(yù)定義值，則生成通知。

(14)根據(jù)(1)到(13)中任一項(xiàng)所述的方法，其中，如果用戶請求屬于具有超過預(yù)定義值的風(fēng)險(xiǎn)評(píng)分的用戶請求的子集，則阻止所述用戶請求，延遲對所述用戶請求的響應(yīng)，從發(fā)出用戶請求的用戶請求驗(yàn)證碼，在進(jìn)行之前請求用戶通過雙因素認(rèn)證來認(rèn)證，禁止或暫停用戶賬戶，將與用戶請求相對應(yīng)的ip地址列入黑名單，或者將用戶賬戶添加到高風(fēng)險(xiǎn)組以進(jìn)行進(jìn)一步監(jiān)測。

(15)根據(jù)(1)到(14)中任一項(xiàng)所述的方法，其中，由欺詐和異常檢測系統(tǒng)執(zhí)行將用戶請求的空間劃分為子集以及確定在子集中的用戶請求的風(fēng)險(xiǎn)評(píng)分。

(16)根據(jù)(1)到(15)中任一項(xiàng)所述的方法，其中，所述用戶請求由網(wǎng)絡(luò)應(yīng)用收集并且傳遞到所述欺詐和異常檢測系統(tǒng)。

(17)一種包括處理器的設(shè)備，其被配置成：

將用戶請求的空間劃分為子集，并且

基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

(18)根據(jù)(17)所述的設(shè)備，所述設(shè)備進(jìn)一步被設(shè)置為欺詐和異常檢測系統(tǒng)的一部分。

(19)根據(jù)(17)所述的設(shè)備，所述設(shè)備進(jìn)一步連接至信息安全操作中心和/或網(wǎng)絡(luò)操作中心。

(20)一種系統(tǒng)，包括：

服務(wù)器，其托管網(wǎng)絡(luò)應(yīng)用；以及

包括處理器的設(shè)備，其被配置成將用戶請求的空間劃分為子集，并且基于在該用戶請求所屬的用戶請求的子集中的用戶請求的數(shù)量的演變來確定用戶請求的風(fēng)險(xiǎn)評(píng)分。

(21)一種計(jì)算機(jī)程序，其包括當(dāng)在計(jì)算機(jī)上執(zhí)行時(shí)促使計(jì)算機(jī)執(zhí)行根據(jù)(1)至(16)中任一項(xiàng)所述的方法的程序代碼。

(22)一種永久性計(jì)算機(jī)可讀記錄介質(zhì)，在其內(nèi)存儲(chǔ)計(jì)算機(jī)程序產(chǎn)品，當(dāng)由處理器執(zhí)行時(shí)，所述計(jì)算機(jī)程序產(chǎn)品促使執(zhí)行根據(jù)(1)至(16)中任一項(xiàng)所述的方法。