用于改进的网络攻击检测的系统和方法与流程

本公开一般而言涉及基于网络的网络安全性，并且更具体地涉及用于早期检测计算机网络上的网络攻击的计算机系统和基于计算机的方法。

背景技术：

1、计算机系统在我们的日常生活中随处可见。多个计算机联网在一起，因此信息可以在从一个计算机到另一个计算机进行共享和传送。通过这些计算机网络共享的数据容易受到期望盗用这些数据的外部各方的攻击。出于这些原因，计算机网络需要受到保护以免遭受此类网络攻击，包括大范围网络攻击。

2、例如，在支付处理行业中，支付处理网络每天处理由支付卡的持卡人发起的大量支付交易。这些支付交易中的大多数是有效交易。但是，这些支付交易中至少有一些是欺诈性的并且可能是网络攻击的一部分。支付交易处理器(诸如支付网络和/或发行银行/处理器和/或收单银行/处理器)可以监视支付交易以查找欺诈活动的迹象。至少一些已知的网络攻击检测系统一次监视一个支付交易以确定该支付交易是否可能存在欺诈。至少一些已知的用于监视和检测欺诈的计算机模型是静态模型。具体而言，这些模型一旦设置就随着时间的推移以相同的方式分析支付交易。这些已知的静态模型可能无法检测到低级网络攻击或欺诈活动的不断变化的策略。

技术实现思路

1、在一个方面，描述了一种用于检测计算机网络中的网络攻击事件的计算系统。该计算系统包括其上存储有指令的至少一个存储器，以及与至少一个存储器通信的至少一个处理器，其中指令在由至少一个处理器执行时使得至少一个处理器执行粗糙度剖析引擎和网络攻击检测模型。粗糙度剖析引擎被配置为接收源自多个商家的多个支付交易授权请求并生成至少一个数据结构，其中至少一个数据结构将支付交易授权请求分类到多个组中，多个组中的每个组与多个支付交易授权请求的第一数据字段相关联。粗糙度剖析引擎还被配置为将多个组剖析成多个子组，多个子组中的每个子组包括相应组的支付交易授权请求并且与多个支付交易授权请求的第二数据字段相关联，并且在至少一个时间段内从与多个子组中的至少一个子组相关联的支付交易授权请求计算至少一个相应的累积度量。粗糙度剖析引擎还被配置为确定至少一个粗糙度比率值，该粗糙度比率值包括多个子组中具有第一衰减率的第一子组的至少一个相应累积度量的第一值与多个子组中具有第二衰减率的第一子组的至少一个相应累积度量的第二值的比率，基于至少一个粗糙度比率值生成特征输入的集合，并且将特征输入的集合传输到网络攻击检测模型，其中响应于接收到特征输入的集合，网络攻击检测模型被配置为将机器学习模型应用于支付交易授权请求。

2、在另一方面，描述了至少一种其上存储有指令的非暂态计算机可读存储介质。响应于由实现粗糙度剖析引擎和网络攻击检测模型的至少一个处理器的执行，指令使得至少一个处理器接收源自多个商家的多个支付交易授权请求，生成至少一个数据结构，其中至少一个数据结构将支付交易授权请求分类到多个组中，多个组中的每个组与多个支付交易授权请求的第一数据字段相关联，并且将多个组剖析成多个子组，多个子组中的每个子组包括相应组的支付交易授权请求并且与多个支付交易授权请求的第二数据字段相关联。指令还使得至少一个处理器在至少一个时间段内从与多个子组中的至少一个子组相关联的支付交易授权请求计算至少一个相应的累积度量，并确定至少一个粗糙度比率值，该粗糙度比率值包括多个子组中具有第一衰减率的第一子组的至少一个相应累积度量的第一值与多个子组中具有第二衰减率的第一子组的至少一个相应累积度量的第二值的比率。指令还使得至少一个处理器基于至少一个粗糙度比率值生成特征输入的集合，并且将特征输入的集合传输到网络攻击检测模型，其中响应于接收到特征输入的集合，网络攻击检测模型被配置为将机器学习模型应用于支付交易授权请求。

3、在又一方面，描述了一种用于检测支付网络中的网络攻击事件的方法，该方法由至少一个存储器和执行粗糙度剖析引擎和网络攻击检测模型的至少一个处理器实现。该方法包括接收源自多个商家的多个支付交易授权请求，生成至少一个数据结构，其中至少一个数据结构将支付交易授权请求分类到多个组中，多个组中的每个组与多个支付交易授权请求的第一数据字段相关联，并将多个组剖析成多个子组，多个子组中的每个子组包括相应组的支付交易授权请求并且与多个支付交易授权请求的第二数据字段相关联。该方法还包括在至少一个时间段内从与多个子组中的至少一个子组相关联的支付交易授权请求计算至少一个相应的累积度量，并确定至少一个粗糙度比率值，该粗糙度比率值包括多个子组中具有第一衰减率的第一子组的至少一个相应累积度量的第一值与多个子组中具有第二衰减率的第一子组的至少一个相应累积度量的第二值的比率。该方法还包括基于至少一个粗糙度比率值生成特征输入的集合，并且将特征输入的集合传输到网络攻击检测模型，其中响应于接收到特征输入的集合，网络攻击检测模型被配置为将机器学习模型应用于支付交易授权请求。

技术特征：

1.一种用于检测计算机网络中的网络攻击事件的计算系统，该计算系统包括：

2.如权利要求1所述的计算系统，其中第一数据字段包括商家标识符(id)、发行方id或收单方id中的至少一个。

3.如权利要求1所述的计算系统，其中所述多个子组中的每个子组与美元范围相关联，并且其中第二数据字段包括美元金额。

4.如权利要求1所述的计算系统，其中所述至少一个累积度量包括速度，该速度包括交易发生的速率。

5.如权利要求1所述的计算系统，其中指令还使得所述至少一个处理器：

6.如权利要求1所述的计算系统，其中粗糙度剖析引擎还被配置为：

7.如权利要求6所述的计算系统，其中指令还使得所述至少一个处理器：

8.如权利要求6所述的计算系统，其中指令还使得所述至少一个处理器：

9.如权利要求6所述的计算系统，其中指令还使得所述至少一个处理器：

10.至少一种其上存储有指令的非暂态计算机可读存储介质，响应于由实现粗糙度剖析引擎和网络攻击检测模型的至少一个处理器的执行，使得所述至少一个处理器：

11.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中第一数据字段包括商家标识符(id)、发行方id或收单方id中的至少一个。

12.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中所述多个子组中的每个子组与美元范围相关联，并且其中第二数据字段包括美元金额。

13.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中所述至少一个累积度量包括速度，该速度包括交易发生的速率。

14.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中指令还使得所述至少一个处理器：

15.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中粗糙度剖析引擎还被配置为：

16.如权利要求15所述的至少一种非暂态计算机可读存储介质，其中指令还使得所述至少一个处理器：

17.如权利要求15所述的至少一种非暂态计算机可读存储介质，其中指令还使得所述至少一个处理器：

18.如权利要求10所述的至少一种非暂态计算机可读存储介质，其中特征输入的集合包括至少一个累积度量和至少一个粗糙度比率值。

19.一种用于检测计算机网络中的网络攻击事件的方法，该方法由至少一个存储器和执行粗糙度剖析引擎和网络攻击检测模型的至少一个处理器实现，该方法包括：

20.如权利要求19所述的方法，还包括：

技术总结描述了一种用于检测网络攻击事件的计算系统。该计算系统执行粗糙度剖析引擎和网络攻击检测模型。粗糙度剖析引擎被配置为接收多个支付交易授权请求消息并生成多个组，所述多个组中的每个组与第一数据字段相关联。粗糙度剖析引擎还被配置为将所述多个组剖析成多个子组，所述多个子组中的每个子组与第二数据字段相关联，并且从与所述多个子组之一相关联的支付交易授权请求消息计算相应的累积度量。粗糙度剖析引擎还被配置为确定粗糙度比率值，基于粗糙度比率值生成特征输入的集合，并将该特征输入的集合传输到网络攻击检测模型。技术研发人员：S·A·阿夫扎尔受保护的技术使用者：万事达卡国际公司技术研发日：技术公布日：2024/7/23