提供了一種用于確定速度事件是假還是真的系統。該系統訪問速度事件的數據存儲庫，每個速度事件指定共享速度事件的一對地址。針對速度事件的每個地址，該系統基于與該地址共享速度事件的地址的數目來設置針對該地址的得分。當針對該地址的得分滿足始發地址標準時，該系統將該地址指明為始發地址。當速度事件的兩個地址都是始發地址時，該系統可以確定速度事件為真。

技術領域

本公開涉及一種計算系統及其方法。

背景技術

網絡攻擊使公司和個人損失數十億美元。2015年的一份報告指出，網絡攻擊每年使公司損失超過4000億美元。除了財務成本之外，網絡攻擊還可能導致有價值信息的破壞或丟失。例如，勒索軟件攻擊可以加密個人計算機上的所有數據，包括財務文檔、家庭照片、電子郵件消息等的唯一副本。如果沒有支付贖金，則數據可能會永遠保持加密狀態。即使支付了贖金，攻擊者也可能不提供用于解密數據的密鑰。由于網絡攻擊的高成本，公司和個人在開發和購買安全系統方面花費了大量資源作為網絡攻擊的防御。這些安全系統包括防火墻系統、防病毒系統、身份驗證系統、入侵防御系統、訪問控制系統等。

對網絡攻擊的一些防御可能依賴于檢測“速度事件”的發生。當在一段時間內從兩個不同的位置訪問資源時，如果這段時間對于一個人在這些位置之間合理行進來說太短暫，則發生速度事件，也稱為“速度事件”。圖1示出了速度事件的示例。計算機系統110(即，資源)可以在1:00從第一因特網協議(“IP”)地址接收到用戶的登錄請求120，并且在2:00從第二IP地址接收到用戶的另一登錄請求130。(提供給計算機系統的IP地址被認為是源IP地址，因為它是從其接收到登錄地址的計算機的IP地址。)IP/位置表140將IP地址映射到相應的物理地址。在該示例中，IP/位置表將第一地址映射到紐約，并且將第二地址映射到特拉維夫。由于紐約與特拉維夫之間的距離超過5000英里，一個人不可能在一小時內從紐約前往特拉維夫。因此，這些登錄不可能是由在這些位置之間行進的同一個人嘗試的。至少一個登錄請求可能是黑客或某個其他未授權用戶嘗試的網絡攻擊。當檢測到這樣的速度事件時，可以采取對策。對策可以包括鎖定用戶的帳戶，需要附加認證(例如，多因素認證)，發送電子郵件以警告用戶，等等。

然而，某些速度事件可能是誤報，因為即使IP地址與不同位置相關聯，用戶也不在這些位置之一處。這種速度事件可以被認為是假速度事件，這是有問題的，與真速度事件相反，這是有問題的。由于各種原因，速度事件可能是假的。例如，IP地址到位置的映射可能不準確。作為另一示例，可以通過具有不同IP地址的服務器來引導源自具有一個IP地址的用戶的計算機的登錄請求。接收登錄請求的計算機系統僅知道登錄請求是從服務器的IP地址發送的。用戶的計算機和服務器的IP地址分別稱為“始發”IP地址和“替代”IP地址。例如，當用戶嘗試經由虛擬專用網絡(“VPN”)登錄到計算機系統時，可以使用替代IP地址。因此，如果紐約的用戶首先在1:00經由他們的智能電話提交登錄請求，并且然后在2:00仍然在紐約經由連接到特拉維夫的服務器的計算機提交登錄請求，則將檢測到速度事件。然而，速度事件是假的。

如果對每個假速度事件采取對策，將不必要地使用相當多的計算機資源。因此，這些計算機資源將無法用于檢測和防止網絡攻擊。另外，用戶可能認為對策(例如，鎖定帳戶)是繁重的并且對用戶施加不適當的負擔。

發明內容

提供了一種用于確定速度事件是假還是真的系統。在一些實施例中，該系統訪問速度事件的數據存儲庫，每個速度事件指定共享速度事件的一對地址。對于速度事件的每個地址，該系統基于地址具有的過去的速度事件的數目以及與該地址共享速度事件的地址來設置該地址的得分。當該地址的得分滿足始發地址標準時，該系統將該地址指明為始發地址。當速度事件的兩個地址都是始發地址時，該系統可以確定速度事件為真。

提供本發明內容是為了以簡化的形式介紹一些概念，這些概念將在下面的具體實施方式中進一步描述。本發明內容不旨在標識所要求保護的主題的關鍵特征或必要特征，也不旨在用于限制所要求保護的主題的范圍。

附圖說明

圖1示出了速度事件的示例。