[发明专利]用于检测未授权访问的方法和系统

说明书

描述了用于标识对访问计算机系统中的账户的未授权尝试的方法和系统，该账户具有已授权用户。该方法和系统包括确定访问账户的失败尝试的计数超过最大值。基于计数超过最大值，与已授权用户相关联的一个或多个对等联系人被从所存储的用户数据检索。失败归属请求被传送到一个或多个对等联系人，并且来自一个或多个对等联系人中的至少一个对等联系人的响应被接收。如果响应否定是已授权用户导致了失败尝试，则关于该账户的安全动作被采取。该方法可以包括首先确认失败归属请求的数目还没有超过滥用阈值，以阻止拒绝服务攻击。

技术领域

本申请一般地涉及计算机安全，并且尤其涉及检测对账户的未授权访问。

背景技术

在计算系统中，通常通过要求针对访问的请求附随有用户凭证来维护安全。那些所提供的凭证与所存储的已授权用户凭证进行比较，并且如果通过验证，则用户访问请求被认为是已认证的并且访问被授权。

为获得对用户账户的非法访问的强力攻击可能涉及一系列失败的认证尝试。为了限制这种攻击向量，系统有时限制在一段时间内的失败尝试的数目。然而，这通过封锁对合法用户的访问而促进拒绝服务攻击。此外，在一些情况下，这些尝试是已授权用户的合法尝试，但是用户拼错了凭证或者记错了他或她的密码。针对系统而言，区分合法用户认证失败和来自已授权用户之外的其他人的非法尝试认证将是有利的。虽然这些失败尝试被记录，但是它们更经常是不可见的或者被用户忽略的。一些系统将提示用户来自新主机的新登录是否合法，但是如果账户被盗用，在合法用户可以看到警报之前，这些警报可能被删除。

附图说明

现在将通过示例的方式参考示出本申请的示例实施例的附图，并且其中：

图1图示地示出了包括用于管理对安全系统的用户认证的认证器的示例系统；

图2以流程图的形式示出了标识对访问计算机系统中的账户的未授权尝试的一个示例方法；以及

图3以流程图的形式示出了标识对访问计算机系统中的账户的未授权尝试的另一示例方法。

在不同的图中可能使用了相似的参考标号来表示相似的组件。

具体实施方式

在第一方面，本申请描述了一种标识对访问计算机系统中的账户的未授权尝试的方法，账户具有已授权用户。方法可以包括：确定访问账户的失败尝试的计数超过最大值；基于计数超过最大值，从所存储的用户数据检索与已授权用户相关联的一个或多个对等(peer)联系人；向一个或多个对等联系人传送失败归属请求；接收来自一个或多个对等联系人中的至少一个对等联系人的响应；当响应否定已授权用户导致了失败尝试时，采取关于账户的安全动作。

在另一方面，本申请描述了一种用于标识对访问计算机系统中的账户的未授权尝试的系统，账户具有已授权用户。系统包括：处理器；存储用户数据的存储器，用户数据包括与已授权用户相关联的一个或多个对等联系人；以及认证应用，其包含处理器可执行指令，处理器可执行指令在由处理器执行时使处理器：确定访问账户的失败尝试的计数超过最大值；基于计数超过最大值，从存储器检索与已授权用户相关联的一个或多个对等联系人；向一个或多个对等联系人传送失败归属请求；接收来自一个或多个对等联系人中的至少一个对等联系人的响应；以及当响应否定已授权用户导致了失败尝试时，采取关于账户的安全动作。

在一些实现中，确定包括针对访问的请求中的所接收的凭证与所存储的用户凭证进行比较以发现它们不匹配，并且增加失败尝试的关联计数。

在一些实现中，所存储的用户数据包括对等列表，该对等列表包含与已授权用户相关联的一个或多个对等联系人。在一些情况下，该列表与所述账户关联地被存储。在一些情况下，对等列表中的每个对等联系人包括，失败归属请求要被传送到的对等联系人信息。

在一些实现中，安全动作包括以下至少一项：向安全管理员发送通知，更改针对账户的授权设置，暂时阻止对账户的进一步访问尝试，或者在成功认证后，施加访问账户所需的进一步级别的认证。