將活動動作應用於頻繁的活動的製作方法

2023-05-30 15:55:46

專利名稱：將活動動作應用於頻繁的活動的製作方法
將活動動作應用於頻繁的活動背景技術
在計算領域內部，很多場景都涉及一組可以執行涉及一個或多個資源的多種不同活動(activity)的用戶。作為第一個示例，網絡文件系統的用戶可以訪問多種不同的文件，例如創建、讀取、變更、刪除、命名或重命名以及執行多種不同的文件。作為第二個示例， 媒體共享服務的用戶可以上傳、下載、查看或與其他用戶共享一個或多個媒體對象，例如文檔、圖像和音頻和/或視頻記錄。作為第三個示例，社交媒體網絡(social media network) 用戶可以創建引用多種不同資源的消息，例如用統一資源標識符(URI)標識的可通過網際網路訪問的資源。在這種活動中涉及的資源可以被設備存儲起來(例如，文件伺服器允許用戶對存儲在其中的文件執行多種不同活動)。可替換地，用戶可以執行涉及那些未被設備存儲的資源的活動，其中該舉例來說，所述資源可以是其他設備存儲的資源的URI (例如對諸如網站提供的網頁或其他對象伺服器存儲的對象之類的外部資源的引用)。發明內容
本發明內容是為了以簡化的形式引入在以下的具體實施方式
中將進一步描述的精選概念而被提供的。本發明內容的目的既不是識別所要求保護主題的關鍵因素或必要特徵，也不是用來限制所要保護的主題的範圍。
在用戶執行涉及一個或多個資源的活動的場景中，識別出頻繁的活動可能是合意的。一些這樣的活動可以包括合意或非合意活動(例如與朋友共享不受限制的歌曲記錄，或者以一種與限制相反的方式來共享受到限制的記錄)。相應地，可能合意的是，將設備(例如文件伺服器、媒體共享服務或web伺服器)配置成監視用戶的活動，以便檢測出涉及一組特定資源的頻繁活動(例如頻繁地上傳文件伺服器存儲的特定文件或一組文件；頻繁地查看媒體共享服務共享的特定媒體項；和/或頻繁地引用發送給其他用戶的消息內部的特定資源)。這種監視可以是有利的，由此可以響應於頻繁的活動來應用某種活動動作(activity action)。作為第一個示例，如果實施例在一組用戶中檢測到頻繁和合意的活動，那麼該實施例可以自動將該活動識別成是在用戶之間是流行的。作為第二個示例，如果實施例在一組用戶之中檢測到頻繁但卻非合意的活動(例如發送垃圾電子郵件消息或包含或引用惡意軟體(malware)的電子郵件消息)，那麼該實施例可以自動限制該活動(例如通過阻止 (block)該活動的執行)、執行該活動的一個或多個用戶(例如通過中止(suspend)或取締 (ban)該用戶)和/或該活動所涉及的一個或多個資源(例如通過阻止訪問或刪除一個或多個這樣的資源)。這樣一來，響應於由用戶執行並且涉及一個或多個資源的頻繁活動，這些技術的實施例可以自動或者在用戶的幫助下應用適當的活動動作。
為了實現前述和相關目的，以下描述和附圖闡述了某些說明性的方面及實施方式。然而，這些描述和附圖僅僅指示了可以使用一個或多個方面的多種不同方式中的少量方式。當結合附圖考慮時，從以下詳細描述中可以清楚了解本公開的其他方面、優點和新穎特徵。


圖1是特徵在於由一組用戶來執行一組涉及服務的多種不同資源的活動的例示場景的例圖。
圖2是特徵在於將設備配置成根據這裡描述的技術來檢測涉及服務的多種不同資源的頻繁用戶活動以及向它們自動應用活動動作的例示場景的例圖。
圖3是圖示了用於評估涉及資源的用戶活動的例示方法的流程圖。
圖4是圖示了用於評估涉及資源的用戶活動的例示系統的組件框圖。
圖5是包括被配置成實施這裡闡述的一個或多個規定的處理器可執行指令的例示計算機可讀介質的例圖。
圖6是特徵在於依照籤名生成器生成的籤名來識別資源的例示場景的例圖。
圖7是特徵在於將活動的存儲和評估分布在諸如包括伺服器群的一組伺服器之類的一組組件上的例示場景的例圖。
圖8是特徵在於將多種不同的活動動作應用於多種不同的用戶、資源和活動的例示場景的例圖。
圖9圖示了其中可以實現這裡闡述的一個或多個規定的例示計算環境。
具體實施方式
現在將參考附圖來描述所要求保護的主題，其中相同的參考數字始終用於指示相同的元件。出於說明目的，在以下描述中闡述了很多的具體細節，以便提供對所要求保護主題的全面理解。但是很明顯，所要求保護的主題也可以在沒有這些具體細節的情況下實施。 在其他實例中，為了便於描述所要求保護的主題，結構和設備是以框圖形式顯示的。
在計算領域內部，很多場景都涉及一組用戶，並且這些用戶可以執行涉及一個或多個資源的一個或多個活動。作為第一個示例，文件系統的用戶(例如計算機的本地文件系統的用戶組，訪問網絡文件系統內的文件的用戶組，或者訪問諸如文件傳輸協議(FTP)伺服器或web伺服器之類的遠程文件伺服器的用戶組)可以執行與一個或多個文件相關的多種不同活動，例如創建、讀取、變更、刪除、命名或重命名、重新定位或是執行一個或多個文件。 作為第二個示例，媒體共享服務(例如圖像資料庫、文檔資料庫或音頻和/或視頻流傳輸服務)的用戶可以執行與媒體對象相關的多種不同活動，例如上傳、下載、流傳輸或刪除媒體對象。作為第三個示例，社交媒體網絡的用戶可以執行關聯於與其他用戶共享的對象的多種不同活動，例如張貼尋址到一個或多個聯繫人的公共或私有消息，其中所述消息可以包括對諸如網站網頁之類的一個或多個對象的引用(例如統一資源標識符(URI))。在這些以及其他示例中，向這種用戶提供服務的設備可以被配置成從用戶那裡接收執行多種不同活動的請求，並且可以代表用戶來對一個或多個資源執行此類活動。
圖1給出了一個例示場景10的例圖，其中該例示場景特徵在於服務16的一組用戶，所述服務包括一組資源18，例如由文件系統或FTP伺服器提供的一組文件、由媒體共享伺服器提供的一組媒體對象、或由文檔伺服器提供的一組文檔。服務16可以由設備20提供，其中該設備例如可以是在工作站計算機、臺式計算機、筆記本計算機或媒體設備上運行的伺服器進程。服務16的用戶12可以執行涉及一個或多個資源18的一個或多個活動14。 例如，第一用戶12可以執行讀取活動14以便訪問第一資源18 ；第二用戶12可以執行存儲操作來存儲第一資源18以及第二資源18 ；以及第三和第四用戶12可以執行存儲操作而在服務16中存儲第三資源18和第四資源18。設備20可以被配置成記錄這種活動14，例如將其記錄在伺服器日誌中，其中每一個記錄都識別關於活動14的特定特性(trait)，這其中包括活動14中涉及的用戶12 (例如用戶12用以發布執行活動14的請求的網際協議(IP) 地址)和/或資源16。這樣一來，提供服務16的設備20可以接收、評估和滿足對包括服務 16的資源18執行活動14的請求。
圖1的例示場景10涉及對活動14進行記錄。這些記錄可以例如由設備20的管理員檢查，以便監視用戶12與服務16的交互。這種監視處理可以幫助管理員改進服務16 的質量(例如通過識別性能瓶頸或是升級設備20的時機)和/或注意和評估惡意用戶的非合意活動(例如通過追蹤惡意用戶12對服務16的資源18執行的活動14)。但是，在很多場景中(例如常規的web伺服器)，設備20未被配置成評估用戶12請求的活動14。相反，設備 20可以被配置成僅僅記錄活動14，以及代表用戶12執行被請求的動作。
然而，可能合意的是，將設備20配置成評估對一個或多個資源18執行的活動14 的模式，以及響應於頻繁執行且涉及一組特定資源18的活動14來自動執行一個或多個動作。活動14既可以包括合意的活動，例如用戶12在媒體共享服務中共享流行的媒體對象， 也可以包括非合意活動，例如用戶12上傳令人不快的內容項(例如不恰當的照片)或是諸如傳播病毒或蠕蟲之類的惡意軟體。由此，在檢測到涉及一組特定資源18的特定的頻繁活動14時，設備20可以被配置成響應於活動14自動執行動作。作為第一個示例，對於頻繁共享流行的媒體對象之類的合意活動，設備20可以執行鼓勵活動14的動作，例如將這個媒體對象添加到服務16存儲的流行媒體對象列表中，通過為所述媒體對象的共享分配附加資源來改善性能(例如將媒體對象存儲在高性能緩存中)，或是獎勵執行活動14的一個或多個用戶12。相反，對於諸如上傳或訪問非合意對象之類的非合意活動14來說，設備20可以檢測這種活動14的頻率，並且可以應用一個或多個阻礙(discourage)該非合意活動14的活動動作。這種活動動作可以對執行活動14的用戶12執行(例如警告或取締執行活動14 的用戶12)，對在活動14中涉及的資源18執行(例如檢查、限制訪問、替換或刪除資源18) 和/或對活動14執行(例如阻止執行活動14的嘗試或降級設備20在執行活動14時的性能)。這種活動動作還可以被先發制人地、當前、追溯地應用；例如對於涉及上傳非合意資源 18的活動14，設備20可以追溯地取締先前執行過活動14的用戶12的帳戶，可以取締當前執行活動14的用戶12，和/或可以監視用戶12的未來請求，以便在接收到請求的時候迅速取締請求活動14的用戶12的帳戶。在這些和其他場景中，可能合意的是，將設備20配置成檢測用戶12頻繁執行且涉及服務16的特定資源18的活動14，以及響應於這種活動14 來執行一個或多個活動動作。
圖2給出了一個例示場景30，該場景特徵在於被配置成監視服務16的用戶12的活動14的設備20。在這個例示場景30中，一組用戶12通過執行涉及服務16提供的一個或多個資源18的活動14來使用設備20提供的服務16。例如，第一用戶12可以執行涉及第一資源18的「讀取」活動14 ；第二用戶12可以執行涉及第二資源18和第四資源18的 「存儲」活動14 ；以及第三用戶12和第四用戶12中的每一個都可以執行涉及第三資源18 和第四資源18的「存儲」活動14。用戶12可以請求且涉及一個或多個資源18的特定活動 14可以是服務16的管理員關注的對象。例如，第三資源18可以包括加密破解工具，並且第四資源18可以包括服務16的用戶帳戶資料庫。第二用戶12可以採用恰當或不可疑的方式訪問第四資源(例如以授權方式創建新的用戶帳戶)，但是第三用戶12和第四用戶12可以通過執行同時涉及第三資源18和第四資源18的活動14來產生讓人懷疑非合意活動的理由(例如解密服務16的用戶資料庫以便腐蝕(corrupt)該組用戶帳戶)。此外，用戶請求執行這個涉及這些資源18的活動14的請求的頻率有可能太多，以致於不允許設備20的管理員以非自動的方式進行處理。
在這個和其他場景中，根據這裡給出的技術，設備20可以被配置成識別涉及特定資源18的頻繁活動32，以及執行與之相關的一個或多個活動動作34。例如，一旦從用戶12 那裡接收到請求執行涉及一個或多個資源18的活動14的請求，設備20就可以在活動日誌 36中創建一個記錄，該記錄指示用戶12、被請求的活動14以及活動14中涉及的資源18。 然後，設備20可以評估活動日誌36，以便識別頻繁活動32。例如，第三用戶12和第四用戶 12的「存儲」活動14可以合格成為頻繁活動32，因此，設備20可以對這個頻繁活動32執行一個或多個活動動作34。在這個例示場景30中，第三用戶12和第四用戶12執行的頻繁活動32可以包括非合意活動，並且一旦識別了頻繁活動32，則設備14可以響應於頻繁活動 32來自動執行活動動作34。例如，活動動作34可以被定義成從服務16取締執行頻繁活動 32的用戶12。這個活動動作34既可以追溯應用(例如在識別出某些用戶12先前已經嘗試執行頻繁活動32之後，設備20可以取締先前執行過頻繁活動32的用戶12)，也可以在當前被應用(例如取締當前正在執行頻繁活動32的用戶12)，和/或先發制人地應用(例如在識別出頻繁活動32之後，監視用戶12的活動14來檢測執行頻繁活動32的嘗試以及由此取締用戶12)。這樣一來，設備20可以檢測頻繁活動32，並且根據這裡給出的技術來自動對其應用活動動作34。此外，設備20有選擇地將活動動作34應用於執行涉及特定資源18的活動14的用戶12。例如，由於活動14與所涉及資源18的組合產生了疑點，因此，第三用戶 12和第四用戶12將會遭遇到活動動作34，而執行類似活動14但是僅涉及這其中的一個資源18的第二用戶12則不會產生疑點，並且不會遭遇到活動動作34。根據這個示例以及這裡給出的技術，設備20能夠識別出惡意用戶12的在新的攻擊模式中涉及的全新類型的活動14，並且可以通過對那些被識別為惡意的頻繁活動32應用活動動作34來自動快速地產生防禦這種攻擊的新規則。
圖3給出了這些技術的第一實施例，其中該實施例被圖示成用於評估涉及資源 18 (舉例來說，所述資源可以包括諸如文件服務之類的特定服務16)的用戶12的活動14 的例示方法30。這個例示方法40涉及具有處理器且可以訪問活動日誌36的設備20，並且該方法可以被實現為例如存儲在設備20的存儲器組件(例如系統存儲器，硬碟驅動器盤 (platter)，固態存儲設備，或是磁碟或光碟)中促使設備20實現這裡給出的技術的軟體指令集。該例示方法始於42並且涉及在處理器上執行44指令。特別地，一旦檢測到由用戶 12執行的涉及至少一個資源18的活動14，那麼這些指令將被配置成在活動日誌36中記錄 46用戶12、活動14以及至少一個資源18。這些指令還被配置成評估48活動日誌36，以便識別涉及至少一個資源18的至少一個頻繁活動32。此外，一旦識別出至少一個頻繁活動 32，那麼這些指令還被配置成將活動動作18應用50於執行涉及所述至少一個資源18的活動14的用戶12。這樣一來，設備20實現了將活動動作18應用於服務16的用戶12所請求的頻繁活動32的處理，並且由此在52結束。7
圖4給出了這裡給出的技術的第二實施例，其中該實施例被圖示出成被配置成對涉及一個或多個資源18的用戶12的活動14進行評估的例示系統66。該例示系統66可以涉及具有處理器64的設備62，並且該方法可以被實現為例如通過互操作(interoperate) 來促使設備62的處理器64執行這裡給出的技術的一組軟體組件。更為特別的是，軟體組件可以包括存儲在設備62的存儲器組件(例如系統存儲器，硬碟驅動器磁碟，固態存儲設備，或是磁碟或光碟)中的指令集，該指令集促使處理器64執行特定任務，從而使得在這裡提供的互操作的軟體組件促使設備62執行這裡給出的技術。在這個例示場景中，例示系統 66包括被配置成存儲涉及至少一個資源18的活動14的活動日誌68。該例示系統66還包括活動記錄組件70，它被配置成在檢測到由用戶12執行的涉及至少一個資源18的活動14 的時候，在活動日誌68中記錄用戶12、活動14以及至少一個資源18。該例示系統66還包括活動評估組件72，該組件被配置成評估活動日誌68來識別涉及至少一個資源18的至少一個頻繁活動32。該例示系統66還包括活動動作應用組件74，該組件被配置成在識別出頻繁活動32時，將活動動作34應用於正在執行涉及至少一個資源18的活動14的用戶12。 通過實現這些互操作的組件，例示系統66監視用戶12的活動14，並且自動對由它執行的頻繁活動32應用活動動作34。
另一個實施例涉及計算機可讀介質，其中該介質包含被配置成應用這裡給出的技術的處理器可執行指令。舉例來說，這種計算機可讀媒體可以包括涉及有形設備的計算機可讀存儲媒體，例如存儲器半導體(例如利用靜態隨機存取存儲器(SRAM)、動態隨機存取存儲器(DRAM)和/或同步動態隨機存取存儲器(SDRAM)技術的半導體)、硬碟驅動器盤、快閃記憶體設備或是磁碟或光碟(例如CD-R、DVD-R或軟盤)，這些計算機可讀存儲媒體編碼計算機可讀指令集，在由設備的處理器執行時，所述指令集會促使設備實現這裡給出的技術。這種計算機可讀媒體還可以包括(作為與計算機可讀存儲媒體不同的技術分類)多種不同類型的通信媒體，例如可以通過多種不同的物理現象傳播的信號(例如電磁信號、聲波信號或光信號)，在多種不同的有線場景中傳播的信號(例如經由乙太網或光纜)和/或在無線場景中傳播的信號(例如WiFi之類的無線區域網(WLAN)、藍牙之類的個人區域網(PAN)或是蜂窩或無線電網絡)，其中所述信號編碼了計算機可讀指令集，在由設備處理器執行時，所述指令集促使設備實現這裡給出的技術。
在圖5中示出了可以採用這些方式設計的例示計算機可讀媒體，其中實現方式80 包括其上編碼了計算機可讀數據84的計算機可讀介質82(例如⑶-R、DVD-R或硬碟驅動器盤)。這種計算機可讀數據84進而又包括計算機指令集86，該指令集被配置成根據這裡闡述的原理來工作。在一個這樣的實施例中，處理器可執行指令86可以被配置成執行一種評估涉及資源的用戶活動的方法，例如圖3的例示方法40。在另一個這樣的實施例中，處理器可執行指令86可以被配置成實現一個用於評估涉及資源的用戶活動的系統，例如圖4的例示系統66。這種計算機可讀介質的一些實施例可以包括被配置成存儲以這種方式配置的計算機可執行指令的非瞬態計算機可讀存儲介質(例如硬碟驅動器，光碟或快閃記憶體設備)。本領域普通技術人員可以設計出很多這種被配置成依照這裡給出的技術工作的計算機可讀媒體。
這裡討論的技術可以利用許多方面的變體來設計，並且相對於這些和其他技術的其他變體，一些變體可以給出附加的優點和/或減少缺點。而且，一些變體可以以組合的方式實施的，並且一些組合的特徵可以是通過協同合作實現附加的優點和/或減少的缺點。 這些變體可被引入到多種不同的實施例中(例如圖3的例示方法40以及圖4的例示系統 66)，以便將個別和/或協同的優點給予這些實施例。
在這些技術的實施例中可以發生變化的第一個方面涉及其中可以使用這裡給出的技術的場景。作為第一個示例，這些技術可以與追蹤和評估對多種不同類型的服務16的資源18執行的多種不同類型的活動14的處理相關地使用。作為第一個這樣的變體，設備 20可以包括存儲多種不同資源18 (例如文件或資料庫記錄)的數據存儲器(例如文件系統或資料庫)，並且活動14可以涉及將資源18發送到服務16。作為第二個這樣的變體，設備 20有可能能夠代表用戶12執行多種不同的指令，例如經過編譯的二進位文件或腳本，並且活動14可以涉及執行特定的指令(例如嘗試訪問未經授權的資源，例如讀取口令文件或刪除系統對象)。舉個例子，這些技術可以用於評估對文件系統的文件執行的多種不同活動 14，例如創建、讀取、更新、刪除、命名或重新定位文件；對媒體共享服務的媒體對象執行的多種不同的動作14，例如上傳、下載、流傳輸、評論或移除媒體對象；以及對社交網絡的消息執行的多種不同活動14，例如創建、讀取、回復或刪除消息。此外，實施例監視的活動14 可以是合意的(例如第一用戶12與第二用戶12共享媒體對象)，非合意的(例如用戶12對服務16的經過加密的資源執行解密實用工具)，或者僅僅是令人感興趣或不尋常的(例如用戶12頻繁地上傳內容和用途不為文件伺服器所知的文件)。作為第二個示例，其上執行這些技術的設備可以包括單個機器，或者可以採用多種不同方式分布在多個機器中(例如，兩個或更多機器可以被配置成存儲活動日誌，評估活動日誌中包括的活動，和/或響應於檢測到的活動來應用活動動作)。作為第三個示例，這些技術可以用於在識別出涉及一個或多個特定資源18的頻繁活動14的時候應用多種類型的活動動作34。這種活動動作34既可以應用於執行活動14的用戶12(例如警告用戶12所述活動14是非合意的，或者取締用戶 12的帳戶)，也可以應用於活動14中涉及的資源18 (例如刪除非合意活動14中涉及的資源18)，和/或應用於活動14 (例如阻止執行活動14的嘗試或請求)。
其中可以使用這些技術的特定的場景涉及惡意用戶12的頻繁策略(frequent tactic)，所述惡意用戶12例如是垃圾郵件和病毒及蠕蟲之類的惡意軟體的分發者，計算機系統的非授權滲透者，以及被腐蝕設備殭屍網絡(botnet)的操作者。這種惡意用戶12 通常會通過調用存儲在服務16上的一組資源18來執行惡意活動14。例如，垃圾郵件製作者可以存儲電子郵件模板，目標電子郵件地址的資料庫，以及被設計成發送未經請求的大量電子郵件消息的應用；惡意軟體的分發者可以存儲惡意軟體和用於遞送惡意軟體的機制(例如可以使用web伺服器的弱點來安裝惡意軟體的被腐蝕用戶控制項(corrupted user control));以及殭屍網絡的操作者可以存儲指派設備(co-opted device)的網絡地址列表以及用於向殭屍網絡分發命令的多種不同對象，例如用於向指派設備驗證殭屍網絡操作者的加密密鑰。這類用戶12可以存儲這些資產作為諸如公共文件伺服器、公共web伺服器或公共媒體對象伺服器之類的一個或多個獨立服務16內部的資源18，並且可以使用這些獨立服務16的帶寬、存儲和計算能力來執行惡意活動14的一些或所有動作。但是，此類用戶 12通常知道機構(包括服務16的管理員)可以嘗試通過識別和移除包含用戶12的資產的資源14來阻止這種惡意活動14。
惡意用戶12用以逃避檢測的一個頻繁策略涉及在服務16上註冊很多用戶帳戶，並且冗餘地在每一個用戶帳戶中存儲或使用整個資產集合或是其子集。舉個例子，如果惡意活動14涉及三個不同的資源，那麼惡意用戶12可以在很多用戶帳戶中存儲所有這三個資源18，或者可以將第一資源18、第二資源18以及第三資源18中的每一個作為個別的資源18存儲在很多用戶帳戶中。冗餘地使用很多用戶帳戶可以允許惡意用戶12繼續執行惡意活動，即使在禁用了某些用戶帳戶並且移除了某些資源18的情況下也是如此。此外，惡意用戶12可以改變資源18的內容(例如通過創建明顯不同且版本眾多的垃圾電子郵件消息模板)，由此，即便是特定資源18被識別成是在惡意活動14中使用的資產。因此，被設計成檢測惡意活動14的模式並且只考慮資源18的內容的技術有可能無法檢測那些採用更複雜和健壯的方式設計的惡意活動14。最終，即使可以有效地實現惡意活動14的自動檢測， 但如果對檢測到的這種惡意活動14的響應涉及諸如服務16的管理員之類的用戶12的檢查和/或幹預，那麼阻止這種惡意活動14有可能是不充分的。舉個例子，惡意用戶12有可能能夠創建用戶帳戶，並且至少可以與服務16的管理員可以檢測和禁用這種服務16同樣快地將資源18上傳至服務16。但是，複雜度較低的自動技術不太能夠將合法的合意的活動 14與惡意非合意的活動14區分開來。例如，自動技術僅僅關注在惡意活動14中使用的資源18，但是如果惡意用戶12可以使用解密實用工具之類的特定資源18，那麼自動技術有可能不正確地取締那些合法調用解密實用工具的其它用戶12。
對於檢測和修復涉及這些策略的惡意活動14，這裡給出的技術有可能會特別有效。這種有效性可以來源於以活動14以及所涉及的特定資源18為基礎來識別頻繁的活動 14的模式的處理，這是因為惡意活動14可以涉及對一組在其他方面合法的資源18執行的一組在其他方面合法的活動14。例如，第一組用戶12可以(作為涉及第一資源18的第一活動14)接收和存儲發送至用戶12的電子郵件帳戶的垃圾電子郵件消息，並且可以(作為涉及第二資源18的第二活動14)調用一個向其他用戶發送合法的電子郵件消息的發送郵件實用程序。但是，第二組用戶12可以(作為涉及第一資源18和第二資源18的第三活動 14)調用發送郵件實用程序來將垃圾電子郵件消息發送到垃圾郵件接收方。通過評估活動 14與所涉及的資源18的組合，這裡給出的技術可以自動識別出惡意的頻繁活動32，並且將會取締第二組用戶12，但是不會阻止第一組用戶12的合法頻繁的活動32。但是，本領域普通技術人員可以設計出很多其中可以使用這裡公開的技術的場景。
在這些技術的實施例中可以改變的第二個方面涉及在活動日誌68中檢測涉及特定資源18的活動14以及這種活動14的記錄46。作為第一個示例，識別活動14以及一個或多個資源18可以採用多種不同方式來執行。這些技術的一個實施例可以產生多種不同活動14和/或資源18的籤名，例如活動14使用的相應對象的散列碼(hashcode)，以便追蹤對它的識別。因此，該實施例可以通過計算活動14以及至少一個資源18的籤名(例如散列碼生成器生成的散列碼)以及將用戶12和活動14記錄在活動日誌68中，來記錄活動14。 這種通用技術可以是統一應用的，而不用考慮活動14和/或資源18的類型。但是，通過引入不顯著的差別，一些用戶12可以將活動14和/或資源18從這種檢測中偽裝起來。在第一個這樣的變體中，不同類型的活動14可被執行，其中這些活動在非實質性的方式上存在差別以避免檢測，但是其涉及相同的結果。例如，惡意用戶12可以產生惡意製作的腳本的很多變體，並且多態病毒可以對該代碼做出顯著的改動。在第二個這樣的變體中，活動14 使用的資源18也可以採用多種方式來改變，例如產生垃圾電子郵件消息模板的許多版本，並且通過使用多種圖像編碼算法來編碼垃圾電子郵件消息中包含的圖像。由此，與直接計算活動14和/或資源18的籤名不同，如果資源18具有可識別的資源類型，一個實施例可以將籤名作為內容指紋來計算，其中所述內容指紋可以識別資源18的顯著特徵，而不用考慮不顯著的替換或變更。由此，該實施例可以通過調用內容指紋生成器來為相應資源18產生內容指紋(基於資源18的資源類型)並且存儲所述內容指紋，從而記錄活動14。
作為這個第二方面的第二個示例，活動日誌68可以採用多種方式來實現。作為第一個這樣的變體，活動日誌68可以包括包含作為文本存儲的記錄(與常規伺服器日誌中一樣)的文本文檔，或者存儲包括資料庫表中的記錄的記錄的資料庫。作為第二個這樣的變體，該實施例可以包括活動索引生成器(例如散列碼生成器)，並且根據活動索引生成器為所使用的活動14和/或資源18所計算的活動索引，涉及特定資源18的相應活動14可以採用帶有索引的方式存儲在活動日誌68中。作為索引的活動日誌68的實現方式可以促進活動14和/或資源18的快速存儲和評估。
圖6給出了根據這裡給出的技術的例示場景90，其中該場景特徵在於給在一個或多個被記錄和監視的活動14中使用的資源18編索引。在這個例示場景90中，這些技術的一個實施例包括散列碼生成器92，其中該散列碼生成器被配置成為活動14中涉及的相應資源18產生散列碼94 (例如基於資源18的二進位內容)。因此，根據由此產生的散列碼 94，活動日誌68記錄了一個或多個活動14中涉及的資源18。這種技術可以促進對諸如資源18的重複實例之類資源18等價物所進行的識別。舉個例子，在圖6的例示場景90中， 第二資源18和第四資源18可以存儲在不同的位置(例如已經被上傳到不同的用戶帳戶)， 但是這些資源18的等價性可以通過依照由此產生的散列碼94來記錄資源18而被識別，其中所述散列碼可以示出這些資源18的等價性。在實現這裡給出的技術的同時，本領域普通技術人員可以設計出很多記錄活動14和/或資源18的方式。
在這些技術的實施例中可以改變的第三個方面涉及對涉及了一個或多個資源18 的活動14進行評估，以便識別用戶12執行的頻繁活動32。作為第一個示例，所述評估可以是持續執行的，例如由持續檢查和識別用戶12的活動14的進程執行，以便識別趨於頻繁的活動32。可替換地，該評估也可以周期性執行，例如按照設備20定義的評估頻率(例如對活動14進行每小時或每日評估)。作為這個第三方面的第二個示例，對用戶12執行的活動 14中的頻繁活動32的識別可以由設備20來定義。例如，一個實施例可以為特定活動14記錄動計數器，其中該計數器包括所檢測的涉及一組特定資源16的活動14已被執行的次數。 因此，一旦檢測到執行活動14的請求，則該實施例可以遞增用於活動14的活動計數器，並且可以將頻繁活動識別成是活動計數器超出該實施例所定義的活動閾值的那些活動(舉個例子，如果在一小時內接收到一百個以上的執行活動14的請求，則可以將活動14識別成是頻繁活動32)。
作為這個第三方面的第三個示例，活動14的存儲和/或評估可以分布在很多組件上，例如包括伺服器群的許多計算機以及多任務系統中的多種不同軟體進程。作為第一個這種變體，活動日誌36可以在兩個或更多的機器上冗餘地存儲(舉例來說，由此將特定活動14記錄在兩個或多更多的機器或存儲設備上)和/或以分布的方式存儲(例如，活動日誌36包括記錄在第一機器或存儲設備上的第一組活動14，以及記錄在第二機器或存儲設備上的第二組活動14)。作為第二個變體，對活動日誌36中記錄的活動14所進行的評估可以分布在若干個機器上，由此第一機器評估第一組活動14，並且第二機器評估第二組活動 14。作為第三個變體，響應於頻繁活動32來應用活動動作34的處理可以分布在若干個機器上。例如對於向上擴展(scale up)活動14的評估以及活動動作34的應用來識別服務 16的用戶12所執行的一大組活動34中的頻繁活動32，這些分布技術可以是非常有利的。 舉個例子，可以指派相應組件來評估活動14的特定子集，這樣做可以改善對於一大組活動 14所進行的評估的可擴展性。因此，活動14可以通過首先識別被指派用來評估這種活動 14的組件以及通過調用該組件來評估活動14而被評估。
圖7給出了一個例示場景100，其中該場景涉及以這種方式對活動14進行的評估， 從而使得將所述評估分布在實施例的多種不同組件106上，例如伺服器集合中的一組活動評估伺服器。在這個例示場景100中，組件選擇器102可以為相應的活動14計算組件標識符104 (例如散列碼生成器產生的散列碼)。該實施例的相應組件106可以包括單獨的活動日誌68，並且可以被配置成評估由組件標識符104的不同子集(例如散列碼生成器產生的不同範圍的散列碼)識別的活動14。為了評估涉及一組特定資源18的特定活動14，該實施例可以調用組件選擇器102來產生組件標識符104，並且指派用來處理具有組件標識符104 的活動14 (例如散列碼處於指派給組件106的散列碼範圍以內的活動14)的組件106可被調用，以便評估活動14和/或將活動14記錄在活動日誌68中。這樣一來，可以分布對於活動14的評估以便改善該實施例的可擴展性。這種方法的性能還可以通過涉及依照活動索引而對活動編索引來進一步改善。例如，對於特定活動14，第一散列碼可以由第一散列碼生成器計算，以便識別被指派用來評估活動14的組件106，並且第二散列碼可以由組件106 來計算，以便識別活動日誌68中的活動索引，由此可以記錄活動14。在實現這裡給出的技術的同時，本領域普通技術人員可以設計出許多評估用戶12的活動14的方式。
在這些技術的實施例中可以發生變化的第四個方面涉及響應於相應活動14來應用活動動作34的處理。作為第一個示例，對於由用戶12執行的涉及至少一個資源18的特定活動14，活動動作34可被應用於執行頻繁活動32的用戶12 (例如通過警告或取締執行頻繁活動32的用戶12來限制用戶12的用戶帳戶)，可被應用於頻繁活動32中涉及的至少一個資源18 (例如通過檢查、限制訪問、替換或刪除資源18來限制資源18)和/或可被應用於頻繁活動32 (例如阻止嘗試執行頻繁活動32，或者降低設備20在執行頻繁活動32時的性能)。這種活動動作還可以是以追溯方式、在當前或者先發制人地應用的，舉個例子，對於涉及上傳非合意資源18的頻繁活動32，設備20可以追溯性地取締那些先前執行過該頻繁活動32的用戶12的帳戶，並且可以取締那些當前正在執行頻繁活動32的用戶12，和/ 或可以監視用戶12的未來請求，以便在接收到請求所述頻繁活動32的請求的時候迅速取締提出該請求的用戶12的帳戶。可替換地，設備20可以周期性地檢查頻繁活動32 (例如每周一次)，並且可以取締那些被發現在先前周期中執行過頻繁活動32的用戶的帳戶。
這個第一示例的特定變體涉及使用自動實用程序來快速執行許多惡意活動14的惡意用戶12，例如使用以自動方式與服務16進行交互的腳本或機器人程序(bot)。在這種場景中，其中檢測到的頻繁活動32有可能是由自動進程執行的，活動動作34可以通過如下方式限制執行頻繁活動；34的用戶通過向用戶12呈現一個被配置成用來驗證用戶是人類行動者的用戶詢問(例如「captcha(全自動區分計算機和人類的圖靈測試)，，用戶詢問，例如很難被自動進程評估的位於噪聲背景上的符號圖像，由此，正確識別出這些符號的用戶12很有可能是人類行動者)。只有在用戶12提交了滿足用戶詢問的用戶詢問響應的情況下，該實施例才可以代表該用戶12來執行被請求的活動14。如果用戶未能提交正確的用戶詢問響應，那麼該實施例既可以允許用戶12再次嘗試，也可以簡單地拒絕執行被請求的活動14，還可以限制或取締用戶12的帳戶。
圖8給出了例示場景110的例圖，其中該場景特徵在於響應於多種不同的惡意頻繁活動32來應用活動動作34的處理的若干變體。在這個例示場景110中，一組惡意用戶 12使用服務16的多種不同資源18 (例如上傳至文件共享服務的文件)來請求多種不同的活動14。依照這裡給出的技術配置的設備20可以在活動日誌36中記錄用戶12的活動14， 並且可以評估活動14以識別頻繁活動32。在這個例示場景中，第一用戶12和第二用戶12 請求使用一組特定資源18來執行第一惡意頻繁活動32。因此，設備20會響應於第一惡意頻繁活動32來應用第一活動動作34。特別地，通過取締用戶12的用戶帳戶，以及通過從服務16中刪除資源18，這個第一頻繁活動動作34被同時應用於用戶12和資源18。此外， 第三用戶12和第四用戶12使用不同的一組資源18來執行第二惡意頻繁活動32。因此， 設備20可以對這些用戶12應用涉及用戶詢問(例如「captcha」)的活動動作34，其中該用戶詢問會核實每一個用戶12包括的是人主體(human agent)而不是自動進程，並且該設備 20可以被配置成將僅僅在從用戶12那裡接收到滿足用戶詢問的用戶詢問響應的情況下才應用活動14。這樣一來，設備20對多種不同的用戶12、資源18和/或活動14應用一組活動動作；34。
作為這個第四方面的第二示例，活動動作34可以涉及將頻繁活動32告知設備20 的用戶12 (例如服務16的管理員)。例如，該實施例可以為用戶12產生一個指示了頻繁活動32和活動14中涉及的資源18的通知，並且該通知還可能包括其他信息，例如執行頻繁活動32的用戶12的用戶帳戶，頻繁活動32的日期和時間，這種用戶12的網際協議(IP)地址，以及這些用戶12執行的其他任何活動14。該實施例可以積極地向用戶發出通知(例如通過在管理界面中為用戶呈現彈出式通知)和/或消極地通知用戶(例如通過發送電子郵件消息，或是僅僅在用戶12請求的時候呈現該通知)。
作為這個第二示例的另一個變體，該實施例還可以向用戶呈現至少一個推薦用於頻繁活動32的建議活動動作。舉個例子，如果頻繁活動32很可能是合意的，那麼該實施例可以向用戶12呈現一組鼓勵頻繁活動32的活動動作18，例如將頻繁動作32識別給服務 16的其他用戶12 (例如將那些被頻繁查看的媒體對象包括在推薦給媒體共享服務的用戶 12的媒體對象列表中)或者獎勵那些執行頻繁動作32的用戶12。如果頻繁活動32很可能是非合意的，那麼該實施例可以為用戶12呈現一組阻礙該頻繁活動32的活動動作18，例如警告或取締一個或多個執行該頻繁活動32的用戶12或是阻止所述頻繁活動32的執行。 如果頻繁活動32的性質是不確定的，那麼該實施例可以向用戶給出一系列的建議，和/或可以提議執行對所述頻繁活動32的更進一步的評估(例如對在頻繁活動32中涉及的資源 18、執行頻繁活動32的用戶12的其他活動14和/或頻繁活動32的後果進行更複雜的分析)，或者簡單地繼續監視和報告頻繁活動32。
作為這個第二示例的更進一步的變體，一個實施例可以允許用戶12從所建議的活動動作中選擇一個要應用於頻繁活動32的活動動作34，並且可以對該頻繁活動32應用選擇的活動動作34，其中該活動動作有可能包括應用於用戶12執行頻繁活動32的未來嘗試的活動動作34。這樣一來，在確定要自動應用於頻繁活動32的活動動作18的過程中，設備可以包括用戶12 (例如服務16的管理員)的交互。在實現這裡給出的技術的同時，本領域普通技術人員可以設計出許多類型的活動動作34以及針對頻繁活動32的應用。
雖然本主題已經按照特定於結構特徵和/或方法動作的語言描述了，但是應該理解，附加權利要求中定義的主題未必局限於以上描述的具體特徵或動作。相反，上文描述的具體特徵或動作是作為實現權利要求的示例的形式公開的。
本申請中使用的術語「組件」、「模塊」、「系統」、「接口」等等通常打算指計算機相關實體，其要麼是硬體、軟硬體組合，要麼是軟體或運行中的軟體。例如，組件可以是但不局限於在處理器上運行的進程、處理器、對象、可執行程序、運行線程、程序和/或計算機。作為例證，在控制器上運行的應用以及控制器都可以是組件。一個或多個組件可以駐留在進程和/或運行線程中，並且組件可以位於一臺計算機本地和/或分布在兩臺或更多計算機之間。
此外，所要求保護的主題可以被實現為通過使用標準的編程和/或工程技術來產生軟體、固件、硬體或是其任何組合，從而控制計算機來實現所公開的主題的方法、設備或製品。這裡使用的術語「製品」旨在包含可以從任何計算機可讀設備、載體或媒體訪問的電腦程式。當然，本領域技術人員將會預料到，在不脫離所要求保護的主題的範圍或精神的情況下，針對這種配置的很多修改都是可行的。
圖9和後續討論提供的是關於實現這裡闡述的一個或多個規定的實施例的適當計算環境的簡要的一般性描述。圖9的操作環境僅僅是適當的操作環境的一個示例，而不是想要表明任何對於所述操作環境的使用或功能範圍的限制。例示的計算設備包括但不局限於個人計算機、伺服器計算機、手持或膝上設備、行動裝置(例如行動電話、個人數字助理(PDA)、媒體播放器等等)、多處理器系統、消費類電子設備、迷你計算機、大型機、包含上述任何設備或系統的分布式計算環境等等。
雖然實施例是在由一個或多個計算設備執行的「計算機可讀指令」的一般上下文中描述的，但這並不是必需的。計算機可讀指令可以經由計算機可讀介質(如下所述)來分發。計算機可讀指令可以被實現為執行特定任務或是實現特定抽象數據類型的程序模塊， 例如函數、對象、應用編程接口(API)、數據結構等等。通常，在多種不同的環境中可以根據需要來組合或分布計算機可讀指令的功能。
圖9圖示了包括被配置成實現這裡提供的一個或多個實施例的計算設備122的系統120的示例。在一個配置中，計算設備122包括至少一個處理單元1 和存儲器128。根據計算設備的確切配置和類型，存儲器1 可以是易失的(例如RAM)，非易失的(例如ROM、 閃速存儲器等等)，或者可以是這二者的某種組合。在圖9中用虛線IM示出了這種配置。
在其他實施例中，設備122還可以包括附加的特徵和/或功能。例如，設備122還可以包括附加的存儲器(例如可移除和/或不可移除)，包括但不局限於磁性存儲器、光學存儲器等等。在圖9中用存儲器130示出了此類附加存儲器。在一個實施例中，實現這裡提供的一個或多個實施例的計算機可讀指令可以位於存儲器130中。存儲器130還可以存儲用於實現作業系統、應用程式等等的其他計算機可讀指令。舉例來說，計算機可讀指令可被加載到存儲器128中，以供處理單元1 運行。
這裡使用的術語「計算機可讀介質」包括計算機存儲介質。計算機存儲介質包括14在用於存儲諸如計算機可讀指令或其他數據之類的信息的方法或技術中實現的易失和非易失、可移除和不可移除的介質。存儲器1 和存儲器130是計算機存儲介質的示例。計算機存儲介質包括但不局限於RAM、R0M、EEPR0M、閃速存儲器或其他存儲器技術、CD-ROM、數字多用途盤(DVD)或其他光學存儲器、磁帶盒、磁帶、磁碟存儲器或其他磁存儲設備，或者是可以用於存儲合意信息且能被設備122訪問的其他任何介質。任何這樣的計算機存儲介質都可以是設備122的一部分。
設備122還可以包括允許設備122與其他設備通信的一個或多個通信連接136。 一個或多個通信連接136可以包括但不局限於數據機、網絡接口卡(NIC)、集成的網絡接口、射頻發射機/接收機、紅外埠、USB連接、或是用於將計算設備122連接到其他計算設備的其他接口。一個或多個通信連接136可以包括有線連接或無線連接。所述一個或多個通信連接136可以傳送和/或接收通信介質。
術語「計算機可讀介質，，可以包括通信介質。通信介質通常包含諸如載波之類的 「調製數據信號」或其他傳輸機制中的計算機可讀指令或其他數據，並且包括任何信息傳遞介質。術語「調製數據信號」可以包括具有以一種將信息編碼到信號中的方式設置或改變的一個或多個特性的信號。
設備122可以包括一個或多個輸入設備134，例如鍵盤、滑鼠、筆、語音輸入設備、 觸摸輸入設備、紅外相機、視頻輸入設備和/或其他任何輸入設備。此外，在設備122中還可以包括一個或多個輸出設備132，例如一個或多個顯示器、揚聲器、印表機和/或其他任何輸出設備。一個或多個輸入設備134以及一個或多個輸出設備132可以經由有線連接、 無線連接或其任何組合連接到設備122。在一個實施例中，來自另一個計算設備的輸入設備或輸出設備可被用作計算設備122的一個或多個輸入設備134或一個或多個輸出設備132。
計算設備122的組件可以通過諸如總線之類多種不同的互連來連接。這種互連可以包括諸如PCI Express之類的外設組件互連(PCI)、通用串行總線(USB)、火線(IEEE 1394)、光學總線結構等等。在另一個實施例中，計算設備122的組件可以通過網絡進行互連。例如，存儲器818可以包括位於網絡互聯的不同物理位置中的多個物理存儲器單元。
本領域技術人員將會認識到，用於存儲計算機可讀指令的存儲設備可以分布在網絡上。例如，可以經由網絡138訪問的計算設備130可以存儲用於實現這裡提供的一個或多個實施例的計算機可讀指令。計算設備122可以訪問計算設備130，以及下載一部分或所有計算機可讀指令用於運行。可替換地，計算設備122可以根據需要下載計算機可讀指令， 或者某些指令可以在計算設備122上運行，某些指令則在計算設備130上運行。
在這裡提供了實施例的多種不同操作。在一個實施例中，所描述的一個或多個操作可以構成存儲在一個或多個計算機可讀介質上的計算機可讀指令，其中如果計算設備運行所述指令，那麼該指令將會導致計算設備執行所描述的操作。描述一些或所有操作的順序不應該被解釋成是暗指這些操作必須取決於順序。得益於本描述的本領域技術人員將會預料到替換的順序。更進一步，應該理解的是，並不是在這裡提供的每一個實施例中都必須存在所有操作。
此外，這裡使用的單詞「例示」指的是充當一個示例、實例或例證。在這裡被描述成「例示」的任何方面或設計都不必解釋成是優於其他方面或設計的。相反，使用單詞例示是為了以一種具體的方式來給出概念。本申請中使用的術語「或」指的是包含性的「或」，而不是排他性的「或」。換言之，除非以別的方式加以規定或者從上下文中可以清楚了解，否則 「X使用A或B」旨在指示任何自然的包容性置換。也就是說，如果X使用A ；X使用B^X 使用A和B，那麼在任何前述實例中，「X使用A或B」都是得到滿足的。此外，除非以別的方式規定或者從上下文中清楚了解針對的是單數形式，本申請以及附加權利要求中使用的冠詞「一」和「一個」通常可以被解釋成是指「一個或多個」。
此外，雖然本公開是關於一個或多個實現方式顯示和描述的，但對本領域其他技術人員來說，基於對本說明書以及附圖的閱讀和理解，那麼等價的替換和修改都是可以想到的。本公開包括所有這些修改和替換，並且只受後續權利要求範圍的限制。特別地，對於上述組件(例如元件、資源等等)執行的多種不同功能來說，除非以別的方式加以指示，否則用於描述此類組件的術語旨在對應於執行所述組件的指定功能的任何組件(例如在功能上是等價的)，即便在結構上與所公開的執行這裡示出的公開例示實現方式中的功能的結構不等價的情況下也是如此。此外，雖然本公開的特定特徵可能已經關於若干實施方式中的僅僅一種公開了，但是該特徵可以與其他實現方式的一個或多個其他特徵相結合，這種組合對於任何給定或特定的應用來說有可能是合意的和有利的。此外，對於在詳細描述或權利要求中使用的術語「包括」、「具有」、「具備」、「帶有」或是其變體來說，此類術語旨在與術語「包括」 一樣應該是包含性的。
權利要求
1.一種評估用戶(12)的活動(14)的方法(40)，其中該活動涉及具有處理器(64)且可以訪問活動日誌(68 )的設備(62 )上的資源(18 )，該方法(40 )包括在處理器(64)上執行(44)指令，其中所述指令被配置成一旦檢測到由用戶(12)執行的涉及至少一個資源(18)的活動(14)，則在活動日誌 (68)中記錄(46)用戶(12)、活動(14)以及至少一個資源(18)；評估(48)活動日誌(68)以識別涉及至少一個資源(18)的至少一個頻繁活動(32);以及一旦識別出至少一個頻繁活動(32)，則響應於用戶(12)執行涉及至少一個資源(18) 的活動(14)來應用(50)活動動作(34)。
2.權利要求1的方法 該設備包括數據存儲器；至少一個資源包括至少一個數據對象；以及用戶執行的活動包括向設備發送要保存在數據存儲器中的數據對象。
3.權利要求1的方法，記錄活動以及至少一個資源包括 計算活動以及至少一個資源的籤名，以及將用戶和籤名記錄在活動日誌中。
4.權利要求3的方法該設備包括至少一個散列碼生成器；以及用於資源的籤名包括由散列碼生成器為所述資源產生的內容散列碼。
5.權利要求3的方法 相應的資源包括資源類型；該設備包括用於一種資源類型的資源的至少一個內容指紋生成器；以及用於資源的籤名包括內容指紋生成器為該資源的資源類型的資源產生的資源的內容指紋。
6.權利要求1的方法該設備包括活動索引生成器，其被配置成為涉及至少一個資源的相應活動產生活動索引；以及該活動日誌包括活動索引，該活動索引被配置成根據活動索引生成器為活動和至少一個資源產生的活動索引來為涉及至少一個資源的相應活動將所述活動編入索引。
7.權利要求1的方法 該設備定義評估頻率；以及評估活動日誌包括以該評估頻率周期性地評估活動日誌。
8.權利要求1的方法該設備為頻繁活動定義活動閾值；記錄用戶、活動和至少一個資源包括為相應的活動以及相應的至少一個相應資源記錄活動計數器；以及識別頻繁活動包括識別活動計數器超出活動閾值的活動。
9.權利要求1的方法該設備包括至少兩個分別被配置成評估涉及至少一個資源的活動的組件；以及對於涉及至少一個資源的相應活動，所述指令被配置成 識別被配置成評估涉及該至少一個資源的活動的組件，以及調用該組件來評估涉及該至少一個資源的活動。
10.權利要求9的方法該設備包括組件選擇器，其被配置成為涉及至少一個資源的相應活動產生組件標識符；該設備的相應組件與至少一個組件標識符相關聯；以及識別被配置成評估涉及至少一個資源的活動的組件包括 調用組件選擇器來產生用於涉及至少一個資源的活動的組件標識符； 識別出與組件標識符相關聯的已識別組件；以及調用所述已識別組件來評估涉及該至少一個資源的活動。
11.權利要求1的方法，所述活動動作包括將頻繁活動通知給所述設備的至少一個用戶。
12.權利要求11的方法，所述活動動作包括響應於頻繁活動，向用戶呈現至少一個建議應用的活動動作；以及一旦從用戶那裡接收到從建議的活動動作中選出的活動動作，則響應於頻繁活動來應用所選擇的活動動作。
13.權利要求1的方法至少一個活動包括涉及至少一個資源的合意活動；以及用於該活動的活動動作包括將涉及至少一個資源的至少一個頻繁活動作為合意活動呈現給設備用戶。
14.權利要求1的方法至少一個活動包括涉及至少一個資源的非合意活動；以及用於非合意活動的活動動作包括限制那些執行所述涉及至少一個資源的非合意活動的用戶。
15.一種被配置成評估用戶(12)的活動(14)的系統(66)，其中該活動涉及資源(18)， 該系統(66)包括活動日誌(68)，被配置成存儲涉及至少一個資源(18)的活動(14)； 活動記錄組件(70)，被配置成在檢測到由用戶(12)執行的涉及至少一個資源(18)的活動(14)時，在活動日誌(68)中記錄用戶(12)、活動(14)以及至少一個資源(18)；活動評估組件(72)，被配置成評估活動日誌(68)，以便識別涉及至少一個資源(18)的至少一個頻繁活動(32);以及活動動作應用組件(74)，被配置成在識別出至少一個頻繁活動(32)時，響應於用戶 (32)執行涉及至少一個資源(18)的活動(14)，應用活動動作(34)。
全文摘要
將活動動作應用於頻繁的活動。服務用戶的活動通常涉及一個或多個資源，例如上傳或下載FTP伺服器的文件系統中的文件。用戶的活動可被追蹤並記錄在活動日誌中，以便識別頻繁執行的涉及特定資源的活動，以及對於這種頻繁執行的活動可以執行一個或多個活動動作。舉例來說，惡意用戶可以上傳或使用存儲在若干個帳戶中的等價資產集合。這些非合意活動的頻率可被識別，並且可以自動將活動動作應用於用戶(例如取締帳戶)，資源(例如刪除資產)和/或活動(例如阻止訪問資源)。相反，涉及特定資源的合意活動同樣可以被檢測，並且應用於此類合意活動的活動動作可以涉及將所述合意活動報告給服務的管理員。
文檔編號H04L29/08GK102523283SQ20111041995
公開日2012年6月27日 申請日期2011年12月15日 優先權日2010年12月15日
發明者D.斯佩克託爾, F.E.戈麥斯蘇亞雷斯, S.P.米亞勒, Y.尤 申請人:微軟公司