RU2649793C2 - Способ и система выявления удаленного подключения при работе на страницах веб-ресурса - Google Patents
Способ и система выявления удаленного подключения при работе на страницах веб-ресурса Download PDFInfo
- Publication number
- RU2649793C2 RU2649793C2 RU2016131909A RU2016131909A RU2649793C2 RU 2649793 C2 RU2649793 C2 RU 2649793C2 RU 2016131909 A RU2016131909 A RU 2016131909A RU 2016131909 A RU2016131909 A RU 2016131909A RU 2649793 C2 RU2649793 C2 RU 2649793C2
- Authority
- RU
- Russia
- Prior art keywords
- computer mouse
- data
- web resource
- frequency
- event
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 22
- 238000013179 statistical model Methods 0.000 claims abstract description 21
- 230000004044 response Effects 0.000 claims abstract description 4
- 238000010801 machine learning Methods 0.000 claims description 11
- 238000012549 training Methods 0.000 claims description 10
- 230000006870 function Effects 0.000 claims description 5
- 238000005259 measurement Methods 0.000 claims description 5
- 230000003068 static effect Effects 0.000 claims description 4
- 238000012417 linear regression Methods 0.000 claims description 3
- 239000000126 substance Substances 0.000 abstract 1
- 238000001514 detection method Methods 0.000 description 5
- 238000004422 calculation algorithm Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 239000006185 dispersion Substances 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/033—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
- G06F3/0354—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor with detection of 2D relative movements between the device, or an operating part thereof, and a plane or surface, e.g. 2D mice, trackballs, pens or pucks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/03—Arrangements for converting the position or the displacement of a member into a coded form
- G06F3/033—Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
- G06F3/038—Control and interface arrangements therefor, e.g. drivers or device-embedded control circuitry
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
- G06N5/048—Fuzzy inferencing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
- H04L67/025—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2203/00—Indexing scheme relating to G06F3/00 - G06F3/048
- G06F2203/038—Indexing scheme relating to G06F3/038
- G06F2203/0383—Remote input, i.e. interface arrangements in which the signals generated by a pointing device are transmitted to a PC at a remote location, e.g. to a PC in a LAN
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Human Computer Interaction (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Linguistics (AREA)
- Automation & Control Theory (AREA)
- Fuzzy Systems (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Debugging And Monitoring (AREA)
- Information Transfer Between Computers (AREA)
- Electrically Operated Instructional Devices (AREA)
- Computer And Data Communications (AREA)
Abstract
Изобретение относится к области вычислительной техники. Технический результат заключается в расширении арсенала средств выявления удаленного подключения на основе данных о срабатывании и прерывании компьютерной мыши. Способ при работе на страницах веб-ресурса включает этапы, на которых предварительно собирают данные о периодичности срабатывания события движения компьютерной мыши, получают события движения компьютерной мыши, сравнивают периодичность срабатывания полученного события движения компьютерной мыши с вышеуказанной сформированной статистической моделью, при возникновении отклонения в срабатывании события движения компьютерной мыши уведомляют владельца защищаемого веб-ресурса о наличии удаленного подключения у посетителя веб-ресурса для последующего реагирования на стороне владельца. 2 н. и 2 з.п. ф-лы, 4 ил.
Description
ОБЛАСТЬ ТЕХНИКИ
[0001] Данное техническое решение относится к области вычислительной техники, а точнее к способам и системам выявления удаленного доступа при работе на страницах веб-ресурса.
УРОВЕНЬ ТЕХНИКИ
[0002] С недавних времен использование электронных ключей (токенов) и смарт-карт, с неизвлекаемыми криптографическими ключами, с помощью которых производится подписание юридически значимых документов и денежных переводов, перестало считаться надежным способом защиты от мошенников. Самой распространенной схемой обхода этих средств является использование вредоносного программного обеспечения для несанкционированного сбора учетных данных, пин-кодов, паролей на устройстве «жертвы» с последующим удаленным доступом на его устройство и совершение действий в информационных системах от имени легитимного пользователя.
[0003] Подобные атаки перестали быть единичными, и особенно широкое применение получили у кибермошенников при хищении денежных средств через различные системы онлайн-платежей и дистанционного банковского обслуживания. Для осуществления удаленного доступа часто используются такие общедоступные программы как Microsoft Remote Desktop, TeamViewer, Lite Manager, Ammyy Admin, Remote Admin, семейство на основе VNC.
[0004] Самым известным способом выявления использования средств удаленного доступа является фиксирование изменения параметров экрана, таких как его ширина и высота, а также глубина цветности. Например, при удаленном управлении с использованием Microsoft Remote Desktop, по умолчанию используются параметры экрана, с которого осуществляется удаленный доступ. Эти экранные параметры доступны через JavaScript, и соответственно могут быть считаны при доступе пользователя на веб-ресурс. Данным способом пользуется широкий спектр антифрод-решений, таких как ThreatMetrix, RSA Transaction Monitoring, NICE Actimize, Kaspersky Fraud Prevention и другие.
[0005] Однако в случае использования Microsoft Remote Desktop мошенник может явно установить необходимые параметры экрана, а при использовании других средств удаленного доступа, таких как VNC, Ammyy Admin, TeamViewer, эти параметры по умолчанию будут соответствовать параметрам экрана управляемого устройства. В этом случае удаленное подключение вышеописанным способом не будет выявлено, в чем заключается его существенный недостаток.
СУЩНОСТЬ
[0006] Данное изобретение направлено на устранение недостатков, присущих существующим решениям.
[0007] Технической проблемой в данном техническом решении является выявление удаленного подключения при работе на страницах веб-ресурса без использования специальных программ, а только с использованием средств браузера.
[0008] Техническим результатом является расширение арсенала технических средств для выявления удаленного подключения на основе данных о срабатывании прерывания компьютерной мыши.
[0009] Указанный технический результат достигается благодаря способу выявления удаленного подключения при работе на страницах веб-ресурса, в котором предварительно собирают данные о периодичности срабатывания сигнала прерываний компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения; получают сигнал о прерывании компьютерной мыши; сравнивают периодичность срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью; выявляют наличие удаленного подключения при возникновении отклонения в срабатывании прерывания компьютерной мыши.
[00010] Также указанный технический результат достигается благодаря системе выявления удаленного подключения при работе на страницах веб-ресурса, содержащая: сервер, выполненный с возможностью сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью; сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа; клиент удаленного доступа, выполненный с возможностью передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа; компьютерную мышку; браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания компьютерной мыши на устройстве пользователя.
[00011] В некоторых вариантах осуществления технического решения данными о периодичности срабатывания события движения компьютерной мыши являются медиана и дисперсия распределения набора временных замеров (в мс) между соседними вызовами события движения мыши.
[00012] В некоторых вариантах осуществления технического решения при обучении статической модели на основе выбранных данных используют такой метод машинного обучения, как метод k-ближайших соседей или линейную регрессию.
[00013] В некоторых вариантах осуществления технического решения при обучении статической модели на основе выбранных данных используют аппроксимирующие функции для вычисления параметров, необходимых для выявления использования средства удаленного доступа.
[00014] Технический результат достигает следующим способом. Известные в уровне техники способы выявления удаленного подключения без использования агентского решения, которые могут анализировать открываемые порты и протоколы общения, состоят в выявлении факта смены разрешения экрана или глубины цвета. Например, при штатной работе пользователя за устройством А экран имеет разрешение 1024 на 768 пикселей, и глубину цвета 32 бита. При удаленном подключении с использованием RDP (Remote Desktop Protocol) по умолчанию клиент удаленного управления использует разрешение экрана устройства Б, с которого происходит доступ, а не устройства А. В результате изменяется разрешение экрана и, например, с использованием JavaScript из браузера это можно определить. Значение глубины цвета также может быть снижено относительно оригинального значения в целях снижения объема трафика между управляющим и управляемым устройствами.
[00015] К сожалению, данные способы не срабатывают в большинстве реальных случаев. Во-первых, не сработает против осторожных мошенников, которые имеют возможность получить оригинальное значение разрешения и глубины цвета, и выставить их вручную в параметрах клиента удаленного доступа. Во-вторых, такие широко используемые системы удаленного доступа как VNC, TeamViewer, LiteManager, Remote Admin, Ammyy Admin не изменяют по умолчанию ни разрешения, ни глубины цвета.
[00016] Данное техническое решение предлагает новый способ выявления удаленного подключения, который определяет использование всех вышеперечисленных программ удаленного подключения за счет учета фундаментальных принципов их работы.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[00017] Признаки и преимущества настоящего изобретения станут очевидными из приводимого ниже подробного описания изобретения и прилагаемых чертежей, на которых:
[00018] На Фиг. 1 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса;
[00019] На Фиг. 2 показан примерный вариант осуществления технического решения согласно системе выявления удаленного подключения при работе на страницах веб-ресурса;
[00020] На Фиг. 3 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса. На диаграмме показаны существенные компоненты, участвующие при работе легитимного пользователя со своего устройства на страницах веб-ресурса. Также показана последовательность взаимодействия компонент для первичного построения статистической модели и последующей проверки данных прерывания компьютерной мыши.
[00021] На Фиг. 4 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса. На диаграмме показаны существенные компоненты, участвующие при использовании средств удаленного доступа и вносящие аномальные изменения в данные прерывания компьютерной мыши. Также показана последовательность взаимодействия компонент для выявления использования средств удаленного управления (обозначены сокращением УУ).
ПОДРОБНОЕ ОПИСАНИЕ
[00022] Данное техническое решение может быть реализовано на компьютере, в виде системы или машиночитаемого носителя, содержащего инструкции для выполнения вышеупомянутого способа.
[00023] Техническое решение может быть реализовано в виде распределенной компьютерной системы.
[00024] В данном решении под системой подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛК (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, четко определенную последовательность операций (действий, инструкций).
[00025] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).
[00026] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но, не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.
[00027] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.
[00028] Ниже будут описаны термины и понятия, необходимые для осуществления настоящего технического решения.
[00029] Статистическая модель - модель, описывающая (в большей или меньшей степени) взаимосвязь между признаками (переменными).
[00030] Машинное обучение - обширный подраздел искусственного интеллекта, математическая дисциплина, использующая разделы математической статистики, численных методов оптимизаций, теории вероятностей, дискретного анализа и извлекающая знания из данных.
[00031] Прерывание - сигнал, сообщающий процессору о наступлении какого-либо события. При этом выполнение текущей последовательности команд приостанавливается и управление передается обработчику прерывания, который реагирует на событие и обслуживает его, после чего возвращает управление в прерванный код.
[00032] Сервер - компьютер и/или оборудование для выполнения на нем сервисного программного обеспечения (в том числе серверов тех или иных задач).
[00033] Сервер удаленного доступа обеспечивает пользователя через соответствующую клиентскую программу аналогом локального терминала (текстового или графического) для работы на удаленной системе. Для обеспечения доступа к командной строке служат серверы telnet, RSH и SSH. Для обеспечения доступа к графическому терминалу (оболочке) используются такие программы, как RDP, VNC, TeamViewer, RemoteAdmin, AmmyyAdmin, LiteManager.
[00034] Браузер - прикладное программное обеспечение для просмотра веб-страниц; содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач.
[00035] Компьютерная мышь - механический манипулятор, преобразующий движение в управляющий сигнал. В частности, сигнал может быть использован для позиционирования курсора или прокрутки страниц.
[00036] ДБО - дистанционное банковское обслуживание.
[00037] В информатике и программировании событие - это сообщение программного обеспечения (либо его части), которое указывает, что произошло.
[00038] Согласно заявляемому техническому решению способ выявления удаленного подключения при работе на страницах веб-ресурса, который показан на Фиг. 1, реализован следующим образом.
[00039] Шаг 101: предварительно собирают данные о периодичности срабатывания сигнала прерываний компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения.
[00040] Данными являются медиана и дисперсия распределения набора временных замеров (в мс) между соседними вызовами события движения мышки. Набор замеров имеет фиксированную длину. Данный шаг выполняется при первых сеансах работы пользователя в браузере при посещении защищаемого веб-ресурса. Вместе с веб-ресурсом в браузер клиента загружается JavaScript-код, который производит сбор периодичности прерывания компьютерной мышки и передает их обратно на веб-сервер для накопления и последующего анализа. Аналогичный подход может быть реализован в любом приложении или его расширении, которое не имеет возможности контролировать открытые порты на устройстве пользователя. Например, если приложение реализовано как flash (ActionScript) и запускается в браузере, можно использовать ровно тот же способ. Подразумевается, что мошенник еще не атаковал пользователя, и полученная в ходе обучения статистическая модель будет отражать работу пользователя локально за своим вычислительным устройством. Для построения статистической модели используются методы машинного обучения на основе данных о периодичности срабатывания компьютерной мышки.
[00041] В качестве методов машинного обучения могут быть использованы метод k-ближайших соседей, линейная регрессия, и иные алгоритмы кластеризации и выявления аномалий. В условиях ограниченного набора данных о событии движения мыши возможно использование аппроксимирующих функций для вычисления необходимых параметров для выявления использования средства удаленного доступа. Под ограниченным набором данных понимается, что как правило, сессия работы мошенника под удаленным управлением довольно короткая (1-2 минуты). Его задача, например, быстро создать платеж и уйти. В этих условиях можно не набрать достаточное количество данных. Поэтому используется аппроксимация на основе тех данных, которые успели накопиться. Например, в качестве такой функции может выступать дисперсия распределения из N случайных величин, которые необходимы для достоверного определения использования удаленного подключения, может быть аппроксимирована функцией a/(N^2)+b, где коэффициенты a и b - вычисляются на основе дисперсий от меньшего количества случайных величин, полученных в ходе сессии работы на защищаемом веб-ресурсе.
[00042] Шаг 102: получают события движения компьютерной мыши;
[00043] Шаг 103: сравнивают периодичность срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью.
[00044] В общем случае сравнивается набор полученных данных, т.к. и при нормальной работе могут быть одиночные выбросы (аномалии)
[00045] Выявляет разницу периодичности прерывания компьютерной мыши со статистической моделью, построенной на этапе обучения. Если она оказывается статистически значимой, то принимается решение, что наличествует удаленное подключение. На основе полученных данных о периодичности прерывания компьютерной мыши и статистической модели, построенной алгоритмом выявления аномалий на этапе обучения, принимается решение, что наличествует удаленное управление.
[00046] Шаг 104: при возникновении отклонения в срабатывании прерывания компьютерной мыши уведомляют владельца защищаемого веб-ресурса о наличии удаленного подключения у посетителя веб-ресурса для последующего реагирования на стороне владельца. В качестве реагирования может быть, например, ограничение доступа к функционалу веб-ресурса, дополнительной авторизации клиента, прерывании сессии работы с посетителем или отзыве ранее совершенных действий, и т.п.
[00047] Важно, что уведомляется не пользователь, а владелец веб-ресурса (банк в случае ДБО). Бессмысленно показывать что-либо в браузере под удаленным управлением мошенника.
[00048] Рассмотрим пример осуществления технического решения.
[00049] JavaScript-код регистрирует свой обработчик на событие window.onmousemove браузера. Обработчик вызывается браузером при передвижении мышки.
[00050] В обработчике при каждом вызове замеряется разница между временем предыдущего вызова и текущего. Используется промежуточный массив счетчиков с индексами от 0 до заданного количества (например, 40). При каждом вызове обработчика увеличивается на единицу счетчик с индексом равным разнице времени предыдущего вызова и текущего. По достижении заданного количества последовательно полученных разниц времен, подсчитывается медиана. Эти значения медианы отправляются на сервер. Массив счетчиков обнуляется, и вся описанная выше итерация повторяется.
[00051] На сервере полученные значения медианы накапливаются до заданного количества - на этом этапе накапливаются данные, которые относятся к классу «пользователь работает локально». Заданное количество задается настройками алгоритма выявления аномалий и представляет собой положительное число, например 100, как показано в примере реализации ниже. По получении заданного количества медиан вычисляется следующая статистическая модель.
[00052] Среднее значение медианы m и ее дисперсия sd.
[00053] Задается пороговое значение большее m+3*sd*K, где К - является настроечным параметром, задающим чувствительность выявления. В пределах [0, m+3*sd) находится 0.07% всего нормального распределения медиан, данный интервал взят из теории статистики.
[00054] Например, в ходе нескольких сессий локальной работы клиента в ДБО были получены следующие значения медианы (в миллисекундах):
[00055] [9, 10, 11, 11, 11, 9, 11, 10, 11, 11, 11, 11, 11, 11, 11, 9, 9, 11, 11, 9, 11, 11, 11, 11, 12, 13, 13, 12, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 11, 11, 11, 11, 11, 10, 9, 11, 11, 11, 11, 11, 11, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 13, 13, 13, 13, 13, 13, 11, 11, 11, 11, 11, 11, 9, 9, 9, 9, 9, 9, 9]
[00056] m=10.09
[00057] sd=1.295641
[00058] при К=1, пороговое значение равно 13.97692
[00059] После этого все получаемые значения медианы тестируются на вхождение в промежуток [0, m+3*sd*К]. Если медиана выходит за пределы, то считается, что происходит удаленное управление. Это имеет очень простой физический смысл: при плавном движении мышки на стороне мошенника сигналы от нее передаются от клиента удаленного доступа на сервер удаленного доступа с некоторой большей периодичностью (задержкой), что на управляемом устройстве выглядит как дерганое движение мышки (большими скачками).
[00060] Поскольку события window.onmousemove обрабатываются в общей очереди событий однопоточной (single threaded) JavaScript-машины браузера, то аномалии возможны и при локальной работе. Поэтому при оценке одиночные выбросы не учитываются. При удаленной работе аномальные значения медианы идут группами.
[00061] Например, в ходе сессии работы через TeamViewer были получены следующие значения медиан: [41, 41, 41, 41, 41]
[00062] 41 - значит, что реальные медианы вышли за пределы массива счетчиков, т.е. задержки были более 40 мс.
[00063] В результате среднее из этих медиан выходит за пределы допустимого значения 13.97692.
[00064] Этим способом выявляются такие средства удаленного доступа как RDP и TeamViewer. Другие средства удаленного доступа требуют других алгоритмов выявления основанных на изменении дисперсии периодичности срабатывания событий window.onmousemove.
[00065] Согласно заявляемому техническому решению система выявления удаленного подключения при работе на страницах веб-ресурса, реализована следующим образом.
[00066] Сервер выполнен с возможностью сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью.
[00067] Все подробности реализации сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучение статистической модели на основе полученных данных описаны выше.
[00068] В любом домене узлы потребителей, серверы, магистральные соединения и т.п. рассматриваются как «локальные» для этого домена, в то время как эти элементы в пределах другого домена рассматриваются как «удаленные».
[00069] сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа;
[00070] клиент удаленного доступа, выполненный с возможностью передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа;
[00071] компьютерная мышка;
[00072] браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания компьютерной мыши на устройстве пользователя.
[00073] Специалист в данной области техники может легко осуществить другие варианты изобретения из рассмотренного описания, раскрытого здесь. Эта заявка предназначена для того, чтобы покрыть любые варианты изобретения, и включая такие отклонения от настоящего изобретения, которые появляются в пределах известной или обычной практики в уровне техники. Предполагается, что описание и примеры рассматриваются только как примерные, с сущностью и объемом настоящего изобретения, обозначенные формулой технического решения.
[00074] Следует принимать во внимание, что настоящее раскрытие не ограничивается точными конструкциями, которые были описаны выше и проиллюстрированы на прилагаемых чертежах, и что различные модификации и изменения могут быть сделаны без отхода от области его применения. Предполагается, что объем технического решения ограничен только прилагаемой формулой.
Claims (13)
1. Способ выявления удаленного подключения при работе на страницах веб-ресурса, содержащий:
- предварительно собирают данные о периодичности срабатывания события движения компьютерной мыши, при этом данными о периодичности срабатывания события движения компьютерной мыши являются медиана и дисперсия распределения набора временных замеров между соседними вызовами события движения мыши, и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения;
- получают события движения компьютерной мыши;
- сравнивают периодичность срабатывания полученного события движения компьютерной мыши с вышеуказанной сформированной статистической моделью;
- при возникновении отклонения в срабатывании события движения компьютерной мыши, уведомляют владельца защищаемого веб-ресурса о наличии удаленного подключения у посетителя веб-ресурса для последующего реагирования на стороне владельца.
2. Способ по п. 1, характеризующийся тем, что при обучении статической модели на основе выбранных данных используют такой метод машинного обучения, как метод k-ближайших соседей или линейную регрессию.
3. Способ по п. 1, характеризующийся тем, что при обучении статической модели на основе выбранных данных используют аппроксимирующие функции для вычисления параметров, необходимых для выявления использования средства удаленного доступа.
4. Система выявления удаленного подключения при работе на страницах веб-ресурса, содержащая:
- сервер, выполненный с возможностью сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью, при этом данными о периодичности срабатывания события движения компьютерной мыши являются медиана и дисперсия распределения набора временных замеров между соседними вызовами события движения мыши;
- сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа;
- клиент удаленного доступа, выполненный с возможностью передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа;
- компьютерная мышка;
- браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания компьютерной мыши на устройстве пользователя.
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016131909A RU2649793C2 (ru) | 2016-08-03 | 2016-08-03 | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| PCT/RU2016/000526 WO2018026303A1 (ru) | 2016-08-03 | 2016-08-09 | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| SG11201900858WA SG11201900858WA (en) | 2016-08-03 | 2016-08-09 | Method and system of remote connection detection when working on web resource pages |
| US16/261,854 US10721251B2 (en) | 2016-08-03 | 2019-01-30 | Method and system for detecting remote access during activity on the pages of a web resource |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2016131909A RU2649793C2 (ru) | 2016-08-03 | 2016-08-03 | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| RU2016131909A RU2016131909A (ru) | 2018-02-08 |
| RU2649793C2 true RU2649793C2 (ru) | 2018-04-04 |
Family
ID=61073516
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2016131909A RU2649793C2 (ru) | 2016-08-03 | 2016-08-03 | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10721251B2 (ru) |
| RU (1) | RU2649793C2 (ru) |
| SG (1) | SG11201900858WA (ru) |
| WO (1) | WO2018026303A1 (ru) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020209744A1 (ru) | 2019-04-10 | 2020-10-15 | Общество Ограниченной Ответственностью "Группа Айби" | Идентификация пользователя по последовательности открываемых окон пользовательского интерфейса |
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20240195817A1 (en) * | 2022-12-07 | 2024-06-13 | Cujo LLC | Technical support scam protection |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060224898A1 (en) * | 2003-05-02 | 2006-10-05 | Ahmed Ahmed E | System and method for determining a computer user profile from a motion-based input device |
| US20110023115A1 (en) * | 2009-07-21 | 2011-01-27 | Wright Clifford C | Host intrusion prevention system using software and user behavior analysis |
| US8677472B1 (en) * | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
| RU2530210C2 (ru) * | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
Family Cites Families (163)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7389351B2 (en) * | 2001-03-15 | 2008-06-17 | Microsoft Corporation | System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts |
| US7565692B1 (en) | 2000-05-30 | 2009-07-21 | At&T Wireless Services, Inc. | Floating intrusion detection platforms |
| AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
| US7325252B2 (en) | 2001-05-18 | 2008-01-29 | Achilles Guard Inc. | Network security testing |
| US20090138342A1 (en) | 2001-11-14 | 2009-05-28 | Retaildna, Llc | Method and system for providing an employee award using artificial intelligence |
| US7225343B1 (en) | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
| EP1349081A1 (en) | 2002-03-28 | 2003-10-01 | LION Bioscience AG | Method and apparatus for querying relational databases |
| US7496628B2 (en) | 2003-02-25 | 2009-02-24 | Susquehanna International Group, Llp | Electronic message filter |
| US8990928B1 (en) | 2003-12-11 | 2015-03-24 | Radix Holdings, Llc | URL salience |
| US7392278B2 (en) | 2004-01-23 | 2008-06-24 | Microsoft Corporation | Building and using subwebs for focused search |
| US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US7953814B1 (en) | 2005-02-28 | 2011-05-31 | Mcafee, Inc. | Stopping and remediating outbound messaging abuse |
| US8255532B2 (en) | 2004-09-13 | 2012-08-28 | Cisco Technology, Inc. | Metric-based monitoring and control of a limited resource |
| US7540025B2 (en) | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
| US20060253582A1 (en) | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Indicating website reputations within search results |
| JP5118020B2 (ja) | 2005-05-05 | 2013-01-16 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| US7609625B2 (en) | 2005-07-06 | 2009-10-27 | Fortinet, Inc. | Systems and methods for detecting and preventing flooding attacks in a network environment |
| US7730040B2 (en) | 2005-07-27 | 2010-06-01 | Microsoft Corporation | Feedback-driven malware detector |
| US7707284B2 (en) | 2005-08-03 | 2010-04-27 | Novell, Inc. | System and method of searching for classifying user activity performed on a computer system |
| KR20070049514A (ko) | 2005-11-08 | 2007-05-11 | 한국정보보호진흥원 | 악성 코드 감시 시스템 및 이를 이용한 감시 방법 |
| US8650080B2 (en) | 2006-04-10 | 2014-02-11 | International Business Machines Corporation | User-browser interaction-based fraud detection system |
| EP2005698B1 (en) | 2006-04-13 | 2012-01-04 | Art of Defence GmbH | Method for providing web application security |
| US7984500B1 (en) | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
| US7865953B1 (en) | 2007-05-31 | 2011-01-04 | Trend Micro Inc. | Methods and arrangement for active malicious web pages discovery |
| US8238669B2 (en) | 2007-08-22 | 2012-08-07 | Google Inc. | Detection and classification of matches between time-based media |
| US7958555B1 (en) | 2007-09-28 | 2011-06-07 | Trend Micro Incorporated | Protecting computer users from online frauds |
| US9779403B2 (en) | 2007-12-07 | 2017-10-03 | Jpmorgan Chase Bank, N.A. | Mobile fraud prevention system and method |
| WO2009106998A1 (en) | 2008-02-28 | 2009-09-03 | Ipharro Media Gmbh | Frame sequence comparison in multimedia streams |
| US8082187B2 (en) | 2008-05-07 | 2011-12-20 | AcademixDirect, Inc. | Method of generating a referral website URL using website listings in a cookie |
| US8856937B1 (en) | 2008-06-27 | 2014-10-07 | Symantec Corporation | Methods and systems for identifying fraudulent websites |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| US8086480B2 (en) | 2008-09-25 | 2011-12-27 | Ebay Inc. | Methods and systems for activity-based recommendations |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8448245B2 (en) | 2009-01-17 | 2013-05-21 | Stopthehacker.com, Jaal LLC | Automated identification of phishing, phony and malicious web sites |
| US8695091B2 (en) | 2009-02-11 | 2014-04-08 | Sophos Limited | Systems and methods for enforcing policies for proxy website detection using advertising account ID |
| WO2010105184A2 (en) | 2009-03-13 | 2010-09-16 | Breach Security , Inc. | A method and apparatus for phishing and leeching vulnerability detection |
| US8229219B1 (en) | 2009-08-06 | 2012-07-24 | Google Inc. | Full-length video fingerprinting |
| US8600993B1 (en) | 2009-08-26 | 2013-12-03 | Google Inc. | Determining resource attributes from site address attributes |
| US8396857B2 (en) | 2009-08-31 | 2013-03-12 | Accenture Global Services Limited | System to modify websites for organic search optimization |
| EP2323046A1 (en) | 2009-10-16 | 2011-05-18 | Telefónica, S.A. | Method for detecting audio and video copy in multimedia streams |
| US8625033B1 (en) | 2010-02-01 | 2014-01-07 | Google Inc. | Large-scale matching of audio and video |
| US9501644B2 (en) | 2010-03-15 | 2016-11-22 | F-Secure Oyj | Malware protection |
| US8612463B2 (en) | 2010-06-03 | 2013-12-17 | Palo Alto Research Center Incorporated | Identifying activities using a hybrid user-activity model |
| US8260914B1 (en) | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| RU2446459C1 (ru) | 2010-07-23 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ проверки веб-ресурсов на наличие вредоносных компонент |
| US20130074187A1 (en) | 2010-07-26 | 2013-03-21 | Ki Yong Kim | Hacker virus security-integrated control device |
| US8924488B2 (en) | 2010-07-27 | 2014-12-30 | At&T Intellectual Property I, L.P. | Employing report ratios for intelligent mobile messaging classification and anti-spam defense |
| BR112013004345B1 (pt) | 2010-08-25 | 2020-12-08 | Lookout, Inc. | sistema e método para evitar malware acoplado a um servidor |
| AU2011293160B2 (en) | 2010-08-26 | 2015-04-09 | Verisign, Inc. | Method and system for automatic detection and analysis of malware |
| US8837769B2 (en) | 2010-10-06 | 2014-09-16 | Futurewei Technologies, Inc. | Video signature based on image hashing and shot detection |
| US9626677B2 (en) * | 2010-11-29 | 2017-04-18 | Biocatch Ltd. | Identification of computerized bots, and identification of automated cyber-attack modules |
| US8521667B2 (en) | 2010-12-15 | 2013-08-27 | Microsoft Corporation | Detection and categorization of malicious URLs |
| CN102082792A (zh) | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
| US8972412B1 (en) | 2011-01-31 | 2015-03-03 | Go Daddy Operating Company, LLC | Predicting improvement in website search engine rankings based upon website linking relationships |
| US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US8402543B1 (en) | 2011-03-25 | 2013-03-19 | Narus, Inc. | Machine learning based botnet detection with dynamic adaptation |
| RU107616U1 (ru) | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
| US9363278B2 (en) | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| US8151341B1 (en) | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| US8555388B1 (en) | 2011-05-24 | 2013-10-08 | Palo Alto Networks, Inc. | Heuristic botnet detection |
| CA2840992C (en) | 2011-07-08 | 2017-03-14 | Brad WARDMAN | Syntactical fingerprinting |
| US20140173287A1 (en) | 2011-07-11 | 2014-06-19 | Takeshi Mizunuma | Identifier management method and system |
| GB2493514B (en) | 2011-08-02 | 2015-04-08 | Qatar Foundation | Copy detection |
| US8645355B2 (en) | 2011-10-21 | 2014-02-04 | Google Inc. | Mapping Uniform Resource Locators of different indexes |
| US8584235B2 (en) | 2011-11-02 | 2013-11-12 | Bitdefender IPR Management Ltd. | Fuzzy whitelisting anti-malware systems and methods |
| US9519781B2 (en) | 2011-11-03 | 2016-12-13 | Cyphort Inc. | Systems and methods for virtualization and emulation assisted malware detection |
| RU2487406C1 (ru) | 2011-11-24 | 2013-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети |
| US8660296B1 (en) | 2012-01-10 | 2014-02-25 | Google Inc. | Systems and methods for facilitating video fingerprinting using local descriptors |
| US9111090B2 (en) | 2012-04-02 | 2015-08-18 | Trusteer, Ltd. | Detection of phishing attempts |
| RU2523114C2 (ru) | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
| US10304036B2 (en) | 2012-05-07 | 2019-05-28 | Nasdaq, Inc. | Social media profiling for one or more authors using one or more social media platforms |
| RU2488880C1 (ru) | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| US9154517B2 (en) | 2012-06-19 | 2015-10-06 | AO Kaspersky Lab | System and method for preventing spread of malware in peer-to-peer network |
| EP2877956B1 (en) | 2012-07-24 | 2019-07-17 | Webroot Inc. | System and method to provide automatic classification of phishing sites |
| RU2495486C1 (ru) | 2012-08-10 | 2013-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа и выявления вредоносных промежуточных узлов в сети |
| CN103685174B (zh) | 2012-09-07 | 2016-12-21 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| US9215239B1 (en) | 2012-09-28 | 2015-12-15 | Palo Alto Networks, Inc. | Malware detection based on traffic analysis |
| US10965775B2 (en) | 2012-11-20 | 2021-03-30 | Airbnb, Inc. | Discovering signature of electronic social networks |
| RU2536664C2 (ru) | 2012-12-25 | 2014-12-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ автоматической модификации антивирусной базы данных |
| RU2522019C1 (ru) | 2012-12-25 | 2014-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной |
| RU129279U1 (ru) | 2013-01-09 | 2013-06-20 | ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" | Устройство обнаружения и защиты от аномальной активности на сети передачи данных |
| US20160127402A1 (en) | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
| US10425429B2 (en) | 2013-04-10 | 2019-09-24 | Gabriel Bassett | System and method for cyber security analysis and human behavior prediction |
| GB201306628D0 (en) | 2013-04-11 | 2013-05-29 | F Secure Oyj | Detecting and marking client devices |
| EP2901665A4 (en) | 2013-05-13 | 2015-10-21 | Yandex Europe Ag | METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME |
| US9357469B2 (en) | 2013-05-29 | 2016-05-31 | Rivada Networks, Llc | Methods and system for dynamic spectrum arbitrage with mobility management |
| US9443075B2 (en) | 2013-06-27 | 2016-09-13 | The Mitre Corporation | Interception and policy application for malicious communications |
| CN103368958A (zh) | 2013-07-05 | 2013-10-23 | 腾讯科技(深圳)有限公司 | 一种网页检测方法、装置和系统 |
| RU2538292C1 (ru) | 2013-07-24 | 2015-01-10 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ обнаружения компьютерных атак на сетевую компьютерную систему |
| KR102120823B1 (ko) | 2013-08-14 | 2020-06-09 | 삼성전자주식회사 | 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템 |
| CN103491205B (zh) | 2013-09-30 | 2016-08-17 | 北京奇虎科技有限公司 | 一种基于视频搜索的关联资源地址的推送方法和装置 |
| US9330258B1 (en) | 2013-09-30 | 2016-05-03 | Symantec Corporation | Systems and methods for identifying uniform resource locators that link to potentially malicious resources |
| CA2924764C (en) | 2013-10-21 | 2020-03-10 | Microsoft Technology Licensing, Llc | Mobile video search |
| GB2520987B (en) | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| IN2013CH05744A (ru) | 2013-12-12 | 2015-06-19 | Infosys Ltd | |
| US20150363791A1 (en) | 2014-01-10 | 2015-12-17 | Hybrid Application Security Ltd. | Business action based fraud detection system and method |
| US9060018B1 (en) | 2014-02-05 | 2015-06-16 | Pivotal Software, Inc. | Finding command and control center computers by communication link tracking |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| KR101514984B1 (ko) | 2014-03-03 | 2015-04-24 | (주)엠씨알시스템 | 홈페이지 악성코드 유포 탐지 시스템 및 방법 |
| RU2543564C1 (ru) | 2014-03-20 | 2015-03-10 | Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" | Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам |
| US9853997B2 (en) | 2014-04-14 | 2017-12-26 | Drexel University | Multi-channel change-point malware detection |
| US9332022B1 (en) | 2014-07-07 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious internet addresses |
| US20160036837A1 (en) | 2014-08-04 | 2016-02-04 | Microsoft Corporation | Detecting attacks on data centers |
| US9800592B2 (en) | 2014-08-04 | 2017-10-24 | Microsoft Technology Licensing, Llc | Data center architecture that supports attack detection and mitigation |
| US9942250B2 (en) | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
| KR101587161B1 (ko) | 2014-09-03 | 2016-01-20 | 한국전자통신연구원 | 실시간 네트워크 안티바이러스 수행 장치 및 방법 |
| RU2589310C2 (ru) | 2014-09-30 | 2016-07-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ расчета интервала повторного определения категорий сетевого ресурса |
| US20160110819A1 (en) | 2014-10-21 | 2016-04-21 | Marc Lauren Abramowitz | Dynamic security rating for cyber insurance products |
| JP6916112B2 (ja) | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
| US10574675B2 (en) | 2014-12-05 | 2020-02-25 | T-Mobile Usa, Inc. | Similarity search for discovering multiple vector attacks |
| US9367872B1 (en) | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US10230526B2 (en) | 2014-12-31 | 2019-03-12 | William Manning | Out-of-band validation of domain name system records |
| US9712549B2 (en) | 2015-01-08 | 2017-07-18 | Imam Abdulrahman Bin Faisal University | System, apparatus, and method for detecting home anomalies |
| CN104504307B (zh) | 2015-01-08 | 2017-09-29 | 北京大学 | 基于拷贝单元的音视频拷贝检测方法和装置 |
| EP3065076A1 (en) | 2015-03-04 | 2016-09-07 | Secure-Nok AS | System and method for responding to a cyber-attack-related incident against an industrial control system |
| US9253208B1 (en) | 2015-03-05 | 2016-02-02 | AO Kaspersky Lab | System and method for automated phishing detection rule evolution |
| US9769201B2 (en) | 2015-03-06 | 2017-09-19 | Radware, Ltd. | System and method thereof for multi-tiered mitigation of cyber-attacks |
| US9712553B2 (en) | 2015-03-27 | 2017-07-18 | The Boeing Company | System and method for developing a cyber-attack scenario |
| US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
| US9917852B1 (en) | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
| RU164629U1 (ru) | 2015-06-30 | 2016-09-10 | Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" | Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5 |
| EP3125147B1 (en) | 2015-07-27 | 2020-06-03 | Swisscom AG | System and method for identifying a phishing website |
| US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
| CN106506435B (zh) | 2015-09-08 | 2019-08-06 | 中国电信股份有限公司 | 用于检测网络攻击的方法和防火墙系统 |
| WO2017049045A1 (en) | 2015-09-16 | 2017-03-23 | RiskIQ, Inc. | Using hash signatures of dom objects to identify website similarity |
| CN105429956B (zh) | 2015-11-02 | 2018-09-25 | 重庆大学 | 基于p2p动态云的恶意软件检测系统及方法 |
| US10200382B2 (en) | 2015-11-05 | 2019-02-05 | Radware, Ltd. | System and method for detecting abnormal traffic behavior using infinite decaying clusters |
| US9894036B2 (en) | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
| RU2622870C2 (ru) | 2015-11-17 | 2017-06-20 | Общество с ограниченной ответственностью "САЙТСЕКЬЮР" | Система и способ оценки опасности веб-сайтов |
| CN106709777A (zh) | 2015-11-18 | 2017-05-24 | 阿里巴巴集团控股有限公司 | 一种订单聚类方法及装置,以及反恶意信息的方法及装置 |
| US10594710B2 (en) | 2015-11-20 | 2020-03-17 | Webroot Inc. | Statistical analysis of network behavior using event vectors to identify behavioral anomalies using a composite score |
| RU2613535C1 (ru) | 2015-11-20 | 2017-03-16 | Илья Самуилович Рабинович | Способ обнаружения вредоносных программ и элементов |
| EP3373179B1 (en) | 2015-12-14 | 2019-08-07 | Mitsubishi Electric Corporation | Information processing device, information processing method, and information processing program |
| US9723344B1 (en) | 2015-12-29 | 2017-08-01 | Google Inc. | Early detection of policy violating media |
| US11069370B2 (en) | 2016-01-11 | 2021-07-20 | University Of Tennessee Research Foundation | Tampering detection and location identification of digital audio recordings |
| RU2628192C2 (ru) | 2016-01-27 | 2017-08-15 | Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" | Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов |
| US9900338B2 (en) | 2016-02-09 | 2018-02-20 | International Business Machines Corporation | Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data |
| AU2017225932C1 (en) | 2016-02-29 | 2021-06-24 | Securekey Technologies Inc. | Systems and methods for distributed identity verification |
| US10063572B2 (en) | 2016-03-28 | 2018-08-28 | Accenture Global Solutions Limited | Antivirus signature distribution with distributed ledger |
| US10313382B2 (en) | 2016-03-29 | 2019-06-04 | The Mitre Corporation | System and method for visualizing and analyzing cyber-attacks using a graph model |
| US10212145B2 (en) | 2016-04-06 | 2019-02-19 | Avaya Inc. | Methods and systems for creating and exchanging a device specific blockchain for device authentication |
| US10178107B2 (en) | 2016-04-06 | 2019-01-08 | Cisco Technology, Inc. | Detection of malicious domains using recurring patterns in domain names |
| CN105897714B (zh) | 2016-04-11 | 2018-11-09 | 天津大学 | 基于dns流量特征的僵尸网络检测方法 |
| RU2625050C1 (ru) | 2016-04-25 | 2017-07-11 | Акционерное общество "Лаборатория Касперского" | Система и способ признания транзакций доверенными |
| US11223598B2 (en) | 2016-05-03 | 2022-01-11 | Nokia Of America Corporation | Internet security |
| RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| RU2636702C1 (ru) | 2016-07-07 | 2017-11-27 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций |
| US20180012144A1 (en) | 2016-07-11 | 2018-01-11 | Qualcomm Innovation Center, Inc. | Incremental and speculative analysis of javascripts based on a multi-instance model for web security |
| CN106131016B (zh) | 2016-07-13 | 2019-05-03 | 北京知道创宇信息技术有限公司 | 恶意url检测干预方法、系统及装置 |
| US10212133B2 (en) | 2016-07-29 | 2019-02-19 | ShieldX Networks, Inc. | Accelerated pattern matching using pattern functions |
| WO2018025157A1 (en) | 2016-07-31 | 2018-02-08 | Cymmetria, Inc. | Deploying deception campaigns using communication breadcrumbs |
| US10498761B2 (en) | 2016-08-23 | 2019-12-03 | Duo Security, Inc. | Method for identifying phishing websites and hindering associated activity |
| US10313352B2 (en) | 2016-10-26 | 2019-06-04 | International Business Machines Corporation | Phishing detection with machine learning |
| WO2018095192A1 (zh) | 2016-11-23 | 2018-05-31 | 腾讯科技(深圳)有限公司 | 网站攻击的检测和防护方法及系统 |
| CN106713312A (zh) | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| EP3649767A1 (en) | 2017-07-06 | 2020-05-13 | Pixm | Phishing detection method and system |
| CN107392456A (zh) | 2017-07-14 | 2017-11-24 | 武汉理工大学 | 一种融合互联网信息的多角度企业信用评估建模方法 |
| RU2670906C9 (ru) | 2017-12-28 | 2018-12-12 | Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" | Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель |
-
2016
- 2016-08-03 RU RU2016131909A patent/RU2649793C2/ru active
- 2016-08-09 SG SG11201900858WA patent/SG11201900858WA/en unknown
- 2016-08-09 WO PCT/RU2016/000526 patent/WO2018026303A1/ru active Application Filing
-
2019
- 2019-01-30 US US16/261,854 patent/US10721251B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060224898A1 (en) * | 2003-05-02 | 2006-10-05 | Ahmed Ahmed E | System and method for determining a computer user profile from a motion-based input device |
| US20110023115A1 (en) * | 2009-07-21 | 2011-01-27 | Wright Clifford C | Host intrusion prevention system using software and user behavior analysis |
| US8677472B1 (en) * | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
| RU2530210C2 (ru) * | 2012-12-25 | 2014-10-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
| WO2020209744A1 (ru) | 2019-04-10 | 2020-10-15 | Общество Ограниченной Ответственностью "Группа Айби" | Идентификация пользователя по последовательности открываемых окон пользовательского интерфейса |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018026303A1 (ru) | 2018-02-08 |
| US10721251B2 (en) | 2020-07-21 |
| RU2016131909A (ru) | 2018-02-08 |
| US20190166140A1 (en) | 2019-05-30 |
| SG11201900858WA (en) | 2019-02-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10721251B2 (en) | Method and system for detecting remote access during activity on the pages of a web resource | |
| CN109831465B (zh) | 一种基于大数据日志分析的网站入侵检测方法 | |
| US8225401B2 (en) | Methods and systems for detecting man-in-the-browser attacks | |
| US10986107B2 (en) | Systems and methods for detecting anomalous software on a programmable logic controller | |
| US11328056B2 (en) | Suspicious event analysis device and related computer program product for generating suspicious event sequence diagram | |
| US9762597B2 (en) | Method and system to detect and interrupt a robot data aggregator ability to access a website | |
| CN107483500A (zh) | 一种基于用户行为的风险识别方法、装置及存储介质 | |
| CN109791587A (zh) | 经由用户状态检测受危害设备 | |
| US11785030B2 (en) | Identifying data processing timeouts in live risk analysis systems | |
| CN113767613A (zh) | 管理iot网络中的数据和数据使用 | |
| US11528261B2 (en) | Dynamic unauthorized activity detection and control system | |
| Cheng et al. | Magattack: Guessing application launching and operation via smartphone | |
| WO2019217023A1 (en) | User-added-value-based ransomware detection and prevention | |
| CN111683084A (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| US11902309B1 (en) | Anomaly prediction for electronic resources | |
| JP7194487B2 (ja) | リモート・アプリケーションを提供するサーバのセキュリティ | |
| CN113364766B (zh) | 一种apt攻击的检测方法及装置 | |
| JP6053646B2 (ja) | 監視装置及び情報処理システム及び監視方法及びプログラム | |
| Sabu et al. | Advanced Keylogger with Keystroke Dynamics | |
| CN112769782A (zh) | 多云安全基线管理的方法与设备 | |
| WO2016034935A1 (en) | Protecting against phishing attacks | |
| EP2750066A2 (en) | System and method for detecting malware that interferes with a user interface | |
| Gonçalves et al. | Detecting anomalies through sequential performance analysis in virtualized environments | |
| EP4060533B1 (en) | Detecting a current attack based on signature generation technique in a computerized environment | |
| US11647036B1 (en) | Advanced interstitial techniques for web security |