Claims (16)
1. Способ выявления целевых атак, по которому:1. A method for identifying targeted attacks, in which:
а) получают информацию, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника;a) receive information of at least one resource from at least one source;
б) обнаруживают, по меньшей мере, один подозрительный признак в полученной информации, по меньшей мере, для одного ресурса;b) detect at least one suspicious sign in the received information for at least one resource;
в) собирают дополнительную информацию о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, от систем с различными характеристиками;c) collect additional information about the resource in relation to which at least one suspicious sign was detected from systems with different characteristics;
г) определяют, по меньшей мере, одну характеристику систем, объединяющую группу систем, в отношении которых был повторно обнаружен подозрительный признак;d) determine at least one characteristic of systems that unites a group of systems in respect of which a suspicious sign has been re-detected;
д) выявляют целевую атаку в отношении упомянутой группы систем, объединенных, по меньшей мере, одной характеристикой определенной в п. г).e) identify the target attack against the aforementioned group of systems, united by at least one characteristic defined in paragraph d).
2. Способ по п. 1, в котором информация о ресурсе поступает, по меньшей мере, из одного из следующих источников:2. The method according to p. 1, in which information about the resource comes from at least one of the following sources:
- от компьютерных систем пользователей;- from computer systems of users;
- от доверенных сервисов разрешения доменных имен;- from trusted domain name resolution services;
- от провайдеров Интернета;- from Internet providers;
- от поисковых систем.- from search engines.
3. Способ по п. 1, в котором получаемая информация может содержать, по меньшей мере, часть из следующих данных:3. The method according to p. 1, in which the obtained information may contain at least a portion of the following data:
- параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;- parameters of permissive responses from domain name resolution services containing information about the requested domain;
- конечный URL-адрес;- The final URL
- файл;- file;
- сертификат открытого ключа.- public key certificate.
4. Способ по п. 3, в котором параметры разрешающих ответов от DNS-серверов, включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.4. The method of claim 3, wherein the resolving response parameters from the DNS servers include at least the IP address of the resource, TTL, and other standard parameters transmitted in messages from the domain name resolution services.
5. Способ по п. 1, в котором обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.5. The method according to claim 1, in which the detection of suspicious signs is carried out using predefined rules.
6. Способ по п. 1, в котором сбор дополнительной информации осуществляется путем формирования и отправки дополнительных запросов от компьютерных систем с различными характеристиками к ресурсу, в отношении которого были выявлены подозрительные признаки.6. The method according to p. 1, in which additional information is collected by generating and sending additional requests from computer systems with different characteristics to the resource, in relation to which suspicious signs were identified.
7. Способ по п. 6, в котором различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики:7. The method according to p. 6, in which the various characteristics of computer systems requesting information in relation to the investigated resource can be at least the following characteristics:
- операционная система;- operating system;
- метод связи;- communication method;
- провайдер или сотовый оператор;- provider or mobile operator;
- клиентское приложение, с которого осуществляется доступ к ресурсу;- the client application from which the resource is accessed;
- регион, из которого осуществляется доступ к ресурсу.- the region from which access to the resource is carried out.
8. Способ по п. 1, в котором выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».8. The method according to p. 1, in which the detection of the target attack can occur by analyzing the accumulated statistics, reflecting information about the likelihood of an attack like "man in the middle".
9. Система выявления целевых атак, которая содержит:9. A system for identifying targeted attacks, which contains:
- средство сбора информации о ресурсах, предназначенное для получения информации, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника, связанное со средством обнаружения аномалий, а также со средством определения целевых атак;- a resource information collection means for obtaining information about at least one resource from at least one source associated with anomaly detection means as well as with target attack detection means;
- средство обнаружения аномалий, предназначенное для анализа информации, относящейся к ресурсу, для выявления подозрительных признаков в полученной информации, которое связано со средством сбора информации о ресурсах, а также связано со средством проверки ресурсов;- anomaly detection tool, designed to analyze information related to the resource, to identify suspicious signs in the received information, which is associated with a means of collecting information about resources, and also associated with a means of checking resources;
- средство проверки ресурсов, предназначенное для сбора дополнительной информации о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак в полученной информации, от систем с различными характеристиками, которое связано со средством обнаружения аномалий, а также связано со средством определения целевых атак;- a means of checking resources intended to collect additional information about a resource in relation to which at least one suspicious sign was found in the received information from systems with different characteristics, which is associated with a means of detecting anomalies, and also associated with a means of determining target attacks;
- средство определения целевых атак, предназначенное для принятия решения о наличии целевой атаки в отношении группы систем, которое связано со средством проверки ресурсов, а также со средством сбора информации о ресурсах.- means of determining targeted attacks, designed to make a decision about the presence of a targeted attack against a group of systems, which is associated with a means of checking resources, as well as with a means of collecting information about resources.
10. Система по п. 9, в которой информация о ресурсе поступает, по меньшей мере, от одного из следующих источников:10. The system of claim 9, wherein the resource information comes from at least one of the following sources:
- от компьютерных систем пользователей;- from computer systems of users;
- от доверенных сервисов разрешения доменных имен;- from trusted domain name resolution services;
- от провайдеров Интернета;- from Internet providers;
- от поисковых систем.- from search engines.
11. Система по п. 9, в которой получаемая информация может содержать, по меньшей мере, часть из следующих данных:11. The system according to p. 9, in which the information received may contain at least a portion of the following data:
- параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;- parameters of permissive responses from domain name resolution services containing information about the requested domain;
- конечный URL-адрес;- The final URL
- файл;- file;
- сертификат открытого ключа.- public key certificate.
12. Система по п. 11, в которой параметры разрешающих ответов от сервисов разрешения доменных имен, включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.12. The system of claim 11, wherein the resolving response parameters from the domain name resolution services include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolving services.
13. Система по п. 9, в которой обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.13. The system according to claim 9, in which the detection of suspicious signs is carried out using predefined rules.
14. Система по п. 9, в которой сбор дополнительной информации осуществляется путем формирования и отправки дополнительных запросов от компьютерных систем с различными характеристиками к ресурсу, в отношении которого были выявлены подозрительные признаки.14. The system of claim 9, wherein the collection of additional information is carried out by generating and sending additional requests from computer systems with various characteristics to a resource with respect to which suspicious signs have been identified.
15. Система по п. 14, в которой различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики:15. The system according to p. 14, in which the various characteristics of computer systems requesting information in relation to the investigated resource can be at least the following characteristics:
- операционная система;- operating system;
- метод связи;- communication method;
- провайдер или сотовый оператор;- provider or mobile operator;
- клиентское приложение, с которого осуществляется доступ к ресурсу;- the client application from which the resource is accessed;
- регион, из которого осуществляется доступ к ресурсу.- the region from which access to the resource is carried out.
16. Система по п. 9, в которой выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».
16. The system according to claim 9, in which the detection of a targeted attack can occur by analyzing accumulated statistics that reflect information about the likelihood of a man-in-the-middle attack.