RU2014133004A - System and method for detecting targeted attacks - Google Patents

System and method for detecting targeted attacks Download PDF

Info

Publication number
RU2014133004A
RU2014133004A RU2014133004A RU2014133004A RU2014133004A RU 2014133004 A RU2014133004 A RU 2014133004A RU 2014133004 A RU2014133004 A RU 2014133004A RU 2014133004 A RU2014133004 A RU 2014133004A RU 2014133004 A RU2014133004 A RU 2014133004A
Authority
RU
Russia
Prior art keywords
resource
information
systems
suspicious
domain name
Prior art date
Application number
RU2014133004A
Other languages
Russian (ru)
Other versions
RU2601147C2 (en
Inventor
Виктор Владимирович Яблоков
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2014133004/08A priority Critical patent/RU2601147C2/en
Publication of RU2014133004A publication Critical patent/RU2014133004A/en
Application granted granted Critical
Publication of RU2601147C2 publication Critical patent/RU2601147C2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

1. Способ выявления целевых атак, по которому:а) получают информацию, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника;б) обнаруживают, по меньшей мере, один подозрительный признак в полученной информации, по меньшей мере, для одного ресурса;в) собирают дополнительную информацию о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, от систем с различными характеристиками;г) определяют, по меньшей мере, одну характеристику систем, объединяющую группу систем, в отношении которых был повторно обнаружен подозрительный признак;д) выявляют целевую атаку в отношении упомянутой группы систем, объединенных, по меньшей мере, одной характеристикой определенной в п. г).2. Способ по п. 1, в котором информация о ресурсе поступает, по меньшей мере, из одного из следующих источников:- от компьютерных систем пользователей;- от доверенных сервисов разрешения доменных имен;- от провайдеров Интернета;- от поисковых систем.3. Способ по п. 1, в котором получаемая информация может содержать, по меньшей мере, часть из следующих данных:- параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;- конечный URL-адрес;- файл;- сертификат открытого ключа.4. Способ по п. 3, в котором параметры разрешающих ответов от DNS-серверов, включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.5. Способ по п. 1, в котором обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.6. Способ по п. 1, в котором сбор дополнительной информации осуществляется путем формирования и отп1. A method for identifying targeted attacks, according to which: a) receive information about at least one resource from at least one source; b) detect at least one suspicious sign in the received information of at least for one resource; c) collect additional information about the resource in relation to which at least one suspicious sign was detected from systems with different characteristics; d) determine at least one characteristic of systems that unites a group of systems with respect to which was n vtorno detected suspicious sign; d) detecting the target attack against the group of systems, combined with at least one characteristic defined in paragraph g) .2.. The method according to claim 1, wherein the resource information comes from at least one of the following sources: - from computer systems of users; - from trusted domain name resolution services; - from Internet providers; - from search engines. 3. The method of claim 1, wherein the information obtained may contain at least a portion of the following data: - resolving response parameters from the domain name resolution services containing information about the requested domain; - the final URL; - the file; - the certificate of open key. 4. The method of claim 3, wherein the resolving response parameters from the DNS servers include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolution services. The method according to claim 1, wherein the detection of suspicious signs is carried out using predefined rules. The method according to claim 1, wherein the collection of additional information is carried out by forming and

Claims (16)

1. Способ выявления целевых атак, по которому:1. A method for identifying targeted attacks, in which: а) получают информацию, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника;a) receive information of at least one resource from at least one source; б) обнаруживают, по меньшей мере, один подозрительный признак в полученной информации, по меньшей мере, для одного ресурса;b) detect at least one suspicious sign in the received information for at least one resource; в) собирают дополнительную информацию о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, от систем с различными характеристиками;c) collect additional information about the resource in relation to which at least one suspicious sign was detected from systems with different characteristics; г) определяют, по меньшей мере, одну характеристику систем, объединяющую группу систем, в отношении которых был повторно обнаружен подозрительный признак;d) determine at least one characteristic of systems that unites a group of systems in respect of which a suspicious sign has been re-detected; д) выявляют целевую атаку в отношении упомянутой группы систем, объединенных, по меньшей мере, одной характеристикой определенной в п. г).e) identify the target attack against the aforementioned group of systems, united by at least one characteristic defined in paragraph d). 2. Способ по п. 1, в котором информация о ресурсе поступает, по меньшей мере, из одного из следующих источников:2. The method according to p. 1, in which information about the resource comes from at least one of the following sources: - от компьютерных систем пользователей;- from computer systems of users; - от доверенных сервисов разрешения доменных имен;- from trusted domain name resolution services; - от провайдеров Интернета;- from Internet providers; - от поисковых систем.- from search engines. 3. Способ по п. 1, в котором получаемая информация может содержать, по меньшей мере, часть из следующих данных:3. The method according to p. 1, in which the obtained information may contain at least a portion of the following data: - параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;- parameters of permissive responses from domain name resolution services containing information about the requested domain; - конечный URL-адрес;- The final URL - файл;- file; - сертификат открытого ключа.- public key certificate. 4. Способ по п. 3, в котором параметры разрешающих ответов от DNS-серверов, включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.4. The method of claim 3, wherein the resolving response parameters from the DNS servers include at least the IP address of the resource, TTL, and other standard parameters transmitted in messages from the domain name resolution services. 5. Способ по п. 1, в котором обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.5. The method according to claim 1, in which the detection of suspicious signs is carried out using predefined rules. 6. Способ по п. 1, в котором сбор дополнительной информации осуществляется путем формирования и отправки дополнительных запросов от компьютерных систем с различными характеристиками к ресурсу, в отношении которого были выявлены подозрительные признаки.6. The method according to p. 1, in which additional information is collected by generating and sending additional requests from computer systems with different characteristics to the resource, in relation to which suspicious signs were identified. 7. Способ по п. 6, в котором различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики:7. The method according to p. 6, in which the various characteristics of computer systems requesting information in relation to the investigated resource can be at least the following characteristics: - операционная система;- operating system; - метод связи;- communication method; - провайдер или сотовый оператор;- provider or mobile operator; - клиентское приложение, с которого осуществляется доступ к ресурсу;- the client application from which the resource is accessed; - регион, из которого осуществляется доступ к ресурсу.- the region from which access to the resource is carried out. 8. Способ по п. 1, в котором выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».8. The method according to p. 1, in which the detection of the target attack can occur by analyzing the accumulated statistics, reflecting information about the likelihood of an attack like "man in the middle". 9. Система выявления целевых атак, которая содержит:9. A system for identifying targeted attacks, which contains: - средство сбора информации о ресурсах, предназначенное для получения информации, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника, связанное со средством обнаружения аномалий, а также со средством определения целевых атак;- a resource information collection means for obtaining information about at least one resource from at least one source associated with anomaly detection means as well as with target attack detection means; - средство обнаружения аномалий, предназначенное для анализа информации, относящейся к ресурсу, для выявления подозрительных признаков в полученной информации, которое связано со средством сбора информации о ресурсах, а также связано со средством проверки ресурсов;- anomaly detection tool, designed to analyze information related to the resource, to identify suspicious signs in the received information, which is associated with a means of collecting information about resources, and also associated with a means of checking resources; - средство проверки ресурсов, предназначенное для сбора дополнительной информации о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак в полученной информации, от систем с различными характеристиками, которое связано со средством обнаружения аномалий, а также связано со средством определения целевых атак;- a means of checking resources intended to collect additional information about a resource in relation to which at least one suspicious sign was found in the received information from systems with different characteristics, which is associated with a means of detecting anomalies, and also associated with a means of determining target attacks; - средство определения целевых атак, предназначенное для принятия решения о наличии целевой атаки в отношении группы систем, которое связано со средством проверки ресурсов, а также со средством сбора информации о ресурсах.- means of determining targeted attacks, designed to make a decision about the presence of a targeted attack against a group of systems, which is associated with a means of checking resources, as well as with a means of collecting information about resources. 10. Система по п. 9, в которой информация о ресурсе поступает, по меньшей мере, от одного из следующих источников:10. The system of claim 9, wherein the resource information comes from at least one of the following sources: - от компьютерных систем пользователей;- from computer systems of users; - от доверенных сервисов разрешения доменных имен;- from trusted domain name resolution services; - от провайдеров Интернета;- from Internet providers; - от поисковых систем.- from search engines. 11. Система по п. 9, в которой получаемая информация может содержать, по меньшей мере, часть из следующих данных:11. The system according to p. 9, in which the information received may contain at least a portion of the following data: - параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;- parameters of permissive responses from domain name resolution services containing information about the requested domain; - конечный URL-адрес;- The final URL - файл;- file; - сертификат открытого ключа.- public key certificate. 12. Система по п. 11, в которой параметры разрешающих ответов от сервисов разрешения доменных имен, включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.12. The system of claim 11, wherein the resolving response parameters from the domain name resolution services include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolving services. 13. Система по п. 9, в которой обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.13. The system according to claim 9, in which the detection of suspicious signs is carried out using predefined rules. 14. Система по п. 9, в которой сбор дополнительной информации осуществляется путем формирования и отправки дополнительных запросов от компьютерных систем с различными характеристиками к ресурсу, в отношении которого были выявлены подозрительные признаки.14. The system of claim 9, wherein the collection of additional information is carried out by generating and sending additional requests from computer systems with various characteristics to a resource with respect to which suspicious signs have been identified. 15. Система по п. 14, в которой различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики:15. The system according to p. 14, in which the various characteristics of computer systems requesting information in relation to the investigated resource can be at least the following characteristics: - операционная система;- operating system; - метод связи;- communication method; - провайдер или сотовый оператор;- provider or mobile operator; - клиентское приложение, с которого осуществляется доступ к ресурсу;- the client application from which the resource is accessed; - регион, из которого осуществляется доступ к ресурсу.- the region from which access to the resource is carried out. 16. Система по п. 9, в которой выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине». 16. The system according to claim 9, in which the detection of a targeted attack can occur by analyzing accumulated statistics that reflect information about the likelihood of a man-in-the-middle attack.
RU2014133004/08A 2014-08-12 2014-08-12 System and method for detection of target attacks RU2601147C2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2014133004/08A RU2601147C2 (en) 2014-08-12 2014-08-12 System and method for detection of target attacks

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2014133004/08A RU2601147C2 (en) 2014-08-12 2014-08-12 System and method for detection of target attacks

Publications (2)

Publication Number Publication Date
RU2014133004A true RU2014133004A (en) 2016-02-27
RU2601147C2 RU2601147C2 (en) 2016-10-27

Family

ID=55434851

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2014133004/08A RU2601147C2 (en) 2014-08-12 2014-08-12 System and method for detection of target attacks

Country Status (1)

Country Link
RU (1) RU2601147C2 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2647616C1 (en) * 2016-12-21 2018-03-16 Общество с ограниченной ответственностью "ОНСЕК ИНК." Method of detecting brute force attack on web service
RU2648621C1 (en) * 2017-04-14 2018-03-26 Закрытое акционерное общество "Перспективный мониторинг" Method for determining the user-breaker in a multi-user network system transmitting the data to the external contractor without permission

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU172615U1 (en) * 2017-03-13 2017-07-14 Ярослав Викторович Тарасов Denial of Service Low Intensity Attack Detection Device
RU2697926C1 (en) * 2018-03-30 2019-08-21 Акционерное общество "Лаборатория Касперского" System and method of counteracting attack on computing devices of users
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL177429A0 (en) * 2006-08-10 2007-07-04 Univ Ben Gurion A system that provides early detection. alert, and response to electronic threats
US8108550B2 (en) * 2006-10-25 2012-01-31 Hewlett-Packard Development Company, L.P. Real-time identification of an asset model and categorization of an asset to assist in computer network security

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2647616C1 (en) * 2016-12-21 2018-03-16 Общество с ограниченной ответственностью "ОНСЕК ИНК." Method of detecting brute force attack on web service
RU2648621C1 (en) * 2017-04-14 2018-03-26 Закрытое акционерное общество "Перспективный мониторинг" Method for determining the user-breaker in a multi-user network system transmitting the data to the external contractor without permission

Also Published As

Publication number Publication date
RU2601147C2 (en) 2016-10-27

Similar Documents

Publication Publication Date Title
US20200396252A1 (en) Systems and methods for identifying phishing websites
Bortzmeyer DNS privacy considerations
US9215242B2 (en) Methods and systems for preventing unauthorized acquisition of user information
Gugelmann et al. An automated approach for complementing ad blockers’ blacklists
RU2014133004A (en) System and method for detecting targeted attacks
JP2016146192A5 (en)
JP6030272B2 (en) Website information extraction apparatus, system, website information extraction method, and website information extraction program
US10642906B2 (en) Detection of coordinated cyber-attacks
CN105635064B (en) CSRF attack detection method and device
CN106411819B (en) Method and device for identifying proxy internet protocol address
US20180295142A1 (en) Extracted data classification to determine if a dns packet is malicious
CN106790073B (en) Blocking method and device for malicious attack of Web server and firewall
US20160277422A9 (en) System and method for detecting final distribution site and landing site of malicious code
Karbab et al. ToGather: automatic investigation of android malware cyber-infrastructures
Khoury et al. A near real-time scheme for collecting and analyzing iot malware artifacts at scale
US9374382B2 (en) Apparatus and method for attack source traceback
CN116708028B (en) External attack surface management method and system based on attacker view angle
CN105515882B (en) Website security detection method and device
Al-Duwairi et al. GFlux: A google-based system for Fast Flux detection
US10313127B1 (en) Method and system for detecting and alerting users of device fingerprinting attempts
García et al. Large scale analysis of doh deployment on the internet
KR100920528B1 (en) Method and system of detecting and defensing arp spoofing
Faulkenberry et al. View from Above: Exploring the Malware Ecosystem from the Upper DNS Hierarchy
KR100977827B1 (en) Apparatus and method detecting connection mailcious web server system
CN110868482A (en) Method for searching real IP by bypassing CDN