RU2514138C1 - Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине" - Google Patents

Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине" Download PDF

Info

Publication number
RU2514138C1
RU2514138C1 RU2012141468/08A RU2012141468A RU2514138C1 RU 2514138 C1 RU2514138 C1 RU 2514138C1 RU 2012141468/08 A RU2012141468/08 A RU 2012141468/08A RU 2012141468 A RU2012141468 A RU 2012141468A RU 2514138 C1 RU2514138 C1 RU 2514138C1
Authority
RU
Russia
Prior art keywords
certificate
certificates
man
information
suspicious
Prior art date
Application number
RU2012141468/08A
Other languages
English (en)
Other versions
RU2012141468A (ru
Inventor
Николай Андреевич Гребенников
Алексей Владимирович Монастырский
Александр Александрович Гостев
Original Assignee
Закрытое акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Закрытое акционерное общество "Лаборатория Касперского" filed Critical Закрытое акционерное общество "Лаборатория Касперского"
Priority to RU2012141468/08A priority Critical patent/RU2514138C1/ru
Priority to US13/862,119 priority patent/US8732472B2/en
Priority to DE202013102441U priority patent/DE202013102441U1/de
Priority to CN201310452734.9A priority patent/CN103490884B/zh
Application granted granted Critical
Publication of RU2012141468A publication Critical patent/RU2012141468A/ru
Publication of RU2514138C1 publication Critical patent/RU2514138C1/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к средствам проверки сертификатов открытого ключа. Технический результат заключается в уменьшении вероятности несанкционированного доступа. Получают информацию о выданных сертификатах, по крайней мере, из одного источника. Обнаруживают аномалии, по крайней мере, для одного сертификата путем анализа подозрительных событий, связанных с рассматриваемым сертификатом.
Собирают дополнительную информацию, по крайней мере, от одного внешнего агента, по крайней мере, об одном сертификате, для которого была обнаружена аномалия. Формируют список подозрительных сертификатов, состоящий, по крайней мере, из одного элемента, путем нахождения несоответствия в ранее полученных данных. Принимают решение о правомерности использования, по крайней мере, одного сертификата для целей аутентификации путем анализа найденных несоответствий. 2 н. и 30 з.п. ф-лы, 9 ил.

Description

Область техники
Настоящее изобретение относится к системам обеспечения защищенных коммуникаций и, более конкретно, к проверке сертификатов открытого ключа с целью противодействия атакам типа «человек посередине».
Уровень техники
В настоящее время все большее количество взаимодействий осуществляется через Интернет. Сейчас для большинства людей не составляет проблемы отправить или получить электронное письмо, совершить покупку в интернет-магазине, обсудить в социальных сетях предстоящие или прошедшие события, поговорить со своими друзьями, находящимися на расстоянии тысяч километров, при помощи средств интернет-телефонии. В связи с появлением большого количества конфиденциальных данных в сети Интернет все большую остроту принимает проблема аутентификации сторон при взаимодействии через Интернет.
Для решения подобных проблем еще более двадцати лет назад была разработана концепция аутентификации взаимодействующих сторон, а также передачи данных в зашифрованном виде по открытому каналу связи с использованием ассиметричных шифрсистем. Здесь и далее под аутентификацией подразумевается процесс проверки того, что сторона, с которой осуществляется взаимодействие, именно та, за которую себя выдает; подробное определение ассиметричной шифрсистемы дано в словаре криптографических терминов под редакцией Б.А.Погорелова на странице 86 (Словарь криптографических терминов / Под редакцией Б.А.Погорелова и В.Н.Сачкова. - Москва: МЦНМО, 2006. - 94 с.). Стоит отметить, что данный подход очень популярен и на данный момент. Одним из основных элементов рассматриваемого подхода является использование инфраструктуры открытых ключей с удостоверяющими центрами и сертификатами открытого ключа (для краткости также используется термин «сертификат»). С определением удостоверяющего центра и сертификата открытого ключа можно ознакомиться в словаре криптографических терминов под редакцией Б.А.Погорелова на страницах 84 и 59 соответственно (Словарь криптографических терминов / Под редакцией Б.А.Погорелова и В.Н.Сачкова. - Москва: МЦНМО, 2006. - 94 с.). Суть заключается в том, что удостоверяющий центр выдает сертификат открытого ключа заинтересованной стороне, с помощью которого в дальнейшем данная заинтересованная сторона может быть аутентифицирована. При этом для корректной работы всей системы удостоверяющий центр, выдавший сертификат, должен быть доверенным, а его компрометация должна быть практически невозможна. В большинстве случаев уровень доверия определяется на основании заранее известных данных о субъекте, например, его репутации.
Стоит отметить, что, действительно, до недавнего времени события, касающиеся компрометации крупного удостоверяющего центра с хорошей репутацией, не принимали серьезных масштабов. Однако в связи с тем, что современные преступники для осуществления противоправных действий в сети Интернет работают в организованных группах, имея при этом достаточное материальное и техническое обеспечение, подобные инциденты становятся все более популярными. В качестве примера можно привести компрометацию таких удостоверяющих центров как, Comodo и DigiNotar. Повышенный интерес злоумышленников к работе удостоверяющих центров можно объяснить, во-первых, тем, что его можно рассматривать как единую точку отказа, взломав которую можно получить неограниченный доступ к его ресурсам с целью выпуска новых поддельных сертификатов, подписанных доверенной стороной. Во-вторых, обнаружение компрометации удостоверяющего центра существующими механизмами может занять от нескольких дней до нескольких месяцев, что вполне достаточно для преступников. В-третьих, после осуществления успешной атаки возможности взломанного удостоверяющего центра можно использовать для последующих атак типа «человек посередине», целью которых является получение доступа к конфиденциальным данным конечных пользователей. Под взломом, в частности, подразумевается использование уязвимостей в архитектуре, протоколах взаимодействия, а также в программном обеспечении для организации несанкционированного доступа. С подробным определением уязвимости и несанкционированного доступа можно ознакомиться в стандарте ГОСТ Р ИСО/МЭК 15408-1-2002 или в соответствующем руководящем документе «Критерии оценки безопасности информационных технологий» ().
В связи с тем, что существуют основания ожидать аналогичных атак и в будущем, компании, работающие в области организации безопасных коммуникаций с использованием сети Интернет, пытаются предложить способы противодействия использованию сертификатов, полученных преступным путем, в рамках атаки «человек посередине». В частности, компания Google Inc. предлагает собирать статистику о сертификатах с использованием программного обеспечения, которое автоматически и/или по заданному расписанию будет обходить все веб-сайты в сети Интернет. В дальнейшем собранная статистика может быть использована для формирования репутации сертификатов заданного веб-сайта. Более подробно с отмеченным предложением можно ознакомиться по ссылке
security.html.
В патенте US 7739494 В1 идет речь о вычислении коэффициента доверия для предоставленного сертификата с учетом информации об удостоверяющем центре, выдавшем сертификат, о географическом положении владельца сертификата, о типе используемого сетевого соединения и так далее. На основании полученного коэффициента определяется уровень доверия для анализируемого сертификата. Также в патенте отмечается, что может быть проанализирована статистика запросов пользователей и ответов рассматриваемого веб-сайта, например, количество запросов к сайту, информация о полученных сертификатах от сайта и пр. При этом стоит отметить, что с использованием описанных технологий практически невозможно с высокой долей вероятности отличить сертификат, выданный настоящему владельцу сайта, от сертификата, полученного злоумышленниками путем компрометации удостоверяющего центра.
Таким образом, требуется получить систему, которая гарантировала бы правильность аутентификации взаимодействующих сторон с использованием сертификата открытого ключа даже в случае наличия помех со стороны злоумышленников. Под помехами здесь и далее подразумеваются заранее спланированные действия, целью которых является ошибка аутентификации, например, такие как: компрометация удостоверяющего центра, предоставление ложных статистических данных, а также различные типы атак «человек посередине». Под атакой типа «человек посередине» для целей данного описания подразумевается, в частности, встраивание злоумышленника в канал связи с целью получения доступа к конфиденциальным данным одной из сторон и/или несанкционированного видоизменения входящих либо исходящих сообщений, а также изменение логики работы, по крайней мере, одного из устройств, необходимых для организации двустороннего взаимодействия.
Анализ предшествующего уровня техники и возможностей позволяет получить новый результат, а именно: способ и систему проверки сертификатов открытого ключа с целью противодействия атакам типа «человек посередине».
Сущность изобретения
Настоящее изобретение предназначено для проверки сертификатов открытого ключа с целью противодействия атакам типа «человек посередине».
Техническим результатом является повышение качества проверки сертификатов, который достигается за счет получения фактической информации о ключевых параметрах сертификата от внешних агентов.
Согласно одному из вариантов реализации предлагается способ проверки, по крайней мере, одного сертификата, в котором: получают информацию о выданных сертификатах, по крайней мере, из одного источника; обнаруживают аномалии, по крайней мере, для одного сертификата путем анализа подозрительных событий, связанных с рассматриваемым сертификатом; собирают дополнительную информацию, по крайней мере, от одного внешнего агента, по крайней мере, об одном сертификате, для которого была обнаружена аномалия; формируют список подозрительных сертификатов, состоящий, по крайней мере, из одного элемента, путем нахождения несоответствия в данных, полученных на первом и третьем шагах; принимают решение о правомерности использования, по крайней мере, одного сертификата для целей аутентификации путем анализа найденных несоответствий.
В одном из частных вариантов реализации информация о выданных сертификатах поступает, по крайней мере, из одного из следующих источников: удостоверяющие центры; веб-сайты; пользователи; провайдеры Интернета; поисковые системы.
В еще одном из частных вариантов реализации обнаружение аномалий осуществляется с использованием заранее заданных правил.
В другом частном варианте реализации обнаружение аномалий осуществляется с использованием алгоритмов самообучения.
В одном из частных вариантов реализации дополнительная информация собирается, по крайней мере, от одного из следующих внешних агентов: удостоверяющие центры; веб-сайты; пользователи; провайдеры Интернета; поисковые системы.
В еще одном из частных вариантов реализации дополнительная информация от внешних агентов включает в себя фактические данные о ключевых параметрах анализируемого сертификата.
В другом частном варианте реализации фактические данные о ключевых параметрах сертификата, полученные от внешних агентов, сравниваются с данными, выделенными из самого сертификата, с целью обнаружения подозрительных сертификатов.
В одном из частных вариантов реализации сертификат считается подозрительным, если найдено, по крайней мере, одно несоответствие.
В еще одном из частных вариантов реализации принятие решения о правомерности использования сертификата основано на вероятности использования данного сертификата в рамках атаки типа «человек посередине».
В другом частном варианте реализации вероятность использования анализируемого сертификата в рамках атаки типа «человек посередине» зависит от найденных несоответствий между ключевыми параметрами, полученными из сертификата, и фактическими данными от внешних агентов.
В одном из частных вариантов реализации вероятность использования сертификата в рамках атаки типа «человек посередине» рассчитывается как максимум вероятности атаки типа «человек посередине» по каждому из ключевых параметров, для которых было найдено несоответствие.
В еще одном из частных вариантов реализации использование анализируемого сертификата для целей аутентификации правомерно, если вероятность использования сертификата в рамках атаки типа «человек посередине» не превышает заранее заданное пороговое значение.
В другом частном варианте реализации вероятность атаки типа «человек посередине» для заданного ключевого параметра зависит от накопленных статистических данных.
В одном из частных вариантов реализации принятые решения о правомерности использования анализируемого сертификата для целей аутентификации сохраняются в базу данных.
В еще одном из частных вариантов реализации статистика принятых решений используется, по крайней мере, для одного из следующего: оценки репутации удостоверяющих центров; формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
В другом частном варианте реализации для принятия решения о правомерности использования анализируемого сертификата для целей аутентификации используется, по крайней мере, одно из следующего: оценки репутации удостоверяющих центров; формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
Согласно одному из вариантов реализации предлагается система проверки, по крайней мере, одного сертификата, которая содержит: средство сбора информации о выданных сертификатах, связанное с базой данных и со средством обнаружения аномалий; упомянутое средство обнаружения аномалий, предназначенное для анализа подозрительных событий, относящихся к выданному сертификату, которое также связано с упомянутой базой данных, со средством взаимодействия с внешними агентами и со средством обнаружения подозрительных сертификатов; упомянутое средство взаимодействия с внешними агентами, предназначенное для сбора дополнительной информации от внешних агентов о сертификате, для которого была обнаружена аномалия, а также связанное с упомянутой базой данных; упомянутое средство обнаружения подозрительных сертификатов, предназначенное для анализа сертификата, для которого была обнаружена аномалия, путем нахождения несоответствий в данных, полученных от средства сбора информации и от средства взаимодействия с внешними агентами, при этом также связанное с упомянутой базой данных и со средством принятия решений; упомянутую базу данных, предназначенную для сохранения информации о выданных сертификатах, а также информации, полученной от внешних агентов; упомянутое средство принятия решений о правомерности использования сертификата, предназначенное для проверки сертификатов путем анализа данных, полученных от средства обнаружения подозрительных сертификатов.
В одном из частных вариантов реализации информация о выданных сертификатах поступает, по крайней мере, из одного из следующих источников: удостоверяющие центры; веб-сайты; пользователи; провайдеры Интернета; поисковые системы.
В еще одном из частных вариантов реализации обнаружение аномалий осуществляется с использованием заранее заданных правил.
В другом частном варианте реализации обнаружение аномалий осуществляется с использованием алгоритмов самообучения.
В одном из частных вариантов реализации дополнительная информация собирается, по крайней мере, от одного из следующих внешних агентов: удостоверяющие центры; веб-сайты; пользователи; провайдеры Интернета; поисковые системы.
В еще одном из частных вариантов реализации дополнительная информация от внешних агентов включает в себя фактические данные о ключевых параметрах анализируемого сертификата.
В другом частном варианте реализации фактические данные о ключевых параметрах сертификата, полученные от внешних агентов, сравниваются с данными, выделенными из самого сертификата, с целью обнаружения подозрительных сертификатов.
В одном из частных вариантов реализации сертификат считается подозрительным, если найдено, по крайней мере, одно несоответствие.
В еще одном из частных вариантов реализации принятие решения о правомерности использования сертификата основано на вероятности использования данного сертификата в рамках атаки типа «человек посередине».
В другом частном варианте реализации вероятность использования анализируемого сертификата в рамках атаки типа «человек посередине» зависит от найденных несоответствий между ключевыми параметрами, полученными из сертификата, и фактическими данными от внешних агентов.
В одном из частных вариантов реализации вероятность использования сертификата в рамках атаки типа «человек посередине» рассчитывается как максимум вероятности атаки типа «человек посередине» по каждому из ключевых параметров, для которых было найдено несоответствие.
В еще одном из частных вариантов реализации использование анализируемого сертификата для целей аутентификации правомерно, если вероятность использования сертификата в рамках атаки типа «человек посередине» не превышает заранее заданное пороговое значение.
В другом частном варианте реализации вероятность атаки типа «человек посередине» для заданного ключевого параметра зависит от накопленных статистических данных.
В одном из частных вариантов реализации принятые решения о правомерности использования анализируемого сертификата для целей аутентификации сохраняются в базу данных.
В еще одном из частных вариантов реализации статистика принятых решений используется, по крайней мере, для одного из следующего: оценки репутации удостоверяющих центров; формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
В другом частном варианте реализации для принятия решения о правомерности использования анализируемого сертификата для целей аутентификации используется, по крайней мере, одно из следующего: оценки репутации удостоверяющих центров; формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
Дополнительные преимущества изобретения будут раскрыты далее в ходе описания вариантов реализации изобретения. Также отметим, что все материалы данного описания направлены на детальное понимание того технического предложения, которое изложено в формуле изобретения.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут раскрыты дальше в описании со ссылками на прилагаемые чертежи.
Фиг.1 представляет собой существующую систему аутентификации веб-сайта.
Фиг.2 представляет собой фрагмент таблицы маршрутизации.
Фиг.3 иллюстрирует часть таблицы разрешения доменных имен.
Фиг.4 изображает предлагаемую систему аутентификации для противодействия атакам типа «человек посередине».
Фиг.5 иллюстрирует предлагаемый способ аутентификации.
Фиг.6 демонстрирует пример информации о сертификатах, хранящихся в базе данных.
Фиг.7 показывает частный вариант реализации взаимодействия с провайдерами Интернета.
Фиг.8 представляет способ обнаружения подозрительных сертификатов.
Фиг.9 является примером компьютерной системы общего назначения.
Подробное описание предпочтительных вариантов осуществления
Объекты и признаки настоящего изобретения, способы для достижения этих признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
В область решаемых задач входит проверка сертификатов открытого ключа с целью противодействия атакам типа «человек посередине». Здесь и далее под проверкой будем понимать применение различных способов, направленных на установление подлинности сертификата.
Основные преимущества настоящего решения вытекают из использования внешних агентов, позволяющих получить фактическую информацию о ключевых параметрах сертификата.
Фиг.1 представляет собой существующую систему аутентификации веб-сайта. На первом этапе пользователь вводит URL-адрес в адресной строке браузера 110. В связи с тем, что коммуникация в современных сетях осуществляется с использованием IP-адресов, веб-браузеру (для краткости браузеру) предварительно необходимо определить IP-адрес для требуемого веб-сайта. Для осуществления подобных действий существует сервис разрешения доменных имен: обычно используется DNS-сервер 120 с таблицей соответствия доменного имени и IP-адреса. Частично таблица разрешения имен может располагаться как локально на компьютере пользователя, например, она может содержать соответствие URL- и IP-адресов для наиболее часто посещаемых веб-сайтов. В случае отсутствия записи локально запрос разрешения доменного имени может быть отправлен DNS-серверу, находящемуся удаленно, например, в глобальной или локальной сети. Далее после получения IP-адреса для требуемого сайта браузер может отправить запрос установки соединения. Для целей данного описания URL-адрес и доменное имя можно считать синонимами.
Во многих случаях сторонам взаимодействия (веб-сайту и пользователю) в дальнейшем требуется осуществить процедуру аутентификации. В современных системах для аутентификации веб-сайтов используются сертификаты открытого ключа, которые, с одной стороны, позволяют подтвердить подлинность владельца сертификата, а с другой - помогают в организации защищенной передачи данных по открытым каналам связи. Стоит отметить, что инициатором запроса осуществления соединения и последующей аутентификации выступает браузер от имени пользователя. Также необходимо учитывать, что запрос установления соединения перенаправляется от одного маршрутизатора к другому в соответствие с установленными заранее правилами маршрутизации.
При получении запроса установления соединения веб-сайт 130 отправляет обратно свой сертификат открытого ключа, в котором содержится информация о владельце данного сертификата, например, контактные данные, название компании, URL-адрес. Со структурой сертификата можно ознакомиться в описании стандарта Х.509. Данный сертификат также маршрутизируется в соответствии с заранее определенными правилами маршрутизации в глобальной сети. Более подробно с технологией работы маршрутизаторов можно ознакомиться в RFC-1812.
В дальнейшем сертификат проверяется на стороне пользователя с помощью известных из уровня техники методов. В частности, осуществляется проверка, по крайней мере, одного из следующих параметров: срок действия, корректность цифровой подписи, наличие или отсутствие в списках отозванных сертификатов, соответствие доменного имени, указанного в сертификате, и URL-адреса рассматриваемого сайта, самоподписанность и так далее. В стандарте Х.509, а также в патенте US 7739494B 1 можно ознакомиться с основными известными на данный момент технологиями проверки сертификатов.
В связи с тем, что описанный выше процесс взаимодействия между пользователем и веб-сайтом затрагивает большое количество посредников, есть основания полагать, что злоумышленник может скомпрометировать любого из существующих посредников. Таким образом, в современных системах нельзя быть уверенным в том, что устанавливается соединение именно с требуемым веб-сайтом, а также в том, что полученный сертификат действительно принадлежит указанной в нем компании. Причиной этому может послужить множество факторов, одними из которых являются следующие:
- злоумышленник несанкционированно изменил таблицу маршрутизации на компьютере пользователя или на одном из маршрутизаторов для того, чтобы весь трафик проходил через злоумышленника. Более подробно данный подход описан на Фиг.2. Таким образом, злоумышленник получает возможность читать, а также видоизменять входящие и исходящие сообщения;
- злоумышленник несанкционированно изменил таблицу разрешения имен, то есть при указании URL-адреса требуемого веб-сайта в браузере маршрутизация всего трафика будет осуществляться на IP-адрес, указанный в локальной таблице разрешения имен, который на самом деле может соответствовать IP-адресу злоумышленника. Примеры таблицы разрешения доменных имен схематично изображены на Фиг.3;
- владелец веб-сайта 130 является злоумышленником. То есть с использованием механизмов, в том числе, описанных выше, пользователь был перенаправлен на фальшивый веб-сайт, где злоумышленник предоставляет сертификат, возможно, полученный неправомерно, например, путем компрометации удостоверяющего центра, выдавшего сертификат.
В связи с тем, что использование существующих механизмов не позволяет определить сущность, с которой на самом деле осуществляется взаимодействие при наличии активных действий со стороны злоумышленника, требуется система и способ, описанные ниже в данной заявке.
Фиг.2 представляет собой фрагмент таблицы маршрутизации 300, в которой злоумышленником был несанкционированно добавлен новый маршрут. Таблица 300 состоит из нескольких столбцов: IP-адрес назначения, маска подсети для данного IP-адреса, IP-адрес следующего маршрутизатора, который должен получить сетевой пакет для дальнейшей обработки, сетевой интерфейс, через который происходит взаимодействие, а также стоимость прохождения по данному маршруту.
Строка, в которой в качестве адреса назначения указан 0.0.0.0, является маршрутом по умолчанию, то есть он используется в случае отсутствия соответствующей записи в таблице маршрутизации 300. Таким образом, злоумышленник может воспользоваться двумя возможностями: изменить один из маршрутов по умолчанию, указав свой IP-адрес в качестве следующего маршрутизатора, а также добавить новую запись или изменить старую только для определенного веб-сайта. Второй вариант рассмотрен в таблице 300, где х.х.х.х обозначает IP-адрес злоумышленника.
Фиг.3 в упрощенном виде иллюстрирует часть таблицы разрешения доменных имен 400. Здесь отмечено соответствие доменного имени и IP-адреса. Например, указаны IP-адреса для домена , . Также отмечены изменения, сделанные злоумышленником, в частности относительно домена . Таким образом, в случае использования таблицы разрешения имен 400, весь трафик, предназначенный для веб-сайта , будет перенаправляться на IP-адрес злоумышленника. Стоит отметить, что на данный момент злоумышленники активно используют данную возможность, так как некоторые DNS-серверы применяют технологию кеширования данных от других DNS-серверов, одним из которых может выступать DNS-сервер злоумышленника. Более подробно с такими типами атак можно ознакомиться в статье автора Tom Olzac «DNS Cache Poisoning: Definition and Prevention)), дата публикации - март 2006 года. Также злоумышленники могут несанкционированно внести изменения в локальную таблицу разрешения имен на компьютере пользователя, например, в hosts файл. Информация из этого файла обладает приоритетом перед обращением к DNS-серверам. Для целей данного описания примеры атак, описанные на Фиг.2 и Фиг.3, также будем относить к атакам типа «человек посередине».
С учетом вышеизложенных данных о недостатках существующих систем, а также о возможностях злоумышленников были разработаны система и способ проверки сертификатов открытого ключа для противодействия атакам типа «человек посередине». Более подробно предлагаемое решение представлено далее на Фиг.4 и Фиг.5.
Фиг.4 схематично изображает систему проверки сертификатов открытого ключа 500 с целью противодействия атакам типа «человек посередине». В частных вариантах реализации система 500 может быть воплощена в жизнь с использованием одного или нескольких компьютеров общего назначения, примерная схема которого изображена на Фиг.9. Не ограничивая общности, один или несколько элементов рассматриваемой системы 500 также могут функционировать на любом вычислительном устройстве, включая персональные компьютеры, серверы, мобильные устройства.
Предлагаемая система включает средство сбора информации о выданных сертификатах 510, соединенное с базой данных 505, а также со средством обнаружения аномалий в полученных сертификатах 520. Средство 520 также соединено с базой данных 505, средством взаимодействия с внешними агентами 530, которое получает дополнительную информацию о найденных сертификатах из внешних источников, а также со средством обнаружения подозрительных сертификатов 540, которое предназначено для идентификации сертификатов, использующихся злоумышленниками для реализации атаки типа «человек посередине». Средство 540 соединено с базой данных 505, а также со средством принятия решений 550, которое на основании данных от средства 540 формирует окончательное решение для анализируемого сертификата с учетом существующей статистики.
Первоначально средство 510 собирает информацию о выданных сертификатах и сохраняет ее в базе данных 505. В предпочтительных вариантах реализации данные о выданных сертификатах поступают непосредственно от удостоверяющих центров, выдавших сертификаты. В других частных вариантах реализации новые сертификаты получают от веб-сайтов, которые будут использовать данные сертификаты в своей работе. Также информация о новых сертификатах собирается от пользователей.
В некоторых вариантах исполнения сертификаты могут быть получены от провайдеров Интернета, то есть если провайдер обнаруживает новый сертификат, поступивший на одно из его устройств, он может сообщить о нем средству 510. Также дополнительно может указываться компания, которой данный сертификат принадлежит по информации, доступной данному провайдеру. Более подробно технология взаимодействия с провайдером описана на Фиг.7.
Стоит отметить, что в некоторых вариантах исполнения средство 510 опрашивает источники получения информации о выданных сертификатах с заранее заданной периодичностью. Под источниками данных для средства 510 здесь и далее подразумеваются сущности, получившие доступ к сертификатам во время своей работы, например, удостоверяющие центры, веб-сайты, пользователи, провайдеры Интернета, поисковые системы, например, от компаний Google, Yahoo!, Yandex. При работе с поисковыми системами может учитываться информация, например, о том, насколько давно сертификат известен поисковой системе, а также регион, в котором сертификат обнаружен. Далее подобная информация может быть сравнена с соответствующими данными для уже известных сертификатов рассматриваемого веб-сайта.
В других вариантах осуществления средства 510 данные поступают непрерывно от самих источников по мере появления новых сертификатов.
Далее собранная информация о выданных сертификатах поступает на вход средству обнаружения аномалий 520. На этом этапе происходит анализ существующих и новых сертификатов, хранящихся в базе данных 505. Пример записей, хранящихся в базе данных 505, отмечен на Фиг.6. Для анализа аномалий в новых выданных сертификатах могут быть использованы различные подходы, известные из уровня техники, например, могут быть использованы заранее заданные правила определения подозрительных сертификатов следующего вида «Если для существующего URL-адреса в базе данных появляется новый сертификат, при этом до окончания срока действия текущего сертификата осталось больше полугода, тогда новый сертификат считаем подозрительным». К примеру, подозрительными событиями считаются следующие:
- появление нового сертификата для известной компании или известного URL-адреса;
- изменение удостоверяющего центра и/или провайдера Интернета для известной компании или URL-адреса;
- различие в контактных данных и/или географическом регионе для старых и новых сертификатов известной компании или URL-адреса и так далее.
Также для нахождения подозрительных сертификатов могут быть использованы алгоритмы самообучения, например, адаптивные алгоритмы с обратной связью, а также нейронные сети, входами в которых являются ключевые данные о сертификате, такие как срок действия, удостоверяющий центр, URL-адрес, название и контакты владельца, используемый Интернет провайдер владельца и так далее. Стоит отметить, что на данном этапе осуществляется лишь предварительное определение списка сертификатов, для которых требуется осуществить дополнительные проверки на последующих стадиях.
После формирования предварительного списка подозрительных сертификатов осуществляется получение информации от внешних агентов с помощью средства 530. Данное действие является необязательным и может отсутствовать в некоторых вариантах осуществления изобретения. В других частных вариантах реализации изобретения средство 530 взаимодействует с внешними агентами с целью получения дополнительной информации, например, о компании, которой на самом деле принадлежит данный сертификат, а также о периоде действия данного сертификата. Здесь и далее под внешними агентами подразумеваются те же источники данных, определенные для средства 510, однако стоит отметить, что в данном случае собирается более полная информация о сертификате и его владельце, например, в течение какого времени использовался сертификат, какая компания является фактическим владельцем сертификата и так далее. Также информация может запрашиваться у дополнительного источника, то есть если получена информация о выданном сертификате от удостоверяющего центра с помощью средства 510, средство 530 может опросить другие источники, например, провайдеров Интернета, пользователей и поисковые системы.
Стоит отметить, что дополнительная информация собирается только для тех сертификатов, которые были отмечены средством 520, а также по которым недостаточно информации для принятия окончательного решения. Разделение процесса проверки на два этапа обусловлено в первую очередь повышением эффективности работы системы в целом, так как для большинства новых сертификатов дополнительная проверка будет излишней.
Далее с помощью средства 540 анализируются сертификаты, полученные от средства 520, для которых была собрана дополнительная информация с помощью средства 530. В общем случае для определения подозрительных сертификатов сравнивается информация, полученная из самого сертификата, с информацией, полученной от внешних агентов. Например, в сертификате в качестве владельца указана компания X, а на основании данных от внешних агентов владельцем является компания К, то есть существует несоответствие, причиной которого может быть атака типа «человек посередине». В качестве параметров для анализа на данном этапе могут быть использованы, в частности, данные о владельце сертификата, информация об Интернет провайдере, информация о сроке действия сертификата, данные от пользователей и так далее. Более подробно с механизмом обнаружения подозрительных сертификатов можно ознакомиться в описании к Фиг.8.
После обнаружения подозрительных сертификатов с использованием средства 540 путем сравнения информации из сертификата и из внешних источников осуществляется оценка полученных данных с помощью средства принятия решений 550. Принятие решения о достоверности сертификата может происходить с использованием любых известных методологий, например, с помощью накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине». Например, известно, что если название компании фактически владеющей сертификатом не соответствует информации в сертификате, тогда вероятность атаки «человек посередине» равна 1. Подобная информация может храниться в форме списка или таблицы вида «Ключевой параметр - Вероятность атаки», где под ключевым параметром подразумевается ключевой параметр сертификата, например, такой как владелец, для которого было обнаружено несоответствие.
Стоит отметить, что значение вероятности в данном списке может изменяться в зависимости от полученной обратной связи. То есть если с течением времени будет обнаружено, что изменение удостоверяющего центра в большинстве случаев не является следствием атаки типа «человек посередине», тогда вероятность атаки при изменении данного ключевого параметра может быть снижена. В случае наличия нескольких ключевых параметров, для которых обнаружено несоответствие, вероятность атаки для анализируемого сертификата рассчитывается как функция, зависящая от вероятности атаки по всем измененным параметрам, например, это может быть максимум вероятности атаки по всем измененным параметрам. В других вариантах реализации при расчете вероятности атаки могут быть использованы весовые коэффициенты в зависимости от количества и/или комбинации ключевых параметров сертификата, для которых было обнаружено несоответствие. Решение о неправомерности использования сертификата принимается в случае, если вероятность атаки для рассматриваемого сертификата превышает заранее заданное пороговое значение.
Принятые решения могут сохраняться в базе данных для сбора статистики. В некоторых вариантах осуществления указанная статистика используется для формирования репутации удостоверяющих центров. То есть если за заданный промежуток времени количество сертификатов, признанных поддельными, превысило пороговое значение для данного удостоверяющего центра, можно считать, что рассматриваемый удостоверяющий центр мог быть скомпрометирован. Репутация удостоверяющего центра также может учитываться при принятии решения о легитимности использования сертификата. В других вариантах исполнения данного изобретения статистика предназначена для определения компаний и URL-адресов, которые чаще всего подвержены атакам типа «человек посередине». Данная информация может быть использована при принятии решения о легитимности использования того или иного сертификата для рассматриваемой компании и/или URL-адреса. Таким образом, если обнаружено, что некоторая компания часто является предметом атак, связанных с подменой сертификатов, тогда может дополнительно быть введен весовой коэффициент, зависящий от количества атак, а также повышающий значение вероятности использования подозрительного сертификата в рамках атаки типа «человек посередине».
Фиг.5 иллюстрирует способ проверки сертификатов открытого ключа 600, реализованный с помощью системы 500. В предлагаемом способе на первом этапе 610 собирается информация о выданных сертификатах с использованием средства 510. В качестве источников информации о выданных сертификатах могут использоваться удостоверяющие центры, веб-сайты, пользователи, провайдеры Интернета, а также поисковые системы.
Например, провайдер Интернета может оповещать средство 510 при обнаружении нового сертификата, поступившего на одно из устройств, а также дополнительно указывать компанию, которой данный сертификат принадлежит по информации, доступной данному провайдеру. Более подробно технология взаимодействия с провайдером описана на Фиг.7.
При работе с поисковыми системами может учитываться информация, например, о том, насколько давно сертификат известен поисковой системе, а также регион, в котором сертификат обнаружен. Далее подобная информация может быть сравнена с соответствующими данными для уже известных сертификатов рассматриваемого веб-сайта. Стоит отметить, что при анализе региона может быть учтена статистика распределения сертификатов по регионам, например, к подозрительным событиям можно отнести изменение характера статистического распределения сертификатов. То есть если известные сертификаты компании равномерно распределены по всем крупным географическим регионам, например, по одному в Европе, Америке, Африке и Азии, а новый выданный сертификат изменяет характер распределения, например, для Азии появляется второй сертификат, тогда можем считать, что вид статистического распределения изменился, и, следовательно, данное событие является подозрительным.
Стоит отметить, что в некоторых вариантах исполнения данного способа шаг 610 выполняется с заранее заданной периодичностью. В других вариантах осуществления способа 600 данные на этапе 610 поступают непрерывно от самих источников по мере появления новых сертификатов.
Далее выполняется обнаружение аномалий в существующих и новых данных 620 с помощью средства обнаружения аномалий 520. На этом этапе происходит анализ сертификатов, хранящихся в базе данных 505. Пример записей, хранящихся в базе данных 505, отмечен на Фиг.6. Для анализа аномалий в новых выданных сертификатах могут быть использованы различные подходы, известные из уровня техники, например, могут быть использованы заранее заданные правила определения подозрительных сертификатов вида «Если для существующего URL-адреса в базе данных появляется новый сертификат, при этом до окончания срока действия текущего сертификата осталось больше полугода, тогда новый сертификат считаем подозрительным». К примеру, подозрительными событиями считаются следующие:
- появление нового сертификата для известной компании или известного URL-адреса;
- изменение удостоверяющего центра и/или провайдера Интернета для известной компании или URL-адреса;
- различие в контактных данных и/или географическом регионе для старых и новых сертификатов известной компании или URL-адреса и так далее.
Также для нахождения подозрительных сертификатов могут быть использованы алгоритмы самообучения, например, адаптивные алгоритмы с обратной связью, а также нейронные сети, входами в которых являются ключевые данные о сертификате, такие как срок действия, удостоверяющий центр, URL-адрес, название и контакты владельца, используемый Интернет провайдер владельца и так далее. Стоит отметить, что на данном этапе осуществляется лишь предварительное определение списка сертификатов, для которых требуется осуществить дополнительные проверки на последующих стадиях.
После формирования предварительного списка подозрительных сертификатов выполняется шаг 630 - получение информации от внешних агентов с помощью средства 530. Данное действие является необязательным и может отсутствовать в некоторых вариантах осуществления изобретения. В других частных вариантах реализации изобретения на этапе 630 осуществляется взаимодействие с внешними агентами с целью получения дополнительной информации, например, о компании, которой на самом деле принадлежит данный сертификат, а также о периоде действия данного сертификата. Здесь и далее под внешними агентами подразумеваются те же источники данных, определенные на шаге 610, однако стоит отметить, что в данном случае собирается более полная информация о сертификате и его владельце, например, в течение какого времени использовался сертификат, какая компания является фактическим владельцем сертификата и так далее. Также информация может запрашиваться у дополнительного источника, то есть если получена информация о выданном сертификате от удостоверяющего центра на шаге 610, тогда на шаге 630 можно опросить другие источники, например, провайдеров Интернета, пользователей и поисковые системы.
Стоит отметить, что дополнительная информация собирается только для тех сертификатов, которые были выделены на шаге 620, а также по которым недостаточно информации для принятия окончательного решения. Разделение процесса проверки на два этапа обусловлено в первую очередь повышением эффективности работы системы в целом, так как для большинства новых сертификатов дополнительная проверка будет излишней.
Далее на шаге 640 осуществляется обработка полученной на этапе 630 информации из внешних источников для сертификатов, отобранных на шаге 620. На этапе 640 определяются подозрительные сертификаты, которые могут быть использованы злоумышленником. В общем случае для этого сравнивается информация, полученная из самого сертификата, с информацией, полученной от внешних агентов. Например, в сертификате в качестве владельца указана компания X, а на основании данных от внешних агентов владельцем является компания К, то есть существует несоответствие, причиной которого может являться атака типа «человек посередине». В качестве параметров для анализа на данном этапе могу быть использованы, в частности, данные о владельце сертификата, Интернет провайдере для владельца сертификата, информация о сроке действия сертификата, данные от пользователей и так далее. Более подробно с механизмом обнаружения подозрительных сертификатов можно ознакомиться в описании к Фиг.8.
После обнаружения подозрительных сертификатов на шаге 650 принимается решения о легитимности использования анализируемого сертификата. Данный этап реализуется с помощью средства принятия решений 550. Принятие решения о достоверности сертификата может происходить с использованием любых известных методологий, например, с помощью накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине». В частности, известно, что если название компании, фактически владеющей сертификатом, не соответствует информации в сертификате, тогда вероятность атаки «человек посередине» равна 1. Подобная информация может храниться в форме списка или таблицы вида «Ключевой параметр - Вероятность атаки», где под ключевым параметром подразумевается ключевой параметр сертификата, например, такой как владелец, для которого было обнаружено несоответствие.
Стоит отметить, что значение вероятности в данном списке может изменяться в зависимости от полученной обратной связи. То есть если с течением времени будет обнаружено, что изменение удостоверяющего центра в большинстве случаев не является следствие атаки типа «человек посередине», тогда вероятность атаки при изменении данного ключевого параметра может быть снижена. В некоторых вариантах реализации в случае наличия нескольких ключевых параметров, для которых обнаружено несоответствие, вероятность атаки для анализируемого сертификата рассчитывается как максимум вероятности атаки по всем измененным параметрам. Решение о неправомерности использования сертификата принимается в случае, если вероятность атаки для рассматриваемого сертификата превышает заранее заданное пороговое значение.
Принятые решения могут сохраняться в базе данных для сбора статистики. В некоторых вариантах осуществления указанная статистика используется для формирования репутации удостоверяющих центров. То есть если за заданный промежуток времени количество сертификатов, признанных поддельными, превысило пороговое значение для данного удостоверяющего центра, можно считать, что рассматриваемый удостоверяющий центр мог быть скомпрометирован. Репутация удостоверяющего центра также может повлиять на принятие решения о легитимности использования сертификата. В других вариантах исполнения данного изобретения статистика предназначена для определения компаний и URL-адресов, которые чаще всего подвержены атакам типа «человек посередине». Данная информация может быть использована при принятии решения о легитимности использования того или иного сертификата для рассматриваемой компании и/или URL-адреса.
Стоит отметить, что в некоторых вариантах реализации предлагаемого изобретения система 500 и способ 600 работают на оборудовании провайдера. Таким образом, появляется возможность проверять трафик, исходящий от клиентов провайдера, на наличие в нем известных сертификатов. При обнаружении таковых информация в сертификате сверяется с данными о клиенте во внутренних базах данных провайдера, а дальнейшее решение принимается на основании совпадения или несовпадения ключевых параметров сертификата с фактическими данными. Стоит отметить, что, как было описано выше, фактическая информация о сертификате и его владельце может быть получена также от других внешних агентов. В некоторых вариантах осуществления данного изобретения, применяя описанный выше подход, при вынесении решения о неправомерности использования анализируемого сертификата исходящий трафик блокируется, что позволяет исключить ошибку аутентификации на стороне пользователя.
Фиг.6 представляет собой один из частных вариантов структуры таблицы собранных сертификатов из базы данных 505. В общем случае база данных 505 содержит информацию, полученную как из самого сертификата, так и из внешних источников. В одном из вариантов реализации, изображенном на Фиг.6, таблица содержит следующие поля: компания, указанная в сертификате (владелец), URL-адрес, указанный в сертификате, серийный номер сертификата, удостоверяющий центр, выдавший сертификат, компания, фактически владеющая сертификатом. Принципиальное различие между первым и последним полем в том, что в первом случае информация о владельце получена из самого сертификата, а во втором - от внешних агентов. В других вариантах реализации дополнительно могут быть введены поля, соответствующие другим ключевым параметрам сертификата, а также соответствующие им данные, полученные от внешних агентов. Например, может быть добавлено поле, включающее информацию о фактическом URL-адресе для данного сертификата (URL-адресе, откуда сертификат был получен).
Фиг.7 иллюстрирует один из частных вариантов реализации взаимодействия с провайдерами Интернета. В данном взаимодействии участвуют следующие стороны: средство получения информации 810, связанное через сеть Интернет с провайдером 820, который в свою очередь владеет информацией о веб-сайте 130 и используемом данным веб-сайтом сертификате. Стоит отметить, что в качестве средства 810, не ограничивая общности, может быть выбрано как средство 510, так и средство 530. Инициатором взаимодействия между средством 810 и провайдером 820 может выступать как средство 810, так и провайдер Интернета 820, который способен самостоятельно передать данные об известных ему сертификатах средству 810.
Провайдер Интернета 820 знает основную информацию о своих клиентах, например, такую как название компании. Также в некоторых вариантах исполнения провайдер 820 может запросить сертификат открытого ключа, использующийся на стороне веб-сайта 130. Также на стороне провайдера может быть проверено соответствие фактического владельца сертификата и компании, указанной в сертификате. В случае успешной проверки владельца провайдер 820 подписывает сертификат открытого ключа данного веб-сайта и отправляет подписанный сертификат средству 810 для дальнейшего анализа. Таким образом, используя информацию от провайдера Интернета 820, можно получить дополнительную уверенность в достоверности предоставленных данных. В предпочтительных вариантах реализации сертификат открытого ключа провайдера 820 подписан несколькими удостоверяющими центрами, что значительно снижает вероятность использования поддельного сертификата провайдера 820. Стоит отметить, что в частных вариантах реализации средство 810 сохраняет информацию о провайдере Интернета для владельца сертификата, что впоследствии используется при определении подозрительных сертификатов.
Также в некоторых вариантах осуществления изобретения провайдер 820 предоставляет информацию о том, известен ли ему сертификат или нет, и если известен, то кому он принадлежит.То есть средство 810 отправляет запрос на получение дополнительной информации о сертификате. Провайдер проверяет свои внутренние базы данных и возвращает ответ в виде «Известен, компания А» либо «Неизвестен». Таким образом, если сертификат неизвестен ни одному провайдеру, тогда можно считать, что сертификат используется злоумышленником, так как злоумышленник не заинтересован в раскрытии себя перед провайдером Интернета.
Преимущества данного подхода в том, что провайдер Интернета первый после удостоверяющего центра получает сертификат, а также в том, что провайдер может идентифицировать своих клиентов.
Фиг.8 представляет способ обнаружения подозрительных сертификатов 900. На первом этапе 910 происходит выделение ключевых параметров рассматриваемого сертификата. Таким образом, специалисту в области техники после знакомства со структурой сертификата становится понятно, что шаг 910 может быть осуществлен с использованием стандартных методов работы с сертификатами. Далее на этапе 920 необходимо получить фактические данные о ключевых параметрах сертификата. Например, можно уточнить название владельца сертификата у провайдера Интернета, проверить с использованием поисковых систем, таких как Google, URL-адрес, на котором размещен данный сертификат, а также сравнить серийный номер нового сертификата с фактически используемыми сертификатами при обращении на URL-адрес, указанный в сертификате. Затем на шаге 930 происходит сравнение полученных данных, после чего на этапе 940 выделяются различия между ключевыми параметрами сертификата и фактическими данными. В случае обнаружения несоответствия, по крайней мере, для одного из ключевых параметров, на шаге 940 принимается решение о признании сертификата подозрительным.
Фиг.9 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флешкарты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг.9. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. B LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, определенный формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (32)

1. Способ проверки, по крайней мере, одного сертификата, в котором:
a) получают информацию о выданных сертификатах, по крайней мере, из одного источника;
b) обнаруживают аномалии, по крайней мере, для одного сертификата путем анализа подозрительных событий, связанных с рассматриваемым сертификатом;
c) собирают дополнительную информацию, по крайней мере, от одного внешнего агента, по крайней мере, об одном сертификате, для которого была обнаружена аномалия;
d) формируют список подозрительных сертификатов, состоящий, по крайней мере, из одного элемента, путем нахождения несоответствия в данных, полученных на шагах а) и с);
е) принимают решение о правомерности использования, по крайней мере, одного сертификата для целей аутентификации путем анализа найденных на шаге d) несоответствий.
2. Способ по п.1, в котором информация о выданных сертификатах поступает, по крайней мере, из одного из следующих источников:
- удостоверяющие центры;
- веб-сайты;
- пользователи;
- провайдеры Интернета;
- поисковые системы.
3. Способ по п.1, в котором обнаружение аномалий осуществляется с использованием заранее заданных правил.
4. Способ по п.1, в котором обнаружение аномалий осуществляется с использованием алгоритмов самообучения.
5. Способ по п.1, в котором дополнительная информация собирается, по крайней мере, от одного из следующих внешних агентов:
- удостоверяющие центры;
- веб-сайты;
- пользователи;
- провайдеры Интернета;
- поисковые системы.
6. Способ по п.1, в котором дополнительная информация от внешних агентов включает в себя фактические данные о ключевых параметрах анализируемого сертификата.
7. Способ по п.1, в котором фактические данные о ключевых параметрах сертификата, полученные от внешних агентов, сравниваются с данными, выделенными из самого сертификата, с целью обнаружения подозрительных сертификатов.
8. Способ по п.1, в котором сертификат считается подозрительным, если найдено, по крайней мере, одно несоответствие.
9. Способ по п.1, в котором принятие решения о правомерности использования сертификата основано на вероятности использования данного сертификата в рамках атаки типа «человек посередине».
10. Способ по п.9, в котором вероятность использования анализируемого сертификата в рамках атаки типа «человек посередине» зависит от найденных несоответствий между ключевыми параметрами, полученными из сертификата, и фактическими данными от внешних агентов.
11. Способ по п.10, в котором вероятность использования сертификата в рамках атаки типа «человек посередине» рассчитывается как максимум вероятности атаки типа «человек посередине» по каждому из ключевых параметров, для которых было найдено несоответствие.
12. Способ по п.11, в котором использование анализируемого сертификата для целей аутентификации правомерно, если вероятность использования сертификата в рамках атаки типа «человек посередине» не превышает заранее заданное пороговое значение.
13. Способ по п.11, в котором вероятность атаки типа «человек посередине» для заданного ключевого параметра зависит от накопленных статистических данных.
14. Способ по п.1, в котором принятые решения о правомерности использования анализируемого сертификата для целей аутентификации сохраняются в базу данных.
15. Способ по п.14, в котором статистика принятых решений используется, по крайней мере, для одного из следующего:
- оценки репутации удостоверяющих центров;
- формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
16. Способ по п.15, в котором для принятия решения о правомерности использования анализируемого сертификата для целей аутентификации используется, по крайней мере, одно из следующего:
- оценки репутации удостоверяющих центров;
- формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
17. Система проверки, по крайней мере, одного сертификата, которая содержит:
- средство сбора информации о выданных сертификатах, связанное с базой данных и со средством обнаружения аномалий;
- упомянутое средство обнаружения аномалий, предназначенное для анализа подозрительных событий, относящихся к выданному сертификату, которое также связано с упомянутой базой данных, со средством взаимодействия с внешними агентами и со средством обнаружения подозрительных сертификатов;
- упомянутое средство взаимодействия с внешними агентами, предназначенное для сбора дополнительной информации от внешних агентов о сертификате, для которого была обнаружена аномалия, а также связанное с упомянутой базой данных;
- упомянутое средство обнаружения подозрительных сертификатов, предназначенное для анализа сертификата, для которого была обнаружена аномалия, путем нахождения несоответствий в данных, полученных от средства сбора информации и от средства взаимодействия с внешними агентами, при этом также связанное с упомянутой базой данных и со средством принятия решений;
- упомянутую базу данных, предназначенную для сохранения информации о выданных сертификатах, а также информации, полученной от внешних агентов;
- упомянутое средство принятия решений о правомерности использования сертификата, предназначенное для проверки сертификатов путем анализа данных, полученных от средства обнаружения подозрительных сертификатов.
18. Система по п.17, в которой информация о выданных сертификатах поступает, по крайней мере, из одного из следующих источников:
- удостоверяющие центры;
- веб-сайты;
- пользователи;
- провайдеры Интернета;
- поисковые системы.
19. Система по п.17, в которой обнаружение аномалий осуществляется с использованием заранее заданных правил.
20. Система по п.17, в которой обнаружение аномалий осуществляется с использованием алгоритмов самообучения.
21. Система по п.17, в которой дополнительная информация собирается, по крайней мере, от одного из следующих внешних агентов:
- удостоверяющие центры;
- веб-сайты;
- пользователи;
- провайдеры Интернета;
- поисковые системы.
22. Система по п.17, в которой дополнительная информация от внешних агентов включает в себя фактические данные о ключевых параметрах анализируемого сертификата.
23. Система по п.17, в которой фактические данные о ключевых параметрах сертификата, полученные от внешних агентов, сравниваются с данными, выделенными из самого сертификата, с целью обнаружения подозрительных сертификатов.
24. Система по п.17, в которой сертификат считается подозрительным, если найдено, по крайней мере, одно несоответствие.
25. Система по п.17, в которой принятие решения о правомерности использования сертификата основано на вероятности использования данного сертификата в рамках атаки типа «человек посередине».
26. Система по п.17, в которой вероятность использования анализируемого сертификата в рамках атаки типа «человек посередине» зависит от найденных несоответствий между ключевыми параметрами, полученными из сертификата, и фактическими данными от внешних агентов.
27. Система по п.26, в которой вероятность использования сертификата в рамках атаки типа «человек посередине» рассчитывается как максимум вероятности атаки типа «человек посередине» по каждому из ключевых параметров, для которых было найдено несоответствие.
28. Система по п.27, в которой использование анализируемого сертификата для целей аутентификации правомерно, если вероятность использования сертификата в рамках атаки типа «человек посередине» не превышает заранее заданное пороговое значение.
29. Система по п.27, в которой вероятность атаки типа «человек посередине» для заданного ключевого параметра зависит от накопленных статистических данных.
30. Система по п.17, в которой принятые решения о правомерности использования анализируемого сертификата для целей аутентификации сохраняются в базу данных.
31. Система по п.30, в которой статистика принятых решений используется, по крайней мере, для одного из следующего:
- оценки репутации удостоверяющих центров;
- формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
32. Система по п.31, в которой для принятия решения о правомерности использования анализируемого сертификата для целей аутентификации используется, по крайней мере, одно из следующего:
- оценки репутации удостоверяющих центров;
- формирования списка компаний, наиболее часто подвергающихся атакам со стороны злоумышленников.
RU2012141468/08A 2012-09-28 2012-09-28 Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине" RU2514138C1 (ru)

Priority Applications (4)

Application Number Priority Date Filing Date Title
RU2012141468/08A RU2514138C1 (ru) 2012-09-28 2012-09-28 Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
US13/862,119 US8732472B2 (en) 2012-09-28 2013-04-12 System and method for verification of digital certificates
DE202013102441U DE202013102441U1 (de) 2012-09-28 2013-06-07 System zur Überprüfung digitaler Zertifikate
CN201310452734.9A CN103490884B (zh) 2012-09-28 2013-09-27 用于数字证书的验证的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012141468/08A RU2514138C1 (ru) 2012-09-28 2012-09-28 Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"

Publications (2)

Publication Number Publication Date
RU2012141468A RU2012141468A (ru) 2014-04-27
RU2514138C1 true RU2514138C1 (ru) 2014-04-27

Family

ID=49384891

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012141468/08A RU2514138C1 (ru) 2012-09-28 2012-09-28 Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"

Country Status (4)

Country Link
US (1) US8732472B2 (ru)
CN (1) CN103490884B (ru)
DE (1) DE202013102441U1 (ru)
RU (1) RU2514138C1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2702080C1 (ru) * 2018-06-29 2019-10-03 Акционерное общество "Лаборатория Касперского" Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
RU2708353C1 (ru) * 2018-12-28 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ стойкой к атакам проверки ЭЦП файлов

Families Citing this family (33)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090238365A1 (en) * 2008-03-20 2009-09-24 Kinamik Data Integrity, S.L. Method and system to provide fine granular integrity to digital data
US9602499B2 (en) * 2009-04-07 2017-03-21 F-Secure Corporation Authenticating a node in a communication network
GB2469287B (en) 2009-04-07 2013-08-21 F Secure Oyj Authenticating a node in a communication network
US10484355B1 (en) 2017-03-08 2019-11-19 Amazon Technologies, Inc. Detecting digital certificate expiration through request processing
US9237022B2 (en) * 2013-05-07 2016-01-12 The Boeing Company Use of multiple digital signatures and quorum rules to verify aircraft information
US9160543B2 (en) * 2013-05-07 2015-10-13 The Boeing Company Verification of aircraft information in response to compromised digital certificate
US9246934B2 (en) * 2013-05-15 2016-01-26 Jason Allen Sabin Method and system of attack surface detection
US9722801B2 (en) * 2013-09-30 2017-08-01 Juniper Networks, Inc. Detecting and preventing man-in-the-middle attacks on an encrypted connection
US9407644B1 (en) * 2013-11-26 2016-08-02 Symantec Corporation Systems and methods for detecting malicious use of digital certificates
CN103840945A (zh) * 2014-03-19 2014-06-04 广州中长康达信息技术有限公司 一种基于社交网络的数字证书信任建立方法
EP2937804B1 (en) * 2014-04-23 2017-11-15 F-Secure Corporation Authenticating a node in a communication network
CN105516066B (zh) * 2014-09-26 2019-04-09 阿里巴巴集团控股有限公司 一种对中间人的存在进行辨识的方法及装置
EP3012771B1 (en) 2014-10-22 2020-04-29 AO Kaspersky Lab System and method for protecting electronic money transactions
RU2584506C1 (ru) 2014-10-22 2016-05-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ защиты операций с электронными деньгами
US9843452B2 (en) * 2014-12-15 2017-12-12 Amazon Technologies, Inc. Short-duration digital certificate issuance based on long-duration digital certificate validation
US11032266B2 (en) * 2014-12-23 2021-06-08 Mcafee, Llc Determining the reputation of a digital certificate
US9479338B2 (en) * 2015-03-17 2016-10-25 Digicert, Inc. Method and system for certificate discovery and ranking certificate authorities
US10129239B2 (en) * 2015-05-08 2018-11-13 Citrix Systems, Inc. Systems and methods for performing targeted scanning of a target range of IP addresses to verify security certificates
US10193699B2 (en) * 2015-05-15 2019-01-29 Microsoft Technology Licensing, Llc Probabilistic classifiers for certificates
WO2016205571A1 (en) * 2015-06-16 2016-12-22 Vellitas Llc Systems and methods for digital certificate security
US9667657B2 (en) 2015-08-04 2017-05-30 AO Kaspersky Lab System and method of utilizing a dedicated computer security service
US10341116B2 (en) * 2016-12-28 2019-07-02 Intel Corporation Remote attestation with hash-based signatures
US10516542B2 (en) * 2017-03-08 2019-12-24 Amazon Technologies, Inc. Digital certificate issuance and monitoring
US10615987B2 (en) 2017-03-08 2020-04-07 Amazon Technologies, Inc. Digital certificate usage monitoring systems
US10425417B2 (en) 2017-03-08 2019-09-24 Bank Of America Corporation Certificate system for verifying authorized and unauthorized secure sessions
CN108667780B (zh) * 2017-03-31 2021-05-14 华为技术有限公司 一种身份认证的方法、系统及服务器和终端
US10977565B2 (en) 2017-04-28 2021-04-13 At&T Intellectual Property I, L.P. Bridging heterogeneous domains with parallel transport and sparse coding for machine learning models
EP3484097A1 (de) * 2017-11-08 2019-05-15 Siemens Aktiengesellschaft Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats
RU2715027C2 (ru) * 2018-06-29 2020-02-21 Акционерное общество "Лаборатория Касперского" Способ обнаружения несанкционированного изменения в отношении хранилища сертификатов
US11017076B2 (en) 2018-08-08 2021-05-25 Microsoft Technology Licensing, Llc Enhancing security using anomaly detection
US11647046B2 (en) 2018-09-24 2023-05-09 Microsoft Technology Licensing, Llc Fuzzy inclusion based impersonation detection
US10958676B2 (en) 2018-11-20 2021-03-23 Easy Solutions Enterprises Corp. Classification of transport layer security certificates using artificial neural networks
US11720718B2 (en) * 2019-07-31 2023-08-08 Microsoft Technology Licensing, Llc Security certificate identity analysis

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
US7739494B1 (en) * 2003-04-25 2010-06-15 Symantec Corporation SSL validation and stripping using trustworthiness factors
US7904725B2 (en) * 2006-03-02 2011-03-08 Microsoft Corporation Verification of electronic signatures
RU2010107990A (ru) * 2007-08-06 2011-09-20 МОНСЕИГНАТ Бернард ДЕ (US) Система и способ аутентификации, передача данных и защиты от фишинга

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5214702A (en) 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US7127741B2 (en) * 1998-11-03 2006-10-24 Tumbleweed Communications Corp. Method and system for e-mail message transmission
US6230266B1 (en) * 1999-02-03 2001-05-08 Sun Microsystems, Inc. Authentication system and process
US7571315B1 (en) 1999-09-16 2009-08-04 Intel Corporation Method and apparatus to assign trust to a key
EP1094424A3 (en) 1999-10-22 2004-06-16 Hitachi, Ltd. Digital signing method
AU2002230514A1 (en) 2001-11-29 2003-06-17 Morgan Stanley A method and system for authenticating digital certificates
DE602004030534D1 (de) * 2003-01-28 2011-01-27 Cellport Systems Inc Ein System und ein Verfahren zum Steuern des Zugriffs von Anwendungen auf geschützte Mittel innerhalb eines sicheren Fahrzeugtelematiksystems
US7657751B2 (en) 2003-05-13 2010-02-02 Corestreet, Ltd. Efficient and secure data currentness systems
KR101006322B1 (ko) * 2004-04-08 2011-01-06 인터내셔널 비지네스 머신즈 코포레이션 파일 처리 방법 및 파일 인증 방법 장치와 컴퓨터 판독가능한 매체 및 시스템
US7444509B2 (en) * 2004-05-27 2008-10-28 International Business Machines Corporation Method and system for certification path processing
US7490354B2 (en) * 2004-06-10 2009-02-10 International Business Machines Corporation Virus detection in a network
US7441273B2 (en) * 2004-09-27 2008-10-21 Mcafee, Inc. Virus scanner system and method with integrated spyware detection capabilities
US7886144B2 (en) * 2004-10-29 2011-02-08 Research In Motion Limited System and method for retrieving certificates associated with senders of digitally signed messages
WO2006065973A2 (en) * 2004-12-15 2006-06-22 Exostar Corporation Enabling trust in a federated collaboration of networks
JPWO2006114948A1 (ja) 2005-04-18 2008-12-18 松下電器産業株式会社 署名生成装置および署名検証装置
US20060236100A1 (en) * 2005-04-19 2006-10-19 Guruprasad Baskaran System and method for enhanced layer of security to protect a file system from malicious programs
CN101479984B (zh) 2006-04-25 2011-06-08 斯蒂芬·L.·博伦 用于身份管理、验证服务器、数据安全和防止中间人攻击的动态分发密钥系统和方法
US8239677B2 (en) 2006-10-10 2012-08-07 Equifax Inc. Verification and authentication systems and methods
US8407464B2 (en) * 2006-10-10 2013-03-26 Cisco Technology, Inc. Techniques for using AAA services for certificate validation and authorization
US8782414B2 (en) * 2007-05-07 2014-07-15 Microsoft Corporation Mutually authenticated secure channel
US8429734B2 (en) * 2007-07-31 2013-04-23 Symantec Corporation Method for detecting DNS redirects or fraudulent local certificates for SSL sites in pharming/phishing schemes by remote validation and using a credential manager and recorded certificate attributes
US7890763B1 (en) 2007-09-14 2011-02-15 The United States Of America As Represented By The Director, National Security Agency Method of identifying invalid digital signatures involving batch verification
US8825999B2 (en) * 2007-10-20 2014-09-02 Blackout, Inc. Extending encrypting web service
US8291493B2 (en) * 2007-11-27 2012-10-16 Mcafee, Inc. Windows registry modification verification
US8676998B2 (en) * 2007-11-29 2014-03-18 Red Hat, Inc. Reverse network authentication for nonstandard threat profiles
AU2009205675B2 (en) * 2008-01-18 2014-09-25 Identrust, Inc. Binding a digital certificate to multiple trust domains
US8285985B2 (en) 2008-12-15 2012-10-09 Sap Ag Systems and methods for detecting exposure of private keys
JP5446453B2 (ja) 2009-04-30 2014-03-19 ソニー株式会社 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム
US20120124369A1 (en) * 2010-11-09 2012-05-17 Jose Castejon Amenedo Secure publishing of public-key certificates
US8806196B2 (en) * 2011-11-04 2014-08-12 Motorola Solutions, Inc. Method and apparatus for authenticating a digital certificate status and authorization credentials

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6134550A (en) * 1998-03-18 2000-10-17 Entrust Technologies Limited Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths
US7739494B1 (en) * 2003-04-25 2010-06-15 Symantec Corporation SSL validation and stripping using trustworthiness factors
US7904725B2 (en) * 2006-03-02 2011-03-08 Microsoft Corporation Verification of electronic signatures
RU2010107990A (ru) * 2007-08-06 2011-09-20 МОНСЕИГНАТ Бернард ДЕ (US) Система и способ аутентификации, передача данных и защиты от фишинга

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
0. *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2702080C1 (ru) * 2018-06-29 2019-10-03 Акционерное общество "Лаборатория Касперского" Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
RU2708353C1 (ru) * 2018-12-28 2019-12-05 Акционерное общество "Лаборатория Касперского" Система и способ стойкой к атакам проверки ЭЦП файлов

Also Published As

Publication number Publication date
CN103490884B (zh) 2016-05-04
US20140095866A1 (en) 2014-04-03
RU2012141468A (ru) 2014-04-27
CN103490884A (zh) 2014-01-01
DE202013102441U1 (de) 2013-09-18
US8732472B2 (en) 2014-05-20

Similar Documents

Publication Publication Date Title
RU2514138C1 (ru) Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине"
Pourvahab et al. An efficient forensics architecture in software-defined networking-IoT using blockchain technology
US10819697B1 (en) Authenticated name resolution
US8516575B2 (en) Systems, methods, and media for enforcing a security policy in a network including a plurality of components
JP4911018B2 (ja) フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
KR20200007931A (ko) 상관관계 중심 위협 평가 및 치료
Ling et al. Torward: Discovery, blocking, and traceback of malicious traffic over tor
US9860272B2 (en) System and method for detection of targeted attack based on information from multiple sources
RU2601147C2 (ru) Система и способ выявления целевых атак
Santos End-to-End Network Security
US11784993B2 (en) Cross site request forgery (CSRF) protection for web browsers
Kondo et al. Name anomaly detection for ICN
Temdee et al. Security for context-aware applications
Wei et al. Foggy: a new anonymous communication architecture based on microservices
JUMAIRI Challenges in data communication and networking
Choudhary et al. Detection and Isolation of Zombie Attack under Cloud Computing
Senthil Mahesh et al. Implicit spatio-temporal based hybrid recommendation model to discover malicious wireless access points
US20230254331A1 (en) Systems and methods for securing devices in a computing environment
Algamdi Security Risk Management in the Electronic Banking Environment: Some Evidence for Banking Systems
Kumar Isolate Unauthorized Authentication and Block Data Transaction Using Agile IP Traceback
Sahare et al. Anti-phishing system using visual cryptography
Antoniou et al. RPINA-Network Forensics Protocol Embedding Privacy Enhancing Technologies
Nulman Rogue Certificate Detection Using Multi-point and AI Verification
Ababu et al. Survey on IP Spoofing Detection and Prevention
Zave et al. 1 Security provided by endpoints