CN108353079A - 对针对基于云的应用的网络威胁的检测 - Google Patents
对针对基于云的应用的网络威胁的检测 Download PDFInfo
- Publication number
- CN108353079A CN108353079A CN201680062978.8A CN201680062978A CN108353079A CN 108353079 A CN108353079 A CN 108353079A CN 201680062978 A CN201680062978 A CN 201680062978A CN 108353079 A CN108353079 A CN 108353079A
- Authority
- CN
- China
- Prior art keywords
- cloud
- user
- application
- client device
- layer parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
呈现了用于检测针对基于云的应用的网络威胁的方法和代理设备。该方法包括从客户端设备接收请求,该请求针对基于云的应用计算平台,其中该客户端设备与试图访问该基于云的应用的用户相关联;确定接收到的请求是否属于访问基于云的应用的客户端设备的当前会话;从接收到的请求提取当前会话的至少一个应用层参数;将提取的至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及基于确定的至少一个风险因素来计算风险评分,其中该风险评分指示潜在的网络威胁。
Description
技术领域
本公开内容总体上涉及用于保护云服务的系统和方法,并且更具体地涉及用于云服务风险分析和网络威胁检测的系统和方法。
背景技术
近年来,更多供应商已经开始提供在云中创建计算环境的能力。例如,在2006年,亚马逊Web ServicesTM(也被称为AWS)推出了一项服务,该服务为用户提供对被定制用于在云平台之上被执行的应用的整个环境进行配置的能力。一般而言,这样的服务允许开发可伸缩的应用,其中利用计算资源来支持应用的有效执行。
开发、提供或以其他方式维护基于云的应用的组织和企业已经习惯于依靠这些服务以及实施从复杂网站到作为软件即服务(SaaS)交付模型而被提供的应用和服务的各种类型的环境。这样的服务和应用统被称为“基于云的应用”。
基于云的应用通常由使用客户端设备的用户经由web浏览器访问。基于云的应用尤其包括电子商务应用、社交媒体应用、企业应用、游戏应用、媒体共享应用、存储应用、软件开发应用,等等。许多个人用户、企事业转向基于云的应用以代替在本地被安装和管理的“传统”软件应用。例如,企业可以将在线服务用于电子邮件帐户,而不是具有由企业维护的服务器。
随着对基于云的应用的更大依赖性,使用例如web浏览器、移动应用、桌面本地客户端等从客户端设备对这样的应用的访问应当被完全保护。例如,对于在基于云的平台中被执行的电子商务应用,必须防止任何未经授权的访问和/或数据泄露。
云计算平台的提供方(例如,)提供主要被设计用来保护它们的基础设施免受网络攻击(例如,DoS、DDoS等)的各种安全能力。然而,云计算平台并非被设计用来检测对被托管在其中中的基于云的应用的所有未经授权和/或不安全的访问。
另外,获得未授权访问的黑客的网络攻击可以按照多种方式发生。用于检测这样的访问的解决方案需要可适应于检测和评估正被潜在的攻击者请求的访问和动作的威胁级别。因此,当前的云计算平台也无法评估未经授权和/或不安全的访问的威胁级别。
因此,提供一种通过向基于云的应用提供受保护访问控制来克服上述缺陷的解决方案将是有利的。
发明内容
提供本发明内容是为了以简化的形式介绍下面在具体实施方式中被进一步描述的对概念的选择。本发明内容不旨在标识要求保护的实施例的关键特征或基本特征,也不旨在被用来限制各种要求保护的实施例的范围。另外,本发明内容的唯一目的是以简化形式将一个或多个实施例的一些概念呈现为稍后被呈现的更详细描述的序言。为了方便起见,术语“一些实施例”或“各种实施例”可以在本文中被用来指代本公开内容的单个实施例或多个实施例。
本文公开的各种实施例包括检测针对基于云的应用的网络威胁的方法。该方法包括从客户端设备接收请求,该请求针对基于云的应用计算平台,其中该客户端设备与试图访问该基于云的应用的用户相关联;确定接收到的请求是否属于访问基于云的应用的客户端设备的当前会话;从接收到的请求提取当前会话的至少一个应用层参数;将提取的至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及基于确定的至少一个风险因素来计算风险评分,其中该风险评分指示潜在的网络威胁。
本文公开的各种实施例还包括用于检测针对基于云的应用的网络威胁的代理设备。该代理设备包括处理系统;以及存储器,该存储器包含指令,该指令当由处理器执行时,将该代理设备配置为:从客户端设备接收对基于云的应用计算平台的请求,其中该客户端设备与试图访问基于云的应用的用户相关联;确定接收到的请求是否属于访问基于云的应用的客户端设备的当前会话;从接收到的请求提取当前会话的至少一个应用层参数;将提取的至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及基于确定的至少一个风险因素来计算风险评分,其中该风险评分指示潜在的网络威胁。
本文公开的各种实施例还包括云计算平台,该云计算平台包括被配置为托管至少一个基于云的应用的至少一个服务器;以及被通信地连接到该至少一个服务器的设备,其中该设备包括处理器;以及存储器,该存储器包含指令,该指令当由处理系统执行时将,该设备配置为检测针对基于云的应用的网络威胁,其中该设备还被配置为:从客户端设备接收对基于云的应用计算平台的请求,其中该客户端设备与试图访问该基于云的应用的用户相关联;确定接收到的请求是否属于访问该基于云的应用的至少一个客户端设备的当前会话;从接收到的请求提取当前会话的至少一个应用层参数;将提取的至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及基于确定的至少一个风险因素来计算风险评分,其中该风险评分指示潜在的网络威胁。
附图说明
在本说明书结尾处的权利要求书中特别指出并明确要求保护本文公开的主题。从结合附图理解的以下具体实施方式,公开的实施例的前述和其他的目的、特征和优点将是显而易见的。
图1是被用来描述各种公开的实施例的网络系统。
图2是根据一个实施例的受管理的网络代理的框图。
图3是示出了根据一个实施例的用于检测针对基于云的应用的网络威胁的方法的流程图。
图4是示出了根据一个实施例的用于计算风险评分的方法的流程图。
具体实施方式
重要的是要注意,本文公开的实施例仅仅是本文的创新教导的许多有利用途的示例。一般而言,在本申请的说明书中作出的陈述不一定限制各种要求保护的实施例中的任何实施例。另外,一些陈述可能适用于某些创造性特征,但不适用于其他。一般而言,除非另有说明,否则单数元素可以是复数个,并且反之亦然,而不失一般性。在附图中,相似的数字贯穿若干视图指代相似的部分。
根据一些示例性实施例,提供了用于检测针对基于云的应用的网络威胁的技术。该检测部分地基于与先前安全会话相比、对在当前用户会话中被检测到的应用层属性的分析。基于该分析,风险因素被检测到,并且风险因素关于其而被计算。对诸如访问基于云的应用或在基于云的应用中执行某些应用之类的应用层活动的分析允许当在当前会话期间被计算出的风险评分指示网络威胁时执行缓解动作。根据一些示例性且非限制性的实施例,可以被检测到并且可能被缓解的网络威胁包括使用被盗用户凭证对基于云的应用的访问,泄漏来自基于云的应用的数据的粗野内部人员,使用通用凭证对基于云的应用的访问,等等。
图1是被用来描述各种公开的实施例的示例性且非限制性的网络系统100。网络系统100包括云计算平台110,云计算平台110可以是但不限于私有云、公共云或向在其中被执行的应用或服务提供云计算资源的混合云。在一个实施例中,云计算平台110可以是软件即服务(SaaS)平台。
云计算平台110包括被配置为执行多个基于云的应用115的多个服务器111。每个基于云的应用115可以是但不限于电子商务应用、社交媒体应用、企业应用、游戏应用、媒体共享应用、存储应用、软件开发应用等。基于云的应用115可以通过网络140而被通信地连接到多个客户端设备130-1至130-N(下文中单独地被称为客户端设备130并且被统称为客户端设备130,仅为了简化的目的)。
网络140可以是例如广域网(WAN)、局域网(LAN)、因特网等。每个客户端设备130可以包括例如个人计算机、膝上型计算机、平板计算机、智能电话、可穿戴计算设备或任何其他计算设备。客户端设备130可以访问在云计算平台110中被执行的基于云的应用115。
云计算平台110还被通信地连接到受管理的网络代理120。受管理的网络代理120被配置为保护云计算平台110中的流量和活动。具体而言,受管理的网络代理120可以被配置为拦截、监控、修改和转发客户端设备130与云计算平台110之间的网络通信流量。为此,受管理的网络代理120被配置为接收或拦截客户端设备130到云计算平台110之间的流量。流量可以包括对访问基于云的应用115的请求、对在基于云的应用115中执行动作的请求等。对云应用115的请求通常是应用层请求(通过应用层协议而被发送的请求)。应用层协议的示例包括HTTP、SSL、FTP、IMAP、POP等。
受管理的网络代理120也被配置为分析接收到的流量以检测一个或多个应用层参数和在会话期间由客户端设备130的特定用户执行的动作。部分地基于检测到的应用层参数和动作,针对每个会话生成风险评分。风险评分的生成可以基于跨由用户访问的多个云应用115而被检测到的信息而被计算。会话可以例如是在由单个用户进行的活动的不间断时段期间由该用户执行的动作的序列。当例如当在特定时间段内执行动作序列时、当在两个指定事件(诸如但不限于登入用户帐户和登出用户帐户)之间发生动作序列时、当发生特定数量的操作时等,该动作序列可以被标识为会话。在一个实施例中,基于风险评分和对接收到的或拦截的流量的分析,代理120被配置为生成使用基于云的应用115的用户的简档。
在一个实施例中,受管理的网络代理120被配置为基于针对会话而被生成的风险评分来检测针对一个或多个基于云的应用115和/或针对云计算平台110的基础设施的网络威胁。
在另一个实施例中,受管理的网络代理120也被配置为针对检测到的网络威胁来执行一个或多个缓解动作。针对这样的缓解动作的示例例如包括:响应于检测到的网络威胁,发送关于可疑的网络流量和行为的通知、阻止网络威胁、执行应用控制、过滤URL、对网络流量执行恶意软件保护、提供对应用层参数的可见性(例如,用户、设备、位置等的列表)、提供关于特定事件的警报、基于新检测到的事件来更新先前提供的警报、生成审计日志,等等。在图2中进一步讨论了受管理的网络代理120的操作。
受管理的网络代理120还可以被通信地连接到数据库150。受管理的网络代理120可以被配置为关于网络威胁检测和分析来将用户信息存储在数据库150中。这样的信息可以包括但不限于用户简档。
在一个实施例中,受管理的网络代理120包括被耦合到存储器(MEM)122的处理系统121。存储器122包含指令,指令当由处理系统121执行时,将受管理的网络代理120配置为执行本文公开的实施例。处理系统121可以由一个或多个硬件逻辑组件和电路实现。例如且没有限制,可以被使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)、通用微处理器、微控制器、数字信号处理器(DSP)等,或可以执行计算或对信息的其他操作的任何其他硬件逻辑组件。
处理系统121也可以包括用于存储软件的机器可读介质。软件应被广泛地解释为指任何类型的指令,无论是被称为软件、固件、中间件、微码、硬件描述语言还是其他。指令可以包括代码(例如,以源代码格式、二进制代码格式、可执行代码格式或任何其他合适的代码格式)。指令当由一个或多个处理器执行时,使得处理系统执行本文描述的各种功能。
应当理解,本文公开的实施例不限于图1中示出的具体架构,并且在不脱离公开的实施例的范围的情况下可以等同地使用其它架构。具体而言,受管理的网络代理120可以驻留在云计算平台110、不同云计算平台或可连接的数据中心中。另外,在一个实施例中,可以有多个受管理的网络代理120如上所述进行操作,并且多个受管理的网络代理120被配置为要么使一个作为备用代理来在失败的情况下进行控制,要么在它们之间共享负载,要么在它们之间分担功能。另外,在不脱离公开的实施例的范围的情况下,受管理的网络代理120的各种功能可以由服务器111实现。
图2是根据一个实施例的受管理的网络代理120的示例性且非限制性的框图。受管理的网络代理120包括安全网关210、威胁检测器220和用户简档管理器230。
在一个实施例中,安全网关210被配置为接收或拦截在任何客户端设备130与云计算平台110之间被递送的用户流量。例如,这样的流量可以被从计算平台110转发或被搭接在客户端设备130与云计算平台110之间的连接中。安全网关210被配置为提取与用户流量有关的应用层参数。这样的应用层参数可以包括但不限于客户端设备130的设备类型、操作系统类型和版本、代理类型等。代理可以是但不限于被安装在客户端设备130的存储器中并由客户端设备130的处理单元执行的软件代码。代理类型可以是但不限于在本地安装的应用、web浏览器等。在一个实施例中,安全网关210被配置为提取指示每个客户端设备130的位置的信息。位置信息可以指示每个客户端设备130相对于网络140的物理/地理位置和/或逻辑位置。
在一个实施例中,安全网关210可以被配置为提取与正由客户端设备130的用户采取的动作有关的参数,该动作诸如是但不限于登入基于云的应用115、下载或上传文件等。在另一实施例中,安全网关210也被配置为提取与客户端设备130的用户的身份、采取该动作的时间和/或由该动作消耗的带宽有关的参数。用户的标识可以基于国际移动设备身份(IMEI)、电话号码、媒体访问控制(MAC)地址、电子邮件地址、因特网协议(IP)地址或任何其他唯一标识的信息。
客户端设备130的标识可以结合客户端设备130的访问历史而被存储,从而使得单独的云会话可以与用于该会话的客户端设备130相关联。如上所述,会话可以例如是在单个用户进行的活动的不间断时段期间由该用户执行的动作序列。当例如在特定时间段内执行动作序列时、当在两个指定事件(例如但不限于登录和记录用户帐户之外)之间发生动作序列时、当发生特定数量的动作时等,该动作序列可以被标识为会话。在一个实施例中,安全网关210还被配置为标识各个会话,在各个会话中客户端设备130访问基于云的应用115的。例如,每个登录尝试和在预定时间段内由用户执行的任何其他动作可以被标识为个人会话。
可以跨多个用户会话和/或跨越多个云应用来追踪客户端设备130标识信息。标识信息可以结合关联的用户简档而被存储在数据库(例如,数据库150)中。然后可以执行后续查询以确定哪个客户端设备130被给定用户用来在单个会话中或跨多个会话访问给定云服务。
由安全网关210提取或得出的各种参数被提供给威胁检测器220。在另一实施例中,威胁检测器220也可以从知识库(未示出)接收输入。这样的输入可以包括其他信息,诸如但不限于关于特定网络威胁的信息、用于确定针对潜在网络威胁的风险评分的信息等。应当注意的是,在一个实施例中,威胁检测器220可以被包括作为安全网关210的组件。在另一实施例中,威胁检测器220可以是分离的组件,其被通信地连接到安全网关210。
威胁检测器220可以包括多个分析引擎。在图2中所示的非限制性配置中,分析引擎是剖析引擎225-1、异常引擎225-2和基于统计的引擎225-3。每个引擎225-1、225-2和225-3可以被配置为接收上述的任何或全部的应用层、动作和/或用户标识符参数。每个引擎225-1、225-2和225-3也可以被配置为接收从其他引擎225得出的输入。
在一个实施例中,基于统计的异常引擎225-3可以被配置为基于短期和/或长期的统计信息的组合来进行威胁评估。
在一个实施例中,异常引擎225-2被配置为检测特定异常操作、一系列异常操作和/或异常操作的模式。为此,异常引擎225-2被配置为基于异常的活动来确定由客户端设备130执行的特定操作或由云计算平台110执行的特定操作是否异常,异常的活动诸如是但不限于比预期更频繁地被执行的特定操作、操作在对用户而言不寻常的位置中被执行、操作从不寻常的ISP被执行、操作由针对特定用户的不寻常用户代理执行、操作包括用户的一个或多个不寻常动作、试图从两个不同位置同时或几乎同时访问同一账户、这些的任何组合等。
当操作比由通过学习时间而被获取的历史数据预测的更经常地被执行时,操作可以比预期更频繁地被执行(例如,如果历史数据指示特定操作每天发生一次,则该操作在单日内的多次发生将被视为可疑)。
在一个实施例中,异常引擎225-2也可以被配置为确定用户的操作序列是否为异常。在另一个实施例中,单独的特定操作(或其重复)可能不是异常的。然而,当该操作与另一操作依次被执行时,该组操作可能被认为是异常的。例如,异常引擎225-2可以被配置为确定在序列包括认证然后是将文件从云计算平台110传送到客户端设备130的情况下操作序列是异常的。
在一个实施例中,异常引擎225-2也可以被配置为确定非顺序操作的模式是否为异常。在另一个实施例中,异常引擎225-2可以被配置为检查在特定时间段内不按顺序而被进行的动作。可以基于本文描述的任何参数来确定单独操作、操作序列和操作模式的异常性质。
可以基于将一个或多个参数与先前存储的简档信息比较来检测异常活动。这样的简档信息可以包括但不限于位置、时间(一天中的小时、一周中的一天等)、设备使用、用户代理(类型和版本)、动作/请求的频率、执行的动作的类型、执行的动作的顺序、访问的信息的类型、流量带宽、会话特性(长度、空闲时间等)和/或HTTP请求特性(哪些资源被访问、方法、头部、大写(capitalization)等)。在一个实施例中,如果活动与先前存储的简档信息相差预定义阈值以上,则可以将该活动确定为异常。
在一个实施例中,如果检测到异常活动,则威胁检测器220开始风险评分计算。部分地使用剖析引擎225-1来执行风险评分计算。为此,剖析引擎225-1被配置为使用截获的凭证来标识当前用户。剖析引擎225-1被配置为基于被动流量记录来执行组织和用户剖析,以建立可以包括但不限于以下各项的特性:组织等级和行为;单用户使用模式;公司角色、管理员、经理和不同部门;公司位置、不同的分支机构和办公位置,和/或员工的家庭位置;用户活动在特定时间段内的分布;以及用户日常例程,其包括但不限于日常位置、活动时间、应用和使用模式。这样的组织和剖析可以被用来例如确定活动是否是异常的并且因此是潜在的威胁。也就是说,在示例性实施例中,可以将当前活动与被存储在由用户简档管理器230创建的简档中的活动比较,以确定当前活动是否为异常。在一个实施例中,组织和剖析信息可以由威胁检测器220利用,如下面在本文中被进一步描述的。
剖析引擎225-1也可以被配置为基于如下信息、跨会话和浏览器来区分和/或标识客户端设备130,该信息得出自但不限于利用保存标识信息(例如,客户端设备130的身份、用户的身份、针对基于云的应用115的会话信息等)的指定会话cookie来追踪会话、对网页的JavaScript注入、跨浏览器存储以链接从同一客户端设备130上的不同浏览器被管理的会话和/或数据库150。这样的标识可以被用来例如确定在计算风险评分时要利用哪些剖析和/或组织信息。
由剖析引擎225-1执行的标识和剖析任务可以导致新的或更新用户简档。对包括用户简档的更新和创建的用户简档的管理可以由用户简档管理器230执行。
威胁检测器220可以针对安全警报来构建监督学习模型。为此,威胁检测器220可以收集关于警报的反馈;使IT人员(例如,系统管理员、安全官员等)加入被指派给云计算平台110和/或请求访问的用户的IT部门;以及通过向用户查询可疑模式来动态地构建用户简档。在一个实施例中,聘请IT人员包括通过通信手段发送警报,所述通信手段诸如是但不限于电子邮件、即时消息传送、电话或其他通信手段。
在一个实施例中,如果风险因素被确定为高度异常,则可以增加风险评分。可以由于例如以下原因而将风险因素确定为高度异常:访问基于云的应用115的用户的异常位置;被用来实现从客户端设备130到平台110的连接的异常ISP;被安装在访问基于云的应用115的用户的客户端设备130中的异常用户代理;由用户执行的异常动作;由用户从不同位置对基于云的应用115的同时访问;执行管理动作的请求;用户作为管理员对基于云的应用的访问;请求的当前时间在自用户上次登录起的预定时间段内;在预定义时间间隔期间被执行的特定数量的异常动作,以及使用异常的代理或因特网协议(IP)地址来访问基于云的应用。在一个实施例中,用户的用户简档可以指示风险因素活动是高度异常的。
在一个实施例中,响应于计算出高于预定义阈值的风险评分,可以生成警报。每个警报都可以被指派严重性评分,严重性评分指示可疑或异常的活动可以关联于的潜在危害程度。生成警报的概率以及被指派给该警报的严重性评分可以基于例如确定的异常风险因素。
作为非限制性示例,攻击者使用被盗的用户凭证来访问基于公司云的应用。当攻击者请求访问基于云的应用时,受保护网关210被配置为提取包括例如以下各项的应用层参数:由攻击者使用的客户端设备的类型,客户端设备的位置,由攻击者请求的动作,与凭证(例如,合法用户的凭证)相关联的身份,以及请求访问的时间。在一个实施例中,网络层参数也可以被提取并且可以被用来标识受保护网关。例如,在访问期间由攻击者使用的网络带宽可以被用来标识受保护网关。
提取的参数由威胁检测器220处理。威胁检测器220被配置为将提取的当前会话参数与从先前用户会话存储的参数(或用户简档)比较。
例如,比较这些参数可以指示在当前会话中被请求的动作不同于在先前用户会话期间被请求的那些。威胁检测器220被配置为基于提取的参数和比较的结果来计算表明显著风险的风险评分。相应地,威胁检测器220被配置为标识与由客户端设备130对基于云的应用进行的访问有关的威胁并生成关于其的警报。
作为另一示例,授权用户充当“粗野内部人员”(即,授权用户在云计算平台110或应用115内执行恶意和/或不安全的动作)。当用户请求访问云时,受保护网关210被配置为提取关于由授权用户使用的客户端设备的应用层参数。上面讨论了针对这样的参数的示例。提取的参数被提供给威胁检测器220。
威胁检测器220被配置为将当前会话的提取的参数与来自先前用户会话的参数(或用户简档)比较,以及将当前会话的提取的参数与被存储在基于先前用户活动而被构建的用户简档中的信息比较。在这一示例中,威胁检测器220确定对基于云的应用的访问是从未在先前用户会话中被标识的地理位置执行的。此外,访问时间被确定为在正常工作时间之外。因此,确定用户活动可能是异常的。
威胁检测器220注意到用户已经通过执行管理动作来执行了高度异常动作。关于这一高度异常的确定,计算出的风险评分被增加,并且威胁检测器220生成警报。警报表明已经发生了高度异常的活动,因此指示警报的严重性很高。
在一个实施例中,威胁检测器220还可以被配置为基于新检测到的活动(例如,对云的后续访问)来更新先前生成的警报。当已经生成警报并检测到新活动时,可能会标识附加风险因素,并且可以基于附加风险因素和来自先前生成的警报的风险因素来计算新的风险评分。在另一实施例中,如果附加风险因素使警报的严重性增加(例如,从“低”到“中”,从“低”到“高”,从“中”到“高“,等等),则先前生成的警报可以被更新。
作为更新警报的非限制性示例,检测到异常。基于针对异常活动而被计算出的风险评分,生成“低”严重性警报。在检测到另一个异常活动时,计算另一风险评分。基于另一风险评分,确定警报的严重性已经增加。作为结果,生成“中”严重性警报。
应当注意的是,仅仅为了简单的目的而不限制公开的实施例,上文关于图1和图2描述了受管理的网络代理120。在一个实施例中,可以利用被类似地配置的应用程序接口(API)来代替受管理的网络代理120。在另一个实施例中,API可以生成和/或递送警报,但是可能不阻止或以其他方式直接防止访问。还应当注意的是,威胁检测器220中的每个、一些或全部元件可以由处理单元来实现,其示例在上面被提供。
图3是示出了根据一个实施例的一种用于检测和分析基于云的应用中的网络威胁的方法的示例性且非限制性的流程图300。在一个实施例中,该方法可以由受管理的网络代理(例如,受管理的网络代理120)执行和/或由API执行。可以被检测到的网络威胁包括但不限于:使用被盗用户的凭证对基于云的应用的访问,泄漏来自基于云的应用的数据的粗野内部人员,以及使用通用凭证对基于云的应用的访问尝试。
在S310,接收针对访问基于云的应用或在云计算平台中被托管的基于云的应用中执行动作的请求。该请求是应用层请求(即,通过应用层协议而被发送的请求)。在S320,该访问被标识为新用户会话的一部分。会话可以例如是在由单个用户进行的活动的不间断时段期间由该用户执行的动作序列。
在S330,从接收到的请求提取至少应用层参数。应用层参数可以与客户端设备、客户端设备的用户、会话标识符等有关。上面提供了针对应用层参数的示例。在某些实施例中,网络层参数也可以被提取。网络层参数可以包括例如带宽、连接类型、源/目的地IP地址等。
在S340,基于请求和提取的参数,标识访问基于云的应用的当前用户。在一个实施例中,S340还可以包括标识当前用户所属的组织和/或部门和/或当前用户从其发送请求的用户设备。在某些实施例中,S340包括剖析标识的用户。上面更详细地讨论了对用户的标识和剖析。
在S350,将来自当前会话的任何或全部提取的应用层参数与从先前会话收集的应用层参数比较,以确定一个或多个风险因素。先前会话的参数可以从与客户端设备的用户相关联的用户简档被获得。当用户在特定的基于云的应用中或跨多个基于云的应用访问或执行动作时,可以收集先前会话的参数。备选地或共同地,当一组用户(属于某一组织或部门)在特定的云应用中或跨多个云应用访问或执行动作时,可以收集先前会话的参数。
部分地基于在当前会话期间由访问云应用的用户执行的异常操作来确定风险因素。在上文中关于图2进一步描述了检测风险因素和异常操作。应当注意,在不限制公开的实施例的情况下,S340和S350可以并行地被执行。
在S360,检查在当前会话期间是否已经从客户端设备接收到附加请求。如果是,则执行返回到S330,其中与新接收到的请求有关的参数被提取;否则,执行前进到S370。
在S370,关于确定的风险因素来计算针对当前会话的风险评分。风险评分表示在当前会话期间被执行的访问尝试和/或动作造成网络威胁的可能性。例如,攻击者尝试使用公共密码访问基于云的应用的帐户将会涉及会话期间的许多失败的登录尝试,其将被确定为风险因素。基于确定的失败登录风险因素来计算风险评分。在下文中关于图4进一步讨论风险评分的计算。
在S375,确定风险评分是否高于预定义的阈值(TH),并且如果是,则执行前进到S380;否则,执行终止。
在S380,执行缓解动作。这样动作可以包括生成和发送警报、阻止从一个或多个特定IP地址访问基于云的应用、阻止从特定地理位置对基于云的应用的访问、强制进行二次认证(例如,使用CAPTCHA、经由电子邮件的认证等)等。可以基于风险评分的值和/或检测到的动作是网络威胁的概率来确定所要采取的动作,每个概率可以基于风险评分而被确定。
在一个实施例中,可以基于新检测到的活动(例如,对云的后续访问)来更新生成的警报。当检测到新活动时,可能标识出附加风险因素,并且可以基于附加风险因素和来自生成的警报的风险因素来计算新的风险评分。在另一个实施例中,如果附加风险因素使警报的严重性增加(例如,从“低”到“中”,从“低”到“高”,从“中”到“高”,等等),则可以更新生成的警报。
图4是示出了根据一个实施例的一种用于计算风险评分的方法的示例性且非限制性的流程图S370。在S410,接收在当前会话期间被确定的风险因素。风险因素的示例包括:针对用户或组织的不寻常位置;针对用户或组织的不寻常ISP;针对用户或组织的不寻常IP地址;针对用户的不寻常用户代理;由用户执行的不寻常操作;由单个用户从不同位置对基于云的应用的同时访问;用户执行管理动作;用户充当管理员;自用户的上次登录起经过了特定的时间量;以及在用户的历史中存在的与组织中的其他用户相比的独特特征。这样的独特特征可以是例如独特的位置和/或IP地址。
在S420,为每个确定的风险因素指派值。作为非限制性示例,该值可以是数值(例如,整数)、布尔值等。在一个实施例中,基于风险因素的严重性来指派该值。例如,“用户充当管理员”风险因素可被指派比“针对用户的不寻常ISP”更高的值。
在S430,对被指派给每个确定的风险因素的值计算风险评分。风险评分表示访问尝试造成网络威胁的可能性。例如,可以将风险评分计算为指派值的总和、加权和等。作为另一实施例,可以将风险评分计算为布尔和,其中‘1’值可以表示风险并且‘0’值不表示风险。在又一示例中,风险评分是被检测到的风险因素的数量的函数。
在又一实施例中,风险评分的计算可以包括由例如统计异常引擎执行、以基于确定的风险因素来计算威胁概率的统计分析。威胁概率将用作风险评分。在S440,返回计算出的风险评分。
本文公开的各种实施例可以被实现为硬件、固件、软件或它们的任何组合。另外,软件优选地被实现为被有形地体现在程序存储单元或计算机可读介质上的应用程序,计算机可读介质由部件组成或由某些设备和/或设备的组合组成。应用程序可被上传到包括任何合适架构的机器并由该机器执行。优选地,该机器在具有诸如一个或多个中央处理单元(“CPU”)、存储器和输入/输出接口之类的硬件的计算机平台上被实现。该计算机平台也可以包括操作系统和微指令代码。本文描述的各种处理和功能可以是可以由CPU执行的微指令代码的一部分或应用程序的一部分或它们的任何组合,无论是否明确示出这样的计算机或处理器。此外,诸如附加数据存储单元和打印单元之类的各种其他外围单元可以被连接到计算机平台。另外,非暂时性计算机可读介质是除暂时传播信号之外的任何计算机可读介质。
本文叙述的所有示例和条件语言旨在用于教学目的以帮助读者理解公开的实施例的原理以及由发明人为促进现有技术而贡献的概念,并且将被解释为不限于此具体叙述的示例和条件。另外,本文中引用本公开内容的原理、方面和实施例的所有陈述以及其具体示例旨在包括其结构和功能等同物。此外,意图是这样的等同物包括当前已知的等同物以及将来开发的等同物,即,执行相同功能的被开发的任何元件,而不管结构如何。
Claims (13)
1.一种用于检测针对基于云的应用的网络威胁的方法,包括:
从客户端设备接收请求,所述请求针对基于云的应用计算平台,其中所述客户端设备与试图访问所述基于云的应用的用户相关联;
确定接收到的所述请求是否属于访问所述基于云的应用的所述客户端设备的当前会话;
从接收到的所述请求提取所述当前会话的至少一个应用层参数;
将提取的所述至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及
基于确定的所述至少一个风险因素来计算风险评分,其中所述风险评分指示潜在的网络威胁。
2.根据权利要求1所述的方法,还包括:
基于提取的所述至少一个应用层参数来标识试图访问所述基于云的应用的所述用户的身份。
3.根据权利要求1或2所述的方法,其中从先前会话被提取的所述应用层参数来自跨由所述用户所访问的多个基于云的应用的先前会话。
4.根据权利要求1、2或3所述的方法,其中从先前会话被收集的所述应用层参数跨由一组用户访问的多个基于云的应用而被收集,其中所述一组用户属于以下各项中的至少一项:与所述用户相关联的组织,以及与所述用户相关联的部门。
5.根据权利要求1所述的方法,其中所述当前会话是在由所述用户所进行的活动的不间断时段期间由所述用户执行的基于云的应用动作的序列。
6.根据权利要求1所述的方法,其中将提取的所述至少一个应用层参数与从先前会话提取的应用层参数进行比较,以确定至少一个风险因素还包括:
基于所述比较来检测由所述用户所执行的至少一个异常操作;以及
将所述至少一个异常操作与所述至少一个风险因素相关联。
7.根据权利要求1所述的方法,其中所述至少一个风险因素包括以下各项中的任何一项:访问所述基于云的应用的所述用户的异常位置;异常ISP;被安装在访问所述基于云的应用的所述用户的客户端设备中的异常用户代理;由所述用户执行的异常动作;由所述用户从不同位置对所述基于云的应用的同时访问;对执行管理动作的请求;由所述用户作为管理员对所述基于云的应用的访问;所述请求的当前时间在自所述用户上次登录起的预定义时间段内;在预定义时间间隔期间被执行的特定数量的异常动作,以及使用异常代理或因特网协议(IP)地址以访问所述基于云的应用。
8.根据权利要求1所述的方法,其中计算所述风险评分还包括:
将值指派给确定的所述至少一个风险因素中的每个风险因素,其中每个指派的值基于相应的确定的所述风险因素的严重性;以及
作为至少一个指派的所述值的函数来计算所述风险评分。
9.根据权利要求1所述的方法,还包括:
将计算的所述风险评分与至少一个预定义阈值比较;以及
当计算的所述风险评分高于所述至少一个预定义阈值中的任何阈值时,基于所述风险评分的所述值来选择缓解动作;以及
执行所述缓解动作以缓解所述潜在的网络威胁。
10.根据权利要求1所述的方法,其中所述潜在的网络威胁包括以下各项中的至少一项:使用被盗的用户凭证来访问所述基于云的应用;粗野的内部人员从所述基于云的应用泄漏数据;以及使用通用凭证对所述基于云的应用的访问。
11.一种包括代码部分的计算机程序,所述代码部分当在处理系统上被执行时,使得所述处理系统根据执行前述权利要求中的任一项所述的方法。
12.一种用于检测针对基于云的应用的网络威胁的代理设备,包括:
处理系统;以及
存储器,所述存储器包含指令,所述指令当由处理器执行时,将所述代理设备配置为:
从客户端设备接收对基于云的应用计算平台的请求,其中所述客户端设备与试图访问所述基于云的应用的用户相关联;
确定接收到的所述请求是否属于访问所述基于云的应用的所述客户端设备的当前会话;
从接收到的所述请求提取所述当前会话的至少一个应用层参数;
将提取的所述至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及
基于确定的所述至少一个风险因素来计算风险评分,其中所述风险评分指示潜在的网络威胁。
13.一种云计算平台,包括:
至少一个服务器,其被配置为托管至少一个基于云的应用;以及
被通信地连接到所述至少一个服务器的设备,其中所述设备包括处理器;以及存储器,所述存储器包含指令,所述指令当由处理系统执行时,将所述设备配置为检测针对基于云的应用的网络威胁,其中所述设备还被配置为:
从客户端设备接收对基于云的应用计算平台的请求,其中所述客户端设备与试图访问所述基于云的应用的用户相关联;
确定接收到的所述请求是否属于访问所述基于云的应用的至少一个客户端设备的当前会话;
从接收到的所述请求提取所述当前会话的至少一个应用层参数;
将提取的所述至少一个应用层参数与从先前会话提取的应用层参数比较,以确定至少一个风险因素;以及
基于确定的所述至少一个风险因素来计算风险评分,其中所述风险评分指示潜在的网络威胁。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201562246399P | 2015-10-26 | 2015-10-26 | |
| US62/246,399 | 2015-10-26 | ||
| US15/006,695 US20170118239A1 (en) | 2015-10-26 | 2016-01-26 | Detection of cyber threats against cloud-based applications |
| US15/006,695 | 2016-01-26 | ||
| PCT/US2016/057567 WO2017074747A1 (en) | 2015-10-26 | 2016-10-19 | Detection of cyber threats against cloud-based applications |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108353079A true CN108353079A (zh) | 2018-07-31 |
| CN108353079B CN108353079B (zh) | 2020-11-10 |
Family
ID=58562152
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680062978.8A Active CN108353079B (zh) | 2015-10-26 | 2016-10-19 | 对针对基于云的应用的网络威胁的检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170118239A1 (zh) |
| EP (1) | EP3369232B1 (zh) |
| CN (1) | CN108353079B (zh) |
| WO (1) | WO2017074747A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114073060A (zh) * | 2019-07-03 | 2022-02-18 | 微软技术许可有限责任公司 | 域-应用归属 |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10432615B2 (en) * | 2015-02-24 | 2019-10-01 | Avatier Corporation | Aggregator technology without usernames and passwords implemented in unified risk scoring |
| US10735404B2 (en) | 2015-02-24 | 2020-08-04 | Avatier Corporation | Aggregator technology without usernames and passwords implemented in a service store |
| US9686273B2 (en) | 2015-02-24 | 2017-06-20 | Avatier Corporation | Aggregator technology without usernames and passwords |
| WO2017116601A1 (en) * | 2015-12-27 | 2017-07-06 | Avanan Inc. | Cloud security platform |
| US9973522B2 (en) * | 2016-07-08 | 2018-05-15 | Accenture Global Solutions Limited | Identifying network security risks |
| US10129269B1 (en) * | 2017-05-15 | 2018-11-13 | Forcepoint, LLC | Managing blockchain access to user profile information |
| US11637844B2 (en) | 2017-09-28 | 2023-04-25 | Oracle International Corporation | Cloud-based threat detection |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11108798B2 (en) * | 2018-06-06 | 2021-08-31 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US10795738B1 (en) * | 2019-03-26 | 2020-10-06 | Microsoft Technology Licensing, Llc | Cloud security using security alert feedback |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| US10749885B1 (en) * | 2019-07-18 | 2020-08-18 | Cyberark Software Ltd. | Agentless management and control of network sessions |
| CA3100378A1 (en) * | 2019-11-20 | 2021-05-20 | Royal Bank Of Canada | System and method for unauthorized activity detection |
| WO2021171092A2 (en) * | 2020-02-28 | 2021-09-02 | Darktrace, Inc. | Treating data flows differently based on level of interest |
| US11914719B1 (en) | 2020-04-15 | 2024-02-27 | Wells Fargo Bank, N.A. | Systems and methods for cyberthreat-risk education and awareness |
| US11388186B2 (en) * | 2020-07-04 | 2022-07-12 | Kumar Srivastava | Method and system to stitch cybersecurity, measure network cyber health, generate business and network risks, enable realtime zero trust verifications, and recommend ordered, predictive risk mitigations |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110167474A1 (en) * | 2008-07-24 | 2011-07-07 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
| CN102495942A (zh) * | 2011-10-26 | 2012-06-13 | 深信服网络科技(深圳)有限公司 | 一种组织内部网络风险评估方法及系统 |
| WO2012166944A2 (en) * | 2011-06-03 | 2012-12-06 | Uc Group Limited | Systems and methods for registration, validation, and monitoring of users over multiple websites |
| CN103516718A (zh) * | 2012-06-29 | 2014-01-15 | 微软公司 | 身份风险分数生成和实现 |
| CN104246785A (zh) * | 2012-03-21 | 2014-12-24 | 迈克菲股份有限公司 | 用于移动应用声誉的众包的系统和方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050160113A1 (en) * | 2001-08-31 | 2005-07-21 | Kent Ridge Digital Labs | Time-based media navigation system |
| US8230505B1 (en) * | 2006-08-11 | 2012-07-24 | Avaya Inc. | Method for cooperative intrusion prevention through collaborative inference |
| US20130097659A1 (en) * | 2011-10-17 | 2013-04-18 | Mcafee, Inc. | System and method for whitelisting applications in a mobile network environment |
| EP3734474A3 (en) * | 2013-11-11 | 2021-01-20 | Microsoft Technology Licensing, LLC | Cloud service security broker and proxy |
| US10063654B2 (en) * | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| US11115417B2 (en) * | 2015-05-19 | 2021-09-07 | Microsoft Technology Licensing, Llc. | Secured access control to cloud-based applications |
-
2016
- 2016-01-26 US US15/006,695 patent/US20170118239A1/en not_active Abandoned
- 2016-10-19 EP EP16790492.9A patent/EP3369232B1/en active Active
- 2016-10-19 WO PCT/US2016/057567 patent/WO2017074747A1/en active Application Filing
- 2016-10-19 CN CN201680062978.8A patent/CN108353079B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110167474A1 (en) * | 2008-07-24 | 2011-07-07 | Zscaler, Inc. | Systems and methods for mobile application security classification and enforcement |
| WO2012166944A2 (en) * | 2011-06-03 | 2012-12-06 | Uc Group Limited | Systems and methods for registration, validation, and monitoring of users over multiple websites |
| CN102495942A (zh) * | 2011-10-26 | 2012-06-13 | 深信服网络科技(深圳)有限公司 | 一种组织内部网络风险评估方法及系统 |
| CN104246785A (zh) * | 2012-03-21 | 2014-12-24 | 迈克菲股份有限公司 | 用于移动应用声誉的众包的系统和方法 |
| CN103516718A (zh) * | 2012-06-29 | 2014-01-15 | 微软公司 | 身份风险分数生成和实现 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114073060A (zh) * | 2019-07-03 | 2022-02-18 | 微软技术许可有限责任公司 | 域-应用归属 |
| CN114073060B (zh) * | 2019-07-03 | 2024-02-27 | 微软技术许可有限责任公司 | 域-应用归属的系统、代理服务器及其中执行的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3369232B1 (en) | 2020-04-15 |
| CN108353079B (zh) | 2020-11-10 |
| EP3369232A1 (en) | 2018-09-05 |
| WO2017074747A1 (en) | 2017-05-04 |
| US20170118239A1 (en) | 2017-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108353079A (zh) | 对针对基于云的应用的网络威胁的检测 | |
| US11886575B1 (en) | Methods and systems for fraud containment | |
| US11265350B2 (en) | Cyber risk analysis and remediation using network monitored sensors and methods of use | |
| US11070557B2 (en) | Delayed serving of protected content | |
| Allodi et al. | Security events and vulnerability data for cybersecurity risk estimation | |
| US9602530B2 (en) | System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment | |
| US9349014B1 (en) | Determining an indicator of aggregate, online security fitness | |
| US11637870B2 (en) | User responses to cyber security threats | |
| EP3085023B1 (en) | Communications security | |
| US9300684B2 (en) | Methods and systems for statistical aberrant behavior detection of time-series data | |
| CN105531679B (zh) | 在网络客户端上进行的异常检测 | |
| EP3704585B1 (en) | Consumer threat intelligence service | |
| US20160182561A1 (en) | Route monitoring system for a communication network | |
| US11652828B1 (en) | Systems and methods for automated anomalous behavior detection and risk-scoring individuals | |
| US11777972B2 (en) | Network security techniques comparing observed distributions to baseline distributions | |
| US20210182381A1 (en) | Dynamic Message Analysis Platform for Enhanced Enterprise Security | |
| CN109245944A (zh) | 网络安全评估方法及系统 | |
| Bellini et al. | Cyber Resilience in IoT network: Methodology and example of assessment through epidemic spreading approach | |
| Britto Dennis et al. | Deep belief network and support vector machine fusion for distributed denial of service and economical denial of service attack detection in cloud | |
| US11855989B1 (en) | System and method for graduated deny list | |
| Xue et al. | Bound maxima as a traffic feature under DDOS flood attacks | |
| Gorton | Using incident response trees as a tool for risk management of online financial services | |
| US11722459B1 (en) | Cumulative sum model for IP deny lists | |
| US11601435B1 (en) | System and method for graduated deny lists | |
| US20240163254A1 (en) | Automatic validations and prioritizations of indicators of compromise |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |