CN109313541A - 用于显示和比较攻击遥测资源的用户界面 - Google Patents
用于显示和比较攻击遥测资源的用户界面 Download PDFInfo
- Publication number
- CN109313541A CN109313541A CN201780031315.4A CN201780031315A CN109313541A CN 109313541 A CN109313541 A CN 109313541A CN 201780031315 A CN201780031315 A CN 201780031315A CN 109313541 A CN109313541 A CN 109313541A
- Authority
- CN
- China
- Prior art keywords
- resource
- user
- attack
- view
- group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000004458 analytical method Methods 0.000 claims description 37
- 230000003993 interaction Effects 0.000 claims description 6
- 230000000007 visual effect Effects 0.000 claims description 5
- 238000012800 visualization Methods 0.000 claims description 5
- 238000006116 polymerization reaction Methods 0.000 claims description 3
- 238000013139 quantization Methods 0.000 claims 1
- 230000000694 effects Effects 0.000 abstract description 38
- 238000004590 computer program Methods 0.000 abstract description 15
- 238000003860 storage Methods 0.000 abstract description 12
- 230000006399 behavior Effects 0.000 description 16
- 238000012545 processing Methods 0.000 description 16
- 238000001514 detection method Methods 0.000 description 15
- 238000010801 machine learning Methods 0.000 description 9
- 230000008901 benefit Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 238000009826 distribution Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 238000012549 training Methods 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 238000009792 diffusion process Methods 0.000 description 3
- 230000005611 electricity Effects 0.000 description 3
- 238000002955 isolation Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000007405 data analysis Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 238000012706 support-vector machine Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 235000013399 edible fruits Nutrition 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 210000003205 muscle Anatomy 0.000 description 1
- 238000004886 process control Methods 0.000 description 1
- 239000000047 product Substances 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 238000011897 real-time detection Methods 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 239000000725 suspension Substances 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
- 210000001519 tissue Anatomy 0.000 description 1
- 238000005303 weighing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/048—Interaction techniques based on graphical user interfaces [GUI]
- G06F3/0484—Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
包括在计算机存储介质上编码的计算机程序的方法、系统和设备用于显示与被识别为参与恶意活动的计算机网络资源相关的信息。系统中的一个包括一个或多个计算机,所述一个或多个计算机包括一个或多个处理器和一个或多个存储器设备,所述一个或多个计算机被配置为:识别与攻击相关联的资源;提供显示与攻击资源相关的信息的攻击资源仪表板用户界面,其中,该用户界面呈现:对特定资源在单个在线服务处的行为与该资源在其他在线服务处的行为进行比较以及对该资源的行为与其他资源的行为进行比较的资源信息。
Description
背景技术
网络安全依赖于检测恶意用户账号的能力。恶意用户账号可用于执行恶意活动,例如,垃圾邮件,网络钓鱼,虚假点赞和欺诈交易。此外,账号可以由合法用户也可以使用的特定资源使用。传统的解决方案专用于在一个特定服务处的一个特定资源的信息的显示。
发明内容
本说明书描述了与用于显示关于“实体”的信息的用户界面相关的技术。出于本专利的目的,“实体”被定义为可由欺诈账号使用的攻击资源,包括IP地址、MAC地址、主机名称、电话号码和电子邮件地址。合法用户也可以使用这些资源。本说明书描述了这些资源的可视化和比较,以帮助理解攻击策略以及特别地欺诈账号对这些资源的利用。
传统的解决方案专用于在一个特定的在线服务处的一个特定实体的信息的显示。在线服务包括包含社交网络的特定社交媒体站点、评论站点和图像共享站点,以及诸如在线银行或由公司提供的投资账户访问的消费者服务。相比之下,本说明书中描述的用户分析引擎提供了对实体活动的独特全局优势视图。通过从不同扇区和地理位置上的多个服务中摄取事件日志来提供此视图。系统可以显示实体在不同在线服务之间的行为的比较,以及一个实体与其他实体关于其相关用户活动的比较。
本说明书中描述的主题的一个方面可以体现在包括在控制台上接收实体标识符作为输入并呈现总结的视图界面的动作的方法中。为了初始化该界面,需要实体和特定在线服务的名称。呈现总结的视图界面还需要显示多个组件,包括用户计数时间线视图、使用模式马赛克视图、地理位置视图和动态视图,如下所述。
通常,本说明书中描述的主题的一个创新方面可以体现在包括一个或多个计算机的系统中,所述计算机包括一个或多个处理器和一个或多个存储器设备,所述一个或多个计算机被配置为:识别与攻击相关联的资源;提供显示与攻击资源相关的信息的攻击资源仪表板用户界面,其中,所述用户界面呈现:对特定资源在单个在线服务处的行为与该资源在其他在线服务处的行为进行比较以及对该资源的行为与其他资源的行为进行比较的资源信息。
前述和其他实施方案可以各自任选地单独或组合包括一个或多个以下特征。特别地,一个实施例组合地包括所有以下特征。所述资源包括IP地址、电话号码、电子邮件域或MAC地址。所述攻击资源仪表板用户界面提供对资源如何与特定在线服务交互进行总结的显示。所述显示包括时间线视图,所述时间线视图示出包括新用户群体的大小和恶意用户群体的大小的用户群体的大小。所述显示包括马赛克视图,所述马赛克视图示出一组资源的使用模式。所述马赛克视图使用多个单元格来提供一组资源的显示,每个单独的单元格表示单独的资源,其中,每个单元格的视觉表示指示与对应的资源相关联的多个独特用户。所述马赛克的相邻单元格表示相邻的资源或逻辑相关的资源。所述显示包括地理位置视图,所述地理位置视图示出一个或多个资源的位置以及与所述一个或多个资源相关联的用户的位置。资源的位置与指示所述资源的起源的特定地图位置相关联。所述资源的位置具有基于与该资源相关联的用户的中值位置计算的中心。所述中心被计算为最接近来自与所述资源相关联的事件日志的GPS读数的中值的GPS位置。所述中心根据以下被计算:其中,(Clatitude,Clongitude)是所述资源的位置中心的纬度坐标和经度坐标,M是来自与所述资源相关联的事件日志的GPS读数的中值,S是来自与所述资源相关联的事件日志的所有GPS读数的集合。所述资源的位置具有基于用户日志计算的大小,并且其中,所述大小指示与所述资源相关联的估计位置方差。所述显示包括动态视图,所述动态视图量化与所述特定资源相关联的用户群体的动态程度以及该值如何与在其他在线服务处的其他资源进行比较。所述动态视图指示特定在线服务是否可能受到攻击。
通常,本说明书中描述的主题的一个创新方面可以体现在包括以下动作的方法中:通过分析获得的客户端数据来识别恶意资源;并且通过攻击资源仪表板来提供多个用户界面视图,所述仪表板提供特定攻击资源相对于特定在线服务且与多个聚合在线服务相比较的可视化。此方面的其他实施例包括相应计算机系统、设备和在一个或多个计算机存储设备上记录的计算机程序,每个被配置为执行方法的动作。对于一个或多个要配置为执行特定操作或动作的计算机的系统,意味着系统已安装软件、固件、硬件或它们的组合,其在操作中会导致系统执行操作或动作。对于一个或多个要配置为执行特定操作或动作的计算机程序,意味着一个或多个程序包括在数据处理设备执行时导致设备执行操作或动作的指令。
通常,本说明书中描述的主题的一个创新方面可以体现在包括以下动作的方法中:接收来自客户端用户的查看攻击资源仪表板的请求;提供所述攻击资源仪表板以用于在客户端用户设备上呈现;接收特定攻击资源的用户选择;并且提供所述攻击资源的一个或多个用户界面可视化。此方面的其他实施例包括相应计算机系统、设备和在一个或多个计算机存储设备上记录的计算机程序,每个被配置为执行方法的动作。对于一个或多个要配置为执行特定操作或动作的计算机的系统,意味着系统已安装软件、固件、硬件或它们的组合,其在操作中会导致系统执行操作或动作。对于一个或多个要配置为执行特定操作或动作的计算机程序,意味着一个或多个程序包括在数据处理设备执行时导致设备执行操作或动作的指令。
本说明书中描述的主题可以在特定实施例中实现,以便实现以下优点中的一个或多个。系统获得度量的综合集合来描述每个攻击资源元素。这提供了更丰富的特征集合,以确定与相应资源相关联的事件是否合法。许多传统解决方案使用单个分值以天真的方式描述攻击资源。但是,这样的单个分值不能用于区分不同的攻击情况,例如,僵尸网络IP地址(有时由攻击者控制)或攻击者利用的代理IP地址(其背后的某些用户是坏的)。在这两种情况下,传统系统提供的单一分值可能相同。
该系统从一个在线服务到许多其他在线服务在多个维度对攻击资源使用进行比较作为聚合,使得提供上下文以确定资源的合法性。例如,如果IP地址与一个在线服务处的许多新用户注册相关联,但是是其他在线服务很少使用IP地址,那么即使之前没有与此IP地址相关的错误活动,此类事件也更加可疑。
本说明书的主题的一个或多个实施例的细节在下面的附图和描述中给出。主题的其他特征、方面和优点将从描述、附图和权利要求中显而易见。
附图说明
图1是示出包括用户分析引擎的系统的示意图。
图2示出提供用户计数时间线视图的示例用户界面。
图3示出提供使用模式马赛克视图的示例用户界面。
图4示出提供使用模式马赛克视图的示例用户界面。
图5示出提供移动设备IP范围的使用模式马赛克视图的示例用户界面。
图6示出提供地理位置视图的示例用户界面。
图7示出动态视图的示例用户界面。
图8是示出使用攻击资源UI仪表板来可视化攻击资源的示例工作流程的流程图。
相似的附图标号和指定在各个附图中指示相似的元件。
具体实施方式
该说明书描述了与用于显示关于由欺诈账户使用的攻击资源的信息的用户界面相关的技术。攻击资源(其在本说明书中被称为实体)可能是IP地址、MAC地址、电话号码、电子邮件地址、主机名或上述任何集合(例如,IP地址前缀)。更具体地,用户界面呈现实体如何与在线服务交互、其活动是欺诈或恶意的程度、以及如何与其在其他在线服务处的活动进行比较以及与相同类型的其他实体进行比较的概括视图。
检测攻击资源
图1是示出包括用户分析引擎102的系统100的示意图。图1示出了后端分析系统组件与前端用户界面(UI)组件之间的交互。系统通过API馈送或批量日志上载从客户端服务获取用户活动数据(102)。然后,系统使用用户分析引擎来处理数据(104)。用户分析引擎可以批量或实时处理数据以检测欺诈用户市场活动(106)。
检测到的欺诈用户及其市场活动信息通过API被发回到客户端服务(108)。另外,还存储欺诈用户市场活动信息(110)。欺诈用户市场活动信息可以存储在一个或多个存储系统中,例如SQL数据库、云存储系统(例如,AWS S3)、索引和搜索系统(例如,弹性搜索)、NoSQL系统(例如,Hbase)或传统的文件系统。攻击资源分析模块获取来自客户端服务的用户活动数据(其可以指示与特定用户活动相关联的资源)以及从用户分析引擎导出的计算出的攻击市场活动数据二者,以执行攻击资源分析112。导出的攻击资源统计和比较结果将存储在相同的一个或多个存储系统110中。客户端可以例如通过登录到提供(多个)恶意用户市场活动114或者攻击资源显示仪表板116(其从存储系统读取信息且将它显示给客户端)的UI表示的应用程序或网络位置来访问存储的信息110。
分析引擎可以使用不同的技术来检测形成攻击市场活动的恶意、可疑和/或欺诈账号。在一些实现中,攻击市场活动的检测由大数据分析框架提供,以便尽早检测恶意账号和被盗账号,而不需要依赖历史或标记的训练数据。该框架基于大图分析和机器学习技术。它首先构造一组超图来表示用户活动,并执行大规模图分析,以确定具有高可信度的恶意账号和活动的子集。然后将该组检测到的高可信度恶意账号和活动用作自产生的训练数据,以馈入机器学习组件以导出一组风险模型或一组分类器。最后,这些新产生的风险模型或分类器可用于检测未检测到的用户账号或账号活动的剩余集合。
系统的输入包括可从服务中获得的网络日志。示例输入可以包括登录和注册日志。其他示例输入可以包括电子商务交易日志、在线采购日志、评论或评论发布日志,例如,通常可用于社交网站。通过大数据分析,系统自动产生一组恶意的假账户、被盗的账号和恶意账号活动,例如垃圾邮件,网络钓鱼,欺诈交易或付款。此外,系统还可以产生一组风险模型或分类器,以实时或通过定期离线批量分析来检测未来事件或用户账号。
分析引擎执行以下三种类型的分析,以执行恶意账号和被盗的用户账号的早期检测:主机属性分析,图形分析和基于机器学习的检测。
主机属性分析模块把事件日志作为输入,并自动产生IP地址属性,其可以导致都来自输入事件日志的僵尸网络主机、攻击代理和专用攻击主机的检测。
图分析模块构造并分析几种类型的活动图。用户和事件之间的连接结构的全局视图对于在孤立地检查每个用户或事件时难以识别隐蔽攻击模式的早期检测非常重要。
基于主机属性分析和图形分析结果,分析引擎选择活动特征并产生攻击模型,这些模型可以使用机器学习框架进行实时检测。机器学习框架产生一组风险模型和分类器,其可用于检测未检测到的账号或活动,以及未来的账号或事件。最后,基于特定的攻击方法和规模,分析引擎可以进一步产生不同的信号和签名以用于实时检测。例如,对于内容垃圾邮件攻击,引擎可以产生基于内容的签名以及用户行为模式以捕获攻击市场活动。对于欺诈交易攻击,引擎可以利用每个账号的检测置信度分数来产生用于阻止其未来交易的可疑账号列表。
图分析过程允许系统导出在用户活动和各种看似不相关事件之间的相关性的全局视图,使得系统可以检测到可能在孤立地检查它时难以识别的隐蔽攻击模式。
该系统构造不同类型的活动图,在本说明书中称为超图。超图上的每个节点对应于从一组相关事件或一组相关用户计算的特征简档,其中边缘属性指定它们的相似性或相关关系。
通过图形分析,检测引擎可以输出恶意账号组,而不需要由客户提供的标记的数据。标记的数据通常很难获得,特别是在新的、看不见的攻击中。通过图形分析,系统可以使用恶意账号或事件的初始列表进行自我引导。此步骤还具有自动捕获新攻击市场活动的能力。然后可以将该恶意账号或事件的初始列表用作输入以馈送到机器学习系统中以用于检测更多恶意账号或更多恶意事件。
用于从超图中检测恶意账号或事件的初始列表的一种技术是识别可疑子图组件。在构造的超图上,系统应用社区检测技术并且例如通过将可疑节点的百分比与预设阈值进行比较来识别其中组件中大量的图节点单独被标记为可疑的可疑的子图组件。在这种情况下,来自可疑子图组件的所有节点都是可疑的,即使在孤立地检查它们时它们中的一些可能看起来不可疑。因此,系统可以输出与这些可疑子图组件相对应的所有账号或事件作为进一步检查的候选者。
上述图分析过程可以提供恶意事件和恶意(或被盗的)账号的子集,而无需使用历史标记的数据。这些已经检测到的事件和账号可以用作坏训练数据,即恶意账号或事件的示例,以检测尚未分类的用户和事件的剩余集合。可以使用机器学习方法完成该附加检测步骤。
用于从超图检测恶意账号或事件的初始列表的另一种技术是为每个节点分配可疑分数,然后应用一种或多种图扩散技术。图扩散过程将基于具有预先分配的分数的节点集,根据图结构来推断每个图节点的可疑分数。在执行图扩散之后,系统可以选择具有高可疑分数的节点集合作为用于进一步检查的候选者。
一旦产生训练账号或事件,它们就可以用于派生一组丰富特征。每个账号或事件都可以表示为特征向量,可以将其输入机器学习框架以产生风险模型或分类器以进行检测。示例特征包括账号登录计数、账号生存期、账号使用的IP地址数。还可以有更多其他合适的派生特征。
示例机器学习方法(例如支持向量机(SVM)或随机森林分类)可用于导出基于输入特征向量的分类器。导出的分类器可以用于应用于从测试数据构造以用于分类的特征向量。分类器将输出一组被分类为坏的特征向量。相应的用户账号和事件与从图形分析中检测到的一组用户账号和事件相组合,将输出为恶意(或被盗的)账号和恶意事件。
在一些其他实现中,攻击市场活动的检测使用用户活动日志来导出自定义的IP地址属性。特别是,用户可预测的IP地址或可预测的IP地址范围信息用于检测恶意账号,被盗的账号和恶意活动。
IP地址分析模块检查信号的综合集合,包括路由信息、用户群体分布、日模式以及在IP地址的相同集合或相关集合上的相邻用户行为。
用户可预测的IP地址(或范围)是用户将来可能以高概率使用的IP地址(或范围)。例如,静态家庭IP地址是用户可预测的IP地址。有时,可预测的IP地址也可以是一个范围。例如,如果家庭IP处于动态IP范围内。系统还可以分析一起登录在同一IP上的用户。这为我们提供了关于该IP地址是否可能是坏的信号(例如,僵尸网络主机或专用的坏IP)。
直观地,当多个用户使用相同的IP地址登录时,如果该IP地址是所有这些用户的可预测IP地址,则可能这是一个好的IP地址/代理。如果此IP地址不是用于这些用户中任何一个的可预测IP地址,则此IP有更高的机会成为恶意代理。
可以在不使用训练数据的情况下量化IP地址的可疑率。为此,系统利用bot机器经常租用并且它们对于攻击者是昂贵资源的事实。因此,攻击者通常使用一台bot机器来进行多个事件。要捕获此行为,系统可以查看事件的定时。系统可以分析的特征的一些示例类别包括过去几天、几周和几个月的事件的日模式(可重复性);过去几天、几周和几个月的事件计数的变化;以及不同类型事件的不均匀分布。例如,如果IP地址有许多新的用户注册事件,但很少有登录事件,则这是一个可疑的指标。
此外,系统可以分析IP/IP范围内的组用户行为。分析了一组相关用户的行为而不是单个用户行为,因为群体行为更加健壮并且提供更强的信号:个体用户具有不同的行为是正常的,因此基于异常值的异常检测方法通常会产生高假阳性率或低召回率。
相反,相关用户组的行为提供了更可靠的信号。对于一组合法用户,即使他们使用相同的代理IP,或者具有相似的行为(例如,购买产品),但是他们的大多数其他特征也会有所不同。例如,他们会有不同的注册时间、登录计数、动作等。因此,他们的其他特征的分布通常遵循总体群体分布。但是,对于攻击者创建的用户,他们的行为都是由相同的攻击者远程控制的,因此他们的动作类似,他们会放大彼此的信号。
在一些其他实施方式中,攻击市场活动的检测使用组分析方法,其将一组账号或事件组合在一起以进行分析以确定它们的相似性和可疑程度。这些组可用于确定所涉及的一组账号或事件是否可能来自相同类型的攻击,或者是否可能由同一组攻击者控制。一旦使用某些手段(例如,由客户报告或由第三方通知)检测到组中的一个或几个恶意账户(或事件),组也可用于检测大批恶意账户或事件。
组分析技术基于组成员之间的相似性分析以及与账户和事件的全局简档的比较。系统的输入包括可从所有服务轻松获得的网络日志或事件日志。示例输入包括登录和注册日志。其他示例输入包括电子商务交易日志,在线购买日志,评论或评论发布日志(例如,通常可用于社交网站),用户的网页导航和动作日志以及资产访问日志。
组分析系统获取用户事件日志的集合或通过实时馈送接收用户事件。组分析系统使用来自用户事件日志/订阅源的数据来确定用户属性。组分析系统使用用户属性来产生一个或多个组。组分析系统确定产生的组是否可疑并确定是否存在使用可疑组的可疑账号或事件。
为了识别可疑组,系统还计算整个可用用户群体或整个事件集合的全局简档。为此,系统将所有用户(或所有事件)组合在一起作为一个大组,并使用类似的计算组简档的方法来计算全局简档。全局简档捕获整体群体的共同行为。它用作比较的基线,以确定特定组简档是否可疑。
为了将组简档与全局简档(作为基线)进行比较,系统会逐个特征比较两个简档特征。对于每个特征,系统计算当前特征直方图与全局特征直方图相比是否可疑。
一旦系统检测到可疑组,系统就可以确定与可疑组相关联的恶意账号或事件。在一些实现中,系统将检测到的组中的所有用户或事件输出为恶意账号或事件。
用户计数时间线视图
在一些实现中,系统提供选择性地呈现用户计数时间线视图的用户界面。图2示出了提供用户计数时间线视图200的示例用户界面。用户计数时间线视图200显示每天与该实体相关联的独特用户账户的数量。每天显示三个数字:独特用户账号202的总数,独特新注册用户账号204的数量,以及例如由用户分析引擎检测到的独特恶意用户账号206的数量。时间线视图包括两个部分,一个用于指定的在线服务208(顶部时间线),另一个部分用于来自所有其他在线服务210(底部时间线)的数据的聚合,不包括特定的指定在线服务。在这两个部分中,X轴是时间,Y轴是用户计数。
用户计数时间线视图200提供关于实体的使用模式随时间的见解,诸如预期的每日用户数和工作日与周末模式。新注册用户数量的激增可能表示恶意活动(例如虚假用户账号的大量注册),而检测到的恶意账号数量的增加表示对在线服务的攻击。例如,如顶部时间线所示,在3月4日至3月5日左右示出了服务的“坏用户计数”(检测到的恶意用户账号)中的尖峰212,其表示可能的攻击。
用法模式马赛克视图
在一些实现中,系统提供选择性地呈现使用模式马赛克视图的用户界面。图3示出了提供使用模式马赛克视图300的示例用户界面。使用模式马赛克视图300显示逻辑上分组在一起的一组实体的使用模式,例如IP地址子网,电话号码前缀或电子邮件域。在图3所示的示例中,使用模式马赛克视图300表示/24IP子网302中的256个IP地址。每个单元格的阴影表示在该IP地址上发现活动的用户的数量。每个单元格的阴影或颜色越深,IP地址就越活跃。类似于用户计数时间线视图200,有两个部分-一个用于特定的指定在线服务304(顶部),另一个部分是来自所有其他在线服务306(底部)的数据的集合。因此,对于特定在线服务,与聚合其他在线服务的全局数据相比,系统可以呈现该指定在线服务的时间线。
使用模式马赛克视图300为两个主要目的提供对在线服务的有价值的见解。第一个目的胜过检测欺诈用户账号:该信息可用于增长或获取与相关联实体相关的合法用户。例如,如果来自指定在线服务304的马赛克大部分是空的,而来自聚合数据306的马赛克被打包有许多暗箱,则表示指定在线服务的利用率不足并且暗示在线服务可能仍然能够吸引与相应实体相关联的更大合法用户集合。
在图3中示出了利用不足的示例。如图3所示,在全局中,在该示例IP范围306(底部)中存在许多活动用户。然而,指定的在线服务304(顶部)不与它们中的大多数进行交互,因此在线服务仍然具有从相同IP范围增长用户的大空间。
使用模式马赛克视图的第二个目的是检测欺诈用户。例如,如果指定的在线服务(顶部)在某些单元格上显示重度活动,例如,一个单元格具有1000个独特用户的活动,而聚合数据(底部)中的相同单元格几乎没有活动,则高度可疑以及与在线服务上的繁重活动模式相关的欺诈用户活动的指示。这是因为一个在线服务几乎不可能在一个实体(例如,单个IP)上具有1000个独特用户,而同一实体(例如,相同的IP)或附近的相关实体(例如,相应的IP子网)从未被任何其他在线服务使用。该实体很可能(被攻击者使用,例如,作为代理IP。图4的马赛克视图示出了攻击情形。
图4示出了提供使用模式马赛克视图400的示例用户界面。为了帮助轻松地检查数据点,在单个单元格的鼠标悬停时,替换文本或悬浮文本402可以显示与该单元格对应的实体名称(例如,IP地址)以及在该实体上发现活动的确切用户数。例如,如图4所示,用户已经在指定的在线服务部分404中选择了特定单元格406或悬浮在特定单元406上。该单元格的文本指示该单元格的IP地址并且它具有71个用户。
对于某些类型的资源,用户模式马赛克视图可用于帮助以更细粒度的方式推断相关实体的性质或特定类别。例如,如果资源是特定IP地址,则可以使用特定IP范围的马赛克视图来推断相应的IP范围类型,例如蜂窝移动范围或数据中心范围。所有移动蜂窝设备使用的IP范围往往被非常密集地利用,因为它们通常由大量移动设备共享。图5示出了移动设备使用的IP地址的示例用户模式马赛克视图500。用户模式马赛克视图500示出了IP范围的大量使用。
地理位置视图
在一些实现中,系统提供选择性地呈现地理位置视图的用户界面。地理位置视图显示实体的位置。除了从第三方提供商处获取的针对适用实体类型(如IP地址或电话前缀)(在下面的地图中标记为蓝色框)的地理位置数据之外,用户分析引擎还可以根据被发送到系统的事件日志使用由在线服务提供的GPS信息来计算实体的地理位置(在下面的地图中标记为黄色圆圈)。
由于不同用户账号报告的GPS读数可能不同,因此系统根据日志数据来计算报告的GPS位置范围,而不是显示所有单独的GPS读数。导出的GPS位置范围还可以由用户分析引擎进一步用于攻击检测,或者作为遥测信号发回到客户端以用作其攻击检测系统的输入。
地理位置视图-使用
图6示出了提供地理位置视图600的示例用户界面。地理位置视图600包括地图表示602以及指示实体位置的一个或多个绘制的圆圈。系统使用不同大小的圆圈在地图上绘制GPS位置。圆圈所覆盖的区域表示与相应实体相关联的最可能的地理位置。圆圈大小表示可能的地理位置的估计区域大小。
地理位置视图可以帮助推断已经使用或将使用相应实体的用户账号的移动性行为。例如,如果实体是IP地址并且在地理位置视图600上的圆圈(例如,圆圈602)大小非常小,则意味着该实体具有非常精确的位置,例如,在一个建筑物中由特定企业公司使用的IP。如果圆圈(例如圆圈604)具有大半径,则意味着源自该IP地址的用户账号的地理位置不稳定或具有大变化。这可能表示IP范围是蜂窝范围、VPN、代理或用于卫星通信。如果来自第三方数据提供者的位置与系统根据GPS数据计算的位置不匹配,则表明第三方数据可能已过时或错误,这针对地理位置数据可能经常发生。
除IP地址之外,圆圈的大小也可以深入了解其他类型实体的性质。例如,如果实体是电子邮件域,并且地理位置视图上的圆圈大小很小,则电子邮件域很可能属于与其用户密切相关的组织,例如大学或本地企业。
地理位置视图-显示位置算法
为了在地理位置视图中计算地图上的圆圈的显示位置,系统将其中心设置为最接近来自与指定实体相关联的在线服务提供的所有事件日志的GPS读数的中值的GPS读数。这确保了圆圈中心对应于实际位置,而不是在无人居住的岛屿上或在开阔的海洋上,这当一个人简单地取中值时会发生。
用于计算地图上的圆圈的显示位置的示例技术如下:令M表示来自与指定实体相关联的所有事件日志的GPS读数的中值,其中M=(Mlatitude,Mlongitude)。S是来自与指定实体相关联的事件日志的所有GPS读数的集合,其中S={s1,s2,...,sn}。令dist(x,y)表示从点x到y的距离。然后可以通过以下方式计算圆圈的中心C的纬度和经度:
例如,可以通过以下公式计算圆圈的半径。它首先计算从圆圈中心到与指定IP相关联的所有GPS读数的距离。然后将圆圈半径设置为该距离的90%。
直径=percentile(0.9,[dist(C,s1),dist(C,s2),...,dist(C,sn)])
动态视图
在一些实现中,系统提供选择性地呈现动态视图的用户界面。图7示出了动态视图700的示例用户界面。动态视图700显示量化与实体集合(例如IP地址子网)相关联的用户群的“动态性”的度量。特别地,相对于全局值显示度量,即,使用来自所有其他在线服务的聚合数据计算该度量。这提供特定在线服务与其他在线服务相比查看用户账号的相同群体如何与其交互的简单方法。
动态视图700包括多个部分。用户群体部分702示出了与实体相关联的用户群体的大小。新用户比率部分704示出了与该实体相关联的新用户的百分比。切换时间部分706示出了用户账号与实体相关联的平均时间量(例如,用户账号多久切换到不同IP地址)。在一些实现中,动态视图可以包括其他部分,包括例如说明用户与实体相关联的平均时间长度的最小时间部分和说明在与实体相关联的用户之中的用户与其相关联的(相同类型的)其他实体的平均数量的实体计数部分。
与其他在线服务相比,该系统使用诸如颜色之类的可视指示符来指示该实体在特定在线服务处多大动态。视觉指示器还用于警告客户可疑活动。以用户群体部分702为例。令Pmin和Pmax表示在所有其他在线服务处与该实体相关联的最小和最大用户群体。例如,如果0≤P<0.75*Pmax,则系统可以在动态视图中显示绿色708以指示一切看起来正常。范围0.75*Pmax≤P<1.2*Pmax是橙色710以显示警报,并且等于或大于1.2*Pmax的一切为红色712以显示恶意活动的可能性的强烈指示。
异常高的新用户比率可能表明指定的在线服务正在进行大规模注册攻击的可能性很高,而异常高的切换时间可能表明正在使用代理的可能性很高-这是攻击者用来隐藏他们的业务的真实起源的常用策略。
攻击资源UI仪表板工作流程
图8是示出使用攻击资源UI仪表板可视化攻击资源的示例工作流程800的流程图。在客户端登录到用户分析UI的主仪表板(802)之后,客户端可以直接(804)或间接经由包含指向攻击资源仪表板的链接的其他仪表板(例如通过市场活动仪表板)(806)导航到攻击资源仪表板资源仪表板。客户端可以从供给资源仪表板选择攻击资源类型(808)并进一步输入实体名称(810)以在一个或多个页面中拉出不同的视图并使它们可视化(812)。在查看一个输入资源实体的细节之后,客户端可以选择另一个资源类型或输入另一个实体名称(814)并且再次可视化不同的视图,接着重复的工作流程。
在本说明书中,术语“引擎”将广泛用于指可以执行一个或多个特定的功能的基于软件的系统或子系统。通常,引擎将被实现为一个或多个软件模块或组件,安装在一个或多个位置的一个或多个计算机上。在一些情况中,一个或多个计算机将专用于特定的引擎;在其他情况中,可以在同一台计算机或计算机上安装和运行多个引擎。
在本说明书中,术语“数据库”广泛用于指任何数据集合:数据不需要以任何特定的方式结构,也无需结构化,并且可以存储在一个或多个位置的存储设备上。
本说明书中描述的主题和功能操作的实施例可以在数字电子电路中实现,具体体现在计算机软件或固件、计算机硬件中,包括在本说明书中公开的结构及其结构等价物中,或在其中一个或多个组合中。本说明书中描述的主题的实施例可以被实现为一个或多个计算机程序,即,计算机程序指令的一个或多个模块,其编码在有形的非-临时存储介质上用于通过数据处理设备执行,或用于控制数据处理设备的操作。计算机存储介质可以是机器可读的存储设备、机器可读的存储基板、随机或串行存取存储器设备,或者它们的一个或多个的组合。可替换地或者另外,程序指令可以被编码在一个人为地-产生的传播信号(如机器产生的电子、光学或电磁信号)上,该信号被产生以编码信息以便传输到适当的接收器设备,以便由数据处理设备执行。
术语“数据处理设备”是指数据处理硬件并且包含用于处理数据的各种设备、装置和机器,包括例如可编程处理器、计算机或多个处理器或计算机等。该设备还可以是或进一步包括专用逻辑电路,例如,FPGA(现场可编程门阵列)或ASIC(专用集成电路)。除了硬件之外,该设备还可以包括为计算机程序创建执行环境的代码,例如,构成处理器固件、协议栈、数据库管理系统、操作系统或其中一个或多个组合的代码。
计算机程序(也可以称为程序、软件、软件应用、模块、软件模块、脚本或代码)可用任何形式的编程语言编写,包括编译或解释语言,或声明性或程序性语言;并且它可以以任何形式部署,包括作为单独程序或作为模块、组件、子例程或其他适合在计算环境中使用的单元。程序可能(但不需要)对应于文件系统中的文件。程序可以存储在包含其他程序或数据(例如,在标记语言文档中存储的一个或多个脚本)的文件的一部分中,在专用于讨论中的该程序的单个文件中或在多个协调文件(例如,存储一个或多个模块、子程序或者代码的一部分的文件)中。计算机程序可以部署在一台计算机上,或在多台计算机上(其位于一个站点或者分布在多个站点上并且通过数据通信网络互连)执行。
本说明书中描述的过程和逻辑流可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,所述一个或多个计算机程序通过对输入数据进行操作和产生输出来执行功能。过程和逻辑流也可以通过专用逻辑电路(例如FPGA或者ASIC)或通过专用逻辑电路和一个或多个编程计算机的组合来执行。
适用于执行计算机程序的计算机可以基于通用微处理器或专用微处理器或两者或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器或者随机存取存储器或者二者接收指令和数据。计算机的基本元素是用于进行或执行指令的中心处理单元以及用于存储指令和数据的一个或多个存储设备。中央处理单元和存储器可以由专用逻辑电路补充或者合并到其中。通常,计算机还将包括用于存储数据的一个或者多个大规模存储设备(例如磁盘、磁光盘或者光盘)或者可操作地耦合以从其接收数据或者将数据转移到其或者二者。但是,计算机不需要这样的设备。此外,计算机可以嵌入到其他设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏控制台、全球定位系统(GPS)接收器或便携式存储设备,例如,通用串行总线(USB)闪存驱动器等等。
适用于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、介质和存储器设备,例如包括示例性半导体存储器设备(例如,EPROM、EEPROM和闪存设备);磁盘,例如,内部硬盘或可移动磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。
本说明书中描述的各种系统或其中的一部分的控制可在计算机程序产品中实现,该计算机程序产品包括存储在一个或多个非临时机器可读存储介质上的并且在一个或多个处理设备上可执行的指令。本说明书中描述的系统或其中的一部分可以分别实现为设备、方法或电子系统,其可以包括一个或多个处理设备和存储器,该存储器用于存储可执行指令以执行本说明书中描述的操作。
为了提供与用户的交互,本说明书中描述的主题的实施例可实现在具有用于向用户显示信息的显示设备(例如CRT(阴极射线管)或LCD(液晶显示器)监视器)和键盘和指向设备(例如,鼠标或轨迹球,用户可以通过它向计算机提供输入)的计算机上实现。其他类型的设备也可用于提供与用户的交互;例如,向用户提供的反馈可以是任何形式的感官反馈,例如视觉反馈、听觉反馈或触觉反馈;可以以任何形式接收的来自用户的输入,包括声音、语音或触觉输入。此外,计算机可以通过向由用户使用的设备发送文档和从该设备接收文档来与用户进行交互;例如,通过响应从网页浏览器收到的请求而将网页发送到用户设备上的网页浏览器。
本说明书中描述的主题的实施例可以在计算系统中实现,该计算系统包括例如作为数据服务器的后端组件或者包括中间组件(例如应用服务器)或者包括前端组件(例如具有图形用户界面和网页浏览器的客户端计算机,用户可以通过该网页浏览器与本说明书中描述的主题的实现交互)或者一个或多个这种后端组件、中间组件或者前端组件的任意组合。系统的组件可以通过任何形式或介质的数字数据通信(例如通信网络)相互连接。通信网络的示例包括局域网(LAN)和广域网(WAN),例如因特网。
计算机系统可以包括客户端和服务器。客户端和服务器通常彼此远离并且通常通过通信网络进行交互。客户端和服务器之间的关系凭借在相应的计算机上运行的并且具有彼此的客户端-服务器关系的计算机程序产生。在一些实施例中,服务器将数据(例如,HTML页)传输到用户设备,例如,用于向与用户设备(充当客户端)交互的用户显示数据,并从与用户设备接收用户输入。在用户设备处产生的数据(例如,用户交互的结果)可以从服务器处的用户设备接收。
虽然本说明书包含许多特定的实现细节,但是这些不应被理解为对任何发明的范围的限制,也不应解释为可能被要求的范围,而是作为特定于特定发明具体实施例的特征的描述。在独立的实施例的背景下在本说明书中所描述的某些特征也可以组合地实现在单个实施例中。相反,在单个实施例的背景下所描述的各种特征也可以分别在多个实施例中或在任何合适的子组合中实现。此外,虽然可以将上述特征描述为用在某些组合中,甚至最初所要求是这样,但在某些情况下,来自所要求的组合的一个或多个特征可以从组合中切除,而所要求的组合可能涉及子组合或者子组合的变化。
同样,虽然在附图中以特定顺序描述操作,但不应理解为要求以显示的特定顺序或按先后顺序执行此类操作,或执行所有所示出的操作,以取得理想的结果。在一些情况下,多任务和并行处理可能是有利的。此外,在上述实施例中的各种系统模块和组件的分离不应被理解为需要在所有实施例中进行这种分离,应该理解,所描述的程序组件和系统可以通常是集成在单一软件产品中或封装到多个软件产品中。
已经描述了主题的特定实施例。其他实施例在下列权利要求的范围内。例如,在权利要求中记载的操作可以以不同的顺序执行,并且仍能取得理想的结果。作为示例,附图中所描述的过程不一定要求所显示的特定的顺序或先后顺序,才能取得理想的结果。在一些情况下,多任务和并行处理可能是有利的。
Claims (17)
1.一种系统,包括:
包括一个或多个处理器和一个或多个存储器设备的一个或多个计算机,所述一个或多个计算机被配置为:
识别与攻击相关联的资源;并且
提供显示与攻击资源相关的信息的攻击资源仪表板用户界面,其中,所述用户界面呈现:对特定资源在单个在线服务处的行为与该资源在其他在线服务处的行为进行比较以及对该资源的行为与其他资源的行为进行比较的资源信息。
2.根据权利要求1所述的系统,其中,所述资源包括IP地址、电话号码、电子邮件域或MAC地址。
3.根据权利要求1所述的系统,其中,所述攻击资源仪表板用户界面提供对资源如何与特定在线服务交互进行总结的显示。
4.根据权利要求3所述的系统,其中,所述显示包括时间线视图,所述时间线视图示出包括新用户群体的大小和恶意用户群体的大小的用户群体的大小。
5.根据权利要求3所述的系统,其中,所述显示包括马赛克视图,所述马赛克视图示出一组资源的使用模式。
6.根据权利要求5所述的系统,其中,所述马赛克视图使用多个单元格来提供一组资源的显示,每个单独的单元格表示单独的资源,其中,每个单元格的视觉表示指示与对应的资源相关联的多个独特用户。
7.根据权利要求6所述的系统,其中,所述马赛克的相邻单元格表示相邻的资源或逻辑相关的资源。
8.根据权利要求3所述的系统,其中,所述显示包括地理位置视图,所述地理位置视图示出一个或多个资源的位置以及与所述一个或多个资源相关联的用户的位置。
9.根据权利要求8所述的系统,其中,资源的位置与指示该资源的起源的特定地图位置相关联。
10.根据权利要求9所述的系统,其中,所述资源的位置具有基于与该资源相关联的用户的中值位置计算的中心。
11.根据权利要求10所述的系统,其中,所述中心被计算为最接近来自与所述资源相关联的事件日志的GPS读数的中值的GPS位置。
12.根据权利要求11所述的系统,其中,所述中心根据以下被计算:
其中,(Clatitude,Clongitude)是用于所述资源的位置中心的纬度坐标和经度坐标,M是来自与所述资源相关联的事件日志的GPS读数的中值,S是来自与所述资源相关联的事件日志的所有GPS读数的集合。
13.根据权利要求9所述的系统,其中,所述资源的位置具有基于用户日志计算的大小,并且其中,所述大小指示与所述资源相关联的估计位置方差。
14.根据权利要求3所述的系统,其中,所述显示包括动态视图,所述动态视图量化与所述特定资源相关联的用户群体的动态程度以及该值如何与其他在线服务处的其他资源进行比较。
15.根据权利要求13所述的系统,其中,所述动态视图指示特定在线服务是否可能受到攻击。
16.一种方法,包括:
通过分析获得的客户端数据来识别恶意资源;并且
通过攻击资源仪表板来提供多个用户界面视图,所述攻击资源仪表板提供特定攻击资源相对于特定在线服务且与多个聚合在线服务相比较的可视化。
17.一种方法,包括:
接收来自客户端用户的查看攻击资源仪表板的请求;
提供所述攻击资源仪表板以用于在客户端用户设备上呈现;
接收对特定的攻击资源的用户选择;并且
提供所述攻击资源的一个或多个用户界面可视化。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201662312365P | 2016-03-23 | 2016-03-23 | |
| US62/312,365 | 2016-03-23 | ||
| PCT/US2017/023861 WO2017165677A1 (en) | 2016-03-23 | 2017-03-23 | User interface for displaying and comparing attack telemetry resources |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109313541A true CN109313541A (zh) | 2019-02-05 |
Family
ID=59898362
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780031315.4A Pending CN109313541A (zh) | 2016-03-23 | 2017-03-23 | 用于显示和比较攻击遥测资源的用户界面 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20170279845A1 (zh) |
| CN (1) | CN109313541A (zh) |
| WO (1) | WO2017165677A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10237299B2 (en) * | 2016-09-29 | 2019-03-19 | Camelot Uk Bidco Limited | Browser extension for contemporaneous in-browser tagging and harvesting of internet content |
| WO2020180300A1 (en) * | 2019-03-05 | 2020-09-10 | Mentor Graphics Corporation | Machine learning-based anomaly detections for embedded software applications |
| US10726123B1 (en) | 2019-04-18 | 2020-07-28 | Sas Institute Inc. | Real-time detection and prevention of malicious activity |
| EP4094167A1 (en) | 2020-02-24 | 2022-11-30 | Google LLC | Heterogeneous graph clustering using a pointwise mutual information criterion |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080306985A1 (en) * | 2007-06-11 | 2008-12-11 | Lucid Design Group, Llc | Collecting, sharing, comparing, and displaying resource usage data |
| US7890869B1 (en) * | 2006-06-12 | 2011-02-15 | Redseal Systems, Inc. | Network security visualization methods, apparatus and graphical user interfaces |
| US20110055074A1 (en) * | 2009-09-02 | 2011-03-03 | Yonghui Chen | Visualization for payment card transaction fraud analysis |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| US20130333028A1 (en) * | 2012-06-07 | 2013-12-12 | Proofpoint, Inc. | Dashboards for Displaying Threat Insight Information |
| US20150026027A1 (en) * | 2009-06-12 | 2015-01-22 | Guardian Analytics, Inc. | Fraud detection and analysis |
| US8943588B1 (en) * | 2012-09-20 | 2015-01-27 | Amazon Technologies, Inc. | Detecting unauthorized websites |
| US20150094021A1 (en) * | 2013-09-27 | 2015-04-02 | Verizon Patent And Licensing Inc. | User geo-location pattern analysis |
| US20160007147A1 (en) * | 2014-07-02 | 2016-01-07 | Qualcomm Incorporated | Cell location estimation |
| US9247283B1 (en) * | 2014-10-27 | 2016-01-26 | Cisco Technology, Inc. | Mosaic presentation screen production |
| US20160065594A1 (en) * | 2014-08-29 | 2016-03-03 | Verizon Patent And Licensing Inc. | Intrusion detection platform |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8775434B1 (en) * | 2010-10-19 | 2014-07-08 | Google Inc. | Resource catchment areas |
| US9485617B2 (en) * | 2014-01-14 | 2016-11-01 | Sean Tasdemiroglu | Dynamic location-based mapping system and method |
| US9367872B1 (en) * | 2014-12-22 | 2016-06-14 | Palantir Technologies Inc. | Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures |
| US10560466B2 (en) * | 2015-01-13 | 2020-02-11 | Level 3 Communications, Llc | Vertical threat analytics for DDoS attacks |
-
2017
- 2017-03-23 US US15/467,966 patent/US20170279845A1/en not_active Abandoned
- 2017-03-23 CN CN201780031315.4A patent/CN109313541A/zh active Pending
- 2017-03-23 WO PCT/US2017/023861 patent/WO2017165677A1/en active Application Filing
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7890869B1 (en) * | 2006-06-12 | 2011-02-15 | Redseal Systems, Inc. | Network security visualization methods, apparatus and graphical user interfaces |
| US20080306985A1 (en) * | 2007-06-11 | 2008-12-11 | Lucid Design Group, Llc | Collecting, sharing, comparing, and displaying resource usage data |
| US20150026027A1 (en) * | 2009-06-12 | 2015-01-22 | Guardian Analytics, Inc. | Fraud detection and analysis |
| US20110055074A1 (en) * | 2009-09-02 | 2011-03-03 | Yonghui Chen | Visualization for payment card transaction fraud analysis |
| CN102739647A (zh) * | 2012-05-23 | 2012-10-17 | 国家计算机网络与信息安全管理中心 | 基于高交互蜜罐的网络安全系统及实现方法 |
| US20130333028A1 (en) * | 2012-06-07 | 2013-12-12 | Proofpoint, Inc. | Dashboards for Displaying Threat Insight Information |
| TW201415281A (zh) * | 2012-06-07 | 2014-04-16 | Proofpoint Inc | 用於顯示威脅洞察信息之儀表板 |
| US8943588B1 (en) * | 2012-09-20 | 2015-01-27 | Amazon Technologies, Inc. | Detecting unauthorized websites |
| US20150094021A1 (en) * | 2013-09-27 | 2015-04-02 | Verizon Patent And Licensing Inc. | User geo-location pattern analysis |
| US20160007147A1 (en) * | 2014-07-02 | 2016-01-07 | Qualcomm Incorporated | Cell location estimation |
| US20160065594A1 (en) * | 2014-08-29 | 2016-03-03 | Verizon Patent And Licensing Inc. | Intrusion detection platform |
| US9247283B1 (en) * | 2014-10-27 | 2016-01-26 | Cisco Technology, Inc. | Mosaic presentation screen production |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111726358A (zh) * | 2020-06-18 | 2020-09-29 | 北京优特捷信息技术有限公司 | 攻击路径分析方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170279845A1 (en) | 2017-09-28 |
| WO2017165677A1 (en) | 2017-09-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11750659B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
| US20220124108A1 (en) | System and method for monitoring security attack chains | |
| US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
| Aljawarneh et al. | Anomaly-based intrusion detection system through feature selection analysis and building hybrid efficient model | |
| Wang et al. | GANG: Detecting fraudulent users in online social networks via guilt-by-association on directed graphs | |
| US20190089711A1 (en) | Anonymized persona identifier | |
| Savage et al. | Anomaly detection in online social networks | |
| EP3610402B1 (en) | Novel non-parametric statistical behavioral identification ecosystem for electricity fraud detection | |
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| US9154516B1 (en) | Detecting risky network communications based on evaluation using normal and abnormal behavior profiles | |
| CN109313541A (zh) | 用于显示和比较攻击遥测资源的用户界面 | |
| CN112231570B (zh) | 推荐系统托攻击检测方法、装置、设备及存储介质 | |
| US20210112101A1 (en) | Data set and algorithm validation, bias characterization, and valuation | |
| Wang et al. | Confidence-aware truth estimation in social sensing applications | |
| WO2019161027A1 (en) | System and method for bot detection | |
| KR101706136B1 (ko) | 이상 패턴 분석 방법, 이를 수행하는 이상 패턴 분석 장치 및 이를 저장하는 기록매체 | |
| US20230362200A1 (en) | Dynamic cybersecurity scoring and operational risk reduction assessment | |
| CN111738770B (zh) | 广告异常流量检测方法及装置 | |
| US20230244812A1 (en) | Identifying Sensitive Data Risks in Cloud-Based Enterprise Deployments Based on Graph Analytics | |
| CN109478219B (zh) | 用于显示网络分析的用户界面 | |
| CN111612085A (zh) | 一种对等组中异常点的检测方法及装置 | |
| CN107231383A (zh) | Cc攻击的检测方法及装置 | |
| Kumar et al. | Automatic detection of fake profiles in online social networks | |
| CN113609493A (zh) | 钓鱼网站的识别方法、装置、设备及介质 | |
| JP2023535851A (ja) | プライバシー保護によるデータ処理モデルの取得方法、装置、ターミナル機器及び記憶媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190205 |