CN109389400A - 在用户与银行服务交互期间识别潜在危险设备的系统和方法 - Google Patents

在用户与银行服务交互期间识别潜在危险设备的系统和方法 Download PDF

Info

Publication number
CN109389400A
CN109389400A CN201710979315.9A CN201710979315A CN109389400A CN 109389400 A CN109389400 A CN 109389400A CN 201710979315 A CN201710979315 A CN 201710979315A CN 109389400 A CN109389400 A CN 109389400A
Authority
CN
China
Prior art keywords
user equipment
threat
cluster
equipment
degree
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201710979315.9A
Other languages
English (en)
Inventor
弗拉基米尔·A·斯科沃尔佐夫
叶夫根尼·B·科罗汀斯基
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN109389400A publication Critical patent/CN109389400A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Virology (AREA)
  • Power Engineering (AREA)
  • Development Economics (AREA)
  • Economics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本文公开了用于在用户与银行服务交互期间识别潜在危险设备的系统和方法。当在用户设备和银行服务之间存在交互时,所述技术获取该用户设备的数字指纹。该数字指纹指示该用户设备的至少一个特性。与该用户设备相关联的集群基于该用户设备的该至少一个特性创建。每个集群与相应的威胁程度相关联。响应于基于该一个或多个生成的集群确定该用户设备存在威胁风险,可以阻止该用户设备和该银行服务之间正在进行的交易。

Description

在用户与银行服务交互期间识别潜在危险设备的系统和方法
技术领域
本发明总体涉及计算机安全领域,更具体涉及在用户与银行服务交互期间识别潜在危险设备的系统和方法。
背景技术
目前,银行服务的范围已显著扩大。与银行新的交互可能性以及新的支付、资金转移方法被提供给用户(银行顾客)。许多支付系统、塑料卡和银行服务(银行服务通常被称为远程银行服务)允许用户通过计算设备进行各种交易。网上银行和移动银行可以在不使用塑料卡或银行账户详情的情况下也能进行货币交易。
此外,存在各种保护用户资源免遭第三方访问的机制。当用户使用网上银行作业时,通常会采用诸如双重认证的方法。在浏览器中在银行网站上输入认证数据(例如可能会被第三方获取的登录名和密码)之后,银行在用户的手机上向用户发送包括例如额外的验证码的消息,该验证码需要被输入到专门的栏位中。
然而,应当注意的是,存在很多会利用用户与银行服务交互过程中的薄弱方面的攻击,为了获取用户的资金,黑客进行这些攻击。这样的攻击通常被称为诈骗。因此,例如,借助钓鱼网站,可以获得访问网上银行的登录名和密码。用于移动设备的恶意软件允许黑客在用户没有察觉到交易的确认的情况下,进行交易。
已知使用用户设备的所谓的指纹来保护用户免遭欺诈行为的系统和方法。一般情况下,用户使用相同的设备,每个设备包括银行已知的一组特定软件和属性。如果设备上的软件组发生了变化,或如果改变了设备本身,则很可能发生了诈骗行为。当在设备上执行诈骗行为时,则该设备被认为是危险的。
然而,不同区域中的相同设备使用一组不同的程序、固件和浏览器来访问网上银行。已知的比较设备指纹的系统和方法只能识别一定数量的危险设备,但是不能根据不同的特性(例如设备的使用区域或设备的区域性固件)识别潜在的危险设备,如果在这样的设备的指纹未知(例如制造商的产品线中的新设备),该系统和方法也不能够识别设备,并且该系统和方法也没有利用从事程序开发的公司的专业知识以确保安全性(例如防病毒软件)。
发明内容
因此,本文公开了一种用于确保用户与银行服务的安全交互的系统和方法,更具体地,在用户与银行服务交互期间识别潜在危险设备的系统和方法。
在一个示例性方面,一种用于在用户与银行服务交互期间识别潜在危险设备的方法包括:响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中,所述数字指纹指示所述用户设备的至少一个特性;基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中,每个集群与相应的威胁程度相关联;以及响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
在一个示例性方面,所述方法还包括:获取与威胁风险状态相关的数据,所述威胁风险状态与所述用户设备相关联。
在一个示例性方面,所述方法还包括:计算与所述一个或多个集群中的相应集群相关联的每个威胁程度,其中每个威胁程度指示与威胁风险状态的发生频率成比例的数值。
在一个示例性方面,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:确定所述用户设备与威胁程度超过阈值的至少两个集群相关联。
在一个示例性方面,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:确定生成的集群中的第一集群的第一威胁程度;确定生成的集群中的第二集群的第二威胁程度;以及确定所述第一威胁程度和所述第二威胁程度的平均值超过所述阈值,其中所述第一威胁程度单独地不超过所述阈值。
在一个示例性方面,所述方法还包括:通过所述用户设备的不同特性的集群化,生成所述第一集群和所述第二集群。
在一个示例性方面,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:确定第一威胁程度和相关权重值的乘积与第二威胁程度和相关权重值的乘积的平均值超过所述阈值。
在一个示例性方面,一种用于在用户与银行服务交互期间识别潜在危险设备的系统包括:用于存储数据库的存储设备;和硬件处理器,所述硬件处理器被配置成:响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中所述数字指纹指示所述用户设备的至少一个特性;基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中每个集群与相应的威胁程度相关联;以及响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
在一个示例性方面,一种非暂时性计算机可读介质,包括用于在用户与银行服务交互期间识别潜在危险设备的计算机可执行指令,所述非暂时性计算机可读介质包括用于以下操作的指令:响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中所述数字指纹指示所述用户设备的至少一个特性;基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中每个集群与相应的威胁程度相关联;以及响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述,并且既不旨在标识所有方面的关键的或主要的要素,也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。
附图说明
并入到本说明书中并且构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,并与详细描述一起用于阐述该一个或多个示例性方面的原理和实现方式。
图1是示出根据示例性方面的用于识别潜在危险设备的系统的框图。
图2是示出根据示例性方面的用于识别潜在危险设备的方法的流程图。
图3示出了可以实现本发明的通用计算机系统的示例。
具体实施方式
本文在用于识别潜在危险设备的系统、方法和计算机程序产品的上下文中描述了示例性方面。本领域普通技术人员将意识到以下描述仅是说明性的,并不意图以任何方式限制。对于了解本发明的益处的本领域技术人员而言,其它方面将是容易想到的。现在将详细参考在附图中示出的示例性方面的实现方式。在附图和以下描述中将尽可能地使用相同的附图标记来指代相同或相似的对象。
图1是示出根据示例性方面的用于识别潜在危险设备的系统100的框图。系统100被配置为在在线访问银行服务199期间,识别潜在危险设备190。系统100可以包括安全服务101,该安全服务101具有获取模块110,威胁程度计算模块120和分析模块130。
在本发明的背景下,设备190是在计算设备上实现的软件执行环境。例如,设备190可以包括在计算机上执行的网络浏览器应用程序,该网络浏览器应用程序用于访问由银行服务199提供的网站。在另一示例中,设备190可以包括在被配置为访问银行服务199的移动设备(例如,智能电话,平板电脑)上执行的银行应用程序。
如本文所提及的,潜在危险设备(在本文中也称为威胁风险)是在在线访问银行服务199(即网上银行)期间诈骗概率高于阈值的设备190。例如,系统100可以识别:作为具有根访问的移动设备、智能电话或平板计算机的设备190;作为对于某个区域而言被高频率地侵染的移动设备、智能手机、个人电脑和笔记本电脑的设备190;对于不同区域而言被高频率地侵染的移动设备、智能手机、个人电脑和笔记本电脑的设备190;以及设备190的潜在危险状态和集群的不同组合。
在一个方面,获取模块110被配置为获取设备190的数字指纹(也称为印记)。在一般情况下,指纹包含设备190的特性。例如,设备190的特性可以包括操作系统的标识符(例如版本号、序列号),设备190在该操作系统的控制下运行。在一些方面,与设备相关联的指纹可以指示设备的地理位置(例如,使用设备190的地理位置)或设备190的固件的地区性特性(例如洲/国家/城市)。在一些方面,与设备相关联的指纹可以包括帐户标识符(例如 帐户标识符)。在一些方面,与设备相关联的指纹可以指示关于设备190上执行的软件的状态的信息,例如关于设备190(软件执行环境)是在虚拟机还是仿真器内运行的信息、网络浏览器应用程序版本、安装在设备190的浏览器中的插件、安装在设备190上的易受攻击的应用程序等等。
在一个方面,获取模块110可以被配置为通过(例如在设备190上的浏览器中)执行JavaScript脚本来获取所述特性,其中所述脚本可以存储在银行服务器上并且在设备190访问银行服务器时被执行。在另一个方面,获取模块110可以被配置为使用安全应用程序(诸如防病毒应用程序)获取数据。在另一个方面,获取模块110可以被配置为使用在设备190上运行的应用程序来获取与设备190相关联的特性。例如,这样的应用程序可以被配置为访问银行服务199(例如应用程序“Sberbank–online”),并且通过使用软件开发工具包(software development kit,SDK)(例如Kaspersky Mobile Security SDK)创建,该软件开发包由例如防病毒应用程序的制造商提供。
除了获取设备190的特性之外,获取模块110还可以被配置为获得与设备190的潜在危险状态有关的数据。术语“潜在危险状态”可以指用户通过设备190与银行服务199的安全交互无法保证时设备190的状态。这样的状态的示例在下文给出。
在一个方面,潜在危险状态是在设备190上存在根访问,其中获取模块110获取关于设备190上存在根访问的信息。应该提及的是,即使防病毒应用程序也可能无法识别具有根访问的设备190上恶意软件的活动。因此,设备190的这种状态不能保证用户通过设备190与银行服务199的安全交互。
在另一个方面,潜在危险状态在设备190被侵染,其中获取模块110获得关于设备190上存在侵染的信息(例如获取模块发现恶意程序的活动)。关于设备190的侵染的信息既可以在用户访问银行服务199时获得,也可以在用户尚未与银行服务199进行交互的时间段的过程中获得(例如,这样的信息可以通过在后台运行的获取模块110的服务获取)。
在一个方面,获取模块110从银行或外部组织获得关于从设备190进行的对银行服务199的攻击的信息(例如,获取模块110从卡巴斯基实验室接收关于对银行服务199的攻击的信息,该攻击在卡巴斯基预防欺诈平台(Kaspersky Fraud Prevention,KFP)的帮助下识别)。在这种情况下,攻击的事实也是一个潜在危险状态。
在另一个方面,获取模块110通过任何其它已知的合适方法,从银行或外部组织获得关于设备190被损害的信息。例如,获取模块110可以从安全网络150接收关于攻击或受损系统的数据。安全网络150可以是基于云的服务,该基于云的服务编译和提供与新的或过去的威胁相关的数据、应用程序的声誉数据、网站的声誉数据以及与检测到的威胁和可疑活动相关的其它数据。安全网络的示例可以是由卡巴斯基实验室(Kaspersky)提供的卡巴斯基安全网络(Kaspersky Security Network,KSN)。
由获取模块110获取的关于设备190的数据被发送给威胁程度计算模块120.在一个变型的方面,获取模块110获取的关于设备190的数据被保存在数据库111中。
威胁程度计算模块120可以在远程服务器(或服务器的分布式系统)上运行,或者作为云服务运行,并且被配置为基于从获取模块110或从数据库111获得的数据来计算威胁程度。
威胁程度计算模块120计算威胁程度(威胁因素)。威胁程度可以表示为数量值。在一般情况下,威胁程度是基于潜在危险状态发生的频率计算的。威胁程度越高,该遇到潜在危险状态的频率就越高。在一个方面,威胁程度在0(被保证的安全设备)到1(被保证的恶意设备)的范围内计算。
在一个方面,威胁程度计算模块120基于在获取设备190的指纹时获得的至少一个设备特性来创建设备190的集群(执行集群化)。在一个方面,基于设备190的上述获取的多个特性进行集群化。因此,可以针对单个设备190和针对设备190一集群的计算威胁程度。此外,可以分别地针对每个已知的潜在危险状态(例如设备190上存在根访问的频率)以及针对这些潜在危险状态任一组合(例如设备190上存在根访问的频率和从设备190对银行服务的攻击的频率)计算威胁程度。
考虑到上述情况,可以针对每个设备190或针对设备190的集群计算多个威胁程度。针对集群的威胁程度可以通过任何已知的合适方法进行计算。在一个方面,集群的威胁程度是进入到集群中的所有设备190的威胁程度的中心趋势(算术平均值)的测量结果之一。在另一个方面,集群的威胁程度被计算为上述威胁程度的算术平均值乘以系数,自这些设备190之一的上一次已知损害所经过的时间越短,该系数越大。
在一个方面,威胁程度计算模块120可以基于与设备190相关联的指示特定的地理位置的特性和/或与更高或更低级别的威胁风险相关联的其它因素,确定对该设备190的威胁程度。例如,将在中国使用的、具有用于中国的固件的设备190,针对根访问(默认情况下由制造商在固件中安装)和针对安装的易受攻击的应用程序(固件中有许多预安装的应用程序,例如做广告和从上述设备到中国的服务器进行备份数据复制)的威胁程度高。具有用于中国的固件、但在美国使用的相同设备190只针对根访问具有高威胁程度,这是因为预安装的易受攻击的应用程序未连接到中国的服务器,且并不显示它们的活动。具有用于美国的固件的该同一设备,针对根访问和预安装的易受攻击的应用程序,具有低威胁程度,这是因为固件不包括根访问和预安装的易受攻击的应用程序,且只有少数量的用户在设备190上独立获取根访问并安装上述应用程序。
在一些方面,威胁程度计算模块120可以在分析设备190期间,忽略具有较小威胁程度的集群。例如,威胁程度计算模块120可以基于阈值为集群的威胁程度的数倍(例如5倍)高而忽略该集群。例如,包含某个备受赞誉的应用程序(例如谷歌浏览器)的设备190的集群不存在潜在的危险(这样的集群太过普遍,且没有义务识别危险设备190,所以考虑这样一个集群是毫无意义的)。
由威胁程度计算模块120计算的关于设备190的数据被发送给分析模块130.在一个方面,由威胁程度计算模块120创建的集群和计算的威胁程度被保存在数据库111中。
分析模块130可以在远程服务器(或服务器的分布式系统)上执行,或作为云服务执行,并且被配置为基于从威胁程度计算模块120或从数据库111获得的数据来识别潜在危险设备。
在设备190和为设备190创建的集群中,分析模块130识别潜在危险设备190,具体来说具有至少一个高威胁程度的设备190。在一般情况下,将该威胁程度与先前确定的阈值进行比较。阈值可以基于统计数据或利用计算机安全专家的参与,以及也基于来自银行的关于过去事件的数据或来自安全网络150的关于受损系统的数据,而自动地获得。
在一个方面,分析模块130识别对应于具有大于阈值的威胁程度的至少两个设备集群的潜在危险设备190,每个集群基于设备的不同特性而创建。因此,例如,集群A具有高于阈值的威胁程度#1,通过特性#1的集群化获得集群A。集群B具有同样高于阈值的威胁程度#2,通过特性#2的集群化获得集群B。设备190对应于集群A和集群B二者。
在另一个方面,分析模块130可以基于多个集群的威胁程度将与该多个集群相关联的设备识别为潜在危险的,即使这些集群的威胁程度并未单独地指示足够的威胁风险。为了这样做,分析模块130可以为每个威胁程度指定数值系数(权重),并且可以根据集群的威胁程度乘以所述系数后的算术平均值识别潜在危险设备。例如,集群A具有系数#1和低于阈值的威胁程度#1,且通过特性#1的集群化获得集群A。集群B具有系数#2和同样低于阈值的威胁程度#2,且通过特性#2的集群化获得集群B。设备190对应于集群A和集群B二者。在这种情况下,可以存在如等式(1)所示的关系:
也就是说,落在集群A和B内的设备是潜在危险的,但集群A和集群B各自的威胁程度并未超过阈值。
威胁风险设备190的示例可以包括具有根访问的移动设备、智能电话或平板电脑。也就是说,分析模块130可以断定,如果与特定制造商的特定型号相关联的设备190的集群包括70%的具有根访问的设备190,则这可以表明该制造厂的设备包括存在根访问的固件。在另一个示例中,威胁风险设备可以包括针对特定区域具有高侵染频率的移动设备、智能电话、个人计算机和笔记本电脑。在这种情况下,分析模块130可以断定,这可以表明该制造厂的设备190具有带有嵌入式恶意软件的固件,或者设备190正在一个区域中被使用、但设备190上并未安装防病毒应用程序。在另一个示例中,威胁风险设备可以由对于不同区域有高侵染频率的移动设备、智能电话、个人计算机和笔记本电脑组成。已确定,这可以指示设备190具有隐藏/关键的脆弱性,使得对设备190进行未经授权的访问比对其它设备190更容易。注意,潜在危险状态和设备190的集群的其它不同组合可以与本发明的多个方面一起使用。
上述说明可以扩大潜在危险设备的范围,而与设备190的制造商或特定型号(例如,任意给定制造商的、具有任意给定的区域性固件的所有设备190,根据来自安全网络150的数据,该设备190中具有根访问和攻击银行服务的应用程序,则这些设备190将被分配到潜在危险类别)无关。
在一般情况下,在通过上述方法识别潜在危险设备190之后,分析模块130通知访问系统和/或判定系统(在一个方面,在银行侧,这样的系统被实施为银行安全服务199)。从潜在危险设备190进行的尝试访问(例如试图进入系统)的事实不一定指示攻击,但它可以是判定系统以特定方式处理的风险因素(例如,提高的记录级别,双重认证,有限权限等)。
在一个方面,分析模块130可以通过任何合适的技术来阻止由潜在危险设备190与银行服务199交互期间正在进行的交易。
此外,威胁程度使得可以评估给定的具体设备190(或具有特定特性组的设备190,根据该特定特性组构成集群)进行攻击的概率是否大于(以及多大程度)不具备这些特性的设备190进行攻击的概率。
图2是示出根据示例性方面的用于识别潜在危险设备的方法200的流程图。注意,以下对示例性方法的描述参考了上述系统和部件。
在步骤201中,获取模块110用于获取用户设备190的数字指纹,其中,指纹包含上述用户设备的至少一个特性。在一些方面,响应于检测到用户设备190和银行服务199之间的交互,可以获取用户设备的数字指纹。设备190的特性可以包括操作系统的标识符(设备190在该操作系统的控制下运行)、设备的位置、设备的固件的区域性特性。在其它方面,设备190的特性可以包括帐户标识符(例如Google ID或Apple ID)、设备是在虚拟机还是仿真器内运行的指示、浏览器版本、安装在设备的浏览器上的插件和设备上安装的任何易受攻击的应用程序。
在步骤202中,获取模块110可以获取与上述用户设备的威胁风险状态有关的数据。在一个变型方面,可以通过设备190上存在根访问来指示威胁风险状态。在另一个变型方面中,从安全网络150获取关于用户设备190的威胁风险状态的信息。获取模块110获取的关于设备190的数据可以被保存在数据库111中。
在步骤203中,威胁程度计算模块120可以基于在获取设备190的指纹期间获得的该设备的至少一个特性,生成用户设备190的一个或多个集群。在一些方面,威胁程度计算模块120可以创建第一集群和第二集群,其中,通过用户设备的不同特性的集群化生成不同的集群。例如,一个集群可以基于安装在各个用户设备上的固件的区域性特性,而另一个集群可以基于安装的网络浏览器版本。
在步骤204中,威胁程度计算模块120可以计算与创建的用户设备190的每个集群相关联的威胁程度。在一些方面,威胁程度可以是与潜在危险状态发生频率成比例的数值。在一个变型方面,由威胁程度计算模块120创建的集群和计算的威胁程度被保存在数据库111中。
在步骤205中,分析模块130可以基于一个或多个生成的集群确定用户设备是否存在威胁风险。在一些方面,分析模块130可以识别潜在危险设备190,其中该潜在危险设备190对应于设备190的至少两个集群,所述集群具有高于阈值的威胁程度,每个集群基于设备的不同特性创建。在一些方面,分析模块130可以确定(第一集群的)第一威胁程度和(第二集群的)第二威胁程度的平均值超过阈值,即使第一威胁程度单独地并未超过阈值。在另一个方面,分析模块130可以确定第一威胁程度和相关权重值的乘积以及第二威胁程度和相关权重值的乘积的平均值超过阈值,如上述等式(1)所示。
如果存在威胁风险,则在步骤206中,分析模块130可以阻止由威胁风险设备在与银行服务199交互期间进行的交易。否则,操作可以返回到步骤201,在步骤201中,系统100分析并获取关于给定用户设备190的数据。
图3是示出通用计算机系统20的框图,在该通用计算机系统20上,可以根据示例性方面实施用于在用户与银行服务交互期间识别潜在危险设备的系统和方法的各个方面。应当注意,计算机系统20可以对应于可以执行安全服务101的物理服务器以及例如先前描述的用户设备190。
如图所示,计算机系统20(其可以是个人计算机或服务器)包括中央处理单元21、系统存储器22和连接各种系统部件的系统总线23,各种系统部件包括与中央处理单元21相关联的存储器。如本领域普通技术人员将理解的,系统总线23可以包括总线存储器或总线存储器控制器、外围总线和能够与任何其它总线架构交互的本地总线。系统存储器可以包括永久存储器(ROM)24和随机存取存储器(random-access memory,RAM)25。基本输入/输出系统(basic input/output system,BIOS)26可以存储用于在计算机系统20的元件之间传送信息的基本程序,诸如在使用ROM 24加载操作系统时的那些基本程序。
计算机系统20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28以及用于读取和写入可移动光盘31的光盘驱动器30,例如CD-ROM、DVD-ROM和其它光学介质。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34连接到系统总线23。驱动器和相应的计算机信息介质是用于存储计算机指令、数据结构、程序模块和计算机系统20的其它数据的电源独立模块。
一个示例性方面包括使用经由控制器55连接到系统总线23的硬盘27、可移动磁盘29和可移动光盘31的系统。本领域普通技术人员将会理解,还可以使用能够存储以计算机可读的形式数据的任何类型的媒介56(固态驱动器,闪存卡,数字磁盘,随机存取存储器(RAM)等))。
计算机系统20具有其中可以存储操作系统35的文件系统36、以及附加的程序应用37、其它程序模块38和程序数据39。计算机系统20的用户可以使用键盘40、鼠标42或本领域普通技术人员已知的任何其它输入设备(例如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)输入命令和信息。这样的输入设备通常通过串行端口46插入计算机系统20,串行端口46又连接到系统总线,但是本领域普通技术人员将会理解,输入设备也可以以其它方式连接,例如但不限于,通过并行端口、游戏端口或通用串行总线(universal serial bus,USB)。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到系统总线23。除了监控器47之外,个人计算机可以配备有其它外围输出设备(图中未示),如扬声器,打印机等。
计算机系统20可以使用与一个或多个远程计算机49的网络连接而在网络环境中操作。远程计算机(或计算机)49可以是本地计算机工作站或服务器,其包括对计算机系统20的性质的描述中提到的大部分或全部元件。其它设备也可以存在于计算机网络中,例如但不限于路由器、网络站、对等设备或其它网络节点。
网络连接可以形成局域计算机网络(local-area computer network,LAN)50和广域计算机网络(wide-area computer network,WAN)。这样的网络在企业计算机网络和公司内部网络中使用,且通常可以访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,计算机系统20可以使用调制解调器54或本领域普通技术人员熟知的能够与诸如因特网的广域计算机网络进行通信的其它模块。调制解调器54可以是内部或外部设备,可以通过串行端口46连接到系统总线23。本领域普通技术人员将理解,所述网络连接是使用通信模块使一台计算机与另一台计算机建立连接的众多公知方式非限制性的示例。
在各个方面中,本文所描述的系统和方法可以在硬件、软件、固件或它们的任何组合中实施。如果在软件中实施,则该方法可以被存储为在永久性计算机可读介质上的一个或多个指令或代码。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或任何其它介质,该任何其它介质可用来承载或存储以指令或数据结构形式的所期望的程序代码并可以被通用计算机的处理器访问。
在各个方面中,本发明中所描述的系统和方法可以按照模块来处理。本文所使用的术语“模块”指的是:现实世界的设备;部件;或使用硬件(例如通过专用集成电路(ASIC)或现场可编程门阵列(field-programmable gate array,FPGA))实施的部件的布置;或硬件和软件的组合,例如通过微处理器系统和实现模块功能的指令组,该指令组(在被执行时)将微处理器系统转换成专用设备。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分、以及在某些情况下模块的全部可以被执行在通用计算机(例如上文在图3中更详细描述的通用计算机)的处理器上。因此,每一个模块可以以各种适合的配置来实现,而不应受限于本文所示例化的任何特定的实现方式。
为了清楚起见,本文没有公开各个方面的所有例行特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标将对于不同的实现方式和不同的开发者变化。应当理解的是,这种开发努力可能是复杂且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文所公开的各个方面包括本文以说明性方式所提到的已知模块的现在和未来知道的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,许多比上面所提及的内容更多的修改是可行的,而不脱离本文所公开的发明构思。

Claims (21)

1.一种用于在用户与银行服务交互期间识别潜在危险设备的方法,其中,所述方法包括:
响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中,所述数字指纹指示所述用户设备的至少一个特性;
基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中,每个集群与相应的威胁程度相关联;以及
响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止在所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
2.如权利要求1所述的方法,还包括:
获取与威胁风险状态相关的数据,所述威胁风险状态与所述用户设备相关联。
3.如权利要求1所述的方法,还包括:
计算与所述一个或多个集群中的相应集群相关联的每个威胁程度,其中,每个威胁程度指示与威胁风险状态的发生频率成比例的数值。
4.如权利要求1所述的方法,其中,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:
确定所述用户设备与威胁程度超过阈值的至少两个集群相关联。
5.如权利要求1所述的方法,其中,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:
确定生成的所述集群中的第一集群的第一威胁程度;
确定生成的所述集群中的第二集群的第二威胁程度;以及
确定所述第一威胁程度和所述第二威胁程度的平均值超过阈值,其中,所述第一威胁程度单独地不超过所述阈值。
6.如权利要求5所述的方法,其中,所述第一集群和所述第二集群通过所述用户设备的不同特性的集群化而生成。
7.如权利要求1所述的方法,其中,基于生成的所述一个或多个集群确定所述用户设备存在威胁风险还包括:
确定第一威胁程度和相关权重值的乘积与第二威胁程度和相关权重值的乘积的平均值超过阈值。
8.一种用于在用户与银行服务交互期间识别潜在危险设备的系统,其中,所述系统包括:
用于存储数据库的存储设备;和
硬件处理器,所述硬件处理器被配置成:
响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中,所述数字指纹指示所述用户设备的至少一个特性;
基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中,每个集群与相应的威胁程度相关联;以及
响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止在所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
9.如权利要求8所述的系统,其中,生成的所述集群和相关联的威胁程度存储在所述数据库中。
10.如权利要求8所述的系统,其中,所述处理器还被配置成:
计算与所述一个或多个集群中的相应集群相关联的每个威胁程度,其中,每个威胁程度指示与威胁风险状态的发生频率成比例的数值。
11.如权利要求8所述的系统,其中,被配置成基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述处理器还被配置成:
确定所述用户设备与威胁程度超过阈值的至少两个集群相关联。
12.如权利要求8所述的系统,其中,被配置成基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述处理器还被配置成:
确定生成的所述集群中的第一集群的第一威胁程度;
确定生成的所述集群中的第二集群的第二威胁程度;以及
确定所述第一威胁程度和所述第二威胁程度的平均值超过阈值,其中,所述第一威胁程度单独地不超过所述阈值。
13.如权利要求12所述的系统,其中,所述第一集群和所述第二集群通过所述用户设备的不同特性的集群化而生成。
14.如权利要求8所述的系统,其中,被配置成基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述处理器还被配置成:
确定第一威胁程度和相关权重值的乘积与第二威胁程度和相关权重值的乘积的平均值超过阈值。
15.一种非暂时性计算机可读介质,包括用于在用户与银行服务交互期间识别潜在危险设备的计算机可执行指令,所述非暂时性计算机可读介质包括用于以下操作的指令:
响应于检测到用户设备和银行服务之间的交互,获取与所述用户设备相关联的数字指纹,其中,所述数字指纹指示所述用户设备的至少一个特性;
基于所述用户设备的所述至少一个特性,生成与所述用户设备相关联的一个或多个集群,其中,每个集群与相应的威胁程度相关联;以及
响应于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险,阻止在所述交互期间所述用户设备和所述银行服务之间正在进行的交易。
16.如权利要求15所述的非暂时性计算机可读介质,还包括用于以下操作的指令:
获取与威胁风险状态相关的数据,所述威胁风险状态与所述用户设备相关联。
17.如权利要求15所述的非暂时性计算机可读介质,还包括用于以下操作的指令:
计算与所述一个或多个集群中的相应集群相关联的每个威胁程度,其中,每个威胁程度指示与威胁风险状态的发生频率成比例的数值。
18.如权利要求15所述的非暂时性计算机可读介质,其中,用于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述指令还包括用于以下操作的指令:
确定所述用户设备与威胁程度超过阈值的至少两个集群相关联。
19.如权利要求15所述的非暂时性计算机可读介质,其中,用于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述指令还包括用于以下操作的指令:
确定生成的所述集群中的第一集群的第一威胁程度;
确定生成的所述集群中的第二集群的第二威胁程度;以及
确定所述第一威胁程度和所述第二威胁程度的平均值超过阈值,其中,所述第一威胁程度单独地不超过所述阈值。
20.如权利要求19所述的非暂时性计算机可读介质,其中,所述第一集群和所述第二集群通过所述用户设备的不同特性的集群化而生成。
21.如权利要求15所述的非暂时性计算机可读介质,其中,用于基于生成的所述一个或多个集群确定所述用户设备存在威胁风险的所述指令还包括用于以下操作的指令:
确定第一威胁程度和相关权重值的乘积与第二威胁程度和相关权重值的乘积的平均值超过阈值。
CN201710979315.9A 2017-08-10 2017-10-19 在用户与银行服务交互期间识别潜在危险设备的系统和方法 Pending CN109389400A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2017128538 2017-08-10
RU2017128538A RU2666644C1 (ru) 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US15/695,253 US10511974B2 (en) 2017-08-10 2017-09-05 System and method of identifying potentially dangerous devices during the interaction of a user with banking services
US15/695,253 2017-09-05

Publications (1)

Publication Number Publication Date
CN109389400A true CN109389400A (zh) 2019-02-26

Family

ID=63580443

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710979315.9A Pending CN109389400A (zh) 2017-08-10 2017-10-19 在用户与银行服务交互期间识别潜在危险设备的系统和方法

Country Status (4)

Country Link
US (2) US10511974B2 (zh)
JP (1) JP6680736B2 (zh)
CN (1) CN109389400A (zh)
RU (1) RU2666644C1 (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109902176B (zh) * 2019-02-26 2021-07-13 北京微步在线科技有限公司 一种数据关联拓展方法及非暂时性的计算机指令存储介质
WO2021028971A1 (ja) * 2019-08-09 2021-02-18 日本電気株式会社 バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体
US11941129B2 (en) 2021-03-31 2024-03-26 Capital One Services, Llc Utilizing contact information for device risk assessment

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
US20140283061A1 (en) * 2013-03-15 2014-09-18 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US20150026805A1 (en) * 2011-12-02 2015-01-22 Uniloc Luxembourg S.A. Device reputation management
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US20150163121A1 (en) * 2013-12-06 2015-06-11 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101495969B (zh) * 2005-05-05 2012-10-10 思科埃恩波特系统有限公司 识别电子消息中的威胁
US8918883B1 (en) * 2005-06-15 2014-12-23 Tripwire, Inc. Prioritizing network security vulnerabilities using accessibility
US9071974B2 (en) * 2008-06-29 2015-06-30 Oceans Edge, Inc. Mobile telephone firewall and compliance enforcement system and method
US9471920B2 (en) 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
US20150229664A1 (en) * 2014-02-13 2015-08-13 Trevor Tyler HAWTHORN Assessing security risks of users in a computing network
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8214904B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
EP2584488B1 (en) * 2011-09-20 2016-02-10 Kaspersky Lab, ZAO System and method for detecting computer security threats based on verdicts of computer users
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
US9191823B2 (en) * 2012-06-29 2015-11-17 GSMK Gesellschaft für sichere mobile Kommunikation mbH Mobile device and method to monitor a baseband processor in relation to the actions on an applicaton processor
CN104937886B (zh) * 2013-01-30 2017-10-24 日本电信电话株式会社 日志分析装置、信息处理方法
US10440046B2 (en) * 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
US9245116B2 (en) * 2013-03-21 2016-01-26 General Electric Company Systems and methods for remote monitoring, security, diagnostics, and prognostics
RU2541123C1 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения рейтинга электронных сообщений для борьбы со спамом
US20150002680A1 (en) * 2013-06-28 2015-01-01 Sonic Ip, Inc. System, method, and computer program product for receiving and executing test logic at user devices
KR20150007492A (ko) 2013-07-11 2015-01-21 삼성디스플레이 주식회사 디스플레이 장치 및 이를 구비하는 전자 기기
US20150205965A1 (en) * 2014-01-22 2015-07-23 Lexisnexis, A Division Of Reed Elsevier Inc. Systems and methods for determining overall risk modification amounts
US10438206B2 (en) * 2014-05-27 2019-10-08 The Toronto-Dominion Bank Systems and methods for providing merchant fraud alerts
US9367685B2 (en) * 2014-09-30 2016-06-14 Juniper Networks, Inc. Dynamically optimizing performance of a security appliance
US10387849B2 (en) * 2015-11-18 2019-08-20 International Business Machines Corporation System, method, and recording medium for a bi-directional feed between electronic calendar and credit-card authorization unit
US10192058B1 (en) * 2016-01-22 2019-01-29 Symantec Corporation System and method for determining an aggregate threat score
US10601860B2 (en) * 2016-03-11 2020-03-24 The Toronto-Dominion Bank Application platform security enforcement in cross device and ownership structures
US10333965B2 (en) * 2016-09-12 2019-06-25 Qualcomm Incorporated Methods and systems for on-device real-time adaptive security based on external threat intelligence inputs
US10163329B1 (en) * 2017-06-24 2018-12-25 Vivint, Inc. Home alarm system

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101593253A (zh) * 2009-06-22 2009-12-02 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
US20150026805A1 (en) * 2011-12-02 2015-01-22 Uniloc Luxembourg S.A. Device reputation management
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US20140283061A1 (en) * 2013-03-15 2014-09-18 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US20150163121A1 (en) * 2013-12-06 2015-06-11 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
CN105141598A (zh) * 2015-08-14 2015-12-09 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置

Also Published As

Publication number Publication date
US20200084632A1 (en) 2020-03-12
RU2666644C1 (ru) 2018-09-11
JP6680736B2 (ja) 2020-04-15
US10511974B2 (en) 2019-12-17
JP2019036273A (ja) 2019-03-07
US20190053053A1 (en) 2019-02-14
US11019494B2 (en) 2021-05-25

Similar Documents

Publication Publication Date Title
CN105229612B (zh) 使用基于硬件的微体系结构数据的异常程序执行的检测
Cheng et al. Orpheus: Enforcing cyber-physical execution semantics to defend against data-oriented attacks
Ham et al. Linear SVM-based android malware detection for reliable IoT services
US20180033010A1 (en) System and method of identifying suspicious user behavior in a user's interaction with various banking services
CN106716958A (zh) 横向移动检测
Urooj et al. Malware detection: a framework for reverse engineered android applications through machine learning algorithms
US20180253737A1 (en) Dynamicall Evaluating Fraud Risk
CN109154962A (zh) 用于确定安全风险简档的系统和方法
CN109389400A (zh) 在用户与银行服务交互期间识别潜在危险设备的系统和方法
Hu et al. Membership inference via backdooring
CN111931047B (zh) 基于人工智能的黑产账号检测方法及相关装置
WO2021053647A1 (en) Detection of use of malicious tools on mobile devices
CN112330355B (zh) 消费券交易数据处理方法、装置、设备及存储介质
Yoo et al. Visual analytics and visualization for android security risk
US10931697B2 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints
CN109583177A (zh) 在用户与银行服务的交互期间识别新设备的系统和方法
Lee et al. A method for preventing online games hacking using memory monitoring
Kim The impact of platform vulnerabilities in AI systems
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
Yang et al. RTTV: a dynamic CFI measurement tool based on TPM
Yoo et al. Personal visual analytics for android security risk lifelog
Lagesse et al. Securing pervasive systems against adversarial machine learning
CN108197464A (zh) 一种面向云环境的环境敏感型恶意软件分析检测方法和系统
Sharma et al. Permission-set based detection and analysis of android malware
JPWO2019064580A1 (ja) 情報処理装置、情報処理システム、セキュリティアセスメント方法およびセキュリティアセスメントプログラム

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190226

RJ01 Rejection of invention patent application after publication