CN109417553B - 经由内部网络监视来检测使用泄漏证书的攻击 - Google Patents
经由内部网络监视来检测使用泄漏证书的攻击 Download PDFInfo
- Publication number
- CN109417553B CN109417553B CN201780040928.4A CN201780040928A CN109417553B CN 109417553 B CN109417553 B CN 109417553B CN 201780040928 A CN201780040928 A CN 201780040928A CN 109417553 B CN109417553 B CN 109417553B
- Authority
- CN
- China
- Prior art keywords
- network
- username
- exposed
- local
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
在本公开中通过系统和方法解决以下威胁:恶意方暴露来自一个系统的用户证书,并将暴露的证书应用于不同系统以获得未授权访问,以抢先和反应性地减轻用户在系统之间重复使用密码的风险。安全设备被动地监视:包括网络内的授权请求的业务,以基于攻击在授权请求中对被暴露的证书的使用,来反应性地标识进行中的攻击,并通过利用来自其它网络的暴露的密码主动尝试登录账户,来标识易受使用暴露的证书的攻击的那些账户。该系统和方法减少了与攻击标识相关联的误报数目,并针对潜在攻击加强了网络,从而提高了网络的安全性,并减少了安全管理网络所需的资源量。
Description
背景技术
当恶意方获得对第一系统的访问权时,他们将经常利用合法用户的不良安全实践来获得对附加系统的访问。例如,用户可以在社交媒体系统中使用密码并在工作系统上重复使用该密码,因此,如果恶意方能够链接用户在两个系统上的账户名,则允许恶意方在一个账户名泄漏时访问两个系统。用户证书(用户名、密码、域等)的列表由恶意方托管,用于销售给彼此,并可以被直接用于获得对系统的访问,构建密码字典,或提供用于针对性暴力攻击的起点(例如,当用户通过递增数字:password1,password2,password3等来改变密码时)。
网络管理员经常设置操作安全策略,建议或要求用户:使用与在其他系统中使用的密码不同的密码,频繁改变密码,以及不在他们的网络中重用密码,但是他们的网络仍受到以下攻击影响,这些攻击使用由于用户忽略、遗忘或绕开这些策略而泄漏的证书。即使在个体用户由于遵循良好的操作安全策略而不容易受到这些攻击时,网络本身必须处理这些攻击,因为恶意方测试网络是否具有:由于选择不当的或暴露的证书而导致的易损性,该测试可以是与良性登录错误(例如,当合法用户错误输入密码,或忘记在自动尝试登录网络的系统中更新密码时)不可区分的。
为了抵御攻击,管理员需要将一个或多个登录尝试的集合标识为恶意的,并采取措施来保护网络,这可能包括:锁定账户、限制账户访问、阻塞端口、应用访问控制列表(ACL)(例如、针对IP地址集的白名单或黑名单)、标记用于人工审查的账户等。将攻击标识为恶意的并保护网络可能要求大量人力和计算资源,并且可能导致误报;要求附加的人力和计算资源来撤消安全措施。如果过于频繁地返回误报,则最终会导致削弱的网络安全性,因为用户出于挫败,会绕过安全性并忽略良好的安全实践。
发明内容
提供本发明内容是为了以简化的形式介绍一些概念,这些概念将在下面的具体实施方式部分中被进一步描述。本发明内容并非旨在标识要求保护的主题内容的所有特征,也并非旨在限制要求保护的主题内容的范围。
本文提供了用于经由内部网络监视来保护第一网络免受从第二网络暴露的证书损害的系统和方法。本公开的系统和方法可操作为:基于来自第三方系统的、泄漏证书的知识和内部网络的监视来确定登录尝试是否是攻击的一部分。在网络中部署安全设备,以监视遍历认证业务,并使用包括由恶意方使用的泄漏证书的智能馈送180,来将所发送的认证业务标识为攻击的一部分,并确定何时用户的证书易受攻击,并且因此应该被更新。
通过使管理员能够在实际攻击开始之前更容易地标识攻击,以及证书易受攻击的用户,本公开解决了以计算机为中心的问题,并且提高了系统本身的效率、可靠性和安全性。
在下面的附图和描述中阐述了一个或多个方面的细节。从对以下具体实施方式的阅读和对相关联的附图的回顾,其他特征和优点将是清楚的。应当理解,以下具体实施方式仅是说明性的而非限制性的;本公开内容的适当范围由权利要求限定。
附图说明
被并入在本公开内容中并且构成本公开内容的一部分的附图示出了本公开内容的各个方面。在附图中:
图1A示出了由系统处置来自各种请求设备的授权请求的示例环境;
图1B示出了示例智能馈送;
图2示出了示例认证协议执行;
图3是示出用于主动验证用户证书以保卫易受攻击账户的示例方法中涉及的一般阶段的流程图;
图4是示出用于被动地验证用户证书以标识使用暴露的证书的攻击的示例方法中涉及的一般阶段的流程图;
图5是示出可以用以实践示例的计算设备的物理组件的框图;以及
图6A和图6B是可以用以实践各方面的移动计算设备的框图。
具体实施方式
以下详细描述参考附图。只要可能,在附图和以下描述中使用相同的附图标记来指代相同或相似的元素。虽然可以描述本公开内容的各方面,但是修改、适配和其他实现方式是可能的。例如,可以对附图中示出的元素进行替换、添加或修改,并且可以通过将阶段替换、重新排序或添加到所公开的方法来修改本文中描述的方法。因此,以下具体实施方式不限制本公开内容,相反,本公开内容的适当范围由所附权利要求限定。示例可以采用硬件实现方式或完全软件实现方式或组合软件和硬件方面的实现方式的形式。因此,以下具体实施方式不应当被视为具有限制意义。
暴力攻击试图通过连续尝试若干不同的密码,直到获得访问来获得对系统所托管的账户的访问,而针对性攻击(可以被构造为:作为第一次尝试的暴力攻击)使用已知或可疑的证书集,以获得未授权的访问。为了提高在系统实施安全措施之前所尝试的正确密码的几率,恶意方可以使用密码字典或针对性密码,来提高他们找到账户的正确密码的几率。密码字典由来自若干用户的泄漏证书的已知良好密码组成,并且可以基于频率对这些密码进行排序,从而在攻击中,与较不流行的已知良好密码或随机密码相比,最流行的已知良好密码更早地被尝试。针对性密码是基于恶意方链接(或尝试链接)到受攻击系统上的账户的、来自第三方系统的泄漏证书的密码。例如,如果恶意方获悉用户名“johndoe123”使用密码“password1”来访问第一域“domainA.com”,则恶意方可以在第二域“domainB.com”上搜索同一个人的用户名,并将使用来自“domainA.com”的密码作为针对性密码的基础。恶意方可以尝试将基础密码及其变型(例如,“password”、“password2”、“PASSWORD1”)作为针对一个账户的垂直暴力攻击中的针对性密码,可以针对在第二域中托管的多个可疑账户(例如“johndoe123”、“johndoe”、“doe.john”)、在水平暴力攻击中尝试针对性密码,或者可以尝试垂直和水平暴力攻击;针对域中的若干已知或可疑账户名尝试多个密码。因为用户经常在域之间重复使用密码,所以来自泄漏域的针对性密码可以用于获得对尚未泄漏的域的访问。
因此,提供了一种安全设备,其使用证书集的知识(例如,用户名和密码的针对性对)来监视包括泄漏证书的授权尝试,并且当用户的证书易受到经由针对性密码的攻击时可以警告这些用户。通过为管理员提供更容易标识攻击和易受攻击用户的能力,本公开解决了以计算机为中心的问题,并提高了授予授权和接收授权所涉及的系统本身的效率和可靠性。
作为良好的安全实践,携带授权请求(例如,登录尝试)的消息不应当包含明文口令(包括文本、生物标识扫描、声纹数据和其他访问授予数据),而是作为替代应当通常以加密的格式携带口令。监视网络业务的安全设备可以用于:不管用户名是否对给定网络有效,被动地确定登录尝试是否使用从一个或多个其他网络暴露的证书,并因此指示攻击正在进行中。安全设备还可操作为:主动地测试账户,以确定它们是否经由暴露的证书而容易受到攻击,并因此应该预先地(或者追溯地,如果在发现之前被秘密攻击)防止这种攻击。出于安全和维护目的,安全设备不需要知道活动密码(用户可以对其进行定期更改)。安全设备可以监视认证请求的结果,以为用户和管理员提供更高的安全性和可靠性,以检测否则将被忽视的攻击。
图1A示出了示例环境100,其中由系统处置来自各种请求设备的授权请求。如图所示,一个或多个授权寻求设备(ASD)110尝试获得对在网络170内托管的账户或物理/虚拟机(通常是账户)的访问。ASD 110经由与认证服务器130通信的网关120连接到网络170。服务器130处理认证业务中携带的登录尝试的授权或拒绝。智能馈送180从智能服务160被提供给网络170,并且经由网关130传递到安全设备中心(SDC)140,SDC 140监视在ASD 110和认证服务器130之间的授权业务,以确定该业务是否指示攻击。另外,SDC 140检查用于网络170的认证证书,以标识易受攻击的账户,并向认证服务器130警示攻击或易受攻击的账户。尽管未示出,但是本领域技术人员将领会到,分布式网络中的各种服务器和中介可以位于ASD 110与网关120之间,以在用户与系统170之间路由消息。还将领会到,尽管示例环境100的一些组件被单独示出,但是在各个方面中,可以部署这些组件的多个副本,例如,用于负载平衡目的、冗余或提供多个服务。
ASD 110示出了多种计算系统,包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或板(slate)型计算机、笔记本计算机和膝上型计算机)、手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、小型计算机、打印机和大型计算机。关于图5、图6A和图6B更详细地讨论这些计算系统的硬件。在各个方面中,ASD 110在本地被访问和/或由网络访问,该网络可以包括因特网、局域网(LAN)、用于实体(例如,公司、大学、政府机构)的私有分布式网络、无线自组织网络、虚拟专用网络(VPN)或其他直接数据链路(例如,蓝牙连接、直接有线链路)。例如,恶意方可以直接或通过作为“僵尸网络”的一部分的网络经由恶意程序(例如,病毒)控制ASD 110以执行来自多个ASD 110的暴力攻击,这可以在没有设备的所有者的知情或同意的情况下被完成。在另一示例中,ASD 110可以是由寻求访问账户的合法用户使用的计算设备,该用户可以进行访问账户的一次或多次尝试。
网关120是诸如网络交换机的硬件设备或通过网络170(例如,内联网)将ASD 110从外部网络(例如,因特网)链接到认证服务器130的软件服务。在各个方面中,网关设备120可以提供防火墙并且可以调节进出本地网络170的通信业务流。在一些方面,网关120从ASD110(以及内部网络上的其他设备)向认证服务器130转发消息,并且可以镜像端口,从而发往认证服务器130的消息也被转发到SDC 140。网关120还将消息从认证服务器130转发到ASD 110,并处理来自智能服务器160的通信。在其他方面,网关120是被动地窃听流经设备以进行认证的网络业务的设备,并且消耗(而不是代理)认证。虽然未示出,但在可选方面,SDC 140可以与智能服务器160返回通信,在这种情况下,这些通信也由网关120转发。
认证服务器130从ASD 110接收认证请求,并且确定是否授予对由网络170服务的账户的访问。在各个方面,认证服务器130可以是处理针对网络170的认证请求并充当域控制器的物理机器或VM。认证服务器130可以使用各种认证协议(包括但不限于PAP(口令认证协议)、CHAP(质询握手认证协议)、EAP(可扩展认证协议)、Kerberos或AAA(认证、授权、计费)架构协议),以允许用户访问网络170内的一个或多个系统。根据认证协议的示例交互关于图2被更详细地讨论。取决于使用的标准、网络170中的受保护系统的数目和用户账户设置,认证参数的成功呈现将在针对相关联的用户的适当许可级别向ASD 110授予对由认证服务器130保护的一个或多个系统的访问。
SDC 140从智能服务160接收智能馈送180,并且从认证服务器130接收证书,以监视通过网关120发往认证服务器130的认证业务,由此确定通信是否表示攻击,以及证书是否容易受到攻击。在一些方面中,SDC 140在与网络170中的其他设备分离的、具有唯一MAC和IP地址的设备上被操作,并且接收经由远程网络监测(RMON)或交换机监控(SMON)规范、端口镜像或类似的转发方案而从网关120被转发给认证服务器130的消息的副本。在其他方面中,SDC 140用作拦截被绑定到认证服务器130的所有网络业务的设备(具有相同的MAC和IP地址或唯一地址)并且将通信转发到认证服务器130或者被动地轻敲和监听在其上向认证服务器130发送通信的传输介质。在其他方面中,SDC 140作为虚拟机或进程在提供应用服务器130的硬件设备上被操作,并且由此可以被动地共享在被寻址到应用服务器130的设备处接收的通信。
SDC 140将执行关于图3和图4更详细地讨论的一个或多个方法,以确定登录尝试是否构成攻击的一部分,或者一个或多个账户是否容易受到针对性密码攻击,并且将该确定传达给网络170以及可选的认证服务器130的管理人员,来保护账户/网络或使账户/网络保持其正常操作模式(或移除主动安全预防措施)。
智能服务160被示为网络170外部的服务,其提供智能馈送180,供SDC 140使用以确定何时暴露的证书影响网络170的账户。在备选方面,智能服务160可以在网络170内部实现,以从外部源拉取智能馈送180。
智能馈送180包括:SDC 140将使用的暴露证书的列表,结合其网络170的证书,以标识易受攻击的账户和正在进行的攻击。例如,当域A(例如,第一网站)的密码和用户名在数据泄露中暴露时,这些证书可以由智能服务160收集,并被传递到域B(例如,第二网站)以防止潜在的针对性密码攻击。示例智能馈送180在图1B中示出。可以理解,在各方面中,证书可以存储在表格或字符描绘列表中。暴露的证书可以从由恶意方使用以发布和/或出售暴露的证书的源相同的源来收集,或者它们可以由受数据泄露影响的服务提供(例如,来自上述示例的网站A可以将暴露的证书传达给智能服务160)。在各个方面,智能馈送180将包括但不限于:用户名,密码,用户名/密码对从其被暴露的域的名称,秘密问题及其答案(例如,用于在用户忘记密码时授权密码重置的问题),联系信息(例如,用于注册用户名的电子邮件账户),次要认证联系信息(例如,用于多因素认证的电话号码),简档信息(例如,来自社交媒体网站的发布名称、位置、雇主信息等),最后使用的n个密码等,其可以与本公开结合使用(例如,测试暴露的最后使用的n个密码以及暴露的当前密码)。
在各个方面,智能服务160可以在推送模型或拉取模型(或两者的组合)上提供智能馈送180。在推送模型中,智能服务160可以周期性地向SDC 140发送智能馈送180(例如,每天、每周、每月),或者每当智能服务器160获知新的数据泄露或收集到暴露的附加证书时,可以发送智能馈送180。在拉取模型中,SDC 140可以向智能服务160发布发送智能反馈180的请求,智能服务160将通过发送智能馈送180或发送SDC 140已经具有最新的智能馈送180的指示(即,自上次发送以来没有进行任何改变)对其进行响应。智能馈送180可以作为完整列表或作为补遗提供;仅发送新获知的暴露证书或指示对暴露的证书列表的改变。
如将理解的,每个域可以使用各种账户名称,并且可以包括其他标识符(其可能在数据泄露中被暴露,并因此被包含在智能馈送180中),并且可以在域之间不同。例如,名为“John Doe”的用户可以在域A中具有电子邮件地址“John.Doe.CEO@domainA.com”、内部域名“JDoe123”以及密码“passWord1”,并且在域B中具有电子邮件地址“jd_home@domainB.com”以及密码“Password2”。如果域B的证书已被暴露,则恶意方可能会通过试图根据域A到域B改变来自证书的地址的域部分(例如,尝试经由“jd_home@domainA.com”和“Password2”登录),来尝试使用暴露的证书登录域A。SDC 140将接收恶意方的登录尝试,并且可以过滤掉针对在有效域中不存在的电子邮件地址的认证请求,例如,如果“jd_home”的电子邮件地址不存在于域A中,则“jd_home@domainA.com”的认证请求可能被过滤掉以免进行进一步处理,但域A中确实存在的“John.Doe.CEO”的认证请求可能会进行进一步处理。
当网络170使用域内用户名进行内部认证时,例如来自上例的“JDoe123”,当SDC140接收电子邮件地址或其他域外用户名时,它将尝试将域外用户名转换为域内用户名。因为约定的是:给定组织对针对该组织的域外和域内用户名进行链接,并且因为并非所有组织在链接这些用户名时都使用相同的约定,为了使SDC 140可以在多个域中运行,可操作的是:查询活动目录,以在域内和域外名称之间进行转换。活动目录可以作为认证服务器130的一部分而被管理,或者作为由认证服务器130使用的单独机器而被管理,以管理网络170域和其中的账户。SDC 140可以查询认证服务器130的活动目录,以确定在认证请求中提供的账户名(域内或域外的)是否由认证服务器130服务,并且如果确定用户名对于认证服务器130是有效的,则尝试将所提供的用户名解析为域内用户名。在一些方面,SDC 140将经由LDAP(轻量数据访问协议)来查询活动目录,或针对特定域或GC(全局目录)的类似查询,或针对活动目录内的多个域的类似查询,以将所提供的域外用户名解析为域内用户名。例如,当域A的认证请求提供用户名“John.Doe.CEO@domainA.com”时,SDC 140将检查这是否是由认证服务器130服务的有效账户,然后查询活动目录以确定域A为该账户内部采用“JDoe123”的用户名。
在另外的方面,当智能馈送180包括附加标识信息或用户名(例如,多因素认证、设置电子邮件)时,SDC 140还将尝试将这些用户名转换为其域的用户名。例如,如果John Doe在域C中注册为用户“JD_9000”,并在域C中注册时提供了他的域A电子邮件“John.Doe.CEO@domainA.com”,并且如果来自域C的证书被暴露并经由智能馈送180被传达给SDC 140,那么SDC 140可以尝试将“JD_9000@domainA.com”(将本地域名添加到其他域的域内用户名上)和“John.Doe.CEO@domainA.com”(使用暴露的注册电子邮件地址并使用/替换域A作为其域)二者与其域的用户名进行匹配。继续该示例,如果域A未提供这种电子邮件,则“JD_9000@domainA.com”将被过滤掉,但“John.Doe.CEO@domainA.com”将被保留用于进一步处理,并将解析为域A的域内用户名“JDoe123”。
当SDC 140将来自智能馈送180的用户名解析为其域中的用户名时,SDC 140可以使用来自智能馈送180的暴露密码证书,主动尝试获得对内部账户的访问,并且可以被动地监视使用暴露的证书的认证尝试。经由暴露的密码来主动尝试对用户进行认证有助于通过以下提高网络170的安全性:通过在发起对易受攻击的用户的账户的攻击之前,或由其他方法发现的、该账户是否已经经历过针对性攻击的攻击之前,保护易受攻击的用户的账户。被动读取认证尝试允许发现:在基于频率或体积的检测方案中可能未被注意到的暴力攻击。这些暴力攻击中的认证尝试可以针对由网络170服务或不由其服务的账户,并且可以基于在一个或多个认证请求中使用的、与智能馈送180中提供的证书匹配的用户名、密码或用户名/密码对而被检测。
在各个方面,网络170可以选择将攻击统计信息返回报告给外部智能服务160,以提高附加网络的安全性。这些报告可以作为批量报告被周期性发送,以保护账户匿名性,批量报告覆盖设定时间量(例如,每天、每周、每月)或设定数目的认证请求(例如,n个认证请求的批次)。报告可能包括但不限于与以下有关的统计:在认证请求中所见的有效电子邮件地址的百分比或数目,在认证请求中所见的有效密码的百分比或数目,或唯一使用的无效证书的百分比或数目。批量报告可以标识,或可以由智能服务160链接到给定的智能馈送180,或影响智能馈送180的数据泄露,从而可以针对已知由恶意方攻击活动网络所使用的证书集,来采取附加的预防措施。
图2示出了示例认证协议执行200。各种认证协议可以允许单点登录(SSO)体验,其中即使经由不同的会话(例如,关闭和重新打开被用于访问服务的程序)访问多个服务或访问单个服务,用户也仅主动地认证(即,提供口令)一次,或者每次用户尝试访问服务时可能需要重新认证。
例如,Kerberos协议允许SSO体验,其中用户提供域名、账户名和口令以访问本地计算设备210(其也可以是ASD 110)并且随后访问一个或多个网络服务230(例如,电子邮件服务、文件管理系统、VM)。计算设备210将通过向密钥域控制器(KDC)220发送利用从用户的口令得到的密钥而被加密的(认证请求的当前时间的)时间戳来向KDC 220认证由用户提供的凭证。KDC 220将通过利用被存储在认证服务器130上的它的用户的口令得到密钥的副本解密消息,并且通过验证时间戳是相关的(例如,给定潜在网络等待时间,未加密的时间是可能匹配登录请求的时间)来验证用户的身份。如果时间戳是相关的,则KDC 220将票证授予票证(TGT)传输给计算设备210,TGT是使得计算设备210能够请求对网络服务230的访问而无需重新提供用户的凭证(例如,域名、账户名、口令)的标识符。
一旦在计算设备210上向用户授予了TGT,并且直到TGT到期,每次计算设备210尝试访问网络服务230时,它将利用TGT向域控制器221(驻留在KDC 220中)标识自己。域控制器221将通过票证授予服务222向计算设备提供用于用户试图联系的特定网络服务230的访问票证。用户然后将经由计算设备210向网络服务230提供访问票证。因为访问票证已经由票证授予服务222验证,所以网络服务230将授权用户的访问,并且在用户不需要重新输入凭证的情况下建立计算设备210与网络服务230之间的连接。
NTLM(联网LAN管理)协议是另一种认证协议,其使用域名、账户名和口令(或其单向散列)的凭证来经由质询/响应模型来支持登录。计算设备210必须执行证明其可以访问受保护的凭证的计算,而不是在计算设备210与针对其寻求访问的网络服务230之间发送用户的口令。
在NTLM版本1(NTLMv1)下,网络服务230通过向计算设备210发送作为质询的八字节随机数来认证用户。计算设备210将使用这一八字节随机数和用户的口令的散列值来执行操作。在各个方面,用户还可以向网络服务230发起质询。用户将向网络服务230返回24字节结果(并且可选地返回其自身的质询),这将验证客户端是否已经计算出正确的结果并且因此应当被授予对网络服务230的访问。
更详细地,对NTLMv1下的质询的响应通过从用户的口令(散列)得到16字节密钥而被计算,这可以根据LM散列算法或NT散列算法而被完成,这然后被用空值填充以达到21个字节的大小。填充的散列然后被分成三个(七个字节),这被用于针对数据加密标准(DES)算法创建三个密钥。密钥中的每个密钥然后被用于经由DES(在电子口令本模式中)加密质询,这导致被连接成24字节响应的三个八字节密文。
NTLM版本2(NTLMv2)构建在NTLMv1上以提供附加的安全性并且增强NTLMv1以采用128位密钥空间,其中术语“密钥空间”被理解为:指代用于由协议使用的给定加密算法的可能有效密钥的集合。NTLMv2允许继续使用来自先前NTLMv1机制的现有域控制器。NTLMv2向响应添加附加的客户端质询,这些质询被散列并且传输给网络服务230以授予或拒绝对用户的访问。
如将领会到的,尽管关于图2详细讨论了Kerberos和NTLM协议,但是可以使用其他认证协议,或者可以对所呈现的协议进行变化。在图2中被讨论的协议作为非限制性示例被给出,以在本公开内容中引入在用于认证的示例方面中涉及的操作和术语。在不背离本公开的精神和范围的情况下,使用各种加密算法的其他协议可以被使用。
图3是示出在用于主动验证用户证书以独立于网络业务来保卫易受攻击账户的示例方法300中所涉及的一般阶段的流程图。方法300开始于操作310,其中智能馈送180被接收。智能馈送180包括来自域的已经暴露(例如,在数据泄露中)的证书,并且可以由恶意方在攻击中使用。证书包括一个或多个用户标识符(例如,电子邮件地址、账户名、个人姓名、社会安全号)和暴露的密码,但是在各个方面,还可以包括附加信息(例如,安全问题及其答案)。在一些方面,方法300可以响应于接收到智能馈送180而被发起。然而,在其他方面,方法300可以响应于用户更新密码或者周期性地(例如,每月、每周)由网络170发起,在这种情况下,方法300可以在操作320处开始,并且将使用来自先前接收到的智能馈送180的数据。
在操作320处,来自智能馈送180的账户标识符被试图由给定域的SDC 140解析为本地账户。例如,如果用于认证请求的分组包括电子邮件地址或用户名作为账户标识符,则SDC 140可以确定电子邮件或用户名是否存在于由网络170服务的账户的活动目录中。在一些方面,该确定可以包括对网络170中的活动目录的查询,以将域外账户标识符(例如,电子邮件地址)与域内账户标识符(例如,内部用户名)相匹配。
然后,方法300前进到决策330,其中确定标识符是否解析为本地账户。当标识符未解析为本地账户时,方法300可以结束。当标识符确实解析为本地账户时,方法300前进到操作340,其中从智能馈送180接收的暴露的密码被用于尝试登录到认证系统130或其虚拟副本(例如,蜜罐系统、镜像)。
在各个方面,SDC 140使用来自智能馈送180的暴露的密码,并且可选地,在操作340处使用其轻微变型来尝试获得对所实现的账户的访问。轻微变型可以由管理员设置,以在密码的针对性内部暴力攻击中尝试指定数目的版本。针对性内部暴力攻击会对暴露的密码进行特定的变化,从而当暴露的密码与域中的用户密码不完全匹配但共享共同的基础时,重复使用基本密码的用户(这易受针对性攻击)可以被标识出。例如,特定的变化可以指定:表示数字的字符被不同的数字字符代替(例如,“1”被“2”代替,然后被“3”代替等);字母字符的大小写已调整,其中大写字母被换为小写字母,反之亦然(例如,“A”被“a”代替,“b”被“B”代替);特殊字符被循环通过(例如,需要使用至少一个特殊字符的密码可以用“@”、“#”、“$”等替换“!”的特殊字符);字母字符的重音被调整(例如,“u”被替换为
“ü”等);进行交叉脚本替换(例如,“b”被替换为“β”或“β”);基于字符的已知相似或暗示形状进行字母/数字替换(例如,“0”被替换为“o”或“O”;“3”被替换为“e”或“E”;“4”被替换为“a”或“A”;反之亦然)。为了说明,密码“password#1”可以具有轻微的变型,包括但不限于:“Password#1”、“PASSWORD#1”、“password#2”、“password&1”、“p4Ssw0rD$7”等,该变型可以被尝试以登录到相关联的账户。管理员可以设置在尝试时将应用多少个变型和什么变型,以查看用户是否正在内部使用密码的公共基础以及在外部已经暴露的密码。
在决策350处确定针对给定账户的登录尝试是否成功。当登录尝试不成功时,方法300前进到操作370,其中警报被生成。当其中一次登录尝试成功时,方法300前进到操作360,其中给定账户被保护。
当在操作360处账户被保护时,可以采取各种安全措施。例如,可以锁定账户以防止来自外部ASD 110的访问(例如,可以要求场内服务(on premise)登录,直到密码能够被改变),可以限制从该账户对安全文件或系统的访问,可以联系用户以改变密码,认证服务器130可以自动重置用户的密码,可能要求多因素认证等。然后,方法300可以前进到操作370,和/或在必要时从操作320重复,以主动验证智能馈送180中的附加标识符是否使其他账户面临风险。
当警报在操作370处被生成时,可以联系泄漏证书被解析为其账户的管理员或用户。警报可以作为电子邮件、文本消息、寻呼机信号、网络消息、自动电话消息等被发送,从而由用户在网络170外部使用的其他账户可以由用户保护,或者可以关于暴露的证书采取附加的安全措施。然后,方法300可以结束或根据需要从操作320重复,以主动验证智能馈送180中的附加标识符是否使其他账户面临风险。
图4是示出用于被动地验证在观察到的网络业务中存在的用户证书,以标识使用暴露的证书的攻击的示例方法400中涉及的一般阶段的流程图。方法400开始于操作410,其中智能馈送180被接收。智能馈送180包括来自域的已经暴露(例如,在数据泄露中)的证书,并且可以由恶意方在攻击中使用。证书包括一个或多个用户标识符(例如,电子邮件地址、账户名、个人姓名、社会安全号)和暴露的密码,但是在各个方面,还可以包括附加信息(例如,安全问题及其答案)。一旦智能馈送180最初已被接收,方法400随后可以在操作420处开始,并使用从方法400的先前执行接收到的智能馈送180。
在操作420处,去往认证服务器130的认证请求由网络170的网关120接收。在各个方面,网络的SDC 140被动地监视接收到的认证请求(例如,经由端口转发),并且在操作430处试图使用来自智能馈送180的一个或多个密码,以试图解密认证请求的加密部分。认证请求将包括用户名(请求的用户名)和根据或基于密码加密的加密部分。
在各个方面,多于一个的暴露的密码可以被应用于每个认证尝试,以试图解密其加密部分。例如,密钥阵列可以根据智能馈送180中的密码而被生成,以创建n个密钥来针对每个认证请求的加密部分进行尝试。在各个方面,阵列可以在认证尝试之前构建,或者可以在SDC140检查利用各种可能密码的各种认证尝试时即时构建(或添加)。例如,当智能馈送180提供多于n个密码时,密钥阵列可以将新密码旋转到n-密钥阵列中以替换其他密码。取决于所使用的授权协议,密钥阵列中的密钥可以是密码、密码的散列、或者根据密码来散列的不同值的散列。
密钥阵列被应用于在操作420处接收到的认证请求的加密部分。包括密钥阵列的密钥被连续地应用于加密部分,以尝试解密该部分。处于其可能的解密状态的部分在决策440和决策450中用于分别确定网络170的泄漏证书是否被用于认证请求中,并且授权是否被授予对网络170的访问。当由在操作430中应用的泄漏密码“解密”的部分被确定已经实际上用暴露的密码解密时,方法400前进到决策450,因为确定证书已经暴露,否则方法400可以结束,或者从操作430、利用来自智能馈送180的不同密码而重复进行。当根据所使用的认证协议,逻辑结果由来自智能馈送180的被尝试的密码产生时,该部分被确定为已经被解密。例如,当协议(诸如Kerberos)使用加密时间戳时,如果解密版本产生格式化为时间戳的数据集,该时间戳将是认证请求被发送的可能时间(例如,考虑网络延迟和系统时钟同步的差异,解密的时间戳与针对消息接收到的时间相关),则该部分被确定已经用泄漏的证书进行了解密。
在决策450处,确定使用泄漏证书的授权尝试是否成功授予对网络170的访问。当授权成功时,方法400前进到操作460以使被授予授权的账户安全;而当授权失败时,方法400前进到操作470以保护网络免受可能的攻击。
在操作460处,保护与暴露的证书相对应的账户。因为授权请求可能是从合法用户发送的,该用户不知道证书已经从另一网络被暴露,保护账户包括但不限于账户特定的安全措施:警告管理员或用户更改密码,需要附加的认证因素(例如,秘密问题/答案质询,向辅助设备发布访问令牌),使用户退出账户,自动重置账户密码,限制对网络中的敏感文件/位置的访问,阻止远程访问账户,锁定账户,以及标记账户以进行管理审核。然后,方法400前进到操作470。
在操作470处,针对可能的攻击来使网络170安全。在各个方面,响应于使用泄漏证书的、成功或未成功授予对网络的访问的认证请求来执行操作470,可以采取的网络特定的安全措施包括但不限于:实施ACL(例如,将发送认证请求的IP地址列入黑名单,激活白名单以仅允许来自可信IP地址的认证请求),阻止认证请求所定址的端口,在网络内迁移机器或以其他方式更改其IP地址,要求多因素认证,以及实施附加的分组筛选技术。方法400可以在操作470之后结束。
智能馈送180
虽然已经在与在计算机上的操作系统上运行的应用程序一起执行的程序模块的一般上下文中描述了实现方式,但是本领域技术人员将认识到,这些方面也可以与其他程序模块一起被实现。通常,程序模块包括例程、程序、组件、数据结构和执行特定任务或实现特定抽象数据类型的其他类型的结构。
本文中描述的各方面和功能可以经由多种计算系统来操作,这些计算系统包括但不限于台式计算机系统、有线和无线计算系统、移动计算系统(例如,移动电话、上网本、平板或板(slate)型计算机、笔记本计算机和膝上型计算机)、手持设备、多处理器系统、基于微处理器的或可编程的消费电子产品、小型计算机和大型计算机。
另外,根据一个方面,本文中描述的各方面和功能在分布式系统(例如,基于云的计算系统)上操作,其中应用功能、存储器、数据存储和取回以及各种处理功能通过诸如因特网或内联网的分布式计算网络彼此远程操作。根据一个方面,用户界面和各种类型的信息经由车载计算设备显示器或经由与一个或多个计算设备相关联的远程显示单元而被显示。例如,用户界面和各种类型的信息在用户界面和各种类型的信息被投影到的墙壁表面上显示和交互。与实践实现方式的多个计算系统的交互包括击键输入、触摸屏输入、语音或其他音频输入、手势输入,其中相关联的计算设备配备有用于捕获和解释用户手势以控制计算设备等的功能的检测(例如,相机)功能。
图5、图6A和图6B和相关联的描述提供了对其中实践示例的各种操作环境的讨论。然而,关于图5、图6A和图6B而被示出和讨论的设备和系统是出于示例和说明的目的,而不是限制用于实践本文所描述的方面的大量计算设备配置。
图5是示出可以用以实践本公开内容的示例的计算设备500的物理组件(即,硬件)的框图。在基本配置中,计算设备500包括至少一个处理单元502和系统存储器504。根据一个方面,取决于计算设备的配置和类型,系统存储器504包括但不限于易失性存储装置(例如,随机存取存储器)、非易失性存储装置(例如,只读存储器)、闪存或这样的存储器的任何组合。根据一个方面,系统存储器504包括操作系统505和适合于运行软件应用550的一个或多个程序模块506。根据一个方面,系统存储器504包括用来使得软件应用550能够经由存储的指令来采用本公开内容的教导的SDC控制器。例如,操作系统505适合于控制计算设备500的操作。此外,各方面结合图形库、其他操作系统或任何其他应用程序而被实践,并且不限于任何特定应用或系统。这一基本配置在图5中由虚线508内的那些组件示出。根据一个方面,计算设备500具有附加特征或功能。例如,根据一个方面,计算设备500包括附加数据存储设备(可移除和/或不可移除),诸如例如磁盘、光盘或磁带。这样的附加存储装置在图5中由可移除存储设备509和不可移除存储设备510示出。
如上所述,根据一个方面,多个程序模块和数据文件存储在系统存储器504中。当在处理单元502上执行时,程序模块506执行过程,这些过程包括但不限于图3和图4中所示的方法300和400的阶段中的一个或多个阶段。根据一个方面,根据示例使用其他程序模块,并且其他程序模块包括诸如电子邮件和联系人应用、文字处理应用、电子表格应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用程序等应用。
根据一个方面,计算设备500具有一个或多个输入设备512,诸如键盘、鼠标、笔、声音输入设备、触摸输入设备等。根据一个方面,还包括(多个)输出设备514,诸如显示器、扬声器、打印机等。上述设备是示例,并且可以使用其他设备。根据一个方面,计算设备500包括允许与其他计算设备518的通信的一个或多个通信接口516。合适的通信接口516的示例包括但不限于射频(RF)发射器、接收器和/或收发电路;通用串行总线(USB)端口、并行和/或串行端口和以太网端口。
本文中使用的术语计算机可读介质包括计算机存储介质装置和制品。计算机存储介质包括以用于诸如计算机可读指令、数据结构或程序模块的信息的存储的任何方法或技术而被实现的易失性和非易失性、可移除和不可移除介质。系统存储器504、可移除存储设备509和不可移除存储设备510都是计算机存储介质示例(即,存储器存储装置)。根据一个方面,计算机存储介质包括RAM、ROM、电可擦除可编程只读存储器(EEPROM)、闪存或其他存储器技术、CD-ROM、数字通用盘(DVD)或其他光学存储装置、磁带盒、磁带、磁盘存储装置或其他磁存储设备、或者可以被用于存储信息并且可以由计算设备500访问的任何其他制品。根据一个方面,任何这样的计算机存储介质是计算设备500的一部分。计算机存储介质不包括载波或其他传播的数据信号。
根据一个方面,通信介质由计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制的调制的数据信号中的其他数据体现,并且包括任何信息递送介质。根据一个方面,术语“调制的数据信号”描述以使得能够在信号中对信息编码的方式设置或改变一个或多个特性的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接等有线介质以及诸如声学、射频(RF)、红外和其他无线介质等无线介质。
图6A和图6B示出了可以用以实践这些方面或者可以被用作ASD 110的移动计算设备600,例如,移动电话、智能电话、平板个人计算机、膝上型计算机等。参考图6A,示出了用于实现这些方面的移动计算设备600的示例。在基本配置中,移动计算设备600是具有输入元件和输出元件两者的手持式计算机。移动计算设备600通常包括显示器605和允许用户向移动计算设备600中输入信息的一个或多个输入按钮610。根据一个方面,移动计算设备600的显示器605用作输入设备(例如,触摸屏显示器)。如果被包括,则可选的侧输入元件615允许进一步的用户输入。根据一个方面,侧输入元件615是旋转开关、按钮或任何其他类型的手动输入元件。在备选示例中,移动计算设备600包括更多或更少的输入元件。例如,在一些示例中,显示器605可以不是触摸屏。在备选示例中,移动计算设备600是便携式电话系统,诸如蜂窝电话。根据一个方面,移动计算设备600包括可选的小键盘635。根据一个方面,可选的小键盘635是物理小键盘。根据另一方面,可选的小键盘635是在触摸屏显示器上被生成的“软”小键盘。在各个方面中,输出元件包括用于示出图形用户界面(GUI)的显示器605、视觉指示器620(例如,发光二极管)和/或音频换能器625(例如,扬声器)。在一些示例中,移动计算设备600并入用于向用户提供触觉反馈的振动换能器。在又一示例中,移动计算设备600并入用于向外部设备发送信号或从外部设备接收信号的外围设备端口640,诸如音频输入(例如,麦克风插孔)、音频输出(例如,耳机插孔)和视频输出(例如,HDMI端口)。
图6B是示出移动计算设备的一个示例的架构的框图。也就是说,移动计算设备600并入用来实现一些示例的系统(即,架构)602。在一个示例中,系统602被实现为能够运行一个或多个应用(例如,浏览器、电子邮件、日历、联系人管理器、消息接发客户端、游戏和媒体客户端/播放器)的“智能电话”。在一些示例中,系统602被集成为计算设备,诸如集成的个人数字助理(PDA)和无线电话。
根据一个方面,一个或多个应用程序650被加载到存储器662中并且在操作系统664上或与其相关联地运行。应用程序的示例包括电话拨号器程序、电子邮件程序、个人信息管理(PIM)程序、文字处理程序、电子表格程序、因特网浏览器程序、消息接发程序等。根据一个方面,用于访问网络的客户端被加载到存储器662中。系统602还包括存储器662内的非易失性存储区域668。非易失性存储区域668被用于存储在系统602被断电时不应当被丢失的持久性信息。应用程序650可以在非易失性存储区域668中使用和存储信息,诸如电子邮件或由电子邮件应用使用的其他消息等。同步应用(未示出)也驻留在系统602上,并且被编程为与驻留在主计算机上的对应同步应用交互,以使被存储在非易失性存储区域668中的信息与存储在主计算机处的对应信息保持同步。应当领会到,其他应用可以被加载到存储器662中并且在移动计算设备600上运行。
根据一个方面,系统602具有被实现为一个或多个电池的电源670。根据一个方面,电源670还包括对电池进行补充或再充电的外部电源,诸如AC适配器或电动对接支架。
根据一个方面,系统602包括执行传输和接收射频通信的功能的无线电672。无线电672经由通信载体或服务提供商促进系统602与“外部世界”之间的无线连接。去往和来自无线电672的传输在操作系统664的控制下被进行。换言之,由无线电672接收的通信可以经由操作系统664被传播给应用程序650,反之亦然。
根据一个方面,视觉指示器620被用于提供视觉通知,和/或音频接口674被用于经由音频换能器625产生可听通知。在所示的示例中,视觉指示器620是发光二极管(LED)并且音频换能器625是扬声器。这些设备可以被直接地耦合到电源670,从而使得当被激活时,它们保持开启持续由通知机制指示的持续时间,即使处理器660和其他组件可能关闭以节省电池电量。LED可以被编程为无限期地保持开启,直到用户采取动作来指示设备的通电状态。音频接口674被用于向用户提供可听信号以及从用户接收可听信号。例如,除了被耦合到音频换能器625之外,音频接口674还可以被耦合到麦克风以接收可听输入,诸如以促进电话交谈。根据一个方面,系统602还包括使得车载相机630的操作能够记录静止图像、视频流等的视频接口676。
根据一个方面,实现系统602的移动计算设备600具有附加特征或功能。例如,移动计算设备600包括附加数据存储设备(可移除和/或不可移除),诸如磁盘、光盘或磁带。这样的附加存储装置在图6B中由非易失性存储区域668示出。
根据一个方面,由移动计算设备600生成或捕获并且经由系统602被存储的数据/信息在本地被存储在移动计算设备600上,如上所述。根据另一方面,数据被存储在由设备经由无线电672或经由移动计算设备600与关联于移动计算设备600的单独计算设备(例如,诸如因特网的分布式计算网络中的服务器计算机)之间的有线连接可访问的任何数目的存储介质上。应当领会到,这样的数据/信息可以经由移动计算设备600经由无线电672或经由分布式计算网络而被访问。类似地,根据一个方面,根据公知的数据/信息传输和存储装置,包括电子邮件和协作数据/信息共享系统,这样的数据/信息在计算设备之间被容易地传送以用于存储和使用。
例如,以上参考根据各方面的方法、系统和计算机程序产品的框图和/或操作图示描述了实现方式。框中记录的功能/动作可以不按任何流程图所示的顺序发生。例如,连续示出的两个框实际上可以基本上同时地被执行,或者这些框有时可以按照相反的顺序被执行,这取决于涉及的功能/动作。
本申请中提供的一个或多个示例的描述和说明并非旨在以任何方式限制或约束要求保护的范围。本申请中提供的各方面、示例和细节被认为足以传达所有权并且使得其他人能够制作和使用最佳模式。实现方式不应当被解释为限于本申请中提供的任何方面、示例或细节。无论是组合地还是单独地被示出和描述,旨在选择性地包括或省略各种特征(结构和方法)以产生具有特定特征集的示例。已经提供了本申请的描述和说明,本领域技术人员可以设想落入被体现在本申请中的总体发明性概念的更广泛方面的精神内的而没有脱离本公开内容的更广泛的范围的变型、修改和备选示例。
Claims (17)
1.一种用于保护第一网络免受攻击的方法,所述方法包括:
通过第一网络内的安全设备中心请求来自智能服务的智能馈送,所述智能馈送包括暴露的用户名和与所述暴露的用户名相关联的暴露的密码,其中所述暴露的用户名和所述暴露的密码是从第二网络暴露的;
通过所述安全设备中心确定所述暴露的用户名在所述第一网络中解析为本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试使用所述本地用户名和所述暴露的密码来登录所述第一网络;
通过所述安全设备中心接收访问所述第一网络的授权请求,其中所述授权请求包括电子邮件地址和加密部分;
通过所述安全设备中心确定所述电子邮件地址在所述第一网络中解析为所述本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试利用所述暴露的密码对所述加密部分进行解密;以及
基于确定所述安全设备中心使用所述本地用户名和所述暴露的密码成功登录到所述第一网络并且确定所述加密部分利用所述暴露的密码被成功解密,通过所述安全设备用信号通知认证服务器,以使与所述第一网络中的所述本地用户名相关联的账户安全。
2.根据权利要求1所述的方法,其中确定所述暴露的用户名是否在所述第一网络中解析为所述本地用户名包括:
利用域外用户名查询针对所述第一网络的活动目录,以返回域内用户名;
基于所述查询返回所述域内用户名,确定返回的所述域内用户名是所述本地用户名;以及
基于所述查询没有返回所述域内用户名,确定所述暴露的用户名未解析为所述本地用户名;以及
基于确定所述暴露的用户名未解析为所述本地用户名,通过所述安全设备用信号通知被部署在所述第一网络中的网关,以使所述第一网络安全。
3.根据权利要求1所述的方法,其中响应于所述认证服务器上的证书更新而接收所述证书。
4.根据权利要求1所述的方法,其中基于将所述暴露的密码应用于所述加密部分从而产生被格式化为时间戳的字段,确定所述加密部分已经被成功解密。
5.根据权利要求1所述的方法,其中响应于所述安全设备中心向在所述第一网络外部被托管的智能服务发送请求,所述智能馈送根据拉取模型而被接收,其中所述智能服务可操作为收集所述暴露的用户名和所述暴露的密码。
6.根据权利要求1所述的方法,其中所述智能馈送根据推送模型而被接收,其中所述智能馈送周期性地从在所述第一网络外部被托管的智能服务被接收。
7.根据权利要求1所述的方法,其中通过应用网络特定的安全过程来使与所述第一网络中的所述本地用户名相关联的所述账户安全。
8.根据权利要求7所述的方法,其中所述网络特定的安全过程包括以下中的至少一个:
实施访问控制列表;
阻塞端口;以及
要求多因素认证来访问与所述本地用户名相关联的本地账户。
9.根据权利要求7所述的方法,其中所述网络特定的安全过程包括以下中的至少一个:
锁定与所述本地用户名相关联的本地账户以防止访问;
限制从所述本地用户名访问敏感文件和系统;
重置与所述本地用户名相关联的本地密码;
联系与所述本地用户名相关联的用户,以更改所述本地密码;以及
标记所述本地用户名,以用于人工审核。
10.一种用于保护第一网络免受攻击的装置,所述装置包括:
至少一个处理器设备;以及
可操作地连接到所述至少一个处理器的存储器,所述存储器存储指令,所述指令在被执行时使得所述至少一个处理器设备:
通过第一网络内的安全设备中心请求来自智能服务的智能馈送,所述智能馈送包括暴露的用户名和与所述暴露的用户名相关联的暴露的密码,其中所述暴露的用户名和所述暴露的密码是从第二网络暴露的;
通过所述安全设备中心确定所述暴露的用户名在所述第一网络中解析为本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试使用所述本地用户名和所述暴露的密码来登录所述第一网络;
通过所述安全设备中心接收访问所述第一网络的授权请求,其中所述授权请求包括电子邮件地址和加密部分;
通过所述安全设备中心确定所述电子邮件地址在所述第一网络中解析为所述本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试利用所述暴露的密码对所述加密部分进行解密;以及
基于确定所述安全设备中心使用所述本地用户名和所述暴露的密码成功登录到所述第一网络并且确定所述加密部分利用所述暴露的密码被成功解密,通过所述安全设备用信号通知认证服务器,以使与所述第一网络中的所述本地用户名相关联的账户安全。
11.根据权利要求10所述的装置,其中所述装置包括所述第一网络内的安全设备中心。
12.根据权利要求10所述的装置,其中通过应用网络特定的安全过程来使与所述第一网络中的所述本地用户名相关联的所述账户安全。
13.根据权利要求12所述的装置,其中所述网络特定的安全过程包括以下中的至少一个:
实施访问控制列表;
阻塞端口;以及
要求多因素认证来访问与所述本地用户名相关联的本地账户。
14.根据权利要求10所述的装置,其中所述智能馈送根据推送模型而被接收,其中所述智能馈送周期性地从在所述第一网络外部被托管的智能服务被接收。
15.一种包括计算机可执行指令的计算机可读存储介质,所述计算机可执行指令在被计算设备执行时将使得所述计算设备执行方法,所述方法包括:
通过第一网络内的安全设备中心请求来自智能服务的智能馈送,所述智能馈送包括暴露的用户名和与所述暴露的用户名相关联的暴露的密码,其中所述暴露的用户名和所述暴露的密码是从第二网络暴露的;
通过所述安全设备中心确定所述暴露的用户名在所述第一网络中解析为本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试使用所述本地用户名和所述暴露的密码来登录所述第一网络;
通过所述安全设备中心接收访问所述第一网络的授权请求,其中所述授权请求包括电子邮件地址和加密部分;
通过所述安全设备中心确定所述电子邮件地址在所述第一网络中解析为所述本地用户名;
基于确定所述暴露的用户名在所述第一网络中解析为所述本地用户名,通过所述安全设备中心尝试利用所述暴露的密码对所述加密部分进行解密;以及
基于确定所述安全设备中心使用所述本地用户名和所述暴露的密码成功登录到所述第一网络并且确定所述加密部分利用所述暴露的密码被成功解密,通过所述安全设备用信号通知认证服务器,以使与所述第一网络中的所述本地用户名相关联的账户安全。
16.根据权利要求15所述的计算机可读存储介质,其中通过应用网络特定的安全过程来使与所述第一网络中的所述本地用户名相关联的所述账户安全。
17.根据权利要求16所述的计算机可读存储介质,其中所述网络特定的安全过程包括以下中的至少一个:
实施访问控制列表;
阻塞端口;以及
要求多因素认证来访问与所述本地用户名相关联的本地账户。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110862666.8A CN113553558A (zh) | 2016-06-30 | 2017-06-27 | 经由内部网络监视来检测使用泄漏证书的攻击 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/199,880 US10129298B2 (en) | 2016-06-30 | 2016-06-30 | Detecting attacks using compromised credentials via internal network monitoring |
| US15/199,880 | 2016-06-30 | ||
| PCT/US2017/039352 WO2018005397A1 (en) | 2016-06-30 | 2017-06-27 | Detecting attacks using compromised credentials via internal network monitoring |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110862666.8A Division CN113553558A (zh) | 2016-06-30 | 2017-06-27 | 经由内部网络监视来检测使用泄漏证书的攻击 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109417553A CN109417553A (zh) | 2019-03-01 |
| CN109417553B true CN109417553B (zh) | 2021-08-20 |
Family
ID=59298539
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110862666.8A Pending CN113553558A (zh) | 2016-06-30 | 2017-06-27 | 经由内部网络监视来检测使用泄漏证书的攻击 |
| CN201780040928.4A Active CN109417553B (zh) | 2016-06-30 | 2017-06-27 | 经由内部网络监视来检测使用泄漏证书的攻击 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110862666.8A Pending CN113553558A (zh) | 2016-06-30 | 2017-06-27 | 经由内部网络监视来检测使用泄漏证书的攻击 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10129298B2 (zh) |
| EP (1) | EP3479542B1 (zh) |
| CN (2) | CN113553558A (zh) |
| WO (1) | WO2018005397A1 (zh) |
Families Citing this family (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
| WO2017208969A1 (ja) * | 2016-06-01 | 2017-12-07 | 日本電信電話株式会社 | 検知装置、検知方法、検知システム、および検知プログラム |
| US10558797B2 (en) * | 2016-08-12 | 2020-02-11 | Duo Security, Inc. | Methods for identifying compromised credentials and controlling account access |
| CA3037520A1 (en) * | 2016-09-21 | 2018-03-29 | Walmart Apollo, Llc | System and methods for point to point encryption and tokenization in a hosted environment |
| GB2543952B (en) * | 2016-10-07 | 2019-05-01 | F Secure Corp | Advanced local-network threat response |
| WO2018122050A1 (en) | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Historic data breach detection |
| US11582248B2 (en) * | 2016-12-30 | 2023-02-14 | British Telecommunications Public Limited Company | Data breach protection |
| US11611570B2 (en) | 2016-12-30 | 2023-03-21 | British Telecommunications Public Limited Company | Attack signature generation |
| US20180270243A1 (en) * | 2017-03-17 | 2018-09-20 | International Business Machines Corporation | Preventing widespread takeover of accounts |
| US10812266B1 (en) * | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| CN109804610B (zh) * | 2017-03-23 | 2022-05-13 | 柏思科技有限公司 | 限制具有网络功能的设备的数据流量传输的方法和系统 |
| US10841176B2 (en) * | 2017-03-30 | 2020-11-17 | Siemens Wind Power A/S | Systems and methods for managing a plurality of wind power plants |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
| CN109033885B (zh) * | 2017-06-09 | 2022-11-18 | 腾讯科技(深圳)有限公司 | 一种数据响应方法、终端设备以及服务器 |
| US10891947B1 (en) | 2017-08-03 | 2021-01-12 | Wells Fargo Bank, N.A. | Adaptive conversation support bot |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11019089B1 (en) * | 2018-02-27 | 2021-05-25 | Amazon Technologies, Inc. | Performing security assessments based on user credentials |
| US10388286B1 (en) * | 2018-03-20 | 2019-08-20 | Capital One Services, Llc | Systems and methods of sound-based fraud protection |
| US11032318B2 (en) | 2018-08-06 | 2021-06-08 | Juniper Networks, Inc. | Network monitoring based on distribution of false account credentials |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10715471B2 (en) * | 2018-08-22 | 2020-07-14 | Synchronoss Technologies, Inc. | System and method for proof-of-work based on hash mining for reducing spam attacks |
| US11438360B2 (en) * | 2018-10-31 | 2022-09-06 | SpyCloud, Inc. | Determining the intersection of a set of compromised credentials with a set of active credentials with data structures and architectures that expedite comparisons |
| US11283832B2 (en) * | 2018-10-31 | 2022-03-22 | SpyCloud, Inc. | Detecting use of compromised security credentials in private enterprise networks |
| US11089036B2 (en) * | 2018-12-27 | 2021-08-10 | Sap Se | Identifying security risks and fraud attacks using authentication from a network of websites |
| US11509647B2 (en) * | 2019-01-28 | 2022-11-22 | Microsoft Technology Licensing, Llc | Determination of weak hashed credentials |
| EP3693859B1 (en) * | 2019-02-06 | 2022-04-27 | ADVA Optical Networking SE | Method and system of latency assessment in a packet data network |
| US11108818B2 (en) * | 2019-02-17 | 2021-08-31 | Microsoft Technology Licensing, Llc | Credential spray attack detection |
| US10614208B1 (en) * | 2019-02-21 | 2020-04-07 | Capital One Services, Llc | Management of login information affected by a data breach |
| US11949677B2 (en) * | 2019-04-23 | 2024-04-02 | Microsoft Technology Licensing, Llc | Resource access based on audio signal |
| US10992706B2 (en) | 2019-04-30 | 2021-04-27 | Netiq Corporation | Detection of cyber attacks from high-frequency hashed incorrect passwords |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| WO2021002884A1 (en) | 2019-07-03 | 2021-01-07 | Cyber Team Six, Llc | Data breach prevention and remediation |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11625491B1 (en) * | 2019-08-15 | 2023-04-11 | F5, Inc. | Managing network traffic with sensitive data |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11308205B2 (en) * | 2019-11-15 | 2022-04-19 | Bank Of America Corporation | Security tool for preventing internal data breaches |
| US11431709B2 (en) * | 2020-03-13 | 2022-08-30 | International Business Machines Corporation | Authentication using client login metrics |
| US11936664B2 (en) | 2020-03-14 | 2024-03-19 | Microsoft Technology Licensing, Llc | Identity attack detection and blocking |
| US11216553B1 (en) * | 2020-05-14 | 2022-01-04 | Rapid7, Inc. | Machine scanning system with distributed credential storage |
| CN111859376A (zh) * | 2020-07-21 | 2020-10-30 | 广州锦行网络科技有限公司 | 一种基于windows登陆信息发现内网攻击者的方法 |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| WO2022066910A1 (en) | 2020-09-23 | 2022-03-31 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| CN112383562A (zh) * | 2020-11-30 | 2021-02-19 | 杭州安恒信息技术股份有限公司 | 一种内网安全信息展示方法、装置、电子设备及存储介质 |
| US20220239634A1 (en) * | 2021-01-26 | 2022-07-28 | Proofpoint, Inc. | Systems and methods for sensor trustworthiness |
| US11811929B2 (en) | 2021-01-27 | 2023-11-07 | International Business Machines Corporation | Detection of compromised credentials |
| US11797686B1 (en) * | 2021-03-19 | 2023-10-24 | Citrix Systems, Inc. | Assessing risk from use of variants of credentials |
| CN113079157A (zh) * | 2021-03-31 | 2021-07-06 | 广州锦行网络科技有限公司 | 获取网络攻击者位置的方法、装置、电子设备 |
| US11855989B1 (en) * | 2021-06-07 | 2023-12-26 | Wells Fargo Bank, N.A. | System and method for graduated deny list |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| CN113923048B (zh) * | 2021-11-09 | 2023-07-04 | 中国联合网络通信集团有限公司 | 网络攻击行为识别方法、装置、设备及存储介质 |
| CN113821801B (zh) * | 2021-11-24 | 2022-03-08 | 北京华云安信息技术有限公司 | 基于爆破字典库的爆破测试方法及装置 |
| US11936785B1 (en) | 2021-12-27 | 2024-03-19 | Wiz, Inc. | System and method for encrypted disk inspection utilizing disk cloning techniques |
| US20230376586A1 (en) * | 2022-05-23 | 2023-11-23 | Wiz, Inc. | Techniques for improved virtual instance inspection utilizing disk cloning |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN115022051A (zh) * | 2022-06-07 | 2022-09-06 | 中国工商银行股份有限公司 | 账户检测方法、装置、电子设备及计算机可读存储介质 |
| US11843619B1 (en) * | 2022-10-07 | 2023-12-12 | Uab 360 It | Stateless system to enable data breach notification |
| CN117540433B (zh) * | 2024-01-09 | 2024-04-26 | 山西清众科技股份有限公司 | 用户隐私保护方法、服务器、用户终端及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135494A (zh) * | 2014-08-22 | 2014-11-05 | 北京京东尚科信息技术有限公司 | 一种基于可信终端的同账户非可信终端登录方法及系统 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6460058B2 (en) * | 1996-12-06 | 2002-10-01 | Microsoft Corporation | Object-oriented framework for hyperlink navigation |
| US8954509B1 (en) * | 2003-09-18 | 2015-02-10 | Microsoft Corporation | System and method for broadcasting data over a computer network |
| WO2005071923A1 (en) | 2004-01-20 | 2005-08-04 | Intrusic, Inc | Systems and methods for monitoring data transmissions to detect a compromised network |
| US8842887B2 (en) * | 2004-06-14 | 2014-09-23 | Rodney Beatson | Method and system for combining a PIN and a biometric sample to provide template encryption and a trusted stand-alone computing device |
| AU2005255513A1 (en) | 2004-06-21 | 2005-12-29 | Echoworx Corporation | Method, system and computer program for protecting user credentials against security attacks |
| US20070130463A1 (en) * | 2005-12-06 | 2007-06-07 | Eric Chun Wah Law | Single one-time password token with single PIN for access to multiple providers |
| US8640231B2 (en) | 2006-02-23 | 2014-01-28 | Microsoft Corporation | Client side attack resistant phishing detection |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| WO2011160683A1 (en) | 2010-06-22 | 2011-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Privacy preserving authorisation in pervasive environments |
| US8782796B2 (en) | 2012-06-22 | 2014-07-15 | Stratum Security, Inc. | Data exfiltration attack simulation technology |
| US8949617B2 (en) * | 2013-05-03 | 2015-02-03 | Citrix Systems, Inc. | Disrupting password attack using compression |
| US8973142B2 (en) | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
| US9077747B1 (en) | 2013-07-23 | 2015-07-07 | Symantec Corporation | Systems and methods for responding to security breaches |
| KR101402660B1 (ko) * | 2013-09-17 | 2014-06-03 | 주식회사 에스씨테크원 | 근거리 무선 통신 기능을 가지는 이동통신단말기를 이용한 일회용 패스워드 무선 인증 시스템 및 방법 |
| US10223530B2 (en) * | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| US9306964B2 (en) | 2014-04-04 | 2016-04-05 | Netscout Systems, Inc. | Using trust profiles for network breach detection |
| US9503452B1 (en) * | 2016-04-07 | 2016-11-22 | Automiti Llc | System and method for identity recognition and affiliation of a user in a service transaction |
-
2016
- 2016-06-30 US US15/199,880 patent/US10129298B2/en active Active
-
2017
- 2017-06-27 CN CN202110862666.8A patent/CN113553558A/zh active Pending
- 2017-06-27 EP EP17737427.9A patent/EP3479542B1/en active Active
- 2017-06-27 CN CN201780040928.4A patent/CN109417553B/zh active Active
- 2017-06-27 WO PCT/US2017/039352 patent/WO2018005397A1/en unknown
-
2018
- 2018-11-13 US US16/188,594 patent/US11025668B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104135494A (zh) * | 2014-08-22 | 2014-11-05 | 北京京东尚科信息技术有限公司 | 一种基于可信终端的同账户非可信终端登录方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190104153A1 (en) | 2019-04-04 |
| WO2018005397A1 (en) | 2018-01-04 |
| EP3479542B1 (en) | 2020-07-22 |
| CN109417553A (zh) | 2019-03-01 |
| US11025668B2 (en) | 2021-06-01 |
| CN113553558A (zh) | 2021-10-26 |
| US20180007087A1 (en) | 2018-01-04 |
| EP3479542A1 (en) | 2019-05-08 |
| US10129298B2 (en) | 2018-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109417553B (zh) | 经由内部网络监视来检测使用泄漏证书的攻击 | |
| CN109155784B (zh) | 区分纵向暴力攻击与良性错误 | |
| US10057282B2 (en) | Detecting and reacting to malicious activity in decrypted application data | |
| US11843577B2 (en) | Fingerprinting to identify devices and applications for use in management and policy in the cloud | |
| US8793780B2 (en) | Mitigation of application-level distributed denial-of-service attacks | |
| US20200186358A1 (en) | Persistent network device authentication | |
| US8909930B2 (en) | External reference monitor | |
| US20140282978A1 (en) | Method and apparatus for secure interaction with a computer service provider | |
| US10375084B2 (en) | Methods and apparatuses for improved network communication using a message integrity secure token | |
| US10812272B1 (en) | Identifying computing processes on automation servers | |
| US10305914B1 (en) | Secure transfer of secrets for computing devices to access network resources | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| US9722791B2 (en) | Three-tiered security and computational architecture | |
| CA2762383C (en) | Mitigation of application-level distributed denial-of-service attacks | |
| Maidine et al. | Cloud Identity Management Mechanisms and Issues | |
| Alexeevskaya et al. | Forensic Search for Traces of Unauthorized Access Using the Kerberos Authentication Protocol | |
| WO2023180685A1 (en) | Early termination of secure handshakes | |
| Irakiza | Dual channel-based network traffic authentication | |
| Eldridge et al. | Final report for the network authentication investigation and pilot. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |