CN109564610A - 审计登录强化 - Google Patents

审计登录强化 Download PDF

Info

Publication number
CN109564610A
CN109564610A CN201780047723.9A CN201780047723A CN109564610A CN 109564610 A CN109564610 A CN 109564610A CN 201780047723 A CN201780047723 A CN 201780047723A CN 109564610 A CN109564610 A CN 109564610A
Authority
CN
China
Prior art keywords
data
subsystem
actual access
audit
time
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201780047723.9A
Other languages
English (en)
Inventor
雅科夫·费特尔松
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Vannis System Co ltd
Original Assignee
Varonis Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Varonis Systems Ltd filed Critical Varonis Systems Ltd
Publication of CN109564610A publication Critical patent/CN109564610A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/52User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail for supporting social networking services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses

Abstract

一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一至少接近实时的数据元素审计子系统,其至少接近实时地提供涉及对在所述企业计算机网络中的多个数据元素的实际访问的审计输出数据,其中所述审计输出数据包含一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个;以及一附加数据提供子系统,其至少接近实时地接收所述审计输出数据的至少一部分,并且利用所述审计输出数据的所述至少一部分来提供附加数据,其中所述附加数据不是所述审计输出数据的一部分。

Description

审计登录强化
相关申请的参考
特此参考2016年6月2日提交,名称为AUDIT LOG ENRICHMENT的美国临时专利申请No.62/344,634,其公开内容通过引用结合于此,并且根据37 CFR 1.78(a)(4)及(5)(i)特此声明其优先权。
还参考受让人拥有的以下美国专利和专利申请,其公开内容通过引用结合于此:
美国专利No.7,555,482、No.7,606,801、No.8,561,146、No.8,239,925、No.8,438,611、No.8,438,612、No.8,601,592、No.8,578,507、No.8,805,884、No.8,533,787、No.8,909,673、No.9,147,180及
美国公开专利申请No.2009/0265780、No.2011/0010758、No.2011/0061093、No.201 1/0296490及No.2012/0271853。
发明领域
本发明涉及审计登录,更具体地说,涉及对在一企业计算机网络中的多个数据元素的实际访问的监控。
背景技术
各种类型的审计登录系统在本领域中是已知的。
发明内容
本发明试图提供涉及对在一企业计算机网络中的多个数据元素的实际访问的监控的多种改进系统及方法,并且在相关时提供其相应的通知。
因此,根据本发明的一优选实施例,提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一至少接近实时的数据元素审计子系统,其至少接近实时地提供涉及对在所述企业计算机网络中的多个数据元素的实际访问的审计输出数据,其中所述审计输出数据包含一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个;以及一附加数据提供子系统,其至少接近实时地接收所述审计输出数据的至少一部分,并且利用所述审计输出数据的所述至少一部分来提供附加数据,其中所述附加数据不是所述审计输出数据的一部分。
优选地,所述附加数据提供子系统提供所述附加数据,所述附加数据来自所述企业计算机网络之内的至少一个数据源。
另外或可替换地,所述附加数据提供子系统提供所述附加数据,所述附加数据来自所述企业计算机网络之外的至少一个数据源。
优选地,所述附加数据提供子系统响应于所述审计输出数据自动地从至少一个数据源提供所述附加数据,所述审计输出数据收自于所述至少接近实时的数据元素审计子系统。
优选地,所述附加数据提供子系统自动地搜索所述企业计算机网络以便找到对所述附加数据提供子系统有用的多个数据源。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,所述方法包括:至少接近实时地提供涉及对在所述企业计算机网络中的多个数据元素的实际访问的审计输出数据,其中所述审计输出数据包含一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个;以及接收所述审计输出数据的至少一部分,并且利用所述审计输出数据的所述至少一部分来提供数据,其中所述数据不是所述审计输出数据的一部分。
优选地,所述附加数据收自于所述企业计算机网络之内的至少一个数据源。
另外或可替换地,所述附加数据收自于所述企业计算机网络之外的至少一个数据源。
优选地,所述接收及所述利用至少接近实时地自动发生。
优选地,所述方法还包括自动地搜索所述企业计算机网络以便找到有用的多个数据源。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一数据元素审计子系统,其提供审计数据,其中所述审计数据至少包含涉及至少两个实际访问的多个时间戳的数据及用于所述两个实际访问的多个计算机的多个IP地址;一附加数据提供子系统,其接收所述审计数据的至少一部分,并且利用所述审计数据的所述至少一部分来提供实际位置数据,其中所述实际位置数据对应用于所述两个实际访问的所述多个计算机的所述多个IP地址;以及一时间及距离分析引擎,其鉴于在所述至少两个实际访问的所述实际位置之间实际地旅行所需要的一最小时间段,指示所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行。
优选地,所述数据元素审计子系统至少接近实时地提供所述审计数据。
优选地,所述附加数据提供子系统至少接近实时地提供所述实际位置数据。
优选地,所述时间及距离分析引擎至少接近实时地提供所述多个时间戳之间的所述时间差与所述至少两个实际访问的所述实际位置之间的所述地理间隔对应彼此是否可行的一指示。
优选地,所述附加数据提供子系统提供所述数据,所述数据来自所述企业计算机网络之外的至少一个数据源。
根据本发明另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,所述方法包括:提供审计数据,其中所述审计数据至少包含涉及至少两个实际访问的多个时间戳的数据及用于所述两个实际访问的多个计算机的多个IP地址;接收所述审计数据的至少一部分,并且利用所述审计数据的所述至少一部分来提供实际位置数据,其中所述实际位置数据对应用于所述两个实际访问的所述多个计算机的所述多个IP地址;以及鉴于在所述至少两个实际访问的所述实际位置之间实际地旅行所需要的一最小时间段,指示所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行。
优选地,所述审计数据至少接近实时地提供。
优选地,所述审计数据是由所述企业计算机网络之外的至少一个数据源所提供。
优选地,所述附加数据是由所述企业计算机网络之外的至少一个数据源所提供。
优选地,所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行的所述指示至少接近实时地提供。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一至少接近实时的数据元素审计子系统,其至少提供涉及执行至少一个实际访问的一个人的数据;以及一附加数据提供子系统,其提供给所述数据元素审计子系统,来自一社交网络的社交网络数据,其中所述社交网络数据涉及在所述社交网络上所述个人的活动。
优选地,所述附加数据提供子系统至少接近实时地提供所述社交网络数据。
优选地,所述系统还包括一时间窗计算子系统,配置成用以指示在所述社交网络上的所述活动是否发生在一预定时间窗内。
优选地,所述附加数据提供子系统响应于所述数据自动地提供所述社交网络数据,所述数据收自于所述所述数据元素审计子系统。
优选地,所述附加数据提供子系统的操作通过所述个人在所述社交网络上的所述活动的至少一次发生所触发。
另外或可替换地,所述附加数据提供子系统的操作是按一计划而触发的,所述计划是基于分析所述个人在所述社交网络上的活动的发生。
可替换地,所述附加数据提供子系统的操作是连续地触发以分析所述个人在所述社交网络上的正在进行的活动。
另外或可替换地,所述附加数据提供子系统的操作通过至少一个用户定义规则所触发,所述用户定义规则至少基于时间及所述活动的发生。
优选地,所述时间窗计算子系统的一输出触发对于所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
根据本发明的另一个优选实施例,还提供一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,所述方法包括:至少接近实时地提供涉及执行至少一个实际访问的一个人的至少一数据;以及
接收涉及执行至少一个实际访问的所述个人的所述数据的至少一部分,并且利用涉及执行至少一个实际访问的所述个人的所述数据的所述部分来提供来自一社交网络的数据,其中所述数据涉及通过所述个人在所述社交网络上的活动。
优选地,所述方法还包括提供在所述社交网络上的所述活动是否在一预定时间窗内完成的一指示。
优选地,来自所述社交网络的所述数据响应于所述接收涉及执行至少一个实际访问的所述个人的所述数据而自动地提供。
另外或可替换地,所述提供来自所述社交网络的数据通过由所述个人在所述社交网络上的预定活动的至少一存在而触发。
另外或可替换地,所述提供来自所述社交网络的数据按至少一计划发生,所述计划是基于分析由所述个人在所述社交网络上的预定活动的存在。
可替换地,所述提供来自所述社交网络的数据连续地发生以分析由所述个人在所述社交网络上的正在进行的活动。
另外或可替换地,所述提供来自所述社交网络的数据依据至少一个用户定义规则发生,所述用户定义规则至少基于时间及由所述个人在所述社交网络上的预定活动的存在。
优选地,由所述个人在所述社交网络上的所述活动是否在一预定时间窗内完成的所述指示触发对于所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一至少接近实时的数据元素审计子系统,其至少提供涉及对至少一个数据元素一个人的实际访问的一频率;一附加数据提供子系统,用于提供社交网络数据,其中所述社交网络数据指示在至少一个社交网络上所述个人的一预定活动的存在;以及一频率分析相关引擎,其接收来自所述至少接近实时的数据元素审计子系统及来自所述附加数据提供子系统的多个输出,并且提供相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述个人的所述预定活动的时间之间的一关系的存在或不存在。
优选地,所述附加数据提供子系统至少接近实时地提供所述社交网络数据。
优选地,所述频率分析相关引擎至少接近实时地提供所述相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述预定活动的时间之间的一关系的存在或不存在。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,所述方法包括:至少接近实时地提供涉及对至少一个数据元素一个人的实际访问的一频率;提供社交网络数据,其中所述社交网络数据指示在至少一个所述社交网络上所述个人的一预定活动的存在;以及至少接近实时地提供相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述个人的所述预定活动的时间之间的一关系的存在或不存在。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,所述系统包括:一至少接近实时的数据元素审计子系统,其至少提供涉及一计算机的一IP地址的数据,其中所述计算机通过一个人执行使用在对至少一个数据元素的至少一个实际访问中;一附加数据提供子系统,用于提供数据,其中所述数据指示至少一个IP地址的一恶意信誉;以及一分析引擎,其接收来自所述至少接近实时的数据元素审计子系统及来自所述附加数据提供子系统的多个输出,并且提供数据,所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
优选地,所述附加数据提供子系统至少接近实时地提供所述数据,所述数据指示至少一IP地址的一恶意信誉。
优选地,所述附加数据提供子系统从所述企业计算机网络之外的至少一个数据源提供数据,所述数据指示至少一个IP地址的一恶意信誉。
优选地,所述分析引擎至少接近实时提供所述数据,所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
优选地,所述附加数据提供子系统的操作通过对在所述企业计算机网络中的至少一个数据元素的至少一个现有的实际访问所触发。
另外或可替换地,所述附加数据提供子系统的操作按一计划而触发的,所述计划基于分析对在所述企业计算机网络中的至少一个数据元素的多个实际访问。
另外或可替换地,所述附加数据提供子系统的操作通过至少一个用户定义规则所触发,所述用户定义规则至少基于时间及所述实际访问的所述存在。
优选地,来自一外部来源的一通知触发所述分析引擎的操作,以提供对所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
优选地,所述通知触发对在所述企业计算机网络中的至少一个数据元素的多个未来实际访问的详细检查。
根据本发明的另一个优选实施例,还提供了一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,所述方法包括:至少接近实时地提供至少涉及一计算机的一IP地址的数据,所述计算机通过一个人执行使用在至少一个实际访问中;至少接近实时地提供数据,其中所述数据指示至少一个IP地址的一恶意信誉;以及至少接近实时地提供数据,其中所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
优选地,所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址是来自所述企业计算机网络之外的至少一个数据源所提供。
优选地,对所述企业计算机网络中的一数据元素的至少一个现有实际访问触发所述数据的提供,所述数据涉及在至少一个实际访问中使用的一计算机的一IP地址。
优选地,所述数据按一计划提供,所述计划是基于分析对在所述企业计算机网络中的至少一个数据元素的多个实际访问。
另外或可替换地,所述数据依据至少一个用户定义规则而提供,所述用户定义规则至少基于时间及所述实际访问的存在。
优选地,来自一外部来源的一通知触发提供对所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
优选地,所述通知触发对在所述企业计算机网络中的至少一个数据元素的多个未来实际访问的详细检查。
附图说明
基于以下结合附图的详细描述,将更全面地理解和理解本发明,其中:
图1A及图1B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案;
图2A及图2B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案;
图3A及图3B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案;
图4A及图4B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案;以及
图5A及图5B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
具体实施方式
现在参考图1A及图1B,图1A及图1B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
如图1A及图1B所示,一用户100最近登录到一企业计算机网络中,在图1A的情况下是合法的登录及在图1B的情况下是非法的登录,所述企业计算机网络这里用附图标记102表示。
在图1A及图1B所示的情况下。用户100用于所述给定登录事件的登录数据优选地通过一数据元素审计子系统104连续地获取,其中数据元素审计子系统104优选地连接到所述企业计算机网络102。
数据元素审计子系统104优选地至少接近实时地提供涉及对在所述企业计算机网络102中的多个数据元素的实际访问的审计输出数据。所述审计输出数据可以包含至少接近实时涉及对在所述企业计算机网络102中的多个数据元素的实际访问的一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个。在这个示例中,至少以下登录数据通过数据元素审计子系统104优选地获取:用户名、用于登录的计算机的IP地址。
根据本发明的一优选实施例,所述数据元素审计子系统104优选地将获取的所述审计输出数据的至少一部分发送到一附加数据提供子系统106。这里,作为示例,所述数据元素审计子系统104优选地将一基于查询的用户名发送到附加数据提供子系统106。
附加数据提供子系统106依次优选地利用收自于数据元素审计子系统104的所述审计输出数据的至少一部分来提供附加数据,其中所述附加数据不是所述审计输出数据的一部分。附加数据提供子系统106接收来自数据元素审计子系统104的所述输出数据,并且至少接近实时地利用所述输出数据。通过附加数据提供子系统106所提供的所述附加数据可以响应于收自所述数据元素审计子系统104的所述审计输出而自动地提供。附加数据提供子系统106可以自动地搜索企业计算机网络102,以便找到对其有用的多个数据源。这里,作为示例,附加数据提供子系统106优选地与一数据库(例如企业计算机网络102内的一人力资源数据库108)通信以检索基于数据的用户名,例如,记录在所述人力资源数据库108中的所述用户的所述实际家庭地址。
另外或可替换地,所述基于查询的用户名可以通过所述附加数据提供子系统106发送到其他数据库,例如企业计算机网络之部或之外的多个数据库,用以确定与所述用户名相关的其它多个实际地址是合法的。
进一步根据本发明的一优选实施例,所述数据元素审计子系统104优选地将用于基于查询登录的一计算机的IP地址发送到所述附加数据提供子系统106。附加数据提供子系统106依次与一数据库通信,例如外部商用可获得的GEO/IP数据库110,以便检索用于基于数据登录的一计算机的IP地址,例如与用于登录的所述计算机的IP地址相关的所述实际地址。
此外,根据本发明的一优选实施例,所述基于查询的用户名及所述用于基于查询登录的一计算机的IP地址的结果被提供回所述附加数据提供子系统106。所述附加数据提供子系统106优选地检查与用于基于查询登录的所述计算机的IP地址相关联的所述实际地址是否与对应于所述用户名的所述实际家庭地址或与所述用户名合法地相关联的任何其他实际地址已知的匹配。
一旦检查完成,所述附加数据提供子系统106优选地提供所述基于查询的用户名的所述多个结果及用于基于查询登录的所述计算机的IP地址的所述多个结果,而且被执行的所述检查的所述多个结果,返回到所述数据元素审计子系统104。
在登录合法的情况下,例如在图1A所示的情况下,根据需要,一审计数据摘要120可以通过所述数据元素审计子系统104提供给企业计算机网络102的一信息技术经理122。
在图1A所示的示例中,所述用户100从他的家中登录,所述数据元素审计子系统104优选地提供一合法登录输出指示,如图1A中的摘要窗口120中所示:“已知地址?:是”及“状态:允许”。
在登录是非法的情况下,如图1B所示,可以提供多个自动保护措施,例如给一信息技术经理的一立即的实时或接近实时的警报。具体地,所述数据元素审计子系统104可以向所述信息技术经理122发送一警报124,所述警报124包括所述警报的所述原因、造成所述原因的多个可能情况、多个建议行动项目以及用于查看所述登录事件120的所述审计数据的所述摘要的一链接。
在图1B所示的示例中,所述用户从一位置登录,所述位置未知与所述用户名合法相关联,例如中国北京,提供了一可疑登录输出指示,如图1B所示,在所述“给信息技术经理的摘要”120窗口中所示:“已知地址?:否”及“状态:警报”。
应当理解,所述数据元素审计子系统104,与附加数据提供子系统106结合,优选地形成用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的一系统130,所述系统130优选地至少接近实时地操作。
现在参考图2A及图2B,图2A及图2B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
如图2A及图2B所示,一用户200登录到一企业计算机网络中,在图2A的情况下是合法的登录及在图2B的情况下是非法的登录,所述企业计算机网络这里用附图标记202表示。
在图2A及图2B所示的情况下,用户200用于所述给定登录事件的审计数据优选地通过一数据元素审计子系统204连续地获取,其中所述数据元素审计子系统204优选地连接到所述企业计算机网络202。在这个示例中至少至少以下登录数据是优选地获取:用户名、用于登录的计算机的IP地址、登录时间戳、最后退出时间戳及最后登录位置。用于所述给定登录事件的审计数据优选地通过数据元素审计子系统204至少接近实时地提供。
根据本发明的一优选实施例,所述数据元素审计子系统204优选地将一用于基于查询登录的一计算机的IP地址发送到一附加数据提供子系统206。附加数据提供子系统206依次与一数据库通信,例如外部商用可获得的GEO/IP数据库210,以便于检索用于基于数据登录的一计算机的IP地址,例如与用于登录的所述计算机的IP地址相关联的所述实际地址。
优选地,所述用于基于查询登录的一计算机的IP地址的所述多个结果通过所述外部GEO/IP数据库210提供给所述附加数据提供子系统206。
此外,根据本发明一的优选实施例,所述数据元素审计子系统204优选地将最后退出时间戳及最后登录位置提供给一时间及距离分析引擎212。时间和距离分析引擎212也是优选地提供来自所述附加数据提供子系统206的用于基于查询登录的计算机的IP地址的所述多个结果。优选地,所述附加数据提供子系统206至少接近实时地提供用于基于查询登录的计算机的IP地址的所述多个结果,所述多个结果包括与用于登录的所述计算机的IP地址相关联的所述实际地址。
优选地,所述时间及距离分析引擎212将用于基于查询登录的计算机的IP地址的所述多个结果,例如与用于登录的计算机的IP地址相关联的所述实际地址以及最后登录位置,提供给一外部旅行时间计算器214。
时间及距离分析引擎212优选地从外部旅行时间计算器214检索在两个位置之间旅行所需要的最小时间的一指示,意即在与当前登录相关联的所述位置及所述最后登录位置之间旅行所需要的最小时间。适用于本发明多个实施例中的一外部旅行时间计算器214可以来自谷歌谷歌地图(GOOGLE)、位智地图探索的一商用可获得的类型,以便检索两个位置之间的最小旅行时间的一指示。
基于来自所述外部旅行时间计算器214的检索时间数据,即所述最后退出时间戳及所述当前登录时间戳,所述时间及距离分析引擎212优选地计算并且指示对于用户200,在所述时间段内,从所述先前的登录位置旅行到通过所述用于基于查询登录的一计算机的IP地址所指示的所述位置是否切合实际,所述时间段是通过所述最后退出时间戳及当前登录事件获取的所述时间戳之间的时间差来表示。
在图2A所示的示例中,所述时间及距离分析引擎212向所述数据元素审计子系统204提供一分析结果,所述分析结果指示所述用户在所述时间段内,旅行在两个地理位置之间的所述距离是切合实际的,所述时间段通过退出/登录时间戳的时间差来表示。
然后,所述数据元素审计子系统204向一信息技术经理222提供一警告通知220,其中警告通知220优选地至少包括所述警告原因的陈述、所述原因的可能解释、信息技术经理可以采用的多个建议行动及查看所述登录事件的审计数据的摘要224的一链接。如给信息技术经理的摘要窗口224所示,特别重要的字段包括:已知地址?:否,距离最后登录的距离是否可行?:是。
所述警告通知220可以响应于信息技术经理222的一请求,从所述数据元素审计子系统204处提供,或者可以包括在一周期计划的摘要报告中,所述周期计划的摘要报告包括在一指定时间范围内的类似登录事件。
在图2B所示的示例中,所述时间及距离分析引擎212向所述数据元素审计子系统204提供一分析结果,所述分析结果指示所述用户在所述时间段内,旅行在两个位置之间的所述距离不是切合实际的,所述时间段通过退出/登录时间戳的时间差来表示。
然后,所述数据元素审计子系统204向信息技术经理222提供一警报通知226,其中警报通知226优选地至少包括所述警报原因的陈述、所述原因的可能解释、所述警报被触发的原因及查看所述登录事件的审计数据的摘要224的一链接。如给信息技术经理的摘要窗口224所示,特别重要的字段包括:已知地址?:否,距离最后登录的距离是否可行?:否。
在图2A及图2B的两种情况中,优选地提供了多个自动保护措施,例如给一信息技术安全经理的一立即的实时或接近实时的通知。
应当理解,所述数据元素审计子系统204,与附加数据提供子系统206及时间及距离分析引擎212结合,优选地形成用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的一系统230,所述系统230优选地至少接近实时地操作。
现在参考图3A及图3B,图3A及图3B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
根据本发明的一优选实施例,连接到一企业计算机网络302的一触发子系统300优选地用于触发从社交媒体网络提供数据,优选地为元数据,并且此基础上确定企业计算机网络302的一给定企业用户是否更新了他/她的社交媒体网络简档的一过程。应当理解,触发子系统300可以形成系统130的一部分,如图1A及1B所示。
所述触发子系统300优选地通过向一附加数据提供子系统304提供一触发输出来触发所述过程。所述触发子系统300可以配置成用以基于对所述企业用户在一社交网络的预定活动的检测或响应一管理员的一手动请求,来触发附加数据提供子系统304的操作。另外或可替换地,触发子系统300可以配置成用以根据至少一个用户定义规则来触发附加数据提供子系统304的操作,所述规则可以至少基于时间及对在所述社交网络的预定活动的检测。
另外或可替换地,触发子系统300可以根据一预定计划周期性地触发附加数据提供子系统304的操作,以便分析一企业用户在社交网络上的预定活动的发生。可替换地,触发子系统300可以配置成用以连续地触发所述过程,以便连续地分析在社交网络上的企业用户的正在进行的活动。
响应于所述触发输出,所述附加数据提供子系统304请求一企业用户存储库306提供与一给定企业用户相对应的一企业用户名。
所述企业用户存储库306优选地维护用户标识、状态、角色、组成员资格及密码的一列表。所述用户存储库306可以实现为活动目录(ACTIVE)服务,其可从美国华盛顿州雷德蒙市的微软公司获得。所述用户存储库306是一逻辑单元,所述逻辑单元可以优选地分布在一个或多个企业服务器(例如,域控制器)上。除了存储用户数据之外,所述用户存储库306优选地促进企业范围策略的分配、程序的部署以及对整个组织的关键更新的应用。举例来说,适用于本发明多个实施例的一企业用户存储库可以是美国专利US 8,881,232中所描述的类型,所述专利通过引用结合于此。
当通过所述附加数据提供子系统304接收来自所述企业用户存储库306的所述企业用户名时,所述附加数据提供子系统304优选地与在所述企业计算机网络之外的多个资源进行通信,例如一外部社交网络数据库308,并且从这些资源接收所述元数据,所述元数据与通过所述识别的企业用户所执行的社交媒体网络简档更新相关。优选地,所述元数据包括与所述企业用户对他/她的简档进行的一更新相对应的一时间戳,如在元数据时间戳字段310处所示。
在从所述外部社交网络数据库308接收到对应于一更新的一时间戳时,所述附加数据提供子系统304可以确定所述企业用户的社交媒体网络帐户简档上的更新是否发生在一预定时间范围内。附加数据提供子系统304可以通过向一时间窗计算子系统312提供对应于一更新的所述时间戳来确定企业用户的社交媒体网络帐户简档的更新是否发生在预定时间范围内。
通过时间窗计算子系统312所发现的发生早于所述预定时间范围之前的更新可以被丢弃或可以提供给一数据元素审计子系统314用于潜在的未来审计目的,如图3A所示。此类更新的一记录可以根据请求或按一计划以可交付的报告的形式来获得。附加数据提供子系统304优选地至少接近实时地向所述数据元素审计子系统314提供所述社交网络数据。
所述数据元素审计子系统314优选地存储与在所述企业计算机网络300内执行了实际访问的多个企业用户有关的数据。特别地,数据元素审计子系统优选地至少接近实时地提供与执行至少一个实际访问的一个人有关的数据。附加数据提供子系统304可以响应收自于所述数据元素审计子系统314的数据向所述数据元素审计子系统314提供所述社交网络数据。
可选地,一旦发现一更新已经发生在所述预定时间范围之外,所述附加数据提供子系统304可以触发一通知子系统316。
如图3A所示,通过所述外部社交网络数据库308所提供的所述时间戳310示出所述企业用户最后在“2012-01-07-10:37:43”更新了他/她的社交媒体网络简档。所述时间戳早于所述预定时间范围,通常会设置为通知日期之前的一个月。
在这种情况下,一企业信息技术经理322优选地接收一企业雇员的社交网络帐户简档更新状态的一摘要报告324,所述摘要报告324表明所述雇员的社交网络帐户最近没有进行更新。所述报告可以根据请求而提供,也可以按一计划提供。
通过时间窗计算子系统312所发现的在所述预定时间范围内发生的多个更新优选地通过所述附加数据提供子系统304通信到所述数据元素审计子系统314用于潜在的未来审计目的,如图3B所示。附加数据提供子系统304优选地至少接近实时地向所述数据元素审计子系统314提供所述社交网络数据。
当发现在所述预定时间范围内发生了一更新时,附加数据提供子系统304优选地也触发通知子系统316。
当发现在所述预定时间范围内发生了一更新时,响应于来自所述附加数据提供子系统304的一触发,所述通知子系统316配置成用以知企业信息技术经理322一用户最近更新了他/她的社交网络简档。所述通知可以是一电子邮件、文本消息、所述信息技术经理使用及连接到企业计算机网络302的一远程计算机上的弹出通知或任何其他通信手段的形式,其中多种类型都是本领域所公知的。
如图3B所示,通过所述外部社交网络数据库308所提供的所述时间戳显示所述用户最后在“2016-01-07-10:37:43”更新了他/她的社交媒体网络简档,所述时间戳在感兴趣的所述预定时间范围内。
更新一社交网络帐户简档(例如领英)可能指示出一雇员正计划辞职离开他/她在企业的职位,因此正在编辑他们的社交媒体帐户简档,例如领英以便吸引潜在的新雇主。
所述企业信息技术经理322实时或接近实时地接收一警报326。所述警报优选地指示出一企业用户最近更新了他/她的领英社交网络简档,可能正在考虑离开所述企业,因此所述信息技术经理应优先采取行动项目。
当发现在所述预定时间范围内发生一更新时,时间窗计算子系统312可以触发通过所述企业用户对企业计算机网络302中的至少一个数据元素的多个过去实际访问的一追溯分析。
应当理解,触发子系统300、数据元素审计子系统314、至少与附加数据提供子系统304及通知子系统316结合,优选地形成用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的一系统330,所述系统330优选地至少接近实时地操作。
现在参考图4A及图4B,图4A及图4B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
图4A示出了一企业信息技术经理怀疑一雇员可能正在考虑离开所述企业的一情况。因此,所述企业信息技术经理执行了对所述企业计算机网络上的所述员工近期活动的一审核,并生成一报告。在图4A的情况中,就对企业多个数据的实际访问的项目而言,所述生成的报告将所述企业雇员的近期活动显示为异常。所述报告还指示出,社交网络账户、简档和/或状态更新最近没有改变。这样的报告可以根据管理员的请求或按一计划提供。
图4B示出了一相似情况,其中所述报告除了显示一雇员就对企业多个数据的实际访问的项目的异常行为之外,所述报告还指示所述雇员的领英社交网络简档最近有更新。在这种情况下,所述企业信息技术经理可以实时或接近实时地接收指示这些发现的一警报。
异常行为可以被认为是非特征性或不寻常的行为,例如但不限于,先前未被雇员访问的对多个数据元素的实际访问、对多个数据元素实际访问的数量或频率的增加或减少或没有对多个数据元素的实际访问。异常行为的一阈值可以通过所述企业管理所预定。仅作为示例,一阈值可以是实际访问的数量或频率与实际访问的一典型或平均数量或频率相比的25%的变化。
更新一社交网络简档,例如领英可能指示所述雇员正在计划辞职离开他/她在所述企业的职位。与所述企业相关或提及的社交网络状态更新可能指示出所述雇员对他/她当前的工作环境不满意。相关状态更新可以使用一预定义规则集和/或包括多个关键字的字典来侦测,其中所述关键字可以通过所述企业管理来预定。
现在回到图4A及图4B,一企业计算机网络402可以连接到一数据元素审计子系统404。优选地,数据元素审计子系统404既可以作为一数据记录器,也可以作为一分析引擎。
作为一数据记录器,所述数据元素审计子系统404优选地记录涉及企业雇员实际访问事件的数据,所述数据包括成功的尝试访问及尝试不成功的访问。
作为一分析引擎,所述数据元素审计子系统404,基于实际访问的授的权限及模式,优选地开发了多个用户与多个数据元素之间的关系的一相似性度量。特别是,数据元素审计子系统404优选地,至少接近实时地,提供涉及一企业用户对至少一个数据元素的实际访问的一频率的数据。
当检测到异常行为,例如一雇员的实际访问的频率的突然增加时,所述数据元素审计子系统404优选地从一社交媒体网络提供数据,优选地为元数据,并且此基础上确定一给定企业雇员是否更新了他/她的社交媒体网络简档或状态的一过程。
所述数据元素审计子系统404优选地向一附加数据提供子系统406提供包括所述企业雇员姓名的一初始输出。
所述附加数据提供子系统406优选地与所述企业计算机网络402外部的多个资源通信,例如多个外部社交网络数据库408。附加数据提供子系统406优选地从这些资源接收与社交媒体网络简档相关联的元数据和/或通过所述企业雇员所执行的多个状态更新,其指示所述企业雇员在至少一个社交网络上的存在一预定活动。附加数据提供子系统406优选地至少接近实时地操作以提供与社交网络上的所述用户活动相关联的所述社交网络数据。
在接收来自多个外部社交网络数据库408的元数据时,所述元数据优选地包括对应于一更新的一时间戳,所述附加数据提供子系统406优选地确定在所述企业用户的社交媒体网络帐户状态的所述更新是否与所述预定的规则集和/或字典匹配。不符合关键字规则的状态更新将被丢弃。此外,所述附加数据提供子系统406优选地确定在所述企业用户的社交媒体网络帐户简档上的更新和/或剩余状态更新是否在一预定时间范围内发生。
特别优选地,附加数据提供子系统406优选地将指示一用户在社交网络上的活动的社交网络数据提供给一频率分析相关引擎409。频率分析相关引擎409优选地还从数据元素审计子系统404接收与用户对多个数据元素的实际访问的频率变化有关的数据。频率分析相关引擎409优选地用于提供相关数据,所述相关数据指示实际访问频率的变化的时间与个人的预定活动的时间之间的关系的存在或不存在。这种相关数据至少接近实时地通过频率分析相关引擎409所提供。
发现社交媒体更新早于一预定时间范围发生,例如,在社交媒体更新的时间与对多个数据元素的实际访问的频率变化的时间之间没有发现相关性,可以丢弃或提供给数据元素审计子系统404以用于潜在的未来审计目的,如图4A所示。此类报告可以根据要求或按一计划提供。
可选地,一旦发现一更新发生在所述预定时间范围之外,所述附加数据提供子系统406可以触发一通知子系统410。优选地,所述通知子系统410配置成用以通知一企业信息技术经理422一企业用户最近对企业多个数据元素的实际访问的数量或频率的变化,但最近没有更新他/她的社交网络简档和/或状态。所述通知可以是以一摘要报告424的形式呈现,所述摘要报告424以一电子邮件、文本消息或所述信息技术经理使用的一远程计算机上的弹出通知来传递。
发现社交媒体在一预定时间范围内发生,例如,发现在社交媒体更新的时间与对多个数据元素的实际访问的频率变化的时间之间存在一相关性,优选地通过附加数据提供子系统406向所述数据元素审计子系统404通信用于潜在的未来审计目的,如图4B所示。此外,附加数据提供子系统406优选地激活通知子系统410。
所述通知子系统410是优选地配置成用以警示企业信息技术经理422一企业用户对企业多个数据元素的实际访问的一最近数量变化,所述企业用户最近也更新了他/她的社交网络简档和/或状态。一警报426可以以一电子邮件、文本消息或所述信息技术经理使用的一远程计算机上的弹出通知来传递。
如图4A所示,一企业用户最后在“2012-01-07-10:37:43”更新了他/她的社交媒体网络简档,所述时间戳早于感兴趣的所述预定时间范围。相反地,在图4B中,所述企业用户最后在“2016-01-07-10:37:43”更新了他/她的社交媒体网络简档,所述时间戳在感兴趣的所述预定时间范围内。结果,在图4A的情况中,可以向所述信息技术经理422提供最近异常企业用户行为的状态摘要报告424,而在图4B所示的情况中,所述信息技术经理422优选地接收到警报426,所述警报426优选地指示所述企业用户可能正在考虑离开所述企业,并且可选地还推荐要采取的行动。
应当理解,数据元素审计子系统404,至少与附加数据提供子系统406及通知子系统410结合,优选地形成一系统430的至少一部分,所述系统430用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据,其中所述系统430优选地至少接近实时地操作。系统430优选地用于提供企业使用模式的一清晰图片、安全策略优化的建议及异常用户行为的警报。
现在参考图5A及图5B,图5A及图5B示出了用于监控对一计算机网络中的多个数据元素进行访问的一系统的简化的部分图示、部分方框图,其分别地示出了根据本发明一优选实施例的构造及操作的第一及第二访问方案。
图5A及图5B示出了本发明的一系统的一优选实施例,在一企业信息技术经理正在执行对最近登录的审核,例如用户500的登录,从远程位置到一企业计算机网络502。本发明的所述系统优选地生成归档的登录事件数据的一报告。应当理解,可以根据需求或响应于一特定事件,周期性地生成此类报告。
在图5A所示的情况中,所述生成的报告指示出企业雇员500最近从一远程位置登录到所述企业计算机网络,并且在所述登录事件中使用的IP地址是合法的并且未被识别为恶意的。
在图5B所示的情况中,所述生成的报告指示出最近登录事件中使用的一IP地址已经预先地识别并且标记为恶意的。如此一来,所述系统生成一报告并且通过一警报通知所述企业信息技术经理,所述警报表明进入所述企业计算机网络的一个登录来自于一非法IP地址。所述企业信息技术经理可选地继续扩展所述警报消息并且在所述生成的报告中查看所述事件的一摘要。
现在回到图5A及图5B,连接到所述企业计算机网络502的一数据元素审计子系统504连续地获取登录事件数据。举例来说,所述数据元素审计子系统504优选地至少获取在一远程登录事件中所使用的一计算机的一IP地址。
所述数据元素审计子系统504优选地将用于基于查询登录的一计算机的一IP地址发送到一附加数据提供子系统506,所述附加数据提供子系统506优选地依次与一外部商用可获得的数据库508通信。
所述外部数据库508优选地向所述附加数据提供子系统506提供一输出,所述输出表明通过附加数据提供子系统506提供给所述外部数据库508的IP地址是否预先地被指定为恶意的。
当使用具有一IP地址的一装置,例如计算机或移动装置,先前已经与恶意事件或垃圾邮件活动相关联时,所述IP地址可能被识别及标记为潜在恶意的。商业可获得的多个在线数据库,例如www.ipvoid.com,提供关于先前被标记为恶意的IP地址的数据。
所述附加数据提供子系统506优选地将收自于所述外部数据库508的所述数据传递到所述数据元素审计子系统504,其中所述数据与所述现有的登录事件数据一起存储。所述附加数据提供子系统506优选地至少接近实时地提供所述数据。
应当理解,所述附加数据提供子系统506可以触发以与外部数据库508通信以按一计划调查一IP地址的状态,或者根据至少一个用户定义规则,所述用户定义规则至少基于时间及一企业用户对多个数据元素的实际访问的发生。
所述数据元素审计子系统优选地将关于所识别的IP地址的状态及登录事件数据的所述数据提供给一分析引擎509。
在图5A的实施例中,通过所述外部数据库508所提供的所述数据指示出用于所述登录的所述IP地址未被预先识别为恶意的。数据元素审计子系统504为所述分析引擎509提供所请求的归档登录数据及所述IP地址状态数据。分析引擎509通过一通知子系统510触发给一信息技术经理522的一摘要报告524的生成及传递。如图5A所示,所述摘要报告524指示出一远程登录从非恶意IP地址发生。
在图5B的实施例中,通过所述外部数据库508提供的所述数据指示出用于登录的所述IP地址预先标记并且识别为恶意的。一旦与现有事件数据一起存储,然后所述数据元素审计子系统504将所述相关联的事件数据提供给所述分析引擎509,所述分析引擎509通过通知子系统510依序触发一警报526的生成,其中警报526优选地发送给所述企业信息技术经理522。
所述通知子系统510可以配置成用以通过电子邮件、文本消息、弹出通知或其他对计算机或移动装置通信的形式通知所述信息技术经理,如本领域所公知的。
在一些情况下,分析引擎509可以通过收自于一外部来源的一通知而触发,以提供对于所述企业网络502中的多个数据元素的多个过去实际访问的一追溯分析。这样的通知也可以触发对企业网络502中的至少一个数据元素的多个未来访问的详细检查。
应当理解,数据元素审计子系统504,至少与附加数据提供子系统506及通知子系统510结合,优选地形成一系统530的至少一部分,所述系统530用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据,其中所述系统530优选地至少接近实时地操作。
本领域技术人员将理解,本发明不受下文特别要求保护的内容的限制。相反,本发明的范围包括上文描述的特征的各种组合和子组合以及本领域技术人员在阅读参考附图的前述描述时将想到的并且不在先前技术中的修改和变化。

Claims (57)

1.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,其特征在于,所述系统包括:
一至少接近实时的数据元素审计子系统,其至少接近实时地提供涉及对在所述企业计算机网络中的多个数据元素的实际访问的审计输出数据,其中所述审计输出数据包含一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个;以及
一附加数据提供子系统,其至少接近实时地接收所述审计输出数据的至少一部分,并且利用所述审计输出数据的所述至少一部分来提供附加数据,其中所述附加数据不是所述审计输出数据的一部分。
2.如权利要求1所述的系统,其特征在于:所述附加数据提供子系统提供所述附加数据,所述附加数据来自所述企业计算机网络之内的至少一个数据源。
3.如权利要求1或2所述的系统,其特征在于:所述附加数据提供子系统提供所述附加数据,所述附加数据来自所述企业计算机网络之外的至少一个数据源。
4.如权利要求1至3任一项所述的系统,其特征在于:所述附加数据提供子系统响应于所述审计输出数据自动地从至少一个数据源提供所述附加数据,所述审计输出数据收自于所述至少接近实时的数据元素审计子系统。
5.如权利要求1至4任一项所述的系统,其特征在于:所述附加数据提供子系统自动地搜索所述企业计算机网络以便找到对所述附加数据提供子系统有用的多个数据源。
6.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,其特征在于,所述方法包括:
至少接近实时地提供涉及对在所述企业计算机网络中的多个数据元素的实际访问的审计输出数据,其中所述审计输出数据包含一时间戳、一访问者的身份证明、存储有关于所述访问者数据的用户存放处、受访问的数据元素数据、受影响的数据元素数据、访问操作的类型、访问的源IP地址及访问结果数据中的至少一个;以及
接收所述审计输出数据的至少一部分,并且利用所述审计输出数据的所述至少一部分来提供数据,其中所述数据不是所述审计输出数据的一部分。
7.如权利要求6所述的方法,其特征在于:所述附加数据收自于所述企业计算机网络之内的至少一个数据源。
8.如权利要求6或7所述的方法,其特征在于:所述附加数据收自于所述企业计算机网络之外的至少一个数据源。
9.如权利要求6至8任一项所述的方法,其特征在于:所述接收及所述利用至少接近实时地自动发生。
10.如权利要求6至9任一项所述的方法,其特征在于:所述方法还包括自动地搜索所述企业计算机网络以便找到有用的多个数据源。
11.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,其特征在于,所述系统包括:
一数据元素审计子系统,其提供审计数据,其中所述审计数据至少包含涉及至少两个实际访问的多个时间戳的数据及用于所述两个实际访问的多个计算机的多个IP地址;
一附加数据提供子系统,其接收所述审计数据的至少一部分,并且利用所述审计数据的所述至少一部分来提供实际位置数据,其中所述实际位置数据对应用于所述两个实际访问的所述多个计算机的所述多个IP地址;以及
一时间及距离分析引擎,其鉴于在所述至少两个实际访问的所述实际位置之间实际地旅行所需要的一最小时间段,指示所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行。
12.如权利要求11所述的系统,其特征在于:所述数据元素审计子系统至少接近实时地提供所述审计数据。
13.如权利要求11或12所述的系统,其特征在于:所述附加数据提供子系统至少接近实时地提供所述实际位置数据。
14.如权利要求11至13任一项所述的系统,其特征在于:所述时间及距离分析引擎至少接近实时地提供所述多个时间戳之间的所述时间差与所述至少两个实际访问的所述实际位置之间的所述地理间隔对应彼此是否可行的一指示。
15.如权利要求11至14任一项所述的系统,其特征在于:所述附加数据提供子系统提供所述数据,所述数据来自所述企业计算机网络之外的至少一个数据源。
16.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,其特征在于,所述方法包括:
提供审计数据,其中所述审计数据至少包含涉及至少两个实际访问的多个时间戳的数据及用于所述两个实际访问的多个计算机的多个IP地址;
接收所述审计数据的至少一部分,并且利用所述审计数据的所述至少一部分来提供实际位置数据,其中所述实际位置数据对应用于所述两个实际访问的所述多个计算机的所述多个IP地址;以及
鉴于在所述至少两个实际访问的所述实际位置之间实际地旅行所需要的一最小时间段,指示所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行。
17.如权利要求16所述的方法,其特征在于:所述审计数据至少接近实时地提供。
18.如权利要求16至17任一项所述的方法,其特征在于:所述审计数据是由所述企业计算机网络之外的至少一个数据源所提供。
19.如权利要求16至18任一项所述的方法,其特征在于:所述附加数据是由所述企业计算机网络之外的至少一个数据源所提供。
20.如权利要求16至19任一项所述的方法,其特征在于:所述多个时间戳之间的一时间差与所述至少两个实际访问的所述实际位置之间的一地理间隔对应彼此是否可行的所述指示至少接近实时地提供。
21.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,其特征在于,所述系统包括:
一至少接近实时的数据元素审计子系统,其至少提供涉及执行至少一个实际访问的一个人的数据;以及
一附加数据提供子系统,其提供给所述数据元素审计子系统,来自一社交网络的社交网络数据,其中所述社交网络数据涉及在所述社交网络上所述个人的活动。
22.如权利要求21所述的系统,其特征在于:所述附加数据提供子系统至少接近实时地提供所述社交网络数据。
23.如权利要求21至22任一项所述的系统,其特征在于:所述系统还包括一时间窗计算子系统,配置成用以指示在所述社交网络上的所述活动是否发生在一预定时间窗内。
24.如权利要求21至23任一项所述的系统,其特征在于:所述附加数据提供子系统响应于所述数据自动地提供所述社交网络数据,所述数据收自于所述所述数据元素审计子系统。
25.如权利要求21至24任一项所述的系统,其特征在于:所述附加数据提供子系统的操作通过所述个人在所述社交网络上的所述活动的至少一次发生所触发。
26.如权利要求21至25任一项所述的系统,其特征在于:所述附加数据提供子系统的操作是按一计划而触发的,所述计划是基于分析所述个人在所述社交网络上的活动的发生。
27.如权利要求21至26任一项所述的系统,其特征在于:所述附加数据提供子系统的操作是连续地触发以分析所述个人在所述社交网络上的正在进行的活动。
28.如权利要求21至27任一项所述的系统,其特征在于:所述附加数据提供子系统的操作通过至少一个用户定义规则所触发,所述用户定义规则至少基于时间及所述活动的发生。
29.如权利要求23所述的系统,其特征在于:所述时间窗计算子系统的一输出触发对于所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
30.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,其特征在于,所述方法包括:
至少接近实时地提供涉及执行至少一个实际访问的一个人的至少一数据;以及
接收涉及执行至少一个实际访问的所述个人的所述数据的至少一部分,并且利用涉及执行至少一个实际访问的所述个人的所述数据的所述部分来提供来自一社交网络的数据,其中所述数据涉及通过所述个人在所述社交网络上的活动。
31.如权利要求30所述的方法,其特征在于:所述方法还包括提供在所述社交网络上的所述活动是否在一预定时间窗内完成的一指示。
32.如权利要求30或31所述的方法,其特征在于:来自所述社交网络的所述数据响应于所述接收涉及执行至少一个实际访问的所述个人的所述数据而自动地提供。
33.如权利要求30至32任一项所述的方法,其特征在于:所述提供来自所述社交网络的数据通过由所述个人在所述社交网络上的预定活动的至少一存在而触发。
34.如权利要求30至33任一项所述的方法,其特征在于:所述提供来自所述社交网络的数据按至少一计划发生,所述计划是基于分析由所述个人在所述社交网络上的预定活动的存在。
35.如权利要求30至34任一项所述的方法,其特征在于:所述提供来自所述社交网络的数据连续地发生以分析由所述个人在所述社交网络上的正在进行的活动。
36.如权利要求30至35任一项所述的方法,其特征在于:所述提供来自所述社交网络的数据依据至少一个用户定义规则发生,所述用户定义规则至少基于时间及由所述个人在所述社交网络上的预定活动的存在。
37.如权利要求31所述的方法,其特征在于:由所述个人在所述社交网络上的所述活动是否在一预定时间窗内完成的所述指示触发对于所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
38.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,其特征在于,所述系统包括:
一至少接近实时的数据元素审计子系统,其至少提供涉及对至少一个数据元素一个人的实际访问的一频率;
一附加数据提供子系统,用于提供社交网络数据,其中所述社交网络数据指示在至少一个社交网络上所述个人的一预定活动的存在;以及
一频率分析相关引擎,其接收来自所述至少接近实时的数据元素审计子系统及来自所述附加数据提供子系统的多个输出,并且提供相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述个人的所述预定活动的时间之间的一关系的存在或不存在。
39.如权利要求38所述的系统,其特征在于:所述附加数据提供子系统至少接近实时地提供所述社交网络数据。
40.如权利要求38或39所述的系统,其特征在于:所述频率分析相关引擎至少接近实时地提供所述相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述预定活动的时间之间的一关系的存在或不存在。
41.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,其特征在于,所述方法包括:
至少接近实时地提供涉及对至少一个数据元素一个人的实际访问的一频率;
提供社交网络数据,其中所述社交网络数据指示在至少一个所述社交网络上所述个人的一预定活动的存在;以及
至少接近实时地提供相关数据,其中所述相关数据指示实际访问的所述频率的一变化的时间与所述个人的所述预定活动的时间之间的一关系的存在或不存在。
42.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的系统,其特征在于,所述系统包括:
一至少接近实时的数据元素审计子系统,其至少提供涉及一计算机的一IP地址的数据,其中所述计算机通过一个人执行使用在对至少一个数据元素的至少一个实际访问中;
一附加数据提供子系统,用于提供数据,其中所述数据指示至少一个IP地址的一恶意信誉;以及
一分析引擎,其接收来自所述至少接近实时的数据元素审计子系统及来自所述附加数据提供子系统的多个输出,并且提供数据,其中所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
43.如权利要求42所述的系统,其特征在于:所述附加数据提供子系统至少接近实时地提供所述数据,所述数据指示至少一IP地址的一恶意信誉。
44.如权利要求42或43所述的系统,其特征在于:所述附加数据提供子系统从所述企业计算机网络之外的至少一个数据源提供数据,所述数据指示至少一个IP地址的一恶意信誉。
45.如权利要求42至44任一项所述的系统,其特征在于:所述分析引擎至少接近实时提供所述数据,所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
46.如权利要求42至45任一项所述的系统,其特征在于:所述附加数据提供子系统的操作通过对在所述企业计算机网络中的至少一个数据元素的至少一个现有的实际访问所触发。
47.如权利要求42至46任一项所述的系统,其特征在于:所述附加数据提供子系统的操作按一计划而触发的,所述计划基于分析对在所述企业计算机网络中的至少一个数据元素的多个实际访问。
48.如权利要求42至47任一项所述的系统,其特征在于:所述附加数据提供子系统的操作通过至少一个用户定义规则所触发,所述用户定义规则至少基于时间及所述实际访问的所述存在。
49.如权利要求42至48任一项所述的系统,其特征在于:来自一外部来源的一通知触发所述分析引擎的操作,以提供对所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
50.如权利要求49所述的系统,其特征在于:所述通知触发对在所述企业计算机网络中的至少一个数据元素的多个未来实际访问的详细检查。
51.一种用于监控对在一企业计算机网络中的多个数据元素的实际访问并且提供相关数据的方法,其特征在于,所述方法包括:
至少接近实时地提供至少涉及一计算机的一IP地址的数据,其中所述计算机通过一个人执行使用在至少一个实际访问中;
至少接近实时地提供数据,其中所述数据指示至少一个IP地址的一恶意信誉;以及
至少接近实时地提供数据,其中所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址具有一恶意信誉。
52.如权利要求51所述的方法,其特征在于:所述数据指示通过所述个人所执行的所述至少一个实际访问中使用的所述IP地址是来自所述企业计算机网络之外的至少一个数据源所提供。
53.如权利要求51或52所述的方法,其特征在于:对所述企业计算机网络中的一数据元素的至少一个现有实际访问触发所述数据的提供,所述数据涉及在至少一个实际访问中使用的一计算机的一IP地址。
54.如权利要求51至53任一项所述的方法,其特征在于:所述数据按一计划提供,所述计划是基于分析对在所述企业计算机网络中的至少一个数据元素的多个实际访问。
55.如权利要求51至54任一项所述的方法,其特征在于:所述数据依据至少一个用户定义规则而提供,所述用户定义规则至少基于时间及所述实际访问的存在。
56.如权利要求51至55任一项所述的方法,其特征在于:来自一外部来源的一通知触发提供对所述企业计算机网络中的至少一个数据元素的多个过去实际访问的一追溯分析。
57.如权利要求56所述的方法,其特征在于:所述通知触发对在所述企业计算机网络中的至少一个数据元素的多个未来实际访问的详细检查。
CN201780047723.9A 2016-06-02 2017-06-01 审计登录强化 Pending CN109564610A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201662344634P 2016-06-02 2016-06-02
US62/344,634 2016-06-02
PCT/IL2017/050608 WO2017208241A2 (en) 2016-06-02 2017-06-01 Audit log enhancement

Publications (1)

Publication Number Publication Date
CN109564610A true CN109564610A (zh) 2019-04-02

Family

ID=60478175

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780047723.9A Pending CN109564610A (zh) 2016-06-02 2017-06-01 审计登录强化

Country Status (4)

Country Link
US (5) US11030307B2 (zh)
EP (1) EP3465518A4 (zh)
CN (1) CN109564610A (zh)
WO (1) WO2017208241A2 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109564610A (zh) 2016-06-02 2019-04-02 瓦罗尼斯系统有限公司 审计登录强化
US20180032722A1 (en) * 2016-07-29 2018-02-01 Carneros Bay Capital, Llc Visual access alert system
US11010231B2 (en) 2018-10-03 2021-05-18 International Business Machines Corporation Automatic log generation
US11394733B2 (en) * 2019-11-12 2022-07-19 Bank Of America Corporation System for generation and implementation of resiliency controls for securing technology resources
AU2022431091A1 (en) * 2022-01-10 2024-03-07 Varonis Systems, Inc. Systems and methods for data monitoring

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060287902A1 (en) * 2004-09-17 2006-12-21 David Helsper Fraud risk advisor
CN101639879A (zh) * 2008-07-28 2010-02-03 成都市华为赛门铁克科技有限公司 数据库安全监控方法、装置及其系统
CN102215133A (zh) * 2011-06-21 2011-10-12 德讯科技股份有限公司 基于rdp远程协议跳板机审计数据定位回放系统及方法
US20120210425A1 (en) * 1998-11-09 2012-08-16 Sri International Network Surveillance
US20130179219A1 (en) * 2012-01-09 2013-07-11 Bank Of America Corporation Collection and management of feeds for predictive analytics platform
US20130297689A1 (en) * 2012-05-03 2013-11-07 Cisco Technology, Inc. Activity Stream Tuning Using Multichannel Communication Analysis
US20150089614A1 (en) * 2013-09-20 2015-03-26 Oracle International Corporation Single sign-on between multiple data centers
US20160078353A1 (en) * 2014-09-15 2016-03-17 Palo Alto Research Center Incorporated Monitoring user status by comparing public and private activities

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8463617B2 (en) * 2002-06-03 2013-06-11 Hewlett-Packard Development Company, L.P. Network subscriber usage recording system
US8578500B2 (en) * 2005-05-31 2013-11-05 Kurt James Long System and method of fraud and misuse detection
US8739278B2 (en) 2006-04-28 2014-05-27 Oracle International Corporation Techniques for fraud monitoring and detection using application fingerprinting
US8230228B2 (en) * 2008-10-31 2012-07-24 International Business Machines Corporation Support of tamper detection for a log of records
US8578507B2 (en) * 2009-09-09 2013-11-05 Varonis Systems, Inc. Access permissions entitlement review
WO2011030324A1 (en) * 2009-09-09 2011-03-17 Varonis Systems, Inc. Enterprise level data management
US8615605B2 (en) * 2010-10-22 2013-12-24 Microsoft Corporation Automatic identification of travel and non-travel network addresses
US8572262B2 (en) 2011-03-17 2013-10-29 Blackberry Limited System and method for controlling connections to an application server
US9342802B2 (en) 2011-08-05 2016-05-17 Newswhip Media Limited System and method of tracking rate of change of social network activity associated with a digital object
US9286316B2 (en) 2012-04-04 2016-03-15 Varonis Systems, Inc. Enterprise level data collection systems and methodologies
WO2014134617A1 (en) 2013-03-01 2014-09-04 Synata, Inc. Methods and systems for searching enterprise data
WO2015162458A1 (en) * 2014-04-24 2015-10-29 Singapore Telecommunications Limited Knowledge model for personalization and location services
US20160105801A1 (en) * 2014-10-09 2016-04-14 Microsoft Corporation Geo-based analysis for detecting abnormal logins
US20180027006A1 (en) * 2015-02-24 2018-01-25 Cloudlock, Inc. System and method for securing an enterprise computing environment
US9853992B1 (en) * 2016-05-02 2017-12-26 Skyhigh Networks, Inc Cloud service usage risk analysis based on user location
CN109564610A (zh) 2016-06-02 2019-04-02 瓦罗尼斯系统有限公司 审计登录强化
CA2960654C (en) * 2017-03-09 2018-11-06 Ernest Jugovic Intermediated access to entity information profiles

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120210425A1 (en) * 1998-11-09 2012-08-16 Sri International Network Surveillance
US20060287902A1 (en) * 2004-09-17 2006-12-21 David Helsper Fraud risk advisor
CN101639879A (zh) * 2008-07-28 2010-02-03 成都市华为赛门铁克科技有限公司 数据库安全监控方法、装置及其系统
CN102215133A (zh) * 2011-06-21 2011-10-12 德讯科技股份有限公司 基于rdp远程协议跳板机审计数据定位回放系统及方法
US20130179219A1 (en) * 2012-01-09 2013-07-11 Bank Of America Corporation Collection and management of feeds for predictive analytics platform
US20130297689A1 (en) * 2012-05-03 2013-11-07 Cisco Technology, Inc. Activity Stream Tuning Using Multichannel Communication Analysis
US20150089614A1 (en) * 2013-09-20 2015-03-26 Oracle International Corporation Single sign-on between multiple data centers
US20160078353A1 (en) * 2014-09-15 2016-03-17 Palo Alto Research Center Incorporated Monitoring user status by comparing public and private activities

Also Published As

Publication number Publication date
WO2017208241A3 (en) 2018-01-11
US20180218152A1 (en) 2018-08-02
US11030307B2 (en) 2021-06-08
US20220318379A1 (en) 2022-10-06
US20210110034A1 (en) 2021-04-15
US20180063268A1 (en) 2018-03-01
US11308206B2 (en) 2022-04-19
WO2017208241A2 (en) 2017-12-07
US10853486B2 (en) 2020-12-01
EP3465518A2 (en) 2019-04-10
EP3465518A4 (en) 2020-01-08
US20180063267A1 (en) 2018-03-01

Similar Documents

Publication Publication Date Title
CN109564610A (zh) 审计登录强化
US11916944B2 (en) Network anomaly detection and profiling
Mohler et al. Randomized controlled field trials of predictive policing
US9680938B1 (en) System, method, and computer program product for tracking user activity during a logon session
US20080263009A1 (en) System and method for sharing of search query information across organizational boundaries
CN107172022B (zh) 基于入侵途径的apt威胁检测方法和系统
US20070005654A1 (en) Systems and methods for analyzing relationships between entities
Toubiana et al. Trackmenot: Enhancing the privacy of web search
KR20150009798A (ko) 개인 정보 상시 감시 시스템 및 그 상시 감시 방법
CN109347808B (zh) 一种基于用户群行为活动的安全分析方法
Zulfadhilah et al. Cyber profiling using log analysis and k-means clustering
Thompson Weak models for insider threat detection
Khandpur et al. Determining relative airport threats from news and social media
CN108270637B (zh) 一种网站质量多层钻取系统和方法
Gafny et al. Detecting data misuse by applying context-based data linkage
Hung et al. Investigative simulation: Towards utilizing graph pattern matching for investigative search
CN114500122B (zh) 一种基于多源数据融合的特定网络行为分析方法和系统
EP2571225B1 (en) A method for detecting data misuse in an organization's network
US20090234827A1 (en) Citizenship fraud targeting system
CN113434588B (zh) 基于移动通信话单的数据挖掘分析方法及装置
Wulff Artificial Intelligenceand Law Enforcement
Magalhães et al. Contrast set mining in temporal databases
KR20180071699A (ko) 개인 정보 온라인 감시 시스템 및 방법
Nasrullah Detecting terrorist activity patterns using investigative data mining tool
Krupenkin et al. Fear and loathing in st. louis: Gun purchase behavior as backlash to black lives matter protests

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20220418

Address after: New York, New York, USA

Applicant after: Vannis System Co.,Ltd.

Address before: Israel Hertz Leah City

Applicant before: VARONIS SYSTEMS Ltd.

TA01 Transfer of patent application right
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20190402

WD01 Invention patent application deemed withdrawn after publication