CN109891853B - 在本地设置中检测不可能的行程的方法及系统 - Google Patents
在本地设置中检测不可能的行程的方法及系统 Download PDFInfo
- Publication number
- CN109891853B CN109891853B CN201780067899.0A CN201780067899A CN109891853B CN 109891853 B CN109891853 B CN 109891853B CN 201780067899 A CN201780067899 A CN 201780067899A CN 109891853 B CN109891853 B CN 109891853B
- Authority
- CN
- China
- Prior art keywords
- site
- local
- connection event
- information
- location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/02—Services making use of location information
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
确定与本地站点相关联的特定用户实体的不可能的行程。一种方法包括标识与组织网络相关联的本地站点的估计位置。标识本地站点的估计位置包括聚合远离本地站点的连接到本地站点的远程设备的连接信息。标识与本地连接事件相关的信息,包括估计位置、时间信息和实体的第一用户标识。标识与不同连接事件相关的信息。该信息包括位置信息、时间信息和实体的第二用户标识。使用与本地连接事件相关的信息和与不同连接事件相关的信息来检测实体的不可能的行程。提供指示不可能的行程状况的警报。
Description
背景技术
计算机和计算系统几乎影响了现代生活的每个方面。计算机通常涉及工作、娱乐、医疗保健、交通、娱乐、家庭管理等。
在计算环境中,安全性是重要的考虑因素。特别地,标识恶意攻击者是否尝试访问用户的帐户是有用的。进行这种标识的一种方法是标识正在尝试需要不可能的行程的在用户帐户上的登录。例如,如果尝试从具有美国IP地址的计算机登录,并且在五分钟之后,尝试使用具有法国IP地址的计算机登录,则会将其检测为不可能的行程场景,即实际的真正用户不可能在五分钟内从美国前往法国。
然而,在可能难以标识真实世界位置的一些环境中尚未实现不可能的行程的检测。
本文中要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。而是,本背景被提供仅用于说明其中可以实践本文中描述的一些实施例的一个示例性技术领域。
发明内容
本文中示出的一个实施例包括一种计算机实现的方法。该方法包括用于确定与本地站点相关联的特定用户实体的不可能的行程的动作。该方法包括标识与组织网络相关联的本地站点的估计位置。标识本地站点的估计位置包括聚合远离本地站点的连接到本地站点的远程设备的连接信息。标识与本地连接事件相关的信息,包括估计位置、时间信息和实体的第一用户标识。标识与不同连接事件相关的信息。该信息包括位置信息、时间信息和该实体的第二用户标识。使用与本地连接事件相关的信息和与不同连接事件相关的信息来检测实体的不可能的行程。提供指示不可能的行程状况的警报。
提供本“发明内容”是为了以简化的形式介绍一些概念,这些概念将在下面的“具体实施方式”中进一步描述。本“发明内容”不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附加的特征和优点将在随后的描述中阐述,并且部分地将从描述中很清楚,或者可以通过本文中的教导的实践来学习。本发明的特征和优点可以借助于所附权利要求中特别指出的仪器和组合来实现和获取。本发明的特征根据以下描述和所附权利要求将变得更加明显,或者可以通过如下所述的本发明的实践来学习。
附图说明
为了描述可以获取上述和其他优点和特征的方式,将通过参考附图中示出的特定实施例来呈现上面简要描述的主题的更具体的描述。应当理解,这些附图仅描绘了典型的实施例,并且因此不应当被认为是对范围的限制,将通过使用附图用附加的特征和细节来描述和解释实施例,在附图中:
图1示出了地理上分布的本地站点;
图2示出了组织网络的框图;
图3示出了确定本地网络的用户的不可能的行程的方法。
具体实施方式
不可能的行程是很多安全相关应用的重要特征。它检测实体(通常是终端用户)何时覆盖物理世界中无法用当前行程技术实际完成的距离。检测不可能的行程的一个重要应用是经由物理位置异常来检测受损凭证使用情况。
先前尚未研究过从分布式网络中的本地网络的不可能的行程和到分布式网络中的本地网络的不可能的行程,因为很难知道本地网络中连接的用户设备在真实世界中的位置。例如,企业网络可能具有若干本地网络。同一企业网络的本地网络共享网络资源,诸如IP地址的语料库,每个IP地址可以被分配给连接到企业网络的任何用户设备,而不管用户设备连接到哪个本地网络。因此,为用户设备分配的 IP地址将不代表用户在物理上在地理上所在的实际物理地理位置。因此,当位置之一是较大网络的本地站点时,无法完成不可能的行程检测。
本发明的一些实施例能够在组织本地网络的上下文中检测不可能的行程。特别地,实施例可以能够使用用户登录信息和其他信息来尝试估计本地网络的位置并且检测用户连接到本地网络。实施例可以检测用户的附加登录信息,该登录信息将指示用户从远离本地网络的位置登录。如果远程位置不满足可能的行程场景,则可以确定关于用户发生了潜在的安全漏洞。
一些实施例可以被配置为使用大量高质量数据来对实体(例如,终端用户、服务器、网络硬件等)的位置信号进行密集化。这可以用于估计本地网络的位置以评估从本地网络的用户行程和到本地网络的用户行程。
实施例可以被配置为通过包括对在组织设置中重要的附加场景 (例如,企业、学校、政府机构等)的支持来将已知真实世界位置的经典的不可能的行程场景扩展到已知的真实世界位置,诸如在已知的真实世界位置与本地网络站点之间的不可能的行程以及在本地网络站点与本地网络站点之间的不可能的行程。例如,“真实世界位置”可以是通过GPS坐标、蜂窝塔三角测量、基于Wi-Fi的定位技术等可标识的位置。相比之下,“本地站点”是组织站点,其中真实世界位置被混淆,因为本地站点是较大组织网络的一部分,较大组织网络不仅仅具有与之相关联的单个特定地理位置并且可能具有与较大组织相关联的多个地理位置。
实施例可以通过执行各种子任务来实现该功能。特别地,实施例可以处理一个或多个外部真实世界地理信号,这些信号针对每个条目包含时间戳、用户和某种真实世界位置指示符。每个条目可以存储在数据存储中。例如,真实世界位置指示符可以包括可以使用第三方地理定位服务而转换成位置的IP地址。替代地或另外地,在一些实施例中,外部信号是与组织中的用户做出的虚拟专用网络(VPN)连接相关或由其引起的信号。
实施例还估计本地站点的位置。这可以以多种不同方式完成,如下面将更详细说明的。
现在参考图1,示出了一个示例。图1示出了地理上分布的组织网络100(参见图2),其中不同的本地站点102-1至102-6分布在不同的物理地理位置。注意,虽然这里在网络100中示出了六个站点,但是应当理解,实际上可以实现任何数目的不同站点。
网络100与地理定位服务114通信以提供诸如设备104-2等远程设备的位置数据。同样,虽然示出了六个站点102、一个远程设备104-2 和一个本地设备104-1,但是站点102、诸如设备104-2等远程设备和诸如设备104-1等本地设备的数目可以大于或小于示例网络100中所示的数目。
如图2所示,网络100的站点102-1包括:可操作以接受来自连接到站点102-1的设备的通信的网关106-1;与网关106-1通信并且可操作以认证寻求访问网络100的实体的认证服务器108-1;与认证服务器108通信并且可操作以聚合来自诸如设备104-2等远程设备的连接信息以管理实体位置数据的监视器112-1。虽然站点102-1被示出为具有这些组件中的每个,但是站点102中的其他站点可以具有不同的组件集,因为一些组件可以在站点之间共享。
本领域技术人员应当理解,网关106和认证服务器108包括硬件设备和在这些设备上运行的软件以提供其功能。在各种实施例中,监视器112-1可以在专用硬件上运行,或者可以经由用于若干目的的计算设备上的软件来提供,诸如例如在与认证服务器108-1相同的硬件上。在其他实施例中,网络100可以使用比站点102更少的监视器112;一些或所有站点102可以共享监视器112。
诸如设备104-2等远程设备和本地设备104-1由用户操作,用户可以是请求到企业网络的一个或多个站点102的连接的人或自动系统(例如,“机器人”)。
不同的站点(本文中统称为102)可以以多种不同的方式使用,并且可以以多种不同的方式在地理上分布。例如,每个不同站点102 可以表示组织的不同分支机构。特别地,站点102可以在组织中的雇员或其他用户可以物理地去往和工作的位置实现。特别地,站点102 可以包括网络硬件,该网络硬件允许用户前往站点102的位置并且将诸如图2所示的用户设备104-1等用户设备直接连接到网络硬件,诸如在用户连接到局域网(LAN)以允许用户访问组织资源并且与组织处的其他用户连接的场景中。在该示例中,用户设备104-1物理上位于与站点102-1相同的物理地理位置。
用户设备104-1可以是很多不同设备中的任何一个,包括诸如膝上型计算机、台式计算机、蜂窝电话、个人数字助理或其他用户设备等设备。
值得注意的是,各种站点102可以互连。这可以通过很多不同的方式来实现。例如,在一些实施例中,可以位于或没有位于站点102 之一处的中央系统可以充当各个站点102之间的协调器。替代地或另外地,站点102之一可以充当网络100中的其他站点的协调器站点。在另一替代或附加实施例中,各个站点102可以以对等方式彼此互连。各个站点102的互连允许属于该组织的各个个体用户能够访问组织资源并且通过各种网络连接彼此通信,使得任何一个站点102处的用户可以与任何一个站点102(包括相同站点或其他站点)处的用户通信。
附加地或替代地,站点可以包括用于允许用户从物理上在给定站点102外部的用户设备104连接到站点的配置。例如,如图2所示,用户设备104-2可以物理上存在于网络100外部。在该示例中,用户设备104-2可以连接到网关(通常示出为106,但是在具体示例中示出为具有网关106-1)。注意,位于网络100外部的用户设备将经常尝试连接到与用户设备104在地理上最接近的站点102。然而,应当理解,当用户设备104在网络100外部时,出于负载平衡或其他原因,用户设备104可以连接到不同的本地站点。
网络100能够通过监测和记录用于将设备连接到网络100的VPN (或其他网络隧道)业务来获知连接到网络的远程设备的位置。当用户连接到网络100中的给定站点102时,站点将使用互联网协议(IP) 或其他地址或信息(诸如GPS信号、Wi-Fi地理定位信息或与设备相关联的其他信息)来对连接的设备执行地理定位。对于每个站点,在一时间段内聚合连接到该站点102的所选择的设备的地理定位信息以估计站点物理地理位置的估计位置。经由本地设备(例如,关于站点 102-1的设备104-1)(例如,不经由VPN或网络隧道)访问站点并且使用来自站点102的内部IP地址的用户帐户可以被分配有等于站点的位置(估计位置或已知物理位置)的位置,但是在一些实施例中,可以从用于估计站点位置的地理定位信息的聚合中排除以避免自我确认偏差。因此,通过使用远程登录到网络100的设备(例如,如图2所示的设备104-2)的网络地址信息(例如,互联网协议(IP)地址),可以通过地理定位确定这些设备的物理位置而不需要这些设备自我定位。然后,使用连接到系统的站点102(例如,站点102-1)的远程设备的聚合地理定位来推断该站点的位置,然后可以将位置分配给本地连接到该站点102的设备(例如,设备104-1),否则该设备可能无法经由地理定位进行定位。
实施例可以实现用于在内部网络100中定位虚拟实体(诸如认证服务器108(例如,认证服务器108-1),诸如从华盛顿州雷蒙德市的微软公司可获取的域控制器)的学习流水线。所得到的映射允许将内部网络动作和实体映射到实际或近似的真实世界物理地理位置。例如,实施例可以能够基于本地被动业务监测来定位实际或近似的本地站点位置。这使得能够近似用户及其设备(例如,设备104-1)在世界中的位置,即使它们当前仅使用内部网络100的资源。
为了估计实体(诸如认证服务器108或某个其他网络硬件)的位置,实施例寻找附属于该实体的用户。例如,一组用户可以连接到实体(例如,认证服务器108-1)作为其家庭或主要站点所在的站点102。也就是说,用户以某种显著附属的方式在站点(例如,站点102-1) 处本地连接它们的设备(例如,设备104-1)。例如,与使用网络100 中的LAN连接在本地向其他站点进行认证相比,用户可以更频繁地使用LAN连接在本地在站点处进行认证。替代地或另外地,可以向用户分配站点102-1作为其主要工作位置。然后,实施例在真实世界中使用它们的设备查找这些附属用户110的指示符。例如,在一些实施例中,这可以使用来自到网络100的VPN馈送的信息来完成。实施例使用统计分析来组合这些附属用户110的这些指示符以得到实体的位置(例如,认证服务器108-1的位置)。
现在说明附加细节,实施例首先在本地网络(诸如本地站点 102-1)中定义要定位的实体(例如,认证服务器108-1)。该实体将与其服务的用户具有强大的位置关联。例如,实施例可以尝试估计站点的位置及其认证服务器。
然后,实施例可以定义被认为是该实体的一个或多个附属用户 110的对象并且找到这些附属用户110。例如,一些实施例可以标识在站点102-1的子网中的认证请求中出现至少X次的附属用户110。替代地或另外地,一些实施例可以实现时间查询,使得在最后Y时间帧中在站点102-1处认证至少X次的任何用户被定义为附属用户。
给定如上标识附属用户110,实施例可以寻找以在包含一些真实世界位置指示符的数据馈送中标识它们的指示符。具有这样的指示符的用户被认为是该实体的活动用户(例如,认证服务器108-1)。例如,实施例可以检查用户进行的VPN连接,并且将这些用户的设备的外部IP地址转换为地理位置。注意,通常,当设备104-2通过VPN 连接到网络100时,该设备将与由网络100外部的互联网服务提供商网络提供的外部IP地址相关联并且与和网络100相关联的内部IP地址相关联。在一些实施例中,可以使用外部IP地址来估计设备104-2 的位置。替代地或另外地,设备104-2可以与具有已知位置的Wi-Fi 热点或路由器相关联。该信息可以用于提供设备104-2的位置信息。来自活动的附属用户110的针对该实体的指示符被组合成针对该站点的位置的单个预测。
这些设备(统称为104)通过由认证服务器(诸如站点102-1等站点之一的认证服务器108-1)进行认证来访问网络100。诸如设备 104-2等远程设备可以经由虚拟专用网络(VPN)连接或其他隧道连接到诸如站点102-1等给定站点以发起会话,而诸如设备104-1等本地设备连接到它们所在的站点102-1,诸如通过LAN或其他本地连接。给定设备是远程设备还是本地设备取决于它如何连接到网络100,并且给定设备可以在不同时间(或在某些情况下同时)是远程设备和本地设备。例如,用户可以在位于站点102-1的办公室位置的同时使用设备作为本地设备以使用LAN在本地连接到网络100。用户可以在家中或行程中使用相同的设备并且经由VPN登录到网络100,使得该设备成为远程会话的远程设备。
例如,用户110-1可以指定要登录到的特定站点(诸如站点 102-1),或者连接到的站点102-1可以由在用户的设备上运行的登录代理基于以下各项自动选择:站点102-1到用户或用户的设备的分配、物理上最接近用户的站点102-1的确定、站点102-1对用户的通信响应最快(例如,避免网络拥塞,连接到具有更好的ping的站点102-1,尽管位于更远的位置)、逻辑上更接近用户的站点(例如,在用户的设备与站点102-1之间具有更少的中间网络组件)等。
与给定站点102-1附属的实体(设备或用户帐户)可以由认证服务器108-1或监视器112-1(或其他适当的组件)来标记和映射,如使用给定站点102-1作为它们的“家庭”站点102-1,而没有附属(例如,不经常连接,未被分配给站点,等等)连接到给定站点102-1的实体可以被标记为连接到“访客”站点102-1。在一些实施例中,实体被映射到它们在其上最活跃的一个站点102(本地,远程,或本地和远程),而在其他实施例中,基于某个因素(诸如到给定站点102 的最小连接数)给定实体可以在多于一个站点102上或者没有一个站点102上具有“家庭”状态。例如,基于办公室A并且其帐户与作为“家庭”的第一站点102-1相关联的用户可以被转移到办公室B并且开始更频繁地使用与办公室B相关联的第二站点102-2。当用户比办公室A的站点102-1更频繁地连接到办公室B的站点102-2时,示例用户的帐户可以在几天/几周/几个月的过程中被重新映射到作为“家庭”的第二站点102-2。相反,如果示例用户在办公室A使用(和留下)第一设备并且用户在办公室B被分配新设备,则第一设备可以保持与作为“家庭”的第一站点102-1相关联。在另一示例中,经常旅行并且远程登录到第一站点102-1和第二站点102-2的销售人员可以使每个站点102-1认为自己是用户帐户的“家庭”,这是由于在一时间段内销售人员连接到每个站点102的频率和销售人员超过到每个站点102的最小连接数。当监视器112-1确定站点102-1的估计位置时,它可以从“访客”实体中排除位置信息,与“访客”实体相比,向来自“家庭”实体的位置信息提供更大的权重,或者无论家庭/访客状态如何,均等地对待位置信息。监视器112-1还可以周期性地重新评估给定实体在给定站点102-1上是否具有家庭或访客状态。
监视器112-1将观察来自诸如设备104-2等连接到关联站点102-1 的远程设备的网络地址信息,并且将决定是否存储这些地址以在推断站点102-1的估计位置时使用。每次用户帐户成功登录到站点102-1 并且在网络100上建立会话时,监视器112-1可以存储与登录请求相关联的地址信息,或者监视器112-1可以过滤或限制在用于存储地址信息的给定时间段内来自给定用户帐户的登录次数。例如,具有间歇性Wi-Fi信号的远程设备130的用户可以重复地获取和失去与站点 102-1的连接,并且可以被迫不断地与认证服务器108-1重新认证,其中如果尝试落在彼此的预定时间范围内,则监视器112-1可以选择将其视为多次成功登录尝试或单次登录尝试。替代地,监视器112-1 可以收集所有地址信息,并且在稍后在确定给定站点102-1的估计位置时对其进行过滤。
出于安全目的,诸如设备104-1等本地设备也可以具有到认证服务器108-1的连接尝试和由监视器112-1记录的活动会话。可以理解,诸如设备104-1等本地设备与网络100内部的IP地址相关联,这些 IP地址可以被屏蔽以便不能在网络100内使用,并且因此如果提供给地理定位服务114则可能产生虚假结果。监视器112-1将记录与登录和会话相关联的实体(例如,用户帐户和设备),并且将在登录时将站点102-1的位置(估计位置或物理位置)分配给实体。例如,可以跟踪用于设备实体的用户实体或媒体访问控制(MAC)地址、序列号等用户帐户以确定在第二时间发生的使用相同实体标识符的第二登录是否违反用户帐户的一个或多个安全规则。
在各种实施例中,监视器112-1可以存储和使用、存储和过滤或排除存储由认证服务器108-1拒绝的连接尝试(例如,提供不正确的用户名或密码)。类似地,监视器112-1可以存储和过滤(或阻止存储)从与被阻止方相关联的地址列表、与不可靠的地理定位相关联的地址列表,或其持续时间或连接数满足不可靠性阈值的地址列表接收的连接尝试(例如,多个短连接可以指示不稳定连接,并且可能会被过滤掉或被忽略)。例如,利用来自智能电话的VPN连接的用户可以具有路由通过小区提供商的网络而到达站点102-1的信号,并且小区提供商的网络的地址被提供给监视器112-1,代替小区提供商的网络内部的远程设备地址,使得地址对于地址定位是不可靠的,其可以被标记用于监视器112-1,或者由监视器112-1基于互联网服务提供商(ISP)频繁地为地理位置提供不可靠的IP地址而随着时间被指示为是不可靠的。附加地或替代地,监视器112-1可以过滤掉距离站点 102-1超出预设距离的连接尝试的数据或者指定特定站点102-1的数据,因为它们的包含可能影响站点102-1的位置的计算。
当监视器112-1使用外部IP地址来确定站点102-1的估计位置时,将要使用的所存储的外部IP地址被传输到地理定位服务114,地理定位服务114返回与外部IP地址相关联的地理位置。地理定位服务114 的示例包括但不限于马萨诸塞州Waltham的MaxMind和弗吉尼亚州 Sterling的NeuStar,其将与IP(或MAC)地址相关的地理坐标提供回监视器112-1。地理坐标可以根据纬度/经度坐标、城市、地区和国家来提供。地理坐标可以实时请求(在实体连接时)或者批量保存以由地理定位服务114定期(例如,每日、每周、每月)或按需处理。
每个定位的远程登录与由地理定位服务114提供的地理定位以及对网络100进行它的时间相关联。使用这些数据,监视器112-1可操作以推断到远程连接的集中位置以用作估计的站点位置。当使用更多定位的远程登录时,可以更准确地推断所估计的站点位置,并且监视器112-1可以应用在计算中使用地理数据和登录数据的附加过滤。
如将理解的,可以使用各种算法和方法来确定用作估计的站点位置的集中位置。在一些实施例中,根据所定位的远程登录的地理定位值的纬度和经度来估计纬度和经度的算术平均值。在其他实施例中,当地理定位值不作为纬度/经度坐标提供,而是作为城市、地区或国家的名称提供时,监视器112-1可以使用来自所定位的远程登录的地理定位值的模式,或者可以将非坐标地理定位值转换为城市、区域或国家的中心位置的纬度/经度坐标对。
在一些实施例中,可以基于以下各项来将不同的权重应用于地理定位值:给定标识符的使用频率、一次登录尝试到另一次登录尝试的物理或时间接近度、与集中位置的物理接近度(其可以递归地估计)、进行所定位的远程登录的给定时间范围(例如,在工作时间期间,在工作日)、以及在估计的时段期间标识符是否是唯一的。监视器112-1 还可以在计算集中位置时考虑地理和地理政治数据,诸如例如以避免将所估计的集中位置放置在水体中,跨越国家/省级边界放置,放置在道路上,放置在使用受限的空间(例如,公园、已知由另一实体使用的设施、在需要商业区域时划为住宅用途的区域),放置在具有高犯罪率/税收/租金等的区域,或者专门将集中位置放置在给定的国家/省 /市/邻域中。
在监视器112-1已知物理地理站点位置的坐标的实施例中,监视器112-1可以应用机器学习技术来改变学习算法的权重或超参数以使所估计的站点位置与物理地理站点位置相匹配,并且在后续计算中应用调节后的权重和超参数以用于不具有已知物理地理站点位置的站点102。
可以将用户和设备实体划分成子组以为每个子组产生所估计的站点位置。另外,可以基于个体实体的使用模式来创建子组以确定实体的远程登录以其为中心的点。子组可以根据由网络管理员指定的标准来设置(例如,每月连接至少X次的实体、距离给定点至少Xkm 的实体、在给定点的Xkm内的实体、指定实体),或者可以由监视器112-1根据聚类或分配算法(例如,k均值、DBSCAN)自动标识。
为了确定不可能的行程场景,实施例还可以随时间建立用户存在。例如,实施例可以生成或引用特定用户时间线,该特定用户时间线包含用户使用的机器的登录和注销。在一些实施例中,这些登录和注销事件可以基于网络业务。一些实施例可以标识何时从远程连接进行登录,何时用户实际上在机器本身附近(而不是认证是某个自动过程的一部分)。例如,一些实施例可能需要生物特征认证过程,这些过程检查人类特征以有效地登录到机器。替代地或另外地,实施例可能需要存在或使用用户令牌,诸如用户通常拥有以有效地登录到机器的智能卡或近场通信(NFC)设备。
在具有目录服务的环境的上下文中,诸如从华盛顿州雷蒙德市的微软公司可获取的Active Directory,每个事件的位置(站点方面)也匹配。注意,如果用户正在使用隧道服务(诸如但不限于VPN和直接访问),则这将用作不同的特殊站点。实施例可以尝试从如上所述收集的信号推断出用户在哪里以及持续多长时间。因此,例如,对于给定的用户JhonD和站点:S1和S2,实施例可以产生类似于下面的数据存储166-1条目:
在2015年1月1日上午8:00至2015年1月1日下午1:00使用机器JhonDLaptop在S1处观察到JhonD。
在2015年1月3日下午9:00至2015年1月4日凌晨1:00使用机器JhonDLaptop在S2处观察到JhonD。
在2015年1月13日上午7:00至2015年1月13日下午7:00使用机器JhonDLaptop在S2处观察到JhonD。
再次参考图2,其中示出了网络100的示例,网关106-1操作以接受来自访问网络100的设备104的通信。认证服务器108-1与网关106-1通信以认证寻求访问网络100的设备104。与认证服务器108-1 通信的监视器112-1操作以聚合来自访问网络100的设备104的连接信息。监视器112-1从设备104向网络100被动地收集业务。例如,在一个或多个实施例中,所收集的业务的全部或一部分可以是来自经由VPN或其他隧道而连接的远程设备104-2的隧道业务,其中允许用户访问网络服务。收集业务并且确定登录和注销信息不需要设备104上的软件代理。
监视器112-1还可操作以在一时间段内根据所收集的网络业务确定设备104的用户的登录和注销信息。例如,该时间段可以是在一天的过程中或在多天内的多于一个会话。监视器112-1还根据设备104 的用户的登录和注销信息来确定可以在一天或多天发生的网络会话,并且生成包含网络会话登录的用户特定的时间线或时间表。时间表是基于何时接收和分析与登录和注销信息相关联的分组而不是分组包含的信息来生成的。通过分析网络分组的业务,可以确定用户身份以及用户登录的主机。在确定用户在该主机中活动多长之后,可以分配可以用于确定该特定用户的存在的会话或事件。
因此,时间表基于登录和注销信息来标识用户活动时以及用户否则不活动时的会话。监视器112-1利用时间表来确定设备104的用户是否在特定时间出现在特定位置。时间表还可以用于标识当用户基于登录和注销信息在其他特定时间出现在其他特定位置时的会话。而且,时间表可以用于标识用户何时没有活动地在网络100上。
在一个或多个实施例中,可以跟踪设备104以确定在第二时间发生的使用相同实体标识符的第二登录是否违反安全规则。
诸如远程设备130等实体和诸如设备104-1等本地设备通过由认证服务器108-1认证来访问网络100。因此,与认证服务器108-1通信的监视器112-1可以在根据认证协议的使用来认证每个登录时标识用户何时活动地在网络100上。因此,监视器112-1还可以经由认证过程来标识用户何时没有活动地在网络100上。认证协议的使用可以包括诸如NT LANManager(NTLAM)、Kerberos、轻量级目录访问协议(LDAP)和网络时间协议(NTP)或任何其他合适的认证协议等协议。因此,的登录成功验证会生成并且更新时间表。可以关联经由认证协议的认证分组以确定所收集的业务是否来自特定设备。
连接类型或登录类型在确定用户的存在和生成时间表方面也是有用的。标识登录信息中的登录类型可以用于确定用户是否活动地在网络上。例如,交互式登录要求用户输入凭证,以证明用户实际登录到设备中。另一方面,除了交互式登录之外的登录可能导致确定用户没有活动地在网络100上。例如,由于服务而发生的自动或触发登录应当在时间表中进行区分或者不包括在时间表中。确定登录是远程登录还是本地登录也可以用于生成时间表。
以下说明详细示例。在该示例中,一个实施例估计组织站点位于纽约市的站点处。该实施例还标识用户jhonD在10:00用他的机器在纽约市登录。该实施例还标识jhonD在11:00从中国尝试VPN连接。实施例确定这三个事实具有高置信度。这导致产生不可能的行程的警报。
在替代示例中,实施例估计组织站点位于纽约市的站点处。该实施例还标识用户jhonD在10:00用他的机器在纽约市登录。该实施例还标识jhonD在11:00从中国的组织站点尝试连接。实施例确定这三个事实具有高置信度。这导致产生不可能的行程的警报。
在又一替代示例中,一个实施例估计用户jhonD在10:00使用 VPN连接用他的机器在纽约市登录。该实施例还标识jhonD在11:00 从中国尝试VPN连接。实施例确定这三个事实具有高置信度。这导致产生不可能的行程的警报。
因此,实施例能够检测本地上下文中的不可能的行程。特别地,实施例可以检测从本地站点到远程位置、从本地站点到另一本地站点、和/或从远程位置到本地站点的不可能的行程。此外,如上所示,实施例可以丰富具有密集和高质量数据的位置馈送。同样,如上所述,使用机器学习技术,实施例可以提高两个外部馈送之间的不可能的行程的检测质量。
如上所示,实施例接收信号馈送(诸如登录和注销)作为输入。实施例预处理馈送以滤除低质量数据并且将数据作为条目存储在数据存储116-1中。在一些实施例中,根据数据存储116-1中的信号馈送而创建的每个条目具有用户名、位置指示符、会话开始时间和会话时间结束。例如,对于描述本地活动的馈送,实施例能够知道用户何时登录到机器以及用户是否远程这样做。当用户在本地站点处登录时 (诸如当用户使用诸如设备104-1等本地设备时)的位置指示符是机器(例如,设备104-1)物理登录的本地站点(例如,站点102-1)的已知或估计的物理地理位置。
当设备104-2用于远程登录到站点时,例如,使用VPN连接,该设备将具有可以是外部IP地址的位置指示符。该外部IP地址可以通过使用诸如马萨诸塞州Waltham的MaxMind和弗吉尼亚州Sterling NeuStar等地理定位服务114而映射到位置。
可以将不同的信息馈送组合成单个馈送(其中一些馈送可以相交)。在一些实施例中,由该单个馈送创建的单个条目可以包括两个相邻的单个馈送时间和位置指示符,并且可以用于标识两个位置之间的时间差和地理距离。在一些实施例中,单个条目可以包括用于实体的两个增量字段,一个用于时间,一个用于距离。在替代实施例中,时间增量和距离增量可以从两个不同但相邻的(即,另一条目的紧接着的一个条目,没有中间条目)条目来计算。
警报候选是标识或可以用于标识比特定阈值更快的行程的条目 (或条目对)。例如,一些实施例可以具有阈值,其中根据两个不同登录和/或注销事件的时间增量和行程增量而计算的速度将需要超过 1100km/h,诸如商业航班的速度。当标识出警报候选时,可以发出不可能的行程警报。
该警报可以用于阻止用户对网络100资源的访问,直到可以解决问题以确保用户能够安全地访问网络100和/或其他恶意用户不能使用合法用户的帐户信息访问网络100。替代地或另外地,实施例可以不完全阻止网络100访问所有资源,而是可以阻止对某些资源的访问,同时允许访问其他资源。这可以用在“蜜罐”场景中以尝试标识访问网络的恶意用户。在又一替代实施例中,当发出警报时,可以允许为其发出警报的任何用户访问具有无效和/或不重要数据和资源的虚拟网络资源。同样,可以鼓励用户继续使用网络100,尽管以无害的方式,直到可以特定地标识用户。
然而,应当理解,在很多场景中,在数据中存在共同的异常。例如,一些实施例可以过滤掉这样的异常。例如,这样的异常可以通过管理员定义的规则来指定。替代地或另外地,实施例可以实现能够通过使用特定于域的规则来标识已知的模式来获知那些异常的机器学习功能,尽管这些模式通常可能触发不可能的行程警报,但是不会触发已知为(或至少在所有可能的情况下)误报的这样的警报。任何异常都可以被过滤掉。在这个过滤之后幸存的警报候选会引起发出警报。通常,警报候选将在过滤之后幸存,因为它们与任何已知模式不匹配。
现在,以下讨论涉及可以执行的很多方法和方法动作。虽然方法行为可以按特定顺序讨论或在流程图中示出为以特定顺序发生,但是除非特别说明或要求,否则不需要特定顺序,因为动作取决于在动作执行之前完成另一动作。
现在参考图3,示出了计算机实现的方法300。方法300可以在计算环境中实践,并且包括用于确定与本地站点相关联的特定用户实体的不可能的行程的动作。方法300包括标识与组织网络相关联的本地站点的估计位置(动作302)。标识本地站点的估计位置可以包括聚合远离本地站点的连接到本地站点的远程设备的连接信息。
方法300还包括标识与本地连接事件相关的信息,包括估计位置、时间信息和实体的第一用户标识(动作304)。例如,用户可以使用设备104-1在站点102-1处登录或注销网络100,其中站点102-1的位置可以基于到站点102-1的先前的登录和从站点102-1的先前的注销来估计。通常,用于估计站点102-1的位置的登录和注销是来自诸如设备104-2等远程设备处的用户的登录和注销,如上所述。
方法300还包括标识与不同连接事件相关的信息(动作306)。该信息包括位置信息、时间信息和该实体的第二用户标识。注意,第一用户标识和第二用户标识可以是相同的标识,但不一定需要是相同的用户标识。例如,在一些实施例中,在两种情况下,用户标识可以是网络100的用户名。然而,在其他实施例中,用户标识可以是不同的标识,但是两者都标识相同的用户。例如,第一用户标识可以是用于在网络100上使用的实体的用户名,其中第二用户标识可以是游戏登录标识符、web邮件登录标识符、社交媒体登录标识符或也标识实体的其他适当的标识符。因此,所有登录和注销甚至不一定需要与网络100相关联,而是可以使用其他网络和其他服务上的登录和注销,只要可以收集来自这些登录和注销的适当的信息。这样的信息包括用户标识符、时间和位置。
方法300还包括使用与本地连接事件相关的信息和与不同连接事件相关的信息来检测实体的不可能的行程(动作308)。例如,实施例可以确定用户不可能从本地站点102-1行进到另一位置(诸如远程位置或其他本地站点)或从另一位置行进到本地站点102-1。
方法300还包括提供指示不可能的行程状况的警报(动作310)。例如,可以向认证服务器108-1提供警报,其可以通过限制实体对网络100的访问来创建更安全的网络100。
可以实现方法300,其中不同连接事件包括来自与组织网络相关联的不同本地站点的连接事件。特别地,可以从本地站点到本地站点检测不可能的行程。两个本地站点可以通过评估实体与站点的先前交互来估计其位置。
可以实现方法300,其中不同连接事件包括从远程位置到给定本地站点的、但是远离给定本地站点的登录。在一些这样的实施例中,来自远程位置的连接事件包括VPN连接。替代地,来自远程位置的连接事件包括使用隧道协议、云服务认证或消费者连接(例如,消费者web邮件或社交媒体认证)等中的至少一个的认证(例如,登录或注销)事件。
方法300还可以包括预处理与本地连接事件相关的信息以创建标准化信息集。方法300还可以包括预处理与不同连接事件相关的信息以创建不同的标准化信息集。预处理可以包括以机器学习预测、地理位置信息、公共API输入等作为输入。这可以用于推断位置信息并且以标准化格式来格式化位置信息。另外,预处理可以能够标识IP地址是否是移动网关。移动网关是网关,其中IP地址无法可靠地解析到某个位置。如果使用移动网关,则通常不需要预处理,因为它不会产生可靠的位置信息。因此,在一些实施例中,检测不是移动网关的网关可能导致触发预处理活动以标准化位置信息。方法300还可以包括组合标准化信息集以创建复合信息集。使用与本地连接事件相关的信息和与不同连接事件相关的信息可以包括使用复合信息集来标识不可能的行程。
方法300还可以包括对任何检测到的不可能的行程执行后处理以减少误报警报的噪声。例如,实施例可以使用诸如机器学习等模式识别工具来标识共同模式,并且将它们标记为良性并且不指示不可能的行程事件。
此外,该方法可以由包括一个或多个处理器和诸如计算机存储器等计算机可读介质的计算机系统来实践。特别地,计算机存储器可以存储计算机可执行指令,这些计算机可执行指令在由一个或多个处理器执行时引起执行各种功能,诸如实施例中记载的动作。
本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机,如下面更详细地讨论的。本发明范围内的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这样的计算机可读介质可以是可以由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可以包括至少两种截然不同的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM 或其他光盘存储器(诸如CD、DVD等)、磁盘存储器或其他磁存储设备、或者可以用于以计算机可执行指令或数据结构的形式存储期望的程序代码装置并且可以由通用或专用计算机访问的任何其他介质。
“网络”被定义为能够在计算机系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)向计算机传送或提供信息时,计算机将该连接适当地视为传输介质。传输介质可以包括可以用于以计算机可执行指令或数据结构的形式携带期望的程序代码装置并且可以由通用或专用计算机访问的网络和/或数据链路。上述的组合也被包括在计算机可读介质的范围内。
此外,在到达各种计算机系统组件时,计算机可执行指令或数据结构形式的程序代码装置可以自动地从传输计算机可读介质传输到物理计算机可读存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以缓冲在网络接口模块(例如,“NIC”)内的RAM中,并且然后最终传输到计算机系统RAM 和/或计算机系统中的更少易失性计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在也(或甚至主要)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如引起通用计算机、专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制文件、诸如汇编语言等中间格式指令、或甚至是源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但是应当理解,所附权利要求书中定义的主题不必限于上述特征或动作。而是,所描述的特征和动作被公开作为实现权利要求的示例形式。
本领域技术人员将理解,本发明可以在具有很多类型的计算机系统配置的网络计算环境中实践,包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中实施,其中通过网络链接(通过硬连线数据链路、无线数据链路、或者通过硬连线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备两者中。
替代地或另外地,本文中描述的功能可以至少部分由一个或多个硬件逻辑组件执行。例如而非限制,可以使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、程序专用集成电路(ASIC)、程序专用标准产品(ASSP)、芯上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在不脱离本发明的精神或特性的情况下,本发明可以以其他特定形式实施。所描述的实施例在所有方面都应当被视为仅是说明性的而非限制性的。因此,本发明的范围由所附权利要求而不是前面的描述来表示。在权利要求的含义和等同物的范围内的所有变化都被包含在其范围内。
Claims (20)
1.一种计算机系统,包括:
一个或多个处理器;以及
一个或多个计算机可读介质,具有存储在其上的指令,所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为确定针对连接到多站点分布式网络的本地站点的用户的不可能的行程,所述指令包括可执行以将所述计算机系统配置为至少执行以下操作的指令:
标识与所述多站点分布式网络相关联的给定本地站点的估计位置,其中所述多站点分布式网络包括共享网络资源的多个本地网络,所述网络资源包括IP地址的语料库,所述IP地址中的每个IP地址能够被分配给连接到所述分布式网络的用户设备,而不管所述用户设备被连接到哪个本地网络,并且其中标识所述给定本地站点的所述估计位置包括通过基于远程设备的网络地址信息来聚合地理位置来推断所述给定本地站点的所述地理位置,所述远程设备中的每个远程设备使用外部IP地址登录到所述给定本地站点,并且其中本地设备然后被分配给等于所述给定本地站点的估计地理位置的地理位置,所述本地设备使用来自所述给定本地站点的内部IP地址但是经由地理位置不可定位;
标识与在所述给定本地站点处的第一本地连接事件相关的信息,其中所标识的所述信息包括所述估计位置、时间信息和针对实体的第一用户标识;
标识与第二不同本地连接事件相关的信息,其中与所述第二不同本地连接事件相关的所述信息包括位置信息、时间信息和针对所述实体的第二用户标识;
比较与所述第一本地连接事件相关的所述信息和与所述第二不同本地连接事件相关的所述信息,其中与所述第一本地连接事件和所述第二本地连接事件中的至少一个相关的所述信息基于所述给定本地站点的推断的所述位置,并且基于所述比较,检测针对所述实体的不可能的行程而不管所述不可能的行程是否基于i)从所述给定本地站点到所述多站点分布式网络外部的远程位置的行程,ii)从所述给定本地站点到所述多站点分布式网络的另一本地站点的行程,或者iii)从所述多站点分布式网络外部的远程位置到所述给定本地站点的行程;以及
提供指示不可能的行程状况的警报。
2.根据权利要求1所述的计算机系统,其中所述不同连接事件包括来自与所述多站点分布式网络相关联的不同本地站点的连接事件。
3.根据权利要求1所述的计算机系统,其中所述不同连接事件包括从所述多站点分布式网络外部的远程位置到所述给定本地站点的连接事件。
4.根据权利要求3所述的计算机系统,其中来自所述远程位置的所述连接事件包括VPN连接。
5.根据权利要求3所述的计算机系统,其中来自所述远程位置的所述连接事件包括使用隧道协议、云服务或消费者连接中的至少一项的连接事件。
6.根据权利要求1所述的计算机系统,其中一个或多个计算机可读介质还具有存储在其上的指令,所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为还执行以下操作:
预处理与所述给定本地连接事件相关的所述信息以创建标准化信息集;
预处理与所述不同连接事件相关的所述信息以创建不同的标准化信息集;以及
组合所述标准化信息集以创建复合信息集,并且其中使用与所述给定本地连接事件相关的所述信息和与所述不同连接事件相关的所述信息包括使用所述复合信息集来标识不可能的行程。
7.根据权利要求1所述的计算机系统,其中一个或多个计算机可读介质还具有存储在其上的指令,所述指令由所述一个或多个处理器可执行以将所述计算机系统配置为对任何检测到的不可能的行程执行后处理以减少针对误报警报的噪声。
8.根据权利要求7所述的计算机系统,其中所述后处理包括用于移除共同模式的模式识别。
9.一种确定针对连接到多站点分布式网络的本地站点的用户的不可能的行程的计算机实现的方法,所述方法包括:
标识与所述多站点分布式网络相关联的给定本地站点的估计位置,其中所述多站点分布式网络包括共享网络资源的多个本地网络,所述网络资源包括IP地址的语料库,所述IP地址中的每个IP地址能够被分配给连接到所述分布式网络的用户设备,而不管所述用户设备被连接到哪个本地网络,并且其中标识所述给定本地站点的所述估计位置包括通过基于远程设备的网络地址信息来聚合地理位置来推断所述给定本地站点的所述地理位置,所述远程设备中的每个远程设备使用外部IP地址登录到所述给定本地站点,并且其中本地设备然后被分配给等于所述给定本地站点的估计地理位置的地理位置,所述本地设备使用来自所述给定本地站点的内部IP地址但是经由地理位置不可定位;
标识与在所述给定本地站点处的第一本地连接事件相关的信息,其中所标识的所述信息包括所述估计位置、时间信息和针对实体的第一用户标识;
标识与第二不同本地连接事件相关的信息,其中与所述第二不同本地连接事件相关的所述信息包括位置信息、时间信息和针对所述实体的第二用户标识;
比较与所述第一本地连接事件相关的所述信息和与所述第二不同本地连接事件相关的所述信息,其中与所述第一本地连接事件和所述第二本地连接事件中的至少一个相关的所述信息基于所述给定本地站点的推断的所述位置,并且基于所述比较,检测针对所述实体的不可能的行程而不管所述不可能的行程是否基于i)从所述给定本地站点到所述多站点分布式网络外部的远程位置的行程,ii)从所述给定本地站点到所述多站点分布式网络的另一本地站点的行程,或者iii)从所述多站点分布式网络外部的远程位置到所述给定本地站点的行程;以及
提供指示不可能的行程状况的警报。
10.根据权利要求9所述的方法,其中所述不同连接事件包括来自与所述多站点分布式网络相关联的不同本地站点的连接事件。
11.根据权利要求9所述的方法,其中所述不同连接事件包括从所述多站点分布式网络外部的远程位置到所述给定本地站点的连接事件。
12.根据权利要求11所述的方法,其中来自所述远程位置的所述连接事件包括VPN连接。
13.根据权利要求11所述的方法,其中来自所述远程位置的所述连接事件包括使用隧道协议、云服务或消费者连接中的至少一项的连接事件。
14.根据权利要求9所述的方法,还包括:
预处理与所述给定本地连接事件相关的所述信息以创建标准化信息集;
预处理与所述不同连接事件相关的所述信息以创建不同的标准化信息集;以及
组合所述标准化信息集以创建复合信息集,并且其中使用与所述给定本地连接事件相关的所述信息和与所述不同连接事件相关的所述信息包括使用所述复合信息集来标识不可能的行程。
15.根据权利要求9所述的方法,还包括对任何检测到的不可能的行程执行后处理以减少针对误报警报的噪声。
16.根据权利要求15所述的方法,其中所述后处理包括用于移除共同模式的模式识别。
17.一种计算机系统,用于确定针对连接到多站点分布式网络的本地站点的用户的不可能的行程,所述系统包括执行指令的一个或多个处理器,所述指令将所述计算机系统配置有包括以下的架构:
网关,其从远程设备和连接到与所述多站点分布式网络相关联的给定本地站点的本地设备两者接受通信,其中所述多站点分布式网络包括共享网络资源的多个本地网络,所述网络资源包括IP地址的语料库,所述IP地址中的每个IP地址能够被分配给连接到所述分布式网络的用户设备,而不管所述用户设备被连接到哪个本地网络;
监测器,其耦合到所述网关,其中所述监测器至少执行以下操作:
通过基于远程设备的网络地址信息来聚合地理位置来推断所述给定本地站点的所述地理位置,来标识所述给定本地站点的估计位置,所述远程设备中的每个远程设备使用外部IP地址登录到所述给定本地站点,并且其中本地设备然后被分配给等于所述给定本地站点的估计地理位置的地理位置,所述本地设备使用来自所述给定本地站点的内部IP地址但是经由地理位置不可定位;
标识与在所述给定本地站点处的第一本地连接事件相关的信息,其中所标识的所述信息包括所述估计位置、时间信息和针对实体的第一用户标识;
标识与第二不同连接事件相关的信息,其中与所述第二不同连接事件相关的所述信息包括位置信息、时间信息和针对所述实体的第二用户标识;
比较与所述第一本地连接事件相关的所述信息和与所述第二不同本地连接事件相关的所述信息,其中与所述第一本地连接事件和所述第二本地连接事件中的至少一个相关的所述信息基于所述给定本地站点的推断的所述位置,并且基于所述比较,检测针对所述实体的不可能的行程而不管所述不可能的行程是否基于i)从所述给定本地站点到所述多站点分布式网络外部的远程位置的行程,ii)从所述给定本地站点到所述多站点分布式网络的另一本地站点的行程,或者iii)从所述多站点分布式网络外部的远程位置到所述给定本地站点的行程;以及
提供指示不可能的行程状况的警报。
18.根据权利要求17所述的计算机系统,其中所述第一本地连接事件包括在所述给定本地站点处的连接事件,并且所述第二不同本地连接事件包括来自除了所述给定本地站点的不同本地站点的连接事件。
19.根据权利要求17所述的计算机系统,其中所述第一本地连接事件包括在所述给定本地站点处的连接事件,并且所述第二不同连接事件包括从远程位置到所述给定本地站的连接事件。
20.根据权利要求19所述的计算机系统,其中来自所述远程位置的所述连接事件包括使用隧道协议、云服务或消费者连接中的至少一项的连接事件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/342,631 | 2016-11-03 | ||
| US15/342,631 US10333944B2 (en) | 2016-11-03 | 2016-11-03 | Detecting impossible travel in the on-premise settings |
| PCT/US2017/058920 WO2018085161A1 (en) | 2016-11-03 | 2017-10-30 | Detecting impossible travel in the on-premise settings |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109891853A CN109891853A (zh) | 2019-06-14 |
| CN109891853B true CN109891853B (zh) | 2021-02-26 |
Family
ID=60413270
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780067899.0A Active CN109891853B (zh) | 2016-11-03 | 2017-10-30 | 在本地设置中检测不可能的行程的方法及系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10333944B2 (zh) |
| EP (1) | EP3535946B1 (zh) |
| CN (1) | CN109891853B (zh) |
| WO (1) | WO2018085161A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10992972B1 (en) * | 2019-12-31 | 2021-04-27 | Adobe Inc. | Automatic identification of impermissable account sharing |
| US11350174B1 (en) * | 2020-08-21 | 2022-05-31 | At&T Intellectual Property I, L.P. | Method and apparatus to monitor account credential sharing in communication services |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
| CN113783855B (zh) * | 2021-08-30 | 2023-07-21 | 北京百度网讯科技有限公司 | 站点评估方法、装置、电子设备、存储介质和程序产品 |
| US11963089B1 (en) | 2021-10-01 | 2024-04-16 | Warner Media, Llc | Method and apparatus to profile account credential sharing |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8666841B1 (en) | 2007-10-09 | 2014-03-04 | Convergys Information Management Group, Inc. | Fraud detection engine and method of using the same |
| CN101242412A (zh) * | 2008-03-17 | 2008-08-13 | 张建中 | 一种多维数据实例传送的方法和装置以及系统 |
| US8788635B2 (en) * | 2009-03-20 | 2014-07-22 | Microsoft Corporation | Mitigations for potentially compromised electronic devices |
| US8612622B2 (en) * | 2009-10-02 | 2013-12-17 | Limelight Networks, Inc. | Real-time message queuing for a processing ring |
| US8825813B2 (en) * | 2010-12-28 | 2014-09-02 | Microsoft Corporation | Distributed network coordinate system based on network performance |
| US20130110715A1 (en) * | 2011-10-27 | 2013-05-02 | Bank Of America Corporation | Use of Velocity in Fraud Detection or Prevention |
| CN103023718B (zh) | 2012-11-29 | 2015-12-23 | 北京奇虎科技有限公司 | 一种用户登录监测设备和方法 |
| US20140230051A1 (en) | 2013-02-08 | 2014-08-14 | Apple Inc. | Fraud detection for identity management systems |
| US8990011B2 (en) * | 2013-02-28 | 2015-03-24 | Microsoft Technology Licensing, Llc | Determining user device's starting location |
| US9143492B2 (en) * | 2013-03-15 | 2015-09-22 | Fortinet, Inc. | Soft token system |
| US9635116B2 (en) | 2013-04-26 | 2017-04-25 | Linkedin Corporation | Techniques for inferring a location |
| WO2015061715A1 (en) | 2013-10-24 | 2015-04-30 | Internet Infrastructure Services Corporation | Methods of dynamically securing electronic devices and other communications through environmental and system measurements leveraging tailored trustworthy spaces |
| CN103685511B (zh) * | 2013-12-13 | 2017-04-19 | 北京奇虎科技有限公司 | 一种数据分发方法、装置及系统 |
| CN103701950B (zh) * | 2013-12-26 | 2017-09-08 | 中国联合网络通信集团有限公司 | 一种ip地址的分配方法及装置 |
| US20160105801A1 (en) | 2014-10-09 | 2016-04-14 | Microsoft Corporation | Geo-based analysis for detecting abnormal logins |
| US10547627B2 (en) * | 2016-03-08 | 2020-01-28 | Palo Alto Networks, Inc. | Malicious HTTP cookies detection and clustering |
| US10165005B2 (en) * | 2016-09-07 | 2018-12-25 | Oracle International Corporation | System and method providing data-driven user authentication misuse detection |
-
2016
- 2016-11-03 US US15/342,631 patent/US10333944B2/en active Active
-
2017
- 2017-10-30 CN CN201780067899.0A patent/CN109891853B/zh active Active
- 2017-10-30 EP EP17801544.2A patent/EP3535946B1/en active Active
- 2017-10-30 WO PCT/US2017/058920 patent/WO2018085161A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| CN109891853A (zh) | 2019-06-14 |
| US20180124065A1 (en) | 2018-05-03 |
| WO2018085161A1 (en) | 2018-05-11 |
| US10333944B2 (en) | 2019-06-25 |
| EP3535946A1 (en) | 2019-09-11 |
| EP3535946B1 (en) | 2020-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3596908B1 (en) | System to filter impossible user travel indicators | |
| CN109891853B (zh) | 在本地设置中检测不可能的行程的方法及系统 | |
| US10601800B2 (en) | Systems and methods for user authentication using pattern-based risk assessment and adjustment | |
| Hekmati et al. | CONTAIN: Privacy-oriented contact tracing protocols for epidemics | |
| US20200076799A1 (en) | Device aware network communication management | |
| CN107005442A (zh) | 用于远程接入的方法和装置 | |
| JP2016532356A (ja) | 屋内ロケーションのセキュリティおよびプライバシー | |
| RU2578739C2 (ru) | Определение детального местоположения сетевых компьютеров | |
| US10939228B2 (en) | Mobile device location proofing | |
| Esposito et al. | On data sovereignty in cloud-based computation offloading for smart cities applications | |
| Abdou et al. | CPV: Delay-based location verification for the Internet | |
| US10609060B2 (en) | Clustering network addresses | |
| Boutsis et al. | Location privacy for crowdsourcing applications | |
| Sadhu et al. | CollabLoc: Privacy-preserving multi-modal collaborative mobile phone localization | |
| US20230284129A1 (en) | Intelligent Edge Enabler Client Operation | |
| Chatterjee et al. | Fog Computing and Its security issues | |
| Vratonjic et al. | A location-privacy threat stemming from the use of shared public IP addresses | |
| US20240089260A1 (en) | System and method for graduated deny list | |
| Liu et al. | Beetrace: a unified platform for secure contact tracing that breaks data silos | |
| US9917858B2 (en) | Honey user | |
| Butun et al. | Preserving location privacy in cyber-physical systems | |
| Abdou et al. | Location verification on the internet: Towards enforcing location-aware access policies over internet clients | |
| US11968211B2 (en) | Controlling access entitlement for networking device data | |
| Vidya et al. | Adaptation trust based protocol for IoT using smartphones in social media: Travel map guide | |
| RU2480949C1 (ru) | Способ определения местоположения пропавших электронных устройств |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |