CN110402573A - 用于过滤不可能的用户行进指示符的系统 - Google Patents
用于过滤不可能的用户行进指示符的系统 Download PDFInfo
- Publication number
- CN110402573A CN110402573A CN201880018197.8A CN201880018197A CN110402573A CN 110402573 A CN110402573 A CN 110402573A CN 201880018197 A CN201880018197 A CN 201880018197A CN 110402573 A CN110402573 A CN 110402573A
- Authority
- CN
- China
- Prior art keywords
- user
- access
- equipment
- enterprise
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Social Psychology (AREA)
- Health & Medical Sciences (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
减轻对于不可能行进警报的虚假的肯定。针对使用第一识别过程识别的对计算资源的第一用户访问,向用户行为分析服务提供用户的第一用户访问位置。第一识别过程识别与第一用户访问关联的用户设备的位置的真实世界指示符。针对使用第二识别过程对计算资源的第二用户访问,向用户行为分析服务提供用户的第二用户位置。第二识别过程识别与出口点关联的位置,使得用户行为分析服务接收与出口点关联的位置作为第二用户位置,其中去往和来自用户设备的通信被路由至出口点以访问计算资源。在用户行为分析服务处滤除第二用户位置以免用于不可能行进检测。
Description
背景技术
计算机和计算系统几乎影响了现代生活的每个方面。工作、休闲、医疗保健、交通、娱乐、家庭管理等都涉及到了计算机。
在计算环境中,安全是重要的考虑因素。特别地,在识别恶意攻击者是否尝试访问用户的账户中是有用的。进行这种识别的一种方式是识别正在对将需要不可能的行进(travel)的用户账户尝试登录。例如,如果尝试从具有美国IP地址的计算机登录且在5分钟后尝试利用具有法国IP地址的计算机登录,则它将被检测为不可能的行进场景,即,实际的善意用户不可能在5分钟内从美国行进到法国。
由于网络通信发生的各种方式,所以常常存在可能检测到不可能的行进场景但实际上未发生不可能的行进的情况。例如,基于单个用户访问具有关联的不同物理位置的不同网络设备,可以为该用户确定不同的位置。所谓的“虚假的肯定”导致具有有限值的许多不可能的行进检测机制。
本文中要求保护的主题不限于克服任意缺点或仅在如上述环境的环境中操作的实施方式。而是,此背景技术仅被提供用于说明本文中描述的一些实施方式可以被实践的一个示例技术领域。
发明内容
本文中阐述的一个实施方式包括可以在不可能行进检测系统中实践的方法。该方法包括用于减轻对于不可能行进警报的虚假的肯定的动作。该方法包括针对使用第一识别过程识别的对计算资源的第一用户访问,向用户行为分析服务提供用户的第一用户访问位置。第一识别过程识别与第一用户访问关联的用户设备的位置的真实世界指示符。该方法还包括针对使用第二识别过程对计算资源的第二用户访问,向用户行为分析服务提供用户的第二用户位置。第二识别过程识别与出口点关联的位置,使得用户行为分析服务接收与出口点关联的位置作为第二用户位置,其中去往和来自用户设备的通信被路由至出口点以访问计算资源。该方法还包括在用户行为分析服务处滤除第二用户位置以免用于不可能行进检测。
提供此发明内容部分是为了以简化形式介绍下面将在具体实施方式部分进一步描述的理念的选择。此发明内容部分不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在专用于帮助确定所要求保护的主题的范围。
附加的特征和优点将在下面的描述中阐述,部分地根据该描述变得清楚,或者可以通过本文的教导的实践学习到。本发明的特征和优点可以通过在所附权利要求中特别指出的仪器和组合来实现和获得。本发明的特征根据下面的描述和所附的权利要求变得更加明显,或者可以通过下文叙述的本发明的实践学习到。
附图说明
为了描述能够获得上面阐述的优点和特征以及其它的优点和特征的方式,通过参考在附图中示出的具体实施方式给出了上面简要描述的主题的更具体描述。应理解,这些附图仅描绘了典型的实施方式因而不被认为限制范围,通过使用附图以附加的特异性和细节描述和解释了实施方式,在附图中:
图1示出了用于检测不可能的行进的用户行为分析服务;
图2示出了说明过滤与企业出口点相关的位置信息的流程;
图3示出了说明基于用户在企业中的行为采取的动作的流程;
图4示出了分布式企业系统;
图5示出了分布式企业系统的另一表示;以及
图6示出了用于减轻不可能的行进警报的虚假的肯定的方法。
具体实施方式
不可能的行进是许多安全相关应用的重要特征。它检测实体(通常,终端用户)覆盖物理世界中实际上无法用当前的行进技术行进的距离的场合。检测不可能的行进的一个重要应用是经由物理位置异常来检测妥协证书使用。
如上面所提到的,由于网络通信发生的各种方式,常常存在可能检测到不可能的行进场景但实际上没有发生不可能的行进的情况。例如,基于单个用户访问具有关联的不同物理位置的不同网络设备,可以为该用户确定不同的位置。这些所谓的“虚假的肯定”导致具有有限值的许多不可能的行进检测机制。
本文中说明的实施方式能够滤除潜在的可能指示不可能的行进但很大程度上没有发生不可能的行进的情况。这创建了改进的计算系统,该系统为不可能的行进场景提供更精确的警报。的确,因为不需要创建和发出通常为虚假的肯定的警报,所以节省了计算处理功率,从而节省了计算资源。
图1示出了一个示例。在此示例中,用户102使用用户设备104。用户102可以使用用户设备104用多个不同的方式访问各种资源。例如,用户102可以使用用户设备104访问能够用于访问信息的网站门户106。网站门户106可以耦合至用户行为分析服务108。此耦合可以简单地是能够对网站门户的审计日志进行读取的安全服务的API集成。另一示例包括读取身份提供商(例如,从华盛顿雷德蒙特微软公司可获得的活动目录)的日志,该身份提供商负责追踪用户对全部应用的访问。用户行为分析服务108能够记录关于与用户访问的信息关联的位置的信息。例如,在一些实施方式中,用户设备104的物理真实世界位置能够在用户行为分析服务108处被发现并被记录在数据存储库116中。此信息常常以用户设备104的IP地址、从用户设备104发送给网站门户106的GPS位置、基于用户设备104的蜂窝数据使用情况的蜂窝信号三角测量、或能够确定用户设备104的实际真实世界位置的其它方式为基础。用户设备104的此位置信息能够被提供给用户行为分析服务108。用户行为分析服务108可以将此信息存储在数据存储库116内的条目中。具体地,数据存储库116典型地包括将访问时间与用户位置相关联的条目。
数据存储库116内的条目可以由用户行为分析服务评估以在确定两个或多个条目指示用户的不可能的行进时产生例如警报110的警报。因此,例如条目可以包括用户标识、(包括例如访问日期和时刻的)访问时间标识、以及位置。用户的条目可以被比较以鉴于位置确定对于单个用户来说访问时间是否可能。如果条目中指示的访问是不可能的,则用户行为分析服务能够发出警报110。警报可以被提供给系统管理员用于补救。替代地或另外地,当生成警报时实施方式可以自动地阻止用户访问。
除了使用网站门户106以外,用户设备104(或的确,用户的不同用户设备)还可以访问企业出口点112。企业出口点可以是位于与外网、广域网和互联网连接的企业网的边界的设备。因此,企业出口点112典型地是企业网络的允许用户通过企业硬件访问企业网络的部分。例如企业出口点112可以是VPN门户。替代地或另外地,出口点112可以是企业网关,如下面更详细讨论的。企业出口点112还耦合至如所提到的与行为分析服务108耦合的网站门户106。然而,从企业出口点112提供给网站门户106从而最终提供给行为分析服务108的位置信息,典型地对应于与用户设备104不同且在许多情况中与企业出口点112本身不同的真实世界位置(例如,企业出口点112的真实世界位置或企业112的大概位置)。这导致用户行为分析服务108潜在地识别如果用户设备104(或用于相同用户的不同的用户设备)在时间t1访问网站门户106、在时间t2访问企业出口点112且用户102不可能在t1至t2之间的时间内在用户设备104的真实世界位置与企业出口点112关联的真实世界位置之间行进则发生了不可能的行进场景。因此,用户行为分析服务108可能尝试将条目添加到数据存储库116,数据存储库116将时间t1与用户设备104对网站门户106的访问以及用户设备104的位置相关、并且将时间t2与用户设备104(或其它用户设备)对企业出口点112的访问以及关联于企业出口点112的位置相关。还注意到,尽管示出了单个网站门户106,但是实施方式可以包括多个网站门户。例如,一个网站门户可以用于从移动电话访问,不同的网站门户可以从个人计算机访问。用户行为分析服务108将跨多个应用和/或门户的用户动作互相关。
因此,一些实施方式可以包括在用户行为分析服务108中或者在另一合适的位置处实现的过滤器114,过滤器114能够检测用户设备何时以可能导致发生不可能行进的无效指示的方式连接至端点。因此,一般地,一些实施方式能够基于与例如网站门户106的第一实体的交互检测用户设备104的真实世界位置,并且作为用户设备104使用可能具有可能与用户设备104的真实世界位置对应或不对应的关联位置的出口点的结果能够检测不同的位置。具体地,用户设备104可以连接至企业出口点112,其中企业出口点112可以具有与其关联的真实世界位置且企业出口点112的真实世界位置基本等同于用户设备104的真实世界位置。例如,这种情况可能在用户设备104在接近出口点112的位置使用时发生,其中出口点的位置已知且能够被提供给网站门户106。然而,替代地,出口点112可以与远离用户设备104的真实世界位置相关联。例如,出口点112可以是企业环境下的网关,从而与出口点112关联的位置是企业的大概位置并且不是出口点112本身的精确位置。过滤器114能够检测出口点正由用户设备104使用并能够从数据存储库116过滤这些记录条目。
具体地,实施方式能够利用与企业网络和企业网络的出口点有关的信息并将企业用于边缘路由器的所有已知IP标记为“边缘IP”。替代地或另外地,实施方式可以通过检测(典型地边缘IP的)由大量用户共享的IP启发式地检测边缘IP。这将提供信息以降低警报的分数。然而,在一些实施方式中,这可能不足以计算估计的用户位置和确定用户在网络上是否实际活跃。
过滤可以包括以下项中的一个或多个:不允许条目被存储在数据存储库116中、从数据存储库116移除条目、将数据存储库116中的条目标记为无效、或者在一些情况中将数据存储库中条目中的位置用不同的位置替换,如下面更详细说明的。以这种方式与出口点112有关的某些信息不被用于尝试检测不可能行进场景。
如上所述,在一些实施方式中,为企业出口点112识别的真实世界位置实际上可能是错误的。例如,如果企业出口点112是企业的网关,则企业出口点112的位置可能因企业可能具有多个不同地理位置的多个网关而被不精确地识别。然而,如下面说明的,一些实施方式能够估计网关的位置并用所估计的真实世界位置替代确定的企业出口点112的位置。这在能够确定用户设备104在充当企业出口点112的网关附近使用的情况下可能是有用的。
现在参考图2,图2示出了能够用于过滤用户在确定不可能的行进场景中使用的访问信息的示例过程200。图2示出了在202接收用户访问信息。例如,用户行为分析服务108可以从网站门户106接收信息(在一些情况中该信息从企业出口点112被提供给网站门户),该信息包括用户设备104尝试访问的时间和位置信息,该位置信息可以标识用户设备104的位置或与企业出口点112关联的位置。
图2还示出了在判定框204确定访问信息是否对应于企业出口点。如图所示,在206,如果访问信息不对应于企业出口点,例如图1所示的示例中访问仅对应于对网站门户106的访问,则访问信息被存储在数据存储库中,例如,被存储在用户行为分析服务108处的数据存储库116中。
然而,如图所示,在208,如果访问信息对应于企业出口点,例如用户设备104访问企业出口点112,则过滤访问信息。如上面提到的,过滤可以包括丢弃访问信息使得它不被输入位置服务器数据存储库116中。替代地或另外地,信息可以被输入数据存储库116中,但是被标记有指示该信息不应该用于不可能行进检测的指示符。替代地或另外地,过滤可以包括尝试识别可能当在一些预定标准中实际位置与用户设备104对应时指示企业出口点112的实际位置的信息。替代地或另外地,用户设备104的位置可以在内网中被发现并且数据存储库116中用于对出口点的访问的条目被替换而不管出口点位置如何。例如,访问的出口点可以在英国,但是用户可以从以色列访问该出口点并且这能够从企业网内部日志确定。因此,数据存储库116中用于此具体访问的条目可以标注来自以色列的访问。
现在参考图3示出图2的208处所示的过滤可以包括如下动作的实施方式的附加细节:尝试确定企业出口点112的位置并将该位置存储在数据存储库112中,使得该信息可以在不可能行进场景中使用。具体地,这可能在用户102在企业位置使用用户设备时发生,其中企业出口点112是该企业位置处的网关。因此,在此示例中,用户102以及据推测它们的用户设备104物理地位于企业内某位置处的企业出口点112的附近,使得企业出口点112的位置能够被用作用户102的位置的附近位置,或者替代地,(不包括出口点112位置的)用户的实际位置能够被确定。
图3在301示出了发生企业访问的访问信息。例如,用户行为分析服务108能够访问该访问信息。访问信息与企业中的用户访问对应是已知的。所述访问与第一位置关联。如图所示在302,实施方式尝试确定第一位置是否对应于企业出口点。如果确定访问信息不对应于出口点,则如图所示在303,可以发出指示网络漏洞的警报。例如,在一些实施方式中,可以确定企业看不到足够数量的来自关联IP的连接,使得它很可能不与企业数据存储库116关联或未在企业数据存储库116中表示。因此,可以使用下限阈值数量的连接来指示不在企业出口点进行访问。
在一些实施方式中,可能存在与访问关联的IP地址与企业出口点关联的概率,但是该概率未达到指示该访问是针对与企业出口点关联的IP地址或该访问是针对不与企业出口点关联的IP地址的某一预定阈值。例如,如果系统能够确定IP由多个用户使用,则实施方式可以赋予该IP与企业出口点关联的概率。如图所示,在304,能够在数据存储库116中将该IP标记为“可疑IP”并且能够降低该会话的分数。降低的分数可以在警报判定中使用并降低发出警报的可能性。如果能够确定数据存储库116中的IP地址属于企业出口点高于某一预定阈值,则如图所示在305,实施方式尝试识别该使用在企业中是否活跃。
这能够用多个不同的方式实现,如虽然在此以简短方式描述的但是在下面更详细描述的。具体地,能够访问各个访问日志以确定用户是否在企业内执行各个功能。如果动作不是由用户102在企业内执行的,则可能发生了未认证的访问,因此如图所示在306,能够向系统管理员发出警报,使得系统管理员能够尝试补救未认证的访问尝试,例如阻止用户102的访问或执行其它补救动作的其它补救。注意,在一些实施方式中,对用户是否活跃的确定能够基于从如下各项收集的一个或多个日志:认证服务、VPN日志、NAC系统日志、域控制器日志或来自用户计算机的日志,上述各项能够被检查以确定用户何时在企业网中是活跃的。
替代地,如果能够确定用户在企业中活跃,则可选地,如图所示,在307,执行动作以识别企业出口点112的物理真实世界位置。下面阐述的附加细节说明了能够如何确定企业出口点112的真实世界位置。
如图所示,在308,实施方式确定用户的真实世界用户位置是否能够被精确地估计。如果用户的真实世界用户位置不能被精确地估计,则如图所示,在309,实施方式将数据存储库116中的IP地址标记为企业公司IP地址并在不可能的行进计算中忽略它。
如果实施方式能够估计用户的真实世界用户位置,则如图所示,在310,实施方式用估计的用户的IP位置改变存储在数据存储库116中的用户IP地址位置并基于估计的置信度改变会话分数。
能够如下来执行对用户位置的估计。如果用户经由VPN是活跃的,则实施方式能够利用VPN日志确定具有高置信度的真实用户位置。如果用户在企业网络内部是活跃的,则实施方式能够尝试估计内部IP的位置,如下面解释的。
如图所示,在310,能够将识别的企业出口点112的位置存储在数据存储库116中用于用户行为分析服务108。用户行为分析服务108能够将用户的位置与用户的其它登录信息一起使用,来尝试确定用户登录是否指示不可能行进场景。
下面阐述了实施方式能够如何估计企业内部站点的位置以及它们相应的充当企业出口点(例如,企业出口点112)的网关。这能够用多个不同的方式实现,如下面更详细说明的。
本发明的一些实施方式能够尝试估计企业内部网的位置并检测用户通过企业出口点连接至企业内部网。
一些实施方式可以被配置为用大量高质量数据密集化实体(例如,终端用户、服务器、网络硬件等)的位置信号。这能够用于估计企业内部网的位置及其相应的企业出口点112的位置以评估去到和来自企业内部网的用户行进。
“真实世界位置”可以是通过GPS坐标、小区塔三角测量、基于Wi-Fi的定位技术等可识别的位置。相反,“企业内部站点”是组织站点,其中真实世界位置常因企业内部站点是较大组织网络的一部分而被混淆,较大组织网络不仅仅具有与其关联的单个具体地理位置并且潜在地具有与较大组织关联的多个地理位置。
实施方式可以通过处理一个或多个外部真实世界地理信号来识别企业内部站点的位置,其中对于每个条目,外部真实世界地理信号包含时间戳、用户和某一真实世界位置指示符。每个条目可以被存储在数据存储库中。例如,真实世界位置指示符可以包括IP地址,该IP地址能够使用第三方地理定位服务被转换成位置。替代地或另外地,在一些实施方式中,外部信号是与组织中的用户建立的虚拟专用网(VPN)连接相关的或由所述VPN连接引起的信号。
现在参考图4,示出了一个示例。图4示出了地理分布的组织网络400(见图5),其中不同的企业内部站点402-1至402-6分布在不同的物理地理位置。注意,尽管这里在网络400中示出了六个站点,但是应该理解虚拟上可以实现任意数量的不同站点。
网络400与地理定位服务414通信以为例如设备404-2(用户设备104的示例)的远程设备提供位置数据。再者,尽管示出了六个站点402、一个远程设备404-2和一个本地设备404-1(用户设备104的示例),但是站点402的数量、例如设备404-2的远程设备的数量以及例如设备404-1的本地设备的数量可以大于或小于示例网络400中所示的站点和设备的数量。
如图5所示,网络400的站点402-1包括:网关406-1,可以是企业出口点112的示例且可操作以接受来自与站点402-1连接的设备的通信;认证服务器408-1,与网关406-1通信且可操作以认证寻求访问网络400的实体;监视器412-1,与认证服务器408通信且可操作以聚合来自例如设备404-2的远程设备的连接信息来管理实体位置数据。监视器412可以合并功能以充当用户行为分析服务108,其中用户行为分析服务108如图1所示包括过滤器114。尽管站点402-1被显示为具有这些部件中的每个部件,但是站点402中的其它站点可以具有不同的部件集,因为所述部件中的一些能够在站点之间共享。
本领域技术人员将理解,网关406和认证服务器408包括硬件设备和在这些设备上运行以提供其功能的软件。在各个实施方式中,监视器412-1可以在专用硬件上运行或可以通过用于若干目的的计算设备(例如,作为认证服务器408-1的相同硬件)上的软件被提供。在其它实施方式中,网络400可以使用比站点402少的监视器412;站点402的一些或全部可以共享监视器412。
例如设备404-2的远程设备以及本地设备404-1由用户操作,其中用户可以是请求与企业网的一个或多个站点402连接的人类或自动化系统(例如“机器人”)。
不同的站点(本文中一般被称为402)能够以多个不同的方式被使用并可以以多个不同的方式在地理上分布。例如,不同站点402中的每个站点可以表示组织的不同分支机构。具体地,站点402可以在组织中的职员或其它用户能够物理前往和工作的位置实现。具体地,站点402可以包括允许用户前往站点402的位置的网络硬件并例如在用户连接至局域网(LAN)以允许用户访问组织资源并与组织的其它用户连接的场景中将例如图5所示的用户设备404-1的用户设备直接连接至网络硬件。在此示例中,用户设备404-1物理上与站点402-1位于相同的物理地理位置。
用户设备404-1可以是多个不同设备中的任一个,其中多个不同设备包括例如膝上型计算机、桌上型计算机、蜂窝电话、个人数字助理或其它用户设备的设备。
显著地,各个站点402可以互连。这可以通过多个不同的方式实现。例如,在一些实施方式中,可以位于或不位于站点402之一处的中央系统可以充当各个站点402之间的协调器。替代地或另外地,站点402之一可以充当网络400中的其它站点的协调站点。在另一替代或附加的实施方式中,各个站点402可以以对等方式彼此互连。各个站点402的的互连允许属于组织的各个独立的用户能够访问组织资源并通过各个网络连接彼此通信使得站点402的任一个处的用户能够与包括同一站点或其它站点的站点402的任一个处的用户通信。
另外地或替代地,站点可以包括允许用户从物理地位于给定站点402外部的用户设备404连接至站点的配置。例如,如图5所示,用户设备404-2可以物理地存在于网络400外。在此示例中,用户设备404-2能够连接至网关(一般被显示为406,但是在具体示例中被显示为具有网关406-1)。注意,网络400外的用户设备常常尝试连接到地理上最接近用户设备404的站点402。然而,应该理解,当用户设备404位于网络400外时,出于负载平衡或其它原因用户设备404可以连接至不同的企业内部站点。
网络400能够通过监视和记录用于将设备连接至网络400的VPN(或其它网络隧道)业务来获知与网络连接的远程设备的位置。注意,如下面更详细说明的,在一些实施方式中,VPN日志信息可以用于将用户位置信息添加到如图1所示的数据存储库116中以在检测不可能行进场景中使用。当用户连接至网络400中的给定站点402时,站点将使用网际协议(IP)、或其它地址或信息(或例如GPS信号、Wi-Fi地理定位信息或与设备关联的其它信息)来为所连接的设备执行地理定位。对于每个站点,用于与站点402连接的所选择的设备的地理定位信息在一段时间内被聚合以估计站点的物理地理位置的估计位置。经由本地设备(例如关于站点402-1的设备404-1)(例如,不经由VPN或网络隧道)访问站点且使用站点402的内部IP地址的用户账户能够被分配给与站点的位置(估计的位置或已知的物理位置)相同的位置,该位置能够被添加到数据存储库116中以在确定不可能行进场景中使用,但是在一些实施方式中可以从用于估计站点位置的地理定位信息的聚合中被排除以避免自我确认偏差。因此,通过使用远程登录网络400的设备(例如,如图5所示的设备404-2)的网络地址信息(例如,网际协议(IP)地址),这些设备的物理地址可以通过地理定位被确定而不需要这些设备自我定位。与系统的站点402(例如,站点402-1)连接的远程设备的聚合的地理定位然后用于推断该站点的位置,该站点的位置然后可以被分配给与站点402本地连接的设备(例如,设备404-1),否则站点402可能无法经由地理定位被定位。
实施方式能够实现用于定位内部网络400中的虚拟实体(例如,认证服务器408(例如,认证服务器408-1),例如从华盛顿雷德蒙特微软公司可获得的域控制器)的学习流水线。所产生的映射允许内部网络动作和实体被映射到实际的或近似的真实世界物理地理位置。例如,实施方式能够基于企业内部无源业务监视来定位实际的或近似的企业内部站点位置。这允许能够对用户及其设备(例如,设备404-1)在世界中的位置进行近似,即使它们当前仅使用内部网络400的资源。
为了估计实体(例如,认证服务器408或某一其它网络硬件)的位置,实施方式寻找隶属于此实体的用户。例如,一组用户可以连接至驻留有实体(例如,认证服务器408-1)作为它们的家或主站点的站点402。也就是说,用户在以站点(例如,站点402-1)处某一明显的隶属方式本地连接他们的设备(例如,设备404-1)。例如,与用于在网络400中使用LAN连接本地地向其它站点认证相比,用户可以在更经常地使用LAN连接本地地在该站点处进行认证。替代地或另外地,用户可以被分配给站点402-1作为它们的主工作站。然后实施方式在真实世界中使用用户的设备查找这些隶属用户410的指示符。例如,在一些实施方式中,这能够通过使用来自VPN的、被馈送给网络400的信息来实现。实施方式通过使用统计分析组合这些隶属用户410的指示符来得到实体的位置(例如,认证服务器408-1的位置)。
现在说明附加的细节,实施方式首先定义了待被定位的例如企业内部站点402-1的本地网络中的例如认证服务器408-1的实体。此实体与它所服务的用户具有强位置相关性。例如,实施方式可以尝试估计站点及它们的认证服务器的位置。
然后,实施方式能够定义作为该实体所考虑的一个或多个隶属用户410的对象并找到这些隶属用户410。例如,一些实施方式能够识别在站点402-1的子网中的认证请求中出现至少X次的隶属用户410。替代地或另外地,一些实施方式能够实现时态查询,使得在最后Y时间段内在站点402-1处认证至少X次的任意用户被定义为隶属用户。
给定上述隶属用户410的标识,实施方式能够试图在包含一些真实世界位置指示符的数据馈送中识别它们的指示符。具有所述指示符的用户对于实体(例如,认证服务器408-1)而言被认为是活跃用户。例如,实施方式可以检查由用户建立的VPN连接并将这些用户的设备的外部IP地址转换成地理位置。注意,典型地,当设备404-2通过VPN连接至网络400时,该设备将与由网络400外的互联网服务提供商网络提供的外部IP地址关联并且与网络400关联的内部IP地址关联。在一些实施方式中,外部IP地址能够用于估计设备404-2的位置。替代地或另外地,设备404-2可以与具有已知位置的Wi-Fi热点或路由器关联。此信息能够用于为设备404-2提供位置信息。该实体的活跃的隶属用户410的指示符被组合成站点位置的单个预测。
设备(一般被称为404)通过由认证服务器(例如站点之一(例如站点402-1)的认证服务器408-1)进行认证来访问网络400。例如设备404-2的远程设备可以经由虚拟专用网(VPN)连接或其它隧道连接至例如站点402-1的给定站点以发起会话,而例如设备404-1的本地设备例如通过LAN或其它本地连接而连接至所述本地设备所在的站点402-1。给定的设备是远程设备还是本地设备取决于它如何连接至网络400,给定的设备在不同的时间(或在一些情况中,在相同的时间)可以是远程设备和本地设备。例如,用户可以在位于站点402-1处的办公室位置时将设备用作本地设备以使用LAN本地连接至网络400。用户可以在家或在行进中使用相同的设备并经由VPN登录网络400,使该设备成为远程设备用于远程会话。
例如,用户410-1可以指定要登录的例如站点402-1的具体站点,或者所连接的站点402-1可以由在用户设备上运行的登录代理基于以下各项进行自动选择:站点402-1用户或用户设备的分配、物理上最接近用户的站点402-1的确定、对用户的通信响应最快(例如,以避免网络拥塞、连接至虽然较远但具有更好ping的站点402-1)的站点402-1的确定、逻辑上更接近用户(例如,用户设备与站点402-1之间具有较少的干预网络部件)的站点的确定。
隶属于给定站点402-1的实体(设备或用户账户)可以由认证服务器408-1或监视器402-1(或其它合适的部件)标注或映射为使用给定站点402-1作为它们的“家”站点402-1,而与给定站点402-1连接的非隶属(例如,不经常连接、未被分配给站点等)的实体可以被标注为连接至“访客”站点402-1。在一些实施方式中,实体被映射至它们最活跃的一个站点402(本地、远程、或本地与远程),而在其它实施方式中,给定的实体可以基于某一因素(例如,给定站点402的最小连接数量)在多于一个站点402上具有“家”状态或在没有一个站点402上具有“家”状态。例如,在办公室A外且其账户与作为“家”的第一站点402-1关联的用户可以转移到办公室B并开始更频繁地使用与办公室B关联的第二站点402-2。经过若干天/星期/月,当与办公室A的站点402-1相比用户更频繁地连接至办公室B的站点402-2时,示例用户账户可以被重新映射至第二站点402-2作为“家”。相反地,如果示例用户用过办公室A的第一设备(并将第一设备留在办公室A)并且用户在办公室B被分配给一个新的设备,则第一设备可以保留与第一站点402-1关联作为其“家”。在另一示例中,经常旅行且远程登录第一站点402-1和第二站点402-2的销售人员可以因销售人员连接到每个站点402的频率和销售人员在一段时间内超过每个站点402的最小连接次数而使每个站点402-1认为其自身是用户账户的“家”。当监视器412-1确定站点402-1的估计位置时,则它可以将位置信息从“访客”实体排除、与“访客”实体相比为来自“家”实体的位置信息提供更大的权重、或不管家/访客状态等同地处理位置信息。监视器412-1还可以周期地重新评估给定实体在给定站点402-1上具有家状态还是访客状态。
监视器412-1将观察到来自与关联站点402-1连接的例如设备404-2的远程设备的网络地址信息,并决定是否存储这些地址以在推断站点402-1的估计位置时使用。每当用户账户成功地登录站点402-1并在网络400上创建会话时,监视器412-1可以存储与登录请求关联的地址信息,或者监视器412-1可以过滤或限制给定用户账户在存储地址信息的给定时间段内的登录次数。例如,具有间歇Wi-Fi信号的远程设备430的用户可以重复地获得和失去与站点402-1的连接,并且可以被迫不断地用认证服务器408-1进行重新认证,如果(多次)尝试落入彼此的预定时间范围内则监视器412-1可以选择将其视为多次成功登录尝试或单次登录尝试。替代地,监视器412-1可以收集全部地址信息,随后在确定给定站点402-1的估计位置时过滤地址信息。
出于安全目的,例如设备404-1的本地设备也可以尝试连接至认证服务器408-1并具有由监视器412-1记录的活动会话。如将理解的,例如设备404-1的本地设备与网络400内部的IP地址关联,所述IP地址可能被遮掩(mask)以在网络400内使用,因此如果被提供给地理定位服务414则可能产生虚假结果。监视器412-1标注与登录和会话关联的实体(例如,用户账户和设备),并在登录时将站点402-1的(估计或物理)位置分配给实体。例如,用户实体的用户账户或用于设备实体的媒体访问控制(MAC)地址、序列号等可以被追踪以确定第二时间发生的使用相同实体标识符的第二登录是否违反了用户账户的一个或多个安全规则。
在各个实施方式中,监视器412-1可以存储和使用被认证服务器408-1拒绝的连接尝试(例如,提供了不正确的用户名或密码)、存储和过滤所述连接尝试、或排除所述连接尝试被存储。类似地,监视器412-1可以存储和过滤(或阻止存储)从与阻止方、不可靠的地理定位、或时长或连接数满足不可靠阈值(例如,多次短连接可以指示不稳定的连接,并且可以被滤除或忽略)关联的地址列表接收的连接尝试。例如,从智能电话使用VPN连接的用户可以具有通过小区提供商的网络路由以到达站点402-1的信号,并且小区提供商网络的地址被提供给监视器412-1以代替小区提供商网络内部的远程设备的地址,使地址对地理定位而言不可靠,其中该地址被标记用于监视器412-1或者随时间由监视器412-1基于因特网服务提供商(ISP)频繁地提供对于地理定位不可靠的IP地址而被标注为不可靠。另外地或替代地,监视器412-1可以滤除超出站点402预设距离或指定特定站点402-1的连接尝试的数据,因为包含它们可能会影响站点402-1的位置的计算。
当监视器412-1使用外部IP地址确定站点402-1的估计位置时,所存储的待使用的外部IP地址被发送给地理定位服务414,地理定位服务414返回与外部IP地址关联的地理位置。地理定位服务器414的示例包括但不限于马萨诸塞州Wlatham的MaxMind和弗吉尼亚州斯特林的NeuStar,将与IP(或MAC)地址相关的地理坐标提供回监视器412-1。地理坐标可以根据经/纬度坐标、城市、区域和国家来提供。地理坐标可以被实时请求(当实体连接时)或被批量保留用于地理定位服务414的周期性(例如,每日、每星期、每月)或按需处理。
每个定位的远程登录与地理定位服务414提供的地理定位和登录网络400的时间关联。通过使用这些数据,监视器412-1可操作为推导远程连接的集中位置以用作估计的站点位置。随着更多定位的远程登录被使用,可以更精确地进行估计的站点位置的推导,监视器412-1可以将附加的过滤应用于计算中使用的那些地理数据和登录数据。
将理解,可以使用各个算法和方法确定被用作估计的站点位置的集中位置。在一些实施方式中,从定位的远程登录的地理定位值的经度和维度为经度和维度估计算术平均值。在其它实施方式中,当地理定位值不是作为经/纬度坐标而是作为城市、区域或国家的代名词被提供时,监视器412-1可以使用来自定位的远程登录的地理定位值的模式或者可以将非坐标地理定位值转换成城市、区域或国家的中央位置的经/纬度坐标对。
在一些实施方式中,基于给定标识符的使用频率、一次登录尝试至另一登录尝试的物理或时间接近度、集中位置的物理接近度(可以被递归地估计)、进行定位的远程登录的给定时间范围(例如,工作时间或工作日)和标识符在估计的时间段内是否唯一,不同的权重可以被应用于地理定位值。监视器412-1还可以例如在计算集中位置时解释地理和地理政治数据以避免使估计的集中位置位于水体中、跨越国家/省边界、在路上、位于使用受限空间(例如,公园、已知由另一实体使用的设施、在需要商业规划区域时被规划为住宅用的区域)内、位于犯罪高发/重税/高租金的区域内等,或者具体地使集中位置位于给定国家/省/城市/街区内。
在监视器412-1已知物理地理站点位置的坐标的实施方式中,监视器412-1可以应用机器学习技术来改变学习算法的权重或超参数,以将估计的站点位置匹配至物理地理站点位置并在不具有物理地理站点位置的站点402的随后计算中应用调整的权重和超参数。
用户和设备实体可以划分成子组,以便为每个子组产生估计的站点位置。另外地,子组可以以单独实体的使用模式为基础被建立以确定与实体的远程登录集中有关的点。子组可以根据网络管理员规定的标准(例如,每月至少连接X次的实体、与给定点相距至少Xkm的实体、给定站点X km内的实体、指定的一个或多个实体)被设立或者可以由监视器412-1根据聚类算法或分布算法(例如,k均值、DBSCAN)自动识别。
为了确定不可能的行进场景,实施方式还可以随时间创建用户存在。例如,实施方式可以生成或参考特定的用户时间轴,该特定用户时间轴包含用户使用的机器的登录和注销。在一些实施方式中,登录和注销事件可以基于网络业务。一些实施方式可以识别何时从远程连接登录、用户何时实际上在机器本身附近(而非作为某一自动过程一部分的认证)。例如,一些实施方式可能需要对人类特征进行检查以有效登录机器的生物认证过程。替代地或另外地,实施方式可能需要用户令牌(例如,典型地由用户拥有以有效登录机器的智能卡或近场通信(NFC)设备)的存在或使用。
在具有目录服务(例如,从华盛顿雷德蒙特微软公司可获得的活动目录)的环境中,每个事件的(站点方面)位置也被匹配。注意,如果用户正在使用隧道服务(例如但不排除VPN和直接访问),这将被用作不同的特殊站点。实施方式可以尝试从如上所述收集的信号推导用户在哪里并且呆了多长时间。因此,例如,对于给定的用户JhonD以及站点S1和S2,实施方式可以产生与下列类似的数据存储库416-1(可以是数据存储库116的示例)条目:
JhonD被识别在S1从2015年1月1日8:00AM至2015年1月1日1:00PM使用机器JhonDLaptop。
JhonD被识别在S2从2015年1月3日9:00PM至2015年1月4日1:00AM使用机器JhonDLaptop。
JhonD被识别在S2从2015年1月13日7:00PM至2015年1月13日7:00PM使用机器JhonDLaptop。
再次参考图5,图5示出了网络400的示例,网关406-1操作以接受来自位置403处的设备404访问网络400的通信。认证服务器408-1与网关406-1通信以认证寻求访问网络400的设备404。与认证服务器408-1通信的监视器412-1操作以聚合来自访问网络400的设备404的连接信息。监视器412-1被动地收集从设备404至网络400的业务。例如,在一个或多个实施方式中,所收集的业务的全部或一部分可以是来经由VPN或允许用户访问网络服务的其它隧道连接的远程设备404-2的隧道业务。设备404上的软件代理不需要收集业务并确认登录和注销信息。
监视器412-1还可操作以在一个时间段内从所收集的网络业务确定设备404的用户的登录和注销信息。该时间段例如可以是一天或几天内多于一个的会话。监视器412-1还从设备404的用户的登录和注销信息确定可以在一天或几天内发生的网络会话并生成特定于该用户的包含网络会话登录的时间轴或时间表。该时间表是基于与登录和注销信息关联的数据包被接收和分析的时间被生成,而不是基于所述数据包包含的信息内容被生成。通过分析网络数据包的业务,能够确定用户身份以及用户登录了哪个主机。在确定用户在该主机活跃多长时间后,可以分配可以用于确定具体用户存在的会话或事件。
因此,时间表基于登录和注销信息识别当用户活跃时的会话和当用户不活跃时的会话。监视器412-1利用时间表确定设备404的用户是否在具体的时间存在于具体的位置。时间表还可以用于基于登录和注销信息识别当用户在其它时间存在于其它具体位置时的会话。而且,时间表可以用于识别用户何时在网络400上不活跃。
例如远程设备430的实体和例如设备404-1的本地设备通过由认证服务器408-1认证来访问网络400。因此,与认证服务器408-1通信的监视器412-1能够依据认证协议的使用在认证每次登录后识别用户何时在网络400上活跃。因此,监视器412-1还能够经由认证过程识别用户何时在网络400上不活跃。认证协议的使用能够包括例如NT LAN管理器(NTLAM)、Kerberos、轻量目录访问协议(LDAP)协议和网络时间协议(NTP)或任意其它合适的认证协议等的协议。因此,登录的成功认证生成和更新时间表。认证数据包能够经由认证协议相关联以确定收集的业务是否来自具体的设备。
连接类型或登录类型还在确定用户存在或生成时间表中有用。识别登录信息中的登录类型能够用于确定用户在网络上是否活跃。例如,交互式登录要求用户输入凭据,该凭据证明用户实际登录设备。另一方面,除了交互式登录以外的登录可能导致确定用户在网络400上不活跃。例如,自动或触发的登录或作为服务结果发生的登录应该在时间表上进行区分或者不包含在时间表中。确定登录是远程登录还是本地登录还能够用于生成时间表。
下面的讨论涉及可以执行的多个方法和多个方法动作。尽管方法动作可以按某一顺序被讨论或以流程图中被示出为按具体顺序发生,但是不要求具体排序除非因为一个动作依赖于该动作被执行之前另一动作的完成而特别说明或要求。
现在参考图6,图6示出了方法600。方法600可以例如在不可能行进检测系统中实践。方法600包括用于减轻对于不可能行进警报的虚假的肯定的动作。方法600包括针对使用第一识别过程识别的对计算资源的第一用户访问,向用户行为分析服务提供用户的第一用户访问位置,第一识别过程识别与第一用户访问关联的用户设备的位置的真实世界指示符(动作602)。例如,如图1所示,当用户设备连接至网站门户106时,用户设备104的位置可以被识别。这可以通过使用IP地址、GPS坐标、蜂窝三角测量等中的一个或多个来实现。可以将此位置信息提供给用户行为分析服务108,在用户行为分析服务108处此位置信息可以被存储在数据存储库116中。
方法600还包括针对使用第二识别过程识别的对计算资源的第二用户访问,向用户行为分析服务提供用户的第二用户位置,其中第二识别过程识别与出口点关联的位置,使得用户行为分析服务接收与出口点关联的位置作为第二用户位置,其中去往和来自用户设备的通信被路由至出口点以访问计算资源(动作604)。图1中示出了其示例,在图1中用户设备104连接至企业出口点112以访问计算资源。在此情况中,用户行为分析服务108可以通过网站门户106接收与企业出口点112有关的位置信息。注意,接收的位置信息可以实际上不对应于企业出口点112的真实世界位置。具体地,如上面提到的,真实世界位置可以对应于企业出口点112所属的某一企业位置。
方法600还包括在用户行为分析服务处滤除第二用户位置以免用于不可能行进检测(动作606)。具体地,当位置信息与企业出口点关联时,实施方式能够滤除与资源访问相关的任意位置信息,从而防止位置信息在尝试确定是否发生了不可能行进时被使用。因此,如图1所示,过滤器114能够滤除与企业出口点关联的位置。
方法600可以在出口点是企业的企业出口点的情况下被实践。
在一些这样的实施方式中,企业出口点可以是网关。在这些实施方式中,方法还可以包括确定用户在当前时间在企业中是不活跃的,并且因此触发访问警报。具体地,当用户在企业中是不活跃的时对用户尝试使用企业网关的确定典型地是由未认证的用户尝试访问企业资源的指示。这导致触发警报来通知系统管理员尝试的未认证的使用。
如本文之前所论述的,能够以多个不同的方式识别用户在企业中是活跃的。例如,可以评估各个日志以识别企业内的用户活跃度从而尝试识别企业内的有效动作。替代地或另外地,可以评估时钟签入和签出。替代地或另外地,用户可以拥有物理令牌,该物理令牌可被检测以确定用户在企业中是活跃的。
在一些实施方式中,该方法还可以包括确定用户在当前时间在企业中是活跃的,并且因此识别网关的真实世界位置以及将网关的真实世界位置用于不可能行进检测。例如,实施方式可以识别用户正在企业内执行某些动作,这将指示用户确实在企业内是活跃的。如上所述,各个动作可以被执行以尝试识别用户所连接的网关的位置。如果此位置被识别,则位置能够被提供给用户行为分析服务108并被存储在数据存储库116以在执行不可能行进检测时使用。
在一些实施方式中,方法600可以在企业出口点是VPN接入点的情况下实践。在这些实施方式中,方法600还可以包括确定使用VPN登录信息的用户位置并将使用VPN登录信息的用户位置用于不可能行进检测。
此外,方法可以由计算机系统实践,计算机系统包括一个或多个处理器和例如计算机存储器的计算机可读介质。具体地,计算机存储器可以存储计算机可执行指令,计算机可执行指令在由一个或多个处理器执行时使各个功能被执行,例如,在实施方式中提到的动作。
本发明的实施方式可以包括或利用包括计算机硬件的专用计算机或通用计算机,如下面更详细讨论的。本发明范围内的实施方式还包括用于携带或存储计算机可执行指令和/或数据结构的物理或其它计算机可读介质。计算机可读介质可以是能够由通用或专用计算机系统存取的任意可用的介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,通过示例且非限制,本发明的实施方式可以包括至少两个明显不同类型的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其它光盘存储器(例如,CD、DVD等)、磁盘存储器或其它磁存储设备、或可以用于以计算机可执行指令或数据结构形式存储期望的程序代码装置且能够由通用或专用计算机访问的任意其它介质。
“网络”被定义为允许在计算机系统和/或模块和/或其它电子设备之间传送电子数据的一个或多个数据链路。当信息通过网络或另一通信连接(硬连线、无线、或硬连线和无线的组合)被传递或被提供给计算机时,计算机恰当地将连接看作传输介质。传输介质可以包括能够用于以计算机可执行指令或数据结构形式携带期望的程序代码装置且能够由通用或专用计算机访问的网络和/或数据链路。上面的组合也包括在计算机可读介质的范围内。
而且,在到达各个计算机系统部件后,计算机可执行指令或数据结构形式的程序代码装置能够自动地从传输计算机可读介质传送至物理计算机可读存储介质(反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构能够缓存在网络接口模块(例如,“NIC”)的RAM中,然后最终被传送至计算机系统RAM和/或计算机系统的少易失性计算机可读物理存储介质。因此,计算机可读物理存储介质能够包括在也(或甚至主要)利用传输介质的计算机系统部件内。
计算机可执行指令包括例如使通用计算机、专用计算机、或专用处理设备执行某一个功能或一组功能的指令和数据。计算机可执行指令可以是例如二进制、例如汇编语言的中间格式指令、或甚至源代码。尽管主题用特定于结构特征和/或方法论动作的语言进行描述,但是将理解在所附权利要求中定义的主题不一定限于上面描述的特征或动作。而是,所描述的特征和行为被公开作为实现权利要求的示例形式。
本领域技术人员将理解,本发明可以在具有多类计算机系统配置的网络计算环境中实践,多类计算机系统配置包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程消费者电子设备、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在通过网络链接(通过硬连线数据链路、无线数据链路、或硬连线和无线数据连续的组合)的本地和远程计算机系统均执行任务的分布式系统环境中实践。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备中。
替代地或另外地,本文中描述的功能能够至少部分地由一个或多个硬件逻辑部件执行。例如但非限制,能够被使用的说明性类型的硬件逻辑部件包括现场可编程门阵列(FPGA)、特定程序集成电路(ASIC)、特定程序标准产品(ASSP)、片上系统(SOC)、复杂的可编程逻辑设备(CPLD)等。
本发明可以在不偏离其精神或特性的前提下以其它特定形式实施。所描述的实施方式的所有方面被认为仅是说明性的而非限制性的。因此,本发明的范围由所附权利要求指示而不是由前面的描述指示。落入权利要求的等同的含义和范围内的所有变化均包含在权利要求的范围内。
Claims (15)
1.一种不可能行进检测系统,被配置为减轻对于不可能行进警报的虚假的肯定,所述系统包括:
数据存储库;以及
耦合至所述数据存储库的用户行为分析服务,其中所述用户行为分析服务被配置为:
针对使用第一识别过程识别的对计算资源的第一用户访问,访问去往用户行为分析服务的用户的第一用户访问位置,所述第一识别过程识别与所述第一用户访问关联的用户设备的位置的真实世界指示符;
在所述数据存储库中将所述第一用户访问位置与所述第一用户访问的访问时间相关地进行存储;
针对使用第二识别过程对计算资源的第二用户访问,访问去往所述用户行为分析服务的所述用户的第二用户位置,其中所述第二识别过程识别与出口点关联的位置,使得所述用户行为分析服务接收与所述出口点关联的位置作为所述第二用户位置,其中去往和来自用户设备的通信被路由至所述出口点以访问计算资源;以及
滤除所述第二用户位置以免用于不可能行进检测。
2.根据权利要求1所述的系统,其中所述用户行为分析服务被配置为通过防止将所述第二用户位置存储在所述数据存储库中来滤除所述第二用户位置。
3.根据权利要求1所述的系统,其后所述用户行为分析服务被配置为通过以下来滤除所述第二用户位置:
以不同的位置来代替所述第二用户位置;以及
在所述数据存储库中将所述不同的位置与所述第二用户访问的时间相关地进行存储。
4.根据权利要求3所述的系统,其中所述不同的位置是企业网关的位置。
5.根据权利要求3所述的系统,其中所述不同的位置根据VPN登录信息被确定。
6.根据权利要求1所述的系统,其中所述用户行为分析服务被配置为确定所述用户在当前时间在企业中是不活跃的,并且因此触发访问警报。
7.一种计算机系统,包括:
一个或多个处理器;以及
一个或多个计算机可读介质,具有存储于其上的指令,所述指令能够由所述一个或多个处理器执行以将所述计算机系统配置为减轻对于不可能行进警报的虚假的肯定,所述指令包括能够被执行以将所述计算机系统配置为至少执行以下的指令:
针对使用第一识别过程识别的对计算资源的第一用户访问,向用户行为分析服务提供用户的第一用户访问位置,所述第一识别过程识别与所述第一用户访问关联的用户设备的位置的真实世界指示符;
针对使用第二识别过程对计算资源的第二用户访问,向所述用户行为分析服务提供所述用户的第二用户位置,其中所述第二识别过程识别与出口点关联的位置,使得所述用户行为分析服务接收与所述出口点关联的位置作为所述第二用户位置,其中去往和来自用户设备的通信被路由至所述出口点以访问计算资源;以及
滤除所述第二用户位置以免用于不可能行进检测。
8.根据权利要求7所述的系统,其中所述出口点是企业的企业出口点。
9.根据权利要求8所述的系统,其中所述企业出口点是网关。
10.根据权利要求9所述的系统,其中一个或多个计算机可读介质还具有存储于其上的指令,所述指令能够由所述一个或多个处理器执行以将所述计算机系统配置为确定所述用户在当前时间在所述企业中是不活跃的,并且因此触发访问警报。
11.根据权利要求9所述的系统,其中一个或多个计算机可读介质还具有存储于其上的指令,所述指令能够由所述一个或多个处理器执行以将所述计算机系统配置为确定所述用户在当前时间在所述企业中是活跃的,并且因此识别所述网关的真实世界位置并将所述网关的所述真实世界位置用于不可能行进检测。
12.根据权利要求8所述的系统,其中所述企业出口点是VPN访问点。
13.根据权利要求12所述的系统,还包括确定使用VPN登录信息的用户位置并将使用VPN登录信息的所述用户位置用于不可能行进检测。
14.一种用于在不可能行进检测系统中减轻对于不可能行进警报的虚假的肯定的方法,所述方法包括:
针对使用第一识别过程识别的对计算资源的第一用户访问,向用户行为分析服务提供用户的第一用户访问位置,所述第一识别过程识别与所述第一用户访问关联的用户设备的位置的真实世界指示符;
针对使用第二识别过程对计算资源的第二用户访问,向所述用户行为分析服务提供所述用户的第二用户位置,其中所述第二识别过程识别与出口点关联的位置,使得所述用户行为分析服务接收与所述出口点关联的位置作为所述第二用户位置,其中去往和来自用户设备的通信被路由至所述出口点以访问计算资源;以及
在所述用户行为分析服务处,滤除所述第二用户位置以免用于不可能的行进检测。
15.根据权利要求14所述的方法,其中所述出口点是企业的企业出口点。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/457,554 US10511599B2 (en) | 2017-03-13 | 2017-03-13 | System to filter impossible user travel indicators |
| US15/457,554 | 2017-03-13 | ||
| PCT/US2018/020992 WO2018169714A1 (en) | 2017-03-13 | 2018-03-06 | System to filter impossible user travel indicators |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110402573A true CN110402573A (zh) | 2019-11-01 |
| CN110402573B CN110402573B (zh) | 2022-03-25 |
Family
ID=61906820
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880018197.8A Active CN110402573B (zh) | 2017-03-13 | 2018-03-06 | 用于过滤不可能的用户行进指示符的系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10511599B2 (zh) |
| EP (1) | EP3596908B1 (zh) |
| CN (1) | CN110402573B (zh) |
| WO (1) | WO2018169714A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022067835A1 (en) * | 2020-10-01 | 2022-04-07 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus and computer program |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9740245B2 (en) | 2015-10-05 | 2017-08-22 | Microsoft Technology Licensing, Llc | Locking mechanism |
| US10794093B2 (en) | 2017-05-19 | 2020-10-06 | Microsoft Technology Licensing, Llc | Method of optimizing memory wire actuator energy output |
| US10878067B2 (en) * | 2017-07-13 | 2020-12-29 | Nec Corporation Of America | Physical activity and IT alert correlation |
| US10990282B1 (en) | 2017-11-28 | 2021-04-27 | Pure Storage, Inc. | Hybrid data tiering with cloud storage |
| US11392553B1 (en) | 2018-04-24 | 2022-07-19 | Pure Storage, Inc. | Remote data management |
| US11436344B1 (en) | 2018-04-24 | 2022-09-06 | Pure Storage, Inc. | Secure encryption in deduplication cluster |
| US20200137021A1 (en) * | 2018-10-31 | 2020-04-30 | Hewlett Packard Enterprise Development Lp | Using intent to access in discovery protocols in a network for analytics |
| US10992972B1 (en) * | 2019-12-31 | 2021-04-27 | Adobe Inc. | Automatic identification of impermissable account sharing |
| US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080049649A1 (en) * | 2006-08-22 | 2008-02-28 | Kozisek Steven E | System and method for selecting an access point |
| US20080059474A1 (en) * | 2005-12-29 | 2008-03-06 | Blue Jungle | Detecting Behavioral Patterns and Anomalies Using Activity Profiles |
| US20100161960A1 (en) * | 2008-12-17 | 2010-06-24 | Nortel Networks Limited | Secure Remote Access Public Communication Environment |
| CN102246147A (zh) * | 2008-12-10 | 2011-11-16 | 亚马逊技术有限公司 | 提供到可配置专用计算机网络的访问 |
| US20140096189A1 (en) * | 2012-10-01 | 2014-04-03 | Microsoft Corporation | Using trusted devices to augment location-based account protection |
| US20140189845A1 (en) * | 2012-12-27 | 2014-07-03 | Yigang Cai | Authentication of applications that access web services |
| US20140222577A1 (en) * | 2006-03-17 | 2014-08-07 | Raj Abhyanker | Campaign in a geo-spatial environment |
| US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
| US20150121464A1 (en) * | 2013-10-29 | 2015-04-30 | Mapquest, Inc. | Systems and methods for geolocation-based authentication and authorization |
| CN104753736A (zh) * | 2013-12-31 | 2015-07-01 | 国际商业机器公司 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
| US20150365410A1 (en) * | 2013-06-24 | 2015-12-17 | A10 Networks, Inc. | Location determination for user authentication |
| CN105378744A (zh) * | 2013-05-03 | 2016-03-02 | 思杰系统有限公司 | 在企业系统中的用户和设备认证 |
| US20160105801A1 (en) * | 2014-10-09 | 2016-04-14 | Microsoft Corporation | Geo-based analysis for detecting abnormal logins |
| US20160239648A1 (en) * | 2015-02-12 | 2016-08-18 | Sap Se | Telecommunication method for authenticating a user |
Family Cites Families (65)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE2131408A1 (de) | 1970-07-07 | 1972-01-20 | Burgt Gerrit Johan Van Der | Verstellbare Federung |
| US3940935A (en) | 1972-03-31 | 1976-03-02 | The Foxboro Company | Positioning device using negative spring-rate tensioning means |
| CA1038569A (en) | 1977-01-11 | 1978-09-19 | Her Majesty The Queen In Right Of Canada As Represented By The Minister Of National Defence Of Her Majesty's Canadian Government | Self-locking hinge |
| US4673170A (en) | 1982-04-12 | 1987-06-16 | Dykema Owen W | Constant spring force mechanism |
| US5405337A (en) | 1993-02-24 | 1995-04-11 | The Board Of Trustees Of The Leland Stanford Junior University | Spatially distributed SMA actuator film providing unrestricted movement in three dimensional space |
| US5818182A (en) | 1993-08-13 | 1998-10-06 | Apple Computer, Inc. | Removable media ejection system |
| JP3305104B2 (ja) | 1994-03-14 | 2002-07-22 | アルパイン株式会社 | 電子機器の操作装置 |
| US5629662A (en) | 1995-02-01 | 1997-05-13 | Siemens Energy & Automation, Inc. | Low energy memory metal actuated latch |
| US6129181A (en) | 1998-05-26 | 2000-10-10 | Lockheed Corp | Constant force spring actuator |
| JP3750416B2 (ja) | 1999-05-18 | 2006-03-01 | コニカミノルタフォトイメージング株式会社 | 形状記憶合金を使用したアクチエータ |
| IL130307A0 (en) | 1999-06-04 | 2000-06-01 | Influence Med Tech Ltd | Bone suturing device |
| AU772107B2 (en) | 1999-08-12 | 2004-04-08 | Perihelian, Llc | Shape-memory alloy actuators and control methods |
| KR100611957B1 (ko) | 1999-09-14 | 2006-08-11 | 삼성전자주식회사 | 전자제품의 디스플레이 결합 구조체 |
| US6480376B1 (en) | 2000-04-18 | 2002-11-12 | Compaq Computer Corporation | Elevationally adjustable portable computer docking station |
| EP1364125A1 (en) | 2001-01-17 | 2003-11-26 | M 2 Medical A/S | Shape memory alloy actuator |
| US6845005B2 (en) | 2001-12-17 | 2005-01-18 | Toshiba America Information Systems, Inc. | Portable computer usable in a laptop and tablet configurations |
| US6771494B2 (en) | 2001-12-17 | 2004-08-03 | Toshiba America Information Systems, Inc. | Portable computer usable in laptop and tablet configurations |
| US6788527B2 (en) | 2002-05-31 | 2004-09-07 | Hewlett-Packard Development Company, L.P. | Tablet computer keyboard and system and method incorporating same |
| KR100924038B1 (ko) | 2002-08-29 | 2009-11-02 | 엘지전자 주식회사 | 휴대 가능한 복합형 컴퓨터의 키보드 탈착 장치 |
| US7399401B2 (en) | 2002-10-09 | 2008-07-15 | Abbott Diabetes Care, Inc. | Methods for use in assessing a flow condition of a fluid |
| JP3718776B2 (ja) | 2003-02-12 | 2005-11-24 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 情報処理装置及び回転制御装置 |
| ITTO20030262A1 (it) | 2003-04-04 | 2004-10-05 | Fiat Ricerche | Dispositivo di serratura con mezzi attuatori a memoria di forma. |
| AU2004289712A1 (en) | 2003-11-17 | 2005-05-26 | Telezygology Inc. | Fasteners and other assemblies |
| US7059664B2 (en) | 2003-12-04 | 2006-06-13 | General Motors Corporation | Airflow control devices based on active materials |
| US7275846B2 (en) | 2004-03-12 | 2007-10-02 | General Motors Corporation | Adaptive head light and lens assemblies |
| EP1787033A1 (en) | 2004-07-14 | 2007-05-23 | Telezygology Inc. | Release for fastening assembly |
| US7403762B2 (en) | 2004-10-29 | 2008-07-22 | Skyhook Wireless, Inc. | Method and system for building a location beacon database |
| KR100940069B1 (ko) * | 2005-05-12 | 2010-02-08 | 가부시키가이샤 엔티티 도코모 | 통신기기의 검색시스템 |
| US7814810B2 (en) | 2006-07-05 | 2010-10-19 | Grand Haven Stamped Products, A Division Of Jsj Corporation | Shifter with actuator incorporating shape memory alloy |
| TWI475627B (zh) | 2007-05-17 | 2015-03-01 | Brooks Automation Inc | 基板運送機、基板處理裝置和系統、於基板處理期間降低基板之微粒污染的方法,及使運送機與處理機結合之方法 |
| WO2009146042A2 (en) | 2008-03-31 | 2009-12-03 | Terra Soft Solutions Of Colorado, Inc. | Tablet computer |
| US9152789B2 (en) | 2008-05-28 | 2015-10-06 | Zscaler, Inc. | Systems and methods for dynamic cloud-based malware behavior analysis |
| DE102008027541B4 (de) | 2008-06-10 | 2017-04-06 | Günther Zimmer | Betätigungsvorrichtung für Möbelstückteile mit mindestens einem Formgedächtniselement |
| EP2270813B1 (en) | 2009-06-29 | 2016-01-06 | Taiwan Semiconductor Manufacturing Co., Ltd. | Non-volatile memory |
| US9007757B2 (en) | 2010-03-30 | 2015-04-14 | Beijing Lenovo Software Ltd. | Information processing device |
| US8615605B2 (en) * | 2010-10-22 | 2013-12-24 | Microsoft Corporation | Automatic identification of travel and non-travel network addresses |
| US20130047210A1 (en) | 2011-02-14 | 2013-02-21 | Mark Philip Rotman | Systems and Methods for Providing Security When Accessing a User Account of a Browser-Based Communications Application |
| DE102011014193A1 (de) | 2011-03-16 | 2012-10-04 | Eto Magnetic Gmbh | Aktuator |
| US8827331B2 (en) | 2011-06-06 | 2014-09-09 | International Business Machines Corporation | Shape memory alloy locking mechanism |
| US9091251B1 (en) | 2011-07-14 | 2015-07-28 | Boise State University | Actuation method and apparatus, micropump, and PCR enhancement method |
| US9503463B2 (en) | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
| US9069527B2 (en) | 2012-07-26 | 2015-06-30 | Brydge Llc | Tablet support apparatus |
| US20140027108A1 (en) | 2012-07-27 | 2014-01-30 | Halliburton Energy Services, Inc. | Expandable Screen Using Magnetic Shape Memory Alloy Material |
| US9316212B2 (en) | 2012-07-27 | 2016-04-19 | GM Global Technology Operations LLC | Superelastic shape memory alloy overloading and overheating protection mechanism |
| DE102012107014A1 (de) | 2012-08-01 | 2014-02-06 | Eto Magnetic Gmbh | Aktuatorvorrichtung |
| US9032130B2 (en) | 2012-09-12 | 2015-05-12 | Blackberry Limited | Dock for data transfer to and from portable electronic device |
| US9378361B1 (en) * | 2012-12-31 | 2016-06-28 | Emc Corporation | Anomaly sensor framework for detecting advanced persistent threat attacks |
| US20140193193A1 (en) | 2013-01-08 | 2014-07-10 | Jered H. Wikander | Time-delayed latch |
| GB2524926B (en) | 2013-01-31 | 2020-09-02 | Hewlett Packard Development Co Lp | Display mounting system |
| US20140225708A1 (en) | 2013-02-14 | 2014-08-14 | GM Global Technology Operations LLC | Overload protection for shape memory alloy actuators |
| KR20140139169A (ko) | 2013-05-26 | 2014-12-05 | 삼성전자주식회사 | 포터블 컴퓨팅 장치 |
| TW201447537A (zh) | 2013-06-05 | 2014-12-16 | Hon Hai Prec Ind Co Ltd | 電子裝置 |
| TWI502323B (zh) | 2013-08-23 | 2015-10-01 | Acer Inc | 擴充基座 |
| EP2866121A1 (en) | 2013-10-28 | 2015-04-29 | Acco Brands Corporation | Portable electronic device case, folio, and dock |
| US9392007B2 (en) | 2013-11-04 | 2016-07-12 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
| KR20160110913A (ko) | 2013-11-11 | 2016-09-22 | 아달롬 인코포레이티드 | 클라우드 서비스 보안 브로커 및 프록시 |
| US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
| US9838476B2 (en) | 2014-03-26 | 2017-12-05 | Rockwell Automation Technologies, Inc. | On-premise data collection and ingestion using industrial cloud agents |
| KR101905046B1 (ko) | 2014-03-28 | 2018-10-08 | 인텔 코포레이션 | 컴퓨팅 디바이스에서 자력 조절 |
| US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
| US9939848B2 (en) | 2014-08-29 | 2018-04-10 | Dell Products L.P. | Portable information handling system detachable support and attachment device |
| US9740245B2 (en) | 2015-10-05 | 2017-08-22 | Microsoft Technology Licensing, Llc | Locking mechanism |
| US9509684B1 (en) * | 2015-10-14 | 2016-11-29 | FullArmor Corporation | System and method for resource access with identity impersonation |
| US10133315B2 (en) | 2016-11-08 | 2018-11-20 | Microsoft Technology Licensing, Llc | Indexed sequential lock |
| US10445533B2 (en) | 2017-06-30 | 2019-10-15 | Microsoft Technology Licensing, Llc | Method of optimizing memory wire actuator energy output |
-
2017
- 2017-03-13 US US15/457,554 patent/US10511599B2/en active Active
-
2018
- 2018-03-06 EP EP18716017.1A patent/EP3596908B1/en active Active
- 2018-03-06 CN CN201880018197.8A patent/CN110402573B/zh active Active
- 2018-03-06 WO PCT/US2018/020992 patent/WO2018169714A1/en unknown
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
| US20080059474A1 (en) * | 2005-12-29 | 2008-03-06 | Blue Jungle | Detecting Behavioral Patterns and Anomalies Using Activity Profiles |
| US20140222577A1 (en) * | 2006-03-17 | 2014-08-07 | Raj Abhyanker | Campaign in a geo-spatial environment |
| US20080049649A1 (en) * | 2006-08-22 | 2008-02-28 | Kozisek Steven E | System and method for selecting an access point |
| CN102246147A (zh) * | 2008-12-10 | 2011-11-16 | 亚马逊技术有限公司 | 提供到可配置专用计算机网络的访问 |
| US20100161960A1 (en) * | 2008-12-17 | 2010-06-24 | Nortel Networks Limited | Secure Remote Access Public Communication Environment |
| US20140096189A1 (en) * | 2012-10-01 | 2014-04-03 | Microsoft Corporation | Using trusted devices to augment location-based account protection |
| US20140189845A1 (en) * | 2012-12-27 | 2014-07-03 | Yigang Cai | Authentication of applications that access web services |
| CN105378744A (zh) * | 2013-05-03 | 2016-03-02 | 思杰系统有限公司 | 在企业系统中的用户和设备认证 |
| US20150365410A1 (en) * | 2013-06-24 | 2015-12-17 | A10 Networks, Inc. | Location determination for user authentication |
| US20150121464A1 (en) * | 2013-10-29 | 2015-04-30 | Mapquest, Inc. | Systems and methods for geolocation-based authentication and authorization |
| CN104753736A (zh) * | 2013-12-31 | 2015-07-01 | 国际商业机器公司 | 用于检测对虚拟专用网络的恶意规避的方法和系统 |
| US20160105801A1 (en) * | 2014-10-09 | 2016-04-14 | Microsoft Corporation | Geo-based analysis for detecting abnormal logins |
| US20160239648A1 (en) * | 2015-02-12 | 2016-08-18 | Sap Se | Telecommunication method for authenticating a user |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP: ""ETSI 3GPP TS 23.228 version 13.8.0 Release 13 3 ETSI TS123 228 V13.8.0 (2017-01) Contents"", 《ETSI TS 123 228 C13.8.0》 * |
| 苏伟平: ""试论无线网络中非法接入点的探测和处理"", 《HTTPS://WENKU.BAIDU.COM/VIEW/61CA5C146C175F0E7CD13748.HTML》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022067835A1 (en) * | 2020-10-01 | 2022-04-07 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus and computer program |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2018169714A1 (en) | 2018-09-20 |
| US10511599B2 (en) | 2019-12-17 |
| US20180262498A1 (en) | 2018-09-13 |
| CN110402573B (zh) | 2022-03-25 |
| EP3596908A1 (en) | 2020-01-22 |
| EP3596908B1 (en) | 2022-02-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110402573A (zh) | 用于过滤不可能的用户行进指示符的系统 | |
| Bay et al. | BlueTrace: A privacy-preserving protocol for community-driven contact tracing across borders | |
| Din et al. | Trust management techniques for the Internet of Things: A survey | |
| Chowdhury et al. | COVID-19 contact tracing: challenges and future directions | |
| Gvili | Security analysis of the COVID-19 contact tracing specifications by Apple Inc. and Google Inc. | |
| Elkhodr et al. | The internet of things: New interoperability, management and security challenges | |
| Narain et al. | Inferring user routes and locations using zero-permission mobile sensors | |
| CN109891853B (zh) | 在本地设置中检测不可能的行程的方法及系统 | |
| Klaine et al. | Privacy-preserving contact tracing and public risk assessment using blockchain for COVID-19 pandemic | |
| US20130185777A1 (en) | Methods And Apparatus For Reliable And Privacy Protecting Identification Of Parties' Mutual Friends And Common Interests | |
| Gebremariam et al. | Blockchain-based secure localization against malicious nodes in IoT-based wireless sensor networks using federated learning | |
| Sadhu et al. | CollabLoc: Privacy-preserving multi-modal collaborative mobile phone localization | |
| Chatterjee et al. | Fog Computing and Its security issues | |
| Gupta et al. | Technological and analytical review of contact tracing apps for COVID-19 management | |
| Trnka et al. | Securing internet of things devices using the network context | |
| Sangwan et al. | A classification of misbehavior detection schemes for VANETs: a survey | |
| Abdo et al. | A cloud-based mobile healthcare monitoring framework with location privacy preservation | |
| Han et al. | Near-complete privacy protection: Cognitive optimal strategy in location-based services | |
| Trivedi et al. | A transformative shift toward blockchain‐based IoT environments: Consensus, smart contracts, and future directions | |
| Soni et al. | New directions for security attacks, privacy, and malware detection in WBAN | |
| Kamal et al. | Privacy and security federated reference architecture for Internet of Things | |
| Butun et al. | Preserving location privacy in cyber-physical systems | |
| Coen-Porisini et al. | Dealing with anonymity in wireless sensor networks | |
| Buccafurri et al. | A centralized contact-tracing protocol for the COVID-19 pandemic | |
| Zhang et al. | Differentially privacy-preserving social IoT |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |