CN110808944B - 用于网络监控的方法、电子设备和计算机可读介质 - Google Patents
用于网络监控的方法、电子设备和计算机可读介质 Download PDFInfo
- Publication number
- CN110808944B CN110808944B CN201910418700.5A CN201910418700A CN110808944B CN 110808944 B CN110808944 B CN 110808944B CN 201910418700 A CN201910418700 A CN 201910418700A CN 110808944 B CN110808944 B CN 110808944B
- Authority
- CN
- China
- Prior art keywords
- user device
- network
- end user
- information
- false account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/45—Structures or tools for the administration of authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2127—Bluffing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
设备接收针对与网络相关联的终端用户设备的终端用户设备信息,并且创建包括终端用户设备信息的数据结构。该设备创建包括虚假账户证书的数据结构,并且对终端用户设备信息和虚假账户证书进行映射以创建映射数据结构。该设备将虚假账户证书提供至终端用户设备中的对应终端用户设备的存储器位置,并且将来自映射数据结构的信息提供至与网络相关联的一个或多个网络设备,其中来自映射数据结构的信息使得一个或多个网络设备能够检测使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试。
Description
技术领域
本公开的实施例涉及用于网络监控的方法、电子设备和计算机可读介质。
背景技术
对于网络安全团队而言,标识网络事故(例如,网络入侵、恶意软件、固件等)通常是一个耗时的过程。存在许多产品,其试图引诱或诱使不良操作方(例如,网络入侵者)暴露自身,并且触发来自网络的各种动作(例如,阻止网络入侵者、停止恶意软件和/或固件,等等)。
发明内容
根据一些实施方式,一种设备可以包括一个或多个存储器和一个或多个处理器,该一个或多个或处理器用以接收针对与网络相关联的终端用户设备的终端用户设备信息,并且创建包括终端用户设备信息的数据结构。一个或多个处理器可以创建包括虚假账户证书的数据结构,并且可以对终端用户设备信息和虚假账户证书进行映射以创建映射数据结构。一个或多个处理器可以将虚假账户证书提供至相对应终端用户设备的存储器位置,并且可以将来自映射数据结构的信息提供至与网络相关联的一个或多个网络设备,其中来自映射数据结构的信息使该一个或多个网络设备能够检测使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试。
根据一些实施方式,一种非瞬态计算机可读介质可以存储指令,该指令包括一个或多个指令的指令,该一个或多个指令在被一个或多个处理器执行时使该一个或多个处理器接收针对与网络相关联的终端用户设备的终端用户设备信息,并且创建虚假账户证书。该一个或多个指令可以使该一个或多个处理器将与终端用户设备中的每个终端用户设备相关联的终端用户设备信息与虚假账户证书中的不同的虚假账户证书相关,以创建将终端用户设备信息和虚假账户证书相关的数据结构。该一个或多个指令可以使该一个或多个处理器使虚假账户证书被存储在终端用户设备中的对应终端用户设备的存储器位置,并且将来自数据结构的信息提供至与网络相关联的一个或多个网络设备。该一个或多个指令可以使该一个或多个处理器从一个或多个网络设备并且基于来自数据结构的信息,接收指示使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试的信息,并且基于指示对网络的非授权访问尝试的信息而执行一个或多个动作。
根据一些实施方式,一种方法可以包括接收针对与网络相关联的终端用户设备的终端用户设备信息,并且创建虚假账户证书。该方法可以包括将终端用户设备信息与虚假账户证书相关联,以创建将终端用户设备信息和虚假账户证书相关联的信息,并且使虚假账户证书基于将终端用户设备信息和虚假账户证书相关联的信息而被存储在终端用户设备的存储器位置。该方法可以包括把将终端用户设备信息和虚假账户证书相关联的信息提供至与网络相关联的一个或多个网络设备,并且从一个或多个网络设备并且基于将终端用户设备信息和虚假账户证书相关联的信息,接收指示使用虚假账户证书对网络的非授权访问尝试的信息。该方法可以包括基于指示对网络的非授权访问尝试的信息而执行一个或多个动作。
附图说明
图1A到图1I是本文所描述的示例实施方式的示图。
图2是本文所描述的系统和/或方法可以在其中实施的示例环境的示图。
图3是图2中的一个或多个设备的示例组件的示图。
图4到图6是用于基于虚假账户证书的分发进行网络监控的示例过程的流程图。
具体实施方式
以下对示例实施方式的详细描述参考附图。不同附图中的相同附图标记可以标识相同或相似的要素。
诸如网络入侵、恶意软件、固件等的网络事故可能是由不良操作方(例如,网络入侵者)基于盗取的网络账户证书而引起的。如果标识出网络事故和/或不良操作方,该网络事故和/或不良操作方就可以被寻址。然而,检测不良操作方可能是困难且耗时的,尤其是对于高级的不良操作方更是如此,诸如从网络端点设备的存储器盗取网络账户证书的不良操作方。
本文所描述的一些实施方式提供了一种安全平台,其基于虚假账户证书的分发来提供网络监控。例如,该安全平台可以接收与网络相关联的终端用户设备的终端用户设备信息,并且可以创建虚假账户证书。该安全平台可以将与每个终端用户设备相关联的终端用户设备信息与不同的虚假账户证书相关,从而创建将终端用户设备信息与虚假账户证书相关的数据结构。该安全平台可以使得虚假账户证书基于该数据结构而被存储在相对应终端用户设备的存储器位置,并且可以将来自该数据结构的信息提供至与网络相关联的一个或多个网络设备。该安全平台可以从一个或多个网络设备并且基于来自该数据结构的信息而接收指示使用一个或多个虚假账户证书对网络的非授权访问尝试的信息,并且可以基于指示对网络的非授权访问尝试的信息执行一个或多个动作。
以这种方式,该安全平台可以减少用来标识不良操作方的时间,并且可以节约被用来识别不良操作方的资源(例如,处理器资源、存储器资源,等等)。该安全平台还可以通过诱使高级的不良操作方使用虚假账户证书联系网络上的其它网络端点设备或服务来提高标识出高级的不良操作方的可能性,高级的不良操作方例如为从网络端点设备的存储器盗取网络账户证书的不良操作方,其已经危害了网络端点设备。
图1A到图1I是本文所描述的示例实施方式100的示图。如图1A所示,网络可以与安全平台相关联。如图1A中进一步示出的,该网络可以包括多个网络设备和多个终端用户设备。在一些实施方式中,终端用户设备可以包括与该终端用户设备的用户相关联的账户证书,并且用户可以利用账户证书来(例如,经由多个网络设备)访问该网络(例如,获得对网络、经由网络可用的服务、经由网络可用的网站等的访问)。在一些实施方式中,账户证书可以包括用户名、密码、个人标识码、关键字,等等。
如图1A中以及由附图标记105进一步示出的,该安全平台可以从网络接收与该网络的终端用户设备相关联的终端用户设备信息。在一些实施方式中,终端用户设备的终端用户设备信息可以包括与该终端用户设备相关联的媒体接入控制(MAC)地址、与该终端用户设备相关联的互联网协议(IP)地址、与该终端用户设备相关联的序列号、标识与该终端用户设备相关联的制造方的信息、标识与该终端用户设备相关联的制造或型号的信息,等等。
如图1A中以及由附图标记110进一步示出的,该安全平台可以基于终端用户设备信息来创建数据结构(例如,数据库、表格、列表,等等)。在一些实施方式中,该数据结构可以包括与每个终端用户设备相关联的终端用户设备标识符(ID)信息。例如,如图1A所示,该数据结构可以包括用于标识第一终端用户设备的第一终端用户设备信息(例如,终端用户设备信息1,诸如与第一终端用户设备相关联的MAC地址、IP地址、序列号、制造方、制造、型号,等等);用于标识第二终端用户设备的第二终端用户设备信息(例如,终端用户设备信息2,诸如与第二终端用户设备相关联的MAC地址、IP地址、序列号、制造方、制造、型号,等等);用于标识第三终端用户设备的第三终端用户设备信息(例如,终端用户设备信息3,诸如与第三终端用户设备相关联的MAC地址、IP地址、序列号、制造方、制造、型号,等等);用于标识第四终端用户设备的第四终端用户设备信息(例如,终端用户设备信息4,诸如与第四终端用户设备相关联的MAC地址、IP地址、序列号、制造方、制造、型号,等等);等等。在一些实施方式中,终端用户设备信息可以包括与单个终端用户设备相关联并且被用来标识该单个终端用户设备的单个标识符(例如,MAC地址、IP地址或序列号)。
如图1B中以及由附图标记115所示,该安全平台可以创建包括虚假账户证书的数据结构(例如,数据库、表格、列表,等等)。在一些实施方式中,该虚假账户证书可以包括与用来访问网络(例如,获得对网络、经由网络可用的服务、经由网络可用的网站等的访问)的证书(例如,用户名和密码)相似的证书,但是它并不是要被用来访问网络的合法证书。相反,该虚假账户证书可以被该安全平台用来标识不良操作方,以便通过诱使高级的不良操作方(其已经危害了网络端点设备)使用该虚假账户证书联系网络上的其它网络端点设备或服务来提高标识高级的不良操作方的可能性,等等。在一些实施方式中,该虚假账户证书可以包括用户名、密码、账户标识符、个人标识码、关键字等中的一个或多个。
如图1C中以及由附图标记120所示,该安全平台可以对虚假账户证书和终端用户设备信息进行映射以创建映射数据结构(例如,数据库、表格、列表,等等)。在一些实施方式中,该安全平台可以提供终端用户设备信息(例如,与终端用户设备相关联的MAC地址、IP地址、序列号、制造方、制造、型号,等等)与特定虚假账户证书的一对一映射。例如,如图1C所示,第一虚假账户证书(例如,用户名=Bob以及密码=a123b)可以与第一终端用户设备信息(例如,终端设备用户信息1)相映射、相关和/或相关联;第二虚假账户证书(例如,用户名=Ann以及密码=345cd)可以与第二终端用户设备信息(例如,终端设备用户信息2)相映射、相关和/或相关联;第三虚假账户证书(例如,用户名=Joe以及密码=678ef)可以与第三终端用户设备信息(例如,终端设备用户信息3)相映射、相关和/或相关联;第四虚假账户证书(例如,用户名=Ted以及密码=g789h)可以与第四终端用户设备信息(例如,终端设备用户信息4)相映射、相关和/或相关联;等等。以这种方式,该安全平台可以使得网络管理方和网络设备能够快速且轻易地标识出已经受到危害的终端用户设备(例如,已经从其盗取了虚假账户证书)。例如,如果网络设备标识出用户名Bob和密码a123b,则网络设备可以立即确定那些虚假账户证书是从第一终端用户设备所盗取的,因为那些虚假账户证书在映射数据结构中与第一终端用户设备相关联。
虽然图1C示出了与一个终端用户设备相关联的一个虚假账户证书,但是在一些实施方式中,多个(例如,两个、十个、一百个、一千个等)虚假账户证书可以与一个终端用户设备相关联。例如,该安全平台可以将数千个虚假账户证书与单个终端用户设备相关联,这可以使得网络设备能够针对该数千个虚假账户证书中的任一个进行监控从而确定该单个终端用户设备已经受到危害。
如图1D中以及由附图标记125所示,该安全平台可以基于该映射数据结构将虚假账户证书提供至相对应的终端用户设备的存储器位置。在一些实施方式中,该安全平台可以向相对应的终端用户设备提供虚假账户证书以及提供将该虚假账户证书存储在存储器位置中的指令,并且该相对应的终端用户设备可以基于该指令将虚假账户证书存储在存储器位置中。在一些实施方式中,基于该映射数据结构,该安全平台可以将第一虚假账户证书(例如,用户名=Bob以及密码=a123b)提供至第一终端用户设备(例如,终端用户设备1),将第二虚假账户证书(例如,用户名=Ann以及密码=345cd)提供至第二终端用户设备(例如,终端用户设备2),将第三虚假账户证书(例如,用户名=Joe以及密码=678ef)提供至第三终端用户设备(例如,终端用户设备3),将第四虚假账户证书(例如,用户名=Ted以及密码=g789h)提供至第四终端用户设备信息(例如,终端用户设备4),等等。终端用户设备可以接收虚假账户证书,并且可以将虚假账户证书存储在存储器位置中。在一些实施方式中,该安全平台可以远程地并且大规模地(例如,经由诸如PowerShell的任务自动化和配置管理架构)将虚假账户证书存储在终端用户设备的存储器位置中。
在一些实施方式中,存储器位置可以包括终端用户设备的操作系统内的具体存储器位置。例如,存储器位置可以包括能够由存储器转储工具(例如,Mimikatz、Sekurlsa等)所访问的存储器位置,例如,本地安全授权子系统服务(LSASS)等。在一些实施方式中,如果虚假账户证书仅能够经由存储器转储工具来访问,则可以使得基于使用虚假账户证书而触发误报网络事故的可能性最小化。此外,这可以确保被标识的网络事故(例如,终端用户设备受到危害)是由具有合理技能的操作方所造成,原因在于要从存储器盗取账户证书是困难的。
如图1E中以及由附图标记130所示,该安全平台可以将来自映射数据结构的信息提供至网络中的网络设备(例如,网络设备1至网络设备M,其中M是大于或等于1的整数)。在一些实施方式中,该安全平台可以将来自映射数据结构的信息提供至与网络相关联的其它网络设备,诸如入侵检测系统、网络监控设备、防火墙、网关,等等。在一些实施方式中,网络设备可以(例如,在与这样的网络设备相关联的存储器中)存储来自映射数据结构的信息。在一些实施方式中,如上文结合图1C所描述的,来自映射数据结构的信息可以包括终端用户设备信息与虚假账户证书的一对一映射。
以这种方式,网络设备可以利用来自映射数据结构的信息来分析在与网络相关联的访问尝试期间所接收到的信息(例如,在访问尝试期间提供的证书)。网络设备可以基于分析访问尝试期间所接收到的信息来标识虚假账户证书在访问尝试期间何时被采用。如果检测到虚假账户证书,网络设备就可以基于来自映射数据结构的信息而确定与该虚假账户证书相关联的终端用户设备。
在一些实施方式中,在检测到虚假账户证书的使用时,网络设备可以基于该虚假账户证书而执行一个或多个动作。例如,网络设备可以将与该虚假账户证书相关联的终端用户设备的地址提供至黑名单,从而可以防止该终端用户设备访问网络。网络设备可以防止与虚假账户证书相关联的终端用户设备访问网络,这是因为该终端用户设备已经受到危害。网络设备可以修改与一个或多个网络设备相关联的安全规则,而使得该网络设备可以提高与访问网络相关联的安全性。网络设备可以修改与网络相关联的网络设备(例如,入侵防护系统)的规则以提高与访问网络相关联的安全性。网络设备可以将安全更新推送至受到危害的终端用户设备,而使得该终端用户设备可以针对不良操作方受到更好的保护。网络设备可以使终端用户设备启动恶意软件和/或病毒扫描从而确保该终端用户设备不会被恶意软件和/或病毒所感染。网络设备可以使得终端用户设备离线(例如,断开与网络的连接),从而该终端用户设备就不会危及到网络。网络设备可以发送通知以用于在终端用户设备上显示(例如,向用户通知该终端用户设备已经受到危害)。
在一些实施方式中,该安全平台可以将虚假账户证书提供至网络设备,但是可以不将终端用户设备信息提供至该网络设备。在这样的实施方式中,网络设备可以在虚假账户证书被利用时通知安全平台,并且该安全平台可以利用虚假账户证书来标识受到危害的终端用户设备。
如图1F中以及由附图标记135所示,与用户设备相关联的不良操作方可以利用该用户设备从与网络相关联的终端用户设备盗取虚假账户证书。例如,如所示出的,不良操作方可以利用用户设备盗取与第一终端用户设备(例如,终端用户设备1)相关联的虚假账户证书(例如,用户名=Bob以及密码=a123b)。在一些实施方式中,该用户设备可以利用存储器转储工具(例如,Mimikatz、Sekurlsa等)来访问第一终端用户设备的(例如,虚假账户证书被存储于其中的)存储器位置并且获取到虚假账户证书。在一些实施方式中,不良操作方可以利用用户设备以类似方式从一个或多个其它终端用户设备盗取一个或多个其它虚假账户证书。
如图1G中以及由附图标记140所示,不良操作方可以利用用户设备和所盗取的虚假账户证书来尝试访问网络(例如,获得对网络、经由网络可用的服务、经由网络可用的网站等的访问)。在一些实施方式中,不良操作方可以使得用户设备将所盗取的虚假账户证书(例如,用户名=Bob以及密码=a123b)提供给网络的网络设备。该网络设备可以接收该被盗取的虚假账户证书,并且可以分析该被盗取的虚假账户证书。该网络设备可以基于分析该被盗取的虚假账户证书而确定虚假账户证书在尝试访问网络的期间被利用。例如,由于被盗取的虚假账户证书与来自映射数据结构的信息中的条目相匹配,所以该网络设备可以确定虚假账户证书被利用。该网络设备可以基于来自映射数据结构的信息而确定与该被盗取的虚假账户证书相关联的终端用户设备(例如,第一终端用户设备)。
如图1G中以及由附图标记145进一步示出的,该网络设备可以基于标识出该被盗取的虚假账户证书并且确定第一终端用户设备受到危害而防止第一用户设备访问网络。在一些实施方式中,该网络设备可以基于标识出该被盗取的虚假账户证书而执行一个或多个动作,诸如将第一终端用户设备的地址提供至黑名单,修改与一个或多个网络设备相关联的安全规则,修改与网络相关联的网络设备(例如,入侵防护系统)的规则,向第一终端用户设备推送安全更新,使得第一终端用户设备启动恶意软件和/或病毒扫描,使得该终端用户设备离线,发送通知以用于在第一终端用户设备上显示,等等。
如图1H中以及由附图标记150所示,该安全平台可以从该网络设备接收指示被盗取的虚假账户证书的使用的信息。在一些实施方式中,指示被盗取的虚假账户证书的使用的信息可以包括标识该被盗取的虚假账户证书(例如,用户名=Bob以及密码=a123b)的信息,标识从其盗取该虚假账户证书的终端用户设备(例如,第一终端用户设备)的信息,等等。在一些实施方式中,该安全平台可以从该网络设备接收标识被盗取的虚假账户证书的信息,并且可以利用该被盗取的虚假账户证书标识与该被盗取的虚假账户证书相关联的终端用户设备。在一些实施方式中,该安全平台可以从该网络设备接收标识从其盗取该虚假账户证书的终端用户设备(例如,第一终端用户设备)的信息。
如图1I中以及由附图标记155所示,该安全平台可以基于指示被盗取的虚假账户证书的使用的信息而执行一个或多个动作。例如,该安全平台可以将与被盗取的虚假账户证书相关联的终端用户设备(例如,第一终端用户设备)的地址(例如,IP地址)加入黑名单,从而可以防止该终端用户设备访问网络。该安全平台可以防止与被盗取的虚假账户证书相关联的终端用户设备访问网络,因为该终端用户设备已经受到危害。该安全平台可以修改与一个或多个网络设备相关联的安全规则,从而该网络设备可以提高与访问网络相关联的安全性。该安全平台可以修改与网络相关联的网络设备(例如,入侵防护系统)的规则以提高与访问网络相关联的安全性。该安全平台可以向受到危害的终端用户设备推送安全更新,而使得该终端用户设备可以针对不良操作方受到更好的保护。该安全平台可以使得终端用户设备启动恶意软件和/或病毒扫描从而确保该终端用户设备不会被恶意软件和/或病毒所感染。该安全平台可以使得终端用户设备离线(例如,断开与网络的连接),从而该终端用户设备就不会危及到网络。该安全平台可以发送通知以用于在终端用户设备上显示(例如,向用户通知该终端用户设备已经受到危害)。
在一些实施方式中,该安全平台可以处理存储在数百、数千、数百万或更多的终端用户设备上并且被提供至数百、数千、数百万或更多的网络设备的数千、数百万、数十亿或更多的虚假账户证书。在这样的实施方式中,该安全平台可以同时处理虚假账户证书在给定时间窗口中的数十、数百、数千或更多使用的报告。
以这种方式,用于基于虚假账户证书的分发来监控网络的过程的若干不同阶段可以自动进行,这从该过程中去除了人为主观性和人力浪费,并且可以提高该过程的速度和效率并且节约计算资源(例如,处理器资源、存储器资源,等等)。此外,本文所描述的实施方式使用了严格的、计算机化的过程来执行之前并未执行过或者之前使用主观人类直觉或输入所执行的任务或角色。例如,当前并不存在一种基于虚假账户证书的分发来监控网络的技术。最后,使得用于基于虚假账户证书的分发来监控网络的过程自动进行节约了原本在尝试监控网络以标识网络中的不良操作方时会被浪费的计算资源(例如,处理器资源、存储器资源,等等)和/或网络资源。
如上文所指出的,图1A到图1I仅作为示例而被提供。其它示例是可能的并且可以与关于图1A到图1I所描述的有所不同。
图2是本文所描述的系统和/或方法可以在其中实施的示例环境200的示图。如图2所示,环境200可以包括用户设备210、安全平台220、网络230和网络设备240。环境200中的设备可以经由有线连接、无线连接或者有线和无线连接的组合进行互连。
用户设备210包括一个或多个能够接收、生成、存储、处理和/或提供信息的设备,所述信息诸如本文所描述的信息。例如,用户设备210可以包括移动电话(例如,智能电话、无线电电话等)、膝上计算机、平板计算机、台式计算机、手持计算机、游戏设备、可穿戴通信设备(例如,智能腕表、智能眼镜等)或类似类型的设备。在一些实施方式中,用户设备210可以从环境200中的一个或多个设备接收信息和/或向其传送信息。在一些实施方式中,用户设备210可以是网络230的端点设备并且可以被称作终端用户设备或端点用户设备。
安全平台220包括一个或多个能够基于虚假账户证书的分发进行网络监控的设备。在一些实施方式中,安全平台220可以被设计为是模块化的,从而某些软件组件可以根据特定需求而被换入或换出。这样,安全平台220可以针对不同用途而轻易和/或快速地重新配置。在一些实施方式中,安全平台220可以从环境200中的一个或多个设备接收信息和/或向其传送信息。
在一些实施方式中,如所示出的,安全平台220可以托管在云计算环境222中。注意到,虽然本文所描述的实施方式将安全平台220描述为托管于云计算环境222中,但是在一些实施方式中,安全平台220可以并非是基于云的(即,可以在云计算环境之外实施,诸如在一个或多个服务器设备内实施)或者可以是部分基于云的。
云计算环境222包括托管安全平台220的环境。云计算环境222可以提供计算、软件、数据访问、存储等服务,其并不要求终端用户了解托管安全平台220的(多个)系统和/或(多个)设备的物理位置和配置。如所示出的,云计算环境222可以包括计算资源224的群组(被总体地称作“计算资源224”以及被单独地称作“计算资源224”)。
计算资源224包括一个或多个个人计算机、工作站计算机、服务器设备,或者其它类型的计算和/或通信设备。在一些实施方式中,计算资源224可以托管安全平台220。云资源可以包括在计算资源224中执行的计算实例,在计算资源224中提供的存储设备,由计算资源224提供的数据传输设备,等等。在一些实施方式中,计算资源224可以经由有线连接、无线连接或者有线和无线连接的组合与其它计算资源224进行通信。
如图2中进一步所示,计算资源224包括云资源的群组,诸如一个或多个应用(APP)224-1、一个或多个虚拟机(VM)224-2、虚拟化存储(VS)224-3、一个或多个监管程序(HYP)224-4,等等。
应用224-1包括可以被提供给用户设备210或者由其访问的一个或多个软件应用。应用224-1可以消除对于在用户设备210上安装并且执行软件应用的需求。例如,应用224-1可以包括与安全平台220相关联的软件和/或能够经由云计算环境222提供的任意其它软件。在一些实施方式中,一个应用224-1可以经由虚拟机224-2向/从一个或多个其它应用224-1发送/接收信息。
虚拟机224-2包括像物理机器那样执行程序的机器(例如,计算机)的软件实施方式。根据虚拟机224-2对任何真实机器的使用以及对应程度,虚拟机224-2可以是系统虚拟机或过程虚拟机。系统虚拟机可以提供支持完整操作系统(OS)的执行的完整系统平台。过程虚拟机则可以执行单个程序,并且可以支持单个过程。在一些实施方式中,虚拟机224-2可以代表用户(例如,用户设备210的用户或者安全平台220的操作人员)来执行,并且可以管理云计算环境222的基础设施,诸如数据管理、同步或者长持续时间的数据传输。
虚拟化存储224-3包括在计算资源224的存储系统或设备内使用虚拟化技术的一个或多个存储系统和/或一个或多个设备。在一些实施方式中,在存储系统的环境内,虚拟化的类型可以包括块虚拟化和文件虚拟化。块虚拟化可以是指来自物理存储的逻辑存储的抽象(或分离),从而存储系统可以在与物理存储或异类结构无关的情况下被访问。分隔可以允许存储系统的管理方在管理方如何管理终端用户的存储方面具有灵活性。文件虚拟化可以消除在文件层级访问的数据与文件被物理存储的位置之间的依存性。这可以支持优化存储使用、服务器整合和/或非破坏性文件迁移的性能。
监管程序224-4可以提供硬件虚拟化技术,其允许多个操作系统(例如,“访客操作系统”)在诸如计算资源224的主机计算机上同时执行。监管程序224-4可以为访客操作系统呈现虚拟操作平台,并且可以管理访客操作系统的执行。各个操作系统的多个实例可以共享虚拟化的硬件资源。
网络230包括一个或多个有线和/或无线网络。例如,网络230可以包括例如,第五代(5G)网络、长期演进(LTE)网络、第三代(3G)网络、码分多址(CDMA)网络等蜂窝网络、公共陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、例如,公共交换电话网(PSTN)的电话网络、私有网络、ad hoc网络、内联网、互联网、基于光纤的网络等等,和/或这些或其它类型的网络的组合。
网络设备240包括一个或多个能够接收、提供、存储、生成和/或处理本文所描述的信息的设备(例如,一个或多个业务传输设备)。例如,网络设备240可以包括防火墙、路由器、策略执行器、网关、交换机、集线器、桥接器、逆向代理、服务器(例如,代理服务器)、安全设备、入侵检测设备、负载平衡器或者类似设备。在一些实施方式中,网络设备240可以从环境200中的一个或多个其它设备接收信息和/或向其提供信息。在一些实施方式中,网络设备240可以是在诸如机架的壳体内实施的物理设备。在一些实施方式中,网络设备240可以是由云计算环境或数据中心的一个或多个计算设备所实施的虚拟设备。
图2中所示的设备和网络的数目和布置是作为示例而被提供。在实践中,与图2中所示出的那些相比,可以有附加的设备和/或网络、较少的设备和/或网络、不同的设备和/或网络,或者以不同方式布置的设备和/或网络。此外,图2中所示的两个或更多设备可以在单个设备内实施,或者图2中所示的单个设备可以被实施为多个分布式设备。除此之外或备选地,环境200的设备的集合(例如,一个或多个设备)可以执行被描述为由环境200中的设备的另一集合所执行的一种或多种功能。
图3是设备300的示例组件的示图。设备300可以对应于用户设备210、安全平台220、计算资源224和/或网络设备240。在一些实施方式中,用户设备210、安全平台220、计算资源224和/或网络设备240可以包括一个或多个设备300和/或设备300的一个或多个组件。如图3所示,设备300可以包括总线310、处理器320、存储器330、存储组件340、输入组件350、输出组件360和通信接口370。
总线310包括允许设备300的组件之间的通信的组件。处理器320以硬件、固件或者硬件和软件的组合来实施。处理器320是中央处理单元(CPU)、图形处理单元(GPU)、加速处理单元(APU)、微处理器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC),或者另一种类型的处理组件。在一些实施方式中,处理器320包括能够被编程为执行功能的一个或多个处理器。存储器330包括随机访问存储器(RAM)、只读存储器(ROM)和/或另一种类型的动态或静态存储设备(例如,闪存、磁性存储器和/或光学存储器),其存储信息和/或指令以供处理器320使用。
存储组件340存储与设备300的操作和使用相关的信息和/或软件。例如,存储组件340可以包括硬盘(例如,磁盘、光盘、磁性光盘和/或固态盘)、紧致盘(CD)、数字多功能盘(DVD)、软盘、卡盒、磁带和/或另一种类型的非瞬态计算机可读介质,连同相对应的驱动。
输入组件350包括允许设备300诸如经由用户输入接收信息的组件(例如,触摸屏显示器、键盘、小键盘、鼠标、按钮、开关和/或麦克风)。附加地或备选地,输入组件350可以包括用于感测信息的传感器,例如,全球定位系统(GPS)组件、加速度计、陀螺仪和/或致动器。输出组件360包括从设备300提供输出信息的组件,例如,显示器、扬声器和/或一个或多个发光二极管(LED)。
通信接口370包括类似收发器的组件(例如,收发器和/或分离的接收器和传送器),其使得设备300能够诸如经由有线连接、无线连接或者有线和无线连接的组合与其它设备进行通信。通信接口370可以允许设备300从另一个设备接收信息和/或向另一个设备提供信息。例如,通信接口370可以包括以太网接口、光学接口、同轴接口、红外接口、射频(RF)接口、通用串行总线(USB)接口、无线局域网接口、蜂窝网络接口,等等。
设备300可以执行本文所描述的一个或多个过程。设备300可以基于处理器320执行诸如存储器330和/或存储组件340的非瞬态计算机可读介质所存储的软件指令来执行这些过程。计算机可读介质在本文被定义为非瞬态存储器设备。存储器设备包括单个物理存储设备内的存储器空间或者跨多个物理存储设备扩展的存储器空间。
软件指令可以从另一个计算机可读介质或者经由通信接口370从另一个设备被读入到存储器330和/或存储组件340中。当被执行时,存储器330和/或存储组件340中所存储的软件指令可以使得处理器320执行本文所描述的一个或多个过程。附加地或备选地,硬线电路可以替代或结合软件指令而被用来实行本文所描述的一个或多个过程。因此,本文所描述的实施方式并不局限于硬件电路和软件的任何具体组合。
图3中所示组件的数目和布置是作为示例而被提供。在实践中,与图3中所示出的那些相比,设备300可以包括附加的组件、较少的组件、不同的组件,或者以不同方式布置的组件。附加地或备选地,设备300的组件的集合(例如,一个或多个组件)可以执行被描述为由设备300的另一个组件集合所执行的一种或多种功能。
图4是用于确定以及实施网络中的出口对等工程和入口对等工程目的地的示例过程400的流程图。在一些实施方式中,图4中的一个或多个过程框可以由安全平台(例如,安全平台220)来执行。在一些实施方式中,图4中的一个或多个过程框可以由包括安全平台220的或者与安全平台220分离的另一个设备或设备群组(诸如用户设备210和/或网络设备240)来执行。
如图4所示,过程400可以包括接收针对与网络相关联的终端用户设备的终端用户设备信息(框410)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收针对与网络相关联的终端用户设备的终端用户设备信息。
如图4中进一步示出的,过程400可以包括创建包括终端用户设备信息的数据结构(框420)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340等)可以创建包括终端用户设备信息的数据结构。
如图4中进一步示出的,过程400可以包括创建包括虚假账户证书的数据结构(框430)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330等)可以创建包括虚假账户证书的数据结构。
如图4中进一步示出的,过程400可以包括对终端用户设备信息和虚假账户证书进行映射,以创建映射数据结构(框440)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340等)可以对终端用户设备信息和虚假账户证书进行映射以创建映射数据结构。
如图4中进一步示出的,过程400可以包括将虚假账户证书提供至终端用户设备中的对应终端用户设备的存储器位置(框450)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以将虚假账户证书提供至终端用户设备中的对应终端用户设备的存储器位置。
如图4中进一步示出的,过程400可以包括将来自映射数据结构的信息提供至与网络相关联的一个或多个网络设备(框460)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330、通信接口370等)可以将来自映射数据结构的信息提供至与网络相关联的一个或多个网络设备。在一些实施方式中,来自映射数据结构的信息可以使得该一个或多个网络设备能够检测使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试。
过程400可以包括附加的实施方式,诸如在下文和/或结合本文其它地方描述的一个或多个其它过程所描述的任何单一实施方式或任何实施方式组合。
在一些实施方式中,该安全平台可以从一个或多个网络设备接收指示对网络的非授权访问尝试的信息,并且可以基于该指示对网络的非授权访问尝试的信息而执行一个或多个动作。在一些实施方式中,该一个或多个动作可以包括将终端用户设备中的与虚假账户证书中被用来执行对网络的非授权访问尝试的一个或多个虚假账户证书相关联的终端用户设备的地址提供至黑名单,防止终端用户设备访问网络,修改与一个或多个网络设备相关联的安全规则,修改针对与网络相关联的入侵防护系统的规则,等等。
在一些实施方式中,用于终端用户设备中的终端用户设备的终端用户设备信息可以包括与该终端用户设备相关联的媒体访问控制地址(MAC),与该终端用户设备相关联的互联网协议(IP)地址,与该终端用户设备相关联的序列号,标识与该终端用户设备相关联的制造方的信息,等等。
在一些实施方式中,终端用户设备中的对应终端用户设备的存储器位置可以包括能够由存储器转储工具所访问的存储器位置。在一些实施方式中,该安全平台可以从一个或多个网络设备接收指示对网络的非授权访问尝试的警报。在一些实施方式中,每个虚假账户证书可以包括用户名和密码。
虽然图4示出了过程400的示例框,但是在一些实施方式中,与图4中所描绘的那些相比,过程400可以包括附加的框、较少的框、不同的框或者以不同方式布置的框。附加地或备选地,过程400的两个或更多框可以并行执行。
图5是用于确定以及实施网络中的出口对等工程和入口对等工程目的地的示例过程500的流程图。在一些实施方式中,图5中的一个或多个过程框可以由安全平台(例如,安全平台220)来执行。在一些实施方式中,图5中的一个或多个过程框可以由包括安全平台220的或者与安全平台220分离的另一个设备或设备群组(诸如用户设备210和/或网络设备240)来执行。
如图5所示,过程500可以包括接收针对与网络相关联的终端用户设备的终端用户设备信息(框510)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收针对与网络相关联的终端用户设备的终端用户设备信息。
如图5中进一步示出的,过程500可以包括创建虚假账户证书(框520)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330等)可以创建虚假账户证书。
如图5中进一步示出的,过程500可以包括将与终端用户设备中的每个终端用户设备相关联的终端用户设备信息与虚假账户证书中的不同的虚假账户证书相关以创建将终端用户设备信息和虚假账户证书相关的数据结构(框530)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340等)可以将与终端用户设备中的每个终端用户设备相关联的终端用户设备信息与虚假账户证书中的不同的虚假账户证书相关以创建将终端用户设备信息和虚假账户证书相关的数据结构。
如图5中进一步示出的,过程500可以包括使虚假账户证书被存储在终端用户设备中的对应终端用户设备的存储器位置中(框540)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340、通信接口370等)可以使虚假账户证书被存储在终端用户设备中的对应终端用户设备的存储器位置中。
如图5中进一步示出的,过程500可以包括将来自该数据结构的信息提供至与网络相关联的一个或多个网络设备(框550)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330、通信接口370等)可以将来自该数据结构的信息提供至与网络相关联的一个或多个网络设备。
如图5中进一步示出的,过程500可以包括从一个或多个网络设备并且基于来自该数据结构的信息,接收指示使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试的信息(框560)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以从一个或多个网络设备并且基于来自该数据结构的信息,接收指示使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试的信息。
如图5中进一步示出的,过程500可以包括基于指示对网络的非授权访问尝试的信息而执行一个或多个动作(框570)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以基于指示对网络的非授权访问尝试的信息而执行一个或多个动作。
过程500可以包括附加的实施方式,诸如在下文和/或结合本文其它地方描述的一个或多个其它过程所描述的任何单一实施方式或任何实施方式组合。
在一些实施方式中,来自该数据结构的信息可以使得一个或多个网络设备能够检测使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试。在一些实施方式中,在执行一个或多个动作时,该安全平台可以将终端用户设备中的与虚假账户证书中被用来执行对网络的非授权访问尝试的一个或多个虚假账户证书相关联的终端用户设备的地址提供至黑名单,防止终端用户设备访问网络,修改与一个或多个网络设备相关联的安全规则,修改针对与网络相关联的入侵防护系统的规则,等等。
在一些实施方式中,用于终端用户设备中的终端用户设备的终端用户设备信息可以包括与该终端用户设备相关联的媒体访问控制地址(MAC),与该终端用户设备相关联的互联网协议(IP)地址,与该终端用户设备相关联的序列号,标识与该终端用户设备相关联的制造方的信息,等等。在一些实施方式中,终端用户设备中的对应终端用户设备的存储器位置可以包括能够由存储器转储工具所访问的存储器位置。
在一些实施方式中,该安全平台可以从一个或多个网络设备接收指示对网络的非授权访问尝试的警报。在一些实施方式中,每个虚假账户证书可以包括用户名、密码、个人标识码、关键字等。
虽然图5示出了过程500的示例框,但是在一些实施方式中,与图5中所描绘的那些相比,过程500可以包括附加的框、较少的框、不同的框或者以不同方式布置的框。附加地或备选地,过程500的两个或更多框可以并行执行。
图6是用于确定以及实施网络中的出口对等工程和入口对等工程目的地的示例过程600的流程图。在一些实施方式中,图6中的一个或多个过程框可以由安全平台(例如,安全平台220)来执行。在一些实施方式中,图6中的一个或多个过程框可以由包括安全平台220的或者与安全平台220分离的另一个设备或设备群组(诸如用户设备210和/或网络设备240)来执行。
如图6所示,过程600可以包括接收针对与网络相关联的终端用户设备的终端用户设备信息(框610)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以接收针对与网络相关联的终端用户设备的终端用户设备信息。
如图6中进一步示出的,过程600可以包括创建虚假账户证书(框620)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330等)可以创建虚假账户证书。
如图6中进一步示出的,过程600可以包括将终端用户设备信息与虚假账户证书相关联,以创建将终端用户设备信息和虚假账户证书相关联的信息(框630)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340等)可以将终端用户设备信息与虚假账户证书相关联,以创建将终端用户设备信息和虚假账户证书相关联的信息。
如图6中进一步示出的,过程600可以包括使虚假账户证书基于将终端用户设备信息和虚假账户证书相关联的信息而被存储在终端用户设备的存储器位置中(框640)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储器330、通信接口370等)可以使虚假账户证书基于将终端用户设备信息和虚假账户证书相关联的信息而被存储在终端用户设备的存储器位置中。
如图6中进一步示出的,过程600可以包括把将终端用户设备信息和虚假账户证书相关联的信息提供至与网络相关联的一个或多个网络设备(框650)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、存储组件340、通信接口370等)可以把将终端用户设备信息和虚假账户证书相关联的信息提供至与网络相关联的一个或多个网络设备。
如图6中进一步示出的,过程600可以包括从一个或多个网络设备并且基于将终端用户设备信息和虚假账户证书相关联的信息,接收指示使用虚假账户证书对网络的非授权访问尝试的信息(框660)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以从一个或多个网络设备并且基于将终端用户设备信息和虚假账户证书相关联的信息,接收指示使用虚假账户证书对网络的非授权访问尝试的信息。
如图6中进一步示出的,过程600可以包括基于指示对网络的非授权访问尝试的信息而执行一个或多个动作(框670)。例如,如上文结合图1A到图2所描述的,安全平台(例如,使用计算资源224、处理器320、通信接口370等)可以基于指示对网络的非授权访问尝试的信息而执行一个或多个动作。
过程600可以包括附加的实施方式,诸如在下文和/或结合本文其它地方描述的一个或多个其它过程所描述的任何单一实施方式或任何实施方式组合。
在一些实施方式中,将终端用户设备信息和虚假账户证书相关联的信息可以使得一个或多个网络设备能够检测使用虚假账户证书对网络的非授权访问尝试。在一些实施方式中,在执行一个或多个动作时,该安全平台可以将与被用来执行对网络的非授权访问尝试的虚假账户证书相关联的终端用户设备的地址提供至黑名单,防止终端用户设备访问网络,修改与一个或多个网络设备相关联的安全规则,修改针对与网络相关联的入侵防护系统的规则,等等。
在一些实施方式中,该安全平台可以从一个或多个网络设备接收指示对网络的非授权访问尝试的警报。在一些实施方式中,终端用户设备的终端用户设备信息可以包括与该终端用户设备相关联的媒体访问控制地址(MAC),与该终端用户设备相关联的互联网协议(IP)地址,与该终端用户设备相关联的序列号,标识与该终端用户设备相关联的制造方的信息,等等。在一些实施方式中,每个虚假账户证书可以包括用户名、密码、个人标识编号、关键字等。
虽然图6示出了过程600的示例框,但是在一些实施方式中,与图6中所描绘的那些相比,过程600可以包括附加的框、较少的框、不同的框或者以不同方式布置的框。附加地或备选地,过程600的两个或更多框可以并行执行。
本文所描述的一些实施方式提供了一种安全平台,其基于虚假账户证书的分发来提供网络监控。例如,该安全平台可以接收针对与网络相关联的终端用户设备的终端用户设备信息,并且可以创建虚假账户证书。该安全平台可以将与终端用户设备中的每个终端用户设备相关联的终端用户设备信息与虚假账户证书中的不同的虚假账户证书相关,以创建将终端用户设备信息与虚假账户证书相关的数据结构。该安全平台可以使虚假账户证书被存储在终端用户设备中的对应终端用户设备的存储器位置,并且可以将来自该数据结构的信息提供至与网络相关联的一个或多个网络设备。该安全平台可以从一个或多个网络设备并且基于来自该数据结构的信息而接收指示使用虚假账户证书中的一个或多个虚假账户证书对网络的非授权访问尝试的信息,并且可以基于指示对网络的非授权访问尝试的信息而执行一个或多个动作。
以上公开提供了说明和描述,但是并非意在是穷举的或者将实施方式局限于所公开的确切形式。根据上述公开,修改和变化是可行的并且可以通过实践实施方式而获得。
如本文所使用的,术语组件意在被宽泛地理解为硬件、固件或者硬件和软件的组合。
将要清楚明白的是,本文所描述的系统和/或方法可以以硬件、固件或者以硬件和软件的组合的不同形式来实施。用来实施这些系统和/或方法的实际专用控制硬件或软件代码并不对实施方式有所限制。因此,本文并未参考具体软件代码对该系统和/或方法的操作和行为加以描述——所要理解的是,软件和硬件可以被设计为实施基于本文描述的系统和/或方法。
尽管在权利要求中阐述和/或在说明书中公开了特征的特定组合,但是这些组合并非意在对可行的实施方式的公开加以限制。实际上,这些特征中的许多特征可以以并未具体在权利要求中阐述和/或在说明书中公开的方式来组合。虽然以下所列出的每项从属权利要求仅引用一项权利要求,但是可行的实施方式的公开包括与权利要求集合中的每项其它权利要求组合的每一项从属权利要求。
除非被明确如此描述,否则本文所使用的要素、动作或指令都并不应当被理解为是关键或必要的。而且,如本文所使用的,冠词“一”和“一个”意在包括一个或多个项,并且可以与“一个或多个”互换使用。此外,如本文所使用的,术语“集合”意在包括一个或多个项(例如,相关项、非相关项、相关和非相关项的组合,等等),并且可以与“一个或多个”互换使用。在仅预期一项的情况下,使用术语“一个”或类似语言。而且,如本文所使用的,术语“具有”、“拥有”、“带有”等意在作为开放式的术语。另外,除非另外明确指出,否则短语“基于”意在表示“至少部分地基于”。
Claims (20)
1.一种电子设备,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
接收针对与网络相关联的多个终端用户设备的终端用户设备信息;
创建包括所述终端用户设备信息的数据结构;
创建包括虚假账户证书的数据结构;
对所述终端用户设备信息和所述虚假账户证书进行映射以创建映射数据结构;
将所述虚假账户证书提供至所述多个终端用户设备中的对应终端用户设备的存储器位置;
将来自所述映射数据结构的信息提供至与所述网络相关联的多个网络设备,
来自所述映射数据结构的所述信息使得所述多个网络设备能够检测使用所述虚假账户证书中的一个或多个虚假账户证书对所述网络的非授权访问尝试;以及
从所述多个网络设备中的网络设备接收标识所述多个终端用户设备中的如下终端用户设备的信息,所述虚假账户证书中的所述一个或多个虚假账户证书从该终端用户设备被盗取。
2.根据权利要求1所述的电子设备,其中所述一个或多个处理器进一步用以:
基于标识所述终端用户设备的所述信息而执行一个或多个动作。
3.根据权利要求2所述的电子设备,其中所述一个或多个动作包括以下中的一个或多个:
将所述终端用户设备的地址提供至黑名单,
防止所述终端用户设备访问所述网络,
修改与所述多个网络设备相关联的安全规则,或者
修改针对与所述网络相关联的入侵防护系统的规则。
4.根据权利要求1所述的电子设备,其中用于所述多个终端用户设备中的终端用户设备的所述终端用户设备信息包括以下中的一个或多个:
与所述终端用户设备相关联的媒体访问控制MAC地址,
与所述终端用户设备相关联的互联网协议IP地址,
与所述终端用户设备相关联的序列号,或者
标识与所述终端用户设备相关联的制造方的信息。
5.根据权利要求1所述的电子设备,其中所述多个终端用户设备中的所述对应终端用户设备的所述存储器位置包括能够由存储器转储工具所访问的存储器位置。
6.根据权利要求1所述的电子设备,其中所述一个或多个处理器进一步用以:
从所述多个网络设备中的网络设备接收指示对所述网络的所述非授权访问尝试的警报。
7.根据权利要求1所述的电子设备,其中所述虚假账户证书中的每个虚假账户证书包括用户名和密码。
8.一种存储指令的非瞬态计算机可读介质,所述指令包括:
一个或多个指令,所述一个或多个指令在被一个或多个处理器执行时使所述一个或多个处理器:
接收针对与网络相关联的多个终端用户设备的终端用户设备信息;
创建虚假账户证书;
将与所述多个终端用户设备中的每个终端用户设备相关联的所述终端用户设备信息与所述虚假账户证书中的不同的虚假账户证书相关,以创建将所述终端用户设备信息与所述虚假账户证书相关的数据结构;
使所述虚假账户证书被存储在所述多个终端用户设备中的对应终端用户设备的存储器位置;
将来自所述数据结构的信息提供至与所述网络相关联的多个网络设备,
其中来自所述数据结构的所述信息使得所述多个网络设备能够检测使用所述虚假账户证书中的所述一个或多个所述虚假账户证书对所述网络的非授权访问尝试;
从所述多个网络设备中的网络设备接收标识所述多个终端用户设备中的如下终端用户设备的信息,所述虚假账户证书中的一个或多个虚假账户证书从该终端用户设备被盗取;以及
基于标识所述终端用户设备的所述信息而执行一个或多个动作。
9.根据权利要求8所述的非瞬态计算机可读介质,其中使所述一个或多个处理器执行所述一个或多个动作的所述一个或多个指令使所述一个或多个处理器进行以下中的一个或多个:
将所述终端用户设备的地址提供至黑名单,
防止所述终端用户设备访问所述网络,
修改与所述多个网络设备相关联的安全规则,或者
修改针对与所述网络相关联的入侵防护系统的规则。
10.根据权利要求8所述的非瞬态计算机可读介质,其中用于所述多个终端用户设备中的终端用户设备的所述终端用户设备信息包括以下中的一个或多个:
与所述终端用户设备相关联的媒体访问控制MAC地址,
与所述终端用户设备相关联的互联网协议IP地址,
与所述终端用户设备相关联的序列号,或者
标识与所述终端用户设备相关联的制造方的信息。
11.根据权利要求8所述的非瞬态计算机可读介质,其中所述多个终端用户设备中的所述对应终端用户设备的所述存储器位置包括能够由存储器转储工具所访问的存储器位置。
12.根据权利要求8所述的非瞬态计算机可读介质,其中所述指令进一步包括:
一个或多个指令,所述一个或多个指令在被所述一个或多个处理器执行时使所述一个或多个处理器:
从所述多个网络设备中的网络设备接收指示对所述网络的非授权访问尝试的警报。
13.根据权利要求8所述的非瞬态计算机可读介质,其中所述虚假账户证书中的每个虚假账户证书包括以下中的一个或多个:用户名、密码、个人标识码或关键字。
14.根据权利要求8所述的非瞬态计算机可读介质,其中所述存储器地位置包括所述多个终端用户设备的操作系统内的特定存储器位置。
15.一种用于网络监控的方法,包括:
由设备接收针对与网络相关联的终端用户设备的终端用户设备信息;
由所述设备创建虚假账户证书;
由所述设备将所述终端用户设备信息与所述虚假账户证书相关联,以创建将所述终端用户设备信息和所述虚假账户证书相关联的数据结构;
由所述设备使所述虚假账户证书基于将所述终端用户设备信息和所述虚假账户证书相关联的所述信息而被存储在所述终端用户设备的存储器位置;
由所述设备把将所述终端用户设备信息和所述虚假账户证书相关联的所述信息提供至与所述网络相关联的多个网络设备,其中将所述终端用户设备信息和所述虚假账户证书相关联的所述信息使得所述多个网络设备能够检测使用所述虚假账户证书中的一个或多个虚假账户证书对所述网络的非授权访问尝试;
由所述设备从所述多个网络设备中的网络设备接收标识所述终端用户设备的信息,所述虚假账户证书从所述终端用户设备被盗取;以及
由所述设备基于标识所述终端用户设备的所述信息而执行一个或多个动作。
16.根据权利要求15所述的方法,其中执行所述一个或多个动作包括以下中的一个或多个:
将所述终端用户设备的地址提供至黑名单,
防止所述终端用户设备访问所述网络,
修改与所述多个网络设备相关联的安全规则,或者
修改针对与所述网络相关联的入侵防护系统的规则。
17.根据权利要求15所述的方法,进一步包括:
从所述多个网络设备中的网络设备接收指示对所述网络的非授权访问尝试的警报。
18.根据权利要求15所述的方法,其中用于所述终端用户设备的终端用户设备信息包括以下中的一个或多个:
与所述终端用户设备相关联的媒体访问控制MAC地址,
与所述终端用户设备相关联的互联网协议IP地址,
与所述终端用户设备相关联的序列号,或者
标识与所述终端用户设备相关联的制造方的信息。
19.根据权利要求15所述的方法,其中所述虚假账户证书中的每个虚假账户证书包括以下中的一个或多个:用户名、密码、个人标识码或关键字。
20.根据权利要求15所述的方法,其中所述存储器位置包括所述终端用户设备的操作系统内的特定存储器位置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/055,665 US11032318B2 (en) | 2018-08-06 | 2018-08-06 | Network monitoring based on distribution of false account credentials |
| US16/055,665 | 2018-08-06 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110808944A CN110808944A (zh) | 2020-02-18 |
| CN110808944B true CN110808944B (zh) | 2022-06-24 |
Family
ID=66041155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910418700.5A Active CN110808944B (zh) | 2018-08-06 | 2019-05-20 | 用于网络监控的方法、电子设备和计算机可读介质 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11032318B2 (zh) |
| EP (1) | EP3608815B1 (zh) |
| CN (1) | CN110808944B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11212312B2 (en) * | 2018-08-09 | 2021-12-28 | Microsoft Technology Licensing, Llc | Systems and methods for polluting phishing campaign responses |
| US11283832B2 (en) * | 2018-10-31 | 2022-03-22 | SpyCloud, Inc. | Detecting use of compromised security credentials in private enterprise networks |
| US11197159B2 (en) * | 2019-03-12 | 2021-12-07 | T-Mobile Usa, Inc. | Reducing latency associated with threat detection |
| US11985146B2 (en) | 2021-09-29 | 2024-05-14 | Bank Of America Corporation | System and methods for proactive protection against malfeasant data collection |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9516059B1 (en) * | 2011-06-28 | 2016-12-06 | EMC IP Holding Company LLC | Using mock tokens to protect against malicious activity |
| CN107710133A (zh) * | 2015-05-08 | 2018-02-16 | 酒店营销理念有限责任公司 | 用于安全数据验证的系统 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7657735B2 (en) * | 2004-08-19 | 2010-02-02 | At&T Corp | System and method for monitoring network traffic |
| JP4780413B2 (ja) * | 2007-01-12 | 2011-09-28 | 横河電機株式会社 | 不正アクセス情報収集システム |
| US8880435B1 (en) * | 2007-10-26 | 2014-11-04 | Bank Of America Corporation | Detection and tracking of unauthorized computer access attempts |
| US9015842B2 (en) * | 2008-03-19 | 2015-04-21 | Websense, Inc. | Method and system for protection against information stealing software |
| US8949988B2 (en) * | 2010-02-26 | 2015-02-03 | Juniper Networks, Inc. | Methods for proactively securing a web application and apparatuses thereof |
| US8549643B1 (en) * | 2010-04-02 | 2013-10-01 | Symantec Corporation | Using decoys by a data loss prevention system to protect against unscripted activity |
| EP2611106A1 (en) | 2012-01-02 | 2013-07-03 | Telefónica, S.A. | System for automated prevention of fraud |
| US20130263226A1 (en) | 2012-01-22 | 2013-10-03 | Frank W. Sudia | False Banking, Credit Card, and Ecommerce System |
| US8973142B2 (en) | 2013-07-02 | 2015-03-03 | Imperva, Inc. | Compromised insider honey pots using reverse honey tokens |
| US9774627B2 (en) * | 2014-06-27 | 2017-09-26 | Ncr Corporation | Detecting memory-scraping malware |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| US9680833B2 (en) | 2015-06-25 | 2017-06-13 | Imperva, Inc. | Detection of compromised unmanaged client end stations using synchronized tokens from enterprise-managed client end stations |
| CN107924434A (zh) * | 2015-08-19 | 2018-04-17 | 沈爰仪 | 用仅一个对话、按需登录凭证来验证用户访问安全网络的系统和方法 |
| US9954867B1 (en) * | 2015-12-15 | 2018-04-24 | Amazon Technologies, Inc. | Verification of credential reset |
| US10567342B2 (en) | 2016-02-24 | 2020-02-18 | Imperva, Inc. | Techniques for securely detecting compromises of enterprise end stations utilizing tunnel tokens |
| US20170324777A1 (en) | 2016-05-05 | 2017-11-09 | Javelin Networks, Inc. | Injecting supplemental data into data queries at network end-points |
| US10129298B2 (en) | 2016-06-30 | 2018-11-13 | Microsoft Technology Licensing, Llc | Detecting attacks using compromised credentials via internal network monitoring |
| WO2018004600A1 (en) * | 2016-06-30 | 2018-01-04 | Sophos Limited | Proactive network security using a health heartbeat |
| US20180054461A1 (en) * | 2016-08-16 | 2018-02-22 | Lenovo (Singapore) Pte Ltd. | Allowing access to false data |
| GB2543952B (en) * | 2016-10-07 | 2019-05-01 | F Secure Corp | Advanced local-network threat response |
| CN109033885B (zh) * | 2017-06-09 | 2022-11-18 | 腾讯科技(深圳)有限公司 | 一种数据响应方法、终端设备以及服务器 |
| US11263305B2 (en) * | 2018-05-09 | 2022-03-01 | Netflix, Inc. | Multilayered approach to protecting cloud credentials |
| US20190356661A1 (en) * | 2018-05-21 | 2019-11-21 | Cyberark Software Ltd. | Proxy manager using replica authentication information |
-
2018
- 2018-08-06 US US16/055,665 patent/US11032318B2/en active Active
-
2019
- 2019-03-28 EP EP19165932.5A patent/EP3608815B1/en active Active
- 2019-05-20 CN CN201910418700.5A patent/CN110808944B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9516059B1 (en) * | 2011-06-28 | 2016-12-06 | EMC IP Holding Company LLC | Using mock tokens to protect against malicious activity |
| CN107710133A (zh) * | 2015-05-08 | 2018-02-16 | 酒店营销理念有限责任公司 | 用于安全数据验证的系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11032318B2 (en) | 2021-06-08 |
| US20200045079A1 (en) | 2020-02-06 |
| CN110808944A (zh) | 2020-02-18 |
| EP3608815A1 (en) | 2020-02-12 |
| EP3608815B1 (en) | 2022-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10389740B2 (en) | Detecting a malicious file infection via sandboxing | |
| CN110808944B (zh) | 用于网络监控的方法、电子设备和计算机可读介质 | |
| CN108768926B (zh) | 受感染主机设备的跟踪和缓解 | |
| US20200366694A1 (en) | Methods and systems for malware host correlation | |
| US10645114B2 (en) | Remote remediation of malicious files | |
| US10972508B1 (en) | Generating a network security policy based on behavior detected after identification of malicious behavior | |
| EP3362938B1 (en) | Automated construction of network whitelists using host-based security controls | |
| EP3214568B1 (en) | Method, apparatus and system for processing cloud application attack behaviours in cloud computing system | |
| US10320833B2 (en) | System and method for detecting creation of malicious new user accounts by an attacker | |
| CN109214170B (zh) | 经由辅助文件分析进行恶意软件标识 | |
| US9594906B1 (en) | Confirming a malware infection on a client device using a remote access connection tool to identify a malicious file based on fuzzy hashes | |
| CN110704836A (zh) | 实时无签名恶意软件检测 | |
| CN108933773B (zh) | 用于标识文件并确定安全性分类的安全平台、方法和介质 | |
| CN110826058B (zh) | 基于用户交互的恶意软件检测的设备、方法、介质 | |
| CN110300090B (zh) | 基于主机威胁的网络地址来实施威胁策略动作 | |
| US20180270124A1 (en) | Configuring a back-end container and a corresponding front-end proxy container on a network device | |
| US20160110544A1 (en) | Disabling and initiating nodes based on security issue | |
| JP2015179979A (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
| US10713110B2 (en) | Automated issue detection and resolution framework for enterprise resource planning | |
| US10860719B1 (en) | Detecting and protecting against security vulnerabilities in dynamic linkers and scripts | |
| CN110727942B (zh) | 用于恶意软件检测的存储器跟踪 | |
| US11611580B1 (en) | Malware infection detection service for IoT devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |