CN111159668A - 通过人机交互来验证用户身份 - Google Patents
通过人机交互来验证用户身份 Download PDFInfo
- Publication number
- CN111159668A CN111159668A CN201911076515.9A CN201911076515A CN111159668A CN 111159668 A CN111159668 A CN 111159668A CN 201911076515 A CN201911076515 A CN 201911076515A CN 111159668 A CN111159668 A CN 111159668A
- Authority
- CN
- China
- Prior art keywords
- user
- computing
- nodes
- node
- computing node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000003993 interaction Effects 0.000 title claims abstract description 36
- 230000009471 action Effects 0.000 claims abstract description 24
- 238000010801 machine learning Methods 0.000 claims abstract description 24
- 238000012545 processing Methods 0.000 claims description 41
- 238000000034 method Methods 0.000 claims description 39
- 230000000694 effects Effects 0.000 claims description 21
- 230000002452 interceptive effect Effects 0.000 claims description 12
- 238000001514 detection method Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 7
- 230000000977 initiatory effect Effects 0.000 claims description 6
- 230000004044 response Effects 0.000 claims description 6
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000004364 calculation method Methods 0.000 abstract description 2
- 239000003795 chemical substances by application Substances 0.000 description 43
- 230000008569 process Effects 0.000 description 25
- 238000005259 measurement Methods 0.000 description 12
- 230000006399 behavior Effects 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 238000010586 diagram Methods 0.000 description 10
- 230000002159 abnormal effect Effects 0.000 description 6
- 238000013528 artificial neural network Methods 0.000 description 3
- 238000012512 characterization method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000001953 sensory effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001149 cognitive effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013480 data collection Methods 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 238000011842 forensic investigation Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007429 general method Methods 0.000 description 1
- 235000003642 hunger Nutrition 0.000 description 1
- 230000001771 impaired effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007477 logistic regression Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000002688 persistence Effects 0.000 description 1
- 230000010399 physical interaction Effects 0.000 description 1
- 238000007637 random forest analysis Methods 0.000 description 1
- 230000000306 recurrent effect Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000037351 starvation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000012706 support-vector machine Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/01—Input arrangements or combined input and output arrangements for interaction between user and computer
- G06F3/011—Arrangements for interaction with the human body, e.g. for user immersion in virtual reality
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Data Mining & Analysis (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Artificial Intelligence (AREA)
- Mathematical Physics (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Human Computer Interaction (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
在计算环境内的多个节点中的第一计算节点上认证用户的身份。在第一计算节点处,使用至少一个机器学习模型来针对用户计算第一认证得分。第一认证得分表征用户与第一计算节点的交互。在这种认证之后,监测由用户从第一计算节点到多个计算节点中的其他计算节点的遍历。在每个节点处使用在这样的节点上执行的相应的机器学习模型来认证得分,该认证得分计算表征用户与相应的计算节点的交互。相应机器学习模型使用在先前遍历的计算节点处计算的认证得分作为属性。此后,在计算节点中的一个计算节点处基于所计算的认证得分发起动作。
Description
技术领域
本文中所描述的主题涉及用于通过表征人机交互来验证计算机 用户身份的技术。
背景技术
计算机和相关的软件系统越来越容易受到恶意行为者的攻击。除 了攻击者发现网络漏洞并且加以利用之外,攻击者还伪装成可信任的 内部人。通过使用网络钓鱼电子邮件和其他渗透,攻击者可以弄到登 录凭据,从而使他们可以登录各种计算系统并且渗透到对应的计算环 境中。尽管基于角色的访问级别机制可以限制计算环境中的某些活动 和访问,但是这样的限制通常本质上是静态的,并且无法防止恶意的 活动(否则这样的用户将被授权进行这些活动)。
发明内容
在第一方面,在计算环境内的多个节点中的第一计算节点上认证 用户的身份。在第一计算节点处,使用至少一个机器学习模型来针对 用户计算第一认证得分。第一认证得分表征用户与第一计算节点的交 互。在这种认证之后,监测由用户从第一计算节点到多个计算节点中 的其他计算节点的遍历。在每个节点处使用在这样的节点上执行的相 应的机器学习模型来计算认证得分,该认证得分表征用户与对应的计 算节点的交互。相应的机器学习模型使用在先前遍历的计算节点处计 算的认证得分作为属性。此后,在计算节点中的一个计算节点处,基 于所计算的认证得分发起动作。
动作可以包括:当认证得分中的一个认证得分超过预定义阈值 时,断开用户与对应的计算节点之间的连接。
动作可以包括:当认证得分的一个认证得分超过第一预定义阈值 但是在第二预定义阈值以下时,在计算节点中的一个计算节点处重新 认证用户。
计算节点中的每个计算节点可以向中央处理服务器传输他们相 应的计算的认证得分。通过这样的变化,中央处理服务器可以从先前 遍历的计算节点向随后遍历的计算节点传输至少一个认证得分。在其 他情况下,节点直接向其他节点发送这样的认证得分。
用户简档可以在第一计算节点处被访问。接下来,用户简档与用 户在第一计算节点上的当前活动之间的增量(即,差异等)可以被标 识。这些增量可以被用于计算相应的认证得分。用户简档可以表征多 个计算状态中的每个状态下的用户动作。状态可以包括新启动的、交 互式用户登录、非交互式用户登录、用户注销或用户会话锁定中的一 个或多个。
在一些实施方式中,端点检测和响应系统在计算节点中的一个计 算节点处记录用户的活动。表征所记录的活动的数据可以被传输到中 央处理服务器。
还描述了一种存储指令的非瞬态计算机程序产品(即,物理体现 的计算机程序产品),指令在由一个或多个计算系统的一个或多个数 据处理器执行时,使得至少一个数据处理器执行本文中的操作。类似 地,还描述了可以包括一个或多个数据处理器和耦合到一个或多个数 据处理器的存储器的计算机系统。存储器可以暂时地或永久地存储引 起至少一个处理器执行本文中描述的一个或多个操作的指令。另外, 方法可以由在单个计算系统内或被分布在两个或更多个计算系统之 间的一个或多个数据处理器来实现。这样的计算系统可以被连接,并 且可以经由一个或多个连接来交换数据和/或命令或其他指令等,这些 连接包括但不限于通过网络(例如,因特网、无线广域网、局域网、 广域网、有线网络等)的连接、通过多个计算系统中的一个或多个计 算系统之间的直接连接等。
本文中所描述的主题提供了很多技术优势。例如,当前主题实现 了更精确的用户认证目的,以表征用户如何遍历计算环境内的节点。
本文中描述的主题的一个或多个变型的细节在附图和以下描述 中阐明。从说明书和附图以及从权利要求书中,本文中描述的主题的 其他特征和优点将很清楚。
附图说明
图1是与中央处理服务器交互的计算节点的图;
图2是形成计算环境的一部分的计算节点的第一图;
图3是形成计算环境的一部分的计算节点的第二图;
图4是示出基于用户与一个或多个计算节点的交互来验证用户身 份的过程流程图;以及
图5是示出用于实现本文中所描述的方面的计算设备的图。
在各个附图中,相似的附图标记指示相似的元素。
具体实施方式
当前主题涉及一种被监测的计算环境,在被监测的计算环境中用 户认证部分地基于该用户遍历这样的计算环境内的各个节点时的行 为到表征来确定。特别地,当前主题涉及测量、分析和推断用户行为 及其对联网计算机系统的影响,作为用于将通常存在于计算环境中的 噪声与指示攻击的信号分离的方法。
在某些变型中,用户最初访问联网的计算机系统,诸如附接到活 动目录域的基于Windows的计算机。可以假定用户具有被监测的“家 庭”系统。可以获取生物特征测量,其表征用户如何与其家庭系统交 互。这些测量可以被表征为包括生理和心理测量。
当用户浏览计算机(即,台式机、笔记本电脑、移动电话、平板 电脑等)通过物理交互向用户展示的图形用户界面时,可以从用户获 取生理测量。例如,这样的测量可以表征键盘、触摸板和/或鼠标的动 态特性,但是如果计算机具有这些输入方法,则还可以包括其他测量, 诸如身体运动。虽然这些测量对于建立用户简档可能是最准确的,但 它们需要特定的环境集合才有用。特别地,生理测量要求用户出现在 被监测计算机处,因此要求攻击者还具有对要检测的被监测计算机的 物理访问。
就当前主题而言,除了这种生理测量之外,其他测量也可以用于 认证用户,诸如,这些用户如何与除了形成计算环境的一部分的家用 计算机以外的计算节点交互。作为一个示例,可以监测WINDOWS 远程交互系统驱动程序(例如,rdpwd.sys、vnccom.sys),进而允许 将生理测量扩展到远程交互(即,与用户最初登录的计算节点不同的 远程计算节点)。
心理测量可以被表征为用户如何与计算机交互的认知解释。没有 测量心理人机交互(HCI)的通用方法,但是已经通过观察电子邮件 行为、游戏策略和检测用户的命令行词典进行了一些研究。这项研究 中的某些研究对于检测攻击者的细微差别具有可应用性,诸如,测量 用户的命令行理解,但是还有其他更好的指示符可以被测量。这些措 施在综合考虑时可以描述用户的技能水平和计算能力。
当前主题可以例如以生成用户简档或者以其他方式表征用户与 计算机交互的技能水平。各种类型的属性可以被用于这样的表征,包 括在命令行上输入的命令的类型和频率、那个应用由用户所使用的、 对计算机系统的永久修改的频率和类型、所使用的应用特征(例如, 未在应用的默认UI中直接呈现的应用特征(诸如键盘快捷键、设置 菜单等)的使用、和/或用户请求管理访问权限的频率和原因。
用户的表征还可以考虑其他信息,诸如用户启动应用的流行度、 用户访问网站的流行度、用户进行系统调用的流行度、用户从因特网 下载和启动应用的频率、用户访问受保护的系统文件或目录的频率、 和/或用户如何启动程序。
此外,被监测属性可以被用于确定用户在计算机上的角色。例如, 用户频繁使用永久地修改系统的应用可以表明系统管理角色。频繁使 用工作站类应用可以指示标准用户角色。频繁使用在类似计算机群集 中突出显示的不常见应用或进程可以指示应用管理员角色。
对于当前主题,当与其他身份信息(例如,角色和与之交互的计 算系统的类型)一起使用时,用户的简要技能级别可以辅助在该计算 机系统上验证用户的身份。
根据其定义,联网的计算机系统不存在于与世隔绝的状态中。联 网环境中的每个计算机出于各种原因与其他系统通信,无论是尝试从 本地DHCP服务器获取或更新IP地址广播ARP以查找本地IP地址 的MAC,还是连接到WINDOWS更新。计算机系统还可以运行其他计算机系统可以与之连接的其自己的服务。
每个系统可以具有基本功能所需要的定义的进程或服务集。这些 进程具有明确定义的功能,可以包括网络活动。例如,在活动目录环 境中WINDOWS系统的基本功能所需要的标准进程可以针对整个网 络进行精确测量、描述和推断。该测量可以包括资源需求(CPU/存储 器/存储设备)、所接收的网络业务和/或所生成的系统调用。可以对 照属于该群集的任何其他联网计算机来测量、描述和推断可以唯一地 标识联网计算机群集的各种进程。大多数异构网络环境中的不常见进 程的存在是一个重要特征。综合考虑,在计算机上运行的标准、常见 和罕见进程可以准确地标识该计算机的角色,因此可以为类似集群的用户简档定义标准交互模型。
如上所述,每个联网系统与其他系统(本文中有时被称为节点) 通信。通信的频率和类型将标识这样的节点之间的关系。表现出强关 联关系的两个计算机可以视为对等计算机。根据通信类型,对等关系 可以扩展到N+1个节点。例如,如果用户登录其工作站并且与服务器 建立远程交互式会话并且然后从那里以需要认证的任何形式连接到 另一计算机,则这三个计算机共享关系并且可以被视为对等方。对等 方集群标识邻域。可以测量和描述邻域内部和邻域之间的通信模式。 重大偏差可以表示未授权用户可以访问系统,或者授权用户在计算环 境中正在采取异常行为和潜在恶意行为。一些计算机系统由于其作用(例如,域控制器等)而存在于多个邻域中。这些系统可能需要使用 其他方式来描述。
本文中可以使用各种类型的用户认证机制。示例机制在以下专利 申请中的每个专利申请中被描述(其内容通过引用完全结合在此): 2017年9月5日提交的题为“ComputerUser Authentication Using Machine Learning”的美国专利申请序列号15/696,057和2017年11 月9日提交的题为“Password-less Software System User Authentication”的美国专利申请序列号15/808,533。
其他信息可以用于描述和群集相似的计算机系统。例如,诸如已 安装驱动、已安装软件和版本,和/或已安装硬件等的信息。
基于WINDOWS的系统在参考用户的几种状态之一下存在,并 且在当前主题下,以不同方式测量:
新启动的。系统已经被上电或被重新启动,并且已经呈现了登录 屏幕。没有用户已经在本地或远程登录。这是处于最原始状态的计算 机,并且可以在此时设置基准。
用户以交互方式登录。系统完成认证过程,并且用户特定的系统 配置和过程被启动。这在多用户系统上可能会多次发生。用户交互是 可以预期的,并且可以在该时刻被测量。
用户以非交互方式登录。系统完成认证过程,并且用户特定的命 令被执行。这在每个用户/会话时可能会发生多次,具体取决于所使用 的应用或计算机的角色。此时可以测量基于流程的简档,但数据将受 到限制。
用户注销。用户关闭登录会话。在该会话中启动的用户特定进程 应当终止。用户交互终止。尽管不是完全原始的,但可以在该时刻对 系统设置基准。
用户锁定会话。用户停止与计算机交互,但不关闭会话。这可以 通过不主动或主动地锁定机器来进行。用户进程继续运行。基于进程 的简档可以继续进行测量。
用户重新建立会话。在一段时间的不活动之后,用户与计算机交 互。尽管仍然可以进行认证,但这与不建立新会话而登录不同。可以 测量用户交互。
除了监测用户如何与计算机交互之外,还监测表征计算机如何对 这种交互做出反应的信息。例如,在用户与系统交互时在标准、常见 和不常见进程中使用的资源的变化(每个进程是用于由一个或多个模 型(诸如机器学习模型)所使用的数据点/属性)可以被监测。在用户 与系统交互时网络通信简档的变化方式(例如,与对等方和其他邻域 的每个连接可以是数据点/属性等)可以被监测。通过测量系统在用户 与之交互时所经历的变化并且将其与用户和类似集群系统上的类似 集群用户的简档进行比较,可以验证用户的身份并且将其活动排除为 噪声。与计算机和用户的在行为方面的任何重大偏离都应当是一个重 大事件,并且应当被视为潜在的未授权和/或恶意的对象。
在某些情况下,单个计算节点上可能没有足够的信息(即,特征 等)可用于确定(例如,使用机器学习或其他预测模型)用户与这种 计算节点之间的交互是否确认用户的身份和/或表征正常用户行为。此 外,仅在单个计算节点处的数据收集不允许关于用户行为的警报的多 机关联。更进一步,当需要调节模型以用于改变用户行为时,孤立地 收集数据会导致数据匮乏。此外,数据的集中收集和处理具有固有的 延迟,这些延迟会阻止近乎实时的作出决策。
利用当前主题,数据可以在本地被收集和被处理。使用这种本地 收集的数据,可以生成用户简档(表征用户通常如何与计算节点的进 行交互)以及计算机简档(表征计算机对典型用户行为如何反应)。 此外,可以计算认证得分,该认证得分例如表征在各种用户状态(诸 如上面所标识的状态)之间在特定计算节点上的用户行为是否指示该 特定用户或其他相关用户的典型行为。该认证得分可以表征用户是否 正在按预期与计算机系统交互。该认证得分可以通过使用历史数据而 训练的一个或多个机器学习模型来计算,该历史数据表征用户与这样 的计算机系统的交互以及计算机系统如何响应于这样的交互。可以使 用各种类型的机器学习模型,包括逻辑回归模型、神经网络(包括并 发神经网络、递归神经网络等)、支持向量机、随机森林等。在某些 情况下,用于训练这样的模型的历史数据对于特定用户而言是唯一 的。在其他情况下,历史数据至少部分地基于由多个相似用户和与这 样的计算机系统(或与相似计算机系统)交互的角色所生成的数据。
在某些情况下,收集的HCI数据可以被发送到中央处理服务器。 该中央处理可以选择性地更新机器学习模型,或者针对整个计算环境 (例如,全局相关性、用户集群、计算机集群)或者针对该计算环境 内的特定节点采取其他动作。在某些情况下,在认证期间,数据可以 在计算环境的各个节点之间被共享。
图1是示出第一计算机(即,节点或计算节点)110的示意图100, 第一计算机110具有在其上执行的代理120(例如,软件模块、软件 应用等),该代理120经由计算网络(例如,网络是无线的、有线的 或其组合)与中央处理服务器130通信。在用户进行初始登录之前,代理120可以在用户进行HCI之前为计算机110计算空闲简档。空闲 简档可以帮助表征计算机的类型以及计算机在其邻域中扮演的角色。 此后,用户可以通过输入例如用户名和密码来登录计算机110。如果 用户不具有本地简档(例如,本地创建的简档),则代理120可以开始创建用户简档。如果用户具有本地创建的简档(即,驻留在代理120 内或可以由代理120访问的简档),则代理120将登录信息与这种本 地创建的简档进行比较。认证得分可以被生成(例如,使用本文中描 述的模型之一),该认证得分指示(即,表征)当前登录与所建立的简档的不同。代理120随后可以引起简档(无论是先前创建还是作为 登录过程的一部分而创建的)、与登录相关联的任何元数据(诸如外 部信息(来自活动目录或HRIS系统))、用户在与计算机或与计算 机的先前交互的预定角色的关系中的位置、以及中央处理服务器130的认证得分(其在一些变型中可以具有相应的代理)。
此外,在某些变型中,可以定期地和/或基于特定的触发(例如, 诸如应用启动、网络服务请求等)对照用户简档重新评估与计算机的 交互。例如,如果用户运行需要管理特权的新应用,则可以在该应用 的特权升级请求之前对照当前用户简档来测量当前认证得分以确保 该用户仍然可以控制他们的帐户。如果认证得分偏离的足够大,则向 用户呈现要求用户名和密码的完整认证提示。如果没有,则应用将不 受阻碍地运行。
用户简档可以使用离散信息和推断信息的组合来建立。离散信息 的示例包括用户名、正确的密码、密码尝试的次数、登录的类型(本 地、远程、交互式、非交互式等)。用户简档还可以包括启动信息(即, 启动简档),启动信息表征启动时的活动,诸如在启动时启动的应用 和/或启动的服务。用户简档还可以包括键盘动态信息(诸如按键节 奏)、输入设备信息(包括施加的压力)等。
用户简档中的推断信息可以包括诸如登录时间、会话长度、逻辑 位置(即,对应的计算节点位于计算网络内的位置等)、登录周期(即, 用户多久登录一次)、先前的登录历史、先前存储的简档信息(例如, 简档是本地存储还是集中存储等)等信息。该信息可以由代理120通 过存储在诸如活动目录或HRIS等外部系统中的数据或者从中央服务 器130收集。所推断的信息可以表征用户所使用的应用的类型(例如, 用户特定应用、系统应用、实用程序、脚本等)。表征所生成的业务 的数据也可以构成推断的信息的一部分,包括例如DNS查询、因特 网/内联网活动、Web业务中的一个或多个。推断的信息还可以包括 相似的用户、已经访问的计算机类型、从其他代理获知的信息(例如, 认证得分、登录/访问元数据等)。可以通过相似的离散信息(诸如部 门或地理位置)对相似的用户进行分组,也可以通过简档模型中的相 似性对相似的用户进行分组。
计算机简档也可以由本地代理120生成,或者在某些变型中,可 以由中央处理服务器130或本地代理120和中央处理服务器130的组 合生成。计算机简档可以例如通过空闲和活动信息来建立。空闲信息 可以包括操作系统类型,诸如服务器、工作站、交互式图形用户界面、 基于界面的命令行等。计算机简档还可以表征硬件类型(服务器、虚 拟机、便携式计算机、移动电话等)、已安装的应用或服务、网络内 的逻辑位置、计算机的地理位置、空闲时的网络业务简档(诸如DNS 活动和/或Internet/Intranet活动)中的一种或多种。
形成部分计算机简档的活动信息可以包括例如表征运行进程/服 务和性能特性、访问系统的用户类型及其对应的访问的频率、访问系 统的其他计算机的类型及其访问频率、和/或处于活动状态的网络业务 简档的信息。
现在参考图2的图示200,其还包括第二计算机(即,计算节点 等)210,第二计算机210包括代理220(类似于代理220)。当用户 希望从第一计算机110访问第二计算机210时,第一代理120向第二 代理220发送用户简档和认证得分。第二代理220可以基于本地保存的简档和从第一简档获取的信息(以及如果需要,从中央处理服务器 130获取的其他信息)执行简档比较。基于这样的比较,新的认证得 分可以由第二代理220生成。如果新的认证得分超过预定义阈值,则 第二代理220可以向第一代理120传送新信息。此后,第一代理120或第二代理220中的一个或多个可以采取行动来停止或限制用户对第 一计算机110或第二计算机210中的一个或多个的访问。这样的动作 可以包括阻止与第二计算机210的连接,重新认证用户(即,提示用 户再次提供他们的用户名/密码),和/或限制对第一计算机110和/或 第二计算机220中的一个或多个计算机上的某些资源的访问。然后, 可以由第一代理120或第二代理220向中央处理服务器130发送表征 所采取的动作的信息,诸如新调节的用户简档或其他参数。
如果认证得分不超过预定义阈值(指示用户的行为在预期的范围 内但仍然可疑),则可以采取各种动作。例如,可以在一段时间内启 用端点检测和响应系统(EDR)系统。EDR工具可以收集与将来可能 进行的取证调查以及与测量和建立短期更高保真度的用户简档模型 有关的信息,以供以后在系统中使用。示例EDR系统包括例如在以 下申请中描述的EDR系统:于2018年4月24日提交的标题为 “Endpoint Detection and Response SystemWith Endpoint-Based Artifact Storage”的美国专利申请序列号No.15/961,659、于2018年4 月24日提交的标题为“Endpoint Detection And Response System EventCharacterization Data Transfer”的美国专利申请序列号15/961,685、以 及于2018年1月4日提交的美国专利申请序列号15/862,067,这些申 请中的每个申请的内容在此通过引用全部并入。一旦启用了EDR系 统/功能,第二计算机210便可以经由相应的代理220、210与第一计 算机110通信。此外,第二代理220可以向中央处理服务器130发送 表征这种通信的数据,并且另外,EDR信息可以由第二代理220发送 到中央处理服务器130。
中央处理服务器130可以是从包括第一代理120和第二代理220 的网络环境/拓扑内的所有代理收集数据的一个或多个计算节点。如上 所述,收集的数据可以包括用户简档、计算机简档、将离散信息(诸 如来自活动目录或HRIS的外部信息)进行上下文关联的事件元数据、 认证得分和EDR生成的数据。另外,中央处理服务器130可以使企 业范围的用户和计算机信息相关。这样的相关信息可以用于建立用户 之间的关系并且创建用户类型,建立计算机之间的关系并且创建计算 机类型,建立用户/计算机类型对之间的关系。中央处理服务器130 还可以基于当前组织趋势(例如,用户对计算机或在该组织处创建的 新角色越来越熟练)周期性地重新计算用户和计算机简档模型,并且 将这种简档分发给对应的代理120、220。
使用各种收集的数据,中央处理服务器130可以计算各种关键特 征。这样的计算可以被用于基于规则的检测和告警。例如,如果将计 算机离散地确定为高价值资产,并且中央处理服务器确定具有特定的 计算的角色的用户是访问该系统的唯一用户,则可以设置规则以当来 自角色外部的用户何时尝试访问时进行告警。
另外,中央处理服务器130可以管理各种代理120、220,包括例 如(解释)以及更新存储在本地计算机110、210/代理120、220上的 模型。
在正常用户交互的一个示例中,用户最初登录其工作站(第一计 算机110)。工作站上的代理(第一代理120)可以确定用户活动与 简档(本地存储或从中央处理服务器130访问的)相匹配。基于这样 的信息,工作站上的代理(第一代理120)可以到中央处理服务器(服 务器130)的登录和简档增量(即,与用户简档/计算机简档和用户活 动的差异),计算认证得分和这样的得分以进行处理。
在另一示例中,其中存在受损的用户交互(诸如误用凭证、在计 算环境内未授权的横向移动等),用户最初登录到工作站(第一计算 机110)。网络钓鱼电子邮件会无意中地损害用户的利益,这会导致 启动或检测到一个或多个非典型/异常进程。可以重新计算认证得分 (例如,使用启动的进程作为由评分模型所使用的属性)。通过这样 的进程,攻击者会劫持用户的凭据,并且尝试通过进行非常规系统范 围内的更改(诸如创建计划任务)来建立持久性。然后重新计算认证 得分。随后,攻击者尝试从工作站(110)连接到用户通常登录的远 程服务器(第二计算机210)。远程服务器(第二计算机210)接收 更新的用户和/或计算机简档以及重新计算的认证得分。在这种情况 下,使用这种信息的代理(第二代理220)认为该登录是异常的,但 是不超过需要补救或其他动作的阈值。这样的确定可能是因为连接的 发起是未知的或者是不被期待的,但是对于该用户而言,到远程服务 器(210)的连接是正常的。
远程服务器(第二计算机210)可以报告到中央处理服务器(服 务器130)的登录事件和简档增量。如上所述,EDR系统可以开始收 集信息。然后,远程服务器(第二计算机210)可以基于EDR系统收 集的信息重新计算认证得分。随后,远程服务器(第二计算机210) 可以向工作站(第一计算机110)发送更新的简档增量和最后重新计 算的得分。此外,远程服务器(第二计算机210)可以向中央处理服 务器(服务器130)发送更新的简档增量和EDR信息。工作站(第一 计算机110)然后可以重新计算新的认证得分,该新认证得分例如可 以被用于确定是否停止或以其他方式限制在工作站(第一计算机110) 处的访问或者其他。
在又一示例中,其中还存在受损的用户交互(诸如误用凭证、计 算环境内未授权的横向移动等),用户最初登录到工作站(第一计算 机110)。网络钓鱼电子邮件会无意中地损害用户的利益,这会导致 启动或检测到一个或多个非典型/异常进程。可以重新计算认证得分 (例如,使用启动的进程作为由评分模型所使用的属性)。通过这样 的进程,攻击者会劫持用户的凭据。随后,攻击者尝试从工作站(110) 使用被盗的凭据连接到远程服务器(第二计算机210)。远程服务器 (第二计算机210)接收更新的用户和/或计算机简档以及重新计算的 认证得分。在这种情况下,使用这种信息的代理(第二代理220)认 为该登录足够异常以超过最大阈值。例如,这样的确定可以基于简档 和认证得分与所使用的凭证不匹配,用户或计算机简档没有历史表明 使用了这种登录凭证,和/或先前未在远程服务器(第二计算机210) 处使用凭证。结果,远程服务器(第二计算机210)可以放弃或断开 与工作站(第一计算机110)的连接。此外,远程服务器(第二计算 机210)可以向中央处理服务器(服务器130)和/或工作站(第一计 算机110)发送表征这种动作(即,断开连接等)的信息。工作站(第 一计算机110)然后可以重新计算认证得分,并且基于先前的事件, 该得分可以超过阈值,这又迫使用户重新认证(即,登录等)。
在内部威胁的示例中,用户最初登录到其工作站(第一计算机 110)。工作站(第一计算机110)确定用户活动与用户简档相匹配, 并且可以计算认证得分。工作站(第一计算机110)随后将登录和简 档增量转发到中央处理服务器(服务器130)以进行处理。此后,用户连接到非典型远程服务器(第二计算机210)。远程服务器(第二 计算机210)可以从工作站(第一计算机110)接收简档信息和当前 认证得分,并且确定连接异常但是不超过需要采取动作的阈值。在这 方面,异常可以基于例如异常(即,第一次)计算机/用户对和/或在 远程服务器(第二计算机210)上不存在相应的用户简档。在这种情 况下,远程服务器(第二计算机210)可以收集EDR信息,并且将其 发送到中央处理服务器(服务器130)和工作站(第一计算机110)。
图3是示出用于实现本文中描述的主题的示例架构的图300,其 中存在多个计算节点310,每个计算节点上执行有可以通过网络330 彼此通信的相应的代理320。此外,监测节点340(与中央处理服务 器130相对应)也可以具有相应代理350,并且可以经由其相应代理 320与所有节点310通信。
图4是过程流程图400,其中在410处,在计算环境内的多个节 点中的第一计算节点上认证用户的身份。之后,在420处,在第一计 算节点处使用至少一个机器学习模型来针对用户计算第一认证得分。 第一认证得分表征用户与第一计算节点的交互。例如,得分可以表征 相对于这种计算节点而言,用户的动作是典型的还是非典型的。在认 证之后,在430处,监测用户从第一计算节点到多个计算节点中的其 他计算节点的遍历。作为这种遍历的一部分,在440处,在每个节点 处使用在这样的节点上执行的相应的机器学习模型来计算认证得分。 这样的认证得分表征用户与对应的计算节点的交互。此外,相应的机 器学习模型使用在先前遍历的计算节点(即,第一计算节点、紧接在 前遍历的计算节点等)处计算的认证得分作为属性。在450处,在计 算节点之一处基于所计算的认证得分发起动作。
图5是示出用于实现本文中描述的各个方面的示例计算设备架构 的图500。总线504可以用作互连硬件的其他所示组件的信息高速公 路。被标记为CPU(中央处理单元)的处理系统508(例如,给定计 算机或多个计算机处的一个或多个计算机处理器/数据处理器)可以执 行执行程序所需要的计算和逻辑运算。非瞬态处理器可读存储介质 (诸如只读存储器(ROM)512和随机存取存储器(RAM)516)可 以与处理系统508通信,并且可以包括用于此处指定的操作的一个或 多个编程指令。可选地,程序指令可以存储在非暂态计算机可读存储 介质上,诸如磁盘、光盘、可记录存储设备、闪存或其他物理存储介 质。
在一个示例中,磁盘控制器548可以通过一个或多个可选磁盘驱 动器接口到系统总线504。这些磁盘驱动器可以是外部或内部软盘驱 动器(诸如560)、外部或内部CD-ROM、CD-R、CD-RW或DVD、 或固态驱动器(诸如552)、或外部或内部硬盘驱动器556。如先前 所指示的,这些各种磁盘驱动器552、556、560和磁盘控制器是可选 的设备。系统总线504还可以包括至少一个通信端口520以允许与物 理连接到计算系统或可以通过有线或无线网络从外部获取的外部设 备进行通信。在一些情况下,通信端口520包括或以其他方式包括网 络接口。
为了提供与用户的交互,本文中描述的主题可以在计算设备上被 实现,该计算设备具有用于经由显示接口514向用户显示从总线504 获取的信息的显示设备540(例如,CRT(阴极射线管)、OLED或 LCD(液晶显示器)显示器)和用户可以通过其向计算机提供输入的输入设备532(诸如键盘和/或指示设备(例如,鼠标或轨迹球)和/ 或触摸屏)。也可以使用其他种类的输入设备532来提供与用户的交 互;例如,提供给用户的反馈可以是任何形式的感觉反馈(例如,视 觉反馈、通过麦克风536的听觉反馈、或触觉反馈);并且来自用户 的输入可以以任何形式接收,包括声音、语音或触觉输入。输入设备 532和麦克风536可以通过输入设备接口528耦合到总线504并且经 由总线504传送信息。其他计算设备(诸如专用服务器)可以省略显 示器540和显示接口中514、输入设备532、麦克风536和输入设备 接口528中的一个或多个。
本文中描述的主题的一个或多个方面或特征可以在数字电子电 路、集成电路、专门设计的专用集成电路(ASIC)、现场可编程门阵 列(FPGA)计算机硬件、固件、软件、和/或其组合中实现。这些各 个方面或特征可以包括在一个或多个计算机程序中的实现,该程序可 以在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可 编程处理器可以是专用的或通用的,该可编程处理器被耦合以从存储 系统、至少一个输入设备和至少一个输出设备接收数据和指令以及向 其传输数据和指令。可编程系统或计算系统可以包括客户端和服务 器。客户端和服务器通常彼此远离,并且通常通过通信网络交互。客 户端和服务器之间的关系是通过在相应的计算机上运行并且彼此具 有客户端服务器关系的计算机程序产生的。
这些计算机程序(也可以称为程序、软件、软件应用、应用、组 件或代码)包括用于可编程处理器的机器指令,并且可以使用高级别 的过程语言、面向对象的编程语言、功能编程语言、逻辑编程语言和 /或汇编/机器语言来实现。如本文中使用的,术语“机器可读介质” 是指用于向可编程处理器提供机器指令和/或数据的任何计算机程序 产品、装置和/或设备,诸如磁盘、光盘、存储器和可编程逻辑器件 (PLD),包括接收机器指令作为机器可读信号的机器可读介质。术 语“机器可读信号”是指用于向可编程处理器提供机器指令和/或数据 的任何信号。机器可读介质可以非暂态地存储这样的机器指令,例如 非瞬态固态存储器或磁性硬盘驱动器或任何等效存储介质。机器可读 介质可以替代地或另外地以瞬态方式存储这种机器指令,例如处理器 高速缓存或与一个或多个物理处理器核相关联的其他随机存取存储 器。
为了提供与用户的交互,本文中描述的主题可以在计算机上被实 现,该计算机具有用于向用户显示信息的显示设备(例如,CRT(阴 极射线管)或LCD(液晶显示器)显示器)以及用户可以通过其向计 算机提供输入的键盘和指示设备(例如,鼠标或轨迹球)和/或触摸屏。 也可以使用其他类型的设备来提供与用户的交互;例如,提供给用户 的反馈可以是任何形式的感觉反馈(例如,视觉反馈、听觉反馈或触 觉反馈);并且来自用户的输入可以以任何形式接收,包括声音、语 音或触觉输入。
在以上描述和权利要求中,可以出现诸如“至少一个”或“一个 或多个”等短语,随后是元素或特征的组合列表。术语“和/或”还可 以出现在两个或更多个元素或特征的列表中。除非与使用该短语的上 下文隐含或显著矛盾,否则该短语旨在表示单独引用的任何元素或特 征、或者与其他任何引用的元素或特征组合使用的任何引用的元素或 特征。例如,短语“A和B中的至少一个”、“A和B中的一个或多 个”以及“A和/或B”分别旨在表示“仅A、仅B或A和B一起”。 类似的解释也适用于包括三个或更多个项目的列表。例如,短语“A、 B和C中的至少一个”、“A、B和C中的一个或多个”以及“A、B 和/或C”每个旨在表示“仅A、仅B、仅C、A和B一起、A和C一 起、B和C一起、或A和B和C一起”。另外,在上面和权利要求 中使用术语“基于”旨在表示“至少部分地基于”,从而也允许未引 用的特征或元素。
根据期望的配置,本文中描述的主题可以在系统、装置、方法和 /或制品中被实现。前述描述中阐述的实现并不代表与本文中描述的主 题相一致的所有实现。相反,它们仅是与与所描述的主题有关的方面 相一致的一些示例。尽管上面已经详细描述了一些变型,但是其他修 改或添加是可能的。特别地,除了本文中阐述的那些特征和/或变化之 外,还可以提供其他特征和/或变化。例如,上述实现可以针对所公开 的特征的各种组合和子组合、和/或以上公开的若干其他特征的组合和 子组合。另外,附图中描绘的和/或本文中描述的逻辑流程不一定需要 所示出的特定顺序或连续顺序来实现期望的结果。其他实现可以在所 附权利要求的范围内。
Claims (20)
1.一种计算机实现的方法,包括:
在计算环境内的多个节点中的第一计算节点上认证用户的身份;
在所述第一计算节点处,使用至少一个机器学习模型来针对所述用户计算第一认证得分,所述第一认证得分表征所述用户与所述第一计算节点的交互;
在所述认证之后,监测由所述用户从所述第一计算节点到所述多个计算节点中的其他计算节点的遍历;
在所述节点中的每个节点处,使用在这样的节点上执行的相应的机器学习模型来计算认证得分,所述认证得分表征所述用户与对应的所述计算节点的交互,其中所述相应的机器学习模型使用在先前遍历的计算节点处计算的认证得分作为属性;以及
在所述计算节点中的一个计算节点处,基于所计算的认证得分发起动作。
2.根据权利要求1所述的方法,其中所述动作包括:当所述认证得分中的一个认证得分超过预定义阈值时,断开所述用户与所述相应的计算节点之间的连接。
3.根据权利要求1所述的方法,其中所述动作包括:当所述认证得分中的一个认证得分超过第一预定义阈值但是在第二预定义阈值以下时,在所述计算节点中的一个计算节点处重新认证所述用户。
4.根据权利要求1所述的方法,还包括:
由所述计算节点中的每个计算节点,向中央处理服务器传输对应的所计算的认证得分。
5.根据权利要求4所述的方法,还包括:
由所述中央处理服务器,从先前遍历的计算节点向随后遍历的计算节点,传输至少一个认证得分。
6.根据权利要求1所述的方法,还包括:
在所述第一计算节点处,访问用于所述用户的用户简档;
标识所述用户简档与所述用户在所述第一计算节点上的当前活动之间的增量;
其中所计算的认证得分是基于所标识的增量的。
7.根据权利要求6所述的方法,其中所述用户简档表征在多个计算状态中的每个计算状态下的用户动作。
8.根据权利要求7所述的方法,其中所述状态从包括以下项的组中被选择:新启动的、交互式用户登录、非交互式用户登录、用户注销或用户会话锁定。
9.根据权利要求1所述的方法,还包括:
使用端点检测和响应系统来记录所述用户在所述计算节点中的一个计算节点处的活动;以及
向中央处理服务器传输数据,所述数据表征所记录的活动。
10.一种系统,包括:
至少一个数据处理器;以及
存储指令的存储器,所述指令在由所述至少一个数据处理器执行时,引起操作,所述操作包括:
在计算环境内的多个节点中的第一计算节点上认证用户的身份;
在所述第一计算节点处,使用至少一个机器学习模型来针对所述用户计算第一认证得分,所述第一认证得分表征所述用户与所述第一计算节点的交互;
在所述认证之后,监测由所述用户从所述第一计算节点到所述多个计算节点中的其他计算节点的遍历;
在所述节点中的每个节点处,使用在这样的节点上执行的相应的机器学习模型来计算认证得分,所述认证得分表征所述用户与对应的所述计算节点的交互,其中所述相应的机器学习模型使用在先前遍历的计算节点处计算的认证得分作为属性;以及
在所述计算节点中的一个计算节点处,基于所计算的认证得分发起动作。
11.根据权利要求10所述的系统,其中所述动作包括:当所述认证得分中的一个认证得分超过预定义阈值时,断开所述用户与对应的所述计算节点之间的连接。
12.根据权利要求10所述的系统,其中所述动作包括:当所述认证得分中的一个认证得分超过第一预定义阈值但是在第二预定义阈值以下时,在所述计算节点中的一个计算节点处重新认证所述用户。
13.根据权利要求10所述的系统,其中所述操作还包括:
由所述计算节点中的每个计算节点,向中央处理服务器传输对应的所计算的认证得分。
14.根据权利要求10所述的系统,还包括所述中央处理服务器。
15.根据权利要求14所述的系统,其中所述操作还包括:
由所述中央处理服务器,从先前遍历的计算节点向随后遍历的计算节点,传输至少一个认证得分。
16.根据权利要求10所述的系统,其中所述操作还包括:
在所述第一计算节点处,访问用于所述用户的用户简档;
标识所述用户简档与所述用户在所述第一计算节点上的当前活动之间的增量;
其中所计算的认证得分是基于所述标识的增量的。
17.根据权利要求16所述的系统,其中所述用户简档表征在多个计算状态中的每个计算状态下的用户动作。
18.根据权利要求17所述的系统,其中所述状态从包括以下项的组中被选择:新启动的、交互式用户登录、非交互式用户登录、用户注销或用户会话锁定。
19.根据权利要求10所述的系统,其中所述操作还包括:
使用端点检测和响应系统来记录所述用户在所述计算节点中的一个计算节点处的活动;以及
向中央处理服务器传输数据,所述数据表征所记录的活动。
20.一种计算机程序产品,非瞬态地存储指令,所述指令在由形成至少一个计算设备的一部分的至少一个数据处理器执行时,引起操作,所述操作包括:
在计算环境内的多个节点中的第一计算节点上认证用户的身份;
在所述第一计算节点处,使用至少一个机器学习模型来针对所述用户计算第一认证得分,所述第一认证得分表征所述用户与所述第一计算节点的交互;
在所述认证之后,监测由所述用户从所述第一计算节点到所述多个计算节点中的其他计算节点的遍历;
在所述节点中的每个节点处使用在这样的节点上执行的相应的机器学习模型来计算认证得分,所述认证得分表征所述用户与对应的所述计算节点的交互,其中所述相应的器学习模型使用在先前遍历的计算节点处计算的认证得分作为属性;以及
在所述计算节点中的一个计算节点处,基于所计算的认证得分发起动作。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/183,411 US11095642B2 (en) | 2018-11-07 | 2018-11-07 | Verifying user identity through human / computer interaction |
| US16/183,411 | 2018-11-07 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111159668A true CN111159668A (zh) | 2020-05-15 |
Family
ID=68470328
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911076515.9A Pending CN111159668A (zh) | 2018-11-07 | 2019-11-06 | 通过人机交互来验证用户身份 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US11095642B2 (zh) |
| EP (1) | EP3651037B1 (zh) |
| CN (1) | CN111159668A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117539566A (zh) * | 2023-10-18 | 2024-02-09 | 上海合芯数字科技有限公司 | 一种系统界面的展示方法及装置 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3516466B1 (en) * | 2016-09-21 | 2020-08-19 | Aperio Systems (2020) Ltd. | Method and system for detecting attacks on monitored physical systems |
| US11451532B2 (en) * | 2019-01-25 | 2022-09-20 | Dell Products L.P. | Behavioral biometrics and machine learning to secure website logins |
| US11218493B2 (en) * | 2019-05-31 | 2022-01-04 | Advanced New Technologies Co., Ltd. | Identity verification |
| US11303673B1 (en) | 2021-06-24 | 2022-04-12 | Airgap Networks Inc. | System and method for preventing lateral propagation of ransomware using a security appliance that functions as a DHCP relay on a shared network |
| US11722519B1 (en) | 2021-06-24 | 2023-08-08 | Airgap Networks Inc. | System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware |
| US11916957B1 (en) | 2021-06-24 | 2024-02-27 | Airgap Networks Inc. | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network |
| US11252183B1 (en) | 2021-06-24 | 2022-02-15 | Airgap Networks Inc. | System and method for ransomware lateral movement protection in on-prem and cloud data center environments |
| US11711396B1 (en) | 2021-06-24 | 2023-07-25 | Airgap Networks Inc. | Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11303669B1 (en) | 2021-06-24 | 2022-04-12 | Airgap Networks Inc. | System and method for tunneling endpoint traffic to the cloud for ransomware lateral movement protection |
| US11757933B1 (en) | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11374964B1 (en) | 2021-06-24 | 2022-06-28 | Airgap Networks Inc. | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints |
| US11757934B1 (en) | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11695799B1 (en) | 2021-06-24 | 2023-07-04 | Airgap Networks Inc. | System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11736520B1 (en) | 2021-06-24 | 2023-08-22 | Airgap Networks Inc. | Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11323474B1 (en) * | 2021-07-28 | 2022-05-03 | Airgap Networks, Inc. | System and method for determining endpoint compatibility with subnet prefix of all-ones for lateral propagation prevention of ransomware |
| IT202100019634A1 (it) * | 2021-07-23 | 2023-01-23 | Cleafy Spa | Metodo per confermare l’identità di un utente in una sessione di navigazione di un servizio online |
| US11985128B2 (en) * | 2021-08-19 | 2024-05-14 | International Business Machines Corporation | Device step-up authentication system |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516718A (zh) * | 2012-06-29 | 2014-01-15 | 微软公司 | 身份风险分数生成和实现 |
| US20150138068A1 (en) * | 2012-05-03 | 2015-05-21 | Georgia Tech Research Corporation | Methods, Controllers and Computer Program Products for Accessibility to Computing Devices |
| WO2016154948A1 (en) * | 2015-03-31 | 2016-10-06 | SZ DJI Technology Co., Ltd. | Authentication systems and methods for identification of authorized participants |
| CN106383735A (zh) * | 2016-09-21 | 2017-02-08 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实时监测云环境中虚拟机主机安全的系统及方法 |
| CN107004074A (zh) * | 2014-12-23 | 2017-08-01 | 英特尔公司 | 使用高级传感器监测来进行增强型用户认证的技术 |
| CN107077547A (zh) * | 2014-10-15 | 2017-08-18 | 高通股份有限公司 | 使用针对高效连续认证的行为分析的方法和系统 |
| US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
| US20180316704A1 (en) * | 2017-04-29 | 2018-11-01 | Splunk Inc. | Lateral movement detection through graph-based candidate selection |
| US20180316708A1 (en) * | 2017-04-26 | 2018-11-01 | Cylance Inc. | Endpoint Detection and Response System with Endpoint-based Artifact Storage |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4872875B2 (ja) | 2007-09-28 | 2012-02-08 | ブラザー工業株式会社 | ログ管理装置、及びログ管理プログラム |
| US10409980B2 (en) | 2012-12-27 | 2019-09-10 | Crowdstrike, Inc. | Real-time representation of security-relevant system state |
| US9924033B2 (en) * | 2014-10-23 | 2018-03-20 | Teletech Holdings, Inc. | Method for collecting data using a user interaction event-driven data collection system |
| US10015175B2 (en) * | 2015-04-16 | 2018-07-03 | Los Alamos National Security, Llc | Detecting anomalous behavior via user authentication graphs |
| US10439886B2 (en) * | 2015-07-13 | 2019-10-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Analytics-driven dynamic network design and configuration |
| US10289819B2 (en) * | 2015-08-12 | 2019-05-14 | Kryptowire LLC | Active authentication of users |
| WO2017210005A1 (en) * | 2016-05-31 | 2017-12-07 | University Of South Florida | Systems and methods for detecting attacks in big data systems |
| US10346605B2 (en) * | 2016-06-28 | 2019-07-09 | Paypal, Inc. | Visual data processing of response images for authentication |
| US11301550B2 (en) | 2016-09-07 | 2022-04-12 | Cylance Inc. | Computer user authentication using machine learning |
| US10073763B1 (en) * | 2017-12-27 | 2018-09-11 | Accenture Global Solutions Limited | Touchless testing platform |
| US10834084B2 (en) * | 2018-07-20 | 2020-11-10 | International Business Machines Corporation | Privileged identity authentication based on user behaviors |
| US11017100B2 (en) * | 2018-08-03 | 2021-05-25 | Verizon Patent And Licensing Inc. | Identity fraud risk engine platform |
-
2018
- 2018-11-07 US US16/183,411 patent/US11095642B2/en active Active
-
2019
- 2019-11-06 CN CN201911076515.9A patent/CN111159668A/zh active Pending
- 2019-11-06 EP EP19207370.8A patent/EP3651037B1/en active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20150138068A1 (en) * | 2012-05-03 | 2015-05-21 | Georgia Tech Research Corporation | Methods, Controllers and Computer Program Products for Accessibility to Computing Devices |
| CN103516718A (zh) * | 2012-06-29 | 2014-01-15 | 微软公司 | 身份风险分数生成和实现 |
| CN107077547A (zh) * | 2014-10-15 | 2017-08-18 | 高通股份有限公司 | 使用针对高效连续认证的行为分析的方法和系统 |
| CN107004074A (zh) * | 2014-12-23 | 2017-08-01 | 英特尔公司 | 使用高级传感器监测来进行增强型用户认证的技术 |
| WO2016154948A1 (en) * | 2015-03-31 | 2016-10-06 | SZ DJI Technology Co., Ltd. | Authentication systems and methods for identification of authorized participants |
| CN106383735A (zh) * | 2016-09-21 | 2017-02-08 | 中科信息安全共性技术国家工程研究中心有限公司 | 一种实时监测云环境中虚拟机主机安全的系统及方法 |
| US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
| US20180316708A1 (en) * | 2017-04-26 | 2018-11-01 | Cylance Inc. | Endpoint Detection and Response System with Endpoint-based Artifact Storage |
| US20180316704A1 (en) * | 2017-04-29 | 2018-11-01 | Splunk Inc. | Lateral movement detection through graph-based candidate selection |
Non-Patent Citations (2)
| Title |
|---|
| AHMED FAWAZ; ATUL BOHARA; CARMEN CHEH; WILLIAM H. SANDERS: "Lateral Movement Detection Using Distributed Data Fusion", 《 2016 IEEE 35TH SYMPOSIUM ON RELIABLE DISTRIBUTED SYSTEMS (SRDS)》, pages 1 - 10 * |
| ATUL BOHARA; MOHAMMAD A. NOUREDDINE; AHMED FAWAZ; WILLIAM H. SANDERS: "An Unsupervised Multi-Detector Approach for Identifying Malicious Lateral Movement", 《 2017 IEEE 36TH SYMPOSIUM ON RELIABLE DISTRIBUTED SYSTEMS (SRDS)》, pages 1 - 10 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117539566A (zh) * | 2023-10-18 | 2024-02-09 | 上海合芯数字科技有限公司 | 一种系统界面的展示方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11095642B2 (en) | 2021-08-17 |
| EP3651037B1 (en) | 2021-04-21 |
| US20200145416A1 (en) | 2020-05-07 |
| EP3651037A1 (en) | 2020-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3651037B1 (en) | Verifying user identity through human/computer interaction | |
| JP6754468B2 (ja) | セッションセキュリティ分割およびアプリケーションプロファイラ | |
| US11503043B2 (en) | System and method for providing an in-line and sniffer mode network based identity centric firewall | |
| US10542044B2 (en) | Authentication incident detection and management | |
| US20200076799A1 (en) | Device aware network communication management | |
| US10630676B2 (en) | Protecting against malicious discovery of account existence | |
| JP6804696B1 (ja) | ユーザ選択キー認証 | |
| US11895144B2 (en) | Systems and methods for network security | |
| CN110011953B (zh) | 阻止被盗密码再用 | |
| JP2022530288A (ja) | rootレベルアクセス攻撃を防止する方法および測定可能なSLAセキュリティおよびコンプライアンスプラットフォーム | |
| US9602505B1 (en) | Dynamic access control | |
| US20170324773A1 (en) | Creation of fictitious identities to obfuscate hacking of internal networks | |
| US20180004870A1 (en) | Artificial intelligence (ai) techniques for learning and modeling internal networks | |
| US20180337831A1 (en) | Client device tracking | |
| JP6341031B2 (ja) | アクセス制御プログラム、アクセス制御方法及び情報処理装置 | |
| US20210280325A1 (en) | Decentralized network protected iot query resolution | |
| US11126713B2 (en) | Detecting directory reconnaissance in a directory service | |
| US11223473B2 (en) | Client-driven shared secret updates for client authentication | |
| US11611533B1 (en) | Customized filtering of transmissions from a device | |
| US11328041B2 (en) | Computing system virtualization continuous authentication system | |
| Lin et al. | VNGuarder: An Internal Threat Detection Approach for Virtual Network in Cloud Computing Environment | |
| US20200334343A1 (en) | Monitoring access | |
| CN115766127A (zh) | 一种工控环境下cs类应用的单点登录方法及装置 | |
| CN118055157A (zh) | 服务调用方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |