CN112567709A - 使用异常检测增强安全性 - Google Patents
使用异常检测增强安全性 Download PDFInfo
- Publication number
- CN112567709A CN112567709A CN201980053143.XA CN201980053143A CN112567709A CN 112567709 A CN112567709 A CN 112567709A CN 201980053143 A CN201980053143 A CN 201980053143A CN 112567709 A CN112567709 A CN 112567709A
- Authority
- CN
- China
- Prior art keywords
- certificate
- credential
- computing system
- logic
- generate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
证书使用数据被生成,其标识哪些应用或过程使用哪些特定的证书。证书特定的使用模型基于证书使用数据而被生成,并且被用于检测证书的异常使用,并且被用于检测由先前尚未使用证书向计算系统认证其自身的应用或过程进行的证书的异常使用。
Description
背景技术
计算系统当前在广泛使用。一些计算系统包括数据中心。其他计算系统包括托管由用户或者其他计算系统访问的服务的主机计算系统。
在这样的计算系统中,对于应用或过程,使用证书向计算系统认证其自身以便其可以在该计算系统上执行操作并不罕见。证书是被用于证明公钥的所有权的电子文件。计算系统检验证书以确定其是否信任证书签发者。如果是,则其可以使用该钥来与应用或过程安全地通信。
然而,问题可能出现。如果证书被盗取或被复制,或者以其他方式被恶意获取,则获取证书的恶意的动作者可以在证书有效的任何环境中认证任何过程或应用。
上面的讨论仅提供一般背景信息,并且不旨在被用于协助确定所要求保护的主题的范围。
发明内容
证书使用数据被生成,其标识哪些过程或应用使用哪些证书。证书特定的使用模型基于证书使用数据而被生成,并且被用于检测由先前尚未使用证书向计算系统认证其自身的应用或过程做出的证书的异常使用。
提供本发明内容以用简化的形式介绍一些概念,这些概念将在下面的具体实施方式中被进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在被用于协助确定所要求保护的主题的范围。所要求保护的主题不限于解决背景技术中所提到的任何或所有劣势的实现。
附图说明
图1A和图1B(本文中统称为图1)示出了计算系统架构的一个示例的框图。
图2是流程图,其图示了图1中所图示的架构在生成和使用证书特定的使用模型来检测证书的异常使用中的总体操作的一个示例。
图3流程图,其更详细地图示了图1中所图示的架构在执行异常检测中的操作的一个示例。
图4示出了被部署在云计算架构中的图1中所图示的架构的一个示例。
图5-图7示出了可以使用在前述的附图中所示出的架构中的移动设备的示例。
图8是可以使用在前述的附图中所示出的架构中的计算环境的一个示例的框图。
具体实施方式
图1A和图1B(本文中统称为图1)示出了计算系统架构100的一个示例的框图。架构100图示性地包括计算系统102和计算系统104,以及一个或多个远程系统106。那些项可以直接地或者通过网络108彼此通信。网络108可以是多种不同类型的网络中的任何类型的网络,诸如广域网、局域网、近场通信网络、蜂窝通信网络、或者多种其他网络中的任何网络或网络的组合。
图1也示出了在一个示例中,计算系统104生成用户接口110用于由用户112进行的交互。用户112可以与用户接口110交互,以便控制和操纵计算系统104以及计算系统102的一些部分。
同样,在图1所示的示例中,计算系统102可以是数据中心或者托管可以计算系统104访问的服务的主机计算系统。因此,计算系统104可以包括过程或应用,该过程或应用向计算系统102认证其自身,以便在计算系统102上执行、或者与计算系统102一起执行某些处理步骤或与计算系统102交互。计算系统102因此跟踪哪些过程或应用使用哪些特定的证书向计算系统102认证其自身,并且基于该信息生成模型。其使用该模型来检测试图利用在计算系统102内有效的各种证书向计算系统102认证其自身的过程或应用中的任何异常。
在更详细地描述架构100的总体操作之前,将首先提供架构100中的项的一些项以及其操作的简要描述。
计算系统102图示性地包括处理器或服务器114、数据存储库116、过程/应用认证逻辑118、通信系统120、证书使用跟踪系统122、过程/证书模型生成系统124、证书使用异常检测系统126,并且计算系统102可以包括多种其他计算系统功能性128。数据存储库116其自身图示性地包括证书130,证书130在运行计算系统102上的机器上有效。数据存储库116也可以包括日志记录在计算系统102上被执行的各种事件的事件日志132,并且其可以包括主证书标识符134以及其他项136。主证书标识符134图示性地是以下主文件:该主文件标识在执行计算系统102的机器上有效的证书130中的所有证书。因此,证书130中的每个证书应当在主证书标识符134中被标识。如果证书130被存储在数据存储库116上,但是其未被包括在主证书标识符134中,则这可以指示该证书被恶意地放置在机器上。这在下文更详细地被描述。
过程/应用认证逻辑118图示性地执行认证试图在计算系统102上运行的应用或过程的步骤。因此,过程/应用认证逻辑118接收以下证书的标识:应用或过程正试图使用该证书来向逻辑118认证其自身。逻辑118检验该证书,并且,如果有效,则使用对应的钥与该应用或过程通信。术语应用和过程指的是试图向计算系统102验证其自身并且在计算系统102上运行(或者在计算系统102上执行操作)的代码或逻辑。本文中将可互换地使用这些术语。
通信系统120图示性地允许计算系统102中的项彼此通信,并且通信系统120允许计算系统102与计算系统104以及远程系统106通信。因此,通信系统120可以取决于网络108的类型而变化,通信系统120将通过网络108通信。
证书使用跟踪系统122图示性地包括过程/应用标识逻辑138、证书标识逻辑140、数据存储库142(其自身包括过程/证书使用数据144并且可以包括其他项146),并且证书使用跟踪系统122也可以包括其他项或功能性148。证书使用跟踪系统122跟踪哪些具体的过程或应用正使用哪些具体的证书130来向计算系统102认证其自身。因此,当应用试图使用逻辑118用具体的证书130验证其自身时,过程/应用标识逻辑138标识正在使用该证书的应用,并且证书标识逻辑140标识该过程或应用正在使用的具体的证书130。然后其在数据存储库142中存储过程/证书使用数据。该数据标识哪些过程或应用正在使用哪些证书来向计算系统102进行认证。
在另一个示例中,证书使用跟踪系统122可以访问事件日志132。事件日志132图示性地标识哪些过程或应用已经使用哪些具体的证书130向计算系统102认证其自身。因此,跟踪系统122可以实时或近实时地跟踪哪些过程或应用正在使用各种证书130向计算系统102认证其自身的信息。跟踪系统122也可以处理包含历史数据的事件日志132,该历史数据指示哪些具体的过程或应用已经使用哪些具体的证书向计算系统102认证其自身。可以由系统112使用这些或那些技术以便生成过程/证书使用数据144。
过程/证书模型生成系统124然后基于过程/证书使用数据144来生成证书使用模型。在一个示例中,过程/证书模型生成系统124包括稳定性标识逻辑150、模型生成器逻辑152、反馈/机器学习逻辑154,并且其可以包括多种其他信息156。稳定性标识逻辑150标识过程/证书使用数据144何时已经稳定,以使得稳定的模型可以被生成。例如,给定充足的数据收集时间阶段,使用具体的证书向计算系统102认证其自身的各种应用或过程将稳定(意为其将在阈值时间阶段保持不变,或者其将在该时间阶段之上非常缓慢地改变)。一旦数据已经稳定,使得稳定的过程/证书使用模型可以被生成,则模型生成器逻辑152生成表示具体的证书130的使用的模型。该模型将图示性地表示哪些过程或应用使用该证书来向计算系统102认证其自身,或者哪些过程或应用通常使用该证书。该模型也可以以其他方式表示使用数据。证书特定的使用模型然后向证书使用异常检测系统126被输出。
当证书的异常使用被检测到时,反馈/机器学习逻辑154被使用。其被提供有反馈信息,该反馈信息指示该检测是准确的还是不准确的。反馈可以是用户输入反馈或者其可以被自动地生成。反馈/机器学习逻辑154然后使用该反馈信息来增强稳定性标识逻辑150和模型生成器逻辑152的操作的准确性,以使得证书特定的使用模型也更准确。
证书使用异常检测系统126图示性地包括数据存储库158(其自身图示性地包括多个证书特定的使用模型160-162,其中一个具体的模型与每个证书130对应)、模型访问和应用逻辑164、新证书标识逻辑166、认证失败检测逻辑168、报警逻辑170,并且其可以包括其他项172。
证书特定的使用模型160-162图示性地(如上文所讨论的)是由系统124针对每个特定的证书130生成的模型。它们表示对应的证书的使用,以使得在向计算系统102认证其自身时已经被用于访问该证书的应用或过程在该模型中被标识和被表示。
模型访问和应用逻辑164图示性地接收以下指示:过程或应用正在试图使用具体的证书130使用认证逻辑118来向计算系统102认证其自身。模型访问和应用逻辑164然后访问针对该具体的证书130的证书特定的使用模型160-162,并且应用该模型以确定这是否是证书的异常使用。例如,使用针对证书的证书特定的使用模型,其确定当前的过程或应用之前是否曾经使用过该证书来成功地向计算系统102认证其自身。如果为否,则其生成证书使用异常信号,该证书使用异常信号指示这是证书的异常使用。
在一个示例中,异常也可以以其他方式被表示。新证书标识逻辑166也接收以下指示:过程或应用正在使用证书130来向计算系统102认证其自身。其访问主证书标识符134以确定正在被使用的证书是否在主证书标识符134中被标识(意为该证书是理应驻留在该机器上并且被用于认证的证书)。如果为否,则这指示新的证书130已经被添加到数据存储库116,但是该新的证书130未被包括在主证书标识符134中,并且这可以被标识为异常的使用。这可以表示以下场景:在该场景中,恶意的动作者已经以某种方式生成了证书并且将该证书放置在数据存储库116中,以使得其可以被用于在计算系统102上执行恶意的过程或应用。因此,指示这的新证书异常信号由逻辑166生成。
认证失败检测逻辑168从过程/应用认证逻辑118接收信号,该信号指示过程或应用已经试图使用证书130来向计算系统102认证其自身,但是该认证试图已经失败。这也可以指示异常的使用。以示例的方式,如果具体的过程或应用重复地试图使用具体的证书130或者多个不同的证书130向计算系统102认证其自身,则这可以指示恶意的动作者正在试图获得对计算系统102的访问。该重复的认证失败由认证失败检测逻辑168检测并且可以被用于标识恶意的或异常的活动。逻辑168因此生成指示这的认证失败异常信号。
当异常的使用活动被检测到时,报警逻辑170从逻辑164、166以及168接收信号,并且报警逻辑170生成警报。这些警报可以被生成为具有相同的紧急性,或者它们可以基于所检测到的异常使用的类型而被排名。报警逻辑170然后可以使用通信系统120来以所期望的方式传送该警报。例如,报警逻辑170可以生成对可以试图调查或停止异常使用的安保人员的自动化的电话呼叫或者蜂窝通信。其可以采取自动纠正或补救动作来纠正异常使用,诸如阻止正在试图认证或者正在计算系统102上执行的进程或应用。其可以生成电子邮件消息或文本消息,或者生成不同的警报,并且基于警报的紧急性、基于所检测到的异常使用的类型,或通过多种其他方式将它们向不同的实体发送。
计算系统104图示性地包括一个或多个处理器或服务器174、数据存储库176、过程或应用178、通信系统180、用户接口逻辑182,并且其可以包括多种其他计算系统功能性184。过程或应用178图示性地是以下过程或应用:该过程或应用访问计算系统102并且试图使用认证逻辑118用具体的证书130认证其自身,以使得其可以在计算系统102上执行或者在计算系统102上执行操作。通信系统180图示性地允许计算系统104中的项彼此通信以及通过网络108与计算系统102通信。用户接口逻辑182图示性地生成用户接口110并且检测与那些用户接口110进行的用户交互。其向计算系统104上的其他项和/或计算系统102传送用户交互的指示。
图2是更详细地图示架构100的操作的一个示例的流程图。首先假设主机系统102正在运行有由过程或应用访问的功能性,以便在计算系统102上执行或者在计算系统102上执行操作。这由图2的流程图中的框190指示。
证书使用跟踪系统122然后检测以下信息:该信息指示使用具体证书130向计算系统102验证其自身的过程或应用。这由框192指示。在一个示例中,系统122解析事件日志132以标识该类型的过程/证书使用数据144。由图2的流程图中的框194指示。在另一个示例中,过程/应用标识逻辑138以及证书标识逻辑140实时地或近实时地跟踪证书使用,以便生成过程/证书使用数据144。以这种方式的跟踪证书使用由图2的流程图中的框196指示。指示具体证书的过程/证书使用的信息也可以以其他方式完成,并且这由框198指示。
过程/证书模型生成系统124然后基于使用信息生成证书特定的使用模型。这由框200指示。在一个示例中,稳定性标识逻辑150控制系统124继续添加使用数据,直到模型或数据稳定为止。这由框202指示。模型生成器逻辑152然后生成模型,该模型指示历史证书-过程使用数据并且表示哪些过程或应用使用哪些证书向计算系统102认证其自身。这由框204指示。模型也可以以其他方式被生成,并且这由框206指示。一旦证书特定的使用模型被提供给证书使用异常检测系统126,系统126执行异常检测。这由框208指示。上文描述了异常检测的一些示例,并且下文关于图3更详细地描述了异常检测的一些示例。
当异常被检测到时,然后报警逻辑170基于所检测到的异常生成警报。这由框210指示。例如,其可以控制通信系统120向具体的实体或实体的群组发送自动化的消息。这由框212指示。其可以控制通信系统120来执行如上文所讨论的其他通信。这由框214指示。警报的类型可以基于所检测到的异常的严重性或者排名水平。这由框216指示。报警逻辑170可以自己或者使用其他计算系统功能性执行自动补救步骤以补救异常的使用。这由框218指示。例如,其可以阻止过程或应用执行。其可以阻止到正在使用过程或应用以在计算系统102上执行处理步骤的计算系统的连接,或者其可以以其他方式执行补救。报警逻辑270也可以执行其他步骤,并且这由框220指示。
在某一点,反馈/机器学习逻辑154检测反馈信息,该反馈信息指示由异常检测系统126检测到的一个或多个所检测到的异常的准确性。接收反馈由框224指示。反馈/机器学习逻辑154然后基于反馈来执行机器学习操作,以提高稳定性标识逻辑150、模型生成器逻辑152和/或证书特定的使用模型160-162的准确性。执行机器学习以提高异常检测的准确性由图2的流程图中的框226指示。
图3是流程图,该流程图更详细地图示了证书使用检测系统126的操作的一个示例。在一个示例中,模型访问和应用逻辑164检测到过程或应用正在试图使用证书在其上部署了计算系统102(或系统102正在被访问的部分)的机器上认证。这由图3的流程图中的框228指示。在一个示例中,其可以从过程/应用认证逻辑118接收信号,该信号标识正在试图使用具体的证书130来向计算系统102认证其自身的具体的应用或过程。新证书标识逻辑166然后确定正在由过程或应用使用的证书是否在用于该机器的主证书标识符文件134中。这由框230指示。如果否,则其向报警逻辑170提供指示这的新证书异常信号,报警逻辑170标识针对该情况的警报水平。这由框232指示。其然后使用所标识的警报水平生成近实时的警报。这由框234指示。如上文所讨论的,警报的类型和所采取的动作取决于警报水平、酿成警报的异常的活动的类型等。
如果,在框230处,新证书标识逻辑166发现正在被使用的证书的确在主证书标识符文件134中,则模型访问和应用逻辑164访问针对该具体证书的证书特定的使用模型160-162。这由图3的流程图中的框236指示。其应用该模型来确定这是否是针对该具体证书的异常的认证试图。例如,其使用模型来确定该具体的过程或应用之前是否已经使用该具体的证书来向计算系统102认证。确定这是否是异常的认证试图由图3的流程图中的框238指示。如果是,则逻辑164给报警逻辑170生成指示这的异常的使用信号。处理再次在框232处继续,其中报警逻辑170标识警报水平并且使用所标识的警报水平生成近实时的警报,如框234所指示。
如果,在框238处,由于该具体的应用或过程(在过去)已经使用该具体的证书来认证,模型访问和应用逻辑164确定针对该具体证书的证书特定的使用模型160-162指示这不是异常的使用,则认证失败检测逻辑168确定该具体的过程或应用是否正重复地使用该证书130或其他证书130认证并且失败。其可以通过从过程/应用认证逻辑118接收信号而进行这,该信号指示使用该证书的认证针对该过程或应用已经失败。如果存在针对该过程或应用的重复的认证失败,则逻辑168生成指示这的认证失败异常信号并且向报警逻辑170提供该认证失败异常信号。处理再次返回到框232,其中报警逻辑170接收信号并且标识警报水平,以及也返回到框234,其中报警逻辑170使用所标识的警报水平生成近实时的警报。确定是否存在重复的认证失败由框240指示。如果不存在这样的失败,则证书使用异常检测系统126尚未将该使用标识为异常。
因此,可以见到,本描述提供为使用其的计算系统大大增强的安全性。其自动地检测证书使用并且基于该使用生成模型,并且然后使用该模型标识来自潜在地鬼祟的动作者的使用。其生成报警信号,并且因此允许近实时地采取补救的步骤。由于计算系统的安全性被大大增强,这改善了计算系统自身。
将注意以上讨论已经描述了各种不同的系统、组件、和/或逻辑。将理解这样的系统、组件、和/或逻辑可以由硬件项组成(诸如处理器以及相关联的存储器、或者其他组件,其中一些在下文被描述),这些硬件项执行与那些系统、组件、和/或逻辑相关联的功能。另外,系统、组件、和/或逻辑可以由软件组成,该软件被加载到存储器中,并且随后由处理器或服务器、或者其他计算组件执行,如下文所描述。系统、组件、和/或逻辑也可以由硬件、软件、固件等的不同组合组成,其中一些示例在下文被描述。这些仅是可以被用于形成上文所描述的系统、组件、和/或逻辑的不同结构的一些示例。其他结构也可以被使用。
本讨论已经提及处理器和服务器。在一个执行例中,处理器和服务器包括具有相关联的存储器和计时电路的计算机处理器(未分开示出)。它们是其所属的系统或设备的功能性备份,并且由那些系统中的其他组件或项的功能性激活并且促进该功能性。
同样,已经讨论了若干用户接口显示。它们可以采取多种不同的形式并且具有被布置在其上的多种不同的用户可致动的输入机制。例如,用户可致动的输入机制可以是文本框、复选框、图标、链接、下拉菜单,搜索框等。它们也可以以多种不同的方式被致动。例如,它们可以使用指向和点击设备(诸如轨迹球或鼠标)而被致动。可以使用硬件按钮、开关、操纵杆或键盘、拇指开关或拇指板等来致动它们。也可以使用虚拟键盘或其他虚拟致动器来致动它们。另外,在显示它们的屏幕是触敏屏处,可以使用触摸手势来致动它们。同样,在显示它们的设备具有语音组件处,可以使用语音命令来致动它们。
也讨论了若干数据存储库。将注意,它们每个可以被分裂成多个数据存储库。所有数据存储库可以对访问它们的系统是本地的,所有数据存储库可以是远程的,或者一些数据存储库是本地的而另一些数据存储库是远程的。本文中考虑这些配置中的所有配置。
同样,附图示出了若干框,其具有归于每个框的功能性。将注意可以使用更少的框,因而功能性可以由更少的组件执行。同样,可以使用更多的框,其具有被分布在更多组件间的功能性。
图4是图1中所示出的架构100的框图,只是其元件被布置在云计算架构500中以外。云计算提供计算、软件、数据访问以及存储服务,这些服务不要求对传递服务的系统的物理位置或配置的终端用户知识。在各种执行例中,云计算使用适当的协议通过广域网(诸如互联网)传递服务。例如,云计算供应方通过广域网传递应用,并且它们可以通过web浏览器或者任何其他计算组件而被访问。架构100的软件或组件以及对应的数据可以被存储在远程位置处的服务器上。云计算环境中的计算资源可以在远程数据中心位置被合并,或者它们可以被分散。云计算基础设施可以通过共享的数据中心传递服务,尽管它们对于用户表现为访问的单个点。因此,本文中所描述的组件和功能可以从远程位置处的服务供应方使用云计算架构而被提供。备选地,它们可以从常规服务器而被提供,或者它们可以直接地或者以其他方式被安装在客户端设备上。
该描述旨在包括公有云计算和私有云计算两者。云计算(公有和私有两者)提供基本上无缝的资源的池,以及对管理和配置底层硬件基础设施的降低的需求。
公有云由供应商管理,并且通常支持多个用户使用相同的基础设施。同样,与私有云相反,公有云可以将终端用户从管理硬件释放出来。私有云可以由组织自身管理,并且基础设施通常不与其他组织共享。组织依然在一定程度上维护硬件,诸如安装以及修复等。
在图4中所示出的示例中,一些项与图1中所示出的那些类似,并且它们被类似地编号。图4特定地示出计算系统102以及远程系统106可以位于云502(云502可以是公有的、私有的、或者其中部分公有而其他部分私有的组合)中。因此,用户112可以使用包括计算系统104的设备504来通过云502访问那些系统502。
图4也描绘了云架构的另一个示例。图4示出了也考虑计算系统102的一些元件可以被布置在云502中而另一些元件不被布置在云502中。以示例的方式,数据存储库116、142以及158可以被布置在云502之外并且通过云502被访问。在另一个示例中,证书使用异常检测系统126或者其他项可以在云502之外。无论它们位于何处,它们都可以通过网络(要么广域网,要么局域网)被直接访问,它们可以通过服务被托管在远程站点处,或者它们可以被提供为通过云的服务、或者通过驻留在云中的连接服务被访问。本文中考虑这些架构中的所有架构。
将注意架构100或其部分可以被布置在在多种不同的设备上。这些设备包括服务器、台式计算机、膝上型计算机、平板计算机或者其他移动设备,诸如掌上型计算机、蜂窝电话、智能电话、多媒体播放器、个人数字助理等。
图5是手持式或移动计算设备的一个图示性示例的简化的框图,该手持式或移动计算设备可以作为用户的或客户端的手持式设备16而被使用,本系统(或其部分)可以被部署在其中。图6-图7是手持式或移动设备的示例。
图5提供客户端设备16的组件的一般框图,客户端设备16可以运行计算系统104的组件,或者与架构100交互,或者两者皆有。在设备16中提供通信链路13,通信链路13允许手持式设备与其他计算设备通信,并且在一些执行例下提供用于自动接收信息(诸如通过扫描)的信道。通信链路13的示例包括红外端口、串行/USB端口、电缆网络端口(诸如以太网端口)、以及允许通过一个或多个通信协议的通信的无线网络端口,该一个或多个通信协议包括通用分组无线服务(GPRS)、LTE、HSPA、HSPA+以及其他3G和4G无线电协议、1Xrtt、以及被用于提供对网络的蜂窝访问的无线服务短消息服务、以及802.11和802.11b(Wi-Fi)协议、以及提供对网络的本地无线连接的蓝牙协议。
在其他的示例中,应用或系统在被连接到SD卡接口15的可移除安全数字(SD)卡上被接收。SD卡接口15以及通信链路13与处理器17(其也可以体现来自先前附图的处理器或服务器)沿着总线19通信,总线19也被连接到存储器21和输入/输出(I/O)组件23、以及时钟25和位置系统27。
在一个示例中,提供I/O组件23以促进输入和输出操作。用于设备16的各种I/O组件23可以包括输入组件,诸如按钮、触摸传感器、多点触摸传感器、光学或视频传感器、语音传感器、触摸屏、邻近传感器、麦克风、倾斜传感器和重力开关,以及输出组件,诸如显示器设备、扬声器和/或打印机端口。其他I/O组件23也可以被使用。
时钟25图示性地包括输出时间和日期的实时时钟组件。其也可以,图示性地,提供用于处理器17的计时功能。
位置系统27图示性地包括输出设备16的当前地理位置的组件。这可以包括,例如,全球定位系统(GPS)接收器、LORAN系统、航位推算系统、蜂窝三角测量系统或者其他定位系统。其也可以包括,例如,生成所期望的地图、导航路线以及其他地理功能的地图制作软件或导航软件。
存储器21存储操作系统29、网络设置31、应用33、应用配置设置35、数据存储库37、通信驱动器39以及通信配置设置41。存储器21可以包括所有类型的有形的易失性和非易失性的计算机可读存储器设备。其也可以包括计算机存储介质(下文描述)。存储器21存储计算机可读指令,当该计算机可读指令由处理器17执行时,使处理器根据指令执行计算机实现的步骤或功能。处理器17也可以由其他组件激活以促进它们的功能性。
网络设置31的示例包括诸如代理信息、互联网连接信息以及映射的事项。应用配置设置35包括针对特定的企业或用户订制应用的设置。通信配置设置41提供用于与其他计算机通信的参数并且包括GPRS参数、SMS参数、连接用户名以及密码的项
应用33可以是先前已经被存储在设备16上的应用,或者在使用期间被安装的应用,不过这些也可以是操作系统29的部分或者被托管在设备16外部。
图6示出了一个示例,在其中设备16是平板计算机600。在图6中,计算机600被示出为具有被显示在显示器屏幕602上的用户接口显示。屏幕602可以是触摸屏(因此来自用户的手指的触摸手势可以被用于与应用交互)或者从笔或光笔接收输输入的启用笔的界面。当然,其也可以通过合适的附接机制(例如,诸如无线链路或者USP端口)而被附接到键盘或者其他用户输入设备。计算机600也同样可以图示性地接收语音输入。
图7示出了设备可以是智能电话71。智能电话71具有显示图标或瓦片或其他用户输入机制75的触敏显示器73。机制75可以由用户用于运行应用、进行呼叫、执行数据传输操作等。一般来说,智能电话71在移动操作系统上被构建并且比功能手机提供更先进的计算能力和连接性。
注意其他形式的设备16是可能的。
图8是计算环境的一个示例,架构100或其一部分(例如)可以被部署在该计算环境中。参考图8,用于实现一些示例的示例系统包括计算机810形式的通用计算设备。计算机810的组件可以包括但不限于处理单元820(其可以包括来自先前附图的处理器或服务器)、系统存储器830、以及将包括系统存储器的各种系统组件耦合到处理单元820的系统总线821。系统总线821可以是若干类型的总线结构中的任何总线结构,包括存储器总线或存储器控制器、外围总线以及使用各种总线架构中的任何架构的本地总线。作为示例而非限制,这样的架构包括工业标准架构(ISA)总线、微信道架构(MCA)总线、增强型ISA(EISA)总线、视频电子标准协会(VESA)本地总线、以及也称为夹层总线的外围组件互连(PCI)总线。关于图1所描述的存储器和程序可以被部署在图8的对应部分中。
计算机810通常包括各种计算机可读介质。计算机可读介质可以是可以由计算机810访问的任何可用介质,并且包括易失性和非易失性介质,可移除和不可移除介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质不同于并且不包括经调制的数据信号或载波。其包括硬件存储介质,该硬件存储介质包括以任何方法或技术而被实现的用于信息(诸如计算机可读指令、数据结构、程序模块或者其他数据)的存储的易失性和非易失性、可移除和不可移除的介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能磁盘(DVD)或其他光盘存储装置、盒式磁带、磁带、磁盘存储装置或其他磁存储设备、或者可以被用于存储所期望的信息并且可以由计算机810访问的任何其他介质。通信介质通常在传输机制中体现计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息传递媒体。术语“经调制的数据信号”意为以下信号:该信号使其特性中的一个或多个特性被设置或被改变,以这样的方式在信号中编码信息。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质,以及诸如声学、RF、红外和其他无线介质的无线介质。以上任何内容的组合也应当被包括在计算机可读介质的范围内。
系统存储器830包括易失性和/或非易失性存储器形式的计算机存储介质,诸如只读存储器(ROM)831和随机存取存储器(RAM)832。基本输入/输出系统833(BIOS)通常被存储在ROM 831中,基本输入/输出系统833(BIOS)包含帮助在计算机810内的元件之间传递信息(诸如在启动期间)的基本例程。RAM 832通常包含立即可访问和/或目前正在由处理单元820操作的数据和/或程序模块。作为示例而非限制,图8图示了操作系统834、应用程序835、其他程序模块836以及程序数据837。
计算机810也可以包括其他可移除/不可移除的易失性/非易失性计算机存储介质。仅作为示例,图8图示了读取或写入不可移除的非易失性磁性介质的硬盘驱动841、以及读取或写入可移除的非易失性光盘856(诸如CD ROM或其他光学介质)的光盘驱动855。可以在示例性操作环境中被使用的其他可移除/不可移除、易失性/非易失性计算机存储介质包括但不限于磁带盒、闪存卡、数字多功能磁盘、数字录像带、固态RAM、固态ROM等。硬盘驱动841通常通过不可移除的存储器接口(诸如接口840)而被连接到系统总线821,并且光盘驱动855通常通过可移除存储器接口(诸如接口850)而被连接到系统总线821。
替代地,或附加地,本文中所描述的功能可以至少部分地由一个或多个硬件逻辑组件执行。例如并且不限于,可以被使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、程序特定的集成电路(ASIC)、程序特定的标准产品(ASSP)、片上系统系统(SOC)、复杂可编程逻辑设备(CPLD)等。
上文所讨论并在图8中所图示的驱动以及其相关联的计算机存储介质提供用于计算机810的计算机可读指令、数据结构、程序模块以及其他数据的存储装置。在图8中,例如,硬盘驱动841被图示为存储操作系统844、应用程序845、其他程序模块846以及程序数据847。注意这些组件可以要么与操作系统834、应用程序835、其他程序模块836以及程序数据837相同,要么与它们不同。这里操作系统844、应用程序845、其他程序模块846以及程序数据847被给予不同的编号,以图示最少它们是不同的副本。
用户可以通过诸如键盘862、麦克风863以及指示设备861(诸如鼠标、轨迹球或触摸板)的输入设备向计算机810录入命令和信息。其他输入设备(未示出)可以包括操纵杆、游戏手柄、碟形卫星天线、扫描仪等。这些和其他输入设备经常通过被耦合到系统总线的用户输入接口860被连接到处理单元820,但是可以通过诸如并行端口、游戏端口或者通用串行总线(USB)的其他接口和总线结构连接而被连接。可视显示器891或者其他类型的显示设备也经由接口(诸如视频接口890)被连接到系统总线821。除了监视器以外,计算机也可以包括其他外围输出设备(诸如扬声器897和打印机896之类的),这些外围输出设备可以通过输出外围接口895而被连接。
使用到一个或多个远程计算机(诸如远程计算机880)的逻辑连接,计算机810在联网环境中被操作。远程计算机880可以是个人计算机、手持式设备、服务器、路由器、网络PC、对等设备或者其他常见网络节点,网络设备,对等设备或其他公共网络节点,并且通常包括上面相对于计算机810所描述的元素中的许多或所有元素。图8中所描绘的逻辑连接包括局域网(LAN)871和广域网(WAN)873,但是也可以包括其他网络。这种联网环境在办公室、企业范围的计算机网络、内网以及互联网中是常见的。
当在LAN联网环境中被使用时,计算机810通过网络接口或适配器870而被连接到LAN 871。当在WAN联网环境中被使用时,计算机810通常包括调制解调器872或者用于通过WAN 873(诸如互联网)建立通信的其他装置。可以是内部或外部的调制解调器872可以经由用户输入接口860或者其他适当的机制而被连接到系统总线821。在联网的环境中,相对于计算机810而被描绘的程序模块或其部分可以被存储在远程存储器存储设备中。作为示例而非限制,图8将远程应用程序885图示为驻留在远程计算机880上。将理解,所示出的网络连接是示例性的,并且在计算机之间建立通信链路的其他手段可以被使用。
应注意本文中所描述的不同的示例可以以不同的方式被组合。即是说,一个或多个示例的部分可以被与一个或多个其他示例的部分组合。本文中考虑这所有。
示例1是计算系统,包括:
证书使用跟踪系统,该证书使用跟踪系统检测使用证书向计算系统认证的一组过程并且生成过程/证书使用数据,该过程/证书使用数据标识该一组过程中的过程中的每个过程以及证书;
模型生成系统,该模型生成系统生成证书特定的使用模型,该证书特定的使用模型表示过程/证书使用数据;
证书使用异常检测系统,该证书使用异常检测系统检测给定的过程正在试图使用证书向计算系统认证,并且访问针对该证书的证书特定的使用模型以确定所试图的认证是否是异常的,并且,如果是异常的,则生成指示异常的所试图的认证的证书使用异常信号;以及
报警逻辑,该报警逻辑基于证书使用异常信号来生成警报控制信号,以生成近实时的警报。
示例2是先前的示例中的任何或所有示例的计算系统,其中证书使用异常检测系统包括:
新证书标识逻辑,该新证书标识逻辑被配置为访问标识针对计算系统的已授权的证书的主证书标识符文件,以确定证书是否在主证书标识符文件中被标识,并且,如果证书在主证书标识符文件中未被标识,则生成新证书异常信号并且向报警逻辑提供该新证书异常信号。
示例3是先前的示例中的任何或所有示例的计算系统,其中证书使用异常检测系统包括:
认证失败检测逻辑,该认证失败检测逻辑被配置为检测由过程进行的重复的认证失败,以及生成认证失败异常信号并且向报警逻辑提供该认证失败异常信号。
示例4是先前的示例中的任何或所有示例的计算系统,其中报警逻辑被配置为基于所接收的异常信号来生成针对异常的严重性水平。
示例5是先前的示例中的任何或所有示例的计算系统,其中报警逻辑被配置为基于严重性水平来生成警报控制信号,以生成不同的近实时警报。
示例6是先前的示例中的任何或所有示例的计算系统,其中报警逻辑被配置为响应于证书使用异常信号而执行自动化的补救过程。
示例7是先前的示例中的任何或所有示例的计算系统,其中证书使用跟踪系统包括:
过程标识逻辑,该过程标识逻辑被配置为在一组过程中的每个过程向计算系统认证时,近实时地标识该一组过程中的每个过程;以及
证书标识逻辑,该证书标识逻辑被配置为近实时地标识该一组过程中的每个过程用于向计算系统认证的证书。
示例8是先前的示例中的任何或所有示例的计算系统,其中证书使用跟踪系统被配置为通过访问一组事件日志来生成过程/证书使用数据以及解析该一组事件日志,该一组事件日志指示哪些过程使用哪些证书向计算系统认证。
示例9是先前的示例中的任何或所有示例的计算系统,其中模型生成系统包括:
稳定性标识逻辑,该稳定性标识逻辑被配置为检测对过程/证书使用数据的改变以确定过程/证书使用数据的稳定性,以及生成稳定性信号,该稳定性信号指示所检测到的稳定性。
示例10是先前的示例中的任何或所有示例的计算系统,其中模型生成系统包括:
模型生成器逻辑,该模型生成器逻辑被配置为当稳定性信号指示阈值水平的稳定性时,生成证书特定的使用模型。
示例11是先前的示例中的任何或所有示例的计算系统,其中模型生成系统包括:
反馈/机器学习逻辑,该反馈/机器学习逻辑被配置为接收指示证书使用异常检测系统的准确性的反馈数据,以及执行机器学习以改进证书使用异常检测系统的准确性。
示例12是计算机实现的方法,包括:
检测使用证书向计算系统认证的一组过程;
生成过程/证书使用数据,该过程/证书使用数据标识该一组过程中的过程中的每个过程以及证书;
生成表示过程/证书使用数据证书特定的使用模型;
检测给定的过程正在试图使用证书向计算系统认证;
访问针对该证书的证书特定的使用模型以确定所试图的认证是否是异常的;
如果是这样,则生成指示异常的所试图的认证的证书使用异常信号;以及
基于证书使用异常信号来生成警报控制信号,以生成近实时的警报。
示例13是先前的示例中的任何或所有示例的计算机实现的方法,并且还包括:
访问标识针对计算系统的已授权的证书的主证书标识符文件,以确定证书是否在主证书标识符文件中被标识;
如果否,则生成新证书异常信号;并且
向报警逻辑提供该新证书异常信号。
示例14是先前的示例中的任何或所有示例的计算机实现的方法并且还包括:
检测由给定过程进行的重复的认证失败;
生成认证失败异常信号;以及
向报警逻辑提供该认证失败异常信号。
示例15是先前的示例中的任何或所有示例的计算机实现的方法,其中生成警报控制信号包括:
基于所接收的异常信号来生成针对异常的严重性水平;以及
基于严重性水平生成警报控制信号,以生成不同的近实时警报。
示例16是先前的示例中的任何或所有示例的计算机实现的方法,并且还包括:
响应于证书使用异常信号而执行自动化的补救过程。
示例17是先前的示例中的任何或所有示例的计算机实现的方法,其中生成过程/证书使用数据包括:
在一组过程中的每个过程向计算系统认证时,近实时地标识该一组过程中的每个过程;以及
近实时地标识该一组过程中的每个过程用于向计算系统认证的证书。
示例18是先前的示例中的任何或所有示例的计算机实现的方法,其中生成过程/证书使用数据包括:
通过访问一组事件日志,该一组事件日志指示哪些过程使用哪些证书向计算系统认证;以及
解析该一组事件日志。
示例19是先前的示例中的任何或所有示例的计算机实现的方法并且还包括:
接收指示证书使用异常检测系统的准确性的反馈数据;以及
执行机器学习以改进证书使用异常检测系统的准确性。
示例20是计算系统,包括:
处理器;
证书使用跟踪系统,该证书使用跟踪系统检测使用证书向计算系统认证的一组过程并且生成过程/证书使用数据,该过程/证书使用数据标识该一组过程中的过程中的每个过程以及证书;
模型生成系统,该模型生成系统生成证书特定的使用模型,该证书特定的使用模型表示过程/证书使用数据;
证书使用异常检测系统,该证书使用异常检测系统检测给定的过程正在试图使用证书向计算系统认证,并且访问针对该证书的证书特定的使用模型以确定所试图的认证是否是异常的,并且,如果是这样,则生成指示异常的所试图的认证的证书使用异常信号;
新证书标识逻辑,该新证书标识逻辑被配置为访问标识针对计算系统已授权的证书的主证书标识符文件,以确定证书是否在主证书标识符文件中被标识,并且,如果否,则生成新证书异常信号并且向报警逻辑提供该新证书异常信号;
认证失败检测逻辑,该认证失败检测逻辑被配置为检测由过程进行的重复的认证失败,以及生成认证失败异常信号并且向报警逻辑提供该认证失败异常信号;以及
报警逻辑,该报警逻辑基于证书使用异常信号、新证书异常信号以及认证失败异常信号来生成警报排名,并且基于该警报排名生成警报控制信号以生成近实时的警报。
尽管已经用特定于结构化特征和/或方法论的动作的语言描述了主题,但是应理解,权利要求书中所限定的主题不一定限于上文中所描述的特定特征或动作。确切地说,上文中所描述的特定特征和动作更多是作为实现权利要求的示例形式而被公开。
Claims (15)
1.一种计算系统,包括:
证书使用跟踪系统,所述证书使用跟踪系统检测使用证书向所述计算系统认证的一组过程并且生成过程/证书使用数据,所述过程/证书使用数据标识所述一组过程中的过程中的每个过程以及所述证书;
模型生成系统,所述模型生成系统生成证书特定的使用模型,所述证书特定的使用模型表示所述过程/证书使用数据;
证书使用异常检测系统,所述证书使用异常检测系统检测给定的过程正在试图使用所述证书向所述计算系统认证,并且访问针对所述证书的所述证书特定的使用模型以确定所试图的所述认证是否是异常的,并且,如果所试图的所述认证是是异常的,生成指示异常的所试图的所述认证的证书使用异常信号;以及
报警逻辑,所述报警逻辑基于证书使用异常信号来生成警报控制信号,以生成近实时的警报。
2.根据权利要求1所述的计算系统,其中所述证书使用异常检测系统包括:
新证书标识逻辑,被配置为访问主证书标识符文件以确定所述证书是否在所述主证书标识符文件中被标识,所述主证书标识符文件标识针对所述计算系统的已授权的证书,并且,如果所述证书在所述主证书标识符文件中未被标识,所述新证书标识逻辑生成新证书异常信号并且向所述报警逻辑提供所述新证书异常信号。
3.根据权利要求2所述的计算系统,其中所述证书使用异常检测系统包括:
认证失败检测逻辑,被配置为检测由所述过程进行的重复的认证失败,以及生成认证失败异常信号并且向所述报警逻辑提供所述认证失败异常信号。
4.根据权利要求3所述的计算系统,其中所述报警逻辑被配置为基于所接收的所述异常信号来生成针对异常的严重性水平。
5.根据权利要求4所述的计算系统,其中所述报警逻辑被配置为基于所述严重性水平来生成所述警报控制信号,以生成不同的近实时警报。
6.根据权利要求1所述的计算系统,其中所述报警逻辑被配置为响应于所述证书使用异常信号而执行自动化的补救过程。
7.根据权利要求1所述的计算系统,其中所述证书使用跟踪系统包括:
过程标识逻辑,被配置为在所述一组过程中的每个过程向所述计算系统认证时,近实时地标识所述一组过程中的每个过程;以及
证书标识逻辑,被配置为近实时地标识所述一组过程中的每个过程用于向所述计算系统认证的所述证书。
8.根据权利要求1所述的计算系统,其中所述证书使用跟踪系统被配置为通过访问一组事件日志来生成所述过程/证书使用数据,并且被配置为解析所述一组事件日志,所述一组事件日志指示哪些过程使用哪些证书向所述计算系统认证。
9.根据权利要求1所述的计算系统,其中所述模型生成系统包括:
稳定性标识逻辑,被配置为检测对所述过程/证书使用数据的改变以确定所述过程/证书使用数据的稳定性,并且被配置为生成稳定性信号,所述稳定性信号指示所检测到的所述稳定性。
10.根据权利要求9所述的计算系统,其中所述模型生成系统包括:
模型生成器逻辑,被配置为当所述稳定性信号指示阈值水平的稳定性时,生成所述证书特定的使用模型。
11.根据权利要求1所述的计算系统,其中所述模型生成系统包括:
反馈/机器学习逻辑,被配置为接收指示所述证书使用异常检测系统的准确性的反馈数据,以及执行机器学习以改进所述证书使用异常检测系统的准确性。
12.一种计算机实现的方法,包括:
检测使用证书向计算系统认证的一组过程;
生成过程/证书使用数据,所述过程/证书使用数据标识所述一组过程中的过程中的每个过程以及所述证书;
生成表示所述过程/证书使用数据的证书特定的使用模型;
检测给定的过程正在试图使用所述证书向所述计算系统认证;
访问针对所述证书的所述证书特定的使用模型以确定所试图的所述认证是否是异常的;
如果所试图的所述认证是异常的,则生成指示异常的所试图的所述认证的证书使用异常信号;并且
基于所述证书使用异常信号来生成警报控制信号,以生成近实时的警报。
13.根据权利要求12所述的计算机实现的方法,还包括:
访问主证书标识符文件以确定所述证书是否在所述主证书标识符文件中被标识,所述主证书标识符文件标识针对所述计算系统的已授权的证书;
如果所述证书在所述主证书标识符文件中未被标识,则生成新证书异常信号;并且
向所述报警逻辑提供所述新证书异常信号。
14.根据权利要求13所述的计算机实现的方法,还包括:
检测由所述给定的过程进行的重复的认证失败;
生成认证失败异常信号;以及
向所述报警逻辑提供所述认证失败异常信号。
15.一种计算系统,包括:
处理器;
证书使用跟踪系统,所述证书使用跟踪系统检测使用证书向所述计算系统认证的一组过程并且生成过程/证书使用数据,所述过程/证书使用数据标识所述一组过程中的过程中的每个过程以及所述证书;
模型生成系统,所述模型生成系统生成证书特定的使用模型,所述证书特定的使用模型表示所述过程/证书使用数据;
证书使用异常检测系统,所述证书使用异常检测系统检测给定的过程正在试图使用所述证书向所述计算系统认证,并且访问针对所述证书的所述证书特定的使用模型以确定所试图的所述认证是否是异常的,并且,如果所试图的所述认证是异常的,则生成指示异常的所试图的所述认证的证书使用异常信号;
新证书标识逻辑,被配置为访问主证书标识符文件以确定所述证书是否在所述主证书标识符文件中被标识,所述主证书标识符文件标识针对所述计算系统的已授权的证书,并且,如果所述证书在所述主证书标识符文件中未被标识,则生成新证书异常信号并且向所述报警逻辑提供所述新证书异常信号;
认证失败检测逻辑,被配置为检测由所述过程进行的重复的认证失败,以及生成认证失败异常信号并且向所述报警逻辑提供所述认证失败异常信号;以及
报警逻辑,所述报警逻辑基于所述证书使用异常信号、所述新证书异常信号以及所述认证失败异常信号来生成警报排名,并且基于所述警报排名生成警报控制信号以生成近实时的警报。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/058,309 | 2018-08-08 | ||
| US16/058,309 US11017076B2 (en) | 2018-08-08 | 2018-08-08 | Enhancing security using anomaly detection |
| PCT/US2019/038827 WO2020033061A1 (en) | 2018-08-08 | 2019-06-25 | Enhancing security using anomaly detection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112567709A true CN112567709A (zh) | 2021-03-26 |
| CN112567709B CN112567709B (zh) | 2023-07-28 |
Family
ID=67220881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980053143.XA Active CN112567709B (zh) | 2018-08-08 | 2019-06-25 | 使用异常检测增强安全性 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11017076B2 (zh) |
| EP (1) | EP3818674B1 (zh) |
| CN (1) | CN112567709B (zh) |
| WO (1) | WO2020033061A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210336947A1 (en) * | 2020-04-27 | 2021-10-28 | Microsoft Technology Licensing, Llc | Rogue certificate detection |
| US20220214948A1 (en) * | 2021-01-06 | 2022-07-07 | Kyndryl, Inc. | Unsupervised log data anomaly detection |
| US11902271B2 (en) | 2021-04-07 | 2024-02-13 | EMC IP Holding Company LLC | Two-way secure channels between multiple services across service groups |
| US11595358B2 (en) * | 2021-04-07 | 2023-02-28 | EMC IP Holding Company LLC | Two-way secure channels with certification by one party |
| US20230195863A1 (en) * | 2021-12-21 | 2023-06-22 | Microsoft Technology Licensing, Llc | Application identity account compromise detection |
| WO2023200904A1 (en) * | 2022-04-14 | 2023-10-19 | Emory University | Devices, systems and methods for securing communication integrity |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101038612A (zh) * | 2006-03-15 | 2007-09-19 | 三星电子株式会社 | 产生证书的方法以及使用证书提供内容的方法和设备 |
| CN103299594A (zh) * | 2010-07-21 | 2013-09-11 | 思杰系统有限公司 | 用于可扩展的认证框架的系统和方法 |
| US20150180894A1 (en) * | 2013-12-19 | 2015-06-25 | Microsoft Corporation | Detecting anomalous activity from accounts of an online service |
| CN105052108A (zh) * | 2013-03-14 | 2015-11-11 | 微软技术许可有限责任公司 | 自动欺骗性数字证书检测 |
| US20160344768A1 (en) * | 2015-05-20 | 2016-11-24 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
| CN107278306A (zh) * | 2014-12-30 | 2017-10-20 | 威斯科数据安全国际有限公司 | 基于个人访问历史的用户认证 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6292842B1 (en) | 1998-08-28 | 2001-09-18 | Hewlett-Packard Company | Method for transferring data to an application |
| US6965881B1 (en) | 2000-04-24 | 2005-11-15 | Intel Corporation | Digital credential usage reporting |
| US6944772B2 (en) | 2001-12-26 | 2005-09-13 | D'mitri Dozortsev | System and method of enforcing executable code identity verification over the network |
| US20040015539A1 (en) | 2002-07-16 | 2004-01-22 | Andrew Alegria | Content exporting from one application to another |
| US7373603B1 (en) | 2003-09-18 | 2008-05-13 | Microsoft Corporation | Method and system for providing data reference information |
| CN1930746B (zh) | 2004-03-12 | 2010-12-22 | 泛达公司 | 减小电连接器中串扰的方法及装置 |
| US8161547B1 (en) * | 2004-03-22 | 2012-04-17 | Cisco Technology, Inc. | Monitoring traffic to provide enhanced network security |
| US20050246353A1 (en) | 2004-05-03 | 2005-11-03 | Yoav Ezer | Automated transformation of unstructured data |
| US8468441B2 (en) | 2005-09-15 | 2013-06-18 | Microsoft Corporation | Cross-application support of charts |
| US20100218171A1 (en) | 2009-02-26 | 2010-08-26 | Computer Measurement Laboratory, Inc. | Computer bus monitoring for the adaptive control of executing software processes |
| US8949597B1 (en) | 2009-12-22 | 2015-02-03 | Sprint Communications Company L.P. | Managing certificates on a mobile device |
| US9288228B2 (en) * | 2011-08-05 | 2016-03-15 | Nokia Technologies Oy | Method, apparatus, and computer program product for connection setup in device-to-device communication |
| US8839251B2 (en) | 2012-03-02 | 2014-09-16 | International Business Machines Corporation | Automating sequential cross-application data transfer operations |
| US9038138B2 (en) * | 2012-09-10 | 2015-05-19 | Adobe Systems Incorporated | Device token protocol for authorization and persistent authentication shared across applications |
| RU2514138C1 (ru) | 2012-09-28 | 2014-04-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине" |
| US9419989B2 (en) * | 2014-12-15 | 2016-08-16 | Sophos Limited | Threat detection using URL cache hits |
| GB2534556B (en) | 2015-01-21 | 2019-12-25 | F Secure Corp | Preventing misuse of code signing certificates |
| US9854425B2 (en) * | 2015-06-16 | 2017-12-26 | Google Inc. | Remote alarm hushing |
| US10771260B2 (en) * | 2015-06-16 | 2020-09-08 | Vellitas Llc | Systems and methods for digital certificate security |
| US10432610B2 (en) | 2015-06-30 | 2019-10-01 | Vmware, Inc. | Automated monitoring and managing of certificates |
| US9462010B1 (en) * | 2015-07-07 | 2016-10-04 | Accenture Global Services Limited | Threat assessment level determination and remediation for a cloud-based multi-layer security architecture |
| US10437831B2 (en) * | 2015-10-29 | 2019-10-08 | EMC IP Holding Company LLC | Identifying insider-threat security incidents via recursive anomaly detection of user behavior |
| US9928155B2 (en) * | 2015-11-18 | 2018-03-27 | Nec Corporation | Automated anomaly detection service on heterogeneous log streams |
| US10375095B1 (en) * | 2015-11-20 | 2019-08-06 | Triad National Security, Llc | Modeling behavior in a network using event logs |
| US11301550B2 (en) * | 2016-09-07 | 2022-04-12 | Cylance Inc. | Computer user authentication using machine learning |
| US10769267B1 (en) * | 2016-09-14 | 2020-09-08 | Ca, Inc. | Systems and methods for controlling access to credentials |
| US10250587B2 (en) | 2016-09-30 | 2019-04-02 | Microsoft Technology Licensing, Llc | Detecting malicious usage of certificates |
| US20180124082A1 (en) * | 2016-10-20 | 2018-05-03 | New York University | Classifying logins, for example as benign or malicious logins, in private networks such as enterprise networks for example |
| US10878428B1 (en) * | 2017-05-09 | 2020-12-29 | United Services Automobile Association (Usaa) | Systems and methods for generation of alerts based on fraudulent network activity |
| US11074256B2 (en) * | 2018-03-30 | 2021-07-27 | Microsoft Technology Licensing, Llc | Learning optimizer for shared cloud |
| US10574512B1 (en) * | 2018-09-04 | 2020-02-25 | Cisco Technology, Inc. | Deep learning architecture for collaborative anomaly detection and explanation |
-
2018
- 2018-08-08 US US16/058,309 patent/US11017076B2/en active Active
-
2019
- 2019-06-25 EP EP19737640.3A patent/EP3818674B1/en active Active
- 2019-06-25 WO PCT/US2019/038827 patent/WO2020033061A1/en unknown
- 2019-06-25 CN CN201980053143.XA patent/CN112567709B/zh active Active
-
2021
- 2021-04-22 US US17/237,150 patent/US20210312040A1/en active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101038612A (zh) * | 2006-03-15 | 2007-09-19 | 三星电子株式会社 | 产生证书的方法以及使用证书提供内容的方法和设备 |
| CN103299594A (zh) * | 2010-07-21 | 2013-09-11 | 思杰系统有限公司 | 用于可扩展的认证框架的系统和方法 |
| CN105052108A (zh) * | 2013-03-14 | 2015-11-11 | 微软技术许可有限责任公司 | 自动欺骗性数字证书检测 |
| US20150180894A1 (en) * | 2013-12-19 | 2015-06-25 | Microsoft Corporation | Detecting anomalous activity from accounts of an online service |
| CN107278306A (zh) * | 2014-12-30 | 2017-10-20 | 威斯科数据安全国际有限公司 | 基于个人访问历史的用户认证 |
| US20160344768A1 (en) * | 2015-05-20 | 2016-11-24 | Cisco Technology, Inc. | Intrusion detection to prevent impersonation attacks in computer networks |
Also Published As
| Publication number | Publication date |
|---|---|
| US11017076B2 (en) | 2021-05-25 |
| EP3818674A1 (en) | 2021-05-12 |
| WO2020033061A1 (en) | 2020-02-13 |
| US20200050759A1 (en) | 2020-02-13 |
| EP3818674B1 (en) | 2024-05-15 |
| CN112567709B (zh) | 2023-07-28 |
| US20210312040A1 (en) | 2021-10-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112567709B (zh) | 使用异常检测增强安全性 | |
| EP3685295B1 (en) | Detection and identification of targeted attacks on a computing system | |
| US9626240B2 (en) | Adaptive application logger | |
| US10547616B2 (en) | Systems and methods for supporting information security and sub-system operational protocol conformance | |
| US10380590B2 (en) | Transaction authentication based on metadata | |
| KR102416855B1 (ko) | 보안 동작을 수행하기 위한 사용자 디바이스의 보안 프로비저닝을 위한 퀵 리스폰스(qr) 코드 | |
| EP3566141B1 (en) | Integrated application issue detection and correction control | |
| EP3272093B1 (en) | Method and system for anti-phishing using smart images | |
| US20230251920A1 (en) | Detecting datacenter mass outage with near real-time/offline using ml models | |
| US20160274736A1 (en) | Synchronized multi-window interaction with hierarchical data on thin-client | |
| US10742642B2 (en) | User authentication based on predictive applications | |
| WO2023132997A1 (en) | Quorum-based authorization | |
| US20200379838A1 (en) | Remote recovery and support using chat messages | |
| US20230121470A1 (en) | Preventing phishing attempts of one-time passwords |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |