CN112640388A - 计算机网络中的可疑活动检测 - Google Patents

计算机网络中的可疑活动检测 Download PDF

Info

Publication number
CN112640388A
CN112640388A CN201980057418.7A CN201980057418A CN112640388A CN 112640388 A CN112640388 A CN 112640388A CN 201980057418 A CN201980057418 A CN 201980057418A CN 112640388 A CN112640388 A CN 112640388A
Authority
CN
China
Prior art keywords
user
determining
email address
processor
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980057418.7A
Other languages
English (en)
Other versions
CN112640388B (zh
Inventor
成哲
N.索里奥尔
B.K.马丁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN112640388A publication Critical patent/CN112640388A/zh
Application granted granted Critical
Publication of CN112640388B publication Critical patent/CN112640388B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

描述了对可疑用户进行分类的方法和系统。处理器可以确定请求访问网络的用户的电子邮件地址的域名是否有效。如果域名无效,则处理器可以将用户分类为可疑用户。如果域名有效,则处理器可以确定电子邮件地址是脚本生成的电子邮件地址的可能性。如果电子邮件地址可能是脚本生成的电子邮件地址,则处理器可以将用户分类为可疑用户。如果电子邮件地址不可能是脚本生成的电子邮件地址,则处理器可以基于参考模型来识别用户表现的异常使用行为。如果识别到异常使用行为,则处理器可以将用户分类为可疑用户,并且可以拒绝来自用户的访问网络的后续请求。

Description

计算机网络中的可疑活动检测
技术领域
本申请总体上涉及计算机和计算机应用,并且更具体地涉及与网络安全和计算机网络相关的计算机实现的方法和系统。
背景技术
网络(如云计算平台)可以向多个用户提供产品或服务。在一些示例使用环境中,如免费试用期、或使用免费增值模型的应用,网络可以提供产品或服务,而无需用户提供特定用户信息,如支付信息、信用信息、或其他用户特定信息。如果在这样的使用环境期间在网络上发生攻击,则安全系统可能难以跟踪对特定用户或攻击源的攻击,因为可能没有与网络的用户相关联的足够的用户特定信息。
发明内容
在一些示例中,总体上描述了一种对网络的可疑用户进行分类的方法。在一个方面,该方法包括由处理器接收请求访问网络的用户的用户配置文件,其中用户配置文件至少包括电子邮件地址,其中电子邮件地址包括域名。该方法还包括由处理器确定域名是否有效。该方法进一步包括响应于确定该域名无效,由该处理器将该用户分类为可疑用户。该方法还包括响应于确定域名有效,由处理器确定电子邮件地址是脚本生成的电子邮件地址的可能性。可能性的确定基于电子邮件地址和多个电子邮件地址之间的差,其中所述多个电子邮件地址包括域名,并且所述多个电子邮件地址与已请求访问网络的其他用户相关联。该方法还包括响应于基于可能性确定电子邮件地址是脚本生成的电子邮件地址,由处理器将用户分类为可疑用户。该方法进一步包括:响应于基于该可能性确定该电子邮件地址不是脚本生成的电子邮件地址,由该处理器将该用户的使用行为与参考模型进行比较,其中该使用行为指示该用户对该网络的历史使用。该方法进一步包括由该处理器基于该比较来确定是否存在由该用户在该网络上表现的异常使用行为。该方法进一步包括响应于确定存在由该用户在该网络上表现的异常使用行为,由该处理器将该用户分类为可疑用户。该方法还包括由处理器拒绝来自用户的访问网络的后续请求。
在一些示例中,总体上描述了一种系统,该系统包括存储器设备和用于对网络的可疑用户进行分类的硬件处理器。存储器装置被配置为存储请求访问网络的用户的用户设置。该用户设置至少包括电子邮件地址和该用户的使用行为,该电子邮件地址包括域名,该使用行为指示该用户对该网络的历史使用。硬件处理器被配置为与存储器设备通信。硬件处理器被配置为确定域名是否有效。所述硬件处理器还被配置为响应于确定所述域名无效,将所述用户分类为可疑用户。硬件处理器还被配置为响应于确定域名有效,确定电子邮件地址是脚本生成的电子邮件地址的可能性。可能性的确定是基于电子邮件地址和多个电子邮件地址之间的差,多个电子邮件地址包括域名,并且多个电子邮件地址与已请求访问网络的其他用户相关联。硬件处理器还被配置为:响应于基于可能性确定电子邮件地址是脚本生成的电子邮件地址,将用户分类为可疑用户。硬件处理器还被配置为:响应于基于可能性确定电子邮件地址不是脚本生成的电子邮件地址,将使用行为与参考模型进行比较。该硬件处理器被进一步配置成基于该比较来确定是否存在由该用户在该网络上表现的异常使用行为。硬件处理器还被配置为:响应于确定网络上存在由用户表现的异常使用行为,将用户分类为可疑用户。硬件处理器还被配置为拒绝来自用户的访问网络的后续请求。
在一些实例中,大体上描述对网络的可疑用户进行分类的计算机程序产品。该计算机程序产品可以包括计算机可读存储媒质,该计算机可读存储媒质具有随其体现的程序指令。程序指令可由装置的处理元件执行以致使装置执行本文中所描述的一或多个方法。
以下参照附图详细描述不同实施例的另外的特征以及结构和操作。在附图中,相同的附图标记表示相同或功能相似的元件。
附图说明
图1展示了在一个实施例中的示例计算机系统,其可用于在一个实施例中在计算机网络中实现可疑活动检测。
图2展示了在一个实施例中的在计算机网络中的可疑活动检测相关的流程图。
图3展示了在一个实施例中关于在计算机网络中的可疑活动检测的流程图。
图4展示了在一个实施例中可以在计算机网络中实现可疑活动检测的示例计算机或处理系统的示意图。
图5描绘了根据本发明的实施例的云计算环境。
图6描绘了根据本发明的一个实施例的抽象模型层。
具体实施方式
在一些实施例中,根据本公开的系统(例如,图1中所示的系统100)提供了一种用于解决在网络之间保护信息和资源方面的挑战的应用。系统100被实现用于基于网络的用户的用户配置文件(profile)来检测可疑活动的源,诸如网络的用户、特定计算机进程、线程、设备,其中用户配置文件可以包括至少一个标识符,诸如电子邮件地址。系统100分析用户的标识符和/或电子邮件地址,以便识别在网络上执行的任何可疑活动。在示例性实施例中,系统100分析用户的电子邮件地址以便标识电子邮件地址,其可以是脚本生成的电子邮件地址,诸如已经由计算机程序自动生成的电子邮件账户。进一步,系统100基于对电子邮件地址执行的分析将用户分类为可疑用户,使得网络的管理员可以审阅经分类的可疑用户的用户账户。
系统100可以改进执行二进制检测的系统,如通过在确认是否信任用户之前对可疑用户和活动进行分类来确定是信任还是不信任用户。进一步,在一些示例中,使用诸如信用卡、电话号码或其他外部验证之类的用户特定信息来检测网络上的可疑活动可能是不足的,并且可能是麻烦的,这是由于可能涉及多个实体,诸如电话提供商、信用卡公司、信用分数积分机构、银行、用户自身和/或其他实体。例如,可能难以验证电话号码,因为获得电话号码的所有者的电话记录和身份的过程需要来自多个实体的许可并且可能涉及所有者的真正信息。
图1展示了根据本文描述的至少一些实施例安排的示例计算机系统100,该计算机系统可以用于在计算机网络中实现可疑活动检测。在一些示例中,系统100是在计算机设备上实现的系统。在一些示例中,系统100可以是作为网络的一部分的安全系统。系统100可以包括被配置为彼此通信的处理器120和存储器122。在一些实例中,处理器120可为计算机装置的中央处理单元,且可经配置以控制系统100的存储器122和/或其他组件的操作。在一些示例中,系统100可以包括附加硬件部件,如可编程逻辑器件、微控制器、存储器器件、和/或其他硬件部件,这些附加硬件部件可以被配置成用于执行本公开中所描述的方法的对应任务。在一些实例中,处理器120可被配置以执行软件模块,该软件模块包含用以执行本公开中所描述的方法的每一相应任务的指令。
存储器122被配置成用于选择性地存储可由处理器120执行的指令。例如,在一个实施例中,存储器122可以存储检测指令124(“指令124”)的集合,其中,指令124包括与可以实现系统100的串操作和机器学习算法、和/或其他算法或技术相关的指令,如可执行代码。处理器120被配置为执行指令124的一个或多个部分以便于系统100的实现。在一些实例中,指令124可封装为可安装在实施系统100的计算机装置上的独立应用程序,使得指令124可由处理器120执行以实施系统100。在一些实例中,指令124可存储在可嵌入为处理器120的部分的可编程硬件组件中。
在一些示例中,处理器120和/或存储器122可以被配置成用于与池110通信,其中,池110是资源112的网络。资源112可包括硬件组件和软件组件,诸如处理器、存储器、路由器、交换机、网络、数据中心、软件程序和/或其他资源。在一些示例中,池110可以是云计算环境,诸如私有云、社区云、公共云或混合云。在一些示例中,系统100可以是被配置成处理采用池110之中的资源112的服务请求的系统,诸如处理池110之中的资源112的服务要求,其中要求的资源可被用户用来执行计算任务。例如,用户101可使用用户设备102来向系统100发送请求106,其中请求106可以是采用来自池110的一个或多个资源112来执行任务105的请求。任务105的一些示例可包括计算机相关的任务,诸如数据集处理、数据存储、应用部署、内容托管、应用执行和/或其他计算任务。
存储器122可以进一步被配置成用于存储用户数据库128。用户数据库128是存储池110的多个用户的用户设置129的数据库。每个用户设置129对应于用户的用户配置文件,并且可以包括名字、姓氏、用户名、密码、电话号码、邮寄地址、使用行为数据(例如,访问资源112的对应用户的时间、频率和/或模式)和/或与用户相关联的其他信息。用户设置129可以包括由用户提供的信息,并且还可以包括由处理器120生成的信息。在图1中所示的实例中,处理器120可接收请求106,且作为响应,可请求用户装置102提供用户配置文件108。用户配置文件108可以至少包括用户101的电子邮件地址109和/或与用户101相关联的其他信息,诸如名字、姓氏、用户名、电话号码、邮寄地址和/或其他信息。在一些示例中,处理器120可以确定在用户配置文件108中是否存在电子邮件地址。响应于用户配置文件108中不存在电子邮件地址,处理器120可请求用户101提供电子邮件地址。响应于电子邮件地址存在在用户配置文件108中,处理器120可将用户配置文件108存储为对应于用户101的用户设置129的一部分。处理器120还可诸如通过跟踪用户101在池110上呈现的使用行为来生成使用行为数据,并将所生成的使用行为数据添加到与用户101相对应的用户设置129。处理器120可以基于对池110的用户所表现的使用行为的连续跟踪来继续更新用户设置129。
处理器120可以执行检测过程150来检测一个或多个可疑活动源。例如,处理器120可执行检测过程150以将一个或多个用户分类为潜在的可疑用户。在另一实例中,处理器可执行检测过程150以将特定计算机过程、线程、装置、互联网协议(IP)地址和/或其他源分类为可疑活动的源。检测过程150包括可由处理器120执行的一个或多个操作,诸如用户验证152、脚本生成的配置文件检测154和异常使用检测156。
可以对存储在用户数据库128中的用户设置129执行检测过程150。在一些实例中,处理器120可在指令124中定义的时间间隔处周期性地自动执行检测过程150。在一些示例中,处理器120可响应于接收到新的用户配置文件而自动执行检测过程150。执行检测过程150的时间和情况基于系统100的期望实现方式。例如,系统100可被配置以周期性地自动执行检测过程150以便减小处理功率。在另一示例中,系统100可以被配置为基于由指令124定义的不同安全级别来自动执行检测过程150,诸如响应于接收到每个新的用户配置文件,或者响应于接收到每五条新的用户配置文件来执行检测过程150。
用户验证152包括分析存储在用户数据库128中的一个或多个用户设置129以便标识可疑活动的来源。在一些示例中,对用户设置129的分析包括通过自动拨打电话号码来验证电话号码,检查用户设置129中的每个电子邮件地址的域名是否存在,用户设置129的每个邮寄地址的国家是否与相应电子邮件地址的域名匹配,和/或其他类型的确认。例如,处理器120可以确定每个用户设置129内的地理参数是否一致,例如确定电话号码、电子邮件域和邮寄地址的国家的区域代码是否包括相同的国家。
在另一个示例中,用户验证152还包括通过向域名系统(DNS)140发送域名查询126来验证每个电子邮件地址的域名是否存在。域名查询126是对存储在用户数据库128中的用户设置129中的每个电子邮件地址的域名的查询。DNS140可返回包括指示域名查询126之中的多个域名到一个或多个邮件交换服务器的映射的邮件交换记录的邮件交换(MX)数据146。例如,域名查询126包括用户设置129的电子邮件地址的域名,但是邮件交换数据146可包括用户设置160的子集的域名到邮件交换服务器的相应列表的映射。处理器120可确定存在用户设置160的子集的域名,并且可通过识别从邮件交换数据146排除的域名来确定不存在用户设置161的剩余子集的域名。处理器120将对应于用户设置161的用户分类为可疑的,并且可限制或阻止对应于用户设置161的可疑用户对资源112的访问。例如,处理器120可能不满足可疑用户所请求的使用资源112来执行应用程序的后续请求或任何未来请求。在完成用户验证152后,处理器120前进到对用户设置160执行脚本生成的配置文件检测154。
脚本生成的配置文件检测154包括确定每个用户设置160是否包括标识符,如由脚本或计算机程序生成的姓名、电话号码、电子邮件地址。下面将进一步描述,在一些实施例中,脚本生成的配置文件检测154是基于用户设置160中的标识符之间的比较。例如,基于比较,处理器120可以确定用户设置163的子集包括脚本生成的电子邮件地址,并且确定用户设置162的剩余子集中的电子邮件地址不是脚本生成的电子邮件地址。处理器120可以将对应于用户设置163的用户分类为可疑用户,并且可以限制对应于用户设置163的可疑用户对资源112的访问。在完成脚本生成的配置文件检测154之后,处理器120前进以对用户设置162执行异常使用检测156。在一些示例中,包括脚本生成的电子邮件地址的用户设置可指示用户设置内的用户配置文件由脚本或计算机程序生成。
异常使用检测156包括确定与用户设置162相对应的用户所表现的异常行为的存在。下面将更详细地描述,处理器120可以对照参考模型对用户设置162当中的使用行为数据执行多变量分析。参考模型可由处理器120基于用户设置129之中的历史使用行为来构建。在一些示例中,处理器120可构建表示未被分类为可疑活动源的多个用户所表现的正常(例如,不可疑)使用行为的第一参考模型。在一些示例中,处理器120可构建表示由被分类为可疑活动源的多个用户表现的可疑使用行为的第二参考模型。取决于系统100的期望实现方式,处理器120可以针对第一和/或第二参考模型对用户设置162当中的使用行为数据执行多变量分析。在多变量分析时,处理器120可以确定对应于用户设置165的子集的用户的使用行为是异常的,并且可以确定对应于用户设置164的剩余子集的用户表现出正常的用户行为。处理器120将对应于用户设置165的用户分类为可疑活动的源,并且可限制或阻止对应于用户设置165的可疑用户对资源112的访问。在完成异常使用检测156时,处理器120诸如向系统100的管理员输出通知,指示可疑用户(例如,对应于用户设置161、163、165的用户)的列表和下一动作过程的推荐,诸如执行与可疑用户相关联的用户设置的检查和/或通知安全机构。
在示例性实施例中,处理器120可以顺序地执行用户验证152、脚本生成的配置文件检测154和异常使用检测156以改进系统100的效率。在示例性实施例中,用户验证152可以涉及第一计算量,脚本生成的配置文件检测154可以涉及大于第一计算量的第二计算量,并且异常使用检测156可以涉及大于第二计算量的第三计算量。如图1的实例中所示,在完成用户验证152后,将在检测过程150中分析的用户设置129减小到用户设置160。然后,在完成脚本生成的配置文件检测154时,将用户设置160简化为用户设置162。然后,处理器120对用户设置162而不是用户设置129或用户设置160执行异常使用检测156。照此,检测过程150中的操作的顺序执行允许处理器对最大量的用户设置(用户设置129)执行最小量的计算(第一量),并且对最小量的用户设置(用户设置)162执行最大量的计算(第三量)。因此,系统100的效率可通过以基于在检测处理150的每个操作中所涉及的计算量和待分析的用户设置量的顺序方式在检测处理150内执行操作来改进。
在一个示例性实施例中,处理器120可以被配置成用于在检测过程150的执行过程中向每个用户设置129指派可疑分数。在示例中,如果用户设置G未通过用户验证152,则处理器120将最高分数分配给用户设置G并且限制用户设置G的用户访问池110。在另一实例中,如果用户设定G通过用户验证152,但基于历史数据用户设定G的用户名类似于可疑用户,那么处理器120可向用户设定G指派得分D。如果具有可疑得分D的用户设置G通过脚本生成的配置文件检测154,但是用户设置G的电子邮件地址的域名基于历史数据,可能包括可疑用户,处理器120可将E添加到D,使得将在具有起始可疑分数D+E的异常使用检测156下分析用户设置G。检测指令124可定义可疑得分的阈值,使得当用户设置G的可疑得分超过阈值时(即使用户设置G通过用户验证152、脚本生成的配置文件检测154和/或异常使用检测156),处理器120可以限制用户设置G的用户对池110的访问。在示例中,如果由于可疑分数D+E超过阈值而限制用户设置G的用户访问池110,则处理器120将不对用户设置G执行异常使用检测156以节省处理功率和时间。
图2示出了根据本文呈现的至少一些实施例安排的与计算机网络中的可疑活动检测相关的流程图。下文可参看图1的上述描述来描述图2。图2中所示的检测过程可包含如框202、204、206、208、210、212、214、216、218、220、222、224、226、228、230和232中的一个或多个框说明的一个或多个操作、动作或功能。虽然说明为离散块,但取决于所想要的实现,可将不同块划分成额外块、组合成较少块、消除或并行执行。
检测过程150在框202处开始,其中,处理器120在用户设置129中查询一个或多个域名。在系统100响应于接收到新用户配置文件而执行检测过程150的示例中,处理器120可以在框202向DNS140发送域名查询126以请求新用户配置文件中的域名的邮件交换记录。在处理器120周期性地执行检测处理150的另一示例中,处理器120可以向DNS140发送域名查询126,以请求在数据库128中存储的用户设置129中的多个域名的邮件交换记录。DNS140返回包括指示由域名查询126指示的一个或多个域名的邮件交换服务器的列表的一个或多个邮件交换记录的邮件交换数据146。
检测过程150从框202继续至框204,其中,处理器120分析从DNS 140返回的邮件交换数据146。例如,处理器120可分析邮件交换数据146中的邮件交换记录,以确定是否存在电子邮件地址109的域名X的邮件服务器,以及邮件服务器是否被安全地设置。处理器120可以将一组用户设置(例如,用户设置160)标记为包括具有有效域名的电子邮件地址,并且将一组用户设置(例如,用户设置161)标记为包括具有无效域名的电子邮件地址。
检测过程150从框204继续至框206,其中,处理器120在框204中的标记的用户设置中分析电子邮件地址,以将具有有效域名的电子邮件地址与具有无效域名的电子邮件地址区分开。
对于具有无效域名的电子邮件地址,检测过程150从框206继续至框208,其中,处理器120限制对应于包括具有无效域名的电子邮件地址的用户设置的用户访问资源112。例如,如果电子邮件地址109包括无效域名,则处理器120可拒绝用户101访问资源112的后续请求。
对于包括具有有效域名的电子邮件地址的用户设置,检测过程150从框206继续至框210,其中,处理器120确定用户设置160当中的每个有效域名的电子邮件地址的数量。在其中在检测过程150中分析单个用户设置(诸如对应于用户101的用户设置)的示例中,处理器120可在用户设置160中确定具有与电子邮件地址109相同的域名的电子邮件地址的数量。
检测过程150从框210继续到框212,其中,处理器120基于在指令124中定义的阈值来识别具有多于特定数量的电子邮件地址的域名。在图2所示的实例中,处理器120可从检测过程150滤出(例如)移除具有包含少于N个电子邮件地址的域名的用户设置。例如,处理器120可以移除用户设置160当中包括具有少于三个电子邮件地址的域名的用户设置。处理器120通过分析用户设置来继续检测过程150,所述用户设置具有在用户设置160当中包括N个或更多(例如,在图2的示例中,三个或更多)电子邮件地址的域名。
检测处理150从块212继续到块214,其中,处理器120针对来自块212的所识别的域名中的每个电子邮件地址,确定电子邮件地址与具有相同域名的其他电子邮件地址之间的差异。例如,如果电子邮件地址109具有域名X,则处理器120确定电子邮件地址109和具有域名X的每个电子邮件地址之间的Levenshtein距离。在确定Levenshtein距离后,处理器120确定电子邮件地址109与具有域名X的其他电子邮件地址之间的Levenshtein距离的均值(表示为A)。处理器120确定包含来自块212的所识别的域名的用户设置160当中的每一电子邮件地址的Levenshtein距离和均值A。在示例中,处理器120可以将均值A存储在存储器122中,使得处理器120可以从存储器122检索所存储的均值A,以便在检测过程150的后续执行时确定新电子邮件地址的均值A”。例如,如果均值A是与域名X的五十个电子邮件地址相关联的均值,处理器120可以通过检索A、将A乘以五十、加上与新电子邮件地址相关联的Levenshtein距离并且将结果除以五十一来确定A”,而不是计算五十一个Levenshtein距离的均值。
一对电子邮件地址之间的Levenshtein距离表示该对电子邮件地址之间的差异。在示例中,电子邮件地址109与域名X中的其他电子邮件地址之间的第一平均Levenshtein距离可以是A1,并且另一电子邮件地址K与域名X中的电子邮件地址之间的第二平均Levenshtein距离可以是A2。如果A1大于A2,则处理器120可以确定电子邮件地址109可能比电子邮件地址K具有更小的成为脚本生成的电子邮件地址的机会,因为电子邮件地址K更类似于域X内的其余电子邮件地址。
检测过程150可以继续至框216。框214和216可由处理器120同时或以任意次序执行。在框216处,处理器120确定在框212中识别的每个域名的电子邮件地址的长度的变化系数(表示为B)。变化系数B表示域名内的电子邮件地址的长度的变化程度。如果第一域名的变化系数B1高于第二域名的变化系数B2,那么,由于在第二域名的电子邮件地址当中具有较小的长度变化,所以第二域名可能比第一域名具有更大的具有脚本生成的电子邮件地址的可能性。在示例中,处理器120可以将变化系数B存储在存储器122中,使得处理器120可以从存储器122检索存储的变化系数B,以便在检测过程150的后续执行时确定新的电子邮件地址的变化系数B’。
检测过程150可以继续至框218。框214、216和218可由处理器120同时或以任意次序执行。在框218处,对于来自框212的所识别的域名中的每个电子邮件地址,处理器120确定该电子邮件地址与对应用户的名字(名和/或姓氏)之间的差。例如,处理器120可以确定电子邮件地址109与用户101的名和姓的组合之间的Levenshtein距离。电子邮件地址与对应用户的姓名之间的Levenshtein距离可被用作在历史数据指示用户倾向于在电子邮件地址中使用他们的名和姓中的一个或多个的情况下,确定电子邮件地址是否是脚本生成的电子邮件地址的指示。在确定每个电子邮件地址和对应的用户名之间的Levenshtein距离时,处理器120可以确定每个域名内的电子邮件地址和用户名之间的Levenshtein距离的均值,表示为C。例如,处理器120可确定表示域名X的电子邮件地址与相关联的用户名之间的Levenshtein距离的均值的均值CX。在示例中,处理器120可以将均值CX存储在存储器122中,使得处理器120可以在检测过程150的后续执行时使用新的电子邮件地址将所存储的均值CX更新为均值CX’
在一个示例性实施例中,A、B和C可以表示为百分比,诸如表示为100×(实际差/最大差)的不匹配百分比。例如,每个电子邮件地址i的均值A可以表示为Ai=平均[100×(LA ij/LA max)],其中,LA ij表示电子邮件地址i与具有相同域名的另一个电子邮件地址j之间的Levenshtein距离,并且LA max表示在具有相同域名的一对电子邮件地址之间确定的最大Levenshtein距离。例如,如果域名X包括三个电子邮件地址(i=1、2、3),则处理器120可以确定三个不同的Levenstein距离LA 12、LA 13、LA 23。处理器120可识别最大值的Levenshtein距离,且将所识别的Levenshtein距离指派为LA max。然后,处理器120可以基于所分配的LA max来确定用于每个电子邮件地址的Ai。类似地,变化系数B可表示为B=Average[100×(LB ij/LB max)],其中,LB ij表示电子邮件地址i与具有相同域名的另一电子邮件地址j之间的长度差,LB max表示在具有相同域名的一对电子邮件地址之间确定的最大长度差。类似地,每个电子邮件地址i的均值C可表示为Ci=Average[100×(LC i/LC max)],其中,LC i表示电子邮件地址i和与电子邮件地址i相关联的用户的名字之间的Levenshtein距离,以及LC max表示在电子邮件地址和同一域名内的关联用户的名字之间确定的最大Levenshtein距离。在示例中,当两个电子邮件地址(i,j)相同时,LA ij将为零,从而使得Ai为0%。在示例中,随着两个电子邮件地址(i,j)之间的差增大,值LA ij也将增大。因此,用户设置与可疑活动的来源相关联的可能性随着不匹配百分比Ai增加而增加。类似地,用户设置与可疑活动的来源相关联的可能性随着不匹配百分比B的增加而增加。进一步,用户设置与可疑活动的来源相关联的可能性随着不匹配百分比Ci的减小而增加。
检测过程150可以从框214、216和/或218继续至框220,其中,处理器120确定得分,每个电子邮件地址的表示为S,并且其中,S=w1A+w2B-w3C。变量w1、w2和w3可分别表示均值A、变化系数B和均值C的权重。在每次执行检测处理150时,处理器120可连续地调整权重wl、w2和w3。权重w1和w2的初始值可在指令124中定义。在示例中,权重w1、w2和w3可以取决于来自检测过程150的历史执行的结果,正在分析的每个域名的卷(例如,电子邮件地址的数量)、历史上在每个域名中的脚本生成的电子邮件地址的数量,在检测指令124中定义的每个A、B和C的重要性和/或其他因素。例如,如果检测指令124将A定义为得分S的最重要分量,那么可将w1调整为大于w2和w3。在另一实例中,如果C的分布的色散大于A的分布的色散,那么可将重量w1调整为大于w3以对A给予更重要性。在示例中,C的分布的较大分散可以指示用户是否在其电子邮件地址中使用其名和/或姓氏的不一致性。
检测过程150可以从框220继续至框222,其中,处理器120可以确定每个电子邮件地址的得分S是否满足指令124中定义的条件。例如,处理器120可确定电子邮件地址的得分S是否小于指令124中定义的阈值。在示例中,电子邮件地址是脚本生成的电子邮件地址的可能性随着A和B的值减小并且随着C的值增大而增大。由此,得分S随着电子邮件地址是脚本生成的电子邮件地址的可能性的增加而减小。指令124可定义得分S的阈值,其中阈值的值基于系统100的理想实施。例如,随着阈值的值增加,系统100可以标识可以包括脚本生成的电子邮件地址的更多用户设置。在一些实例中,指令124可基于系统100的理想实施在框222处定义额外条件。例如,除了确定得分S是否小于阈值之外,条件还可包括确定系数变量B是否小于另一阈值,使得当与S和B相关的两个条件都被满足时,用户101可被处理器120分类为可疑的。
如果满足框222中的条件,则检测过程150从框222行进至框224。在框224处,处理器120限制对应于用户设置的具有满足框222中的条件的电子邮件地址的用户。例如,如果电子邮件地址109可能是脚本生成的电子邮件地址,则处理器120可以拒绝用户101访问资源112的后续请求。
如果不满足框222中的条件,则检测过程150从框222行进至框226。在框226处,处理器120从检测过程150移除包含无活动或无最近活动的用户设置。例如,池110之中的资源112可被用于执行移动游戏。在框226,处理器120可移除对应于已注册但从未玩移动游戏的用户或在过去一周、两周、一个月和/或可由指令124定义的其他时间段内未玩移动游戏的用户的用户设置。
检测过程150可以从框226进行到框228,其中,处理器120可以对在框226中未被移除的用户设置执行多变量分析。多变量分析可以包括使用鲁棒的主成分分析来识别与从框226剩余的用户设置相对应的使用行为中展示的异常模式。在一些示例中,可由处理器120在框228处分析的使用行为的变量可包括注册信息中的位置信息与提供用户配置文件的互联网协议(IP)地址之间的差异,具有等待时间、频率和持续时间测量的用户参与度得分,具有由账户通过系统100的客户消息平台询问的会话的用户参与度得分,使用分布的z得分(标准得分)。在示例中,处理器120可以通过识别在短时间段内过度使用资源112的用户设置的分数来识别异常使用行为。在一些示例中,处理器120可以使用不同于鲁棒的主成分分析的其他无监督聚类算法来执行多变量分析。在另一示例中,处理器120可以基于表示池110的用户的参与的使用属性(诸如最近性、频率、持续时间和寿命和/或其他属性)来标识异常使用行为。最近性是指从最近的活动的时间开始到当前时间的时间量(例如,天数)。频率是指用户从开始时间(例如,用户请求资源112的时间)到当前时间的活动量。持续时间是指从开始时间到第一时间活动日期的时间量(例如,在请求之后多久用户开始使用资源112)。寿命是指从最近活动的开始时间到结束日期的时间量。通过分析这些属性,处理器120可通过分析最近采取了任何动作、频繁采取了任何动作、在注册或请求资源112之后不久采取了任何动作和在使用资源112上花费相对更多的时间的用户来识别异常使用行为。
在一些示例中,多变量分析还可以包括参考模型比较。处理器120可以被配置为使用历史使用行为来构建参考模型。例如,处理器120可构造第一模型和第二模型,第一模型指示不可疑用户在特定时间段内使用资源112的频率,第二模型指示历史上可疑用户在相同特定时间段内使用资源112的频率。处理器120可将在框228处正分析的用户设置的使用行为与第一模型和第二模型进行比较,以确定每一用户配置文件是否表现异常行为。在另一示例中,处理器120可通过确定正被分析的使用行为与历史可疑用户行为和/或其他变量之间的相似性分数来识别异常使用行为。
检测过程150可以从框228进行到框230,其中,处理器120可以基于在框228处执行的多变量分析来标识表现出异常行为的用户。
如果用户表现异常行为,则检测过程150可以从框230进行到框232,其中,处理器120可以限制用户对资源112的访问。例如,如果在与用户101相对应的用户设置129中的使用行为包括异常行为,则处理器120可拒绝用户101访问资源112的后续请求。
如果用户不表现异常行为,处理器120可以结束和终止检测过程150,并且允许用户的访问资源112的后续请求。处理器120可编译可疑活动源的列表,例如在框208、224、232处受限于访问资源112的用户,并且可在用户界面中在显示器上输出源的经编译的列表,和/或可由系统100的管理员控制以提供下一动作过程的通知和推荐的另一设备。例如,处理器可输出推荐以审阅对应于经编译的列表的用户配置文件,或在经编译的列表中联系用户,或联系与网络安全相关的权威机构。
图3示出了根据本文呈现的至少一些实施例安排的与计算机网络中的可疑活动检测相关的流程图。图3中的过程可使用例如上文所论述的计算机系统100来实施。示例过程可包括如框302、304、306、308、310、312、314和/或316中的一个或多个框所示的一个或多个操作、动作或功能。虽然说明为离散块,但取决于所要的实施,可将不同块划分成额外块、组合成较少块、消除或并行执行。
处理可以开始于框302,其中,处理器接收请求访问网络的用户的用户配置文件。用户配置文件文件至少包括电子邮件地址和用户的使用行为,电子邮件地址包括域名,使用行为指示用户对网络的历史使用。
处理可从框302继续到框304。在框304处,处理器确定域名是否有效。处理器通过向域名系统发送对域名的查询来确定域名是否有效,并接收指示域名到服务器列表的映射的邮件交换记录。如果在处理器处从域名系统接收到邮件交换记录,则处理器确定域名是有效的。如果在处理器处没有从域名系统接收到邮件交换记录,则处理器确定域名无效。
如果域名无效,则处理可继续至框306。在框306处,其中处理器将用户分类为可疑用户。该处理可从框306继续至框316,其中处理器拒绝来自用户的访问网络的后续请求。
如果域名有效,则处理可继续至框308。在框308,处理器确定电子邮件地址是脚本生成的电子邮件地址的可能性。确定可能性是基于电子邮件地址和多个电子邮件地址之间的差,多个电子邮件地址包括域名,并且多个电子邮件地址与已请求访问网络的其他用户相关联。在示例中,可能性的确定是基于第一均值、第二均值和长度变化系数。第一均值是电子邮件地址与多个电子邮件地址之间的差的均值。第二均值是电子邮件地址与用户的名字之间的差以及多个电子邮件地址与对应用户的名字之间的差的均值。长度变化系数是多个电子邮件地址的长度的平均变化。可能性由处理器基于得分与阈值的比较来确定,其中得分基于第一均值、长度变化系数和第二均值。
如果电子邮件地址是脚本生成的电子邮件地址,则处理可以继续到框306,其中,处理器将用户分类为可疑用户。该处理可从框306继续至框316,其中处理器拒绝来自用户的访问网络的后续请求。如果电子邮件地址不是脚本生成的电子邮件地址,则处理可以继续到框310。在框310,处理器将用户的使用行为与参考模型进行比较。参考模型基于已请求访问网络的其他用户所表现的使用行为。在一些示例中,响应于检测到由用户在网络上执行的活动的存在,由处理器执行使用行为与参考模型的比较。在一些示例中,将使用行为与参考模型进行比较包括将使用行为与由网络上的可疑用户表现的历史使用行为进行比较。
处理可从框310继续到框312。在框312处,处理器基于该比较来确定是否存在用户在网络上表现的异常使用行为。在一些示例中,处理器确定异常使用行为的存在包括使用鲁棒的主成分分析。
如果处理器确定存在异常使用行为,则处理可以继续至框306,其中,处理器将用户分类为可疑用户。该处理可从框306继续至框316,其中处理器拒绝来自用户的访问网络的后续请求。如果处理器确定不存在异常使用行为,则处理可以继续到框314。在框314处,处理器允许来自用户的访问网络的后续请求。
图4示出了本公开的一个实施例中可在计算机网络中实现可疑活动检测的示例计算机或处理系统的示意图。计算机系统仅是合适的处理系统的一个示例,并且不旨在对本文所描述的方法的实施例的使用范围或功能提出任何限制。所示的处理系统可以与许多其他通用或专用计算系统环境或配置一起操作。可适合于与图4中所示的处理系统一起使用的众所周知的计算系统、环境和/或配置的实例可包含,但不限于个人计算机系统、服务器计算机系统、瘦客户机、厚客户机,手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品,网络PC、小型计算机系统、大型计算机系统、超级计算机和包括任何上述系统或设备的分布式云计算环境,等等。
计算机系统可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常,程序模块可以包括执行特定的任务或者实现特定的抽象数据类型的例程、程序、目标程序、组件、逻辑、数据结构等。计算机系统/可以在通过通信网络链接的远程处理设备执行任务的分布式云计算环境中实施。在分布式云计算环境中,程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。
计算机系统的组件可以包括但不限于一个或多个处理器或处理单元12、系统存储器16和将包括系统存储器16在内的各种系统组件耦合到处理器12的总线14。处理器12可以包括执行本文所述方法的模块30(例如,可疑活动检测模块30)。模块30可以被编程到处理器12的集成电路中,或者从存储器16、存储设备18、网络24或其组合加载。
总线14可以表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
计算机系统可以包括多种计算机系统可读介质。这些介质可以是能够被计算机系统/服务器12访问的任意可获得的介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器16可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)和/或高速缓存存储器或者其他。计算机系统可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统18可以用于读写不可移动的、非易失性磁介质(例如“硬盘驱动器”)。尽管未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线14相连。
计算机系统也可以与一个或多个外部设备26(例如键盘、指向设备、显示器28等)通信,还可与一个或者多个使得用户能与该计算机系统交互的设备通信,和/或与使得该计算机系统能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口20进行。
并且,计算机系统还可以通过网络适配器22与一个或者多个网络24(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器22通过总线14与计算机系统的其它模块通信。应当明白,尽管图中未示出,其它硬件和/或软件模块可以与计算机系统一起操作,例子包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质),用于使处理器执行本发明的各个方面。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
此处描述的计算机可读程序指令可以从计算机可读存储介质下载到相应的计算/处理设备,或者通过网络(例如,互联网、局域网、广域网、区域网络和/或无线网络)下载到外部计算机或外部存储设备。该网络可以包括铜传输电缆、光传输光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口从网络接收计算机可读程序指令,并转发计算机可读程序指令以存储在相应的计算/处理设备内的计算机可读存储介质中。
用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言—诸如Smalltalk、C++等,以及传统的过程式编程语言—诸如“C”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中,通过利用计算机可读程序指令的状态信息来个性化定制电子电路,例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA),该电子电路可以执行计算机可读程序指令,从而实现本发明的各个方面。
这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本文中使用的术语仅用于描述特定的实施例,并不旨在限制本发明。如本文所用,单数形式“a”、“an”和“the”意欲包括复数形式,除非上下文另有明确指示。应进一步理解,术语“包括(现在时)”和/或“包括(进行时)”在本说明书中使用时,规定了所述特征、整数、步骤、操作、元件和/或组件的存在,但不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件、和/或其组。
图5描述了根据本发明一实施例的云计算环境。应当理解,尽管本公开包括关于云计算的详细描述,但其中记载的技术方案的实现却不限于云计算环境,而是能够结合现在已知或以后开发的任何其它类型的计算环境而实现。
云计算是一种服务交付模式,用于对共享的可配置计算资源池进行方便、按需的网络访问。可配置计算资源(网络、网络带宽、服务器、处理、内存、存储、应用、虚拟机和服务)是能够以最小的管理成本或与服务提供者进行最少的交互就能快速部署和释放的资源。这种云模式可以包括至少五个特征、至少三个服务模型和至少四个部署模型。
特征包括:
按需自助式服务:云的消费者在无需与服务提供者进行人为交互的情况下能够单方面自动地按需部署诸如服务器时间和网络存储等的计算能力。
广泛的网络接入:计算能力可以通过标准机制在网络上获取,这种标准机制促进了通过不同种类的瘦客户机平台或厚客户机平台(例如移动电话、膝上型电脑、个人数字助理PDA)对云的使用。
资源池:提供者的计算资源被归入资源池并通过多租户(multi-tenant)模式服务于多重消费者,其中按需将不同的实体资源和虚拟资源动态地分配和再分配。一般情况下,消费者不能控制或甚至并不知晓所提供的资源的确切位置,但可以在较高抽象程度上指定位置(例如国家、州或数据中心),因此具有位置无关性。
迅速弹性:能够迅速、有弹性地(有时是自动地)部署计算能力,以实现快速扩展,并且能迅速释放来快速缩小。在消费者看来,用于部署的可用计算能力往往显得是无限的,并能在任意时候都能获取任意数量的计算能力。
可测量的服务:云系统通过利用适于服务类型(例如存储、处理、带宽和活跃用户帐号)的某种抽象程度的计量能力,自动地控制和优化资源效用。可以监测、控制和报告资源使用情况,为服务提供者和消费者双方提供透明度。可以监视、控制和报告资源使用情况,从而为使用的服务的提供者和使用者提供透明性。
服务模型如下:
软件即服务(SaaS):向消费者提供的能力是使用提供者在云基础架构上运行的应用。可以通过诸如网络浏览器的瘦客户机接口(例如基于网络的电子邮件)从各种客户机设备访问应用。除了有限的特定于用户的应用配置设置外,消费者既不管理也不控制包括网络、服务器、操作系统、存储、乃至单个应用能力等的底层云基础架构。
平台即服务(PaaS):向消费者提供的能力是在云基础架构上部署消费者创建或获得的应用,这些应用利用提供者支持的程序设计语言和工具创建。消费者既不管理也不控制包括网络、服务器、操作系统或存储的底层云基础架构,但对其部署的应用具有控制权,对应用托管环境配置可能也具有控制权。
基础架构即服务(IaaS):向消费者提供的能力是消费者能够在其中部署并运行包括操作系统和应用的任意软件的处理、存储、网络和其他基础计算资源。消费者既不管理也不控制底层的云基础架构,但是对操作系统、存储和其部署的应用具有控制权,对选择的网络组件(例如主机防火墙)可能具有有限的控制权。
部署模型如下:
私有云:云基础架构单独为某个组织运行。云基础架构可以由该组织或第三方管理并且可以存在于该组织内部或外部。
共同体云:云基础架构被若干组织共享并支持有共同利害关系(例如任务使命、安全要求、政策和合规考虑)的特定共同体。共同体云可以由共同体内的多个组织或第三方管理并且可以存在于该共同体内部或外部。
公共云:云基础架构向公众或大型产业群提供并由出售云服务的组织拥有。
混合云:云基础架构由两个或更多部署模型的云(私有云、共同体云或公共云)组成,这些云依然是独特的实体,但是通过使数据和应用能够移植的标准化技术或私有技术(例如用于云之间的负载平衡的云突发流量分担技术)绑定在一起。
云计算环境是面向服务的,特点集中在无状态性、低耦合性、模块性和语意的互操作性。云计算的核心是包含互连节点网络的基础架构。
现在参考图5,其中显示了示例性的云计算环境50。如图所示,云计算环境50包括云计算消费者使用的本地计算设备可以与其相通信的一个或者多个云计算节点10,本地计算设备例如可以是个人数字助理(PDA)或移动电话54A,台式电脑54B、笔记本电脑54C和/或汽车计算机系统54N。云计算节点10之间可以相互通信。可以在包括但不限于如上所述的私有云、共同体云、公共云或混合云或者它们的组合的一个或者多个网络中将云计算节点10进行物理或虚拟分组(图中未显示)。这样,云的消费者无需在本地计算设备上维护资源就能请求云计算环境50提供的基础架构即服务(IaaS)、平台即服务(PaaS)和/或软件即服务(SaaS)。应当理解,图5显示的各类计算设备54A-N仅仅是示意性的,云计算节点10以及云计算环境50可以与任意类型网络上和/或网络可寻址连接的任意类型的计算设备(例如使用网络浏览器)通信。
图6描绘了根据本发明实施例的抽象模型层。现在参考图6,示出由云计算环境50(图5)提供的一组功能抽象层。应预先理解,图6中所示的组件、层和功能仅用于说明,本发明的实施例不限于此。如图所示,提供以下层和相应的功能:
硬件和软件层60包括硬件和软件组件。硬件组件的例子包括:主机61;基于RISC(精简指令集计算机)体系结构的服务器62;服务器63;刀片服务器64;存储设备65;网络和网络组件66。软件组件的例子包括:网络应用服务器软件67以及数据库软件68。
虚拟层70提供一个抽象层,该层可以提供下列虚拟实体的例子:虚拟服务器71、虚拟存储72、虚拟网络73(包括虚拟私有网络)、虚拟应用和操作系统74,以及虚拟客户端75。
在一个示例中,管理层80可以提供下述功能:资源供应功能81:提供用于在云计算环境中执行任务的计算资源和其它资源的动态获取;计量和定价功能82:在云计算环境内对资源的使用进行成本跟踪,并为此提供帐单和发票。在一个例子中,该资源可以包括应用软件许可。安全功能:为云的消费者和任务提供身份认证,为数据和其它资源提供保护。用户门户功能83:为消费者和系统管理员提供对云计算环境的访问。服务水平管理功能84:提供云计算资源的分配和管理,以满足必需的服务水平。服务水平协议(SLA)计划和履行功能85:为根据SLA预测的对云计算资源未来需求提供预先安排和供应。
工作负载层90提供云计算环境可能实现的功能的示例。在该层中,可提供的工作负载或功能的示例包括:地图绘制与导航91;软件开发及生命周期管理92;虚拟教室的教学提供93;数据分析处理94;交易处理95以及可疑活动检测96。
在下面的权利要求中,所有装置或步骤加功能元件(如果有的话)的相应结构、材料、作用和等效物旨在包括与具体要求保护的其他要求保护的元素结合的用于执行该功能的任何结构、材料或动作。本发明的描述是为了说明和描述的目的而呈现的,但并不打算是详尽的,也不限于以所公开的形式的本发明。在不脱离本发明的范围和精神的情况下,对于本领域的普通技术人员来说,许多修改和变化是显而易见的。选择和描述实施例是为了最好地解释本发明的原理和实际应用,并且使本领域的其他普通技术人员能够理解本发明的各种具有适合所设想的特定用途的各种修改的实施例。

Claims (20)

1.一种计算机实现的方法,包括:
由处理器接收请求访问网络的用户的用户配置文件,其中,所述用户配置文件至少包括所述用户的电子邮件地址,所述电子邮件地址包括域名;
由所述处理器确定所述域名是否有效;
响应于确定所述域名无效,由所述处理器将所述用户分类为可疑用户;
响应于确定所述域名有效:
由所述处理器确定所述电子邮件地址是脚本生成的电子邮件地址的可能性,其中基于所述电子邮件地址与多个电子邮件地址之间的差确定所述可能性,所述多个电子邮件地址包括所述域名,并且所述多个电子邮件地址与已请求访问所述网络的其他用户相关联;
响应于基于所述可能性确定所述电子邮件地址是脚本生成的电子邮件地址,由所述处理器将所述用户分类为可疑用户;
响应于基于所述可能性确定所述电子邮件地址不是脚本生成的电子邮件地址:
由所述处理器将所述用户的使用行为与参考模型进行比较,其中所述使用行为指示所述用户对所述网络的历史使用;
由所述处理器基于所述比较来确定是否存在由所述用户在所述网络上表现的异常使用行为;
响应于确定存在由所述用户在所述网络上表现的异常使用行为,由所述处理器将所述用户分类为可疑用户;以及
由所述处理器拒绝来自所述用户的访问所述网络的后续请求。
2.如权利要求1所述的计算机实现的方法,进一步包括响应于确定不存在由所述用户在所述网络上表现的异常使用行为,由所述处理器允许来自所述用户的访问所述网络的所述后续请求。
3.如权利要求1的计算机实现的方法,其中确定所述域名是否有效包括:
由所述处理器向域名系统发送对所述域名的查询;
响应于接收到指示所述域名到服务器列表的映射的邮件交换记录,由所述处理器确定所述域名是有效的;以及
响应于没有接收到指示所述域名到服务器列表的映射的所述邮件交换记录,由所述处理器确定所述域名是无效的。
4.如权利要求1所述的计算机实现的方法,其中,确定所述电子邮件地址是脚本生成的电子邮件地址的可能性包括:
由所述处理器确定所述电子邮件地址与所述多个电子邮件地址之间的差的第一均值;
由所述处理器确定所述多个电子邮件地址的长度的变化系数;
由所述处理器确定所述电子邮件地址与所述用户的名字之间的差以及所述多个电子邮件地址与对应用户的名字之间的差的第二均值;
由所述处理器基于所述第一均值、所述长度变化系数和所述第二均值来确定得分;
由所述处理器将所述得分与阈值进行比较;
由所述处理器基于所述得分与所述阈值的所述比较来确定所述电子邮件地址是脚本生成的电子邮件地址的所述可能性。
5.如权利要求1所述的计算机实现的方法,其中,确定是否存在异常使用行为包括使用鲁棒的主成分分析。
6.如权利要求1所述的计算机实现的方法,进一步包括:
由所述处理器确定包括所述域名的电子邮件地址的数量;
由所述处理器将所确定的电子邮件地址的数量与阈值进行比较;以及
其中,响应于确定所述电子邮件地址的数量大于所述阈值而执行确定所述电子邮件地址是脚本生成的电子邮件地址的可能性。
7.如权利要求1所述的计算机实现的方法,其中响应于检测到存在由所述用户在所述网络上执行的活动,而执行所述使用行为与所述参考模型的比较。
8.如权利要求1所述的计算机实现的方法,其中所述参考模型是基于由已请求访问所述网络的所述其他用户表现的使用行为。
9.如权利要求1所述的计算机实现的方法,其中,将所述使用行为与所述参考模型进行比较包括:由所述处理器将所述使用行为与由所述网络上的可疑用户表现的历史使用行为进行比较。
10.一种系统,包括:
存储器设备,被配置为存储请求访问网络的用户的用户设置,其中所述用户设置至少包括电子邮件地址和所述用户的使用行为,所述电子邮件地址包括域名,并且所述使用行为指示所述用户对所述网络的历史使用;
硬件处理器,被配置为与所述存储器设备通信,所述硬件处理器被配置为:
确定所述域名是否有效;
响应于确定所述域名无效,将所述用户分类为可疑用户;
响应于确定所述域名有效:
确定所述电子邮件地址是脚本生成的电子邮件地址的可能性,其中基于所述电子邮件地址与多个电子邮件地址之间的差确定所述可能性,所述多个电子邮件地址包括所述域名,并且所述多个电子邮件地址与已请求访问所述网络的其他用户相关联;
响应于基于所述可能性确定所述电子邮件地址是脚本生成的电子邮件地址,将所述用户分类为可疑用户;
响应于基于所述可能性确定所述电子邮件地址不是脚本生成的电子邮件地址:
将所述使用行为与参考模型进行比较;
基于所述比较来确定是否存在由所述用户在所述网络上表现的异常使用行为;
响应于确定存在由所述用户在所述网络上表现的异常使用行为,将所述用户分类为可疑用户;以及
拒绝来自所述用户的访问所述网络的后续请求。
11.如权利要求10所述的系统,其中,所述硬件处理器被进一步配置成用于,
响应于确定不存在由所述用户在所述网络上表现的异常使用行为,允许来自所述用户的访问所述网络的所述后续请求。
12.如权利要求10所述的系统,其中,所述硬件处理器被进一步配置成用于:
向域名系统发送对所述域名的查询;
响应于接收到指示所述域名到服务器列表的映射的邮件交换记录,确定所述域名是有效的;以及
响应于没有接收到指示所述域名到服务器列表的映射的所述邮件交换记录,确定所述域名是无效的。
13.如权利要求10所述的系统,其中,所述硬件处理器被进一步配置成用于:
确定所述电子邮件地址与所述多个电子邮件地址之间的差的第一均值;
确定所述多个电子邮件地址的长度的变化系数;
确定所述电子邮件地址与所述用户的名字之间的差以及所述多个电子邮件地址与对应用户的名字之间的差的第二均值;
基于所述第一均值、所述长度变化系数和所述第二均值来确定得分;
将所述得分与阈值进行比较;
基于所述得分与所述阈值的比较来确定所述电子邮件地址是脚本生成的电子邮件地址的可能性。
14.如权利要求10所述的系统,其中,所述硬件处理器进一步被配置为:
确定包括所述域名的电子邮件地址的数量;
将所确定的电子邮件地址的数量与阈值进行比较;以及
其中,响应于确定所述电子邮件地址的数量大于所述阈值而执行确定所述电子邮件地址是脚本生成的电子邮件地址的可能性。
15.如权利要求10所述的系统,其中所述使用行为与所述参考模型的比较包括所述使用行为与由所述网络上的可疑用户表现的历史使用行为的比较。
16.一种对网络的可疑用户进行分类的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其体现的程序指令,所述程序指令可由设备的处理元件执行以使所述设备:
接收请求访问网络的用户的用户配置文件,其中,所述用户配置文件至少包括电子邮件地址,所述电子邮件地址包括域名;
确定所述域名是否有效;
响应于确定所述域名无效,将所述用户分类为可疑用户;
响应于确定所述域名有效:
确定所述电子邮件地址是脚本生成的电子邮件地址的可能性,其中基于所述电子邮件地址与多个电子邮件地址之间的差确定所述可能性,所述多个电子邮件地址包括所述域名,并且所述多个电子邮件地址与已请求访问所述网络的其他用户相关联;
响应于基于所述可能性确定所述电子邮件地址是脚本生成的电子邮件地址,将所述用户分类为可疑用户;
响应于基于所述可能性确定所述电子邮件地址不是脚本生成的电子邮件地址:
将所述用户的使用行为与参考模型进行比较,其中所述使用行为指示所述用户对所述网络的历史使用;
基于所述比较来确定是否存在由所述用户在所述网络上表现的异常使用行为;
响应于确定由存在所述用户在所述网络上表现的异常使用行为,将所述用户分类为可疑用户;以及
拒绝来自所述用户的访问所述网络的后续请求。
17.如权利要求16所述的计算机程序产品,其中,这些程序指令进一步可由所述设备的所述处理元件执行以便致使所述设备响应于确定不存在由所述用户在所述网络上表现的异常使用行为,允许来自该用户的访问所述网络的所述后续请求。
18.如权利要求16所述的计算机程序产品,其中,所述程序指令进一步可由所述设备的所述处理元件执行以使所述设备:
向域名系统发送对所述域名的查询;
响应于接收到指示所述域名到服务器列表的映射的邮件交换记录,确定所述域名是有效的;以及
响应于没有接收到指示所述域名到服务器列表的映射的所述邮件交换记录,确定所述域名是无效的。
19.如权利要求16所述的计算机程序产品,其中,所述程序指令进一步可由所述设备的所述处理元件执行以使所述设备:
确定所述电子邮件地址与所述多个电子邮件地址之间的差的第一均值;
确定所述多个电子邮件地址的长度的变化系数;
确定所述电子邮件地址与所述用户的名字之间的差以及所述多个电子邮件地址与对应用户的名字之间的差的第二均值;
基于所述第一均值、所述长度变化系数和所述第二均值来确定得分;
将所述分数与阈值进行比较;
基于所述得分与所述阈值的比较来确定所述电子邮件地址是脚本生成的电子邮件地址的可能性。
20.如权利要求16的计算机程序产品,其中该使用行为与所述参考模型的比较包括所述使用行为与由所述网络上的可疑用户表现的历史使用行为的比较。
CN201980057418.7A 2018-09-06 2019-08-21 计算机网络中的可疑活动检测 Active CN112640388B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/123,521 US10778689B2 (en) 2018-09-06 2018-09-06 Suspicious activity detection in computer networks
US16/123,521 2018-09-06
PCT/IB2019/057035 WO2020049391A1 (en) 2018-09-06 2019-08-21 Suspicious activity detection in computer networks

Publications (2)

Publication Number Publication Date
CN112640388A true CN112640388A (zh) 2021-04-09
CN112640388B CN112640388B (zh) 2022-12-20

Family

ID=69718870

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980057418.7A Active CN112640388B (zh) 2018-09-06 2019-08-21 计算机网络中的可疑活动检测

Country Status (6)

Country Link
US (1) US10778689B2 (zh)
JP (1) JP2021536052A (zh)
CN (1) CN112640388B (zh)
DE (1) DE112019003042B4 (zh)
GB (1) GB2590851B (zh)
WO (1) WO2020049391A1 (zh)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11477217B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Intruder detection for a network
US11477197B2 (en) 2018-09-18 2022-10-18 Cyral Inc. Sidecar architecture for stateless proxying to databases
US11570173B2 (en) 2018-09-18 2023-01-31 Cyral Inc. Behavioral baselining from a data source perspective for detection of compromised users
US11240257B2 (en) * 2019-03-07 2022-02-01 Lookout, Inc. Domain name and URL visual verification for increased security
US20210397903A1 (en) * 2020-06-18 2021-12-23 Zoho Corporation Private Limited Machine learning powered user and entity behavior analysis
US11847537B2 (en) 2020-08-12 2023-12-19 Bank Of America Corporation Machine learning based analysis of electronic communications
CN112861128A (zh) * 2021-01-21 2021-05-28 微梦创科网络科技(中国)有限公司 一种批量识别机器账号的方法及系统
CN113656652A (zh) * 2021-08-31 2021-11-16 平安医疗健康管理股份有限公司 医保违规行为的检测方法、装置、设备及存储介质
CN113923019B (zh) * 2021-10-09 2023-07-21 天翼物联科技有限公司 物联网系统安全防护方法、装置、设备及介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100281539A1 (en) * 2009-04-29 2010-11-04 Juniper Networks, Inc. Detecting malicious network software agents
US20130325991A1 (en) * 2011-11-09 2013-12-05 Proofpoint, Inc. Filtering Unsolicited Emails
CN105337993A (zh) * 2015-11-27 2016-02-17 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
US9332022B1 (en) * 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
CN105681312A (zh) * 2016-01-28 2016-06-15 李青山 一种基于频繁项集挖掘的移动互联网异常用户检测方法
US20170364702A1 (en) * 2015-06-02 2017-12-21 ALTR Solutions, Inc. Internal controls engine and reporting of events generated by a network or associated applications
US20180227324A1 (en) * 2011-11-09 2018-08-09 Proofpoint, Inc. Methods and systems for generating dashboards for displaying threat insight information and providing security architecture

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5819226A (en) 1992-09-08 1998-10-06 Hnc Software Inc. Fraud detection using predictive modeling
US6029154A (en) 1997-07-28 2000-02-22 Internet Commerce Services Corporation Method and system for detecting fraud in a credit card transaction over the internet
US8769671B2 (en) * 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US20090182818A1 (en) * 2008-01-11 2009-07-16 Fortinet, Inc. A Delaware Corporation Heuristic detection of probable misspelled addresses in electronic communications
EP3553713A1 (en) 2008-06-12 2019-10-16 Guardian Analytics, Inc. Modeling users for fraud detection and analysis
WO2010062986A2 (en) 2008-11-26 2010-06-03 Ringcentral, Inc. Fraud prevention techniques
CN102209075A (zh) 2011-06-02 2011-10-05 国家计算机病毒应急处理中心 基于行为的恶意邮件发送节点检测方法
US9424612B1 (en) * 2012-08-02 2016-08-23 Facebook, Inc. Systems and methods for managing user reputations in social networking systems
US20140358939A1 (en) * 2013-05-31 2014-12-04 Emailvision Holdings Limited List hygiene tool
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US20150358343A1 (en) * 2014-06-09 2015-12-10 Akamai Technologies, Inc. Detection and classification of malicious clients based on message alphabet analysis
US9398047B2 (en) 2014-11-17 2016-07-19 Vade Retro Technology, Inc. Methods and systems for phishing detection
US9740858B1 (en) 2015-07-14 2017-08-22 Trend Micro Incorporated System and method for identifying forged emails
CN105072137B (zh) 2015-09-15 2016-08-17 北京灵创众和科技有限公司 鱼叉式钓鱼邮件的检测方法及装置
US9654492B2 (en) 2015-09-15 2017-05-16 Mimecast North America, Inc. Malware detection system based on stored data
US20190132352A1 (en) * 2017-10-31 2019-05-02 Microsoft Technology Licensing, Llc Nearline clustering and propagation of entity attributes in anti-abuse infrastructures
US11477219B2 (en) * 2018-02-20 2022-10-18 Darktrace Holdings Limited Endpoint agent and system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100281539A1 (en) * 2009-04-29 2010-11-04 Juniper Networks, Inc. Detecting malicious network software agents
US20130325991A1 (en) * 2011-11-09 2013-12-05 Proofpoint, Inc. Filtering Unsolicited Emails
US20180227324A1 (en) * 2011-11-09 2018-08-09 Proofpoint, Inc. Methods and systems for generating dashboards for displaying threat insight information and providing security architecture
US9332022B1 (en) * 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US20170364702A1 (en) * 2015-06-02 2017-12-21 ALTR Solutions, Inc. Internal controls engine and reporting of events generated by a network or associated applications
CN105337993A (zh) * 2015-11-27 2016-02-17 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
CN105681312A (zh) * 2016-01-28 2016-06-15 李青山 一种基于频繁项集挖掘的移动互联网异常用户检测方法

Also Published As

Publication number Publication date
DE112019003042T5 (de) 2021-04-22
GB202102550D0 (en) 2021-04-07
JP2021536052A (ja) 2021-12-23
GB2590851A (en) 2021-07-07
CN112640388B (zh) 2022-12-20
DE112019003042B4 (de) 2023-05-25
US10778689B2 (en) 2020-09-15
US20200084219A1 (en) 2020-03-12
GB2590851B (en) 2022-01-12
WO2020049391A1 (en) 2020-03-12

Similar Documents

Publication Publication Date Title
CN112640388B (zh) 计算机网络中的可疑活动检测
US10812254B2 (en) Identity confidence score based on blockchain based attributes
US9894086B2 (en) Managing security breaches in a networked computing environment
CN112396521B (zh) 用于降低区块链中智能合约的风险的方法和系统
US10542023B2 (en) Detecting compromised social media accounts by analyzing affinity groups
US11134081B2 (en) Authentication mechanism utilizing location corroboration
US20200234310A1 (en) Identity proofing for online accounts
US20210158102A1 (en) Determining Data Representative of Bias Within a Model
US20220224722A1 (en) Rapid initial deployment database security model
US11080379B2 (en) User authentication
TWI792923B (zh) 使用基於用戶互動歷史之模型來增強移動設備中之用戶驗證之電腦實施方法、電腦系統及電腦程式產品
US11900078B2 (en) Tuning a container orchestrator
US11893132B2 (en) Discovery of personal data in machine learning models
US20210352078A1 (en) Restricting access to cognitive insights
US20210320908A1 (en) Computer resource provisioning
US10956384B2 (en) Assessing aggregated data quality
GB2600551A (en) Detection of associations between datasets
US11307958B2 (en) Data collection in transaction problem diagnostic
KR20220086686A (ko) 멀티-클라우드 환경에서 워크로드들의 구현
US11886468B2 (en) Fingerprint-based data classification
US11683317B2 (en) Behavior management
US20220191229A1 (en) Making security recommendations
US20210377306A1 (en) Trend-aware combo-squatting detection
US20240095547A1 (en) Detecting and rectifying model drift using governance
US20210089383A1 (en) Tracking cluster image mutation events

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40050276

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant