CN113302606A - 用于检测未授权访问的方法和系统 - Google Patents
用于检测未授权访问的方法和系统 Download PDFInfo
- Publication number
- CN113302606A CN113302606A CN201980089381.6A CN201980089381A CN113302606A CN 113302606 A CN113302606 A CN 113302606A CN 201980089381 A CN201980089381 A CN 201980089381A CN 113302606 A CN113302606 A CN 113302606A
- Authority
- CN
- China
- Prior art keywords
- peer
- account
- user
- failed
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 46
- 230000004044 response Effects 0.000 claims abstract description 55
- 230000009471 action Effects 0.000 claims abstract description 42
- 230000008569 process Effects 0.000 claims description 9
- 238000013475 authorization Methods 0.000 claims description 6
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 108091027981 Response element Proteins 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/34—User authentication involving the use of external additional devices, e.g. dongles or smart cards
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/42—User authentication using separate channels for security data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Social Psychology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
描述了用于标识对访问计算机系统中的账户的未授权尝试的方法和系统,该账户具有已授权用户。该方法和系统包括确定访问账户的失败尝试的计数超过最大值。基于计数超过最大值,与已授权用户相关联的一个或多个对等联系人被从所存储的用户数据检索。失败归属请求被传送到一个或多个对等联系人,并且来自一个或多个对等联系人中的至少一个对等联系人的响应被接收。如果响应否定是已授权用户导致了失败尝试,则关于该账户的安全动作被采取。该方法可以包括首先确认失败归属请求的数目还没有超过滥用阈值,以阻止拒绝服务攻击。
Description
技术领域
本申请一般地涉及计算机安全,并且尤其涉及检测对账户的未授权访问。
背景技术
在计算系统中,通常通过要求针对访问的请求附随有用户凭证来维护安全。那些所提供的凭证与所存储的已授权用户凭证进行比较,并且如果通过验证,则用户访问请求被认为是已认证的并且访问被授权。
为获得对用户账户的非法访问的强力攻击可能涉及一系列失败的认证尝试。为了限制这种攻击向量,系统有时限制在一段时间内的失败尝试的数目。然而,这通过封锁对合法用户的访问而促进拒绝服务攻击。此外,在一些情况下,这些尝试是已授权用户的合法尝试,但是用户拼错了凭证或者记错了他或她的密码。针对系统而言,区分合法用户认证失败和来自已授权用户之外的其他人的非法尝试认证将是有利的。虽然这些失败尝试被记录,但是它们更经常是不可见的或者被用户忽略的。一些系统将提示用户来自新主机的新登录是否合法,但是如果账户被盗用,在合法用户可以看到警报之前,这些警报可能被删除。
附图说明
现在将通过示例的方式参考示出本申请的示例实施例的附图,并且其中:
图1图示地示出了包括用于管理对安全系统的用户认证的认证器的示例系统;
图2以流程图的形式示出了标识对访问计算机系统中的账户的未授权尝试的一个示例方法;以及
图3以流程图的形式示出了标识对访问计算机系统中的账户的未授权尝试的另一示例方法。
在不同的图中可能使用了相似的参考标号来表示相似的组件。
具体实施方式
在第一方面,本申请描述了一种标识对访问计算机系统中的账户的未授权尝试的方法,账户具有已授权用户。方法可以包括:确定访问账户的失败尝试的计数超过最大值;基于计数超过最大值,从所存储的用户数据检索与已授权用户相关联的一个或多个对等(peer)联系人;向一个或多个对等联系人传送失败归属请求;接收来自一个或多个对等联系人中的至少一个对等联系人的响应;当响应否定已授权用户导致了失败尝试时,采取关于账户的安全动作。
在另一方面,本申请描述了一种用于标识对访问计算机系统中的账户的未授权尝试的系统,账户具有已授权用户。系统包括:处理器;存储用户数据的存储器,用户数据包括与已授权用户相关联的一个或多个对等联系人;以及认证应用,其包含处理器可执行指令,处理器可执行指令在由处理器执行时使处理器:确定访问账户的失败尝试的计数超过最大值;基于计数超过最大值,从存储器检索与已授权用户相关联的一个或多个对等联系人;向一个或多个对等联系人传送失败归属请求;接收来自一个或多个对等联系人中的至少一个对等联系人的响应;以及当响应否定已授权用户导致了失败尝试时,采取关于账户的安全动作。
在一些实现中,确定包括针对访问的请求中的所接收的凭证与所存储的用户凭证进行比较以发现它们不匹配,并且增加失败尝试的关联计数。
在一些实现中,所存储的用户数据包括对等列表,该对等列表包含与已授权用户相关联的一个或多个对等联系人。在一些情况下,该列表与所述账户关联地被存储。在一些情况下,对等列表中的每个对等联系人包括,失败归属请求要被传送到的对等联系人信息。
在一些实现中,安全动作包括以下至少一项:向安全管理员发送通知,更改针对账户的授权设置,暂时阻止对账户的进一步访问尝试,或者在成功认证后,施加访问账户所需的进一步级别的认证。
在一些实现中,方法和系统可以进一步包括,将归属请求传送到针对已授权用户的用户联系人地址,接收来自用户联系人地址的响应,以及当响应否定用户参与失败尝试时,则采取安全动作。
在一些实现中,一个或多个对等联系人包括按照层级顺序的多个对等联系人,并且传送包括,向层级顺序中的第一对等联系人传送失败归属请求;等待响应;以及如果响应在时间窗口内没有被接收,向层级顺序中的下一对等联系人发送失败请求。在一些情况下,方法和系统可以包括,当等待响应时暂时阻止对账户的进一步访问尝试。在一些情况下,针对层级顺序中的每个连续的对等联系人的等待和发送被重复,直到响应被接收或者针对最后的对等联系人的时间窗口过期。
在一些实现中,其中传送失败归属请求包括:将时间段内传送的失败归属请求的数目低于滥用阈值确定作为传送归属请求的先决条件。
通过结合附图阅读以下示例描述,本领域的普通技术人员将理解本申请的其他方面和特征。
在本申请中,术语“约”、“大约”和“基本上”旨在涵盖可存在于值范围的上限和下限中的变化,诸如性质、参数和尺寸的变化。在非限制性示例中,术语“约”、“大约”和“基本上”可以意味着加或减10%或更少。
在本申请中,术语“和/或”旨在覆盖所列出的元素的所有可能的组合和子组合,包括所列出的元素中的任何一个单独元素、任何子组合或者所有元素,并且不必然地排除附加元素。
在本申请中,短语“……或……中的至少一个”旨在覆盖所列出的元素中的任何一个或多个元素,包括所列出的元素中的任何一个单独元素、任何子组合或所有元素,而不必排除任何附加元素,并且不必然地需要所有元素。
本文可以做出对访问“账户”的尝试的参考。术语“账户”将被给予广泛的解释,并且不限于特定类型的账户。它意味着指对该资源的访问可以通过用户身份询问的方式来被限制的任何资源。示例可以包括尝试打开锁定的设备如移动电话或个人计算机,尝试访问计算机环境,如企业网络或社交网络上的用户账户,或尝试访问服务,如视频流服务。在该意义上,“账户”是指对呈现有效认证凭证的用户具有受限访问的任何计算机安全资源。
在计算设备和网络环境中,认证是基石安全技术。认证涉及接收一些输入以证明请求访问资源的用户的身份。用户认证数据的最典型的示例是用户名和密码。其它示例可以包括生物特征输入、没有用户名的单独密码(虽然它可以与一个用户名相关联)、对质询短语的回答等。认证器通过将所提供的用户认证数据与所存储的用户数据进行比较来验证所提供的用户认证数据的有效性。用户数据可以包括针对多个用户的简档,每个简档具有唯一的用户名和密码。用户数据可以包括附加数据,诸如指示用户可用的访问级别的授权数据。
针对计算系统的安全挑战是防止重复尝试访问账户。一种技术是限制连续失败尝试的数目,并且如果进行了太多尝试但没有成功,则锁定账户。这对于合法用户来说是令人失望的,合法用户拼写错误、忘记大写锁定开着、已经记错他们的密码或者尝试许多他们更常用的密码以尝试猜测他们对该账户使用了哪个密码。此外,在最大数目的失败尝试之后锁定账户产生拒绝服务风险。这可以通过将账户的锁定时间限制在短时间内来解决,但这样允许了继续攻击,尽管速度会更慢。其他技术可能试图使用行为分析、IP地址信息或其他侧面信息以试图评估失败尝试访问的性质,以区分合法用户的失败尝试和恶意的失败尝试。
当用户成功登录到账户时(即认证成功时),作为一种提高系统安全性的技术,系统可以施加两因素认证(2FA)。2FA在第一次成功认证之后简单地施加第二认证步骤。这可以通过在同一用户界面处呈现进一步的用户凭证请求,或者可以通过经由针对同一用户的备选用户账户提供一些数据(例如代码),并且请求用户访问该备选用户账户并且呈现该数据以进一步认证用户的身份。如果针对两个账户的用户凭证都被盗用,则恶意参与者可能能够通过2FA过程。强2FA要求一个元素是仅用户知道的东西,以及仅用户拥有的东西,诸如唯一的旋转令牌或类似于移动电话以确认次批准提示的次设备。
2FA向用户认证添加了附加安全层,但是没有解决认证失败的问题,并且没有解决对评估失败认证是代表对系统的攻击还是合法用户访问他们账户的尝试的需求。
根据本申请的一个方面,计算系统通过获得归属信息来确定如何处理认证失败。在一个实例中,用户可以经由单独的通信信道被联系(诸如通过不同的账户或不同的设备)以征求关于访问账户的一个或多个失败尝试的信息。通过单独的通信信道,用户可以确认(多个)失败尝试是可归属于用户的,或者可以否定(多个)失败尝试是可归属于用户的。如果对征求的响应是否定归属,则系统可以采取某些安全动作,因为(多个)失败尝试是可能的攻击。
根据本申请的另一方面,作为来自用户征求信息的备选或附加,归属信息可以从与用户相关联的一个或多个对等中征求。即,系统可以已经存储了与用户相关联的、将用户链接到一个或多个对等的信息。一个或多个对等可能在针对一个或多个对等指定的设备或联系点处被发送归属请求。来自对等中的一个对等的响应可以指示(多个)失败认证尝试是可归属于用户的,系统可以将该响应视为(多个)失败认证尝试是合法用户失败的验证。这种确定可以意味着任何警报或锁定条件可以被清除。来自对等的、指示该(多个)失败认证尝试不是来自用户的响应可以触发安全动作。在一些实例中,即使用户已经指示(多个)失败尝试是合法的,非用户归属的对等指示可以导致安全动作。
首先参考图1,其示意性地图示了用于检测对用户认证的可能攻击的示例系统100。系统100包括安全系统102。安全系统102表示一个或多个用户寻求访问的资源。在一些情况下,安全系统102可以包括具有其所有内部资源的公司网络环境。在其他示例中,它可以是社交网络、游戏网络、金融网络或任何其他类型的计算资源。安全系统102可以可操作地连接到多个网络,所述多个网络可以包括公共网络、私有网络或两者。
认证器104管理对访问安全系统102的用户请求的认证。认证器104可以包括或有权访问所存储的用户数据106。认证请求向认证器104提供用户认证数据,认证器随后通过将用户认证数据与所存储的用户数据106进行比较来评估用户认证数据的有效性。例如,所存储的用户数据106可以包括针对多个已授权用户的标识数据,包括用户名(或用户ID)、相关联的密码和任何相关联的安全设置,如授权级别。
在该示例系统100中,用户数据106包括针对每个用户的失败认证尝试的记录,该记录可以包括失败认证尝试108的计数。这些尝试可以包括访问与特定用户相关联的账户的所有不成功尝试。在一些情况下,计数可以是在没有成功认证的情况下连续失败尝试的计数。在一些情况下,计数可以在时间上被限制为在过去的小时、天、周或一些其他时间段中的尝试。在又一情况下,计数可以包括在一段时间内的非连续尝试。失败认证尝试的记录可以包括关于尝试的附加元数据,诸如IP地址或关于尝试源的其他标识信息。
在该示例中,系统100进一步包括在用户数据106内的与已授权用户相关联地存储的对等列表110。对等列表110包含针对已授权用户所指定的针对一个或多个对等的标识符。当配置他或她的账户作为设置过程的部分时,指定可以由已授权用户做出。在一些情况下,诸如公司环境,对等的指定可以是基于策略的并且至少部分地由管理员控制。例如,已授权用户可以被要求将他或她的直接监督者包括为对等。
对等列表110可以包括针对对等中的每个对等的用户标识符,诸如用户名或用户ID。认证器104可以访问对等列表110以获得针对对等的用户识别符。对等列表110可以包括针对每个对等的联系人信息。在一些实现中,认证器104可以基于对等列表110中的用户标识符来搜索针对每个对等的联系人细节的用户数据106。联系人细节可以包括移动号码、电子邮件地址、消息收发身份、社交网络标识符、SIP URI或认证器104可以向其发送通知或请求的其他对等联系人数据。在一些实现中,对等列表110可以包括对等是否可用的状态。可以理解,对等联系人是与用户账户相关联的用户的不同并且分开的个人。对等联系人信息包括与对等联系人相关联(拥有或操作)的一个或多个地址或账户。它可以包括设备标识符或由对等联系人控制的设备或账户专用的其它数据,这些数据表示标识针对对等联系人的联系人信息。为了清楚起见,对等联系人信息不是针对用户的备选账户或联系人信息。
在开放系统中,对等可能不一定是安全系统102的已授权用户,并且可能不将其细节在用户数据106中作为安全系统102的用户存储。然而,已授权用户可能已经将它们指定为用户账户的配置上的对等,并且可能已经提供对等联系人数据,对等联系人数据随后被存储在对等列表110中或与对等列表110相关联。
尽管被图示为单个数据库,但是用户数据106可以被实现为包括数据库的两个或更多个数据存储元素,并且可能存在多个记录,其中记录中的至少一个记录存储针对用户的用户认证信息,并且其中记录的至少另一记录存储与用户相关联的对等列表110。
如上所述,认证器104可以跟踪与用户账户相关联的失败认证尝试。如果失败认证尝试的数目超过最大值,则认证器104可以输出归属请求。针对归属请求的触发可以是针对用户账户的失败认证尝试的计数超过预设阈值,诸如五或十。在一些实现中,触发可以基于连续失败的认证尝试而没有成功的认证。触发还可以考虑失败发生的时间,使得阈值基于在某个时间窗口(例如15分钟、一小时、一天等)内的失败认证尝试的最大数目。一些实现可以考虑在来自给定源IP地址的没有成功的情况下失败尝试的数目,或者如果源IP不是肯定的认证的最近源,则考虑较低阈值。在确定是否发送归属请求时可以包括其他因素。
一旦认证器104确定归属请求将被发送,则它向用户、一个或多个对等或两者发送消息。消息可以通过任何合适的介质发送,包括即时消息、SMS、电子邮件或其他通信类型。该消息通知用户和/或对等存在访问用户账户的失败尝试的最大数目,并且请求接收方指示该尝试是否由用户做出。取决于实现,消息可以包括可选择的图标、按钮或其它响应元素以触发响应消息。在一些情况下,消息可以包括两个不同的可选择响应元素:一个将失败归属于用户,而另一个将失败归属于用户之外的某人。在一些情况下,消息可以包括链接,当该链接被选择时,打开浏览器会话并且链接到通过网页可以提供归属响应的该网页。用于从用户和/或对等的征求和获得电子反馈的其它机制可以被理解。
在一些情况下,该消息可以包含关于失败认证尝试的信息。该信息可以由认证器104从针对该用户账户的失败认证尝试的所存储的记录中获得。消息中的信息可以包括标识用户账户和用户的信息、每次尝试的时间和/或日期、访问尝试似乎源自的地理位置(例如,基于IP地址)和/或失败尝试的计数。
尽管为了便于讨论,认证器104被示为与安全系统102分离,将理解,认证器104可以被实现为安全系统102的部分。还将理解,认证器104可以通过合适的计算平台上操作的软件来实现,诸如服务器或类似的联网计算系统。该软件由计算系统内的一个或多个处理器执行以使计算系统执行认证器104的所描述的操作。任何合适的编程语言和/或程序结构可以被用于实现软件实现的认证器104。
安全系统102被示为在联网环境的“云”中。在一些情况下,安全系统102可以部分地或全部地位于具有到云的网络连接的用户设备本地。认证器104可以部分地在用户设备上本地实现,以保护安全系统102,并且部分地在云中实现以对输入的用户凭证执行用户认证,并且通过向用户设备提供访问令牌等来授权访问。本领域的普通技术人员将理解针对安全系统102的其他体系结构。
现在参考图2,其以流程图的形式示出了用于标识对访问计算机系统中的账户的未授权尝试的一个示例方法200。方法200可由认证器104实现。
在操作202中,对用户账户进行访问尝试。这可以涉及通过网站、移动应用、锁屏或其他软件安全检查点的方式的登录尝试。在一些实现中,访问尝试包括接收用户凭证,诸如用户名和密码等。在一些情况下,访问尝试可以涉及远程计算设备与认证器之间的多个消息的交换。用户凭证在操作204中被评估以评定它们是否有效。例如,这可以包括查询存储用户名和密码组合的用户数据库。如本领域普通技术人员将理解的,可以使用适当的加密和哈希算法来保护数据库。如果用户凭证在操作204中被确定有效,请求者被授予访问206。这可以包括向远程设备提供安全令牌或数据,使它能够访问安全系统的更进一步的部分。它可以包括在远程设备和安全系统之间建立安全连接或会话。用于使得能够访问安全系统的其他机制将被被理解。
如果在操作204中用户凭证被确定为无效,则在操作208中确定失败认证尝试是否导致超过与用户账户相关联的失败的阈值数目。在这点上,将理解,访问尝试与给定用户账户相关联。针对在较低风险环境中的实现,阈值可以被设置为比针对中等风险环境的阈值更大的数目。针对较高风险,阈值可以被设置为低,或者设置为1(一),以在每次失败的尝试时警告对等。如果访问尝试涉及对标识现有的用户账户的失败,例如由于提供了不具有相关联的账户的不正确的用户名,则失败尝试不必根据任何用户账户来被计数。还将理解,阈值可以考虑多个因素,包括发生失败尝试的时间窗口、是否进行了任何中间成功尝试、以及如上所述的其它因素。
如果在操作208中确定失败认证尝试的计数没有超过阈值,则方法200返回到操作202。如果计数超过阈值,则归属信息可以被寻求以标识未认证尝试的源。在操作210中,与用户账户相关联的用户联系信息被检索。这可以包括电子邮件、移动号码、消息ID或与用户账户相关联地存储的其他用户联系人数据。在操作212,针对与用户账户相关联的一个或多个对等的对等联系人信息被检索。这可以包括从与用户账户相关联的对等所存储的对等列表中获得对等联系人信息。对等联系人信息可以包括电子邮件、移动号码、消息ID或系统可以向其发送消息或通知的其他对等联系人信息。
在操作214中,向用户和对等发送通知。针对给定的实现,可以经由任何合适的通信介质来发送通知,诸如SMS、电子邮件、社交网络消息、即时消息或其他这样的介质。基于在操作210和212中获得的联系人信息,通知被寻址。对用户的通知可以不同于对对等的通知。通知可以包含到网站或其他界面的链接,通过该网站或其他界面,接收者可以提供响应。所寻求的响应是失败的尝试是否可以归属于用户。在其自身中,操作214可以由攻击者利用,该攻击者在大范围的已授权用户上制作多个失败认证尝试,触发大量对等确认请求。如此,一些实现将建立计数器措施,操作217,以在给定时间帧中对对等确认请求进行计数,并且对请求进行压制,以及在操作225中触发适当的安全动作。如果计数低于可接受的阈值(该阈值可以被标记为“滥用阈值”),则该过程将继续到操作216。应当理解,操作217可以在操作214之前发生,作为传送通知的先决条件。
在该示例中,系统首先等待来自用户的响应,如操作216所指示的。如果从用户接收的响应是否定尝试是由用户做出的,则系统可以在操作218中采取安全动作。如果响应是尝试是由用户的合法尝试,则系统继续评估至少一个对等响应。在可以确定没有直接对等可用于响应的一些实现中,以及取决于所应用的安全风险等级和管理策略,系统可以触发适当的安全动作。在本公开的一个实施例中,在操作225中执行的安全动作不同于在操作218中执行的安全动作。更准确地说,在本公开的一个实施例中,从安全性的观点来看,在操作218中执行的安全动作比在操作225中执行的安全动作更严格。在变型中,在操作225中执行的安全动作和在操作218中执行的安全动作是相同的。
在操作220中,系统评估对等响应。如果对等确认失败尝试可归属于用户,则系统返回到202,并且不采取安全动作。在一些情况下,系统可以清除关于用户账户的受限安全设置。在一个示例中,系统可以将存储在计数中的失败尝试的数目清零,以便在没有立即重新触发归属过程的情况下,使得用户能够重试访问账户。
如果在操作220中对等响应否定用户归属,则在操作222中系统采取安全动作。
安全动作可以包括向管理员或其他安全点发送通知。它可以包括改变针对用户账户的授权数据,以在发生成功认证的情况下提供更受限制的访问。在一些情况下,它可以包括可能在预设的时间段内锁定账户以阻止成功认证。在一些情况下,这可能导致附加的安全监管,诸如触发与用户账户相关联的所有活动以及访问用户账户的任何尝试的记录或更稳健的日志。在一些情况下,安全动作可以包括即使某人能够成功认证,也需要施加进一步级别的的认证。
在一些情况下,对对等的通知可以是基于对等的层级排序。在一个示例性实现中,归属过程不包括针对归属信息来联系用户,而仅涉及联系与用户账户相关联的一个或多个对等。图3示出了标识对访问计算机系统中的账户的未授权尝试的另一示例方法300。在该示例中,认证器监测访问尝试,并且确定失败连续访问尝试的数目何时超过阈值,如操作302、304、306和308所指示的。
一旦连续失败认证尝试的数目超过阈值,则在操作310中对等联系人信息被从存储中检索。对等联系人信息可以包括对等列表,对等列表可以按照顺序排列对等联系人。在一些情况下,管理策略可以确定顺序。例如,直接监督者可以被排序第一。IT部门代表可以被包括在排序中。同事可以具有比IT部门人员或监管人员更低的等级。
在操作312中,关于失败认证尝试的通知被发送给与用户账户相关联的第一或最高排序的对等联系人。该通知请求针对失败认证尝试的归属。特别地,它可以请求确认失败认证尝试是用户的失败尝试。系统随后等待响应,如操作314和316所指示的。响应时间可以被设置为针对特定实现的任何合适的时间。例如,可以将一些数目的分钟(1、2、5等)设置为响应时间。如果针对响应的请求没有导致来自对等联系人的归属响应的接收,则系统可以返回到操作312,以按照层级顺序向下一对等联系人发送通知,如操作322所示。在其自身中,操作312可以由攻击者利用,该攻击者在大范围的授权用户上进行多个失败的认证尝试,触发大量对等验证请求。如此,一些实现将建立计数器措施,操作313,以在给定时间帧中对对等确认请求进行计数,并且对请求进行压制,以及在操作315中触发适当的安全动作。如果计数低于滥用阈值,则该过程将继续到操作314。应当理解,操作313可以在操作312之前发生,并且作为先决条件,以发送操作312中的归属请求。
如果在操作318中接收到响应,则响应确认用户是失败尝试的源,在这种情况下,方法300返回到操作302以接受访问账户的新尝试,或者响应否定用户参与,在这种情况下,关于账户的安全动作被采取,如操作320所示。如上所述,安全动作可以包括通知、锁定、限制或以其他方式采取关于账户的动作的一个或多个操作。在本公开的一个实施例中,在操作315中执行的安全动作不同于在操作320中执行的安全动作。更准确地说,在本公开的一个实施例中,在操作320中执行的安全动作比在操作315中执行的安全动作更严格。在变型中,在操作315中执行的安全动作和在操作320中执行的安全动作是相同的。
在一些情况下,在等待来自对等联系人的响应时,可以实现安全动作以防止访问用户账户的进一步尝试。即,账户可以被临时地锁定同时等待来自对等联系人的归属信息。如果失败的认证尝试是攻击的部分,则这可以帮助减慢攻击。在操作318中对用户参与的确认可以导致对账户的限制的移除。相反,否定用户参与的对等联系人响应可以导致将账户限制留在原地作为操作322的安全动作。进一步的动作可以被采取,诸如向IT管理员发送关于锁定的账户的通知。
如果对等联系人列表被用尽而没有在超时时间段内接收到来自任何对等联系人的响应,和/或如果没有对等被确定为是活动的和/或可用的,则系统可被配置为:通知一个或多个IT管理员,解除安全限制,在备选用户联系人地址处寻找用户确认,或采取一个或多个其它动作。在一些示例中,账户可以保持锁定,直到对等联系人中的至少一个对等联系人回复通知或者安全管理员在充分的备选认证上清除事件。
本申请的示例实施例不限于任何特定的操作系统、系统架构、移动设备架构、服务器架构或计算机编程语言。
应当理解,可以使用标准计算机编程技术和语言来实现应用、模块、例程、进程、线程或实现所描述的方法/进程的其他软件组件。本申请不限于特定的处理器、计算机语言、计算机编程规约、数据结构或其它这样的实现细节。本领域技术人员将认识到,所描述的过程可以被实现为存储在易失性或非易失性存储器中的计算机可执行代码的部分、专用集成芯片(ASIC)的部分等。
可以对所描述的实施例进行某些修改和修改。因此,上述实施例被认为是说明性的而非限制性的。
Claims (22)
1.一种标识对访问计算机系统中的账户的未授权尝试的方法,所述账户具有已授权用户,所述方法包括:
确定访问所述账户的失败尝试的计数超过最大值;
基于所述计数超过所述最大值,从所存储的用户数据检索与所述已授权用户相关联的一个或多个对等联系人;
向所述一个或多个对等联系人传送失败归属请求;
接收来自所述一个或多个对等联系人中的至少一个对等联系人的响应;
当所述响应否定所述已授权用户导致了所述失败尝试时,采取关于所述账户的安全动作。
2.根据权利要求1所述的方法,其中确定包括:
接收用于访问所述账户的、具有所提供的凭证的请求;
确定所述所提供的凭证与针对所述账户的所存储的用户凭证不匹配;以及
增加所述失败尝试的计数。
3.根据权利要求1或2所述的方法,其中所述所存储的用户数据包括对等列表,所述对等列表包含与所述授权用户相关联的所述一个或多个对等联系人。
4.根据权利要求3所述的方法,其中所述对等列表与所述账户相关联地被存储。
5.根据权利要求3或4所述的方法,其中所述对等列表中的每个对等联系人包括:所述失败归属请求要被传送到的对等联系人信息。
6.根据权利要求1至5中任一项所述的方法,其中所述安全动作包括以下至少一项:向安全管理员发送通知,更改针对所述账户的授权设置,暂时阻止对所述账户的进一步访问尝试,或者在成功认证后,施加访问所述账户所需的进一步级别的认证。
7.根据权利要求1至6中任一项所述的方法,其中所述方法还包括:将归属请求传送到针对所述已授权用户的用户联系人地址,接收来自所述用户联系人地址的响应,以及当所述响应否定用户参与所述失败尝试时,则采取所述安全动作。
8.根据权利要求1至7中任一项所述的方法,其中所述一个或多个对等联系人包括按照层级顺序的多个对等联系人,并且其中传送包括:
向所述层级顺序中的第一对等联系人传送所述失败归属请求;
等待所述响应;以及
如果所述响应在时间窗口内未被接收,则向所述层级顺序中的下一对等联系人发送所述失败归属请求。
9.根据权利要求8所述的方法,其中所述方法还包括:在等待所述响应的同时,暂时阻止对所述账户的进一步访问尝试。
10.根据权利要求8或9所述的方法,其中所述等待和所述发送针对所述层级顺序中的每个连续的对等联系人而被重复,直到所述响应被接收或者针对最后的对等联系人的所述时间窗口过期。
11.根据权利要求1至10中任一项所述的方法,其中传送所述失败归属请求包括:将时间段内传送的失败归属请求的数目低于滥用阈值确定作为传送所述失败归属请求的先决条件。
12.一种用于标识对访问计算机系统中的账户的未授权尝试的系统,所述账户具有已授权用户,所述系统包括:
处理器;
存储用户数据的存储器,所述用户数据包括与所述已授权用户相关联的一个或多个对等联系人;以及
认证应用,包含处理器可执行指令,所述处理器可执行指令在由所述处理器执行时使所述处理器:
确定访问所述账户的失败尝试的计数超过最大值;
基于所述计数超过所述最大值,从所述存储器检索与所述已授权用户相关联的一个或多个对等联系人;
向所述一个或多个对等联系人传送失败归属请求;
接收来自所述一个或多个对等联系人中的至少一个对等联系人的响应;以及
当所述响应否定所述已授权用户导致了失败尝试时,采取关于所述账户的安全动作。
13.根据权利要求12所述的系统,其中所述指令使所述处理器通过以下操作来确定访问所述账户的失败尝试的所述计数超过所述最大值:
接收用于访问所述账户的、具有所提供的凭证的请求;
确定所述所提供的凭证与针对所述账户的所存储的用户凭证不匹配;以及
增加所述失败尝试的计数。
14.根据权利要求12或13所述的系统,其中所述所存储的用户数据包括对等列表,所述对等列表包含与所述已授权用户相关联的所述一个或多个对等联系人。
15.根据权利要求14所述的系统,其中所述对等列表与所述账户相关联地被存储。
16.根据权利要求14或15所述的系统,其中所述对等列表中的每个对等联系人包括:所述失败归属请求要被传送到的对等联系人信息。
17.根据权利要求12至16中任一项所述的系统,其中所述安全动作包括以下至少一项:向安全管理员发送通知,更改针对所述账户的授权设置,暂时阻止对所述账户的进一步访问尝试,或者在成功认证后,施加访问所述账户所需的进一步级别的认证。
18.根据权利要求12至17中任一项所述的系统,其中所述指令还使所述处理器:将归属请求传送到针对所述已授权用户的用户联系人地址,接收来自所述用户联系人地址的响应,以及当所述响应否定用户参与所述失败尝试时,则采取所述安全动作。
19.根据权利要求12至18中任一项所述的系统,其中所述一个或多个对等联系人包括按照层级顺序的多个对等联系人,并且其中所述指令使所述处理通过以下操作来传送:
向所述层级顺序中的第一对等联系人传送所述失败归属请求;
等待所述响应;以及
如果所述响应在时间窗口内未被接收,则向所述层级顺序中的下一对等联系人发送所述失败归属请求。
20.根据权利要求19所述的系统,其中所述指令还使所述处理器:在等待所述响应的同时,暂时阻止对所述账户的进一步访问尝试。
21.根据权利要求19或20所述的系统,其中所述等待和所述发送针对所述层级顺序中的每个连续的对等联系人而被重复,直到所述响应被接收或者针对最后的对等联系人的所述时间窗口过期。
22.一种非暂态计算机可读存储介质,存储指令,所述指令在由计算机系统的处理器执行时,使所述处理器标识对访问账户的未授权尝试,所述账户具有已授权用户,所述指令在由所述处理器执行时,使所述处理器:
确定访问所述账户的失败尝试的计数超过最大值;
基于所述计数超过所述最大值,从所存储的用户数据检索与所述已授权用户相关联的一个或多个对等联系人;
向所述一个或多个对等联系人传送失败归属请求;
接收来自所述一个或多个对等联系人中的至少一个对等联系人的响应;
当所述响应否定所述已授权用户导致了所述失败尝试时,采取关于所述账户的安全动作。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/250,410 US11616774B2 (en) | 2019-01-17 | 2019-01-17 | Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts |
| US16/250,410 | 2019-01-17 | ||
| PCT/CA2019/051741 WO2020146935A1 (en) | 2019-01-17 | 2019-12-04 | Methods and systems for detecting unauthorized access |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113302606A true CN113302606A (zh) | 2021-08-24 |
Family
ID=71609220
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980089381.6A Pending CN113302606A (zh) | 2019-01-17 | 2019-12-04 | 用于检测未授权访问的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11616774B2 (zh) |
| EP (1) | EP3877877A4 (zh) |
| CN (1) | CN113302606A (zh) |
| WO (1) | WO2020146935A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11356472B1 (en) * | 2019-12-16 | 2022-06-07 | Wells Fargo Bank, N.A. | Systems and methods for using machine learning for geographic analysis of access attempts |
| US11601435B1 (en) * | 2021-06-07 | 2023-03-07 | Wells Fargo Bank, N.A. | System and method for graduated deny lists |
| US11972427B2 (en) * | 2021-07-27 | 2024-04-30 | Subway IP LLC | System for deterring unauthorized access to an account associated with an online ordering platform |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6891819B1 (en) * | 1997-09-05 | 2005-05-10 | Kabushiki Kaisha Toshiba | Mobile IP communications scheme incorporating individual user authentication |
| US7139917B2 (en) * | 2000-06-05 | 2006-11-21 | Phoenix Technologies Ltd. | Systems, methods and software for remote password authentication using multiple servers |
| WO2004008284A2 (en) | 2002-07-12 | 2004-01-22 | Checkspert, Inc. | System and method for remote supervision and authentication of user activities at communication network workstations |
| US7568098B2 (en) * | 2003-12-02 | 2009-07-28 | Microsoft Corporation | Systems and methods for enhancing security of communication over a public network |
| US7383575B2 (en) * | 2003-12-23 | 2008-06-03 | Lenovo (Singapore) Pte Ltd. | System and method for automatic password reset |
| US20050188080A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user access for a server application |
| US8090945B2 (en) * | 2005-09-16 | 2012-01-03 | Tara Chand Singhal | Systems and methods for multi-factor remote user authentication |
| US7650368B2 (en) * | 2007-02-07 | 2010-01-19 | At&T Intellectual Property I, L.P. | Methods, systems, and products for restoring electronic media |
| US8130747B2 (en) * | 2007-08-06 | 2012-03-06 | Blue Coat Systems, Inc. | System and method of traffic inspection and stateful connection forwarding among geographically dispersed network appliances organized as clusters |
| US8738923B2 (en) * | 2007-09-14 | 2014-05-27 | Oracle International Corporation | Framework for notifying a directory service of authentication events processed outside the directory service |
| US7979419B2 (en) * | 2007-11-01 | 2011-07-12 | Sharp Laboratories Of America, Inc. | Distributed search methods for time-shifted and live peer-to-peer video streaming |
| US8909297B2 (en) * | 2008-03-04 | 2014-12-09 | Mike Matas | Access management |
| US8732829B2 (en) | 2008-04-14 | 2014-05-20 | Tdi Technologies, Inc. | System and method for monitoring and securing a baseboard management controller |
| US8615551B2 (en) * | 2009-09-08 | 2013-12-24 | Nokia Corporation | Method and apparatus for selective sharing of semantic information sets |
| CN103140833A (zh) * | 2010-10-13 | 2013-06-05 | 中兴通讯(美国)公司 | 用于多媒体多方对等操作(m2p2)的系统和方法 |
| US8516607B2 (en) * | 2011-05-23 | 2013-08-20 | Qualcomm Incorporated | Facilitating data access control in peer-to-peer overlay networks |
| WO2013016142A1 (en) * | 2011-07-22 | 2013-01-31 | Raketu Communications, Inc. | Self-adapting direct peer to peer communication and messaging system |
| US9092969B2 (en) * | 2011-12-29 | 2015-07-28 | Verizon Patent And Licensing Inc. | Method and system for invoking a security function of a device based on proximity to another device |
| US20120266209A1 (en) * | 2012-06-11 | 2012-10-18 | David Jeffrey Gooding | Method of Secure Electric Power Grid Operations Using Common Cyber Security Services |
| US20140007205A1 (en) * | 2012-06-28 | 2014-01-02 | Bytemobile, Inc. | No-Click Log-In Access to User's Web Account Using a Mobile Device |
| US8904480B2 (en) * | 2012-11-29 | 2014-12-02 | International Business Machines Corporation | Social authentication of users |
| US9223950B2 (en) * | 2013-03-05 | 2015-12-29 | Intel Corporation | Security challenge assisted password proxy |
| US9374364B2 (en) | 2013-10-16 | 2016-06-21 | Teleperformance Se | Method and system for implementing video two factor authentication |
| US9544306B2 (en) | 2013-10-29 | 2017-01-10 | Airwatch Llc | Attempted security breach remediation |
| US9667637B2 (en) * | 2014-06-09 | 2017-05-30 | Guardicore Ltd. | Network-based detection of authentication failures |
| US20160036902A1 (en) * | 2014-07-31 | 2016-02-04 | Google Technology Holdings LLC | Method and apparatus for sharing content between devices in peer-to-peer networks |
| CN104333863B (zh) | 2014-10-20 | 2018-11-30 | 小米科技有限责任公司 | 连接管理方法及装置、电子设备 |
| US11411826B2 (en) * | 2015-03-30 | 2022-08-09 | Irdeto B.V. | Monitoring a peer-to-peer network |
| US9621737B2 (en) * | 2015-08-27 | 2017-04-11 | Google Inc. | Abuse detection for phone number lookups |
| US9755949B2 (en) * | 2015-09-21 | 2017-09-05 | Verizon Digital Media Services Inc. | Network failover and loop detection in hierarchical networks |
| JP6613909B2 (ja) * | 2016-01-15 | 2019-12-04 | 富士通株式会社 | 相互認証方法、認証装置および認証プログラム |
| US10771479B2 (en) * | 2016-09-26 | 2020-09-08 | Splunk Inc. | Configuring modular alert actions and reporting action performance information |
| US10547600B2 (en) * | 2016-09-30 | 2020-01-28 | Palo Alto Networks, Inc. | Multifactor authentication as a network service |
| US10637963B2 (en) * | 2017-06-26 | 2020-04-28 | Verizon Patent And Licensing Inc. | Method and system for traffic management using a unified network barring mechanism |
| US10893053B2 (en) * | 2018-03-13 | 2021-01-12 | Roblox Corporation | Preventing unauthorized account access based on location and time |
| US11089036B2 (en) * | 2018-12-27 | 2021-08-10 | Sap Se | Identifying security risks and fraud attacks using authentication from a network of websites |
-
2019
- 2019-01-17 US US16/250,410 patent/US11616774B2/en active Active
- 2019-12-04 CN CN201980089381.6A patent/CN113302606A/zh active Pending
- 2019-12-04 WO PCT/CA2019/051741 patent/WO2020146935A1/en unknown
- 2019-12-04 EP EP19909657.9A patent/EP3877877A4/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP3877877A4 (en) | 2022-09-07 |
| WO2020146935A1 (en) | 2020-07-23 |
| US11616774B2 (en) | 2023-03-28 |
| US20200236099A1 (en) | 2020-07-23 |
| EP3877877A1 (en) | 2021-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11888868B2 (en) | Identifying security risks and fraud attacks using authentication from a network of websites | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US10033715B2 (en) | Password-less authentication system and method | |
| US8046827B2 (en) | Access control of interaction context of application | |
| US7475252B2 (en) | System, method and program to filter out login attempts by unauthorized entities | |
| US8819803B1 (en) | Validating association of client devices with authenticated clients | |
| EP1965558B1 (en) | Method, apparatuses and computer program product for robust digest authentication using two types of nonce values | |
| EP3726406B1 (en) | Preventing account lockout through request throttling | |
| KR101451359B1 (ko) | 사용자 계정 회복 | |
| US20080034412A1 (en) | System to prevent misuse of access rights in a single sign on environment | |
| US20120151565A1 (en) | System, apparatus and method for identifying and blocking anomalous or improper use of identity information on computer networks | |
| US7032026B1 (en) | Method and apparatus to facilitate individual and global lockouts to network applications | |
| CA2764573A1 (en) | Shared registration system multi-factor authentication | |
| US20180083958A1 (en) | System and method for network user's authentication and registration by way of third party computing device | |
| CN113302606A (zh) | 用于检测未授权访问的方法和系统 | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| CN110875923B (zh) | 对网络提供增强型网络访问控制的方法和系统 | |
| KR20130124447A (ko) | 지능형 로그인 인증 시스템 및 그 방법 | |
| CN115580416A (zh) | 基于OAuth标准的授权方法、OAuth服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40059603 Country of ref document: HK |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20240329 Address after: Ai Erlandubailin Applicant after: Mariki Innovation Ltd. Country or region after: Ireland Address before: Ontario, Canada Applicant before: BlackBerry Ltd. Country or region before: Canada |