CN116830095A - 使用指派的共同行动者标识符来评估访问请求 - Google Patents

使用指派的共同行动者标识符来评估访问请求 Download PDF

Info

Publication number
CN116830095A
CN116830095A CN202280011704.1A CN202280011704A CN116830095A CN 116830095 A CN116830095 A CN 116830095A CN 202280011704 A CN202280011704 A CN 202280011704A CN 116830095 A CN116830095 A CN 116830095A
Authority
CN
China
Prior art keywords
log entries
actor
log
network analysis
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202280011704.1A
Other languages
English (en)
Inventor
乔治·陈·凯迪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
PayPal Inc
Original Assignee
PayPal Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/162,617 external-priority patent/US12034731B2/en
Application filed by PayPal Inc filed Critical PayPal Inc
Publication of CN116830095A publication Critical patent/CN116830095A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3006Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is distributed, e.g. networked systems, clusters, multiprocessor systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3466Performance evaluation by tracing or monitoring
    • G06F11/3476Data logging
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Quality & Reliability (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Exchange Systems With Centralized Control (AREA)

Abstract

论述了用于使用包括多个日志条目的访问请求的日志来对向计算机系统提出的访问请求进行分组的技术,所述多个日志条目包括(a)相应访问请求的多个流量指标和/或(b)提出了相应访问请求的各远程计算机系统的多个身份指标。使用可用来根据流量和/或身份指标对日志条目分组的多个网络分析规则来分析多个日志条目。基于该分析,识别多个日志条目群组,并且每个日志条目群组被指派相应的共同行动者标识符(共同行动者ID)。将使用一个或多个指派的共同行动者ID来确定是否准予特定访问请求。

Description

使用指派的共同行动者标识符来评估访问请求
技术领域
本公开概括而言涉及计算机安全性,具体而言涉及识别和缓解滥用性访问请求的技术。
背景技术
被配置为接收来自其他计算机系统的访问请求的任何计算机系统都有风险成为滥用流量的目标,以达到不正当的目的,例如试图接收对电子资源的未授权访问。连接到不安全网络(例如,互联网)的计算机系统更有可能接收到滥用流量。因此,保护计算机系统不受滥用流量的影响,是操作计算机系统的一个重要方面。申请人认识到,现有的计算机安保方法,尤其是对经由网络接收的请求的处置,可以得到改进。
附图说明
图1的框图图示了计算机系统的实施例,该计算机系统被配置为接收访问请求并且使用所确定的共同行动者ID来确定是否准予它们。
图2是根据各种实施例的图1的行动者ID模块的扩展框图。
图3是根据各种实施例的日志条目的示例表格。
图4是根据各种实施例的示例表格,其中图3的日志条目根据来自个体网络分析规则的匹配和指派的共同行动者ID被分组。
图5是根据各种实施例的图2的行动者ID表格的示例。
图6的流程图图示了根据所公开的实施例的行动者ID指派方法的实施例。
图7的流程图图示了根据所公开的实施例的请求评估方法的实施例。
图8是可以实现图1和图2的各种组件的示范性计算机系统的框图。
本公开包括对“一个实施例”或“一实施例”的提及。短语“在一个实施例中”或“在一实施例中”的出现不一定指的是同一实施例。可以按符合本公开的任何适当方式来组合特定的特征、结构或特性。
在本公开内,不同的实体(可不同地被称为“单元”、“电路”、其他组件,等等)可被描述或声称为“被配置”为执行一个或多个任务或操作。这种表述——“[实体]被配置为[执行一个或多个任务]”——在本文中被用来指代结构(即,某种物理性的东西,例如电子电路)。更具体而言,这种表述被用来表明这个结构被布置为在操作期间执行一个或多个任务。即使一结构当前没有在被操作,该结构也可以被说成是“被配置为”执行某个任务。“被配置为接收访问请求的计算机系统”旨在涵盖例如具有在操作期间执行此功能的电路的计算机系统,即使所述计算机系统当前没有在被使用(例如,电源没有连接到它)。从而,被描述或记载为“被配置为”执行某个任务的实体是指某种物理性的东西,例如设备、电路、存储可执行来实现该任务的程序指令的存储器,等等。这个短语在本文中不是用来指某种无形的东西。从而,“被配置为”这个构造在本文中不是用来指软件实体,例如应用编程接口(application programming interface,API)。
术语“被配置为”并不打算意指“可配置为”。例如,未编程的FPGA不会被认为是“被配置为”执行某个特定功能,尽管它可能“可配置为”执行该功能,并且可能在编程之后被“配置为”执行该功能。
在所附的权利要求中提到一结构被“配置为”执行一个或多个任务,是明确地不打算为该权利要求要素援引35U.S.C.§112(f)。因此,所提交的本申请中的任何一项权利要求都不打算被解释为具有装置加功能(means-plus-function)的要素。如果申请人希望在审查期间援引第112(f)条,那么它将使用“用于[执行某功能]的装置”这个构造来记载权利要求要素。
如本文所使用的,术语“第一”、“第二”等等被用作其后的名词的标签,而不意味着任何类型的排序(例如,空间的、时间的、逻辑的,等等),除非有具体声明。例如,对“第一”和“第二”网络分析规则的提及并不意味着两者之间的排序,除非另有声明。
如本文所使用的,术语“基于”用于描述影响确定的一个或多个因素。这个术语并不排除额外的因素可能影响一项确定的可能性。也就是说,某项确定可能只基于指定的因素,或者基于指定的因素以及其他未指定的因素。考虑短语“基于B来确定A”。这个短语说明B是用于确定A或者影响A的确定的因素。这个短语并不排除A的确定也可以基于某个其他因素,例如C。这个短语也旨在涵盖一种实施例,其中A是仅基于B来确定的。如本文所使用的,短语“基于”从而与短语“至少部分基于”是同义的。
如本文所使用的,术语“平台”指的是一种环境,它包括实现某种功能的一组资源(例如,在本公开的情境中,请求处理平台)。在一些情况下,这组资源可以是软件资源,从而可以说某个平台完全由软件构成。在其他情况下,该组资源可包括软件和软件在其上执行的硬件。此外,资源可以构成执行该功能的专门硬件;在一些情况下,这种专门硬件可以利用固件和/或微代码来执行。(“模块”是一种类型的资源;给定的模块可操作来执行平台的整体功能的某个部分。)术语“平台”从而是一个宽泛的术语,可以用来指代各种实现方式。除非另有声明,否则在本公开中使用术语“平台”将被理解为构成所有可能类型的实现方式,除非另有声明。注意,平台本身不需要能够执行指定的功能。更确切地说,它只需要提供执行该功能的能力。从而,本文描述的请求处理平台的实施例使得请求处理的功能能够被执行。
如本文所使用的,“模块”是指可操作来执行指定的一组操作的软件和/或硬件。模块在一些情况下可以指一组软件指令,这些指令可由计算机系统执行来执行该组操作。或者,模块可以指被配置为执行该组操作的硬件。硬件模块可以构成通用硬件以及存储程序指令的非暂态计算机可读介质,或者专门的硬件,例如定制的ASIC。
具体实施方式
高效且准确地识别和隔离滥用性网络流量可能很困难,尤其是当这种流量经由不同的互联网协议(internet protocol,IP)地址来自不同层上的不同端点时。例如,可能很难区分第一数量的流量对应的是第一类型的特定滥用(或特定类型的攻击)以及第二数量的流量对应的是第二特定类型的滥用。IP地址在这方面可能是有用的,但本公开认识到,仅靠IP地址不足以区分这些IP地址背后的行动者。这是因为IP地址可以被模糊,并且攻击者可能控制着在不同地点中和不同网络上的若干个不同机器。攻击者也可能在第一时间使用一个或多个第一IP地址,然后在以后的时间里切换到使用一个或多个不同的第二IP地址。
因此,如果仅基于IP地址进行分析,那么要随时以准确的方式阻止威胁集团就困难得多了。即使使用关于网络流量的额外可用信息,要识别来自不同网络端点的滥用流量是否源自单个共同行动者也是一种挑战,然而,本文描述的技术允许做出这样的判定。
本公开教导了对基于网络的访问进行分析,并且基于高水平的实时相关性生成一种被称为“共同行动者标识符(共同行动者ID)”的合成属性。使用这种属性可以更容易地识别和阻止与威胁相关联的相关访问。在各种实施例中,这个共同行动者ID可以作为合成列被添加到摄取的网络访问日志,这样,所得出的行动者ID可以被计算一次并且根据需要被使用许多次。在各种情况下,共同行动者ID可用于解决与依赖IP地址(和其他信息)来监视威胁相关联的一些问题,尤其是在滥用流量可能来自具有不同IP地址的许多甚至是超级分布式的源的情境中。根据本文公开的技术,不再仅仅是按IP地址分组,而是有可能基于共同行动者来查询流量。另外,可以通过考虑不同的端点、日志来源、时间段等等来帮助这种分组。如果能够将各种个体滥用行为与一个或几个行动者关联起来,就可能会促进关于滥用流量的警报和改善滥用流量的技术。
现在参考图1,示出了一个框图,描绘了根据各种实施例的计算机系统100,该系统被配置为接收访问请求,并且利用所确定的共同行动者ID确定是否准予它们。计算机系统100包括服务器计算机系统110和一个或多个远程计算机系统130,它们被配置为通过网络140进行通信。虽然图1只描绘了单个服务器计算机系统110和单个远程计算机系统130,但可以理解,本文论述的技术可以由任何数目的服务器计算机系统110(例如,单个服务器、包括许多服务器的数据中心、或者服务器的分布式云)实现,这些服务器计算机系统可以与任何数目的远程计算机系统130通信。例如,在数以千计的服务器上实现的服务器计算机系统110可以与数以百万计的远程计算机系统130进行通信。
服务器计算机系统110是一种计算机系统,其可操作来接收来自远程计算机系统130的访问一个或多个电子资源122的请求134,并且确定是否准予或拒绝这种请求134。在各种实施例中,服务器计算机系统110由在计算机系统(例如,桌面型计算机、膝上型计算机、平板计算机、移动电话、服务器)或多个计算机系统(例如,作为云操作的服务器的网络)上运行的软件来实现。在其他实施例中,服务器计算机系统110是以专门的硬件(例如,在FPGA上)或以硬件和软件的组合来实现的。从而,虽然服务器计算机系统110在此被称为“服务器”以区别于远程计算机系统130,但服务器计算机系统110并不限于服务器计算机系统110由单个服务器实现的实施例。在各种实施例中,服务器计算机系统110可操作来执行除了接收访问请求134和确定是否准予它们之外的其他功能。
在各种实施例中,服务器计算机系统110包括请求处理模块112、行动者ID模块114和判决模块116,它们可以一起操作来准予或拒绝所请求的对一个或多个电子资源122的访问。在各种实施例中,请求处理模块112、行动者ID模块114和判决模块116可以作为请求处理平台的一部分一起实现。在各种实施例中,电子资源122可包括但不限于一个或多个安全的电子文件或网页、电子存储的媒体(例如,音乐、视频)、或者提供来购买的商品或服务的表示。在各种实施例中,电子资源122被存储在服务器计算机系统110上,但在其他实施例中,电子资源122被存储在另一计算机系统(未示出)上,但对电子资源122的访问由服务器计算机系统110控制。
请求处理模块112可操作来促进与确定是否准予或拒绝请求134相关联的各种任务,不包括参考行动者ID模块114论述的共同行动者ID功能。在各种实施例中,请求处理模块112可操作来识别所请求的电子资源122并且确定是否以及如何提供对所请求的电子资源122的访问。在各种实施例中,请求处理模块112可操作来确定请求134是被授权的(例如,请求134是在与服务器计算机系统110的会话期间提出的,在该会话中远程计算机系统130被登录到授权的用户账户中,请求134包括适当的凭证或加密信息,请求134是针对与请求134相关联的用户账户可访问的电子资源122的)。在各种实施例中,请求处理模块112还可操作来执行多个功能,例如:负载平衡、和/或确定足够高效的方式以履行请求134。在各种实施例中,请求处理模块112提供对于是否准予请求134的确定作为输出。
行动者ID模块114可操作来实现本文论述的技术,以促进确定请求134的共同行动者ID,并且确定请求134的共同行动者ID是否对应于一个或多个被标记为滥用(或者潜在滥用)的先前请求。如本文所论述的,在各种实施例中,请求134和先前接收到的访问请求的日志条目由服务器计算机系统110存储在一个或多个日志中。在各种实施例中,这种日志至少包括多个日志条目,每个日志条目包括:(a)相应访问请求的多个流量指标以及(b)提出相应访问请求的各远程计算机系统的多个身份指标。在各种实施例中,“身份指标”是指示提出访问请求134的特定远程计算机系统130的若干因素中的任何一个(例如,特定远程计算机系统130的IP地址、MAC地址、用户代理,等等),而“流量指标”是指示特定访问请求134的若干因素中的任何一个(例如,请求什么、何时请求、在何处提出请求、提出何种类型的请求)。因此,在各种情况下,日志条目包括一个或多个身份指标,指示出“谁”(即,哪个远程计算机系统130)正在提出访问请求134,以及一个或多个流量指标,指示出访问请求134的“什么”、“何处”、“何时”、“为什么”和“如何”。本文参考图2和图3论述了身份指示器和流量指示器的类型的其他示例。在各种实施例中,日志还可包括缺乏身份指标、流量指标或者这两者的其他日志条目。
行动者ID模块114可操作来访问这种访问请求的日志,并且使用多个网络分析规则(例如,参考图2论述的网络分析规则202)分析多个日志条目以形成日志条目的群组。在各种实施例中,多个网络分析规则中的至少一个可用于使用一个或多个流量指标对日志条目进行分组,并且多个网络分析规则中的至少一个可用于根据一个或多个身份指标对日志条目进行分组。在各种实施例中,一些网络分析规则可用于仅按流量指标对日志条目进行分组,一些网络分析规则可用于仅按身份指标对日志条目进行分组,和/或一些网络分析规则可用于按身份指标和流量指标两者对日志条目进行分组。如参考图2、图4和图5进一步详细论述的,在各种情况下,作为根据多个网络分析规则中的一个或多个在日志条目之间识别的匹配的结果,可以将一组日志条目进行分组。
在日志条目被分组之后,行动者ID模块114可操作来将共同行动者ID(例如,参考图4论述的列408中的共同行动者ID)指派给日志条目群组。如本文所使用的,“共同行动者ID”是指派给多个日志条目的标识符,基于使用一个或多个网络分析规则确定的匹配,这多个日志条目似乎与共同实体相关联。例如,授权的用户可能使用具有不同IP地址的多个设备访问他或她的账户,但基于对该用户账户的共同使用、请求源自的地理区域、这种请求的时间以及其他各种因素,可以确定该用户与共同行动者相关联。然而,来自滥用实体的请求,也可以基于这种请求的各种日志条目之间的匹配来被分组。例如,滥用实体可能使用一个脚本,该脚本访问服务器计算机系统110处的类似端点,递送类似的有效载荷,在类似的时间,并且来自属于相同自治系统号码(autonomous system number,ASN)的IP地址。这种共性可以通过根据网络分析规则对照先前接收的请求查询请求134来确定,如本文参考图2、图4和图5进一步详细论述的。这样的查询可以在接收到请求134时执行,这样在接收到后续请求134并且向多个日志条目中的至少一些指派一个或多个共同行动者ID之前,一个或多个日志中的多个日志条目已经被分析。
判决模块116可操作来接收来自请求处理模块112和行动者ID模块114的输入,并且基于这样的输入,确定是准予还是拒绝请求134。在各种实施例中,判决模块116实现判决逻辑(例如,表示为判决块118和120),该判决逻辑基于由请求处理模块112和/或行动者ID模块114提供的输入来判决是否准予或拒绝请求134。在块118,如果请求处理模块112和行动者ID模块114都指示出应当准予请求134,则对电子资源122的访问被准予。在块120,如果请求处理模块112和行动者ID模块114中的任何一者或两者指示出不应当准予请求(或者不应当在没有进一步认证的情况下准予),则在批准访问请求134之前向远程计算机系统130(例如,向位于请求134中指示的网络地址的特定网络设备)发送对额外认证的请求。这种额外认证可包括,例如,CAPTCHA检查,在准予请求134之前提供用户名和密码信息的请求,提供第二认证因素的请求(例如,通过确认经由单独的渠道发送的消息,例如发送到记录的电子邮件地址的电子邮件),等等。如果判决模块116确定拒绝请求,则可在块124处向远程计算机系统130发送消息。在各种实施例中,行动者ID模块114与请求处理模块112并行操作,并且可操作来在块118处作出判决之前向判决模块116提供输入。然而,在各种情况下,由行动者ID模块114执行的过程可能比由请求处理模块112执行的过程花费更长时间。在各种情况下,判决模块116可操作来将关于是否准予请求134的判决延迟一段时间(例如,40ms),直到从行动者ID模块114接收到输入为止。如果在该时间段之后没有接收到来自行动者ID模块114的输入,则可以仅基于来自请求处理模块112的输入而准予或拒绝请求134,并且可以不考虑来自行动者ID模块114的输入或者将其用于评估随后的请求134。
远程计算机系统130是可操作来发送请求134以访问一个或多个电子资源122的计算机系统。在各种实施例中,远程计算机系统130由在计算机系统(例如,桌面型计算机、膝上型计算机、平板计算机、移动电话、服务器)或多个计算机系统(例如,作为云操作的服务器的网络)上运行的软件来实现。在其他实施例中,远程计算机系统130是以专门的硬件(例如,在FPGA上)或以硬件和软件的组合来实现的。远程计算机系统130包括可操作来发送请求134的一个或多个应用132。在各种实施例中,应用132可以是在远程计算机系统130上运行的若干类型的应用中的任何一种,包括但不限于:可操作来通过访问统一资源定位符(uniform resource locator,URL)来发送请求134的web浏览器、可操作来经由应用程序接口(application programinterface,API)发送请求134的应用(或者程序、客户端、插件、扩展、终端或命令行)、可操作来经由URL或API发送请求134的非浏览器应用程序(例如,虚拟钱包应用、支付或购物应用、媒体播放应用),等等。
请求134是访问电子资源122的请求,对该资源的访问由服务器计算机系统110控制。在接收到对请求134的指示(例如,请求134本身、为请求134准备的日志条目)时,服务器计算机系统110被配置为确定是否准予或拒绝这样的请求134。在各种实施例中,请求134是访问一个或多个安全电子文件或网页的请求,购买对电子存储媒体的访问的请求,购买商品或服务的请求,等等。如本文所论述的,在接收到请求134时,服务器计算机系统110被配置为在访问请求的日志中用一个或多个日志条目表示请求134。在此参考图3-图5进一步详细论述各种类型的请求134和用于表示它们的日志条目。
网络140被配置为促进远程计算机系统130和服务器计算机系统110之间的通信,包括请求134的发送和来自服务器计算机系统110的(一个或多个)后续响应。网络140可以由任何数目的有线(例如,以太网)和/或无线传输介质(例如,WiFi,蜂窝数据网络)单独或联合工作来实现,并且可包括局域网和/或广域网。在各种实施例中,这样的广域网包括互联网。
因此,通过将对应于请求134的日志条目分组并且使用网络分析规则指派共同行动者ID,可以识别滥用流量并且通过拒绝与之相关联的请求134来缓解,即使滥用流量是从具有不同IP地址的不同远程计算机系统130发送的。从而,在一些情况下,如本文所述将请求分组在一起,则(a)允许将包括不同IP地址的日志条目利用相同的共同行动者ID分组在一起,(b)允许将包括相同IP地址的日志条目利用不同的共同行动者ID分组在不同的群组中。通过使用网络分析规则集合来识别模式,可以识别请求134之间的共性(例如,相似的操作模式,相似的远程计算机系统类型,相似的IP地址群组),并且将这种共性用于将具有这些共性的流量一起关联在单个共同行动者ID下。当接收到具有这些共性中的一些或全部的后续请求134时,这些后续请求134也可以被指派相同的共同行动者ID。另外,可以一起分析与共同行动者ID相关联的流量,以确定该流量是否是滥用的,以及如果是,共同行动者对服务器计算机系统构成多大的危险。
现在参考图2,根据各种实施例,示出了描绘行动者ID模块114的组件的扩展框图。在各种实施例中,行动者ID模块114包括分组模块、多个网络分析规则202、先前接收的访问请求的一个或多个日志204、以及行动者ID指派模块220。行动者ID模块114可操作来评估传入的请求134,并且向判决模块116输出这种评估的结果(例如,是否准予请求134,是否因为请求134对应于已被确定为滥用的共同行动者而拒绝请求134,是否请求额外的认证)。在各种实施例中,行动者ID模块114可选地(由虚线表示)包括补充信息的一个或多个数据存储库、行动者ID表格222和警报模块230。
在各种实施例中,分组模块200可操作来使用一个或多个网络分析规则202和先前接收到的访问请求的日志条目来分析请求134,这些先前接收到的访问请求先前已使用一个或多个网络分析规则202进行了分析。在一些实施例中,分组模块200还可操作来访问补充信息206的一个或多个数据存储库以实现一个或多个网络分析规则202。可以分析补充信息206的各种来源,包括但不限于:用户账户登录和活跃会话的记录;用户账户资料的记录,包括关于IP地址、设备指纹或者先前与特定的用户账户和先前与用户账户相关联的使用模式相关联的其他身份指标的信息;先前与滥用流量相关联的IP地址或设备指纹的列表;可能指示出用户标识的用户行为模式(例如,浏览了多长时间的页面以及以何种顺序浏览),时间模式(例如,指示出典型访问时间,指示用户的时区);或者可用于补充与访问请求相对应的日志条目的各种其他信息。
在各种实施例中,先前访问请求的日志条目被存储在一个或多个日志204中。在各种实施例中,与请求134和先前接收到的请求相对应的信息被捕捉在相应的日志条目中,这些日志条目被存储在一个或多个日志204中,作为例如一个或多个数据库中的条目。虽然请求134和日志204在图2中被分开描绘,但在各种实施例中,请求134的日志条目在本文论述的行动者ID确定之前被存储在日志204中。在这样的实施例中,请求134可以是日志204中最近的条目(或最近的未分析的条目)。这样的日志条目包括关于提出相应请求的远程计算机系统130的信息(在本文中称为“身份指标”)和关于相应请求本身的信息(在本文中称为“流量指标”)。在各种实施例中,身份指标可用于区分各种远程计算机系统130的硬件或软件配置(例如,用户代理),唯一识别安装在各种远程计算机系统130上的硬件或软件(例如,序列号),响应于主动探测而接收到的机器的名称,指示与相应请求相关联的凭证(例如,存储在远程计算机系统130上并且在请求中鉴证的加密指标),以及以其他方式识别远程计算机系统130。如本文所论述的,源IP地址和诸如源IP所属的网块和指示出请求的关联IP地址群组的自治系统号码(ASN)之类的信息是身份指标。在各种实施例中,流量指标可用于识别请求的目的地地址、请求的大小、请求的HTTP响应状态代码、包括在请求中的有效载荷、接收到请求的时间和日期、诸如有效载荷、目的地、端点和URI路径之类的流量模式、请求的HTTP引用者以及可用于区分请求的其他这种信息。在一些情况下,流量指标反映了在网页上采取的特定动作(例如,点击特定的链接),甚至是来自提出请求的远程计算机系统130的输入记录(例如,切换浏览器标签,在网页上滚动,光标速度)。注意,虽然本文参考日志条目或日志文件论述了各种示例,但本文公开的技术可以用关于基于网络的访问的任何(一个或多个)信息源来操作(因此术语“日志”、“日志条目”、“日志文件”等等应被广泛解释为指任何这种信息源)。本文参考图3进一步详细论述了日志204中的各种日志条目的内容。
在各种实施例中,分组模块200使用多个网络分析规则202来对照日志204中的先前访问请求的日志条目查询请求134,以尝试识别与请求134相关联的信息和先前访问请求的日志条目之间的匹配。在这样的实施例中,个体网络分析规则202指定给定的日志条目(对应于给定的请求)的部分,以对照其他请求的其他日志条目的相应部分进行查询,并且识别指定部分匹配的日志条目的群组。例如,在请求134和先前请求的日志条目被存储为表格中的行的实施例中,网络分析规则202指示出请求134中的哪些列要针对日志204中的日志条目的相应列进行查询。例如,第一规则202可能指定请求134的源IP地址和ASN被针对日志204中先前接收的请求进行查询,并且第二规则可能指定目的地IP地址、持续时间、用户代理以及接收时间和日期被针对日志204中先前接收的请求进行查询。在一些实施例中,第一网络分析规则202可用于识别与共享互联网协议(IP)地址和访问的统一资源定位符(URL)和有效载荷的共享模式相关联的日志条目。在一些实施例中,第二网络分析规则202可用于识别与共享设备指纹和到一个或多个共享统一资源定位符(URL)的共享流量模式相关联的日志条目。在一些实施例中,第三网络分析规则202可用于识别与共享自治系统号码(ASN)和共享时间段相关联的日志条目。在一些实施例中,第四网络分析规则202可用于识别与共享端点、共享有效载荷频率和共享用户代理字符串相关联的日志条目。在各种实施例中,一个或多个网络分析规则202可用于访问补充信息206,以向请求添加上下文(例如,通过访问先前与特定用户账户相关联的相互联系的IP地址或设备指纹的列表)。如本文所使用的,“相互联系的IP地址”是如补充信息206所示,先前已被显示为相关的IP地址(例如,通过被同一用户账户使用)。如本文所使用的,“设备指纹”是指为识别目的而收集的关于远程计算机系统130的软件和硬件的信息(例如,操作系统信息、浏览器指纹,等等)。因此,当请求(例如,请求134和先前接收的请求)的日志条目根据个体规则被匹配时,这些日志条目可以被分组在一起。如果根据其他规则发现其他匹配,则这些其他匹配可以类似地被分组。如本文所论述的,在各种情况下,对应于一个或多个个体规则的群组可以被分组在一起,并且被指派相同的共同行动者ID。
可以理解,在与请求134相关联的信息和日志204中的日志条目之间可以进行任何数目的查询以确定匹配。下面的表格1包括非详尽的规则列表,这些规则可以被分组模块200采用来对照先前请求查询与特定请求134相关联的信息,以识别特定请求134与一个或多个先前接收的访问请求之间的匹配。这些规则可以如本文所述按任何组合被一起使用:
表格1-网络分析规则的非详尽列表
/>
在一些情况下,一个或多个网络分析规则202可用于识别相关请求(例如,指向相似端点和有效载荷的请求)的序列。例如,第一序列可包括访问原网页上的第三选择、在从原网页链接的中间网页中选择第四选择并且在十五秒后点击“结帐”按钮的请求。如果后续请求134的序列显示出相同的模式(例如,原网页上的第三选择,中间网页上的第四选择,9-11秒后点击结账),则与后续序列相关联的请求134可以被识别为具有与第一序列相同的共同行动者ID。例如,这种相似的序列可能指示出,相同的行动者正在使用相同的脚本来试图在不同的网站上进行欺诈性购买。
如本文所论述的,在各种实施例中,网络分析规则202的不同组合可以被一起用来评估相同类型的请求。例如,从web浏览器接收到的请求可以使用第一组规则来评估,经由API调用接收到的请求可以使用第二组规则来评估。在一些这样的实施例中,除了使用特定的一组规则作为基线来评估相同类型的请求以外,在更具体的用户案例中可以使用额外的规则集合。例如,如果最近观察到特定类型的攻击(例如,上面的登录),则可以调整规则以改善对该特定类型攻击的检测(例如,应用额外规则,应用不同的权重或规则)。然而,在其他实施例中,同一组规则可用于评估经由网页接收的请求和经由API调用接收的请求。在各种实施例中,分组模块200提供对请求134和一个或多个先前访问请求之间的匹配的指示,作为根据个体网络分析规则202进行的查询的结果(参考图4中的列402、404和406进一步详细论述个体规则匹配)。在各种情况下,查询中的匹配可以是精确的,但在其他情况下,分组模块200可操作来采用近似匹配技术(例如,模糊逻辑)。在一些实施例中,各种请求的日志条目之间的匹配可以通过基于日志条目的匹配程度计算的确定程度来被加权(例如,几乎相同的匹配具有0.95的置信度指标,更远的匹配具有0.15的置信度指标)。
行动者ID指派模块220可操作来接收按个体网络分析规则202的匹配的指示,并且确定共同行动者是否可能与这样的个体匹配相关联,酌情将共同行动者ID指派给请求134,并且向如本文所述可用于确定是否准予或拒绝请求134的判决模块116提供输出。在各种实施例中,行动者ID指派模块220还可操作来输出信息给警报模块230,以准备关于潜在的滥用流量的警报或报告给网络安全性人员,以便进一步分析或调整安全性实践。在各种实施例中,警报模块230可操作来确定是否会创建安全性事件报告,并且如果生成安全性事件报告,则通知安全性分析员进行调查。
在各种实施例中,行动者ID指派模块220可操作来将请求134的日志条目与日志204中先前接收到的请求的日志条目之间的匹配进行关联,这些关联是使用任何技术组合从来自个体网络分析规则202的查询生成的。从而,根据按个体规则202的匹配而被分组在一起的日志条目的群组可以与根据按其他个体规则202的匹配而被分组在一起的其他群组相组合。在一些情况下,来自不同的个体规则的匹配可以通过由这种规则2020形成的群组全部或部分重叠而相互关联。因此,相同的共同行动者ID可以被指派给两个群组中的日志条目。在其他情况下,从个体匹配形成的群组中的一些或所有日志条目可以共享一个或多个流量指标或身份指标。例如,表格1中的规则2、3、4中的匹配可能都共享共同的源IP地址(因为这些规则除了其他指标以外还基于源IP地址进行分组),并且被指派了相同的共同行动者ID。类似地,表格1中的规则7、8和9中的匹配可能都与相同的设备指纹相关联,并且被指派了相同的共同行动者ID,即使规则7、8或9中没有一个对匹配设备指纹进行查询。在各种实施例中,正在应用的各种规则202可以被指派权重,这些权重指示出由各种规则202确定的匹配的重要性。例如,简要参考图4,规则16的列402被指派了60%的权重,并且规则17和18的列404和406被指派了20%的权重,并且这些权重可以被加在一起。从而,在一些实施例中,根据规则16和17分组在一起的日志条目之间的匹配被给予80%的权重。在一些情况下,个体规则的匹配也包括置信度指标,因此特定日志条目的最终分组可以由指派给个体规则的权重以及每个个体规则的匹配的置信度指标两者来加权。I
在各种实施例中,行动者ID指派模块220可操作来将指派给请求134的一个或多个共同行动者ID添加到日志204(例如,通过将(一个或多个)共同行动者ID存储在日志204的合成部分中,通过将(一个或多个)共同行动者ID存储在嵌入日志204内的数据对象中)。如本文所使用的,日志204的“合成部分”是这样一个部分(例如,一个额外的列或额外的行):该部分被添加到日志条目,这些日志条目反映了对访问请求执行的分析,但在接收到访问请求时不被包括在其中。在各种实施例中,行动者ID指派模块220可操作为:对于由行动者ID模块114分析的各种日志条目,将合成部分添加到日志204,该合成部分包括阵列,该阵列包括指派给日志条目的(一个或多个)共同行动者ID。本文参考图4进一步详细论述这种合成部分。
在各种实施例中,行动者ID指派模块220还可操作来将共同行动者ID存储在行动者ID表格222中。在各种实施例中,行动者ID表格222存储关于在一段时间内(例如,在过去12个月内)已经指派的共同行动者ID的信息。在一些实施例中,行动者ID表格222包括被指派了特定的共同行动者ID的日志条目所共享的流量指标和身份指标。在共同行动者ID作为合成部分被添加到日志204的情况下,添加到日志204的共同行动者ID和行动者ID表格222中的共同行动者ID条目可以被链接在一起,以促进跨表格的快速数据访问。因此,在这样的实施例中,行动者ID表格222可作为索引使用,以查询已经被指派了特定的共同行动者ID的日志条目。在各种实施例中,行动者ID表格222还包括对哪些个体规则曾被用来生成行动者ID的指示,以及通过运行个体规则生成的结果。另外,这种链接还可促进在接收到新信息时对合成部分进行修订。例如,如果第一组日志条目已基于规则1和3之间的匹配,以中等水平的确定性(例如,在40%和60%之间)被指派了ActorIDABC,那么如果随后接收到的第二组请求134显示出也由第一组日志条目共享的模式,则第一组日志条目和随后接收到的第二组请求134都可以以更高水平的确定性(例如,在75%和95%之间)被指派ActorIDABC。本文参考图5进一步详细论述行动者ID表格222。
现在参考图3,描绘了具有多个日志条目的表格300。表格300是存储在日志204中的日志条目中包括的信息的种类的示例,但可以理解,在各种实施例中,日志条目可以具有远超出图3所示的十一列的更多类型的信息。另外,虽然表格300被示为具有行和列的表格,但这仅仅是示范性的。在各种实施例中,可以按若干种适当方式中的任何一种来存储日志204中的日志条目。另外,在一些实施例中,特定的请求134可以由多个日志204中的多个日志条目表示。例如,特定请求134的第一组流量和身份指标可以被存储在第一日志204中,并且特定请求134的不同的第二组流量和身份指标可以被存储在第二日志204中。
如表格300中所示,十二个日志条目被示为具有十一个指标:两个身份指标302和九个流量指标304。在各种实施例中,日志条目可以指示出提交了哪种类型的请求134(例如,web请求、API请求,等等),从而可以使用不同组的网络分析规则来分析不同类型的日志条目(例如,如图3所示,日志条目1-11是web请求,日志条目12是API请求,如URI_path列所示)。在所示出的实施例中,身份指标302表示与请求相对应的源IP地址和用户代理字符串。可以理解,用户代理字符串可包括关于发出请求的计算机系统130的信息,例如操作系统的类型,用于提出请求134的应用132是否是浏览器,如果是的话是什么类型,等等。然而,为了清晰起见,在表格300中,用户代理字符串已被缩写为只是“1”或“2”。
如表格300中所示,流量指标304分别包括目的地IP地址、相应请求134中的字节数目、与IP地址相关联的地理位置、请求134是否包括HTTP获取或推送、请求134的HTTP响应状态代码、请求134的持续时间、请求134中包括的消息有效载荷的大小(如果有的话)、指派给请求134的边缘IP、以及请求134的URI路径。在各种实施例中,日志条目还可包括但不限于:请求134的源端口、请求134的目的地端口、用于提交请求的URL、请求的内容类型(例如,图像、文本,等等)、对请求134被发送到的主机的指示、请求134中包括的URI查询、请求134的引用者URL,等等。
现在参考图4,描绘了表格400,其中表格300的日志条目根据来自个体网络分析规则202的匹配和指派的共同行动者ID进行分组。表格400描绘了使用来自表格I的三个网络分析规则202进行的匹配:规则16,17,和18。如上所述,规则16(对应于列402)可用于识别共享ASN和在同一块IP地址(例如,104.227.192.0/20中的IP地址块)中的源IP地址的日志条目。规则17(对应于列404)可用于识别共享URI查询、URI路径、状态代码、字节大小和方法(例如,相似的输入字符串)的日志条目。规则18(对应于列404)可用于识别共享目的地IP、持续时间、用户代理和时间范围的日志条目。在图4所示的实施例中,规则16的权重为60%,并且规则17和18的权重均为20%。
列402显示出,日志条目1-11已经在规则16的个体规则行动者标识符(在此也称为个体规则结果)下被匹配在一起,置信度指标为0.95,并且日志条目12已经被自身分组,置信度指标也为0.95。列404显示出,日志条目已经在六个不同的个体规则行动者标识符下被匹配在一起:日志条目1和11被分组在ActorID17-2下,置信度指标为0.15;日志条目4、7、8和10被分组在ActorID17-3下,置信度指标为0.15;日志条目2、5和6被分组在ActorID17-4下,置信度指标为0.15;并且日志条目3、9和12被自身分组。列406显示出,日志条目已经在六个不同的个体规则行动者标识符下被匹配在一起:日志条目1和5被分组在ActorID18-1下,置信度指标分别为0.4和0.2;日志条目2和6被分组在ActorID18-2下,置信度指标为0.4;日志条目4和8被分组在ActorID18-4下,置信度指标为0.4;日志条目7、9和11被分组在ActorID18-5下,置信度指标分别为0.4、0.6和0.6;并且日志条目3和12被自身分组。
当来自个体规则的匹配结果被关联在一起,以确定指派给日志条目1-12的共同行动者ID时,最终结果被显示在列408中。在一些情况下,被个体规则行动者标识符分组在一起的日志条目可以被用相同的共同行动者ID分组在一起。例如,日志条目2和5被一起分组在规则16下以及规则17下,并且因此可被一起分组在同一个共同行动者ID下。此外,日志条目1-11与相同的城市、用户代理字符串相关联,并且具有在23.212.3.XXX范围内的目的地IP地址,因此这些日志条目可以被一起分组在同一个行动者ID下。事实上,日志条目1-11都被指派了ActorIDABC,并且日志条目2和5也被指派了ActorIDDEF。可以理解,任何长度的任何字符串都可以被用作共同行动者ID(例如,共同行动者ID不一定以“ActorID...”开头)。共同行动者ID的长度可以基于有多少不同的实体与服务器计算机系统110进行交互,并且允许向向服务器计算机系统110发送请求的每个实体指派独特的共同行动者ID。
在图4所示的实施例中,日志条目1-12中的每一者都被指派了两个所识别的共同行动者ID,并且有相应的概率,该概率是通过将与规则相关联的各种权重和匹配的置信度指标相加来计算的。在各种实施例中,在加权之前,匹配的置信度指标可以被归一化。对于日志条目1,例如,结果是这个日志条目被指派了主共同行动者ID为ActorIDABC,第二共同行动者ID为ActorIDJKL,以及一个或多个三级共同行动者ID,它们一起具有置信度指标0.15。在图4所示的实施例中,三级共同行动者ID被一起归入由0表示的“其他”类别中。在各种实施例中,主共同行动者ID、主共同行动者ID置信度指标、次共同行动者ID、次共同行动者ID置信度指标、表示三级行动者ID的0以及组合的三级行动者ID置信度指标可以被存储在阵列中,如列408中所示。在各种实施例中,特定共同行动者ID的置信度指标在所有被指派了该共同行动者ID的日志条目中是共同的。在这样的实施例中,这个置信度指标表示指派给该共同行动者ID的任何日志条目的最大权重,或者表示所有归属于该共同行动者ID的平均置信度水平。然而,在其他实施例中,个体日志条目将有一个或多个行动者ID的归属,对于每个归属的行动者ID有某个范围的置信度指标(例如,归属于ActorIDABC的第一日志条目和第二日志条目将具有不同的置信度指标)。
简要参考表格300,被分组在一起的各种日志条目与另一个与之分组的日志条目共享至少一个身份指标或至少一个流量指标。例如,如表格300的第二列中所示,日志条目1-11中的每一者的源IP为104.227.195.XXX,并且这些源IP地址被分组在同一个ASN中。这些日志条目中的每一者被指派了主共同行动者ID为ActorIDABC,置信度水平为0.75。日志条目2、3和6也共享至少两个流量指标:所有三个都是发送到指定IP地址23.212.3.199的post请求134。从而,在各种情况下,给定的日志条目群组的成员与该给定群组的其他成员共享至少一个身份指标和至少一个流量指标。然而,在其他情况下,给定的日志条目群组的成员可能只有匹配的流量指标,或者在其他各种情况下只有匹配的身份指标。此外,日志条目2和4-11被指派了次共同行动者ID为ActorIDDEF,置信度水平为0.15,而日志条目1和3被指派了其他次共同行动者ID,置信度水平为0.10。然而,随着接收到更多的请求134,这种分组和置信度水平是可变的。例如,对后续请求134的分析可以揭示出,ActorIDABC可能实际上归属于不同的行动者,并且日志条目可以被重新分组。此外,对后续请求134的分析可以揭示出,ActorIDGHI和ActorIDJKL可归属于同一个共同行动者,并且日志条目1和3可以被分组在一起。
现在参考图5,描绘了示例行动者ID表格222。如图5所示,示例行动者ID表格222包括两个行动者ID:ActorIDABC和ActorIDXYZ(列502)。如列504中所示,指派给ActorIDABC的概率是0.85,并且指派给ActorIDXYZ的概率是0.8。如本文所论述的,在各种实施例中,这个概率是基于指派给个体规则202的权重和个体规则202下的日志条目之间的匹配的置信度水平来计算的。列506、508和510包括被指派了共同行动者ID的日志条目所共享的指标。例如,已被指派ActorIDABC的第一多个日志条目共享相同的会话ID(列506),第二多个日志条目是源自于共同IP地址的共享动作流的一部分(列508),并且第三多个日志条目具有在关联IP地址的列表上的源IP地址。在各种情况下,第一、第二和第三多个日志条目可能都是同一组日志条目,但在其他实施例中,日志条目可能不属于所有三个(例如,特定的日志条目共享列506中的会话ID,并且具有列510中的列表上的源IP,但不包括列508中的源IP或流。此外,图5包括省略号列512,这指示出在行动者ID表格222中可包括三个以上的规则结果。事实上,任何数目的规则可用于指派共同行动者ID。列514包括对已被指派给行动者ID的各种类型的请求134的指示(例如,与ActorIDABC的web日志条目和网络日志条目相对应的请求134,与ActorIDXYZ的web日志条目和Web应用防火墙(Web Application Firewall,WAF)日志条目相对应的请求134)。列516包括对特定共同行动者ID最后被指派的日期的指示。在各种实施例中,共同行动者ID被指派了威胁得分,该得分指示出归属于给定的共同行动者ID的风险量。在一些这样的实施例中,威胁得分是一个动态得分,由我们的安全性规则/检测警报来更新,并且可与共同行动者ID绑定起来。也就是说,例如,如果共同行动者ID被指派给表示购买商品的欺诈性尝试的请求,则高的威胁得分可以被指派给该共同行动者ID,而指派给执行合法动作的合法用户的共同行动者ID将被指派低威胁得分。威胁得分可以响应于请求被动态地、实时地调整。在各种实施例中,可以设置阈值,以使得所有归属于高于阈值的共同行动者ID的请求被阻止。
图6和图7图示了表示利用计算机系统100实现的各种所公开的方法的各种流程图。现在参考图6,描绘了描绘行动者ID指派方法600的流程图。在图6所示的实施例中,与方法600相关联的各种动作由服务器计算机系统110实现。在块602,服务器计算机系统110访问向服务器计算机系统110提出的访问请求134的日志204。如本文所论述的,日志204至少包括多个日志条目,每个日志条目包括:(a)相应访问请求134的多个流量指标以及(b)提出相应访问请求134的各远程计算机系统130的多个身份指标。在块604,服务器计算机系统110使用多个网络分析规则202分析多个日志条目。如本文所论述的,多个网络分析规则202中的至少一个可用于使用一个或多个流量指标对日志条目进行分组,并且多个网络分析规则202中的至少一个可用于根据一个或多个身份指标对日志条目进行分组。在块606,服务器计算机系统110基于块604中的分析,识别多个日志条目群组。然后,每个日志条目群组被指派相应的共同行动者ID。在块608,服务器计算机系统110,响应于第一访问请求134,使用一个或多个指派的共同行动者ID确定是否准予第一访问请求。
现在参考图7,描绘了描绘请求评估方法700的流程图。在图7所示的实施例中,与方法700相关联的各种动作由服务器计算机系统110实现。在块702,服务器计算机系统110接收指示,即特定网络地址处的特定网络设备(例如,远程计算机系统130)已提出了访问请求134以访问联网的计算机资源(例如,电子资源122)。在块704,服务器计算机系统110使用可用于基于流量和身份指标对日志条目进行分组的多个网络分析规则202来分析访问请求134,以确定该特定网络设备或特定网络地址是否对应于指派给先前访问请求的日志204中的先前访问请求134的第一共同行动者ID。如本文所论述的,先前访问请求的日志204包括多个日志条目,每个日志条目:(a)包括相应的先前访问请求的多个流量指标,(b)包括提出了相应访问请求的各远程计算机系统的多个身份指标,并且(c)基于使用多个网络分析规则202分析该多个日志条目和访问请求的日志204中的其他日志条目,已被指派了第一共同行动者ID。在块706,服务器计算机系统110作出访问判决,该判决基于特定网络设备或特定网络地址是否对应于第一共同行动者ID而批准或拒绝访问请求134。
示范性计算机系统
现在转向图8,描绘了示范性计算机系统800的框图,它可以实现计算机系统100的各种组件(例如,服务器计算机系统110、远程计算机系统130)。计算机系统800包括处理器子系统880,它经由互连860(例如,系统总线)耦合到系统存储器820和(一个或多个)I/O接口840。(一个或多个)I/O接口840耦合到一个或多个I/O设备850。计算机系统800可以是各种类型的设备中的任何一种,包括但不限于服务器系统、个人计算机系统、桌面型计算机、膝上型或笔记本计算机、大型计算机系统、平板计算机、手持计算机、工作站、网络计算机、诸如移动电话之类的消费者设备、音乐播放器、或者个人数据助理(personal dataassistant,PDA)。虽然为了方便起见,图8中示出了单个计算机系统800,但系统800也可以实现为一起操作的两个或更多个计算机系统。
处理器子系统880可包括一个或多个处理器或处理单元。在计算机系统800的各种实施例中,处理器子系统880的多个实例可以耦合到互连860。在各种实施例中,处理器子系统880(或者880内的每个处理器单元)可包含缓存或者其他形式的板载存储器。
系统存储器820可用于存储可由处理器子系统880执行的程序指令,以使得系统800执行本文描述的各种操作。系统存储器820可以使用不同的物理存储器介质来实现,例如硬盘存储、软盘存储、可移除盘存储、闪存、随机访问存储器(RAM-SRAM、EDO RAM、SDRAM、DDR SDRAM、RAMBUS RAM,等等)、只读存储器(PROM、EEPROM,等等),等等。计算机系统800中的存储器不限于主存储,例如存储器820。相反,计算机系统800也可包括其他形式的存储,例如处理器子系统880中的缓存存储器和I/O设备850上的次级存储(例如,硬盘驱动器、存储阵列,等等)。在一些实施例中,这些其他形式的存储也可以存储可由处理器子系统880执行的程序指令。
根据各种实施例,I/O接口840可以是被配置为耦合到其他设备并且与之通信的各种类型的接口中的任何一种。在一个实施例中,I/O接口840是从正面到一个或多个背面总线的桥接芯片(例如,南桥)。I/O接口840可以经由一个或多个相应的总线或其他接口耦合到一个或多个I/O设备850。I/O设备850的示例包括存储设备(硬盘驱动器、光驱、可移除闪存驱动器、存储阵列、SAN或者其关联的控制器)、网络接口设备(例如,到局域网或广域网)、或者其他设备(例如,图形、用户界面设备,等等)。在一个实施例中,计算机系统800经由网络接口设备(例如,被配置为通过WiFi、蓝牙、以太网等等进行通信)、另一个示例或I/O设备850耦合到网络。
虽然上面已描述了具体的实施例,但这些实施例并不打算限制本公开的范围,即使在只关于特定特征描述了单个实施例的情况下。除非另有声明,否则本公开中提供的特征的示例旨在进行说明,而非限制。上述描述旨在涵盖对受益于本公开的本领域技术人员而言显而易见的替换、修改和等同。
本公开的范围包括本文所公开的任何特征或特征的组合(无论是明确的还是隐含的),或者其任何概括,无论它是否减轻了本文所涉及的任何或所有问题。因此,在本申请(或者要求其优先权的申请)的审查期间,可针对特征的任何这种组合制定新的权利要求。具体地,参考所附权利要求,从属权利要求中的特征可与独立权利要求中的特征相组合,并且各个独立权利要求中的特征可以任何适当的方式而不仅仅是以所附权利要求中列举的特定组合来进行组合。

Claims (20)

1.一种与识别互联网上的使用多个通信设备的共同行动者有关的方法,包括:
在计算机系统处访问向所述计算机系统提出的访问请求的日志,其中所述日志包括多个日志条目,每个日志条目包括(a)相应访问请求的多个流量指标以及(b)提出了相应访问请求的各远程计算机系统的多个身份指标;
利用所述计算机系统,使用多个网络分析规则来分析所述多个日志条目,其中所述多个网络分析规则中的至少一个可用来使用一个或多个流量指标对日志条目进行分组,并且其中所述多个网络分析规则中的至少一个可用来根据一个或多个身份指标对日志条目进行分组,
基于所述分析,利用所述计算机系统识别多个日志条目群组,其中每个日志条目群组被指派相应的共同行动者标识符(共同行动者ID);并且
响应于第一访问请求,使用一个或多个指派的共同行动者ID确定是否准予所述第一访问请求。
2.如权利要求1所述的方法,其中,给定的日志条目群组的成员与该给定群组的其他成员共享至少一个身份指标和至少一个流量指标。
3.如权利要求1所述的方法,
其中,所述多个网络分析规则中的个体规则指定所述多个日志条目中的给定日志条目的部分,以对照所述多个日志条目中的其他日志条目的相应部分进行查询;并且
其中,识别多个日志条目群组包括识别下述群组:所述群组具有由所述多个网络分析规则中的一个或多个规则指定的匹配部分。
4.如权利要求1所述的方法,
其中,所述多个网络分析规则中的各个个体规则与各个规则权重相关联;
其中,使用所述多个网络分析规则来分析所述多个日志条目中的给定日志条目为个体规则产生个体规则结果,其中,规则结果与各个规则结果置信度水平相关联;并且
其中,对所述多个群组的识别是使用由所述规则结果置信度水平和规则权重加权的规则结果来确定的。
5.如权利要求1所述的方法,
其中,所述识别包括:
将特定日志条目分组到具有不同的共同行动者ID的两个或更多个不同日志条目群组中,并且
确定与所述不同的共同行动者ID相对应的权重;
所述方法还包括:
在所述计算机系统处存储阵列,该阵列包括所述不同的共同行动者ID和与所述不同的共同行动者ID相对应的权重,其中所述阵列与所述特定日志条目相关联。
6.如权利要求1所述的方法,
其中,识别所述多个日志条目群组包括:
基于所述多个网络分析规则中的第一网络分析规则的第一规则结果识别第一日志条目群组;并且
基于所述多个网络分析规则中的第二网络分析规则的第二规则结果识别第二日志条目群组;
所述方法还包括:
确定一个或多个个体日志条目属于所述第一群组和所述第二群组;
其中,所述第一群组和所述第二群组中的日志条目被指派相同的共同行动者ID。
7.如权利要求1所述的方法,
其中,识别所述多个日志条目群组包括:
基于所述多个网络分析规则中的第一网络分析规则的第一规则结果识别第一日志条目群组;并且
基于所述多个网络分析规则中的第二网络分析规则的第二规则结果识别第二日志条目群组;
所述方法还包括:
确定所述第一群组中的一个或多个日志条目和所述第二群组中的一个或多个日志条目共享一个或多个流量指标和一个或多个身份指标;
其中,所述第一群组和所述第二群组中的日志条目被指派相同的共同行动者ID。
8.如权利要求1所述的方法,还包括:
在所述计算机系统处存储共同行动者ID索引,该索引对于多个各自的共同行动者ID包括:
各自的共同行动者ID;
已经与各自的共同行动者ID相关联的所述多个网络分析规则的一个或多个规则结果,其中,给定的规则结果对应于附加有各自的共同行动者ID的日志条目的共享流量指标和/或共享身份指标;
基于与所述多个网络分析规则相对应的权重计算的共同行动者ID概率;以及
与各自的共同行动者ID相对应的威胁得分,其中给定的威胁得分指示出归属于给定的共同行动者ID的风险量。
9.如权利要求1所述的方法,
其中,所述多个日志条目包括与第一类型的访问请求相对应的第一组日志条目和与不同的第二类型的访问请求相对应的第二组日志条目;
其中,所述多个网络分析规则包括与所述第一类型的访问请求相对应的第一组网络分析规则和与所述不同的第二类型的访问请求相对应的第二组网络分析规则;并且
其中,对所述多个日志条目群组的识别允许将与所述第一类型的访问请求相对应的日志条目与与所述第二类型的访问请求相对应的日志条目分组在一起。
10.一种存储指令的非暂态计算机可读介质,所述指令在由计算机系统执行时使得所述计算机系统执行操作,所述操作包括:
在计算机系统处访问向所述计算机系统提出的访问请求的日志,其中所述日志包括多个日志条目,每个日志条目包括(a)相应访问请求的多个流量指标以及(b)提出了相应访问请求的各远程计算机系统的多个身份指标;
利用所述计算机系统,使用可用来基于流量指标和身份指标对日志条目分组的多个网络分析规则来分析所述多个日志条目;
基于所述分析,利用所述计算机系统识别多个日志条目群组,其中每个日志条目群组被指派相应的共同行动者标识符(共同行动者ID);并且
响应于第一访问请求,使用一个或多个指派的共同行动者ID确定是否准予所述第一访问请求。
11.如权利要求10所述的非暂态计算机可读介质,其中,所述多个网络分析规则包括:
可用来识别与共享的互联网协议(IP)地址和访问的统一资源定位符(URL)和有效载荷的共享模式相关联的日志条目的规则。
12.如权利要求10所述的非暂态计算机可读介质,其中,所述多个网络分析规则包括:
可用来识别与共享的设备指纹和到一个或多个共享统一资源定位符(URL)的共享流量模式相关联的日志条目的规则。
13.如权利要求10所述的非暂态计算机可读介质,
其中,所述操作还包括访问一个或多个额外的数据存储库;
其中,所述多个网络分析规则包括特定规则,该特定规则可用来识别与从具有共享的操作系统和共享的互联网协议(IP)地址的远程计算机系统提出的请求和到一个或多个共享端点的共享流量模式相关联的日志条目;并且
其中,使用所述多个网络分析规则来分析所述多个日志条目包括:使用所述特定规则和所述一个或多个额外的数据存储库来分析所述多个日志条目。
14.如权利要求10所述的非暂态计算机可读介质,其中,所述多个网络分析规则包括:
可用来识别与共享的自治系统号码(ASN)和共享的时间段相关联的日志条目的规则。
15.如权利要求10所述的非暂态计算机可读介质,其中,所述多个网络分析规则包括:
可用来识别与共享的端点、共享的有效载荷频率和共享的用户代理字符串相关联的日志条目的规则。
16.如权利要求10所述的非暂态计算机可读介质,
其中,所述操作还包括访问一个或多个额外的数据存储库;
其中,所述多个网络分析规则包括特定规则,该特定规则可用来识别与相互联系的互联网协议(IP)地址和共享的时间段相关联的日志条目;并且
其中,使用所述多个网络分析规则来分析所述多个日志条目包括:使用所述特定规则和所述一个或多个额外的数据存储库来分析所述多个日志条目。
17.一种方法,包括:
在计算机系统处接收指示,该指示指出特定网络地址处的特定网络设备提出了访问联网的计算机资源的访问请求;
由所述计算机系统使用可用来基于流量指标和身份指标对日志条目进行分组的多个网络分析规则来分析所述访问请求,以确定所述特定网络设备或特定网络地址是否对应于指派给先前访问请求的日志中的先前访问请求的第一共同行动者标识符(共同行动者ID),其中所述先前访问请求的日志包括多个日志条目,其中每个日志条目:
(a)包括相应的先前访问请求的多个流量指标,
(b)包括提出了相应访问请求的各远程计算机系统的多个身份指标,并且
(c)基于使用所述多个网络分析规则分析所述多个日志条目和所述访问请求的日志中的其他日志条目,被指派了所述第一共同行动者ID;并且
基于所述特定网络设备或特定网络地址是否对应于所述第一共同行动者ID,利用所述计算机系统作出批准或拒绝所述访问请求的访问判决。
18.如权利要求17所述的方法,其中,基于使用所述多个网络分析规则分析所述多个日志条目和所述访问请求的日志中的其他日志条目,所述多个日志条目中的一个或多个被额外指派了第二共同行动者ID。
19.如权利要求17所述的方法,其中,所述先前访问请求的日志包括第二多个日志条目,其中每个日志条目:
(a)包括相应的先前访问请求的多个流量指标,
(b)包括提出了相应访问请求的各远程计算机系统的多个身份指标,并且
(c)基于使用所述多个网络分析规则分析所述第二多个日志条目和所述访问请求的日志中的其他日志条目,被指派了一个或多个其他共同行动者ID。
20.如权利要求17所述的方法,其中,所述访问判决包括:在批准所述访问请求之前,向所述特定网络地址处的所述特定网络设备发送用于额外认证的请求。
CN202280011704.1A 2021-01-29 2022-01-13 使用指派的共同行动者标识符来评估访问请求 Pending CN116830095A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/162,617 2021-01-29
US17/162,617 US12034731B2 (en) 2021-01-29 Evaluating access requests using assigned common actor identifiers
PCT/US2022/070183 WO2022165458A1 (en) 2021-01-29 2022-01-13 Evaluating access requests using assigned common actor identifiers

Publications (1)

Publication Number Publication Date
CN116830095A true CN116830095A (zh) 2023-09-29

Family

ID=82611861

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202280011704.1A Pending CN116830095A (zh) 2021-01-29 2022-01-13 使用指派的共同行动者标识符来评估访问请求

Country Status (4)

Country Link
EP (1) EP4285232A1 (zh)
CN (1) CN116830095A (zh)
AU (1) AU2022213452A1 (zh)
WO (1) WO2022165458A1 (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7249262B2 (en) * 2002-05-06 2007-07-24 Browserkey, Inc. Method for restricting access to a web site by remote users
US9330134B2 (en) * 2005-05-31 2016-05-03 Fairwarning Ip, Llc User identity mapping system and method of use
US20130124327A1 (en) * 2011-11-11 2013-05-16 Jumptap, Inc. Identifying a same user of multiple communication devices based on web page visits
US20140006616A1 (en) * 2012-06-29 2014-01-02 Nokia Corporation Method and apparatus for categorizing application access requests on a device
EP2946332B1 (en) * 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automated forensics of computer systems using behavioral intelligence

Also Published As

Publication number Publication date
AU2022213452A1 (en) 2023-08-24
EP4285232A1 (en) 2023-12-06
WO2022165458A1 (en) 2022-08-04
US20220247750A1 (en) 2022-08-04

Similar Documents

Publication Publication Date Title
CN111935192B (zh) 网络攻击事件溯源处理方法、装置、设备和存储介质
US10223524B1 (en) Compromised authentication information clearing house
US10496994B2 (en) Enhanced authentication with dark web analytics
US9838384B1 (en) Password-based fraud detection
US8732472B2 (en) System and method for verification of digital certificates
US9817969B2 (en) Device for detecting cyber attack based on event analysis and method thereof
US8438386B2 (en) System and method for developing a risk profile for an internet service
US10176318B1 (en) Authentication information update based on fraud detection
CN107465648B (zh) 异常设备的识别方法及装置
Bagui et al. Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset
US9282114B1 (en) Generation of alerts in an event management system based upon risk
He et al. A defence scheme against identity theft attack based on multiple social networks
US9270662B1 (en) Adaptive client-aware session security
US20120047577A1 (en) Safe url shortening
US11582251B2 (en) Identifying patterns in computing attacks through an automated traffic variance finder
JP2018503203A (ja) 許容可能なアクティビティルールに基づく許容可能なアクティビティの決定
US20230040895A1 (en) System and method for developing a risk profile for an internet service
CN111786966A (zh) 浏览网页的方法和装置
Al-Shehari et al. Improving operating system fingerprinting using machine learning techniques
CN116830095A (zh) 使用指派的共同行动者标识符来评估访问请求
US12034731B2 (en) Evaluating access requests using assigned common actor identifiers
RU2728506C2 (ru) Способ блокировки сетевых соединений
Namasivayam Categorization of Phishing Detection Features and Using the Feature Vectors to Classify Phishing Websites
Mourtaji et al. Perception of a new framework for detecting phishing web pages
US11647031B2 (en) Determining an origin server is potentially compromised

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination