CN117597886A - 具有委托授权的应用中的异常检测 - Google Patents
具有委托授权的应用中的异常检测 Download PDFInfo
- Publication number
- CN117597886A CN117597886A CN202280047135.6A CN202280047135A CN117597886A CN 117597886 A CN117597886 A CN 117597886A CN 202280047135 A CN202280047135 A CN 202280047135A CN 117597886 A CN117597886 A CN 117597886A
- Authority
- CN
- China
- Prior art keywords
- application
- attribute value
- tenant
- delegated
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title abstract description 20
- 238000013475 authorization Methods 0.000 title description 22
- 238000004891 communication Methods 0.000 claims abstract description 75
- 230000002547 anomalous effect Effects 0.000 claims abstract description 27
- 238000000034 method Methods 0.000 claims description 94
- 230000000116 mitigating effect Effects 0.000 claims description 31
- 230000009471 action Effects 0.000 claims description 17
- 238000005516 engineering process Methods 0.000 abstract description 19
- 238000012544 monitoring process Methods 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 11
- 230000004044 response Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 230000000977 initiatory effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000002123 temporal effect Effects 0.000 description 3
- 230000003190 augmentative effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 238000005096 rolling process Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本文所描述的技术的方面通过监测从委托应用接收的通信来检测委托应用中的潜在安全破坏。委托应用通信中的异常可能指示委托应用已被破坏并且现在由授权实体以外的实体控制。异常可以是委托应用的通信中新的或异常的属性值。最初,异常检测系统可能建立针对单个租户内的单个委托应用的属性值的基线,并建立针对该租户的单独基线。如果属性值对应用特定基线和租户特定基线都是异常的,则消息可以被标记为异常。然后可以进行缓解。
Description
背景技术
各种委托协议允许用户向应用给予委托访问用户资源的权限,这样的用户资源诸如电子邮件帐户、社交网络等。OAuth和OAuth2.0是一种常用的授权框架/协议,其使得网站和Web应用能够请求对另一个应用上的用户帐户的有限访问权限。该基本的OAuth过程广泛用于集成第三方功能,该第三方功能需要访问来自用户帐户的某些数据。例如,应用可能使用OAuth来请求访问用户的电子邮件联系人列表,使得它可以建议人们与之连接。
OAuth允许用户在不将用户的登录凭据暴露给请求应用的情况下授予此访问权限。这意味着有委托访问权限的服务的破坏不会将用户的凭据暴露给破坏方。然而,破坏方可能使用委托访问权限通过委托协议获得对用户信息的访问权限。这种类型的破坏难以检测到。
发明内容
本概述被提供来以简化的形式介绍下面在详细描述中进一步描述的概念选择。本概述不旨在标识所要求保护的主题的关键特征或基本特征,也不旨在被用来作为确定所要求保护的主题的范围的帮助。
本文描述的技术的各个方面通过监测从委托应用接收的通信来检测委托应用中的潜在安全破坏。委托应用是接收对资源的用户委托的应用。委托可以遵循委托协议,诸如OAuth 2.0。委托提供对资源的有限访问,并且不同于访问。委托允许通过由身份验证服务器提供的访问令牌或访问代码访问资源服务器,而无需提供凭据,诸如用户名和密码。此外,委托可以仅限制对用户指定的资源的子集的访问。
委托应用通信中的异常可以指示委托应用已被破坏并且现在由授权实体以外的实体控制。异常可以是委托应用的通信中新的或异常的属性值。新属性值是先前未从特定委托应用或从租户环境中的任何委托接收的属性值。
针对异常可以监测和评估任何数目的消息属性。这些属性可以单独或组合地被评估。在破坏的情况下,破坏方可以具有对先前发放的访问令牌的访问权限,这将对授权服务器表现为有效。因此,通过监测访问令牌来检测破坏可能是困难的,因为令牌应该保持不变。然而,如果不同的计算机发出请求,与访问令牌相关联的消息的属性可以有所不同。特别是,标识源计算机(即请求消息所起源于的计算机)的属性可以变化。这些属性可以包括起源IP地址、互联网服务提供方(ISP)标识、位置、MAC地址、路由器ID等。该技术不限于监测与源计算机相关的属性。例如,以不寻常的方式请求信息或以不寻常的方式注册新用户可以导致相关联的委托应用被指定为异常。
最初,异常检测系统可以为单个租户内的单个委托应用建立属性值的基线。这可以描述为每个委托应用具有自己的基线的应用特定基线。该技术还可以使用租户特定基线,该租户特定基线是使用来自与单个租户交互的多个委托应用的消息建立的。
用ISP属性为例,可以通过从指定量的请求消息收集ISP来建立应用特定基线。租户ISP基线是从跨单个租户的所有委托应用接收的ISP建立的。当接收到新消息时,然后该消息的ISP与应用特定基线比较。如果ISP不在应用特定基线中,则可以将消息指定为中针对特定委托应用的异常。第二步可以是将ISP与租户特定基线比较。如果ISP对应用特定基线和租户特定基线两者是异常的,则可以将消息指定为异常。还可以评估其他属性值。
当消息异常时,则可以采取安全缓解步骤。安全缓解步骤可以包括撤销委托应用对所请求资源的访问权限。此外,可以向用户、管理员和其他人发送各种警报消息。
附图说明
本文所述的技术通过示例的方法而非限制在附图中示出,其中相同的附图标记表示类似的元素,并且在附图中:
图1是适于实现本公开的示例委托环境的框图;
图2是示出根据本文所述技术的一个方面在委托应用和其它应用之间发生的通信的时序图;
图3是描绘适于实现本公开的方面的示例异常检测系统的示图;
图4是根据本文所述技术的一个方面的用于检测委托应用的通信中的异常的方法的流程图;
图5是根据本文所述技术的一个方面的用于检测委托应用的通信中的异常的方法的流程图;
图6是根据本文所述技术的一个方面的用于检测委托应用的通信中的异常的方法的流程图;
图7是适于用于实现本文技术的各方面的示例性计算环境的框图。
具体实施方式
本文所描述的各种技术已经用足够的特异性阐述,以满足法定要求。然而,描述本身并不旨在限制本专利的范围。相反,发明人已经考虑到所要求的主题也可以以其他方式体现,以包括不同的步骤或类似于本文档中描述的步骤的组合,与其他现有或未来的技术结合使用。此外,尽管术语“步骤”和/或“框”可以在本文中用于表示所采用方法的不同元素,除非和除了当明确描述了各个步骤的顺序时,这些术语不应被解释为暗示本文所公开的各个步骤之中或之间的任何特定顺序。
本文描述的技术的各个方面通过监测从委托应用接收的通信来检测委托应用中的潜在安全破坏。委托应用是接收到对资源服务器的用户委托到的应用。委托可以遵循委托协议,诸如OAuth 2.0。委托提供对资源的有限访问,并且不同于访问。委托允许通过由授权服务器提供的访问令牌或访问代码访问资源服务器,而无需提供凭据,诸如用户名和密码。此外,委托可以仅限制对由用户指定的资源子集的访问。
委托应用通信中的异常可以指示委托应用已被破坏,并且现在由授权实体以外的实体控制。异常可以是委托应用的通信中的新的或异常的属性值。新属性值是先前未从特定委托应用或可能从租户环境中的任何委托接收的属性值。
针对异常可以监测和评估任何数目的消息属性。这些属性可以单独或组合地被评估。在破坏的情况下,破坏方可以具有对先前发放的访问令牌的访问权限,这将对授权服务器表现为有效。因此,通过监测访问令牌检测破坏可能是困难的,因为令牌应该保持不变。然而,如果不同的计算机发出请求,与访问令牌相关联的消息的属性可能有所不同。特别是,标识源计算机(即请求消息所起源于的计算机)的属性可以变化。这些属性可以包括发起IP地址、互联网服务提供方(ISP)标识、位置、MAC地址、路由器ID等。在一个方面,IP地址用于从互联网号码分配机构(IANA)或其他来源通过查找来标识ISP地址。在其他方面,ISP地址在消息中提供。该技术不限于监控与源计算机相关的属性。例如,以不寻常的方式请求信息或以不寻常的方式注册新用户可以导致相关联的委托应用被指定为异常。
对描述请求时间的属性的分析也可以指示当请求消息在与先前请求不同的时间被接收时的破坏。委托应用可以按照时间表工作。在这种情况下,消息应该在大致相同的间隔、一天中的时间或与时间模式一致的其他时间被接收。
这里描述的技术可以部署在多租户环境中。多租户环境是指一个或多个数据中心中的计算机资源服务多个租户的架构。以这种方式设计的系统通常被称为共享。租户是一组用户,一组用户共享对计算机资源的特定权限的共同访问。这里描述的异常检测可以由多租户环境的运营商部署,并作为服务提供给租户。在其他方面,该技术可以由单个租户部署。
首先,异常检测系统可以针对单个租户内的单个委托应用建立属性值的基线。这可以描述为每个委托应用具有自己的基线的应用特定基线。该技术还可以使用租户特定基线,租户特定基线是使用来自与单个租户交互的多个委托应用的消息建立的。
以ISP属性为例,应用特定基线可以通过从指定量的请求消息收集多个ISP来建立。指定量可以是一千、10000或其他一些值。在一个方面,来自最后指定量的消息的ISP被存储,旧的ISP随着接收到新消息而从列表删除。可以使用时间段(例如一个月)来定义基线,而不是指定量。租户ISP基线是从跨单个租户的所有委托应用接收到的多个ISP建立的。
当接收到新消息时,则将该消息的ISP与应用特定基线比较。如果ISP不在应用特定基线中,则该消息可以被指定为针对特定委托应用的异常。第二步可以是将ISP与租户特定基线比较。如果ISP与应用特定基线和租户特定基线两者异常,则该消息可以被指定为异常。
当消息异常时,则可以采取安全缓解步骤。安全缓解步骤可以包括撤销委托应用对被请求资源的访问权限。此外,可以向用户、管理员和其他人发送各种警报消息。
简要描述了本文所述的技术的各方面的概述,下文描述了其中可以实现本文所述技术的各方面的示例性操作环境,为了针对各方面提供一般上下文。
现在转向图1,提供了框图,框图示出了可以采用本公开的某些方面的示例委托环境100。将使用来自委托协议OAuth 2.0的术语描述组件,但该技术不限于为与该协议使用。应当理解,本文描述的这种和其他布置仅作为示例来阐述。可以使用其他布置和元件(例如,机器、接口、功能、顺序和功能的分组等)补充或替代所示的布置和元件,并且为了清楚起见可以完全省略一些元件。此外,本文描述的许多的元件是功能实体,功能实体可以被实现为离散或分布式组件或与其他组件结合,并且以任何合适的组合和位置。本文描述的各种功能由一个或多个实体执行,可以由硬件、固件和/或软件实施。例如,一些功能可以由执行存储在存储器中的指令的处理器实施。
在未示出的其他组件中,示例委托环境100包括一定数目的用户设备,诸如用户设备102a和102b至102n;用户(资源所有者RO)103;一定数目的资源服务器,诸如资源服务器104a和104b至104n;授权服务器106;委托应用107;多租户环境;异常检测组件120;和网络110。图1中所示的组件中的每个组件可以经由任何类型的计算设备被实现,例如,结合诸如图7描述的计算设备700。这些组件可以经由网络110相互通信,网络110可以包括但不限于一个或多个局域网(LAN)和/或广域网(WAN)。在示例性实现中,网络110包括因特网和/或蜂窝网络,以及各种可能的公共的任一和/或私人网络。
用户设备102a和102b至102n可以是委托环境100的客户端侧上的客户端设备,而服务器106可以是委托环境100的服务器侧上。虽然未示出,委托应用107可以在用户设备上运行。用户103可以通过用户设备102上的接口委托访问。用户设备102a和102b至102n可以包括能够由用户使用的任何类型的计算设备。例如,在一个方面,用户设备102a至102n可以是本文关于图7中描述的计算设备的类型。通过示例而非限制,用户设备可以被体现为个人计算机(PC)、笔记本计算机、移动设备、智能手机、平板计算机、智能手表、可穿戴计算机、健身追踪器、虚拟现实耳机、增强现实眼镜、个人数字助理(PDA)、MP3播放器、全球定位系统(GPS)或设备、视频播放器、手持通信设备、游戏设备或系统、娱乐系统、车辆计算机系统、嵌入式系统控制器、遥控器、电器、消费电子设备、工作站或这些描述的设备的任何组合,或任何其他合适的设备。
用户(资源所有者)103可以使用用户设备102来授权应用访问其帐户。应用对用户的帐户的访问被限制在所授予的授权的“范围”内(例如读或写访问)。
授权服务器106验证用户的身份,然后向应用发放访问令牌。授权服务器106可以包括服务器侧软件,服务器侧软件被设计为与用户设备102a和102b至102n上的客户端侧软件一起工作,来实现本公开中讨论的特征和功能的任何组合。例如,授权服务器106可以授予访问令牌和验证先前发放的访问令牌。委托环境100的这种划分被提供以说明合适环境的一个示例,并且对于每个实现没有要求,服务器106和用户设备102a和102b至102n的任何组合保持为分离的实体。
资源服务器104a和104b至104n可以包括数据源和/或数据系统,数据源和/或数据系统被配置为使数据或其他资源可用于委托环境100的各种组成部分中的任何一个。资源服务器104a和104b至104n托管受保护的用户帐户,对这种受保护的用户帐户的访问可以被委托。例如,数据源可以包括电子邮件服务器、社交媒体服务器、日历或其他资源。资源服务器104a和104b至104n可以从用户设备102a和102b至102n离散,尽管用户设备可以包括对其的访问被委托的资源,例如联系人列表。
委托应用108想要访问用户的帐户,在它可以这样做之前,它必须由用户授权,并且授权必须由授权服务器106验证。通常地,委托应用108将向用户提供服务,例如从电子邮件或文本生成提醒。该服务可以使用来自用户的帐户或其他资源的信息。
多租户环境115托管资源服务器104a和104b和异常检测组件120。多租户环境115包括服务多个租户的一个或多个数据中心中的计算机资源。租户是共享到计算机资源的具有特定权限的共用访问的一组用户。异常检测组件120可以由多租户环境的运营商部署和作为对租户的服务被提供。
现在参考图2和图1,提供了显示委托环境100的组件之间的示例通信的框图。这些只是委托环境100中可能发生的通信的一个示例。现实世界中的实际实现可以有所不同。一般来说,消息授予委托,并且然后使用所授予的委托来请求资源。首先,委托应用107通过向资源所有者103发送授权请求102,请求用于访问来自资源所有者103的服务资源的授权。用户可以经由web浏览器或一些其他应用提供的用户交互界面授予访问权限。访问权限可以指定委托应用107能够经由委托访问的特定资源。如果资源所有者103授权了该请求,则委托应用107接收授权批准202。委托应用107通过呈现其自身身份的认证以及访问令牌请求203中的授权批准从授权服务器106请求访问令牌。如果应用身份被认证并且授权批准有效,授权服务器106向委托应用107发放访问令牌204。这完成了委托过程。
委托应用107然后能够经由资源请求消息205从资源服务器104请求资源,并呈现访问令牌以用于认证。如果访问令牌是有效的,资源服务器104向委托应用107供应资源。本文描述的技术的各方面可以评估资源请求消息205以建立基线并寻找异常。
现在转到图3,示出了异常检测系统120。示例异常检测系统120包括事件收集器310、应用基线建立器312、租户基线建立器314、异常检测器316、缓解组件318和基线存储装置320(及基线存储320的组件322、324、326和328)。这些组件可以体现为一组编译的计算机指令或功能、程序模块、计算机软件服务或在一个或多个计算机系统上执行的过程的布置,诸如结合例如图7描述的计算设备700。
在一个方面,由异常检测系统120的组件执行的功能与一个或多个应用、服务或例程相关联。特别地,这样的应用、服务或例程可以在一个或多个用户设备(例如用户设备102a)、服务器(例如授权服务器106)上操作,可以跨一个或多个用户设备和服务器而分布,或者在云中被实现。此外,在一些方面,异常检测系统120的这些组件可以跨包括一个或多个服务器(例如授权服务器106)和客户端设备(例如用户设备102a)的网络而分布,分布在云中,或者可以驻留在用户设备(例如用户设备102a)上。此外,这些组件、由这些组件执行的功能或由这些组件执行的服务可以在适当的抽象层被实现,例如计算系统的操作系统层、应用层、硬件层等。备选的或附加的,这些组件的功能和/或本文描述的方面可以至少部分地由一个或多个硬件逻辑组件执行。例如并且无限制,可以被使用的说明性类型的硬件逻辑组件包括现场可编程门阵列(FPGA)、应用特定集成电路(ASIC)、应用特定标准产品(ASSP)、片上系统(SOCs)、复杂可编程逻辑器件(CPLD)等。
事件收集器310标识由委托应用发送的资源请求消息。资源请求消息可以在事件流中被标识,事件流包括针对多租户环境115或其他领域内发生的大量动作的事件通知。应用基线建立器312和租户基线建立器314可以使用这些消息来标识针对消息的不同属性的值中的基线模式。这些消息还可以被传送到异常检测器316以用于异常分析。
应用基线建立器312分析多个资源请求消息并标识消息中针对不同感兴趣的属性的基线值。首先,应用基线建立器312可以通过接收应用对消息排序。感兴趣的属性是那些可能去揭示由于安全破坏导致的异常。可以容易地被发送方操纵的属性可以不如发送方无法欺骗或以其他方式控制的属性作为感兴趣属性可取。在一个方面,标识源计算机的各种属性可以被基线化。这些属性包括发送位置、IP地址、ISP、设备类型、浏览器的名称和用户代理的名称。这些属性中的一些根据各种委托协议被定义为资源请求消息的消息属性。其他属性值可以通过各种网络通信层中包含的数据的分析得出。其他属性值可以基于资源请求消息的属性。例如,IP地址可以用于查找和ISP。
在一个实施例中,应用基线包括针对在阈值量的资源请求消息或在阈值时间内被接收的消息中找到的特定属性的所有属性值。例如,位置属性的基线可以是过去30天内资源请求消息中提供的所有位置。基线可以是滚动基线,其值在30天后老化而不再是基线。作为备选,可以基于位置数据执行分析以标识来自资源请求消息应被视为正常的一般区域。因此,位置可以被提炼到原产国或其他有界地理分区。然后从国家或贪婪地理分区之外的位置而接收的消息可以被异常检测器316视为异常。
用于ISP属性值的基线可以是资源请求消息中提供的所有ISP,或在阈值量的消息或时间上从消息的IP地址或其他内容得到的。当从基线组之外的ISP接收消息时,异常检测器316可以发现消息异常。IP地址可以以类似的方式工作。
在另一个实施例中,基线基于资源请求消息的属性值中被识别的模式。例如,可以通过分析资源请求消息发送和/或接收的时间来识别时间模式。通常,委托应用在请求访问资源时可以遵循时间模式。这在遵循时间模式的应用中可以是一个强异常检测信号。
租户基线建立器314建立针对租户的基线,基线可以包括从多个委托应用寻求内容的资源请求消息。租户基线建立与针对应用的基线建立的工作相同,除了输入源不同并且包括来自从多个委托应用接收的资源请求消息的属性值。
异常检测器316将新接收到的资源请求消息中的属性值与应用基线和租户基线比较。可以将多个属性值与针对单个消息的基线比较。异常检测器316然后可以确定消息是否异常。当考虑多个值时,可以以加权或非加权的方式组合针对每个属性值的单个异常分数。如果加权,然后权重可以基于单个属性在预测异常中的预测强度。权重可以从对指定为异常的消息中的先前预测和调查的历史分析。
缓解组件318响应于接收到消息是异常的指示而执行安全缓解。缓解可以包括对管理员或负责正在访问的资源的位置中的其他人的警报。自动缓解也是可能的,诸如撤销与异常消息相关联的访问令牌。在一个实施例中,发送异常消息的委托应用被拒绝访问多租户环境或至少在与资源请求相关联的特定环境。
基线存储装置320存储应用和租户基线,例如应用一基线322、应用二基线324、应用三基线326和租户一基线328。如前所述,这些基线可以被异常检测器316访问并与新接收的消息的属性值比较。
示例方法
现在参考图4-图6,本文描述的方法400、500和600的每个块包括可以使用硬件、固件和/或软件的任意组合执行的计算过程。例如,各种功能可以由执行存储在存储器中的指令的处理器执行。方法也可以体现为存储在计算机存储介质上的计算机可用指令。该方法可以由独立应用,服务或托管服务(独立或与另一个托管服务组合)或另一个产品的插件来提供,仅举几例。此外,通过示例的方法,关于图3的异常检测系统120和图1和图2的附加特征描述方法400、500和600。然而,这些方法可以附加的或备选的由任何一个系统或系统的任何组合来执行,包括但不限于本文所述的那些。
图4是示出根据本公开的一些实施例的用于从委托应用接收的消息中的异常检测的方法400的流程图。方法400可以在类似于参考图1、图2和图3描述的系统上或与类似的系统执行。
方法400,在框410包括从特定委托应用接收通信,特定委托应用请求访问与租户相关联的资源,通信可以是寻求访问资源服务器上的资源的资源请求消息。资源可以与租户相关联。该通信可以与提供对所请求资源的委托访问的证明的有效访问令牌相关联。
方法400,在框420包括将该通信的属性值分类为针对该特定委托应用的应用异常。如前所述,当属性值未在应用特定基线内找到或与租户基线内定义的模式不一致时,该属性值可能是异常的。
方法400,在框430包括将该属性值分类为针对与该租户相关联的委托应用的租户异常。如前所述,当属性值未在租户基线内找到或与租户基线内定义的模式不一致时,该属性值可能是异常的。
方法400,在框440包括确定满足异常通信准则,该准则包括该属性值是应用异常和租户异常。租户异常意味着当与针对属性的租户基线比较时,发现属性值是异常的。应用异常意味着当与属性的应用特定基线比较时,属性值被发现是异常的。
方法400,在框450包括响应于满足准则,发起响应于通信的安全缓解动作。缓解可以包括向管理员或负责正在访问的资源的位置中的其他人发出警报。自动缓解也是可能的,诸如撤销与异常消息相关联的访问令牌。在一个实施例中,发送异常消息的委托应用被拒绝访问多租户环境或至少在与资源请求相关联的特定环境。
图5是示出根据本公开的一些实施例的用于从委托应用接收的消息中异常检测的方法500的流程图。方法500可以在类似于参考图1、图2和图3描述的系统上或与类似的系统执行。
方法500,在框510包括从请求访问资源的特定委托应用接收通信和有效访问令牌。通信可以是寻求访问资源服务器上的资源的资源请求消息。资源可以与租户相关联。通信可以与提供对所请求资源的委托访问的证明的有效访问令牌相关联。
方法500,在框520包括将通信的属性值分类为针对特定委托应用的应用异常。如前所述,当属性值未在应用特定基线内找到或与租户基线内定义的模式不一致时,属性值可以是异常的。在一个示例中,属性值是来自通信所起源的ISP。除了将ISP与基线比较之外,还可以使用其他准则。例如,如果ISP名称类似于委托应用的名称,然后通信可能不被分类为异常,即使ISP不在基线内。相似性可以使用余弦相似性或一些其他方法被确定。
方法500,在框530包括确定满足异常通信准则,该准则包括应用异常的属性值。应用异常意味着当与针对属性的应用特定基线比较时,发现属性值是异常的。
方法500,在框540包括响应于满足准则,发起响应于通信的安全缓解动作。缓解可以包括向管理员或负责正在访问的资源的位置中的其他人发出警报。自动缓解也是可能的,诸如撤销与异常消息相关联的访问令牌。在一个实施例中,发送异常消息的委托应用被拒绝访问多租户环境或至少在与资源请求相关联的特定环境。
图6是示出根据本公开的一些实施例的用于从委托应用接收的消息中异常检测的方法600的流程图。方法600可以在类似于参考图1、图2和图3描述的系统上或与类似的系统一起执行。
方法600,在框610包括接收针对具有与租户相关联的资源的访问权限的特定委托应用的事件记录。该事件记录指示与委托应用相关联的动作已经发生。在一个方面,该事件记录指示用户向委托应用添加了凭证。该事件记录可以包括关于计算机、用户、软件(例如,客户端浏览器)和参与注册中的其他实体的属性。如果来自事件记录中的任何属性值落在针对租户、应用或用户的既定模式的外面,然后该事件记录可以是异常的。如果属性值落在应用特定规范的外面,然后该事件可以是应用异常的。如果属性值落在针对多个委托应用的租户特定规范的外面,然后事件可以是租户异常。
事件记录可以指示通信,诸如寻求访问资源服务器上的资源的资源请求消息。资源可以与租户相关联。通信可以与提供对所请求资源的委托访问的证明的有效访问令牌相关联。
方法600,在框620包括将该属性值分类为针对与该租户相关联的委托应用的租户异常。如前所述,当属性值未在租户基线内找到或与在租户基线内定义的模式不一致时,该属性值可能是异常的。
方法600,在框630包括确定满足异常通信准则,该准则包括租户异常的属性值。租户异常意味着当与属性的租户基线相比时,发现属性值是异常的。
方法600,在框640包括响应于满足准则,发起响应于通信的安全缓解动作。缓解可以包括向管理员或负责正在访问的资源的位置中的其他人发出警报。自动缓解也是可能的,诸如撤销与异常消息相关联的访问令牌。在一个实施例中,发送异常消息的委托应用被拒绝访问到多租户环境或至少在与资源请求相关联的特定环境。
示例性操作环境
一般参考附图,特别是最初参考图7,用于实现本文描述的技术的方面的示例性操作环境被示出并一般指定为计算设备700。计算设备700只是合适的计算环境的一个示例,并不旨在对本文描述的技术的使用范围提出任何限制。计算设备700也不应被解释为具有与所示组件的任何一个或组合相关的任何依赖性或要求。
本文描述的技术可以在计算机代码或机器可用指令的一般上下文中描述,包括由计算机或其他机器(诸如个人数据助理或其他手持设备)执行的计算机可执行指令,诸如程序组件。通常,程序组件,包括例程、程序、对象、组件、数据结构等,是指执行特定任务或实现特定抽象数据类型的代码。本文描述的技术可以在多种系统配置中实践,包括手持设备、消费电子产品、通用计算机、专用计算设备等。本文描述的技术的各个方面也可以在分布式计算环境中实践,其中任务由通过通信网络链接的远程处理设备执行。
继续参考图7,计算设备700包括总线710,总线710直接或间接地耦合以下设备:存储器712,一个或多个处理器714,一个或多个呈现组件716,输入/输出(I/O)端口718,输入/输出组件720和说明性电源722。总线710表示可以是一个或多个总线(例如地址总线,数据总线或它们的组合)。尽管为了清楚起见,图7的各种框用线示出,实际上,界定各种组件不那么明确,比喻地说,这些线将更准确地是灰色和模糊的。例如,可以认为诸如显示设备的呈现组件是输入/输出组件。同样的,处理器具有存储器。本文的发明人认识到这是本领域的本质,并重申该图,图7仅仅说明了可以结合本文描述的技术的一个或多个方面使用的示例性计算设备。在诸如“工作站”、“服务器”、“笔记本计算机”、“手持设备”等类别之间没有区别,因为所有这些都在图7的范围内,并指“计算机”或“计算设备”。
计算设备700通常包括多种计算机可读介质。计算机可读介质可以是可以被计算设备700访问的任何可用介质,并且包括易失性和非易失性两者、可移除和不可移除介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括易失性和非易失性、可移动和不可移动介质,这些介质以用于信息的存储诸如计算机可读指令、数据结构、程序模块或其他数据的任何方法或技术中实现。
计算机存储介质包括RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、盒式磁带、磁带、磁盘存储器或其他磁存储设备。计算机存储介质不包括传播的数据信号。
通信介质通常体现计算机可读指令、数据结构、程序模块或调制数据信号诸如载波或其他传输机制中的其他数据,并包括任何信息递送介质。术语“调制数据信号”是指以对信号中的信息编码的方式设置或更改其一个或多个特征的信号。作为示例而非限制,通信介质包括诸如有线网络或直接有线连接的有线介质、以及无线介质,诸如声学、RF、红外线和其他无线介质。上述任何一种的组合也应包括在计算机可读介质的范围内。
存储器712包括易失性和/或非易失性存储器的形式的计算机存储介质。存储器712可以是可移除的、不可移除的或其组合。示例性存储器包括固态存储器、硬盘驱动器、光盘驱动器等。计算设备700包括从诸如总线710、存储器712或输入/输出组件720的各种实体读取数据的一个或多个处理器714。(多个)呈现组件716向用户或其他设备呈现数据指示。示例性呈现组件716包括显示设备、扬声器、打印组件、振动组件等。输入/输出端口718允许计算设备700逻辑耦合到其他设备,包括输入/输出组件720,其中的一些可以内置。
示例性输入/输出组件包括麦克风、操纵杆、游戏手柄、卫星天线、扫描仪、打印机、显示设备、无线设备、控制器(诸如触控笔、键盘和鼠标)、自然用户交互界面(NUI)等。在各方面,提供了笔数字化仪(未示出)和伴随的输入仪器(也未示出,但其可以仅作为示例包括笔或触控笔),以便数字地捕获手绘用户输入。笔数字化仪和(多个)处理器714之间的连接可以是直接的或通过利用串行端口、并行端口和/或其他接口和/或本领域已知的系统总线的耦合。进一步的,数字化仪输入组件可以是与诸如显示设备的输出组件分离的组件,或者在一些方面,数字化仪的可用输入区域可以与显示设备的显示区域共存。可以与显示设备集成,也可以作为覆盖或附加到显示设备的单独设备存在。任何和所有这些变体以及它们的任何组合都被认为在本文描述的技术方面的范围内。
NUI处理用户生成的空气手势、语音或其他生理输入。适当的NUI输入可以被解释为用于与计算设备700相关联地呈现的墨水笔划。这些请求可以被传输到适当的网络元件以进行进一步处理。NUI实现语音识别、触摸和触控笔识别、面部识别、生物特征识别、屏幕上和屏幕附近的手势识别、空气手势、头部和眼睛跟踪以及与计算设备700上的显示相关联的触摸识别的任何组合。计算设备700可以配备深度相机,例如立体相机系统、红外相机系统、RGB相机系统以及这些的组合,以用于手势检测和识别。此外,计算设备700可以配备能够检测运动的加速度计或陀螺仪,加速度计或陀螺仪的输出可以提供给计算设备700的显示器以呈现沉浸式增强现实或虚拟现实。
计算设备可以包括无线电724。无线电724发送和接收无线电通信。计算设备可以是适于通过各种无线网络接收通信和介质的无线终端。计算设备700可以通过无线策略进行通信,例如码分多址(“CDMA”)、全球移动通信系统(“GSM”)或时分多址(“TDMA”)以及其他策略,以与其他设备进行通信。无线电通信可以是短距离连接、长距离连接或短距离和长距离无线电信连接的组合。当我们提到“短”和“长”类型的连接时,我们并不是指两个设备之间的空间关系。相反,我们通常将短距离和长距离称为不同的类别或类型,连接(即主要连接和次要连接)。短距离连接可能包括与提供无线通信网络访问的设备(例如,移动热点)的连接,例如使用802.11协议的WLAN连接。与另一个计算设备的蓝牙连接是短距离连接的第二个示例。远程连接可能包括使用CDMA、GPRS、GSM、TDMA和802.16策略中的一种或多种的连接。
实施例
实施例1.一种或多种计算机存储介质,包括计算机可执行指令,计算机可执行指令在由计算设备执行时使该计算设备执行检测委托应用通信中的异常的方法。该方法包括从请求访问与租户相关联的资源的特定委托应用接收通信。该方法还包括将通信的属性值分类为针对特定委托应用的应用异常。该方法还包括将属性值分类为针对与租户相关联的委托应用的租户异常。该方法还包括确定满足异常通信准则,该准则包括属性值是应用异常和租户异常。该方法还包括响应于满足准则,发起响应于通信的安全缓解动作。安全缓解可以防止未经授权访问和使用私有数据。先前,安全方法不评估委托应用的操作。
实施例2.根据实施例1的介质,其中属性值是互联网服务提供方。
实施例3.根据任一前述实施例的介质,其中该方法还包括确定互联网服务提供方的名称与特定委托应用的名称之间的相似性不匹配,其中准则还包括相似性不匹配。
实施例4.根据任一前述实施例的介质,其中属性值是位置。
实施例5.根据任一前述实施例的介质,其中属性值是通信的时间。
实施例6.根据任一前述实施例的介质,其中该方法还包括由从特定委托应用接收的通信建立针对该属性值的应用特定基线。
实施例7.根据任一前述实施例的介质,其中该安全缓解动作是撤销供该特定委托应用访问租户环境中的资源的许可。
实施例8.一种检测委托应用的通信中的异常的方法。该方法包括从特定委托应用接收通信和有效访问令牌,该特定委托应用请求访问资源。该方法还包括将该通信的属性值分类为针对该特定委托应用的应用异常。该方法还包括确定满足异常通信准则,该准则包括该属性值是应用异常。该方法还包括响应于满足该准则,发起响应于该通信的安全缓解动作。该安全缓解可以防止对私有数据的未经授权的访问和使用。先前,安全方法不评估委托应用的动作
实施例9.根据任一前述实施例的方法,其中该属性值是ISP。
实施例10.根据任一前述实施例的方法,其中准则是多个属性的加权组合是异常或非异常的。
实施例11.根据任一前述实施例的方法,其中属性值包括设备类型、浏览器的名称和用户代理的名称之一。
实施例12.根据实施例8的方法,还包括将该通信的该属性值分类为针对与资源相关联的租户的异常。
实施例13.根据任一前述实施例的方法,其中该方法还包括由从多个委托应用接收的通信建立针对该属性值的租户特定基线,该多个委托应用试图访问租户资源。
实施例14.根据任一前述实施例的方法,其中该属性值是该通信的时间。
实施例15.根据任一前述实施例的方法,其中该安全缓解动作是撤销该有效访问令牌。
实施例16.一种系统,包括一个或多个处理器和存储计算机可用指令的一个或多个计算机存储介质,计算机可用指令在由一个或多个处理器使用时使一个或多个处理器执行方法。方法包括接收针对特定委托应用的事件记录,该特定委托应用具有与租户关联的资源的访问权限。方法还包括将事件记录的属性值分类为针对与租户关联的委托应用的租户异常。方法还包括确定满足异常事件准则,该准则包括该属性值是租户异常。方法还包括响应满足该准则,启动响应于该通信的安全缓解动作。安全缓解动作可以防止未经授权访问和使用私人数据。先前,安全方法不评估委托应用的操作。
实施例17.根据实施例16所述的系统,其中所述属性值是请求资源信息的通信从其接收的ISP。
实施例18.根据实施例17所述的系统,其中方法还包括确定ISP的名称与特定委托应用的名称之间的相似性不匹配,其中准则还包括相似性不匹配。
实施例19.根据实施例16、17和18中任一实施例所述的系统,其中方法还包括由从多个委托应用接收的事件记录来建立针对属性值的租户特定基线。
实施例20.根据实施例16、17、18和19中任一项所述的系统,其中安全缓解动作是拒绝对资源的访问。
本文所描述的技术已经针对特定方面进行了描述,这些方面在所有方面都是说明性的而不是限制性的。虽然本文所描述的技术容易受到各种修改和替代结构的影响,但其某些图示方面在附图中示出并已在上面详细描述。然而,应该理解的是,没有意图将本文所描述的技术限制为所公开的特定形式,相反,意图是涵盖所有在本文所描述的技术的精神和范围内的修改、替代结构和等价物。
Claims (15)
1.一种或多种计算机存储介质,包括计算机可执行指令,所述计算机可执行指令在由计算设备执行时使所述计算设备执行检测委托应用的通信中的异常的方法,所述方法包括:
从特定委托应用接收通信,所述特定委托应用请求访问与租户相关联的资源;
将所述通信的属性值分类为针对所述特定委托应用的应用异常;
将所述属性值分类为针对与所述租户相关联的委托应用的租户异常;
确定满足异常通信准则,所述准则包括所述属性值是应用异常和租户异常;以及
响应于满足所述准则,发起响应于所述通信的安全缓解动作。
2.根据权利要求1所述的介质,其中所述属性值是互联网服务提供方。
3.根据权利要求2所述的介质,其中所述方法还包括确定所述互联网服务提供方的名称与所述特定委托应用的名称之间的相似性不匹配,其中,所述准则还包括所述相似性不匹配。
4.根据权利要求1所述的介质,其中所述属性值是位置。
5.根据权利要求1所述的介质,其中所述属性值是所述通信的时间。
6.根据权利要求1所述的介质,其中所述方法还包括由从所述特定委托应用接收的通信建立针对所述属性值的应用特定基线。
7.根据权利要求1所述的介质,其中所述安全缓解动作是撤销供所述特定委托应用访问租户环境中的资源的许可。
8.一种检测委托应用的通信中的异常的方法,包括:
从特定委托应用接收通信和有效访问令牌,所述特定委托应用请求访问资源;
将所述通信的属性值分类为针对所述特定委托应用的应用异常;
确定满足异常通信准则,所述准则包括所述属性值是应用异常;以及
响应于满足所述准则,发起响应于所述通信的安全缓解动作。
9.根据权利要求8所述的方法,其中所述属性值是ISP。
10.根据权利要求8所述的方法,其中所述准则是异常或非异常的多个属性的加权组合。
11.根据权利要求8所述的方法,其中所述属性值包括设备类型、浏览器的名称和用户代理的名称之一。
12.根据权利要求8所述的方法,还包括将所述通信的所述属性值分类为针对与所述资源相关联的租户的异常。
13.根据权利要求12所述的方法,其中所述方法还包括由从多个委托应用接收的通信建立针对所述属性值的租户特定基线,所述多个委托应用试图访问租户资源。
14.根据权利要求8所述的方法,其中所述属性值是所述通信的时间。
15.根据权利要求8的所述方法,其中所述安全缓解动作是撤销所述有效访问令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/361,650 | 2021-06-29 | ||
| US17/361,650 US12010125B2 (en) | 2021-06-29 | 2021-06-29 | Anomaly detection in an application with delegate authorization |
| PCT/US2022/029691 WO2023278027A1 (en) | 2021-06-29 | 2022-05-17 | Anomaly detection in an application with delegate authorization |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117597886A true CN117597886A (zh) | 2024-02-23 |
Family
ID=82116003
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280047135.6A Pending CN117597886A (zh) | 2021-06-29 | 2022-05-17 | 具有委托授权的应用中的异常检测 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US12010125B2 (zh) |
| EP (1) | EP4364353A1 (zh) |
| CN (1) | CN117597886A (zh) |
| WO (1) | WO2023278027A1 (zh) |
Family Cites Families (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5680586A (en) * | 1995-04-18 | 1997-10-21 | International Business Machines Corporation | Method and system for storing and accessing user-defined attributes within a data processing system |
| US7865427B2 (en) * | 2001-05-30 | 2011-01-04 | Cybersource Corporation | Method and apparatus for evaluating fraud risk in an electronic commerce transaction |
| WO2006118968A2 (en) * | 2005-04-29 | 2006-11-09 | Bharosa Inc. | System and method for fraud monitoring, detection, and tiered user authentication |
| US7908660B2 (en) * | 2007-02-06 | 2011-03-15 | Microsoft Corporation | Dynamic risk management |
| US8402508B2 (en) * | 2008-04-02 | 2013-03-19 | Microsoft Corporation | Delegated authentication for web services |
| US9208188B2 (en) * | 2009-02-17 | 2015-12-08 | Microsoft Technology Licensing, Llc | Tenant management of a hosted multi-tenant application |
| US8972325B2 (en) * | 2009-07-01 | 2015-03-03 | Oracle International Corporation | Role based identity tracker |
| US20110276490A1 (en) * | 2010-05-07 | 2011-11-10 | Microsoft Corporation | Security service level agreements with publicly verifiable proofs of compliance |
| US8893268B2 (en) * | 2011-11-15 | 2014-11-18 | Microsoft Corporation | Permission re-delegation prevention |
| US9460303B2 (en) * | 2012-03-06 | 2016-10-04 | Microsoft Technology Licensing, Llc | Operating large scale systems and cloud services with zero-standing elevated permissions |
| CN105659558B (zh) * | 2013-09-20 | 2018-08-31 | 甲骨文国际公司 | 计算机实现的方法、授权服务器以及计算机可读存储器 |
| US9742757B2 (en) * | 2013-11-27 | 2017-08-22 | International Business Machines Corporation | Identifying and destroying potentially misappropriated access tokens |
| US9569634B1 (en) * | 2013-12-16 | 2017-02-14 | Amazon Technologies, Inc. | Fine-grained structured data store access using federated identity management |
| EP2887602A1 (en) * | 2013-12-17 | 2015-06-24 | Stonesoft Corporation | Session level mitigation of service disrupting attacks |
| US9210183B2 (en) * | 2013-12-19 | 2015-12-08 | Microsoft Technology Licensing, Llc | Detecting anomalous activity from accounts of an online service |
| US9473516B1 (en) * | 2014-09-29 | 2016-10-18 | Amazon Technologies, Inc. | Detecting network attacks based on a hash |
| US9736166B2 (en) * | 2015-06-08 | 2017-08-15 | Microsoft Technology Licensing, Llc | System and method for using per-application profiles in a computing device |
| US20160381060A1 (en) * | 2015-06-23 | 2016-12-29 | Veracode, Inc. | Systems and methods for aggregating asset vulnerabilities |
| US10084807B2 (en) * | 2015-10-16 | 2018-09-25 | Microsoft Technology Licensing, Llc. | Detection of bypass vulnerabilities |
| US11570209B2 (en) * | 2015-10-28 | 2023-01-31 | Qomplx, Inc. | Detecting and mitigating attacks using forged authentication objects within a domain |
| US11552968B2 (en) * | 2015-10-28 | 2023-01-10 | Qomplx, Inc. | System and methods for detecting and mitigating golden SAML attacks against federated services |
| CN109565511B (zh) * | 2016-09-16 | 2021-06-29 | 甲骨文国际公司 | 用于多租户身份和数据安全管理云服务的租户和服务管理 |
| US10581915B2 (en) * | 2016-10-31 | 2020-03-03 | Microsoft Technology Licensing, Llc | Network attack detection |
| US11134058B1 (en) * | 2017-10-06 | 2021-09-28 | Barracuda Networks, Inc. | Network traffic inspection |
| US10977364B2 (en) * | 2018-02-16 | 2021-04-13 | Microsoft Technology Licensing, Llc | System and method for monitoring effective control of a machine |
| US11012444B2 (en) * | 2018-06-25 | 2021-05-18 | Oracle International Corporation | Declarative third party identity provider integration for a multi-tenant identity cloud service |
| US11457040B1 (en) * | 2019-02-12 | 2022-09-27 | Barracuda Networks, Inc. | Reverse TCP/IP stack |
| US11687378B2 (en) * | 2019-09-13 | 2023-06-27 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration and bridge high availability |
| US11870770B2 (en) * | 2019-09-13 | 2024-01-09 | Oracle International Corporation | Multi-tenant identity cloud service with on-premise authentication integration |
| EP3687140B1 (en) | 2020-04-07 | 2022-07-06 | CyberArk Software Ltd. | On-demand and proactive detection of application misconfiguration security threats |
| US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
| US11388186B2 (en) * | 2020-07-04 | 2022-07-12 | Kumar Srivastava | Method and system to stitch cybersecurity, measure network cyber health, generate business and network risks, enable realtime zero trust verifications, and recommend ordered, predictive risk mitigations |
| US11394661B2 (en) * | 2020-09-23 | 2022-07-19 | Amazon Technologies, Inc. | Compositional reasoning techniques for role reachability analyses in identity systems |
| US20220121985A1 (en) * | 2020-10-20 | 2022-04-21 | Western Digital Technologies, Inc. | Machine Learning Supplemented Storage Device Calibration |
-
2021
- 2021-06-29 US US17/361,650 patent/US12010125B2/en active Active
-
2022
- 2022-05-17 WO PCT/US2022/029691 patent/WO2023278027A1/en active Application Filing
- 2022-05-17 EP EP22731855.7A patent/EP4364353A1/en active Pending
- 2022-05-17 CN CN202280047135.6A patent/CN117597886A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023278027A1 (en) | 2023-01-05 |
| EP4364353A1 (en) | 2024-05-08 |
| US20220417265A1 (en) | 2022-12-29 |
| US12010125B2 (en) | 2024-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10666643B2 (en) | End user initiated access server authenticity check | |
| US20220247579A1 (en) | System and method for identifying a browser instance in a browser session with a server | |
| EP3365824B1 (en) | Password-less authentication for access management | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| KR101721032B1 (ko) | 보안 챌린지 지원 패스워드 프록시 | |
| US10630676B2 (en) | Protecting against malicious discovery of account existence | |
| US10027648B2 (en) | Geolocation dependent variable authentication | |
| KR20170096117A (ko) | 멀티-테넌트 컴퓨팅 시스템의 보안 및 허가 아키텍처 | |
| US20170126733A1 (en) | Protection against end user account locking denial of service (dos) | |
| JP2016524248A (ja) | 身元情報の窃盗又は複製行為から保護する方法及びシステム | |
| US11824850B2 (en) | Systems and methods for securing login access | |
| US10805292B2 (en) | Secure authentication and network access management for mobile computing devices | |
| EP3619904B1 (en) | Smart card thumb print authentication | |
| US12010125B2 (en) | Anomaly detection in an application with delegate authorization | |
| US20220400108A1 (en) | Tokenizing authentication information | |
| WO2023083093A1 (en) | Protecting against api attacks by continuous auditing of security compliance of api usage relationship | |
| CN117917043A (zh) | 凭证输入检测和威胁分析 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |