DE102019209349A1 - Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling - Google Patents

Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling Download PDF

Info

Publication number
DE102019209349A1
DE102019209349A1 DE102019209349.3A DE102019209349A DE102019209349A1 DE 102019209349 A1 DE102019209349 A1 DE 102019209349A1 DE 102019209349 A DE102019209349 A DE 102019209349A DE 102019209349 A1 DE102019209349 A1 DE 102019209349A1
Authority
DE
Germany
Prior art keywords
resource identifiers
resource
web
identifiers
evaluating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102019209349.3A
Other languages
English (en)
Inventor
John Morgan
Rob Tietje
David Wang
Tejas Pattabhi
Josh Biol
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Webroot Inc
Original Assignee
Webroot Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Webroot Inc filed Critical Webroot Inc
Publication of DE102019209349A1 publication Critical patent/DE102019209349A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/951Indexing; Web crawling techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)

Abstract

Beispiele für die vorliegende Offenbarung beschreiben Systeme und Verfahren zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen mithilfe spezialisierter Web-Crawling-Techniken. In Aspekten wird ein erster Satz von schädlichen und/oder potentiell schädlichen Ressourcenbezeichnern identifiziert. Der erste Satz von Ressourcenbezeichnern wird bewertet, um zumindest einen zweiten Satz von Ressourcenbezeichnern zu ermitteln, der dem ersten Satz von Ressourcenbezeichnern zugehörig ist. Der zweite Satz von Ressourcenbezeichnern wird einer Web-Crawling-Komponente bereitgestellt, die den zweiten Satz von Ressourcenbezeichnern mithilfe einer Bedrohungserkennungskomponente überprüft. Wenn jegliche Ressourcenbezeichner in dem zweiten Satz von Ressourcenbezeichnern als schädlich (oder potentiell schädlich) identifiziert werden, können diese Ressourcenbezeichner klassifiziert und aufgezeichnet werden, der Web-Crawling-Komponente bereitgestellt werden und/oder dem ersten Satz von Ressourcenbezeichnern in nachfolgenden Bedrohungserkennungsanalysen hinzugefügt werden.

Description

  • Hintergrund
  • Bei Cyber-Angriffen handelt es sich um eine vorsätzliche Ausnutzung von Computersystemen, Infrastrukturen und Netzwerken. Cyber-Angriffe umfassen eine große Bandbreite von Web-Bedrohungen einschließlich versteckter Bedrohungen und Zero-Day-Bedrohungen. Wenngleich verschiedene Ansätze zur Cyber-Sicherheit entwickelt worden sind, sind zahlreiche Web-Bedrohungen weiterhin nicht erkennbar. Während herkömmliche Cyber-Sicherheitstechniken zum Beispiel bestimmte Web-Inhalte als schädlich (oder potentiell schädlich) erkennen können, sind solche Techniken im Allgemeinen wirkungslos beim Erkennen unmittelbarer (oder latenter) Bedrohungen, die den jeweiligen schädlichen Web-Inhalten zugehörig sind.
  • Die hierin offenbarten Aspekte sind im Hinblick auf diese und sonstige allgemeine Überlegungen gemacht worden. Wenngleich relativ spezifische Probleme erörtert werden können, versteht es sich darüber hinaus, dass die Beispiele nicht auf das Lösen der spezifischen Probleme beschränkt sein sollen, die im Hintergrund oder an anderer Stelle in dieser Offenbarung identifiziert werden.
  • Übersicht
  • Beispiele für die vorliegende Offenbarung beschreiben Systeme und Verfahren zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen mithilfe spezialisierter Web-Crawling-Techniken. In Aspekten wird ein erster Satz von schädlichen und/oder potentiell schädlichen Ressourcenbezeichnern identifiziert. Der erste Satz von Ressourcenbezeichnern wird bewertet, um zumindest einen zweiten Satz von Ressourcenbezeichnern zu ermitteln, der dem ersten Satz von Ressourcenbezeichnern zugehörig ist. Der zweite Satz von Ressourcenbezeichnern wird einer Web-Crawling-Komponente bereitgestellt, die den zweiten Satz von Ressourcenbezeichnern mithilfe einer Bedrohungserkennungskomponente überprüft. Wenn jegliche Ressourcenbezeichner in dem zweiten Satz von Ressourcenbezeichnern als schädlich (oder potentiell schädlich) identifiziert werden, können diese Ressourcenbezeichner klassifiziert und aufgezeichnet werden, der Web-Crawling-Komponente bereitgestellt werden und/oder dem ersten Satz von Ressourcenbezeichnern in nachfolgenden Bedrohungserkennungsanalysen hinzugefügt werden.
  • Diese Übersicht wird bereitgestellt, um eine Auswahl von Konzepten in vereinfachter Form vorzustellen, die im Folgenden in der ausführlichen Beschreibung näher beschrieben werden. Diese Übersicht soll weder dazu dienen, Schlüsselmerkmale oder wesentliche Merkmale des beanspruchten Gegenstandes zu identifizieren, noch soll sie dazu verwendet werden, den Umfang des beanspruchten Gegenstandes einzuschränken. Zusätzliche Aspekte, Merkmale bzw. Vorteile von Beispielen werden zum Teil in der folgenden Beschreibung erläutert und werden zum Teil aus der Beschreibung ersichtlich bzw. sind durch Ausführung der Offenbarung erlernbar.
  • Figurenliste
  • Nicht beschränkende und nicht erschöpfende Beispiele werden unter Bezugnahme auf die folgenden Figuren beschrieben.
    • 1 veranschaulicht eine Übersicht über ein beispielhaftes System zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben.
    • 2 veranschaulicht ein beispielhaftes Eingabeverarbeitungssystem zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben.
    • 3 veranschaulicht ein beispielhaftes Verfahren zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben.
    • 4 veranschaulicht ein Beispiel für eine geeignete Betriebsumgebung, in der eine oder mehrere der vorliegenden Ausführungsformen implementiert werden können.
  • Ausführliche Beschreibung
  • Verschiedene Aspekte der Offenbarung werden im Folgenden unter Bezugnahme auf die beigefügten Zeichnungen ausführlicher beschrieben, die einen Teil hiervon bilden und die spezifische beispielhafte Aspekte darstellen. Unterschiedliche Aspekte der Offenbarung können jedoch in vielen verschiedenen Formen implementiert werden und sollten nicht so ausgelegt werden, dass sie auf die hierin dargelegten Aspekte beschränkt sind; vielmehr werden diese Aspekte bereitgestellt, damit diese Offenbarung umfassend und vollständig ist und Fachleuten den Umfang der Aspekte vollständig vermittelt. Aspekte können als Verfahren, Systeme oder Vorrichtungen umgesetzt werden. Dementsprechend können Aspekte die Form einer Hardware-Implementierung, einer reinen Software-Implementierung oder einer Implementierung annehmen, die Software- und Hardware-Aspekte kombiniert. Die folgende ausführliche Beschreibung ist daher nicht als beschränkend zu betrachten.
  • Im Laufe der Jahre sind verschiedene Ansätze zum Bekämpfen von Web-Bedrohungen entwickelt worden. Viele dieser Ansätze beinhalten die Bewertung einer bestimmten Ziel-Web-Ressource wie zum Beispiel einer Web-Seite oder einer Verknüpfung. Auf Grundlage der Bewertung kann die identifizierte Bedrohung der Ziel-Web-Ressource neutralisiert oder abgeschwächt werden. In vielen Fällen handelt es sich bei der identifizierten Bedrohung jedoch einfach um eine von vielen Bedrohungen, die der Web-Ressource zugehörig sind. Beispielsweise kann eine schädliche Web-Seite einer Website zugehörig sein, die mehrere schädliche Web-Seiten oder zusätzliche schädliche Inhalte aufweist. Die oben beschriebenen herkömmlichen Ansätze zur Erkennung von Web-Bedrohungen sind nicht in der Lage, die Bewertung einer einzelnen identifizierten Bedrohung einer Web-Ressource so zu erweitern, dass sie Web-Ressourcen einschließt, die der einzelnen identifizierten Bedrohung einer Web-Ressource zugehörig sind.
  • Um solchen Beschränkungen von herkömmlichen Ansätzen zur Erkennung von Web-Bedrohungen zu begegnen, beschreibt die vorliegende Offenbarung Systeme und Verfahren zum Verwenden spezialisierter Web-Crawling-Techniken zum gründlichen Untersuchen von schädlichen Web-Ressourcen auf zugehörige Web-Bedrohungen. In Aspekten wird ein erster Satz von schädlichen und/oder potentiell schädlichen Ressourcenbezeichnern (z. B. URLs, URNs usw.) von einer oder mehreren Erkennungsquellen identifiziert und/oder erfasst. Zu beispielhaften Erkennungsquellen können Benutzer, Datenspeicher von bekannten und/oder verdächtigten Web-Ressourcen, externe Web-/Daten-Crawling-Dienstprogramme und dergleichen zählen. Jeder Ressourcenbezeichner in dem ersten Satz von Ressourcenbezeichnern kann bewertet werden, um Web-Ressourcen (z. B. Web-Seiten, Hyperlinks, elektronische Nachrichten, Daten von Diensten und Datenbanken, Dateien usw.) zu ermitteln, die diesem Ressourcenbezeichner zugehörig sind. Die zugehörigen Web-Ressourcen für jeden Ressourcenbezeichner können in einem zweiten Satz von Ressourcenbezeichnern platziert oder organisiert werden. Der zweite Satz von Ressourcenbezeichnern (oder ein Teilsatz davon) kann einer Web-Crawling-Komponente bereitgestellt werden, die das Überprüfen des zweiten Satzes von Ressourcenbezeichnern durch eine Bedrohungserkennungskomponente vereinfachen kann. Das Überprüfen des zweiten Satzes von Ressourcenbezeichnern kann zum Beispiel ein Untersuchen des Stamms und der Unterdomänen einer Web-Ressource, der Verknüpfungen einer Web-Ressource, der IP-Adresse, die ein Hosting für eine Web-Ressource bereitstellt, sonstiger Web-Ressourcen, für die ein Hosting durch die Hosting-IP-Adresse bereitgestellt wird, der Geoposition einer oder mehrerer IP-Adressen und/oder sonstiger Domänen, die sich im Besitz des Eigentümers einer Web-Ressource befinden, aufweisen.
  • Die Bedrohungserkennungskomponente kann die Ressourcenbezeichner in dem zweiten Satz von Ressourcenbezeichnern in eine oder mehrere Gruppen oder Kategorien (z. B. schädlich, verdächtig, sicher, unbekannt usw.) klassifizieren. Wenn jegliche Ressourcenbezeichner in dem zweiten Satz von Ressourcenbezeichnern als ein bestimmtes Sicherheits- oder Vertrauenswürdigkeitsniveau überschreitend (z. B. schädlich oder verdächtig) identifiziert werden, können diese Ressourcenbezeichner aufgezeichnet und in einem Datenspeicher gespeichert werden, der Web-Crawling-Komponente bereitgestellt werden, dem ersten Satz von Ressourcenbezeichnern in nachfolgenden Bedrohungserkennungsanalysen hinzugefügt werden und/oder einem oder mehreren Benutzern bereitgestellt werden. In zumindest einem Aspekt können eine oder mehrere Korrektur- oder Informationsmaßnahmen angeboten oder durchgeführt werden, wenn ein oder mehrere Ressourcenbezeichner als das Sicherheits- oder Vertrauenswürdigkeitsniveau überschreitend identifiziert werden.
  • Dementsprechend bietet die vorliegende Offenbarung eine Mehrzahl von technischen Vorteilen, darunter, ohne darauf beschränkt zu sein: unter anderen Beispielen ein Erhöhen der Sicherheit einer Datenverarbeitungsumgebung, ein Durchführen einer iterativen Analyse von Web-Bedrohungen auf Grundlage einer einzelnen Web-Ressource, ein Erzeugen und Speichern von Listen von schädlichen und/oder potentiell schädlichen Web-Ressourcen, ein Implementieren der Funktionalität eines Web-Crawler-Dienstprogramms und/oder eines Bedrohungserkennungs-Dienstprogramms, ein Verringern der Rechenressourcen und der Zeit, die zum Untersuchen von Web-Bedrohungen mithilfe einer Zielbedrohungsanalyse erforderlich ist.
  • 1 veranschaulicht eine Übersicht über ein beispielhaftes System zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben. Bei einem dargestellten beispielhaften System 100 handelt es sich um eine Kombination von unabhängigen Komponenten, die interagieren, um ein integriertes Ganzes zum Überwachen der Sicherheitsberechtigungen eines Prozesses auszubilden. Bei Komponenten des Systems kann es sich um Hardware-Komponenten oder um Software handeln, die auf Hardware-Komponenten des Systems implementiert und/oder durch diese ausgeführt wird. In Beispielen kann das System 100 beliebige von Hardware-Komponenten (die z. B. zum Ausführen/Durchführen eines Betriebssystems (operating system, OS) verwendet werden) und Software-Komponenten (z. B. Anwendungen, Anwendungsprogrammierschnittstellen (application programming interfaces, APIs), Module, virtuelle Maschinen, Laufzeitbibliotheken usw.), die auf Hardware ausgeführt werden, beinhalten. In einem Beispiel kann ein beispielhaftes System 100 eine Umgebung zum Ausführen von Software-Komponenten, Einhalten von für den Betrieb festgelegten Bedingungen und Nutzen von Ressourcen oder Funktionen des Systems 100 bereitstellen, wobei es sich bei Komponenten um Software (z. B. eine Anwendung, ein Programm, ein Modul usw.) handeln kann, die auf einer oder mehreren Verarbeitungsvorrichtungen ausgeführt wird. Beispielsweise kann Software (z. B. Anwendungen, Betriebsanweisungen, Module usw.) auf einer Verarbeitungsvorrichtung wie etwa einem Computer, einer Mobilvorrichtung (z. B. einem Smartphone/Telefon, einem Tablet, einem Laptop, einem persönlichen digitalen Assistenten (PDA) usw.) und/oder beliebigen sonstigen elektronischen Vorrichtungen ausgeführt werden. Als Beispiel für eine Betriebsumgebung einer Verarbeitungsvorrichtung sei auf die in 4 dargestellten beispielhaften Betriebsumgebungen verwiesen. In sonstigen Beispielen können die Komponenten von Systemen, die hierin offenbart werden, über mehrere Vorrichtungen verteilt sein. Beispielsweise kann eine Eingabe auf einer Client-Vorrichtung eingegeben oder erkannt werden und können Informationen von sonstigen Vorrichtungen in einem Netzwerk wie etwa einer oder mehreren Server-Vorrichtungen aus verarbeitet werden oder zugänglich sein.
  • Als ein Beispiel weist das System 100 Client-Vorrichtungen 102A bis C, ein verteiltes Netzwerk 104 und eine verteilte Server-Umgebung auf, die Server-Vorrichtungen 106A bis C aufweist. Einem Fachmann ist ersichtlich, dass die Größenordnung von Systemen wie zum Beispiel des Systems 100 variieren kann und mehr oder weniger Komponenten als die in 1 beschriebenen beinhalten kann. In einigen Beispielen kann eine Kopplung zwischen Komponenten des Systems 100 aus der Ferne durchgeführt werden, zum Beispiel wenn Komponenten des Systems 100 über eine oder mehrere Vorrichtungen eines verteilten Netzwerks verteilt sein können.
  • Datenverarbeitungsvorrichtungen 102A bis C können dazu gestaltet sein, Zugriff auf eine oder mehrere schädliche oder verdächtige (z. B. potentiell schädliche) Ressourcen und/oder entsprechende Ressourcenbezeichner bereitzustellen. Zu Beispielen für die Datenverarbeitungsvorrichtungen 102A bis C können Client-Vorrichtungen (z. B. ein Laptop oder PC, eine Mobilvorrichtung, eine tragbare Vorrichtung usw. eines Benutzers), web-basierte Einrichtungen, Dienstprogramme/Systeme zur Identifizierung von Ressourcen (wie etwa ein Web-Crawler, ein Such-Bot oder ein Spidering-Dienstprogramm) oder dergleichen zählen. In Aspekten können die Datenverarbeitungsvorrichtungen 102A bis C einen Satz von Bezeichnern von lokalen Ressourcen aufweisen und/oder kann ein Satz von entfernt angeordneten Ressourcen für die Datenverarbeitungsvorrichtungen 102A bis C zugänglich sein. Der Satz von Ressourcenbezeichnern kann Ressourcenbezeichner verschiedene Typen, zum Beispiel schädlich, verdächtig, sicher usw., aufweisen. Alternativ kann der Satz von Ressourcenbezeichnern nur Ressourcenbezeichner eines bestimmten Typs (z. B. schädlich) aufweisen. Ein Zugreifen auf den Satz von entfernt angeordneten Ressourcen kann ein Absenden einer oder mehrerer Abfragen an ein Suchdienstprogramm/einen Suchdienst, ein Zugreifen auf einen Datenspeicher von schädlichen Ressourcenbezeichnern, ein Ausführen eines Web-Crawler-Dienstprogramms/-Dienstes oder dergleichen beinhalten. Nach einem Identifizieren eines Satzes von Ressourcenbezeichnern können die Datenverarbeitungsvorrichtungen 102A bis C den Satz von Ressourcenbezeichnern einem Web-Crawling-Dienstprogramm/-Dienst mithilfe des Netzwerks 104 bereitstellen.
  • Die Server-Vorrichtungen 106A bis C können dazu gestaltet sein, die Bewertung eines Satzes von Ressourcenbezeichnern zu vereinfachen. Zu Beispielen für die Server-Vorrichtungen 106A bis C können Ressourcenbezeichner-Erkennungsvorrichtungen, Web-Crawler-Vorrichtungen, Bedrohungserkennungs- und -klassifizierungsvorrichtungen, Datenspeichervorrichtungen, Korrekturmaßnahmenvorrichtungen und dergleichen zählen. In Aspekten kann den Server-Vorrichtungen 106A bis C Zugriff auf einen Satz von Ressourcenbezeichnern bereitgestellt werden. Der Satz von Ressourcenbezeichnern kann mithilfe einer oder mehrerer der Server-Vorrichtungen 106A bis C oder Komponenten von diesen bewertet werden. Beispielsweise kann der Satz von Ressourcenbezeichnern einem Dienstprogramm (oder einer Vorrichtung) zur Erkennung von Ressourcenbezeichnern bereitgestellt werden. Das Dienstprogramm zur Erkennung von Ressourcenbezeichnern kann auf einer oder mehreren der Server-Vorrichtungen 106A bis C implementiert sein oder kann sich entfernt von den Server-Vorrichtungen 106A bis C befinden. Das Dienstprogramm zur Erkennung von Ressourcenbezeichnern kann auf den Satz von Ressourcenbezeichnern bezogene Inhalte durch Untersuchen, beispielsweise durch Untersuchen des Stamms und der Unterdomänen der Ressourcenbezeichner (und entsprechender Ressourcen), der internen und externen Verknüpfungen, die den Ressourcenbezeichnern zugehörig sind, der IP-Adressen, die ein Hosting für die Ressourcenbezeichner (und/oder die entsprechenden Ressourcen) bereitstellen, sonstiger Ressourcenbezeichner (und/oder entsprechender Ressourcen), für die ein Hosting durch die Hosting-IP-Adresse bereitgestellt wird, der Geoposition einer oder mehrerer IP-Adressen und/oder sonstiger Domänen, die sich im Besitz des Eigentümers der Ressourcenbezeichner befinden, identifizieren. Das Dienstprogramm zur Erkennung von Ressourcenbezeichnern kann die auf den Satz von Ressourcenbezeichnern bezogenen Inhalte einem Web-Crawling-Dienstprogramm bereitstellen. Das Web-Crawling-Dienstprogramm kann die betreffenden Inhalte durchsuchen und bewerten, um eine Liste von Inhalten zu erzeugen, die jedem Ressourcenbezeichner in den betreffenden Inhalten zugehörig sind. Das Web-Crawler-Dienstprogramm kann die Liste von Inhalten einem Dienstprogramm zur Bedrohungserkennung und/oder -klassifizierung bereitstellen.
  • Das Dienstprogramm zur Bedrohungserkennung/-klassifizierung kann auf einer oder mehreren der Server-Vorrichtungen 106A bis C implementiert sein oder kann sich entfernt von den Server-Vorrichtungen 106A bis C befinden. Das Dienstprogramm zur Bedrohungserkennung/-klassifizierung kann die auf den Satz von Ressourcenbezeichnern bezogenen Inhalte bewerten. Das Bewerten der Inhalte kann ein Verwenden eines oder mehrerer Regelsätze, Modelle oder Algorithmen beinhalten, um die Ressourcenbezeichner in den Inhalten in eine oder mehrere Gruppen oder Kategorien (z. B. schädlich, verdächtig, sicher, unbekannt usw.) zu klassifizieren. Ein Modell, wie es hierin verwendet wird, kann sich auf eine Komponente für vorhersagendes oder statistisches maschinelles Lernen beziehen, die dazu verwendet werden kann, eine Wahrscheinlichkeitsverteilung über ein/eine/einen oder mehrere Zeichenfolgen, Klassen, Objekte, Ergebnissätze oder Ereignisse zu ermitteln und/oder einen Antwortwert von einem oder mehreren Prädiktoren vorherzusagen. Bei einem Modell kann es sich um ein regelbasiertes Modell, einen Regressor oder Klassifikator im maschinellen Lernen, ein neuronales Netz oder dergleichen handeln. Das Dienstprogramm zur Bedrohungserkennung/-klassifizierung (oder eine getrennte Komponente der Server-Vorrichtungen 106A bis C) kann die Klassifizierungen der Ressourcenbezeichner bewerten, um zu ermitteln ob eine oder mehrere der Klassifizierungen ein bestimmtes Sicherheits- oder Vertrauenswürdigkeitsniveau erreichen oder überschreiten. Wenn festgestellt wird, dass eine oder mehrere der Klassifizierungen das Sicherheits-/Vertrauenswürdigkeitsniveau erreichen oder überschreiten, können die entsprechenden Ressourcenbezeichner aufgezeichnet und in einem Datenspeicher gespeichert werden, einer Web-Crawling-Komponente (wie zum Beispiel dem oben beschriebenen Web-Crawler-Dienstprogramm) bereitgestellt werden, einem oder mehreren Benutzern dargestellt werden, einer Korrekturmaßnahmenvorrichtung bereitgestellt werden oder dergleichen.
  • In einigen Aspekten kann eine Korrekturmaßnahmenvorrichtung auf einer oder mehreren der Server-Vorrichtungen 106A bis C implementiert sein oder sich entfernt von den Server-Vorrichtungen 106A bis C befinden. Die Korrekturmaßnahmenvorrichtung kann eine oder mehrere Gruppen von Ressourcenbezeichnern bewerten, die durch das Dienstprogramm zur Bedrohungserkennung/-klassifizierung klassifiziert worden sind. Auf Grundlage der Bewertung können eine oder mehrere Korrektur- und Informationsmaßnahmen angeboten oder durchgeführt werden. Zu Beispielen für Korrekturmaßnahmen können ein Erzeugen und Anzeigen von Warnungen und/oder Benachrichtigungen, ein Beenden eines oder mehrerer Prozesse, ein Modifizieren eines Satzes von Genehmigungs- oder Berechtigungsstufen, ein Unterquarantänestellen einer oder mehrerer Dateien, ein Initialisieren (vor Ort oder aus der Ferne) von Anti-Exploit-Software/-Diensten usw. zählen.
  • 2 veranschaulicht eine Übersicht über ein beispielhaftes Eingabesystem 200 zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben. Die durch das Eingabeverarbeitungssystem 200 implementierten Exploit-Präventionstechniken können die in 1 beschriebenen Techniken und Inhalte aufweisen. In alternativen Beispielen kann ein verteiltes System (das eine oder mehrere Komponenten wie zum Beispiel einen Prozessor und/oder einen Speicher aufweist) die in dem System 200 beschriebenen Techniken durchführen.
  • Im Hinblick auf 2 kann das Eingabeverarbeitungssystem 200 eine Ressourcenbezeichnererfassungs-Engine 202, einen Web-Crawler 204, eine Bedrohungserkennungs-Engine 206 und eine Ereigniserzeugungs-Engine 208 aufweisen. Die Ressourcenbezeichnererfassungs-Engine 202 kann dazu gestaltet sein, auf Ressourcenbezeichner zuzugreifen, die schädlichen oder verdächtigen Web-Ressourcen entsprechen. In Aspekten kann die Ressourcenbezeichnererfassungs-Engine 202 einen oder mehrere Ressourcenbezeichner von einer oder mehreren internen und/oder externen Quellen empfangen oder erfassen. Der/Die Ressourcenbezeichner kann/können zuvor identifizierte Web-Bedrohungen, kürzlich erkannte Web-Bedrohungen und/oder potentielle Web-Bedrohungen darstellen. Die Ressourcenbezeichnererfassungs-Engine 202 kann den/die Ressourcenbezeichner untersuchen, um auf den/die Ressourcenbezeichner bezogene Inhalte (z. B. Ressourcenbezeichner und entsprechende Ressourcen) zu identifizieren. In Beispielen kann das Identifizieren der betreffenden Inhalte ein Verwenden eines oder mehrerer Dienstprogramme oder -dienste zum Untersuchen des Stamms und der Unterdomänen der Ressourcenbezeichner (und entsprechender Ressourcen), der internen und externen Verknüpfungen, die den Ressourcenbezeichnern zugehörig sind, der IP-Adressen, die ein Hosting für die Ressourcenbezeichner (und/oder die entsprechenden Ressourcen) bereitstellen, sonstiger Ressourcenbezeichner (und/oder entsprechender Ressourcen), für die ein Hosting durch die Hosting-IP-Adresse bereitgestellt wird, der Geoposition einer oder mehrerer IP-Adressen, die den Ressourcenbezeichnern zugehörig sind, und/oder sonstiger Domänen, die sich im Besitz des Eigentümers der Ressource befinden, aufweisen. In Aspekten können der/die Ressourcenbezeichner für die betreffenden Inhalte einem Dienstprogramm zum Suchen von Web-Inhalten wie zum Beispiel dem Web-Crawler 204 zugänglich gemacht werden.
  • Der Web-Crawler 204 kann dazu gestaltet sein, einem oder mehreren Ressourcenbezeichnern zugehörige Ressourcen zu suchen und auszuwerten. In Aspekten kann der Web-Crawler 204 Zugriff auf einen oder mehrere Ressourcenbezeichner haben. Der Web-Crawler 204 kann die Ressourcenbezeichner (und/oder die entsprechenden Ressourcen) überprüfen, um Ressourcen zu ermitteln, die über die Ressourcenbezeichner verfügbar gemacht werden. Die ermittelten Ressourcen können einer Liste oder einer Warteschlange hinzugefügt werden, die durch den Web-Crawler 204 zu überprüfende Ressourcen/Ressourcenbezeichner darstellt. In Beispielen kann das Überprüfen der Ressourcenbezeichner ein Anwenden eines Dienstprogramms oder eines Dienstes zur Bedrohungserkennung und -bewertung wie zum Beispiel der Bedrohungserkennungs-Engine 206 auf die Ressourcenbezeichner beinhalten. Die Bedrohungserkennungs-Engine 206 kann dazu gestaltet sein, Multi-Vektor-Schutz und Bedrohungsermittlungsdienste für Endpunkte und Netzwerke durch Erkennen, Überwachen, Verhindern und/oder Abschwächen von Malware-Angriffen und befürchteten Bedrohungen bereitzustellen. Die Bedrohungserkennungs-Engine 206 kann dazu verwendet werden zu ermitteln, ob eine Ressource oder ein Ressourcenbezeichner schädlich ist oder schädliche (oder verdächtige) Inhalte aufweist. Die Ermittlung kann die Verwendung eines oder mehrerer Regelsätze, Modelle oder Algorithmen beinhalten. Die Ermittlung kann darüber hinaus oder alternativ ein Identifizieren und Anwenden einer Klassifizierung auf einen Ressourcenbezeichner beinhalten. In Beispielen kann die Klassifizierung eine Vertrauens- oder Bedrohungsbewertung für einen Ressourcenbezeichner angeben. Wenn in Aspekten ein Ressourcenbezeichner als schädlich (oder verdächtig) ermittelt wird, kann die Bedrohungserkennungs-Engine 206 zum Beispiel den Ressourcenbezeichner und zugehörige Klassifizierungsinformationen in einem zugänglichen Datenspeicher aufzeichnen und/oder den Ressourcenbezeichner der Ressourcenbezeichnererfassungs-Engine 202 bereitstellen. In zumindest einem Aspekt kann die Bedrohungserkennungs-Engine 206 zusätzlich Informationen und/oder Anweisungen, die sich auf die Ressourcenbezeichner und/oder entsprechende Klassifizierungen beziehen, an ein Dienstprogramm oder einen Dienst übertragen, das/der Maßnahmen durchführt, zum Beispiel die Ereigniserzeugungs-Engine 208.
  • Die Ereigniserzeugungs-Engine 208 kann dazu gestaltet sein, eine oder mehrere Korrektur- oder Informationsmaßnahmen anzubieten oder durchzuführen. In Aspekten kann die Ereigniserzeugungs-Engine 208 Informationen und/oder Anweisungen empfangen, die sich auf einen oder mehrere Ressourcenbezeichner beziehen. Die Ereigniserzeugungs-Engine 208 kann die Informationen und/oder Anweisungen mithilfe eines Regelsatzes oder sonstiger Bewertungskriterien bewerten, um eine oder mehrere durchzuführende Maßnahmen auszuwählen. Zu beispielhaften Maßnahmen können ein Erzeugen und Anzeigen von Warnungen und/oder Benachrichtigungen, ein Beenden eines oder mehrerer Prozesse, ein Erzeugen eines Berichts, ein Blockieren eines Zugriffs auf Ressourcenbezeichner, ein Benachrichtigen einer Bedrohungsüberwachungsstelle über identifizierte Bedrohungen, ein Implementieren von Zielbedrohungssicherheit auf Endbenutzervorrichtungen, ein Aktualisieren einer Liste oder Datenbank von bekannten oder vermuteten Bedrohungen, ein Modifizieren eines Satzes von Genehmigungs- oder Berechtigungsstufen, ein Unterquarantänestellen einer oder mehrerer Dateien, ein Initialisieren (vor Ort oder aus der Ferne) von Anti-Exploit-Software/-Diensten usw. zählen.
  • 3 veranschaulicht beispielhafte Verfahren zum Bewerten von schädlichen Web-Inhalten auf zugehörige Bedrohungen, wie hierin beschrieben. In Aspekten kann ein Verfahren 300 durch ein beispielhaftes System wie etwa das System 100 von 1 und das System 200 von 2 ausgeführt werden. In Beispielen kann das Verfahren 300 auf einer Vorrichtung ausgeführt werden, die zumindest einen Prozessor aufweist, der dazu gestaltet ist, Operationen, Programme oder Anweisungen zu speichern und auszuführen. Das Verfahren 300 ist jedoch nicht auf solche Beispiele beschränkt. In sonstigen Beispielen kann das Verfahren 300 durch eine(n) entfernt angeordnete(n) Anwendung oder Dienst durchgeführt werden. In noch weiteren Beispielen kann das Verfahren 300 durch eine oder mehrere Komponenten eines verteilten Netzwerks wie zum Beispiel einen Web-Dienst oder einen Dienst eines verteilten Netzwerks (z. B. einen Cloud-Dienst) (z. B. durch computerimplementierte Operationen) ausgeführt werden.
  • Das Beispiel 300 beginnt bei der Operation 302, bei der auf einen oder mehrere Ressourcenbezeichner zugegriffen werden kann. In Aspekten kann ein Datenanalysesystem Zugriff auf eine oder mehrere interne und/oder externe Datenquellen haben, die Ressourcenbezeichner aufweisen. Beispielsweise kann das Datenanalysesystem in der Lage sein, Ressourcenbezeichner von einem oder mehreren Benutzern über eine API oder eine graphische Benutzerschnittstelle (graphical user interface, GUI), einen externen Web-Crawler-Dienst und/oder einen internen Datenspeicher von zuvor identifizierten, schädlichen Ressourcenbezeichnern zu empfangen. Die Ressourcenbezeichner, auf die zugegriffen worden ist, können durch einen Erfassungsmechanismus wie zum Beispiel die Ressourcenbezeichnererfassungs-Engine 202 zu einer Liste von „Ausgangs“-Ressourcenbezeichnern zusammenfassen und/oder angeordnet werden.
  • In der Operation 304 können die Ausgangsressourcenbezeichner untersucht werden, um Ressourcenbezeichner zu ermitteln, die den Ausgangsressourcenbezeichnern zugehörig sind. In Aspekten können die Ausgangsressourcenbezeichner mithilfe eines oder mehrerer Untersuchungsdienstprogramme oder -dienste bewertet werden. Die Bewertung kann ein Ermitteln des Stamms und der Unterdomänen der Ressourcenbezeichner (und entsprechender Ressourcen), der internen und externen Verknüpfungen, die den Ressourcenbezeichnern zugehörig sind, der IP-Adressen, die ein Hosting für die Ressourcenbezeichner (und/oder die entsprechenden Ressourcen) bereitstellen, sonstiger Ressourcenbezeichner (und/oder entsprechender Ressourcen), für die ein Hosting durch die Hosting-IP-Adresse bereitgestellt wird, der Geoposition einer oder mehrerer IP-Adressen, die den Ressourcenbezeichnern zugehörig sind, und/oder sonstiger Domänen, die sich im Besitz des Ressourceneigentümers befinden, aufweisen. Die Bewertung kann darüber hinaus ein Ermitteln von Domänenregistrierungsinformationen (z. B. des Registratornamens, der Registrierungszeit, des registrierten Benutzers usw.) für die Ressourcenbezeichner, ein Identifizieren gemeinsamer Ausführungspfade für Web-Bedrohungen und ein Vergleichen der Ausführungspfade von Web-Bedrohungen für verschiedene IP-Adressen aufweisen. In Aspekten können die Ressourcenbezeichner, die den Ausgangsressourcenbezeichnern zugehörig sind, zu einem/einer oder mehreren Datenspeichern oder -warteschlangen hinzugefügt werden und können Status für solche Ressourcenbezeichner erzeugt oder aktualisiert werden.
  • In der Operation 306 können die Ressourcenbezeichner, die den Ausgangsressourcenbezeichnern zugehörig sind („betreffende Ressourcenbezeichner“) bewertet werden. In Aspekten können die betreffenden Ressourcenbezeichner einem Dienstprogramm oder einem Dienst zum Suchen von Inhalten wie zum Beispiel dem Web-Crawler 204 zugänglich gemacht werden. Das Dienstprogramm zum Suchen von Inhalten kann die betreffenden Ressourcenbezeichner (und/oder die entsprechenden Ressourcen) überprüfen, um Ressourcen zu ermitteln, die über die betreffenden Ressourcenbezeichner verfügbar gemacht werden. Beispielsweise kann eine Web-Seite, die einer URL entspricht, überprüft werden, um in die Web-Seite eingebettete Hyperlinks zu identifizieren. Die Ressourcenbezeichner, die den Ressourcen entsprechen, die über die betreffenden Ressourcenbezeichner zugänglich gemacht werden, können mithilfe eines Web-Bedrohungserkennungssystems wie zum Beispiel der Bedrohungserkennungs-Engine 206 bewertet werden. Das Web-Bedrohungserkennungssystem kann ein(en) oder mehrere Regelsätze, Modelle oder Algorithmen verwenden, um zu ermitteln, ob eine Ressource oder ein Ressourcenbezeichner schädlich ist oder schädliche (oder verdächtige) Inhalte aufweist. Die Ermittlung kann ein Vergleichen von Ressourcenbezeichnern mit einer oder mehreren Listen von bekannten schädlichen Ressourcenbezeichnern, ein Bewerten von Ressourcenbezeichnern anhand eines Satzes von Web-Bedrohungsheuristiken, ein Verwenden eines Dienstprogramms zum Suchen von Ressourcenbezeichnern usw. beinhalten. Beispielsweise können in Fortsetzung des obigen Beispiels die bei der Überprüfung einer URL identifizierten Hyperlinks einem Bedrohungserkennungssystem bereitgestellt werden, das für das Datenanalysesystem zugänglich ist. Das Bedrohungserkennungssystem kann ermitteln, ob die URL schädlich ist, und kann den Hyperlink dementsprechend kennzeichnen (oder die Hyperlink-Klassifizierung auf andere Weise angeben).
  • In Aspekten können die bewerteten Ressourcenbezeichner auf Grundlage der Ergebnisse der Bewertung klassifiziert werden. Die Klassifizierung kann eine oder mehrere Bedrohungsgruppen oder -kategorien (z. B. schädlich, verdächtig, sicher, unbekannt usw.) darstellen. Alternativ kann die Klassifizierung eine Bedrohungsbewertung darstellen, die die Bedeutung der erkannten Bedrohung oder die Wahrscheinlichkeit angibt, dass ein Ressourcenbezeichner schädlich ist. In einigen Aspekten können Ressourcenbezeichner, die als schädlich (oder verdächtig) bewertet worden sind, an einem Speicherort aufgezeichnet werden und/oder dem Erfassungsmechanismus bereitgestellt werden. Darüber hinaus können Informationen und/oder Anweisungen erzeugt werden, die sich auf einen oder mehrere schädliche (oder verdächtige) Ressourcenbezeichner beziehen. In Beispielen können die Informationen und/oder Anweisungen Maßnahmen zum Bekämpfen oder Abschwächen von schädlichen (oder verdächtigen) Ressourcenbezeichnern definieren oder darstellen. Beispielsweise kann in Fortsetzung des obigen Beispiels eine Nachricht erzeugt werden, wenn die URL als schädlich ermittelt wird. Die Nachricht kann einen Hyperlink aufweisen, der auf eine Sicherheitskorrektur zum Schützen der Schwachstellen verweist, die durch die schädliche URL ausgenutzt werden können. In einigen Aspekten können Metriken für die bewerteten Ressourcenbezeichner erzeugt werden. Die Metriken können zum Beispiel die Anzahl von bewerteten Ressourcenbezeichnern, die Anzahl von eindeutigen Ressourcenbezeichnern, die durch das Datenanalysesystem identifiziert worden sind, die Anzahl von eindeutigen Ressourcenbezeichnern, die je Ausführung des Web-Bedrohungserkennungssystems identifiziert worden sind, die Anzahl von erkannten Bedrohungen, die Anzahl der je Bedrohungskategorie erkannten Bedrohungen usw. beinhalten.
  • In der optionalen Operation 308 können eine oder mehrere Maßnahmen auf Grundlage der Bewertung der betreffenden Ressourcenbezeichner durchgeführt werden. In Aspekten können Informationen und/oder Anweisungen, die sich auf einen oder mehrere schädliche (oder verdächtige) Ressourcenbezeichner beziehen, einem Ereigniserzeugungsmechanismus wie zum Beispiel der Ereigniserzeugungs-Engine 208 bereitgestellt werden. Der Ereigniserzeugungsmechanismus kann die Anweisungen ausführen und/oder die Informationen verwenden, um die Ausführung eines Satzes von Anweisungen zu bewirken. In beiden Szenarien können die Anweisungen zu der Durchführung einer oder mehrerer Korrektur- oder Informationsmaßnahmen resultieren, die den betreffenden Ressourcenbezeichnern zugehörig sind. Zu beispielhaften Maßnahmen können ein Erzeugen und Anzeigen von Warnungen und/oder Benachrichtigungen, ein Beenden eines oder mehrerer Prozesse, ein Erzeugen eines Berichts, ein Blockieren eines Zugriffs auf Ressourcenbezeichner, ein Benachrichtigen einer Bedrohungsüberwachungsstelle über identifizierte Bedrohungen, ein Implementieren von Zielbedrohungssicherheit auf Endbenutzervorrichtungen, ein Aktualisieren einer Liste oder Datenbank von bekannten oder vermuteten Bedrohungen, ein Modifizieren eines Satzes von Genehmigungs- oder Berechtigungsstufen, ein Unterquarantänestellen einer oder mehrerer Dateien, ein Initialisieren (vor Ort oder aus der Ferne) von Anti-Exploit-Software/-Diensten usw. zählen. Beispielsweise kann in Fortsetzung des obigen Beispiels der Ereigniserzeugungsmechanismus den Hyperlink in der Nachricht ausführen; wodurch bewirkt wird, dass die Sicherheitskorrektur in dem Datenanalysesystem installiert wird.
  • 4 veranschaulicht ein Beispiel für eine geeignete Betriebsumgebung 400, in der eine oder mehrere der vorliegenden Ausführungsformen implementiert werden können. Dies ist lediglich ein Beispiel für eine geeignete Betriebsumgebung und soll den Umfang der Nutzung oder der Funktionalität nicht einschränken. Zu sonstigen allgemein bekannten Datenverarbeitungssystemen, -umgebungen und/oder -konfigurationen, die zur Verwendung geeignet sein können, zählen Personalcomputer, Server-Computer, Hand- oder Laptop-Vorrichtungen, Mehrprozessorsysteme, Systeme auf Grundlage von Mikroprozessoren, programmierbare Unterhaltungselektronik wie zum Beispiel Smartphones, Netzwerk-PCs, Minicomputer, Großrechner, verteilte Datenverarbeitungsumgebungen, die beliebige der obigen Systeme oder Vorrichtungen beinhalten, und dergleichen, ohne auf diese beschränkt zu sein.
  • In ihrer grundlegendsten Gestaltung beinhaltet die Betriebsumgebung 400 üblicherweise zumindest eine Verarbeitungseinheit 402 und einen Speicher 404. Abhängig von der genauen Gestaltung und dem Typ der Datenverarbeitungsvorrichtung kann der Speicher 404 (der unter anderem Ressourcenbezeichner, Klassifizierungsdaten, Anweisungen zum Durchführen der hierin offenbarten Verfahren usw. speichert) flüchtig (wie ein RAM), nicht flüchtig (wie ein ROM, ein Flash-Speicher usw.) oder eine Kombination der beiden sein. Diese grundlegendste Gestaltung wird in 4 durch die gestrichelte Linie 406 dargestellt. Des Weiteren kann die Umgebung 400 auch (austauschbare, 408, und/oder nicht austauschbare, 410) Speichervorrichtungen beinhalten, darunter Magnet- oder optische Platten oder Bänder, ohne auf diese beschränkt zu sein. Gleichermaßen kann die Umgebung 400 auch eine oder mehrere Eingabevorrichtungen 414 wie zum Beispiel eine Tastatur, eine Maus, einen Stift, eine Spracheingabe usw. und/oder eine oder mehrere Ausgabevorrichtungen 416 wie zum Beispiel eine Anzeige, Lautsprecher, einen Drucker usw. aufweisen. Darüber hinaus können in der Umgebung eine oder mehrere Datenübertragungsverbindungen, 412, wie zum Beispiel LAN, WAN, Punkt-zu-Punkt usw. beinhaltet sein.
  • Die Betriebsumgebung 400 beinhaltet üblicherweise zumindest eine Form von computerlesbaren Medien. Bei computerlesbaren Medien kann es sich um beliebige verfügbare Medien handeln, auf die durch die Verarbeitungseinheit 402 oder sonstige Vorrichtungen, die die Betriebsumgebung aufweisen, zugegriffen werden kann. Beispielsweise, und ohne einschränkend zu wirken, können computerlesbare Medien Computerspeichermedien und Datenübertragungsmedien aufweisen. Computerspeichermedien beinhalten flüchtige und nicht flüchtige, austauschbare und nicht austauschbare Medien, die mit einem beliebigen Verfahren oder einer beliebigen Technologie zum Speichern von Informationen wie zum Beispiel von computerlesbaren Anweisungen, Datenstrukturen, Programmmodulen oder sonstigen Daten implementiert sind. Computerspeichermedien beinhalten RAM, ROM, EEPROM, Flash-Speicher oder eine sonstige Speichertechnologie, CD-ROM, digitale vielseitige Scheiben (digital versatile disks, DVDs) oder sonstige optische Speicher, Magnetkassetten, Magnetband, Magnetplattenspeicher oder sonstige Magnetspeichervorrichtungen oder ein beliebiges sonstiges nicht transitorisches Medium, das zum Speichern der gewünschten Informationen verwendet werden kann. Computerspeichermedien beinhalten keine Datenübertragungsmedien.
  • Datenübertragungsmedien verkörpern computerlesbare Anweisungen, Datenstrukturen, Programmmodule oder sonstige Daten in einem modulierten Datensignal wie zum Beispiel einer Trägerwelle oder einem sonstigen Transportmechanismus und beinhalten beliebige Informationsübermittlungsmedien. Der Begriff „moduliertes Datensignal“ bedeutet ein Signal, bei dem eine oder mehrere Eigenschaften in einer solchen Weise festgelegt oder geändert werden, dass Informationen in dem Signal verschlüsselt werden. Beispielsweise, und ohne einschränkend zu wirken, beinhalten Datenübertragungsmedien drahtgebundene Medien wie zum Beispiel ein Kabelnetz oder eine direkt verdrahtete Verbindung und drahtlose Medien wie zum Beispiel akustische, HF-, Infrarot- und sonstige drahtlose Medien. Kombinationen von beliebigen der Obigen sollten ebenso im Umfang der computerlesbaren Medien enthalten sein.
  • Bei der Betriebsumgebung 400 kann es sich um einen einzelnen Computer handeln, der in einer Netzwerkumgebung mithilfe logischer Verbindungen zu einem oder mehreren entfernt angeordneten Computern arbeitet. Bei dem entfernt angeordneten Computer kann es sich um einen Personalcomputer, einen Server, einen Router, einen Netzwerk-PC, eine Peer-Vorrichtung oder einen sonstigen gemeinsamen Netzwerkknoten handeln, und er beinhaltet üblicherweise zahlreiche oder sämtliche der oben beschriebenen Elemente sowie sonstige, die nicht erwähnt worden sind. Die logischen Verbindungen können ein beliebiges Verfahren beinhalten, das durch verfügbare Datenübertragungsmedien unterstützt wird. Solche Netzwerkumgebungen sind in Büros, unternehmensweiten Computernetzwerken, Intranets und im Internet verbreitet.
  • Aspekte der vorliegenden Offenbarung werden oben zum Beispiel unter Bezugnahme auf Blockschaubilder und/oder Darstellungen der Funktionsweise von Verfahren, Systemen und Computerprogrammprodukten gemäß Aspekten der Offenbarung beschrieben. Die in den Blöcken dargestellten Funktionen/Vorgänge können in einer anderen Reihenfolge als in den Ablaufplänen dargestellt auftreten. Zwei nacheinander dargestellte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können bisweilen je nach entsprechender Funktionalität/entsprechendem Vorgang in umgekehrter Reihenfolge ausgeführt werden.
  • Die Beschreibung und Veranschaulichung eines oder mehrerer in dieser Anmeldung bereitgestellter Aspekte soll den Umfang der beanspruchten Offenbarung in keiner Weise begrenzen oder einschränken. Die in dieser Anmeldung bereitgestellten Aspekte, Beispiele und Einzelheiten werden als ausreichend betrachtet, um Besitz zu vermitteln und anderen zu ermöglichen, die beste Ausführungsart der beanspruchten Offenbarung vorzunehmen und zu verwenden. Die beanspruchte Offenbarung sollte nicht so ausgelegt werden, dass sie auf einen Aspekt, ein Beispiel oder eine Einzelheit beschränkt ist, die in dieser Anmeldung bereitgestellt werden. Unabhängig davon, ob sie zusammen oder getrennt voneinander dargestellt und beschrieben werden, sollen die verschiedenen (sowohl strukturellen als auch methodologischen) Merkmale wahlweise einbezogen oder weggelassen werden, um eine Ausführungsform mit einem bestimmten Satz von Merkmalen zu erzeugen. Ein Fachmann, dem die Beschreibung und Veranschaulichung der vorliegenden Anmeldung bereitgestellt worden ist, kann sich Varianten, Modifizierungen und alternative Aspekte vorstellen, die in den Wesensgehalt der breiteren Aspekte des allgemeinen, in dieser Anmeldung verkörperten Erfindungsgedankens fallen, die nicht vom breiteren Umfang der beanspruchten Offenbarung abweichen.

Claims (20)

  1. System, das aufweist: zumindest einen Prozessor; und einen Speicher, der mit dem zumindest einen Prozessor verbunden ist, wobei der Speicher computerausführbare Anweisungen aufweist, die, wenn sie durch den zumindest einen Prozessor ausgeführt werden, ein Verfahren durchführen, das aufweist: Zugreifen auf einen ersten Satz von Ressourcenbezeichnern; Ermitteln eines zweiten Satzes von Ressourcenbezeichnern, der dem ersten Satz von Ressourcenbezeichnern zugehörig ist, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern ein Bewerten einer oder mehrerer Domänen des ersten Satzes von Ressourcenbezeichnern aufweist; Bewerten des zweiten Satzes von Ressourcenbezeichnern, um einen dritten Satz von Ressourcenbezeichnern zu ermitteln, der mithilfe des zweiten Satzes von Ressourcenbezeichnern identifiziert wird; und Bewerten des dritten Satzes von Ressourcenbezeichnern, um zu ermitteln, ob ein oder mehrere Ressourcenbezeichner in dem dritten Satz von Ressourcenbezeichnern schädlich sind.
  2. System nach Anspruch 1, wobei der erste Satz von Ressourcenbezeichnern einen oder mehrere Ressourcenbezeichner aufweist, die als schädlich und/oder verdächtig ermittelt worden sind.
  3. System nach Anspruch 1, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern ein Untersuchen aufweist von: Stammdomänen und Unterdomänen des ersten Satzes von Ressourcenbezeichnern, internen und externen Verknüpfungen, die dem ersten Satz von Ressourcenbezeichnern zugehörig sind, einer oder mehrerer IP-Adressen, die ein Hosting für den ersten Satz von Ressourcenbezeichnern bereitstellen, einer Geoposition einer oder mehrerer IP-Adressen, die dem ersten Satz von Ressourcenbezeichnern zugehörig sind, und/oder sonstiger Domänen, die sich im Besitz einer Ressource befinden.
  4. System nach Anspruch 3, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern des Weiteren aufweist: Ermitteln einer Domänenregistrierung für den ersten Satz von Ressourcenbezeichnern, Identifizieren von gemeinsamen Ausführungspfaden für Web-Bedrohungen und/oder Vergleichen von Ausführungspfaden von Web-Bedrohungen für verschiedene IP-Adressen, die dem ersten Satz von Ressourcenbezeichnern zugehörig sind.
  5. System nach Anspruch 1, wobei das Bewerten des zweiten Satzes von Ressourcenbezeichnern ein Bereitstellen des zweiten Satzes von Ressourcenbezeichnern für ein Web-Crawling-Dienstprogramm aufweist.
  6. System nach Anspruch 5, wobei das Web-Crawling-Dienstprogramm den zweiten Satz von Ressourcenbezeichnern überprüft, um eine oder mehrere in den zweiten Satz von Ressourcenbezeichnern eingebettete Verknüpfungen zu identifizieren.
  7. System nach Anspruch 1, wobei das Bewerten des dritten Satzes von Ressourcenbezeichnern ein Anwenden eines Regelsatzes, eines Bewertungsmodells und/oder eines Algorithmus auf den dritten Satz von Ressourcenbezeichnern aufweist.
  8. System nach Anspruch 1, wobei das Bewerten des dritten Satzes von Ressourcenbezeichnern ein Anordnen des dritten Satzes von Ressourcenbezeichnern in einer oder mehreren Klassifizierungsgruppen aufweist, wobei die Klassifizierungsgruppen eine oder mehrere Web-Bedrohungsebenen darstellen.
  9. System nach Anspruch 8, wobei das Bewerten des dritten Satzes von Ressourcenbezeichnern des Weiteren ein Erzeugen eines Satzes von Metriken aufweist, die identifizieren: eine Anzahl von bewerteten Ressourcenbezeichnern, eine Anzahl von bewerteten eindeutigen Ressourcenbezeichnern und/oder eine Anzahl von erkannten Bedrohungen.
  10. System nach Anspruch 1, wobei das Verfahren des Weiteren aufweist: wenn ein oder mehrere Ressourcenbezeichner in dem dritten Satz von Ressourcenbezeichnern als schädlich ermittelt werden, Erzeugen eines Satzes von Anweisungen zum Durchführen einer oder mehrerer Korrekturmaßnahmen auf Grundlage der Ermittlung.
  11. System nach Anspruch 10, wobei die eine oder mehreren Korrekturmaßnahmen aufweisen: Anzeigen einer Warnung, Erzeugen eines Berichts, Blockieren eines Zugriffs auf einen oder mehrere Ressourcenbezeichner und/oder Initialisieren eines Anti-Exploit-Dienstprogramms.
  12. Verfahren, das aufweist: Ermitteln eines ersten Satzes von Ressourcenbezeichnern; Ermitteln eines zweiten Satzes von Ressourcenbezeichnern, der dem ersten Satz von Ressourcenbezeichnern zugehörig ist, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern ein Bewerten einer oder mehrerer Domänen des ersten Satzes von Ressourcenbezeichnern aufweist; Bewerten des zweiten Satzes von Ressourcenbezeichnern, um einen dritten Satz von Ressourcenbezeichnern zu ermitteln, der mithilfe des zweiten Satzes von Ressourcenbezeichnern identifiziert wird; und Bewerten des dritten Satzes von Ressourcenbezeichnern, um zu ermitteln, ob ein oder mehrere Ressourcenbezeichner in dem dritten Satz von Ressourcenbezeichnern schädlich sind.
  13. Verfahren nach Anspruch 12, wobei der erste Satz von Ressourcenbezeichnern einen oder mehrere Ressourcenbezeichner aufweist, die zuvor als schädlichen Inhalten zugehörig identifiziert worden sind.
  14. Verfahren nach Anspruch 12, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern des Weiteren ein Bewerten aufweist von: dem ersten Satz von Ressourcenbezeichnern zugehörigen Verknüpfungen, IP-Adressen, die ein Hosting für den ersten Satz von Ressourcenbezeichnern bereitstellen, einer oder mehrerer IP-Adressen, die den IP-Adressen zugehörig sind, die ein Hosting für den ersten Satz von Ressourcenbezeichnern bereitstellen, und/oder einer Geoposition einer oder mehrerer IP-Adressen.
  15. Verfahren nach Anspruch 14, wobei der zweite Satz von Ressourcenbezeichnern mithilfe eines Untersuchungsdienstprogramms zum Überprüfen von Ressourcenbezeichnern ermittelt wird.
  16. Verfahren nach Anspruch 12, wobei das Bewerten des zweiten Satzes von Ressourcenbezeichnern ein Bereitstellen des zweiten Satzes von Ressourcenbezeichnern für ein Web-Crawling-Dienstprogramm aufweist.
  17. Verfahren nach Anspruch 16, wobei das Web-Crawling-Dienstprogramm in der Lage ist, den zweiten Satz von Ressourcenbezeichnern zu überprüfen, um eine oder mehrere Verknüpfungen zu identifizieren, die dem zweiten Satz von Ressourcenbezeichnern zugehörig sind.
  18. Verfahren nach Anspruch 12, wobei das Bewerten des dritten Satzes von Ressourcenbezeichnern ein Bereitstellen des dritten Satzes von Ressourcenbezeichnern für ein Dienstprogramm zur Bedrohungserkennung aufweist.
  19. Verfahren nach Anspruch 18, wobei das Dienstprogramm zur Bedrohungserkennung in der Lage ist zu ermitteln, ob ein oder mehrere Ressourcenbezeichner des dritten Satzes von Ressourcenbezeichnern zumindest verdächtig ist.
  20. Computerlesbares Medium, das computerausführbare Anweisungen speichert, die, wenn sie ausgeführt werden, bewirken, dass ein Computersystem ein Verfahren durchführt, das aufweist: Ermitteln eines ersten Satzes von Ressourcenbezeichnern; Ermitteln eines zweiten Satzes von Ressourcenbezeichnern, der dem ersten Satz von Ressourcenbezeichnern zugehörig ist, wobei das Ermitteln des zweiten Satzes von Ressourcenbezeichnern ein Bewerten einer oder mehrerer Domänen des ersten Satzes von Ressourcenbezeichnern aufweist; Bewerten des zweiten Satzes von Ressourcenbezeichnern, um einen dritten Satz von Ressourcenbezeichnern zu ermitteln, der mithilfe des zweiten Satzes von Ressourcenbezeichnern identifiziert wird; und Bewerten des dritten Satzes von Ressourcenbezeichnern, um zu ermitteln, ob ein oder mehrere Ressourcenbezeichner in dem dritten Satz von Ressourcenbezeichnern schädlich sind.
DE102019209349.3A 2018-06-28 2019-06-27 Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling Pending DE102019209349A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/021,630 2018-06-28
US16/021,630 US11201875B2 (en) 2018-06-28 2018-06-28 Web threat investigation using advanced web crawling

Publications (1)

Publication Number Publication Date
DE102019209349A1 true DE102019209349A1 (de) 2020-01-02

Family

ID=68886420

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102019209349.3A Pending DE102019209349A1 (de) 2018-06-28 2019-06-27 Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling

Country Status (2)

Country Link
US (2) US11201875B2 (de)
DE (1) DE102019209349A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11762990B2 (en) * 2020-04-07 2023-09-19 Microsoft Technology Licensing, Llc Unstructured text classification
CN111914255B (zh) * 2020-07-14 2024-03-22 北京人人云图信息技术有限公司 一种基于行为特征的半自动反爬系统
US12003535B2 (en) 2021-03-01 2024-06-04 Microsoft Technology Licensing, Llc Phishing URL detection using transformers
US20230041534A1 (en) * 2021-07-27 2023-02-09 Lemon Inc. Security status based on hidden information

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060136374A1 (en) * 2004-12-17 2006-06-22 Microsoft Corporation System and method for utilizing a search engine to prevent contamination
US8615800B2 (en) * 2006-07-10 2013-12-24 Websense, Inc. System and method for analyzing web content
US8020206B2 (en) * 2006-07-10 2011-09-13 Websense, Inc. System and method of analyzing web content
US9985978B2 (en) * 2008-05-07 2018-05-29 Lookingglass Cyber Solutions Method and system for misuse detection
US9781148B2 (en) * 2008-10-21 2017-10-03 Lookout, Inc. Methods and systems for sharing risk responses between collections of mobile communications devices
WO2013184653A1 (en) * 2012-06-04 2013-12-12 Board Of Regents, The University Of Texas System Method and system for resilient and adaptive detection of malicious websites
US10033757B2 (en) * 2016-06-09 2018-07-24 Rapid7, Inc. Identifying malicious identifiers

Also Published As

Publication number Publication date
US11201875B2 (en) 2021-12-14
US20220217160A1 (en) 2022-07-07
US20200007559A1 (en) 2020-01-02

Similar Documents

Publication Publication Date Title
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
DE102019209349A1 (de) Untersuchung von Web-Bedrohungen mithilfe von fortschrittlichem Web-Crawling
DE112019004913T5 (de) Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz
US11381598B2 (en) Phishing detection using certificates associated with uniform resource locators
US11671448B2 (en) Phishing detection using uniform resource locators
US20080271143A1 (en) Insider threat detection
Horák et al. GDPR compliance in cybersecurity software: A case study of DPIA in information sharing platform
DE112012000279T5 (de) Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen
DE202013012765U1 (de) System zum Schutz von Cloud-Diensten vor nicht autorisiertem Zugriff und Schadsoftware-Angriff
DE202014010889U1 (de) Vorrangige statische gehostete Webanwendungen
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
US20220014561A1 (en) System and methods for automated internet-scale web application vulnerability scanning and enhanced security profiling
WO2008103286A2 (en) Assessment and analysis of software security flaws
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
US10445514B1 (en) Request processing in a compromised account
US20210203693A1 (en) Phishing detection based on modeling of web page content
Grimaila et al. Design and analysis of a dynamically configured log-based distributed security event detection methodology
Purohit et al. Data leakage analysis on cloud computing
DE112021000689T5 (de) Attestierung von neuronalen abläufen
Dugyala et al. [Retracted] Analysis of Malware Detection and Signature Generation Using a Novel Hybrid Approach
Wen et al. Detecting and predicting APT based on the study of cyber kill chain with hierarchical knowledge reasoning
Lopez et al. Methodology for data loss prevention technology evaluation for protecting sensitive information
Ortloff et al. Replicating a study of ransomware in Germany
AlSaed et al. An Integrated Framework Implementation For Cloud Forensics Investigation Using Logging Tool
US10693895B2 (en) Security indicator access determination

Legal Events

Date Code Title Description
R082 Change of representative

Representative=s name: BETTEN & RESCH PATENT- UND RECHTSANWAELTE PART, DE

R012 Request for examination validly filed