ES2382361T3 - Sistema de seguridad basado en red - Google Patents

Sistema de seguridad basado en red Download PDF

Info

Publication number
ES2382361T3
ES2382361T3 ES05250157T ES05250157T ES2382361T3 ES 2382361 T3 ES2382361 T3 ES 2382361T3 ES 05250157 T ES05250157 T ES 05250157T ES 05250157 T ES05250157 T ES 05250157T ES 2382361 T3 ES2382361 T3 ES 2382361T3
Authority
ES
Spain
Prior art keywords
network
data
user
content
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES05250157T
Other languages
English (en)
Inventor
Jon Curnyn
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BAE Systems PLC
BAE Systems Applied Intelligence Ltd
Original Assignee
BAE Systems PLC
Detica Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BAE Systems PLC, Detica Ltd filed Critical BAE Systems PLC
Application granted granted Critical
Publication of ES2382361T3 publication Critical patent/ES2382361T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Abstract

Método alojado en red para proporcionar un servicio de seguridad de contenido de protección de suplantación de identidad: (i) almacenar una pluralidad de direcciones de red legítimas con datos asociados; (ii) analizar (302) el tráfico soportado por la red para los datos que aparecen relacionados con los datos asociados; (iii) impedir (306), en el caso de que los datos de tráfico soportado por la red analizados en la etapa (ii) estén relacionados con los datos asociados, el acceso de usuario a cualquier dirección de red que sea el origen o el destinatario previsto de dichos datos de tráfico soportado por la red en el que dicha dirección de red no es una dirección de red legítima almacenada; y, (iv) añadir (311) direcciones de red a las que se impide el acceso de usuario a una lista de direcciones de red prohibidas.

Description

Sistema de seguridad basado en red
Antecedentes de la invención
La suplantación de identidad (phishing) es un problema en aumento en el que personas u organizaciones criminales o malintencionadas engañan a personas u organizaciones desprevenidas para que revelen información corporativa o personal, permitiendo el robo de identidad de las víctimas. La suplantación de identidad se compone habitualmente de dos partes:
(1)
Entregar mensajes de suplantación de identidad; y,
(2)
Efectuar el ataque de suplantación de identidad.
La entrega de un mensaje de suplantación de identidad puede producirse a través de cualquier aplicación de Internet tal como correo electrónico, navegador web, medios de comunicación, mensajería instantánea (IM), y el suplantador de identidad (phisher) envía información en estos mensajes esperando engañar al usuario desprevenido para que proporcione sin darse cuenta información al suplantador de identidad. Los mensajes usan ingeniería social y otras técnicas usadas por creadores de virus para facilitar el ataque de suplantación de identidad.
El ataque de suplantación de identidad puede ser uno en el que el usuario ejecuta sin percatarse el ataque, o mediante medios automatizados empleados normalmente por los creadores de virus. Por ejemplo, el usuario puede estar instruido para ir a un sitio web, que él/ella cree que es su banco, e introducir su nombre y contraseña de banca en línea, pero el sitio está operado en realidad por el suplantador de identidad. De manera similar, el ataque puede implicar la descarga de malware que captura automáticamente información (por ejemplo, los registradores de pulsaciones de teclas (keylogger)) o aprovecha las vulnerabilidades en la máquina del usuario lo que provocará que la información se envíe al suplantador de identidad, cuando el usuario cree que se está enviando a un sitio legítimo.
La intercepción de la entrega de mensajes de suplantación de identidad puede lograrse por la existencia de herramientas de seguridad de contenido tales como filtros antispam y bloqueadores de contenido de página web (que bloquean tipos genéricos de contenido tales como scripts o controles ActiveX).
Estas defensas pueden proporcionar buena protección de ataques de suplantación de identidad, pero algunos mensajes siempre pasarán, y entonces pueden provocar que se produzca un ataque de suplantación de identidad sobre la víctima.
También se conoce inspeccionar sitios web periódicamente en cuanto al uso de logotipos y mensajes no autorizados, y si éstos están pensados entonces para usarse en ataques de suplantación de identidad, los sitios web se añaden a listas de bloqueo usadas por productos de filtrado de webs convencionales.
Las soluciones actuales en lugar de impedir la ejecución de un ataque de suplantación de identidad son soluciones tanto lentas como incompletas. Los sistemas en la actualidad que preparan filtros de spam y bloqueadores de filtrado web están de manera eficaz fuera de línea, y con frecuencia llevados a cabo por la gente, de manera que la detección de nuevos mensajes de suplantación de identidad o sitios web puede llevar días antes de que esta información alcance el sistema de defensa.
De manera similar, los suplantadores de identidad cambian constantemente sus sitios de ataque, de manera que nunca pueden observarse mediante métodos de detección fuera de línea. Normalmente, los sitios de suplantación de identidad existen durante alrededor de 48 horas. Por tanto, cualquier información tal como firmas cargadas en los sistemas de defensa siempre estará incompleta.
Sumario de la invención
Según un primer aspecto de la presente invención, se proporciona un método alojado en red para proporcionar un servicio de seguridad de contenido de protección de suplantación de identidad, que comprende:
(i)
almacenar una pluralidad de direcciones de red legítimas con datos asociados;
(ii)
analizar el tráfico soportado por la red para los datos que aparecen relacionados con los datos asociados;
(iii) impedir en el caso de que los datos de tráfico soportado por la red analizados en la etapa (ii) estén relacionados con los datos asociados, el acceso de usuario a cualquier dirección de red que sea el origen o el destinatario previsto de dichos datos de tráfico soportado por la red en el que dicha dirección de red no es una dirección de red legítima almacenada; y,
(iv) añadir direcciones de red a las que se impide el acceso de usuario a una lista de direcciones de red prohibidas.
Según un segundo aspecto de la invención se proporciona un producto de programa informático que comprende instrucciones ejecutables por ordenador para realizar el método de la presente invención.
Según un tercer aspecto de la presente invención se proporciona un sistema alojado en red para proporcionar un servicio de seguridad de contenido de protección de suplantación de identidad, que comprende:
un medio de almacenamiento para almacenar una pluralidad de direcciones de red legítimas con datos asociados;
medios para analizar el tráfico de red para los datos que aparecen relacionados con los datos asociados; y,
medios para impedir el acceso de usuario a cualquier dirección de red que sea el origen o el destinatario previsto de dichos datos de tráfico de red en el caso de que se descubra que dichos datos de tráfico de red están relacionados con los datos asociados y que dicha dirección de red no es una dirección de red legítima almacenada y añadir direcciones de red a los que se niega el acceso de usuario a una lista de direcciones de red prohibidas.
La presente invención se implementa preferiblemente en Internet como un servicio de protección de suplantación de identidad. En particular; puede proteger contra ataques en la world wide web o el correo electrónico. Sin embargo, puede implementarse en otros tipos de redes, por ejemplo para proteger contra ataques de suplantación de identidad de servicio de mensajes cortos (SMS), y también puede usarse para proteger contra otros fallos de seguridad, por ejemplo podría usarse para impedir la infracción del derecho de autor o marca registrada.
Cuando se usa para proporcionar un servicio de protección de suplantación de identidad, la presente invención analiza automáticamente el contenido tal como se transfiere entre un usuario y un sitio remoto, y comprueba si este contenido se conoce que va a usarse por los suplantadores de identidad, o puede originarse por los suplantadores de identidad. Si se descubre que el contenido que es del tipo usado por los suplantadores de identidad entonces la dirección del sitio remoto se contrasta con una lista de sitios legítimos, y si el sitio remoto no está en la lista entonces se niega el acceso a este. Preferiblemente, esto se produce en tiempo real a medida que el usuario descarga el contenido y no depende de la actualización de cualquier información basada en firma que se determina fuera de línea. Esto es una ventaja significativa sobre con la técnica anterior puesto que es imposible para los suplantadores de identidad superar la protección al cambiar la dirección web del sitio de suplantación de identidad.
Los datos almacenados por la presente invención preferiblemente incluyen información conocida de sitios web comerciales legítimos susceptibles de ser objeto de ataques de suplantación de identidad de sus clientes (por ejemplo logotipos, palabras clave, estilos, direcciones de IP, URL). Esto permite que los ataques de suplantación de identidad a estos sitios web se detecten por la presente invención. Los datos asociados con sitios legítimos también pueden incluir los identificadores o credenciales usados por el usuario para identificar a los mismos para ese sitio.
El tráfico de red preferiblemente comprende uno o más de los siguientes: el usuario solicita el contenido desde una dirección, el contenido se transmite al usuario desde un sitio remoto, y el contenido se transmite a un sitio remoto desde el usuario. La presente invención puede, por tanto, detectar la suplantación de identidad u otros ataques en varias fases posibles, permitiendo que se proporcione una defensa por capas. En el caso de suplantación de identidad, si la presente invención falla en impedir a un usuario acceder a un sitio de suplantación de identidad, no obstante, puede reconocer el contenido descargado desde ese sitio como relacionado con la suplantación de identidad. Si esto también falla entonces la presente invención impide al usuario transmitir detalles personales a cualquier sitio web que no se sepa que es legítimo. Esto permite que la presente invención proporcione una solución significativamente más eficaz que métodos previos, no por capas.
Preferiblemente, se usan varios algoritmos para determinar si los datos de tráfico de red están relacionados con los datos almacenados. Éstos puede incluir pero no se limitan a, análisis léxico, reconocimiento de imágenes, coincidencia de patrones exacta e inexacta y cálculo de resumen. También se concibe que en algunos casos los datos se consideren relacionados debido al protocolo adoptado.
Cuando la presente invención determina que un intento de violación de seguridad está en curso, se niega el acceso de usuario al sitio sospechoso y se envía preferiblemente una notificación al usuario en lugar de cualquier dato solicitado. Esta notificación proporciona realimentación al usuario. Por ejemplo, puede explicar que se ha negado el acceso al sitio relevante e indicar el tipo de ataque detectado por la presente invención. Cuando la presente invención se implementa a través de Internet la notificación preferiblemente adopta la forma de una página de bloqueo aunque se reconoce que puede tener una forma diferente en otros tipos de red.
Se conoce que aquellos que perpetran ataques de red con frecuencia realizan “pruebas de vulnerabilidad” para determinar las capacidades de cualquier sistema de seguridad presente. Por tanto, se concibe que, para detectar un ataque, puede realizarse una comprobación que determina si una prueba de vulnerabilidad está en curso. Por ejemplo, puede suponerse que una prueba de vulnerabilidad está en curso si N ataques similares se han producido en un tiempo T. Preferiblemente, cuando se detecta una prueba de vulnerabilidad, se impide el envío de una notificación del tipo descrito anteriormente puesto que una notificación de este tipo puede poner sobre aviso al atacante de las capacidades de la presente invención.
Preferiblemente, la presente invención informa a los propietarios del sitio legítimo de cualquier intento de violación de seguridad.
La presente invención puede usarse en combinación con productos de seguridad de contenido existentes. Por ejemplo, un filtro web convencional puede contener una gran base de datos de dominios o sitios web, y puede, por tanto, usarse para eliminar muchos sitios web legítimos que están usándose en ataques de suplantación de identidad. De manera similar, los filtros antispam incorporan listas negras de direcciones de red, que incluyen las usadas por los suplantadores de identidad, por tanto, pueden identificar contenido que está enviándose hasta/desde los suplantadores de identidad. Por tanto, se concibe que la presente invención pueda usar estos sistemas convencionales como una línea de seguridad inicial, y que la información deducida por la presente invención pueda usarse para actualizar tales sistemas. Por ejemplo, en el caso de filtros antispam, esta actualización puede comprender una adición a la lista negra o reponderación de reglas heurísticas.
La presente invención puede implementarse en varios dispositivos, por ejemplo un PC, pero para un alto rendimiento para varios usuarios, se prefiere un dispositivo de análisis de hardware dedicado que tiene capacidad de análisis en tiempo real.
Breve descripción de los dibujos
Ahora se describirá en detalle un ejemplo de la presente invención con referencia a los dibujos adjuntos, en los que:
la figura 1 muestra la posición de una puerta de enlace de seguridad de contenidos (CSG) en una red que conecta servidores remotos con un usuario;
la figura 2 muestra un diagrama conceptual de la operación de una puerta de enlace de seguridad de contenidos (CSG) según una realización de la presente invención;
la figura 3 es un diagrama de flujo que ilustra una comprobación de URL según la presente invención;
la figura 4 es un diagrama de flujo que ilustra un análisis de contenido según la presente invención; y,
la figura 5 es un diagrama de flujo que ilustra comprobación de información personal según la presente invención.
Descripción detallada
En una realización preferida, la presente invención se implementa usando una puerta de enlace de seguridad de contenidos (CSG). Una CSG es un dispositivo de propósito múltiple que puede proporcionar varios servicios de seguridad en tiempo real al usuario. Por ejemplo, puede comprender capacidades de antispam y de antivirus además del sistema de protección de suplantación de identidad de la presente invención. Tal como puede observarse en la figura 1, la CSG 12 intercepta todos los datos transmitidos entre servidores 10 remotos u otros dispositivos y el usuario 14 a través de Internet 11. En el ejemplo mostrado en la figura 1, el usuario está alojado en una red 13 de área local (LAN) y la CSG 12 puede monitorizar los datos transmitidos hasta/desde cualquier dispositivo en la LAN 13. Además, aunque no se muestre en la figura 1, la CSG 12 puede estar monitorizando de manera independiente los datos transmitidos a dispositivos adicionales no en la LAN 13 del usuario. Por tanto, la CSG 12 puede monitorizar los datos transmitidos a una pluralidad de destinatarios, y por tanto puede detectar ataques de suplantación de identidad o de spam masivos, identificando y anulando amenazas antes que hardware o software de seguridad alojado por (y que da servicio sólo a) el usuario 14.
En una realización preferida, la CSG 12 forma parte de un sistema del ISP, y sus capacidades son, por tanto, servicios proporcionados por el ISP al usuario. Alternativamente, la CSG 12 puede implementarse en el nivel de la LAN 13 o en cualquier otro nivel en el que la CSG 12 pueda interceptar todos los datos previstos para el usuario.
En una realización preferida, la CSG 12 se realiza como un producto de sistema integrado que incorpora hardware, software y elementos microcodificados, que cuando se combinan con otros elementos de infraestructura convencionales tales como bases de datos y servidores web, permiten a un proveedor de servicio gestionado, entregar servicios de seguridad de contenido en tiempo real.
Un diagrama conceptual de la operación de una CSG se muestra en la figura 2. Se recibe tráfico de red, luego se identifica, y entonces se manipula, antes de transmitirse. Tal como puede observarse en la figura 2, se proporcionan una pluralidad de módulos de servicio (etiquetados servicio 1 a servicio N). Habiéndose identificado, los datos se envían al módulo de servicio definido por la política. Cada módulo de servicio puede proporcionar un servicio diferente (tal como antispam o antivirus) o alternativamente pueden dedicarse varios módulos de servicio a cada servicio con el fin de mejorar la velocidad en la que se procesan datos. La provisión de una pluralidad de módulos de servicio permite optimizar cada módulo para la tarea que lleva a cabo.
Sin embargo, se reconoce que la presente invención puede implementarse por dispositivos distintos de las CSG. Puede usarse cualquier dispositivo con la potencia computacional requerida que esté en una posición que intercepta todas las comunicaciones entre el usuario y el sitio remoto. Por ejemplo, si el volumen de tráfico es pequeño, o bien el PC del usuario o bien el PC implantado en la puerta de enlace de red (por ejemplo, un proxy) pueden implementar el sistema de la presente invención.
En uso, la CSG se programa con las siguientes listas de información ID de sitio: organización, URL, direcciones de IP,
Palabras clave de URL: por ejemplo, nombres de bancos y otras organizaciones,
Información específica de organización: tamaño de logotipo, colores, formas, compendios de páginas, atributos (por ejemplo, tamaño), palabras clave, imágenes, etc.
Credenciales de usuario: nombres de usuario, contraseñas, PIN, direcciones.
Preferiblemente, las organizaciones tales como bancos y otros servicios financieros proporcionan esta información a los administradores del sistema de protección de suplantación de identidad de manera directa. Como tal, se concibe que estas organizaciones son “asociados” en el servicio de protección de suplantación de identidad y por tanto a continuación en el presente documento se denominarán de esta manera. Sin embargo, es posible que la información se obtenga por otros medios. Por ejemplo, por detalles de “recopilación” simplemente de la world wide web.
Una vez que la CSG se prepara con esta información, el usuario puede protegerse entonces mediante un servicio de protección de suplantación de identidad.
El usuario puede recibir un mensaje de suplantación de identidad que lo dirige a un sitio web que están usándose por un suplantador de identidad. La invención lleva a cabo las siguientes defensas:
(i) Comprobación de URL: tal como se muestra en la figura 3, la presente invención intercepta el URL saliente en peticiones de HTTP, y opera con uno o más algoritmos en tiempo real para determinar si el URL destino puede usarse por los suplantadores de identidad. Cuando un navegador de usuario solicita un URL (etapa 301), la presente invención intercepta el flujo y decodifica el protocolo (etapa 302). Entonces extrae el URL y ejecuta diversos algoritmos tras éste (etapa 304) para determinar si el URL podría ser relevante para la suplantación de identidad. Por ejemplo, se consulta el URL para palabras clave (por ejemplo, Natwest, Barclays), y se considera relevante si una palabra clave de este tipo está presente. Si se determina que el URL no tiene relevancia para la suplantación de identidad entonces se permite la petición (etapa 313). Sin embargo, si el URL parece relevante, entonces se contrasta el URL con una lista de direcciones legítimas (etapa 305). Si el URL es relevante y no está incluido en esta lista de sitio legítimo, se bloquea el acceso del usuario al sitio web sospechoso, por ejemplo, bloqueando la petición HTTP GET (etapa 306). En este caso la presente invención puede ejecutar una “comprobación de prueba de vulnerabilidad” (etapa 307) tal como se describe en mayor detalle a continuación en el punto (v). Si esta comprobación no encontrara evidencia de que una prueba de vulnerabilidad está en curso entonces se proporciona una página de bloqueo (etapa 309) que informa al usuario del ataque intentado y el sitio también se “aprende”, y se añade a un filtro de acceso web convencional que puede estar ejecutando la invención (etapa 311). Debe entenderse que la información de sitio aprendida puede incluir el URL, la dirección de IP y el dominio. Finalmente, se informa al propietario de sitio legítimo del intento de violación de seguridad (etapa 312).
La siguiente es una lista no exhaustiva de algoritmos adecuados para la comprobación de URL:
a) Hacer coincidir palabras clave de URL proporcionadas por asociados, que son un subconjunto del URL total, detectar entonces como falso mediante la comprobación de tamaño frente al URL legítimo). Por ejemplo, el URL falso es www.natwest_com.ukvalidator.com, coinciden en natwest, rechazar por tener demasiados caracteres, o a través del compendio comparar en ambos URL, o en una comparación sencilla con el URL legítimo.
b) Comprobación sencilla de URL objetivo contra una lista negra.
c) Algoritmo de coincidencia difusa y comparar el nombre derivado con una lista de palabras clave (por ejemplo, coincidir en nat_west.com). Comparar entonces el URL derivado con una lista de URL legítimos (atributo, compendio, comparación total).
d) La comprobación con un filtro de acceso web convencional.
e) Cualquier combinación de (a) a (d) anterior.
Alternativa o adicionalmente, la presente invención puede explorar mensajes entrantes, por ejemplo correos electrónicos, para los URL e impedir el acceso de usuario a estos mensajes si se considera que los URL son sospechosos y/o el mensaje no se origina desde una dirección legítima.
También se concibe que pueda ser preferible analizar sólo el dominio en lugar del URL completo.
(ii) Análisis de contenido conocido: si el acceso de sitio web está permitido por la invención, se comprueba el contenido que está retornándose. Tal como se muestra en la figura 4, el contenido se quita de los paquetes de protocolo que lo portan (etapa 401), para conseguir el HTML, y éste se decodifica entonces (etapa 402), y se analiza posteriormente usando una serie de técnicas tales como coincidencia de patrones, cálculo de resumen y comprobación de atributo (etapa 403) frente a la información proporcionada por asociados. Si esta información no coincide, el contenido se considera no relevante para la suplantación de identidad y el contenido pasa al usuario (etapa 413). Si la información coincide, el contenido se considera relevante para la suplantación de identidad y se identifica como específico para una organización, y el origen del contenido se valida entonces frente a direcciones de IP legítimas para esa organización (etapa 405). Si el origen es legítimo el contenido pasa al usuario (etapa 413). Si no proviene de un origen legítimo, se bloquea el contenido (etapa 406). La presente invención puede entonces ejecutar una “comprobación de prueba de vulnerabilidad” (etapa 408) tal como se describe en mayor detalle a continuación en el punto (v). Si esta comprobación no encuentra evidencia de que una prueba de vulnerabilidad está en curso entonces se proporciona una página de bloqueo (etapa 409) que informa al usuario del ataque intentado y el sitio también se “aprende”, y se añade a un filtro de acceso web convencional que puede estar ejecutándose en la invención (etapa 411). Debe entenderse que la información de sitio aprendida puede incluir el URL, la dirección de IP y el dominio. Finalmente, se informa al propietario de sitio legítimo del intento de violación de seguridad (etapa 412).
La siguiente es una lista no exhaustiva de algoritmos adecuados:
a) Calcular compendios de páginas, scripts, imágenes y otras características. Comparar con la información de sitios legítimos.
b) Palabras clave de coincidencia de patrones. Comparar con las palabras clave de sitios legítimos.
c) Medir atributos de páginas (por ejemplo, tamaño, colores, fuentes, diseño de página), comparar con la lista de URL legítimos.
d) Cualquier combinación de (a) a (c) anterior.
(iii) Análisis de contenido desconocido: si el acceso de sitio web está permitido por la invención, se comprueba el contenido que está retornándose. Tal como se muestra también en la figura 4, el análisis de contenido desconocido se lleva a cabo de manera preferible conjuntamente con el análisis de contenido conocido. En particular, el contenido se quita de los paquetes de protocolo que lo portan (etapa 401), para conseguir el HTML, y se decodifica entonces (etapa 402) y esto se analiza entonces usando un algoritmo para determinar si el contenido puede intentar pretender darse servicio por un asociado (por ejemplo, la imagen que identifica un logotipo, la aparición de un nombre de organización, etc.) (etapa 403). Si el algoritmo consigue un resultado negativo entonces el contenido pasa al usuario (etapa 413). Si el algoritmo consigue un resultado positivo, el contenido se considera relevante para la suplantación de identidad y se identifica como específico para una organización, y el origen del contenido se valida entonces frente a direcciones de IP legítimas para esa organización (etapa 405). Si el origen es legítimo el contenido pasa al usuario (etapa 413). Si no proviene de un origen legítimo, se bloquea el contenido (etapa 406). En el caso de que se bloquee el contenido, la presente invención puede ejecutar entonces una “comprobación de prueba de vulnerabilidad” (etapa 408) tal como se describe en mayor detalle a continuación en el punto (v). Si esta comprobación no encuentra evidencia de que una prueba de vulnerabilidad está en curso entonces se proporciona una página de bloqueo (etapa 409) que informa al usuario del ataque intentado y el sitio también se “aprende”, y se añade a un filtro de acceso web convencional que puede estar ejecutándose en la invención (etapa 411). Debe entenderse que la información de sitio aprendida puede incluir el URL, la dirección de IP y el dominio. Finalmente, se informa al propietario de sitio legítimo del intento de violación de seguridad (etapa 412).
La siguiente es una lista no exhaustiva de algoritmos adecuados:
a) Análisis de imágenes para determinar un compendio de formas (por ejemplo, logotipos). Comparar con compendios de sitios legítimos.
b) Análisis de imágenes: comparar colores en uso con sitios legítimos.
c) Análisis léxico: aplicar testigos al contenido, ejecutar el algoritmo heurístico que pondera palabras clave (por ejemplo, un banco).
d) Análisis de atributos: medir atributos de páginas (por ejemplo, tamaño, colores, fuentes, diseño de página), comparar con listas de atributos de URL legítimos.
e) Cualquier combinación de (a) a (d) anterior.
(iv)
Comprobación de información personal: si las defensas anteriores no impiden el acceso al destino que está usándose en el ataque de suplantación de identidad, entonces, tal como se muestra en la figura 5, la invención monitoriza el acceso a destinos (por ejemplo, sitios web) y busca en el contenido saliente credenciales e identificadores de usuario. Cuando el navegador del usuario transmite tal contenido (etapa 501) la invención se pone sobre aviso inicialmente de la posibilidad de un ataque de suplantación de identidad mediante el protocolo usado (etapa 502). Por ejemplo, los HTTP POST se usan con frecuencia para portar credenciales e identificadores de usuario. Cuando se detecta un protocolo de este tipo la invención busca para ver si los detalles del usuario particular están disponibles (etapa 504) (es decir, si las credenciales e identificadores de usuario se almacenan para este usuario). Si la invención no tiene acceso a estos detalles entonces el contenido se considera relevante para la suplantación de identidad por defecto y sólo se permite pasar (etapa 511) si la dirección del URL objetivo está en una lista blanca (etapa 507). Sin embargo, si el acceso a estos detalles está disponible entonces se busca en ellos a
través de técnicas de coincidencia de patrones sencillas (con anticonfusión) (etapa 505). Si se encuentran los identificadores y credenciales del usuario, entonces el contenido se considera de nuevo relevante para la suplantación de identidad y sólo se permite pasar (etapa 511) si la dirección del URL objetivo está en una lista blanca (etapa 507). Si no se encuentran entonces se permite automáticamente al contenido pasar (etapa 511). Si el contenido es relevante para la suplantación de identidad y la dirección del URL objetivo no está en la lista blanca entonces se bloquean los datos (etapa 508), el URL y la dirección y dominio de IP asociados, se añaden a una lista de sitios de suplantación de identidad (etapa 509), y se informa al propietario de sitio (etapa 510).
(v)
Comprobación de prueba de vulnerabilidad: se conoce ampliamente de escritores o distribuidores de mensajes de malware o spam, probar productos que bloquean, detectan o notifican malware o spam distribuido por aquellos escritores o distribuidores. El propósito de estas pruebas por el escritor o distribuidor es buscar debilidades (o vulnerabilidades) en las capacidades de detección y bloqueo de estos productos, usando nuevas formas de contenido, o nuevas técnicas de confusión, o nuevas combinaciones de ambas para determinar cómo hacer estos productos inútiles.
Tal como se muestra en las figuras 3 y 4, cuando se encuentra evidencia de suplantación de identidad la presente invención, por tanto, autocomprueba altos volúmenes de apariciones de URL o contenido que son similares a los URL o contenido conocidos que son de naturaleza similar uno con el otro, o de naturaleza similar a sitios conocidos (etapas 307 y 407). Si estos volúmenes traspasan un umbral programado, se supone que una “prueba de vulnerabilidad” está en curso, y esto se notifica a los asociados (etapas 312 y 412). También es posible para el URL objetivo (y dominio y direcciones de IP asociados) que van añadirse a una lista de sitios web de suplantación de identidad en este punto (etapas 310 y 410). Sin embargo, esto no es necesariamente deseable puesto que una prueba de vulnerabilidad puede incluir un gran número de peticiones de sitios que no existen y de direcciones similares (por ejemplo, mybank001, mybank002, mybank003 etc.). Por tanto, la presente invención contiene algoritmos para decidir si un URL debe añadirse a la lista o no, y si es así, si debe incluirse sólo el URL exacto o coincidencias imperfectas del URL. Cuando se detecta una prueba de vulnerabilidad no se proporciona ninguna página de bloqueo al usuario puesto que no es deseable dar ninguna indicación de que el ataque intentado se ha impedido por la presente invención. Además, los detalles de la prueba de vulnerabilidad (por ejemplo, la dirección de IP de origen y el URL objetivo) también se almacenan, permitiendo un análisis fuera de línea posterior de estos datos.
Ejemplos específicos de comprobaciones de prueba de vulnerabilidad adecuadas incluyen:
a) Comprobación de URL: si se detectan N coincidencias con una palabra clave en el tiempo T, se desencadena entonces una “prueba de vulnerabilidad en progreso” y se notifica esto al propietario de sitio. Se añaden estos sitios a las listas de filtro de URL para prohibir su uso futuro. No se proporciona una página de bloqueo, simplemente se bloquea el HTTP GET saliente.
b) Comprobación de contenido: si se detectan N coincidencias de patrones, compendios, etc. en el tiempo T, desencadenan entonces se desencadena una “prueba de vulnerabilidad en progreso” y se notifica esto al propietario de sitio. Se añaden estos sitios a las listas de filtro de URL para prohibir su uso futuro. No se proporciona una página de bloqueo, simplemente se bloquea el contenido para no entregarlo al usuario.
Se concibe que la presente invención proporcionará un sistema de defensa por capas. Es decir, cada mecanismo de defensa sucederá a su vez, y por tanto la oportunidad de detectar un ataque de suplantación de identidad se aumenta en gran medida. En resumen, para el ejemplo dado anteriormente: la primera fase es la comprobación de URL, prevista para impedir el acceso a sitios de suplantación de identidad; si esto falla, se proporciona el análisis de contenido desconocido y conocido para impedir la descarga de material de suplantación de identidad; si esto también falla, la comprobación de información personal impide al usuario proporcionar información confidencial a sitios sospechosos. El prever la comprobación de prueba de vulnerabilidad durante la comprobación de URL y las fases de análisis de contenido conocido/desconocido es preferible pero no necesario para la provisión de un sistema de protección de suplantación de identidad eficaz.
Aunque la presente invención se haya tratado en el contexto de los PC conectados a la world wide web ésta puede aplicarse a cualquier dispositivo de red conectado a cualquier red. Por ejemplo, los ataques de suplantación de identidad a través de la red de telefonía móvil (a través de SMS) o a través de comunicaciones de correo electrónico puede impedirse usando la presente invención.
Cuando un ataque se efectúa por correo electrónico, se envía un correo a un usuario desde un suplantador de identidad que solicita información confidencial, tal como detalles de banca. El ataque sólo está completo cuando el usuario responde a este correo electrónico con los detalles requeridos. Por tanto, como antes, se interceptan las comunicaciones hasta/desde el usuario y el protocolo en uso se decodifica (para correo electrónico, un ejemplo es SMTP) y el contenido y/o peticiones de contenido se analizan para ver si pueden relacionarse con la suplantación de identidad. Además, los identificadores que contienen los destinatarios previstos de los correos electrónicos también se interceptan y analizan. Si cualquiera del contenido, peticiones de contenido o identificadores se considera que están relacionados con la suplantación de identidad entonces se bloquea el acceso a menos que la dirección remota esté contenida en una lista de direcciones de red legítimas. Tal como será evidente para un experto en la técnica, en este caso son direcciones de correo electrónico, más que URL, las que se comprueban con direcciones de red legítimas.
En otros contextos, el proceso equivalente implica cribar los identificadores (tales como URL o direcciones de correo electrónico) frente direcciones de red legítimas. Por ejemplo, en el caso de mensajería instantánea, el identificador 5 de IM se extrae y posteriormente (si el mensaje parece relevante para la suplantación de identidad) se compara con direcciones de red legítimas.
Un experto en la técnica reconocerá que el dominio de términos de Internet, el URL y la dirección de IP usados anteriormente se relacionan de la siguiente manera. Una dirección de IP es el término usado para una dirección de red en Internet. Un dominio define un grupo de direcciones de IP y puede proporcionarse un nombre de la forma de,
10 por ejemplo, “bbc.co.uk”. Un URL define una ubicación en la world wide web. Un URL a modo de ejemplo sería “http://www.bbc.co.uk/newsitem.html” que apunta a una página web que alberga un documento en un servidor web dentro del dominio de “bbc.co.uk”. Un experto en la técnica reconocerá, por tanto, que existen direcciones asociadas con tanto los URL como los dominios y que éstos se usan cuando se comprueba un URL o dominio con una lista de direcciones legítimas.

Claims (18)

  1. REIVINDICACIONES
    1. Método alojado en red para proporcionar un servicio de seguridad de contenido de protección de suplantación de identidad:
    (i)
    almacenar una pluralidad de direcciones de red legítimas con datos asociados;
    (ii)
    analizar (302) el tráfico soportado por la red para los datos que aparecen relacionados con los datos asociados;
    (iii) impedir (306), en el caso de que los datos de tráfico soportado por la red analizados en la etapa (ii) estén relacionados con los datos asociados, el acceso de usuario a cualquier dirección de red que sea el origen o el destinatario previsto de dichos datos de tráfico soportado por la red en el que dicha dirección de red no es una dirección de red legítima almacenada; y,
    (iv) añadir (311) direcciones de red a las que se impide el acceso de usuario a una lista de direcciones de red prohibidas.
  2. 2.
    Método según la reivindicación 1, en el que la lista de direcciones de red prohibidas se utiliza por uno o más servicios de seguridad de contenido adicionales.
  3. 3.
    Método según la reivindicación 1 o la reivindicación 2, que comprende además la reponderación de reglas heurísticas utilizadas por uno o más servicios de seguridad de contenido en función del resultado de la etapa (iii).
  4. 4.
    Método según cualquier reivindicación anterior, en el que los datos de tráfico de red comprenden un identificador que indica el destinatario previsto de los datos.
  5. 5.
    Método según cualquier reivindicación anterior, en el que el tráfico de red analizado en la etapa (ii) comprende una petición de contenido del usuario desde una dirección.
  6. 6.
    Método según cualquier reivindicación anterior, en el que el tráfico de red analizado en la etapa (ii) comprende contenido transmitido al usuario desde un sitio remoto.
  7. 7.
    Método según cualquier reivindicación anterior, en el que el tráfico de red analizado en la etapa (ii) comprende datos transmitidos a un sitio remoto desde el usuario.
  8. 8.
    Método según cualquier reivindicación anterior en el que la etapa (ii) comprende las etapas de:
    analizar (303) una petición de contenido del usuario desde una dirección, y, si dicha dirección no está relacionada con los datos asociados, posteriormente
    analizar (403) el contenido transmitido al usuario desde dicha dirección, y, si dicho contenido no está relacionado con los datos asociados, posteriormente
    analizar (503) los datos transmitidos a dicha dirección desde el usuario.
  9. 9.
    Método según cualquier reivindicación anterior, que comprende además la etapa de establecer, en el caso de que los datos de tráfico de red analizados en la etapa (ii) estén relacionados con los datos asociados, si una prueba de vulnerabilidad está en curso.
  10. 10.
    Método según la reivindicación 9, que comprende además la etapa de enviar, en el caso de que los datos de tráfico de red analizados en la etapa (ii) estén relacionados con los datos asociados y que no se haya establecido que una prueba de vulnerabilidad está en curso, la notificación al usuario en lugar de cualquier dato solicitado desde dicha dirección de red.
  11. 11.
    Método según cualquier reivindicación anterior, en el que la red es Internet.
  12. 12.
    Método según la reivindicación 11, que comprende además la etapa de añadir el dominio que contiene las direcciones de red a las que se impide el acceso de usuario a una lista de dominios prohibidos.
  13. 13.
    Método según cualquiera de las reivindicaciones 1 a 10, en el que la red es una red de datos de propósito general.
  14. 14.
    Método según cualquiera de las reivindicaciones 1 a 10, en el que la red es una red usada para telefonía móvil.
  15. 15.
    Producto de programa informático que comprende instrucciones que cuando se ejecutan por un ordenador provocan que el ordenador realice cada una de las etapas del método según cualquier reivindicación anterior.
  16. 16.
    Sistema de seguridad alojado en red para proporcionar un servicio de seguridad de contenido de protección de suplantación de identidad, que comprende:
    un medio de almacenamiento para almacenar una pluralidad de direcciones de red legítimas con datos asociados;
    5 medios para analizar el tráfico de red para los datos que aparecen relacionados con los datos asociados; y,
    medios para impedir el acceso de usuario a cualquier dirección de red que sea el origen o el destinatario previsto de dichos datos de tráfico de red en el caso de que se descubra que dichos datos de tráfico de red están relacionados con los datos asociados y que dicha dirección de red no es una dirección de red legítima almacenada y añadir direcciones de red a las que se niega el acceso de usuario a una lista de
    10 direcciones de red prohibidas.
  17. 17.
    Sistema según la reivindicación 16, en el que la lista de direcciones de red prohibidas se utiliza por uno o más servicios de seguridad de contenido adicionales.
  18. 18.
    Sistema según la reivindicación 16 o la reivindicación 17, que comprende además medios para reponderar reglas heurísticas en el caso de que se niegue el acceso de usuario a una dirección de red.
ES05250157T 2005-01-14 2005-01-14 Sistema de seguridad basado en red Active ES2382361T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP05250157A EP1681825B1 (en) 2005-01-14 2005-01-14 Network-based security platform

Publications (1)

Publication Number Publication Date
ES2382361T3 true ES2382361T3 (es) 2012-06-07

Family

ID=34940358

Family Applications (1)

Application Number Title Priority Date Filing Date
ES05250157T Active ES2382361T3 (es) 2005-01-14 2005-01-14 Sistema de seguridad basado en red

Country Status (6)

Country Link
US (1) US8635666B2 (es)
EP (1) EP1681825B1 (es)
AT (1) ATE548841T1 (es)
ES (1) ES2382361T3 (es)
GB (1) GB2422224B (es)
WO (1) WO2006120368A1 (es)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9203648B2 (en) 2004-05-02 2015-12-01 Thomson Reuters Global Resources Online fraud solution
US7870608B2 (en) * 2004-05-02 2011-01-11 Markmonitor, Inc. Early detection and monitoring of online fraud
US7457823B2 (en) 2004-05-02 2008-11-25 Markmonitor Inc. Methods and systems for analyzing data related to possible online fraud
US8041769B2 (en) * 2004-05-02 2011-10-18 Markmonitor Inc. Generating phish messages
US7913302B2 (en) * 2004-05-02 2011-03-22 Markmonitor, Inc. Advanced responses to online fraud
US8769671B2 (en) * 2004-05-02 2014-07-01 Markmonitor Inc. Online fraud solution
US20070107053A1 (en) * 2004-05-02 2007-05-10 Markmonitor, Inc. Enhanced responses to online fraud
US20060174119A1 (en) * 2005-02-03 2006-08-03 Xin Xu Authenticating destinations of sensitive data in web browsing
CA2613083A1 (en) * 2005-07-01 2007-01-11 Markmonitor Inc. Enhanced fraud monitoring systems
JP2007287124A (ja) * 2006-04-18 2007-11-01 Softrun Inc インターネット接続サイトの分析を通じたフィッシング防止方法及びその方法を実現するためのコンピュータプログラムを記録した記録媒体
US20080127345A1 (en) * 2006-06-30 2008-05-29 Nokia Corporation Smart-card centric spam protection
US8141132B2 (en) * 2006-08-15 2012-03-20 Symantec Corporation Determining an invalid request
US8904487B2 (en) * 2006-08-31 2014-12-02 Red Hat, Inc. Preventing information theft
US8196200B1 (en) * 2006-09-28 2012-06-05 Symantec Corporation Piggybacking malicious code blocker
US20080086638A1 (en) * 2006-10-06 2008-04-10 Markmonitor Inc. Browser reputation indicators with two-way authentication
US9521161B2 (en) 2007-01-16 2016-12-13 International Business Machines Corporation Method and apparatus for detecting computer fraud
US8484742B2 (en) 2007-01-19 2013-07-09 Microsoft Corporation Rendered image collection of potentially malicious web pages
US9130974B2 (en) 2007-04-18 2015-09-08 Mcafee, Inc. System and method for limiting spyware activity
US7827311B2 (en) * 2007-05-09 2010-11-02 Symantec Corporation Client side protection against drive-by pharming via referrer checking
US8205255B2 (en) 2007-05-14 2012-06-19 Cisco Technology, Inc. Anti-content spoofing (ACS)
US20090006532A1 (en) * 2007-06-28 2009-01-01 Yahoo! Inc. Dynamic phishing protection in instant messaging
EP2017758A1 (de) * 2007-07-02 2009-01-21 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Computergestütztes System und computergestütztes Verfahren zur Inhaltsverifikation
US8769706B2 (en) * 2007-07-26 2014-07-01 International Business Machines Corporation System and method for user to verify a network resource address is trusted
US20090089859A1 (en) * 2007-09-28 2009-04-02 Cook Debra L Method and apparatus for detecting phishing attempts solicited by electronic mail
EP2056561A1 (en) * 2007-10-30 2009-05-06 British Telecommunications public limited company Transmission of messages
US8091118B2 (en) * 2007-12-21 2012-01-03 At & T Intellectual Property I, Lp Method and system to optimize efficiency when managing lists of untrusted network sites
US8250080B1 (en) * 2008-01-11 2012-08-21 Google Inc. Filtering in search engines
US20090249445A1 (en) * 2008-03-27 2009-10-01 Sanjay Deshpande Authentication of Websites Based on Signature Matching
KR100987354B1 (ko) * 2008-05-22 2010-10-12 주식회사 이베이지마켓 웹 사이트 내의 부정 코드를 점검하기 위한 시스템 및 그방법
US20100042687A1 (en) 2008-08-12 2010-02-18 Yahoo! Inc. System and method for combating phishing
US8701185B2 (en) * 2008-10-14 2014-04-15 At&T Intellectual Property I, L.P. Method for locating fraudulent replicas of web sites
TW201015916A (en) * 2008-10-14 2010-04-16 Chunghwa Telecom Co Ltd System and method for identifying user establishing network connection
US8701165B2 (en) * 2009-06-03 2014-04-15 Microsoft Corporation Credentials phishing prevention protocol
US8448231B2 (en) 2010-10-05 2013-05-21 Guest Tek Interactive Entertainment Ltd. Walled garden system for providing access to one or more websites that incorporate content from other websites and method thereof
CN102651856B (zh) * 2011-02-23 2015-06-17 腾讯科技(深圳)有限公司 一种提高终端上网安全性的方法、系统和装置
US8959619B2 (en) 2011-12-21 2015-02-17 Fleet One, Llc. Graphical image password authentication method
CN103973749A (zh) * 2013-02-05 2014-08-06 腾讯科技(深圳)有限公司 基于云服务器的网站处理方法及云服务器
US9398038B2 (en) 2013-02-08 2016-07-19 PhishMe, Inc. Collaborative phishing attack detection
US9253207B2 (en) 2013-02-08 2016-02-02 PhishMe, Inc. Collaborative phishing attack detection
US9053326B2 (en) * 2013-02-08 2015-06-09 PhishMe, Inc. Simulated phishing attack with sequential messages
US8966637B2 (en) 2013-02-08 2015-02-24 PhishMe, Inc. Performance benchmarking for simulated phishing attacks
US9356948B2 (en) 2013-02-08 2016-05-31 PhishMe, Inc. Collaborative phishing attack detection
US9344449B2 (en) 2013-03-11 2016-05-17 Bank Of America Corporation Risk ranking referential links in electronic messages
CN103368958A (zh) * 2013-07-05 2013-10-23 腾讯科技(深圳)有限公司 一种网页检测方法、装置和系统
US9262629B2 (en) 2014-01-21 2016-02-16 PhishMe, Inc. Methods and systems for preventing malicious use of phishing simulation records
US9398047B2 (en) 2014-11-17 2016-07-19 Vade Retro Technology, Inc. Methods and systems for phishing detection
TWI557593B (zh) * 2014-12-15 2016-11-11 王基旆 安全輸入瀏覽器、其運作方法以及具有安全輸入瀏覽器之電腦系統
US10164927B2 (en) 2015-01-14 2018-12-25 Vade Secure, Inc. Safe unsubscribe
US9906539B2 (en) 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
US9749359B2 (en) 2015-07-22 2017-08-29 Bank Of America Corporation Phishing campaign ranker
US9825974B2 (en) 2015-07-22 2017-11-21 Bank Of America Corporation Phishing warning tool
US10110628B2 (en) 2015-07-22 2018-10-23 Bank Of America Corporation Phishing source tool
US9942249B2 (en) 2015-07-22 2018-04-10 Bank Of America Corporation Phishing training tool
US9729573B2 (en) 2015-07-22 2017-08-08 Bank Of America Corporation Phishing campaign ranker
EP3125147B1 (en) * 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
AU2016318602B2 (en) * 2015-09-11 2020-08-27 Okta, Inc. Secured user credential management
US10142366B2 (en) 2016-03-15 2018-11-27 Vade Secure, Inc. Methods, systems and devices to mitigate the effects of side effect URLs in legitimate and phishing electronic messages
GB201605004D0 (en) * 2016-03-24 2016-05-11 Secr Defence A method of protecting a user from messages with links to malicious websites
US11647046B2 (en) 2018-09-24 2023-05-09 Microsoft Technology Licensing, Llc Fuzzy inclusion based impersonation detection
US11720718B2 (en) 2019-07-31 2023-08-08 Microsoft Technology Licensing, Llc Security certificate identity analysis
US11528297B1 (en) * 2019-12-12 2022-12-13 Zimperium, Inc. Mobile device security application for malicious website detection based on representative image

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5996011A (en) * 1997-03-25 1999-11-30 Unified Research Laboratories, Inc. System and method for filtering data received by a computer system
US20040078422A1 (en) * 2002-10-17 2004-04-22 Toomey Christopher Newell Detecting and blocking spoofed Web login pages
US20050015455A1 (en) * 2003-07-18 2005-01-20 Liu Gary G. SPAM processing system and methods including shared information among plural SPAM filters
US7451487B2 (en) * 2003-09-08 2008-11-11 Sonicwall, Inc. Fraudulent message detection
US7313691B2 (en) * 2003-11-18 2007-12-25 International Business Machines Corporation Internet site authentication service
US7606821B2 (en) * 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
US20070022202A1 (en) * 2005-07-22 2007-01-25 Finkle Karyn S System and method for deactivating web pages

Also Published As

Publication number Publication date
GB2422224B (en) 2007-10-10
WO2006120368A1 (en) 2006-11-16
GB0600609D0 (en) 2006-02-22
GB2422224A (en) 2006-07-19
US8635666B2 (en) 2014-01-21
EP1681825A1 (en) 2006-07-19
US20080141342A1 (en) 2008-06-12
ATE548841T1 (de) 2012-03-15
EP1681825B1 (en) 2012-03-07

Similar Documents

Publication Publication Date Title
ES2382361T3 (es) Sistema de seguridad basado en red
Oest et al. Inside a phisher's mind: Understanding the anti-phishing ecosystem through phishing kit analysis
Vacca Network and system security
Vukalović et al. Advanced persistent threats-detection and defense
CN105915532B (zh) 一种失陷主机的识别方法及装置
Jenab et al. Cyber Security Management: A Review.
Kalla et al. Phishing detection implementation using databricks and artificial Intelligence
Chhikara et al. Phishing & anti-phishing techniques: Case study
US11882112B2 (en) Information security system and method for phishing threat prevention using tokens
Innab et al. Hybrid system between anomaly based detection system and honeypot to detect zero day attack
Souley et al. A captcha–based intrusion detection model
Carter et al. Intrusion prevention fundamentals
US11792224B2 (en) Information security system and method for phishing threat detection using tokens
CN110719271A (zh) 一种旁路流量检测设备与终端防护设备联合防御方法
Aijaz et al. Security operations center—A need for an academic environment
Awodele et al. Vulnerabilities in network infrastructures and prevention/containment measures
CA2587867A1 (en) Network security device
Singh et al. A detailed survey and classification of commonly recurring cyber attacks
Patayo A Preventive and Detective Model for Phishing Attack in Small and Medium Size Businesses
CHOPRA et al. Cyber-Attacks Identification and Measures for Prevention
Orucho et al. Security threats affecting user-data on transit in mobile banking applications: A review
MINNAAR Cybercrime, cyberattacks, and problems of implementing organizational cybersecurity
Devi et al. Finding Attackers Details to Solve Security Issues Using Honeypots
Raj et al. Why defensive security should be compulsory subject to internet users
Mohammad et al. Phishing Attacks