RU2018123699A

RU2018123699A - Способ блокировки сетевых соединений

Info

Publication number: RU2018123699A
Application number: RU2018123699A
Authority: RU
Inventors: Владислав Иванович Овчарик; Олег Григорьевич Быков; Наталья Станиславовна Сидорова
Original assignee: Акционерное общество "Лаборатория Касперского"
Priority date: 2018-06-29
Filing date: 2018-06-29
Publication date: 2019-12-30
Also published as: US20200007533A1; US11089006B2; RU2018123699A3; CN110661769B; RU2728506C2; EP3713151A1; EP3713151B1; CN110661769A

Claims

1. Способ блокировки сетевых соединений в режиме реального времени, в котором:

а) перехватывают сертификат в момент установки защищенного соединения;

б) определяют похожесть перехваченного сертификата на запрещенные сертификаты, где

похожим признается сертификат, который может быть отображен на множество запрещенных сертификатов, при этом отображение проверяется посредством применения правила, сформированного из общих признаков запрещенных сертификатов, полученных в результате кластеризации множества запрещенных сертификатов;

в) блокируют устанавливаемое соединение, если перехваченный сертификат в результате определения похожести признается похожим на запрещенные сертификаты.

2. Способ по п. 1, в котором дополнительно извлекают из перехваченного сертификата признаки.

3. Способ по п. 1 или 2, в котором правило выражается регулярным выражением.

4. Способ по п. 1, в котором определение похожести перехваченного сертификата на запрещенные сертификаты осуществляется посредством применения правила, где сертификат, который удовлетворяет правилу, признается похожим.

5. Способ блокировки сетевых соединений в режиме реального времени, в котором:

похожим признается сертификат, который может быть отображен на множество запрещенных сертификатов, при этом отображение проверяется посредством применения метрик расстояния;

6. Способ по п. 5, в котором запрещенные сертификаты представлены кластером, содержащим векторы признаков запрещенных сертификатов.

7. Способ по п. 5, в котором дополнительно извлекают из перехваченного сертификата признаки.

8. Способ по и пп. 6 и 7, в котором признаки перехваченного сертификата преобразуются в N-мерный вектор.

9. Способ по пп. 6 и 8, в котором определение похожести осуществляется посредством определения расстояния между N-мерным вектором перехваченного сертификата и кластером, где перехваченный сертификат признается похожим если:

расстояние, между N-мерным вектором сертификата и центром кластера в N-мерном пространстве, меньше радиуса этого кластеров; или

мера близости между N-мерным вектором элемента и центром кластера, в N-мерном пространстве, меньше порогового значения.