RU2020128103A - Система и способ защиты устройств пользователя - Google Patents

Система и способ защиты устройств пользователя Download PDF

Info

Publication number
RU2020128103A
RU2020128103A RU2020128103A RU2020128103A RU2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A
Authority
RU
Russia
Prior art keywords
user
anomaly
values
devices
information security
Prior art date
Application number
RU2020128103A
Other languages
English (en)
Other versions
RU2770146C2 (ru
RU2020128103A3 (ru
Inventor
Евгений Игоревич Щетинин
Антон Владимирович Тихомиров
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2020128103A priority Critical patent/RU2770146C2/ru
Priority to US17/233,980 priority patent/US11886577B2/en
Publication of RU2020128103A publication Critical patent/RU2020128103A/ru
Publication of RU2020128103A3 publication Critical patent/RU2020128103A3/ru
Application granted granted Critical
Publication of RU2770146C2 publication Critical patent/RU2770146C2/ru

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/034Test or assess a computer or a system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/044Recurrent networks, e.g. Hopfield networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/045Combinations of networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Medical Informatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Biomedical Technology (AREA)
  • Biophysics (AREA)
  • Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Medical Treatment And Welfare Office Work (AREA)
  • Debugging And Monitoring (AREA)

Claims (74)

1. Способ защиты устройств пользователя, в котором
а) определяют значения признаков активности пользователя с набора устройств пользователя из, по меньшей мере, двух устройств;
б) определяют аномалию, указывающую на угрозу информационной безопасности устройств пользователя, путем применения обученной модели определения аномалии, принимающей на вход определенные значения признаков активности пользователя;
в) определяют тип определенной аномалии и устройство, являющееся источником аномалии, путем применения обученной модели классификации аномалии, принимающей на вход значения признаков активности пользователя;
г) изменяют настройки информационной безопасности устройства согласно определенному типу аномалии.
2. Способ по п. 1, в котором дополнительно выполняют обучение модели определения аномалии на данных обучающей выборки, включающей значения признаков активности пользователя за исторический период наблюдения.
3. Способ по п. 2, в котором выполняют тестирование и валидацию обученной модели определения аномалии на данных тестовой и валидационной выборок соответственно, включающих значения признаков активности пользователя за исторический период наблюдения, где для, по меньшей мере, заданной части значений признаков активности пользователя известна угроза информационной безопасности, связанная с аномалией, а также устройства, на которых возникла аномалия, при этом по результатам упомянутого тестирования и валидации выполняют дообучение модели определения аномалии.
4. Способ по п. 2, в котором обучают модель классификации аномалии на данных второй обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
5. Способ по п. 2, в котором получают от пользователя через устройство пользователя обратную связь, подтверждающую или опровергающую определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
6. Способ по п. 2, в котором выполняют обучение модели определения аномалии во время простоя устройства, на котором установлено средство обучения.
7. Способ по п. 2, в котором дополнительно получают от пользователя через устройство пользователя обратной связи, подтверждающей или опровергающей определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
8. Способ по п. 1, в котором получают обученную модель классификации аномалии от удаленного сервера, где удаленный сервер служит для обучения модели классификации аномалии на данных третьей обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения для, по меньшей мере, двух пользователей, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
9. Способ по п. 1, в котором с помощью средства защиты на другом устройстве пользователя, связанном с определенным устройством, изменяют настройки информационной безопасности на определенном устройстве.
10. Способ по п. 1, в котором изменяют настройки информационной безопасности в соответствии с заранее сформированными правилами изменения настроек информационной безопасности.
11. Способ по п. 1, в котором изменяют настройки информационной безопасности путем применения обученной модели определения оптимальных изменений настроек информационной безопасности, принимающей на вход, в частности, тип аномалии.
12. Система защиты устройств пользователя, содержащая
а) средство формирования, предназначенное для определения значений признаков активности пользователя с набора устройств пользователя из, по меньшей мере, двух устройств;
б) средство обнаружения аномалии, предназначенное для
определения аномалии, указывающей на угрозу информационной безопасности устройств пользователя, путем применения обученной модели определения аномалии, принимающей на вход определенные значения признаков активности пользователя;
определения типа определенной аномалии и устройства, являющегося источником аномалии, путем применения обученной модели классификации аномалии, принимающей на вход определенные значения признаков активности пользователя;
в) средство защиты, предназначенное для изменения настроек информационной безопасности на определенном устройстве согласно определенному типу аномалии;
где упомянутые средство формирования, средство обнаружения аномалии и средство защиты установлены на, по меньшей мере, двух устройствах из набора устройств.
13. Система по п. 12, в которой активности пользователя включают, по меньшей мере, изменение местоположения пользователя, взаимодействие пользователя с устройствами пользователя и сервисами пользователя, доступ к которым осуществляется посредством устройств пользователя.
14. Система по п. 12, в которой признаки активности пользователя дополнительно включают признаки планируемой активности пользователя из, по меньшей мере, одного сервиса пользователя, при этом доступ к упомянутым сервисам пользователя осуществляется посредством, по меньшей мере, одного устройства пользователя.
15. Система по п. 14, в которой сервисы пользователя, к которым пользователь предоставил доступ, включают, в частности
а) календарь;
б) антивирусное приложение;
в) приложение звонков;
г) электронную почту;
д) веб-браузер.
16. Система по п. 12, дополнительно включающая средство обучения, установленное на, по меньшей мере, одном из устройств пользователя, при этом средство обучения служит для обучения модели определения аномалии на данных обучающей выборки, включающей значения признаков активности пользователя за исторический период наблюдения.
17. Система по п. 16, в которой средство обучения дополнительно предназначено для выполнения тестирования и валидации обученной модели определения аномалии на данных тестовой и валидационной выборок соответственно, включающих значения признаков активности пользователя за исторический период наблюдения, где для, по меньшей мере, заданной части значений признаков активности пользователя известна угроза информационной безопасности, связанная с аномалией, а также устройства, на которых возникла аномалия, при этом по результатам упомянутого тестирования и валидации выполняют дообучение модели определения аномалии.
18. Система по п. 16, в которой средство обучения дополнительно служит для обучения модели классификации аномалии на данных второй обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
19. Система по п. 16, в которой средство обучения дополнительно служит для получения от пользователя через устройство пользователя обратной связи, подтверждающей или опровергающей определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
20. Система по п. 16, в которой средство обучения служит для обучения модели определения аномалии во время простоя устройства, на котором установлено упомянутое средство обучения.
21. Система по п. 12, в которой средство обнаружения аномалии получает обученную модель классификации аномалии от удаленного сервера, где удаленный сервер служит для обучения модели классификации аномалии на данных третьей обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения для, по меньшей мере, двух пользователей, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
22. Система по п. 12, в которой изменение настроек информационной безопасности устройства включает, в частности
а) осуществление антивирусной проверки актуальными базами;
б) изменение параметров сети;
в) ограничение функциональности устройства;
г) ограничение взаимодействия устройства с другими устройствами;
д) ограничение доступа к ресурсам устройства;
е) включение многофакторной аутентификации;
ж) обновление средства защиты на устройстве, на котором определена аномалия;
з) получение обратной связи по результатам описанных выше способов.
23. Система по п. 12, в которой дополнительно изменяют настройки информационной безопасности других устройств пользователя, связанных с определенным устройством.
24. Система по п. 12, в которой признаки активности пользователя включают
а) взаимодействие устройства с сервером;
б) подключение новых устройств к сети устройств пользователя;
в) количество новых устройств, подключенных к сети устройств пользователя;
г) доступ к ресурсам устройства;
д) перечень ресурсов, к которым осуществляется доступ;
е) характеристики устройства;
ж) передачу данных;
з) тип передаваемых данных;
и) события антивируса;
к) тип активности пользователя.
25. Система по п. 24, в которой тип активности пользователя является одним из следующих:
а) наличие определенного местоположения;
б) управление транспортным средством;
в) взаимодействие с, по меньшей мере, одним из устройств пользователя;
г) взаимодействие с новыми устройствами.
26. Система по п. 12, в которой средство защиты на другом устройстве пользователя, связанном с определенным устройством, производит изменения настроек информационной безопасности на определенном устройстве.
27. Система по п. 12, в которой тип аномалии является, в частности, одним из следующих:
а) вредоносное ПО;
б) утечка данных;
в) неавторизированный вход;
е) несанкционированный доступ к, по меньшей мере, устройству, сервису, данным;
ж) компрометация устройства;
з) подключение к командному центру бот-сети;
и) шифрование данных пользователя;
к) другой.
28. Система по п. 12, в которой средство защиты предназначено для изменения настроек информационной безопасности в соответствии с заранее сформированными правилами изменения настроек информационной безопасности.
29. Система по п. 12, в которой средство защиты предназначено для изменения настроек информационной безопасности путем применения обученной модели определения оптимальных изменений настроек информационной безопасности, принимающей на вход, в частности, тип аномалии.
RU2020128103A 2020-08-24 2020-08-24 Система и способ защиты устройств пользователя RU2770146C2 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2020128103A RU2770146C2 (ru) 2020-08-24 2020-08-24 Система и способ защиты устройств пользователя
US17/233,980 US11886577B2 (en) 2020-08-24 2021-04-19 System and method for protecting a user's devices based on types of anomaly

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020128103A RU2770146C2 (ru) 2020-08-24 2020-08-24 Система и способ защиты устройств пользователя

Publications (3)

Publication Number Publication Date
RU2020128103A true RU2020128103A (ru) 2022-02-24
RU2020128103A3 RU2020128103A3 (ru) 2022-02-24
RU2770146C2 RU2770146C2 (ru) 2022-04-14

Family

ID=80270783

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020128103A RU2770146C2 (ru) 2020-08-24 2020-08-24 Система и способ защиты устройств пользователя

Country Status (2)

Country Link
US (1) US11886577B2 (ru)
RU (1) RU2770146C2 (ru)

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012154657A2 (en) * 2011-05-06 2012-11-15 The Penn State Research Foundation Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows
US10230747B2 (en) * 2014-07-15 2019-03-12 Cisco Technology, Inc. Explaining network anomalies using decision trees
US9654485B1 (en) * 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
EP3452183A4 (en) * 2016-05-02 2020-01-15 Blue Goji LLC VARIABLE RESISTANCE EXERCISE MACHINE WITH WIRELESS COMMUNICATION FOR INTELLIGENT DEVICE CONTROL AND INTERACTIVE SOFTWARE APPLICATIONS
US10270788B2 (en) * 2016-06-06 2019-04-23 Netskope, Inc. Machine learning based anomaly detection
RU2635275C1 (ru) * 2016-07-29 2017-11-09 Акционерное общество "Лаборатория Касперского" Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
US10193913B2 (en) * 2016-08-04 2019-01-29 Cisco Technology, Inc. Joint anomaly detection across IOT devices
US10419468B2 (en) * 2017-07-11 2019-09-17 The Boeing Company Cyber security system with adaptive machine learning features
US11777965B2 (en) * 2018-06-18 2023-10-03 Palo Alto Networks, Inc. Pattern match-based detection in IoT security
US11153338B2 (en) * 2019-06-03 2021-10-19 International Business Machines Corporation Preventing network attacks

Also Published As

Publication number Publication date
US11886577B2 (en) 2024-01-30
RU2770146C2 (ru) 2022-04-14
RU2020128103A3 (ru) 2022-02-24
US20220058262A1 (en) 2022-02-24

Similar Documents

Publication Publication Date Title
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
McHugh Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory
CN110324311A (zh) 漏洞检测的方法、装置、计算机设备和存储介质
Johari et al. Penetration testing in IoT network
Čisar et al. The framework of runtime application self-protection technology
Laštovička et al. Network monitoring and enumerating vulnerabilities in large heterogeneous networks
Sen et al. On using contextual correlation to detect multi-stage cyber attacks in smart grids
Ádám et al. Artificial neural network based IDS
US20070094724A1 (en) It network security system
Dacier Design of an intrusion-tolerant intrusion detection system
RU2020128103A (ru) Система и способ защиты устройств пользователя
US20060130146A1 (en) Network packet generation apparatus and method having attack test packet generation function for information security system test
Pfrang et al. Automated security testing for web applications on industrial automation and control systems
US11979416B2 (en) Scored threat signature analysis
Bisegna et al. Micro-Id-Gym: a flexible tool for pentesting identity management protocols in the wild and in the laboratory
Watson et al. A Proposed Visualization for Vulnerability Scan Data.
Elsbroek et al. Fidius: Intelligent support for vulnerability testing
Ziro et al. Improved Method for Penetration Testing of Web Applications.
Bieniasz et al. Towards model-based anomaly detection in network communication protocols
Bannat Wala et al. Insights into doh: Traffic classification for dns over https in an encrypted network
Nagaraj et al. Learning Algorithms in Static Analysis of Web Applications
Rajivan CyberCog a synthetic task environment for measuring cyber situation awareness
Moloja et al. Evaluating two security systems for mobile voting fortification
US20230315849A1 (en) Threat signature scoring
Sanchez et al. Security Threats and Security Testing for Chatbots