RU2020128103A - Система и способ защиты устройств пользователя - Google Patents
Система и способ защиты устройств пользователя Download PDFInfo
- Publication number
- RU2020128103A RU2020128103A RU2020128103A RU2020128103A RU2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A RU 2020128103 A RU2020128103 A RU 2020128103A
- Authority
- RU
- Russia
- Prior art keywords
- user
- anomaly
- values
- devices
- information security
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims 12
- 230000000694 effects Effects 0.000 claims 26
- 238000001514 detection method Methods 0.000 claims 15
- 238000013145 classification model Methods 0.000 claims 8
- 238000012360 testing method Methods 0.000 claims 5
- 238000010200 validation analysis Methods 0.000 claims 5
- 230000003993 interaction Effects 0.000 claims 4
- 230000002155 anti-virotic effect Effects 0.000 claims 3
- 230000005540 biological transmission Effects 0.000 claims 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/08—Learning methods
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N5/00—Computing arrangements using knowledge-based models
- G06N5/04—Inference or reasoning models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/044—Recurrent networks, e.g. Hopfield networks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N3/00—Computing arrangements based on biological models
- G06N3/02—Neural networks
- G06N3/04—Architecture, e.g. interconnection topology
- G06N3/045—Combinations of networks
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Mathematical Physics (AREA)
- Artificial Intelligence (AREA)
- Data Mining & Analysis (AREA)
- Evolutionary Computation (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Computational Linguistics (AREA)
- Medical Informatics (AREA)
- General Health & Medical Sciences (AREA)
- Life Sciences & Earth Sciences (AREA)
- Biomedical Technology (AREA)
- Biophysics (AREA)
- Health & Medical Sciences (AREA)
- Molecular Biology (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Medical Treatment And Welfare Office Work (AREA)
- Debugging And Monitoring (AREA)
Claims (74)
1. Способ защиты устройств пользователя, в котором
а) определяют значения признаков активности пользователя с набора устройств пользователя из, по меньшей мере, двух устройств;
б) определяют аномалию, указывающую на угрозу информационной безопасности устройств пользователя, путем применения обученной модели определения аномалии, принимающей на вход определенные значения признаков активности пользователя;
в) определяют тип определенной аномалии и устройство, являющееся источником аномалии, путем применения обученной модели классификации аномалии, принимающей на вход значения признаков активности пользователя;
г) изменяют настройки информационной безопасности устройства согласно определенному типу аномалии.
2. Способ по п. 1, в котором дополнительно выполняют обучение модели определения аномалии на данных обучающей выборки, включающей значения признаков активности пользователя за исторический период наблюдения.
3. Способ по п. 2, в котором выполняют тестирование и валидацию обученной модели определения аномалии на данных тестовой и валидационной выборок соответственно, включающих значения признаков активности пользователя за исторический период наблюдения, где для, по меньшей мере, заданной части значений признаков активности пользователя известна угроза информационной безопасности, связанная с аномалией, а также устройства, на которых возникла аномалия, при этом по результатам упомянутого тестирования и валидации выполняют дообучение модели определения аномалии.
4. Способ по п. 2, в котором обучают модель классификации аномалии на данных второй обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
5. Способ по п. 2, в котором получают от пользователя через устройство пользователя обратную связь, подтверждающую или опровергающую определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
6. Способ по п. 2, в котором выполняют обучение модели определения аномалии во время простоя устройства, на котором установлено средство обучения.
7. Способ по п. 2, в котором дополнительно получают от пользователя через устройство пользователя обратной связи, подтверждающей или опровергающей определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
8. Способ по п. 1, в котором получают обученную модель классификации аномалии от удаленного сервера, где удаленный сервер служит для обучения модели классификации аномалии на данных третьей обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения для, по меньшей мере, двух пользователей, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
9. Способ по п. 1, в котором с помощью средства защиты на другом устройстве пользователя, связанном с определенным устройством, изменяют настройки информационной безопасности на определенном устройстве.
10. Способ по п. 1, в котором изменяют настройки информационной безопасности в соответствии с заранее сформированными правилами изменения настроек информационной безопасности.
11. Способ по п. 1, в котором изменяют настройки информационной безопасности путем применения обученной модели определения оптимальных изменений настроек информационной безопасности, принимающей на вход, в частности, тип аномалии.
12. Система защиты устройств пользователя, содержащая
а) средство формирования, предназначенное для определения значений признаков активности пользователя с набора устройств пользователя из, по меньшей мере, двух устройств;
б) средство обнаружения аномалии, предназначенное для
определения аномалии, указывающей на угрозу информационной безопасности устройств пользователя, путем применения обученной модели определения аномалии, принимающей на вход определенные значения признаков активности пользователя;
определения типа определенной аномалии и устройства, являющегося источником аномалии, путем применения обученной модели классификации аномалии, принимающей на вход определенные значения признаков активности пользователя;
в) средство защиты, предназначенное для изменения настроек информационной безопасности на определенном устройстве согласно определенному типу аномалии;
где упомянутые средство формирования, средство обнаружения аномалии и средство защиты установлены на, по меньшей мере, двух устройствах из набора устройств.
13. Система по п. 12, в которой активности пользователя включают, по меньшей мере, изменение местоположения пользователя, взаимодействие пользователя с устройствами пользователя и сервисами пользователя, доступ к которым осуществляется посредством устройств пользователя.
14. Система по п. 12, в которой признаки активности пользователя дополнительно включают признаки планируемой активности пользователя из, по меньшей мере, одного сервиса пользователя, при этом доступ к упомянутым сервисам пользователя осуществляется посредством, по меньшей мере, одного устройства пользователя.
15. Система по п. 14, в которой сервисы пользователя, к которым пользователь предоставил доступ, включают, в частности
а) календарь;
б) антивирусное приложение;
в) приложение звонков;
г) электронную почту;
д) веб-браузер.
16. Система по п. 12, дополнительно включающая средство обучения, установленное на, по меньшей мере, одном из устройств пользователя, при этом средство обучения служит для обучения модели определения аномалии на данных обучающей выборки, включающей значения признаков активности пользователя за исторический период наблюдения.
17. Система по п. 16, в которой средство обучения дополнительно предназначено для выполнения тестирования и валидации обученной модели определения аномалии на данных тестовой и валидационной выборок соответственно, включающих значения признаков активности пользователя за исторический период наблюдения, где для, по меньшей мере, заданной части значений признаков активности пользователя известна угроза информационной безопасности, связанная с аномалией, а также устройства, на которых возникла аномалия, при этом по результатам упомянутого тестирования и валидации выполняют дообучение модели определения аномалии.
18. Система по п. 16, в которой средство обучения дополнительно служит для обучения модели классификации аномалии на данных второй обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
19. Система по п. 16, в которой средство обучения дополнительно служит для получения от пользователя через устройство пользователя обратной связи, подтверждающей или опровергающей определенную аномалию, и которую включают в обучающую выборку для дообучения модели определения аномалии.
20. Система по п. 16, в которой средство обучения служит для обучения модели определения аномалии во время простоя устройства, на котором установлено упомянутое средство обучения.
21. Система по п. 12, в которой средство обнаружения аномалии получает обученную модель классификации аномалии от удаленного сервера, где удаленный сервер служит для обучения модели классификации аномалии на данных третьей обучающей выборки, включающей группы значений признаков активности пользователя за второй исторический период наблюдения для, по меньшей мере, двух пользователей, где упомянутая выборка для каждой группы значений признаков активности пользователя включает значения типа аномалии и устройства, являющегося источником аномалии.
22. Система по п. 12, в которой изменение настроек информационной безопасности устройства включает, в частности
а) осуществление антивирусной проверки актуальными базами;
б) изменение параметров сети;
в) ограничение функциональности устройства;
г) ограничение взаимодействия устройства с другими устройствами;
д) ограничение доступа к ресурсам устройства;
е) включение многофакторной аутентификации;
ж) обновление средства защиты на устройстве, на котором определена аномалия;
з) получение обратной связи по результатам описанных выше способов.
23. Система по п. 12, в которой дополнительно изменяют настройки информационной безопасности других устройств пользователя, связанных с определенным устройством.
24. Система по п. 12, в которой признаки активности пользователя включают
а) взаимодействие устройства с сервером;
б) подключение новых устройств к сети устройств пользователя;
в) количество новых устройств, подключенных к сети устройств пользователя;
г) доступ к ресурсам устройства;
д) перечень ресурсов, к которым осуществляется доступ;
е) характеристики устройства;
ж) передачу данных;
з) тип передаваемых данных;
и) события антивируса;
к) тип активности пользователя.
25. Система по п. 24, в которой тип активности пользователя является одним из следующих:
а) наличие определенного местоположения;
б) управление транспортным средством;
в) взаимодействие с, по меньшей мере, одним из устройств пользователя;
г) взаимодействие с новыми устройствами.
26. Система по п. 12, в которой средство защиты на другом устройстве пользователя, связанном с определенным устройством, производит изменения настроек информационной безопасности на определенном устройстве.
27. Система по п. 12, в которой тип аномалии является, в частности, одним из следующих:
а) вредоносное ПО;
б) утечка данных;
в) неавторизированный вход;
е) несанкционированный доступ к, по меньшей мере, устройству, сервису, данным;
ж) компрометация устройства;
з) подключение к командному центру бот-сети;
и) шифрование данных пользователя;
к) другой.
28. Система по п. 12, в которой средство защиты предназначено для изменения настроек информационной безопасности в соответствии с заранее сформированными правилами изменения настроек информационной безопасности.
29. Система по п. 12, в которой средство защиты предназначено для изменения настроек информационной безопасности путем применения обученной модели определения оптимальных изменений настроек информационной безопасности, принимающей на вход, в частности, тип аномалии.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020128103A RU2770146C2 (ru) | 2020-08-24 | 2020-08-24 | Система и способ защиты устройств пользователя |
US17/233,980 US11886577B2 (en) | 2020-08-24 | 2021-04-19 | System and method for protecting a user's devices based on types of anomaly |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020128103A RU2770146C2 (ru) | 2020-08-24 | 2020-08-24 | Система и способ защиты устройств пользователя |
Publications (3)
Publication Number | Publication Date |
---|---|
RU2020128103A true RU2020128103A (ru) | 2022-02-24 |
RU2020128103A3 RU2020128103A3 (ru) | 2022-02-24 |
RU2770146C2 RU2770146C2 (ru) | 2022-04-14 |
Family
ID=80270783
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020128103A RU2770146C2 (ru) | 2020-08-24 | 2020-08-24 | Система и способ защиты устройств пользователя |
Country Status (2)
Country | Link |
---|---|
US (1) | US11886577B2 (ru) |
RU (1) | RU2770146C2 (ru) |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012154657A2 (en) * | 2011-05-06 | 2012-11-15 | The Penn State Research Foundation | Robust anomaly detection and regularized domain adaptation of classifiers with application to internet packet-flows |
US10230747B2 (en) * | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
US9654485B1 (en) * | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
EP3452183A4 (en) * | 2016-05-02 | 2020-01-15 | Blue Goji LLC | VARIABLE RESISTANCE EXERCISE MACHINE WITH WIRELESS COMMUNICATION FOR INTELLIGENT DEVICE CONTROL AND INTERACTIVE SOFTWARE APPLICATIONS |
US10270788B2 (en) * | 2016-06-06 | 2019-04-23 | Netskope, Inc. | Machine learning based anomaly detection |
RU2635275C1 (ru) * | 2016-07-29 | 2017-11-09 | Акционерное общество "Лаборатория Касперского" | Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами |
US10193913B2 (en) * | 2016-08-04 | 2019-01-29 | Cisco Technology, Inc. | Joint anomaly detection across IOT devices |
US10419468B2 (en) * | 2017-07-11 | 2019-09-17 | The Boeing Company | Cyber security system with adaptive machine learning features |
US11777965B2 (en) * | 2018-06-18 | 2023-10-03 | Palo Alto Networks, Inc. | Pattern match-based detection in IoT security |
US11153338B2 (en) * | 2019-06-03 | 2021-10-19 | International Business Machines Corporation | Preventing network attacks |
-
2020
- 2020-08-24 RU RU2020128103A patent/RU2770146C2/ru active
-
2021
- 2021-04-19 US US17/233,980 patent/US11886577B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
US11886577B2 (en) | 2024-01-30 |
RU2770146C2 (ru) | 2022-04-14 |
RU2020128103A3 (ru) | 2022-02-24 |
US20220058262A1 (en) | 2022-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11012472B2 (en) | Security rule generation based on cognitive and industry analysis | |
McHugh | Testing intrusion detection systems: a critique of the 1998 and 1999 darpa intrusion detection system evaluations as performed by lincoln laboratory | |
CN110324311A (zh) | 漏洞检测的方法、装置、计算机设备和存储介质 | |
Johari et al. | Penetration testing in IoT network | |
Čisar et al. | The framework of runtime application self-protection technology | |
Laštovička et al. | Network monitoring and enumerating vulnerabilities in large heterogeneous networks | |
Sen et al. | On using contextual correlation to detect multi-stage cyber attacks in smart grids | |
Ádám et al. | Artificial neural network based IDS | |
US20070094724A1 (en) | It network security system | |
Dacier | Design of an intrusion-tolerant intrusion detection system | |
RU2020128103A (ru) | Система и способ защиты устройств пользователя | |
US20060130146A1 (en) | Network packet generation apparatus and method having attack test packet generation function for information security system test | |
Pfrang et al. | Automated security testing for web applications on industrial automation and control systems | |
US11979416B2 (en) | Scored threat signature analysis | |
Bisegna et al. | Micro-Id-Gym: a flexible tool for pentesting identity management protocols in the wild and in the laboratory | |
Watson et al. | A Proposed Visualization for Vulnerability Scan Data. | |
Elsbroek et al. | Fidius: Intelligent support for vulnerability testing | |
Ziro et al. | Improved Method for Penetration Testing of Web Applications. | |
Bieniasz et al. | Towards model-based anomaly detection in network communication protocols | |
Bannat Wala et al. | Insights into doh: Traffic classification for dns over https in an encrypted network | |
Nagaraj et al. | Learning Algorithms in Static Analysis of Web Applications | |
Rajivan | CyberCog a synthetic task environment for measuring cyber situation awareness | |
Moloja et al. | Evaluating two security systems for mobile voting fortification | |
US20230315849A1 (en) | Threat signature scoring | |
Sanchez et al. | Security Threats and Security Testing for Chatbots |