RU2488880C1 - Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз - Google Patents
Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз Download PDFInfo
- Publication number
- RU2488880C1 RU2488880C1 RU2012118995/08A RU2012118995A RU2488880C1 RU 2488880 C1 RU2488880 C1 RU 2488880C1 RU 2012118995/08 A RU2012118995/08 A RU 2012118995/08A RU 2012118995 A RU2012118995 A RU 2012118995A RU 2488880 C1 RU2488880 C1 RU 2488880C1
- Authority
- RU
- Russia
- Prior art keywords
- verification
- threats
- area
- network
- areas
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Изобретение относится к системам и способам проверки потока данных, передающихся по сети, на наличие угроз. Технический результат настоящего изобретения заключается в уменьшении времени, требуемого для проверки потока данных, передающихся по сети, на наличие угроз без снижения надежности проверки. Указанный технический результат достигается за счет выборочной частичной проверки потока данных на основе статистики размещения в потоке данных ранее обнаруженных угроз. Статистика размещения угроз в потоке данных может быть получена от, по меньшей мере, одной системы сбора статистики по угрозам, которая производит проверку потока данных полностью. 2 н. и 17 з.п. ф-лы, 8 ил., 1 табл.
Description
Область техники
Изобретение относится к системам и способам проверки потока данных, передающихся по сети, на наличие угроз.
Уровень техники
В настоящее время наблюдается резкое увеличение количества компьютерных угроз, к числу которых могут относиться различные вредоносные приложения (например, сетевые черви, компьютерные вирусы, троянские программы), а также атаки со стороны злоумышленников. По этим причинам широкое распространение получили средства защиты компьютерных систем, известные под названием систем обнаружения вторжений (Intrusion Detection System, IDS).
Под системой обнаружения вторжений понимают различные программные и аппаратные средства, предназначенные для анализа событий, возникающих в компьютерной системе или сети, с целью выявления атак против уязвимых сервисов и приложений или фактов неавторизованного доступа.
Одним из видов систем обнаружения вторжений является сетевая система обнаружения вторжений, которая предназначена для перехвата входящего в компьютерную систему или сеть сетевого трафика и анализа его на наличие угроз. В данном случае под сетевым трафиком понимается поток данных, передающихся по сети. Обнаружение угроз обычно производится с использованием эвристических правил и сигнатурного анализа (анализа на идентичность анализируемого кода образцам кода известных компьютерных угроз).
На Фиг.1 показана структурная схема сетевой системы обнаружения вторжений. Сетевой трафик, поступающий на компьютерные устройства 111, которые находятся в одной локальной вычислительной сети 110, проходит предварительную проверку в сетевой системе обнаружения вторжений (ССОВ) 100 на наличие угроз. В зависимости от того, были ли обнаружены угрозы в сетевом трафике, сетевая система обнаружения вторжений 100 может блокировать передачу трафика компьютерным устройствам 111 либо полностью, либо частично. При частичном блокировании компьютерным устройствам 111 передается только та часть сетевого трафика, которая не признана вредоносной сетевой системой обнаружения вторжений 100. В частном случае реализации, когда, например, сетевая система обнаружения вторжений 100 по результатам эвристического анализа не может вынести однозначного решения о безопасности или вредоносности проверяемых данных, сетевой трафик может передаваться полностью вместе с предупреждением о наличии в данном трафике подозрительных компонентов. Кроме того, сетевая система обнаружения вторжений 100 может быть установлена на отдельном компьютерном устройстве 111 и производить проверку сетевого трафика, поступающего только на данное устройство.
При этом в условиях современных высоких скоростей сетевых соединений и постоянно растущего количества компьютерных угроз существующим сетевым системам обнаружения вторжений приходится производить проверку все большего объема сетевого трафика с использованием постоянно увеличивающихся баз данных сигнатур и правил эвристического сканирования. Данное обстоятельство приводит к увеличению задержки доставки сетевого трафика адресату, которая непосредственно зависит от времени проверки.
В настоящее время существует ряд решений, предназначенных для оптимизации проверки сетевого трафика с целью увеличения производительности сетевых систем обнаружения вторжений.
Так, в патенте US 7617533 описана система для обнаружения сетевых атак на основе сигнатурного анализа сетевого трафика, которая может быть использована на сетевом маршрутизаторе или коммутаторе. В целях оптимизации в одном из вариантов реализации системы предлагается производить анализ только части входящего сетевого трафика.
В патенте US 7950059 описан способ обнаружения вредоносного кода в потоке данных. Поиск вредоносного кода производится не для всего потока данных, а только для его части, которая считается подозрительной. Решение о подозрительности части потока данных выносится на основании присутствия недопустимых символов в потоке данных, передаваемых по определенному протоколу.
В заявке US 20100077482 описан способ обнаружения вредоносного кода в потоке данных, которые, в частности, передаются по сети. Для повышения скорости проверки в способе используется специальный список, который содержит информацию о различных образцах вредоносного кода и об участках потока данных, в которых указанный вредоносный код может содержаться. В соответствии с содержащейся в списке информацией поток данных проверяется только в тех участках, информация о которых хранится в списке.
Патент US 7535909 описывает способ обработки сетевых пакетов, в котором ширина проверяющего окна изменяется в зависимости от размера сетевого пакета. В случае если размер сетевого пакета меньше установленного размера проверяющего окна, размер проверяющего окна уменьшают до размера пакета. Кроме того, установлен минимальный размер пакета для проверки таким образом, что сетевые пакеты, размер которых меньше минимального, не проверяются. Таким образом, во-первых, производится адаптация размера проверяющего окна под размер пакета, а во-вторых, происходит увеличение скорости проверки за счет исключения из проверки пакетов с малым размером.
Указанные выше решения позволяют повысить скорость проверки сетевого трафика, но при этом, в некоторых случаях могут не обеспечить должного уровня надежности. В частности, при появлении нового вида сетевой угрозы существует вероятность того, что при использовании описанных решений она останется необнаруженной в потоке данных.
В заявке US 2007179935 описан способ определения вредоносного кода в потоке данных, передающихся по сети. Проверка потока происходит внутри окна заданного размера с использованием определенного количества проверяющих модулей, каждый из которых проверяет участок кода по сигнатурам заданного размера. На основе результатов проверки происходит смещение окна по потоку для проведения последующей проверки.
Указанное решение повышает надежность при проверке сетевого трафика, но при этом не избавляет от необходимости проверять поток полностью, что негативно сказывается на производительности.
Настоящее изобретение позволяет эффективно решить задачу оптимизации проверки сетевого трафика как с точки зрения производительности, так и сточки зрения надежности.
Раскрытие изобретения
Настоящее изобретение предназначено для оптимизации проверки потока данных, передающихся по сети, на наличие угроз.
Технический результат настоящего изобретения заключается в уменьшении времени, требуемого для проверки потока данных, передающихся по сети, на наличие угроз без снижения надежности проверки. Указанный технический результат достигается за счет выборочной частичной проверки потока данных на основе статистики размещения в потоке данных ранее обнаруженных угроз.
Система проверки потока данных, передающихся по сети, на наличие угроз, которая содержит: по меньшей мере, одну сетевую систему обнаружения вторжений, предназначенную для: проверки заданной области потока данных на наличие угроз; сбора и отправки статистической информации об обнаруженных угрозах в базу данных статистики; базу данных статистики, предназначенную для хранения полученной информации и предоставлении ее средству определения областей проверки; средство определения областей проверки, предназначенное для: изменения заданной области проверки на основе информации, полученной из базы данных статистики; передачи информации об измененной области проверки, по меньшей мере, одной сетевой системе обнаружения вторжений.
В частном случае реализации системы к статистической информации об обнаруженных угрозах относится информация о смещении каждой обнаруженной угрозы относительно начала потока данных и информация о времени обнаружения каждой угрозы.
В другом частном случае реализации системы средство определения областей проверки производит изменение заданной области проверки таким образом, чтобы область проверки охватывала смещения всех обнаруженных угроз.
Еще в одном частном случае реализации системы средство определения областей проверки производит изменение заданной области проверки таким образом, чтобы область проверки охватывала смещения только тех угроз, со времени обнаружения которых не прошел установленный срок.
В другом частном случае реализации системы база данных статистики получает информацию от, по меньшей мере, одной системы сбора статистики по угрозам, которая производит проверку потока данных полностью.
Еще в одном частном случае реализации системы сетевая система обнаружения вторжений сбора статистики является ресурсом, представляющим собой приманку для злоумышленников.
В другом частном случае реализации системы сетевая система обнаружения вторжений производит расширение границ заданной области проверки в установленных пределах.
Еще в одном частном случае реализации системы средство определения областей проверки производит изменение заданной области проверки периодически, по истечению заданного периода времени.
В другом частном случае реализации системы средство определения областей проверки производит изменение заданной области проверки при появлении новой информации об угрозах в базе данных статистки.
Еще в одном частном случае реализации системы средство определения областей проверки производит задание нескольких областей проверки для смещений различных угроз.
Способ проверки потока данных, передающихся по сети, на наличие угроз, в котором: задают область проверки потока данных, передающихся по сети; производят проверку заданной области потока данных на наличие угроз; собирают статистическую информацию об обнаруженных угрозах; изменяют заданную область проверки на основе собранной статистической информации.
В частном случае реализации способа к статистической информации об обнаруженных угрозах относится информация о смещении каждой обнаруженной угрозы относительно начала потока данных и информация о времени обнаружения каждой угрозы.
В другом частном случае реализации способа изменяют заданную область проверки таким образом, чтобы область проверки охватывала смещения всех обнаруженных угроз.
Еще в одном частном случае реализации способа изменяют заданную область проверки таким образом, чтобы область проверки охватывала смещения только тех угроз, со времени обнаружения которых не прошел установленный срок.
В другом частном случае реализации способа для сбора информации об угрозах производят проверку потока полностью.
Еще в одном частном случае реализации способа при задании и изменении областей проверки производят расширение границ области проверки в установленных пределах.
В другом частном случае реализации способа задают области проверки периодически, по истечению заданного периода времени.
Еще в одном частном случае реализации способа задают области проверки при каждом новом обнаружении угрозы.
В другом частном случае реализации способа задают несколько областей проверки для смещений различных угроз.
Краткое описание чертежей
Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.
Заявленное изобретение поясняется следующими чертежами, на которых:
Фиг.1 показывает структурную схему сетевой системы обнаружения вторжений.
Фиг.2А показывает пример размещения некоторых видов угроз в потоке данных, передающихся по сети.
Фиг.2Б показывает пример подхода к частичной проверке потока данных, передающихся по сети, на наличие угроз.
Фиг.2В показывает пример подхода к частичной проверке потока данных, передающихся по сети, на наличие угроз.
Фиг.3 показывает структурную схему системы оптимизации проверки сетевого трафика.
Фиг.4 показывает пример построения базы данных статистки.
Фиг.5 показывает схему алгоритма работы системы оптимизации проверки сетевого трафика.
Фиг.6 показывает пример компьютерной системы общего назначения.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Приведенное описание предназначено для помощи специалисту в области техники для исчерпывающего понимания изобретения, которое определяется только в объеме приложенной формулы.
На Фиг.2А показан пример размещения некоторых видов угроз в потоке данных, передающихся по сети. На фигуре в виде точек на прямой выделены смещения сетевых угроз в потоке данных относительно начала потока. Как видно, внутри потока угрозы не распределены равномерно, и большинство угроз располагается в начале потока. В связи с этим, в целях оптимизации проверки, целесообразно производить не полную проверку потока, а только тех его частей, в которых наиболее вероятно нахождение угроз. Один из возможных подходов к частичной проверке потока данных, передающихся по сети, на наличие угроз показан на Фиг.2Б. При использовании данного подхода проверяются только те части 200 потока, в которых наиболее вероятно нахождение угроз. Другой возможный подход к проверке потока данных, передающихся по сети, на наличие угроз показан на Фиг.2В. В данном подходе проверяется первая часть 200 потока, размер которой выбран таким образом, чтобы в данной части располагались возможные угрозы.
Однако при проведении частичной проверки возникает проблема с выбором расположений и размеров областей проверки потока данных. Связана эта проблема с тем, что в настоящее время регулярно появляются новые виды угроз, которые могут располагаться вне установленных областей проверки потока. Данное обстоятельство может стать причиной того, что угроза, находящаяся в потоке данных, будет пропущена сетевой системой обнаружения вторжений. Кроме того, другие виды угроз, расположения которых учтены при определении положений и размеров областей проверки потока данных, со временем могут устаревать и переставать использоваться злоумышленниками. В этом случае эффективность сетевой системы обнаружения вторжений будет снижаться, так как часть ресурсов эта система будет вынуждена расходовать на проверку тех областей потока данных, которые уже не содержат угроз.
Для решения указанной проблемы предназначена система оптимизации проверки сетевого трафика, структурная схема которой показана на Фиг.3. Сетевые системы обнаружения вторжений 100, которые способны производить частичную проверку сетевого трафика, являются клиентами системы оптимизации проверки сетевого трафика 300. Для сбора статистической информации о расположении угроз в сетевом трафике предназначены системы сбора статистики по угрозам 330. Следует отметить, что количество сетевых систем обнаружения вторжений 100 и систем сбора статистики по угрозам 330 не ограничено количеством, представленным на Фиг.3, оно может быть каким угодно и зависит только от конфигурации рассматриваемой системы.
Системами сбора статистки по угрозам 330 являются сетевые системы обнаружения вторжений, которые производят полную проверку входящего сетевого трафика с целью сбора информации о расположении угроз в потоке данных. Информацию о смещении обнаруженных сетевых угроз в потоке относительно начала передачи данных, а также информацию о времени обнаружения каждой из угроз системы сбора статистики по угрозам 330 передают на хранение в базу данных статистики 310 системы оптимизации проверки сетевого трафика 300. В одном из частных случаев реализации настоящего изобретения системами сбора статистики по угрозам 330 могут являться сетевые системы обнаружения вторжений, которые производят полную проверку сетевого трафика и на которых реализована дополнительная функция отправки вышеуказанной информации в базу данных статистики 310. В другом частном случае реализации настоящего изобретения системы сбора статистики по угрозам 330 могут быть реализованы в виде специальных ловушек - ресурсов, представляющих собой приманку для злоумышленников (для специалистов в области техники такие ресурсы известны под названием «honeypot»).
Для каждой угрозы, информация о которой хранится в базе данных статистики 310, средство определения областей проверки 320 рассчитывает значение актуальности, которое определяется как разница между текущим временем, в которое производится расчет, и временем обнаружения угрозы. После этого вычисленные значения актуальности каждой из угроз сравниваются с установленным порогом проверки. Области проверки для частичной проверки потока данных задаются средством определения областей проверки 320 таким образом, чтобы в данные области входили смещения только тех угроз, чьи значения актуальности ниже установленного порога. Определение областей проверки средством определения 320 может производиться либо периодически, по истечению заданного периода времени, либо при появлении новой информации об угрозах в базе данных статистки 310. Для более полного понимания принципов определения областей проверки средством определения областей проверки 320 ниже будет рассмотрен пример возможного частного случая.
В частном случае реализации настоящего изобретения средство определения областей проверки 320 не учитывает актуальность угроз и производит определение областей проверки для частичной проверки на основании смещений относительно начала передачи данных всех угроз, информация о которых хранится в базе данных статистики 310.
В еще одном частном случае реализации настоящего изобретения статистика о смещении обнаруженных сетевых угроз относительно начала передачи данных и статистика о времени обнаружения каждой из угроз может поступать в базу данных статистики 310 также от сетевых систем обнаружения вторжений 100.
После того как области проверки для частичной проверки потока данных определены средством определения областей проверки 320, информация о них передается сетевым системам обнаружения вторжений 100. Сетевые системы обнаружения вторжений 100 производят проверку только тех областей проверки сетевого трафика, информация о которых получена от средства определения областей проверки 320.
При этом в целях обнаружения возможных новых видов угроз, смещения которых не входят в области проверки сетевых систем обнаружения вторжений 100, возможно расширение границ областей проверки в заданных пределах. Например, администратор сети может задать значение расширения области проверки в размере двадцати процентов от ее первоначального размера. Значение расширения областей проверки может задаваться на основании требований к производительности сетевых систем обнаружения вторжений 100, а также на основании сведений о том, насколько часто появляются новые виды угроз.
Кроме того, в частном случае реализации настоящего изобретения система оптимизации проверки сетевого трафика 300 может работать только с одной сетевой системой обнаружения вторжений 100, в которой также реализованы функции системы сбора статистики по угрозам 330. В данном случае реализации изобретение будет представлять собой систему с обратной связью, в которой сетевая система обнаружения вторжений 100 предоставляет системе оптимизации проверки сетевого трафика 300 информацию об угрозах, обнаруженных внутри заданных областей проверки, а система оптимизации 300 на основе полученной информации производит перерасчет областей проверки для сетевой системы обнаружения вторжений 100.
На Фиг.4 показан пример построения базы данных статистики 310. Каждой угрозе, обнаруженной системой сбора статистики по угрозам 330 присваивается идентификатор. В качестве идентификатора может выступать любое обозначение, однозначно идентифицирующее угрозу, такое как, например, хеш-сумма вредоносного кода угрозы. Кроме того, каждой угрозе ставится в соответствие ее смещение относительно начала передачи данных. Также для каждой угрозы в базе данных статистики 310 хранится время обнаружения угрозы.
Для понимания правил определения областей проверки средством определения областей проверки 320 далее рассмотрен пример возможного частного случая. Если допустить, что база данных статистики 310 содержит следующие записи:
| Таблица 1 | ||
| Идентификатор угрозы | Смещение угрозы относительно начала передачи данных | Время обнаружения |
| Угроза_1 | 94 байт | 07.12.2010 14:13:56 |
| Угроза_2 | 166 байт | 10.12.2010 12:43:17 |
| Угроза_3 | 56 байт | 04.01.2011 18:04:52 |
| Угроза_4 | 26 байт | 06.08.2011 20:37:05 |
а также если предположить, что определение областей проверки средством определения областей проверки 320 производится 08.12.2011 при установленном пороге актуальности в один год, то области проверки для частичной проверки сетевого трафика будут заданы только для смещений угроз с идентификаторами «Угроза_2», «Угроза_3» и «Угроза_4», так как значение актуальности угрозы с идентификатором «Угроза_1» превышает значение установленного порога. Если определение производится после 12:43:17 10.12.2011, то в область проверки не войдет также смещение угрозы с идентификатором «Угроза_2». При этом могут быть заданы как отдельные области проверки для смещения каждой угрозы (как это показано на Фиг.2Б), так и одна область проверки от начала потока данных до последней угрозы (как это показано на Фиг.2В). Корме того, в сетевых системах обнаружения вторжений 100 возможно расширение границ областей проверки в установленных пределах для обнаружения новых видов угроз.
На Фиг.5 показана схема алгоритма работы системы оптимизации проверки сетевого трафика 300. Данный алгоритм приведен для случая, когда в базе данных статистики 310 присутствует одна запись об обнаруженной угрозе. Вариант алгоритма для случая, когда в базе данных статистики 310 присутствует множество записей, заключается в многократном повторении указанного алгоритма. На этапе 510 средство определения областей проверки 320 получает информацию об угрозе из базы данных статистики 310. Полученная информация содержит сведения о смещении угрозы относительно начала передачи данных и времени обнаружения угрозы. На этапе 520 средство определения областей проверки 320 производит вычисление значения актуальности угрозы, которая определяется как разница между временем, в которое производится вычисление, и временем обнаружения угрозы. На этапе 530 средство определения областей проверки 320 производит сравнение вычисленного значения актуальности угрозы с установленным пороговым значением, после чего, на этапе 540, определяет, превышен ли порог. В обоих случаях, если порог превышен или не превышен, средство определения областей проверки 320 на этапах 550 и 560 определяет, входит ли смещение угрозы в область проверки. Если порог превышен, и смещение угрозы входит в область проверки, то на этапе 555 средство определения областей проверки 320 производит сужение области проверки для исключения смещения угрозы. Если порог не превышен, и смещение угрозы не входит в область проверки, то на этапе 565 средство определения областей проверки 320 производит расширение области проверки для включения смещения угрозы. В двух других случаях на этапе 580 система оптимизации проверки сетевого трафика 300 завершает свою работу, не переходя к этапу 570. На этапе 570 средство определения областей проверки 320 производит передачу информации об областях проверки сетевым системам обнаружения вторжений 100, которые в соответствии с полученной информацией производят частичную проверку сетевого трафика. На этапе 580 система оптимизации проверки сетевого трафика 300 завершает свою работу.
Фиг.6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 111, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 111, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 111 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 111.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 111 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 111 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 111 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 111 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 111, представленного на Фиг.6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 111 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 111 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.
Claims (19)
1. Система проверки потока данных, передающихся по сети, на наличие угроз, которая содержит:
а) по меньшей мере, одну сетевую систему обнаружения вторжений, предназначенную для:
- проверки заданной области потока данных на наличие угроз;
- сбора и отправки статистической информации об обнаруженных угрозах в базу данных статистики;
б) базу данных статистики, предназначенную для хранения полученной информации и предоставлении ее средству определения областей проверки;
в) средство определения областей проверки, предназначенное для:
- изменения заданной области проверки на основе информации, полученной из базы данных статистики;
- передачи информации об измененной области проверки, по меньшей мере, одной сетевой системе обнаружения вторжений.
а) по меньшей мере, одну сетевую систему обнаружения вторжений, предназначенную для:
- проверки заданной области потока данных на наличие угроз;
- сбора и отправки статистической информации об обнаруженных угрозах в базу данных статистики;
б) базу данных статистики, предназначенную для хранения полученной информации и предоставлении ее средству определения областей проверки;
в) средство определения областей проверки, предназначенное для:
- изменения заданной области проверки на основе информации, полученной из базы данных статистики;
- передачи информации об измененной области проверки, по меньшей мере, одной сетевой системе обнаружения вторжений.
2. Система по п.1, в которой к статистической информации об обнаруженных угрозах относится информация о смещении каждой обнаруженной угрозы относительно начала потока данных и информация о времени обнаружения каждой угрозы.
3. Система по п.1, в которой средство определения областей проверки производит изменение заданной области проверки таким образом, чтобы область проверки охватывала смещения всех обнаруженных угроз.
4. Система по п.1, в которой средство определения областей проверки производит изменение заданной области проверки таким образом, чтобы область проверки охватывала смещения только тех угроз, со времени обнаружения которых не прошел установленный срок.
5. Система по п.1, в которой база данных статистики получает информацию от, по меньшей мере, одной системы сбора статистики по угрозам, которая производит проверку потока данных полностью.
6. Система по п.5, в которой сетевая система обнаружения вторжений сбора статистики является ресурсом, представляющим собой приманку для злоумышленников.
7. Система по п.1, в которой сетевая система обнаружения вторжений производит расширение границ заданной области проверки в установленных пределах.
8. Система по п.1, в которой средство определения областей проверки производит изменение заданной области проверки периодически по истечению заданного периода времени.
9. Система по п.1, в которой средство определения областей проверки производит изменение заданной области проверки при появлении новой информации об угрозах в базе данных статистики.
10. Система по п.1, в которой средство определения областей проверки производит задание нескольких областей проверки для смещений различных угроз.
11. Способ проверки потока данных, передающихся по сети, на наличие угроз, в котором:
а) задают область проверки потока данных, передающихся по сети;
б) производят проверку заданной области потока данных на наличие угроз;
в) собирают статистическую информацию об обнаруженных угрозах;
г) изменяют заданную область проверки на основе собранной статистической информации.
а) задают область проверки потока данных, передающихся по сети;
б) производят проверку заданной области потока данных на наличие угроз;
в) собирают статистическую информацию об обнаруженных угрозах;
г) изменяют заданную область проверки на основе собранной статистической информации.
12. Способ по п.11, в котором к статистической информации об обнаруженных угрозах относится информация о смещении каждой обнаруженной угрозы относительно начала потока данных и информация о времени обнаружения каждой угрозы.
13. Способ по п.11, в котором изменяют заданную область проверки таким образом, чтобы область проверки охватывала смещения всех обнаруженных угроз.
14. Способ по п.11, в котором изменяют заданную область проверки таким образом, чтобы область проверки охватывала смещения только тех угроз, со времени обнаружения которых не прошел установленный срок.
15. Способ по п.11, в котором для сбора информации об угрозах производят проверку потока полностью.
16. Способ по п.11, в котором при задании и изменении областей проверки производят расширение границ области проверки в установленных пределах.
17. Способ по п.11, в котором задают области проверки периодически по истечению заданного периода времени.
18. Способ по п.11, в котором задают области проверки при каждом новом обнаружении угрозы.
19. Способ по п.11, в котором задают несколько областей проверки для смещений различных угроз.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2012118995/08A RU2488880C1 (ru) | 2012-05-11 | 2012-05-11 | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
| US13/553,665 US8650646B2 (en) | 2012-05-11 | 2012-07-19 | System and method for optimization of security traffic monitoring |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2012118995/08A RU2488880C1 (ru) | 2012-05-11 | 2012-05-11 | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2488880C1 true RU2488880C1 (ru) | 2013-07-27 |
Family
ID=49155751
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| RU2012118995/08A RU2488880C1 (ru) | 2012-05-11 | 2012-05-11 | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8650646B2 (ru) |
| RU (1) | RU2488880C1 (ru) |
Cited By (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2644537C2 (ru) * | 2016-07-05 | 2018-02-12 | Общество с ограниченной ответственностью "Айдеко" | Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями |
| RU183015U1 (ru) * | 2018-03-02 | 2018-09-07 | Общество с ограниченной ответственностью "АСП Лабс" | Средство обнаружения вторжений |
| RU2680753C1 (ru) * | 2015-02-09 | 2019-02-26 | Телефонактиеболагет Лм Эрикссон (Пабл) | Подавление воздействия от интернет-атак в ran, использующей интернет-транспорт |
| RU2680736C1 (ru) * | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
| US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
| US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
| US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
| US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
| US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
| US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
| US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
| US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
| US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
| US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
| US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
| US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
Families Citing this family (43)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9785775B1 (en) * | 2014-09-15 | 2017-10-10 | Symantec Corporation | Malware management |
| US10761743B1 (en) | 2017-07-17 | 2020-09-01 | EMC IP Holding Company LLC | Establishing data reliability groups within a geographically distributed data storage environment |
| US11003772B2 (en) * | 2017-10-19 | 2021-05-11 | AO Kaspersky Lab | System and method for adapting patterns of malicious program behavior from groups of computer systems |
| US10880040B1 (en) | 2017-10-23 | 2020-12-29 | EMC IP Holding Company LLC | Scale-out distributed erasure coding |
| US10382554B1 (en) | 2018-01-04 | 2019-08-13 | Emc Corporation | Handling deletes with distributed erasure coding |
| US11539740B1 (en) | 2018-02-02 | 2022-12-27 | F5, Inc. | Methods for protecting CPU during DDoS attack and devices thereof |
| US11658995B1 (en) | 2018-03-20 | 2023-05-23 | F5, Inc. | Methods for dynamically mitigating network attacks and devices thereof |
| US10579297B2 (en) | 2018-04-27 | 2020-03-03 | EMC IP Holding Company LLC | Scaling-in for geographically diverse storage |
| US11023130B2 (en) | 2018-06-15 | 2021-06-01 | EMC IP Holding Company LLC | Deleting data in a geographically diverse storage construct |
| US11436203B2 (en) | 2018-11-02 | 2022-09-06 | EMC IP Holding Company LLC | Scaling out geographically diverse storage |
| US10901635B2 (en) | 2018-12-04 | 2021-01-26 | EMC IP Holding Company LLC | Mapped redundant array of independent nodes for data storage with high performance using logical columns of the nodes with different widths and different positioning patterns |
| US11119683B2 (en) | 2018-12-20 | 2021-09-14 | EMC IP Holding Company LLC | Logical compaction of a degraded chunk in a geographically diverse data storage system |
| US10931777B2 (en) * | 2018-12-20 | 2021-02-23 | EMC IP Holding Company LLC | Network efficient geographically diverse data storage system employing degraded chunks |
| US10892782B2 (en) | 2018-12-21 | 2021-01-12 | EMC IP Holding Company LLC | Flexible system and method for combining erasure-coded protection sets |
| US11023331B2 (en) | 2019-01-04 | 2021-06-01 | EMC IP Holding Company LLC | Fast recovery of data in a geographically distributed storage environment |
| US10942827B2 (en) | 2019-01-22 | 2021-03-09 | EMC IP Holding Company LLC | Replication of data in a geographically distributed storage environment |
| US10936239B2 (en) | 2019-01-29 | 2021-03-02 | EMC IP Holding Company LLC | Cluster contraction of a mapped redundant array of independent nodes |
| US10942825B2 (en) | 2019-01-29 | 2021-03-09 | EMC IP Holding Company LLC | Mitigating real node failure in a mapped redundant array of independent nodes |
| US10866766B2 (en) | 2019-01-29 | 2020-12-15 | EMC IP Holding Company LLC | Affinity sensitive data convolution for data storage systems |
| US11029865B2 (en) | 2019-04-03 | 2021-06-08 | EMC IP Holding Company LLC | Affinity sensitive storage of data corresponding to a mapped redundant array of independent nodes |
| US10944826B2 (en) | 2019-04-03 | 2021-03-09 | EMC IP Holding Company LLC | Selective instantiation of a storage service for a mapped redundant array of independent nodes |
| US11119686B2 (en) | 2019-04-30 | 2021-09-14 | EMC IP Holding Company LLC | Preservation of data during scaling of a geographically diverse data storage system |
| US11121727B2 (en) | 2019-04-30 | 2021-09-14 | EMC IP Holding Company LLC | Adaptive data storing for data storage systems employing erasure coding |
| US11113146B2 (en) | 2019-04-30 | 2021-09-07 | EMC IP Holding Company LLC | Chunk segment recovery via hierarchical erasure coding in a geographically diverse data storage system |
| US11748004B2 (en) | 2019-05-03 | 2023-09-05 | EMC IP Holding Company LLC | Data replication using active and passive data storage modes |
| US11209996B2 (en) | 2019-07-15 | 2021-12-28 | EMC IP Holding Company LLC | Mapped cluster stretching for increasing workload in a data storage system |
| US11449399B2 (en) | 2019-07-30 | 2022-09-20 | EMC IP Holding Company LLC | Mitigating real node failure of a doubly mapped redundant array of independent nodes |
| US11023145B2 (en) | 2019-07-30 | 2021-06-01 | EMC IP Holding Company LLC | Hybrid mapped clusters for data storage |
| US11228322B2 (en) | 2019-09-13 | 2022-01-18 | EMC IP Holding Company LLC | Rebalancing in a geographically diverse storage system employing erasure coding |
| US11449248B2 (en) | 2019-09-26 | 2022-09-20 | EMC IP Holding Company LLC | Mapped redundant array of independent data storage regions |
| US11119690B2 (en) | 2019-10-31 | 2021-09-14 | EMC IP Holding Company LLC | Consolidation of protection sets in a geographically diverse data storage environment |
| US11288139B2 (en) | 2019-10-31 | 2022-03-29 | EMC IP Holding Company LLC | Two-step recovery employing erasure coding in a geographically diverse data storage system |
| US11435910B2 (en) | 2019-10-31 | 2022-09-06 | EMC IP Holding Company LLC | Heterogeneous mapped redundant array of independent nodes for data storage |
| US11435957B2 (en) | 2019-11-27 | 2022-09-06 | EMC IP Holding Company LLC | Selective instantiation of a storage service for a doubly mapped redundant array of independent nodes |
| US11144220B2 (en) | 2019-12-24 | 2021-10-12 | EMC IP Holding Company LLC | Affinity sensitive storage of data corresponding to a doubly mapped redundant array of independent nodes |
| US11231860B2 (en) | 2020-01-17 | 2022-01-25 | EMC IP Holding Company LLC | Doubly mapped redundant array of independent nodes for data storage with high performance |
| US11507308B2 (en) | 2020-03-30 | 2022-11-22 | EMC IP Holding Company LLC | Disk access event control for mapped nodes supported by a real cluster storage system |
| US11288229B2 (en) | 2020-05-29 | 2022-03-29 | EMC IP Holding Company LLC | Verifiable intra-cluster migration for a chunk storage system |
| US11693983B2 (en) | 2020-10-28 | 2023-07-04 | EMC IP Holding Company LLC | Data protection via commutative erasure coding in a geographically diverse data storage system |
| US11847141B2 (en) | 2021-01-19 | 2023-12-19 | EMC IP Holding Company LLC | Mapped redundant array of independent nodes employing mapped reliability groups for data storage |
| US11625174B2 (en) | 2021-01-20 | 2023-04-11 | EMC IP Holding Company LLC | Parity allocation for a virtual redundant array of independent disks |
| US11354191B1 (en) | 2021-05-28 | 2022-06-07 | EMC IP Holding Company LLC | Erasure coding in a large geographically diverse data storage system |
| US11449234B1 (en) | 2021-05-28 | 2022-09-20 | EMC IP Holding Company LLC | Efficient data access operations via a mapping layer instance for a doubly mapped redundant array of independent nodes |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7617533B1 (en) * | 2005-01-31 | 2009-11-10 | Symantec Corporation | Self-quarantining network |
| US7950059B2 (en) * | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
| RU107616U1 (ru) * | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
| RU2444056C1 (ru) * | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7225343B1 (en) * | 2002-01-25 | 2007-05-29 | The Trustees Of Columbia University In The City Of New York | System and methods for adaptive model generation for detecting intrusions in computer systems |
| WO2003083660A1 (en) * | 2002-03-29 | 2003-10-09 | Global Dataguard, Inc. | Adaptive behavioral intrusion detection systems and methods |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| US20050216770A1 (en) * | 2003-01-24 | 2005-09-29 | Mistletoe Technologies, Inc. | Intrusion detection system |
| GB0325504D0 (en) * | 2003-10-31 | 2003-12-03 | Leach John | Security engineering: A process for developing accurate and reliable security systems |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US7890991B2 (en) * | 2005-08-19 | 2011-02-15 | Cpacket Networks, Inc. | Apparatus and method for providing security and monitoring in a networking architecture |
| US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
| US8577829B2 (en) * | 2009-09-11 | 2013-11-05 | Hewlett-Packard Development Company, L.P. | Extracting information from unstructured data and mapping the information to a structured schema using the naïve bayesian probability model |
-
2012
- 2012-05-11 RU RU2012118995/08A patent/RU2488880C1/ru active
- 2012-07-19 US US13/553,665 patent/US8650646B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7950059B2 (en) * | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
| US7617533B1 (en) * | 2005-01-31 | 2009-11-10 | Symantec Corporation | Self-quarantining network |
| RU2444056C1 (ru) * | 2010-11-01 | 2012-02-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ ускорения решения проблем за счет накопления статистической информации |
| RU107616U1 (ru) * | 2011-03-28 | 2011-08-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система быстрого анализа потока данных на наличие вредоносных объектов |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2680753C1 (ru) * | 2015-02-09 | 2019-02-26 | Телефонактиеболагет Лм Эрикссон (Пабл) | Подавление воздействия от интернет-атак в ran, использующей интернет-транспорт |
| RU2644537C2 (ru) * | 2016-07-05 | 2018-02-12 | Общество с ограниченной ответственностью "Айдеко" | Способ определения типа сетевого трафика для фильтрации и управления сетевыми соединениями |
| US10430588B2 (en) | 2016-07-06 | 2019-10-01 | Trust Ltd. | Method of and system for analysis of interaction patterns of malware with control centers for detection of cyber attack |
| US10721251B2 (en) | 2016-08-03 | 2020-07-21 | Group Ib, Ltd | Method and system for detecting remote access during activity on the pages of a web resource |
| US10581880B2 (en) | 2016-09-19 | 2020-03-03 | Group-Ib Tds Ltd. | System and method for generating rules for attack detection feedback system |
| US10778719B2 (en) | 2016-12-29 | 2020-09-15 | Trust Ltd. | System and method for gathering information to detect phishing activity |
| US10721271B2 (en) | 2016-12-29 | 2020-07-21 | Trust Ltd. | System and method for detecting phishing web pages |
| US11755700B2 (en) | 2017-11-21 | 2023-09-12 | Group Ib, Ltd | Method for classifying user action sequence |
| US11503044B2 (en) | 2018-01-17 | 2022-11-15 | Group IB TDS, Ltd | Method computing device for detecting malicious domain names in network traffic |
| US11451580B2 (en) | 2018-01-17 | 2022-09-20 | Trust Ltd. | Method and system of decentralized malware identification |
| US10958684B2 (en) | 2018-01-17 | 2021-03-23 | Group Ib, Ltd | Method and computer device for identifying malicious web resources |
| US11122061B2 (en) | 2018-01-17 | 2021-09-14 | Group IB TDS, Ltd | Method and server for determining malicious files in network traffic |
| RU2680736C1 (ru) * | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| US11475670B2 (en) | 2018-01-17 | 2022-10-18 | Group Ib, Ltd | Method of creating a template of original video content |
| US10762352B2 (en) | 2018-01-17 | 2020-09-01 | Group Ib, Ltd | Method and system for the automatic identification of fuzzy copies of video content |
| US11005779B2 (en) | 2018-02-13 | 2021-05-11 | Trust Ltd. | Method of and server for detecting associated web resources |
| RU183015U1 (ru) * | 2018-03-02 | 2018-09-07 | Общество с ограниченной ответственностью "АСП Лабс" | Средство обнаружения вторжений |
| US11153351B2 (en) | 2018-12-17 | 2021-10-19 | Trust Ltd. | Method and computing device for identifying suspicious users in message exchange systems |
| US11431749B2 (en) | 2018-12-28 | 2022-08-30 | Trust Ltd. | Method and computing device for generating indication of malicious web resources |
| US11934498B2 (en) | 2019-02-27 | 2024-03-19 | Group Ib, Ltd | Method and system of user identification |
| US11250129B2 (en) | 2019-12-05 | 2022-02-15 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11526608B2 (en) | 2019-12-05 | 2022-12-13 | Group IB TDS, Ltd | Method and system for determining affiliation of software to software families |
| US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
| US11151581B2 (en) | 2020-03-04 | 2021-10-19 | Group-Ib Global Private Limited | System and method for brand protection based on search results |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| US11847223B2 (en) | 2020-08-06 | 2023-12-19 | Group IB TDS, Ltd | Method and system for generating a list of indicators of compromise |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
Also Published As
| Publication number | Publication date |
|---|---|
| US8650646B2 (en) | 2014-02-11 |
| US20130305365A1 (en) | 2013-11-14 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2488880C1 (ru) | Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз | |
| US10673884B2 (en) | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data | |
| KR101010302B1 (ko) | Irc 및 http 봇넷 보안 관제를 위한 관리 시스템 및 그 방법 | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| JP2019021294A (ja) | DDoS攻撃判定システムおよび方法 | |
| US11269995B2 (en) | Chain of events representing an issue based on an enriched representation | |
| CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
| JP5832951B2 (ja) | 攻撃判定装置、攻撃判定方法及び攻撃判定プログラム | |
| Cai et al. | Detecting HTTP botnet with clustering network traffic | |
| Patgiri et al. | Preventing ddos using bloom filter: A survey | |
| KR100973076B1 (ko) | 분산 서비스 거부 공격 대응 시스템 및 그 방법 | |
| US20230412591A1 (en) | Traffic processing method and protection system | |
| Burghouwt et al. | Detection of covert botnet command and control channels by causal analysis of traffic flows | |
| JPWO2006043310A1 (ja) | 不正アクセスプログラム監視処理方法、不正アクセスプログラム検出プログラムおよび不正アクセスプログラム対策プログラム | |
| KR20100066908A (ko) | 윈도우 실행파일 추출방법, 및 장치 | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| EP1751651B1 (en) | Method and systems for computer security | |
| CN102867148B (zh) | 一种电子设备的安全防护方法及装置 | |
| JP6581053B2 (ja) | フロー解析装置、トラフィック解析システム、及びフロー解析方法 | |
| CN116800483A (zh) | 基于蜜罐技术的蠕虫病毒检测方法、装置、设备及介质 | |
| Sridharan et al. | Implementing Real Time Port Scan Detection for the IP Backbone | |
| Worms | Electrical Engineering and Computer Science Department |