RU2666644C1 - Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами - Google Patents

Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами Download PDF

Info

Publication number
RU2666644C1
RU2666644C1 RU2017128538A RU2017128538A RU2666644C1 RU 2666644 C1 RU2666644 C1 RU 2666644C1 RU 2017128538 A RU2017128538 A RU 2017128538A RU 2017128538 A RU2017128538 A RU 2017128538A RU 2666644 C1 RU2666644 C1 RU 2666644C1
Authority
RU
Russia
Prior art keywords
devices
potentially dangerous
user
threat
degree
Prior art date
Application number
RU2017128538A
Other languages
English (en)
Inventor
Владимир Александрович Скворцов
Евгений Борисович Колотинский
Original Assignee
Акционерное общество "Лаборатория Касперского"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное общество "Лаборатория Касперского" filed Critical Акционерное общество "Лаборатория Касперского"
Priority to RU2017128538A priority Critical patent/RU2666644C1/ru
Priority to US15/695,253 priority patent/US10511974B2/en
Priority to JP2017199010A priority patent/JP6680736B2/ja
Priority to EP17197385.2A priority patent/EP3441930A1/en
Priority to CN201710979315.9A priority patent/CN109389400A/zh
Application granted granted Critical
Publication of RU2666644C1 publication Critical patent/RU2666644C1/ru
Priority to US16/683,352 priority patent/US11019494B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/10Payment architectures specially adapted for electronic funds transfer [EFT] systems; specially adapted for home banking systems
    • G06Q20/108Remote banking, e.g. home banking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Software Systems (AREA)
  • Accounting & Taxation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Finance (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Virology (AREA)
  • Power Engineering (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Bioethics (AREA)
  • Medical Informatics (AREA)
  • Databases & Information Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Debugging And Monitoring (AREA)

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности взаимодействия пользователя с банковскими сервисами путем выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами. Система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами содержит средство сбора, предназначенное для сбора цифровых отпечатков устройств пользователей; сбора данных о потенциально опасных состояниях устройств пользователей; средство вычисления степени угрозы, предназначенное для вычисления степеней угрозы устройств пользователей; создания кластеров устройств на основании характеристик устройства, полученных при сборе отпечатков устройств; вычисления степеней угрозы созданных кластеров устройств пользователей; средство анализа, предназначенное для выявления потенциально опасных устройств. 2 н. и 8 з.п. ф-лы, 3 ил.

Description

Область техники
Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.
Уровень техники
В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным проведение денежных операций без участия пластиковой карты или реквизитов банковского счета.
Кроме того, существуют различные механизмы защиты средств пользователя от доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двойная аутентификация. После ввода аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) в браузере на сайте банка пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.
Однако, стоит отметить, что существует множество атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошенническими (англ. fraud). Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение для мобильных устройств позволяет злоумышленникам проводить транзакции с подтверждением без ведома пользователя.
Известны системы и способы, использующие для защиты пользователей от мошеннической активности так называемый отпечаток устройства пользователя. Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается опасным.
Так, публикация US 20150324802 описывает систему и способ для аутентификации транзакций пользователя. При аутентификации используются отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).
Однако, одни и те же устройства в разных регионах используют разный набор программ, разные прошивки, разные браузеры для доступа к онлайн-банкингу. Известные системы и способы сравнения отпечатков устройств выявляют лишь некоторое количество опасных устройств, однако не позволяют выявлять потенциально опасные устройства в зависимости от различных характеристик (например, от региона использования устройства или региональной прошивки устройства), а также не позволяют выявить устройства, если отпечаток подобного устройства пока не известен (например, новое устройство в линейке производителя) и не используют экспертизу компаний, занимающихся разработкой программ для обеспечения безопасности (например, антивирусного программного обеспечения).
Сущность изобретения
Настоящее изобретение предназначено для выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.
Технический результат настоящего изобретения заключается в обеспечении безопасности взаимодействия пользователя с банковскими сервисами путем выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.
Другой технический результат заключается в обеспечении выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами.
Согласно одному из вариантов реализации предоставляется система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, которая содержит: средство сбора, предназначенное для сбора цифровых отпечатков устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя; сбора данных о потенциально опасных состояниях упомянутого устройства пользователя; передачи собранных данных средству вычисления степени угрозы; средство вычисления степени угрозы, предназначенное для: вычисления степеней угрозы устройства пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния; создания кластеров устройств на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства; вычисления степеней угрозы созданных кластеров устройств пользователя; передачи созданных кластеров и вычисленных степеней угрозы средству анализ; средство анализа, предназначенное для выявления потенциально опасных устройств, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.
Согласно другому варианту реализации предоставляется система, в которой характеристиками устройства являются: идентификатор операционной системы, под управлением которой работает устройство; местоположение устройства; региональные характеристики прошивки устройства; идентификатор аккаунта; данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора; версия браузера; плагины, установленные в браузере устройства; уязвимые приложения, установленные на устройстве.
Согласно одному из частных вариантов реализации предоставляется система, в которой потенциально опасным состоянием является наличие корневого доступа на устройстве.
Согласно одному из частных вариантов реализации предоставляется система, в которой собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.
Согласно одному из частных вариантов реализации предоставляется система, в которой блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.
Согласно одному из частных вариантов реализации предоставляется способ выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, реализуемый с помощью упомянутых средств и содержащий этапы, на которых: собирают цифровые отпечатки устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя; собирают данные о потенциально опасных состояниях упомянутого устройства пользователя; создают кластеры устройств пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства; вычисляют степени угрозы созданных кластеров устройств пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния; выявляют потенциально опасное устройство, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.
Согласно одному из частных вариантов реализации предоставляется способ, в котором характеристиками устройства являются: идентификатор операционной системы, под управлением которой работает устройство; местоположение устройства; региональные характеристики прошивки устройства; идентификатор аккаунта; данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора; версия браузера; плагины, установленные в браузере устройства; уязвимые приложения, установленные на устройстве.
Согласно одному из частных вариантов реализации предоставляется способ, в котором потенциально опасным состоянием является наличие корневого доступа на устройстве.
Согласно одному из частных вариантов реализации предоставляется способ, в котором собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.
Согласно одному из частных вариантов реализации предоставляется способ, в котором блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 отображает структуру системы выявления потенциально опасных устройств.
Фиг. 2 отображает схему способа выявления потенциально опасных устройств.
Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.
Фиг. 1 отображает структуру системы выявления потенциально опасных устройств.
Система выявления потенциально опасных устройств, в общем случае состоит из средства сбора 110, средство вычисления степени угрозы 120 и средства анализа 130 и предназначена для выявления потенциально опасных устройств 190 при онлайн-доступе к банковским сервисам 199.
Устройство 190 в рамках настоящего изобретения - программная среда исполнения, выполняющаяся на вычислительном устройстве (например, браузер, выполняющийся на компьютере, приложение банка, выполняющееся на мобильном устройстве).
Потенциально опасное устройство 190 - устройство 190, вероятность мошенничества (англ. fraud) с которого при онлайн-доступе к банковским сервисам (англ. online banking) 199 выше порогового значения.
В одном из вариантов реализации средство сбора 110 предназначено для сбора цифровых отпечатков (англ. fingerprint, далее используется термин отпечаток) устройств 190. В общем случае отпечаток содержит характеристики устройства 190. Характеристиками устройства 190 являются:
- идентификатор операционной системы, под управлением которой работает устройство 190;
- местоположение (геолокация) устройства 190;
- региональные характеристики прошивки устройства 190 (например, континент/страна/город);
- идентификатор аккаунта (например, идентификатор аккаунта Microsoft, Google или Apple);
- данные о том, функционирует ли устройство 190 (программная среда исполнения) в рамках виртуальной машины или эмулятора;
- версия браузера;
- плагины, установленные в браузере устройства 190;
- уязвимые приложения, установленные на устройстве 190;
- прочие.
В одном из вариантов реализации сбор происходит путем исполнения в браузере на устройстве 190 JavaScript-сценария, при этом упомянутый сценарий может храниться на банковском сервере и выполняться при обращении устройства 190 к банковскому сервису.
В еще одном из вариантов реализации сбор данных осуществляют приложения безопасности (например, антивирусным приложением).
В еще одном варианте реализации сбор осуществляют посредством приложения, работающего на устройстве 190, при этом приложение может быть предназначено для доступа к банковским сервисам (например, приложение «Сбербанк-онлайн») 199 и создано с использованием комплекта средств разработки (от англ. software development kit, SDK), поставляемого, например, производителем антивирусного приложения (например, Kaspersky Mobile Security SDK).
Кроме сбора характеристик устройства 190 средство сбора 110 получает данные о потенциально опасных состояниях устройства 190. Под потенциально опасными состояниями понимаются состояния устройства 190, когда не может быть гарантировано безопасное взаимодействие пользователя посредством устройства 190 с банковскими сервисами 199. Ниже приведены примеры таких состояний.
В одном из вариантов реализации потенциально опасным состоянием является наличие на устройстве 190 корневого (англ. root) доступа (далее по тексту - root-доступа), при этом средство сбора 110 собирает данные о наличии root-доступа на устройстве 190. Стоит отметить, что из уровня техники известно, что на устройстве 190 с root-доступом даже антивирусное приложение не может выявить активность вредоносного программного обеспечения. Поэтому такое состояние устройства 190 не может гарантировать безопасное взаимодействие пользователя посредством устройства 190 с банковскими сервисами 199.
В еще одном из вариантов реализации потенциально опасным состоянием является заражение на устройстве 190, при этом средство сбора 110 получает данные о наличии заражения на устройстве 190 (например, обнаруживает активность вредоносных программ). Данные о заражении устройства 190 могут быть получены как в момент обращения пользователя к банковским сервисам 199, так и собираться в течение периода времени, пока пользователь не взаимодействует с банковскими сервисами 199 (например, упомянутые данные может собирать запущенная в фоновом режиме служба средства сбора 110).
В одном из вариантов реализации средство сбора 110 получает от банка или сторонней организации сведения об атаке на банковские сервисы 199, совершенной с устройства 190 (например, получает от Лаборатории Касперского сведения об атаках на банковские сервисы 199, выявленные с помощью Kaspersky Fraud Prevention, KFP). В данном случае факт атаки также является потенциально опасным состоянием.
В еще одном из вариантов реализации средство сбора 110 получает от банка или сторонней организации сведения о компрометации устройства 190, выполненной любым иным известным из уровня техники способом (например, данные об атаке или компрометации получено из Kaspersky Security Network, KSN).
Данные, собранные средством сбора 110 об устройстве 190, передаются средству вычисления степени угрозы 120. В одном из вариантов реализации данные, собранные средством сбора 110 об устройстве 190, сохраняются в базе данных 111.
Средство вычисления степени угрозы 120 выполнятся на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса и предназначено для вычисления степени угрозы на основании данных, полученных от средства сбора 110 или из базы данных 111.
Средство вычисления степени угрозы 120 вычисляет степени угрозы (англ. threat factor). Степень угрозы есть числовая величина. В общем случае степень угрозы вычисляется на основании частоты встречаемости потенциально опасного состояния. Степень угрозы тем выше, чем чаще встречается потенциально опасное состояние. В одном из вариантов реализации степень угрозы вычисляется в диапазоне от 0 (гарантированно безопасное устройство) до 1 (гарантированно вредоносное устройство).
В одном из вариантов реализации средство вычисления степени угрозы 120 создает кластеры (выполняет кластеризацию) устройств 190 на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства 190.
В одном из вариантов реализации кластеризация выполняется на основании нескольких собранных упомянутых характеристик устройств 190.
Таким образом, степень угрозы может быть вычислена как для отдельного устройства 190, так и для кластера устройств 190. Кроме того, степень угрозы может быть вычислена как для каждого известного потенциально опасного состояния в отдельности (например, частота наличия root-доступа на устройстве 190), так и для любой их комбинации (например, частота наличия root-доступа на устройстве 190 и частота атак на банковские сервисы с устройства 190).
С учетом вышеизложенного, для каждого устройства 190 или кластера устройств 190 может быть вычислено несколько степеней угрозы. Степень угрозы для кластера может быть вычислена любым известным из уровня техники способом. В одном из вариантов реализации степень угрозы кластера есть одна из мер центральной тенденции (среднее арифметическое) степеней угрозы всех устройств 190, вошедших в кластер. В другом варианте реализации - среднее арифметическое степеней угрозы, помноженных на коэффициент, который тем выше, чем меньше времен прошло с последней компрометации устройства 190.
Например, устройство 190 с прошивкой для Китая, используемое в Китае, имеет высокие степени угрозы по root-доступу (установлен по умолчанию в прошивке производителем), и по установленным уязвимым приложениям (в прошивке есть множество предустановленных приложений, например, рекламных или выполняющих резервное копирование данных с упомянутых устройств на китайские серверы). Такое же устройство 190 с прошивкой для Китая, но используемое в США имеет только высокую степень угрозы по root-доступу, так как предустановленные уязвимые приложения не подключены к китайским серверам и не проявляют активность. Это же устройство с прошивкой для США имеет небольшие степени угрозы по root-доступу и предустановленным уязвимым приложениям, так как прошивка не содержит root-доступа и предустановленных уязвимых приложений, и лишь небольшое количество пользователей самостоятельно получает root-доступ на устройстве 190 и устанавливает упомянутые приложения.
В одном из вариантов реализации кластеры с малой степенью угрозы (пороговое значение выше степени угрозы кластера в 5 раз) могут быть проигнорированы при анализе устройств. Например, кластер устройств 190, содержащих Google Chrome, не является потенциально опасным (такая кластеризация слишком обобщенная и не позволяет выявить опасные устройства 190, учитывать такой кластер не имеет смысла).
Данные, вычисленные средством вычисления степени угрозы 120 об устройстве 190, передаются средству анализа 130. В одном из вариантов реализации созданные средством вычисления степени угрозы 120 кластеры и вычисленные степени угрозы сохраняются в базе данных 111.
Средство анализа 130 реализовано на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса и предназначено для выявления потенциально опасных устройств на основании данных, полученных от средства вычисления степени угрозы 120 или из базы данных 111.
Среди устройств 190 и созданных кластеров устройств 190 средство анализа 130 выявляет потенциально опасные устройства 190, а именно устройства 190 с по меньшей мере одной высокой степенью угрозы. В общем случае степень угрозы сравнивается с заранее заданным пороговым значением. Пороговое значение может быть получено автоматически на основании статистических данных или с участием эксперта по информационной безопасности, а также на основании данных о произошедших инцидентах от банка или данных о компрометации из Kaspersky Security Network.
В одном из вариантов реализации потенциально опасное устройство 190 соответствует по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств. Так, например, кластер «А» имеет степень угрозы #1, которая выше порогового значения, при этом кластер «А» получен по кластеризации характеристики #1. Кластер «Б» имеет степень угрозы #2, которая также выше порогового значения, при этом кластер «Б» получен по кластеризации характеристики #2. Устройство 190 соответствует и кластеру «А», и кластеру «Б».
В другом варианте реализации для каждой степени угрозы назначается числовой коэффициент (вес), а потенциально опасное устройство выявляется как среднее арифметическое степеней угрозы кластеров, помноженных на упомянутые коэффициенты. При этом кластер «А» имеет степень угрозы #1, которая ниже порогового значения, и коэффициент #1, и при этом кластер «А» получен по кластеризации характеристики #1. Кластер «Б» имеет степень угрозы #2, которая также ниже порогового значения, и коэффициент #2, и при этом кластер «Б» получен по кластеризации характеристики #2. Устройство 190 соответствует и кластеру «А», и кластеру «Б». В таком случае возможно, что:
Figure 00000001
то есть устройство, попавшее в кластеры «А» и «Б», является потенциально опасным, при этом степени угроз отдельно кластеров «А» и «Б» не превышают пороговое значение.
Примерами потенциально опасных устройств 190 могут быть:
- мобильные телефоны или планшетные компьютеры с root-доступом (если кластер устройств 190 конкретной модели конкретного производителя на 70% содержит устройства 190 с root-доступом, это может свидетельствовать о том, что телефон с завода имеет прошивку, в которой имеется root-доступ);
- мобильные телефоны, персональные компьютеры и ноутбуки с высокой частотой заражения для какого-либо региона (это может свидетельствовать о том, что устройство 190 с завода имеет прошивку с внедренным вредоносным программным обеспечением, либо устройство 190 используется в регионе без установленного на него антивирусного приложения);
- мобильные телефоны, персональные компьютеры и ноутбуки с высокой частотой заражения для разных регионов (это может свидетельствовать о том, что устройство 190 имеет незакрытую/критическую уязвимость, которая делает несанкционированный доступ к устройству 190 более простым по сравнению с прочими устройствами 190);
- различные комбинации потенциально опасных состояний и кластеров устройств 190.
Упомянутое выше позволяет расширить семейство потенциально опасных устройств вне зависимости от производителя или конкретной модели устройства 190 (например, все устройства 190 любого производителя с любой региональной прошивкой, в которых имеются root-доступ, и приложение, атакующее банковские сервисы, согласно данным из Kaspersky Security Network, будут отнесены к потенциально опасным).
В общем случае после выявления описанным выше образом потенциально опасных устройств 190 средство анализа 130 информирует известные из уровня техники системы доступа и/или системы принятия решений (в одном из вариантов реализации подобные системы выполняются на стороне банка, например, как банковские сервисы 199 безопасности). Факт попытки доступа (например, попытка входа в систему) с потенциально опасного устройства 190 не обязательно означает атаку, но может быть фактором риска, который обрабатывается в системе принятия решений особым образом (например, повышенный уровень журналирования, второй фактор при авторизации, ограничение полномочий и т.п.).
В одном из вариантов реализации средство анализа 130 блокирует транзакцию при взаимодействии с банковскими сервисами 199, производимую с потенциально опасного устройства 190 известным из уровня техники способом.
Кроме того, степени угрозы позволяют оценить, что с данного конкретного устройства 190 (или с устройства 190, обладающего конкретным набором характеристик, по которым построены кластеры) вероятность совершения атаки выше (и насколько выше), чем с устройств 190, не обладающих этими характеристиками.
Фиг. 2 отображает схему способа выявления потенциально опасных устройств.
На этапе 210 с помощью средства сбора 110 собирают цифровые отпечатки устройств 190 пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя. Характеристиками устройства 190 являются:
- идентификатор операционной системы, под управлением которой работает устройство;
- местоположение устройства;
- региональные характеристики прошивки устройства;
- идентификатор Google ID или Apple ID;
- функционирует ли устройство в рамках виртуальной машины или эмулятора;
- версия браузера;
- плагины, установленные в браузере устройства;
- уязвимые приложения, установленные на устройстве;
- прочие.
На этапе 220 с помощью средства сбора 110 собирают данные о потенциально опасных состояниях упомянутого устройства пользователя. В одном из вариантов реализации потенциально опасным состоянием является наличие root-доступа на устройстве 190. В еще одном из вариантов реализации собирают информацию о потенциально опасных состояниях устройства 190 пользователя из Kaspersky Security Network. Данные, собранные средством сбора 110 об устройстве 190, сохраняются в базе данных 111.
На этапе 230 с помощью средства вычисления степени угрозы 120 создают кластеры устройств 190 пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства 190.
На этапе 240 вычисляют с помощью средства вычисления степени угрозы 120 степени угрозы созданных кластеров устройств 190 пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния. В одном из вариантов реализации кластеры, созданные средством вычисления степени угрозы 120, и вычисленные степени угрозы сохраняются в базе данных 111.
На этапе 250 с помощью средства анализа 130 выявляют потенциально опасное устройство 190, при этом потенциально опасным считается устройство 190, соответствующее по меньшей мере двум кластерам устройств 190 со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.
На этапе 260 с помощью средства анализа 130 блокируют транзакцию при взаимодействии с банковскими сервисами 199, производимую с потенциально опасного устройства 190.
Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Claims (41)

1. Система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, которая содержит:
Figure 00000002
средство сбора, предназначенное для:
- сбора цифровых отпечатков устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя;
- сбора данных о потенциально опасных состояниях упомянутого устройства пользователя;
- передачи собранных данных средству вычисления степени угрозы;
Figure 00000003
средство вычисления степени угрозы, предназначенное для:
- вычисления степеней угрозы устройства пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния;
- создания кластеров устройств на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства;
- вычисления степеней угрозы созданных кластеров устройств пользователей;
- передачи созданных кластеров и вычисленных степеней угрозы средству анализа;
Figure 00000004
средство анализа, предназначенное для выявления потенциально опасных устройств, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.
2. Система по п. 1, в которой характеристиками устройства являются:
- идентификатор операционной системы, под управлением которой работает устройство;
- местоположение устройства;
- региональные характеристики прошивки устройства;
- идентификатор аккаунта;
- данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора;
- версия браузера;
- плагины, установленные в браузере устройства;
- уязвимые приложения, установленные на устройстве.
3. Система по п. 1, в которой потенциально опасным состоянием является наличие корневого доступа на устройстве.
4. Система по п. 1, в которой собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.
5. Система по п. 1, в которой блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.
6. Способ выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, реализуемый с помощью средства сбора, средства вычисления степени угрозы и средства анализа и содержащий этапы, на которых:
а) собирают цифровые отпечатки устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя;
б) собирают данные о потенциально опасных состояниях упомянутого устройства пользователя;
в) создают кластеры устройств пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства;
г) вычисляют степени угрозы созданных кластеров устройств пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния;
д) выявляют потенциально опасное устройство, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.
7. Способ по п. 6, в котором характеристиками устройства являются:
- идентификатор операционной системы, под управлением которой работает устройство;
- местоположение устройства;
- региональные характеристики прошивки устройства;
- идентификатор аккаунта;
- данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора;
- версия браузера;
- плагины, установленные в браузере устройства;
- уязвимые приложения, установленные на устройстве.
8. Способ по п. 6, в котором потенциально опасным состоянием является наличие корневого доступа на устройстве.
9. Способ по п. 6, в котором собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.
10. Способ по п. 6, в котором блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.
RU2017128538A 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами RU2666644C1 (ru)

Priority Applications (6)

Application Number Priority Date Filing Date Title
RU2017128538A RU2666644C1 (ru) 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
US15/695,253 US10511974B2 (en) 2017-08-10 2017-09-05 System and method of identifying potentially dangerous devices during the interaction of a user with banking services
JP2017199010A JP6680736B2 (ja) 2017-08-10 2017-10-13 ユーザと銀行サービスとの相互通信中における潜在的に危険なデバイスを識別するシステム及び方法
EP17197385.2A EP3441930A1 (en) 2017-08-10 2017-10-19 System and method of identifying potentially dangerous devices during the interaction of a user with banking services
CN201710979315.9A CN109389400A (zh) 2017-08-10 2017-10-19 在用户与银行服务交互期间识别潜在危险设备的系统和方法
US16/683,352 US11019494B2 (en) 2017-08-10 2019-11-14 System and method for determining dangerousness of devices for a banking service

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017128538A RU2666644C1 (ru) 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами

Publications (1)

Publication Number Publication Date
RU2666644C1 true RU2666644C1 (ru) 2018-09-11

Family

ID=63580443

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017128538A RU2666644C1 (ru) 2017-08-10 2017-08-10 Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами

Country Status (4)

Country Link
US (2) US10511974B2 (ru)
JP (1) JP6680736B2 (ru)
CN (1) CN109389400A (ru)
RU (1) RU2666644C1 (ru)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109902176B (zh) * 2019-02-26 2021-07-13 北京微步在线科技有限公司 一种数据关联拓展方法及非暂时性的计算机指令存储介质
WO2021028971A1 (ja) * 2019-08-09 2021-02-18 日本電気株式会社 バックドア検査装置、システム、方法、及び非一時的なコンピュータ可読媒体
US11509677B2 (en) * 2020-05-05 2022-11-22 Uber Technologies, Inc. Automatically detecting vulnerability remediations and regressions
US11941129B2 (en) 2021-03-31 2024-03-26 Capital One Services, Llc Utilizing contact information for device risk assessment
CN117971555B (zh) * 2023-12-21 2024-10-01 北京天融信网络安全技术有限公司 数据安全备份方法及系统、电子设备、存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2584488A1 (en) * 2011-09-20 2013-04-24 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
US20140289852A1 (en) * 2013-03-21 2014-09-25 General Electric Company Systems and methods for remote monitoring, security, diagnostics, and prognostics
RU2541123C1 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения рейтинга электронных сообщений для борьбы со спамом
US20150163121A1 (en) * 2013-12-06 2015-06-11 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US20150229664A1 (en) * 2014-02-13 2015-08-13 Trevor Tyler HAWTHORN Assessing security risks of users in a computing network

Family Cites Families (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7854007B2 (en) * 2005-05-05 2010-12-14 Ironport Systems, Inc. Identifying threats in electronic messages
US8918883B1 (en) * 2005-06-15 2014-12-23 Tripwire, Inc. Prioritizing network security vulnerabilities using accessibility
US9071974B2 (en) * 2008-06-29 2015-06-30 Oceans Edge, Inc. Mobile telephone firewall and compliance enforcement system and method
US9471920B2 (en) 2009-05-15 2016-10-18 Idm Global, Inc. Transaction assessment and/or authentication
CN101593253B (zh) * 2009-06-22 2012-04-04 成都市华为赛门铁克科技有限公司 一种恶意程序判断方法及装置
US9323928B2 (en) * 2011-06-01 2016-04-26 Mcafee, Inc. System and method for non-signature based detection of malicious processes
US8214904B1 (en) 2011-12-21 2012-07-03 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
US8881273B2 (en) * 2011-12-02 2014-11-04 Uniloc Luxembourg, S.A. Device reputation management
IL219597A0 (en) * 2012-05-03 2012-10-31 Syndrome X Ltd Malicious threat detection, malicious threat prevention, and a learning systems and methods for malicious threat detection and prevention
US9191823B2 (en) * 2012-06-29 2015-11-17 GSMK Gesellschaft für sichere mobile Kommunikation mbH Mobile device and method to monitor a baseband processor in relation to the actions on an applicaton processor
US8990933B1 (en) * 2012-07-24 2015-03-24 Intuit Inc. Securing networks against spear phishing attacks
US9860278B2 (en) * 2013-01-30 2018-01-02 Nippon Telegraph And Telephone Corporation Log analyzing device, information processing method, and program
US10440046B2 (en) * 2015-09-25 2019-10-08 Intel Corporation Technologies for anonymous context attestation and threat analytics
US9106693B2 (en) 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US20150002680A1 (en) * 2013-06-28 2015-01-01 Sonic Ip, Inc. System, method, and computer program product for receiving and executing test logic at user devices
KR20150007492A (ko) 2013-07-11 2015-01-21 삼성디스플레이 주식회사 디스플레이 장치 및 이를 구비하는 전자 기기
US20150205965A1 (en) * 2014-01-22 2015-07-23 Lexisnexis, A Division Of Reed Elsevier Inc. Systems and methods for determining overall risk modification amounts
US10438206B2 (en) * 2014-05-27 2019-10-08 The Toronto-Dominion Bank Systems and methods for providing merchant fraud alerts
US9367685B2 (en) * 2014-09-30 2016-06-14 Juniper Networks, Inc. Dynamically optimizing performance of a security appliance
CN105141598B (zh) * 2015-08-14 2018-11-20 中国传媒大学 基于恶意域名检测的apt攻击检测方法及装置
US10387849B2 (en) * 2015-11-18 2019-08-20 International Business Machines Corporation System, method, and recording medium for a bi-directional feed between electronic calendar and credit-card authorization unit
US10192058B1 (en) * 2016-01-22 2019-01-29 Symantec Corporation System and method for determining an aggregate threat score
CA2960531C (en) * 2016-03-11 2019-06-25 The Toronto-Dominion Bank Application platform security enforcement in cross device and ownership structures
US10333965B2 (en) * 2016-09-12 2019-06-25 Qualcomm Incorporated Methods and systems for on-device real-time adaptive security based on external threat intelligence inputs
US10163329B1 (en) * 2017-06-24 2018-12-25 Vivint, Inc. Home alarm system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2584488A1 (en) * 2011-09-20 2013-04-24 Kaspersky Lab Zao System and method for detecting computer security threats based on verdicts of computer users
US20140289852A1 (en) * 2013-03-21 2014-09-25 General Electric Company Systems and methods for remote monitoring, security, diagnostics, and prognostics
RU2541123C1 (ru) * 2013-06-06 2015-02-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ определения рейтинга электронных сообщений для борьбы со спамом
US20150163121A1 (en) * 2013-12-06 2015-06-11 Lookout, Inc. Distributed monitoring, evaluation, and response for multiple devices
US20150229664A1 (en) * 2014-02-13 2015-08-13 Trevor Tyler HAWTHORN Assessing security risks of users in a computing network

Also Published As

Publication number Publication date
US20200084632A1 (en) 2020-03-12
JP2019036273A (ja) 2019-03-07
US20190053053A1 (en) 2019-02-14
US11019494B2 (en) 2021-05-25
US10511974B2 (en) 2019-12-17
CN109389400A (zh) 2019-02-26
JP6680736B2 (ja) 2020-04-15

Similar Documents

Publication Publication Date Title
RU2666644C1 (ru) Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
RU2635275C1 (ru) Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами
RU2599943C2 (ru) Способ оптимизации системы обнаружения мошеннических транзакций
EP3029593B1 (en) System and method of limiting the operation of trusted applications in the presence of suspicious programs
US8549649B2 (en) Systems and methods for sensitive data remediation
RU2634174C1 (ru) Система и способ выполнения банковской транзакции
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
US20180146002A1 (en) Cyber Security System and Method Using Intelligent Agents
US20220255926A1 (en) Event-triggered reauthentication of at-risk and compromised systems and accounts
US10587629B1 (en) Reducing false positives in bot detection
RU2659736C1 (ru) Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
EP3462359B1 (en) System and method of identifying new devices during a user's interaction with banking services
US10931697B2 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints
Meriah et al. A survey of quantitative security risk analysis models for computer systems
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
RU2673711C1 (ru) Способ обнаружения аномальных событий на основании набора сверток безопасных событий
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
RU2769651C2 (ru) Способ формирования сигнатуры для обнаружения неправомерного доступа к компьютеру, получаемого с помощью средств удаленного администрирования, и реализующая его система
CN117134999B (zh) 一种边缘计算网关的安全防护方法、存储介质及网关
JP2019192197A (ja) ユーザとバンキングサービスとのインタラクション中に新規デバイスを識別するシステムおよび方法
EP3674942A1 (en) System and method of identifying fraudulent activity from a user device using a chain of device fingerprints
ATHISHA et al. Detection Of Dynamic Vulnerabilites In Hadoop Systems For Controlling The Fuzzy Adaptive Security Profiles (FASP)
EP3306508A1 (en) System and method for performing secure online banking transactions