RU2722693C1 - Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника - Google Patents
Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника Download PDFInfo
- Publication number
- RU2722693C1 RU2722693C1 RU2020103269A RU2020103269A RU2722693C1 RU 2722693 C1 RU2722693 C1 RU 2722693C1 RU 2020103269 A RU2020103269 A RU 2020103269A RU 2020103269 A RU2020103269 A RU 2020103269A RU 2722693 C1 RU2722693 C1 RU 2722693C1
- Authority
- RU
- Russia
- Prior art keywords
- infrastructure
- infrastructure element
- parameter
- cyber
- attacker
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности выявления компьютерных атак. Предлагается компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника, в котором: получают запрос, содержащий элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику; извлекают из базы данных параметр полученного элемента инфраструктуры, дополнительный элемент инфраструктуры, используемый той же вредоносной программой, что и полученный элемент инфраструктуры, и параметр дополнительного элемента инфраструктуры; анализируют полученный элемент инфраструктуры и взаимосвязанный с ним параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним параметр; на основе анализа выявляют статистические связи между параметром полученного элемента инфраструктуры и параметром дополнительного элемента инфраструктуры; формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи и извлекают из базы данных новые элементы инфраструктуры; присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных. 2 н. и 8 з.п. ф-лы, 2 ил.
Description
ОБЛАСТЬ ТЕХНИКИ
Настоящее техническое решение относится к области вычислительной техники, в частности, к способу и системе выявления инфраструктуры вредоносной программы или киберзлоумышленника.
УРОВЕНЬ ТЕХНИКИ
Из уровня техники известно решение RU2523114C2 (МПК G06F21/51, опубл. 20.07.2014), описывающее способ обнаружения узлов-посредников в вычислительной сети, через которое распространяется вредоносное ПО, при этом узлы-посредники подключены к сети Интернет, к которой также подключены вредоносные узлы. В данном способе используется комплекс вычислительных средств, сервисы выяснения маршрута следования трафика в сети, сервис WHOIS доступа к регистрационной информации о владельце домена или IP-адреса с последующим построением графа распространения вредоносного ПО от вредоносного сайта по информационным каналам связи, выполняют оценку интенсивности использования канала связи для распространения вредоносного ПО, выявляют и блокируют промежуточный узел-посредник, используемый для неправомерных действий, дополнительно предусмотрена разблокировка узла-посредника, если со временем значительно снижается интенсивность распространения вредоносного ПО или перестает представлять угрозу сайт, который непосредственно содержал вредоносное ПО. Данное решение осуществляет построение графов маршрутов трафика и ищет в нем вредоносных "посредников".
В заявленном решении не осуществляют анализ маршрутов трафика, а также сервис WHOIS, Traceroot используют только чтобы проверить связь с уже известными вредоносными узлами.
Из уровня техники известно решение US20080244744A1 (МПК G06F21/00, опубл. 02.10.2008), описывающее способ отслеживания трафика, поступающего на веб-сайт через сеть компьютеров, и идентификацию по меньшей мере одного правила из трафика, подключенного к сети компьютеров, для определения вредоносного хоста, подключенного к сети компьютеров. Способ включает в себя ассоциирование первого IP-адреса и первого аппаратного отпечатка с утверждениями вредоносного хоста и сохранение информации, связанной с вредоносным хостом, по меньшей мере одной ячейке памяти базы данных. Способ также включает в себя идентификацию неизвестного хоста со второго веб-сайта, определение второго IP-адреса и второго аппаратного отпечатка с неизвестным хостом и определение, является ли неизвестный хост вредоносным хостом. Данное решение осуществляет мониторинг трафика и на выходе получают список вредоносных отпечатков, с которыми сравниваются новые хосты.
В заявленном решении не осуществляют анализ маршрутов трафика и на выходе получают правило. И именно в этом правиле основная ценность. Каждое новое правило позволит детектировать вредоносную инфраструктуру. Причём и ту, что работает сейчас, и ту, что работала год назад, а потом была выключена навсегда, и даже ту, что ещё не существует, а ещё только планируется злоумышленником (потому что он, собирая её, снова «засветит» свои предпочтения, которые учитывает правило).
Из уровня техники также известно решение RU2634209C1 (МПК G06F 21/55, опубл. 24.10.2017), описывающее способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью, выполняемый на сервере. При этом способ включает, по крайней мере, следующие шаги: получают, по крайней мере, одно событие из базы данных событий, сформированной данными, полученными от, по крайней мере, одного сенсора; анализируют полученное, по крайней мере, одно событие на принадлежность к классу взаимодействия с центрами управления вредоносных программ; извлекают из, по крайней мере, одного вышеупомянутого события, относящегося к классу взаимодействия с центрами управления вредоносных программ, по крайней мере, один признак, используемый для формирования решающих правил; формируют решающие правила с использованием, по крайней мере, одного вышеупомянутого извлеченного признака; сохраняют сформированные решающие правила и предоставляют возможность получения обновления решающих правил для, по крайней мере, одного сенсора; сенсоры циклично проверяют доступность обновлений на центральном узле и при наличии обновлений получают их для использования, при этом в случае получения обновлений на сенсорах срабатывает триггер, осуществляющий перезагрузку решающих правил. Данное решение осуществляет формирование решающего правила по трафику и в нем ищет признаки вредоносных программ.
В заявленном решении, как уже указывалось выше, трафик совсем не анализируется и про признаки из трафика ничего не известно. Это самое важное отличие заявленного решения от известных из уровня техники.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
Технической проблемой, на решение которой направлено заявленное техническое решение, является создание компьютерно-реализуемого способа и системы выявления инфраструктуры вредоносной программы или киберзлоумышленника, которые охарактеризованы в независимых пунктах формулы. Дополнительные варианты реализации настоящего изобретения представлены в зависимых пунктах изобретения.
Технический результат заключается в повышение эффективности выявления компьютерных атак.
Заявленный результат достигаются за счет осуществления компьютерно-реализуемого способа выявления инфраструктуры вредоносной программы или киберзлоумышленника, содержащий этапы, на которых:
• получают запрос, содержащий по меньшей мере один элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлекают из базы данных по меньшей мере один параметр полученного элемента инфраструктуры, по меньшей мере один дополнительный элемент инфраструктуры, используемый той же вредоносной программой или киберзлоумышленником, что и полученный элемент инфраструктуры, и по меньшей мере один параметр по меньшей мере одного дополнительного элемента инфраструктуры;
• анализируют полученный по меньшей мере один элемент инфраструктуры и взаимосвязанный с ними по меньшей мере один параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним по меньшей мере один параметр;
• на основе анализа выявляют статистические связи между по меньшей мере одним параметром по меньшей мере одного полученного элемента инфраструктуры и по меньшей мере одним параметром по меньшей мере одного дополнительного элемента инфраструктуры;
• формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи;
• извлекают, посредством сформированного правила, из базы данных новые элементы инфраструктуры;
• присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных.
В частном варианте параметрами элементов инфраструктуры вредоносной программы или киберзлоумышленника является по меньшей мере одно из:
i. IP-адрес;
ii. доменное имя;
iii. SSL-сертификат;
iv. сервер;
v. веб-сервис;
vi. адрес электронной почты;
vii. номер телефона.
В другом частном варианте базу данных постоянно пополняют данными, получаемыми при сканировании интернета.
В другом частном варианте сканирование интернета осуществляют посредством по меньшей мере одного сканера уязвимостей.
В другом частном варианте в качестве тэга используется условное или общепринятое название вредоносной программы или киберзлоумышленника.
В другом частном варианте запрос, содержащий по меньшей мере один элемент инфраструктуры, получают по меньшей мере из одного из следующих источников:
i. «песочница»;
ii. платформа детонации вредоносного ПО;
iii. сканер уязвимостей;
iv. honeypot;
v. система обнаружения вторжений;
vi. система быстрого реагирования на инциденты кибербезопасности.
В другом частном варианте выявление статистических связей выполняется с помощью алгоритмов машинного обучения.
В другом частном варианте статистическая связь представляет собой по меньшей мере два параметра, объединённые по меньшей мере одной логической операцией, причём каждый из параметров принадлежит по меньшей мере двум различным элементам инфраструктуры.
В другом частном варианте сформированные правила сохраняют и предоставляют возможность получения обновления правил.
Заявленный результат также достигается за счет системы выявления инфраструктуры вредоносной программы или киберзлоумышленника, включающая следующие модули:
модуль базы данных, выполненный с возможностью:
• хранения элементов инфраструктуры, параметров элементов инфраструктуры и тэгов о принадлежности данных элементов вредоносным программам или киберзлоумышленникам;
модуль обработки запросов, выполненный с возможностью:
• получения запроса, содержащего по меньшей мере один элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлечения из запроса информацию об элементе инфраструктуры вредоносной программы или киберзлоумышленника, а также информацию о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
модуль извлечения данных, выполненный с возможностью:
• получения от модуля обработки запросов по меньшей мере одного элемента инфраструктуры, принадлежащего вредоносной программе или киберзлоумышленнику, а также тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлечения из базы данных по меньшей мере одного параметра полученного элемента инфраструктуры, по меньшей мере одного дополнительного элемента инфраструктуры, используемого той же вредоносной программой или киберзлоумышленником, что и полученный элемент инфраструктуры, и по меньшей мере одного параметра по меньшей мере одного дополнительного элемента инфраструктуры;
• извлечения, посредством сформированного в аналитическом модуле правила, из базы данных новых элементы инфраструктуры;
• присвоения новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохранения результатов в базе данных;
аналитический модуль, выполненный с возможностью:
• анализа, полученного по меньшей мере одного элемента инфраструктуры и взаимосвязанного с ними по меньшей мере одного параметра и дополнительного элемента инфаструктуры и взаимосвязанного с ним по меньшей мере одного параметра;
• на основе анализа выявления статистических связей между по меньшей мере одним параметром по меньшей мере одного полученного элемента инфраструктуры и по меньшей мере одним параметром по меньшей мере одного дополнительного элемента инфаструктуры,
• формирования правила поиска новых элементов инфраструктуры на основании выявленной статистической связи.
ОПИСАНИЕ ЧЕРТЕЖЕЙ
Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:
Фиг. 1 иллюстрирует компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника;
Фиг. 2 иллюстрирует пример общей схемы компьютерного устройства.
ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ
В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.
Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.
Ниже будут описаны термины и понятия, необходимые для осуществления настоящего технического решения.
Под инфраструктурой вредоносной программы или киберзлоумышленника понимаются используемые при работе вредоносной программы или деятельности киберзлоумышленника: IP-адреса, доменные имена, SSL-сертификаты, серверы (специализированное программное обеспечение) и веб-сервисы, адреса электронной почты, номера телефонов.
Под параметрами элемента инфраструктуры понимаются те параметры, которые присущи каждому элементу инфраструктуры данного типа. Например, параметрами, характеризующими такой элемент инфраструктуры, как веб-сервис, являются номер порта, на котором запущен данный сервис, дата и время его запуска, а также дата и время его остановки.
Некоторые параметры специфичны для элементов конкретного типа, как, например, название компании-регистратора является специфичным для параметра типа «доменное имя». Другие параметры могут быть сложными, то есть в свою очередь дополнительно характеризоваться несколькими параметрами. Так, например, такой специфичный параметр элемента «IP-адрес», как хостинг-провайдер, дополнительно характеризуется географическим местонахождением, совокупностью веб-сервисов и серверов, доступных клиентам хостинг-провайдера, диапазоном IP-адресов, принадлежащих данному хостинг-провайдеру и т.д.
Под статистической связью между элементами инфраструктуры понимается арифметическое, логическое или иное соответствие, позволяющее на основании известных соотношений между параметрами однотипных элементов инфраструктуры обнаружить в базе данных ещё один однотипный элемент инфраструктуры, одноимённые параметры которого связаны с параметрами известных элементов тем же соотношением.
Например, известны IP-адреса 11.22.33.44 и 55.66.77.88, выданные хостинг-провайдером Provider, LLC в один день, 11.11.2011, клиенту с контактным адресом client@mail.com и контактным номером телефона +1(099)100-100-10. Статистической связью между этими двумя IP-адресами и третьим IP-адресом 99.00.22.11, выданным в какой-то другой день, например, 12.12.2012, является то, что они выданы тем же хостинг-провайдером Provider, LLC клиенту с тем же контактным адресом client@mail.com, но другим контактным номером телефона +1(059)200-200-20.
Под правилом поиска новых элементов инфраструктуры понимается решающее правило, способное отобрать в базе данных известной структуры те вхождения, которые удовлетворяют заданным условиям, например, все IP-адреса, выданные указанным хостинг-провайдером в один день. Правило может быть реализовано как скрипт, регулярное выражение, как классификатор, обученный средствами машинного обучения, и т.д. Настоящее изобретение направлено на обеспечение компьютерно-реализуемого способа и системы выявления инфраструктуры вредоносной программы или киберзлоумышленника.
Как представлено на Фиг. 1, заявленный компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника (100) реализован следующим образом:
На этапе (101) получают запрос, содержащий по меньшей мере один элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику.
Элементами инфраструктуры могут быть, например, IP-адрес, доменное имя, SSL-сертификат, сервер, веб-сервис, адрес электронной почты, номер телефона. В качестве информации о принадлежности данного элемента к вредоносной программе или киберзлоумышленнику может использоваться условное или общепринятое название вредоносной программы или киберзлоумышленника, например, вредоносная программа Zeus.
Указанная выше информация поступает в модуль обработки запросов, выполненный с возможностью извлечения такой информации. Модуль обработки запросов связывается с источниками запросов, от которых такие запросы поступают, по проводной и\или беспроводной связи.
Источниками входящих запросов могут являться, например, но не ограничиваясь, «песочница» (специально выделенная среда для безопасного исполнения программ) или платформа детонации вредоносного ПО, сканер уязвимостей, honeypot (ресурс-приманка для киберзлоумышленника) различных разновидностей, система обнаружения вторжений, система быстрого реагирования на инциденты кибербезопасности.
Именно посредством сканера уязвимостей осуществляется снятие отпечатков с сервисов, поднятых на портах удалённых серверов. Собственно, сканер уязвимостей может быть реализован любым общеизвестным образом.
Все перечисленные программы и системы могут располагаться как внутри одной интранет-сети с системой, реализующей способ, так и на удалённых серверах, с обеспечением связи между ними по интернету.
Также источниками запросов могут быть системы центров быстрого реагирования на инциденты кибербезопасности, CERT (Computer Emergency Response Team), автоматически сообщающие о вредоносной активности в контролируемых сетях, удалённые компьютеры, владельцы которых присылают на указанный адрес электронной почты сведения об обнаружении на их компьютере вредоносных программ, мобильные телефоны, владельцы которых присылают на указанный для связи номер SMS или MMS, содержащие сведения о работе вредоносной программы и т.д.
Также источником входящих запросов может быть оператор системы, получающий соответствующую информацию по телефону или электронной почте и вводящий её в интерфейсе модуля обработки входящих запросов.
Модуль обработки запросов извлекает из запроса информацию об элементе инфраструктуры вредоносной программы или киберзлоумышленника, а также информацию о принадлежности элемента, и передаёт её модулю извлечения данных.
Например, от «песочницы» поступил запрос, содержащий информацию о том, что вредоносная программа Zeus отправляет данные с зараженного компьютера на сервер с доменом bad-domain.com, причём у этого домена текущий IP-адрес 11.22.33.44. Модуль обработки запросов извлекает из запроса перечисленную информацию и передаёт модулю извлечения данных доменное имя bad-domain.com, снабжённое тэгом Zeus и IP-адрес 11.22.33.44, снабжённый тэгом Zeus. На этом первый этап завершается.
Далее на этапе (102) извлекают из базы данных по меньшей мере один параметр полученного элемента инфраструктуры, по меньшей мере один дополнительный элемент инфраструктуры, используемый той же вредоносной программой или киберзлоумышленником, что и полученный элемент инфраструктуры, и по меньшей мере один параметр по меньшей мере одного дополнительного элемента инфраструктуры.
Модуль извлечения данных, выполненный с возможностью связи с модулем обработки запросов, с аналитическим модулем и с базой данных, получает от модуля обработки запросов по меньшей мере один элемент инфраструктуры, принадлежащий вредоносной программе или киберзлоумышленнику, а также информацию о принадлежности данного элемента определённой программе или киберзлоумышленнику (тэг).
Модуль извлечения данных выполняет поиск в базе данных всех записей, содержащих данный элемент инфраструктуры, а также данный тэг.
База данных, а также поиск в ней могут быть реализованы любым известным образом, например, так, как это описано в патенте RU2681699. Аналогично описанному в патенте способу, информация в базе данных может быть структурирована в виде таблицы, демонстрирующей взаимосвязь между, по меньшей мере, следующими параметрами таким образом, что каждому элементу инфраструктуры, например, доменному имени, соответствует, например, по меньшей мере один из следующих параметров: тэг, IP-адрес, SSL-ключ, SSH-отпечаток, список работающих сервисов, история работающих сервисов, история доменных имен, история IP-адресов, история DNS-серверов, история владельцев доменного имени или IP-адреса.
Параметры также могут включать ресурсные записи DNS, которые представляют собой записи о соответствии имени и служебной информации в системе доменных имен.
Данные могут храниться в одной или нескольких базах либо таблицах. В целом поиск осуществляется традиционными способами: одним или многими запросами к этим базам/таблицам и поиском пересечений между результатами.
Например, в результате поиска доменного имени bad-domain.com в базе данных ничего не найдено, в ходе поиска адреса IP-адреса 11.22.33.44 в базе данных ничего не найдено, а в ходе поиска тэга Zeus в базе данных найден IP-адрес 55.66.77.88, также помеченный ранее этим тэгом.
На этом данный этап завершается, и модуль извлечения данных переходит к выполнению следующего этапа.
Модуль извлечения данных извлекает из базы данных все параметры, имеющие взаимосвязь с найденными в базе данных элементами инфраструктуры.
В рассматриваемом примере для найденного в базе данных IP-адреса 55.66.77.88 будут, например, извлечены: доменное имя another-bad-domain.net, название владельца данного IP-адреса - Provider, LLC, название регистратора данного доменного имени - Registrar, LLC, дата выдачи данного IP-адреса - 11.11.2011, дата регистрации данного доменного имени - 22.12.2011, контактный адрес электронной почты клиента, которому был выдан данный IP-адрес - client@mail.com и контактный номер телефона клиента: +1(099)100-100-10.
Если какие-либо элементы инфраструктуры не были найдены в базе данных на втором этапе, то модуль извлечения данных извлекает параметры, ассоциированные с такими элементами инфраструктуры, из доступных онлайн-источников. Это может быть выполнено при помощи, например, онлайн-службы «Whois» или любой известной программы соответствующего назначения, например, программы «nslookup».
В этом случае модуль извлечения данных может, например, автоматически направлять соответствующий поисковый запрос в онлайн-службу «Whois» и извлекать необходимые сведения из ответа онлайн-службы «Whois» или из веб-страницы с результатами выполнения поискового запроса. Последнее может быть выполнено путем использования, например, специального парсера, встроенного в модуль извлечения данных и анализирующего, например, текст ответа онлайн-службы «Whois» или html-код указанной веб-страницы.
В данном примере описанным образом для IP-адреса 11.22.33.44 и доменного имени bad-domain.com могут быть извлечены: название владельца данного IP-адреса - Provider, LLC, название регистратора данного доменного имени -- AnotherRegistrar, LLC, дата выдачи данного IP-адреса - 11.11.2011, дата регистрации данного доменного имени - 23.12.2011, контактный адрес электронной почты клиента, которому был выдан данный IP-адрес - anotherclient@mail.com и контактный номер телефона клиента: +1(099)300-300-30.
Эти параметры модуль извлечения данных сохраняет в базе данных с сохранением указания на взаимосвязь между названными параметрами, IP-адресом 11.22.33.44, доменным именем bad-domain.com, тэгом Zeus, а также датой поступления указанных элементов инфраструктуры и источника, из которого они поступили (в данном случае - идентификатора той «песочницы», где в рассматриваемом примере была обнаружена активность вредоносной программы Zeus).
Затем модуль извлечения данных передаёт аналитическому модулю найденные элементы инфраструктуры и взаимосвязанные с ними параметры.
И на этапе (103) анализируют полученный по меньшей мере один элемент инфраструктуры и взаимосвязанный с ними по меньшей мере один параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним по меньшей мере один параметр.
В данном примере аналитическому модулю будут переданы доменные имена bad-domain.com и another-bad-domain.net, IP-адреса 11.22.33.44 и 55.66.77.88, названия владельцев данного IP-адреса (в нашем примере они совпадают), названия регистраторов доменного имени -- Registrar, LLC и AnotherRegistrar, LLC, даты выдачи каждого IP-адреса (в нашем примере это одна дата), даты регистрации каждого доменного имени, 22.12.2011 и 23.12.2011, контактные адреса электронной почты клиента, контактные номера телефонов, а также тэг Zeus. На этом выполнение данного этапа завершается.
На этапе (104) на основе анализа выявляют статистические связи между по меньшей мере одним параметром по меньшей мере одного полученного элемента инфраструктуры и по меньшей мере одним параметром по меньшей мере одного дополнительного элемента инфраструктуры.
Аналитический модуль, выполненный с возможностью связи с модулем извлечения данных и модулем построения правил, получает от модуля извлечения данных элементы инфраструктуры и взаимосвязанные с ними параметры.
На основании этих данных аналитический модуль выстраивает статистические связи, то есть арифметические, логические или иные соответствия, позволяющее на основании известных соотношений между параметрами однотипных элементов инфраструктуры обнаружить в базе данных ещё как минимум один однотипный элемент инфраструктуры, одноимённые параметры которого связаны с параметрами известных элементов тем же самым соотношением.
Например, аналитический модуль обнаружит, что:
- у полученных IP-адресов один и тот же владелец, Provider, LLC,
- оба IP-адреса выданы в один и тот же день, 11.11.2011,
- контактные адреса электронной почты клиента, хотя и принадлежат разным учётным записям, client@mail.com и anotherclient@mail.com, зарегистрированы на одном и том же почтовом сервере mail.com.
Соответственно, выявленная статистическая связь, в данном примере, может быть записана следующим простым логическим выражением:
ВЛАДЕЛЕЦ_IP-АДРЕСА=”Provider,LLC”_^_ДЕНЬ_ВЫДАЧИ_IP-АДРЕСА=”11.11.2011”_^_EMAIL_КЛИЕНТА=”*@mail.com”,
где ^ - оператор конъюнкции, логическое «И», * - так называемый символ-джокер, означающий, что на его месте может быть любое количество любых символов, идущих подряд без пробела.
В дальнейшем под признаками статистической связи будут пониматься те элементы инфраструктуры или параметры элементов инфраструктуры, сочетание которых позволяет построить выявленную статистическую связь.
В вышеприведённом примере это название компании-владельца (провайдера) IP-адресов, день выдачи IP-адреса и часть адреса электронной почты клиента.
Приведённый пример достаточно прост сам по себе, в более сложном примере аналитическому модулю может быть передан для анализа список из нескольких сотен IP-адресов, зарегистрированных в разное время у разных провайдеров и не связанных с повторяющимися или похожими доменными именами, а также взаимосвязанный с каждым из этих IP-адресов список работающих сервисов и список истории работающих сервисов. В ходе анализа подобных данных аналитическим модулем может быть выявлена более сложная статистическая связь. Например, может быть выявлен тот факт, что на каждом из этих IP-адресов по крайней мере один раз был запущен HTTP-сервер Apache, который проработал 48 часов и был остановлен, а сразу же после его останова на том же IP-адресе был запущен e-mail сервер CommuniGate Pro версии 5.1 c поддержкой API-интерфейса XIMSS.
Описанное выявление статистических связей может выполняться с помощью алгоритмов машинного обучения.
После выявления всех статистических связей выполнение данного этапа завершается, и аналитический модуль переходит к выполнению следующего этапа. Также в одной из возможных альтернативных реализаций аналитический модуль может передавать модулю извлечения данных сведения о выявленной статистической связи.
На этапе (105) формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи.
На данном этапе аналитический модуль строит, на основании выявленных признаков статистических связей, правило поиска новых элементов инфраструктуры.
В альтернативном варианте реализации новое правило поиска элементов инфраструктуры строит модуль извлечения данных на основании сведений о выявленных статистических связях, полученных от аналитического модуля.
В основе правила лежит набор признаков, применительно к которым на предыдущем этапе было обнаружено, что совокупно они составляют выявленную статистическую связь. Само по себе правило представляет собой такой набор признаков, описанных на некотором формальном псевдоязыке.
В качестве неограничивающих примеров формального псевдоязыка могут быть названы SQL, Python и т.д.
Данные, как было отмечено выше, могут храниться в одной или нескольких базах/таблицах. Поиск осуществляется одним или многими запросами к этим базам/таблицам и поиском пересечений между результатами.
Если правило написано на один признак, например, на отпечаток специфического сервиса, такого как e-mail сервер CommuniGate Pro версии 5.1, то поиск будет проходить по одной базе/таблице, в которой хранятся именно отпечатки различных сервисов.
Если правило сложное и содержит признаки доменов, сертификатов, и так далее, то запросы будут делаться к разным базам/таблицам и потом будут искаться пересечения между результатами.
Например, по сложному правилу может проводиться поиск всех доменов, зарегистрированных регистратором АААА, у каждого из которых (доменов) имеется сертификат, выпущенный компанией ББББ, а также у каждого из которых (доменов) когда-либо существовал IP-адрес, на котором когда-либо был запущен HTTP-сервер Apache.
Новое правило аналитический модуль передаёт модулю извлечения данных, и на этом выполнение данного этапа завершается.
В том случае, если новое правило поиска элементов инфраструктуры строил модуль извлечения данных, он непосредственно переходит к выполнению следующего этапа.
На этапе (106) извлекают, посредством сформированного правила, из базы данных новые элементы инфраструктуры.
Модуль извлечения данных выполняет поиск в базе данных всех записей, удовлетворяющих условиям, описанным новым правилом поиска.
В рассматриваемом примере, в результате поиска в базе данных может быть обнаружен новый IP-адрес 99.00.22.11, не имеющий тэга Zeus, но выданный тем же хостинг-провайдером Provider, LLC, клиенту с контактным адресом thirdclient@mail.com в тот же день 11.11.2011, что и предыдущие два IP-адреса, отмеченные тэгом Zeus.
На этом выполнение данного этапа завершается.
На этапе (107) присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных.
В этом случае модуль извлечения данных присваивает найденному IP-адресу 99.00.22.11 тэг Zeus и сохраняет результат в базе данных. Таким образом оказывается обнаружен новый элемент инфраструктуры, используемый данной вредоносной программой.
Следует отметить, что подобный алгоритм позволяет обнаружить «спящие», то есть уже созданные, но пока до сих пор ни разу не использовавшиеся элементы инфраструктуры вредоносных программ или киберзлоумышленников.
В представленном примере, найденный IP-адрес 99.00.22.11 и связанное с ним доменное имя могли быть заблаговременно созданы разработчиками вредоносной программы Zeus, однако до описанного момента остаются не обнаруженными какими-либо средствами обеспечения кибербезопасности, поскольку вредоносная программа ещё ни разу не обращалась к этому серверу.
Вне прямой связи с вышеописанными шагами также постоянно ведётся пополнение базы данных, упомянутой выше. Для пополнения выполняются следующие действия.
Постоянно осуществляют сканирование интернета и снимают отпечатки запущенных сервисов на открытых портах. Вместе с этим собирают данные о доменах, которые связаны с найденными серверами.
Снятие отпечатков с сервисов, запущенных на портах удалённых серверов, выполняется посредством сканера уязвимостей, который может быть реализован любым общеизвестным образом.
Результаты сканирования упорядочиваются и помещаются в базу данных.
На Фиг. 2 далее будет представлена общая схема компьютерного устройства (200), обеспечивающего обработку данных, необходимую для реализации заявленного решения.
В общем случае устройство (200) содержит такие компоненты, как: один или более процессоров (201), по меньшей мере одну память (202), средство хранения данных (203), интерфейсы ввода/вывода (204), средство В/В (205), средства сетевого взаимодействия (206).
Процессор (201) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (200) или функциональности одного или более его компонентов. Процессор (201) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (202).
Память (202), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемый функционал.
Средство хранения данных (203) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п. Средство (203) позволяет выполнять долгосрочное хранение различного вида информации, например, вышеупомянутых файлов с наборами данных пользователей, базы данных, содержащих записи измеренных для каждого пользователя временных интервалов, идентификаторов пользователей и т.п.
Интерфейсы (204) представляют собой стандартные средства для подключения и работы с серверной частью, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, FireWire и т.п.
Выбор интерфейсов (204) зависит от конкретного исполнения устройства (N00), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.
В качестве средств В/В данных (205) в любом воплощении системы, реализующей описываемый способ, должна использоваться клавиатура. Аппаратное исполнение клавиатуры может быть любым известным: это может быть, как встроенная клавиатура, используемая на ноутбуке или нетбуке, так и обособленное устройство, подключенное к настольному компьютеру, серверу или иному компьютерному устройству. Подключение при этом может быть, как проводным, при котором соединительный кабель клавиатуры подключен к порту PS/2 или USB, расположенному на системном блоке настольного компьютера, так и беспроводным, при котором клавиатура осуществляет обмен данными по каналу беспроводной связи, например, радиоканалу, с базовой станцией, которая, в свою очередь, непосредственно подключена к системному блоку, например, к одному из USB-портов. Помимо клавиатуры, в составе средств В/В данных также может использоваться: джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.
Средства сетевого взаимодействия (206) выбираются из устройства, обеспечивающий сетевой прием и передачу данных, например, Ethernet карту, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средств (205) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.
Компоненты устройства (200) сопряжены посредством общей шины передачи данных (210).
В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.
Claims (44)
1. Компьютерно-реализуемый способ выявления инфраструктуры вредоносной программы или киберзлоумышленника, содержащий этапы, на которых:
• получают запрос, содержащий по меньшей мере один элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлекают из базы данных по меньшей мере один параметр полученного элемента инфраструктуры, по меньшей мере один дополнительный элемент инфраструктуры, используемый той же вредоносной программой или киберзлоумышленником, что и полученный элемент инфраструктуры, и по меньшей мере один параметр по меньшей мере одного дополнительного элемента инфраструктуры;
• анализируют полученный по меньшей мере один элемент инфраструктуры и взаимосвязанный с ним по меньшей мере один параметр и дополнительный элемент инфраструктуры и взаимосвязанный с ним по меньшей мере один параметр;
• на основе анализа выявляют статистические связи между по меньшей мере одним параметром по меньшей мере одного полученного элемента инфраструктуры и по меньшей мере одним параметром по меньшей мере одного дополнительного элемента инфраструктуры;
• формируют правила поиска новых элементов инфраструктуры на основании выявленной статистической связи;
• извлекают, посредством сформированного правила, из базы данных новые элементы инфраструктуры;
• присваивают новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохраняют результаты в базе данных.
2. Способ по п.1, характеризующийся тем, что параметрами элементов инфраструктуры вредоносной программы или киберзлоумышленника является по меньшей мере одно из:
i. IP-адрес;
ii. доменное имя;
iii. SSL-сертификат;
iv. сервер;
v. веб-сервис;
vi. адрес электронной почты;
vii. номер телефона.
3. Способ по п.1, характеризующийся тем, что базу данных постоянно пополняют данными, получаемыми при сканировании интернета.
4. Способ по п.3, характеризующийся тем, что сканирование интернета осуществляют посредством по меньшей мере одного сканера уязвимостей.
5. Способ по п.1, характеризующийся тем, что в качестве тэга используется условное или общепринятое название вредоносной программы или киберзлоумышленника.
6. Способ по п.1, характеризующийся тем, что запрос, содержащий по меньшей мере один элемент инфраструктуры, получают по меньшей мере из одного из следующих источников:
i. «песочница»;
ii. платформа детонации вредоносного ПО;
iii. сканер уязвимостей;
iv. honeypot;
v. система обнаружения вторжений;
vi. система быстрого реагирования на инциденты кибербезопасности.
7. Способ по п.1, характеризующийся тем, что выявление статистических связей выполняется с помощью алгоритмов машинного обучения.
8. Способ по п.1, характеризующийся тем, что статистическая связь представляет собой по меньшей мере два параметра, объединённые по меньшей мере одной логической операцией, причём каждый из параметров принадлежит по меньшей мере двум различным элементам инфраструктуры.
9. Способ по п.1, характеризующийся тем, что сформированные правила сохраняют и предоставляют возможность получения обновления правил.
10. Система выявления инфраструктуры вредоносной программы или киберзлоумышленника, включающая следующие модули:
модуль базы данных, выполненный с возможностью:
• хранения элементов инфраструктуры, параметров элементов инфраструктуры и тэгов о принадлежности данных элементов вредоносным программам или киберзлоумышленникам;
модуль обработки запросов, выполненный с возможностью:
• получения запроса, содержащего по меньшей мере один элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлечения из запроса информации об элементе инфраструктуры вредоносной программы или киберзлоумышленника, а также информации о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
модуль извлечения данных, выполненный с возможностью:
• получения от модуля обработки запросов по меньшей мере одного элемента инфраструктуры, принадлежащего вредоносной программе или киберзлоумышленнику, а также тэга о принадлежности данного элемента вредоносной программе или киберзлоумышленнику;
• извлечения из базы данных по меньшей мере одного параметра полученного элемента инфраструктуры, по меньшей мере одного дополнительного элемента инфраструктуры, используемого той же вредоносной программой или киберзлоумышленником, что и полученный элемент инфраструктуры, и по меньшей мере одного параметра по меньшей мере одного дополнительного элемента инфраструктуры;
• извлечения, посредством сформированного в аналитическом модуле правила, из базы данных новых элементов инфраструктуры;
• присвоения новым элементам тэги, соответствующие определенным вредоносным программам или киберзлоумышленникам, и сохранения результатов в базе данных;
аналитический модуль, выполненный с возможностью:
• анализа полученного по меньшей мере одного элемента инфраструктуры и взаимосвязанного с ними по меньшей мере одного параметра и дополнительного элемента инфраструктуры и взаимосвязанного с ним по меньшей мере одного параметра;
• на основе анализа выявления статистических связей между по меньшей мере одним параметром по меньшей мере одного полученного элемента инфраструктуры и по меньшей мере одним параметром по меньшей мере одного дополнительного элемента инфраструктуры;
• формирования правила поиска новых элементов инфраструктуры на основании выявленной статистической связи.
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020103269A RU2722693C1 (ru) | 2020-01-27 | 2020-01-27 | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
PCT/RU2020/000044 WO2021154114A1 (ru) | 2020-01-27 | 2020-01-31 | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
EP20916300.5A EP3961448A4 (en) | 2020-01-27 | 2020-01-31 | METHOD AND SYSTEM FOR DETECTING INFRASTRUCTURE OF MALICIOUS PROGRAM OR CYBER CRIMINAL |
SG11202112145PA SG11202112145PA (en) | 2020-01-27 | 2020-01-31 | Method and system for malware or cybercriminal infrastructure detection |
US17/528,633 US20220075872A1 (en) | 2020-01-27 | 2021-11-17 | Method and system for detecting malicious infrastructure |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2020103269A RU2722693C1 (ru) | 2020-01-27 | 2020-01-27 | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2722693C1 true RU2722693C1 (ru) | 2020-06-03 |
Family
ID=71067776
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2020103269A RU2722693C1 (ru) | 2020-01-27 | 2020-01-27 | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220075872A1 (ru) |
EP (1) | EP3961448A4 (ru) |
RU (1) | RU2722693C1 (ru) |
SG (1) | SG11202112145PA (ru) |
WO (1) | WO2021154114A1 (ru) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2761542C1 (ru) * | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
RU2781822C1 (ru) * | 2021-04-30 | 2022-10-18 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
WO2022231480A2 (ru) | 2021-04-30 | 2022-11-03 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
NL2031466A (en) | 2021-06-10 | 2022-12-19 | Group Ib Tds Ltd | System and method for active detection of malicious network resources |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887307A (zh) * | 2021-01-26 | 2021-06-01 | 山西三友和智慧信息技术股份有限公司 | 一种恶意web基础设施检测方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110083180A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
US8635700B2 (en) * | 2011-12-06 | 2014-01-21 | Raytheon Company | Detecting malware using stored patterns |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
RU2681699C1 (ru) * | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
Family Cites Families (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
KR100469610B1 (ko) * | 2004-04-08 | 2005-02-02 | 엔에이치엔(주) | 불량 사용자 표시가 가능한 인터넷 게임 서비스 시스템 및그 시스템에서의 불량 사용자 표시 방법 |
US8176178B2 (en) | 2007-01-29 | 2012-05-08 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
US8677472B1 (en) * | 2011-09-27 | 2014-03-18 | Emc Corporation | Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server |
RU2523114C2 (ru) | 2012-04-06 | 2014-07-20 | Закрытое акционерное общество "Лаборатория Касперского" | Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников |
US9578042B2 (en) * | 2015-03-06 | 2017-02-21 | International Business Machines Corporation | Identifying malicious web infrastructures |
US9967265B1 (en) * | 2015-09-29 | 2018-05-08 | EMC IP Holding Company LLC | Detecting malicious online activities using event stream processing over a graph database |
US10033757B2 (en) * | 2016-06-09 | 2018-07-24 | Rapid7, Inc. | Identifying malicious identifiers |
US10574681B2 (en) * | 2016-09-04 | 2020-02-25 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of known and unknown malicious domains |
US10728261B2 (en) * | 2017-03-02 | 2020-07-28 | ResponSight Pty Ltd | System and method for cyber security threat detection |
EP3593508A4 (en) * | 2017-03-10 | 2020-02-26 | Visa International Service Association | IDENTIFICATION OF MALICIOUS NETWORK DEVICES |
US10855700B1 (en) * | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10862907B1 (en) * | 2017-08-07 | 2020-12-08 | RiskIQ, Inc. | Techniques for detecting domain threats |
US11500997B1 (en) * | 2018-09-20 | 2022-11-15 | Bentley Systems, Incorporated | ICS threat modeling and intelligence framework |
-
2020
- 2020-01-27 RU RU2020103269A patent/RU2722693C1/ru active
- 2020-01-31 WO PCT/RU2020/000044 patent/WO2021154114A1/ru unknown
- 2020-01-31 EP EP20916300.5A patent/EP3961448A4/en active Pending
- 2020-01-31 SG SG11202112145PA patent/SG11202112145PA/en unknown
-
2021
- 2021-11-17 US US17/528,633 patent/US20220075872A1/en active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
US20110083180A1 (en) * | 2009-10-01 | 2011-04-07 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
US8635700B2 (en) * | 2011-12-06 | 2014-01-21 | Raytheon Company | Detecting malware using stored patterns |
RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
RU2681699C1 (ru) * | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11356470B2 (en) | 2019-12-19 | 2022-06-07 | Group IB TDS, Ltd | Method and system for determining network vulnerabilities |
RU2761542C1 (ru) * | 2021-03-15 | 2021-12-09 | Акционерное общество "Лаборатория Касперского" | Система и способ формирования системы ресурсов-ловушек |
RU2781822C1 (ru) * | 2021-04-30 | 2022-10-18 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
WO2022231480A2 (ru) | 2021-04-30 | 2022-11-03 | Общество С Ограниченной Ответственностью "Варити+" | Система и способ автоматической оценки качества сигнатур сетевого трафика |
WO2022231480A3 (ru) * | 2021-04-30 | 2023-01-19 | Общество С Ограниченной Ответственностью "Варити+" | Система автоматической оценки качества сигнатур сетевого трафика |
US11985147B2 (en) | 2021-06-01 | 2024-05-14 | Trust Ltd. | System and method for detecting a cyberattack |
NL2031466A (en) | 2021-06-10 | 2022-12-19 | Group Ib Tds Ltd | System and method for active detection of malicious network resources |
US12088606B2 (en) | 2021-06-10 | 2024-09-10 | F.A.C.C.T. Network Security Llc | System and method for detection of malicious network resources |
Also Published As
Publication number | Publication date |
---|---|
US20220075872A1 (en) | 2022-03-10 |
EP3961448A4 (en) | 2023-01-18 |
SG11202112145PA (en) | 2021-12-30 |
WO2021154114A1 (ru) | 2021-08-05 |
EP3961448A1 (en) | 2022-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2722693C1 (ru) | Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника | |
US11343269B2 (en) | Techniques for detecting domain threats | |
US11025674B2 (en) | Cybersecurity profiling and rating using active and passive external reconnaissance | |
US20200389495A1 (en) | Secure policy-controlled processing and auditing on regulated data sets | |
US11223637B2 (en) | Detecting attacks on web applications using server logs | |
US10593004B2 (en) | System and methods for identifying compromised personally identifiable information on the internet | |
US12041091B2 (en) | System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling | |
CN111935192A (zh) | 网络攻击事件溯源处理方法、装置、设备和存储介质 | |
KR100619178B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
CN110099059A (zh) | 一种域名识别方法、装置及存储介质 | |
US12039084B2 (en) | Systems and methods for detecting and remedying theft of data | |
US12032601B2 (en) | Using access logs for network entities type classification | |
CN103067387B (zh) | 一种反钓鱼监测系统和方法 | |
US20150213272A1 (en) | Conjoint vulnerability identifiers | |
US20170206619A1 (en) | Method for managing violation incident information and violation incident management system and computer-readable recording medium | |
CN114969450B (zh) | 一种用户行为分析方法、装置、设备及存储介质 | |
US11985147B2 (en) | System and method for detecting a cyberattack | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
CN105763530A (zh) | 一种基于web的威胁情报采集系统及方法 | |
CN112261134B (zh) | 网络数据访问审计方法、装置、设备及存储介质 | |
KR100619179B1 (ko) | 인터넷 검색 엔진에 있어서의 무효 클릭 검출 방법 및 장치 | |
RU2740856C1 (ru) | Способ и система для идентификации кластеров аффилированных веб-сайтов | |
KR101709952B1 (ko) | 개인정보 점검 관리 서버 및 이를 이용한 개인정보 점검 관리 방법 | |
RU2791824C1 (ru) | Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса | |
US20240195841A1 (en) | System and method for manipulation of secure data |