RU2724782C1 - Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления - Google Patents

Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления Download PDF

Info

Publication number
RU2724782C1
RU2724782C1 RU2018145936A RU2018145936A RU2724782C1 RU 2724782 C1 RU2724782 C1 RU 2724782C1 RU 2018145936 A RU2018145936 A RU 2018145936A RU 2018145936 A RU2018145936 A RU 2018145936A RU 2724782 C1 RU2724782 C1 RU 2724782C1
Authority
RU
Russia
Prior art keywords
sites
site
statistical information
security
level
Prior art date
Application number
RU2018145936A
Other languages
English (en)
Inventor
Олег Олегович Михальский
Original Assignee
Общество с ограниченной ответственностью "САЙТСЕКЬЮР"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "САЙТСЕКЬЮР" filed Critical Общество с ограниченной ответственностью "САЙТСЕКЬЮР"
Priority to RU2018145936A priority Critical patent/RU2724782C1/ru
Application granted granted Critical
Publication of RU2724782C1 publication Critical patent/RU2724782C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Abstract

Настоящее изобретение относится к средствам оценки уровня безопасности веб-сайтов через выявления аномалий на множестве веб-сайтов. Техническим результатом является повышение уровня безопасности сайтов. Способ выявления аномалии для определенной группы сайтов в сети содержит этапы, на которых: получают параметры сайтов, которым требуется оценка уровня безопасности; формируют по крайней мере одно эвристическое правило на основании полученных параметров сайтов для мониторинга указанной группы сайтов; производят мониторинг каждого сайта из указанной группы сайтов, во время которого: периодически сканируется каждый сайт для сбора статистической информации как о контенте страниц сайтов, так и о подгружаемых объектах сайта, где периодичность сканирования зависит от настройки мониторинга; накапливается статистическая информация о каждом сайте на основании проведения периодического сканирования; сохраняется накапливаемая статистическая информация в базу данных, при этом показатели накапливаемой статистической информации усредняются; производят периодический анализ статистической информации, во время которого производят поиск пиковых отклонений от среднего значения; при обнаружении пикового отклонения определяют наличие аномалии на указанных группах сайтов. 2 н. и 7 з.п. ф-лы, 2 ил.

Description

Область техники
Настоящее изобретение относится к средствам обеспечения безопасности сайтов и, более конкретно, к средствам выявления аномалий на сайтах, в частности, для оценки уровня безопасности сайтов.
Уровень техники
Одним из главных мест получения информации является глобальная сеть «Интернет», которая объединяет в себе огромное множество сайтов. Под сайтом понимается информационный ресурс, содержащий неограниченную совокупность информации (например, изображения, аудио и видео файлы, анимацию и другой мультимедийный контент). Сайт физически размещен на каком-либо компьютерном устройстве (например, на сервере провайдера хостинга), при этом каждый сайт имеет определенное доменное имя в компьютерной сети. Доступ к сайту и взаимодействие с сайтом и его страницами осуществляется с использованием различных электронных устройств (настольного компьютера, портативного компьютера, ноутбука, смартфона, планшетного персонального компьютера и т.п.). Современные сайты, по крайней мере их часть, уже обладают сложной структурой и содержат большое количество страниц, на которых размещается разнообразный актуальный контент, при этом часть контента может быть доступна для интерактивного взаимодействия с пользователями.
Сайты предоставляют собой огромный коммерческий потенциал, как для компаний, так и для частных лиц. Поэтому индустрия разработки сайтов развивается быстрыми темпами, что влияет на качество и безопасность разработки сайтов. При создании новых сайтов разработчики не успевают в должной мере создавать надежные и защищенные сайты. Что приводит к снижению безопасности сайтов. Кроме того, часть сайтов создают с использованием бесплатных или нелицензионных продуктов по созданию сайтов. Такие продукты могут содержать различные уязвимости. Также к созданию сайтов могут привлекаться сторонние неквалифицированные или ненадежные специалисты, которые могут либо сами внести на сайт как случайно, так и преднамеренно сторонний код, который может быть использован для вмешательства в работу сайта или распространения вредоносного воздействия в дальнейшем.
Кроме того, активность компьютерных вирусописателей и злоумышленников в последние годы сместилась в сетевые технологии, в том числе и в сеть Интернет, так как традиционные компьютеры и планшетные устройства с каждым годом все надежнее защищаются от вредоносного программного обеспечения (далее - ПО) и все меньше используются в деловом обороте. Сайты, наоборот, защищены слабо и используются все больше. Типовые злоумышленники, как правило, заинтересованы в том, чтобы ценой небольших усилий взломать большое количество сайтов и нанести вред одновременно максимальному числу пользователей-посетителей сайтов. Таким образом, имеется большое число предпосылок к тому, чтобы плохо защищенные сайты массово заражались или использовались вредоносным ПО (например, вирусами, троянскими программами и эксплойтами) и представляли собой угрозу для пользователей.
Поэтому все больше требуются технические решения, которые позволяли бы повышать уровень безопасности сайтов и/или могли бы оперативно реагировать на возникающие аномальные действия на множестве сайтов. Для этого также требуются все новые технические решения, направленные на оценку, как уровня опасности сайтов, так и уровня безопасности сайтов.
Так, настоящее изобретение предлагает способ, позволяющий оценить уровень безопасности сайтов на основании выявления аномалий на группе сайтов.
Раскрытие изобретения
Настоящее изобретение позволяет выявлять аномалии для определенной группы сайтов в сети. Одной из целей настоящего изобретения является оценка уровня безопасности сайта через выявление аномалий во время анализа группы сайтов. Выявление аномалий на сайтах производится через сбор и анализ статистической информации об указанной группе сайтов с последующим выявлением пиковых отклонений.
Технический результат настоящего изобретения заключается в повышении уровня безопасности сайтов за счет выявления по крайней мере одной аномалии на основании сбора и анализа статистических данных на сайтах с последующим определением пикового отклонения.
Технический результат заключается в повышении защищенности сайта.
В качестве одного варианта исполнения предлагается способ, реализуемый с помощью компьютера, выявления аномалии для определенной группы сайтов в сети, при этом способ содержит этапы, на которых: получают параметры сайтов, которым требуется оценка уровня безопасности; формируют по крайней мере одно эвристическое правило на основании полученных параметров сайтов для мониторинга указанной группы сайтов; производят мониторинг каждого сайта из указанной группы сайтов, во время которого:
(1) периодически сканируется каждый сайт для сбора статистической информации как о контенте страниц сайтов, так и о подгружаемых объектах сайта, где периодичность сканирования зависит от настройки мониторинга,
(2) накапливается статистическая информация о каждом сайте на основании проведения периодического сканирования,
(3) сохраняется накапливаемая статистическая информация в базу данных, при этом показатели накапливаемой статистической информации усредняются;
производят периодический анализа статистической информации, во время которого производят поиск пиковых отклонений от среднего значения; при обнаружении пикового отклонения определяют наличие аномалии на указанных группах сайтов.
В другом варианте исполнения способа при определении по крайней мере одной аномалии производят передачу соответствующих данных оператору.
В еще одном варианте исполнения способа при определении по крайней мере одной аномалии формируют отчет, который содержит по крайней мере информацию об аномалии, выявленном пиковом отклонении и причину возникновения пикового отклонения.
В другом варианте исполнения способа в качестве эвристического правила понимается либо регулярное выражение, либо сигнатуру.
В еще одном варианте исполнения способа анализ статистической информации основывается на сравнении накопленной статистической информации и вновь полученной статистической информацией при сканировании сайтов.
В другом варианте исполнения способа при выявлении аномалии понижают уровень безопасности указанных сайтов.
В еще одном варианте исполнения способа дополнительно после выявления аномалии определяют причины возникновения аномалии и уменьшения уровня безопасности сайтов и возможности устранения указанных причин.
В другом варианте исполнения способа производят приоритизацию принятия решения по устранению причин возникновения аномалий для изменения уровня безопасности сайтов.
В качестве другого варианта исполнения предлагается сервер для выявления аномалии для определенной группы сайтов в сети, включающий в себя процессор, в котором конфигурация процессора настроена таким образом, чтобы сервер мог осуществлять указанные способ.
Краткое описание чертежей
Прилагаемые чертежи включены в данное описание и составляют его часть, иллюстрируют один или несколько вариантов осуществления предметов заявленной технологии вместе с подробным описанием и служат для пояснения принципов и вариантов осуществления заявленной технологии.
Фиг. 1 иллюстрирует схему взаимодействия заявленного изобретения с сайтами компьютерной сети во время оценки их уровня безопасности.
Фиг. 2 представляет способ выявления аномалии для определенной группы сайтов в сети для последующей оценки уровня безопасности сайтов.
Описание вариантов осуществления изобретения
Данное подробное описание предназначено только для описания наглядных примеров данной технологии. Это описание не предназначается для определения объема и установления границ данной технологии. В некоторых случаях могут быть изложены полезные примеры изменений в целях упрощения понимания данной технологии, а не для определения объема или установления границ данной технологии. Эти изменения не представляют собой исчерпывающий перечень, и, как будет понятно специалистам в данной области техники, также возможно внесение других изменений. Кроме того, невыполнение вышеуказанного (т.е. там, где примеры изменений не были изложены), не следует толковать как невозможность внесения изменений и/или как то, что описанное является единственным способом реализации такого конкретного аспекта данной технологии. Как будет понятно специалисту в данной области техники, вероятнее всего это не является рассматриваемым случаем. Кроме того, необходимо понимать, что данное подробное описание предоставляет собой в некоторых случаях простую реализацию данной технологии и в таких случаях описания предоставляются в качестве вспомогательного средства для упрощения понимания. Как будет понятно специалистам в данной области техники, различные способы реализации данной технологии могут быть более сложными.
При описании настоящего изобретения будет использоваться, по меньшей мере, следующие термины:
Сайт - информационная система, представляющая собой веб-ресурс, размещенные на хостинге провайдера, и содержащий различные элементы. При этом информационная система может принадлежать как организации (юридическому лицу), так и другому пользователю (физическому лицу).
Под элементом сайта понимается как одна из страниц сайта, так и какая-либо часть страницы и/или некой формы, содержащей какие-либо данные, при этом элемент может являться как интерактивным, так и нет.
Настоящее изобретение позволяет произвести мониторинг сайтов с целью выявления аномалий и последующей оценки уровня безопасности сайтов. Так, позволяет произвести параллельное сканирование группы сайтов, выбранных по определенным параметрам, для формирования статистических данных для последующей проверки на различные аномалии. В качестве параметров выбора группы сайтов для анализа могут быть такие, как сеть (автономная система, сегменты сети), географическое расположение и тематика сайтов (детские сайты, магазины и т.п.). Для выполнения своего предназначения представленное изобретение осуществляет ряд шагов, которые по крайней мере включают часть из следующих: получение параметров сайтов, которые требуется просканировать; формирование эвристического правила или регулярного выражения для проведения сканирования; проведение сканирования выбранных сайтов, соответствующих заданным параметрам, для сбора данных на них; накопление статистической информации на основании проведения с некой периодичностью сканирование сайтов для получения результатов; проведение периодического анализа статистических данных, во время которого производится поиск пиковых отклонений; при выявлении по крайней мере одного пикового отклонения выявляется аномалия. Дополнительно заявленное изобретение позволяет производить передачу данных оператору, в случае выявления аномалии. Указанные данные будут содержать по крайней мере информацию об аномалии, пиковом отклонении, по которому была определена аномалия, и причинах возникновения пикового отклонения. В одном из вариантов реализации заявленное изобретение (способ) реализуется при помощи сервера или «облачного» сервера. Под «облачным» сервером понимается комплекс серверов для обработки данных, географически расположенных на большом расстоянии друг от друга и объединенных сетью, при этом предоставляет удаленный доступ для взаимодействия с ним с любого устройств; ПК, смартфона, планшета. Облачный сервер - это технология размещения данных с сетевым доступом к вычислительным ресурсам. Использование его исключает необходимость взаимодействия с провайдером.
Кроме того, заявленное изобретение дополнительно позволяет приоритизировать принятия решений в реальном времени по устранению выявленных аномалий на основании изменений уровня безопасности сайтов. Так, приоритизация позволяет устранить в первую очередь выявленную аномалию, которая является наиболее критической для безопасности сайтов. Устранение будет производиться за счет исправления причины возникновения пикового отклонения, по которому было определена аномалия.
Далее описываются варианты реализации изобретения в виде способов и сервера для осуществления способов.
На Фиг. 1 представлена схема взаимодействия заявленного изобретения с сайтами компьютерной сети во время оценки их уровня безопасности.
Сервер для выявления аномалий на множестве веб-сайтов 110а, позволяющий в дальнейшем оценить уровень безопасности сайтов, реализуется при помощи компьютерной системы общего назначения. Компьютерной системе (далее - компьютер) присущи все компоненты современных компьютерных устройств и серверов. Компьютер, в том числе имеет файловую систему, на которой содержится записанная операционная система, а также дополнительные программные приложения, программные модули и данные программ. Компьютер способен работать в сетевом окружении, при этом используется сетевое соединение с одним или несколькими удаленными компьютерами. Удаленный компьютер (или компьютеры) являются такими же персональными компьютерами или серверами. Кроме того, в вычислительной сети, например, сети Интернет 102, могут присутствовать также и другие вычислительные устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы, через которые осуществляется взаимодействие с сайтами, в том числе и с сайтом 120.
Сетевые соединения могут образовывать как локальную вычислительную сеть (LAN), так и глобальную вычислительную сеть (WAN), включая сети операторов мобильной связи. Такие сети, например, применяются в корпоративных компьютерных сетях и, как правило, имеют доступ к сети Интернет 102. В LAN- или WAN-сетях компьютер подключен к локальной сети через сетевой адаптер или сетевой интерфейс. При использовании сетей компьютер может использовать различные средства обеспечения связи с глобальной вычислительной сетью, такой как сеть Интернет 102, например, модем. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети.
Сайт 120 представляет собой веб-ресурс, объединяющий некоторое количество страниц 130 и размещенный, например, на сервере 1106. Как правило, сервер 1106 принадлежит хостинг-провайдеру. Хостинг-провайдер объединяет в себе возможности хостинга (от англ. hosting) и провайдера (от англ. internet service provider).
Сервером 110а может также называться компьютерная программа, выполняющую функции «обычного» сервера, на котором данная программа работает, но с возможностью взаимодействия в глобальной сети. Помимо сервера могут быть установлены различные серверные приложения, например, почтовый сервер, файловый сервер и т.д., каждый из которых предоставляет свой собственный сервис. Для доступа к подобным сервисам используются специальные программы, такие как браузер, почтовый клиент, клиент службы доступа к файлам и другие. Соответственно пользователи 170 с помощью браузера 180, который размещен на компьютере 110в, могут получить доступ к представляемым данным на сайтах 120 по URL-адресу требуемой им страницы 140 сайта 120.
Стоит отметить, что взаимодействие между сайтом 120 и пользователями 170, в том числе и с сервером для выявления аномалий 110а, производится с помощью различных протоколов передачи данных, такие как HTTP(S), (S)FTP, SSH, РОР3, SMTP и IMAP4. Таким образом, сервер для выявления аномалий 110а во время проверки сайтов 120, в частности, сбора статистической информации, производит удаленное взаимодействие с ним, через сети связи, такие как сеть Интернет 102.
Кроме того, для выполнения своего предназначения сервером для выявления аномалий 110а также может взаимодействовать с различными внешними сервисами (источниками информации) с целью обновления данных, например, связанных с формированием эвристических правил или регулярных выражений, а также получения различных данных о сайтах, над которыми требуется произвести мониторинг.
Сайты, такие как сайт 120, защищены слабо и подвержены различным угрозам, которые могут быть осуществлены как через различные уязвимости в программном коде сайтов. Поэтому способ выявления аномалий на сайтах с возможностью последующей оценки уровня безопасности сайтов, описанный далее, позволяет произвести проверку и анализ группы сайтов с последующим выявлениям возникающих аномалий в реальном времени на основании пиковых отклонений. Кроме того, в дальнейшем и произвести приоритизацию принятия решений по устранению причин возникновения аномалий.
В одном из вариантов реализации в качестве заявленного изобретения осуществляется сервер 110а для выявления аномалий на определенной группы сайтов в сети с возможностью последующей оценки уровня безопасности указанных сайтов. Сервер 110а выполнен с возможностью соединения посредством коммуникационной сети с компьютерными системами (например, серверами) сайтов для выполнения своего предназначения и содержит по меньшей мере интерфейс для организации и передачи данных для связи с сайтами и процессор, функционально соединенный с интерфейсом, при этом процессор выполнен с возможностью осуществлять способ выявления аномалии для определенной группы сайтов в сети для последующей оценки уровня безопасности сайтов.
На Фиг. 2 представлен способ выявления аномалии для определенной группы сайтов в сети для последующей оценки уровня безопасности сайтов.
Способ выявления аномалии для определенной группы сайтов в сети реализуется с помощью компьютерной системы, в частности сервера 110а, которые соединен с сетью, а сеть в свою очередь выполнена с возможностью связываться с упомянутыми сайтами для выполнения своего предназначения.
На этапе 210 с помощью сервера получают параметры сайтов, которым требуется оценка уровня безопасности. Получаемые параметры будут характеризовать определенную группу сайтов для мониторинга с целью выявления возможных аномалий. Группа сайтов содержит по крайней мере один сайт, соответствующий полученным параметрам. Под параметрами сайтов для дальнейшей проверки могут пониматься как различные категории сайтов, так и определенные характеристики сайтов. Получаемые параметры могут содержать несколько категорий и/или характеристик сайтов, которым должны соответствовать сайты для мониторинга. Примерами, категорий сайтов могут являться такие, как:
- тип или сегмент сети, в котором содержатся сайты;
- географическое расположение сайта;
- тематика сайтов (например, сайты, предназначенные для детской аудитории, сайты, являющиеся интернет-магазинами, сайты государственных учреждений, сайты - визитка, сайты услуг и т.п.);
- информационные сайты;
- категория, соответствующая методу их создания и функционирования - динамические и статические.
В качестве характеристик сайтов может пониматься, например, технические аспекты сайтов, например, такие как характер создания сайта: HTML-сайты, Сайты на CMS и Flash-сайтах.
Кроме того, группа сайтов для мониторинга может быть определена с помощью оператора/пользователя, от которого получают информацию о сайтах для группы сайтов, используя средства взаимодействия с пользователями на сервере, например, через интерфейс и средства ввода. В этом случае, под получаемыми параметрами сайтов следует понимать такие как: название сайтов и/или сетевой адрес расположения в сети сайта.
На этапе 220 с помощью сервера создается эвристическое правило на основании полученных параметров для формирования определенной группы сайтов с целью их мониторинга. Эвристическое правило может представлять собой регулярное выражение или сигнатуру. Например, регулярное выражение может быть таковым, что будет содержать ряд полученных параметров, которым должен соответствовать сайт для его включения в группу сайтов для мониторинга. Кроме того, параметры могут быть приоритизированы, что позволит производить поиск сайтов по наиболее важным параметрам. Такая реализация изобретения актуальна, когда получено большое число параметров, что сильно ограничивает количество сайтов для группы сайтов. В этом случае параметры могут быть приоритизированы и из которых менее релевантные параметры могут быть исключены. В частном случае реализации может быть создано не одно эвристическое правило, а несколько. После создания по крайней мере одного эвристического правила переходят к этапу 230.
Стоит отметить, что с помощью эвристических правил производится настройка для последующего мониторинга, при этом эвристические правила определяют проверку по крайне мере части из следующего:
- частоты и глубины страниц сайтов,
- сайтов на наличие вирусов и других угроз для пользователей,
- сайтов на выполнение требований закона о персональных данных,
- по определению наличия контента высокорисковых и запрещенных категорий,
- репутации сайта на сторонних ресурсах,
- неизменности атрибутов сайта (контента), заявленных при регистрации мерчанта, где мерчант (от англ. Merchant) - это специальная программа, которая дает возможность через интернет получать платежи с банковских карт и банковских счетов,
- и другие.
На этапе 230 производится мониторинг сайтов из сформированной группы сайтов для сбора статистической информации как о контенте страниц сайтов, так и о подгружаемых объектов (скриптах) и ссылках на другие сайты. Во время мониторинга сайтов фактически производится их периодическое сканирование с целью накопления статистической информации о сайтах. Показатели накапливаемой статистической информации усредняются и сохраняются в базу данных, в которой выделено место хранения под определенную группу сайтов. Усреднение производится как по сайтам из группы сайтов, так и после, при сохранении результатов мониторинга/сканирования в базу данных. Периодичность сканирования зависит от параметров сайтов или требований, предъявляемых мониторингом или оператором сервера. В частном случае периодичность сканирования подбирается опытным путем. Собираемая информация с каждого сайта соответствует настройкам на этапе 220 и содержит сведения по меньшей мере о таких объектах сайтов, как: фрагменты кода страниц, загружаемые файлы и данные, ссылки на страницах сканируемого сайта на другие сайты или страницы, версии ПО, скрипты, IP-адреса, текстовые данные и т.п. Кроме того, производится выявления определенных конструкций в программном коде, указывающих на какую-либо уязвимость в коде.
В одном из вариантов реализации сканирование каждого сайта из группы сайтов возможно с использованием подходов, представленных в патенте RU 2622870.
На этапе 240 производится анализ накопленной статистической информации, во время которого производят поиск пиковых отклонений от среднего значения. Анализ статистической информации производится либо на периодической основе, либо в реальном режиме в каждый момент времени при обновлении статистической информации в базе данных. Анализ, производимый в определенный момент времени или интервал времени для определенной группы сайтов, заключается в сравнении накопленной статистической информации (средних значений) и вновь полученной статистической информацией при сканировании сайтов. В результате анализа может быть выявлено пиковое отклонение. Примером выявления пикового отклонения служит следующий пример: показатели накопленной статистической информации был и равны X, при этом показатели полученной (новой) статистической информации стали равны 5Х или 10Х, что говорит о пиковом отклонении и, соответственно, об аномальном поведении. В том случае, если пиковое отклонение не выявлено, производят дальнейший мониторинг группы сайтов на этапе 230. В противном случае, если пиковое отклонении выявлено, то переходят к этапу 260.
На этапе 260 выносят решение о наличии аномалии на указанных сайтах при обнаружении пикового отклонения в результате анализа на этапе 250. Дополнительно при определении по крайней мере одной аномалии производится передача соответствующего отчета оператору или пользователю сервера.
Кроме того, дополнительно на этапе 270 при определении по крайней мере одной аномалии формируется отчет, который содержит по крайней мере информацию об аномалии, выявленном пиковом отклонении и причинах возникновения пикового отклонения. Кроме того, при выявлении по крайней мере одной аномалии пересматривается оценка уровня безопасности для определенной группы сайтов в сторону его уменьшения. Для этого определяется причина возникновения аномалии, согласно которой и понижается уровень безопасности. Причинами для понижения уровня безопасности могут являться наличие вредоносных программ или других угроз, например, уязвимостей в программном коде; загрузка опасного кода с других сайтов, корректность и безопасность ссылок на сайте; нарушение политик динамического контента (баннеров, рекламы); определение наличия контента высокорисковых и запрещенных категорий; нарушение правил закона о персональных данных и другие.
В этом случае (когда известны причины уменьшения уровня безопасности сайтов) дополнительно на этапе 280 производится приоритизации последовательности принятия решений для устранения причин возникновения аномалии и изменения уровня безопасности сайтов. Приоритизация заключается в том, чтобы определить наиболее опасные для сайтов причины возникновения аномалий. Для этого база данных содержит пополняемый список причин возникновения аномалий, в котором указывается степень их угрозы. На основании сравнения с указанным списком определяется, если причин больше одной, наиболее опасная или та, которая вносит наибольшее влияние на уровень безопасности сайтов. После чего производится поиск возможно устранения причин, например, за счет наличия обновлений, или производится информирование оператора с помощью подготовки соответствующего отчета. В случае возможности в автоматическом режиме устранить причины возникновения аномалии производятся необходимые действия по ее устранению.
Стоит отметить, что в частном случае реализации может производиться параллельный мониторинг нескольких групп сайтов по представленному способу выше.
В заключении следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (17)

1. Реализуемый компьютером способ выявления аномалии для определенной группы сайтов в сети, при этом способ содержит этапы, на которых:
a) получают параметры сайтов, которым требуется оценка уровня безопасности;
b) формируют по крайней мере одно эвристическое правило на основании полученных параметров сайтов для мониторинга указанной группы сайтов;
c) производят мониторинг каждого сайта из указанной группы сайтов, во время которого:
(1) периодически сканируется каждый сайт для сбора статистической информации как о контенте страниц сайтов, так и о подгружаемых объектах сайта, где периодичность сканирования зависит от настройки мониторинга,
(2) накапливается статистическая информация о каждом сайте на основании проведения периодического сканирования,
(3) сохраняется накапливаемая статистическая информация в базу данных, при этом показатели накапливаемой статистической информации усредняются;
d) производят периодический анализ статистической информации, во время которого производят поиск пиковых отклонений от среднего значения;
e) при обнаружении пикового отклонения определяют наличие аномалии на указанных группах сайтов.
2. Способ по п. 1, в котором при определении по крайней мере одной аномалии производят передачу соответствующих данных оператору.
3. Способ по п. 1, в котором при определении по крайней мере одной аномалии формируют отчет, который содержит по крайней мере информацию об аномалии, выявленном пиковом отклонении и причину возникновения пикового отклонения.
4. Способ по п. 1, в котором в качестве эвристического правила понимается либо регулярное выражение, либо сигнатуру.
5. Способ по п. 1, в котором анализ статистической информации основывается на сравнении накопленной статистической информации и вновь полученной статистической информацией при сканировании сайтов.
6. Способ по п. 1, в котором при выявлении аномалии понижают уровень безопасности указанных сайтов.
7. Способ по п. 6, в котором дополнительно после выявления аномалии определяют причины возникновения аномалии и уменьшения уровня безопасности сайтов и возможности устранения указанных причин.
8. Способ по п. 7, в котором производят приоритизацию принятия решения по устранению причин возникновения аномалий для изменения уровня безопасности сайтов.
9. Сервер для выявления аномалии для определенной группы сайтов в сети, включающий в себя процессор, в котором конфигурация процессора настроена таким образом, чтобы сервер мог осуществлять способ по п. 1.
RU2018145936A 2018-12-24 2018-12-24 Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления RU2724782C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2018145936A RU2724782C1 (ru) 2018-12-24 2018-12-24 Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018145936A RU2724782C1 (ru) 2018-12-24 2018-12-24 Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления

Publications (1)

Publication Number Publication Date
RU2724782C1 true RU2724782C1 (ru) 2020-06-25

Family

ID=71135780

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018145936A RU2724782C1 (ru) 2018-12-24 2018-12-24 Способ выявления аномалий на множестве сайтов для оценки уровня безопасности сайтов и сервер для его осуществления

Country Status (1)

Country Link
RU (1) RU2724782C1 (ru)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005052756A2 (en) * 2003-11-20 2005-06-09 Shore Venture Group, Llc Remote web site security system
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2535504C1 (ru) * 2013-06-28 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ лечения содержимого сайта
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US10148681B2 (en) * 2009-01-17 2018-12-04 Cloudflare, Inc. Automated identification of phishing, phony and malicious web sites

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005052756A2 (en) * 2003-11-20 2005-06-09 Shore Venture Group, Llc Remote web site security system
US10148681B2 (en) * 2009-01-17 2018-12-04 Cloudflare, Inc. Automated identification of phishing, phony and malicious web sites
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2535504C1 (ru) * 2013-06-28 2014-12-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ лечения содержимого сайта
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов

Similar Documents

Publication Publication Date Title
Hao et al. PREDATOR: proactive recognition and elimination of domain abuse at time-of-registration
US11282017B2 (en) Systems and methods for monitoring information security effectiveness
US11012472B2 (en) Security rule generation based on cognitive and industry analysis
RU2622870C2 (ru) Система и способ оценки опасности веб-сайтов
US11539749B2 (en) Systems and methods for alert prioritization using security events graph
US20200252421A1 (en) Enrichment and analysis of cybersecurity threat intelligence and orchestrating application of threat intelligence to selected network security events
EP3776307B1 (en) Distributed system for adaptive protection against web-service-targeted vulnerability scanners
US9262638B2 (en) Hygiene based computer security
US10721245B2 (en) Method and device for automatically verifying security event
RU2607229C2 (ru) Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества
US8595282B2 (en) Simplified communication of a reputation score for an entity
US9838419B1 (en) Detection and remediation of watering hole attacks directed against an enterprise
US8996669B2 (en) Internet improvement platform with learning module
US9251282B2 (en) Systems and methods for determining compliance of references in a website
US11522877B2 (en) Systems and methods for identifying malicious actors or activities
US20120047581A1 (en) Event-driven auto-restoration of websites
US8347381B1 (en) Detecting malicious social networking profiles
RU2658878C1 (ru) Способ и сервер для классификации веб-ресурса
US20220030029A1 (en) Phishing Protection Methods and Systems
US10454967B1 (en) Clustering computer security attacks by threat actor based on attack features
Alani Big data in cybersecurity: a survey of applications and future trends
US20220217160A1 (en) Web threat investigation using advanced web crawling
US20210006592A1 (en) Phishing Detection based on Interaction with End User
CN108804501B (zh) 一种检测有效信息的方法及装置
Poteat et al. Who you gonna call? an empirical evaluation of website security. txt deployment

Legal Events

Date Code Title Description
MM4A The patent is invalid due to non-payment of fees

Effective date: 20201225