RU2752241C2 - Способ и система для выявления вредоносной активности предопределенного типа в локальной сети - Google Patents

Способ и система для выявления вредоносной активности предопределенного типа в локальной сети Download PDF

Info

Publication number
RU2752241C2
RU2752241C2 RU2019143904A RU2019143904A RU2752241C2 RU 2752241 C2 RU2752241 C2 RU 2752241C2 RU 2019143904 A RU2019143904 A RU 2019143904A RU 2019143904 A RU2019143904 A RU 2019143904A RU 2752241 C2 RU2752241 C2 RU 2752241C2
Authority
RU
Russia
Prior art keywords
malicious activity
network
electronic devices
list
network resources
Prior art date
Application number
RU2019143904A
Other languages
English (en)
Other versions
RU2019143904A (ru
RU2019143904A3 (ru
Inventor
Борлык Лиджиевич Буваев
Сергей Вячеславович Статьев
Александр Сергеевич Дубиковский
Original Assignee
Общество С Ограниченной Ответственностью «Яндекс»
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью «Яндекс» filed Critical Общество С Ограниченной Ответственностью «Яндекс»
Priority to RU2019143904A priority Critical patent/RU2752241C2/ru
Priority to US16/911,503 priority patent/US11316893B2/en
Publication of RU2019143904A publication Critical patent/RU2019143904A/ru
Publication of RU2019143904A3 publication Critical patent/RU2019143904A3/ru
Application granted granted Critical
Publication of RU2752241C2 publication Critical patent/RU2752241C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к защите информации. Технический результат заключается в повышении безопасности сети за счет обнаружения и анализа вредоносной активности предопределенного типа в системе облачных вычислений и LAN других типов, которые имеют физические электронные устройства или виртуальные машины, к ним подключенные. Осуществляется доступ к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств, анализируются информация об использовании для выявления подмножества электронных устройств и список сетевых ресурсов, доступ к которым осуществляется, передается каждому из списка сетевых ресурсов сообщения и после анализа ответного сообщения определяют, ассоциирован ли сетевой ресурс, сгенерировавший ответное сообщение с вредоносной активностью. 2 н. и 18 з.п. ф-лы, 5 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[0001] Настоящая технология в целом относится к системам и способам выявления вредоносной активности и, в частности, к способам и системам для выявления вредоносной активности предопределенного типа в локальной сети (LAN).
УРОВЕНЬ ТЕХНИКИ
[0002] Известны решения для облачных вычислений. Некоторые из них предоставляют пользователям возможность зарегистрироваться для использования виртуальных машин (VM) и выделенных серверных ресурсов для исполнения различных пользовательских задач. Некоторые поставщики услуг облачных вычислений также предоставляют пользователю возможность зарегистрировать пробную учетную запись.
[0003] Общеизвестно, что некоторые недобросовестные пользователи регистрируют большое число бесплатных пробных учетных записей и используют предоставленные VM для исполнения задач, которые противоречат условиям и положениям пробной учетной записи. Например, недобросовестный пользователь может использовать VM для выполнения блокчейн-майнинга (например, майнинга криптовалют). Естественно, это увеличивает нагрузку на ресурсы поставщиков облачных вычислений с технической точки зрения. С коммерческой точки зрения такое использование пробных учетных записей отрицательно сказывается на назначении таких пробных учетных записей, поскольку эти недобросовестные пользователи не только никогда не превратятся в постоянных подписчиков (то есть платящих пользователей) на службу облачных вычислений, но они будут часто регистрировать многочисленные пробные учетные записи с единственной целью майнинга для увеличения своей прибыли.
[0004] Публикация патентной заявки США № 20180196684 A1 на имя International Business Machines Corporation, от 12 июля 2018 года под названием "Method, system, and computer program product for application identification in a cloud platform" раскрывает способ, систему и компьютерный программный продукт, включающие в себя извлечение информации, связанной с одним или более процессами одного или более приложений, работающих на виртуальной машине, из памяти виртуальной машины, создание по меньшей мере одной первой сигнатуры приложения на основе извлеченной информации, и идентификации одного или более приложений, работающих на виртуальной машине, путем сопоставления по меньшей мере одной первой сигнатуры приложения с одним или более вторыми сигнатурами приложений, сохраненными ранее.
[0005] Патент США № 10,084,816 B2, выданный на имя Fortinet Inc., опубликованный 29 декабря 2016 года и озаглавленный “Protocol based detection of suspicious network traffic”, раскрывает идентификацию подозрительного сетевого трафика, указывающего на бот-сеть и/или продвинутую постоянную угрозу (APT), на основе сетевого протокола такого трафика. Согласно одному варианту осуществления файл трафика принимается на устройстве сетевой безопасности, которое защищает частную сеть. Файл трафика содержит в себе сетевой трафик, ассоциированный с частной сетью, который был захвачен и сохранен. Принятый файл трафика обрабатывается устройством сетевой безопасности, чтобы определить, относится ли сетевой трафик к сетевому протоколу, который свидетельствует о существовании угрозы для сетевой безопасности в частной сети. При обнаружении угрозы для сетевой безопасности устройство сетевой безопасности сообщает подробности об угрозе для сетевой безопасности.
СУЩНОСТЬ ИЗОБРЕТЕНИЯ
[0006] Неограничивающие варианты осуществления настоящей технологии были разработаны на основе осознания изобретателями по меньшей мере одной проблемы, ассоциированной с подходами в предшествующем уровне техники для определения вредоносных активностей в облачной среде. Как отмечалось выше, лица, занимающиеся вредоносным блокчейн-майнингом, регистрируют большое число пробных учетных записей, используя поддельные адреса электронной почты (например, созданные с использованием услуг поставщиков бесплатной электронной почты). Такие занимающиеся майнингом лица также могут привлекать не пробные и краденые учетные записи системы облачных вычислений.
[0007] Таких «недобросовестных пользователей» не легко отловить. Поставщик системы облачных вычислений не имеет доступа к данным пользователей на виртуальной машине (VM) из-за конфиденциальности и других проблем. Однако разработчики неограничивающих вариантов осуществления настоящей технологии поняли, что традиционная система облачных вычислений имеет доступ к «внешним данным» - например, к IP-адресам и портам доступа, используемым виртуальными машинами для осуществления доступа к сетевым ресурсам.
[0008] Несмотря на то, что разработчики настоящей технологии изначально были сосредоточены на системах облачных вычислений, они также осознали, что аналогичные проблемы могут возникать в любой LAN, например, в корпоративной LAN и подобных, в результате чего злоумышленники могут использовать физические электронные устройства, подключенные к такой LAN, для выполнения вредоносных активностей, таких как криптовалютный и другой блокчейн-майнинг (это всего лишь примеры вредоносных активностей предопределенного типа, выявление и, возможно, блокировка или ограничение которых может быть желательной.
[0009] Таким образом, в общем, неограничивающие варианты осуществления настоящей технологии направлены на обнаружение вредоносной активности и, более конкретно, на способы и системы для выявления вредоносной активности предопределенного типа в системе облачных вычислений и LAN других типов, которые имеют физические электронные устройства или VM, к ним подключенные.
[00010] Неограничивающие варианты осуществления настоящей технологии основаны на предпосылке, что электронное устройство наблюдения может контролировать внешние данные, на основе которых электронное устройство наблюдения может определять, используется ли конкретная VM в системе облачных вычислений или конкретное электронное устройство, подключенное к LAN, для выполнения вредоносной активности предопределенного типа.
[00011] В соответствии с первым широким аспектом настоящей технологии раскрыт реализуемый компьютером способ для выявления вредоносной активности предопределенного типа, причем способ исполняется электронным устройством наблюдения, причем электронное устройство наблюдения является частью локальной сети (LAN), причем LAN включает в себя множество электронных устройств, выполненных с возможностью осуществления доступа к сетевым ресурсам через LAN и глобальную сеть (WAN), доступную через LAN, причем способ содержит: осуществление доступа электронным устройством наблюдения к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств; анализ электронным устройством наблюдения информации об использовании для выявления подмножества электронных устройств, причем электронные устройства упомянутого подмножества являются кандидатами для ассоциирования с вредоносной активностью в WAN; анализ электронным устройством наблюдения, для каждого из подмножества электронных устройств, списка сетевых ресурсов, доступ к которым осуществляется соответствующим одним из подмножества электронных устройств через WAN; исполнение электронным устройством наблюдения робота опроса, причем робот опроса выполнен с возможностью: передачи каждому из списка сетевых ресурсов сообщения ping, причем сообщение ping имеет первый предопределенный формат, сгенерированный на основе предопределенного типа вредоносной активности; приема от по меньшей мере некоторых из списка сетевых ресурсов ответного сообщения; анализ электронным устройством наблюдения ответного сообщения; в ответ на то, что ответное сообщение имеет второй предопределенный формат, причем второй предопределенный формат был выявлен на основе предопределенного типа вредоносной активности: определение электронным устройством наблюдения того, что ассоциированный сетевой ресурс, сгенерировавший ответное сообщение, ассоциирован с вредоносной активностью.
[00012] В некоторых неограничивающих вариантах осуществления способа, в ответ на одно из: (i) ответное сообщение не имеет второго предопределенного формата и (ii) отсутствие ответа от определенного одного из списка сетевых ресурсов, определяют, что этот определенный сетевой ресурс из списка сетевых ресурсов не ассоциирован с вредоносной активностью.
[00013] В некоторых неограничивающих вариантах осуществления настоящего способа предопределенным типом является блокчейн-майнинг.
[00014] В некоторых неограничивающих вариантах осуществления способа, первый предопределенный формат и второй предопределенный формат являются частью оверлейного протокола STRATUM.
[00015] В некоторых неограничивающих вариантах осуществления способа, первый предопределенный формат и второй предопределенный формат являются частью квитирующих сообщений оверлейного протокола STRATUM.
[00016] В некоторых неограничивающих вариантах осуществления способа, информация об использовании ассоциирована с работой части множества электронных устройств.
[00017] В некоторых неограничивающих вариантах осуществления способа, информация об использовании содержит по меньшей мере одно из: использования процессора (CPU); использования диска для записи; использования диска для чтения.
[00018] В некоторых неограничивающих вариантах осуществления способа, анализ информации об использовании содержит применение по меньшей мере одной эвристики к информации об использовании.
[00019] В некоторых неограничивающих вариантах осуществления способа, по меньшей мере одна эвристика содержит: определение того, что среднее использование процессора выше первого порогового значения; определение того, что коэффициент вариации использования процессора ниже второго порогового значения; определение того, что использование диска для чтения выше третьего порогового значения; и определение того, что использование диска для записи ниже четвертого порогового значения.
[00020] В некоторых неограничивающих вариантах осуществления способа информация об использовании содержит список сетевых адресов, используемых частью множества электронных устройств для осуществления доступа к сетевым ресурсам через WAN.
[00021] В некоторых неограничивающих вариантах осуществления способа, анализ информации об использовании содержит применение по меньшей мере одной эвристики к информации об использовании.
[00022] В некоторых неограничивающих вариантах осуществления способа, по меньшей мере одна эвристика содержит определение, использует ли доступ к сетевому ресурсу предопределенный порт, ассоциированный с предопределенным типом вредоносной активности.
[00023] В некоторых неограничивающих вариантах осуществления способа, по меньшей мере одна эвристика содержит: определение, был ли доступ к сетевому ресурсу осуществлен с использованием одного из TCP-порта 3333, TCP-порта 5555, TCP-порта 7777, TCP-порта 8080, TCP-порта 14433, TCP-порта 14444, TCP-порта 37781, TCP-порта 45700, TCP-порта 45560 и TCP-порта 6667.
[00024] В некоторых неограничивающих вариантах осуществления способа, LAN содержит среду облачных вычислений, и при этом множество электронных устройств содержит множество виртуальных машин (VM), исполняемых в среде облачных вычислений.
[00025] В некоторых неограничивающих вариантах осуществления способа множество вычислительных устройств содержит множество физических электронных устройств, подключаемых к LAN для осуществления доступа к WAN.
[00026] В некоторых неограничивающих вариантах осуществления способ содержит исполнение корректирующего действия в связи с ассоциированным сетевым ресурсом, который был определен как ассоциированный с вредоносной активностью.
[00027] В некоторых неограничивающих вариантах осуществления способа корректирующее действие содержит блокировку трафика на ассоциированные сетевые ресурсы из LAN.
[00028] В некоторых неограничивающих вариантах осуществления способа корректирующее действие содержит блокировку всего сетевого доступа к WAN для определенного электронного устройства, которое осуществило доступ к сетевому ресурсу.
[00029] В соответствии с другим широким аспектом настоящей технологии раскрыто электронное устройство наблюдения для выявления вредоносной активности предопределенного типа, причем электронное устройство наблюдения является частью локальной сети (LAN), причем LAN включает в себя множество электронных устройств, выполненных с возможностью осуществления доступа к сетевым ресурсам через LAN и глобальную сеть (WAN), доступную через LAN, причем электронное устройство наблюдения содержит процессор, выполненный с возможностью: осуществления доступа к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств; анализа информации об использовании для выявления подмножества электронных устройств, причем электронные устройства упомянутого подмножества являются кандидатами для ассоциирования с вредоносной активностью в WAN; анализа, для каждого из подмножества электронных устройств, списка сетевых ресурсов, доступ к которым осуществляется соответствующим одним из подмножества электронных устройств через WAN; исполнения робота опроса, причем робот опроса выполнен с возможностью: передачи каждому из списка сетевых ресурсов сообщения ping, причем сообщение ping имеет первый предопределенный формат, сгенерированный на основе предопределенного типа вредоносной активности; приема от по меньшей мере некоторых из списка сетевых ресурсов ответного сообщения; анализа ответного сообщения; в ответ на то, что ответное сообщение имеет второй предопределенный формат, причем второй предопределенный формат был выявлен на основе предопределенного типа вредоносной активности: определения того, что ассоциированный сетевой ресурс, сгенерировавший ответное сообщение, ассоциирован с вредоносной активностью.
[00030] В некоторых неограничивающих вариантах осуществления устройства, в ответ на одно из: (i) ответное сообщение не имеет второго предопределенного формата и (ii) отсутствие ответа от определенного одного из списка сетевых ресурсов, процессор выполнен с возможностью определения того, что этот определенный сетевой ресурс из списка сетевых ресурсов не ассоциирован с вредоносной активностью.
[00031] В контексте настоящего описания "сервер" представляет собой компьютерную программу, которая работает на надлежащем аппаратном обеспечении и способна принимать запросы (например, от электронных устройств) по сети, а также выполнять эти запросы или вызывать выполнение этих запросов. Аппаратное обеспечение может быть одним физическим компьютером или одной физической компьютерной системой, но ни то, ни другое не является обязательным для настоящей технологии. В настоящем контексте использование выражения «по меньшей мере один сервер» не предназначено для обозначения того, что каждая задача (например, принятые инструкции или запросы) или любая конкретная задача будет принята, выполнена или вызвана для выполнения одним и тем же сервером (то есть одним и тем же программным и/или аппаратным обеспечением); подразумевается, что любое количество программных элементов или аппаратных устройств может быть вовлечено в прием/отправку, выполнение или вызов для выполнения любой задачи или запроса, или последствий любой задачи или запроса; и все это программное и аппаратное обеспечение может быть одним сервером или несколькими серверами, причем обе эти ситуации включены в выражение «по меньшей мере один сервер».
[00032] В контексте настоящего описания, если специально не указано иное, слова "первый", "второй", "третий" и т. д. используются в качестве прилагательных только для того, чтобы позволить отличить существительные, которые они модифицируют, друг от друга, а не для описания какой-либо особой взаимосвязи между такими существительными. Таким образом, например, следует понимать, что использование терминов "первый сервер" и "третий сервер" не подразумевает какого-либо конкретного порядка, типа, хронологии, иерархии или ранжирования (например) таких серверов, равно как и их использование (само по себе) не означает, что какой-либо "второй сервер" должен обязательно существовать в любой определенной ситуации. Кроме того, как обсуждается в других контекстах данного документа, ссылка на "первый" элемент и "второй" элемент не исключает того, что эти два элемента в реальном мире фактически являются одним и тем же элементом. Таким образом, например, в некоторых случаях "первый" сервер и "второй" сервер могут быть одним и тем же программным обеспечением и/или аппаратным обеспечением, в других случаях они могут представлять собой разное программное обеспечение и/или аппаратное обеспечение.
[00033] В контексте настоящего описания, если специально не указано иное, "база данных" представляет собой любую структурированную совокупность данных, независимо от ее конкретной структуры, программное обеспечение для администрирования базы данных, или компьютерное оборудование, на котором данные хранятся, реализуются или их делают доступными для использования иным образом. База данных может находиться на том же оборудовании, что и процесс, который хранит или использует информацию, хранящуюся в базе данных, или она может находиться на отдельном оборудовании, например на выделенном сервере или множестве серверов.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[00034] Для лучшего понимания настоящей технологии, а также других аспектов и ее дополнительных признаков, ссылка приводится на нижеследующее описание, которое должно использоваться в сочетании с сопроводительными чертежами, на которых:
[00035] Фигура 1 иллюстрирует схематичное представление системы, реализуемой в соответствии с неограничивающими вариантами осуществления настоящей технологии.
[00036] Фигура 2 представляет схематичную иллюстрацию списка сетевых ресурсов, доступ к которым был осуществлен некоторой виртуальной машиной из упомянутой системы.
[00037] Фигура 3 представляет схематичную иллюстрацию одного или более контролируемых параметров виртуальной машиной из упомянутой системы.
[00038] Фигура 4 представляет пример процесса обнаружения вредоносной активности предопределенного типа.
[00039] Фигура 5 представляет блок-схему последовательности операций способа обнаружения вредоносной активности предопределенного типа.
ПОДРОБНОЕ ОПИСАНИЕ
[00040] Со ссылкой на Фигуру 1 проиллюстрировано схематичное представление системы 100, причем система 100 подходит для реализации неограничивающих вариантов осуществления настоящей технологии. Следует четко понимать, что система 100 проиллюстрирована лишь как иллюстративная реализация настоящей технологии. Таким образом, нижеследующее описание предназначено лишь для того, чтобы использоваться в качестве описания иллюстративных примеров настоящей технологии. Это описание не предназначено для определения объема или ограничения настоящей технологии. В некоторых случаях то, что считается полезными примерами модификаций системы 100, также может быть изложено ниже. Это делается просто для того, чтобы помочь пониманию и, опять же, не для того, чтобы определить объем или изложить границы настоящей технологии. Эти модификации не являются исчерпывающим списком и, как будет понятно специалисту в данной области техники, вероятно возможны другие модификации. Кроме того, если этого не было сделано (то есть, когда никакие примеры модификаций не были приведены), это не следует интерпретировать так, что никакие модификации не возможны и/или что описанное является единственным способом реализации этого элемента настоящей технологии. Специалисту в данной области будет понятно, что это, вероятно, не так. Кроме того, следует понимать, что в некоторых случаях система 100 может предоставлять простые реализации настоящей технологии, и что в таких случаях они представлены таким образом для помощи в понимании. Специалисты в данной области поймут, что различные реализации настоящей технологии могут иметь большую сложность.
[00041] Приведенные в данном документе примеры и условные формулировки призваны главным образом помочь читателю понять принципы настоящей технологии, а не ограничить ее объем такими конкретно приведенными примерами и условиями. Должно быть понятно, что специалисты в данной области смогут разработать различные механизмы, которые, хоть и не были описаны и показаны в данном документе явным образом, тем не менее воплощают принципы настоящей технологии и включаются в ее суть и объем. Кроме того, нижеследующее описание может описывать реализации настоящей технологии в относительно упрощенном виде для целей упрощения понимания. Специалисты в данной области поймут, что различные реализации настоящей технологии могут иметь большую сложность.
[00042] Кроме того, все содержащиеся в данном документе утверждения, в которых указываются принципы, аспекты и реализации настоящей технологии, а также их конкретные примеры, призваны охватить как структурные, так и функциональные эквиваленты, вне зависимости от того, известны ли они в настоящее время или будут разработаны в будущем. Таким образом, например, специалисты в данной области осознают, что любые блок-схемы в данном документе представляют концептуальные виды иллюстративной схемы, воплощающей принципы настоящей технологии. Аналогичным образом, будет понятно, что любые блок-схемы, схемы последовательности операций, схемы изменения состояний, псевдокоды и подобное представляют различные процессы, которые могут быть по сути представлены на считываемых компьютером носителях и исполнены компьютером или процессором вне зависимости от того, показан такой компьютер или процессор явным образом или нет.
[00043] Функции различных элементов, показанных на фигурах, в том числе любого функционального блока, помеченного как "процессор", могут быть обеспечены с помощью специализированного аппаратного обеспечения, а также аппаратного обеспечения, способного исполнять программное обеспечение и связанного с надлежащим программным обеспечением. При обеспечении процессором функции могут быть обеспечены одним выделенным процессором, одним совместно используемым процессором или множеством отдельных процессоров, некоторые из которых могут быть совместно используемыми. В некоторых вариантах осуществления настоящей технологии процессор может быть процессором общего назначения, таким как центральный процессор (CPU) или процессор, выделенный для конкретной цели, например, графический процессор (GPU). Кроме того, явное использование термина "процессор" или "контроллер" не должно истолковываться как относящееся исключительно к аппаратному обеспечению, способному исполнять программное обеспечение, и может в неявной форме включать в себя, без ограничений, аппаратное обеспечение цифрового сигнального процессора (DSP), сетевой процессор, интегральную схему специального назначения (ASIC), программируемую пользователем вентильную матрицу (FPGA), постоянную память (ROM) для хранения программного обеспечения, оперативную память (RAM) и энергонезависимое хранилище. Другое аппаратное обеспечение, традиционное и/или специализированное, также может быть включено в состав.
[00044] Учитывая эти основополагающие вещи, рассмотрим некоторые неограничивающие примеры, чтобы проиллюстрировать различные реализации аспектов настоящей технологии.
[00045] Система 100 содержит сервер 102. Сервер 102 может быть реализован как традиционный компьютерный сервер. В примере варианта осуществления настоящей технологии сервер 102 может быть реализован как сервер Dell™ PowerEdge™, работающий под управлением операционной системы Microsoft™ Windows Server™. Само собой разумеется, сервер 102 может быть реализован в любом другом подходящем аппаратном и/или программном и/или программно-аппаратном обеспечении или их комбинации. В проиллюстрированном неограничивающем варианте осуществления настоящей технологии сервер 102 является единственным сервером. В альтернативных неограничивающих вариантах осуществления настоящей технологии функциональные возможности сервера 102 могут быть распределены и могут быть реализованы посредством многочисленных серверов.
[00046] Реализация сервера 102 хорошо известна. Однако, выражаясь кратко, сервер 102 содержит интерфейс связи (не показан) для двусторонней связи с сетью 104 связи через линию 106 связи. В некоторых неограничивающих вариантах осуществления настоящей технологии сеть 104 связи может быть реализована как Интернет. В других вариантах осуществления настоящей технологии сеть 104 связи может быть реализована иначе, например, как какая-либо глобальная сеть связи, локальная сеть связи, частная сеть связи и тому подобное.
[00047] Реализация линии 106 связи не ограничена особым образом. Например, линия 106 связи может быть реализована в виде линии беспроводной связи (такой как, но без ограничения упомянутым, линия связи 3G, линия связи 4G, Wireless Fidelity или WiFi®, для краткости, Bluetooth®, или тому подобное) или в виде проводной (такой как соединение на основе Ethernet).
[00048] Сервер 102 включает в себя серверную память 108, которая содержит один или более долговременных носителей данных и, как правило, предоставляет место для хранения исполняемых компьютером программных инструкций, исполняемых серверным процессором 110. В качестве примера, серверная память 108 может быть реализована как материальный считываемый компьютером носитель данных, включающий в себя постоянную память (ROM) и/или оперативную память (RAM). Серверная память 108 также может включать в себя одно или более фиксируемых запоминающих устройств в виде, например, жестких дисков (HDD), твердотельных накопителей (SSD) и карт флэш-памяти.
[00049] На сервере 102 также размещается облачная служба 112, которая предоставляет пользователям выделенное пространство для хранения информации в виде файлов и папок (такая как, например, служба Яндекс.Облако™). В некоторых неограничивающих вариантах осуществления настоящей технологии облачная служба 112 предоставляет пользователю возможность создания виртуальной машины (VM) в облачной службе 112. В некоторых других неограничивающих вариантах осуществления настоящей технологии облачная служба 112 может предоставлять пробные VM бесплатно одному или большему числу пользователей.
[00050] В проиллюстрированном варианте осуществления облачной службы 112 предусмотрено 3 VM, а именно первая VM 114, вторая VM 116 и третья VM 118. Вообще говоря, когда создается виртуальная машина, сервер 102 генерирует ID. По существу, первая VM 114 ассоциирована с первым ID 120, вторая VM ассоциирована со вторым ID 122, а третья VM ассоциирована с третьим ID 124. Излишне говорить, что, хотя в облачной службе 112 показаны только три виртуальные машины, это не является ограничением, и предполагается, что в облачной службе 112 может присутствовать больше или меньше трех VM.
[00051] Сервер 102 дополнительно подключен к базе 126 данных журнала. В некоторых неограничивающих вариантах осуществления настоящей технологии база 126 данных журнала выполнена с возможностью хранения списка сетевых ресурсов, доступ к которым осуществлялся каждой из VM, включенных в облачную службу 112.
[00052] Другими словами, для каждой из первой VM 114, второй VM 116 и третьей VM 118 база 126 данных журнала хранит список сетевых ресурсов, доступ к которым был осуществлен. В некоторых неограничивающих вариантах осуществления настоящей технологии хранится указание всех сетевых ресурсов, к которым был осуществлен доступ соответствующей VM. Само собой разумеется, также предполагается, что сохраняется указание только части сетевых ресурсов, доступ к которым был осуществлен (например 100 сетевых ресурсов, доступ к которым был осуществлен). Указание сетевых ресурсов может быть сохранено в форме сетевого адреса или тому подобного.
[00053] Со ссылкой на фигуру 2 представлена схематичная иллюстрация списка 200, который содержит сетевые ресурсы, доступ к которым был осуществлен первой VM 114.
[00054] На этой иллюстрации список 200 указывает, что первая VM 114 осуществила доступ к набору 210 сетевых ресурсов, который содержит 4 сетевых ресурса, а именно первый ресурс 202, второй ресурс 204, третий ресурс 206 и четвертый ресурс 208. Во избежание сомнений, несмотря на то, что каждый из первого ресурса 202, второго ресурса 204, третьего ресурса 206 и четвертого ресурса 208 проиллюстрирован конкретной буквой, это сделано лишь для упрощения иллюстрации. Действительно, следует понимать, что хранимое в списке 200 содержимое может соответствовать унифицированному указателю ресурса (URL) или IP-адресу соответствующего одного из первого ресурса 202, второго ресурса 204, третьего ресурса 206, и четвертого ресурса 208, доступ к которому был осуществлен посредством первой VM 114.
[00055] В некоторых неограничивающих вариантах осуществления настоящей технологии список 200 дополнительно содержит номер 212 порта протокола управления передачей (TCP) или протокола пользовательских дейтаграмм (UDP), использованного для доступа к соответствующему одному из первого ресурса 202, второго ресурса 204, третьего ресурса 206 и четвертого ресурса 208. Например, номер 214 первого порта ассоциирован с первым ресурсом 202. Другими словами, первая VM 114 осуществила доступ к первому ресурсу 202, используя номер 214 первого порта.
[00056] Аналогично, второй ресурс 204 ассоциирован с номером 216 второго порта , третий ресурс 206 ассоциирован с номером 218 третьего порта, а четвертый ресурс 208 ассоциирован с номером 220 четвертого порта.
[00057] Возвращаясь к фигуре 1, там представлена криптовалютная система 132, которая подключена к сети 104 связи. Реализация криптовалютой системы 132 общеизвестна в данной области техники и не будет здесь подробна описана. Достаточно сказать, что криптовалютная система 132 может быть ассоциирована с системой Bitcoin™, системой Litecoin™, системой Ethereum™ и системой Monero™ и т.п.
[00058] В криптовалютной системе 132 предусмотрен сервер 128 пула. Реализация сервера 128 пула не ограничена и может быть реализована таким же образом, как сервер 102. Сервер 128 пула дополнительно подключен к или имеет доступ к блокчейн-реестру 130 (также известному просто как «ledger»).
[00059] Вообще говоря, криптовалютная система 132 содержит майнеры (не показаны). Основной задачей майнеров является постоянная вставка новых данных в криптовалютную систему 132. Более конкретно, майнеры собирают данные транзакций, происходящих в криптовалютной системе 132, проверяют их и вставляют в структуру, называемую «блоком». Майнеры должны решить математическую вычислительную задачу прежде, чем блок будет помещен в блокчейн-реестр 130 на постоянной основе. Когда блок сливается с блокчейн-реестром 130, майнер получает вознаграждение в виде криптовалюты. Например, если криптовалютная система 132 реализует криптовалюту Bitcoins™, работник получит определенное количество биткойнов. Этот процесс проверки транзакций и получения вознаграждения криптовалютой называется криптовалютным майнингом (или просто «майнингом»).
[00060] В некоторых неограничивающих вариантах осуществления настоящей технологии сервер 128 пула выполнен с возможностью объединения майнеров в майнинговый пул, такой как F2Pool, в котором сервер 128 пула распараллеливает работу по майнингу среди многих майнеров.
[00061] В некоторых неограничивающих вариантах осуществления настоящей технологии протокол связи, используемый в криптовалютной системе 132, является оверлейным протоколом STRATUM. Вообще говоря, оверлейный протокол STRATUM является протоколом связи в открытом виде между сервером 128 пула и майнерами, который построен по протоколу TCP/IP и использует формат JSON-RPC.
[00062] Хотя в криптовалютной системе 132 проиллюстрирован только один экземпляр сервера 128 пула, это сделано для простоты понимания, и должно быть понятно, что криптовалютная система 132 состоит из множества электронных устройств и серверов пулов.
[00063] Сервер 102 выполнен с возможностью исполнения приложения 134 контроля. В некоторых неограничивающих вариантах осуществления настоящей технологии приложение контроля выполнено с возможностью определения для каждой из VM облачной службы 112 одного или более параметров использования, относящихся к такой VM. Более конкретно, приложение 134 контроля выполнено с возможностью контроля использования серверного процессора 110 и использования серверной памяти 108 для записи и чтения для каждой из первой VM 114, второй VM 116 и третьей VM 118.
[00064] Со ссылкой на фигуру 3 представлена схематическая иллюстрация таблицы одного или более параметров использования, ассоциированных с первой VM 114, которая контролируется приложением 134 контроля. Таблица может быть реализована в виде журнала 300 контроля.
[00065] Журнал 300 контроля иллюстрирует использование 302 процессора, использование 304 памяти для чтения и использование 306 памяти для записи первой VM 114 в период различных моментов времени.
[00066] Использование 302 процессора указывает процентную долю процессора, назначенную первой используемой VM 114. Например, предполагается, что предопределенная величина мощности серверного процессора 110 назначается первой VM 114. Таким образом, использование 302 процессора указывает часть назначенной мощности обработки, которая используется в данный момент времени.
[00067] Использование 304 памяти для чтения указывает процент хранилища, такого как серверная память 108, реализованная как HDD или SDD, назначенный первой VM 114 и используемый для чтения. Например, предполагается, что предопределенная величина серверной памяти 108 назначается первой VM 114 для чтения. Таким образом, использование 304 памяти для чтения указывает часть назначенной памяти, используемую для чтения в данный момент времени.
[00068] Использование 306 памяти для записи указывает процент хранилища, такого как серверная память 108, назначенный первой VM 114 и используемый для записи. Например, предполагается, что предопределенная величина серверной памяти 108 назначается первой VM 114 для записи. Таким образом, использование 306 памяти для записи указывает часть назначенной памяти, используемую для записи в данный момент времени.
[00069] Возвращаясь к фигуре 1, сервер 102 выполнен с возможностью исполнения аутентификационного приложения 136. В некоторых неограничивающих вариантах осуществления настоящей технологии аутентификационное приложение 136 выполнено с возможностью определения, участвует ли VM в облачной службе 112 во вредоносной активности, такой как майнинг.
[00070] Хотя описание системы 100 ссылается на различные аппаратные объекты (такие как сервер 102, база 126 данных журнала и сервер 128 пула), которые показаны отдельно, следует понимать, что это сделано для простоты понимания. Предполагается, что различные функции, исполняемые этими различными объектами, могут быть исполнены единым объектом или распределены между различными объектами.
Аутентификационное приложение 136
[00071] Со ссылкой на фигуру 4 приведено схематичное представление процесса обнаружения вредоносной активности. Процесс для обнаружения вредоносной активности исполняется аутентификационным приложением 136 (см. Фигуру 1), реализованным в соответствии с неограничивающим вариантом осуществления настоящей технологии. Аутентификационное приложение 136 исполняет (или иным образом имеет доступ к): процедуру 402 приема и процедуру 404 определения.
[00072] В контексте настоящего описания термин «процедура» (routine) относится к подмножеству исполняемых компьютером программных инструкций аутентификационного приложения 136, которое исполняется серверным процессором 110 (процедура 402 приема, процедура 404 определения). Во избежание каких-либо сомнений следует четко понимать, что процедура 402 приема, процедура 404 определения проиллюстрированы в данном документе как отдельные объекты для упрощения описания процесса, исполняемого аутентификационным приложением 136. Предполагается, что некоторые или все из процедуры 402 приема, процедуры 404 определения могут быть реализованы в виде одной или более объединенных процедур.
[00073] Для простоты понимания настоящей технологии ниже описаны функциональные возможности каждой из процедуры 402 приема, процедуры 404 определения, а также данные и/или хранимые в них.
Процедура 402 приема
[00074] Процедура 402 приема выполнена с возможностью приема пакета 406 данных от приложения 134 контроля (см. Фигуру 1). Пакет 408 данных содержит указание одного или более параметров использования, ассоциированных с первой VM 114 (см. Фигуру 3), второй VM 116 и третьей VM 118.
[00075] В ответ на прием пакета 406 данных процедура 402 приема выполнена с возможностью исполнения следующих функций.
[00076] Во-первых, процедура 402 приема выполнена с возможностью анализа одного или более параметров использования, ассоциированных с каждой из первой VM 114, второй VM 116 и третьей VM 118, и выбора одной или более подозрительных VM на основе анализа одного или более параметров использования.
[00077] Способ определения одной или более подозрительных VW не ограничен. В некоторых неограничивающих вариантах осуществления настоящей технологии процедура 402 приема выполнена с возможностью применения одного или более эвристических правил к одному или более параметрам использования первой VM 114, второй VM 116 и третьей VM 118.
[00078] В некоторых неограничивающих вариантах осуществления настоящей технологии одно или более эвристических правил могут быть определены на основе анализа фактической VM, осуществляющей майнинговые активности в облачной службе 112.
[00079] Лишь как неограничивающий пример, набор эвристических правил может включать в себя одно или более из следующих определений:
• Среднее использование 302 процессора (см. Фигуру 3) выше первого предопределенного порогового значения (например, 90%, 95% и т. п.);
• Коэффициент вариации использования 302 процессора ниже второго предопределенного порогового значения (например, 5%, 10% и т. п.);
• Использование 304 памяти для чтения выше третьего предопределенного порогового значения; например, в сравнении с 0,75 процентилем пользователей VM; и
• Использование 304 памяти для записи ниже четвертого предопределенного порогового значения; например, в сравнении с 0,75 процентилем пользователей VM.
[00080] В некоторых неограничивающих вариантах осуществления настоящей технологии набор эвристических правил может применяться с использованием скользящего окна. Например, рассматривая первую VM 114 в качестве примера, набор эвристических правил применяется в течение предопределенных периодов времени, когда первая VM 114 осуществляет доступ к каждому из первого ресурса 202, второго ресурса 204, третьего ресурса 206 и четвертого ресурса 208. Скользящее окно может составлять несколько часов, несколько дней или любую другую подходящую длительность.
[00081] Предположим, с целью пояснения, что в облачной службе 112 первая VM 114 и вторая VM 116 были определены как подозрительные. Другими словами, по меньшей мере некоторые из одного или более параметров использования, ассоциированных с первой VM 114 и второй VM 116, очень похожи на параметры использования виртуальной VM, занимающейся вредоносной активностью, такой как майнинг. Таким образом, предполагаются, что процедура 402 приема может иметь доступ к набору контрольных параметров, содержащему контрольное среднее использование процессора, контрольный коэффициент вариации использования процессора, контрольное использование памяти для чтения и контрольное использование памяти для записи, и выполнена с возможностью определения, находится ли каждое из среднего использования 302 процессора, коэффициента вариации использования 302 процессора, использования 304 памяти для чтения и использования 306 памяти для записи в пределах предопределенного диапазона соответствующих контрольных параметров в определенный момент времени или во время определенного временного диапазона.
[00082] В некоторых неограничивающих вариантах осуществления настоящей технологии, если один из одного или более параметров использования находится в пределах предопределенного диапазона, ассоциированная VM считается подозрительной. Само собой разумеется, также предполагается, что подозрительность VM может быть основана на том, что более одного из одного или более параметров использования находятся в пределах предопределенных диапазонов.
Процедура 404 определения
[00083] Процедура 402 приема затем выполнена с возможностью передачи пакета 408 данных в процедуру 404 определения. Пакет 408 данных содержит первый ID 120 и второй ID 122, которые соответственно ассоциированы с первой VM 114 и второй VM 116.
[00084] Теперь следует понять, что простой факт того, что некоторые или все вышеперечисленные эвристические правила удовлетворяются для некоторой VM, сам по себе не означает, что данная VM участвует во вредоносной активности (такой как майнинг или тому подобное). Действительно, такая VM может исполнять другие вычислительно затратные или требующие большого объема памяти исполняемые компьютером задачи, такие как декодирование видео, декодирование речи в текст или тому подобное.
[00085] Соответственно, процедура 404 определения выполнена с возможностью проверки, участвует ли подозрительная VM во вредоносной активности, такой как майнинг.
[00086] Чтобы определить, участвует ли одна из первой VM 114 или второй VM 116 во вредоносной активности, такой как майнинг, процедура 404 определения выполнена с возможностью исполнения следующих функций.
[00087] Во-первых, процедура 404 определения выполнена с возможностью извлечения, на основе первого ID 120 и второго ID 122, из базы 126 данных журнала, списка сетевых ресурсов, доступ к которым был осуществлен первой VM 114 (то есть списка 200) и второй VM 116 (не показан).
[00088] После извлечения списков, процедура 404 определения выполнена с возможностью применения одного или более эвристических правил для определения одного или более подозрительных веб-ресурсов, содержащихся в этих списках. Более конкретно, рассматривая первую VM 114 в качестве примера, процедура 404 определения выполнена с возможностью определения, ассоциирован ли один или более веб-ресурсов в списке 200 с вредоносной активностью.
[00089] Помня о том, что список 200 включает в себя номер 212 порта, ассоциированный с каждым из сетевых ресурсов, доступ к которым был осуществлен первой VM 114, одно или более эвристических правил могут включать в себя одно или более из следующих определений:
• Доступ к сетевому ресурсу был осуществлен с использованием одного из TCP-порта 3333, TCP-порта 5555, TCP-порта 7777, TCP-порта 8080, TCP-порта 14433, TCP-порта 14444, TCP-порта 37781, TCP-порта 45700, TCP-порта 45560 и TCP-порта 6667.
[00090] Указанные выше порты были определены на основе понимания разработчиками того, что многие, если не все, связи в криптовалютной системе 132 выполняются с использованием вышеупомянутых портов.
[00091] Таким образом, в некоторых неограничивающих вариантах осуществления настоящей технологии процедура 404 определения выполнена с возможностью анализа одного или более номеров 212 портов, доступ к которым был осуществлен первой VM 114 и второй VM 116, чтобы определить, ассоциирован ли какой-либо ресурс с одним из вышеуказанных номеров портов.
[00092] Предположим, например, что в списке 200 и списке (не показан), ассоциированном со второй VM 116, только номер 214 первого порта соответствует одному из номеров (TCP-порт 3333, TCP-порт 5555, TCP-порт 7777, TCP-порт 8080, TCP-порт 14433, TCP-порт 14444, TCP-порт 37781, TCP-порт 45700, TCP-порт 45560 и TCP-порт 6667). Другими словами, процедура 404 определения определила, что первый ресурс 202 ассоциирован с номером порта, о котором известно, что он ассоциирован с майнинговой активностью (TCP-порт 3333, TCP-порт 5555, TCP-порт 7777, TCP-порт 8080, TCP-порт 14433, TCP-порт 14444, TCP-порт 37781, TCP-порт 45700, TCP-порт 45560 и TCP-порт 6667).
[00093] В некоторых альтернативных неограничивающих вариантах осуществления настоящей технологии аутентификационное приложение 136 может осуществлять доступ к черному списку, содержащему известные сетевые ресурсы, ассоциированные с вредоносной активностью. Например, черный список может включать в себя URL или IP-адрес майнинговых пулов. Таким образом, вместо использования номеров портов процедура 404 определения может быть выполнена с возможностью выявления сетевых ресурсов, доступ к которым был осуществлен первой VM 114 и второй VM 116, которые также присутствуют в черном списке.
[00094] В некоторых альтернативных неограничивающих вариантах осуществления настоящей технологии, если определенная VM осуществила доступ к определенному сетевому ресурсу с использованием номера порта, о котором известно, что он ассоциирован с майнинговой активностью (TCP-порт 3333, TCP-порт 5555, TCP-порт 7777, TCP-порт 8080, TCP-порт 14433, TCP-порт 14444, TCP-порт 37781, TCP-порт 45700, TCP-порт 45560 и TCP-порт 6667), и этот сетевой ресурс находится в черном списке, процедура 404 определения выполнена с возможностью рассмотрения данного сетевого ресурса в качестве подозрительного сетевого ресурса.
[00095] В некоторых неограничивающих вариантах осуществления настоящей технологии процедура 404 определения выполнена с возможностью исполнения робота 410 опроса. Робот 410 опроса может быть реализован в виде программного обеспечения, способного передавать конкретное сообщение, которое ассоциировано с вредоносной активностью. Например, робот 410 опроса выполнен с возможностью передачи сообщения 412 ping (проверки связи) на первый ресурс 202, используя конкретное сообщение, которое ассоциировано с майнинговой активностью.
[00096] Само собой разумеется, также предполагается, что вместо передачи сообщения 412 ping на первый ресурс 202 (определенный как ассоциированный с одним из вышеуказанных номеров портов) процедура 404 определения может быть выполнена с возможностью передачи сообщения 412 ping на каждый из сетевых ресурсов, доступ к которым был осуществлен первой VM 114 и второй VM 116.
[00097] В некоторых неограничивающих вариантах осуществления настоящей технологии сообщение 412 ping содержит первый предопределенный формат.
[00098] В некоторых неограничивающих вариантах осуществления настоящей технологии первый предопределенный формат является форматом, основанном на оверлейном протоколе STRATUM.
[00099] В некоторых неограничивающих вариантах осуществления настоящей технологии первый предопределенный формат может соответствовать сообщению синхронизации в оверлейном протоколе STRATUM, которое передается как часть квитирования ("рукопожатия") TCP.
[000100] В некоторых неограничивающих вариантах осуществления настоящей технологии первый предопределенный формат может соответствовать сообщению подписки майнера или сообщению подписки соединения, передаваемому в формате оверлейного протокола STRATUM. В качестве иллюстрации, сообщение 412 ping может быть реализовано как «mining.subscribe, params,», которое описывает, хоть и несуществующие, возможности майнинга робота 410 опроса.
[000101] Теперь, в ответ на прием сообщения 412 ping, первый ресурс 202 отвечает ответным сообщением 414. Затем процедура 404 определения выполнена с возможностью определения, соответствует ли ответное сообщение 414 сообщению второго предопределенного формата.
[000102] Например, когда сообщение 412 ping соответствует сообщению синхронизации, второй предопределенный формат ответного сообщения 414 соответствует сообщению подтверждения синхронизации, переданному в формате, основанном на оверлейном протоколе STRATUM.
[000103] В другом примере, если сообщение 412 ping соответствует сообщению подписки майнера, второй предопределенный формат ответного сообщения 414 соответствует ответному сообщению подписки в формате, основанном на оверлейном протоколе STRATUM.
[000104] В ответ на определение того, что ответное сообщение 414 имеет второй предопределенный формат, процедура 404 определения определяет, что первый ресурс 202 соответствует ресурсу в криптовалютной системе (такой как криптовалютная система 132). Другими словами, процедура 404 определения выполнена с возможностью определения того, что первая VM 114 участвует в майнинговой активности, посредством осуществления связи с первым ресурсом 202. Например, первый ресурс 202 соответствует ресурсу, ассоциированному с майнинговым пулом, управляемым сервером 128 пула (см. Фигуру 1).
[000105] С другой стороны, если определено, что ответное сообщение не имеет второго предопределенного формата, первый ресурс 202 определяется не ассоциированным с вредоносной активностью.
[000106] В некоторых неограничивающих вариантах осуществления настоящей технологии, в ответ на определение того, что первая VM 114 участвует майнинговой активности в облачной службе 112, процедура 404 определения может быть выполнена с возможностью исполнения корректирующего действия.
[000107] В некоторых неограничивающих вариантах осуществления настоящей технологии корректирующее действие может соответствовать одному из: блокировки всего трафика от облачной службы 112 на первый ресурс 202, блокировки всего трафика от первой VM 114 и завершение работы первой VM 114.
[000108] Хотя приведенное выше описание настоящей технологии было выполнено со ссылкой на облачную службу 112, настоящая технология этим не ограничена. Предполагается, что настоящая технология может быть использована в других окружениях. В качестве иллюстрации предполагается, что первая VM 114, вторая VM 116 и третья VM 118 являются физическими электронными устройствами, соединенными между собой в пределах локальной сети (LAN), которая подключена к сети 104 связи. В такой ситуации предполагается, что устройство наблюдения (не показано), также подключенное к LAN, выполнено с возможностью осуществления функций приложения 134 контроля и аутентификационного приложения 136.
[000109] Учитывая архитектуру и примеры, представленные выше, можно получить реализуемый компьютером способ определения вредоносной активности предопределенного типа. Со ссылкой на Фигуру 5 проиллюстрирована блок-схема последовательности операций способа 500, причем способ 500 может быть исполнен в соответствии с неограничивающими вариантами осуществления настоящей технологии. Способ 500 может быть исполнен сервером 102.
[000110] Этап 502: осуществление доступа электронным устройством наблюдения к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств
[000111] Способ 500 начинается с этапа 502.
[000112] На этапе 502 аутентификационное приложение 136 выполнено с возможностью осуществления доступа к журналам контроля первой VM 114, второй VM 116 и третьей VM 118.
[000113] В некоторых неограничивающих вариантах осуществления настоящей технологии журналы контроля могут быть приняты через пакет 408 данных из приложения контроля.
[000114] Принимая журнал 300 контроля в качестве примера, журнал 300 контроля содержит информацию, касающуюся использования 302 процессора, использования 304 памяти для чтения и использования 306 памяти для записи первой VM 114 в разные периоды времени.
[000115] Этап 504: анализ электронным устройством наблюдения информации об использовании для выявления подмножества электронных устройств, причем электронные устройства упомянутого подмножества являются кандидатами на ассоциирование с вредоносной активностью в WAN
[000116] На этапе 504, аутентификационное приложение 136 выполнено с возможностью анализа одного или более параметров использования, ассоциированных с каждой из первой VM 114, второй VM 116 и третьей VM 118, и выбора одной или более подозрительных VM на основе анализа одного или более параметров использования.
[000117] Способ определения одной или более подозрительных VW не ограничен. В некоторых неограничивающих вариантах осуществления настоящей технологии процедура 402 приема выполнена с возможностью применения одного или более правил к одному или более параметрам использования первой VM 114, второй VM 116 и третьей VM 118.
[000118] Этап 506: анализ электронным устройством наблюдения, для каждого из подмножества электронных устройств, списка сетевых ресурсов, доступ к которым осуществляется соответствующим одним из подмножества электронных устройств через WAN
[000119] На этапе 506 аутентификационное приложение 136 выполнено с возможностью извлечения, из базы 126 данных журнала, списка сетевых ресурсов, доступ к которым был осуществлен одной или более подозрительными VM.
[000120] Например, допустим, что первая VM 114 и вторая VM 116 были определены как подозрительные.
[000121] Соответственно, аутентификационное приложение 136 выполнено с возможностью извлечения, из базы 126 данных журнала, списка сетевых ресурсов, доступ к которым был осуществлен первой VM 114 и второй VM 116.
[000122] Этап 508: исполнение электронным устройством наблюдения робота опроса, причем робот опроса выполнен с возможностью: передачи каждому из списка сетевых ресурсов сообщения ping, причем сообщение ping имеет первый предопределенный формат, сгенерированный на основе вредоносной активности предопределенного типа; прием от по меньшей мере некоторых из списка сетевых ресурсов ответного сообщения
[000123] На этапе 508 аутентификационное приложение 136 выполнено с возможностью исполнения робота 410 опроса.
[000124] Робот 410 опроса выполнен с возможностью передачи сообщения 412 ping сетевым ресурсам, включенным в списки.
[000125] В некоторых неограничивающих вариантах осуществления настоящей технологии сообщение 412 ping передается с помощью оверлейного протокола STRATUM.
[000126] Этап 510: анализ электронным устройством наблюдения ответного сообщения
[000127] На этапе 510 аутентификационное приложение 136 выполнено с возможностью приема и анализа ответного сообщения 414.
[000128] Этап 512: в ответ на то, что ответное сообщение имеет второй предопределенный формат, причем второй предопределенный формат был выявлен на основе вредоносной активности предопределенного типа: определение электронным устройством наблюдения того, что ассоциированный сетевой ресурс, сгенерировавший ответное сообщение, ассоциирован с вредоносной активностью
[000129] На этапе 512 аутентификационное приложение 136 выполнено с возможностью определения, имеет ли ответное сообщение 414 второй предопределенный формат.
[000130] В ответ на то, что ответное сообщение 414 имеет второй предопределенный формат, аутентификационное приложение 136 выполнено с возможностью определения того, что ассоциированный сетевой ресурс ассоциирован с майнинговой активностью, и как таковое выполнено с возможностью определения того, что VM, осуществляющая доступ к этому сетевому ресурсу, задействована в майнинговой активности.
[000131] Модификации и улучшения вышеописанных реализаций настоящей технологии могут стать очевидными для специалистов в данной области техники. Предшествующее описание предназначено для того, чтобы быть примерным, а не ограничивающим. Поэтому подразумевается, что объем настоящей технологии ограничен только объемом прилагаемой формулы изобретения.
[000132] Хотя вышеописанные реализации были описаны и показаны со ссылкой на конкретные этапы, выполняемые в конкретном порядке, следует понимать, что эти этапы могут быть объединены, подразделены или переупорядочены без отклонения от идей настоящей технологии. Соответственно, порядок и группировка этапов ограничением настоящей технологии не являются.

Claims (46)

1. Реализуемый компьютером способ для выявления вредоносной активности предопределенного типа, причем способ исполняется электронным устройством наблюдения, причем электронное устройство наблюдения является частью локальной сети (LAN), причем LAN включает в себя множество электронных устройств, выполненных с возможностью осуществления доступа к сетевым ресурсам через LAN и глобальную сеть (WAN), доступную через LAN, причем способ содержит:
осуществление доступа электронным устройством наблюдения к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств;
анализ электронным устройством наблюдения информации об использовании для выявления подмножества электронных устройств, причем электронные устройства упомянутого подмножества являются кандидатами для ассоциирования с вредоносной активностью в WAN;
анализ электронным устройством наблюдения, для каждого из подмножества электронных устройств, списка сетевых ресурсов, доступ к которым осуществляется соответствующим одним из подмножества электронных устройств через WAN;
исполнение электронным устройством наблюдения робота опроса, причем робот опроса выполнен с возможностью:
передачи каждому из списка сетевых ресурсов сообщения ping, причем сообщение ping имеет первый предопределенный формат, сгенерированный на основе предопределенного типа вредоносной активности;
приема от по меньшей мере некоторых из списка сетевых ресурсов ответного сообщения;
анализ электронным устройством наблюдения ответного сообщения;
в ответ на то, что ответное сообщение имеет второй предопределенный формат, причем второй предопределенный формат был выявлен на основе предопределенного типа вредоносной активности:
определение электронным устройством наблюдения того, что ассоциированный сетевой ресурс, сгенерировавший ответное сообщение, ассоциирован с вредоносной активностью.
2. Способ по п. 1, в котором в ответ на одно из: (i) ответное сообщение не имеет второго предопределенного формата и (ii) отсутствие ответа от определенного одного из списка сетевых ресурсов, определяют, что этот определенный сетевой ресурс из списка сетевых ресурсов не ассоциирован с вредоносной активностью.
3. Способ по п. 1, в котором предопределенный тип представляет собой блокчейн-майнинг.
4. Способ по п. 3, в котором первый предопределенный формат и второй предопределенный формат являются частью оверлейного протокола STRATUM.
5. Способ по п. 4, в котором первый предопределенный формат и второй предопределенный формат являются частью квитирующих сообщений оверлейного протокола STRATUM.
6. Способ по п. 1, в котором информация об использовании ассоциирована с работой части множества электронных устройств.
7. Способ по п. 6, в котором информация об использовании содержит по меньшей мере одно из:
использования процессора;
использование диска для записи; и
использование диска для чтения.
8. Способ по п. 6, в котором анализ информации об использовании содержит применение по меньшей мере одной эвристики к информации об использовании.
9. Способ по п. 8, при этом по меньшей мере одна эвристика содержит:
определение того, что среднее использование процессора выше первого порогового значения;
определение того, что коэффициент вариации использования процессора ниже второго порогового значения;
определение того, что использование диска для чтения выше третьего порогового значения; и
определение того, что использование диска для записи ниже четвертого порогового значения.
10. Способ по п. 1, в котором информация об использовании содержит список сетевых адресов, используемых частью множества электронных устройств для осуществления доступа к сетевым ресурсам через WAN.
11. Способ по п. 10, в котором анализ информации об использовании содержит применение по меньшей мере одной эвристики к информации об использовании.
12. Способ по п. 11, в котором по меньшей мере одна эвристика содержит определение, использует ли доступ к сетевому ресурсу предопределенный порт, ассоциированный с предопределенным типом вредоносной активности.
13. Способ по п. 11, при этом по меньшей мере одна эвристика содержит:
определение, был ли доступ к сетевому ресурсу осуществлен с использованием одного из TCP-порта 3333, TCP-порта 5555, TCP-порта 7777, TCP-порта 8080, TCP-порта 14433, TCP-порта 14444, TCP-порта 37781, TCP-порта 45700, TCP-порта 45560 и TCP-порта 6667.
14. Способ по п. 1, в котором LAN содержит среду облачных вычислений, и при этом множество электронных устройств содержит множество виртуальных машин (VM), исполняемых в среде облачных вычислений.
15. Способ по п. 1, в котором множество вычислительных устройств содержит множество физических электронных устройств, подключаемых к LAN для осуществления доступа к WAN.
16. Способ по п. 1, дополнительно содержащий исполнение корректирующего действия в связи с ассоциированным сетевым ресурсом, который был определен как ассоциированный с вредоносной активностью.
17. Способ по п. 16, в котором корректирующее действие содержит блокировку трафика на ассоциированные сетевые ресурсы из LAN.
18. Способ по п. 16, в котором корректирующее действие содержит блокировку всего сетевого доступа к WAN для определенного электронного устройства, которое осуществило доступ к сетевому ресурсу.
19. Электронное устройство наблюдения для выявления вредоносной активности предопределенного типа, причем электронное устройство наблюдения является частью локальной сети (LAN), причем LAN включает в себя множество электронных устройств, выполненных с возможностью осуществления доступа к сетевым ресурсам через LAN и глобальную сеть (WAN), доступную через LAN, причем электронное устройство наблюдения содержит процессор, выполненный с возможностью:
осуществления доступа к журналу для извлечения информации об использовании, ассоциированной с по меньшей мере частью множества электронных устройств;
анализа информации об использовании для выявления подмножества электронных устройств, причем электронные устройства упомянутого подмножества являются кандидатами для ассоциирования с вредоносной активностью в WAN;
анализа, для каждого из подмножества электронных устройств, списка сетевых ресурсов, доступ к которым осуществляется соответствующим одним из подмножества электронных устройств через WAN;
исполнения робота опроса, причем робот опроса выполнен с возможностью:
передачи каждому из списка сетевых ресурсов сообщения ping, причем сообщение ping имеет первый предопределенный формат, сгенерированный на основе предопределенного типа вредоносной активности;
приема от по меньшей мере некоторых из списка сетевых ресурсов ответного сообщения;
анализа ответного сообщения;
в ответ на то, что ответное сообщение имеет второй предопределенный формат, причем второй предопределенный формат был выявлен на основе предопределенного типа вредоносной активности:
определения того, что ассоциированный сетевой ресурс, сгенерировавший ответное сообщение, ассоциирован с вредоносной активностью.
20. Устройство по п. 19, в котором в ответ на одно из: (i) ответное сообщение не имеет второго предопределенного формата и (ii) отсутствие ответа от определенного одного из списка сетевых ресурсов, процессор выполнен с возможностью определения того, что этот определенный сетевой ресурс из списка сетевых ресурсов не ассоциирован с вредоносной активностью.
RU2019143904A 2019-12-25 2019-12-25 Способ и система для выявления вредоносной активности предопределенного типа в локальной сети RU2752241C2 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
RU2019143904A RU2752241C2 (ru) 2019-12-25 2019-12-25 Способ и система для выявления вредоносной активности предопределенного типа в локальной сети
US16/911,503 US11316893B2 (en) 2019-12-25 2020-06-25 Method and system for identifying malicious activity of pre-determined type in local area network

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2019143904A RU2752241C2 (ru) 2019-12-25 2019-12-25 Способ и система для выявления вредоносной активности предопределенного типа в локальной сети

Publications (3)

Publication Number Publication Date
RU2019143904A RU2019143904A (ru) 2021-06-25
RU2019143904A3 RU2019143904A3 (ru) 2021-06-29
RU2752241C2 true RU2752241C2 (ru) 2021-07-23

Family

ID=76504620

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2019143904A RU2752241C2 (ru) 2019-12-25 2019-12-25 Способ и система для выявления вредоносной активности предопределенного типа в локальной сети

Country Status (2)

Country Link
US (1) US11316893B2 (ru)
RU (1) RU2752241C2 (ru)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3435270B1 (de) * 2017-07-27 2020-09-23 Siemens Aktiengesellschaft Vorrichtung und verfahren zum kryptographisch geschützten betrieb einer virtuellen maschine

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2605473C2 (ru) * 2012-09-20 2016-12-20 Амазон Текнолоджис, Инк. Автоматизированное профилирование использования ресурса
RU2645268C2 (ru) * 2013-10-04 2018-02-19 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Сложное классифицирование для выявления вредоносных программ
US20180196684A1 (en) * 2017-01-06 2018-07-12 International Business Machines Corporation Method, system, and computer program product for application identification in a cloud platform
US10084816B2 (en) * 2015-06-26 2018-09-25 Fortinet, Inc. Protocol based detection of suspicious network traffic

Family Cites Families (71)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5467006A (en) * 1992-12-21 1995-11-14 Ford Motor Company Energy transfer device and method
US7272853B2 (en) 2003-06-04 2007-09-18 Microsoft Corporation Origination/destination features and lists for spam prevention
US8578462B2 (en) 2003-12-12 2013-11-05 Avaya Inc. Method and system for secure session management in a web farm
GB0410724D0 (en) 2004-05-13 2004-06-16 Watkins Daniel R Authorisation system
US7519562B1 (en) 2005-03-31 2009-04-14 Amazon Technologies, Inc. Automatic identification of unreliable user ratings
US7877800B1 (en) 2005-12-19 2011-01-25 Symantec Corporation Preventing fraudulent misdirection of affiliate program cookie tracking
KR20060028463A (ko) 2006-03-09 2006-03-29 정성욱 온라인 광고 시스템에서의 이용자 부정 클릭 추적과 방지시스템 및 그 방법
US7610276B2 (en) 2006-09-22 2009-10-27 Advertise.Com, Inc. Internet site access monitoring
US7827054B2 (en) 2006-09-29 2010-11-02 Ourstage, Inc. Online entertainment network for user-contributed content
US20080162475A1 (en) 2007-01-03 2008-07-03 Meggs Anthony F Click-fraud detection method
KR20080085100A (ko) 2007-01-16 2008-09-23 엔에이치엔(주) 부정클릭 감시 방법 및 장치
US9092510B1 (en) 2007-04-30 2015-07-28 Google Inc. Modifying search result ranking based on a temporal element of user feedback
US7860870B2 (en) 2007-05-31 2010-12-28 Yahoo! Inc. Detection of abnormal user click activity in a search results page
US9349134B1 (en) 2007-05-31 2016-05-24 Google Inc. Detecting illegitimate network traffic
US20090049547A1 (en) 2007-08-13 2009-02-19 Yuan Fan System for real-time intrusion detection of SQL injection web attacks
US9060012B2 (en) 2007-09-26 2015-06-16 The 41St Parameter, Inc. Methods and apparatus for detecting fraud with time based computer tags
US8789171B2 (en) * 2008-03-26 2014-07-22 Microsoft Corporation Mining user behavior data for IP address space intelligence
WO2009140498A2 (en) 2008-05-14 2009-11-19 Board Of Governors For Higher Education, State Of Rhode Island & Providence Plantations Systems and methods for detecting unfair manipulations of on-line reputation systems
US20100262688A1 (en) * 2009-01-21 2010-10-14 Daniar Hussain Systems, methods, and devices for detecting security vulnerabilities in ip networks
EP2222048A1 (en) 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detecting malicious behaviour on a computer network
KR101044274B1 (ko) 2009-11-03 2011-06-28 주식회사 안철수연구소 악성 사이트 검출 장치, 방법 및 컴퓨터 프로그램이 기록된 기록매체
US9098459B2 (en) 2010-01-29 2015-08-04 Microsoft Technology Licensing, Llc Activity filtering based on trust ratings of network
US20110208714A1 (en) 2010-02-19 2011-08-25 c/o Microsoft Corporation Large scale search bot detection
FR2972822A1 (fr) 2011-03-18 2012-09-21 Semiocast Procede et dispositif permettant de reperer et d'etiqueter des pics, des augmentations ou des variations anormales ou execptionnelles du debit d'un flux de documents numeriques
EP3115957A1 (en) 2011-12-28 2017-01-11 Intel Corporation System and method for identifying reviewers with incentives
US20130332468A1 (en) 2012-06-07 2013-12-12 Spigit, Inc. User Reputation in Social Network and eCommerce Rating Systems
US20140114876A1 (en) 2012-10-23 2014-04-24 ReviewBuzz Inc. Systems and methods for obtaining and utilizing online customer service reviews of individual employees
CN103853744B (zh) 2012-11-29 2017-02-22 中国科学院计算机网络信息中心 一种面向用户生成内容的欺骗性垃圾意见检测方法
WO2014104622A1 (ko) 2012-12-24 2014-07-03 한국과학기술정보연구원 이용통계데이터의 이상 자동 탐지 시스템 및 그 방법 그리고 이에 적용되는 장치
US20140214570A1 (en) 2013-01-25 2014-07-31 Bazaarvoice, Inc. Method and system for content submission continuation
US9479516B2 (en) 2013-02-11 2016-10-25 Google Inc. Automatic detection of fraudulent ratings/comments related to an application store
US10348767B1 (en) * 2013-02-26 2019-07-09 Zentera Systems, Inc. Cloud over IP session layer network
US9047628B2 (en) 2013-03-13 2015-06-02 Northeastern University Systems and methods for securing online content ratings
US8661299B1 (en) 2013-05-31 2014-02-25 Linkedin Corporation Detecting abnormalities in time-series data from an online professional network
US9183387B1 (en) 2013-06-05 2015-11-10 Google Inc. Systems and methods for detecting online attacks
WO2015012865A1 (en) 2013-07-26 2015-01-29 Empire Technology Development, Llc Device and session identification
US9558056B2 (en) 2013-07-28 2017-01-31 OpsClarity Inc. Organizing network performance metrics into historical anomaly dependency data
US9542346B2 (en) 2014-01-14 2017-01-10 Netapp, Inc. Method and system for monitoring and analyzing quality of service in a storage system
US10009358B1 (en) 2014-02-11 2018-06-26 DataVisor Inc. Graph based framework for detecting malicious or compromised accounts
US20150264073A1 (en) 2014-03-11 2015-09-17 Vectra Networks, Inc. System and method for detecting intrusions through real-time processing of traffic with extensive historical perspective
US9652354B2 (en) 2014-03-18 2017-05-16 Microsoft Technology Licensing, Llc. Unsupervised anomaly detection for arbitrary time series
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10412050B2 (en) 2014-05-23 2019-09-10 Citrix Systems, Inc. Protect applications from session stealing/hijacking attacks by tracking and blocking anomalies in end point characteristics throughout a user session
US9846896B2 (en) 2014-06-22 2017-12-19 Netspective Communications Llc Aggregation of rating indicators
KR101547999B1 (ko) 2014-09-02 2015-08-27 한국전자통신연구원 악성링크 자동 탐지 장치 및 방법
US10089660B2 (en) 2014-09-09 2018-10-02 Stc.Unm Online review assessment using multiple sources
US9870596B2 (en) 2014-09-18 2018-01-16 International Business Machines Corporation Predicting community development trends
US20160196566A1 (en) 2015-01-07 2016-07-07 Mastercard International Incorporated Methods and Systems of Validating Consumer Reviews
US9602467B2 (en) * 2015-04-06 2017-03-21 Securly, Inc. Web filtering with integrated parental management and reporting
US20160330233A1 (en) 2015-05-07 2016-11-10 Cyber-Ark Software Ltd. Systems and Methods for Detecting and Reacting to Malicious Activity in Computer Networks
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US9832184B2 (en) * 2015-12-15 2017-11-28 Bank Of America Corporation Controls and administration of privileged accounts system
US20170220971A1 (en) 2016-01-28 2017-08-03 International Business Machines Corporation Social networking data processing system based on communication framework with subject matter experts to improve web analytics analysis
EP3200136A1 (en) 2016-01-28 2017-08-02 Institut Mines-Telecom / Telecom Sudparis Method for detecting spam reviews written on websites
US10218733B1 (en) 2016-02-11 2019-02-26 Awake Security, Inc. System and method for detecting a malicious activity in a computing environment
US10505793B2 (en) * 2016-03-29 2019-12-10 Fortinet, Inc. Network appliance health monitor
US10476907B2 (en) 2016-08-10 2019-11-12 Netskope, Inc. Systems and methods of detecting and responding to a data attack on a file system
US10412110B2 (en) * 2016-10-31 2019-09-10 Acentium, Inc. Systems and methods for multi-tier cache visual system and visual modes
US10445680B2 (en) 2017-02-02 2019-10-15 Azuqua, Inc. Engine for modeling and executing custom business processes
US10536482B2 (en) 2017-03-26 2020-01-14 Microsoft Technology Licensing, Llc Computer security attack detection using distribution departure
WO2018222797A1 (en) 2017-06-02 2018-12-06 Walmart Apollo, Llc Systems and methods for product review management with distributed database
US10362057B1 (en) * 2017-06-06 2019-07-23 Acalvio Technologies, Inc. Enterprise DNS analysis
US20180357683A1 (en) 2017-06-08 2018-12-13 International Business Machines Corporation Rating data management
SG11202000090QA (en) 2017-07-12 2020-02-27 Visa Int Service Ass Systems and methods for generating behavior profiles for new entities
US11301910B2 (en) 2017-07-31 2022-04-12 Melini LLC System and method for validating video reviews
US10565372B1 (en) * 2017-08-03 2020-02-18 Amazon Technologies, Inc. Subscription-based multi-tenant threat intelligence service
US11397413B2 (en) 2017-08-29 2022-07-26 Micro Focus Llc Training models based on balanced training data sets
US11539749B2 (en) 2018-06-12 2022-12-27 Netskope, Inc. Systems and methods for alert prioritization using security events graph
US10706376B2 (en) 2018-07-09 2020-07-07 GoSpace AI Limited Computationally-efficient resource allocation
US20200311309A1 (en) 2019-03-26 2020-10-01 Salesforce.Com, Inc. Encryption techniques for cookie security
US11163803B2 (en) 2019-04-29 2021-11-02 Adobe Inc. Higher-order graph clustering

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2605473C2 (ru) * 2012-09-20 2016-12-20 Амазон Текнолоджис, Инк. Автоматизированное профилирование использования ресурса
RU2645268C2 (ru) * 2013-10-04 2018-02-19 БИТДЕФЕНДЕР АйПиАр МЕНЕДЖМЕНТ ЛТД Сложное классифицирование для выявления вредоносных программ
US10084816B2 (en) * 2015-06-26 2018-09-25 Fortinet, Inc. Protocol based detection of suspicious network traffic
US20180196684A1 (en) * 2017-01-06 2018-07-12 International Business Machines Corporation Method, system, and computer program product for application identification in a cloud platform

Also Published As

Publication number Publication date
US11316893B2 (en) 2022-04-26
US20210203689A1 (en) 2021-07-01
RU2019143904A (ru) 2021-06-25
RU2019143904A3 (ru) 2021-06-29

Similar Documents

Publication Publication Date Title
US11550911B2 (en) Multi-representational learning models for static analysis of source code
US10326790B2 (en) Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
US8959643B1 (en) Detecting malware infestations in large-scale networks
US20230185913A1 (en) Building multi-representational learning models for static analysis of source code
US9569449B2 (en) Method and apparatus for autonomic discovery of sensitive content
US10216931B2 (en) Detecting an attempt to exploit a memory allocation vulnerability
US11863571B2 (en) Context profiling for malware detection
US11374946B2 (en) Inline malware detection
US20180302430A1 (en) SYSTEM AND METHOD FOR DETECTING CREATION OF MALICIOUS new USER ACCOUNTS BY AN ATTACKER
US11636208B2 (en) Generating models for performing inline malware detection
KR20230004222A (ko) Dns 메시지를 사용하여 컴퓨터 포렌식 데이터를 선택적으로 수집하는 시스템 및 방법
US10951645B2 (en) System and method for prevention of threat
US11316880B2 (en) Cryptocurrency mining detection using network traffic
RU2752241C2 (ru) Способ и система для выявления вредоносной активности предопределенного типа в локальной сети
JP2024023875A (ja) インラインマルウェア検出
US10171483B1 (en) Utilizing endpoint asset awareness for network intrusion detection
US20220247758A1 (en) Combination rule mining for malware signature generation
Zhang et al. Xen-based virtual honeypot system for smart device
US20230306114A1 (en) Method and system for automatically generating malware signature
CN110784471A (zh) 黑名单采集管理方法、装置、计算机设备及存储介质
US20220245249A1 (en) Specific file detection baked into machine learning pipelines
Khorshed et al. Combating Cyber Attacks in Cloud Systems Using Machine Learning
KR102676386B1 (ko) 인라인 멀웨어 검출
US11930039B1 (en) Metric space modeling of network communication
US20230069731A1 (en) Automatic network signature generation