WO2018026303A1 - Способ и система выявления удаленного подключения при работе на страницах веб-ресурса - Google Patents

Способ и система выявления удаленного подключения при работе на страницах веб-ресурса Download PDF

Info

Publication number
WO2018026303A1
WO2018026303A1 PCT/RU2016/000526 RU2016000526W WO2018026303A1 WO 2018026303 A1 WO2018026303 A1 WO 2018026303A1 RU 2016000526 W RU2016000526 W RU 2016000526W WO 2018026303 A1 WO2018026303 A1 WO 2018026303A1
Authority
WO
WIPO (PCT)
Prior art keywords
computer mouse
remote access
data
web resource
frequency
Prior art date
Application number
PCT/RU2016/000526
Other languages
English (en)
French (fr)
Inventor
Павел Владимирович КРЫЛОВ
Илья Константинович САЧКОВ
Original Assignee
Общество С Ограниченной Ответственностью "Группа Айби"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Группа Айби" filed Critical Общество С Ограниченной Ответственностью "Группа Айби"
Priority to SG11201900858WA priority Critical patent/SG11201900858WA/en
Publication of WO2018026303A1 publication Critical patent/WO2018026303A1/ru
Priority to US16/261,854 priority patent/US10721251B2/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/03Arrangements for converting the position or the displacement of a member into a coded form
    • G06F3/033Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
    • G06F3/0354Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor with detection of 2D relative movements between the device, or an operating part thereof, and a plane or surface, e.g. 2D mice, trackballs, pens or pucks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/03Arrangements for converting the position or the displacement of a member into a coded form
    • G06F3/033Pointing devices displaced or positioned by the user, e.g. mice, trackballs, pens or joysticks; Accessories therefor
    • G06F3/038Control and interface arrangements therefor, e.g. drivers or device-embedded control circuitry
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N5/00Computing arrangements using knowledge-based models
    • G06N5/04Inference or reasoning models
    • G06N5/048Fuzzy inferencing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • H04L67/025Protocols based on web technology, e.g. hypertext transfer protocol [HTTP] for remote control or remote monitoring of applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2203/00Indexing scheme relating to G06F3/00 - G06F3/048
    • G06F2203/038Indexing scheme relating to G06F3/038
    • G06F2203/0383Remote input, i.e. interface arrangements in which the signals generated by a pointing device are transmitted to a PC at a remote location, e.g. to a PC in a LAN

Definitions

  • This technical solution relates to the field of computer technology, and more specifically to methods and systems for detecting remote access when working on the pages of a web resource.
  • the technical problem in this technical solution is to identify a remote connection when working on the pages of a web resource without using special programs, but only using browser tools.
  • the technical result is the expansion of the arsenal of technical means for detecting a remote connection based on the data on the operation of a computer mouse interrupt.
  • the specified technical result is achieved due to the method for detecting remote connections when working on the pages of a web resource, in which pre-collect data on the frequency of the interrupt signal of the computer mouse and train the statistical model based on the above data collected using the machine learning method; receive a signal to interrupt the computer mouse; comparing the frequency of operation of the received interrupt signal of the computer mouse with the above generated statistical model; detect the presence of a remote connection in the event of a deviation in the operation of a computer mouse interrupt.
  • a remote connection detection system when working on the pages of a web resource, comprising: a server configured to collect data on the frequency of the computer mouse interrupt signal, and also train a statistical model based on the above data using a machine learning method and comparing the frequency of operation of the received interrupt signal of a computer mouse with the above generated statistical model; a remote access server configured to receive a signal from a computer mouse from a remote access client; a remote access client configured to transmit a computer mouse interrupt signal to a remote access server; a computer mouse; a browser configured to download a script to collect and transmit data on the frequency of the computer mouse interrupt signal on the user's device.
  • the data on the frequency of the computer mouse motion event are the median and variance of the distribution of the set of time measurements (in ms) between adjacent calls of the mouse motion event.
  • Figure 1 shows an exemplary embodiment of a technical solution according to a method for detecting a remote connection when working on pages of a web resource
  • FIG. 2 shows an exemplary embodiment of a technical solution according to a system for detecting a remote connection when working on the pages of a web resource
  • FIG. 3 shows an exemplary embodiment of a technical solution according to a method for detecting a remote connection when working on pages of a web resource.
  • the diagram shows the essential components involved in the operation of a legitimate user from his device on the pages of a web resource. Also showing the sequence of interaction of components for the initial construction of a statistical model and the subsequent verification of data interruption of a computer mouse.
  • FIG. 4 shows an exemplary embodiment of a technical solution according to a method for detecting a remote connection when working on pages of a web resource.
  • the diagram shows the essential components involved in using remote access tools and making abnormal changes to the interrupt data of a computer mouse. Also showing the sequence of interaction of components to identify the use of remote controls (indicated by the abbreviation UU).
  • the technical solution can be implemented as a distributed computer system.
  • a system means a computer system, a computer (electronic computer), CNC (numerical program control), PL (programmable logic controller), computerized control systems, and any other devices capable of performing a given, well-defined sequence of operations (actions, instructions).
  • An instruction processing device is understood to mean an electronic unit or an integrated circuit (microprocessor) executing machine instructions (programs).
  • An instruction processing device reads and executes machine instructions (programs) from one or more data storage devices.
  • Data storage devices may include, but are not limited to, hard disks (HDDs), flash memory, ROM (read only memory), solid state drives (SSDs), and optical drives.
  • a program is a sequence of instructions for execution by a computer control device or an instruction processing device.
  • a statistical model is a model that describes (to a greater or lesser extent) the relationship between attributes (variables).
  • Machine learning is an extensive subsection of artificial intelligence, a mathematical discipline using sections of mathematical statistics, numerical optimization methods, probability theory, discrete analysis, and extracting knowledge from data.
  • Interruption a signal informing the processor of the occurrence of an event. In this case, the execution of the current sequence of commands is suspended and control is transferred to the interrupt handler, which responds to the event and serves it, after which 5 returns control to the interrupted code.
  • Server - a computer and / or equipment for performing service software on it (including servers of various tasks).
  • the remote access server provides the user through an appropriate client program with an analog of a local terminal (text or graphic) for operation on a remote system.
  • a local terminal text or graphic
  • telnet To provide access to the command line, telnet, RSH and SSH servers are used.
  • graphical terminal To provide access to the graphical terminal (shell), such programs as RDP, VNC, Team Viewer, RemoteAdmin, 15 Ammyy Admin, LiteManager are used.
  • a computer mouse is a mechanical manipulator that converts motion into a control signal.
  • a waveform can be used to position the cursor or scroll pages.
  • an event is a message from software (or parts thereof) that indicates what happened.
  • Step 101 pre-collecting data on the frequency of the interrupt signal of the computer mouse and training the statistical model based on the collected above data using the machine learning method.
  • the data are the median and variance of the distribution of a set of time measurements (in ms) between adjacent calls of the mouse movement event.
  • a set of measurements has a fixed length. This step is performed during the first user sessions in the browser when visiting a protected web resource. Together with the web resource, JavaScript code is loaded into the client’s browser, which collects the frequency of interruption of the computer mouse and transfers them back to the web server for accumulation and subsequent analysis.
  • JavaScript code is loaded into the client’s browser, which collects the frequency of interruption of the computer mouse and transfers them back to the web server for accumulation and subsequent analysis.
  • a similar approach can be implemented in any application or its extension, which does not have the ability to control open ports on the user's device. For example, if the application is implemented as flash (ActionScript) and runs in a browser, you can use exactly the same method. It is understood that the fraudster has not yet attacked the user, and the statistical model obtained during the training will reflect the user's work locally behind his computing device. To build a statistical model, machine learning methods
  • the k-nearest neighbor method As machine learning methods, the k-nearest neighbor method, linear regression, and other clustering and anomaly detection algorithms can be used.
  • a limited data set means that, as a rule, a fraudster’s session under remote control is rather short (1-2 minutes). His task, for example, is to quickly create a payment and leave. In these conditions, you can’t dial enough data. Therefore, approximation is used based on the data that has accumulated.
  • such a function can be the dispersion of the distribution of N random variables that are necessary to reliably determine the use of the remote connection, can be approximated by the function a / (N A 2) + b, where the coefficients a and b are calculated on the basis of variances from the number of random variables obtained during a session on a protected web resource.
  • Step 102 receiving computer mouse movement events
  • Step 103 comparing the response frequency of the obtained computer mouse interrupt signal with the above generated statistical model.
  • Step 104 if there is a deviation in the operation of the interruption of the computer mouse, the owner of the protected web resource is notified that the visitor of the web resource has a remote connection for further reaction on the owner’s side. As a response, there may be, for example, restriction of access to the functionality of a web resource, additional client authorization, interruption of a session with a visitor or recall of previously performed actions, etc. [00047] It is important that it is not the user who is notified, but the owner of the web resource (the bank in the case of a banking account). It makes no sense to show anything in a browser remotely controlled by a scammer.
  • JavaScript code registers its handler on the browser window.onmousemove event.
  • the handler is called by the browser when the mouse is moved.
  • the handler at each call, the difference between the time of the previous call and the current is measured.
  • An intermediate array of counters is used with indices from 0 to a given number (for example, 40). Each time the handler is called, the counter is incremented by one with an index equal to the time difference between the previous call and the current one. Upon reaching the specified number of successively obtained time differences, the median is calculated. These median values are sent to the server. The array of counters is zeroed, and the entire iteration described above is repeated.
  • the obtained median values are accumulated to the specified number - at this stage, data that belongs to the class "user works locally" is accumulated.
  • the specified number is set by the settings of the anomaly detection algorithm and represents a positive number, for example, 100, as shown in the implementation example below.
  • a threshold value is set greater than m + 3 * sd * K, where K - is a tuning parameter that sets the detection sensitivity.
  • K - is a tuning parameter that sets the detection sensitivity.
  • window.onmousemove events are processed in the general event queue of a single threaded browser JavaScript machine, anomalies are also possible with local operation. Therefore, single emissions are not taken into account in the assessment. In remote work, the abnormal values of the median go in groups.
  • 41 - means that the real medians went beyond the bounds of the array of counters, i.e. delays were more than 40 ms.
  • the server is configured to collect data on a frequency 5 of a computer mouse interrupt signal, and also train a statistical model based on the above data using a machine learning method and compare the frequency of a computer mouse interrupt signal with the above generated statistical model.
  • a remote access server configured to receive a signal from a computer mouse from a remote access client
  • a remote access client configured to 20 transmit a computer mouse interrupt signal to a remote access server
  • a browser configured to download a script to collect and transmit data about the frequency of the interrupt signal

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Artificial Intelligence (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Computational Linguistics (AREA)
  • Automation & Control Theory (AREA)
  • Fuzzy Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Debugging And Monitoring (AREA)
  • Information Transfer Between Computers (AREA)
  • Electrically Operated Instructional Devices (AREA)
  • Computer And Data Communications (AREA)

Abstract

Данное техническое решение относится к области вычислительной техники, а точнее к способам и системам выявления удаленного доступа при работе на страницах веб-ресурса. Способ выявления удаленного подключения при работе на страницах веб-ресурса, содержит следующие шаги: предварительно собирают данные о периодичности срабатывания сигнала прерываний компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения; получают сигнал о прерывании компьютерной мыши; сравнивают периодичность срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью; уведомляют пользователя о наличии удаленного подключения при возникновении отклонения в срабатывании прерывания компьютерной мыши. Технический результат - повышение точности выявления подключения удаленного доступа на основе данных о срабатывании прерывания компьютерной мыши.

Description

СПОСОБ И СИСТЕМА ВЫЯВЛЕНИЯ УДАЛЕННОГО
ПОДКЛЮЧЕНИЯ ПРИ РАБОТЕ НА СТРАНИЦАХ ВЕБ-РЕСУРСА ОБЛАСТЬ ТЕХНИКИ
[0001] Данное техническое решение относится к области вычислительной техники, а точнее к способам и системам выявления удаленного доступа при работе на страницах веб-ресурса.
УРОВЕНЬ ТЕХНИКИ [0002] С недавних времен использование электронных ключей (токенов) и смарт-карт, с не извлекаемыми криптографическими ключами, с помощью которых производится подписание юридически значимых документов и денежных переводов, перестало считаться надежным способом защиты от мошенников. Самой распространенной схемой обхода этих средств является использование вредоносного программного обеспечения для несанкционированного сбора учетных данных, пин-кодов, паролей на устройстве «жертвы» с последующим удаленным доступом на его устройство и совершение действий в информационных системах от имени легитимного пользователя.
[0003] Подобные атаки перестали быть единичными, и особенно широкое применение получили у кибермошенников при хищении денежных средств через различные системы онлайн-платежей и дистанционного банковского обслуживания. Для осуществления удаленного доступа часто используются такие общедоступные программы как Microsoft Remote Desktop, TeamViewer, Lite Manager, Ammyy Admin, Remote Admin, семейство на основе VNC. [0004] Самым известным способом выявления использования средств удаленного доступа является фиксирование изменения параметров экрана, таких как его ширина и высота, а также глубина цветности. Например, при удаленном управлении с использованием Microsoft Remote Desktop, по умолчанию используются параметры экрана, с которого осуществляется удаленный доступ. Эти экранные параметры доступны через JavaScript, и соответственно могут быть считаны при доступе пользователя на веб-ресурс. Данным способом пользуется широкий спектр антифрод-решений, таких как ThreatMetrix, RSA Transaction Monitoring, NICE Actimize, Kaspersky Fraud Prevention и другие.
[0005] Однако, в случае использования Microsoft Remote Desktop мошенник может явно установить необходимые параметры экрана, а при использовании других средств удаленного доступа, таких как VNC, Ammyy Admin, TeamViewer, эти параметры по умолчанию будут соответствовать параметрам экрана управляемого устройства. В этом случае удаленное подключение вышеописанным способом не будет выявлено, в чем заключается его существенный недостаток.
СУЩНОСТЬ
[0006] Данное изобретение направлено на устранение недостатков, присущих существующим решениям.
[0007] Технической проблемой в данном техническом решении является выявление удаленного подключения при работе на страницах веб-ресурса без использования специальных программ, а только с использованием средств браузера.
[0008] Техническим результатом является расширение арсенала технических средств для выявления удаленного подключения на основе данных о срабатывании прерывания компьютерной мыши.
[0009] Указанный технический результат достигается благодаря способу выявления удаленного подключения при работе на страницах веб-ресурса, в котором предварительно собирают данные о периодичности срабатывания сигнала прерываний компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения; получают сигнал о прерывании компьютерной мыши; сравнивают периодичность срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью; выявляют наличие удаленного подключения при возникновении отклонения в срабатывании прерывания компьютерной мыши.
[00010] Также указанный технический результат достигается благодаря системе выявления удаленного подключения при работе на страницах веб- ресурса, содержащая: сервер, выполненный с возможностью сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью; сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа; клиент удаленного доступа, выполненный с возможностью передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа; компьютерную мышку; браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания компьютерной мыши на устройстве пользователя.
[00011] В некоторых вариантах осуществления технического решения, данными о периодичности срабатывания события движения компьютерной мыши являются медиана и дисперсия распределения набора временных замеров (в мс) между соседними вызовами события движения мыши.
[00012] В некоторых вариантах осуществления технического решения, при обучении статической модели на основе выбранных данных используют з такой метод машинного обучения как метод k-ближайших соседей или линейную регрессию.
[00013] В некоторых вариантах осуществления технического решения, при обучении статической модели на основе выбранных данных используют аппроксимирующие функции для вычисления параметров, необходимых для выявления использования Средства удаленного доступа.
[00014] Технический результат достигает следующим способом. Известные в уровне техники способы выявления удаленного подключения без использования агентского решения, которые могут анализировать открываемые порты и протоколы общения, состоят в выявлении факта смены разрешения экрана или глубины цвета. Например, при штатной работе пользователя за устройством А экран имеет разрешение 1024 на 768 пикселей, и глубину цвета 32 бита. При удаленном подключении с использованием RDP (Remote Desktop Protocol) по умолчанию клиент удаленного управления использует разрешение экрана устройства Б с которого происходит доступ, а не устройства А. В результате изменяется разрешение экрана и, например, с использованием JavaScript из браузера это можно определить. Значение глубины цвета также может быть снижено относительно оригинального значения в целях снижения объема трафика между управляющим и управляемым устройствами.
[00015] К сожалению, данные способы не срабатывают в большинстве реальных случаев. Во-первых, не сработает против осторожных мошенников, которые имеют возможность получить оригинальное значение разрешения и глубины цвета, и выставить их вручную в параметрах клиента удаленного доступа. Во-вторых, такие широко используемые системы удаленного доступа как VNC, TeamViewer, LiteManager, Remote Admin, Ammyy Admin не изменяют по умолчанию ни разрешения, ни глубины цвета.
[00016] Данное техническое решение предлагает новый способ выявления удаленного подключения, который определяет использование всех вышеперечисленных программ удаленного подключения за счет учета фундаментальных принципов их работы.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ [00017] Признаки и преимущества настоящего изобретения стану очевидными из приводимого ниже подробного описания изобретения и прилагаемых чертежей, на которых:
[00018] На Фиг.1 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса;
[00019] На Фиг. 2 показан примерный вариант осуществления технического решения согласно системе выявления удаленного подключения при работе на страницах веб-ресурса;
[00020] На Фиг. 3 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса. На диаграмме показаны существенные компоненты, участвующие при работе легитимного пользователя со своего устройства на страницах веб-ресурса. Так же показа последовательность взаимодействия компонент для первичного построения статистической модели и последующей проверки данных прерывания компьютерной мыши.
[00021] На Фиг. 4 показан примерный вариант осуществления технического решения согласно способу выявления удаленного подключения при работе на страницах веб-ресурса. На диаграмме показаны существенные компоненты, участвующие при использовании средств удаленного доступа и вносящие аномальные изменения в данные прерывания компьютерной мыши. Так же показа последовательность взаимодействия компонент для выявления использования средств удаленного управления (обозначены сокращением УУ).
ПОДРОБНОЕ ОПИСАНИЕ [00022] Данное техническое решение может быть реализовано на компьютере, в виде системы или машиночитаемого носителя, содержащего инструкции для выполнения вышеупомянутого способа.
[00023] Техническое решение может быть реализовано в виде распределенной компьютерной системы.
[00024] В данном решении под системой подразумевается компьютерная система, ЭВМ (электронно-вычислительная машина), ЧПУ (числовое программное управление), ПЛ (программируемый логический контроллер), компьютеризированные системы управления и любые другие устройства, способные выполнять заданную, чётко определённую последовательность операций (действий, инструкций).
[00025] Под устройством обработки команд подразумевается электронный блок либо интегральная схема (микропроцессор), исполняющая машинные инструкции (программы).
[00026] Устройство обработки команд считывает и выполняет машинные инструкции (программы) с одного или более устройства хранения данных. В роли устройства хранения данных могут выступать, но, не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD), оптические приводы.
[00027] Программа - последовательность инструкций, предназначенных для исполнения устройством управления вычислительной машины или устройством обработки команд.
[00028] Ниже будут описаны термины и понятия, необходимые для осуществления настоящего технического решения.
[00029] Статистическая модель - модель, описывающая (в большей или меньшей степени) взаимосвязь между признаками (переменными).
[00030] Машинное обучение— обширный подраздел искусственного интеллекта, математическая дисциплина, использующая разделы математической статистики, численных методов оптимизации, теории вероятностей, дискретного анализа, и извлекающая знания из данных. [00031] Прерывание— сигнал, сообщающий процессору о наступлении какого-либо события. При этом выполнение текущей последовательности команд приостанавливается и управление передаётся обработчику прерывания, который реагирует на событие и обслуживает его, после чего 5 возвращает управление в прерванный код.
[00032] Сервер— компьютер и/или оборудование для выполнения на нём сервисного программного обеспечения (в том числе серверов тех или иных задач).
[00033] Сервер удалённого доступа обеспечивает пользователя через ю соответствующую клиентскую программу аналогом локального терминала (текстового или графического) для работы на удаленной системе. Для обеспечения доступа к командной строке служат серверы telnet, RSH и SSH. Для обеспечения доступа к графическому терминалу (оболочке) используются такие программы как RDP, VNC, Team Viewer, RemoteAdmin, 15 Ammyy Admin, LiteManager.
[00034] Браузер— прикладное программное обеспечение для просмотра веб-страниц; содержания веб-документов, компьютерных файлов и их каталогов; управления веб-приложениями; а также для решения других задач.
20 [00035] Компьютерная мышь — механический манипулятор, преобразующий движение в управляющий сигнал. В частности, сигнал может быть использован для позиционирования курсора или прокрутки страниц.
[00036] ДБО - дистанционное банковское обслуживание.
25 [00037] В информатике и программировании событие— это сообщение программного обеспечения (либо его части), которое указывает, что произошло.
[00038] Согласно заявляемому техническому решению, способ выявления удаленного подключения при работе на страницах веб-ресурса, зо который показан на Фиг.1 , реализован следующим образом: [00039] Шаг 101: предварительно собирают данные о периодичности срабатывания сигнала прерываний компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения.
[00040] Данными являются медиана и дисперсия распределения набора временных замеров (в мс) между соседними вызовами события движения мышки. Набор замеров имеет фиксированную длину. Данный шаг выполняется при первых сеансах работы пользователя в браузере при посещении защищаемого веб-ресурса. Вместе с веб-ресурсом в браузер клиента загружается JavaScript-код, который производит сбор периодичности прерывания компьютерной мышки и передает их обратно на веб-сервер для накопления и последующего анализа. Аналогичный подход может быть реализован в любом приложении или его расширении, которое не имеет возможности контролировать открытые порты на устройстве пользователя. Например, если приложение реализовано как flash (ActionScript) и запускается в браузере, можно использовать ровно тот же способ. Подразумевается, что мошенник еще не атаковал пользователя, и полученная в ходе обучения статистическая модель будет отражать работу пользователя локально за своим вычислительным устройством. Для построения статистической модели используются методы машинного обучения на основе данных о периодичности срабатывания компьютерной мышки.
[00041] В качестве методов машинного обучения могут быть использованы метод k-ближайших соседей, линейная регрессия, и иные алгоритмы кластеризации и выявления аномалий. В условиях ограниченного набора данных о событии движения мыши возможно использование аппроксимирующих функций для вычисления необходимых параметров для выявления использования Средства удаленного доступа. Под ограниченным набором данных понимается, что как правило, сессия работы мошенника под удаленным управлением довольно короткая (1-2 минуты). Его задача, например, быстро создать платеж и уйти. В этих условиях можно не набрать достаточное количество данных. Поэтому используется аппроксимация на основе тех данных, которые успели накопиться. Например, в качестве такой функции может выступать дисперсия распределения из N случайных величин, которые необходимы для достоверного определения использования удаленного подключения, может быть аппроксимирована функцией a/(NA2) + b, где коэффициенты а и b - вычисляются на основе дисперсий от меньшего количества случайных величин, полученных в ходе сессии работы на защищаемом веб-ресурсе.
[00042] Шаг 102: получают события движения компьютерной мыши;
[00043] Шаг 103: сравнивают периодичность срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью.
[00044] В общем случае сравнивается набор полученных данных, т.к. и при нормальной работе могут быть одиночные выбросы (аномалии)
[00045] Выявляет разницу периодичности прерывания компьютерной мыши со статистической моделью, построенной на этапе обучения. Если она оказывается статистически значимой, то принимается решение, что наличествует удаленное подключение. На основе полученных данных о периодичности прерывания компьютерной мыши и статистической модели, построенной алгоритмом выявления аномалий на этапе обучения, принимается решение, что наличествует удаленное управление.
[00046] Шаг 104: при возникновении отклонения в срабатывании прерывания компьютерной мыши уведомляют владельца защищаемого веб- ресурса о наличии удаленного подключения у посетителя веб-ресурса для последующего реагирования на стороне владельца. В качестве реагирования может быть, например, ограничение доступа к функционалу веб-ресурса, дополнительной авторизации клиента, прерывании сессии работы с посетителем или отзыве ранее совершенных действий, и т.п. [00047] Важно, что уведомляется не пользователь, а владелец веб-ресурса (банк в случае ДБО). Бессмысленно показывать что-либо в браузере под удаленным управлением мошенника.
[00048] Рассмотрим, пример осуществления технического решения.
[00049] JavaScript-код регистрирует свой обработчик на событие window.onmousemove браузера. Обработчик вызывается браузером при передвижении мышки.
[00050] В обработчике при каждом вызове замеряется разница между временем предьщущего вызова и текущего. Используется промежуточный массив счетчиков с индексами от 0 до заданного количества (например, 40). При каждом вызове обработчика увеличивается на единицу счетчик с индексом равным разнице времени предыдущего вызова и текущего. По достижении заданного количества последовательно полученных разниц времен, подсчитывается медиана. Эти значения медианы отправляются на сервер. Массив счетчиков обнуляется, и вся описанная выше итерация повторяется.
[00051] На сервере полученные значения медианы накапливаются до заданного количества - на этом этапе накапливаются данные, которые относятся к классу «пользователь работает локально». Заданное количество задается настройками алгоритма выявления аномалий и представляет собой положительное число, например 100, как показано в примере реализации ниже. По получении заданного количества медиан вычисляется следующая статистическая модель:
[00052] Среднее значение медианы m и ее дисперсия sd;
[00053] Задается пороговое значение большее m+3*sd*K, где К - является настроечным параметром, задающим чувствительность выявления. В пределах [0, m+3*sd) находится 0.07% всего нормального распределения медиан, данный интервал взят из теории статистики.
[00054] Например, в ходе нескольких сессий локальной работы клиента в ДБО были получены следующие значения медианы (в миллисекундах):
ю [00055] [9, 10, 11, 11, 11, 9, 11, 10, 11 , 11, 11 , 11, 11, 11, 11, 9, 9, 11, 11 , 9, 1 1, 1 1, 11, 1 1, 12, 13, 13, 12, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 11, 1 1, 11, 11, 11, 10, 9, 1 1, 11, 1 1, 1 1, 11, 11, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 9, 13, 13, 13, 13, 13, 13, 11, 11, 1 1, 1 1, 1 1, 11, 9, 9, 9, 9, 9, 9, 9]
[00056] m = 10.09
[00057] sd = 1.295641
[00058] при К = 1, пороговое значение равно 13.97692
[00059] После этого все получаемые значения медианы тестируются на вхождение в промежуток [0, m+3*sd*K]. Если медиана выходит за пределы, то считается, что происходит удаленное управление. Это имеет очень простой физический смысл: при плавном движении мышки на стороне мошенника сигналы от нее передаются от клиента удаленного доступа на сервер удаленного доступа с некоторой большей периодичностью (задержкой), что на управляемом устройстве выглядит как дерганное движение мышки (большими скачками).
[00060] Поскольку события window.onmousemove обрабатываются в общей очереди событий однопоточной (single threaded) JavaScript-машины браузера, то аномалии возможны и при локальной работе. Поэтому при оценке одиночные выбросы не учитываются. При удаленной работе аномальные значения медианы идут группами.
[00061] Например, в ходе сессии работы через TeamViewer были получены следующие значения медиан: [41, 41, 41, 41 , 41]
[00062] 41 - значит, что реальные медианы вышли за пределы массива счетчиков, т.е. задержки были более 40 мс.
[00063] В результате среднее из этих медиан выходит за пределы допустимого значения 13.97692.
[00064] Этим способом выявляются такие средства удаленного доступа как RDP и TeamViewer. Другие средства удаленного доступа требуют других алгоритмов выявления основанных на изменении дисперсии периодичности срабатывания событий window.onmousemove. [00065] Согласно заявляемому техническому решению, система выявления удаленного подключения при работе на страницах веб-ресурса, реализована следующим образом:
[00066] Сервер выполнен с возможностью сбора данных о периодичности 5 срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью.
ю [00067] Все подробности реализации сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучение статистической модели на основе полученных данных описаны выше.
[00068] В любом домене узлы потребителей, серверы, магистральные соединения и т.п. рассматриваются как «локальные» для этого домена, в то
15 время как эти элементы в пределах другого домена, рассматриваются как «удаленные».
[00069] сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа;
[00070] клиент удаленного доступа, выполненный с возможностью 20 передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа;
[00071] компьютерная мышка;
[00072] браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания
25 компьютерной мыши на устройстве пользователя.
[00073] Специалист в данной области техники может легко осуществить другие варианты изобретения из рассмотренного описания, раскрытого здесь. Эта заявка предназначена для того, чтобы покрыть любые варианты изобретения, и включая такие отклонения от настоящего изобретения, зо которые появляются в пределах известной или обычной практики в уровне техники. Предполагается, что описание и примеры рассматриваются только как примерные, с сущностью и объёмом настоящего изобретения, обозначенные формулой технического решения.
[00074] Следует принимать во внимание, что настоящее раскрытие не ограничивается точными конструкциями, которые были описаны выше и проиллюстрированы на прилагаемых чертежах, и что различные модификации и изменения могут быть сделаны без отхода от области его применения. Предполагается, что объем технического решения ограничен только прилагаемой формулой.

Claims

ФОРМУЛА
1. Способ выявления удаленного подключения при работе на страницах веб- ресурса, содержащий:
• предварительно собирают данные о периодичности срабатывания события движения компьютерной мыши и обучают статистическую модель на основе собранных вышеуказанных данных с помощью метода машинного обучения;
• получают события движения компьютерной мыши;
• сравнивают периодичность срабатывания полученного события движения компьютерной мыши с вышеуказанной сформированной статистической моделью;
• при возникновении отклонения в срабатывании события движения компьютерной мыши, уведомляют владельца защищаемого веб- ресурса о наличии удаленного подключения у посетителя веб- ресурса для последующего реагирования на стороне владельца.
2. Способ по п.1, характеризующийся тем, что данными о периодичности срабатывания события движения компьютерной мыши являются медиана и дисперсия распределения набора временных замеров (в мс) между соседними вызовами события движения мыши.
3. Способ по п.1, характеризующийся тем, что при обучении статической модели на основе выбранных данных используют такой метод машинного обучения как метод k-ближайших соседей или линейную регрессию.
4. Способ по п.1, характеризующийся тем, что при обучении статической модели на основе выбранных данных используют аппроксимирующие функции для вычисления параметров, необходимых для выявления использования Средства удаленного доступа.
5. Система выявления удаленного подключения при работе на страницах веб-ресурса, содержащая: • сервер, выполненный с возможностью сбора данных о периодичности срабатывания сигнала прерываний компьютерной мыши, а также обучения статистической модели на основе полученных вышеуказанных данных с помощью метода машинного обучения и сравнения периодичности срабатывания полученного сигнала прерывания компьютерной мыши с вышеуказанной сформированной статистической моделью;
• сервер удаленного доступа, выполненный с возможностью получения сигнала от компьютерной мыши от клиента удаленного доступа;
• клиент удаленного доступа, выполненный с возможностью передачи сигнала о прерывании компьютерной мыши на сервер удаленного доступа;
• компьютерная мышка;
• браузер, выполненный с возможностью загрузки скрипта для сбора и передачи данных о периодичности срабатывания сигнала прерывания компьютерной мыши на устройстве пользователя.
PCT/RU2016/000526 2016-08-03 2016-08-09 Способ и система выявления удаленного подключения при работе на страницах веб-ресурса WO2018026303A1 (ru)

Priority Applications (2)

Application Number Priority Date Filing Date Title
SG11201900858WA SG11201900858WA (en) 2016-08-03 2016-08-09 Method and system of remote connection detection when working on web resource pages
US16/261,854 US10721251B2 (en) 2016-08-03 2019-01-30 Method and system for detecting remote access during activity on the pages of a web resource

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
RU2016131909 2016-08-03
RU2016131909A RU2649793C2 (ru) 2016-08-03 2016-08-03 Способ и система выявления удаленного подключения при работе на страницах веб-ресурса

Related Child Applications (1)

Application Number Title Priority Date Filing Date
US16/261,854 Continuation US10721251B2 (en) 2016-08-03 2019-01-30 Method and system for detecting remote access during activity on the pages of a web resource

Publications (1)

Publication Number Publication Date
WO2018026303A1 true WO2018026303A1 (ru) 2018-02-08

Family

ID=61073516

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/RU2016/000526 WO2018026303A1 (ru) 2016-08-03 2016-08-09 Способ и система выявления удаленного подключения при работе на страницах веб-ресурса

Country Status (4)

Country Link
US (1) US10721251B2 (ru)
RU (1) RU2649793C2 (ru)
SG (1) SG11201900858WA (ru)
WO (1) WO2018026303A1 (ru)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
SG11202101624WA (en) 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
SG11202101658UA (en) 2019-04-10 2021-03-30 Group Ib Ltd Method and system of user identification by a sequence of opened user interface windows

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060224898A1 (en) * 2003-05-02 2006-10-05 Ahmed Ahmed E System and method for determining a computer user profile from a motion-based input device
US8677472B1 (en) * 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
RU2530210C2 (ru) * 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы

Family Cites Families (164)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389351B2 (en) * 2001-03-15 2008-06-17 Microsoft Corporation System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
AU2002230541B2 (en) 2000-11-30 2007-08-23 Cisco Technology, Inc. Flow-based detection of network intrusions
US7325252B2 (en) 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US20090138342A1 (en) 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
EP1349081A1 (en) 2002-03-28 2003-10-01 LION Bioscience AG Method and apparatus for querying relational databases
US7496628B2 (en) 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
US8984640B1 (en) 2003-12-11 2015-03-17 Radix Holdings, Llc Anti-phishing
US7392278B2 (en) 2004-01-23 2008-06-24 Microsoft Corporation Building and using subwebs for focused search
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
US8255532B2 (en) 2004-09-13 2012-08-28 Cisco Technology, Inc. Metric-based monitoring and control of a limited resource
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
CN101495969B (zh) 2005-05-05 2012-10-10 思科埃恩波特系统有限公司 识别电子消息中的威胁
US7609625B2 (en) 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US7707284B2 (en) 2005-08-03 2010-04-27 Novell, Inc. System and method of searching for classifying user activity performed on a computer system
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
US8650080B2 (en) 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
EP2005698B1 (en) 2006-04-13 2012-01-04 Art of Defence GmbH Method for providing web application security
US7984500B1 (en) 2006-10-05 2011-07-19 Amazon Technologies, Inc. Detecting fraudulent activity by analysis of information requests
US7865953B1 (en) 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US8238669B2 (en) 2007-08-22 2012-08-07 Google Inc. Detection and classification of matches between time-based media
US7958555B1 (en) 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
WO2009106998A1 (en) 2008-02-28 2009-09-03 Ipharro Media Gmbh Frame sequence comparison in multimedia streams
US8082187B2 (en) 2008-05-07 2011-12-20 AcademixDirect, Inc. Method of generating a referral website URL using website listings in a cookie
US8856937B1 (en) 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8086480B2 (en) 2008-09-25 2011-12-27 Ebay Inc. Methods and systems for activity-based recommendations
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8695091B2 (en) 2009-02-11 2014-04-08 Sophos Limited Systems and methods for enforcing policies for proxy website detection using advertising account ID
WO2010105184A2 (en) 2009-03-13 2010-09-16 Breach Security , Inc. A method and apparatus for phishing and leeching vulnerability detection
US8607340B2 (en) * 2009-07-21 2013-12-10 Sophos Limited Host intrusion prevention system using software and user behavior analysis
US8229219B1 (en) 2009-08-06 2012-07-24 Google Inc. Full-length video fingerprinting
US8600993B1 (en) 2009-08-26 2013-12-03 Google Inc. Determining resource attributes from site address attributes
US8396857B2 (en) 2009-08-31 2013-03-12 Accenture Global Services Limited System to modify websites for organic search optimization
EP2323046A1 (en) 2009-10-16 2011-05-18 Telefónica, S.A. Method for detecting audio and video copy in multimedia streams
US8625033B1 (en) 2010-02-01 2014-01-07 Google Inc. Large-scale matching of audio and video
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8612463B2 (en) 2010-06-03 2013-12-17 Palo Alto Research Center Incorporated Identifying activities using a hybrid user-activity model
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
RU2446459C1 (ru) 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US20130074187A1 (en) 2010-07-26 2013-03-21 Ki Yong Kim Hacker virus security-integrated control device
US8924488B2 (en) 2010-07-27 2014-12-30 At&T Intellectual Property I, L.P. Employing report ratios for intelligent mobile messaging classification and anti-spam defense
BR112013004345B1 (pt) 2010-08-25 2020-12-08 Lookout, Inc. sistema e método para evitar malware acoplado a um servidor
EP2609537A1 (en) 2010-08-26 2013-07-03 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8837769B2 (en) 2010-10-06 2014-09-16 Futurewei Technologies, Inc. Video signature based on image hashing and shot detection
US9626677B2 (en) * 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102082792A (zh) 2010-12-31 2011-06-01 成都市华为赛门铁克科技有限公司 钓鱼网页检测方法及设备
US8972412B1 (en) 2011-01-31 2015-03-03 Go Daddy Operating Company, LLC Predicting improvement in website search engine rankings based upon website linking relationships
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
RU107616U1 (ru) 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система быстрого анализа потока данных на наличие вредоносных объектов
US9363278B2 (en) 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
WO2013009713A2 (en) 2011-07-08 2013-01-17 Uab Research Foundation Syntactical fingerprinting
US20140173287A1 (en) 2011-07-11 2014-06-19 Takeshi Mizunuma Identifier management method and system
GB2493514B (en) 2011-08-02 2015-04-08 Qatar Foundation Copy detection
US8645355B2 (en) 2011-10-21 2014-02-04 Google Inc. Mapping Uniform Resource Locators of different indexes
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
RU2487406C1 (ru) 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US8660296B1 (en) 2012-01-10 2014-02-25 Google Inc. Systems and methods for facilitating video fingerprinting using local descriptors
US9111090B2 (en) 2012-04-02 2015-08-18 Trusteer, Ltd. Detection of phishing attempts
RU2523114C2 (ru) 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
US10304036B2 (en) 2012-05-07 2019-05-28 Nasdaq, Inc. Social media profiling for one or more authors using one or more social media platforms
RU2488880C1 (ru) 2012-05-11 2013-07-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз
US9154517B2 (en) 2012-06-19 2015-10-06 AO Kaspersky Lab System and method for preventing spread of malware in peer-to-peer network
EP2877956B1 (en) 2012-07-24 2019-07-17 Webroot Inc. System and method to provide automatic classification of phishing sites
RU2495486C1 (ru) 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
CN103685174B (zh) 2012-09-07 2016-12-21 中国科学院计算机网络信息中心 一种不依赖样本的钓鱼网站检测方法
US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US10965775B2 (en) 2012-11-20 2021-03-30 Airbnb, Inc. Discovering signature of electronic social networks
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
RU2536664C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
RU129279U1 (ru) 2013-01-09 2013-06-20 ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US20160127402A1 (en) 2014-11-04 2016-05-05 Patternex, Inc. Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system
US10425429B2 (en) 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
GB201306628D0 (en) 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
RU2610586C2 (ru) 2013-05-13 2017-02-13 Общество С Ограниченной Ответственностью "Яндекс" Способ и система обеспечения клиентскому устройству автоматического обновления ip-адреса, соответствующего доменному имени
US9357469B2 (en) 2013-05-29 2016-05-31 Rivada Networks, Llc Methods and system for dynamic spectrum arbitrage with mobility management
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
CN103368958A (zh) 2013-07-05 2013-10-23 腾讯科技(深圳)有限公司 一种网页检测方法、装置和系统
RU2538292C1 (ru) 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
KR102120823B1 (ko) 2013-08-14 2020-06-09 삼성전자주식회사 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템
US9330258B1 (en) 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
CN103491205B (zh) 2013-09-30 2016-08-17 北京奇虎科技有限公司 一种基于视频搜索的关联资源地址的推送方法和装置
EP3061035B1 (en) 2013-10-21 2023-03-22 Microsoft Technology Licensing, LLC Mobile video search
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
IN2013CH05744A (ru) 2013-12-12 2015-06-19 Infosys Ltd
US20150363791A1 (en) 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9060018B1 (en) 2014-02-05 2015-06-16 Pivotal Software, Inc. Finding command and control center computers by communication link tracking
KR101514984B1 (ko) 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
RU2543564C1 (ru) 2014-03-20 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US9332022B1 (en) 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
RU2589310C2 (ru) 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса
US20160110819A1 (en) 2014-10-21 2016-04-21 Marc Lauren Abramowitz Dynamic security rating for cyber insurance products
JP6916112B2 (ja) 2014-11-21 2021-08-11 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
US10574675B2 (en) 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US10230526B2 (en) 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
CN104504307B (zh) 2015-01-08 2017-09-29 北京大学 基于拷贝单元的音视频拷贝检测方法和装置
US9712549B2 (en) 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
EP3065076A1 (en) 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
US9712553B2 (en) 2015-03-27 2017-07-18 The Boeing Company System and method for developing a cyber-attack scenario
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
RU164629U1 (ru) 2015-06-30 2016-09-10 Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5
EP3125147B1 (en) 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
CN106506435B (zh) 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017049045A1 (en) 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
CN105429956B (zh) 2015-11-02 2018-09-25 重庆大学 基于p2p动态云的恶意软件检测系统及方法
US10200382B2 (en) 2015-11-05 2019-02-05 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
RU2622870C2 (ru) 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US9894036B2 (en) 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
CN106709777A (zh) 2015-11-18 2017-05-24 阿里巴巴集团控股有限公司 一种订单聚类方法及装置,以及反恶意信息的方法及装置
US10594710B2 (en) 2015-11-20 2020-03-17 Webroot Inc. Statistical analysis of network behavior using event vectors to identify behavioral anomalies using a composite score
RU2613535C1 (ru) 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
EP3373179B1 (en) 2015-12-14 2019-08-07 Mitsubishi Electric Corporation Information processing device, information processing method, and information processing program
US9723344B1 (en) 2015-12-29 2017-08-01 Google Inc. Early detection of policy violating media
US11069370B2 (en) 2016-01-11 2021-07-20 University Of Tennessee Research Foundation Tampering detection and location identification of digital audio recordings
RU2628192C2 (ru) 2016-01-27 2017-08-15 Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов
US9900338B2 (en) 2016-02-09 2018-02-20 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data
US10237259B2 (en) 2016-02-29 2019-03-19 Securekey Technologies Inc. Systems and methods for distributed identity verification
US10063572B2 (en) 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10313382B2 (en) 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
US10212145B2 (en) 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
US10178107B2 (en) 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names
CN105897714B (zh) 2016-04-11 2018-11-09 天津大学 基于dns流量特征的僵尸网络检测方法
RU2625050C1 (ru) 2016-04-25 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ признания транзакций доверенными
US11223598B2 (en) 2016-05-03 2022-01-11 Nokia Of America Corporation Internet security
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2636702C1 (ru) 2016-07-07 2017-11-27 Общество С Ограниченной Ответственностью "Яндекс" Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций
US20180012144A1 (en) 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
CN106131016B (zh) 2016-07-13 2019-05-03 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US10212133B2 (en) 2016-07-29 2019-02-19 ShieldX Networks, Inc. Accelerated pattern matching using pattern functions
WO2018025157A1 (en) 2016-07-31 2018-02-08 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10498761B2 (en) 2016-08-23 2019-12-03 Duo Security, Inc. Method for identifying phishing websites and hindering associated activity
US10313352B2 (en) 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
WO2018095192A1 (zh) 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
CN106713312A (zh) 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US20190014149A1 (en) 2017-07-06 2019-01-10 Pixm Phishing Detection Method And System
CN107392456A (zh) 2017-07-14 2017-11-24 武汉理工大学 一种融合互联网信息的多角度企业信用评估建模方法
RU2670906C9 (ru) 2017-12-28 2018-12-12 Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060224898A1 (en) * 2003-05-02 2006-10-05 Ahmed Ahmed E System and method for determining a computer user profile from a motion-based input device
US8677472B1 (en) * 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
RU2530210C2 (ru) * 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы

Also Published As

Publication number Publication date
US20190166140A1 (en) 2019-05-30
RU2016131909A (ru) 2018-02-08
RU2649793C2 (ru) 2018-04-04
SG11201900858WA (en) 2019-02-27
US10721251B2 (en) 2020-07-21

Similar Documents

Publication Publication Date Title
US11265350B2 (en) Cyber risk analysis and remediation using network monitored sensors and methods of use
CN109831465B (zh) 一种基于大数据日志分析的网站入侵检测方法
US9954882B2 (en) Automatic baselining of anomalous event activity in time series data
Hu et al. A simple and efficient hidden Markov model scheme for host-based anomaly intrusion detection
US10657469B2 (en) Automated security incident handling in a dynamic environment
US6671811B1 (en) Features generation for use in computer network intrusion detection
US10986107B2 (en) Systems and methods for detecting anomalous software on a programmable logic controller
US8225401B2 (en) Methods and systems for detecting man-in-the-browser attacks
US10534908B2 (en) Alerts based on entities in security information and event management products
US9762597B2 (en) Method and system to detect and interrupt a robot data aggregator ability to access a website
CN105913257A (zh) 用于检测欺诈性在线交易的系统和方法
US10721251B2 (en) Method and system for detecting remote access during activity on the pages of a web resource
KR101796205B1 (ko) 보안 강화를 위해 입력된 명령어 학습 기반 이상 사용자를 탐지하는 서버 접근 통제 시스템
CN113767613A (zh) 管理iot网络中的数据和数据使用
Akram et al. Meet the Sherlock Holmes’ of side channel leakage: A survey of cache SCA detection techniques
US11528261B2 (en) Dynamic unauthorized activity detection and control system
CN110930161A (zh) 业务操作的操作时间的确定方法和自助业务操作设备
RU2659736C1 (ru) Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
WO2020209744A1 (ru) Идентификация пользователя по последовательности открываемых окон пользовательского интерфейса
WO2016034935A1 (en) Protecting against phishing attacks
EP2750066A2 (en) System and method for detecting malware that interferes with a user interface
EP4060533A1 (en) Detecting a current attack based on signature generation technique in a computerized environment
RU2801674C2 (ru) Способ и система идентификации пользователя по последовательности открываемых окон пользовательского интерфейса
JP2021529366A (ja) リモート・アプリケーションを提供するサーバのセキュリティ
KR20150088047A (ko) 접속시간 기준 평판생성 방법, 그리고 이를 이용한 DDoS 방어 방법 및 시스템

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 16911743

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 16911743

Country of ref document: EP

Kind code of ref document: A1