[go: up one dir, main page]

RU2769075C1 - Система и способ активного обнаружения вредоносных сетевых ресурсов - Google Patents

Система и способ активного обнаружения вредоносных сетевых ресурсов Download PDF

Info

Publication number
RU2769075C1
RU2769075C1 RU2021116850A RU2021116850A RU2769075C1 RU 2769075 C1 RU2769075 C1 RU 2769075C1 RU 2021116850 A RU2021116850 A RU 2021116850A RU 2021116850 A RU2021116850 A RU 2021116850A RU 2769075 C1 RU2769075 C1 RU 2769075C1
Authority
RU
Russia
Prior art keywords
suspicious
address
module
computing device
services
Prior art date
Application number
RU2021116850A
Other languages
English (en)
Inventor
Дмитрий Александрович Волков
Николай Сергеевич Прудковский
Original Assignee
Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Группа АйБи ТДС" filed Critical Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority to RU2021116850A priority Critical patent/RU2769075C1/ru
Application granted granted Critical
Publication of RU2769075C1 publication Critical patent/RU2769075C1/ru
Priority to NL2031466A priority patent/NL2031466B1/en
Priority to US17/828,396 priority patent/US12088606B2/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4541Directories for service discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2514Translation of Internet protocol [IP] addresses between local and global IP addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в повышении точности обнаружения компрометации защищаемой инфраструктуры злоумышленниками или вредоносными программами. Технический результат достигается за счёт того, что получают модулем связи внутреннего устройства трафик; выявляют модулем анализа внутреннего устройства подозрительный IP-адрес; сканируют модулем сканирования внутреннего устройства подозрительное устройство с подозрительным IP-адресом, получают список запущенных сервисов; отправляют модулем связи внутреннего устройства подозрительный IP-адрес и список сервисов на внешнее устройство; сравнивают модулем анализа внешнего устройства список сервисов с известными вредоносными сервисами; при наличии таких сервисов создают модулем оповещения внешнего устройства отчет об обнаружении вредоносной активности; на отсутствие совпадений вычисляют аналитическим модулем внешнего устройства интервал владения подозрительным IP-адресом, и если интервал меньше порогового значения, то считают подозрительное устройство вредоносным и создают модулем оповещения внешнего устройства отчет о вредоносной активности, если интервал владения больше порогового значения, считают подозрительное устройство легитимным. 2 н. и 6 з.п. ф-лы, 5 ил.

Description

ОБЛАСТЬ ТЕХНИКИ
[001] Описанная технология относится к области вычислительной техники, а именно к системам и способам активного обнаружения вредоносных сетевых ресурсов.
УРОВЕНЬ ТЕХНИКИ
[002] Сетевыми ресурсами в рамках настоящего описания называются вычислительные устройства, то есть программно-аппаратные комплексы, выполненные с возможностью обмена данными с вычислительной сетью, например, сетью Интернет, и находящиеся внутри сетевой инфраструктуры. В частности, сетевым ресурсом в терминах данной заявки может являться рабочая станция, подключенная к локальной вычислительной сети. Также сетевым ресурсом может являться ноутбук, нетбук, планшет, смартфон, устройство «интернета вещей» (IoT), сервер, маршрутизатор, сетевой экран или, без ограничений, любое другое программно-аппаратное решение, удовлетворяющее вышеназванным критериям.
[003] Термин сетевая инфраструктура в рамках данного описания понимается в общепринятом смысле; это совокупность программного обеспечения и аппаратных средств, создающая основу для эффективного обмена информацией и способная стать предметом интереса злоумышленников. Такова, например, компьютерная сеть предприятия, содержащая серверы, рабочие станции, маршрутизаторы и т.д.
[004] При этом подразумевается, что сетевая инфраструктура имеет так называемый периметр, то есть условную границу, образуемую самой архитектурой сети, настройками используемых аппаратных и программных средств, и позволяющую разделять сетевые ресурсы, находящиеся «внутри» инфраструктуры, как, например, рабочая станция одного из пользователей компьютерной сети предприятия, и ресурсы, находящиеся «извне», например, серверы, используемые для хостинга сайта googl.com. В рамках настоящего описания первые устройства называются внутренними сетевыми устройствами, а вторые - внешними сетевыми устройствами.
[005] Вредоносным сетевым ресурсом в рамках настоящего описание называется внешний сетевой ресурс, то есть такой, который находится «извне» инфраструктуры и принадлежит злоумышленнику. При этом предполагается, что «внутри» инфраструктуры находится по меньшей мере один скомпрометированный сетевой ресурс, то есть такой, который исходно был предназначен для выполнения легитимных задач, но затем был скомпрометирован злоумышленником или вредоносной программой.
[006] В качестве неограничивающего примера скомпрометированного сетевого ресурса может быть названа рабочая станция, скомпрометированная в ходе фишинговой атаки. Вредоносные программы, установленные на ней в результате компрометации, выполняют обмен инструкциями с внешним сетевым ресурсом, сервером злоумышленника.
[007] Обнаружение факта такого обмена инструкциями между одним из внутренних устройств защищаемой инфраструктуры и внешним сервером, принадлежащим злоумышленнику, является индикатором (показателем) компрометации инфраструктуры.
[008] Традиционный подход к выявлению подобных ситуаций основан на анализе трафика, то есть той информации, которой вычислительные устройства, составляющие данную инфраструктуру, обмениваются между собой, а также с внешними сетевыми устройствами.
[009] Традиционный подход обычно подразумевает размещение внутри защищаемой инфраструктуры вычислительного устройства, например, сервера, выполняющего функции получения и анализа трафика. В результате анализа выявляют аномалии трафика, то есть данные, указывающие на выполнение по меньшей мере одним устройством, входящим в состав защищаемой инфраструктуры, нетипичных, «аномальных» операций (например, обмена данными с внешним устройством, принадлежащим злоумышленнику), что и считают индикатором (показателем) компрометации.
[010] Собственно трафик может выглядеть, например, следующим образом:
[11]
Figure 00000001
[12]
Figure 00000002
[013] При этом следует заметить, что в настоящее время практически весь трафик, как легитимный, так и вредоносный, зашифрован. Это означает, что прямое «чтение» данных сильно затруднено или вообще невозможно. Поэтому общепринятый подход к анализу трафика подразумевает использование машинного обучения; на основе заведомо легитимного трафика так или иначе обучают модели, и с их помощью обнаруживают ситуации, когда трафик перестает походить на легитимный.
[014] Однако, все известные на сегодня способы анализа трафика методами машинного обучения имеют общую серьезную проблему: при таком подходе часто происходят ложные срабатывания, когда легитимный трафик принимают за вредоносный. Внутренние вычислительные устройства ведут легитимный обмен информацией с внешними легитимными вычислительными устройствами (например, с веб-серверами компаний-контрагентов, с интернет-магазинами, и т.д.), но какие-то особенности этого трафика вызывают срабатывание системам анализа трафика, выдающих предупреждение о возможной компрометации инфраструктуры. Это создает значительную неоправданную нагрузку на системы кибербезопасности и серьезно осложняет практическое применение подобных решений.
[015] Из уровня техники известно множество решений, основанных на анализе сетевого трафика.
[016] Например, известно решение US 8533819 В2 (AT&T Corp.AT&T Intellectual Property II LP), «METHOD AND APPARATUS FOR DETECTING COMPROMISED HOST COMPUTERS», опубликованное 10.07.2013. Оно раскрывает подход к обнаружению скомпрометированных хостов (компьютеров), основанный на анализе трафика. Описываемый подход основан на выделении периодических шаблонов потоков (фрагментов трафика) между клиентом и сервером, и далее на классификации подозрительных вычислительных устройство по их профилям трафика. Однако, указанное решение не раскрывает способ выявления самого факта компрометации какого-либо вычислительного устройства, например, того вычислительного устройства, которое первым подверглось атаке злоумышленников; оно рассчитано на выявление бот-нетов, то есть совокупностей устройств, о которых уже известно, что они выполняют задачи злоумышленников. В то же время, описанное ниже решение, во-первых, решает именно задачу выявления компрометации устройств, о которых это ранее не было известно, и во-вторых, упрощает решение данной задачи за счет использования сравнения уникальных отпечатков служб/сервисов, запущенных на внешнем подозрительном вычислительном устройстве.
[017] Из уровня техники также известен патент US 7512980 В2 (Cisco Technology Inc.) «Р АСКЕТ SAMPLING FLOW-BASED DETECTION OF NETWORK INTRUSIONS», опубликован 31.03.2009, в котором описан выявления аномалий трафика, основанный на статистическом анализе, то есть на накоплении данных и обучении на накопленных данных неких решающих правил, классификаторов. Этому способу будет присущ упомянутый выше недостаток, касающийся частых ложных срабатываний; кроме того, подобный подход потребует накопления достаточного количества данных, что означает большие затраты времени и ресурсов.
[018] Также из уровня техники известно решение, описанное в патенте US 9043920 В2 (Tenable Inc) «SYSTEM AND METHOD FOR DENTIFYING EXPLOITABLE WEAK POINTS IN A NETWORK», опубликованном 02.01.2014. Публикация раскрывает способ определение уязвимых мест сети путем проведения внешнего сканирования вычислительных устройств. Однако, указанный способ построен на анализе так называемых «доверительных отношений», к которым относят открытые порты, TCP-соединения, подключения устройств защищаемой инфраструктуры к внешним системам, прием ими внешнего трафика и т.д., причем такие «доверительные отношения» постоянно анализируют для всех устройств защищаемой инфраструктуры, что означает большие затраты времени и ресурсов. Более того, хорошо известно, что внешнее сканирование, то есть такое, которое выполняется не из скомпрометированной инфраструктуры, далеко не всегда эффективно, поскольку злоумышленник, скомпрометировавший инфраструктуру, обычно имеет возможность обнаружить и заблокировать такое сканирование, ведь IP-адреса тех вычислительных устройств, с которых осуществляется сканирование, будут отличаться от известных злоумышленнику IP-адресов устройств, входящих в скомпрометированную инфраструктуру.
[019] Кроме того, из уровня техники известно решение US 10630674 В2 (Citrix Systems Inc), «SYSTEMS AND METHODS FOR PERFORMING TARGETED SCANNING OF A TARGET RANGE OF IP ADDRESSES TO VERIFY SECURITY CERTIFICATES)), опубликованное 31.01.2019. Данное решение раскрывает способ обнаружения поддельных сертификатов безопасности и подозрительной активности посредством сканирования диапазона IP-адресов и выявления всех сертификатов (например, сертификатов SSL) обслуживающихся через все порты, открытые на вычислительных устройствах, принадлежащих к данному диапазону IP-адресов. Однако, данный способ, во-первых, не раскрывает способ определения вредоносной активности вычислительного устройства, для которого отсутствуют совпадения выявленных сертификатов безопасности с сертификатами, известными из реестра интернет-ресурсов, а во-вторых, характеризуется пониженным быстродействием за счет необходимости выполнения дополнительных запросов к внешним системам.
[020] Известен также патент RU 2 722 693 С1 (ООО ««Группа АйБи ТДС»), «СПОСОБ И СИСТЕМА ВЫЯВЛЕНИЯ ИНФРАСТРУКТУРЫ ВРЕДОНОСНОЙ ПРОГРАММЫ ИЛИ КИБЕРЗЛОУМЫШЛЕННИКА», опубликованный 03.06.2020. В этом патенте предлагается способ выявления инфраструктуры вредоносной программы или злоумышленника, в котором получают запрос, содержащий элемент инфраструктуры и тэг о принадлежности данного элемента вредоносной программе или злоумышленнику; на основании дальнейшего анализа этих данных устанавливают связи полученного элемента с другими элементами инфраструктуры, принадлежащей определенным вредоносным программам или злоумышленникам, таким образом раскрывая эту инфраструктуру. Несмотря на то, что это известное решение так же, как и описанное ниже, использует сведения об IP-адресах, связанных с ними доменах, открытых на них портах и запущенных сервисах, оно нацелено на достижение принципиально другого результата: раскрытие априори неизвестной инфраструктуры, построенной злоумышленниками, то есть инструмента атаки. Тогда как решение, описанное ниже, нацелено на выявление факта компрометации защищаемой инфраструктуры, то есть самого факта атаки.
[021] Наконец, из уровня техники известно решение US 10284595 В2 (Citrix Systems Inc), «COMBINING INTERNET ROUTING INFORMATION WITH ACCESS LOGS TO ASSESS RISK OF USER EXPOSURE», опубликованное 10.11.2016. Данное решение направлено на идентификацию сетевой атаки, выполнения оценки риска сетевой атаки или смягчения сетевой атаки путем оценки информации маршрутизации и журналов доступа. При этом в описанном методе дополнительно осуществляют мониторинг регистраторов доменных имен для обнаружения изменений, а также контроль сертификатов. Однако, подход, основанный на мониторинге регистраторов доменных имен, не отвечает условиям быстрого и точного обнаружения скомпрометированных вычислительных устройств. Кроме того, используемые в соответствии с предлагаемым способом подходы к обнаружению аномалий в сетевом трафике помогают на первом этапе получить более точную информацию о потенциально вредоносном вычислительном устройстве, чем описанная в данном известном решении периодическая обработка данных маршрутизации.
[022] На основании результатов исследования уровня техники можно сделать вывод, что существует потребность в техническом решении, устраняющим недостатки описанных выше подходов. Описываемое ниже решение создано для решения по меньшей мере части проблем, выявленных при анализе предшествующего уровня техники. Кроме того, предлагаемый способ повышает точность и расширяет покрытие обнаруживаемых сетевых атак.
РАСКРЫТИЕ (СУЩНОСТЬ) ТЕХНОЛОГИИ
[023] Задача предполагаемого изобретения заключается в разработке способа и системы активного обнаружения вредоносных сетевых ресурсов.
[024] Техническим результатом заявленной технологии является повышение точности обнаружения компрометации защищаемой инфраструктуры злоумышленниками или вредоносными программами.
[025] Технический результат достигается за счет того, что система активного обнаружения вредоносных сетевых ресурсов содержит внешнее вычислительное устройство, установленное извне инфраструктуры, выполненное с возможностью связи с устройствами инфраструктуры, устройство, содержащее, по меньшей мере модуль связи, модуль сканирования, модуль оповещения, модуль анализа, модуль памяти, хранящий набор инструкций, при исполнении их процессором обеспечивающих выполнение описываемого способа, базу данных, содержащую сведения об известных вредоносных сервисах, базу данных, содержащую исторические сведения об активности различных IP-адресов, графовую модель сети Интернет; кроме того, система активного обнаружения вредоносных сетевых ресурсов содержит внутреннее вычислительное устройство, установленное внутри инфраструктуры, выполненное с возможностью получения исходящего трафика инфраструктуры и содержащее, по меньшей мере, модуль связи, модуль сканирования, модуль анализа, модуль памяти, хранящий набор инструкций, при исполнении их процессором обеспечивающих выполнение описываемого способа.
[026] Данный технический результат также достигается за счет того, что способ активного обнаружения вредоносных сетевых ресурсов, выполняемый в распределенной вычислительной системе, содержит шаги, на которых получают, посредством модуля связи внутреннего вычислительного устройства, исходящий трафик инфраструктуры, выявляют, посредством модуля анализа внутреннего вычислительного устройства, в исходящем трафике по меньшей мере один подозрительный IP-адрес, сканируют, посредством модуля сканирования внутреннего вычислительного устройства, по меньшей мере одно подозрительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, и получают список сервисов, запущенных на подозрительном устройстве, отправляют, посредством модуля связи внутреннего вычислительного устройства, по меньшей мере один подозрительный IP-адрес и полученный список сервисов на внешнее вычислительное устройство, сравнивают, посредством модуля анализа внешнего вычислительного устройства, полученный список сервисов со сведениями об известных вредоносных сервисах, и в ответ на совпадение по меньшей мере одного сервиса из полученного списка сервисов со сведениями об известных вредоносных сервисах считают подозрительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, вредоносным, и создают, посредством модуля оповещения внешнего вычислительного устройства, по меньшей мере один отчет об обнаружении вредоносной активности в инфраструктуре. Притом в ответ на отсутствие совпадений сервисов из полученного списка сервисов со сведениями об известных вредоносных сервисах, вычисляют, посредством аналитического модуля внешнего вычислительного устройства, интервал владения по меньшей мере одним подозрительным IP-адресом, и в ответ на то, что вычисленная продолжительность интервала владения меньше порогового значения, считают подозрительное устройство вредоносным и создают, посредством модуля оповещения внешнего вычислительного устройства, по меньшей мере один отчет об обнаружении вредоносной активности в инфраструктуре. Притом в ответ на то, что вычисленная продолжительность интервала владения больше порогового значения считают подозрительное устройство легитимным.
[027] В частном варианте реализации описываемого способа в ответ на недоступность по меньшей мере одного подозрительного устройства, расположенного на подозрительном IP-адресе, для модуля сканирования внутреннего вычислительного устройства, передают на внешнее вычислительное устройство, посредством модуля связи внутреннего вычислительного устройства, информацию о по меньшей мере одном подозрительном IP-адресе, выполняют сканирование подозрительного устройства, расположенного на по меньшей мере одном подозрительном IP-адресе, посредством модуля сканирования внешнего вычислительного устройства, и получают, посредством модуля сканирования внешнего вычислительного устройства, список сервисов, запущенных на подозрительном устройстве.
[028] В другом частном варианте реализации описываемого способа для выявления в исходящем трафике по меньшей мере одного подозрительного IP-адреса выявляют в исходящем трафике по меньшей мере один аномальный фрагмент трафика, извлекают из выявленного по меньшей мере одного аномального фрагмента трафика по меньшей мере один IP-адрес вычислительного устройства, которому адресован данный по меньшей мере один фрагмент трафика, и считают извлеченный по меньшей мере один IP-адрес подозрительным.
[029] Еще в одном частном варианте реализации описываемого способа для выявления в исходящем трафике по меньшей мере одного аномального фрагмента трафика используют по меньшей мере один из следующих способов: при помощи заблаговременно обученной на размеченном трафике глубокой нейросети, посредством предварительно обученного на семплах легитимного трафика одноклассового классификатора OneClassSVM, при помощи заранее обученных на размеченной выборке моделей машинного обучения, таких как RandomForestClassifier, XGBoost, KNN, AdaBoost и др., посредством поиска заранее сформированных сигнатур признаков, при помощи методов скользящего окна и сбора статистических признаков с логов трафика, либо путем комбинирования этих способов.
[030] Еще в одном частном варианте реализации описываемого способа для получения сведений об известных вредоносных сервисах, связанных с по меньшей мере одним подозрительным IP-адресом, используют графовую модель сети Интернет.
[031] Еще в одном частном варианте реализации описываемого способа для вычисления интервала владения по меньшей мере одним подозрительным IP-адресом используют исторические данные об активности IP-адресов.
[032] Еще в одном частном варианте реализации описываемого способа по меньшей мере один сформированный отчет об обнаружении вредоносной активности передают посредством по меньшей мере одного из следующих способов коммуникации: электронной почты (e-mail), SMS, MMS, push-уведомления, сообщения в программе обмена мгновенными сообщениями, события API.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
[033] Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания описываемого способа, и составляют часть этого описания, показывают варианты осуществления технологии и совместно с описанием служат для объяснения принципов ее действия.
[034] Заявленная технология поясняется следующими чертежами, на которых:
[035] Фиг. 1 показывает пример вычислительных устройств, реализующих описанный в настоящем документе способ.
[036] Фиг. 2А показывает упрощенную блок-схему алгоритма способа активного обнаружения вредоносных сетевых ресурсов.
[037] Фиг. 2Б показывает упрощенную блок-схему алгоритма одного из этапов способа активного обнаружения вредоносных сетевых ресурсов, а именно этапа сравнения полученного списка веб-сервисов со сведениями об известных вредоносных веб-сервисах.
[038] Фиг. 2В показывает упрощенную блок-схему альтернативного алгоритма способа активного обнаружения вредоносных сетевых ресурсов.
[039] Фиг. 3А иллюстрирует неограничивающий пример фрагмента графовой модели сети Интернет, используемой на одном из этапов способа активного обнаружения вредоносных сетевых ресурсов.
[040] Фиг. 3Б иллюстрирует неограничивающий пример отфильтрованного фрагмента графовой модели сети Интернет, полученного на одном из этапов способа активного обнаружения вредоносных сетевых ресурсов.
[041] Фиг. 4 иллюстрирует один из возможных подходов к вычислению интервала владения по меньшей мере одним подозрительным IP-адресом.
[042] Фиг. 5 иллюстрирует неограничивающий пример общей схемы вычислительного устройства.
ОСУЩЕСТВЛЕНИЕ
[043] Ниже будет приведено описание примерных вариантов осуществления заявленной технологии.
[044] Объекты и признаки настоящей технологии, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящая технология не ограничивается примерными вариантами осуществления, раскрытыми ниже, она может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании настоящей технологии, и настоящая технология определяется только в объеме приложенной формулы.
[045] Следует отметить, что контексте настоящего описания, если конкретно не указано иное, слова «первый» и «второй» используются исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.
[046] Для реализации описываемого способа активного обнаружения вредоносных сетевых ресурсов предварительно устанавливают внешнее вычислительное устройство (100), как это показано на Фиг. 1, вне периметра подлежащей защите сетевой инфраструктуры (150).
[047] Кроме того, устанавливают внутреннее вычислительное устройство (120) внутри периметра подлежащей защите сетевой инфраструктуры (150).
[048] Конструктивное исполнение и аппаратная конфигурация этих вычислительных устройств могут быть любыми общеизвестными, позволяющими обеспечить исполнение описанных ниже функций. Это могут быть, в качестве примера, но не ограничиваясь им, серверы, например, серверы Dell™ PowerEdge™. В альтернативном варианте реализации способа внешнее вычислительное устройство (100) может быть облачным решением, то есть совокупностью серверов, а внутреннее вычислительное устройством (120) может быть, например, ноутбуком, рабочей станцией или мобильным устройством, например, смартфоном. Но в любом случае внешнее (100) и внутреннее (120) вычислительные устройства должны быть выполнены с возможностью обмена трафиком между собой через вычислительную сеть, например, через сеть Интернет (130). Кроме того, внутреннее устройство (120) должно быть выполнено с возможностью обмена трафиком с устройствами защищаемой инфраструктуры (150) через локальную сеть защищаемой инфраструктуры (152).
[049] При этом подразумевается, что прочие устройства, составляющие защищаемую инфраструктуру (150) также выполнены с возможностью обмена трафиком, как через сеть, в частности Интернет (130), так и через локальную сеть защищаемой инфраструктуры (152).
[050] С целью иллюстрации возможной ситуации, на примере которой будет продемонстрировано функционирование описываемой системы, на Фиг. 1 также показано вычислительное устройство злоумышленника (190), например, сервер, с которым скомпрометированное вычислительное устройство, входящее в состав защищаемой инфраструктуры (150), может вести обмен информацией.
[051] В составе внешнего вычислительного устройства (100) должны быть предусмотрены следующие функциональные модули: модуль связи (102), модуль хранения информации (104), модуль сканирования (106), модуль анализа (108), а также модуль оповещения (110).
[052] В составе внутреннего вычислительного устройства (120) должны быть предусмотрены следующие функциональные модули: модуль связи (122), модуль хранения информации (124), модуль сканирования (126), а также модуль анализа (128).
[053] Перечисленные модули с точки зрения их технической реализации могут быть программными модулями, исполняемыми на одном вычислительном устройстве, программно-аппаратными модулями, например, по меньшей мере некоторые из этих модулей могут быть реализованы как выделенные серверы, каждый из которых выполняет соответствующую функцию, либо представлять собой произвольную комбинацию вышеназванных способов реализации.
[054] При этом основная функция каждого из модулей следующая:
[055] Модуль связи (102) внешнего вычислительного устройства (100) выполнен с возможностью обмена данными с модулем хранения информации (104), модулем сканирования (106), модулем анализа (108), а также модулем оповещения (110). Модуль связи (102) обеспечивает возможность связи вычислительного устройства, реализующего данный способ, с вычислительной сетью, например, с сетью Интернет (130). В свою очередь, посредством вычислительной сети модуль связи обеспечивает связь вычислительного устройства (100), реализующего данный способ, с устройствами защищаемой инфраструктуры (150), в том числе со внутренним вычислительным устройством (120). Кроме того, посредством вычислительной сети модуль связи (102) обеспечивает вычислительному устройству (100) возможность получения дополнительной информации, в частности, сведений об известных вредоносных сервисах и сертификатах, о различных IP-адресах и доменах, а также различных их параметрах, таких как дата регистрации, соответствие (resolve) доменного имени IP-адресу и т.п.Реализация этих функций модулем связи (102) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[056] Модуль связи (122) внутреннего вычислительного устройства (120) выполнен с возможностью обмена данными с модулем хранения информации (124), модулем сканирования (126), модулем анализа (128), а также со всеми остальными устройствами защищаемой инфраструктуры (150). Модуль связи (122) обеспечивает возможность связи вычислительного устройства (120) с вычислительным устройством (100) посредством вычислительной сети, например, сети Интернет (130), а с остальными устройствами защищаемой инфраструктуры (150) посредством локальной вычислительной сети (152). Реализация этих функций модулем связи (122) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[057] Модуль хранения информации (104) внешнего вычислительного устройства (100) выполнен с возможностью обмена данными с модулем связи (102), модулем сканирования (106) и модулем анализа (108). Модуль хранения информации (104) обеспечивает хранение информации, как постоянное, так и временное. Для этого модуль хранения информации (104) содержит по меньшей мере одну базу данных (на Фиг. 1 условно не показана), что позволяет хранить информацию упорядоченно и эффективно осуществлять поиск. Такая база данных может содержать, в качестве примера, но не ограничиваясь им, все исторические данные, имеющиеся по каждому IP-адресу: открытые порты, запущенные сервисы, связанные домены. Также модуль хранения информации (104) может хранить программные инструкции, исполнение которых обеспечивает реализацию устройством (100) описанного способа. Реализация всех этих функций модулем хранения информации (104) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[058] Модуль хранения информации (124) внутреннего вычислительного устройства (120) выполнен с возможностью обмена данными с модулем связи (122), модулем сканирования (126) и модулем анализа (128). Модуль хранения информации (124) обеспечивает хранение информации, как постоянное, так и временное. Для этого модуль хранения информации (124) содержит по меньшей мере одну базу данных (на Фиг. 1 условно не показана), что позволяет хранить информацию упорядоченно и эффективно осуществлять поиск. Также модуль хранения информации (124) может хранить программные инструкции, исполнение которых обеспечивает реализацию устройством (120) описанного способа. Реализация всех этих функций модулем хранения информации (124) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[059] Модуль сканирования (106) внешнего вычислительного устройства (100) выполнен с возможностью обмена данными с модулем связи (102), с модулем хранения информации (104) и с модулем анализа (108). Модуль сканирования (106) также выполнен с возможностью выполнять сканирование произвольных вычислительных устройств, подключенных к сети Интернет, например, таких, как сервер злоумышленника (190), и получать информацию о сервисах, запущенных на портах каждого сканируемого устройства. Реализация этих функций модулем сканирования (106) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[060] Модуль сканирования (126) внутреннего вычислительного устройства (120) выполнен с возможностью обмена данными с модулем связи (122), с модулем хранения информации (124) и с модулем анализа (128). Модуль сканирования (126) также выполнен с возможностью выполнять сканирование произвольных вычислительных устройств, подключенных к сети Интернет, например, таких, как сервер злоумышленника (190), и получать информацию о сервисах, запущенных на портах каждого сканируемого устройства. Реализация этих функций модулем сканирования (126) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[061] Модуль анализа (108) внешнего вычислительного устройства (100) выполнен с возможностью обмена данными с модулем связи (102), модулем сканирования (106), модулем хранения информации (104) и с модулем оповещения (110). Модуль анализа (108) обеспечивает проверку списков сервисов, полученных от модуля связи (102) либо от модуля сканирования (106), на принадлежность к известным вредоносным сервисам. Кроме того, модуль анализа (108) обеспечивает вычисление интервала владения IP-адресом, то есть того интервала времени, в течение которого на данный IP-адрес указывали (resolve) какие-либо домены, либо на нем были открыты какие-либо порты. Реализация этих функций модулем анализа (108) будет описана ниже со ссылкой на Фиг. 2Б, Фиг. 3А, Фиг. 4.
[062] Модуль анализа (128) внутреннего вычислительного устройства (120) выполнен с возможностью обмена данными с модулем связи (122), модулем сканирования (126) и с модулем хранения информации (124). Модуль анализа (128) обеспечивает выявление аномалий в трафике, полученном от модуля связи (122), а также установление IP-адресов внешних вычислительных устройств, которым был адресован аномальный трафик, например, таких, как сервер злоумышленника (190). Реализация этих функций модулем анализа (128) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[063] Модуль оповещения (110) внешнего вычислительного устройства (100) выполнен с возможностью обмена данными с модулем анализа (108) и с модулем связи (102). Модуль оповещения (110) обеспечивает формирование и передачу, посредством модуля связи (102), оповещения о возможной компрометации защищаемой сетевой инфраструктуры по меньшей мере одним из перечисленных способов: по электронной почте, посредством отправки SMS, посредством отправки MMS, посредством отправки push-уведомления, сообщением в программе обмена мгновенными сообщениями, посредством создания события API. Реализация этих функций модулем оповещения (110) не имеет особенностей и может быть выполнена любым общеизвестным образом.
[064] Далее со ссылкой на Фиг. 2А будут описаны основные этапы способа (200) активного обнаружения вредоносных сетевых ресурсов.
[065] Способ (200) начинается на этапе (210), когда получают, посредством модуля связи (122) внутреннего вычислительного устройства (120), исходящий трафик защищаемой инфраструктуры (150). Это может быть выполнено любым общеизвестным образом; например, какой-либо из маршрутизаторов, входящих в состав защищаемой инфраструктуры (150), может быть сконфигурирован таким образом, чтобы обеспечить зеркалирование всего исходящего трафика защищаемой инфраструктуры (150) на один из портов модуля связи (122).
[066] Весь полученный модулем связи (122) исходящий трафик без изменений передается для анализа в модуль анализа (128). При этом способ (200) переходит к этапу (220), на котором выявляют, посредством модуля анализа (128) внутреннего вычислительного устройства (120), в исходящем трафике по меньшей мере один подозрительный внешний (глобальный) IP-адрес.
[067] Анализ исходящего трафика, который позволяет выявить в нем по меньшей мере один подозрительный внешний IP-адрес, может выполняться модулем анализа (128) любым общеизвестным образом.
[068] Например:
Figure 00000003
при помощи заблаговременно обученной на размеченном трафике глубокой нейросети,
Figure 00000004
посредством предварительно обученного на семплах легитимного трафика одноклассового классификатора OneClassSVM,
Figure 00000005
при помощи заранее обученных на размеченной выборке моделей машинного обучения, таких как RandomForestClassifier, XGBoost, KNN, AdaBoost и др.
Figure 00000006
посредством поиска заранее сформированных сигнатур признаков,
Figure 00000007
При помощи методов скользящего окна и сбора статистических признаков в логах трафика,
Figure 00000008
или как-либо еще без ограничений, включая гибридные методы анализа используя вышеперечисленные методы.
[069] Важно только, чтобы используемый метод анализа позволял при выполнении заранее заданных условий принимать решение, что некий фрагмент трафика является аномальным.
[070] В современных вычислительных сетях каждый элементарный фрагмент трафика (пакет или дейтаграмма) содержит IP-адрес источника, то есть того вычислительного устройства, с которого этот фрагмент трафика отправлен, адрес порта, на котором работает сервис, сформировавший данный фрагмент, а также IP-адрес и порт внешнего вычислительного устройства, куда данный фрагмент трафика адресован, такого, например, как сервер злоумышленника (190). Поэтому на данном этапе становится известен по меньшей мере один внешний (глобальный) IP-адрес устройства-получателя, например, IP-адрес 111.222.333.444, который ассоциирован с данным аномальным фрагментом трафика, и поэтому является подозрительным, а также адрес порта, например, порт 50050.
[071] При выявлении такого по меньшей мере одного подозрительного IP-адреса способ (200) переходит к этапу (230). На этапе (230) сканируют, посредством модуля сканирования (126) внутреннего вычислительного устройства (120), по меньшей мере одно подозрительное устройство, такое, например, как сервер злоумышленника (190), расположенное на по меньшей мере одном подозрительном внешнем (глобальном) IP-адресе, например, на IP-адресе 111.222.333.444, и получают список портов, открытых на данном IP-адресе, а также перечень веб-сервисов, запущенных на этих и версий программного обеспечения, соответствующего этим веб-сервисам.
[072] Таким образом, в отличие от пассивных методов обнаружения вредоносной активности, согласно которым ограничиваются сбором и анализом трафика, а воздействия на подозрительное устройство не производят, в описываемом методе выполняют также активное действие, направленное на подозрительное устройство, а именно сканирование этого устройства.
[073] Как известно специалисту в предметной области, полный перечень портов, которые теоретически могут быть открыты на любом наперед заданном вычислительном устройстве, ограничен и заранее известен.
[074] В одном возможном варианте реализации настоящего способа выполняют сканирование всех портов, которые могут быть открыты на данном подозрительном IP-адресе.
[075] В другом возможном варианте реализации выполняют сканирование заранее заданного, например, сохраненного в базе данных модуля хранения информации (124) списка портов, которые чаще всего используются злоумышленниками, например, таких как порты 22, 80, 443, 2022, 8443, и т.д., а также того порта, куда адресован по меньшей мере один аномальный фрагмент трафика, в рассматриваемом примере это порт 50050.
[076] Для того, чтобы получить перечень открытых портов используют так называемый сканер портов, то есть реализацию алгоритма, построенного, например, на известных принципах SYN, TCP, UDP, АСК или FIN-сканирования, либо на любых других известных принципах сканирования портов, позволяющих отличить открытый порт от закрытого.
[077] Для каждого подозрительного IP-адреса посредством заранее подготовленного скрипта получают список открытых на заданном IP-адресе в настоящий момент портов, а также названия (идентификаторы) и версии запущенных на них веб-сервисов и сохраняют результат в базе данных модуля хранения информации (124). Собственно получение этих сведений является общеизвестной, стандартной функцией сканеров портов. По результатам работы сканера портов определяют не только номера открытых портов, но и названия и версии запущенных на них программ (веб-сервисов).
[078] Еще в одном возможном варианте реализации описываемого способа для определения состояния портов используются известные сетевые утилиты, входящие в комплект поставки некоторых операционных систем, такие как утилиты netstat и nmap.
[079] В данном случае важно, что сканирование внешнего подозрительного вычислительного устройства, находящегося на внешнем подозрительном IP-адресе, такого, например, как сервер злоумышленника (190), выполняется вычислительным устройством, находящимся в той же локальной сети, внутри той же защищаемой инфраструктуры (150), что и скомпрометированное устройство, с которым злоумышленник предполагает вести обмен инструкциями. Возможности злоумышленника в части блокирования такого сканирования крайне ограничены.
[080] Во-первых, злоумышленник не будет знать, с какого именно внутреннего (локального) IP-адреса защищаемой инфраструктуры выполняется сканирование, ведь внутренние (локальные) IP-адреса при подобном сканировании всегда будут скрыты, поскольку маршрутизация их в глобальной сети Интернет невозможна. Поэтому злоумышленник, пытаясь определить источник сканирования, будет видеть только внешний (глобальный) IP-адрес той же самой инфраструктуры, в которой находится скомпрометированное им устройство. Во-вторых, блокировать подобное сканирование злоумышленник также не сможет, потому что при блокировке им трафика с внешнего (глобального) IP-адреса защищаемой инфраструктуры (150) скомпрометированное злоумышленником внутреннее вычислительное устройство утратит способность подключаться к серверу (190), и связь с этим скомпрометированным устройством для злоумышленника будет потеряна.
[081] В результате выполнения этапа (230) получают список веб-сервисов, запущенных на открытых портах по меньшей мере одного вычислительного устройства, имеющего подозрительный IP-адрес, такого как сервер злоумышленника (190). В качестве неограничивающего примера, подобный список может выглядеть следующим образом:
Figure 00000009
[082] На этом этап (230) завершается и способ переходит к этапу (240), на котором отправляют по меньшей мере один подозрительный внешний (глобальный) IP-адрес и список веб-сервисов, запущенных на открытых портах по меньшей мере одного вычислительного устройства, имеющий этот IP-адрес, на внешнее вычислительное устройство (100).
[083] Отправка указанных данных на внешнее вычислительное устройство (100) не имеет особенностей и может выполняться модулем связи (122) внутреннего вычислительного устройства (120) и модулем связи (102) внешнего устройства (100) любым общеизвестным образом.
[084] На этом этап (240) завершается и способ переходит к этапу (250), на котором на внешнем вычислительном устройстве сравнивают, посредством модуля анализа (108), полученный список веб-сервисов со сведениями об известных вредоносных веб-сервисах.
[085] Следует заметить, что сведения об известных вредоносных веб-сервисах могут быть заблаговременно сохранены в базе данных модуля хранения информации (104) внешнего устройства (100). Кроме того, внешнее устройство (100) может быть выполнено с возможностью периодически, например, раз в час или раз в сутки, получать посредством модуля связи (102) обновления и дополнения сведений об известных вредоносных веб-сервисах и сохранения этих обновлений и дополнений в базе данных модуля хранения информации (104).
[086] В состав данных об известных вредоносных веб-сервисах, хранящихся в базе данных модуля хранения информации (104) внешнего устройства (100), в частности, входит хранилище хэшей вредоносных веб-сервисов. Хэшами в данном случае называют результат взятия хэш-функции по какому-либо наперед заданному алгоритму, например, по алгоритму SHA256, от названий вредоносных веб-сервисов либо веб-сервисов, использование которых может свидетельствовать о компрометации защищаемой инфраструктуры, а также от IP-адресов, к которым обращаются вредоносные веб-сервисы, и SSL-YTLS-сертификатов, используемых вредоносными веб-сервисами. Данное хранилище не имеет особенностей и может быть организовано любым общеизвестным образом, позволяющим проводить в нем поиск определенного хэша.
[087] При этом в состав модуля анализа (108) входит предварительно построенная и периодически пополняемая графовая модель сети Интернет, подробно описанная ниже со ссылкой на Фиг. 3А. Следует заметить, что это упрощенный пример, приведенный для облегчения понимания, поэтому в нем условно не показан ряд вершин графа, которые могут присутствовать в практическом воплощении такой модели.
[088] Графовая модель сети Интернет (300) представляет собой граф, в вершинах которого находятся элементы инфраструктуры вычислительных сетей и параметры этих элементов. Элементы инфраструктуры вычислительных сетей могут быть задействованы такие, например, как внешние (глобальные) IP-адреса (310), (320), (330), (340), домены (311), (315), (319), (323), (325), порты (312), (316), (332), запущенные на этих портах веб-сервисы (314), (318), (334), SSL- и TLS-сертификаты (313), (317), (321) и т.д. Параметрами элементов инфраструктуры вычислительных сетей могут являться, например, владельцы IP-адресов (302), (342), даты регистрации IP-адресов (не показаны), даты создания и истечения SSL- и TLS-сертификатов (не показаны) и т.д.
[089] Вершины графа выявляют на этапе построения модели в ходе сканирования сети Интернет. Это сканирование позволяет получить информацию о существовании, статусе и параметрах каждого из перечисленных элементов инфраструктуры вычислительных сетей.
[090] Ребрами графа являются связи, выявленные в ходе анализа результатов упомянутого сканирования сети Интернет. Связью в данном случае считают выявленное совпадение параметров разных элементов инфраструктуры вычислительных сетей. Построение связей между вершинами может выполняться любым общеизвестным образом, в частности, так, как это описано в патенте RU2681699C1, где находят по меньшей мере первый сетевой ресурс (одну вершину графа) и по меньшей мере второй сетевой ресурс (еще одну вершину графа); извлекают информацию о найденных сетевых ресурсах, включающую по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; и в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, строят связь между первым сетевым ресурсом и вторым сетевым ресурсом (ребро между двумя вершинами графа).
[091] Так, со ссылкой на Фиг. 3, связи между вершинами графа, соответствующим IP-адресам (320), (330) и (340) устанавливают, поскольку эти три адреса принадлежат одному и тому же владельцу (342). Связи между вершинами, соответствующими доменам (315), (319) и (325) устанавливают, поскольку на веб-сайтах, имеющих эти доменные имена, установлен один и тот же TLS-сертификат (317).
[092] Кроме того, связи между вершинами, соответствующими доменам (315) и (319) устанавливают, поскольку оба этих доменных имени ссылаются (resolve) на один и тот же внешний (глобальный) IP-адрес (310). Аналогично, связи между вершинами, соответствующими доменам (323) и (325) устанавливают, поскольку оба этих доменных имени ссылаются на один и тот же IP-адрес (320).
[093] Связь между вершинами графа, соответствующими порту (316), открытому по IP-адресу (310) и порту (332), открытому по IP-адресу (330), устанавливают, поскольку на этих портах запущены одинаковые веб-сервисы (318), (334), например, веб-серверы Apache Tomcat одной и той же версии v.3.3.2.
[094] Каждому ребру графа (каждой связи) в графовой модели сети Интернет (300) может быть поставлен в соответствие определенный вес, характеризующий, например, "прочность" этой связи или какой-либо еще ее параметр. Вычисление или присвоение этих величин может выполняться любым общеизвестным образом. В одном неограничивающем примере, связь может иметь тем больший вес, чем меньшее количество элементов она соединяет; например, связь между IP-адресом (310) и владельцем этого адреса (302) может иметь больший вес, чем связи между IP-адресами (320), (330) и (340) и их владельцем (342). Альтернативно, первая связь может иметь меньший вес, чем вторая.
[095] Кроме того, вес, присваиваемый каждому ребру графа, может зависеть и от других параметров. Например, связи, построенные от вершин, которые соответствуют TLS-сертификатам, могут иметь больший вес, чем связи, построенные от вершин, которые соответствуют одинаковым веб-сервисам, таким как веб-сервисы (318), (334). Возможны, без ограничений, и любые другие известные способы расчета или присвоения весов ребрам такого графа.
[096] Вышеописанная графовая модель сети Интернет может быть выполнена с возможностью периодического ее пополнения или обогащения. Пополнение или обогащение графовой модели может выполняться как устройством, реализующим способ, так и сторонними системами, притом как посредством повторного сканирования сети Интернет и анализа полученных данных вышеописанным способом, так и альтернативными методами, например, описанными ниже.
[097] В одном неограничивающем примере могут анализировать списки доменов, публикуемые регистраторами доменов, и выявлять таким образом новые домены. В другом примере могут анализировать сетевой трафик в сети Интернет и извлекать из него новые доменные имена. Еще в одном примере новые домены могут извлекать из данных TLSVSSL-сертификатов, а также из кода или из трафика анализируемых сторонними системами вредоносных файлов. Аналогично, могут анализировать списки выпущенных SSL- и TLS-сертификатов, получая таким образом сведения о новых сертификатах и доменах, и пополняя графовую модель. Указанный анализ списков, сетевого трафика, кода вредоносных файлов, а также сертификатов может выполняться любым общеизвестным образом.
[098] Заблаговременно созданная и постоянно пополняемая таким образом графовая модель сети Интернет входит в состав модуля анализа (108), посредством которого на этапе (250) сравнивают полученный на этапе (240) список сервисов со сведениями об известных вредоносных веб-сервисах.
[099] Основные шаги выполнения этапа (250) будут описаны ниже со ссылкой на Фиг. 2Б.
[0100] Этап (250) начинается на шаге (251), на котором получают из списка веб-сервисов, запущенных на открытых портах по меньшей мере одного вычислительного устройства, имеющего подозрительный внешний IP-адрес, названия веб-сервисов, и от каждого из них берут хэш-функцию по тому же алгоритму, что использован при построения хранилища хэшей вредоносных веб-сервисов, например, по алгоритму SHA256. Следует отметить, что выбор алгоритма, такого как алгоритм SHA256 не является ограничивающим фактором, данный алгоритм назван для примера; альтернативно, может быть использован любой другой алгоритм.
[0101] Например, из показанного выше списка (1) в результате выполнения шага (251) будут получены четыре определенных ранее названия веб-сервисов, а из них, в свою очередь, будут получены следующие хэши:
Figure 00000010
[0102] На этом шаг (251) завершается и способ переходит к шагу (252), на котором проводят, посредством модуля анализа (108), в хранилище хэшей вредоносных веб-сервисов, в базе данных модуля хранения информации (104) поиск каждого из хэшей, полученного на шаге (251), например, таких как хэши из списка (2). Способ повторяется до тех пор, пока не будет достигнут конец списка, например, списка (2).
[0103] При этом если конец списка был достигнут, и ни один хэш из списка не был найден в хранилище хэшей вредоносных веб-сервисов, способ переходит к шагу (253).
[0104] Притом в ответ на обнаружение по меньшей мере одного из полученных хэшей в хранилище хэшей вредоносных веб-сервисов на шаге (252) пополняют список обнаруженных вредоносных веб-сервисов. Отметим, в данном примере поиск хэша из списка (2) дает совпадение с хэшем, хранящемся в хранилище хэшей вредоносных веб-сервисов, поскольку третий по счету хэш из списка (2) соответствует веб-сервису Radmin Server, использование которого внешним вычислительным устройством может свидетельствовать о компрометации защищаемой инфраструктуры.
[0105] В подобном случае любым общеизвестным образом, посредством модуля анализа (108) пополняют список обнаруженных в ходе этапа (250) вредоносных веб-сервисов. Этот список сохраняют в базе данных модуля хранения информации (104).
[0106] Альтернативно возможен также вариант реализации способа, при котором в случае обнаружения по меньшей мере одного вредоносного веб-сервиса выполнение этапа (250) прерывается и описываемый способ переходит к этапу (290), на котором считают вычислительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, вредоносным, создают, посредством модуля оповещения (110), по меньшей мере один отчет об обнаружении вредоносной активности в защищаемой инфраструктуре (150) и отправляют его посредством модуля связи (102). После чего описываемый способ завершается. В другой возможной реализации способа, после отправки по меньшей мере одного отчета способ возвращается к этапу (210).
[0107] В том случае, если поиск всех хэшей в хранилище хэшей вредоносных веб-сервисов не принес результата, то после достижения конца списка, например, такого как список (2), шаг (252) завершается и способ переходит к шагу (253).
[0108] На шаге (253) любым общеизвестным способом находят, посредством модуля анализа (108), в графовой модели сети Интернет по меньшей мере один подозрительный внешний (глобальный) IP-адрес, такой как подозрительный IP-адрес 111.222.333.444 (310 на чертеже Фиг. 3А), полученный на этапе (240).
[0109] Затем способ переходит к шагу (254), на котором выявляют фрагмент графовой модели, содержащий все элементы, так или иначе связанные с IP-адресом (310). В одном из не ограничивающих вариантов реализации способа для этого берут все элементы графовой модели, с которыми у IP-адреса (310) есть какая-либо связь. В другом возможном варианте реализации берут те элементы, которые связаны с исходным элементом защищаемой инфраструктуры таким количеством ребер, которое не превышает заранее заданный порог, например, элементы, связанные с исходным элементом защищаемой инфраструктуры не более чем 500 ребрами (связями). Выявленный фрагмент графовой модели может выглядеть, например, так, как показано на Фиг. 3А.
[0110] Затем способ переходит к шагу (255), на котором к выявленному фрагменту графа применяют по меньшей мере один алгоритм очистки. Этот по меньшей мере один алгоритм может, без ограничения, быть по меньшей мере одним любым алгоритмом, известным в данной области. В одном неограничивающем примере это может быть алгоритм, отсекающий ребра графа (связи), вес которых меньше заранее заданного порогового значения.
[0111] В результате применения по меньшей мере одного алгоритма очистки на шаге (255) получают очищенный фрагмент графа. Пример такого очищенного фрагмента (350) показан на Фиг. 3Б. Из прилагаемого чертежа видно, что в результате выполнения шагов (253)-(255) в данном примере были выявлены три домена, (311), (315) и (319), и два TLS-сертификата (313) и (317).
[0112] На этом шаг (255) завершается, и способ переходит к шагу (256), на котором для каждого из выявленных элементов вычислительной инфраструктуры или их параметров, то есть для каждой выявленной вершины очищенного фрагмента графа берут хэш-функцию по тому же алгоритму, что использован при построения хранилища хэшей вредоносных веб-сервисов, например, по алгоритму SHA256.
[0113] Например, для упомянутых выше вершин фрагмента графовой модели, показанного на Фиг. 3Б, то есть для трех доменов, (311), (315) и (319) и двух TLS-сертификатов (313) и (317) в результате выполнения шага (256) будут получены пять следующих хэшей:
Figure 00000011
[0114] На этом шаг (256) завершается и способ переходит к шагу (257), на котором проводят, посредством модуля анализа (108), в хранилище хэшей вредоносных веб-сервисов, в базе данных модуля хранения информации (104) поиск каждого из хэшей, полученного на шаге (256), например, таких как хэши из списка (3). Это выполняется любым общеизвестным способом, аналогично тому, как это было описано выше применительно к шагу (252).
[0115] Точно так же, аналогично шагу (252), на шаге (257) в ответ на обнаружение по меньшей мере одного из полученных хэшей в хранилище хэшей вредоносных веб-сервисов на шаге (257) пополняют список обнаруженных вредоносных веб-сервисов. В частности, в рассматриваемом примере поиск четвертого по счету хэша из списка (3) даст совпадение с хэшем, хранящемся в хранилище хэшей вредоносных веб-сервисов, поскольку данный хэш представляет собой хэш серийного номера TLS-сертификата фреймворка для проведения тестов на проникновение CobaltStrike, использование которого внешним вычислительным устройством может свидетельствовать о компрометации защищаемой инфраструктуры.
[0116] В подобном случае любым общеизвестным образом, посредством модуля анализа (108) пополняют список обнаруженных в ходе этапа (250) вредоносных веб-сервисов. Этот список сохраняют в базе данных модуля хранения информации (104).
[0117] Альтернативно возможен также вариант реализации способа, при котором в случае обнаружения на шаге (257) по меньшей мере одного вредоносного веб-сервиса выполнение этапа (250) прерывается и описываемый способ переходит к этапу (290), на котором считают вычислительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, вредоносным, создают, посредством модуля оповещения (110), по меньшей мере один отчет об обнаружении вредоносной активности в защищаемой инфраструктуре (150) и отправляют его посредством модуля связи (102). После чего описываемый способ завершается. В другой возможной реализации способа, после отправки по меньшей мере одного отчета способ возвращается к этапу (210).
[0118] Когда конец списка, такого как список (3), будет достигнут, шаг (257), а вместе с ним и весь этап (250) завершается и способ переходит к этапу (260).
[0119] На этапе (260) любым общеизвестным образом, посредством модуля анализа (108), проверяют, совпал ли по меньшей мере один сервис, ассоциированный с по меньшей мере одним вредоносным IP-адресом, со сведениями об известных вредоносных веб-сервисах. Это делают путем проверки списка обнаруженных в ходе этапа (250) вредоносных веб-сервисов.
[0120] Если данный список содержит хотя бы одну запись, то есть в ходе этапа (250) был обнаружен по меньшей мере один вредоносный веб-сервис, ассоциированный с по меньшей мере одним подозрительным IP-адресом, полученным на этапе (240), то описываемый способ переходит к этапу (290), на котором считают вычислительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, вредоносным, создают, посредством модуля оповещения (ПО), по меньшей мере один отчет об обнаружении вредоносной активности в защищаемой инфраструктуре (150) и отправляют его посредством модуля связи (102). После чего описываемый способ завершается. В другой возможной реализации способа, после отправки по меньшей мере одного отчета способ возвращается к этапу (210).
[0121] Если же список обнаруженных в ходе этапа (250) вредоносных веб-сервисов пуст, то есть в ходе этапа (250) не был обнаружен ни один вредоносный веб-сервис, этап (260) завершается и способ переходит к этапу (270).
[0122] На этапе (270) вычисляют, посредством модуля анализа (108), интервал владения по меньшей мере одним подозрительным IP-адресом, полученным на этапе (240). Это выполняют путем анализа исторических данных об активности различных IP-адресов, которые данные заранее получают и сохраняют в базе данных модуля хранения информации (104) внешнего вычислительного устройства (100).
[0123] Исторические данные об активности различных IP-адресов представляют собой сведения о том, когда (с какой даты по какую дату) на каждом конкретном IP-адресе были открыты те или иные порты, запущены те или иные веб-сервисы, когда на каждый конкретный IP-адрес ссылались (resolve) те или иные домены. Эти сведения могут храниться в базе данных в любом известном формате, обеспечивающем эффективный поиск по заданному параметру, например, по IP-адресу.
[0124] В одном из возможных вариантов реализации описываемого способа исторические данные могут быть получены из графовой модели сети Интернет, описанной ранее. В другом возможном варианте реализации исторические данные могут получать независимо, в ходе периодически выполняемого сканирования сети Интернет, получения в результате такого сканирования, упорядочения и сохранения информации о том, какие сервисы на каких портах какого устройства с конкретным IP-адресом функционируют по состоянию на данную дату. Само это сканирование, равно как и последующий анализ и упорядочивание данных не имеют особенностей и могут выполняться любым способом, очевидным для специалиста в данной предметной области.
[0125] Один из возможных подходов 400 к вычислению интервала владения по меньшей мере одним подозрительным IP-адресом показан на Фиг. 4.
[0126] Так, на Фиг. 4 показано, что интервал владения IP-адресом А (402) вычисляется как сумма тех временных интервалов, когда на данный IP-адрес ссылались (resolve) какие-либо домены, такие как домен (410) old.company.com, домен (420) another.old.company.com, домен (440) company.com, либо на портах устройства с данным IP-адреса работали какие-либо веб-сервисы, такие как веб-сервис (430) Apache Tomcat v.3.3.2, либо устройство с данным IP-адресом просто имело хотя бы один открытый порт (на Фиг. 4 не показано).
[0127] Продолжительность временных интервалов суммируется при условии, что каждые два соседних интервала пересекаются по меньшей мере на один день. Как, например, пересекается интервал функционирования домена (420) another.old.company.com и интервал функционирования веб-сервиса (430) Apache Tomcat v.3.3.2.
[0128] В другом возможном варианте реализации описываемого способа продолжительность временных интервалов может суммироваться и в том случае, если какие-то два соседних интервала не пересекаются, при условии, что период, в течение которого на устройстве с данным IP-адресом не было открытых портов и на него не ссылался ни один домен, не превышает заранее заданную величину, например, одну неделю или один месяц.
[0129] В данном примере, интервал владения IP-адресом 111.222.333.444, показанный на Фиг. 4 как интервал владения (402), составит приблизительно 7800 дней, что соответствует периоду с января 2000 года по май 2021 года.
[0130] В то же время, показанный на Фиг. 4 интервал (404) владения другим IP-адресом составит приблизительно 120 дней, что соответствует периоду с января по май 2021 года.
[0131] Следует отметить, что "приблизительно" в данном случае означает, что для принятия решения, которое будет описано ниже применительно к этапу (280), не требуется выполнять вычисление интервала владения с точностью до одного дня. Указанное вычисление может либо производиться с наперед заданной точностью, скажем, с точностью до 10 дней, либо подразумевать округление вычисленной величины по общеизвестным арифметическим правилам.
[0132] После вычисления, посредством модуля анализа (108), интервала владения по меньшей мере одним подозрительным IP-адресом, этап (270) завершается и способ переходит к этапу (280).
[0133] На этапе (280) определяют, посредством модуля анализа (108), превышает ли значение вычисленного интервала владения по меньшей мере одним подозрительным IP-адресом заранее заданную пороговую величину.
[0134] Данная пороговая величина может быть подобрана экспериментально на этапе разработки системы, реализующей данный способ, либо выбрана автоматически в зависимости от различных параметров, например, в зависимости от свойств защищаемой инфраструктуры (150), таких как общее количество вычислительных устройств или каких-либо иных. В рассматриваемом примере пороговая величина может быть выбрана равной, скажем, 200 дням.
[0135] В случае, если значение вычисленного интервала владения по меньшей мере одним подозрительным IP-адресом превышает заранее заданную пороговую величину, это интерпретируют как указание на тот факт, что по меньшей мере одно вычислительное устройство, имеющее этот по меньшей мере один подозрительный IP-адрес, функционирует в сети Интернет достаточно давно для того, чтобы не считаться вредоносным.
[0136] Так, например, на этапе (280) посредством модуля анализа (108) определят, что вычисленный интервал владения (402) IP-адресом 111.222.333.444 (7800 дней) превышает заранее заданную пороговую величину (200 дней).
[0137] В этом случае считают, что устройство с указанным IP-адресом является легитимным. После чего описываемый способ завершается. В другой возможной реализации способа, после этого способ возвращается к этапу (210).
[0138] Альтернативно, на этапе (280) посредством модуля анализа (108) определят, что вычисленный интервал владения (404) неким другим IP-адресом В (120 дней) не превышает заранее заданную пороговую величину (200 дней).
[0139] В ответ на это способ переходит к этапу (290), на котором считают вычислительное устройство, расположенное на этом IP-адресе, вредоносным, создают, посредством модуля оповещения (ПО), по меньшей мере один отчет об обнаружении вредоносной активности в защищаемой инфраструктуре (150) и отправляют его посредством модуля связи (102). После чего описываемый способ завершается. В другой возможной реализации способа, после отправки по меньшей мере одного отчета способ возвращается к этапу (210).
[0140] Как было описано выше применительно к Фиг. 1 и модулю оповещения (110), этот модуль позволяет формировать и отправлять (посредством модуля связи) оповещения о возможной компрометации защищаемой сетевой инфраструктуры по меньшей мере одним из перечисленных способов: по электронной почте, посредством отправки SMS, посредством отправки MMS, посредством отправки push-уведомления, сообщением в программе обмена мгновенными сообщениями, посредством создания события API.
[0141] Следует отметить, что использование такого средства оповещения, как события API позволяет реализовать дополнительную интеграцию описываемой системы с различными сторонними инструментами, такими как брандмауэры, файрволлы, платформы управления безопасностью, SIEM-решения и так далее. Собственно формирование всех перечисленных оповещений, таких как электронные письма, SMS, MMS, push-уведомления и т.д. не имеет особенностей и может быть выполнено любым общеизвестным образом.
[0142] Необходимо заметить, что модуль сканирования (126) внутреннего вычислительного устройства (120) также может быть выполнен с возможностью определять, что по меньшей мере одно подозрительное устройство, сканируемое в ходе описанного выше этапа (230), является недоступным для сканирования. То есть выявлять ситуацию, когда в ответ на сканирование по меньшей мере одного подозрительного внешнего (глобального) IP-адреса не удается получить список портов, открытых на данном IP-адресе.
[0143] Необходимо также заметить, что внешнее вычислительное устройство (100) и внутреннее вычислительное устройство (120) могут быть выполнены с возможностью реализации альтернативного алгоритма способа активного обнаружения вредоносных сетевых ресурсов. Такой альтернативный алгоритм (201) будет описан ниже со ссылкой на Фиг. 2В.
[0144] Способ (201) начинается на этапе (211), когда получают, посредством модуля связи (122) внутреннего вычислительного устройства (120), исходящий трафик защищаемой инфраструктуры (150). Аналогично этапу (210), это может быть выполнено любым общеизвестным образом.
[0145] Весь полученный модулем связи (122) исходящий трафик без изменений передается для анализа в модуль анализа (128). При этом способ (201) переходит к этапу (221), на котором выявляют, посредством модуля анализа (128) внутреннего вычислительного устройства (120), в исходящем трафике по меньшей мере один подозрительный внешний IP-адрес. Это также выполняется полностью аналогично описанному выше этапу (220).
[0146] В ответ на то, что при попытке сканирования по меньшей мере одного подозрительного внешнего (глобального) IP-адреса модулем сканирования (126) внутреннего вычислительного устройства в соответствии с тем, как это описано для этапа (230), определяют, что по меньшей мере одно устройство на по меньшей мере одном подозрительном внешнем (глобальном) IP-адресе, например, такое как сервер злоумышленника (190), является недоступным для сканирования, на этапе (231) передают на внешнее вычислительное устройство (100), посредством модуля связи (122) внутреннего вычислительного устройства (120), информацию о по меньшей мере одном подозрительном внешнем (глобальном) IP-адресе.
[0147] На этом этап (231) завершается и способ переходит к этапу (241).
[0148] На этапе (241) сканируют, посредством модуля сканирования (106) внешнего вычислительного устройства (100), по меньшей мере одно подозрительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, например, на IP-адресе 111.222.333.444, и получают список портов, открытых на данном IP-адресе, а также перечень веб-сервисов, запущенных на этих и версий программного обеспечения, соответствующего этим веб-сервисам. Собственно сканирование выполняется аналогично тому, как это было описано для этапа (230).
[0149] После получения модулем сканирования (106) внешнего вычислительного устройства (100) списка портов, открытых на данном IP-адресе, а также перечня веб-сервисов, запущенных на этих и версий программного обеспечения, соответствующего этим веб-сервисам, перечисленная информация сохраняется в базе данных модуля хранения информации (104) первого вычислительного устройства (100).
[0150] После чего этап (241) завершается и способ переходит к этапу (258), который выполняется полностью аналогично этапу (250), описанному выше со ссылкой на Фиг. 2Б.
[0151] После завершения этапа (258) способ переходит к этапам (261), (271), (281) и (291), которые выполняются полностью аналогично тому, как это было описано выше для этапов (260), (270), (280) и (290).
[0152] На Фиг. 5 представлена общая схема вычислительного устройства (500), обеспечивающего обработку данных, необходимую для реализации заявленного решения. Как было описано выше применительно к Фиг. 1, модули, реализующие описанный способ, с точки зрения их технической реализации могут быть программными модулями, исполняемыми на одном вычислительном устройстве, так и программно-аппаратными модулями. Например, по меньшей мере некоторые из этих модулей, равно как и комбинация этих модулей могут быть реализованы как вычислительное устройство (500), представленное на Фиг. 5.
[0153] В общем случае устройство (500) содержит такие компоненты как один или более процессоров (501), по меньшей мере одно оперативное запоминающее устройство или память (502), средство хранения данных (503), интерфейсы ввода/вывода (504), средство В/В (505), средства сетевого взаимодействия или, что то же самое, передачи данных (506).
[0154] Процессор (501) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (500) или функциональности одного или более его компонентов. Процессор (501) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (502).
[0155] Память (502), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемую функциональность.
[0156] Средство хранения данных (503) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п.
[0157] Интерфейсы (504) представляют собой стандартные средства для подключения и работы с серверной частью, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, Fire Wire и т.п. Выбор интерфейсов (504) зависит от конкретного исполнения устройства (500), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.
[0158] В качестве средств В/В данных (505) могут использоваться клавиатура, джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.
[0159] Средства сетевого взаимодействия (506) выбираются из устройств, обеспечивающих прием и передачу данных по сети, например, Ethernet-карта, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п.С помощью средств (506) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.
[0160] Компоненты устройства (500) сопряжены посредством общей шины передачи данных (510).
[0161] В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящей технологии, описанного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящей технологии, согласующегося с сущностью и объемом настоящей технологии.
[0162] Примерные системы и способы, проиллюстрированные в данном документе, могут описываться с точки зрения компонентов функциональных блоков. Следует принимать во внимание, что такие функциональные блоки могут быть реализованы посредством любого числа аппаратных и/или программных компонентов, сконфигурированных с возможностью выполнять указанные функции. Например, система может использовать различные компоненты интегральной схемы, например, запоминающие элементы, элементы обработки, логические элементы, таблицы поиска и т.п., которые могут выполнять множество функций под управлением одного или более микропроцессоров либо других устройств управления. Аналогично, программные элементы системы могут реализовываться с помощью любого языка программирования или подготовки сценариев, такого как С, С++, С#, Java, JavaScript, VBScript, Macromedia Cold Fusion, COBOL, Microsoft Active Server Pages, язык ассемблера, Perl, PHP, AWK, Python, Visual Basic, хранимых процедур SQL, PL/SQL, любых сценариев оболочки UNIX и расширяемого языка разметки (XML), при этом различные алгоритм реализуются с любой комбинацией структур данных, объектов, процессов, процедур или других программных элементов.
[0163] Кроме того, система контроля поверхности кибератаки может работать на одном вычислительном устройстве, либо на нескольких, связанных между собой по сети. Дополнительно следует отметить, что система может использовать любое число традиционных технологий для передачи данных, передачи служебных сигналов, обработки данных, управления сетью и т.п. Еще дополнительно, система может использоваться для того, чтобы обнаруживать или предотвращать проблемы безопасности с клиентским языком подготовки сценариев, таким как JavaScript, VBScript и т.п.
[0164] В данном контексте под устройствами понимаются любые вычислительные устройства, построенные на базе программно-аппаратных средств, например, такие как: персональные компьютеры, серверы, смартфоны, ноутбуки, планшеты и т.д.
[0165] В качестве устройства обработки данных может выступать процессор, микропроцессор, ЭВМ (электронно-вычислительная машина), ПЛК (программируемый логический контроллер) или интегральная схема, сконфигурированные для исполнения определенных команд (инструкций, программ) по обработке данных. Процессор может быть многоядерным, для параллельной обработки данных.
[0166] В роли устройства памяти могут выступать, но, не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD) и т.д.
[0167] Следует отметить, что в указанное устройство могут входить и любые другие известные в данном уровне техники устройства, например, такие как датчики, устройства ввода/вывода данных, устройства отображения (дисплеи) и т.п. Устройство ввода/вывода данных может представлять собой, но не ограничиваясь, например, манипулятор мышь, клавиатуру, тачпад, стилус, джойстик, трекпад и т.п.
[0168] В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.

Claims (54)

1. Способ активного обнаружения вредоносных сетевых ресурсов, выполняемый в распределенной вычислительной системе, способ, содержащий шаги, на которых:
Figure 00000012
получают, посредством модуля связи внутреннего вычислительного устройства, исходящий трафик инфраструктуры,
Figure 00000013
выявляют, посредством модуля анализа внутреннего вычислительного устройства, в исходящем трафике по меньшей мере один подозрительный IP-адрес,
Figure 00000014
сканируют, посредством модуля сканирования внутреннего вычислительного устройства, по меньшей мере одно подозрительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, и получают список сервисов, запущенных на подозрительном устройстве,
Figure 00000015
отправляют, посредством модуля связи внутреннего вычислительного устройства, по меньшей мере один подозрительный IP-адрес и полученный список сервисов на внешнее вычислительное устройство,
Figure 00000016
сравнивают, посредством модуля анализа внешнего вычислительного устройства, полученный список сервисов со сведениями об известных вредоносных сервисах и
Figure 00000017
в ответ на совпадение по меньшей мере одного сервиса из полученного списка сервисов со сведениями об известных вредоносных сервисах:
Figure 00000018
считают подозрительное устройство, расположенное на по меньшей мере одном подозрительном IP-адресе, вредоносным,
Figure 00000019
создают, посредством модуля оповещения внешнего вычислительного устройства, по меньшей мере один отчет об обнаружении вредоносной активности в инфраструктуре,
Figure 00000020
в ответ на отсутствие совпадений сервисов из полученного списка сервисов со сведениями об известных вредоносных сервисах:
Figure 00000021
вычисляют, посредством аналитического модуля внешнего вычислительного устройства, интервал владения по меньшей мере одним подозрительным IP-адресом,
Figure 00000021
в ответ на то, что вычисленная продолжительность интервала владения меньше порогового значения,
Figure 00000022
считают подозрительное устройство вредоносным,
Figure 00000022
создают, посредством модуля оповещения внешнего вычислительного устройства, по меньшей мере один отчет об обнаружении вредоносной активности в инфраструктуре,
Figure 00000023
в ответ на то, что вычисленная продолжительность интервала владения больше порогового значения, считают подозрительное устройство легитимным.
2. Способ по п. 1, отличающийся тем, что в ответ на недоступность по меньшей мере одного подозрительного устройства, расположенного на подозрительном IP-адресе, для модуля сканирования внутреннего вычислительного устройства:
Figure 00000024
передают на внешнее вычислительное устройство, посредством модуля связи внутреннего вычислительного устройства, информацию о по меньшей мере одном подозрительном IP-адресе,
Figure 00000025
выполняют сканирование подозрительного устройства, расположенного на по меньшей мере одном подозрительном IP-адресе, посредством модуля сканирования внешнего вычислительного устройства,
Figure 00000026
получают, посредством модуля сканирования внешнего вычислительного устройства, список сервисов, запущенных на подозрительном устройстве.
3. Способ по п. 1, отличающийся тем, что для выявления в исходящем трафике по меньшей мере одного подозрительного IP-адреса:
Figure 00000027
выявляют в исходящем трафике по меньшей мере один аномальный фрагмент трафика,
Figure 00000027
извлекают из выявленного по меньшей мере одного аномального фрагмента трафика по меньшей мере один IP-адрес вычислительного устройства, которому адресован данный по меньшей мере один фрагмент трафика,
Figure 00000028
считают извлеченный по меньшей мере один IP-адрес подозрительным.
4. Способ по п. 3, отличающийся тем, что для выявления в исходящем трафике по меньшей мере одного аномального фрагмента трафика используют по меньшей мере один из следующих способов:
Figure 00000029
при помощи заблаговременно обученной на размеченном трафике глубокой нейросети,
Figure 00000030
посредством предварительно обученного на семплах легитимного трафика одноклассового классификатора OneClassSVM,
Figure 00000031
при помощи заранее обученных на размеченной выборке моделей машинного обучения, таких как RandomForestClassifier, XGBoost, KNN, AdaBoost и др.,
Figure 00000032
посредством поиска заранее сформированных сигнатур признаков,
Figure 00000031
при помощи методов скользящего окна и сбора статистических признаков с логов трафика.
5. Способ по п. 1, отличающийся тем, что для получения сведений об известных вредоносных сервисах, связанных с по меньшей мере одним подозрительным IP-адресом, используют графовую модель сети Интернет.
6. Способ по п. 1, отличающийся тем, что для вычисления интервала владения по меньшей мере одним подозрительным IP-адресом используют исторические данные об активности IP-адресов.
7. Способ по п. 1, отличающийся тем, что по меньшей мере один сформированный отчет об обнаружении вредоносной активности передают посредством по меньшей мере одного из следующих способов коммуникации:
Figure 00000033
электронной почты (e-mail),
Figure 00000033
SMS,
Figure 00000033
MMS,
Figure 00000034
push-уведомления,
Figure 00000035
сообщения в программе обмена мгновенными сообщениями,
Figure 00000036
события API.
8. Система активного обнаружения вредоносных сетевых ресурсов, содержащая:
Figure 00000037
внешнее вычислительное устройство, установленное извне инфраструктуры, выполненное с возможностью связи с устройствами инфраструктуры, устройство, содержащее, по меньшей мере:
Figure 00000038
модуль связи,
Figure 00000039
модуль сканирования,
Figure 00000038
модуль оповещения,
Figure 00000040
модуль анализа,
Figure 00000041
модуль памяти, хранящий:
Figure 00000042
набор инструкций, при исполнении их процессором обеспечивающих выполнение способа по пп. 1-7,
Figure 00000043
базу данных, содержащую сведения об известных вредоносных сервисах,
Figure 00000043
базу данных, содержащую исторические сведения об активности различных IP-адресов,
Figure 00000044
графовую модель сети Интернет, внутреннее вычислительное устройство, установленное внутри инфраструктуры, выполненное с возможностью получения исходящего трафика инфраструктуры, устройство, содержащее, по меньшей мере:
Figure 00000045
модуль связи,
Figure 00000045
модуль сканирования,
Figure 00000045
одуль анализа,
Figure 00000045
модуль памяти, хранящий
Figure 00000044
набор инструкций, при исполнении их процессором обеспечивающих выполнение способа по пп. 1-7.
RU2021116850A 2021-06-10 2021-06-10 Система и способ активного обнаружения вредоносных сетевых ресурсов RU2769075C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2021116850A RU2769075C1 (ru) 2021-06-10 2021-06-10 Система и способ активного обнаружения вредоносных сетевых ресурсов
NL2031466A NL2031466B1 (en) 2021-06-10 2022-03-31 System and method for active detection of malicious network resources
US17/828,396 US12088606B2 (en) 2021-06-10 2022-05-31 System and method for detection of malicious network resources

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021116850A RU2769075C1 (ru) 2021-06-10 2021-06-10 Система и способ активного обнаружения вредоносных сетевых ресурсов

Publications (1)

Publication Number Publication Date
RU2769075C1 true RU2769075C1 (ru) 2022-03-28

Family

ID=81075882

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021116850A RU2769075C1 (ru) 2021-06-10 2021-06-10 Система и способ активного обнаружения вредоносных сетевых ресурсов

Country Status (3)

Country Link
US (1) US12088606B2 (ru)
NL (1) NL2031466B1 (ru)
RU (1) RU2769075C1 (ru)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2805277C1 (ru) * 2023-01-16 2023-10-13 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Способ и система выявления аномального взаимодействия узлов информационно-вычислительной сети
WO2024155206A1 (ru) * 2023-01-16 2024-07-25 Публичное Акционерное Общество "Сбербанк России" Способ и система выявления аномального взаимодействия узлов информационно-вычислительной сети

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2722693C1 (ru) 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
NL2030861B1 (en) * 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
RU2769075C1 (ru) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов
US12238127B1 (en) * 2022-01-18 2025-02-25 Rapid7, Inc. Anomalous data transfer detection
US20240250968A1 (en) * 2023-01-19 2024-07-25 Palo Alto Networks, Inc. Detecting scanning and attacking uniform resource locators in network traffic
CN116484364B (zh) * 2023-02-03 2024-01-26 安芯网盾(北京)科技有限公司 一种基于Linux内核的隐藏端口检测方法及装置
US12418797B2 (en) * 2023-05-30 2025-09-16 T-Mobile Innovations Llc Systems and methods for securing applications executed on communication systems
US12425432B2 (en) * 2023-09-22 2025-09-23 Bank Of America Corporation System and method for network intrusion detection using a neural network implemented by a cloud computing system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100115621A1 (en) * 2008-11-03 2010-05-06 Stuart Gresley Staniford Systems and Methods for Detecting Malicious Network Content
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US20130312097A1 (en) * 2012-05-21 2013-11-21 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
US9130980B2 (en) * 2009-09-24 2015-09-08 Fisher-Rosemount Systems, Inc. Integrated unified threat management for a process control system
US9838407B1 (en) * 2016-03-30 2017-12-05 EMC IP Holding Company LLC Detection of malicious web activity in enterprise computer networks
US10326777B2 (en) * 2004-01-23 2019-06-18 The Barrier Group Integrated data traffic monitoring system

Family Cites Families (242)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389351B2 (en) 2001-03-15 2008-06-17 Microsoft Corporation System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
ATE344573T1 (de) 2000-11-30 2006-11-15 Lancope Inc Flussbasierte erfassung eines eindringens in ein netzwerk
US7325252B2 (en) 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US20030028803A1 (en) 2001-05-18 2003-02-06 Bunker Nelson Waldo Network vulnerability assessment system and method
US20090138342A1 (en) 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
US7512980B2 (en) 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
EP1349081A1 (en) 2002-03-28 2003-10-01 LION Bioscience AG Method and apparatus for querying relational databases
US7496628B2 (en) 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
US20040193918A1 (en) 2003-03-28 2004-09-30 Kenneth Green Apparatus and method for network vulnerability detection and compliance assessment
US20040221171A1 (en) 2003-05-02 2004-11-04 Ahmed Ahmed Awad E. Intrusion detector based on mouse dynamics analysis
US7926113B1 (en) 2003-06-09 2011-04-12 Tenable Network Security, Inc. System and method for managing network vulnerability analysis systems
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US8990928B1 (en) 2003-12-11 2015-03-24 Radix Holdings, Llc URL salience
US7392278B2 (en) 2004-01-23 2008-06-24 Microsoft Corporation Building and using subwebs for focused search
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
WO2006032028A2 (en) 2004-09-13 2006-03-23 Reactivity, Inc. Metric-based monitoring and control of a limited resource
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
JP5118020B2 (ja) 2005-05-05 2013-01-16 シスコ アイアンポート システムズ エルエルシー 電子メッセージ中での脅威の識別
US7609625B2 (en) 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US7707284B2 (en) 2005-08-03 2010-04-27 Novell, Inc. System and method of searching for classifying user activity performed on a computer system
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
US8650080B2 (en) 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
ATE540515T1 (de) 2006-04-13 2012-01-15 Art Of Defence Gmbh Verfahren zur bereitstellung von webanwendungssicherheit
US7930256B2 (en) 2006-05-23 2011-04-19 Charles River Analytics, Inc. Security system for and method of detecting and responding to cyber attacks on large network systems
US8533819B2 (en) 2006-09-29 2013-09-10 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting compromised host computers
US7984500B1 (en) 2006-10-05 2011-07-19 Amazon Technologies, Inc. Detecting fraudulent activity by analysis of information requests
US8176178B2 (en) 2007-01-29 2012-05-08 Threatmetrix Pty Ltd Method for tracking machines on a network using multivariable fingerprinting of passively available information
US20080295173A1 (en) 2007-05-21 2008-11-27 Tsvetomir Iliev Tsvetanov Pattern-based network defense mechanism
US7865953B1 (en) 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US8578166B2 (en) 2007-08-06 2013-11-05 Morgamon SA System and method for authentication, data transfer, and protection against phishing
US8238669B2 (en) 2007-08-22 2012-08-07 Google Inc. Detection and classification of matches between time-based media
US7958555B1 (en) 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
US20110222787A1 (en) 2008-02-28 2011-09-15 Stefan Thiemert Frame sequence comparison in multimedia streams
US8082187B2 (en) 2008-05-07 2011-12-20 AcademixDirect, Inc. Method of generating a referral website URL using website listings in a cookie
US8856937B1 (en) 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US20140250145A1 (en) 2008-07-10 2014-09-04 Chacha Search, Inc Method and system of providing verified content
US10027688B2 (en) 2008-08-11 2018-07-17 Damballa, Inc. Method and system for detecting malicious and/or botnet-related domain names
US8621635B2 (en) 2008-08-18 2013-12-31 Microsoft Corporation Web page privacy risk detection
US8086480B2 (en) 2008-09-25 2011-12-27 Ebay Inc. Methods and systems for activity-based recommendations
US9177144B2 (en) 2008-10-30 2015-11-03 Mcafee, Inc. Structural recognition of malicious code patterns
US8578491B2 (en) 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
US8285830B1 (en) 2009-01-06 2012-10-09 Citizenhawk, Inc. System and method for combating cybersquatting
US8448245B2 (en) 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
US8695091B2 (en) 2009-02-11 2014-04-08 Sophos Limited Systems and methods for enforcing policies for proxy website detection using advertising account ID
US8090729B2 (en) 2009-03-03 2012-01-03 Microsoft Corporation Large graph measurement
US8429751B2 (en) 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
CN101848197B (zh) * 2009-03-23 2015-01-21 华为技术有限公司 检测方法、装置和具有检测功能的网络
US8387145B2 (en) * 2009-06-08 2013-02-26 Microsoft Corporation Blocking malicious activity using blacklist
US8229219B1 (en) 2009-08-06 2012-07-24 Google Inc. Full-length video fingerprinting
US8600993B1 (en) 2009-08-26 2013-12-03 Google Inc. Determining resource attributes from site address attributes
US8396857B2 (en) 2009-08-31 2013-03-12 Accenture Global Services Limited System to modify websites for organic search optimization
US8572740B2 (en) 2009-10-01 2013-10-29 Kaspersky Lab, Zao Method and system for detection of previously unknown malware
EP2323046A1 (en) 2009-10-16 2011-05-18 Telefónica, S.A. Method for detecting audio and video copy in multimedia streams
US8625033B1 (en) 2010-02-01 2014-01-07 Google Inc. Large-scale matching of audio and video
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8612463B2 (en) 2010-06-03 2013-12-17 Palo Alto Research Center Incorporated Identifying activities using a hybrid user-activity model
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
US8839441B2 (en) 2010-06-28 2014-09-16 Infosys Limited Method and system for adaptive vulnerability scanning of an application
US9246932B2 (en) 2010-07-19 2016-01-26 Sitelock, Llc Selective website vulnerability and infection testing
RU2446459C1 (ru) 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
WO2012015171A2 (ko) 2010-07-26 2012-02-02 Kim Ki Yong 해커 바이러스 보안통합관리기
US8924488B2 (en) 2010-07-27 2014-12-30 At&T Intellectual Property I, L.P. Employing report ratios for intelligent mobile messaging classification and anti-spam defense
BR112013004345B1 (pt) 2010-08-25 2020-12-08 Lookout, Inc. sistema e método para evitar malware acoplado a um servidor
US9245114B2 (en) 2010-08-26 2016-01-26 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8837769B2 (en) 2010-10-06 2014-09-16 Futurewei Technologies, Inc. Video signature based on image hashing and shot detection
US9626677B2 (en) 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102082792A (zh) 2010-12-31 2011-06-01 成都市华为赛门铁克科技有限公司 钓鱼网页检测方法及设备
US8972412B1 (en) 2011-01-31 2015-03-03 Go Daddy Operating Company, LLC Predicting improvement in website search engine rankings based upon website linking relationships
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
RU107616U1 (ru) 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система быстрого анализа потока данных на наличие вредоносных объектов
US9363278B2 (en) 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
CA2840992C (en) 2011-07-08 2017-03-14 Brad WARDMAN Syntactical fingerprinting
WO2013008778A1 (ja) 2011-07-11 2013-01-17 Mizunuma Takeshi 識別名管理方法およびシステム
GB2493514B (en) 2011-08-02 2015-04-08 Qatar Foundation Copy detection
US8677472B1 (en) 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
US8645355B2 (en) 2011-10-21 2014-02-04 Google Inc. Mapping Uniform Resource Locators of different indexes
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US8635700B2 (en) 2011-12-06 2014-01-21 Raytheon Company Detecting malware using stored patterns
US8660296B1 (en) 2012-01-10 2014-02-25 Google Inc. Systems and methods for facilitating video fingerprinting using local descriptors
US9111090B2 (en) 2012-04-02 2015-08-18 Trusteer, Ltd. Detection of phishing attempts
RU2523114C2 (ru) 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
US10304036B2 (en) 2012-05-07 2019-05-28 Nasdaq, Inc. Social media profiling for one or more authors using one or more social media platforms
RU2488880C1 (ru) 2012-05-11 2013-07-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз
WO2013184653A1 (en) 2012-06-04 2013-12-12 Board Of Regents, The University Of Texas System Method and system for resilient and adaptive detection of malicious websites
US9154517B2 (en) 2012-06-19 2015-10-06 AO Kaspersky Lab System and method for preventing spread of malware in peer-to-peer network
US9043920B2 (en) 2012-06-27 2015-05-26 Tenable Network Security, Inc. System and method for identifying exploitable weak points in a network
EP2877956B1 (en) 2012-07-24 2019-07-17 Webroot Inc. System and method to provide automatic classification of phishing sites
RU2495486C1 (ru) 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
US10110601B1 (en) 2012-08-16 2018-10-23 Paypal, Inc. Systems and methods for protecting users from malicious content
CN103685174B (zh) 2012-09-07 2016-12-21 中国科学院计算机网络信息中心 一种不依赖样本的钓鱼网站检测方法
US9191399B2 (en) * 2012-09-11 2015-11-17 The Boeing Company Detection of infected network devices via analysis of responseless outgoing network traffic
US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US10965775B2 (en) 2012-11-20 2021-03-30 Airbnb, Inc. Discovering signature of electronic social networks
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
RU2536664C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
RU129279U1 (ru) 2013-01-09 2013-06-20 ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US20160127402A1 (en) 2014-11-04 2016-05-05 Patternex, Inc. Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system
US10425429B2 (en) 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
GB201306628D0 (en) 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
EP2984577A4 (en) 2013-04-11 2016-08-24 Brandshield Ltd DEVICE, SYSTEM AND METHOD FOR THE PROTECTION OF BRAND NAMES AND DOMAIN NAMES
GB2513168B (en) 2013-04-18 2017-12-27 F Secure Corp Detecting unauthorised changes to website content
EP2901665A4 (en) 2013-05-13 2015-10-21 Yandex Europe Ag METHOD AND SYSTEM FOR PROVIDING A CLIENT DEVICE WITH AUTOMATICALLY UPDATING AN IP ADDRESS RELATED TO A DOMAIN NAME
US9357469B2 (en) 2013-05-29 2016-05-31 Rivada Networks, Llc Methods and system for dynamic spectrum arbitrage with mobility management
US20140380480A1 (en) 2013-06-25 2014-12-25 Tencent Technology (Shenzhen) Company Limited Method, device and system for identifying harmful websites
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
CN103368958A (zh) 2013-07-05 2013-10-23 腾讯科技(深圳)有限公司 一种网页检测方法、装置和系统
RU2538292C1 (ru) 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
KR102120823B1 (ko) 2013-08-14 2020-06-09 삼성전자주식회사 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템
CN103491205B (zh) 2013-09-30 2016-08-17 北京奇虎科技有限公司 一种基于视频搜索的关联资源地址的推送方法和装置
US9330258B1 (en) 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
CN105917359B (zh) 2013-10-21 2021-01-26 微软技术许可有限责任公司 移动视频搜索
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
US10122747B2 (en) 2013-12-06 2018-11-06 Lookout, Inc. Response generation after distributed monitoring and evaluation of multiple devices
IN2013CH05744A (ru) 2013-12-12 2015-06-19 Infosys Ltd
US20150363791A1 (en) 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
US9060018B1 (en) 2014-02-05 2015-06-16 Pivotal Software, Inc. Finding command and control center computers by communication link tracking
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
KR101514984B1 (ko) 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9338181B1 (en) 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
US9292691B1 (en) 2014-03-12 2016-03-22 Symantec Corporation Systems and methods for protecting users from website security risks using templates
RU2543564C1 (ru) 2014-03-20 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US9332022B1 (en) 2014-07-07 2016-05-03 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
RU2601147C2 (ru) 2014-08-12 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления целевых атак
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US9026840B1 (en) 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
RU2589310C2 (ru) 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса
WO2016064919A1 (en) 2014-10-21 2016-04-28 Abramowitz Marc Lauren Dynamic security rating for cyber insurance products
US10338191B2 (en) 2014-10-30 2019-07-02 Bastille Networks, Inc. Sensor mesh and signal transmission architectures for electromagnetic signature analysis
US20160142429A1 (en) 2014-11-19 2016-05-19 Royce Renteria Preventing access to malicious content
JP6916112B2 (ja) 2014-11-21 2021-08-11 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
US10574675B2 (en) 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US10375572B2 (en) 2014-12-11 2019-08-06 Bitdefender IPR Management Ltd. User interface for security protection and remote management of network endpoints
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US10230526B2 (en) 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
US9712549B2 (en) 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
CN104504307B (zh) 2015-01-08 2017-09-29 北京大学 基于拷贝单元的音视频拷贝检测方法和装置
KR20160095856A (ko) 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
US11328307B2 (en) 2015-02-24 2022-05-10 OpSec Online, Ltd. Brand abuse monitoring system with infringement detection engine and graphical user interface
EP3065076A1 (en) 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
US9712553B2 (en) 2015-03-27 2017-07-18 The Boeing Company System and method for developing a cyber-attack scenario
US20160308898A1 (en) 2015-04-20 2016-10-20 Phirelight Security Solutions Inc. Systems and methods for tracking, analyzing and mitigating security threats in networks via a network traffic analysis platform
US10284595B2 (en) * 2015-05-08 2019-05-07 Citrix Systems, Inc. Combining internet routing information with access logs to assess risk of user exposure
US10129239B2 (en) 2015-05-08 2018-11-13 Citrix Systems, Inc. Systems and methods for performing targeted scanning of a target range of IP addresses to verify security certificates
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
RU164629U1 (ru) 2015-06-30 2016-09-10 Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5
EP3125147B1 (en) 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
CN106506435B (zh) 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
US9654492B2 (en) 2015-09-15 2017-05-16 Mimecast North America, Inc. Malware detection system based on stored data
WO2017049045A1 (en) 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
KR101703446B1 (ko) 2015-10-15 2017-02-06 숭실대학교산학협력단 DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
US11218510B2 (en) 2015-10-28 2022-01-04 Qomplx, Inc. Advanced cybersecurity threat mitigation using software supply chain analysis
US12107895B2 (en) 2015-10-28 2024-10-01 Qomplx Llc Privilege assurance of enterprise computer network environments using attack path detection and prediction
CN105429955B (zh) 2015-10-30 2018-12-11 西安四叶草信息技术有限公司 一种远程漏洞的检测方法
CN105429956B (zh) 2015-11-02 2018-09-25 重庆大学 基于p2p动态云的恶意软件检测系统及方法
US10200382B2 (en) 2015-11-05 2019-02-05 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
RU2622870C2 (ru) 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US9894036B2 (en) 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
CN106709777A (zh) 2015-11-18 2017-05-24 阿里巴巴集团控股有限公司 一种订单聚类方法及装置,以及反恶意信息的方法及装置
RU2613535C1 (ru) 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
WO2017087840A1 (en) 2015-11-20 2017-05-26 Webroot Inc. Binocular fusion analytics security
US10212175B2 (en) 2015-11-30 2019-02-19 International Business Machines Corporation Attracting and analyzing spam postings
WO2017103974A1 (ja) 2015-12-14 2017-06-22 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US9723344B1 (en) 2015-12-29 2017-08-01 Google Inc. Early detection of policy violating media
US11069370B2 (en) 2016-01-11 2021-07-20 University Of Tennessee Research Foundation Tampering detection and location identification of digital audio recordings
RU2628192C2 (ru) 2016-01-27 2017-08-15 Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов
US10440050B1 (en) 2016-01-27 2019-10-08 United Services Automobile Association (Usaa) Identifying sensitive data on computer networks
US9900338B2 (en) 2016-02-09 2018-02-20 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data
US10237259B2 (en) 2016-02-29 2019-03-19 Securekey Technologies Inc. Systems and methods for distributed identity verification
US10372904B2 (en) 2016-03-08 2019-08-06 Tanium Inc. Cost prioritized evaluations of indicators of compromise
US10063572B2 (en) 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10313382B2 (en) 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
US10178107B2 (en) 2016-04-06 2019-01-08 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names
US10212145B2 (en) 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
CN105897714B (zh) 2016-04-11 2018-11-09 天津大学 基于dns流量特征的僵尸网络检测方法
RU2625050C1 (ru) 2016-04-25 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ признания транзакций доверенными
US11223598B2 (en) 2016-05-03 2022-01-11 Nokia Of America Corporation Internet security
US10033757B2 (en) 2016-06-09 2018-07-24 Rapid7, Inc. Identifying malicious identifiers
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2636702C1 (ru) 2016-07-07 2017-11-27 Общество С Ограниченной Ответственностью "Яндекс" Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций
US20180012144A1 (en) 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
CN106131016B (zh) 2016-07-13 2019-05-03 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US10212133B2 (en) 2016-07-29 2019-02-19 ShieldX Networks, Inc. Accelerated pattern matching using pattern functions
WO2018025157A1 (en) 2016-07-31 2018-02-08 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10498761B2 (en) 2016-08-23 2019-12-03 Duo Security, Inc. Method for identifying phishing websites and hindering associated activity
US10574681B2 (en) 2016-09-04 2020-02-25 Palo Alto Networks (Israel Analytics) Ltd. Detection of known and unknown malicious domains
RU2634209C1 (ru) 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10313352B2 (en) 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
US10318741B2 (en) 2016-11-21 2019-06-11 Bank Of America Corporation Data security and risk ranking tool
WO2018095192A1 (zh) 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
US10848515B1 (en) 2016-12-02 2020-11-24 University Of South Florida Predictive model for overall network security risk
CN106713312A (zh) 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US10721262B2 (en) 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system
US20180189697A1 (en) 2016-12-30 2018-07-05 Lookingglass Cyber Solutions, Inc. Methods and apparatus for processing threat metrics to determine a risk of loss due to the compromise of an organization asset
US10728261B2 (en) 2017-03-02 2020-07-28 ResponSight Pty Ltd System and method for cyber security threat detection
US11425148B2 (en) 2017-03-10 2022-08-23 Visa International Service Association Identifying malicious network devices
US10462169B2 (en) 2017-04-29 2019-10-29 Splunk Inc. Lateral movement detection through graph-based candidate selection
JP2020531936A (ja) 2017-06-29 2020-11-05 Line株式会社 アプリケーションの脆弱点を探知する方法およびシステム
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
CA3068953A1 (en) 2017-07-06 2019-01-10 Pixm Phishing detection method and system
CN107392456A (zh) 2017-07-14 2017-11-24 武汉理工大学 一种融合互联网信息的多角度企业信用评估建模方法
US10862907B1 (en) 2017-08-07 2020-12-08 RiskIQ, Inc. Techniques for detecting domain threats
US11695793B2 (en) 2017-10-31 2023-07-04 Micro Focus Llc Vulnerability scanning of attack surfaces
RU2670906C9 (ru) 2017-12-28 2018-12-12 Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель
CN108282489B (zh) 2018-02-07 2020-01-31 网宿科技股份有限公司 一种漏洞扫描方法、服务端及系统
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов
RU2697926C1 (ru) 2018-03-30 2019-08-21 Акционерное общество "Лаборатория Касперского" Система и способ противодействия атаке на вычислительные устройства пользователей
US10778701B2 (en) 2018-04-10 2020-09-15 Red Hat, Inc. Mitigating cyber-attacks by automatically coordinating responses from cyber-security tools
US11265292B1 (en) 2019-01-28 2022-03-01 Amazon Technologies, Inc. Graph based management of virtualized infrastructures
CN110138764B (zh) 2019-05-10 2021-04-09 中北大学 一种基于层次攻击图的攻击路径分析方法
RU2722693C1 (ru) 2020-01-27 2020-06-03 Общество с ограниченной ответственностью «Группа АйБи ТДС» Способ и система выявления инфраструктуры вредоносной программы или киберзлоумышленника
US11537386B2 (en) 2020-04-06 2022-12-27 Johnson Controls Tyco IP Holdings LLP Building system with dynamic configuration of network resources for 5G networks
RU2738335C1 (ru) 2020-05-12 2020-12-11 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система классификации и фильтрации запрещенного контента в сети
US11362996B2 (en) * 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
RU2769075C1 (ru) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10326777B2 (en) * 2004-01-23 2019-06-18 The Barrier Group Integrated data traffic monitoring system
US20100115621A1 (en) * 2008-11-03 2010-05-06 Stuart Gresley Staniford Systems and Methods for Detecting Malicious Network Content
US9130980B2 (en) * 2009-09-24 2015-09-08 Fisher-Rosemount Systems, Inc. Integrated unified threat management for a process control system
RU2487406C1 (ru) * 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US20130312097A1 (en) * 2012-05-21 2013-11-21 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
US9838407B1 (en) * 2016-03-30 2017-12-05 EMC IP Holding Company LLC Detection of malicious web activity in enterprise computer networks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2810193C1 (ru) * 2023-01-10 2023-12-22 федеральное государственное казенное военное образовательное учреждение высшего образования "Краснодарское высшее военное орденов Жукова и Октябрьской Революции Краснознаменное училище имени генерала армии С.М. Штеменко" Министерства обороны Российской Федерации Способ защиты вычислительных сетей
RU2805277C1 (ru) * 2023-01-16 2023-10-13 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Способ и система выявления аномального взаимодействия узлов информационно-вычислительной сети
WO2024155206A1 (ru) * 2023-01-16 2024-07-25 Публичное Акционерное Общество "Сбербанк России" Способ и система выявления аномального взаимодействия узлов информационно-вычислительной сети

Also Published As

Publication number Publication date
NL2031466B1 (en) 2023-06-13
NL2031466A (en) 2022-12-19
US12088606B2 (en) 2024-09-10
US20220407875A1 (en) 2022-12-22

Similar Documents

Publication Publication Date Title
RU2769075C1 (ru) Система и способ активного обнаружения вредоносных сетевых ресурсов
US12301628B2 (en) Correlating network event anomalies using active and passive external reconnaissance to identify attack information
US11736499B2 (en) Systems and methods for detecting injection exploits
US20250047717A1 (en) Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance
US20230113377A1 (en) Enhanced device updating
US10200384B1 (en) Distributed systems and methods for automatically detecting unknown bots and botnets
RU2495486C1 (ru) Способ анализа и выявления вредоносных промежуточных узлов в сети
US11245667B2 (en) Network security system with enhanced traffic analysis based on feedback loop and low-risk domain identification
US9306964B2 (en) Using trust profiles for network breach detection
US9438616B2 (en) Network asset information management
EP3128459B1 (en) System and method of utilizing a dedicated computer security service
US10771260B2 (en) Systems and methods for digital certificate security
US20190182286A1 (en) Identifying communicating network nodes in the presence of Network Address Translation
NL2030861B1 (en) System and method for external monitoring a cyberattack surface
US20170026401A1 (en) System and method for threat visualization and risk correlation of connected software applications
Naik et al. D-FRI-Honeypot: A secure sting operation for hacking the hackers using dynamic fuzzy rule interpolation
Papanikolaou et al. An autoML network traffic analyzer for cyber threat detection
Janagam et al. Analysis of network intrusion detection system with machine learning algorithms (deep reinforcement learning algorithm)
RU2778635C1 (ru) Система и способ внешнего контроля поверхности кибератаки
CN119628971B (zh) 一种安全告警数据降噪方法、装置、设备及存储介质
US20250254182A1 (en) Dynamic signature selection systems and methods
Alsheakh A Unified Decentralized Trust Framework for Detection of IoT Device Attacks in Smart Homes
Hamdani et al. Automated Policy Violation Detection in Network Security Using Blockchain Technology
Jain Application of intrusion detection system in automatic evidence collection using digital forensics
CN120188439A (zh) 战略上老化域检测