CN110620753B - 反击对用户的计算设备的攻击的***和方法 - Google Patents
反击对用户的计算设备的攻击的***和方法 Download PDFInfo
- Publication number
- CN110620753B CN110620753B CN201810845581.7A CN201810845581A CN110620753B CN 110620753 B CN110620753 B CN 110620753B CN 201810845581 A CN201810845581 A CN 201810845581A CN 110620753 B CN110620753 B CN 110620753B
- Authority
- CN
- China
- Prior art keywords
- attack
- data
- user
- service
- cyber
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了用于反击对用户的计算设备的攻击的***和方法,用户通过该计算设备与存储关于用户的个人数据的服务进行交互。采集关于服务的数据以及关于设备自身的数据,用户通过设备与该服务交互。分析收集的数据以检测何时由于关于用户的个人数据从至少一个服务的数据外泄而发生对设备的网络攻击。在用于另一用户的至少一个设备的攻击向量的特征中找到匹配的情况下,为了反击该网络攻击而选择动作并将其发送到相应集群的所有用户的设备,该另一用户的设备属于该相应集群。
Description
技术领域
本发明涉及计算机安全和用于保护用户的计算设备免受黑客的计算机攻击的方案,更具体地涉及检测且反击对用户的计算设备的攻击的***和方法。
背景技术
目前,由于信息技术(Information Technology,IT),服务业已显著发展。大型服务供应商使用IT提供IT支持和普通服务(诸如电子邮件服务或社交网络、通过因特网购买和支付)。大多数公司具有使用IT服务的基础设施,其中,用户的数据经常被存储在该基础设施的数据库中。使用这类数据库,健身俱乐部例如可以向用户通知活动或折扣,且还向用户通知其即将结束的订阅或从用户接收关于所提供服务的质量的反馈。
伴随目前IT服务的多样化,来自黑客的对这些IT服务的恶意网络攻击的数量也稳步增长。在成功攻击的情况下,黑客获得对用户的个人数据的访问,这可能对用户造成财务或精神上损害。一方面,用户注册服务是必需的(至少是为了防止不当行为的情况)。另一方面,每个服务包含存储使用该服务的用户的数据的数据库,且因此该数据由于对该服务的成功攻击而可能变为可访问的。
频繁地对这类服务进行所谓的目标性攻击。目标性攻击为针对具体的服务供应商、公司、组织或政府机构的直接攻击。安全应用程序的开发商提供用于反击这类攻击的方案。例如,已知的用于反击目标性攻击的***对与特定公司相关联的安全事件分类、识别目标性攻击、且采取措施以反击这类攻击。
然而,实际上不可能防止关于用户的数据从这类服务的所有泄漏。由于在成功攻击情况下的数据库泄漏,因此服务的用户频繁地遭遇对其设备的后续攻击,诸如侵入性电话、垃圾邮件和SMS消息、恶意文件和网络钓鱼链接。应当注意,在该情况下,攻击没有明确地与设备模型或操作***的类型相关,因为该服务的用户实际上被该服务而非被任意具体硬件或软件关联。
发明内容
本发明描述了一种***和方法,其解决了所描述的在从用户通过设备与服务进行交互的所述服务发生数据泄露的情况下保护用户的所述设备的问题。
根据本发明的一个方面,提供了一种用于反击对计算设备的网络攻击的计算机实现方法,用户通过所述计算设备与保存关于所述用户的数据的服务进行交互。所述方法包括:接收与采集且存储多个用户的个人数据的服务相关联的服务数据,以及接收与多个计算设备相关联的设备数据,所述多个计算设备与所述多个用户相关联并且被配置成与所述服务交互。所述方法还包括:基于接收的所述服务数据和所述设备数据,检测由于所述用户的所述个人数据从所述服务的数据外泄而发生对所述多个计算设备中的至少一者的网络攻击。所述方法包括:生成所述多个计算设备的子集的集群,以及基于接收的所述设备数据,识别所述网络攻击的攻击向量。所述方法包括:向所述集群中的计算设备的所述子集发送用于反击所述网络攻击的动作,其中,所述动作基于识别的所述攻击向量来确定。
在另一个方面中,接收的所述服务数据还包括所述多个用户的所述个人数据的至少一部分的可公开访问的泄露数据库。
在另一个方面中,基于规则检测所述网络攻击,所述规则具有如下条件:所述网络攻击包括对所述服务的参考且使用来自所述数据外泄的所述个人数据。
在另一个方面中,基于接收的所述设备数据识别所述网络攻击的所述攻击向量包括:确定所述网络攻击的来源包括第一用户交互的所述服务。
在另一个方面中,基于接收的所述设备数据识别所述攻击的所述攻击向量包括:确定作为所述攻击的目标的元素组,其中,所述元素组包括第一用户的电子邮件地址和所述第一用户的电话号码。
在另一个方面中,确定用于反击所述网络攻击的所述动作还基于用于另一用户的至少一个计算设备的所述攻击向量的特征中的匹配,所述另一用户的计算设备属于所述集群。
在另一个方面中,所述方法还包括:基于从所述多个设备接收的诊断数据确定用于反击所述网络攻击的所述动作的效能;以及基于确定的所述效能修改用于检测且反击网络攻击的一个或多个规则。
根据本发明的另一个方面,提供了一种用于反击对计算设备的网络攻击的***,用户通过所述计算设备与保存关于所述用户的数据的服务进行交互。所述***包括硬件处理器,所述硬件处理器被配置成:接收与采集且存储多个用户的个人数据的服务相关联的服务数据,以及接收与多个计算设备相关联的设备数据,所述多个计算设备与所述多个用户相关联并且被配置成与所述服务交互。所述处理器还被配置成:基于接收的所述服务数据和所述设备数据,检测由于所述用户的所述个人数据从所述服务的数据外泄而发生的对所述多个计算设备中的至少一者的网络攻击。所述处理器还被配置成:生成所述多个计算设备的子集的集群,以及基于接收的所述设备数据识别所述网络攻击的攻击向量。所述处理器被配置成:向所述集群中的计算设备的所述子集发送用于反击所述网络攻击的动作,其中,所述动作基于识别的所述攻击向量来确定。
根据另一个示例性方面,提供了一种计算机可读介质,其包括多个指令,这些指令包括用于执行本文中所公开的方法中的任一方法的计算机可执行指令。
以上对示例性方面的简要概述用于提供对本发明的基本理解。该概述不是对所有预期方面的广泛综述,并且既不旨在标识所有方面的关键的或主要的要素,也不旨在勾画本发明的任何方面或所有方面的范围。该概述的唯一目的是以简化的形式呈现一个或多个方面,作为随后的对本发明的更详细的描述的前奏。为了实现前述内容,本发明的一个或多个方面包括在权利要求中所描述的且示例性指出的特征。
附图说明
并入本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,以及连同具体实施方式一起用来阐述这些示例性方面的原理和实现方式。
图1示出了根据一个方面的用户与保存关于用户的数据的服务的交互的框图。
图2示出了根据一个方面的用于反击对计算设备的攻击的***的框图,用户通过该计算设备与保存关于用户的数据的服务进行交互。
图3为根据一个示例性方面的用于反击对计算设备的攻击的方法的流程图,用户通过该计算设备与保存关于用户的数据的服务进行交互。
图4示出了在其上可实现本发明的多个方面的计算机***的示例。
具体实施方式
本文中在用于反击对计算设备(用户通过该计算设备与保存关于用户的数据的服务进行交互)的攻击的***、方法和计算机程序产品的背景下描述示例性方面。本领域的普通技术人员能够认识到,以下描述仅仅是说明性的,而不旨在以任何方式进行限制。其它方面将很容易将其自身暗示给了解本发明的优点的本领域的技术人员。现在将详细地参考如附图中所示的示例性方面的实现方式。贯穿附图和以下描述将尽可能地使用相同的附图标记来指代相同或类似的项目。
“***模块”在本发明中指的是通过利用硬件(诸如集成微电路(专用集成电路,ASIC)或现场可编程门阵列(FPGA))实现的、或例如以软件和硬件的组合(诸如微处理器***和一组程序指令)的形式实现的、以及在神经突触芯片上实现的真实的设备、***、部件、和部件组。这类***模块的功能可以仅仅通过硬件来实现、而且还可以以组合的形式来实现,其中,***模块的一些功能通过软件来实现,以及一些功能通过硬件来实现。在某些变型方面中,可以在计算机(诸如在图4中所示的计算机)的处理器上执行一些或全部模块。***部件(各个模块)可以在单一计算设备内实现或散布在多个互连计算设备之中。
“计算机攻击(在后文中,攻击)”在本发明中指的是对自动信息***的信息、资源的目标性未经授权的动作或通过使用软件和/或硬件获得对上述信息、资源的未经授权的访问。
图1示出了根据一个方面的用户与保存关于用户的数据的服务的交互101的框图。用户110与保存关于用户的数据的服务120(在后文中,服务)的交互101通常使用计算设备130(在后文中,设备)来完成。设备130可以为智能手机、计算机或平板PC。通常,交互101是双向的(交互通过用户110或通过服务120发生,或交互由用户110或由服务120发起)。例如,用户110可以通过账户记录访问特定服务120,以及该服务120可以通过将消息发送到电子邮箱或移动电话号码来通知用户110(其中,用户110采用设备130来读取来自服务120的邮件且接听来自服务120的电话)。在特定变型方面中,用户110通过某些设备130与服务120在单向方向上交互。例如,用户110决不通过SMS消息与服务120交互,然而他们从服务120接收这些SMS消息。在一个变型方面中,用户110可以通过不同设备130与服务交互(例如,通过个人计算机和智能手机来查看电子邮件或使用社交网络)。
由服务120存储特定形式的关于用户的数据,在一般情况下,通过使用服务120的基础设施来存储,存储在诸如数据库125或其它类型的存储模块中。通常,用户110执行注册过程(在后文中,注册),向服务120提供具有用户110的变化的识别度的个人信息。在一个实例中,这可以是例如在服务120处的注册,该注册需要具有注册确认的电子邮件。在另一个实例中,例如,用户110的注册通过前往健身俱乐部以与该健身俱乐部签订合同而发生,在该合同中输入护照和其它数据。
图2示出了根据一个方面的用于反击对计算设备的攻击的***200的框图,用户通过该计算设备与保存关于用户的数据的服务交互。应当注意,在该***的一个变型方面中,关于用户的数据为其个人数据。在一些方面中,个人数据可以为个人可识别信息(Personally Identifiable Information,PII)。在一些方面中,个人数据可以服从于数据政策和条例,该数据政策和条例指定对这类数据的采集、存储、访问、传播和处理的限制。在一些方面中,关于用户的数据可以包括用于认证利用服务的用户的数据,诸如用户名、密码、安全问题、其它登录凭证、和/或从其导出的信息(例如,密码的哈希值)。
用于反击对计算设备130(用户110通过计算设备130与保存关于用户的数据的服务120进行交互)的攻击的***200通常为安全应用程序(诸如防病毒应用程序)的一部分且包括采集模块210、分析模块220和攻击反击模块230。
采集模块210在该方面中通常在设备130上实现,用户110通过该设备130与服务120交互。采集模块210可以为防病毒应用程序的已知部件的形式,诸如反垃圾邮件模块、反网络钓鱼模块或来电显示模块(诸如使得可用在卡巴斯基
中)。采集模块210被配置成收集关于服务120(用户110与该服务120交互)的数据、以及关于设备130的数据,用户110通过设备130与服务120交互。
在一个方面中,关于服务120的数据(即,服务有关的数据)可以包括(但不限于)服务120的类型(站点、电子邮件、组织)、由服务120采集的用户110的个人数据、服务120的位置、以及与服务120交互的目的。在一个方面中,关于设备130的数据(即,设备有关的数据)可以包括(但不限于)设备130的类型(智能手机、平板电脑、笔记本)、设备130运行所处的操作***、关于设备130上的用户110与服务120交互所利用的应用程序的数据、设备130上安装的已知的易受攻击的应用程序、针对设备130的操作***(Operating System,OS)和应用程序所安装的安全补丁、以及设备130的位置。
在一个变型方面中,采集模块210也采集揭示由于关于用户的数据从至少一个前述服务120的泄漏而发生的攻击的数据。数据泄露或数据外泄通常发生在由获得对关于用户110的数据的访问的黑客对服务120的成功攻击的情况下。此后,使用社交工程、恶意程序和链接的各种技术,黑客可以试图影响用户110或其设备130,以便获得对用户的个人(机密)数据的未经授权的访问。基于用于检测攻击的至少一个规则检测攻击,例如,如果用户110接收到来自未知地址的带有附件的电子邮件、或如果用户110接收到来自特定蜂窝通信运营商的未知号码的电话。在一般情况下,可以通过更详细的启发法改变且描述这些规则。在一个变型方面中,基于统计数据自动地制定规则。在另一个变型方面中,在计算机安全方面的专家的参与下制定规则。在一般情况下,所述规则被保持在远程服务器处,且可以由采集模块210从分析模块220接收。
在一个示例性方面中,采集的数据为匿名的。在一个方面中,采集的数据已被(例如通过采集模块)修改以对数据进行匿名化。
在一个变型方面中,从攻击反击模块230接收关于为了反击攻击所进行的动作的信息。在先前按照至少一个规则识别攻击的情况下,采集模块210识别先前识别的对由分析模块220制定的集群(下文所述)的其他用户110的设备130的攻击,并向分析模块220发送包括执行的动作以及在执行的动作之后是否借助提及的规则检测攻击的信息。
在一个变型方面中,采集模块210在远程服务器290上实现或作为云服务实现。采集模块210在该情况下采集且分析保存关于用户110的数据的服务120的数据,关于用户110的数据在因特网280上可访问且也在通过因特网(诸如Tor网络)可访问的网络上可访问。在一个变型方面中,对已“泄漏”到网络的数据进行分析,该数据例如为出售或免费分发的用户数据库。数据库的“泄漏”的许多情况是已知的,可能为银行数据库和用户电子邮件地址、以及用户110正在交互的各种组织的数据库。
由采集模块210采集的数据被发送到分析模块220。
分析模块220可以在远程服务器290上实现或作为云服务实现。在一般情况下,分析模块220被配置成基于从采集模块210获得的数据创建(制定)设备130的集群,用户110通过设备130与服务120交互。
在一个变型方面中,不断地创建所述集群。例如,在特定时间间隔之后,分析模块220执行分析以确定用户110与哪个服务120交互以及用户110通过哪个设备130进行交互。在一个变型方面中,分析模块220可以在特定条件下将用户110的设备130从集群排除。例如,响应于确定用户110在一段时间内未通过设备130与服务120交互、或响应于确定设备130自身长期以来一直没有用户110,分析模块220可以将该设备从制定的集群排除。
在另一个变型方面中,在实际攻击出现的时刻动态地创建集群,即,响应于检测到同时发生的网络攻击。
如在上文示例中所描述,可以基于规则识别对设备130的攻击。基于实际攻击,分析模块220识别该攻击的攻击向量。攻击向量为在实现对安全性的威胁时黑客方面作用于设备130的方向或具体方法。在一个方面中,攻击向量可以为被黑客或恶意行为者用于获得对设备130或服务120的未经授权的访问的路径或技术。在实现对安全性的威胁时,黑客可以利用各种漏洞,包括不充分的保护等级、***软件或应用程序软件中的错误配置或漏洞、以及信息***的网络协议中的安全缺陷。
限定攻击向量的特征可以包括:(i)攻击的来源或来源组、(ii)作为攻击的目标的元素或元素组、(iii)动作的类型、和(iv)动作的工具。
攻击的来源通常为用户110正在交互的服务120。在攻击期间,服务120分发链接、SMS、或电子邮件。应当注意,该来源在特定情况下可能不是服务120。例如,可以在光盘或闪存驱动器上获得恶意文件。然而,即使在该情况下,分析模块220也可以发现到攻击来源的链接,例如,由用户从特定服务120(例如,从作为公共关系(PR)活动的一部分的健身俱乐部或餐厅)获得磁盘或驱动器。
作为攻击目标的元素通常为一个用户110或各个用户110的设备130。攻击可以在用户的多个设备130上同时发生,例如,为了黑客方面的攻击的更大覆盖范围和更好的成功可能性。如果黑客已获得对用户110的数据(包含其电子邮箱和电话号码)的访问,则用户110可以同时接收电子邮件和电话呼叫。
上文讨论了(恶意)动作的类型的示例。恶意动作的类型可以包括链接,SMS或电子邮件,在应答机上的文本消息、音频消息和视频消息,以及对应答机的呼叫(来自人类或机器人)。
动作的工具为恶意文件、脚本、包含社交工程技术的文本(当黑客试图通过SMS或在社交网络中从用户获得例如其银行卡数据时)、或骚扰电话。
因此,“泄漏”数据库、用户在因特网站点(诸如Avito)的注册、入侵者对站点的临时黑客行为(诸如对新闻站点或致力于计算机游戏或特定主题的站点的临时黑客行为)允许黑客基于所获得的关于用户110的数据对设备130进行攻击。
在一个变型方面中,在识别攻击向量时,分析模块220将攻击向量的特征与对其他用户110的设备130的攻击相比较。如果存在与另一用户110(其设备属于相应集群)的至少一个设备130的攻击向量的特征的匹配,则分析模块220会将关于攻击的数据发送到该相应集群中包括的设备130上的攻击反击模块230。在一个变型方面中,分析模块220也将发送关于反击攻击所需执行的至少一个动作的信息。
在一个变型方面中,分析模块220从采集模块210接收关于先前执行的动作的信息以及关于在采取这些动作之后何时触发用于检测攻击的规则的信息。基于从采集模块210获得的数据,分析模块220分析为了反击攻击所采取的动作的有效性。在一般情况下,如果结果是通过检测对其他用户110的设备130的攻击的前述规则未检测到攻击,则所采取的动作被视为有效的。
在一个变型方面中,分析模块220使用与用户110的交互(通信)本身作为反馈(例如,通过SMS、电子邮件、消息、电话呼叫)。基于该反馈,分析模块220发现攻击是否被正确地确定(识别或检测)或用户110是否将攻击视为假警报。
在一个变型方面中,分析模块220从用户110接收关于他们对数据泄露的来源的假设的信息。例如,用户先前未接收到SMS(垃圾邮件)邮寄,但是他们最近报名了运动俱乐部且关于运动主题的垃圾邮件的邮寄开始。该用户认为该邮寄在报名该俱乐部之后开始。这类信息被分析模块220用于设备130的集群的更准确的制定和攻击向量的识别。
在一个变型方面中,在识别设备130的集群和攻击向量的情况下分析模块220将通知用户110关于用户相关的数据泄漏的来源。注意,用户可以针对损害寻求起诉或提起诉讼、或中断合同关系并要求将其数据从该服务120去除,尽管这将仅对于新的且不旧的数据泄露是可能的。在又一个变型方面中,分析模块220将通知这样的服务120:从该服务120发生了关于用户110的数据的泄漏,从而该服务120可以例如执行其安全***的审计、识别泄漏的起因、并采取防止泄漏重复发生的措施。此外,在该情况下,服务120可以通知其他用户110关于该服务120自身的泄漏。
在一般方面中,攻击反击模块230在用户110的设备上实现,用户110通过该设备与服务120交互。在一般情况下,攻击反击模块230执行从分析模块220获得的动作以反击攻击。在一个示例中,攻击反击模块230可以发送关于攻击的文本警告。在另一个示例中,攻击反击模块230可以将链接(例如URL或包括URL的HTML)添加到屏蔽列表、将电话号码添加到屏蔽列表(在手机中和在应答机中)、和/或将发送者的电子邮件地址添加到屏蔽列表。在另一个示例中,攻击反击模块230可以通过特定途径将文件从操作***(OS)缓存或给定应用程序中去除。在另一个示例中,攻击反击模块230可以自动地切换到安全应用程序技术的“增强型”模式,该“增强型”模式负责反击来自与设备130的给定集群对应的向量的攻击。
在一个变型方面中,攻击反击模块230将关于执行的动作的信息发送到采集模块210。鉴于上文描述的内容,应当理解,如果采集模块210基于用于检测攻击的规则停止识别攻击(例如,用户接收到具有链接的SMS但是并未点击它,因为该链接被添加到屏蔽列表),则关于此的数据也将被发送到分析模块220以评估所选的用于反击攻击的动作的有效性。这是重要的,因为设备130的多样性和安全应用程序的权限。因此,例如,根据操作***,安全应用程序可以具有不同权限,并且因此相同的攻击反击动作将不总是合适于同一类型的不同设备130(诸如移动电话)(因为例如安全应用程序在OS安卓和iOS中具有不同的权限组)。
如下情况可以用作本文中所描述的***200的操作的示例。导致数据库泄露的成功网络攻击发生在加密货币交换服务处,该加密货币交换服务合法地交易加密货币资产。交换服务的注册用户中的一些用户经历验证,另一些用户从银行卡上提取资金,以致个人数据(护照照片、电话号码、银行***码)已变为黑客可访问的。因此,提及的交换是保存关于用户110的数据的服务120。服务120不具有足够的保护和软件以防止其数据库的泄漏,因此需要保护数据已变为黑客可访问的用户110。应当注意,在这类情况下,如果具有用户110的数据的数据库为公众可访问的,则一个或多个不同的(后续)攻击可以从不同的黑客组发生。即,一个或多个后续网络攻击可以使用在具有用户110的数据的数据库中包含的个人数据而发生。
黑客利用各种向量开始后续的一个或多个攻击。例如,黑客通过电子邮件发出带有恶意附件(网络钓鱼链接和键盘记录工具程序)的消息,他们使用用户110的护照数据和***呼叫银行(例如社交工程),他们呼叫且发出SMS以及经由社交网络联系用户110,寻求获得该用户110的附加数据。
采集模块210根据攻击检测规则收集关于这类SMS、呼叫和电子邮件的数据。例如,采集模块210可以基于规则收集数据,该规则具有如下条件:来自未知发送者的电子邮件包含加密货币篮的地址和具有关于投资的关键词的提议。此外,采集模块210先前采集关于用户与提及的交换服务交互的事实的数据。此外,采集模块210在网络Tor中的专业论坛上发现提及的具有关于用户110的数据的数据库。
在将数据发送到分析模块220之后,制定用户110的设备130的集群。用户110在不同操作***的控制下采用各种移动设备和PC。此外,攻击向量由分析模块220确定。分析模块220根据设备130的类型和设备130的OS选择针对设备130的用于反击攻击的动作。这些动作被分派给用户110的设备130且被攻击反击模块230执行。
因此,攻击向量中的一些攻击向量停止出现(或出现次数显著降低),而其它攻击向量保持不变。在由攻击反击模块230执行动作之后,由分析模块220从采集模块210获得的数据允许分析模块220计算所采取的动作的有效性。如果该有效性低于阈值,则其它或附加动作将被选择且被发送到攻击反击模块230。
所描述的***200的操作方法继续,以及在发现新攻击时重复该***的一系列动作。
图3为根据一个示例性方面的用于反击对计算设备的攻击的方法300的流程图,用户通过该计算设备与保存关于用户的数据的服务进行交互。
在步骤310中,使用采集模块210采集关于提及的服务120的数据和关于提及的设备130的数据,用户110正在通过设备130与服务120交互。在一个变型方面中,采集模块210还被设计成收集在因特网上可访问的关于服务120的数据,该服务120保存关于用户110的数据。在一个方面中,采集模块210(例如,在远程服务器290上执行)可以接收与服务120(例如,在线服务、实体服务)相关联的服务数据,该服务120采集且存储多个用户110的个人数据。在一个方面中,采集模块210可以接收与多个计算设备130相关联的设备数据,多个计算设备130与多个用户110相关联且被配置成与服务120交互。在一个方面中,接收的服务数据可以包括多个用户的个人数据的至少一部分的可公开访问的泄露数据库。在一些方面中,接收的服务数据指定如下项中的至少一者:服务的类型、由服务采集的多个用户的个人数据、服务的位置、和用户与该服务交互的目的。在一些方面中,接收的服务数据针对多个计算设备中的每一者指定如下项中的至少一者:各自计算设备的类型,各自计算设备运行所处的操作***,以及用户与服务交互所利用的各自计算设备上的应用程序的数据。
在步骤320中,使用采集模块210收集关于设备的数据,该设备识别由于关于用户110的数据从至少一个前述服务120的泄漏而发生的攻击,基于用于检测攻击的至少一个规则来识别该攻击。将收集的数据发送到分析模块220。
在一个方面中,分析模块220可以检测(例如基于接收的服务数据和设备数据)由于用户110的个人数据从服务120的数据外泄而发生的对多个计算设备130中的至少一者的网络攻击。在一些方面中,分析模块220可以基于规则检测网络攻击,该规则具有如下条件:网络攻击包括对服务的参考且使用来自数据外泄的个人数据。例如,分析模块220可以分析服务数据,该服务数据指示已发生加密货币交换服务的数据外泄,该加密货币交换服务的第一用户为会员且具有列为其联系信息(即个人数据)的电子邮件地址<[email protected]>。分析模块220可以分析来自第一计算设备的设备数据,该设备数据指示第一设备接收了寄到泄漏的电子邮件地址<[email protected]>的可疑电子邮件,该可疑电子邮件引用加密货币交换服务,或在其它情况下,该可疑电子邮件包含加密货币交易的地址和具有关于加密货币投资的关键字的建议。可以从未经证实的或未知的发送方发送可疑电子邮件,和/或可疑电子邮件可以包含网络钓鱼链接。
在一个方面中,分析模块220可以基于从用户110接收的、指示关于数据泄露的来源的提示或暗示的信息确定攻击。接收的提示可以指示数据泄露的候选来源。例如,用户先前未接收到SMS(垃圾邮件)邮寄,但是他们最近报名了运动俱乐部且关于运动主题的垃圾邮件的邮寄开始。在本示例中,分析模块220可以从用户接收该用户认为在报名该俱乐部之后邮寄开始的指示。这类信息被分析模块220用于设备130的集群的更准确的制定和攻击向量的识别。
在步骤330中,使用分析模块220基于由采集模块210收集的数据形成设备130的集群,用户110正在通过设备130与服务120交互。在一个方面中,分析模块220可以基于接收的服务数据和设备数据生成多个计算设备130的子集的集群。
在步骤340中,使用分析模块220基于攻击向量的特征识别攻击向量。确定攻击向量的特征可以至少为:(i)攻击的来源或来源组;(ii)作为攻击的目标的元素或元素组;(iii)动作的类型;和(iv)动作的工具。
在一个方面中,分析模块220可以基于接收的设备数据识别网络攻击的攻击向量。在一些方面中,基于接收的设备数据识别网络攻击的攻击向量可以包括:确定网络攻击的来源包括第一用户正在交互的服务。在一些方面中,基于接收的设备数据识别攻击的攻击向量包括:确定作为攻击的目标的元素组,其中,该元素组包括第一用户的电子邮件地址和第一用户的电话号码。例如,如果黑客已获得对用户110的个人数据(包含其电子邮件地址及其电话号码)的访问,则用户110可以同时接收电子邮件和电话呼叫。在其它方面中,基于接收的设备数据识别攻击的攻击向量可以包括:确定恶意动作的类型、和/或确定该动作的工具。
在步骤350中,在用于另一用户110的至少一个设备130的攻击向量的特征中找到匹配的情况下,使用分析模块220选择用于反击攻击的至少一个动作,并将其发送到用于相应集群的所有用户110的设备130的攻击反击模块230,该另一用户110的设备130属于该相应集群。在一个方面中,分析模块220可以基于识别的攻击向量确定用于反击网络攻击的动作,并将该动作的规范发送到集群中的计算设备130的子集。在一些方面中,还基于用于另一用户的至少一个计算设备的攻击向量的特征中的匹配确定用于反击网络攻击的动作,该另一用户的计算设备属于该集群。例如,在用于另一用户110的至少一个设备130的攻击向量的特征中找到匹配的情况下,将用于反击网络攻击的动作发送到相应集群的所有用户110的设备130上的计算机安全模块(例如,攻击反击模块230),该另一用户110的设备130属于该相应集群。
在步骤360中,使用攻击反击模块230执行动作以反击对用户110的计算设备130的攻击。
在一个变型方面中,在步骤320之后执行的步骤370中,分析模块220还基于从采集模块210获得的数据分析为了反击攻击所执行的动作的有效性。在一般情况下,如果结果是通过用于检测对其他用户110的设备130的攻击的前述规则未检测到攻击,则执行的动作被视为有效的。在一个方面中,分析模块220可以基于从多个设备接收的诊断数据确定用于反击网络攻击的动作的效能;以及基于确定的效能修改用于检测且反击网络攻击的一个或多个规则。
图4为示出根据一个示例性方面的其上可实现用于反击对计算设备(用户通过该计算设备与保存关于用户的数据的服务进行交互)的攻击的***和方法的多个方面的计算机***20的框图。应当注意,计算机***20可以对应于例如先前所描述的计算设备130、服务120的服务器、和一个或多个远程服务器290。
如图所示,该计算机***20(其可以是个人计算机或服务器)包括中央处理单元21、***存储器22和连接各种***部件的***总线23,各种***部件包括与中央处理单元21相关联的存储器。如本领域的普通技术人员能够领会的,***总线23可以包括总线存储器或总线存储器控制器、***总线、以及能够与任何其它总线架构交互的本地总线。***存储器可以包括永久性存储器(ROM)24和随机存取存储器(Random-Access Memory,RAM)25。基本输入/输出***(Basic Input/Output System,BIOS)26可以存储用于在计算机***20的元件之间进行信息传输的基本程序,例如在使用ROM 24加载操作***时的那些基本程序。
计算机***20还可以包括用于读取和写入数据的硬盘27、用于在可移动磁盘29上读取和写入的磁盘驱动器28、以及用于读取和写入可移动光盘31(诸如CD-ROM、DVD-ROM和其它光学介质)的光盘驱动器30。硬盘27、磁盘驱动器28和光盘驱动器30分别通过硬盘接口32、磁盘接口33和光盘驱动器接口34连接到***总线23。驱动器和对应的计算机信息介质为用于存储计算机***20的计算机指令、数据结构、程序模块和其它数据的电源独立的模块。
示例性方面包括使用经由控制器55连接到***总线23的硬盘27、可移动磁盘29和可移动光盘31的***。本领域的普通技术人员能够理解,也可以利用能够以计算机可读的形式存储数据的任何类型的介质56(固态驱动器、闪存卡、数字盘、随机存取存储器(RAM)等等)。
计算机***20具有可以存储操作***35的文件***36、以及另外的程序应用37、其它程序模块38和程序数据39。计算机***20的用户可以使用键盘40、鼠标42、或本领域的普通技术人员已知的任何其它输入设备(诸如但不限于麦克风、操纵杆、游戏控制器、扫描仪等)输入命令和信息。这些输入设备通常通过串行端口46***到计算机***20中,串行端口46转而连接到***总线,但是本领域的普通技术人员能够领会,输入设备也可以以其它方式被连接,诸如但不限于经由并行端口、游戏端口、或通用串行总线(Universal SerialBus,USB)来连接。监控器47或其它类型的显示设备也可以通过接口(例如视频适配器48)连接到***总线23。除了监控器47,个人计算机还可以配备有其它的***输出设备(未示出),例如扬声器、打印机等。
计算机***20可以使用到一个或多个远程计算机49的网络连接而工作在网络环境中。一个或多个远程计算机49可以为本地计算机工作站或服务器,其包括在描述计算机***20的性质时使用的上述元件中的大多数元件或全部元件。其它设备也可以存在于计算机网络中,诸如但不限于路由器、网站、对等设备或其它的网络节点。
网络连接可以形成局域计算机网络(Local-Area computer Network,LAN)50和广域计算机网络(Wide-Area computer Network,WAN)。这些网络用在企业计算机网络和公司内部网络中,并且这些网络通常有权访问因特网。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口51连接到局域网50。当使用网络时,计算机20***可以采用调制解调器54或本领域的普通技术人员所熟知的能够与广域计算机网络(诸如因特网)通信的其它模块。调制解调器54可以是内部设备或外部设备,可以通过串行端口46连接到***总线23。本领域的普通技术人员能够领会,所述网络连接是使用通信模块建立一个计算机与另一个计算机的连接的许多熟知方式的非限制性示例。
在各个方面中,本文中所描述的***和方法可以以硬件、软件、固件或其任何组合来实施。如果以软件来实施,则上述方法可以作为一个或多个指令或代码而被存储在非暂时性计算机可读介质上。计算机可读介质包括数据存储器。以示例性而非限制性的方式,这种计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质或光存储介质、或可用来携带或存储所期望的指令或数据结构形式的程序代码并可以被通用计算机的处理器访问的任何其它介质。
在各个方面中,本发明中所描述的***和方法可以按照模块来处理。本文中所使用的术语“模块”指的是例如现实世界的设备、组件、或使用硬件(例如通过专用集成电路(Application Specific Integrated Circuit,ASIC)或现场可编程门阵列(Field-Programmable Gate Array,FPGA))实现的组件的布置,或者指的是硬件和软件的组合,诸如通过微处理器***和实现模块功能的指令组(该指令组在被执行时将微处理器***转换成专用设备)来实现这样的组合。一个模块还可以被实施为两个模块的组合,其中单独地通过硬件促进某些功能,并且通过硬件和软件的组合促进其它功能。在某些实现方式中,模块的至少一部分(以及在一些情况下,模块的全部)可以在通用计算机(诸如上文在图4中更详细描述的通用计算机)的处理器上执行。因此,每个模块可以以各种合适的配置来实现,而不应受限于本文中所列举的任何特定的实现方式。
为了清楚起见,本文中没有公开各个方面的所有例程特征。应当领会的是,在本发明的任何实际的实现方式的开发中,必须做出许多特定实现方式的决定,以便实现开发者的特定目标,并且这些特定目标对于不同的实现方式和不同的开发者将变化。应当理解的是,这种开发努力会是复杂的且费时的,但对于了解本发明的优点的本领域的普通技术人员来说仍然是工程的例行任务。
此外,应当理解的是,本文中所使用的措辞或术语出于描述而非限制的目的,从而本说明书的术语或措辞应当由本领域技术人员根据本文中所提出的教导和指导结合相关领域技术人员的知识来解释。此外,不旨在将本说明书或权利要求中的任何术语归于不常见的或特定的含义,除非明确如此阐述。
本文中所公开的各个方面包括本文中以说明性方式所引用的已知模块的现在和未来已知的等同物。此外,尽管已经示出并描述了各个方面和应用,但是对于了解本发明的优点的本领域技术人员将显而易见的是,在不脱离本文中所公开的发明构思的前提下,相比于上文所提及的内容而言的更多修改是可行的。
Claims (18)
1.一种用于反击对与在线服务交互的用户的计算设备的网络攻击的计算机实现方法,所述在线服务存储所述用户的个人数据,所述方法包括:
通过安全服务器收集与所述在线服务相关联的服务数据;
通过所述安全服务器收集所述计算设备的设备数据;
由所述安全服务器至少基于收集的所述服务数据检测所述用户的个人数据在所述在线服务处的数据外泄;
由所述安全服务器至少基于收集的所述服务数据和所述设备数据,检测与所述在线服务处的数据外泄相关的对一个或多个计算设备的网络攻击,其中所述网络攻击是基于规则来检测的,所述规则具有如下条件:所述网络攻击包括对所述在线服务的参考并使用来自所述数据外泄的个人数据;
通过所述安全服务器识别遭受相同的所述网络攻击的所述在线服务的不同用户的所述计算设备的集群;
通过所述安全服务器从所述集群中的所述计算设备的设备数据中,基于所述集群中一个或多个计算设备所遭受的网络攻击的特征,识别攻击向量,其中所述特征包括以下中的至少一者:所述攻击的来源,所述攻击的目标,攻击动作的类型和所述攻击动作的工具;
通过所述安全服务器基于识别的所述攻击向量确定用于反击所述网络攻击的一个或多个动作;以及
通过所述安全服务器向所述集群中的计算设备发送用于反击所述网络攻击的确定的所述动作。
2.如权利要求1所述的方法,其中,收集的所述服务数据还包括多个用户的所述个人数据的至少一部分的可公开访问的泄露数据库。
3.如权利要求1所述的方法,其中,基于接收的所述设备数据识别所述网络攻击的所述攻击向量包括:确定所述网络攻击的来源包括第一用户交互的所述服务。
4.如权利要求1所述的方法,其中,基于接收的所述设备数据识别所述网络攻击的所述攻击向量包括:确定元素组为所述网络攻击的目标,其中,所述元素组包括第一用户的电子邮件地址和所述第一用户的电话号码。
5.如权利要求1所述的方法,其中,确定用于反击所述网络攻击的所述动作还基于用于另一用户的至少一个计算设备的所述攻击向量的特征中的匹配,所述另一用户的计算设备属于所述集群。
6.如权利要求1所述的方法,还包括:
基于从所述多个计算设备接收的诊断数据确定用于反击所述网络攻击的所述动作的效能;以及基于确定的所述效能修改用于检测且反击网络攻击的一个或多个规则。
7.一种用于反击对用户的计算设备的网络攻击的***,所述计算设备与存储所述用户的个人数据的在线服务进行交互,所述***包括:
安全服务器的硬件处理器,所述硬件处理器被配置成:
收集与所述在线服务相关联的服务数据;
收集所述计算设备的设备数据;
至少基于收集的所述服务数据,检测所述用户的个人数据在所述在线服务处的数据外泄;
至少基于收集的所述服务数据和所述设备数据,检测与所述在线服务处的数据外泄相关的对一个或多个计算设备的网络攻击,其中所述网络攻击是基于规则来检测的,所述规则具有如下条件:所述网络攻击包括对所述在线服务的参考并使用来自所述数据外泄的个人数据;
识别遭受相同的所述网络攻击的所述在线服务的不同用户的所述计算设备的集群;
从所述集群中的计算设备的设备数据中,基于所述集群中一个或多个计算设备所遭受的所述网络攻击的特征,识别攻击向量,其中所述特征包括以下中的至少一者:所述攻击的来源,所述攻击的目标,攻击动作的类型和所述攻击动作的工具;
基于识别的所述攻击向量确定用于反击所述网络攻击的一个或多个动作;以及
向所述集群中的计算设备发送用于反击所述网络攻击的确定的所述动作。
8.如权利要求7所述的***,其中,收集的所述服务数据还包括多个用户的所述个人数据的至少一部分的可公开访问的泄露数据库。
9.如权利要求7所述的***,其中,被配置成基于接收的所述设备数据识别所述网络攻击的所述攻击向量的所述处理器还被配置成:确定所述网络攻击的来源包括第一用户交互的所述服务。
10.如权利要求7所述的***,其中,被配置成基于接收的所述设备数据识别所述网络攻击的所述攻击向量的所述处理器还被配置成:确定元素组为所述网络攻击的目标,其中,所述元素组包括第一用户的电子邮件地址和所述第一用户的电话号码。
11.如权利要求7所述的***,其中,被配置成确定用于反击所述网络攻击的所述动作的所述处理器还被配置成:基于用于另一用户的至少一个计算设备的所述攻击向量的特征中的匹配确定所述动作,所述另一用户的计算设备属于所述集群。
12.如权利要求7所述的***,其中,所述处理器还被配置成:
基于从所述多个计算设备接收的诊断数据确定用于反击所述网络攻击的所述动作的效能;以及基于确定的所述效能修改用于检测且反击网络攻击的一个或多个规则。
13.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质存储用于反击对用户的计算设备的网络攻击的计算机可执行指令,所述计算设备与存储所述用户的个人数据的在线服务进行交互,所述非暂时性计算机可读介质包括用于如下操作的指令,并通过处理器执行所述指令:
收集与所述在线服务相关联的服务数据;
收集所述计算设备的设备数据;
至少基于收集的所述服务数据,检测所述用户的个人数据在所述在线服务处的数据外泄;
至少基于收集的所述服务数据和所述设备数据,检测与所述在线服务处的数据外泄相关的对一个或多个计算设备的网络攻击,其中所述网络攻击是基于规则来检测的,所述规则具有如下条件:所述网络攻击包括对所述在线服务的参考并使用来自所述数据外泄的个人数据;
识别遭受相同的所述网络攻击的所述在线服务的不同用户的所述计算设备的集群;
从所述集群中的所述计算设备的设备数据中,基于所述集群中一个或多个计算设备所遭受的网络攻击的特征,识别攻击向量,其中所述特征包括以下中的至少一者:所述攻击的来源,所述攻击的目标,攻击动作的类型和所述攻击动作的工具;
基于识别的所述攻击向量确定用于反击所述网络攻击的一个或多个动作;以及
向所述集群中的计算设备发送用于反击所述网络攻击的确定的所述动作。
14.如权利要求13所述的非暂时性计算机可读介质,其中,收集的所述服务数据还包括多个用户的所述个人数据的至少一部分的可公开访问的泄露数据库。
15.如权利要求13所述的非暂时性计算机可读介质,其中,用于基于接收的所述设备数据识别所述网络攻击的所述攻击向量的所述指令还包括用于确定所述网络攻击的来源包括第一用户交互的所述服务的指令。
16.如权利要求13所述的非暂时性计算机可读介质,其中,用于基于接收的所述设备数据识别所述网络攻击的所述攻击向量的所述指令还包括用于确定元素组为所述网络攻击的目标的指令,其中,所述元素组包括第一用户的电子邮件地址和所述第一用户的电话号码。
17.如权利要求13所述的非暂时性计算机可读介质,其中,用于确定用于反击所述网络攻击的所述动作的所述指令还包括用于基于用于另一用户的至少一个计算设备的所述攻击向量的特征中的匹配确定所述动作的指令,所述另一用户的计算设备属于所述集群。
18.如权利要求13所述的非暂时性计算机可读介质,还包括用于如下操作的指令:
基于从所述多个计算设备接收的诊断数据确定用于反击所述网络攻击的所述动作的效能;以及基于确定的所述效能修改用于检测且反击网络攻击的一个或多个规则。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/012,014 | 2018-06-19 | ||
| US16/012,014 US10904283B2 (en) | 2018-06-19 | 2018-06-19 | System and method of countering an attack on computing devices of users |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110620753A CN110620753A (zh) | 2019-12-27 |
| CN110620753B true CN110620753B (zh) | 2022-04-15 |
Family
ID=62986019
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810845581.7A Active CN110620753B (zh) | 2018-06-19 | 2018-07-27 | 反击对用户的计算设备的攻击的***和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US10904283B2 (zh) |
| EP (1) | EP3584733B1 (zh) |
| JP (1) | JP6715887B2 (zh) |
| CN (1) | CN110620753B (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
| US10904283B2 (en) * | 2018-06-19 | 2021-01-26 | AO Kaspersky Lab | System and method of countering an attack on computing devices of users |
| US11075930B1 (en) * | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11687418B2 (en) | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
| US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
| US12050689B2 (en) | 2019-11-22 | 2024-07-30 | Pure Storage, Inc. | Host anomaly-based generation of snapshots |
| US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
| US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
| US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
| US12050683B2 (en) * | 2019-11-22 | 2024-07-30 | Pure Storage, Inc. | Selective control of a data synchronization setting of a storage system based on a possible ransomware attack against the storage system |
| US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
| US12067118B2 (en) | 2019-11-22 | 2024-08-20 | Pure Storage, Inc. | Detection of writing to a non-header portion of a file as an indicator of a possible ransomware attack against a storage system |
| US11341236B2 (en) | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
| US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
| US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
| US11500788B2 (en) | 2019-11-22 | 2022-11-15 | Pure Storage, Inc. | Logical address based authorization of operations with respect to a storage system |
| US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
| US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
| US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
| US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
| US11748487B2 (en) * | 2020-04-23 | 2023-09-05 | Hewlett Packard Enterprise Development Lp | Detecting a potential security leak by a microservice |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984629A (zh) * | 2010-10-22 | 2011-03-09 | 北京工业大学 | 协作式识别基于Web服务中泄露用户隐私信息站点的方法 |
| CN102868668A (zh) * | 2011-07-07 | 2013-01-09 | 陈国平 | 防止钓鱼网站窃取用户敏感信息的方法 |
| CN107665432A (zh) * | 2016-07-29 | 2018-02-06 | 卡巴斯基实验室股份制公司 | 在用户与各种银行服务的交互中识别可疑用户行为的***和方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8091127B2 (en) * | 2006-12-11 | 2012-01-03 | International Business Machines Corporation | Heuristic malware detection |
| EP2179532B1 (en) * | 2007-08-06 | 2019-07-10 | Bernard De Monseignat | System and method for authentication, data transfer, and protection against phishing |
| US11030562B1 (en) * | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
| JP2016033690A (ja) * | 2012-12-26 | 2016-03-10 | 三菱電機株式会社 | 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体 |
| US9754106B2 (en) | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| JP2016122273A (ja) * | 2014-12-24 | 2016-07-07 | 富士通株式会社 | アラート発信方法、プログラム、及び装置 |
| JP6408395B2 (ja) * | 2015-02-09 | 2018-10-17 | 株式会社日立システムズ | ブラックリストの管理方法 |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US10021118B2 (en) * | 2015-09-01 | 2018-07-10 | Paypal, Inc. | Predicting account takeover tsunami using dump quakes |
| US10375026B2 (en) * | 2015-10-28 | 2019-08-06 | Shape Security, Inc. | Web transaction status tracking |
| CN106656922A (zh) * | 2015-10-30 | 2017-05-10 | 阿里巴巴集团控股有限公司 | 一种基于流量分析的网络攻击防护方法和装置 |
| JP6707952B2 (ja) * | 2016-03-31 | 2020-06-10 | 日本電気株式会社 | 制御装置、制御方法及びプログラム |
| US10521590B2 (en) | 2016-09-01 | 2019-12-31 | Microsoft Technology Licensing Llc | Detection dictionary system supporting anomaly detection across multiple operating environments |
| US10904283B2 (en) * | 2018-06-19 | 2021-01-26 | AO Kaspersky Lab | System and method of countering an attack on computing devices of users |
-
2018
- 2018-06-19 US US16/012,014 patent/US10904283B2/en active Active
- 2018-07-11 JP JP2018131524A patent/JP6715887B2/ja active Active
- 2018-07-18 EP EP18184311.1A patent/EP3584733B1/en active Active
- 2018-07-27 CN CN201810845581.7A patent/CN110620753B/zh active Active
-
2020
- 2020-12-22 US US17/130,419 patent/US11546371B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101984629A (zh) * | 2010-10-22 | 2011-03-09 | 北京工业大学 | 协作式识别基于Web服务中泄露用户隐私信息站点的方法 |
| CN102868668A (zh) * | 2011-07-07 | 2013-01-09 | 陈国平 | 防止钓鱼网站窃取用户敏感信息的方法 |
| CN107665432A (zh) * | 2016-07-29 | 2018-02-06 | 卡巴斯基实验室股份制公司 | 在用户与各种银行服务的交互中识别可疑用户行为的***和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6715887B2 (ja) | 2020-07-01 |
| US20190387017A1 (en) | 2019-12-19 |
| CN110620753A (zh) | 2019-12-27 |
| US11546371B2 (en) | 2023-01-03 |
| US20210152592A1 (en) | 2021-05-20 |
| JP2019220126A (ja) | 2019-12-26 |
| EP3584733A1 (en) | 2019-12-25 |
| EP3584733B1 (en) | 2021-02-24 |
| US10904283B2 (en) | 2021-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110620753B (zh) | 反击对用户的计算设备的攻击的***和方法 | |
| Talal et al. | Comprehensive review and analysis of anti-malware apps for smartphones | |
| Onaolapo et al. | What happens after you are pwnd: Understanding the use of leaked webmail credentials in the wild | |
| US20210058395A1 (en) | Protection against phishing of two-factor authentication credentials | |
| He et al. | Mobile application security: malware threats and defenses | |
| Teufl et al. | Malware detection by applying knowledge discovery processes to application metadata on the Android Market (Google Play) | |
| Shabtai et al. | “Andromaly”: a behavioral malware detection framework for android devices | |
| Karim et al. | Mobile botnet attacks-an emerging threat: Classification, review and open issues | |
| Cinar et al. | The current state and future of mobile security in the light of the recent mobile security threat reports | |
| US11785044B2 (en) | System and method for detection of malicious interactions in a computer network | |
| BalaGanesh et al. | Smart devices threats, vulnerabilities and malware detection approaches: a survey | |
| Kadir et al. | Understanding android financial malware attacks: Taxonomy, characterization, and challenges | |
| Saeki et al. | Smishing strategy dynamics and evolving botnet activities in japan | |
| Ali et al. | Security and privacy awareness: A survey for smartphone user | |
| Feng et al. | Selecting critical data flows in Android applications for abnormal behavior detection | |
| WO2023141103A1 (en) | Deep learning pipeline to detect malicious command and control traffic | |
| Schneider et al. | Mobile devices vulnerabilities | |
| Kontaxis et al. | Computational decoys for cloud security | |
| RU2697926C1 (ru) | Система и способ противодействия атаке на вычислительные устройства пользователей | |
| Ofusori et al. | A study on e-commuting: Alleviating technical and mobility threats in a BYOD-enabled banking environment in Nigeria | |
| Alwahedi et al. | Security in mobile computing: attack vectors, solutions, and challenges | |
| Wadkar et al. | Prevention of information leakages in a web browser by monitoring system calls | |
| Mamun et al. | Android security vulnerabilities due to user unawareness and frameworks for overcoming those vulnerabilities | |
| Siadati | Prevention, detection, and reaction to cyber impersonation attacks | |
| Al Shamsi | Mapping, Exploration, and Detection Strategies for Malware Universe |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |