RU2789629C1 - System and method for detection of information attack - Google Patents
System and method for detection of information attack Download PDFInfo
- Publication number
- RU2789629C1 RU2789629C1 RU2021125359A RU2021125359A RU2789629C1 RU 2789629 C1 RU2789629 C1 RU 2789629C1 RU 2021125359 A RU2021125359 A RU 2021125359A RU 2021125359 A RU2021125359 A RU 2021125359A RU 2789629 C1 RU2789629 C1 RU 2789629C1
- Authority
- RU
- Russia
- Prior art keywords
- publications
- attack
- sources
- information
- found
- Prior art date
Links
Images
Abstract
Description
ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY
[0001] Изобретение относится к области вычислительной техники, а именно к системам и способам выявления информационных атак, в частности атак на репутацию.[0001] The invention relates to the field of computer technology, namely to systems and methods for detecting information attacks, in particular attacks on reputation.
[0002] Атакой на репутацию в рамках настоящего описания называется способ воздействия на общественное мнение, осуществляемого посредством размещения в открытых интернет-источниках сведений, в частности текстов, порочащих репутацию объекта атаки. Иными словами, целью атаки на репутацию является формирование, посредством размещения в сети Интернет определенных публикаций, негативного отношения аудитории к объекту атаки. Термины атака и информационная атака имеют более широкие значения, но в настоящем описании употребляются наряду с термином атака на репутацию в том же самом смысле.[0002] An attack on reputation within the framework of the present description is a method of influencing public opinion, carried out by posting information in open Internet sources, in particular texts that discredit the reputation of the object of attack. In other words, the purpose of an attack on reputation is to form, by posting certain publications on the Internet, a negative attitude of the audience towards the object of attack. The terms attack and information attack have broader meanings, but in the present description are used along with the term reputation attack in the same sense.
[0003] Объектом атаки может, в качестве неограничивающего примера, являться персона, т.е. конкретный человек; организация; проект, например, такой, как строительство Крымского моста; бренд, такой как "Адидас" или "Пятерочка"; территория или страна; событие или мероприятие, например, такое как праздник выпускников "Алые паруса"; технология или изделие, например, вакцина "Спутник V" или космическая ракета "Ангара".[0003] The object of attack may, as a non-limiting example, be a person, i.e. special person; organization; a project, for example, such as the construction of the Crimean bridge; a brand such as Adidas or Pyaterochka; territory or country; an event or event, such as the "Scarlet Sails" alumni celebration, for example; technology or product, such as the Sputnik V vaccine or the Angara space rocket.
УРОВЕНЬ ТЕХНИКИBACKGROUND OF THE INVENTION
[0004] Способы влияния на общественное мнение, в частности способы ухудшать или улучшать чью-либо репутацию, известны человечеству издревле. Однако, появление и развитие глобальной сети Интернет в роли средства массовых коммуникаций породило целый пласт новых способов, методик и техник манипуляции общественным мнением. Преследуя цели, древние как само человеческое общество, эти способы манипуляции, тем не менее, зачастую являются технически новыми. Что, в свою очередь, порождает потребность в использовании технически новых средств и способов для по меньшей мере выявления таких манипуляций.[0004] Ways to influence public opinion, in particular ways to worsen or improve someone's reputation, have been known to mankind since ancient times. However, the emergence and development of the global Internet as a means of mass communication has given rise to a whole range of new methods, methods and techniques for manipulating public opinion. While pursuing goals as ancient as human society itself, these methods of manipulation are often technically new nonetheless. Which, in turn, gives rise to the need to use technically new means and methods to at least detect such manipulations.
[0005] Из уровня техники известна публикация "ОТРАЖЕНИЕ ИНФОРМАЦИОННОЙ АТАКИ: АЛГОРИТМ ДЕЙСТВИЙ" (Д. Шубенок, И. Ашманов, опубл. 28 мая 2018 года), размещенная на момент регистрации настоящей заявки по адресу https://www.ashmanov.com/education/articles/otrazhenie-informatsionnoy-ataki-algoritm-deystviy/.[0005] From the prior art, the publication "REFLECTION OF INFORMATION ATTACK: ALGORITHM OF ACTION" (D. Shubenok, I. Ashmanov, publ. May 28, 2018) is known, posted at the time of registration of this application at https://www.ashmanov.com /education/articles/reflection-informatsionnoy-ataki-algoritm-deystviy/.
[0006] Данная публикация носит скорее описательный характер; она указывает, какие именно современные инструменты в принципе могут использоваться для атак на репутацию, но не раскрывает конкретные подходы к выявлению таких атак. Кроме того, данная публикация содержит описание лишь одного из возможных сценариев атаки, тогда как подобных сценариев достаточно много, и выявление атак, отличающихся от описанного сценария, зачастую требует учета иных факторов, нежели те, что указаны авторами.[0006] This publication is rather descriptive; it indicates which modern tools can in principle be used for attacks on reputation, but does not reveal specific approaches to identifying such attacks. In addition, this publication contains a description of only one of the possible attack scenarios, while there are quite a lot of such scenarios, and the detection of attacks that differ from the described scenario often requires taking into account other factors than those indicated by the authors.
[0007] Тем не менее, данная публикация раскрывает достаточно важный в контексте настоящей заявки факт, а именно то, что атака на репутацию в подавляющем большинстве случаев выполняется не одиночным актором, а массированно, с использованием значительного количества аккаунтов, зачастую управляемых автоматизированно, специальными программами (ботами).[0007] Nevertheless, this publication reveals a fact that is quite important in the context of this application, namely, that an attack on reputation in the overwhelming majority of cases is carried out not by a single actor, but massively, using a significant number of accounts, often automatically managed by special programs (bots).
[0008] Также из уровня техники известен патент RU2656583C1, "СИСТЕМА АВТОМАТИЗИРОВАННОГО АНАЛИЗА ФАКТОВ" (АО "Крибрум", опубл. 05.06.2018), раскрывающий систему проверки и анализа поведенческих действий пользователей в социальных медиа. Технический результат соответствующего способа заключается в повышении эффективности автоматизированного выявления поведенческих рисков пользователей социальных медиа.[0008] Also known from the prior art is patent RU2656583C1, "AUTOMATED FACT ANALYSIS SYSTEM" (Kribrum JSC, publ. 06/05/2018), which discloses a system for checking and analyzing user behavior in social media. The technical result of the corresponding method is to increase the efficiency of automated identification of behavioral risks of social media users.
[0009] Иными словами, хотя данная система и относится к системам, нацеленным на выявление способов влияния на общественное мнение, основная ее функция заключается в анализе публикаций пользователей социальных сетей и определении их навыков, а также уровня угрозы, которую может представлять конкретный пользователь. Способы выявления атак на репутацию указанным патентом не раскрываются, в отличие от описанного ниже способа.[0009] In other words, although this system refers to systems aimed at identifying ways to influence public opinion, its main function is to analyze the publications of social network users and determine their skills, as well as the level of threat that a particular user may pose. Methods for detecting attacks on reputation are not disclosed by the specified patent, in contrast to the method described below.
[0010] Кроме того, из уровня техники известна публикация US20110113096A1, "System and method for monitoring activity of a specified user on internet-based social networks" (Profile Protector LLC, опубл. 12.05.2011), где раскрывается система и способ мониторинга активности в социальной сети. Критерии мониторинга заранее устанавливаются клиентом для мониторинга активности на странице определенного пользователя в социальной сети. Доступ для мониторинга активности к странице указанного пользователя в социальной сети устанавливается через интерфейс прикладного программирования социальной сети на основе заранее установленной идентификационной информации, которая идентифицирует указанного пользователя в социальной сети. Клиент получает уведомление, когда отслеживаемая активность удовлетворяет хотя бы одному из предварительно установленных критериев мониторинга.[0010] In addition, publication US20110113096A1, "System and method for monitoring activity of a specified user on internet-based social networks" (Profile Protector LLC, publ. 05/12/2011), is known from the prior art, which discloses a system and method for monitoring activity in the social network. Monitoring criteria are pre-set by the client to monitor the activity on the page of a certain user in a social network. Activity monitoring access to the page of the specified user in the social network is established through the application programming interface of the social network based on pre-established identification information that identifies the specified user in the social network. The client is notified when the monitored activity meets at least one of the predefined monitoring criteria.
[0011] Несложно видеть, что данная публикация также посвящена анализу активности заранее заданного аккаунта (пользователя социальной сети), и не раскрывает, в отличие от описанного ниже способа, выявление факта атаки на репутацию.[0011] It is easy to see that this publication is also devoted to the analysis of the activity of a predetermined account (social network user), and does not disclose, in contrast to the method described below, the detection of an attack on reputation.
[0012] На основании результатов исследования уровня техники можно сделать вывод, что существует потребность в техническом решении, устраняющим недостатки описанных выше подходов. Описываемое ниже решение создано для решения по меньшей мере части проблем, выявленных при анализе предшествующего уровня техники.[0012] Based on the results of the study of the prior art, it can be concluded that there is a need for a technical solution that eliminates the shortcomings of the approaches described above. The solution described below is designed to solve at least some of the problems identified in the analysis of the prior art.
РАСКРЫТИЕ (СУЩНОСТЬ) ИЗОБРЕТЕНИЯDISCLOSURE (ESSENCE) OF THE INVENTION
[0013] Задача предполагаемого изобретения заключается в разработке способа и системы выявления информационных атак.[0013] The objective of the proposed invention is to develop a method and system for detecting information attacks.
[0014] Техническим результатом заявленной технологии является автоматизированное выявление факта информационной атаки, а также своевременное информирование ответственных лиц об обнаружении атаки.[0014] The technical result of the claimed technology is the automated detection of the fact of an information attack, as well as timely informing the responsible persons about the detection of an attack.
[0015] Данный технический результат достигается за счет того, что способ выявления информационных атак, выполняемый вычислительным устройством, содержит шаги, на которых на предварительном этапе сканируют сеть Интернет и находят источники публикаций, выявляют в составе найденных источников публикаций источники, используемые для атак, находят аккаунты, с которых размещались записи в выявленных источниках публикаций, выявляют среди найденных аккаунтов те, которые управляются ботами, сохраняют полученные сведения об источниках, используемых для атак, и управляемых ботами аккаунтах в базе данных; затем на рабочем этапе получают слова и словосочетания, характеризующие цель атаки, сканируют интернет и находят публикации, содержащие слова и словосочетания, характеризующие цель атаки, извлекают из найденных публикаций гиперссылки, подсчитывают, используя сведения об источниках, используемых для атак, и управляемых ботами аккаунтах, количественные характеристики публикаций и динамику их изменения, вычисляют на основании подсчитанных количественных характеристик параметры, характеризующие вероятность наличия атаки, и в ответ на превышение по меньшей мере одним вычисленным параметром заранее заданного порогового значения определяют, на основании вычисленных параметров, тип атаки и уровень атаки, формируют и отправляют оповещение об атаке, а также о типе атаки и уровне атаки.[0015] This technical result is achieved due to the fact that the method for detecting information attacks performed by a computing device contains steps at which, at a preliminary stage, they scan the Internet and find sources of publications, identify sources used for attacks in the found sources of publications, find accounts from which entries were posted in the identified publication sources, identify among the found accounts those managed by bots, save the received information about the sources used for attacks and accounts managed by bots in the database; then, at the working stage, they receive words and phrases that characterize the target of the attack, scan the Internet and find publications containing words and phrases that characterize the target of the attack, extract hyperlinks from the found publications, calculate using information about the sources used for attacks and accounts managed by bots, quantitative characteristics of publications and the dynamics of their change, based on the calculated quantitative characteristics, the parameters characterizing the probability of an attack are calculated, and in response to the excess of at least one calculated parameter of a predetermined threshold value, the type of attack and the level of attack are determined, based on the calculated parameters, form and send an attack alert, as well as the attack type and attack level.
[0016] Технический результат также достигается за счет того, что система выявления информационных атак, выполненная с возможностью сканирования сети Интернет, содержит, по меньшей мере, процессор, а также запоминающее устройство, содержащее по меньшей мере одну базу данных, а также машиночитаемые инструкции, которые при исполнении их процессором обеспечивают выполнение описанного способа.[0016] The technical result is also achieved due to the fact that the information attack detection system, configured to scan the Internet, contains at least a processor, as well as a storage device containing at least one database, as well as machine-readable instructions, which, when executed by their processor, ensure the execution of the described method.
[0017] В частном варианте реализации способ отличается тем, что к источникам публикаций, используемым для атак, относятся по меньшей мере следующие:[0017] In a particular implementation, the method is characterized in that the sources of publications used for attacks include at least the following:
- агрегаторы компромата,- compromising aggregators,
- социальные сети,- social media,
- агрегаторы утечек данных,- aggregators of data leaks,
- рекламные площадки,- advertising platforms,
- группы связанных источников, - groups of related sources,
- агрегаторы отзывов пользователей,- aggregators of user reviews,
- площадки для найма сотрудников на удаленную работу.- platforms for hiring employees for remote work.
[0018] В другом частном варианте реализации способ отличается тем, что к группам связанных источников относят группы источников, не менее заданного количества раз разместивших идентичные публикации с разницей во времени публикации, не превышающей заранее заданное пороговое значение.[0018] In another particular embodiment, the method differs in that groups of related sources include groups of sources that have posted identical publications at least a specified number of times with a difference in publication time not exceeding a predetermined threshold value.
[0019] Еще в одном возможном варианте реализации способ отличается тем, что к аккаунтам, которые управляются ботами, относят аккаунты, сделавшие за заранее заданный промежуток времени не менее заранее заданного количества публикаций.[0019] In another possible implementation, the method differs in that accounts managed by bots include accounts that have made at least a predetermined number of publications in a predetermined period of time.
[0020] Еще в одном возможном варианте реализации способ отличается тем, что к количественным характеристикам публикаций относят по меньшей мере следующие величины:[0020] In another possible embodiment, the method is characterized in that the quantitative characteristics of publications include at least the following values:
- общее количество публикаций,- total number of publications,
- количество публикаций, сделанных ботами,- the number of publications made by bots,
- количество публикаций, сделанных на агрегаторах компромата,- the number of publications made on compromising aggregators,
- количество публикаций, сделанных группами связанных источников публикаций, количество публикаций, сделанных группами связанных источников, которые также являются агрегаторами компромата,- the number of publications made by groups of related sources of publications, the number of publications made by groups of related sources, which are also compromising aggregators,
- количество публикаций, сделанных на рекламных площадках,- the number of publications made on advertising platforms,
- количество публикаций, сделанных на рекламных площадках, входящих в группу связанных источников,- the number of publications made on advertising sites included in the group of related sources,
- количество публикаций, сделанных на агрегаторах отзывов пользователей,- the number of publications made on user review aggregators,
- количество публикаций, сделанных на агрегаторах утечек,- the number of publications made on leak aggregators,
- количество публикаций, сделанных на площадках для найма сотрудников на удаленную работу,- the number of publications made on sites for hiring employees for remote work,
- общее количество публикаций, являющихся дублями друг друга,- the total number of publications that are duplicates of each other,
- общее количество публикаций на агрегаторах компромата, являющихся дублями друг друга,- the total number of publications on compromising evidence aggregators that are duplicates of each other,
- общее количество публикаций на агрегаторах компромата, являющихся дублями друг друга и сделанных ботами,- the total number of publications on compromising aggregators that are duplicates of each other and made by bots,
- общее количество ссылок, являющихся дублями друг друга,- the total number of links that are duplicates of each other,
- количество аккаунтов, с которых были размещены найденные публикации,- the number of accounts from which the found publications were posted,
- количество аккаунтов, управляемых ботами, с которых были размещены найденные публикации,- the number of accounts managed by bots from which the found publications were posted,
- количество аккаунтов, с которых были размещены публикации, найденные на агрегаторах компромата,- the number of accounts from which the publications found on compromising aggregators were posted,
- количество аккаунтов, управляемых ботами, с которых были размещены публикации на агрегаторах компромата,- the number of accounts managed by bots from which publications were posted on compromising aggregators,
- количество аккаунтов, с которых были размещены публикации, найденные на рекламных площадках.- the number of accounts from which publications found on advertising sites were posted.
[0021] Еще в одном возможном варианте реализации способ отличается тем, что динамику изменения количественных характеристик вычисляют на основании значения этих характеристик, вычисленных на протяжении заранее заданного интервала времени с заранее заданным шагом.[0021] In another possible embodiment, the method is characterized in that the dynamics of changes in quantitative characteristics is calculated based on the value of these characteristics calculated over a predetermined time interval with a predetermined step.
[0022] Еще в одном возможном варианте реализации способ отличается тем, что параметры, характеризующие вероятность наличия атаки, для каждой количественной характеристики вычисляют как абсолютную, выраженную в единицах, и относительную, выраженную в процентах, разность между соседними значениями данной характеристики.[0022] In another possible embodiment, the method differs in that the parameters characterizing the probability of an attack, for each quantitative characteristic, are calculated as an absolute, expressed in units, and a relative, expressed as a percentage, the difference between adjacent values of this characteristic.
[0023] Еще в одном возможном варианте реализации способ отличается тем, что оповещение об атаке может иметь численное выражение, характеризующее уровень интенсивности атаки.[0023] In another possible embodiment, the method is characterized in that the attack alert may have a numerical expression characterizing the level of intensity of the attack.
[0024] Еще в одном возможном варианте реализации способ отличается тем, что оповещение об атаке может иметь один из трех уровней: "Предупреждение", "Угроза", "Атака".[0024] In yet another possible embodiment, the method is characterized in that the attack alert may have one of three levels: "Warning", "Threat", "Attack".
[0025] Еще в одном возможном варианте реализации способ отличается тем, что по меньшей мере одно сформированное предупреждение об атаке передают посредством по меньшей мере одного из следующих способов коммуникации:[0025] In yet another possible implementation, the method is characterized in that at least one generated attack alert is transmitted via at least one of the following communication methods:
- электронной почты (e-mail),- e-mail (e-mail),
- SMS,- SMS,
- MMS,- MMS,
- push-уведомления,- push notifications,
- сообщения в программе обмена мгновенными сообщениями,- messages in the instant messaging program,
- события API- API events
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙBRIEF DESCRIPTION OF THE DRAWINGS
[0026] Сопровождающие чертежи, которые включены для обеспечения дополнительного понимания изобретения и составляют часть этого описания, показывают варианты осуществления изобретения и совместно с описанием служат для объяснения принципов изобретения.[0026] The accompanying drawings, which are included to provide a further understanding of the invention and form part of this specification, show embodiments of the invention and, together with the description, serve to explain the principles of the invention.
[0027] Заявленное изобретение поясняется следующими чертежами, на которых:[0027] The claimed invention is illustrated by the following drawings, in which:
[0028] Фиг. 1А показывает блок-схему алгоритма предварительного этапа описываемого способа.[0028] FIG. 1A shows a flowchart of the preliminary step of the described method.
[0029] Фиг. 1Б показывает блок-схему алгоритма одного из шагов предварительного этапа описываемого способа.[0029] FIG. 1B shows a flow chart of one of the steps of the preliminary stage of the described method.
[0030] Фиг. 1В показывает блок-схему алгоритма еще одного из шагов предварительного этапа описываемого способа.[0030] FIG. 1B shows a flowchart of another of the steps in the preliminary step of the described method.
[0031] Фиг. 1Г показывает блок-схему алгоритма еще одного из шагов предварительного этапа описываемого способа.[0031] FIG. 1D shows a flowchart of another of the steps of the preliminary stage of the described method.
[0032] Фиг. 2А показывает блок-схему алгоритма рабочего этапа описываемого способа.[0032] FIG. 2A shows a flowchart of the working step of the described method.
[0033] Фиг. 2Б показывает блок-схему алгоритма одного из шагов рабочего этапа описываемого способа.[0033] FIG. 2B shows a flowchart of one of the steps of the working step of the described method.
[0034] Фиг. 2Б показывает блок-схему алгоритма еще одного из шагов рабочего этапа описываемого способа.[0034] FIG. 2B shows a flowchart of another of the steps of the working step of the described method.
[0035] Фиг. 3 показывает блок-схему одного из возможных алгоритмов вычисления оценок способа атаки и характера атаки.[0035] FIG. 3 shows a flowchart of one of the possible algorithms for calculating estimates of the attack method and nature of the attack.
[0036] Фиг. 4 иллюстрирует неограничивающий пример общей схемы вычислительного устройства..[0036] FIG. 4 illustrates a non-limiting example of a general design of a computing device.
ОСУЩЕСТВЛЕНИЕ ИЗОБРЕТЕНИЯIMPLEMENTATION OF THE INVENTION
[0037] Ниже будет приведено описание примерных вариантов осуществления заявленного изобретения.[0037] Exemplary embodiments of the claimed invention will be described below.
[0038] Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.[0038] Objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, but may be embodied in various forms. The gist of the description is nothing but specific details provided to assist a person skilled in the art in a thorough understanding of the invention, and the present invention is defined only within the scope of the appended claims.
[0039] При последующем описании способа и системы выявления атак на репутацию используются следующие основные термины и определения:[0039] In the following description of the method and system for detecting reputation attacks, the following basic terms and definitions are used:
[0040] Аккаунт - уникальная учетная запись, создание которой является необходимым и достаточным условием участия конкретного пользователя в коммуникациях посредством данного веб-сайта или данной социальной сети. Характеризуется наличием уникального в рамках данного веб-сайта или социальной сети идентификатора пользователя: имени пользователя, его порядкового номера или иного сочетания символов.[0040] Account - a unique account, the creation of which is a necessary and sufficient condition for the participation of a particular user in communications through this website or this social network. It is characterized by the presence of a unique user identifier within a given website or social network: a user name, its serial number, or another combination of characters.
[0041] Социальная сеть - интернет-площадка, которая позволяет зарегистрированным (имеющим аккаунт данной сети) пользователям коммуницировать между собой. Контент на такой площадке создается самими пользователями. С точки зрения интерфейса пользователя социальная сеть может представлять собой как веб-сайт, например, такой, как vk.com, facebook.com, так и программу обмена мгновенными сообщениями, интернет-мессенджер, такой как Telegram или Discord.[0041] A social network is an Internet platform that allows registered (having an account of this network) users to communicate with each other. The content on this site is created by the users themselves. From the point of view of the user interface, a social network can be either a website, such as vk.com, facebook.com, or an instant messaging program, an Internet messenger, such as Telegram or Discord.
[0042] Источник или источник публикаций (в данном случае) - веб-сайт или сообщество (канал, группа, сервер) в социальной сети, специализирующееся на размещении текстов. В рамках данного описания к источникам относят:[0042] Source or source of publications (in this case) - a website or community (channel, group, server) in a social network that specializes in posting texts. For the purposes of this description, sources include:
• СМИ, на веб-сайтах которых могут находиться как собственно публикации, так и комментарии под публикациями;• Mass media, whose websites can contain both the actual publications and comments under the publications;
• форумы;• forums;
• блоги журналистов, политиков и общественных деятелей;• blogs of journalists, politicians and public figures;
• сообщества (группы, паблики) в социальных сетях;• communities (groups, publics) in social networks;
• видеохостинги и стрим-серверы;• video hosting and stream servers;
• сервисы вопросов и ответов;• question and answer services;
• сервисы сбора подписей под петициями и обращениями;• services for collecting signatures for petitions and appeals;
• сервисы краудфандинга;• crowdfunding services;
• веб-сайты, выполняющие функции:• websites that perform the functions of:
a. агрегаторов отзывов пользователей,a. user reviews aggregators,
b. рейтинговых агентств,b. rating agencies,
c. "досок объявлений", в том числе:c. "bulletin boards", including:
i. бирж аккаунтов,i. account exchanges,
ii. площадок для найма сотрудников на удаленную работу.ii. platforms for hiring employees for remote work.
[0043] "Доска объявлений" (в данном случае) - веб-сайт, предоставляющий услуги размещения объявлений определенной или произвольной тематики.[0043] "Board" (in this case) - a website that provides services for posting ads on a specific or arbitrary topic.
[0044] Биржа аккаунтов (в данном случае) - разновидность "доски объявлений", на которой размещают предложения о продаже или сдаче в аренду аккаунтов, принадлежащих людям или ботам, а также сообщения о желании приобрести или взять в аренду такие аккаунты.[0044] An account exchange (in this case) is a kind of "bulletin board" that posts offers to sell or rent accounts owned by people or bots, as well as messages about the desire to purchase or rent such accounts.
[0045] Бот (в данном случае) - аккаунт, управляемый программой, которая выполнена с возможностью оставлять сообщения от имени одного из пользователей заданной социальной сети. Как правило, после первичной настройки бот действует автономно, и без участия оператора размещает в заданной социальной сети сообщения заданного содержания.[0045] Bot (in this case) - an account managed by a program that is configured to leave messages on behalf of one of the users of a given social network. As a rule, after the initial setup, the bot acts autonomously, and without the participation of an operator, posts messages of a given content in a given social network.
[0046] Группа связанных источников (в данном случае) - группа источников, размещение текстов на которых выполняются одним человеком или одной организованной группой лиц.[0046] A group of related sources (in this case) - a group of sources, the placement of texts on which are performed by one person or one organized group of people.
[0047] Агрегатор компромата (в данном случае) - источник, размещающий только тексты, имеющие характер компрометирующих материалов. Примером такого источника является вебсайт compromat.ru.[0047] The compromising aggregator (in this case) is a source that places only texts that have the nature of compromising materials. An example of such a source is the website compromat.ru.
[0048] Агрегатор утечек данных (в данном случае) - источник, размещающий только тексты, имеющие характер утечек данных (инсайдов). Примером такого источника является вебсайт WikiLeaks.[0048] A data leak aggregator (in this case) is a source that only posts texts that have the nature of data leaks (insiders). An example of such a source is the WikiLeaks website.
[0049] Рейтинговое агентство (в данном случае) - веб-сайт, основная функциональность которого заключается в формировании и показе рейтинга веб-сайтов определенной специализации. Например, рейтинг самых влиятельных отзовиков (агрегаторов отзывов пользователей), рейтинг бирж аккаунтов, рейтинг бирж SMM-услуг, и так далее.[0049] Rating agency (in this case) - a website whose main functionality is to form and display the rating of websites of a certain specialization. For example, the rating of the most influential reviewers (user review aggregators), the rating of account exchanges, the rating of SMM service exchanges, and so on.
[0050] Рекламная площадка (в данном случае) - источник, представляющий собой средство массовой информации, размещающее новости, но отличающийся тем, что допускает размещение на правах рекламы текста произвольного содержания под видом очередной новости.[0050] Advertising platform (in this case) - a source that is a media outlet that posts news, but differs in that it allows the placement of text of arbitrary content as advertising under the guise of regular news.
[0051] Следует также отметить, что контексте настоящего описания, если конкретно не указано иное, слова «первый» и «второй» используются исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.[0051] It should also be noted that in the context of this specification, unless specifically stated otherwise, the words "first" and "second" are used solely to distinguish the nouns they refer to from each other, and not for the purposes of describing which -any specific relationship between these nouns.
[0052] Для реализации описываемого способа выявления атак на репутацию сначала выполняют предварительный этап (100), как это описано ниже со ссылкой на Фиг. 1А.[0052] To implement the described method for detecting reputation attacks, a preliminary step (100) is first performed, as described below with reference to FIG. 1A.
[0053] Предварительный этап (100) начинается с шага (110), на котором сканируют интернет и находят веб-страницы, содержащие публикации. Сканирование выполняют любым общеизвестным способом, при помощи какой-либо программы, реализующей функции веб-парсера, то есть автоматического "сборщика" публикаций с различных веб-сайтов, такой, например, как CloudScrape или Scrapinghub. В одном варианте реализации описываемого способа перед сканированием задают язык или языки, на котором должны быть написаны публикации (например, русский, либо русский и английский). В другом возможном варианте реализации поиск ведется без ограничения по языку.[0053] The preliminary step (100) begins with step (110) in which the Internet is scanned and web pages containing publications are found. Scanning is performed in any well-known way, using some program that implements the functions of a web parser, that is, an automatic "collector" of publications from various websites, such as, for example, CloudScrape or Scrapinghub. In one embodiment of the described method, before scanning, the language or languages in which publications are to be written (for example, Russian, or Russian and English) are specified. In another possible implementation, the search is conducted without language restrictions.
[0054] Возможен также вариант реализации описываемого способа, при котором источники публикаций дополнительно извлекают из веб-страниц, полученных в ходе вышеупомянутого сбора публикаций с различных веб-сайтов. Автоматизированная, например, выполняемая заранее подготовленным скриптом, обработка (парсинг) таких веб-страниц может быть использована для извлечения из них ссылок на источники публикаций и пополнения извлекаемыми ссылками общего списка публикаций.[0054] It is also possible to implement the described method, in which publication sources are additionally extracted from web pages obtained during the aforementioned collection of publications from various websites. Automated, for example, performed by a pre-prepared script, processing (parsing) of such web pages can be used to extract links to publication sources from them and replenish the general list of publications with extracted links.
[0055] Возможен также вариант реализации способа, при котором дополнительно находят источники публикаций, анализируя электронные письма (email), в том числе незапрошенные рассылки (спам). Это может выполняться любым общеизвестным образом. Например, может быть заблаговременно зарегистрирован ряд аккаунтов электронной почты, адреса которых могли быть размещены в открытом доступе. Подобные адреса, как правило, вскоре попадают в списки рассылок (спама), и на эти адреса начинают поступать электронные письма, в том числе, содержащие ссылки на различные вышеперечисленные источники публикаций. Автоматизированная, например, выполняемая заранее подготовленным скриптом, обработка (парсинг) таких писем может быть использована для извлечения из них ссылок на источники публикаций и пополнения извлекаемыми ссылками общего списка публикаций.[0055] It is also possible to implement a method in which sources of publications are additionally found by analyzing emails (email), including unsolicited mailings (spam). This may be done in any well known manner. For example, a number of e-mail accounts may be pre-registered, the addresses of which may have been made publicly available. Such addresses, as a rule, soon fall into the mailing lists (spam), and e-mails begin to arrive at these addresses, including those containing links to various sources of publications listed above. Automated, for example, performed by a pre-prepared script, processing (parsing) of such letters can be used to extract links to publication sources from them and replenish the general list of publications with extracted links.
[0056] Результатом выполнения шага (110) становится сохраненный в базе данных список обнаруженных веб-страниц.[0056] The result of step (110) is a list of detected web pages stored in the database.
[0057] На этом шаг (110) завершается и способ переходит к шагу (120), на котором анализируют найденные веб-страницы, при этом выделяют и сохраняют по меньшей мере: заголовок, аккаунт (автора), гиперссылку (URL) на веб-страницу, время ее появления в открытом доступе (время и дата публикации), ее источник, например, образованный усечением гиперссылки до доменного имени второго или третьего уровня, а также собственно текст публикации. Подобное выявление перечисленных типов данных на веб-странице является одной из типовых функций веб-парсеров и может выполняться средствами используемой программы. Альтернативно, выделение названных полей может выполняться предварительно изготовленным скриптом, реализующим любой общеизвестный алгоритм.[0057] This completes step (110) and the method proceeds to step (120), in which the found web pages are analyzed, while extracting and saving at least: title, account (author), hyperlink (URL) to the web page, the time of its appearance in the public domain (time and date of publication), its source, for example, formed by truncating a hyperlink to a second or third level domain name, as well as the actual text of the publication. Such identification of the listed data types on a web page is one of the typical functions of web parsers and can be performed by means of the program used. Alternatively, the selection of named fields may be performed by a prefabricated script that implements any well-known algorithm.
[0058] Например, в результате выполнения вышеописанного шага (120) в базе данных может быть сохранена публикация с заголовком "Внимание!", имеющая текст: "Я слышал, что скоро введут налог на домашних животных!", опубликованная с аккаунта sampleuser, с датой и время публикации 11.02.2021 17:21:35, гиперссылка на эту публикацию: http://www.livejoumal.com/sampleuser/12345678.html, а также источник: sampleuser.livejournal.com.[0058] For example, as a result of the above step (120), a publication with the title "Attention!", Having the text: "I heard that a pet tax will be introduced soon!", Posted from the sampleuser account, with date and time of publication 11.02.2021 17:21:35, hyperlink to this publication: http://www.livejoumal.com/sampleuser/12345678.html, and source: sampleuser.livejournal.com.
[0059] Затем способ переходит к шагу (130), на котором в составе найденных источников публикаций выявляют по меньшей мере следующие типы источников: социальные сети, агрегаторы компромата, агрегаторы утечек данных, площадки сбора подписей под петициями.[0059] Then the method proceeds to step (130), where at least the following types of sources are identified as part of the found publication sources: social networks, compromising evidence aggregators, data leak aggregators, petition signature collection sites.
[0060] Следует заметить, что для всех перечисленных источников характерно постоянное использование одного и того же доменного имени. Как правило, значительную часть бюджета таких источников составляют доходы от рекламы; нередко, привлекая новых пользователей, они ведут собственные рекламные кампании. Поэтому доменные имена таких источников годами остаются одними и теми же; что, в свою очередь, позволяет иметь постоянные списки доменных имен и проверять по ним принадлежность очередного источника к одному из названных типов.[0060] It should be noted that all of these sources are characterized by the constant use of the same domain name. As a rule, a significant part of the budget of such sources is made up of advertising revenues; often, attracting new users, they run their own advertising campaigns. Therefore, the domain names of such sources remain the same for years; which, in turn, makes it possible to have permanent lists of domain names and check whether the next source belongs to one of the named types.
[0061] Например, могут существовать отдельные списки, например, список "Социальные сети", в котором хранятся такие доменные имена, как facebook.com, vk.com, livejoumal.com и т.д., список "Агрегаторы компромата", в котором хранятся доменные имена вроде compromat.ru или compromat.livejoumal.com, список "Агрегаторы утечек данных", в котором хранятся доменные имена наподобие wikileaks.com, а также список "Площадки сбора подписей под петициями", содержащий доменные имена вроде change.org, democrator.ru, e-petition.am, и т.д.[0061] For example, there may be separate lists, for example, the "Social Networks" list, which stores domain names such as facebook.com, vk.com, livejoumal.com, etc., the "Compromising Aggregators" list, in which stores domain names like compromat.ru or compromat.livejoumal.com, the "Data Leak Aggregators" list that stores domain names like wikileaks.com, and the "Petition Signature Collection Sites" list that contains domain names like change.org , democrator.ru, e-petition.am, etc.
[0062] На шаге (130) каждый очередной найденный источник публикаций проверяют поочередно на наличие в каждом из указанных списков. При совпадении проверяемый источник соответственно рубрицируется, то есть в базе данных для него проставляется тэг, соответствующий списку, где было обнаружено его доменное имя.[0062] At step (130), each next found source of publications is checked in turn for the presence in each of the specified lists. If there is a match, the verified source is categorized accordingly, that is, a tag is put in the database for it corresponding to the list where its domain name was found.
[0063] Так, в вышерассмотренном примере для публикации, найденной по адресу http://www.livejoumal.com/sampleuser/12345678.html, а также всех остальных публикаций, найденных на домене livejoumal.com, в базе будет проставлен тэг "Социальные сети", поскольку доменное имя livejoumal.com будет найдено в списке "Социальные сети".[0063] So, in the above example, for a publication found at http://www.livejoumal.com/sampleuser/12345678.html, as well as all other publications found on the livejoumal.com domain, the tag "Social networks" because the domain name livejoumal.com will be found in the "Social networks" list.
[0064] Следует отметить, что одно и тоже доменное имя, либо похожие доменные имена могут находиться в разных списках. Например, в списке "Социальные сети" может присутствовать доменное имя Iivejoumal.com, а в списке "Агрегаторы компромата" могут присутствовать доменные имена slivaem-kompromat.livejoumal.com, compromat.livejournal.com и т.д. По окончанию шага (130) по меньшей мере часть публикаций и соответствующих им источников, которые окажутся найдены в перечисленных списках, будут рубрицированы. Технически рубрикация может представлять собой, например, проставленные в базе данных тэги, каждый из которых соответствует одному из типов источников: "Социальная сеть", "Агрегатор компромата" и т.д. Как уже было отмечено, источник публикаций может одновременно относиться к разным типам источников, поэтому в результате выполнения шага (130) источнику может быть проставлено более одного тэга.[0064] It should be noted that the same domain name or similar domain names may be in different lists. For example, the "Social Networks" list may contain the domain name Iivejoumal.com, and the "Compromising Aggregators" list may contain the domain names slivaem-kompromat.livejoumal.com, compromat.livejournal.com, etc. At the end of step (130), at least some of the publications and their corresponding sources found in the listed lists will be categorized. Technically, a heading can be, for example, tags put in the database, each of which corresponds to one of the types of sources: "Social network", "Compromising evidence aggregator", etc. As already noted, the source of publications can simultaneously belong to different types of sources, therefore, as a result of step (130), more than one tag can be affixed to the source.
[0065] Затем способ переходит к шагу (140), на котором в составе найденных источников публикаций выявляют группы связанных источников публикаций.[0065] The method then proceeds to step (140), where groups of related publication sources are identified within the found publication sources.
[0066] Все источники, рубрицированные на шаге (130), не исключаются из дальнейшей обработке в ходе следующего шага (140), поскольку, например, группа ("паблик") социальной сети может выполнять функции, например, рекламной площадки или входить в группу связанных источников.[0066] All sources categorized in step (130) are not excluded from further processing in the next step (140), since, for example, a group ("public") of a social network can perform the functions of, for example, an advertising platform or be part of a group related sources.
[0067] Далее со ссылкой на Фиг. 1Б описано выполнение шага (140), на котором в составе найденных источников публикаций выявляют группы связанных источников публикаций.[0067] Next, with reference to FIG. 1B describes the execution of step (140), in which groups of related publication sources are identified in the composition of the found publication sources.
[0068] Шаг (140) начинается с того, что из найденных публикаций выбирают (141) очередную публикацию. Затем на шаге (142) проверяют, существуют ли среди всех найденных публикаций дубликаты выбранной публикации. Под дубликатом в данном случае понимается строгое совпадение текста выбранной публикации с текстом какой-либо еще публикации.[0068] Step (140) begins by selecting (141) the next publication from the found publications. Then, in step (142), it is checked whether there are duplicates of the selected publication among all found publications. In this case, a duplicate is understood as a strict match of the text of the selected publication with the text of any other publication.
[0069] Технически шаг (142) заключается в поиске в базе данных всех публикаций из других источников, у которых текст в поле базы данных "Текст публикации" является точной копией текста, который присутствует в данном поле у выбранной публикации. Такой поиск может выполняться любым общеизвестным образом, выбранным в зависимости от архитектуры используемой базы данных.[0069] Technically, step (142) is to search the database for all publications from other sources whose text in the "Publication text" database field is an exact copy of the text that is present in this field for the selected publication. Such a lookup can be performed in any well-known way, depending on the architecture of the database being used.
[0070] В том случае, если на шаге (142) дубликаты не найдены, то есть нет ни одной публикации, текст которой совпадал бы с текстом выбранной публикации, способ возвращается к шагу (141), на котором выбирают очередную публикацию.[0070] In the event that no duplicates are found at step (142), that is, there is no publication whose text would match the text of the selected publication, the method returns to step (141), where the next publication is selected.
[0071] В том случае, если на шаге (142) дубликаты найдены, то есть найдена по меньшей мере одна публикации, текст которой точно совпадает с текстом выбранной публикации, способ переходит к шагу (143).[0071] In the event that at step (142) duplicates are found, that is, at least one publication is found, the text of which exactly matches the text of the selected publication, the method proceeds to step (143).
[0072] На шаге (143) относят группу источников публикаций-дубликатов, найденных на шаге (142), к группе источников-кандидатов. При этом сохраняют в виде отдельного списка те источники, к которым относятся найденные публикации, и проверяют, совпадает ли время публикаций во всех найденных публикациях.[0072] In step (143), the group of sources of duplicate publications found in step (142) is assigned to the group of candidate sources. At the same time, those sources to which the found publications belong are saved as a separate list, and it is checked whether the time of publications in all found publications coincides.
[0073] Совпадение времени в данном случае может быть нечетким, когда совпадающим считается время публикации, отличающееся в любую сторону от времени публикации, выбранной на шаге (141), не более чем на заранее заданную величину dT, например, не более чем на 30 секунд.[0073] The coincidence of time in this case may be fuzzy, when the coincidence is considered to be the publication time that differs in any direction from the publication time selected in step (141) by no more than a predetermined value dT, for example, no more than 30 seconds .
[0074] Источники, разместившие публикации-дубликаты с большей, нежели заранее заданная величина, разницей во времени dT, исключают из группы источников-кандидатов.[0074] Sources that posted duplicate publications with a time difference dT greater than a predetermined value are excluded from the candidate source group.
[0075] Например, если на шаге (142) были найдены следующие источники публикаций-дубликатов, сделавшие публикации в указанное время:[0075] For example, if in step (142) the following sources of duplicate publications were found that made publications at the specified time:
то в результате выполнения шага (143) при заданной величине dT, равной 30 секунд, в списке группы источников-кандидатов останутся:then as a result of step (143) with a given value of dT equal to 30 seconds, the list of candidate source groups will contain:
[0076] После окончания шага (143) способ переходит к шагу (144), на котором проверяют, является ли найденная группа нулевой (пустой). В том случае, если группа источников-кандидатов оказывается нулевой, то есть если все найденные публикации сделаны источниками-кандидатами с разницей во времени большей, чем dT, то группу источников-кандидатов не сохраняют (удаляют) и способ возвращается к шагу (141), на котором выбирают очередную публикацию.[0076] After the end of step (143), the method proceeds to step (144), which checks if the found group is null (empty). In the event that the candidate source group is null, that is, if all found publications are made by candidate sources with a time difference greater than dT, then the candidate source group is not saved (deleted) and the method returns to step (141), where the next publication is selected.
[0077] В том случае, если группа источников-кандидатов оказывается ненулевой, то есть найдены по меньшей мере два источника-кандидата, разместившие публикации с совпадающим текстом с разницей во времени не большей, чем dT, то список группы источников-кандидатов сохраняют, присваивают счетной переменной J, значение которой хранится ассоциированно с каждым таким списком, начальное значение J=1, и способ переходит к шагу (145).[0077] In the event that the group of candidate sources is non-zero, that is, at least two candidate sources are found that have posted publications with the same text with a time difference of no more than dT, then the list of the group of candidate sources is stored, assigned count variable J, the value of which is stored associated with each such list, the initial value of J=1, and the method proceeds to step (145).
[0078] На шаге (145) проверяют, был ли по меньшей мере один из источников-кандидатов, найденных на предыдущем шаге, найден повторно. Иначе говоря, проверяют, входит ли по меньшей мере один из источников-кандидатов, найденных на шаге (144), в по меньшей мере один список групп источников-кандидатов, сохраненных ранее. Это выполняется любым общеизвестным способом, путем поочередного поиска каждого из источников-кандидатов, найденных на шаге (144), во всех ранее сохраненных списках групп источников-кандидатов.[0078] In step (145), it is checked whether at least one of the candidate sources found in the previous step has been found again. In other words, it is checked whether at least one of the candidate sources found in step (144) is included in at least one candidate source group list previously stored. This is done in any well-known way, by searching in turn each of the candidate sources found in step (144) in all previously stored candidate source group lists.
[0079] В том случае, если все источники-кандидаты, найденные на шаге (144) отсутствуют во всех ранее сохраненных списках групп источников-кандидатов, то есть группа источников-кандидатов, найденная на шаге (144), является новой, то способ возвращается к шагу (141), на котором выбирают очередную публикацию.[0079] In the event that all candidate sources found in step (144) are not present in all previously stored candidate source group lists, i.e., the candidate source group found in step (144) is new, then the method returns to step (141) where the next publication is selected.
[0080] В том случае, если на шаге (145) будет найден по меньшей мере один источник-кандидат, входящий в по меньшей мере один сохраненный ранее список групп источников-кандидатов, то способ переходит к шагу (146).[0080] In the event that at step (145) at least one source candidate is found that is included in at least one previously stored list of candidate source groups, then the method proceeds to step (146).
[0081] На шаге (146) объединяют списки групп источников-кандидатов, в которых были найдены одни и те же источники-кандидаты. Для этого выполняют следующие действия: добавляют все источники-кандидаты, имеющиеся в каждом списке, в новый объединенный список, причем если источник-кандидат встречается более чем в одном списке, повторно его не добавляют; затем сохраняют полученный объединенный список. Далее суммируют все значения счетной переменной J, ассоциированные с каждым из найденных списков, и присваивают полученное значение J объединенному списку. После чего удаляют исходные списки, оставляя только полученный объединенный список.[0081] In step (146), lists of groups of candidate sources in which the same candidate sources were found are combined. To do this, perform the following actions: add all candidate sources that are in each list to a new combined list, and if the candidate source occurs in more than one list, it is not added again; then save the resulting combined list. Next, all values of the counting variable J associated with each of the found lists are summed, and the resulting value J is assigned to the combined list. After that, the original lists are removed, leaving only the resulting merged list.
[0082] Например, если в ходе выполнения шага (145) применительно к ранее показанной группе источников-кандидатов, имевшему значение J=1:[0082] For example, if in the course of step (145) in relation to the previously shown group of candidate sources, which had a value of J=1:
один из этих источников будет найден в другом, сохраненном ранее списке, имевшем значение J=3, например,one of these sources will be found in another previously saved list that had the value J=3, for example,
то на шаге (146) эти два списка будут объединены в один список следующим образом:then in step (146) these two lists will be combined into one list as follows:
и значение счетной переменной J, которое будет храниться ассоциированно с этим объединенным списком, будет рассчитано как сумма:and the value of the count variable J, which will be stored associated with this concatenated list, will be calculated as the sum:
J=1+3=4.J=1+3=4.
[0083] В том частном случае, если на шаге (145) будет найдет сохраненный ранее список, состоящий из тех же самых источников, что и список, созданный на шаге (144), то есть будут обнаружены два полностью идентичных списка, то суммируют значения счетной переменной J, ассоциированные с каждым из списков, один из списков удаляют, а полученное значение J присваивают оставшемуся списку.[0083] In that particular case, if at step (145) it finds a previously saved list consisting of the same sources as the list created at step (144), that is, two completely identical lists are found, then sum the values counting variable J associated with each of the lists, one of the lists is deleted, and the resulting value J is assigned to the remaining list.
[0084] На этом способ переходит к шагу (147), на котором сравнивают полученное на шаге (146) значение счетной переменной J с заранее заданным пороговым значением Jmax. Это заранее заданное пороговое значение выбирают на этапе настройки системы, реализующей способ. Оно имеет смысл количества "групповых" публикаций, сделанных в разное время пересекающимися или совпадающими группами источников и может быть, например, равно 3.[0084] At this point, the method proceeds to step (147), which compares the value of the count variable J obtained in step (146) with a predetermined threshold value Jmax. This predetermined threshold value is chosen at the stage of setting up the system implementing the method. It has the meaning of the number of "group" publications made at different times by overlapping or coinciding groups of sources and can be, for example, equal to 3.
[0085] В том случае, если оказывается, что значение счетной переменной J меньше или равно заданному пороговому значению Jmax, то способ возвращается к шагу (141), на котором выбирают очередную публикацию.[0085] If it turns out that the value of the count variable J is less than or equal to the predetermined threshold value Jmax, then the method returns to step (141), where the next publication is selected.
[0086] Если значение счетной переменной J оказывается больше порогового значения Jmax, то способ переходит к шагу (148), на котором относят все входящие в объединенный список источники публикаций к группе связанных источников публикаций. Иными словами, тот список, для которого выполняется J>Jmax, считают списком, содержащим группу связанных источников публикаций. Для всех входящих в него источников публикаций проставляют в базе данных соответствующий тэг, "Группа связанных источников", после чего способ возвращается к шагу (141), на котором выбирают очередную публикацию.[0086] If the value of the count variable J is greater than the threshold value Jmax, then the method proceeds to step (148), which refers all publication sources included in the combined list to the group of related publication sources. In other words, the list for which J>Jmax is satisfied is considered to be a list containing a group of related publication sources. For all sources of publications included in it, the corresponding tag, "Group of related sources", is put down in the database, after which the method returns to step (141), where the next publication is selected.
[0087] Список, для которого было выполнено J>Jmax, не удаляют, он по-прежнему обрабатывается в ходе шага (140) наряду со всеми остальными списками источников-кандидатов, как это было описано выше.[0087] The list for which J>Jmax was performed is not deleted, it is still processed during step (140) along with all other candidate source lists, as described above.
[0088] Шаг (140) выполняется циклически до тех пор, пока не будет достигнут конец списка публикаций, из которого выбирают публикации на шаге (141). На этом выполнение шага (140) завершается и способ переходит к шагу (150), как это было описано выше применительно к Фиг. 1А.[0088] Step (140) is performed cyclically until the end of the list of publications from which publications are selected in step (141) is reached. This completes step (140) and the method proceeds to step (150) as described above with respect to FIG. 1A.
[0089] На шаге (150), как это будет описано далее применительно к Фиг. 1В, в составе найденных источников публикаций выявляют по меньшей мере следующие типы источников: рекламные площадки, агрегаторы отзывов пользователей (отзовики), биржи аккаунтов, биржи SMM-услуг и площадки для найма сотрудников на удаленную работу (биржи фрилансеров).[0089] At step (150), as will be described below with respect to FIG. 1B, at least the following types of sources are identified as part of the found sources of publications: advertising platforms, user feedback aggregators (reviewers), account exchanges, exchanges of SMM services, and platforms for hiring employees for remote work (freelance exchanges).
[0090] Шаг (150) начинается с поиска в сети интернет, выполняемого на шаге (151), в ходе которого находят веб-сайты, выполняющие функции рейтинговых агентств.[0090] Step (150) begins with an Internet search performed in step (151), during which websites that act as rating agencies are found.
[0091] Этот поиск выполняется любым общеизвестным способом, посредством любой известной поисковой системы, такой как Google. В качестве ключевых слов используют заранее подготовленные наборы строк, позволяющие сформировать соответствующий поисковый запрос, например, такие как:[0091] This search is performed in any well-known way, through any well-known search engine such as Google. As keywords, pre-prepared sets of strings are used that allow you to generate an appropriate search query, for example, such as:
"рейтинг бирж SMM""rating of SMM exchanges"
"рейтинг бирж аккаунтов""account exchange rating"
"рейтинг бирж фрилансеров"freelance market rating
"рейтинг лучших отзовиков""Rating of the best reviewers"
[0092] Затем, анализируя поисковую выдачу, что может быть выполнено любым общеизвестным образом, например, посредством заблаговременно подготовленного скрипта, извлекают гиперссылки (URL) на веб-сайты, выполняющие функции рейтинговых агентств, и сохраняют эти ссылки в виде списков, например, список рейтингов бирж SMM, список рейтингов бирж аккаунтов и т.д. Таким образом, в результате выполнения шага (151) получают упорядоченные по специфике деятельности веб-сайта списки ссылок на веб-сайты рейтинговых агентств.[0092] Then, by analyzing the search results, which can be done in any well-known way, for example, by means of a pre-prepared script, hyperlinks (URLs) to websites that perform the functions of rating agencies are extracted, and these links are stored in the form of lists, for example, a list SMM exchange ratings, list of account exchange ratings, etc. Thus, as a result of step (151), lists of links to websites of rating agencies ordered according to the specifics of the website activity are obtained.
[0093] На этом шаг (151) завершается и способ переходит к шагу (152), на котором сканируют найденные сайты рейтинговых агентств. Для этого используют списки URL, составленные на шаге (151). Сканирование выполняют любым общеизвестным способом, при помощи какой-либо программы, реализующей функции веб-парсера, то есть автоматического "сборщика" публикаций с различных веб-сайтов, такой, например, как CloudScrape или Scrapinghub.[0093] This completes step (151) and the method proceeds to step (152) where the found rating agency sites are scanned. For this, the URL lists compiled in step (151) are used. Scanning is performed in any well-known way, using some program that implements the functions of a web parser, that is, an automatic "collector" of publications from various websites, such as, for example, CloudScrape or Scrapinghub.
[0094] В результате выполнения шага (152) получают и сохраняют в базе веб-страницы просканированных сайтов, которые содержат, помимо прочего, собственно рейтинги, то есть упорядоченные списки веб-сайтов, выполняющих функции бирж аккаунтов, бирж SMM-услуг, бирж фрилансеров, а также агрегаторов отзывов пользователей (отзовиков).[0094] As a result of step (152), web pages of scanned sites are obtained and stored in the database, which contain, among other things, the actual ratings, that is, ordered lists of websites that act as account exchanges, SMM services exchanges, freelance exchanges , as well as aggregators of user reviews (reviewers).
[0095] На этом шаг (152) завершается и способ переходит к шагу (153), на котором формируют списки веб-сайтов, выполняющих функции различных бирж, а также агрегаторов отзывов пользователей. Это выполняют любым общеизвестным способом, позволяющим извлечь из сохраненных на предыдущем шаге веб-страниц рейтинговых агентств ссылки (URL) на перечисленные в рейтингах сайты. Извлеченные ссылки сохраняют в списках, формируя таким образом:[0095] This completes step (152) and the method proceeds to step (153), which generates lists of websites that perform the functions of various exchanges, as well as aggregators of user reviews. This is done by any well-known method that allows extracting links (URLs) to the sites listed in the ratings from the web pages of the rating agencies saved in the previous step. The extracted links are stored in lists, forming in this way:
• список ссылок на биржи аккаунтов,• list of links to account exchanges,
• список ссылок на биржи SMM-услуг,• list of links to exchanges of SMM services,
• список ссылок на биржи фрилансеров,• list of links to freelance exchanges,
[0096] Сформированные таким образом списки сохраняют, и на этом способ переходит к шагу (154), на котором анализируют и очищают сформированные на предыдущем шаге списки. Для этого из вышеперечисленных списков удаляют повторные вхождения, то есть исключают повторяющиеся ссылки (URL). Кроме того, на данном шаге полученные ссылки усекают до домена второго уровня, таким образом, что URL вида[0096] The lists thus formed are stored, and at this point the method proceeds to step (154), in which the lists formed in the previous step are analyzed and purified. To do this, duplicate entries are removed from the above lists, that is, duplicate links (URLs) are excluded. In addition, at this step, the received links are truncated to the second-level domain, so that the URL of the form
оказывается преобразован в строку видаis converted to a string of the form
[0097] Это может выполняться любым общеизвестным образом. В результате выполнения шага (154) получают и сохраняют в базе данных четыре списка источников, соответствующих списку (1).[0097] This may be done in any well-known manner. As a result of step (154), four lists of sources corresponding to list (1) are obtained and stored in the database.
[0098] Затем способ переходит к шагу (155), на котором сканируют найденные биржи аккаунтов. Для этого используют список URL бирж аккаунтов, составленный на шаге (154). Сканирование выполняют любым общеизвестным способом, при помощи какой-либо программы, реализующей функции веб-парсера, то есть автоматического "сборщика" публикаций с различных веб-сайтов, такой, например, как CloudScrape или Scrapinghub.[0098] The method then proceeds to step (155) where the found account exchanges are scanned. To do this, use the list of account exchange URLs compiled in step (154). Scanning is performed in any well-known way, using some program that implements the functions of a web parser, that is, an automatic "collector" of publications from various websites, such as, for example, CloudScrape or Scrapinghub.
[0099] В результате выполнения шага (155) получают и сохраняют в базе веб-страницы просканированных сайтов, которые содержат, помимо прочего, списки предлагаемых к продаже или аренде аккаунтов.[0099] As a result of step (155), web pages of scanned sites are obtained and stored in the database, which contain, among other things, lists of accounts offered for sale or rent.
[0100] Следует заметить, что аккаунты, продаваемые или предлагаемые к сдаче в аренду на биржах аккаунтов, заведомо управляются ботами. Поэтому на следующем шаге (156) анализируют сохраненные на шаге (155) веб-страницы и извлекают из них названия предлагаемых к продаже или аренде аккаунтов, из которых формируют список аккаунтов, управляемых ботами. Собственно анализ веб-страниц может выполняться любым общеизвестным способом, например, при помощи скрипта, осуществляющего парсинг (разбор) веб-страницы, извлечение из нее названий аккаунтов и сохранение их в отдельный список.[0100] It should be noted that accounts sold or offered for rent on account exchanges are known to be managed by bots. Therefore, in the next step (156), the web pages saved in step (155) are analyzed and the names of accounts offered for sale or rent are extracted from them, from which a list of accounts managed by bots is formed. The actual analysis of web pages can be performed in any well-known way, for example, using a script that parses (parses) a web page, extracts account names from it and saves them to a separate list.
[0101] Список аккаунтов, управляемых ботами, перед завершением шага (156) используется для того, чтобы пометить известные аккаунты, полученные на шаге (120), тэгом "Бот". Тэги проставляются в используемой базе данных любым общеизвестным способом, в соответствии с используемой архитектурой базы данных.[0101] The list of accounts managed by bots before completing step (156) is used to tag known accounts obtained in step (120) with a "Bot" tag. Tags are affixed to the used database in any well-known way, in accordance with the used database architecture.
[0102] Те аккаунты, которые присутствуют в списке, полученном на шаге (156), но отсутствуют в базе данных (то есть аккаунты, которые управляются ботами, но пока не были найдены или не были использованы) также сохраняют в базе данных с тэгом "Бот" и в дальнейшем используют наряду со всеми остальными известными аккаунтами.[0102] Those accounts that are present in the list obtained in step (156) but not in the database (that is, accounts that are managed by bots, but have not yet been found or used) are also stored in the database with the tag " Bot" will continue to be used along with all other well-known accounts.
[0103] Возможен также альтернативный вариант реализации описываемого способа, в котором шаг (156) пропускают, переходя от шага (155) к шагу (157).[0103] An alternative implementation of the described method is also possible, in which step (156) is skipped, moving from step (155) to step (157).
[0104] Способ переходит к шагу (157), на котором сканируют найденные биржи фрилансеров. Для этого используют список URL бирж фрилансеров, составленный на шаге (154). Сканирование выполняют любым общеизвестным способом, при помощи какой-либо программы, реализующей функции веб-парсера, то есть автоматического "сборщика" публикаций с различных веб-сайтов, такой, например, как CloudScrape или Scrapinghub.[0104] The method proceeds to step (157) where the found freelance exchanges are scanned. To do this, use the list of freelance exchange URLs compiled in step (154). Scanning is performed in any well-known way, using some program that implements the functions of a web parser, that is, an automatic "collector" of publications from various websites, such as, for example, CloudScrape or Scrapinghub.
[0105] В результате выполнения шага (157) получают и сохраняют в базе веб-страницы просканированных бирж фрилансеров, которые содержат, помимо прочего, тексты заданий фрилансерам на размещение отзывов заранее заданной направленности на страницах тех или иных веб-ресурсов.[0105] As a result of step (157), the web pages of the scanned freelancer exchanges are obtained and stored in the database, which contain, among other things, the texts of tasks for freelancers to post reviews of a predetermined direction on the pages of certain web resources.
[0106] Следует заметить, что веб-ресурсы, на которых фрилансерам предлагают размещать отзывы заранее заданной направленности, как правило, относятся к категории рекламных площадок, то есть представляют собой интернет-СМИ, публикующие, помимо обычных новостей, оплаченные публикации заранее заданной направленности.[0106] It should be noted that web resources where freelancers are offered to post reviews of a predetermined focus, as a rule, belong to the category of advertising platforms, that is, they are online media that publish, in addition to regular news, paid publications of a predetermined focus.
[0107] Поэтому на следующем шаге (158) анализируют сохраненные на шаге (157) вебстраницы и извлекают из них ссылки (URL) на рекламные площадки, из которых формируют список рекламных площадок. Собственно анализ веб-страниц может выполняться любым общеизвестным способом, например, при помощи скрипта, осуществляющего парсинг (разбор) веб-страницы, извлечение из нее URL и сохранение их в отдельный список.[0107] Therefore, in the next step (158), the web pages saved in step (157) are analyzed and links (URLs) to advertising sites are extracted from them, from which a list of advertising sites is formed. The actual analysis of web pages can be performed in any well-known way, for example, using a script that parses (parses) a web page, extracts URLs from it and saves them in a separate list.
[0108] Затем способ переходит к шагу (159), на котором сформированный таким образом список анализируют и очищают. Для этого из списка удаляют повторные вхождения, то есть исключают повторяющиеся ссылки (URL). Кроме того, на данном шаге полученные ссылки усекают до домена второго уровня, таким образом, что URL вида[0108] The method then proceeds to step (159), in which the list thus formed is parsed and cleared. To do this, duplicate entries are removed from the list, that is, duplicate links (URLs) are excluded. In addition, at this step, the received links are truncated to the second-level domain, so that the URL of the form
оказывается преобразована в строку видаis converted to a string of the form
[0109] На этом шаг (150) завершается. Результатом выполнения шагов (130), (140) и (150) становится рубрикация данных, сохраненных после выполнения шага (110), то есть отнесение по меньшей мере части найденных источников публикаций к по меньшей мере одному типу источников. Как уже было отмечено, источник публикаций может одновременно относиться к разным типам источников, источнику может быть проставлено более одного тэга.[0109] This completes step (150). Steps (130), (140) and (150) result in the categorization of data stored after step (110), i.e. assignment of at least a portion of the found publication sources to at least one source type. As already noted, the source of publications can simultaneously belong to different types of sources, more than one tag can be affixed to the source.
[0110] В одном возможном варианте реализации способа для дальнейшей обработки данных используют только те источники, тип которых был определен на шагах (130), (140) и (150). В другом возможном варианте реализации для дальнейшей обработки данных используют все источники.[0110] In one possible embodiment of the method, only those sources whose type was determined in steps (130), (140) and (150) are used for further data processing. In another possible implementation, all sources are used for further data processing.
[0111] Затем способ переходит к шагу (160), на котором дополнительно к списку, полученному на шаге (156), выявляют среди найденных на шаге (120) аккаунтов те аккаунты, которые управляются ботами. Выполнение шага (160) будет подробно описано ниже со ссылкой на Фиг. 1Г.[0111] Then the method proceeds to step (160), where, in addition to the list obtained in step (156), those accounts that are controlled by bots are identified among the accounts found in step (120). The execution of step (160) will be described in detail below with reference to FIG. 1G.
[0112] Выполнение шага (160), как это показано на Фиг. 1Г, начинается на шаге (161), на котором отбирают среди найденных публикаций те, которые сделаны в социальных сетях. Поскольку ранее в результате выполнения этапа (130) была выполнена рубрикация источников публикаций, являющихся социальными сетями, выполнение шага (161) представляет собой отбор из базы данных публикаций, для которых в базе данных проставлена пометка "Социальная сеть". Технически подобный отбор может осуществляться любым общеизвестным образом, выбранным в зависимости от архитектуры используемой базы данных, например, отправкой соответствующего SQL-запроса и получение ответа на него.[0112] Performing step (160) as shown in FIG. 1D begins at step (161), which selects among the found publications those made in social networks. Since earlier, as a result of step (130), the sources of publications that are social networks were categorized, the execution of step (161) is a selection from the database of publications for which the database is marked "Social network". Technically, such a selection can be carried out in any well-known way, chosen depending on the architecture of the database used, for example, by sending the corresponding SQL query and receiving a response to it.
[0113] Следует заметить, что "публикациями в социальных сетях" в контексте выполнения данного шага (161) считают результаты таких действий, выполнение которых требует от пользователя социальной сети наибольших затрат времени. К ним относят следующие публикации, типичные для современных социальных сетей:[0113] It should be noted that "publications in social networks" in the context of this step (161) consider the results of such actions, the implementation of which requires the most time from the user of the social network. These include the following publications, typical for modern social networks:
• запись (оригинальное сообщение),• record (original message),
• комментарий (ответ на чью-то запись или комментарий),• comment (reply to someone's post or comment),
• репост, то есть размещение от своего имени какой-либо записи, сделанной произвольным пользователем, с указанием аккаунта отправителя и ссылкой на оригинальную запись.• repost, that is, posting on your behalf any entry made by an arbitrary user, indicating the sender's account and a link to the original entry.
[0114] Такие альтернативные средства волеизъявления пользователей социальных сетей как эмотиконы (смайлики) и лайки\дизлайки (голоса "за" и "против") в ходе выполнения данного шага не учитываются.[0114] Such alternative means of expressing the will of social network users such as emoticons (emoticons) and likes / dislikes (votes "for" and "against") during this step are not taken into account.
[0115] После получения публикаций в социальных сетях, способ переходит к шагу (162), на котором из общего массива публикаций отбирают все публикации, сделанные одним аккаунтом. Поскольку ранее, в ходе шага (120) были определены аккаунты, с которых сделаны все публикации, то технически шаг (162) представляет собой фильтрацию полученного массива публикаций по автору (аккаунту). Он может выполняться любым общеизвестным образом, выбранным в зависимости от архитектуры используемой базы данных. Собственно название аккаунта поочередно берут из общего хранящегося в базе данных списка аккаунтов, сформированного, как было описано ранее, на этапах (120) и (156).[0115] After receiving publications in social networks, the method proceeds to step (162), in which all publications made by one account are selected from the total array of publications. Since earlier, during step (120), the accounts from which all publications were made were determined, then technically step (162) is a filtering of the received array of publications by author (account). It can be executed in any well-known way, depending on the architecture of the database being used. The account name itself is alternately taken from the general list of accounts stored in the database, formed, as described earlier, at steps (120) and (156).
[0116] Перед осуществлением фильтрации полученного массива публикаций (на Фиг.1Г этот шаг для простоты восприятия не показан) могут дополнительно проверять, имеет ли уже данный аккаунт тэг "Бот". Такой тэг мог быть проставлен ранее, в ходе выполнения шага (156). Если такой тэг присутствует, то шаг (163) не выполняют и переходят к следующему аккаунту из списка аккаунтов.[0116] Before filtering the received array of publications (in Fig.1D this step is not shown for ease of perception), they can additionally check whether this account already has the "Bot" tag. Such a tag could have been set earlier during step (156). If such a tag is present, then step (163) is skipped and proceeds to the next account in the list of accounts.
[0117] Затем на шаге (163) подсчитывают количество М публикаций, сделанных данным аккаунтом с заданным интервалом, например, с интервалом в 1 секунду или менее. Для этого публикации любым общеизвестным способом упорядочивают по дате и времени публикации, после рассчитывают временные интервалы между каждыми двумя соседними по времени публикациями. Например, если аккаунт сделал публикации с условными обозначениями П1, П2, П3 и П4, то будут рассчитаны интервалы между публикациями П1 и П2, между П2 и П3, а также между П3 и П4. Затем подсчитывают количество М интервалов, длительность которых меньше или равна заранее выбранному значению, например, меньше или равна 1 секунде.[0117] Next, in step (163), the number M of publications made by this account at a predetermined interval, for example, with an interval of 1 second or less, is counted. To do this, publications are ordered by the date and time of publication in any well-known way, after which the time intervals between each two publications adjacent in time are calculated. For example, if an account has made publications with the symbols P1, P2, P3 and P4, then the intervals between publications P1 and P2, between P2 and P3, and also between P3 and P4 will be calculated. Then count the number M of intervals, the duration of which is less than or equal to a preselected value, for example, less than or equal to 1 second.
[0118] Затем способ переходит к шагу (164), на котором сравнивают подсчитанное значение М с заранее заданным порогом. Этот порог может быть выбран эмпирически на этапе настройки системы и равен, например 4. В случае, если значение М для анализируемого аккаунта превышает этот заранее заданный порог, то способ переходит к шагу (167), на котором относят данный аккаунт к тем аккаунтам, которые управляются ботами, и затем возвращается к шагу (162).[0118] The method then proceeds to step (164), which compares the calculated value of M with a predetermined threshold. This threshold can be empirically selected at the stage of system setup and is equal to, for example, 4. If the value of M for the analyzed account exceeds this predetermined threshold, then the method proceeds to step (167), which refers this account to those accounts that controlled by bots, and then returns to step (162).
[0119] Если на шаге (164) значение М для анализируемого аккаунта оказывается меньше заранее заданный порог, то способ переходит к шагу (165), на котором подсчитывают период времени Т, в течение которого аккаунт делал публикации с частотой не реже заданной частоты F. Величина F при этом может быть выбрана заранее, на этапе настройки системы. Например, F может быть выбрана равной одной публикации в час или одной публикации в два часа.[0119] If at step (164) the value of M for the analyzed account is less than a predetermined threshold, then the method proceeds to step (165), which calculates the period of time T, during which the account published with a frequency of at least a given frequency F. The value of F in this case can be chosen in advance, at the stage of setting up the system. For example, F may be chosen to be one post per hour or one post per two hours.
[0120] Например, если аккаунт сделал публикации с условными обозначениями П1, П2 … П400, то на шаге (164) они будут упорядочены по дате и времени публикации, после чего будет рассчитаны временные интервалы между каждыми двумя соседними по времени публикациями: между П1 и П2, между П2 и П3, и так далее, до интервала между П499 и П400. Затем находят периоды времени T1, Т2, Т3 и т.д., такие, что внутри каждого такого периода частота публикаций превышает заранее заданную величину F. Иными словами, находят все периоды времени, на протяжении которых данный аккаунт размещал публикации чаще, чем с заданной частотой F. Это может быть сделано любым общеизвестным образом.[0120] For example, if an account has made publications with symbols P1, P2 ... P400, then at step (164) they will be ordered by date and time of publication, after which the time intervals between each two publications adjacent in time will be calculated: between P1 and P2, between P2 and P3, and so on, until the interval between P499 and P400. Then they find time periods T1, T2, T3, etc., such that within each such period the frequency of publications exceeds a predetermined value F. In other words, they find all time periods during which this account posted publications more often than with a given frequency F. This can be done in any well-known way.
[0121] Затем определяют продолжительность периода времени Т как максимальную продолжительность периода среди всех найденных периодов времени T1, Т2, Т3 и т.д.[0121] Then, the duration of the period of time T is determined as the maximum duration of the period among all the found periods of time T1, T2, T3, etc.
[0122] После чего способ переходит к шагу (166), на котором определяют, превышает ли продолжительность периода времени Т заранее заданный порог. Например, этот порог может быть выбран равным 36 часам или 48 часам. Иначе говоря, на данном этапе проверяется, как долго с данного аккаунта размещали какие-либо публикации непрерывно, без перерыва на то время, которое необходимо человеку для сна.[0122] Thereafter, the method proceeds to step (166), which determines whether the duration of the time period T exceeds a predetermined threshold. For example, this threshold can be chosen to be 36 hours or 48 hours. In other words, at this stage, it is checked how long any publications were posted from this account continuously, without a break for the time that a person needs to sleep.
[0123] В том случае, если Т превышает заранее заданный порог, то способ переходит к шагу (167), на котором относят данный аккаунт к тем аккаунтам, которые управляются ботами, то есть проставляют для него в базе данных тэг "Бот", и затем возвращается к шагу (162). В противном случае, если Т не превышает заранее заданный порог, способ возвращается к шагу (162).[0123] In the event that T exceeds a predetermined threshold, then the method proceeds to step (167), which refers this account to those accounts that are controlled by bots, that is, tag "Bot" for it in the database, and then returns to step (162). Otherwise, if T does not exceed a predetermined threshold, the method returns to step (162).
[0124] В целях упрощения блок-схемы на Фиг. 1Г условно не показана проверка условия "достигнут конец списка аккаунтов?", которая может выполняться каждый раз перед шагом (162), на котором выбирают очередной аккаунт для анализа. При выполнении этого условия выполнение шага (160) завершается и способ возвращается к шагу (170), как это было описано выше применительно к Фиг. 1А.[0124] In order to simplify the block diagram in FIG. 1D conditionally does not show the check of the condition "did the end of the list of accounts be reached?", which can be performed each time before step (162), in which the next account is selected for analysis. When this condition is met, step (160) is completed and the method returns to step (170) as described above with respect to FIG. 1A.
[0125] Следует заметить, что шаги (110), (120), (130), (140), (150) и (160) для простоты описания показаны применительно к предварительному этапу как простая последовательность. Однако, возможен вариант реализации системы, в котором эти шаги выполняются не один раз, а циклически, в том числе и параллельно выполнению шагов, которые будут описаны далее применительно к рабочему этапу. Данная деятельность может осуществляться непрерывно, что позволит постоянно пополнять базы данных и в любой момент времени иметь в базе данных "свежие", актуальные сведения.[0125] It should be noted that steps (110), (120), (130), (140), (150), and (160) are shown as a simple sequence in relation to the preliminary step for ease of description. However, it is possible to implement the system in which these steps are performed not once, but cyclically, including in parallel with the execution of the steps that will be described below in relation to the working stage. This activity can be carried out continuously, which will allow you to constantly replenish the database and at any time have "fresh", relevant information in the database.
[0126] На заключительном шаге (170) подготовительного этапа (100) сохраняют все сведения, полученные на предыдущих шагах, в базе данных. Это может выполняться любым общеизвестным образом. На этом подготовительный этап (100) завершается.[0126] At the final step (170) of the preparatory stage (100), all the information obtained in the previous steps is stored in the database. This may be done in any well known manner. This completes the preparatory step (100).
[0127] Для реализации описываемого способа выявления атак на репутацию после завершения предварительного этапа (100) выполняют рабочий этап (200), как это описано ниже со ссылкой на Фиг. 2А.[0127] To implement the described method for detecting reputation attacks, after completion of the preliminary step (100), an operating step (200) is performed, as described below with reference to FIG. 2A.
[0128] Предварительный этап (200) начинается с шага (210), на котором получают по меньшей мере одно слово или словосочетание, характеризующие цель атаки на репутацию. Это может быть выполнено любым общеизвестным способом. Например, заранее подготовленная в соответствии с принятым системой форматом строка, содержащая слова и словосочетания, характеризующая цель атаки на репутацию, может поступать в систему, реализующую способ, из базы данных, где хранятся задания для системы, реализующей способ, по окончанию выполнения системой предыдущего задания.[0128] The preliminary stage (200) begins with step (210), in which at least one word or phrase is obtained that characterizes the target of the reputation attack. This may be done in any conventional manner. For example, a string prepared in advance in accordance with the format adopted by the system, containing words and phrases that characterize the target of an attack on reputation, can enter the system implementing the method from the database where tasks are stored for the system implementing the method, upon completion of the previous task by the system .
[0129] Возможны также, без ограничений, любые альтернативные варианты реализации данного шага, в том числе импорт слов и словосочетаний из текста электронного письма, направленного на заранее организованный адрес электронной почты, ассоциированный с системой, реализующей описываемый способ, и т.д.[0129] Any alternative implementation of this step is also possible, without limitation, including importing words and phrases from the text of an email sent to a pre-arranged email address associated with the system implementing the described method, etc.
[0130] Затем способ переходит к шагу (220). Перед началом шага (220) любым общеизвестным образом получают и сохраняют в базе данных показания системных часов, т.е. текущее время на момент начала выполнения шага. Затем сканируют интернет и находят вебстраницы, содержащие полученные слова и словосочетания. Технически это может выполняться любым общеизвестным способом, например, аналогично тому, как это было описано выше для шага (110). Затем способ переходит к шагу (230).[0130] The method then proceeds to step (220). Before starting step (220), the system clock readings are obtained and stored in the database in any well-known manner, i.e. the current time at the start of the step. Then they scan the Internet and find web pages containing the received words and phrases. Technically, this can be done in any well-known way, for example, in the same way as described above for step (110). The method then proceeds to step (230).
[0131] На шаге (230) найденные веб-страницы анализируют и выделяют по меньшей мере: заголовок, аккаунт автора, дату и время, источник публикации, текст публикации; это выполняют аналогично описанному выше для шага (120). Извлеченную информацию сохраняют в базе данных.[0131] In step (230), the found web pages are analyzed and extracted at least: title, author account, date and time, publication source, publication text; this is done in the same manner as described above for step (120). The retrieved information is stored in a database.
[0132] На этом шаг (230) завершается и способ переходит к шагу (240), на котором из найденных текстов публикаций извлекают ссылки (URL) и формируют списки ссылок. Это выполняют любым общеизвестным способом, позволяющим извлечь из сохраненных на предыдущем шаге публикаций все ссылки (URL), например, посредством заблаговременно подготовленного скрипта, находящего в теле каждой публикации такие сочетания символов, как http, https и www, и извлекающие всю строку, начинающуюся с этих символов и заканчивающуюся пробелом или символами "возврат каретки" или "перенос строки".[0132] This completes step (230) and the method proceeds to step (240), where links (URLs) are extracted from the found texts of publications and lists of links are formed. This is done in any well-known way that allows you to extract all links (URLs) from the publications saved in the previous step, for example, by means of a pre-prepared script that finds character combinations such as http, https and www in the body of each publication and extracts the entire string starting with of these characters and ending with a space or a carriage return or line feed.
[0133] Извлеченные таким образом ссылки сохраняют, например, в базе данных, и способ переходит к шагу (250). На шаге (250) анализируют публикации, найденные на шаге (220) и ссылки, извлеченные на шаге (240) и подсчитывают значения количественных характеристик и динамику их изменения.[0133] The links thus retrieved are stored, for example, in a database, and the method proceeds to step (250). In step (250), the publications found in step (220) and the references retrieved in step (240) are analyzed and score values and trends are calculated.
[0134] К количественным характеристикам при этом относят по меньшей мере: (2)[0134] Quantitative characteristics include at least: (2)
• общее количество публикаций N,• total number of publications N,
• количество публикаций, сделанных ботами, Nb,• number of publications made by bots, Nb,
• количество публикаций, сделанных на агрегаторах компромата, Nk,• number of publications made on compromising evidence aggregators, Nk,
• количество публикаций, сделанных группами связанных источников публикаций, Ng• number of publications made by groups of related publication sources, Ng
• количество публикаций, сделанных группами связанных источников, которые также являются агрегаторами компромата, Ngk• the number of publications made by groups of related sources that are also compromising aggregators, Ngk
• количество публикаций, сделанных на рекламных площадках, Nr,• number of publications made on advertising platforms, Nr,
• количество публикаций, сделанных на рекламных площадках, входящих в группу связанных источников, Ngr,• the number of publications made on advertising sites included in the group of related sources, Ngr,
• количество публикаций, сделанных на агрегаторах отзывов пользователей, No,• number of publications made on user review aggregators, No,
• количество публикаций, сделанных на агрегаторах утечек, Nu,• the number of publications made on leak aggregators, Nu,
• количество публикаций, сделанных на площадках для найма сотрудников на удаленную работу, Nh,• the number of publications made on platforms for hiring employees for remote work, Nh,
• общее количество публикаций, являющихся дублями друг друга, Nd,• the total number of publications that are duplicates of each other, Nd,
• общее количество публикаций на агрегаторах компромата, являющихся дублями друг друга, Ndk,• the total number of publications on compromising evidence aggregators that are duplicates of each other, Ndk,
• общее количество публикаций на агрегаторах компромата, являющихся дублями друг друга и сделанных ботами, Ndbk,• the total number of publications on compromising aggregators that are duplicates of each other and made by bots, Ndbk,
• общее количество ссылок, являющихся дублями друг друга, Nld• total number of links that are duplicates of each other, Nld
• количество аккаунтов, с которых были размещены найденные публикации, Na• the number of accounts from which the found publications were placed, Na
• количество аккаунтов, управляемых ботами, с которых были размещены найденные публикации, Nab• the number of accounts managed by bots from which the found publications were posted, Nab
• количество аккаунтов, с которых были размещены публикации, найденные на агрегаторах компромата, Nak• the number of accounts from which the publications found on compromising evidence aggregators, Nak
• количество аккаунтов, управляемых ботами, с которых были размещены публикации на агрегаторах компромата, Nabk• the number of accounts managed by bots from which publications were posted on compromising evidence aggregators, Nabk
• количество аккаунтов, с которых были размещены публикации, найденные на рекламных площадках, Nar.• the number of accounts from which publications found on advertising sites were placed, Nar.
[0135] Под динамикой изменения названных величин в данном случае понимают значения этих величин, вычисленные на протяжении заранее заданного интервала времени t с заранее заданным шагом (временным интервалом между итерациями) ts. В качестве неограничивающего примера, интервал t может быть задан равным 10 минутам, а шаг ts -- равным 1 минуте.[0135] Under the dynamics of change of these quantities in this case, we mean the values of these quantities calculated over a predetermined time interval t with a predetermined step (time interval between iterations) ts. As a non-limiting example, the interval t may be set to 10 minutes and the step ts to 1 minute.
[0136] Конкретные способы вычисления названных величин будут подробнее описаны ниже, со ссылками на Фиг. 2Б, Фиг. 2 В.[0136] The specific calculation methods for these quantities will be described in more detail below with reference to FIGS. 2B, Fig. 2 V.
[0137] Несложно видеть, что вышеназванные количественные характеристики можно условно объединить в три основные группы: характеристики, имеющие смысл количества тех или иных публикаций, характеристики, имеющие смысл количества дублей (повторов) и характеристики, имеющие смысл количества аккаунтов.[0137] It is easy to see that the above quantitative characteristics can be conditionally combined into three main groups: characteristics meaning the number of certain publications, characteristics meaning the number of duplicates (repetitions) and characteristics meaning the number of accounts.
[0138] Характеристики, имеющие смысл количества публикаций вычисляют, как это показано на Фиг. 2Б. Поскольку в ходе предварительного этапа, а именно, на шагах (130), (140), (150), (160) различные источники публикаций и аккаунты были размечены, то есть по меньшей мере для некоторых из них в базе данных были проставлены пометки, такие как "Агрегатор компромата", "Группа связанных источников", "Бот" и так далее, извлечение из базы данных количества публикаций, относящихся к тем или иным источникам, технически реализуется как поиск в базе данных записей с соответствующей пометкой (тэгом).[0138] Characteristics meaning number of publications are calculated as shown in FIG. 2B. Since during the preliminary stage, namely, at steps (130), (140), (150), (160), various sources of publications and accounts were marked up, that is, at least some of them were marked in the database, such as "Incriminating evidence aggregator", "Group of related sources", "Bot" and so on, extraction from the database of the number of publications related to certain sources is technically implemented as a search in the database for records with a corresponding mark (tag).
[0139] На первом этапе (251) выбирают по меньшей мере один критерий (пометку, тэг) для фильтрации. Ее выбирают из заранее подготовленного списка пометок, например, поочередно выбирая одну пометку за другой.[0139] In the first step (251), at least one criterion (label, tag) is selected for filtering. It is selected from a pre-prepared list of marks, for example, by alternately selecting one mark after another.
[0140] Затем способ переходит к этапу (252), на котором строят запрос к базе данных, содержащий выбранную пометку и получают из базы данных список публикаций, соответствующий этому запросу, и на этапе (253) получают оценку длины этого списка, то есть количества публикаций. Затем на этапе (254) собственно полученную оценку сохраняют; опционально при этом могут также сохранять и сам полученный список.[0140] Then the method proceeds to step (252), where a database query is built containing the selected mark and a list of publications corresponding to this query is obtained from the database, and at step (253) an estimate of the length of this list, that is, the number publications. Then, at the stage (254), the actual assessment is preserved; At the same time, the resulting list can also be optionally preserved.
[0141] В качестве примера можно подробнее описать подсчет количества публикаций Nb, сделанных ботами. В ходе предварительного этапа, а именно шагов (156) и (160), были определены аккаунты, управляемые ботами, и для каждого из таких аккаунтов в базе данных была проставлена пометка "Бот".[0141] As an example, the count of the number of publications Nb made by bots can be described in more detail. During the preliminary stage, namely steps (156) and (160), accounts managed by bots were identified, and each of these accounts was marked "Bot" in the database.
[0142] На этапе (251) из списка пометок получают пометку "Бот"; затем на этапе (252) к базе данных строят запрос и из базы данных получают список публикаций, найденных в ходе шага (220), которые притом были сделаны с аккаунтов, имеющих пометку "Бот". Это может быть сделано любым общеизвестным образом, в зависимости от архитектуры используемой базы данных, например, отправкой соответствующего SQL-запроса.[0142] at the stage (251), from the list of the litter, the "bot" is obtained; then, at step (252), a query is made to the database and a list of publications found during step (220) is obtained from the database, which, moreover, were made from accounts marked "Bot". This can be done in any well-known way, depending on the architecture of the database used, for example, by sending the appropriate SQL query.
[0143] Затем определяют длину списка, то есть количество полученных таким образом публикаций. Оно и будет количеством публикаций Nb, сделанных ботами. Его сохраняют в базе данных; дополнительно может быть сохранен и собственно список публикаций.[0143] The length of the list is then determined, that is, the number of publications thus obtained. It will be the number of nb publications made by bots. It is saved in the database; Additionally, the list of publications can also be saved.
[0144] В другом примере, для вычисления общего количества найденных публикаций N на этапе (252) запрос к базе данных могут не строить, притом принимать N равным общему количеству веб-страниц, сохраненных на текущей итерации шага (220). Например, на первой итерации способа на шаге (220) может быть найдено 100 веб-страниц, и в базе данных будет сохранено значение N=100. На второй итерации способа количество найденных страниц может стать равным 110, и в базе данных будет сохранено значение N=110. На третьей итерации способа количество найденных страниц может стать равным, например, 130, и в базе данных будет сохранено значение N=130.[0144] In another example, to calculate the total number of found publications N in step (252), a database query may not be built, moreover, take N equal to the total number of web pages stored in the current iteration of step (220). For example, in the first iteration of the method in step (220), 100 web pages may be found and the value N=100 will be stored in the database. At the second iteration of the method, the number of pages found may become 110, and the value N=110 will be stored in the database. At the third iteration of the method, the number of pages found may become, for example, 130, and the value N=130 will be stored in the database.
[0145] Следует отметить, что значения всех количественных характеристик, вычисляемых на этапе (250) сохраняют в базе данных в виде вектора, то есть последовательности чисел. Например, в результате описанных выше итераций для характеристики N будет сохранена следующая последовательность значений:[0145] It should be noted that the values of all quantitative characteristics calculated in step (250) are stored in the database as a vector, that is, a sequence of numbers. For example, as a result of the iterations described above, the following sequence of values will be stored for the characteristic N:
N=(100, 110, 130).N=(100, 110, 130).
[0146] Еще в одном примере, для определения количества публикаций, сделанных группами связанных источников, которые также являются агрегаторами компромата (Ngk), используют два тэга: "Агрегатор компромата" и "Группа связанных источников". При построении запроса к базе данных эти тэги объединяют логическим И, таким образом получая список публикаций, где для каждого из источников ранее, на шагах (130) и (140) были проставлены обе эти пометки.[0146] In another example, two tags are used to determine the number of publications made by groups of related sources, which are also compromising evidence aggregators (Ngk), "Compromising Aggregator" and "Related Source Group". When building a query to the database, these tags are combined with a logical AND, thus obtaining a list of publications, where for each of the sources both of these marks were previously put down in steps (130) and (140).
[0147] Затем определяют длину списка, то есть количество полученных таким образом публикаций. Оно и будет количеством публикаций Ngk, сделанных группами связанных источников, которые также являются агрегаторами компромата. Его сохраняют в базе данных; дополнительно может быть сохранен и собственно список публикаций.[0147] The length of the list is then determined, that is, the number of publications thus obtained. This will be the number of Ngk publications made by groups of related sources that are also compromising aggregators. It is stored in a database; Additionally, the actual list of publications can be saved.
[0148] Количественные характеристики, имеющие смысл количества дублей (повторов), рассчитывают в два этапа. На первом этапе из базы данных получают то множество записей, внутри которого необходимо найти дубли. Например, чтобы вычислить общее количество публикаций, являющихся дублями друг друга и размещенных на агрегаторах компромата (Ndk), получают список публикаций, размещенных на агрегаторах компромата.[0148] Quantitative characteristics, meaning the number of duplicates (repetitions), are calculated in two stages. At the first stage, the set of records is obtained from the database, within which it is necessary to find duplicates. For example, in order to calculate the total number of publications that are duplicates of each other and posted on compromising evidence aggregators (Ndk), a list of publications hosted on compromising evidence aggregators is obtained.
[0149] В данном примере могут использовать список, полученный при вычислении оценки количества публикаций, сделанных на агрегаторах компромата (Nk) и сохраненный на этапе (254). В другом примере, для вычисления общего количества ссылок, являющихся дублями друг друга (Nld) могут использовать данные, полученные в ходе шага (240), на котором были извлечены и сохранены имеющиеся в найденных публикациях ссылки (URL). В этом случае любым общеизвестным способом строят запрос к базе данных и получают список ссылок, найденных на шаге (240).[0149] In this example, the list obtained by calculating the estimate of the number of publications made on compromising aggregators (Nk) and stored in step (254) can be used. In another example, to calculate the total number of links that are duplicates of each other (Nld) can use the data obtained during step (240), which were extracted and stored available in the found publications links (URL). In this case, in any well-known way build a database query and get a list of links found in step (240).
[0150] На втором этапе определяют количество дубликатов внутри полученного списка. Для вычисления общего количества публикаций, являющихся дублями друг друга и размещенных на агрегаторах компромата (Ndk), это может выполняться полностью аналогично описанному ранее шагу (142). Для вычисления количества дубликатов в списке ссылок может использоваться аналогичный алгоритм, с той лишь разницей, что поиск в базе данных ведут не по полю "Публикация", а по полю "Гиперссылка".[0150] In the second step, the number of duplicates within the resulting list is determined. To calculate the total number of publications that are duplicates of each other and placed on compromising evidence aggregators (Ndk), this can be performed in exactly the same way as the previously described step (142). To calculate the number of duplicates in the list of links, a similar algorithm can be used, with the only difference that the search in the database is carried out not by the "Publication" field, but by the "Hyperlink" field.
[0151] Как показано на Фиг. 2 В, вычисление характеристик, имеющих смысл количества аккаунтов, начинают с этапа (251), на котором выбирают по меньшей мере один критерий (пометку, тэг) для фильтрации, например, пометку "Бот". Ее выбирают из заранее подготовленного списка пометок.[0151] As shown in FIG. 2B, the calculation of characteristics meaning the number of accounts starts from step (251) in which at least one criterion (label, tag) is selected for filtering, for example, the label "Bot". It is chosen from a pre -prepared list of litter.
[0152] Затем способ переходит к этапу (255), на котором строят запрос к базе данных, содержащий выбранную пометку и получают из базы данных список аккаунтов, соответствующий этому запросу.[0152] The method then proceeds to step (255), where a database query containing the selected mark is built and a list of accounts corresponding to this query is obtained from the database.
[0153] Затем на этапе (256) полученный список фильтруют, любым общеизвестным образом исключая из него повторы. После чего на этапе (257) получают оценку длины этого списка, то есть количества аккаунтов, соответствующих заданному критерию. Затем на этапе (258) собственно полученную оценку сохраняют; опционально при этом могут также сохранять и список аккаунтов.[0153] Then, at step (256), the resulting list is filtered, in any well-known way, excluding repetitions from it. After that, at step (257), an estimate of the length of this list, that is, the number of accounts that meet the given criterion, is obtained. Then, at the stage (258), the actual assessment is preserved; At the same time, the list of accounts can also be optionally preserved.
[0154] Скажем, для определения количества аккаунтов, управляемых ботами, с которых размещены публикации на агрегаторах компромата (Nak) из списка публикаций, сделанных на агрегаторах компромата. Указанный список публикаций при этом мог быть получен ранее, как это было описано применительно к этапам (251)…(254), либо построен заново, путем запроса из базы данных всех публикаций, сделанных источниками, имеющими пометку "Агрегатор компромата". Затем из этого списка извлекают список аккаунтов, с которых они были сделаны, притом имеющих пометку "Бот". Список аккаунтов любым общеизвестным образом фильтруют, удаляя из него повторы и оставляя в списке по одному вхождению каждого аккаунта. Длину полученного после такой фильтрации списка принимают за искомое количество аккаунтов Nak и сохраняют его.[0154] Let's say, to determine the number of accounts managed by bots from which publications are posted on compromising evidence aggregators (Nak) from the list of publications made on compromising evidence aggregators. In this case, the specified list of publications could be obtained earlier, as described in relation to steps (251) ... (254), or built anew, by querying the database for all publications made by sources marked "Compromising evidence aggregator". Then, from this list, a list of accounts from which they were made is extracted, moreover, marked "Bot". The list of accounts is filtered in any well-known way, removing repetitions from it and leaving one occurrence of each account in the list. The length of the list obtained after such filtering is taken as the desired number of Nak accounts and saved.
[0155] Возможен вариант реализации, при котором этап (251) пропускают. Так, чтобы определить общее количество аккаунтов, с которых были размещены найденные публикации (Na), из базы данных извлекают полный перечень аккаунтов, с которых были сделаны публикации. Затем из этого списка любым общеизвестным образом удаляют повторы, то есть оставляют в нем по одному вхождению каждого аккаунта. Количество строк полученного списка считают количеством аккаунтов, с которых были размещены найденные публикации Na, и сохраняют его.[0155] The implementation option is possible in which the stage (251) is passed. So, in order to determine the total number of accounts from which the found publications were posted (Na), a complete list of accounts from which publications were made is extracted from the database. Then, repetitions are removed from this list in any well-known way, that is, one entry of each account is left in it. The number of lines of the resulting list is considered the number of accounts from which the found publications Na were posted, and it is saved.
[0156] Таким образом, возвращаясь к Фиг. 2А, на шаге (250) вычисляют значения перечисленных характеристик и сохраняют их в базе данных, после чего любым общеизвестным способом, например, сравнивая показания системных часов в момент начала шага (220) и в текущий момент, вычисляют время Tr, фактически прошедшее с начала данной итерации, затем вычисляют оценку времени, прошедшего с начала этапа (210):[0156] Thus, returning to FIG. 2A, at step (250) the values of the listed characteristics are calculated and stored in the database, after which, in any well-known way, for example, by comparing the system clock at the start of step (220) and at the current moment, the time Tr actually elapsed from the beginning is calculated. This iteration, then calculate the assessment of the time that has passed since the beginning of the stage (210):
[0157] Затем способ переходит к шагу (260), на котором проверяют, достигнута ли заранее заданная величина интервала времени t, сравнивая t и Ti. В том случае, если[0157] The method then proceeds to step (260) where it is checked whether a predetermined time interval t has been reached by comparing t and Ti. In case if
то есть заданный временной интервал еще не достигнут, выдерживают паузу dT, численно равную разности заранее заданной величиной шага (интервала между итерациями) ts и времени Tr, фактически прошедшего с начала данной итерации:that is, the specified time interval has not yet been reached, a pause dT is maintained, numerically equal to the difference between the predetermined step value (interval between iterations) ts and the time Tr that has actually elapsed since the beginning of this iteration:
после чего способ возвращается к этапу (220), на котором сканируют интернет и находят вебстраницы, содержащие полученное на этапе (210) по меньшей мере одно слово или словосочетание, характеризующее цель атаки на репутацию.after which the method returns to step (220), where the Internet is scanned and web pages are found that contain at least one word or phrase obtained in step (210) characterizing the target of the reputation attack.
[0158] В том случае, если[0158] In the event that
то есть заданный временной интервал достигнут, способ переходит к шагу (270).That is, a given time interval has been achieved, the method goes to the step (270).
[0159] На шаге (270) вычисляют на основании подсчитанных величин параметры, характеризующие вероятность наличия атаки на репутацию.[0159] In step (270), based on the calculated values, parameters characterizing the probability of having a reputation attack are calculated.
[0160] Как было упомянуто ранее, значения всех количественных характеристик, вычисляемых на шаге (250) сохраняют в базе данных в виде векторов, то есть последовательностей чисел. Например, в результате выполнения шагов (220)…(260) на протяжение заданного временного интервала t были вычислены пять значений для каждой из численного характеристик, названных в списке (2):[0160] As mentioned earlier, the values of all quantitative characteristics calculated in step (250) are stored in the database in the form of vectors, that is, sequences of numbers. For example, as a result of performing steps (220)…(260) over a given time interval t, five values were calculated for each of the numerical characteristics named in the list (2):
[0161] На шаге (270) в каждой последовательности, показанной в списке (3), вычисляют абсолютную D (в единицах) и относительную Dr (в процентах) разность между соседними значениями. Например, для последовательности, вычисленной для общего количества публикаций N:[0161] In step (270), in each sequence shown in list (3), the absolute D (in units) and relative Dr (in percent) difference between adjacent values is calculated. For example, for a sequence calculated for the total number of publications N:
в данном примере будут вычислены:This example will be calculated:
[0162] После вычисления всех значений абсолютной D и относительной Dr разности для каждой последовательности чисел (3), полученных для количественных характеристик (2), шаг (270) завершается и способ переходит к шагу (280).[0162] After calculating all absolute D and relative Dr difference values for each sequence of numbers (3) obtained for scores (2), step (270) ends and the method proceeds to step (280).
[0163] На шаге (280) определяют, превышает ли по меньшей мере одно из значений D и Dr заранее заданное для него пороговое значение.[0163] At step (280), it is determined whether at least one of the values D and Dr exceeds a predetermined threshold value for it.
[0164] Например, для численной характеристики Ndk, имеющей смысл общего количества публикаций на агрегаторах компромата, являющихся дублями друг друга, может быть задано пороговое значение 7 для абсолютной разности D, и пороговое значение 5% для относительной разности Dr.[0164] For example, for the numerical characteristic Ndk, which has the meaning of the total number of publications on compromising aggregators that are duplicates of each other, a threshold value of 7 for the absolute difference D, and a threshold value of 5% for the relative difference Dr can be set.
[0165] В то же время, для численной характеристики №, имеющей смысл количества публикаций, сделанных на рекламных площадках, может быть задано пороговое значение 3 для абсолютной разности D, и пороговое значение 6% для относительной разности Dr.[0165] At the same time, for the numerical characteristic No, meaning the number of publications made on advertising sites, a threshold value of 3 for the absolute difference D, and a threshold value of 6% for the relative difference Dr can be set.
[0166] Притом для численной характеристики Nd, имеющего смысл общего количества публикаций, являющихся дублями друг друга, может быть задано пороговое значение 95 для абсолютной разности D, и пороговое значение 20% для относительной разности Dr.[0166] Moreover, for the numerical characteristic Nd, meaning the total number of publications that are duplicates of each other, a threshold value of 95 for the absolute difference D, and a threshold value of 20% for the relative difference Dr can be set.
[0167] Иными словами, для каждой из названных (2) количественных характеристик могут быть заданы соответствующие ей пороговые значения для относительной и абсолютной разности.[0167] In other words, for each of the named (2) quantitative characteristics, the corresponding threshold values for the relative and absolute difference can be set.
[0168] Сами эти значения могут быть подобраны эмпирически на этапе настройки системы.[0168] These values themselves can be empirically selected at the system setup stage.
[0169] Если ни одно из значений D и Dr соответствующее ему пороговое значение не превышает, способ возвращается к этапу (220), на котором сканируют интернет и находят вебстраницы, содержащие полученное на этапе (210) по меньшей мере одно слово или словосочетание, характеризующее цель атаки на репутацию.[0169] If none of the D and Dr values corresponding to the threshold value does not exceed, the method returns to step (220), which scans the Internet and finds web pages that contain at least one word or phrase obtained in step (210) characterizing reputation attack target.
[0170] В другой возможной реализации описываемого способа в этом случае способ (200) завершается.[0170] In another possible implementation of the described method, in this case, the method (200) ends.
[0171] Еще в одной возможной реализации описываемого способа (не показано на Фиг. 2А) система, реализующая способ (200), формирует сообщение о том, что атака на репутацию по заданной цели не обнаружена и переходит к ожиданию дальнейших команд пользователя, например, ввода новых слов и\или словосочетаний, характеризующих цель атаки на репутацию.[0171] In another possible implementation of the described method (not shown in Fig. 2A), the system implementing the method (200) generates a message stating that a reputation attack on a given target was not detected and proceeds to wait for further user commands, for example, entering new words and/or phrases that characterize the target of an attack on reputation.
[0172] В том случае, если на шаге (280) определяют, что по меньшей мере одно из значений D и Dr превышает заранее заданное для него пороговое значение, то способ переходит к шагу (290).[0172] In the event that at step (280) it is determined that at least one of the values of D and Dr exceeds a predetermined threshold value for it, then the method proceeds to step (290).
[0173] На шаге (290) вычисляют, на основании подсчитанных величин, а именно значений абсолютной D и относительной Dr разности, для разных количественных параметров, оценок способа атаки и характера атаки. Кроме того, на данном этапе формируют и отправляют оповещение об атаке на репутацию, а также способе и характере ее осуществления.[0173] In step (290), one calculates, based on the calculated values, namely the absolute D and relative Dr difference values, for different quantitative parameters, estimates of the attack method and nature of the attack. In addition, at this stage, a notification is generated and sent about an attack on reputation, as well as the method and nature of its implementation.
[0174] Неограничивающий пример способа вычисления (300) оценок способа атаки и характера атаки будет описан ниже со ссылкой на Фиг. 3.[0174] A non-limiting example of a method for calculating (300) attack method and attack nature estimates will be described below with reference to FIG. 3.
[0175] Следует заметить, что алгоритм, показанный на Фиг. 3, в показанном виде использован только для простоты иллюстрации общего принципа; показанные на Фиг. 3 две[0175] It should be noted that the algorithm shown in FIG. 3, as shown, is used only for ease of illustration of the general principle; shown in FIG. 3 two
характеристики Nd (общее количество публикаций, являющихся дублями друг друга) и Nld (общее количество ссылок, являющихся дублями друг друга) также приведены для простоты иллюстрации и не ограничивают способ (300).characteristics Nd (total number of publications that are duplicates of each other) and Nld (total number of references that are duplicates of each other) are also given for ease of illustration and do not limit the method (300).
[0176] В реализации способа могут быть использованы все количественные характеристики, приведенные в списке (2). Кроме того, описываемый способ может также включать любые другие, кроме показанных на Фиг. 3, логические зависимости между перечисленными в списке (2) характеристиками и быть реализован с учетом любых наперед заданных соотношений между численными значениями приведенных в списке (2) количественных характеристик.[0176] In the implementation of the method, all the quantitative characteristics listed in the list (2) can be used. In addition, the described method may also include any other than those shown in FIG. 3, logical dependencies between the characteristics listed in the list (2) and be implemented taking into account any predetermined relationships between the numerical values of the quantitative characteristics listed in the list (2).
[0177] Аналогично, показанные на Фиг. 3 способы атаки, условно названные "Посев" и "Разгон", не составляют исчерпывающего перечня возможных способов атаки на репутацию, и приведены исключительно для примера. Описанный способ позволяет идентифицировать и выявить, без ограничений, любые известные специалистам в данной предметной области способы атаки на репутацию.[0177] Similarly, shown in FIG. 3 methods of attack, conditionally named "Sowing" and "Overclocking", do not constitute an exhaustive list of possible methods of attacking reputation, and are given solely as an example. The described method allows you to identify and identify, without limitation, any methods of attack on reputation known to specialists in this subject area.
[0178] Способ (300) начинается на этапе (310), на котором определяют, к каким количественным характеристикам из перечисленных в списке (2) относятся значения абсолютной D и\или относительной Dr разности, превысившие заранее заданный порог.[0178] The method (300) begins at step (310), which determines which of the quantitative characteristics listed in the list (2) are the values of the absolute D and/or relative Dr difference that exceeded a predetermined threshold.
[0179] Например, если порог превысила величина Nld, соответствующая общему количеству ссылок, являющихся дублями друг друга (320), то на этапе (340) атаке присваивают тип "Разгон". (Так может быть назван тип атаки, заключающейся в распространении по большому количеству веб-площадок одной и той же гиперссылки, ведущей на один материал, служащий для воздействия на целевую аудиторию).[0179] For example, if the threshold has exceeded the value of Nld, corresponding to the total number of links that are duplicates of each other (320), then at step (340) the attack is assigned the type "Overclocking". (This is how a type of attack can be called, which consists in spreading the same hyperlink over a large number of web sites leading to one material that serves to influence the target audience).
[0180] Затем способ переходит к этапу (360), на котором определяют, в зависимости от того, какая из величин D и Dr превысила порог, уровень атаки. В данном случае, если заданный порог превысило значение абсолютной разности D, то способ переходит к этапу (397), на котором атаке присваивают уровень "Предупреждение". В противном случае, если заданный порог превысило значение относительной разности Dr, то способ переходит к этапу (398), на котором атаке присваивают уровень "Угроза". После этого способ завершается.[0180] Then, the method proceeds to step (360), where it is determined, depending on which of the values D and Dr exceeded the threshold, the attack level. In this case, if the predetermined threshold has exceeded the value of the absolute difference D, then the method proceeds to step (397) where the attack is assigned a "Warning" level. Otherwise, if the predetermined threshold has exceeded the value of the relative difference Dr, then the method proceeds to step (398) where the attack is assigned a "Threat" level. After that, the method ends.
[0181] Если же на этапе (310) определяют, что порог превысила величина Nd, соответствующая общему количеству публикаций, являющихся дублями друг друга (330), то на следующем этапе (350) атаке присваивают тип "Посев". (Это тип атаки, смысл которой в распространении по большому количеству веб-площадок одного и того же текста, содержимое которого призвано воздействовать на целевую аудиторию).[0181] If at step (310) it is determined that the threshold has exceeded the value Nd, corresponding to the total number of publications that are duplicates of each other (330), then at the next step (350) the attack is assigned the type "Seeding". (This is a type of attack, the meaning of which is the distribution of the same text over a large number of web sites, the content of which is designed to influence the target audience).
[0182] Затем способ переходит к этапу (370), на котором определяют, в зависимости от того, какая из величин D и Dr превысила порог, уровень атаки. В данном случае, если заданный порог превысило значение абсолютной разности D, то способ переходит к этапу (398), на котором атаке присваивают уровень "Угроза". В противном случае, если заданный порог превысило значение относительной разности Dr, то способ переходит к этапу (399), на котором атаке присваивают наивысший уровень "Атака". После этого способ завершается.[0182] Then, the method proceeds to step (370), where it is determined, depending on which of the values D and Dr exceeded the threshold, the attack level. In this case, if the predetermined threshold has exceeded the value of the absolute difference D, then the method proceeds to step (398), where the attack is assigned a Threat level. Otherwise, if the predetermined threshold has exceeded the value of the relative difference Dr, then the method proceeds to step (399) where the attack is assigned the highest level "Attack". After that, the method ends.
[0183] Важно, что выбор на этапе (310) не является бинарным, как для простоты восприятия показано на Фиг. 3. На этом этапе может быть выбрано любое количество характеристик, из числа перечисленных в списке (2), соответствующие которым значения D и\или Dr превысили порог. Если оказались выбраны выбраны две, три или более характеристик, то последовательности действий, соответствующие этапам (320) и (330), выполняются одновременно.[0183] It is important that the selection in step (310) is not binary, as shown in FIG. 3. At this stage, any number of characteristics can be selected from among those listed in the list (2), corresponding to which the values of D and/or Dr have exceeded the threshold. If two, three or more characteristics are selected, then the sequences of actions corresponding to steps (320) and (330) are performed simultaneously.
[0184] Соответственно, такой атаке может быть присвоено несколько типов; применительно к Фиг. 3, например, атака может относиться одновременно к типам "Посев" и "Разгон".[0184] Accordingly, such an attack can be assigned several types; with reference to FIG. 3, for example, an attack can be simultaneously of the "Sowing" and "Acceleration" types.
[0185] Аналогично, возможна ситуация, когда атаке присваивают несколько разных уровней; применительно к Фиг. 3, например, могут быть присвоены уровни "Предупреждение" и "Атака". В такой ситуации система, реализующая описываемый способ, выбирает наивысший из присвоенных уровней, и использует его при формировании оповещения об атаке.[0185] Similarly, it is possible that the attack is assigned several different levels; with reference to FIG. 3, for example, levels "Warning" and "Attack" can be assigned. In such a situation, the system that implements the described method selects the highest of the assigned levels and uses it when generating an attack alert.
[0186] Как следует из Фиг. 3, возможна реализация описываемого способа, при которой оповещение об атаке на репутацию, которое является результатом работы описываемой системы, может иметь один из трех уровней важности: "Предупреждение", "Угроза", "Атака". Указанные уровни важности указывают на уровень интенсивности атаки.[0186] As shown in FIG. 3, it is possible to implement the described method, in which the notification of a reputation attack, which is the result of the operation of the described system, can have one of three levels of importance: "Warning", "Threat", "Attack". The severity levels indicated indicate the intensity level of the attack.
[0187] В другой возможной реализации (не показана на Фиг. 3) оповещение об атаке на репутацию может иметь численное выражение, характеризующее уровень интенсивности атаки, например, "Зафиксирована атака на [название цели атаки] с интенсивностью I=71%". Притом данное число I может быть получено, например, путем нормирования значений абсолютной D или относительной Dr разности какой-либо из характеристик, перечисленных в списке (2) к максимальному значению, найденному за заданный временной интервал t:[0187] In another possible implementation (not shown in Fig. 3), the reputation attack alert may have a numerical expression characterizing the level of intensity of the attack, for example, "Attack on [attack name] was detected with an intensity of I=71%". Moreover, this number I can be obtained, for example, by normalizing the values of the absolute D or relative Dr difference of any of the characteristics listed in list (2) to the maximum value found for a given time interval t:
[0188] или любым другим способом, опирающимся на численные значения перечисленных в списке (2) количественных характеристик, например, на вычисленные для каждого из них значения среднего арифметического за заданный временной интервал t, и т.д.[0188] or in any other way based on the numerical values of the quantitative characteristics listed in the list (2), for example, on the arithmetic mean values calculated for each of them over a given time interval t, etc.
[0189] Формирование и отправка оповещения может выполняться по меньшей мере одним из перечисленных способов: по электронной почте, посредством отправки SMS, посредством отправки MMS, посредством отправки push-уведомления, сообщением в программе обмена мгновенными сообщениями, посредством создания события API.[0189] Generating and sending an alert can be performed in at least one of the following ways: by email, by sending an SMS, by sending an MMS, by sending a push notification, by a message in an instant messaging program, by creating an API event.
[0190] Следует отметить, что использование такого средства оповещения, как события API, позволяет реализовать дополнительную интеграцию описываемой системы с различными сторонними инструментами, такими как платформы мониторинга общественного мнения, платформы управления безопасностью, SIEM-решения и так далее. Собственно формирование всех перечисленных оповещений, таких как электронные письма, SMS, MMS, push-уведомления и т.д. может быть выполнено любым общеизвестным образом.[0190] It should be noted that the use of such a notification tool as API events allows for additional integration of the described system with various third-party tools, such as public opinion monitoring platforms, security management platforms, SIEM solutions, and so on. The actual generation of all the listed alerts, such as emails, SMS, MMS, push notifications, etc. may be performed in any well-known manner.
[0191] На этом описываемый способ завершается.[0191] This completes the described method.
[0192] Еще в одной возможной реализации описываемого способа (не показано на Фиг. 2А) система, реализующая способ (200), после формирования и отправки оповещения переходит к ожиданию дальнейших команд пользователя, например, ввода новых слов и\или словосочетаний, характеризующих цель атаки на репутацию.[0192] In another possible implementation of the described method (not shown in Fig. 2A), the system implementing the method (200), after generating and sending an alert, proceeds to wait for further user commands, for example, entering new words and / or phrases that characterize the target reputation attacks.
[0193] Еще в одной возможной реализации описываемого способа (не показано на Фиг. 2А) система, реализующая способ (200), после формирования и отправки оповещения возвращается к шагу (220) и продолжает работу по описанному выше алгоритму.[0193] In another possible implementation of the described method (not shown in Fig. 2A), the system implementing the method (200), after generating and sending an alert, returns to step (220) and continues to work according to the algorithm described above.
[0194] На Фиг. 4 представлена пример общей схемы вычислительного устройства (400), обеспечивающего обработку данных, необходимую для реализации заявленного решения.[0194] In FIG. 4 shows an example of a general scheme of a computing device (400) that provides the data processing necessary to implement the claimed solution.
[0195] В общем случае устройство (400) содержит такие компоненты как один или более процессоров (401), по меньшей мере одно оперативное запоминающее устройство или память (402), средство хранения данных (403), интерфейсы ввода/вывода (404), средство В/В (405), средства сетевого взаимодействия или, что то же самое, передачи данных (406).[0195] In general, the device (400) includes such components as one or more processors (401), at least one random access memory or memory (402), a data storage medium (403), input/output interfaces (404), means of I/O (405), means of networking or, what is the same, data transmission (406).
[0196] Процессор (401) устройства выполняет основные вычислительные операции, необходимые для функционирования устройства (400) или функциональности одного или более его компонентов. Процессор (401) исполняет необходимые машиночитаемые команды, содержащиеся в оперативной памяти (402).[0196] The processor (401) of the device performs the basic computing operations necessary for the operation of the device (400) or the functionality of one or more of its components. The processor (401) executes the necessary machine-readable instructions contained in the main memory (402).
[0197] Память (402), как правило, выполнена в виде ОЗУ и содержит необходимую программную логику, обеспечивающую требуемую функциональность.[0197] The memory (402) is typically in the form of RAM and contains the necessary software logic to provide the required functionality.
[0198] Средство хранения данных (403) может выполняться в виде HDD, SSD дисков, рейд массива, сетевого хранилища, флэш-памяти, оптических накопителей информации (CD, DVD, MD, Blue-Ray дисков) и т.п.[0198] The data storage means (403) can be in the form of HDD, SSD disks, raid array, network storage, flash memory, optical storage media (CD, DVD, MD, Blue-Ray disks), etc.
[0199] Интерфейсы (404) представляют собой стандартные средства для подключения и работы с серверной частью, например, USB, RS232, RJ45, LPT, COM, HDMI, PS/2, Lightning, Fire Wire и т.п. Выбор интерфейсов (404) зависит от конкретного исполнения устройства (400), которое может представлять собой персональный компьютер, мейнфрейм, серверный кластер, тонкий клиент, смартфон, ноутбук и т.п.[0199] Interfaces (404) are standard means for connecting and working with the server part, for example, USB, RS232, RJ45, LPT, COM, HDMI, PS / 2, Lightning, Fire Wire, etc. The choice of interfaces (404) depends on the specific implementation of the device (400), which can be a personal computer, mainframe, server cluster, thin client, smartphone, laptop, and the like.
[0200] В качестве средств В/В данных (405) могут использоваться клавиатура, джойстик, дисплей (сенсорный дисплей), проектор, тачпад, манипулятор мышь, трекбол, световое перо, динамики, микрофон и т.п.[0200] The data I/O means (405) can be a keyboard, joystick, display (touchscreen), projector, touchpad, mouse, trackball, light pen, speakers, microphone, and the like.
[0201] Средства сетевого взаимодействия (406) выбираются из устройств, обеспечивающих прием и передачу данных по сети, например, Ethernet-карта, WLAN/Wi-Fi модуль, Bluetooth модуль, BLE модуль, NFC модуль, IrDa, RFID модуль, GSM модем и т.п. С помощью средств (406) обеспечивается организация обмена данными по проводному или беспроводному каналу передачи данных, например, WAN, PAN, ЛВС (LAN), Интранет, Интернет, WLAN, WMAN или GSM.[0201] Means of networking (406) are selected from devices that provide reception and transmission of data over the network, for example, an Ethernet card, WLAN / Wi-Fi module, Bluetooth module, BLE module, NFC module, IrDa, RFID module, GSM modem and so on. With the help of means (406) the organization of data exchange over a wired or wireless data transmission channel, for example, WAN, PAN, LAN (LAN), Intranet, Internet, WLAN, WMAN or GSM, is provided.
[0202] Компоненты устройства (400) сопряжены посредством общей шины передачи данных (410).[0202] The components of the device (400) are interfaced through a common data bus (410).
[0203] В заключение следует отметить, что приведенные в описании сведения являются только примерами, которые не ограничивают объем настоящего изобретения, описанного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующегося с сущностью и объемом настоящего изобретения.[0203] In conclusion, it should be noted that the information given in the description are only examples that do not limit the scope of the present invention described by the formula. A person skilled in the art will appreciate that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.
[0204] Примерные системы и способы, проиллюстрированные в данном документе, могут описываться с точки зрения компонентов функциональных блоков. Следует принимать во внимание, что такие функциональные блоки могут быть реализованы посредством любого числа аппаратных и/или программных компонентов, сконфигурированных с возможностью выполнять указанные функции. Например, система может использовать различные компоненты интегральной схемы, например, запоминающие элементы, элементы обработки, логические элементы, таблицы поиска и т.п., которые могут выполнять множество функций под управлением одного или более микропроцессоров либо других устройств управления. Аналогично, программные элементы системы могут реализовываться с помощью любого языка программирования или подготовки сценариев, такого как С, С++, С#, Java, JavaScript, VBScript, Macromedia Cold Fusion, COBOL, Microsoft Active Server Pages, язык ассемблера, Perl, PHP, AWK, Python, Visual Basic, хранимых процедур SQL, PL/SQL, любых сценариев оболочки UNIX и расширяемого языка разметки (XML), при этом различные алгоритм реализуются с любой комбинацией структур данных, объектов, процессов, процедур или других программных элементов.[0204] The exemplary systems and methods illustrated herein may be described in terms of functional block components. It should be appreciated that such functional blocks may be implemented by any number of hardware and/or software components configured to perform the specified functions. For example, the system may use various integrated circuit components such as memory elements, processing elements, logic elements, lookup tables, and the like, which may perform a variety of functions under the control of one or more microprocessors or other control devices. Likewise, the software elements of the system can be implemented using any programming or scripting language such as C, C++, C#, Java, JavaScript, VBScript, Macromedia Cold Fusion, COBOL, Microsoft Active Server Pages, assembly language, Perl, PHP , AWK, Python, Visual Basic, SQL stored procedures, PL/SQL, any UNIX shell script, and Extensible Markup Language (XML), with various algorithms being implemented with any combination of data structures, objects, processes, procedures, or other programming elements.
[0205] Кроме того, система выявления атаки на репутацию может работать на одном вычислительном устройстве, либо на нескольких, связанных между собой по сети. Дополнительно следует отметить, что система может использовать любое число традиционных технологий для передачи данных, передачи служебных сигналов, обработки данных, управления сетью и т.п.[0205] In addition, the reputation attack detection system can operate on one computing device, or on several connected via a network. Additionally, it should be noted that the system may use any number of conventional technologies for data transmission, signaling, data processing, network management, and the like.
[0206] В данном контексте под устройствами понимаются любые вычислительные устройства, построенные на базе программно-аппаратных средств, например, такие как: персональные компьютеры, серверы, смартфоны, ноутбуки, планшеты и т.д.[0206] In this context, devices are understood to mean any computing devices built on the basis of software and hardware, for example, such as: personal computers, servers, smartphones, laptops, tablets, etc.
[0207] В качестве устройства обработки данных может выступать процессор, микропроцессор, ЭВМ (электронно-вычислительная машина), ПЛК (программируемый логический контроллер) или интегральная схема, сконфигурированные для исполнения определенных команд (инструкций, программ) по обработке данных. Процессор может быть многоядерным, для параллельной обработки данных.[0207] The data processing device may be a processor, microprocessor, computer (electronic computer), PLC (programmable logic controller) or an integrated circuit configured to execute certain commands (instructions, programs) for processing data. The processor can be multi-core, for parallel processing of data.
[0208] В роли устройства памяти могут выступать, но не ограничиваясь, жесткие диски (HDD), флеш-память, ПЗУ (постоянное запоминающее устройство), твердотельные накопители (SSD) и т.д.[0208] The memory device can be, but is not limited to, hard disk drives (HDD), flash memory, ROM (Read Only Memory), Solid State Drives (SSD), etc.
[0209] Следует отметить, что в указанное устройство могут входить и любые другие известные в данном уровне техники устройства, например, такие как датчики, устройства ввода/вывода данных, устройства отображения (дисплеи) и т.п.Устройство ввода/вывода данных может представлять собой, но не ограничиваясь, например, манипулятор мышь, клавиатуру, тачпад, стилус, джойстик, трекпад и т.п.[0209] It should be noted that this device may include any other devices known in the prior art, for example, such as sensors, data input / output devices, display devices (displays), etc. The data input / output device may be, but not limited to, for example, a mouse, keyboard, touchpad, stylus, joystick, trackpad, etc.
[0210] В настоящих материалах заявки было представлено предпочтительное раскрытие осуществление заявленного технического решения, которое не должно использоваться как ограничивающее иные, частные воплощения его реализации, которые не выходят за рамки испрашиваемого объема правовой охраны и являются очевидными для специалистов в соответствующей области техники.[0210] In the present application materials, a preferred disclosure of the implementation of the claimed technical solution was presented, which should not be used as limiting other, private embodiments of its implementation, which do not go beyond the scope of the requested legal protection and are obvious to specialists in the relevant field of technology.
Claims (61)
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| NL2031046A NL2031046B1 (en) | 2021-08-27 | 2022-02-23 | System and method for detecting reputation attacks |
| US17/724,544 US20230068293A1 (en) | 2021-08-27 | 2022-04-20 | System and method for detecting reputation attacks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2789629C1 true RU2789629C1 (en) | 2023-02-06 |
Family
ID=
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130086677A1 (en) * | 2010-12-31 | 2013-04-04 | Huawei Technologies Co., Ltd. | Method and device for detecting phishing web page |
| RU2573760C2 (en) * | 2010-06-01 | 2016-01-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Declaration-based content reputation service |
| CN105324786A (en) * | 2013-04-11 | 2016-02-10 | 布兰德席德有限公司 | Device, system, and method of protecting brand names and domain names |
| RU2637477C1 (en) * | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | System and method for detecting phishing web pages |
| RU2740635C1 (en) * | 2020-03-04 | 2021-01-18 | Групп- Ай Би Глобал Прайвет Лимитед | Brand protection system and method based on search distribution |
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| RU2573760C2 (en) * | 2010-06-01 | 2016-01-27 | МАЙКРОСОФТ ТЕКНОЛОДЖИ ЛАЙСЕНСИНГ, ЭлЭлСи | Declaration-based content reputation service |
| US20130086677A1 (en) * | 2010-12-31 | 2013-04-04 | Huawei Technologies Co., Ltd. | Method and device for detecting phishing web page |
| CN105324786A (en) * | 2013-04-11 | 2016-02-10 | 布兰德席德有限公司 | Device, system, and method of protecting brand names and domain names |
| RU2637477C1 (en) * | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | System and method for detecting phishing web pages |
| RU2740635C1 (en) * | 2020-03-04 | 2021-01-18 | Групп- Ай Би Глобал Прайвет Лимитед | Brand protection system and method based on search distribution |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Duarte et al. | Mixed messages | |
| US11019107B1 (en) | Systems and methods for identifying violation conditions from electronic communications | |
| US9582571B2 (en) | Targeted message response | |
| US20130124192A1 (en) | Alert notifications in an online monitoring system | |
| JP6253984B2 (en) | System and method for reputation management of consumer sent media | |
| CA3041844C (en) | Systems and methods for event detection and clustering | |
| US8527596B2 (en) | System and method for monitoring activity of a specified user on internet-based social networks | |
| Gupta et al. | Characterizing pedophile conversations on the internet using online grooming | |
| US10013450B2 (en) | Using knowledge graphs to identify potential inconsistencies in works of authorship | |
| US9779388B1 (en) | Disambiguating organization names | |
| US11354340B2 (en) | Time-based optimization of answer generation in a question and answer system | |
| Brynielsson et al. | Analysis of weak signals for detecting lone wolf terrorists | |
| US20060053156A1 (en) | Systems and methods for developing intelligence from information existing on a network | |
| WO2008148819A2 (en) | Method and apparatus for the monitoring of relationships between two parties | |
| WO2013171758A2 (en) | System and method for creating structured event objects | |
| CN108829656B (en) | Data processing method and data processing device for network information | |
| US10565311B2 (en) | Method for updating a knowledge base of a sentiment analysis system | |
| CN112560483A (en) | Automatic detection of personal information in free text | |
| Nizamani et al. | CEAI: CCM-based email authorship identification model | |
| US10510014B2 (en) | Escalation-compatible processing flows for anti-abuse infrastructures | |
| Paudel et al. | Lambretta: learning to rank for Twitter soft moderation | |
| WO2022072908A1 (en) | Systems and methods for data objects for asynchronou workflows | |
| Al Marouf et al. | Looking behind the mask: A framework for detecting character assassination via troll comments on social media using psycholinguistic tools | |
| RU2789629C1 (en) | System and method for detection of information attack | |
| NL2031046B1 (en) | System and method for detecting reputation attacks |