СПОСОБ И СЕРВЕР ДЛЯ ПОИСКА СВЯЗАННЫХ СЕТЕВЫХ РЕСУРСОВ Российский патент 2019 года по МПК G06F15/00 G06F17/40 

Описание патента на изобретение RU2681699C1

Область техники

Настоящее техническое решение относится к области сетевых технологий, а именно к способам выявления связанных сетевых ресурсов, в частности, к выявлению потенциально вредоносных сетевых ресурсов.

Уровень техники

Один из примеров поиска связанных объектов в сети – обнаружение вредоносной инфраструктуры, используемой одной группой злоумышленников. Существует множество способов сокрытия хоста нарушителя: использование «сломанных» маршрутизаторов, многоуровневые системы прокси-серверов, шифрование канала передачи вредоносной информации, шифрование вредоносной информации, туннелирование и другие. Поэтому необходимы эффективные и универсальные инструменты кибербезопасности, позволяющие быстро определять сетевую инфраструктуру, связанную с интересующим объектом.

Обнаружить связь между сетевыми ресурсами можно по их уникальным идентификаторам. Пример таких идентификаторов – криптографические протоколы. Они широко используются для защиты передаваемых в сети данных и обеспечивают функции аутентификации источника данных, сторон передачи данных, конфиденциальность и целостность данных, невозможность отказа и разграничение доступа. Один из подходов к обнаружению скрытых узлов ботнетов основан на предпосылке, что злоумышленники используют стандартные криптографические протоколы. Такие протоколы реализуются поверх любого другого протокола прикладного уровня.

Широкое распространение получили криптографические протоколы SSL и SSH, часто используемые совместно с протоколом HTTP. Данные протоколы направлены на создание безопасного канала связи для передачи конфиденциальной или чувствительной информации. Оба протокола используют инфраструктуру открытых ключей (PKI - Public Key Infrastructure) – набор средств, распределённых служб и компонентов, в совокупности используемых для поддержки криптозадач на основе закрытого и открытого ключей.

Протокол SSH (Secure Shell) позволяет создавать безопасный канал связи для удаленной аутентификации с помощью логина и пароля, осуществлять безопасную переадресацию. Протокол SSH может предоставлять аутентификацию клиента по IP-адресу клиента, по публичному ключу клиента или посредством ввода пароля. После прохождения аутентификации одним из методов из имеющихся у клиента и сервера пар ключей генерируется ключ симметрического шифрования. Все последующие данные, передаваемые через SSH, шифруются данным ключом.

Протокол SSL (Secure Sockets Layer) обеспечивает защиту данных при их передаче в сети. SSL-сертификат включает информацию о владельце ключа, центре сертификации, открытом ключе и другую информацию. Процесс идентификации сервера и клиента включает по меньшей мере обмен приветственными сообщениями, содержащими сведения о версии протокола, идентификаторе сессии, способе шифрования и сжатия, отправку клиенту сертификата и ключа. Вместе с ключом передается отпечаток ключа – идентификатор ключа, который уникально определяет пару согласованных ключей. Отпечатком может быть, например, значение хеш-функции, вычисленное на основе открытого ключа.

Для организаций, использующих передачу данных на основе SSL/SSH сертификатов, изменение ключей аутентификации довольно ресурсоемко, поскольку включает значительное количество операций, выполняемых вручную. Написание собственных криптографических протоколов, отличных от выдаваемых сертифицирующими органами (certificate authority, CA), является сложной задачей. Зачастую собственные криптографические протоколы содержат большое количество уязвимостей и ошибок. По этим причинам многие организации используют долгое время одни и те же сертификаты, выданные сертифицирующим центром.

Согласно упомянутому выше, уникальные идентификаторы позволяют найти связи между сетевыми ресурсами. В описании настоящего изобретения идентификаторы используются как параметры для установления связей между сетевыми ресурсами, то есть поиска связанных сетевых ресурсов.

Связанные сетевые ресурсы также могут быть идентифицированы посредством сравнения регистрационных данных доменного имени, истории изменения IP-адресов, работающих сервисов, истории доменных имен, истории DNS-серверов, истории изменения DNS-записей и других параметров. Совпадение параметров сетевых ресурсов позволяет определить связи между сетевыми ресурсами, причем один ресурс может быть связан с другими ресурсами по одному или нескольким параметрам. Это позволяет решать следующие задачи: определение ботнетов, поиск связей между серверами, либо построения связей между двумя сетевыми ресурсами. Таким образом предлагаемое изобретение актуально не только для определения вредоносности сетевых ресурсов, но также для определения аффилированности сетевых ресурсов, например, для определения связей между двумя компаниями на основании связей между их сетевыми ресурсами.

В настоящем техническом решении предлагается способ, обеспечивающий возможность обнаружения связанных объектов сетевой инфраструктуры на основе информации о по меньшей мере одном из объектов указанной инфраструктуры.

Раскрытие

Техническим результатом предложенного изобретения является повышение точности поиска связанных сетевых ресурсов и уменьшение скорости вычисления. Также техническое решение в некоторых своих вариантах осуществления позволяет устранить ряд недостатков, присущих известному уровню техники. Варианты осуществления настоящего технического решения были разработаны с учетом определения разработчиками по меньшей мере одного технического недостатка, связанного с известным уровнем техники.

Первым объектом настоящего изобретения является способ для поиска связанных сетевых ресурсов, исполняемый на сервере, способ включает в себя: сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере первый сетевой ресурс и по меньшей мере второй сетевой ресурс; извлечение информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающей по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, построение связи между первым сетевым ресурсом и вторым сетевым ресурсом.

В одном из вариантов изобретения дополнительно оценивают актуальный интервал времени для параметра сетевого ресурса.

В одном из вариантов осуществления настоящего изобретения на этапе сканирования дополнительно находят по меньшей мере третий сетевой ресурс; на этапе извлечения информации дополнительно извлекают информацию о найденном по меньшей мере третьем сетевом ресурсе, включающую по меньшей мере один параметр третьего сетевого ресурса; дополнительно в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, и по меньшей мере один параметр второго сетевого ресурса совпадает с по меньшей мере одним параметром третьего сетевого ресурса, построение связи между первым сетевым ресурсом и третьим сетевым ресурсом.

Еще в одном из вариантов осуществления настоящего изобретения дополнительно получают информацию из истории о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе; на этапе построения связи учитывают информацию из истории о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающую по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; проводят сравнение информации из истории с извлеченной информацией о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе.

Еще в одном из вариантов осуществления настоящего изобретения извлеченная информация о найденных сетевых ресурсах, включает в себя по меньшей мере один параметр сетевого ресурса из следующих: доменное имя, IP-адрес, SSL-ключ, SSH-отпечаток, исполняемый файл, информацию о работающих сервисах, данные о владельце доменного имени, данные о владельце IP-адреса, адрес электронной почты, контактные данные владельца ресурса.

Еще в одном из вариантов осуществления настоящего изобретения параметр имеет одно или более значений.

Еще в одном из вариантов осуществления настоящего изобретения осуществляют построение связи между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом осуществляют путем создания математической модели в виде графа, причем вершины графа соответствуют по меньшей мере первому сетевому ресурсу и по меньшей мере второму сетевому ресурсу, а ребра графа представляют собой связи между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом по меньшей мере по одному параметру, общему для по меньшей мере первого сетевого ресурса и по меньшей мере второго сетевого ресурса.

Еще в одном из вариантов осуществления настоящего изобретения дополнительно задают пороговое значение количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами.

Еще в одном из вариантов осуществления настоящего изобретения осуществляют присвоение весов связям между по меньшей мере первым сетевым ресурсом и вторым сетевым ресурсом на основании параметра первого сетевого ресурса и второго сетевого ресурса.

Еще в одном из вариантов осуществления настоящего изобретения осуществляют определение коэффициента связи как отношение количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами и веса каждой связи по одному параметру между первым сетевым ресурсом и вторыми сетевыми ресурсами.

Еще в одном из вариантов осуществления настоящего изобретения указанное пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами задается пользователем.

Еще в одном из вариантов осуществления настоящего изобретения вес связи присваивает пользователь.

Еще в одном из вариантов осуществления настоящего изобретения указанное пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами задается с использованием алгоритма машинного обучения.

Еще в одном из вариантов осуществления настоящего изобретения вес связи присваивается с использованием алгоритма машинного обучения.

Еще в одном из вариантов осуществления настоящего изобретения при присвоении веса связи дополнительно учитывают дату и время, с которыми ассоциирована по меньшей мере часть информации о сетевых ресурсах.

Еще в одном из вариантов осуществления настоящего изобретения в зависимости от коэффициента связи, осуществляют удаление связей между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом.

Еще в одном из вариантов осуществления настоящего изобретения указанный по меньшей мере один параметр является предварительно заданным параметром.

Еще в одном из вариантов осуществления настоящего изобретения предложенный способ включает осуществление удаление связей между первым сетевым ресурсом и вторым сетевым ресурсом в зависимости от весов, присвоенных связям между указанными сетевыми ресурсами.

Еще в одном из вариантов осуществления настоящего изобретения предложенный способ включает осуществление удаления связей между первым сетевым ресурсом и вторым сетевым ресурсом при превышении пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами.

Еще в одном из вариантов осуществления настоящего изобретения предложенный способ включает удаление связей между оставшимися сетевыми ресурсами в зависимости от весов, присвоенных связям между оставшимися сетевыми ресурсами.

Вторым объектом настоящего изобретения является способ для поиска связанных сетевых ресурсов, исполняемый на сервере, способ включающий в себя: получение заданного четвертого сетевого ресурса; извлечение информации о заданном четвертом сетевом ресурсе, информации, включающей по меньшей мере один параметр четвертого сетевого ресурса; сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс и по меньшей мере шестой сетевой ресурс; извлечение информации о найденных по меньшей мере пятом сетевом ресурсе и по меньшей мере шестом сетевом ресурсе, информации, включающей по меньшей мере один параметр пятого сетевого ресурса и по меньшей мере один параметр шестого сетевого ресурса; в ответ на то, что по меньшей мере один параметр четвертого сетевого ресурса совпадает с по меньшей мере одним параметром пятого сетевого ресурса и/или шестого сетевого ресурса, построение связи между четвертым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом.

Еще в одном из вариантов осуществления настоящего изобретения дополнительно в ответ на то, что по меньшей мере один параметр пятого сетевого ресурса совпадает с по меньшей мере одним параметром шестого сетевого ресурса, построение связи между пятым сетевым ресурсом и шестым сетевым ресурсом.

Еще в одном из вариантов осуществления настоящего изобретения осуществляют: дополнительное получение заданного седьмого сетевого ресурса; извлечение информации о заданном седьмом сетевом ресурсе, включающем по меньшей мере один параметр седьмого сетевого ресурса; сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс и по меньшей мере шестой сетевой ресурс; в ответ на то, что по меньшей мере один параметр седьмого сетевого ресурса совпадает с по меньшей мере одним параметром пятого сетевого ресурса и/или шестого сетевого ресурса, построение связи между седьмым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом; в ответ на построение связи между четвертым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом и построение связи между седьмым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом, построение связи между седьмым сетевым ресурсом и четвертым сетевым ресурсом.

Еще в одном из вариантов осуществления настоящего изобретения извлеченная информация о найденных сетевых ресурсах, включает в себя по меньшей мере один параметр: доменное имя, IP-адрес, SSL-ключ, SSH-отпечаток, исполняемый файл, информацию о работающих сервисах, данные о владельце доменного имени, данные о владельце IP-адреса, адрес электронной почты, контактные данные владельца доменного имени.

Еще в одном из вариантов осуществления настоящего изобретения информация из истории о найденных сетевых ресурсах включает в себя по меньшей мере один параметр: историю изменения доменных имен; историю изменения IP-адресов, историю DNS-серверов, история изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история изменений владельцев доменного имени, история изменений владельцев IP-адреса, история изменений контактных данных владельца доменного имени.

Еще в одном из вариантов осуществления настоящего изобретения извлеченная информация о найденных сетевых ресурсах дополнительно включает в себя регистрационные данные доменного имени.

Еще в одном из вариантов осуществления настоящего изобретения по меньшей мере часть информации о сетевых ресурсах содержит по меньшей мере одну запись, ассоциированную со временем и датой.

Третьим объектом настоящего изобретения является сервер для поиска связанных сетевых ресурсов, выполненный с возможностью соединения с базой данных посредством сети передачи данных и содержит по меньшей мере следующее: интерфейс передачи данных для обмена данными посредством сети 102 передачи данных; память, включающую машиночитаемые инструкции; процессор, функционально соединенный с интерфейсом передачи данных и памятью, причем процессор при исполнении машиночитаемых инструкций выполнен с возможностью выполнения способа, включающего: сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере первый сетевой ресурс и по меньшей мере второй сетевой ресурс; извлечение информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающей по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, построение связи между первым сетевым ресурсом и вторым сетевым ресурсом.

В контексте настоящего описания, если конкретно не указано иное, слова «первый», «второй», «третий» и т.д. используются в виде прилагательных исключительно для того, чтобы отличать существительные, к которым они относятся, друг от друга, а не для целей описания какой-либо конкретной взаимосвязи между этими существительными.

В контексте настоящего описания термин «сетевой ресурс» означает любой элемент или комбинацию элементов всемирной сети, который(ые) потенциально может(ут) быть доступен(ны) посредством сети Интернет, то есть абсолютно любой элемент или комбинация элементов из всего объема виртуального пространства. Даже в случае хранения элемента в зашифрованном виде и на закрытом сервере, он является потенциально доступным, поэтому также представляет собой сетевой ресурс. В контексте настоящего описания «сетевой ресурс» подразумевает под собой любые данные или набор данных, которые могут предоставлены издателем через сеть, и которые связаны с адресом сетевого ресурса. Не ограничивающими примерами сетевых ресурсов являются HTML страницы, документы, изображения, видеозаписи, ленты новостей, или же множества вышеприведенных файлов. Сетевые ресурсы могут включать в себя контент, такой, например, как слова, фразы, изображения и т.д. и/или встроенную информацию, например, мета-данные, гиперссылки и/или встроенные инструкции (например, сценарии JavaScript).

В контексте настоящего описания, если четко не указано иное, «машиночитаемый носитель» и «память» подразумевает под собой носитель абсолютно любого типа и характера, не ограничивающие примеры включают в себя ОЗУ, ПЗУ, диски (компакт диски, DVD-диски, дискеты, жесткие диски и т.д.), USB-ключи, флеш-карты, твердотельные накопители и накопители на магнитной ленте.

В контексте настоящего описания «сервер» подразумевает под собой компьютерную программу, работающую на соответствующем оборудовании, которая способна получать запросы (например, от клиентских устройств) по сети и выполнять эти запросы или инициировать выполнение этих запросов. Оборудование может представлять собой один физический компьютер или одну физическую компьютерную систему, но ни то, ни другое не является обязательным для данного технического решения. В контексте настоящей технологии использование выражения «сервер» не означает, что каждая задача или какая-либо конкретная задача будет получена, выполнена или инициирована к выполнению одним и тем же сервером (то есть одним и тем же программным обеспечением и/или аппаратным обеспечением); это означает, что любое количество элементов программного обеспечения или аппаратных устройств может быть вовлечено в прием/передачу, выполнение или инициирование выполнения любого запроса или последствия любого запроса, связанного с клиентским устройством, и все это программное и аппаратное обеспечение может быть одним сервером или несколькими серверами, оба варианта включены в выражение «сервер». Функции сервера могут быть также реализованы на клиентском устройстве, в частности, в том случае, если указанное клиентское устройство связано с другим клиентским устройством.

В контексте настоящего описания, если конкретно не указано иное, «клиентское устройство» подразумевает под собой электронное устройство, связанное с пользователем и включающее в себя любое аппаратное устройство, способное работать с программным обеспечением, подходящим к решению соответствующей задачи. Таким образом, примерами клиентских устройств (среди прочего) могут служить персональные компьютеры (настольные компьютеры, ноутбуки, нетбуки и т.п.) смартфоны, планшеты, а также сетевое оборудование, такое как маршрутизаторы, коммутаторы и шлюзы. Следует иметь в виду, что компьютерное устройство, ведущее себя как клиентское устройство в настоящем контексте, может вести себя как сервер по отношению к другим клиентским устройствам. Использование выражения «клиентское устройство» не исключает возможности использования множества клиентских устройств для получения/отправки, выполнения или инициирования выполнения любой задачи или запроса, или же последствий любой задачи или запроса, или же этапов любого вышеописанного способа.

В контексте настоящего описания, если конкретно не указано иное, «информация» включает в себя любую информацию любого типа, включая информацию, которую можно хранить в базе данных. Таким образом, информация включает в себя, среди прочего, данные (адреса, идентификаторы, ключи шифрования и т.д.), историю изменения данных, документы, таблицы и т.д.

Другие задачи, отличительные особенности и преимущества настоящего технического решения более подробно рассмотрены в последующих разделах настоящего описания. При этом, однако, следует отметить, что подробное описание технического решения и рассмотренные в нем конкретные примеры некоторых предпочтительных вариантов возможного осуществления технического решения носят исключительно иллюстративный характер и не исключают различные возможные очевидные для специалистов модификации и усовершенствования в пределах объема формулы изобретения.

Нижеследующее описание представлено только как описание иллюстративного примера настоящего изобретения. Это описание не предназначено для определения объема или установления границ настоящего изобретения.

Краткое описание чертежей

Для лучшего понимания настоящего изобретения, а также других его аспектов и характерных черт приведено следующее описание со ссылками на прилагаемые чертежи, где:

на Фиг.1 изображено упрощенное схематическое представление системы согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.2 проиллюстрировано представления информации о сетевых ресурсах в базе данных согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.3а изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.3b изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.3c изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.4 изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.5 изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.6 изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.7 изображена блок-схема последовательности операций в способе поиска связанных сетевых ресурсов согласно одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.8 изображена блок-схема последовательности операций в способе поиска связанных сетевых ресурсов согласно еще одному неограничивающему варианту осуществления настоящего технического решения;

на Фиг.9 изображено схематичное представление связей сетевых ресурсов в виде графа согласно неограничивающему варианту осуществления настоящего технического решения;

на Фиг.10 изображено схематичное представление связей сетевых ресурсов в виде графа согласно одному неограничивающему варианту осуществления настоящего технического решения.

Осуществление

Некоторые полезные примеры модификаций описываемого способа и системы определения связанных сетевых ресурсов также могут быть охвачены нижеследующим описанием. Целью этого описания является также исключительно обеспечение понимания, а не определение объема и границ настоящей технологии. Представленные варианты осуществления не представляют собой исчерпывающий список, и специалистам в данной области техники понятно, что возможны и другие модификации. Кроме того, в настоящем описании могут быть не изложены какие-либо варианты осуществления настоящего изобретения, но это не означает, что эти варианты осуществления невозможны, и/или что- описанные варианты являются единственными вариантами осуществления настоящего изобретения. Специалисту в данной области техники понятно, что, скорее всего, это не так.

Кроме того, следует иметь в виду, что способ и система определения целевых связанных сетевых ресурсов представляют собой в некоторых конкретных проявлениях достаточно простые варианты осуществления настоящего технического решения, и в подобных случаях представлены здесь с целью облегчения понимания. Как будет понятно специалисту в данной области техники, многие варианты осуществления настоящей технологии будут обладать гораздо большей сложностью.

Настоящее техническое решение направлено на обнаружение целевых сетевых ресурсов, связанных между собой.

На Фиг. 1 изображено схематичное представление сканирующей системы 100 согласно одному неограничивающему варианту осуществления настоящего технического решения. В некоторых неограничивающих вариантах осуществления настоящего технического решения сканирующая система 100 может включать в себя сеть 102 передачи данных, сервер 104 и базу 110 данных.

В качестве сети 102 передачи данных может выступать, например, сеть Интернет или любая другая вычислительная сеть.

В еще одном неограничивающем варианте осуществления настоящего изобретения сканирующая система 100 может дополнительно включать активное сетевое оборудование (не показано) и клиентское устройство (не показано). В качестве активного сетевого оборудования могут быть использованы, например, маршрутизаторы, коммутаторы, шлюзы

В одном неограничивающем варианте осуществления настоящего изобретения аппаратные средства для обеспечения по меньшей мере частичного функционирования по меньшей мере одного целевого сетевого ресурса могут представлять собой по меньшей мере один сервер 104.

На сервере 104 реализован веб-робот 106 или краулер, выполняющий функцию сканирования сетевых ресурсов. Сервер 104 может дополнительно содержать планировщик задач (не показано), а также список условий сканирования сети (не показано).

Сервер 104 выполнен с возможностью обмена данными с базой 110 данных и сетью 102 передачи данных. Сервер 104 включает интерфейс передачи данных для передачи данных в сети 102 передачи данных.

Таким образом, сервер 104 выполнен с возможностью соединения с базой 110 данных посредством сети 102 передачи данных и включает по меньшей мере следующее: интерфейс передачи данных для обмена данными посредством сети 102 передачи данных; память, включающую машиночитаемые инструкции; процессор, функционально соединенный с интерфейсом передачи данных и памятью, и выполненный с возможностью при исполнении машиночитаемых инструкций выполнять следующие этапы: сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере первый сетевой ресурс и по меньшей мере второй сетевой ресурс; извлечение информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающей по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, построение связи между первым сетевым ресурсом и вторым сетевым ресурсом.

В одном неограничивающем варианте осуществления база 110 данных хранит информацию, связанную со множеством сетевых ресурсов. Дополнительно или опционально, как известно специалистам в данной области техники, база 110 данных может включать в себя одну или несколько баз данных, причем одна или несколько баз данных могут представлять собой одну или несколько отдельных баз данных (не изображены). Указанные отдельные базы данных могут являться частями той же самой физической базы данных или могут быть реализованы как самостоятельные физические единицы.

Система 100 выполнена с возможностью передачи данных между по меньшей мере одним сервером 104 и базой 110 данных.

На Фиг. 2 проиллюстрирован один из неограничивающих вариантов представления информации о сетевых ресурсах в базе 110 данных. Информация в базу данных может быть загружена изначально при выполнении предлагаемого способа, она также выполнена с возможностью пополнения в фоновом режиме при последующем выполнении предлагаемого способа. Таким образом, в базе 110 данных обеспечено не только хранение, но и возможность периодического обновления информации о сетевых ресурсах.

Информация в базе 110 данных может быть структурирована в виде таблицы 200, демонстрирующей взаимосвязь между по меньшей мере следующими параметрами таким образом, что каждому параметру сетевого ресурса, например, доменному имени 202, соответствует, например, по меньшей мере один из следующих параметров: IP-адрес 204, SSL-ключ 206, SSH-отпечаток 208, список 210 работающих сервисов, история 212 доменных имен, история 214 IP-адресов, история 216 DNS-серверов, история 218 владельцев доменного имени или IP-адреса. Параметры также могут включать ресурсные записи DNS, которые в тексте настоящей заявки также называются DNS-записи, которые представляют собой записи о соответствии имени и служебной информации в системе доменных имен. Типы ресурсных записей хорошо известны специалистам в данной области техники.

В рамках различных вариантов осуществления настоящего технического решения, список 210 работающих сервисов может включать запущенные сервисы на сетевом ресурсе, имеющем соответственное наименование доменного имени 202 и/или IP-адрес 204. В рамках различных вариантов осуществления настоящего технического решения, история 212 доменных имен может включать неограниченное количество доменных имен, соответствующих IP-адресу 204. В рамках различных вариантов осуществления настоящего технического решения, история 214 IP-адресов может включать неограниченное количество IP-адресов, соответствующих домену 202. В рамках различных вариантов осуществления настоящего технического решения, история 216 DNS-серверов может включать неограниченное количество DNS-серверов, соответствующих доменному имени 202 и/или IP-адресу 204. В рамках различных вариантов осуществления настоящего технического решения, история 220 владельцев доменного имени или IP-адреса может содержать фамилию, имя, отчество, e-mail, фактический адрес, юридический адрес, дату регистрации, дату перехода доменного имени или IP-адреса к другому владельцу.

В одном из неограничивающих вариантов осуществления настоящего технического решения сохранение информации в базу 110 данных происходит на основе результатов сканирования сети по доменным именам и IP-адресам. В одном из неограничивающих вариантов осуществления настоящего технического решения извлечение информации из базы 110 данных происходит с учетом информации по меньшей мере об одном заданном сетевом ресурсе. В качестве неограничивающего примера можно привести следующую иллюстрацию извлечения информации из базы 110 данных. Допустим, заданный сетевой ресурс имеет параметр IP-адресом 204. В этом случае из базы 110 данных извлекаются все записи, соответствующие указанному IP-адресу 204. Аналогичный пример можно привести для случая, когда заданный сетевой ресурс имеет параметры: доменное имя 202, SSL-ключ 206, SSH-отпечаток 208, исполняемый файл, список 210 работающих сервисов, история 212 доменных имен, история 214 IP-адресов, история 216 DNS-серверов, история 220 владельцев.

Получение информации о связях между сетевыми ресурсами, включающими по меньшей мере один сетевой ресурс и по меньшей мере еще один сетевой ресурс из множества сетевых ресурсов, является одной из задач настоящего изобретения. В контексте настоящего описания ко множеству сетевых ресурсов относятся сетевые ресурсы, связанные с по меньшей мере одним заданным сетевым ресурсом. В одном из неограничивающих вариантов осуществления настоящего изобретения информация о по меньшей мере одном заданном сетевом ресурсе может быть получена от пользователя. В другом неограничивающем варианте осуществления настоящего изобретения информация о по меньшей мере одном заданном сетевом ресурсе может быть получена из базы 110 данных.

На Фиг.3а изображено схематичное представление связей между сетевыми ресурсами с использованием математической модели в виде графа 300 согласно одному неограничивающему варианту осуществления настоящего технического решения. Сетевые ресурсы обозначены как 302, 3041, 3042, 3043, 3044 и представлены как вершины графа, а связи между ресурсами 302, 3041, 3042, 3043, 3044 представлены ребрами графа 302-3042, 302-3041, 3042-3043, 3042-3044. Сетевые ресурсы включают заданный сетевой ресурс 302, который связан с сетевыми ресурсами 3041, 3042, 3043, 3044 на основании информации, извлеченной при поиске. Причем целевые сетевые ресурсы 3041, 3042, 3043, 3044 образуют множество 304. В частности, извлеченная информация может быть представлена в виде параметра, а в зависимости от параметра связи может быть присвоен вес w, величина которого проставлена рядом с каждым ребром графа, например, связи 302-3042 присвоен вес 15, связи 3042-3043 присвоен вес 8, связи 3042-3044 присвоен вес 3, связи 302-3041 присвоен вес 24. Каждой связи может соответствовать по меньшей мере один параметр, например, связи 302-3042 могут соответствовать два общих параметра, например, IP-адрес и SSH отпечаток. Очевидно, связь между ресурсами может быть более, чем по двум параметрам, то есть количество параметров, общих для ресурсов 3042-3043, может быть гораздо больше, при этом параметры могут быть выбраны пользователем самостоятельно, либо параметры могут быть выбраны с использованием алгоритма машинного обучения.

Кроме того, параметры могут иметь более одного значения, например, параметр «контактные данные владельца доменного имени» может быть более иметь более частные значения, например, содержать только часть контактных данных владельца доменного имени, например, индекс или название улицы. При этом связи можно устанавливать, как по параметру «индекс», так и по параметру «название улицы». Возможно устанавливать связь по параметру «контактные данные владельца доменного имени» только по полному совпадению всех значений параметра, либо по совпадению значений параметра.

Связям между сетевыми ресурсами могут быть также присвоены веса, которые могут зависеть от конкретных параметров. В теории графов вес обычно является вещественным числом, которое в рассматриваемом варианте осуществления можно интерпретировать, например, как длину ребра графа. В рассматриваемом варианте осуществления вес ребра графа можно также интерпретировать как прочность связи между вершинами графа, означающими сетевые ресурсы. Веса могут быть также выбраны пользователем, либо с использованием алгоритма машинного обучения. Чем меньше вес связи, тем «слабее» эта связь, и тем меньше ее значение при принятии во внимание при нахождении связей между целевыми сетевыми ресурсами. В то же время вес связи может незначительно влиять при установлении связи между сетевыми ресурсами.

Рассмотрим подмножества Rm1, Rm3 и Rm4 (на чертеже не показано) ресурсов из множества 403 ресурсов. Например, связи по параметру «электронная почта» между ресурсом 3041 и подмножеством Rm1 связанных с ним ресурсов может быть присвоен вес 10, связи по параметру «SSL-ключ» между ресурсом 3043 и подмножеством Rm3 связанных с ним ресурсов может быть также присвоен вес 10, и связи по параметру «IP-адрес» между ресурсом 3044 и подмножеством Rm4 связанных с ним ресурсов может быть присвоен вес 3 (см. Таблицу 1). При этом подмножество Rm1 содержит 100 ресурсов, подмножество Rm3 содержит 300 ресурсов, и подмножество Rm4 содержит 10 ресурсов. Из таблицы видно, что несмотря на то, что изначально связям по параметрам «электронная почта» и «SSL-ключ» может быть присвоен относительно большой вес w, в данном случае w=10 для этих параметров, при выполнении способа поиска связанных ресурсов может быть обнаружено множество связей по этим параметрам. Если один ресурс связан с большим подмножеством ресурсов даже по сильному параметру, это не всегда означает действительно сильную связь. Таким образом, целесообразно ввести коэффициент K связи, выражающий отношение веса связи к количеству ресурсов, связанных с заданным сетевым ресурсом 302, то есть отражающий отношение качества к количеству.

Таблица 1.

R w P Rm K 3041 10 «электронная почта» 100 10/100=0,1 3043 10 «SSL ключ» 300 10/300=0,03 3044 3 «IP адрес» 10 3/10=0,3

Для ресурса 3041 с подмножеством ресурсов Rm1 коэффициент K связи составляет 0,1. Для ресурса 3043 с подмножеством ресурсов Rm3 коэффициент K связи составляет 0,03. Для ресурса 3044 с подмножеством ресурсов Rm4 коэффициент K связи составляет 0,3. При этом связи, имеющие наименьший коэффициент K связи могут быть удалены из графа, то есть не учитываться при построении связей.

Таким образом, наибольший коэффициент связи оказался по параметру «IP адрес», который изначально был сравнительно слабым параметром, связь по которому имела наименьший вес w=3.

Дополнительно, база 110 данных может хранить данные предыдущего сканирования сети. База 110 данных может хранить информацию о связях между ресурсами и параметрами, по которым эти ресурсы были связаны, а также о весах, присвоенных этим связям.

По меньшей мере один заданный сетевой ресурс R4, изображенный на графе 400 согласно Фиг.4 может быть задан путем указания по меньшей мере одного из следующих параметров: доменное имя, IP-адрес, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, историю изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история изменения владельцев доменного имени. Следует понимать, что количество заданных сетевых ресурсов не ограничено. В одной из неограничивающих реализаций настоящего технического решения множество сетевых ресурсов является подмножеством сетевых ресурсов, обнаруженных при сканировании сети.

В одном из неограничивающих вариантов осуществления настоящего технического решения по меньшей мере часть сетевых ресурсов из множества 404 сетевых ресурсов непосредственно связаны с по меньшей мере одним заданным сетевым ресурсом R4; по меньшей мере часть сетевых ресурсов R5, R6 из множества 404 сетевых ресурсов связано с по меньшей мере одним заданным сетевым ресурсом R4 через по меньшей мере один сетевой ресурс R4.

Специалисту в данной области техники очевидно, что пользователь или алгоритм машинного обучения могут менять параметры и их значения, а также переназначать веса связей в зависимости от параметров, по которым связаны сетевые ресурсы, либо вне зависимости от них.

На Фиг.3b изображено схематичное представление связей сетевых ресурсов в виде графа 320 согласно одному неограничивающему варианту осуществления настоящего технического решения. Этот граф имеет несколько разветвлений, например, ресурс N связан с ресурсом M по параметру Р1, а ресурс M, в свою очередь, по параметру Р2 связан с ресурсами K, L и X. Параметры могут иметь одно или более значений. Например, ресурс M связан с ресурсами K L и X по одному параметру P2 «контактные данные владельца доменного имени», но значения параметра P2 могут отличаться, так как значения контактных данных владельца доменного имени могут быть различными, что можно выразить через множество значений параметра, например, значения параметра P2 «почтовый адрес» могут быть следующие Р21 «проспект Науки» и Р22 «улица Правды» (не показаны).

В зависимости от конкретной ситуации, в которой требуется поиск связанных сетевых ресурсов. В частности, параметр «контактные данные владельца доменного имени» может быть определен достаточно широко, например, путем выбора индекса, города, и более частным образом могут быть заданы значения этого параметра, например, названия улиц.

Из Фиг.3b видно, что ресурсы K и L не имеют связей c другими ресурсами, кроме связи с ресурсом M, в то время как, ресурс X имеет множество связей с ресурсами Y1-Y100 по одному параметру Р2 с одним значением, то есть Р21, допустим параметр Р23 означает «площадь Мужества». Таким образом, Ресурс X связан с ресурсами Y1-Y100 по одному параметру P2 «контактные данные владельца доменного имени» и по одному его значению 3 «площадь Мужества».

По этому параметру Р23 имеется много ресурсов Y1-Y100, связанных с ресурсом X. Необязательно эти связи достаточно релевантные или уникальные. Аналогичная ситуация может возникнуть в случае, когда несколько сетевых ресурсов используют один облачный сервис. В этом случае параметр, по которому связаны сетевые ресурсы обычно бывает SSL ключ, то есть SSL ключ может совпадать у очень большого количества сетевых ресурсов, если они используют клонированные облачные машины. Другим примером может быть параметр «адрес электронной почты», поскольку часто при регистрации доменных имен указывается адрес электронной почты регистратора доменного имени, а адрес электронной почты владельца доменного имени не раскрывается. Таким образом, можно найти множество ресурсов, связанных друг с другом по параметру «адрес электронной почты», который не указывает на действительных владельцев доменных имен.

На Фиг.3b видно, что в графе 310 связи между ресурсом X и ресурсами Y1-Y100 представлены в большом количестве, и таким образом, целесообразно удалить, иными словами отсечь, связи между ресурсом Х и ресурсами Y1-Y100 по параметру Р23.

Следовательно, невозможно однозначно охарактеризовать такой параметр как подозрительный, и для исключения его влияния на выполнение способа поиска сетевых ресурсов согласно изобретению, желательно выполнить удаление связей между ресурсом X с ресурсами Y1-Y100 в графе, то есть не принимать во внимание связи ресурса X с ресурсами Y1-Y100. В этом случае целесообразно коэффициента связи K как отношения количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами и веса каждой связи по одному параметру между первым сетевым ресурсом и вторыми сетевыми ресурсами; в зависимости от коэффициента K связи могут быть удалены связи между сетевым ресурсом X и сетевыми ресурсами Y1-Y100. Благодаря этому обеспечено сокращение времени вычисления и экономии вычислительных ресурсов.

На Фиг.3c изображено схематичное представление связей сетевых ресурсов в виде графа 320 согласно еще одному неограничивающему варианту осуществления настоящего технического решения. В некоторых случаях невозможно определить непосредственные связи между ресурсами. На Фиг.3c проиллюстрирован случай, когда ресурс R1 связан с ресурсом R2 по параметру P3 «владелец доменного имени», то есть у ресурсов R1 и R2 общий владелец доменного имени. Ресурс R2 связан с ресурсом R3 по параметру P4 «IP адрес». Таким образом, ресурсы R1 и R3 связаны через ресурс R2. В некоторых случаях, в частности, если вес связей R1-R2 и R2-R3 достаточно высокий, то эта связь принимается во внимание для установления опосредованной, но достаточно сильной связи между ресурсами R1 и R3.

Следует понимать, что примеры, представленные на Фиг.3а-3c, приведены только в иллюстративных целях.

На Фиг.4 показан предварительно заданный четвертый сетевой ресурс R4, при этом в базе 110 данных хранится информация об этом заданном четвертом сетевом ресурсе R4, эта информация включает по меньшей мере один параметр четвертого сетевого ресурса R4, в частности это могут быть два параметра P45 и P46. Параметр P45 четвертого сетевого ресурса R4 совпадает с параметром P45 пятого сетевого ресурса R5, и параметр P46 четвертого сетевого ресурса R4 совпадает с параметром P46 шестого сетевого ресурса R6. Следовательно, возможно построить связь между четвертым сетевым ресурсом R4 и пятым сетевым ресурсом R5, и между четвертым сетевым ресурсом R4 и шестым сетевым ресурсом R6.

На Фиг.5 показан дополнительно к четвертому сетевому ресурсу R4 задан седьмой сетевой ресурс R7, при этом в базе 110 данных хранится информация об этом заданном седьмом сетевом ресурсе R7, эта информация включает по меньшей мере один параметр седьмого сетевого ресурса R7, в частности это могут быть два параметра P75 и P76. Параметр P75 седьмого сетевого ресурса R7 совпадает с параметром P75 пятого сетевого ресурса R5, и параметр P76 седьмого сетевого ресурса R7 совпадает с параметром P76 шестого сетевого ресурса R6. Следовательно, возможно построить связь между седьмым сетевым ресурсом R7 и пятым сетевым ресурсом R5, и связь между седьмым сетевым ресурсом R7 и шестым сетевым ресурсом R6. На основании этой связи возможно построить связь между четвертым сетевым ресурсом R4 и седьмым сетевым ресурсом R7.

На Фиг.6 рассмотрен случай, когда дополнительно к четвертому сетевому ресурсу R4 задан седьмой сетевой ресурс R7. При этом у седьмого сетевого ресурса R7 имеется только один параметр P75, совпадающий с параметром P75 пятого сетевого ресурса R5, и отсутствуют параметры, совпадающие с параметром P 76 шестого сетевого ресурса R6, и наоборот. В этом случае связи могут быть построены связи только между седьмым сетевым ресурсом R7 и пятым сетевым ресурсом R5, либо между седьмым сетевым ресурсом R7 и шестым сетевым ресурсом R6.

На Фиг. 7 изображена блок-схема способа 700 поиска связанных сетевых ресурсов согласно одному из вариантов осуществления настоящего технического решения. Способ 700 выполняется на сервере 104.

Этап 702 – сканирование сети с целью поиска сетевых ресурсов.

Способ 700 начинается на этапе 702, когда на сервере 104 инициируется сканирование сети веб-роботом 106. Причем на этапе 702 сканирования сети находят по меньшей мере первый сетевой ресурс R1 и по меньшей мере второй сетевой ресурс R2.

В частности, после сканирования сети возможно построение связей между сетевыми ресурсами по такому параметру, как доменное имя, IP-адрес, адрес электронной почты, номер телефона и т.п., также возможно использовать комбинацию параметров, чтобы построить связь между сетевыми ресурсами по комбинации сетевых параметров.

Сканирование сети включает систематический автоматический просмотр сети веб-роботом 106 с целью поиска связанных сетевых ресурсов. Веб-робот 106 получает команду от планировщика, содержащую критерии отнесения веб-ресурса к подозрительным, параметры, по которым должно быть выполнено сканирование, а также заданную область сети, в отношении которой должно быть выполнено сканирование.

В конкретном примере осуществления сканирование на этапе 702 осуществляется по параметру доменных имен и IP-адресов, но существуют и другие подходящие параметры, которые могут быть выбраны специалистом в данной области техники. Например, в одном из неограничивающих вариантов осуществления настоящего технического решения сканирование сети может производиться только по доменным именам, а в другом неограничивающем варианте - сканирование сети может производиться только по IP-адресам.

В частности, сканирование может производиться по информации о SSL-сертификатах, отпечатках SSH-ключей, запущенных на сетевых ресурсах серверах. При этом в базу 110 данных, содержащую историю о предварительно найденных сетевых ресурсах, периодически заносятся обновленные данные о доменные именах, любые новые полученные списки доменных имен. В некоторых неограничивающих вариантах осуществления сканирование сети может повторяться многократно, после чего информация о найденных сетевых ресурсах дополнительно сохраняется в базу 110 данных в виде истории о найденных сетевых ресурсах.

В то же время, в одном неограничивающем варианте осуществления настоящего технического решения сканирование сети может быть осуществлено без ограничения по каким-либо параметрам, либо с ограничением по количеству сетевых ресурсов, которые нужно найти в результате сканирования, например, один миллион ресурсов. При этом информация о каждом найденном ресурсе может быть занесена в базу 110 данных и сохранена в ней.

Этап 704 – извлечение информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе.

Способ продолжается на этапе 704, на котором выполняется извлечение информации о найденных сетевых ресурсах. Причем информация включает по меньшей мере один параметр первого сетевого ресурса R1 и по меньшей мере один параметр второго сетевого ресурса R2.

Информация о найденных сетевых ресурсах может содержать IP-адрес, доменное имя, SSL-ключ, SSH-отпечаток, информацию о работающих сервисах, историю доменных имен, историю IP-адресов, историю DNS-серверов, историю изменения DNS-записей, историю взаимодействия исполняемых файлов с сетевыми узлами, историю владельцев доменного имени/IP-адреса. Например, если сканирование сети производилось по доменным именам, то найденное доменное имя может содержать, например, информацию об IP-адресе, SSH-отпечаток.

В одном из неограничивающих примеров осуществления способа 700 информация о доменном имени может включать дополнительно регистрационные данные доменного имени.

В некоторых неограничивающих вариантах осуществления способа 700 регистрационные данные доменного имени могут включать адрес электронной почты, фамилию имя и отчество, дату рождения, номер телефона, почтовый адрес, паспортные данные физического лица, на которое он зарегистрирован. В другом неограничивающем примере осуществления способа 700 регистрационные данные доменного имени могут включать наименование организации, идентификационный номер налогоплательщика (ИНН), страну, адрес электронной почты, номер телефона, юридический адрес, почтовый адрес юридического лица, историю смены IP-адресов.

В некоторых неограничивающих вариантах осуществления способа 700 по меньшей мере часть параметров сетевых ресурсов содержит по меньшей мере одну запись, ассоциированную со временем и датой, еще одна часть параметров содержит по меньшей мере один из следующих параметров: информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени, история владельцев IP-адреса. Дополнительно может быть осуществлено сохранение информации о найденных сетевых ресурсах, извлеченной из сети, в базу данных 110. Причем каждый из найденных сетевых ресурсов в базе данных 110 ассоциирован по меньшей мере с одним из следующих параметров: IP-адрес, доменное имя, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, история изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменных имен/IP-адресов, история изменения контактных данных владельца доменного имени.

Сохранение информации возможно на любой известный из уровня техники машиночитаемый носитель.

В неограничивающем варианте осуществления, в частности, когда в базе 110 данных хранится информация о сетевых ресурсах в виде истории об изменении параметров сетевых ресурсов, этап 704 дополнительно включает определение актуального интервала времени для сетевого ресурса. Для разных сетевых ресурсов актуальный интервал времени может отличаться. В частности, в базе 110 данных хранится информация о сетевом ресурсе, которому соответствует параметр в виде доменного имени domain1.com, которое было зарегистрировано 1 января 2015 года, причем в том же году истек срок его регистрации и больше его никто не регистрировал. После регистрации IP-адрес, полученный по этому доменному имени, был следующий 111.111.111.111. Когда срок действия регистрации истек 1 января 2016, регистратор изменил его IP-адрес на следующий 222.222.222.222. Но теперь этот IP-адрес относится к «парковочной» странице, на которой опубликовано предложение купить это доменное имя, срок действия которого истек. Таким образом, в рассмотренном примере актуальным интервалом времени является срок действия доменного имени, то есть с 1 января 2015 по 1 января 2016 года. Следовательно, информация в базе 110 данных требует актуализации. Поэтому при сканировании сети учитывается актуальный интервал времени для конкретного сетевого ресурса, который также может быть увеличен или уменьшен. Благодаря тому, что при сканировании учитывается актуальный интервал времени для сетевого ресурса, обеспечивается также актуальность параметра IP-адреса.

Из вышеизложенного примера очевидно, что для разных параметров определение актуального интервала времени будет различаться.

Например, в случае, когда сканирование сетевых ресурсов происходит по параметру IP-адрес, актуальным интервалом времени является интервал, когда по этому IP-адресу определялись доменные имена, либо интервал, когда на данном сетевом ресурсе были запущены сервисы, либо интервал, когда сетевому ресурсу соответствует SSH-ключ.

В случае, когда сканирование сетевых ресурсов происходит по параметру SSL-сертификат, актуальным интервалом времени является интервал, начиная с момента, когда SSL-сертификат был обнаружен впервые, и заканчивая моментом, когда SSL-сертификат был обнаружен последний раз. В случае, когда сканирование сетевых ресурсов происходит по параметру SSH-ключ, актуальным интервалом времени является интервал, когда SSH-ключ был обнаружен впервые, и заканчивая моментом, когда сертификат был обнаружен последний раз.

Однако при проведении сканирования возможно указать конкретный интервал времени, который следует считать актуальным.

При выполнении способа согласно примеру осуществления возможно использовать базу 110 данных, в которую при первом и последующем сканировании сети загружается информация о сетевых ресурсах, включая любые параметры сетевых ресурсов. Например, в базе 110 данных содержится информация о сетевом ресурсе domain1.com, включая параметр «электронная почта», значение которого следующее «my_email_for_domains@mail.com». По значению параметра «электронная почта» - «my_email_for_domains@mail.com» на этапе 704 возможно получить сетевые ресурсы, например, все доменные имена, которые имеют такое же значение параметра «электронная почта». Аналогично возможно получить сетевые ресурсы, которые имеют такое же значение параметра «IP-адрес», «SSL-сертификат», «SSH-ключ», как те, что имеются в базе 110 данных. Таким образом, получены сетевые ресурсы, связанные по параметру «электронная почта.

Этап 706 – в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, построение связи между первым сетевым ресурсом и вторым сетевым ресурсом.

В одном из неограничивающих вариантов осуществления настоящего изобретения выполняют, в ответ на то, что по меньшей мере один параметр первого сетевого ресурса R1 совпадает с по меньшей мере одним параметром второго сетевого ресурса R2, построение связи между первым сетевым ресурсом R1 и вторым сетевым ресурсом R2.

В некоторых вариантах осуществления настоящего технического решения далее способ 700 заканчивается.

Дополнительно способ 700 может включать следующие действия: на этапе 702 сканирования дополнительно находят по меньшей мере третий сетевой ресурс R3; на этапе 704 извлечения информации дополнительно извлекают информацию о найденном по меньшей мере третьем сетевом ресурсе R3, включающую по меньшей мере один параметр третьего сетевого ресурса R3; дополнительно в ответ на то, что по меньшей мере один параметр первого сетевого ресурса R1 совпадает с по меньшей мере одним параметром второго сетевого ресурса R2, и по меньшей мере один параметр второго сетевого ресурса R2 совпадает с по меньшей мере одним параметром третьего сетевого ресурса R3, построение связи между первым сетевым ресурсом R1 и третьим сетевым ресурсом R3. Таким образом, происходит построение связи между первым сетевым ресурсом R1 и третьим сетевым ресурсом R3, в случае, если связь между ними опосредованная через сетевой ресурс R2.

Согласно Фиг.3с ресурс R1 связан с ресурсом R2 по параметру P3 «владелец доменного имени», то есть у ресурсов R1 и R2 общий владелец доменного имени. Ресурс R2 связан с ресурсом R3 по параметру P4 «IP адрес». Таким образом, ресурсы R1 и R3 связаны через ресурс R2. В этом случае выполняется установление опосредованной связи между ресурсами R1 и R3.

Альтернативно или дополнительно способ 700 может включать следующие действия: дополнительно получают информацию из истории о найденных по меньшей мере первом сетевом ресурсе R1 и по меньшей мере втором сетевом ресурсе R2; на этапе построения связи учитывают информацию из истории о найденных по меньшей мере первом сетевом ресурсе R1 и по меньшей мере втором сетевом ресурсе R2, включающую по меньшей мере один параметр первого сетевого ресурса R1 и по меньшей мере один параметр второго сетевого ресурса R2; проводят сравнение информации из истории с извлеченной из базы 110 данных информацией о найденных по меньшей мере первом сетевом ресурсе R1 и по меньшей мере втором сетевом ресурсе R2.

В контексте настоящего описания «по меньшей мере часть информации из истории» может представлять собой одну запись или несколько записей. Например, по меньшей мере часть истории владельцев IP-адреса может содержать информацию только об одном владельце IP-адреса, владельце, отличающемся от текущего владельца указанного IP-адреса.

В некоторых неограничивающих вариантах осуществления способа 700 часть параметров сетевых ресурсов может включать по меньшей мере один параметр сетевого ресурса.

В контексте настоящего описания, если явно не указано другое, под извлеченной информацией может подразумеваться по меньшей мере следующее: доменное имя, IP-адрес, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, историю изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени, история владельцев IP-адреса.

В контексте настоящего описания под записью подразумевается часть информации, ассоциированная со временем и датой. В неограничивающем иллюстративном примере в качестве записи может выступать фамилия физического лица, владеющего доменным именем в заданный период времени.

На этапе 706 дополнительно оценивается количество сетевых ресурсов, связанных по общему параметру сетевого ресурса. Если IP-адрес сетевого ресурса R1 в некоторый заданный период времени связан таким количеством сетевых ресурсов R2-Rn, которое превышает некоторое предварительно заданное пороговое количество TR сетевых ресурсов, в этом случае связями между сетевым ресурсом R1 и сетевыми ресурсами R2-Rn по этому параметру можно пренебречь по следующей причине. Допустим, для параметра IP-адрес предварительно задали пороговое количество сетевых ресурсов равное двум сотням, т.е. TR=200, при этом в ходе сканирования найдено более пяти тысяч сетевых ресурсов, связанных по этому параметру, т.е. TR<5000. Это может означать, что сервер представляет собой совместный хостинг, используемый сразу многими пользователями. Такие связи между сетевыми ресурсами могут быть недостаточно информативными, то есть может оказаться, что между сетевыми ресурсами существует связь только по одному этому параметру, а связей по другим общим для сетевых ресурсов параметрам между ресурсами не существует. Если связь между сетевыми ресурсами имеется более, чем по одному параметру, и количество общих для сетевых ресурсов параметров велико, то связь между сетевыми ресурсами более тесная.

Аналогично в отношении параметра «электронная почта». Если электронная почта, которая относится к сетевому ресурсу, связана таким с количеством сетевых ресурсов, которое превышает некоторое предварительно заданное пороговое количество TR сетевых ресурсов, это может означать, что, эти сетевые ресурсы принадлежат регистратору или посреднику между регистратором и покупателем. Допустим, для этого параметра предварительно задали пороговое количество сетевых ресурсов равное двум сотням, т.е. TR=200, при этом в ходе сканирования найдено более десяти тысяч сетевых ресурсов, связанных по этому параметру, т.е. TR<10000.

Аналогично в отношении параметра «SSH-ключ». Если конкретный SHH-ключ был найден на таком количестве сетевых ресурсов, которое превышает некоторое предварительно заданное пороговое количество TR сетевых ресурсов, это может означать, что это клонированные сетевые ресурсы. Допустим, для этого параметра предварительно задали пороговое количество сетевых ресурсов равное двум сотням, т.е. TR=200, при этом в ходе сканирования найдено более пяти сотен тысяч сетевых ресурсов, связанных по этому параметру, т.е. TR<500000.

Если рассмотренные связи обнаружены между сетевыми ресурсами, то ими можно пренебречь. Например, если задано некоторое пороговое количество TR сетевых ресурсов, связанных по общему параметру, то при превышении этого порогового количества TR сетевых ресурсов, этим общим для них параметром следует пренебречь, иными словами удалить эти связи.

Кроме того, в предлагаемом способе допускается многократное выполнение этапов 702 – 706. Иными словами, эти этапы возможно проводить итеративно, причем чем больше количество итераций, тем больше связей можно найти между сетевыми ресурсами. В этом случае, если при первом сканировании для сетевых ресурсов найден общий параметр, превышающий пороговое количество TR сетевых ресурсов, использовать его на последующих итерациях не целесообразно, поскольку это может приводить к построению «ложных» связей между сетевыми ресурсами. При этом специалисту в данной области понятно, что с количеством итераций возрастает вероятность получения ложных связей между сетевыми ресурсами.

Дополнительно в способе 700 возможно объединение всех связанных сетевых ресурсов и представление объединенных сетевых ресурсов путем создания математической модели в виде графа. Построение графа означает построение связей между сетевыми ресурсами, причем при построении графа к каждому параметру сетевого ресурса применяется актуальный интервал времени следующим образом. Например, в базе 110 данных содержится информация о том, что по IP-адресу 111.111.111.111 находится сетевой ресурс domain1.com, затем применяется актуальный интервал времени для параметра «IP-адрес» этого сетевого ресурса, например, 1 января 2017 – 1 января 2018, соответствующий текущему временному периоду, которому соответствуют актуальные данные владельца ресурса.

Согласно неограничивающему варианту осуществления технического решения при построении графа может быть учтена дополнительная оценка количества сетевых ресурсов, связанных по общему параметру с учетом предварительно заданного порогового количества TR сетевых ресурсов, связанных с найденным сетевым ресурсом, и удаление этих связей.

Далее, построение графа может включать определение коэффициента связи K как отношение количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами и веса каждой связи по одному параметру между первым сетевым ресурсом и вторыми сетевыми ресурсами; в зависимости от коэффициента K связи, осуществление удаления связей между по меньшей мере первым сетевым ресурсом R1 и по меньшей мере вторым сетевым ресурсом R2. В одном неограничивающем варианте осуществления предлагаемого способа может быть удалена «гроздь» связей, имеющих наименьший коэффициент. В качестве неограничивающего примера можно установить пороговое значение T как сотые доли, либо как тысячные доли; и если коэффициент K связи меньше порогового значения T, то связями между одним ресурсом и множеством ресурсов можно пренебречь.

Таким образом, в неограничивающем варианте осуществления удаления связей между сетевыми ресурсами происходит несколько раз: с применением порогового количества TR сетевых ресурсов, а также с применением коэффициента К связи, причем при применении коэффициента связи K во внимание принимаются только те связи, которые остались после удаления связей с применением порогового количества TR сетевых ресурсов.

Согласно Фиг.3b в графе 300 связи по параметру Р23 между ресурсом X и ресурсами Y1-Y100 представлены в большом количестве, причем вес параметра w=3 и таким образом, коэффициент K связи составляет 0,03, а пороговое значение T=0,05, K<T. Связи между сетевыми ресурсами, у которых коэффициент связи меньше порогового значения, считаются «слабыми» связями. Следовательно, целесообразно удалить, иными словами отсечь, связи между ресурсом Х и ресурсами Y1-Y100, как «слабую» связь. Благодаря этому обеспечено сокращение времени вычисления и экономии вычислительных средств.

Среди «слабых» связей также могут быть связи, построенные на основе параметров сетевых ресурсов, которые могут быть поддельными. В частности, к таким связям относятся регистрационные данные сетевого ресурса, данные SSL-сертификата. Причем для разных сетевых ресурсов существует набор параметров, которые возможно и невозможно подделать. «Сильными» связями считаются связи по таким параметрам сетевых ресурсов, которые невозможно подделать. В неограничивающем примере осуществления настоящего технического решения, принято, что чем больший вес присвоен связи, тем «сильнее» связь, и наоборот, чем меньший вес присвоен связи, тем она «слабее».

На фиг. 9 и 10 проиллюстрирован случай, в котором целесообразно удаление связей между сетевыми ресурсами при использовании математической модели в виде графа.

На графе согласно фиг. 9 изображено схематическое представление связей между сетевыми ресурсами R1, R2, R3, R4, R5 и R6 с использованием математической модели в виде графа 900. Сетевые ресурсы обозначены как R1, R2, R3, R4, R5 и R6 и представлены как вершины графа, а связи между ресурсами R1, R2, R3, R4, R5 и R6 представлены ребрами графа R1-R2, R1-R3, R2-R4, R3-R4, R3-R5, R3-R6.

Между сетевым ресурсом R1 и сетевым ресурсом R2 существует связь по параметру Р1 «электронная почта», на основании которого связи присвоен вес w1=11; между сетевым ресурсом R1 и сетевым ресурсом R3 существует связь по параметру Р2 «доменное имя», на основании которого связи присвоен вес w2=3; между сетевым ресурсом R3 и сетевыми ресурсами R4, R5, R6 существует связь по параметру Р4 «доменное имя», которому присвоен вес w3=10; сетевой ресурс R2 связан с сетевым ресурсом R4 по параметру Р3 «ns-сервер», на основании которого связи присвоен вес w2=3. Значения весов w1 и w3 значительно превышают значения веса w2, следовательно, связи между сетевыми ресурсами R1 и R2; R3 и R4; R3 и R5; R3 и R6, являются «сильными». Вес w2 наименьший, следовательно, связь между сетевыми ресурсами R1 и R3 является «слабой» связью и может быть удалена из графа.

На Фиг. 10 проиллюстрирован граф 1000, на котором отсутствует ребро R1-R3, но остается ребро R2-R4. Связь между сетевыми ресурсами R2 и R4 остается, но она также является «слабой» связью на основе параметра Р3 «ns-сервер», по которому этой связи присвоен вес w2=3.

Далее, после того, как одна связь между сетевыми ресурсами, представленная ребром R1-R3, удалена из графа, может быть осуществлена переоценка связей между сетевыми ресурсами. При такой переоценке связь между сетевыми ресурсами R2 и R4, то есть ребро R2-R4, также может быть удалено из графа, поскольку ребро R2-R4 имеет малый вес, а остальные ребра R3-R4, R5-R4, R6-R4, соединенные с R4 имеют большой вес. Переоценка связей представляет собой пересмотр оставшихся связей, какие из них являются «сильными», а какие «слабыми». Таким образом, на графе останется только ребро R1-R2, поскольку сетевой ресурс R1 и сетевой ресурс R2 имеют связь по параметру Р1 «электронная почта», на основании которого связи присвоен максимальный вес w1=11. В результате удаления ребра R2-R4, совокупность сетевых ресурсов R3, R4, R5 и R6 оказывается полностью удаленной из графа, несмотря на то, что вес w3, связывающий эти сетевые ресурсы значительно превышает вес w2.

По совокупности сетевых ресурсов R3, R4, R5 и R6 может быть построен отдельный граф, в котором будут выстроены связи между сетевыми ресурсами R3, R4, R5 и R6 и другими связанными с ними сетевыми ресурсами. Если бы все связи на графе имели приблизительно одинаковый вес, их можно было бы оставить и рассматривать,

Согласно еще одному варианту осуществления способ 800 поиска связанных сетевых ресурсов происходит с учетом уже известного сетевого ресурса, например, четвертого сетевого ресурса. Для способа 800 актуальны все дополнительные этапы и случаи, изложенные в отношении способа 700

Способ 800 поиска связанных сетевых ресурсов включает следующие этапы согласно Фиг.8:

Этап 802 - получение заданного четвертого сетевого ресурса.

Способ 800 начинается на этапе 802, когда получают заданный четвертый сетевой ресурс R4, относительно которого сканируют сеть с целью поиска связанных с ним ресурсов.

В некоторых неограничивающих вариантах осуществления настоящего технического решения заданный по меньшей мере один сетевой ресурс задается пользователем. Заданный сетевой ресурс может представлять собой ресурс, интересный с точки зрения поиска связанных с ним ресурсов. Например, в способе 800 может быть задан новостной ресурс с целью определения связей его с другими новостными ресурсами, либо с блогами, онлайн-магазинами, поставщиками рекламы.

Этап 804 - извлечение информации о заданном четвертом сетевом ресурсе, включающей по меньшей мере один параметр четвертого сетевого ресурса.

В целом этап 804 аналогичен этапу 704 способа 700. Информацию извлекают из заданного четвертого сетевого ресурса R4, причем информация включает по меньшей мере один параметр четвертого сетевого ресурса R4, в частности это могут быть два параметра P45 и P46.

Информация о найденных сетевых ресурсах может содержать IP-адрес, доменное имя, SSL ключ, SSH отпечаток, информацию о работающих сервисах, историю доменных имен, историю IP-адресов, историю DNS-серверов, историю изменения DNS-записей, историю взаимодействия исполняемых файлов с сетевыми узлами, историю владельцев доменного имени/IP-адреса. Например, если сканирование сети производилось по доменным именам, то найденное доменное имя может содержать, например, информацию об IP-адресе, SSH отпечаток.

В одном из неограничивающих примеров осуществления способа 700 информация о доменном имени может включать дополнительно регистрационные данные доменного имени.

В некоторых неограничивающих вариантах осуществления способа 700 регистрационные данные доменного имени могут включать адрес электронной почты, фамилию имя и отчество, дату рождения, номер телефона, почтовый адрес, паспортные данные физического лица, на которое он зарегистрирован. В другом неограничивающем примере осуществления способа 700 регистрационные данные доменного имени могут включать наименование организации, идентификационный номер налогоплательщика (ИНН), страну, адрес электронной почты, номер телефона, юридический адрес, почтовый адрес юридического лица.

В некоторых неограничивающих вариантах осуществления способа 700 по меньшей мере часть параметров сетевых ресурсов содержит по меньшей мере одну запись, ассоциированную со временем и датой, еще одна часть параметров содержит по меньшей мере один из следующих параметров: информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени, история владельцев IP-адреса.

Дополнительно может быть осуществлено сохранение информации о найденных сетевых ресурсах, извлеченной из сети, в базу данных 110. Причем каждый из найденных сетевых ресурсов в базе данных 110 ассоциирован по меньшей мере с одним из следующих параметров: IP-адрес, доменное имя, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, изменения DNS-записей, история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени/IP-адреса.

Сохранение информации возможно на любой известный из уровня техники машиночитаемый носитель.

Этап 806 - сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс и по меньшей мере шестой сетевой ресурс.

Этап 806 в целом аналогичен этапу 702 способа 700. При этом находят по меньшей мере пятый сетевой ресурс R5 и по меньшей мере шестой сетевой ресурс R6.

Этап 808 - извлечение информации о найденных по меньшей мере пятом сетевом ресурсе и по меньшей мере шестом сетевом ресурсе.

Способ продолжается на этапе 808, который в целом аналогичен этапу 704 способа 700. При этом информации, включающей по меньшей мере один параметр пятого сетевого ресурса R5, например, параметр P45, и по меньшей мере один параметр шестого сетевого ресурса R6, например, параметр P46.

Этап 810 - в ответ на то, что по меньшей мере один параметр четвертого сетевого ресурса совпадает с по меньшей мере одним параметром пятого сетевого ресурса и/или шестого сетевого ресурса, построение связи между четвертым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом.

Способ продолжается на этапе 808, который в целом аналогичен этапу 706 способа 700. В одном из неограничивающих вариантов осуществления настоящего изобретения, в ответ на то, что по меньшей мере один параметр P46 четвертого сетевого ресурса R4 совпадает с по меньшей мере одним параметром P46 шестого сетевого ресурса R6 и/или с по меньшей мере одним параметром пятого сетевого ресурса R5, выполняют построение связи между четвертым сетевым ресурсом R4 и пятым сетевым ресурсом R6 и/или шестым сетевым ресурсом R5.

Согласно Фиг.4 предварительно задан четвертый сетевой ресурс R4, при этом в базе 110 данных хранится информация об этом заданном четвертом сетевом ресурсе R4, эта информация включает по меньшей мере один параметр четвертого сетевого ресурса R4, в частности это могут быть два параметра P45 и P46. Параметр P45 четвертого сетевого ресурса R4 совпадает с параметром P45 пятого сетевого ресурса R5, и параметр P46 четвертого сетевого ресурса R4 совпадает с параметром P46 шестого сетевого ресурса R6. Следовательно, возможно построить связь между четвертым сетевым ресурсом R4 и пятым сетевым ресурсом R5, и между четвертым сетевым ресурсом R4 и шестым сетевым ресурсом R6.

Возможен случай, когда у четвертого сетевого ресурса R4 имеется только один параметр P45, совпадающий с параметром P45 пятого сетевого ресурса R5, отсутствуют параметры, совпадающие с параметром P46 шестого сетевого ресурса R6, и наоборот. В этом случае связи могут быть построены только между четвертым сетевым ресурсом R4 и пятым сетевым ресурсом R5, либо между четвертым сетевым ресурсом R4 и шестым сетевым ресурсом R6.

Дополнительно способ 800 включает в ответ на то, что по меньшей мере один параметр P56 пятого сетевого ресурса R5 совпадает с по меньшей мере одним параметром P56 шестого сетевого ресурса R6, построение связи между пятым сетевым ресурсом R5 и шестым сетевым ресурсом R6, что также отражено на Фиг.4.

Дополнительно способ 800 включает следующие действия: дополнительное получение заданного седьмого сетевого ресурса R7, по аналогии с этапом 802; извлечение информации по аналогии с этапом 804 о заданном седьмом сетевом ресурсе R7, включающей по меньшей мере один параметр, в частности два параметра P75 и P76, седьмого сетевого ресурса R7; сканирование сети с целью поиска сетевых ресурсов по аналогии с этапом 806, причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс R5 и по меньшей мере шестой сетевой ресурс R6.

Далее, в ответ в ответ на то, что по меньшей мере один параметр седьмого сетевого ресурса совпадает с по меньшей мере одним параметром пятого сетевого ресурса и/или шестого сетевого ресурса, построение связи между седьмым сетевым ресурсом и пятым сетевым ресурсом и/ или шестым сетевым ресурсом

Согласно Фиг.5 когда дополнительно к четвертому сетевому ресурсу R4 задан седьмой сетевой ресурс R7 при этом в базе 110 данных хранится информация об этом заданном седьмом сетевом ресурсе R7, эта информация включает по меньшей мере один параметр седьмого сетевого ресурса R7, в частности это могут быть два параметра P75 и P76. Параметр P75 седьмого сетевого ресурса R7 совпадает с параметром P75 пятого сетевого ресурса R5, и параметр P76 седьмого сетевого ресурса R7 совпадает с параметром P76 шестого сетевого ресурса R6. Следовательно, возможно построить связь между седьмым сетевым ресурсом R7 и пятым сетевым ресурсом R5, и связь между седьмым сетевым ресурсом R7 и шестым сетевым ресурсом R6. На основании этой связи возможно построить связь между четвертым сетевым ресурсом R4 и седьмым сетевым ресурсом R7.

Согласно Фиг.6 рассмотрен случай, когда дополнительно к четвертому сетевому ресурсу R4 задан седьмой сетевой ресурс R7. При этом у седьмого сетевого ресурса R7 имеется только один параметр P75, совпадающий с параметром P75 пятого сетевого ресурса R5, и отсутствуют параметры, совпадающие с параметром P 76 шестого сетевого ресурса R6, и наоборот. В этом случае связи могут быть построены связи только между седьмым сетевым ресурсом R7 и пятым сетевым ресурсом R5, либо между седьмым сетевым ресурсом R7 и шестым сетевым ресурсом R6.

В случае, если имеется связь между пятым сетевым ресурсом R5 и шестым сетевым ресурсом R6 по параметру P56, что также отражено как на Фиг.4, так и на Фиг.5, то возможно построение связи между четвертым сетевым ресурсом R4 и седьмым сетевым ресурсом R7.

В одном из неограничивающих вариантов осуществления настоящего технического решения информация о по меньшей мере одном заданном сетевом ресурсе может быть получена на этапах 704 или 804 от пользователя. Пользователь может сообщить информацию о заданном ресурсе в виде по меньшей мере одного из следующих параметров: наименование доменного имени, IP-адрес, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, изменения DNS-записей, историю взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени, история владельцев IP-адреса.

В другом неограничивающем варианте осуществления настоящего технического решения информация о по меньшей мере одном заданном сетевом ресурсе А может быть извлечена на этапах 704 или 804 из базы 110 данных. Из базы 110 данных может быть извлечена информацию о заданном ресурсе А в виде по меньшей мере одного из следующих параметров: наименование доменного имени, IP-адрес, SSL ключ, SSH отпечаток, информация о работающих сервисах, история доменных имен, история IP-адресов, история DNS-серверов, изменения DNS-записей. история взаимодействия исполняемых файлов с сетевыми узлами, история владельцев доменного имени, история владельцев IP-адреса.

В одном из неограничивающих вариантов осуществления настоящего технического решения информация о по меньшей мере одном заданном сетевом ресурсе может дополнительно включать регистрационные данные доменного имени.

В одном из неограничивающих вариантов осуществления настоящего технического решения определение веса связи основано на количестве и весе совпадающих параметров. В контексте настоящего описания под параметром подразумевается некоторое свойство сетевого ресурса, которое может быть получено или определено отдельно от других свойств указанного сетевого ресурса, свойство, характерное для по меньшей мере части сетевых ресурсов.

В еще одном из неограничивающих вариантов осуществления настоящего технического решения определение веса связи дополнительно может быть основано на регистрационных данных доменного имени.

В контексте настоящего описания под весом связи подразумевается значение, поставленное в соответствие данной связи (иными словами ребру графа), позволяющее ранжировать параметры сетевого ресурса.

В качестве неограничивающего примера осуществления настоящего технического решения можно привести следующие примеры. В первом примере наблюдается совпадение SSH отпечатков у заданного сетевого ресурса 302 с известными IP-адресом и доменным именем с SSH-отпечатком одного из сетевых ресурсов из множества 304 сетевых ресурсов. Во втором примере у заданного сетевого ресурса 302 обнаружено частичное совпадение с указанным одним из сетевых ресурсов из множества 304 сетевых ресурсов в историях владельцев доменных имен, относящихся к указанному заданному серверу и одним из сетевых ресурсов из множества 304 сетевых ресурсов, причем указанные владельцы не совпадают с текущими владельцами указанных доменных имен и обладали правами на указанные доменные имена в разное время.

При этом связь между сетевыми ресурсами, сформированная в первом случае, как правило, имеет больший вес, чем связь между сетевыми ресурсами, сформированная во втором случае.

Модификации и улучшения вышеописанных вариантов осуществления настоящей технологии будут ясны специалистам в данной области техники. Предшествующее описание представлено только в качестве примера и не устанавливает никаких ограничений. Таким образом, объем настоящей технологии ограничен только объемом прилагаемой формулы изобретения.

Похожие патенты RU2681699C1

название год авторы номер документа
Система и способ внешнего контроля поверхности кибератаки 2021
  • Бобак Тим Джон Оскар
  • Волков Дмитрий Александрович
RU2778635C1
СПОСОБ И СИСТЕМА ВЫЯВЛЕНИЯ ИНФРАСТРУКТУРЫ ВРЕДОНОСНОЙ ПРОГРАММЫ ИЛИ КИБЕРЗЛОУМЫШЛЕННИКА 2020
  • Волков Дмитрий Александрович
  • Милешин Филипп Алексеевич
RU2722693C1
СПОСОБ АНАЛИЗА И ВЫЯВЛЕНИЯ ВРЕДОНОСНЫХ ПРОМЕЖУТОЧНЫХ УЗЛОВ В СЕТИ 2012
  • Голованов Сергей Юрьевич
RU2495486C1
Система и способ активного обнаружения вредоносных сетевых ресурсов 2021
  • Волков Дмитрий Александрович
  • Прудковский Николай Сергеевич
RU2769075C1
Способ и система для идентификации кластеров аффилированных веб-сайтов 2020
  • Рожнов Илья Олегович
RU2740856C1
Способ классификации объектов для предотвращения распространения вредоносной активности 2023
  • Паринов Денис Игоревич
  • Власова Виктория Владимировна
  • Романенко Алексей Михайлович
  • Антонов Алексей Евгеньевич
RU2808385C1
СИСТЕМА И СПОСОБ ВЫЯВЛЕНИЯ ЦЕЛЕВЫХ АТАК 2014
  • Яблоков Виктор Владимирович
RU2601147C2
СПОСОБ И СИСТЕМА АВТОРИЗАЦИИ ВЕБ-САЙТА В ВЕБ-БРАУЗЕРЕ 2018
  • Кортунов Антон Сергеевич
  • Заитов Эльдар Тимурович
RU2718480C2
СПОСОБ СОЗДАНИЯ ПЛАТЕЖНОЙ СИСТЕМЫ 2012
  • Серебренников Олег Александрович
RU2509360C1
СИСТЕМЫ И СПОСОБЫ ИСПОЛЬЗОВАНИЯ СООБЩЕНИЙ DNS ДЛЯ СЕЛЕКТИВНОГО СБОРА КОМПЬЮТЕРНЫХ КРИМИНАЛИСТИЧЕСКИХ ДАННЫХ 2020
  • Мирческу Даньел-Александру
RU2776349C1

Иллюстрации к изобретению RU 2 681 699 C1

Реферат патента 2019 года СПОСОБ И СЕРВЕР ДЛЯ ПОИСКА СВЯЗАННЫХ СЕТЕВЫХ РЕСУРСОВ

Изобретение относится к области сетевых технологий. Технический результат заключается в повышение точности поиска связанных сетевых ресурсов. Технический результат достигается за счет сканирования сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере первый сетевой ресурс и по меньшей мере второй сетевой ресурс; извлечения информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающей по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса; в ответ на то, что по меньшей мере один параметр первого сетевого ресурса совпадает с по меньшей мере одним параметром второго сетевого ресурса, построения связи между первым сетевым ресурсом и вторым сетевым ресурсом. 3 н. и 25 з.п. ф-лы, 12 ил., 1 табл.

Формула изобретения RU 2 681 699 C1

1. Способ поиска связанных сетевых ресурсов, исполняемый на сервере, при этом указанный способ включает в себя следующие этапы:

- сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере первый сетевой ресурс и по меньшей мере второй сетевой ресурс;

- извлечение информации о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающей по меньшей мере один параметр первого сетевого ресурса и по меньшей мере один параметр второго сетевого ресурса;

- в ответ на то, что указанный по меньшей мере один параметр первого сетевого ресурса совпадает с указанным по меньшей мере одним параметром второго сетевого ресурса, построение связи между первым сетевым ресурсом и вторым сетевым ресурсом.

2. Способ по п. 1, в котором дополнительно оценивают актуальный интервал времени для параметра сетевого ресурса.

3. Способ по п. 1, в котором:

- на этапе сканирования дополнительно находят по меньшей мере третий сетевой ресурс;

- на этапе извлечения информации дополнительно извлекают информацию о найденном по меньшей мере третьем сетевом ресурсе, включающую по меньшей мере один параметр третьего сетевого ресурса;

- дополнительно в ответ на то, что указанный по меньшей мере один параметр первого сетевого ресурса совпадает с указанным по меньшей мере одним параметром второго сетевого ресурса, и указанный по меньшей мере один параметр второго сетевого ресурса совпадает с указанным по меньшей мере одним параметром третьего сетевого ресурса, построение связи между первым сетевым ресурсом и третьим сетевым ресурсом.

4. Способ по п. 1, в котором:

- дополнительно получают информацию из истории о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе;

- на этапе построения связи учитывают информацию из истории о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе, включающую указанный по меньшей мере один параметр первого сетевого ресурса и указанный по меньшей мере один параметр второго сетевого ресурса;

- проводят сравнение информации из истории с извлеченной информацией о найденных по меньшей мере первом сетевом ресурсе и по меньшей мере втором сетевом ресурсе.

5. Способ по п. 1, в котором извлеченная информация о найденных сетевых ресурсах включает в себя по меньшей мере один параметр сетевого ресурса из следующих:

- доменное имя,

- IP-адрес,

- SSL-ключ,

- SSH-отпечаток,

- исполняемый файл,

- информацию о работающих сервисах,

- данные о владельце доменного имени,

- данные о владельце IP-адреса,

- адрес электронной почты и

- контакты владельца ресурса.

6. Способ по п. 1, в котором параметр имеет одно или более значений.

7. Способ по п. 1, в котором построение связи между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом осуществляют путем создания математической модели в виде графа, причем вершины графа соответствуют по меньшей мере первому сетевому ресурсу и по меньшей мере второму сетевому ресурсу, а ребра графа представляют собой связи между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом по меньшей мере по одному параметру, общему для указанных по меньшей мере первого сетевого ресурса и по меньшей мере второго сетевого ресурса.

8. Способ по п. 7, в котором дополнительно задают пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами.

9. Способ по п. 7, включающий в себя присвоение весов связям между по меньшей мере первым сетевым ресурсом и вторым сетевым ресурсом на основании параметра первого сетевого ресурса и второго сетевого ресурса.

10. Способ по п. 7, включающий в себя определение коэффициента связи как отношение количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами и веса каждой связи по одному параметру между первым сетевым ресурсом и вторыми сетевыми ресурсами.

11. Способ по п. 8, в котором указанное пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами задается пользователем.

12. Способ по п. 9, в котором вес связи присваивает пользователь.

13. Способ по п. 8, в котором указанное пороговое значение количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами задается с использованием алгоритма машинного обучения.

14. Способ по п. 9, в котором вес связи присваивается с использованием алгоритма машинного обучения.

15. Способ по п. 9, в котором при присвоении веса связи дополнительно учитывают дату и время, с которыми ассоциирована по меньшей мере часть информации о целевых сетевых ресурсах.

16. Способ по п. 10, включающий в себя в зависимости от коэффициента связи осуществление удаления связей между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом.

17. Способ по п. 1, в котором указанный по меньшей мере один параметр является предварительно заданным параметром.

18. Способ по п. 1, включающий в себя осуществление удаления связей между первым сетевым ресурсом и вторым сетевым ресурсом в зависимости от весов, присвоенных связям между указанными сетевыми ресурсами.

19. Способ по п. 18, включающий в себя удаление связей между оставшимися сетевыми ресурсами в зависимости от весов, присвоенных связям между оставшимися сетевыми ресурсами.

20. Способ по п. 8, включающий в себя осуществление удаления связей между первым сетевым ресурсом и вторым сетевым ресурсом при превышении порогового значения количества связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами.

21. Способ поиска связанных сетевых ресурсов, исполняемый на сервере, при этом указанный способ включает в себя следующие этапы:

- получение заданного четвертого сетевого ресурса;

- извлечение информации о заданном четвертом сетевом ресурсе, включающей по меньшей мере один параметр четвертого сетевого ресурса;

- сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс и по меньшей мере шестой сетевой ресурс;

- извлечение информации о найденных по меньшей мере пятом сетевом ресурсе и по меньшей мере шестом сетевом ресурсе, включающей по меньшей мере один параметр пятого сетевого ресурса и по меньшей мере один параметр шестого сетевого ресурса;

- в ответ на то, что указанный по меньшей мере один параметр четвертого сетевого ресурса совпадает с указанным по меньшей мере одним параметром пятого сетевого ресурса и/или указанным по меньшей мере одним параметром шестого сетевого ресурса, построение связи между четвертым сетевым ресурсом и пятым сетевым ресурсом и/или шестым сетевым ресурсом.

22. Способ по п. 21, в котором дополнительно в ответ на то, что указанный по меньшей мере один параметр пятого сетевого ресурса совпадает с указанным по меньшей мере одним параметром шестого сетевого ресурса, построение связи между пятым сетевым ресурсом и шестым сетевым ресурсом.

23. Способ по любому из пп. 21 и 22, включающий следующие этапы:

- дополнительное получение заданного седьмого сетевого ресурса;

- извлечение информации о заданном седьмом сетевом ресурсе, включающем по меньшей мере один параметр седьмого сетевого ресурса;

- сканирование сети с целью поиска сетевых ресурсов; причем на этапе сканирования сети находят по меньшей мере пятый сетевой ресурс и по меньшей мере шестой сетевой ресурс;

- в ответ на то, что указанный по меньшей мере один параметр седьмого сетевого ресурса совпадает с указанным по меньшей мере одним параметром пятого сетевого ресурса и/или указанным по меньшей мере одним параметром шестого сетевого ресурса, построение связи между седьмым сетевым ресурсом и пятым сетевым ресурсом и/или шестым сетевым ресурсом;

- в ответ на построение связи между четвертым сетевым ресурсом и пятым сетевым ресурсом и/или шестым сетевым ресурсом и построение связи между седьмым сетевым ресурсом и пятым сетевым ресурсом и/или шестым сетевым ресурсом построение связи между седьмым сетевым ресурсом и четвертым сетевым ресурсом.

24. Способ по п. 21, в котором извлеченная информация о найденных сетевых ресурсах включает в себя по меньшей мере один параметр:

- доменное имя,

- IP-адрес,

- SSL-ключ,

- SSH-отпечаток,

- исполняемый файл,

- информацию о работающих сервисах,

- данные о владельце доменного имени,

- данные о владельце IP-адреса,

- адрес электронной почты и

- контактные данные владельца доменного имени.

25. Способ по п. 21, в котором информация из истории о найденных сетевых ресурсах включает в себя по меньшей мере один параметр:

- историю изменения доменных имен,

- историю изменения IP-адресов,

- историю DNS-серверов,

- историю изменения DNS-записей,

- историю взаимодействия исполняемых файлов с сетевыми узлами,

- историю изменений владельцев доменного имени,

- историю изменений владельцев IP-адреса и

- историю изменений контактных данных владельца доменного имени.

26. Способ по п. 21, в котором извлеченная информация о найденных сетевых ресурсах дополнительно включает в себя регистрационные данные доменного имени.

27. Способ по п. 21, в котором по меньшей мере часть информации о сетевых ресурсах содержит по меньшей мере одну запись, ассоциированную с временем и датой.

28. Сервер для поиска связанных сетевых ресурсов, выполненный с возможностью соединения с базой данных посредством сети передачи данных и содержащий по меньшей мере следующее:

- интерфейс передачи данных для обмена данными посредством сети передачи данных;

- память, включающую машиночитаемые инструкции;

- процессор, функционально соединенный с интерфейсом передачи данных и памятью, причем процессор при исполнении указанных машиночитаемых инструкций выполнен с возможностью выполнения способа по любому из пп. 1-27.

Документы, цитированные в отчете о поиске Патент 2019 года RU2681699C1

ПОСТРОЕНИЕ И ПРИМЕНЕНИЕ ВЕБ-КАТАЛОГОВ ДЛЯ ФОКУСИРОВАННОГО ПОИСКА 2005
  • Брилл Эрик Д.
  • Чен Хэрр
  • Чандрасекар Раман
  • Корстон Саймон Х.
RU2382400C2
СПОСОБ И СИСТЕМА ОБЕСПЕЧЕНИЯ КЛИЕНТСКОМУ УСТРОЙСТВУ АВТОМАТИЧЕСКОГО ОБНОВЛЕНИЯ IP-АДРЕСА, СООТВЕТСТВУЮЩЕГО ДОМЕННОМУ ИМЕНИ 2014
  • Иванов Владимир Леонтьевич
RU2610586C2
УСТРОЙСТВО для СОГЛАСОВАНИЯ ПОТОКА ТЕЛЕМЕТРИЧЕСКИХ ОТСЧЕТОВ 0
SU253114A1
СПОСОБ И УСТРОЙСТВО ДЛЯ ВЫБОРА СЕТЕВОГО РЕСУРСА В КАЧЕСТВЕ ИСТОЧНИКА СОДЕРЖИМОГО ДЛЯ СИСТЕМЫ РЕКОМЕНДАЦИЙ 2016
  • Ламбурт Виктор Григорьевич
  • Лифарь Игорь Игоревич
RU2636702C1
Многоступенчатая активно-реактивная турбина 1924
  • Ф. Лезель
SU2013A1

RU 2 681 699 C1

Авторы

Волков Дмитрий Александрович

Милешин Филипп Алексеевич

Даты

2019-03-12Публикация

2018-02-13Подача