Система и способ противодействия атаке на вычислительные устройства пользователей Российский патент 2019 года по МПК G06F21/60 

Описание патента на изобретение RU2697926C1

Область техники

Изобретение относится к решениям для защиты вычислительных устройств пользователей от компьютерных атак злоумышленников, а более конкретно к системам и способам выявления и противодействия атаке на вычислительные устройства пользователей.

Уровень техники

В настоящее время сфера услуг существенно расширилась благодаря IT-технологиям. Крупные сервисы предоставляют как IT-услуги, так и обычные услуги с использованием IT-сервисов (например, почтовые сервисы или социальные сети, покупки и платежи через сеть Интернет). Множество компаний имеют инфраструктуру, использующую IT-сервисы, при этом данные пользователей зачастую хранятся в базах данных в этой инфраструктуре. С использованием таких баз, например, фитнес-клуб может уведомлять пользователей об акциях или скидках, а также информировать пользователей о заканчивающихся абонементах или получать от пользователей обратную связь о качестве предоставляемых услуг.

Вместе с многообразием IT-сервисов и IT-услуг в настоящее время неуклонно растет и количество атак на них со стороны злоумышленников. В случае успешной атаки злоумышленники получают доступ к личным данным пользователей, что может нанести финансовый или моральный вред пользователю. С одной стороны, регистрация пользователя в сервисах необходима (по меньшей мере для предотвращения случаев некорректного поведения). С другой стороны, каждый сервис содержит базу данных, хранящую данные пользователей, которые пользуются таким сервисом, поэтому данные могут быть доступны в результате успешной атаки на упомянутый сервис.

Зачастую проводятся так называемые таргетированные атаки на упомянутые сервисы. Таргетированные атаки - это целевые атаки, направленные против конкретного сервиса, компании, организации или государственного органа. Производители приложений безопасности предлагают решения, противодействующие таким атакам. Например, в публикации US 9754106 B2 описана система противодействия таргетированным атакам. Система классифицирует события безопасности, связанные с какой-либо компанией, выявляет таргетированную атаку и предпринимает меры для противодействия упомянутой атаке.

Однако, предотвратить все утечки данных о пользователях с упомянутых сервисов практически невозможно. В результате утечек баз данных в случае успешной атаки, пользователи сервиса зачастую сталкиваются уже с атаками на свои устройства, например, с навязчивыми звонками, рекламными письмами и CMC-сообщениями, вредоносными файлами и фишинговыми ссылками. Стоит отметить, что атака в этом случае не связана явно с моделью устройства или типом операционной системы, так как пользователи сервиса связаны именно сервисом, а не каким-либо конкретным программно-аппаратным решением.

Настоящее изобретение описывает систему и способ, которые решают описанные задачи по защите устройств пользователей в случае утечки данных с сервисов, с которыми пользователь взаимодействует посредством упомянутых устройств.

Сущность изобретения

Технический результат настоящего изобретения заключается в реализации заявленного назначения.

Согласно одному из вариантов реализации предоставляется система противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, при этом указанная система содержит: средство сбора, выполняющееся на каждом вычислительном устройстве и предназначенное для: сбора данных об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств; сбора данных об упомянутых вычислительных устройствах; сбора данных для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки, полученного от средства анализа; передачи всех собранных данных средству анализа; средство анализа, выполняющееся на удаленном сервере и предназначенное для: хранения правил выявления атаки на вычислительные устройства и передачи их средству сбора; формирования кластеров вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании данных, полученных от средства сбора; выявления вектора атаки на основании характеристик вектора атаки; выбора по меньшей мере одного действия для противодействия атаке, и передаче его средствам противодействия атаке на вычислительные устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер; средство противодействия атаке, выполняющееся на вычислительных устройствах и предназначенное для выполнения действий для противодействия атаке на вычислительные устройства, полученных от средства анализа.

Согласно другому частному варианту реализации предоставляется система, в которой данными о пользователях являются персональные данные.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является источник или множество источников атаки.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является вид воздействия.

Согласно еще одному частному варианту реализации предоставляется система, в которой характеристикой вектора атаки является инструмент воздействия.

Согласно еще одному частному варианту реализации предоставляется способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, реализуемый с помощью упомянутых средств и содержащий этапы, на которых: собирают данные об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об упомянутых устройствах; собирают данные для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки; формируют кластеры вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании собранных данных: выявляют вектор атаки на основании характеристик вектора атаки; выбирают по меньшей мере одно действие для противодействия атаке и передают на устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер; выполняют действия для противодействия атаке на вычислительные устройства.

Согласно еще одному частному варианту реализации предоставляется способ, в котором данными о пользователях являются персональные данные.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является источник или множество источников атаки.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является вид воздействия.

Согласно еще одному частному варианту реализации предоставляется способ, в котором характеристикой вектора атаки является инструмент воздействия.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 отображает структуру взаимодействия пользователя с сервисами, сохраняющими данные о пользователях.

Фиг. 2 отображает структуру системы противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

Фиг. 3 отображает способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействует с сервисами, сохраняющими данные о пользователях.

Фиг. 4 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

Под средствами системы в настоящем изобретении понимаются реальные устройства, системы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips). Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации часть средств, или все средства, могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими, связанными между собой вычислительными устройствами.

Под компьютерной атакой (далее по тексту - атакой) в настоящем изобретении понимается целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств (ГОСТ 51275-2006).

Фиг. 1 отображает структуру взаимодействия пользователя с сервисами, сохраняющими данные о пользователях.

Взаимодействие пользователя 110 с сервисами 120, сохраняющими данные о пользователях (далее по тексту - сервисами), в общем случае происходит с использованием вычислительных устройств 130 (далее по тексту - устройства). Устройствами 130 могут являться телефон, компьютер, планшетный ПК. В общем случае взаимодействие двунаправленно (взаимодействие происходит/инициируется как со стороны пользователя 110, так и со стороны сервисов 120). Например, пользователь 110 может обращаться к какому-либо сервису 120 посредством учетной записи, сервис 120 может информировать пользователя 110 рассылкой уведомлений на электронную почту или по номеру мобильного телефона (при этом пользователь 110 использует устройства 130 для чтения почты и получения звонков от сервисов 120). В частном варианте реализации пользователь 110 взаимодействует с сервисом 120 посредством некоторых устройств 130 однонаправленно. Например, пользователь 110 никак не взаимодействует с сервисом 120 посредством смс-сообщений, однако получает их от сервиса 120. В одном из вариантов реализации пользователь 110 может взаимодействовать с сервисом посредством разных устройств 130 (например, проверять электронную почту или пользоваться социальными сетями посредством персонального компьютера и смартфона).

Данные о пользователях в каком-либо виде сохраняются сервисом 120, в общем случае с использованием инфраструктуры сервиса 120, например, в базу данных 125. Обычно пользователь 110 выполняет процедуру регистрации (далее по тексту - регистрация), при этом предоставляя сервису 120 персональную информацию с разной степенью идентификации пользователя 110. В одном случае это может быть, например, регистрация на сервисе 120, где требуется электронная почта с подтверждением регистрации. В другом случае, например, происходит регистрация пользователя 110 при обращении в фитнес-клуб для заключения договора с упомянутым фитнес-клубом с внесением паспортных и других данных в договор.

Фиг. 2 отображает структуру системы противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

Стоит отметить, что в одном из вариантов реализации системы данными о пользователях являются персональные данные пользователей.

Система противодействия атаке на вычислительные устройства 130, посредством которых пользователи 110 взаимодействуют с сервисами 120, сохраняющими данные о пользователях, в общем случае является частью приложения безопасности (например, антивирусного приложения) и состоит из средства сбора, средства анализа и средства противодействия атаке.

Средство сбора 210 в общем случае реализации выполняется на устройствах 130, посредством которых пользователи 110 взаимодействует с сервисами 120.

Средство сбора 210 может выступать в качестве известных компонентов антивирусных приложений, например, модулей антиспам, антифишинг или определителей номеров (например, Kaspersky WhoCalls). Средство сбора 210 собирает данные о сервисах 120, с которыми взаимодействует пользователь 110, и об устройствах 130, посредством которых пользователь 110 взаимодействует с сервисами 120.

Данными о сервисах 120 могут являться (но не ограничиваются):

- тип сервиса 120 (сайт, электронная почта, организация);

- собранные сервисом 120 личные данные пользователей 110;

- местоположение сервиса 120;

- направленность взаимодействия с сервисом 120.

Данными об устройствах 130 могут являться (но не ограничиваются):

- тип устройства 130 (телефон, планшет, ноутбук);

- операционная система, под управлением которой работает устройство 130;

- данные о приложении на устройстве 130, посредством которого пользователь 110 взаимодействует с сервисом 120;

- установленные известные уязвимые приложения на устройстве 130;

- установленные патчи безопасности на ОС устройства 130 и приложения;

- местоположение устройства 130.

В одном из вариантов реализации средство сбора 210 также собирает данные, которые выявляют атаку, возникающую в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса 120. Утечка в общем случае возникает в случае успешной атаки на сервис 120 и получении злоумышленниками доступа к данным о пользователях 110. Затем с помощью различных приемов социальной инженерии, вредоносных программ и ссылок злоумышленники могут пытаться воздействовать на пользователя 110 или его устройства 130 для получения несанкционированного доступа к личным (конфиденциальным) данным пользователя. Атака выявляется на основании по меньшей мере одного правила выявления атаки. Например, если пользователь 110 получил электронное письмо с вложением с неизвестного адреса, или если получил звонок с неизвестного номера определенного сотового оператора. В общем случае, упомянутые правила могут меняться и описываться более подробными эвристиками. В одном из вариантов реализации правила формируются автоматически на основании статистических данных. В другом варианте реализации правила формируются с участием специалиста по информационной безопасности. В общем случае упомянутые правила хранятся на удаленном сервере и могут быть получены средством сбора 210 от средства анализа 220.

В предпочтительном варианте реализации собираемые данные обезличены.

В одном из вариантов реализации получает информацию о выполненных действиях для противодействия атаке от средства противодействия атаке 230. В случае, если ранее была выявлена атака согласно по меньшей мере одному правилу, средство сбора 210 выявляет ранее выявленную атаку на устройствах 130 других пользователей 110 кластера (описано ниже), сформированного средством анализа 220, и передает средству анализа 220 информацию с учетом выполненных действий, выявляется ли атака с помощью упомянутого правила после выполненных действий.

В одном из вариантов реализации средство сбора 210 выполняется на удаленном сервере 290 или в качестве облачного сервиса. При этом средство сбора собирает и анализирует данные сервисов 120, сохраняющих данные о пользователях 110, которые доступны в сети Интернет 280, а также в сетях, доступных посредством сети Интернет (например, в сети Tor). При этом в одном из вариантов реализации происходит анализ данных, которые «утекли» в сеть. Например, баз данных пользователей, которые продаются или раздаются бесплатно. Случаи «утечек» баз данных многократно известны, это могут быть и банковские базы данных, и адреса электронной почты пользователей, а также базы данных различных организаций, с которыми взаимодействуют пользователи 110.

Данные, собранные средством сбора 210 передаются средству анализа 220.

Средство анализа 220 выполняется на удаленном сервере 290 или в качестве облачного сервиса. В общем случае средство анализа 220 создает (формирует) кластеры устройств 130, посредством которых пользователи 110 взаимодействуют с сервисами 120, на основании данных, полученных от средства сбора 210.

В одном из вариантов реализации упомянутые кластеры создаются непрерывно. Например, через определенный интервал времени происходит анализ, с какими сервисами 120 посредством каких устройств 130 осуществляется взаимодействие пользователей 110. При этом в одном из вариантов реализации устройства 130 пользователей 110 могут исключаться из кластеров при определенных условиях. Например, если пользователь 110 не взаимодействовал с сервисом 120 посредством устройства 130 какое-либо время, или само устройство 130 давно отсутствует у пользователя 110, оно может быть исключено средством анализа 220 из сформированных кластеров.

В другом варианте реализации кластеры создаются динамически, в момент выявления факта атаки.

Как было описано в примерах выше, на основании правил можно выявить факт атаки на устройство 130. На основании факта атаки средство анализа 220 выявляет вектор атаки. Вектор атаки- направление или конкретный способ воздействия на устройство 130 со стороны злоумышленника при реализации угрозы безопасности. При реализации угрозы безопасности злоумышленником могут использоваться различные уязвимости, в том числе недостаточный уровень защиты, несовершенство системного и прикладного программного обеспечения, а также протоколов сетевого взаимодействия информационной системы. Определяющими вектор атаки характеристиками могут быть по меньшей мере:

- источник или множество источников атаки;

- элемент или множество элементов, являющихся целью атаки;

- вид воздействия;

- инструменты воздействия.

Таким образом, источник атаки - это в общем случае сервис 120, с которым взаимодействует пользователь 110. При атаке сервис 120 распространяет ссылки, смс или электронные письма. Стоит отметить, что источником в частном случае может являться не сервис 120. Например, вредоносный файл может быть получен на компакт-диске или флэш-накопителе. Однако, даже в этом случае средство анализа 220 может выявить связь по источнику атаки, например, диски или накопители были получены пользователями от какого-либо сервиса 120 (например, от фитнес-клуба или ресторана в рамках PR-акции).

Элементы, являющиеся целью атаки, в общем случае - устройства 130 пользователя 110 или разных пользователей 110. Атака может осуществляться на несколько устройств 130 пользователей одновременно, например, с целью большего охвата и повышения вероятности успеха атаки со стороны злоумышленников. Если злоумышленникам стали доступны данные пользователя 130, содержащие его электронную почту и номер телефона, пользователю 130 одновременно могут поступать письма на почту и звонки на телефонный номер.

Примеры видов воздействия были рассмотрены выше, ими может являться ссылка, смс или письмо, полученное по электронной почте, текстовые, аудио и видео сообщения в мессенджерах, а также звонки в мессенджеры (от людей или роботов).

Инструменты воздействия - вредоносные файлы, сценарии, текст, содержащий приемы социальной инженерии (когда злоумышленник пытается по смс или в социальной сети получить от пользователя, например, данные его банковской карты), нежелательный звонок.

Таким образом, «утекшие» базы данных, регистрация пользователя на интернет-сайтах (например, таких как «Авито»), кратковременный взлом сайтов злоумышленниками (например, кратковременный взлом новостного сайта либо сайта, посвященного компьютерной игре или определенной тематике), позволяет злоумышленникам на основании полученных данных о пользователях 110 осуществлять атаку на устройства 130.

В одном из вариантов реализации при выявлении вектора атаки средство анализа 220 сравнивает характеристики вектора атаки с атаками на устройства 110 других пользователей 130. В случае совпадения характеристик вектора атаки на по меньшей мере одно устройство 130 другого пользователя 110, устройства которого входят в соответствующий кластер, средство анализа 220 передает данные об атаке средствам противодействия атаке 230 на устройства 130, входящих в соответствующий кластер. В одном из вариантов реализации средство анализа 220 также передает информацию о по меньшей мере одном действии, которое необходимо выполнить для противодействия атаке.

В одном из вариантов реализации средство анализа 220 получает от средства сбора информацию о ранее выполненных действиях и информацию о том, срабатывает ли правило выявления атаки после предпринятых действий. На основании полученных от средства сбора 210 данных средство анализа 220 анализирует эффективность выполненных действий для противодействия атаке. В общем случае выполненные действия признаются эффективными, если в результате атака не выявляется упомянутым правилом выявления атаки на устройствах 130 других пользователей 110.

В одном из вариантов реализации средство анализа 220 использует в качестве обратной связи взаимодействие (коммуникацию) с самим пользователем 110 (например, посредством CMC, письма, мессенджера, звонка). На основании обратной связи средство анализа 220 выявляет, верно ли определена (выявлена или идентифицирована) атака, или пользователь 110 считает ее ложным срабатыванием.

В одном из вариантов реализации средство анализа 220 получает от пользователя 110 информацию о его гипотезах об источнике утечки его данных. Например, пользователя ранее не беспокоила CMC-рассылка, но он недавно записался в спортивный клуб, и началась спам-рассылка на спортивную тематику. Пользователь считает, что рассылка началась после записи в упомянутый клуб. Средством анализа 220 подобная информация используется для более точного формирования кластеров устройств 130 и выявления векторов атаки.

В одном из вариантов реализации средство анализа 220 в случае выявления кластеров устройств 130 и векторов атаки оповещает пользователей 110 об источнике утечки данных о пользователях (вероятно, пользователь захочет подать в суд на компенсацию, или разорвать договорные отношения, потребовать удалить свои данные из этого сервиса 120, хотя это поможет только от новых, а не старых утечек данных). В еще одном варианте реализации средство анализа 220 оповещает сервис 120, с которого произошла утечка данных о пользователях 110, чтобы на сервисе 120 был проведен, например, аудит своих систем безопасности, выявлена причина утечки, предприняты действия для предотвращения повторной утечки. Кроме того, в этом случае сервис 120 может оповестить остальных пользователей 110 от своего имени об утечке.

Средство противодействия атаке 230 в общем случае реализации выполняется на устройствах пользователя 130, посредством которых пользователь 110 взаимодействует с сервисами 120. В общем случае оно выполняет действия, полученные от средства анализа 220, для противодействия атаке. Примерами действий являются (но не ограничиваются ими):

- текстовое предупреждение об атаке;

- добавление ссылки в список блокировки;

- добавление телефонного номера в список блокировки (как в телефоне, так и в мессенджерах);

- добавление почтового адреса отправителя в список блокировки;

- удаление файла из кэша ОС или какого-либо приложения по определенному пути;

- автоматический перевод в «усиленный» режим технологий приложения безопасности, которые отвечают за противодействие атакам из того вектора, которому соответствует данный кластер устройств 130.

В одном из вариантов реализации информацию о выполненных действиях средство противодействия атаке 230 передает средству сбора 210. При этом с учетом описанного выше стоит понимать, что если средство сбора 210 перестает выявлять атаку на основании правил выявления атаки (например, пользователь получил CMC со ссылкой, но так и не перешел по ссылке, так как ссылка добавлена в список блокировки), то данные об этом также передаются средству анализа 220 для оценки эффективности выбранных действий для противодействия атаке. Это важно из-за многообразия устройств 130 и привилегий приложения безопасности. Так, например, в зависимости от операционной системы приложение безопасности может иметь разные привилегии, поэтому для разных устройств 130 одного типа (например, мобильный телефон) не всегда подходит одно действие для противодействия атаке (так как, например, в ОС Android и в ОС iOS приложение безопасности имеет различный набор привилегий).

Примером работы настоящей системы может являться следующая ситуация. Произошла утечка базы данных биржи, легально торгующей криптовалютами. При этом часть зарегистрированных пользователей биржи прошла верификацию, другая часть пользователей делала вывод средств на банковские карты, поэтому личные данные (фотографии паспорта, номер телефона, номер банковской карты) данные стали доступными злоумышленникам. Таким образом, упомянутая биржа - это сервис 120, сохраняющий данные о пользователях 110. Сервис 120 не имел достаточной защиты и программного обеспечения для предотвращения утечки своих базах данных, поэтому необходимо защитить пользователей 110, данные которых стали доступны злоумышленникам. Стоит отметить, что в подобной ситуации может возникнуть несколько различных атак от различных групп злоумышленников, если база с данными пользователей 110 попадет в публичный доступ.

Злоумышленники начинают атаку с различными векторами. Например, рассылают письма с вредоносными вложениями (фишинговыми ссылками и программами-кейлоггерами) по электронной почте, звонят в банк, используя паспортные данные и номер карты пользователя 110, звонят, рассылают CMC и связываются с пользователем 110 посредством социальных сетей с целью получения дополнительных данных пользователя 110.

Средство сбора 210 собирает данные о подобных смс, звонках и письмах согласно правилам выявления атаки (например, правило: если письмо по электронной почте от неизвестного отправителя содержит адрес кошелька криптовалют и предложение с ключевыми словами об инвестировании). Кроме того, ранее средством сбора 210 были собраны данные о том, что пользователи взаимодействуют с упомянутой биржей. Кроме того, средство сбора 210 обнаружило в сети «Tor» на специализированном форуме упомянутую базу с данными о пользователях 110.

После передачи данных средству анализа 220 были сформированы кластеры устройств 130 пользователей 110. Пользователи 110 используют различные мобильные устройства и ПК под управлением различных операционных систем. Кроме того, средством анализа 220 были определены векторы атаки. Для устройств 130 в зависимости от типа устройства 130 и ОС устройства 130 средством анализа 220 были выбраны действия для противодействия атаке. Данные действия были разосланы на устройства 130 пользователей 110 и выполнены средствами противодействия атаке 230.

В результате часть векторов атаки перестала проявляться (либо количество проявлений существенно уменьшилось), другая часть осталась без изменений. Данные, полученные средством анализа 220 от средства сбора 210, после выполнения действий средством противодействия атаке 230 позволяют средству анализа 220 рассчитать эффективность примененного действия. Если она ниже порогового значения, выбираются другие или дополнительные действия и рассылаются средствам противодействия атаке 230.

Описанный процесс работы системы продолжается, при выявлении новой атаки последовательность действий системы повторяется.

Фиг. 3 отображает структуру способа противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях.

На этапе 310 с помощью средства сбора 210 собирают данные об упомянутых сервисах 120, с которыми взаимодействуют пользователи 110 посредством устройств 130, и данные об упомянутых устройствах 130. В одном из вариантов реализации средство сбора 210 дополнительно предназначено для сбора доступных в сети Интернет данных о сервисах 120, сохраняющих данные о пользователях 110.

На этапе 320 собирают с помощью средства сбора 210 данные на устройстве, которые выявляют атаку, возникающую в результате утечки данных о пользователях 110 с по меньшей мере одного упомянутого сервиса 120, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки. Собранные данные передаются средству анализа 220.

На этапе 330 с помощью средства анализа 220 формируют кластеры устройств 130, посредством которых пользователи 110 взаимодействуют сервисами 120, сохраняющими данные о пользователях, на основании собранных средством сбора 210 данных.

На этапе 340 выявляют с помощью средства анализа 220 вектор атаки на основании характеристик вектора атаки. Определяющими вектор атаки характеристиками могут быть по меньшей мере:

- источник или множество источников атаки;

- элемент или множество элементов, являющихся целью атаки;

- вид воздействия;

- инструменты воздействия.

На этапе 350 выбирают с помощью средства анализа 220 по меньшей мере одно действие для противодействия атаке и передают его средству противодействия атаке 230 на устройства 130 всех пользователей 110 соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство 130 другого пользователя 110, устройства 130 которого входят в соответствующий кластер.

На этапе 360 выполняют с помощью средства противодействия атаке 230 действия для противодействия атаке на вычислительные устройства 130 пользователей 110.

В одном из вариантов реализации на этапе 370, выполняющемся после этапа 320, дополнительно на основании полученных от средства сбора 210 данных средство анализа 220 анализирует эффективность выполненных действий для противодействия атаке. В общем случае выполненные действия признаются эффективными, если в результате атака не выявляется упомянутым правилом выявления атаки на устройствах 130 других пользователей 110.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Похожие патенты RU2697926C1

название год авторы номер документа
Система и способ выявления подозрительной активности пользователя при взаимодействии пользователя с различными банковскими сервисами 2016
  • Устинов Михаил Валерьевич
  • Голованов Дмитрий Игоревич
  • Ермакович Александр Анатольевич
  • Колотинский Евгений Борисович
  • Кондратов Виталий Викторович
RU2635275C1
Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами 2017
  • Скворцов Владимир Александрович
  • Колотинский Евгений Борисович
RU2666644C1
Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам 2019
  • Иванов Сергей Николаевич
RU2757535C2
Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами 2017
  • Скворцов Владимир Александрович
  • Колотинский Евгений Борисович
RU2659736C1
Система и способ контроля операций при взаимодействии пользователя с удаленными сервисами 2020
  • Федюшкин Максим Сергеевич
RU2762527C1
Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами 2020
  • Иванов Сергей Николаевич
RU2758359C1
Система и способ выявления мошеннических активностей при взаимодействии пользователя с банковскими сервисами 2020
  • Иванов Сергей Николаевич
RU2762241C2
Система и способ защиты автоматизированных систем при помощи шлюза 2019
  • Лукиян Дмитрий Сергеевич
  • Верещагин Алексей Георгиевич
RU2724796C1
Система и способ конфигурирования шлюза для защиты автоматизированных систем 2019
  • Лукиян Дмитрий Сергеевич
  • Верещагин Алексей Георгиевич
RU2746105C2
СИСТЕМА И СПОСОБ УМЕНЬШЕНИЯ ЛОЖНЫХ СРАБАТЫВАНИЙ ПРИ ОПРЕДЕЛЕНИИ СЕТЕВОЙ АТАКИ 2011
  • Гудов Николай Владимирович
  • Левашов Дмитрий Анатольевич
RU2480937C2

Иллюстрации к изобретению RU 2 697 926 C1

Реферат патента 2019 года Система и способ противодействия атаке на вычислительные устройства пользователей

Изобретение относится к средствам выявления и противодействия атаке на вычислительные устройства пользователей. Технический результат заключается в повышении защищенности при атаке на вычислительное устройство пользователя. Технический результат достигается путем использования системы и способа, в которых: собирают данные о сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об устройствах; собирают данные для выявления атаки. Формируют кластеры вычислительных устройств. Выявляют вектор атаки на основании характеристик вектора атаки. Выбирают действие для противодействия атаке. Выполняют действие для противодействия атаке. 2 н. и 10 з.п. ф-лы, 4 ил.

Формула изобретения RU 2 697 926 C1

1. Система противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, при этом указанная система содержит:

i) средство сбора, выполняющееся на каждом вычислительном устройстве и предназначенное для:

- сбора данных об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств;

- сбора данных об упомянутых вычислительных устройствах;

- сбора данных для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки, полученного от средства анализа;

- передачи всех собранных данных средству анализа;

ii) средство анализа, выполняющееся на удаленном сервере и предназначенное для:

- хранения правил выявления атаки на вычислительные устройства и передачи их средству сбора;

- формирования кластеров вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании данных, полученных от средства сбора;

- выявления вектора атаки на основании характеристик вектора атаки;

- выбора по меньшей мере одного действия для противодействия атаке, и передаче его средствам противодействия атаке на вычислительные устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер;

iii) средство противодействия атаке, выполняющееся на вычислительных устройствах и предназначенное для выполнения действий для противодействия атаке на вычислительные устройства, полученных от средства анализа.

2. Система по п. 1, в которой данными о пользователях являются персональные данные.

3. Система по п. 1, в которой характеристикой вектора атаки является источник или множество источников атаки.

4. Система по п. 1, в которой характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

5. Система по п. 1, в которой характеристикой вектора атаки является вид воздействия.

6. Система по п. 1, в которой характеристикой вектора атаки является инструмент воздействия.

7. Способ противодействия атаке на вычислительные устройства, посредством которых пользователи взаимодействуют с сервисами, сохраняющими данные о пользователях, реализуемый с помощью упомянутых средств и содержащий этапы, на которых:

- собирают данные об упомянутых сервисах, с которыми взаимодействуют пользователи посредством вычислительных устройств, и данные об упомянутых устройствах;

- собирают данные для выявления атаки, возникающей в результате утечки данных о пользователях с по меньшей мере одного упомянутого сервиса, при этом атака выявляется на основании по меньшей мере одного правила выявления атаки;

- формируют кластеры вычислительных устройств, посредством которых пользователи взаимодействуют сервисами, сохраняющими данные о пользователях, на основании собранных данных:

- выявляют вектор атаки на основании характеристик вектора атаки;

- выбирают по меньшей мере одно действие для противодействия атаке и передают на устройства соответствующего кластера в случае выявления совпадения характеристик вектора атаки на по меньшей мере одно устройство другого пользователя, устройства которого входят в соответствующий кластер;

- выполняют действия для противодействия атаке на вычислительные устройства.

8. Способ п. 7, в котором данными о пользователях являются персональные данные.

9. Способ по п. 7, в котором характеристикой вектора атаки является источник или множество источников атаки.

10. Способ по п. 7, в котором характеристикой вектора атаки является элемент или множество элементов, являющихся целью атаки.

11. Способ по п. 7, в котором характеристикой вектора атаки является вид воздействия.

12. Способ по п. 7, в котором характеристикой вектора атаки является инструмент воздействия.

Документы, цитированные в отчете о поиске Патент 2019 года RU2697926C1

US 9754106 B2, 05.09.2017
Способ защиты переносных электрических установок от опасностей, связанных с заземлением одной из фаз 1924
  • Подольский Л.П.
SU2014A1
Колосоуборка 1923
  • Беляков И.Д.
SU2009A1
СИСТЕМА И СПОСОБ ВЫЯВЛЕНИЯ ЦЕЛЕВЫХ АТАК 2014
  • Яблоков Виктор Владимирович
RU2601147C2

RU 2 697 926 C1

Авторы

Мартыненко Владислав Валерьевич

Романенко Алексей Михайлович

Даты

2019-08-21Публикация

2018-03-30Подача