ОБЛАСТЬ ТЕХНИКИ
Настоящее изобретение относится к области информационной безопасности, в частности к способу и вычислительному устройству для выявления подозрительных пользователей в системах обмена сообщениями.
УРОВЕНЬ ТЕХНИКИ
В настоящее время наиболее популярными средствами коммуникации в сети Интернет, корпоративных и локальных сетях являются различные системы мгновенного обмена сообщениями (также называемые мессенджерами или IMS-системами), позволяющие пользователям организовать обмен сообщениями в режиме реального времени или в режиме, приближенном к режиму реального времени, с использованием любого вычислительного устройства пользователя, например стационарного компьютера, ноутбука, нетбука, планшета, коммуникатора, сотового телефона, смартфона и т.п., на котором установлена необходимая клиентская программа (также называемая IM-клиент) и которое имеет возможность подключения к соответствующей информационной сети. К наиболее востребованным в мире мессенджерам относятся, в частности, Viber, WhatsApp, Facebook Messenger, Telegram, Slack, Skype, Signal, ICQ, VideoChat и другие популярные мессенджеры. Кроме того, все еще востребованными средствами коммуникации являются и системы обмены сообщениями в режиме офлайн, примерами которых являются электронные почтовые системы, форумы, гостевые книги на standalone-веб-ресурсе, Интернет-блоги и т.п.
Следует отметить, что каждый из вышеперечисленных мессенджеров обычно имеет отдельные сервера и протоколы, а также отличается от остальных мессенджеров своими правилами и особенностями, при этом между различными мессенджерами нет какой-либо прямой связи, что, однако, не мешает любому пользователю одновременно использовать несколько разных мессенджеров в целях коммуникации.
Пользователи-злоумышленники часто используют такие популярные мессенджеры для рассылки пользователям-жертвам сообщений, содержащих сведения о поддельных адресах электронной почты, сведения о поддельных счетах в финансовых организациях или платежных системах и/или вредоносные ссылки, позволяющие пользователям-злоумышленникам доставить в вычислительное устройство пользователей-жертв файлы с вредоносным содержимым, установить на вычислительном устройстве пользователей-жертв вредоносное программное обеспечение, перенаправить пользователей-жертв на поддельный веб-сайт и т.п. для дальнейшего совершения различных вредоносных действий, таких как рассылка спама, кибершантаж, фишинг, анонимный доступ в сеть, кража конфиденциальных данных и т.п., в зависимости от целей этих пользователей-злоумышленников.
Для выявления и блокирования пользователей-злоумышленников на основании результатов анализа их сообщений, отправляемых в мессенджерах, широко используют так называемые интеллектуальные чат-боты, встраиваемые в такие мессенджеры или подключаемые к ним.
Один из иллюстративных примеров такого интеллектуального чат-бота описан в патенте РФ № 2670906 С1 (опубл. 25.10.2018; H04L 29/00).
В частности, в патенте RU 2670906 описана самонастраивающаяся интерактивная система обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер, содержащая: модуль доступа, обеспечивающий доступ пользователя к указанной системе в случае его успешной аутентификации по меньшей мере в одной социальной сети и/или аутентификации посредством электронной почты; пользовательское устройство, связанное с модулем доступа и выполненное с возможностью обеспечения навигации по меньшей мере по одному веб-сайту, ввода сообщений и/или совершения звонков, предназначенных для пользователей веб-сайтов; модуль оценки надежности профиля пользователя, связанный с пользовательским устройством и выполненный с возможностью вычисления рейтинга пользователя, отражающего уровень доверия сообщениям, которые обмениваются пользователи; модуль обмена сообщениями и/или звонками между пользователями по меньшей мере одного веб-сайта, связанный с модулем оценки надежности профиля пользователя и выполненный с возможностью организации обмена сообщениями и/или звонками в группе пользователей в зависимости по меньшей мере от рейтинга пользователя и с возможностью автоматизированной блокировки возможности обмена личными и/или групповыми сообщениями и/или звонками по меньшей мере для одного пользователя в зависимости по меньшей мере от рейтинга пользователя; модуль защиты данных, проверяющий любой контент, которым обмениваются пользователи с использованием модуля обмена сообщениями и выполненный с возможностью проверки комментариев и сообщений данных на предмет их принадлежности к данным, отправляемым ботами, путем оценки частоты отправления пользователем комментариев и/или сообщений на основании IP-адреса таких пользователей с обеспечением блокировки пользователей, у которых частота отправки сообщений и/или комментариев превышает заданный порог при заданной временной длительности, и с возможностью осуществления антивирусной проверки контента в указанной системе.
Следует отметить, что модуль защиты пользователей мессенджера от действий злоумышленников в системе обмена сообщениями и/или звонками между пользователями, описанной в патенте RU 2670906, использует крайне ограниченный набор средств для выявления и блокировки подозрительных пользователей.
Таким образом, очевидна потребность в дальнейшем совершенствовании средств защиты от целенаправленных атак, для организации которых злоумышленники используют сообщения с вредоносным содержимым, рассылаемые пользователям, например, в различных мессенджерах, в частности для более эффективного выявления пользователей-злоумышленников в мессенджерах.
Следовательно, техническая проблема, решаемая настоящим изобретением, состоит в создании усовершенствованных средств для выявления подозрительных пользователей в мессенджерах, в которых по меньшей мере частично устранён обозначенный выше недостаток известных средств защиты, заключающийся низкой эффективности выявления пользователей-злоумышленников в мессенджерах.
РАСКРЫТИЕ СУЩНОСТИ
Вышеупомянутая техническая проблема решена в одном из аспектов настоящего изобретения, согласно которому предложен способ выявления подозрительных пользователей в системах обмена сообщениями, выполняемый на вычислительном устройстве, при этом согласно указанному способу: получают по меньшей мере из одной системы обмена сообщениями множество пользовательских сообщений; анализируют каждое из полученных пользовательских сообщений для выявления по меньшей мере одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений; в случае выявления указанного по меньшей мере одного признака подозрительности сообщения в анализируемом пользовательском сообщении идентифицируют по меньшей мере одного пользователя, связанного с анализируемым пользовательским сообщением, в указанных системах обмена сообщениями; каждому из идентифицированных пользователей присваивают оценку подозрительности в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой вклад в присвоенную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной оценки подозрительности; относят пользователей по меньшей мере в одной из указанных систем обмена сообщениями к подозрительным пользователям в случае, если измененное значение их показателя репутации превышает заданную предельную пороговую репутацию.
В одном из вариантов реализации настоящего изобретения предложенный способ может включать дополнительную операцию, согласно которой идентифицируют формат описания полученных пользовательских сообщений, при этом если идентифицированный формат описания сообщений не соответствует унифицированному формату описания данных, подходящему для вычислительного устройства, то преобразуют полученные сообщения в указанный унифицированный формат.
Еще в одном варианте реализации настоящего изобретения предложенный способ может включать дополнительную операцию, согласно которой выявляют в указанных полученных пользовательских сообщениях голосовые сообщения и видео и преобразуют их в текст.
В некоторых вариантах реализации настоящего изобретения при анализе каждого из полученных пользовательских сообщений в предложенном способе выполняют по меньшей мере один из следующих подэтапов, согласно которым: выявляют в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки; выявляют в анализируемом пользовательском сообщении по меньшей одного вредоносного аккаунта платежной системы; выявляют в анализируемом пользовательском сообщении по меньшей мере одного вредоносного адреса электронной почты; выявляют в анализируемом пользовательском сообщении сведений по меньшей мере об одном вредоносном счете в финансовой организации.
В других варианта реализации настоящего изобретения при выявлении в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки в предложенном способе извлекают из анализируемого пользовательского сообщения по меньшей мере одну ссылку с обеспечением выполнения по меньшей мере одной из следующих операций, согласно которым: анализируют доменное имя для извлеченной ссылки на вредоносность с использованием по меньшей мере одной методики анализа; получают по меньшей мере один файл, находящийся по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа; и получают html-код веб-ресурса, находящегося по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа.
Еще в одних вариантах реализации настоящего изобретения при выявлении в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки в предложенном способе дополнительно устанавливают, совпадает ли извлеченная ссылка по меньшей мере частично с одной из известных вредоносных ссылок.
В других вариантах реализации настоящего изобретения при анализе доменного имени на вредоносность дополнительно проверяют, совпадает ли анализируемое доменное имя по меньшей мере частично с одним из известных вредоносных доменных имен.
В некоторых других вариантах реализации настоящего изобретения при анализе полученного файла, находящегося по извлеченной ссылке, на вредоносность дополнительно вычисляют его хеш-сумму и устанавливают, совпадает ли вычисленная хеш-сумма анализируемого файла с хеш-суммой одного из известных вредоносных файлов.
В одном из вариантов реализации настоящего изобретения при анализе полученного html-кода веб-ресурса осуществляют поиск в указанном html-коде заданных ключевых слов, указывающих на вредоносный характер веб-ресурса.
В другом варианте реализации настоящего изобретения подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного аккаунта платежной системы включает извлечение из анализируемого пользовательского сообщения по меньшей мере одного аккаунта платежной системы с обеспечением проверки, совпадает ли извлеченный аккаунт платежной системы с одним из известных вредоносных аккаунтов платежных систем.
Еще в одном варианте реализации настоящего изобретения подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного адреса электронной почты включает извлечение из анализируемого пользовательского сообщения по меньшей мере одного адреса электронной почты с обеспечением проверки, совпадает ли извлеченный адрес электронной почты с одним из известных вредоносных адресов электронной почты.
В некотором другом варианте реализации настоящего изобретения дополнительно анализируют идентификационные данные идентифицированных пользователей для выявления по меньшей мере одного признака подозрительности пользователя из заданного набора признаков подозрительности пользователей с обеспечением присвоения дополнительной оценки подозрительности каждому из указанных идентифицированных пользователей в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную дополнительную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной дополнительной оценки подозрительности.
Согласно одному из вариантов реализации настоящего изобретения, дополнительный анализ идентификационных данных пользователей осуществляют в отношении только тех идентифицированных пользователей, чей показатель репутации превышает заданную минимальную пороговую репутацию, которая меньше указанной предельной пороговой репутации.
Согласно еще одному варианту реализации настоящего изобретения, при выявлении по меньшей мере одного признака подозрительности каждого из идентифицированных пользователей: устанавливают, совпадают ли аватар, ФИО и/или никнейм идентифицированного пользователя с соответствующими сведениями об администраторе по меньшей мере в одной из систем обмена сообщениями; выявляют, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей системе обмена сообщениями; выявляют, являются ли лица, приглашенные идентифицированным пользователем для обмена сообщениями в рамках по меньшей мере одного канала обмена сообщения в соответствующей системе обмена сообщениями, программой, имитирующей деятельность человека по обмену сообщениями в указанной системе обмена сообщениями, и/или выявляют, имеются ли в системах обмена сообщениями по меньшей мере один пользователь с идентификационными данными, совпадающими с идентификационными данными идентифицированного пользователя.
Согласно другому варианту реализации настоящего изобретения, при выявлении, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей системе обмена сообщениями, анализируют активность отправки сообщений указанным пользователем в указанной системе обмена сообщениями в течение заданного периода времени, при этом в случае выявления, что активность отправки сообщений пользователя соответствует определенной временной схеме, относят указанного пользователя к программам, имитирующим поведение пользователя.
Согласно некоторому другому варианту реализации настоящего изобретения, при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, выявляют в этих системах обмена сообщениями сообщения, схожие с указанным подозрительным пользовательским сообщением, с обеспечением объединения пользователей, отправивших такие схожие сообщения, в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
Согласно еще одному другому варианту реализации настоящего изобретения, при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, выявляют в этих системах обмена сообщениями пользователей со схожими идентификационными данными с обеспечением объединения таких пользователей в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
Согласно других вариантам реализации настоящего изобретения, при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, устанавливают возможную связь между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, с другими ссылками, извлеченными из анализируемых сообщений в этих системах обмена сообщениями, с обеспечением объединения таких пользователей в группу взаимосвязанных пользователей при установлении такой связи, при этом в случае, когда показатель репутации одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
Возможность объединения пользователей в группу в взаимосвязанных пользователей с обеспечением отнесения всех пользователей из указанной группы к числу подозрительных пользователей в случае, когда показатель репутации одного из пользователей в этой группе превышает заданную предельную пороговую репутацию, позволяет выявлять группы пользователей-злоумышленников, осуществляющих схожую вредоносную деятельность или схожие вредоносные действия как в одном и том же мессенджере, так и сразу в нескольких разных мессенджерах.
Согласно некоторым вариантам реализации настоящего изобретения, при установлении связи между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, для каждой пары ссылок устанавливают по меньшей мере одно из следующего: имеют ли доменные имена схожее написание; зарегистрированы ли доменные имена на одно и то же лицо; указаны ли для зарегистрированных доменных имен одни и те же контактные данные; находятся ли доменные имена по одному и тому же IP-адресу; и имеют ли извлеченные ссылки один и тот же единый указатель веб-ресурса (“URL”, например https://ru.wikipedia.org/wiki/URL).
Согласно некоторым другим вариантам реализации настоящего изобретения, в предложенном способе дополнительно отправляют сведения о каждом из подозрительных пользователей в соответствующую систему обмена сообщениями
В одном из вариантов реализации настоящего изобретения в предложенном способе дополнительно отправляют запрос на блокирование каждого из подозрительных пользователей в соответствующую систему обмена данными.
В другом варианте реализации настоящего изобретения в предложенном способе дополнительно сохраняют проанализированные пользовательские сообщения в базу пользовательских сообщений, размещенную на вычислительном устройстве.
Еще в одном варианте реализации настоящего изобретения в предложенном способе по меньшей мере для одного из сохраненных пользовательских сообщений направляют в соответствующую систему обмена сообщениями, связанную с указанным сохраненным пользовательским сообщением, запрос для установления факта изменения этого пользовательского сообщения самим пользователем в указанной системе обмена сообщениями, при этом в случае установления факта изменения пользовательского сообщения получают указанное измененное пользовательское сообщение из указанной системы обмена сообщениями с обеспечением его повторного анализа на наличие признаков подозрительности.
В некотором другом варианте реализации настоящего изобретения запрос в систему обмена сообщениями направляют по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию.
В некоторых вариантах реализации настоящего изобретения по меньшей мере для одного из сохраненных пользовательских сообщений получают доступ, посредством вычислительного устройства, к соответствующей системе обмена сообщениями с обеспечением извлечения из её базы сообщений пользовательского сообщения, атрибуты которого совпадают с атрибутами указанного сохраненного пользовательского сообщения, и вычисляют хеш-суммы указанных сохраненного пользовательского сообщения и извлеченного пользовательского сообщения, при этом в случае несовпадения вычисленных хеш-сумм осуществляют повторный анализ указанного измененного пользовательского сообщения на наличие признаков подозрительности.
В других вариантах реализации настоящего изобретения получение доступа к базе сообщений системы обмена сообщениями с извлечением из нее необходимого пользовательского сообщения осуществляют по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию.
В некоторых вариантах реализации настоящего изобретения в предложенном способе дополнительно блокируют, посредством вычислительного устройства, выявленных подозрительных пользователей в соответствующих системах обмена данными.
Вышеупомянутая техническая проблема также решена еще в одном из аспектов настоящего изобретения, согласно которому предложено вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями, выполненное с возможностью обмена данными с системами обмена сообщениями и содержащее память для хранения машиночитаемых инструкций и по меньшей мере один вычислительный процессор, выполненный с возможностью исполнения машиночитаемых инструкций с обеспечением осуществления вышеописанного способа выявления подозрительных пользователей в системах обмена сообщениями.
Задачи и преимущества предложенных способа и вычислительного устройства для выявления подозрительных пользователей в системах обмена сообщениями будут очевидны из приведенного ниже описания, прилагаемых чертежей и прилагаемой формулы изобретения.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Прилагаемые чертежи, которые приведены для лучшего понимания сущности настоящего изобретения, включены в данный документ для иллюстрации нижеописанных вариантов реализации настоящего изобретения. Прилагаемые чертежи в совокупности с приведенным ниже описанием служат для пояснения сущности настоящего изобретения. На чертежах:
на фиг. 1 схематически показана система для выявления подозрительных пользователей в системах обмена сообщениями;
на фиг. 2 показан один из вариантов реализации вычислительного устройства для выявления подозрительных пользователей в системах обмена сообщениями;
на фиг. 3 показана блок-схема способа выявления подозрительных пользователей в системах обмена сообщениями согласно настоящему изобретению.
ОСУЩЕСТВЛЕНИЕ
Ниже описаны некоторые примеры возможных вариантов реализации настоящего изобретения, при этом не следует считать, что приведенное ниже описание определяет или ограничивает объем настоящего изобретения.
Системы обмена сообщениями (мессенджеры) обычно реализуют на основе центрального компьютера или управляющего сервера, который, помимо прочего, соединен с базой сообщений и базой данных пользователей с обеспечением управления обновлением этих баз данных и управления доступом к этим базам данных. В зависимости от конкретной реализации системы обмена сообщениями ее пользователи могут передавать и/или принимать текстовые сообщения, голосовые сообщения, изображения и видео.
Для начала работы в какой-либо системе обмена сообщениями пользователю необходимо установить на своем устройстве IM-клиент и получить идентификатор, являющийся уникальным в рамках конкретной системы обмена сообщениями. В системах обмена сообщениями, требующих наличия учетной записи, в зависимости от их реализации в качестве уникального идентификатора используют логин, в качестве которого может быть указан адрес электронной почты (e-mail), совокупность цифр и/или символов (никнейм), целое число (например, «UIN» в мессенджере «ICQ» или «user_id» в мессенджере «Telegram») или их любое сочетание. В системах же обмена сообщениями, которые не требуют наличия такой учетной записи (например в блогах, в которых разрешено анонимное комментирование опубликованных постов пользователей), в качестве уникального идентификатора пользователя может быть использован IP-адрес устройства пользователя, уникальный «отпечаток» пользователя типа «user-agent», MAC-адрес устройства пользователя, «IMEI» мобильного устройства и т.п.
Каждая система обмена сообщениями имеет один или более каналов обмена сообщениями (также называемых чатами), используемых пользователями для обмена сообщениями друг с другом.
Канал обмена сообщения в различных системах обмена сообщениями может представлять собой следующее:
- веб-чат, работающий на standalone-веб-ресурсе, например на веб-ресурсе «chat.ru»;
- отдельный так называемый канал мессенджера «Telegram», доступный как на мобильных устройствах, так и на персональных компьютерах;
- текстовый диалог по меньшей мере двух пользователей в мессенджерах типа «ICQ», «Skype», «WhatsApp» и т.п., доступные как на мобильных устройствах, так и на персональных компьютерах;
- голосовой диалог (в сопровождении видео и без него) в мессенджерах типа «Skype», «WhatsApp» и т.п.;
- обмен изображениями, текстом и/или видео в системе виртуальной или дополненной реальности в мессенджерах типа «VideoChat», в которых каждый из пользователей-собеседников должен использовать специальное оборудование, например VR-шлемы или VR-очки;
- любой другой канал обмена текстовыми сообщениями с использованием сети Интернет, оснащенный собственным API-интерфейсом, например электронная почта, форум или гостевая книга на standalone-веб-ресурсе, комментарии к записи в блоге и т.п.
Каждая система обмена сообщениями снабжена своим интерфейсом для внешнего подключения (API-интерфейсом), посредством которого любое внешнее устройство, которое подключено к указанному API-интерфейсу и знает синтаксис его команд, может взаимодействовать с управляющим сервером, на основе которого реализована эта конкретная система обменами сообщениями, для передачи на этот управляющий сервер, например, запросов на совершение этим сервером управляющих действий и/или запросов на передачу в указанное внешнее устройство всего потока сообщений, поступающих от всех пользователей по всем каналам обмена сообщениями в рамках этой конкретной системы обмена сообщениями, включая всю дополнительную информацию, которая такие пользовательские сообщения атрибутирует. Таким образом, API-интерфейс каждой системы обмена сообщениями является двунаправленным, то есть он обеспечивает не только передачу запросов от внешних устройств на управляющий сервер, но и передачу необходимых сведений из управляющего сервера на такие внешние устройства в ответ на полученные от них запросы.
Пользовательское сообщение, передаваемое по любому из вышеописанных каналов в системе обмена сообщениями, каждый из которых имеет свой уникальный логический адрес, по которому к нему можно получить доступ, по сути образовано из двух основных частей, а именно из тела сообщения, представляющего собой тот контент (текст, изображения, звуковые записи, видеозаписи, файлы и т.п.), который один пользователь хочет передать другому пользователю в рамках установленного канала обмена сообщениями в системе обмена сообщениями, и заголовок сообщения, представляющий собой информацию, используемую системой обмена сообщениями для описания передаваемого пользовательского сообщения, включая дату и время отправки, идентификационные данные отправителя, идентификационные данные получателя, идентификационные данные системы обмена сообщениями, атрибуты текста, такие как шрифт, кегль, интерлиньяж и т.п. Таким образом, все пользовательские сообщения имеют одинаковую структуру: тело каждого пользовательского сообщения содержит данные (контент), которые необходимо передать в соответствии с информацией, размещенной в заголовке пользовательского сообщения.
Терминология
В контексте данного документа, если явно не указано иное, «показатель репутации» представляет собой число, например целое число, при этом данное число является одним из обязательных полей базы или баз данных, в которых сохраняют данные пользователей, в частности нижеописанного локального хранилища данных. При создании в такой базе или базах данных каждой новой записи, ассоциированной с новым пользователем, показателю репутации данного нового пользователя присваивают заданное численное значение, например нулевое значение. В случае обнаружения вредоносного контента, например вредоносной ссылки, в сообщении, отправленном конкретным пользователем в системе обмена сообщениями, изменяют значение показателя репутации этого пользователя, в частности увеличивают значение показателя репутации данного пользователя на величину, рассчитанную нижеописанным способом, с сохранением в соответствующей базе или базах данных указанного изменённого значения показателя репутации.
В контексте данного документа, если явно не указано иное, «минимальная пороговая репутация» представляет собой значение показателя репутации, превышение которого для конкретного пользователя приводит к отнесению этого пользователя к потенциально подозрительным пользователям (т.е. к числу пользователей, которые подозреваются в распространении вредоносных сообщений в системах обмена сообщениями), в отношении которых могут быть осуществлены ниже описанные дополнительные проверки, отрицательные результаты которых приводят привести к увеличению показателя репутации указанного пользователя.
В контексте данного документа, если явно не указано иное, «предельная пороговая репутация» представляет собой значение показателя репутации, превышение которого для конкретного пользователя приводит к отнесению этого пользователя к подозрительным пользователям, то есть к числу пользователей, распространяющих вредоносные сообщения в системах обмена сообщениями, с последующей по меньшей мере временной блокировкой этого пользователя по меньшей мере в одной из систем обмена сообщениями.
Система для выявления подозрительных пользователей в системах обмена сообщениями
На фиг. 1 схематически показана система 100 для выявления подозрительных пользователей, содержащая систему 110 обмена сообщениями, соответствующую, например, мессенджеру «WhatsApp», систему 120 обмена сообщениями, соответствующую, например, мессенджеру «Telegram», и вычислительное устройство 200 для выявления подозрительных пользователей согласно настоящему изобретению, показанное на фиг. 2. Система 110 обмена сообщениями содержит, помимо прочего, управляющий сервер 112, API-интерфейс 114, обеспечивающий возможность взаимодействия с управляющим сервером 112, базу 116 сообщений и базу 118 данных пользователей, находящиеся под управлением управляющего сервера 112, при этом в базу 116 сообщений сохраняют все сообщения, передаваемые пользователями в системе 110 обмена сообщениями, а в базу 118 данных пользователей сохраняют сведения о всех пользователях, использующих систему 110 обмена сообщениями для коммуникации с другими пользователями этой системы 110 обмена сообщениями. Система 120 обмена сообщениями также содержит, помимо прочего, управляющий сервер 122, API-интерфейс 124, обеспечивающий возможность взаимодействия с управляющим сервером 122, базу 126 сообщений и базу 128 данных пользователей, находящиеся под управлением управляющего сервера 122, при этом в базу 126 сообщений сохраняют все сообщения, передаваемые пользователями в системе 120 обмена сообщениями, а в базу 128 данных пользователей сохраняют сведения о всех пользователях, использующих систему 120 обмена сообщениями для коммуникации с другими пользователями этой системы 120 обмена сообщениями. Следует отметить, что каждое из пользовательских сообщений в базе 116 сообщений и каждое из пользовательских сообщений в базе 126 сообщений поставлены в соответствие по меньшей мере одному уникальному идентификатору, соответствующему одному из пользователей, а сведения о пользователях в базе 118 данных пользователей и сведения о пользователях в базе 128 данных пользователей также поставлены в соответствие по меньшей мере с уникальным идентификатором соответствующего одного из пользователей. Кроме того, каждая из систем 110, 120 обмена сообщениями может дополнительно содержать свою базу данных подозрительных пользователей (не показаны).
Таким образом, система 100, показанная на фиг. 1, предназначена для выявления подозрительных пользователей в системе 110 обмена сообщениями и системе 120 обмена сообщениями.
Вычислительное устройство 200 для выявления подозрительных пользователей согласно настоящему изобретению подключено к системе 110 обмена сообщениями и системе 120 обмена сообщениями посредством соответственно парсера 130, подключенного к API-интерфейсу 114 системы 110 обмена сообщениями и предварительно настроенного на работу с ним, и парсера 140, подключенного к API-интерфейсу 124 системы 120 обмена сообщениями и предварительно настроенного на работу с ним, при этом парсер 130 соединен с возможностью обмена сообщениями с вычислительным устройством 200 с использованием сети 150 Интернет, а парсер 140 соединен с возможностью обмена сообщениями непосредственно с самим вычислительным устройством 200. Следует отметить, что каждый из API-интерфейса 114 и API-интерфейса 124 имеет свой конкретный синтаксис команд, так что парсер 130, работающий с API-интерфейсом 114, должен быть предварительно запрограммирован понимать синтаксис команд этого API-интерфейса 114, а парсер 140, работающий с API-интерфейсом 124, должен быть аналогичным образом предварительно запрограммирован понимать синтаксис команд API-интерфейса 124, при этом настройка парсера 130 и парсера 140 на работу соответственно с API-интерфейсом 114 и API-интерфейсом 124 происходит при первоначальном подключении вычислительного устройства 200 к системам 110, 120 обмена сообщениями.
Вычислительное устройство 200 выполнено с возможностью направления запросов на каждую из системы 110 обмена сообщениями и системы 120 обмена сообщениями, при этом благодаря использованию парсеров 130, 140, предварительно настроенных на работу соответственно с API-интерфейсами 114, 124, через которые направленные запросы поступают соответственно в системы 110, 120, указанные запросы будут содержать команды, понятные соответственно управляющим серверам 112, 122, в результате чего эти управляющие сервера 112, 122 смогут надлежащим образом обработать указанные полученные запросы и надлежащим образом отреагировать на них.
Следует отметить, что система 110 обмена сообщениями и система 120 обмена сообщениями показаны на фиг. 1 исключительно в качестве примера, то есть не следует считать, что возможная реализация системы 100 ограничена примером, показанным на фиг. 1, при этом специалисту в данной области техники должно быть ясно, что система 100 может содержать как одну систему обмена сообщениями, соответствующую, например, любому одному из известных мессенджеров, так и более двух систем обмена сообщениями, соответствующих каждая, например, любому одному из известных мессенджеров, а взаимодействие между любой такой системой обмена сообщениями и вычислительным устройством 200 будет происходить аналогично нижеописанным процессам взаимодействия между вычислительным устройством 200 и системами 110, 120 обмена сообщениями.
Любой из парсеров, в том числе любой из вышеописанных парсеров 130, 140, используемых в системе 100 для выявления подозрительных пользователей, может быть подключен к вычислительному устройству 200 как опосредованно, то есть с использованием проводного или беспроводного соединения, например с использованием сети 150 Интернет, так и напрямую, то есть без использования, например, сети Интернет.
Согласно настоящему изобретению, вычислительное устройство 200 выполнено с возможностью направления запросов на каждую из системы 110 обмена сообщениями и системы 120 обмена сообщениями для получения от них пользовательских сообщений, пересылаемых пользователями по всем каналам обмена сообщениями в рамках соответствующей системы обмена сообщениями, при этом в ответ на принятые запросы серверы 112, 122 получают доступ соответственно к базе 116 сообщений и базе 126 сообщений с обеспечением извлечения из них запрашиваемых пользовательских сообщений и передачей извлеченных пользовательских сообщений соответственно через API-интерфейсы 114, 124 на парсеры 130, 140, при этом парсер 130 обеспечивает возможность обработки выходного потока данных от API-интерфейса 114 для извлечения из него пользовательских сообщений, запрошенных из системы 110 обмена сообщениями, а парсер 140 обеспечивает возможность обработки выходного потока данных от API-интерфейса 124 для извлечения из него пользовательских сообщений, запрошенных из системы 120 обмена сообщениями. В частности, выходной поток данных от любого API-интерфейса содержит текст самих пользовательских сообщений и идентификационные данные, описывающие передаваемые пользовательские сообщения, например, дату и время отправки, идентификационные данные отправителя, идентификационные данные получателя, идентификационные данные системы обмена сообщениями и/или прочие необходимые атрибуты этих передаваемых сообщений. Выходной поток данных от любого API-интерфейса обычно представляет собой совокупность символов в виде строки символов с заданным форматом описания, которая разделена на структурные элементы, что может быть реализовано, в частности, с использованием предварительно заданного символа, например символа «#» (решетка), при этом формат описания такой строки символов от API-интерфейса конкретной системы обмена сообщениями должен быть известен тому парсеру, который настроен на работу с этим API-интерфейсом. В качестве примера выходной поток данных от API-интерфейса может представлять собой строку символов следующего вида: …message_id: ide736353672383#from: @user1#date: 11.10.2018 15:155#text: Hello world. https://phishingwebsite.com/login#. При получении подобных строк символов от API-интерфейсов 114, 124 парсеры 130, 140 соответственно извлекают из этих полученных строк, каждая из которых разделена на известную совокупность структурных элементов, текст пользовательских сообщений и по меньшей мере некоторые из вышеописанных идентификационных данных, описывающих эти пользовательские сообщения, с обеспечением передачи указанных извлеченных сведений в вычислительное устройство 200 для их последующей обработки, особенности которой описаны ниже. Для приведенного выше примера строки символов, которая может быть получена любым из парсеров 130, 140 от соответствующего API-интерфейса, текст пользовательского сообщения, который будет извлечен указанным парсером, будет выглядеть, например, следующим образом: «Hello world. https://phishingwebsite.com/login», при этом в указанном парсере извлеченный текст «Hello world. https://phishingwebsite.com/login» будет поставлен в соответствие по меньшей мере с некоторыми из извлеченных идентификационных данных, описывающих это пользовательское сообщение, и передан в вычислительное устройство 200. В частности, следует также отметить, что для правильного извлечения всех необходимых сведений, в частности текста пользовательского сообщения и идентификационных данных, описывающих это пользовательское сообщение, из выходных потоков данных от API-интерфейсов 114, 124 парсеры 130, 140 соответственно должны быть предварительно запрограммированы или настроены обрабатывать выходные потоки данных, представленные в виде строк символов, соответственно от API-интерфейсов 114, 124, при этом каждому из парсеров 130, 140 должен быть по меньшей мере известен формат записи обрабатываемых потоков данных. В частности, для приведенного выше примера парсеры 130, 140 должны знать, что ключевым словом в полученной строке символов, указывающим на начало текста пользовательского сообщения, является слово «text». Следует также отметить, что для того, чтобы при обработке в парсере выходного потока данных от соответствующего API-интерфейса он смог дополнительно (в дополнение к извлеченному тексту пользовательского сообщения, как описано выше в данном документе) извлечь все необходимые идентификационные данные, описывающие извлеченное пользовательское сообщение, например дата и время отправки, идентификационные данные отправителя, идентификационные данные получателя, идентификационные данные самой системы обмена сообщениями и/или иные идентификаторы (то есть все те сведения, которые обычно содержатся в заголовках пользовательских сообщений, передаваемых в рамках конкретной системы обмена сообщениями, и которые позволяют описать тело этих пользовательских сообщений), указанный парсер также должен знать и иные стандартные ключевые слова, обычно используемые в получаемых строках символов для указания на наличие тех или иных идентификационных сведений, следующих за этим ключевым словом в этих строках символов.
В одном из вариантов настоящего изобретения каждый из парсеров 130, 140 может быть дополнительно запрограммирован или настроен распознавать или идентифицировать формат описания выходного потока данных соответственно от API-интерфейсов 114, 124. Кроме того, каждый из парсеров 130, 140 предварительно запрограммирован таким образом, что ему известен унифицированный формат описания данных, с которым работает вычислительное устройство 200, при этом в качестве унифицированного формата используют текстовый формат описания данных. В этом варианте реализации настоящего изобретения система 100 может дополнительно содержать преобразующий модуль (не показан), подключенный с возможностью обмена данными к парсеру 130, и еще один преобразующий модуль (не показан), подключенный с возможностью обмена данными к парсеру 140, при этом каждый из этих преобразующих модулей выполнен с возможностью преобразования голоса/звука в текст (например, с использованием известных временных динамических алгоритмов, известных методов контекстно-зависимой классификации на основе выделения из потока речи отдельных лексических элементов, таких как фонемы и аллофоны, с их последующим объединением в слоги и морфемы, известных методов дискриминантного анализа на основе Байесовской дискриминации, методов на основе скрытых Марковских моделей, методов на основе нейронных сетей и т.п.), возможностью преобразования видео/видеопотока в текст (например, с использованием программного продукта «Virtual Audio Cable», являющегося одним из известных средств транскрибирования), возможностью распознавания в видео/видеопотоке текста, например субтитров (например, с использованием программного продукта «ABBY Real-time Recognition SDK»), возможностью распознавания объектов в видео/видеопотоке с обеспечением их преобразования в текст (например, с использованием облачного сервиса «Cloud Video Intelligence IP») и/или возможностью распознавания действий в видео/видеопотоке с обеспечением их преобразования в текст (например, с использованием все того же облачного сервиса «Cloud Video Intelligence IP»). В одной из разновидностей этого варианта реализации настоящего изобретения по меньшей мере каждый из преобразующих модулей может содержать несколько преобразующих подмодулей, каждый из которых выполнен с возможностью реализации по меньшей мере одной из вышеописанных функциональных возможностей. Еще в одной разновидности этого варианта реализации настоящего изобретения каждый из вышеописанных преобразующих модулей может быть разделен на несколько отдельных модулей, каждый из которых выполнен с возможностью реализации по меньшей мере одной из вышеописанных функциональных возможностей. В случае, когда любым из парсеров 130, 140 выявлено, что выходной поток данных от соответствующего API-интерфейса описан с использованием формата, отличного от унифицированного формата описания данных, подходящего для вычислительного устройства 200, то этот парсер выдаёт этот выходной поток данных на соответствующий внешний преобразующий модуль для его преобразования из идентифицированного формата в указанный унифицированный формат описания данных с использованием по меньшей мере одного известного ему способа преобразования, на осуществление которого этот преобразующий модуль предварительно запрограммирован, при этом выбор указанного способа преобразования зависит от идентифицированного формата описания данных. Таким образом, если любой из парсеров 130, 140 выявил, что выходной поток данных от соответствующего API-интерфейса по сути представляет собой голосовое/звуковое сообщение и/или видео/видеопоток, то этот парсер выдаёт их в соответствующий внешний модуль для преобразования указанных голосового/звукового сообщения и/или видео/видеопотока в текст. В дальнейшем парсер, который выявил отличие формата описания выходного потока данных API-интерфейса от унифицированного формата описания данных, принимает текст, извлеченный в соответствующем преобразующем модуле (при этом такой извлеченный текст, принятый от преобразующего модуля, по сути представляет собой текстовое сообщение), и приступает к выполнению вышеописанного процесса извлечения структурных элементов из этого текста. В случае же, когда любым из парсеров 130, 140 выявлено, что выходной поток данных от соответствующего API-интерфейса описан с использованием формата, совпадающего с унифицированным форматом описания данных, то есть представлен в текстовом формате описания данных, то этот парсер сразу приступает к выполнению вышеописанного процесса извлечения структурных элементов из этого выходного потока данных.
В некоторых вариантах реализации настоящего изобретения система 100 может дополнительно содержать отдельную базу пользовательских сообщений, являющуюся внешней по отношению к вычислительному устройству 200 для выявления подозрительных пользователей, при этом парсеры 130, 140 могут быть выполнены с возможностью получения доступа к этой базе пользовательских сообщений с обеспечением возможности записи в неё сведений, извлеченных из выходных потоков данных соответственно от API-интерфейсов 114, 124, в результате чего эта база пользовательских сообщений содержит текст пользовательских сообщений, поставленный в соответствие со вспомогательными идентификационными данными, описывающими эти пользовательские сообщения, например датой и временем отправки пользовательского сообщения, идентификатором отправителя, идентификатором получателя, идентификатором системы обмена сообщениями и/или по меньшей мере одним иным идентификатором. Вычислительное устройство 200 выполнено с возможностью получения доступа к такой базе пользовательских сообщений с обеспечением возможности извлечения из неё необходимых сведений для их последующей обработки, особенности которой описаны ниже.
В других вариантах реализации настоящего изобретения система 100 для выявления подозрительных пользователей может содержать только вычислительное устройство 200 для выявления подозрительных пользователей и структурированную базу пользовательских сообщений, являющуюся внешней по отношению к вычислительному устройству 200. В данном варианте реализации база пользовательских сообщений содержит текст пользовательских сообщений, поставленный в соответствие со вспомогательными идентификационными данными, описывающими эти пользовательские сообщения, например, дата и время отправки пользовательского сообщения, идентификатор отправителя, идентификатор получателя, идентификатор системы обмена сообщениями и т.п., а вычислительное устройство 200 для выявления подозрительных пользователей выполнено с возможностью получения доступа к такой базе пользовательских сообщений с обеспечением возможности извлечения из неё необходимых сведений для их последующей обработки, особенности которой описаны ниже.
В одном из дополнительных вариантов реализации настоящего изобретения вычислительное устройство 200 для выявления подозрительных пользователей может быть выполнено с возможностью подключения непосредственно к системам 110, 120 обмена сообщениями с обеспечением получения прямого доступа соответственно к их базам 116, 126 сообщений для извлечения из них пользовательских сообщений для их последующей обработки, особенности которой описаны ниже.
В одном из вариантов реализации настоящего изобретения в ответ на запрос о получении пользовательских сообщений, направленный вычислительным устройством 200 для выявления подозрительных пользователей в любую из систем 110, 120 обмена сообщениями, эта система обмена сообщениями выдает вышеописанным образом в вычислительное устройство 200 только те пользовательские сообщения, которые были сохранены в базе 116 или 126 сообщений за заданный период времени, например все последние пользовательские сообщения, начиная с момента времени отправки указанного запроса вычислительным устройством 200 (показания системных часов вычислительного устройства 200, содержащиеся в самом запросе) или с момента поступления указанного запроса на соответствующий управляющий сервер через API-интерфейс (показания системных часов в данной конкретной системе обмена сообщениями), или все пользовательские сообщения, начиная с пользовательских сообщений, сохраненных за последние несколько минут, часов, дней, недель, месяцев и т.п. в зависимости от поставленных задач.
Вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями
Вычислительное устройство 200 для выявления подозрительных пользователей согласно настоящему изобретению, показанное на фиг. 2, предназначено для выявления подозрительных пользователей в системах 110, 120 обмена сообщениями и по существу представляет собой программно-аппаратный комплекс, реализованный в виде компьютера общего назначения, имеющего описанную ниже структуру, хорошо известную специалистам в данной области техники.
В частности, компьютер общего назначения обычно содержит центральный процессор, системную память и системную шину, которая в свою очередь содержит разные системные компоненты, в том числе память, связанную с центральным процессором. Системная шина в таком компьютере общего назначения содержит шину памяти и контроллер шины памяти, периферийную шину и локальную шину, выполненную с возможностью взаимодействия с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) и память с произвольным доступом (ОЗУ). Основная система ввода/вывода (BIOS) содержит основные процедуры, которые обеспечивают передачу информации между элементами такого компьютера общего назначения, например в момент загрузки операционной системы с использованием ПЗУ. Кроме того, компьютер общего назначения содержит жесткий диск для чтения и записи данных, привод магнитных дисков для чтения и записи на сменные магнитные диски и оптический привод для чтения и записи на сменные оптические диски, такие как CD-ROM, DVD-ROM и иные оптические носители информации, однако могут быть использованы компьютерные носители иных типов, выполненные с возможностью хранения данных в машиночитаемой форме, например твердотельные накопители, флеш-карты, цифровые диски и т.п., и подключенные к системной шине через контроллер. В компьютере общего назначения жесткий диск, привод магнитных дисков и оптический привод соединены соответственно с системной шиной через интерфейс жесткого диска, интерфейс магнитных дисков и интерфейс оптического привода. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных компьютера общего назначения. Компьютер общего назначения имеет файловую систему, в которой хранится записанная операционная система, а также дополнительные программные приложения, прочие программные модули и данные программ. Пользователь имеет возможность вводить команды и информацию в компьютер общего назначения с использованием известных устройств ввода, например клавиатуры, манипулятора типа «мышь», микрофона, джойстика, игровой консоли, сканера и т.п., при этом эти устройства ввода обычно подключают доступ к компьютеру общего назначения через последовательный порт, который в свою очередь подсоединен к системной шине, однако они могут быть подключены и иным способом, например с помощью параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор или иной тип устройства отображения также подсоединен к системной шине через интерфейс, такой как видеоадаптер. В дополнение к монитору персональный компьютер может быть снабжен другими периферийными устройствами вывода, например колонками, принтером и т.п. Компьютер общего назначения способен работать в сетевом окружении, при этом для соединения с одним или несколькими удаленными компьютерами может быть использовано сетевое соединение. Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) и глобальную вычислительную сеть (WAN). Такие сети обычно применяют в корпоративных компьютерных сетях и внутренних сетях компаний, при этом они имеют доступ к сети Интернет. В LAN-сетях или WAN-сетях компьютер общего назначения подключают к локальной сети через сетевой адаптер или сетевой интерфейс. При использовании сетей компьютер общего назначения может использовать модем, сетевую карту, адаптер или иные средства обеспечения связи с глобальной вычислительной сетью, такой как сеть Интернет, при этом эти средства связи подключают к системной шине посредством последовательного порта. Следует отметить, что в ПЗУ компьютера общего назначения или по меньшей мере на любом одном из вышеописанных машиночитаемых носителей, которые могут быть использованы в компьютере общего назначения, могут быть сохранены машиночитаемые инструкции, к которым может иметь доступ центральный процессор этого компьютера общего назначения, при этом выполнение этих машиночитаемых инструкций на компьютере общего назначения может вызывать исполнение его центральным процессором различных процедур или операций, описанных ниже в данном документе.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 200 может быть выполнено в виде одиночного компьютерного сервера, например сервера «DellTM PowerEdgeTM», использующего операционную систему «Ubuntu Server 18.04». Кроме того, в иных вариантах реализации настоящего изобретения вычислительное устройство 200 может быть выполнено в виде настольного персонального компьютера, ноутбука, нетбука, смартфона, планшета и иного электронно-вычислительного устройства, подходящего для решения поставленных задач.
В других вариантах реализации вычислительное устройство 200 может быть выполнено в виде любой другой совокупности аппаратных средств, программного обеспечения или программно-аппаратного комплекса, подходящих для решения поставленных задач.
В некоторых вариантах реализации настоящего изобретения система 100 для выявления подозрительных пользователей может содержать по меньшей мере два вычислительных устройства, подобные вычислительному устройству 200, при этом нижеописанные функциональные возможности вычислительного устройства 200 могут быть любым необходимым образом разделены между указанными по меньшей мере двумя вычислительными устройствами, каждый из которых, например, может быть выполнен в виде отдельного компьютерного сервера.
Вычислительное устройство 200, показанное на фиг. 2, содержит модуль 210 связи, анализирующий модуль 220 и локальное хранилище 230 данных, каждый из которых соединен с шиной 240 связи, при этом каждый из модуля 210 связи и анализирующего модуля 220 выполнен с возможностью обмена данными, посредством шины 240 связи, с локальным хранилищем 230 данных, а модуль 210 связи также выполнен с возможностью обмена данными с анализирующим модулем 220.
В одном из вариантов реализации настоящего изобретения вышеописанные парсеры 130, 140 могут быть выполнены каждый в виде обособленного модуля предварительной обработки данных, встроенного в вычислительное устройство 200 для выявления подозрительных пользователей (т.е. входящего в состав этого вычислительного устройства 200) и имеющего вышеописанные функциональные возможности соответствующего одного из парсеров 130, 140, в частности функциональные возможности по обеспечению взаимодействия между вычислительным устройством 200 соответствующей одной из систем 110, 120 обмена сообщениями через соответствующий один из API-интерфейсов 114, 124 (т.е. каждый из таких обособленных модулей предварительной обработки данных должен быть предварительно запрограммирован на работу с соответствующим одним из API-интерфейсов 114, 124) и по обработке выходных потоков данных от соответствующего одного из API-интерфейсов 114, 124. В одной из разновидностей этого варианта реализации модуль 210 связи вычислительного устройства 200 может быть выполнен, например, многоканальным, при этом каждый из каналов связи в таком модуле 210 связи предварительно настроен на обмен данными, посредством шины 240 связи, с одним из вышеописанных обособленных модулей предварительной обработки данных и на обмен данными с соответствующим одним из API-интерфейсов 114, 124. В другой разновидности данного варианта реализации вычислительное устройство 200 может быть снабжено двумя модулями связи, подобными каждый модулю 210 связи, при этом каждый из таких модулей связи предварительно настроен на обмен данными, посредством шины 240 связи, с одним из вышеописанных обособленных модулей предварительной обработки данных и на обмен данными с соответствующим одним из API-интерфейсов 114, 124. В данном варианте реализации обособленные модули предварительной обработки данных (не показаны) также выполнены каждый с возможностью взаимодействия, посредством шины 240 связи, с анализирующим модулем 220 для обработки соответствующих запросов (описаны выше в данном документе), которые могут быть сформированы этим анализирующим модулем 220, с последующим их направлением от вычислительного устройства 200 в соответствующую одну из вышеописанных систем 110, 120 обмена сообщениями. Следует также отметить, что при обработке выходных потоков данных от соответствующего одного из API-интерфейсов 114, 124 каждый из таких обособленных модулей предварительной обработки данных (не показаны) может, помимо прочего, идентифицировать или распознавать формат описания выходного потока данных, полученного соответственно от указанного API-интерфейса, при этом если идентифицированный формат описания данных не соответствует унифицированному формату описания данных, подходящему для вычислительного устройства 200, то этот модуль предварительной обработки данных может быть дополнительно выполнен с возможностью преобразования этого полученного выходного потока данных в указанный унифицированный формат, при этом каждый из таких модулей предварительной обработки данных может быть дополнительно выполнен с возможностью связи, посредством шины 240 связи, с локальным хранилищем 230 данных с обеспечением получения из него данных об унифицированном формате описания данных (как описано ниже), понятном вычислительному устройству 200, и с возможностью сравнения указанных идентифицированного и унифицированного форматов данных для принятия решения об их соответствии или несоответствии друг другу. Таким образом, если любой из вышеописанных обособленных модулей предварительной обработки данных выявит, что среди выходных потоков данных, полученных им от соответствующего одного из
API-интерфейсов 114, 124, имеются, например, голосовые/звуковые сообщения и/или видео/видеопотоки, то такой обособленный модуль предварительной обработки данных преобразует указанные голосовые/звуковые сообщения или видео/видеопотоки в текст с использованием по меньшей мере одного из известных методов преобразования (см. приведенное выше описание), то есть в тот формат описания данных, который понятен вычислительному устройству 200. В одной из разновидностей этого варианта реализации настоящего изобретения функциональные возможности каждого из вышеописанных модулей предварительной обработки данных по преобразованию голосовых/звуковых сообщений или видео/видеопотоков в текст могут быть реализованы в отдельном преобразующем модуле, встроенном в вычислительное устройство 200 и подключенном с возможностью обмена данными к соответствующему одному из модулей предварительной обработки данных.
Еще в одном варианте реализации настоящего изобретения вышеописанные парсеры 130, 140 могут быть выполнены в виде одиночного модуля предварительной обработки данных (не показан), встроенного в вычислительное устройство 200 для выявления подозрительных пользователей (т.е. входящего в состав этого вычислительного устройства 200), и имеющего вышеописанные функциональные возможности обоих парсеров 130, 140, в частности функциональные возможности по обеспечению взаимодействия между вычислительным устройством 200 и системами 110, 120 обмена сообщениями соответственно через их API-интерфейсы 114, 124 (т.е. такой одиночный модуль предварительной обработки данных должен быть предварительно запрограммирован на работу с обоими API-интерфейсами 114, 124) и по обработке выходных потоков данных от API-интерфейсов 114, 124. В этом варианте реализации одиночный модуль предварительной обработки данных (не показан) также должен быть подключен в вычислительном устройстве 200 к шине 240 связи с обеспечением возможности обмена данными с модулем 210 связи, обеспечивающим обмен между API-интерфейсами 114, 124 и вычислительным устройством 200, при этом модуль 210 связи вычислительного устройства 200 в таком случае может быть выполнен, например, многоканальным, а каждый из каналов связи в таком модуле 210 связи может быть предварительно настроен на обмен данными с соответствующим одним из API-интерфейсов 114, 124. В данном варианте реализации одиночный модуль предварительной обработки данных (не показан) также выполнен с возможностью взаимодействия, посредством шины 240 связи, с анализирующим модулем 220 для обработки вышеописанных запросов (описаны выше в данном документе), которые могут быть сформированы этим анализирующим модулем 220, с их последующим направлением от вычислительного устройства 200 в вышеописанные системы 110, 120 обмена сообщениями. Следует также отметить, что при обработке выходных потоков данных от
API-интерфейсов 114, 124 одиночный модуль предварительной обработки данных (не показан) может, помимо прочего, идентифицировать или распознавать формат описания выходных потоков данных, полученных от API-интерфейсов 114, 124, при этом если идентифицированный формат описания данных не соответствует унифицированному формату описания данных, подходящему для вычислительного устройства 200, то он может дополнительно выполнен с возможностью преобразования этих полученных выходных потоков данных в указанный унифицированный формат, при этом этот одиночный модуль предварительной обработки данных может быть дополнительно выполнен с возможностью связи, посредством шины 240 связи, с локальным хранилищем 230 данных с обеспечением получения из него данных об унифицированном формате описания данных (как описано ниже), понятном вычислительному устройству 200, и с возможностью сравнения указанных идентифицированного и унифицированного форматов данных для принятия решения об их соответствии или несоответствии друг другу. Таким образом, если вышеописанный одиночный модуль предварительной обработки данных выявит, что среди выходных потоков данных, полученных им от API-интерфейсов 114, 124, имеются, например, голосовые сообщения или видео, то такой одиночный модуль предварительной обработки данных преобразует указанные голосовые сообщения или видео в текст, то есть в тот формат описания данных, который понятен вычислительному устройству 200.
Локальное хранилище данных
Локальное хранилище 230 данных также предназначено для хранения исполняемых программных инструкций, которые могут управлять работой модуля 210 связи и анализирующего модуля 220, а также различных данных, используемых при работе вычислительного устройства 200, в частности данных об унифицированном формате описания данных, понятном вычислительному устройству 200, данных о предельной пороговой репутации, используемой в вычислительном устройстве 200 для принятия решения об отнесении анализируемого пользователя к подозрительным пользователям, данных об известных вредоносных ссылках, данных об известных вредоносных доменных именах, данных о хеш-суммах известных вредоносных файлов, данных о ключевых словах, указывающих на вредоносный характер веб-ресурса, данных об известных вредоносных аккаунтах платежных систем, данных об известных вредоносных адресах электронной почты и данных о минимальной пороговой репутации.
Кроме того, в локальном хранилище 230 данных также могут быть сохранены вспомогательные данные, используемые в работе анализирующего модуля 220, например данные о языковых словарях и заданное пороговое значение, используемые в методике анализа доменных имен на основании правильности их написания; файлы образов виртуальных машин и набор правил анализа изменений параметров состояния виртуальной машины, используемые в методике анализа файлов на подозрительность на основании изменения параметров состояния виртуальных машин, набор регулярных выражений, используемых для извлечения из пользовательских сообщений, анализируемых в анализирующем модуле 220, ссылок, аккаунтов платежных систем, адресов электронной почты и счетов в финансовых организациях, и т.п.
В вычислительном устройстве 200, показанном на фиг. 2, модуль 210 связи выполнен с возможностью приема данных, передаваемых посредством парсеров 130, 140 на вычислительное устройство 200 в ответ на соответствующий запрос этого вычислительного устройства 200, направленный по меньшей мере в одну из систем 110, 120 обмена сообщениями, с последующем сохранением принятых данных в локальном хранилище 230 данных, в которое эти принятые данные могут быть переданы через шину 240 связи. Таким образом, в локальном хранилище 230 данных могут быть сохранены пользовательские сообщения из систем 110, 120 обмена сообщениями, в частности извлеченные из их баз 116, 126 сообщений, вспомогательные идентификационные данные пользователей (такие как, например аватар, ФИО и/или никнейм) из систем 110, 120 обмена сообщениями, в частности из их баз 118, 128 данных пользователей, и сохранены вспомогательные идентификационные данные каждого из администраторов (такие как, например, аватар, ФИО и/или никнейм) систем 110, 120 обмена сообщениями, в частности извлеченные из их баз 118, 128 данных пользователей.
В некоторых вариантах реализации настоящего изобретения локальное хранилище 220 данных вычислительного устройства 200 может содержать одну или несколько баз данных, выполненных каждая с возможностью сохранения в них по меньшей мере одной обособленной группы из вышеперечисленных групп данных.
В других вариантах реализации вычислительное устройство 200 может использовать по меньшей мере одно обособленное удаленное хранилище данных (не показано), к которому анализирующий модуль 220 вычислительного устройства 200 может получать доступ с использованием модуля 210 связи, для хранения в нем по меньшей мере части из вышеописанных групп данных или всех этих групп данных, в частности для хранения в нём полученных пользовательских сообщений в унифицированном формате описания данных.
В некоторых других вариантах реализации настоящего изобретения вычислительное устройство 200 может содержать по меньшей мере одно локальное хранилище данных и по меньшей мере одно удаленное хранилище данных (не показано), предназначенные каждое для хранения по меньшей мере одной из вышеописанных групп данных, при этом локальные хранилища данных соединены каждое с анализирующим модулем 220 посредством шины 240 связи, а удаленные хранилища данных соединены каждое с анализирующим модулем 220 посредством модуля 120 связи. Таким образом, например, возможен вариант реализации настоящего изобретения, в котором вычислительное устройство 200 содержит единственное локальное хранилище 220 данных, хранящее, например, исключительно полученные пользовательские сообщения в унифицированном формате описания данных, и несколько удаленных хранилищ данных, хранящие прочие группы данных, используемых при работе вычислительного устройства 200.
В одном из вариантов реализации настоящего изобретения по меньшей мере одна из вышеперечисленных групп данных, в частности полученные пользовательские сообщения в унифицированном формате описания данных, может быть сохранена в соответствующем обособленном локальном хранилище (не показано) данных, отличном от локального хранилища 230 данных и соединенном, посредством шины 240 связи, с анализирующим модулем 220, который в свою очередь выполнен с возможностью подключения к любому из таких обособленных локальных хранилищ данных с обеспечением извлечения из них необходимых данных.
Анализирующий модуль 220 может быть реализован в виде одиночного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессоры для цифровой обработки сигналов, специализированные интегральные схемы и т.п.), и выполнен с возможностью исполнения программных инструкций, хранящихся в локальном хранилище 230 данных, с обеспечением реализации нижеописанных функциональных возможностей анализирующего модуля 220.
Локальное хранилище 230 данных может быть реализовано, например, в виде одного или более известных физических машиночитаемых носителей для длительного хранения данных. В некоторых вариантах реализации настоящего изобретения локальное хранилище 230 данных может быть реализовано с использованием одиночного физического устройства (например, одного оптического запоминающего устройства, магнитного запоминающего устройства, органического запоминающего устройства, запоминающего устройства на дисках или запоминающего устройства иного типа), а в других вариантах реализации локальное хранилище 230 данных может быть реализовано с использованием двух или более известных запоминающих устройств.
Модуль связи
Модуль 210 связи, используемый в вычислительном устройстве 200, показанном на фиг. 2, имеет беспроводное соединение с парсером 130 и имеет проводное соединение с парсером 140, как описано выше в данном документе, с возможностью получения от них данных.
В одном из вариантов реализации настоящего изобретения модуль 210 связи может быть соединен с обоими парсерами 130, 140 проводным способом, например с помощью коаксиального кабеля, витой пары, оптоволоконного кабеля или другого физического соединения, с возможностью получения от них данных. В этом варианте реализации модуль 210 связи может быть реализован в виде сетевого адаптера, снабженного необходимыми разъемами для подключения к ним физических кабелей необходимых типов в зависимости от типов физических соединений, использованных для обеспечения связи с парсерами 130, 140.
Еще в одном варианте реализации настоящего изобретения модуль 210 связи может быть соединен с обоими парсерами 130, 140 беспроводным способом, например с помощью линии связи на основе технологии «WiFi», линии связи на основе технологии «3G», линии связи на основе технологии «LTE» и т.п. В этом варианте реализации модуль 210 связи может быть реализован в качестве сетевого адаптера в виде WiFi-адаптера, 3G-адаптера, LTE-адаптера или иного адаптера беспроводной связи в зависимости от типа линии беспроводной связи, использованной для обеспечения связи с парсерами 130, 140.
Модуль 210 связи также может представлять собой известное устройство связи, такое как передатчик, приемник, приемопередатчик, модем и/или сетевая интерфейсная карта для обмена данными с внешними устройствами любого типа посредством проводной или беспроводной сети связи, например с помощью сетевого соединения стандарта «Ethernet», цифровой абонентской линия связи (DSL), телефонной линии, коаксиального кабеля, телефонной системы сотовой связи и т.п.
Анализирующий модуль
Анализирующий модуль 220, входящий в состав вычислительного устройства 200, показанного на фиг. 2, может быть реализован в виде одиночного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессоры для цифровой обработки сигналов, специализированные интегральные схемы и т.п.), например в виде центрального процессора вышеописанного компьютера общего назначения, в виде которого может быть реализовано вычислительное устройство 200.
Анализирующий модуль 220 выполнен с возможностью получения доступа к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или возможностью связи с ним с использованием шины 240 связи с обеспечением извлечения из него пользовательских сообщений, формат которых соответствует унифицированному формату описания данных, понятному вычислительному устройству 200, для их последующего анализа, как описано ниже.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 220 может быть выполнен с возможностью связи, посредством шины 240 связи, с модулем 210 связи с обеспечением возможности получения от него пользовательских сообщений, формат которых соответствует унифицированному формату описания данных, понятному вычислительному устройству 200, для их последующего анализа, как описано ниже. Таким образом, в этом варианте реализации анализирующий модуль 220 может получать пользовательские сообщения в унифицированном формате описания данных непосредственно от модуля 210 связи после получения указанных пользовательских сообщений модулем 210 связи.
В вариантах реализации настоящего изобретения, в которых полученные пользовательские сообщения в унифицированном формате описания данных хранятся в обособленном локальном хранилище, отличном от локального хранилища 230 данных, или в удаленном хранилище данных, анализирующий модуль 220 может быть выполнен с возможностью получения доступа к такому обособленному или удаленному хранилищу данных или возможностью связи с ним с использованием шины 240 связи с обеспечением извлечения из него сохраненных пользовательских сообщений для их последующего анализа, как описано ниже.
Анализирующий модуль 220 выполнен с возможностью анализа каждого из извлеченных пользовательских сообщений для выявления по меньшей мере одного признака подозрительности этого пользовательского сообщения из заданного набора признаков подозрительности сообщений.
При анализе каждого из извлеченных пользовательских сообщений анализирующий модуль 220 выполняет по меньшей мере одну из следующих операций: 1) выявляет в каждом анализируемом пользовательском сообщении по меньшей мере одну вредоносную ссылку; 2) выявляет в каждом анализируемом пользовательском сообщении по меньшей мере один вредоносный аккаунт платежной системы; 3) выявляет в каждом анализируемом пользовательском сообщении по меньшей мере один вредоносный адрес электронной почты; 4) выявляет в каждом анализируемом пользовательском сообщении по меньшей мере один вредоносный счет в финансовой организации или платежной системе.
В частности, для выявления наличия в каждом анализируемом пользовательском сообщении вредоносных ссылок (ссылки имеют свой конкретный формат записи) вредоносных аккаунтов платежной системы (аккаунты также имеют свой конкретный формат записи), вредоносных адресов электронной почты (адреса электронной также имеют свой конкретный формат записи) и/или вредоносных счетов в финансовой организации (счета также имеют свой конкретный формат записи) анализирующий модуль 220 использует заданный набор известных ему регулярных выражений, позволяющих извлечь из пользовательского сообщения все вышеперечисленные сведения, необходимые анализирующему модулю 220 для последующего выявления признаков подозрительности такого пользовательского сообщения. Например, регулярное выражение вида «(https?|ftp)://(-\.)?([^\s/?\.#-]+\.?)+(/[^\s]*)?$@iS» позволяет извлечь из любого пользовательского сообщения любой веб-адрес, регулярное выражение вида «A[13][a-km-zA-HJ-NP-Z1-9]{25,34}$» позволяет извлечь из любого пользовательского сообщения любой биткоин-кошелёк, а регулярное выражение вида «^(\S+)@([a-z0-9-]+)(\.)([a-z]{2,4})(\.?)([a-z]{0,4})+$» позволяет извлечь из любого пользовательского сообщения любой адрес электронной почты.
Для выявления в любом анализируемом пользовательского сообщении по меньшей мере одной вредоносной ссылки анализирующий модуль 220 (i) извлекает, посредством соответствующего регулярного выражения из набора известных ему регулярных выражений, из этого пользовательского сообщения по меньшей мере одну ссылку; (ii) получает доступ к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или устанавливает с ним связь с использованием шины 240 связи с обеспечением получения из него данных об известных вредоносных ссылках и (iii) устанавливает, путем посимвольного сравнения извлеченной ссылки с известными вредоносными ссылками из указанных полученных данных, факт по меньшей мере частичного совпадения извлеченной ссылки с одной из известных вредоносных ссылок. Если анализирующий модуль 220 установил, что извлеченная ссылка не имеет по меньшей мере частичного совпадения ни с одной из известных вредоносных ссылок, то он дополнительно выполняет по меньшей мере одну из следующих операций: 1) анализирует доменное имя для извлеченной ссылки на вредоносность с использованием по меньшей мере одной известной ему методики анализа доменных имен; 2) получает или загружает по меньшей мере один файл, находящийся по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной известной ему методики анализа файлов; и/или 3) получает html-код веб-ресурса, находящегося по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной известной ему методики анализа html-кода.
При анализе доменного имени для любой извлеченной ссылки на вредоносность анализирующий модуль 220 (i) получает доступ к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или устанавливает с ним связь с использованием шины 240 связи с обеспечением получения из него данных об известных вредоносных доменных именах, (ii) устанавливает, путем посимвольного сравнения анализируемого доменного имени с известными вредоносными доменными именами из указанных полученных данных, факт по меньшей мере частичного совпадения анализируемого доменного имени с одним из известных вредоносных доменных имен. Если анализирующий модуль 220 установил, что анализируемое доменное имя не имеет по меньшей мере частичного совпадения ни с одним из известных вредоносных доменных имен, то он может дополнительно применить в отношении такого анализируемого доменного имени по меньшей мере одну известную ему методику анализа доменных имен на подозрительность, например методику анализа доменного имени на основании его длины (при этом чем длиннее доменное имя, тем оно подозрительнее), методику анализа доменного имени на основании его энтропии (при этом чем выше информационная энтропия, вычисленная для данного доменного имени по общеизвестной формуле Шеннона, тем подозрительнее данное доменное имя), методику анализа доменного имени на основании его осмысленности и/или методику анализа доменного имени на основании правильности его написания. В качестве примера в случае, когда анализирующий модуль 220 анализирует доменные имя на вредоносность с использованием методики анализа доменного имени на основании правильности его написания, то анализирующий модуль 220 выполняет по меньшей мере следующие операции: (i) устанавливает связь с локальным хранилищем 230 данных (обособленным локальным или удаленным хранилищем данных в зависимости от варианта реализации) для получения из него данных о языковых словарях, (ii) извлекает по меньшей мере одно слово из каждого из полученных доменных имен, (iii) определяет расстояние Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных и (iv) сравнивает определенное расстояние Левенштейна с заданным пороговым значением, в качестве которого, например, может быть использована константа, равная двум (2), с обеспечением отнесения анализируемого доменного имени к вредоносным доменным именам, если определенное расстояние Левенштейна превышает заданное пороговое значение, равное, например, двум (2).
Таким образом, если анализирующий модуль 220 установил, посредством по меньшей мере одного из вышеописанных способов анализа, что доменное имя для анализируемой извлеченной ссылки относится к вредоносным доменным именам, то это свидетельствует о выявлении анализирующим модулем 220 вредоносной ссылки в анализируемом пользовательском сообщении, что соответствует наличию в этом анализируемом пользовательском сообщении соответствующего одного признака подозрительности из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
При анализе файла, находящегося по извлеченной ссылке, на вредоносность анализирующий модуль 220 (i) получает файл, находящийся по извлеченной ссылке; (ii) вычисляет хеш-сумму полученного файла; (iii) получает доступ к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или устанавливает с ним связь с использованием шины 240 связи с обеспечением получения из него данных о хеш-суммах известных вредоносных файлов; (iv) устанавливает, путем сравнения вычисленной хеш-суммы файла с хеш-суммами известных вредоносных файлов из указанных полученных данных, факт совпадения вычисленной хеш-суммы файла с одной из хеш-сумм известных вредоносных файлов. Если анализирующий модуль 220 установил, что хеш-сумма полученного файла не совпадает ни с одной из хеш-сумм известных вредоносных файлов, то он может дополнительно применить в отношении такого полученного файла по меньшей мере одну известную ему методику анализа файлов на подозрительность, например методику анализа файлов на подозрительность на основании изменения параметров состояния виртуальных машин, согласно которой анализирующий модуль 220 осуществляет по меньшей мере следующие операции: (i) запускает каждый полученный файл по меньшей мере на одной виртуальной машине, характеризующейся заданным набором параметров состояния, (ii) регистрирует изменения в заданном наборе параметров состояния указанной по меньшей мере одной виртуальной машины в течение заданного периода времени, (iii) анализирует полученные изменения параметров состояния с использованием заданного набора правил анализа с обеспечением отнесения указанного запущенного файла к вредоносным файлам, если проанализированные изменения параметров состояния характерны для вредоносных файлов.
Таким образом, если анализирующий модуль 220 установил, посредством по меньшей мере одного из вышеописанных способов анализа, что анализируемый файл, находящийся по анализируемой извлеченной ссылке, относится к вредоносным файлам, то это также свидетельствует о выявлении анализирующим модулем 220 вредоносной ссылки в анализируемом пользовательском сообщении, что соответствует наличию в этом анализируемом пользовательском сообщении соответствующего одного признака подозрительности из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
При анализе html-кода веб-ресурса, находящегося по извлеченной ссылке, на вредоносность анализирующий модуль 220 выполняет по меньшей мере следующие операции: (i) загружает html-код веб-страницы, находящейся по извлеченной ссылке; (ii) анализирует загруженный html-код на вредоносность с использованием по меньшей мере одной известной методики анализа, например методики на основе ключевых слов, указывающих на вредоносный характер веб-страницы, при этом в зависимости от вредоносного контента (соответствует тем или иным характерным вредоносным элементам, например тексту, приглашающему пользователя выполнить какое-либо действие, файлу определенного формата, скриптам, подменённым логотипам и т.п.), выявленного в загруженном html-коде, предварительно запрограммированный классификатор может классифицировать или идентифицировать тип угрозы, которую несет в себе загруженный html-код, например идентифицировать, что загруженный html-код относится к угрозам типа «фишинг». Кроме того, при анализе загруженного html-кода на вредоносность анализирующий модуль 220 также может загрузить все изображения и/или иные файлы, связанные с загруженной веб-страницей, например графические элементы оформления (*.JPG, *.PNG и т.п.), таблицы стилей (*.css), JS-скрипты и т.п., на основании списков таких изображений и/или иных файлов, полученных анализирующим модулем 220 из извлеченного html-кода, с обеспечением проверки так называемых screen-сигнатур, то есть поиска похожих изображений и анализа связанных с ними веб-сайтов, при этом поиск похожих изображений может быть осуществлен, например, с использованием методики поиска похожих изображений на основе общеизвестного метода поиска ближайших соседей. В ходе такого поиска анализирующий модуль 220 определяет, соответствуют ли, например, изображения, размещенные на анализируемой веб-странице, доменному имени и регистрационным данным веб-ресурса, при этом анализирующий модуль 220 также может дополнительно вычислять хеш-суммы всех изображений, присутствующих на анализируемой веб-странице, и устанавливать, совпадает ли каждая вычисленная хеш-сумма изображения с одной из хеш-сумм известных вредоносных элементов, которые могут быть сохранены, например, в локальном хранилище 230 данных. Кроме того, анализирующий модуль 220 может дополнительно проверять так называемые resource-сигнатуры, для чего он может вычислять хеш-суммы всех ранее загруженных ресурсов анализируемой веб-страницы, например изображений, каскадных таблиц стилей (CSS), JS-файлов, шрифтов и т.п., и устанавливать совпадает ли каждая вычисленная хеш-сумма ресурса с одной из хеш-сумм известных вредоносных ресурсов, которые могут быть сохранены, например, в локальном хранилище 230 данных.
Таким образом, если анализирующий модуль 220 установил, посредством по меньшей мере одного из вышеописанных способов анализа, что анализируемая веб-страница, находящаяся по анализируемой извлеченной ссылке, имеет вредоносный контент, то это также свидетельствует о выявлении анализирующим модулем 220 вредоносной ссылки в анализируемом пользовательском сообщении, что соответствует наличию в этом анализируемом пользовательском сообщении соответствующего одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
Для выявления в любом анализируемом пользовательского сообщении по меньшей мере одного вредоносного аккаунта платежной системы анализирующий модуль 220 (i) извлекает, посредством соответствующего регулярного выражения из набора известных ему регулярных выражений, из этого пользовательского сообщения по меньшей мере один аккаунт платежной системы; (ii) получает доступ к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или устанавливает с ним связь с использованием шины 240 связи с обеспечением получения из него данных об известных вредоносных аккаунтах платежных систем и (iii) устанавливает, путем, например, посимвольного сравнения извлеченного аккаунта платежной системы с известными вредоносными аккаунтами платежных систем из указанных полученных данных, факт совпадения извлеченного аккаунта платежной системы с одним из известных вредоносных аккаунтов платежных систем.
Таким образом, если анализирующий модуль 220 установил, посредством, например, вышеописанного способа анализа аккаунтов платежных систем, что анализируемый аккаунт платежной системы относится к вредоносным аккаунтам платежных систем, то этот факт соответствует наличию в этом анализируемом пользовательском сообщении соответствующего еще одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
Для выявления в любом анализируемом пользовательского сообщении по меньшей мере одного вредоносного адреса электронной почты анализирующий модуль 220 (i) извлекает, посредством соответствующего регулярного выражения из набора известных ему регулярных выражений, из этого пользовательского сообщения по меньшей мере один адрес электронной почты; (ii) получает доступ к локальному хранилищу 230 данных (обособленному локальному хранилищу данных или удаленному хранилищу данных в зависимости от варианта реализации, как описано выше в данном документе) или устанавливает с ним связь с использованием шины 240 связи с обеспечением получения из него данных об известных вредоносных адресах электронной почты и (iii) устанавливает, путем, например, посимвольного сравнения извлеченного адреса электронной почты с известными вредоносными адресами электронной почты из указанных полученных данных, факт совпадения извлеченного адреса электронной почты с одним из известных вредоносных адресов электронной почты.
Таким образом, если анализирующий модуль 220 установил, посредством, например, вышеописанного способа анализа адресов электронной почты, что анализируемый адрес электронной почты относится к вредоносным адресам электронной почты, то этот факт соответствует наличию в этом анализируемом пользовательском сообщении соответствующего еще одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
Анализирующий модуль 220 также выполнен с возможностью идентификации пользователя, отправившего анализируемое пользовательское сообщение, в соответствующей системе обмена сообщениями. Для идентификации пользователя, отправившего конкретное пользовательское сообщение, анализирующий модуль 220 извлекает из идентификационных данных, описывающих указанное пользовательское сообщение и обычно содержащихся в заголовке такого пользовательского сообщения, идентификатор пользователя, отправившего это пользовательское сообщение, например логин, в качестве которого могут быть указаны адрес электронной почты (e-mail), совокупность цифр и/или символов (никнейм), целое число (например, «UIN» в мессенджере «ICQ» или «user_id» в мессенджере «Telegram») или их любое сочетание, либо IP-адрес устройства пользователя, уникальный «отпечаток» пользователя типа «user-agent», MAC-адрес устройства пользователя, «IMEI» мобильного устройства или их любое сочетание, и извлекает идентификатор системы обмена сообщения, в которой указанное пользовательское сообщение было отправлено, например IP-адрес сервера системы обмена сообщениями, при этом извлеченный идентификатор системы обмена сообщения уникальным образом идентифицирует систему обмена сообщениями, использованную пользователем для отправки этого сообщения, а извлеченный идентификатор пользователя уникальным образом идентифицирует конкретного пользователя в указанной системе обмена сообщениями. Таким образом, анализирующий модуль 220 может идентифицировать пользователя, связанного с пользовательским сообщением, в отношении которого анализирующим модулем 220 было выявлено, что оно имеет по меньшей мере один признак подозрительности сообщения, например по меньшей мере один из вышеописанных признаков подозрительности сообщения.
Кроме того, анализирующий модуль 220 дополнительно выполнен с возможностью записи данных об идентифицированном пользователе, поставленных в соответствие с уникальным идентификатором пользователя и уникальным идентификатором системы обмена сообщениями, в соответствующую базу данных пользователей, которая может быть размещена, например, в локальном хранилище 230 данных (или в обособленном локальном хранилище данных о пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием шины 240 связи, или в удаленном хранилище данных о пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием модуля 210 связи, соединенного с анализирующим модулем 220 посредством шины 240 связи, в зависимости от варианта реализации настоящего изобретения), при этом каждый такой идентифицированный пользователь имеет свой конкретный показатель репутации, значение которого первоначально устанавливается анализирующим модулем 220 в ноль и в дальнейшем складывается из оценок подозрительности, присваиваемых этому пользователю анализирующим модулем 220 в результате анализа его сообщений в системе обмена сообщениями, а данные о значениях показателей репутации пользователей хранятся в указанной базе данных пользователей, в которой их ставят в соответствие с уникальным идентификатором пользователя.
Анализирующий модуль 220 также выполнен с возможностью присвоения оценки подозрительности каждому из идентифицированных пользователей в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной оценки подозрительности, при этом анализирующий модуль 220 выполнен с возможностью присвоения заданного численного значения (например, балла) каждому из выявленных признаков подозрительности сообщения в зависимости, например, от конкретного характера угрозы, соответствующей этому конкретному признаку подозрительности сообщения, и/или степени её вредоносности (в частности, характер угрозы и/или степень ее вредоносности могут быть оценены анализирующим модулем 220 с использованием, например, специального предварительного запрограммированного классификатора на основании полученных результатов анализа пользовательских сообщений на вредоносность), так что численное значение (балл), присвоенное конкретному признаку подозрительности сообщения, определяет вклад этого признака подозрительности сообщения в оценку подозрительности, присваиваемую конкретному пользователю. Таким образом, оценку подозрительности, присваиваемую идентифицированному пользователю анализирующим модулем 220, получают путем суммирования заданных численных значений (баллов), присвоенных признакам подозрительности сообщения, выявленным анализирующим модулем 220 для этого идентифицированного пользователя. Следует также отметить, что в случае, если анализирующий модуль 220 не выявил ни одного признака подозрительности в анализируемом пользовательском сообщении, то оценка подозрительности, присваиваемая конкретному пользователю, связанному с этим пользовательским сообщением, имеет нулевое значение, что не приводит к изменению анализирующим модулем 220 значения показателя репутации этого пользователя, первоначально установленного в ноль. В противном же случае, когда в результате анализа пользовательского сообщения конкретному пользователю, связанному с этим анализируемым пользовательским сообщением, была присвоена оценка подозрительности со значением, отличным от нуля, анализирующий модуль 220 (i) получает доступ к локальному хранилищу 230 данных или устанавливает с ним связь с использованием шины 240 связи (либо получает доступ к обособленному локальному хранилищу данных о пользователях или удаленному хранилищу данных о пользователях или устанавливает с ними связь в зависимости от варианта реализации настоящего изобретения), (ii) находит в базе данных пользователей текущее значение показателя репутации этого пользователя на основании его уникального идентификатора; и (iii) обновляет это текущее значение показателя репутации путем его увеличения на значение оценки подозрительности, присвоенной этому пользователю.
Анализирующий модуль 220 может быть дополнительно выполнен с возможностью выполнения следующих операций, согласно которым он: (i) анализирует идентификационные данные каждого идентифицированного пользователя для выявления по меньшей мере одного признака подозрительности пользователя из заданного набора признаков подозрительности пользователей; и (ii) присваивает дополнительную оценку подозрительности каждому из указанных идентифицированных пользователей в зависимости от выявленных признаков подозрительности пользователя, каждый из которых вносит свой заданный вклад в присвоенную дополнительную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной дополнительной оценки подозрительности.
Следует отметить, что при выявлении по меньшей мере одного признака подозрительности пользователя для каждого идентифицированного пользователя анализирующий модуль 220 выполняет по меньшей мере одну из следующих операций, согласно которым он: (i) устанавливает, совпадают ли аватар, ФИО и/или никнейм идентифицированного пользователя с соответствующими вспомогательными идентификационными данными администратора в соответствующей одной систем 110, 120 обмена сообщениями; (ii) выявляет, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей одной из систем 110, 120 обмена сообщениями; (iii) выявляет, являются ли лица, приглашенные идентифицированным пользователем для обмена сообщениями в рамках установленного канала обмена сообщения в соответствующей одной из систем 110, 120 обмена сообщениями, программами, имитирующей деятельность человека по обмену сообщениями в указанной системе обмена сообщениями; и/или (iv) выявляет, имеются ли в системах 110, 120 обмена сообщениями пользователи с такими же идентификационными данными.
Для установления совпадения аватара, ФИО и/или никнейма идентифицированного пользователя с соответствующими вспомогательными идентификационными данными администратора анализирующий модуль 220 выполняет следующие операции, согласно которым он: (i); направляет запрос в соответствующую одну из систем 110, 120 обмена сообщениями на основании уникального идентификатора идентифицированного пользователя и уникального идентификатора системы обмена сообщениями для получения необходимых вспомогательных идентификационных данных этого идентифицированного пользователя, в частности, аватара, ФИО и/или никнейма идентифицированного пользователя, из соответствующей одной из баз 118, 128 данных пользователей; (ii) направляет еще один запрос в указанную систему обмена сообщениями, из которой были получены необходимые вспомогательные идентификационные данные идентифицированного пользователя, для получения необходимых вспомогательных идентификационных данных об администраторе этой системы обмена сообщениями, в частности, аватара, ФИО и/или никнейма администратора, из её базы данных пользователей (следует отметить, что администратор системы обмена сообщениями по сути также является одним из её пользователей, однако имеет более широкий объем прав по сравнению с остальными пользователями этой системы обмена сообщениями, в частности по сравнения с идентифицированным пользователем); и (iii) устанавливает, совпадают ли аватар, ФИО и/или никнейм идентифицированного пользователя, содержащиеся в полученных вспомогательных идентификационных данных идентифицированного пользователя, соответственно с аватаром, ФИО и/или никнеймом администратора, содержащимся в полученных вспомогательных идентификационных данных администратора, при этом в случае, если по меньшей мере один элемент вспомогательных идентификационных данных из аватара, ФИО и никнейма идентифицированного пользователя совпадает по меньшей мере с одним соответствующим элементом вспомогательных идентификационных данных администратора, то это свидетельствует о том, что идентифицированный пользователь с некоторой степенью вероятности имитирует поведение администратора в этой системе обмена сообщениями.
Таким образом, если анализирующий модуль 220 установил, что аватар, ФИО и/или никнейм идентифицированного пользователя совпадают соответственно с аватаром, ФИО и/или никнеймом администратора, то этот факт свидетельствует о том, что идентифицированный пользователь характеризуется соответствующим одним признаком подозрительности пользователя из заданного набора признаков подозрительности пользователей, известного анализирующему модулю 220.
Для выявления, является ли идентифицированный пользователь программой, имитирующей поведение пользователя, анализирующий модуль 220 анализирует активность отправки сообщений указанным пользователем в соответствующей одной из систем 110, 120 обмена сообщениями (в частности, в каждом канале обмена сообщениями, к которому идентифицированный пользователь был подключен в рамках этой системы обмена сообщениями) в течение заданного периода времени на основании уникального идентификатора идентифицированного пользователя и уникального идентификатора системы обмена сообщениями, при этом в случае, если анализирующий модуль 220 выявит, посредством, например, предварительного запрограммированного классификатора, встроенного в анализирующий модуль 220, что активность отправки сообщений указанным пользователем в указанной системе обмена сообщениями соответствует одной из заданных временных схем, известных анализирующему модулю 220, то это приведет к отнесению этого идентифицированного пользователя к программам, имитирующим поведение пользователя в системе обмена сообщениями (программам-ботам).
Таким образом, если анализирующий модуль 220 установил, что идентифицированный пользователь представляет собой программу-бот, то этот факт также свидетельствует о том, что идентифицированный пользователь характеризуется еще одним соответствующим признаком подозрительности пользователя из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
При выявлении, являются ли лица, приглашенные идентифицированным пользователем (в частности, такие приглашенные лица также являются пользователями, которые используют систему обмена сообщения для коммуникации с другими пользователями этой системы обмена сообщениями) принять участие в обмене сообщениями (то есть в процессе коммуникации между пользователями системы обмена сообщениями, таком как, например, беседа, переписка, многопользовательский чат, приватный чат или т.п.) в рамках по меньшей мере одного канала обмена сообщениями в соответствующей одной из систем 110, 120 обмена сообщениями, программами, имитирующими поведение пользователя, анализирующий модуль 220 (i) направляет запрос в соответствующую одну из систем 110, 120 обмена сообщениями (такой запрос использует синтаксис команд API-интерфейса этой системы обмена сообщениями) на основании уникального идентификатора идентифицированного пользователя и уникального идентификатора системы обмена сообщениями для получения из неё необходимых данных о лицах, приглашенных идентифицированным пользователем; (ii) для каждого из приглашенных лиц, сообщенных анализирующему модулю 220 указанной системой обмена сообщениями в ответ на указанный запрос, приступает к выполнению операций, идентичных вышеописанным операциям, выполняемым анализирующим модулем 220 для выявлении, является ли идентифицированный пользователь программой, имитирующей поведение пользователя (см. приведенное выше описание).
Таким образом, если анализирующий модуль 220 установил, что по меньшей мере один пользователь системы обмена сообщениями, приглашенный идентифицированным пользователем, представляет собой программу-бот, то этот факт также свидетельствует о том, что идентифицированный пользователь характеризуется еще одним соответствующим признаком подозрительности пользователя из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
При выявлении, имеются ли в системах обмена сообщениями по меньшей мере один пользователь с идентификационными данными, совпадающими с идентификационными данными идентифицированного пользователя, анализирующий модуль 220 (i) направляет запросы (каждый такой запрос использует синтаксис команд API-интерфейса соответствующей одной из систем 110, 120 обмена сообщениями) в системы 110, 120 обмена сообщениями на основании уникального идентификатора каждой из этих систем 110, 120 обмена сообщениями и уникального идентификатора идентифицированного пользователя для выявления в каждой из этих систем 110, 120 обмена сообщениями пользователей, имеющих те же самые идентификационные данные, что и идентифицированный пользователь.
Таким образом, если анализирующий модуль 220 установил, что в системах 110, 120 обмена сообщениями имеются пользователи, по меньшей мере один элемент идентификационных данных которых совпадает с соответствующим по меньшей мере одним элементом идентификационных данных идентифицированного пользователя, то этот факт также свидетельствует о том, что идентифицированный пользователь характеризуется еще одним соответствующим признаком подозрительности пользователя из заданного набора признаков подозрительности сообщений, известного анализирующему модулю 220.
Анализирующий модуль 220 также выполнен с возможностью присвоения заданного численного значения (например, балла) каждому из выявленных признаков подозрительности пользователя в зависимости, например, от количества элементов вспомогательных идентификационных данных из числа аватара, ФИО и никнейма, совпадающих у идентифицированного пользователя и администратора, количества пользователей, представляющих собой программу-бот, среди пользователей конкретной системы обмена сообщениями, приглашенных идентифицированным пользователем, количества элементов идентификационных данных, таких как e-mail, совпадающих у идентифицированного пользователя и пользователей всех систем обмена сообщениями, и количества таких пользователей, и т.п. Таким образом, численное значение (балл), присвоенное конкретному признаку подозрительности пользователя, определяет вклад этого признака подозрительности пользователя в дополнительную оценку подозрительности, присваиваемую конкретному пользователю. Таким образом, дополнительную оценку подозрительности, присваиваемую идентифицированному пользователю анализирующим модулем 220, получают путем суммирования заданных численных значений (баллов), присвоенных признакам подозрительности пользователя, выявленным анализирующим модулем 220 для этого идентифицированного пользователя. Следует также отметить, что в случае, если анализирующий модуль 220 не выявил ни одного из вышеописанных признаков подозрительности пользователя для идентифицированного пользователя, то дополнительная оценка подозрительности, присваиваемая этому конкретному пользователю, имеет нулевое значение, что не приводит к изменению анализирующим модулем 220 значения показателя репутации этого пользователя. В противном же случае, если идентифицированному пользователю была присвоена, посредством анализирующего модуля 220, дополнительная оценка подозрительности со значением, отличным от нуля, то этот анализирующий модуль 220 (i) получает доступ к локальному хранилищу 230 данных или устанавливает с ним связь с использованием шины 240 связи (либо получает доступ к обособленному локальному хранилищу данных о пользователях или удаленному хранилищу данных о пользователях или устанавливает с ними связь в зависимости от варианта реализации настоящего изобретения), (ii) находит в базе данных пользователей текущее значение показателя репутации этого пользователя на основании его уникального идентификатора; и (iii) обновляет это текущее значение показателя репутации путем его увеличения на значение дополнительной оценки подозрительности, присвоенной этому пользователю.
Таким образом, на значение показателя репутации каждого пользователя в каждой из систем 110, 120 обмена сообщениями влияет не только оценка подозрительности, присваиваемая этому пользователю анализирующим модулем 220 на основании выявленных признаков подозрительности сообщений, отправленных этим пользователем, но и дополнительная оценка подозрительности, присваиваемая этому пользователю на основании выявленных признаков подозрительности этого пользователя, как описано выше в данном документе.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 220 может осуществлять вышеописанный анализ идентификационных данных пользователей в отношении только тех идентифицированных пользователей, чей показатель репутации превышает заданную минимальную пороговую репутацию, которая меньше предельной пороговой репутации. Таким образом, если оценка подозрительности идентифицированного пользователя, присвоенная на основании результатов вышеописанного анализа пользовательского сообщения, отправленного этим пользователем в системе обмена сообщениями, на наличие признаков подозрительности сообщения привела к изменению показателя репутации этого пользователя до значения, превышающего минимальную пороговую репутацию, но меньшего предельной пороговой репутации, то анализирующий модуль 220 приступает к осуществлению вышеописанного анализа идентификационных данных указанного пользователя, при этом анализирующий модуль 220 получает заданное значение предельной пороговой репутации и заданное значение минимальной пороговой репутации из локального хранилища 230 данных (обособленного локального хранилища данных о значениях пороговых репутаций для систем обмена сообщениями или удаленному хранилищу данных о значениях пороговых репутаций для систем обмена сообщениями в зависимости от варианта реализации настоящего изобретения).
Анализирующий модуль 220 также выполнен с возможностью отнесения идентифицированных пользователей по меньшей мере в одной из систем 110, 120 обмена сообщениями к подозрительным пользователям в случае, если измененное значение их показателя репутации превышает заданную предельную пороговую репутацию, получаемую из локального хранилища 230 данных (обособленного локального хранилища данных о значениях пороговых репутаций для систем обмена сообщениями или удаленному хранилищу данных о значениях пороговых репутаций для систем обмена сообщениями в зависимости от варианта реализации настоящего изобретения).
Анализирующий модуль 220 также выполнен с возможностью отправки сведений о каждом из выявленных подозрительных пользователей в соответствующую одну из систем 110, 120 обмена сообщениями на основании уникального идентификатора этого подозрительного пользователя и уникального идентификатора этой системы обмена сообщениями, связанной с этим подозрительным пользователем. При получении отправленных сведений о выявленном подозрительном пользователе, поставленных в соответствие по меньшей мере с уникальным идентификатором этого подозрительного пользователя и уникальным идентификатором соответствующей системы обмена сообщениями, управляющий сервер этой системы обмена сообщениями может, например, сохранять полученные сведения в отдельную базу данных подозрительных пользователей, размещенную в этой системе обмена сообщениями, с обеспечением предотвращения или запрета, например, просмотра любых сообщений этого подозрительного пользователя, хранящихся в соответствующей базе сообщений, просмотра любых сведений об этом подозрительном пользователе, хранящихся в соответствующей базе данных пользователей, отправки любых сообщений этим подозрительным пользователем и обмена сообщениями с этим подозрительным пользователем в этой системе обмена сообщениями.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 220 может быть выполнен с возможностью отправки запроса на блокирование каждого из выявленных подозрительных пользователей в соответствующую систему обмена сообщениями. При получении такого запроса, поставленного в соответствие по меньшей мере с уникальным идентификатором этого подозрительного пользователя и уникальным идентификатором соответствующей системы обмена сообщениями, управляющий сервер этой системы обмена сообщениями может, например, запретить, например, просмотр любых сообщений этого подозрительного пользователя, хранящихся в соответствующей базе сообщений, просмотр любых сведений об этом подозрительном пользователе, хранящихся в соответствующей базе данных пользователей, отправку любых сообщений этим подозрительным пользователем и обмен сообщениями с этим подозрительным пользователем в этой системе обмена сообщениями.
В одном из вариантов реализации настоящего изобретения в случае, если анализирующий модуль 220 выявил подозрительного пользователя в соответствующей одной из систем 110, 120 обмена сообщениями, то он может сохранять сведения о таком подозрительном пользователе, поставленные в соответствие с уникальным идентификатором этого подозрительного пользователя и уникальным идентификатором этой системы обмена сообщениями, в отдельную базу данных подозрительных пользователей, размещенную, например, в локальном хранилище 230 данных (обособленном локальном хранилище данных о подозрительных пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием шины 240 связи, или в обособленном удаленном хранилище данных о подозрительных пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием модуля 210 связи, соединенного с анализирующим модулем 220 посредством шины 240 связи, в зависимости от варианта реализации настоящего изобретения). Таким образом, в данном варианте реализации при получении пользовательского сообщения из любой системы обмена сообщениями, в частности из любой из систем 110, 120 обмена сообщениями, анализирующий модуль 220 может сначала (то есть еще до осуществления вышеописанного анализа этого пользовательского сообщения на вредоносность) идентифицировать пользователя, отправившего полученное сообщение, на основании уникального идентификатора этого пользователя, содержащегося в этом полученном сообщении, а затем проверить, не был ли этот идентифицированный пользователь ранее отнесен к числу подозрительных пользователей для любой другой системы обмена сообщениями, входящей в состав системы 100 для выявления подозрительных пользователей и взаимодействующей с устройством 200 для выявления подозрительных пользователей, путем получения доступа к вышеописанной базе данных подозрительных пользователей или установления с ней связи, в результате чего анализирующий модуль 220 может направить сведения о выявленном подозрительном пользователе в эту систему обмена сообщениями, из которой было получено указанное пользовательское сообщение, для последующей блокировки в ней этого подозрительного пользователя (см. приведенное выше описание) или направить запрос на блокирование этого выявленного подозрительного пользователя в указанную систему обмена сообщениями (см. приведенное выше описание).
Еще в одном варианте реализации настоящего изобретения вышеописанная база данных подозрительных пользователей может быть дополнительна введена во взаимодействие (посредством модуля 210 связи в сочетании с соответствующим парсером или модулем предварительной обработки данных в зависимости от варианта реализации настоящего изобретения) со всеми системами обмена сообщениями, в частности с системами 110, 120 обмена сообщениями, с обеспечением возможности периодического обновления их баз данных подозрительных пользователей, в частности дополнения баз данных подозрительных пользователей сведениями о новом подозрительном пользователе, выявленном для любой из систем обмена сообщениями, входящих в состав системы 100 для выявления подозрительных пользователей и взаимодействующих с устройством 200 для выявления подозрительных пользователей.
В другом варианте реализации настоящего изобретения анализирующий модуль 220 может взаимодействовать (посредством модуля 210 связи в сочетании с соответствующим парсером или модулем предварительной обработки данных в зависимости от варианта реализации настоящего изобретения) с управляющими серверами систем обмена сообщениями, в частности с управляющими серверами 112, 122 систем 110, 120 обмена сообщениями, с возможностью управления их работой, так что в вышеописанном случае выявления подозрительного пользователя анализирующий модуль 220 может быть выполнен с возможностью направления управляющих инструкций в соответствующий один из управляющих серверов 112, 122 для осуществления вышеописанной операции блокировки этого подозрительного пользователя в соответствующей одной из систем 110, 120 обмена сообщениями на основании уникального идентификатора системы обмена сообщениями и уникального идентификатора подозрительного пользователя.
В некоторых вариантах реализации настоящего изобретения по меньшей мере для одного из идентифицированных пользовательских сообщений от систем 110, 120 обмена сообщениями, сохраненных в базе пользовательских сообщений на локальном хранилище 230 данных, анализирующий модуль 220 также может быть выполнен с возможностью направления в соответствующую одну из систем 110, 120 обмена сообщениями, связанную с указанным сохраненным пользовательским сообщением, запроса для установления факта изменения этого пользовательского сообщения самим пользователем в указанной системе обмена сообщениями, при этом в случае, если в ответ на указанный запрос указанная система обмена сообщениями установила факта изменения указанного пользовательского сообщения, то анализирующий модуль 220 получает, посредством модуля 210 связи, это измененное пользовательское сообщение из указанной системы обмена сообщениями для его повторного анализа на наличие признаков подозрительности, как описано выше в данном документе.
В других вариантах реализации настоящего изобретения вышеописанный запрос на установление факта изменения пользовательского сообщения может быть направлен анализирующим модулем 220 в соответствующую одну из систем 110, 120 обмена сообщениями только для тех пользовательских сообщений, в отношении которых анализирующий модуль 220 установил, что пользователи, отправившие эти пользовательские сообщения, имеют каждый показатель репутации, превышающий минимальную пороговую репутацию, при этом сведения о значении минимальной пороговой репутации анализирующий модуль 220 получает из локального хранилища 230 данных, а сведения о текущем значении показателя репутации пользователя анализирующий модуль 220 получает из базы данных пользователей, размещенной в локальном 230 хранилище данных, на основании по меньшей мере уникального идентификатора пользователя.
Согласно одному из вариантов реализации настоящего изобретения, по меньшей мере для одного из идентифицированных пользовательских сообщений от систем 110, 120 обмена сообщениями, сохраненных в базе пользовательских сообщений в локальном хранилище 230 данных, анализирующий модуль 220 также может быть выполнен с возможностью получения доступа, посредством вычислительного устройства, к соответствующей одной из систем 110, 120 обмена сообщениями на основании по меньшей мере уникального идентификатора системы обмена сообщениями для извлечения из соответствующей одной из баз 116, 126 сообщений пользовательского сообщения, атрибуты которого совпадают с атрибутами указанного сохраненного пользовательского сообщения, и с возможностью вычисления хеш-сумм указанных сохраненного пользовательского сообщения и извлеченного пользовательского сообщения, при этом в случае несовпадения вычисленных хеш-сумм анализирующий модуль 220 повторно осуществляет вышеописанный анализ на вредоносность в отношении указанного измененного пользовательского сообщения. Согласно одной из разновидностей этого варианта реализации настоящего изобретения, получение доступа к соответствующей одной из баз 116, 126 сообщений систем 110, 120 обмена сообщениями с последующим извлечением из неё необходимого пользовательского сообщения (как описано выше в данном документе), может быть осуществлено анализирующим модулем 220 только для тех пользовательских сообщений, в отношении которых анализирующий модуль 220 установил, что пользователи, отправившие эти пользовательские сообщения, имеют каждый показатель репутации, превышающий минимальную пороговую репутацию, при этом сведения о значении минимальной пороговой репутации анализирующий модуль 220 получает из локального хранилища 230 данных, а сведения о текущем значении показателя репутации пользователя анализирующий модуль 220 получает из базы данных пользователей, размещенной в локальном 230 хранилище данных, на основании по меньшей мере уникального идентификатора пользователя.
Для идентификации в системах обмена сообщениями по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением (то есть связанного с проанализированным пользовательским сообщением, в котором анализирующий модуль 220 выявил по меньшей мере один признак подозрительности, как описано выше в данном документе), в системах обмена сообщениями, входящих в состав системы 100 для выявления подозрительных пользователей и взаимодействующих с устройством 200 для выявления подозрительных пользователей, например в системах 110, 120 обмена сообщениями, анализирующий модуль 220 (i) получает от каждой из систем 110, 120 обмена сообщениями все пользовательские сообщения, сохраненные соответственно в базах 116, 126 сообщений, при этом каждое полученное пользовательское сообщение поставлено в соответствие с уникальным идентификатором конкретной системы обмена сообщениями и уникальным идентификатором конкретного пользователя; (ii) сравнивает подозрительное пользовательское сообщение с каждым из указанных полученных пользовательских сообщений с использованием по меньшей мере одной известной методики сравнения текстовых данных, например путем их посимвольного сравнения, сравнения по ключевым словам, которые могут быть выделены из каждого из пользовательских сообщений с использованием, например, специального предварительно запрограммированного классификатора, встроенного в анализирующий модуль 220, и/или путем сравнения хеш-суммы, вычисленной анализирующим модулем 220 для подозрительного пользовательского сообщения, с хеш-суммой, вычисленной анализирующим модулем 220 для каждого из полученных пользовательских сообщений, для выявления в этих системах 110, 120 обмена сообщениями сообщения, схожие с указанным подозрительным пользовательским сообщением, с обеспечением объединения пользователей, отправивших такие схожие сообщения, в группу взаимосвязанных пользователей; (iii) в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию (как более подробно описано выше в данном документе), всех пользователей из указанной группы относят к подозрительным пользователям. Следует отметить, что в зависимости от варианта реализации для получения необходимых пользовательских сообщений анализирующий модуль 220 может либо направить соответствующий запрос в каждую из систем 110, 120 обмена сообщениями для получения необходимых пользовательских сообщений в ответ на направленный запрос, либо получить доступ непосредственно к каждой из баз 116, 126 сообщений или установить с ними связь для извлечения оттуда необходимых пользовательских сообщений.
В качестве дополнения или альтернативы для идентификации в системах обмена сообщениями по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением (то есть связанного с проанализированным пользовательским сообщением, в котором анализирующий модуль 220 выявил по меньшей мере один признак подозрительности, как описано выше в данном документе), в системах обмена сообщениями, входящих в состав системы 100 для выявления подозрительных пользователей и взаимодействующих с устройством 200 для выявления подозрительных пользователей, например в системах 110, 120 обмена сообщениями, анализирующий модуль 220 (i) получает от каждой из систем 110, 120 обмена сообщениями все сведения о пользователях, сохраненные соответственно в базах 118, 128 пользователей и поставленные каждое в соответствие с уникальным идентификатором конкретной системы обмена сообщениями и уникальным идентификатором конкретного пользователя; (ii) сравнивает идентификационные данные подозрительного пользователя, в частности его уникальный идентификатор, с соответствующими идентификационными данными каждого пользователя (в частности, с его уникальным идентификатором, имеющим тот же тип из вышеописанных возможных типов идентификаторов пользователя, что и у подозрительного пользователя), данные о котором содержатся в указанных полученных сведениях о пользователях, для выявления в этих системах 110, 120 обмена сообщениями пользователей со схожими идентификационными данными; (iii) в случае выявления в системах 110, 120 обмена сообщениями пользователей со схожими идентификационными данными объединяет таких пользователей в группу взаимосвязанных пользователей; (iv) в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию (как более подробно описано выше в данном документе), всех пользователей из указанной группы относят к подозрительным пользователям. Следует отметить, что в зависимости от варианта реализации анализирующий модуль 220 может либо направить соответствующий запрос в каждую из систем 110, 120 обмена сообщениями и получить все необходимые сведения о пользователях в ответ на этот запрос, либо получить доступ непосредственно к каждой из баз 118, 128 пользователей или установить с ними связь и извлечь оттуда все необходимые сведения о пользователях.
В качестве дополнения или альтернативы для идентификации в системах обмена сообщениями по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением (то есть связанного с проанализированным пользовательским сообщением, в котором анализирующий модуль 220 выявил по меньшей мере один признак подозрительности, как описано выше в данном документе), в системах обмена сообщениями, входящих в состав системы 100 для выявления подозрительных пользователей и взаимодействующих с устройством 200 для выявления подозрительных пользователей, например в системах 110, 120 обмена сообщениями, анализирующий модуль 220 (i) получает от каждой из систем 110, 120 обмена сообщениями все пользовательские сообщения, сохраненные соответственно в базах 116, 126 сообщений, при этом каждое полученное пользовательское сообщение поставлено в соответствие с уникальным идентификатором конкретной системы обмена сообщениями и уникальным идентификатором конкретного пользователя; (ii) извлекает, посредством соответствующего регулярного выражения из набора известных ему регулярных выражений, из этого полученного пользовательского сообщения по меньшей мере одну ссылку; (iii) устанавливает возможную связь между каждой вредоносной ссылкой, содержащейся в подозрительном пользовательском сообщении, с каждой из извлеченных ссылок, содержащихся в полученном пользовательском сообщении; (iv) в случае установления указанной связи между ссылками объединяет таких пользователей в группу взаимосвязанных пользователей; (v) в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию (как более подробно описано выше в данном документе), всех пользователей из указанной группы относят к подозрительным пользователям. Следует отметить, что в зависимости от варианта реализации анализирующий модуль 220 может либо направить соответствующий запрос в каждую из систем 110, 120 обмена сообщениями и получить все необходимые пользовательские сообщения в ответ на этот запрос, либо получить доступ непосредственно к каждой из баз 118, 128 пользователей или установить с ними связь и извлечь оттуда все необходимые пользовательские сообщения.
Для установления вышеупомянутой связи между ссылками в системах 110, 120 обмена сообщениями анализирующий модуль 220 выполняет по меньшей мере одну из следующих операций, согласно которым он устанавливает для каждой пары сравниваемых ссылок по меньшей мере одно из следующего: (1) имеют ли доменные имена схожее написание (например, путем их посимвольного сравнения, вычисления расстояния Левенштейна между доменными именами, сравнения их хеш-сумм, вычисленных анализирующим модулем 220, и/или иной известной методики); (2) зарегистрированы ли доменные имена на одно и то же лицо; (3) указаны ли для зарегистрированных доменных имен одни и те же персональные данные, в частности, телефон, фактический адрес и/или адрес электронной почты; (4) находятся ли доменные имена по одному и тому же IP-адресу; и (5) имеют ли извлеченные ссылки один и тот же единый указатель веб-ресурса “URL” (например, путем их посимвольного сравнения, вычисления расстояния Левенштейна между этими “URL”, сравнения их хеш-сумм, вычисленных анализирующим модулем 220, и/или иной известной методики), при этом сведения о лицах, на которые зарегистрированы доменные имена, сведения о персональных данных (входят в регистрационные данные доменного имени), указанных для зарегистрированных доменных имен, и IP-адресах, по которым находятся зарегистрированные доменные имена, могут быть автоматически получены анализирующим модулем 220 с использованием, например, онлайн-службы «Whois», в частности путем автоматического направления подходящего поискового запроса в эту онлайн-службу «Whois» и извлечения необходимых сведений из ответа онлайн-службы «Whois» либо из веб-страницы с результатами выполнения поискового запроса путем использования, например, специального парсера, встроенного в анализирующий модуль 220 и анализирующего, например, текст ответа онлайн-службы «Whois» или html-код названной веб-страницы.
Согласно одному из вариантов реализации настоящего изобретения, в качестве дополнения или альтернативы вышеупомянутая связь между ссылками в системах 110, 120 обмена сообщениями также может быть установлена анализирующим модулем 220 путем сравнения для каждой пары сравниваемых ссылок истории изменения IP-адресов, работающих сервисов, истории доменных имен, истории DNS-серверов, истории изменения DNS-записей, SSL-ключей, SSH-отпечатков, исполняемых файлов и иных параметров сетевых ресурсов. Следует отметить, что наличие связи между сравниваемыми ссылками может быть установлено или определено анализирующим модулем 220 на основании совпадения по меньшей мере одного из вышеперечисленных параметров сетевых ресурсов. В частности, в одной из разновидностей данного варианта реализации настоящего изобретения связь между сетевыми ресурсами, находящимися по анализируемым ссылкам, может быть установлена анализирующим модулем 220 путем создания известной математической модели в виде графа, согласно которой вершины создаваемого графа соответствуют по меньшей мере первому сетевому ресурсу и по меньшей мере второму сетевому ресурсу, а ребра графа представляют собой связи между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом по меньшей мере по одному параметру из вышеперечисленных параметров, общему по меньшей мере для первого сетевого ресурса и по меньшей мере для второго сетевого ресурса. В такой разновидности вышеописанного варианта реализации настоящего изобретения анализирующий модуль 220 может быть выполнен с возможностью присвоения, посредством, например, известного алгоритма машинного обучения, весов связям по меньшей мере между первым сетевым ресурсом и вторым сетевым ресурсом на основании параметра первого сетевого ресурса и второго сетевого ресурса, при этом количество связей по одному параметру сетевого ресурса между одним первым сетевым ресурсом и вторыми сетевыми ресурсами может быть ограничено пороговым значением. Анализирующий модуль 220 дополнительно выполнен с возможностью определения коэффициента связи как отношения количества связей по одному параметру между одним первым сетевым ресурсом и вторыми сетевыми ресурсами и веса каждой связи по одному параметру между первым сетевым ресурсом и вторыми сетевыми ресурсами и возможностью удаления связей между по меньшей мере первым сетевым ресурсом и по меньшей мере вторым сетевым ресурсом в случае, если значение определенного коэффициента связи меньше заданного порогового значения.
Следует отметить, что в вышеописанных случаях образования групп взаимосвязанных пользователей анализирующий модуль 220 сохраняет сведения о таких связанных пользователях в обособленную базу данных связанных подозрительных пользователей, размещенную в локальном хранилище 230 данных, или в соответствующий подраздел базы данных пользователей для хранения сведений о связанных подозрительных пользователях, размещенной в локальном хранилище 230 данных (обособленном локальном хранилище данных о связанных подозрительных пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием шины 240 связи, или в обособленном удаленном хранилище данных о связанных подозрительных пользователях, к которому анализирующий модуль 220 может получать доступ или с которым он может устанавливать связь с использованием модуля 210 связи, соединенного с анализирующим модулем 220 посредством шины 240 связи, в зависимости от варианта реализации настоящего изобретения), при этом в случае отнесения пользователя к подозрительным пользователям, как описано выше в данном документе, анализирующий модуль 220 дополнительно проверяет, относится ли этот подозрительный пользователь к какой-либо группе взаимосвязанных пользователей, путем поиска этого подозрительного пользователя среди подозрительных пользователей в обособленной базе данных связанных подозрительных пользователей или подразделе базы данных пользователей для хранения сведений о связанных подозрительных пользователях в локальном хранилище 230 данных на основании уникального идентификатора этого подозрительного пользователя.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 220 может объединить группу взаимосвязанных пользователей, образованную из подозрительных пользователей, выявленных путем выявления схожих сообщений (как более подробно описано выше), группу взаимосвязанных пользователей, образованную из подозрительных пользователей, выявленных путем выявления пользователей со схожими идентификационными данными (как более подробно описано выше), и группу взаимосвязанных пользователей, образованную из подозрительных пользователей, выявленных путем выявления связанных ссылок (как более подробно описано выше), в общую группу взаимосвязанных пользователей с последующим ее использованием анализирующим модулем 220 вышеописанным образом.
В некоторых вариантах реализации настоящего изобретения пользователи и/или группа взаимосвязанных пользователей могут быть заблокированы одним из вышеописанных способов на заданный период времени, в том числе с удалением по меньшей мере части сообщений, направленных каждым из отдельных заблокированных пользователей и/или каждым из заблокированных пользователей, входящих в состав каждой из заблокированных групп взаимосвязанных пользователей, в соответствующей системе обмена сообщениями, например только пользовательских сообщений с вредоносным контентом, или их всех. В одной из разновидностей этого варианта реализации в случае разблокирования ранее заблокированного пользователя (например, в случае прохождения пользователем заданной процедуры разблокировки и удовлетворения всем её условиям) соответствующая система обмена сообщениями направляет в устройство 200 для выявления подозрительных пользователей сведения о разблокированном пользователе, поставленные в соответствие с уникальным идентификатором разблокированного пользователя и уникальным идентификатором этой системы обмена сообщениями, при этом анализирующий модуль 220 автоматически (по умолчанию) устанавливает для такого разблокированного пользователя показатель его репутации в заданное первоначальное значение, отличное от нуля и меньшее значения заданной минимальной пороговой репутации.
На фиг. 3 показана блок-схема способа 300 выявления подозрительных пользователей в системах обмена сообщениями согласно настоящему изобретению. Следует отметить, что что способ 300 может быть выполнен с использованием вычислительного процессора любого известного вычислительного устройства, в частности с использованием вышеописанного анализирующего модуля 220 устройства 200 для выявления подозрительных пользователей в системах 110, 120 обмена сообщениями, показанного на фиг. 2.
Способ 300, показанный на фиг. 3, начинается с этапа 310, согласно которому получают по меньшей мере из одной системы обмена сообщениями множество пользовательских сообщений.
В одном из вариантов реализации настоящего изобретения этап 310 может включать дополнительную операцию, согласно которой идентифицируют формат описания полученных пользовательских сообщений, при этом если идентифицированный формат описания сообщений не соответствует унифицированному формату описания данных, подходящему для вычислительного устройства 200, то преобразуют полученные сообщения в указанный унифицированный формат.
Еще в одном варианте реализации настоящего изобретения этап 310 может включать дополнительную операцию, согласно которой выявляют в указанных полученных пользовательских сообщениях голосовые сообщения и видео и преобразуют их в текст.
В дальнейшем способ 300 переходит к выполнению этапа 320, согласно которому анализируют каждое из пользовательских сообщений, полученных на этапе 310, для выявления по меньшей мере одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений.
В некоторых вариантах реализации настоящего изобретения этап 320 анализа каждого из полученных пользовательских сообщений может включать по меньшей мере один из следующих подэтапов, согласно которым: (1) выявляют в анализируемом пользовательском сообщении по меньшей мере одну вредоносную ссылку; (2) выявляют в анализируемом пользовательском сообщении по меньшей один вредоносный аккаунт платежной системы; (3) выявляют в анализируемом пользовательском сообщении по меньшей мере один вредоносный адрес электронной почты; (4) выявляют в анализируемом пользовательском сообщении сведения по меньшей мере об одном вредоносном счете в финансовой организации.
Следует отметить, что вышеописанный подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки, который может быть выполнен при выполнении этапа 320, может включать извлечение из анализируемого пользовательского сообщения по меньшей мере одной ссылки с обеспечением выполнения по меньшей мере одной из следующих операций, согласно которым: (i) анализируют доменное имя для извлеченной ссылки на вредоносность с использованием по меньшей мере одной методики анализа; (ii) получают по меньшей мере один файл, находящийся по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа; и (iii) получают html-код веб-ресурса, находящегося по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа. Кроме того, подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки, который может быть выполнен при выполнении этапа 320, может дополнительно включать выполнение операции, согласно которой устанавливают, соответствует ли извлеченная ссылка одной из известных вредоносных ссылок. Кроме того, операция (i) вышеописанного подэтапа выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки, который может быть выполнен при выполнении этапа 320, может дополнительно включать проверку, совпадает ли анализируемое доменное имя по меньшей мере частично с одним из известных вредоносных доменных имен. Кроме того, операция (ii) вышеописанного подэтапа выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки, который может быть выполнен при выполнении этапа 320, может дополнительно включать вычисление хеш-суммы полученного файла, находящегося по извлеченной ссылке, и установление, совпадает ли вычисленная хеш-сумма анализируемого файла с хеш-суммой одного из известных вредоносных файлов. Кроме того, операция (iii) вышеописанного подэтапа выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки, который может быть выполнен при выполнении этапа 320, может дополнительно включать поиск в полученном html-коде веб-ресурса заданных ключевых слов, указывающих на вредоносный характер веб-ресурса.
В других вариантах реализации настоящего изобретения вышеописанный подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного аккаунта платежной системы, который может быть выполнен при выполнении этапа 320, может включать извлечение из анализируемого пользовательского сообщения по меньшей мере одного аккаунта платежной системы с обеспечением проверки, совпадает ли извлеченный аккаунт платежной системы с одним из известных вредоносных аккаунтов платежных систем.
В некоторых вариантах реализации настоящего изобретения вышеописанный подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного адреса электронной почты, который может быть выполнен при выполнении этапа 320, может включать извлечение из анализируемого пользовательского сообщения по меньшей мере одного адреса электронной почты с обеспечением проверки, совпадает ли извлеченный адрес электронной почты с одним из известных вредоносных адресов электронной почты.
Способ 300 может дополнительно включать этап, согласно которому дополнительно анализируют идентификационные данные идентифицированных пользователей для выявления по меньшей мере одного признака подозрительности пользователя из заданного набора признаков подозрительности пользователей с обеспечением присвоения дополнительной оценки подозрительности каждому из указанных идентифицированных пользователей в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную дополнительную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной дополнительной оценки подозрительности.
Согласно одному из вариантов реализации настоящего изобретения, вышеописанный дополнительный этап анализа идентификационных данных идентифицированных пользователей в способе 300 может быть осуществлен в отношении только тех идентифицированных пользователей, чей показатель репутации превышает заданную минимальную пороговую репутацию, которая меньше указанной предельной пороговой репутации.
Согласно еще одному варианту реализации настоящего изобретения, для выявления по меньшей мере одного признака подозрительности каждого из идентифицированных пользователей при выполнении вышеописанного дополнительного этапа способа 300 выполняют по меньшей мере одну из следующих операций, согласно которым: (1) устанавливают, совпадают ли аватар, ФИО и/или никнейм идентифицированного пользователя с соответствующими сведениями об администраторе по меньшей мере в одной из систем обмена сообщениями; (2) выявляют, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей системе обмена сообщениями; (3) выявляют, являются ли лица, приглашенные идентифицированным пользователем для обмена сообщениями в рамках по меньшей мере одного канала обмена сообщения в соответствующей системе обмена сообщениями, программой, имитирующей деятельность человека по обмену сообщениями в указанной системе обмена сообщениями; (4) выявляют, имеются ли в системах обмена сообщениями по меньшей мере один пользователь с идентификационными данными, совпадающими с идентификационными данными идентифицированного пользователя.
Согласно некоторым вариантам реализации настоящего изобретения, при выполнении вышеуказанной операции (2) в рамках выполнения дополнительного этапа способа 300 анализируют активность отправки сообщений идентифицированным пользователем в системе обмена сообщениями в течение заданного периода времени, при этом в случае выявления, что активность отправки сообщений пользователя соответствует определенной временной схеме, относят указанного пользователя к программам, имитирующим поведение пользователя.
Согласно другим вариантам реализации настоящего изобретения, пользовательские сообщения, проанализированные на этапе 320, сохраняют в базу пользовательских сообщений, размещенную на вычислительном устройстве 200. В одной из разновидностей этого варианта реализации настоящего изобретения по меньшей мере для одного из пользовательских сообщений, сохраненных в базе пользовательских сообщений, размещенной на вычислительном устройстве 200, направляют в соответствующую одну из систем 110, 120 обмена сообщениями, связанную с указанным сохраненным пользовательским сообщением, запрос для установления факта изменения этого пользовательского сообщения самим пользователем в указанной системе обмена сообщениями, при этом в случае установления факта изменения пользовательского сообщения получают указанное измененное пользовательское сообщение из указанной системы обмена сообщениями с обеспечением его повторного анализа на наличие признаков подозрительности, как описано выше в данном документе. Для вышеописанной разновидности данного варианта реализации настоящего изобретения запрос для установления факта изменения этого пользовательского сообщения самим пользователем в систему обмена сообщениями могут направлять по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию. Еще в одной разновидности вышеописанного варианта реализации по меньшей мере для одного из сохраненных пользовательских сообщений получают доступ, посредством вычислительного устройства, к соответствующей системе обмена сообщениями с обеспечением извлечения из её базы сообщений пользовательского сообщения, атрибуты которого совпадают с атрибутами указанного сохраненного пользовательского сообщения, и вычисляют хеш-суммы указанных сохраненного пользовательского сообщения и извлеченного пользовательского сообщения, при этом в случае несовпадения вычисленных хеш-сумм осуществляют повторный анализ указанного измененного пользовательского сообщения на наличие признаков подозрительности. Для вышеописанной еще одной разновидности данного варианта реализации настоящего изобретения получение доступа к базе сообщений системы обмена сообщениями с извлечением из нее необходимого пользовательского сообщения могут осуществлять по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию.
В дальнейшем способ 300 переходит к выполнению этапа 330, согласно которому в случае выявления указанного по меньшей мере одного признака подозрительности сообщения в анализируемом пользовательском сообщении идентифицируют по меньшей мере одного пользователя, связанного с анализируемым пользовательским сообщением, в указанных системах обмена сообщениями, и с последующим выполнением этапа 340, согласно которому каждому из идентифицированных пользователей присваивают оценку подозрительности в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной оценки подозрительности, и этапа 350, согласно которому относят пользователей по меньшей мере в одной из указанных систем обмена сообщениями к подозрительным пользователям в случае, если измененное значение их показателя репутации превышает заданную предельную пороговую репутацию.
В одном из вариантов реализации настоящего изобретения при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями на этапе 330 выявляют в этих системах обмена сообщениями сообщения, схожие с указанным подозрительным пользовательским сообщением, с обеспечением объединения пользователей, отправивших такие схожие сообщения, в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе, полученный на этапе 340, превышает заданную предельную пороговую репутацию, то на этапе 350 всех пользователей из указанной группы относят к подозрительным пользователям.
В другом варианте реализации настоящего изобретения при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями на этапе 330 выявляют в этих системах обмена сообщениями пользователей со схожими идентификационными данными с обеспечением объединения таких пользователей в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе, полученный на этапе 340, превышает заданную предельную пороговую репутацию, то на этапе 350 всех пользователей из указанной группы относят к подозрительным пользователям.
В другом варианте реализации настоящего изобретения при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями на этапе 330 устанавливают возможную связь между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, с другими ссылками, извлеченными из анализируемых сообщений в этих системах обмена сообщениями, с обеспечением объединения таких пользователей в группу взаимосвязанных пользователей при установлении такой связи, при этом в случае, когда показатель репутации одного из пользователей в указанной группе, полученный на этапе 340, превышает заданную предельную пороговую репутацию, то на этапе 350 всех пользователей из указанной группы относят к подозрительным пользователям. В одной из разновидностей этого варианта реализации настоящего изобретения при установлении связи между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, для каждой пары ссылок могут устанавливать по меньшей мере одно из следующего: (1) имеют ли доменные имена схожее написание; (2) зарегистрированы ли доменные имена на одно и то же лицо; (3) указаны ли для зарегистрированных доменных имен одни и те же контактные данные; (4) находятся ли доменные имена по одному и тому же IP-адресу; и (5) имеют ли извлеченные ссылки один и тот же “URL”.
Еще в одном варианте реализации настоящего изобретения способ 300 может включать дополнительный этап, согласно которому отправляют сведения о каждом из подозрительных пользователей в соответствующую систему обмена сообщениями.
В некоторых вариантах реализации настоящего изобретения способ 300 может включать дополнительный этап, согласно которому отправляют запрос на блокирование каждого из подозрительных пользователей в соответствующую систему обмена данными.
В других вариантах реализации настоящего изобретения способ 300 может включать дополнительный этап, согласно которому блокируют, посредством вычислительного устройства, выявленных подозрительных пользователей в соответствующих системах обмена данными.
Представленные иллюстративные варианты осуществления, примеры и описание служат лишь для обеспечения понимания заявляемого технического решения и не являются ограничивающими. Другие возможные варианты осуществления будут ясны специалисту из представленного описания. Объем настоящего изобретения ограничен лишь прилагаемой формулой изобретения.
название | год | авторы | номер документа |
---|---|---|---|
СПОСОБ И ВЫЧИСЛИТЕЛЬНОЕ УСТРОЙСТВО ДЛЯ ИНФОРМИРОВАНИЯ О ВРЕДОНОСНЫХ ВЕБ-РЕСУРСАХ | 2018 |
|
RU2701040C1 |
Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования | 2021 |
|
RU2777348C1 |
СЕРВЕР И СПОСОБ ДЛЯ ОПРЕДЕЛЕНИЯ ВРЕДОНОСНЫХ ФАЙЛОВ В СЕТЕВОМ ТРАФИКЕ | 2018 |
|
RU2680736C1 |
ВЫЧИСЛИТЕЛЬНОЕ УСТРОЙСТВО И СПОСОБ ДЛЯ ОБНАРУЖЕНИЯ ВРЕДОНОСНЫХ ДОМЕННЫХ ИМЕН В СЕТЕВОМ ТРАФИКЕ | 2018 |
|
RU2668710C1 |
Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса | 2022 |
|
RU2791824C1 |
Система и способ создания антивирусной записи | 2018 |
|
RU2697954C2 |
ВЫЧИСЛИТЕЛЬНОЕ УСТРОЙСТВО ДЛЯ ИНФОРМИРОВАНИЯ ПАЦИЕНТОВ (ВАРИАНТЫ) | 2019 |
|
RU2741049C1 |
СПОСОБ ВЕДЕНИЯ БАЗЫ ДАННЫХ И СООТВЕТСТВУЮЩИЙ СЕРВЕР | 2015 |
|
RU2698776C2 |
СИСТЕМА И СПОСОБ ЗАЩИТЫ ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, СВЯЗЫВАЮЩАЯСЯ С СЕРВЕРОМ | 2011 |
|
RU2571594C2 |
Система и способ активного обнаружения вредоносных сетевых ресурсов | 2021 |
|
RU2769075C1 |
Изобретение относится к области выявления подозрительных пользователей в системах обмена сообщениями. Техническим результатом является более эффективное выявление пользователей-злоумышленников в мессенджерах. Способ включает выполнение операций, согласно которым: получают из системы обмена сообщениями множество пользовательских сообщений; анализируют каждое из полученных пользовательских сообщений для выявления по меньшей мере одного признака подозрительности сообщения; в случае выявления по меньшей мере одного признака подозрительности сообщения идентифицируют по меньшей мере одного пользователя, связанного с анализируемым пользовательским сообщением; каждому из идентифицированных пользователей присваивают оценку подозрительности в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной оценки подозрительности; относят пользователей по меньшей мере в одной из указанных систем обмена сообщениями к подозрительным пользователям в случае, если измененное значение их показателя репутации превышает заданную предельную пороговую репутацию. 2 н. и 26 з.п. ф-лы, 3 ил.
1. Способ выявления подозрительных пользователей в системах обмена сообщениями, выполняемый на вычислительном устройстве, при этом согласно указанному способу:
- получают по меньшей мере из одной системы обмена сообщениями множество пользовательских сообщений,
- анализируют каждое из полученных пользовательских сообщений для выявления по меньшей мере одного признака подозрительности сообщения из заданного набора признаков подозрительности сообщений,
- в случае выявления указанного по меньшей мере одного признака подозрительности сообщения в анализируемом пользовательском сообщении идентифицируют по меньшей мере одного пользователя, связанного с анализируемым пользовательским сообщением, в указанных системах обмена сообщениями,
- каждому из идентифицированных пользователей присваивают оценку подозрительности в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой вклад в присвоенную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной оценки подозрительности,
- относят пользователей по меньшей мере в одной из указанных систем обмена сообщениями к подозрительным пользователям в случае, если измененное значение их показателя репутации превышает заданную предельную пороговую репутацию.
2. Способ по п. 1, согласно которому дополнительно идентифицируют формат описания полученных пользовательских сообщений, при этом если идентифицированный формат описания сообщений не соответствует унифицированному формату описания данных, подходящему для вычислительного устройства, то преобразуют полученные сообщения в указанный унифицированный формат.
3. Способ по п. 1, согласно которому дополнительно выявляют в указанных полученных пользовательских сообщениях голосовые сообщения и видео и преобразуют их в текст.
4. Способ по п. 1, согласно которому при анализе каждого из полученных пользовательских сообщений выполняют по меньшей мере один из следующих подэтапов:
- выявление в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки,
- выявление в анализируемом пользовательском сообщении по меньшей одного вредоносного аккаунта платежной системы,
- выявление в анализируемом пользовательском сообщении по меньшей мере одного вредоносного адреса электронной почты,
- выявление в анализируемом пользовательском сообщении по меньшей мере одного вредоносного счета в финансовой организации.
5. Способ по п. 4, согласно которому подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одной вредоносной ссылки включает извлечение из анализируемого пользовательского сообщения по меньшей мере одной ссылки с обеспечением:
- анализа доменного имени для извлеченной ссылки на вредоносность с использованием по меньшей мере одной методики анализа,
- получения по меньшей мере одного файла, находящегося по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа, и/или
- получения html-кода веб-ресурса, находящегося по извлеченной ссылке, с последующим его анализом на вредоносность с использованием по меньшей мере одной методики анализа.
6. Способ по п. 5, согласно которому дополнительно устанавливают, совпадает ли извлеченная ссылка по меньшей мере частично с одной из известных вредоносных ссылок.
7. Способ по п. 5, согласно которому при анализе доменного имени на вредоносность дополнительно устанавливают, совпадает ли анализируемое доменное имя по меньшей мере частично с одним из известных вредоносных доменных имен.
8. Способ по п. 5, согласно которому при анализе полученного файла, находящегося по извлеченной ссылке, на вредоносность дополнительно вычисляют его хеш-сумму и устанавливают, совпадает ли вычисленная хеш-сумма анализируемого файла с хеш-суммой одного из известных вредоносных файлов.
9. Способ по п. 5, согласно которому при анализе полученного html-кода веб-ресурса осуществляют поиск в указанном html-коде заданных ключевых слов, указывающих на вредоносный характер веб-ресурса.
10. Способ по п. 4, согласно которому подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного аккаунта платежной системы включает извлечение из анализируемого пользовательского сообщения по меньшей мере одного аккаунта платежной системы с обеспечением проверки, совпадает ли извлеченный аккаунт платежной системы с одним из известных вредоносных аккаунтов платежных систем.
11. Способ по п. 4, согласно которому подэтап выявления в анализируемом пользовательском сообщении по меньшей мере одного вредоносного адреса электронной почты включает извлечение из анализируемого пользовательского сообщения по меньшей мере одного адреса электронной почты с обеспечением проверки, совпадает ли извлеченный адрес электронной почты с одним из известных вредоносных адресов электронной почты.
12. Способ по п. 1, согласно которому дополнительно анализируют идентификационные данные идентифицированных пользователей для выявления по меньшей мере одного признака подозрительности пользователя из заданного набора признаков подозрительности пользователей с обеспечением присвоения дополнительной оценки подозрительности каждому из указанных идентифицированных пользователей в зависимости от выявленных признаков подозрительности сообщения, каждый из которых вносит свой заданный вклад в присвоенную дополнительную оценку подозрительности, с обеспечением изменения показателя репутации указанного пользователя на основании присвоенной дополнительной оценки подозрительности.
13. Способ по п. 12, согласно которому дополнительный анализ идентификационных данных пользователей осуществляют в отношении только тех идентифицированных пользователей, чей показатель репутации превышает заданную минимальную пороговую репутацию, которая меньше указанной предельной пороговой репутации.
14. Способ по любому из пп. 12, 13, согласно которому при выявлении по меньшей мере одного признака подозрительности каждого из идентифицированных пользователей:
- устанавливают, совпадают ли аватар, ФИО и/или никнейм идентифицированного пользователя с соответствующими сведениями об администраторе по меньшей мере в одной из систем обмена сообщениями,
- выявляют, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей системе обмена сообщениями,
- выявляют, является ли по меньшей мере одно из лиц, приглашенных идентифицированным пользователем для обмена сообщениями в рамках по меньшей мере одного канала обмена сообщения в соответствующей системе обмена сообщениями, программой, имитирующей поведение пользователя в указанной системе обмена сообщениями, и/или
- выявляют, имеются ли в системах обмена сообщениями по меньшей мере один пользователь с идентификационными данными, совпадающими с идентификационными данными идентифицированного пользователя.
15. Способ по п. 14, согласно которому при выявлении, является ли идентифицированный пользователь программой, имитирующей поведение пользователя в соответствующей системе обмена сообщениями, анализируют активность отправки сообщений указанным пользователем в указанной системе обмена сообщениями в течение заданного периода времени, при этом в случае выявления, что активность отправки сообщений пользователя соответствует определенной временной схеме, относят указанного пользователя к программам, имитирующим поведение пользователя.
16. Способ по п. 1, согласно которому при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, выявляют в этих системах обмена сообщениями сообщения, схожие с указанным подозрительным пользовательским сообщением, с обеспечением объединения пользователей, отправивших такие схожие сообщения, в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
17. Способ по п. 1, согласно которому при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, выявляют в этих системах обмена сообщениями пользователей со схожими идентификационными данными с обеспечением объединения таких пользователей в группу взаимосвязанных пользователей, при этом в случае, когда показатель репутации по меньшей мере одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
18. Способ по п. 1, согласно которому при идентификации по меньшей мере одного пользователя, связанного с подозрительным пользовательским сообщением, в системах обмена сообщениями, устанавливают возможную связь между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, с другими ссылками, извлеченными из анализируемых сообщений в этих системах обмена сообщениями, с обеспечением объединения пользователей, отправивших такие схожие сообщения, в группу взаимосвязанных пользователей при установлении такой связи, при этом в случае, когда показатель репутации одного из пользователей в указанной группе превышает заданную предельную пороговую репутацию, всех пользователей из указанной группы относят к подозрительным пользователям.
19. Способ по п. 18, согласно которому при установлении связи между ссылками, извлеченными из анализируемых сообщений в системах обмена сообщениями, для каждой пары ссылок устанавливают по меньшей мере одно из следующего:
- имеют ли доменные имена схожее написание,
- зарегистрированы ли доменные имена на одно и то же лицо,
- указаны ли для зарегистрированных доменных имен одни и те же персональные данные,
- находятся ли доменные имена по одному и тому же IP-адресу и
- имеют ли извлеченные ссылки один и тот же “URL”.
20. Способ по п. 1, согласно которому дополнительно отправляют сведения о каждом из подозрительных пользователей в соответствующую систему обмена сообщениями.
21. Способ по п. 1, согласно которому дополнительно отправляют запрос на блокирование каждого из подозрительных пользователей в соответствующую систему обмена сообщениями.
22. Способ по п. 1, согласно которому дополнительно сохраняют проанализированные пользовательские сообщения в базу пользовательских сообщений, размещенную на вычислительном устройстве.
23. Способ по п. 22, согласно которому по меньшей мере для одного из сохраненных пользовательских сообщений направляют в соответствующую систему обмена сообщениями, связанную с указанным сохраненным пользовательским сообщением, запрос для установления факта изменения этого пользовательского сообщения самим пользователем в указанной системе обмена сообщениями, при этом в случае установления факта изменения пользовательского сообщения получают указанное измененное пользовательское сообщение из указанной системы обмена сообщениями с обеспечением его повторного анализа на наличие признаков подозрительности.
24. Способ по п. 23, согласно которому указанный запрос в систему обмена сообщениями направляют по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию.
25. Способ по п. 22, согласно которому по меньшей мере для одного из сохраненных пользовательских сообщений получают доступ, посредством вычислительного устройства, к соответствующей системе обмена сообщениями с обеспечением извлечения из её базы сообщений пользовательского сообщения, атрибуты которого совпадают с атрибутами указанного сохраненного пользовательского сообщения, и вычисляют хеш-суммы указанных сохраненного пользовательского сообщения и извлеченного пользовательского сообщения, при этом в случае несовпадения вычисленных хеш-сумм осуществляют повторный анализ указанного измененного пользовательского сообщения на наличие признаков подозрительности.
26. Способ по п. 25, согласно которому получение доступа к базе пользовательских сообщений системы обмена сообщениями с извлечением из нее необходимого пользовательского сообщения осуществляют по меньшей мере для одного сохраненного пользовательского сообщения, связанного с пользователем, чей показатель репутации превысил минимальную пороговую репутацию.
27. Способ по п. 1, согласно которому дополнительно блокируют, посредством вычислительного устройства, выявленных подозрительных пользователей в соответствующих системах обмена сообщениями.
28. Вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями, выполненное с возможностью обмена данными с системами обмена сообщениями и содержащее память для хранения машиночитаемых инструкций и по меньшей мере один вычислительный процессор, выполненный с возможностью исполнения машиночитаемых инструкций с обеспечением осуществления способа выявления подозрительных пользователей в системах обмена сообщениями по любому из пп. 1-27.
Топка с несколькими решетками для твердого топлива | 1918 |
|
SU8A1 |
Способ восстановления хромовой кислоты, в частности для получения хромовых квасцов | 1921 |
|
SU7A1 |
Способ восстановления хромовой кислоты, в частности для получения хромовых квасцов | 1921 |
|
SU7A1 |
САМОНАСТРАИВАЮЩАЯСЯ ИНТЕРАКТИВНАЯ СИСТЕМА, СПОСОБ ОБМЕНА СООБЩЕНИЯМИ И/ИЛИ ЗВОНКАМИ МЕЖДУ ПОЛЬЗОВАТЕЛЯМИ РАЗЛИЧНЫХ ВЕБ-САЙТОВ С ИСПОЛЬЗОВАНИЕМ ТЕХНОЛОГИИ КЛИЕНТ-СЕРВЕР И СЧИТЫВАЕМЫЙ КОМПЬЮТЕРОМ НОСИТЕЛЬ | 2017 |
|
RU2670906C9 |
Разборный с внутренней печью кипятильник | 1922 |
|
SU9A1 |
Изложница с суживающимся книзу сечением и с вертикально перемещающимся днищем | 1924 |
|
SU2012A1 |
Авторы
Даты
2019-12-09—Публикация
2018-12-17—Подача