[go: up one dir, main page]

RU2668710C1 - Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике - Google Patents

Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике Download PDF

Info

Publication number
RU2668710C1
RU2668710C1 RU2018101759A RU2018101759A RU2668710C1 RU 2668710 C1 RU2668710 C1 RU 2668710C1 RU 2018101759 A RU2018101759 A RU 2018101759A RU 2018101759 A RU2018101759 A RU 2018101759A RU 2668710 C1 RU2668710 C1 RU 2668710C1
Authority
RU
Russia
Prior art keywords
domain name
domain names
module
analysis
domain
Prior art date
Application number
RU2018101759A
Other languages
English (en)
Inventor
Никита Игоревич Кислицин
Original Assignee
Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "Группа АйБи ТДС" filed Critical Общество с ограниченной ответственностью "Группа АйБи ТДС"
Priority to RU2018101759A priority Critical patent/RU2668710C1/ru
Application granted granted Critical
Publication of RU2668710C1 publication Critical patent/RU2668710C1/ru
Priority to SG10201900339QA priority patent/SG10201900339QA/en
Priority to US16/247,870 priority patent/US11503044B2/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/30Managing network names, e.g. use of aliases or nicknames
    • H04L61/3015Name registration, generation or assignment
    • H04L61/3025Domain name generation or assignment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к устройствам, способам и машиночитаемому носителю для анализа доменных имен. Технический результат заключается в повышении точности обнаружения вредоносных доменных имен в сетевом трафике. Устройство содержит модуль связи, обеспечивающий получение доменного имени из источника доменных имен, анализирующий модуль, обеспечивающий получение от модуля связи доменных имен и анализ каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа, процессинговый модуль, обеспечивающий получение от анализирующего модуля признаков подозрительности с присвоенными им численными значениями для каждого доменного имени и анализ с использованием заданного набора методик анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен. 5 н. и 26 з.п. ф-лы, 2 ил.

Description

Область техники
Настоящее изобретение относится к области информационной безопасности в компьютерных системах и сетях передачи данных, в частности к вычислительному устройству и способу для обнаружения вредоносных доменных имен в сетевом трафике.
Уровень техники
В настоящее время, ввиду непрерывного научно-технического прогресса в области информационных технологий, все большую актуальность приобретают вопросы обеспечения информационной безопасности, в частности защиты от различных вредоносных программ, позволяющих злоумышленникам удаленно управлять зараженными компьютерами (каждым компьютером в отдельности, частью компьютеров, входящих в сеть, и/или всей сетью в целом).
Компьютерная сеть, состоящая из некоторого количества компьютеров с запущенным на них автономным вредоносным программным обеспечением (ботами), называется ботнетом. Боты, как таковые, в составе ботнета, не являются вирусами, а по сути представляют собой набор программного обеспечения, скрытно установленного на компьютер жертвы и позволяющего злоумышленнику выполнять некие зловредные действия с использованием ресурсов заражённого компьютера, при этом такой набор программного обеспечения состоит из вирусов, брандмауэров, программ для удаленного управления компьютером, а также инструментов для скрытия от операционной системы. Одними из возможных источников заражения могут являться сеть Интернет, локальная сеть, флеш-накопители и т.п.
Ботнеты обладают мощными вычислительными ресурсами, являются широко распространенным средством кибератак и хорошим способом зарабатывания денег для злоумышленников. При этом зараженными компьютерами, входящими в сеть, владелец ботнета может управлять откуда угодно: из другого города, страны или даже с другого континента, а организация Интернета позволяет делать это анонимно. В частности, ботнеты могут быть использованы злоумышленниками для решения следующих задач и/или осуществления следующих вредоносных действий:
1. Рассылка спама.
Рассылка спама является наиболее распространенным и одним из самых простых вариантов эксплуатации ботнетов. По экспертным оценкам в настоящее время более 80% спама рассылается с зараженных компьютеров. Спам с ботнетов не обязательно рассылается владельцами сети. За определенную плату «спамеры» могут взять ботнет в аренду. Многотысячные ботнеты позволяют «спамерам» осуществлять с зараженных машин миллионные рассылки в течение короткого периода времени. Адреса, с которых активно рассылается спам, часто попадают в черные списки почтовых серверов, а письма, приходящие с них, блокируются или автоматически помечаются как спам, однако возможность рассылки спама с огромного множества зараженных компьютеров позволяет не использовать для рассылки одни и те же адреса. Кроме того, ботнеты также позволяют собирать адреса электронной почты на зараженных компьютерах, которые могут быть проданы спамерам или использованы при рассылке спама самими хозяевами ботнета.
2. Кибершантаж.
Ботнеты также широко используют для проведения распределенных атак типа «отказ в обслуживании» (Distributed Denial of Service, DDoS). В ходе таких распределенных атак с компьютеров, зараженных ботом, создается поток ложных запросов на атакуемый сервер в сети. В результате сервер из-за перегрузки становится недоступным для пользователей. За остановку атаки злоумышленники, как правило, требуют «выкуп». В современном мире многие компании работают только через сеть Интернет, так что для них недоступность серверов означает полную остановку бизнеса, что может привести к существенным финансовым потерям.
3. Анонимный доступ в сеть.
Злоумышленники могут обращаться к серверам в сети с использованием зараженных компьютеров и от имени зараженных машин могут совершать киберпреступления, например могут взламывать вебсайты или переводить украденные денежные средства.
4. Продажа и аренда ботнетов.
Один из вариантов незаконного заработка при помощи ботнетов заключается в сдаче в аренду или продаже ботнета. Создание ботнетов для продажи является отдельным направлением киберпреступного бизнеса.
5. Фишинг.
Адреса фишинговых страниц могут довольно быстро попасть в черные списки, однако ботнет позволяет фишерам быстро менять адрес фишинговой страницы с использованием зараженных компьютеров в роли прокси-серверов, что позволяет скрыть реальный адрес веб-сервера фишера.
6. Кража конфиденциальных данных.
Ботнеты также могут быть использованы для кражи различных паролей (например, для доступа к электронной почте, Skype, социальным сетям, FTP-ресурсам, веб-сервисам, таким как дистанционное банковское обслуживание, и т.п.) и прочих конфиденциальных данных пользователей. Бот, которым заражены компьютеры в ботнете, может скачать другую вредоносную программу, например троянскую программу, ворующую пароли. В таком случае все компьютеры, входящие в этот ботнет, окажутся инфицированными троянской программой, а злоумышленники смогут заполучить пароли со всех зараженных компьютеров. Украденные пароли могут быть перепроданы или использованы, в частности, для массового заражения веб-страниц (например, пароли для всех найденных FTP-аккаунтов) для дальнейшего распространения вредоносной программы-бота и расширения ботнета.
Управление компьютером, который заражен ботом, может быть прямым и опосредованным. В случае прямого управления злоумышленник может установить связь с зараженным компьютером и управлять им с использованием встроенных в тело программы-бота команд. В случае же опосредованного управления боты сами устанавливают связь со специальными управляющими командными (Command and Control; C&C) серверами или другими компьютерами в сети, посылают запрос и выполняют полученную команду. Одними из основных команд, получаемых ботами от C&C серверов, являются следующие управляющие команды:
1. Команда типа «Update».
Суть данной команды заключается в загрузке и выполнении заданного исполняемого файла или модуля с заданного сервера. Эта команда является базовой, поскольку именно она реализуется в первую очередь. Она позволяет обновлять исполняемый файл бота по приказу владельца ботнета в случае, в котором владелец хочет установить модернизированную версию бота. Эта же команда позволяет заражать компьютер другими вредоносными программами (вирусами, червями), а также устанавливать другие боты на компьютер. С помощью этой команды на все компьютеры одновременно могут быть установлены троянские программы, которые ищут все пароли, когда-либо введенные на данном компьютере и сохраненные в его памяти, и пересылают их на сервер в сети Интернет.
2. Команда типа «Flood».
Суть данной команды заключается в начале процесса создания потока ложных запросов на заданный сервер в сети для вывода из строя этого сервера или перегрузки интернет-канала заданного сегмента глобальной сети. Создание подобного потока может вызывать серьезные неполадки сервера, приводящие к его недоступности для обычных пользователей.
3. Команда типа «Spam».
Суть данной команды заключается в загрузке шаблона спам-сообщения и начале рассылки спама по заданным адресам (для каждого бота выделяют свою порцию адресов).
4. Команда типа «Proxy».
Суть данной команды заключается в использовании компьютера из ботнета в качестве прокси-сервера для сокрытия реального адреса злоумышленника, управляющего ботнетом. Эту функциональную возможность часто не выделяют в отдельную команду, а сразу включают в общий функционал бота.
5. Прочие команды.
Существуют и другие менее популярные команды, реализуемые в отдельных ботах. Эти дополнительные команды позволяют, например, получать копии изображения с экрана пользователя, следить за вводом паролей с клавиатуры, запрашивать файл с протоколом сетевого общения пользователя (используется для кражи аккаунтов и конфиденциальных данных), пересылать заданный файл с компьютера пользователя, запрашивать серийные номера программного обеспечения, получать подробную информацию о системе пользователя и его окружении, запрашивать список компьютеров, входящих в ботнет, и т.п.
Для удержания контроля и управления зараженными компьютерами ботнеты используют множество способов, таких как одноранговые сети, почтовые протоколы, социальные сети или анонимные сети, такие как TOR и i2p, однако в настоящее время наиболее распространены алгоритмы генерации доменных имен (domain generation algorithm; DGA), используемые для генерации большого количества псевдослучайных доменных имен, позволяющих им установить соединение с C&C вычислительным устройством, и позволяющие защитить C&C сервер от однократного отключения или добавления его адреса в черные списки.
Зараженные компьютеры, включенные, например, в корпоративную сеть могут быть обнаружены с помощью антивирусных программ, устанавливаемых на таких компьютерах. Кроме того, задача обнаружения зараженных компьютеров в сети может быть решена централизованно путем анализа сетевого трафика, что обеспечивает возможность проактивной защиты и повышает прозрачность распространения вредоносного кода в указанной сети.
Один из подходов к анализу трафика основан на предварительно заданном наборе правил, характеризующих активность вредоносного программного обеспечения (ПО). Данный подход хорошо работает для случаев обнаружения известного вредоносного ПО, однако он практически бесполезен против новых угроз. В данном случае исправить ситуацию позволяет добавление обучающихся алгоритмов.
При установлении зараженным компьютером канала связи с C&C вычислительным устройством могут быть перехвачены настройки вредоносного ПО, которые могут включать список C&C серверов, с которыми запланировано установление связи, что позволяет отслеживать нарушителя и определять другие зараженные компьютеры.
При использовании во вредоносном ПО алгоритма DGA боты выбирают один из активных доменов на основании некоторых изменяющихся параметров, при этом в данном случае каждый раз вредоносное ПО может выбирать новые домены для связи, а статичная блокировка домена не позволит нейтрализовать вредоносное ПО. Для обнаружения зараженного компьютера такого вредоносного ПО, использующего алгоритм DGA, в уровне техники используют подход на основе машинного обучения (ML) для поиска аномалий в прикладных протоколах передачи данных, в рамках которого для обнаружения вредоносного ПО с DGA-алгоритмом используют следующие правила:
- названия доменов включают неестественные сочетания букв, которые не встречаются в натуральном языке (например, цифры в середине слова);
- большинство доменов не существуют в реальности;
- перебор большого числа доменов осуществляется за очень короткий период времени.
Следует отметить, что цель любого алгоритма машинного обучения, используемого для решения вышеописанной задачи, заключается в обучении классификатора отличать вредоносную активность, отвечающую перечисленным выше критериям.
Один из иллюстративных примеров обнаружения зараженных компьютеров в сети описан в патенте США № 8402543 (опубл. 19 марта 2013 года). В частности, в US 8402543 раскрыты система и способ для обнаружения ботов в сетевом трафике путем использования классифицирующей модели, обученной в течении фазы обучения с использованием алгоритмов машинного обучения на признаках, извлеченных из пакетов сетевых данных, связанных с известным вредоносным клиентом или известным невредоносным клиентом, и применение обученной классификационной модели к признакам, извлеченным в режиме реального времени из текущих сетевых данных, при этом каждый извлеченный признак представляет один из следующих показателей, указывающих на наличие активного канала связи между вредоносным клиентом и управляющим вычислительным устройством: количество потоков данных, передаваемых в течение заданного периода времени, количество пакетов данных, передаваемых в течение заданного периода времени, и количество битов, передаваемых в течение заданного периода времени.
Еще один иллюстративный пример обнаружения зараженных компьютеров в сети описан в патенте США № 8555388 (опубл. 08 октября 2013 года). В частности, в US 8555388 раскрыты система и способ для эвристического выявления ботнет-сети путем отслеживания всего сетевого трафика для идентификации в нем вредоносного сетевого трафика и путем обнаружения бота с использованием эвристического анализа поведения вредоносного сетевого трафика с помощью процессора, которое включает командно-управляющий трафик, связанный с управляющим ботом, при этом отслеживаемому сетевому трафику присваивают оценку, соответствующую вероятности отнесения этого отслеживаемого сетевого трафика к ботнет-сети, присвоенную оценку увеличивают в случае соответствия дополнительным показателям подозрительного поведения, связанным с отслеживаемым сетевым трафиком, и на основании полученной оценки определяют, связано ли подозрительное поведение с ботнет-сетью.
Следует отметить, что механизмы обнаружения зараженных устройств в сети передачи данных, описанные в патенте US 8402543 или US 8555388, требуют значительных вычислительных ресурсов и обеспечивает недостаточную вероятность обнаружения зараженных устройств, в результате чего реализация защитной системы на уровне конечных рабочих станций или серверов на основе указанных механизмов обнаружения часто либо невозможна, либо неэффективна.
Таким образом, очевидна потребность в дальнейшем совершенствовании систем и способов защиты от зловредных действий, для организации которых злоумышленники используют зараженные устройства, включенные в ботнет-сеть, в частности для эффективного распределения вычислительных ресурсов, затрачиваемых на обеспечение такой автоматизированной защиты, и повышения вероятности обнаружения таких зараженных устройств в сети передачи данных.
Следовательно, техническая проблема, решаемая настоящим изобретением, состоит в создании системы и способа для обнаружения зараженных устройств в сети передачи данных, в которых по меньшей мере частично устранён обозначенный выше недостаток известных систем и способов обнаружения, заключающийся в неэффективном использовании вычислительных ресурсов и низкой вероятности обнаружения вредоносных устройств в сети передачи данных при обеспечении автоматизированной защиты.
Раскрытие
Вышеупомянутая техническая проблема решена в одном из аспектов настоящего изобретения, согласно которому предложено вычислительное устройство для обнаружения вредоносных доменных имен в сетевом трафике, содержащее: модуль связи, выполненный с возможностью получения сетевого трафика из сети передачи данных; фильтрующий модуль, выполненный с возможностью подключения к модулю связи для получения от него захваченного сетевого трафика и возможностью выполнения по меньшей мере следующих операций: (i) извлечение множества пакетов данных из полученного сетевого трафика, (ii) анализ указанных извлеченных пакетов данных с обеспечением извлечения из них по меньшей мере одного доменного имени; анализирующий модуль, выполненный с возможностью подключения к фильтрующему модулю для получения от него указанных доменных имен и с возможностью анализа каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа; процессинговый модуль, выполненный с возможностью подключения к анализирующему модулю для получения от него указанных признаков подозрительности с присвоенными им численными значениями для каждого доменного имени и с возможностью их анализа с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
В одном из вариантов реализации настоящего изобретения модуль связи в вычислительном устройстве может быть дополнительно выполнен с возможностью подключения по меньшей мере к одному из устройств захвата сетевого трафика, включенных в сеть передачи данных.
Еще в одном варианте реализации настоящего изобретения фильтрующий модуль в вычислительном устройстве может быть дополнительно выполнен с возможностью определения, имеется ли аналитический отчет для каждого из извлеченных доменных имен.
В другом варианте реализации настоящего изобретения при выявлении наличия аналитического отчета фильтрующий модуль в вычислительном устройстве может выполнять по меньшей мере следующие операции: (i) получение данных об аналитических отчетах, (ii) установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствия каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов.
В некоторых вариантах реализации настоящего изобретения в ответ на то, что для извлеченного доменного имени не имеется аналитического отчета, фильтрующий модуль в вычислительном устройстве может быть дополнительно выполнен с возможностью передачи указанного доменного имени в анализирующий модуль.
В других вариантах реализации настоящего изобретения при анализе полученных доменных имен анализирующий модуль в вычислительном устройстве может выполнять по меньшей мере следующие операции: (i) определение количества символов в каждом из полученных доменных имен, (ii) установление, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени, (iii) присвоение численного значения признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
Еще в одних вариантах реализации настоящего изобретения при анализе полученных доменных имен анализирующий модуль в вычислительном устройстве может дополнительно выполнять по меньшей мере следующие операции: (i) получение набора известных доменных имен, (ii) установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадения каждого из извлеченных доменных имен с одним из известных доменных имен, (iii) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно одному из вариантов реализации настоящего изобретения, при анализе полученных доменных имен анализирующий модуль в вычислительном устройстве может дополнительно выполнять по меньшей мере следующие операции: (i) определение частот появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов, (ii) определение энтропии N-грамма указанного анализируемого доменного имени как функции от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени, (iii) сравнение определенной энтропии N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма, (iv) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения.
Согласно еще одному варианту реализации настоящего изобретения, при анализе полученных доменных имен анализирующий модуль в вычислительном устройстве может дополнительно выполнять по меньшей мере следующие операции: (i) получение данных о языковых словарях, (ii) извлечение по меньшей мере одного слова из каждого из полученных доменных имен, (iii) установление совпадения каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных, (iv) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно другому варианту реализации настоящего изобретения, при анализе полученных доменных имен анализирующий модуль в вычислительном устройстве может дополнительно выполнять по меньшей мере следующие операции: (i) получение данных о языковых словарях, (ii) извлечение по меньшей мере одного слова из каждого из полученных доменных имен, (iii) определение расстояния Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных, (iv) сравнение определенного расстояния Левенштейна с заданным пороговым значением, (v) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения.
Согласно некоторым вариантам реализации настоящего изобретения, анализирующий модуль в вычислительном устройстве может дополнительно обеспечивать возможность изменения заданного набора методик анализа.
Согласно другим вариантам реализации настоящего изобретения, в ответ на отнесение доменного имени к вредоносным доменным именам, процессинговый модуль в вычислительном устройстве может дополнительно обеспечивать возможность выдачи предупредительного сообщения, блокировки сетевого трафика от зараженных устройств и/или создание аналитического отчета для вредоносного доменного имени.
Согласно еще одним вариантам реализации настоящего изобретения, процессинговый модуль в вычислительном устройстве может быть выполнен с возможностью анализа полученной совокупности признаков подозрительности анализируемого доменного имени с использованием по меньшей мере одного предварительно обученного алгоритма машинного обучения.
Согласно некоторым вариантам реализации настоящего изобретения, анализирующий модуль может быть дополнительно выполнен с возможностью получения, посредством модуля связи, по меньшей мере одного или множества доменных имен по меньшей мере из одного источника доменных имен.
Вышеупомянутая техническая проблема также решена еще в одном из аспектов настоящего изобретения, согласно которому предложен способ обнаружения вредоносных доменных имен в сетевом трафике, реализуемый вычислительным устройством, включающий: (i) получение, посредством модуля связи, сетевого трафика из сети передачи данных; (ii) извлечение, посредством фильтрующего модуля, множества пакетов данных из полученного сетевого трафика; (iii) анализ, посредством фильтрующего модуля, указанных извлеченных пакетов данных с обеспечением извлечения из них по меньшей мере одного доменного имени; (iv) анализ, посредством анализирующего модуля, каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа; (v) анализ, посредством процессингового модуля, полученных признаков подозрительности с присвоенными им численными значениями с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
В одном из вариантов реализации настоящего изобретения этап получения сетевого трафика дополнительно может включать подключение, посредством модуля связи, по меньшей мере к одному из устройств захвата сетевого трафика, включенных в сеть передачи данных.
Еще в одном варианте реализации настоящего изобретения для извлеченных доменных имен дополнительно определяют, посредством фильтрующего модуля, имеется ли аналитический отчет для каждого из этих извлеченных доменных имен.
В другом варианте реализации настоящего изобретения этап выявления наличия аналитического отчета может включать выполнение, посредством фильтрующего модуля, меньшей мере следующих подэтапов: (i) получение данных об аналитических отчетах; (ii) становление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствия каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов.
В некоторых вариантах реализации настоящего изобретения в ответ на то, что для извлеченного доменного имени не имеется аналитического отчета, согласно предложенному способу передают, посредством фильтрующего модуля, указанное доменное имя в анализирующий модуль.
В других вариантах реализации настоящего изобретения этап анализа полученных доменных имен может включать выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов: (i) определение количества символов в каждом из полученных доменных имен; (ii) установление, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени; (iii) присвоение численного значения признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
В иных вариантах реализации настоящего изобретения этап анализа полученных доменных имен может включать выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов: (i) получение набора известных доменных имен; (ii) установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадения каждого из извлеченных доменных имен с одним из известных доменных имен; (iii) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно одному из вариантов реализации настоящего изобретения, этап анализа полученных доменных имен может включать выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов: (i) определение частот появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов; (ii) определение энтропии N-грамма указанного анализируемого доменного имени как функции от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени; (iii) сравнение определенной энтропии N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма; (iv) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения.
Согласно еще одному варианту реализации настоящего изобретения, этап анализа полученных доменных имен может включать выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов: (i) получение данных о языковых словарях; (ii) извлечение по меньшей мере одного слова из каждого из полученных доменных имен; (iii) установление совпадения каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных; (iv) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно другому варианту реализации настоящего изобретения, этап анализа полученных доменных имен может включать выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов: (i) получение данных о языковых словарях; (ii) извлечение по меньшей мере одного слова из каждого из полученных доменных имен; (iii) определение расстояния Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных; (iv) сравнение определенного расстояния Левенштейна с заданным пороговым значением; (v) присвоение численного значения еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения.
Согласно некоторым вариантам реализации настоящего изобретения, согласно предложенному способу дополнительно изменяют, посредством анализирующего модуля, заданный набор правил анализа.
Согласно другим вариантам реализации настоящего изобретения, в ответ на отнесение доменного имени к вредоносным доменным именам, согласно предложенному способу дополнительно обеспечивают, посредством процессингового модуля, выдачу предупредительного сообщения, блокировку сетевого трафика от зараженных устройств и/или создание аналитического отчета для вредоносного доменного имени.
Согласно иным вариантам реализации настоящего изобретения, этап анализа признаков подозрительности включает анализ, посредством процессингового модуля, полученной совокупности признаков подозрительности анализируемого доменного имени с использованием по меньшей мере одного предварительно обученного алгоритма машинного обучения.
Согласно одному из вариантов реализации настоящего изобретения, согласно предложенному способу в анализирующем модуле дополнительно получают, посредством модуля связи, множество доменных имен по меньшей мере из одного источника доменных имен.
Вышеупомянутая техническая проблема также решена еще в одном аспекте настоящего изобретения, согласно которому машиночитаемый носитель для длительного хранения данных, хранящий машиночитаемые инструкции, которые, при их исполнении вычислительным устройством, вызывают выполнение этапов способа согласно второму аспекту настоящего изобретения.
Вышеупомянутая техническая проблема также решена еще в одном аспекте настоящего изобретения, согласно которому предложен способ анализа доменных имен, реализуемый вычислительным устройством, включающий: получение, посредством модуля связи, по меньшей мере одного доменного имени, анализ, посредством анализирующего модуля, каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа, анализ, посредством процессингового модуля, полученных признаков подозрительности с присвоенными им численными значениями с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
Вышеупомянутая техническая проблема также решена еще в одном аспекте настоящего изобретения, согласно которому предложено вычислительное устройство для анализа доменных имен, содержащее: модуль связи, выполненный с возможностью получения по меньшей мере одного доменного имени по меньшей мере из одного источника доменных имен, анализирующий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанных доменных имен и с возможностью анализа каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа, процессинговый модуль, выполненный с возможностью подключения к анализирующему модулю для получения от него указанных признаков подозрительности с присвоенными им численными значениями для каждого доменного имени и с возможностью их анализа с использованием заданного набора методик анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
Краткое описание чертежей
Прилагаемые чертежи, которые включены в настоящий документ и составляют его часть, иллюстрируют различные варианты реализации и аспекты настоящего изобретения, а также совместно с приведенным далее описанием поясняют сущность настоящего изобретения. На чертежах:
на фиг. 1 показана структурная схема системы для обнаружения вредоносных доменных имен в сетевом трафике согласно настоящему изобретению;
на фиг. 2 показана блок-схема способа работы вычислительного устройства, используемого в системе, показанной на фиг. 1.
Осуществление изобретения
Для обеспечения информационной безопасности в компьютерных системах и сетях передачи данных может быть использована система 10 для обнаружения вредоносных доменных имен в сетевом трафике, показанная на фиг. 1, которая позволяет выявлять в сетевом трафике подозрительные доменные имена, используемые для установки канала связи зараженной рабочей станции или зараженного компьютера с запущенным на нем вредоносным программным обеспечением (ботом) с управляющим командным вычислительным устройством для получения из него управляющих команд.
Система
Система 10 для обнаружения вредоносных доменных имен в сетевом трафике, показанная в виде упрощенной структурной схемы на фиг. 1, содержит вычислительное устройство 1 в виде, например, сервера и устройства 2 захвата трафика, включенные в сеть 3 передачи данных с возможностью извлечения из нее сетевого трафика. Вычислительное устройство 1 также соединено с возможностью обмена данными с устройствами 2 захвата трафика для получения от них сетевого трафика, извлеченного из сети 3 передачи данных, и выполнено с возможностью дальнейшей обработки полученного сетевого трафика для определения в нем вредоносных доменных имен, используемых для установки соединения зараженной рабочей станции или зараженного компьютера с управляющим командным центром с последующим получением от него управляющих команд для выполнения набора запрограммированных вредоносных действий, таких как рассылка спама, фишинг, анонимный доступ в сеть, кража конфиденциальных данных и т.п. в зависимости от целей злоумышленников, как описано выше в разделе «Уровень техники».
В системе 10, показанной на фиг. 1, устройства 2 захвата трафика соединены с вычислительным устройством 1 проводным способом, например с помощью сетевого кабеля, и представляют собой по меньшей мере одно из следующих известных сетевых устройств для перехвата и передачи сетевого трафика: сетевые коммутаторы L2-уровня, работающие с использованием технологии зеркалирования сетевого трафика необходимых сегментов сети, такой как, например, SPAN-технология зеркалирования сетевого трафика в оборудовании компании «CISCO», средства обеспечения прозрачности сети, также называемые как платформы доставки безопасности (Security Delivery Platform) или сетевые пакетные брокеры (NPB), и ответвители сетевого трафика (Test Access Point) различных типов, а также прокси-серверы с поддержкой ICAP-протокола, работающие в рамках установленного TCP-соединения, почтовые серверы с поддержкой SMTP-протокола и др.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 1 может быть включено непосредственно в сеть 3 передачи данных или соединено непосредственно с сетью 3 передачи данных с возможностью извлечения или захвата из нее сетевого трафика для его дальнейшего анализа и обработки с целью выявления вредоносных доменных имен в указанном сетевом трафике. Другими словами, в таком варианте реализации вычислительное устройство 1 может иметь функциональные возможности вышеописанных устройств 2 захвата трафика, при этом вычислительное устройство 1, при необходимости, может использовать защищенный канал приема/передачи данных для получения сетевого трафика, извлеченного из сети 3 передачи данных.
Еще в одном варианте реализации настоящего изобретения вышеописанные устройства 2 захвата сетевого трафика могут быть встроены или интегрированы в вычислительное устройство 1.
В некоторых вариантах реализации настоящего изобретения вычислительное устройство 1 может быть соединено с устройствами 2 захвата трафика беспроводным образом.
Вычислительное устройство
В системе 10, показанной на фиг. 1, вычислительное устройство 1 по существу представляет собой программно-аппаратный комплекс и содержит модуль 1.1 связи, фильтрующий модуль 1.2, анализирующий модуль 1.3, процессинговый модуль 1.4 и локальное хранилище 1.5 данных, каждый из которых соединен с шиной 1.6 связи, при этом каждый из модуля 1.1 связи, фильтрующего модуля 1.2, анализирующего модуля 1.3 и процессингового модуля 1.4 выполнен с возможностью обмена данными, посредством шины 1.6 связи, с локальным хранилищем 1.5 данных, модуль 1.1 связи выполнен с возможностью обмена данными, посредством шины 1.6 связи, с фильтрующим модулем 1.2, который в свою очередь выполнен с возможностью обмена данными, посредством шины 1.6 связи, с анализирующим модулем 1.3, а анализирующий модуль 1.3 соединен с возможностью обмена данными, посредством шины 1.6 связи, с процессинговым модулем 1.4.
Локальное хранилище данных
Локальное хранилище 1.5 данных предназначено для хранения исполняемых программных инструкций, которые могут управлять работой модуля 1.1 связи, фильтрующего модуля 1.2, анализирующего модуля 1.3 и процессингового модуля 1.4. Кроме того, локальное хранилище 1.5 данных используют в вычислительном устройстве 1 для хранения различных данных, используемых при работе вычислительного устройства 1.
В частности, в локальном хранилище 1.5 данных хранятся данные об имеющихся аналитических отчетах, каждый из которых поставлен в соответствие с конкретным доменным именем и в каждом из которых представлены данные о численных значениях, присвоенных анализирующим модулем 1.3 заданному набору признаков подозрительности, характеризующих указанное конкретное доменное имя, а также данные, связанные с решением, принятым процессинговым модулем 1.4 в отношении анализируемого доменного имени, в частности данные о наборе правил анализа, использованные процессинговым модулем 1.4 для анализа указанного набора признаков подозрительности, и данные об окончательном решении в отношении вредоносности или доверенности анализируемого доменного имени, как будет описано более подробно ниже.
В локальном хранилище 1.5 данных также хранятся данные об известных доменных именах и данные о языковых словарях. Следует отметить, что в качестве известных доменных имен в данных, хранящихся в локальном хранилище 1.5 данных, могут быть использованы, например, 10000 наиболее популярных сайтов из списков популярных сайтов, размещенных, например, на рейтинговых сайтах, таких как alexa.com, webomer.com, trends.google.com и т.п. В качестве языковых словарей, хранящихся в локальном хранилище 1.5 данных, могут быть использованы различные языковые словари, в том числе словари аббревиатур, сокращений, жаргонных слов, различного профессионального сленга и т.п., при этом словари русского языка и других языков, отличных от английского языка, хранятся в транслитерированном латиницей виде.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 1, в частности его анализирующий модуль 1.3, может периодически через заданный период времени устанавливать связь по меньшей мере с одним из вышеперечисленных рейтинговых сайтов или получать к ним доступ с использованием модуля 1.6 связи с извлечением из указанных рейтинговых сайтов по меньшей мере одного списка популярных сайтов для обновления данных об известных доменных именах, хранящихся в локальном хранилище 1.5 данных, на основании указанного обновленного списка популярных сайтов, при этом для обновления может быть использован как список популярных сайтов с одного из таких рейтинговых сайтов, так и сводный список популярных сайтов, составленный анализирующим модулем 1.3 на основании обособленных списков популярных доменных имен, полученных каждый от одного из этих рейтинговых сайтов, путем, например, сравнительной оценки показателей популярности, присвоенным сайтам в этих обособленных списках, в соответствии с заданным набором правил оценки для выявления из них заданного количества наиболее популярных сайтов.
В некоторых вариантах реализации настоящего изобретения по меньшей мере некоторые из вышеописанных данных, хранящихся в локальном хранилище 1.5 данных, могут быть сохранены в облачном хранилище данных (не показано), при этом эти данные могут находиться как на одиночном удаленном файловом сервере, включенном в сеть 3 передачи данных или в иную сеть передачи данных, отличную от сети 3 передачи данных, так и на множестве удаленных файловых серверов, распределенных в сети 3 передачи данных или в иной сети передачи данных, отличной от сети 3 передачи данных, при этом вычислительное устройство 1 может быть выполнено с возможностью установления связи для обмена данными, в частности защищенного канала связи для приема/передачи данных, с таким облачным хранилищем данных с использованием проводного и/или беспроводного способа соединения. В варианте реализации, в котором вычислительное устройство 1, включенное в сеть 3 передачи данных, соединено с облачным хранилищем данных по меньшей мере через одну другую сеть передачи данных, отличную от сети 3 передачи данных, для соединения этих разных сетей передачи данных могут быть использовано по меньшей мере одно специальное коммутирующее устройство, такое как сетевые концентраторы, также известные как сетевые хабы, сетевые маршрутизаторы и прочие известные коммутирующие устройства.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 1 может содержать обособленное локальное хранилище аналитических отчетов (не показано), предназначенное для хранения данных об имеющихся аналитических отчетах. Такое обособленное локальное хранилище аналитических отчетов может быть соединено, посредством шины 1.6 связи, с фильтрующим модулем 1.2 с предоставлением возможности фильтрующему модулю 1.2 получать доступ к такому локальному хранилищу аналитических отчетов для получения из него данных об имеющихся аналитических отчетах, а также соединено, посредством шины 1.6 связи, с процессинговым модулем 1.4 с предоставлением возможности процессинговому модулю 1.4 получать доступ к такому локальному хранилищу аналитических отчетов для записи в него нового аналитического отчета, что более подробно описано ниже.
Еще в одном из вариантов реализации настоящего изобретения данные об имеющихся аналитических отчетах могут быть сохранены в обособленном удаленном хранилище аналитических отчетов (не показано), при этом фильтрующий модуль 1.2 может быть выполнен с возможностью подключения или получения доступа, посредством модуля 1.1 связи, с которым фильтрующий модуль 1.2 соединен посредством шины 1.6 связи, к такому удаленному хранилищу аналитических отчетов для получения из него данных об имеющихся аналитических отчетах с целью их последующего использования для выявления доменных имен, ранее проанализированных с помощью вычислительного устройства 1, а процессинговый модуль 1.4 может быть выполнен с возможностью подключения или получения доступа, посредством модуля 1.1 связи, с которым процессинговый модуль 1.4 соединен посредством шины 1.6 связи, к такому удаленному хранилищу аналитических отчетов для записи в него нового аналитического отчета, сформированного процессинговым модулем 1.4 в отношении анализируемого доменного имени, что более подробно описано ниже.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 1 может содержать обособленное локальное хранилище доменных имен (не показано), предназначенное для хранения данных об известных доменных именах. Такое локальное хранилище доменных имен может быть соединено, посредством шины 1.6 связи, с анализирующим модулем 1.3 с предоставлением возможности анализирующему модулю 1.3 получать доступ к такому локальному хранилищу доменных имен для получения из него данных об известных доменных именах с целью их последующего использования для определения численного значения соответствующего признака подозрительности для анализируемого доменного имени, что более подробно описано ниже.
Еще в одном из вариантов реализации настоящего изобретения может иметься обособленное удаленное хранилище доменных имен (не показано), предназначенное для хранения данных об известных доменных именах, а анализирующий модуль 1.3 может быть выполнен с возможностью подключения или получения доступа, посредством модуля 1.1 связи, с которым анализирующий модуль 1.3 соединен посредством шины 1.6 связи, к такому удаленному хранилищу доменных имен для получения из него данных об известных доменных именах с целью их последующего использования для определения численного значения соответствующего признака подозрительности для анализируемого доменного имени, что более подробно описано ниже.
В одном из вариантов реализации настоящего изобретения вычислительное устройство 1 может содержать обособленное локальное хранилище словарей (не показано), предназначенное для хранения данных об имеющихся языковых словарях. Такое локальное хранилище словарей может быть соединено, посредством шины 1.6 связи, с анализирующим модулем 1.3 с предоставлением возможности анализирующему модулю 1.3 получать доступ к такому локальному хранилищу словарей для получения из него данных об имеющихся языковых словарях с целью их последующего использования для определения численного значения соответствующего признака подозрительности для анализируемого доменного имени, что более подробно описано ниже.
Еще в одном из вариантов реализации настоящего изобретения может иметься обособленное удаленное хранилище словарей (не показано), предназначенное для хранения данных об имеющихся языковых словарях, а анализирующий модуль 1.3 может быть выполнен с возможностью подключения или получения доступа, посредством модуля 1.1 связи, с которым анализирующий модуль 1.3 соединен посредством шины 1.6 связи, к такому удаленному хранилищу словарей для получения из него данных об имеющихся языковых словарях с целью их последующего использования для определения численного значения соответствующего признака подозрительности для анализируемого доменного имени, что более подробно описано ниже.
Фильтрующий модуль 1.2, анализирующий модуль 1.3 и процессинговый модуль 1.4 могут быть реализованы в виде одиночного процессора, такого как процессор общего назначения или процессор специального назначения (например, процессоры для цифровой обработки сигналов, специализированные интегральные схемы и т.п.). Таким образом, процессор, реализующий фильтрующий модуль 1.2, анализирующий модуль 1.3 и процессинговый модуль 1.4 в вычислительном устройстве 1, может быть выполнен с возможностью исполнения программных инструкций, хранящихся в локальном хранилище 1.5 данных с обеспечением реализации функциональных возможностей фильтрующего модуля 1.2 по извлечению доменных имен из пакетов данных в полученном сетевом трафике, функциональных возможностей анализирующего модуля 1.3 по определению численных значений признаков подозрительности для анализируемого доменного имени и функциональных возможностей процессингового модуля 1.4 по вынесению окончательного решения в отношении вредоносности анализируемого доменного имени с использованием полученного набора признаков подозрительности в присвоенными им численными значениями.
В одном из вариантов реализации настоящего изобретения каждый из фильтрующего модуля 1.2, анализирующего модуля 1.3 и процессингового модуля 1.4 может быть реализован в виде по меньшей мере одного обособленного процессора. В данном варианте реализации первый процессор, использованный в вычислительном устройстве 1 для реализации фильтрующего модуля 1.2, может быть выполнен с возможностью исполнения программных инструкций, хранящихся в локальном хранилище 1.5 данных с обеспечением реализации функциональных возможностей фильтрующего модуля 1.2 по извлечению доменных имен из пакетов данных в полученном сетевом трафике. Второй процессор, реализующий анализирующий модуль 1.3, может быть выполнен с возможностью исполнения программных инструкций, хранящихся в локальном хранилище 1.5 данных с обеспечением реализации функциональных возможностей анализирующего модуля 1.3 по определению численных значений признаков подозрительности для анализируемого доменного имени. Третий процессор, использованный в вычислительном устройстве 1 для реализации процессингового модуля 1.4, может быть выполнен с возможностью исполнения программных инструкций, хранящихся в локальном хранилище 1.5 данных с обеспечением реализации функциональных возможностей процессингового модуля 1.4 по вынесению окончательного решения в отношении вредоносности анализируемого доменного имени с использованием полученного набора признаков подозрительности в присвоенными им численными значениями.
Локальное хранилище 1.5 данных может быть реализовано, например, в виде одного или более известных в уровне техники машиночитаемых носителей для длительного хранения данных. В некоторых вариантах реализации настоящего изобретения локальное хранилище 1.5 данных может быть реализовано с использованием одиночного физического устройства (например, одного оптического запоминающего устройства, магнитного запоминающего устройства, органического запоминающего устройства или запоминающего устройства другого типа, или запоминающего устройства на дисках), а в других вариантах реализации локальное хранилище 1.5 данных может быть реализовано с использованием двух или более физических устройств.
Модуль связи
В вычислительном устройстве 1 системы 10, показанной на фиг. 1, модуль 1.1 связи соединен проводным способом, например с помощью коаксиального кабеля, витой пары, оптоволоконного кабеля или другого физического соединения, с устройствами 2 захвата трафика с возможностью получения от них сетевого трафика. Таким образом, модуль 1.1 связи выполнен с возможностью подключения к одному или более из вышеописанных устройств 2 захвата трафика, включенных в сеть 3 передачи данных, и с возможностью приема сетевого трафика, извлеченного указанными устройствами 2 захвата трафика из сети 3 передачи данных, от указанного одного или более устройств 2 захвата трафика.
Еще в одном варианте реализации настоящего изобретения модуль 1.1 связи может быть соединен с устройствами 2 захвата трафика беспроводным способом, например с помощью линии связи на основе технологии «WiFi», линии связи на основе технологии «3G», линии связи на основе технологии «LTE» и т.п.
В варианте реализации настоящего изобретения, в котором для хранения различных данных, используемых в работе вычислительного устройства 1, используют вышеописанное облачное хранилище данных, модуль 1.1 связи в вычислительном устройстве 1 соединен с этим облачным хранилищем данных беспроводным способом, например с помощью линии связи на основе технологии «WiFi», линии связи на основе технологии «3G», линии связи на основе технологии «LTE» и/или линии связи на основе иной известной беспроводной технологии связи.
Модуль 1.1 связи в вычислительном устройстве 1 согласно настоящему изобретению может быть реализован в виде сетевого адаптера, снабженного необходимыми разъемами для подключения к ним физических кабелей необходимых типов в зависимости от типов физических соединений, использованных для обеспечения связи с устройствами 2 захвата трафика. В одном из вариантов реализации настоящего изобретения модуль 1.1 связи в вычислительном устройстве 1 может быть реализован виде сетевого адаптера в форме WiFi-адаптера, 3G-адаптера, LTE-адаптера или иного адаптера беспроводной связи в зависимости от типа линии беспроводной связи, использованной для обеспечения связи любыми внешними устройствами и удаленными хранилищами данных, которые могут устанавливать канал беспроводной связи с вычислительным устройством для обмена с ним необходимыми данными.
Таким образом, модуль 1.1 связи в вычислительном устройстве 1 по существу может быть выполнен с возможностью приема или получения входных данных от одного или более устройств проводным способом и/или беспроводным способом, а также с возможностью отправки или выдачи выходных данных на другие устройства проводным способом и/или беспроводным способом.
Модуль 1.1 связи также может представлять собой известное устройство связи, такое как передатчик, приемник, приемопередатчик, модем и/или сетевая интерфейсная карта для обмена данными с внешними устройствами любого типа посредством проводной или беспроводной сети связи, например с помощью сетевого соединения стандарта «Ethernet», цифровой абонентской линия связи (DSL), телефонной линии, коаксиального кабеля, телефонной системы сотовой связи и т.п.
В некоторых вариантах реализации настоящего изобретения сетевой трафик, полученный модулем 1.1 связи, могут быть по меньшей мере временно сохранен в локальном хранилище 1.5 данных. В других вариантах реализации настоящего изобретения сетевой трафик, полученный модулем 1.1 связи, могут быть по меньшей мере временно сохранен в обособленном локальном хранилище сетевого трафика (не показано), отличном от локального хранилища 1.5 данных и соединенном, посредством шины 1.6 связи, с модулем 1.1 связи. В иных вариантах реализации настоящего изобретения сетевой трафик, полученный модулем 1.1 связи, может быть по меньшей мере временно сохранен в обособленном удаленном хранилище сетевого трафика (не показано), соединённом с возможностью обмена данными с модулем 1.1 связи проводным и/или беспроводным способом.
Фильтрующий модуль
В вычислительном устройстве 1 системы 10, показанной на фиг. 1, фильтрующий модуль 1.2 выполнен с возможностью подключения или связи, посредством шины 1.6 связи, к модулю 1.1 связи с обеспечением возможности получения от него захваченного сетевого трафика. Фильтрующий модуль 1.2 извлекает множество отдельных пакетов данных из полученного сетевого трафика с использованием, например, известных технологий для извлечения пакетов данных на основе программного обеспечения с открытым кодом, таких как Surikata, Bro, Kuko и т.п. технологий, в том числе с помощью усовершенствованных технологий на основе по меньшей мере одной из вышеперечисленных технологий. Фильтрующий модуль 1.2 также выполнен с возможностью анализа каждого из множества извлеченных пакетов данных с обеспечением извлечения из них по меньшей мере одного доменного имени.
В варианте реализации настоящего изобретения, в котором полученный сетевой трафик хранится в локальном хранилище 1.5 данных, фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к локальному хранилищу 1.5 данных или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненного сетевого трафика для последующего извлечения из него множества пакетов данных, как описано выше. В варианте реализации настоящего изобретения, в котором полученный сетевой трафик хранится в обособленном локальном хранилище сетевого трафика (не показано), фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому локальному хранилищу сетевого трафика или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненного сетевого трафика для последующего извлечения из него множества пакетов данных, как описано выше. В варианте реализации настоящего изобретения, в котором полученный сетевой трафик хранится в обособленном удаленном хранилище сетевого трафика (не показано), фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому удаленному хранилищу сетевого трафика или возможностью установления с ним связи с использованием модуля 1.1 связи, соединенного с фильтрующим модулем 1.2 с помощью шины 1.6 связи, с обеспечением извлечения из него сохраненного сетевого трафика для последующего извлечения из него множества пакетов данных, как описано выше.
В одном из вариантов реализации настоящего изобретения пакеты данных, извлеченные фильтрующим модулем 1.2 из полученного сетевого трафика, могут быть сохранены в локальном хранилище 1.5 данных, при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к локальному хранилищу 1.5 данных или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненных пакетов данных, извлеченных из полученного сетевого трафика, для их последующего анализа с обеспечением извлечения из них по меньшей мере одного доменного имени. Еще в одном варианте реализации настоящего изобретения пакеты данных, извлеченные фильтрующим модулем 1.2 из полученного сетевого трафика, могут быть сохранены в обособленном локальном хранилище данных (не показано), отличном от локального хранилища 1.5 данных, при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому локальному хранилищу данных или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненных пакетов данных, извлеченных из полученного сетевого трафика, для их последующего анализа с обеспечением извлечения из них по меньшей мере одного доменного имени. В другом варианте реализации настоящего изобретения пакеты данных, извлеченные фильтрующим модулем 1.2 из полученного сетевого трафика, могут быть сохранены в обособленном удаленном хранилище данных (не показано), при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому удаленному хранилищу данных или возможностью установления с ним связи с использованием модуля 1.1 связи, соединенного с фильтрующим модулем 1.2 с помощью шины 1.6 связи, с обеспечением извлечения из него сохраненных пакетов данных, извлеченных из полученного сетевого трафика, для их последующего анализа с обеспечением извлечения из них по меньшей мере одного доменного имени.
В одном из вариантов реализации настоящего изобретения доменные имена, извлеченные фильтрующим модулем 1.2 из множества пакетов данных, извлеченных из полученного сетевого трафика, могут быть сохранены в локальном хранилище 1.5 данных, при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к локальному хранилищу 1.5 данных или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненных доменных имен для их последующей передачи на анализирующий модуль 1.3. Еще в одном варианте реализации настоящего изобретения доменные имена, извлеченные фильтрующим модулем 1.2 из множества пакетов данных, извлеченных из полученного сетевого трафика, могут быть сохранены в обособленном локальном хранилище данных (не показано), отличном от локального хранилища 1.5 данных, при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому локальному хранилищу данных или возможностью установления с ним связи с использованием шины 1.6 связи с обеспечением извлечения из него сохраненных доменных имен для их последующей передачи на анализирующий модуль 1.3. В другом варианте реализации настоящего изобретения доменные имена, извлеченные фильтрующим модулем 1.2 из множества пакетов данных, извлеченных из полученного сетевого трафика, могут быть сохранены в обособленном удаленном хранилище данных (не показано), при этом фильтрующий модуль 1.2 может быть выполнен с возможностью получения доступа к такому удаленному хранилищу данных или возможностью установления с ним связи с использованием модуля 1.1 связи, соединенного с фильтрующим модулем 1.2 с помощью шины 1.6 связи, с обеспечением извлечения из него сохраненных доменных имен для их последующей передачи на анализирующий модуль 1.3.
В дальнейшем, после извлечения доменных имен из анализируемых пакетов данных, фильтрующий модуль 1.2 дополнительно определяет, имеется ли аналитический отчет для каждого из этих извлеченных доменных имен.
Для выявления наличия аналитического отчета фильтрующий модуль 1.2 выполняет по меньшей мере следующие операции: (i) получает доступ к локальному хранилищу 1.5 данных или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением получения из него данных об имеющихся аналитических отчетах, каждый из которых поставлен в соответствие с конкретным доменным именем, для которого этот аналитический отчет был создан, (ii) устанавливает, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствие каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов. Таким образом, фильтрующий модуль 1.2 сравнивает каждое извлеченное доменное имя с доменными именами, идентифицирующими поведенческие отчеты, в полученных данных об аналитических отчетах, при этом совпадение извлеченного доменного имени с доменным именем, идентифицирующим один из имеющихся аналитических отчетов, означает, что для извлеченного доменного имени уже имеется аналитический отчет, хранящийся в локальном хранилище 1.5 данных, что свидетельствует о том, что извлеченное доменное имя уже ранее было проанализировано в вычислительном устройстве 1, в частности в его процессинговом модуле 1.4.
В варианте реализации, в котором данные об аналитических отчетах хранятся в обособленном локальном хранилище аналитических отчетов (не показано), фильтрующий модуль 1.2 получает доступ к такому локальному хранилищу аналитических отчетов или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением получения из него данных об имеющихся аналитических отчетах, каждый из которых поставлен в соответствие с конкретным доменным именем, для которого этот аналитический отчет был создан, для последующего установления соответствия извлеченного доменного имени одному из имеющихся аналитических отчетов. В варианте реализации, в котором данные об аналитических отчетах хранятся в обособленном удаленном хранилище аналитических отчетов (не показано), фильтрующий модуль 1.2 получает доступ к такому удаленному хранилищу аналитических отчетов или устанавливает с ним связь с использованием модуля 1.1 связи, соединенного с фильтрующим модулем 1.2 с помощью шины 1.6 связи, с обеспечением получения из него данных об имеющихся аналитических отчетах, каждый из которых поставлен в соответствие с конкретным доменным именем, для которого этот аналитический отчет был создан, для последующего установления соответствия извлеченного доменного имени одному из имеющихся аналитических отчетов.
В дальнейшем фильтрующий модуль 1.2 передает на анализирующий модуль 1.3 только те извлеченные доменные имена, для которых в локальном хранилище 1.5 данных не имеется аналитического отчета, то есть только те доменные имена, которые ранее не анализировались в вычислительном устройстве 1, в частности в его процессинговом модуле 1.4.
Таким образом, согласно приведенному выше описанию функциональных возможностей фильтрующего модуля 1.2, фильтрующий модуль 1.2 обеспечивает возможность фильтрации по меньшей мере части доменных имен, извлеченных из пакетов данных полученного сетевого трафика, с использованием минимальных вычислительных ресурсов вычислительного устройства 1, что в конечном итоге значительно ускоряет процесс выявления вредоносных доменных имен в сетевом трафике.
Анализирующий модуль
В вычислительном устройстве 1 системы 10, показанной на фиг. 1, анализирующий модуль 1.3 выполнен с возможностью подключения к фильтрующему модулю 1.2 или установления с ним связи с использованием шины 1.6 связи с обеспечением возможности получения от него доменных имен, для которых фильтрующим модулем 1.2 было выявлено отсутствие аналитического отчета, как описано выше.
В варианте реализации настоящего изобретения, в котором доменные имена, извлеченные фильтрующим модулем 1.2, хранятся в локальном хранилище 1.5 данных, анализирующий модуль 1.3 получает доступ к локальному хранилищу 1.5 данных или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением получения из него данных об извлеченных доменных именах, подлежащих дальнейшему анализу в этом анализирующем модуле 1.3, как будет описано ниже.
Еще в одном варианте реализации настоящего изобретения, в котором доменные имена, извлеченные фильтрующим модулем 1.2, хранятся в обособленном локальном хранилище данных, анализирующий модуль 1.3 получает доступ к такому локальному хранилищу данных или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением получения из него данных об извлеченных доменных именах, подлежащих дальнейшему анализу в этом анализирующем модуле 1.3, как будет описано ниже.
В другом варианте реализации настоящего изобретения, в котором доменные имена, извлеченные фильтрующим модулем 1.2, хранятся в обособленном удаленном хранилище данных, анализирующий модуль 1.3 получает доступ к такому локальному хранилищу данных или устанавливает с ним связь с использованием модуля 1.1 связи, соединенного с анализирующим модулем 1.3 с помощью шины 1.6 связи, с обеспечением получения из него данных об извлеченных доменных именах, подлежащих дальнейшему анализу в этом анализирующем модуле 1.3, как будет описано ниже.
Анализирующий модуль 1.3 анализирует каждое из полученных доменных имен с использованием заданного набора методик или способов анализа подозрительности с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа подозрительности, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 1.3 может быть снабжен специальным фреймворком (программной платформой), позволяющим, например, оператору или пользователю вычислительного устройства 1 изменять заданный набор методик анализа подозрительности, используемых анализирующим модулем 1.3 для присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, например задавать или добавлять новые методики анализа подозрительности, позволяющие определять численные значения новых признаков подозрительности, которые в дальнейшем будут использованы в работе процессингового модуля 1.4, что обеспечивает расширение функциональных возможностей как анализирующего модуля 1.3 в отдельности, так и вычислительного устройства 1 в целом.
Одна из методик анализа подозрительности, используемая анализирующим модулем 1.3 в своей работе, позволяет определить численное значение такого признака подозрительности анализируемого доменного имени, как длина доменного имени. При анализе полученных доменных имен с использованием данной методики анализа подозрительности анализирующий модуль 1.3 выполняет по меньшей мере следующие операции: (i) определяет количество символов в каждом из полученных доменных имен, (ii) устанавливает, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени, которое может быть задано как вручную экспертом или оператором/пользователем вычислительного устройства 1, так и автоматически с использованием заданных правил определения порогового значения для длины доменного имени, (iii) присваивает заданное численное значение признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
В одном из вариантов реализации настоящего изобретения, в случае использования методики анализа подозрительности доменного имени на основании его длины, пороговое значение длины доменного имени может быть задано автоматически, например следующим образом: анализирующий модуль 1.3 может получить данные об известным доменных именах, которые могут храниться в локальном хранилище 1.5 данных, обособленном локальном хранилище доменных имен или обособленном удаленном хранилище доменных имен, а затем вычислить, например, среднюю длину известных доменных имен с последующим использованием этого вычисленного значения в качестве порогового значения длины доменного имени. В другом варианте реализации настоящего изобретения, в случае использования методики анализа подозрительности доменного имени на основании его длины, может быть использован заданный набор правил для обработки значений длины известных доменных имен в данных, полученных анализирующим модулем 1.3, для вычисления на их основе порогового значения длины доменного имени, используемого в работе анализирующего модуля 1.3.
Еще одна методика анализа подозрительности, используемая анализирующим модулем 1.3 в своей работе, позволяет определить численное значение такого признака подозрительности анализируемого доменного имени, как известность анализируемого доменного имени. При анализе полученных доменных имен с использованием данной методики анализа подозрительности анализирующий модуль 1.3 выполняет по меньшей мере следующие операции: (i) устанавливает связь с локальным хранилищем 1.5 данных (обособленным локальным или удаленным хранилищем доменных имен в зависимости от варианта реализации, как описано выше) для получения от него набора известных доменных имен, (ii) устанавливает, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадение каждого из извлеченных доменных имен с одним из известных доменных имен и (iii) присваивает заданное численное значение еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
Еще одна методика анализа подозрительности, используемая анализирующим модулем 1.3 в своей работе, позволяет определить численное значение такого признака подозрительности анализируемого доменного имени, как энтропия анализируемого доменного имени. При анализе полученных доменных имен с использованием данной методики анализа подозрительности анализирующий модуль 1.3 выполняет по меньшей мере следующие операции: (i) определяет частоты появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов, (ii) определяет энтропию N-грамма указанного анализируемого доменного имени как функцию от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени, (iii) сравнивает определенную энтропию N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма и (iv) присваивает заданное численное значение еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения. Таким образом, данная методика анализа подозрительности позволяет получить, например, численные значения трех признаков подозрительности анализируемого доменного имени, представляющих каждый энтропию анализируемого доменного имени соответственно, например, для 2-грамма, 3-грамма и 4-грамма (наиболее целесообразные длины комбинаций из последовательных символов).
В одном из вариантов реализации настоящего изобретения количество последовательных символов в комбинации, соответствующей N-грамму, при определении энтропии в методике анализа подозрительности, связанной с определением энтропии анализируемого доменного имени, может быть задано вручную экспертом или пользователем вычислительного устройства 1 или может быть задано автоматически, например в зависимости от вышеописанного порогового значения длины доменного имени или средней длины известных доменных имен, которая может быть определена анализирующим модулем 1.3 с использованием, например, данных об известных доменных именах из локального хранилища 1.5 данных, как более подробно описано выше, или в соответствии с любым иным заданным правилом.
Еще одна методика анализа подозрительности, используемая анализирующим модулем 1.3 в своей работе, позволяет определить численное значение такого признака подозрительности анализируемого доменного имени, как осмысленность анализируемого доменного имени. При анализе полученных доменных имен с использованием данной методики анализа подозрительности анализирующий модуль 1.3 выполняет по меньшей мере следующие операции: (i) устанавливает связь с локальным хранилищем 1.5 данных (обособленным локальным или удаленным хранилищем доменных имен в зависимости от варианта реализации, как описано выше) для получения от него данных о языковых словарях, (ii) извлекает по меньшей мере одно слово из каждого из полученных доменных имен, (iii) устанавливает совпадение каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных, (iii) присваивает заданное численное значение еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
В одном из вариантов реализации настоящего изобретения, в случае использования методики анализа подозрительности доменного имени на основании его осмысленности, при установлении совпадения слова, извлеченного из анализируемого доменного имени, с одним из слов в полученных языковых словарях анализирующий модуль 1.3 дополнительно проверяет, совпадает ли извлеченное слово с одним из слов в полученных языковых словарях при написании этого извлеченного слова в обратном порядке и/или совпадает ли осмысленная часть этого извлеченного слова (например, общеупотребимое сокращение такого слова) с одним из слов в полученных языковых словарях, при этом в дальнейшем анализирующий модуль 1.3 также присваивает заданное численное значение еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результатов такой дополнительной проверки.
Еще в одном варианте реализации настоящего изобретения, в случае использования методики анализа подозрительности доменного имени на основании его осмысленности, после извлечения по меньшей мере одного слова из каждого из полученных доменных имен анализирующий модуль 1.3 может дополнительно идентифицировать язык указанного извлеченного слова, и в случае установления, что это извлеченное слово написано на языке, отличном от английского (например, на русском языке) осуществлять его транслитерацию латиницей в соответствии с заданным набором правил транслитерации. В другом варианте реализации настоящего изобретения, в случае использования методики анализа подозрительности доменного имени на основании его осмысленности, анализирующий модуль 1.3 может быть дополнительно выполнен с возможностью установления связи, посредством модуля 1.1 связи, с источником языковых словарей для получения от него данных о новом словаре с последующим обновлением имеющихся языковых словарей, хранящихся в локальном хранилище 1.5 данных, на основании этого нового словаря из полученных данных, при этом анализирующий модуль 1.3 также может идентифицировать язык слов этого нового слова и в случае, если слова в этом новом словаре написано на языке, отличном от английского (например, на русском), может транслитерировать латиницей все слова из этого нового словаря в соответствии с заданным набором правил транслитерации.
Еще одна методика анализа подозрительности, используемая анализирующим модулем 1.3 в своей работе, позволяет определить численное значение такого признака подозрительности анализируемого доменного имени, как правильность написания анализируемого доменного имени. При анализе полученных доменных имен с использованием данной методики анализа подозрительности анализирующий модуль 1.3 выполняет по меньшей мере следующие операции: (i) устанавливает связь с локальным хранилищем 1.5 данных (обособленным локальным или удаленным хранилищем доменных имен в зависимости от варианта реализации, как описано выше) для получения от него данных о языковых словарях, (ii) извлекает по меньшей мере одно слово из каждого из полученных доменных имен, (iii) определяет расстояние Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных, (iv) сравнивает определенное расстояние Левенштейна с заданным пороговым значением, в качестве которого, например, может быть использована константа, равная двум (2), (v) присваивает заданное численное значение еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения (в частности, в зависимости от типов ошибок, допущенных в написании анализируемого доменного имени).
В результате применения к каждому доменному имени, анализируемому в анализирующем модуле 1.3, вышеописанных методик анализа подозрительности, анализирующий модуль 1.3 создает или подготавливает обособленный лог-файл с результатами анализа конкретного доменного имени в анализирующем модуле 1.3, содержащий по меньшей мере данные о численных значениях, присвоенных анализирующим модулем 1.3 вышеописанным признакам подозрительности, характеризующих указанное конкретное доменное имя и соответствующим каждый одной из примененных методик анализа подозрительности.
В одном из вариантов реализации настоящего изобретения модуль 1.1 связи может быть дополнительно выполнен с возможностью установления связи по меньшей мере с одним локальным или удаленным источником доменных имен или с возможностью подключения к такому источнику доменных имен с обеспечением получения от него по меньшей мере одного доменного имени или множества доменных имен для их последующей передачи в анализирующий модуль для анализа каждого из этих полученных доменных имен с использованием заданного набора методик анализа, как более подробно описано выше. Такие источники доменных имен могут включать по меньшей мере один из следующих локальных или удаленных источников: удаленное вычислительное устройство, сервер, хост, домен, база данных, антивирусная система или программа, сайт и т.п.
Процессинговый модуль
В вычислительном устройстве 1 системы 10, показанной на фиг. 1, процессинговый модуль 1.4 выполнен с возможностью подключения к анализирующему модулю 1.3 или установления с ним связи с использованием посредством шины 1.6 связи с обеспечением возможности получения от него лог-файлов, подготовленных или созданных анализирующим модулем 1.3, как описано выше.
Процессинговый модуль 1.4 анализирует признаки подозрительности доменного имени с присвоенными им численными значениями, содержащиеся в каждом из полученных лог-файлов, с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени, для которого был создан соответствующий лог-файл, к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен, или к доверенным доменным именам, если полученные результаты анализа признаков подозрительности характерны для доверенных доменных имен. Таким образом, процессинговый модуль 1.4 принимает окончательное решение или выносит окончательный вердикт в отношении вредоносности или безвредности доменного имени с использованием лог-файла, созданного анализирующим модулем 1.3 для каждого извлеченного доменного имени.
В частности, в основе работы процессингового модуля 1.4 лежит предварительно обученный классификатор, который принимает свое решение или выносит свой вердикт в отношении вредоносности или безвредности конкретного доменного имени с использованием набора признаков подозрительности этого доменного имени с присвоенными им численными значениями, которые процессинговый модуль 1.4 извлекает с помощью известных алгоритмов или скриптов из лог-файла, полученного от анализирующего модуля 1.3, при этом каждый из используемого набора признаков подозрительности по существу отражает одну из характеристик конкретного доменного имени, которые анализирует анализирующий модуль 1.3, и является показательным в отношении потенциальной зловредности указанного конкретного доменного имени, а численное значение, присвоенное этому доменному имени, отражает степень его подозрительности. Предварительно обученный классификатор, используемый в работе процессингового модуля 1.4, представляет собой классификатор на базе одного из известных алгоритмов машинного обучения (MLA), например на базе алгоритма машинного обучения «Random Forest», на базе алгоритма машинного обучения «gBoost», на базе алгоритма машинного обучения «AdaBoost» или т.п. Классификатор на базе одного из MLA-алгоритмов принимает свое решение или выносит свой вердикт в отношении вредоносности или безвредности каждого доменного имени на основании извлеченных взвешенных признаков подозрительности, получаемых в результате присвоения заданного веса каждому из набора признаков подозрительности доменного имени, извлеченного из полученного лог-файла, и иных статических (не имеющих заданного веса) признаков с использованием алгоритма, реализующего, например, наиболее эффективное дерево решений, отобранное на этапе обучения алгоритма экспертами с использованием заведомого вредоносных доменных имен.
В одном из вариантов реализации в основе работы процессингового модуля 1.4 может лежать набор предварительно обученных классификаторов, каждый из которых принимает свое решение или выносит свой вердикт в отношении вредоносности или безвредности конкретного доменного имени с использованием одного и того же набора признаков подозрительности этого доменного имени с присвоенными им численными значениями, при этом в качестве таких классификаторов могут быть использованы, например, вышеописанные классификаторы. В одной из разновидностей данного варианта реализации настоящего изобретения окончательный вердикт в отношении безвредности доменного имени может быть вынесен процессинговым модулем 1.4, например, в случае, в котором по меньшей мере один из заданного набора классификаторов или хотя бы один из заданного набора классификаторов вынес персональный вердикт в отношении безвредности доменного имени, в противном же случае, в котором ни один из заданного набора классификаторов не вынес персонального вердикта в отношении безвредности доменного имени, процессинговый модуль 1.4 может вынести окончательный вердикт в отношении вредоносности доменного имени. Еще в одной разновидности данного варианта реализации процессинговый модуль 1.4 может вынести свой окончательный вердикт в отношении вредоносности или безвредности доменного имени путем сравнения суммарного веса персональных вердиктов, принятых заданным набором классификаторов в процессинговом модуле 1.4, с заданным пороговым значением, являющимся по существу константой, при этом любому персональному вердикту, вынесенному каждым классификатором из заданного набора классификаторов, автоматически присваивается свой предварительно заданный весовой коэффициент. Таким образом, процессинговый модуль 1.4 принимает тот или иной окончательный вердикт с учетом всех персональных вердиктов (промежуточных вердиктов) используемых классификаторов, имеющих тот или иной вес в суммарном весе, учитываемом процессинговым модулем 1.4 для вынесения окончательного вердикта.
После вынесения окончательного вердикта процессинговый модуль 1.4 подготавливает или создает отдельный аналитический отчет по каждому доменному имени, проанализированному в этом процессинговом модуле 1.4, причем такой аналитический отчет по меньшей мере содержит все сведения из соответствующего лог-файла, созданного анализирующим модулем 1.3 для указанного доменного имени, а также данные об окончательном вердикте, вынесенном процессинговым модулем 1.4 в отношении доменного имени, а также данные о классификаторе, использованном процессинговым модулем 1.4 для вынесения окончательного вердикта. В варианте реализации настоящего изобретения, в котором в работе процессингового модуля 1.4 используют несколько классификаторов, аналитический отчет, подготовленный или созданный процессинговым модулем 1.4, также может содержать данные о каждом из классификаторов, использованных процессинговым модулем 1.4 для вынесения окончательного вердикта, и данные о персональных вердиктах в отношении вредоносности или безвредности доменного имени, вынесенных каждым из этих классификаторов в отдельности.
В некоторых вариантах реализации настоящего изобретения процессинговый модуль 1.4 может быть снабжен специальным фреймворком (программной платформой), позволяющим, например, оператору вычислительного устройства 1 или экспертным специалистам вносить изменения в заданный набор классификаторов, используемых процессинговым модулем 1.4 для вынесения окончательного вердикта в отношении вредоносности или безвредности доменного имени, как более подробно описано выше.
Кроме того, в случае, когда процессинговый модуль 1.4 выносит окончательный вердикт о вредоносности доменного имени, то есть относит конкретное доменное имя на основании его численных значений, присвоенных в анализирующем модуле 1.3 его признакам подозрительности, к вредоносным доменным именам, процессинговый модуль 1.4 также может выполнить по меньшей мере одно из следующих действий: выдать предупредительное сообщение об обнаружении в сетевом трафике вредоносного доменного имени и блокировать сетевой трафик от зараженного устройства или зараженных устройств, которые могут быть выявлены по их IP-адресу, определенному по выявленному зловредному доменному имени.
Для сохранения подготовленного или созданного аналитического отчета в локальном хранилище 1.5 данных процессинговый модуль 1.4 получает доступ к локальному хранилищу 1.5 данных или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением передачи указанного аналитического отчета в локальное хранилище 1.5 данных для его сохранения в этом локальном хранилище 1.5 данных.
В варианте реализации настоящего изобретения, в котором подготовленный или созданный аналитический отчет сохраняют в обособленном локальном хранилище аналитических отчетов (не показано), процессинговый модуль 1.4 получает доступ к такому локальному хранилищу аналитических отчетов или устанавливает с ним связь с использованием шины 1.6 связи с обеспечением передачи указанного аналитического отчета в локальное хранилище аналитических отчетов для его сохранения в этом локальном хранилище аналитических отчетов.
В варианте реализации настоящего изобретения, в котором подготовленный или созданный аналитический отчет сохраняют в обособленном удаленном хранилище аналитических отчетов (не показано), процессинговый модуль 1.4 получает доступ к такому удаленному хранилищу аналитических отчетов или устанавливает с ним связь с использованием модуля 1.6, связи, который соединен с процессинговым модулем 1.4 с помощью шины 1.6 связи, с обеспечением передачи указанного аналитического отчета в удаленное хранилище аналитических отчетов проводным и/или беспроводным способом для его сохранения в этом удаленном хранилище аналитических отчетов.
Следует отметить, что модуль 1.1 связи, фильтрующий модуль 1.2, анализирующий модуль 1.3 и процессинговый модуль 1.4 реализуют свои вышеописанные функции по существу в режиме реального времени, то есть модуль 1.1 связи продолжает принимать сетевой трафик, фильтрующий модуль 1.2 выполняет свои операции по фильтрации по меньшей мере части из доменных имен, извлеченных из пакетов данных в полученном сетевом трафике, анализирующий модуль 1.3 выполняет свои операции по анализу доменных имен и присвоению их признакам подозрительности заданных численных значений с последующим созданием лог-файла для каждого доменного имени в отдельности, а процессинговый модуль 1.4 выполняет свои операции по анализу по меньшей мере части лог-файлов, полученных от анализирующего модуля 1.3, и сохранению по меньшей мере части из созданных или подготовленных аналитических отчетов в локальном хранилище 1.5 данных.
В одном из вариантов реализации настоящего изобретения анализирующий модуль 1.3 и процессинговый модуль 1.4 могут быть объединены, например, в одиночный модуль выявления зловредных доменных имен, имеющий все вышеописанные функциональные возможности, присущие анализирующему модулю 1.3 и процессинговому модулю 1.4. Еще в одном варианте реализации настоящего изобретения фильтрующий модуль 1.2 и анализирующий модуль 1.3 могут быть объединены, например, в одиночный препроцессинговый модуль, имеющий все вышеописанные функциональные возможности, присущие фильтрующему модулю 1.2 и анализирующему модулю 1.3. В других вариантах реализации настоящего изобретения фильтрующий модуль 1.2, анализирующий модуль 1.3 и процессинговый модуль 1.4 могут быть объединены, например, в одиночный модуль выявления вредоносных доменных имен, имеющий все вышеописанные функциональные возможности, присущие фильтрующему модулю 1.2, анализирующему модулю 1.3 и процессинговому модулю 1.4.
Еще в одном варианте реализации настоящего изобретения модуль 1.1 связи может быть разделен на несколько отдельных модулей связи, каждый из которых обеспечивает по меньшей мере один из известных способов проводной и/или беспроводной связи в вычислительном устройстве 1.
В некоторых вариантах реализации настоящего изобретения анализирующий модуль 1.3 может быть разделен на несколько независимых модулей, каждый из которых может выполнять по меньшей мере одну из вышеописанных функциональных возможностей, присущих анализирующему модулю 1.3, и которые выполнены с возможностью связи друг с другом и остальными конструктивными модулями вычислительного устройства 1 с помощью шины 1.6 связи. При этом один из таких независимых модулей может быть выполнен с возможностью создания лог-файла, как описано выше, или может иметься, например, дополнительный модуль создания лог-файлов, выполненный с возможностью связи с указанными независимыми модулями с помощью, например, шины 1.6 связи с обеспечением получения от каждого из них, например, данных о конкретном признаке подозрительности с присвоенным ему числовым значением для одного и того же доменного имени.
В других вариантах реализации настоящего изобретения процессинговый модуль 1.4 может быть разделен на несколько независимых модулей, каждый из которых может, например, реализовывать один из вышеописанных предварительно обученных классификаторов, лежащих в основе работы процессингового модуля 1.4, при этом эти независимые которые модули могут быть выполнены с возможностью связи друг с другом и с остальными конструктивными модулями вычислительного устройства 1, в частности с анализирующим модулем 1.3, с помощью шины 1.6 связи. При этом один из таких независимых модулей может быть выполнен с возможностью создания аналитического отчета, как описано выше, или может иметься, например, дополнительный модуль создания аналитических отчетов, выполненный с возможностью связи с указанными независимыми модулями с помощью, например, шины 1.6 связи с обеспечением получения от них данных о результатах анализа полученного лог-файла с использованием заданного набора правил анализа для создания аналитического отчета для конкретного доменного имени.
В другом варианте реализации настоящего изобретения фильтрующий модуль 1.2 может быть разделен на несколько других независимых модулей, каждый из которых может выполнять по меньшей мере одну из вышеописанных функциональных возможностей, присущих фильтрующему модулю 1.2, и которые выполнены с возможностью связи друг с другом и остальными конструктивными модулями вычислительного устройства 1, в частности с модулем 1.1 связи и анализирующим модулем 1.3, с помощью шины 1.6 связи.
В иных вариантах реализации настоящего изобретения каждый классификатор из заданного набора классификаторов, используемых в работе процессингового модуля 1.4, может быть реализован в виде отдельного классифицирующего модуля, выносящего свой персональный вердикт в отношении вредоносности или безвредности того или иного доменного имени, при этом указанные отдельные классифицирующие модули могут быть выполнены с возможностью связи с процессинговым модулем 1.4 с помощью, например, шины 1.6 связи, а процессинговый модуль 1.4 в таком случае может выносить окончательный вердикт в отношении вредоносности или безвредности того или иного доменного имени с использованием заданного набора правил принятия окончательного решения и персональных вердиктов, вынесенных классифицирующими модулями.
Согласно одному из вариантов реализации настоящего изобретения, по меньшей мере часть из вышеописанных функциональных возможностей, присущих фильтрующему модулю 1.2, анализирующему модулю 1.3 и/или процессинговому модулю 1.4 может быть реализована в виде отдельного функционального подмодуля или функционального блока, входящего в состав соответствующего одного из модулей 1.2, 1.3 и 1.4. Таким образом, фильтрующий модуль 1.2 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих фильтрующему модулю 1.2, анализирующий модуль 1.3 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих анализирующему модулю 1.3, и процессинговый модуль 1.4 может содержать несколько своих подмодулей, каждый из которых реализует по меньшей мере одну из вышеописанных функциональных возможностей, присущих процессинговому модулю 1.4.
Таким образом, вышеописанные функциональные возможности фильтрующего модуля 1.2 обеспечивают возможность эффективной фильтрации по меньшей мере части доменных имен, извлекаемых из пакетов данных сетевого трафика, в результате чего для последующего анализа доменных имен в анализирующем модуле 1.3 и процессинговом модуле требуется значительно меньший объем вычислительных ресурсов, выделяемых вычислительным устройством 1. Кроме того, вышеописанные функциональные возможности фильтрующего анализирующего модуля 1.3 обеспечивают возможность эффективного выделения набора признаков подозрительности с присвоенными им численными значениями для каждого доменного имени, а вышеописанные функциональные возможности процессингового модуля 1.4 обеспечивают возможность вынесения точного и достоверного вердикта в отношении вредоносности или безвредного доменного имени.
Согласно еще одному аспекту предложен способ обнаружения вредоносных доменных имен в сетевом трафике, показанный в виде упрощенной блок-схемы на фиг. 2.
Способ, показанный на фиг. 2, начинается в блоке 2, согласно которому обеспечивают наличие вычислительного устройства 1 для обнаружения вредоносных доменных имен в сетевом трафике, конструктивные блоки и функциональные возможности которого описаны выше. В блоке 2.1 способа получают, посредством модуля 1.1 связи, сетевой трафик из сети 3 передачи данных. В блоке 2.2 способа извлекают, посредством фильтрующего модуля 1.2, множество пакетов данных из полученного сетевого трафика. В блоке 2.3 способа анализируют, посредством фильтрующего модуля 1.2, извлеченные пакеты данных с обеспечением извлечения по меньшей мере одного доменного имени из указанного множества пакетов данных. В блоке 2.4 анализируют, посредством анализирующего модуля 1.3, каждое из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа. В блоке 2.5 способа анализируют, посредством процессингового модуля 1.4, полученные признаки подозрительности с присвоенными им численными значениями с использованием заданного набора правил анализа. В блоке 2.6 способа устанавливают, посредством процессингового модуля 1.4, характерны ли проанализированные признаки подозрительности с присвоенными им численными значениями для вредоносных доменных имен. Если в блоке 2.6 способа было установлено, что проанализированные признаки подозрительности с присвоенными им численными значениями характерны для вредоносных доменных имен (линия “Да” на фиг. 2), то способ переходит к блоку 2.7 способа, согласно которому относят, посредством процессингового модуля 1.4, доменное имя к вредоносным доменным именам с последующим завершением способа в блоке 2.9 способа. В противном же случае способ переходит к блоку 2.8 (линия “Нет” на фиг. 2), согласно которому относят, посредством процессингового модуля 1.4, доменное имя к доверенным доменным именам с последующим завершением способа в блоке 2.9 способа.
Операции в блоке 2.1 способа включают подключение, посредством модуля 1.1 связи, по меньшей мере к одному из устройств захвата сетевого трафика, включенных в сеть передачи данных.
Для доменных имен, извлеченных в блоке 2.3 способа, дополнительно определяют, посредством фильтрующего модуля 1.2, имеется ли аналитический отчет для каждого из этих извлеченных доменных имен. При этом вышеуказанная операция выявления наличия аналитического отчета включает по меньшей мере следующие подэтапы: (i) получение данных об аналитических отчетах, (ii) установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствия каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов.
В ответ на то, что для извлеченного доменного имени не имеется аналитического отчета, согласно предложенному способу дополнительно передают, посредством фильтрующего модуля, указанное доменное имя в анализирующий модуль.
Согласно предложенному способу, операции в блоке 2.4 включают выполнение, посредством анализирующего модуля 1.3, по меньшей мере следующих подэтапов: (i) определение количества символов в каждом из полученных доменных имен; (ii) установление, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени; (iii) присвоение заданного численного значения признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
Согласно предложенному способу, операции в блоке 2.4 также включают выполнение, посредством анализирующего модуля 1.3, по меньшей мере следующих подэтапов: (i) получение набора известных доменных имен; (ii) установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадения каждого из извлеченных доменных имен с одним из известных доменных имен; (iii) присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно предложенному способу, операции в блоке 2.4 также включают выполнение, посредством анализирующего модуля 1.3, по меньшей мере следующих подэтапов: (i) определение частот появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов; (ii) определение энтропии N-грамма указанного анализируемого доменного имени как функции от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени; (iii) сравнение определенной энтропии N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма; (iv) присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения.
Согласно предложенному способу, операции в блоке 2.4 также включают выполнение, посредством анализирующего модуля 1.3, по меньшей мере следующих подэтапов: (i) получение данных о языковых словарях; извлечение по меньшей мере одного слова из каждого из полученных доменных имен; (ii) установление совпадения каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных; (iii) присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
Согласно предложенному способу, операции в блоке 2.4 также включают выполнение, посредством анализирующего модуля 1.3, по меньшей мере следующих подэтапов: (i) получение данных о языковых словарях; (ii) извлечение по меньшей мере одного слова из каждого из полученных доменных имен; (iii) определение расстояния Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных; (iv) сравнение определенного расстояния Левенштейна с заданным пороговым значением; (v) присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения.
Согласно предложенному способу дополнительно изменяют, посредством анализирующего модуля, заданный набор правил анализа.
В ответ на отнесение доменного имени к вредоносным доменным именам, согласно предложенному способу дополнительно обеспечивают, посредством процессингового модуля 1.4, выдачу предупредительного сообщения, блокировку сетевого трафика от зараженных устройств и/или создание аналитического отчета для вредоносного доменного имени.
Операции в блоке 2.5 способа включают анализ, посредством процессингового модуля 1.4, полученной совокупности признаков подозрительности анализируемого доменного имени с использованием по меньшей мере одного предварительно обученного алгоритма машинного обучения.
В одном из вариантов реализации настоящего изобретения согласно предложенному способу в анализирующем модуле 1.3 могут дополнительно получать, посредством модуля 1.1 связи, множество доменных имен по меньшей мере из одного источника доменных имен, таких как удаленное устройство, сервер, хост, домен, база данных, антивирусная система или программа, сайт и т.п.
Согласно еще одному аспекту настоящего изобретения предложен машиночитаемый носитель для длительного хранения данных, хранящий машиночитаемые инструкции, которые, при их исполнении процессором вычислительным устройством, вызывают выполнение этапов способа, описанного в данном документе. Машиночитаемые инструкции могут содержать машиночитаемый программный код, который может быть передан с использованием любой подходящей среды передачи данных, в том числе с использованием беспроводных средств, проводных средств, волоконно-оптического кабеля, радиочастоты и/или т.п., и/или их любой подходящей комбинации. Машиночитаемый программный код может быть написан на одном из языков программирования или любой комбинации языков программирования, содержащих объектно-ориентированный язык программирования, такой как «Java», «Smalltalk», «C++» и/или т.п., и обычные процедурные языки программирования, такие как язык программирования «C». Машиночитаемый программный код может полностью или частично исполняться на вычислительном устройстве 1.
Таким образом, машиночитаемые программные инструкции, хранящиеся на машиночитаемом носителе, могут обеспечивать управление вычислительным устройством 1 таким образом, что он будет функционировать вышеописанным образом, так что машиночитаемые инструкции, хранящиеся в машиночитаемом носителе, создают промышленное изделие, содержащее программные инструкции, которые реализуют функции/действия, указанные в блоках блок-схемы по фиг. 2, иллюстрирующей работу вычислительного устройства 1.
В качестве машиночитаемого носителя для длительного хранения данных может быть использован один из следующих материальных машиночитаемых носителей, предназначенных для хранения данных в течение длительного периода времени: накопители на жестких дисках, постоянное запоминающее устройство (ROM), накопители на компакт-дисках (CD), накопители на универсальных цифровых дисках (DVD), накопители на гибких дисках, накопители на Blu-ray дисках и т.п.

Claims (90)

1. Вычислительное устройство для обнаружения вредоносных доменных имен в сетевом трафике, содержащее:
модуль связи, выполненный с возможностью получения сетевого трафика из сети передачи данных,
фильтрующий модуль, выполненный с возможностью подключения к модулю связи для получения от него захваченного сетевого трафика и возможностью выполнения по меньшей мере следующих операций:
извлечение множества пакетов данных из полученного сетевого трафика,
анализ указанных извлеченных пакетов данных с обеспечением извлечения по меньшей мере одного доменного имени из указанного множества пакетов данных,
анализирующий модуль, выполненный с возможностью подключения к фильтрующему модулю для получения от него указанных доменных имен и с возможностью анализа каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа,
процессинговый модуль, выполненный с возможностью подключения к анализирующему модулю для получения от него указанных признаков подозрительности с присвоенными им численными значениями для каждого доменного имени и с возможностью их анализа с использованием заданного набора методик анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
2. Вычислительное устройство по п. 1, в котором модуль связи дополнительно выполнен с возможностью подключения по меньшей мере к одному из устройств захвата сетевого трафика, включенных в сеть передачи данных.
3. Вычислительное устройство по п. 1, в котором фильтрующий модуль дополнительно выполнен с возможностью определения, имеется ли аналитический отчет для каждого из извлеченных доменных имен.
4. Вычислительное устройство по п. 3, в котором при выявлении наличия аналитического отчета фильтрующий модуль выполняет по меньшей мере следующие операции:
получение данных об аналитических отчетах,
установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствия каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов.
5. Вычислительное устройство по п. 3 или 4, в котором в ответ на то, что для извлеченного доменного имени не имеется аналитического отчета, фильтрующий модуль дополнительно выполнен с возможностью передачи указанного доменного имени в анализирующий модуль.
6. Вычислительное устройство по п. 1, в котором при анализе полученных доменных имен анализирующий модуль выполняет по меньшей мере следующие операции:
определение количества символов в каждом из полученных доменных имен,
установление, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени,
присвоение заданного численного значения признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
7. Вычислительное устройство по п. 6, в котором при анализе полученных доменных имен анализирующий модуль дополнительно выполняет по меньшей мере следующие операции:
получение набора известных доменных имен,
установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадения каждого из извлеченных доменных имен с одним из известных доменных имен,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
8. Вычислительное устройство по п. 7, в котором при анализе полученных доменных имен анализирующий модуль дополнительно выполняет по меньшей мере следующие операции:
определение частот появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов,
определение энтропии N-грамма указанного анализируемого доменного имени как функции от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени,
сравнение определенной энтропии N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения.
9. Вычислительное устройство по п. 8, в котором при анализе полученных доменных имен анализирующий модуль дополнительно выполняет по меньшей мере следующие операции:
получение данных о языковых словарях,
извлечение по меньшей мере одного слова из каждого из полученных доменных имен,
установление совпадения каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
10. Вычислительное устройство по п. 9, в котором при анализе полученных доменных имен анализирующий модуль дополнительно выполняет по меньшей мере следующие операции:
получение данных о языковых словарях,
извлечение по меньшей мере одного слова из каждого из полученных доменных имен,
определение расстояния Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных,
сравнение определенного расстояния Левенштейна с заданным пороговым значением,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения.
11. Вычислительное устройство по п. 1, в котором анализирующий модуль дополнительно обеспечивает возможность изменения заданного набора методик анализа.
12. Вычислительное устройство по п. 1, в котором в ответ на отнесение доменного имени к вредоносным доменным именам, процессинговый модуль дополнительно обеспечивает возможность выдачи предупредительного сообщения, блокировки сетевого трафика от зараженных устройств и/или создание аналитического отчета для вредоносного доменного имени.
13. Вычислительное устройство по п. 10, в котором процессинговый модуль выполнен с возможностью анализа полученной совокупности признаков подозрительности анализируемого доменного имени с использованием по меньшей мере одного предварительно обученного алгоритма машинного обучения.
14. Вычислительное устройство по п. 1, в котором анализирующий модуль дополнительно выполнен с возможностью получения, посредством модуля связи, по меньшей мере одного доменного имени по меньшей мере из одного источника доменных имен.
15. Вычислительное устройство для анализа доменных имен, содержащее:
модуль связи, выполненный с возможностью получения по меньшей мере одного доменного имени по меньшей мере из одного источника доменных имен,
анализирующий модуль, выполненный с возможностью подключения к модулю связи для получения от него указанных доменных имен и с возможностью анализа каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа,
процессинговый модуль, выполненный с возможностью подключения к анализирующему модулю для получения от него указанных признаков подозрительности с присвоенными им численными значениями для каждого доменного имени и с возможностью их анализа с использованием заданного набора методик анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
16. Способ обнаружения вредоносных доменных имен в сетевом трафике, реализуемый вычислительным устройством, включающий:
получение, посредством модуля связи, сетевого трафика из сети передачи данных,
извлечение, посредством фильтрующего модуля, множества пакетов данных из полученного сетевого трафика,
анализ, посредством фильтрующего модуля, указанных извлеченных пакетов данных с обеспечением извлечения по меньшей мере одного доменного имени из указанного множества пакетов данных,
анализ, посредством анализирующего модуля, каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа,
анализ, посредством процессингового модуля, полученных признаков подозрительности с присвоенными им численными значениями с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
17. Способ по п. 16, в котором этап получения сетевого трафика дополнительно включает подключение, посредством модуля связи, по меньшей мере к одному из устройств захвата сетевого трафика, включенных в сеть передачи данных.
18. Способ по п. 16, в котором для извлеченных доменных имен дополнительно определяют, посредством фильтрующего модуля, имеется ли аналитический отчет для каждого из этих извлеченных доменных имен.
19. Способ по п. 18, в котором этап выявления наличия аналитического отчета включает выполнение, посредством фильтрующего модуля, по меньшей мере следующих подэтапов:
получение данных об аналитических отчетах,
установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами, идентифицирующими аналитические отчеты в указанных полученных данных, соответствия каждого из извлеченных доменных имен одному из имеющихся аналитических отчетов.
20. Способ по п. 18, в котором в ответ на то, что для извлеченного доменного имени не имеется аналитического отчета, передают, посредством фильтрующего модуля, указанное доменное имя в анализирующий модуль.
21. Способ по п. 16, в котором этап анализа полученных доменных имен включает выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов:
определение количества символов в каждом из полученных доменных имен,
установление, соответствует ли определенное количество символов каждого анализируемого доменного имени заданному пороговому значению длины доменного имени,
присвоение заданного численного значения признаку подозрительности доменного имени, представляющему длину анализируемого доменного имени, в зависимости от результата установления соответствия.
22. Способ по п. 21, в котором этап анализа полученных доменных имен включает выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов:
получение набора известных доменных имен,
установление, путем посимвольного сравнения каждого из извлеченных доменных имен с доменными именами в полученном наборе доменных имен, совпадения каждого из извлеченных доменных имен с одним из известных доменных имен,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему известность анализируемого доменного имени, в зависимости от результата установления совпадения.
23. Способ по п. 22, в котором этап анализа полученных доменных имен включает выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов:
определение частот появления каждого из множества N-грамм в каждом из полученных доменных имен, при этом каждая N-грамма соответствует комбинации из N последовательных символов,
определение энтропии N-грамма указанного анализируемого доменного имени как функции от определенной частоты появления каждой N-граммы в этом анализируемом доменном имени,
сравнение определенной энтропии N-грамма анализируемого доменного имени с заданным пороговым значением энтропии N-грамма,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему энтропию анализируемого доменного имени, в зависимости от результата сравнения.
24. Способ по п. 23, в котором этап анализа полученных доменных имен включает выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов:
получение данных о языковых словарях,
извлечение по меньшей мере одного слова из каждого из полученных доменных имен,
установление совпадения каждого из указанных извлеченных слов с одним из слов в языковых словарях из указанных полученных данных,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему осмысленность анализируемого доменного имени, в зависимости от результата установления совпадения.
25. Способ по п. 24, в котором этап анализа полученных доменных имен включает выполнение, посредством анализирующего модуля, по меньшей мере следующих подэтапов:
получение данных о языковых словарях,
извлечение по меньшей мере одного слова из каждого из полученных доменных имен,
определение расстояния Левенштейна между каждым из указанных извлеченных слов и соответствующим одним из слов в языковых словарях из указанных полученных данных,
сравнение определенного расстояния Левенштейна с заданным пороговым значением,
присвоение заданного численного значения еще одному признаку подозрительности доменного имени, представляющему правильность написания анализируемого доменного имени, в зависимости от результата сравнения.
26. Способ по п. 16, согласно которому дополнительно изменяют, посредством анализирующего модуля, заданный набор правил анализа.
27. Способ по п. 16, в котором в ответ на отнесение доменного имени к вредоносным доменным именам, дополнительно обеспечивают, посредством процессингового модуля, выдачу предупредительного сообщения, блокировку сетевого трафика от зараженных устройств и/или создание аналитического отчета для вредоносного доменного имени.
28. Способ по п. 25, согласно которому этап анализа признаков подозрительности включает анализ, посредством процессингового модуля, полученной совокупности признаков подозрительности анализируемого доменного имени с использованием по меньшей мере одного предварительно обученного алгоритма машинного обучения.
29. Способ по п. 16, согласно которому в анализирующем модуле дополнительно получают, посредством модуля связи, множество доменных имен по меньшей мере из одного источника доменных имен.
30. Способ анализа доменных имен, реализуемый вычислительным устройством, включающий:
получение, посредством модуля связи, по меньшей мере одного доменного имени,
анализ, посредством анализирующего модуля, каждого из полученных доменных имен с использованием заданного набора методик анализа с обеспечением присвоения заданного численного значения каждому из заданного набора признаков подозрительности доменного имени, соответствующему одной из заданного набора методик анализа, для каждого анализируемого доменного имени в зависимости от результатов его анализа с помощью указанных методик анализа,
анализ, посредством процессингового модуля, полученных признаков подозрительности с присвоенными им численными значениями с использованием заданного набора правил анализа с обеспечением отнесения каждого доменного имени к вредоносным доменным именам, если полученные результаты анализа признаков подозрительности характерны для вредоносных доменных имен.
31. Машиночитаемый носитель для длительного хранения данных, хранящий машиночитаемые инструкции, которые, при их исполнении вычислительным устройством, вызывают выполнение этапов способа по любому из пп. 16-29.
RU2018101759A 2018-01-17 2018-01-17 Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике RU2668710C1 (ru)

Priority Applications (3)

Application Number Priority Date Filing Date Title
RU2018101759A RU2668710C1 (ru) 2018-01-17 2018-01-17 Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
SG10201900339QA SG10201900339QA (en) 2018-01-17 2019-01-14 Computing device and method for detecting malicious domain names in a network traffic
US16/247,870 US11503044B2 (en) 2018-01-17 2019-01-15 Method computing device for detecting malicious domain names in network traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2018101759A RU2668710C1 (ru) 2018-01-17 2018-01-17 Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике

Publications (1)

Publication Number Publication Date
RU2668710C1 true RU2668710C1 (ru) 2018-10-02

Family

ID=63798294

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2018101759A RU2668710C1 (ru) 2018-01-17 2018-01-17 Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике

Country Status (3)

Country Link
US (1) US11503044B2 (ru)
RU (1) RU2668710C1 (ru)
SG (1) SG10201900339QA (ru)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2777348C1 (ru) * 2021-08-19 2022-08-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
NL2031256B1 (en) 2022-02-14 2023-08-18 Group Ib Global Private Ltd Method and computing device for detection of target malicious web resource
CN116760645A (zh) * 2023-08-22 2023-09-15 北京长亭科技有限公司 一种恶意域名检测方法以及装置
CN118764317A (zh) * 2024-09-03 2024-10-11 北京简网科技有限公司 基于域名检测模型的域名异常检测方法与计算机设备

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11457022B1 (en) * 2017-09-26 2022-09-27 United Services Automobile Association (Usaa) Systems and methods for detecting malware domain names
US10785188B2 (en) 2018-05-22 2020-09-22 Proofpoint, Inc. Domain name processing systems and methods
US11019083B2 (en) * 2018-06-20 2021-05-25 Cisco Technology, Inc. System for coordinating distributed website analysis
US10929878B2 (en) * 2018-10-19 2021-02-23 International Business Machines Corporation Targeted content identification and tracing
US11075849B2 (en) * 2019-02-22 2021-07-27 Nec Corporation Method and system for preventive filtering of network traffic
US11240257B2 (en) * 2019-03-07 2022-02-01 Lookout, Inc. Domain name and URL visual verification for increased security
US11627147B2 (en) * 2019-05-17 2023-04-11 Charter Communications Operating, Llc Botnet detection and mitigation
US11463462B2 (en) * 2019-06-17 2022-10-04 Microsoft Technology Licensing, Llc Bot behavior detection
US11165815B2 (en) 2019-10-28 2021-11-02 Capital One Services, Llc Systems and methods for cyber security alert triage
CN111181937A (zh) * 2019-12-20 2020-05-19 北京丁牛科技有限公司 一种域名检测方法、装置、设备和系统
US11973799B2 (en) 2020-09-04 2024-04-30 Proofpoint, Inc. Domain name processing systems and methods
CN114257565B (zh) * 2020-09-10 2023-09-05 中国移动通信集团广东有限公司 挖掘潜在威胁域名的方法、系统和服务器
CN114499906B (zh) * 2020-11-12 2023-04-25 清华大学 一种dga域名检测方法及系统
TWI796706B (zh) 2021-06-11 2023-03-21 安碁資訊股份有限公司 資料外洩偵測方法與裝置
CN115529147B (zh) * 2021-06-25 2024-09-17 安碁资讯股份有限公司 数据外泄检测方法与装置
NL2031253B1 (en) * 2021-08-19 2023-03-24 Group Ib Tds Ltd Computing device and method of detecting compromised network devices based on dns tunneling detection
US11689546B2 (en) * 2021-09-28 2023-06-27 Cyberark Software Ltd. Improving network security through real-time analysis of character similarities
CN114637577B (zh) * 2022-03-25 2025-08-05 阿里巴巴(中国)有限公司 实例使用状态的识别方法及设备
US11582247B1 (en) * 2022-04-19 2023-02-14 Palo Alto Networks, Inc. Method and system for providing DNS security using process information
US12225029B2 (en) * 2022-05-09 2025-02-11 IronNet Cybersecurity, Inc. Automatic identification of algorithmically generated domain families
CN114885334B (zh) * 2022-07-13 2022-09-27 安徽创瑞信息技术有限公司 一种高并发的短信处理方法
CN116471057B (zh) * 2023-03-29 2024-11-05 华能信息技术有限公司 一种恶意流量解析分析方法
US20240364742A1 (en) * 2023-04-28 2024-10-31 Palo Alto Networks, Inc. Inline detection of dictionary dga domain names with reduced cost and latency
CN118101617B (zh) * 2024-04-17 2024-07-05 中国电子科技集团公司第三十研究所 一种基于域名生成算法的Tor地址发现方法
US20250358300A1 (en) * 2024-05-17 2025-11-20 Palo Alto Networks, Inc. Ml based domain risk scoring and its applications to advanced url filtering

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100037314A1 (en) * 2008-08-11 2010-02-11 Perdisci Roberto Method and system for detecting malicious and/or botnet-related domain names
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US8448245B2 (en) * 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US9736178B1 (en) * 2014-07-07 2017-08-15 Symantec Corporation Systems and methods for detecting suspicious internet addresses
US20170295187A1 (en) * 2016-04-06 2017-10-12 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names

Family Cites Families (195)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7389351B2 (en) 2001-03-15 2008-06-17 Microsoft Corporation System and method for identifying and establishing preferred modalities or channels for communications based on participants' preferences and contexts
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
AU3054102A (en) 2000-11-30 2002-06-11 Lancope Inc Flow-based detection of network intrusions
US7325252B2 (en) 2001-05-18 2008-01-29 Achilles Guard Inc. Network security testing
US20090138342A1 (en) 2001-11-14 2009-05-28 Retaildna, Llc Method and system for providing an employee award using artificial intelligence
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
EP1349081A1 (en) 2002-03-28 2003-10-01 LION Bioscience AG Method and apparatus for querying relational databases
US7496628B2 (en) 2003-02-25 2009-02-24 Susquehanna International Group, Llp Electronic message filter
US20040221171A1 (en) 2003-05-02 2004-11-04 Ahmed Ahmed Awad E. Intrusion detector based on mouse dynamics analysis
US8990928B1 (en) 2003-12-11 2015-03-24 Radix Holdings, Llc URL salience
US7392278B2 (en) 2004-01-23 2008-06-24 Microsoft Corporation Building and using subwebs for focused search
US8856239B1 (en) 2004-02-10 2014-10-07 Sonicwall, Inc. Message classification based on likelihood of spoofing
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US7953814B1 (en) 2005-02-28 2011-05-31 Mcafee, Inc. Stopping and remediating outbound messaging abuse
WO2006032028A2 (en) 2004-09-13 2006-03-23 Reactivity, Inc. Metric-based monitoring and control of a limited resource
US7540025B2 (en) 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060253582A1 (en) 2005-05-03 2006-11-09 Dixon Christopher J Indicating website reputations within search results
WO2006119506A2 (en) 2005-05-05 2006-11-09 Ironport Systems, Inc. Method of validating requests for sender reputation information
US7609625B2 (en) 2005-07-06 2009-10-27 Fortinet, Inc. Systems and methods for detecting and preventing flooding attacks in a network environment
US7730040B2 (en) 2005-07-27 2010-06-01 Microsoft Corporation Feedback-driven malware detector
US7707284B2 (en) 2005-08-03 2010-04-27 Novell, Inc. System and method of searching for classifying user activity performed on a computer system
US8566928B2 (en) 2005-10-27 2013-10-22 Georgia Tech Research Corporation Method and system for detecting and responding to attacking networks
KR20070049514A (ko) 2005-11-08 2007-05-11 한국정보보호진흥원 악성 코드 감시 시스템 및 이를 이용한 감시 방법
BRPI0709368A8 (pt) 2006-03-24 2018-04-24 Avg Tech Cy Limited método para minimizar exploração de vunerabilidades de software e produto de programa de computador
US8650080B2 (en) 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
EP2005698B1 (en) 2006-04-13 2012-01-04 Art of Defence GmbH Method for providing web application security
US7984500B1 (en) 2006-10-05 2011-07-19 Amazon Technologies, Inc. Detecting fraudulent activity by analysis of information requests
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7865953B1 (en) 2007-05-31 2011-01-04 Trend Micro Inc. Methods and arrangement for active malicious web pages discovery
US7854001B1 (en) 2007-06-29 2010-12-14 Trend Micro Incorporated Aggregation-based phishing site detection
US8238669B2 (en) 2007-08-22 2012-08-07 Google Inc. Detection and classification of matches between time-based media
US7958555B1 (en) 2007-09-28 2011-06-07 Trend Micro Incorporated Protecting computer users from online frauds
US9779403B2 (en) 2007-12-07 2017-10-03 Jpmorgan Chase Bank, N.A. Mobile fraud prevention system and method
US20090182818A1 (en) * 2008-01-11 2009-07-16 Fortinet, Inc. A Delaware Corporation Heuristic detection of probable misspelled addresses in electronic communications
US8219549B2 (en) 2008-02-06 2012-07-10 Microsoft Corporation Forum mining for suspicious link spam sites detection
US20110222787A1 (en) 2008-02-28 2011-09-15 Stefan Thiemert Frame sequence comparison in multimedia streams
US8082187B2 (en) 2008-05-07 2011-12-20 AcademixDirect, Inc. Method of generating a referral website URL using website listings in a cookie
US8856937B1 (en) 2008-06-27 2014-10-07 Symantec Corporation Methods and systems for identifying fraudulent websites
US8086480B2 (en) 2008-09-25 2011-12-27 Ebay Inc. Methods and systems for activity-based recommendations
US9177144B2 (en) 2008-10-30 2015-11-03 Mcafee, Inc. Structural recognition of malicious code patterns
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8285830B1 (en) 2009-01-06 2012-10-09 Citizenhawk, Inc. System and method for combating cybersquatting
US8695091B2 (en) 2009-02-11 2014-04-08 Sophos Limited Systems and methods for enforcing policies for proxy website detection using advertising account ID
US8429751B2 (en) 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
US8229219B1 (en) 2009-08-06 2012-07-24 Google Inc. Full-length video fingerprinting
US8600993B1 (en) 2009-08-26 2013-12-03 Google Inc. Determining resource attributes from site address attributes
US8396857B2 (en) 2009-08-31 2013-03-12 Accenture Global Services Limited System to modify websites for organic search optimization
US8266695B1 (en) 2009-10-12 2012-09-11 Google Inc. Gadget container verification
EP2323046A1 (en) 2009-10-16 2011-05-18 Telefónica, S.A. Method for detecting audio and video copy in multimedia streams
US8625033B1 (en) 2010-02-01 2014-01-07 Google Inc. Large-scale matching of audio and video
US9501644B2 (en) 2010-03-15 2016-11-22 F-Secure Oyj Malware protection
US8612463B2 (en) 2010-06-03 2013-12-17 Palo Alto Research Center Incorporated Identifying activities using a hybrid user-activity model
US8260914B1 (en) 2010-06-22 2012-09-04 Narus, Inc. Detecting DNS fast-flux anomalies
CN102959557A (zh) 2010-07-26 2013-03-06 金基容 黑客病毒安全综合管理设备
US8924488B2 (en) 2010-07-27 2014-12-30 At&T Intellectual Property I, L.P. Employing report ratios for intelligent mobile messaging classification and anti-spam defense
BR112013004345B1 (pt) 2010-08-25 2020-12-08 Lookout, Inc. sistema e método para evitar malware acoplado a um servidor
AU2011293160B2 (en) 2010-08-26 2015-04-09 Verisign, Inc. Method and system for automatic detection and analysis of malware
US8837769B2 (en) 2010-10-06 2014-09-16 Futurewei Technologies, Inc. Video signature based on image hashing and shot detection
US9626677B2 (en) 2010-11-29 2017-04-18 Biocatch Ltd. Identification of computerized bots, and identification of automated cyber-attack modules
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
CN102082792A (zh) 2010-12-31 2011-06-01 成都市华为赛门铁克科技有限公司 钓鱼网页检测方法及设备
US8972412B1 (en) 2011-01-31 2015-03-03 Go Daddy Operating Company, LLC Predicting improvement in website search engine rankings based upon website linking relationships
US8631489B2 (en) * 2011-02-01 2014-01-14 Damballa, Inc. Method and system for detecting malicious domain names at an upper DNS hierarchy
US20120209987A1 (en) 2011-02-16 2012-08-16 Rhinelander Edward D Monitoring Use Of Tracking Objects on a Network Property
US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
US8402543B1 (en) 2011-03-25 2013-03-19 Narus, Inc. Machine learning based botnet detection with dynamic adaptation
RU107616U1 (ru) 2011-03-28 2011-08-20 Закрытое акционерное общество "Лаборатория Касперского" Система быстрого анализа потока данных на наличие вредоносных объектов
US9363278B2 (en) 2011-05-11 2016-06-07 At&T Mobility Ii Llc Dynamic and selective response to cyber attack for telecommunications carrier networks
US8151341B1 (en) 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8555388B1 (en) 2011-05-24 2013-10-08 Palo Alto Networks, Inc. Heuristic botnet detection
US9843601B2 (en) 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
CA2840992C (en) 2011-07-08 2017-03-14 Brad WARDMAN Syntactical fingerprinting
WO2013008778A1 (ja) 2011-07-11 2013-01-17 Mizunuma Takeshi 識別名管理方法およびシステム
GB2493514B (en) 2011-08-02 2015-04-08 Qatar Foundation Copy detection
US8677472B1 (en) 2011-09-27 2014-03-18 Emc Corporation Multi-point collection of behavioral data relating to a virtualized browsing session with a secure server
US8645355B2 (en) 2011-10-21 2014-02-04 Google Inc. Mapping Uniform Resource Locators of different indexes
US8584235B2 (en) 2011-11-02 2013-11-12 Bitdefender IPR Management Ltd. Fuzzy whitelisting anti-malware systems and methods
US9519781B2 (en) 2011-11-03 2016-12-13 Cyphort Inc. Systems and methods for virtualization and emulation assisted malware detection
US10616272B2 (en) 2011-11-09 2020-04-07 Proofpoint, Inc. Dynamically detecting abnormalities in otherwise legitimate emails containing uniform resource locators (URLs)
RU2487406C1 (ru) 2011-11-24 2013-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети
US8660296B1 (en) 2012-01-10 2014-02-25 Google Inc. Systems and methods for facilitating video fingerprinting using local descriptors
US9473437B1 (en) 2012-02-13 2016-10-18 ZapFraud, Inc. Tertiary classification of communications
US9111090B2 (en) 2012-04-02 2015-08-18 Trusteer, Ltd. Detection of phishing attempts
RU2523114C2 (ru) 2012-04-06 2014-07-20 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа вредоносной активности в сети интернет, выявления вредоносных узлов сети и ближайших узлов-посредников
US10304036B2 (en) 2012-05-07 2019-05-28 Nasdaq, Inc. Social media profiling for one or more authors using one or more social media platforms
RU2488880C1 (ru) 2012-05-11 2013-07-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ адаптивной оптимизации проверки потока данных, передающихся по сети, на наличие угроз
US9154517B2 (en) 2012-06-19 2015-10-06 AO Kaspersky Lab System and method for preventing spread of malware in peer-to-peer network
US9282117B2 (en) 2012-07-24 2016-03-08 Webroot Inc. System and method to provide automatic classification of phishing sites
CN103685174B (zh) 2012-09-07 2016-12-21 中国科学院计算机网络信息中心 一种不依赖样本的钓鱼网站检测方法
US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
US9215239B1 (en) 2012-09-28 2015-12-15 Palo Alto Networks, Inc. Malware detection based on traffic analysis
US20140181975A1 (en) 2012-11-06 2014-06-26 William Spernow Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point
US10965775B2 (en) 2012-11-20 2021-03-30 Airbnb, Inc. Discovering signature of electronic social networks
RU2536664C2 (ru) 2012-12-25 2014-12-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ автоматической модификации антивирусной базы данных
RU2530210C2 (ru) 2012-12-25 2014-10-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления вредоносных программ, препятствующих штатному взаимодействию пользователя с интерфейсом операционной системы
RU2522019C1 (ru) 2012-12-25 2014-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ обнаружения угроз в коде, исполняемом виртуальной машиной
RU129279U1 (ru) 2013-01-09 2013-06-20 ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "МФИ Софт" Устройство обнаружения и защиты от аномальной активности на сети передачи данных
US9749336B1 (en) * 2013-02-26 2017-08-29 Palo Alto Networks, Inc. Malware domain detection using passive DNS
US20160127402A1 (en) 2014-11-04 2016-05-05 Patternex, Inc. Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system
US10425429B2 (en) 2013-04-10 2019-09-24 Gabriel Bassett System and method for cyber security analysis and human behavior prediction
GB201306628D0 (en) 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
US20160055490A1 (en) 2013-04-11 2016-02-25 Brandshield Ltd. Device, system, and method of protecting brand names and domain names
WO2014184711A2 (en) 2013-05-13 2014-11-20 Yandex Europe Ag Method of and system for providing a client device with an automatic update of an ip address associated with a domain name
US9357469B2 (en) 2013-05-29 2016-05-31 Rivada Networks, Llc Methods and system for dynamic spectrum arbitrage with mobility management
US9443075B2 (en) 2013-06-27 2016-09-13 The Mitre Corporation Interception and policy application for malicious communications
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
CN103368958A (zh) 2013-07-05 2013-10-23 腾讯科技(深圳)有限公司 一种网页检测方法、装置和系统
RU2538292C1 (ru) 2013-07-24 2015-01-10 Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" Способ обнаружения компьютерных атак на сетевую компьютерную систему
KR102120823B1 (ko) 2013-08-14 2020-06-09 삼성전자주식회사 비휘발성 메모리 장치의 독출 시퀀스 제어 방법 및 이를 수행하는 메모리 시스템
US9330258B1 (en) 2013-09-30 2016-05-03 Symantec Corporation Systems and methods for identifying uniform resource locators that link to potentially malicious resources
CN103491205B (zh) 2013-09-30 2016-08-17 北京奇虎科技有限公司 一种基于视频搜索的关联资源地址的推送方法和装置
US10452712B2 (en) 2013-10-21 2019-10-22 Microsoft Technology Licensing, Llc Mobile video search
GB2520987B (en) 2013-12-06 2016-06-01 Cyberlytic Ltd Using fuzzy logic to assign a risk level profile to a potential cyber threat
IN2013CH05744A (ru) 2013-12-12 2015-06-19 Infosys Ltd
US20150363791A1 (en) 2014-01-10 2015-12-17 Hybrid Application Security Ltd. Business action based fraud detection system and method
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9060018B1 (en) 2014-02-05 2015-06-16 Pivotal Software, Inc. Finding command and control center computers by communication link tracking
KR101514984B1 (ko) 2014-03-03 2015-04-24 (주)엠씨알시스템 홈페이지 악성코드 유포 탐지 시스템 및 방법
US9338181B1 (en) 2014-03-05 2016-05-10 Netflix, Inc. Network security system with remediation based on value of attacked assets
RU2543564C1 (ru) 2014-03-20 2015-03-10 Закрытое акционерное общество "Научно-производственное предприятие "Информационные технологии в бизнесе" Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам
US9853997B2 (en) 2014-04-14 2017-12-26 Drexel University Multi-channel change-point malware detection
US9800592B2 (en) 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US20160036837A1 (en) 2014-08-04 2016-02-04 Microsoft Corporation Detecting attacks on data centers
US9942250B2 (en) 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
KR101587161B1 (ko) 2014-09-03 2016-01-20 한국전자통신연구원 실시간 네트워크 안티바이러스 수행 장치 및 방법
US9026841B1 (en) 2014-09-09 2015-05-05 Belkin International, Inc. Coordinated and device-distributed detection of abnormal network device operation
RU2589310C2 (ru) 2014-09-30 2016-07-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ расчета интервала повторного определения категорий сетевого ресурса
US20160110819A1 (en) 2014-10-21 2016-04-21 Marc Lauren Abramowitz Dynamic security rating for cyber insurance products
US10338191B2 (en) 2014-10-30 2019-07-02 Bastille Networks, Inc. Sensor mesh and signal transmission architectures for electromagnetic signature analysis
WO2016081346A1 (en) 2014-11-21 2016-05-26 Northrup Grumman Systems Corporation System and method for network data characterization
US10574675B2 (en) 2014-12-05 2020-02-25 T-Mobile Usa, Inc. Similarity search for discovering multiple vector attacks
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US10230526B2 (en) 2014-12-31 2019-03-12 William Manning Out-of-band validation of domain name system records
CN104504307B (zh) 2015-01-08 2017-09-29 北京大学 基于拷贝单元的音视频拷贝检测方法和装置
US9712549B2 (en) 2015-01-08 2017-07-18 Imam Abdulrahman Bin Faisal University System, apparatus, and method for detecting home anomalies
KR20160095856A (ko) 2015-02-04 2016-08-12 한국전자통신연구원 새로운 공격 유형의 자동 탐지 및 공격 유형 모델 갱신을 통한 지능형 침입 탐지 시스템 및 방법
US9584541B1 (en) 2015-02-12 2017-02-28 Lookingglass Cyber Solutions, Inc. Cyber threat identification and analytics apparatuses, methods and systems
US11328307B2 (en) 2015-02-24 2022-05-10 OpSec Online, Ltd. Brand abuse monitoring system with infringement detection engine and graphical user interface
EP3065076A1 (en) 2015-03-04 2016-09-07 Secure-Nok AS System and method for responding to a cyber-attack-related incident against an industrial control system
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US9769201B2 (en) 2015-03-06 2017-09-19 Radware, Ltd. System and method thereof for multi-tiered mitigation of cyber-attacks
US9712553B2 (en) 2015-03-27 2017-07-18 The Boeing Company System and method for developing a cyber-attack scenario
US9794229B2 (en) 2015-04-03 2017-10-17 Infoblox Inc. Behavior analysis based DNS tunneling detection and classification framework for network security
US9979748B2 (en) * 2015-05-27 2018-05-22 Cisco Technology, Inc. Domain classification and routing using lexical and semantic processing
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
RU164629U1 (ru) 2015-06-30 2016-09-10 Акционерное общество "Институт точной механики и вычислительной техники имени С.А. Лебедева Российской академии наук" Электронный модуль защиты от сетевых атак на базе сетевого процессора np-5
EP3125147B1 (en) 2015-07-27 2020-06-03 Swisscom AG System and method for identifying a phishing website
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
CN106506435B (zh) 2015-09-08 2019-08-06 中国电信股份有限公司 用于检测网络攻击的方法和防火墙系统
WO2017049045A1 (en) 2015-09-16 2017-03-23 RiskIQ, Inc. Using hash signatures of dom objects to identify website similarity
KR101703446B1 (ko) 2015-10-15 2017-02-06 숭실대학교산학협력단 DoS 공격의 탐지가 가능한 네트워크 및 이의 제어 방법과, 상기 네트워크에 포함되는 게이트웨이 및 관리 서버
CN105429956B (zh) 2015-11-02 2018-09-25 重庆大学 基于p2p动态云的恶意软件检测系统及方法
US10200382B2 (en) 2015-11-05 2019-02-05 Radware, Ltd. System and method for detecting abnormal traffic behavior using infinite decaying clusters
US9894036B2 (en) 2015-11-17 2018-02-13 Cyber Adapt, Inc. Cyber threat attenuation using multi-source threat data analysis
CN106709777A (zh) 2015-11-18 2017-05-24 阿里巴巴集团控股有限公司 一种订单聚类方法及装置,以及反恶意信息的方法及装置
US10594710B2 (en) 2015-11-20 2020-03-17 Webroot Inc. Statistical analysis of network behavior using event vectors to identify behavioral anomalies using a composite score
RU2613535C1 (ru) 2015-11-20 2017-03-16 Илья Самуилович Рабинович Способ обнаружения вредоносных программ и элементов
WO2017103974A1 (ja) 2015-12-14 2017-06-22 三菱電機株式会社 情報処理装置、情報処理方法及び情報処理プログラム
US9723344B1 (en) 2015-12-29 2017-08-01 Google Inc. Early detection of policy violating media
US11069370B2 (en) 2016-01-11 2021-07-20 University Of Tennessee Research Foundation Tampering detection and location identification of digital audio recordings
RU2628192C2 (ru) 2016-01-27 2017-08-15 Акционерное общество "Творческо-производственное объединение "Центральная киностудия детских и юношеских фильмов им. М. Горького" Устройство для семантической классификации и поиска в архивах оцифрованных киноматериалов
US9900338B2 (en) 2016-02-09 2018-02-20 International Business Machines Corporation Forecasting and classifying cyber-attacks using neural embeddings based on pattern of life data
WO2017147696A1 (en) 2016-02-29 2017-09-08 Troy Jacob Ronda Systems and methods for distributed identity verification
US10063572B2 (en) 2016-03-28 2018-08-28 Accenture Global Solutions Limited Antivirus signature distribution with distributed ledger
US10313382B2 (en) 2016-03-29 2019-06-04 The Mitre Corporation System and method for visualizing and analyzing cyber-attacks using a graph model
US10212145B2 (en) 2016-04-06 2019-02-19 Avaya Inc. Methods and systems for creating and exchanging a device specific blockchain for device authentication
CN105897714B (zh) 2016-04-11 2018-11-09 天津大学 基于dns流量特征的僵尸网络检测方法
RU2625050C1 (ru) 2016-04-25 2017-07-11 Акционерное общество "Лаборатория Касперского" Система и способ признания транзакций доверенными
US11223598B2 (en) 2016-05-03 2022-01-11 Nokia Of America Corporation Internet security
US20180007070A1 (en) * 2016-07-01 2018-01-04 Mcafee, Inc. String similarity score
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2636702C1 (ru) 2016-07-07 2017-11-27 Общество С Ограниченной Ответственностью "Яндекс" Способ и устройство для выбора сетевого ресурса в качестве источника содержимого для системы рекомендаций
US20180012144A1 (en) 2016-07-11 2018-01-11 Qualcomm Innovation Center, Inc. Incremental and speculative analysis of javascripts based on a multi-instance model for web security
CN106131016B (zh) 2016-07-13 2019-05-03 北京知道创宇信息技术有限公司 恶意url检测干预方法、系统及装置
US10212133B2 (en) 2016-07-29 2019-02-19 ShieldX Networks, Inc. Accelerated pattern matching using pattern functions
WO2018025157A1 (en) 2016-07-31 2018-02-08 Cymmetria, Inc. Deploying deception campaigns using communication breadcrumbs
US10498761B2 (en) 2016-08-23 2019-12-03 Duo Security, Inc. Method for identifying phishing websites and hindering associated activity
US9847973B1 (en) 2016-09-26 2017-12-19 Agari Data, Inc. Mitigating communication risk by detecting similarity to a trusted message contact
US10313352B2 (en) 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
WO2018095192A1 (zh) 2016-11-23 2018-05-31 腾讯科技(深圳)有限公司 网站攻击的检测和防护方法及系统
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
CN106713312A (zh) 2016-12-21 2017-05-24 深圳市深信服电子科技有限公司 检测非法域名的方法及装置
US20190014149A1 (en) 2017-07-06 2019-01-10 Pixm Phishing Detection Method And System
CN107392456A (zh) 2017-07-14 2017-11-24 武汉理工大学 一种融合互联网信息的多角度企业信用评估建模方法
RU2670906C9 (ru) 2017-12-28 2018-12-12 Общество С Ограниченной Ответственностью "Центр Разработки И Внедрения Инновационных Технологий" Самонастраивающаяся интерактивная система, способ обмена сообщениями и/или звонками между пользователями различных веб-сайтов с использованием технологии клиент-сервер и считываемый компьютером носитель
RU2668710C1 (ru) 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов
US10749900B2 (en) 2018-09-28 2020-08-18 The Mitre Corporation Deploying session initiation protocol application network security

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100037314A1 (en) * 2008-08-11 2010-02-11 Perdisci Roberto Method and system for detecting malicious and/or botnet-related domain names
US8448245B2 (en) * 2009-01-17 2013-05-21 Stopthehacker.com, Jaal LLC Automated identification of phishing, phony and malicious web sites
RU2446459C1 (ru) * 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
RU2495486C1 (ru) * 2012-08-10 2013-10-10 Закрытое акционерное общество "Лаборатория Касперского" Способ анализа и выявления вредоносных промежуточных узлов в сети
US9736178B1 (en) * 2014-07-07 2017-08-15 Symantec Corporation Systems and methods for detecting suspicious internet addresses
RU2622870C2 (ru) * 2015-11-17 2017-06-20 Общество с ограниченной ответственностью "САЙТСЕКЬЮР" Система и способ оценки опасности веб-сайтов
US20170295187A1 (en) * 2016-04-06 2017-10-12 Cisco Technology, Inc. Detection of malicious domains using recurring patterns in domain names

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11503044B2 (en) 2018-01-17 2022-11-15 Group IB TDS, Ltd Method computing device for detecting malicious domain names in network traffic
US11431749B2 (en) 2018-12-28 2022-08-30 Trust Ltd. Method and computing device for generating indication of malicious web resources
RU2777348C1 (ru) * 2021-08-19 2022-08-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ выявления скомпрометированных устройств на основе обнаружения DNS-туннелирования
NL2031256B1 (en) 2022-02-14 2023-08-18 Group Ib Global Private Ltd Method and computing device for detection of target malicious web resource
US12284199B2 (en) 2022-02-14 2025-04-22 Group-Ib Global Private Limited Method and computing device for detection of malicious web resource
CN116760645A (zh) * 2023-08-22 2023-09-15 北京长亭科技有限公司 一种恶意域名检测方法以及装置
CN116760645B (zh) * 2023-08-22 2023-11-14 北京长亭科技有限公司 一种恶意域名检测方法以及装置
CN118764317A (zh) * 2024-09-03 2024-10-11 北京简网科技有限公司 基于域名检测模型的域名异常检测方法与计算机设备

Also Published As

Publication number Publication date
US11503044B2 (en) 2022-11-15
SG10201900339QA (en) 2019-08-27
US20190222589A1 (en) 2019-07-18

Similar Documents

Publication Publication Date Title
RU2668710C1 (ru) Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2680736C1 (ru) Сервер и способ для определения вредоносных файлов в сетевом трафике
US12432225B2 (en) Inline malware detection
US8893278B1 (en) Detecting malware communication on an infected computing device
US11636208B2 (en) Generating models for performing inline malware detection
KR101689298B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8850570B1 (en) Filter-based identification of malicious websites
US20130227691A1 (en) Detecting Malicious Network Content
TR202022866A1 (tr) Bi̇r mai̇l koruma si̇stemi̇
US11838319B2 (en) Hardware acceleration device for denial-of-service attack identification and mitigation
US10757135B2 (en) Bot characteristic detection method and apparatus
JP2019021294A (ja) DDoS攻撃判定システムおよび方法
US20240396908A1 (en) Deep learning pipeline to detect malicious command and control traffic
US7383579B1 (en) Systems and methods for determining anti-virus protection status
US12430437B2 (en) Specific file detection baked into machine learning pipelines
CN103856524A (zh) 基于用户代理的白名单识别合法内容的方法和系统
JP7662267B2 (ja) インラインマルウェア検出
US20240430287A1 (en) System and method for locating dga compromised ip addresses
CN112738107B (zh) 一种网络安全的评价方法、装置、设备及存储介质
US8266704B1 (en) Method and apparatus for securing sensitive data from misappropriation by malicious software
US20230056625A1 (en) Computing device and method of detecting compromised network devices
US20250390576A1 (en) Specific file detection baked into machine learning pipelines
Hatada et al. Finding new varieties of malware with the classification of network behavior
Tashev ANALYSIS OF WEAKNESSES IN NETWORK PROTOCOLS AND SYSTEMS
JP2025175989A (ja) エクスポージャ管理方法及びエクスポージャ管理システム