RU2601147C2

Movatterモバイル変換

Info

Publication number: RU2601147C2
Application number: RU2014133004/08A
Authority: RU
Inventors: Виктор Владимирович Яблоков
Original assignee: Закрытое акционерное общество "Лаборатория Касперского"
Priority date: 2014-08-12
Filing date: 2014-08-12
Publication date: 2016-10-27
Also published as: RU2014133004A

Abstract

FIELD: information technology.

SUBSTANCE: invention relates to means of computer security. Method of detecting targeted attacks, which get their information about the resource from the source; detect suspicious attribute in the obtained information for the given resource; collect additional information about the resource, in respect of which a suspicious sign was detected by accessing this resource with computer systems with various characteristics; associate the characteristics of computer systems and the information obtained about the resource for which a suspicious attribute was detected; determine characteristic of computer systems, bringing together a group of computer systems, when accessing each of them to the resource, on which was detected suspicious sign, was repeatedly detected suspicious attitude in respect of the resource; detect a target attack with respect to said group of computer systems, combined characteristic, determined previously.

EFFECT: technical result is in improved security of computer systems.

14 cl, 5 dwg

Description

Translated fromRussian

Область техникиTechnical field

Настоящее изобретение относится к системам и способам выявления целевых атак на компьютерные системы и более конкретно к выявлению компьютерных систем, подвергающихся атаке типа «человек посередине».The present invention relates to systems and methods for detecting targeted attacks on computer systems, and more particularly, to identifying computer systems subject to a man-in-the-middle attack.

Уровень техникиState of the art

В настоящее время все большее количество взаимодействий осуществляется через Интернет. Сейчас для большинства людей не составляет проблемы отправить или получить электронное письмо, воспользоваться услугами веб-ресурса (далее ресурс) или совершить покупку в интернет-магазине. В связи с попаданием все большего количества конфиденциальных пользовательских данных в сеть Интернет все большую остроту набирает проблема их кражи. В большинстве случаев для кражи пользовательских данных злоумышленник пытается установить вредоносное программное обеспечение на компьютерные системы пользователей (далее просто системы пользователей). Однако когда это не возможно по каким-либо причинам, пользователь может быть подвергнут атаке в процессе взаимодействия системы пользователя с ресурсом. Популярным в этом случае методом может быть атака типа «человек посередине» (англ. man in the middle) - метод компрометации канала связи, при котором злоумышленник, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, читая, удаляя или искажая информацию. Такие атаки могут быть очень эффективными и довольно трудно обнаруживаемыми. Целью таких атак может быть как конкретная система пользователя, так и группа систем пользователей.Currently, an increasing number of interactions are carried out via the Internet. Now for most people it is not a problem to send or receive an email, use the services of a web resource (hereinafter referred to as a resource) or make a purchase in an online store. In connection with getting more and more confidential user data on the Internet, the problem of their theft is becoming increasingly acute. In most cases, to steal user data, an attacker tries to install malicious software on user computer systems (hereinafter simply user systems). However, when this is not possible for any reason, the user may be attacked during the interaction of the user's system with the resource. A popular method in this case can be a man-in-the-middle attack — a method of compromising a communication channel in which an attacker, connecting to the channel between counterparties, intervenes in the transmission protocol by reading, deleting or distorting information. Such attacks can be very effective and quite difficult to detect. The purpose of such attacks can be either a specific user system or a group of user systems.

Существует несколько эффективных средств защиты от атак типа «человек посередине», но почти все они используются либо в самом маршрутизаторе, к которому подключается атакуемый пользователь, либо на серверах, к которым обращается потенциальная жертва. При этом пользователь не знает, находится ли он на настоящем сервере, либо это подделка, подставленная злоумышленником. Одним из способов защиты от такой атаки является использование криптостойкого шифрования между клиентом и сервером. В таком случае сервер может идентифицировать себя посредством предоставления цифрового сертификата, после чего между пользователем и сервером устанавливается шифрованный канал для обмена конфиденциальными данными. Но в этом случае возникает зависимость от самого сервера и выбранного им метода шифрования. Другим вариантом защиты от некоторых видов подобных атак может быть полный отказ от использования открытых Wi-Fi-сетей для работы с личными данными.There are several effective means of protection against “man-in-the-middle” attacks, but almost all of them are used either in the router itself, to which the attacked user is connected, or on the servers that the potential victim accesses. At the same time, the user does not know whether he is on a real server, or is this a fake fraudulent by an attacker. One way to protect against such an attack is to use cryptographic encryption between the client and server. In this case, the server can identify itself by providing a digital certificate, after which an encrypted channel is established between the user and the server for the exchange of confidential data. But in this case, there is a dependence on the server itself and the encryption method chosen by it. Another option to protect against some types of such attacks may be a complete rejection of the use of open Wi-Fi networks for working with personal data.

Таким образом, существует необходимость создания эффективных технологий выявления целевых атак типа «человек посередине», позволяющих предотвращать хищение пользовательских данных без наложения ограничений на работу пользователя в сети Интернет.Thus, there is a need to create effective technologies for detecting targeted attacks of the “man in the middle” type, which can prevent the theft of user data without imposing restrictions on the user’s work on the Internet.

Раскрытие изобретенияDisclosure of invention

Настоящее изобретение предназначено для выявления способа и точки атаки, а также подвергшихся атаке компьютерных систем.The present invention is intended to identify a method and point of attack, as well as attacked computer systems.

Технический результат настоящего изобретения заключается в повышении безопасности компьютерных систем путем обнаружения целевых атак на компьютерные системы за счет выделения характеристик группы компьютерных систем, обладая которыми компьютерная система получает измененную информацию от ресурса.The technical result of the present invention is to increase the security of computer systems by detecting targeted attacks on computer systems by highlighting the characteristics of a group of computer systems, possessing which a computer system receives altered information from a resource.

В одном из вариантов осуществления данного изобретения реализуется способ выявления целевых атак, по которому: (а) получают информацию, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника; (б) обнаруживают, по меньшей мере, один подозрительный признак в полученной информации, по меньшей мере, для одного ресурса; (в) собирают дополнительную информацию о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, от систем с различными характеристиками; (г) определяют, по меньшей мере, одну характеристику систем, объединяющую группу систем, в отношении которых был повторно обнаружен подозрительный признак; (д) выявляют целевую атаку в отношении упомянутой группы систем, объединенных, по меньшей мере, одной характеристикой определенной в п. г).In one of the embodiments of the present invention, a method for detecting targeted attacks is implemented, according to which: (a) information is obtained on at least one resource from at least one source; (b) detect at least one suspicious sign in the received information for at least one resource; (c) collect additional information about the resource in respect of which at least one suspicious sign has been detected from systems with different characteristics; (d) determine at least one characteristic of the systems, combining a group of systems in relation to which a suspicious sign was re-detected; (e) identify the target attack in relation to the mentioned group of systems, united by at least one characteristic defined in paragraph d).

В другом варианте осуществления информация о ресурсе поступает, по меньшей мере, из одного из следующих источников: от компьютерных систем пользователей; от доверенных сервисов разрешения доменных имен; от провайдеров Интернета или от поисковых систем.In another embodiment, the resource information comes from at least one of the following sources: from user computer systems; from trusted domain name resolution services; from Internet providers or from search engines.

В другом варианте осуществления получаемая информация может содержать, по меньшей мере, часть из следующих данных: параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене; конечный URL-адрес; файл или сертификат открытого ключа.In another embodiment, the information obtained may comprise at least a portion of the following data: resolving response parameters from the domain name resolution services containing information about the requested domain; The final URL file or public key certificate.

Еще в одном варианте осуществления параметры разрешающих ответов от DNS-серверов включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.In yet another embodiment, the resolving response parameters from the DNS servers include at least the resource IP address, TTL, and other standard parameters transmitted in messages from the domain name resolution services.

В другом варианте осуществления обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.In another embodiment, the detection of suspicious signs is carried out using predefined rules.

В другом варианте осуществления сбор дополнительной информации осуществляется путем формирования и отправки дополнительных запросов от компьютерных систем с различными характеристиками к ресурсу, в отношении которого были выявлены подозрительные признаки.In another embodiment, the collection of additional information is carried out by generating and sending additional requests from computer systems with various characteristics to a resource in relation to which suspicious signs have been identified.

Еще в одном варианте осуществления различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики: операционная система; метод связи; провайдер или сотовый оператор; клиентское приложение, с которого осуществляется доступ к ресурсу или регион, из которого осуществляется доступ к ресурсу.In yet another embodiment, the various characteristics of computer systems requesting information regarding the resource under investigation may be at least the following characteristics: operating system; communication method; provider or mobile operator; a client application from which access to a resource is made or a region from which access to a resource is made.

Согласно другому варианту осуществления выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».According to another embodiment, the detection of a targeted attack can occur by analyzing accumulated statistics reflecting information about the likelihood of a man-in-the-middle attack.

В одном из вариантов осуществления данного изобретения реализуется система выявления целевых атак, которая содержит: (а) средство сбора информации о ресурсах, предназначенное для получения информации, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника, связанное со средством обнаружения аномалий, а также со средством определения целевых атак; (б) средство обнаружения аномалий, предназначенное для анализа информации, относящейся к ресурсу, для выявления подозрительных признаков в полученной информации, которое связано со средством сбора информации о ресурсах, а также связано со средством проверки ресурсов; (в) средство проверки ресурсов, предназначенное для сбора дополнительной информации о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак в полученной информации, от систем с различными характеристиками, которое связано со средством обнаружения аномалий, а также связано со средством определения целевых атак; и (г) средство определения целевых атак, предназначенное для принятия решения о наличии целевой атаки в отношении группы систем, которое связано со средством проверки ресурсов, а также со средством сбора информации о ресурсах.In one embodiment of the invention, a targeted attack detection system is implemented that comprises: (a) a resource information collection means for obtaining information about at least one resource from at least one source associated with the detection means anomalies, as well as with a means of determining targeted attacks; (b) anomaly detection tool designed to analyze information related to the resource, to identify suspicious signs in the received information, which is associated with a means of collecting information about resources, and is also associated with a means of checking resources; (c) a resource checker designed to collect additional information about a resource in respect of which at least one suspicious sign in the received information was detected from systems with different characteristics, which is associated with an anomaly detection tool and is also associated with a tool definition of targeted attacks; and (d) means of determining targeted attacks, designed to make a decision about the presence of a targeted attack in relation to a group of systems, which is associated with a means of verifying resources, as well as with a means of collecting information about resources.

В другом варианте осуществления информация о ресурсе поступает, по меньшей мере, от одного из следующих источников: от компьютерных систем пользователей; от доверенных сервисов разрешения доменных имен; от провайдеров Интернета или от поисковых систем.In another embodiment, the resource information comes from at least one of the following sources: from computer systems of users; from trusted domain name resolution services; from Internet providers or from search engines.

Еще в одном варианте осуществления параметры разрешающих ответов от сервисов разрешения доменных имен включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.In yet another embodiment, the resolving response parameters from the domain name resolution services include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolving services.

Еще в одном варианте осуществления различными характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики: операционная система; метод связи; провайдер или сотовый оператор; клиентское приложение, с которого осуществляется доступ к ресурсу; регион, из которого осуществляется доступ, к ресурсу.In yet another embodiment, the various characteristics of computer systems requesting information regarding the resource under investigation may be at least the following characteristics: operating system; communication method; provider or mobile operator; the client application from which the resource is accessed; the region from which the access is made to the resource.

Краткое описание чертежейBrief Description of the Drawings

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:Additional objectives, features and advantages of the present invention will be apparent from reading the following description of an embodiment of the invention with reference to the accompanying drawings, in which:

Фиг. 1А показывает типовую схему взаимодействия пользователя с ресурсом.FIG. 1A shows a typical user interaction with a resource.

Фиг. 1Б иллюстрирует часть таблицы разрешения доменных имен.FIG. 1B illustrates part of a domain name resolution table.

Фиг. 2 показывает детальную схему системы выявления целевых атак.FIG. 2 shows a detailed diagram of a targeted attack detection system.

Фиг. 3 показывает блок-схему способа выявления целевых атак.FIG. 3 shows a flowchart of a method for detecting targeted attacks.

Фиг. 4 показывает пример компьютерной системы общего назначения.FIG. 4 shows an example of a general purpose computer system.

Описание вариантов осуществления изобретенияDescription of Embodiments

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.The objects and features of the present invention, methods for achieving these objects and features will become apparent by reference to exemplary embodiments. However, the present invention is not limited to the exemplary embodiments disclosed below, it can be embodied in various forms. The essence described in the description is nothing more than the specific details necessary to assist the specialist in the field of technology in a comprehensive understanding of the invention, and the present invention is defined in the scope of the attached claims.

Описанная технология может применяться для проверки данных на предмет их модификации и выявления целевых атак. Например устройство, работающее под управлением операционной системы X, с приложением Υ (например, браузер для доступа к ресурсам), сим-картой Ζ, находящееся в регионе C при обращении к ресурсу R, используя метод связи Μ (wi-fi/3g), получает от ресурса некий ответ (конечный URL-адрес, IP-адрес, файл или сертификат открытого ключа). При этом где-то между устройством и ресурсом R содержимое ответа изменяется злоумышленником. Подобное изменение может происходить в зависимости от региона C, оператора Z, метода связи М, приложения Y. Для выявления способа и точки атаки, а также области ее влияния (подпадающих под атаку устройства) система выявления целевых атак осуществляет доступ к этому ресурсу с различными параметрами Χ, Υ, Ζ, M, C и т.п. Список параметров может быть гораздо шире. Примерный список варьируемых параметров приведен лишь для наглядной демонстрации. Система выявления целевых атак осуществляет доступ к ресурсу с разных устройств, операционных систем, регионов, операторов и подсетей. Экспертная система может не сама осуществлять этот доступ, а собирать информацию от различных устройств, подключенных к ней. Собранная информация анализируется, и выносится вероятностный вердикт о наличии атаки, ее месте и объеме (возможное число подпадающих под атаку систем пользователей). Частным случаем наличия атаки является несовпадение сертификатов, получаемых двумя одинаковыми (в смысле параметров X,…) устройствами, находящимися в разных точках мира.The described technology can be used to verify data for their modification and identify targeted attacks. For example, a device running the operating system X with the application Υ (for example, a browser for accessing resources), a SIM card Ζ located in region C when accessing the resource R using the communication method Μ (wi-fi / 3g), receives a response from the resource (final URL, IP address, file or public key certificate). In this case, somewhere between the device and the resource R, the content of the response is changed by the attacker. Such a change may occur depending on region C, operator Z, communication method M, application Y. To identify the method and point of attack, as well as the area of its influence (falling under the device’s attack), the target attack detection system accesses this resource with various parameters Χ, Υ, Ζ, M, C, etc. The list of options can be much wider. A sample list of variable parameters is provided for illustrative purposes only. The system for identifying targeted attacks provides access to the resource from various devices, operating systems, regions, operators and subnets. An expert system may not carry out this access itself, but may collect information from various devices connected to it. The information collected is analyzed, and a probabilistic verdict is issued on the presence of an attack, its location and volume (the possible number of user systems that come under attack). A special case of an attack is a mismatch of certificates received by two identical (in the sense of X, ...) devices located in different parts of the world.

Фиг. 1А представляет собой типовую схему взаимодействия пользователя с ресурсом. На первом этапе пользователь вводит URL-адрес в адресной строке веб-браузера 100. В связи с тем, что маршрутизация в современных сетях осуществляется с использованием IP протокола, веб-браузеру 100 предварительно необходимо определить IP-адрес для требуемого ресурса. Для осуществления подобных действий существует сервис разрешения доменных имен (от англ. Domain Name System или сокращенно DNS): обычно используется DNS-сервер 101 с таблицей соответствия доменного имени и IP-адреса. Частично таблица разрешения имен может располагаться как локально на компьютере пользователя, например, она может содержать соответствие URL- и IP-адресов для наиболее часто посещаемых веб-сайтов (например, файл hosts или DNS-кэш в браузерах). В случае отсутствия записи локально запрос разрешения доменного имени может быть отправлен DNS-серверу 101, находящемуся удаленно, например в глобальной или локальной сети. Далее, после получения IP-адреса для требуемого сайта, веб-браузер 100 может отправить запрос установки соединения. Для целей данного описания URL-адрес и доменное имя будем считать синонимами.FIG. 1A is a typical diagram of a user interacting with a resource. At the first stage, the user enters the URL in the address bar of theweb browser 100. Due to the fact that routing in modern networks is carried out using the IP protocol, theweb browser 100 must first determine the IP address for the desired resource. To carry out such actions, there is a domain name resolution service (from the English Domain Name System or abbreviated DNS): usually, aDNS server 101 with a table of correspondence of the domain name and IP address is used. Partially, the name resolution table can be located locally on the user's computer, for example, it can contain the correspondence of URLs and IP addresses for the most frequently visited websites (for example, the hosts file or DNS cache in browsers). In the absence of a record locally, a domain name resolution request can be sent to aDNS server 101 located remotely, for example, on a global or local network. Further, after obtaining the IP address for the desired site, theweb browser 100 may send a connection setup request. For the purposes of this description, the URL and domain name will be considered synonymous.

Во многих случаях сторонам взаимодействия (ресурсу и пользователю) в дальнейшем требуется осуществить процедуру аутентификации. В современных системах для аутентификации ресурсов используются сертификаты открытого ключа, которые, с одной стороны, позволяют подтвердить подлинность владельца сертификата, а с другой - помогают в организации защищенной передачи данных по открытым каналам связи.In many cases, the parties to the interaction (resource and user) are subsequently required to implement an authentication procedure. In modern systems, for authentication of resources, public key certificates are used, which, on the one hand, allow you to confirm the authenticity of the certificate holder, and on the other hand, help in organizing secure data transmission over open communication channels.

При получении запроса установления соединения ресурс 103 отправляет обратно свой сертификат открытого ключа, в котором содержится информация о владельце данного сертификата, например, контактные данные, название компании, URL-адрес.Upon receipt of a connection establishment request, theresource 103 sends back its public key certificate, which contains information about the owner of this certificate, for example, contact details, company name, URL.

После аутентификации или в случае, если она не требуется, начинается обмен данными между веб-браузером 100 и ресурсом 103. В процессе данного обмена пользователь может отсылать запросы, получая в ответ различного рода данные.After authentication, or if it is not required, data exchange begins between theweb browser 100 and theresource 103. During this exchange, the user can send requests, receiving various kinds of data in response.

В связи с тем, что описанный выше типовой процесс взаимодействия между пользователем (посредством веб-браузера 100) и ресурсом затрагивает несколько посредников (например, DNS-серверы, маршрутизаторы и др.), есть основания полагать, что злоумышленник может скомпрометировать канал связи с любым из существующих посредников. Таким образом, в современных системах нельзя быть уверенным в том, что устанавливается соединение именно с запрашиваемым пользователем ресурсом. Причиной этому могут послужить, по меньшей мере, следующие факторы:Due to the fact that the typical interaction process described above between a user (via a web browser 100) and a resource affects several intermediaries (for example, DNS servers, routers, etc.), there is reason to believe that an attacker could compromise the communication channel with any from existing intermediaries. Thus, in modern systems it is impossible to be sure that a connection is established with the resource requested by the user. The reason for this may be at least the following factors:

- злоумышленник скомпрометировал канал связи 102 между пользователем и DNS-сервером 101, в результате чего при указании URL-адреса требуемого веб-сайта в веб-браузере 100 маршрутизация всего трафика будет осуществляться на IP-адрес злоумышленника. Пример компрометации таблицы разрешения доменных имен схематично изображен на Фиг. 1Б;- the attacker compromised thecommunication channel 102 between the user and theDNS server 101, as a result of which, when the URL of the required website is specified in theweb browser 100, all traffic will be routed to the attacker's IP address. An example of a compromised domain name resolution table is shown schematically in FIG. 1B;

- злоумышленник скомпрометировал канал связи 104 между пользователем и ресурсом 103 путем несанкционированного изменения таблицы маршрутизации на компьютере пользователя или на одном из маршрутизаторов для того, чтобы весь трафик проходил через злоумышленника, путем изменения одного из маршрутов по умолчанию, указав свой IP-адрес в качестве следующего маршрутизатора, а также путем добавления новой записи в таблицу маршрутизации или изменения старой только для определенного веб-сайта. Таким образом, злоумышленник получает возможность читать, а также видоизменять входящие и исходящие пакеты данных.- the attacker compromised thecommunication channel 104 between the user and theresource 103 by unauthorized modification of the routing table on the user's computer or on one of the routers so that all traffic passes through the attacker by changing one of the default routes, specifying your IP address as the following router, as well as by adding a new entry to the routing table or changing the old one only for a specific website. Thus, an attacker gains the ability to read, as well as modify incoming and outgoing data packets.

В связи с тем, что использование существующих механизмов не позволяет определить сущность, с которой на самом деле осуществляется взаимодействие при наличии активных действий со стороны злоумышленника, требуется система и способ для выявления целевых атак, которые описаны ниже в данной заявке.Due to the fact that the use of existing mechanisms does not allow to determine the essence with which the interaction is actually carried out in the presence of active actions on the part of the attacker, a system and method are required to detect targeted attacks, which are described later in this application.

Фиг. 1Б в упрощенном виде иллюстрирует часть таблицы разрешения доменных имен 111. Здесь отмечено соответствие доменного имени и IP-адреса. Например, указаны IP-адреса для домена yandex.ru, vk.com. Также отмечены изменения, сделанные злоумышленником, в частности относительно домена sberbank.ru. Таким образом, в случае использования таблицы разрешения имен 111 весь трафик, предназначенный для веб-сайта www.sberbank.ru, будет перенаправляться на IP-адрес злоумышленника. Стоит отметить, что на данный момент злоумышленники активно используют данную возможность, так как некоторые DNS-серверы применяют технологию кеширования данных от других DNS-серверов, одним из которых может выступать, например, DNS-сервер злоумышленника. DNS-серверы кэшируют получаемые данные, чтобы ускорить обработку последующих запросов. Когда в следующий раз DNS-клиент сделает запрос по доменному имени, о котором серверу уже что-то известно, процесс разрешения пройдет быстрее. Если сервер кэшировал ответ, положительный или отрицательный, ответ просто возвращается клиенту. Однако DNS-серверы не могут кэшировать данные навсегда. Иначе изменения на авторитетных серверах никогда не распространялись бы по сети. Удаленные серверы просто продолжали бы использовать кэшированную информацию. Поэтому администратор зоны, которая содержит данные, обычно определяет для этих данных время жизни (time to live, или TTL). Более подробно о таких типах атак можно ознакомиться в статье автора Tom Olzac «DNS Cache Poisoning: Definition and Prevention)). Также злоумышленники могут несанкционированно внести изменения в локальную таблицу разрешения имен на компьютере пользователя, например в hosts файл. Информация из этого файла обладает приоритетом перед обращением к DNS-серверам. Для целей данного описания примеры компрометации каналов связи, описанные выше, также будем относить к атакам типа «человек посередине».FIG. 1B, in a simplified form, illustrates part of the domain name resolution table 111. Here, the correspondence of the domain name and IP address is noted. For example, IP addresses for yandex.ru, vk.com are indicated. Also noted are changes made by the attacker, in particular regarding the sberbank.ru domain. Thus, in the case of using the name resolution table 111, all traffic destined for the website www.sberbank.ru will be redirected to the IP address of the attacker. It is worth noting that at the moment, attackers are actively using this feature, as some DNS servers use the technology of caching data from other DNS servers, one of which may be, for example, an attacker's DNS server. DNS servers cache the received data to speed up the processing of subsequent requests. The next time the DNS client makes a request for a domain name that the server already knows something about, the resolution process will be faster. If the server cached the response, positive or negative, the response is simply returned to the client. However, DNS servers cannot cache data permanently. Otherwise, changes to reputable servers would never have spread across the network. Remote servers would simply continue to use cached information. Therefore, the administrator of the zone that contains the data usually determines the time to live (TTL) for that data. For more information on these types of attacks, see Tom Olzac's article “DNS Cache Poisoning: Definition and Prevention)). Also, attackers can unauthorizedly make changes to the local name resolution table on the user's computer, for example, to the hosts file. Information from this file takes precedence over accessing DNS servers. For the purposes of this description, the examples of the compromise of communication channels described above will also be referred to as “man in the middle” attacks.

Фиг. 2 схематично изображает систему выявления целевых атак 222 с целью противодействия атакам типа «человек посередине». В частных вариантах осуществления система 222 может быть реализована с использованием одного или нескольких компьютеров общего назначения, примерная схема которого изображена на Фиг. 4. Не ограничивая общности, один или несколько элементов рассматриваемой системы 222 также могут функционировать на любом вычислительном устройстве, включая персональные компьютеры, серверы или мобильные устройства.FIG. 2 schematically depicts a system for detecting targetedattacks 222 in order to counteract man-in-the-middle attacks. In particular embodiments,system 222 may be implemented using one or more general purpose computers, an exemplary diagram of which is shown in FIG. 4. Without loss of generality, one or more elements of thesystem 222 in question can also function on any computing device, including personal computers, servers, or mobile devices.

Приведенная система включает в себя средство сбора информации о ресурсах 201, соединенное со средством обнаружения аномалий 202, а также со средством определения целевых атак 204. Средство сбора информации 201 получает информацию о ресурсах по меньшей мере из следующих источников 200:The above system includes a resource information collection means 201 connected to anomaly detection means 202, as well as target attack detection means 204. The information collection means 201 obtains resource information from at least the following sources 200:

- от компьютерных систем пользователей;- from computer systems of users;

- от доверенных сервисов разрешения доменных имен;- from trusted domain name resolution services;

- от провайдеров Интернета;- from Internet providers;

- от поисковых систем.- from search engines.

Получаемая информация может включать в себя, по меньшей мере, следующие данные:The information obtained may include at least the following data:

- разрешающие ответы от DNS-серверов, содержащие информацию о запрашиваемом домене (включая IP-адрес, TTL и другие стандартные параметры, передаваемые в сообщениях от DNS-серверов);- resolving responses from DNS servers containing information about the requested domain (including IP address, TTL and other standard parameters transmitted in messages from DNS servers);

- конечный URL-адрес;- The final URL

- файл;- file;

- сертификат открытого ключа.- public key certificate.

Средство сбора информации 201 осуществляет накапливание данных получаемых из различных источников, для предоставления средству обнаружения аномалий 202 и средству определения целевых атак 204 возможностей для анализа.The information gathering means 201 accumulates data obtained from various sources to provide the anomaly detection means 202 and the target attack determination means 204 with analysis capabilities.

Средство обнаружения аномалий 202 предназначено для выявления расхождений в получаемых от ресурсов данных или других подозрительных признаков, относящихся к получаемой от или в отношении ресурса информации. Для выявления таких признаков среди получаемой информации, относящейся к ресурсу, могут быть использованы различные подходы, известные из уровня техники, например, могут быть использованы заранее заданные правила определения подозрительных данных следующего вида «Если для существующего URL-адреса в базе данных появляется новый IP-адрес, при этом ранее известный IP-адрес, соответствующий URL-адресу, по-прежнему действует (то есть при обращении к нему можно получить доступ к ресурсу), тогда новый IP-адрес считаем подозрительным». К примеру подозрительными признаками считаются, по меньшей мере, следующие:Anomaly detection tool 202 is designed to detect discrepancies in data received from resources or other suspicious signs related to information received from or in relation to a resource. To identify such signs among the information related to the resource, various approaches known from the prior art can be used, for example, predefined rules for determining suspicious data of the following form can be used: “If a new IP address appears in the database for an existing URL the address, while the previously known IP address corresponding to the URL is still valid (that is, you can access the resource when accessing it), then we consider the new IP address suspicious. ” For example, at least the following are considered suspicious signs:

- появление ранее не известного IP-адреса для известного ресурса;- the appearance of a previously unknown IP address for a known resource;

- негативное изменение рейтинга безопасности ресурса;- a negative change in the security rating of the resource;

- изменение DNS-сервера и/или провайдера Интернета для известного ресурса;- change the DNS server and / or Internet provider for a known resource;

- различия в полученной информации от известного ресурса в рамах одного или нескольких источников.- differences in the information received from a known resource in the framework of one or more sources.

Также для нахождения подозрительных признаков могут быть использованы алгоритмы самообучения, например адаптивные алгоритмы с обратной связью, а также нейронные сети, входами в которых являются накопленный средством сбора информации 201 данные, относящиеся и получаемые от известных ресурсов, такие как URL-адреса, IP-адреса, любые параметры, получаемых данных, файлы или сертификаты открытого ключа и их ключевые параметры и так далее. Стоит отметить, что на данном этапе осуществляется лишь предварительное определение ресурсов, для которых требуется осуществить дополнительные проверки на последующих стадиях.Also, self-learning algorithms can be used to find suspicious signs, for example adaptive feedback algorithms, as well as neural networks, the inputs of which are accumulatedinformation gathering tool 201 data related to and received from known resources, such as URLs, IP addresses , any parameters, received data, files or public key certificates and their key parameters and so on. It is worth noting that at this stage only a preliminary determination of the resources is carried out, for which additional checks are required at the subsequent stages.

После обнаружения подозрительных признаков или расхождений в информации, относящейся к ресурсу, средство проверки ресурсов 203 осуществляет комплекс дополнительных действий, которые заключаются в формировании и отправке дополнительных запросов от компьютерных систем с различными параметрами к ресурсу, в отношении которого были выявлены подозрительные признаки. Говоря другими словами, на данном этапе система осуществляет доступ к исследуемому ресурсу, имитируя или привлекая к данному процессу доверенные компьютерные системы с различными характеристиками. Таким образом, набираются статистические данные, позволяющие установить соответствие между характеристиками компьютерных систем и информацией, получаемой в отношении исследуемого ресурса. Варьируемыми характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть, по меньшей мере, следующие характеристики:After the detection of suspicious signs or discrepancies in the information related to the resource, theresource checker 203 performs a set of additional actions, which consist in generating and sending additional requests from computer systems with various parameters to the resource for which suspicious signs have been identified. In other words, at this stage, the system provides access to the resource under study, simulating or involving trusted computer systems with various characteristics in this process. Thus, statistical data are collected that allow us to establish a correspondence between the characteristics of computer systems and the information obtained in relation to the resource under study. The variable characteristics of computer systems requesting information regarding the resource under study can be at least the following characteristics:

- операционная система;- operating system;

- метод связи;- communication method;

- провайдер или сотовый оператор;- provider or mobile operator;

- клиентское приложение, например браузер, с которого осуществляется доступ к ресурсу;- a client application, such as a browser, from which the resource is accessed;

- регион, из которого осуществляется доступ к ресурсу.- the region from which access to the resource is carried out.

В одном из вариантов осуществления данного изобретения перебор характеристик осуществляется, по меньшей мере, до тех пор, пока не будет выявлена, по меньшей мере, одна характеристика или набор характеристик, объединяющих группу компьютерных систем, в отношении которых подтверждается подозрительный признак. Например, для компьютерных систем с операционной системой Android, осуществляющих доступ к исследуемому ресурсу через публичную Wi-Fi точку посредством клиентского приложения Opera Mobile ver.X, возвращаемый DNS-сервером IP-адрес ресурса отличается от IP-адреса, получаемого компьютерными системами с другой комбинацией приведенных характеристик. Из чего можно предположить наличие уязвимости в выделенном клиентском приложении и компрометации Wi-Fi роутера, позволяющей перенаправлять пользователя по адресу, указанному злоумышленником.In one embodiment of the invention, the enumeration of the characteristics is carried out at least until at least one characteristic or a set of characteristics is identified that unites a group of computer systems with respect to which a suspicious sign is confirmed. For example, for computer systems with the Android operating system that access the resource under study via a public Wi-Fi point using the Opera Mobile ver.X client application, the IP address of the resource returned by the DNS server is different from the IP address obtained by computer systems with a different combination given characteristics. From which we can assume the presence of vulnerability in a dedicated client application and compromise of a Wi-Fi router, which allows redirecting a user to the address specified by an attacker.

После обнаружения подозрительных событий с использованием средства обнаружения аномалий 202 и сбора дополнительной информации средством проверки ресурсов 203 осуществляется оценка полученных данных с помощью средства определения целевых атак 204. Принятие решения о наличии целевой атаки может происходить с использованием любых известных методологий, например с помощью анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине». Или по выявленному общему набору характеристик, объединяющему группу компьютерных систем, в отношении которой подтверждается подозрительный признак. Например, если подозрительный IP-адрес ранее был использован в рамках какой-либо вредоносной активности, то вероятность атаки «человек посередине» равна или близка к 1. В одном из вариантов осуществления данного изобретения подобная информация может храниться в форме списка или таблицы вида «Признак-Вероятность атаки», где признак выявлен средством обнаружения аномалий 202 и в соответствии с данным признаком выделен набор характеристик, объединяющих группу компьютерных систем, в отношении которой подтверждается подозрительный признак.After detecting suspicious events using theanomaly detection tool 202 and collecting additional information, theresource verification tool 203 evaluates the obtained data using the targetattack determination tool 204. A decision about the presence of a target attack can be made using any known methodology, for example, by analyzing accumulated statistics reflecting information about the likelihood of a man-in-the-middle attack. Or according to the identified common set of characteristics, uniting a group of computer systems, in relation to which a suspicious sign is confirmed. For example, if a suspicious IP address was previously used as part of any malicious activity, then the probability of a “man in the middle” attack is equal to or close to 1. In one embodiment of the invention, such information can be stored in the form of a list or table of the form “Symptom” “Probability of attack”, where the symptom is detected by means of detectinganomalies 202 and in accordance with this symptom, a set of characteristics is identified that unite the group of computer systems with respect to which a suspicious symptom is confirmed.

Стоит отметить, что значение вероятности в данном списке может изменяться в зависимости от полученной обратной связи. То есть если с течением времени будет обнаружено, что изменение признака в большинстве случаев не является следствием атаки типа «человек посередине», или признак в совокупности с определенными характеристиками компьютерных систем, локализующих аномалию данного признака, несет под собой легитимное событие, тогда вероятность атаки при изменении данного признака может быть снижена. В случае наличия нескольких признаков, для которых обнаружено несоответствие, вероятность атаки для исследуемого ресурса рассчитывается как функция, зависящая от вероятности атаки по всем признакам и соответствующим данным признакам наборам характеристик, например, это может быть максимум вероятности атаки по всем признакам. В других вариантах реализации при расчете вероятности атаки могут быть использованы весовые коэффициенты в зависимости от количества и/или комбинации признаков и соответствующих наборов характеристик, для которых было обнаружено несоответствие. Решение о наличии целевой атаки принимается в случае, если вероятность атаки для рассматриваемого ресурса превышает заранее заданное пороговое значение.It is worth noting that the probability value in this list may vary depending on the feedback received. That is, if over time it is discovered that the change in the sign is in most cases not a consequence of a man-in-the-middle attack, or the sign, together with certain characteristics of computer systems localizing the anomaly of this sign, carries a legitimate event, then the probability of an attack with a change in this symptom can be reduced. If there are several signs for which a mismatch is found, the probability of attack for the resource under investigation is calculated as a function that depends on the probability of attack for all signs and sets of characteristics corresponding to these signs, for example, this may be the maximum probability of an attack for all signs. In other embodiments, weighting coefficients may be used in calculating the probability of an attack depending on the number and / or combination of features and corresponding sets of characteristics for which a mismatch has been detected. The decision on the presence of a targeted attack is made if the probability of an attack for the resource in question exceeds a predetermined threshold value.

Фиг. 3 иллюстрирует способ выявления целевых атак, реализованный с помощью системы 222. В приведенном способе на первом этапе 301 осуществляется сбор информации, относящейся к ресурсам, из различных источников, которыми могут быть компьютерные системы пользователей, на которых, к примеру, установлено антивирусное программное обеспечение ЗАО «Лаборатория Касперского»; источниками могут быть доверенные серверы, в том числе доверенные сервисы разрешения доменных имен; также источником может быть Интернет, провайдеры или поисковые системы.FIG. 3 illustrates a method for detecting targeted attacks, implemented usingsystem 222. In the above method, at the first step 301, information related to resources is collected from various sources, which may be user computer systems on which, for example, anti-virus software of CJSC is installed Kaspersky Lab trusted servers can be sources, including trusted domain name resolution services; Also, the source may be the Internet, providers or search engines.

Например, провайдер Интернета или поисковая система могут оповещать средство 201 при обнаружении нового ресурса.For example, an Internet service provider or search engine may notifytool 201 when a new resource is discovered.

Собираемая из различных источников информация, имеющая отношение к ресурсам, может включать в себя разрешающие ответы от DNS-серверов, содержащие информацию о запрашиваемом домене, которая содержит IP-адрес, TTL и другие стандартные параметры, передаваемые в сообщениях от DNS-серверов, а также любой контент, возвращаемый пользователю при взаимодействии с ресурсами, например URL-адреса, файлы или сертификаты открытого ключа.Resource-related information collected from various sources may include resolving responses from DNS servers containing information about the requested domain, which contains the IP address, TTL, and other standard parameters transmitted in messages from DNS servers, as well as any content returned to the user when interacting with resources, such as URLs, files, or public key certificates.

Согласно приведенному способу на этапе 302 собранная информация анализируется средством обнаружения аномалий 202. В одном из вариантов осуществления данного изобретения процесс обнаружения аномалий осуществляется каждый раз при обновлении информации, накопленной средством сбора информации о ресурсах 201.According to the above method, atstep 302, the collected information is analyzed by theanomaly detection tool 202. In one embodiment of the present invention, the anomaly detection process is performed each time the information accumulated by the resource information collection means 201 is updated.

Если в результате работы средства обнаружения аномалий 202 на этапе 303 был найден подозрительный признак, то информация о нем и соответствующем ему ресурсу передается средству проверки ресурсов 203 для осуществления сбора дополнительной информации 304. Согласно приведенному способу средство проверки ресурсов 203 осуществляет доступ к исследуемому ресурсу, имитируя или привлекая к данному процессу доверенные компьютерные системы с различными характеристиками. Варьируемыми характеристиками компьютерных систем, запрашивающих информацию в отношении исследуемого ресурса, могут быть установленные операционные системы, используемые приложения, применяемые методы связи, используемые провайдеры или сотовые операторы, а также регион, из которого осуществляется доступ к ресурсу.If a suspicious sign was found as a result of the operation of theanomaly detection tool 202 atstep 303, then information about it and the corresponding resource is passed to theresource verification tool 203 to collectadditional information 304. According to the above method, theresource verification tool 203 accesses the resource under investigation, simulating or involving trusted computer systems with various characteristics in this process. The variable characteristics of computer systems requesting information regarding the resource under investigation can be installed operating systems, used applications, applied communication methods, used providers or mobile operators, as well as the region from which the resource is accessed.

В одном из вариантов осуществления на этапе 305 осуществляется перебор характеристик, по меньшей мере, до тех пор, пока не будет выявлена на этапе 306, по меньшей мере, одна характеристика или набор характеристик, объединяющих группу компьютерных систем, в отношении которых подтверждается подозрительный признак.In one embodiment,step 305 enumerates the characteristics, at least until, atstep 306, at least one characteristic or set of characteristics that unites a group of computer systems for which a suspicious sign is confirmed is detected.

На основании обнаруженного, по меньшей мере, одного подозрительного признака и выявленной, по меньшей мере, одной характеристики, объединяющей группу компьютерных систем, в отношении которых подтверждается подозрительный признак, средство определения целевых атак 204 осуществляет на этапе 307 принятие решения о наличии целевой атаки.Based on the detected at least one suspicious sign and the identified at least one characteristic uniting a group of computer systems with respect to which a suspicious sign is confirmed, the targetattack determination tool 204 decides on the presence of a targeted attack atstep 307.

Принятие решения о наличии целевой атаки может происходить с использованием любых известных методологий, описанных в рамках Фиг. 3.Deciding on the presence of a targeted attack can occur using any known methodologies described in connection with FIG. 3.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, представляющий собой в одном из вариантов осуществления сервис анализа 202, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.FIG. 4 is an example of a general purpose computer system, a personal computer orserver 20, which in one embodiment is ananalysis service 202 comprising acentral processor 21, asystem memory 22, and a system bus 23 that contains various system components, including memory associated with with acentral processor 21. The system bus 23 is implemented like any bus structure known in the art, which in turn contains a bus memory or a bus memory controller, a peripheral bus and a local bus It is capable of interacting with any other bus architecture. The system memory contains read-only memory (ROM) 24, random access memory (RAM) 25. The main input / output system (BIOS) 26 contains the basic procedures that ensure the transfer of information between the elements of thepersonal computer 20, for example, at the time of loading the operating system using ROM 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.Thepersonal computer 20 in turn contains ahard disk 27 for reading and writing data, amagnetic disk drive 28 for reading and writing to removablemagnetic disks 29, and anoptical drive 30 for reading and writing to removableoptical disks 31, such as a CD-ROM, DVD -ROM and other optical information carriers. Thehard disk 27, themagnetic disk drive 28, theoptical drive 30 are connected to the system bus 23 through the interface of thehard disk 32, the interface of themagnetic disks 33 and the interface of the optical drive 34, respectively. Drives and associated computer storage media are non-volatile means of storing computer instructions, data structures, software modules and other data of apersonal computer 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш-карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.The present description discloses an implementation of a system that uses ahard disk 27, a removablemagnetic disk 29, and a removableoptical disk 31, but it should be understood that other types ofcomputer storage media 56 that can store data in a form readable by a computer (solid state drives, flash memory cards, digital disks, random access memory (RAM), etc.) that are connected to the system bus 23 through thecontroller 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47 персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.Computer 20 has afile system 36 where the recordedoperating system 35 is stored, as well asadditional software applications 37,other program modules 38, andprogram data 39. The user is able to enter commands and information intopersonal computer 20 via input devices (keyboard 40, keypad “ the mouse "42). Other input devices (not displayed) can be used: microphone, joystick, game console, scanner, etc. Such input devices are, as usual, connected to thecomputer system 20 via aserial port 46, which in turn is connected to the system bus, but can be connected in another way, for example, using a parallel port, a game port, or a universal serial bus (USB). Amonitor 47 or other type of display device is also connected to the system bus 23 via an interface such as avideo adapter 48. In addition to themonitor 47, the personal computer may be equipped with other peripheral output devices (not displayed), for example, speakers, a printer, and the like.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.Thepersonal computer 20 is capable of operating in a networked environment, using a network connection with another or moreremote computers 49. The remote computer (or computers) 49 are the same personal computers or servers that have most or all of the elements mentioned earlier in the description of the creature thepersonal computer 20 of FIG. 4. Other devices, for example, routers, network stations, peer-to-peer devices or other network nodes, may also be present on the computer network.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.Network connections can form a local area network (LAN) 50 and a wide area network (WAN). Such networks are used in corporate computer networks, internal networks of companies and, as a rule, have access to the Internet. In LAN or WAN networks, thepersonal computer 20 is connected to the local area network 50 via a network adapter ornetwork interface 51. When using the networks, thepersonal computer 20 may use a modem 54 or other means of providing communication with a global computer network such as the Internet. The modem 54, which is an internal or external device, is connected to the system bus 23 via theserial port 46. It should be clarified that the network connections are only exemplary and are not required to display the exact network configuration, i.e. in reality, there are other ways to establish a technical connection between one computer and another.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.In conclusion, it should be noted that the information provided in the description are examples that do not limit the scope of the present invention defined by the claims. One skilled in the art will recognize that there may be other embodiments of the present invention consistent with the spirit and scope of the present invention.

Claims

Translated fromRussian

2. Способ по п. 1, в котором информация о ресурсе поступает, по меньшей мере, из одного из следующих источников:
- от компьютерных систем пользователей;
- от доверенных сервисов разрешения доменных имен;
- от провайдеров Интернета;
- от поисковых систем.2. The method according to p. 1, in which information about the resource comes from at least one of the following sources:
- from computer systems of users;
- from trusted domain name resolution services;
- from Internet providers;
- from search engines.

3. Способ по п. 1, в котором получаемая информация может содержать, по меньшей мере, часть из следующих данных:
- параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;
- конечный URL-адрес;
- файл;
- сертификат открытого ключа.3. The method according to p. 1, in which the obtained information may contain at least a portion of the following data:
- parameters of permissive responses from domain name resolution services containing information about the requested domain;
- The final URL
- file;
- public key certificate.

4. Способ по п. 3, в котором параметры разрешающих ответов от DNS-серверов включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.4. The method of claim 3, wherein the resolving response parameters from the DNS servers include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolution services.

5. Способ по п. 1, в котором обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.5. The method according to claim 1, in which the detection of suspicious signs is carried out using predefined rules.

6. Способ по п. 1, в котором различными характеристиками компьютерных систем, осуществляющих доступ к ресурсу, являются следующие характеристики:
- операционная система;
- метод связи;
- провайдер или сотовый оператор;
- клиентское приложение, с которого осуществляется доступ к ресурсу;
- регион, из которого осуществляется доступ к ресурсу.6. The method according to p. 1, in which various characteristics of computer systems that access the resource are the following characteristics:
- operating system;
- communication method;
- provider or mobile operator;
- the client application from which the resource is accessed;
- the region from which access to the resource is carried out.

7. Способ по п. 1, в котором выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».7. The method according to p. 1, in which the detection of the target attack can occur by analyzing the accumulated statistics, reflecting information about the likelihood of an attack like "man in the middle".

8. Система выявления целевых атак, которая содержит:
- средство сбора информации о ресурсах, предназначенное для получения информации, по меньшей мере, об одном ресурсе, по меньшей мере, от одного источника, связанное со средством обнаружения аномалий, а также со средством определения целевых атак;
- средство обнаружения аномалий, предназначенное для анализа информации, относящейся к ресурсу, для выявления подозрительных признаков в полученной информации, которое связано со средством сбора информации о ресурсах, а также связано со средством проверки ресурсов;
- средство проверки ресурсов, связанное со средством обнаружения аномалий, а также со средством определения целевых атак, предназначенное для сбора дополнительной информации о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, путем осуществления доступа к данному ресурсу с компьютерных систем, обладающих различными характеристиками, и установления соответствия между характеристиками компьютерных систем и информацией, получаемой о ресурсе, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак;
- средство определения целевых атак, связанное со средством проверки ресурсов, а также со средством сбора информации о ресурсах, предназначенное для принятия решения о наличии целевой атаки в отношении группы компьютерных систем путем:
определения, по меньшей мере, одной характеристики компьютерных систем, объединяющей группу компьютерных систем, при осуществлении доступа с каждой из которых к ресурсу, в отношении которого был обнаружен, по меньшей мере, один подозрительный признак, был повторно обнаружен подозрительный признак в отношении данного ресурса;
и выявления целевой атаки в отношении упомянутой группы компьютерных систем, объединенных, по меньшей мере, одной характеристикой.8. A system for identifying targeted attacks, which contains:
- a resource information collection means for obtaining information about at least one resource from at least one source associated with anomaly detection means as well as with target attack detection means;
- anomaly detection tool, designed to analyze information related to the resource, to identify suspicious signs in the received information, which is associated with a means of collecting information about resources, and also associated with a means of checking resources;
- a resource checker associated with the anomaly detection tool, as well as with the target attack detection tool, designed to collect additional information about the resource for which at least one suspicious sign was detected by accessing this resource from computer systems possessing different characteristics, and establishing correspondence between the characteristics of computer systems and information obtained about a resource in relation to which at least one n suspicious sign;
- a means of determining targeted attacks associated with a means of checking resources, as well as a means of collecting information about resources, designed to make a decision about the presence of a targeted attack against a group of computer systems by:
determining at least one characteristic of computer systems that unites a group of computer systems when accessing each of them to a resource with respect to which at least one suspicious sign has been detected, a suspicious sign has been re-detected with respect to this resource;
and detecting a targeted attack against said group of computer systems combined by at least one characteristic.

9. Система по п. 8, в которой информация о ресурсе поступает, по меньшей мере, от одного из следующих источников:
- от компьютерных систем пользователей;
- от доверенных сервисов разрешения доменных имен;
- от провайдеров Интернета;
- от поисковых систем.9. The system of claim 8, wherein the resource information comes from at least one of the following sources:
- from computer systems of users;
- from trusted domain name resolution services;
- from Internet providers;
- from search engines.

10. Система по п. 8, в которой получаемая информация может содержать, по меньшей мере, часть из следующих данных:
- параметры разрешающих ответов от сервисов разрешения доменных имен, содержащих информацию о запрашиваемом домене;
- конечный URL-адрес;
- файл;
- сертификат открытого ключа.10. The system according to p. 8, in which the received information may contain at least part of the following data:
- parameters of permissive responses from domain name resolution services containing information about the requested domain;
- The final URL
- file;
- public key certificate.

11. Система по п. 10, в которой параметры разрешающих ответов от сервисов разрешения доменных имен включают в себя, по меньшей мере, IP-адрес ресурса, TTL и другие стандартные параметры, передаваемые в сообщениях от сервисов разрешения доменных имен.11. The system of claim 10, wherein the resolving response parameters from the domain name resolution services include at least the resource IP address, TTL, and other standard parameters transmitted in the messages from the domain name resolving services.

12. Система по п. 8, в которой обнаружение подозрительных признаков осуществляется с использованием заранее заданных правил.12. The system of claim. 8, in which the detection of suspicious signs is carried out using predefined rules.

13. Система по п. 8, в которой различными характеристиками компьютерных систем, осуществляющих доступ к ресурсу, являются следующие характеристики:
- операционная система;
- метод связи;
- провайдер или сотовый оператор;
- клиентское приложение, с которого осуществляется доступ к ресурсу;
- регион, из которого осуществляется доступ к ресурсу.13. The system of claim 8, wherein the various characteristics of computer systems accessing a resource are the following characteristics:
- operating system;
- communication method;
- provider or mobile operator;
- the client application from which the resource is accessed;
- the region from which access to the resource is carried out.

14. Система по п. 8, в которой выявление целевой атаки может происходить при помощи анализа накопленной статистики, отражающей информацию о вероятности атаки типа «человек посередине».14. The system according to claim 8, in which the detection of a targeted attack can occur by analyzing accumulated statistics that reflect information about the likelihood of an attack of the “man in the middle” type.