патент
№ RU 2666644
МПК G06F21/50

Система и способ выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами

Авторы:
Скворцов Владимир Александрович
Номер заявки
2017128538
Дата подачи заявки
10.08.2017
Опубликовано
11.09.2018
Страна
RU
Как управлять
интеллектуальной собственностью
Чертежи 
3
Реферат

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности взаимодействия пользователя с банковскими сервисами путем выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами. Система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами содержит средство сбора, предназначенное для сбора цифровых отпечатков устройств пользователей; сбора данных о потенциально опасных состояниях устройств пользователей; средство вычисления степени угрозы, предназначенное для вычисления степеней угрозы устройств пользователей; создания кластеров устройств на основании характеристик устройства, полученных при сборе отпечатков устройств; вычисления степеней угрозы созданных кластеров устройств пользователей; средство анализа, предназначенное для выявления потенциально опасных устройств. 2 н. и 8 з.п. ф-лы, 3 ил.

Формула изобретения

1. Система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, которая содержит:

средство сбора, предназначенное для:

- сбора цифровых отпечатков устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя;

- сбора данных о потенциально опасных состояниях упомянутого устройства пользователя;

- передачи собранных данных средству вычисления степени угрозы;

средство вычисления степени угрозы, предназначенное для:

- вычисления степеней угрозы устройства пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния;

- создания кластеров устройств на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства;

- вычисления степеней угрозы созданных кластеров устройств пользователей;

- передачи созданных кластеров и вычисленных степеней угрозы средству анализа;

средство анализа, предназначенное для выявления потенциально опасных устройств, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.

2. Система по п. 1, в которой характеристиками устройства являются:

- идентификатор операционной системы, под управлением которой работает устройство;

- местоположение устройства;

- региональные характеристики прошивки устройства;

- идентификатор аккаунта;

- данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора;

- версия браузера;

- плагины, установленные в браузере устройства;

- уязвимые приложения, установленные на устройстве.

3. Система по п. 1, в которой потенциально опасным состоянием является наличие корневого доступа на устройстве.

4. Система по п. 1, в которой собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.

5. Система по п. 1, в которой блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.

6. Способ выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, реализуемый с помощью средства сбора, средства вычисления степени угрозы и средства анализа и содержащий этапы, на которых:

а) собирают цифровые отпечатки устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя;

б) собирают данные о потенциально опасных состояниях упомянутого устройства пользователя;

в) создают кластеры устройств пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства;

г) вычисляют степени угрозы созданных кластеров устройств пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния;

д) выявляют потенциально опасное устройство, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.

7. Способ по п. 6, в котором характеристиками устройства являются:

- идентификатор операционной системы, под управлением которой работает устройство;

- местоположение устройства;

- региональные характеристики прошивки устройства;

- идентификатор аккаунта;

- данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора;

- версия браузера;

- плагины, установленные в браузере устройства;

- уязвимые приложения, установленные на устройстве.

8. Способ по п. 6, в котором потенциально опасным состоянием является наличие корневого доступа на устройстве.

9. Способ по п. 6, в котором собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.

10. Способ по п. 6, в котором блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.

Описание

[1]

Область техники

[2]

Изобретение относится к решениям для обеспечения безопасного взаимодействия пользователя с банковскими сервисами, а более конкретно к системам и способам выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.

[3]

Уровень техники

[4]

В настоящее время сфера банковских услуг существенно расширилась. Пользователю (клиенту банка) предоставляются новые возможности взаимодействия с банком, способы оплаты и перевода денежных средств. Многообразие платежных систем, пластиковых карт и банковских сервисов (сервисы банка зачастую называются сервисами дистанционного банковского обслуживания) позволяет пользователю выполнять разнообразные транзакции посредством вычислительных устройств. Онлайн-банкинг и мобильный банкинг делают возможным проведение денежных операций без участия пластиковой карты или реквизитов банковского счета.

[5]

Кроме того, существуют различные механизмы защиты средств пользователя от доступа к ним третьих лиц. При работе пользователя с онлайн-банкингом зачастую используется такой метод, как двойная аутентификация. После ввода аутентификационных данных (например, логина и пароля, которые могли стать доступны третьим лицам) в браузере на сайте банка пользователю на мобильный телефон банком направляется сообщение, содержащее, например, дополнительный проверочный код, который нужно ввести в специальное поле.

[6]

Однако, стоит отметить, что существует множество атак, использующих уязвимые стороны при взаимодействии пользователя с банковскими сервисами, которые проводятся злоумышленниками с целью получения доступа к денежным средствам пользователя. Часто такие атаки называются мошенническими (англ. fraud). Так, например, с помощью фишинговых сайтов могут быть получены логин и пароль для доступа к онлайн-банкингу. Вредоносное программное обеспечение для мобильных устройств позволяет злоумышленникам проводить транзакции с подтверждением без ведома пользователя.

[7]

Известны системы и способы, использующие для защиты пользователей от мошеннической активности так называемый отпечаток устройства пользователя. Пользователь в общем случае использует одни и те же устройства, каждое устройство содержит определенный набор программного обеспечения и признаков, которые известны банку. В случае, если на устройстве изменяется набор программного обеспечения или меняется само устройство, высока вероятность того, что наблюдается мошенническая активность. При совершении мошеннической активности на устройстве, последнее считается опасным.

[8]

Так, публикация US 20150324802 описывает систему и способ для аутентификации транзакций пользователя. При аутентификации используются отпечатки браузеров, а также векторы различных комбинаций параметров (характеристики устройства, геолокация, информация о самой транзакции).

[9]

Однако, одни и те же устройства в разных регионах используют разный набор программ, разные прошивки, разные браузеры для доступа к онлайн-банкингу. Известные системы и способы сравнения отпечатков устройств выявляют лишь некоторое количество опасных устройств, однако не позволяют выявлять потенциально опасные устройства в зависимости от различных характеристик (например, от региона использования устройства или региональной прошивки устройства), а также не позволяют выявить устройства, если отпечаток подобного устройства пока не известен (например, новое устройство в линейке производителя) и не используют экспертизу компаний, занимающихся разработкой программ для обеспечения безопасности (например, антивирусного программного обеспечения).

[10]

Сущность изобретения

[11]

Настоящее изобретение предназначено для выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.

[12]

Технический результат настоящего изобретения заключается в обеспечении безопасности взаимодействия пользователя с банковскими сервисами путем выявления потенциально опасных устройств при взаимодействии пользователя с банковскими сервисами.

[13]

Другой технический результат заключается в обеспечении выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами.

[14]

Согласно одному из вариантов реализации предоставляется система выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, которая содержит: средство сбора, предназначенное для сбора цифровых отпечатков устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя; сбора данных о потенциально опасных состояниях упомянутого устройства пользователя; передачи собранных данных средству вычисления степени угрозы; средство вычисления степени угрозы, предназначенное для: вычисления степеней угрозы устройства пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния; создания кластеров устройств на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства; вычисления степеней угрозы созданных кластеров устройств пользователя; передачи созданных кластеров и вычисленных степеней угрозы средству анализ; средство анализа, предназначенное для выявления потенциально опасных устройств, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.

[15]

Согласно другому варианту реализации предоставляется система, в которой характеристиками устройства являются: идентификатор операционной системы, под управлением которой работает устройство; местоположение устройства; региональные характеристики прошивки устройства; идентификатор аккаунта; данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора; версия браузера; плагины, установленные в браузере устройства; уязвимые приложения, установленные на устройстве.

[16]

Согласно одному из частных вариантов реализации предоставляется система, в которой потенциально опасным состоянием является наличие корневого доступа на устройстве.

[17]

Согласно одному из частных вариантов реализации предоставляется система, в которой собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.

[18]

Согласно одному из частных вариантов реализации предоставляется система, в которой блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.

[19]

Согласно одному из частных вариантов реализации предоставляется способ выявления потенциально опасных устройств среди устройств, посредством которых пользователь взаимодействует с банковскими сервисами, реализуемый с помощью упомянутых средств и содержащий этапы, на которых: собирают цифровые отпечатки устройств пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя; собирают данные о потенциально опасных состояниях упомянутого устройства пользователя; создают кластеры устройств пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства; вычисляют степени угрозы созданных кластеров устройств пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния; выявляют потенциально опасное устройство, при этом потенциально опасным считается устройство, соответствующее по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.

[20]

Согласно одному из частных вариантов реализации предоставляется способ, в котором характеристиками устройства являются: идентификатор операционной системы, под управлением которой работает устройство; местоположение устройства; региональные характеристики прошивки устройства; идентификатор аккаунта; данные о том, функционирует ли устройство в рамках виртуальной машины или эмулятора; версия браузера; плагины, установленные в браузере устройства; уязвимые приложения, установленные на устройстве.

[21]

Согласно одному из частных вариантов реализации предоставляется способ, в котором потенциально опасным состоянием является наличие корневого доступа на устройстве.

[22]

Согласно одному из частных вариантов реализации предоставляется способ, в котором собирают информацию о потенциально опасных состояниях устройства пользователя из Kaspersky Security Network.

[23]

Согласно одному из частных вариантов реализации предоставляется способ, в котором блокируют транзакцию при взаимодействии с банковскими сервисами, производимую с потенциально опасного устройства.

[24]

Краткое описание чертежей

[25]

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

[26]

Фиг. 1 отображает структуру системы выявления потенциально опасных устройств.

[27]

Фиг. 2 отображает схему способа выявления потенциально опасных устройств.

[28]

Фиг. 3 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.

[29]

Описание вариантов осуществления изобретения

[30]

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, обеспеченными для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется только в объеме приложенной формулы.

[31]

Фиг. 1 отображает структуру системы выявления потенциально опасных устройств.

[32]

Система выявления потенциально опасных устройств, в общем случае состоит из средства сбора 110, средство вычисления степени угрозы 120 и средства анализа 130 и предназначена для выявления потенциально опасных устройств 190 при онлайн-доступе к банковским сервисам 199.

[33]

Устройство 190 в рамках настоящего изобретения - программная среда исполнения, выполняющаяся на вычислительном устройстве (например, браузер, выполняющийся на компьютере, приложение банка, выполняющееся на мобильном устройстве).

[34]

Потенциально опасное устройство 190 - устройство 190, вероятность мошенничества (англ. fraud) с которого при онлайн-доступе к банковским сервисам (англ. online banking) 199 выше порогового значения.

[35]

В одном из вариантов реализации средство сбора 110 предназначено для сбора цифровых отпечатков (англ. fingerprint, далее используется термин отпечаток) устройств 190. В общем случае отпечаток содержит характеристики устройства 190. Характеристиками устройства 190 являются:

[36]

- идентификатор операционной системы, под управлением которой работает устройство 190;

[37]

- местоположение (геолокация) устройства 190;

[38]

- региональные характеристики прошивки устройства 190 (например, континент/страна/город);

[39]

- идентификатор аккаунта (например, идентификатор аккаунта Microsoft, Google или Apple);

[40]

- данные о том, функционирует ли устройство 190 (программная среда исполнения) в рамках виртуальной машины или эмулятора;

[41]

- версия браузера;

[42]

- плагины, установленные в браузере устройства 190;

[43]

- уязвимые приложения, установленные на устройстве 190;

[44]

- прочие.

[45]

В одном из вариантов реализации сбор происходит путем исполнения в браузере на устройстве 190 JavaScript-сценария, при этом упомянутый сценарий может храниться на банковском сервере и выполняться при обращении устройства 190 к банковскому сервису.

[46]

В еще одном из вариантов реализации сбор данных осуществляют приложения безопасности (например, антивирусным приложением).

[47]

В еще одном варианте реализации сбор осуществляют посредством приложения, работающего на устройстве 190, при этом приложение может быть предназначено для доступа к банковским сервисам (например, приложение «Сбербанк-онлайн») 199 и создано с использованием комплекта средств разработки (от англ. software development kit, SDK), поставляемого, например, производителем антивирусного приложения (например, Kaspersky Mobile Security SDK).

[48]

Кроме сбора характеристик устройства 190 средство сбора 110 получает данные о потенциально опасных состояниях устройства 190. Под потенциально опасными состояниями понимаются состояния устройства 190, когда не может быть гарантировано безопасное взаимодействие пользователя посредством устройства 190 с банковскими сервисами 199. Ниже приведены примеры таких состояний.

[49]

В одном из вариантов реализации потенциально опасным состоянием является наличие на устройстве 190 корневого (англ. root) доступа (далее по тексту - root-доступа), при этом средство сбора 110 собирает данные о наличии root-доступа на устройстве 190. Стоит отметить, что из уровня техники известно, что на устройстве 190 с root-доступом даже антивирусное приложение не может выявить активность вредоносного программного обеспечения. Поэтому такое состояние устройства 190 не может гарантировать безопасное взаимодействие пользователя посредством устройства 190 с банковскими сервисами 199.

[50]

В еще одном из вариантов реализации потенциально опасным состоянием является заражение на устройстве 190, при этом средство сбора 110 получает данные о наличии заражения на устройстве 190 (например, обнаруживает активность вредоносных программ). Данные о заражении устройства 190 могут быть получены как в момент обращения пользователя к банковским сервисам 199, так и собираться в течение периода времени, пока пользователь не взаимодействует с банковскими сервисами 199 (например, упомянутые данные может собирать запущенная в фоновом режиме служба средства сбора 110).

[51]

В одном из вариантов реализации средство сбора 110 получает от банка или сторонней организации сведения об атаке на банковские сервисы 199, совершенной с устройства 190 (например, получает от Лаборатории Касперского сведения об атаках на банковские сервисы 199, выявленные с помощью Kaspersky Fraud Prevention, KFP). В данном случае факт атаки также является потенциально опасным состоянием.

[52]

В еще одном из вариантов реализации средство сбора 110 получает от банка или сторонней организации сведения о компрометации устройства 190, выполненной любым иным известным из уровня техники способом (например, данные об атаке или компрометации получено из Kaspersky Security Network, KSN).

[53]

Данные, собранные средством сбора 110 об устройстве 190, передаются средству вычисления степени угрозы 120. В одном из вариантов реализации данные, собранные средством сбора 110 об устройстве 190, сохраняются в базе данных 111.

[54]

Средство вычисления степени угрозы 120 выполнятся на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса и предназначено для вычисления степени угрозы на основании данных, полученных от средства сбора 110 или из базы данных 111.

[55]

Средство вычисления степени угрозы 120 вычисляет степени угрозы (англ. threat factor). Степень угрозы есть числовая величина. В общем случае степень угрозы вычисляется на основании частоты встречаемости потенциально опасного состояния. Степень угрозы тем выше, чем чаще встречается потенциально опасное состояние. В одном из вариантов реализации степень угрозы вычисляется в диапазоне от 0 (гарантированно безопасное устройство) до 1 (гарантированно вредоносное устройство).

[56]

В одном из вариантов реализации средство вычисления степени угрозы 120 создает кластеры (выполняет кластеризацию) устройств 190 на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства 190.

[57]

В одном из вариантов реализации кластеризация выполняется на основании нескольких собранных упомянутых характеристик устройств 190.

[58]

Таким образом, степень угрозы может быть вычислена как для отдельного устройства 190, так и для кластера устройств 190. Кроме того, степень угрозы может быть вычислена как для каждого известного потенциально опасного состояния в отдельности (например, частота наличия root-доступа на устройстве 190), так и для любой их комбинации (например, частота наличия root-доступа на устройстве 190 и частота атак на банковские сервисы с устройства 190).

[59]

С учетом вышеизложенного, для каждого устройства 190 или кластера устройств 190 может быть вычислено несколько степеней угрозы. Степень угрозы для кластера может быть вычислена любым известным из уровня техники способом. В одном из вариантов реализации степень угрозы кластера есть одна из мер центральной тенденции (среднее арифметическое) степеней угрозы всех устройств 190, вошедших в кластер. В другом варианте реализации - среднее арифметическое степеней угрозы, помноженных на коэффициент, который тем выше, чем меньше времен прошло с последней компрометации устройства 190.

[60]

Например, устройство 190 с прошивкой для Китая, используемое в Китае, имеет высокие степени угрозы по root-доступу (установлен по умолчанию в прошивке производителем), и по установленным уязвимым приложениям (в прошивке есть множество предустановленных приложений, например, рекламных или выполняющих резервное копирование данных с упомянутых устройств на китайские серверы). Такое же устройство 190 с прошивкой для Китая, но используемое в США имеет только высокую степень угрозы по root-доступу, так как предустановленные уязвимые приложения не подключены к китайским серверам и не проявляют активность. Это же устройство с прошивкой для США имеет небольшие степени угрозы по root-доступу и предустановленным уязвимым приложениям, так как прошивка не содержит root-доступа и предустановленных уязвимых приложений, и лишь небольшое количество пользователей самостоятельно получает root-доступ на устройстве 190 и устанавливает упомянутые приложения.

[61]

В одном из вариантов реализации кластеры с малой степенью угрозы (пороговое значение выше степени угрозы кластера в 5 раз) могут быть проигнорированы при анализе устройств. Например, кластер устройств 190, содержащих Google Chrome, не является потенциально опасным (такая кластеризация слишком обобщенная и не позволяет выявить опасные устройства 190, учитывать такой кластер не имеет смысла).

[62]

Данные, вычисленные средством вычисления степени угрозы 120 об устройстве 190, передаются средству анализа 130. В одном из вариантов реализации созданные средством вычисления степени угрозы 120 кластеры и вычисленные степени угрозы сохраняются в базе данных 111.

[63]

Средство анализа 130 реализовано на удаленном сервере (или на распределенной системе серверов) или в качестве облачного сервиса и предназначено для выявления потенциально опасных устройств на основании данных, полученных от средства вычисления степени угрозы 120 или из базы данных 111.

[64]

Среди устройств 190 и созданных кластеров устройств 190 средство анализа 130 выявляет потенциально опасные устройства 190, а именно устройства 190 с по меньшей мере одной высокой степенью угрозы. В общем случае степень угрозы сравнивается с заранее заданным пороговым значением. Пороговое значение может быть получено автоматически на основании статистических данных или с участием эксперта по информационной безопасности, а также на основании данных о произошедших инцидентах от банка или данных о компрометации из Kaspersky Security Network.

[65]

В одном из вариантов реализации потенциально опасное устройство 190 соответствует по меньшей мере двум кластерам устройств со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств. Так, например, кластер «А» имеет степень угрозы #1, которая выше порогового значения, при этом кластер «А» получен по кластеризации характеристики #1. Кластер «Б» имеет степень угрозы #2, которая также выше порогового значения, при этом кластер «Б» получен по кластеризации характеристики #2. Устройство 190 соответствует и кластеру «А», и кластеру «Б».

[66]

В другом варианте реализации для каждой степени угрозы назначается числовой коэффициент (вес), а потенциально опасное устройство выявляется как среднее арифметическое степеней угрозы кластеров, помноженных на упомянутые коэффициенты. При этом кластер «А» имеет степень угрозы #1, которая ниже порогового значения, и коэффициент #1, и при этом кластер «А» получен по кластеризации характеристики #1. Кластер «Б» имеет степень угрозы #2, которая также ниже порогового значения, и коэффициент #2, и при этом кластер «Б» получен по кластеризации характеристики #2. Устройство 190 соответствует и кластеру «А», и кластеру «Б». В таком случае возможно, что:

[67]

[68]

то есть устройство, попавшее в кластеры «А» и «Б», является потенциально опасным, при этом степени угроз отдельно кластеров «А» и «Б» не превышают пороговое значение.

[69]

Примерами потенциально опасных устройств 190 могут быть:

[70]

- мобильные телефоны или планшетные компьютеры с root-доступом (если кластер устройств 190 конкретной модели конкретного производителя на 70% содержит устройства 190 с root-доступом, это может свидетельствовать о том, что телефон с завода имеет прошивку, в которой имеется root-доступ);

[71]

- мобильные телефоны, персональные компьютеры и ноутбуки с высокой частотой заражения для какого-либо региона (это может свидетельствовать о том, что устройство 190 с завода имеет прошивку с внедренным вредоносным программным обеспечением, либо устройство 190 используется в регионе без установленного на него антивирусного приложения);

[72]

- мобильные телефоны, персональные компьютеры и ноутбуки с высокой частотой заражения для разных регионов (это может свидетельствовать о том, что устройство 190 имеет незакрытую/критическую уязвимость, которая делает несанкционированный доступ к устройству 190 более простым по сравнению с прочими устройствами 190);

[73]

- различные комбинации потенциально опасных состояний и кластеров устройств 190.

[74]

Упомянутое выше позволяет расширить семейство потенциально опасных устройств вне зависимости от производителя или конкретной модели устройства 190 (например, все устройства 190 любого производителя с любой региональной прошивкой, в которых имеются root-доступ, и приложение, атакующее банковские сервисы, согласно данным из Kaspersky Security Network, будут отнесены к потенциально опасным).

[75]

В общем случае после выявления описанным выше образом потенциально опасных устройств 190 средство анализа 130 информирует известные из уровня техники системы доступа и/или системы принятия решений (в одном из вариантов реализации подобные системы выполняются на стороне банка, например, как банковские сервисы 199 безопасности). Факт попытки доступа (например, попытка входа в систему) с потенциально опасного устройства 190 не обязательно означает атаку, но может быть фактором риска, который обрабатывается в системе принятия решений особым образом (например, повышенный уровень журналирования, второй фактор при авторизации, ограничение полномочий и т.п.).

[76]

В одном из вариантов реализации средство анализа 130 блокирует транзакцию при взаимодействии с банковскими сервисами 199, производимую с потенциально опасного устройства 190 известным из уровня техники способом.

[77]

Кроме того, степени угрозы позволяют оценить, что с данного конкретного устройства 190 (или с устройства 190, обладающего конкретным набором характеристик, по которым построены кластеры) вероятность совершения атаки выше (и насколько выше), чем с устройств 190, не обладающих этими характеристиками.

[78]

Фиг. 2 отображает схему способа выявления потенциально опасных устройств.

[79]

На этапе 210 с помощью средства сбора 110 собирают цифровые отпечатки устройств 190 пользователя, при этом отпечаток содержит по меньшей мере одну характеристику упомянутого устройства пользователя. Характеристиками устройства 190 являются:

[80]

- идентификатор операционной системы, под управлением которой работает устройство;

[81]

- местоположение устройства;

[82]

- региональные характеристики прошивки устройства;

[83]

- идентификатор Google ID или Apple ID;

[84]

- функционирует ли устройство в рамках виртуальной машины или эмулятора;

[85]

- версия браузера;

[86]

- плагины, установленные в браузере устройства;

[87]

- уязвимые приложения, установленные на устройстве;

[88]

- прочие.

[89]

На этапе 220 с помощью средства сбора 110 собирают данные о потенциально опасных состояниях упомянутого устройства пользователя. В одном из вариантов реализации потенциально опасным состоянием является наличие root-доступа на устройстве 190. В еще одном из вариантов реализации собирают информацию о потенциально опасных состояниях устройства 190 пользователя из Kaspersky Security Network. Данные, собранные средством сбора 110 об устройстве 190, сохраняются в базе данных 111.

[90]

На этапе 230 с помощью средства вычисления степени угрозы 120 создают кластеры устройств 190 пользователя на основании по меньшей мере одной характеристики устройства, полученной при сборе отпечатка устройства 190.

[91]

На этапе 240 вычисляют с помощью средства вычисления степени угрозы 120 степени угрозы созданных кластеров устройств 190 пользователя, при этом степень угрозы есть числовая величина, пропорциональная частоте встречаемости потенциально опасного состояния. В одном из вариантов реализации кластеры, созданные средством вычисления степени угрозы 120, и вычисленные степени угрозы сохраняются в базе данных 111.

[92]

На этапе 250 с помощью средства анализа 130 выявляют потенциально опасное устройство 190, при этом потенциально опасным считается устройство 190, соответствующее по меньшей мере двум кластерам устройств 190 со степенями угрозы, превышающими пороговое значение, при этом каждый кластер создан на основании различных характеристик устройств.

[93]

На этапе 260 с помощью средства анализа 130 блокируют транзакцию при взаимодействии с банковскими сервисами 199, производимую с потенциально опасного устройства 190.

[94]

Фиг. 3 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

[95]

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

[96]

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

[97]

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

[98]

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 3. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

[99]

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

[100]

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

Как компенсировать расходы
на инновационную разработку
Похожие патенты