Способ блокировки сетевых соединений с ресурсами из запрещенных категорий



Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
Способ блокировки сетевых соединений с ресурсами из запрещенных категорий

Владельцы патента RU 2702080:

Акционерное общество "Лаборатория Касперского" (RU)

Изобретения относятся к способу определения категории неизвестного сертификата, а также к способу блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов. Техническим результатом является повышение эффективности определения категории неизвестного сертификата для дальнейшей блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов. Способ определения категорий неизвестного сертификата заключается в том, что получают неизвестный сертификат; определяют похожесть неизвестного сертификата на известные сертификаты, категории для которых определены, где категория для известного сертификата определяется содержимым соответствующего известному сертификату сетевого ресурса; присваивают неизвестному сертификату категорию сертификата, на который сертификат признается похожим в результате определения похожести. 2 н. и 14 з.п. ф-лы, 6 ил.

 

Область техники

Группа изобретений относится к способам контроля и фильтрации сетевого трафика в соответствии с заданными правилами.

Уровень техники

Установка безопасных сетевых соединений с использованием криптографических протоколов позволяет избежать раскрытия передаваемых данных третьей стороне. Но как любые технологии, технологии, реализующие механизмы безопасного обмена не лишены недостатков. И в зависимости от способа исполнения могут иметь уязвимости технического или организационного характера. Например, при использовании протокола SSL совместно с протоколом HTTP злоумышленники реализуют атаку посредника, используя слабое место технологии, - операцию перенаправления на HTTPS через код ответа HTTP 302. Для осуществления атаки на точку перехода от незащищенного к защищенному каналу связи1 (1 ГОСТ 53109-2008 Система обеспечения информационной безопасности сети общего пользования) были созданы специальные инструменты, например, программа «SSLStrip». С использованием данного инструмента процесс атаки выглядит следующим образом:

- перехватывают трафик между клиентом и веб-сервером;

- обнаруживают адрес HTTPS URL и подменяют его адресом HTTP URL;

- предоставляют сертификаты веб-серверу и под видом клиента;

- принимают с веб-сервера траффик по защищенному каналу и перенаправляют его клиенту.

В результате атаки злоумышленник получает доступ к данным, которые клиент отправляет на веб-сервер, и веб-сервер передает клиенту.

Для защиты от этой и других подобных атак используют проверки задержки по времени, анализ сетевого трафика, анализ сертификатов. Также некоторыми компаниями используются политика доверенных сертификатов, когда допускается соединение только с ресурсами, которые находятся в белых списках и только с использованием доверенных сертификатов. Так публикация US 8966659 описывает способ обнаружения мошеннических сертификатов при установке соединения с удаленным ресурсом, посредством сравнения полученного сертификата с сертификатами, полученными от того же ресурса ранее, другая публикация US 9282092 описывает способ определения доверия при осуществлении взаимодействия клиента с онлайн-ресурсом посредством проверки цепочки сертификатов и оценки их репутации.

Использование политики доверенных сертификатов делает систему защиты не гибкой, во-первых, сертификат от того же издателя может быть изменен, и соединение станет невозможным (так как сравнение осуществляется по отпечатку, а каждый сертификат уникален), во-вторых разрешительная политика существенно ограничивает доступность сетевых ресурсов, очерчивая их только кругом доверенных. Также потенциально доверенный сертификат может быть неизвестен на текущий момент механизму защиты, так как база доверенных сертификатов не была вовремя обновлена.

Отдельно стоит отметить, что использование защищенных соединений используется в том числе и в противоправных целях, для сокрытия передаваемой информации, содержащей сведения противоправного характера. Для борьбы с подобной деятельностью блокируется уникальный сетевой адрес ресурса в компьютерной сети, который является посредником в передаче такой информации или ее источником. Но, как показывает практика, это не эффективный способ, так как адреса, на которых располагаются ресурсы, могут меняться. Настоящее изобретение лишено недостатков, описанных в уровне техники.

Раскрытие изобретения

Настоящая группа изобретений предназначена для блокировки сетевых соединений с запрещенными категориями ресурсов.

Объектами настоящей группы изобретений являются способы, в которых один обеспечивает определение категорий неизвестных сертификатов для осуществления другого, который обеспечивает блокировку сетевых соединений с ресурсами из запрещенных категорий на основании категории сертификата, определенной в результате осуществления первого способа.

Первое изобретение группы определяет категорию неизвестного сертификата, где неизвестным может считаться сертификат, который соответствует сетевому ресурсу категория содержимого, для которого неизвестна. Поэтому при осуществлении данного способа после получения неизвестного сертификата определяют похожесть неизвестного сертификата на известные сертификаты, категории для которых определены и присваивают неизвестному сертификату категорию сертификата, на который сертификат признается похожим в результате определения похожести. Категория же для самого известного сертификата определяется содержимым соответствующего известному сертификату сетевого ресурса. В частном случае для получения категорий известных сертификатов получают список категорий ресурсов, где в каждой категории содержатся адреса сетевых ресурсов, отнесенных к данной категории, и получают список сертификатов и соответствующих им адресов сетевых ресурсов. Далее определяют категории для сертификатов из полученного списка сертификатов, где сертификату присваивают категорию адреса сетевого ресурса, которому он соответствует. При этом могут получать список не всех категорий, а только запрещенных, где в каждой полученной категории содержатся адреса сетевых ресурсов, отнесенных к категории запрещенных, и в этом случае будет сформирован список запрещенных сертификатов на основании списка запрещенных категорий ресурсов, где к запрещенным сертификатам относят сертификаты, соответствующие адресам сетевых ресурсов, отнесенных к запрещенным категориям ресурсов. Когда имеется список запрещенных сертификатов, то могут определять похожесть неизвестного сертификата на известные сертификаты, категории для которых определены и соответствуют категориям сетевых ресурсов, соединение с которыми запрещено. Из признаков сертификатов, в том числе и запрещенных сертификатов, могут формировать правило (например, регулярное выражение), для формирования правил запрещенные сертификаты предварительно кластеризуются. В том случае, когда определение похожести осуществляется посредством применения правила, сертификат признается похожим если удовлетворяет правилу.

Известные сертификаты могут быть представлены кластерами, содержащими векторы признаков известных сертификатов, а запрещенные сертификаты представлены кластером, содержащим векторы признаков запрещенных сертификатов. Тогда в этом случае признаки неизвестного сертификата преобразуются в N-мерный вектор и определение похожести осуществляется посредством определения расстояния между N-мерным вектором неизвестного сертификата и кластером (или вектором известного сертификата, когда кластер образован одним вектором), где неизвестный сертификат признается похожим если:

- расстояние, между N-мерным вектором сертификата и центром кластера в N-мерном пространстве, меньше радиуса этого кластеров; или

- мера близости между N-мерным вектором элемента и центром кластера, в N-мерном пространстве, меньше порогового значения

Второе изобретение группы блокирует сетевые соединения с сетевыми ресурсами из запрещенных категорий ресурсов. Для осуществления способа блокировки перехватывают сертификат в момент установки защищенного соединения клиента с сервером и получают категории сетевых ресурсов, соединение с которыми данному клиенту запрещено. Далее, осуществляя способ, определяющий категорию неизвестных сертификатов (первое изобретение группы), определяют категорию перехваченного сертификата. Если категория перехваченного сертификата соответствует категориям сетевых ресурсов соединение, с которыми данному клиенту запрещено, то блокируют устанавливаемое соединение. Дополнительно при осуществлении способа блокировки из перехваченного сертификата извлекаются признаки, и соединение блокируют, если признаки перехваченного сертификата признаются похожими на признаки запрещенных сертификатов.

Краткое описание чертежей

Сопровождающие чертежи включены для обеспечения дополнительного понимания изобретения и составляют часть описания, показывают варианты осуществления изобретения и совместно с описанием необходимы для объяснения признаков изобретения.

Фиг. 1 - изображает систему блокировки сетевых соединений.

Фиг. 2 - изображает пример N-мерного пространства, векторы, кластер с его основными характеристиками.

Фиг. 3 - изображает систему категоризации сертификатов.

Фиг. 4 - изображает способ блокировки сетевых соединений.

Фиг. 5а - изображает способ блокировки сетевых соединений с формированием списка запрещенных сертификатов.

Фиг. 5б - изображает способ блокировки сетевых соединений на основании категории сетевого ресурса.

Фиг. 6 - изображает пример компьютерной системы общего назначения.

Осуществление изобретения

На Фиг. 1 изображена система блокировки сетевых соединений 100. Система 100 включает по меньшей мере средство перехвата, средство сравнения, базу запрещенных сертификатов. Система 100 может быть реализована, как распределенно, так и централизованно. В первом случае средство перехвата и клиент (которым, например, является веб-браузер) могут располагаться на одном устройстве (планшете, мобильном телефоне, персональном компьютере), средство сравнения и база запрещенных сертификатов могут находиться на другом устройстве локальной или корпоративной сети, в составе которой находится устройство с клиентом. В случае с централизованной реализаций система 100 полностью располагается либо на устройстве с клиентом, либо на другом устройстве (например, прокси-сервере), через которое от сервера к устройству с клиентом передается сетевой трафик. Средство перехвата системы 100 перехватывает трафик, идущий от сервера (например, веб-сервера) к клиенту (например, веб-браузеру) и извлекает сертификат, направленный от сервера клиенту. Перехват может осуществляться по схеме MITM {от англ. Man in the middle) и с распаковкой HTTPS трафика, если сертификат передается в защищенном тоннеле. Перехваченный сертификат от средства перехвата передается средству сравнения.

Средство сравнения используется для того, чтобы определить, похож ли перехваченный сертификат на запрещенные сертификаты, для этого средство сравнения системы 100 использует правила (в т.ч. регулярные выражения), векторы и кластеры (подробнее далее). Отдельно необходимо отметить, что определение похожести говорит о том, что определяется именно похожесть сертификатов, а не их тождественность, что существенно отличает наше изобретение от других решений, которые сравнивают полученные сертификаты с известными для определения тождественности (идентичности), например, путем сравнения отпечатков сертификатов {англ. fingerprint). Перехваченный сертификат признается похожим, если он может быть отображен (англ. mapping) на множество запрещенных сертификатов. Так как определяют похожесть перехватываемых сертификатов на запрещенные сертификаты, то используются нечеткие (англ. fuzzy) способы для определения отображения, например, регулярные выражения и метрики близости, поэтому, даже если перехваченный сертификат идентичен сертификату из множества запрещенных в результате сравнения, средство сравнения их признает только похожими.

Запрещенные сертификаты и/или признаки запрещенных сертификатов, кластеры, правила хранятся в базе запрещенных сертификатов. Сертификаты могут храниться как индивидуально (не связано), так и в списке, где список, упорядоченный по какому-либо признаку (например, владельцу сертификата, центру сертификации), - это набор сертификатов. Частным случаем списков являются кластеры, которые хранят не сами сертификаты, а их отображения - N-мерные векторы. Таким образом, база запрещенных сертификатов может хранить: непосредственно запрещенные сертификаты; запрещенные сертификаты в списках; отображения запрещенных сертификатов, например, в виде правил, связывающих общие признаки или в виде N-мерных векторов; отображения запрещенных сертификатов в кластерах. В том случае, если база хранит отображение запрещенных сертификатов в N-мерных векторах и/или кластерах, подразумевается, что база хранит модель N-мерного пространства запрещенных сертификатов.

N-мерный вектор сертификата - упорядоченный набор из n действительных чисел, где числа есть координаты вектора. Количество координат вектора называется размерностью вектора. Координаты определяют положение соответствующего сертификата или группы сертификатов от одного вида ресурсов (например, сети TOR) в N-мерном пространстве (на Фиг. 2 приведен пример двумерного пространства). Вектор получают преобразованием сведений о содержимом сертификата или группы сертификатов. Вектор отображает некоторую информацию о содержимом сертификата или группы сертификатов. В частном случае каждая координата отображает одну из характеристик сертификата, например, одна координата характеризует центр сертификации, другая владельца сертификата. Также числа могут отображать лексикографический порядок строковых параметров сертификатов или расстояние Левенштейна между строковыми параметрами разных элементов сертификата. Например, на Фиг. 2 изображены примеры векторов, в частности двумерные векторы с координатами (1666, 1889) и (1686, 1789)

Кластер - совокупность N-мерных векторов сертификатов. Перехваченный сертификат относится к некоторому кластеру, если расстояние от N-мерного вектора перехваченного сертификата до центра данного кластера меньше радиуса кластера в направлении N-мерного вектора. На Фиг. 2 в двумерном пространстве показан пример кластера. В частном случае сертификат относится к некоторому кластеру, если значение расстояния (на Фиг. 2 «d'») от N мерного вектора сертификата до ближайшего N-мерного вектора сертификата данного кластера меньше предельно допустимого (порогового значения расстояния [d']), или если значение расстояния (на Фиг. 2 «d») от N-мерного вектора сертификата до центра данного кластера меньше радиуса этого кластера. Например, расстояние от вектора (1666, 1889) до центра кластера меньше радиуса кластера, следовательно, сертификат или группа сертификатов, содержание которых отражает вектор, принадлежат данному кластеру и напротив - расстояние от вектора (1686, 1789) до центра кластера больше и радиуса кластера, и расстояния до ближайшего N-мерного вектора больше порогового значения, следовательно, сертификат или группа сертификатов, содержание которых отражает N-мерный вектор, не принадлежат данному кластеру. Варианты расстояний для оценки близости:

- линейное расстояние;

- евклидово расстояние;

- квадрат евклидова расстояния;

- обобщенное степенное расстояние Минковского;

- расстояние Чебышева;

- Манхэттенское расстояние.

Мера близости (степень сходства, коэффициент сходства) - безразмерный показатель для определения похожести сертификатов. Типы расстояний и меры близости являются метриками расстояния. Для определения меры близости используются меры:

- Охаи;

- Жаккара;

- Сокала-Снита;

- Кульчинского;

- симметричная Дайса.

Центр кластера (центроид) - это среднее геометрическое место N-мерных векторов в N-мерном пространстве. Для кластеров, состоящих из одного вектора, данный вектор будет являться центром кластера.

Радиус кластера (на Фиг. 2 «R») - максимальное расстояние N-мерных векторов, входящих в кластер, от центра кластера.

Дополнительно в системе блокировки сетевых соединений 100 могут использоваться средство кластеризации и генератор правил, которые обрабатывают запрещенные сертификаты, а именно:

- объединяют их в списки/кластеры;

- создают правила на основании общих признаков для сертификатов, объединенных в списки/кластеры.

Для кластеризации сертификатов используют различные известные алгоритмы и подходы, в том числе иерархические (агломеративные и дивизивные) и неиерархические. Кластеризация используется также для группировки сертификатов по общим признакам. Так после кластеризации сертификаты, векторы которых попали в один кластер, группируют в один список и формируют правило генератором правил на основании общих для сертификатов признаков (на основании которых они попали в один кластер). Правило может быть выражено в виде регулярного выражения, когда общие признаки выражены строками.

Обработка запрещенных сертификатов средством кластеризации и генератором правил может осуществляться удаленно, а в локальную базу запрещенных сертификатов загружаются только полученные правила. В другом частном случае средство сравнения локально преобразует перехваченный сертификат в N- мерный вектор признаков, а кластеры, с которыми сравнивается полученный вектор, сохранены в удаленной базе.

Запрещенные сертификаты для обработки в систему 100 могут загружаться: пользователем устройства с клиентом; администратором корпоративной сети; администратором сетевого ресурса, осуществляющего контроль, диспетчеризацию и маршрутизацию трафика (например, провайдером). В общем случае отнесение сертификатов к запрещенным администраторами или пользователем не зависит от вредоносности сетевых ресурсов, с которым сертификат связан. Будет тот или иной сертификат отнесен к запрещенным определяется политиками компании, предпочтениями конечных пользователей, настройками родительского контроля, требованиями местного законодательства и органов исполнительной власти, статусом самого сертификата (отозванные сертификаты, само подписанные сертификаты и т.д.).

Для поддержания работы системы блокировки сетевых соединений 100 дополнительно может использоваться система категоризации сертификатов 300, изображенная на Фиг. 3. Категоризация используется, например: в системах родительского контроля, когда нужно оградить несовершеннолетних от нежелательного контента; в системах корпоративного администрирования, когда необходимо наемным сотрудникам заблокировать доступ к развлекательным ресурсам. Способы категоризации могут быть различными, в результате осуществления которых, в частности, могут выделять такие категории ресурсов как:

- для взрослых (англ. adult content);

- программное обеспечение, аудио, видео (англ. software, audio, video);

- алкоголь, табак, наркотические и психотропные вещества (англ. alcohol, tobacco, narcotics);

- насилие (англ. violence);

- оружие, взрывчатые вещества, пиротехника (англ. weapons);

- нецензурная лексика (англ. profanity);

- азартные игры, лотереи, тотализаторы (англ. gambling, lotteries, sweepstakes);

- средства интернет-коммуникации (англ. internet communication media);

- электронная коммерция (англ. electronic commerce);

- поиск работы (англ. recruitment);

- переадресация http-запросов (англ. http query redirection);

- компьютерные игры (англ. computer games);

- религии, религиозные объединения (англ. religions, religious associations);

- новостные ресурсы (англ. news media).

Система категоризации сертификатов 300, изображенная на Фиг. 3 предназначена для установления соответствия между сертификатами и категориями ресурсов, поэтому система 300 содержит базу категорий, которая включает адреса сетевых ресурсов и категории этих ресурсов. База, в частном случае, сформирована ранее и используется как есть. Система 300 содержит также базу сертификатов, где каждому сетевому ресурсу соответствует сертификат, который использует ресурс при установке соединения с клиентом. База сертификатов системы 300 наполняется, например, системой блокировки 100. В другом случае могут использоваться базы сертификатов Microsoft, также эти способы могут использоваться совместно с другими возможными способами в различных комбинациях. База сертификатов и база категорий системы 300 связаны со средством категоризации, которое предназначено для установления соответствия между категорией сетевого ресурса и сертификатом, на основании пересечения по адресу сетевого ресурса. В результате установления соответствия средство категоризации наполняет базу сертификатов по категориям. На основании полученной базы сертификатов по категориям средство кластеризации и генератор правил наполняют базу запрещенных сертификатов. В базу запрещенных сертификатов попадают те сертификаты или их отображения (векторы, правила, кластеры), которые относятся к категории сетевых ресурсов, доступ к которым для устройства с клиентом запрещен политиками, законом, актом органа исполнительной власти и т.д. База запрещенных сертификатов будет использована в дальнейшем системой блокировки сетевых соединений 100. Средство кластеризации и генератор правил в другом частном случае могут использоваться для наполнения базы доверенных сертификатов. В базу доверенных сертификатов попадают те сертификаты или их отображения (векторы, правила, кластеры) которые относятся к категории сетевых ресурсов доступ, к которым для устройства с клиентом разрешен политиками, законом, актом органа исполнительной власти и т.д. Использование системы категоризации сертификатов 300 с системой блокировки сетевых соединений 100 позволяет существенно повысить эффективность (снижение ошибок второго рода) функционирования систем администрирования компьютерных сетей и родительского контроля. Повышение эффективности достигается за счет того, что в случае смены запрещенным ресурсом сетевого адреса или сетевого сертификата, соединение с данным ресурсом будет все равно заблокировано на основании похожести перехваченного сертификата на сертификат из базы запрещенных сертификатов.

Система блокировки сетевых соединений 100 используется для осуществления способа блокировки сетевых соединений, изображенного на Фиг. 4. На этапе 410, при установлении защищенного соединения между сервером и клиентом средством перехвата перехватывают сертификат от сервера. Далее на этапе 420 определяют, похож ли перехваченный сертификат на запрещенные сертификаты. В зависимости от способа определения похожести и способа хранения запрещенных сертификатов в базе запрещенных сертификатов, перехваченный сертификат преобразуют. В частном случае из сертификата получаются признаки для построения N-мерного вектора и сравнения его с кластерами в базе запрещенных сертификатов, такими признаками могут быть:

- даты и время начала и окончания срока действия сертификата,

- владелец сертификата ключа подписи,

- открытый ключ,

- наименование и реквизиты центра сертификации,

- наименование криптографического алгоритма,

- информация об ограничении использования подписи,

- указание на страну выпуска сертификата,

- частотные характеристики символов сертификата,

- смещения строк в сертификате и их длина,

- и т.д.

При построении N-мерного вектора сертификата в N-мерном пространстве для каждого признака при расчете координат могут использоваться разные веса, которые, например, определяются частотой встречаемости данного признака в сертификатах (ниже частота, больше вес). Также веса могут быть рассчитаны при помощи нейросетей, например, посредством использования метода обратного распространения ошибки совместно с методом градиентного спуска. Полученный вектор сравнивается (путем определения взаимного расстояния, например, между полученным вектором и центром кластера) с кластерами запрещенных сертификатов, в частном случае кластер может быть образован N-мерным вектором только одного запрещенного сертификата. В результате сравнения перехваченный сертификат признается похожим на запрещенные, когда:

- расстояние, между N-мерным вектором сертификата и центром по меньшей мере одного кластера в базе, в N-мерном пространстве, меньше радиуса этого кластеров; или

- мера близости между N-мерным вектором элемента и центром по меньшей мере одного кластера, в N-мерном пространстве, меньше порогового значения.

Когда для сравнения используется не N-мерный вектор, а правило, например, в виде регулярного выражения к строкам из сертификата применяется это правило. Например, для TOR-соединений правило выглядит следующим образом: O=, L=, S=, С=, CN=www\.[0-9a-zA-Z]+\.net. Если правило выполняется, перехваченный сертификат признается похожим на запрещенные сертификаты.

Если перехваченный сертификат похож на запрещенные сертификаты, на этапе 430 данное соединение блокируется средством перехвата системы 100. Блокировка данного сетевого соединения может осуществляться любыми известными из уровня техники способами.

Система категоризации сертификатов 300 и система блокировки сетевых соединений 100 используются для осуществления способа блокировки сетевых соединений с ресурсами, которые относятся к запрещенным категориям ресурсов. На этапе 510 получают список запрещенных категорий ресурсов, где в каждой категории содержатся адреса сетевых ресурсов, отнесенных к категории запрещенных. На этапе 520 получают список сертификатов и соответствующих им адресов сетевых ресурсов. Далее на этапе 530 формируют список запрещенных сертификатов на основании списка запрещенных категорий ресурсов, где к запрещенным сертификатам относят сертификаты, соответствующие адресам сетевых ресурсов, отнесенных к категории запрещенных ресурсов. На этапе 540 перехватывают сертификат в момент установки защищенного соединения и определяют на этапе 550 похожесть перехваченного сертификата на запрещенные сертификаты, если перехваченный сертификат в результате определения похожести признается похожим на запрещенные сертификаты, на этапе 560 устанавливаемое соединение блокируется. В общем случае получают список категорий без отнесения их к запрещенным, это необходимо в случаях гибких систем, когда заранее определить запрещенную категорию невозможно, или средство блокировки сетевых соединений обслуживает несколько устройств, к которым применены разные сетевые политики. В данном случае способ будет выполняться следующим образом. На этапе 510а получают список категорий ресурсов, где в каждой категории содержатся адреса сетевых ресурсов, отнесенных к данной категории. На этапе 520 получают список сертификатов и соответствующих им адресов сетевых ресурсов. Далее на этапе 530а сертификату из полученного списка сертификатов присваивают категорию, соответствующую категории сетевого ресурса, которому данный сертификат принадлежит. На этапе 540 перехватывают сертификат в момент установки защищенного соединения клиента с сервером и на этапе 541 получают категории сетевых ресурсов, соединение с которыми данному клиенту запрещено. На этапе 550 определяют похожесть перехваченного сертификата на сертификаты, которые относятся к категориям ресурсов, соединения с которыми запрещены. Если перехваченный сертификат в результате определения похожести признается похожим на указанные сертификаты, то на этапе 560 устанавливаемое соединение блокируется.

В другом случае на этапе 550 может определяться категория перехваченного сертификата путем определения похожести данного сертификата на известные сертификаты, категория которых определена, где перехваченному сертификату присваивается категория известного сертификата, на который он похож. В данном случае если определенная категория перехваченного сертификата тождественна запрещенной категории сетевого ресурса, полученной на этапе 541, соединение блокируется.

Под средством перехвата, средством сравнения, средством кластеризации, генератором правил в настоящем изобретении понимаются реальные устройства, системы, компоненты, группа компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемой вентильной матрицы (англ. field-programmable gate array, FPGA) или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic chips) Функциональность указанных средств может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности реализована программными средствами, а часть аппаратными. В некоторых вариантах реализации средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 6). Базы данных могут быть реализованы всеми возможными способами и содержаться как на одном физическом носителе, так и на разных, располагаться как локально, так и удаленно.

Фиг. 6 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 6. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Способ определения категорий неизвестного сертификата, в котором:

а) получают неизвестный сертификат;

б) определяют похожесть неизвестного сертификата на известные сертификаты, категории для которых определены, где категория для известного сертификата определяется содержимым соответствующего известному сертификату сетевого ресурса;

в) присваивают неизвестному сертификату категорию сертификата, на который сертификат признается похожим в результате определения похожести.

2. Способ по п. 1, где неизвестным считается сертификат, который соответствует сетевому ресурсу, категория содержимого для которого неизвестна.

3. Способ по п. 1, в котором для получения категорий известных сертификатов:

а) получают список категорий ресурсов, где в каждой категории содержатся адреса сетевых ресурсов, отнесенных к данной категории;

б) получают список сертификатов и соответствующих им адресов сетевых ресурсов;

в) определяют категории для сертификатов из полученного списка сертификатов, где сертификату присваивают категорию адреса сетевого ресурса, которому он соответствует.

4. Способ по п. 3, в котором получают список запрещенных категорий ресурсов, где в каждой категории содержатся адреса сетевых ресурсов, отнесенных к категории запрещенных.

5. Способ по п. 4, в котором формируют список запрещенных сертификатов на основании списка запрещенных категорий ресурсов, где к запрещенным сертификатам относят сертификаты, соответствующие адресам сетевых ресурсов, отнесенных к запрещенным категориям ресурсов.

6. Способ по п. 5, в котором определяют похожесть неизвестного сертификата на известные сертификаты, категории для которых определены и соответствуют категориям сетевых ресурсов, соединение с которыми запрещено.

7. Способ по п. 5, в котором из признаков запрещенных сертификатов формируют правило.

8. Способ по п. 7, в котором для формирования правил запрещенные сертификаты предварительно кластеризуются.

9. Способ по п. 7 или 8, в котором правило выражается регулярным выражением.

10. Способ по п. 1, в котором определение похожести осуществляется посредством применения правила, где сертификат, который удовлетворяет правилу, признается похожим.

11. Способ по п. 1, в котором известные сертификаты представлены кластерами, содержащими векторы признаков известных сертификатов.

12. Способ по п. 5 или 11, в котором запрещенные сертификаты представлены кластером, содержащим вектора признаков запрещенных сертификатов.

13. Способ по п. 11, в котором признаки неизвестного сертификата преобразуются в N-мерный вектор.

14. Способ по п. 11 или 13, в котором определение похожести осуществляется посредством определения расстояния между N-мерным вектором неизвестного сертификата и кластером, где неизвестный сертификат признается похожим если:

• расстояние, между N-мерным вектором сертификата и центром кластера в N-мерном пространстве меньше радиуса этого кластера; или

• мера близости между N-мерным вектором элемента и центром кластера в N-мерном пространстве меньше порогового значения

15. Способ блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов, в котором:

а) перехватывают сертификат в момент установки защищенного соединения клиента с сервером;

б) получают категории сетевых ресурсов, соединение с которыми данному клиенту запрещено;

в) определяют способом по п. 1 категорию перехваченного сертификата;

г) блокируют устанавливаемое соединение, если категория перехваченного сертификата соответствует категориям сетевых ресурсов, соединение с которыми данному клиенту запрещено.

16. Способ по п. 15, в котором дополнительно:

а) извлекают из перехваченного сертификата признаки;

б) блокируют соединение, если признаки перехваченного сертификата признаются похожими на признаки сертификатов из запрещенных категорий.



 

Похожие патенты:

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении информационной безопасности удаленного подключения вычислительной системы.

Группа изобретений относится к области вычислительной техники и может быть использована для выполнения арифметики с обфускацией в коммутативном кольце. Техническим результатом является повышение защищенности.

Изобретение относится к области криптографии. Технический результат – повышение безопасности совместного использования ключей.

Изобретение относится к области криптографии. Техническим результатом является повышение криптозащиты информации.

Изобретение относится к средствам для защиты данных с использованием электронных подписей (ЭП). Технический результат заключается в повышении степени защиты ключа ЭП посредством ключа шифрования ключа ЭП при одновременном создании защищенного канала с двухсторонней аутентификацией по сертификатам.

Изобретение относится к области преобразования двоичной информации при ее хранении и передаче. Техническим результатом является обеспечение многопоточной обработки информации для ее последующей передачи и хранения.

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение генерации криптографически стойкой ПСП и повышение качества вычисления инициализатора псевдослучайных последовательностей (ПСП).

Изобретение относится к маркировке готового изделия, содержащего контейнер и крышку для контейнера. Технический результат - обеспечение проверки подлинности готовых изделий.

Изобретение относится к выполнению замаскированных арифметических действий в коммутативном кольце. Технический результат – повышение эффективности выполнения замаскированных арифметических действий.

Группа изобретений относится к области вычислительной техники и может быть использована для выполнения обфускационных арифметических операций в коммутативном кольце.
Изобретение относится к области защиты командно-измерительной системы космического аппарата от несанкционированного вмешательства, возможного со стороны нелегитимных пользователей.

Изобретение относится к области вычислительной техники. Технический результат заключается в повышении информационной безопасности удаленного подключения вычислительной системы.

Изобретение относится к области разрешения имени DNS сети Интернет. Технический результат заключается в расширении арсенала средств.

Изобретение относится к мобильной телефонной связи, в частности к уведомлениям о состоянии защищенных карт. Техническим результатом является расширение арсенала технических средств.

Группа изобретений относится к области вычислительной техники и может быть использована для выполнения арифметики с обфускацией в коммутативном кольце. Техническим результатом является повышение защищенности.

Изобретение относится к определению местоположения пользователя на основании местоположений других пользователей. Технический результат заключается в повышении точности отслеживания местоположения отдельного пользователя путем привлечения социальной сети пользователя и достигается тем, что принимается информация о местоположении первого пользователя и информация о местоположении второго пользователя.

Изобретение относится к области вычислительной техники. Техническим результатом является более экономное использование вычислительных ресурсов при обработке рабочей нагрузки при сбое связи.

Изобретение относится к способу и вычислительному устройству для информирования о вредоносных веб-ресурсах. Техническим результатом является повышение эффективности информирования уполномоченных субъектов о выявленных веб-ресурсах с вредоносным и/или незаконным контентом.

Изобретение относится к области автоматизированных информационных систем, а именно к защите информации в информационных системах, и может быть использовано для обнаружения информационно-технических воздействий (ИТВ) на информационные системы.

Изобретение относится к публичным точкам беспроводного доступа. Технический результат заключается в расширении арсенала средств.

Изобретение относится к области разрешения имени DNS сети Интернет. Технический результат заключается в расширении арсенала средств.

Изобретения относятся к способу определения категории неизвестного сертификата, а также к способу блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов. Техническим результатом является повышение эффективности определения категории неизвестного сертификата для дальнейшей блокировки сетевых соединений с ресурсами из запрещенных категорий ресурсов. Способ определения категорий неизвестного сертификата заключается в том, что получают неизвестный сертификат; определяют похожесть неизвестного сертификата на известные сертификаты, категории для которых определены, где категория для известного сертификата определяется содержимым соответствующего известному сертификату сетевого ресурса; присваивают неизвестному сертификату категорию сертификата, на который сертификат признается похожим в результате определения похожести. 2 н. и 14 з.п. ф-лы, 6 ил.

Наверх