CN104040557A - 在线诈骗检测动态评分集合系统和方法 - Google Patents
在线诈骗检测动态评分集合系统和方法 Download PDFInfo
- Publication number
- CN104040557A CN104040557A CN201280066499.5A CN201280066499A CN104040557A CN 104040557 A CN104040557 A CN 104040557A CN 201280066499 A CN201280066499 A CN 201280066499A CN 104040557 A CN104040557 A CN 104040557A
- Authority
- CN
- China
- Prior art keywords
- mark
- swindle
- destination document
- document
- indication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Abstract
在一些实施例中,一种防在线诈骗系统组合几个不同的诈骗过滤器的输出以产生指示所观察的目标文档(例如网页、电子邮件)是诈骗性的可能性的集合分数。可以并入新实施的诈骗过滤器,并且可以逐渐停用老化的诈骗过滤器,而无需重新计算各个分数或使集合诈骗分数重新归一化。每当计算各个过滤器的输出时,就以确保所述集合分数保持在通过最小可允许分数和最大可允许分数限定的预定界限内(例如,0到100)的方式更新所述集合分数。
Description
背景技术
本发明涉及用于检测在线诈骗的方法和系统。
在线诈骗,尤其是钓鱼和窃取身份形式的在线诈骗,一直对全世界的因特网用户构成越来越大的威胁。通过在因特网上活动的国际犯罪网络骗到的例如用户名、ID、密码、社会保障号码和病历、银行卡和信用卡资料等敏感的身份信息被用来提取私人资金和/或被转卖给第三方。除了给个人的直接财务损失,在线诈骗还导致许多不希望的副作用,例如公司的安全成本增加、零售价格和银行费用提高、股票价值下跌、工资降低和税收减少。
在示范性钓鱼尝试中,假网站(有时也称为克隆网站)可以扮成属于在线零售商或金融机构的真实网页,要求用户输入一些个人/账户信息(例如,用户名、密码)和/或金融信息(例如,信用卡号、账号、卡安全码)。一旦无戒心的用户提交了信息,假网站就会采集这个信息。另外,用户可能会被引导到另一网页,这个网页可能会在用户的计算机上安装恶意软件。恶意软件(例如,病毒、木马)可以通过记录用户在访问某些网页时按压的按键而继续窃取个人信息,并且可以将用户的计算机变成发出其它钓鱼或垃圾邮件攻击的平台。
在因特网用户的计算机系统上运行的软件可用于识别诈骗在线文档,并且警告用户可能有钓鱼/窃取身份威胁。已经提议了几种方法来识别克隆网页,例如将网页的因特网地址与已知钓鱼地址或可信地址的列表(这些技术分别被称为黑名单和白名单)匹配。
在第7,457,823B2号美国专利中,史睿穆(Shraim)等人描述了一种系统,所述系统对网站或电子通信执行多个测试,基于测试中的每一个分配得分,基于所述多个测试中的每一个的得分分配复合得分,并且根据所述多个得分和/或所述复合得分将网站/电子通信分类成合法的或诈骗性的。
经验丰富的诈骗者持续开发出此类检测工具的对抗措施。此类对抗措施包含经常更改克隆网页的IP地址以便逃出黑名单。因为在线诈骗的类型和方法快速演变,所以成功的检测可能受益于新诈骗识别测试的开发。
发明内容
根据一个方面,一种方法包括采用计算机系统作为目标文档的第一诈骗分数和第二诈骗分数的组合确定目标文档的集合诈骗分数,其中根据不同的诈骗评估程序确定第一和第二诈骗分数;确定目标文档的第三诈骗分数;响应于确定第三诈骗分数,将所述集合诈骗分数修改根据第三诈骗分数与集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量;以及,响应于修改所述集合诈骗分数,根据修改的集合分数确定目标文档是不是诈骗性的。
根据另一方面,一种计算机系统包括经编程以进行以下操作的至少一个处理器;作为目标文档的第一诈骗分数和第二诈骗分数的组合确定所述目标文档的集合诈骗分数,其中所述第一和第二诈骗分数是根据不同的诈骗评估程序确定的;确定所述目标文档的第三诈骗分数;响应于确定所述第三诈骗分数,将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量;以及,响应于修改所述集合诈骗分数,根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
根据另一方面,一种方法包括:采用计算机系统确定目标文档是否包括指示诈骗的特征;响应于确定所述目标文档是否包括所述指示目标的特征,当所述目标文档包括所述指示诈骗的特征时,采用所述计算机系统将所述目标文档的集合诈骗分数的当前值修改与所述集合分数的所述当前值和所述集合诈骗分数的最大可允许值之间的差值成比例的量,其中作为多个各个诈骗分数的组合确定所述集合分数;以及响应于修改所述集合诈骗分数的所述当前值,采用所述计算机系统根据所述集合诈骗分数的所述修改的当前值确定所述电子文档是不是诈骗性的。
附图说明
当阅读以下详细描述并且当参考图式时,本发明的前述方面和优点将得到更好的理解,其中:
图1展示根据本发明的一些实施例的示范性防在线诈骗系统。
图2展示根据本发明的一些实施例的客户端系统的示范性硬件配置。
图3展示根据本发明的一些实施例的反诈骗服务器系统的示范性硬件配置。
图4说明在根据本发明的一些实施例的客户端系统上执行的一组应用程序。
图5展示根据本发明的一些实施例的在图1-2的反诈骗服务器上执行的示范性的一组应用程序。
图6说明根据本发明的一些实施例的客户端系统与反诈骗服务器之间的示范性诈骗检测事务。
图7展示根据本发明的一些实施例的示范性服务器诈骗检测器应用程序的图。
图8展示根据本发明的一些实施例通过客户端系统执行的步骤的示范性序列。
图9说明根据本发明的一些实施例通过反诈骗服务器执行的步骤的示范性序列。
具体实施方式
在以下描述中,应理解,结构之间的所有所列举的连接可以是直接操作性连接,或者通过中间结构的间接操作性连接。一组要素包含一个或多个要素。对要素的任何引述应理解为指的是至少一个要素。多个要素包含至少两个要素。除非以其它方式必需,否则不需要必然以特定所说明的次序执行任何所描述的方法步骤。从第二要素导出的第一要素(例如数据)涵盖等于第二要素的第一要素,以及通过处理第二要素和任选地其它数据而产生的第一要素。根据参数作出确定或决策涵盖根据参数和任选地根据其它数据作出确定或决策。除非另外规定,否则某一数量/数据的指示符可以是数量/数据本身,或者是不同于数量/数据本身的指示符。本发明的一些实施例中描述的计算机程序可以是独立的软件实体或其它计算机程序的子实体(例如,子例程、代码对象)。除非另外规定,否则术语在线诈骗不限于诈骗网站,而是还涵盖其它非法或未经请求的商用电子通信,例如电子邮件、即时消息和电话文本和多媒体消息等等。计算机可读媒体涵盖例如磁性、光学和半导体媒体(例如硬驱动器、光盘、快闪存储器、DRAM)等非暂时存储媒体以及例如导电电缆和光纤链路等通信链路。根据一些实施例,本发明尤其提供包括经过编程以执行本文中所描述的方法的硬件(例如,一个或多个处理器和/或存储器)以及对指令进行编码以执行本文中所描述的方法的计算机可读媒体的计算机系统。
以下描述举例说明本发明的实施例,并且未必以限制方式说明本发明的实施例。
图1展示根据本发明的一些实施例的示范性防在线诈骗系统。系统10包含多个网络服务器12a-b、一个反诈骗服务器16和多个客户端系统14a-b。客户端系统14a-b可以表示最终用户计算机,其各自具有处理器、存储器和存储装置,并且运行例如 或Linux等操作系统。一些客户端计算机系统14a-b可以表示例如平板PC、移动电话和个人数字助理(PDA)等移动计算和/或电信装置。在一些实施例中,客户端系统14a-b可以表示各个客户,或者几个客户端系统可以属于相同客户。反诈骗服务器16可包含一个或多个计算机系统。网络18连接网络服务器12a-b、客户端系统14a-b和反诈骗服务器16。网络18可以是例如因特网等广域网,而网络18的一些部分还可包含局域网(LAN)。
图2展示客户端系统14的示范性硬件配置。在一些实施例中,系统14包括处理器20、存储器单元22、一组输入装置24、一组输出装置28、一组存储装置26和一个通信接口控制器30,这些装置全部通过一组总线32连接起来。
在一些实施例中,处理器20包括物理装置(例如,多核集成电路),所述物理装置经配置以使用一组信号和/或数据执行计算和/或逻辑操作。在一些实施例中,用处理器指令序列(例如机器代码或其它类型的软件)的形式将此类逻辑操作传递到处理器20。存储器单元22可包括存储在执行指令的过程中通过处理器20存取或产生的数据/信号的易失性计算机可读媒体(例如,RAM)。输入装置24可尤其包含计算机键盘和鼠标,从而允许用户将数据和/或指令引入到系统14中。输出装置28可包含例如监视器等显示装置。在一些实施例中,输入装置24和输出装置28可以共享共同的一件硬件,如同在触屏装置的情况下。存储装置26包含支持软件指令和/或数据的非易失性存储、读取和写入的计算机可读媒体。示范性存储装置26包含磁盘和光盘和快闪存储器装置以及例如CD和/或DVD磁盘和驱动器等可装卸媒体。通信接口控制器30使得系统14能够连接到网络18和/或连接到其它机器/计算机系统。典型的通信接口控制器30包含网络适配器。总线32共同地表示所述多个系统、外围设备和芯片组总线,和/或所有其它支持系统14的装置20-30之间的通信的电路。举例来说,总线32可包括将处理器20连接到存储器22的北桥总线和/或将处理器20连接到装置24-30的南桥总线以及其它装置。
图3展示根据本发明的一些实施例的反诈骗服务器16的示范性硬件配置。反诈骗服务器16可以是包括服务器处理器120、服务器存储器122、一组服务器存储装置126和服务器通信接口控制器130的计算机系统,上述装置全部经由一组服务器总线132彼此连接。虽然硬件配置的一些细节可能在反诈骗服务器16与客户端系统14(图2)之间有不同,但是装置120、122、126、130和132的范围可以分别类似于上述装置20、22、26、30和32的范围。
图4展示在客户端系统14上执行的示范性的一组应用程序。在一些实施例中,每一客户端系统14a-b包括文档阅读器应用程序34(例如,网络浏览器、电子邮件阅读器、媒体播放器),所述文档阅读器应用程序可以是用于远程存取存储在网络服务器12a-b上的数据的计算机程序。当用户存取例如网页或电子消息等在线文档(以下论述中称为目标文档)时,与目标文档相关联的数据在相应网络服务器与客户端系统14之间的网络18的部分上传播。在一些实施例中,文档阅读器应用程序34接收目标文档数据,将目标文档数据翻译成视觉形式,并且将其显示给用户,从而允许用户与目标文档的内容交互。
在一些实施例中,文档阅读器应用程序34包含客户端诈骗检测器36和客户端通信管理器37,其连接到文档阅读器34。在一些实施例中,客户端诈骗检测器36可以确定目标文档是不是诈骗性的。举例来说,如果目标网页复制了请求用户的凭证的合法银行网页的视觉/语义特性,那么客户端诈骗检测器36可以将目标网页识别为钓鱼页面。如果检测到诈骗,那么检测器36的一些实施例可以阻止文档阅读器34显示目标网页,并且/或者向用户发出诈骗警告。诈骗检测器36可以用插件、附件或工具栏的形式与文档阅读器34合并。或者,客户端诈骗检测器36可以是独立的软件应用程序,或者可以是具有防病毒程序、防火墙、防垃圾邮件系统和其它模块的安全套件的模块。在一些实施例中,诈骗检测器36的操作可以由用户打开和关闭。
在一些实施例中,客户端通信管理器37经配置以管理客户端系统14与反诈骗服务器16和/或网络服务器12a-b的通信。举例来说,管理器37可以经由网络18建立连接,并且向服务器12a-b和16发送数据和从所述服务器接收数据。
图5展示根据本发明的一些实施例的在反诈骗服务器16上执行的一组示范性应用程序。反诈骗服务器16可包括服务器诈骗检测器38、服务器通信管理器46、诈骗分数数据库42和过滤器参数数据库44,这些装置全部连接到检测器38。在一些实施例中,服务器16还可包括连接到过滤器参数数据库44的过滤器训练引擎48。在一些实施例中,服务器诈骗检测器38经配置以执行与客户端系统14a-b的多个诈骗检测事务。对于每一此事务,服务器诈骗检测器38经配置以执行服务器侧扫描以确定相应客户端系统存取的目标文档是不是诈骗性的,如下文所详细描述。服务器通信管理器46经配置以管理与客户端系统14a-b的通信。举例来说,管理器46可以经由网络18建立连接,向客户端系统14a-b发送数据/从所述客户端系统接收数据,维护进行中的诈骗检测事务的列表和使目标文档数据与发端客户端系统14a-b相关联。
维护诈骗分数数据库42作为在线诈骗知识储存库。在一些实施例中,数据库42包括针对多个目标文档所计算的多个记录诈骗分数,如下文中进一步描述。数据库42中存储的每一分数可包含额外信息,例如指示计算或更新相应分数时的时间点的时戳,和/或用来计算相应分数的诈骗过滤器的指示符(例如过滤器ID)(见下文)。与诈骗分数一起,数据库42还可存储包括多个目标对象识别符(例如对象ID、标记、散列)(每一对象识别符与目标文档独特地相关联)和使每一诈骗分数与计算诈骗分数所针对的目标文档相关联的映射的数据结构,从而允许服务器诈骗检测器38从数据库42选择性地检索所记录的诈骗分数,如下文所展示。在一些实施例中,诈骗分数数据库42可以驻留在与服务器16不同的计算机系统上,但经由网络18连接到服务器16。或者,数据库42可以驻留在连接到服务器16的非易失性计算机可读媒体上。
在一些实施例中,过滤器参数数据库44包括确定诈骗过滤器的操作的一组过滤器特定的参数(见下文)。过滤器参数的实例包含基于神经网络的过滤器的每层多个神经元和一组神经元权重,基于k均值的分类器中的丛集中心的位置和图像处理过滤器中的颜色直方图二进制数的数目和位置。过滤器参数的其它实例包含决策阈值、一组网络地址、一组指示诈骗的关键词和域名的黑名单/白名单。在一些实施例中,由操作人员提供存储在数据库44中的过滤器参数的值。在一些实施例中,诈骗过滤器可以经过训练(经最佳化)通过改变过滤器参数的值来改进诈骗检测性能。举例来说,过滤器训练引擎48可经配置以产生有待存储在数据库44中的一组过滤器参数(例如,训练神经网络过滤器以区分诈骗文档与合法文档可以产生一组神经元权重)。在一些实施例中,过滤器训练引擎48可以对与反诈骗服务器16不同的计算机系统进行操作,在此情况下,引擎48所计算的过滤器参数可以经由周期性或按需更新而传送到服务器16。
图6说明示范性客户端-服务器诈骗检测事务。当用户请求存取在线文档(例如网页)时,相应客户端系统14可以向反诈骗服务器16发送目标指示符40,并且可以从服务器16接收目标标签50。在一些实施例中,目标指示符40包括允许反诈骗服务器16选择性地存取和/或检索相应目标文档的数据。示范性目标指示符40包括目标网页的统一资源定位符(URL)、目标文档的网络地址和目标因特网域的IP地址。在一些实施例中,目标指示符40可包括目标对象的对象识别符(例如散列)、服务器16可存取的数据库中的目标对象的地址(例如指针)或目标对象本身(部分或全部)。目标指示符40的一些实施例还可包括与相应目标文档相关联的其它数据(例如,来自目标文档的HTTP标头的字段、目标文档的大小和/或时戳)。
在一些实施例中,目标标签50包括目标文档的诈骗状态(例如,诈骗、合法)的指示符,所述诈骗状态是反诈骗服务器16在相应诈骗检测事务过程中确定的。目标标签50还可包括相应目标对象的识别符(对象ID等)以及例如时戳和检测到的诈骗类型(例如,钓鱼)的指示符等其它数据。
图7展示根据本发明的一些实施例的服务器诈骗检测器38的图。诈骗检测器38包括剖析器52、连接到剖析器52的一组诈骗过滤器54(在图7中指示为Fl...Fn)、连接到过滤器54的分数集合器70和连接到分数集合器70的决策模块66。在一些实施例中,诈骗检测器38从客户端系统14接收目标指示符40,并且产生指示指示符40所识别的目标文档是不是诈骗性的目标标签50。服务器诈骗检测器38还可从诈骗分数数据库42检索记录诈骗分数62和从过滤器参数数据库44检索一组过滤器参数56,并且可以向分数数据库42输出集合诈骗分数64。
在一些实施例中,剖析器52接收目标指示符40并且将与指示符40相关联的目标文档处理成合适作为对多个诈骗过滤器54的输入的形式。举例来说,当目标文档是网页时,剖析器52可以将目标网页分成构成实体(例如标头、主体、文本部分、图像等),可以识别例如形式和超链接等多种特征,并且从HTTP标头提取特定数据(例如推荐符URL)等等。在一些实施例中,剖析器52可以根据目标指示符40确定目标文档的位置(例如,URL),并且指令服务器通信管理器46从相应位置下载目标文档的拷贝。
在一些实施例中,诈骗过滤器54是计算机程序,其各自实施用于评估通过目标指示符40指示的文档的合法性的不同程序。在一些实施例中,每一诈骗过滤器54的操作可包括评估相应目标文档以寻找指示诈骗的特征(诈骗文档的特性)和/或指示合法性的特征(合法文档的特性)。指示诈骗的特征的实例是诈骗推荐符:当用户通过点击钓鱼电子邮件中找到的链接时被引导到某个网页时,相应网页具有高诈骗概率。另一指示诈骗的特征是在目标网页中存在登录表格。指示合法性的特征的实例是高流量:接收到高流量的域的诈骗的可能性小于仅仅收到几个访问者的域。
下文列出几个示范性诈骗过滤器54:
a)推荐符过滤器可以根据相应文档的推荐符确定目标文档是不是诈骗性的。在一些实施例中,推荐符是将用户链接和/或引导到目标文档的文档(例如网页)。举例来说,网页的HTTP标头可包括就在目前的URL(也称为推荐符URL)之前访问的页面的URL。在一些实施例中,过滤器54维护推荐符URL的黑名单和/或白名单,并且将目标文档的推荐符与黑名单/白名单条目比较。在一些实施例中,通过黑名单里的URL参考的页面被标记为诈骗性的。在其它实施例中,被辨识为垃圾邮件消息、恶意软件和/或社交网站的推荐符可与比例如个人网页和搜索引擎等推荐符更高的诈骗概率相关联。
b)网页布局过滤器可以根据目标文档的视觉布局来确定目标文档是不是诈骗性的。在一些实施例中,可以给视觉上组织成登录页面的网页分配高诈骗概率。
c)关键词过滤器可以维护通常与诈骗相关联的关键词的列表。目标文档中存在此类关键词可以确定过滤器要将相应目标文档标记为诈骗性的。
d)因特网域历史过滤器可以使用关于一个因特网域的历史数据来确定所述域托管的目标文档的合法性。在一些实施例中,当存在相应域曾经托管过诈骗网页(例如钓鱼)或曾受到黑客攻击的指示时,可以给目标文档分配高诈骗概率。
e)因特网域名誉过滤器可以采用一组名誉指示符,例如域所有者的身份和/或地址,域首次在当前所有权下注册时的日期等。在一些实施例中,可以给所有者与已知诈骗域的所有者相同的域分配高诈骗概率。在一些实施例中,还给展示出所有权的频繁变化的域分配托管诈骗文档的高概率。
因为在线诈骗的形式和内容在不断地变化,所以过滤器54的诈骗检测性能可以随时间变化。在一些实施例中,可以通过添加新过滤器和移除被视为过时的早期过滤器而使多个诈骗过滤器54保持最新。可以引入(举例来说)具有新颖的指示诈骗的特征的标识的新过滤器。在一些实施例中,诈骗过滤器54可以由操作人员选择性地打开或关闭。或者,过滤器可以在某一服务时间(例如,一年)之后或根据其它准则自动失活。在一些实施例中,每一诈骗过滤器54可包括一个识别符(过滤器ID),其区别这个诈骗过滤器与其它诈骗过滤器,从而允许服务器诈骗检测器38选择性地采用诈骗过滤器的任何组合,并且维护哪些诈骗过滤器被用来评估每一目标文档的记录。
每一诈骗过滤器54输入来自剖析器52的目标文档的一组数据,和来自过滤器参数数据库44的一组过滤器参数56,并且向分数集合器70输出一个分数60。在一些实施例中,每一分数60是0到1之间的数字。分数60可以指示诈骗(高分表示目标文档的诈骗概率较高)和/或指示合法(高分表示目标文档的合法概率较高)。举例来说,某一诈骗过滤器54产生的指示诈骗的分数0.85可以指示根据所述特定诈骗过滤器相应文档有85%的可能性是诈骗性的。在一些实施例中,分数60可以具有二进制值(例如,1/0,是/否)。
表1
| 查询次数 | 0-49 | 50-99 | 100-199 | 200-299 | 300-399 | 400-549 | 550-749 | >750 |
| 分数 | 0.00 | 0.14 | 0.28 | 0.43 | 0.57 | 0.71 | 0.86 | 1.00 |
表1展示诈骗过滤器54根据估计因特网流量产生的示范性的一组分数60。过滤器寄存来自多个客户端系统14的扫描特定目标网页的多个请求(查询)。查询次数可以指示相应URL处的因特网流量,并且高流量可以是对合法网页的指示。示范性分数是识别合法性的(分数越高指示合法的可能性越高)。
分数集合器70(图7)经配置以将诈骗过滤器54产生的各个分数60组合成相应目标文档的集合分数64。在一些实施例中,集合分数64是指示目标对象是诈骗性的可能性的数字(例如,0到100之间的数字,其中0指示肯定是合法的,而100指示肯定是诈骗性的)。在一些实施例中,服务器诈骗检测器38经配置使得每当评估目标文档时,就在分数数据库42中记录集合分数64的拷贝,连同计算中使用的目标文档的指示符和诈骗过滤器的指示符(例如,相应过滤器ID)。这允许数据库42像高速缓存一样操作:当再次评估相同目标文档时,服务器诈骗检测器38可以从数据库42检索目标文档的记录分数62,而不必对其进行再次计算,从而节省了计算资源。只有以前未被用来分析相应目标文档的诈骗过滤器54(例如,自从最后一次扫描目标文档以来引入的新过滤器)被用来产生分数60,所述分数与记录分数62组合以产生集合分数64。
为了计算集合分数64,集合器70可以首先将分数64初始化成等于相应目标文档的记录分数62的值。接着,对于每一产生分数σi的诈骗过滤器i,集合器70的一些实施例可以如下迭代地修改集合分数64。
当分数σi指示诈骗时(高分指示高诈骗可能性),用新的值来替换集合分数的当前值:
SA→SA+(Smax-SA)wiσi [1]
其中SA指示集合分数,Smax指示集合分数的上限(最大可允许的分数,例如,100),并且wi指示相应诈骗过滤器的权重。当诈骗分数σi指示合法性(高分指示高合法可能性)时,将集合分数更新为:
SA→SA-(SA-Smin)wiσi [2]
其中SA指示集合分数,Smin指示集合分数的下限(最小可允许的分数,例如,0),并且wi指示相应诈骗过滤器的权重。
在一些实施例中,每一过滤器权重wi是0到1之间的数字,表示相应过滤器的可靠程度。目标文档的一些特征与其它特征相比可以与诈骗更强地关联。举例来说,到已知钓鱼页面的链接通常是比存在词语“密码”更强的诈骗指示。因此,专门分析目标文档的超链接的诈骗过滤器所计算的分数σi可以收到比检测到例如“密码”等关键词的存在的诈骗过滤器所计算的分数σj更高的权重wi。在一些实施例中,过滤器权重wi可以由操作人员提供,或者可以是自动过滤器训练程序的结果。
在采用公式[l]-[2]的示范性计算中,目标网页在先前诈骗扫描中得到集合分数40(以0到100的标度测量)。在稍后时间,引入可靠的新过滤器(w1=l);其传回目标网页的指示诈骗的分数σi=0.3。集合器70计算新集合分数40+(100-40)*0.3=58。同时,域流量过滤器(权重w2=0.5)传回指示合法性的分数σ2=0.2。集合分数现在是58-58*0.5*0.2≈52。
在一些实施例中,决策模块66(图7)从集合器70接收集合分数64并且输出目标标签50。为了确定目标标签50,决策模块66的一些实施例可以将集合分数64与预定阈值比较。当分数64超出阈值时,可以将目标文档标记为诈骗性的,否则的话可以将目标文档标记为合法的。一些计算机实验中使用示范性阈值50。
图8展示根据本发明的一些实施例的在诈骗检测事务过程中客户端系统14执行的步骤的示范性序列。在步骤202中,系统14接收存取目标文档的用户请求(例如,在浏览器应用程序中显示网页)。在步骤204中,客户端诈骗检测器36可以确定与目标文档相关联的目标指示符40。在目标网页的实例中,指示符40可包括目标网页的URL等等。在步骤206中,客户端通信管理器37可以经由网络18建立与反诈骗服务器16的连接以便向服务器16发射目标指示符。接下来,在步骤208中,通信管理器37从服务器16接收目标标签50。在步骤210中,诈骗检测器36根据目标标签50确定相应目标文档是不是诈骗性的。当标签50指示合法文档时,在步骤212中,客户端系统14可以加载目标文档(例如,向用户显示目标网页)。当目标标签50指示诈骗性文档时,在步骤214中,客户端系统14可以通过例如显示诈骗警告来通知用户。在一些实施例中,步骤214可以进一步包括阻止对目标文档的存取。
图9展示根据本发明的一些实施例的在诈骗检测事务过程中反诈骗服务器16执行的步骤的示范性序列。在步骤222中,服务器通信管理器46从客户端系统14接收目标指示符40。在步骤224中,服务器诈骗检测器38可以从分数数据库42检索与相应目标文档相关联的记录分数62。接下来,在步骤226中,检测器38根据与记录分数62相关地存储的数据(例如过滤器ID)来确定使用了哪些诈骗过滤器54计算分数62,以及是否有必要进行分数更新。在一些实施例中,每当存在至少一个尚未应用于目标文档的诈骗过滤器54(举例来说,每当引入新诈骗过滤器时,或当现存诈骗过滤器的参数已经改变时)时,就计算新的集合分数。当不必进行分数更新时(例如,当记录分数62是来自所有过滤器54的分数60的集合时),服务器16的操作前进到下文进一步描述的步骤234。否则的话,在步骤228中,剖析器52可以产生合适输入到过滤器54的目标文档的一组数据。在一些实施例中,步骤228可以进一步包括远程存取目标文档或者将目标文档部分或全部地下载到服务器16上。
在步骤230中,过滤器54的子组可以输入来自剖析器52的目标文档数据以产生对应分数60。在步骤232中,分数集合器70可以通过将在步骤230中计算的分数60与在步骤224中检索的记录分数62组合来计算集合分数64。在一些实施例中,集合器70可以采用公式[1]来计算集合分数64。接下来,在步骤234中,决策模块66可以根据集合分数产生目标标签50。在一些实施例中,当未执行新分数集合时,模块66可以根据记录分数62确定目标标签50。在步骤236中,服务器诈骗检测器38指示通信管理器46向发端客户端系统14发送目标标签50。在步骤238中,服务器诈骗检测器38可以通过将记录分数62替换成新计算的集合分数64来更新分数数据库42。在一些实施例中,将与更新有关的数据(例如,参与集合分数的过滤器的ID、时戳等)与集合分数64一起保存。
上述示范性系统和方法允许防在线诈骗系统同时采用几个不同的诈骗过滤器,并且动态地组合诈骗过滤器的各个输出以产生指示所调查的目标文档(例如网页、电子通信)是诈骗性的可能性的集合分数。
在线诈骗可能会以许多不同形式出现。诈骗性在线文档的一些实例包含:假装代表金融机构的网页;托管有附带条件的托管欺诈的网页;执行欺诈的社交网络(例如,)页面;托管在线游戏欺诈的网页,货币借贷欺诈,或点击付费广告欺诈;托管在线约会欺诈或雇佣/招聘欺诈的网页。在线诈骗的其它实例是试图通过伪装成可信实体而获得例如用户名、密码和信用卡资料等敏感信息的钓鱼网页和/或电子消息。其它诈骗性网页和电子消息可能含有恶意软件和/或试图在用户的计算机上安装恶意软件,所述恶意软件是用于窃取身份或其它私人信息。
各个诈骗过滤器评估目标文档的多个指示诈骗和/或指示合法的特征,例如确定网页是否包括登录表格或一组指示诈骗的关键词,或托管目标文档的因特网域是否有托管诈骗性文档的历史。
在一些实施例中,各个过滤器产生的诈骗分数可以指示诈骗(高分指示诈骗的可能性高)或指示合法(高分指示合法的可能性高)。根据常用计算程序,指示诈骗的分数可以增加集合诈骗分数,而指示合法的分数可以减小集合分数。
这里描述的示范性系统和方法允许动态并入新实施的诈骗过滤器和/或逐渐停用老化的诈骗过滤器,而不需要重新计算所述过滤器产生的各个分数,或使集合诈骗分数重新归一化。每当计算单个诈骗分数时,就用允许集合分数保持在预定界限内(例如,0到100)的方式更新集合分数。
本发明的一些实施例执行合作客户端-服务器诈骗检测事务,并且根据目标对象的服务器侧扫描的结果评估目标对象的诈骗状态(例如,诈骗性的/合法的)。在远程服务器上执行诈骗检测的一部分比客户端计算机系统上的本地诈骗检测具有多个优点。
通过以服务器为中心执行很大部分诈骗检测,上述系统和方法允许及时并入关于新检测到的在线诈骗的数据。举例来说,可以在中央服务器上更高效许多地维护网页白名单/黑名单。相比之下,当在客户端计算机系统上执行诈骗检测时,每当发现新威胁时,必须将经更新的白名单/黑名单分配给很多客户端。
使上述客户端与反诈骗服务器系统之间交换的数据包的大小保持最小。上述示范性方法和系统经配置以交换例如目标URL等目标指示符(总计每个目标对象几个字节),而不是从客户端向服务器发送整个目标文档来进行诈骗检测,因而明显地减少网络流量。
所属领域的技术人员将清楚,在不脱离本发明的范围的情况下可以用多种方式变更以上实施例。因此,应通过所附权利要求书和其法律等效物来确定本发明的范围。
Claims (27)
1.一种方法,其包括:
采用计算机系统确定作为目标文档的第一诈骗分数与第二诈骗分数的组合的所述目标文档的集合诈骗分数,其中根据不同的诈骗评估程序确定所述第一和第二诈骗分数;
采用所述计算机系统确定所述目标文档的第三诈骗分数;
响应于确定所述第三诈骗分数,采用所述计算机系统将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量;以及
响应于修改所述集合诈骗分数,采用所述计算机系统根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
2.根据权利要求1所述的方法,其中响应于将对应于所述第三诈骗分数的不同的诈骗评估程序添加到用于产生所述集合诈骗分数的一组诈骗评估程序而执行采用所述计算机系统确定所述目标文档的所述第三诈骗分数。
3.根据权利要求1所述的方法,其中根据以下函数确定所述第一量:
(Smax-SA)wσ
其中SA和Smax分别是所述集合分数和所述最大可允许集合分数,其中σ是所述第三诈骗分数,并且其中w是指示所述第三分数的可靠性的数字。
4.根据权利要求1所述的方法,其中确定所述第三诈骗分数包括确定所述目标文档是否包含指示诈骗的特征,并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示诈骗的特征时将所述集合诈骗分数增加所述第一量。
5.根据权利要求1所述的方法,其进一步包括响应于采用所述计算机系统确定所述集合分数:
采用所述计算机系统确定所述目标文档的第四诈骗分数;以及
采用所述计算机系统将所述集合诈骗分数修改根据所述第四诈骗分数与所述集合分数和最小可允许集合分数之间的差值的乘积所确定的第二量。
6.根据权利要求5所述的方法,其中根据以下函数确定所述第二量:
(SA-Smin)wσ
其中SA和Smin分别是所述集合分数和所述最小可允许集合分数,其中σ是所述第四诈骗分数,并且其中w是指示所述第四分数的可靠性的数字。
7.根据权利要求5所述的方法,其中确定所述第四诈骗分数包括确定所述目标文档是否包含指示合法的特征,并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示合法的特征时将所述集合诈骗分数减小所述第二量。
8.根据权利要求1所述的方法,其中确定所述第三诈骗分数包括评估包括到所述目标文档的超链接的推荐符文档。
9.根据权利要求8所述的方法,其中评估所述推荐符文档包括确定所述推荐符文档是不是社交网站网页。
10.根据权利要求8所述的方法,其中评估所述推荐符文档包括确定所述推荐符文档是不是垃圾邮件消息。
11.根据权利要求1所述的方法,其中确定所述第三诈骗分数包括确定所述目标文档是否包括指示诈骗的布局特征。
12.根据权利要求11所述的方法,其中所述布局特征包括电子表格。
13.根据权利要求1所述的方法,其中确定所述第三诈骗分数包括确定托管所述目标文档的因特网域是否曾受到黑客攻击。
14.一种计算机系统,其包括经过编程以进行以下操作的至少一处理器:
作为目标文档的第一诈骗分数和第二诈骗分数的组合确定所述目标文档的集合诈骗分数,其中所述第一和第二诈骗分数是根据不同的诈骗评估程序确定的;
确定所述目标文档的第三诈骗分数;
响应于确定所述第三诈骗分数,将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量;以及
响应于修改所述集合诈骗分数,根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
15.根据权利要求14所述的计算机系统,其中确定所述目标文档的所述第三诈骗分数是响应于将对应于所述第三诈骗分数的不同的诈骗评估程序添加到用于产生所述集合诈骗分数的一组诈骗评估程序而执行的。
16.根据权利要求14所述的计算机系统,其中根据以下函数确定所述第一量:
(Smax-SA)wσ
其中SA和Smax分别是所述集合分数和所述最大可允许集合分数,其中σ是所述第三诈骗分数,并且其中w是指示所述第三分数的可靠性的数字。
17.根据权利要求14所述的计算机系统,其中确定所述第三诈骗分数包括确定所述目标文档是否包含指示诈骗的特征,并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示诈骗的特征时将所述集合诈骗分数增加所述第一量。
18.根据权利要求14所述的计算机系统,其中所述处理器进一步经编程以响应于确定所述集合分数:
确定所述目标文档的第四诈骗分数;以及
将所述集合诈骗分数修改根据所述第四诈骗分数与所述集合分数和最小可允许集合分数之间的差值的乘积所确定的第二量。
19.根据权利要求18所述的计算机系统,其中根据以下函数确定所述第二量:
(SA-Smin)wσ
其中SA和Smin分别是所述集合分数和所述最小可允许集合分数,其中σ是所述第四诈骗分数,并且其中w是指示所述第四分数的可靠性的数字。
20.根据权利要求19所述的计算机系统,其中确定所述第四诈骗分数包括确定所述目标文档是否包含指示合法的特征,并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示合法的特征时将所述集合诈骗分数减小所述第二量。
21.根据权利要求14所述的计算机系统,其中确定所述第三诈骗分数包括评估包括到所述目标文档的超链接的推荐符文档。
22.根据权利要求21所述的计算机系统,其中评估所述推荐符文档包括确定所述推荐符文档是不是社交网站网页。
23.根据权利要求21所述的计算机系统,其中评估所述推荐符文档包括确定所述推荐符文档是不是垃圾邮件消息。
24.根据权利要求14所述的计算机系统,其中确定所述第三诈骗分数包括确定所述目标文档是否包括指示诈骗的布局特征。
25.根据权利要求24所述的计算机系统,其中所述布局特征包括电子表格。
26.根据权利要求14所述的计算机系统,其中确定所述第三诈骗分数包括确定托管所述目标文档的因特网域是否曾受到黑客攻击。
27.一种方法,其包括:
采用计算机系统确定目标文档是否包括指示诈骗的特征;
响应于确定所述目标文档是否包括所述指示目标的特征,当所述目标文档包括所述指示诈骗的特征时,采用所述计算机系统将所述目标文档的集合诈骗分数的当前值修改与所述集合分数的所述当前值和所述集合诈骗分数的最大可允许值之间的差值成比例的量,其中作为多个单个诈骗分数的组合确定所述集合分数;以及
响应于修改所述集合诈骗分数的所述当前值,采用所述计算机系统根据所述集合诈骗分数的所述修改的当前值确定所述电子文档是不是诈骗性的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/352,275 | 2012-01-17 | ||
| US13/352,275 US8813239B2 (en) | 2012-01-17 | 2012-01-17 | Online fraud detection dynamic scoring aggregation systems and methods |
| PCT/RO2012/000021 WO2013109156A1 (en) | 2012-01-17 | 2012-09-05 | Online fraud detection dynamic scoring aggregation systems and methods |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104040557A true CN104040557A (zh) | 2014-09-10 |
| CN104040557B CN104040557B (zh) | 2016-12-28 |
Family
ID=47891880
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280066499.5A Active CN104040557B (zh) | 2012-01-17 | 2012-09-05 | 在线诈骗检测动态评分集合系统和方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8813239B2 (zh) |
| EP (1) | EP2805286B1 (zh) |
| JP (1) | JP6068506B2 (zh) |
| KR (1) | KR101702614B1 (zh) |
| CN (1) | CN104040557B (zh) |
| AU (1) | AU2012366296B2 (zh) |
| CA (1) | CA2859126C (zh) |
| ES (1) | ES2866723T3 (zh) |
| IL (1) | IL233056B (zh) |
| RU (1) | RU2607229C2 (zh) |
| SG (1) | SG11201403438RA (zh) |
| WO (1) | WO2013109156A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484407A (zh) * | 2014-12-17 | 2015-04-01 | 陆俊 | 一种识别诈骗信息的方法和系统 |
| CN106021252A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 使用公共因特网搜索确定基于因特网的对象信息 |
| CN107563758A (zh) * | 2017-07-18 | 2018-01-09 | 厦门快商通科技股份有限公司 | 一种解决金融信审业务中惯犯诈骗的检测方法与系统 |
| US10674897B2 (en) | 2015-05-12 | 2020-06-09 | 270 Surgical Ltd. | Dynamic field of view endoscope |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9135445B2 (en) * | 2012-03-19 | 2015-09-15 | Google Inc. | Providing information about a web application or extension offered by website based on information about the application or extension gathered from a trusted site |
| US20130282844A1 (en) | 2012-04-23 | 2013-10-24 | Contact Solutions LLC | Apparatus and methods for multi-mode asynchronous communication |
| US9635067B2 (en) | 2012-04-23 | 2017-04-25 | Verint Americas Inc. | Tracing and asynchronous communication network and routing method |
| CN103546446B (zh) * | 2012-07-17 | 2015-03-25 | 腾讯科技(深圳)有限公司 | 一种钓鱼网站的检测方法、装置和终端 |
| US8719934B2 (en) * | 2012-09-06 | 2014-05-06 | Dstillery, Inc. | Methods, systems and media for detecting non-intended traffic using co-visitation information |
| US8943588B1 (en) * | 2012-09-20 | 2015-01-27 | Amazon Technologies, Inc. | Detecting unauthorized websites |
| US9449176B1 (en) * | 2013-06-06 | 2016-09-20 | Phillip M. Adams | Computer system vulnerability analysis apparatus and method |
| ITTO20130513A1 (it) * | 2013-06-21 | 2014-12-22 | Sisvel Technology Srl | Sistema e metodo per il filtraggio di messaggi elettronici |
| US9521164B1 (en) * | 2014-01-15 | 2016-12-13 | Frank Angiolelli | Computerized system and method for detecting fraudulent or malicious enterprises |
| US9491188B1 (en) | 2014-01-24 | 2016-11-08 | Amazon Technologies, Inc. | Latency-based detection of covert routing |
| EP3103038B1 (en) | 2014-02-06 | 2019-03-27 | Contact Solutions, LLC | Systems, apparatuses and methods for communication flow modification |
| US10104124B2 (en) | 2014-03-19 | 2018-10-16 | Nippon Telegraph And Telephone Corporation | Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program |
| GB201407150D0 (en) * | 2014-04-23 | 2014-06-04 | Majestic 12 Ltd | A categorisation system |
| US20160063645A1 (en) * | 2014-08-29 | 2016-03-03 | Hrb Innovations, Inc. | Computer program, method, and system for detecting fraudulently filed tax returns |
| US9330264B1 (en) * | 2014-11-26 | 2016-05-03 | Glasswall (Ip) Limited | Statistical analytic method for the determination of the risk posed by file based content |
| CN104408349A (zh) * | 2014-11-27 | 2015-03-11 | 柳州市网中网络策划中心 | 基于指纹验证的因特网数据管理系统 |
| US20200067861A1 (en) * | 2014-12-09 | 2020-02-27 | ZapFraud, Inc. | Scam evaluation system |
| US9166881B1 (en) | 2014-12-31 | 2015-10-20 | Contact Solutions LLC | Methods and apparatus for adaptive bandwidth-based communication management |
| CN105184574B (zh) * | 2015-06-30 | 2018-09-07 | 电子科技大学 | 一种套用商户类别码欺诈行为的检测方法 |
| WO2017024248A1 (en) | 2015-08-06 | 2017-02-09 | Contact Solutions LLC | Tracing and asynchronous communication network and routing method |
| US10846434B1 (en) * | 2015-11-25 | 2020-11-24 | Massachusetts Mutual Life Insurance Company | Computer-implemented fraud detection |
| KR102458261B1 (ko) | 2016-02-03 | 2022-10-25 | 삼성전자주식회사 | 디스플레이를 제어하는 전자 장치 및 방법 및 이를 위한 서버 및 방법 |
| US10171497B2 (en) * | 2016-07-11 | 2019-01-01 | Bitdefender IPR Management Ltd. | Systems and methods for detecting online fraud |
| US10474836B1 (en) | 2017-04-26 | 2019-11-12 | Wells Fargo Bank, N.A. | Systems and methods for a generated fraud sandbox |
| US10699295B1 (en) * | 2017-05-05 | 2020-06-30 | Wells Fargo Bank, N.A. | Fraudulent content detector using augmented reality platforms |
| US10339154B2 (en) * | 2017-05-24 | 2019-07-02 | Sap Se | Decentralized image management |
| US11587099B2 (en) | 2017-07-27 | 2023-02-21 | Ripple Luxembourg S.A. | Electronic payment network security |
| US11285372B2 (en) | 2017-10-03 | 2022-03-29 | Todd Wanke | Systems, devices, and methods employing the same for enhancing audience engagement in a competition or performance |
| WO2019070351A1 (en) | 2017-10-03 | 2019-04-11 | Fanmountain Llc | SYSTEMS, DEVICES AND METHODS USING THE SAME TO ENHANCE THE COMMITMENT OF A PUBLIC IN COMPETITION OR PERFORMANCE |
| KR101999765B1 (ko) * | 2018-01-22 | 2019-07-12 | 주식회사 닥터퀀트 | 데이터마이닝 기술을 이용한 금융 사기 대출 패턴화 분석 시스템 및 방법 |
| US11194668B1 (en) * | 2018-01-29 | 2021-12-07 | Daniel Backer Grunberg | Backup across redundant removable media |
| US11297101B1 (en) * | 2018-08-22 | 2022-04-05 | NuRD LLC | Phishing website detection by checking form differences followed by false credentials submission |
| WO2020085531A1 (ko) * | 2018-10-24 | 2020-04-30 | 주식회사 빅스터 | 블록체인용 정보 판단 서버, 블록체인용 정보 판단 방법 및 블록체인용 정보 판단 프로그램이 기록된 기록매체 |
| US11349856B2 (en) | 2019-01-30 | 2022-05-31 | International Business Machines Corporation | Exploit kit detection |
| GB201911459D0 (en) | 2019-08-09 | 2019-09-25 | Majestic 12 Ltd | Systems and methods for analysing information content |
| US11398908B2 (en) | 2019-08-21 | 2022-07-26 | Mcafee, Llc | Methods and apparatus to deconflict malware or content remediation |
| US11405397B2 (en) * | 2019-08-21 | 2022-08-02 | Mcafee, Llc | Methods and apparatus to deconflict malware or content remediation |
| US20220138753A1 (en) * | 2020-10-30 | 2022-05-05 | Raise Marketplace, Llc | Interactive swarming |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090172818A1 (en) * | 2007-11-25 | 2009-07-02 | Blake Stanton Sutherland | Methods and system for determining performance of filters in a computer intrusion prevention detection system |
| CN101821736A (zh) * | 2007-09-06 | 2010-09-01 | 王秦胜塞希亚 | 与服务器交互的方法和系统,以及用于产生并呈现搜索结果的方法和系统 |
| US20100281536A1 (en) * | 2009-04-30 | 2010-11-04 | Bank Of America Corporation | Phish probability scoring model |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
| US7451487B2 (en) | 2003-09-08 | 2008-11-11 | Sonicwall, Inc. | Fraudulent message detection |
| KR20040086732A (ko) * | 2004-01-15 | 2004-10-12 | 엔에이치엔(주) | 검색 엔진에서 등록된 웹사이트를 관리하기 위한 방법 및그 시스템 |
| US7457823B2 (en) | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| US8032594B2 (en) | 2004-11-10 | 2011-10-04 | Digital Envoy, Inc. | Email anti-phishing inspector |
| US8839418B2 (en) | 2006-01-18 | 2014-09-16 | Microsoft Corporation | Finding phishing sites |
| DE102006062210A1 (de) * | 2006-12-22 | 2008-06-26 | Deutsche Telekom Ag | Verfahren zur Frauderkennung bei Roamingverbindungen in mobilen Kommunikationsnetzen |
| WO2009021070A1 (en) | 2007-08-06 | 2009-02-12 | Bernard De Monseignat | System and method for authentication, data transfer, and protection against phishing |
| US20090089859A1 (en) | 2007-09-28 | 2009-04-02 | Cook Debra L | Method and apparatus for detecting phishing attempts solicited by electronic mail |
| US8150679B2 (en) * | 2008-08-15 | 2012-04-03 | Hewlett-Packard Development Company, L.P. | Apparatus, and associated method, for detecting fraudulent text message |
| KR20100081109A (ko) * | 2009-01-05 | 2010-07-14 | 서울대학교산학협력단 | 스팸 필터링 방법 및 그 방법을 채용한 시스템 |
| CN101996203A (zh) * | 2009-08-13 | 2011-03-30 | 阿里巴巴集团控股有限公司 | 一种过滤网页信息的方法和系统 |
| JP4837106B2 (ja) * | 2010-02-04 | 2011-12-14 | キヤノンItソリューションズ株式会社 | 通信データ監視装置および通信データ監視方法およびプログラム |
-
2012
- 2012-01-17 US US13/352,275 patent/US8813239B2/en active Active
- 2012-09-05 CN CN201280066499.5A patent/CN104040557B/zh active Active
- 2012-09-05 WO PCT/RO2012/000021 patent/WO2013109156A1/en active Application Filing
- 2012-09-05 KR KR1020147019417A patent/KR101702614B1/ko active IP Right Grant
- 2012-09-05 RU RU2014133082A patent/RU2607229C2/ru active
- 2012-09-05 CA CA2859126A patent/CA2859126C/en active Active
- 2012-09-05 ES ES12832749T patent/ES2866723T3/es active Active
- 2012-09-05 SG SG11201403438RA patent/SG11201403438RA/en unknown
- 2012-09-05 AU AU2012366296A patent/AU2012366296B2/en active Active
- 2012-09-05 JP JP2014552150A patent/JP6068506B2/ja active Active
- 2012-09-05 EP EP12832749.1A patent/EP2805286B1/en active Active
-
2014
- 2014-06-10 IL IL233056A patent/IL233056B/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101821736A (zh) * | 2007-09-06 | 2010-09-01 | 王秦胜塞希亚 | 与服务器交互的方法和系统,以及用于产生并呈现搜索结果的方法和系统 |
| US20090172818A1 (en) * | 2007-11-25 | 2009-07-02 | Blake Stanton Sutherland | Methods and system for determining performance of filters in a computer intrusion prevention detection system |
| US20100281536A1 (en) * | 2009-04-30 | 2010-11-04 | Bank Of America Corporation | Phish probability scoring model |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104484407A (zh) * | 2014-12-17 | 2015-04-01 | 陆俊 | 一种识别诈骗信息的方法和系统 |
| CN104484407B (zh) * | 2014-12-17 | 2018-02-27 | 深圳前海大数金融服务有限公司 | 一种识别诈骗信息的方法和系统 |
| CN106021252A (zh) * | 2015-03-31 | 2016-10-12 | 瞻博网络公司 | 使用公共因特网搜索确定基于因特网的对象信息 |
| US10674897B2 (en) | 2015-05-12 | 2020-06-09 | 270 Surgical Ltd. | Dynamic field of view endoscope |
| US11490795B2 (en) | 2015-05-12 | 2022-11-08 | 270 Surgical Ltd. | Dynamic field of view endoscope |
| CN107563758A (zh) * | 2017-07-18 | 2018-01-09 | 厦门快商通科技股份有限公司 | 一种解决金融信审业务中惯犯诈骗的检测方法与系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| AU2012366296A1 (en) | 2014-07-03 |
| US8813239B2 (en) | 2014-08-19 |
| RU2014133082A (ru) | 2016-03-10 |
| EP2805286A1 (en) | 2014-11-26 |
| IL233056A0 (en) | 2014-07-31 |
| JP2015511340A (ja) | 2015-04-16 |
| JP6068506B2 (ja) | 2017-01-25 |
| US20130185802A1 (en) | 2013-07-18 |
| CA2859126A1 (en) | 2013-07-25 |
| KR101702614B1 (ko) | 2017-02-03 |
| RU2607229C2 (ru) | 2017-01-10 |
| EP2805286B1 (en) | 2021-03-10 |
| ES2866723T3 (es) | 2021-10-19 |
| SG11201403438RA (en) | 2014-09-26 |
| KR20140111284A (ko) | 2014-09-18 |
| WO2013109156A1 (en) | 2013-07-25 |
| AU2012366296B2 (en) | 2017-11-23 |
| CN104040557B (zh) | 2016-12-28 |
| IL233056B (en) | 2018-01-31 |
| CA2859126C (en) | 2021-01-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104040557A (zh) | 在线诈骗检测动态评分集合系统和方法 | |
| US11023963B2 (en) | Detection of compromise of merchants, ATMs, and networks | |
| US11687937B1 (en) | Reducing false positives using customer data and machine learning | |
| AU2007243609B2 (en) | Fraud analyst smart cookie | |
| EP4319054A2 (en) | Identifying legitimate websites to remove false positives from domain discovery analysis | |
| US8615516B2 (en) | Grouping similar values for a specific attribute type of an entity to determine relevance and best values | |
| CN110689438A (zh) | 企业类金融风险评分方法、装置、计算机设备及存储介质 | |
| US20100161603A1 (en) | Grouping methods for best-value determination from values for an attribute type of specific entity | |
| CA2580731A1 (en) | Fraud risk advisor | |
| CN101339641A (zh) | 对问题报告的响应行为进行优先级区分的装置和方法 | |
| CN106779278A (zh) | 资产信息的评价系统及其信息的处理方法和装置 | |
| US20140181007A1 (en) | Trademark reservation system | |
| CN103605924A (zh) | 一种防止恶意程序攻击网络支付页面的方法及装置 | |
| KR102110266B1 (ko) | 인공지능을 이용한 암호화폐 탈세 여부 판단 방법, 장치 및 컴퓨터프로그램 | |
| CN115564449A (zh) | 交易账户的风险管控方法、装置及电子设备 | |
| Soldner et al. | Trends in online consumer fraud:: A data science perspective | |
| CN114880369A (zh) | 一种基于弱数据技术的风险授信方法和系统 | |
| CN111583037B (zh) | 风险关联对象的确定方法、装置和服务器 | |
| CN115422016B (zh) | 一种基于服务端关系网络的数据监控方法及装置 | |
| CN112949752B (zh) | 业务预测系统的训练方法及装置 | |
| Mihailescu et al. | A framework for fraud discovery via illicit agreements in energy markets | |
| CN114169897A (zh) | 训练方法、风险识别方法、装置、计算机设备以及介质 | |
| CN116308742A (zh) | 对象风险评估方法及装置、电子设备和可读存储介质 | |
| CN117114681A (zh) | 盗刷风险分析方法、装置、电子设备和介质 | |
| CN114066624A (zh) | 基于图计算的黑名单关联图谱挖掘方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1197941 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1197941 Country of ref document: HK |