CN105516113B - 用于自动网络钓鱼检测规则演进的系统和方法 - Google Patents

用于自动网络钓鱼检测规则演进的系统和方法 Download PDF

Info

Publication number
CN105516113B
CN105516113B CN201510870275.5A CN201510870275A CN105516113B CN 105516113 B CN105516113 B CN 105516113B CN 201510870275 A CN201510870275 A CN 201510870275A CN 105516113 B CN105516113 B CN 105516113B
Authority
CN
China
Prior art keywords
phishing
rule
evolution
data
engine
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510870275.5A
Other languages
English (en)
Other versions
CN105516113A (zh
Inventor
马克西姆·G·科舍勒夫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN105516113A publication Critical patent/CN105516113A/zh
Application granted granted Critical
Publication of CN105516113B publication Critical patent/CN105516113B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/28Databases characterised by their database models, e.g. relational or object models
    • G06F16/284Relational databases
    • G06F16/285Clustering or classification
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Information Transfer Between Computers (AREA)
  • Computer And Data Communications (AREA)

Abstract

用于自动网络钓鱼检测规则演进的系统和方法。基于检测到的网络钓鱼标识,对多个预定参数的每个计算定量分数,每个参数与至少一个该网络钓鱼标识相关。评估演进网络钓鱼检测规则的需求,并且基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的对应的网络钓鱼标识的内容生成新的网络钓鱼检测规则。新的网络钓鱼检测规则递归应用于检测网络钓鱼标识,并且更新的规则可以进一步以递归方式演进。

Description

用于自动网络钓鱼检测规则演进的系统和方法
技术领域
本发明涉及信息安全领域,并且特别是涉及保护个人计算机系统和其用户免受通常称为网络钓鱼的欺骗性信息收集活动。尤其是,本发明针对基于现有规则的使用自动开发网络钓鱼检测规则。
背景技术
由于过去十年因特网技术的快速发展,大量多种多样的因特网互联设备(例如个人计算机、笔记本、平板、智能手机等)的可购性以及它们的使用的容易性,多数人开始依赖万维网(World-Wide Web)用于他们的日常活动,例如消费媒体内容,购物,用银行账户工作,读取邮件、文本或其他形式的信息,访问社交网络,之中还有许多其他用途。经常地,当在因特网上工作(例如,当购买产品、转账金钱、向零售商或服务提供商注册等)时,要求用户提供某些机密信息(例如,信用卡卡号以及银行账户号、账户密码等)给外部网站,而所有这些都是用户的财务安全要依靠的。
因特网的用户众多已经吸引了诈骗者活动的大量增加,为了盗用个人和财务数据以从事诈骗和其他恶意活动,其通过多种技术和方法试图得到用户的机密数据。诈骗者使用的一种更加普遍的方法通常称为网络钓鱼,即冒充已知或可信任的实体,例如名牌、多种服务中的个人信息(例如,社交网络中)以及伪装为银行、网店、社交网络等的合法网站的采用网站搜索服务的创建和注册,通过电子信息处理获得机密的用户信息。诈骗者发送给用户的信或信息经常包含指向看起来与真正的网站相似并且通常相当相似的恶意网站的链接,或指向会从该网站转移到恶意网站的链接。一旦用户被转到假冒网页,诈骗者利用多种社会工程技术尝试使用户输入他/她的机密信息,然后诈骗者利用其进入对应的用户账户和银行账户。除了提取机密信息以外,用户会遭受接收来自假冒网站、用户未知的恶意应用的风险,恶意应用从受害者的计算机收集多个其他信息项并转移给诈骗者。
为了反击上面描述的诈骗方法,技术被用于检测网络钓鱼信息(例如,在电子邮件中)和假冒网站。这些技术利用了可信任和不可信任的网站地址、句子模板和来自已知网络钓鱼信息的其他文本串等的数据库。当检测到这样的可疑对象时,通知用户潜在的危险。
虽然处理已经被信息安全专家研究出并已经被识别为潜在危险的已知的威胁、链接和页面时,这些现有的技术可能有效,但当处理新的、不断变化的威胁时,传统技术是不太有效的。此外,由于手动或半自动分析,出现新的钓鱼网站或信息和它的检测以及后续的用户阻止获取之间的反应时间是相当重要的,其代表了大量用户陷入到网络钓鱼和相关诈骗的主要因素。
因此需要实际的解决方案以解决网络钓鱼攻击不断变化的本质。
发明内容
本发明的一个方面是针对自动开发检测规则,用于检测输入数据中的网络钓鱼。这个方面被具体化到系统和方法以及它们的变化中。在这些实施例的概要中,获得定向到目的地的输入数据。检测可能出现在输入数据中的网络钓鱼的任何标识,该检测通过应用多个网络钓鱼检测规则执行。确定多个预定参数的每个的定量分数,每个该参数与至少一个网络钓鱼标识相关,并且至少一个网络钓鱼标识的每个定量分数代表输入数据中存在网络钓鱼内容的可能性。
进一步,通过将规则演进标准的预定集合运用到多个参数的预定量分数的组合,评估演进网络钓鱼检测规则的需求。响应于对演进网络钓鱼规则需求的评估,基于满足规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则。网络钓鱼标识以及定量分数计算基于新的检测规则以递归方式执行,随着规则演进需求的进一步评估和新的检测规则生成。
基于选择的参数分数超过网络钓鱼检测阈值以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象。结果是,输入数据中与网络钓鱼相关对象相关的内容可以进行修改,以消除或减少网络钓鱼相关对象的恶意。
附图说明
由于下面本发明的多个实施例连同随附的附图的详细说明,可以更加完整理解本发明,其中:
图1A是根据一个实施例的、说明了用于选择性地建立并且演进规则从而在从服务器送到客户端的数据中检测网络钓鱼标识的系统的框图。
图1B是说明了描述为图1A中系统的一部分的数据捕获引擎的细节的框图。
图1C是由本发明的实施例实现的,说明了拦截的数据内容中的数据类别、网络钓鱼标识和计算参数之间相互关系的示意图。
图2是根据一个实施例的、说明了示范性的全部过程流程的流程图。
图3A和3B描述了根据相关实施例的示范性方法,其中在对是否生成新的规则作出决定中考虑参数值的一个或组合。
图4是根据一个实施例的、说明了演进网络钓鱼检测规则的过程的流程图。
图5是根据一个实施例的、说明了初始规则如何演进以形成可用于不同类别的内容的规则连续代的例子的规则演进示意图。
图6是根据本文所述的本发明的方面的实现方式制成的具有改进的功能的专用机的计算机系统的示意图。
虽然本发明可处理为多种改进和替代形式,它们的细节作为例子在图中示出并且将详细描述。应理解,然而,本发明并不限制本发明为描述的特定实施例。相反地,本发明覆盖落入本发明精神和范围内的、由附属的权利要求限定的所有改进、等价以及替代方式。
具体实施方式
词汇表
下面的词汇表详细解释了此处使用的术语的定义。本词汇表仅用于本申请。
“计算平台”、“计算机”以及“计算机系统”—具有包括一个或多个处理器、数据存储器、输入-输出设备的硬件的电子设备或可交换操作的电子设备的系统;并且能够根据由硬件实施的软件指令存储以及操纵信息。它可以是一个物理机器,或者它可以分布于多个物理机之间,例如根据角色或功能,或根据云计算分布式模型中的进程线程。例子包括台式电脑或移动个人电脑(PCs)、智能手机或平板,以及网络设备,例如路由器、交换机等等。计算平台可以是单独的设备或作为较大设备或系统的一部分的嵌入式设备。
“数据捕获”—由不是指定目的地的实体例如驱动器或代理服务器获得送至指定目的地的数据。
“数据存储器”—将数据存储在物理存储介质中的一个或多个电子硬件设备。例子包括易失性存储器(例如,随机存取存储器(RAM),无论是静态的或动态的)、非易失性存储器(例如,电可擦除可编程只读存储器、磁盘等)。
“驱动器”—在设备例如磁盘驱动器和使用该设备的程序例如操作系统外壳之间充当翻译器的引擎或者元件。该驱动器通常从程序接受通用命令并且然后将它们翻译成用于该设备的特定命令。
“引擎”—真实的设备、元件或利用硬件实现的元件布置,或实现为硬件和软件的组合,例如通过微处理器系统以及使引擎适于实现特定功能的一组程序指令,其(当执行时)将微处理器系统变换成专用设备。引擎也可以实现为该两个的组合,其某些功能由硬件单独实现,并且其他功能由软件控制的硬件组合实现。在某些实现方式中,至少一部分,并且在一些情况中全部引擎可以在执行操作系统、系统程序以及应用程序的一个或多个计算机的处理器上执行,同时也利用多任务处理、多线程、分布式(例如,集群、对等网络、云等)进程中合适的或其他这样的技术实现引擎。此外,引擎自身可以由不止一个的子引擎组成,其每个可以看做单独的引擎。
网络钓鱼检测规则的“演进”、“演进的”—基于现有的网络钓鱼检测规则的应用的计算式创建新的网络钓鱼检测规则。网络钓鱼检测规则的演进可以,作为例子,创建规则的连续代,即新的规则由以前演进的规则的应用创建。
“拦截”—由中间进程或设备读取并且捕获被定向到目的地的数据,由此保持数据无法行进,直到释放拦截的数据。当数据被保持时,被拦截的数据可以由中间进程或设备重新定向、改变、放弃、延迟或否则执行。
“网络接口设备”—一种类型的输入/输出设备,其为通过计算机网络与外部计算设备交流信息提供便利。例子包括以太网端口、Wi-Fi无线电接口、蓝牙TM接口等。
“对象”—一段软件代码或数据结构,例如存储在计算机硬件中的文本或图。例子包括文件、程序、数据包等。
“参数分数”—特征、属性、因素、要素或它们的一些组合的计算得到的测量数据。如在网络钓鱼标识情况下的例子,参数(计算出其分数)可以关于一个或多个个人网络钓鱼标识。例如,参数可以代表一组数据中特定网络钓鱼标识的存在。作为另一个例子,参数可以代表对一组数据中多个网络钓鱼标识数量的计数。总的来说,参数代表网络钓鱼检测的强度的测量,并且也指示了网络钓鱼内容的特定项目。
“网络钓鱼”—试图从受害人处恶意得到机密信息,例如通过冒充电子通信中可信任的实体获取证书、财务账户详细资料、个人信息等。
“进程虚拟机”—设计为运行单个程序的虚拟机,这意味着它支持单个进程。这样的虚拟机通常非常适合于一种或多种编程语言并且为了提供程序的可移植性和灵活性而建立。例子包括Java虚拟机、.Net体系结构、Parrot虚拟机。
“处理器”—计算机系统的电子硬件部分,其通过执行系统的基本算法、逻辑、暂存和输入/输出操作执行计算机程序的指令。典型地,处理器实现为微处理器(即集成到单个芯片上),虽然这个定义包括在多个互连集成电路上实现的处理器电路。现代的处理器典型地包括多个处理核心并且可以在多个处理核心间分配工作量。
“代理”、“代理服务器”、“代理服务”—在本地计算机系统或在不同的计算机系统或网络设备(如交换机、路由器等)上运行的中间引擎,其起到本地(客户端)计算机系统的应用程序通过计算机网络访问远程计算机(例如,服务器)的中介作用。此外代理可以帮助建立本地和远程计算机系统间的连接,并且可以为本地计算机系统提供多种数据处理操作。数据流通过代理,其可以根据代理服务器提供的有益服务按需监测、过滤或修改,并且重定向数据包。例如,为了保护用户在本地计算机系统上工作,代理可以分析与网络地址的连接,并且如果怀疑连接将用户的计算机系统暴露给不应该的风险(例如网络钓鱼内容的转移—就像与本发明有关的),则阻止或重新定向网络信息流通。由代理执行的进一步的数据处理操作的另一个例子是存储常用网页的副本(高速缓存),以提供那些页面的快速加载。
“用于获得指向目的地的输入数据的装置”—根据下面描述的它们的多个实施例的每个的任何一个(或其组合),或它们的结构等价物的任何一个的数据捕获引擎110或拦截引擎112。
“用于检测网络钓鱼的任何标识的装置”以及“用于确定多个预定参数的每个的定量分数的装置”—根据下面描述的它们的多个实施例的每个的任何一个(或其组合),或它们的结构等价物的任何一个的网络钓鱼内容检测引擎120。
“用于评估演进网络钓鱼检测规则的需求的装置”、“用于演进网络钓鱼规则的装置”、“用于生成新的网络钓鱼检测规则的装置”以及“用于递归执行检测网络钓鱼标识、确定定量分数、评估演进规则需求以及演进网络钓鱼规则的装置”—根据下面描述的它们的多个实施例的每个的任何一个(或其组合),或它们的结构等价物的任何一个的规则开发引擎130。
“用于识别任何网络钓鱼相关对象的装置”—根据下面描述的它们的多个实施例的每个的任何一个(或其组合),或它们的结构等价物的任何一个的网络钓鱼对象识别引擎140。
“用于修改输入数据中关于网络钓鱼相关对象的内容的装置,以消除或减少网络钓鱼相关对象的恶意”—根据下面描述的它们的多个实施例的每个的任何一个(或其组合),或它们的结构等价物的任何一个的的修改引擎116。
优选实施例的说明
本发明的各方面可以实现为编程成为专用计算机的计算机系统的一部分,或专用机的组合。计算机系统可以是一个物理机或可以分布在多个物理机间,例如根据角色或功能,或根据云计算分布式模型中的进程线程。在多个实施例中,本发明的各方面可以配置为在虚拟机中运行,虚拟机转而在一个或多个物理机上执行。本领域技术人员将理解,本发明的特征可以由多种不同的合适的机器实现方式来实现。
图1A是根据一个实施例的、说明了用于选择性地建立并且演进规则从而在从服务器102送到客户端104的数据中检测网络钓鱼标识的系统100的结构图。总的来说,系统100工作为服务器-客户端布置中的中介,其中一个或多个服务器102通过网络105与客户端104交换数据并且向客户端提供对某些服务和资源的访问权。下面是服务器102的例子:
●网站(例如,银行或网络商店的网站);
●文件服务器;
●即时通信服务(例如,Skype);
●操作系统服务(例如,文件下载服务)。
网络105促进服务器102和客户端104间的数据交换。下面是这样的网络的例子:
●局域网;
●广域网;
●因特网;
●限定的因特网的子集。
客户端104从服务器102接收数据,处理接收的数据,并且将处理结果显示给用户,在多个例子中,可以实现为:
●浏览器应用程序;
●邮件客户端;
●任何一个即时消息服务客户端(例如,Skype、QIP);
●电子文件查看引擎。
在一种类型的实施例中,建立系统100用于自动操作,意思是系统100自主执行它的主要功能,即不用操作员干涉。将理解,多个其他实施例可以促进用户控制或不同程度的输入,其余功能和决策在程序控制下以自动方式操纵。系统100操作的选择的方面意味着响应于规则演进标准的满足而建立或演进规则。
如在图1A的示例性实施例中描述的,系统100配置为监测服务器102和客户端104间的通信,其通过网络105例如因特网促进。系统100执行多个功能,如下面详细描述的,其中最基础的是检测从一个或多个服务器102传送到客户端104的数据中存在的网络钓鱼内容,并且响应检测到的存在的网络钓鱼内容。例如,响应可以是完全消除网络钓鱼内容、标记网络钓鱼内容,或否则致使网络钓鱼内容无危险性。在图1A中描述的实施例中,系统100具有包括数据捕获引擎110、网络钓鱼内容检测引擎120、规则开发引擎130以及网络钓鱼对象识别引擎140的结构。
这些引擎的每个建造为、编程为、配置为或否则适于自主执行功能或一组功能。此处使用的术语引擎意思是利用硬件实现的真实的设备、元件或元件的布置,例如通过特定用途集成电路(ASIC)或现场可编程门阵列(FPGA)实现,比如,或者硬件和软件的组合,例如通过微处理器系统和一组使引擎适于实现特定自主功能的程序指令实现,其(当执行时)将微处理器变换成专用机。引擎也可以实现为两个的组合,其某些功能由硬件单独实现较便利,并且其他功能由硬件和软件的组合实现较为便利。在某些实现方式中,至少一部分,并且在一些情况中全部引擎可以利用执行操作系统、系统程序以及应用程序同时也实现该引擎(并且由此变成专用机)的一个或多个计算机的处理器实现。引擎可以利用多任务处理、多线程、分布式(例如,集群、对等网络、云等)进程中合适的或其他这样的技术实现。因此,每个引擎都可以以任何多种合适的物理以及逻辑配置物理实现,并且通常不应被限制为此处示例的任何特定实现方式,除非明确指出了这种限制。此外,引擎本身可以由不止一个子引擎组成,每个子引擎可以视为独立的引擎。而且,在此处描述的实施例中,多个引擎中的每个对应于限定的功能;然而,应理解,在其他考虑的实施例中,每个功能可以分布到不止一个引擎。而且,在其他考虑的实施例中,多个限定的功能可以由单个引擎实现,其实现那些多个功能,可能伴随其他功能,或在一组引擎间以与此处例子中特别说明的不同的方式分配。
根据一个实施例,数据捕获引擎110由若干子引擎组成,如图1B中描述的。拦截引擎112编程为,或者否则配置为,拦截从服务器102送到客户端104的输入数据。输入数据的拦截包含阻止输入数据到达它的目的地以及存储输入数据以在释放输入数据到它的目的地之前处理,所述输入数据可能被修改为处理的结果。
仿真引擎113编程为,或者否则配置为,在隔离环境中例如进程虚拟机,执行可能已经被拦截引擎112拦截的任何代码,例如,并且将执行的输出结果作为拦截数据的附加数据项部分传送至分类引擎114。该附加数据项可以是html或文本内容、图像文件、动画等。
分类引擎114编程为,或者否则配置为,将拦截的数据(包括作为仿真结果的生成的数据项)分类成内容的一个或多个预定类别115,如下描述的,其将进一步被处理。修改引擎116编程为,或者否则配置为,将从送至客户端104的数据中检测到的任何网络钓鱼内容,选择性地消除、改变,或标记,或否则致使为无危险性的,并且将修改的数据代替输入数据转移到客户端104(在图1B中标记为传出数据)。
以下是可以被拦截的示例数据:
●网站的html代码;
●Flash应用程序,java小应用程序,或从网站下载的其他代码;
●多媒体数据(例如,包含在网站图像或客户端的操作中的屏幕截图);
●电子文件(Microsoft Office文件、便携式文件格式(PDF)文件等);
●电子邮件信息。
在多个实施例中,数据捕获引擎110可以实现为:
●代理(例如,配置用于http业务量拦截的代理服务器);
●安装在用户计算机上的驱动器(例如,用于拦截文件访问的磁盘访问驱动器)。
代理是在本地计算机系统或在不同的计算机系统或网络设备(例如,转换器、路由器等)上运行的中介引擎,其起到本地(客户端)计算机系统的应用程序通过计算机网络105访问远程计算机(例如服务器102的一个)的中介作用。代理可以额外帮助建立本地和远程计算机系统间的连接,并且可以为本地计算机系统提供多种数据处理操作。数据流通过代理,其可以根据代理提供的有益服务按需监测、过滤或修改,以及重定向数据包。例如,为了保护用户在本地计算机系统上工作,代理可以分析与网络地址的连接,并且如果怀疑连接将用户的计算机系统暴露给不应该的风险(例如网络钓鱼内容的转移—就像与本发明有关的),则阻止或重新定向网络业务量。由代理服务器执行的进一步的数据处理操作的另一个例子是存储常用网页的副本(高速缓存),以提供那些页面的快速加载。
驱动器是充当设备例如磁盘驱动器和使用该设备的程序例如操作系统外壳间翻译器的引擎或元件。该驱动器通常从程序接受通用命令并且然后将它们翻译成用于该设备的特定命令。在数据捕获引擎110实现为驱动器的实施例中,该驱动器附加实施数据拦截功能。
下面是拦截的数据项内容被分成的类别115的示例:
●超链接;
●多媒体数据;
●脚本(例如,Javascript或VBA);
●文本;
●Java小程序;
●flash应用程序。
作为说明性的示例,负责反击不想要的广告的反病毒产品的组件之一,作为代理服务器工作,执行对拦截的页面的html代码的分类,其通过将内容的项目单独标出例如进行标签、分组或分类成数据结构等、包含在页面上的文本、指向图像的链接以及页面上存在的flash应用程序、指向其他页面的超链接等。
下面的例子是由修改引擎116执行的预期的技术,用于根据多个相关实施例修改拦截的数据:
●用警告代替指向进行欺诈活动的网站的超链接;
●使开始传送个人用户数据的页面上的控制元件失活;
●增加包含警告的标志或其他信息;
●部分或完全消除网络钓鱼相关信息。
例如,责任反击网络钓鱼的反病毒产品的组件之一,当在用户访问的页面上检测到非可信任超链接时,可以用文本插入代替它的html代码,使得相关数据将送至的浏览器显示关于阻止潜在威胁的警告(例如,用代码<b>[Link blocked]</b>代替代码<a href=“http://fakebank.com”>CitiBank</a>),而不是非可信任超链接。
参考图1A,网络钓鱼内容检测引擎120编程为,或否则配置为,搜索分类数据中的任何已知(即预定的)网络钓鱼标识,计算关于作为搜索结果的发现的网络钓鱼标识的某些参数的值,并且将参数和它们的计算值,以及分类的数据送至规则开发引擎130和网络钓鱼对象识别引擎140。
根据一个或多个实施例,下面检测规则125的一个或组合可以用于搜索网络钓鱼标识:
●确定分类文本的大小;
●在文本中搜索记号字典中的记号,其表示了网络钓鱼信息,并且计算它们的定量;
●接收分类的超链接涉及的网站属性(IP地址、所有人等);
●比较分类的多媒体数据和非可信任或可信任多媒体数据的相似性。
根据多个实施例,下面是网络钓鱼标识的示例,如根据多个实施例由检测规则125识别出的:
●网站页面或信息中规定阈值以下的文本长度(例如,少于20字);
●非可信任超链接(即,指向非可信任网站或地址);
●指向已知机构的网站上图像的未知链接;
●字符串比规定阈值(例如,文本中的字和句子超过20%与字典中的记号相匹配,其中该字典包含表示网络钓鱼信息的记号)长的文本中的许多记号;
●带有非可信任或未知链接的可信任标记的图像;
●当没有图像或链接时,文本长度大于规定阈值(例如,超过1000字);
●没有文本的多个大图像;
●不属于机构的域名;
●指向不涉及机构域名的图像的链接;
●上述标识的组合。
每个参数都与网络钓鱼标识的一个或组合相关,并且考虑附加的依情况的信息,例如类别。下面是关于网络钓鱼标识的参数的示例,根据一个或多个实施例,可以计算出其定量分数:
●网络钓鱼标识的加权因子;
●类别的加权因子;
●网络钓鱼标识检测标记;
●类别检测标记;
●根据类别的网络钓鱼标识的数目。
根据一个实施例的网络钓鱼参数定量分数计算的例子是,由责任反击网络钓鱼的反病毒产品的组件之一为包含在调查中网站中的未知链接分配加权因子(例如,从对应于可信任链接的0.0到对应于非可信任链接的1.0)。为了确定加权因子,检查链接是否出现在可信任链接清单中(如果发现链接,分配加权因子0.0,并且停止计算);检查连接是否出现在非可信任链接清单中(如果发现链接,分配加权因子1.0,并且停止计算);检查是否与非可信任链接记号字典中的一个记号相匹配(如果发现该记号,发现的加权因子增加0.25);检查网站所有人是否在非可信任所有人清单中(如果发现该所有人,发现的加权因子增加0.15),等。
图1C是说明了拦截的数据内容中的数据类别、网络钓鱼标识和计算的参数间的相互关系的示意图。拦截的数据可以包含多个内容类别。例如,文本、图像、浏览器可执行对象等。多个类别可以在相同的接收数据组中表示,例如网页。
在图1C中,描述了两个类别,类别I和类别II。每个类别与对应的一组网络钓鱼标识相关联。因此,对于类别II,示出了网络钓鱼标识符II-1、II-2和II-3。类似地,类别I具有多个不同的网络钓鱼标识。类别之间的网络钓鱼标识可以相似或完全不同,它们的对比相似度与不同类别的比较性质相对应。
每个类别也对应一组具体化到该类别的参数。如描述的,参数II-A、II-B和II-C与类别II相对应;然而一组单独的参数将与类别I相对应。参数可以与相同类别的网络钓鱼标识符具有一个对一个、多个一个或一个对多个的对应关系,并且这些相互关系在网络钓鱼标识符的具体实例、参数之间以及在类别之间可以有很大改变。
根据此处描述的实施例,计算的参数值代表网络钓鱼检测的强度的分数,并且也表明了网络钓鱼内容的具体项。
规则开发引擎130编程为,或者否则配置为,做出关于演进搜索网络钓鱼内容的规则和查明拦截的数据中是否存在网络钓鱼内容的规则的决定。在现在的环境中,规则的演进意味着基于以前规则的应用自动生成新的规则。在相关的实施例中,在程序的控制下演进规则,而没有要求新的输入数据。换句话说,相同数据项的已有规则的应用可以产生检测规则的连续代,其能够获得新的并且更加深入洞察相同数据中存在的网络钓鱼相关内容。
网络钓鱼对象识别引擎140编程为,或者否则配置为,识别(例如,标记、标签、数据结构中的位置等)会导致将用户暴露给网络钓鱼内容以及网络钓鱼内容项自身的网络钓鱼相关对象。
可识别的网络钓鱼相关对象的例子包括:
●非可信任超链接;
●包含网络钓鱼内容的多媒体数据;
●包含确定为网络钓鱼信息的文本块的位置和大小;
●责任将用户数据转移给服务器的html代码的部分。
下面的例子描述了系统100的操作以及其与服务器102和客户端104的交互。系统100操作的环境中包括与浏览器应用程序进行交互的用户,通过搜索服务已经发现的用户对购买感兴趣的销售产品的网站。在转移到提供的地址后,用户的浏览器被导向下订单页面,在那里其他信息中,要求用户键入他/她的信用卡信息。在此例子中,这个网站是诈骗者创建的为了偷取信用卡信息的网络钓鱼网站。
一旦用户通过浏览器104进入网络钓鱼网站,信息以html代码的形式被从该网站送至该浏览器104。在用户的计算机上,或在代理服务器上,来自网站的数据由数据捕获引擎110进行拦截。
数据捕获引擎110拦截表现为html代码形式、意图传到浏览器104的数据,并且对拦截的html代码内容进行分类。在一个这样的实施例中,数据捕获引擎110首先在html代码的独立的计算环境(例如,虚拟机)中进行仿真,包括下列的:
●执行包含在html代码中的脚本(例如,JavaScript语言的脚本解码包含在html代码中的数据,例如,超链接、文本等);
●加载从html代码调用的多媒体数据(例如,网站假装表示的银行标识的图像);
●加载从html调用的flash应用程序、java小程序等;
●仿真用户动作(例如,将文本输入输入字段以及为了确定接下来的动作而按按钮);
●将页面渲染到存储器剪贴板或文件,以用于其他多媒体数据搜索网络钓鱼标识的后续使用。
在完成仿真以后,数据捕获引擎110直接执行经仿真数据自身的分类并且将接收的经分类的数据(例如,文本、超链接、图像等)送至网络钓鱼内容检测引擎120。
以后,当从网络钓鱼对象识别引擎140接收到存在于拦截的数据中的网络钓鱼相关对象(例如,数据中发现非可信任超链接)时,数据捕获引擎110的修改引擎116对拦截的html代码进行修改(例如,用关于可能的网络钓鱼的文本警告代替检测到的非可信任超链接),并且然后将修改后的html代码送到浏览器104。
网络钓鱼内容检测引擎120执行对经分类的网络钓鱼标识数据的搜索(例如,存在非可信任网站的超链接、典型用于网络钓鱼网站文本中的短语、超链接名称和它们导向的地址间不一致、图像中存在知名公司的标识等)。而且,网络钓鱼内容检测引擎120基于搜索结果返回的网络钓鱼标识的参数计算定量分数(例如,在文本串的情况下,分数可以是表明属于网络钓鱼的可能性的加权因子;在超链接的情况下,分数可以是表明非可信任链接的标记,等)。计算出的参数分数和经分类的数据被送至规则开发引擎130和网络钓鱼对象识别引擎140。
规则开发引擎130,在接收的网络钓鱼标识参数分数的基础上,选择性地演进判定网络钓鱼存在的规则。这样的规则可以基于参数的组合,具有为检测阈值限定的参数值(例如,通过规则存在非可信任链接并且包含非可信任链接的文本的加权因子超过0.75(其中,0.0意味着可信任链接,并且1.0意味着非可信任链接),则该规则被视为肯定的网络钓鱼检测结果)。下面更加详细地描述了可选择的网络钓鱼检测规则演进。
新生成的网络钓鱼检测规则以递归方式用于拦截数据,以确定附加的参数和它们的定量值,并且确定任何进一步的规则演进需求。
网络钓鱼对象识别引擎140处理检测到的网络钓鱼标识上下文中的拦截的数据,以及计算出的参数分数,以将检测标准应用到网络钓鱼对象并最终确定拦截的数据的内容中哪一项构成了与网络钓鱼相关的对象。这些对象可以是网络钓鱼内容本身,或者在别处发现的指向网络钓鱼内容的超链接。根据一种类型的实施例,网络钓鱼对象检测的标准可以与规则演进标准相同或相似。在另一个实施例中,网络钓鱼对象检测标准各不相同(例如,为了减小误报的可能性,网络钓鱼对象阈值可以设置为比演进检测规则的阈值更高—即更加具有可选择性)。一旦被收集,网络钓鱼相关对象被送至数据捕获引擎110进行修改。
数据捕获引擎110,当接收到识别出的网络钓鱼相关对象的清单时,找到并修改拦截的数据中的那些对象,从而移除、修改,或者否则致使检测到的网络钓鱼内容无危险性。
已经接收到修改后的html代码的浏览器104对它进行处理并在其窗口显示。结果是,即使当传送给用户网络钓鱼网站时,他/她使用它的能力也受到限制,并且由此保护用户免受他/她的机密资料损失,例如银行卡信息。
系统100的另一个示范性应用是关于对从服务器转移至客户端的数据的分析,其中服务器是邮件客户端并且该客户端是读取电子邮件的邮件客户端应用程序。接收的电子邮件中的一封是诈骗者发送的,为了引诱用户到一个特别创建的网站。一旦使用邮件客户端104的用户打开接收自邮件服务器102的信,pdf文件形式的信息由邮件服务器102送至邮件客户端104。在用户的计算机上,或代理服务器上,来自邮件服务器102的数据被数据捕获引擎110拦截。
数据捕获引擎110拦截意图送至邮件客户端104、以pdf文件的形式呈现的数据,对它们进行分类并将接收的经分类的数据(例如,文本、超链接、图像等)送至网络钓鱼内容检测引擎120。
网络钓鱼内容检测引擎120针对网络钓鱼标识对经分类的数据实施搜索,并且基于发现的网络钓鱼标识计算它们的参数分数。该参数分数以及经分类的数据被提供给规则开发引擎130以及网络钓鱼对象识别引擎140。
规则开发引擎130,在接收的网络钓鱼标识参数的基础上,选择性地演进规则,以确定网络钓鱼是否存在(例如,通过规则,存在来自非可信任清单的图像以及文本,且其加权因子超过0.9(其中加权因子0.0意味着可信任图像,而加权因子1.0意味着非可信任图像),则该规则被视为满足演进检测规则的标准)。
如在之前的例子中,网络钓鱼对象识别引擎140分析网络钓鱼检测规则的应用结果,例如找到超过网络钓鱼检测阈值的高参数分数的原因,并且识别构成那些原因的网络钓鱼相关对象,并且用合适的方法(例如,加标签、编制清单等)识别那些对象。此后,网络钓鱼对象识别引擎140将网络钓鱼相关对象识别传送到数据捕获引擎110用于修改。
然后,当从网络钓鱼对象识别引擎140接收到网络钓鱼相关对象识别(例如,某些文本串、图像、代码等)时,数据捕获引擎110修改拦截的pdf文件(例如,通过向pdf文件添加可能是网络钓鱼的文本警告);然后,它将修改的pdf文件送到邮件客户端104。
已经接收到修改的pdf文件的邮件客户端104对它进行处理并显示在其窗口。结果是,当用户查看收到的信时,在其内容上看到了可能是网络钓鱼的警告。
图2是根据一个实施例的、说明了示范性整体过程流程的流程图。示范性的方法包括数据拦截210、数据分类220、搜索网络钓鱼标识230、计算参数分数240、选择演进规则250、使用规则260以及数据修改270。
在阶段210,拦截由服务器102转移到客户端104的数据。拦截的数据可以包括上面描述的任何示范性数据类型。在阶段220,根据标准对拦截的数据进行分类,例如根据上面描述的类别示例。在阶段230,对经分类的数据搜索网络钓鱼标识。在阶段240,计算检测到的网络钓鱼标识的参数及其值。此后,在阶段245,基于计算出的参数值对演进规则用于检测网络钓鱼内容的合适性做出决定。
如果满足规则演进标准,则过程前进到阶段250,在此基于计算出的网络钓鱼标识参数生成网络钓鱼检测规则。如果不满足规则创建标准,则不创建新的规则,并且在阶段260该组现有规则用于执行网络钓鱼内容检测。
在阶段260,生成的规则应用于经分类的数据,对网络钓鱼中使用的数据实施搜索,并且计算检测到的网络钓鱼内容的参数。
在阶段270,基于计算出的网络钓鱼中使用数据的参数修改拦截的数据,并且修改的数据被送至客户端104。
在相关的实施例中,为了将用于其他数据类别的网络钓鱼检测规则应用于拦截的数据,网络钓鱼检测规则的演进包括对拦截数据重新分类。这个方法改进了网络钓鱼检测灵敏度并且导致生成新的并且更好的检测规则。例如,如果拦截的数据包含图像,那些图像最初被分在多媒体数据类别中,但随后,利用图像-文本识别算法,该数据被重新分类为文本,伴随着所有基于文本类别的检测规则现在都可用了。
规则被演进,以便基于计算出的参数在发现的网络钓鱼标识之间建立逻辑连接(例如,具有知名公司标识的图像是增加未知超链接的加权因子直到达到该超链接开始被视为非可信任的级别的因素)。
并且,当演进规则时,之前得到的规则可以使用,其将复杂化(增加网络钓鱼标识间的逻辑连接的数目)或简化(分别减少此数目)该规则的建立。发现的网络钓鱼标识,以及基于它们计算出的参数,以及为了进一步用于新的经分类数据的目的随后建立的规则,可以或者本地保存到用户计算机,或者远程保存到云(这种情况下,它们也可以被其他用户下载并用在其他计算机上)。
建立规则的一个方法是使用神经网络,其可以基于在之前接收的数据的处理期间接收的参数学习建立新的更加准确的规则。在这样的神经网络中,神经元由网络钓鱼标识计算的算法(或换言之,处理)以及网络钓鱼标识参数计算的算法表示,其相互交换经分类的数据和计算出的参数。可以使用多种学习方法例如监督学习,其中一些神经元(即网络钓鱼标识计算方法)和一些连接(即神经元接受什么样的网络钓鱼标识和标识参数)由分析员基于之前处理的数据确定。在另一个实施例中,可以使用无监督学习方法,其中神经元依靠之前处理的数据进行识别,在分析过程中无需涉及分析员。操作的结果是,上面描述的神经网络可以返回,或者使用经处理的数据用于网络钓鱼的事实,或者这样的事实的可能性(从0到1,其中0意味着可信任数据,而1意味着非可信任数据)。
在一个实施例中,网络钓鱼检测规则的演进包括,首先确定主要条件是否值得基于以前规则的应用生成新的规则。图3A和3B描述了根据相关实施例的示范性方法,其中在对是否应该生成新的规则做出决定中考虑参数值的一个或组合。该方法由分数合计引擎302促进,其可以实现为规则开发引擎130的一部分。分数合计模块编程为,或者否则配置为,将参数值与多个阈值进行比较。
下面是由规则分数合计模块确定是否创建新的网络钓鱼检测规则的操作的示例:
●至少一个网络钓鱼标识参数的定量分数超过第一指定的规则演进阈值310;或者
●至少两个网络钓鱼标识参数的定量分数的组合值超过第二指定的规则演进阈值312。
图3A说明了第一种情况,其中参数304的值超过较高阈值310。在这种基础情况中,阈值310也可以对应于肯定的网络钓鱼检测,即表明有内容被确信为网络钓鱼内容。响应于参数304超过阈值310,开始生成新一代检测规则。在生成新的网络钓鱼检测规则时,不仅仅考虑参数304,也要考虑其他参数。
在生成新的检测规则时,根据相关实施例,多种不同的加权可以应用于不同的参数。在一个这样的实施例中,相关的加权至少粗略对应于相关的参数值。
图3B说明了另一种情况。此处,没有参数值超过阈值310。然而,在306和308中表明的两个参数超过较低阈值312。在这个例子中,对于任何给定的参数,阈值312不与肯定的网络钓鱼检测对应;然而,分数合计引擎302配置了基于合计的超过阈值312的参数组合识别生成新规则指示的标准。因此,开始生成新的规则。
在相关的实施例中,根据多个其他组合技术,网络钓鱼标识参数的合计值可以由分数合计引擎302计算出。例如:
●计算网络钓鱼标识参数的定量分数的总和、乘积,或其他合计值(例如,所有参数,或仅是超过某个阈值的参数的子集,例如较低阈值312);
●计算网络钓鱼标识参数间主要趋势的测度;
●计算网络钓鱼标识参数关于他们的数学期望的扩散指示。
图4是根据一个实施例的、说明了演进网络钓鱼检测规则过程的信息流程图。如所描述的,拦截的数据402,如由数据捕获引擎110的拦截引擎112获得的,例如,在404中根据包括现有网络钓鱼检测规则的规则集406被检查。根据上面描述的实施例,拦截数据402的检查包括把数据分类、特定类别网络钓鱼检测标准的应用和参数评分。处理结果产生参数分数408。
这些参数分数与规则生成标准410进行比较,如在412中表明的,其致使关于是否演进网络钓鱼检测规则的决定。例如,这个决定412是基于上面讨论的一个或多个决定标准。如果参数分数408满足规则生成标准410,则该过程进行到演进一个或多个新的网络钓鱼检测规则414。然后新的规则414被添加到规则集406,并且重新应用于拦截的数据402。
尤其是,在此例子中,添加到规则集406中的新演进的规则被用于针对网络钓鱼标识检查拦截的数据402以及生成新的参数分数408。因此,此例子的过程使用递归技术创建多个网络钓鱼检测规则的连续代,而不要求人们输入或更新由其创建新规则的输入数据。相反地,网络钓鱼检测规则演进(在广义上)评判变化的参数以及它们的值,以获取某些检测规则特征的灵敏度,并且选择更加灵敏的规则特征,从中产生检测规则的变化。如上面示例的,这些规则变化可以基于以前规则代的类别中给定规则的成功跨类别开发新的规则。
图5是根据一个实施例、说明了如何演进初始规则以形成可用于内容的不同类别的规则连续代的例子的规则演进示意图。在图5中,3个内容类别由标记为类别I、类别II和类别III的行表示。每栏表示规则演进代。这些标记为代0、代1和代2。在描述的例子中,代0的初始规则,规则I-a,其可应用于类别I,被用于一组拦截数据。检测规则应用于一组拦截数据的处理导致演进规则的决定。例如,一个或多个参数分数超过至少一个适当的阈值(例如,如上面关于图3A和3B示例的)。
规则创建过程创建在随后的代1中的规则。这些是规则I-b和规则I-c(可应用于类别I),以及规则II-a(可应用于类别II)。每个新生成的规则被应用于拦截的数据,在一个实施例中,其可以包括以前代的规则应用于的非常相似的拦截数据。这3个代1规则中,规则II-a已经满足演进规则的后来代的决定标准。因此,创建了规则I-d和代2的规则III-a。在多个其他例子中,可能有多个规则满足决定标准,其中这些多个规则的每个将演进规则的更进一步的代。
回到现在的例子,新的代2规则的每个与它们由其演进的规则II-a相比处于不同的类别中。这可以代表真实世界的例子,其中开发出来用于检测以前识别为构成网络钓鱼内容的特定ASCII文本串(并且也可能检测它的某些变化)(例如,属于内容的第一类别)的第一代检测规则被演进,用于检测表现为图像文件(例如,属于内容的第二类别)一部分的非ASCII编码的文本,当字符被识别出并被转化成ASCII文本时,其将构成组成网络钓鱼内容的特定文本串(或变化)。类似的规则演进可以应用于一段浏览器可执行代码(例如,内容的第三类别),其在浏览器应用程序中呈现文本或文本的图像,其可以构成相同的网络钓鱼内容。
然后代2规则被应用于拦截的数据,以进一步检查规则演进条件。规则演进可以针对更进一步的代继续,直到所有应用的最新代的规则都未能满足规则演进标准,或对代的数目存在规定的限制。在相关的实施例中,规则代的阈值对后面的代可以逐渐增加,这样,后面的代的演进优先选择逐渐增加的特别灵敏的检测。
作为跨不同类别演进规则的另一个例子,可以生成新的类别。例如,第一类别可以应用于已经识别为满足规则演进标准的flash对象。作为响应,规则演进过程检查flash对象内的多个元素,例如,AcrionScript元素、纹理元素、图像等,并且对于这些的每个,在后面的循环中自动定义并探索新的类别。
图6是更加详细说明计算机系统600的示意图,其制成在本文描述的发明的各方面的实现方式中具有改进功能的专用机。该计算机系统600可以包括计算设备,例如个人计算机602。个人计算机602包括一个或多个处理单元604、系统存储器606、视频接口608、输出外围接口610、网络接口612、用户输入接口614、可移除存储器接口616和非可移除存储器接口618以及与多个元件耦合的系统总线或高速通信通道620。在多个实施例中,处理单元604可以具有多个逻辑内核,其能够处理存储在计算机可读介质例如系统存储器606或附接于可移除存储器接口616和非可移除存储器接口618的存储器中的信息。计算机602的系统存储器606可以包括非易失性存储器例如只读存储器(ROM)622或易失性存储器例如随机存取存储器(RAM)624。ROM 622可以包括基本输入/输出系统(BIOS)626,以帮助与计算机602的其他部分通信。RAM 624可以存储多个软件应用程序的部分例如操作系统628、应用程序630以及其他程序引擎632。而且,RAM624可以存储其他信息,例如程序或应用程序数据634。在多个实施例中,RAM 624存储要求低延迟和有效存取的信息,例如程序和被操纵和操作的数据。在多个实施例中,RAM 624包括双数据速率(DDR)存储器、纠错存储器(ECC)或具有不同延迟和配置的其他存储器技术,例如RAMBUS或DDR2和DDR3。用这种方法,在多个实施例中,系统存储器606可以存储输入数据存储、访问证书数据存储、操作存储器数据存储、指令集数据存储、分析结果数据存储以及操作存储器数据存储。而且,在多个实施例中,处理单元604可以配置为,通过要求在访问信息之前访问授予的证书,执行限制访问前述数据存储的指令。
可移除存储器接口616和非可移除存储器接口618可以将计算机602耦合至磁盘驱动器636,例如SSD或旋转磁盘驱动器。这些磁盘驱动器636可以为多个软件应用程序提供进一步存储,例如操作系统638、应用程序640以及其他程序引擎642。而且,磁盘驱动器636可以存储其他信息,例如程序或应用程序数据644。在多个实施例中,磁盘驱动器636存储不要求与其他存储介质中一样的低延迟信息。而且,操作系统638、应用程序640数据、程序引擎642和程序或应用程序数据644可以是与存储在上面提到的多个实施例中的RAM 624中的一样的信息,或者它可以是RAM 624中存储的数据可能衍生的不同数据。
而且,可移除非易失性存储器接口616可以将计算机602耦合至便携式磁盘驱动器646,其利用磁介质例如软盘648、Zip或Jazz,或光盘驱动器650,其利用光介质652存储计算机可读介质,例如Blu-DVD-R/RW,CD-R/RW以及其他类似形式。仍有其他实施例利用装在便携式外壳654中的SSD或旋转磁盘,以增加可移除存储器的容量。
计算机602可以利用网络接口612,以通过局域网(LAN)658或广域网(WAN)660与一个或多个远程计算机656进行通信。网络接口612可以利用网络接口卡(NIC)或其他接口例如调制解调器662使得能够通信。调制解调器662可以使得能够通过电话线、同轴电缆、光纤、输电线或无线通信。远程计算机656可以包含类似的硬件和软件配置,或可能具有包含远程应用程序666的存储器664,远程应用程序666为计算机602提供附加的计算机可读指令。在多个实施例中,远程计算机存储器664可以用于存储信息,例如识别的文件信息,其稍后可能下载到本地系统存储器606。而且,在多个实施例中,远程计算机656可以是应用服务器、管理服务器、客户端计算机或网络装置。
用户可以利用连接到用户输入接口614的输入设备例如鼠标668和键盘670输入信息到计算机620。此外,输入设备可以是触控板、指纹扫描器、操纵杆、条形码扫描器、媒体扫描仪等等。视频接口608可以提供向显示器例如监视器672提供视觉信息。视频接口608可以是嵌入式接口或者可以是分离式接口。而且,为了增加计算机602操作中的灵活性,计算机可以利用多个视频接口608、网络接口612以及可移除接口606和非可移除接口618。而且,多个实施例利用若干监视器672和若干视频接口608改变计算机602的性能和容量。计算机602中可以包括其他计算机接口,例如输出外围接口610。此接口可以耦合至打印机674或扬声器676或其他给计算机602提供附加功能的外围接口。
计算机602的不同的替代性的配置和实现方式都落入本发明的精神。这些变化可以包括但不限于,耦合至系统总线620的附加接口,例如通用串行总线(USB)、打印机端口、游戏端口、PCI总线、PCI Express或上面描述的多个元件结合成的芯片集元件,例如北桥和南桥。例如,在多个实施例中,处理单元604可以包括嵌入式存储器控制器(未示出),使得能够从系统存储器606进行比系统总线620可以提供的更多的有效数据转移。
上面的实施例意图说明并且不意图限制。附加的实施例落入权利要求的保护范围。此外,虽然本发明的各方面已经参考具体实施例进行了描述,但本领域技术人员将意识到,可以进行形式以及细节上的变化而不脱离由权利要求限定的本发明的保护范围。
相关领域的一般技术人员将意识到,本发明可以包括比上面描述的任何个别实施例中描述的更少的特征。此处描述的实施例并不意味着可能组合了发明的多个特征的详尽介绍方式。因此,各实施例并不是相互排斥的特征组合;而是,本发明可以包括选自不同个别实施例的不同个别特征的组合,如本领域普通技术人员将理解的。
限制引用上面的文档的任何合并,以便没有与此处明确公开的相反的主题名称并合并。引用上面文档的任何合并进一步被限制,以便包括在文档中的权利要求不会通过引用到本申请的权利要求中被合并。然而,任何文件的权利要求作为此公开的一部分被合并,除非特别排除。引用上面文件的任何合并仍然进一步被限制,以便文件中提供的任何定义不会在此处被引用合并,除非此处明确包括。
为了理解本发明的权利要求的目的,明确意图不借助35U.S.C.第6段第112部分的条款,除非权利要求中叙述了特定术语“用于…的装置”或“用于…的步骤”。

Claims (28)

1.在包括处理器、数据存储器以及输入/输出设备的计算系统中,其中所述输入/输出设备包括网络接口设备,一种用于自动开发检测规则的方法,所述方法包括:
(a)由所述计算系统获得定向到目的地的输入数据;
(b)由所述计算系统检测存在于所述输入数据中的任何网络钓鱼标识,所述检测通过应用多个所述网络钓鱼检测规则执行;
(c)由所述计算系统计算确定多个预定义参数的每个的定量分数,每个所述参数与至少一个所述网络钓鱼标识相关,并且对于所述至少一个所述网络钓鱼标识,每个定量分数代表所述输入数据中存在网络钓鱼内容的可能性;
(d)由所述计算系统评估演进网络钓鱼检测规则的需求,包括将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合;
(e)响应于对演进网络钓鱼规则的需求的评估,由所述计算系统基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则;
由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递归执行(b)-(e);
由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象;
由所述计算系统修改所述输入数据中与所述网络钓鱼相关对象相关的内容,以消除或减小所述网络钓鱼相关对象的恶意。
2.根据权利要求1所述的方法,其中在获得所述输入数据中,所述输入数据定向到的所述目的地是远程客户端计算机系统。
3.根据权利要求1所述的方法,其中获得所述输入数据包括在所述输入数据到达所述目的地之前拦截所述输入数据。
4.根据权利要求1所述的方法,其中检测存在于所述输入数据中的任何所述网络钓鱼标识包括在独立的计算环境中仿真所述输入数据中存在的任何代码。
5.根据权利要求3所述的方法,进一步包括:
由所述计算系统将所述拦截的数据内容的项分类成代表不同内容类型的多个预定义类别,其中每个所述类别与所述参数的对应集合相关联。
6.根据权利要求5所述的方法,其中生成新的网络钓鱼检测规则包括将拦截的数据内容的某些项重新分类成其他类别,并且将用于那些其他类别的网络钓鱼检测规则应用到那些所述内容的某些项。
7.根据权利要求1所述的方法,其中在计算确定每个所述参数的所述定量分数中,至少一个所述定量分数表示应用不同网络钓鱼检测规则组合以检测网络钓鱼标识的相关组合的结果。
8.根据权利要求1所述的方法,其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第一规则演进阈值。
9.根据权利要求8所述的方法,其中所述第一规则演进阈值不同于所述网络钓鱼检测阈值。
10.根据权利要求8所述的方法,其中所述第一规则演进阈值与所述网络钓鱼检测阈值相同。
11.根据权利要求8所述的方法,其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第二规则演进阈值,所述第二规则演进阈值比所述第一规则演进阈值低,其中当所述组合的任何个别定量分数超过所述第一规则演进阈值时,所述规则演进标准被满足,并且当所述组合的指定的多个所述定量分数超过所述第二规则演进阈值时,所述规则演进标准被独立满足。
12.根据权利要求1所述的方法,其中所述规则演进标准包括所述组合的所述确定的定量分数的总数被应用于的规则演进阈值。
13.根据权利要求1所述的方法,其中在递归执行(b)-(e)中,执行多个(b)-(e)的连续迭代,其中每个新的网络钓鱼检测规则应用于来自以前迭代的相同的输入数据。
14.一种用于自动开发检测网络钓鱼内容的检测规则的系统,所述系统包括:
具有处理器、数据存储器和网络接口设备的计算平台,所述计算平台包含指令,当由所述计算平台执行所述指令时,使得所述计算平台实现:
数据捕获引擎,其配置为获得定向到目的地的输入数据;
网络钓鱼内容检测引擎,其可操作耦合至所述数据捕获引擎并且配置为检测存在于所述输入数据中的任何网络钓鱼标识,所述检测是基于对多个所述网络钓鱼检测规则的应用,并且配置为确定多个预定义参数的每个的定量分数,每个所述参数与至少一个所述网络钓鱼标识相关,并且对于所述至少一个所述网络钓鱼标识,每个所述定量分数代表所述输入数据中存在网络钓鱼内容的可能性;
规则开发引擎,其可操作地耦合至所述网络钓鱼内容检测引擎并且配置为:
基于由所述网络钓鱼内容检测引擎将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合,评估演进网络钓鱼检测规则的需求;
响应于对演进网络钓鱼规则的要求的评估,基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则;
将所述新的网络钓鱼检测规则传送到所述网络钓鱼内容检测引擎,以使得所述网络钓鱼内容检测引擎将所述新的网络钓鱼检测规则应用到所述输入数据;
递归评估演进所述网络钓鱼检测规则的所述需求,并且响应于将所述新的网络钓鱼检测规则应用到所述输入数据,生成新的网络钓鱼规则;
网络钓鱼内容识别引擎,其可操作地耦合至所述网络钓鱼内容检测引擎以及所述规则开发引擎,并且配置为基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象;
修改引擎,其配置为修改所述输入数据中与所述网络钓鱼相关对象相关的内容,以消除或减小所述网络钓鱼相关对象的恶意。
15.根据权利要求14所述的系统,其中所述输入数据定向到的所述目的地是所述计算平台。
16.根据权利要求14所述的系统,其中所述数据捕获引擎是代理的一部分。
17.根据权利要求14所述的系统,其中所述数据捕获引擎实现为在所述计算平台上执行的驱动器的一部分。
18.根据权利要求14所述的系统,其中所述数据捕获引擎包括配置为在所述输入数据到达所述目的地之前拦截所述输入数据的拦截引擎。
19.根据权利要求14所述的系统,其中所述数据捕获引擎包括配置为在独立的计算环境中执行存在于所述输入数据中的任何代码的仿真引擎。
20.根据权利要求18所述的系统,其中所述数据捕获引擎包括配置为将所述拦截的数据内容的项分类成代表不同内容类型的多个预定义类别的分类引擎,其中每个所述类别与所述参数的对应集合相关联。
21.根据权利要求20所述的系统,其中所述规则开发引擎配置为响应于将拦截的数据内容的某些项重新分类成其他类别,生成新的网络钓鱼检测规则,并且将用于那些其他类别的所述网络钓鱼检测规则应用到那些所述内容的某些项。
22.根据权利要求14所述的系统,其中至少一个所述定量分数表示应用不同网络钓鱼检测规则组合以检测网络钓鱼标识的相关组合的结果。
23.根据权利要求14所述的系统,其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第一规则演进阈值。
24.根据权利要求23所述的系统,其中所述第一规则演进阈值不同于所述网络钓鱼检测阈值。
25.根据权利要求23所述的系统,其中所述第一规则演进阈值与所述网络钓鱼检测阈值相同。
26.根据权利要求23所述的系统,其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第二规则演进阈值,所述第二规则演进阈值比所述第一规则演进阈值低,其中当所述组合的任何个别定量分数超过所述第一规则演进阈值时,所述规则演进标准被满足,并且当所述组合的指定的多个所述定量分数超过所述第二规则演进阈值时,所述规则演进标准被独立满足。
27.根据权利要求14所述的系统,其中所述规则演进标准包括所述组合的所述确定的定量分数的总数被应用于的规则演进阈值。
28.一种用于自动开发检测规则的计算系统,所述系统包括:
用于获得定向到目的地的输入数据的装置;
用于检测存在于所述输入数据中的任何网络钓鱼标识的装置,所述检测通过应用多个所述网络钓鱼检测规则执行;
用于确定多个预定义参数的每个的定量分数的装置,每个所述参数与至少一个所述网络钓鱼标识相关,并且对于所述至少一个所述网络钓鱼标识,每个所述定量分数代表所述输入数据中存在网络钓鱼内容的可能性;
用于评估演进网络钓鱼检测规则的要求的装置,包括将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合;
用于演进网络钓鱼规则的装置,包括用于基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则的装置;
用于递归执行检测网络钓鱼标识、确定定量分数、评估演进规则的需求并且基于之前已经演进的任何新的网络钓鱼检测规则演进网络钓鱼规则的装置;
用于基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象的装置;以及
用于修改所述输入数据中与所述网络钓鱼相关对象相关的内容,以消除或减小所述网络钓鱼相关对象的恶意的装置。
CN201510870275.5A 2015-03-05 2015-12-02 用于自动网络钓鱼检测规则演进的系统和方法 Active CN105516113B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/639,871 2015-03-05
US14/639,871 US9253208B1 (en) 2015-03-05 2015-03-05 System and method for automated phishing detection rule evolution

Publications (2)

Publication Number Publication Date
CN105516113A CN105516113A (zh) 2016-04-20
CN105516113B true CN105516113B (zh) 2018-10-02

Family

ID=52875049

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510870275.5A Active CN105516113B (zh) 2015-03-05 2015-12-02 用于自动网络钓鱼检测规则演进的系统和方法

Country Status (3)

Country Link
US (2) US9253208B1 (zh)
EP (1) EP3065367B1 (zh)
CN (1) CN105516113B (zh)

Families Citing this family (79)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution
US10298602B2 (en) * 2015-04-10 2019-05-21 Cofense Inc. Suspicious message processing and incident response
US20160337394A1 (en) * 2015-05-11 2016-11-17 The Boeing Company Newborn domain screening of electronic mail messages
US9967273B2 (en) * 2015-06-15 2018-05-08 Microsoft Technology Licensing, Llc. Abusive traffic detection
US10601865B1 (en) * 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10630708B2 (en) * 2016-01-08 2020-04-21 Cyber Detection Services Inc Embedded device and method of processing network communication data
US10021126B2 (en) 2016-02-26 2018-07-10 KnowBe4, Inc. Systems and methods for creating and running heterogeneous phishing attack campaigns
US10009370B1 (en) * 2016-03-01 2018-06-26 EMC IP Holding Company LLC Detection and remediation of potentially malicious files
US9800613B1 (en) 2016-06-28 2017-10-24 KnowBe4, Inc. Systems and methods for performing a simulated phishing attack
RU2634211C1 (ru) 2016-07-06 2017-10-24 Общество с ограниченной ответственностью "Траст" Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак
RU2649793C2 (ru) 2016-08-03 2018-04-04 ООО "Группа АйБи" Способ и система выявления удаленного подключения при работе на страницах веб-ресурса
RU2634209C1 (ru) 2016-09-19 2017-10-24 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
US10095753B2 (en) * 2016-09-28 2018-10-09 Microsoft Technology Licensing, Llc Aggregation and generation of confidential data insights with confidence values
US10291646B2 (en) 2016-10-03 2019-05-14 Telepathy Labs, Inc. System and method for audio fingerprinting for attack detection
US10313352B2 (en) * 2016-10-26 2019-06-04 International Business Machines Corporation Phishing detection with machine learning
US10855714B2 (en) 2016-10-31 2020-12-01 KnowBe4, Inc. Systems and methods for an artificial intelligence driven agent
RU2637477C1 (ru) * 2016-12-29 2017-12-04 Общество с ограниченной ответственностью "Траст" Система и способ обнаружения фишинговых веб-страниц
RU2671991C2 (ru) 2016-12-29 2018-11-08 Общество с ограниченной ответственностью "Траст" Система и способ сбора информации для обнаружения фишинга
US9749360B1 (en) 2017-01-05 2017-08-29 KnowBe4, Inc. Systems and methods for performing simulated phishing attacks using social engineering indicators
US20180307844A1 (en) 2017-04-21 2018-10-25 KnowBe4, Inc. Using smart groups for simulated phishing training and phishing campaigns
US10362047B2 (en) 2017-05-08 2019-07-23 KnowBe4, Inc. Systems and methods for providing user interfaces based on actions associated with untrusted emails
US11599838B2 (en) 2017-06-20 2023-03-07 KnowBe4, Inc. Systems and methods for creating and commissioning a security awareness program
US11343276B2 (en) 2017-07-13 2022-05-24 KnowBe4, Inc. Systems and methods for discovering and alerting users of potentially hazardous messages
US11295010B2 (en) 2017-07-31 2022-04-05 KnowBe4, Inc. Systems and methods for using attribute data for system protection and security awareness training
EP3662400A1 (en) 2017-07-31 2020-06-10 Knowbe4, Inc. Systems and methods for using attribute data for system protection and security awareness training
RU2689816C2 (ru) 2017-11-21 2019-05-29 ООО "Группа АйБи" Способ для классифицирования последовательности действий пользователя (варианты)
US10715549B2 (en) 2017-12-01 2020-07-14 KnowBe4, Inc. Systems and methods for AIDA based role models
US10348762B2 (en) 2017-12-01 2019-07-09 KnowBe4, Inc. Systems and methods for serving module
US10673895B2 (en) 2017-12-01 2020-06-02 KnowBe4, Inc. Systems and methods for AIDA based grouping
US10009375B1 (en) * 2017-12-01 2018-06-26 KnowBe4, Inc. Systems and methods for artificial model building techniques
US10313387B1 (en) 2017-12-01 2019-06-04 KnowBe4, Inc. Time based triggering of dynamic templates
US10812527B2 (en) 2017-12-01 2020-10-20 KnowBe4, Inc. Systems and methods for aida based second chance
US10257225B1 (en) 2017-12-01 2019-04-09 KnowBe4, Inc. Systems and methods for artificial intelligence driven agent campaign controller
US10581910B2 (en) 2017-12-01 2020-03-03 KnowBe4, Inc. Systems and methods for AIDA based A/B testing
US10839083B2 (en) 2017-12-01 2020-11-17 KnowBe4, Inc. Systems and methods for AIDA campaign controller intelligent records
US10679164B2 (en) 2017-12-01 2020-06-09 KnowBe4, Inc. Systems and methods for using artificial intelligence driven agent to automate assessment of organizational vulnerabilities
US11777986B2 (en) 2017-12-01 2023-10-03 KnowBe4, Inc. Systems and methods for AIDA based exploit selection
US10348761B2 (en) 2017-12-01 2019-07-09 KnowBe4, Inc. Systems and methods for situational localization of AIDA
RU2680736C1 (ru) 2018-01-17 2019-02-26 Общество с ограниченной ответственностью "Группа АйБи ТДС" Сервер и способ для определения вредоносных файлов в сетевом трафике
RU2677368C1 (ru) 2018-01-17 2019-01-16 Общество С Ограниченной Ответственностью "Группа Айби" Способ и система для автоматического определения нечетких дубликатов видеоконтента
RU2668710C1 (ru) 2018-01-17 2018-10-02 Общество с ограниченной ответственностью "Группа АйБи ТДС" Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике
RU2676247C1 (ru) 2018-01-17 2018-12-26 Общество С Ограниченной Ответственностью "Группа Айби" Способ и компьютерное устройство для кластеризации веб-ресурсов
RU2677361C1 (ru) 2018-01-17 2019-01-16 Общество с ограниченной ответственностью "Траст" Способ и система децентрализованной идентификации вредоносных программ
US10834111B2 (en) 2018-01-29 2020-11-10 International Business Machines Corporation Method and system for email phishing attempts identification and notification through organizational cognitive solutions
RU2681699C1 (ru) 2018-02-13 2019-03-12 Общество с ограниченной ответственностью "Траст" Способ и сервер для поиска связанных сетевых ресурсов
US10237302B1 (en) 2018-03-20 2019-03-19 KnowBe4, Inc. System and methods for reverse vishing and point of failure remedial training
JP6876649B2 (ja) * 2018-03-27 2021-05-26 日本電信電話株式会社 違法コンテンツ探索装置、違法コンテンツ探索方法およびプログラム
EP3782065B1 (en) * 2018-04-19 2024-09-25 Thales Dis France SAS Method for securing a computer system
EP3557839A1 (en) * 2018-04-19 2019-10-23 Gemalto Sa Method for securing a computer system
US10673876B2 (en) 2018-05-16 2020-06-02 KnowBe4, Inc. Systems and methods for determining individual and group risk scores
CN108985056A (zh) * 2018-06-27 2018-12-11 努比亚技术有限公司 一种数据拦截方法、电子设备及计算机可读存储介质
US11212312B2 (en) 2018-08-09 2021-12-28 Microsoft Technology Licensing, Llc Systems and methods for polluting phishing campaign responses
US10984274B2 (en) 2018-08-24 2021-04-20 Seagate Technology Llc Detecting hidden encoding using optical character recognition
US10540493B1 (en) 2018-09-19 2020-01-21 KnowBe4, Inc. System and methods for minimizing organization risk from users associated with a password breach
US10673894B2 (en) 2018-09-26 2020-06-02 KnowBe4, Inc. System and methods for spoofed domain identification and user training
CN109246127B (zh) * 2018-10-12 2021-05-28 上海哔哩哔哩科技有限公司 一种音频资源的安全分享控制方法和系统
US10979448B2 (en) 2018-11-02 2021-04-13 KnowBe4, Inc. Systems and methods of cybersecurity attack simulation for incident response training and awareness
US10812507B2 (en) 2018-12-15 2020-10-20 KnowBe4, Inc. System and methods for efficient combining of malware detection rules
RU2708508C1 (ru) 2018-12-17 2019-12-09 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями
RU2701040C1 (ru) 2018-12-28 2019-09-24 Общество с ограниченной ответственностью "Траст" Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах
SG11202101624WA (en) 2019-02-27 2021-03-30 Group Ib Ltd Method and system for user identification by keystroke dynamics
CN111669353A (zh) * 2019-03-08 2020-09-15 顺丰科技有限公司 钓鱼网站检测方法及系统
US11108821B2 (en) 2019-05-01 2021-08-31 KnowBe4, Inc. Systems and methods for use of address fields in a simulated phishing attack
US11281854B2 (en) * 2019-08-21 2022-03-22 Primer Technologies, Inc. Limiting a dictionary used by a natural language model to summarize a document
US11489868B2 (en) 2019-09-05 2022-11-01 Proofpoint, Inc. Dynamically initiating and managing automated spear phishing in enterprise computing environments
US11233820B2 (en) 2019-09-10 2022-01-25 Paypal, Inc. Systems and methods for detecting phishing websites
RU2728497C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его машинному коду
RU2728498C1 (ru) 2019-12-05 2020-07-29 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система определения принадлежности программного обеспечения по его исходному коду
RU2743974C1 (ru) 2019-12-19 2021-03-01 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ сканирования защищенности элементов сетевой архитектуры
SG10202001963TA (en) 2020-03-04 2021-10-28 Group Ib Global Private Ltd System and method for brand protection based on the search results
CN111756724A (zh) * 2020-06-22 2020-10-09 杭州安恒信息技术股份有限公司 钓鱼网站的检测方法、装置、设备、计算机可读存储介质
US11475090B2 (en) 2020-07-15 2022-10-18 Group-Ib Global Private Limited Method and system for identifying clusters of affiliated web resources
RU2743619C1 (ru) 2020-08-06 2021-02-20 Общество с ограниченной ответственностью "Группа АйБи ТДС" Способ и система генерации списка индикаторов компрометации
US11947572B2 (en) 2021-03-29 2024-04-02 Group IB TDS, Ltd Method and system for clustering executable files
NL2030861B1 (en) 2021-06-01 2023-03-14 Trust Ltd System and method for external monitoring a cyberattack surface
RU2769075C1 (ru) 2021-06-10 2022-03-28 Общество с ограниченной ответственностью "Группа АйБи ТДС" Система и способ активного обнаружения вредоносных сетевых ресурсов
CN113630395B (zh) * 2021-07-28 2023-06-06 上海纽盾网安科技有限公司 通信内容的防钓鱼方法、客户端及系统
CN113689138B (zh) * 2021-09-06 2024-04-26 北京邮电大学 一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法
CN115022086B (zh) * 2022-07-19 2023-11-21 北京安天网络安全技术有限公司 网络安全防御方法、装置、电子设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101826105A (zh) * 2010-04-02 2010-09-08 南京邮电大学 基于匈牙利匹配算法的钓鱼网页检测方法
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network

Family Cites Families (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7685254B2 (en) * 2003-06-10 2010-03-23 Pandya Ashish A Runtime adaptable search processor
WO2005055073A1 (en) * 2003-11-27 2005-06-16 Qinetiq Limited Automated anomaly detection
US8627458B2 (en) * 2004-01-13 2014-01-07 Mcafee, Inc. Detecting malicious computer program activity using external program calls with dynamic rule sets
US8438499B2 (en) 2005-05-03 2013-05-07 Mcafee, Inc. Indicating website reputations during user interactions
US7681234B2 (en) 2005-06-30 2010-03-16 Microsoft Corporation Preventing phishing attacks
EP2432188B1 (en) 2005-12-13 2016-04-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
US7668921B2 (en) 2006-05-30 2010-02-23 Xerox Corporation Method and system for phishing detection
IL177429A0 (en) * 2006-08-10 2007-07-04 Univ Ben Gurion A system that provides early detection. alert, and response to electronic threats
US7831607B2 (en) * 2006-12-08 2010-11-09 Pandya Ashish A Interval symbol architecture for programmable intelligent search memory
US20080162449A1 (en) * 2006-12-28 2008-07-03 Chen Chao-Yu Dynamic page similarity measurement
US7854001B1 (en) 2007-06-29 2010-12-14 Trend Micro Incorporated Aggregation-based phishing site detection
MY180093A (en) 2007-08-06 2020-11-21 Monseignat Bernard De System and method for authentication, data transfer, and protection against phishing
US20090089859A1 (en) 2007-09-28 2009-04-02 Cook Debra L Method and apparatus for detecting phishing attempts solicited by electronic mail
US8707426B1 (en) 2008-05-28 2014-04-22 Symantec Corporation Method and apparatus for resolving a cousin domain name to detect web-based fraud
US9734125B2 (en) * 2009-02-11 2017-08-15 Sophos Limited Systems and methods for enforcing policies in the discovery of anonymizing proxy communications
US8429751B2 (en) * 2009-03-13 2013-04-23 Trustwave Holdings, Inc. Method and apparatus for phishing and leeching vulnerability detection
CN101504673B (zh) 2009-03-24 2011-09-07 阿里巴巴集团控股有限公司 一种识别疑似仿冒网站的方法与系统
US8769695B2 (en) 2009-04-30 2014-07-01 Bank Of America Corporation Phish probability scoring model
US20100332593A1 (en) 2009-06-29 2010-12-30 Igor Barash Systems and methods for operating an anti-malware network on a cloud computing platform
US8671447B2 (en) 2010-06-09 2014-03-11 Sonicwall, Inc. Net-based email filtering
RU2446459C1 (ru) 2010-07-23 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ проверки веб-ресурсов на наличие вредоносных компонент
US8521667B2 (en) 2010-12-15 2013-08-27 Microsoft Corporation Detection and categorization of malicious URLs
US20150229664A1 (en) * 2014-02-13 2015-08-13 Trevor Tyler HAWTHORN Assessing security risks of users in a computing network
CN102902917A (zh) 2011-07-29 2013-01-30 国际商业机器公司 用于预防钓鱼式攻击的方法和系统
US8799987B2 (en) * 2011-12-05 2014-08-05 Facebook, Inc. Updating system behavior dynamically using feature expressions and feature loops
WO2014018630A1 (en) 2012-07-24 2014-01-30 Webroot Inc. System and method to provide automatic classification of phishing sites
US9398038B2 (en) * 2013-02-08 2016-07-19 PhishMe, Inc. Collaborative phishing attack detection
US9027136B2 (en) * 2013-04-22 2015-05-05 Imperva, Inc. Automatic generation of attribute values for rules of a web application layer attack detector
US9253208B1 (en) 2015-03-05 2016-02-02 AO Kaspersky Lab System and method for automated phishing detection rule evolution

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
CN101826105A (zh) * 2010-04-02 2010-09-08 南京邮电大学 基于匈牙利匹配算法的钓鱼网页检测方法

Also Published As

Publication number Publication date
US20160261618A1 (en) 2016-09-08
US9253208B1 (en) 2016-02-02
US9621570B2 (en) 2017-04-11
EP3065367B1 (en) 2018-02-07
EP3065367A1 (en) 2016-09-07
CN105516113A (zh) 2016-04-20

Similar Documents

Publication Publication Date Title
CN105516113B (zh) 用于自动网络钓鱼检测规则演进的系统和方法
Lakshmi et al. Efficient prediction of phishing websites using supervised learning algorithms
CN104077396B (zh) 一种钓鱼网站检测方法及装置
Liu et al. CNN based malicious website detection by invalidating multiple web spams
CN107659570A (zh) 基于机器学习与动静态分析的Webshell检测方法及系统
WO2016201938A1 (zh) 一种多阶段钓鱼网站检测方法与系统
CN109598124A (zh) 一种webshell检测方法以及装置
Dadkhah et al. An introduction to journal phishings and their detection approach
Divakaran et al. Phishing detection leveraging machine learning and deep learning: A review
CN107665164A (zh) 安全数据检测方法和装置
Latif et al. A smart methodology for analyzing secure e-banking and e-commerce websites
CN107808095A (zh) 用于检测网页的异常元素的系统和方法
Khan Detection of phishing websites using deep learning techniques
CN107018152A (zh) 消息拦截方法、装置和电子设备
CN109074381A (zh) 使用网络搜索引擎来纠正用于社会工程的域名
Kasim Automatic detection of phishing pages with event-based request processing, deep-hybrid feature extraction and light gradient boosted machine model
Jain Phishing websites detection using machine learning
KR20220101952A (ko) 비트코인 불법거래 탐지 장치 및 방법
Difaizi et al. URL Based Malicious Activity Detection Using Machine Learning
Shah et al. Chrome Extension for Detecting Phishing Websites
Bie et al. Malicious mining behavior detection system of encrypted digital currency based on machine learning
Skandarsini et al. Enhancing Cybersecurity: A Multilayered Approach to Phishing Website Detection Using Machine Learning
Vyawhare et al. Machine Learning System for Malicious Website Detection using Concept Drift Detection
Barbind et al. Detection Of Phishing Websites Using Data Mining
Flayh Phishing Website Detection Using Machine Learning: A Review

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant