CN109074381B

CN109074381B - 使用网络搜索引擎来纠正用于社会工程的域名

Info

Publication number: CN109074381B
Application number: CN201780023219.5A
Authority: CN
Inventors: A·阿哈隆
Original assignee: Microsoft Technology Licensing LLC
Current assignee: Microsoft Technology Licensing LLC
Priority date: 2016-04-12
Filing date: 2017-04-05
Publication date: 2022-05-10
Anticipated expiration: 2037-04-05
Also published as: US20170295202A1; EP3443476B1; US10097580B2; CN109074381A; EP3443476A1; WO2017180373A1

Abstract

一种计算机实现的方法，包括：获得与经由客户终端可访问的第一网络资源相关联的第一超链接；将所述第一超链接的一个或多个部分转换为查询，该查询包括至少部分地从第一超链接的各部分得出的搜索词；向被配置为经由互联网搜索信息的搜索引擎提交查询；从搜索引擎接收与查询相关联的搜索结果，搜索结果包括一个或多个第二超链接；至少部分地基于与每个第二超链接相比较的第一超链接的相似性的分析的结果来确定是否要用从第二超链接中选择的替换超链接来替换第一超链接；以及基于该确定而使得客户终端访问与第一超链接相关联的第一网络资源或与替换超链接相关联的第二网络资源。

Description

使用网络搜索引擎来纠正用于社会工程的域名

背景技术

网络钓鱼是信息安全领域中的重大安全威胁。网络钓鱼可能包括尝试通过伪装成电子通信环境中的可信实体(诸如互联网上的网站)来获得敏感信息(诸如个人详细信息、用户名、密码和/或信用卡详细信息)，以主要用于恶意目的。网络钓鱼可能会通过引诱毫无戒心的用户访问看似为合法网站的欺诈性网站来诱使用户提供敏感信息。

网络钓鱼尝试可以使用各种不同的机制来吸引毫无戒心的用户访问欺诈性网站，诸如被包括在电子邮件消息或即时消息中的欺诈性站点链接、嵌入在数字媒体中的欺诈性站点链接和/或响应于与公共搜索引擎相关联的搜索查询而获取的欺诈性站点名称。

任何版本的网络钓鱼还可以至少部分地依赖于社交工程的概念，社交工程的概念通常可以是指人们对执行特定动作和/或泄露机密信息的心理操纵。一些社会工程技术可能依赖于人性的各种条件来说服用户执行特定动作和/或泄露机密信息，诸如捕捉一个人对人类交互的需要，吸引一个人的虚荣感和/或贪婪感等。社交工程技术还可以包括以可视地模仿已知合法网站但是包括对合法网站的相对较小的语法、语义和/或视觉改变的方式向用户呈现欺诈性网站。以这种方式，当毫无戒心的用户选择欺诈性链接并且访问欺诈性网站时，用户可能不会意识到他正在访问欺诈性网站而不是合法网站。

发明内容

根据本公开的一些示例，提供了用于使用一个或多个搜索引擎检测与不可信网络资源相关联的超链接并且用与可信网络资源相关联的可信超链接替换它们的系统、方法和软件程序产品。

本文中呈现的方法、系统和软件程序产品允许检测与呈现或将要呈现给客户终端的用户的不可信和/或欺诈性网络资源相关联的超链接，并且用与可信和/或合法网络资源相关联的经验证的超链接替换它们。更具体地，方法、系统和软件程序产品可以允许检测和替换被操纵以欺骗用户利用与可信网络资源相关联的超链接来访问不可信网络资源的不可信超链接。替换可以在超链接选择之前和/或在操纵的超链接的呈现之前和/或期间执行。基于搜索引擎结果来分析和分类被怀疑为被操纵的超链接，例如统一资源指示符(URI)、统一资源定位符(URL)、域名、网站地址、服务器地址等，以标识与用户可能打算访问的合法可信网络资源相关联的相应的可信超链接。

用于分析和分类可疑超链接的超链接替换模块可以由客户终端本地执行和/或由一个或多个远程网络节点(例如，分类服务器)远程执行。

在客户终端处执行的超链接替换模块可以通过分析由客户终端处的一个或多个应用绘制的数字媒体和/或文档的内容来获得可疑超链接(也称为第一超链接)。数字媒体和/或文档可以包括例如浏览器、邮件服务应用、文档读取器或写入器等，并且提取可疑超链接。可选地，在客户终端处提取的可疑超链接由客户终端传输给由远程分类服务器执行的超链接替换模块。附加地或备选地，在监测网络节点上执行的超链接替换模块通过监测来自客户终端的网络流量以拦截可疑超链接来获得可疑超链接。

超链接替换模块创建搜索查询，搜索查询包括至少部分地从可疑超链接和/或其任何部分得出的一个或多个搜索词(term)。搜索查询被提交给一个或多个搜索引擎，例如，Bing^TM搜索引擎、Google^TM搜索引擎、Baidu^TM等。响应于搜索查询，搜索引擎提供包括一个或多个结果超链接(也称为第二超链接)的搜索结果。结果超链接的数目可以被限制为包括最相关的结果超链接，例如，前10个结果超链接、前100个结果超链接或者任何中间或更少数目的超链接。

超链接替换模块分析可疑超链接以根据结果超链接来评估和/或分类有效性(例如，可疑超链接的合法性和/或可靠性)。分类可以基于分析(例如，可疑超链接的语法分析、语义分析和/或视觉分析)以评估可疑超链接与结果超链接的语法、语义和/或视觉相似性。在在可疑超链接被确定为可信超链接、即与可信网络资源相关联的情况下，可以允许客户终端访问与可疑超链接相关联的网络资源。当被确定为与不可信网络资源相关联时，可以用从结果超链接中选择的替换超链接来替换可疑超链接。替换超链接通过估计可疑超链接与每个结果超链接的相似性并且选择呈现与可疑超链接的最高相似性的结果超链接来选择。

应用的语法、语义和/或视觉分析可以允许克服社会工程方法，其中进行语法、语义和/或视觉改变和/或操纵以模拟与可信网络资源相关联的可信超链接以便使得用户访问不可信网络资源。

检测与不可信网络资源相关联的超链接减少或消除了用户访问这些网络资源的能力，并且因此减少了安全威胁。利用强大的公共可用搜索引擎来检测可疑超链接并且用可信超链接替换它们消除了用于检测不可信超链接的现有方法所做的连续更新不可信网络资源的黑名单的需要。

除非另外定义，否则本文中使用的所有技术和/或科学术语具有与本领域普通技术人员通常理解的含义相同的含义。尽管与本文中描述的那些类似或等同的方法和材料可以用于实践或测试本公开的实施例，但下面描述示例性方法和/或材料。在冲突的情况下，专利说明书(包括定义)将起控制作用。另外，材料、方法和示例仅是说明性的，而非旨在限制。

附图说明

仅通过举例的方式，本文中参考附图描述本公开的一些示例。现在具体参考附图，要强调的是，所示的细节作为示例并且出于说明性地讨论本公开的示例的目的。在这方面，结合附图的描述使得本领域技术人员清楚如何实践本公开的示例。

在附图中：

图1是根据本发明的一些示例的用于检测与不可信网络资源相关联的超链接并且基于客户终端处的搜索引擎结果的分析来用与可信网络资源相关联的可信超链接替换它们的示例性过程的流程图；

图2是根据本发明的一些示例的用于检测与不可信网络资源相关联的超链接并且基于客户终端处的搜索引擎结果的分析来用与可信网络资源相关联的可信超链接替换它们的示例性系统的示意图；以及

图3是本发明的根据一些示例的用于检测与不可信网络资源相关联的超链接并且基于远程分类网络节点处的搜索引擎结果的分析来用与可信网络资源相关联的可信超链接替换它们的示例性系统的示意图。

具体实施方式

在详细解释示例性示例中的至少一个示例之前，应当理解，本公开不一定限于应用于以下描述中给出和/或附图和/或示例中说明的组件和/或方法的构造和布置的细节。本公开能够具有其他示例或者能够以各种方式实践或执行。

现在参考图1，图1是根据本发明的一些示例的用于检测与不可信网络资源相关联的超链接并且基于客户终端处的搜索引擎结果的分析来用与可信网络资源相关联的可信超链接替换它们的示例性过程100的流程图。过程100被执行以防止使用在客户终端处执行的浏览器或应用的用户浏览或以其他方式访问不可信的网络资源，诸如欺诈性网站、虚假网站、欺骗网站、欺诈性服务器、欺诈域等。过程100基于根据搜索引擎的输出的被怀疑为与不可信网络资源相关联的超链接的分类。在可疑超链接被分类为不可信的情况下，标识并且呈现或使用替换超链接而不是可疑超链接。替换超链接根据由搜索引擎提供的搜索结果的分析来选择，并且包括到可信网络资源(例如，合法网站、真实网站、可信网站、可信服务器、可信域等)的超链接。

现在参考图2，图2是根据本发明的一些示例的用于基于客户终端201处的搜索引擎结果的分析来处理不可信超链接的示例性系统200的示意图。客户终端201可以是计算机、膝上型电脑、智能手机、平板电脑、服务器、一个或多个网络节点、具有一个或多个计算机化处理器的设备等。客户终端201包括用于从一个或多个用户240接收指令的人机接口(MMI)202、处理器204、用于存储代码的程序储存库206、和用于经由网络与互联网230上的一个或多个网络资源通信的网络接口208。MMI 202可以包括用于通过例如图形用户界面(GUI)与用户240交互的一个或多个人机接口设备，例如键盘、鼠标、触摸板、显示器、触摸屏等，其中GUI由在客户终端201上执行的操作系统(OS)来提供。处理器204(均匀或异构的)可以被布置用于并行处理，被布置为集群，和/或被布置为一个或多个多核处理器。程序储存库206可以包括一个或多个非暂态非易失性设备(例如，硬盘驱动器、闪存阵列等)用于存储一个或多个软件模块，例如，超链接替换模块220和超链接提取模块225。超链接替换模块220和超链接提取模块225包括可以由处理器204执行的多个程序指令。网络220可以包括局域网(LAN)、广域网(WAN)、蜂窝网络等。

超链接替换模块220和/或超链接提取模块225可以作为浏览器的附加组件、应用的组件、实用程序和/或OS的进程来操作。可选地，超链接替换模块220和/或超链接提取模块225独立于在客户终端201上执行的OS和/或其他软件模块。在客户终端201处，分类和替换可疑超链接的超链接替换模块220与提取可疑超链接的超链接提取模块225进行通信。

超链接提取模块225可以连接到在客户终端201处执行的一个或多个应用以便检测和/或提取可疑超链接。超链接提取模块225可以使用由应用提供的应用程序编程接口(API)来连接到应用。

可选地，超链接提取模块225可以从客户终端201的硬件组件(例如，MMI 202和/或客户终端201的网络接口208)接收数据，用于监测从客户终端201接收的输入数据。超链接提取模块225还可以在内核空间和/或用户空间中与在客户终端201上操作的OS的一个或多个软件模块(例如，内核空间模块、用户空间模块、设备驱动程序、库、网络堆栈、专用软件模块等)连接和/或集成，以便标识和/或提取可疑超链接。例如，超链接提取模块225可以部署在客户终端201的OS的网络驱动器上，以监测网络220上的传入和/或传出网络通信流量以便标识和/或提取可疑超链接。

超链接替换模块220和/或超链接提取模块225可以在客户终端201处对正常活动透明地操作。超链接替换模块220和超链接提取模块225的透明操作是直接的以避免请求、要求和/或提示来自用户240的任何特殊操作。

现在参考图3，图3是根据本发明的一些示例的用于基于远程分类服务器处的搜索引擎结果的分析来处理不可信超链接的示例性系统300的示意图。系统300包括分类服务器302，例如连接到网络的一个或多个计算服务器和/或虚拟机。分类服务器302包括一个或多个处理器，诸如适于执行存储在诸如程序储存库206等程序储存库中的超链接替换模块220的处理器204。分类服务器302还包括诸如用于与互联网230通信的网络接口208等一个或多个网络接口和诸如客户终端201等一个或多个客户终端。分类服务器302可以实现为云服务，例如实现为软件即服务(SaaS)。

可选地，分类服务器302是将客户终端201连接到互联网230的网络基础设施的一部分，例如网关、防火墙服务器、代理服务器、互联网提供商服务(ISP)提供商等。由分类服务器302执行的超链接替换模块220可以通过监测来自客户终端201的网络流量来检测和/或提取可疑超链接。

再次参考图1。首先，如102处所示，超链接替换模块220从超链接提取模块225获得可疑超链接。超链接提取模块225通过监测在客户终端201的显示器上绘制的数字文档来提取可疑超链接，例如，网络浏览器、邮件服务应用、文档阅读器或写入器等。可选地，超链接提取模块225可以通过监测从客户终端201发出的网络流量来检测和/或提取可疑超链接。在超链接替换模块220在客户终端201处本地执行的情况下，超链接提取模块225通过超链接替换模块220的一个或多个功能和/或API向超链接替换模块220传输可疑超链接。在超链接替换模块220在分类服务器302处远程执行的情况下，超链接提取模块225通过网络和/或互联网230向超链接替换模块220传输可疑超链接。

现在，如104处所示，超链接替换模块220分析所获得的可疑超链接(第一超链接)和/或其一个或多个部分以得出一个或多个搜索词。超链接替换模块220创建包括搜索词的搜索查询。搜索词可以包括可以与用户240可能正在试图访问和/或相信他访问的一个或多个网络资源相关联的可疑超链接的一个或多个部分。例如，可以将诸如nato(dot)nshq(dot)等可疑超链接转换为包括搜索词nato、nshq、(dot)nshq(dot)in和/或nato(dot)nshq(dot)in中的一个或多个的搜索查询。超链接替换模块220使用搜索词、搜索词的部分和/或搜索词的组合来构造搜索查询。

超链接替换模块220可以创建附加搜索查询以解决附加搜索片段和/或搜索特性。例如，添加一个或多个搜索词以将搜索聚焦在感兴趣的特定领域中，诸如例如金融、国防、教育、购物等。例如，在可疑超链接包括后缀“org”的情况下，超链接替换模块220可以添加一个或多个搜索词，例如，“部门”，以将搜索查询聚焦到州和/或管理合法网站。

如106处所示，超链接替换模块220将搜索查询提交给一个或多个公共搜索引擎，例如，Bing^TM搜索引擎、Google^TM搜索引擎、Baidu^TM等。可选地，超链接替换模块220将搜索查询提交给一般公众可能不可用和/或不可访问的一个或多个特殊搜索引擎，而不是提交给被授权使用私有搜索引擎的个人、组和/或组织。特殊搜索引擎可以包括由例如商业公司和/或实体、政府实体、情报机构等开发和/或拥有的搜索引擎。特殊搜索引擎还可以包括需要订阅和/或使用费的搜索引擎。超链接替换模块220可以使用由相应搜索引擎提供的API将搜索查询提交给搜索引擎。

如108处所示，响应于搜索查询，超链接替换模块220从搜索引擎接收搜索结果。由搜索引擎通过搜索互联网230而收集的搜索结果包括与包括在搜索查询中的搜索词相关和/或相对应的一个或多个网络资源相关联的一个或多个结果超链接(也称为第二超链接)。超链接替换模块220可以使用由相应搜索引擎提供的API从搜索引擎获得搜索结果。

例如，超链接替换模块220提取可疑超链接nato(dot)nshq(dot)in。超链接替换模块220创建包括搜索词nato(dot)nshq(dot)in的搜索查询，并且将搜索查询提交给Bing^TM搜索引擎。Bing^TM搜索引擎可以提供以下搜索结果：

(1)NATO-NSHQ

https://www(dot)nshq(dot)nato(dot)int

(2)NATO Special Operations Headquarters-NSHQ

https://www(dot)facebook(dot)com/NATOSpecialOperationsHeadquarters

(3)NATO-Topic:Special Operations Forces

www(dot)nato(dot)int/cps/en/natolive/topics_105950(dot)htm

(4)SHAPE|NATO SOF:Bridging the GAP

www(dot)shape(dot)nato(dot)int/nato-sof-bridging-the-gap

(5)NATO's NSHQ Targeted by Attack Leveraging Hurricane…

blog(dot)trendmicro(dot)com/trendlabs-security-intelligence/natos-nshq...

(6)NSHQ Senior Steering Group membership|IFPA

www(dot)ifpa(dot)org/research/researchPages/SSGmembership(dot)php

(7)NATO Special Operations Headquarters(NSHQ)–…

www(dot)shadowspear(dot)com/2012/02/nato-special-operations-headquarters-nshq

(8)Top 23Nshq profiles|LinkedIn

https://www(dot)linkedin(dot)com/title/nshq

(9)Jose Antonio Shape NATO|LinkedIn

https://www(dot)linkedin(dot)com/in/jose-antonio-shape-nato-3b05ab36

(10)NATO|SOFREP

https://sofrep(dot)com/tag/nato

(11)Jose Antonio Shape NATO|LinkedIn

https://www(dot)linkedin(dot)com/in/jose-antonio-shape-nato-3b05ab36

(12)Q&A with Lieutenant General Brad Webb,commander of NATO NSHQ

sofrep(dot)com/47776/47776

(13)NSHQ–Info-News

info-news(dot)eu/tag/nshq

(14)NATO|SOFREP

https://sofrep(dot)com/tag/nato

(15)NATO's land forces:Losing ground-AEI

www(dot)aei(dot)org/publication/natos-land-forces-losing-ground

(16)Coast|Branded Merchandise&Event Solutions

go-coast(dot)co(dot)uk

(17)NATO Special Operations Headquarters

www(dot)specops-dhp(dot)com/.../nato-special-operations-headquarters

(18)ERNESTO ZARCO-Google+

https://plus(dot)google(dot)com/102670787541447326500

(19)Snort(dot)Org

https://www(dot)snort(dot)org/advisories/vrt-rules-2014-12-04

(20)Showcases-Prisma IT

https://www(dot)prisma-it(dot)com/showcases

自然地，搜索结果可以根据一个或多个参数而改变，例如，搜索引擎的类型、用户、地理位置、日期(早期与晚期)、互联网的服务提供商等。

可选地，超链接替换模块220限制搜索结果的数目，使得超链接替换模块220在分析和分类期间仅使用搜索结果和/或结果超链接中的一些。例如，超链接替换模块220可以选择由搜索引擎提供的前几个(顶部)搜索结果，例如，顶部5、10和/或20个搜索结果和/或结果超链接。可选地，所选择的搜索结果的相关性通过例如由搜索引擎提供的列表中的搜索结果的顺序等来评估。可选地，超链接替换模块220将搜索查询提交给其他搜索引擎，并且选择由搜索引擎提供的最相关的搜索结果。例如，超链接替换模块220可以将搜索查询提交给三个不同的搜索引擎，例如，Bing^TM搜索引擎、Google^TM搜索引擎和Baidu^TM。然后，超链接替换模块220可以选择由Bing^TM搜索引擎提供的四个搜索结果、由Google^TM搜索引擎提供的四个搜索结果和由Baidu^TM提供的两个搜索结果。超链接替换模块220可以确定要选择哪些搜索结果来对搜索引擎排名，其可以是由超链接替换模块220在先前的搜索查询期间指派给每个搜索引擎的。

如110处所示，超链接替换模块220与可疑超链接相比较地分析每个结果超链接，以评估可疑超链接是可信的，即与可信网络资源相关联，还是不可信的，即与不可信网络资源相关联。超链接替换模块220可以评估可疑超链接与搜索查询的结果中的超链接之间的相似性，例如语法相似性、语义相似性和/或视觉相似性。超链接替换模块220可以将分析应用于结果超链接的完整字符串与可疑超链接的字符串相比较，和/或应用于结果超链接的字符串的一个或多个部分与可疑超链接。对与结果超链接相比较的可疑超链接使用语法、语义和/或视觉分析可以允许超链接替换模块220使用社交工程来检测对可疑超链接执行的操作。例如，超链接替换模块220可以通过应用语法分析来检测一个或多个语法变更，例如，与结果超链接的字符串相比较的可疑超链接的字符串中的字符差异、符号差异等。类似地，超链接替换模块220可以通过应用语义分析来检测一个或多个语义改变，例如，具有用户240可能与另一字符串混淆的拼写改变的字符串等。以相同的方式，超链接替换模块220可以通过应用语法分析来检测一个或多个视觉改变，例如，字符和/或符号。视觉改变可以允许可疑超链接保持与可信超链接对应物的语法和/或语义相似性；但是，可疑超链接可以与不可信网络资源相关联。应用语法、语义和/或视觉分析是非常有效的，因为对可信超链接的语法、语义和/或视觉改变是社会工程技术所采用的主要欺骗策略。

基于分析，超链接替换模块220可以进一步向每个结果超链接指派相似性得分以标识相似性，诸如与可疑超链接相比较的每个结果超链接的语法相似性、语义相似性和/或视觉相似性。超链接替换模块220可以基于一个或多个分析(例如，语法分析、语义分析和/或视觉分析)的结果来计算相似性得分。

如112处所示，基于分析结果，超链接替换模块220确定可疑超链接是可信超链接还是不可信超链接，即欺诈性超链接。超链接替换模块220通过评估可疑超链接与每个结果超链接的相似性来确定可疑超链接的有效性，其中结果超链接被估计为与可信网络资源相关联。在超链接替换模块220在与一个或多个结果超链接相比较的可疑超链接串中检测到社交工程的典型的一个或多个改变的情况下，超链接替换模块220确定可疑超链接是不可信的。在超链接替换模块220从分析中标识出可疑超链接与与可信网络资源相关联的结果超链接相同的情况下，超链接替换模块220确定可疑超链接是可信的并且将其指定为所确定的超链接。在超链接替换模块220确定可疑超链接是不可信的情况下，超链接替换模块220可以用从结果超链接中选择的被指定为所确定的超链接的替换超链接来替换可疑超链接。可选地，替换超链接根据超链接替换模块220在110处的分析期间针对每个结果超链接计算的相似性得分来选择。

在所呈现的示例之后，可以用作为由Bing^TM搜索引擎提供的搜索结果列表中的第一结果超链接的结果超链接nshq(dot)nato(dot)int来替换可疑超链接nshq(dot)nato(dot)int。结果超链接nshq(dot)nato(dot)int可以呈现由与结果超链接相比较的可疑超链接的字符串的语法分析得到的最高相似性得分。

作为另一示例，可疑超链接natoexhibitionff14(dot)com作为包括搜索词nato和exhibition的搜索查询被提交给搜索引擎。由GoogleTM提供的搜索结果列表中的第一搜索结果是Future Forces 2016–12th international exhibition in Prague，其包括结果超链接www(dot)natoexhibition(dot)org。结果超链接www(dot)natoexhibition(dot)org可以呈现通过语法和/或语义分析计算的最高相似性得分。可疑超链接natoexhibitionff14(dot)com用结果超链接www(dot)natoexhibition(dot)org替换。

在另一示例中，可疑超链接login-osce(dot)org作为搜索查询被提交给搜索引擎。由Bing^TM返回的搜索结果可以包括例如结果超链接https://webmail(dot)osce(dot)org、login(dot)osce(dot)org以及其他结果超链接。结果超链接login(dot)osce(dot)org可以表现出通过语法和/或语义分析计算的最高相似性得分，并且因此可以被选择作为替换超链接以替换可疑超链接login-osce(dot)org。

作为另一示例，用户可以尝试访问包括德语字符

的可疑超链接

-osce(dot)org。在检测到可疑超链接之后，提交给搜索引擎的搜索查询可以包括一个或多个搜索词，例如，

-osce(dot)org、

-osce等。由搜索引擎(例如，Bing^TM)返回的搜索结果可以包括例如结果超链接login-osce(dot)org。语法和/或语义分析可能无法将可疑超链接标识为与结果超链接对应物login-osce(dot)org不同的社交工程超链接，因为二者呈现相似的语法和/或语义属性。然而，视觉分析可以检测德语字符

与英语对应物o之间的视觉差异，并且假定结果超链接login-osce(dot)org与所有其他结果超链接相比呈现最高相似性得分，结果超链接login-osce(dot)org被指定为替换超链接以替换可疑的超链接

-osce(dot)org。

可选地，在向搜索引擎提交可疑超链接之前，超链接替换模块220将可疑超链接与使用客户终端201的用户240经常使用的一个或多个先前使用的超链接进行比较。经常使用的超链接、例如客户终端201的用户240和/或用户240的组织中的客户端的用户经常使用的超链接被估计为可信超链接。经常使用的超链接本地存储在客户终端201上和/或存储在经由一个或多个网络从客户终端201可访问的中央实体中。

可选地，当没有从搜索引擎接收到结果超链接时，超链接替换模块220通过将可疑超链接提交给搜索引擎的一个或多个文本完成预测引擎来对可疑超链接进行分类。预测引擎可以基于例如针对可疑超链接或其任何部分的文本完成预测来预测与可信网络资源相关联的一个或多个候选超链接。超链接替换模块220可以使用预测的候选超链接来估计可疑超链接的有效性。超链接替换模块220还可以计算每个预测的候选超链接的相似性得分，使得在确定可疑超链接不可信的情况下，超链接替换模块220可以在预测的候选超链接中选择呈现最高相似性得分的替换超链接。

例如，可疑超链接natoexhibitionff14(dot)com被提交给一个或多个搜索引擎文本完成预测引擎。响应于向Google^TM提交项目nato exhib，Google^TM可以呈现结果列表，结果列表包括以下示例性预测结果以及其他结果：

在由Google^TM提供的上述预测结果中的可疑超链接组中的是候选超链接FF14。在候选超链接FF14和/或与候选超链接相关联的文本上应用语义和/或语法分析呈现与可疑超链接的最佳相似性。因此，可以选择候选超链接FF14来替换可疑超链接以使得用户240访问与替换超链接相关联的可信网络资源。

如114处所示，基于步骤112的确定，超链接替换模块220使得客户终端201访问与所确定的超链接相关联的网络资源。在超链接替换模块220由客户终端201执行的情况下，可以使用例如超链接替换模块220的API来向超链接提取模块225提供所确定的超链接。超链接提取模块225可以将其插入到客户终端201的访问流程中，例如，通过将其反馈给网络驱动器、网络堆栈、MMI 202和/或通过提取可疑超链接的应用的API。通过将所确定的超链接反馈给客户终端201，指示使用客户终端201的用户240访问与所确定的超链接相关联的网络资源。当超链接替换模块220由诸如分类服务器302等远程分类服务器执行时，超链接替换模块220可以通过一个或多个网络和/或互联网230将所确定的超链接传输到超链接提取模块225。可选地，当分类服务器302是类似服务器的网关时，超链接替换模块220可以使用所确定的超链接来访问相关联的可信网络资源，并且与可信网络资源建立客户终端201可以接管的会话。

在分类服务器302处执行超链接替换模块220以集中处理社交工程威胁可以为私人用户以及包括诸如客户终端201等多个客户终端的组织提供增强的效率和可能的成本降低。使用超链接替换模块220可以通过针对多个客户终端201集中地检测、分类和/或替换可疑超链接来避免向每个客户终端201指派附加资源的需要。此外，多个用户在多个客户终端201上使用的先前访问的超链接由服务器302集中有效地管理。

预期在从本申请走向成熟的本专利的有效期内，将开发很多相关的用户界面和/或网络搜索方法，并且术语“用户界面”和网络搜索引擎的范围分别旨在包括所有这样的先验的新的技术。

术语“包括”、“包含”、“包涵”、“含有”、“具有”及其词形变化表示“包括但不限于”。

术语“由......组成”表示“包括但限于”。

术语“基本上由......组成”是指组合物、方法或结构可以包括其他成分、步骤和/或部分，但仅在附加成分、步骤和/或部分不实质改变所要求保护的组合物、方法或结构的基本和新颖特征的情况下。

在整个本申请中，可以以范围格式呈现本发明的各种示例。应当理解，范围格式的描述仅仅是为了方便和简洁，而不应当被解释为对本发明范围的不灵活限制。因此，应当认为范围的描述具体地公开了所有可能的子范围、以及在该范围内的各个数值。例如，应当认为对诸如从1到6等范围的描述具体地公开了诸如从1到3、从1到4、从1到5、从2到4，从2到6，从3到6等子范围、以及在该范围内的各个数值，例如，1、2、3、4、5和6。无论范围的广度如何，这都适用。

无论何时在本文中指示数值范围，其意图是包括在所指示的范围内的任何引用的数字(分数或整数)。短语“在第一指示数字到第二指示数字之间范围”和“从第一指示数字到第二指示数字的范围”在本文中可互换地使用，并且表示包括第一和第二指示数字以及它们之间的所有分数和整数数字。

如本文中使用的，术语“方法”是指用于完成给定任务的方式、手段、技术和程序，包括但不限于已知的方式、手段、技术和程序或者由化学、药理学、生物学、生物化学和医学领域的从业者从已知的方式、手段、技术和程序容易开发的那些方式、手段、技术和程序。

根据本发明的一些示例，提供了一种计算机实现的方法，其基于获得与经由客户终端可访问的第一网站相关联的第一超链接，将第一超链接的一个或多个部分转换为包括至少部分地从第一超链接的一个或多个部分得出的一个或多个搜索词的查询，向被配置为经由互联网搜索信息的一个或多个搜索引擎提交查询，以及从一个或多个搜索引擎接收与查询相关联的搜索结果。搜索结果包括多个第二超链接中的一个或多个。该方法还包括至少部分地基于与一个或多个第二超链接中的每个相比较的第一超链接的相似性的分析结果来确定是否要用从一个或多个第二超链接中选择的替换超链接来替换第一超链接，并且基于该确定来使得客户终端访问与第一超链接相关联的第一网站或与替换超链接相关联的第二网站。

超链接可以是选自URI、URL、域名和/或网站地址的成员。

第一超链接可以从数字文档中提取，数字文档的至少一部分是由客户终端的处理器执行的应用呈现的。

第一超链接可以从客户终端接收。

第一超链接可以通过监测客户终端的网络流量以拦截第一超链接来从网络流量中提取。

可选地，在分析之前限制多个第二超链接的数目。

相似性可以是语法相似性、语义相似性和/或视觉相似性中的一个或多个。

分析可以包括语法分析、语义分析和/或视觉分析中的一个或多个。

分析可以评估与一个或多个第二超链接相比较的第一超链接的相似性。

分析可以产生一个或多个第二超链接中的每个的相似性得分，以标识具有最高相似性的替换超链接。相似性得分通过与第一超链接相比较地分析一个或多个第二超链接中的相应的第二超链接来计算。

该方法还可以包括通过与客户终端先前使用的多个先前使用的超链接中的一个或多个中的每个相比较地分析第一超链接来用先前使用的超链接替换第一超链接。

可选地，通过将第一超链接应用于一个或多个搜索引擎的文本预测预言引擎来标识候选超链接，以在搜索结果不包括多个第二超链接中的任一个时替换第一超链接，文本预测预言引擎根据第一个超链接预测一个或多个第二超链接。

根据本发明的一些示例，提供了一种系统，其包括存储代码的程序储存库和耦合到程序储存库的用于执行存储的代码的一个或多个处理器。该代码包括：

-用于获得与经由客户终端可访问的第一网站相关联的第一超链接的代码指令。

-用于将第一超链接的一个或多个部分转换为包括至少部分地从第一超链接的一个或多个部分得出的一个或多个搜索词的查询的代码指令。

-向被配置为经由互联网搜索信息的一个或多个搜索引擎提交查询的代码指令。

-用于从一个或多个搜索引擎接收与查询相关联的搜索结果的代码指令。搜索结果包括多个第二超链接中的一个或多个。

-用于至少部分地基于与一个或多个第二超链接中的每个相比较的第一超链接的相似性的分析的结果来确定是否要用从一个或多个第二超链接中选择的替换超链接来替换第一超链接的代码指令。

-用于基于该确定来使得客户终端访问与第一超链接相关联的第一网站或与替换超链接相关联的第二网站的代码指令。

客户终端可以包括执行代码的一个或多个处理器。该代码还包括用于从数字文档中提取第一超链接的代码指令，数字文档的至少一部分是由一个或多个处理器执行的应用绘制的。

超链接分类系统可以包括执行代码的一个或多个处理器。该代码还包括用于从客户终端接收第一超链接的代码指令。

网络监测超链接分类系统可以包括执行代码的一个或多个处理器。该代码还包括用于监测来自客户终端的网络流量以便拦截第一超链接的代码指令。

根据本发明的一些示例，提供了一种软件程序产品，其包括存储以下各项的非暂态计算机可读存储介质：

-用于获得与经由客户终端可访问的第一网站相关联的第一超链接的第一程序指令。

-用于将第一超链接的一个或多个部分转换为包括至少部分地从第一超链接的一个或多个部分得出的一个或多个搜索词的查询的第二程序指令。

-用于向被配置为经由互联网搜索信息的一个或多个搜索引擎提交查询的第三程序指令。

-用于从一个或多个搜索引擎接收与查询相关联的搜索结果的第四程序指令。搜索结果包括多个第二超链接中的一个或多个。

-用于至少部分地基于与一个或多个第二超链接中的每个相比较的第一超链接的相似性的分析的结果来确定是否要用从一个或多个第二超链接中选择的替换超链接来替换第一超链接的第五程序指令。

-用于基于该确定来使得客户终端访问与第一超链接相关联的第一网站或与替换超链接相关联的第二网站的第六程序指令。第一程序指令、第二程序指令、第三程序指令、第四程序指令、第五程序指令和第六程序指令由一个或多个计算机化处理器从非暂态计算机可读存储介质来执行。

为了清楚起见而在单独的示例的上下文中描述的本文中描述的示例的某些特征也可以在单个示例中组合提供。相反，为了简洁起见而在单个示例的上下文中描述的本文中描述的示例的各种特征在本公开的任何其他描述的示例中也可以单独提供或者以任何合适的子组合提供或者适当地提供。在各种示例的上下文中描述的某些特征不应当被认为是那些示例的必要特征，除非这个示例在没有这些元素的情况下不起作用。

Claims

1.一种计算机实现的方法，包括：

获得与经由客户终端可访问的第一网络资源相关联的第一超链接；

将所述第一超链接的至少一部分转换为查询，所述查询包括至少部分地从所述第一超链接的所述至少一部分得出的至少一个搜索词；

向被配置为经由互联网搜索信息的至少一个搜索引擎提交所述查询；

从所述至少一个搜索引擎接收与所述查询相关联的搜索结果，所述搜索结果包括多个第二超链接；

至少部分地基于与所述多个第二超链接的至少子集中的每个第二超链接相比较的所述第一超链接的相似性的分析的结果，确定是否要用从所述多个第二超链接的所述至少子集中选择的替换超链接来替换所述第一超链接；以及

基于所述确定而使得所述客户终端访问与所述第一超链接相关联的所述第一网络资源或与所述替换超链接相关联的第二网络资源。

2.根据权利要求1所述的计算机实现的方法，其中所述网络资源是选自包括以下各项的组的成员：网站、服务器和域。

3.根据权利要求1所述的计算机实现的方法，其中所述超链接是选自包括以下各项的组的成员：统一资源指示符（URI）、统一资源定位符（URL）、域名和网站地址。

4.根据权利要求1所述的计算机实现的方法，其中所述第一超链接是从数字文档中提取的，所述数字文档的至少一部分是由所述客户终端的处理器执行的应用所绘制的。

5.根据权利要求1所述的计算机实现的方法，其中所述第一超链接是从所述客户终端接收的。

6.根据权利要求1所述的计算机实现的方法，其中所述第一超链接是通过监测来自所述客户终端的网络流量以拦截所述第一超链接而从所述网络流量中提取的。

7.根据权利要求1所述的计算机实现的方法，还包括在所述分析之前限制所述多个第二超链接的数目。

8.根据权利要求1所述的计算机实现的方法，其中所述相似性是语法相似性、语义相似性和视觉相似性中的至少一种。

9.根据权利要求8所述的计算机实现的方法，其中所述分析包括语法分析、语义分析和视觉分析中的至少一种。

10.根据权利要求1所述的计算机实现的方法，其中所述分析评估与多个第二超链接中的所述至少一个第二超链接相比较的所述第一超链接的相似性。

11.根据权利要求1所述的计算机实现的方法，其中所述分析针对多个第二超链接中的所述至少一个第二超链接中的所述每个第二超链接产生相似性得分，以标识具有最高相似性得分的所述替换超链接，所述相似性得分是通过与所述第一超链接相比较地分析所述至少一个第二超链接中的相应的第二超链接来计算的。

12.根据权利要求1所述的计算机实现的方法，还包括：通过与所述客户终端先前所使用的多个先前使用的超链接中的至少一个先前使用的超链接中的每个先前使用的超链接相比较地分析所述第一超链接，来用先前使用的超链接替换所述第一超链接。

13.根据权利要求1所述的计算机实现的方法，还包括：通过将所述第一超链接应用于所述至少一个搜索引擎的文本完成预测引擎，来标识候选超链接以在所述搜索结果不包括所述多个第二超链接时替换所述第一超链接，所述文本完成预测引擎根据所述第一超链接来预测多个第二超链接中的所述至少一个第二超链接。

14.根据权利要求1所述的计算机实现的方法，其中所述替换超链接是根据所述分析的所述结果与所述第一超链接最相似的所述第二超链接。

15.一种用于使用网络搜索引擎来纠正用于社会工程的域名的系统，包括：

至少一个处理器；以及

包括计算机可执行指令的存储器，所述计算机可执行指令基于由所述至少一个处理器的执行来将所述至少一个处理器配置为：

16.根据权利要求15所述的系统，其中所述客户终端包括执行所述指令的所述至少一个处理器，所述指令还包括用于从数字文档中提取所述第一超链接的代码指令，所述数字文档的至少一部分是由所述至少一个处理器执行的应用所绘制的。

17.根据权利要求15所述的系统，其中超链接分类系统包括执行所述指令的所述至少一个处理器，所述指令还包括用于从所述客户终端接收所述第一超链接的代码指令。

18.根据权利要求15所述的系统，其中网络监测超链接分类系统包括执行所述指令的所述至少一个处理器，所述指令还包括用于监测来自所述客户终端的网络流量以便拦截所述第一超链接的代码指令。

19.根据权利要求15所述的系统，其中所述替换超链接是根据所述分析的所述结果与所述第一超链接最相似的所述第二超链接。

20.一种非暂态计算机可读存储介质，包括：

第一程序指令，用于获得与经由客户终端可访问的第一网络资源相关联的第一超链接；

第二程序指令，用于将所述第一超链接的至少一部分转换为查询，所述查询包括至少部分地从所述第一超链接的所述至少一部分得出的至少一个搜索词；

第三程序指令，用于向被配置为经由互联网搜索信息的至少一个搜索引擎提交所述查询；

第四程序指令，用于从所述至少一个搜索引擎接收与所述查询相关联的搜索结果，所述搜索结果包括多个第二超链接；

第五程序指令，用于至少部分地基于与所述多个第二超链接的至少子集中的每个第二超链接相比较的所述第一超链接的相似性的分析的结果来确定是否要用从所述多个第二超链接的所述至少子集中选择的替换超链接来替换所述第一超链接；以及

第六程序指令，用于基于所述确定而使得所述客户终端访问与所述第一超链接相关联的所述第一网络资源或与所述替换超链接相关联的第二网络资源；

其中所述第一程序指令、所述第二程序指令、所述第三程序指令、所述第四程序指令、所述第五程序指令和所述第六程序指令由至少一个计算机化处理器从所述非暂态计算机可读存储介质来执行。

21.根据权利要求20所述的非暂态计算机可读存储介质，其中所述替换超链接是根据所述分析的所述结果与所述第一超链接最相似的所述第二超链接。