CN109690547A - 用于检测在线欺诈的系统和方法 - Google Patents
用于检测在线欺诈的系统和方法 Download PDFInfo
- Publication number
- CN109690547A CN109690547A CN201780055788.8A CN201780055788A CN109690547A CN 109690547 A CN109690547 A CN 109690547A CN 201780055788 A CN201780055788 A CN 201780055788A CN 109690547 A CN109690547 A CN 109690547A
- Authority
- CN
- China
- Prior art keywords
- domain
- trustship
- internet
- fraud
- altogether
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
- G06F16/9535—Search customisation based on user profiles and personalisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
- Computer And Data Communications (AREA)
Abstract
所描述的系统和方法能实现快速且有效地检测欺诈互联网域,即用于托管或分发例如欺诈性网页和电子消息之类的欺诈性电子文档的域。一些实施例使用反向IP分析从与已知的欺诈域托管在同一IP地址处的域集中选择欺诈候选集。根据域注册数据进一步过滤所述候选集。进一步分析在每一经过滤候选域处托管的在线内容以识别真正的欺诈域。然后,安全模块可以防止用户访问这些域的内容。
Description
背景技术
本发明涉及计算机安全系统和方法,且具体来说,涉及用于检测在线欺诈(例如,欺诈性网页)的系统和方法。
电子通信、在线商务和在线银行商务等服务的快速发展伴随着电子犯罪的增加。互联网欺诈,特别是网络钓鱼和身份盗用形式的互联网欺诈,已对全球互联网用户构成了越来越大的威胁。由在互联网上运行的国际犯罪网络以欺诈方式获得的敏感身份信息和信用卡详细信息被用来资助各种在线交易,和/或进一步被出售给第三方。除了对个人带来的直接经济损失之外,互联网欺诈还会引起一系列不合需要的副作用,例如公司的安全成本增加、零售价格和银行费用上升、股票价值下降、工资下降和税收减少。
在示例性网络钓鱼尝试中,虚假网站伪装成属于在线零售商或金融机构的真实网页,邀请用户输入一些个人信息(例如,用户名、密码)和/或财务信息(例如,信用卡号、帐号、安全码)。一旦毫无戒心的用户提交了信息,这些信息就可能被虚假网站采集。另外,用户可能会被引导到另一网页,这个网页可能会在用户的计算机上安装恶意软件。恶意软件(例如,病毒、特洛伊木马)可以通过记录用户在访问某些网页时按下的按键而继续窃取个人信息,并且可以将用户的计算机变成用于发起其它恶意攻击的平台。
可以使用在互联网用户的计算机系统上运行的软件来识别欺诈性网络文档并发出警告和/或阻止访问这些文档。已经提出了几种用于识别欺诈性网页的方法。示例性策略包含将网页的地址与已知的欺诈性和/或可信地址列表进行匹配(分别称为黑名单和白名单的技术)。为避免此类检测,欺诈者经常更改其网站地址。
人们一直致力于开发检测和防止在线欺诈的方法,特别是能够进行主动检测的方法。
发明内容
根据一个方面,一种计算机系统包括至少一个硬件处理器,所述至少一个硬件处理器经配置以操作反向地址映射器、连接到所述反向地址映射器的注册数据过滤器,以及连接到所述注册数据过滤器的内容分析器。所述反向地址映射器经配置以根据已知的欺诈互联网域识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议(IP)地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处。所述注册数据过滤器经配置以过滤所述共托管互联网域集以产生欺诈候选域子集。过滤所述共托管互联网域集包括根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中。所述内容分析器经配置以分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的,以及作为响应,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
根据另一方面,一种识别欺诈互联网域的方法包括:根据已知的欺诈互联网域使用至少一个硬件处理器来识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议(IP)地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处。所述方法进一步包括使用所述至少一个硬件处理器过滤所述共托管互联网域集以产生欺诈候选域子集。过滤所述共托管互联网域集包括根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中。所述方法进一步包括使用所述至少一个硬件处理器来分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的。所述方法进一步包括:响应于分析所述电子文档,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
根据另一方面,一种非暂时性计算机可读媒体,其存储指令,所述指令在由至少一个硬件处理器执行时使所述硬件处理器形成反向地址映射器、连接到所述反向地址映射器的注册数据过滤器,以及连接到所述注册数据过滤器的内容分析器。所述反向地址映射器经配置以根据已知的欺诈互联网域识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议(IP)地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处。所述注册数据过滤器经配置以过滤所述共托管互联网域集以产生欺诈候选域子集。过滤所述共托管互联网域集包括根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中。所述内容分析器经配置以分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的,并且作为响应,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
附图说明
当阅读以下详细描述并且当参考图式时,本发明的前述方面和优点将得到更好的理解,其中:
图1示出根据本发明一些实施例的受保护免受在线欺诈的一组示例性客户端系统。
图2-A示出根据本发明一些实施例的客户端系统的示例性硬件配置。
图2-B示出根据本发明一些实施例的服务器计算机系统的示例性硬件配置。
图3示出根据本发明一些实施例的在客户端系统上执行的示例性软件组件。
图4示出根据本发明一些实施例的在客户端系统与安全服务器之间的示例性数据交换。
图5示出根据本发明一些实施例的由防欺诈模块和安全服务器执行以保护客户端系统免受电子欺诈的示例性步骤序列。
图6示出根据本发明一些实施例的欺诈识别服务器的示例性组件。
图7示出根据本发明一些实施例的由欺诈识别服务器执行的示例性步骤序列。
具体实施方式
在以下描述中,应理解,结构之间的所有所列举的连接可以是直接操作性连接,或者通过中间结构的间接操作性连接。一组元件包含一或多个元件。对元件的任何引述应理解为指的是至少一个元件。多个元件包含至少两个元件。除非以其它方式必需,否则不需要必然以特定所说明的次序执行任何所描述的方法步骤。从第二元件导出的第一元件(例如,数据)涵盖等于第二元件的第一元件,以及通过处理第二元件和任选地其它数据产生的第一元件。根据参数作出确定或决策涵盖根据参数和任选地根据其它数据作出确定或决策。除非另外规定,否则某一数量/数据的指示符可以是数量/数据本身,或者是不同于数量/数据本身的指示符。计算机程序是执行任务的一连串处理器指令。在本发明的一些实施例中描述的计算机程序可以是独立的软件实体或其它计算机程序的子实体(例如,子例程、库)。除非另外规定,否则计算机安全性涵盖保护设备和数据免受非法访问、修改和/或毁坏。除非另外规定,否则术语在线欺诈不仅限于欺诈性网站,而且还涵盖其它非法或未经请求的商用电子通信,例如电子邮件、即时消息以及电话文本和多媒体消息互联网域(或简称域)是由特定个人或组织拥有、控制或操作的计算资源(真实或虚拟计算机系统、网络地址)的子集。欺诈互联网域是托管和/或分发欺诈性电子文档的域。域名是表示各别互联网域的字母数字别名。欺诈域名是欺诈域的域名。计算机可读媒体涵盖非暂时性媒体,例如磁性、光学和半导体存储媒体(例如,硬盘驱动器、光盘、闪存、DRAM),以及例如导电电缆和光纤链路的通信链路。根据一些实施例,本发明尤其提供了计算机系统,其包括被编程为执行本文所描述的方法的硬件(例如,一或多个处理器),以及执行本文所描述的方法的计算机可读媒体编码指令。
以下描述举例说明本发明的实施例,并且未必以限制方式说明本发明的实施例。
图1示出根据本发明一些实施例的示例性防欺诈系统。安全服务器14和欺诈识别服务器12保护多个客户端系统10a-d免受在线欺诈。客户端系统10a-d一般表示具有处理器和存储器并且能够连接到通信网络的任何电子装置。示例性客户端装置尤其包含个人计算机、膝上型计算机、移动计算装置(例如,平板计算机)、移动电话、可穿戴装置(例如,手表、健身监视器)、游戏控制台、TV和家用电器(例如,冰箱、媒体播放器)。客户端系统10a-d经由通信网络13互连,例如公司网络或互联网。网络13的部分可以包含局域网(LAN)和/或电信网络(例如,3G网络)。
每一服务器12、14一般表示一组通信耦合的计算机系统,其可以彼此不物理接近。在一些实施例中,安全服务器14经配置以:从客户端系统接收查询,所述查询指示例如网页或电子消息的电子文档;并且用评估指示符来响应,所述评估指示符指示各别文档是否可能是欺诈性的。在一些实施例中,根据各别文档的位置指示符来确定欺诈的可能性。示例性位置指示符包含域名、主机名,以及托管或分发各别电子文档的计算机系统的互联网协议(IP)地址。域名是本领域中常用的术语,表示识别由个人或组织拥有和/或控制的互联网的特定地址域的唯一字符序列。域名构成托管和/或分发电子文档的计算机的网络地址(例如,IP地址)的集的抽象(例如,别名)。域名通常包括由点界定的级联标签序列,例如www.bitdefender.com。
欺诈识别服务器12经配置以收集关于在线欺诈的信息,包含例如欺诈文档的位置指示符的列表(域名、IP地址等)。在一些实施例中,欺诈识别服务器12将欺诈指示信息存储在欺诈域数据库15中,其可以由安全服务器14进一步用于确定电子文档是欺诈性的可能性。下文给出此类功能的细节。
图2-A示出客户端系统10(例如图1中的系统10a-d)的示例性硬件配置。为简单起见,所示客户端系统是计算机系统;例如移动电话、智能手表等的其它客户端系统的硬件配置可能与所示配置略有不同。客户端系统10包括一组物理装置,包含硬件处理器20和存储器单元22。处理器20包括经配置以执行具有信号和/或数据集的计算和/或逻辑操作的物理装置(例如,微处理器、形成于半导体衬底上的多核集成电路等)。在一些实施例中,以处理器指令序列(例如,机器代码或其它类型的编码)的形式向处理器20指示此类操作。存储器单元22可以包括易失性计算机可读媒体(例如,DRAM、SRAM),其存储由处理器20访问或生成的指令和/或数据。
输入装置24可以包含计算机键盘、鼠标和麦克风等,包含允许用户将数据和/或指令引入客户端系统10的各别硬件接口和/或适配器。输出装置26可以包含显示装置(例如,显示屏、液晶显示器)和扬声器,以及例如图形卡的硬件接口/适配器,允许客户端系统10将数据传送给用户。在一些实施例中,输入装置24和输出装置26可以共享共同的硬件,例如触摸屏装置。存储单元28包含能够非易失性地存储、读取和写入软件指令和/或数据的计算机可读媒体。示例性存储装置28包含磁盘和光盘和快闪存储器装置以及例如CD和/或DVD磁盘和驱动器等可装卸式媒体。所述组网络适配器32使客户端系统10能够连接到计算机网络和/或其它电子装置。控制器集线器30表示多个系统、外围设备和/或芯片组总线,和/或实现处理器20与装置22、24、26、28和32之间的通信的所有其它电路。例如,控制器集线器30可以包含存储器控制器、输入/输出(I/O)控制器和中断控制器等。在另一个实例中,控制器集线器30可以包括将处理器20连接到存储器22的北桥和/或将处理器20连接到装置24、26、28和32的南桥。
图2-B示出根据本发明一些实施例的欺诈识别服务器12的示例性硬件配置。安全服务器14可以具有类似配置。欺诈识别服务器12包括至少一个硬件处理器120(例如,微处理器、多核集成电路)、物理存储器122、服务器存储装置128和一组服务器网络适配器132。适配器132可以包含网卡和使欺诈识别服务器12能够连接到通信网络13的其它通信接口。服务器存储装置128可以存储来自欺诈域数据库15的至少一个记录子集。在替代实施例中,服务器12可以经由网络13从数据库15访问欺诈记录。在一些实施例中,服务器12进一步包括输入和输出装置,其功能可分别类似于客户端系统10的输入/输出装置24和26。
图3示出根据本发明一些实施例的在客户端系统10上执行的示例性软件。操作系统(OS)34提供客户端系统10的硬件与一组软件应用程序之间的接口。示例性OS包含和等。应用程序36一般表示任何用户应用程序,例如文字处理、图像处理、电子表格、日历、在线游戏、社交媒体、网络浏览器和电子通信应用程序等。
防欺诈模块38保护客户端系统10免受电子欺诈,例如通过防止客户端系统10访问欺诈性电子文档(例如,欺诈性网站、电子邮件消息等)。在一些实施例中,防欺诈模块38的操作可以由客户端系统10的用户打开和/或关闭。防欺诈模块38可以是独立应用程序,或可以形成保护客户端系统10免受恶意软件(恶意代码)、间谍软件和未经授权的侵入等计算机安全威胁的一套计算机程序的一部分。模块38可以在各种级别的处理器权限(例如,用户模式、内核模式)下操作。在一些实施例中,模块38与应用程序36集成,例如作为插件、附件或工具栏。
在一些实施例中,防欺诈模块38可以包含网络过滤器39,其经配置以拦截客户端系统10访问远程文档的请求并选择性地阻止各别请求。由模块38检测的示例性访问请求包括由客户端系统10发出的超文本传输协议(HTTP)请求。网络过滤器39可以例如作为向OS34注册的驱动程序操作。在OS 34和应用程序36在虚拟机内执行的实施例中,防欺诈模块38(或至少网络过滤器39)可以在各别虚拟机外部执行,例如在超级监督器的处理器权限等级处执行。此类配置可以有效地保护模块38和/或网络过滤器39免受可能影响虚拟机的恶恶意代码影响。在又另一个实施例中,防欺诈模块38可以至少部分地在与客户端系统10不同的电子装置上操作,例如,在路由器、代理服务器,或用于将客户端系统10连接到互联网等扩展网络的网关装置上。
图4经由客户端系统10与安全服务器14之间的示例性数据交换示出防欺诈模块38的操作。图5进一步示出根据本发明一些实施例的由防欺诈模块38和/或安全服务器14执行以保护客户端系统10免受电子欺诈的示例性步骤序列。在其中应用程序36包括网络浏览器的说明性实例中,当用户试图访问远程文档(例如,网站)时,应用程序36可以通过通信网络13向服务提供商服务器发送访问各别文档的请求。典型的请求可以包含对各别资源的位置的编码。示例性位置编码包含域名、主机名、统一资源标识符(URI)、统一资源定位符(URL)和互联网协议(IP)地址等。
在检测到访问请求(例如,由网络浏览器发出的HTTP请求)时,防欺诈模块38的一些实施例至少暂时中止将各别请求传输到其预期目的地,而是将文档指示符42传送到安全服务器14。在一些实施例中,文档指示符42包含所请求文档的位置的编码(例如,域名、URL、IP地址),并且可以进一步包含由防欺诈模块38通过分析拦截的访问请求而获得的其它信息。此类信息可以包含所请求文档的类型的指示符、请求应用程序的指示符,以及请求用户的标识符等。响应于接收到文档指示符42,在步骤序列208-210(图5)中,安全服务器14的一些实施例制定指示所请求文档是否可能是欺诈性的评估指示符44,并将指示符44传输到客户端系统10。在一些实施例中,欺诈的可能性被量化为布尔值(例如,0/1、是/否),或者被量化为下限与上限之间(例如,在0与100之间)的数字。
在一些实施例中,在步骤212中,防欺诈模块38根据评估指示符44确定所请求文档是否可能是欺诈性的。如果是,则步骤214允许客户端系统10(例如,应用程序36)访问各别文档,例如通过将原始访问请求传输到其预期目的地。如果不是,则步骤216可以阻止对各别文档的访问。一些实施例可以进一步向用户显示通知(例如,警告屏幕、图标、解释等)和/或可以通知客户端系统10的系统管理员。
在替代实施例中,在客户端系统10上或在将客户端系统10连接到互联网的路由器上执行的防欺诈模块38可以将访问远程文档的所有请求重定向到安全服务器14以进行分析。因此,安全服务器14可以放置在客户端系统10与提供对各别资源的访问的远程服务器之间的代理服务器的位置。在此类实施例中,步骤212-214-216可以由安全服务器14执行。
在保护客户端系统10的用户免受欺诈性电子消息(例如,电子邮件)的示例性实施例中,可以将防欺诈模块38作为插件或附件安装到消息读取器应用程序。在接收到消息时,模块38可以解析各别消息的标头以提取文档指示符,所述文档指示符包括例如各别消息的发送者的电子地址和/或递送各别消息的电子邮件服务器的域名。然后,模块38可以将文档指示符42传输到安全服务器14,并且作为响应,从服务器14接收评估指示符44。防欺诈模块38可以根据指示符44确定各别消息是否可能是欺诈性的,并且如果是,则防止向用户显示各别消息的内容。在一些实施例中,模块38可以将被认为可能是欺诈性的消息放入单独的消息文件夹中。
在替代实施例中,防欺诈模块38可以在代表多个客户端系统(例如,图1中的客户端系统10a-d)管理电子消息传递的服务器计算机系统(例如,电子邮件服务器)上执行。为了确定消息可能是欺诈性的,模块38可以阻止将各别消息分发给其预期接收者。
在确定欺诈的可能性时,安全服务器14可以查询欺诈域数据库15(图5中的步骤208)。在一些实施例中,数据库15包括记录集,每一记录对应于欺诈域名;这些记录集有时在本领域中称为黑名单。在一些实施例中,步骤208包括确定由文档指示符42指示的域名是否匹配数据库15的任何在黑名单上的记录。如果是,则安全服务器14可以确定所请求文档可能是欺诈性的。
欺诈域数据库15可以由欺诈识别服务器12填充和维护。在一些实施例中,服务器12基于从分析已知的欺诈互联网域(本文中称为种子域)得到的知识来识别先前未知的欺诈域集。然后可以将新发现的欺诈域的域名添加到数据库15。图6示出根据本发明一些实施例的欺诈识别服务器12的示例性组件。服务器12可以包括反向地址映射器52、连接到反向地址映射器52的注册数据过滤器54,以及连接到过滤器54的内容分析器56。图7示出根据本发明一些实施例的由欺诈识别服务器12执行以发现欺诈互联网域的示例性步骤序列。
本发明的一些实施例依赖于观察到属于一个欺诈域的物理计算资源通常也属于其它欺诈域。例如,同一服务器和/或IP地址可以托管多个欺诈性网站。此类服务器或网络地址可能由欺诈者拥有,或者可能在不知道其合法所有者/运营商的情况下被劫持,例如,通过使用精心制作的恶意软件。以下描述显示了如何使用一个欺诈域的知识来揭露其它先前未知的欺诈域。
在一些实施例中,反向地址映射器52经配置以接收种子域的指示符(例如,图6中的种子域名62)并输出共托管域64的集(图7中的步骤234)。种子域代表已知的欺诈域,即已知托管或分发欺诈文档的域。此类域的实例包含托管虚假银行网站、虚假在线投注站点、虚假贷款站点等的域。例如,可以由计算机安全公司的研究人员检测种子域名,或者可以由互联网用户或调查在线欺诈的管理机构报告种子域名。种子域名也可以通过本领域中已知的一批工具(例如,蜜罐技术)自动发现。
在一些实施例中,共托管域64包括与种子域共享公共网络地址的域集(例如,公共IP地址)。共托管域64的示例性集使用同一物理服务器来分发电子文档。由于单个网络/IP地址可以对应于多个不同的计算机系统,因此共托管域64可以不必包含与种子域相同的物理机器。然而,域名服务器会将种子域名62和所有共托管域64的域名映射到同一网络地址。为了识别共托管域64,欺诈识别服务器12可以使用计算机网络领域中已知的任何方法。此类操作通常称为反向IP分析、反向域名系统(DNS)查找或反向DNS解析。在一个示例性方法中,服务器12操作用于执行直接DNS查找的名称服务器(即,根据域名确定IP地址),并使用所述名称服务器来构建反向DNS映射。另一种方法可以查找特定域的指针DNS记录类型(PTR记录),例如in-addr.arpa或ip6.arpa。
并非所有共托管域64都需要是欺诈性的。如上所述,有时属于合法域的计算机系统被欺诈者劫持,然后欺诈者使用各别机器来托管欺诈域集。有时,此类欺诈域仅在各别机器上托管一小段时间,且然后移至另一服务器以避免检测或采取对策。在一些实施例中,欺诈识别服务器12的注册数据过滤器54经配置以过滤所述共托管域集64以选择欺诈候选域66的集(图7中的步骤236),表示怀疑是欺诈性的域。欺诈候选域66可能会受到进一步审查,如下所示。
步骤236可以被视为优化,因为如下所示的欺诈分析可能在计算上是昂贵的。对所述共托管域64的集进行预先过滤可以通过使用相对不那么昂贵的规则来选择用于欺诈分析的候选域的子集而降低计算负担。注册数据过滤器54的一些实施例根据每一共托管域的域名注册记录来选择欺诈候选域66。注册记录由域注册机构(例如,互联网注册商)生成和/或维护。对于每一经注册域名,示例性注册记录可以包含各别域名的注册者、所有者或管理员的联系人数据(例如,姓名、地址、电话号码、电子邮件地址等),以及自动生成的数据,例如注册商的ID,以及指示各别域名注册的时刻、上次修改各别注册记录的时刻和各别注册记录到期的时刻等的各种时间戳等。
某些域名注册数据是公开的,并且可以通过特定的计算机指令和/或协议(例如WHOIS)进行查询。在一些实施例中,注册数据过滤器54例如通过使用WHOIS协议从域注册数据库17获得与共托管域64相关的域名注册数据。然后,过滤器54可以在每个共托管域的域名注册数据内搜索欺诈指示模式的集,以确定域是否可能是欺诈性的。一些实施例依赖于以下观察:欺诈域名的注册通常在时间上聚集(域名注册的突发);此类实施例可以将种子域名62的注册时间戳与共托管域64的注册时间戳进行比较,并根据比较结果(例如,当两个注册在时间上非常接近时)将各别共托管域选择到所述欺诈候选域66的集中。
另一示例性欺诈指示特征是域名的注册者(例如,所有者、管理员等)。过滤器54的一些实施例可以尝试将注册者的凭证与从例如种子域名62的已知欺诈域的域名注册数据中采集的已知名称、电话号码、地址、电子邮件等的列表进行匹配。匹配可以指示各别共托管域可能是欺诈性的,因此证明将各别共托管域包含在所述欺诈候选域66的集中是合理的。
在一些实施例中,过滤器54可以查找注册者的电话号码的某些欺诈指示特征。在一个实例中,一些区域或国家代码可以被认为是欺诈指示性的。在另一实例中,电话号码内的某些数字组合对应于自动呼叫重定向服务;各别电话号码可能看起来是合法的号码,但是呼叫它将导致各别呼叫被重定向到另一个号码,可能是另一个国家的号码。这种呼叫重定向模式可以被认为是欺诈指示性的。注册数据过滤器54的一些实施例可以执行反向电话号码查找,并将查找的结果与例如地址或名称的其它域注册数据进行比较。任何差异可以被认为是欺诈指示性的,并且可能导致将各别共托管域包含在欺诈候选集中。
用于将域选择到所述欺诈候选域66的集中的又一示例性标准是注册者的电子邮件地址。过滤器54的一些实施例可以尝试将各别电子邮件地址与从已知的欺诈文档(例如,网页,电子邮件消息)中采集的电子邮件地址的黑名单进行匹配。黑名单还可以包括从已知的欺诈域的域注册数据中采集的电子邮件地址。过滤器54的一些实施例可以在注册者的电子邮件中查找某些模式,例如明显随机的字符序列、异常长的电子邮件地址等。此类模式可以指示各别地址是自动生成的,这可能是欺诈指示性的。在一些实施例中,过滤器54可以根据电子邮件地址的提供者确定是否将共托管域包含到欺诈候选集中,例如,根据各别提供者是否允许匿名电子邮件帐户,根据各别电子邮件地址是否是免费提供的,等。一些实施例可以识别处理发往和/或源自各别电子邮件地址的电子邮件的电子邮件服务器,并根据此类服务器的标识确定是否将共托管域包含到欺诈候选集中。
响应于选择欺诈候选域66,在一些实施例中,内容分析器56执行内容分析以确定欺诈候选域集中的任何欺诈候选域是否实际上是欺诈性的(图7中的步骤238)。内容分析可以包括访问欺诈候选域并分析由各别域托管或分发的电子文档的内容。当内容分析确定电子文档是欺诈性的时,步骤240可以确定各别欺诈候选域确实是欺诈性的,并且可以将新识别的欺诈域名保存到欺诈域数据库15。
超文本标记语言(HTMT)文档的示例性内容分析尤其包含确定各别文档是否包括用户认证(登录)页面。此类确定可以包含确定各别网页是否包含表单字段和/或多个用户认证关键字中的任何一个(例如,“用户名”、“密码”、金融机构的名称和/或首字母缩略词)。
内容分析可以进一步包含将各别HTML文档与已知的欺诈文档集和/或合法文档集进行比较。当文档与已知的欺诈文档足够相似时,一些实施例确定所述各别文档是欺诈性的。这些方法依赖于欺诈者经常重复使用成功的文档模板的观察,因此通常存在几个使用大致相同的设计和/或格式的欺诈文档。
然而,当文档与特定合法文档足够相似时,文档也可能是欺诈性的。在一个此类实例中,网页可能试图通过伪装成金融机构(例如,银行、保险公司等)的合法网页来欺骗用户。因此,内容分析器56的一些实施例使用内容分析来确定位于欺诈候选域的HTML文档是否是合法网页的非法克隆。此类确定可以包含在审查时分析文档的一组图形元素(例如,图像、徽标、颜色方案、字体、字体样式、字体大小等),并将这些元素与从一组合法网页中采集的图形元素进行比较。
内容分析可以进一步包括分析各别电子文档的文本部分。此类文本分析可以包含搜索某些关键字、计算某些词语和/或词语序列的出现频率、确定某些词语相对于其它词语的相对位置等。一些实施例确定指示目标文档与参考文档(或欺诈或合法)之间的相似程度的文档间距离,并根据计算的距离确定目标文件是否合法。
基于文本的内容分析的另一实例包括从例如HTML文档或电子邮件消息(例如,地址、联系人电话号码、联系人电子邮件地址等)的电子文档中识别和提取联系人信息。然后,内容分析器56可以尝试将各别联系人数据与从已知的欺诈文档中提取的类似数据的黑名单进行匹配。例如,当网页列出出现在欺诈性网站上的联系人电话号码时,一些实施例可以推断所述网页也是欺诈性的。其它实施例寻找联系人数据中的欺诈指示模式,例如对于具有某些国家和/或地区代码的电话号码,指示呼叫重定向服务的电话号码数字的模式等(见上文,关于域注册数据的分析)。
另一组示例性内容分析方法识别放置在电子文档内的代码(例如业务跟踪代码)片段。网络分析服务(例如,)使用此类代码的实例来计算和报告与网页使用相关的各种数据:访问次数、推荐人、访问的原籍国等。此类代码通常包括唯一的客户端ID(例如,跟踪ID),其允许各别分析服务将各别电子文档与特定客户端相关联。内容分析器56的一些实施例可以识别跟踪ID并尝试将各别ID与从已知的欺诈文档中采集的此类ID的黑名单进行匹配。匹配可以指示当前分析的文档也是欺诈性的。
上文描述的示例性系统和方法允许自动检测互联网欺诈,例如欺诈性网页和电子消息。一些实施例识别自动地识别欺诈互联网域名,即托管或分发欺诈文档的域的名称,并防止用户访问各别欺诈域名。当尝试访问已知的欺诈域名时,替代实施例显示警报和/或通知系统管理员。
一些实施例基于从分析已知的欺诈域名得到的知识自动地发现先前未知的欺诈域名集。此类自动检测能够迅速响应新出现的欺诈尝试,并且甚至可以通过检测已注册但尚未用于执行欺诈活动的域名来主动防止欺诈。
一些实施例从与已知欺诈域托管在同一机器上的域集中选择欺诈候选域。可以根据域注册数据进一步精简候选集。然后可以使用内容分析来识别候选集内的真正欺诈域。
所属领域的技术人员将清楚,在不脱离本发明的范围的情况下,可以多种方式改变上述实施例。因此,应通过所附权利要求书和其法律等效物来确定本发明的范围。
Claims (21)
1.一种计算机系统,其包括至少一个硬件处理器,所述至少一个硬件处理器经配置以操作反向地址映射器、连接到所述反向地址映射器的注册数据过滤器,以及连接到所述注册数据过滤器的内容分析器,其中:
所述反向地址映射器经配置以根据已知的欺诈互联网域识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议IP地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处;
所述注册数据过滤器经配置以过滤所述共托管互联网域集以产生欺诈候选域子集,其中过滤所述共托管互联网域集包括:
根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及
作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中;
并且
所述内容分析器经配置以:
分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的,以及
作为响应,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
2.根据权利要求1所述的计算机系统,其中确定是否满足所述选择条件包括:将表征所述域的所述域名注册数据与表征所述已知的欺诈互联网域的域名注册数据进行比较。
3.根据权利要求2所述的计算机系统,其中确定是否满足所述选择条件包括:将所述域的注册时间戳与所述已知的欺诈互联网域的注册时间戳进行比较。
4.根据权利要求1所述的计算机系统,其中表征所述域的所述域名注册数据包括电子邮件地址,并且其中所述注册数据过滤器经配置以根据所述电子邮件地址来确定是否满足所述选择条件。
5.根据权利要求4所述的计算机系统,其中所述注册数据过滤器经配置以根据所述电子邮件地址的长度来确定是否满足所述选择条件。
6.根据权利要求4所述的计算机系统,其中所述注册数据过滤器经配置以根据处理发送到所述电子邮件地址的电子邮件的邮件服务器的标识来确定是否满足所述选择条件。
7.根据权利要求4所述的计算机系统,其中所述注册数据过滤器经配置以根据所述电子邮件地址的提供者是否允许匿名电子邮件帐户来确定是否满足所述选择条件。
8.根据权利要求4所述的计算机系统,其中所述注册数据过滤器经配置以根据自动生成所述电子邮件地址的可能性来确定是否满足所述选择条件。
9.根据权利要求1所述的计算机系统,其中表征所述域的所述域名注册数据包括电话号码,并且其中所述注册数据过滤器经配置以根据所述电话号码来确定是否满足所述选择条件。
10.根据权利要求9所述的计算机系统,其中确定是否满足所述选择条件包括执行反向电话号码查找以确定拥有所述电话号码的实体,并且其中所述注册数据过滤器经配置以根据所述反向电话号码查找的结果来确定是否满足所述选择条件。
11.一种识别欺诈互联网域的方法,所述方法包括:
根据已知的欺诈互联网域使用至少一个硬件处理器来识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议IP地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处;
使用所述至少一个硬件处理器过滤所述共托管互联网域集以产生欺诈候选域子集,其中过滤所述共托管互联网域集包括:
根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及
作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中;
使用所述至少一个硬件处理器来分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的;以及
响应于分析所述电子文档,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
12.根据权利要求11所述的方法,其中确定是否满足所述选择条件包括:将表征所述域的所述域名注册数据与表征所述已知的欺诈互联网域的域名注册数据进行比较。
13.根据权利要求12所述的方法,其中确定是否满足所述选择条件包括:将所述域的注册时间戳与所述已知的欺诈互联网域的注册时间戳进行比较。
14.根据权利要求11所述的方法,其中表征所述域的所述域名注册数据包括电子邮件地址,并且其中所述方法包括根据所述电子邮件地址来确定是否满足所述选择条件。
15.根据权利要求14所述的方法,其包括根据所述电子邮件地址的长度来确定是否满足所述选择条件。
16.根据权利要求14所述的方法,其包括根据处理发送到所述电子邮件地址的电子邮件的邮件服务器的标识来确定是否满足所述选择条件。
17.根据权利要求14所述的方法,其包括根据所述电子邮件地址的提供者是否允许匿名电子邮件帐户来确定是否满足所述选择条件。
18.根据权利要求14所述的方法,其包括根据自动生成所述电子邮件地址的可能性来确定是否满足所述选择条件。
19.根据权利要求11所述的方法,其中表征所述域的所述域名注册数据包括电话号码,并且其中所述方法包括根据所述电话号码来确定是否满足所述选择条件。
20.根据权利要求19所述的方法,其中确定是否满足所述选择条件包括执行反向电话号码查找以确定拥有所述电话号码的实体,并且其中所述方法包括根据所述反向电话号码查找的结果来确定是否满足所述选择条件。
21.一种非暂时性计算机可读媒体,其存储指令,所述指令在由至少一个硬件处理器执行时使所述硬件处理器形成反向地址映射器、连接到所述反向地址映射器的注册数据过滤器,以及连接到所述注册数据过滤器的内容分析器,其中:
所述反向地址映射器经配置以根据已知的欺诈互联网域识别共托管互联网域集,其中所述已知的欺诈互联网域位于目标互联网协议IP地址处,并且其中识别所述共托管互联网域集包括选择所述共托管互联网域集,使得所述共托管互联网域集的所有组成部分都位于所述目标IP地址处;
所述注册数据过滤器经配置以过滤所述共托管互联网域集以产生欺诈候选域子集,其中过滤所述共托管互联网域集包括:
根据表征所述共托管互联网域集中的一个域的域名注册数据来确定是否满足选择条件,以及
作为响应,当满足所述选择条件时,将所述域选择到所述欺诈候选域子集中;
并且
所述内容分析器经配置以:
分析由从所述欺诈候选域子集中选择的候选域分发的电子文档,以确定所述电子文档是否是欺诈性的,以及
作为响应,当所述电子文档是欺诈性的时,确定所述候选域是欺诈性的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/206,761 US10171497B2 (en) | 2016-07-11 | 2016-07-11 | Systems and methods for detecting online fraud |
| US15/206,761 | 2016-07-11 | ||
| PCT/EP2017/067192 WO2018011104A1 (en) | 2016-07-11 | 2017-07-10 | System and methods for detecting online fraud |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109690547A true CN109690547A (zh) | 2019-04-26 |
| CN109690547B CN109690547B (zh) | 2023-05-05 |
Family
ID=59384138
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780055788.8A Active CN109690547B (zh) | 2016-07-11 | 2017-07-10 | 用于检测在线欺诈的系统和方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (2) | US10171497B2 (zh) |
| EP (1) | EP3482334B1 (zh) |
| JP (1) | JP6871357B2 (zh) |
| KR (1) | KR102130122B1 (zh) |
| CN (1) | CN109690547B (zh) |
| AU (1) | AU2017295738B2 (zh) |
| CA (1) | CA3027470C (zh) |
| ES (1) | ES2874148T3 (zh) |
| IL (1) | IL265307B (zh) |
| RU (1) | RU2744671C2 (zh) |
| SG (1) | SG11201811343SA (zh) |
| WO (1) | WO2018011104A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112818278A (zh) * | 2021-02-07 | 2021-05-18 | 国网湖南省电力有限公司 | 互联网托管网站的排查方法及排查系统 |
| CN112995357A (zh) * | 2021-04-21 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
| CN113115311A (zh) * | 2021-04-12 | 2021-07-13 | 江苏通付盾科技有限公司 | 一种基于支持向量机模型的欺诈行为的识别方法及系统 |
| CN114205460A (zh) * | 2020-09-01 | 2022-03-18 | 中国移动通信集团有限公司 | 不良电话号码识别方法、装置、存储介质和计算机设备 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016154419A1 (en) | 2015-03-25 | 2016-09-29 | Equifax, Inc. | Detecting synthetic online entities |
| US10860715B2 (en) * | 2016-05-26 | 2020-12-08 | Barracuda Networks, Inc. | Method and apparatus for proactively identifying and mitigating malware attacks via hosted web assets |
| US20180077227A1 (en) * | 2016-08-24 | 2018-03-15 | Oleg Yeshaya RYABOY | High Volume Traffic Handling for Ordering High Demand Products |
| US10498753B1 (en) * | 2016-12-08 | 2019-12-03 | Jpmorgan Chase Bank, N.A. | System and method for identifying potentially fraudulent domain name and identifiers |
| US11036767B2 (en) | 2017-06-26 | 2021-06-15 | Jpmorgan Chase Bank, N.A. | System and method for providing database abstraction and data linkage |
| EP4312420A3 (en) * | 2018-02-20 | 2024-04-03 | Darktrace Holdings Limited | A method for sharing cybersecurity threat analysis and defensive measures amongst a community |
| WO2020044469A1 (ja) * | 2018-08-29 | 2020-03-05 | Bbソフトサービス株式会社 | 不正Webページ検出装置、不正Webページ検出装置の制御方法及び制御プログラム |
| US11252127B2 (en) * | 2018-12-11 | 2022-02-15 | Level 3 Communications, Llc | Systems and methods for processing requests for content of a content distribution network |
| JP6998294B2 (ja) * | 2018-12-12 | 2022-01-18 | Kddi株式会社 | 検知装置、検知方法及び検知プログラム |
| US10887278B2 (en) * | 2019-01-10 | 2021-01-05 | Proofpoint, Inc. | Systems and methods for discovery of brand-registered domain names |
| US11411991B2 (en) * | 2019-07-09 | 2022-08-09 | Mcafee, Llc | User activity-triggered URL scan |
| JP7069090B2 (ja) * | 2019-08-19 | 2022-05-17 | Kddi株式会社 | 解析装置、検出装置、システム及びプログラム |
| KR102051350B1 (ko) * | 2019-09-05 | 2019-12-03 | (주)에스투더블유랩 | 암호화폐 거래를 분석하기 위한 데이터 획득 방법 및 장치 |
| US10755095B1 (en) * | 2020-01-02 | 2020-08-25 | Capital One Services, Llc | System for scanning solicitations for fraud detection |
| WO2021155388A2 (en) * | 2020-05-21 | 2021-08-05 | Futurewei Technologies, Inc. | Domain name system (dns) services for variable-length address (vla) networks |
| US11699156B2 (en) * | 2020-09-15 | 2023-07-11 | Capital One Services, Llc | Advanced data collection using browser extension application for internet security |
| KR102684310B1 (ko) * | 2022-02-25 | 2024-07-11 | 주식회사 에이아이스페라 | Dns 서비스를 이용하는 악성 사이트의 숨겨진 ip 주소를 찾는 방법 및 장치 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020112185A1 (en) * | 2000-07-10 | 2002-08-15 | Hodges Jeffrey D. | Intrusion threat detection |
| US20050257261A1 (en) * | 2004-05-02 | 2005-11-17 | Emarkmonitor, Inc. | Online fraud solution |
| US20110112931A1 (en) * | 2007-03-08 | 2011-05-12 | Tie Hu | Method of processing online payments with fraud analysis and management system |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
| US20130185802A1 (en) * | 2012-01-17 | 2013-07-18 | Marius N. TIBEICA | Online Fraud Detection Dynamic Scoring Aggregation Systems and Methods |
| US8528084B1 (en) * | 2004-09-30 | 2013-09-03 | Google Inc. | Systems and methods for detecting potential communications fraud |
| US20150278817A1 (en) * | 2014-03-28 | 2015-10-01 | Transaction Wireless, Inc. | Mitigation of fraudulent transactions conducted over a network |
| US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
| US20160012223A1 (en) * | 2010-10-19 | 2016-01-14 | Cyveillance, Inc. | Social engineering protection appliance |
| CN105556552A (zh) * | 2013-03-13 | 2016-05-04 | 加迪安分析有限公司 | 欺诈探测和分析 |
| US20160191548A1 (en) * | 2008-05-07 | 2016-06-30 | Cyveillance, Inc. | Method and system for misuse detection |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8990928B1 (en) * | 2003-12-11 | 2015-03-24 | Radix Holdings, Llc | URL salience |
| US7457823B2 (en) * | 2004-05-02 | 2008-11-25 | Markmonitor Inc. | Methods and systems for analyzing data related to possible online fraud |
| US8381292B1 (en) | 2008-12-30 | 2013-02-19 | The Uab Research Foundation | System and method for branding a phishing website using advanced pattern matching |
| JP2011193343A (ja) * | 2010-03-16 | 2011-09-29 | Kddi Corp | 通信ネットワーク監視システム |
| JP2011237979A (ja) * | 2010-05-10 | 2011-11-24 | Kddi Corp | ウェブサイト判定端末、ウェブサイト判定装置、ウェブサイト判定方法及びウェブサイト判定プログラム |
| US9189746B2 (en) * | 2012-01-12 | 2015-11-17 | Microsoft Technology Licensing, Llc | Machine-learning based classification of user accounts based on email addresses and other account information |
| US20150067853A1 (en) * | 2013-08-27 | 2015-03-05 | Georgia Tech Research Corporation | Systems and methods for detecting malicious mobile webpages |
| JP5813810B2 (ja) * | 2014-03-19 | 2015-11-17 | 日本電信電話株式会社 | ブラックリスト拡充装置、ブラックリスト拡充方法およびブラックリスト拡充プログラム |
| US10185761B2 (en) * | 2015-08-07 | 2019-01-22 | Cisco Technology, Inc. | Domain classification based on domain name system (DNS) traffic |
| US9654492B2 (en) * | 2015-09-15 | 2017-05-16 | Mimecast North America, Inc. | Malware detection system based on stored data |
| US10178121B2 (en) * | 2015-10-01 | 2019-01-08 | Michael Klatt | Domain reputation evaluation process and method |
| US10178107B2 (en) * | 2016-04-06 | 2019-01-08 | Cisco Technology, Inc. | Detection of malicious domains using recurring patterns in domain names |
-
2016
- 2016-07-11 US US15/206,761 patent/US10171497B2/en active Active
-
2017
- 2017-07-10 CA CA3027470A patent/CA3027470C/en active Active
- 2017-07-10 AU AU2017295738A patent/AU2017295738B2/en active Active
- 2017-07-10 SG SG11201811343SA patent/SG11201811343SA/en unknown
- 2017-07-10 CN CN201780055788.8A patent/CN109690547B/zh active Active
- 2017-07-10 ES ES17742672T patent/ES2874148T3/es active Active
- 2017-07-10 RU RU2019103228A patent/RU2744671C2/ru active
- 2017-07-10 JP JP2019501555A patent/JP6871357B2/ja active Active
- 2017-07-10 EP EP17742672.3A patent/EP3482334B1/en active Active
- 2017-07-10 WO PCT/EP2017/067192 patent/WO2018011104A1/en unknown
- 2017-07-10 KR KR1020187037977A patent/KR102130122B1/ko active IP Right Grant
-
2018
- 2018-12-27 US US16/233,750 patent/US11388193B2/en active Active
-
2019
- 2019-03-11 IL IL265307A patent/IL265307B/en unknown
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020112185A1 (en) * | 2000-07-10 | 2002-08-15 | Hodges Jeffrey D. | Intrusion threat detection |
| US20050257261A1 (en) * | 2004-05-02 | 2005-11-17 | Emarkmonitor, Inc. | Online fraud solution |
| US8528084B1 (en) * | 2004-09-30 | 2013-09-03 | Google Inc. | Systems and methods for detecting potential communications fraud |
| US20110112931A1 (en) * | 2007-03-08 | 2011-05-12 | Tie Hu | Method of processing online payments with fraud analysis and management system |
| US20160191548A1 (en) * | 2008-05-07 | 2016-06-30 | Cyveillance, Inc. | Method and system for misuse detection |
| US20160012223A1 (en) * | 2010-10-19 | 2016-01-14 | Cyveillance, Inc. | Social engineering protection appliance |
| CN102291268A (zh) * | 2011-09-23 | 2011-12-21 | 杜跃进 | 一种安全域名服务器及基于此的恶意域名监控系统和方法 |
| US20130185802A1 (en) * | 2012-01-17 | 2013-07-18 | Marius N. TIBEICA | Online Fraud Detection Dynamic Scoring Aggregation Systems and Methods |
| CN105556552A (zh) * | 2013-03-13 | 2016-05-04 | 加迪安分析有限公司 | 欺诈探测和分析 |
| US20150278817A1 (en) * | 2014-03-28 | 2015-10-01 | Transaction Wireless, Inc. | Mitigation of fraudulent transactions conducted over a network |
| US20150350229A1 (en) * | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
Non-Patent Citations (2)
| Title |
|---|
| STEPHEN HLADKY 等: "An Evaluation of Models for Predicting Opponent Positions in First-Person Shooter Video Games" * |
| 简校荣: "基于历史IP过滤的防御实验系统研究与实现" * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114205460A (zh) * | 2020-09-01 | 2022-03-18 | 中国移动通信集团有限公司 | 不良电话号码识别方法、装置、存储介质和计算机设备 |
| CN112818278A (zh) * | 2021-02-07 | 2021-05-18 | 国网湖南省电力有限公司 | 互联网托管网站的排查方法及排查系统 |
| CN112818278B (zh) * | 2021-02-07 | 2022-06-03 | 国网湖南省电力有限公司 | 互联网托管网站的排查方法及排查系统 |
| CN113115311A (zh) * | 2021-04-12 | 2021-07-13 | 江苏通付盾科技有限公司 | 一种基于支持向量机模型的欺诈行为的识别方法及系统 |
| CN112995357A (zh) * | 2021-04-21 | 2021-06-18 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
| CN112995357B (zh) * | 2021-04-21 | 2021-07-23 | 腾讯科技(深圳)有限公司 | 基于云托管服务的域名管理方法、装置、介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| SG11201811343SA (en) | 2019-01-30 |
| RU2019103228A3 (zh) | 2020-11-03 |
| EP3482334B1 (en) | 2021-03-17 |
| RU2019103228A (ru) | 2020-08-11 |
| US20190132357A1 (en) | 2019-05-02 |
| WO2018011104A1 (en) | 2018-01-18 |
| US20180013789A1 (en) | 2018-01-11 |
| CN109690547B (zh) | 2023-05-05 |
| CA3027470A1 (en) | 2018-01-18 |
| KR20190026691A (ko) | 2019-03-13 |
| JP6871357B2 (ja) | 2021-05-12 |
| RU2744671C2 (ru) | 2021-03-12 |
| US11388193B2 (en) | 2022-07-12 |
| ES2874148T3 (es) | 2021-11-04 |
| AU2017295738A1 (en) | 2019-01-03 |
| KR102130122B1 (ko) | 2020-07-06 |
| EP3482334A1 (en) | 2019-05-15 |
| IL265307B (en) | 2021-12-01 |
| IL265307A (en) | 2019-05-30 |
| US10171497B2 (en) | 2019-01-01 |
| AU2017295738B2 (en) | 2021-07-01 |
| JP2019528509A (ja) | 2019-10-10 |
| CA3027470C (en) | 2021-11-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109690547A (zh) | 用于检测在线欺诈的系统和方法 | |
| Jain et al. | A novel approach to protect against phishing attacks at client side using auto-updated white-list | |
| US11630918B2 (en) | Systems and methods of determining compromised identity information | |
| Gowtham et al. | A comprehensive and efficacious architecture for detecting phishing webpages | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| Pan et al. | Anomaly based web phishing page detection | |
| US8079087B1 (en) | Universal resource locator verification service with cross-branding detection | |
| Das Guptta et al. | Modeling hybrid feature-based phishing websites detection using machine learning techniques | |
| US20060070126A1 (en) | A system and methods for blocking submission of online forms. | |
| CN106789939A (zh) | 一种钓鱼网站检测方法和装置 | |
| Geng et al. | Favicon-a clue to phishing sites detection | |
| Durey et al. | FP-Redemption: Studying browser fingerprinting adoption for the sake of web security | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| Fietkau et al. | The elephant in the background: A quantitative approachto empower users against web browser fingerprinting | |
| Kara et al. | Characteristics of understanding urls and domain names features: the detection of phishing websites with machine learning methods | |
| Kayode-Ajala | Applying Machine Learning Algorithms for Detecting Phishing Websites: Applications of SVM, KNN, Decision Trees, and Random Forests | |
| RU103643U1 (ru) | Система противодействия фишинг атакам | |
| Abiodun et al. | Linkcalculator—An efficient link-based phishing detection tool | |
| Mourtaji et al. | Perception of a new framework for detecting phishing web pages | |
| Adil et al. | A review on phishing website detection | |
| KR102520329B1 (ko) | 블록체인 기반 어뷰징 탐지 서비스 제공 시스템 | |
| Ceesay | Mitigating phishing attacks: a detection, response and evaluation framework | |
| JP2022007278A (ja) | シグネチャ生成装置、検出装置、シグネチャ生成プログラム及び検出プログラム | |
| Sujatha et al. | URL Analysis and cross site scripting with secured authentication protocol system in financial services | |
| Raju et al. | Website Security For Detection Of Phishing Sites |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40000813 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |