CN113518987A - 电子邮件安全分析 - Google Patents
电子邮件安全分析 Download PDFInfo
- Publication number
- CN113518987A CN113518987A CN202080017951.3A CN202080017951A CN113518987A CN 113518987 A CN113518987 A CN 113518987A CN 202080017951 A CN202080017951 A CN 202080017951A CN 113518987 A CN113518987 A CN 113518987A
- Authority
- CN
- China
- Prior art keywords
- message
- text
- hidden
- content
- style
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004458 analytical method Methods 0.000 title claims description 54
- 238000000034 method Methods 0.000 claims abstract description 51
- 238000013515 script Methods 0.000 claims description 5
- 230000004044 response Effects 0.000 claims description 2
- 238000011156 evaluation Methods 0.000 claims 2
- 238000001914 filtration Methods 0.000 abstract description 10
- 230000009471 action Effects 0.000 abstract description 3
- 235000015122 lemonade Nutrition 0.000 abstract description 3
- 238000005516 engineering process Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 12
- 241000208199 Buxus sempervirens Species 0.000 description 11
- 239000003086 colorant Substances 0.000 description 11
- 238000004891 communication Methods 0.000 description 10
- 241000700605 Viruses Species 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000002156 mixing Methods 0.000 description 5
- 238000009877 rendering Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000010801 machine learning Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 241000590419 Polygonia interrogationis Species 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000003203 everyday effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000003058 natural language processing Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000003190 augmentative effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 229910052799 carbon Inorganic materials 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 229910003460 diamond Inorganic materials 0.000 description 1
- 239000010432 diamond Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001815 facial effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000003825 pressing Methods 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/07—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
- H04L51/18—Commands or executable codes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/93—Document management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/14—Digital output to display device ; Cooperation and interconnection of the display device with other functional units
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/10—Text processing
- G06F40/12—Use of codes for handling textual entities
- G06F40/14—Tree-structured documents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/20—Natural language analysis
- G06F40/205—Parsing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/128—Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09G—ARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
- G09G2358/00—Arrangements for display data security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Computing Systems (AREA)
- Human Resources & Organizations (AREA)
- Software Systems (AREA)
- Entrepreneurship & Innovation (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Artificial Intelligence (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Computational Linguistics (AREA)
- Economics (AREA)
- Tourism & Hospitality (AREA)
- Marketing (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Virology (AREA)
- Human Computer Interaction (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本文所描述的技术可见地描述了隐藏的消息特质,以帮助用户确定电子邮件是否是真实的或是欺骗性的。隐藏的消息特质通过标识和改变属性而被揭露,这些属性防止隐藏的特质在所绘制的消息中被显示。垃圾消息、网络钓鱼消息以及包括或链接到恶意程序(例如恶意软件、勒索软件)的消息是可能损害收件人的有害消息的示例。这些消息通常依靠欺骗以通过电子邮件过滤系统,并且哄骗用户对消息中的内容采取行动。欺骗通常涉及在消息中包括愚弄自动过滤系统的隐藏的特质。本文所描述的技术通过将可见的特质包括在消息的所绘制的版本中来向用户示出可见的特质。
Description
背景技术
电子邮件是一种广泛使用的通讯工具,它为个人和团体之间提供了一种快捷并且廉价的通讯方式。垃圾电子邮件、钓鱼电子邮件和包括或链接到恶意程序(例如,恶意软件、勒索软件)的电子邮件对用户、公司和计算设备构成的风险日益增加。已经通过用户使用过滤系统做出了努力,以在电子邮件被接收之前,标识有害的和/或恶意的电子邮件。过滤系统可以使用自然语言处理或其他机制对电子邮件进行分类。目前,没有电子邮件过滤系统是完美的。一些良性电子邮件被误分类为垃圾,而其他垃圾电子邮件则到达用户收件箱。当电子邮件被分类为良性时,存在该电子邮件实际是恶意的很小可能性。当电子邮件被分类为恶意时,存在该电子邮件实际是良性的很小可能性。在企业环境中,一些电子邮件被隔离,而不是将电子邮件递送到垃圾文件夹。隔离文件夹中的电子邮件可以由管理员或其他人评估。但是,这通常是人工评估,是耗时并且容易出错的。
发明内容
本发明内容被提供以简化的形式介绍概念的选集,这些概念将在以下的具体实施方式中被进一步地描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在单独用于帮助确定所要求保护的主题的范围。
本文所描述的技术可见地描绘了隐藏的消息特质,以帮助用户确定电子邮件是否是真实的或欺骗性的。隐藏的消息特质是通过标识和改变属性(例如,层叠样式表(“CSS”)和HTML样式标签)来揭露的,这些属性阻止隐藏的特质在所绘制的消息中被显示。附加的分析,诸如链接或病毒分析可以被提供以帮助用户。标识隐藏的特质帮助专家仅通过查看已修改的电子邮件来快速地确定电子邮件包含可疑特性。该技术还可以帮助日常用户避免成为欺诈的受害者。随着时间的推移,本文所描述技术的使用可以通过帮助用户标识应该被避免的电子邮件的隐藏的特性,来对用户进行教育。
电子消息或文档,包括短信服务(SMS)、多媒体消息服务(MMS)、即时消息(IM)、电子邮件、社交网络消息、网页,甚至普通电子文档,都容易受到可能使消息损害收件人的操纵。垃圾消息、网络钓鱼消息以及包含或链接到恶意程序(例如,恶意软件、勒索软件)的消息是可能损害收件人的有害的消息的示例。这些信息通常依靠欺骗以通过电子邮件过滤系统,并且哄骗用户对消息中的内容采取行动。欺骗通常涉及在消息中包括愚弄自动过滤系统的隐藏的特质。如果这些隐藏的特质对用户是可见的,那么消息的欺骗性质将是明显的。本文所描述的技术通过将可见的特质包括在消息的所绘制的版本中来向用户示出可见的特质。
附图说明
本发明的方面参考所附附图被详细地描述,其中:
图1是适用于实现技术的方面的示例操作环境的框图;
图2是示出根据本文所描述的技术的方面,当消息出现时,具有隐藏了隐藏内容的消息的示图;
图3是示出根据本文所描述的技术的方面,当消息出现时,具有可见的隐藏内容的消息的示图;根据本文所描述的技术的方面;
图4是示出根据本文所描述的技术的方面的URL检验报告的示图;
图5是示出根据本文所描述的技术的方面的假冒报告的示图;
图6是示出根据本文所描述技术的方面的主题行检验报告的示图;
图7是示出根据本文所描述技术的方面的电子邮件内容报告的图;
图8是示出根据本文所描述技术的方面,当消息出现时,具有可见的隐藏内容的消息的示图;根据本文所描述技术的方面;
图9至图11描绘了根据本技术的方面的用于显示隐藏消息特质的方法的流程图;以及
图12是适用于实现本技术的方面的示例性计算环境的框图。
具体实施方式
本技术的方面的主题在本文中被具体描述以满足法定要求。然而,描述本身不旨在限制本专利的范围。相反,发明人已经考虑到,所要求保护的主题也可以其他方式被实现,以与其他现有或未来技术结合来包括与本文件中所描述的步骤类似的不同步骤或步骤组合。此外,尽管术语“步骤”和/或“框”在本文中可以被用以暗示所采用的方法的不同元素,但这些术语不应当被解释为暗示本文所公开的各种步骤之中或之间的任何特定顺序,除非并且除了当单个步骤的顺序被明确描述时。
本文所描述的技术可见地描绘了隐藏的消息特质,以帮助用户确定电子邮件是否是真实的或欺骗性的。隐藏的消息特质是通过标识和改变属性(例如,层叠样式表(“CSS”)和HTML样式标签)来揭露的,这些属性阻止隐藏的特质在所绘制的消息中被显示。附加的分析可以被提供以暴露附加的隐藏的特质,诸如链接或病毒分析。标识隐藏的特质帮助专家仅通过查看已修改的电子邮件来快速地确定电子邮件包含可疑特性。技术还可以帮助日常用户避免成为欺诈的受害者。随着时间的推移,本文所描述技术的使用可以通过帮助用户标识应该被避免的电子邮件的隐藏的特性,来对用户进行教育。
电子消息或文档,包括短信服务(SMS)、多媒体消息服务(MMS)、即时消息(IM)、电子邮件、社交网络消息、网页,甚至普通电子文档,都容易受到可能使消息损害收件人的操纵。垃圾消息、网络钓鱼消息以及包括或链接到恶意程序(例如,恶意软件、勒索软件)的消息是可能损害收件人的有害的消息的示例。这些信息通常依靠欺骗以通过电子邮件过滤系统,并且哄骗用户对消息中的内容采取行动。欺骗通常涉及在消息编码中包括愚弄自动过滤系统的隐藏特质。如果这些隐藏特质对用户是可见的,那么消息的欺骗性质将是明显的。本文所描述的技术通过将隐藏特质包括在消息的所绘制的版本中来向用户示出隐藏特质。
隐藏特质包括隐藏的内容。为了防止被过滤系统检测到,但愚弄过滤系统,发件人可以改变消息编码,以在正文文本、主题行文本、链接描述、电子邮件地址和当被绘制时对用户不可见的其他部分中包括内容(例如,单词、字母、符号)。例如,一些过滤器查看消息内容内的关键词或单词串,以将消息分类为垃圾。发件人通过在单词的字母之间包括单词或字符来从过滤器中隐藏这些单词或字符串,以防止过滤器标识消息内容中的单词。样式被使用以使这些额外的符号或单词对用户不可见,因此所绘制的消息文本对用户看上去是正常的。本技术标识消息编码内的隐藏的内容,并且改变与隐藏的内容相关联的样式,以使隐藏的内容对用户可见。隐藏的内容也可以利用可见的特性被显示,可见的特性指示它之前被隐藏。例如,隐藏的内容可以利用删除线、不同于其他文本的颜色、不同于其他文本的字体、不同的字体尺寸等被显示。
隐藏的特质还可以包括欺骗性的链接和附件。这些隐藏的特质可以通过向用户呈现链接分析或文档分析来暴露。
本文所描述的技术可以被自动地应用于垃圾文件夹或隔离文件夹中的电子邮件。备选地,“示出隐藏的特质”按钮可以触发隐藏的特质的视图。隐藏的特质按钮可以激活针对整个消息或仅部分消息的隐藏的特质的视图。例如,电子邮件消息可以具有与消息正文、主题行、(多个)地址行等相关联的不同的按钮。
消息包括消息编码。消息编码包括消息内容和样式指令。绘制消息编码导致所绘制的内容。所绘制的内容是当消息被输出用于显示时出现的内容。消息编码可以包括没有被绘制的样式指令,但是限定当被绘制时消息内容如何出现。消息内容包括文本或图像,如果在被绘制时与合适的样式指令相关联,该文本或图像对用户是可见的。隐藏的内容是与样式指令相关联的消息内容(例如文本、图像),该消息内容与在被绘制时模糊了它对用户的可见性的样式指令相关联。当文本颜色与背景颜色匹配或接近匹配时,当文本字体比邻近文本小了超过阈值百分比时,当文本字体低于阈值尺寸时等,模糊的可见性出现。样式指令不是隐藏的内容,因为它们不旨在出现在所绘制的内容中。隐藏的内容是消息中的隐藏的特质的一个特性。
在简要描述了本文所描述技术的各个方面的概述后,其中本文所描述的技术的方面可以被实现的示例性操作环境在以下被描述。现在转向图1,提供了示出了其中本公开的一些方面可以被采用的操作环境100的框图。应当理解,本文所描述的这种和其他布置仅作为示例被阐述。其他布置和元素(例如,机器、接口、功能、订单和功能的分组等)可以被用于附加于或代替那些所示出的,并且为清晰起见,一些元素可以被完全省略。此外,本文所描述的许多元素是功能实体,它们可以作为分立的或分布式的组件或与其他组件结合被实现,并且可以以任何合适的组合和位置被实现。本文所描述为由实体执行的各种功能可以通过硬件、固件和/或软件来实施。例如,一些功能可以由执行存储在存储器中的指令的处理器来实施。此外,这些组件、由这些组件执行的功能或由这些组件实施的服务可以在合适的(多个)抽象层处(诸如(多个)计算系统的操作系统层、应用层、硬件层等)被实现。备选地或附加地,这些组件的功能和/或本文所描述技术的方面可以至少部分地由一个或多个硬件逻辑组件来执行。例如,但不限于,可以被使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。附加地,尽管本文关于示例系统100中所示出的特定组件而描述了功能,但是可以预期,在一些方面中这些组件的功能可以跨其他组件被共享或分布。
在没有被示出的其他组件中,操作环境100包括隐藏特质暴露系统115,该隐藏特质暴露系统115接收消息,诸如电子邮件110,分析消息以标识隐藏的特质,并且生成具有所改变的消息编码的CSS盒(Box)树150,该所改变的消息编码使隐藏的特质在所绘制的消息151内是可见的。应当理解,图1所示出的操作环境100是一个适当的操作环境的示例。图1所示出的系统中的每个系统可以经由任何类型的计算设备被实现,例如诸如结合图12描述的计算设备1200。这些组件可以经由网络彼此通信,网络可以包括但不限于局域网(LAN)和/或广域网(WAN)。在示例性实现中,WAN包括互联网和/或蜂窝网络,以及各种可能的公共和/或专用网络当中的任何网络。
电子邮件110是可以由隐藏特质暴露系统115分析的一种类型的消息。本文所描述技术的方面不限于利用电子邮件的使用。隐藏特质暴露系统115可以分析短信服务(SMS)消息、多媒体消息服务(MMS)消息、即时消息(IM)消息、电子邮件、社交网络消息、网页、普通电子文档等。尽管不限于电子邮件,电子邮件将被使用作为示例性消息而贯穿图1至8的描述,其中隐藏的特质可以通过本文所描述技术被暴露。
电子邮件110包括标题111、正文112和其他内容113。标题111包括针对电子邮件110的路由信息。路由信息可以包括发件人、收件人、日期和主题。标题包括键(KEY):值(VALUE)对。最常用的键:值对中的一些键:值对包括,起始、终止、抄送(cc)、密件抄送(bcc)、日期和主题标题。标题信息还包括针对电子邮件的路由信息。路由信息可以包括已经接收和发送消息的所有邮件传递代理(MTA)的发送时间戳和接收时间戳。换而言之,任何时候消息从一个用户被传递到另一用户时(例如,当消息被发送或转发时),该消息由MTA加盖日期/时间戳。一些标题信息可以通过电子邮件程序向用户显示。不同的电子邮件客户端可以选择显示字段内的键字段和/或不同值。例如,“起始”和“主题”字段通常被显示。
电子邮件正文112是电子邮件消息的主要部分。它包含消息的文本和图像。尽管一些电子邮件标准可能无法区分正文和标题,但是如本文中所使用的,电子邮件的正文与它的标题111是不同的。消息可以包含相同文本的多个版本,例如——具有超文本标记语言(HTML)格式的和不具有HTML格式的。在一个方面,正文按照多用途互联网邮件扩展(MIME)类型标准被编码。
其他内容113可以包括附件或没有被包括在标题111或正文112内的其他内容。附件可以包括不同类型的文件,包括图像、音频、文档、电子表格、演示文稿等。
隐藏特质暴露系统115标识消息中的隐藏的特质,并且向用户显示隐藏的特质。隐藏特质暴露系统115包括MIME HTML展示解析器120、附件分析组件130、标题分析组件132、链接分析组件134、主题行分析组件136、正文文本分析组件138、隐藏内容转换器140、观察列表142和假冒引擎144。隐藏特质暴露系统115生成CSS盒树150,CSS盒树150可以由计算设备处理以生成所绘制的消息152。
MIME HTML展示解析器120接收电子邮件110并且生成CSS盒树150。CSS盒树150包括一系列CSS盒。每个CSS盒可以具有显示尺寸特性,并且包含内容元素,诸如文本。每个CSS盒可以具有控制文本或其他内容元素如何被显示的CSS显示样式。展示解析器120调用隐藏特质暴露系统115的其他组件,以示出电子邮件110的隐藏的特质,使得隐藏的特质在所绘制的消息152内是可见的。展示解析器120包括HTML DOM(文档对象模型)解析器122、CSS解析器124和绘制引擎126。
HTML DOM解析器122读取电子邮件110的HTML代码并且构建DOM。DOM是树状结构,结构中的每个节点都是表示电子邮件内容的部分的对象。树的每个分支以节点结束,并且每个节点包含对象。DOM方法允许对树进行编程访问;利用它们,人们可以改变电子邮件的结构、样式或内容。特别地,CSS解析器124和绘制引擎126可以修改DOM。电子邮件中的HTML编码可以包括电子邮件标题和正文文本。在一些电子邮件中,电子邮件的HTML可以包括针对正文文本的样式指令,然而CSS更常被用以分配样式指令。HTML DOM解析器122可以向其他组件发送正文文本、标题文本和样式,诸如用于分析的隐藏内容转换器140。
CSS解析器124解析电子邮件110内的CSS样式。CSS样式可以是行内的、嵌入的或链接的。电子邮件内的CSS样式是样式指令的一个示例。CSS样式与CSS盒相关联。
绘制引擎126可以执行与电子邮件110相关联的Java代码。Java代码可以通过改变与单个CSS盒相关联的样式来改变与不同元素相关联的CSS样式。一旦HTML DOM解析器122、CSS解析器124和绘制引擎126已经完成了它们的任务,初步的CSS盒树被构建(未示出)。如果消息中存在隐藏的内容,则初步的CSS盒树不会显示隐藏的内容。初步的CSS盒树包括具有由电子邮件发件人指定样式的CSS盒。在一个方面,初步的CSS盒树被构建以充分评估针对隐藏的特质的电子邮件110。例如,由于与不同元素相关联的CSS样式可能会通过解析过程而改变,因此可取的是对消息进行完全解析,并且然后针对隐藏的特质评估结果。通过系统中的一个或多个其他组件,初步的CSS盒树被处理,以标识隐藏的特质并且生成CSS盒树150,它将显示所标识的隐藏的特质。此外,其他隐藏的特质可以被显示在报告中,该报告与消息一起被显示在与CSS盒树150分离地生成的界面中。因此,隐藏的特质可以通过修改与CSS盒相关联的样式被显示或在分离的报告中被显示。
附件分析组件130针对隐藏的特质分析附于消息的文件,诸如病毒。附件分析可以包括对附件进行病毒扫描,并且然后在报告中呈现扫描结果。报告可以发出病毒的警告或指示没有病毒被发现。
标题分析组件132可以标识标题中混合的可疑字符脚本,并且如果存在则可视地揭露它。
标题分析组件132可以标识标题中的假冒,并且如果存在则可视地揭露它。当发件人试图愚弄收件人以使其认为消息是来自除发件人以外的实体时,假冒会发生。标题分析组件132可以使用假冒引擎144以检测假冒。
标题分析组件132可以检查P1地址和P2地址的一致,并且可视地描述任何一致问题。电子邮件包括P1来自地址和P2来自地址两者。P1地址是电子邮件客户端和其他计算机用以路由电子邮件消息的地址。P2地址是在电子邮件的“来自”盒上向用户示出的地址。理想地,P2地址和P1地址应当一致。当它们不一致时,则P1地址可以会与P2地址和不一致的解释一起被显示。例如,如果P1地址是help@microsoft.com(可能具有附加的IP地址信息),并且P2地址是help@microsoft.com,则P1和P2地址一致。如果P1和P2的地址仅相差一个字母,则两者不一致。
标题分析组件132可以检查发件人地址和回复地址的一致。发件人地址和回复地址可以在电子邮件内被分别地指定。与P1和P2地址一样,不一致可能指示垃圾电子邮件。任何不一致都可以被可视地显示,例如,通过在“来自”地址旁边显示具有解释的回复地址。
标题分析组件132可以检查针对发件人地址的假冒。标题分析组件132可以使用假冒引擎144以检测发件人假冒。
标题分析组件132可以揭露电子邮件认证状态。电子邮件可以使用多种不同的方法被认证,诸如SPF(发件人策略框架)、DKIM(域名密钥标识邮件)和基于域的消息认证、报告和一致性(DMARC)。这些电子邮件身份验证标准是对SMTP(用于发送电子邮件的基本协议)的补充,并且大多数现代电子邮件系统都支持它们。
标题分析组件132可以揭露发件人客户端IP地址(即,从地址接收的),并且将它显示在地图中,该地图示出了发件人IP地理位置和位置声誉以及客户端IP地址的声誉。客户端IP是发送电子邮件的设备的IP地址。
标题分析组件132可以揭露在标题中连接的IP地址,并且在地图上显示与客户端IP地址相关联的地理位置。地图方式示出了发件人的客户端IP地理位置和位置的声誉。地图还可以示出IP的声誉的指示。连接的IP地址是链接到接收电子邮件服务器的最后一个设备IP。连接的IP地址是与原始起始IP地址和收件人IP地址之间的路由站(诸如,邮件服务器)相关联的。如上所描述的,这些可能是伪造的。如果发送电子邮件的已知发件人从不同于先前稳定的电子邮件发送路径的IP位置跳跃,则它是高度可疑的。通过以不同颜色示出稳定的电子邮件发送路径之外的IP地址,该跳跃活动可以被可视地突出显示。
标题分析组件132可以揭露发件人是否是已知发件人或未知发件人。已知发件人可以在针对用户、公司的地址簿中,也可以是用户已经先前向其发送电子邮件的地址。如果发件人从新的客户端IP发送的或者如果它是已知发件人的新的连接IP,标题分析组件132会揭露。
标题分析组件132可以确定电子邮件是否从已知域发送的。不同的因素可以被使用以确定该域是否是已知的。如果收件箱之前没有从该域收到电子邮件,则该域可能是未知的。如果实体(诸如,与电子邮件地址相关联的公司)之前没有从该域收到电子邮件,该域可能是未知的。如果电子邮件是从未知域发送的,标题分析组件132可以报告。
链接分析组件134针对隐藏的特质分析消息中的链接。
链接分析组件134可以将所链接的URL与多个可用的URL阻止代理进行比较,以查看其是否被列为不良URL。如果URL在阻止列表上,则警告消息可以被提供。除了警告之外,示出链接分析组件134可显示重定向URL(如果有),并且检查指向该重定向URL的域名查询服务(whois)状态,并且可视地暴露它。
链接分析组件134可以针对URL中的假冒进行检查,并且可视地暴露它。链接分析组件134可以检查URL主机的IP声誉,并且将它可视地暴露在报告或其他指示中。如果链接是URL格式,链接分析组件134可以确定URL是否与链接文本一致,并且将它在消息中可视地暴露。
链接分析组件134可以显示URL文本,以便用户可以注意到任何奇怪的格式、IDN(国际化域名)诡计,并且可视地暴露诡计或格式问题。
链接分析组件134可以应用URL机器学习预测并且示出结果。机器学习可以采取多种形式。在一个方面,分类机制被用以确定URL是否安全。机器学习可以使用人工标注的“安全”URL和“不安全”URL被训练。
主题行分析组件136针对可能指示电子邮件是垃圾的各种特性来分析主题行。在一个方面,主题行分析组件136可以使用自然语言处理执行相似性分析,以确定主题行内容是否与先前已标识的垃圾电子邮件中的主题行相似。主题行分析组件136还可以利用假冒引擎144检查假冒。通知可以被提供,警告用户主题行与垃圾电子邮件中的主题行相似。
正文文本分析组件138针对可能暗示电子邮件是垃圾的隐藏的特质来分析消息正文。正文文本分析组件138可以标识可疑字符脚本混合,诸如混合拉丁字符和西里尔字符、混合来自不同语言的字母或不同字母表集。正文文本分析组件138可以通过以一种颜色示出拉丁字符,而以另一种颜色示出西里尔字符来揭露该脚本混合。
正文文本分析组件138可以针对假冒进行检查并且通过报告来可视地暴露它。在一个方面,与关联于消息的发件人的实体不匹配的、在消息的正文文本中所列出的实体被可视地区分,以突出显示该差异。
正文分析组件138可以通过标识已知由垃圾邮件制作者做出的请求来检查内容风险等级,请求诸如请求凭证改变、请求资金转移、请求赎金、要求用户下载文件、请求用户访问附件等。当正文文本中包括做出这些类型的请求的文本时,特别是当其他威胁被示出时,警告可以被提供。包含请求的文本也可以以不同的颜色、字体尺寸等被可视地突出显示。
正文文本分析组件138可以生成指示在其他电子邮件中所观察的类似内容的频率的报告。如果电子邮件包含与已知的不良电子邮件类似的内容,那么报告可以指示电子邮件是不良的。如果正文内容是类似于具有不同URL域的良性批量电子邮件,那么报告可以指示电子邮件是不良的。
正文文本分析组件138可以确定并且报告文本实际是图像。垃圾邮件制作者使用图像以显示文本,因为一些垃圾电子邮件过滤器可能无法分析图像。可能会向垃圾过滤器发出危险信号的文本可以通过位于图像中来避免被垃圾过滤器检测到。消息中的任何图像都可以通过在图像周围包括可见的框架或边框来被揭露。
隐藏内容转换器140标识消息文本内的隐藏的文本,并且改变与隐藏的文本相关联的样式指令,以使当消息被输出用于显示时,隐藏的文本可见。隐藏的文本是当消息被输出用于显示给用户时用户不可见的文本。文本可以以多种不同的方式被隐藏,所有这些方式可以由隐藏内容转换器140标识。例如,文本可以与小尺寸字体或零尺寸字体相关联,文本颜色可以与背景颜色匹配或相似,文本可以被图像遮挡,文本可以被标记为不利用CSS显示,等等。背景和文本之间的相似的颜色可以通过确定颜色距离并且将颜色距离与阈值进行比较来确定。类似地,小字体尺寸可以是小于指定阈值尺寸的任何字体。
一旦所隐藏的文本被标识,将其绘制为隐藏的文本的显示特性由隐藏内容转换器140改变,以使文本可见。例如,字体尺寸可以被增加到与消息中的其他文本相似的尺寸。虽然文本尺寸可以匹配附近文本的尺寸,但是隐藏的文本的附加特性可以被改变以指示它已经被隐藏内容转换器140修改。例如,已转换的文本可以利用删除线、不同颜色、斜体、粗体、利用不同背景颜色被突出显示来被显示,或以其他方式区别于没有转换的其他文本。
文本可以通过将隐藏的文本与不同样式指令相关联来转换。样式指令可以有多种形式。例如,针对文本的样式指令可以通过HTML属性、CSS样式和其他方式来提供。文本可以通过利用将文本绘制为可见的新样式指令替换原始样式指令来转换。
假冒引擎144标识消息内容(例如,可疑字符串中的子字符串),该消息内容可视地类似于观察列表142中所列出的著名的、众所周知的或其他合法的标记、人士、机构或实体(以下称“已知实体”)。假冒引擎144可以使用规则和/或人工智能方法,以标识试图假冒著名实体的消息或消息内容。例如,消息可以包括声称来自已知实体的内容,但是“来自的”电子邮件地址与已知的实体相关联的已知的电子邮件地址不匹配。假冒引擎144可以包括标识消息内容内的已知实体的技术,尽管发件人试图模糊消息编码内的已知实体。例如,发件人可以插入、删除或替换已知实体的一些字符,例如,将合法文本的字符替换为看上去可视地与原始字符相似的统一码字符;前缀、后缀,包括或以其他方式将合法文本与其他字符混合;和/或混合前述假冒方法。替代字母防止假冒引擎144与已知实体直接匹配。然而,假冒引擎144可以在被绘制时找到类似于已知实体的、但是可能添加、删除或替换了字符的那些字符串。例如,在第一遍中,包含“Microsoft”的任何字符串都可以作为精确包含的实例。在第二遍中,可疑字符串(诸如“Microoooosoft”、
或“M-i-c-r-o-s-o-f-t”)将被检测为模糊包含的实例,这可以指示假冒。
当假冒被检测到时,则用户可以通过其他地方所描述的报告被通知所怀疑的假冒。
隐藏特质暴露系统115的操作在图2-图8中被图示。图2示出了没有被显示的隐藏的特征的示例消息200。该消息包括标题部分212,它包括“至”行、“来自”行、“抄送”行和主题行。安全分析214指示消息是来自可信来源的。正文文本216解释了Office 365拦截了垃圾电子邮件,其可以通过按下“审阅电子邮件”按钮218而被审阅。图3-图7示出了揭露消息200的隐藏的特质的附加界面。
图3示出了在经更新的正文316中所示出的具有隐藏的文本的消息200。可以看出,数字1和数字2被插在贯穿文本的单词之间,以愚弄垃圾过滤器。以前,这些数字是被隐藏的。与该隐藏的文本相关联的样式由隐藏特质暴露系统115改变以使它可见。在该示例中,隐藏的文本以与相邻文本不同的颜色(黄色)被示出,并且利用删除线被示出,以指示它的可见性是由隐藏特质暴露系统115引起的。
图4通过URL检验报告400暴露了审阅按钮218的隐藏的特质。可以看出,URL检验报告400示出了已链接的URL 410和在选择链接URL 410时用户被重定向到的重定向URL 412。检验报告400还提供假冒指南414和URL在一个或多个黑名单上的指示。
图5示出了假冒报告500,诸如可以由假冒引擎144生成的假冒报告500。假冒报告示出语言脚本混合与报告的其他方面同时发生512。总结510指示回复电子邮件地址不同于发件人地址。
图6示出了主题行检验报告600,诸如可以由主题行分析组件136生成的主题行检验报告600。主题行检查报告600示出了,验证你的电子邮件地址的请求通常被发现在垃圾电子邮件中。
图7示出了电子邮件内容报告700,诸如可以由正文文本分析组件138生成的电子邮件内容报告700。电子邮件内容报告700提及该内容包括虚假的安全提示712。内容报告700还指示邮件来自可信发件人714。隐藏文本解释716解释隐藏的文本被发现,并且现在以橙色被示出。在假冒报告718中,指示正文电子邮件假冒Office 365。最后,注释720解释该电子邮件假冒品牌微软,但是不是来自微软的。
图8是具有暴露的隐藏的文本的消息800的示例。该消息包括典型的标题812和正文816。如可以看出的,正文816包括文本,该文本在单词和字母之间的菱形盒中具有一系列问号。这些问号表示由本文所描述技术所暴露的先前隐藏的特质。暴露隐藏的文本可以很容易地确定这是垃圾电子邮件。
现在转到图9,用于显示电子消息的隐藏的消息特质的方法900被描绘。方法900可以由隐藏的质暴露系统115来执行,并且产生图3至图8所图示的结果。
在步骤910处,包括消息编码的消息被接收,该消息编码包括文本和限定针对文本的显示特性的样式指令。例如,消息可能是以HTML格式的电子邮件。然而,本文所描述技术的实现不限于电子邮件或HTML格式的电子邮件。
在步骤920处,消息编码被解析以构建多个内容盒,多个内容盒各自包括文本元素和样式指令。消息解析先前已经至少参考展示解析器120被描述。
在步骤930处,通过检查与第一内容盒相关联的第一样式指令,来自多个内容盒中的第一内容盒被确定是隐藏的特质。隐藏的特质可能是隐藏的文本。隐藏的文本是当消息被输出用于显示给用户时用户不可见的文本。文本可以通过多种不同方式被隐藏。例如,文本可以与小尺寸字体或零尺寸字体相关联,文本颜色可以与背景颜色匹配或相似,文本可以被图像遮挡等。背景和文本之间的相似颜色可以通过确定颜色距离并且将颜色距离与阈值进行比较来确定。类似地,小字体尺寸可以是小于指定阈值尺寸的任何字体。
在步骤940处,响应于步骤930的确定,第一样式指令被不同于第一样式指令的第二样式指令替换,以创建经更新的第一内容盒。第二样式指令使经更新的第一内容盒中的文本元素当消息被绘制时对用户可见。
一旦隐藏的文本被标识,将其绘制为隐藏的文本的显示特性被改变,以使文本可见。例如,字体尺寸可以被增加到与消息中其他文本相似的尺寸。虽然文本尺寸可能与附近文本的尺寸相匹配,但隐藏的文本的附加特性可能会被改变,以表明它已经被修改。例如,已转换的文本可以利用删除线、不同颜色、斜体、粗体、利用不同背景颜色被突出显示来被显示,或以其他方式区别于没有转换的其他文本。
文本可以通过将隐藏的文本与不同样式指令相关联来转换。样式指令可以有多种形式。例如,针对文本的样式指令可以通过HTML属性、CSS样式和其他方式来提供。文本可以通过利用将文本绘制为可见的新样式指令替换原始样式指令来转换。
在步骤950处,使用经更新的第一内容盒,消息被绘制。
现在转向图10,用于显示电子消息的隐藏的消息特质的方法1000被描述。方法1000可以由隐藏特质暴露系统115执行,并且产生图3-图8所图示的结果。
在步骤1010处,消息被接收。例如,消息可能是HTML格式的电子邮件。然而,本文所描述技术的实现不限于电子邮件或HTML格式的电子邮件。
在步骤1020处,示出消息中隐藏的特质的用户指令。用户指令可以针对消息的部分,诸如正文文本、标题或主题行。备选地,用户指令可以是针对整个消息的。无论是针对部分还是整个消息,用户指令可以是针对特定的隐藏的特质或针对任何隐藏的特质的。例如,用户可能仅对隐藏的文本和图像感兴趣。
在步骤1030处,通过分析与消息相关联的样式指令,消息的第一隐藏特质被自动检测。第一隐藏特质是与原生(native)样式指令相关联的隐藏的文本,该原生样式指令防止当消息被输出用于显示时,隐藏的文本被可见地绘制。隐藏的文本是当消息被输出用于显示给用户时用户不可见的文本。文本可以通过多种不同方式被隐藏。例如,文本可以与小尺寸字体或零尺寸字体相关联,文本颜色可以与背景颜色匹配或相似,文本可以被图像遮挡等。背景和文本之间的相似颜色可以通过确定颜色距离并且将颜色距离与阈值进行比较来确定。类似地,小字体尺寸可以是小于指定阈值尺寸的任何字体。
在步骤1040处,将不同样式指令与隐藏的文本相关联,以使当消息被输出用于显示时隐藏的文本是可见的。一旦隐藏的文本被标识,将其绘制为隐藏的文本的显示特性被改变,以使文本可见。例如,字体尺寸可以增加到与消息中其他文本相似的尺寸。虽然文本尺寸可能与附近文本的尺寸相匹配,但所隐藏的文本的附加特性可以被改变,以指示它已经被修改。例如,已转换的文本可以利用删除线、不同颜色、斜体、粗体、利用不同背景颜色被突出显示来被显示,或以其他方式区别于没有转换的其他文本。
文本可以通过将隐藏的文本与不同样式指令相关联来转换。样式指令可以有多种形式。例如,针对文本的样式指令可以通过HTML属性、CSS样式和其他方式来提供。文本可以通过利用将文本绘制为可见的新样式指令替换原始样式指令来转换。
在步骤1050处,消息被输出用于显示,其具有可见的隐藏的文本。
现在转向图11,用于显示电子消息的隐藏的消息特质的方法1100被描述。方法1100可以由隐藏特质暴露系统115执行,并且产生图3-图8所示的结果。
在步骤1010处,电子消息被接收。例如,消息可能是HTML格式的电子邮件。然而,本文所描述技术的实现不限于电子邮件或HTML的电子邮件。
在步骤1020处,通过分析与电子消息相关联的样式指令,消息的第一隐藏特质被自动地检测。第一隐藏特质是与原生样式指令相关联的隐藏的文本,该原生样式指令防止当消息被输出用于显示时,隐藏的文本被可见地绘制。隐藏的文本是当消息被输出用于显示给用户时用户不可见的文本。文本可以通过多种不同方式而被隐藏。例如,文本可以与小尺寸字体或零尺寸字体相关联,文本颜色可以与背景颜色匹配或相似,文本可以被图像遮挡等。背景和文本之间的相似颜色可以通过确定颜色距离并且将颜色距离与阈值进行比较来确定。类似地,小字体尺寸可以是小于指定阈值尺寸的任何字体。
在步骤1030处,将不同样式指令与隐藏的文本相关联,以使当消息被输出用于显示时隐藏的文本是可见的。一旦隐藏的文本被标识,将其绘制为隐藏的文本的显示特性被改变,以使文本可见。例如,字体尺寸可以增加到与消息中其他文本相似的尺寸。虽然文本尺寸可能与附近文本的尺寸相匹配,但隐藏的文本的附加特性可以被改变,以指示它已经被修改。例如,已转换的文本可以利用删除线、不同颜色、斜体、粗体、利用不同背景颜色被突出显示来被显示,或以其他方式区别于没有转换的其他文本。
文本可以通过将隐藏的文本与不同样式指令相关联来转换。样式指令可以有多种形式。例如,针对文本的样式指令可以通过HTML属性、CSS样式和其他方式来提供。文本可以通过利用将文本绘制为可见的新样式指令替换原始样式指令来转换。
在步骤1040处,消息被输出用于显示,其具有可见的隐藏的文本。
参考图12,计算设备1200包括直接或间接地耦接以下设备的总线1210:存储器1212、一个或多个处理器1214、一个或多个展示组件1216、一个或多个输入/输出(I/O)端口1218、一个或多个I/O组件1220,和说明性的电源1222。总线1210表示什么可以是一条或多条总线(诸如,地址总线、数据总线或其组合)。尽管为清晰起见,图12的各种框利用线被示出,但实际上,这些框表示逻辑组件,而不必然是实际组件。例如,可以将诸如显示设备的展示组件考虑为I/O组件。处理器还具有存储器。本发明的发明人认识到这是本领域的性质,并且重申图12的图仅是可以与结合本技术的一个或多个方面使用的示例性计算设备的说明。诸如“工作站”、“服务器”、“膝上型计算机”、“手持设备”等这样的分类之间的区别不被做出。因为所有这些都被考虑在图12的范围内并且了参考“计算设备”。
计算设备1200通常包括各种计算机可读介质。计算机可读介质可以是可以由计算设备1200访问的任何可用介质,并且包括易失性和非易失性介质、可移除和不可移除介质。作为示例而非限制,计算机可读介质可以包括计算机存储介质和通信介质。
计算机存储介质包括用于存储信息的以任何方法或技术实现的易失性和非易失性两者的、可移除和不可移除介质,诸如计算机可读指令、数据结构、程序模块或其他数据。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储装置、磁盒、磁带、磁盘存储装置或其他磁存储设备,或可以被用以存储所需信息并且可以由计算设备1200访问的任何其他介质。计算机存储介质本身不包含信号。
通信介质通常在诸如载波或其他运输机制并且包括任何信息递送介质的已调制的数据信号中具化计算机可读指令、数据结构、程序模块或其他数据。术语“已调制的数据信号”意味着信号,它的特性中的一个或多个特性以在信号中编码的信息的方式被设置或改变。作为示例并且不是限制,通信介质包括有线介质,诸如有线网络或直接有线连接,以及无线介质,诸如声学、RF、红外线和其他无线媒体。以上的任何组合也应当被包括在计算机可读介质的范围内。
存储器1212包括易失性和/或非易失性存储器形式的计算机存储介质。存储器可以是可移除的、不可移除的或它们的组合。示例性硬件设备包括固态存储器、硬盘驱动器、光盘驱动器等。计算设备1200包括一个或多个处理器1214,它从各种实体(诸如,存储器1212或I/O组件1220)读取数据。(多个)展示组件1216向用户或其他设备呈现数据指示。示例性展示组件包括显示设备、扬声器、打印组件、振动组件等。
I/O端口1218允许计算设备1200逻辑地耦接到其他设备,包括I/O组件1220,其中一些可以内置。示例性组件包括麦克风、游戏杆、游戏手柄、圆盘式卫星电视天线、扫描仪、打印机、无线设备等。
输入/输出组件1220可以提供自然的用户界面(NUI),它处理由用户生成的空中手势、语音或其他生理输入。在一些实例中,输入可以被发送至适当的网络元件用于进一步处理。NUI可以实现语音识别、触摸和手写笔识别、面部识别、生物识别、屏幕上和屏幕附近的手势识别、空中手势、头部和眼睛跟踪以及与计算设备1200上的显示器相关联的触摸识别的任何组合。计算设备1200可以配备深度相机,诸如立体相机系统、红外相机系统、RGB相机系统及它们的组合,用于手势检测和识别。附加地,计算设备1200可以配备能够检测运动的加速度计或陀螺仪。加速度计或陀螺仪的输出可以被提供给计算设备1200的显示器,以绘制沉浸式增强现实或虚拟现实。
计算设备1200的一些方面可以包括一个或多个无线电设备1224(或类似的无线通信组件)。无线电1224发送并且接收无线电或无线通信。计算设备1200可以是适合于在各种无线网络上接收通信和媒体的无线终端。计算设备1200可以经由无线协议,诸如码分多址(“CDMA”)、全球移动系统(“GSM”)或时分多址(“TDMA”)等与其他设备通信。无线电通信可以是短距离连接、长距离连接或短距离和长距离无线电信连接两者的组合。当我们提到“短”和“长”类型的连接时,我们并不是指两个设备之间的空间关系。相反,我们通常将短距离和长距离称为不同分类或类型的连接(即,主连接和次连接)。作为示例并且不是限制,短距离连接可以包括到提供对无线通信网络的访问的设备(例如,移动热点)的
连接,诸如使用802.11协议的WLAN连接;到另一计算设备的蓝牙连接是短距离连接的第二示例,或者近场通信连接。远距离连接可以包括使用例如但不限于以下一项或多项的连接:CDMA、GPRS、GSM、TDMA和802.16协议。
在不脱离以下权利要求的范围的情况下,所描述的各种组件以及未示出的组件的许多不同布置是可能的。已经以说明性而非限制性的意图描述了本技术的方面。在阅读本公开之后并且由于阅读本公开内容,备选方面对本公开的读者将变得明显的。在不脱离以下权利要求的范围的情况下,实现上述的备选方式可以被完成。某些特征和子组合是实用性的并且可以在不参考其他特征和子组合的情况下被采用并且被考虑在权利要求的范围内。
Claims (15)
1.一种用于显示电子消息的隐藏的消息特质的方法,包括:
接收包括消息编码的消息,所述消息编码包括文本和限定针对所述文本的显示特性的样式指令;
解析所述消息编码以构建多个内容盒,所述多个内容盒各自包括文本元素和样式指令;
通过检查与来自所述多个内容盒的第一内容盒相关联的第一样式指令,确定所述第一内容盒是隐藏的特质;
响应于所述确定,利用不同于所述第一样式指令的第二样式指令替换所述第一样式指令,以创建经更新的第一内容盒,其中所述第二样式指令使所述经更新的第一内容盒中的所述文本元素在所述消息被绘制时对用户是可见的;以及
使用所述经更新的第一内容盒绘制所述消息。
2.根据权利要求1所述的方法,其中所述确定所述第一内容盒是隐藏的特质包括:将所述第一样式指令与限定隐藏的内容的多个规则进行比较。
3.根据权利要求2所述的方法,其中,所述多个规则中的一个规则是:所述第一样式指令中的字体尺寸小于阈值尺寸。
4.根据权利要求2所述的方法,其中,所述多个规则中的一个规则是:所述第一样式指令中的文本颜色在针对所述第一内容盒的背景颜色的阈值相似度内。
5.根据权利要求1所述的方法,其中,所述第二样式指令被选择以向所述第一内容盒中的所述文本元素分配字体尺寸,所述字体尺寸也被分配给位于所述第一内容盒邻近的一个或多个内容盒中的不同文本元素。
6.根据权利要求5所述的方法,其中,所述第二样式指令包括:不同于第二字体颜色的字体颜色,所述第二字体颜色由与邻近的上下文盒相关联的不同样式指令指定。
7.根据权利要求1所述的方法,其中,所述消息还包括图像,并且所述方法还包括:确定所述图像描绘文本,并且作为确定所述图像描绘文本的结果,在所述图像周围添加可见边框,以向所述用户示出所述图像是呈现于所述消息中的。
8.一种用于显示电子消息的隐藏的消息特质的方法,包括:
接收所述消息;
接收用户指令,以示出所述消息中的隐藏的特质;
通过分析与所述消息相关联的样式指令来自动地检测所述消息的第一隐藏特质,其中所述第一隐藏特质是与原生样式指令相关联的隐藏的文本,所述原生样式指令防止在所述消息被输出用于显示时,所述隐藏的文本被可见地绘制;
将不同的样式指令与所述隐藏的文本相关联,以使在所述消息被输出用于显示时,所述隐藏的文本是可见的;以及
输出具有可见的所述隐藏的文本的所述消息用于显示。
9.根据权利要求8所述的方法,其中,所述不同的显示样式使所述隐藏的文本利用删除线而被绘制。
10.根据权利要求8所述的方法,还包括:在所述消息上执行假冒评估,并且输出假冒报告,所述假冒报告描述所述消息中所检测到的假冒的任何证据。
11.根据权利要求8所述的方法,还包括:在所述消息上执行链接评估,并且输出链接报告,所述链接报告描述与所述链接相关联的欺骗性特征。
12.根据权利要求8所述的方法,还包括:在所述消息的标题上执行标题分析,并且输出标题报告,所述标题报告描述所述标题中所检测到的可疑脚本。
13.根据权利要求8所述的方法,还包括:
解析与所述消息相关联的消息编码,以构建多个内容盒,所述多个内容盒各自包括文本和样式指令;
通过检查与来自所述多个内容盒的第一内容盒相关联的所述样式指令,确定所述第一内容盒是隐藏的,其中所述第一内容盒与所述隐藏的文本相关联;以及
将所述不同的样式指令与所述第一内容盒相关联。
14.根据权利要求8所述的方法,还包括:在所述消息的主题行上执行分析,并且输出主题行报告,所述主题行报告描述所述主题行中的内容与来自先前被分类为垃圾的消息的主题行内容之间的相似性。
15.根据权利要求8所述的方法,其中,所述不同的显示样式使所述隐藏的文本以不同于第二颜色的第一颜色而被绘制,所述第二颜色被分配给没有被确定是隐藏的内容的文本。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/290,474 US11055669B2 (en) | 2019-03-01 | 2019-03-01 | Email security analysis |
| US16/290,474 | 2019-03-01 | ||
| PCT/US2020/019418 WO2020180514A1 (en) | 2019-03-01 | 2020-02-24 | Email security analysis |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113518987A true CN113518987A (zh) | 2021-10-19 |
Family
ID=69846592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080017951.3A Pending CN113518987A (zh) | 2019-03-01 | 2020-02-24 | 电子邮件安全分析 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US11055669B2 (zh) |
| EP (1) | EP3918498A1 (zh) |
| KR (1) | KR20210134648A (zh) |
| CN (1) | CN113518987A (zh) |
| WO (1) | WO2020180514A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11861304B2 (en) * | 2019-05-13 | 2024-01-02 | Mcafee, Llc | Methods, apparatus, and systems to generate regex and detect data similarity |
| ZA202303226B (en) * | 2022-03-22 | 2023-05-31 | Vui Consultancy Pvt Ltd | An anti-snooping apparatus |
| WO2023196376A1 (en) * | 2022-04-07 | 2023-10-12 | Cisco Technology, Inc. | Algorithm to detect malicious emails impersonating brands |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6809741B1 (en) * | 1999-06-09 | 2004-10-26 | International Business Machines Corporation | Automatic color contrast adjuster |
| US20040221062A1 (en) * | 2003-05-02 | 2004-11-04 | Starbuck Bryan T. | Message rendering for identification of content features |
| US7921159B1 (en) * | 2003-10-14 | 2011-04-05 | Symantec Corporation | Countering spam that uses disguised characters |
| CN102449648A (zh) * | 2009-05-26 | 2012-05-09 | 微软公司 | 在非web邮件客户端背景中管理潜在钓鱼消息 |
| CN102710537A (zh) * | 2011-03-22 | 2012-10-03 | 微软公司 | 用于消息的信任类别的视觉样式 |
| CN105474585A (zh) * | 2013-08-20 | 2016-04-06 | 隆沙有限公司 | 电子消息中的私人令牌 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060168006A1 (en) | 2003-03-24 | 2006-07-27 | Mr. Marvin Shannon | System and method for the classification of electronic communication |
| US7610341B2 (en) * | 2003-10-14 | 2009-10-27 | At&T Intellectual Property I, L.P. | Filtered email differentiation |
| US8819142B1 (en) * | 2004-06-30 | 2014-08-26 | Google Inc. | Method for reclassifying a spam-filtered email message |
| US9923850B2 (en) * | 2007-01-31 | 2018-03-20 | Tmail Inc. | System and computer program product for transactional, addressable communication |
| GB0804164D0 (en) * | 2008-03-06 | 2009-01-07 | Software Hothouse Ltd | Enhancements to unified communications and messaging systems |
| US9824314B2 (en) * | 2011-01-14 | 2017-11-21 | Apple Inc. | Grouping email messages into conversations |
| US20130095889A1 (en) * | 2011-10-17 | 2013-04-18 | International Business Machines Corporation | Filtering Mobile Communications Device Messages For Presentation Within An Automobile |
| US20200067861A1 (en) * | 2014-12-09 | 2020-02-27 | ZapFraud, Inc. | Scam evaluation system |
| US11019101B2 (en) * | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
| US10282402B2 (en) * | 2017-01-06 | 2019-05-07 | Justin Khoo | System and method of proofing email content |
| US11093263B2 (en) * | 2019-04-18 | 2021-08-17 | International Business Machines Corporation | Resource management based on user interfaces |
-
2019
- 2019-03-01 US US16/290,474 patent/US11055669B2/en active Active
-
2020
- 2020-02-24 CN CN202080017951.3A patent/CN113518987A/zh active Pending
- 2020-02-24 KR KR1020217027791A patent/KR20210134648A/ko unknown
- 2020-02-24 EP EP20712772.1A patent/EP3918498A1/en active Pending
- 2020-02-24 WO PCT/US2020/019418 patent/WO2020180514A1/en unknown
-
2021
- 2021-06-10 US US17/344,002 patent/US11978020B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6809741B1 (en) * | 1999-06-09 | 2004-10-26 | International Business Machines Corporation | Automatic color contrast adjuster |
| US20040221062A1 (en) * | 2003-05-02 | 2004-11-04 | Starbuck Bryan T. | Message rendering for identification of content features |
| US7921159B1 (en) * | 2003-10-14 | 2011-04-05 | Symantec Corporation | Countering spam that uses disguised characters |
| CN102449648A (zh) * | 2009-05-26 | 2012-05-09 | 微软公司 | 在非web邮件客户端背景中管理潜在钓鱼消息 |
| CN102710537A (zh) * | 2011-03-22 | 2012-10-03 | 微软公司 | 用于消息的信任类别的视觉样式 |
| CN105474585A (zh) * | 2013-08-20 | 2016-04-06 | 隆沙有限公司 | 电子消息中的私人令牌 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20220172170A1 (en) | 2022-06-02 |
| US20200279225A1 (en) | 2020-09-03 |
| WO2020180514A1 (en) | 2020-09-10 |
| US11055669B2 (en) | 2021-07-06 |
| EP3918498A1 (en) | 2021-12-08 |
| US11978020B2 (en) | 2024-05-07 |
| KR20210134648A (ko) | 2021-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10609073B2 (en) | Detecting phishing attempts | |
| US8180834B2 (en) | System, method, and computer program product for filtering messages and training a classification module | |
| US20190319905A1 (en) | Mail protection system | |
| US10204157B2 (en) | Image based spam blocking | |
| US11978020B2 (en) | Email security analysis | |
| US8661545B2 (en) | Classifying a message based on fraud indicators | |
| JP4395848B2 (ja) | 廃棄可能なeメールアドレスを生成し、処理するための方法、システム、及びコンピュータ・プログラム | |
| US8145710B2 (en) | System and method for filtering spam messages utilizing URL filtering module | |
| US8185954B2 (en) | Resisting the spread of unwanted code and data | |
| US7433923B2 (en) | Authorized email control system | |
| US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
| US20070094500A1 (en) | System and Method for Investigating Phishing Web Sites | |
| US7908329B2 (en) | Enhanced e-mail folder security | |
| US20180278627A1 (en) | Detection of email spoofing and spear phishing attacks | |
| US20120131119A1 (en) | Message classification using legitimate contact points | |
| US20210126944A1 (en) | Analysis of potentially malicious emails | |
| CN109039874B (zh) | 一种基于行为分析的邮件审计方法及装置 | |
| Gansterer et al. | Anti-spam methods-state of the art | |
| US20220210188A1 (en) | Message phishing detection using machine learning characterization | |
| Koide et al. | ChatSpamDetector: Leveraging Large Language Models for Effective Phishing Email Detection | |
| US20220321518A1 (en) | Email Sender and Reply-To Authentication to Prevent Interception of Email Replies | |
| CN108696422B (zh) | 电子邮件处理装置和电子邮件处理方法 | |
| Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
| WO2006042480A2 (en) | System and method for investigating phishing web sites | |
| JP2008234437A (ja) | 電子メール誤送信防止装置、電子メール誤送信防止方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |