它們的結(jié)構(gòu)等價物的任何一個的網(wǎng)絡(luò)釣魚對象識別引擎 140〇
[0040] "用于修改輸入數(shù)據(jù)中關(guān)于網(wǎng)絡(luò)釣魚相關(guān)對象的內(nèi)容的裝置����,以消除或減少網(wǎng)絡(luò) 釣魚相關(guān)對象的惡意"一根據(jù)下面描述的它們的多個實施例的每個的任何一個(或其組 合),或它們的結(jié)構(gòu)等價物的任何一個的的修改引擎116����。
[0041] 優(yōu)選實施例的說明
[0042] 本發(fā)明的各方面可以實現(xiàn)為編程成為專用計算機(jī)的計算機(jī)系統(tǒng)的一部分,或?qū)S?機(jī)的組合����。計算機(jī)系統(tǒng)可以是一個物理機(jī)或可以分布在多個物理機(jī)間���,例如根據(jù)角色或功 能�����,或根據(jù)云計算分布式模型中的進(jìn)程線程�。在多個實施例中,本發(fā)明的各方面可以配置為 在虛擬機(jī)中運(yùn)行�����,虛擬機(jī)轉(zhuǎn)而在一個或多個物理機(jī)上執(zhí)行�。本領(lǐng)域技術(shù)人員將理解,本發(fā)明 的特征可以由多種不同的合適的機(jī)器實現(xiàn)方式來實現(xiàn)��。
[0043] 圖1A是根據(jù)一個實施例的��、說明了用于選擇性地建立并且演進(jìn)規(guī)則從而在從服務(wù) 器102送到客戶端104的數(shù)據(jù)中檢測網(wǎng)絡(luò)釣魚標(biāo)識的系統(tǒng)100的結(jié)構(gòu)圖�。總的來說����,系統(tǒng)100 工作為服務(wù)器-客戶端布置中的中介,其中一個或多個服務(wù)器102通過網(wǎng)絡(luò)105與客戶端104 交換數(shù)據(jù)并且向客戶端提供對某些服務(wù)和資源的訪問權(quán)�����。下面是服務(wù)器102的例子:
[0044] ?網(wǎng)站(例如���,銀行或網(wǎng)絡(luò)商店的網(wǎng)站)����;
[0045] ?文件服務(wù)器;
[0046] ?即時通信服務(wù)(例如���,Skype);
[0047] ?操作系統(tǒng)服務(wù)(例如�,文件下載服務(wù))�����。
[0048] 網(wǎng)絡(luò)105促進(jìn)服務(wù)器102和客戶端104間的數(shù)據(jù)交換�����。下面是這樣的網(wǎng)絡(luò)的例子:
[0049] #局域網(wǎng)���;
[0050] ?廣域網(wǎng)����;
[0051 ] ?因特網(wǎng)���;
[0052] ?限定的因特網(wǎng)的子集�����。
[0053]客戶端104從服務(wù)器102接收數(shù)據(jù)���,處理接收的數(shù)據(jù),并且將處理結(jié)果顯示給用戶�����, 在多個例子中��,可以實現(xiàn)為:
[0054] ?瀏覽器應(yīng)用程序��;
[0055] ?郵件客戶端�;
[0056] ?任何一個即時消息服務(wù)客戶端(例如,Skype��、QIP);
[0057] ?電子文件查看引擎���。
[0058] 在一種類型的實施例中����,建立系統(tǒng)100用于自動操作�����,意思是系統(tǒng)100自主執(zhí)行它 的主要功能,即不用操作員干涉�。將理解,多個其他實施例可以促進(jìn)用戶控制或不同程度的 輸入����,其余功能和決策在程序控制下以自動方式操縱。系統(tǒng)1〇〇操作的選擇的方面意味著響 應(yīng)于規(guī)則演進(jìn)標(biāo)準(zhǔn)的滿足而建立或演進(jìn)規(guī)則�。
[0059] 如在圖1A的示例性實施例中描述的,系統(tǒng)100配置為監(jiān)測服務(wù)器102和客戶端104 間的通信�,其通過網(wǎng)絡(luò)105例如因特網(wǎng)促進(jìn)。系統(tǒng)100執(zhí)行多個功能��,如下面詳細(xì)描述的�����,其 中最基礎(chǔ)的是檢測從一個或多個服務(wù)器102傳送到客戶端104的數(shù)據(jù)中存在的網(wǎng)絡(luò)釣魚內(nèi) 容��,并且響應(yīng)檢測到的存在的網(wǎng)絡(luò)釣魚內(nèi)容���。例如���,響應(yīng)可以是完全消除網(wǎng)絡(luò)釣魚內(nèi)容����、標(biāo) 記網(wǎng)絡(luò)釣魚內(nèi)容�,或否則致使網(wǎng)絡(luò)釣魚內(nèi)容無危險性�����。在圖1A中描述的實施例中����,系統(tǒng)100 具有包括數(shù)據(jù)捕獲引擎110、網(wǎng)絡(luò)釣魚內(nèi)容檢測引擎120�、規(guī)則開發(fā)引擎130以及網(wǎng)絡(luò)釣魚對 象識別引擎140的結(jié)構(gòu)。
[0060] 這些引擎的每個建造為���、編程為�����、配置為或否則適于自主執(zhí)行功能或一組功能��。此 處使用的術(shù)語引擎意思是利用硬件實現(xiàn)的真實的設(shè)備��、元件或元件的布置��,例如通過特定 用途集成電路(ASIC)或現(xiàn)場可編程門陣列(FPGA)實現(xiàn)�����,比如����,或者硬件和軟件的組合,例如 通過微處理器系統(tǒng)和一組使引擎適于實現(xiàn)特定自主功能的程序指令實現(xiàn)�,其(當(dāng)執(zhí)行時)將 微處理器變換成專用機(jī)。引擎也可以實現(xiàn)為兩個的組合���,其某些功能由硬件單獨(dú)實現(xiàn)較便 利�����,并且其他功能由硬件和軟件的組合實現(xiàn)較為便利���。在某些實現(xiàn)方式中,至少一部分��,并 且在一些情況中全部引擎可以利用執(zhí)行操作系統(tǒng)���、系統(tǒng)程序以及應(yīng)用程序同時也實現(xiàn)該引 擎(并且由此變成專用機(jī))的一個或多個計算機(jī)的處理器實現(xiàn)����。引擎可以利用多任務(wù)處理、 多線程�、分布式(例如,集群�、對等網(wǎng)絡(luò)、云等)進(jìn)程中合適的或其他這樣的技術(shù)實現(xiàn)��。因此�, 每個引擎都可以以任何多種合適的物理以及邏輯配置物理實現(xiàn)���,并且通常不應(yīng)被限制為此 處示例的任何特定實現(xiàn)方式��,除非明確指出了這種限制����。此外�����,引擎本身可以由不止一個子 引擎組成����,每個子引擎可以視為獨(dú)立的引擎�。而且�����,在此處描述的實施例中���,多個引擎中的 每個對應(yīng)于限定的功能;然而��,應(yīng)理解��,在其他考慮的實施例中�����,每個功能可以分布到不止 一個引擎�����。而且����,在其他考慮的實施例中��,多個限定的功能可以由單個引擎實現(xiàn),其實現(xiàn)那 些多個功能�,可能伴隨其他功能,或在一組引擎間以與此處例子中特別說明的不同的方式 分配��。
[0061] 根據(jù)一個實施例���,數(shù)據(jù)捕獲引擎110由若干子引擎組成���,如圖1B中描述的。攔截引 擎112編程為��,或者否則配置為�����,攔截從服務(wù)器102送到客戶端104的輸入數(shù)據(jù)����。輸入數(shù)據(jù)的 攔截包含阻止輸入數(shù)據(jù)到達(dá)它的目的地以及存儲輸入數(shù)據(jù)以在釋放輸入數(shù)據(jù)到它的目的 地之前處理����,所述輸入數(shù)據(jù)可能被修改為處理的結(jié)果。
[0062] 仿真引擎113編程為����,或者否則配置為�,在隔離環(huán)境中例如進(jìn)程虛擬機(jī)����,執(zhí)行可能 已經(jīng)被攔截引擎112攔截的任何代碼,例如�,并且將執(zhí)行的輸出結(jié)果作為攔截數(shù)據(jù)的附加數(shù) 據(jù)項部分傳送至分類引擎114。該附加數(shù)據(jù)項可以是html或文本內(nèi)容��、圖像文件�����、動畫等�����。
[0063] 分類引擎114編程為�����,或者否則配置為��,將攔截的數(shù)據(jù)(包括作為仿真結(jié)果的生成 的數(shù)據(jù)項)分類成內(nèi)容的一個或多個預(yù)定類別115,如下描述的���,其將進(jìn)一步被處理�����。修改引 擎116編程為�,或者否則配置為,將從送至客戶端104的數(shù)據(jù)中檢測到的任何網(wǎng)絡(luò)釣魚內(nèi)容���, 選擇性地消除����、改變�����,或標(biāo)記��,或否則致使為無危險性的��,并且將修改的數(shù)據(jù)代替輸入數(shù)據(jù) 轉(zhuǎn)移到客戶端1〇4(在圖1B中標(biāo)記為傳出數(shù)據(jù))����。
[0064]以下是可以被攔截的示例數(shù)據(jù):
[0065] ?網(wǎng)站的html代碼����;
[0066] #Flash應(yīng)用程序�,java小應(yīng)用程序�,或從網(wǎng)站下載的其他代碼;
[0067] ?多媒體數(shù)據(jù)(例如�����,包含在網(wǎng)站圖像或客戶端的操作中的屏幕截圖)�����;
[0068] ?電子文件(Microsoft Office文件����、便攜式文件格式(PDF)文件等);
[0069] ?電子郵件信息��。
[0070]在多個實施例中�����,數(shù)據(jù)捕獲引擎110可以實現(xiàn)為:
[0071] ?代理(例如�,配置用于http業(yè)務(wù)量攔截的代理服務(wù)器);
[0072] ?安裝在用戶計算機(jī)上的驅(qū)動器(例如,用于攔截文件訪問的磁盤訪問驅(qū)動器)����。
[0073] 代理是在本地計算機(jī)系統(tǒng)或在不同的計算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備(例如,轉(zhuǎn)換器�、路由 器等)上運(yùn)行的中介引擎,其起到本地(客戶端)計算機(jī)系統(tǒng)的應(yīng)用程序通過計算機(jī)網(wǎng)絡(luò)105 訪問遠(yuǎn)程計算機(jī)(例如服務(wù)器102的一個)的中介作用���。代理可以額外幫助建立本地和遠(yuǎn)程 計算機(jī)系統(tǒng)間的連接�,并且可以為本地計算機(jī)系統(tǒng)提供多種數(shù)據(jù)處理操作����。數(shù)據(jù)流通過代 理,其可以根據(jù)代理提供的有益服務(wù)按需監(jiān)測����、過濾或修改,以及重定向數(shù)據(jù)包�。例如,為了 保護(hù)用戶在本地計算機(jī)系統(tǒng)上工作���,代理可以分析與網(wǎng)絡(luò)地址的連接����,并且如果懷疑連接 將用戶的計算機(jī)系統(tǒng)暴露給不應(yīng)該的風(fēng)險(例如網(wǎng)絡(luò)釣魚內(nèi)容的轉(zhuǎn)移一就像與本發(fā)明有關(guān) 的)���,則阻止或重新定向網(wǎng)絡(luò)業(yè)務(wù)量���。由代理服務(wù)器執(zhí)行的進(jìn)一步的數(shù)據(jù)處理操作的另一個 例子是存儲常用網(wǎng)頁的副本(高速緩存),以提供那些頁面的快速加載���。
[0074] 驅(qū)動器是充當(dāng)設(shè)備例如磁盤驅(qū)動器和使用該設(shè)備的程序例如操作系統(tǒng)外殼間翻 譯器的引擎或元件�。該驅(qū)動器通常從程序接受通用命令并且然后將它們翻譯成用于該設(shè)備 的特定命令����。在數(shù)據(jù)捕獲引擎110實現(xiàn)為驅(qū)動器的實施例中,該驅(qū)動器附加實施數(shù)據(jù)攔截功 能��。
[0075]下面是攔截的數(shù)據(jù)項內(nèi)容被分成的類別115的示例:
[0076] ?超鏈接�;
[0077] ?多媒體數(shù)據(jù);
[0078] #腳本(例如�,Javascript或VBA);
[0079] # 文本;
[0080] #Java 小程序�����;
[0081 ] #f lash應(yīng)用程序��。
[0082]作為說明性的示例,負(fù)責(zé)反擊不想要的廣告的反病毒產(chǎn)品的組件之一����,作為代理 服務(wù)器工作,執(zhí)行對攔截的頁面的html代碼的分類�,其通過將內(nèi)容的項目單獨(dú)標(biāo)出例如進(jìn) 行標(biāo)簽、分組或分類成數(shù)據(jù)結(jié)構(gòu)等��、包含在頁面上的文本���、指向圖像的鏈接以及頁面上存在 的f lash應(yīng)用程序����、指向其他頁面的超鏈接等���。
[0083]下面的例子是由修改引擎116執(zhí)行的預(yù)期的技術(shù)�����,用于根據(jù)多個相關(guān)實施例修改 攔截的數(shù)據(jù):
[0084] ?用警告代替指向進(jìn)行欺詐活動的網(wǎng)站的超鏈接�;
[0085] ?使開始傳送個人用戶數(shù)據(jù)的頁面上的控制元件失活�����;
[0086] ?增加包含警告的標(biāo)志或其他信息;
[0087] ?部分或完全消除網(wǎng)絡(luò)釣魚相關(guān)信息�����。
[0088] 例如�,責(zé)任反擊網(wǎng)絡(luò)釣魚的反病毒產(chǎn)品的組件之一��,當(dāng)在用戶訪問的頁面上檢測 到非可信任超鏈接時�����,可以用文本插入代替它的html代碼���,使得相關(guān)數(shù)據(jù)將送至的瀏覽器 顯示關(guān)于阻止?jié)撛谕{的警告(例如�����,用代碼〈b>[Link blocked]〈/b>代替代碼〈a href = "http: //fakebank· com" >CitiBank〈/a>)�,而不是非可信任超鏈接�����。
[0089] 參考圖1A���,網(wǎng)絡(luò)釣魚內(nèi)容檢測引擎120編程為����,或否則配置為,搜索分類數(shù)據(jù)中的 任何已知(即預(yù)定的)網(wǎng)絡(luò)釣魚標(biāo)識�,計算關(guān)于作為搜索結(jié)果的發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚標(biāo)識的某些 參數(shù)的值,并且將參數(shù)和它們的計算值�����,以及分類的數(shù)據(jù)送至規(guī)則開發(fā)引擎130和網(wǎng)絡(luò)釣魚 對象識別引擎140�����。
[0090] 根據(jù)一個或多個實施例�,下面檢測規(guī)則125的一個或組合可以用于搜索網(wǎng)絡(luò)釣魚 標(biāo)識:
[0091] ?確定分類文本的大小���;
[0092] ?在文本中搜索記號字典中的記號�����,其表示了網(wǎng)絡(luò)釣魚信息�,并且計算它們的定 量�;
[0093] ?接收分類的超鏈接涉及的網(wǎng)站屬性(IP地址�、所有人等)�����;
[0094] ?比較分類的多媒體數(shù)據(jù)和非可信任或可信任多媒體數(shù)據(jù)的相似性���。
[0095] 根據(jù)多個實施例,下面是網(wǎng)絡(luò)釣魚標(biāo)識的示例����,如根據(jù)多個實施例由檢測規(guī)則125 識別出的:
[0096] ?網(wǎng)站頁面或信息中規(guī)定閾值以下的文本長度(例如,少于20字)����;
[0097] ?非可信任超鏈接(即,指向非可信任網(wǎng)站或地址)��;
[0098] ?指向已知機(jī)構(gòu)的網(wǎng)站上圖像的未知鏈接�;
[0099] ?字符串比規(guī)定閾值(例如,文本中的字和句子超過20%與字典中的記號相匹配����, 其中該字典包含表示網(wǎng)絡(luò)釣魚信息的記號)長的文本中的許多記號;
[0100] ?帶有非可信任或未知鏈接的可信任標(biāo)記的圖像����;
[0101] ?當(dāng)沒有圖像或鏈接時���,文本長度大于規(guī)定閾值(例如,超過1000字)����;
[0102] ?沒有文本的多個大圖像;
[0103] ?不屬于機(jī)構(gòu)的域名�����;
[0104] ?指向不涉及機(jī)構(gòu)域名的圖像的鏈接�����;
[0105] ?上述標(biāo)識的組合�。
[0106] 每個參數(shù)都與網(wǎng)絡(luò)釣魚標(biāo)識的一個或組合相關(guān),并且考慮附加的依情況的信息��, 例如類別�����。下面是關(guān)于網(wǎng)絡(luò)釣魚標(biāo)識的參數(shù)的示例����,根據(jù)一個或多個實施例����,可以計算出其 定量分?jǐn)?shù):
[0107] ?網(wǎng)絡(luò)釣魚標(biāo)識的加權(quán)因子����;
[0108] ?類別的加權(quán)因子;
[0109] ?網(wǎng)絡(luò)釣魚標(biāo)識檢測標(biāo)記����;
[0110] ?類別檢測標(biāo)記��;
[0