用于自動(dòng)網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則演進(jìn)的系統(tǒng)和方法_3

文檔序號(hào)：9754575閱讀：來(lái)源：國(guó)知局

導(dǎo)航： X技術(shù)> 最新專利>電子通信裝置的制造及其應(yīng)用技術(shù)>用于自動(dòng)網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則演進(jìn)的系統(tǒng)和方法

111] ?根據(jù)類別的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)的數(shù)目。
[0112] 根據(jù)一個(gè)實(shí)施例的網(wǎng)絡(luò)釣魚(yú)參數(shù)定量分?jǐn)?shù)計(jì)算的例子是，由責(zé)任反擊網(wǎng)絡(luò)釣魚(yú)的反病毒產(chǎn)品的組件之一為包含在調(diào)查中網(wǎng)站中的未知鏈接分配加權(quán)因子(例如，從對(duì)應(yīng)于可信任鏈接的〇.〇到對(duì)應(yīng)于非可信任鏈接的1.0)。為了確定加權(quán)因子，檢查鏈接是否出現(xiàn)在可信任鏈接清單中（如果發(fā)現(xiàn)鏈接，分配加權(quán)因子〇.〇,并且停止計(jì)算）；檢查連接是否出現(xiàn) 在非可信任鏈接清單中（如果發(fā)現(xiàn)鏈接，分配加權(quán)因子1.0,并且停止計(jì)算）；檢查是否與非可信任鏈接記號(hào)字典中的一個(gè)記號(hào)相匹配(如果發(fā)現(xiàn)該記號(hào)，發(fā)現(xiàn)的加權(quán)因子增加0.25); 檢查網(wǎng)站所有人是否在非可信任所有人清單中（如果發(fā)現(xiàn)該所有人，發(fā)現(xiàn)的加權(quán)因子增加 0.15)，等。
[0113] 圖1C是說(shuō)明了攔截的數(shù)據(jù)內(nèi)容中的數(shù)據(jù)類別、網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)和計(jì)算的參數(shù)間的相互關(guān)系的示意圖。攔截的數(shù)據(jù)可以包含多個(gè)內(nèi)容類別。例如，文本、圖像、瀏覽器可執(zhí)行對(duì)象等。多個(gè)類別可以在相同的接收數(shù)據(jù)組中表示，例如網(wǎng)頁(yè)。
[0114] 在圖1C中，描述了兩個(gè)類別，類別I和類別II。每個(gè)類別與對(duì)應(yīng)的一組網(wǎng)絡(luò)釣魚(yú)標(biāo) 識(shí)相關(guān)聯(lián)。因此，對(duì)于類別II，示出了網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)符II-UII-2和11-3。類似地，類別I具有多個(gè)不同的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)。類別之間的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)可以相似或完全不同，它們的對(duì)比相似度與不同類別的比較性質(zhì)相對(duì)應(yīng)。
[0115] 每個(gè)類別也對(duì)應(yīng)一組具體化到該類別的參數(shù)。如描述的，參數(shù)II-A、II-B和II-C與類別II相對(duì)應(yīng);然而一組單獨(dú)的參數(shù)將與類別I相對(duì)應(yīng)。參數(shù)可以與相同類別的網(wǎng)絡(luò)釣魚(yú)標(biāo) 識(shí)符具有一個(gè)對(duì)一個(gè)、多個(gè)一個(gè)或一個(gè)對(duì)多個(gè)的對(duì)應(yīng)關(guān)系，并且這些相互關(guān)系在網(wǎng)絡(luò)釣魚(yú) 標(biāo)識(shí)符的具體實(shí)例、參數(shù)之間以及在類別之間可以有很大改變。
[0116] 根據(jù)此處描述的實(shí)施例，計(jì)算的參數(shù)值代表網(wǎng)絡(luò)釣魚(yú)檢測(cè)的強(qiáng)度的分?jǐn)?shù)，并且也表明了網(wǎng)絡(luò)釣魚(yú)內(nèi)容的具體項(xiàng)。
[0117] 規(guī)則開(kāi)發(fā)引擎130編程為，或者否則配置為，做出關(guān)于演進(jìn)搜索網(wǎng)絡(luò)釣魚(yú)內(nèi)容的規(guī) 則和查明攔截的數(shù)據(jù)中是否存在網(wǎng)絡(luò)釣魚(yú)內(nèi)容的規(guī)則的決定。在現(xiàn)在的環(huán)境中，規(guī)則的演進(jìn)意味著基于以前規(guī)則的應(yīng)用自動(dòng)生成新的規(guī)則。在相關(guān)的實(shí)施例中，在程序的控制下演進(jìn)規(guī)則，而沒(méi)有要求新的輸入數(shù)據(jù)。換句話說(shuō)，相同數(shù)據(jù)項(xiàng)的已有規(guī)則的應(yīng)用可以產(chǎn)生檢測(cè) 規(guī)則的連續(xù)代，其能夠獲得新的并且更加深入洞察相同數(shù)據(jù)中存在的網(wǎng)絡(luò)釣魚(yú)相關(guān)內(nèi)容。
[0118]網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140編程為，或者否則配置為，識(shí)別（例如，標(biāo)記、標(biāo)簽、數(shù)據(jù) 結(jié)構(gòu)中的位置等)會(huì)導(dǎo)致將用戶暴露給網(wǎng)絡(luò)釣魚(yú)內(nèi)容以及網(wǎng)絡(luò)釣魚(yú)內(nèi)容項(xiàng)自身的網(wǎng)絡(luò)釣魚(yú) 相關(guān)對(duì)象。
[0119]可識(shí)別的網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象的例子包括：
[0120] ?非可信任超鏈接；
[0121] ?包含網(wǎng)絡(luò)釣魚(yú)內(nèi)容的多媒體數(shù)據(jù)；
[0122] ?包含確定為網(wǎng)絡(luò)釣魚(yú)信息的文本塊的位置和大??；
[0123] ?責(zé)任將用戶數(shù)據(jù)轉(zhuǎn)移給服務(wù)器的html代碼的部分。
[0124] 下面的例子描述了系統(tǒng)100的操作以及其與服務(wù)器102和客戶端104的交互。系統(tǒng) 100操作的環(huán)境中包括與瀏覽器應(yīng)用程序進(jìn)行交互的用戶，通過(guò)搜索服務(wù)已經(jīng)發(fā)現(xiàn)的用戶對(duì)購(gòu)買感興趣的銷售產(chǎn)品的網(wǎng)站。在轉(zhuǎn)移到提供的地址后，用戶的瀏覽器被導(dǎo)向下訂單頁(yè) 面，在那里其他信息中，要求用戶鍵入他/她的信用卡信息。在此例子中，這個(gè)網(wǎng)站是詐騙者創(chuàng)建的為了偷取信用卡信息的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站。
[0125] -旦用戶通過(guò)瀏覽器104進(jìn)入網(wǎng)絡(luò)釣魚(yú)網(wǎng)站，信息以html代碼的形式被從該網(wǎng)站送至該瀏覽器104。在用戶的計(jì)算機(jī)上，或在代理服務(wù)器上，來(lái)自網(wǎng)站的數(shù)據(jù)由數(shù)據(jù)捕獲引擎110進(jìn)行攔截。
[0126] 數(shù)據(jù)捕獲引擎110攔截表現(xiàn)為html代碼形式、意圖傳到瀏覽器104的數(shù)據(jù)，并且對(duì) 攔截的html代碼內(nèi)容進(jìn)行分類。在一個(gè)這樣的實(shí)施例中，數(shù)據(jù)捕獲引擎110首先在html代碼的獨(dú)立的計(jì)算環(huán)境(例如，虛擬機(jī))中進(jìn)行仿真，包括下列的：
[0127] #執(zhí)行包含在html代碼中的腳本(例如，JavaScript語(yǔ)言的腳本解碼包含在html 代碼中的數(shù)據(jù)，例如，超鏈接、文本等）；
[0128] ?加載從html代碼調(diào)用的多媒體數(shù)據(jù)(例如，網(wǎng)站假裝表示的銀行標(biāo)識(shí)的圖像）；
[0129] ?加載從html調(diào)用的flash應(yīng)用程序、java小程序等；
[0130] ?仿真用戶動(dòng)作（例如，將文本輸入輸入字段以及為了確定接下來(lái)的動(dòng)作而按按鈕)；
[0131] ?將頁(yè)面渲染到存儲(chǔ)器剪貼板或文件，以用于其他多媒體數(shù)據(jù)搜索網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí) 的后續(xù)使用。
[0132] 在完成仿真以后，數(shù)據(jù)捕獲引擎110直接執(zhí)行經(jīng)仿真數(shù)據(jù)自身的分類并且將接收的經(jīng)分類的數(shù)據(jù)(例如，文本、超鏈接、圖像等)送至網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)引擎120。
[0133] 以后，當(dāng)從網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140接收到存在于攔截的數(shù)據(jù)中的網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象(例如，數(shù)據(jù)中發(fā)現(xiàn)非可信任超鏈接)時(shí)，數(shù)據(jù)捕獲引擎110的修改引擎116對(duì)攔截的 html代碼進(jìn)行修改(例如，用關(guān)于可能的網(wǎng)絡(luò)釣魚(yú)的文本警告代替檢測(cè)到的非可信任超鏈接），并且然后將修改后的html代碼送到瀏覽器104。
[0134] 網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)引擎120執(zhí)行對(duì)經(jīng)分類的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)數(shù)據(jù)的搜索(例如，存在非可信任網(wǎng)站的超鏈接、典型用于網(wǎng)絡(luò)釣魚(yú)網(wǎng)站文本中的短語(yǔ)、超鏈接名稱和它們導(dǎo)向的地址間不一致、圖像中存在知名公司的標(biāo)識(shí)等）。而且，網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)引擎120基于搜索結(jié)果返回的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)的參數(shù)計(jì)算定量分?jǐn)?shù)(例如，在文本串的情況下，分?jǐn)?shù)可以是表明屬于網(wǎng)絡(luò)釣魚(yú)的可能性的加權(quán)因子;在超鏈接的情況下，分?jǐn)?shù)可以是表明非可信任鏈接的標(biāo)記，等）。計(jì)算出的參數(shù)分?jǐn)?shù)和經(jīng)分類的數(shù)據(jù)被送至規(guī)則開(kāi)發(fā)引擎130和網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí) 別引擎140。
[0135] 規(guī)則開(kāi)發(fā)引擎130，在接收的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)參數(shù)分?jǐn)?shù)的基礎(chǔ)上，選擇性地演進(jìn)判定網(wǎng)絡(luò)釣魚(yú)存在的規(guī)則。這樣的規(guī)則可以基于參數(shù)的組合，具有為檢測(cè)閾值限定的參數(shù)值(例如，通過(guò)規(guī)則存在非可信任鏈接并且包含非可信任鏈接的文本的加權(quán)因子超過(guò)0.75(其中，〇. 〇意味著可信任鏈接，并且1. 〇意味著非可信任鏈接），則該規(guī)則被視為肯定的網(wǎng)絡(luò)釣魚(yú)檢測(cè)結(jié)果）。下面更加詳細(xì)地描述了可選擇的網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則演進(jìn)。
[0136] 新生成的網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則以遞歸方式用于攔截?cái)?shù)據(jù)，以確定附加的參數(shù)和它們的定量值，并且確定任何進(jìn)一步的規(guī)則演進(jìn)需求。
[0137] 網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140處理檢測(cè)到的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)上下文中的攔截的數(shù)據(jù)，以及計(jì)算出的參數(shù)分?jǐn)?shù)，以將檢測(cè)標(biāo)準(zhǔn)應(yīng)用到網(wǎng)絡(luò)釣魚(yú)對(duì)象并最終確定攔截的數(shù)據(jù)的內(nèi)容中哪一項(xiàng)構(gòu)成了與網(wǎng)絡(luò)釣魚(yú)相關(guān)的對(duì)象。這些對(duì)象可以是網(wǎng)絡(luò)釣魚(yú)內(nèi)容本身，或者在別處發(fā)現(xiàn)的指向網(wǎng)絡(luò)釣魚(yú)內(nèi)容的超鏈接。根據(jù)一種類型的實(shí)施例，網(wǎng)絡(luò)釣魚(yú)對(duì)象檢測(cè)的標(biāo)準(zhǔn)可以與規(guī)則演進(jìn)標(biāo)準(zhǔn)相同或相似。在另一個(gè)實(shí)施例中，網(wǎng)絡(luò)釣魚(yú)對(duì)象檢測(cè)標(biāo)準(zhǔn)各不相同（例如，為了減小誤報(bào)的可能性，網(wǎng)絡(luò)釣魚(yú)對(duì)象閾值可以設(shè)置為比演進(jìn)檢測(cè)規(guī)則的閾值更高一即更加具有可選擇性）。一旦被收集，網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象被送至數(shù)據(jù)捕獲引擎110進(jìn)行修改。
[0138] 數(shù)據(jù)捕獲引擎110,當(dāng)接收到識(shí)別出的網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象的清單時(shí)，找到并修改攔截的數(shù)據(jù)中的那些對(duì)象，從而移除、修改，或者否則致使檢測(cè)到的網(wǎng)絡(luò)釣魚(yú)內(nèi)容無(wú)危險(xiǎn)性。
[0139] 已經(jīng)接收到修改后的html代碼的瀏覽器104對(duì)它進(jìn)行處理并在其窗口顯示。結(jié)果是，即使當(dāng)傳送給用戶網(wǎng)絡(luò)釣魚(yú)網(wǎng)站時(shí)，他/她使用它的能力也受到限制，并且由此保護(hù)用戶免受他/她的機(jī)密資料損失，例如銀行卡信息。
[0140] 系統(tǒng)100的另一個(gè)示范性應(yīng)用是關(guān)于對(duì)從服務(wù)器轉(zhuǎn)移至客戶端的數(shù)據(jù)的分析，其中服務(wù)器是郵件客戶端并且該客戶端是讀取電子郵件的郵件客戶端應(yīng)用程序。接收的電子郵件中的一封是詐騙者發(fā)送的，為了引誘用戶到一個(gè)特別創(chuàng)建的網(wǎng)站。一旦使用郵件客戶端104的用戶打開(kāi)接收自郵件服務(wù)器102的信，pdf文件形式的信息由郵件服務(wù)器102送至郵件客戶端104。在用戶的計(jì)算機(jī)上，或代理服務(wù)器上，來(lái)自郵件服務(wù)器102的數(shù)據(jù)被數(shù)據(jù)捕獲引擎110攔截。
[0141] 數(shù)據(jù)捕獲引擎110攔截意圖送至郵件客戶端104、以pdf文件的形式呈現(xiàn)的數(shù)據(jù)，對(duì) 它們進(jìn)行分類并將接收的經(jīng)分類的數(shù)據(jù)(例如，文本、超鏈接、圖像等)送至網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)引擎120。
[0142] 網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)引擎120針對(duì)網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)對(duì)經(jīng)分類的數(shù)據(jù)實(shí)施搜索，并且基于發(fā)現(xiàn)的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)計(jì)算它們的參數(shù)分?jǐn)?shù)。該參數(shù)分?jǐn)?shù)以及經(jīng)分類的數(shù)據(jù)被提供給規(guī)則開(kāi)發(fā)引擎130以及網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140。
[0143] 規(guī)則開(kāi)發(fā)引擎130,在接收的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)參數(shù)的基礎(chǔ)上，選擇性地演進(jìn)規(guī)則，以確定網(wǎng)絡(luò)釣魚(yú)是否存在(例如，通過(guò)規(guī)則，存在來(lái)自非可信任清單的圖像以及文本，且其加權(quán)因子超過(guò)〇.9(其中加權(quán)因子0.0意味著可信任圖像，而加權(quán)因子1.0意味著非可信任圖像），則該規(guī)則被視為滿足演進(jìn)檢測(cè)規(guī)則的標(biāo)準(zhǔn)）。
[0144] 如在之前的例子中，網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140分析網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則的應(yīng)用結(jié) 果，例如找到超過(guò)網(wǎng)絡(luò)釣魚(yú)檢測(cè)閾值的高參數(shù)分?jǐn)?shù)的原因，并且識(shí)別構(gòu)成那些原因的網(wǎng)絡(luò) 釣魚(yú)相關(guān)對(duì)象，并且用合適的方法(例如，加標(biāo)簽、編制清單等)識(shí)別那些對(duì)象。此后，網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140將網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象識(shí)別傳送到數(shù)據(jù)捕獲引擎110用于修改。
[0145] 然后，當(dāng)從網(wǎng)絡(luò)釣魚(yú)對(duì)象識(shí)別引擎140接收到網(wǎng)絡(luò)釣魚(yú)相關(guān)對(duì)象識(shí)別（例如，某些文本串、圖像、代碼等)時(shí)，數(shù)據(jù)捕獲引擎110修改攔截的pdf文件(例如，通過(guò)向pdf文件添加可能是網(wǎng)絡(luò)釣魚(yú)的文本警告）；然后，它將修改的pdf文件送到郵件客戶端104。
[0146] 已經(jīng)接收到修改的pdf文件的郵件客戶端104對(duì)它進(jìn)行處理并顯示在其窗口。結(jié)果是，當(dāng)用戶查看收到的信時(shí)，在其內(nèi)容上看到了可能是網(wǎng)絡(luò)釣魚(yú)的警告。
[0147] 圖2是根據(jù)一個(gè)實(shí)施例的、說(shuō)明了示范性整體過(guò)程流程的流程圖。示范性的方法包括數(shù)據(jù)攔截210、數(shù)據(jù)分類220、搜索網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)230、計(jì)算參數(shù)分?jǐn)?shù)240、選擇演進(jìn)規(guī)則 250、使用規(guī)則260以及數(shù)據(jù)修改270。
[0148] 在階段210,攔截由服務(wù)器102轉(zhuǎn)移到客戶端104的數(shù)據(jù)。攔截的數(shù)據(jù)可以包括上面描述的任何示范性數(shù)據(jù)類型。在階段220,根據(jù)標(biāo)準(zhǔn)對(duì)攔截的數(shù)據(jù)進(jìn)行分類，例如根據(jù)上面描述的類別示例。在階段230,對(duì)經(jīng)分類的數(shù)據(jù)搜索網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)。在階段240,計(jì)算檢測(cè)到的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí)的參數(shù)及其值。此后，在階段245,基于計(jì)算出的參數(shù)值對(duì)演進(jìn)規(guī)則用于檢測(cè)網(wǎng)絡(luò)釣魚(yú)內(nèi)容的合適性做出決定。
[0149] 如果滿足規(guī)則演進(jìn)標(biāo)準(zhǔn)，則過(guò)程前進(jìn)到階段250,在此基于計(jì)算出的網(wǎng)絡(luò)釣魚(yú)標(biāo)識(shí) 參數(shù)生成網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則。如果不滿足規(guī)則創(chuàng)建標(biāo)準(zhǔn)，則不創(chuàng)建新的規(guī)則，并且在階段 260該組現(xiàn)有規(guī)則用于執(zhí)行網(wǎng)絡(luò)釣魚(yú)內(nèi)容檢測(cè)。
[0150] 在階段260,生成的規(guī)則應(yīng)用于經(jīng)分類的數(shù)據(jù)，對(duì)網(wǎng)絡(luò)釣魚(yú)中使用的數(shù)據(jù)實(shí)施搜索，并且計(jì)算檢測(cè)到的網(wǎng)絡(luò)釣魚(yú)內(nèi)容的參數(shù)。
[0151] 在階段270,基于計(jì)算出的網(wǎng)絡(luò)釣魚(yú)中使用數(shù)據(jù)的參數(shù)修改攔截的數(shù)據(jù)，并且修改的數(shù)據(jù)被送至客戶端104。
[0152] 在相關(guān)的實(shí)施例中，為了將用于其他數(shù)據(jù)類別的網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則應(yīng)用于攔截的數(shù)據(jù)，網(wǎng)絡(luò)釣魚(yú)檢測(cè)規(guī)則的演進(jìn)包括對(duì)攔截?cái)?shù)據(jù)重新分類。這個(gè)方法改進(jìn)了網(wǎng)絡(luò)釣魚(yú)檢測(cè) 靈敏度并且導(dǎo)致生成新的并且更好的檢測(cè)規(guī)則。例如，如果攔截的數(shù)據(jù)包含圖像，那些圖像最初被分在多媒體數(shù)據(jù)類別中，但隨后，利用圖像-文本識(shí)別算法，該數(shù)據(jù)被重新分類為文本，伴隨著所有基于文本類別的檢測(cè)規(guī)則現(xiàn)在都可用了。
[0153] 規(guī)則被演進(jìn)，以便基于計(jì)算出的參

完整全部詳細(xì)技術(shù)資料下載

當(dāng)前第3頁(yè)1 2 3 4 5

相關(guān)技術(shù)