【技术实现步骤摘要】
本专利技术涉及信息安全领域,并且特别是涉及保护个人计算机系统和其用户免受通常称为网络钓鱼的欺骗性信息收集活动。尤其是,本专利技术针对基于现有规则的使用自动开发网络钓鱼检测规则。
技术介绍
由于过去十年因特网技术的快速发展,大量多种多样的因特网互联设备(例如个人计算机、笔记本、平板、智能手机等)的可购性以及它们的使用的容易性,多数人开始依赖万维网(World-WideWeb)用于他们的日常活动,例如消费媒体内容,购物,用银行账户工作,读取邮件、文本或其他形式的信息,访问社交网络,之中还有许多其他用途。经常地,当在因特网上工作(例如,当购买产品、转账金钱、向零售商或服务提供商注册等)时,要求用户提供某些机密信息(例如,信用卡卡号以及银行账户号、账户密码等)给外部网站,而所有这些都是用户的财务安全要依靠的。因特网的用户众多已经吸引了诈骗者活动的大量增加,为了盗用个人和财务数据以从事诈骗和其他恶意活动,其通过多种技术和方法试图得到用户的机密数据。诈骗者使用的一种更加普遍的方法通常称为网络钓鱼,即冒充已知或可信任的实体,例如名牌、多种服务中的个人信息(例如,社交网络中)以及伪装为银行、网店、社交网络等的合法网站的采用网站搜索服务的创建和注册,通过电子信息处理获得机密的用户信息。诈骗者发送给用户的信或信息经常包含指向看起来与真正的网站相似并且通常相当相似的恶意网站的链接,或指向会从该网站转移到恶意网站的链接。 ...
【技术保护点】
在包括处理器、数据存储器以及输入/输出设备的计算系统中,其中所述输入/输出设备包括网络接口设备,一种用于自动开发检测规则的方法,所述方法包括:(a)由所述计算系统获得定向到目的地的输入数据;(b)由所述计算系统检测可能存在于所述输入数据中的任何网络钓鱼标识,所述检测通过应用多个所述网络钓鱼检测规则执行;(c)由所述计算系统计算确定多个预定义参数的每个的定量分数,每个所述参数与至少一个所述网络钓鱼标识相关,并且对于所述至少一个所述网络钓鱼标识,每个定量分数代表所述输入数据中存在网络钓鱼内容的可能性;(d)由所述计算系统评估演进网络钓鱼检测规则的需求,包括将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合;(e)响应于对演进网络钓鱼规则的需求的评估,由所述计算系统基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则;由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递归执行(b)‑(e);由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络 ...
【技术特征摘要】
2015.03.05 US 14/639,8711.在包括处理器、数据存储器以及输入/输出设备的计算系统中,其中
所述输入/输出设备包括网络接口设备,一种用于自动开发检测规则的方
法,所述方法包括:
(a)由所述计算系统获得定向到目的地的输入数据;
(b)由所述计算系统检测可能存在于所述输入数据中的任何网络钓鱼
标识,所述检测通过应用多个所述网络钓鱼检测规则执行;
(c)由所述计算系统计算确定多个预定义参数的每个的定量分数,每
个所述参数与至少一个所述网络钓鱼标识相关,并且对于所述至少一个所
述网络钓鱼标识,每个定量分数代表所述输入数据中存在网络钓鱼内容的
可能性;
(d)由所述计算系统评估演进网络钓鱼检测规则的需求,包括将规则
演进标准的预定义集合应用到多个参数的确定的定量分数的组合;
(e)响应于对演进网络钓鱼规则的需求的评估,由所述计算系统基于
满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关
的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则;
由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递
归执行(b)-(e);
由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与
那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相
关对象;
由所述计算系统修改所述输入数据中与所述网络钓鱼相关对象相关的
内容,以消除或减小所述网络钓鱼相关对象的恶意。
2.根据权利要求1所述的方法,其中在获得所述输入数据中,所述输
入数据定向到的所述目的地是远程客户端计算机系统。
3.根据权利要求1所述的方法,其中获得所述输入数据包括在所述输
入数据到达所述目的地之前拦截所述输入数据。
4.根据权利要求1所述的方法,其中检测可能存在于所述输入数据中
的任何所述网络钓鱼标识包括在独立的计算环境中仿真所述输入数据中存
在的任何代码。
5.根据权利要求1所述的方法,进一步包括:
由所述计算系统将所述拦截的数据内容的项分类成代表不同内容类型
\t的多个预定义类别,其中每个所述类别与所述参数的对应集合相关联。
6.根据权利要求5所述的方法,其中生成新的网络钓鱼检测规则包括
将拦截的数据内容的某些项重新分类成其他类别,并且将用于那些其他类
别的网络钓鱼检测规则应用到那些所述内容的某些项。
7.根据权利要求1所述的方法,其中在计算确定每个所述参数的所述
定量分数中,至少一个所述定量分数表示应用不同网络钓鱼检测规则组合
以检测网络钓鱼标识的相关组合的结果。
8.根据权利要求1所述的方法,其中所述规则演进标准包括所述确定
的定量分数的所述组合被应用于的第一规则演进阈值。
9.根据权利要求8所述的方法,其中所述第一规则演进阈值不同于所
述网络钓鱼检测阈值。
10.根据权利要求8所述的方法,其中所述第一规则演进阈值与所述
网络钓鱼检测阈值相同。
11.根据权利要求8所述的方法,其中所述规则演进标准包括所述确
定的定量分数的所述组合被应用于的第二规则演进阈值,所述第二规则演
进阈值比所述第一规则演进阈值低,其中当所述组合的任何个别定量分数
超过所述第一规则演进阈值时,所述规则演进标准被满足,并且当所述组
合的指定的多个所述定量分数超过所述第二规则演进阈值时,所述规则演
进标准被独立满足。
12.根据权利要求1所述的方法,其中所述规则演进标准包括所述组
合的所述确定的定量分数的总数被应用于的规则演进阈值。
13.根据权利要求1所述的方法,其中在递归执行(b)-(e)中,执
行多个(b)-(e)的连续迭代,其中每个新的网络钓鱼检测规则应用于来
自以前迭代的相同的输入数据。
14.一种用于自动开发检测网络钓鱼内容的检测规则的系统,所述系
统包括:
具有处理器、数据存储器和网络接口设备的计算平台,所述计算平台
包含指令,当由所述计算平台执行所述指令时,使得所述计算平台实现:
数据捕获引擎,其配置为获得定向到目的地的输入数据;
网络钓鱼内容检测引擎,其可操作耦合至所述数据捕获引擎并且配置
为检测可能存在于所述输入数据中的任何网络钓鱼标识,所述检测是基于
对多个所述网络钓鱼检测规则的应用,并且配置为确定多个预定义参数的
\t每个的定量分数,每个所述参数与至少一个所述网络钓鱼标识相关,并且
对于所述至少一个所述网络钓鱼标识,每个所述定量分数代表所述输入数
据中存在网络钓鱼内容的可能性;
规则开发引擎,其可操作地耦合至所述网络钓鱼内容检测引擎并且配
置为:
基于由...
【专利技术属性】
技术研发人员:马克西姆·G·科舍勒夫,
申请(专利权)人:卡巴斯基实验室股份公司,
类型:发明
国别省市:俄罗斯;RU
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。