用于自动网络钓鱼检测规则演进的系统和方法技术方案

用于自动网络钓鱼检测规则演进的系统和方法。基于检测到的网络钓鱼标识，对多个预定参数的每个计算定量分数，每个参数与至少一个该网络钓鱼标识相关。评估演进网络钓鱼检测规则的需求，并且基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的对应的网络钓鱼标识的内容生成新的网络钓鱼检测规则。新的网络钓鱼检测规则递归应用于检测网络钓鱼标识，并且更新的规则可以进一步以递归方式演进。

【技术实现步骤摘要】

本专利技术涉及信息安全领域，并且特别是涉及保护个人计算机系统和其用户免受通常称为网络钓鱼的欺骗性信息收集活动。尤其是，本专利技术针对基于现有规则的使用自动开发网络钓鱼检测规则。
技术介绍
由于过去十年因特网技术的快速发展，大量多种多样的因特网互联设备(例如个人计算机、笔记本、平板、智能手机等)的可购性以及它们的使用的容易性，多数人开始依赖万维网(World-WideWeb)用于他们的日常活动，例如消费媒体内容，购物，用银行账户工作，读取邮件、文本或其他形式的信息，访问社交网络，之中还有许多其他用途。经常地，当在因特网上工作(例如，当购买产品、转账金钱、向零售商或服务提供商注册等)时，要求用户提供某些机密信息(例如，信用卡卡号以及银行账户号、账户密码等)给外部网站，而所有这些都是用户的财务安全要依靠的。因特网的用户众多已经吸引了诈骗者活动的大量增加，为了盗用个人和财务数据以从事诈骗和其他恶意活动，其通过多种技术和方法试图得到用户的机密数据。诈骗者使用的一种更加普遍的方法通常称为网络钓鱼，即冒充已知或可信任的实体，例如名牌、多种服务中的个人信息(例如，社交网络中)以及伪装为银行、网店、社交网络等的合法网站的采用网站搜索服务的创建和注册，通过电子信息处理获得机密的用户信息。诈骗者发送给用户的信或信息经常包含指向看起来与真正的网站相似并且通常相当相似的恶意网站的链接，或指向会从该网站转移到恶意网站的链接。一旦用户被转到假冒网页，诈骗者利用多种社会工程技术尝试使用户输入他/她的机密信息，然后诈骗者利用其进入对应的用户账户和银行账户。除了提取机密信息以外，用户会遭受接收来自假冒网站、用户未知的恶意应用的风险，恶意应用从受害者的计算机收集多个其他信息项并转移给诈骗者。为了反击上面描述的诈骗方法，技术被用于检测网络钓鱼信息(例如，在电子邮件中)和假冒网站。这些技术利用了可信任和不可信任的网站地址、句子模板和来自已知网络钓鱼信息的其他文本串等的数据库。当检测到这样的可疑对象时，通知用户潜在的危险。虽然处理已经被信息安全专家研究出并已经被识别为潜在危险的已知的威胁、链接和页面时，这些现有的技术可能有效，但当处理新的、不断变化的威胁时，传统技术是不太有效的。此外，由于手动或半自动分析，出现新的钓鱼网站或信息和它的检测以及后续的用户阻止获取之间的反应时间是相当重要的，其代表了大量用户陷入到网络钓鱼和相关诈骗的主要因素。因此需要实际的解决方案以解决网络钓鱼攻击不断变化的本质。
技术实现思路
本专利技术的一个方面是针对自动开发检测规则，用于检测输入数据中的网络钓鱼。这个方面被具体化到系统和方法以及它们的变化中。在这些实施例的概要中，获得定向到目的地的输入数据。检测可能出现在输入数据中的网络钓鱼的任何标识，该检测通过应用多个网络钓鱼检测规则执行。确定多个预定参数的每个的定量分数，每个该参数与至少一个网络钓鱼标识相关，并且至少一个网络钓鱼标识的每个定量分数代表输入数据中存在网络钓鱼内容的可能性。进一步，通过将规则演进标准的预定集合运用到多个参数的预定量分数的组合，评估演进网络钓鱼检测规则的需求。响应于对演进网络钓鱼规则需求的评估，基于满足规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则。网络钓鱼标识以及定量分数计算基于新的检测规则以递归方式执行，随着规则演进需求的进一步评估和新的检测规则生成。基于选择的参数分数超过网络钓鱼检测阈值以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象。结果是，输入数据中与网络钓鱼相关对象相关的内容可以进行修改，以消除或减少网络钓鱼相关对象的恶意。附图说明由于下面本专利技术的多个实施例连同随附的附图的详细说明，可以更加完整理解本专利技术，其中：图1A是根据一个实施例的、说明了用于选择性地建立并且演进规则从而在从服务器送到客户端的数据中检测网络钓鱼标识的系统的框图。图1B是说明了描述为图1A中系统的一部分的数据捕获引擎的细节的框图。图1C是由本专利技术的实施例实现的，说明了拦截的数据内容中的数据类别、网络钓鱼标识和计算参数之间相互关系的示意图。图2是根据一个实施例的、说明了示范性的全部过程流程的流程图。图3A和3B描述了根据相关实施例的示范性方法，其中在对是否生成新的规则作出决定中考虑参数值的一个或组合。图4是根据一个实施例的、说明了演进网络钓鱼检测规则的过程的流程图。图5是根据一个实施例的、说明了初始规则如何演进以形成可用于不同类别的内容的规则连续代的例子的规则演进示意图。图6是根据本文所述的本专利技术的方面的实现方式制成的具有改进的功能的专用机的计算机系统的示意图。虽然本专利技术可处理为多种改进和替代形式，它们的细节作为例子在图中示出并且将详细描述。应理解，然而，本专利技术并不限制本专利技术为描述的特定实施例。相反地，本专利技术覆盖落入本专利技术精神和范围内的、由附属的权利要求限定的所有改进、等价以及替代方式。具体实施方式词汇表下面的词汇表详细解释了此处使用的术语的定义。本词汇表仅用于本申请。“计算平台”、“计算机”以及“计算机系统”—具有包括一个或多个处理器、数据存储器、输入-输出设备的硬件的电子设备或可交换操作的电子设备的系统；并且能够根据由硬件实施的软件指令存储以及操纵信息。它可以是一个物理机器，或者它可以分布于多个物理机之间，例如根据角色或功能，或根据云计算分布式模型中的进程线程。例子包括台式电脑或移动个人电脑(PCs)、智能手机或平板，以及网络设备，例如路由器、交换机等等。计算平台可以是单独的设备或作为较大设备或系统的一部分的嵌入式设备。“数据捕获”—由不是指定目的地的实体例如驱动器或代理服务器获得送至指定目的地的数据。“数据存储器”—将数据存储在物理存储介质中的一个或多个电子硬件设备。例子包括易失性存储器(例如，随机存取存储器(RAM)，无论是静态的或动态的)、非易失性存储器(例如，电可擦除可编程只读存储器、磁盘等)。“驱动器”—在设备例如磁盘驱动器和使用该设备的程序例如操作系统外壳之间充当翻译器的引擎或者元件。该驱动器通常从程序接受通用命令并且然后将它们翻译成用于该设备的特定命令。“引擎”—真实的设备、元件或利用硬件实现的元件布置，或实现为硬件和软件的组合，例如通过本文档来自技高网...

【技术保护点】
在包括处理器、数据存储器以及输入/输出设备的计算系统中，其中所述输入/输出设备包括网络接口设备，一种用于自动开发检测规则的方法，所述方法包括：(a)由所述计算系统获得定向到目的地的输入数据；(b)由所述计算系统检测可能存在于所述输入数据中的任何网络钓鱼标识，所述检测通过应用多个所述网络钓鱼检测规则执行；(c)由所述计算系统计算确定多个预定义参数的每个的定量分数，每个所述参数与至少一个所述网络钓鱼标识相关，并且对于所述至少一个所述网络钓鱼标识，每个定量分数代表所述输入数据中存在网络钓鱼内容的可能性；(d)由所述计算系统评估演进网络钓鱼检测规则的需求，包括将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合；(e)响应于对演进网络钓鱼规则的需求的评估，由所述计算系统基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则；由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递归执行(b)‑(e)；由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象；由所述计算系统修改所述输入数据中与所述网络钓鱼相关对象相关的内容，以消除或减小所述网络钓鱼相关对象的恶意。...

【技术特征摘要】
2015.03.05 US 14/639,8711.在包括处理器、数据存储器以及输入/输出设备的计算系统中，其中
所述输入/输出设备包括网络接口设备，一种用于自动开发检测规则的方
法，所述方法包括：
(a)由所述计算系统获得定向到目的地的输入数据；
(b)由所述计算系统检测可能存在于所述输入数据中的任何网络钓鱼
标识，所述检测通过应用多个所述网络钓鱼检测规则执行；
(c)由所述计算系统计算确定多个预定义参数的每个的定量分数，每
个所述参数与至少一个所述网络钓鱼标识相关，并且对于所述至少一个所
述网络钓鱼标识，每个定量分数代表所述输入数据中存在网络钓鱼内容的
可能性；
(d)由所述计算系统评估演进网络钓鱼检测规则的需求，包括将规则
演进标准的预定义集合应用到多个参数的确定的定量分数的组合；
(e)响应于对演进网络钓鱼规则的需求的评估，由所述计算系统基于
满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关
的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则；
由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递
归执行(b)-(e)；
由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与
那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相
关对象；
由所述计算系统修改所述输入数据中与所述网络钓鱼相关对象相关的
内容，以消除或减小所述网络钓鱼相关对象的恶意。
2.根据权利要求1所述的方法，其中在获得所述输入数据中，所述输
入数据定向到的所述目的地是远程客户端计算机系统。
3.根据权利要求1所述的方法，其中获得所述输入数据包括在所述输
入数据到达所述目的地之前拦截所述输入数据。
4.根据权利要求1所述的方法，其中检测可能存在于所述输入数据中
的任何所述网络钓鱼标识包括在独立的计算环境中仿真所述输入数据中存
在的任何代码。
5.根据权利要求1所述的方法，进一步包括：
由所述计算系统将所述拦截的数据内容的项分类成代表不同内容类型

\t的多个预定义类别，其中每个所述类别与所述参数的对应集合相关联。
6.根据权利要求5所述的方法，其中生成新的网络钓鱼检测规则包括
将拦截的数据内容的某些项重新分类成其他类别，并且将用于那些其他类
别的网络钓鱼检测规则应用到那些所述内容的某些项。
7.根据权利要求1所述的方法，其中在计算确定每个所述参数的所述
定量分数中，至少一个所述定量分数表示应用不同网络钓鱼检测规则组合
以检测网络钓鱼标识的相关组合的结果。
8.根据权利要求1所述的方法，其中所述规则演进标准包括所述确定
的定量分数的所述组合被应用于的第一规则演进阈值。
9.根据权利要求8所述的方法，其中所述第一规则演进阈值不同于所
述网络钓鱼检测阈值。
10.根据权利要求8所述的方法，其中所述第一规则演进阈值与所述
网络钓鱼检测阈值相同。
11.根据权利要求8所述的方法，其中所述规则演进标准包括所述确
定的定量分数的所述组合被应用于的第二规则演进阈值，所述第二规则演
进阈值比所述第一规则演进阈值低，其中当所述组合的任何个别定量分数
超过所述第一规则演进阈值时，所述规则演进标准被满足，并且当所述组
合的指定的多个所述定量分数超过所述第二规则演进阈值时，所述规则演
进标准被独立满足。
12.根据权利要求1所述的方法，其中所述规则演进标准包括所述组
合的所述确定的定量分数的总数被应用于的规则演进阈值。
13.根据权利要求1所述的方法，其中在递归执行(b)-(e)中，执
行多个(b)-(e)的连续迭代，其中每个新的网络钓鱼检测规则应用于来
自以前迭代的相同的输入数据。
14.一种用于自动开发检测网络钓鱼内容的检测规则的系统，所述系
统包括：
具有处理器、数据存储器和网络接口设备的计算平台，所述计算平台
包含指令，当由所述计算平台执行所述指令时，使得所述计算平台实现：
数据捕获引擎，其配置为获得定向到目的地的输入数据；
网络钓鱼内容检测引擎，其可操作耦合至所述数据捕获引擎并且配置
为检测可能存在于所述输入数据中的任何网络钓鱼标识，所述检测是基于
对多个所述网络钓鱼检测规则的应用，并且配置为确定多个预定义参数的

\t每个的定量分数，每个所述参数与至少一个所述网络钓鱼标识相关，并且
对于所述至少一个所述网络钓鱼标识，每个所述定量分数代表所述输入数
据中存在网络钓鱼内容的可能性；
规则开发引擎，其可操作地耦合至所述网络钓鱼内容检测引擎并且配
置为：
基于由...

【专利技术属性】
技术研发人员：马克西姆·G·科舍勒夫，
申请(专利权)人：卡巴斯基实验室股份公司，
类型：发明
国别省市：俄罗斯;RU