检测与被伪造的元数据不匹配的隐藏的链接制造技术

本文描述了涉及警报管理器的示例方法和系统。根据各种实施例，警报管理器检测对消息的接收。消息包括用于访问外部资源的可选功能和指示消息来源的消息数据。警报管理器预测消息的接收者何时将与可选功能进行交互。在预测的接收者与可选功能的交互之前，警报管理器将根据外部资源与消息来源之间的差异程度生成消息警报功能。

【技术实现步骤摘要】
【国外来华专利技术】检测与被伪造的元数据不匹配的隐藏的链接对相关申请的参考本申请要求于2015年12月21日提交的序列号为14/976,549的美国申请的优先权权益，其通过引用整体并入本文。
本申请一般性地涉及电子消息的
，并且在一个具体示例中，提供与可疑消息相对应的警报。
技术介绍
许多传统的计算环境涉及使用计算机来发送和接收消息。网络钓鱼是通过在电子通信中伪装成可信实体来试图获取诸如用户名、密码等敏感信息。声称来自流行的社交网站、拍卖网站、银行、在线支付处理器或信息技术(IT)管理员的通信通常被用于引诱毫无警惕的受害者。网络钓鱼电子邮件可能包含指向被恶意软件感染的网站的链接。网络钓鱼通常是通过电子邮件欺诈或即时消息进行的，它通常会引导用户在与合法网站看上去几乎完全相同的假冒网站上输入详细信息。附图说明一些实施例通过示例而非限制性地在附图中示出。图1是示出根据示例实施例的适用于警报管理器的网络环境的网络图。图2是示出根据示例实施例的适用于警报管理器的服务器机器的组件的框图。图3是示出用于使得计算设备执行与本文所述的本专利技术的示例实施例一致的各种动作的警报管理器的各种模块的框图。图4是示出根据示例实施例的接收到的具有可选功能的消息的框图，其中警报管理器确定所述消息可能是从欺诈源发送的。图5是示出根据示例实施例的警报管理器将当前浏览行为与历史浏览行为进行比较以便预测何时可选功能将被选择的框图。图6是示出根据示例实施例的警报管理器将警报消息特征应用于接收到的消息的框图。图7是示出根据示例实施例的警报管理器的操作的流程图。图8是示出根据示例实施例的能够从机器可读介质读取指令并执行本文讨论的任何一种或多种方法的机器的组件的框图。具体实施方式描述了涉及警报管理器的示例方法和系统。在下面的描述中，为了解释的目的，阐述了许多具体细节以便提供对示例实施例的透彻理解。然而，对于本领域技术人员明显的是，可以在没有这些具体细节的情况下实践本专利技术的示例实施例。根据本文描述的各种实施例，警报管理器检测对消息的接收。消息包括用于访问外部资源的可选功能(诸如超链接)，并且消息还包括指示该消息的来源的消息数据。警报管理器确定外部资源的地址与消息来源的地址之间的差异程度。阈值差异程度表示消息具有潜在欺诈性。警报管理器由于外部资源的地址与消息来源的地址之间的阈值差异程度而产生消息警报特征。警报管理器将接收者的当前消息浏览行为与接收者的历史消息浏览行为进行比较，以便生成关于接收者何时或是否将与可选功能进行交互的预测。在预测的接收者与可选功能的交互之前，警报管理器将呈现消息警报特征。因此，在接收者最有可能针对可选功能采取动作的时刻消息警报特征提供视觉提示，提示消息具有潜在欺诈性。在示例实施例中，与用户相关联的客户端设备执行警报管理器的实例。警报管理器监测用户对各种电子邮件消息的浏览行为。例如，对于多个电子邮件，警报管理器监测用户访问相应电子邮件和回复该相应电子邮件之间的时间量。警报管理器监测在用户对接收到的电子邮件采取任何类型的动作之前发生的各种输入设备模式(诸如计算机鼠标光标移动)。警报管理器监测对用户未施加动作的电子邮件发生的各种输入设备模式。警报管理器监测此类浏览行为以构建用户的历史简档。因此，用户的历史简档包括基于所有的用户消息浏览行为(例如消息访问、消息回复、链接选择、消息关闭、消息删除、消息附件的访问)的历史消息交互数据，其允许警报管理器确定用户的典型的和期望的消息交互行为。警报管理器检测到用户的客户端设备已经接收到在消息主体中包括可选链接(诸如URL)的消息。消息头部包含消息发送者的地址。警报管理器检测到用户的客户端设备已经访问了该消息，并将与该消息相对应的用户当前浏览行为与用户的历史消息交互数据进行比较，以便预测用户是否以及何时将输入动作施加到该可选链接，诸如链接上的“点击”。警报管理器比较与可选链接对应的目的地址和消息发送者的地址。警报管理器确定可选链接的目的地址的文本与消息发送者地址的文本之间存在实质性差异。这种实质性差异表明该消息具有潜在欺诈性，并且消息发送者可能通过使用虚假身份获得用户的信任来试图说服用户访问可选链接的目的地址。警报管理器确定用户的当前浏览行为与用户的历史消息交互数据中的与用户施加肯定动作(例如，回复消息，选择消息主体中的链接等)的先前消息相对应的部分相匹配。基于这样的匹配，警报管理器利用用户的历史简档的匹配部分来生成关于用户何时最有可能在某个时间范围内选择链接的预测。警报管理器生成消息警报特征，诸如更改消息主体或链接的外观。在警报管理器预测的用户可能选择链接的时间范围内，警报管理器呈现警报特征，以通知用户回复消息或选择链接可能导致访问链接的潜在的欺诈目的地址。应理解，在各种示例实施例中，由本文所述的警报管理器生成的任何模块包括源代码，所述源代码在由计算设备(或计算机设备)编译时创建目标代码，所述目标代码使得计算设备执行本文描述的各种动作。在其他实施例中，由本文描述的警报管理器生成的任何模块包括使计算设备执行本文描述的各种动作的目标代码。图1是示出根据示例实施例的适用于警报管理器的网络环境100的网络图。网络环境100包括服务器机器110、数据库115和设备130和150，其都通过网络190彼此通信地耦合。服务器机器110可以形成基于网络的系统105(例如，被配置为向设备130和150提供一个或多个服务的基于云的服务器系统)的全部或部分。服务器机器110以及设备130和150各自可以全部或部分地在计算机系统中实现，如下面关于图8所描述的。还应理解的是，警报管理器也可以全部或部分地在计算机系统中实现，如下面关于图8所述。图1中还示出用户132和152。用户132和152中的一个或两个可以是人类用户(例如人类)、机器用户(例如，由软件配置用于与设备130交互的计算机)、或其任何适当的组合(例如，由机器辅助的人或由人监督的机器)。用户132不是网络环境100的一部分，而是与设备130相关联并且可以是设备130的用户。例如，设备130可以是台式计算机、车辆计算机、平板电脑、导航设备、便携式媒体设备、智能手机或属于用户132的可穿戴设备(例如，智能手表或智能眼镜)。同样，用户152不是网络环境100的一部分，而是与设备150相关联。作为示例，设备150和设备130各自可以运行本文描述的警报管理器128的实例，并且可以表示台式计算机、车辆计算机、平板电脑、导航设备、便携式媒体设备、智能电话、无线移动设备、销售点设备、售货亭计算设备或属于用户132的可穿戴设备(例如，智能手表或智能眼镜)。图1中所示的机器、数据库或设备中的任何一个可以实现在通用计算机中，所述通用计算机被软件(例如，一个或多个软件模块)修改(例如，配置或编程)为专用计算机以执行本文描述的该计算机、数据库或设备的功能中的一个或多个功能。例如，本文描述的包含警报管理器128的计算机系统将在下面参照图8进行讨论。如本文所使用的，“数据库”是数据存储资源并且可以存储被构建为文本文件、表格、电子表格、关系数据库(例如，对象关系数据库)、三重存储、分层数据存储或其任何适当的组合。此外，图1中所示的机器、数据库或设备中的任何两个或更多个可以被组合到单个机器中，并本文档来自技高网...

【技术保护点】
1.一种计算机系统，包括：处理器；存储器设备，保存指令集，所述指令集能够在所述处理器上执行以使得所述计算机系统执行操作，所述操作包括：检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收；预测所述消息的接收者何时将与所述可选功能交互；基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征；以及在预测的所述接收者与所述可选功能的交互之前，在所述计算机系统的显示器上呈现所述消息警报特征。

【技术特征摘要】
【国外来华专利技术】2015.12.21 US 14/976,5491.一种计算机系统，包括：处理器；存储器设备，保存指令集，所述指令集能够在所述处理器上执行以使得所述计算机系统执行操作，所述操作包括：检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收；预测所述消息的接收者何时将与所述可选功能交互；基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征；以及在预测的所述接收者与所述可选功能的交互之前，在所述计算机系统的显示器上呈现所述消息警报特征。2.根据权利要求1所述的计算机系统，其中检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收包括：响应于接收到所述消息，将描述所述外部资源的文本与所述消息数据进行比较；以及基于所述比较来确定描述所述外部资源的文本与所述消息数据之间的差异程度是否满足可疑性阈值。3.根据权利要求1所述的计算机系统，其中预测所述消息的接收者何时将与所述可选功能交互包括：访问与所述接收者相关联的历史消息交互数据；将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较；以及基于所述比较预测何时将发生所述接收者对所述可选功能的选择。4.根据权利要求3所述的计算机系统，其中将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较包括：识别所述接收者与所述消息的所述至少一个交互与所述历史消息交互数据的相应部分相匹配，其中所述历史消息交互数据的相应部分对应于在特定时间范围期间发生的至少一个历史消息动作。5.根据权利要求1所述的计算机系统，其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括：生成对所述可选功能的至少一部分的外观的修改。6.根据权利要求1所述的计算机系统，其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括：生成针对所述消息的接收者输入行为的修改。7.根据权利要求1所述的计算机系统，其中检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收包括：识别与所述可选功能相关联的第一地址；在消息头部中识别与所述消息的发送者相关联的第二地址；比较所述第一地址和所述第二地址；以及基于所述第一地址和所述第二地址之间的比较结果，确定所述外部资源和所述消息的来源之间的差异程度。8.一种计算机实现的方法，包括：检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收；预测所述消息的接收者何时将与所述可选功能交互；经由至少一个处理器，基于所述外部资源与所述消息的来源之间的差异程度生成消息警报特征；以及在预测的所述接收者与所述可选功能的交互之前呈现所述消息警报特征。9.根据权利要求8所述的计算机实现的方法，其中检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收包括：响应于接收到所述消息，将描述所述外部资源的文本与所述消息数据进行比较；以及基于所述比较来确定描述外部资源的文本与消息数据之间的差异程度是否满足可疑性阈值。10.根据权利要求8所述的计算机实现的方法，其中预测所述消息的接收者何时将与所述可选功能交互包括：访问与所述接收者相关联的历史消息交互数据；将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较；以及基于所述比较预测何时将发...

【专利技术属性】
技术研发人员：小塞尔吉奥·平宗·冈萨雷斯，罗米·阿克帕拉，
申请(专利权)人：电子湾有限公司，
类型：发明
国别省市：美国,US