【技术实现步骤摘要】
【国外来华专利技术】可疑邮件的分析和报告相关申请的交叉引用本申请要求于2017年10月31日提交的题为“ANALYSISANDREPORTINGOFSUSPICIOUSEMAIL”的美国专利申请号62/579,751的优先权,其公开内容通过引用整体结合于此。
本文描述的主题涉及可疑邮件消息的分析和报告。
技术介绍
在计算中,网络钓鱼是通过在电子通信中伪装成可信赖的人或业务来欺诈性地获取敏感信息(例如密码和信用卡详细信息)的尝试。目的是诱使用户连接认证凭证并将认证凭证提供给通常伪装成合法实体的非法方。有时,网络钓鱼者会通过邮件欺骗或发送看似官方的电子通信(例如邮件或即时消息)来欺骗用户。有时,网络钓鱼电子消息可能包含链接到感染了恶意软件的网站的链接。网络钓鱼一词的出现部分是由于使用越来越复杂的诱饵来“钓鱼”用户的金融信息和密码。网络钓鱼攻击已经成为当今大多数以网络为目标的攻击的常见场所。实际上,许多成功的数据泄露都是从网络钓鱼攻击开始的。但是,网络钓鱼攻击已经适应并发展了–与其他技术结合使用,以发起仅靠自动化技术很难检测到...
【技术保护点】
1.一种计算机实现的方法,包括:/n将与用户的邮件地址相关联的电子消息接收到第一文件夹中;/n显示用户可选择的图标以报告可疑的电子消息;/n接收对所述电子消息和所述用户可选择的图标的选择;/n响应于所述选择而隔离所述电子消息;/n响应于所述选择而将所述电子消息电传送到处理器,以用于执行威胁分析;/n响应于转发,将一个或多个报头附加到所述电子消息;/n响应于所执行的威胁分析而接收响应消息,所述响应消息包括所述一个或多个报头并且指示所述电子消息的威胁状态;以及/n响应于所述响应消息而处理所述电子消息,其中,处理包括以下中的至少一个:删除所述电子消息、将所述电子消息隔离,和/或将...
【技术特征摘要】
【国外来华专利技术】20171031 US 62/579,7511.一种计算机实现的方法,包括:
将与用户的邮件地址相关联的电子消息接收到第一文件夹中;
显示用户可选择的图标以报告可疑的电子消息;
接收对所述电子消息和所述用户可选择的图标的选择;
响应于所述选择而隔离所述电子消息;
响应于所述选择而将所述电子消息电传送到处理器,以用于执行威胁分析;
响应于转发,将一个或多个报头附加到所述电子消息;
响应于所执行的威胁分析而接收响应消息,所述响应消息包括所述一个或多个报头并且指示所述电子消息的威胁状态;以及
响应于所述响应消息而处理所述电子消息,其中,处理包括以下中的至少一个:删除所述电子消息、将所述电子消息隔离,和/或将所述电子消息移动到所述第一文件夹。
2.根据权利要求1所述的方法,还包括响应于所述电子消息的威胁状态,更新黑名单和/或预交付清单。
3.根据权利要求1-2中的任一项所述的方法,还包括响应于以下中的至少一个,将所述电子消息电传送到所述处理器以用于执行威胁分析:
所述电子消息的发送者尚未将先前的电子消息发送到所述用户的邮件地址,
与所述发送者发送到所述用户的邮件地址的先前电子消息相比,所述发送者的姓名的拼写的变形,
所述电子消息源自如下发送系统,所述发送系统不与所述用户的邮件地址接收的其他电子消息相关联,或者
所述电子消息具有计算出的指纹,所述计算出的指纹与指纹数据库中的具有其置信度水平小于置信度水平阈值的恶意威胁状态的指纹相匹配。
4.根据权利要求1-3中的任一项所述的方法,其中,所述威胁状态包括交通灯指示符,对于对应于已知威胁的电子消息,所述交通灯指示符为红色或停止,对于对应于可能的威胁的电子消息,所述交通灯指示符为黄色或警告,对于与已知威胁不相关联或怀疑为威胁的电子消息,所述交通灯指示符为绿色,或者继续进行,并且其中,所述威胁状态包括威胁类别。
5.根据权利要求4所述的方法,其中,所述威胁类别包括以下中的至少一个:安全消息、恶意消息、网络钓鱼消息、病毒、垃圾消息和/或色情消息。
6.根据权利要求1-5中的任一项所述的方法,还包括:
将所述电子消息分解为至少一个报头或报头列表、至少一个主体,以及在所述电子消息包括附件的情况下的至少一个附件;
生成针对至少一个报头或报头列表中的每个的报头指纹;
解析至少一个主体中的每个;
使至少一个主体中的每个标准化;
生成针对解析的并且标准化的至少一个主体中的每个的主体指纹;
如果所述电子消息包括附件,则生成针对至少一个附件中的每个的附件指纹;以及
将至少一个报头指纹中的每个、至少一个主体指纹中的每个以及在所述电子消息包括附件的情况下的至少一个附件指纹中的每个聚合到消息指纹中。
7.根据权利要求6所述的方法,还包括移动以隔离具有指纹数据库中的与所述电子消息的消息指纹相匹配的消息指纹的其他电子消息。
8.根据权利要求6-7中的任一项所述的方法,其中,至少一个主体中的每个包括以下中的至少一个:统一资源定位符(URL)、文本格式的主体以及二进制格式的主体,并且其中,每个附件包括以下中的至少一个:文本格式的附件和二进制格式的附件。
9.根据权利要求6-8中的任一项所述的方法,其中,生成针对至少一个报头或报头列表中的每个的报头指纹包括以下中的至少一个:
对至少一个报头或报头列表中的每个进行词法分析,其中,词法分析包括以下中的至少一个:识别报头或报头列表的每种类型的数目,分析每个报头或报头列表的词法格式,分析每个报头或报头列表内的空格的频率和模式,分析每个报头或报头列表内的特殊字符的频率和模式,并且比较报头列表中的源路由和消息路由以确保一致性;
对于每个报头,将报头哈希算法应用于所述至少一个报头;和/或
对于每个报头列表,应用报头列表哈希算法。
10.根据权利要求6-9中的任一项所述的方法,其中,解析所述至少一个主体包括使用句法和/或语义分析来识别和组织至少一个主体中的每个的分量。
11.根据权利要求6-10中的任一项所述的方法,其中,使所述至少一个主体标准化包括以下中的至少一个:标准化空格、将字母转置以纠正拼写、移除多余的标点、移除连字符、移除超文本标记语言和/或替换错误代替的字符,例如用O替换零,或用具有发音符号的重音字符替换无重音字符。
12.根据权利要求8所述的方法,其中,生成针对经解析和标准化的至少一个主体中的每个的主体指纹包括:
对于每个URL,应用URL哈希算法以生成针对每个URL的URL主体指纹;
对于每个文本格式的主体,应用文本主体哈希算法以生成针对每个文本主体的文本主体指纹;以及
对于每个二进制格式的主体,应用二进制主体哈希算法以生成针对每个二进制格式的主体的二进制主体指纹。
13.根据权利要求12所述的方法,其中,所述URL哈希算法包括传统哈希,其中,所述文本主体哈希算法包括相似性哈希,并且其中,所述二进制主体哈希算法包括模糊哈希。
14.根据权利要求8所述的方法,其中,生成针对每个附件的附件指纹包括:
对于每个文本格式的附件,应用文本附件哈希算法以生成针对每个文本附件的文本附件指纹;以及
对于每个二进制格式的附件,应用二进制附件哈希算法以生成针对每个二进制格式的附件的二进制附件指纹。
15.根据权利要求14所述的方法,其中,所述文本附件哈希算法包括相似性哈希,并且其中,所述二进制附件哈希算法包括模糊哈希。
16.根据权利要求6-15中的任一项所述的方法,其中,执行所述威胁分析包括:
生成以下中的至少一个:所述电子消息的原始视图、所述电子消息的解析视图以及所述电子消息的浏览器视图;
分析所述电子消息的至少部分以收集威胁状态指示符;
响应于所述威胁状态指示符,自动生成所述电子消息的威胁状态;
向所述电子消息的威胁状态分配置信...
【专利技术属性】
技术研发人员:L·瑞安,R·克洛,S·C·凯利,J·兰德尔,G·丁,
申请(专利权)人:边缘波有限公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。