用于实时检测，表征，和补救基于电子邮件的威胁的威胁检测平台制造技术

传统的电子邮件过滤服务不适于识别复杂恶意电子邮件，因此可能会允许复杂恶意电子邮件误入收件箱。本文介绍的是威胁检测平台，旨在采用集成的途径检测安全威胁。例如，在接收到来自个人的表示允许访问企业员工接收到的过去电子邮件的输入后，威胁检测平台可以下载过去电子邮件，以构建理解与内部联系人(例如，其他员工)和/或外部联系人(例如，供应商)的通信常态的机器学习(ML)模型。通过将所述ML模型应用到传入的电子邮件中，威胁检测平台可以有针对性地实时识别安全威胁。针对性地实时识别安全威胁。针对性地实时识别安全威胁。

【技术实现步骤摘要】
【国外来华专利技术】用于实时检测，表征，和补救基于电子邮件的威胁的威胁检测平台
[0001]相关申请交叉引用
[0002]本申请要求标题为“用于实时检测，表征，和补救基于电子邮件的威胁的威胁检测平台”并于2019年11月4日提交的美国申请号16/672,854的优先权，该申请要求标题为“基于电子邮件的威胁检测系统和方法”并于2018年12月19日提交的美国临时申请号62/782,158，标题为“事件(incident)检测和管理”并于2019年2月20日提交美国临时申请号62/807,888，以及标题为“基于电子邮件的威胁检测系统和方法”并于2019年3月4日提交美国临时申请号62/813,603的优先权。这些申请的每一个均通过引用整体并入本文。


[0003]多种实施例涉及安全领域中用于检测基于电子邮件的威胁的计算机程序和相关的计算机实现技术。

技术介绍

[0004]企业组织(或简称“企业”)的员工经常会在收件箱中收到恶意电子邮件。其中，一些恶意电子邮件相当复杂。例如，对员工或企业构成攻击的恶意电子邮件可能被设计为绕过现有的保护措施，到达员工的收件箱，然后被打开。这类电子邮件通常在企业安全团队不知情的情况下到达。
[0005]许多员工在收到恶意电子邮件时会发生动作，这使数据(例如，她自己的个人数据或企业数据)面临风险。例如，员工可能会单击恶意电子邮件中嵌入的链接，提供她的凭证，发送机密信息，或向负责生成恶意电子邮件的未经授权实体(也被称为“攻击者”或“敌对者”)转账。此类动作的执行可能会导致恶意软件的安装，凭证的窃取，员工电子邮件帐户的失陷(compromise)，数据的泄露，或钱财的窃取。
[0006]一旦发现破坏(breach)，企业将面临严重后果。这些后果包括：
[0007]·
承担该破坏的直接成本——特别是如果钱财是直接电汇给敌对者的；
[0008]·
承担该破坏的间接成本，例如受感染的硬件和对攻击进行补救的劳力；和/或
[0009]·
承担由监管机构估计的在数据被窃取事件中的罚款。
[0010]传统的电子邮件安全软件由于多种原因难以处理涉及复杂恶意电子邮件的攻击。
[0011]第一，负责精心制作个性化消息的活跃敌对者(active adversary)往往是复杂恶意电子邮件的另一方。这与不太复杂的基于电子邮件的攻击形成了对比，在此种攻击中，单个人可能会发送数千或数百万封普通的，非个性化的电子邮件，试图以绝对的数量获得成功。这里，每个复杂的攻击都是新的，独特的，和个性化的(例如，对于员工或企业)。因此，员工不会多次观察到相同的复杂攻击。
[0012]第二，复杂恶意电子邮件一般不会包括任何攻击签名。如本文所使用的，术语“攻击签名”是指先前在一封或多封被判定为恶意的电子邮件中观察到的特点。传统的解决方案通常依赖于攻击签名以及模式匹配，但是复杂恶意电子邮件可以通过个性化来避开这些
传统的解决方案。而且，一些复杂恶意电子邮件不包含任何链接或附件。而是，复杂恶意电子邮件可能只包含文本，例如“嘿，你能帮我处理任务吗？”，在收到回复后，例如，敌对者可能会指示员工电汇钱财或共享数据。进一步地，对于员工的电子邮件帐户，所有电子邮件都将源自实际的电子邮件帐户，因此极难检测到恶意活动。
[0013]第三，企业处理的邮件量大，邮件的接收对时间敏感。对于大多数电子邮件，关于电子邮件是否构成欺诈的决定应当迅速作出，因为电子邮件安全软件不应该给电子邮件流加入延迟。然而，在大多数情况下，传统的电子邮件安全软件会无限期地延迟被判定为代表安全威胁的电子邮件的投递(delivery)。
[0014]第四，在给定的时间范围内，企业将处理相对少量的复杂恶意电子邮件。例如，企业在一周内可能只会观察到几个复杂恶意电子邮件例子。因此，由于复杂内容导致的破坏很少，因此很少有数据可以被设计用于识别复杂恶意电子邮件的机器学习(ML)模型所摄取(ingest)。
[0015]因此，在安全领域需要创建计算机程序和相关的计算机实现技术，以检测基于电子邮件的威胁，然后减轻这些威胁。
[0016]概述
[0017]对企业或其员工的针对性攻击中，很大一部分是从电子邮件开始的，而且这些安全威胁总是在不断演变。如上面所讨论的，检测并解决(resolve)复杂的基于电子邮件的威胁的重大需求正变得越来越明显。传统的电子邮件安全软件不能充分满足在复杂恶意电子邮件进入收件箱之前准确，快速，一致地检测这些电子邮件的需要。
[0018]虽然解决方案应处理多种不同的攻击类型，但有两种特定的攻击类型在检测和解决方面存在挑战。第一种攻击类型是电子邮件帐户失陷(也被称为“帐户接管(takeover)”)。这种形式的攻击是这样一种攻击：敌对者使用窃取的凭证访问员工的帐户，然后使用这些凭证从企业窃取钱财或数据，或从该帐户发送电子邮件，试图从企业或其他员工处窃取钱财或数据。第二种攻击类型是商业电子邮件失陷。这种形式的攻击是一种：敌对者假冒(impersonate)员工或合作方(如供应商)的攻击。例如，敌对者可能会致使传入的(incoming)电子邮件看起来像是由员工书写的(例如，通过更改显示名称)。这种形式的攻击通常是为了让企业支付合法或虚构的发票，或者窃取数据。
[0019]本文介绍的威胁检测平台被设计为收集和检查电子邮件，以识别企业面临的安全威胁。威胁检测平台(也被称为“电子邮件安全平台”)可被设计来处理上述攻击类型以及其他攻击类型，例如网络钓鱼(例如，基于活动(campaign
‑
based)的攻击)，鱼叉式网络钓鱼(例如，个性化攻击)，勒索(例如，加密货币，礼品卡，和电汇勒索)，财务/数据窃取(例如，供应商，合作方，和客户假冒)，和许多其他类型的攻击，包括那些以前从未见过的攻击。
[0020]在高层级上，本文所述的技术可以用于构建代表企业(或企业的个人员工)正常电子邮件行为的模型，然后通过将该模型应用于传入的电子邮件来查找偏差(deviation)以识别异常。通过确定是什么构成正常的行为特点和/或正常的电子邮件内容，可以保护企业免受新的，复杂的攻击，例如员工假冒，供应商假冒，欺诈性发票，电子邮件帐户失陷，和帐户接管。此外，规范化，结构化，和存储与电子邮件相关的数据可允许创建其他高价值的数据集。例如，威胁检测平台可以从电子邮件数据中得到关于企业资源规划(ERP)的有价值信息。如下面进一步讨论的，本文所述的技术可以利用机器学习，启发式手段，规则，人工介入
procedure)以确定传入的电子邮件的发送人标识的示例。
[0035]图11描绘了实体风险图如何能够包含在传入的电子邮件中发现的实体的历史组合以及与这些历史组合相关联的风险分数。
[0036]图12描绘了实体风险图的示例。
[0037]图13提供了威胁检测平台在处理数据，提取特征，判定事件是否代表攻击等时可由其执行的阶段的示例矩阵。
[0038]图14A
...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种计算机实现方法，包括：经由应用程序编程接口建立与存储介质的连接，该存储介质包括企业员工接收到的一系列过去通信；经由所述应用程序编程接口，将对应于第一时间间隔的所述一系列过去通信的第一部分下载到本地处理环境中；通过向机器学习(ML)模型提供所述一系列过去通信的所述第一部分作为训练数据，为所述员工构建ML模型；经由所述应用程序编程接口接收寄给所述员工的通信；以及通过将所述ML模型应用于所述通信来确定所述通信是否代表安全风险。2.根据权利要求1所述的计算机实现方法，还包括：接收来自与所述企业相关联的管理员的表示许可访问所述一系列过去通信的输入；其中，响应于接收到所述输入而执行所述确定。3.根据权利要求1所述的计算机实现方法，其中，所述一系列过去通信包括投递给所述员工的多封电子邮件。4.根据权利要求1所述的计算机实现方法，还包括：检查所述一系列过去通信的所述第一部分中的每个过去通信以确定属性；以及将从所述一系列过去通信的所述第一部分得到的所述属性作为训练数据提供给所述ML模型。5.根据权利要求1所述的计算机实现方法，还包括：基于所述ML模型产生的输出，判定所述通信代表安全风险；以及从多个维度表征所述安全风险。6.根据权利要求5所述的计算机实现方法，其中，所述多个维度包括：被攻击方，攻击向量，被假冒方，假冒策略，以及攻击目标。7.根据权利要求1所述的计算机实现方法，其中，所述存储介质是由所述企业以外的实体管理的计算机服务器。8.根据权利要求1所述的计算机实现方法，其中，所述一系列过去通信的所述第一部分包括所述员工在所述第一时间间隔期间接收到的所有电子邮件。9.根据权利要求1所述的计算机实现方法，还包括：经由所述应用程序编程接口，将对应于第二时间间隔的所述一系列过去电子邮件的第二部分下载到所述本地处理环境中，该第二时间间隔在所述第一时间间隔之前；以及通过将所述ML模型应用于所述一系列过去电子邮件的所述第二部分，确定在所述第二时间间隔期间接收到的任何电子邮件是否代表安全风险。10.根据权利要求1所述的计算机实现方法，还包括：检查所述通信以确定多个属性；生成所述通信的统计描述，
其中，所述统计描述包括在所述多个属性中所包括的每一对属性的风险得分，每一风险得分基于涉及对应的该对属性的历史通信的风险性。11.一种非暂时性计算机可读介质，其上存储有指令，当该指令被处理器执行时，使所述处理器执行包括以下的操作：接收寄给企业员工的电子邮件；将第一模型应用于所述电子邮件以产生第一输出，该第一输出表示所述电子邮件是否代表非恶意电子邮件，其中，所述第一模型使用寄给所述员工的已被证实为非恶意电子邮件的过去电子邮件进行训练；基于所述第一输出判定所述电子邮件可能是恶意电子邮件；将第二模型应用于所述电子邮件以产生第二输出，该第二输出表示所述电子邮件是否代表给定类型的恶意电子邮件；以及基于所述第二输出执行关于所述电子邮件的动作。12.根据权利要求11所述的非暂时性计算机可读介质，其中，所述第二输出表示所述电子邮件不是所述给定类型的恶意电子邮件，以及其中，执行所述动作包括：将所述电子邮件转发到所述员工的收件箱。13.根据权利要求11所述的非暂时性计算机可读介质，其中，所述第二模型是响应于判定所述电子邮件可能是恶意电子邮件而应用于所述电子邮件的多个模型之一。14.根据权利要求13所述的非暂时性计算机可读介质，其中，所述多个模型中的每个模型与不同类型的恶意电子邮件相关联。15.根据权利要求14所述的非暂时性计算机可读介质，其中，所述多个模型在应用于所述电子邮件时产生多个输出，并且其中，所述操作还包括：应用第三模型，该第三模型被设计为将所述多个模型产生的所述多个输出聚集到可理解的可视化部件中。16.根据权利要求11所述的非暂时性计算机可读介质，其中，所述第二输出表示所述电子邮件包括指向超文本标记语言(HTML)资源的链接，以及其中，执行所述动作包含：跟随所述链接，以便使用虚拟网络浏览器访问所述HTML资源，通过所述虚拟网络浏览器提取所述HTML资源的文档对象模型(DOM)，以及分析所述DOM以判定所述链接是否代表安全威胁。17.根据权利要求11所述的非暂时性计算机可读介质，其中，所述第二输出表示所述电子邮件包括指向由可访问网络的承载服务承载的资源的主链接，以及其中，执行所述动作包括：跟随所述主链接，以便使用虚拟网络浏览器访问所述资源，通过所述虚拟网络浏览器检查所述资源的内容，发现是否存在指向次级资源的任何次级链接，
对于每个次级链接，跟随所述次级链接，以便使用所述虚拟网络浏览器访问相应的次级资源，以及分析所述相应的次级资源的内容以判定所述次级链接是否代表安全威胁，以及基于是否任何次级链接被判定为代表安全威胁来判定主链接是否代表安全威胁。18.根据权利要求11所述的非暂时性计算机可读介质，其中，所述第二输出表示所述电子邮件包括指向超文本标记语言(HTML)资源的链接，以及其中，执行所述动作包括：跟随所述链接，以便使用虚拟网络浏览器访问所述HTML资源，通过所述虚拟网络浏览器捕获所述HTML资源的屏幕截图，应用计算机视觉算法，该计算机视觉算法被设计来识别在所述屏幕截图和已证实登录网站的库之间的相似性，以及基于所述计算机视觉算法产生的输出来判定所述链接是否代表安全威胁。19.根据权利要求12所述的非暂时性计算机可读介质，其中，所述第二输出表示所述电子邮件包括附件，以及其中，执行所述动作包括：在安全处理环境中打开所述附件，以及基于对所述附件的内容的分析来判定所述附件是否代表安全威胁。20.一种计算机实现方法，包括：接收输入，该输入表示允许访问在给定时间间隔内投递给企业员工的过去电子邮件；经由应用程序编程接口建立与包括所述过去电子邮件的存储介质的连接；经由所述应用程序编程接口将过去电子邮件下载到本地处理环境中；以及通过将过去电子邮件作为训练数据提供给机器学习(ML)模型来构建用于识别异常通信活动的ML模型。21.根据权利要求20所述的计算机实现方法，还包括：检查下载到所述本地处理环境中的每个过去电子邮件，以识别发送人标识和发送人电子邮件地址；以及填充数据库中的条目，使得发送人标识与所述过去电子邮件中所识别的相应发送人电子邮件地址相关联。22.根据权利要求21所述的计算机实现方法，还包括：接收寄给所述员工的电子邮件；检查所述电子邮件以确定发送人标识和发送人电子邮件地址；以及基于所述电子邮件中所识别的所述发送人标识和所述发送人电子邮件地址是否与数据库中的条目匹配，来判定所述电子邮件是否代表安全威胁。23.根据权利要求20所述的计算机实现方法，还包括：接收寄给所述员工的电子邮件；以及通过将所述ML模型应用于所述电子邮件来确定所述电子邮件是否表示异常通信活动。24.根据权利要求23所述的计算机实现方法，其中，所述ML模型在应用于所述电子邮件时产生的输出表示所述电子邮件消息表示由于存在先前未知的发送人标识，先前未知的发
送人电子邮件地址，或者先前未知的发送人标识和发送人电子邮件地址的组合而导致的异常通信活动。25.根据权利要求23所述的计算机实现方法，还包括：响应于判定所述电子邮件表示异常通信活动，将与所述电子邮件相关的信息上传到联合数据库以保护多个企业免受安全威胁。26.一种非暂时性计算机可读介质，其上存储有指令，当该指令由处理器执行时，使所述处理器执行包括以下的操作：收集与对应于过去时间间隔的客户的传入的电子邮件和/或传出的电子邮件相关的数据；基于所述数据针对所述客户生成通信描述；接收寄给所述客户的传入的电子邮件；得到所述传入的电子邮件的一个或多个属性；以及通过将所述一个或多个属性与所述通信描述进行比较来判定所述传入的电子邮件是否偏离过去电子邮件活动。27.根据权利要求26所述的非暂时性计算机可读介质，其中，所述客户是针对其生成所述通信描述的企业。28.根据权利要求26所述的非暂时性计算机可读介质，其中，所述客户是针对其生成通信描述的企业员工。29.根据权利要求26所述的非暂时性计算机可读介质，其中，所述生成包括：从对应于所述过去时间间隔的每封电子邮件中得到至少一个属性；以及基于所得到的属性构建所述通信描述。30.根据权利要求26所述的非暂时性计算机可读介质，所述操作还包括：将所述传入的电子邮件中的偏差作为输入提供给机器学习(ML)模型；以及基于所述ML模型产生的输出来判定所述传入的电子邮件是否代表安全风险。31.根据权利要求30所述的非暂时性计算机可读介质，所述操作还包括：响应于判定所述传入的电子邮件代表安全风险而执行补救动作。32.根据权利要求26所述的非暂时性计算机可读介质，其中，所述一个或多个属性包括主属性和次级属性。33.根据权利要求32所述的非暂时性计算机可读介质，其中，所述得到包括：从所述传入的电子邮件中提取所述主属性；以及基于所述主属性和与所述客户相关联的附加信息判定所述次级属性。34.一种...

【专利技术属性】
技术研发人员：桑杰，
申请(专利权)人：非典型安全公司，
类型：发明
国别省市：