【技术实现步骤摘要】
【国外来华专利技术】用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台
[0001]相关申请交叉引用
[0002]本申请要求标题为“用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台”并于2019年11月4日提交的美国申请号16/672,854的优先权,该申请要求标题为“基于电子邮件的威胁检测系统和方法”并于2018年12月19日提交的美国临时申请号62/782,158,标题为“事件(incident)检测和管理”并于2019年2月20日提交美国临时申请号62/807,888,以及标题为“基于电子邮件的威胁检测系统和方法”并于2019年3月4日提交美国临时申请号62/813,603的优先权。这些申请的每一个均通过引用整体并入本文。
[0003]多种实施例涉及安全领域中用于检测基于电子邮件的威胁的计算机程序和相关的计算机实现技术。
技术介绍
[0004]企业组织(或简称“企业”)的员工经常会在收件箱中收到恶意电子邮件。其中,一些恶意电子邮件相当复杂。例如,对员工或企业构成攻击的恶意电子邮件可能被设计为绕过现有的保护措施,到达员工的收件箱,然后被打开。这类电子邮件通常在企业安全团队不知情的情况下到达。
[0005]许多员工在收到恶意电子邮件时会发生动作,这使数据(例如,她自己的个人数据或企业数据)面临风险。例如,员工可能会单击恶意电子邮件中嵌入的链接,提供她的凭证,发送机密信息,或向负责生成恶意电子邮件的未经授权实体(也被称为“攻击者”或“敌对者”)转账。此类动作的执行可能会导致恶意软件的安装,凭证的
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种计算机实现方法,包括:经由应用程序编程接口建立与存储介质的连接,该存储介质包括企业员工接收到的一系列过去通信;经由所述应用程序编程接口,将对应于第一时间间隔的所述一系列过去通信的第一部分下载到本地处理环境中;通过向机器学习(ML)模型提供所述一系列过去通信的所述第一部分作为训练数据,为所述员工构建ML模型;经由所述应用程序编程接口接收寄给所述员工的通信;以及通过将所述ML模型应用于所述通信来确定所述通信是否代表安全风险。2.根据权利要求1所述的计算机实现方法,还包括:接收来自与所述企业相关联的管理员的表示许可访问所述一系列过去通信的输入;其中,响应于接收到所述输入而执行所述确定。3.根据权利要求1所述的计算机实现方法,其中,所述一系列过去通信包括投递给所述员工的多封电子邮件。4.根据权利要求1所述的计算机实现方法,还包括:检查所述一系列过去通信的所述第一部分中的每个过去通信以确定属性;以及将从所述一系列过去通信的所述第一部分得到的所述属性作为训练数据提供给所述ML模型。5.根据权利要求1所述的计算机实现方法,还包括:基于所述ML模型产生的输出,判定所述通信代表安全风险;以及从多个维度表征所述安全风险。6.根据权利要求5所述的计算机实现方法,其中,所述多个维度包括:被攻击方,攻击向量,被假冒方,假冒策略,以及攻击目标。7.根据权利要求1所述的计算机实现方法,其中,所述存储介质是由所述企业以外的实体管理的计算机服务器。8.根据权利要求1所述的计算机实现方法,其中,所述一系列过去通信的所述第一部分包括所述员工在所述第一时间间隔期间接收到的所有电子邮件。9.根据权利要求1所述的计算机实现方法,还包括:经由所述应用程序编程接口,将对应于第二时间间隔的所述一系列过去电子邮件的第二部分下载到所述本地处理环境中,该第二时间间隔在所述第一时间间隔之前;以及通过将所述ML模型应用于所述一系列过去电子邮件的所述第二部分,确定在所述第二时间间隔期间接收到的任何电子邮件是否代表安全风险。10.根据权利要求1所述的计算机实现方法,还包括:检查所述通信以确定多个属性;生成所述通信的统计描述,
其中,所述统计描述包括在所述多个属性中所包括的每一对属性的风险得分,每一风险得分基于涉及对应的该对属性的历史通信的风险性。11.一种非暂时性计算机可读介质,其上存储有指令,当该指令被处理器执行时,使所述处理器执行包括以下的操作:接收寄给企业员工的电子邮件;将第一模型应用于所述电子邮件以产生第一输出,该第一输出表示所述电子邮件是否代表非恶意电子邮件,其中,所述第一模型使用寄给所述员工的已被证实为非恶意电子邮件的过去电子邮件进行训练;基于所述第一输出判定所述电子邮件可能是恶意电子邮件;将第二模型应用于所述电子邮件以产生第二输出,该第二输出表示所述电子邮件是否代表给定类型的恶意电子邮件;以及基于所述第二输出执行关于所述电子邮件的动作。12.根据权利要求11所述的非暂时性计算机可读介质,其中,所述第二输出表示所述电子邮件不是所述给定类型的恶意电子邮件,以及其中,执行所述动作包括:将所述电子邮件转发到所述员工的收件箱。13.根据权利要求11所述的非暂时性计算机可读介质,其中,所述第二模型是响应于判定所述电子邮件可能是恶意电子邮件而应用于所述电子邮件的多个模型之一。14.根据权利要求13所述的非暂时性计算机可读介质,其中,所述多个模型中的每个模型与不同类型的恶意电子邮件相关联。15.根据权利要求14所述的非暂时性计算机可读介质,其中,所述多个模型在应用于所述电子邮件时产生多个输出,并且其中,所述操作还包括:应用第三模型,该第三模型被设计为将所述多个模型产生的所述多个输出聚集到可理解的可视化部件中。16.根据权利要求11所述的非暂时性计算机可读介质,其中,所述第二输出表示所述电子邮件包括指向超文本标记语言(HTML)资源的链接,以及其中,执行所述动作包含:跟随所述链接,以便使用虚拟网络浏览器访问所述HTML资源,通过所述虚拟网络浏览器提取所述HTML资源的文档对象模型(DOM),以及分析所述DOM以判定所述链接是否代表安全威胁。17.根据权利要求11所述的非暂时性计算机可读介质,其中,所述第二输出表示所述电子邮件包括指向由可访问网络的承载服务承载的资源的主链接,以及其中,执行所述动作包括:跟随所述主链接,以便使用虚拟网络浏览器访问所述资源,通过所述虚拟网络浏览器检查所述资源的内容,发现是否存在指向次级资源的任何次级链接,
对于每个次级链接,跟随所述次级链接,以便使用所述虚拟网络浏览器访问相应的次级资源,以及分析所述相应的次级资源的内容以判定所述次级链接是否代表安全威胁,以及基于是否任何次级链接被判定为代表安全威胁来判定主链接是否代表安全威胁。18.根据权利要求11所述的非暂时性计算机可读介质,其中,所述第二输出表示所述电子邮件包括指向超文本标记语言(HTML)资源的链接,以及其中,执行所述动作包括:跟随所述链接,以便使用虚拟网络浏览器访问所述HTML资源,通过所述虚拟网络浏览器捕获所述HTML资源的屏幕截图,应用计算机视觉算法,该计算机视觉算法被设计来识别在所述屏幕截图和已证实登录网站的库之间的相似性,以及基于所述计算机视觉算法产生的输出来判定所述链接是否代表安全威胁。19.根据权利要求12所述的非暂时性计算机可读介质,其中,所述第二输出表示所述电子邮件包括附件,以及其中,执行所述动作包括:在安全处理环境中打开所述附件,以及基于对所述附件的内容的分析来判定所述附件是否代表安全威胁。20.一种计算机实现方法,包括:接收输入,该输入表示允许访问在给定时间间隔内投递给企业员工的过去电子邮件;经由应用程序编程接口建立与包括所述过去电子邮件的存储介质的连接;经由所述应用程序编程接口将过去电子邮件下载到本地处理环境中;以及通过将过去电子邮件作为训练数据提供给机器学习(ML)模型来构建用于识别异常通信活动的ML模型。21.根据权利要求20所述的计算机实现方法,还包括:检查下载到所述本地处理环境中的每个过去电子邮件,以识别发送人标识和发送人电子邮件地址;以及填充数据库中的条目,使得发送人标识与所述过去电子邮件中所识别的相应发送人电子邮件地址相关联。22.根据权利要求21所述的计算机实现方法,还包括:接收寄给所述员工的电子邮件;检查所述电子邮件以确定发送人标识和发送人电子邮件地址;以及基于所述电子邮件中所识别的所述发送人标识和所述发送人电子邮件地址是否与数据库中的条目匹配,来判定所述电子邮件是否代表安全威胁。23.根据权利要求20所述的计算机实现方法,还包括:接收寄给所述员工的电子邮件;以及通过将所述ML模型应用于所述电子邮件来确定所述电子邮件是否表示异常通信活动。24.根据权利要求23所述的计算机实现方法,其中,所述ML模型在应用于所述电子邮件时产生的输出表示所述电子邮件消息表示由于存在先前未知的发送人标识,先前未知的发
送人电子邮件地址,或者先前未知的发送人标识和发送人电子邮件地址的组合而导致的异常通信活动。25.根据权利要求23所述的计算机实现方法,还包括:响应于判定所述电子邮件表示异常通信活动,将与所述电子邮件相关的信息上传到联合数据库以保护多个企业免受安全威胁。26.一种非暂时性计算机可读介质,其上存储有指令,当该指令由处理器执行时,使所述处理器执行包括以下的操作:收集与对应于过去时间间隔的客户的传入的电子邮件和/或传出的电子邮件相关的数据;基于所述数据针对所述客户生成通信描述;接收寄给所述客户的传入的电子邮件;得到所述传入的电子邮件的一个或多个属性;以及通过将所述一个或多个属性与所述通信描述进行比较来判定所述传入的电子邮件是否偏离过去电子邮件活动。27.根据权利要求26所述的非暂时性计算机可读介质,其中,所述客户是针对其生成所述通信描述的企业。28.根据权利要求26所述的非暂时性计算机可读介质,其中,所述客户是针对其生成通信描述的企业员工。29.根据权利要求26所述的非暂时性计算机可读介质,其中,所述生成包括:从对应于所述过去时间间隔的每封电子邮件中得到至少一个属性;以及基于所得到的属性构建所述通信描述。30.根据权利要求26所述的非暂时性计算机可读介质,所述操作还包括:将所述传入的电子邮件中的偏差作为输入提供给机器学习(ML)模型;以及基于所述ML模型产生的输出来判定所述传入的电子邮件是否代表安全风险。31.根据权利要求30所述的非暂时性计算机可读介质,所述操作还包括:响应于判定所述传入的电子邮件代表安全风险而执行补救动作。32.根据权利要求26所述的非暂时性计算机可读介质,其中,所述一个或多个属性包括主属性和次级属性。33.根据权利要求32所述的非暂时性计算机可读介质,其中,所述得到包括:从所述传入的电子邮件中提取所述主属性;以及基于所述主属性和与所述客户相关联的附加信息判定所述次级属性。34.一种...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。