【技术实现步骤摘要】
用于识别网络钓鱼电子邮件的系统和方法
[0001]本专利技术涉及信息安全领域,例如通过阻止网络钓鱼电子邮件消息来保证信息安全。
技术介绍
[0002]网络钓鱼是指意图强迫受害者共享敏感信息(诸如密码或信用卡号)的非法活动的形式。通常,行骗者试图欺骗用户去访问伪造的站点并输入其详情—登录名、密码、或者个人标识号码(PIN)或代码。
[0003]为了引诱受害者去访问伪造的站点,攻击者可能使用伪装成由同事、银行职员、或政府机关的代表发送的消息的大批或单独寻址的电子邮件消息。然而,这些消息包含恶意链接。消息中包括的文本指示或要求受害者点击链接并立即执行某些动作来避免威胁或某种严重的后果。行骗者采用的另一种方法涉及使用文件形式的附件,该附件也包含恶意链接或利用易受攻击的应用程序来进一步损害用户的计算机。
[0004]当受害者点击链接时,他/她被带到钓鱼网站,在该钓鱼网站,邀请受害者使用他的/她的账户详情来“登录系统”。一些诈骗者甚至还让受害者发送确立其身份的文档或照片的副本。如果受害者充分信任并同意,则从受害者传送的数...
【技术保护点】
【技术特征摘要】
1.一种用于识别网络钓鱼电子邮件消息的方法,所述方法包括:通过应用第一机器学习模型将电子邮件消息识别为可疑电子邮件消息;通过应用第二机器学习模型将所述可疑电子邮件消息识别为网络钓鱼消息;以及采取用于提供信息安全的行动以抵御所识别的网络钓鱼消息。2.如权利要求1所述的方法,还包括:将所述可疑电子邮件消息放置到临时隔离区中。3.如权利要求1所述的方法,其中,基于电子邮件消息的第一属性预训练所述第一机器学习模型,所述第一属性包括至少关于以下项的属性:所述电子邮件消息的消息_ID头信息的值;所述电子邮件消息的X
‑
mail电子邮件头信息的值;以及所述电子邮件消息的头信息的值的序列。4.如权利要求1所述的方法,其中,基于电子邮件消息的第二属性预训练所述第二机器学习模型,所述第二属性包括关于以下项中的至少一者的属性:多个链接的信誉,所述信誉表征电子邮件消息包含网络钓鱼链接的概率;所述电子邮件消息的类别;指示在先前创建的被阻止的发送者列表中存在发送者的域名的标志;指示在先前创建的已知发送者列表中存在发送者的域名的标志;发送者的域名与先前创建的已知发送者列表中的域名的相似度;指示在所述电子邮件消息的主体中存在超文本标记语言HTML代码的标志;以及指示插入在所述电子邮件消息的主体中的脚本的存在的标志。5.如权利要求4所述的方法,其中,使用循环神经网络计算所述多个链接的信誉。6.如权利要求1所述的方法,其中,指示所述电子邮件消息是否是网络钓鱼消息的所述电子邮件消息的类别基于所述电子邮件消息的文本的N元语法,所述N元语法通过选择强烈影响所述网络钓鱼消息的二进制分类的一个或多个重要特征来识别。7.如权利要求1所述的方法,其中,指示所述电子邮件消息是否是网络钓鱼消息的所述电子邮件消息的类别基于利用正则化的逻辑回归算法,其中所述正则化允许针对N元语法确定权重系数,给定N元语法的所述权重系数表征所述N元语法对将所述电子邮件消息分类为网络钓鱼消息的影响程度。8.如权利要求1所述的方法,其中,所述第二机器学习模型基于以下学习算法中的至少一者:基于贝叶斯分类器的算法;逻辑回归算法;改进的随机森林训练算法;支持向量机;使用最近邻的算法;以及基于决策树的算法。9.如权利要求1所述的方法,其中,采取用于提供信息安全的所述行动以抵御所识别的网络钓鱼消息包括以下项中的至少一者:阻止所述网络钓鱼消息;
向接收者通知所述电子邮件消息是网络钓鱼消息;以及将网络钓鱼电子邮件的标识符放置在存储恶意电子邮件列表的数据库中。10.一种用于识别网络钓鱼电子邮件消息的系统,包括:至少一个处理器,所述至少一个处理器被配置成:通过应用第一机器学习模型将电子邮件消息识别为可疑电子邮件消息;通过应用第二机器学习模型将所述可疑电子邮件消息识别为网络钓鱼消息;以及采取用于提供信息安全的行动以抵御所识别的网络钓鱼消息。11.如权利要求10所述的系统,所述处理器还被配置成:将所述可疑电子邮件消息放置到临时隔离区中。12.如权利要求10所述的系统,其中,基于电子邮件消息的第一属性预训练所述第一机器学习模型,所述第一属性包括至少关于以下项的属性:所述电子邮件消息的消息_ID头信息的值;所述电子邮件消息的X
‑
mail电子邮件头信息的值;以及所述电子邮件消息的头信息的值的序列。13.如权利要求10所述的系统,其中,基于电子邮件消息的第二属性预训练所述第二机器学习模型,所述第二属性包括关于以下项中的至少一者的属性:多个链接的信誉,所述信誉表征电子邮件消息包含网络钓鱼链接的概率;所述电子邮件消息的类别;指示在先前创建的被阻止的发送者列表中存在发送者的域名的标志;指示在先前创建的已知发送者列表中存在发送者的域名的标志;发送者的域名与先前创建的已知发送者列表中的域名的相似度;指示在所述电子邮件消息的主体中存在超文本标记语言HTML代码的标志;以及指示插入在所述电子邮件消息的主体中的脚本的存在的标志。14.如权利要求13所述的系统,其中,使用循环神经网络计算所述多个链接的信誉。15.如...
【专利技术属性】
技术研发人员:尤里,
申请(专利权)人:卡巴斯基实验室股份制公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。