标识网络钓鱼尝试。可以被用于确定网络可访问页面(例如,互联网上的网页)的分类的系统、方法和软件。在一些方面中,方法包括:在网关处,从最终用户设备接收用于访问网络可访问页面的请求;处理网络可访问页面以生成表征网络可访问页面的域的网络属性的第一嵌入以及表征网络可访问页面的内容属性的第二嵌入;从第一嵌入生成第一得分,第一得分表征网络可访问页面与一个或多个已知网络可访问页面之间的预测相似度;从第二嵌入生成第二得分,第二得分表征网络可访问页面请求敏感信息的预测可能性;以及至少使用第一得分和第二得分来确定网络可访问页面的分类。定网络可访问页面的分类。定网络可访问页面的分类。
【技术实现步骤摘要】
标识网络钓鱼尝试
[0001]本公开整体涉及计算机安全领域,并且更具体地涉及标识网络钓鱼网页并阻碍相关联的活动。
技术介绍
[0002]“网络钓鱼”是指试图通过仿冒合法组织的网页来欺诈获取敏感信息(诸如密码和信用卡详细信息)。网络钓鱼通常涉及在攻击者的控制下,在服务器上以“外观和感觉”再现合法的网页,诸如银行网页。受害者认为网页是可信的,在网页上输入个人信息,并且该信息由攻击者获得以用于欺诈用途。
附图说明
[0003]图1是示出根据一个实现的生成网络可访问页面的分类确定的示例系统的示意图。
[0004]图2是根据一个实现的示例环境的图示,在示例环境中可以实现用于生成网络可访问页面的分类确定的系统。
[0005]图3是根据一个实现的另一示例环境的图示,在示例环境中可以实现用于生成网络可访问页面的分类确定的系统。
[0006]图4是示出根据一个实现的用于生成网络可访问页面的分类确定的示例方法的流程图。
[0007]不同图中相同的附图标记和名称指示相同的元素。
具体实施方式
[0008]本文中所描述的技术提供了确定网络可访问页面(例如,网页或网站)、网络可访问页面的域或两者的分类的方法。在一些示例中,该技术可以被用于标识网络钓鱼网页,包括零日网络钓鱼网页。代替仅依赖于监测和尝试解密安全网络业务(诸如使用超文本传输协议安全(HTTPS)或传输层安全(TLS)协议加密的业务)以发现网络钓鱼供给或网络钓鱼域,本文中所描述的技术可以基于各种可用信息的任意组合来进行该确定,可用信息包括网络可访问页面的各种网络、域或页面内容属性中的一个或多个。这样,即使在网络可访问页面的完整统一资源定位符(“URL”)不可用的情况下,也可以进行快速和准确的分类。
[0009]特定地,该方法涉及确定网络可访问页面与一个或多个已知网络可访问页面之间的相似度度量,以及生成第一得分,第一得分表征网络可访问页面与一个或多个已知网络可访问页面之间的预测相似度。例如,一个或多个已知网络可访问页面可以是从最受欢迎的域列表(例如,商业可用/开源公开可用的域名列表,诸如由Majestic Million提供的可在https://majestic.com/reports/majestic
‑
million获得的列表,或者可在https://www.domcop.com/获得的DomCop,或其他可用的顶级/热门域列表)、针对给定实体/客户、给定垂直领域(例如,政府实体、银行/金融实体、医疗/医院实体、零售实体、技术实体或其他
垂直市场/渠道)、给定地理区域内的实体和/或其任何组合的可配置域名列表中获得的网页。
[0010]该方法还涉及使用自然语言处理(NLP)技术来分析和检测网络可访问页面请求的任何类型的信息,以及生成第二得分,第二得分表征网络可访问页面请求敏感信息的预测可能性。在一些示例中,这可以通过主动探测网络可访问页面并浏览其中包括的任何链接来在后端呈现内容来实现。
[0011]可选地,该方法还涉及确定网络可访问页面与一个或多个已知网络可访问页面之间的视觉相似度度量,以及生成第三得分,第三得分表征网络可访问页面与请求敏感信息的一个或多个已知网络可访问页面之间的预测视觉相似度。例如,请求敏感信息的一个或多个已知网络可访问页面可以是从上述一个或多个已知网络可访问页面的列表中获得的登录页面或其他数据收集页面的子集。
[0012]然后,网络可访问页面的分类可以通过使用第一得分、第二得分以及可选的第三得分来确定。在一些示例中,如果没有找到与任何已知的、知名的网络可访问页面的匹配(例如,第一得分不满足相似度阈值),然而,网络可访问页面正在获取诸如用户名或密码的登录凭证或者诸如社会安全号码或信用卡号的其他个人可标识信息(例如,第二得分满足敏感度阈值),则可以采取合适的预防措施来降低风险并改进信息安全。例如,可以暂时阻止用户计算设备对网络可访问页面的访问。作为另一示例,可以通知IT操作人员以为了进一步分析网络可访问页面。
[0013]在一些实现中,本文中所描述的技术可以在网络网关设备(以下称为“网关”)处实现,网络网关设备可以是负责在内部网络与外部网络(诸如互联网)之间路由数据通信业务的数据处理装置。例如,网关可以是无线路由器、无线接入点、调制解调器兼路由器、机顶盒、零信任网络访问点或者可以提供对外部网络的访问的任何计算设备。网关可以使用所描述的技术来监测网络业务并且在内部网络上的客户端计算设备正在请求访问外部网络上已被分类为网络钓鱼或可疑页面的网络可访问页面的情况下采取合适的措施。
[0014]在一些实现中,本文中所描述的技术可以在服务器上实现,服务器转而可以在一个或多个位置的一个或多个计算机上实现,并且通常与互联网耦合来进行数据通信。服务器可以监测互联网上的任何新创建的网络可访问页面并使用所描述的技术来主动探测网络可访问页面,以对网络可访问页面进行分类确定。图1至图4和相关联的描述提供了这些实现的附加细节。
[0015]本文中所描述的技术产生一个或多个技术效果。所描述的技术允许快速并且准确地确定网络可访问页面的分类,由此可以采取合适的预防措施来降低风险并改进信息安全。在一些情况下,即使网关没有访问网络可访问页面的完全统一资源定位符(URL),利用所描述的技术的网关也可以在网络业务观察期间几乎实时地自动执行网络可访问页的风险评估。通过在进行分类确定时组合各种网络、域、页面内容属性以及关于网络可访问页面的可能的其他可用信息,所描述的技术的适用用例可以扩展到常规解决方案(诸如静态块列表)将失败的情况,包括防御零日网络钓鱼威胁、由生命周期极短的网络钓鱼网页造成的威胁。
[0016]图1是示出根据一个实现的生成网络可访问页面的分类确定的示例系统100的示意图。系统100是在一个或多个位置中的一个或多个计算机上实现为计算机程序的系统的
示例,在该示例中可以实现以下描述的系统、组件和技术。
[0017]系统100可以接收网络可访问页面102、标识网络可访问页面102的数据(例如,包括完全限定域名(FQDN)或网络可访问的页面的统一资源定位器(URL)的域名)或其两者作为输入,并且使用系统100的组件来处理输入以生成输出152,输出152指定网络可访问页面102的分类。附加地或备选地,输出152可以指定网络可访问页面102的域名的分类。
[0018]URL与完全限定域名之间的区别如下所示:
[0019]URL:“https://www.blackberry.com/us/en”[0020]完全限定域名:“www.blackberry.com”[0021]URL只是经格式化的字符串,由域名(此处是“blackberry”)、域名类别(“.com”)以及有时还有子域(“www.”)和路径(“/us/en”)等其他元素组成,而“www.blackberry.com”是完全限定域名。
[0022]系统100包括多个机器学习模型120A<本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种方法,包括:在网关处,从最终用户设备接收用于访问网络可访问页面的请求;处理所述网络可访问页面以生成表征所述网络可访问页面的域的网络属性的第一嵌入和表征所述网络可访问页面的内容属性的第二嵌入;从所述第一嵌入生成第一得分,所述第一得分表征所述网络可访问页面与一个或多个已知网络可访问页面之间的预测相似度;从所述第二嵌入生成第二得分,所述第二得分表征所述网络可访问页面请求敏感信息的预测可能性;以及至少使用所述第一得分和所述第二得分来确定所述网络可访问页面、所述网络可访问页面的所述域或两者的分类。2.根据权利要求1所述的方法,还包括:处理所述网络可访问页面以生成表征所述网络可访问页面的视觉属性的第三嵌入;以及从所述第三嵌入生成第三得分,所述第三得分表征所述网络可访问页面与请求敏感信息的一个或多个已知网络可访问页面之间的预测相似度。3.根据权利要求2所述的方法,还包括使用所述第一得分、所述第二得分和所述第三得分来确定所述网络可访问页面的所述分类。4.根据权利要求1所述的方法,其中接收用于访问所述网络可访问页面的所述请求包括接收所述网络可访问页面的完全限定域名FQDN或统一资源定位符URL。5.根据权利要求1所述的方法,其中处理所述网络可访问页面包括在沙盒环境中加载所述网络可访问页面。6.根据权利要求1所述的方法,其中所述第一嵌入还表征所述网络可访问页面的所述域的词汇属性或所述网络可访问页面的结构属性中的一个或多个。7.根据权利要求1所述的方法,其中所述第二嵌入基于使用自然语言处理技术来处理所述网络可访问页面、从所述网络可访问页面导出的数据或两者而被生成。8.根据权利要求2所述的方法,其中所述第一得分、所述第二得分和所述第三得分通过使用相应的机器学习模型而被生成。9.根据权利要求3所述的方法,其中使用所述第一得分、所述第二得分和所述第三得分来确定所述网络可访问页面的所述分类包括:计算所述第一得分、所述第二得分和所述第三得分的加权组合;以及将所述加权组合与邻域相似度得分进行比较。10.根据权利要求1所述的方法,其中所述分类指定所述网络可访问页面是否是网络钓鱼网络可访问页面,或者所述网络可访问页面是否是可疑网络可访问页面。11.根据权利要求10所述的方法,其中所述网络钓鱼网络可访问页面包括零日网络钓鱼网页。12.根据权利要求1所述的方法,还包括由所述网关执行对所述最终用户设备访问所述网络可访问页面的阻止动作。13.根据权利要求1所述的方法,还包括由所述网关通知操作人员来进一步分析所述网络可访问页面。
14.根据权利要求...
【专利技术属性】
技术研发人员:S,
申请(专利权)人:黑莓有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。