用于自動網(wǎng)絡(luò)釣魚檢測規(guī)則演進的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及信息安全領(lǐng)域����,并且特別是涉及保護個人計算機系統(tǒng)和其用戶免受通 常稱為網(wǎng)絡(luò)釣魚的欺騙性信息收集活動。尤其是��,本發(fā)明針對基于現(xiàn)有規(guī)則的使用自動開 發(fā)網(wǎng)絡(luò)釣魚檢測規(guī)則�����。
【背景技術(shù)】
[0002] 由于過去十年因特網(wǎng)技術(shù)的快速發(fā)展����,大量多種多樣的因特網(wǎng)互聯(lián)設(shè)備(例如個 人計算機、筆記本���、平板�����、智能手機等)的可購性以及它們的使用的容易性���,多數(shù)人開始依賴 萬維網(wǎng)(World-Wide Web)用于他們的日常活動��,例如消費媒體內(nèi)容,購物�����,用銀行賬戶工 作�����,讀取郵件�����、文本或其他形式的信息�����,訪問社交網(wǎng)絡(luò)�,之中還有許多其他用途����。經(jīng)常地,當(dāng) 在因特網(wǎng)上工作(例如�,當(dāng)購買產(chǎn)品、轉(zhuǎn)賬金錢����、向零售商或服務(wù)提供商注冊等)時�����,要求用 戶提供某些機密信息(例如���,信用卡卡號以及銀行賬戶號、賬戶密碼等)給外部網(wǎng)站�����,而所有 這些都是用戶的財務(wù)安全要依靠的��。
[0003] 因特網(wǎng)的用戶眾多已經(jīng)吸引了詐騙者活動的大量增加���,為了盜用個人和財務(wù)數(shù)據(jù) 以從事詐騙和其他惡意活動���,其通過多種技術(shù)和方法試圖得到用戶的機密數(shù)據(jù)。詐騙者使 用的一種更加普遍的方法通常稱為網(wǎng)絡(luò)釣魚��,即冒充已知或可信任的實體�����,例如名牌、多種 服務(wù)中的個人信息(例如�,社交網(wǎng)絡(luò)中)以及偽裝為銀行、網(wǎng)店�、社交網(wǎng)絡(luò)等的合法網(wǎng)站的采 用網(wǎng)站搜索服務(wù)的創(chuàng)建和注冊,通過電子信息處理獲得機密的用戶信息�。詐騙者發(fā)送給用 戶的信或信息經(jīng)常包含指向看起來與真正的網(wǎng)站相似并且通常相當(dāng)相似的惡意網(wǎng)站的鏈 接���,或指向會從該網(wǎng)站轉(zhuǎn)移到惡意網(wǎng)站的鏈接�����。一旦用戶被轉(zhuǎn)到假冒網(wǎng)頁�,詐騙者利用多種 社會工程技術(shù)嘗試使用戶輸入他/她的機密信息�����,然后詐騙者利用其進入對應(yīng)的用戶賬戶 和銀行賬戶����。除了提取機密信息以外,用戶會遭受接收來自假冒網(wǎng)站���、用戶未知的惡意應(yīng)用 的風(fēng)險�,惡意應(yīng)用從受害者的計算機收集多個其他信息項并轉(zhuǎn)移給詐騙者。
[0004] 為了反擊上面描述的詐騙方法�����,技術(shù)被用于檢測網(wǎng)絡(luò)釣魚信息(例如����,在電子郵件 中)和假冒網(wǎng)站。這些技術(shù)利用了可信任和不可信任的網(wǎng)站地址��、句子模板和來自已知網(wǎng)絡(luò) 釣魚信息的其他文本串等的數(shù)據(jù)庫����。當(dāng)檢測到這樣的可疑對象時,通知用戶潛在的危險��。
[0005] 雖然處理已經(jīng)被信息安全專家研究出并已經(jīng)被識別為潛在危險的已知的威脅���、鏈 接和頁面時��,這些現(xiàn)有的技術(shù)可能有效���,但當(dāng)處理新的、不斷變化的威脅時�����,傳統(tǒng)技術(shù)是不 太有效的。此外����,由于手動或半自動分析,出現(xiàn)新的釣魚網(wǎng)站或信息和它的檢測以及后續(xù)的 用戶阻止獲取之間的反應(yīng)時間是相當(dāng)重要的���,其代表了大量用戶陷入到網(wǎng)絡(luò)釣魚和相關(guān)詐 騙的主要因素。
[0006] 因此需要實際的解決方案以解決網(wǎng)絡(luò)釣魚攻擊不斷變化的本質(zhì)����。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的一個方面是針對自動開發(fā)檢測規(guī)則,用于檢測輸入數(shù)據(jù)中的網(wǎng)絡(luò)釣魚����。 這個方面被具體化到系統(tǒng)和方法以及它們的變化中。在這些實施例的概要中��,獲得定向到 目的地的輸入數(shù)據(jù)�����。檢測可能出現(xiàn)在輸入數(shù)據(jù)中的網(wǎng)絡(luò)釣魚的任何標(biāo)識��,該檢測通過應(yīng)用 多個網(wǎng)絡(luò)釣魚檢測規(guī)則執(zhí)行。確定多個預(yù)定參數(shù)的每個的定量分?jǐn)?shù)����,每個該參數(shù)與至少一 個網(wǎng)絡(luò)釣魚標(biāo)識相關(guān),并且至少一個網(wǎng)絡(luò)釣魚標(biāo)識的每個定量分?jǐn)?shù)代表輸入數(shù)據(jù)中存在網(wǎng) 絡(luò)釣魚內(nèi)容的可能性�����。
[0008] 進一步���,通過將規(guī)則演進標(biāo)準(zhǔn)的預(yù)定集合運用到多個參數(shù)的預(yù)定量分?jǐn)?shù)的組合���, 評估演進網(wǎng)絡(luò)釣魚檢測規(guī)則的需求。響應(yīng)于對演進網(wǎng)絡(luò)釣魚規(guī)則需求的評估�����,基于滿足規(guī) 則演進標(biāo)準(zhǔn)的選擇的參數(shù)分?jǐn)?shù)以及與那些選擇的參數(shù)分?jǐn)?shù)相關(guān)的網(wǎng)絡(luò)釣魚標(biāo)識的對應(yīng)內(nèi) 容生成新的網(wǎng)絡(luò)釣魚檢測規(guī)則����。網(wǎng)絡(luò)釣魚標(biāo)識以及定量分?jǐn)?shù)計算基于新的檢測規(guī)則以遞歸 方式執(zhí)行,隨著規(guī)則演進需求的進一步評估和新的檢測規(guī)則生成�。
[0009] 基于選擇的參數(shù)分?jǐn)?shù)超過網(wǎng)絡(luò)釣魚檢測閾值以及與那些選擇的參數(shù)分?jǐn)?shù)相關(guān)的 網(wǎng)絡(luò)釣魚標(biāo)識的對應(yīng)內(nèi)容識別任何網(wǎng)絡(luò)釣魚相關(guān)對象。結(jié)果是,輸入數(shù)據(jù)中與網(wǎng)絡(luò)釣魚相 關(guān)對象相關(guān)的內(nèi)容可以進行修改��,以消除或減少網(wǎng)絡(luò)釣魚相關(guān)對象的惡意����。
【附圖說明】
[0010] 由于下面本發(fā)明的多個實施例連同隨附的附圖的詳細(xì)說明,可以更加完整理解本 發(fā)明����,其中:
[0011] 圖1A是根據(jù)一個實施例的、說明了用于選擇性地建立并且演進規(guī)則從而在從服務(wù) 器送到客戶端的數(shù)據(jù)中檢測網(wǎng)絡(luò)釣魚標(biāo)識的系統(tǒng)的框圖��。
[0012] 圖1B是說明了描述為圖1A中系統(tǒng)的一部分的數(shù)據(jù)捕獲引擎的細(xì)節(jié)的框圖���。
[0013]圖1C是由本發(fā)明的實施例實現(xiàn)的����,說明了攔截的數(shù)據(jù)內(nèi)容中的數(shù)據(jù)類別���、網(wǎng)絡(luò)釣 魚標(biāo)識和計算參數(shù)之間相互關(guān)系的示意圖。
[0014] 圖2是根據(jù)一個實施例的��、說明了示范性的全部過程流程的流程圖�。
[0015] 圖3A和3B描述了根據(jù)相關(guān)實施例的示范性方法,其中在對是否生成新的規(guī)則作出 決定中考慮參數(shù)值的一個或組合。
[0016] 圖4是根據(jù)一個實施例的��、說明了演進網(wǎng)絡(luò)釣魚檢測規(guī)則的過程的流程圖�。
[0017] 圖5是根據(jù)一個實施例的、說明了初始規(guī)則如何演進以形成可用于不同類別的內(nèi) 容的規(guī)則連續(xù)代的例子的規(guī)則演進示意圖�。
[0018] 圖6是根據(jù)本文所述的本發(fā)明的方面的實現(xiàn)方式制成的具有改進的功能的專用機 的計算機系統(tǒng)的示意圖。
[0019] 雖然本發(fā)明可處理為多種改進和替代形式�,它們的細(xì)節(jié)作為例子在圖中示出并且 將詳細(xì)描述。應(yīng)理解��,然而�,本發(fā)明并不限制本發(fā)明為描述的特定實施例。相反地��,本發(fā)明覆 蓋落入本發(fā)明精神和范圍內(nèi)的�、由附屬的權(quán)利要求限定的所有改進、等價以及替代方式��。
【具體實施方式】
[0020] 詞匯表
[0021] 下面的詞匯表詳細(xì)解釋了此處使用的術(shù)語的定義�。本詞匯表僅用于本申請。
[0022] "計算平臺"�����、"計算機"以及"計算機系統(tǒng)"一具有包括一個或多個處理器�����、數(shù)據(jù)存 儲器、輸入-輸出設(shè)備的硬件的電子設(shè)備或可交換操作的電子設(shè)備的系統(tǒng);并且能夠根據(jù)由 硬件實施的軟件指令存儲以及操縱信息�。它可以是一個物理機器,或者它可以分布于多個 物理機之間�,例如根據(jù)角色或功能,或根據(jù)云計算分布式模型中的進程線程�。例子包括臺式 電腦或移動個人電腦(PCs)、智能手機或平板����,以及網(wǎng)絡(luò)設(shè)備,例如路由器�����、交換機等等����。計 算平臺可以是單獨的設(shè)備或作為較大設(shè)備或系統(tǒng)的一部分的嵌入式設(shè)備�����。
[0023] "數(shù)據(jù)捕獲"一由不是指定目的地的實體例如驅(qū)動器或代理服務(wù)器獲得送至指定 目的地的數(shù)據(jù)����。
[0024] "數(shù)據(jù)存儲器"一將數(shù)據(jù)存儲在物理存儲介質(zhì)中的一個或多個電子硬件設(shè)備���。例子 包括易失性存儲器(例如,隨機存取存儲器(RAM)�,無論是靜態(tài)的或動態(tài)的)、非易失性存儲 器(例如����,電可擦除可編程只讀存儲器、磁盤等)�。
[0025] "驅(qū)動器"一在設(shè)備例如磁盤驅(qū)動器和使用該設(shè)備的程序例如操作系統(tǒng)外殼之間 充當(dāng)翻譯器的引擎或者元件。該驅(qū)動器通常從程序接受通用命令并且然后將它們翻譯成用 于該設(shè)備的特定命令��。
[0026] "引擎" 一真實的設(shè)備����、元件或利用硬件實現(xiàn)的元件布置,或?qū)崿F(xiàn)為硬件和軟件的 組合�,例如通過微處理器系統(tǒng)以及使引擎適于實現(xiàn)特定功能的一組程序指令,其(當(dāng)執(zhí)行 時)將微處理器系統(tǒng)變換成專用設(shè)備���。引擎也可以實現(xiàn)為該兩個的組合��,其某些功能由硬件 單獨實現(xiàn)����,并且其他功能由軟件控制的硬件組合實現(xiàn)。在某些實現(xiàn)方式中����,至少一部分,并 且在一些情況中全部引擎可以在執(zhí)行操作系統(tǒng)��、系統(tǒng)程序以及應(yīng)用程序的一個或多個計算 機的處理器上執(zhí)行�����,同時也利用多任務(wù)處理��、多線程���、分布式(例如��,集群�����、對等網(wǎng)絡(luò)��、云等) 進程中合適的或其他這樣的技術(shù)實現(xiàn)引擎�。此外��,引擎自身可以由不止一個的子引擎組成�, 其每個可以看做單獨的引擎。
[0027] 網(wǎng)絡(luò)釣魚檢測規(guī)則的"演進"����、"演進的"一基于現(xiàn)有的網(wǎng)絡(luò)釣魚檢測規(guī)則的應(yīng)用的 計算式創(chuàng)建新的網(wǎng)絡(luò)釣魚檢測規(guī)則。網(wǎng)絡(luò)釣魚檢測規(guī)則的演進可以���,作為例子�,創(chuàng)建規(guī)則的 連續(xù)代�����,即新的規(guī)則由以前演進的規(guī)則的應(yīng)用創(chuàng)建���。
[0028] "攔截"一由中間進程或設(shè)備讀取并且捕獲被定向到目的地的數(shù)據(jù)���,由此保持?jǐn)?shù)據(jù) 無法行進,直到釋放攔截的數(shù)據(jù)�。當(dāng)數(shù)據(jù)被保持時,被攔截的數(shù)據(jù)可以由中間進程或設(shè)備重 新定向�����、改變、放棄����、延遲或否則執(zhí)行。
[0029] "網(wǎng)絡(luò)接口設(shè)備"一一種類型的輸入/輸出設(shè)備���,其為通過計算機網(wǎng)絡(luò)與外部計算 設(shè)備交流信息提供便利�。例子包括以太網(wǎng)端口�、Wi-Fi無線電接口、藍(lán)牙口等�。
[0030] "對象" 一一段軟件代碼或數(shù)據(jù)結(jié)構(gòu),例如存儲在計算機硬件中的文本或圖����。例子 包括文件、程序���、數(shù)據(jù)包等�����。
[0031] "參數(shù)分?jǐn)?shù)" 一特征�����、屬性�����、因素���、要素或它們的一些組合的計算得到的測量數(shù)據(jù)。 如在網(wǎng)絡(luò)釣魚標(biāo)識情況下的例子�,參數(shù)(計算出其分?jǐn)?shù))可以關(guān)于一個或多個個人網(wǎng)絡(luò)釣魚 標(biāo)識。例如���,參數(shù)可以代表一組數(shù)據(jù)中特定網(wǎng)絡(luò)釣魚標(biāo)識的存在���。作為另一個例子,參數(shù)可 以代表對一組數(shù)據(jù)中多個網(wǎng)絡(luò)釣魚標(biāo)識數(shù)量的計數(shù)�。總的來說���,參數(shù)代表網(wǎng)絡(luò)釣魚檢測的 強度的測量��,并且也指示了網(wǎng)絡(luò)釣魚內(nèi)容的特定項目�。
[0032] "網(wǎng)絡(luò)釣魚"一試圖從受害人處惡意得到機密信息,例如通過冒充電子通信中可信 任的實體獲取證書���、財務(wù)賬戶詳細(xì)資料���、個人信息等。
[0033] "進程虛擬機"一設(shè)計為運行單個程序的虛擬機����,這意味著它支持單個進程。這樣 的虛擬機通常非常適合于一種或多種編程語言并且為了提供程序的可移植性和靈活性而 建立���。例子包括Java虛擬機�、.Ne t體系結(jié)構(gòu)��、Parro t虛擬機�。
[0034] "處理器"一計算機系統(tǒng)的電子硬件部分,其通過執(zhí)行系統(tǒng)的基本算法����、邏輯、暫存 和輸入/輸出操作執(zhí)行計算機程序的指令����。典型地�,處理器實現(xiàn)為微處理器(即集成到單個 芯片上)����,雖然這個定義包括在多個互連集成電路上實現(xiàn)的處理器電路。現(xiàn)代的處理器典型 地包括多個處理核心并且可以在多個處理核心間分配工作量�。
[0035] "代理"���、"代理服務(wù)器"�����、"代理服務(wù)"一在本地計算機系統(tǒng)或在不同的計算機系統(tǒng) 或網(wǎng)絡(luò)設(shè)備(如交換機�����、路由器等)上運行的中間引擎����,其起到本地(客戶端)計算機系統(tǒng)的 應(yīng)用程序通過計算機網(wǎng)絡(luò)訪問遠(yuǎn)程計算機(例如���,服務(wù)器)的中介作用����。此外代理可以幫助 建立本地和遠(yuǎn)程計算機系統(tǒng)間的連接,并且可以為本地計算機系統(tǒng)提供多種數(shù)據(jù)處理操 作���。數(shù)據(jù)流通過代理�,其可以根據(jù)代理服務(wù)器提供的有益服務(wù)按需監(jiān)測���、過濾或修改����,并且 重定向數(shù)據(jù)包��。例如�,為了保護用戶在本地計算機系統(tǒng)上工作,代理可以分析與網(wǎng)絡(luò)地址的 連接��,并且如果懷疑連接將用戶的計算機系統(tǒng)暴露給不應(yīng)該的風(fēng)險(例如網(wǎng)絡(luò)釣魚內(nèi)容的 轉(zhuǎn)移一就像與本發(fā)明有關(guān)的)����,則阻止或重新定向網(wǎng)絡(luò)信息流通。由代理執(zhí)行的進一步的數(shù) 據(jù)處理操作的另一個例子是存儲常用網(wǎng)頁的副本(高速緩存)��,以提供那些頁面的快速加 載��。
[0036] "用于獲得指向目的地的輸入數(shù)據(jù)的裝置"一根據(jù)下面描述的它們的多個實施例 的每個的任何一個(或其組合),或它們的結(jié)構(gòu)等價物的任何一個的數(shù)據(jù)捕獲引擎110或攔 截引擎112��。
[0037] "用于檢測網(wǎng)絡(luò)釣魚的任何標(biāo)識的裝置"以及"用于確定多個預(yù)定參數(shù)的每個的定 量分?jǐn)?shù)的裝置" 一根據(jù)下面描述的它們的多個實施例的每個的任何一個(或其組合)��,或它 們的結(jié)構(gòu)等價物的任何一個的網(wǎng)絡(luò)釣魚內(nèi)容檢測引擎120�����。
[0038] "用于評估演進網(wǎng)絡(luò)釣魚檢測規(guī)則的需求的裝置"���、"用于演進網(wǎng)絡(luò)釣魚規(guī)則的裝 置"�、"用于生成新的網(wǎng)絡(luò)釣魚檢測規(guī)則的裝置"以及"用于遞歸執(zhí)行檢測網(wǎng)絡(luò)釣魚標(biāo)識���、確 定定量分?jǐn)?shù)、評估演進規(guī)則需求以及演進網(wǎng)絡(luò)釣魚規(guī)則的裝置"一根據(jù)下面描述的它們的 多個實施例的每個的任何一個(或其組合)��,或它們的結(jié)構(gòu)等價物的任何一個的規(guī)則開發(fā)引 擎 130〇
[0039] "用于識別任何網(wǎng)絡(luò)釣魚相關(guān)對象的裝置"一根據(jù)下面描述的它們的多個實施例 的每個的任何一個(或其組合)�,或