[发明专利]用于自动网络钓鱼检测规则演进的系统和方法

权利要求书

1.在包括处理器、数据存储器以及输入/输出设备的计算系统中，其中所述输入/输出设备包括网络接口设备，一种用于自动开发检测规则的方法，所述方法包括：

(a)由所述计算系统获得定向到目的地的输入数据；

(b)由所述计算系统检测存在于所述输入数据中的任何网络钓鱼标识，所述检测通过应用多个所述网络钓鱼检测规则执行；

(c)由所述计算系统计算确定多个预定义参数的每个的定量分数，每个所述参数与至少一个所述网络钓鱼标识相关，并且对于所述至少一个所述网络钓鱼标识，每个定量分数代表所述输入数据中存在网络钓鱼内容的可能性；

(d)由所述计算系统评估演进网络钓鱼检测规则的需求，包括将规则演进标准的预定义集合应用到多个参数的确定的定量分数的组合；

(e)响应于对演进网络钓鱼规则的需求的评估，由所述计算系统基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则；

由所述计算系统基于(e)中已经演进的任何新的网络钓鱼检测规则递归执行(b)-(e)；

由所述计算系统基于超过网络钓鱼检测阈值的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容识别任何网络钓鱼相关对象；

由所述计算系统修改所述输入数据中与所述网络钓鱼相关对象相关的内容，以消除或减小所述网络钓鱼相关对象的恶意。

2.根据权利要求1所述的方法，其中在获得所述输入数据中，所述输入数据定向到的所述目的地是远程客户端计算机系统。

3.根据权利要求1所述的方法，其中获得所述输入数据包括在所述输入数据到达所述目的地之前拦截所述输入数据。

4.根据权利要求1所述的方法，其中检测存在于所述输入数据中的任何所述网络钓鱼标识包括在独立的计算环境中仿真所述输入数据中存在的任何代码。

5.根据权利要求3所述的方法，进一步包括：

由所述计算系统将所述拦截的数据内容的项分类成代表不同内容类型的多个预定义类别，其中每个所述类别与所述参数的对应集合相关联。

6.根据权利要求5所述的方法，其中生成新的网络钓鱼检测规则包括将拦截的数据内容的某些项重新分类成其他类别，并且将用于那些其他类别的网络钓鱼检测规则应用到那些所述内容的某些项。

7.根据权利要求1所述的方法，其中在计算确定每个所述参数的所述定量分数中，至少一个所述定量分数表示应用不同网络钓鱼检测规则组合以检测网络钓鱼标识的相关组合的结果。

8.根据权利要求1所述的方法，其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第一规则演进阈值。

9.根据权利要求8所述的方法，其中所述第一规则演进阈值不同于所述网络钓鱼检测阈值。

10.根据权利要求8所述的方法，其中所述第一规则演进阈值与所述网络钓鱼检测阈值相同。

11.根据权利要求8所述的方法，其中所述规则演进标准包括所述确定的定量分数的所述组合被应用于的第二规则演进阈值，所述第二规则演进阈值比所述第一规则演进阈值低，其中当所述组合的任何个别定量分数超过所述第一规则演进阈值时，所述规则演进标准被满足，并且当所述组合的指定的多个所述定量分数超过所述第二规则演进阈值时，所述规则演进标准被独立满足。

12.根据权利要求1所述的方法，其中所述规则演进标准包括所述组合的所述确定的定量分数的总数被应用于的规则演进阈值。

13.根据权利要求1所述的方法，其中在递归执行(b)-(e)中，执行多个(b)-(e)的连续迭代，其中每个新的网络钓鱼检测规则应用于来自以前迭代的相同的输入数据。