[发明专利]用于自动网络钓鱼检测规则演进的系统和方法

说明书

用于自动网络钓鱼检测规则演进的系统和方法。基于检测到的网络钓鱼标识，对多个预定参数的每个计算定量分数，每个参数与至少一个该网络钓鱼标识相关。评估演进网络钓鱼检测规则的需求，并且基于满足所述规则演进标准的选择的参数分数以及与那些选择的参数分数相关的对应的网络钓鱼标识的内容生成新的网络钓鱼检测规则。新的网络钓鱼检测规则递归应用于检测网络钓鱼标识，并且更新的规则可以进一步以递归方式演进。

技术领域

本发明涉及信息安全领域，并且特别是涉及保护个人计算机系统和其用户免受通常称为网络钓鱼的欺骗性信息收集活动。尤其是，本发明针对基于现有规则的使用自动开发网络钓鱼检测规则。

背景技术

由于过去十年因特网技术的快速发展，大量多种多样的因特网互联设备(例如个人计算机、笔记本、平板、智能手机等)的可购性以及它们的使用的容易性，多数人开始依赖万维网(World-Wide Web)用于他们的日常活动，例如消费媒体内容，购物，用银行账户工作，读取邮件、文本或其他形式的信息，访问社交网络，之中还有许多其他用途。经常地，当在因特网上工作(例如，当购买产品、转账金钱、向零售商或服务提供商注册等)时，要求用户提供某些机密信息(例如，信用卡卡号以及银行账户号、账户密码等)给外部网站，而所有这些都是用户的财务安全要依靠的。

因特网的用户众多已经吸引了诈骗者活动的大量增加，为了盗用个人和财务数据以从事诈骗和其他恶意活动，其通过多种技术和方法试图得到用户的机密数据。诈骗者使用的一种更加普遍的方法通常称为网络钓鱼，即冒充已知或可信任的实体，例如名牌、多种服务中的个人信息(例如，社交网络中)以及伪装为银行、网店、社交网络等的合法网站的采用网站搜索服务的创建和注册，通过电子信息处理获得机密的用户信息。诈骗者发送给用户的信或信息经常包含指向看起来与真正的网站相似并且通常相当相似的恶意网站的链接，或指向会从该网站转移到恶意网站的链接。一旦用户被转到假冒网页，诈骗者利用多种社会工程技术尝试使用户输入他/她的机密信息，然后诈骗者利用其进入对应的用户账户和银行账户。除了提取机密信息以外，用户会遭受接收来自假冒网站、用户未知的恶意应用的风险，恶意应用从受害者的计算机收集多个其他信息项并转移给诈骗者。

为了反击上面描述的诈骗方法，技术被用于检测网络钓鱼信息(例如，在电子邮件中)和假冒网站。这些技术利用了可信任和不可信任的网站地址、句子模板和来自已知网络钓鱼信息的其他文本串等的数据库。当检测到这样的可疑对象时，通知用户潜在的危险。

虽然处理已经被信息安全专家研究出并已经被识别为潜在危险的已知的威胁、链接和页面时，这些现有的技术可能有效，但当处理新的、不断变化的威胁时，传统技术是不太有效的。此外，由于手动或半自动分析，出现新的钓鱼网站或信息和它的检测以及后续的用户阻止获取之间的反应时间是相当重要的，其代表了大量用户陷入到网络钓鱼和相关诈骗的主要因素。

因此需要实际的解决方案以解决网络钓鱼攻击不断变化的本质。

发明内容

本发明的一个方面是针对自动开发检测规则，用于检测输入数据中的网络钓鱼。这个方面被具体化到系统和方法以及它们的变化中。在这些实施例的概要中，获得定向到目的地的输入数据。检测可能出现在输入数据中的网络钓鱼的任何标识，该检测通过应用多个网络钓鱼检测规则执行。确定多个预定参数的每个的定量分数，每个该参数与至少一个网络钓鱼标识相关，并且至少一个网络钓鱼标识的每个定量分数代表输入数据中存在网络钓鱼内容的可能性。

进一步，通过将规则演进标准的预定集合运用到多个参数的预定量分数的组合，评估演进网络钓鱼检测规则的需求。响应于对演进网络钓鱼规则需求的评估，基于满足规则演进标准的选择的参数分数以及与那些选择的参数分数相关的网络钓鱼标识的对应内容生成新的网络钓鱼检测规则。网络钓鱼标识以及定量分数计算基于新的检测规则以递归方式执行，随着规则演进需求的进一步评估和新的检测规则生成。