[发明专利]网络钓鱼活动的检测

说明书

提供了用于检测网络钓鱼泄漏通信的机制。所述机制从数据网络接收输入电子通信并处理输入电子通信以提取表示输入电子通信的内容结构的结构符记。将结构符记输入到机器学习模型，机器学习模型被训练以识别结构符记中的网络钓鱼泄漏通信语法以及网络钓鱼泄漏通信语法之间的关系。机器学习模型处理结构符记以生成由分类逻辑进行处理的指示计算出的值的向量输出。分类逻辑处理来自机器学习模型的向量输出，以将输入电子通信分类为网络钓鱼泄漏通信或非网络钓鱼泄漏通信，并输出相应的分类输出。

背景技术

本申请总体涉及一种改进的数据处理装置和方法，更具体地涉及用于基于网络钓鱼泄漏通信的深度学习网络检测来检测网络钓鱼电子通信活动的机制。

网络钓鱼攻击仍然是个人和企业的主要威胁。网络钓鱼攻击涉及发送给接收者的经常巧妙设计的电子通信，其中通信的内容欺诈性地试图通过将网络钓鱼电子通信的源伪装为可信赖的实体来从接收者获得敏感信息，例如用户名、密码、信用卡信息等。网络钓鱼攻击通常通过电子邮件欺骗或即时消息收发进行，经常引导用户在假冒网站上输入个人信息，假冒网站的外观和感觉与合法网站相同或至少非常相似。

存在各种检测潜在网络钓鱼攻击的解决方案，这些解决方案一般可分类为黑名单解决方案、网站比较解决方案和垃圾邮件通信过滤解决方案。黑名单解决方案将已知网络钓鱼攻击的统一资源定位符(URL)和域名包括在黑名单数据结构中，过滤程序用黑名单数据结构来过滤来自那些域名或已知URL的通信。黑名单解决方案依赖于由第三方发现并报告的域名/URL的列表，以便将这些域名/URL添加到黑名单数据结构中并且推送给客户端以在其过滤程序中实现。

网站比较解决方案依赖于可疑网站的内容与合法网站或其他已知网络钓鱼网站的比较来确定可能表明可疑网站是否是网络钓鱼网站的相似性或差异。将可疑网站与合法网站相比较，试图确定可疑网站是否与合法网站相似，使得可疑网站也应被视为合法网站。该解决方案需要大量合法网站来执行比较并提供合理准确的确定。将可疑网站与网络钓鱼网站的比较，是基于以下观察，即很多网络钓鱼网站是基于其他网络钓鱼网站创建的，因此，与其他网络钓鱼网站的相似度表明可疑网站是网络钓鱼网站。该解决方案可以提供良好的结果，但是是计算密集的，因为它需要维护当前网络钓鱼攻击的数据库，并将每个可疑网站与所有这些攻击进行比较。

垃圾邮件通信过滤解决方案查看网络钓鱼通信内容中的文本，并将内容与规则进行比较，以确定该通信是不是网络钓鱼通信(垃圾邮件)。这样的垃圾邮件通信过滤解决方案很难实施，因为网络钓鱼实体或垃圾邮件制造者以将针对每个网络钓鱼或垃圾邮件活动和针对每个目标实体而不同的方式创建他们的通信，以希望接收者将选择恶意链接。因此，必须不断地生成新规则来应对网络钓鱼/垃圾邮件通信不断变化的情况。

发明内容

提供本发明内容部分是为了以简化的形式介绍将在具体实施方式部分进一步描述的概念的选择。本发明内容部分并不旨在标识所要求保护的主题的关键因素或基本特征，也不旨在用于限制所要求保护的主题的范围。

在一个说明性实施例中，提供了一种在包括处理器和存储器的数据处理系统中的方法，所述存储器包括指令，所述指令由所述处理器执行以配置所述处理器来实现用以检测网络钓鱼泄漏通信的网络钓鱼泄漏通信识别(PECI)系统。所述方法包括：由所述PECI系统从数据网络接收输入电子通信；以及由所述PECI系统的预处理器处理所述输入电子通信以提取结构符记。结构符记表示输入电子通信的内容结构。所述方法还包括：所述PECI系统通过机器学习训练操作，将所述结构符记输入到所述PECI系统的机器学习模型中，以识别输入到所述机器学习模型的结构符记中的网络钓鱼泄漏通信语法、以及网络钓鱼泄漏通信语法之间的关系。此外，该方法包括由机器学习模型来处理结构符记以生成指示计算出的值的至少一个第一向量输出以供PECI系统的分类逻辑处理。此外，所述方法包括由所述分类逻辑处理来自所述机器学习模型的所述至少一个第一向量输出，以将所述输入电子通信分类为网络钓鱼泄漏通信或非网络钓鱼泄漏通信。此外，该方法包括由分类逻辑输出指示输入电子通信的分类的分类输出。