[发明专利]用于检测网络钓鱼脚本的系统和方法

说明书

本发明涉及用于检测网络钓鱼脚本的系统和方法。公开了用于检测网络钓鱼脚本的系统和方法的示例性方面。示例性方法包括：生成脚本的字节码；计算生成的所述字节码的散列和；确定所述字节码的所述散列和与已知的网络钓鱼脚本的一组或多组散列和中的散列和之间的相似度；识别至少一组散列和，所述至少一组散列和包含与所述字节码的所述散列和的相似度在阈值范围内的散列和；确定所识别的所述至少一组散列和的紧密度系数和所识别的所述至少一组散列和的信任系数；以及基于所述相似度、所述紧密度系数和所述信任系数确定所述脚本是否为网络钓鱼脚本。

相关申请的交叉引用

本发明要求在2015年9月30日递交的俄罗斯申请No.2015141553的优先权的权益，该俄罗斯申请通过引用并入在本文中。

技术领域

本发明总体涉及计算机安全领域，且更具体地涉及用于检测网络钓鱼脚本的系统和方法。

背景技术

因特网技术在过去十年中的蓬勃发展、借助因特网传输数据的大量设备(诸如个人计算机、笔记本、平板电脑、移动手机等)的出现、以及这些设备的使用轻松和方便已经使得大量人员在其日常事务(是否获得信息、访问银行账户、购物、读取电子邮件、访问社交网络、为了娱乐等等)中使用因特网。经常当工作在因特网上时(诸如当购买物品、汇款、访问需要登录的网站等等时)，用户需要将其机密信息(诸如信用卡和银行账号、账户记录的密码等等)发送到外部服务器，用户的财产安全取决于外部服务器的信息的安全。

因特网的用户的巨大数量已经变为黑客活动增加的动机，这些黑客通过各种技术和方法获得对用户的机密信息的访问权以便窃取数据以供出于其自身目的的进一步使用。最受欢迎的方法之一是所谓的网络钓鱼，即通过如下方式获得对用户的机密信息的访问权：发出以名牌的名义的消息、在各个服务(诸如社交网络或即时通讯系统)内的个人消息、以及创建和注册网站的搜索服务，这些网站声称为银行、因特网杂志、社交网络等的合法网站。由黑客发送到用户的电子邮件或消息经常包含通向外表上无法区分于真实网站的恶意网站、或通向将发生从其到恶意网站的转换的网站的链接。在用户在虚假网站上结束之后，黑客使用各种社交工程方法且试图怂恿用户输入其用于访问特定网站的机密信息，这使黑客获得对银行账户和其它账户的访问权。除了用户的机密信息的从前展示外，用户还冒着从这类虚假网站下载恶意软件应用程序之一的风险，这些恶意软件应用程序执行从受害计算机定期收集信息并传输到黑客。

为了处理上文描述的黑客攻击方法，使用技术来揭露网络钓鱼消息(诸如在电子邮件中)以及虚假网站。为此，针对用于网络钓鱼的数据(诸如特性图像、消息形成技术、尤其包含在消息中的脚本等等)在消息中执行搜索，对此使用网站的可信地址和不可信地址的库、来自网络钓鱼消息的措辞模版等等。上文描述的方法的示例之一为利用行为的签名或记录与先前找到的用于网络钓鱼的数据的相似度搜索正用于网络钓鱼的数据。在发现存在可疑对象时，通知用户潜在的危险。

尽管上文描述的方法善于基于对已知网络钓鱼方法和用于网络钓鱼的数据类型的分析来解决检测网络钓鱼(尤其网络钓鱼脚本)的领域中的某些问题，但是这些方法经常对使用网络钓鱼的新方式或用于网络钓鱼的数据的新类型毫无帮助。

发明内容

公开了用于检测网络钓鱼脚本的系统和方法。在一个示例性方面中，一种方法包括：通过硬件处理器生成脚本的字节码；通过所述硬件处理器计算生成的所述字节码的散列和；通过所述硬件处理器确定所述字节码的所述散列和与已知的网络钓鱼脚本的一组或多组散列和中的散列和之间的相似度；通过所述硬件处理器识别至少一组散列和，所述至少一组散列和包含与所述字节码的所述散列和的相似度在阈值范围内的散列和；通过所述硬件处理器确定所识别的至少一组散列和的紧密度系数和所识别的至少一组散列和的信任系数；以及通过所述硬件处理器基于所述相似度、所述紧密度系数和所述信任系数确定所述脚本是否为网络钓鱼脚本。

在一个示例性方面中，所述字节码包括所述脚本的至少一个操作码。