相關(guān)申請(qǐng)的交叉引用

根據(jù)35U.S.C.§119，本申請(qǐng)要求2011年7月8日提交的臨時(shí)專利申請(qǐng)序列號(hào)61/505,630的優(yōu)先權(quán)，標(biāo)題為“SyntacticalFingerprinting”，其全部?jī)?nèi)容在此引用作為參考。

技術(shù)領(lǐng)域

本發(fā)明針對(duì)自動(dòng)地識(shí)別在工具欄內(nèi)新觀察到的網(wǎng)絡(luò)釣魚網(wǎng)站、為了調(diào)查而正確地標(biāo)注所述網(wǎng)絡(luò)釣魚網(wǎng)站以及確定所述網(wǎng)絡(luò)釣魚網(wǎng)站的流行和起源的方法。

背景技術(shù)

研發(fā)人員已經(jīng)提出許多不同的技術(shù)用于檢測(cè)文件之間的相似性，比如確定源代碼中變化的技術(shù)，例如普遍存在的Unix實(shí)用程序diff，或者通過ssdeep取證地識(shí)別系統(tǒng)文件的變種或惡意軟件。這些實(shí)用程序提供了確定文件變化的好處，比如對(duì)代碼段的編輯或者諸如插入或刪除若干字節(jié)的小變化。不過，需要幾乎嚴(yán)格匹配并非總是切合實(shí)際，并且這些技術(shù)對(duì)文件的起源是否相同不提供指示。為了識(shí)別網(wǎng)站是不是惡意，文件不一定需要完全相同，網(wǎng)絡(luò)釣魚就是一個(gè)實(shí)例情況。常用組件如表單和JavaScript函數(shù)過程在計(jì)算機(jī)罪犯的這個(gè)子集之中被開發(fā)和重用，從而能夠被用于識(shí)別新的網(wǎng)絡(luò)釣魚網(wǎng)站以及聚集類似的網(wǎng)站。

網(wǎng)絡(luò)釣魚是社會(huì)工程攻擊，通常通過模仿機(jī)構(gòu)，典型情況下模仿金融機(jī)構(gòu)的網(wǎng)站誘騙受害者提供敏感信息。收集的信息隨后用于獲得對(duì)賬戶信息的訪問權(quán)限或用于身份竊取。2008年，Gartner的研究報(bào)告了2008年因網(wǎng)絡(luò)釣魚欺詐超過500萬美國(guó)人損失平均361美元，損失大約將近20億美元。有兩種方法應(yīng)對(duì)這些攻擊：反應(yīng)和主動(dòng)行動(dòng)。

反應(yīng)方式是用于許多金融機(jī)構(gòu)的情況，其中惡意內(nèi)容在被稱為“拆卸”的過程中從因特網(wǎng)去除。典型情況下，機(jī)構(gòu)把這個(gè)過程外包給“拆卸”公司。這些公司接收可能惡意的URL并判斷這些URL是不是網(wǎng)絡(luò)釣魚。如果網(wǎng)站是網(wǎng)絡(luò)釣魚網(wǎng)站，那么聯(lián)系該URL所在域的系統(tǒng)管理員隨后要求他刪除該內(nèi)容。不過，某些機(jī)構(gòu)已經(jīng)開始了主動(dòng)行動(dòng)方式，通過起訴和定罪以阻止網(wǎng)絡(luò)釣魚者從事未來的攻擊。

機(jī)構(gòu)的反應(yīng)響應(yīng)包括在惡意內(nèi)容到達(dá)潛在受害者之前,經(jīng)由電子郵件過濾器和瀏覽器工具欄阻止它。電子郵件服務(wù)提供商、郵箱軟件比如微軟的Outlook和Mozilla?Thunderbird或者反垃圾郵件廠商使用了惡意內(nèi)容所在的已知網(wǎng)站的URL列表（黑名單）、URL內(nèi)的特征以及統(tǒng)計(jì)技術(shù)（DSPAM，SpamAssassin等）以阻擋網(wǎng)絡(luò)釣魚郵件到達(dá)潛在的受害者。為了適應(yīng)垃圾郵件過濾器，網(wǎng)絡(luò)釣魚者經(jīng)由HTML隱藏電子郵件消息內(nèi)的內(nèi)容，假冒發(fā)件人的電子郵件和IP地址，并且創(chuàng)建隨機(jī)URL把受害者重定向到網(wǎng)絡(luò)釣魚網(wǎng)站。這些重定向可以協(xié)助使黑名單無效，因?yàn)槊總€(gè)URL都可以是隨機(jī)地唯一的。此外，研究人員已經(jīng)顯示出：黑名單識(shí)別出足夠百分比的URL要花兩小時(shí)而這些URL的垃圾郵件活動(dòng)──這是指為共同意圖而發(fā)送簡(jiǎn)短、高容量分發(fā)的電子郵件消息──平均持續(xù)四至六小時(shí)。所以，到把URL列入黑名單之時(shí)，罪犯很可能已經(jīng)轉(zhuǎn)移到下一個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站向新的URL發(fā)送垃圾郵件。

瀏覽器工具欄是另一種反應(yīng)措施，往往采用類似技術(shù)識(shí)別網(wǎng)絡(luò)釣魚網(wǎng)站。工具欄使用URL黑名單與網(wǎng)站內(nèi)容的啟發(fā)式的結(jié)合以警告用戶網(wǎng)絡(luò)釣魚內(nèi)容（Mozilla?Firefox2011;Internet?Explorer?2011;Netcraft2011）。這些基于內(nèi)容的技術(shù)能夠使用網(wǎng)站的文本分析、WHOIS信息和圖像分析用于識(shí)別。這是這些反應(yīng)方式的一個(gè)主要弱點(diǎn)，并且是為何某些機(jī)構(gòu)也已經(jīng)開始采用主動(dòng)行動(dòng)方式的原因。

機(jī)構(gòu)的某些響應(yīng)已經(jīng)轉(zhuǎn)向更為主動(dòng)行動(dòng)的方式，使用調(diào)查人員和法律實(shí)施以利用起訴和刑期的后果阻止網(wǎng)絡(luò)釣魚者。另一方面已經(jīng)證明，對(duì)網(wǎng)絡(luò)釣魚的調(diào)查難以調(diào)查和定罪。調(diào)查人員往往缺乏必要的工具和分析數(shù)據(jù)對(duì)罪犯建立強(qiáng)有力的證據(jù)。研究人員已經(jīng)試圖收集關(guān)于網(wǎng)絡(luò)釣魚事件的集合信息，以提供關(guān)于這種犯罪行為流行程度的數(shù)據(jù)報(bào)告。2007年，網(wǎng)絡(luò)釣魚者在相同的IP區(qū)塊創(chuàng)建若干域并主管這些域。為了把由同一網(wǎng)絡(luò)釣魚者創(chuàng)建的網(wǎng)站分在一組，開發(fā)了聚集算法，根據(jù)IP地址或網(wǎng)絡(luò)確定網(wǎng)絡(luò)釣魚網(wǎng)站的流行。因此根據(jù)這些網(wǎng)站所在之處指示網(wǎng)絡(luò)釣魚者的范圍。不過，最近已經(jīng)證明，網(wǎng)絡(luò)釣魚者正在共享常用的攻擊工具，并且有可能使用相同的漏洞利用工具危害網(wǎng)絡(luò)服務(wù)器；因此，如果若干網(wǎng)絡(luò)釣魚網(wǎng)站處在同一網(wǎng)絡(luò)上，未必表明該網(wǎng)站由同一網(wǎng)絡(luò)釣魚者創(chuàng)建。