在线诈骗检测动态评分集合系统和方法

在线诈骗检测动态评分集合系统和方法
【专利摘要】在一些实施例中，一种防在线诈骗系统组合几个不同的诈骗过滤器的输出以产生指示所观察的目标文档(例如网页、电子邮件)是诈骗性的可能性的集合分数。可以并入新实施的诈骗过滤器，并且可以逐渐停用老化的诈骗过滤器，而无需重新计算各个分数或使集合诈骗分数重新归一化。每当计算各个过滤器的输出时，就以确保所述集合分数保持在通过最小可允许分数和最大可允许分数限定的预定界限内(例如，0到100)的方式更新所述集合分数。
【专利说明】在线诈骗检测动态评分集合系统和方法
【背景技术】
[0001]本发明涉及用于检测在线诈骗的方法和系统。
[0002]在线诈骗，尤其是钓鱼和窃取身份形式的在线诈骗，一直对全世界的因特网用户构成越来越大的威胁。通过在因特网上活动的国际犯罪网络骗到的例如用户名、ID、密码、社会保障号码和病历、银行卡和信用卡资料等敏感的身份信息被用来提取私人资金和/或被转卖给第三方。除了给个人的直接财务损失，在线诈骗还导致许多不希望的副作用，例如公司的安全成本增加、零售价格和银行费用提高、股票价值下跌、工资降低和税收减少。
[0003]在示范性钓鱼尝试中，假网站(有时也称为克隆网站)可以扮成属于在线零售商或金融机构的真实网页，要求用户输入一些个人/账户信息(例如，用户名、密码)和/或金融信息(例如，信用卡号、账号、卡安全码)。一旦无戒心的用户提交了信息，假网站就会采集这个信息。另外，用户可能会被引导到另一网页，这个网页可能会在用户的计算机上安装恶意软件。恶意软件(例如，病毒、木马)可以通过记录用户在访问某些网页时按压的按键而继续窃取个人信息，并且可以将用户的计算机变成发出其它钓鱼或垃圾邮件攻击的平台。
[0004]在因特网用户的计算机系统上运行的软件可用于识别诈骗在线文档，并且警告用户可能有钓鱼/窃取身份威胁。已经提议了几种方法来识别克隆网页，例如将网页的因特网地址与已知钓鱼地址或可信地址的列表(这些技术分别被称为黑名单和白名单)匹配。
[0005]在第7，457，823B2号美国专利中，史睿穆(Shraim)等人描述了一种系统，所述系统对网站或电子通信执行多个测试，基于测试中的每一个分配得分，基于所述多个测试中的每一个的得分分配复合得分，并且根据所述多个得分和/或所述复合得分将网站/电子通信分类成合法的或诈骗性的。
[0006]经验丰富的诈骗者持续开发出此类检测工具的对抗措施。此类对抗措施包含经常更改克隆网页的IP地址以便逃出黑名单。因为在线诈骗的类型和方法快速演变，所以成功的检测可能受益于新诈骗识别测试的开发。

【发明内容】

[0007]根据一个方面，一种方法包括采用计算机系统作为目标文档的第一诈骗分数和第二诈骗分数的组合确定目标文档的集合诈骗分数，其中根据不同的诈骗评估程序确定第一和第二诈骗分数；确定目标文档的第三诈骗分数；响应于确定第三诈骗分数，将所述集合诈骗分数修改根据第三诈骗分数与集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量；以及，响应于修改所述集合诈骗分数，根据修改的集合分数确定目标文档是不是诈骗性的。
[0008]根据另一方面，一种计算机系统包括经编程以进行以下操作的至少一个处理器；作为目标文档的第一诈骗分数和第二诈骗分数的组合确定所述目标文档的集合诈骗分数，其中所述第一和第二诈骗分数是根据不同的诈骗评估程序确定的；确定所述目标文档的第三诈骗分数；响应于确定所述第三诈骗分数，将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量；以及，响应于修改所述集合诈骗分数，根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
[0009]根据另一方面，一种方法包括:采用计算机系统确定目标文档是否包括指示诈骗的特征；响应于确定所述目标文档是否包括所述指示目标的特征，当所述目标文档包括所述指示诈骗的特征时，采用所述计算机系统将所述目标文档的集合诈骗分数的当前值修改与所述集合分数的所述当前值和所述集合诈骗分数的最大可允许值之间的差值成比例的量，其中作为多个各个诈骗分数的组合确定所述集合分数；以及响应于修改所述集合诈骗分数的所述当前值，采用所述计算机系统根据所述集合诈骗分数的所述修改的当前值确定所述电子文档是不是诈骗性的。
【专利附图】

【附图说明】
[0010]当阅读以下详细描述并且当参考图式时，本发明的前述方面和优点将得到更好的理解，其中:
[0011]图1展示根据本发明的一些实施例的示范性防在线诈骗系统。
[0012]图2展示根据本发明的一些实施例的客户端系统的示范性硬件配置。
[0013]图3展示根据本发明的一些实施例的反诈骗服务器系统的示范性硬件配置。
[0014]图4说明在根据本发明的一些实施例的客户端系统上执行的一组应用程序。
[0015]图5展示根据本发明的一些实施例的在图1-2的反诈骗服务器上执行的示范性的一组应用程序。
[0016]图6说明根据本发明的一些实施例的客户端系统与反诈骗服务器之间的示范性诈骗检测事务。
[0017]图7展示根据本发明的一些实施例的示范性服务器诈骗检测器应用程序的图。
[0018]图8展示根据本发明的一些实施例通过客户端系统执行的步骤的示范性序列。
[0019]图9说明根据本发明的一些实施例通过反诈骗服务器执行的步骤的示范性序列。
【具体实施方式】
[0020]在以下描述中，应理解，结构之间的所有所列举的连接可以是直接操作性连接，或者通过中间结构的间接操作性连接。一组要素包含一个或多个要素。对要素的任何引述应理解为指的是至少一个要素。多个要素包含至少两个要素。除非以其它方式必需，否则不需要必然以特定所说明的次序执行任何所描述的方法步骤。从第二要素导出的第一要素(例如数据)涵盖等于第二要素的第一要素，以及通过处理第二要素和任选地其它数据而产生的第一要素。根据参数作出确定或决策涵盖根据参数和任选地根据其它数据作出确定或决策。除非另外规定，否则某一数量/数据的指示符可以是数量/数据本身，或者是不同于数量/数据本身的指示符。本发明的一些实施例中描述的计算机程序可以是独立的软件实体或其它计算机程序的子实体(例如，子例程、代码对象)。除非另外规定，否则术语在线诈骗不限于诈骗网站，而是还涵盖其它非法或未经请求的商用电子通信，例如电子邮件、即时消息和电话文本和多媒体消息等等。计算机可读媒体涵盖例如磁性、光学和半导体媒体(例如硬驱动器、光盘、快闪存储器、DRAM)等非暂时存储媒体以及例如导电电缆和光纤链路等通信链路。根据一些实施例，本发明尤其提供包括经过编程以执行本文中所描述的方法的硬件(例如，一个或多个处理器和/或存储器)以及对指令进行编码以执行本文中所描述的方法的计算机可读媒体的计算机系统。
[0021]以下描述举例说明本发明的实施例，并且未必以限制方式说明本发明的实施例。
[0022]图1展示根据本发明的一些实施例的示范性防在线诈骗系统。系统10包含多个网络服务器12a_b、一个反诈骗服务器16和多个客户端系统14a_b。客户端系统14a_b可以表示最终用户计算机，其各自具有处理器、存储器和存储装置，并且运行例如Wirukm s K ,\laeOS*或Linux等操作系统。一些客户端计算机系统14a_b可以表示例如平板PC、移动电话和个人数字助理(PDA)等移动计算和/或电信装置。在一些实施例中，客户端系统14a-b可以表示各个客户，或者几个客户端系统可以属于相同客户。反诈骗服务器16可包含一个或多个计算机系统。网络18连接网络服务器12a_b、客户端系统14a_b和反诈骗服务器16。网络18可以是例如因特网等广域网，而网络18的一些部分还可包含局域网(LAN)。
[0023]图2展示客户端系统14的示范性硬件配置。在一些实施例中，系统14包括处理器20、存储器单元22、一组输入装置24、一组输出装置28、一组存储装置26和一个通信接口控制器30，这些装置全部通过一组总线32连接起来。
[0024]在一些实施例中，处理器20包括物理装置(例如，多核集成电路)，所述物理装置经配置以使用一组信号和/或数据执行计算和/或逻辑操作。在一些实施例中，用处理器指令序列(例如机器代码或其它类型的软件)的形式将此类逻辑操作传递到处理器20。存储器单元22可包括存储在执行指令的过程中通过处理器20存取或产生的数据/信号的易失性计算机可读媒体(例如，RAM)。输入装置24可尤其包含计算机键盘和鼠标，从而允许用户将数据和/或指令引入到系统14中。输出装置28可包含例如监视器等显示装置。在一些实施例中，输入 装置24和输出装置28可以共享共同的一件硬件，如同在触屏装置的情况下。存储装置26包含支持软件指令和/或数据的非易失性存储、读取和写入的计算机可读媒体。示范性存储装置26包含磁盘和光盘和快闪存储器装置以及例如CD和/或DVD磁盘和驱动器等可装卸媒体。通信接口控制器30使得系统14能够连接到网络18和/或连接到其它机器/计算机系统。典型的通信接口控制器30包含网络适配器。总线32共同地表示所述多个系统、外围设备和芯片组总线，和/或所有其它支持系统14的装置20-30之间的通信的电路。举例来说，总线32可包括将处理器20连接到存储器22的北桥总线和/或将处理器20连接到装置24-30的南桥总线以及其它装置。
[0025]图3展示根据本发明的一些实施例的反诈骗服务器16的示范性硬件配置。反诈骗服务器16可以是包括服务器处理器120、服务器存储器122、一组服务器存储装置126和服务器通信接口控制器130的计算机系统，上述装置全部经由一组服务器总线132彼此连接。虽然硬件配置的一些细节可能在反诈骗服务器16与客户端系统14(图2)之间有不同，但是装置120、122、126、130和132的范围可以分别类似于上述装置20、22、26、30和32的范围。
[0026]图4展示在客户端系统14上执行的示范性的一组应用程序。在一些实施例中，每一客户端系统14a-b包括文档阅读器应用程序34(例如，网络浏览器、电子邮件阅读器、媒体播放器)，所述文档阅读器应用程序可以是用于远程存取存储在网络服务器12a_b上的数据的计算机程序。当用户存取例如网页或电子消息等在线文档(以下论述中称为目标文档)时，与目标文档相关联的数据在相应网络服务器与客户端系统14之间的网络18的部分上传播。在一些实施例中，文档阅读器应用程序34接收目标文档数据，将目标文档数据翻译成视觉形式，并且将其显示给用户，从而允许用户与目标文档的内容交互。
[0027]在一些实施例中，文档阅读器应用程序34包含客户端诈骗检测器36和客户端通信管理器37，其连接到文档阅读器34。在一些实施例中，客户端诈骗检测器36可以确定目标文档是不是诈骗性的。举例来说，如果目标网页复制了请求用户的凭证的合法银行网页的视觉/语义特性，那么客户端诈骗检测器36可以将目标网页识别为钓鱼页面。如果检测到诈骗，那么检测器36的一些实施例可以阻止文档阅读器34显示目标网页，并且/或者向用户发出诈骗警告。诈骗检测器36可以用插件、附件或工具栏的形式与文档阅读器34合并。或者，客户端诈骗检测器36可以是独立的软件应用程序，或者可以是具有防病毒程序、防火墙、防垃圾邮件系统和其它模块的安全套件的模块。在一些实施例中，诈骗检测器36的操作可以由用户打开和关闭。
[0028]在一些实施例中，客户端通信管理器37经配置以管理客户端系统14与反诈骗服务器16和/或网络服务器12a-b的通信。举例来说，管理器37可以经由网络18建立连接，并且向服务器12a-b和16发送数据和从所述服务器接收数据。
[0029]图5展示根据本发明的一些实施例的在反诈骗服务器16上执行的一组示范性应用程序。反诈骗服务器16可包括服务器诈骗检测器38、服务器通信管理器46、诈骗分数数据库42和过滤器参数数据库44，这些装置全部连接到检测器38。在一些实施例中，服务器16还可包括连接到过滤器参数数据库44的过滤器训练引擎48。在一些实施例中，服务器诈骗检测器38经配置以执行与客户端系统14a-b的多个诈骗检测事务。对于每一此事务，服务器诈骗检测器38经配置以执行服务器侧扫描以确定相应客户端系统存取的目标文档是不是诈骗性的，如下文所详细描述。服务器通信管理器46经配置以管理与客户端系统14a-b的通信。举例来说，管理器46可以经由网络18建立连接，向客户端系统14a_b发送数据/从所述客户端系统接收数据，维护进行中的诈骗检测事务的列表和使目标文档数据与发端客户端系统14a_b相关联。
[0030]维护诈骗分数数据库42作为在线诈骗知识储存库。在一些实施例中，数据库42包括针对多个目标文档所计算的多个记录诈骗分数，如下文中进一步描述。数据库42中存储的每一分数可包含额外信息，例如指示计算或更新相应分数时的时间点的时戳，和/或用来计算相应分数的诈骗过滤器的指示符(例如过滤器ID)(见下文)。与诈骗分数一起，数据库42还可存储包括多个目标对象识别符(例如对象ID、标记、散列)(每一对象识别符与目标文档独特地相关联)和使每一诈骗分数与计算诈骗分数所针对的目标文档相关联的映射的数据结构，从而允许服务器诈骗检测器38从数据库42选择性地检索所记录的诈骗分数，如下文所展示。在一些实施例中，诈骗分数数据库42可以驻留在与服务器16不同的计算机系统上，但经由网络18连接到服务器16。或者，数据库42可以驻留在连接到服务器16的非易失性计算机可读媒体上。
[0031]在一些实施例中，过滤器参数数据库44包括确定诈骗过滤器的操作的一组过滤器特定的参数(见下文)。过滤器参数的实例包含基于神经网络的过滤器的每层多个神经元和一组神经元权重,基于k均值的分类器中的丛集中心的位置和图像处理过滤器中的颜色直方图二进制数的数目和位置。过滤器参数的其它实例包含决策阈值、一组网络地址、一组指示诈骗的关键词和域名的黑名单/白名单。在一些实施例中，由操作人员提供存储在数据库44中的过滤器参数的值。在一些实施例中，诈骗过滤器可以经过训练(经最佳化)通过改变过滤器参数的值来改进诈骗检测性能。举例来说，过滤器训练引擎48可经配置以产生有待存储在数据库44中的一组过滤器参数(例如，训练神经网络过滤器以区分诈骗文档与合法文档可以产生一组神经元权重)。在一些实施例中，过滤器训练引擎48可以对与反诈骗服务器16不同的计算机系统进行操作，在此情况下，引擎48所计算的过滤器参数可以经由周期性或按需更新而传送到服务器16。
[0032]图6说明示范性客户端-服务器诈骗检测事务。当用户请求存取在线文档(例如网页)时，相应客户端系统14可以向反诈骗服务器16发送目标指示符40，并且可以从服务器16接收目标标签50。在一些实施例中，目标指示符40包括允许反诈骗服务器16选择性地存取和/或检索相应目标文档的数据。示范性目标指示符40包括目标网页的统一资源定位符(URL)、目标文档的网络地址和目标因特网域的IP地址。在一些实施例中，目标指示符40可包括目标对象的对象识别符(例如散列)、服务器16可存取的数据库中的目标对象的地址(例如指针)或目标对象本身(部分或全部)。目标指示符40的一些实施例还可包括与相应目标文档相关联的其它数据(例如，来自目标文档的HTTP标头的字段、目标文档的大小和/或时戳)。
[0033]在一些实施例中，目标标签50包括目标文档的诈骗状态(例如，诈骗、合法)的指示符，所述诈骗状态是反诈骗服务器16在相应诈骗检测事务过程中确定的。目标标签50还可包括相应目标对象的识别符(对象ID等)以及例如时戳和检测到的诈骗类型(例如，钓鱼)的指示符等其它数据。
[0034]图7展示根据本发明的一些实施例的服务器诈骗检测器38的图。诈骗检测器38包括剖析器52、连接到剖析器52的一组诈骗过滤器54 (在图7中指示为Fl...Fn)、连接到过滤器54的分数集合器70和连接到分数集合器70的决策模块66。在一些实施例中，诈骗检测器38从客户端系统14接收目标指示符40，并且产生指示指示符40所识别的目标文档是不是诈骗性的目标标签50。服务器诈骗检测器38还可从诈骗分数数据库42检索记录诈骗分数62和从过滤器参数数据库44检索一组过滤器参数56，并且可以向分数数据库42输出集合诈骗分数64。
[0035]在一些实施例中，剖析器52接收目标指示符40并且将与指示符40相关联的目标文档处理成合适作为对多个诈骗过滤器54的输入的形式。举例来说，当目标文档是网页时，剖析器52可以将目标网页分成构成实体(例如标头、主体、文本部分、图像等)，可以识别例如形式和超链接等多种特征，并且从HTTP标头提取特定数据(例如推荐符URL)等等。在一些实施例中，剖析器52可以根据目标指示符40确定目标文档的位置(例如，URL)，并且指令服务器通信管理器46从相应位置下载目标文档的拷贝。
[0036]在一些实施例中，诈骗过滤器54是计算机程序，其各自实施用于评估通过目标指示符40指示的文档的合法性的不同程序。在一些实施例中，每一诈骗过滤器54的操作可包括评估相应目标文档以寻找指示诈骗的特征(诈骗文档的特性)和/或指示合法性的特征(合法文档的特性)。指示诈骗的特征的实例是诈骗推荐符:当用户通过点击钓鱼电子邮件中找到的链接时被引导到某个网页时，相应网页具有高诈骗概率。另一指示诈骗的特征是在目标网页中存在登录表格。指示合法性的特征的实例是高流量:接收到高流量的域的诈骗的可能性小于仅仅收到几个访问者的域。
[0037]下文列出几个示范性诈骗过滤器54:
[0038]a)推荐符过滤器可以根据相应文档的推荐符确定目标文档是不是诈骗性的。在一些实施例中，推荐符是将用户链接和/或引导到目标文档的文档(例如网页)。举例来说，网页的HTTP标头可包括就在目前的URL (也称为推荐符URL)之前访问的页面的URL。在一些实施例中，过滤器54维护推荐符URL的黑名单和/或白名单，并且将目标文档的推荐符与黑名单/白名单条目比较。在一些实施例中，通过黑名单里的URL参考的页面被标记为诈骗性的。在其它实施例中，被辨识为垃圾邮件消息、恶意软件和/或社交网站的推荐符可与比例如个人网页和搜索引擎等推荐符更高的诈骗概率相关联。
[0039]b)网页布局过滤器可以根据目标文档的视觉布局来确定目标文档是不是诈骗性的。在一些实施例中，可以给视觉上组织成登录页面的网页分配高诈骗概率。
[0040]c)关键词过滤器可以维护通常与诈骗相关联的关键词的列表。目标文档中存在此类关键词可以确定过滤器要将相应目标文档标记为诈骗性的。
[0041]d)因特网域历史过滤器可以使用关于一个因特网域的历史数据来确定所述域托管的目标文档的合法性。在一些实施例中，当存在相应域曾经托管过诈骗网页(例如钓鱼)或曾受到黑客攻击的指示时，可以给目标文档分配高诈骗概率。
[0042]e)因特网域名誉过滤器可以采用一组名誉指示符，例如域所有者的身份和/或地址，域首次在当前所有权下注册时的日期等。在一些实施例中，可以给所有者与已知诈骗域的所有者相同的域分配高诈骗概率。在一些实施例中，还给展示出所有权的频繁变化的域分配托管诈骗文档的高概率。
[0043]因为在线诈骗的形式和内容在不断地变化，所以过滤器54的诈骗检测性能可以随时间变化。在一些实施例中，可以通过添加新过滤器和移除被视为过时的早期过滤器而使多个诈骗过滤器54保持最新。可以引入(举例来说)具有新颖的指示诈骗的特征的标识的新过滤器。在一些实施例中，诈骗过滤器54可以由操作人员选择性地打开或关闭。或者，过滤器可以在某一服务时间(例如，一年)之后或根据其它准则自动失活。在一些实施例中，每一诈骗过滤器54可包括一个识别符(过滤器ID)，其区别这个诈骗过滤器与其它诈骗过滤器，从而允许服务器诈骗检测器38选择性地采用诈骗过滤器的任何组合，并且维护哪些诈骗过滤器被用来评估每一目标文档的记录。
[0044]每一诈骗过滤器54输入来自剖析器52的目标文档的一组数据，和来自过滤器参数数据库44的一组过滤器参数56，并且向分数集合器70输出一个分数60。在一些实施例中，每一分数60是O到I之间的数字。分数60可以指示诈骗(高分表示目标文档的诈骗概率较高)和/或指示合法(高分表示目标文档的合法概率较高)。举例来说，某一诈骗过滤器54产生的指示诈骗的分数0.85可以指示根据所述特定诈骗过滤器相应文档有85%的可能性是诈骗性的。在一些实施例中，分数60可以具有二进制值(例如，1/0，是/否)。
[0045]表I
[0046]
【权利要求】
1.一种方法，其包括: 采用计算机系统确定作为目标文档的第一诈骗分数与第二诈骗分数的组合的所述目标文档的集合诈骗分数，其中根据不同的诈骗评估程序确定所述第一和第二诈骗分数； 采用所述计算机系统确定所述目标文档的第三诈骗分数； 响应于确定所述第三诈骗分数，采用所述计算机系统将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量；以及 响应于修改所述集合诈骗分数，采用所述计算机系统根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
2.根据权利要求1所述的方法，其中响应于将对应于所述第三诈骗分数的不同的诈骗评估程序添加到用于产生所述集合诈骗分数的一组诈骗评估程序而执行采用所述计算机系统确定所述目标文档的所述第三诈骗分数。
3.根据权利要求1所述的方法，其中根据以下函数确定所述第一量:
(Smax-SA) w ο 其中Sa和Smax分别是所述集合分数和所述最大可允许集合分数，其中σ是所述第三诈骗分数，并且其中w是指示所述第三分数的可靠性的数字。
4.根据权利要求1所述的方法，其中确定所述第三诈骗分数包括确定所述目标文档是否包含指示诈骗的特征，并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示诈骗的特征时将所述集合诈骗分数增加所述第一量。
5.根据权利要求1所述的方法，其进一步包括响应于采用所述计算机系统确定所述集合分数: 采用所述计算机系统确定所述目标文档的第四诈骗分数；以及 采用所述计算机系统将所述集合诈骗分数修改根据所述第四诈骗分数与所述集合分数和最小可允许集合分数之间的差值的乘积所确定的第二量。
6.根据权利要求5所述的方法，其中根据以下函数确定所述第二量:
(SA-Smin) w ο 其中34和3_分别是所述集合分数和所述最小可允许集合分数，其中σ是所述第四诈骗分数，并且其中w是指示所述第四分数的可靠性的数字。
7.根据权利要求5所述的方法，其中确定所述第四诈骗分数包括确定所述目标文档是否包含指示合法的特征，并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示合法的特征时将所述集合诈骗分数减小所述第二量。
8.根据权利要求1所述的方法，其中确定所述第三诈骗分数包括评估包括到所述目标文档的超链接的推荐符文档。
9.根据权利要求8所述的方法，其中评估所述推荐符文档包括确定所述推荐符文档是不是社交网站网页。
10.根据权利要求8所述的方法，其中评估所述推荐符文档包括确定所述推荐符文档是不是垃圾邮件消息。
11.根据权利要求1所述的方法，其中确定所述第三诈骗分数包括确定所述目标文档是否包括指示诈骗的布局特征。
12.根据权利要求11所述的方法，其中所述布局特征包括电子表格。
13.根据权利要求1所述的方法，其中确定所述第三诈骗分数包括确定托管所述目标文档的因特网域是否曾受到黑客攻击。
14.一种计算机系统，其包括经过编程以进行以下操作的至少一处理器: 作为目标文档的第一诈骗分数和第二诈骗分数的组合确定所述目标文档的集合诈骗分数，其中所述第一和第二诈骗分数是根据不同的诈骗评估程序确定的； 确定所述目标文档的第三诈骗分数； 响应于确定所述第三诈骗分数，将所述集合诈骗分数修改根据所述第三诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量；以及 响应于修改所述集合诈骗分数，根据所述修改的集合分数确定所述目标文档是不是诈骗性的。
15.根据权利要求14所述的计算机系统，其中确定所述目标文档的所述第三诈骗分数是响应于将对应于所述第三诈骗分数的不同的诈骗评估程序添加到用于产生所述集合诈骗分数的一组诈骗评估程序而执行的。
16.根据权利要求14所述的计算机系统，其中根据以下函数确定所述第一量:
(Smax-SA) w ο 其中Sa和Smax分别是所述集合分数和所述最大可允许集合分数，其中σ是所述第三诈骗分数，并且其中w是指示所述第三分数的可靠性的数字。
17.根据权利要求14所述的计算机系统，其中确定所述第三诈骗分数包括确定所述目标文档是否包含指示诈骗的特征，并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示诈骗的特征时将所述集合诈骗分数增加所述第一量。
18.根据权利要求14所述的计算机系统，其中所述处理器进一步经编程以响应于确定所述集合分数: 确定所述目标文档的第四诈骗分数；以及 将所述集合诈骗分数修改根据所述第四诈骗分数与所述集合分数和最小可允许集合分数之间的差值的乘积所确定的第二量。
19.根据权利要求18所述的计算机系统，其中根据以下函数确定所述第二量:
(SA-Smin) w O 其中34和3_分别是所述集合分数和所述最小可允许集合分数，其中σ是所述第四诈骗分数，并且其中w是指示所述第四分数的可靠性的数字。
20.根据权利要求19所述的计算机系统，其中确定所述第四诈骗分数包括确定所述目标文档是否包含指示合法的特征，并且其中修改所述集合诈骗分数包括当所述目标文档包含所述指示合法的特征时将所述集合诈骗分数减小所述第二量。
21.根据权利要求14所述的计算机系统，其中确定所述第三诈骗分数包括评估包括到所述目标文档的超链接的推荐符文档。
22.根据权利要求21所述的计算机系统，其中评估所述推荐符文档包括确定所述推荐符文档是不是社交网站网页。
23.根据权利要求21所述的计算机系统，其中评估所述推荐符文档包括确定所述推荐符文档是不是垃圾邮件消息。
24.根据权利要求14所述的计算机系统，其中确定所述第三诈骗分数包括确定所述目标文档是否包括指示诈骗的布局特征。
25.根据权利要求24所述的计算机系统，其中所述布局特征包括电子表格。
26.根据权利要求14所述的计算机系统，其中确定所述第三诈骗分数包括确定托管所述目标文档的因特网域是否曾受到黑客攻击。
27.—种方法,其包括: 采用计算机系统确定目标文档是否包括指示诈骗的特征； 响应于确定所述目标文档是否包括所述指示目标的特征，当所述目标文档包括所述指示诈骗的特征时，采用所述计算机系统将所述目标文档的集合诈骗分数的当前值修改与所述集合分数的所述当前值和所述集合诈骗分数的最大可允许值之间的差值成比例的量，其中作为多个单个诈骗分数的组合确定所述集合分数；以及 响应于修改所述集合诈骗分数的所述当前值，采用所述计算机系统根据所述集合诈骗分数的所述修 改的当前值确定所述电子文档是不是诈骗性的。
【文档编号】G06F21/56GK104040557SQ201280066499
【公开日】2014年9月10日 申请日期:2012年9月5日 优先权日:2012年1月17日
【发明者】N·马里乌斯·蒂贝卡, O·阿林·达米安, L·勒兹万·维尚 申请人:比特梵德知识产权管理有限公司