本申请要求于2015年12月21日提交的序列号为14/976,549的美国申请的优先权权益,其通过引用整体并入本文。
本申请一般性地涉及电子消息的技术领域,并且在一个具体示例中,提供与可疑消息相对应的警报。
背景技术:
许多传统的计算环境涉及使用计算机来发送和接收消息。网络钓鱼是通过在电子通信中伪装成可信实体来试图获取诸如用户名、密码等敏感信息。声称来自流行的社交网站、拍卖网站、银行、在线支付处理器或信息技术(it)管理员的通信通常被用于引诱毫无警惕的受害者。网络钓鱼电子邮件可能包含指向被恶意软件感染的网站的链接。网络钓鱼通常是通过电子邮件欺诈或即时消息进行的,它通常会引导用户在与合法网站看上去几乎完全相同的假冒网站上输入详细信息。
附图说明
一些实施例通过示例而非限制性地在附图中示出。
图1是示出根据示例实施例的适用于警报管理器的网络环境的网络图。
图2是示出根据示例实施例的适用于警报管理器的服务器机器的组件的框图。
图3是示出用于使得计算设备执行与本文所述的本发明的示例实施例一致的各种动作的警报管理器的各种模块的框图。
图4是示出根据示例实施例的接收到的具有可选功能的消息的框图,其中警报管理器确定所述消息可能是从欺诈源发送的。
图5是示出根据示例实施例的警报管理器将当前浏览行为与历史浏览行为进行比较以便预测何时可选功能将被选择的框图。
图6是示出根据示例实施例的警报管理器将警报消息特征应用于接收到的消息的框图。
图7是示出根据示例实施例的警报管理器的操作的流程图。
图8是示出根据示例实施例的能够从机器可读介质读取指令并执行本文讨论的任何一种或多种方法的机器的组件的框图。
具体实施方式
描述了涉及警报管理器的示例方法和系统。在下面的描述中,为了解释的目的,阐述了许多具体细节以便提供对示例实施例的透彻理解。然而,对于本领域技术人员明显的是,可以在没有这些具体细节的情况下实践本发明的示例实施例。
根据本文描述的各种实施例,警报管理器检测对消息的接收。消息包括用于访问外部资源的可选功能(诸如超链接),并且消息还包括指示该消息的来源的消息数据。警报管理器确定外部资源的地址与消息来源的地址之间的差异程度。阈值差异程度表示消息具有潜在欺诈性。警报管理器由于外部资源的地址与消息来源的地址之间的阈值差异程度而产生消息警报特征。
警报管理器将接收者的当前消息浏览行为与接收者的历史消息浏览行为进行比较,以便生成关于接收者何时或是否将与可选功能进行交互的预测。在预测的接收者与可选功能的交互之前,警报管理器将呈现消息警报特征。因此,在接收者最有可能针对可选功能采取动作的时刻消息警报特征提供视觉提示,提示消息具有潜在欺诈性。
在示例实施例中,与用户相关联的客户端设备执行警报管理器的实例。警报管理器监测用户对各种电子邮件消息的浏览行为。例如,对于多个电子邮件,警报管理器监测用户访问相应电子邮件和回复该相应电子邮件之间的时间量。警报管理器监测在用户对接收到的电子邮件采取任何类型的动作之前发生的各种输入设备模式(诸如计算机鼠标光标移动)。警报管理器监测对用户未施加动作的电子邮件发生的各种输入设备模式。警报管理器监测此类浏览行为以构建用户的历史简档。因此,用户的历史简档包括基于所有的用户消息浏览行为(例如消息访问、消息回复、链接选择、消息关闭、消息删除、消息附件的访问)的历史消息交互数据,其允许警报管理器确定用户的典型的和期望的消息交互行为。
警报管理器检测到用户的客户端设备已经接收到在消息主体中包括可选链接(诸如url)的消息。消息头部包含消息发送者的地址。警报管理器检测到用户的客户端设备已经访问了该消息,并将与该消息相对应的用户当前浏览行为与用户的历史消息交互数据进行比较,以便预测用户是否以及何时将输入动作施加到该可选链接,诸如链接上的“点击”。
警报管理器比较与可选链接对应的目的地址和消息发送者的地址。警报管理器确定可选链接的目的地址的文本与消息发送者地址的文本之间存在实质性差异。这种实质性差异表明该消息具有潜在欺诈性,并且消息发送者可能通过使用虚假身份获得用户的信任来试图说服用户访问可选链接的目的地址。
警报管理器确定用户的当前浏览行为与用户的历史消息交互数据中的与用户施加肯定动作(例如,回复消息,选择消息主体中的链接等)的先前消息相对应的部分相匹配。基于这样的匹配,警报管理器利用用户的历史简档的匹配部分来生成关于用户何时最有可能在某个时间范围内选择链接的预测。警报管理器生成消息警报特征,诸如更改消息主体或链接的外观。在警报管理器预测的用户可能选择链接的时间范围内,警报管理器呈现警报特征,以通知用户回复消息或选择链接可能导致访问链接的潜在的欺诈目的地址。
应理解,在各种示例实施例中,由本文所述的警报管理器生成的任何模块包括源代码,所述源代码在由计算设备(或计算机设备)编译时创建目标代码,所述目标代码使得计算设备执行本文描述的各种动作。在其他实施例中,由本文描述的警报管理器生成的任何模块包括使计算设备执行本文描述的各种动作的目标代码。
图1是示出根据示例实施例的适用于警报管理器的网络环境100的网络图。网络环境100包括服务器机器110、数据库115和设备130和150,其都通过网络190彼此通信地耦合。服务器机器110可以形成基于网络的系统105(例如,被配置为向设备130和150提供一个或多个服务的基于云的服务器系统)的全部或部分。服务器机器110以及设备130和150各自可以全部或部分地在计算机系统中实现,如下面关于图8所描述的。还应理解的是,警报管理器也可以全部或部分地在计算机系统中实现,如下面关于图8所述。
图1中还示出用户132和152。用户132和152中的一个或两个可以是人类用户(例如人类)、机器用户(例如,由软件配置用于与设备130交互的计算机)、或其任何适当的组合(例如,由机器辅助的人或由人监督的机器)。用户132不是网络环境100的一部分,而是与设备130相关联并且可以是设备130的用户。例如,设备130可以是台式计算机、车辆计算机、平板电脑、导航设备、便携式媒体设备、智能手机或属于用户132的可穿戴设备(例如,智能手表或智能眼镜)。同样,用户152不是网络环境100的一部分,而是与设备150相关联。作为示例,设备150和设备130各自可以运行本文描述的警报管理器128的实例,并且可以表示台式计算机、车辆计算机、平板电脑、导航设备、便携式媒体设备、智能电话、无线移动设备、销售点设备、售货亭计算设备或属于用户132的可穿戴设备(例如,智能手表或智能眼镜)。
图1中所示的机器、数据库或设备中的任何一个可以实现在通用计算机中,所述通用计算机被软件(例如,一个或多个软件模块)修改(例如,配置或编程)为专用计算机以执行本文描述的该计算机、数据库或设备的功能中的一个或多个功能。例如,本文描述的包含警报管理器128的计算机系统将在下面参照图8进行讨论。如本文所使用的,“数据库”是数据存储资源并且可以存储被构建为文本文件、表格、电子表格、关系数据库(例如,对象关系数据库)、三重存储、分层数据存储或其任何适当的组合。此外,图1中所示的机器、数据库或设备中的任何两个或更多个可以被组合到单个机器中,并且本文描述的任何单个机器、数据库或设备的功能可以细分到多个机器、数据库或设备中。
网络190可以是能够在机器、数据库和设备(例如,服务器机器110和设备130)之间或之中进行通信的任何网络。因此,网络190可以是有线网络、无线网络(例如,移动或蜂窝网络)或其任何适当的组合。网络190可以包括构成专用网络、公共网络(例如因特网)或其任何适当组合的一个或多个部分。因此,网络190可以包括包含局域网(lan)、广域网(wan)、因特网、移动电话网络(例如蜂窝网络)、有线电话网络(例如,普通老式电话系统(pots)网络)、无线数据网络(例如,wifi网络或wimax网络)或其任何适当的组合的一个或多个部分。网络190的任何一个或多个部分可以经由传输介质传送信息。如本文所使用的,“传输介质”是指能够传送(例如,传输)用于机器(例如,通过这样的机器的一个或多个处理器)执行的指令的任何无形(例如,暂态)介质,并且包括数字或模拟通信信号或者促进此类软件的通信的其他无形介质。
图2是示出根据示例实施例的服务器机器110的组件的框图。示出的服务器机器110包括应用接口(api)服务器120和web服务器118,所述应用接口(api)服务器120和web服务器118耦合到应用服务器122并分别向应用服务器122提供编程和web接口。应用服务器122托管警报管理器服务器应用124。
根据各种实施例,警报管理器服务器应用124接收设备130、150的用户132、152的关于用户132、152如何与各种消息进行交互的浏览行为。警报管理器服务器应用124基于每个用户各自的浏览行为来生成并存储每个用户132、152的历史简档。浏览行为包括以下中的至少一个:访问消息,回复消息,查看消息,关闭消息,下载消息的附件,选择(“点击”)消息中包含的链接。在其他实施例中,可以理解的是,可以生成历史简档并将其存储在客户端设备上。也就是说,在客户端设备130上本地执行的警报管理器应用的实例监测用户132的浏览行为。本地警报管理器应用基于监测到的用户132的浏览行为来生成用户132的历史简档,用于存储在客户端设备130上。
虽然图2中警报管理器服务器应用124被示出为形成基于网络的系统105的一部分,但是应认识到,在替代实施例中,警报管理器服务器应用124可以形成为与基于网络的系统105分开并且不同的服务的一部分。
图3是示出警报管理器的各种模块的框图,所述模块使得计算设备执行与本文描述的本发明的实施例一致的各种动作。
如图3所示,警报管理器128包括消息接收检测器模块310、交互预测模块320、消息警报特征模块330、历史简档模块340和通信模块350。在示例实施例中,警报管理器128在任何计算设备(诸如客户端设备130、150)中执行。应理解,在其他示例实施例中,模块310、320、330、340中的一个或多个可以是警报管理器服务器应用124的一部分。
消息接收检测器模块310是管理、控制、存储和访问与检测客户端设备130中的消息接收有关的信息的硬件实现模块。消息接收检测器模块310还比较描述外部资源的文本和消息数据中的指示消息来源的部分。消息接收检测器模块310基于该比较来确定描述外部资源的文本与消息数据之间的差异程度是否指示了消息具有潜在的欺诈性。例如,可以根据描述外部资源的文本和消息数据之间的余弦相似度分析来确定差异程度。
交互预测模块320是管理、控制、存储和访问与预测接收者与消息的交互有关的信息的硬件实现模块。交互预测模块320访问与接收者相关联的历史消息交互数据。交互预测模块320将接收者与消息的至少一个当前交互(诸如消息浏览模式)与历史消息交互数据的至少一部分进行比较。交互预测模块320基于与历史消息交互数据的比较来预测何时将发生接收者对可选功能的选择。
消息警报特征模块330是管理、控制、存储和访问与生成消息警报特征有关的信息的硬件实现模块。消息警报特征模块330生成对包括在接收到的消息的主体中的可选功能的至少一部分的外观的修改。消息警报特征模块330生成针对接收到的消息的接收者输入行为的修改。
历史简档模块340是管理、控制、存储和访问与收集、存储和处理历史消息交互数据有关的信息以便生成与消息接收者相关联的历史简档的硬件实现模块。
通信模块350是管理、控制、存储和访问与警报管理器128和警报管理器服务器应用124之间的数据接收和发送有关的信息的硬件实现模块。
图4是示出根据示例实施例的警报管理器确定可能从欺诈源发送的、具有可选功能的接收到的消息的框图。
警报管理器128在客户端设备130上执行,并且监测关于接收到的消息400的用户132活动。例如,警报管理器128可以是与消息应用交互的插件软件。警报管理器128可以是嵌入有消息应用的软件模块扩展。在另一示例中,警报管理器128可以是与通过网络浏览器访问的消息网站交互的浏览器插件软件模块。
接收到的消息400包括目的地址406(诸如用户的电子邮件地址)和发送者地址408。根据非限制性示例,发送者地址408的文本指示消息400是从银行url域发送的,其可能给用户132留下消息400是从可信来源发送的印象。消息主体包括可选功能410,其在被选择后将引导客户端设备访问外部资源,诸如网站、在线门户和第三方服务器。例如,在被选择之后,可选功能410可以引导在客户端设备130上运行的浏览器访问外部url。然而,如图4所示,如果用户132决定选择可选功能410,则可选功能410不向用户132提供关于将被访问的外部资源的任何可视指示。可选功能410仅显示“点击此处”,并且用户132将不得不简单地相信外部资源实际上是与银行域相关的url(统一资源定位符)并且不是欺诈的、可疑的或不会在客户端设备132上启动对恶意软件的下载。
消息400还包括对用户132不可见但可由警报管理器128访问的元数据404。例如,元数据404可被包括在消息头部中。元数据404包括发送者的实际地址408-1和可选功能410的目的地410-1。如图4所示,发送者的实际地址408-1(“xyz@yyy.com”)不对应于银行url域。此外,可选功能410的目的地410-1(“suspiciouslink.com”)也不与银行url域相关,这基于实际地址408-1和银行url域的文本差异以可视方式呈现给用户132。
图5是根据示例实施例示出警报管理器将当前浏览行为与历史浏览行为进行比较以便预测何时可选功能将被选择的框图。
当用户132与接收到的消息交互时,警报管理器128监测经由客户端设备130访问消息400的用户132所伴随的用户的当前浏览模式502。例如,当前浏览模式502可以是输入设备光标(例如计算机鼠标光标)模式。应该理解,当前浏览模式502包括任何用户输入(例如点击、文本、在应用之间切换、关闭应用、选择由消息应用提供的任何功能等)。在客户端设备130上执行的警报管理器128将当前浏览模式502发送给警报管理器服务器应用124。
警报管理器服务器应用124接收当前浏览模式502并将当前浏览模式502与历史消息交互数据504进行比较。历史消息交互数据504包括基于用户132关于先前消息505-1、506-1、507-1...的浏览模式的数据。例如,对于用户132接收的每个先前的消息505-1、506-1、507-1,历史消息交互数据504具有对应的浏览模式505-2、506-2、507-2...。此外,历史消息交互数据504包括用户132关于先前消息505-1、506-1、507-1...选择的相应动作505-3、506-3、507-3...。这样的动作可以是,例如,回复消息、关闭消息、删除消息、转发消息、下载消息附件、选择消息主体中提供的url。
历史消息交互数据504还可以包括关于每个先前消息505-1、506-1、507-1的内容或发送者的数据。例如,警报管理器服务器应用124可以在将关于来自特定发送者的消息的当前浏览模式与对应于从同一特定发送者接收的先前消息的历史消息交互数据504进行比较。在另一个示例中,警报管理器服务器应用124可以将关于消息中的内容类型(诸如包含优惠券的消息,包含收据的消息)的当前浏览模式与对应于先前具有相似内容的消息的历史消息交互数据504进行比较。可以根据例如余弦相似度函数来确定这样的相似内容。
警报管理器服务器应用124将当前浏览模式502与历史消息交互数据504中的模式505-2、506-2、507-2进行比较。例如,当前浏览模式502包括表示下述内容的数据:在从用户132访问消息400时起度量的预定义时间范围内发生的计算机鼠标光标509的各种移动以及各种应用之间的切换。警报管理器服务器应用124识别历史消息交互数据504中的与在所述预定时间范围内包括相似的计算机鼠标光标移动以及相似的应用之间的切换的浏览模式相关联的相应历史消息。
警报管理器服务器应用124识别对于相似历史消息所采取的动作。例如,这样的动作包括选择消息主体中的链接、关闭消息、发送回复消息。警报管理器服务器应用124确定在阈值数量的相似历史消息中发生了对消息主体中的链接的选择。
警报管理器服务器应用124还根据相似的历史消息识别动作时间范围。例如,在发生链接选择的相似历史消息中,警报管理器服务器应用124确定这样的先前的链接选择发生在从访问相应的历史消息时起、或从发生应用之间的切换时起、或从发生特定的计算机鼠标光标移动序列时起度量的时间范围内。基于引起链接选择的相似历史消息的阈值数量,警报管理器服务器应用124产生用户132将在动作时间范围内选择链接410的预测508。警报管理器服务器应用124将预测508连同该动作时间范围一起发送给客户端设备130。
应该理解,在示例实施例中,历史消息交互数据504可以由在客户端设备130上执行的警报管理器128生成。历史消息交互数据504还可以在客户端设备130上存储和访问,使得在客户端设备130上执行的警报管理器128执行相应的比较以便预测用户132的行为。
图6是根据示例实施例示出警报管理器将警报消息特征应用于接收到的消息的框图。
警报管理器128生成警报特征600。例如,警报特征600可以是围绕可选链接410的高亮效果。在另一示例实施例中,警报特征可以是可选链接的外观的改变,诸如颜色、文字和/或大小的变化。在另一示例实施例中,警报特征可以是消息主体402中可选链接410的位置的改变。在另一个示例实施例中,警报特征可以是触发对可选链接410的选择需要的计算机鼠标点击次数的改变。
在另一示例实施例中,警报特征可以是客户端设备130接收的用户输入行为的改变。例如,警报特征可以是对在视觉上看起来计算机鼠标光标在客户端设备130上的显示区域上是如何移动的呈现的修改。也就是说,警报管理器128使得光标移动得更慢或闪烁。在另一个示例实施例中,警报特征可以改变光标相对于可选链接410而言的大小、形状或位置。
图7是示出根据示例实施例的警报管理器的操作的流程图700。
在操作710,警报管理器128检测对消息的接收。该消息包括用于访问外部资源410-1的可选功能410和指示该消息的来源的消息数据408、408-1。这样的消息检测可以是在例如电子邮件到达其目的地smtp服务器时,电子邮件被下载到消息接收者的设备时,电子邮件被选择用于阅读但尚未显示给消息接收者时,电子邮件开始要显示给消息接收者时,或电子邮件完全显示给消息接收者时。
响应于检测到对消息400的接收,警报管理器128将描述外部资源的文本410-1(“suspiciouslink.com”)与消息发送者的地址408的部分(“bank.com”)进行比较。例如,警报管理器128确定文本410-1与地址408的该部分之间的余弦相似度分数。
在另一示例实施例中,警报管理器128将描述外部资源的文本410-1(“suspiciouslink.com”)与消息元数据404中提供的发送方的实际地址408-1的部分(“yyy.com”)进行比较。例如,警报管理器128确定文本410-1与实际地址408-1的该部分之间的余弦相似度分数。警报管理器128还可以将消息元数据404中提供的发送者的实际地址408-1的部分(“yyy.com”)与消息400中显示的消息发送者的地址408的部分(“bank.com”)进行比较。例如,警报管理器128确定地址408、408-1的相应部分之间的余弦相似性分数。
警报管理器128基于所述比较确定描述外部资源的文本与消息数据之间的差异程度是否满足可疑阈值。例如,如果通过将外部资源的地址410-1的文本(“suspiciouslink.com”)与消息的发送者的地址408的部分(“bank.com”)进行比较而得到的余弦相似度分数不满足阈值分数,则警报管理器128确定消息400具有潜在欺诈性。
在操作720,警报管理器128预测消息的接收者何时将与可选功能进行交互。例如,警报管理器128将用户的当前浏览行为502与用户的历史消息交互数据504进行比较,以便预测508用户是否以及何时将向可选链接410施加输入动作,诸如“点击”链接。
在操作730,警报管理器128基于外部资源和消息的来源之间的差异程度来生成消息警报特征。例如,警报管理器128生成消息警报特征600,诸如改变消息的主体402或链接410的外观。在警报管理器预测用户可能选择链接410的时间范围内,警报管理器呈现消息警报特征600以便通知用户132选择链接410可能导致访问链接的潜在欺诈目的地址410-1。
在操作740处,警报管理器128在预测的接收者与消息的交互之前呈现消息警报特征。
当综合考虑这些效应时,本文描述的一个或多个方法可以免除对警报管理器中涉及的某些工作或资源的需要。可以通过本文描述的一种或多种方法来减少用户在警报管理器方面花费的人力。类似地可以减少由一个或多个机器、数据库或设备(例如,在网络环境100内)使用的计算资源。
图8是示出根据示例实施例的机器800的组件的框图,其能够从机器可读介质822(例如,非暂时性机器可读介质、机器可读存储介质、计算机可读存储介质或其任何合适的组合)读取指令824,并且执行本文讨论的任何一种或多种方法中的全部或部分。具体而言,图8示出了的示例的形式为计算机系统(例如,计算机)的机器800,其中指令824(例如,软件、程序、应用、小程序、应用或其他可执行代码)用于使机器800执行本文讨论的任何一种或多种方法的全部或部分。
在替代实施例中,机器800作为独立设备操作或者可以连接(例如联网)到其他机器。在联网部署中,机器800可以在服务器-客户端网络环境中以服务器机器或客户端机器的能力运行,或者作为分布式(例如,对等)网络环境中的对等机器运行。机器800可以是服务器计算机、客户端计算机、个人计算机(pc)、平板电脑、膝上型计算机、上网本、蜂窝电话、智能手机、机顶盒(stb)、个人数字助理(pda)、网络设备、网络路由器、网络交换机、网络桥接器或能够顺序或以其他方式执行指定要由该机器执行的动作的指令824的任何机器。此外,尽管仅示出单个机器,但术语“机器”也应被理解为包括单独或联合执行指令824以执行本文所讨论的方法中的任何一个或多个的全部或部分的任何机器集合。
机器800包括处理器802(例如,中央处理单元(cpu)、图形处理单元(gpu)、数字信号处理器(dsp)、专用集成电路(asic)、射频集成电路(rfic)或其任何合适的组合)、主存储器804和静态存储器806,其被配置为经由总线808彼此通信。处理器802可以包含可通过指令824中的一些或全部来暂时或永久地配置的微电路,使得处理器802可配置为执行本文所述的方法中的任何一个或多个的全部或部分。举例来说,处理器802的一个或多个微电路的集合可被配置为执行本文中所描述的一个或一个以上模块(例如,软件模块)。
机器800还可以包括图形显示器810(例如,等离子显示面板(pdp)、发光二极管(led)显示器、液晶显示器(lcd)、投影仪、阴极射线管(crt)或任何其他能够显示图形或视频的显示器)。机器800还可以包括字母数字输入设备812(例如,键盘或小键盘)、光标控制设备814(例如、鼠标、触摸板、轨迹球、操纵杆、运动传感器、眼睛跟踪设备或其他指点仪器)、存储单元816、音频生成设备818(例如,声卡、放大器、扬声器、耳机插孔或其任何适当的组合)以及网络接口设备820。
存储单元816包括机器可读介质822(例如,有形和非暂时性机器可读存储介质),在该机器可读介质822上存储有体现本文描述的方法或功能中任何一个或多个的指令824。指令824还可以在被机器800执行之前或期间,完全或至少部分地驻留在主存储器804内、驻留在处理器802内(例如,处理器的高速缓冲存储器内)或驻留在这两者上。因此,主存储器804和处理器802可被认为是机器可读介质(例如,有形且非暂时性机器可读介质)。可以经由网络接口设备820在网络190上发送或接收指令824。例如,网络接口设备820可以使用任何一个或多个传输协议(例如,超文本传输协议(http))来传送指令824。
在示例实施例中,机器800可以是便携式计算设备,诸如智能手机或平板电脑,并且具有一个或多个附加输入组件830(例如,传感器或计量器)。这样的输入组件830的示例包括图像输入组件(例如,一个或多个相机)、音频输入组件(例如麦克风)、方向输入组件(例如罗盘)、位置输入组件(例如、全球定位系统(gps)接收器)、定向组件(例如陀螺仪)和运动检测组件(例如,一个或多个加速度计)。由这些输入组件中的任何一个或多个收集的输入可以被本文描述的任何模块访问和使用。
如本文所使用的,术语“存储器”是指能够暂时或永久存储数据的机器可读介质,并且可以被视为包括但不限于随机存取存储器(ram)、只读内存(rom)、缓冲存储器、闪存和高速缓冲存储器。虽然机器可读介质822在示例性实施例中被示出为单个介质,但术语“机器可读介质”应被理解为包括能够存储指令的单个介质或多个介质(例如,集中式或分布式数据库或相关联的高速缓存和服务器)。术语“机器可读介质”还应被理解为包括能够存储由机器800执行的指令824的任何介质或多个介质的组合,从而指令824在被机器800的一个或多个处理器(例如,处理器802)执行时使得机器800执行本文所述的任何一种或多种方法的全部或部分。因此,“机器可读介质”是指单个存储装置或设备,以及包括多个存储装置或设备的基于云的存储系统或存储网络。相应地,术语“机器可读介质”应被理解为包括但不限于形式为固态存储器、光学介质、磁性介质或其任何合适的组合的一个或多个有形(例如,非暂时性)数据存储库。
载体介质包括包括机器可读介质和传输介质在内的能够携带机器可读指令的任何形式的介质。
以下编号的示例是实施例。
1.一种计算机系统,包括:
处理器;
存储器设备,保存指令集,所述指令集能够在所述处理器上执行的使得所述计算机系统执行操作,所述操作包括:
检测对包括用于访问外部资源的可选功能并且包括指示消息的来源的消息数据的消息的接收;
预测所述消息的接收者何时将与所述可选功能交互;
基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征;以及
在预测的所述接收者与所述可选功能的交互之前,在所述计算机系统的显示器上呈现所述消息警报特征。
2.根据示例1所述的计算机系统,其中检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收包括:
响应于接收到所述消息,将描述所述外部资源的文本与所述消息数据进行比较;以及
基于所述比较来确定描述所述外部资源的文本与所述消息数据之间的差异程度是否满足可疑性阈值。
3.根据示例1或示例2所述的计算机系统,其中预测所述消息的接收者何时将与所述可选功能交互包括:
访问与所述接收者相关联的历史消息交互数据;
将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较;以及
基于所述比较预测何时将发生所述接收者对所述可选功能的选择。
4.根据示例3所述的计算机系统,其中将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较包括:
识别所述接收者与所述消息的所述至少一个交互与所述历史消息交互数据的相应部分相匹配,其中所述历史消息交互数据的相应部分对应于在特定时间范围期间发生的至少一个历史消息动作。
5.根据示例1至4中任一项所述的计算机系统,其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括:
生成对所述可选功能的至少一部分的外观的修改。
6.根据示例1至5中任一项所述的计算机系统,其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括:
生成针对所述消息的接收者输入行为的修改。
7.根据示例1至6中任一项所述的计算机系统,其中检测包括用于访问外部资源的可选功能和指示消息的来源的消息数据的消息的接收包括:
识别与所述可选功能相关联的第一地址;
在消息头部中识别与所述消息的发送者相关联的第二地址;
比较所述第一地址和所述第二地址;以及
基于所述第一地址和所述第二地址之间的比较结果,确定所述外部资源和所述消息的来源之间的差异程度。
8.一种计算机实现的方法,包括:
检测对包括用于访问外部资源的可选功能并且包括指示消息的来源的消息数据的消息的接收;
预测所述消息的接收者何时将与所述可选功能交互;
经由至少一个处理器基于所述外部资源与所述消息的来源之间的差异程度生成消息警报特征;以及在预测的所述接收者与所述可选功能的交互之前呈现所述消息警报特征。
9.根据示例8所述的计算机实现的方法,其中检测包括用于访问外部资源的可选功能和指示消息的来源的消息数据的消息的接收包括:
响应于接收到所述消息,将描述所述外部资源的文本与所述消息数据进行比较;以及
基于所述比较来确定描述外部资源的文本与消息数据之间的差异程度是否满足可疑性阈值。
10.根据示例8或示例9所述的计算机实现的方法,其中预测所述消息的接收者何时将与所述可选功能交互包括:
访问与所述接收者相关联的历史消息交互数据;
将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较;以及
基于所述比较预测何时将发生所述接收者对所述可选功能的选择。
11.根据示例10所述的计算机实现的方法,其中将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较包括:
识别所述接收者与所述消息的至少一个交互与所述历史消息交互数据的相应部分相匹配,其中所述历史消息交互数据的相应部分对应于在特定时间范围期间发生的至少一个历史消息动作。
12.根据示例8至11中任一项所述的计算机实现的方法,其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括:
生成对所述可选功能的外观的修改。
13.根据示例8至12中任一项所述的计算机实现的方法,其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括:
生成针对所述消息的接收者输入行为的修改。
14.根据示例8至13中任一项所述的计算机实现的方法,其中检测包括用于访问外部资源的可选功能和指示消息的来源的消息数据的消息的接收包括:
识别与所述可选功能相关联的第一地址;
在消息头部中识别与消息的发送者相关联的第二地址;
比较所述第一地址和所述第二地址;以及
基于所述第一地址和所述第二地址之间的比较结果,确定所述外部资源和所述消息来源之间的差异程度。
15.一种在其上存储可执行指令的计算机可读介质,所述可执行指令在由处理器执行时使得所述处理器执行操作,所述操作包括:
检测对包括用于访问外部资源的可选功能并且包括指示消息的来源的消息数据的消息的接收;
预测所述消息的接收者何时将与所述可选功能交互;以及
基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征;以及
在预测的所述接收者与所述可选功能的交互之前呈现所述消息警报特征。
16.根据示例15所述的计算机可读介质,其中检测对包括用于访问外部资源的可选功能和指示消息的来源的消息数据在内的消息的接收包括:
响应于接收到所述消息,将描述所述外部资源的文本与所述消息数据进行比较;以及
基于所述比较来确定描述外部资源的文本与所述消息数据之间的差异程度是否满足可疑性阈值。
17.根据示例15或示例16所述的计算机可读介质,其中预测所述消息的接收者何时将与所述可选功能交互包括:
访问与所述接收者相关联的历史消息交互数据;
将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较;以及
基于所述比较预测何时将发生所述接收者对所述可选功能的选择。
18.根据示例17所述的计算机可读介质,其中将所述接收者与所述消息的至少一个交互与所述历史消息交互数据的至少一部分进行比较包括:
识别所述接收者与所述消息的所述至少一个交互与所述历史消息交互数据的相应部分相匹配,其中所述历史消息交互数据的相应部分对应于在特定时间范围期间发生的至少一个历史消息动作。
19.根据示例15至18中任一项所述的计算机可读介质,其中基于所述外部资源和所述消息的来源之间的差异程度生成消息警报特征包括:
生成对所述可选功能的外观的修改。
20.根据示例15至19中任一项所述的计算机可读介质,其中检测包括用于访问外部资源的可选功能和指示所述消息的源的消息数据的消息的接收包括:
识别与所述可选功能相关联的第一地址;
在消息头部中识别与所述消息的发送者相关联的第二地址;
比较所述第一地址和所述第二地址;以及
基于所述第一地址和所述第二地址之间的比较结果,确定所述外部资源和所述消息来源之间的差异程度。
21.一种承载机器可读指令的载体介质,所述机器可读指令在由处理器执行时使得所述处理器执行根据示例8至14中任一项所述的方法。
在整个说明书中,多个实例可以实现被描述为单个实例的组件、操作或结构。尽管一个或多个方法的各个操作被图示和描述为单独的操作,但是各个操作中的一个或多个可以同时执行,并且不必以所示的顺序执行操作。在示例配置中作为独立组件呈现的结构和功能可以实现为组合结构或组件。类似地,呈现为单个组件的结构和功能可以被实现为多个不同组件。这些和其他变化、修改、添加和改进落入本文主题的范围内。
这里将某些实施例描述为包括逻辑或许多组件、模块或机构。模块可以构成软件模块(例如,存储或以其他方式体现在机器可读介质上或传输介质中的代码)、硬件模块或其任何适当的组合。“硬件模块”是能够执行某些操作并且可以以某种物理方式配置或布置的有形(例如,非暂时性)单元。在各种示例实施例中,一个或多个计算机系统(例如,独立计算机系统、客户端计算机系统或服务器计算机系统)或计算机系统的一个或多个硬件模块(例如,处理器或一组处理器)可以由软件(例如,应用或应用部分)配置为用于执行如本文所述的某些操作的硬件模块。
在一些实施例中,硬件模块可以机械地、电子地或其任何合适的组合来实现。例如,硬件模块可以包括被永久配置为执行某些操作的专用电路或逻辑。例如,硬件模块可以是专用处理器,诸如现场可编程门阵列(fpga)或asic。硬件模块还可以包括由软件临时配置以执行某些操作的可编程逻辑或电路。例如,硬件模块可以包括包含在通用处理器或其他可编程处理器内的软件。应该理解,关于在专用和永久配置的电路中或者在临时配置的(例如由软件配置的)电路中机械地实现硬件模块的决定可以由成本和时间考虑来驱动。
因此,短语“硬件模块”应被理解为包含有形实体,并且这样的有形实体可以物理构造、永久配置(例如,硬连线)或临时配置(例如,编程)为以某种方式操作或执行本文所述的某些操作。如本文所使用的,“硬件实现模块”是指硬件模块。考虑硬件模块被临时配置(例如,编程)的实施例,硬件模块不需要均在任何一个时刻被配置或实例化。例如,在硬件模块包括由软件配置成的通用处理器的情况下,通用处理器可以在不同的时间分别被配置为不同的专用处理器(例如,包括不同的硬件模块)。软件(例如,软件模块)可以相应地配置一个或多个处理器,例如在一个时刻构成特定的硬件模块,并且在不同的时刻构成不同的硬件模块。
硬件模块可以向其他硬件模块提供信息并从其接收信息。因此,所描述的硬件模块可以被视为通信地耦合。在同时存在多个硬件模块的情况下,可以通过两个或更多个硬件模块之间或其间的信号传输(例如通过适当的电路和总线)来实现通信。在多个硬件模块在不同时间被配置或实例化的实施例中,可以例如通过存储和检索多个硬件模块可访问的存储器结构中的信息来实现这些硬件模块之间的通信。例如,一个硬件模块可以执行操作并将该操作的输出存储在其通信地耦合到的存储器设备中。之后,另一个硬件模块可以在稍后访问该存储器设备以检索和处理所存储的输出。硬件模块也可以启动与输入或输出设备的通信,并且可以对资源(例如,信息集合)进行操作。
本文描述的示例方法的各种操作可至少部分地由临时配置(例如,通过软件)或永久配置为执行相关操作的一个或多个处理器来执行。无论是临时配置还是永久配置,这样的处理器都可以构成处理器实现的模块,其操作为执行本文描述的一个或多个操作或功能。如本文所使用的,“处理器实现的模块”是指使用一个或多个处理器实现的硬件模块。
类似地,本文描述的方法可以至少部分地由处理器实现,处理器是硬件的示例。例如,方法的至少一些操作可以由一个或多个处理器或处理器实现的模块执行。如本文所使用的,“处理器实现的模块”是指其中的硬件包括一个或多个处理器的硬件模块。此外,一个或多个处理器还可以操作以支持“云计算”环境中的相关操作的执行或操作,或者操作为“软件即服务”(saas)。例如,至少一些操作可以由一组计算机(作为包括处理器的机器的示例)执行,这些操作可以经由网络(例如,因特网)并且可经由一个或多个适当的接口(例如,应用接口(api))访问。
某些操作的完成可以分布在一个或多个处理器中,不是仅驻留在单个机器内,而是可以跨多个机器部署。在示例实施例中,一个或多个处理器或处理器实现的模块可以位于单个地理位置上(例如,在家庭环境,办公室环境或服务器场内)。在其他示例实施例中,一个或多个处理器或处理器实现的模块可以分布在多个地理位置上。
本文讨论的主题的一些部分可以按照对作为位或二进制数字信号存储在机器存储器(例如,计算机存储器)中的数据的操作的算法或符号表示来呈现。这样的算法或符号表示是数据处理领域的普通技术人员用来将他们的工作的实质传达给本领域其他技术人员的技术的示例。如本文所使用的,“算法”是导致期望结果的操作或相似处理的自洽序列。在这种情况下,算法和操作涉及物理量的物理操纵。典型地但不必须地,这样的量可以采取能够被机器存储、访问、传输、组合、比较或以其他方式操纵的电、磁或光信号的形式。主要出于常用的原因,使用诸如“数据”、“内容”、“比特”、“值”、“元素”、“符号”、“字符”、“术语”,“数”,“数字”等词语来提及这样的信号是很方便的。然而,这些词只是方便的标签,并且与适当的物理量相关联。
除非另有特别说明,否则本文中使用诸如“处理”、“运算”、“计算”、“确定”、“呈现”、“显示”等的词的讨论可以指代机器(例如,计算机)的动作或过程,其操作或转换在一个或多个存储器(例如,易失性存储器、非易失性存储器或其任何适当的组合)内表示为物理(例如,电子、磁或光)量的数据,或接收、存储、传输或显示信息的其他机器组件。此外,除非另有特别说明,否则本文使用术语“一”或“一个”,如在专利文件中常见的那样,来包括一个或多于一个实例。最后,如本文所使用的,连词“或”是指非排他性的“或”,除非另有特别说明。