在线诈骗检测动态评分集合系统和方法

摘要

在一些实施例中，一种防在线诈骗系统组合几个不同的诈骗过滤器的输出以产生指示所观察的目标文档(例如网页、电子邮件)是诈骗性的可能性的集合分数。可以并入新实施的诈骗过滤器，并且可以逐渐停用老化的诈骗过滤器，而无需重新计算各个分数或使集合诈骗分数重新归一化。每当计算各个过滤器的输出时，就以确保所述集合分数保持在通过最小可允许分数和最大可允许分数限定的预定界限内(例如，0到100)的方式更新所述集合分数。

说明书

背景技术

本发明涉及用于检测在线诈骗的方法和系统。

在线诈骗，尤其是钓鱼和窃取身份形式的在线诈骗，一直对全世界的因特网用户构 成越来越大的威胁。通过在因特网上活动的国际犯罪网络骗到的例如用户名、ID、密码、 社会保障号码和病历、银行卡和信用卡资料等敏感的身份信息被用来提取私人资金和/ 或被转卖给第三方。除了给个人的直接财务损失，在线诈骗还导致许多不希望的副作用， 例如公司的安全成本增加、零售价格和银行费用提高、股票价值下跌、工资降低和税收 减少。

在示范性钓鱼尝试中，假网站(有时也称为克隆网站)可以扮成属于在线零售商或金 融机构的真实网页，要求用户输入一些个人/账户信息(例如，用户名、密码)和/或金融信 息(例如，信用卡号、账号、卡安全码)。一旦无戒心的用户提交了信息，假网站就会采 集这个信息。另外，用户可能会被引导到另一网页，这个网页可能会在用户的计算机上 安装恶意软件。恶意软件(例如，病毒、木马)可以通过记录用户在访问某些网页时按压 的按键而继续窃取个人信息，并且可以将用户的计算机变成发出其它钓鱼或垃圾邮件攻 击的平台。

在因特网用户的计算机系统上运行的软件可用于识别诈骗在线文档，并且警告用户 可能有钓鱼/窃取身份威胁。已经提议了几种方法来识别克隆网页，例如将网页的因特网 地址与已知钓鱼地址或可信地址的列表(这些技术分别被称为黑名单和白名单)匹配。

在第7,457,823B2号美国专利中，史睿穆(Shraim)等人描述了一种系统，所述系统 对网站或电子通信执行多个测试，基于测试中的每一个分配得分，基于所述多个测试中 的每一个的得分分配复合得分，并且根据所述多个得分和/或所述复合得分将网站/电子 通信分类成合法的或诈骗性的。

经验丰富的诈骗者持续开发出此类检测工具的对抗措施。此类对抗措施包含经常更 改克隆网页的IP地址以便逃出黑名单。因为在线诈骗的类型和方法快速演变，所以成 功的检测可能受益于新诈骗识别测试的开发。

发明内容

根据一个方面，一种方法包括采用计算机系统作为目标文档的第一诈骗分数和第二 诈骗分数的组合确定目标文档的集合诈骗分数，其中根据不同的诈骗评估程序确定第一 和第二诈骗分数；确定目标文档的第三诈骗分数；响应于确定第三诈骗分数，将所述集 合诈骗分数修改根据第三诈骗分数与集合分数和最大可允许集合分数之间的差值的乘 积所确定的第一量；以及，响应于修改所述集合诈骗分数，根据修改的集合分数确定目 标文档是不是诈骗性的。

根据另一方面，一种计算机系统包括经编程以进行以下操作的至少一个处理器；作 为目标文档的第一诈骗分数和第二诈骗分数的组合确定所述目标文档的集合诈骗分数， 其中所述第一和第二诈骗分数是根据不同的诈骗评估程序确定的；确定所述目标文档的 第三诈骗分数；响应于确定所述第三诈骗分数，将所述集合诈骗分数修改根据所述第三 诈骗分数与所述集合分数和最大可允许集合分数之间的差值的乘积所确定的第一量；以 及，响应于修改所述集合诈骗分数，根据所述修改的集合分数确定所述目标文档是不是 诈骗性的。

根据另一方面，一种方法包括：采用计算机系统确定目标文档是否包括指示诈骗的 特征；响应于确定所述目标文档是否包括所述指示目标的特征，当所述目标文档包括所 述指示诈骗的特征时，采用所述计算机系统将所述目标文档的集合诈骗分数的当前值修 改与所述集合分数的所述当前值和所述集合诈骗分数的最大可允许值之间的差值成比 例的量，其中作为多个各个诈骗分数的组合确定所述集合分数；以及响应于修改所述集 合诈骗分数的所述当前值，采用所述计算机系统根据所述集合诈骗分数的所述修改的当 前值确定所述电子文档是不是诈骗性的。

附图说明

当阅读以下详细描述并且当参考图式时，本发明的前述方面和优点将得到更好的理 解，其中：

图1展示根据本发明的一些实施例的示范性防在线诈骗系统。

图2展示根据本发明的一些实施例的客户端系统的示范性硬件配置。

图3展示根据本发明的一些实施例的反诈骗服务器系统的示范性硬件配置。

图4说明在根据本发明的一些实施例的客户端系统上执行的一组应用程序。

图5展示根据本发明的一些实施例的在图1-2的反诈骗服务器上执行的示范性的一 组应用程序。

图6说明根据本发明的一些实施例的客户端系统与反诈骗服务器之间的示范性诈骗 检测事务。

图7展示根据本发明的一些实施例的示范性服务器诈骗检测器应用程序的图。

图8展示根据本发明的一些实施例通过客户端系统执行的步骤的示范性序列。

图9说明根据本发明的一些实施例通过反诈骗服务器执行的步骤的示范性序列。

具体实施方式

在以下描述中，应理解，结构之间的所有所列举的连接可以是直接操作性连接，或 者通过中间结构的间接操作性连接。一组要素包含一个或多个要素。对要素的任何引述 应理解为指的是至少一个要素。多个要素包含至少两个要素。除非以其它方式必需，否 则不需要必然以特定所说明的次序执行任何所描述的方法步骤。从第二要素导出的第一 要素(例如数据)涵盖等于第二要素的第一要素，以及通过处理第二要素和任选地其它数 据而产生的第一要素。根据参数作出确定或决策涵盖根据参数和任选地根据其它数据作 出确定或决策。除非另外规定，否则某一数量/数据的指示符可以是数量/数据本身，或 者是不同于数量/数据本身的指示符。本发明的一些实施例中描述的计算机程序可以是独 立的软件实体或其它计算机程序的子实体(例如，子例程、代码对象)。除非另外规定， 否则术语在线诈骗不限于诈骗网站，而是还涵盖其它非法或未经请求的商用电子通信， 例如电子邮件、即时消息和电话文本和多媒体消息等等。计算机可读媒体涵盖例如磁性、 光学和半导体媒体(例如硬驱动器、光盘、快闪存储器、DRAM)等非暂时存储媒体以及 例如导电电缆和光纤链路等通信链路。根据一些实施例，本发明尤其提供包括经过编程 以执行本文中所描述的方法的硬件(例如，一个或多个处理器和/或存储器)以及对指令进 行编码以执行本文中所描述的方法的计算机可读媒体的计算机系统。

以下描述举例说明本发明的实施例，并且未必以限制方式说明本发明的实施例。

图1展示根据本发明的一些实施例的示范性防在线诈骗系统。系统10包含多个网 络服务器12a-b、一个反诈骗服务器16和多个客户端系统14a-b。客户端系统14a-b可以 表示最终用户计算机，其各自具有处理器、存储器和存储装置，并且运行例如或Linux等操作系统。一些客户端计算机系统14a-b可以表示例如平板PC、移 动电话和个人数字助理(PDA)等移动计算和/或电信装置。在一些实施例中，客户端系统 14a-b可以表示各个客户，或者几个客户端系统可以属于相同客户。反诈骗服务器16可 包含一个或多个计算机系统。网络18连接网络服务器12a-b、客户端系统14a-b和反诈 骗服务器16。网络18可以是例如因特网等广域网，而网络18的一些部分还可包含局域 网(LAN)。

图2展示客户端系统14的示范性硬件配置。在一些实施例中，系统14包括处理器 20、存储器单元22、一组输入装置24、一组输出装置28、一组存储装置26和一个通信 接口控制器30，这些装置全部通过一组总线32连接起来。

在一些实施例中，处理器20包括物理装置(例如，多核集成电路)，所述物理装置经 配置以使用一组信号和/或数据执行计算和/或逻辑操作。在一些实施例中，用处理器指 令序列(例如机器代码或其它类型的软件)的形式将此类逻辑操作传递到处理器20。存储 器单元22可包括存储在执行指令的过程中通过处理器20存取或产生的数据/信号的易失 性计算机可读媒体(例如，RAM)。输入装置24可尤其包含计算机键盘和鼠标，从而允 许用户将数据和/或指令引入到系统14中。输出装置28可包含例如监视器等显示装置。 在一些实施例中，输入装置24和输出装置28可以共享共同的一件硬件，如同在触屏装 置的情况下。存储装置26包含支持软件指令和/或数据的非易失性存储、读取和写入的 计算机可读媒体。示范性存储装置26包含磁盘和光盘和快闪存储器装置以及例如CD 和/或DVD磁盘和驱动器等可装卸媒体。通信接口控制器30使得系统14能够连接到网 络18和/或连接到其它机器/计算机系统。典型的通信接口控制器30包含网络适配器。 总线32共同地表示所述多个系统、外围设备和芯片组总线，和/或所有其它支持系统14 的装置20-30之间的通信的电路。举例来说，总线32可包括将处理器20连接到存储器 22的北桥总线和/或将处理器20连接到装置24-30的南桥总线以及其它装置。

图3展示根据本发明的一些实施例的反诈骗服务器16的示范性硬件配置。反诈骗 服务器16可以是包括服务器处理器120、服务器存储器122、一组服务器存储装置126 和服务器通信接口控制器130的计算机系统，上述装置全部经由一组服务器总线132彼 此连接。虽然硬件配置的一些细节可能在反诈骗服务器16与客户端系统14(图2)之间有 不同，但是装置120、122、126、130和132的范围可以分别类似于上述装置20、22、 26、30和32的范围。

图4展示在客户端系统14上执行的示范性的一组应用程序。在一些实施例中，每 一客户端系统14a-b包括文档阅读器应用程序34(例如，网络浏览器、电子邮件阅读器、 媒体播放器)，所述文档阅读器应用程序可以是用于远程存取存储在网络服务器12a-b上 的数据的计算机程序。当用户存取例如网页或电子消息等在线文档(以下论述中称为目标 文档)时，与目标文档相关联的数据在相应网络服务器与客户端系统14之间的网络18 的部分上传播。在一些实施例中，文档阅读器应用程序34接收目标文档数据，将目标 文档数据翻译成视觉形式，并且将其显示给用户，从而允许用户与目标文档的内容交互。

在一些实施例中，文档阅读器应用程序34包含客户端诈骗检测器36和客户端通信 管理器37，其连接到文档阅读器34。在一些实施例中，客户端诈骗检测器36可以确定 目标文档是不是诈骗性的。举例来说，如果目标网页复制了请求用户的凭证的合法银行 网页的视觉/语义特性，那么客户端诈骗检测器36可以将目标网页识别为钓鱼页面。如 果检测到诈骗，那么检测器36的一些实施例可以阻止文档阅读器34显示目标网页，并 且/或者向用户发出诈骗警告。诈骗检测器36可以用插件、附件或工具栏的形式与文档 阅读器34合并。或者，客户端诈骗检测器36可以是独立的软件应用程序，或者可以是 具有防病毒程序、防火墙、防垃圾邮件系统和其它模块的安全套件的模块。在一些实施 例中，诈骗检测器36的操作可以由用户打开和关闭。

在一些实施例中，客户端通信管理器37经配置以管理客户端系统14与反诈骗服务 器16和/或网络服务器12a-b的通信。举例来说，管理器37可以经由网络18建立连接， 并且向服务器12a-b和16发送数据和从所述服务器接收数据。

图5展示根据本发明的一些实施例的在反诈骗服务器16上执行的一组示范性应用 程序。反诈骗服务器16可包括服务器诈骗检测器38、服务器通信管理器46、诈骗分数 数据库42和过滤器参数数据库44，这些装置全部连接到检测器38。在一些实施例中， 服务器16还可包括连接到过滤器参数数据库44的过滤器训练引擎48。在一些实施例中， 服务器诈骗检测器38经配置以执行与客户端系统14a-b的多个诈骗检测事务。对于每一 此事务，服务器诈骗检测器38经配置以执行服务器侧扫描以确定相应客户端系统存取 的目标文档是不是诈骗性的，如下文所详细描述。服务器通信管理器46经配置以管理 与客户端系统14a-b的通信。举例来说，管理器46可以经由网络18建立连接，向客户 端系统14a-b发送数据/从所述客户端系统接收数据，维护进行中的诈骗检测事务的列表 和使目标文档数据与发端客户端系统14a-b相关联。

维护诈骗分数数据库42作为在线诈骗知识储存库。在一些实施例中，数据库42包 括针对多个目标文档所计算的多个记录诈骗分数，如下文中进一步描述。数据库42中 存储的每一分数可包含额外信息，例如指示计算或更新相应分数时的时间点的时戳，和 /或用来计算相应分数的诈骗过滤器的指示符(例如过滤器ID)(见下文)。与诈骗分数一起， 数据库42还可存储包括多个目标对象识别符(例如对象ID、标记、散列)(每一对象识别 符与目标文档独特地相关联)和使每一诈骗分数与计算诈骗分数所针对的目标文档相关 联的映射的数据结构，从而允许服务器诈骗检测器38从数据库42选择性地检索所记录 的诈骗分数，如下文所展示。在一些实施例中，诈骗分数数据库42可以驻留在与服务 器16不同的计算机系统上，但经由网络18连接到服务器16。或者，数据库42可以驻 留在连接到服务器16的非易失性计算机可读媒体上。

在一些实施例中，过滤器参数数据库44包括确定诈骗过滤器的操作的一组过滤器 特定的参数(见下文)。过滤器参数的实例包含基于神经网络的过滤器的每层多个神经元 和一组神经元权重，基于k均值的分类器中的丛集中心的位置和图像处理过滤器中的颜 色直方图二进制数的数目和位置。过滤器参数的其它实例包含决策阈值、一组网络地址、 一组指示诈骗的关键词和域名的黑名单/白名单。在一些实施例中，由操作人员提供存储 在数据库44中的过滤器参数的值。在一些实施例中，诈骗过滤器可以经过训练(经最佳 化)通过改变过滤器参数的值来改进诈骗检测性能。举例来说，过滤器训练引擎48可经 配置以产生有待存储在数据库44中的一组过滤器参数(例如，训练神经网络过滤器以区 分诈骗文档与合法文档可以产生一组神经元权重)。在一些实施例中，过滤器训练引擎 48可以对与反诈骗服务器16不同的计算机系统进行操作，在此情况下，引擎48所计算 的过滤器参数可以经由周期性或按需更新而传送到服务器16。

图6说明示范性客户端-服务器诈骗检测事务。当用户请求存取在线文档(例如网页) 时，相应客户端系统14可以向反诈骗服务器16发送目标指示符40，并且可以从服务器 16接收目标标签50。在一些实施例中，目标指示符40包括允许反诈骗服务器16选择 性地存取和/或检索相应目标文档的数据。示范性目标指示符40包括目标网页的统一资 源定位符(URL)、目标文档的网络地址和目标因特网域的IP地址。在一些实施例中，目 标指示符40可包括目标对象的对象识别符(例如散列)、服务器16可存取的数据库中的 目标对象的地址(例如指针)或目标对象本身(部分或全部)。目标指示符40的一些实施例 还可包括与相应目标文档相关联的其它数据(例如，来自目标文档的HTTP标头的字段、 目标文档的大小和/或时戳)。

在一些实施例中，目标标签50包括目标文档的诈骗状态(例如，诈骗、合法)的指示 符，所述诈骗状态是反诈骗服务器16在相应诈骗检测事务过程中确定的。目标标签50 还可包括相应目标对象的识别符(对象ID等)以及例如时戳和检测到的诈骗类型(例如， 钓鱼)的指示符等其它数据。

图7展示根据本发明的一些实施例的服务器诈骗检测器38的图。诈骗检测器38包 括剖析器52、连接到剖析器52的一组诈骗过滤器54(在图7中指示为Fl...Fn)、连接到 过滤器54的分数集合器70和连接到分数集合器70的决策模块66。在一些实施例中， 诈骗检测器38从客户端系统14接收目标指示符40，并且产生指示指示符40所识别的 目标文档是不是诈骗性的目标标签50。服务器诈骗检测器38还可从诈骗分数数据库42 检索记录诈骗分数62和从过滤器参数数据库44检索一组过滤器参数56，并且可以向分 数数据库42输出集合诈骗分数64。

在一些实施例中，剖析器52接收目标指示符40并且将与指示符40相关联的目标 文档处理成合适作为对多个诈骗过滤器54的输入的形式。举例来说，当目标文档是网 页时，剖析器52可以将目标网页分成构成实体(例如标头、主体、文本部分、图像等)， 可以识别例如形式和超链接等多种特征，并且从HTTP标头提取特定数据(例如推荐符 URL)等等。在一些实施例中，剖析器52可以根据目标指示符40确定目标文档的位置(例 如，URL)，并且指令服务器通信管理器46从相应位置下载目标文档的拷贝。

在一些实施例中，诈骗过滤器54是计算机程序，其各自实施用于评估通过目标指 示符40指示的文档的合法性的不同程序。在一些实施例中，每一诈骗过滤器54的操作 可包括评估相应目标文档以寻找指示诈骗的特征(诈骗文档的特性)和/或指示合法性的 特征(合法文档的特性)。指示诈骗的特征的实例是诈骗推荐符：当用户通过点击钓鱼电 子邮件中找到的链接时被引导到某个网页时，相应网页具有高诈骗概率。另一指示诈骗 的特征是在目标网页中存在登录表格。指示合法性的特征的实例是高流量：接收到高流 量的域的诈骗的可能性小于仅仅收到几个访问者的域。

下文列出几个示范性诈骗过滤器54：

a)推荐符过滤器可以根据相应文档的推荐符确定目标文档是不是诈骗性的。在一些 实施例中，推荐符是将用户链接和/或引导到目标文档的文档(例如网页)。举例来说，网 页的HTTP标头可包括就在目前的URL(也称为推荐符URL)之前访问的页面的URL。在 一些实施例中，过滤器54维护推荐符URL的黑名单和/或白名单，并且将目标文档的推 荐符与黑名单/白名单条目比较。在一些实施例中，通过黑名单里的URL参考的页面被 标记为诈骗性的。在其它实施例中，被辨识为垃圾邮件消息、恶意软件和/或社交网站的 推荐符可与比例如个人网页和搜索引擎等推荐符更高的诈骗概率相关联。

b)网页布局过滤器可以根据目标文档的视觉布局来确定目标文档是不是诈骗性的。 在一些实施例中，可以给视觉上组织成登录页面的网页分配高诈骗概率。

c)关键词过滤器可以维护通常与诈骗相关联的关键词的列表。目标文档中存在此类 关键词可以确定过滤器要将相应目标文档标记为诈骗性的。

d)因特网域历史过滤器可以使用关于一个因特网域的历史数据来确定所述域托管 的目标文档的合法性。在一些实施例中，当存在相应域曾经托管过诈骗网页(例如钓鱼) 或曾受到黑客攻击的指示时，可以给目标文档分配高诈骗概率。

e)因特网域名誉过滤器可以采用一组名誉指示符，例如域所有者的身份和/或地址， 域首次在当前所有权下注册时的日期等。在一些实施例中，可以给所有者与已知诈骗域 的所有者相同的域分配高诈骗概率。在一些实施例中，还给展示出所有权的频繁变化的 域分配托管诈骗文档的高概率。

因为在线诈骗的形式和内容在不断地变化，所以过滤器54的诈骗检测性能可以随 时间变化。在一些实施例中，可以通过添加新过滤器和移除被视为过时的早期过滤器而 使多个诈骗过滤器54保持最新。可以引入(举例来说)具有新颖的指示诈骗的特征的标识 的新过滤器。在一些实施例中，诈骗过滤器54可以由操作人员选择性地打开或关闭。 或者，过滤器可以在某一服务时间(例如，一年)之后或根据其它准则自动失活。在一些 实施例中，每一诈骗过滤器54可包括一个识别符(过滤器ID)，其区别这个诈骗过滤器 与其它诈骗过滤器，从而允许服务器诈骗检测器38选择性地采用诈骗过滤器的任何组 合，并且维护哪些诈骗过滤器被用来评估每一目标文档的记录。

每一诈骗过滤器54输入来自剖析器52的目标文档的一组数据，和来自过滤器参数 数据库44的一组过滤器参数56，并且向分数集合器70输出一个分数60。在一些实施 例中，每一分数60是0到1之间的数字。分数60可以指示诈骗(高分表示目标文档的诈 骗概率较高)和/或指示合法(高分表示目标文档的合法概率较高)。举例来说，某一诈骗过 滤器54产生的指示诈骗的分数0.85可以指示根据所述特定诈骗过滤器相应文档有85％ 的可能性是诈骗性的。在一些实施例中，分数60可以具有二进制值(例如，1/0，是/否)。

表1

查询次数 0-49 50-99 100-199 200-299 300-399 400-549 550-749 >750 分数 0.00 0.14 0.28 0.43 0.57 0.71 0.86 1.00

表1展示诈骗过滤器54根据估计因特网流量产生的示范性的一组分数60。过滤器 寄存来自多个客户端系统14的扫描特定目标网页的多个请求(查询)。查询次数可以指示 相应URL处的因特网流量，并且高流量可以是对合法网页的指示。示范性分数是识别 合法性的(分数越高指示合法的可能性越高)。

分数集合器70(图7)经配置以将诈骗过滤器54产生的各个分数60组合成相应目标 文档的集合分数64。在一些实施例中，集合分数64是指示目标对象是诈骗性的可能性 的数字(例如，0到100之间的数字，其中0指示肯定是合法的，而100指示肯定是诈骗 性的)。在一些实施例中，服务器诈骗检测器38经配置使得每当评估目标文档时，就在 分数数据库42中记录集合分数64的拷贝，连同计算中使用的目标文档的指示符和诈骗 过滤器的指示符(例如，相应过滤器ID)。这允许数据库42像高速缓存一样操作：当再 次评估相同目标文档时，服务器诈骗检测器38可以从数据库42检索目标文档的记录分 数62，而不必对其进行再次计算，从而节省了计算资源。只有以前未被用来分析相应目 标文档的诈骗过滤器54(例如，自从最后一次扫描目标文档以来引入的新过滤器)被用来 产生分数60，所述分数与记录分数62组合以产生集合分数64。

为了计算集合分数64，集合器70可以首先将分数64初始化成等于相应目标文档的 记录分数62的值。接着，对于每一产生分数σ_i的诈骗过滤器i，集合器70的一些实施 例可以如下迭代地修改集合分数64。

当分数σ_i指示诈骗时(高分指示高诈骗可能性)，用新的值来替换集合分数的当前值：

S_A→S_A+(S_max-S_A)w_iσ_i    [1]

其中S_A指示集合分数，S_max指示集合分数的上限(最大可允许的分数，例如，100)， 并且w_i指示相应诈骗过滤器的权重。当诈骗分数σ_i指示合法性(高分指示高合法可能性) 时，将集合分数更新为：

S_A→S_A-(S_A-S_min)w_iσ_i    [2]

其中S_A指示集合分数，S_min指示集合分数的下限(最小可允许的分数，例如，0)，并 且w_i指示相应诈骗过滤器的权重。

在一些实施例中，每一过滤器权重w_i是0到1之间的数字，表示相应过滤器的可靠 程度。目标文档的一些特征与其它特征相比可以与诈骗更强地关联。举例来说，到已知 钓鱼页面的链接通常是比存在词语“密码”更强的诈骗指示。因此，专门分析目标文档 的超链接的诈骗过滤器所计算的分数σ_i可以收到比检测到例如“密码”等关键词的存在 的诈骗过滤器所计算的分数σ_j更高的权重w_i。在一些实施例中，过滤器权重w_i可以由 操作人员提供，或者可以是自动过滤器训练程序的结果。

在采用公式[l]-[2]的示范性计算中，目标网页在先前诈骗扫描中得到集合分数40(以 0到100的标度测量)。在稍后时间，引入可靠的新过滤器(w₁＝l)；其传回目标网页的指 示诈骗的分数σ_i＝0.3。集合器70计算新集合分数40+(100-40)*0.3＝58。同时，域流量 过滤器(权重w₂＝0.5)传回指示合法性的分数σ₂＝0.2。集合分数现在是58-58*0.5*0.2≈ 52。

在一些实施例中，决策模块66(图7)从集合器70接收集合分数64并且输出目标标 签50。为了确定目标标签50，决策模块66的一些实施例可以将集合分数64与预定阈 值比较。当分数64超出阈值时，可以将目标文档标记为诈骗性的，否则的话可以将目 标文档标记为合法的。一些计算机实验中使用示范性阈值50。

图8展示根据本发明的一些实施例的在诈骗检测事务过程中客户端系统14执行的 步骤的示范性序列。在步骤202中，系统14接收存取目标文档的用户请求(例如，在浏 览器应用程序中显示网页)。在步骤204中，客户端诈骗检测器36可以确定与目标文档 相关联的目标指示符40。在目标网页的实例中，指示符40可包括目标网页的URL等等。 在步骤206中，客户端通信管理器37可以经由网络18建立与反诈骗服务器16的连接 以便向服务器16发射目标指示符。接下来，在步骤208中，通信管理器37从服务器16 接收目标标签50。在步骤210中，诈骗检测器36根据目标标签50确定相应目标文档是 不是诈骗性的。当标签50指示合法文档时，在步骤212中，客户端系统14可以加载目 标文档(例如，向用户显示目标网页)。当目标标签50指示诈骗性文档时，在步骤214中， 客户端系统14可以通过例如显示诈骗警告来通知用户。在一些实施例中，步骤214可 以进一步包括阻止对目标文档的存取。

图9展示根据本发明的一些实施例的在诈骗检测事务过程中反诈骗服务器16执行 的步骤的示范性序列。在步骤222中，服务器通信管理器46从客户端系统14接收目标 指示符40。在步骤224中，服务器诈骗检测器38可以从分数数据库42检索与相应目标 文档相关联的记录分数62。接下来，在步骤226中，检测器38根据与记录分数62相关 地存储的数据(例如过滤器ID)来确定使用了哪些诈骗过滤器54计算分数62，以及是否 有必要进行分数更新。在一些实施例中，每当存在至少一个尚未应用于目标文档的诈骗 过滤器54(举例来说，每当引入新诈骗过滤器时，或当现存诈骗过滤器的参数已经改变 时)时，就计算新的集合分数。当不必进行分数更新时(例如，当记录分数62是来自所有 过滤器54的分数60的集合时)，服务器16的操作前进到下文进一步描述的步骤234。 否则的话，在步骤228中，剖析器52可以产生合适输入到过滤器54的目标文档的一组 数据。在一些实施例中，步骤228可以进一步包括远程存取目标文档或者将目标文档部 分或全部地下载到服务器16上。

在步骤230中，过滤器54的子组可以输入来自剖析器52的目标文档数据以产生对 应分数60。在步骤232中，分数集合器70可以通过将在步骤230中计算的分数60与在 步骤224中检索的记录分数62组合来计算集合分数64。在一些实施例中，集合器70可 以采用公式[1]来计算集合分数64。接下来，在步骤234中，决策模块66可以根据集合 分数产生目标标签50。在一些实施例中，当未执行新分数集合时，模块66可以根据记 录分数62确定目标标签50。在步骤236中，服务器诈骗检测器38指示通信管理器46 向发端客户端系统14发送目标标签50。在步骤238中，服务器诈骗检测器38可以通过 将记录分数62替换成新计算的集合分数64来更新分数数据库42。在一些实施例中，将 与更新有关的数据(例如，参与集合分数的过滤器的ID、时戳等)与集合分数64一起保 存。

上述示范性系统和方法允许防在线诈骗系统同时采用几个不同的诈骗过滤器，并且 动态地组合诈骗过滤器的各个输出以产生指示所调查的目标文档(例如网页、电子通信) 是诈骗性的可能性的集合分数。

在线诈骗可能会以许多不同形式出现。诈骗性在线文档的一些实例包含：假装代表 金融机构的网页；托管有附带条件的托管欺诈的网页；执行欺诈的社交网络(例如， )页面；托管在线游戏欺诈的网页，货币借贷欺诈，或点击付费广告欺诈；托 管在线约会欺诈或雇佣/招聘欺诈的网页。在线诈骗的其它实例是试图通过伪装成可信实 体而获得例如用户名、密码和信用卡资料等敏感信息的钓鱼网页和/或电子消息。其它诈 骗性网页和电子消息可能含有恶意软件和/或试图在用户的计算机上安装恶意软件，所述 恶意软件是用于窃取身份或其它私人信息。

各个诈骗过滤器评估目标文档的多个指示诈骗和/或指示合法的特征，例如确定网页 是否包括登录表格或一组指示诈骗的关键词，或托管目标文档的因特网域是否有托管诈 骗性文档的历史。

在一些实施例中，各个过滤器产生的诈骗分数可以指示诈骗(高分指示诈骗的可能性 高)或指示合法(高分指示合法的可能性高)。根据常用计算程序，指示诈骗的分数可以增 加集合诈骗分数，而指示合法的分数可以减小集合分数。

这里描述的示范性系统和方法允许动态并入新实施的诈骗过滤器和/或逐渐停用老 化的诈骗过滤器，而不需要重新计算所述过滤器产生的各个分数，或使集合诈骗分数重 新归一化。每当计算单个诈骗分数时，就用允许集合分数保持在预定界限内(例如，0到 100)的方式更新集合分数。

本发明的一些实施例执行合作客户端-服务器诈骗检测事务，并且根据目标对象的服 务器侧扫描的结果评估目标对象的诈骗状态(例如，诈骗性的/合法的)。在远程服务器上 执行诈骗检测的一部分比客户端计算机系统上的本地诈骗检测具有多个优点。

通过以服务器为中心执行很大部分诈骗检测，上述系统和方法允许及时并入关于新 检测到的在线诈骗的数据。举例来说，可以在中央服务器上更高效许多地维护网页白名 单/黑名单。相比之下，当在客户端计算机系统上执行诈骗检测时，每当发现新威胁时， 必须将经更新的白名单/黑名单分配给很多客户端。

使上述客户端与反诈骗服务器系统之间交换的数据包的大小保持最小。上述示范性 方法和系统经配置以交换例如目标URL等目标指示符(总计每个目标对象几个字节)，而 不是从客户端向服务器发送整个目标文档来进行诈骗检测，因而明显地减少网络流量。

所属领域的技术人员将清楚，在不脱离本发明的范围的情况下可以用多种方式变更 以上实施例。因此，应通过所附权利要求书和其法律等效物来确定本发明的范围。