一种钓鱼网站识别方法和装置制造方法及图纸

技术编号:17472623 阅读:40 留言:0更新日期:2018-03-15 08:47
本发明专利技术涉及一种钓鱼网站识别方法和装置。该方法包括:检测待检测网站中是否嵌入其他网站的资源;若没有嵌入其他网站的资源,则判定待检测网站为非钓鱼网站;若已嵌入其他网站的资源,则判断所述其他网站的域名是否与白名单有交集;若没有交集,则判定待检测网站为非钓鱼网站;若有交集,则判定待检测网站为高度疑似钓鱼网站;对高度疑似钓鱼网站进行合法性判定和域名信用评估,以确定待检测网站是否为钓鱼网站。本发明专利技术能够弥补黑名单技术无法过滤新出现的钓鱼网站的不足,高效识别嵌入品牌网站元素和资源的钓鱼网站,提升网络钓鱼过滤的性能。

A method and device for fishing site identification

The invention relates to a fishing site identification method and device. The method includes: detecting the detected site whether embedded in other website resources; if there is no other embedded website resources, is judged to be detected as non site phishing sites; if has been embedded in other web resources, determine the other domain with white list intersection; if no intersection is judged to be. Detection of non phishing website; if there is intersection, is judged to be detected for highly suspected phishing sites; for highly suspected phishing websites to determine the legitimacy and domain name credit assessment, to determine whether the site to be detected for fishing net station. The invention can make up for the inadequacy of blacklist technology to filter new emerging phishing websites, and efficiently identify phishing websites that embed elements and resources of brand websites, so as to enhance the performance of phishing filtering.

【技术实现步骤摘要】
一种钓鱼网站识别方法和装置
本专利技术属于信息技术、网络安全
,具体涉及一种钓鱼网站识别方法和装置。
技术介绍
网络钓鱼(Phishing)这一术语产生于1996年,它是由钓鱼(Fishing)一词演变而来。在网络钓鱼的过程中,攻击者使用诱饵(比如电子邮件、手机短信)发送给大量用户,期待少数用户“上钩”,进而达到“钓鱼”(如窃取用户的隐私信息)的目的。国际反网络钓鱼工作组(APWG)给网络钓鱼的定义是:网络钓鱼是一种利用社会工程学和技术手段来窃取消费者的个人身份数据和财务账户凭证的网络攻击方式。采用社会工程手段的网络钓鱼攻击往往是向用户发送貌似来自合法的企业或机构的欺骗性电子邮件、手机短信等,引诱用户回复个人敏感信息或者点击里面的链接访问伪造的网站,进而泄露凭证信息(例如用户名、密码)或下载恶意软件。网络钓鱼严重威胁网民的财产和隐私安全,已成为当前互联网最大的安全隐患之一。黑名单技术应用广泛,是主要的网络钓鱼过滤技术之一。比如GoogleChrome、MozillaFirefox和AppleSafai中使用的GoogleSafeAPI,就是根据Google提供的不断更新的黑名单,通过验证某一URL是否在黑名单中,来判断该URL是否是钓鱼网页或者恶意网页。黑名单技术简单易用,但存在明显的缺点:对于未包含在名单内的钓鱼网站无能为力,换句话说无法过滤新出现的钓鱼网站。
技术实现思路
本专利技术针对上述问题,提供一种钓鱼网站识别方法和装置,能够弥补黑名单技术无法过滤新出现的钓鱼网站的不足,高效识别嵌入品牌网站元素和资源的钓鱼网站,提升网络钓鱼过滤的性能。本专利技术通过分析PhishTank和中国反钓鱼网站联盟的钓鱼举报数据,发现绝大多数钓鱼网站为了仿冒地更逼真,往往直接使用品牌网站的资源(Logo、CSS等);当用户通过浏览器访问这些钓鱼网站时,会随即发起对品牌网站域名的查询请求。本专利技术便是利用钓鱼网站的上述特性,通过分析域名系统(DNS)解析数据,识别这些钓鱼网站。本专利技术采用的技术方案如下:一种钓鱼网站识别方法,包括以下步骤:检测待检测网站中是否嵌入其他网站的资源;若待检测网站中没有嵌入其他网站的资源,则判定待检测网站为非钓鱼网站;若待检测网站中已嵌入其他网站的资源,则判断所述其他网站的域名是否与白名单有交集;若没有交集,则判定待检测网站为非钓鱼网站;若有交集,则判定待检测网站为高度疑似钓鱼网站;对所述高度疑似钓鱼网站进行合法性判定和域名信用评估,以确定待检测网站是否为钓鱼网站。进一步地,在检测待检测网站中是否嵌入其他网站的资源之前,判断待检测网站的域名是否在白名单中,如果在白名单中,则直接判定待检测网站为非钓鱼网站。进一步地,通过检测待检测网站的网页源码中是否嵌入其它网站的资源的链接,或者检测浏览器访问待检测网站过程中是否发起对其他域名的DNS查询请求,来判断待检测网站中是否嵌入其他网站的资源。进一步地,通过浏览器插件实时监听浏览器的网络行为,以捕获浏览器载入待检测网站的页面的过程中发起的网络资源查询请求,将所查询的域名与待检测网站的域名进行比较,从而判断是否发起对其他域名的DNS查询请求。进一步地,通过搭建本地DNS递归服务器,并分析DNS查询请求日志,判断浏览器访问待检测网站过程中是否发起对其他域名的DNS查询请求。进一步地,通过禁用计算机DNS客户端缓存,并将DNS客户端设置为仅使用搭建的本地DNS递归服务器进行DNS查询,以保证DNS查询请求日志完整记录浏览器载入页面时所发起的DNS查询请求。进一步地,选择一个不存在的域名,将对该域名的DNS查询请求记录作为DNS查询请求日志中不同网页查询请求记录之间的分隔标识。一种钓鱼网站识别装置,包括:检测单元,用于检测待检测网站中是否嵌入其他网站的资源;第一判定单元,用于在待检测网站中没有嵌入其他网站的资源时,判定待检测网站为非钓鱼网站;白名单比较单元,用于判断待检测网站中嵌入的其他网站的域名是否与白名单有交集;第二判定单元,用于在所述其他网站的域名与白名单没有交集时,判定待检测网站为非钓鱼网站;以及在所述其他网站的域名与白名单有交集时,判定待检测网站为高度疑似钓鱼网站;评估单元,用于对所述高度疑似钓鱼网站进行合法性判定和域名信用评估;第三判定单元,用于根据所述评估单元得到的结果,判定待检测网站是否为钓鱼网站。进一步地,所述检测单元通过检测待检测网站的网页源码中是否嵌入其它网站的资源的链接,来判断待检测网站中是否嵌入其他网站的资源;或者,所述检测单元为一浏览器插件,通过实时监听浏览器的网络行为,捕获浏览器载入待检测网站的页面的过程中发起的网络资源查询请求,并将所查询的域名与待检测网站的域名进行比较,以判断是否发起对其他域名的DNS查询请求,从而判断待检测网站中是否嵌入其他网站的资源。进一步地,所述检测单元为本地DNS递归服务器,其通过分析DNS查询请求日志判断浏览器访问待检测网站过程中是否发起对其他域名的DNS查询请求,从而判断待检测网站中是否嵌入其他网站的资源。与现有技术相比,本专利技术的有益效果如下:1.便于通过浏览器插件的形式实现,从而实现在线实时识别并可将结果及时反馈,给用户以提醒,避免上当受骗。2.可以与黑名单技术一起使用,互为补充。可在使用本专利技术进行钓鱼识别之前,将待检测URL的域名与黑名单进行匹配,若黑名单中存在该域名,则可以认定该URL为钓鱼,不必进行进一步的识别,从而有效提高识别的效率。另一方面,若未与黑名单匹配成功,且在利用本专利技术进行识别后认定其为钓鱼,可将其对应的域名加入黑名单,实现对黑名单的扩展。3.方便扩展。针对新品牌的钓鱼,只要把品牌资源所在域名添加至白名单即可。本专利技术的关键是维护一个具有完整性和有效性的白名单,与黑名单相比,由合法品牌域名构成的白名单相对来说更稳定,维护和更新也更容易。4.语言无关。本专利技术所有步骤均不涉及钓鱼网站的语言类型,可对全球品牌仿冒进行识别。因此,本专利技术不受网站语言类型的约束,与其他钓鱼识别方法相比,应用范围更为广泛。附图说明图1是钓鱼网站示意图。图2是图1所示钓鱼网站的源码片段截图。图3是实施例中钓鱼网站识别方法的流程图。图4是实施例中钓鱼网站识别装置的组成单元示意图。具体实施方式下面通过具体实施例和附图,对本专利技术做进一步详细说明。网络钓鱼本质上是品牌仿冒,钓鱼者通过邮件、即时通讯等方式发送虚假信息,引诱用户访问事先搭建的仿冒网站,以骗取用户的隐私和财产。其中仿冒网站作为最重要的犯罪场所,往往与真实品牌网站在视觉上高度相似,以欺骗用户信以为真。时至今日,网站(特别是大品牌网站)已经不是简单的文字和图片,而是包含大量独特品牌风格的元素和资源,包括Logo图片、Favicon图片、CSS文件、JS文件等;钓鱼仿冒网站为了以假乱真,往往直接使用品牌网站的这些资源,即网页源码中嵌入这些资源的链接。例如:https://wvw.paypal-limited.com-webapps-security.com是钓鱼PayPal(http://www.paypal.com)的网站,其效果如图1所示。该登陆页面与paypal官网的登陆页面几乎一模一样,该网站源码片段截图如图2所示。从该截图可以看出,该钓鱼网站使用了pay本文档来自技高网...
一种钓鱼网站识别方法和装置

【技术保护点】
一种钓鱼网站识别方法,其特征在于,包括以下步骤:检测待检测网站中是否嵌入其他网站的资源;若待检测网站中没有嵌入其他网站的资源,则判定待检测网站为非钓鱼网站;若待检测网站中已嵌入其他网站的资源,则判断所述其他网站的域名是否与白名单有交集;若没有交集,则判定待检测网站为非钓鱼网站;若有交集,则判定待检测网站为高度疑似钓鱼网站;对所述高度疑似钓鱼网站进行合法性判定和域名信用评估,以确定待检测网站是否为钓鱼网站。

【技术特征摘要】
1.一种钓鱼网站识别方法,其特征在于,包括以下步骤:检测待检测网站中是否嵌入其他网站的资源;若待检测网站中没有嵌入其他网站的资源,则判定待检测网站为非钓鱼网站;若待检测网站中已嵌入其他网站的资源,则判断所述其他网站的域名是否与白名单有交集;若没有交集,则判定待检测网站为非钓鱼网站;若有交集,则判定待检测网站为高度疑似钓鱼网站;对所述高度疑似钓鱼网站进行合法性判定和域名信用评估,以确定待检测网站是否为钓鱼网站。2.如权利要求1所述的方法,其特征在于,在检测待检测网站中是否嵌入其他网站的资源之前,判断待检测网站的域名是否在白名单中,如果在白名单中,则直接判定待检测网站为非钓鱼网站。3.如权利要求1或2所述的方法,其特征在于,通过检测待检测网站的网页源码中是否嵌入其它网站的资源的链接,或者检测浏览器访问待检测网站过程中是否发起对其他域名的DNS查询请求,来判断待检测网站中是否嵌入其他网站的资源。4.如权利要求3所述的方法,其特征在于,通过检测网页源码判断待检测网站中是否嵌入其他网站的资源的方法是:抓取待检测网站的网页源码,使用正则表达式提取源码中调用资源的代码段中href、src这两个属性的值,即为调用相应资源的链接,进而得到链接所对应的域名;然后将源码中调用资源的链接所对应的域名与待检测网站的域名进行比较,若存在与待检测网站的域名不同的域名,则认为待检测网站中嵌入了其他网站的资源。5.如权利要求3所述的方法,其特征在于,通过浏览器插件实时监听浏览器的网络行为,以捕获浏览器载入待检测网站的页面的过程中发起的网络资源查询请求,将所查询的域名与待检测网站的域名进行比较,从而判断是否发起对其他域名的DNS查询请求。6.如权利要求3所述的方法,其特征在于,通过搭建本地DNS递归服务器,并分析DNS查询请求日志,判断浏览器访问待检测网站过程中是否发起对其他域名的...

【专利技术属性】
技术研发人员:耿光刚延志伟张茜
申请(专利权)人:中国互联网络信息中心
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1