一种埋点式钓鱼网站监测方法技术

本发明专利技术涉及一种埋点式钓鱼网站监测方法，访问真实网站的首页；确定检测代码埋入点，埋入加密后的检测代码并将修改发布更新到线上环境，等待外部网站引用真实网站的资源，若外部网站引用真实网站的资源后触发检测代码执行，则判断外部网站是否在真实网站的可信资源的数据库中，若否则判定当前外部网站为可疑网站，进行人工审核。本发明专利技术通过预先在真实网站中埋入监控用的检测代码，当仿冒网站引用真实网站资源时，则会触发检测代码执行，对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站，本发明专利技术埋入网站中的监测点，即便钓鱼网站采用离线资源引用的方式，也能到检测得到。本发明专利技术成本低廉、检测效果好，精准度高。

A Monitoring Method for Buried Fishing Website

The invention relates to a buried-point phishing website monitoring method, which visits the home page of a real website; determines the buried-point of the detection code, buries the encrypted detection code and updates it to the online environment, waits for the external website to refer to the resources of the real website; if the external website refers to the resources of the real website and triggers the execution of the detection code, then judges whether the external website is in the real network or not. In the database of the trusted resources of the station, if it is not determined that the current external website is a suspicious website, it will be manually audited. By embedding the detection code for monitoring in the real website beforehand, the detection code execution will be triggered when the counterfeit website refers to the real website resources. Further confirmation of the counterfeit website will lead to low-cost and accurate detection of the phishing website. The monitoring point embedded in the website of the invention can also be detected even if the phishing website refers to the off-line resources. Get. The invention has low cost, good detection effect and high accuracy.

【技术实现步骤摘要】
一种埋点式钓鱼网站监测方法
本专利技术涉及数字信息的传输，例如电报通信的
，特别涉及一种低成本、准确性高的埋点式钓鱼网站监测方法。
技术介绍
钓鱼网站通常是指伪装成银行及电子商务、窃取用户提交的银行帐号及密码等私密信息的网站。“钓鱼”是一种网络欺诈行为，不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。由于钓鱼网站仿冒被攻击的网站，欺骗真实网站的最终用户，不用直接向被攻击的网站发起攻击，所以其攻击成本很低，且由于其仿冒的对象多是银行网站、第三方支付机构网站，所以其危害具体，导致网站及其最终用户经济利益受损。由于钓鱼攻击不需要对被攻击者网站有直接的强相关性，不同于传统漏洞的攻击与防守，其不需要直接访问被攻击的网站，加之互联网的无边界性，钓鱼网站下的攻击防护首要面临的问题是可疑钓鱼网站的发现和检测。现有技术中，主要通过枚举与真实网站相近相似的可疑网站信息、通过网络流量提取相关疑似钓鱼网站信息、通过真实网站的访问日志信息来提取可疑钓鱼网站信息这三种途径来提取可疑钓鱼网站列表，根据以上三种方法提取到钓鱼网站进行分析对比、人工校验最终来发现钓鱼网站。三种技术都具备一定的发现能力，但都具有一定的技术缺陷和不足。现有技术的方法都存在着数据量巨大，计算量、网络访问吞吐资源非常大，一般情况下，主动生成的域名数量是千万级别，检测的范围扩大还伴随着检测结果的准确率下降的问题。具体来说：（1）通过枚举与真实网站相近相似的可疑网站信息，主要通过枚举真实网站的相似域名，历史钓鱼网站的Whois注册信息、IP信息等相关联的网站信息，生成这些信息之后，访问这些相似的网站信息，根据返回的相关信息提取其中可疑的网站信息，最终进行校验和比对，此方法主动生成的相关网站信息数据量大，检测效率低，网络成本高昂，且由于其根据相关性来检测，会造成很多不相关的钓鱼网站、新的钓鱼网站无法检测；（2）通过网络流量提取相关疑似钓鱼网站信息，面临着相似的问题，要获取国内大部分地区的网络访问数据非常困难，涉及相应的隐私和数据权限，同时也面临着巨大的网络计算开销，成本高昂；（3）通过真实网站的访问日志信息来提取可疑钓鱼网站信息，检测成本相对较低，但对于重要的银行金融机构的网站数据流量很大，且容易被钓鱼网站采用离线引用真实网站的资源的方式达到绕过的目的。
技术实现思路
为了解决现有技术中，存在钓鱼网站发现困难、发现成本高、发现准确度不高的问题，本专利技术提供一种优化的埋点式钓鱼网站监测方法，成本更低廉、检出率更高、准确率更高。本专利技术所采用的技术方案是，一种埋点式钓鱼网站监测方法，所述方法包括以下步骤：步骤1：访问真实网站的首页；确定检测代码埋入点；步骤2：从网站的后台在检测代码埋入点设置检测代码，并且将修改发布更新到线上环境；步骤3：等待外部网站引用真实网站的资源；步骤4：若外部网站引用真实网站的资源后未触发检测代码执行，则返回步骤3，否则，进行下一步；步骤5：判断外部网站是否在真实网站的可信资源的数据库中，若是，则重复步骤3，否则，进行下一步；步骤6：判定当前外部网站为可疑网站，进行人工审核。优选地，所述步骤1中，检测代码埋入点为分析网站首页源代码和加载资源后确认。优选地，所述步骤1中，检测代码埋入点的位置包括浏览器支持代码执行的位置。优选地，所述步骤2中，检测代码为加密后的检测代码。优选地，所述步骤6中，人工审核判断发现的可疑网站是否为真实的钓鱼网站。优选地，若确认为真实的钓鱼网站，触发告警。本专利技术提供了一种优化的埋点式钓鱼网站监测方法，通过预先在真实网站中埋入监控用的检测代码，当仿冒网站引用真实网站资源时，则会触发检测代码执行，对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站，本专利技术埋入网站中的监测点，即便钓鱼网站采用离线资源引用的方式，也能到检测得到。本专利技术成本低廉、检测效果好，精准度高。附图说明图1为本专利技术的流程图。具体实施方式下面结合实施例对本专利技术做进一步的详细描述，但本专利技术的保护范围并不限于此。本专利技术涉及一种优化的埋点式钓鱼网站监测方法，成本更低廉、检出率更高、准确率更高。本专利技术所采用的技术方案是，一种埋点式钓鱼网站监测方法，埋点式的技术类似于埋雷布点，即事先在重要的地方、环节、节点埋下重要的装置，钓鱼网站的攻击的特性，其一定会进行网站的仿冒，必然会引用真实网站的资源，因此外部条件触发后，则认为是检测到或发现了相应的对象。所述方法包括以下步骤。步骤1：访问真实网站的首页；确定检测代码埋入点。所述步骤1中，检测代码埋入点为分析网站首页源代码和加载资源后确认。所述步骤1中，检测代码埋入点的位置包括浏览器支持代码执行的位置。本专利技术中，真实网站是指容易被仿冒和实施钓鱼攻击的网站，一般是银行类、支付类、证券类网站，相对的就存在仿冒网站，即为假网站，是进行欺骗，为实施钓鱼攻击而建立的辅助网站。本专利技术中，检测代码埋入点是技术人员通过分析目标网站的首页源代码和加载资源的情况后确认的，需要具备隐发蔽、且为浏览器支持Javascript的代码执行的地方。本专利技术中，具体来说，埋入点应当优先考虑网站首页的HTML源代码中引入的CSS文件、JS文件以及首页HTML源代码中。考虑CSS文件是因为CSS文件为页面样式配置文件，因此仿冒网站一定会引用此文件；考虑JS文件是因为JS文件中使用的JavaScript代码可以带来更好的检测效果；而网页HTML源代码中，通过HTML标签的事件函数，如onload、onerror等，达到执行JavaScript代码的效果，且由于网页HTML源代码在HTML文档中，故仿冒网站一定会镜像此资源，从而为后续的检测代码执行创造条件。总体来说，埋入点既要考虑让仿冒者镜像，也要考虑浏览器的解析情况，还要考虑一定的隐藏能力，结合这三个要素可以找到比较合适的埋入点，从而更加高效的检测和发现钓鱼网站。本专利技术中，举例来说，获取某地银行首页代码，在可以加载的资源中，存在一“/hzyh/uiFramework/js/counting/chanelCounting.js”文件，由于其路径中包含uiFramework字样，可能与网站的样式渲染和显示效果有关系，判断钓鱼网站引用资源时有极大可能会引用该资源，所以选择此资源作为埋入点，同时也可以选择CSS等文件来判断引用资源，确定检测代码埋入点。步骤2：从网站的后台在检测代码埋入点设置检测代码，并且将修改发布更新到线上环境。所述步骤2中，检测代码为加密后的检测代码。本专利技术中，埋入的检测代码应支持包括但不限于JavaScript、HTML、FLASH、CSS、字体类型，主要为通过浏览器解析资源时，进行加载。本专利技术中，检测代码埋入在网站资源中，可以进行有效的加密，一定程度的保护埋入的检测代码信息，不会轻易被网站仿冒者发现及删除，甚至影响后续的执行触发，保障资源的安全。本专利技术中，在埋入点埋入检测代码，主要功能包括判断当前浏览器引用资源的域是否属于真实网站的可信列表，如果不属于，则进行告警。本专利技术中，在实际应用场景中，还需要对检测代码进行优化、健壮性完善等。步骤3：等待外部网站引用真实网站的资源。步骤4：若外部网站引用真实网站的资源本文档来自技高网...

【技术保护点】
1.一种埋点式钓鱼网站监测方法，其特征在于：所述方法包括以下步骤：步骤1：访问真实网站的首页；确定检测代码埋入点；步骤2：从网站的后台在检测代码埋入点设置检测代码，并且将修改发布更新到线上环境；步骤3：等待外部网站引用真实网站的资源；步骤4：若外部网站引用真实网站的资源后未触发检测代码执行，则返回步骤3，否则，进行下一步；步骤5：判断外部网站是否在真实网站的可信资源的数据库中，若是，则重复步骤3，否则，进行下一步；步骤6：判定当前外部网站为可疑网站，进行人工审核。

【技术特征摘要】
1.一种埋点式钓鱼网站监测方法，其特征在于：所述方法包括以下步骤：步骤1：访问真实网站的首页；确定检测代码埋入点；步骤2：从网站的后台在检测代码埋入点设置检测代码，并且将修改发布更新到线上环境；步骤3：等待外部网站引用真实网站的资源；步骤4：若外部网站引用真实网站的资源后未触发检测代码执行，则返回步骤3，否则，进行下一步；步骤5：判断外部网站是否在真实网站的可信资源的数据库中，若是，则重复步骤3，否则，进行下一步；步骤6：判定当前外部网站为可疑网站，进行人工审核。2.根据权利要求1所述的一种埋点式钓鱼网站监测方法，其特征在...

【专利技术属性】
技术研发人员：陈建勇，范渊，
申请(专利权)人：杭州安恒信息技术股份有限公司，
类型：发明
国别省市：浙江,33