本发明专利技术涉及网络安全技术,旨在提供一种基于威胁情报判别仿冒网站的方法。包括以下步骤:将威胁情报库中的域名信息库与网页库中的内容进行相似度比较;分析网站群体中各站点的备案主体,对ICP备案单位进行匹配;如未检测到异常的站点,进一步匹配注册人信息、分析站点布署地址IP;分析页面特征;对站点的仿冒站点疑似程度进行判断后,在威胁情报库中将该站点的信息打上标签,标记为仿冒站点。本发明专利技术可有效应用与政府、教育、事业单位等行业,进行仿冒站点的探测与发现。及时发现仿冒网站,降低不良信息的影响,截断地下产业链的推广,增强公共单位的公信度。
【技术实现步骤摘要】
一种基于威胁情报判别仿冒网站的方法
本专利技术涉及网络安全技术,特别涉及一种基于威胁情报判别仿冒网站的方法。
技术介绍
仿冒网站主要是由于黑客组织为了经济利益而采用的一种手法,通过仿冒看似完全正常合规的站点页面,实际在网站中植入大量的第三方链接和内容,内容大多涉及博彩、色情、游戏等不当赢利业务。在境内的互联网网站场景存在大量仿冒站点的问题,这类站点通过仿冒公信度较高的单位站点(往往是政府单位、事业单位、教育院校等),实际在页面中传播地下灰色产业推广,以此躲避检测机构的发现,从而可长期潜伏谋取利益。该问题不解决带来的危害是误导普通上网者访问虚假仿冒网站,有可能带来虚假信息,传播博彩、色情等内容并躲避监管机构审查,让地下产业链继续发展严重危害社会安全。目前已有的仿冒网站识别方法大多采用URL地址的相似度判断,通过对URL干扰字符去除与相似变形等方案,识别假冒站点。以及对商业站点的logo、品牌等进行匹配,判断商业站点仿冒。目前对仿冒网站的识别技术,主要是根据对URL相似度的判断找到仿冒站点。但由于目前大量仿冒网站并不再通过URL相似地址欺骗用户,往往通过在邮件、页面中加入超链接的形式,可不被用户看到真实地址。另外,由于网站数量增多,出现了大量的相似站点。所以,这一方法产生的误报率与漏报率都较高。
技术实现思路
本专利技术要解决的技术问题是,克服现有技术中的不足,提供一种基于威胁情报判别仿冒网站的方法。为解决上述技术问题,本专利技术采用的的解决方案是:提供一种基于威胁情报判别仿冒网站的方法,包括以下步骤:(1)将威胁情报库中的域名信息库与网页库中的内容进行相似度比较;(1.1)对域名情报库中的网站首页页面<title><meta>中的内容进行分析,采用语义分析算法进行识别;提取出相似度高于预设阈值的网站群体,以用于下一步分析;或者,(1.2)指定目标站点,提取该站点的<title><meta>中的内容,在域名信息库中查找到与其相比相似度高于预设阈值的网站群体,以用于下一步分析;(2)分析网站群体中各站点的备案主体(ICPD),对其ICP备案单位进行匹配;(2.1)确认站点是否已经备案;若未备案,则计入恶意站点;(2.2)确认站点备案单位的属性,如属于政府机关或事业单位,则排除仿冒可疑;(2.3)对备案单位中的个人和企业进行分析,如已在威胁情报库中被标记为可疑单位,则计入备案可疑站点;(2.4)对备案单位的其他站点进行关联分析,如存在其他恶意网站记录,则计入备案可疑站点;(3)对于备案单位未检测到异常的站点,采用对注册人信息进行关联分析的方式(REGD),对注册人信息进行匹配:(3.1)通过站点注册人反查其历史注册站点,如关联站点曾有恶意网站记录,则计入注册可疑站点;(3.2)通过站点注册邮箱反查其历史注册站点,如关联站点曾有恶意网站记录,则计入注册可疑站点;(4)对站点布署的地址IP进行分析(IPD);(4.1)如站点的布署地点在境外或港澳台地区,且与备案地点以及网站备案单位所在地不同,则计入布署可疑站点;(4.2)从布署的IP反查站点,如存在可疑站点,则计入布署可疑站点;(5)对页面特征进行分析(PGD):(5.1)在页面的全部链接中,如坏链的占比超过预设值,则计入恶意仿冒站点;(5.2)在页面的全部链接中,如指向外部同一域名地址的链接的占比超过预设值,则计入恶意仿冒站点;(5.3)在页面内容中,如存在潜在或显示的预设敏感内容的关键词与链接内容,则计入恶意仿冒站点;(6)对站点的仿冒站点疑似程度进行判断:依据步骤(2)至(5)的分析结果,采用下述加权算法对站点是否属于仿冒进行综合分析:ε=α×ICPD+β×REGD+γ×IPD+δ×PGD其中,ICPD是指对ICP备案单位进行匹配的结果、REGD是指对注册人信息进行匹配的结果、IPD是指对站点布署地址IP进行分析的结果、PGD是指对页面特征进行分析的结果;ICPD、REGD、IPD、PGD的取值为[0,1],当匹配或分析结果为负面时取1;系数α、β、γ、δ的取值分别为0.2,0.2,0.3,0.3,当综合得分ε在0.5分以上时,判断为仿冒站点;(7)在判断为仿冒站点后,在威胁情报库中将该站点的备案单位、注册人、注册邮箱信息、网站地址均打上标签,标记为仿冒站点(通过多次的分析后,威胁情报库中形成大量的标签,方便后续的关联分析,会增强基于威胁情报的关联判断能力,而降低对网页特征分析判断的依赖,以此大大提高检测效率)。本专利技术中,所述步骤(5.3)中的敏感内容是指涉及博彩、医疗广告、色情和游戏的网页内容。专利技术原理描述:本专利技术中所述威胁情报是指:通过采集或者共享获得大量的网络安全数据,并对威胁程度进行分析,形成分析后情报,可供设备、研究人员分析读取。威胁情报库是指对网络威胁信息进行数据集中与共享,例如漏洞库、指纹库、IP信誉库、网站信誉库等。威胁情报库在网络安全领域大量存在,且有产品化趋势。本专利技术分析威胁情报库中采集的互联网海量域名与站点信息数据海量数据,通过对站点的域名、页面、备案主题、注册信息、解析地址等数据进行分析与关联,查找出其中的仿冒站点,并打上标记,方便后续检测。其中威胁情报库的获取并不在本专利中,本专利技术可利用已有的威胁情报库数据。与现有技术相比,本专利技术的技术效果是:本专利技术的创新之处在于:1、采用威胁情报数据即站点、备案单位、注册人等因素来做关联分析,而非仅对站点本身的内容进行检测分析;2、本专利技术通过威胁情报进行前期快速关联分析,可较快速识别出仿冒站点,在最后再通过内容特征判断,以此提高时效性与准确定;3、本发现在发现仿冒网站后,会对威胁情报库中的站点数据进行标签标记,有助于后续的分析,提高后续发现时效性;本专利技术可有效应用与政府、教育、事业单位等行业,进行仿冒站点的探测与发现。这些公共单位的网站由于可信度高,大众与搜索引擎都会较为信任,所以内容可以欺骗普通用户域搜索引擎,以此降低由于传播不良信息被发现的概率,但是这类站点中传播的游戏、博彩,会对社会产生不良影响,也非常严重的影响了本单位的公信度。本专利技术在实际应用后,可进行站点监测,及时发现这类仿冒网站,降低不良信息的影响,截断地下产业链的推广,增强公共单位的公信度。附图说明图1为本专利技术实现过程的流程图。具体实施方式下面结合附图,对本专利技术的具体实施方式进行详细描述。本专利技术中基于威胁情报判别仿冒网站的方法,包括以下步骤:(1)将威胁情报库中的域名信息库与网页库中的内容进行相似度比较;(1.1)对域名情报库中的网站首页页面<title><meta>中的内容进行分析,采用语义分析算法进行识别;提取出相似度高于预设阈值的网站群体,以用于下一步分析;或者,(1.2)指定目标站点,提取该站点的<title><meta>中的内容,在域名信息库中查找到与其相比相似度高于预设阈值的网站群体,以用于下一步分析;(2)分析网站群体中各站点的备案主体,对其ICP备案单位进行匹配;(2.1)确认站点是否已经备案;若未备案,则计入恶意站点;(2.2)确认站点备案单位的属性,如属于政府机关或事业单位,则排除仿冒可疑;(2.3)对备案单位中的个人本文档来自技高网...
【技术保护点】
1.一种基于威胁情报判别仿冒网站的方法,其特征在于,包括以下步骤:(1)将威胁情报库中的域名信息库与网页库中的内容进行相似度比较;(1.1)对域名情报库中的网站首页页面
【技术特征摘要】
1.一种基于威胁情报判别仿冒网站的方法,其特征在于,包括以下步骤:(1)将威胁情报库中的域名信息库与网页库中的内容进行相似度比较;(1.1)对域名情报库中的网站首页页面<title><meta>中的内容进行分析,采用语义分析算法进行识别;提取出相似度高于预设阈值的网站群体,以用于下一步分析;或者,(1.2)指定目标站点,提取该站点的<title><meta>中的内容,在域名信息库中查找到与其相比相似度高于预设阈值的网站群体,以用于下一步分析;(2)分析网站群体中各站点的备案主体,对其ICP备案单位进行匹配;(2.1)确认站点是否已经备案;若未备案,则计入恶意站点;(2.2)确认站点备案单位的属性,如属于政府机关或事业单位,则排除仿冒可疑;(2.3)对备案单位中的个人和企业进行分析,如已在威胁情报库中被标记为可疑单位,则计入备案可疑站点;(2.4)对备案单位的其他站点进行关联分析,如存在其他恶意网站记录,则计入备案可疑站点;(3)对于备案单位未检测到异常的站点,采用对注册人信息进行关联分析的方式,对注册人信息进行匹配:(3.1)通过站点注册人反查其历史注册站点,如关联站点曾有恶意网站记录,则计入注册可疑站点;(3.2)通过站点注册邮箱反查其历史注册站点,如关联站点曾有恶意网站记录,则计入注册可疑站点;(4)对站点布署地址IP进行分析;(4.1)如站点的布...
【专利技术属性】
技术研发人员:金丽慧,范渊,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:浙江,33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。