本发明专利技术提供一种精准URL链接钓鱼的预警与监测方法及系统,涉及网络钓鱼攻击技术领域,以有效防御“精准”URL链接钓鱼攻击,全面防护邮件系统安全,保护数据安全。该方法包括:获取种子域名,基于Fuzzing技术将所述种子域名形成近亲域名;对近亲域名活动进行持续监测,以获取近亲域名活动状态;根据近亲域名活动状态,基于HTML相似度和/或基于图像视觉特征识别URL链接钓鱼。所述一种精准URL链接钓鱼的预警与监测系统应用于一种精准URL链接钓鱼的预警与监测方法。警与监测方法。警与监测方法。
【技术实现步骤摘要】
一种精准URL链接钓鱼的预警与监测方法及系统
[0001]本专利技术涉及网络钓鱼攻击
,尤其涉及一种精准URL链接钓鱼的预警与监测方法及系统。
技术介绍
[0002]“钓鱼网站”是一种网络欺诈行为,红队/攻击组织利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取账密信息或者敏感数据信息。“钓鱼网站”近来在全球频繁出现,严重地影响了有关单位数字化转型建设,危害企业及公众利益。钓鱼网站通常伪装后通过电子邮件传播,附带经过伪装的链接通过收件人点击钓鱼网站失陷。钓鱼网站的页面与真实网站界面完全一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。
[0003]根据中国《2021年网络钓鱼调查报告》显示,70%的企业面临网络钓鱼邮件增加的风险。按行业划分,政府机构遭受攻击最多(77%),其次是商业和专业服务(76%)以及医疗卫生(73%)。约500家美国公司参与调研,76%的公司称网络钓鱼行为有所增加。
[0004]现有钓鱼网站的防范主要针对已知的URL进行防御,包括个人防范和企业防范。个人常见防范方式主要包括:(1)查验“可信网站”,(2)核对网站域名,(3)比较网站内容,(4)查询网站备案,(5)查看安全证书。邮件钓鱼中URL链接钓鱼是网络攻击中最重要手段之一,钓鱼URL链接通常通过邮箱、IM通讯软件、Web网站等通道进行传播,影响范围极大。目前企业常用防御手段可以总结为两类:(1)邮件URL安全扫描,红队/攻击组织首先会在邮件中附带伪装钓鱼URL,该URL被点击后链接到真实的钓鱼界面;其次当邮件网站发布后,红队/攻击组织直接向网站注入恶意代码,攻击用户。这种情况下,本地须安装URL链接安全扫描的安全产品。在员工单击邮件之前,立即阻止恶意URL的攻击。(2)网络流量实时分析与监测,通过实时分析与监测方式虽然可以防止恶意网站被访问,但如果员工在收到邮件时点击了恶意URL,同样会遭到攻击。
[0005]但是专业的红队/攻击组织往往会针对目标精心构造钓鱼域名,提升钓鱼URL的置信度,提高钓鱼成功概率。这类攻击我们称之为“精准”URL链接钓鱼攻击。该类型攻击难以通过上述传统的URL静态检测方式进行防御,一旦攻击者得手,轻则造成系统账号密码泄露,重则造成内网被渗透、数据泄露等严重后果。而且上述传统的URL静态检测方式只能针对已知的URL进行防御,对未知URL或新型URL检测防御存在技术缺陷。
技术实现思路
[0006]为解决上述技术问题,本专利技术提供一种精准URL链接钓鱼的预警与监测方法及系统,以有效防御“精准”URL链接钓鱼攻击,全面防护邮件系统安全,保护数据安全。
[0007]本专利技术提供一种精准URL链接钓鱼的预警与监测方法,该方法包括:
[0008]步骤S1:获取种子域名,基于Fuzzing技术将所述种子域名形成近亲域名;
[0009]步骤S2:对近亲域名活动进行持续监测,以获取近亲域名活动状态;
[0010]步骤S3:根据近亲域名活动状态,基于HTML相似度和/或基于图像视觉特征识别URL链接钓鱼。
[0011]优选地,所述步骤S1包括:
[0012]步骤1.1:获取种子域名;
[0013]步骤1.2:基于Fuzzing技术将所述种子域名根据随机函数生成随机测试用例;
[0014]步骤1.3:通过大数定律和所述随机测试用例形成所述近亲域名。
[0015]优选地,所述近亲域名活动状态包括:域名注册状态、域名存活状态、域名解析状态和域名活动状态。
[0016]优选地,所述域名注册状态用于确认所述域名存活状态,所述域名解析状态用于判断所述域名活动状态。
[0017]优选地,所述步骤S3包括:基于所述域名解析状态判断所述域名活动状态,若所述域名解析状态中的Address记录被解析,则对有解析活动的域名,基于HTML相似度识别URL链接钓鱼,和/或,基于图像视觉特征识别URL链接钓鱼。
[0018]优选地,所述基于HTML相似度识别URL链接钓鱼包括:
[0019]将业务系统的HTML源代码生成模糊散列;
[0020]将业务系统的HTML源代码生成的模糊散列轮询生成有解析活动的域名的模糊散列;
[0021]比较业务系统的HTML源代码生成的模糊散列和有解析活动的域名的模糊散列的相似度,若相似度大于70%,则报警并进行人工研判识别;
[0022]所述基于图像视觉特征识别URL链接钓鱼包括:
[0023]基于感知散列技术,将网站的页面生成基于图像的视觉特征,并获取钓鱼网站指纹;
[0024]将钓鱼网站指纹与正常网站指纹进行比对,若相似度大于70%,则报警并进行人工研判识别。
[0025]与现有技术相比,本专利技术所提供的一种精准URL链接钓鱼的预警与监测方法,具有如下有益效果:首先获取种子域名,基于Fuzzing技术将种子域名形成近亲域名,然后对近亲域名活动进行持续监测,以获取近亲域名活动状态;最后根据近亲域名活动状态,基于HTML相似度和/或基于图像视觉特征识别URL链接钓鱼。有效防御社工攻击,切断黑客利用钓鱼URL攻击获取内网攻击跳板的通道,全面防护邮件系统安全,保护数据安全。填补当前国内“精准”钓鱼URL分析领域的技术空白。
[0026]本专利技术还提供一种精准URL链接钓鱼的预警与监测系统,该系统包括:
[0027]近亲域名生成模块,用于获取种子域名,基于Fuzzing技术将所述种子域名形成近亲域名;
[0028]近亲域名监测模块,用于对近亲域名活动进行持续监测,以获取近亲域名活动状态;
[0029]钓鱼识别模块,用于根据近亲域名活动状态,基于HTML相似度和/或基于图像视觉特征识别URL链接钓鱼。
[0030]优选地,所述钓鱼识别模块包括:
[0031]HTML相似度比对单元,用于将业务系统的HTML源代码生成模糊散列;
[0032]将业务系统的HTML源代码生成的模糊散列轮询生成有解析活动的域名的模糊散列;比较业务系统的HTML源代码生成的模糊散列和有解析活动的域名的模糊散列的相似度,若相似度大于70%,则报警并进行人工研判识别;
[0033]图像视觉特征单元,用于基于感知散列技术,将网站的页面生成基于图像的视觉特征,并获取钓鱼网站指纹;将钓鱼网站指纹与正常网站指纹进行比对,若相似度大于70%,则报警并进行人工研判识别。
[0034]与现有技术相比,本专利技术提供的一种精准URL链接钓鱼的预警与监测系统的有益效果与上述技术方案所述一种精准URL链接钓鱼的预警与监测方法的有益效果相同,在此不做赘述。
[0035]本专利技术还提供一种电子设备,包括总线、收发器、存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述收发器、所述存储器和所述处理器通过所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种精准URL链接钓鱼的预警与监测方法,其特征在于,包括:步骤S1:获取种子域名,基于Fuzzing技术将所述种子域名形成近亲域名;步骤S2:对近亲域名活动进行持续监测,以获取近亲域名活动状态;步骤S3:根据近亲域名活动状态,基于HTML相似度和/或基于图像视觉特征识别URL链接钓鱼。2.根据权利要求1所述的一种精准URL链接钓鱼的预警与监测方法,其特征在于,所述步骤S1包括:步骤1.1:获取种子域名;步骤1.2:基于Fuzzing技术将所述种子域名根据随机函数生成随机测试用例;步骤1.3:通过大数定律和所述随机测试用例形成所述近亲域名。3.根据权利要求1
‑
2中任一项所述的一种精准URL链接钓鱼的预警与监测方法,其特征在于,所述近亲域名活动状态包括:域名注册状态、域名存活状态、域名解析状态和域名活动状态。4.根据权利要求3所述的一种精准URL链接钓鱼的预警与监测方法,其特征在于,所述域名注册状态用于确认所述域名存活状态,所述域名解析状态用于判断所述域名活动状态。5.根据权利要求4所述的一种精准URL链接钓鱼的预警与监测方法,其特征在于,所述步骤S3包括:基于所述域名解析状态判断所述域名活动状态,若所述域名解析状态中的Address记录被解析,则对有解析活动的域名,基于HTML相似度识别URL链接钓鱼,和/或,基于图像视觉特征识别URL链接钓鱼。6.根据权利要求5所述的一种精准URL链接钓鱼的预警与监测方法,其特征在于,所述基于HTML相似度识别URL链接钓鱼包括:将业务系统的HTML源代码生成模糊散列;将业务系统的HTML源代码生成的模糊散列轮询生成有解析活动的域名的模糊散列;比较业务系统的HTML源代码生成的模糊散列和有解析活动的域名的模糊散列的相似度,若相似度大于70%,则报警并进行人工研判识别;所述基于图像视觉特征识别UR...
【专利技术属性】
技术研发人员:刘锴,王锐,侯世宇,张红雨,谢凯,
申请(专利权)人:北京灵云数科信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。