專利名稱:一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種判斷釣魚網(wǎng)站的方法��,尤其是涉及一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法�。
背景技術(shù):
所謂“釣魚網(wǎng)站”是一種網(wǎng)絡(luò)欺詐行為,指不法分子利用各種手段��,仿冒真實(shí)網(wǎng)站的URL地址以及頁面內(nèi)容�,或者利用真實(shí)網(wǎng)站服務(wù)器程序上的漏洞在站點(diǎn)的某些網(wǎng)頁中插入危險(xiǎn)的HTML代碼,以此來騙取用戶銀行或信用卡賬號���、密碼等私 人資料����,并憑借騙取的用戶信息進(jìn)一步獲取經(jīng)濟(jì)利益�����?��!搬烎~網(wǎng)站”近來在全球頻繁出現(xiàn)�����,嚴(yán)重地影響了在線金融服務(wù)�、電子商務(wù)的發(fā)展�,危害公眾利益,影響公眾應(yīng)用互聯(lián)網(wǎng)的信心��。釣魚網(wǎng)站通常偽裝成為銀行網(wǎng)站�����,竊取訪問者提交的賬號和密碼信息?���,F(xiàn)在的釣魚網(wǎng)站不僅通過電子郵件傳播,更多的是通過聊天工具�����、論壇����、搜索引擎來傳播,比如在郵件中加入一個(gè)經(jīng)過偽裝的鏈接將收件人聯(lián)到釣魚網(wǎng)站�。釣魚網(wǎng)站的頁面與真實(shí)網(wǎng)站界面基本一致�,要求訪問者提交賬號和密碼��。一般來說釣魚網(wǎng)站結(jié)構(gòu)很簡單���,只有一個(gè)或幾個(gè)頁面���,URL和真實(shí)網(wǎng)站有細(xì)微差別。常規(guī)的釣魚網(wǎng)站鑒別方法包括對網(wǎng)站的URL和具體內(nèi)容進(jìn)行鑒別���。對于對網(wǎng)站的內(nèi)容進(jìn)行鑒別需要將網(wǎng)站信息發(fā)送給服務(wù)器���,并由服務(wù)器根據(jù)其海量數(shù)據(jù)和超強(qiáng)運(yùn)算能力對網(wǎng)站內(nèi)容進(jìn)行鑒別,再將判斷結(jié)果發(fā)給客戶端��,這需要一定的處理時(shí)間�;對于基于URL的判斷,安全服務(wù)商需建立完整的釣魚網(wǎng)站數(shù)據(jù)庫�,盡量收集已知的釣魚網(wǎng)站URL樣本,在基于已知的URL樣本對待鑒別url做出判斷���,這對于首次出現(xiàn)的釣魚網(wǎng)站��,因安全服務(wù)商的數(shù)據(jù)庫內(nèi)沒有對應(yīng)的樣本��,無法對首次出現(xiàn)的釣魚網(wǎng)站做出預(yù)警�����。
發(fā)明內(nèi)容
針對以上情況����,本發(fā)明提供一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法�����,通過將待鑒別網(wǎng)站的URL數(shù)據(jù)對比已知釣魚網(wǎng)站的URL數(shù)據(jù)��,實(shí)現(xiàn)對首次出現(xiàn)的釣魚網(wǎng)站的預(yù)警判斷��。本發(fā)明的技術(shù)方案是
一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法�,包括設(shè)置在用戶機(jī)器上的客戶端以及設(shè)置在安全服務(wù)提供商側(cè)的服務(wù)器端,所述服務(wù)器端具有存儲有現(xiàn)有已知釣魚網(wǎng)站URL信息的黑名單�����、存儲有現(xiàn)有已知非釣魚網(wǎng)站URL信息的白名單����、存儲有釣魚網(wǎng)站密集分布的域名信息的高危域名數(shù)據(jù)庫以及含有從歷史數(shù)據(jù)中統(tǒng)計(jì)出的釣魚網(wǎng)站常用規(guī)律規(guī)則的規(guī)則庫��,所述方法還包括以下步驟
1)所述客戶端將用戶訪問的未知網(wǎng)站的URL數(shù)據(jù)發(fā)送至所述服務(wù)器端��;
2)所述服務(wù)器端接收客戶端發(fā)送的未知網(wǎng)站的URL數(shù)據(jù)���,并將所述URL數(shù)據(jù)與黑名單中的數(shù)據(jù)相比較,如果所述URL處于黑名單中則終止處理并將結(jié)果返回至客戶端���,如果所述URL不處于黑名單中則進(jìn)行下一步驟����;3)將所述URL數(shù)據(jù)與白名單中的數(shù)據(jù)相比較�,如果所述URL處于白名單中則終止處理并將結(jié)果返回至客戶端,如果所述URL不處于白名單中則進(jìn)行下一步驟�����;
4)將所述URL數(shù)據(jù)與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相比較����,如果不相符則終止處理并將結(jié)果返回至客戶端,如果所述URL與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相符則進(jìn)行下一步驟�����;
5)將所述URL數(shù)據(jù)與規(guī)則庫中的數(shù)據(jù)相比較,如果所述URL命中了URL規(guī)則�,服務(wù)器端則要求客戶端上傳所述URL的關(guān)鍵信息,所述關(guān)鍵信息包括所述URL的標(biāo)題����、關(guān)鍵字以及描述信息����,服務(wù)器端再基于所述高危域名數(shù)據(jù)庫、規(guī)則庫以及關(guān)鍵信息三部分進(jìn)行判斷����,并將結(jié)果返回給客戶端;
6)所述客戶端根據(jù)所述服務(wù)器端返回的結(jié)果允許或者拒絕用戶繼續(xù)訪問所述網(wǎng)站����,并給出相應(yīng)的拒絕訪問說明。作為以上技術(shù)方案的一種改進(jìn)����,每一判斷為釣魚網(wǎng)站的URL數(shù)據(jù)均被加入到所述黑、白名單�����、高危域名數(shù)據(jù)庫以及規(guī)則庫中作為已知釣魚網(wǎng)站的樣本數(shù)據(jù)。本發(fā)明的有益效果是
采用本發(fā)明所提供的釣魚網(wǎng)站判斷方法��,能大大加快釣魚網(wǎng)站的判斷速度�����,并且能夠克服現(xiàn)有URL判斷方法對首次出現(xiàn)的釣魚網(wǎng)站失效的缺點(diǎn)��。本方法采用適當(dāng)?shù)乃惴ㄔ谝阎烎~網(wǎng)站的URL數(shù)據(jù)中提取對比數(shù)據(jù)�����,對未知網(wǎng)站的URL數(shù)據(jù)進(jìn)行比較�,并結(jié)合網(wǎng)站的一些關(guān)鍵信息進(jìn)行判斷,具有方便�、快捷、高效��、適用性廣的優(yōu)點(diǎn)���。
圖I為本發(fā)明的流程圖��。
具體實(shí)施方式
在本發(fā)明的一個(gè)具體實(shí)施例中����,本方法可通過一個(gè)含有可互相通信的客戶端和服務(wù)器端的安全系統(tǒng)所實(shí)現(xiàn),其中客戶端可以是安裝在用戶機(jī)器上的安全防護(hù)軟件或者是所述安全防護(hù)軟件的一部分�,而對應(yīng)地,服務(wù)器端可以是設(shè)置在安全提供商側(cè)的中心服務(wù)器�����,為所有與其連接的客戶端提供后臺服務(wù)�。本發(fā)明的原理在于先通過現(xiàn)有已知的釣魚數(shù)據(jù),統(tǒng)計(jì)出一批釣魚網(wǎng)站密集分布的域名��,就是我們所說的高危域名����。這種域名里面釣魚網(wǎng)站含量很高��,并且正規(guī)網(wǎng)站都不會使用此類域名�����,然后再統(tǒng)計(jì)出電子商務(wù)����、微博等熱門的釣魚網(wǎng)站的URL規(guī)則。如果客戶端上傳的網(wǎng)址是高危域名下的,并且命中了 URL規(guī)則��,就會要求客戶端上傳這個(gè)網(wǎng)址的標(biāo)題�����、關(guān)鍵字����、描述等關(guān)鍵信息。服務(wù)器會綜合這三部分進(jìn)行判斷����。這樣做,就不用服務(wù)端下載網(wǎng)頁內(nèi)容進(jìn)行分析�。而是讓客戶端把網(wǎng)頁的關(guān)鍵內(nèi)容上報(bào),直接在查詢時(shí)就判斷是否釣魚�����。其中�,所述URL規(guī)則,就是統(tǒng)計(jì)出歷史數(shù)據(jù)中釣魚網(wǎng)站常使用的一些迷惑用戶的規(guī)律�����,以電子商務(wù)網(wǎng)站W(wǎng)WW. buy. com為例,比如item, buy就是其中的一個(gè)規(guī)則�����,即凡是高危域名���,并且host中包含buy的�,都會被判為釣魚�����。簡單來說��,凡是高危域名����,并且host中包含相關(guān)電子商務(wù)網(wǎng)站名稱或相關(guān)詞的�����,都會被判斷為釣魚網(wǎng)站�����。具體來說,所述系統(tǒng)可通過以下步驟對未知網(wǎng)站的URL進(jìn)行判斷處理
首先�,客戶端將用戶當(dāng)前訪問的網(wǎng)站的URL查詢數(shù)據(jù)發(fā)到服務(wù)器中,這可以是一個(gè)加密的文件交換過程����。
服務(wù)器端接收客戶端發(fā)送的URL數(shù)據(jù),所述服務(wù)器端具有一個(gè)黑�����、白名單�����,其中黑名單為包含有現(xiàn)有的已知釣魚網(wǎng)站網(wǎng)址的數(shù)據(jù)庫�����,白名單為包含有現(xiàn)有的已知安全網(wǎng)站網(wǎng)址的數(shù)據(jù)庫���。服務(wù)器端還具有一個(gè)高危域名數(shù)據(jù)庫以及規(guī)則庫�,其中所述高危域名數(shù)據(jù)庫存儲有釣魚網(wǎng)站密集分布的域名����,而規(guī)則庫則儲存有根據(jù)已知釣魚網(wǎng)站和常用在線金融服務(wù)����、電子商務(wù)網(wǎng)站的URL數(shù)據(jù)提取的釣魚網(wǎng)站URL規(guī)律(規(guī)則)����,對客戶端上傳的URL進(jìn)行判斷,其中所述釣魚網(wǎng)站的URL規(guī)則為如上所述的“凡是高危域名�����,并且host中包含相關(guān)電子商務(wù)或其它正規(guī)網(wǎng)站名稱或相關(guān)詞的���,都會被判斷為釣魚網(wǎng)站”�����。如圖I所示��,根據(jù)以上名單以及數(shù)據(jù)庫,服務(wù)器端接收客戶端發(fā)送的URL查詢數(shù)據(jù)����,首先根據(jù)黑、白名單進(jìn)行判斷����,如果接收的URL數(shù)據(jù)處于黑名單中�����,則返回所述URL數(shù)據(jù)為釣魚網(wǎng)站的信息給客戶端��;如果所述URL數(shù)據(jù)處于白名單中�����,則返回所述URL為非釣魚 網(wǎng)站的信息給客戶端����;如果所述URL數(shù)據(jù)不在黑����、白名單中,則將所述URL數(shù)據(jù)與高危域名數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行比較�,如果所述URL數(shù)據(jù)不在高危域名數(shù)據(jù)庫,則生成返回值通知客戶端所述URL為非釣魚網(wǎng)站����;如果所述URL數(shù)據(jù)在高危域名數(shù)據(jù)庫中,則調(diào)用URL規(guī)則庫對URL規(guī)則進(jìn)行匹配判斷�,如果所述URL命中了規(guī)則庫中的URL規(guī)則���,則要求客戶端上傳所述URL的標(biāo)題、關(guān)鍵字�、描述等關(guān)鍵信息,然后服務(wù)器端根據(jù)所述高危域名數(shù)據(jù)庫�����、規(guī)則庫以及關(guān)鍵信息進(jìn)行綜合判斷���,并將判斷結(jié)果返回給客戶端���。最后,客戶端根據(jù)所述服務(wù)器端所反饋的信息允許或者拒絕用戶繼續(xù)訪問所述網(wǎng)站�����,并給出相應(yīng)的拒絕訪問說明�����,以提醒用戶����。其中,在每一次判斷結(jié)束后���,服務(wù)器端均將判斷為釣魚網(wǎng)站的URL數(shù)據(jù)加入到相應(yīng)的黑名單��、高危域名數(shù)據(jù)庫以及規(guī)則庫中作為已知釣魚網(wǎng)站的樣本數(shù)據(jù)���,以提高釣魚網(wǎng)站的樣本數(shù)量,進(jìn)而提高下次判斷的準(zhǔn)確性�����。采用本發(fā)明所提出的基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法的網(wǎng)絡(luò)安全系統(tǒng)能大大加快釣魚網(wǎng)站的判斷速度�,并且能夠克服現(xiàn)有URL判斷方法對首次出現(xiàn)的釣魚網(wǎng)站失效的缺點(diǎn)。本方法采用適當(dāng)?shù)姆椒ㄔ谝阎烎~網(wǎng)站的URL數(shù)據(jù)中提取對比數(shù)據(jù)��,對未知網(wǎng)站的URL數(shù)據(jù)進(jìn)行比較�����,并結(jié)合網(wǎng)站的一些關(guān)鍵信息進(jìn)行判斷����,具有方便、快捷、高效���、適用性廣的優(yōu)點(diǎn)����。
權(quán)利要求
1.一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法���,包括設(shè)置在用戶機(jī)器上的客戶端以及設(shè)置在安全服務(wù)提供商側(cè)的服務(wù)器端����,其特征在于所述服務(wù)器端具有存儲有現(xiàn)有已知釣魚網(wǎng)站URL信息的黑名單����、存儲有現(xiàn)有已知非釣魚網(wǎng)站URL信息的白名單、存儲有釣魚網(wǎng)站密集分布的域名信息的高危域名數(shù)據(jù)庫以及含有從歷史數(shù)據(jù)中統(tǒng)計(jì)出的釣魚網(wǎng)站常用規(guī)律規(guī)則的規(guī)則庫��,所述方法還包括以下步驟 1)所述客戶端將用戶訪問的未知網(wǎng)站的URL數(shù)據(jù)發(fā)送至所述服務(wù)器端���; 2)所述服務(wù)器端接收客戶端發(fā)送的未知網(wǎng)站的URL數(shù)據(jù)�,并將所述URL數(shù)據(jù)與黑名單中的數(shù)據(jù)相比較�,如果所述URL處于黑名單中則終止處理并將結(jié)果返回至客戶端,如果所述URL不處于黑名單中則進(jìn)行下一步驟���; 3)將所述URL數(shù)據(jù)與白名單中的數(shù)據(jù)相比較���,如果所述URL處于白名單中則終止處理并將結(jié)果返回至客戶端,如果所述URL不處于白名單中則進(jìn)行下一步驟���; 4)將所述URL數(shù)據(jù)與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相比較����,如果不相符則終止處理并將結(jié)果返回至客戶端����,如果所述URL與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相符則進(jìn)行下一步驟; 5)將所述URL數(shù)據(jù)與規(guī)則庫中的數(shù)據(jù)相比較����,如果所述URL命中了規(guī)則庫中的URL規(guī)貝丨J,服務(wù)器端則要求客戶端上傳所述URL的關(guān)鍵信息���,所述關(guān)鍵信息包括所述URL的標(biāo)題���、關(guān)鍵字以及描述信息,服務(wù)器端再基于所述高危域名數(shù)據(jù)庫��、規(guī)則庫以及關(guān)鍵信息三部分進(jìn)行綜合判斷,并將結(jié)果返回給客戶端����; 6)所述客戶端根據(jù)所述服務(wù)器端返回的結(jié)果允許或者拒絕用戶繼續(xù)訪問所述網(wǎng)站,并給出相應(yīng)的拒絕訪問說明����。
2.根據(jù)權(quán)利要求I所述的基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法,其特征在于每一判斷為釣魚網(wǎng)站的URL數(shù)據(jù)均被加入到所述黑�、白名單、高危域名數(shù)據(jù)庫以及規(guī)則庫中作為已知釣魚網(wǎng)站的樣本數(shù)據(jù)�。
全文摘要
本發(fā)明提出了一種基于非內(nèi)容分析的判斷釣魚網(wǎng)站的方法,包括服務(wù)器端和客戶端�����,其中服務(wù)器端具有黑�����、白名單���、高危域名數(shù)據(jù)庫以及規(guī)則庫�����;服務(wù)器端接收客戶端發(fā)送的未知網(wǎng)站的URL數(shù)據(jù)���,并進(jìn)行黑����、白名單判斷���,如所述URL數(shù)據(jù)不在黑、白名單中則與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相比較���,如果所述URL與高危域名數(shù)據(jù)庫中的數(shù)據(jù)相符則將所述URL數(shù)據(jù)與規(guī)則庫中的數(shù)據(jù)相比較��,再基于所述高危域名數(shù)據(jù)庫����、規(guī)則庫以及關(guān)鍵信息三部分進(jìn)行判斷����,并將結(jié)果返回給客戶端。采用本發(fā)明所提供的釣魚網(wǎng)站判斷方法�,能大大加快釣魚網(wǎng)站的判斷速度,并且能夠克服現(xiàn)有URL判斷方法對首次出現(xiàn)的釣魚網(wǎng)站失效的缺點(diǎn)�,具有方便����、快捷�、高效、適用性廣的優(yōu)點(diǎn)����。
文檔編號H04L29/06GK102638448SQ20121004589
公開日2012年8月15日 申請日期2012年2月27日 優(yōu)先權(quán)日2012年2月27日
發(fā)明者溫銘, 潘建波 申請人:珠海市君天電子科技有限公司