CN108540490A

CN108540490A - 一种钓鱼网站的检测和域名备案存储方法

Info

Publication number: CN108540490A
Application number: CN201810387071.XA
Authority: CN
Inventors: 李恒江
Original assignee: Sichuan Changhong Electric Co Ltd
Current assignee: Sichuan Changhong Electric Co Ltd
Priority date: 2018-04-26
Filing date: 2018-04-26
Publication date: 2018-09-14

Abstract

本发明公开了一种钓鱼网站的检测和域名备案存储方法，涉及计算机网络信息安全和通信技术领域。包括以下步骤：获取单元获取钓鱼网站的域名信息；根据获取到的钓鱼网站域名信息反查IP地址，通过IP地址查询所有通过此IP注册的域名信息；判断单元对网站域名备案注册信息进行初步判断其是否为钓鱼网站域名，将其进行分类：可疑网站域名数据库、安全网站域名数据库、钓鱼网站域名数据库；验证单元对可疑网站页面建造模型，页面分词，计算词语在安全网站域名数据库和钓鱼网站域名数据库中存在比例，两个比例相对比即可得出可疑网站域名是否为钓鱼网站域名。本发明根据钓鱼网站镜像模拟原网站的特点，提取其关键词进行比对，检测速度更快。

Description

一种钓鱼网站的检测和域名备案存储方法

技术领域

本发明的实施方式涉及计算机网络信息安全和通信技术领域，更具体地，本发明的实施方式涉及一种钓鱼网站的检测和域名备案存储方法。

背景技术

钓鱼网站又称作“愿者上钩”，如果大数据时代计算机网络飞速发展，Phishing网络钓鱼事件日益频繁，从银行信息到个人隐私信息等的窃取，网络钓鱼法是不法分子通过大量发送中奖、或仿冒银行等知名机构的短信或者邮件来诱导用户自发给出个人隐私信息(例如IPHONE ID密码和屏幕锁、其它账号及密码、验证口令、银行卡和信用卡信息等)或者在某些漏洞网页插入病毒代码骗取私人资料的一种网络攻击，严重影响电商以及网络金融业的发展，公众利益岌岌可危，让原本不太了解网络的公民更加远离网络并且有可能拉低计算机普及率影响社会进步。

现阶段，相关部门创建了钓鱼网站举报平台，主要是由有关部门进行几率性扫描以及用户举报来获取钓鱼网站信息(URL、IP等)，建立钓鱼网站数据库和安全网站数据库，用于之后用户访问网站时判断网站安全性。

但是由于这种方式存在滞后性并且需要对数据库进行及时的更新，导致更多用户遭受了钓鱼网站攻击被损害利益。现阶段判断钓鱼网站还需要人为的检测，负责度和工作量较高。

当钓鱼网站造成用户利益严重损害涉及到财产安全时，对于网络犯罪分子的追捕成了一大难题，在仅知道域名的情况下要对犯罪分子实施追踪定位以及对其实施抓捕，一种对域名和IP追踪定位的方法必然十分重要。

发明内容

本发明的目的是针对现阶段技术缺陷和盲点，提出一种钓鱼网站的检测和域名备案存储，从而解决现阶段发现钓鱼网站过于滞后以及对犯罪分子追捕难度大的问题，并且检测到钓鱼网站之后可对其域名、IP、注册信息等进行分析，实现自动检测钓鱼网站和追踪定位钓鱼网站域名注册公司。

为了达到上述的技术效果，本发明采取以下技术方案：

一种钓鱼网站的检测和域名备案存储方法，包括以下步骤：

A、获取单元获取钓鱼网站的域名信息；

B、根据获取到的钓鱼网站域名信息反查IP地址，通过IP地址查询所有通过此IP注册的域名信息；

C、判断单元对网站域名备案注册信息进行初步判断其是否为钓鱼网站域名，将其进行分类：可疑网站域名数据库、安全网站域名数据库、钓鱼网站域名数据库；

D、验证单元对可疑网站页面建造模型，页面分词，计算词语在安全网站域名数据库和钓鱼网站域名数据库中存在比例，两个比例相对比即可得出可疑网站域名是否为钓鱼网站域名。

进一步的技术方案是:所述获取单元：从钓鱼网站举报平台或其它方式获取钓鱼网站的域名信息，例如khfbhv.com.cn这个网站仿冒苹果iCloud官网页面对用户进行ID屏幕锁等信息的窃取，可在windows系统下管理员运行命令行ping khfbhv.com.cn，即可得出该钓鱼网站的IP；根据其IP地址，获取所有使用该IP地址的网站域名，通过2层判断条件将可疑网站域名信息存储到①可疑网站域名数据库中，安全网站域名信息存储到②安全网站域名数据库中，若是钓鱼网站则将该钓鱼网站域名信息存储到③钓鱼网站数据库中。

进一步的技术方案是:所述判断单元：通过2层判断条件将可疑网站域名信息存储到可疑网站域名数据库中，安全网站域名信息存储到安全网站域名数据库中，若是钓鱼网站则将该钓鱼网站域名信息存储到钓鱼网站数据库中。

进一步的技术方案是:第一层判断单元规则：通过获取单元获取域名之后，首先与已有钓鱼网站域名数据库黑名单进行比对，如果存在于黑名单中将其直接存储进钓鱼网站域名数据库对其数据库进行更新。若与黑名单中的字段各不相同，则进一步在判断单元中进行第二层判断。

进一步的技术方案是:在判断单元中引进第二层判断单元规则判断该域名为可疑网站域名或者安全网站域名，对域名备案信息进行查询，若域名备案信息的注册商是党政机关、国有企业、部队或学校，则将该域名列入安全网站域名队列，并更新安全网站域名数据库；若该域名为私有企业、民营企业、外资企业或者无注册信息没有进行备案，那么判断该网站域名是可疑网站域名，并将其信息按照数据库格式存储进可疑网站域名数据库。

进一步的技术方案是:所述验证单元：发现可疑网站域名进入最后的验证单元，对可疑网站页面建立模型，获取页面中的中文字符，对页面进行分词，计算出各个单词在钓鱼网站域名数据库中出现的概率p，以及各个单词在安全网站域名数据库中出现的概率p’；p和p’都取平均值，

p＝(单词1个数/钓鱼网站域名数据库中单词1个数+单词2个数/钓鱼网站域名数据库中单词2个数+…+单词n个数/钓鱼网站域名数据库中单词n个数)/n；

p’＝(单词1个数/安全网站域名数据库中单词1个数+单词2个数/安全网站域名数据库中单词2个数+…+单词n个数/安全网站域名数据库中单词n个数)/n；

对比p和p’两个比例大小，若p>p’，则将可疑网站域名存储进钓鱼网站域名数据库，并将该域名对应的所有备案信息一同记入数据库；反之若p<＝p’，将可疑网站域名存储进安全网站域名数据库。

进一步的技术方案是:将可疑网站存储进安全网站域名数据库中或钓鱼网站域名数据库中之后即时更新可疑网站域名数据库中信息。

本发明与现有技术相比，具有以下的有益效果：本发明根据钓鱼网站镜像模拟原网站的特点，提取其关键词进行比对，检测速度更快；并且查询域名信息可追踪注册商等信息，并记录到钓鱼网站数据库，对于欺诈用户情节严重者可由域名追踪到注册公司进行追究其法律责任。

附图说明

图1是本发明流程示意图；

图2是本发明结构框图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例

钓鱼网站为社会工程学的一种攻击模式，现阶段，设计者可将多个域名解析到同一个IP地址，并且IP地址可以伪造或是利用代理服务器进行钓鱼，所以在追踪IP来源上的难度较大，技术上难以实现准确追踪定位。但是，本发明研究发现，在钓鱼网站中的域名发现突破，从域名解析出IP地址，再从IP地址找到所有使用该IP地址注册的域名信息。

如下图1所示：本次发明步骤如下：

首先建立三个域名存储数据库：①可疑网站域名数据库；②安全网站域名数据库；③钓鱼网站域名数据库。

①可疑网站域名数据库

名称	定义	中文名	备注
				id	Int(11)	id
create_date	datetime	创建时间
				update_date	datetime	更新时间
event_number	Varchar(255)	事件编号
				domain_name	Varchar(255)	域名
url	Longtext	url
				Sponsoring_registrant	Int(11)	注册商
Registrant_date	Datetime	注册日期
				Name_server	Longtext	DNS服务器
Registrant	Int(11)	所有者
				Registrant_email	Int(11)	所有者邮箱

②安全网站域名数据库

名称	定义	中文名	备注
				id	Int(11)	id
create_date	datetime	创建时间
				update_date	datetime	更新时间
domain_name	Varchar(255)	域名
				url	Longtext	url

③钓鱼网站域名数据库

从已知的钓鱼网站域名信息中提取这个钓鱼网站的IP地址。例如一个仿冒苹果iCloud官网的钓鱼网站域名khfbhv.com.cn，URL为http://www.ipldsub.khfbhv.com.cn，在windows系统下，在命令行pingkhfbhv.com.cn，结果可以得到其域名的IP地址。而根据该IP地址可以获取所有该IP地址的所有网站域名。

第一层判断单元规则：通过获取单元获取域名之后，首先与已有钓鱼网站域名数据库黑名单进行比对，如果存在于黑名单中将其直接存储进③钓鱼网站域名数据库对其数据库进行更新。若与黑名单中的字段各不相同，则进一步在判断单元中进行下一步操作。

在判断单元中引进第二层判断单元规则判断该域名为可疑网站域名或者安全网站域名。具体情况：对域名备案信息进行查询，若域名备案信息的注册商是党政机关、国有企业、部队、学校，则将该域名列入安全网站域名队列，并更新安全网站域名数据库；若该域名为私有企业、民营企业、外资企业或者无注册信息没有进行备案，那么判断该网站域名是可疑网站域名，并将其信息按照数据库格式存储进可疑网站域名数据库。

发现可疑网站域名进入最后的验证单元。

对可疑网站页面建立模型，获取页面中的中文字符，对页面进行分词，计算出各个单词在钓鱼网站域名数据库中出现的概率p，以及各个单词在安全网站域名数据库中出现的概率p’；p和p’都取平均值，

p＝(单词1个数/钓鱼网站域名数据库中单词1个数+单词2个数/钓鱼网站域名数据库中单词2个数+…+单词n个数/钓鱼网站域名数据库中单词n个数)/n。

p’＝(单词1个数/安全网站域名数据库中单词1个数+单词2个数/安全网站域名数据库中单词2个数+…+单词n个数/安全网站域名数据库中单词n个数)/n。

对比p和p’两个比例大小，若p>p’，则将可疑网站域名存储进钓鱼网站域名数据库，并将该域名对应的所有备案信息(例如注册商、注册公司、注册时间等等)一同记入数据库；反之若p<＝p’，将可疑网站域名存储进安全网站域名数据库。将可疑网站存储进安全网站域名数据库中或钓鱼网站域名数据库中之后应即时更新可疑网站域名数据库中信息。

尽管这里参照本发明的解释性实施例对本发明进行了描述，但是，应该理解，本领域技术人员可以设计出很多其他的修改和实施方式，这些修改和实施方式将落在本申请公开的原则范围和精神之内。更具体地说，在本申请公开的范围内，可以对主题组合布局的组成部件和/或布局进行多种变型和改进。除了对组成部件和/或布局进行的变型和改进外，对于本领域技术人员来说，其他的用途也将是明显的。

Claims

1.一种钓鱼网站的检测和域名备案存储方法，其特征在于，包括以下步骤：

A、获取单元获取钓鱼网站的域名信息；

2.根据权利要求1所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：所述获取单元：从钓鱼网站举报平台获取钓鱼网站的域名信息。

3.根据权利要求1所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：所述判断单元：通过2层判断条件将可疑网站域名信息存储到可疑网站域名数据库中，安全网站域名信息存储到安全网站域名数据库中，若是钓鱼网站则将该钓鱼网站域名信息存储到钓鱼网站数据库中。

4.根据权利要求3所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：第一层判断单元规则：通过获取单元获取域名之后，首先与已有钓鱼网站域名数据库黑名单进行比对，如果存在于黑名单中将其直接存储进钓鱼网站域名数据库对其数据库进行更新。若与黑名单中的字段各不相同，则进一步在判断单元中进行第二层判断。

5.根据权利要求4所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：在判断单元中引进第二层判断单元规则判断该域名为可疑网站域名或者安全网站域名，对域名备案信息进行查询，若域名备案信息的注册商是党政机关、国有企业、部队或学校，则将该域名列入安全网站域名队列，并更新安全网站域名数据库；若该域名为私有企业、民营企业、外资企业或者无注册信息没有进行备案，那么判断该网站域名是可疑网站域名，并将其信息按照数据库格式存储进可疑网站域名数据库。

6.根据权利要求1所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：所述验证单元：发现可疑网站域名进入最后的验证单元，对可疑网站页面建立模型，获取页面中的中文字符，对页面进行分词，计算出各个单词在钓鱼网站域名数据库中出现的概率p，以及各个单词在安全网站域名数据库中出现的概率p’；p和p’都取平均值，

7.根据权利要求1所述的一种钓鱼网站的检测和域名备案存储方法，其特征在于：将可疑网站存储进安全网站域名数据库中或钓鱼网站域名数据库中之后即时更新可疑网站域名数据库中信息。