CN102316099A - 网络钓鱼检测方法及装置 - Google Patents
网络钓鱼检测方法及装置 Download PDFInfo
- Publication number
- CN102316099A CN102316099A CN201110212909A CN201110212909A CN102316099A CN 102316099 A CN102316099 A CN 102316099A CN 201110212909 A CN201110212909 A CN 201110212909A CN 201110212909 A CN201110212909 A CN 201110212909A CN 102316099 A CN102316099 A CN 102316099A
- Authority
- CN
- China
- Prior art keywords
- fishing
- url
- doubtful
- host name
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 40
- 238000000034 method Methods 0.000 claims abstract description 10
- 230000008878 coupling Effects 0.000 claims description 18
- 238000010168 coupling process Methods 0.000 claims description 18
- 238000005859 coupling reaction Methods 0.000 claims description 18
- 238000012217 deletion Methods 0.000 claims description 15
- 230000037430 deletion Effects 0.000 claims description 15
- 244000188472 Ilex paraguariensis Species 0.000 claims description 4
- 230000001960 triggered effect Effects 0.000 abstract 1
- 238000005516 engineering process Methods 0.000 description 6
- 238000003909 pattern recognition Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 230000035943 smell Effects 0.000 description 2
- 101001028804 Homo sapiens Protein eyes shut homolog Proteins 0.000 description 1
- 102100037166 Protein eyes shut homolog Human genes 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011109 contamination Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 238000009418 renovation Methods 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供一种网络钓鱼检测方法及装置。该方法包括:获取与钓鱼目标关键词匹配的疑似钓鱼主机名;获取与所述钓鱼目标对应的钓鱼统一资源定位符URL路径;将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。本发明实施例通过主动获取与钓鱼目标关键词匹配的疑似钓鱼主机名和与所述钓鱼目标对应的钓鱼URL路径,拼接成疑似钓鱼URL,并对疑似钓鱼URL进行检测确定是否为钓鱼URL的技术手段,克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,进而实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率。
Description
技术领域
本发明涉及网络安全技术领域,尤其是一种网络钓鱼检测方法及装置。
背景技术
网络钓鱼,是指通过发送垃圾电子邮件等方式,将收信用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上,并获取收信用户在此钓鱼网站上输入的个人敏感信息的网络犯罪行为。由于电子商务和互联网应用的普及和发展,网络钓鱼造成的损失日益严重。
目前,出现的众多检测和判断钓鱼攻击的技术手段可以主要分为三大类:黑名单技术、启发式特征检测技术和基于模式识别的检测技术。黑名单技术是通过用户举报或评价来维护一个不断更新的钓鱼网站名单列表,从而阻止更多的用户不要访问已发现的钓鱼网站。启发式特征检测技术是通过将钓鱼网站的链接、文本内容、域名信息等特征作为钓鱼网站判定的标准,以该标准对未知的钓鱼网站进行检测。基于模式识别的检测技术是通过对大量钓鱼网站样本提取特征向量,然后进行训练后形成判别模型,以该判别模型对未知的钓鱼网站进行检测。不管采用上述哪种技术,几乎都需要客户端或者浏览器插件被动的接受用户提交的统一资源定位符(Uniform Universal ResourceLocator,简称URL),然后将用户提交的URL发给检测装置,检测装置才能利用上述检测技术对该URL是否是钓鱼网站的URL(简称钓鱼URL)进行判断。
现有技术中检测装置只能被动的接受客户端提交的URL进行检测。而钓鱼攻击越来越猖獗普遍,仅仅依靠用户触发的被动检测,显然是不足以应对钓鱼攻击的。
发明内容
本发明实施例提供一种网络钓鱼检测方法及装置,以解决现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题。
一方面,本发明实施例提供了一种网络钓鱼检测方法,包括:
获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
获取与所述钓鱼目标对应的钓鱼统一资源定位符URL路径;
将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
另一方面,本发明实施例提供了一种网络钓鱼检测装置,包括:
疑似主机获取模块,用于获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
URL路径获取模块,用于获取与所述钓鱼目标对应的钓鱼统一资源定位符URL路径;
URL构造模块,用于将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
检测模块,用于对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
本发明实施例通过主动获取与钓鱼目标的关键词匹配的疑似钓鱼主机名和与所述钓鱼目标对应的钓鱼URL路径,将所述疑似钓鱼主机名和钓鱼URL路径拼接成疑似钓鱼URL,并对所述疑似钓鱼URL进行检测确定所述疑似钓鱼URL是否为钓鱼URL的技术手段,克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,进而实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的一种网络钓鱼检测方法实施例一的流程示意图。
图2是本发明提供的一种网络钓鱼检测方法实施例二的流程示意图。
图3是本发明提供的一种网络钓鱼检测装置实施例一的结构示意图。
图4为本发明提供的一种网络钓鱼检测装置实施例二的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在实现本发明的过程中,发明人通过分析实际的钓鱼举报数据,发现当前超过90%的钓鱼攻击依然是传统模式,即通过采用对钓鱼目标有仿冒行为的统一资源定位符(Uniform Universal Resource Locator,简称URL)和其对应网页吸引欺骗用户泄露自己的账号等机密信息。这里的钓鱼目标是指被钓鱼网站的仿冒对象,比如淘宝网,中国工商银行等。其中URL包括主机名和URL路径,比如http://item.taobao.com/member/minilogin.asp这是个URL,它由主机名http://item.taobao.com/和URL路径/member/minilogin.asp组成。以钓鱼目标为淘宝网举例来说,对该钓鱼目标有仿冒行为的URL,即钓鱼网站可以是http://item.taobao.cvbda.co.cc/member/minilogin.asp。因此,通过对网络上活跃主机进行有针对性的扫描和检测,可以检索出有仿冒倾向的主机作为疑似钓鱼主机。另一方面,由于钓鱼攻击中执行钓鱼功能的页面URL现在的结构层次越来越复杂,一般采用多级域多层级路径的形式,因此仅仅依靠主机往往很难检测出真正的钓鱼页面。所以,本发明实施例提出采用已经判定的钓鱼数据库中的URL路径作为补充,和疑似钓鱼主机名拼接在一起,从而构造出完整的疑似钓鱼URL。然后对疑似钓鱼URL进行检测,以确定钓鱼URL。
图1是本发明提供的一种网络钓鱼检测方法实施例一的流程示意图。如图1所示,该实施例包括:
步骤101、获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
举例来说,检测装置可以基于网络管理员手工输入获取与钓鱼目标的关键词匹配的疑似钓鱼主机名,也可以是从域名系统(Domain Name System,简称DNS)服务器查询获取疑似钓鱼主机名,本实施例对此不作限定。所述与钓鱼目标的关键词匹配的疑似钓鱼主机名通常是与钓鱼目标的主机名相近似的主机名。比如钓鱼目标为淘宝网,其关键词可以是taobao,与该关键词匹配的疑似钓鱼主机名可以是http://www.taobao.co.cc/等。
步骤102、获取与所述钓鱼目标对应的钓鱼URL路径;
这里,与所述钓鱼目标对应的钓鱼URL路径是指针对该钓鱼目标,使用过的钓鱼URL路径,通常可以从现有的数据库中获取。其中,现有数据库中存储了钓鱼目标和与钓鱼目标对应的一个或多个钓鱼URL,从所述钓鱼URL中截取出钓鱼URL路径。
另外需要特别说明的是,实际应用中步骤101和步骤102之间没有一定的先后顺序关系,步骤101和步骤102都只要在步骤103之前执行即可。
步骤103、将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
步骤104、对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
对所述疑似钓鱼URL进行检测可以采用现有技术中的检测方式,如黑名单技术、启发式特征检测技术、基于模式识别的检测技术等,本实施例对此不作限定。
实际应用中,可以对一个钓鱼目标进行网络钓鱼检测,也可以对多个钓鱼目标进行网络钓鱼检测,本实施例对此不作限定。
本发明实施例通过主动获取与钓鱼目标的关键词匹配的疑似钓鱼主机名和与所述钓鱼目标对应的钓鱼URL路径,将所述疑似钓鱼主机名和钓鱼URL路径拼接成疑似钓鱼URL,并对疑似钓鱼URL进行检测确定所述疑似钓鱼URL是否为钓鱼URL的技术手段,克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,进而实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率。
图2是本发明提供的一种网络钓鱼检测方法实施例二的流程示意图。如图2所示,该实施例包括:
步骤201、从DNS服务器获取主机查询日志;
这里的主机查询日志包含查询的主机名、查询时间、查询来源IP等信息,具体可以是权威查询日志,也可以是递归查询日志,本实施例对此不作限定。
步骤202、根据所述主机查询日志确定主机名列表;
将所述主机查询日志中查询的主机名提取出来,形成主机名列表
步骤203、对所述主机名列表进行预处理,形成有效主机名列表;
这里的预处理包括但不限于以下任一种方式或方式的组合:1)从所述主机名列表中删除重复的主机名;2)从所述主机名列表中删除端口处于关闭状态的主机的主机名;3)从所述主机名列表中删除白名单中的主机名;4)从所述主机名列表中删除页面等级Page Rank值正常的主机的主机名。
步骤204、匹配钓鱼目标的关键词,从所述有效主机名列表中确定与所述钓鱼目标的关键词匹配的疑似钓鱼主机名;
这里的钓鱼目标的关键词,比如钓鱼目标为淘宝网,则该钓鱼目标的关键词可以为taobao。进一步地,这里还可以用关键词的组合来匹配,比如item和taobao的组合经常出现在针对淘宝网的钓鱼URL主机中,则可以用item和taobao的组合来匹配所述有效主机名列表中的主机名,比如匹配中了http://item.taobao.cvbda.co.cc/作为一个针对淘宝网的疑似钓鱼主机名。
步骤205、从钓鱼数据库中读取与所述钓鱼目标对应的钓鱼URL路径;
这里可以采用现有技术中任何一个公开的钓鱼举报数据源作为钓鱼数据库,比如phishtank.com等。钓鱼数据库包含如下信息:钓鱼目标和与该钓鱼目标对应的钓鱼URL。步骤205在钓鱼数据库确定与所述钓鱼目标对应的钓鱼URL后,读取钓鱼URL中的路径部分,也就是钓鱼URL路径。这里的与所述钓鱼目标对应的钓鱼URL路径可以是一个,也可以是多个,本实施例对此不做限定。另外需要特别说明的是,步骤205和步骤201~204之间没有一定的先后顺序关系,步骤205和步骤201~204均只要在步骤206之前执行即可。
若与所述钓鱼目标对应的钓鱼URL路径有至少两个,则步骤205进一步包括:按照出现频率从高到低对所述至少两个与所述钓鱼目标对应的钓鱼URL路径进行排序,然后获取出现频率最高的N个钓鱼URL路径组成高频钓鱼路径列表,N为大于1的自然数。
步骤206、将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
若与所述钓鱼目标对应的钓鱼URL路径有至少两个,对应地,步骤206中将所述疑似钓鱼主机名依次和所述高频钓鱼路径列表中的钓鱼URL路径进行拼接,得到疑似钓鱼URL列表。
步骤207、访问所述疑似钓鱼URL,获取所述疑似钓鱼URL对应的页面;
这里可以采用现有技术中的在线访问嗅探,判断是否可以在线访问所述疑似钓鱼URL,若不能在线访问则结束,或继续对下一个疑似钓鱼URL进行在线访问嗅探。
步骤208、若所述页面包含登陆框和所述钓鱼目标的关键词,确定所述疑似钓鱼URL为钓鱼URL。
发明人在实现本发明的过程中发现,通常钓鱼网站的页面上都有登陆框。另外,具体地,判断所述页面的标题后(meta=title)的值和版权(copyright)处的字符串是否包含所述钓鱼目标的关键词。其中Meta=title是页面中头(head)部分的标题(title)部分,有具体的值,一般为一连串文本,描述这个页面用途的,被浏览器在顶端呈现。进一步地,步骤208中若所述页面不包含登陆框和/或所述钓鱼目标的关键词,则确定所述疑似钓鱼URL不是钓鱼URL。
本实施例通过步骤207和步骤208对疑似钓鱼URL是否为钓鱼URL进行进一步的判断,提高结果的准确性。
本发明实施例通过从DNS服务器获取主机查询日志,根据主机查询日志确定主机名列表,对主机名列表进行预处理后匹配钓鱼目标关键词确定疑似钓鱼主机名,然后将疑似钓鱼主机名和从钓鱼数据库中获取与钓鱼目标对应的钓鱼URL路径拼接构成疑似钓鱼URL,最后通过对疑似钓鱼URL进行检测确定所述疑似钓鱼URL是否为钓鱼URL,不仅克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率,更提高了钓鱼网站检出结果的准确性。
图3是本发明提供的一种网络钓鱼检测装置实施例一的结构示意图。如图3所示,该实施例包括:
疑似主机获取模块31,用于获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
URL路径获取模块32,用于获取与所述钓鱼目标对应的钓鱼URL路径;
URL构造模块33,用于将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
检测模块34,用于对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
本实施例的具体实现参照本发明提供的一种网络钓鱼检测方法实施例一。本发明实施例通过主动获取与钓鱼目标的关键词匹配的疑似钓鱼主机名和与所述钓鱼目标对应的钓鱼URL路径,将所述疑似钓鱼主机名和钓鱼URL路径拼接成疑似钓鱼URL,并对疑似钓鱼URL进行检测确定所述疑似钓鱼URL是否为钓鱼URL的技术手段,克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,进而实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率。
图4为本发明提供的一种网络钓鱼检测装置实施例二的结构示意图。如图4所示,该实施例包括:
疑似主机获取模块41,用于获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
URL路径获取模块42,用于获取与所述钓鱼目标对应的钓鱼URL路径;
URL构造模块43,用于将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
检测模块44,用于对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
疑似主机获取模块41具体包括:
日志获取单元411,用于从DNS服务器获取主机查询日志;
列表确定单元412,用于根据所述主机查询日志,确定主机名列表;
预处理单元413,用于对所述主机名列表进行预处理,形成有效主机名列表;
匹配单元414,用于匹配所述钓鱼目标的关键词,从所述有效主机名列表中确定与所述钓鱼目标的关键词匹配的疑似钓鱼主机。
进一步地,预处理单元413具体用于进行下述至少一种操作,
从所述主机名列表中删除重复的主机名;
从所述主机名列表中删除端口处于关闭状态的主机的主机名;
从所述主机名列表中删除白名单中的主机名;
从所述主机名列表中删除Page Rank值正常的主机的主机名。
进一步地,URL路径获取模块42具体用于,从钓鱼数据库中读取与所述钓鱼目标对应的钓鱼URL路径。
进一步地,若所述与所述钓鱼目标对应的钓鱼URL路径有至少两个,URL路径获取模块42具体用于,将所述至少两个钓鱼URL路径按照出现频率从高到低依次排序;URL构造模块43具体用于,按照所述排序依次将所述疑似钓鱼主机名和所述钓鱼URL路径进行拼接,得到至少两个疑似钓鱼URL;检测模块44具体用于,按照所述排序依次对所述至少两个疑似钓鱼URL进行检测。
进一步地,检测模块44具体包括:
访问单元441,用于访问所述疑似钓鱼URL,获取所述疑似钓鱼URL对应的页面;
判断单元442,用于若所述页面包含登陆框和所述钓鱼目标的关键词,确定所述疑似钓鱼URL为所述钓鱼URL。
本实施例的具体实现参照本发明提供的一种网络钓鱼检测方法实施例二。本发明实施例通过从DNS服务器获取主机查询日志,根据主机查询日志确定主机名列表,对主机名列表进行预处理后匹配钓鱼目标关键词确定疑似钓鱼主机名,然后将疑似钓鱼主机名和从钓鱼数据库中获取与钓鱼目标对应的钓鱼URL路径拼接构成疑似钓鱼URL,最后通过对疑似钓鱼URL进行检测确定所述疑似钓鱼URL是否为钓鱼URL,不仅克服了现有技术中依靠用户触发的被动检测无法应对越来越猖獗普遍的钓鱼攻击的问题,实现了更早的发现钓鱼网站,提高了钓鱼网站检出效率,更提高了钓鱼网站检出结果的准确性。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (12)
1.一种网络钓鱼检测方法,其特征在于,包括:
获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
获取与所述钓鱼目标对应的钓鱼统一资源定位符URL路径;
将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
2.根据权利要求1所述的方法,其特征在于,所述获取与钓鱼目标的关键词匹配的疑似钓鱼主机名具体包括:
从域名系统DNS服务器获取主机查询日志;
根据所述主机查询日志,确定主机名列表;
对所述主机名列表进行预处理,形成有效主机名列表;
匹配所述钓鱼目标的关键词,从所述有效主机名列表中确定与所述钓鱼目标的关键词匹配的疑似钓鱼主机名。
3.根据权利要求2所述的方法,其特征在于,所述对所述主机名列表进行预处理具体包括下述至少一个操作:
从所述主机名列表中删除重复的主机名;
从所述主机名列表中删除端口处于关闭状态的主机的主机名;
从所述主机名列表中删除白名单中的主机名;
从所述主机名列表中删除页面等级Page Rank值正常的主机的主机名。
4.根据权利要求1所述的方法,其特征在于,所述获取与所述钓鱼目标对应的钓鱼URL路径具体包括:
从钓鱼数据库中读取与所述钓鱼目标对应的钓鱼URL路径。
5.根据权利要求1所述的方法,其特征在于,若所述与所述钓鱼目标对应的钓鱼URL路径有至少两个,则所述将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL之前还包括:
将所述至少两个钓鱼URL路径按照出现频率从高到低依次排序;
所述将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL具体包括:
按照所述排序依次将所述疑似钓鱼主机名和所述钓鱼URL路径进行拼接,得到至少两个疑似钓鱼URL;
所述对所述疑似钓鱼URL进行检测具体包括:
按照所述排序依次对所述至少两个疑似钓鱼URL进行检测。
6.根据权利要求1所述的方法,其特征在于,所述对所述疑似钓鱼URL进行检测具体包括:
访问所述疑似钓鱼URL,获取所述疑似钓鱼URL对应的页面;
若所述页面包含登陆框和所述钓鱼目标的关键词,确定所述疑似钓鱼URL为所述钓鱼URL。
7.一种网络钓鱼检测装置,其特征在于,包括:
疑似主机获取模块,用于获取与钓鱼目标的关键词匹配的疑似钓鱼主机名;
URL路径获取模块,用于获取与所述钓鱼目标对应的钓鱼统一资源定位符URL路径;
URL构造模块,用于将所述疑似钓鱼主机名和所述钓鱼URL路径拼接成疑似钓鱼URL;
检测模块,用于对所述疑似钓鱼URL进行检测,确定所述疑似钓鱼URL是否为钓鱼URL。
8.根据权利要求7所述的装置,其特征在于,所述疑似主机获取模块具体包括:
日志获取单元,用于从域名系统DNS服务器获取主机查询日志;
列表确定单元,用于根据所述主机查询日志,确定主机名列表;
预处理单元,用于对所述主机名列表进行预处理,形成有效主机名列表;
匹配单元,用于匹配所述钓鱼目标的关键词,从所述有效主机名列表中确定与所述钓鱼目标的关键词匹配的疑似钓鱼主机。
9.根据权利要求8所述的装置,其特征在于,所述预处理单元具体用于进行下述至少一个操作,
从所述主机名列表中删除重复的主机名;
从所述主机名列表中删除端口处于关闭状态的主机的主机名;
从所述主机名列表中删除白名单中的主机名;
从所述主机名列表中删除页面等级Page Rank值正常的主机的主机名。
10.根据权利要求7所述的装置,其特征在于,所述URL路径获取模块具体用于,从钓鱼数据库中读取与所述钓鱼目标对应的钓鱼URL路径。
11.根据权利要求7所述的装置,其特征在于,若所述与所述钓鱼目标对应的钓鱼URL路径有至少两个,所述URL路径获取模块具体用于,
将所述至少两个钓鱼URL路径按照出现频率从高到低依次排序;
所述URL构造模块具体用于,
按照所述排序依次将所述疑似钓鱼主机名和所述钓鱼URL路径进行拼接,得到至少两个疑似钓鱼URL;
所述检测模块具体用于,
按照所述排序依次对所述至少两个疑似钓鱼URL进行检测。
12.根据权利要求7所述的装置,其特征在于,所述检测模块具体包括:
访问单元,用于访问所述疑似钓鱼URL,获取所述疑似钓鱼URL对应的页面;
判断单元,用于若所述页面包含登陆框和所述钓鱼目标的关键词,确定所述疑似钓鱼URL为所述钓鱼URL。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110212909.XA CN102316099B (zh) | 2011-07-28 | 2011-07-28 | 网络钓鱼检测方法及装置 |
| PCT/CN2011/083671 WO2013013475A1 (zh) | 2011-07-28 | 2011-12-08 | 网络钓鱼检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110212909.XA CN102316099B (zh) | 2011-07-28 | 2011-07-28 | 网络钓鱼检测方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102316099A true CN102316099A (zh) | 2012-01-11 |
| CN102316099B CN102316099B (zh) | 2014-10-22 |
Family
ID=45428916
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110212909.XA Active CN102316099B (zh) | 2011-07-28 | 2011-07-28 | 网络钓鱼检测方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN102316099B (zh) |
| WO (1) | WO2013013475A1 (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102833233A (zh) * | 2012-08-06 | 2012-12-19 | 北京奇虎科技有限公司 | 一种识别网站页面的方法和装置 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN103379111A (zh) * | 2012-04-21 | 2013-10-30 | 中南林业科技大学 | 一种网络钓鱼智能防御系统 |
| CN103685174A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| CN104113539A (zh) * | 2014-07-11 | 2014-10-22 | 哈尔滨工业大学(威海) | 一种钓鱼网站引擎探测方法及装置 |
| CN105138912A (zh) * | 2015-09-25 | 2015-12-09 | 北京奇虎科技有限公司 | 钓鱼网站检测规则的自动生成方法及装置 |
| CN106209488A (zh) * | 2015-04-28 | 2016-12-07 | 北京瀚思安信科技有限公司 | 用于检测网站攻击的方法和设备 |
| CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及系统 |
| CN107360197A (zh) * | 2017-09-08 | 2017-11-17 | 杭州安恒信息技术有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
| CN108804926A (zh) * | 2018-05-23 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种通用Web应用漏洞检测、修复方法以及装置 |
| CN110929107A (zh) * | 2019-10-23 | 2020-03-27 | 广州艾媒数聚信息咨询股份有限公司 | 一种分析网络访问日志的方法、系统、装置和存储介质 |
| CN114095278A (zh) * | 2022-01-19 | 2022-02-25 | 南京明博互联网安全创新研究院有限公司 | 一种基于混合特征选择框架的钓鱼网站检测方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101303700A (zh) * | 2008-06-13 | 2008-11-12 | 华为技术有限公司 | 网页收集的方法及其系统 |
| CN101341717A (zh) * | 2005-12-23 | 2009-01-07 | 国际商业机器公司 | 评估和访问网络地址的方法 |
| CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
| US20090300768A1 (en) * | 2008-05-30 | 2009-12-03 | Balachander Krishnamurthy | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101310502B (zh) * | 2005-09-30 | 2012-10-17 | 趋势科技股份有限公司 | 安全管理设备、通信系统及访问控制方法 |
-
2011
- 2011-07-28 CN CN201110212909.XA patent/CN102316099B/zh active Active
- 2011-12-08 WO PCT/CN2011/083671 patent/WO2013013475A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101341717A (zh) * | 2005-12-23 | 2009-01-07 | 国际商业机器公司 | 评估和访问网络地址的方法 |
| US20090300768A1 (en) * | 2008-05-30 | 2009-12-03 | Balachander Krishnamurthy | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions |
| CN101303700A (zh) * | 2008-06-13 | 2008-11-12 | 华为技术有限公司 | 网页收集的方法及其系统 |
| CN101534306A (zh) * | 2009-04-14 | 2009-09-16 | 深圳市腾讯计算机系统有限公司 | 一种钓鱼网站的检测方法及装置 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103379111A (zh) * | 2012-04-21 | 2013-10-30 | 中南林业科技大学 | 一种网络钓鱼智能防御系统 |
| CN102833233A (zh) * | 2012-08-06 | 2012-12-19 | 北京奇虎科技有限公司 | 一种识别网站页面的方法和装置 |
| CN102833233B (zh) * | 2012-08-06 | 2015-07-01 | 北京奇虎科技有限公司 | 一种识别网站页面的方法和装置 |
| CN103685174A (zh) * | 2012-09-07 | 2014-03-26 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| CN103685174B (zh) * | 2012-09-07 | 2016-12-21 | 中国科学院计算机网络信息中心 | 一种不依赖样本的钓鱼网站检测方法 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN103067387B (zh) * | 2012-12-27 | 2016-01-27 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN104113539A (zh) * | 2014-07-11 | 2014-10-22 | 哈尔滨工业大学(威海) | 一种钓鱼网站引擎探测方法及装置 |
| CN106209488A (zh) * | 2015-04-28 | 2016-12-07 | 北京瀚思安信科技有限公司 | 用于检测网站攻击的方法和设备 |
| CN105138912A (zh) * | 2015-09-25 | 2015-12-09 | 北京奇虎科技有限公司 | 钓鱼网站检测规则的自动生成方法及装置 |
| CN107181758A (zh) * | 2017-06-30 | 2017-09-19 | 微梦创科网络科技(中国)有限公司 | 识别黑客行为的方法及系统 |
| CN107360197A (zh) * | 2017-09-08 | 2017-11-17 | 杭州安恒信息技术有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
| CN108804926A (zh) * | 2018-05-23 | 2018-11-13 | 腾讯科技(深圳)有限公司 | 一种通用Web应用漏洞检测、修复方法以及装置 |
| CN108804926B (zh) * | 2018-05-23 | 2020-06-26 | 腾讯科技(深圳)有限公司 | 一种通用Web应用漏洞检测、修复方法以及装置 |
| CN110929107A (zh) * | 2019-10-23 | 2020-03-27 | 广州艾媒数聚信息咨询股份有限公司 | 一种分析网络访问日志的方法、系统、装置和存储介质 |
| CN114095278A (zh) * | 2022-01-19 | 2022-02-25 | 南京明博互联网安全创新研究院有限公司 | 一种基于混合特征选择框架的钓鱼网站检测方法 |
| CN114095278B (zh) * | 2022-01-19 | 2022-05-24 | 南京明博互联网安全创新研究院有限公司 | 一种基于混合特征选择框架的钓鱼网站检测方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013013475A1 (zh) | 2013-01-31 |
| CN102316099B (zh) | 2014-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102316099A (zh) | 网络钓鱼检测方法及装置 | |
| Szurdi et al. | The long {“Taile”} of typosquatting domain names | |
| CN104125209B (zh) | 恶意网址提示方法和路由器 | |
| US7756987B2 (en) | Cybersquatter patrol | |
| CA2673322C (en) | Method and apparatus for detecting computer fraud | |
| Chiew et al. | Leverage website favicon to detect phishing websites | |
| CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
| CN102647422B (zh) | 钓鱼网站检测方法及设备 | |
| CN108566399B (zh) | 钓鱼网站识别方法及系统 | |
| CN112929390B (zh) | 一种基于多策略融合的网络智能监控方法 | |
| WO2014036801A1 (zh) | 一种不依赖样本的钓鱼网站检测方法 | |
| Du et al. | The {Ever-Changing} labyrinth: A {Large-Scale} analysis of wildcard {DNS} powered blackhat {SEO} | |
| CN102868773B (zh) | 检测dns黑洞劫持的方法、装置及系统 | |
| CN103843003A (zh) | 句法指纹识别 | |
| CN107786537B (zh) | 一种基于互联网交叉搜索的孤页植入攻击检测方法 | |
| US20180131708A1 (en) | Identifying Fraudulent and Malicious Websites, Domain and Sub-domain Names | |
| CN111756724A (zh) | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 | |
| Geng et al. | Combating phishing attacks via brand identity and authorization features | |
| CN105376217A (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| CN105187439A (zh) | 钓鱼网站检测方法及装置 | |
| CN103618742A (zh) | 获取子域名的方法和系统以及网站管理员权限验证方法 | |
| Du et al. | TL; DR hazard: a comprehensive study of levelsquatting scams | |
| CN113810518A (zh) | 有效子域名识别方法、装置和电子设备 | |
| Fatt et al. | Phishdentity: Leverage website favicon to offset polymorphic phishing website |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210209 Address after: 100190 room 506, building 2, courtyard 4, South 4th Street, Zhongguancun, Haidian District, Beijing Patentee after: CHINA INTERNET NETWORK INFORMATION CENTER Address before: 100190 No. four, four South Street, Haidian District, Beijing, Zhongguancun Patentee before: Computer Network Information Center, Chinese Academy of Sciences |
|
| TR01 | Transfer of patent right |