CN102833262A - 基于whois信息的钓鱼网站收集、鉴定方法和系统 - Google Patents
基于whois信息的钓鱼网站收集、鉴定方法和系统 Download PDFInfo
- Publication number
- CN102833262A CN102833262A CN2012103243627A CN201210324362A CN102833262A CN 102833262 A CN102833262 A CN 102833262A CN 2012103243627 A CN2012103243627 A CN 2012103243627A CN 201210324362 A CN201210324362 A CN 201210324362A CN 102833262 A CN102833262 A CN 102833262A
- Authority
- CN
- China
- Prior art keywords
- domain name
- website
- fishing
- website domain
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于whois信息的钓鱼网站收集、鉴定方法和系统,该方法包括根据已知的钓鱼网站提取其whois信息;根据所述的whois信息获取所有使用该whois信息注册的网站域名;根据预设的规则判断获取的网站域名为可疑网站域名或可信任网站域名;根据预设的规则判断所述可疑网站域名是否为钓鱼网站域名。该系统包括whois信息服务器、提取模块、获取模块、判断模块、可疑网站域名数据库、可信任网站域名数据库、钓鱼判断模块和钓鱼网站域名数据库。本发明避免了基于云技术的云查杀针对性不强的不足,利用已知钓鱼网站的whois信息查找所有使用该whois信息注册的钓鱼网站域名。
Description
技术领域
本发明属于计算机领域,尤其是根据已知钓鱼网站的whois信息收集、鉴定其whois信息下的所有钓鱼网站的方法和系统。
背景技术
Whois信息是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商,地址,电话等)。通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在,但是现在出现了一些网页接口简化的线上查询工具,可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求,命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43埠。每个域名/IP的whois信息由对应的管理机构保存。
Whois信息是当前域名系统中不可或缺的一项信息服务。在使用域名进行Internet冲浪时,很多用户希望进一步了解域名、名字服务器的详细信息,这就会用到whois信息。对于域名的注册服务机构(registrar)而言,要确认域名数据是否已经正确注册到域名注册中心(registry),也经常会用到whois信息。直观来看,whois信息就是链接到域名数据库的搜索引擎,一般来说是属于网络信息中心所提供和维护的名字服务之一。
互联网域名的注册信息是公开的,并且可以通过Whois信息服务器来公开查询。因此对于whois信息的获取是比较容易的。
现有的基于云的查杀技术不能满足安全软件厂商提供更快速更完善的保护方案。因此需要提前处理一些已经在运作,但是尚未对网络安全造成实质性影响的钓鱼网站。
由于钓鱼网站也同样需要在进行互域名注册,这样就避免不了提供whois信息。而钓鱼网站的制造者往往在注册时使用相同的whois信息。
发明内容
本发明的目的,就是克服现有技术的不足,提供一种在已知钓鱼网站中提取其whois信息,并根据该whois信息获取所有使用该whois信息注册的网站域名,再通过判断机制找到钓鱼网站的基于whois信息的钓鱼网站收集、鉴定方法和系统。
为了达到上述目的,采用如下两种技术方案:
技术方案一:一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于,所述基于whois信息的钓鱼网站收集方法包括以下步骤:根据已知的钓鱼网站的域名信息,从whois信息服务器中提取钓鱼网站的whois信息;根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名;根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中;根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,将钓鱼网站域名存储至一钓鱼网站域名数据库。
进一步地,所述whois信息包括注册人姓名信息和注册人邮箱信息,所述基于whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。
进一步地,所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的第一判断规则具体是:若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,该网站域名为可信任网站域名;若网站域名备案信息的主办单位主体为个人或不存在,该网站域名为可疑网站域名。
进一步地,在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前,所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名;若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同,则获取的网站域名为可信任网站域名;若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同,则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。
进一步地,在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前,所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同,则为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同,则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。
进一步地,若根据预设的第一判断规则判断获取的网站域名为可疑网站域名,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重,更新可疑网站域名数据库;若根据预设的第一判断规则判断获取的网站域名为可信任网站域名,不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时更新可信任网站域名数据库。
进一步地,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库,具体是:可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;若可疑网站域名的钓鱼权重大于90%,判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
技术方案二:一种基于whois信息的钓鱼网站收集、鉴定系统,包括存储whois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼,还包括提取模块,用于根据已知的钓鱼网站的域名信息,从whois信息服务器中提取钓鱼网站的whois信息;获取模块,用于根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名;判断模块,用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至可疑网站域名数据库中,将可信任网站域名存储至可信任网站域名数据库中;钓鱼判断模块,用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,将钓鱼网站域名存储至钓鱼网站域名数据库。
进一步地,所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。
进一步地,所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。
进一步地,所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的第一判断规则指:若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中;若网站域名备案信息的主办单位主体为个人或不存在,判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。
进一步地,所述判断模块判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重,把获取的网站域名发送至可疑网站域名数据库;如果判断模块判断获取的网站域名为可信任网站域名,则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时发送获取的网站域名至可信任网站域名数据库。
进一步地,所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;根据钓鱼判断模块的判断规则,若可疑网站域名的钓鱼权重大于90%,钓鱼判断模块判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
与现有技术相比,本发明的有益效果在于:
本发明可以有效、快速地从已知的钓鱼网站域名中通过whois信息查找出其他具有相同whois信息的钓鱼网站。避免了基于云技术的云查杀的慢速,针对性不强的不足,达到了快速查找并鉴定钓鱼网站的目的。
附图说明
图1是本发明所述基于whois信息的钓鱼网站收集、鉴定方法的流程图;
图2是本发明所述基于whois信息的钓鱼网站收集、鉴定系统的结构示意图。
图示:1—whois信息服务器;2—提取模块;3—获取模块;4—判断模块;5—钓鱼判断模块;6—可疑网站域名数据库;7—可信任网站域名数据库;8—钓鱼网站域名数据库。
具体实施方式
下面将结合附图以及具体实施方法来详细说明本发明,在本发明的示意性实施及说明用来解释本发明,但并不作为对本发明的限定。
实施例一
一种基于whois信息的钓鱼网站收集、鉴定方法,主要包括以下步骤:
1)根据已知的钓鱼网站的域名信息,从whois信息服务器中提取其whois信息。
从一些防护软件或者其他一些杀毒软件中获取已经被判定为钓鱼网站的网站,抽取该钓鱼网站的域名信息,根据域名信息从whois信息服务器中提取该钓鱼网站的whois信息。whois信息服务器中的whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中,根据防病毒经验总结,病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性,即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此,根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制造的钓鱼网站。本步骤从whois信息服务器中提取whois信息的注册人姓名信息和注册人邮箱信息。
2)根据所述的whois信息获取所有使用该whois信息注册的网站域名。
提取whois信息的注册人姓名信息和注册人邮箱信息后,根据whois信息的注册人姓名信息或注册人邮箱信息从whois信息服务器查找所有使用这两个信息注册的网站域名。目前已有这类的查询网站,可以通过这些查询网站进行查询。
3)根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中。
在根据第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名前,所述获取的网站域名首先与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库中的任一可信任网站域名相同,则获取的网站域名为可信任网站域名数据库中的可信任网站域名;如果获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同,则获取的网站域名不是可信任网站域名数据库中的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名相同时,获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时,则进行根据第一判断规则判断所述获取的网站域名为可疑网站域名或可信任网站域名的步骤。
所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的规则具体是:若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,判断该网站域名为可信任网站域名;若网站域名备案信息的主办单位主体为个人或不存在,判断该网站域名为可疑网站域名。
根据预设的第一判断规则判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重,更新可疑网站域名数据库;如果判断为可信任网站域名,则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时更新可信任网站域名数据库。
4)根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库。
在进行根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前,可疑网站域名根据预设的第二匹配规则与钓鱼网站域名数据库中的钓鱼网站域名匹配。此处的预设的第二匹配规则指:如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同,则可疑网站域名为钓鱼网站数据库中的钓鱼网站域名。如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同,则可疑网站域名不是钓鱼网站数据库中的钓鱼网站域名。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同时,可疑网站域名为已知的钓鱼网站域名,不进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名不相同时,进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。
所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库,具体是:可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重。所述预设的规则指若可疑网站域名的钓鱼权重大于90%,判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
实施例二
一种基于whois信息的钓鱼网站收集、鉴定系统,包括Whois信息服务器1、提取模块2、获取模块3、判断模块4、钓鱼判断模块5、可疑网站域名数据库6、可信任网站域名数据库7、钓鱼网站域名数据库8。
Whois信息服务器1,用于存储whois信息。Whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中,根据防病毒经验总结,病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性,即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此,根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制造的钓鱼网站。该步骤从whois信息服务器1中提取whois信息的注册人姓名信息和注册人邮箱信息。提取模块2,用于根据已知的钓鱼网站的域名信息从whois信息服务器1中提取该钓鱼网站的whois信息。提取模块2提取的whois信息包括注册人姓名信息和注册人邮箱信息。提取模块2提取到的注册人姓名信息和注册人邮箱信息送往获取模块3。获取模块3接收提取模块2发送的注册人姓名信息和注册人邮箱信息,根据注册人姓名信息和注册人邮箱信息从whois信息服务器1获取所有使用注册人姓名信息和注册人邮箱信息注册的网站域名。
判断模块4,用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至可疑网站域名数据库中,将可信任网站域名存储至可信任网站域名数据库中。判断模块4首先与所述可信任网站域名数据库7中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库7中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同,则为可信任网站域名数据库7中的可信任网站域名;如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名不同,则获取的网站域名不是可信任网站域名数据库7中的可信任网站域名。当获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同时,获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时,根据预设的第一判断规则判断获取的网站域名是否为可信任网站域名或可疑网站域名。经过判断模块4的判断,判断结果为可疑网站域名的网站域名存储至可疑网站域名数据库6;判断结果为可信任网站域名的网站域名存储至可信任网站域名数据库7。所述第一判断规则指:若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,判断模块4判断该网站域名为可信任网站域名;若网站域名备案信息的主办单位主体为个人或不存在,判断模块4判断该网站域名为可疑网站域名。所述判断模块4判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重,更新可疑网站域名数据库;如果判断为可信任网站域名,则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时更新可信任网站域名数据库7。
钓鱼判断模块5,用于判断可疑网站域名是否为钓鱼网站域名。钓鱼判断模块5首先根据第二匹配规则与钓鱼网站域名数据库中8的钓鱼网站域名匹配。若可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名相同,则可疑网站域名为钓鱼网站数据库8中的钓鱼网站域名。如果可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名不同,则进行根据第二判断规则判断所述可疑网站域名是否为钓鱼网站域名的步骤。钓鱼判断模块5把判断为钓鱼网站域名的网站域名存储在钓鱼网站域名数据库8中。所述钓鱼判断模块5中,可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和。其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;根据判断模块4的判断结果,若可疑网站域名的钓鱼权重大于90%,判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
以上对本发明实施例所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;同时,对于本领域的一般技术人员,依据本发明实施例,在具体实施方式以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (13)
1.一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于,所述基于whois信息的钓鱼网站收集方法包括以下步骤:
根据已知的钓鱼网站的域名信息,从whois信息服务器中提取钓鱼网站的whois信息;
根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名;
根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中;
根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,将钓鱼网站域名存储至一钓鱼网站域名数据库。
2.一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于:所述whois信息包括注册人姓名信息和注册人邮箱信息,所述基于whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。
3.一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于:所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的第一判断规则具体是:
若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,该网站域名为可信任网站域名;
若网站域名备案信息的主办单位主体为个人或不存在,该网站域名为可疑网站域名。
4.一种基于whois信息的钓鱼网站收集、鉴定方法,在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前,其特征在于:
所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名;若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同,则获取的网站域名为可信任网站域名;若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同,则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。
5.根据权利要求1所述的钓鱼网站收集、鉴定方法,在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前,其特征在于:
所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同,则为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同,则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。
6.一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于:
若根据预设的第一判断规则判断获取的网站域名为可疑网站域名,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重,更新可疑网站域名数据库;
若根据预设的第一判断规则判断获取的网站域名为可信任网站域名,不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时更新可信任网站域名数据库。
7.一种基于whois信息的钓鱼网站收集、鉴定方法,其特征在于,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库,具体是:
可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;若可疑网站域名的钓鱼权重大于90%,判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
8.一种基于whois信息的钓鱼网站收集、鉴定系统,包括存储whois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼,其特征在于,还包括:
提取模块,用于根据已知的钓鱼网站的域名信息,从whois信息服务器中提取钓鱼网站的whois信息;
获取模块,用于根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名;
判断模块,用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至可疑网站域名数据库中,将可信任网站域名存储至可信任网站域名数据库中;
钓鱼判断模块,用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,将钓鱼网站域名存储至钓鱼网站域名数据库。
9.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统,其特征在于:所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。
10.根据权利要求8或9所述的基于whois信息的钓鱼网站收集系统,其特征在于:所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。
11.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统,其特征在于,所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的第一判断规则指:
若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中;若网站域名备案信息的主办单位主体为个人或不存在,判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。
12.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统,其特征在于:
所述判断模块判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重,把获取的网站域名发送至可疑网站域名数据库;
如果判断模块判断获取的网站域名为可信任网站域名,则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重,同时发送获取的网站域名至可信任网站域名数据库。
13.根据权利要求8或12所述的基于whois信息的钓鱼网站收集、鉴定系统,其特征在于:
所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;根据钓鱼判断模块的判断规则,若可疑网站域名的钓鱼权重大于90%,钓鱼判断模块判定该可疑网站域名为钓鱼网站域名,同时更新钓鱼网站域名数据库。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210324362.7A CN102833262B (zh) | 2012-09-04 | 2012-09-04 | 基于whois信息的钓鱼网站收集、鉴定方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210324362.7A CN102833262B (zh) | 2012-09-04 | 2012-09-04 | 基于whois信息的钓鱼网站收集、鉴定方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102833262A true CN102833262A (zh) | 2012-12-19 |
| CN102833262B CN102833262B (zh) | 2015-07-01 |
Family
ID=47336232
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210324362.7A Active CN102833262B (zh) | 2012-09-04 | 2012-09-04 | 基于whois信息的钓鱼网站收集、鉴定方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102833262B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104202318A (zh) * | 2014-08-22 | 2014-12-10 | 北京奇虎科技有限公司 | 一种防范网络钓鱼行为的方法、客户端和系统 |
| CN105574036A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种网页数据的处理方法及装置 |
| CN106302440A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道获取可疑钓鱼网站的方法 |
| CN104125215B (zh) * | 2014-06-30 | 2018-01-05 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
| CN107659564A (zh) * | 2017-09-15 | 2018-02-02 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| GB2555801A (en) * | 2016-11-09 | 2018-05-16 | F Secure Corp | Identifying fraudulent and malicious websites, domain and subdomain names |
| CN108540490A (zh) * | 2018-04-26 | 2018-09-14 | 四川长虹电器股份有限公司 | 一种钓鱼网站的检测和域名备案存储方法 |
| CN109413054A (zh) * | 2018-10-10 | 2019-03-01 | 四川长虹电器股份有限公司 | 渗透测试辅助系统及渗透测试初期的信息收集方法 |
| WO2019127662A1 (zh) * | 2017-12-30 | 2019-07-04 | 惠州学院 | 一种基于用户ip识别有害图片的方法及其系统 |
| CN111917723A (zh) * | 2020-06-29 | 2020-11-10 | 中信银行股份有限公司 | 一种钓鱼网站监控方法、系统、设备和存储介质 |
| CN113709265A (zh) * | 2020-05-22 | 2021-11-26 | 深信服科技股份有限公司 | 一种域名识别的方法、装置、系统和计算机可读存储介质 |
| WO2021258838A1 (zh) * | 2020-06-22 | 2021-12-30 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117439821A (zh) * | 2023-12-20 | 2024-01-23 | 成都无糖信息技术有限公司 | 一种基于数据融合及多因素决策法的网站判定方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640590B1 (en) * | 2004-12-21 | 2009-12-29 | Symantec Corporation | Presentation of network source and executable characteristics |
| CN102523210A (zh) * | 2011-12-06 | 2012-06-27 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及装置 |
| CN102647422A (zh) * | 2012-04-10 | 2012-08-22 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及设备 |
-
2012
- 2012-09-04 CN CN201210324362.7A patent/CN102833262B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7640590B1 (en) * | 2004-12-21 | 2009-12-29 | Symantec Corporation | Presentation of network source and executable characteristics |
| CN102523210A (zh) * | 2011-12-06 | 2012-06-27 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及装置 |
| CN102647422A (zh) * | 2012-04-10 | 2012-08-22 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及设备 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104125215B (zh) * | 2014-06-30 | 2018-01-05 | 新浪网技术(中国)有限公司 | 网站域名劫持检测方法和系统 |
| CN104202318A (zh) * | 2014-08-22 | 2014-12-10 | 北京奇虎科技有限公司 | 一种防范网络钓鱼行为的方法、客户端和系统 |
| CN105574036B (zh) * | 2014-10-16 | 2020-04-21 | 腾讯科技(深圳)有限公司 | 一种网页数据的处理方法及装置 |
| CN105574036A (zh) * | 2014-10-16 | 2016-05-11 | 腾讯科技(深圳)有限公司 | 一种网页数据的处理方法及装置 |
| CN106302440A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道获取可疑钓鱼网站的方法 |
| GB2555801A (en) * | 2016-11-09 | 2018-05-16 | F Secure Corp | Identifying fraudulent and malicious websites, domain and subdomain names |
| CN107659564A (zh) * | 2017-09-15 | 2018-02-02 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| CN107659564B (zh) * | 2017-09-15 | 2020-07-31 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| WO2019127662A1 (zh) * | 2017-12-30 | 2019-07-04 | 惠州学院 | 一种基于用户ip识别有害图片的方法及其系统 |
| CN108540490A (zh) * | 2018-04-26 | 2018-09-14 | 四川长虹电器股份有限公司 | 一种钓鱼网站的检测和域名备案存储方法 |
| CN109413054A (zh) * | 2018-10-10 | 2019-03-01 | 四川长虹电器股份有限公司 | 渗透测试辅助系统及渗透测试初期的信息收集方法 |
| CN113709265A (zh) * | 2020-05-22 | 2021-11-26 | 深信服科技股份有限公司 | 一种域名识别的方法、装置、系统和计算机可读存储介质 |
| WO2021258838A1 (zh) * | 2020-06-22 | 2021-12-30 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
| CN111917723A (zh) * | 2020-06-29 | 2020-11-10 | 中信银行股份有限公司 | 一种钓鱼网站监控方法、系统、设备和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102833262B (zh) | 2015-07-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102833262B (zh) | 基于whois信息的钓鱼网站收集、鉴定方法和系统 | |
| CN105024969B (zh) | 一种实现恶意域名识别的方法及装置 | |
| EP3170091B1 (en) | Method and server of remote information query | |
| US9268956B2 (en) | Online-monitoring agent, system, and method for improved detection and monitoring of online accounts | |
| CN108574742B (zh) | 域名信息收集方法及域名信息收集装置 | |
| WO2017004947A1 (zh) | 防止域名劫持的方法和装置 | |
| CN102884764B (zh) | 一种报文接收方法、深度包检测设备及系统 | |
| US8925087B1 (en) | Apparatus and methods for in-the-cloud identification of spam and/or malware | |
| US20150082451A1 (en) | System and Method for Evaluating Domains to Send Emails While Maintaining Sender Reputation | |
| CN103685598B (zh) | 在IPv6网络中发现活跃IP地址的方法及装置 | |
| CN102868773B (zh) | 检测dns黑洞劫持的方法、装置及系统 | |
| CN110430188B (zh) | 一种快速url过滤方法及装置 | |
| CN102638448A (zh) | 一种基于非内容分析的判断钓鱼网站的方法 | |
| CN108063833B (zh) | Http dns解析报文处理方法及装置 | |
| CN108156270B (zh) | 域名请求处理方法和装置 | |
| CN102932391A (zh) | P2sp系统中处理数据的方法、装置和系统 | |
| CN103632084A (zh) | 恶意特征数据库的建立方法、恶意对象检测方法及其装置 | |
| CN111010405B (zh) | 一种SaaS化的网站安全监控系统 | |
| CN103685168B (zh) | 一种dns递归服务器的查询请求服务方法 | |
| US10659335B1 (en) | Contextual analyses of network traffic | |
| CN102882889B (zh) | 基于钓鱼网站ip集中性的收集与鉴定的方法和系统 | |
| CN106790593B (zh) | 一种页面处理方法和装置 | |
| CN104363252B (zh) | 网站安全检测方法与装置 | |
| EP3332533B1 (en) | Parallel detection of updates to a domain name system record system using a common filter | |
| CN103685584A (zh) | 一种基于隧道技术的反域名劫持方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: KINGSOFT CORPORATION LIMITED BEIKE INTERNET (BEIJI Effective date: 20130503 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20130503 Address after: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8 Applicant after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Applicant after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Applicant after: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. Applicant after: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd. Address before: Jingshan Hill Road, Lane 519015 Lianshan Jida Guangdong province Zhuhai City No. 8 Applicant before: Zhuhai Juntian Electronic Technology Co.,Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd. Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd. |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20191202 Address after: Room 105-53811, No. 6 Baohua Road, Hengqin New District, Zhuhai City, Guangdong Province Patentee after: Zhuhai Leopard Technology Co.,Ltd. Address before: 519070, No. 10, main building, No. six, science Road, Harbour Road, Tang Wan Town, Guangdong, Zhuhai, 601F Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. Co-patentee before: Beijing Cheetah Mobile Technology Co.,Ltd. Co-patentee before: Beijing Cheetah Network Technology Co.,Ltd. |
|
| TR01 | Transfer of patent right |