发明内容
鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的一种判断钓鱼网站的方法和相应的判断钓鱼网站的装置。
依据本发明的一个方面,提供了一种判断钓鱼网站的方法,包括:
服务器判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
客户端获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
若是,则判定为非钓鱼网站;
若否,则客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
可选地,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述服务器判断客户端访问的目标网站是否为灰网站的步骤包括:
客户端访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求;
服务器接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
可选地,所述浏览信息包括浏览量和浏览时间,所述判断浏览信息是否满足预设条件的步骤为:
判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
可选地,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站的步骤为:
当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
可选地,所述方法还包括:
当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
可选地,所述方法还包括:
若为钓鱼网站,则客户端允许访问所述灰网站;
若为非钓鱼网站,则客户端拒绝访问所述灰网站。
可选地,所述方法还包括:
将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。
可选地,所述服务器为企业内网控制服务器,所述客户端为企业内网客户端。
根据本发明的另一方面,提供了一种判断钓鱼网站的装置,包括:
位于服务器的灰网站判断模块,用于判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
位于客户端的钓鱼网站判断模块,用于获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
位于客户端的第一判定模块,用于判定为非钓鱼网站;
位于客户端的第二判定模块,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
可选地,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述灰网站判断模块包括:
位于客户端的访问子模块,用于访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求;
位于服务器的判断子模块,用于接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
可选地,所述钓鱼网站判断模块为:
浏览信息判断模块,用于判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
可选地,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述第二判定模块为:
域名特征信息判断模块,用于当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
可选地,所述装置还包括:
疑似钓鱼网站提示信息模块,用于当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
可选地,所述装置还包括:
客户端拒绝访问模块,用于若为钓鱼网站,则客户端拒绝访问所述灰网站;
客户端允许访问模块,用于若为非钓鱼网站,则客户端允许访问所述灰网站。
可选地,所述装置还包括:
处理结果返回模块,用于将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。
根据本发明的一种判断钓鱼网站的方法及装置可以通过客户端来判断是否为钓鱼网站,由此解决了当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,取得了可以在客户端第一时间拦截到最新生成的钓鱼网站,拦截大部分的钓鱼网站,保证网络安全的有益效果。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
本发明实施例的核心构思之一在于,当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,根据用户的浏览信息和网站的域名特征信息与在本地客户端中的浏览信息对比,综合判断灰网站是否为钓鱼网站。
参照图1,示出了根据本发明一个实施例的判断钓鱼网站的方法实施例的步骤流程图,具体可以包括以下步骤:
步骤101,服务器判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
在具体实现中,可以在服务器中设置存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,在本发明的一种优选实施例中,所述步骤101具体可以包括如下子步骤:
子步骤S11,客户端访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求;
子步骤S12,服务器接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
在实际中,当客户端访问目标网站时,可以同时向服务端发送查询所述目标网站是否为钓鱼网站的请求,服务器接收到查询请求后,查看所述目标网站是否存于在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。服务端将判定为灰网站的结果返回至客户端,则客户端启动启发式判断。
步骤102,客户端获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
作为本发明实施例具体应用的一种示例,所述浏览信息可以包括浏览量和浏览时间,所述步骤102可以包括如下步骤:
判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
在具体实现中,可以在客户端配置两个主要的API,一个是将目标网站的URL传入的API,可以通过浏览器或者安全软件,在用户访问未知目标网站时,调用这个API;第二个是查询的API,可以传入目标网站来查询是否为钓鱼网站。当客户端启动启发式判断时,调用将目标网站URL传入的API,将灰网站的host、IP、网站名、浏览量,浏览时间记录在数据缓存中,并根据浏览量进行排序。作为一种示例,排序的算法可以为LRU(Least Recently Used),最近经常访问的灰网站的host会被保存起来。当用户访问的网站为灰网站时,调用查询的API,则客户端对排序的浏览量数据进行查询,如果发现有记录,并且浏览量高于预置阈值,就判定是白网站,则客户端允许访问此网站。所有的灰网站的数据都放入数据缓存中,并将网站通过LRU排序,对于在预置时间内没有被访问的网站会从数据缓存中清除。判断钓鱼网站的预置阈值可以根据服务端的统计做调整,范围大概在10以上。
步骤103,若是,则判定为非钓鱼网站;
当用户访问的灰网站判定为非钓鱼网站,则客户端允许访问所述灰网站。
步骤104,若否,则客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
在本发明的一种优选实施例中,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述步骤104可以为如下步骤:
当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
在具体实现中,当用户访问灰网站时,客户端对数据缓存中排序的浏览量进行查询,如果发现有灰网站的记录,但浏览量低于预置阈值,或者没有灰网站的记录,就会根据灰网站的IP地址是否为国外IP,host是否使用高危二级域名和网站名是否包含预置敏感词汇来综合判断是否为钓鱼网站。
如果灰网站的IP地址为国外IP,并且网站采用了预置的可疑域名(比如tk,co.cc等,可以定期从服务端更新),并且网站名含有预置的敏感词汇(比如淘宝、话费、抽奖、彩票等,可以定期从服务端更新),就认为灰网站是钓鱼网站。当用户访问的灰网站判定为钓鱼网站时,则客户端拒绝访问所述灰网站。
在本发明的一种优选实施例中,还可以包括如下步骤:
当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
如果灰网站的IP地址为国外IP,或网站采用预置的可疑域名,或网站名含有预置的敏感词汇,符合以上两个条件的灰网站的会提示疑似钓鱼网站,这种做法是为了减少误报,因为在实际中,由于一些小网站会使用免费的二级域名搭建服务,可能会都命中这三个规则。
在具体实现中,会将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。客户端针对钓鱼网站进行拦截,如果不是钓鱼网站就允许继续访问。客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果会生成日志并返回给服务器。如果其中有误报,可从服务端加入白名单。
在本发明的一种优选实施例中,所述服务器可以为企业内网控制服务器,所述客户端可以为企业内网客户端。作为一种具体应用的示例,本发明实施例可应用企业内网的钓鱼网站识别中,以增强企业网络的安全性。具体而言,在企业内网的应用中,本发明实施例可以包括如下步骤:
步骤S1,企业内网控制服务器判断企业内网客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
步骤S2,企业内网客户端获取所述灰网站在本地企业内网客户端客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
步骤S3,若是,则判定为非钓鱼网站;
步骤S4,若否,则企业内网客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
对于上述的示例而言,由于其图1的方法实施例基本相似,故本示例的描述中未详尽之处,可以参见方法实施例中的相关说明,在此就不赘述了。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。
参照图2,示出了根据本发明一个实施例的判断钓鱼网站的装置实施例的结构框图,具体可以包括以下模块:
位于客户端的灰网站判断模块201,用于判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
在本发明的一种优选实施例中,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述灰网站判断模块201可以包括如下子模块:
位于客户端的访问子模块,用于访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求;
位于服务器的判断子模块,用于接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
位于客户端的钓鱼网站判断模块202,用于获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
在本发明的一种优选实施例中,所述钓鱼网站判断模块202可以为:
浏览信息判断模块,用于判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
位于客户端的第一判定模块203,用于判定为非钓鱼网站;
客户端允许访问模块,用于若为非钓鱼网站,则客户端允许访问所述灰网站。
位于客户端的第二判定模块204,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
在本发明的一种优选实施例中,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述第二判定模块204可以为:
域名特征信息判断模块,用于当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
客户端拒绝访问模块,用于若为钓鱼网站,则客户端拒绝访问所述灰网站;
在本发明的一种优选实施例中,所述装置还包括:
疑似钓鱼网站提示信息模块,用于当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
处理结果返回模块,用于将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。
对于图2的装置实施例而言,由于其与图1的方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在本发明的一种优选实施例中,所述服务器可以为企业内网控制服务器,所述客户端可以为企业内网客户端。作为一种具体应用的示例,本发明实施例还可应用企业内网的钓鱼网站识别中,以增强企业网络的安全性。具体而言,在企业内网的应用环境中,本发明实施例可以包括如下模块:
位于企业内网控制服务器的灰网站判断模块,用于判断企业内网客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;
位于企业内网客户端的钓鱼网站判断模块,用于获取所述灰网站在本地企业内网客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;
位于企业内网客户端的第一判定模块,用于判定为非钓鱼网站;
位于企业内网客户端的第二判定模块,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。
对于上述的示例而言,其中描述未详尽之处,可以参见方法实施例中的相关说明,在此就不赘述了。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的判断钓鱼网站的设备中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。