CN104135467B - 识别恶意网站的方法及装置 - Google Patents
识别恶意网站的方法及装置 Download PDFInfo
- Publication number
- CN104135467B CN104135467B CN201410234413.6A CN201410234413A CN104135467B CN 104135467 B CN104135467 B CN 104135467B CN 201410234413 A CN201410234413 A CN 201410234413A CN 104135467 B CN104135467 B CN 104135467B
- Authority
- CN
- China
- Prior art keywords
- user
- domain name
- trust
- characteristic information
- login page
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种识别恶意网站的方法及装置,涉及互联网技术领域,可以有效地对恶意网站进行识别。本发明的方法包括:首先抓取登录页面中输入的用户特征信息,然后在白名单中查找用户特征信息对应的信任域名集合,最后将登录页面的域名与信任域名集合中的所有信任域名进行比对,若登录页面的域名不属于信任域名集合,则对用户进行告警提示。本发明主要应用于对钓鱼网站的识别过程中。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种识别恶意网站的方法及装置。
背景技术
互联网技术的快速发展给人们的生活带来了越来越多的便利,人们通过互联网可以方便的分享和下载各种资源,获取各类重要信息。与此同时互联网的安全形势也不容乐观,大量出现的钓鱼网站严重侵害了互联网用户的利益,影响互联网的安全秩序。
钓鱼网站通常是指伪装成银行、电子商务等正规网站,窃取用户提交的银行帐号、密码等私密信息的恶意网站,不法分子通过各种技术手段仿冒正规网站的链接地址及页面内容,或利用正规网站服务器程序上的漏洞在网站的某些网页中插入危险的页面代码,以此来盗取用户的私人资料。目前,业界对钓鱼网站的识别通常有两种方案:第一是基于用户举报行为的人工审核机制,例如目前出现的一些反钓鱼网站,用户可以在其网站提交可疑的网站链接,经过网站技术人员核实为钓鱼网站后将其加入到恶意链接黑名单中;第二是基于网页特征的自动识别机制,第三方软件读取页面源代码,通过分析源代码中是否包含可疑关键词的方式对钓鱼网站进行识别。例如,当源代码中包含诸如“QQ转账”、“快捷支付”等关键词时,页面被归类为可疑页面。
在实现上述识别钓鱼网站的过程中,发明人发现现有技术中至少存在如下问题:人工审核的方式具有较大的局限性,审核质量取决于审核人员的专业性,容易出现漏检、误检等情况,同时,由于审核人员数量有限,钓鱼网站的识别具有较强的滞后性,无法保证网站识别的及时有效。而对于自动识别的方式,钓鱼网站可以采用基于对象和事件驱动的客户端脚本语言(Javascript)混淆、关键词混淆等技术手段绕过第三方软件的检测,例如通过Javascript混淆将页面源代码编译为如图1所示的无规律字符串,或者如图2所示,通过关键词混淆在字符之间插入干扰字符,这些混淆方式都会使第三方软件无法对作为识别依据的关键词进行有效提取。
由此可以看出,目前针对钓鱼网站的识别,现有技术中还没有给出一种行之有效的解决方案。
发明内容
本发明提供一种识别恶意网站的方法及装置,可以有效地对恶意网站进行识别。
为达到上述目的,本发明采用如下技术方案:
一种识别恶意网站的方法,包括:
抓取登录页面中输入的用户特征信息;
在白名单中查找所述用户特征信息对应的信任域名集合,其中,所述白名单中预设有用户特征信息与信任域名之间的映射关系;
将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对;
若所述登录页面的域名不属于所述信任域名集合,则对用户进行告警提示。
另一种识别恶意网站的方法,包括:
在白名单中添加对应用户特征信息的信任域名,形成信任域名集合;
抓取登录页面中输入的用户特征信息;
判断所述白名单中是否包含抓取的所述用户特征信息,得出判断结果;
若判断结果为是,则在白名单中查找所述用户特征信息对应的信任域名集合;
将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对;
若所述登录页面的域名不属于所述信任域名集合,则对用户进行告警提示。
一种识别恶意网站的装置,包括:
信息抓取单元,用于抓取登录页面中输入的用户特征信息;
域名查找单元,用于在白名单中查找所述信息抓取单元抓取的所述用户特征信息对应的信任域名集合,其中,所述白名单中预设有用户特征信息与信任域名之间的映射关系;
域名比对单元,用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对;
告警提示单元,用于当所述域名比对单元比对所述登录页面的域名不属于所述信任域名集合时,对用户进行告警提示。
另一种识别恶意网站的装置,包括:
域名添加单元,用于在白名单中添加对应用户特征信息的信任域名,形成信任域名集合;
信息抓取单元,用于抓取登录页面中输入的用户特征信息;
判断单元,用于判断所述域名添加单元添加的所述白名单中是否包含所述信息抓取单元抓取的所述用户特征信息,得出判断结果;
域名查找单元,用于当所述判断单元判断结果为是时,在白名单中查找所述用户特征信息对应的信任域名集合;
域名比对单元,用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对;
告警提示单元,用于当所述域名比对单元比对所述登录页面的域名不属于所述信任域名集合时,对用户进行告警提示。
本发明提供的识别恶意网站的方法及装置,首先抓取登录页面中输入的用户特征信息,然后在白名单中查找用户特征信息对应的信任域名集合,最后将登录页面的域名与信任域名集合中的所有信任域名分别进行比对,若登录页面的域名不属于信任域名集合,则对用户进行告警提示。本发明能够在请求登录页面指向链接页面之前,根据登录页面的域名对链接页面的安全性进行识别,对于安全性未知的页面,提示用户谨慎登录。与现有技术中的人工审核机制相比,页面识别过程完全基于设备自行实现,无需人工操作介入,能够及时、高效的对恶意网站进行识别;而与现有技术中的自动识别机制相比,能够以页面的域名而非页面源代码为依据进行页面识别,识别过程不受源代码内容篡改的影响,识别结果准确可靠。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对本发明或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中Javascript混淆的示意图;
图2为现有技术中关键词混淆的示意图;
图3为本发明实施例中识别恶意网站的方法流程图;
图4为本发明实施例中另一种识别恶意网站的方法流程图;
图5为本发明实施例中对话框告警的示意图;
图6为本发明实施例中自定义拦截的示意图;
图7为本发明实施例中另一种识别恶意网站的方法流程图;
图8为本发明实施例中另一种识别恶意网站的方法流程图;
图9为本发明实施例中识别恶意网站的装置结构示意图;
图10为本发明实施例中另一种识别恶意网站的装置结构示意图;
图11为本发明实施例中另一种识别恶意网站的装置结构示意图;
图12为本发明实施例中另一种识别恶意网站的装置结构示意图。
具体实施方式
下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种识别恶意网站的方法,能够通过登录页面的域名对其安全性进行识别,如图3所示,所述方法包括:
301、用户设备抓取登录页面中输入的用户特征信息。
其中,用户特征信息可以为邮箱地址、手机号码、用户名或者用户编号中的任一种或者任意组合,事例性的,用户特征信息可以为邮箱地址“abcqq.com”,或手机号码“13100001234”,或用户名“Peter”,或用户编号“10001”;当用户特征信息为上述几种元素的组合时,用户特征信息还可以为用户名及用户编号“Peter+10001”。
此外,实际应用中,上述用户编号为网络侧后台为用户账号分配的一个唯一性的编号,该编号允许用户层面可见,较为典型的,例如QQ号;或者该编号用户层面不可见,仅作标识账号之用,例如“sdkh234jhdf”,本实施例不对用户编号的具体形式进行限定。
对于本发明实施例,登录页面可以为用户需要通过用户特征信息及对应的密码进行登录操作的页面。在本发明实施例中,登录页面可以为常规账号登录页面,也可以为网络支付账号登录页面或者网银账号登录页面等,本发明实施例不做限定。例如,登录页面可以为网页QQ登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的QQ号;登录页面还可以为网易邮箱登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址;登录页面还可以为支付宝登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址或者手机号;登录页面还可以为某网银登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的银行卡号或者用户名。
302、用户设备在白名单中查找用户特征信息对应的信任域名集合。
其中,白名单中预设有用户特征信息与信任域名之间的映射关系。在本发明实施例中,信任域名是指正规的网站域名或被用户所信任的网站域名。事例性的,白名单具体可以如下表所示:
对于本发明实施例,白名单中每个用户特征信息可以对应一个信任域名,也可以对应多个信任域名,本发明实施例不做限定。例如上表中,用户特征信息“13100001234”对应一个信任域名“tuan800.com”;用户特征信息“abcqq.com”对应多个信任域名:“baidu.com”、“dangdang.com”及“jd.com”。当某个用户特征信息对应多个信任域名时,这些多个信任域名组合成为该用户特征信息对应的信任域名集合。
303、用户设备将登录页面的域名与信任域名集合中的所有信任域名进行比对。
可选地,步骤303之前可以包括:用户设备获取当前登录页面的域名。在本发明实施例中,域名的获取方式为本领域技术人员的公知常识,此处不再赘述。
对于本发明实施例,通过将登录页面对应的域名与信任域名集合中的信任域名分别进行比对,能够判断当前登录页面的域名是否为信任域名,从而可以进一步确定是否对用户进行告警提示。
304、若登录页面的域名不属于信任域名集合,则用户设备对用户进行告警提示。
具体地,步骤304可以为,若登录页面的域名与信任域名集合中的任意一个信任域名均不相同,则用户设备对用户进行告警提示。
事例性的,用户特征信息“abcqq.com”对应的信任域名集合中的信任域名包括:“baidu.com”、“dangdang.com”及“jd.com”。当用户通过用户特征信息“abcqq.com”,在域名为“hao123.com”的登录页面进行登录时,用户设备将当前登录页面的域名与当前特征信息对应的信任域名进行比对后,确定当前登录页面的域名不属于信任域名集合,此时,用户设备对用户进行告警提示。
对于本发明实施例,当用户通过用户特征信息访问非信任域名对应的登录页面时,通过在请求登录页面指向链接页面之前,对用户进行告警提示,能够有效地对恶意网站进行识别。
对于本发明实施例,用户设备可以在检测到用户特征信息的输入完成之后,在用户输入对应的密码之前,对用户进行告警提示;也可以在检测到用户特征信息及对应的密码输入完成之后,在用户通过用户特征信息及对应的密码进行登录之前,对用户进行告警提示,本发明实施例不做限定。
可选地,用户设备可以通过对光标位置的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到光标从用户特征信息输入框内移动至该用户特征信息输入框外时,用户设备确定用户特征信息的输入完成。
可替换地,用户设备还可以通过对当前页面有效输入框的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到当前页面的有效输入框由用户特征信息输入框变更为密码输入框时,用户设备确定用户特征信息的输入完成。
进一步的,作为对图3所示实现方式的替换,在本发明实施例的另一种实现方式中,登录页面的域名可以替换为登录页面的URL(Uniform ResourceLocator:统一资源定位器)。对应的,白名单中可以预设有用户特征信息与信任URL之间的映射关系。在本发明实施例中,信任URL是指正规的网站URL或被用户所信任的网站URL。
进一步的,作为对图3所示实现方式的替换,在本实施例的又一种实现方式中,用户设备还可以预设有相对白名单而言的黑名单,黑名单中预设有用户特征信息以及与用户特征信息对应的恶意域名(集合)。当用户在登录页面中输入用户特征信息后,用户设备根据黑名单对登录页面对应的域名进行识别。具体的,作为对步骤302的替换,用户设备在黑名单中查找用户特征信息对应的恶意域名集合。作为对步骤303的替换:用户设备将登录页面对应的域名与恶意域名集合中的所有恶意域名进行比对。作为对步骤304的替换:若登录页面对应的域名属于恶意域名集合,则用户设备对用户进行提示。
本发明实施例提供的识别恶意网站的方法,能够在请求登录页面指向链接页面之前,根据登录页面的域名对链接页面的安全性进行识别,从而实现对恶意网站的识别。具体地,首先抓取登录页面中输入的用户特征信息,然后在白名单中查找用户特征信息对应的信任域名集合,最后将登录页面的域名与信任域名集合中的所有信任域名分别进行比对,若登录页面的域名不属于信任域名集合,则对用户进行告警提示。与现有技术中的人工审核机制相比,页面识别过程完全基于设备自行实现,无需人工操作介入,能够避免人工审核所存在的专业能力局限性及时间局限性,从而可以及时、高效地对恶意网站进行识别;与现有技术中的自动识别机制相比,能够以页面的域名而非页面源代码为依据进行恶意网站的识别,识别过程不受源代码内容篡改的影响,能够避免由篡改源代码内容而引起恶意网站识别错误的情况,从而能够提高对恶意网站的识别可靠性。
作为对图3所示方法的具体说明,本发明实施例提供另一种识别恶意网站的方法,如图4所示,所述方法包括:
401、用户设备抓取登录页面中输入的用户特征信息。
其中,用户特征信息为下述信息中的一种或至少两种的组合:邮箱地址、手机号码、用户名、账户编号。事例性的,用户特征信息可以为邮箱地址“abcqq.com”,或手机号码“13100001234”,或用户名“Peter”,或用户编号“10001”;当用户特征信息为上述几种元素的组合时,用户特征信息还可以为用户名及用户编号“Peter+10001”。
此外,实际应用中,上述用户编号为网络侧后台为用户账号分配的一个唯一性的编号,该编号允许用户层面可见,较为典型的,例如QQ号;或者该编号用户层面不可见,仅作标识账号之用,例如“sdkh234jhdf”,本实施例不对用户编号的具体形式进行限定。
对于本发明实施例,登录页面可以为用户需要通过用户特征信息及对应的密码进行登录操作的页面。在本发明实施例中,登录页面可以为常规账号登录页面,也可以为网络支付账号登录页面或者网银账号登录页面等,本发明实施例不做限定。例如,登录页面可以为网页QQ登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的QQ号;登录页面还可以为网易邮箱登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址;登录页面还可以为支付宝登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址或者手机号;登录页面还可以为某网银登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的银行卡号或者用户名。
具体地,步骤401可以为:用户设备通过浏览器插件或浏览器内置的抓取功能,抓取输入框中输入的用户特征信息。其中,浏览器插件可以为IE(InternetExplorer,因特网浏览器)的BHO(Browser Helper Object,浏览器辅助对象)插件,也可以为Chrome(谷歌浏览器)的NPAPI(Netscape Plugin ApplicationProgramming Interface,网景插件应用程序接口)插件。
可选地,在步骤401之前,还可以包括:用户设备在白名单中添加用户特征信息对应的信任域名。
对于本发明实施例,用户设备可以根据用户主动输入的用户特征信息对应的信任域名,在白名单中添加用户特征信息对应的信任域名;还可以根据公认的信任域名,在白名单中自动添加用户特征信息对应的信任域名。
可替换地,步骤401还可以为:用户设备在白名单中添加用户特征信息对应的信任域名类别。在本发明实施例中,通过在白名单中添加用户特征信息对应的信任域名类别,能够将各个互相关联的信任域名进行绑定,并直观地为用户提供一个信任域名类别,从而可以减少用户输入信任域名的次数。
其中,信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。例如,信任域名类别可以为“腾讯”、“网易”、“淘宝”等。具体地,当用户设备在白名单中为用户特征信息添加的信任域名类别为“腾讯”时,该用户特征信息对应的信任域名可以包括:“qq.com”、“soso.com”、“paipai.com”、“tenpay.com”等域名;当用户设备在白名单中为用户特征信息添加的信任域名类别为“网易”时,该用户特征信息对应的信任域名可以包括:“163.com”、“126.com”、“youdao.com”等域名;当用户设备在白名单中为用户特征信息添加的信任域名类别为“淘宝”时,该用户特征信息对应的信任域名可以包括:“taobao.com”、“tmall.com”等域名。
402、用户设备在白名单中查找用户特征信息对应的信任域名集合。
其中,白名单中预设有用户特征信息与信任域名之间的映射关系。在本发明实施例中,信任域名是指正规的网站域名或被用户所信任的网站域名。事例性的,白名单具体可以如下表所示:
对于本发明实施例,白名单用于记录信任域名,以及信任域名与用户特征信息之间的映射关系。其中,信任域名为经用户确认和/或经官方认证的合法域名;信任域名集合包含至少两个信任域名。
可选地,步骤402之前可以包括:用户设备判断白名单中是否存有用户特征信息。作为对步骤402的替换,若白名单中存有用户特征信息,则用户设备在白名单中查找用户特征信息对应的信任域名集合。
对于本发明实施例,白名单中每个用户特征信息可以对应一个信任域名,也可以对应多个信任域名,本发明实施例不做限定。例如上表中,用户特征信息“13100001234”对应一个信任域名“tuan800.com”;用户特征信息“abcqq.com”对应多个信任域名:“baidu.com”、“dangdang.com”及“jd.com”。当某个用户特征信息对应多个信任域名时,这些多个信任域名组合成为该用户特征信息对应的信任域名集合。
可选地,若白名单中未存有用户特征信息,则用户设备将用户特征信息导入到白名单中,并为所述用户特征信息添加信任域名。在本发明实施例中,通过将白名单中未存有的用户特征信息导入白名单中,能够增加白名单中用户特征信息的数量,从而可以扩大对用户特征信息的保护范围。
对于本发明实施例,当白名单中未存有用户特征信息时,用户设备可以直接将该用户特征信息导入到白名单中;也可以首先弹出是否导入该用户特征信息的提示窗口,然后根据用户指令将该用户特征信息导入到白名单中。
403、用户设备将登录页面的域名依次与信任域名集合中的所有信任域名进行比对。
可选地,步骤403之前可以包括:用户设备获取当前登录页面的域名。在本发明实施例中,域名的获取方式为本领域技术人员的公知常识,此处不再赘述。
对于本发明实施例,通过将登录页面对应的域名与信任域名集合中的信任域名分别进行比对,能够判断当前登录页面的域名是否为信任域名,从而可以进一步确定是否对用户进行告警提示。
404、若查找到与登录页面的域名相同的信任域名,则用户设备终止比对。
对于本发明实施例,通过当查找到与登录页面的域名相同的信任域名时,用户设备终止比对,能够避免由于当查找到与登录页面的域名相同的信任域名时,用户设备继续对其他信任域名进行比对的情况,从而能够避免资源浪费。
405、若登录页面的域名不属于信任域名集合,则用户设备对用户进行告警提示。
具体地,步骤405可以为,若登录页面的域名与信任域名集合中的任意一个信任域名均不相同,则用户设备对用户进行告警提示。
事例性的,用户特征信息“abcqq.com”对应的信任域名集合中的信任域名包括:“baidu.com”、“dangdang.com”及“jd.com”。当用户通过用户特征信息“abcqq.com”,在域名为“hao123.com”的登录页面进行登录时,用户设备将当前登录页面的域名与当前特征信息对应的信任域名进行比对后,确定当前登录页面的域名不属于信任域名集合,此时,用户设备对用户进行告警提示。
对于本发明实施例,当用户通过用户特征信息访问非信任域名对应的登录页面时,通过在请求登录页面指向链接页面之前,对用户进行告警提示,能够有效地对恶意网站进行识别。
对于本发明实施例,用户设备可以在检测到用户特征信息的输入完成之后,在用户输入对应的密码之前,对用户进行告警提示;也可以在检测到用户特征信息及对应的密码输入完成之后,在用户通过用户特征信息及对应的密码进行登录之前,对用户进行告警提示,本发明实施例不做限定。
可选地,用户设备可以通过对光标位置的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到光标从用户特征信息输入框内移动至该用户特征信息输入框外时,用户设备确定用户特征信息的输入完成。
可替换地,用户设备还可以通过对当前页面有效输入框的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到当前页面的有效输入框由用户特征信息输入框变更为密码输入框时,用户设备确定用户特征信息的输入完成。
具体地,步骤405还可以为:若登录页面的域名不属于信任域名集合,则用户设备通过确认(confirm)函数或警报(alert)函数调用对话框对用户进行告警提示。例如图5所示,用户设备通过调用对话框对用户进行告警提示。其中,对话框中可以包括继续登录所对应的选项单元及取消登录所对应的选项单元,例如图5中,继续登录所对应的选项单元为“取消”选项,取消登录所对应的选项单元为“确定”选项。
对于本发明实施例,步骤405还可以为:若登录页面的域名不属于信任域名集合,则用户设备将当前登录页面重定向到自定义的拦截页面,对用户进行告警提示。例如图6所示,用户设备通过自定义的拦截页面对用户进行告警提示。其中,自定义的拦截页面中同样包括继续登录所对应的选项单元及取消登录所对应的选项单元,继续登录所对应的选项单元为“继续访问,并承担风险”选项,取消登录所对应的选项单元为“取消访问,并退出页面”选项。
可选地,步骤405之后,还可以包括:若用户选择信任登录页面,则用户设备将登录页面对应的域名作为信任域名,添加到白名单的信任域名集合中。在本发明实施例中,通过将用户选择信任的登录页面添加到白名单的信任域名集合中,能够避免用户再次访问该登录页面时,用户设备需要再次显示告警提示的情况。
进一步的,作为对图4所示实现方式的替换,在本发明实施例的另一种实现方式中,登录页面的域名可以替换为登录页面的URL。对应的,白名单中可以预设有用户特征信息与信任URL(集合)之间的映射关系。在本发明实施例中,信任URL是指正规的网站URL或被用户所信任的网站URL。
进一步的,作为对图4所示实现方式的替换,在本实施例的又一种实现方式中,用户设备还可以预设有相对白名单而言的黑名单,黑名单中预设有用户特征信息以及与用户特征信息对应的恶意域名(集合)。当用户在登录页面中输入用户特征信息后,用户设备根据黑名单对登录页面对应的域名进行识别。具体的,作为对步骤402的替换:用户设备在黑名单中查找用户特征信息对应的恶意域名集合。作为对步骤403的替换:用户设备将登录页面对应的域名与恶意域名集合中的所有恶意域名进行比对。作为对步骤405的替换:若登录页面对应的域名属于恶意域名集合,则用户设备对用户进行告警提示。
对于本发明实施例,当登录页面的域名属于黑名单中的恶意域名集合时,用户设备可以直接强制关闭页面,从而避免用户通过用户特征信息在恶意网站进行登录。
本发明实施例提供另一种识别恶意网站的方法,能够通过登录页面的域名对其安全性进行识别,如图7所示,所述方法包括:
701、用户设备在白名单中添加对应用户特征信息的信任域名,形成信任域名集合。
其中,用户特征信息为下述信息中的一种或至少两种的组合:邮箱地址、手机号码、用户名、账户编号。事例性的,用户特征信息可以为邮箱地址“abcqq.com”,或手机号码“13100001234”,或用户名“Peter”,或用户编号“10001”;当用户特征信息为上述几种元素的组合时,用户特征信息还可以为用户名及用户编号“Peter+10001”。
此外,实际应用中,上述用户编号为网络侧后台为用户账号分配的一个唯一性的编号,该编号允许用户层面可见,较为典型的,例如QQ号;或者该编号用户层面不可见,仅作标识账号之用,例如“sdkh234jhdf”,本实施例不对用户编号的具体形式进行限定。
对于本发明实施例,用户设备可以根据用户主动输入的用户特征信息对应的信任域名,在白名单中添加用户特征信息对应的信任域名;还可以根据公认的信任域名,在白名单中自动添加用户特征信息对应的信任域名。
702、用户设备抓取登录页面中输入的用户特征信息。
对于本发明实施例,登录页面可以为用户需要通过用户特征信息及对应的密码进行登录操作的页面。在本发明实施例中,登录页面可以为常规账号登录页面,也可以为网络支付账号登录页面或者网银账号登录页面等,本发明实施例不做限定。例如,登录页面可以为网页QQ登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的QQ号;登录页面还可以为网易邮箱登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址;登录页面还可以为支付宝登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址或者手机号;登录页面还可以为某网银登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的银行卡号或者用户名。
703、用户设备判断白名单中是否包含抓取的用户特征信息,得出判断结果。
704、若判断结果为是,则用户设备在白名单中查找用户特征信息对应的信任域名集合。
其中,白名单中预设有用户特征信息与信任域名之间的映射关系。在本发明实施例中,信任域名是指正规的网站域名或被用户所信任的网站域名。事例性的,白名单具体可以如下表所示:
对于本发明实施例,白名单中每个用户特征信息可以对应一个信任域名,也可以对应多个信任域名,本发明实施例不做限定。例如上表中,用户特征信息“13100001234”对应一个信任域名“tuan800.com”;用户特征信息“abcqq.com”对应多个信任域名:“baidu.com”、“dangdang.com”及“jd.com”。当某个用户特征信息对应多个信任域名时,这些多个信任域名组合成为该用户特征信息对应的信任域名集合。
705、用户设备将登录页面的域名与信任域名集合中的所有信任域名进行比对。
可选地,步骤705之前可以包括:用户设备获取当前登录页面的域名。在本发明实施例中,域名的获取方式为本领域技术人员的公知常识,此处不再赘述。
对于本发明实施例,通过将登录页面对应的域名与信任域名集合中的信任域名分别进行比对,能够判断当前登录页面的域名是否为信任域名,从而可以进一步确定是否对用户进行告警提示。
706、若登录页面的域名不属于信任域名集合,则用户设备对用户进行告警提示。
具体地,步骤706可以为,若登录页面的域名与信任域名集合中的任意一个信任域名均不相同,则用户设备对用户进行告警提示。
事例性的,用户特征信息“abcqq.com”对应的信任域名集合中的信任域名包括:“baidu.com”、“dangdang.com”及“jd.com”。当用户通过用户特征信息“abcqq.com”,在域名为“hao123.com”的登录页面进行登录时,用户设备将当前登录页面的域名与当前特征信息对应的信任域名进行比对后,确定当前登录页面的域名不属于信任域名集合,此时,用户设备对用户进行告警提示。
对于本发明实施例,当用户通过用户特征信息访问非信任域名对应的登录页面时,通过在请求登录页面指向链接页面之前,对用户进行告警提示,能够有效地对恶意网站进行识别。
对于本发明实施例,用户设备可以在检测到用户特征信息的输入完成之后,在用户输入对应的密码之前,对用户进行告警提示;也可以在检测到用户特征信息及对应的密码输入完成之后,在用户通过用户特征信息及对应的密码进行登录之前,对用户进行告警提示,本发明实施例不做限定。
可选地,用户设备可以通过对光标位置的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到光标从用户特征信息输入框内移动至该用户特征信息输入框外时,用户设备确定用户特征信息的输入完成。
可替换地,用户设备还可以通过对当前页面有效输入框的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到当前页面的有效输入框由用户特征信息输入框变更为密码输入框时,用户设备确定用户特征信息的输入完成。
进一步的,作为对图7所示实现方式的替换,在本发明实施例的另一种实现方式中,登录页面的域名可以替换为登录页面的URL。对应的,白名单中可以预设有用户特征信息与信任URL之间的映射关系。在本发明实施例中,信任URL是指正规的网站URL或被用户所信任的网站URL。
进一步的,作为对图7所示实现方式的替换,在本实施例的又一种实现方式中,用户设备还可以预设有相对白名单而言的黑名单,黑名单中预设有用户特征信息以及与用户特征信息对应的恶意域名(集合)。当用户在登录页面中输入用户特征信息后,用户设备根据黑名单对登录页面对应的域名进行识别。具体的,作为对步骤701的替换:用户设备在黑名单中添加用户特征信息对应的恶意域名。作为对步骤703的替换:用户设备判断黑名单中是否存有用户特征信息。作为对步骤704的替换:若判断结果为是,则用户设备在黑名单中查找用户特征信息对应的信任域名集合。作为对步骤705的替换:用户设备将登录页面对应的域名与恶意域名集合中的恶意域名分别进行比对。作为对步骤706的替换:若登录页面对应的域名属于恶意域名集合,则用户设备对用户进行告警提示。
本发明实施例提供的识别恶意网站的方法,能够在请求登录页面指向链接页面之前,根据登录页面的域名对链接页面的安全性进行识别,从而实现对恶意网站的识别。具体地,首先抓取登录页面中输入的用户特征信息,然后在白名单中查找用户特征信息对应的信任域名集合,最后将登录页面的域名与信任域名集合中的所有信任域名分别进行比对,若登录页面的域名不属于信任域名集合,则对用户进行告警提示。与现有技术中的人工审核机制相比,页面识别过程完全基于设备自行实现,无需人工操作介入,能够避免人工审核所存在的专业能力局限性及时间局限性,从而可以及时、高效地对恶意网站进行识别;与现有技术中的自动识别机制相比,能够以页面的域名而非页面源代码为依据进行恶意网站的识别,识别过程不受源代码内容篡改的影响,能够避免由篡改源代码内容而引起恶意网站识别错误的情况,从而能够提高对恶意网站的识别可靠性。
作为对图7所示方法的具体说明,本发明实施例提供另一种识别恶意网站的方法,如图8所示,所述方法包括:
801、用户设备在白名单中添加对应用户特征信息的信任域名,形成信任域名集合。
其中,信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。在本发明实施例中,白名单用于记录信任域名,以及信任域名与用户特征信息之间的映射关系,信任域名为经用户确认和/或经官方认证的合法域名,信任域名集合包含至少两个信任域名。
对于本发明实施例,用户特征信息为下述信息中的一种或至少两种的组合:邮箱地址、手机号码、用户名、账户编号。事例性的,用户特征信息可以为邮箱地址“abcqq.com”,或手机号码“13100001234”,或用户名“Peter”,或用户编号“10001”;当用户特征信息为上述几种元素的组合时,用户特征信息还可以为用户名及用户编号“Peter+10001”。
此外,实际应用中,上述用户编号为网络侧后台为用户账号分配的一个唯一性的编号,该编号允许用户层面可见,较为典型的,例如QQ号;或者该编号用户层面不可见,仅作标识账号之用,例如“sdkh234jhdf”,本实施例不对用户编号的具体形式进行限定。
对于本发明实施例,用户设备可以根据用户主动输入的用户特征信息对应的信任域名,在白名单中添加用户特征信息对应的信任域名;还可以根据公认的信任域名,在白名单中自动添加用户特征信息对应的信任域名。
可选地,步骤801还可以为:用户设备在白名单中添加用户特征信息对应的信任域名类别。其中,信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。在本发明实施例中,通过在白名单中添加用户特征信息对应的信任域名类别,能够将各个互相关联的信任域名进行绑定,并直观地为用户提供一个信任域名类别,从而可以减少用户输入信任域名的次数。
其中,信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。例如,信任域名类别可以为“腾讯”、“网易”、“淘宝”等。具体地,当用户设备在白名单中为用户特征信息添加的信任域名类别为“腾讯”时,该用户特征信息对应的信任域名可以包括:“qq.com”、“soso.com”、“paipai.com”、“tenpay.com”等域名;当用户设备在白名单中为用户特征信息添加的信任域名类别为“网易”时,该用户特征信息对应的信任域名可以包括:“163.com”、“126.com”、“youdao.com”等域名;当用户设备在白名单中为用户特征信息添加的信任域名类别为“淘宝”时,该用户特征信息对应的信任域名可以包括:“taobao.com”、“tmall.com”等域名。
802、用户设备抓取登录页面中输入的用户特征信息。
对于本发明实施例,登录页面可以为用户需要通过用户特征信息及对应的密码进行登录操作的页面。在本发明实施例中,登录页面可以为常规账号登录页面,也可以为网络支付账号登录页面或者网银账号登录页面等,本发明实施例不做限定。例如,登录页面可以为网页QQ登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的QQ号;登录页面还可以为网易邮箱登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址;登录页面还可以为支付宝登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的邮箱地址或者手机号;登录页面还可以为某网银登录页面,用户设备在该登录页面中抓取的用户特征信息可以为用户输入的银行卡号或者用户名。
具体地,步骤802可以为:用户设备通过浏览器插件或浏览器内置的抓取功能,抓取输入框中输入的用户特征信息。其中,浏览器插件可以为IE的BHO插件,也可以为Chrome的NPAPI插件。
803、用户设备判断白名单中是否包含抓取的用户特征信息,得出判断结果。
可选地,步骤803之后可以包括:若判断结果为否,则用户设备将抓取的用户特征信息导入到白名单中,并为用户特征信息添加信任域名。在本发明实施例中,通过将白名单中未存有的用户特征信息导入白名单中,能够增加白名单中用户特征信息的数量,从而可以扩大对用户特征信息的保护范围。
对于本发明实施例,当白名单中未存有用户特征信息时,用户设备可以直接将该用户特征信息导入到白名单中;也可以首先弹出是否导入该用户特征信息的提示窗口,然后根据用户指令将该用户特征信息导入到白名单中。
804、若判断结果为是,则用户设备在白名单中查找用户特征信息对应的信任域名集合。
其中,白名单中预设有用户特征信息与信任域名之间的映射关系。在本发明实施例中,信任域名是指正规的网站域名或被用户所信任的网站域名。事例性的,白名单具体可以如下表所示:
对于本发明实施例,白名单中每个用户特征信息可以对应一个信任域名,也可以对应多个信任域名,本发明实施例不做限定。例如上表中,用户特征信息“13100001234”对应一个信任域名“tuan800.com”;用户特征信息“abcqq.com”对应多个信任域名:“baidu.com”、“dangdang.com”及“jd.com”。当某个用户特征信息对应多个信任域名时,这些多个信任域名组合成为该用户特征信息对应的信任域名集合。
805、用户设备将登录页面的域名依次与信任域名集合中的所有信任域名进行比对。
可选地,步骤805之前可以包括:用户设备获取当前登录页面的域名。在本发明实施例中,域名的获取方式为本领域技术人员的公知常识,此处不再赘述。
对于本发明实施例,通过将登录页面对应的域名与信任域名集合中的信任域名分别进行比对,能够判断当前登录页面的域名是否为信任域名,从而可以进一步确定是否对用户进行告警提示。
806、若查找到与登录页面的域名相同的信任域名,则用户设备终止比对。
807、若登录页面的域名不属于信任域名集合,则用户设备对用户进行告警提示。
具体地,步骤807可以为,若登录页面的域名与信任域名集合中的任意一个信任域名均不相同,则用户设备对用户进行告警提示。
事例性的,用户特征信息“abcqq.com”对应的信任域名集合中的信任域名包括:“baidu.com”、“dangdang.com”及“jd.com”。当用户通过用户特征信息“abcqq.com”,在域名为“hao123.com”的登录页面进行登录时,用户设备将当前登录页面的域名与当前特征信息对应的信任域名进行比对后,确定当前登录页面的域名不属于信任域名集合,此时,用户设备对用户进行告警提示。
对于本发明实施例,当用户通过用户特征信息访问非信任域名对应的登录页面时,通过在请求登录页面指向链接页面之前,对用户进行告警提示,能够有效地对恶意网站进行识别。
对于本发明实施例,用户设备可以在检测到用户特征信息的输入完成之后,在用户输入对应的密码之前,对用户进行告警提示;也可以在检测到用户特征信息及对应的密码输入完成之后,在用户通过用户特征信息及对应的密码进行登录之前,对用户进行告警提示,本发明实施例不做限定。
可选地,用户设备可以通过对光标位置的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到光标从用户特征信息输入框内移动至该用户特征信息输入框外时,用户设备确定用户特征信息的输入完成。
可替换地,用户设备还可以通过对当前页面有效输入框的检测,确定用户特征信息或者对应的密码的输入是否完成。例如,当检测到当前页面的有效输入框由用户特征信息输入框变更为密码输入框时,用户设备确定用户特征信息的输入完成。
具体地,步骤807还可以为:若登录页面对应的域名不属于信任域名集合,则用户设备通过确认(confirm)函数或警报(alert)函数调用对话框对用户进行告警提示。例如图5所示,用户设备通过调用对话框对用户进行告警提示。其中,对话框中可以包括继续登录所对应的选项单元及取消登录所对应的选项单元,例如图5中,继续登录所对应的选项单元为“取消”选项,取消登录所对应的选项单元为“确定”选项。
对于本发明实施例,步骤807还可以为:若登录页面的域名不属于信任域名集合,则用户设备将当前登录页面重定向到自定义的拦截页面,对用户进行告警提示。例如图6所示,用户设备通过自定义的拦截页面对用户进行告警提示。其中,自定义的拦截页面中同样包括继续登录所对应的选项单元及取消登录所对应的选项单元,继续登录所对应的选项单元为“继续访问,并承担风险”选项,取消登录所对应的选项单元为“取消访问,并退出页面”选项。
可选地,步骤807之后,还可以包括:若用户选择信任登录页面,则用户设备将登录页面对应的域名作为信任域名,添加到白名单的信任域名集合中。在本发明实施例中,通过将用户选择信任的登录页面添加到白名单的信任域名集合中,能够避免用户再次访问该登录页面时,用户设备需要再次显示告警提示的情况。
进一步的,作为对图8所示实现方式的替换,在本发明实施例的另一种实现方式中,登录页面的域名可以替换为登录页面的URL。对应的,白名单中可以预设有用户特征信息与信任URL(集合)之间的映射关系。在本发明实施例中,信任URL是指正规的网站URL或被用户所信任的网站URL。
进一步的,作为对图8所示实现方式的替换,在本实施例的又一种实现方式中,用户设备还可以预设有相对白名单而言的黑名单,黑名单中预设有用户特征信息以及与用户特征信息对应的恶意域名(集合)。当用户在登录页面中输入用户特征信息后,用户设备根据黑名单对登录页面对应的域名进行识别。具体的,作为对步骤801的替换:用户设备在黑名单中添加用户特征信息对应的恶意域名。作为对步骤803的替换:用户设备判断黑名单中是否存有用户特征信息。作为对步骤804的替换:若判断结果为是,则用户设备在黑名单中查找用户特征信息对应的信任域名集合。作为对步骤805的替换:用户设备将登录页面的域名依次与恶意域名集合中的所有恶意域名进行比对。作为对步骤806的替换:若查找到与登录页面的域名相同的恶意域名,则用户设备终止比对。作为对步骤807的替换:若登录页面对应的域名属于恶意域名集合,则用户设备对用户进行告警提示。
对于本发明实施例,当登录页面的域名属于黑名单中的恶意域名集合时,用户设备可以直接强制关闭页面,从而避免用户通过用户特征信息在恶意网站进行登录。
进一步的,作为对图3及图4所示方法的实现,本发明实施例还提供了一种识别恶意网站的装置,该装置可以位于手机、电脑等用户设备中,也可以位于网络侧服务器中,用于对页面所属域名的安全性进行识别,如图9所示,所述装置包括:信息抓取单元91、域名查找单元92、域名比对单元93、告警提示单元94。
信息抓取单元91,用于抓取登录页面中输入的用户特征信息。
域名查找单元92,用于在白名单中查找信息抓取单元91抓取的用户特征信息对应的信任域名集合。
其中,白名单中预设有用户特征信息与信任域名之间的映射关系。
域名比对单元93,用于将登录页面的域名与域名查找单元92查找的信任域名集合中的所有信任域名进行比对。
告警提示单元94,用于当域名比对单元93比对登录页面的域名不属于信任域名集合时,对用户进行告警提示。
域名查找单元92查找的白名单用于记录信任域名,以及信任域名与用户特征信息之间的映射关系。
域名比对单元93比对的信任域名为经用户确认和/或经官方认证的合法域名。
域名查找单元92查找的信任域名集合包含至少两个信任域名。
信息抓取单元91,还用于通过浏览器插件或浏览器内置的抓取功能,抓取输入框中输入的用户特征信息。
域名比对单元93,还用于将登录页面的域名依次与信任域名集合中的所有信任域名进行比对,当查找到与登录页面的域名相同的信任域名时,终止比对。
告警提示单元94,还用于通过确认(confirm)函数或警报(alert)函数调用对话框对用户进行告警提示。
告警提示单元94,还用于将当前登录页面重定向到自定义的拦截页面,对用户进行告警提示。
进一步地,如图10所示,所述装置还包括:域名添加单元101。
域名添加单元101,用于在告警提示单元94对用户进行告警提示后,当用户选择信任登录页面时,将登录页面的域名作为信任域名,添加到白名单的信任域名集合中。
本发明实施例提供的识别恶意网站的装置,能够在请求登录页面指向链接页面之前,根据登录页面的域名对链接页面的安全性进行识别,从而实现对恶意网站的识别。具体地,首先信息抓取单元在登录页面中抓取用户输入的用户特征信息,然后域名查找单元在白名单中查找该用户特征信息对应的信任域名集合,最后域名比对单元将登录页面的域名与信任域名集合中的所有信任域名分别进行比对,当登录页面的域名不属于信任域名集合时,告警提示单元对用于进行告警提示。与现有技术中的人工审核机制相比,页面识别过程完全基于设备自行实现,无需人工操作介入,能够避免人工审核所存在的专业能力局限性及时间局限性,从而可以及时、高效地对恶意网站进行识别;与现有技术中的自动识别机制相比,能够以页面的域名而非页面源代码为依据进行恶意网站的识别,识别过程不受源代码内容篡改的影响,能够避免由篡改源代码内容而引起恶意网站识别错误的情况,从而能够提高对恶意网站的识别可靠性。
进一步地,本发明实施例提供的识别恶意网站的装置,通过在白名单中添加用户特征信息对应的信任域名类别,能够将各个互相关联的信任域名进行绑定,并直观地为用户提供一个信任域名类别,从而可以减少用户输入信任域名的次数;通过将白名单中未存有的用户特征信息导入白名单中,能够增加白名单中用户特征信息的数量,从而可以扩大对用户特征信息的保护范围;通过将用户选择信任的登录页面添加到白名单的信任域名集合中,能够避免用户再次访问该登录页面时,用户设备需要再次显示告警提示的情况。
进一步的,作为对图7及图8所示方法的实现,本发明实施例提供了另一种识别恶意网站的装置,该装置可以位于手机、电脑等用户设备中,也可以位于网络侧服务器中,用于对页面所属域名的安全性进行识别,如图11所示,所述装置包括:域名添加单元1101、信息抓取单元1102、判断单元1103、域名查找单元1104、域名比对单元1105、告警提示单元1106。
域名添加单元1101,用于在白名单中添加对应用户特征信息的信任域名,形成信任域名集合。
信息抓取单元1102,用于抓取登录页面中输入的用户特征信息。
判断单元1103,用于判断域名添加单元1101添加的白名单中是否包含信息抓取单元1102抓取的用户特征信息,得出判断结果。
域名查找单元1104,用于当判断单元1103判断结果为是时,在白名单中查找用户特征信息对应的信任域名集合。
域名比对单元1105,用于将登录页面的域名与域名查找单元1104查找的信任域名集合中的所有信任域名进行比对。
告警提示单元1106,用于当域名比对单元1105比对登录页面的域名不属于信任域名集合时,对用户进行告警提示。
域名添加单元1101,还用于在白名单中添加用户特征信息对应的信任域名类别。
其中,信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。
进一步地,如图12所示,所述装置还包括:信息导入单元1201。
信息导入单元1201,用于当判断单元1103判断结果为否时,将抓取的用户特征信息导入到白名单中,并为用户特征信息添加信任域名。
本发明实施例提供的识别恶意网站的装置,能够在请求登录页面指向链接页面之前,根据登录页面的域名对链接页面的安全性进行识别,从而实现对恶意网站的识别。具体地,首先信息抓取单元在登录页面中抓取用户输入的用户特征信息,然后域名查找单元在白名单中查找该用户特征信息对应的信任域名集合,最后域名比对单元将登录页面的域名与信任域名集合中的所有信任域名分别进行比对,当登录页面的域名不属于信任域名集合时,告警提示单元对用于进行告警提示。与现有技术中的人工审核机制相比,页面识别过程完全基于设备自行实现,无需人工操作介入,能够避免人工审核所存在的专业能力局限性及时间局限性,从而可以及时、高效地对恶意网站进行识别;与现有技术中的自动识别机制相比,能够以页面的域名而非页面源代码为依据进行恶意网站的识别,识别过程不受源代码内容篡改的影响,能够避免由篡改源代码内容而引起恶意网站识别错误的情况,从而能够提高对恶意网站的识别可靠性。
进一步地,本发明实施例提供的识别恶意网站的装置,通过在白名单中添加用户特征信息对应的信任域名类别,能够将各个互相关联的信任域名进行绑定,并直观地为用户提供一个信任域名类别,从而可以减少用户输入信任域名的次数;通过将白名单中未存有的用户特征信息导入白名单中,能够增加白名单中用户特征信息的数量,从而可以扩大对用户特征信息的保护范围;通过将用户选择信任的登录页面添加到白名单的信任域名集合中,能够避免用户再次访问该登录页面时,用户设备需要再次显示告警提示的情况。
本发明实施例提供的识别恶意网站的装置可以实现上述提供的方法实施例,具体功能实现请参见方法实施例中的说明,在此不再赘述。本发明实施例提供的识别恶意网站的方法及装置可以适用于当用户登录恶意网站时,对用户进行告警提示,但不仅限于此。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在可读取的存储介质中,如计算机的软盘,硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (22)
1.一种识别恶意网站的方法,其特征在于,包括:
抓取登录页面中输入的用户特征信息;
在白名单中查找所述用户特征信息对应的信任域名集合,其中,所述白名单中预设有用户特征信息与信任域名之间的映射关系;
将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对;
若所述登录页面的域名不属于所述信任域名集合,则对用户进行告警提示。
2.根据权利要求1所述的方法,其特征在于,所述白名单用于记录信任域名,以及信任域名与用户特征信息之间的映射关系。
3.根据权利要求1所述的方法,其特征在于,所述信任域名为经用户确认和/或经官方认证的合法域名;
所述信任域名集合包含至少两个信任域名。
4.根据权利要求1所述的方法,其特征在于,所述抓取登录页面中输入的用户特征信息,包括:
通过浏览器插件或浏览器内置的抓取功能,抓取输入框中输入的用户特征信息。
5.根据权利要求1所述的方法,其特征在于,所述将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对,包括:
将所述登录页面的域名依次与所述信任域名集合中的所有信任域名进行比对;
若查找到与所述登录页面的域名相同的信任域名,则终止比对。
6.根据权利要求1所述的方法,其特征在于,所述对用户进行告警提示,包括:
通过确认(confirm)函数或警报(alert)函数调用对话框对用户进行告警提示。
7.根据权利要求1所述的方法,其特征在于,所述对用户进行告警提示,包括:
将当前登录页面重定向到自定义的拦截页面,对用户进行告警提示。
8.根据权利要求1至7中任一项所述的方法,其特征在于,在对用户进行告警提示后,若用户选择信任所述登录页面,则所述方法进一步包括:
将所述登录页面的域名作为信任域名,添加到白名单的信任域名集合中。
9.一种识别恶意网站的方法,其特征在于,包括:
在白名单中添加对应用户特征信息的信任域名,形成信任域名集合;
抓取登录页面中输入的用户特征信息;
判断所述白名单中是否包含抓取的所述用户特征信息,得出判断结果;
若判断结果为是,则在白名单中查找所述用户特征信息对应的信任域名集合;
将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对;
若所述登录页面的域名不属于所述信任域名集合,则对用户进行告警提示。
10.根据权利要求9所述的方法,其特征在于,所述在白名单中添加对应用户特征信息的信任域名,包括:
在所述白名单中添加所述用户特征信息对应的信任域名类别,所述信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。
11.根据权利要求9所述的方法,其特征在于,若判断结果为否,则所述方法进一步包括:
将抓取的所述用户特征信息导入到所述白名单中,并为所述用户特征信息添加信任域名。
12.一种识别恶意网站的装置,其特征在于,包括:
信息抓取单元,用于抓取登录页面中输入的用户特征信息;
域名查找单元,用于在白名单中查找所述信息抓取单元抓取的所述用户特征信息对应的信任域名集合,其中,所述白名单中预设有用户特征信息与信任域名之间的映射关系;
域名比对单元,用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对;
告警提示单元,用于当所述域名比对单元比对所述登录页面的域名不属于所述信任域名集合时,对用户进行告警提示。
13.根据权利要求12所述的装置,其特征在于,
所述域名查找单元查找的所述白名单用于记录信任域名,以及信任域名与用户特征信息之间的映射关系。
14.根据权利要求12所述的装置,其特征在于,
所述域名比对单元比对的所述信任域名为经用户确认和/或经官方认证的合法域名;
所述域名查找单元查找的所述信任域名集合包含至少两个信任域名。
15.根据权利要求12所述的装置,其特征在于,
所述信息抓取单元,还用于通过浏览器插件或浏览器内置的抓取功能,抓取输入框中输入的用户特征信息。
16.根据权利要求12所述的装置,其特征在于,
所述域名比对单元,还用于将所述登录页面的域名依次与所述信任域名集合中的所有信任域名进行比对,当查找到与所述登录页面的域名相同的信任域名时,终止比对。
17.根据权利要求12所述的装置,其特征在于,
所述告警提示单元,还用于通过确认(confirm)函数或警报(alert)函数调用对话框对用户进行告警提示。
18.根据权利要求12所述的装置,其特征在于,
所述告警提示单元,还用于将当前登录页面重定向到自定义的拦截页面,对用户进行告警提示。
19.根据权利要求12至18中任一项所述的装置,其特征在于,所述装置还包括:域名添加单元;
所述域名添加单元,用于在所述告警提示单元对用户进行告警提示后,当用户选择信任所述登录页面时,将所述登录页面的域名作为信任域名,添加到白名单的信任域名集合中。
20.一种识别恶意网站的装置,其特征在于,包括:
域名添加单元,用于在白名单中添加对应用户特征信息的信任域名,形成信任域名集合;
信息抓取单元,用于抓取登录页面中输入的用户特征信息;
判断单元,用于判断所述域名添加单元添加的所述白名单中是否包含所述信息抓取单元抓取的所述用户特征信息,得出判断结果;
域名查找单元,用于当所述判断单元判断结果为是时,在白名单中查找所述用户特征信息对应的信任域名集合;
域名比对单元,用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对;
告警提示单元,用于当所述域名比对单元比对所述登录页面的域名不属于所述信任域名集合时,对用户进行告警提示。
21.根据权利要求20所述的装置,其特征在于,
所述域名添加单元,还用于在所述白名单中添加所述用户特征信息对应的信任域名类别,所述信任域名类别根据预设的域名分类规则划分得到,包含至少一个同类的信任域名。
22.根据权利要求20所述的装置,其特征在于,所述装置还包括:信息导入单元;
所述信息导入单元,用于当所述判断单元判断结果为否时,将抓取的所述用户特征信息导入到所述白名单中,并为所述用户特征信息添加信任域名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410234413.6A CN104135467B (zh) | 2014-05-29 | 2014-05-29 | 识别恶意网站的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410234413.6A CN104135467B (zh) | 2014-05-29 | 2014-05-29 | 识别恶意网站的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104135467A CN104135467A (zh) | 2014-11-05 |
| CN104135467B true CN104135467B (zh) | 2015-09-23 |
Family
ID=51807989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410234413.6A Active CN104135467B (zh) | 2014-05-29 | 2014-05-29 | 识别恶意网站的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104135467B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104580230B (zh) * | 2015-01-15 | 2017-12-08 | 广州品唯软件有限公司 | 网站攻击验证方法及装置 |
| CN105357265A (zh) * | 2015-09-30 | 2016-02-24 | 北京奇虎科技有限公司 | 一种识别浏览器被劫持的方法 |
| CN107517193A (zh) * | 2016-06-17 | 2017-12-26 | 百度在线网络技术(北京)有限公司 | 恶意网站识别方法和装置 |
| CN108156270B (zh) * | 2017-11-27 | 2021-04-30 | 北京金山安全管理系统技术有限公司 | 域名请求处理方法和装置 |
| CN111431935B (zh) * | 2020-04-16 | 2021-04-30 | 山东省计算中心(国家超级计算济南中心) | 一种识别网站登录口令数据传输安全性的方法 |
| US20210367918A1 (en) * | 2020-05-22 | 2021-11-25 | Nvidia Corporation | User perceptible indicia for web address identifiers |
| CN115941316B (zh) * | 2022-12-05 | 2023-08-08 | 广州力麒智能科技有限公司 | 一种智能自助终端中间件调用方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082792A (zh) * | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | 中国移动通信集团公司 | 一种检测钓鱼网站的方法及装置 |
-
2014
- 2014-05-29 CN CN201410234413.6A patent/CN104135467B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082792A (zh) * | 2010-12-31 | 2011-06-01 | 成都市华为赛门铁克科技有限公司 | 钓鱼网页检测方法及设备 |
| CN103428186A (zh) * | 2012-05-24 | 2013-12-04 | 中国移动通信集团公司 | 一种检测钓鱼网站的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104135467A (zh) | 2014-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Tian et al. | Needle in a haystack: Tracking down elite phishing domains in the wild | |
| CN104135467B (zh) | 识别恶意网站的方法及装置 | |
| Wu et al. | Effective defense schemes for phishing attacks on mobile computing platforms | |
| Petsas et al. | Two-factor authentication: is the world ready? Quantifying 2FA adoption | |
| Wu et al. | MobiFish: A lightweight anti-phishing scheme for mobile phones | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| Rao et al. | Phishshield: a desktop application to detect phishing webpages through heuristic approach | |
| US11671448B2 (en) | Phishing detection using uniform resource locators | |
| CN104954372B (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| US11381598B2 (en) | Phishing detection using certificates associated with uniform resource locators | |
| CN103368957B (zh) | 对网页访问行为进行处理的方法及系统、客户端、服务器 | |
| US11165793B2 (en) | Method and system for detecting credential stealing attacks | |
| CN103634317A (zh) | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 | |
| US12021894B2 (en) | Phishing detection based on modeling of web page content | |
| US20220030029A1 (en) | Phishing Protection Methods and Systems | |
| CN102902917A (zh) | 用于预防钓鱼式攻击的方法和系统 | |
| Gandotra et al. | Improving spoofed website detection using machine learning | |
| CN107241292B (zh) | 漏洞检测方法及装置 | |
| US20210006592A1 (en) | Phishing Detection based on Interaction with End User | |
| US11470114B2 (en) | Malware and phishing detection and mediation platform | |
| Rajalingam et al. | Prevention of phishing attacks based on discriminative key point features of webpages | |
| US10152465B2 (en) | Security-focused web application crawling | |
| Abuadbba et al. | Towards web phishing detection limitations and mitigation | |
| Thaker et al. | Detecting phishing websites using data mining | |
| Roopak et al. | On effectiveness of source code and SSL based features for phishing website detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |