CN104580092B - 对网络页面进行安全性检测的方法和装置 - Google Patents
对网络页面进行安全性检测的方法和装置 Download PDFInfo
- Publication number
- CN104580092B CN104580092B CN201310495905.6A CN201310495905A CN104580092B CN 104580092 B CN104580092 B CN 104580092B CN 201310495905 A CN201310495905 A CN 201310495905A CN 104580092 B CN104580092 B CN 104580092B
- Authority
- CN
- China
- Prior art keywords
- webpage
- domain name
- url
- judgment threshold
- inspection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供了一种对网络页面进行安全性检测的方法和装置。该方法主要包括:对浏览器要访问的网络页面进行域名检查,将域名检查的检查结果转换为域名判断阈值,对网络页面进行URl检查,将URl检查的检查结果转换为URl判断阈值,对网络页面进行电子邮件检查,将电子邮件检查的检查结果转换为电子邮件判断阈值;将域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。本发明可以有效地识别出网络页面的安全性,准确地识别出金融行业等行业的钓鱼页面,保障用户的财产安全。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种对网络页面进行安全性检测的方法和装置。
背景技术
随着信息技术的发展,使网络逐渐渗透到社会的各个领域,人们不管是生活,工作还是娱乐离不开网络,所以有一个安全健康稳定的网络环境是非常的重要的。网络的一个非常重要的载体那就是网站了,各种各样的网站承载着无数的信息和数据,所以,网站安全管理是绝对不容忽视的。网站安全管理可以保证网站的稳定健康的运行,可以保障人们浏览网站的安全性。
钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL(Uniform Resource Locator,统一资源定位)地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML(HyperTextMarkup Language,超文件标示语言)代码,以此来骗取用户银行或信用卡账号、密码等私人资料。
目前,还没有有效地识别金融等行业的钓鱼网站的方法。
发明内容
本发明的实施例提供了一种网络页面进行安全性检测的方法和装置,以有效地识别出网络页面的安全性。
本发明提供了如下方案:
一种对网络页面进行安全性检测的方法,包括:
对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,对所述网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值,对所述网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
所述的对网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,包括:
在域名数据库中存储所述浏览器以前访问过的所有网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和域名数据库中的域名是相似的,将域名判断阈值赋值为指定值。
所述的对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值,包括:
在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含的所述非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。
所述的对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值,包括:
所述浏览器获取所述要访问的网络页面对应的参照页Referer字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。
所述的方法还包括:
获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Http协议,根据所述判断的结果得到密码判断阈值;
对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值;
在图片数据库中存储所述浏览器以前访问过的网络页面中的图片元素,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,当发现所述要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,将图片判断阈值赋值为指定值;
获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值;
将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到更新后的判断阈值总值,将所述更新后的判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
一种对网络页面进行安全性检测的装置,包括:
域名检查模块,用于对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值;
URl检查模块,用于对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值;
电子邮件检查模块,用于对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
第一判断比较模块,用于将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
所述的域名检查模块,具体用于在域名数据库中存储所述浏览器以前访问过的网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和域名数据库中的域名是相似的,将域名判断阈值赋值为指定值。
所述的URl检查模块,用于在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含所述非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。
所述的电子邮件检查模块,用于通过浏览器获取所述要访问的网络页面对应的参照页Referer字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。
所述的装置还包括:
密码检查模块,用于获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Http协议,根据所述判断的结果得到密码判断阈值;
链接检查模块,用于对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值;
图片检查模块,用于在图片数据库中存储所述浏览器以前访问过的网络页面的图片元素,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,当发现要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,将图片判断阈值赋值为指定值;
Post检查模块,用于获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值;
第二判断模块,用于将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到更新后的判断阈值总值,将所述更新后的判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
由上述本发明的实施例提供的技术方案可以看出,本发明实施例通过对网络页面进行域名检查,URl检查,电子邮件检查,密码检查模块,链接检查模块,图片检查模块和Post检查模块,可以有效地识别出网络页面的安全性,准确地识别出金融行业等行业的钓鱼页面,保障用户的财产安全。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一提供的一种对网络页面进行安全性检测的方法的处理流程图;
图2为本发明实施例二提供的一种对网络页面进行安全性检测的装置的结构图,图中,域名检查模块210,URl检查模块220,电子邮件检查模块230,第一判断模块240,密码检查模块250,链接检查模块260,图片检查模块270,Post检查模块280。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
实施例一
本发明实施例对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,对所述网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值,对所述网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
该实施例提供了一种对网络页面进行安全性检测的方法的处理流程如图1所示,包括如下的处理步骤:
步骤S110、对浏览器要访问的网络页面进行域名检查、URl(Uniform ResourceLocator,统一资源定位符)检查和电子邮件检查。
对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,上面3个检查是第一轮的检查。在域名数据库中存储所述浏览器以前访问过的网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和数据库中的域名是相似的,于是,将域名判断阈值赋值为指定值。
当浏览器加载一个页面时,将该页面的域名与域名数据库中的域名进行逐一匹配,并计算两者之间的汉明距离,一旦发现该距离小于域名敏感度,则认为这两个域名是相似的,并将对域名判断权重值进行加操作,比如,域名敏感度设置为3,当计算的汉明距离小于3时,认为当前访问的域名和数据库中的域名是相似的,即有风险的,然后域名判断权重值赋值为3。
汉明距离是一个基本的概念,它是两个等长字符串(x,y)对应位置的字符不同的个数。D(x,y)表示两字符串在相同位置上不同码符号的数目的总和,两字符串之间的差异可由D(x,y)的大小来进行体现,这样就可以对字符串之间的相似程度提供较为客观的依据。
如果浏览器要导航的网站的域名与用户之前访问过的网站的域名非常相似,那么这个页面可能是钓鱼页面。使用汉明编辑距离算法来计算两个域名字符串的平配程度。比如,如果用户之前访问过网站etrade.com并在浏览器的历史记录中能查到该条信息,用户的浏览器要访问的网站为:efrade.com,则两个网站之间的汉明编辑距离为1。由于很多看起来相似的域名其实都是合法的,比如www.abc.com与www.bbc.com等,所以为了降低误报率,用户可以对相似性的敏感度进行调节,它的含义是:将一个域名伪装成另一个域名所需要插入或者删除的字符个数,如果设置为1说明只变动了一个字符的域名才认为是相似的,敏感度低;设置为5说明5个字符之内的更改都算作相似域名,敏感度高。
对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值。在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含的非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。上述非法字符可以包括:@、,等。
攻击者有许多种方法来生成一个伪造的URL。比如,在URL字符串中添加“@”符号,那么该符号前面的部分会被认为是没有意义的,会被在导航时丢弃,而该符号后面的部分将会被当做真正的地址去导航。
由于浏览器的地址栏显示有限,一段很长的URL只会在浏览器的地址栏显示前面的部分,这种情况下,攻击者就可以利用“@”符号来制造如下所示的恶意URL:”常规地址”+”@”+”实际导航的恶意地址”。
所以,URL评估主要检查请求的URL否存在可疑的嵌入的用户名:可疑内嵌的用户名形式为包含www.,.com或者其他类似的词组。第二,它将检查域名模糊不清的,如域名不包含www.,.com或者其他类似的词组。比如用户访问了http://www.paypai.com@123.123.123.123/,却还以为自己访问的是http://www.paypal.com/。第三,将检查端口号,并且当发现访问的端口不是标准端口(http,https,ftp)时提出报警。以上任一条件满足时都将URI判断权重值赋值为3。
对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值。所述浏览器获取所述要访问的网络页面对应的Referer(参照页)字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。当Referer字段信息为空时,则说明上述要访问的网络页面是从一个电子邮件里链接过来的;当Referer字段信息不为空时,则说明上述要访问的网络页面是从一个网站等链接过来的。
如果Referer字段为空,则将电子邮件判断阈值赋值为设定数值,比如为3。
当用户点击了一个网络页面的链接时,浏览器会获取网络页面的Referer字段信息,这个字段用于告知浏览器当前页面是从那个页面链接过来的。很多典型的钓鱼网站都是从电子邮件里连接过来的,所以当用户从一封电子邮件里点击某个链接时,该页面为钓鱼网站的风险就会增加。
比如,用户登录了一个自称是hao123的网站,该网站上有若干链接,当用户点击某个链接后,我们获取到该网站的ip地址,然后将它作为referer page保存下来,此后,对该ip地址做反向DNS查询,将得到的域名结果与hao123网站的域名作对比(即在正确的hao123域名列表里搜索),如果不同那么认为该网站为钓鱼网站。
步骤S120、将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值。
设判断阈值总值为Ts,计算公式如下:
Ts=W1×P1+W2×P2+W3×P3
上述公式中的W1为预先设定的域名判断阈值的权重,P1为域名判断阈值,上述公式中的W2为预先设定的URl判断阈值的权重,P2为URl判断阈值,上述公式中的W3为预先设定的电子邮件判断阈值的权重,P3为电子邮件判断阈值。
步骤S130、将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
将判断阈值总值与预先设定的报警判断总阈值M进行比较,如果,则执行步骤S140;如果,则执行步骤S150。
上述报警判断总阈值可以设置为6。
步骤S140、判断上述要访问的网络页面不安全,流程结束。
步骤S150、对浏览器要访问的网络页面进行密码检查、链接检查、图片检查和post检查。
获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Https协议,根据所述判断的结果得到密码判断阈值。
如果要访问的网络页面包含“password、pass、pwd”等字段,需要用户提供密码或者其他敏感信息,应该检查这些字段是否会被加密处理,若没有进行加密处理则通知用户这有可能是欺骗页面,由用户做出判断。还检查与该要访问的网络页面的通信是否使用了Https协议,如果使用了Https协议,就继续检查要访问的网络页面所用的证书是否有效。
一旦加密处理、HTTPS协议、证书有效性有任一条件不满足,则将密码判断阈值赋值为指定数值,比如为3。
对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值。
程序将对要访问的网络页面内的所有链接进行分析,即再次经过域名、URL检查模块,一旦发现某个链接不能解析,或者这条链接超过报警阈值的,则认为他是一个“坏链接”,该网络链接的URl为无效。由于很多钓鱼页面的链接都是无效的,所以一旦发现则提出报警。每个页面里面的链接都会通过URL评估的方法进行评估,如果一个页面内超过四分之一的链接URL是无效的那么这个页面为钓鱼页面的可能性将加大,则将链接判断阈值赋值为指定值,比如为3。
在图片数据库中存储所述浏览器以前访问过的网络页面的图片元素,当浏览器加载要访问的网络页面时,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,一旦发现要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,存在钓鱼风险,并将图片判断阈值赋值为指定值,比如为3。
钓鱼网站经常包含我们所熟知的图片。比如,建行的图标出现在模仿建行网站的钓鱼页面上,给用户的第一感觉就是他们访问的是一个正常的建行网站。那么如果建行的图标出现在一个与建行无关的登录页面上时,就认为这是一个钓鱼页面。
有种特殊的情况,即很多时候某个公司的图标会出现在与该公司合作的网站上,比如建行的图标会出现在哪些通过建行网银进行交易的商品的页面上,这时不应该认为这是一个钓鱼页面,所以我们只针对有用户提供敏感信息的页面来进行评估。
每当浏览器将一个页面上的所有信息下载之后,该页面上的所有图片会与数据库中事先存放的图片作比较,如果发现了相同图片,并且图片的来源(即域名)不同,那么总权重值就会增加,该页面为钓鱼页面的可能性也随之增加。
获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值。
Post方法是用户与远程服务器进行信息交互的常用方式,很多钓鱼网站会诱使用户通过post方法提交敏感信息,因此对post数据的评估也有助于识别出钓鱼网站。对于用户常用的正规网站,比如银行、网购网站等,将密码、用户名、该网站的域名信息作为一组对应关系存储起来,每当检测到用户将密码等信息提交给一个新的域名(即与数据库中的记录不匹配),则将触发密码字段评估,并按照密码字段评估方法进行页面的评估,一旦加密处理、HTTPS协议、证书有效性有任一条件不满足,则将Post判断阈值赋值为指定值。比如为3。
步骤S160、将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到更新后的判断阈值总值,将所述更新后的判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
比如,同时将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值、所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,则更新后的判断阈值总值的计算公式如下:
Tss=W1×P1+W2×P2+W3×P3+W4×P4+W5×P5+W6×P6+W7×P7
上述公式中的W1为预先设定的域名判断阈值的权重,P1为域名判断阈值,上述公式中的W2为预先设定的URl判断阈值的权重,P2为URl判断阈值,上述公式中的W3为预先设定的电子邮件判断阈值的权重,P3为电子邮件判断阈值,W4为预先设定的密码判断阈值的权重,P4为密码判断阈值,W5为预先设定的链接判断阈值的权重,P3为链接判断阈值,W6为预先设定的图片判断阈值的权重,P6为图片判断阈值,W7为预先设定的post判断阈值的权重,P6为post判断阈值。
将更新后的判断阈值总值与预先设定的报警判断总阈值M进行比较,如果,则判断上述要访问的网络页面不安全,流程结束;如果,则判断上述要访问的网络页面安全。
对于不安全的网络页面,客户端的浏览器可以拒绝访问,并加入黑名单中。
实施例二
该实施例提供了一种对网络页面进行安全性检测的装置,其结构示意图如图2所示,包括:
域名检查模块,用于对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值;
URl检查模块,用于对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值;
电子邮件检查模块,用于对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
第一判断比较模块,用于将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
进一步地,所述的域名检查模块,具体用于在域名数据库中存储所述浏览器以前访问过的网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和域名数据库中的域名是相似的,将域名判断阈值赋值为指定值。
进一步地,所述的URl检查模块,用于在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含的所述非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。
进一步地,所述的电子邮件检查模块,用于通过浏览器获取所述要访问的网络页面对应的参照页Referer字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。
进一步地,所述的装置还包括:
密码检查模块,用于获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Http协议,根据所述判断的结果得到密码判断阈值;
链接检查模块,用于对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值;
图片检查模块,用于在图片数据库中存储所述浏览器以前访问过的网络页面的图片元素,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,当发现要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,将图片判断阈值赋值为指定值;
Post检查模块,用于获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值;
第二判断模块,用于将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到更新后的判断阈值总值,将所述更新后的判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
上述对网络页面进行安全性检测的装置可以设置成一个网络插件,该网络插件可以和客户端的浏览器集成在一起。当客户端的浏览器尝试导航到一个新的网络页面时,该网络插件便启动运行,与浏览器共享同一个进程空间,该网络插件随即对上述新的网络页面进行域名检查模块、URl检查模块和电子邮件检查模块等。
用本发明实施例的装置进行对网络页面进行安全性检测的具体过程与前述方法实施例类似,此处不再赘述。
综上所述,随着进入网络信息时代,钓鱼攻击的方法变得多种多样,能躲过各方安全防护,当前,钓鱼攻击的主要攻击目标是涉及金钱的网站,例如银行网站和证券网站。现在电子商务、网络购物、网上银行等业务已经深入我们的日常生活,钓鱼攻击对这些网站的攻击,造成了巨大的损失,使得钓鱼攻击成为了最严重的网站攻击方法之一。因此,必须加强对钓鱼攻击手段的防范研究。针对目前国内外的网络钓鱼的安全现状与需求,本发明实施例通过对网络页面进行域名检查,URl检查,电子邮件检查,密码检查模块,链接检查模块,图片检查模块和Post检查模块,可以有效地识别出网络页面的安全性,这种机制克服了黑名单检测的滞后,又避免了相似度分析检测的大量计算,对表单较多且Logo特定的金融类网站有很好的效果,能够准确地识别出金融行业等行业的钓鱼页面,保障用户的财产安全。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (8)
1.一种对网络页面进行安全性检测的方法,其特征在于,包括:
对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,对所述网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值,对所述网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Http协议,根据所述判断的结果得到密码判断阈值;
对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值;
在图片数据库中存储所述浏览器以前访问过的网络页面中的图片元素,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,当发现所述要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,将图片判断阈值赋值为指定值;
获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值;
将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
2.根据权利要求1所述的对网络页面进行安全性检测的方法,其特征在于,所述的对网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值,包括:
在域名数据库中存储所述浏览器以前访问过的所有网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和域名数据库中的域名是相似的,将域名判断阈值赋值为指定值。
3.根据权利要求1所述的对网络页面进行安全性检测的方法,其特征在于,所述的对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值,包括:
在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含的所述非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。
4.根据权利要求1所述的对网络页面进行安全性检测的方法,其特征在于,所述的对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值,包括:
所述浏览器获取所述要访问的网络页面对应的参照页Referer字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。
5.一种对网络页面进行安全性检测的装置,其特征在于,包括:
域名检查模块,用于对浏览器要访问的网络页面进行域名检查,将所述域名检查的检查结果转换为域名判断阈值;
URl检查模块,用于对网络页面进行URl检查,将所述URl检查的检查结果转换为URl判断阈值;
电子邮件检查模块,用于对网络页面进行电子邮件检查,将所述电子邮件检查的检查结果转换为电子邮件判断阈值;
第一判断比较模块,用于将所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和得到判断阈值总值,将所述判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性;
密码检查模块,用于获取所述要访问的网络页面的页面标签语言中包含的密码请求字段,判断所述密码请求字段是否经过加密处理、是否应用了Http协议,根据所述判断的结果得到密码判断阈值;
链接检查模块,用于对所述要访问的网络页面中包含的所有网络链接的URl进行检查,计算所述所有网络链接的URl中无效的URl的数量占所有URl的总数量的比例值,根据所述比例值和预先设定的链接转换阈值计算得到链接判断阈值;
图片检查模块,用于在图片数据库中存储所述浏览器以前访问过的网络页面的图片元素,计算要访问的网络页面中图片元素的hash值,并与图片数据库中图片元素的hash值进行逐一对比,当发现要访问的网络页面中的任一图片的hash值与图片数据库中任一图片的hash值相同,则认为图片是相似的,将图片判断阈值赋值为指定值;
Post检查模块,用于获取所述要访问的网络页面要客户端提交的post数据,对所述post数据进行安全检查,根据所述安全检查的结果得到post判断阈值;
第二判断模块,用于将所述密码判断阈值、链接判断阈值、图片判断阈值、post判断阈值中的至少一项与所述域名判断阈值、URl判断阈值和电子邮件判断阈值进行加权求和,得到更新后的判断阈值总值,将所述更新后的判断阈值总值与预先设定的报警判断总阈值进行比较,根据比较结果确定所述网络页面的安全性。
6.根据权利要求5所述的对网络页面进行安全性检测的装置,其特征在于:
所述的域名检查模块,具体用于在域名数据库中存储所述浏览器以前访问过的网络页面的域名,分别计算所述要访问的网络页面与所述域名数据库中存储的各个网络页面的域名之间的汉明编辑距离,分别将每个计算出的汉明编辑距离与设定的域名敏感度进行逐一比较,当计算出的汉明距离小于域名敏感度时,则认为所述要访问的网络页面的域名和域名数据库中的域名是相似的,将域名判断阈值赋值为指定值。
7.根据权利要求5所述的对网络页面进行安全性检测的装置,其特征在于:
所述的URl检查模块,用于在非法字符数据库中存储网络页面的URl的所有非法字符,计算所述要访问的网络页面中包含所述非法字符数据库中的非法字符的数量,根据所述非法字符的数量确定URl判断阈值。
8.根据权利要求5所述的对网络页面进行安全性检测的装置,其特征在于:
所述的电子邮件检查模块,用于通过浏览器获取所述要访问的网络页面对应的参照页Referer字段信息,判断所述Referer字段信息是否为空,根据所述判断的结果得到电子邮件判断阈值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310495905.6A CN104580092B (zh) | 2013-10-21 | 2013-10-21 | 对网络页面进行安全性检测的方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310495905.6A CN104580092B (zh) | 2013-10-21 | 2013-10-21 | 对网络页面进行安全性检测的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104580092A CN104580092A (zh) | 2015-04-29 |
| CN104580092B true CN104580092B (zh) | 2018-01-02 |
Family
ID=53095294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310495905.6A Active CN104580092B (zh) | 2013-10-21 | 2013-10-21 | 对网络页面进行安全性检测的方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104580092B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109255087B (zh) * | 2017-06-30 | 2021-03-16 | 武汉斗鱼网络科技有限公司 | 图片资源安全性的检测方法、存储介质、电子设备及系统 |
| CN107579972B (zh) * | 2017-09-01 | 2019-03-19 | 掌阅科技股份有限公司 | 密码管理方法、电子设备、计算机存储介质 |
| CN108540501B (zh) * | 2018-07-18 | 2021-07-27 | 郑州云海信息技术有限公司 | 一种不对称加密的方法和装置 |
| US11277373B2 (en) * | 2019-07-24 | 2022-03-15 | Lookout, Inc. | Security during domain name resolution and browsing |
| US20230199014A1 (en) * | 2021-12-16 | 2023-06-22 | International Business Machines Corporation | Dark pattern detection and mitigation |
| CN114004604B (zh) * | 2021-12-30 | 2022-03-29 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
| CN114710468B (zh) * | 2022-03-31 | 2024-05-14 | 绿盟科技集团股份有限公司 | 一种域名生成和识别方法、装置、设备及介质 |
| CN116962084B (zh) * | 2023-09-20 | 2023-12-22 | 北京华云安信息技术有限公司 | 泛解析子域名的识别方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223379A (zh) * | 2011-06-28 | 2011-10-19 | 北龙中网(北京)科技有限责任公司 | 网站验证标志处理方法及系统、解析服务器和浏览设备 |
| CN102647422A (zh) * | 2012-04-10 | 2012-08-22 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及设备 |
| CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
| CN103023874A (zh) * | 2012-11-21 | 2013-04-03 | 北京航空航天大学 | 一种钓鱼网站检测方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20110065087A (ko) * | 2009-12-09 | 2011-06-15 | 삼성전자주식회사 | 안전한 웹 페이지 브라우징 방법 및 장치 |
-
2013
- 2013-10-21 CN CN201310495905.6A patent/CN104580092B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102223379A (zh) * | 2011-06-28 | 2011-10-19 | 北龙中网(北京)科技有限责任公司 | 网站验证标志处理方法及系统、解析服务器和浏览设备 |
| CN102647422A (zh) * | 2012-04-10 | 2012-08-22 | 中国科学院计算机网络信息中心 | 钓鱼网站检测方法及设备 |
| CN102664878A (zh) * | 2012-04-10 | 2012-09-12 | 中国科学院计算机网络信息中心 | 仿冒域名检测方法及设备 |
| CN103023874A (zh) * | 2012-11-21 | 2013-04-03 | 北京航空航天大学 | 一种钓鱼网站检测方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于多因素综合评价方法的网络钓鱼识别系统的研究与实现;吴朝花等;《中国科技论文在线》;20111019;全文 * |
| 基于异常特征的钓鱼网站URL检测技术;黄华军等;《信息网络安全》;20120110(第1期);正文第2.1-2.2节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104580092A (zh) | 2015-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104580092B (zh) | 对网络页面进行安全性检测的方法和装置 | |
| Cao et al. | Anti-phishing based on automated individual white-list | |
| US8220047B1 (en) | Anti-phishing system and method | |
| US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
| US8079087B1 (en) | Universal resource locator verification service with cross-branding detection | |
| Patil et al. | Survey on malicious web pages detection techniques | |
| Bin et al. | A DNS based anti-phishing approach | |
| US20060070126A1 (en) | A system and methods for blocking submission of online forms. | |
| Shrivastava et al. | XSS vulnerability assessment and prevention in web application | |
| Kang et al. | Advanced white list approach for preventing access to phishing sites | |
| US8601574B2 (en) | Anti-phishing methods based on an aggregate characteristic of computer system logins | |
| CN107493576A (zh) | 用于确定无线接入点的安全信息的方法与设备 | |
| Mahmoud et al. | A comparative analysis of Cross Site Scripting (XSS) detecting and defensive techniques | |
| Aburrous et al. | Phishing detection plug-in toolbar using intelligent Fuzzy-classification mining techniques | |
| Mishra et al. | A preventive anti-phishing technique using code word | |
| CN102932353B (zh) | 一种防止恶意攻击的方法和设备 | |
| Razaque et al. | Detection of phishing websites using machine learning | |
| Altamimi et al. | PhishCatcher: Client-Side Defense Against Web Spoofing Attacks Using Machine Learning | |
| Kumar et al. | A Blockchain-Oriented Framework for Cloud-Assisted System to Countermeasure Phishing for Establishing Secure Smart City | |
| Shahriar et al. | Information source-based classification of automatic phishing website detectors | |
| Knickerbocker et al. | Humboldt: A distributed phishing disruption system | |
| Sentamilselvan et al. | Survey on Cross Site Request Forgery | |
| Rakesh et al. | Detection of URL based attacks using reduced feature set and modified C4. 5 algorithm | |
| Liu et al. | Financial websites oriented heuristic anti-phishing research | |
| Al Azmi et al. | A comprehensive research on XSS scripting attacks on different domains and their verticals |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |