CN104935605B - 钓鱼网站的检测方法、装置及系统 - Google Patents

钓鱼网站的检测方法、装置及系统 Download PDF

Info

Publication number
CN104935605B
CN104935605B CN201510374880.3A CN201510374880A CN104935605B CN 104935605 B CN104935605 B CN 104935605B CN 201510374880 A CN201510374880 A CN 201510374880A CN 104935605 B CN104935605 B CN 104935605B
Authority
CN
China
Prior art keywords
client
server
detection
target site
webpage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510374880.3A
Other languages
English (en)
Other versions
CN104935605A (zh
Inventor
李晓波
曲冰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing 360 Zhiling Technology Co ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201510374880.3A priority Critical patent/CN104935605B/zh
Publication of CN104935605A publication Critical patent/CN104935605A/zh
Application granted granted Critical
Publication of CN104935605B publication Critical patent/CN104935605B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种钓鱼网站的检测方法、装置及系统,涉及互联网安全领域,为解决因IP地址被屏蔽导致的无法检测钓鱼网站的问题而发明。本发明的方法包括:服务器指示任意客户端对目标站点的网页页面进行检测;客户端通过自身的网间协议IP地址向目标站点发起访问请求,获得目标站点的网页页面;根据服务器预配置的识别规则,客户端对获得的网页页面进行检测;若检测结果为目标站点为钓鱼网站,则客户端向服务器上报网页页面的链接地址以及特征信息。本发明能够有效请求钓鱼网站的网页页面并对其进行准确检测。

Description

钓鱼网站的检测方法、装置及系统
技术领域
本发明涉及互联网安全领域,尤其涉及一种钓鱼网站的检测方法、装置及系统。
背景技术
钓鱼网站是一类以盗取用户个人信息为手段进行牟利的非法网站。钓鱼网站通过将网页页面伪装成银行网站、电子商务网站等网页页面的方式诱导用户输入银行账号、用户名、密码等关键信息,从而对用户的银行资金进行非法盗取,损害用户利益。
现有检测钓鱼网站的方式为:由第三方安全服务提供商在网络侧部署专用于检测钓鱼网站的安全服务器。安全服务器向不同网站发起访问请求以获得各个网站的网页页面,然后通过一系列检测手段对获得的页面内容进行识别,判断其是否属于钓鱼网站的网页页面。
在上述检测钓鱼网站的过程中发明人发现:为阻止安全服务器对钓鱼网站的识别,一些钓鱼网站的站点会通过技术手段对安全服务器的网间协议(Internet Protocol,简称IP)地址进行屏蔽,从而拒绝安全服务器发起的访问请求,使得安全服务器无法获得钓鱼网站的网页页面,进而无法对钓鱼网站进行有效检测。
发明内容
本发明提供了一种钓鱼网站的检测方法、装置及系统,能够解决因IP地址被屏蔽导致的无法检测钓鱼网站的问题。
为解决上述技术问题,一方面,本发明提供了一种钓鱼网站的检测方法,该方法包括:
服务器指示任意客户端对目标站点的网页页面进行检测;
客户端通过自身的网间协议IP地址向目标站点发起访问请求,获得目标站点的网页页面;
根据服务器预配置的识别规则,客户端对获得的网页页面进行检测;
若检测结果为目标站点为钓鱼网站,则客户端向服务器上报网页页面的链接地址以及特征信息。
第二方面,本发明还提供了一种钓鱼网站的检测装置,该装置包括:
指示单元,用于指示任意客户端对目标站点的网页页面进行检测;
配置单元,用于对客户端配置识别规则,以便客户端对获得的网页页面进行检测;
接收单元,用于当客户端的检测结果为目标站点为钓鱼网站时,接收客户端上报的网页页面的链接地址以及特征信息。
第三方面,本发明还提供了一种钓鱼网站的检测装置,该装置包括:
获取单元,用于根据服务器的指示,通过自身的网间协议IP地址向目标站点发起访问请求,获得目标站点的网页页面;
检测单元,用于根据服务器预配置的识别规则,对获取单元获取的获得的网页页面进行检测;
发送单元,用于当检测单元的检测结果为目标站点为钓鱼网站时,向服务器上报网页页面的链接地址以及特征信息。
第四方面,本发明还提供了一种钓鱼网站的检测系统,该系统包括服务器和客户端,其中:
该服务器包括上述第二方面所指的装置,该客户端包括上述第三方面所指的装置。
本发明提供的钓鱼网站的检测方法、装置及系统,能够基于安全服务器的指示及识别规则,由全网任意一个或多个客户端自行对目标站点的网页页面进行访问和检测,并由安全服务器对客户端的检测结果进行回收。由于全网用户数量庞大并且在访问时间上不具有规律性,因此对钓鱼网站的访问具有极强的不确定性因素,使得钓鱼网站无从对用户客户端的IP地址进行统计和屏蔽。更为重要的是,钓鱼网站是以普通网络用户为诈骗对象的,如果对网络用户的客户端进行IP地址屏蔽,则钓鱼网站将无法以页面访问为基础实施信息窃取。基于该机制,本发明将客户端用作钓鱼网站的检测设备,与现有技术相比,能够防止检测设备的IP地址被钓鱼网站所屏蔽,从而保证检测的有效性及准确性。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
图1示出了本发明提供的一种钓鱼网站的检测方法的流程图;
图2示出了本发明提供的另一种钓鱼网站的检测方法的流程图;
图3示出了本发明提供的客户端上报特征信息的编码字符及命中次数的示意图;
图4示出了本发明提供的又一种钓鱼网站的检测方法的流程图;
图5示出了本发明提供的一种钓鱼网站的检测装置的组成框图;
图6示出了本发明提供的另一种钓鱼网站的检测装置的组成框图;
图7示出了本发明提供的又一种钓鱼网站的检测装置的组成框图;
图8示出了本发明提供的再一种钓鱼网站的检测装置的组成框图;
图9示出了本发明提供的一种钓鱼网站的检测系统的示意图。
具体实施方式
下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
为解决安全服务器IP地址被屏蔽而导致的无法检测钓鱼网站的问题,本发明提供了一种钓鱼网站的检测方法,如图1所示,该方法包括:
101、服务器指示任意客户端对目标站点的网页页面进行检测。
本实施例中,第三方安全服务提供商的安全服务器(后续简称为服务器)向全网中的任意一个或多个客户端发送钓鱼网站检测的指示。通常,服务器应当在客户端访问目标站点前完成对客户端的指示。实际应用中,服务器可以以插件的形式,将包含上述指示的程序文件植入到客户端APP的应用程序安装包中,在用户首次安全客户端时完成对客户端的指示;或者也可以在客户端更新过程中,以补丁的形式对客户端进行补充,本实施例对服务器指示客户端的时机进行定性说明,但不对指示客户端的具体方式进行限制。
对于客户端的选择,只要保证该客户端为互联网中普通用户的客户端即可,当然第三方安全提供商也可以使用自备的电脑设备替代网络用户客户端进行检测,但需要保证自备设备使用的IP地址不具有典型性,无法被钓鱼网站识别。
对于客户端数量的确定,服务器可以按照预设规则选择特定时段、特定地域、特定用户等级、特定站点访问历史的客户端进行检测,或者也可以以全网用户数量为基数,根据检测需求确定一定比例的客户端进行检测。对于后者实现,通常客户端的选择没有明确的目的性,服务器可以从全网用户中随机选择预定数量或比例的客户端进行检测。实际应用中,服务器可以以客户端的IP地址、介质访问控制层(Medium Access Control,简称MAC)地址、用户编号等客户端唯一标识信息为基础,通过哈希(Hash)算法或轮询算法对客户端进行选择。当然,更适于实际应用的方式为:将全网所有客户端均选择为检测钓鱼网站的检测主体。
此外,对于具有自身用户账号体系的安全提供商,其可以仅在注册客户端中进行选择,也可以在所有下载安装安全APP的客户端中进行选择(包括注册客户端和未注册客户端)。进一步的,如若扩大客户端的选择范围,安全提供商也可以通过合作授权的方式,从其他网站的注册用户中选取检测使用的客户端。
本实施例中所谓的目标站点是指客户端访问或要访问的网站站点,在对目标站点进行检测前,服务器或客户端都无法确定其是否为钓鱼网站,因此对于目标站点的选择通常没有明确的目的性。
但是在本实施例的一种实现方式中,服务器也可以基于大数据分析确定一批“可疑”站点,通过配置策略的方式将“可疑”站点的统一资源定位符(Uniform ResourceLocator,简称URL)或域名发送给客户端,由客户端对这些站点进行后台定向检测。
102、客户端通过自身的网间协议IP地址向目标站点发起访问请求,获得目标站点的网页页面。
本发明的设计核心在于通过一般客户端对钓鱼网站进行检测,检测过程中客户端使用自身而非服务器的IP地址进行页面请求。由于全网客户端的数量十分庞大,钓鱼网站无法对所有客户端的IP地址进行有效统计,因此通过客户端对目标站点发起访问请求可以有效获取目标站点的网页页面。
103、根据服务器预配置的识别规则,客户端对获得的网页页面进行检测。
本实施例中,检测钓鱼网站的工作由服务器“转交”给网络中的普通客户端,由于一般客户端不具有网站安全检测的功能或机制,因此,这部分检测的功能需要服务器进行预配置。在步骤101中,服务器在安装或更新客户端时向其下发识别规则,当然也可以在首次下发识别规则之后,下发识别规则的更新包。
根据请求得到的网页页面及服务器下发的识别规则,客户端对网页页面进行检测,根据页面中的特征信息判断该目标站点是否为钓鱼网站。若为钓鱼网站,则客户端将网页页面的链接地址以及特征信息上报给服务器;若为正常网站,则客户端仅向服务器上报目标站点为正常网站的检测结果即可。
104、客户端向服务器上报网页页面的链接地址以及特征信息。
对于钓鱼网站,客户端除上报检测结果外,还需要将页面的链接地址和页面的特征信息上报给服务器,由服务器将其加入到黑名单的特征库中;对于正常网站,客户端仅上报检测结果即可。
实际应用中,服务器可以仅依据一个客户端上报的检测结果对目标站点进行定性,也可以对不同客户端针对同一目标站点的检测结果进行汇总统计,再根据统计结果对目标站点进行定性,本实施例对此不作限制。
本实施例提供的钓鱼网站的检测方法,能够基于服务器的指示及识别规则,由全网任意一个或多个客户端自行对目标站点的网页页面进行访问和检测,并由服务器对客户端的检测结果进行回收。由于全网用户数量庞大并且在访问时间上不具有规律性,因此对钓鱼网站的访问具有极强的不确定性因素,使得钓鱼网站无从对用户客户端的IP地址进行统计和屏蔽。更为重要的是,钓鱼网站是以普通网络用户为诈骗对象的,如果对网络用户的客户端进行IP地址屏蔽,则钓鱼网站将无法以页面访问为基础实施信息窃取。基于该机制,本实施例将客户端用作钓鱼网站的检测设备,与现有技术相比,能够防止检测设备的IP地址被钓鱼网站所屏蔽,从而保证检测的有效性及准确性。
进一步的,作为对图1所示方法的细化及扩展,本发明另一实施例还给出了一种钓鱼网站的检测方法。如图2所示,该方法包括:
201、服务器向客户端下发检测插件。
本实施例中,服务器通过插件的形式向客户端下发检测指示。该检测指示中携带有检测时间信息以及识别规则。
其中,检测时间信息规定了检测检测目标站点的时机,例如每隔一小时或一天进行一次检测,或者在收到插件后的12小时内完成检测等。当检测时间信息为“now”时,客户端在接收到检测时间信息后立即进行检测;当检测时间信息为“none”时,客户端在用户访问目标站点时进行检测。
进一步的,当检测时间信息为“history”时,客户端还可以对用户访问过的所有历史站点进行统一检测。
本实施例中检测时间信息的具体内容仅为示例性说明,不作为对实际应用的限定。
202、客户端根据检测时间信息向目标站点发起访问请求,获得目标站点的网页页面。
根据检测时间信息,客户端选择在预定时刻或时段上对目标站点的网页页面进行检测,或者选择在向目标站点发起访问请求时对目标站点的网页页面进行检测。页面访问的具体流程与现有技术相同,本实施例对此不作详细介绍。
203、客户端根据识别规则对获得的网页页面进行检测。
客户端在获得目标站点的网页页面后,对页面的属性信息和/或页面内容进行提取,然后将提取出的数据与识别规则进行匹配。如果匹配成功,则客户端确定目标站点为钓鱼网站,反之则确定目标站点为正常网站。
在本实施例的一个应用场景中,页面的属性信息主要为能够对目标站点进行唯一标识的信息。在一种可能的实现方式中,可以将目标站点的域名作为属性信息使用,但是考虑到钓鱼网站的域名一般与其“模仿”的正常站点的域名相同,因此将目标站点的页面链接地址(例如URL)和/或目标站点服务器的IP地址作为属性信息使用更佳。
实际应用中,为混淆用户的视听,钓鱼网站通常会效仿正常网站的页面内容,而被效仿的正常网站通常为金融类或在线支付类网站,其页面内容具有较高的专指度(例如“中奖”、“兼职”等),因此客户端可以对目标站点的页面内容进行检测。具体的,在上述场景中,客户端检测的页面内容包括:文字、资源及链接对象。其中,资源又进一步可以是图片、流媒体内容或Flash窗口;连接对象主要包括超链接页面及链接下载地址等。通过对获取的页面内容与识别规则中预定的命中内容的比对,客户端完成对目标站点的检测。
需要说明的是,通常钓鱼网站只有一个首页面,极少如正规网站一样具有庞大复杂的页面链接结构,如果目标站点只有少数几级超链接,或者一级超链接都没有,则可以断定该网站为钓鱼网站(至少可以确定不为正常网站),因此客户端可以通过检测网页页面是否有下级链接对象,或检测下级链接对象内容是否与首页内容相关等方式对钓鱼网站进行检测。
实际应用中,客户端可以对页面内容中的一项进行比对,也可以以多项页面内容的组合进行多维度比对;进一步的,客户端还可以将属性信息和页面内容进行组合比对,本实施例不对具体的比对方式进行限制。
再进一步的,为提高站点检测的准确性,客户端还可以对获取的网页页面的整体布局进行检测。具体的,在请求到网页页面后,客户端通过浏览器获取页面的层叠样式表(Cascading Style Sheets,简称CSS)的程序代码。通过对该程序代码的分析,对页面的图文布局框架进行识别(例如某特定图片在页面中的大小及位置)。
204、客户端向服务器上报网页页面的链接地址以及特征信息。
经过比对后,对于命中识别规则的内容,客户端将其作为用于表征目标站点为钓鱼网站的特征信息,连同网页页面的链接地址上报给服务器进行统计。本实施例中,命中识别规则的内容包括上述命中的属性信息和页面内容。客户端可以向服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
进一步的,为提高检测准确率,还可以在客户端侧增加统计机制。客户端除检测并上报属性信息及页面内容外,还可以对特征信息的命中次数进行记录和上报,原则上,命中次数越多,目标站点为钓鱼网站的可能性越大。
本实施例中所谓的命中次数包含两层含义:其一,客户端在多次检测过程中,将同一目标站点确定为钓鱼网站的次数;其二,同一页面内容(例如关键词“一等奖”)在网页页面及其链接页面中出现的次数。
进一步的,为便于服务器对属性信息或页面内容的分类统计,客户端还可以以预定的编码符号替代特征信息进行上报。具体的,客户端可以根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符,并向服务器上报转换后的编码字符。本实施例中,客户端侧的编码规则需要与服务器侧的解码规则相一致,例如对于关键词“中奖”,需要保障客户端与服务器两侧均规定其对应的编码字符为“asd”。
在本实施例的一种实现方式中,可以以数字编号代替特征信息。如图3所示,不同关键词对应不同编号,在上报特征信息时,客户端仅上报关键词编号及其命中次数即可。
本实施例提供的特征信息编码的方式,除了便于服务器侧对特征信息进行分类统计外,还可以减少客户端与服务器之间的数据传输量,降低网络负荷压力。同时,对具体的特征信息进行编码也可以有效防止钓鱼网站对特征信息的截获。
205、服务器指示客户端动态配置IP地址。
进一步的,钓鱼网站虽然无法准确判断某个IP地址属于安全服务器的IP地址还是普通客户端的IP地址,但是实际应用中,钓鱼网站可以对某个IP地址的访问次数进行统计。如果某一客户端对钓鱼网站进行多次访问和检测,当钓鱼网站基于统计数据识别到该IP地址的访问次数过多时,也存在屏蔽客户端IP地址的可能。为避免此种情况的发生,在本实施例中,服务器还可以定期指示客户端动态配置自身的IP地址,例如按照预设周期(例如一天或一周)更换一次IP地址,或者在完成目标站点的检测后更换IP地址等。客户端可以通过但不限于动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)对IP地址进行分配,本实施例对此不作过多介绍。
再进一步的,为减少客户端对同一目标站点多次检测所产生的资源开销,服务器还可以为客户端配置具体检测次数,当客户端针对同一目标站点的检测次数达到该配置次数时,或者在客户端首次检测到某目标站点为钓鱼网站之后,若后续再到达检测时刻/时段,或者用户再次访问目标站点,则客户端将不再对该目标站点进行页面请求和检测。需要说明的是,该种机制除了能够有效降低客户端的资源开销外,还能够进一步避免因请求过多而导致的遭受钓鱼网站封境的问题,与前述动态分配IP地址的机制相结合,可以有效防止客户端IP被屏蔽的问题。
在本实施例的一种应用场景中,服务器可以基于全网用户上报的举报信息对“可疑”网站进行预统计,然后将这些网站的链接地址发送给用于检测钓鱼网站的客户端,由客户端对其进行定向检测。例如,对于网站A,服务器统计的全网举报次数为1340次,超过预设的1000次的阈值。服务器可以将网站A的URL发送给多个客户端,由每个客户端分别针对网站A进行页面请求及检测,然后服务器统计各个客户端的检测结果。当超过半数的客户端认定网站A为钓鱼网站时,服务器将网站A确定为钓鱼网站,加入到黑名单中,并进行网络公布。
进一步的,为保证网站检测的准确性,防止误检、漏检情况的发生,在客户端上报检测结果之后,服务器还可以对客户端认定为钓鱼网站的站点进行二次检测,或者,也可以对客户端认定为正常网站的站点进行二次检测。具体的,如图4所示,在执行完图1步骤104/步骤105,或者执行完图2步骤204之后,上述方法还包括:
401、基于链接地址以及特征信息,服务器对目标站点进行二次检测,获得检测结果。
以对客户端认定为钓鱼网站的站点进行二次检测为例,在获得客户端上报的链接地址以及特征信息后,服务器对目标站点进行二次检测。
本实施例中,服务器对目标站点进行二次检测,包括从下述至少一个维度进行检测:
1、IP地址,服务器可以基于边界路由协议(Border Gateway Protocol,简称BGP)对目标站点的IP地址进行检测,判断其是否为合法地址。
2、URL,与IP地址类似的,服务器可以在本地或第三方黑名单库中查找是否记录有目标站点的URL,如果查找到,则认定目标站点为钓鱼网站。
3、whois信息,服务器可以向第三方权威机构请求查询目标站点的whois信息,查询目标站点的域名是否已注册、注册时间、注册是否有效、域名所有人、域名注册商等信息,并以此进行判断。
4、站点属性信息,服务器可以通过查询目标站点属性信息的合法性的方式,对目标站点进行检测。
5、域名解析记录,通过对域名解析记录的分析,可以判断是否存在钓鱼网站。例如对于域名“www.baidu.com”如果域名解析到百度的URL链接,则确定目标站点为合法网站,如果解析到其他异常的URL,则确定目标站点为钓鱼网站。
6、全网统计信息,当通过多个客户端对同一目标站点进行检测时,如果超过预设数量或比例的客户端上报该目标站点为钓鱼网站,则服务器认定该目标站点为钓鱼网站。此外,全网统计信息还包括:获取网络用户对该目标站点的举报记录,根据举报次数/频率/比例,确定该目标站点是否为钓鱼网站。
7、反向检测历史信息,与方式6相反,目标站点没有或很少被客户端检测为钓鱼网站,或者没有或很少用户举报其为钓鱼网站,则服务器认定该目标站点不为钓鱼网站。
8、第三方权威网站备案信息,服务器可以向域名管理机构、注册服务机构发送查询请求,对目标站点进行网络内容服务商(Internet Content Provider,简称ICP)备案查询,或进行网站身份诚信认证查询。
9、安全证书信息,服务器可以向第三方机构请求查询目标站点的安全证书,目前大型的电子商务网站都应用了可信证书类产品,这类的网站网址都是以“http”或“https”打头的,如果发现不是以“http”或“https”开头,则服务器将该目标站点认定为钓鱼网站。
除此之外,服务器也可以基于目标站点的特征信息对网页页面的页面内容进行检测,检测方式与客户端对页面内容的检测方式相同,此处不再赘述。
需要说明的是,本实施例中,二次检测所需的站点信息(IP、URL、特征信息等)是由客户端向目标站点请求获取的,并上报给服务器使用,,而非是服务器通过自身IP地址直接向目标站点请求获得,因此,即使服务器的IP地址被钓鱼网站屏蔽也不影响服务器的二次检测。
402、服务器对检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理。
例如当某目标站点中检测到关键词“一等奖”时,服务器自动将该关键词与黑名单中的样本关键词“中奖”进行聚类,即将两者进行关联;当目标站点中还存在关键词“5000元”时,服务器进一步将关键词“一等奖”与样本关键词“中奖”进行关联,增强两者之间的关联性。由此将“中奖诈骗类”的钓鱼网站集中在一起,同时扩展更新服务器侧的样本关键词。
需要说明的是,本实施例中,对目标站点的匹配是基于聚类方式实现的。与分类方式不同,聚类没有对不同目标站点进行区分的明确标准(例如关键词),因此,聚类方式需要基于预设的机器模型对不同站点的关键词不断的进行分析和学习,随着聚类过程的发展,站点的类别主题可能也会发生变化。
403、服务器根据聚类的相似度判断目标站点是否确为钓鱼网站。
服务器通过机器学习获得目标站点与预设样本数据之间的相似度,并根据该相似度判断目标站点是否确为钓鱼网站。例如,当网页页面中的关键词为“一等奖”、样本关键词为“中奖”时,服务器通过语义分析判断两者实质相同,目标站点为钓鱼网站。
进一步的,作为对上述各方法实施例的实现,本发明另一实施例还提供了一种钓鱼网站的检测装置。该装置位于安全服务提供商侧的服务器中,或者独立于服务器但是与服务器之间具有数据交互关系,用以实现上述图1、2及4所示的方法。如图5所示,该装置包括:指示单元51、配置单元52及接收单元53;其中,
指示单元51,用于指示任意客户端对目标站点的网页页面进行检测;
配置单元52,用于对客户端配置识别规则,以便客户端对获得的网页页面进行检测;
接收单元53,用于当客户端的检测结果为目标站点为钓鱼网站时,接收客户端上报的网页页面的链接地址以及特征信息。
进一步的,指示单元51用于向客户端下发检测插件,检测插件中携带有检测时间信息以及识别规则,以便客户端根据检测时间信息,选择在预定时刻或时段上对目标站点的网页页面进行检测,或者客户端选择在向目标站点发起访问请求时对目标站点的网页页面进行检测。
进一步的,接收单元53用于接收客户端上报的匹配成功的属性信息和/或匹配成功的页面内容。
进一步的,接收单元53还用于:接收客户端上报的特征信息的命中次数。
进一步的,接收单元53用于接收客户端上报的转码后的特征信息。
进一步的,指示单元51用于指示客户端动态配置网间协议IP地址。
进一步的,如图6所示,该装置进一步包括:
检测单元54,用于在接收客户端上报的网页页面的链接地址以及特征信息之后,基于链接地址以及特征信息对目标站点进行二次检测,获得检测结果,对检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理,根据聚类的相似度判断目标站点是否确为钓鱼网站。
进一步的,检测单元54用于从下述至少一个维度进行检测:
IP地址、URL、whois信息、站点属性信息、域名解析记录、全网统计信息、反向检测历史信息、第三方权威网站备案信息及安全证书信息。
进一步的,作为对上述各方法实施例的实现,本发明另一实施例还提供了一种钓鱼网站的检测装置。该装置位于客户端中,或者独立于客户端但是与客户端之间具有数据交互关系,用以实现上述图1、2及4所示的方法。如图7所示,该装置包括:获取单元71、检测单元72以及发送单元73;其中,
获取单元71,用于根据服务器的指示,通过自身的网间协议IP地址向目标站点发起访问请求,获得目标站点的网页页面;
检测单元72,用于根据服务器预配置的识别规则,对获取单元71获取的获得的网页页面进行检测;
发送单元73,用于当检测单元72的检测结果为目标站点为钓鱼网站时,向服务器上报网页页面的链接地址以及特征信息。
进一步的,如图8所示,该装置进一步包括:
接收单元74,用于接收服务器下发的检测插件,检测插件中携带有检测时间信息以及识别规则;
检测单元72,用于根据接收单元74接收的检测时间信息选择在预定时刻或时段上对目标站点的网页页面进行检测;
检测单元72,还用于根据接收单元74接收的检测时间信息选择在向目标站点发起访问请求时对目标站点的网页页面进行检测。
进一步的,如图8所示,检测单元72,包括:
提取模块721,用于对网页页面的属性信息和/或页面内容进行提取;
匹配模块722,用于将提取模块721提取出的数据与识别规则进行匹配;
确定模块723,用于当匹配模块722匹配成功时,确定目标站点为钓鱼网站。
进一步的,提取模块721提取的属性信息包括:页面链接地址及目标站点服务器的IP地址;
提取模块721提取的页面内容包括:文字、资源及链接对象。
进一步的,发送单元73,用于:向服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
进一步的,发送单元73,用于:向服务器上报特征信息的命中次数。
进一步的,发送单元73,用于:根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符;
向服务器上报转换后的编码字符。
进一步的,如图8所示,该装置进一步包括:
配置单元75,用于根据服务器的指示动态配置IP地址。
本发明两实施例提供的钓鱼网站的检测装置,能够基于服务器的指示及识别规则,由全网任意一个或多个客户端自行对目标站点的网页页面进行访问和检测,并由服务器对客户端的检测结果进行回收。由于全网用户数量庞大并且在访问时间上不具有规律性,因此对钓鱼网站的访问具有极强的不确定性因素,使得钓鱼网站无从对用户客户端的IP地址进行统计和屏蔽。更为重要的是,钓鱼网站是以普通网络用户为诈骗对象的,如果对网络用户的客户端进行IP地址屏蔽,则钓鱼网站将无法以页面访问为基础实施信息窃取。基于该机制,将客户端用作钓鱼网站的检测设备,与现有技术相比,能够防止检测设备的IP地址被钓鱼网站所屏蔽,从而保证检测的有效性及准确性。
进一步的,本发明的最后一个实施例还提供了一种钓鱼网站的检测系统,用以实现图1、2及4所示的方法。如图9所示,该系统包括服务器91和客户端92,其中:
服务器91包括如前述图5或图6所示的装置;
客户端92包括如前述图7或图8所示的装置。
本实施例提供的钓鱼网站的检测系统,能够基于服务器的指示及识别规则,由全网任意一个或多个客户端自行对目标站点的网页页面进行访问和检测,并由服务器对客户端的检测结果进行回收。由于全网用户数量庞大并且在访问时间上不具有规律性,因此对钓鱼网站的访问具有极强的不确定性因素,使得钓鱼网站无从对用户客户端的IP地址进行统计和屏蔽。更为重要的是,钓鱼网站是以普通网络用户为诈骗对象的,如果对网络用户的客户端进行IP地址屏蔽,则钓鱼网站将无法以页面访问为基础实施信息窃取。基于该机制,将客户端用作钓鱼网站的检测设备,与现有技术相比,能够防止检测设备的IP地址被钓鱼网站所屏蔽,从而保证检测的有效性及准确性。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
本发明的实施例公开了:
A1、一种钓鱼网站的检测方法,其特征在于,所述方法包括:
服务器指示任意客户端对目标站点的网页页面进行检测;
所述客户端通过自身的网间协议IP地址向所述目标站点发起访问请求,获得所述目标站点的网页页面;
根据所述服务器预配置的识别规则,所述客户端对获得的所述网页页面进行检测;
若检测结果为所述目标站点为钓鱼网站,则所述客户端向所述服务器上报所述网页页面的链接地址以及特征信息。
A2、根据权利要求A1所述的方法,其特征在于,所述服务器指示任意客户端对目标站点的网页页面进行检测,包括:
所述服务器向所述客户端下发检测插件,所述检测插件中携带有检测时间信息以及所述识别规则;
根据所述检测时间信息,所述客户端选择在预定时刻或时段上对所述目标站点的网页页面进行检测,或者所述客户端选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
A3、根据权利要求A2所述的方法,其特征在于,所述客户端对获得的所述网页页面进行检测,包括:
对所述网页页面的属性信息和/或页面内容进行提取;
将提取出的数据与所述识别规则进行匹配;
若匹配成功,则确定所述目标站点为钓鱼网站。
A4、根据权利要求A3所述的方法,其特征在于,所述属性信息包括:页面链接地址及目标站点服务器的IP地址;
所述页面内容包括:文字、资源及链接对象。
A5、根据权利要求A4所述的方法,其特征在于,所述客户端向所述服务器上报所述网页页面的特征信息,包括:
向所述服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
A6、根据权利要求A5所述的方法,其特征在于,所述方法进一步包括:
所述客户端向所述服务器上报所述特征信息的命中次数。
A7、根据权利要求A6所述的方法,其特征在于,所述述客户端向所述服务器上报所述网页页面的特征信息,包括:
所述客户端根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符;
所述客户端向所述服务器上报转换后的编码字符。
A8、根据权利要求A1至A7中任一项所述的方法,其特征在于,所述方法进一步包括:
所述服务器指示所述客户端动态配置IP地址。
A9、根据权利要求A1所述的方法,其特征在于,在所述客户端向所述服务器上报所述网页页面的链接地址以及特征信息之后,所述方法进一步包括:
基于所述链接地址以及所述特征信息,所述服务器对所述目标站点进行二次检测,获得检测结果;
对所述检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理;
根据聚类的相似度判断所述目标站点是否确为钓鱼网站。
A10、根据权利要求A9所述的方法,其特征在于,所述服务器对所述目标站点进行二次检测,包括从下述至少一个维度进行检测:
IP地址、统一资源定位符URL、whois信息、站点属性信息、域名解析记录、全网统计信息、反向检测历史信息、第三方权威网站备案信息及安全证书信息。
B11、一种钓鱼网站的检测装置,其特征在于,所述装置包括:
指示单元,用于指示任意客户端对目标站点的网页页面进行检测;
配置单元,用于对所述客户端配置识别规则,以便所述客户端对获得的所述网页页面进行检测;
接收单元,用于当所述客户端的检测结果为所述目标站点为钓鱼网站时,接收所述客户端上报的所述网页页面的链接地址以及特征信息。
B12、根据权利要求B11所述的装置,其特征在于,所述指示单元用于向所述客户端下发检测插件,所述检测插件中携带有检测时间信息以及所述识别规则,以便所述客户端根据所述检测时间信息,选择在预定时刻或时段上对所述目标站点的网页页面进行检测,或者所述客户端选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
B13、根据权利要求B12所述的装置,其特征在于,所述接收单元用于接收所述客户端上报的匹配成功的属性信息和/或匹配成功的页面内容。
B14、根据权利要求13所述的装置,其特征在于,所述接收单元还用于:接收所述客户端上报的所述特征信息的命中次数。
B15、根据权利要求B14所述的装置,其特征在于,所述接收单元用于接收所述客户端上报的转码后的特征信息。
B16、根据权利要求B11至B15中任一项所述的装置,其特征在于,所述指示单元用于指示所述客户端动态配置网间协议IP地址。
B17、根据权利要求B11所述的装置,其特征在于,所述装置进一步包括:
检测单元,用于在接收所述客户端上报的所述网页页面的链接地址以及特征信息之后,基于所述链接地址以及所述特征信息对所述目标站点进行二次检测,获得检测结果,对所述检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理,根据聚类的相似度判断所述目标站点是否确为钓鱼网站。
B18、根据权利要求B17所述的装置,其特征在于,所述检测单元用于从下述至少一个维度进行检测:
IP地址、统一资源定位符URL、whois信息、站点属性信息、域名解析记录、全网统计信息、反向检测历史信息、第三方权威网站备案信息及安全证书信息。
C19、一种钓鱼网站的检测装置,其特征在于,所述装置包括:
获取单元,用于根据服务器的指示,通过自身的网间协议IP地址向所述目标站点发起访问请求,获得所述目标站点的网页页面;
检测单元,用于根据所述服务器预配置的识别规则,对所述获取单元获取的获得的所述网页页面进行检测;
发送单元,用于当所述检测单元的检测结果为所述目标站点为钓鱼网站时,向所述服务器上报所述网页页面的链接地址以及特征信息。
C20、根据权利要求C19所述的装置,其特征在于,所述装置进一步包括:
接收单元,用于接收所述服务器下发的检测插件,所述检测插件中携带有检测时间信息以及所述识别规则;
所述检测单元,用于根据所述接收单元接收的所述检测时间信息选择在预定时刻或时段上对所述目标站点的网页页面进行检测;
所述检测单元,还用于根据所述接收单元接收的所述检测时间信息选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
C21、根据权利要求C20所述的装置,其特征在于,所述检测单元,包括:
提取模块,用于对所述网页页面的属性信息和/或页面内容进行提取;
匹配模块,用于将所述提取模块提取出的数据与所述识别规则进行匹配;
确定模块,用于当所述匹配模块匹配成功时,确定所述目标站点为钓鱼网站。
C22、根据权利要求C21所述的装置,其特征在于,所述提取模块提取的所述属性信息包括:页面链接地址及目标站点服务器的IP地址;
所述提取模块提取的所述页面内容包括:文字、资源及链接对象。
C23、根据权利要求C22所述的装置,其特征在于,所述发送单元,用于:向所述服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
C24、根据权利要求C23所述的装置,其特征在于,所述发送单元,用于:向所述服务器上报所述特征信息的命中次数。
C25、根据权利要求C24所述的装置,其特征在于,所述发送单元,用于:根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符;
向所述服务器上报转换后的编码字符。
C26、根据权利要求C19至C25中任一项所述的装置,其特征在于,所述装置进一步包括:
配置单元,用于根据所述服务器的指示动态配置IP地址。
D27、一种钓鱼网站的检测系统,其特征在于,所述系统包括服务器和客户端,其中:
所述服务器包括如前述权利要求B11至B18中任一项所述的装置;
所述客户端包括如前述权利要求C19至C26中任一项所述的装置。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

Claims (24)

1.一种钓鱼网站的检测方法,其特征在于,所述方法包括:
服务器指示任意客户端对目标站点的网页页面进行检测;
所述服务器指示所述客户端动态配置IP地址;
所述客户端通过自身的网间协议IP地址向所述目标站点发起访问请求,获得所述目标站点的网页页面;
根据所述服务器预配置的识别规则,所述客户端对获得的所述网页页面进行检测;
若检测结果为所述目标站点为钓鱼网站,则所述客户端向所述服务器上报所述网页页面的链接地址以及特征信息。
2.根据权利要求1所述的方法,其特征在于,所述服务器指示任意客户端对目标站点的网页页面进行检测,包括:
所述服务器向所述客户端下发检测插件,所述检测插件中携带有检测时间信息以及所述识别规则;
根据所述检测时间信息,所述客户端选择在预定时刻或时段上对所述目标站点的网页页面进行检测,或者所述客户端选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
3.根据权利要求2所述的方法,其特征在于,所述客户端对获得的所述网页页面进行检测,包括:
对所述网页页面的属性信息和/或页面内容进行提取;
将提取出的数据与所述识别规则进行匹配;
若匹配成功,则确定所述目标站点为钓鱼网站。
4.根据权利要求3所述的方法,其特征在于,所述属性信息包括:页面链接地址及目标站点服务器的IP地址;
所述页面内容包括:文字、资源及链接对象。
5.根据权利要求4所述的方法,其特征在于,所述客户端向所述服务器上报所述网页页面的特征信息,包括:
向所述服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
6.根据权利要求5所述的方法,其特征在于,所述方法进一步包括:
所述客户端向所述服务器上报所述特征信息的命中次数。
7.根据权利要求6所述的方法,其特征在于,所述述客户端向所述服务器上报所述网页页面的特征信息,包括:
所述客户端根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符;
所述客户端向所述服务器上报转换后的编码字符。
8.根据权利要求1所述的方法,其特征在于,在所述客户端向所述服务器上报所述网页页面的链接地址以及特征信息之后,所述方法进一步包括:
基于所述链接地址以及所述特征信息,所述服务器对所述目标站点进行二次检测,获得检测结果;
对所述检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理;
根据聚类的相似度判断所述目标站点是否确为钓鱼网站。
9.根据权利要求8所述的方法,其特征在于,所述服务器对所述目标站点进行二次检测,包括从下述至少一个维度进行检测:
IP地址、统一资源定位符URL、whois信息、站点属性信息、域名解析记录、全网统计信息、反向检测历史信息、第三方权威网站备案信息及安全证书信息。
10.一种钓鱼网站的检测装置,其特征在于,所述装置包括:
指示单元,用于指示任意客户端对目标站点的网页页面进行检测;
所述指示单元,还用于指示所述客户端动态配置网间协议IP地址;
配置单元,用于对所述客户端配置识别规则,以便所述客户端对获得的所述网页页面进行检测;
接收单元,用于当所述客户端的检测结果为所述目标站点为钓鱼网站时,接收所述客户端上报的所述网页页面的链接地址以及特征信息。
11.根据权利要求10所述的装置,其特征在于,所述指示单元用于向所述客户端下发检测插件,所述检测插件中携带有检测时间信息以及所述识别规则,以便所述客户端根据所述检测时间信息,选择在预定时刻或时段上对所述目标站点的网页页面进行检测,或者所述客户端选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
12.根据权利要求11所述的装置,其特征在于,所述接收单元用于接收所述客户端上报的匹配成功的属性信息和/或匹配成功的页面内容。
13.根据权利要求12所述的装置,其特征在于,所述接收单元还用于:接收所述客户端上报的所述特征信息的命中次数。
14.根据权利要求13所述的装置,其特征在于,所述接收单元用于接收所述客户端上报的转码后的特征信息。
15.根据权利要求10所述的装置,其特征在于,所述装置进一步包括:
检测单元,用于在接收所述客户端上报的所述网页页面的链接地址以及特征信息之后,基于所述链接地址以及所述特征信息对所述目标站点进行二次检测,获得检测结果,对所述检测结果建立特征向量,并与黑名单中的样本数据进行聚类处理,根据聚类的相似度判断所述目标站点是否确为钓鱼网站。
16.根据权利要求15所述的装置,其特征在于,所述检测单元用于从下述至少一个维度进行检测:
IP地址、统一资源定位符URL、whois信息、站点属性信息、域名解析记录、全网统计信息、反向检测历史信息、第三方权威网站备案信息及安全证书信息。
17.一种钓鱼网站的检测装置,其特征在于,所述装置包括:
配置单元,用于根据服务器的指示动态配置IP地址;
获取单元,用于根据服务器的指示,通过自身的网间协议IP地址向目标站点发起访问请求,获得所述目标站点的网页页面;
检测单元,用于根据所述服务器预配置的识别规则,对所述获取单元获取的获得的所述网页页面进行检测;
发送单元,用于当所述检测单元的检测结果为所述目标站点为钓鱼网站时,向所述服务器上报所述网页页面的链接地址以及特征信息。
18.根据权利要求17所述的装置,其特征在于,所述装置进一步包括:
接收单元,用于接收所述服务器下发的检测插件,所述检测插件中携带有检测时间信息以及所述识别规则;
所述检测单元,用于根据所述接收单元接收的所述检测时间信息选择在预定时刻或时段上对所述目标站点的网页页面进行检测;
所述检测单元,还用于根据所述接收单元接收的所述检测时间信息选择在向所述目标站点发起访问请求时对所述目标站点的网页页面进行检测。
19.根据权利要求18所述的装置,其特征在于,所述检测单元,包括:
提取模块,用于对所述网页页面的属性信息和/或页面内容进行提取;
匹配模块,用于将所述提取模块提取出的数据与所述识别规则进行匹配;
确定模块,用于当所述匹配模块匹配成功时,确定所述目标站点为钓鱼网站。
20.根据权利要求19所述的装置,其特征在于,所述提取模块提取的所述属性信息包括:页面链接地址及目标站点服务器的IP地址;
所述提取模块提取的所述页面内容包括:文字、资源及链接对象。
21.根据权利要求20所述的装置,其特征在于,所述发送单元,用于:向所述服务器上报匹配成功的属性信息和/或匹配成功的页面内容。
22.根据权利要求21所述的装置,其特征在于,所述发送单元,用于:向所述服务器上报所述特征信息的命中次数。
23.根据权利要求22所述的装置,其特征在于,所述发送单元,用于:根据预设的映射关系表,将明文形式的特征信息转换为预定形式的编码字符;
向所述服务器上报转换后的编码字符。
24.一种钓鱼网站的检测系统,其特征在于,所述系统包括服务器和客户端,其中:
所述服务器包括如前述权利要求10至16中任一项所述的装置;
所述客户端包括如前述权利要求17至23中任一项所述的装置。
CN201510374880.3A 2015-06-30 2015-06-30 钓鱼网站的检测方法、装置及系统 Active CN104935605B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510374880.3A CN104935605B (zh) 2015-06-30 2015-06-30 钓鱼网站的检测方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510374880.3A CN104935605B (zh) 2015-06-30 2015-06-30 钓鱼网站的检测方法、装置及系统

Publications (2)

Publication Number Publication Date
CN104935605A CN104935605A (zh) 2015-09-23
CN104935605B true CN104935605B (zh) 2018-05-04

Family

ID=54122577

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510374880.3A Active CN104935605B (zh) 2015-06-30 2015-06-30 钓鱼网站的检测方法、装置及系统

Country Status (1)

Country Link
CN (1) CN104935605B (zh)

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105245550B (zh) * 2015-10-29 2019-01-22 广州酷狗计算机科技有限公司 域名劫持判定方法和装置
CN108270754B (zh) * 2017-01-03 2021-08-06 中国移动通信有限公司研究院 一种钓鱼网站的检测方法及装置
CN109388655A (zh) * 2017-08-07 2019-02-26 北京京东尚科信息技术有限公司 一种动态控制数据访问的方法和装置
CN107798235B (zh) * 2017-10-30 2020-01-10 清华大学 基于one-hot编码机制的无监督异常访问检测方法及装置
CN108156165A (zh) * 2017-12-28 2018-06-12 北京奇虎科技有限公司 一种误报检测的方法以及系统
CN110413866B (zh) * 2018-04-27 2024-02-02 北京搜狗科技发展有限公司 数据处理方法和装置、用于数据处理的装置
CN108600054B (zh) * 2018-05-10 2020-11-20 中国互联网络信息中心 一种基于域名区文件的网站数量判定方法和系统
CN110929129B (zh) * 2018-08-31 2023-12-26 阿里巴巴集团控股有限公司 一种信息检测方法、设备及机器可读存储介质
CN109388951B (zh) * 2018-10-30 2021-10-15 郑州市景安网络科技股份有限公司 一种非法信息的处理方法、装置、设备及可读存储介质
CN110035075A (zh) * 2019-04-03 2019-07-19 北京奇安信科技有限公司 钓鱼网站的检测方法、装置、计算机设备及存储介质
CN113542185B (zh) * 2020-04-13 2024-05-21 北京沃东天骏信息技术有限公司 页面防劫持的方法、装置、电子设备和存储介质
CN114760124B (zh) * 2022-04-07 2022-10-04 呀邦管理科技(北京)有限责任公司 一种基于大数据的计算机网络安全智能分析系统及方法
CN116644250B (zh) * 2023-07-27 2023-10-20 太平金融科技服务(上海)有限公司 页面检测方法、装置、计算机设备和存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663062A (zh) * 2012-03-30 2012-09-12 奇智软件(北京)有限公司 一种处理搜索结果中无效链接的方法及装置
CN103685307A (zh) * 2013-12-25 2014-03-26 北京奇虎科技有限公司 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器
CN104077396A (zh) * 2014-07-01 2014-10-01 清华大学深圳研究生院 一种钓鱼网站检测方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102663062A (zh) * 2012-03-30 2012-09-12 奇智软件(北京)有限公司 一种处理搜索结果中无效链接的方法及装置
CN103685307A (zh) * 2013-12-25 2014-03-26 北京奇虎科技有限公司 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器
CN104077396A (zh) * 2014-07-01 2014-10-01 清华大学深圳研究生院 一种钓鱼网站检测方法及装置

Also Published As

Publication number Publication date
CN104935605A (zh) 2015-09-23

Similar Documents

Publication Publication Date Title
CN104935605B (zh) 钓鱼网站的检测方法、装置及系统
US11176573B2 (en) Authenticating users for accurate online audience measurement
US20200396252A1 (en) Systems and methods for identifying phishing websites
US10721245B2 (en) Method and device for automatically verifying security event
US20100154055A1 (en) Prefix Domain Matching for Anti-Phishing Pattern Matching
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
CN105357221A (zh) 识别钓鱼网站的方法及装置
CN106789939A (zh) 一种钓鱼网站检测方法和装置
CN111786966A (zh) 浏览网页的方法和装置
CN108023868B (zh) 恶意资源地址检测方法和装置
CN107332804B (zh) 网页漏洞的检测方法及装置
CN106713318B (zh) 一种web站点安全防护方法及系统
CN111756724A (zh) 钓鱼网站的检测方法、装置、设备、计算机可读存储介质
CN102664872B (zh) 用于检测和防止对计算机网络中服务器攻击的方法
CN105635064B (zh) Csrf攻击检测方法及装置
CN108156270B (zh) 域名请求处理方法和装置
CN105407186A (zh) 获取子域名的方法和装置
US20210006592A1 (en) Phishing Detection based on Interaction with End User
WO2017063274A1 (zh) 一种恶意跳转及恶意嵌套类不良网站的自动判定方法
CN111147625B (zh) 获取本机外网ip地址的方法、装置及存储介质
CN112751804B (zh) 一种仿冒域名的识别方法、装置和设备
CN108270754B (zh) 一种钓鱼网站的检测方法及装置
CN113794731B (zh) 识别基于cdn流量伪装攻击的方法、装置、设备和介质
CN104468862B (zh) 一种ip地址绑定的方法、装置及系统
CN110719263B (zh) 多租户dns安全管理方法、装置及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220727

Address after: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, Binhai New Area, Tianjin

Patentee after: 3600 Technology Group Co.,Ltd.

Address before: 100088 room 112, block D, 28 new street, new street, Xicheng District, Beijing (Desheng Park)

Patentee before: BEIJING QIHOO TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230713

Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: Beijing Hongxiang Technical Service Co.,Ltd.

Address before: 300450 No. 9-3-401, No. 39, Gaoxin 6th Road, Binhai Science Park, Binhai New Area, Tianjin

Patentee before: 3600 Technology Group Co.,Ltd.

CP03 Change of name, title or address

Address after: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee after: Beijing 360 Zhiling Technology Co.,Ltd.

Country or region after: China

Address before: 1765, floor 17, floor 15, building 3, No. 10 Jiuxianqiao Road, Chaoyang District, Beijing 100015

Patentee before: Beijing Hongxiang Technical Service Co.,Ltd.

Country or region before: China