CN104954372A - 一种钓鱼网站的取证与验证方法及系统 - Google Patents
一种钓鱼网站的取证与验证方法及系统 Download PDFInfo
- Publication number
- CN104954372A CN104954372A CN201510323341.7A CN201510323341A CN104954372A CN 104954372 A CN104954372 A CN 104954372A CN 201510323341 A CN201510323341 A CN 201510323341A CN 104954372 A CN104954372 A CN 104954372A
- Authority
- CN
- China
- Prior art keywords
- url
- information
- character string
- page
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 33
- 238000012795 verification Methods 0.000 title claims abstract description 20
- 239000000284 extract Substances 0.000 claims abstract description 14
- 238000000605 extraction Methods 0.000 claims description 30
- 230000000052 comparative effect Effects 0.000 claims 2
- 238000007689 inspection Methods 0.000 claims 1
- 238000004422 calculation algorithm Methods 0.000 description 6
- 238000001514 detection method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 3
- 230000008520 organization Effects 0.000 description 3
- 241000270322 Lepidosauria Species 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000001186 cumulative effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 239000000203 mixture Substances 0.000 description 2
- 230000035899 viability Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000006386 neutralization reaction Methods 0.000 description 1
- 230000000630 rising effect Effects 0.000 description 1
- 239000013598 vector Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种钓鱼网站的取证与验证方法及系统。本方法为:1)取证与验证服务器调用浏览器打开待验证的URL地址,然后该浏览器发送HTTP请求消息给该服务器;2)该服务器从HTTP请求中提取URL字符串信息并截图;3)检查URL字符串信息是否存在于黑/白名单中;如果存在,则输出判断信息;4)提取URL字符串中的关键信息和域名关键信息;5)访问第三方可信资源服务器,提取该URL字符串对应WEB站点的关键信息;6)根据该URL访问WEB页面,提取页面关键信息;7)根据步骤4)~6)所提取的信息,计算得到该URL地址的可信值,将其与设定阈值的比较结果输出验证结果。本发明提高了取证的完整性和验证的效率。
Description
技术领域
本发明涉及计算机网络安全领域,更确切的讲,本发明涉及一种钓鱼网站的取证与验证方法及系统。
背景技术
随着互联网的发展,网络逐渐成为人们工作、学习、和金融交易活动的平台,在给人们工作和生活带来便利的同时,频繁的网络犯罪也伴随而来。网络钓鱼攻击的主要目标是涉及金钱的网站,例如银行网站和证券网站。现在的电子商务、网络购物、网上银行等业务已经深入我们的日常生活,钓鱼攻击对这些网站的攻击,造成了巨大的损失。使得钓鱼攻击成了最严重的网站攻击方法之一。从2005年到今,金融行业所受的钓鱼站点的攻击所占比重在79%之上,有些月份甚至高于89%,并且钓鱼行为的数量和所占比重每月都在升高。
国内的反钓鱼组织对于所掌握的钓鱼站点大部分都来自支撑单位以及各大企业的举报和组织内部的封堵。现有的主流反网络钓鱼技术主要有黑名单、白名单、启发式检测、相似度检测和DOM文档比较等几类。但是,针对金融类网站的检测都存在一些不足:黑名单技术主要应用在URL拦截中和验证,缺点是不能及时更新钓鱼网站名单,具有滞后性,因此漏报率很高,并且消耗巨大的人力资源;基于EMD视觉相似度技术过分依赖采用的相似度检测算法,效率低下,且该方法以钓鱼网站与目标网站具有视觉相似性为前提;基于DOM文档比较的方法过分依赖于网页内部信息元素的识别,使用受到一定的限制。
发明内容
针对上述已有方法存在的问题,本发明公开了一种钓鱼网站的取证与验证方法及系统。
本发明的取证与验证方法具体步骤包括:
(1)钓鱼网站取证:取证与验证服务器调用浏览器打开待验证的URL地址,检查该URL地址的TAB标签的状态,如果为加载完成,则浏览器发送HTTP请求消息给步骤(2),等待响应;如果加载没有完成且轮询x次,浏览器也发送HTTP请求给步骤(2)等待响应。
(2)取证与验证服务器等待浏览器发送的HTTP请求,获取其中POST内容的URL字符串信息,对浏览器所在的窗口进行截屏,保存图片为PNG格式,并给浏览器发送响应信息。截屏的图片即“取证”,是钓鱼网站证据信息的主要部分,截屏中包括了URL的地址和显示的页面信息。
(3)如果浏览器收到步骤(2)中的响应信息,则关闭浏览器,转步骤(4);否则超时后强制关闭浏览器,转到步骤(4)。
(4)检查URL字符串信息是否存在于黑/白名单中。如果是,则输出判断信息,结束算法。否则跳转步骤(5)。
(5)提取URL字符串中的关键信息:主要包括1)URL中是否包含IP地址;2)URL中是否包含非常规端口;即只要常规的服务没有使用其缺省的端口即认为采用了非常规端口;3)URL中是否包括特殊字符;4)URL中域名的级数,即“.”的个数。
(6)提取URL字符串中域名的关键信息:主要包括1)域名的注册商;2)域名的状态;3)域名的注册时间。
(7)访问第三方可信资源服务器,根据URL字符串提取对应WEB站点的关键信息:主要包括1)WEB站点的ICP备案信息;2)WEB站点对应IP地址的地理位置。
(8)根据URL字符串访问WEB页面,提取WEB页面的关键信息:主要包括1)页面的TITLE信息;2)页面的关键词(用于唯一标识页面的关键特征串);3)页面状态码;4)页面超链接的特征;5)页面引用图片资源的特征。
(9)钓鱼网站的验证:根据步骤(5)~(8)的14个特征,参考相应的WHOIS信息库、ICP备案信息库、IP地理定位库和钓鱼网站的特征。对14个特征给出不同的权重,与设定的阈值做比较,输出验证结果。结束算法。
本发明也公开了一种钓鱼网站的取证与验证系统,主要由数据初始化模块、钓鱼网站取证模块、黑/白名单验证模块、URL信息提取模块、域名信息提取模块、WEB站点信息提取模块、WEB页面信息提取模块、和钓鱼网站验证模块8个模块组成。系统运行的具体步骤如下:
(1)数据初始化模块:从配置管理文件中读取系统的配置信息。系统的配置信息包括黑名单列表、白名单列表、WHOIS信息库、ICP备案信息库、IP地理定位库、钓鱼网站的特征权重信息和取证模块HTTP服务的初始化。
(2)钓鱼网站取证模块:该模块收到URL字符串后,调用浏览器打开URL页面,等待浏览器加载网页完成后向取证端口发送HTTP请求,收到请求后对浏览器所在的窗口进行截屏,给浏览器发送响应信息。
在该模块中,浏览器如果没有加载成功,在超时后自动给取证端口发送请求。浏览器在收到响应信息后会关闭浏览器窗口。
由于URL重定向和JavaScript脚本等原因,浏览器发给取证模块的URL字符串和调用浏览器的URL字符串可能不同,采用simhash进行相似性验证,验证通过进行后续的验证处理;如果未通过,证明为广告页面或者重定向网页,不进行后续操作。
(3)黑/白名单验证模块:该模块检查URL字符串信息是否存在于黑/白名单中。如果是,则输出相应的信息。否则转到步骤(4)。
(4)URL信息提取模块:该模块提取URL字符串中的关键信息,主要包括1)URL中是否包含IP地址;2)URL中是否包含非常规端口;3)URL中是否包括特殊字符;4)URL中域名的级数,即“.”的个数。
(5)域名信息提取模块:该模块主要针对域名信息进行提取,主要包括1)域名的注册商;2)域名的状态;3)域名的注册时间。
(6)WEB站点信息提取模块:该模块提取的主要信息包括1)WEB站点的ICP备案信息;2)WEB站点对应IP地址的地理位置。
在该模块中,ICP备案信息通过WEB站点的域名字符串进行查询,备案库来自第三方可信资源;对应的IP地址由WEB站点的域名解析得到,并通过可信的IP地理定位库来确定国家、省份和运营商等信息。
(7)WEB页面信息提取模块:该模块提取HTML页面的关键信息,主要包括1)页面的TITLE信息;2)页面的关键词(用于唯一标识页面的关键特征串);3)页面状态码;4)页面超链接的特征;5)页面引用图片资源的特征。
在该模块中,页面关键词指能在网络空间中唯一标识该页面的关键词(字符串)集合。频率最高的词最有可能成为关键词。(页面TITLE的信息排除在外)。
页面超链接特征指:1)空链接对象,钓鱼网站的空链接比正常网站的此类对象要多;2)指向真实站点的链接,钓鱼网站超链接所指向的对象为真实的可达的情况在整个页面的链接中所占的比例较小,而真实的网站则较高。
页面应用图片资源特征:正常的网站,网页应用的图片资源绝大部分来自站点所在的域,而钓鱼页面则存在相当一部分资源的异常,如与页面的文件在不同的域内。
(8)钓鱼网站验证模块:该模块输出步骤(4)~(7)的14个特征,参考相应的WHOIS信息库、ICP备案信息库、IP地理定位库和目标网站(一般为金融类网站)的特征。对14个特征给出不同的权重,与设定的阈值做比较,输出可参考的验证结果。14个特征也可为人工识别钓鱼网站提供验证依据。
在该模块中,对14个特征的进行数值化处理,转换成布尔表达式的值,依据目标类网站的特征设置不同的权重,通过累加和的方式计算结果,与阈值进行比较得出结论。
与现有技术相比,本发明的积极效果为:
(1)对钓鱼类网站的取证,能对钓鱼网站的页面进行包含URL地址栏的自动截图,提高了取证的完整性和效率。
(2)对钓鱼网站的验证,通过对关键特征的提取,结合第三方可信资源,提供完整而权威的验证信息。
(3)通过多特征的权重的分析,设置针对钓鱼网站的阈值。能够对钓鱼网站的存活性和人工识别钓鱼网站提供依据。提高了验证的性能和准确性。
附图说明
图1为钓鱼网站的取证与验证方法流程图;
图2为钓鱼网站的取证与验证系统模块图;
图3为钓鱼网站的取证与验证系统部署图。
具体实施方式
以下结合附图对本发明的原理和特征进行描述,所举实例只用于解释本发明,并非用于限定本发明的范围。
下面,结合具体的实施例对本发明进行详细说明。
图1给出了金融类钓鱼网站的取证与验证方法流程图。具体实施步骤如下:以工商银行钓鱼网站phishing-gongshang-001为例来阐述。
URL:http://www.iabvu.com/
(1)钓鱼网站取证:调用浏览器打开URL地址,检查当前TAB标签的状态,如果为加载完成,发送HTTP请求消息给步骤(2),等待响应;如果加载没有完成且轮询x(x>=200)次,也发送HTTP请求给步骤(2)等待响应。
在该步骤中,打开浏览器前要分析该URL地址是否为wap端站点,如果是则通过设置User-Agent的信息来仿真手机端浏览器来打开页面。
(2)等待浏览器发送的HTTP请求,获取其中POST内容的URL字符串信息,对浏览器所在的窗口进行截屏,保存图片为PNG格式,取证截图为phishing-gongshang-001;并给浏览器发送响应信息。
该步骤中,POST的内容以JSON格式组织,包括但不限于1)TAB窗口的ID;2)浏览器地址栏中的URL字符串。
phishing-gongshang-001的地址栏中URL字符串为:“www.iabvu.com/WorkSpace.cgi4?uid=810c1ad9152a66f”
(3)如果浏览器收到步骤(2)中的响应信息,则关闭浏览器,转步骤(4);否则超时后强制关闭浏览器,转到步骤(4)。
(4)检查URL字符串信息是否存在于黑/白名单中。如果是,则输出判断信息,结束算法。否则跳转步骤(5)。
在该步骤中,URL与黑白名单中的URL的匹配问题,主要采用布隆过滤器算法来实现。
phishing-gongshang-001的URL字符串不在黑名单和白名单中。
(5)提取URL字符串中的关键信息:主要包括1)URL中是否包含IP地址;2)URL中是否包含非常规端口;3)URL中是否包括特殊字符;4)URL中域名的级数,即“.”的个数。
提取phishing-gongshang-001的URL字符串关键信息:1)不包含IP地址;2)不包含非常规端口;3)不包括特殊字符;4)URL中域名的级数为3。
(6)提取域名的关键信息:主要包括1)域名的WHOIS注册商;2)域名的WHOIS状态;3)域名的注册时间。
提取phishing-gongshang-001的域名关键信息:1)WHOIS注册商'Bizcn.com,Inc.';2)WHOIS状态'clientDeleteProhibited';3)域名注册时间2015-06-08。
(7)提取WEB站点的关键信息:主要包括1)WEB站点的ICP备案信息;2)WEB站点对应IP地址的地理位置。
提取phishing-gongshang-001的WEB站点信息:1)ICP备案信息:'无';2)WEB站点对应IP地址的地理位置:"122.9.220.228,境内,中国,广东,电信"。
(8)提取WEB页面的关键信息:主要包括1)页面的TITLE信息;2)页面的关键词(用于唯一标识页面的关键特征串);3)页面状态码;4)页面超链接的特征;5)页面引用图片资源的特征。
提取phishing-gongshang-001的WEB页面信息:1)页面TITLE:'Welcome';2)页面关键词:'[用户名,密码,短信验证码,登陆]';3)页面状态码为200;4)页面超链接数为5,其中空链接数为4,占链接的80%;5)页面应用图片资源24个,与页面文件在同一个域内。
(9)钓鱼网站的验证:根据步骤(5)~(8)的14个特征,参考相应的WHOIS信息库、ICP备案信息库、IP地理定位库和金融类网站的特征。对14个特征给出不同的权重,与设定的阈值做比较,输出验证结果。结束算法。
phishing-gongshang-001网站的14个特征组成14个特征向量的提取结果验证如下:
上表中14个特征的加权和为0.582,与工商银行0.486的阈值相比已经超过,所以phishing-gongshang-001为钓鱼网站。
本发明公开的钓鱼网站的取证与验证系统主要针对金融类网站的钓鱼攻击的证据截图和存活性验证,具有稳定实时的处理能力,用于第三方服务端对可疑的金融钓鱼网站的处理。主要由数据初始化模块、钓鱼网站取证模块、黑/白名单验证模块、URL信息提取模块、域名信息提取模块、WEB站点信息提取模块、WEB页面信息提取模块、和钓鱼网站验证模块8个模块组成,如图2所示。系统运行的具体步骤如下:
(1)数据初始化模块:从配置管理文件中读取系统的配置信息。系统的配置信息包括黑名单列表、白名单列表、WHOIS信息库、ICP备案信息库、IP地理定位库、金融类钓鱼网站的特征权重信息和取证模块HTTP服务的初始化。
(2)钓鱼网站取证模块:该模块收到URL字符串后,调用浏览器打开URL页面,等待浏览器加载网页完成后向取证端口发送HTTP请求,收到请求后对浏览器所在的窗口进行截屏,给浏览器发送响应信息。
在该模块中,打开浏览器前要分析该URL地址是否为wap端站点,如果是则通过设置User-Agent的信息来仿真手机端浏览器来打开页面。浏览器如果没有加载成功,在超时后自动给取证端口发送请求。浏览器在收到响应信息后会关闭浏览器窗口。
由于URL重定向和JavaScript脚本等原因,浏览器发给取证模块的URL字符串和调用浏览器的URL字符串可能不同,采用simhash进行相似性验证。
(3)黑/白名单验证模块:该模块检查URL字符串信息是否存在于黑/白名单中。如果是,则输出相应的信息。否则转到步骤(4)。
(4)URL信息提取模块:该模块提取URL字符串中的关键信息,主要包括1)URL中是否包含IP地址;2)URL中是否包含非常规端口;3)URL中是否包括特殊字符;4)URL中域名的级数,即“.”的个数。
(5)域名信息提取模块:该模块主要针对域名信息进行提取,主要包括1)域名的WHOIS注册商;2)域名的WHOIS状态;3)域名的注册时间。
在该模块中,域名WHOIS状态信息反映了域名当前的使用状态,注册时间反映了是否为新增域名。
(6)WEB站点信息提取模块:该模块提取的主要信息包括1)WEB站点的ICP备案信息;2)WEB站点对应IP地址的地理位置。
在该模块中,ICP备案信息通过WEB站点的域名字符串进行查询,备案库来自第三方可信资源;对应的IP地址由WEB站点的域名解析得到,并通过可信的IP地理定位库来确定国家、省份和运营商等信息。
(7)WEB页面信息提取模块:该模块提取HTML页面的关键信息,主要包括1)页面的TITLE信息;2)页面的关键词(用于唯一标识页面的关键特征串);3)页面状态码;4)页面超链接的特征;5)页面引用图片资源的特征。
在该模块中,由于获取页面信息需要采用网络爬虫技术,为了规避有些站点对网络爬虫的屏蔽以及爬虫行为与恶意蠕虫或木马的相似性,构造User-Agent信息,使爬虫行为转变成正常用户的浏览器行为。
页面关键词指能在网络空间中唯一标识该页面的关键词(字符串)集合。频率最高的词最有可能成为关键词。(页面TITLE的信息排除在外)。
页面超链接特征指:1)空链接对象,金融类钓鱼网站的空链接比正常金融网站的此类对象要多;2)指向真实站点的链接,金融类钓鱼网站超链接所指向的对象为真实的可达的情况在整个页面的链接中所占的比例较小,而真实的网站则较高。
页面应用图片资源特征:正常的金融类网站,网页应用的图片资源绝大部分来自站点所在的域,而钓鱼页面则存在相当一部分资源的异常,如与页面的文件在不同的域内。
(8)钓鱼网站验证模块:该模块输出步骤(4)~(7)的14个特征,参考相应的WHOIS信息库、ICP备案信息库、IP地理定位库和金融类网站的特征。对14个特征给出不同的权重,与设定的阈值做比较,输出可参考的验证结果。14个特征也可为人工识别钓鱼网站提供验证依据。
在该模块中,对14个特征的进行数值化处理,转换成布尔表达式的值,依据金融类网站的特征设置不同的权重,通过累加和的方式计算结果,与阈值进行比较得出结论。
图3给出了系统的部署图。
Claims (10)
1.一种钓鱼网站的取证与验证方法,其步骤为:
1)取证与验证服务器调用浏览器打开待验证的URL地址,然后该浏览器发送HTTP请求消息给该取证与验证服务器;
2)取证与验证服务器从该HTTP请求中提取URL字符串信息,并对该浏览器当前所在的窗口进行截屏;
3)取证与验证服务器检查所提取的URL字符串信息是否存在于黑/白名单中;如果存在,则输出判断信息,否则跳转步骤4);
4)提取URL字符串中的关键信息和URL字符串中域名的关键信息;
5)取证与验证服务器访问第三方可信资源服务器,提取该URL字符串对应WEB站点的关键信息;
6)取证与验证服务器根据该URL字符串访问WEB页面,提取WEB页面的关键信息;
7)取证与验证服务器根据步骤4)~6)所提取的信息,计算得到该URL地址的可信值,将该可信值与设定阈值的比较结果输出验证结果。
2.如权利要求1所述的方法,其特征在于,所述URL字符串中的关键信息包括:IP地址、非常规端口、特殊字符和URL中域名的级数;所述URL字符串中域名的关键信息包括:域名的注册商、域名的状态和域名的注册时间。
3.如权利要求1所述的方法,其特征在于,所述WEB站点的关键信息包括:WEB站点的ICP备案信息和WEB站点对应IP地址的地理位置。
4.如权利要求1或2或3所述的方法,其特征在于,所述WEB页面的关键信息包括:页面的TITLE信息、页面关键词、页面状态码、页面超链接特征和页面引用图片资源的特征。
5.如权利要求4所述的方法,其特征在于,所述页面关键词为用于唯一标识页面的关键特征串。
6.如权利要求4所述的方法,其特征在于,计算所述可信值的方法为:首先根据WHOIS信息库、ICP备案信息库、IP地理定位库和目标网站的特征对步骤4)~6)所提取的信息分别设定权重,然后将步骤4)~6)所提取的信息进行数值化处理,转换成布尔表达式的值,然后加权求和得到所述可信值。
7.如权利要求1所述的方法,其特征在于,步骤2)中,所述取证与验证服务器对该浏览器将该HTTP请求中提取的URL字符串与调用浏览器的URL字符串进行相似性验证,如果验证通过则进行步骤3)的处理;如果验证未通过,则结束验证。
8.如权利要求1所述的方法,其特征在于,步骤1)中,所述取证与验证服务器调用浏览器前检测该URL地址是否为wap端站点,如果是则仿真手机端浏览器来打开页面;然后检查该URL地址的TAB标签状态,如果为加载完成,则发送HTTP请求消息;如果加载没有完成且轮询设定次数后,发送HTTP请求。
9.一种钓鱼网站的取证与验证系统,其特征在于,包括数据初始化模块、钓鱼网站取证模块、黑/白名单验证模块、URL信息提取模块、域名信息提取模块、WEB站点信息提取模块、WEB页面信息提取模块和钓鱼网站验证模块;其中,
所述数据初始化模块,用于读取系统的配置信息,包括黑名单列表、白名单列表;
所述钓鱼网站取证模块,用于调用浏览器打开待验证的URL地址,然后该浏览器发送HTTP请求消息给该钓鱼网站取证模块;该钓鱼网站取证模块从该HTTP请求中提取URL字符串信息,并对该浏览器当前所在的窗口进行截屏;
所述黑/白名单验证模块,用于检查所述URL字符串信息是否存在于黑名单列表或白名单列表中,如果存在,则输出相应的判断信息;
所述URL信息提取模块,用于提取所述URL字符串中的关键信息;
所述域名信息提取模块,用于提取所述URL字符串中的域名信息;
所述WEB站点信息提取模块,用于提取该URL字符串对应WEB站点的关键信息;
所述WEB页面信息提取模块,用于根据该URL字符串访问WEB页面,提取WEB页面的关键信息;
所述钓鱼网站验证模块,用于根据URL信息提取模块、域名信息提取模块、WEB站点信息提取模块和WEB页面信息提取模块所提取的信息,计算得到该URL地址的可信值,将该可信值与设定阈值的比较结果输出验证结果。
10.如权利要求9所述的系统,其特征在于,所述URL字符串中的关键信息包括:IP地址、非常规端口、特殊字符和URL中域名的级数;所述URL字符串中域名的关键信息包括:域名的注册商、域名的状态和域名的注册时间;所述WEB站点的关键信息包括:WEB站点的ICP备案信息和WEB站点对应IP地址的地理位置;所述WEB页面的关键信息包括:页面的TITLE信息、页面关键词、页面状态码、页面超链接特征和页面引用图片资源的特征。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510323341.7A CN104954372B (zh) | 2015-06-12 | 2015-06-12 | 一种钓鱼网站的取证与验证方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510323341.7A CN104954372B (zh) | 2015-06-12 | 2015-06-12 | 一种钓鱼网站的取证与验证方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954372A true CN104954372A (zh) | 2015-09-30 |
| CN104954372B CN104954372B (zh) | 2018-07-24 |
Family
ID=54168726
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510323341.7A Expired - Fee Related CN104954372B (zh) | 2015-06-12 | 2015-06-12 | 一种钓鱼网站的取证与验证方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954372B (zh) |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106227780A (zh) * | 2016-07-18 | 2016-12-14 | 中国科学院信息工程研究所 | 一种海量网页的自动化截图取证方法和系统 |
| CN106330861A (zh) * | 2016-08-09 | 2017-01-11 | 中国信息安全测评中心 | 一种网址检测方法及装置 |
| CN106686020A (zh) * | 2017-03-29 | 2017-05-17 | 北京奇虎科技有限公司 | 域名安全性的检测方法、装置及系统 |
| CN107800679A (zh) * | 2017-05-22 | 2018-03-13 | 湖南大学 | 假冒学术期刊网站的检测方法 |
| CN108156165A (zh) * | 2017-12-28 | 2018-06-12 | 北京奇虎科技有限公司 | 一种误报检测的方法以及系统 |
| CN108449319A (zh) * | 2018-02-09 | 2018-08-24 | 秦玉海 | 一种识别诈骗网站及远程木马取证的方法及装置 |
| CN108924123A (zh) * | 2018-06-29 | 2018-11-30 | 北京京东尚科信息技术有限公司 | 区块链中的信息处理方法、装置和系统 |
| CN109284613A (zh) * | 2018-09-30 | 2019-01-29 | 北京神州绿盟信息安全科技股份有限公司 | 标识检测及仿冒站点检测方法、装置、设备及存储介质 |
| CN110019892A (zh) * | 2017-12-30 | 2019-07-16 | 惠州学院 | 一种基于用户id识别有害图片的方法及其系统 |
| CN110191124A (zh) * | 2019-05-29 | 2019-08-30 | 哈尔滨安天科技集团股份有限公司 | 基于web前端开发数据的网站鉴别方法、装置及存储设备 |
| CN110245986A (zh) * | 2019-06-14 | 2019-09-17 | 哈尔滨工业大学(威海) | 一种获取互联网金融广告发布机构的方法 |
| CN110765451A (zh) * | 2019-09-26 | 2020-02-07 | 支付宝(杭州)信息技术有限公司 | 风险识别方法和装置、电子设备 |
| CN111355732A (zh) * | 2020-02-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 链接检测方法、装置、电子设备及存储介质 |
| CN111586009A (zh) * | 2020-04-29 | 2020-08-25 | 浙江德迅网络安全技术有限公司 | 一种基于cdn的云安全防护方法 |
| CN113163234A (zh) * | 2021-04-02 | 2021-07-23 | 中国科学院信息工程研究所 | 一种基于第三方服务的盗版视频网站检测方法及系统 |
| CN113554023A (zh) * | 2021-07-20 | 2021-10-26 | 广州数智网络科技有限公司 | 一种网页自动取证的方法 |
| CN113660274A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 网站信息处理方法及装置、存储介质及电子设备 |
| WO2021258838A1 (zh) * | 2020-06-22 | 2021-12-30 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN102724186A (zh) * | 2012-06-06 | 2012-10-10 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测系统和检测方法 |
| CN102902703A (zh) * | 2012-07-19 | 2013-01-30 | 中国人民解放军国防科学技术大学 | 一种面向网络敏感信息的截图取证与锁定回访的方法 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
| US20150121447A1 (en) * | 2013-10-29 | 2015-04-30 | Xuyang JIANG | Method and apparatus for optimizing hypertext transfer protocol (http) uniform resource locator (url) filtering |
-
2015
- 2015-06-12 CN CN201510323341.7A patent/CN104954372B/zh not_active Expired - Fee Related
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN102724186A (zh) * | 2012-06-06 | 2012-10-10 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测系统和检测方法 |
| CN102902703A (zh) * | 2012-07-19 | 2013-01-30 | 中国人民解放军国防科学技术大学 | 一种面向网络敏感信息的截图取证与锁定回访的方法 |
| CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
| US20150121447A1 (en) * | 2013-10-29 | 2015-04-30 | Xuyang JIANG | Method and apparatus for optimizing hypertext transfer protocol (http) uniform resource locator (url) filtering |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
Cited By (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106227780B (zh) * | 2016-07-18 | 2019-08-06 | 中国科学院信息工程研究所 | 一种海量网页的自动化截图取证方法和系统 |
| CN106227780A (zh) * | 2016-07-18 | 2016-12-14 | 中国科学院信息工程研究所 | 一种海量网页的自动化截图取证方法和系统 |
| CN106330861A (zh) * | 2016-08-09 | 2017-01-11 | 中国信息安全测评中心 | 一种网址检测方法及装置 |
| CN106330861B (zh) * | 2016-08-09 | 2020-03-03 | 中国信息安全测评中心 | 一种网址检测方法及装置 |
| CN106686020A (zh) * | 2017-03-29 | 2017-05-17 | 北京奇虎科技有限公司 | 域名安全性的检测方法、装置及系统 |
| CN107800679A (zh) * | 2017-05-22 | 2018-03-13 | 湖南大学 | 假冒学术期刊网站的检测方法 |
| CN108156165A (zh) * | 2017-12-28 | 2018-06-12 | 北京奇虎科技有限公司 | 一种误报检测的方法以及系统 |
| CN110019892A (zh) * | 2017-12-30 | 2019-07-16 | 惠州学院 | 一种基于用户id识别有害图片的方法及其系统 |
| CN110019892B (zh) * | 2017-12-30 | 2021-03-02 | 惠州学院 | 一种基于用户id识别有害图片的方法及其系统 |
| CN108449319A (zh) * | 2018-02-09 | 2018-08-24 | 秦玉海 | 一种识别诈骗网站及远程木马取证的方法及装置 |
| CN108924123A (zh) * | 2018-06-29 | 2018-11-30 | 北京京东尚科信息技术有限公司 | 区块链中的信息处理方法、装置和系统 |
| CN109284613A (zh) * | 2018-09-30 | 2019-01-29 | 北京神州绿盟信息安全科技股份有限公司 | 标识检测及仿冒站点检测方法、装置、设备及存储介质 |
| CN109284613B (zh) * | 2018-09-30 | 2020-09-22 | 北京神州绿盟信息安全科技股份有限公司 | 标识检测及仿冒站点检测方法、装置、设备及存储介质 |
| CN110191124A (zh) * | 2019-05-29 | 2019-08-30 | 哈尔滨安天科技集团股份有限公司 | 基于web前端开发数据的网站鉴别方法、装置及存储设备 |
| CN110191124B (zh) * | 2019-05-29 | 2022-02-22 | 安天科技集团股份有限公司 | 基于web前端开发数据的网站鉴别方法、装置及存储设备 |
| CN110245986A (zh) * | 2019-06-14 | 2019-09-17 | 哈尔滨工业大学(威海) | 一种获取互联网金融广告发布机构的方法 |
| CN110765451A (zh) * | 2019-09-26 | 2020-02-07 | 支付宝(杭州)信息技术有限公司 | 风险识别方法和装置、电子设备 |
| CN111355732A (zh) * | 2020-02-28 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 链接检测方法、装置、电子设备及存储介质 |
| US11943256B2 (en) | 2020-02-28 | 2024-03-26 | Tencent Technology (Shenzhen) Company Limited | Link detection method and apparatus, electronic device, and storage medium |
| CN111586009A (zh) * | 2020-04-29 | 2020-08-25 | 浙江德迅网络安全技术有限公司 | 一种基于cdn的云安全防护方法 |
| WO2021258838A1 (zh) * | 2020-06-22 | 2021-12-30 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
| CN113163234A (zh) * | 2021-04-02 | 2021-07-23 | 中国科学院信息工程研究所 | 一种基于第三方服务的盗版视频网站检测方法及系统 |
| CN113163234B (zh) * | 2021-04-02 | 2022-10-14 | 中国科学院信息工程研究所 | 一种基于第三方服务的盗版视频网站检测方法及系统 |
| CN113554023A (zh) * | 2021-07-20 | 2021-10-26 | 广州数智网络科技有限公司 | 一种网页自动取证的方法 |
| CN113660274A (zh) * | 2021-08-18 | 2021-11-16 | 中国电信股份有限公司 | 网站信息处理方法及装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104954372B (zh) | 2018-07-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954372A (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| KR101689299B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| EP2447878B1 (en) | Web based remote malware detection | |
| CN103856442B (zh) | 一种黑链检测方法、装置和系统 | |
| CN109274632B (zh) | 一种网站的识别方法及装置 | |
| Bin et al. | A DNS based anti-phishing approach | |
| CN102638448A (zh) | 一种基于非内容分析的判断钓鱼网站的方法 | |
| US11451583B2 (en) | System and method to detect and block bot traffic | |
| CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
| CN102769632A (zh) | 钓鱼网站分级检测和提示的方法及系统 | |
| CN102739653B (zh) | 一种针对网址的检测方法及装置 | |
| CN106961419A (zh) | WebShell检测方法、装置及系统 | |
| CN102647408A (zh) | 一种基于内容分析的判断钓鱼网站的方法 | |
| US20160337378A1 (en) | Method and apparatus for detecting security of online shopping environment | |
| CN104580230B (zh) | 网站攻击验证方法及装置 | |
| CN110035075A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| CN105119909A (zh) | 一种基于页面视觉相似性的仿冒网站检测方法和系统 | |
| CN107786564A (zh) | 基于威胁情报的攻击检测方法、系统及电子设备 | |
| Naresh et al. | Intelligent phishing website detection and prevention system by using link guard algorithm | |
| CN110474889A (zh) | 一种基于网站图标的钓鱼网站识别方法及装置 | |
| CN104717226A (zh) | 一种针对网址的检测方法及装置 | |
| CN105653941A (zh) | 一种启发式检测钓鱼网站的方法及系统 | |
| CN105138917A (zh) | 恶意网页的防御方法 | |
| CN109218332B (zh) | 一种埋点式钓鱼网站监测方法 | |
| Liu et al. | Financial websites oriented heuristic anti-phishing research |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180724 |