CN106888220A - 一种钓鱼网站检测方法及设备 - Google Patents
一种钓鱼网站检测方法及设备 Download PDFInfo
- Publication number
- CN106888220A CN106888220A CN201710235877.2A CN201710235877A CN106888220A CN 106888220 A CN106888220 A CN 106888220A CN 201710235877 A CN201710235877 A CN 201710235877A CN 106888220 A CN106888220 A CN 106888220A
- Authority
- CN
- China
- Prior art keywords
- website
- measured
- value
- risk
- fishing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种钓鱼网站检测方法及设备,属于互联网安全领域。所述方法包括:获取待测网站的至少一个预设特征信息,预设特征信息用于检测待测网站是否为可疑钓鱼网站;获取每个预设特征信息的风险值,根据多个风险值判断待测网站是否为可疑钓鱼网站;若判定待测网站是可疑钓鱼网站,则检测待测网站的网页内容,并根据网页内容检测结果,确定待测网站是否为钓鱼网站;若网页内容检测结果不能确定待测网站为钓鱼网站,则转入人工检测。通过多个风险值判断待测网站是否为可疑钓鱼网站,并对可疑网站进行网页内容检测,以及对确定为可疑网站但网页内容检测结果不确定时,再通过人工检测,从而提高了钓鱼网站的检测效率,提高了网络安全。
Description
技术领域
本发明涉及互联网安全领域,特别涉及一种钓鱼网站检测方法及设备。
背景技术
随着互联网技术的快速发展,一些以网络交易为主的业务如电子商务、电子银行等也快速发展,随之而来的以钓鱼网站为主的网络安全问题也日益凸显,诈骗者通过在互联网上建立一个网站,伪装成银行及电子商务等服务网页,窃取用户提交的银行账号、密码等私密信息,对互联网用户的财产造成严重危害。
目前的钓鱼网站检测方法主要为黑名单过滤技术。黑名单过滤技术主要依靠不断对包括所有已知钓鱼网站和/或用户举报网站的黑名单进行更新,再对可疑网站进行检测时,通过查找该可疑网站的域名等信息是否包括在黑名单中,来判断该可疑网站是否为钓鱼网站。
利用上述方法对可疑网站进行的检测为被动检测,即这种检测方法通常在用户已经遭受钓鱼网站侵害后才能发挥作用,具有一定的滞后性,因此,如何能够有效检测出未记录在黑名单中的钓鱼网站,即实现钓鱼网站的主动检测,以及在钓鱼网站刚刚出现时即可检测出,从而避免或减少用户的损失。
发明内容
为了提高网络安全,提高钓鱼网站的检测效率和时效性,本发明实施例提供了一种钓鱼网站检测方法及设备。所述技术方案如下:
第一方面,提供了一种钓鱼网站检测方法,所述方法包括:
获取待测网站的至少一个预设特征信息,所述预设特征信息用于检测所述待测网站是否为可疑钓鱼网站;
获取每个所述预设特征信息的风险值,根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站;
若判定所述待测网站是可疑钓鱼网站,则检测所述待测网站的网页内容,并根据所述网页内容检测结果,确定所述待测网站是否为钓鱼网站;
若所述网页内容检测结果不能确定所述待测网站为钓鱼网站,则转入人工检测。
结合第一方面,在第一种可能实现的方式中,所述预设特征信息包括所述待测网站访问者所在地分布情况、所述待测网站服务器所在地、所述待测网站的访问密集时段和所述待测网站首次被访问时间中的一个或多个,其中,所述获取所述待测网站的至少一个预设特征信息包括:
从生成的预设格式的访问日志中,获取所述待测网站的所述至少一个预设特征信息。
结合第一方面的第一种可能实现的方式,在第二种可能实现的方式中,通过以下操作中的至少一个,实现所述获取每个所述预设特征信息的风险值的步骤:
获取所述待测网站访问者所在地分布情况的风险值包括:
若所述访问者所在地集中在某几个区域,则所述待测网站访问者所在地分布情况的风险值为1;若否,则所述待测网站访问者所在地分布情况的风险值为0;
获取所述待测网站服务器所在地的风险值包括:
若所述待测网站服务器所在地在国外地区,则所述待测网站服务器所在地的风险值为1;若否,则所述待测网站服务器所在地的风险值为0;
获取所述待测网站的访问密集时段的风险值包括:
若所述待测网站的访问密集时段呈现爆发式访问,则所述待测网站的访问密集时段的风险值为1;若否,则所述待测网站的访问密集时段的风险值为0;
获取所述待测网站首次被访问时间的风险值包括:
若所述待测网站的首次被访问时间为近期,则所述待测网站的首次被访问时间的风险值为1;若否,则所述待测网站的首次被访问时间的风险值为0。
结合第一方面的第二种可能实现的方式,在第三种可能实现的方式中,所述根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站包括:
计算所述多个风险值的和;
判断所述多个风险值的和是否大于预设阈值,若大于所述预设阈值,则确定所述待测网站为可疑钓鱼网站。
结合第一方面,在第四种可能实现的方式中,所述检测所述待测网站的网页内容包括:
将所述待测网站的所述网页内容与可能被仿冒的网站内容进行比对;
若所述比对结果显示高度相似,则确定所述待测网站为钓鱼网站;
若所述比对结果显示不相似,则不能确定所述待测网站为钓鱼网站,转入人工检测。
第二方面,提供了一种钓鱼网站检测设备,所述设备包括:
预设特征信息获取模块,用于获取待测网站的至少一个预设特征信息,所述预设特征信息用于检测所述待测网站是否为可疑钓鱼网站;
预设特征信息风险值获取模块,用于获取每个所述预设特征信息的风险值;
可疑钓鱼网站判断模块,用于根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站;
网页内容检测模块,用于在判定所述待测网站是可疑钓鱼网站时,检测所述待测网站的网页内容;
钓鱼网站确定模块,用于根据所述网页内容检测结果,确定所述待测网站是否为钓鱼网站;
人工检测转入模块,用于当所述网页内容检测结果不能确定所述待测网站为钓鱼网站时,转入人工检测。
结合第二方面,在第一种可能实现的方式中,所述预设特征信息包括所述待测网站访问者所在地分布情况、所述待测网站服务器所在地、所述待测网站的访问密集时段和所述待测网站首次被访问时间中的一个或多个,其中,
所述预设特征信息获取模块具体用于从生成的预设格式的访问日志中,获取所述待测网站的所述至少一个预设特征信息;
所述预设特征信息获取模块还包括待测网站访问者所在地分布情况获取子模块、待测网站服务器所在地获取子模块、待测网站的访问密集时段获取子模块和待测网站首次被访问时间获取子模块。
结合第二方面的第一种可能实现的方式,在第二种可能实现的方式中,所述预设特征信息风险值获取模块包括:
待测网站访问者所在地分布情况的风险值获取子模块,具体用于:
若所述访问者所在地集中在某几个区域,则所述待测网站访问者所在地分布情况的风险值为1;若否,则所述待测网站访问者所在地分布情况的风险值为0;
待测网站服务器所在地的风险值获取子模块,具体用于:
若所述待测网站服务器所在地在国外地区,则所述待测网站服务器所在地的风险值为1;若否,则所述待测网站服务器所在地的风险值为0;
待测网站的访问密集时段的风险值获取子模块,具体用于:
若所述待测网站的访问密集时段呈现爆发式访问,则所述待测网站的访问密集时段的风险值为1;若否,则所述待测网站的访问密集时段的风险值为0;
待测网站首次被访问时间的风险值获取子模块,具体用于:
若所述待测网站的首次被访问时间为近期,则所述待测网站的首次被访问时间的风险值为1;若否,则所述待测网站的首次被访问时间的风险值为0。
结合第二方面的第二种可能实现的方式,在第三种可能实现的方式中,所述可疑钓鱼网站判断模块具体用于:
计算子模块,用于计算所述多个风险值的和;
可疑钓鱼网站判断子模块,用于判断所述多个风险值的和是否大于预设阈值,若判定大于所述预设阈值时,则确定所述待测网站为可以钓鱼网站。
结合第二方面,在第四种可能实现的方式中,
所述网页内容检测模块包括内容比对子模块,用于将所述待测网站的所述网页内容与可能被仿冒的网站内容进行比对;
所述钓鱼网站确定模块具体用于当所述内容比对子模块的所述比对结果显示高度相似时,则确定所述待测网站为钓鱼网站;
所述人工检测转入模块具体用于当所述内容比对子模块的所述比对结果显示不相似,则不能确定所述待测网站为钓鱼网站,转入人工检测。
本发明实施例提供的技术方案带来的有益效果是:本发明通过获取待测网站的至少一个预设特征信息,并且获取预设特征信息的风险值,再根据多个风险值判断待测网站是否为可疑钓鱼网站,因为预设特征信息用于检测待测网站是否为可疑钓鱼网站,表示符合该至少一个预设特征信息的网站可能是钓鱼网站,从而能够根据待测网站的预设特征信息,对新出现的网站先进行过滤,对一些可能是钓鱼网站的网页及时进行检测和筛选,从而有助于提高网络安全,提高了钓鱼网站的检测效率和及时性;同时,再通过检测网页内容对可疑钓鱼网站进行确认,这样能够及时对可能是钓鱼网站的网站进行检测,确定其是否真的为钓鱼网站,且当网页内容检测不能确认为是钓鱼网站时,转入人工检测,避免了一些误判断情况的发生,从而进一步提高了检测效率,能够及时发现钓鱼网站,提高了网络安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种钓鱼网站检测方法流程图;
图2是本发明实施例提供的一种钓鱼网站检测设备结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一
本发明实施例提供了一种钓鱼网站检测方法,参照图1所示,包括以下方法:
101、获取待测网站的至少一个预设特征信息,预设特征信息用于检测待测网站是否为可疑钓鱼网站。
其中,预设特征信息可以包括待测网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间中的一个或多个。
具体的,将待测网站访问者所在地分布情况作为检测待测网站是否为可疑钓鱼网站的预设特征信息,是因为钓鱼网站通常是针对某几个地区行骗,而正常网站则没有该特征,所以可以将待测网站访问者所在地分布情况作为预设特征信息之一;将待测网站服务器所在地作为检测待测网站是否为可疑钓鱼网站的预设特征信息,是因为钓鱼网站服务器通常设置在国外,而针对中国境内用户正常登陆或访问的网站的服务器一般会设置在国内,所以可以将待测网站服务器所在地作为检测待测网站是否为钓鱼网站的预设特征信息之一;将待测网站的访问密集时段作为为检测待测网站是否为可疑钓鱼网站的预设特征信息,是因为钓鱼网站通常会出现爆发式密集访问,即在某一个或几个时段出现大量访问,而其他时间段则几乎没有访问,而对于正常网站来说一般不会出现爆发式访问,对于可能在促销等特殊活动期间出现的爆发式访问来说,正常网站的该种爆发式访问仅限定在特殊活动的整个期间内,而不会出现间断的几个时间段,并且当正常网站出现爆发式访问时,该正常网站的其他预设特征信息为正常,所以可排除特殊情况下正常网站可能出现的爆发式密集访问,所以可以将待测网站的访问密集时段作为检测待测网站是否为钓鱼网站的预设特征信息之一;将待测网站首次被访问时间作为检测待测网站是否为可疑钓鱼网站的预设特征信息,是因为钓鱼网站通常都是近期内突然出现,并在出现后一段时间内进行大量行骗,所以可以将待测网站首次被访问时间作为检测待测网站是否为钓鱼网站的预设特征信息之一。
需要说明的是,上述四种预设特征信息是对大量钓鱼网站进行聚类分析所提取的钓鱼网站的共同特征信息,除此以外,也可以包括其他的能够用于检测待测网站是否为钓鱼网站的预设特征信息,本发明实施例对此不加以限定。
同时,需要说明的是,在实际应用中,将该四种预设特征信息相结合在一起能够进一步提高检测为钓鱼网站的正确率,为优选方案,但是不排除采用其中的一项、两项的结合或三项的结合以检测钓鱼网站,其均在本发明保护范围之内,本发明实施例对此不作限定。
通过获取待测网站的至少一个预设特征信息,该至少一个预设特征信息能够用于检测待测网站是否为可疑钓鱼网站,从而能够对新出现的网站或者其他网站进行初筛,从而能够及时的发现问题网站,以进一步确定是否为钓鱼网站,从而进一步提高了钓鱼网站的检测效率。
其中,获取待测网站的至少一个预设特征信息的过程可以包括:
从生成的预设格式的访问日志中,获取待测网站的至少一个预设特征信息。
a、从网络采集设备中获取网页的访问信息。
b、将获取的网页访问信息按照该预设格式保存形成访问日志。
具体的,该预设格式的访问日志可以是从网页的访问信息中提取的包含的待测网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间的信息的统计表格;该预设格式的访问日志还可以是从网页的访问信息中提取的包含访问者IP地址、待测网站的IP地址、待测网站的访问次数及访问时间以及待测网站首次被访问时间的信息的统计数据,根据该统计数据再得出关于待测网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间的结果数据;除此以外,该预设格式的访问日志还可以是其他方式或格式,本发明实施例对具体的预设格式的访问日志不加以限定。
通过该生成的预设格式的访问日志,能够对待测网站的访问数据进行详细统计,方便了数据的获取,从而进一步提高了检测的效率。
c、从该预设格式的访问日志中,获取待测网站的至少一个预设特征信息。
具体的,若预设特征信息包括待测网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间中的一个或多个;
则获取待测网站访问者所在地分布情况可以包括:
通过访问者IP地址追溯访问者所在地区,如从保存的该预设格式的访问日志中获取待测网站访问者的IP,以通过该IP地址获取访问者所在地区。
获取待测网站服务器所在地可以包括:
通过待测网站的IP地址追溯待测网站服务器所在地,如从保存的该预设格式的访问日志中获取被访问网站即待测网站的IP地址,以通过该IP地址获取待测网站服务器所在地;
获取待测网站的访问密集时段可以包括:
通过统计访问者对待测网站网页的访问次数以及访问时间,获取待测网页的访问密集时段,如从保存的该预设格式的访问日志中获取待测网站的访问次数以及访问时间段的统计数据;
获取待测网站首次被访问时间可以包括:
通过保存的访问日志中获取待测网站网页第一次出现的时间;
除此以外,还可以通过其他方式获取待测网站的至少一个预设特征信息,本发明实施例对具体获取方式不加以限定。
可选的,方法还包括:
设置触发警报。
具体的,设置预设格式的访问日志中的数据统计发出警报的预设条件,如当对某个网站的访问日志中的统计的改网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间均满足预设条件,则发出警报,以及时对该网站进行检测,从而使得检测更加及时,进一步提高了检测效率。
102、获取每个预设特征信息的风险值,根据多个风险值判断待测网站是否为可疑钓鱼网站。
具体的,可以通过以下方式获取每个预设特征信息的风险值:
获取待测网站访问者所在地分布情况的风险值包括:
若访问者所在地集中在某几个区域,则待测网站访问者所在地分布情况的风险值为1;若否,则待测网站访问者所在地分布情况的风险值为0;
获取待测网站服务器所在地的风险值包括:
若待测网站服务器所在地在国外地区,则待测网站服务器所在地的风险值为1;若否,则待测网站服务器所在地的风险值为0;
获取待测网站的访问密集时段的风险值包括:
若待测网站的访问密集时段呈现爆发式访问,则待测网站的访问密集时段的风险值为1;若否,则待测网站的访问密集时段的风险值为0;
获取待测网站首次被访问时间的风险值包括:
若待测网站的首次被访问时间为近期,则待测网站的首次被访问时间的风险值为1;若否,则待测网站的首次被访问时间的风险值为0。
其中,根据多个风险值判断待测网站是否为可疑钓鱼网站可以通过以下方式实现:
a、计算多个风险值的和;
b、判断多个风险值的和是否大于预设阈值,若大于预设阈值,则确定待测网站为可疑钓鱼网站。
具体的,根据预设公式计算该多个风险值的和,该预设公式可以如下:
其中,M表示每个预设特征信息的风险值,W表示每个预设特征信息的权重,D表示最终判别结果,即为可疑度,i表示预设特征信息;
预设阈值可以用G表示,W和G可以根据专家指导、机械学习结果或两者结合进行确定。
通过计算判断多个风险值的和是否大于预设阈值,以确定待测网站是否为可疑钓鱼网站,更便于对各个网站的可疑度进行计算并经计算统计各个网站的可疑度,从而当可疑度大于预设阈值时判定为可疑钓鱼网站,使得判断结果更加准确及时,适用于所有网站,从而进一步提高了检测的效率。
103、若判定待测网站是可疑钓鱼网站,则检测待测网站的网页内容,并根据网页内容检测结果,确定待测网站是否为钓鱼网站。
具体的,检测待测网站的网页内容可以包括:
将待测网站的网页内容与可能被仿冒的网站内容进行比对;
若比对结果显示高度相似,则确定待测网站为钓鱼网站;
若比对结果显示不相似,则不能确定待测网站为钓鱼网站,转入人工检测。
可选的,将该待测网站的网页内容与可能被仿冒的多个网站内容分别进行比对,获取与每个可能被仿冒的网站的得比对结果,根据与每个可能被仿冒的网站的比对结果,确定该待测网站是否为钓鱼网站。
示例性的,若该待测网站为购物类网站,则将该待测网站的网页内容与可能被仿冒的网站,如淘宝、京东、唯品会等各个购物网站进行比对,以确定网页内容是否相似;通过将待测网站的网页内容与可能被仿冒的网站内容进行比对,该可能被仿冒的网站可能有多个,将其一一进行比对,避免了漏判断的发生。
104、若网页内容检测结果不能确定待测网站为钓鱼网站,则转入人工检测。
通过对网页内容检测结果不能确定待测网站是否为钓鱼网站时,转入人工检测,相较于仅通过网页内容判断是否为钓鱼网站而言,通过人工检测能够避免了一些误判断情况的发生,从而进一步提高了检测效率,能够及时发现钓鱼网站,提高了网络安全性。
本发明实施例提供了一种钓鱼网站检测方法,通过获取待测网站的至少一个预设特征信息,并且获取预设特征信息的风险值,再根据多个风险值判断待测网站是否为可疑钓鱼网站,因为预设特征信息用于检测待测网站是否为可疑钓鱼网站,表示符合该至少一个预设特征信息的网站可能是钓鱼网站,从而能够根据待测网站的预设特征信息,对新出现的网站先进行过滤,对一些可能是钓鱼网站的网页及时进行检测和筛选,从而有助于提高网络安全,提高了钓鱼网站的检测效率和及时性;同时,再通过检测网页内容对可疑钓鱼网站进行确认,这样能够及时对可能是钓鱼网站的网站进行检测,确定其是否真的为钓鱼网站,且当网页内容检测不能确认为是钓鱼网站时,转入人工检测,避免了一些误判断情况的发生,从而进一步提高了检测效率,能够及时发现钓鱼网站,提高了网络安全性。
实施例二
本发明实施例提供了一种钓鱼网站检测设备,参照图2所示,设备2包括:
预设特征信息获取模块21,用于获取待测网站的至少一个预设特征信息,预设特征信息用于检测待测网站是否为可疑钓鱼网站;
预设特征信息风险值获取模块22,用于获取每个预设特征信息的风险值;
可疑钓鱼网站判断模块23,用于根据多个风险值判断待测网站是否为可疑钓鱼网站;
网页内容检测模块24,用于在判定待测网站是可疑钓鱼网站时,检测待测网站的网页内容;
钓鱼网站确定模块25,用于根据网页内容检测结果,确定待测网站是否为钓鱼网站;
人工检测转入模块26,用于当网页内容检测结果不能确定待测网站为钓鱼网站时,转入人工检测。
可选的,预设特征信息包括待测网站访问者所在地分布情况、待测网站服务器所在地、待测网站的访问密集时段和待测网站首次被访问时间中的一个或多个,其中,
预设特征信息获取模块21具体用于从生成的预设格式的访问日志,获取待测网站的至少一个预设特征信息。
预设特征信息获取模块21还包括待测网站访问者所在地分布情况获取子模块211,用于获取待测网站访问者所在地分布情况;待测网站服务器所在地获取子模块212,用于获取待测网站服务器所在地;待测网站的访问密集时段获取子模块213,用于获取待测网站的访问密集时段;以及待测网站首次被访问时间获取子模块214,用于获取待测网站首次被访问时间。
可选的,预设特征信息风险值获取模块22包括:
待测网站访问者所在地分布情况的风险值获取子模块221,具体用于:
若访问者所在地集中在某几个区域,则待测网站访问者所在地分布情况的风险值为1;若否,则待测网站访问者所在地分布情况的风险值为0;
待测网站服务器所在地的风险值获取子模块222,具体用于:
若待测网站服务器所在地在国外地区,则待测网站服务器所在地的风险值为1;若否,则待测网站服务器所在地的风险值为0;
待测网站的访问密集时段的风险值获取子模块223,具体用于:
若待测网站的访问密集时段呈现爆发式访问,则待测网站的访问密集时段的风险值为1;若否,则待测网站的访问密集时段的风险值为0;
待测网站首次被访问时间的风险值获取子模块224,具体用于:
若待测网站的首次被访问时间为近期,则待测网站的首次被访问时间的风险值为1;若否,则待测网站的首次被访问时间的风险值为0。
可选的,可疑钓鱼网站判断模块23具体用于:
计算子模块231,用于计算多个风险值的和;
可疑钓鱼网站判断子模块232,用于判断多个风险值的和是否大于预设阈值,若判定大于预设阈值时,则确定待测网站为可以钓鱼网站。
可选的,
网页内容检测模块24包括内容比对子模块241,用于将待测网站的网页内容与可能被仿冒的网站内容进行比对;
钓鱼网站确定模块25具体用于当内容比对子模块241的比对结果显示高度相似时,则确定待测网站为钓鱼网站;
人工检测转入模块26具体用于当内容比对子模块241的比对结果显示不相似,则不能确定待测网站为钓鱼网站,转入人工检测。
本发明实施例提供了一种钓鱼网站检测设备,该设备通过获取待测网站的至少一个预设特征信息,并且获取预设特征信息的风险值,再根据多个风险值判断待测网站是否为可疑钓鱼网站,因为预设特征信息用于检测待测网站是否为可疑钓鱼网站,表示符合该至少一个预设特征信息的网站可能是钓鱼网站,从而能够根据待测网站的预设特征信息,对新出现的网站先进行过滤,对一些可能是钓鱼网站的网页及时进行检测和筛选,从而有助于提高网络安全,提高了钓鱼网站的检测效率和及时性;同时,再通过检测网页内容对可疑钓鱼网站进行确认,这样能够及时对可能是钓鱼网站的网站进行检测,确定其是否真的为钓鱼网站,且当网页内容检测不能确认为是钓鱼网站时,转入人工检测,避免了一些误判断情况的发生,从而进一步提高了检测效率,能够及时发现钓鱼网站,提高了网络安全性。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
需要说明的是:上述实施例提供的钓鱼网站检测装置在触发钓鱼网站检测时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的钓鱼网站检测设备与钓鱼网站检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种钓鱼网站检测方法,其特征在于,所述方法包括:
获取待测网站的至少一个预设特征信息,所述预设特征信息用于检测所述待测网站是否为可疑钓鱼网站;
获取每个所述预设特征信息的风险值,根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站;
若判定所述待测网站是可疑钓鱼网站,则检测所述待测网站的网页内容,并根据所述网页内容检测结果,确定所述待测网站是否为钓鱼网站;
若所述网页内容检测结果不能确定所述待测网站为钓鱼网站,则转入人工检测。
2.根据权利要求1所述的方法,其特征在于,所述预设特征信息包括所述待测网站访问者所在地分布情况、所述待测网站服务器所在地、所述待测网站的访问密集时段和所述待测网站首次被访问时间中的一个或多个,其中,所述获取所述待测网站的至少一个预设特征信息包括:
从生成的预设格式的访问日志中,获取所述待测网站的所述至少一个预设特征信息。
3.根据权利要求2所述的方法,其特征在于,通过以下操作中的至少一个,实现所述获取每个所述预设特征信息的风险值的步骤:
获取所述待测网站访问者所在地分布情况的风险值包括:
若所述访问者所在地集中在某几个区域,则所述待测网站访问者所在地分布情况的风险值为1;若否,则所述待测网站访问者所在地分布情况的风险值为0;
获取所述待测网站服务器所在地的风险值包括:
若所述待测网站服务器所在地在国外地区,则所述待测网站服务器所在地的风险值为1;若否,则所述待测网站服务器所在地的风险值为0;
获取所述待测网站的访问密集时段的风险值包括:
若所述待测网站的访问密集时段呈现爆发式访问,则所述待测网站的访问密集时段的风险值为1;若否,则所述待测网站的访问密集时段的风险值为0;
获取所述待测网站首次被访问时间的风险值包括:
若所述待测网站的首次被访问时间为近期,则所述待测网站的首次被访问时间的风险值为1;若否,则所述待测网站的首次被访问时间的风险值为0。
4.根据权利要求3所述的方法,其特征在于,所述根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站包括:
计算所述多个风险值的和;
判断所述多个风险值的和是否大于预设阈值,若大于所述预设阈值,则确定所述待测网站为可疑钓鱼网站。
5.根据权利要求1所述的方法,其特征在于,所述检测所述待测网站的网页内容包括:
将所述待测网站的所述网页内容与可能被仿冒的网站内容进行比对;
若所述比对结果显示高度相似,则确定所述待测网站为钓鱼网站;
若所述比对结果显示不相似,则不能确定所述待测网站为钓鱼网站,转入人工检测。
6.一种钓鱼网站检测设备,其特征在于,所述设备包括:
预设特征信息获取模块,用于获取待测网站的至少一个预设特征信息,所述预设特征信息用于检测所述待测网站是否为可疑钓鱼网站;
预设特征信息风险值获取模块,用于获取每个所述预设特征信息的风险值;
可疑钓鱼网站判断模块,用于根据多个所述风险值判断所述待测网站是否为可疑钓鱼网站;
网页内容检测模块,用于在判定所述待测网站是可疑钓鱼网站时,检测所述待测网站的网页内容;
钓鱼网站确定模块,用于根据所述网页内容检测结果,确定所述待测网站是否为钓鱼网站;
人工检测转入模块,用于当所述网页内容检测结果不能确定所述待测网站为钓鱼网站时,转入人工检测。
7.根据权利要求6所述的设备,其特征在于,所述预设特征信息包括所述待测网站访问者所在地分布情况、所述待测网站服务器所在地、所述待测网站的访问密集时段和所述待测网站首次被访问时间中的一个或多个,其中,
所述预设特征信息获取模块具体用于从生成的预设格式的访问日志中,获取所述待测网站的所述至少一个预设特征信息;
所述预设特征信息获取模块还包括待测网站访问者所在地分布情况获取子模块、待测网站服务器所在地获取子模块、待测网站的访问密集时段获取子模块和待测网站首次被访问时间获取子模块。
8.根据权利要求7所述的设备,其特征在于,所述预设特征信息风险值获取模块包括:
待测网站访问者所在地分布情况的风险值获取子模块,具体用于:
若所述访问者所在地集中在某几个区域,则所述待测网站访问者所在地分布情况的风险值为1;若否,则所述待测网站访问者所在地分布情况的风险值为0;
待测网站服务器所在地的风险值获取子模块,具体用于:
若所述待测网站服务器所在地在国外地区,则所述待测网站服务器所在地的风险值为1;若否,则所述待测网站服务器所在地的风险值为0;
待测网站的访问密集时段的风险值获取子模块,具体用于:
若所述待测网站的访问密集时段呈现爆发式访问,则所述待测网站的访问密集时段的风险值为1;若否,则所述待测网站的访问密集时段的风险值为0;
待测网站首次被访问时间的风险值获取子模块,具体用于:
若所述待测网站的首次被访问时间为近期,则所述待测网站的首次被访问时间的风险值为1;若否,则所述待测网站的首次被访问时间的风险值为0。
9.根据权利要求8所述的设备,其特征在于,所述可疑钓鱼网站判断模块具体用于:
计算子模块,用于计算所述多个风险值的和;
可疑钓鱼网站判断子模块,用于判断所述多个风险值的和是否大于预设阈值,若判定大于所述预设阈值时,则确定所述待测网站为可以钓鱼网站。
10.根据权利要求6所述的设备,其特征在于,
所述网页内容检测模块包括内容比对子模块,用于将所述待测网站的所述网页内容与可能被仿冒的网站内容进行比对;
所述钓鱼网站确定模块具体用于当所述内容比对子模块的所述比对结果显示高度相似时,则确定所述待测网站为钓鱼网站;
所述人工检测转入模块具体用于当所述内容比对子模块的所述比对结果显示不相似,则不能确定所述待测网站为钓鱼网站,转入人工检测。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710235877.2A CN106888220A (zh) | 2017-04-12 | 2017-04-12 | 一种钓鱼网站检测方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710235877.2A CN106888220A (zh) | 2017-04-12 | 2017-04-12 | 一种钓鱼网站检测方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106888220A true CN106888220A (zh) | 2017-06-23 |
Family
ID=59183119
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710235877.2A Pending CN106888220A (zh) | 2017-04-12 | 2017-04-12 | 一种钓鱼网站检测方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106888220A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360197A (zh) * | 2017-09-08 | 2017-11-17 | 杭州安恒信息技术有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
| CN107659564A (zh) * | 2017-09-15 | 2018-02-02 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| CN109218332A (zh) * | 2018-10-19 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种埋点式钓鱼网站监测方法 |
| CN109672678A (zh) * | 2018-12-24 | 2019-04-23 | 亚信科技(中国)有限公司 | 一种钓鱼网站识别方法及装置 |
| CN111756724A (zh) * | 2020-06-22 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
| CN113630399A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 基于网关实现的防钓鱼方法、设备及系统 |
| CN117439821A (zh) * | 2023-12-20 | 2024-01-23 | 成都无糖信息技术有限公司 | 一种基于数据融合及多因素决策法的网站判定方法及系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820366A (zh) * | 2010-01-27 | 2010-09-01 | 南京邮电大学 | 一种基于预取的钓鱼网页检测方法 |
| CN102546618A (zh) * | 2011-12-29 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 钓鱼网站检测方法、装置及系统、网络站点 |
| CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及系统 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN104158828A (zh) * | 2014-09-05 | 2014-11-19 | 北京奇虎科技有限公司 | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 |
| CN104168293A (zh) * | 2014-09-05 | 2014-11-26 | 北京奇虎科技有限公司 | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 |
| CN104202291A (zh) * | 2014-07-11 | 2014-12-10 | 西安电子科技大学 | 基于多因素综合评定方法的反钓鱼方法 |
| CN105491031A (zh) * | 2015-11-30 | 2016-04-13 | 睿峰网云(北京)科技股份有限公司 | 一种钓鱼网站的识别方法及装置 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
-
2017
- 2017-04-12 CN CN201710235877.2A patent/CN106888220A/zh active Pending
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101820366A (zh) * | 2010-01-27 | 2010-09-01 | 南京邮电大学 | 一种基于预取的钓鱼网页检测方法 |
| US8468599B2 (en) * | 2010-09-20 | 2013-06-18 | Sonalysts, Inc. | System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis |
| CN102546618A (zh) * | 2011-12-29 | 2012-07-04 | 北京神州绿盟信息安全科技股份有限公司 | 钓鱼网站检测方法、装置及系统、网络站点 |
| CN102932348A (zh) * | 2012-10-30 | 2013-02-13 | 常州大学 | 一种钓鱼网站的实时检测方法及系统 |
| CN103067387A (zh) * | 2012-12-27 | 2013-04-24 | 中国建设银行股份有限公司 | 一种反钓鱼监测系统和方法 |
| CN103634317A (zh) * | 2013-11-28 | 2014-03-12 | 北京奇虎科技有限公司 | 基于云安全对恶意网址信息进行安全鉴定的方法及系统 |
| CN104202291A (zh) * | 2014-07-11 | 2014-12-10 | 西安电子科技大学 | 基于多因素综合评定方法的反钓鱼方法 |
| CN104158828A (zh) * | 2014-09-05 | 2014-11-19 | 北京奇虎科技有限公司 | 基于云端内容规则库识别可疑钓鱼网页的方法及系统 |
| CN104168293A (zh) * | 2014-09-05 | 2014-11-26 | 北京奇虎科技有限公司 | 结合本地内容规则库识别可疑钓鱼网页的方法及系统 |
| CN105491031A (zh) * | 2015-11-30 | 2016-04-13 | 睿峰网云(北京)科技股份有限公司 | 一种钓鱼网站的识别方法及装置 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 叶志雄、王丹弘: "基于海量数据的不平衡SVM增量学习的钓鱼网站检测方法", 《电信工程技术与标准化》 * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360197A (zh) * | 2017-09-08 | 2017-11-17 | 杭州安恒信息技术有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
| CN107360197B (zh) * | 2017-09-08 | 2020-12-25 | 杭州安恒信息技术股份有限公司 | 一种基于dns日志的网络钓鱼分析方法及装置 |
| CN107659564A (zh) * | 2017-09-15 | 2018-02-02 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| CN107659564B (zh) * | 2017-09-15 | 2020-07-31 | 广州唯品会研究院有限公司 | 一种主动检测钓鱼网站的方法和电子设备 |
| CN109218332A (zh) * | 2018-10-19 | 2019-01-15 | 杭州安恒信息技术股份有限公司 | 一种埋点式钓鱼网站监测方法 |
| CN109218332B (zh) * | 2018-10-19 | 2020-11-13 | 杭州安恒信息技术股份有限公司 | 一种埋点式钓鱼网站监测方法 |
| CN109672678A (zh) * | 2018-12-24 | 2019-04-23 | 亚信科技(中国)有限公司 | 一种钓鱼网站识别方法及装置 |
| CN111756724A (zh) * | 2020-06-22 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 钓鱼网站的检测方法、装置、设备、计算机可读存储介质 |
| CN113630399A (zh) * | 2021-07-28 | 2021-11-09 | 上海纽盾网安科技有限公司 | 基于网关实现的防钓鱼方法、设备及系统 |
| CN117439821A (zh) * | 2023-12-20 | 2024-01-23 | 成都无糖信息技术有限公司 | 一种基于数据融合及多因素决策法的网站判定方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106888220A (zh) | 一种钓鱼网站检测方法及设备 | |
| CN104954372B (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| Ahmed et al. | Real time detection of phishing websites | |
| US10467687B2 (en) | Method and system for performing fraud detection for users with infrequent activity | |
| Hara et al. | Visual similarity-based phishing detection without victim site information | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| Sharma et al. | A comparative analysis and awareness survey of phishing detection tools | |
| CN105119909B (zh) | 一种基于页面视觉相似性的仿冒网站检测方法和系统 | |
| CN105718577B (zh) | 一种针对新增域名自动检测网络钓鱼的方法与系统 | |
| CN106295349A (zh) | 账号被盗的风险识别方法、识别装置及防控系统 | |
| CN104899508A (zh) | 一种多阶段钓鱼网站检测方法与系统 | |
| Kuyama et al. | Method for detecting a malicious domain by using whois and dns features | |
| CN108449218B (zh) | 下一代关键信息基础设施的网络安全态势感知系统 | |
| CN108418777A (zh) | 一种钓鱼邮件检测方法、装置及系统 | |
| CN106779278A (zh) | 资产信息的评价系统及其信息的处理方法和装置 | |
| US20220070215A1 (en) | Method and Apparatus for Evaluating Phishing Sites to Determine Their Level of Danger and Profile Phisher Behavior | |
| CN110784462B (zh) | 基于混合方法的三层钓鱼网站检测系统 | |
| EP3888335A1 (en) | Phishing protection methods and systems | |
| CN103905372A (zh) | 一种钓鱼网站去误报的方法和装置 | |
| CN108540490A (zh) | 一种钓鱼网站的检测和域名备案存储方法 | |
| CN104202291A (zh) | 基于多因素综合评定方法的反钓鱼方法 | |
| CN107241292B (zh) | 漏洞检测方法及装置 | |
| CN110781876B (zh) | 一种基于视觉特征的仿冒域名轻量级检测方法及系统 | |
| CN110474889A (zh) | 一种基于网站图标的钓鱼网站识别方法及装置 | |
| CN107896225A (zh) | 钓鱼网站判定方法、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170623 |
|
| RJ01 | Rejection of invention patent application after publication |