CN108449319A - 一种识别诈骗网站及远程木马取证的方法及装置 - Google Patents
一种识别诈骗网站及远程木马取证的方法及装置 Download PDFInfo
- Publication number
- CN108449319A CN108449319A CN201810133074.0A CN201810133074A CN108449319A CN 108449319 A CN108449319 A CN 108449319A CN 201810133074 A CN201810133074 A CN 201810133074A CN 108449319 A CN108449319 A CN 108449319A
- Authority
- CN
- China
- Prior art keywords
- website
- swindle
- information
- evidence obtaining
- identified
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种识别诈骗网站及远程木马取证的方法及装置,通过基于诈骗关键词自动发现出多个待识别网站,对各个所述待识别网站进行网页信息爬取;将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。本发明所提供的方法及装置对诈骗网站进行识别和诈骗相关信息取证,打击诈骗行为。
Description
技术领域
本发明属于信息安全技术领域,尤其涉及到一种识别诈骗网站及远程木马取证的方法及装置。
背景技术
诈骗份子通过架设各种钓鱼网站,如假冒的公检法网站、假冒的银行网站、假冒的中奖信息网站等等。通过网络、短信等方式发送给人民群众,对人民群众进行诈骗。由于诈骗手段缜密,群众很容易被骗,而且往往全部积蓄被骗一空。国内现有的取证手段都是本地化取证,取证前需要拿到犯罪的份子的服务器,但犯罪份子使用的服务器往往位于国外,无法直接获取,给案件取证带来很大阻力,所以公安机关需要一套系统远程帮助打击各种假冒网站,获取实施诈骗的人员信息,以及诈骗分子对哪些人进行了诈骗的取证系统。
因此,为了全面贯彻“警民共建、科技强警”的发展观,以提高公安机关快速反应和打击能力,保护辖区居民不被诈骗团伙利用,造成经济损失,树立公安机关打击电信诈骗的公共形象,地市急需建设一套打击与预防相结合的识别诈骗网站及获取相关诈骗网站后台信息的平台,通过平台实现和犯罪分子的对抗。
因此,现有技术需要进一步的改进。
发明内容
本发明提供了一种识别诈骗网站及远程木马取证的方法及装置,为了提高公民安全意识,打击诈骗行为。
具体的,本发明所述提供的系统技术方案如下:
一种识别诈骗网站及远程木马取证的方法,其中,包括:
基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;
将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;
根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;
所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
所述的识别诈骗网站及远程木马取证的方法,其中,所述基于诈骗关键词检索出多个待识别网站的步骤包括:
基于诈骗关键词收集多个与诈骗内容相关的疑似网站;
将疑似网站对应的网址和网站名称与网站白名单相比对,过滤其中进行过白名单备案的网站;
将过滤后得到的多个疑似网站判定为待识别网站。
所述的识别诈骗网站及远程木马取证的方法,其中,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤包括:
对诈骗网站进行漏洞查找,并基于查找出的漏洞自动生成可采集所述诈骗网站后台网络信息的信息采集代码;
提交所述信息采集代码至所述诈骗网站,并接收诈骗网站返回的网站后台信息;
对所述网站后台信息进行信息检索,提取网站设置信息及登陆用户信息,并将所述网站设置信息及登陆用户信息回传至监控台。
所述的识别诈骗网站及远程木马取证的方法,其中,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台。
所述的识别诈骗网站及远程木马取证的方法,其中,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤还包括:
所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;
若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
所述的识别诈骗网站及远程木马取证的方法,其中,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控台接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息。
一种识别诈骗网站及远程木马取证的装置,其中,包括:
网站收集模块,用于基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;
网站识别模块,用于将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;
特征库匹配模块,用于根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;
信息提取模块,用于所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
所述的识别诈骗网站及远程木马取证的装置,其中,所述装置还包括:
预警模块,用于监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台;
存储模块,用于接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息;
木马破解模块,用于所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
本发明提供了一种识别诈骗网站及远程木马取证的方法及装置,通过基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。本发明所提供的方法及装置对诈骗网站进行识别和诈骗相关信息取证,打击诈骗行为。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
图1为本发明提供的识别诈骗网站及远程木马取证的方法步骤流程图。
图2为本发明提供的方法具体应用实施例的中步骤之间关系的原理示意图。
图3为本发明提供的方法具体应用实施例的步骤示意图。
图4为本发明提供的方法中进行木马信息取证步骤的示意图。
图5为本发明提供的所述装置的原理示意图。
具体实施方式
以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。需要说明的是,只要不构成冲突,本发明中的各个实施例以及各实施例中的各个特征可以相互结合,所形成的技术方案均在本发明的保护范围之内。
本发明提供了一种识别诈骗网站及远程木马取证的方法,如图1所示,包括:
步骤S1、基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取。
为了快速的从网络中查找出诈骗网站,本步骤首先建立一个诈骗关键词数据库,所述诈骗关键词数据库中存储有大量与诈骗相关的词语,选择其中存储的词语作为关键词,从网络中检索出包含有所述关键词的网站。对关键词的网站进行识别,辨别是否为真正的网站。可以想到的是,由于诈骗与财富有关,所以所述与诈骗相关的词语,可以为理财、暴富、发财或者赚钱等相关的词语,当然也可以是其他与诈骗相关的词语。
具体的,本步骤中,基于关键词检索出多个识别网站的方法包括以下步骤:
基于诈骗关键词收集多个与诈骗内容相关的疑似网站;
将疑似网站对应的网址和网站名称与网站白名单相比对,过滤其中进行过白名单备案的网站;
将过滤后得到的多个疑似网站判定为待识别网站。
由于上述步骤中,采用了对基于关键词得到的网站进行初步筛选,过滤其中安全认证的网站,因此当对收集到的网站进一步更准确识别的信息处理时,也即是对收集到的待识别网站进行网站信息爬取之前,减小了待网页爬取的网页数量,则大大降低了数据处理量,可以取得较好的网站识别效果。
为了更好的对检索出的大量网站进行过滤分析,本步骤中可以采用将爬虫爬取的信息转存到多个服务器中,同时进行过滤分析,再将过滤分析结果发送至同一个服务器中。也即是,通过设置流量镜像拷贝,将爬取信息转存,然后对爬取信息中包含的数据包进行分析。
步骤S2、将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站。
由于上述步骤S1中已经利用爬虫客户端或者爬虫程序获取到待识别网站的网页信息,则将各个待识别网站的网页信息与恶意特征相匹配,若匹配对超出预设匹配值,则判定匹配成功。
所述恶意特征为本领域技术人员可以基于大数据分析,得到的与诈骗网站所呈特征相一致的特征,比如: 诈骗网站的域名地址过长超过23位,与合法域名相似,大量静态链接,大量hidden块等URL特征和页面特征。在步骤S1之前,将上述恶意特征存储到恶意特征数据库中,将获取到的网页信息与恶意特征相比对,判定出多个待识别网站中含有的诈骗网站。
步骤S3、根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板。
根据步骤S2中诈骗网站中网页信息中匹配出的恶意特征分析出诈骗网站所属特征,并根据该所属特征在特征库中匹配出相对应的取证程序模板。
具体的,由于诈骗网站可能含有不同的伪造类型,在特征库中保存有根据不同的诈骗网站伪造类型,分别设置的多种取证程序模板。
所述取证程序模板,可以在无需人工干预的情况下根据当前诈骗网站的中获取的网页信息进行自动化代码定制,生成可进行互联网公开信息采集的诱导性Javascript代码,提交到诈骗网站的后台,当诈骗网站后台操作人员阅读到取证程序模板提交的代码以后,就会对当前的操作人员进行自动化互联网虚拟身份采集,采集的内容包含了后台操作人员的IP地址,代理IP,浏览器环境信息,受害人身份信息。
步骤S4、所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
所述取证程序模块通过提交至诈骗网站的定制代码获取诈骗网站的后台信息,并将获取到的后台信息回传至监控台。所述监控台为应用本发明所述方法进行诈骗网站识别及远程木马取证的服务器或者客户端。
具体的,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤包括:
对诈骗网站进行漏洞查找,并基于查找出的漏洞自动生成可采集所述诈骗网站后台网络信息的信息采集代码;
提交所述信息采集代码至所述诈骗网站,并接收诈骗网站返回的网站后台信息;
对所述网站后台信息进行信息检索,提取网站设置信息及登陆用户信息,并将所述网站设置信息及登陆用户信息回传至监控台。
所述取证程序模板通过查找诈骗网站漏洞,侵入诈骗网站后台服务器,进行后台信息爬取,若无法找到该诈骗网站的漏洞,则无法实现获取其后台信息。
为了避免更多的用户受害,当识别出诈骗网站后,对诈骗网站的新录入信息进行监控,具体的,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台。
由于本步骤中设置了预警机制,因此避免了更多的用户受骗,并且还可以及时根据预警信息提醒相关人员作出诈骗网站的查封动作,因此有效的制止了该诈骗网站潜在的危害。
较佳的,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤还包括:
所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;
若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
由于在对诈骗网站进行网页信息获取或者在获取后台信息时,可能会获取到来自诈骗网站的木马程序,由于诈骗网站一般都是通过木马程序进行非法信息获取的,因此当发现木马程序后,所述取证程序模块自动识别该木马程序,并自动下载该木马程序的反编译,提交到鉴定系统中进行应用指纹鉴定,HASH指纹鉴定,传播源鉴定,并且能够提取出木马程序中包含的手机号码,邮箱地址,从而更快的确定后台操作人员的正式身份,最终这些数据经过加工处理后再进一步自动提交到公安系统进行案件研判。
所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控台接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息。
由于诈骗网站的域名多变,上述步骤中对取证程序模板采集的后台信息进行存储,对采集到的后台信息进行分别存储,及时整理分析,为接下来的诈骗信息分析工作提供建议。
下面以本发明所述方法的具体应用实施例,对本发明所提供的方法做更加详细的说明。
如图2所示,本发明所公开的识别诈骗网站及远程木马取证的方法在具体实施时,可以在监控台中分别设置:WEB管理模块、非法网站自动化取证模块、APK木马自动化取证模块和数据管理模块。
其中,结合图3,所述WEB管理模块,用于对非法网站的筛选、甄别以及收集。具体的,通过部署监测传感器、通过网络爬虫在一些关键路由上进行流量镜像拷贝,再利用协议解析出从网站中爬取的符合HTTP规范的数据包,分析所述数据包中含有的内容,判断是否为符合恶意特征的网址,若是,则判定为诈骗网站。
非法网站自动化取证模块,用于首先对收集到的网站进行漏洞查找、然后从特征库中抽取能够适配的取证程序模板,并将所述取证程序模块提交到恶意网站的后台。
如果收集的符合恶意特征的非法网址类型在自动化取证特征库中含有相匹配的取证模板类,则取证程序模板会直接通过特征信息匹配诈骗网站,获取诈骗网站后台的非法证据信息。检测非法证据信息中含有的敏感数据,将敏感数据回传至监控平台。所述非法证据信息的获取步骤包括:取证程序模块侵入网站后台,当恶意网站后台操作人员阅读到自动化远程取证模板提交的代码以后,就会对当前的操作人员进行自动化互联网虚拟身份采集,采集的内容包含了后台操作人员的IP地址,代理IP,浏览器环境信息,受害人身份信息。
数据管理模块,则用于针对分析处理的结果进行存储、整理分析。
WEB管理模块实现了对自动化取证分析后的结果从数据库中提取,呈现给公安机关,其主要包括后台登陆地址,登陆的帐户密码以及被诈骗人的信息等。
结合图4,APK木马自动化取证模块包括:木马提取、分析处理、数据管理、WEB管理等模块,其中木马提取模块包括对非法网址中包含的APK木马的识别、下载等。分析处理模块对下载后的APK木马载进行反编译,提交到鉴定系统中进行应用指纹鉴定,HASH指纹鉴定,传播源鉴定,并且检索被木马获取的信息资料,将其提取传回自动化取证平台。而数据库管理模块针对分析处理的结果进行存储、整理分析。WEB管理模块实现了对自动化取证分析后的结果从数据库中提取,呈现给公安机关,主要包括邮箱帐号、密码、手机号码以及被骗信息等数据。,
最终这些数据经过加工处理后再进一步自动提交到公安系统进行案件研判,并且会同步在恶意网站的后台安装预警服务程序,一旦新的受害人信息被录入的时候,预警服务程序能够实时向公安机关的系统告警。
本发明采取了上述方案以后,可以实现对诈骗网站中含有的诈骗信息自动化取证。
在上述方法的基础上,本发明还公开了一种识别诈骗网站及远程木马取证的装置,如图5所示,所述识别诈骗网站及远程木马取证的装置包括:
网站收集模块501,用于基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;其功能如步骤S1所示。
网站识别模块502,用于将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;其功能如步骤S2所示。
特征库匹配模块503,用于根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;其功能如步骤S3所示。
信息提取模块504,用于所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台,其功能如步骤S4所示。
具体的,为了防止诈骗网站继续进行诈骗,对识别出的诈骗网站设置新信息录入预警机制,所述装置还包括:
预警模块,用于监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台。
所述装置还包括:
存储模块,用于接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息;
所述装置还包括:
木马破解模块,用于所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
较佳的,所述网站收集模块501包括:
检索网站单元,用于基于诈骗关键词收集多个与诈骗内容相关的疑似网站;
过滤网站单元,用于将疑似网站对应的网址和网站名称与网站白名单相比对,过滤其中进行过白名单备案的网站;
待识别网站收集单元,用于将过滤后得到的多个疑似网站判定为待识别网站。
较佳的,所述信息提取模块504包括:
漏洞识别单元,用于对诈骗网站进行漏洞查找,并基于查找出的漏洞自动生成可采集所述诈骗网站后台网络信息的信息采集代码;
后台信息采集单元,用于提交所述信息采集代码至所述诈骗网站,并接收诈骗网站返回的网站后台信息;
信息回传单元,用于对所述网站后台信息进行信息检索,提取网站设置信息及登陆用户信息,并将所述网站设置信息及登陆用户信息回传至监控台。
本发明其中所述识别诈骗网站及远程木马取证的控制程序被所述执行时实现以下步骤:
基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;
将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;
根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;
所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
本发明提供了一种识别诈骗网站及远程木马取证的方法及装置,通过基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。本发明所提供的方法及装置对诈骗网站进行识别和诈骗相关信息取证,打击诈骗行为。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种识别诈骗网站及远程木马取证的方法,其特征在于,包括:
基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;
将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;
根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;
所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
2.根据权利要求1所述的识别诈骗网站及远程木马取证的方法,其特征在于,所述基于诈骗关键词检索出多个待识别网站的步骤包括:
基于诈骗关键词收集多个与诈骗内容相关的疑似网站;
将疑似网站对应的网址和网站名称与网站白名单相比对,过滤其中进行过白名单备案的网站;
将过滤后得到的多个疑似网站判定为待识别网站。
3.根据权利要求1所述的识别诈骗网站及远程木马取证的方法,其特征在于,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤包括:
对诈骗网站进行漏洞查找,并基于查找出的漏洞自动生成可采集所述诈骗网站后台网络信息的信息采集代码;
提交所述信息采集代码至所述诈骗网站,并接收诈骗网站返回的网站后台信息;
对所述网站后台信息进行信息检索,提取网站设置信息及登陆用户信息,并将所述网站设置信息及登陆用户信息回传至监控台。
4.根据权利要求3所述的识别诈骗网站及远程木马取证的方法,其特征在于,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台。
5.根据权利要求3所述的识别诈骗网站及远程木马取证的方法,其特征在于,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤还包括:
所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;
若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
6.根据权利要求4所述的识别诈骗网站及远程木马取证的方法,其特征在于,所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台的步骤之后,还包括:
监控台接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息。
7.一种识别诈骗网站及远程木马取证的装置,其特征在于,包括:
网站收集模块,用于基于诈骗关键词检索出多个待识别网站,对各个所述待识别网站进行网页信息爬取;
网站识别模块,用于将从各个待识别网站爬取出的网页信息与恶意特征相匹配,将匹配成功的待识别网站判定为诈骗网站;
特征库匹配模块,用于根据各个诈骗网站含有的网页信息分析出诈骗网站所属特征,并将其所属特征与特征库中存储的取证程序模板相匹配,得到各个诈骗网站相适配的取证程序模板;
信息提取模块,用于所述取证程序模板自动获取所述诈骗网站的网站后台信息并将其回传至监控台。
8.根据权利要求7所述的识别诈骗网站及远程木马取证的装置,其特征在于,所述装置还包括:
预警模块,用于监控诈骗网站的后台信息,若监控到诈骗网站有新信息录入,则传送预警信息至监控台;
存储模块,用于接收并存储取证程序模块回传的所述网站设置信息及登陆用户信息;
所述网站设置信息包括:诈骗网站的IP地址、代理IP和浏览器环境信息;
木马破解模块,用于所述取证程序模板自动识别获取到的网站后台信息是否含有木马程序;若含有,则下载所述木马程序的反编译程序,并将反编译的结果传送至监控台。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810133074.0A CN108449319A (zh) | 2018-02-09 | 2018-02-09 | 一种识别诈骗网站及远程木马取证的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810133074.0A CN108449319A (zh) | 2018-02-09 | 2018-02-09 | 一种识别诈骗网站及远程木马取证的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN108449319A true CN108449319A (zh) | 2018-08-24 |
Family
ID=63192123
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810133074.0A Pending CN108449319A (zh) | 2018-02-09 | 2018-02-09 | 一种识别诈骗网站及远程木马取证的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108449319A (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109101657A (zh) * | 2018-08-30 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 传销推荐人网站识别方法、装置及设备 |
CN109409090A (zh) * | 2018-11-12 | 2019-03-01 | 北京知道创宇信息技术有限公司 | 网站后台检测方法、装置及服务器 |
CN109471993A (zh) * | 2018-10-09 | 2019-03-15 | 重庆易保全网络科技有限公司 | 在线实时网页取证方法、装置、存储介质及设备 |
CN111222131A (zh) * | 2020-01-07 | 2020-06-02 | 上海欣方智能系统有限公司 | 一种互联网诈骗apk的识别方法 |
CN111447211A (zh) * | 2020-03-24 | 2020-07-24 | 济南诚方网络科技有限公司 | 一种网络防诈骗系统 |
CN112330347A (zh) * | 2020-12-12 | 2021-02-05 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种智能识别诈骗团伙的方法及系统 |
CN112347328A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络平台识别方法、装置、设备及可读存储介质 |
CN112491864A (zh) * | 2020-11-23 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 检测网络诈骗的深度受害用户的方法、装置、设备及介质 |
CN113067820A (zh) * | 2021-03-19 | 2021-07-02 | 深圳市安络科技有限公司 | 对异常网页和/或app进行预警的方法、装置及设备 |
CN113098870A (zh) * | 2021-04-01 | 2021-07-09 | 恒安嘉新(北京)科技股份公司 | 一种网络诈骗检测方法、装置、电子设备及存储介质 |
CN113254844A (zh) * | 2021-07-07 | 2021-08-13 | 成都无糖信息技术有限公司 | 一种基于知识图谱和图片特征的诈骗网站识别方法与系统 |
CN113518075A (zh) * | 2021-05-14 | 2021-10-19 | 恒安嘉新(北京)科技股份公司 | 网络诈骗预警方法、装置、电子设备、及存储介质 |
CN113554023A (zh) * | 2021-07-20 | 2021-10-26 | 广州数智网络科技有限公司 | 一种网页自动取证的方法 |
CN113923011A (zh) * | 2021-09-30 | 2022-01-11 | 北京恒安嘉新安全技术有限公司 | 一种网络诈骗的预警方法、装置、计算机设备及存储介质 |
CN114205111A (zh) * | 2021-11-02 | 2022-03-18 | 恒安嘉新(北京)科技股份公司 | 涉诈网站自动处理的方法、装置、设备及介质 |
CN113779481B (zh) * | 2021-09-26 | 2024-04-09 | 恒安嘉新(北京)科技股份公司 | 诈骗网站的识别方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060230039A1 (en) * | 2005-01-25 | 2006-10-12 | Markmonitor, Inc. | Online identity tracking |
CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
CN104954372A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种钓鱼网站的取证与验证方法及系统 |
CN107122987A (zh) * | 2017-06-20 | 2017-09-01 | 深圳安巽科技有限公司 | 一种通缉令诈骗的预警系统及方法 |
CN107342987A (zh) * | 2017-06-20 | 2017-11-10 | 深圳安巽科技有限公司 | 一种网络反电信诈骗系统 |
-
2018
- 2018-02-09 CN CN201810133074.0A patent/CN108449319A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060230039A1 (en) * | 2005-01-25 | 2006-10-12 | Markmonitor, Inc. | Online identity tracking |
CN103942497A (zh) * | 2013-09-11 | 2014-07-23 | 杭州安恒信息技术有限公司 | 一种取证式网站漏洞扫描方法和系统 |
CN104954372A (zh) * | 2015-06-12 | 2015-09-30 | 中国科学院信息工程研究所 | 一种钓鱼网站的取证与验证方法及系统 |
CN107122987A (zh) * | 2017-06-20 | 2017-09-01 | 深圳安巽科技有限公司 | 一种通缉令诈骗的预警系统及方法 |
CN107342987A (zh) * | 2017-06-20 | 2017-11-10 | 深圳安巽科技有限公司 | 一种网络反电信诈骗系统 |
Cited By (21)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109101657A (zh) * | 2018-08-30 | 2018-12-28 | 杭州安恒信息技术股份有限公司 | 传销推荐人网站识别方法、装置及设备 |
CN109471993A (zh) * | 2018-10-09 | 2019-03-15 | 重庆易保全网络科技有限公司 | 在线实时网页取证方法、装置、存储介质及设备 |
CN109409090A (zh) * | 2018-11-12 | 2019-03-01 | 北京知道创宇信息技术有限公司 | 网站后台检测方法、装置及服务器 |
CN109409090B (zh) * | 2018-11-12 | 2020-09-29 | 北京知道创宇信息技术股份有限公司 | 网站后台检测方法、装置及服务器 |
CN111222131B (zh) * | 2020-01-07 | 2024-02-02 | 上海欣方智能系统有限公司 | 一种互联网诈骗apk的识别方法 |
CN111222131A (zh) * | 2020-01-07 | 2020-06-02 | 上海欣方智能系统有限公司 | 一种互联网诈骗apk的识别方法 |
CN111447211A (zh) * | 2020-03-24 | 2020-07-24 | 济南诚方网络科技有限公司 | 一种网络防诈骗系统 |
CN112347328A (zh) * | 2020-10-27 | 2021-02-09 | 杭州安恒信息技术股份有限公司 | 一种网络平台识别方法、装置、设备及可读存储介质 |
CN112491864A (zh) * | 2020-11-23 | 2021-03-12 | 恒安嘉新(北京)科技股份公司 | 检测网络诈骗的深度受害用户的方法、装置、设备及介质 |
CN112330347A (zh) * | 2020-12-12 | 2021-02-05 | 国家计算机网络与信息安全管理中心江苏分中心 | 一种智能识别诈骗团伙的方法及系统 |
CN113067820A (zh) * | 2021-03-19 | 2021-07-02 | 深圳市安络科技有限公司 | 对异常网页和/或app进行预警的方法、装置及设备 |
CN113098870A (zh) * | 2021-04-01 | 2021-07-09 | 恒安嘉新(北京)科技股份公司 | 一种网络诈骗检测方法、装置、电子设备及存储介质 |
CN113518075A (zh) * | 2021-05-14 | 2021-10-19 | 恒安嘉新(北京)科技股份公司 | 网络诈骗预警方法、装置、电子设备、及存储介质 |
CN113518075B (zh) * | 2021-05-14 | 2023-10-17 | 恒安嘉新(北京)科技股份公司 | 网络诈骗预警方法、装置、电子设备、及存储介质 |
CN113254844B (zh) * | 2021-07-07 | 2021-09-24 | 成都无糖信息技术有限公司 | 一种基于知识图谱和图片特征的诈骗网站识别方法与系统 |
CN113254844A (zh) * | 2021-07-07 | 2021-08-13 | 成都无糖信息技术有限公司 | 一种基于知识图谱和图片特征的诈骗网站识别方法与系统 |
CN113554023A (zh) * | 2021-07-20 | 2021-10-26 | 广州数智网络科技有限公司 | 一种网页自动取证的方法 |
CN113779481B (zh) * | 2021-09-26 | 2024-04-09 | 恒安嘉新(北京)科技股份公司 | 诈骗网站的识别方法、装置、设备及存储介质 |
CN113923011A (zh) * | 2021-09-30 | 2022-01-11 | 北京恒安嘉新安全技术有限公司 | 一种网络诈骗的预警方法、装置、计算机设备及存储介质 |
CN113923011B (zh) * | 2021-09-30 | 2023-10-17 | 北京恒安嘉新安全技术有限公司 | 一种网络诈骗的预警方法、装置、计算机设备及存储介质 |
CN114205111A (zh) * | 2021-11-02 | 2022-03-18 | 恒安嘉新(北京)科技股份公司 | 涉诈网站自动处理的方法、装置、设备及介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108449319A (zh) | 一种识别诈骗网站及远程木马取证的方法及装置 | |
Carrier et al. | Getting physical with the digital investigation process | |
Pan et al. | Anomaly based web phishing page detection | |
Kohn et al. | Integrated digital forensic process model | |
CN103634306B (zh) | 网络数据的安全检测方法和安全检测服务器 | |
CN103685308B (zh) | 一种钓鱼网页的检测方法及系统、客户端、服务器 | |
CN106357689B (zh) | 威胁数据的处理方法及系统 | |
Rawat et al. | Dark web—onion hidden service discovery and crawling for profiling morphing, unstructured crime and vulnerabilities prediction | |
CN103150511B (zh) | 一种安全防护系统 | |
CN105933268A (zh) | 一种基于全量访问日志分析的网站后门检测方法及装置 | |
CN107688743B (zh) | 一种恶意程序的检测分析方法及系统 | |
CN112685737A (zh) | 一种app的检测方法、装置、设备及存储介质 | |
CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
CN103561012A (zh) | 一种基于关联树的web后门检测方法及系统 | |
Dadkhah et al. | An introduction to journal phishings and their detection approach | |
CN107451466A (zh) | 一种安全评估方法及装置、计算机装置、可读存储介质 | |
CN110535806A (zh) | 监测异常网站的方法、装置、设备和计算机存储介质 | |
WO2017063274A1 (zh) | 一种恶意跳转及恶意嵌套类不良网站的自动判定方法 | |
Makura et al. | Proactive forensics: Keystroke logging from the cloud as potential digital evidence for forensic readiness purposes | |
CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
Vargas et al. | Knowing your enemies: Leveraging data analysis to expose phishing patterns against a major US financial institution | |
CN113067820A (zh) | 对异常网页和/或app进行预警的方法、装置及设备 | |
Arshey et al. | Thwarting cyber crime and phishing attacks with machine learning: a study | |
Barr-Smith et al. | Phishing with a darknet: Imitation of onion services | |
Al-Mousa | Analyzing cyber-attack intention for digital forensics using case-based reasoning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180824 |