CN109218332A - 一种埋点式钓鱼网站监测方法 - Google Patents
一种埋点式钓鱼网站监测方法 Download PDFInfo
- Publication number
- CN109218332A CN109218332A CN201811224106.4A CN201811224106A CN109218332A CN 109218332 A CN109218332 A CN 109218332A CN 201811224106 A CN201811224106 A CN 201811224106A CN 109218332 A CN109218332 A CN 109218332A
- Authority
- CN
- China
- Prior art keywords
- website
- code
- resource
- detection
- fishing website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种埋点式钓鱼网站监测方法,访问真实网站的首页;确定检测代码埋入点,埋入加密后的检测代码并将修改发布更新到线上环境,等待外部网站引用真实网站的资源,若外部网站引用真实网站的资源后触发检测代码执行,则判断外部网站是否在真实网站的可信资源的数据库中,若否则判定当前外部网站为可疑网站,进行人工审核。本发明通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。
Description
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种低成本、准确性高的埋点式钓鱼网站监测方法。
背景技术
钓鱼网站通常是指伪装成银行及电子商务、窃取用户提交的银行帐号及密码等私密信息的网站。“钓鱼”是一种网络欺诈行为,不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。由于钓鱼网站仿冒被攻击的网站,欺骗真实网站的最终用户,不用直接向被攻击的网站发起攻击,所以其攻击成本很低,且由于其仿冒的对象多是银行网站、第三方支付机构网站,所以其危害具体,导致网站及其最终用户经济利益受损。
由于钓鱼攻击不需要对被攻击者网站有直接的强相关性,不同于传统漏洞的攻击与防守,其不需要直接访问被攻击的网站,加之互联网的无边界性,钓鱼网站下的攻击防护首要面临的问题是可疑钓鱼网站的发现和检测。
现有技术中,主要通过枚举与真实网站相近相似的可疑网站信息、通过网络流量提取相关疑似钓鱼网站信息、通过真实网站的访问日志信息来提取可疑钓鱼网站信息这三种途径来提取可疑钓鱼网站列表,根据以上三种方法提取到钓鱼网站进行分析对比、人工校验最终来发现钓鱼网站。三种技术都具备一定的发现能力,但都具有一定的技术缺陷和不足。
现有技术的方法都存在着数据量巨大,计算量、网络访问吞吐资源非常大,一般情况下,主动生成的域名数量是千万级别,检测的范围扩大还伴随着检测结果的准确率下降的问题。具体来说:
(1)通过枚举与真实网站相近相似的可疑网站信息,主要通过枚举真实网站的相似域名,历史钓鱼网站的Whois注册信息、IP信息等相关联的网站信息,生成这些信息之后,访问这些相似的网站信息,根据返回的相关信息提取其中可疑的网站信息,最终进行校验和比对,此方法主动生成的相关网站信息数据量大,检测效率低,网络成本高昂,且由于其根据相关性来检测,会造成很多不相关的钓鱼网站、新的钓鱼网站无法检测;
(2)通过网络流量提取相关疑似钓鱼网站信息,面临着相似的问题,要获取国内大部分地区的网络访问数据非常困难,涉及相应的隐私和数据权限,同时也面临着巨大的网络计算开销,成本高昂;
(3)通过真实网站的访问日志信息来提取可疑钓鱼网站信息,检测成本相对较低,但对于重要的银行金融机构的网站数据流量很大,且容易被钓鱼网站采用离线引用真实网站的资源的方式达到绕过的目的。
发明内容
为了解决现有技术中,存在钓鱼网站发现困难、发现成本高、发现准确度不高的问题,本发明提供一种优化的埋点式钓鱼网站监测方法,成本更低廉、检出率更高、准确率更高。
本发明所采用的技术方案是,一种埋点式钓鱼网站监测方法,所述方法包括以下步骤:
步骤1:访问真实网站的首页;确定检测代码埋入点;
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境;
步骤3:等待外部网站引用真实网站的资源;
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步;
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步;
步骤6:判定当前外部网站为可疑网站,进行人工审核。
优选地,所述步骤1中,检测代码埋入点为分析网站首页源代码和加载资源后确认。
优选地,所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
优选地,所述步骤2中,检测代码为加密后的检测代码。
优选地,所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
优选地,若确认为真实的钓鱼网站,触发告警。
本发明提供了一种优化的埋点式钓鱼网站监测方法,通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种优化的埋点式钓鱼网站监测方法,成本更低廉、检出率更高、准确率更高。
本发明所采用的技术方案是,一种埋点式钓鱼网站监测方法,埋点式的技术类似于埋雷布点,即事先在重要的地方、环节、节点埋下重要的装置,钓鱼网站的攻击的特性,其一定会进行网站的仿冒,必然会引用真实网站的资源,因此外部条件触发后,则认为是检测到或发现了相应的对象。
所述方法包括以下步骤。
步骤1:访问真实网站的首页;确定检测代码埋入点。
所述步骤1中,检测代码埋入点为分析网站首页源代码和加载资源后确认。
所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
本发明中,真实网站是指容易被仿冒和实施钓鱼攻击的网站,一般是银行类、支付类、证券类网站,相对的就存在仿冒网站,即为假网站,是进行欺骗,为实施钓鱼攻击而建立的辅助网站。
本发明中,检测代码埋入点是技术人员通过分析目标网站的首页源代码和加载资源的情况后确认的,需要具备隐发蔽、且为浏览器支持Javascript的代码执行的地方。
本发明中,具体来说,埋入点应当优先考虑网站首页的HTML源代码中引入的CSS文件、JS文件以及首页HTML源代码中。考虑CSS文件是因为CSS文件为页面样式配置文件,因此仿冒网站一定会引用此文件;考虑JS文件是因为JS文件中使用的JavaScript代码可以带来更好的检测效果;而网页HTML源代码中,通过HTML标签的事件函数,如onload、onerror等,达到执行JavaScript代码的效果,且由于网页HTML源代码在HTML文档中,故仿冒网站一定会镜像此资源,从而为后续的检测代码执行创造条件。总体来说,埋入点既要考虑让仿冒者镜像,也要考虑浏览器的解析情况,还要考虑一定的隐藏能力,结合这三个要素可以找到比较合适的埋入点,从而更加高效的检测和发现钓鱼网站。
本发明中,举例来说,获取某地银行首页代码,在可以加载的资源中,存在一“/hzyh/uiFramework/js/counting/chanelCounting.js”文件,由于其路径中包含uiFramework字样,可能与网站的样式渲染和显示效果有关系,判断钓鱼网站引用资源时有极大可能会引用该资源,所以选择此资源作为埋入点,同时也可以选择CSS等文件来判断引用资源,确定检测代码埋入点。
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境。
所述步骤2中,检测代码为加密后的检测代码。
本发明中,埋入的检测代码应支持包括但不限于JavaScript、HTML、FLASH、CSS、字体类型,主要为通过浏览器解析资源时,进行加载。
本发明中,检测代码埋入在网站资源中,可以进行有效的加密,一定程度的保护埋入的检测代码信息,不会轻易被网站仿冒者发现及删除,甚至影响后续的执行触发,保障资源的安全。
本发明中,在埋入点埋入检测代码,主要功能包括判断当前浏览器引用资源的域是否属于真实网站的可信列表,如果不属于,则进行告警。
本发明中,在实际应用场景中,还需要对检测代码进行优化、健壮性完善等。
步骤3:等待外部网站引用真实网站的资源。
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步。
本发明中,由于钓鱼网站采用的是仿冒真实网站的手法来欺骗用户,所以其必须和真实网站保持极大的相似性,故极大情况下会引用网站的资源;基于浏览器的解释特性,埋入点代码属于浏览器解析自动执行,会对这些资源内引用的外部资源进行主动解析,所以即便是离线引用也会触发监控代码执行。
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步。
步骤6:判定当前外部网站为可疑网站,进行人工审核。
所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
若确认为真实的钓鱼网站,触发告警。
本发明通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。
Claims (6)
1.一种埋点式钓鱼网站监测方法,其特征在于:所述方法包括以下步骤:
步骤1:访问真实网站的首页;确定检测代码埋入点;
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境;
步骤3:等待外部网站引用真实网站的资源;
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步;
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步;
步骤6:判定当前外部网站为可疑网站,进行人工审核。
2.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤1中,检测代码埋入点为分析网站首页源代码和加载资源后确认。
3.根据权利要求2所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
4.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤2中,检测代码为加密后的检测代码。
5.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
6.根据权利要求5所述的一种埋点式钓鱼网站监测方法,其特征在于:若确认为真实的钓鱼网站,触发告警。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811224106.4A CN109218332B (zh) | 2018-10-19 | 2018-10-19 | 一种埋点式钓鱼网站监测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811224106.4A CN109218332B (zh) | 2018-10-19 | 2018-10-19 | 一种埋点式钓鱼网站监测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109218332A true CN109218332A (zh) | 2019-01-15 |
| CN109218332B CN109218332B (zh) | 2020-11-13 |
Family
ID=64980809
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811224106.4A Active CN109218332B (zh) | 2018-10-19 | 2018-10-19 | 一种埋点式钓鱼网站监测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109218332B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378695A (zh) * | 2022-08-19 | 2022-11-22 | 安天科技集团股份有限公司 | 克隆网页检测方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102799814A (zh) * | 2012-06-28 | 2012-11-28 | 北京奇虎科技有限公司 | 一种钓鱼网站查找系统及方法 |
| US20130145462A1 (en) * | 2011-12-02 | 2013-06-06 | Institute For Information Industry | Phishing Processing Method and System and Computer Readable Storage Medium Applying the Method |
| CN106888220A (zh) * | 2017-04-12 | 2017-06-23 | 恒安嘉新(北京)科技股份公司 | 一种钓鱼网站检测方法及设备 |
-
2018
- 2018-10-19 CN CN201811224106.4A patent/CN109218332B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130145462A1 (en) * | 2011-12-02 | 2013-06-06 | Institute For Information Industry | Phishing Processing Method and System and Computer Readable Storage Medium Applying the Method |
| CN102799814A (zh) * | 2012-06-28 | 2012-11-28 | 北京奇虎科技有限公司 | 一种钓鱼网站查找系统及方法 |
| CN106888220A (zh) * | 2017-04-12 | 2017-06-23 | 恒安嘉新(北京)科技股份公司 | 一种钓鱼网站检测方法及设备 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115378695A (zh) * | 2022-08-19 | 2022-11-22 | 安天科技集团股份有限公司 | 克隆网页检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109218332B (zh) | 2020-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10951636B2 (en) | Dynamic phishing detection methods and apparatus | |
| US9111090B2 (en) | Detection of phishing attempts | |
| Ramesh et al. | An efficacious method for detecting phishing webpages through target domain identification | |
| US9509714B2 (en) | Web page and web browser protection against malicious injections | |
| US9215242B2 (en) | Methods and systems for preventing unauthorized acquisition of user information | |
| US8201259B2 (en) | Method for evaluating and accessing a network address | |
| CN106789939B (zh) | 一种钓鱼网站检测方法和装置 | |
| Shekokar et al. | An ideal approach for detection and prevention of phishing attacks | |
| CN104753730B (zh) | 一种漏洞检测的方法及装置 | |
| CN106357696A (zh) | 一种sql注入攻击检测方法及系统 | |
| CN107800686B (zh) | 一种钓鱼网站识别方法和装置 | |
| CN105959324A (zh) | 基于正则匹配的网络攻击检测方法及装置 | |
| US20210051176A1 (en) | Systems and methods for protection from phishing attacks | |
| US20220030029A1 (en) | Phishing Protection Methods and Systems | |
| CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
| CN105488400A (zh) | 一种恶意网页综合检测方法及系统 | |
| Geng et al. | RRPhish: Anti-phishing via mining brand resources request | |
| Shahriar et al. | Proclick: a framework for testing clickjacking attacks in web applications | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| Shyni et al. | Phishing detection in websites using parse tree validation | |
| CN114095264A (zh) | 一种蜜罐系统的高交互溯源方法、装备及硬件 | |
| CN103336693B (zh) | refer链的创建方法、装置及安全检测设备 | |
| Zhu et al. | Detecting privilege escalation attacks through instrumenting web application source code | |
| CN109218332A (zh) | 一种埋点式钓鱼网站监测方法 | |
| KR20150059882A (ko) | 스마트폰용 악성앱 분석 시스템과 이를 이용한 스마트폰용 악성앱 분석 방법 및 스마트폰용 악성앱 차단 서비스 시스템 및 이를 이용한 스마트폰용 악성앱 차단 서비스 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |