CN109218332B - 一种埋点式钓鱼网站监测方法 - Google Patents

一种埋点式钓鱼网站监测方法 Download PDF

Info

Publication number
CN109218332B
CN109218332B CN201811224106.4A CN201811224106A CN109218332B CN 109218332 B CN109218332 B CN 109218332B CN 201811224106 A CN201811224106 A CN 201811224106A CN 109218332 B CN109218332 B CN 109218332B
Authority
CN
China
Prior art keywords
website
real
phishing
detection code
resources
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201811224106.4A
Other languages
English (en)
Other versions
CN109218332A (zh
Inventor
陈建勇
范渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN201811224106.4A priority Critical patent/CN109218332B/zh
Publication of CN109218332A publication Critical patent/CN109218332A/zh
Application granted granted Critical
Publication of CN109218332B publication Critical patent/CN109218332B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明涉及一种埋点式钓鱼网站监测方法,访问真实网站的首页;确定检测代码埋入点,埋入加密后的检测代码并将修改发布更新到线上环境,等待外部网站引用真实网站的资源,若外部网站引用真实网站的资源后触发检测代码执行,则判断外部网站是否在真实网站的可信资源的数据库中,若否则判定当前外部网站为可疑网站,进行人工审核。本发明通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。

Description

一种埋点式钓鱼网站监测方法
技术领域
本发明涉及数字信息的传输,例如电报通信的技术领域,特别涉及一种低成本、准确性高的埋点式钓鱼网站监测方法。
背景技术
钓鱼网站通常是指伪装成银行及电子商务、窃取用户提交的银行帐号及密码等私密信息的网站。“钓鱼”是一种网络欺诈行为,不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。由于钓鱼网站仿冒被攻击的网站,欺骗真实网站的最终用户,不用直接向被攻击的网站发起攻击,所以其攻击成本很低,且由于其仿冒的对象多是银行网站、第三方支付机构网站,所以其危害具体,导致网站及其最终用户经济利益受损。
由于钓鱼攻击不需要对被攻击者网站有直接的强相关性,不同于传统漏洞的攻击与防守,其不需要直接访问被攻击的网站,加之互联网的无边界性,钓鱼网站下的攻击防护首要面临的问题是可疑钓鱼网站的发现和检测。
现有技术中,主要通过枚举与真实网站相近相似的可疑网站信息、通过网络流量提取相关疑似钓鱼网站信息、通过真实网站的访问日志信息来提取可疑钓鱼网站信息这三种途径来提取可疑钓鱼网站列表,根据以上三种方法提取到钓鱼网站进行分析对比、人工校验最终来发现钓鱼网站。三种技术都具备一定的发现能力,但都具有一定的技术缺陷和不足。
现有技术的方法都存在着数据量巨大,计算量、网络访问吞吐资源非常大,一般情况下,主动生成的域名数量是千万级别,检测的范围扩大还伴随着检测结果的准确率下降的问题。具体来说:
(1)通过枚举与真实网站相近相似的可疑网站信息,主要通过枚举真实网站的相似域名,历史钓鱼网站的Whois注册信息、IP信息等相关联的网站信息,生成这些信息之后,访问这些相似的网站信息,根据返回的相关信息提取其中可疑的网站信息,最终进行校验和比对,此方法主动生成的相关网站信息数据量大,检测效率低,网络成本高昂,且由于其根据相关性来检测,会造成很多不相关的钓鱼网站、新的钓鱼网站无法检测;
(2)通过网络流量提取相关疑似钓鱼网站信息,面临着相似的问题,要获取国内大部分地区的网络访问数据非常困难,涉及相应的隐私和数据权限,同时也面临着巨大的网络计算开销,成本高昂;
(3)通过真实网站的访问日志信息来提取可疑钓鱼网站信息,检测成本相对较低,但对于重要的银行金融机构的网站数据流量很大,且容易被钓鱼网站采用离线引用真实网站的资源的方式达到绕过的目的。
发明内容
为了解决现有技术中,存在钓鱼网站发现困难、发现成本高、发现准确度不高的问题,本发明提供一种优化的埋点式钓鱼网站监测方法,成本更低廉、检出率更高、准确率更高。
本发明所采用的技术方案是,一种埋点式钓鱼网站监测方法,所述方法包括以下步骤:
步骤1:访问真实网站的首页;确定检测代码埋入点;
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境;
步骤3:等待外部网站引用真实网站的资源;
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步;
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步;
步骤6:判定当前外部网站为可疑网站,进行人工审核。
优选地,所述步骤1中,检测代码埋入点为分析网站首页源代码和加载资源后确认。
优选地,所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
优选地,所述步骤2中,检测代码为加密后的检测代码。
优选地,所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
优选地,若确认为真实的钓鱼网站,触发告警。
本发明提供了一种优化的埋点式钓鱼网站监测方法,通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。
附图说明
图1为本发明的流程图。
具体实施方式
下面结合实施例对本发明做进一步的详细描述,但本发明的保护范围并不限于此。
本发明涉及一种优化的埋点式钓鱼网站监测方法,成本更低廉、检出率更高、准确率更高。
本发明所采用的技术方案是,一种埋点式钓鱼网站监测方法,埋点式的技术类似于埋雷布点,即事先在重要的地方、环节、节点埋下重要的装置,钓鱼网站的攻击的特性,其一定会进行网站的仿冒,必然会引用真实网站的资源,因此外部条件触发后,则认为是检测到或发现了相应的对象。
所述方法包括以下步骤。
步骤1:访问真实网站的首页;确定检测代码埋入点。
所述步骤1中,检测代码埋入点为分析网站首页源代码和加载资源后确认。
所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
本发明中,真实网站是指容易被仿冒和实施钓鱼攻击的网站,一般是银行类、支付类、证券类网站,相对的就存在仿冒网站,即为假网站,是进行欺骗,为实施钓鱼攻击而建立的辅助网站。
本发明中,检测代码埋入点是技术人员通过分析目标网站的首页源代码和加载资源的情况后确认的,需要具备隐发蔽、且为浏览器支持Javascript的代码执行的地方。
本发明中,具体来说,埋入点应当优先考虑网站首页的HTML源代码中引入的CSS文件、JS文件以及首页HTML源代码中。考虑CSS文件是因为CSS文件为页面样式配置文件,因此仿冒网站一定会引用此文件;考虑JS文件是因为JS文件中使用的JavaScript代码可以带来更好的检测效果;而网页HTML源代码中,通过HTML标签的事件函数,如onload、onerror等,达到执行JavaScript代码的效果,且由于网页HTML源代码在HTML文档中,故仿冒网站一定会镜像此资源,从而为后续的检测代码执行创造条件。总体来说,埋入点既要考虑让仿冒者镜像,也要考虑浏览器的解析情况,还要考虑一定的隐藏能力,结合这三个要素可以找到比较合适的埋入点,从而更加高效的检测和发现钓鱼网站。
本发明中,举例来说,获取某地银行首页代码,在可以加载的资源中,存在一“/hzyh/uiFramework/js/counting/chanelCounting.js”文件,由于其路径中包含uiFramework字样,可能与网站的样式渲染和显示效果有关系,判断钓鱼网站引用资源时有极大可能会引用该资源,所以选择此资源作为埋入点,同时也可以选择CSS等文件来判断引用资源,确定检测代码埋入点。
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境。
所述步骤2中,检测代码为加密后的检测代码。
本发明中,埋入的检测代码应支持包括但不限于JavaScript、HTML、FLASH、CSS、字体类型,主要为通过浏览器解析资源时,进行加载。
本发明中,检测代码埋入在网站资源中,可以进行有效的加密,一定程度的保护埋入的检测代码信息,不会轻易被网站仿冒者发现及删除,甚至影响后续的执行触发,保障资源的安全。
本发明中,在埋入点埋入检测代码,主要功能包括判断当前浏览器引用资源的域是否属于真实网站的可信列表,如果不属于,则进行告警。
本发明中,在实际应用场景中,还需要对检测代码进行优化、健壮性完善等。
步骤3:等待外部网站引用真实网站的资源。
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步。
本发明中,由于钓鱼网站采用的是仿冒真实网站的手法来欺骗用户,所以其必须和真实网站保持极大的相似性,故极大情况下会引用网站的资源;基于浏览器的解释特性,埋入点代码属于浏览器解析自动执行,会对这些资源内引用的外部资源进行主动解析,所以即便是离线引用也会触发监控代码执行。
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步。
步骤6:判定当前外部网站为可疑网站,进行人工审核。
所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
若确认为真实的钓鱼网站,触发告警。
本发明通过预先在真实网站中埋入监控用的检测代码,当仿冒网站引用真实网站资源时,则会触发检测代码执行,对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站,本发明埋入网站中的监测点,即便钓鱼网站采用离线资源引用的方式,也能到检测得到。本发明成本低廉、检测效果好,精准度高。

Claims (6)

1.一种埋点式钓鱼网站监测方法,其特征在于:所述方法包括以下步骤:
步骤1:访问真实网站的首页;确定检测代码埋入点;
步骤2:从网站的后台在检测代码埋入点设置检测代码,并且将修改发布更新到线上环境;
步骤3:等待外部网站引用真实网站的资源;
步骤4:若外部网站引用真实网站的资源后未触发检测代码执行,则返回步骤3,否则,进行下一步;
步骤5:判断外部网站是否在真实网站的可信资源的数据库中,若是,则重复步骤3,否则,进行下一步;
步骤6:判定当前外部网站为可疑网站,进行人工审核。
2.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤1中,检测代码埋入点是技术人员通过分析目标网站的首页源代码和加载资源的情况后确认的。
3.根据权利要求2所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤1中,检测代码埋入点的位置包括浏览器支持代码执行的位置。
4.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤2中,检测代码为加密后的检测代码。
5.根据权利要求1所述的一种埋点式钓鱼网站监测方法,其特征在于:所述步骤6中,人工审核判断发现的可疑网站是否为真实的钓鱼网站。
6.根据权利要求5所述的一种埋点式钓鱼网站监测方法,其特征在于:若确认为真实的钓鱼网站,触发告警。
CN201811224106.4A 2018-10-19 2018-10-19 一种埋点式钓鱼网站监测方法 Active CN109218332B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811224106.4A CN109218332B (zh) 2018-10-19 2018-10-19 一种埋点式钓鱼网站监测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811224106.4A CN109218332B (zh) 2018-10-19 2018-10-19 一种埋点式钓鱼网站监测方法

Publications (2)

Publication Number Publication Date
CN109218332A CN109218332A (zh) 2019-01-15
CN109218332B true CN109218332B (zh) 2020-11-13

Family

ID=64980809

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811224106.4A Active CN109218332B (zh) 2018-10-19 2018-10-19 一种埋点式钓鱼网站监测方法

Country Status (1)

Country Link
CN (1) CN109218332B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115378695B (zh) * 2022-08-19 2024-10-11 安天科技集团股份有限公司 克隆网页检测方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102799814A (zh) * 2012-06-28 2012-11-28 北京奇虎科技有限公司 一种钓鱼网站查找系统及方法
CN106888220A (zh) * 2017-04-12 2017-06-23 恒安嘉新(北京)科技股份公司 一种钓鱼网站检测方法及设备

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI459232B (zh) * 2011-12-02 2014-11-01 Inst Information Industry 釣魚網站處理方法、系統以及儲存其之電腦可讀取記錄媒體

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102799814A (zh) * 2012-06-28 2012-11-28 北京奇虎科技有限公司 一种钓鱼网站查找系统及方法
CN106888220A (zh) * 2017-04-12 2017-06-23 恒安嘉新(北京)科技股份公司 一种钓鱼网站检测方法及设备

Also Published As

Publication number Publication date
CN109218332A (zh) 2019-01-15

Similar Documents

Publication Publication Date Title
US10951636B2 (en) Dynamic phishing detection methods and apparatus
CN107426181B (zh) 恶意Web访问请求的拦截方法及装置
CN104954372B (zh) 一种钓鱼网站的取证与验证方法及系统
AU2006200688B2 (en) Internet security
US20130263263A1 (en) Web element spoofing prevention system and method
Shekokar et al. An ideal approach for detection and prevention of phishing attacks
EP3343870A1 (en) System and method for detecting phishing web pages field of technology
Athulya et al. Towards the detection of phishing attacks
CN101816148A (zh) 用于验证、数据传送和防御网络钓鱼的系统和方法
US20210051176A1 (en) Systems and methods for protection from phishing attacks
CN102073822A (zh) 防止用户信息泄漏的方法及系统
CN116366338B (zh) 一种风险网站识别方法、装置、计算机设备及存储介质
CN104967628A (zh) 一种保护web应用安全的诱骗方法
CN104580092A (zh) 对网络页面进行安全性检测的方法和装置
Rajalingam et al. Prevention of phishing attacks based on discriminative key point features of webpages
CN110851838A (zh) 一种基于互联网的云测试系统及安全测试方法
CN108270754B (zh) 一种钓鱼网站的检测方法及装置
Roopak et al. On effectiveness of source code and SSL based features for phishing website detection
CN109218332B (zh) 一种埋点式钓鱼网站监测方法
Waziri Website forgery: Understanding phishing attacks and nontechnical Countermeasures
CN117040804A (zh) 网站的网络攻击检测方法、装置、设备、介质和程序产品
Glăvan et al. Detection of phishing attacks using the anti-phishing framework
CN106790102A (zh) 一种基于url特征的qr码网络钓鱼识别方法及系统
Balamuralikrishna et al. Mitigating Online Fraud by Ant phishing Model with URL & Image based Webpage Matching
Chhajed et al. Detecting cross-site scripting vulnerability and performance comparison using C-Time and E-Time

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant