CN114285627B - 流量检测方法及装置、电子设备和计算机可读存储介质 - Google Patents
流量检测方法及装置、电子设备和计算机可读存储介质 Download PDFInfo
- Publication number
- CN114285627B CN114285627B CN202111573657.3A CN202111573657A CN114285627B CN 114285627 B CN114285627 B CN 114285627B CN 202111573657 A CN202111573657 A CN 202111573657A CN 114285627 B CN114285627 B CN 114285627B
- Authority
- CN
- China
- Prior art keywords
- domain name
- page
- original page
- counterfeit
- original
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 44
- 230000008520 organization Effects 0.000 claims abstract description 45
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims abstract description 31
- 108010064775 protein C activator peptide Proteins 0.000 claims abstract description 31
- 238000000034 method Methods 0.000 claims abstract description 14
- 238000012545 processing Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000006854 communication Effects 0.000 description 4
- 238000013461 design Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 241000283080 Proboscidea <mammal> Species 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
Landscapes
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种流量检测方法及装置、电子设备和计算机可读存储介质,涉及网络安全技术领域,该方法包括:基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型。通过本发明的技术方案,提升了钓鱼网站检测的准确性和全面性,有效维护了网络安全。
Description
【技术领域】
本发明涉及网络安全技术领域,尤其涉及一种流量检测方法及装置、电子设备和计算机可读存储介质。
【背景技术】
近年来,各APT(Advanced Persistent Threat,高级可持续性威胁攻击或定向威胁攻击)组织(如绿斑、苦象、孔夫子等)针对我国境内的钓鱼攻击层出不穷。攻击者主要通过仿冒教育科研、国企央企、政府机构邮件系统的登陆网页引诱目标用户访问,以便对目标用户进行钓鱼攻击,其钓鱼攻击的主要目的在于获取目标用户的邮箱账号、密码等信息,以便窃取目标用户的机密信息,或进一步利用窃取的邮箱向其他用户传播恶意软件。
目前,一般通过对开启的网页进行直接检测来识别其是否为钓鱼网站,这一检测方法具有滞后性,无法及时阻断目标用户接触钓鱼网站的风险,且检测方式较为单一,导致难以识别伪装较深的钓鱼网站,容易漏检。
因此,如何提升钓鱼网站检测的及时性和准确性,成为目前亟待解决的技术问题。
【发明内容】
本发明实施例提供了一种流量检测方法及装置、电子设备和计算机可读存储介质,旨在解决相关技术中检测钓鱼网站的及时性和准确性不足的技术问题。
第一方面,本发明实施例提供了一种流量检测方法,包括:基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型。
在本发明上述实施例中,可选地,所述基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面的步骤,包括:在所述PCAP流量文件中提取具有相同确认字符的数据;基于每组所述具有相同确认字符的数据,生成对应的所述原始页面。
在本发明上述实施例中,可选地,所述原始页面的页面特征包括:域名关键字、页面关键字、引用资源URL和页面显示标识中的一项或多项。
在本发明上述实施例中,可选地,所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述原始页面的主域名不匹配,确定所述原始页面为仿冒页面;若确定所述原始页面为仿冒页面,则通过所述文本信息中示出的主域名与所述指定安全域名的主域名进行匹配,确定具体的仿冒对象。
在本发明上述实施例中,可选地,所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,还包括:基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度,其中,所述域名信息包括字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符。
在本发明上述实施例中,可选地,所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:在所述原始页面的源码中具有下载标识的情况下,检测所述下载标识是否包括原始域名;若所述原始页面的整体域名与所述原始域名不一致,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,所述基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型的步骤,包括:若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征,确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击;否则,获取人工判断信息,并基于所述人工判断信息确定所述仿冒页面的受攻击类型为已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击之一。
第二方面,本发明实施例提供了一种流量检测装置,包括:页面还原单元,用于基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;域名匹配单元,用于若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;仿冒页面判断单元,用于在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;受攻击类型确定单元,用于当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型。
在本发明上述实施例中,可选地,所述页面还原单元用于:在所述PCAP流量文件中提取具有相同确认字符的数据;基于每组所述具有相同确认字符的数据,生成对应的所述原始页面。
在本发明上述实施例中,可选地,所述原始页面的页面特征包括:域名关键字、页面关键字、引用资源URL和页面显示标识中的一项或多项。
在本发明上述实施例中,可选地,所述仿冒页面判断单元用于:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述原始页面的主域名不匹配,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,所述仿冒页面判断单元用于:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面;若确定所述原始页面为仿冒页面,则通过所述文本信息中示出的主域名与所述指定安全域名的主域名进行匹配,确定具体的仿冒对象。
在本发明上述实施例中,可选地,还包括:相似度计算单元,用于基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度,其中,所述域名信息包括字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符。
在本发明上述实施例中,可选地,所述仿冒页面判断单元用于:在所述原始页面的源码中具有下载标识的情况下,检测所述下载标识是否包括原始域名;若所述原始页面的整体域名与所述原始域名不一致,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,所述受攻击类型确定单元用于:若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征,确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击;否则,获取人工判断信息,并基于所述人工判断信息确定所述仿冒页面的受攻击类型为已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击之一。
第三方面,本发明实施例提供了一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述第一方面中任一项所述的方法。
第四方面,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述第一方面中任一项所述的方法流程。
通过以上技术方案,针对相关技术中检测钓鱼网站的及时性和准确性不足的技术问题,通过对PCAP流量文件的还原和检测来实现钓鱼攻击检测,使得钓鱼攻击检测的步骤有效提前,解决了相关技术中钓鱼攻击检测功能滞后带来的安全隐患问题,并且,本方案可通过多种方式检测邮件页面是否为钓鱼网站仿冒,提升了钓鱼网站检测的准确性和全面性,有效维护了网络安全。
【附图说明】
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1示出了根据本发明的一个实施例的流量检测方法的流程图;
图2示出了根据本发明的一个实施例的流量检测装置的框图;
图3示出了根据本发明的一个实施例的电子设备的框图。
【具体实施方式】
为了更好的理解本发明的技术方案,下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
图1示出了根据本发明的一个实施例的流量检测方法的流程图。
如图1所示,根据本发明的一个实施例的流量检测方法的流程包括:
步骤102,基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面。
电子设备在网络中获取流量时,会将流量抓取为PCAP流量文件,再通过PCAP流量文件生成流量所代表的网页等内容。因此,对PCAP流量文件进行钓鱼网站的检测,相对于相关技术中通过对开启的网页进行直接检测来识别其是否为钓鱼网站的方式,能够将钓鱼网站检测尽可能地提前,提升了钓鱼网站检测的及时性。
具体地,还原所述PCAP流量文件包括的原始页面的步骤包括:在所述PCAP流量文件中提取具有相同ACK(Acknowledge character,确认字符)的数据;基于每组所述具有相同ACK的数据,生成对应的所述原始页面。
在网络通信过程中,同一个页面往往由同一次对话产生,而同一次对话中,接收方发给发送方一种传输类控制字符,以表示发来的数据已确认接收无误,这一传输类控制字符即ACK,由此,同一次对话所产生的流量数据具有相同的ACK。故可以在所述PCAP流量文件中提取具有相同ACK的数据,这些数据即为同一次对话产生,对其进行重组和还原,即可得到一个完整的原始页面,即HTML(Hyper Text Markup Language,超文本标记语言)页面,该页面可用于后续步骤中的钓鱼网站检测。
步骤104,若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名。
其中,预先设置有邮件系统特征库,邮件系统特征库存储有邮件系统的网页所具有的网页特征,对此,首先判断邮件系统特征库中是否具有与所述原始页面的页面特征相匹配的预定特征,若具有,说明所述原始页面具有邮件系统的网页所具有的网页特征,可将所述原始网页判定为邮件系统的网页。
所述原始页面的页面特征包括但不限于域名关键字、页面关键字、引用资源URL和页面显示标识中的一项或多项,在对比所述原始页面的页面特征与邮件系统特征库中的预定特征时,可对比页面特征中的任一项,也可对比页面特征中的多项。
在原始网页为邮件系统的网页时,进入进一步判断,即判断所述原始页面的域名是否为指定安全域名。指定安全域名包括境内高校科研、国企单位、政府机构等任何合法邮件系统的官方域名,相当于白名单。在所述原始页面的域名为所述指定安全域名时,说明所述原始页面为合法邮件系统所提供的页面,不具有钓鱼网站的可能性,反之,若所述原始页面的域名非所述指定安全域名,则说明所述原始页面不在合法邮件系统所提供的页面之中,具有钓鱼网站的可能性,故进入下述第三步的判断。
步骤106,在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象。
在一种可能的设计中,预定判断方式包括:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述原始页面的主域名不匹配,确定所述原始页面为仿冒页面。
指定标识符指的是@,因本方案主要针对邮件系统中的页面,则还原出的原始页面中一般具有邮件地址,而邮件地址中包括@符号,邮件地址中@符号之后的部分即邮件地址的访问域名。
若指定标识符后的文本信息示出的主域名与所述原始页面的主域名不匹配,即所述原始页面中邮件地址中@符号之后的部分与所述原始页面的主域名不一致,此时,可判定所述原始页面为仿冒页面。例如,xiaokeai@mail.antiy.cn中,antiy.cn就是主域名,若antiy.cn与原始页面http://mail.antiyphishing.com主域名不一致,则说明两者为不同来源,在所述原始页面不属于指定安全域名情况下,此时,即可确定所述原始页面为仿冒页面。
在另一种可能的设计中,预定判断方式包括:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面。
此时,若指定标识符后的文本信息示出的主域名与所述指定安全域名的主域名不匹配,即所述原始页面中邮件地址中@符号之后的部分与所述指定安全域名的主域名不一致,说明该邮件地址并非来自指定安全域名,具有仿冒风险。此时,为进一步确定原始页面是否为钓鱼网站,可再判断所述文本信息与所述指定安全域名的主域名相似度是否足够相似,若两者足够相似,说明该邮件地址的主域名就是为仿冒指定安全域名而设置的,故可确定所述原始页面为仿冒页面。
具体地,判断所述文本信息与所述指定安全域名的主域名相似度是否足够相似的步骤包括:判断所述文本信息与所述指定安全域名的主域名相似度是否大于或等于指定阈值,其中,指定阈值为所述文本信息对应的邮件地址并非来自指定安全域名时,所述文本信息与所述指定安全域名的主域名最低主域名相似度。因此,当所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值时,说明两者高度相似,该邮件地址的主域名就是为仿冒指定安全域名而设置的,故可确定所述原始页面为仿冒页面。
进一步地,计算该主域名相似度的步骤包括:基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度。
即通过所述文本信息中示出的主域名的域名信息和所述指定安全域名的主域名的域名信息的对比来确定主域名相似度,其中,可对每种域名信息进行特征值转换,并将各域名信息对应的特征值进行归一化处理,使其具有相近的、便于计算的量级,再基于归一化处理后的各域名信息的特征值和各域名信息对应的权重,进行加权求和,得到主域名相似度。其中,所述域名信息包括但不限于字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符。
在再一种可能的设计中,在所述原始页面的源码中具有下载标识的情况下,检测所述下载标识是否包括原始域名;若所述原始页面的整体域名与所述原始域名不一致,确定所述原始页面为仿冒页面。
若原始页面是基于指定安全域名下载而来的仿冒页面,则原始页面的源码中会留下下载痕迹,即原始页面的源码中会具有下载标识。因此,若在所述原始页面的源码中检测到下载标识,即说明所述原始页面具有仿冒可能性。
进一步地,检测所述下载标识内包括的原始域名是否与所述原始页面的整体域名一致,若不一致,可确定所述原始页面并非原始域名下的合法页面,而是下载自原始域名处的仿冒页面。
通过以上多种设计单独使用或组合使用,可有效判断原始页面是否为仿冒页面,提升仿冒页面判断的准确性。
另外,在确定仿冒页面后,可通过所述文本信息中示出的主域名与所述指定安全域名的主域名进行匹配,确定具体的仿冒对象,以确定仿冒网页是针对哪个指定安全域名进行仿冒,确定该被仿冒的指定安全域名面对风险。
步骤108,当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型。
最终,若所述原始页面为仿冒页面,即可进一步确定所述仿冒页面的受攻击类型,即求证仿冒页面的攻击者是否为已知的APT组织。
具体地,若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征,确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击。APT组织特征库中存储有已知APT组织的组织信息,包括但不限于APT组织名称、组织来源、最早攻击时间等;以及已知钓鱼攻击所可能具备的特征信息,包括但不限于特殊的字符、特定的词汇用语、特殊的回传URL等特征信息。若所述原始页面的属性信息与这些贴所述原始页面的特征信息相匹配,则说明所述原始页面属于APT组织特征库中已存储的已知APT组织的已知钓鱼攻击。
否则,说明所述原始页面属于已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击之一,此时,可由管理者进行人工检测和识别,而电子设备则获取人工判断信息,并基于所述人工判断信息确定所述仿冒页面的受攻击类型为已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击中的哪一种。
通过以上技术方案,通过对PCAP流量文件的还原和检测来实现钓鱼攻击检测,使得钓鱼攻击检测的步骤有效提前,解决了相关技术中钓鱼攻击检测功能滞后带来的安全隐患问题,并且,本方案可通过多种方式检测邮件页面是否为钓鱼网站仿冒,提升了钓鱼网站检测的准确性和全面性,有效维护了网络安全。
图2示出了根据本发明的一个实施例的流量检测装置的框图。
如图2所示,根据本发明的一个实施例的流量检测装置200包括:页面还原单元202,用于基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;域名匹配单元204,用于若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;仿冒页面判断单元206,用于在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;受攻击类型确定单元208,用于当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型。
在本发明上述实施例中,可选地,所述页面还原单元202用于:在所述PCAP流量文件中提取具有相同确认字符的数据;基于每组所述具有相同确认字符的数据,生成对应的所述原始页面。
在本发明上述实施例中,可选地,所述原始页面的页面特征包括:域名关键字、页面关键字、引用资源URL和页面显示标识中的一项或多项。
在本发明上述实施例中,可选地,所述仿冒页面判断单元206用于:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述原始页面的主域名不匹配,确定所述原始页面为仿冒页面;若确定所述原始页面为仿冒页面,则通过所述文本信息中示出的主域名与所述指定安全域名的主域名进行匹配,确定具体的仿冒对象。
在本发明上述实施例中,可选地,所述仿冒页面判断单元206用于:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,还包括:相似度计算单元,用于基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度,其中,所述域名信息包括字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符。
在本发明上述实施例中,可选地,所述仿冒页面判断单元206用于:在所述原始页面的源码中具有下载标识的情况下,检测所述下载标识是否包括原始域名;若所述原始页面的整体域名与所述原始域名不一致,确定所述原始页面为仿冒页面。
在本发明上述实施例中,可选地,所述受攻击类型确定单元208用于:若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征,确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击;否则,获取人工判断信息,并基于所述人工判断信息确定所述仿冒页面的受攻击类型为已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击之一。
该流量检测装置200使用上述实施例中任一项所述的方案,因此,具有上述所有技术效果,在此不再赘述。
图3示出了本发明的一个实施例的电子设备的框图。
如图3所示,本发明的一个实施例的电子设备300,包括至少一个存储器302;以及,与所述至少一个存储器302通信连接的处理器304;其中,所述存储器存储有可被所述至少一个处理器304执行的指令,所述指令被设置为用于执行上述任一实施例中所述的方案。因此,该电子设备300具有和上述任一实施例中相同的技术效果,在此不再赘述。
本发明实施例的电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子装置。
另外,本发明实施例提供了一种计算机可读存储介质,存储有计算机可执行指令,所述计算机可执行指令用于执行上述任一实施例中所述的方法流程。
以上结合附图详细说明了本发明的技术方案,通过本发明的技术方案,通过对PCAP流量文件的还原和检测来实现钓鱼攻击检测,使得钓鱼攻击检测的步骤有效提前,解决了相关技术中钓鱼攻击检测功能滞后带来的安全隐患问题,并且,本方案可通过多种方式检测邮件页面是否为钓鱼网站仿冒,提升了钓鱼网站检测的准确性和全面性,有效维护了网络安全。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机装置(可以是个人计算机,服务器,或者网络装置等)或处理器(Processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。
Claims (9)
1.一种流量检测方法,其特征在于,包括:
基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;
若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;
在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;
当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型;
所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:
获取所述原始页面中指定标识符后的文本信息;
若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面;
其中,基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度,所述域名信息包括字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符;
其中,可对每种域名信息进行特征值转换,并将每种域名信息对应的特征值进行归一化处理,再基于归一化处理后的每个域名信息的特征值和每个域名信息对应的权重,进行加权求和,得到所述主域名相似度。
2.根据权利要求1所述的流量检测方法,其特征在于,所述基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面的步骤,包括:
在所述PCAP流量文件中提取具有相同确认字符的数据;
基于每组所述具有相同确认字符的数据,生成对应的所述原始页面。
3.根据权利要求1所述的流量检测方法,其特征在于,
所述原始页面的页面特征包括:域名关键字、页面关键字、引用资源URL和页面显示标识中的一项或多项。
4.根据权利要求1至3中任一项所述的流量检测方法,其特征在于,所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:
获取所述原始页面中指定标识符后的文本信息;
若所述文本信息中示出的主域名与所述原始页面的主域名不匹配,确定所述原始页面为仿冒页面;
若确定所述原始页面为仿冒页面,则通过所述文本信息中示出的主域名与所述指定安全域名的主域名进行匹配,确定具体的仿冒对象。
5.根据权利要求1至3中任一项所述的流量检测方法,其特征在于,所述基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象的步骤,包括:
在所述原始页面的源码中具有下载标识的情况下,检测所述下载标识是否包括原始域名;
若所述原始页面的整体域名与所述原始域名不一致,确定所述原始页面为仿冒页面。
6.根据权利要求1所述的流量检测方法,其特征在于,所述基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型的步骤,包括:
若所述原始页面的属性信息中具有与所述APT组织特征库相匹配的目标APT组织特征,确定所述仿冒页面的受攻击类型为已知APT组织的已知钓鱼攻击;
否则,获取人工判断信息,并基于所述人工判断信息确定所述仿冒页面的受攻击类型为已知APT组织的未知钓鱼攻击、未知APT组织的未知钓鱼攻击以及非APT组织的钓鱼攻击之一。
7.一种流量检测装置,其特征在于,包括:
页面还原单元,用于基于PCAP流量文件,还原所述PCAP流量文件包括的原始页面;
域名匹配单元,用于若所述原始页面的页面特征与邮件系统特征库中的预定特征相匹配,确定所述原始页面的域名是否为指定安全域名;
仿冒页面判断单元,用于在所述原始页面的域名非所述指定安全域名时,基于预定判断方式,确定所述原始页面是否为仿冒页面和仿冒对象;
受攻击类型确定单元,用于当确定所述原始页面为仿冒页面时,基于APT组织特征库和所述原始页面的属性信息,确定所述仿冒页面的受攻击类型;
所述仿冒页面判断单元用于:获取所述原始页面中指定标识符后的文本信息;若所述文本信息中示出的主域名与所述指定安全域名的主域名不匹配,且所述文本信息与所述指定安全域名的主域名相似度大于或等于指定阈值,确定所述原始页面为仿冒页面;
所述流量检测装置还包括:相似度计算单元,用于基于所述文本信息中示出的主域名的域名信息,以及所述指定安全域名的主域名的域名信息,计算所述主域名相似度,其中,所述域名信息包括字符长度、单个字符内容、字符整体内容、字符排列顺序和关联相似字符,
其中,可对每种域名信息进行特征值转换,并将每种域名信息对应的特征值进行归一化处理,再基于归一化处理后的每个域名信息的特征值和每个域名信息对应的权重,进行加权求和,得到所述主域名相似度。
8.一种电子设备,其特征在于,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被设置为用于执行上述权利要求1至6中任一项所述的方法。
9.一种计算机可读存储介质,其特征在于,存储有计算机可执行指令,所述计算机可执行指令用于执行如权利要求1至6中任一项所述的方法流程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111573657.3A CN114285627B (zh) | 2021-12-21 | 2021-12-21 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111573657.3A CN114285627B (zh) | 2021-12-21 | 2021-12-21 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114285627A CN114285627A (zh) | 2022-04-05 |
| CN114285627B true CN114285627B (zh) | 2023-12-22 |
Family
ID=80873581
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111573657.3A Active CN114285627B (zh) | 2021-12-21 | 2021-12-21 | 流量检测方法及装置、电子设备和计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114285627B (zh) |
Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| CN104050257A (zh) * | 2014-06-13 | 2014-09-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| WO2015191394A1 (en) * | 2014-06-09 | 2015-12-17 | Northrop Grumman Systems Corporation | System and method for real-time detection of anomalies in database usage |
| CN105488400A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种恶意网页综合检测方法及系统 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| CN107172050A (zh) * | 2017-05-19 | 2017-09-15 | 北京安数云信息技术有限公司 | Apt攻击行为的检测方法及检测系统 |
| CN107679029A (zh) * | 2017-08-28 | 2018-02-09 | 昆明理工大学 | 一种高准确性英文域名相似度检测方法 |
| CN109688139A (zh) * | 2018-12-27 | 2019-04-26 | 成都国信安信息产业基地有限公司 | 云平台安全检测系统 |
| CN110149319A (zh) * | 2019-04-26 | 2019-08-20 | 北京奇安信科技有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
| CN110233849A (zh) * | 2019-06-20 | 2019-09-13 | 电子科技大学 | 网络安全态势分析的方法及系统 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN110784462A (zh) * | 2019-10-23 | 2020-02-11 | 北京邮电大学 | 基于混合方法的三层钓鱼网站检测系统 |
| CN111147490A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种定向钓鱼攻击事件发现方法及装置 |
| CN111147489A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 |
| CN111526099A (zh) * | 2020-03-25 | 2020-08-11 | 华东师范大学 | 基于深度学习的物联网应用流量检测方法 |
| CN112039888A (zh) * | 2020-08-31 | 2020-12-04 | 成都安恒信息技术有限公司 | 一种域名访问控制的接入方法、装置、设备及介质 |
| CN112200196A (zh) * | 2020-11-10 | 2021-01-08 | 平安普惠企业管理有限公司 | 钓鱼网站检测方法、装置、设备及计算机可读存储介质 |
| CN112347244A (zh) * | 2019-08-08 | 2021-02-09 | 四川大学 | 基于混合特征分析的涉黄、涉赌网站检测方法 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
| CN112751804A (zh) * | 2019-10-30 | 2021-05-04 | 北京观成科技有限公司 | 一种仿冒域名的识别方法、装置和设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ITMI20131081A1 (it) * | 2013-06-28 | 2014-12-29 | Athonet S R L | Radio access network control of media session |
-
2021
- 2021-12-21 CN CN202111573657.3A patent/CN114285627B/zh active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
| WO2015191394A1 (en) * | 2014-06-09 | 2015-12-17 | Northrop Grumman Systems Corporation | System and method for real-time detection of anomalies in database usage |
| CN104050257A (zh) * | 2014-06-13 | 2014-09-17 | 百度国际科技(深圳)有限公司 | 钓鱼网页的检测方法和装置 |
| CN105488400A (zh) * | 2014-12-13 | 2016-04-13 | 哈尔滨安天科技股份有限公司 | 一种恶意网页综合检测方法及系统 |
| CN105141598A (zh) * | 2015-08-14 | 2015-12-09 | 中国传媒大学 | 基于恶意域名检测的apt攻击检测方法及装置 |
| CN106713312A (zh) * | 2016-12-21 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 检测非法域名的方法及装置 |
| CN107172050A (zh) * | 2017-05-19 | 2017-09-15 | 北京安数云信息技术有限公司 | Apt攻击行为的检测方法及检测系统 |
| CN107679029A (zh) * | 2017-08-28 | 2018-02-09 | 昆明理工大学 | 一种高准确性英文域名相似度检测方法 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN109688139A (zh) * | 2018-12-27 | 2019-04-26 | 成都国信安信息产业基地有限公司 | 云平台安全检测系统 |
| CN110149319A (zh) * | 2019-04-26 | 2019-08-20 | 北京奇安信科技有限公司 | Apt组织的追踪方法及装置、存储介质、电子装置 |
| CN110233849A (zh) * | 2019-06-20 | 2019-09-13 | 电子科技大学 | 网络安全态势分析的方法及系统 |
| CN112347244A (zh) * | 2019-08-08 | 2021-02-09 | 四川大学 | 基于混合特征分析的涉黄、涉赌网站检测方法 |
| CN110784462A (zh) * | 2019-10-23 | 2020-02-11 | 北京邮电大学 | 基于混合方法的三层钓鱼网站检测系统 |
| CN112751804A (zh) * | 2019-10-30 | 2021-05-04 | 北京观成科技有限公司 | 一种仿冒域名的识别方法、装置和设备 |
| CN111147490A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种定向钓鱼攻击事件发现方法及装置 |
| CN111147489A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 |
| CN111526099A (zh) * | 2020-03-25 | 2020-08-11 | 华东师范大学 | 基于深度学习的物联网应用流量检测方法 |
| CN112039888A (zh) * | 2020-08-31 | 2020-12-04 | 成都安恒信息技术有限公司 | 一种域名访问控制的接入方法、装置、设备及介质 |
| CN112200196A (zh) * | 2020-11-10 | 2021-01-08 | 平安普惠企业管理有限公司 | 钓鱼网站检测方法、装置、设备及计算机可读存储介质 |
| CN112685737A (zh) * | 2020-12-24 | 2021-04-20 | 恒安嘉新(北京)科技股份公司 | 一种app的检测方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| Zhen Ma ; Qiang Li ; Xiangyu Meng."Discovering Suspicious APT Families Through a Large-Scale Domain Graph in Information-Centric IoT".《IEEE Access》.2019,全文. * |
| 罗扶华 ; 张爱新 ."基于深度学习的僵尸网络检测技术研究".《通信技术》.2020,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114285627A (zh) | 2022-04-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2708508C1 (ru) | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями | |
| CN112567710B (zh) | 用于污染网络钓鱼活动响应的系统和方法 | |
| US10021134B2 (en) | Methods and systems for phishing detection | |
| US9912687B1 (en) | Advanced processing of electronic messages with attachments in a cybersecurity system | |
| Zhang et al. | Cantina: a content-based approach to detecting phishing web sites | |
| US9123027B2 (en) | Social engineering protection appliance | |
| CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
| CN105635126B (zh) | 恶意网址访问防护方法、客户端、安全服务器及系统 | |
| CN103916244B (zh) | 验证方法及装置 | |
| CN105516133B (zh) | 用户身份的验证方法、服务器及客户端 | |
| KR101328389B1 (ko) | 메신저 피싱을 탐지하는 장치 및 방법 | |
| US20100154055A1 (en) | Prefix Domain Matching for Anti-Phishing Pattern Matching | |
| JP2019528509A (ja) | オンライン詐欺を検出するためのシステムおよび方法 | |
| CN108683667B (zh) | 账户保护方法、装置、系统和存储介质 | |
| EP2283446A1 (en) | Fraudulent page detection | |
| Geng et al. | Combating phishing attacks via brand identity and authorization features | |
| CN111147489A (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN108234454B (zh) | 一种身份认证方法、服务器及客户端设备 | |
| CN110740117B (zh) | 仿冒域名检测方法、装置、电子设备及存储介质 | |
| JP4564916B2 (ja) | フィッシング詐欺対策方法、端末、サーバ及びプログラム | |
| CN112039874B (zh) | 一种恶意邮件的识别方法及装置 | |
| CN114285627B (zh) | 流量检测方法及装置、电子设备和计算机可读存储介质 | |
| CN111027065B (zh) | 一种勒索病毒识别方法、装置、电子设备及存储介质 | |
| CN111800391B (zh) | 端口扫描攻击的检测方法、装置、电子设备及存储介质 | |
| CN115603924A (zh) | 一种钓鱼邮件的检测方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |