JP6487555B2 - フィッシングページの検出方法及びシステム - Google Patents
フィッシングページの検出方法及びシステム Download PDFInfo
- Publication number
- JP6487555B2 JP6487555B2 JP2017530712A JP2017530712A JP6487555B2 JP 6487555 B2 JP6487555 B2 JP 6487555B2 JP 2017530712 A JP2017530712 A JP 2017530712A JP 2017530712 A JP2017530712 A JP 2017530712A JP 6487555 B2 JP6487555 B2 JP 6487555B2
- Authority
- JP
- Japan
- Prior art keywords
- phishing
- page
- current page
- server
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims description 76
- 230000004044 response Effects 0.000 claims description 42
- 238000000034 method Methods 0.000 claims description 40
- 238000010276 construction Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 8
- 238000004590 computer program Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 230000007547 defect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000005242 forging Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/954—Navigation, e.g. using categorised browsing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Remote Sensing (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Radar, Positioning & Navigation (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Description
本願は、2015年08月28日に出願された中国特許出願番号「201510542777.5」の優先権を主張し、当該特許出願の全文を引用により本願に組み込む。
本願はインターネットページに関し、具体的に、本願はフィッシングページの検出方法及びシステムに関する。
インターネットデータが爆発的に増加することに伴って、ユーザが送信した銀行口座番号、パスワード等のプライバシー情報を盗むフィッシングサイトはますます多くなっている。フィッシングサイトのページは本物のウエブサイトインタフェースと完全に一致し、詐欺方式は当籤を餌としてアクセス者に口座番号とパスワード等のプライバシー情報を提供する要求を提出し、ユーザに身分情報、銀行口座等の情報を入力させるように誘導する方式と、タオバオ(Taobao)、工商銀行等のオンライン支払いページを偽造して、ユーザの銀行カード情報又はアリペイ(Alipay)アカウントを盗み取る方式と、を含む。フィッシングサイトの頻繁な発生はネットワークユーザのプライバシーと財産の安全性に非常に大きな危害を与える。ところが、従来のフィッシングページの検出方法は有効時間が短く、応用範囲が狭いという欠点があり、ユーザのネットワーク環境の安全性を効果的に確保できない。
従来技術での上記した欠陥又は欠点に鑑み、より効果的且つ正確なフィッシングページの検出手段を提供することが求められる。上記1つ又は複数の目的を実現するために、本願は検出データに対するフィードバックに基づいてフィッシングページを検出する方法及びシステムを提供する。
本願の一態様によれば、フィッシングページの検出方法を提供し、この方法は、現在のページがサーバー側へ送信しようとするユーザデータをインターセプトするステップと、前記ユーザデータの構造と同じであり、且つ前記ユーザデータの内容と異なる検出データを構築するステップと、前記検出データを前記サーバー側に送信するステップと、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップと、を含む。
本願の一実施形態によれば、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップにおいては、前記サーバー側の応答が前記検出データが認証に成功したことであると決定するステップと、前記現在のページがフィッシングページであると判定するステップと、を含んでもよい。
本願の一実施形態によれば、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップにおいては、前記サーバー側の応答が前記検出データが認証に失敗したことであると決定するステップと、前記ユーザデータの構造と同じであり、且つ前記ユーザデータの内容及び前記検出データの内容と異なる第2検出データを構築するステップと、前記第2検出データを前記サーバー側に送信するステップと、前記サーバー側の応答が前記第2検出データが認証に成功したことである場合、前記現在のページがフィッシングページであると判定するステップと、を含んでもよい。
本願の一実施形態によれば、上記方法は、前記現在のページが疑似フィッシングページであるかどうかを判定するステップと、前記現在のページが疑似フィッシングページであると決定する場合にのみ、前記現在のページがサーバー側へ送信しようとするユーザデータをインターセプトするステップと、をさらに含んでもよい。
本願の一実施形態によれば、現在のページが疑似フィッシングページであると判定するステップにおいては、前記現在のページが前記サーバー側へ送信しようとする前記ユーザデータが平文であると決定するステップを含んでもよい。
本願の一実施形態によれば、現在のページが疑似フィッシングページであると判定するステップにおいては、前記現在のページの内容に基づいて前記現在のページの公式サイトのウェブアドレスを決定するステップと、前記現在のページのウェブアドレスが決定した公式サイトのウェブアドレスと一致しないと決定した場合、前記現在のページが疑似フィッシングページであると判定するステップと、を含んでもよい。
本願の一実施形態によれば、前記ユーザデータは、ユーザ名とパスワードとを含んでもよい。
本願の一実施形態によれば、上記方法は、前記現在のページがフィッシングページであると判定することに応答して、前記公式サイトをユーザに表示することをさらに含んでもよい。
本願の一実施形態によれば、上記方法は、前記現在のページがフィッシングページであると判定することに応答してユーザにリスク警告を報知するステップと、前記ユーザから前記リスク警告に対するフィードバックを受信するステップと、前記フィードバックに基づいてフィッシングサイトデータベースを生成するステップと、前記現在のページがサーバー側へ送信しようとするユーザデータをインターセプトする前に、前記フィッシングサイトデータベースによって前記現在のページがフィッシングサイトであるかどうかを判断するステップと、をさらに含んでもよい。
本願の別の態様によれば、フィッシングページの検出システムを提供し、このシステムは、現在のページがサーバー側へ送信しようとするユーザデータをインターセプトするように配置されるインターセプト装置と、前記ユーザデータの構造と同じであり、前記ユーザデータの内容と異なる検出データを構築するように配置される検出データ構築装置と、前記検出データを前記サーバー側に送信するように配置される送信装置と、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するように配置される判定装置と、を備える。
本願に係るフィッシングページの検出方法及びシステムはクライアントがサーバー側に送信したユーザデータをインターセプトして置換するとともに、サーバー側の応答を判断することによって現在のページがフィッシングページであるかどうかを判断し、従って、フィッシングページを正確且つ即座に検出して、ユーザに安全なネットワーク環境を提供し、更にユーザの財産やプライバシーを効果的に保護することができる。
以下の図面を参照しながら行った非限定的な実施例についての詳細な説明に基づいて、本願の他の特徴、目的や利点はより明瞭になる。
以下、図面及び実施例を参照しながら本発明をより詳細に説明する。ここで説明する具体的な実施例は、かかる発明を説明するものに過ぎず、当該発明を限定するものではないと理解すべきである。ただし、説明の便宜上、図面に発明に関連する部分のみが示されている。
なお、衝突しない場合、本願の実施例及び実施例の特徴を相互に組み合せてもよい。以下、図面及び実施例を参照しながら本願を詳細に説明する。
図1は本願に係るフィッシングページの検出方法及びシステムを適用できる例示的なシステムアーキテクチャー100を示す。
図1に示すように、システムアーキテクチャ100は、クライアント装置101、102、103、ネットワーク104、及びサーバ105を備えてもよい。ネットワーク104は、クライアント装置101、102、103及びサーバ105の間に通信リンクを提供する媒体に用いられている。ネットワーク104は、様々な接続タイプ、例えば有線、無線通信リンク又は光ファイバーケーブル等を含んでもよい。
ユーザはクライアント装置101、102、103を用いてネットワーク104を介してサーバ105とインタラクションして、それによりウェブサイトをログインしたり、メッセージなどを送受信したりすることができる。クライアント装置101、102、103に、様々なページブラウザー又はクライアント側アプリケーションがインストールされてもよい。
クライアント側101、102、103は様々な電子デバイスであってもよく、スマートフォン、タブレットPC、ラップトップ型コンピュータ及びデスクトップコンピュータなどを含むが、それらに限定されるものではない。
サーバ105は様々なサービス(例えば、ウェブページ、アプリケーション、銀行口座のログイン及び支払操作等)を提供するサーバであってもよい。
なお、図1における端末装置、ネットワーク及びサーバの数は例示的なものに過ぎない。必要に応じて、端末装置、ネットワーク及びサーバの数が任意であってもよい。
本願に係るフィッシングページの検出方法は、クライアント側101、102、103で単独に実行されてもよく、クライアント側101、102、103とサーバ105とによって実行されてもよい。相応に、フィッシングページの検出システムは一般的にクライアント側101、102、103に設けられている。
次に、図2に示されるように、本願の一実施形態に係るフィッシングページの検出方法200を示す。
図2に示すように、ステップ202では、現在のページがサーバー側へ送信しようとするユーザデータがインターセプトされ、ステップ204では、ユーザデータの構造と同じである検出データを構築し、ここで、検出データの内容がユーザデータの内容と異なり、ステップ206では、検出データをサーバー側に送信し、ステップ208では、サーバー側の応答に基づいて現在のページがフィッシングページであるかどうかを判定する。
本願の一実施形態によれば、ユーザデータはユーザに関連する各種のフィールドを含んでもよく、例えばユーザ名、登録メールボックス、携帯電話番号、及びパスワード(例えばパスワードとログイン認証番号)を含むが、これらに制限されない。
例えば、図3はフィッシングページの概略図を例示的に示し、ログインページは「ID」と「パスワード」のフィールドを含み、従って図3に示す実施例では、ユーザデータはIDとパスワードの2つのフィールドを含む。
図3に示す場合を例として、ユーザがユーザ名フィールドとパスワードフィールドを入力して「ログイン」をクリックすると、サーバーへデータパケットを提供する操作をトリガーする。通常、ユーザデータはPOST動作でサーバーに送信される。当該POST動作は例えば、ユーザが入力した内容に基づいてデータを構築し、構築したデータを例えばHTTPプロトコルでサーバー側に送信することを含んでもよい。
ステップ202では、電子機器(例えば図1におけるクライアント101、102、103)がサーバーへデータパケットを提供する操作、例えばPOST操作はインターセプトされる。次に、ステップ204では、電子機器(例えば図1におけるクライアント101、102、103)はインターセプトしたユーザデータの構造と同じであるがユーザデータの内容と異なる検出データを構築する。
図3に示す場合を例として、ユーザデータに基づいてユーザデータのユーザ名と同じであるがユーザデータのパスワードと異なる検出データを構築してもよく、ユーザデータのユーザ名及びパスワードと異なる検出データを構築してもよい。
フィッシングサイトに検出が見破られることを防止するために、構築した検出データの各フィールドの長さはユーザデータの各フィールドの長さにそれぞれ対応してもよい。ステップ206では、電子機器(例えば図1におけるクライアント101、102、103)は構築した検出データを例えばPOST方法でサーバー側(例えば図1におけるサーバー105)に送信する。
ステップ208では、電子機器(例えば図1におけるクライアント101、102、103)はサーバー側(例えば図1におけるサーバー105)の応答に基づいて現在のページがフィッシングページであるかどうかを判定する。以下、サーバー側の異なる応答に応じて、対応したフィッシングページの判断を行うことについて、具体的に説明する。
場合1:サーバー側の応答は検出データが認証に成功したことである。
図4は本願の実施形態に係るフィッシングページの検出方法400を示し、図4に示すように、方法400のステップ402〜406は方法200のステップ202〜206と同一であるため、ここで重複説明を省略する。ステップ408では、サーバー側の応答が検出データが認証に成功したことであると決定し、ステップ410では、現在のページがフィッシングページであると判定する。
例えば、検出データがサーバーの認証に成功した応答はページに「ログイン成功」、「デブロッキング成功」等を表示することであってもよい。検出データがユーザデータに基づいて偽造する各フィールドを含むため、公式サイトにとっては、当該検出データが認証に成功する可能性がない。従って、この場合、現在のページがフィッシングページであると判定できる。
場合2:サーバー側の応答は検出データが認証に失敗したことである。
一部のフィッシングページはユーザがID情報とパスワードを入力した後に情報が誤ったと警告し、ユーザに2回目の入力をさせるように誘導し、この警告によってユーザに入力した情報を確認させ、それによりフィッシングの成功率を向上させる。従って、本願はページに対して検出を2回行う方法を提供する。
図5は本願の実施形態に係るフィッシングページの検出方法500を示し、図5に示すように、方法500のステップ502〜506は方法200のステップ202〜206と同一であるため、ここで重複説明を省略する。ステップ508では、サーバー側の応答が検出データが認証に失敗したことであると決定し、ステップ510では、ユーザデータの構造と同じであり、且つユーザデータの内容及び検出データの内容と異なる第2検出データを構築し、ステップ512では、第2検出データをサーバー側に送信し、ステップ514では、サーバー側の応答が第2検出データが認証に成功したことであるかどうかを判定し、ステップ516では、ステップ514での判定結果が「はい」であることに応答し、現在のページがフィッシングページであると決定する。
更にネットワーク環境の安全性を確保するために、類似した方法によって、例えば3回目又は4回目の検出を含む複数回の検出を更に実行してもよい。
実際の応用において、ログインするごとにフィッシングページ検出を行う必要があるためユーザに不便さをもたらすことを避けるために、現在のページがフィッシングページであるかどうかを検出する前に、現在のページが疑似フィッシングページであるかどうかを予め判断し、現在のページが疑似フィッシングページである場合にのみ、上記方法200、400及び500を実行するようにしてもよい。
図6は本願の一実施形態に係るフィッシングページの検出方法600を示し、図6に示すように、方法600のステップ602〜606は方法200のステップ202〜206と同一であるため、ここで重複説明を省略する。ステップ602の前に、方法600はさらに、現在のページが疑似フィッシングページであるかどうかを判断するステップ601を含む。
本願の一実施形態によれば、現在のページが疑似フィッシングページであるかどうかを判断することは、現在のページがサーバー側へ送信しようとするユーザデータが平文であるかどうかを判断することによって実行されてもよい。現在のページがサーバー側へ送信しようとするユーザデータが平文であり、つまりブラウザに監視したユーザのデータがPOSTのデータと一致する場合、現在のページが疑似フィッシングページであると決定できる。
本願の一実施形態によれば、現在のページが疑似フィッシングページであることを判定することは、現在のページの内容に基づいて現在のページの公式サイトのウェブアドレスを決定するステップと、現在のページのウェブアドレスが決定した公式サイトのウェブアドレスと一致しないと決定する場合、現在のページが疑似フィッシングページであると判定するステップによって実行されてもよい。
また、現在のページがログインページであるかどうかを判断してもよい。例えば、ページヘッダーに「XXログイン」が含まれ、ページ構造における「input」ラベルの「value」が「ID」、「パスワード」等に設定され又はページに「ログイン」のボタンが含まれる場合、当該ページをログインページとみなす。
次に、例えば、現在のページ表示内容が「QQメールボックス」に関連する内容を含む場合、現在のページのウェブアドレスをQQメールボックスの公式サイトアドレスと比較し、比較した結果は両方が一致しない場合、現在のページが疑似フィッシングページであると決定する。
本願の一実施形態によれば、上記方法はさらに、現在のページがフィッシングページであると判定することに応答して、公式サイトをユーザに表示することを含んでもよい。例えば、ユーザの現在のページがある工商銀行の電子銀行を偽造したフィッシングサイトである場合、上記方法200、400、500又は600によって現在のページがフィッシングページであると判定した後に、当該工商銀行の公式サイトをユーザに表示できる。
図7は、本願の一実施形態に係るフィッシングページの検出方法700を示し、当該方法は、現在のページがフィッシングページであると判定することに応答してユーザにリスク警告を報知するステップ702と、ユーザからリスク警告に対するフィードバックを受信するステップ704と、フィードバックに基づいてフィッシングサイトデータベースを生成するステップ706と、現在のページがサーバー側へ送信しようとするユーザデータをインターセプトする前に、フィッシングサイトデータベースによって現在のページがフィッシングサイトであるかどうかを判断するステップ708と、を含む。
例えば、各ユーザの毎回のフィードバックをクラウドにアップロードし、これらのフィードバックを比較して分析し、フィッシングページとして決定されたページによってフィッシングサイトデータベースを形成することができる。それにより、次のフィッシングページ検出において、まず現在のページをフィッシングサイトデータベースと比較し、マッチング記録が存在する場合、現在のページをフィッシングページとして直接認定することができる。逆に、フィッシングサイトデータベースにおいて現在のページがない場合、上記の各種の方法を実行する。次の方法の実行中に現在のページがフィッシングページであると判定する場合、ユーザが現在のページのウェブアドレスをフィードバックしてクラウドにアップロードすることで、フィッシングページとして判定された現在のページがフィッシングサイトデータベースに追加される。
更に図8に示されるように、上記各図に示す方法の実施として、本願はフィッシングページの検出システムの一実施例を提供し、当該装置の実施例は図2に示す方法実施例に対応し、当該システム800の装置は具体的に各種の電子機器に適用できる。
当業者にとっては、上記フィッシングページの検出システム800はさらにいくつかのほかの周知構造、例えばプロセッサ、記憶装置等を備えることを理解すべきであり、本開示の実施例を明瞭に説明するように、これらの周知構造が図8に示されていない。
図8に示すように、システム800は、現在のページがサーバー側へ送信しようとするユーザデータをインターセプトするように配置されるインターセプト装置810と、ユーザデータの構造と同じであり、ユーザデータの内容と異なる検出データを構築するように配置される構築装置820と、検出データをサーバー側に送信するように配置される送信装置830と、サーバー側の応答に基づいて現在のページがフィッシングページであるかどうかを判定するように配置される判定装置840とを備えてもよい。インターセプト装置810、検出データ構築装置820、送信装置830及び判定装置840に関する具体的な操作はそれぞれ上記の方法200のステップ202〜208と同じであるため、ここで重複説明を省略する。
また、本願の実施形態によれば、インターセプト装置810、検出データ構築装置820、送信装置830及び判定装置840はクライアントに位置してもよく、例えば、プラグインとしてユーザのブラウザに嵌めこまれたり、ファイアウォールソフトウェアとしてクライアントのコンピュータにインストールされたりしてもよい。
本願の実施形態によれば、フィッシングページの検出システム800はさらに、前記現在のページがフィッシングページであることを判定することに応答して、前記公式サイトをユーザへ表示するように配置される公式サイト表示装置を備えてもよい。
本願の実施形態によれば、フィッシングページの検出システム800はさらに、前記現在のページがフィッシングページであることを判定することに応答してユーザへリスク警告を行い、前記ユーザからの前記リスク警告に対するフィードバックを受信し、前記フィードバックに基づいてフィッシングサイトデータベースを生成し、前記現在のページがサーバー側へ送信しようとするユーザデータをインターセプトする前に、前記フィッシングサイトデータベースによって前記現在のページがフィッシングサイトであるかどうかを判断するように配置されるフィッシングサイトデータベース生成装置を備えてもよい。
当該フィッシングサイトデータベース生成装置は以上で説明された方法700に対応するため、ここで重複説明を省略する。
以下、本発明の実施例を実現するためのクライアント装置又はサーバ側に適用されるコンピュータシステム900を示す構造模式図である図9を参照する。
図9に示すように、コンピュータシステム900は、読み出し専用メモリ(ROM)902に記憶されているプログラム又は記憶部908からランダムアクセスメモリ(RAM)903にロードされたプログラムに基づいて様々な適当な動作及び処理を実行することができる中央処理装置(CPU)901を備える。RAM903には、システム900の操作に必要な様々なプログラム及びデータがさらに記憶されている。CPU901、ROM902及びRAM903は、バス904を介して互いに接続されている。入力/出力(I/O)インターフェース905もバス904に接続されている。
キーボード、マウスなどを含む入力部906、陰極線管(CRT)、液晶ディスプレイ(LCD)など、及びスピーカなどを含む出力部907、ハードディスクなどを含む記憶部908、及びLANカード、モデムなどを含むネットワークインターフェースカードの通信部909は、I/Oインターフェース905に接続されている。通信部909は、例えばインターネットのようなネットワークを介して通信処理を実行する。ドライバ910は、必要に応じてI/Oインターフェース905に接続される。リムーバブルメディア911は、例えば、マグネチックディスク、光ディスク、光磁気ディスク、半導体メモリなどのようなものであり、必要に応じてドライバ910に取り付けられ、従って、ドライバ910から読み出されたコンピュータプログラムが必要に応じて記憶部908にインストールされる。
特に、本発明の実施例によれば、フローチャートを参照しながら記載された上記のプロセスは、コンピュータのソフトウェアプログラムとして実現されてもよい。例えば、本発明の実施例は、コンピュータプログラム製品を含み、当該コンピュータプログラム製品は、機械可読媒体に有形に具現化されるコンピュータプログラムを含み、前記コンピュータプログラムは、フローチャートで示される方法を実行するためのプログラムコードを含む。このような実施例では、当該コンピュータプログラムは、通信部909を介してネットワークからダウンロードされてインストールされてもよく、及び/又はリムーバブルメディア911からインストールされてもよい。
図面におけるフローチャート及びブロック図は、本発明の各実施例に係るシステム、方法及びコンピュータプログラム製品により実現可能なアーキテクチャ、機能及び操作を示す。ここで、フローチャート又はブロック図における各枠は、1つのモジュール、プログラムセグメント、又はコードの一部を代表してもよく、前記モジュール、プログラムセグメント、又はコードの一部は、規定された論理機能を達成するための1つ以上の実行可能な命令を含む。また、いくつかの代替実施態様として、枠に示された機能は、図面に示された順番と異なる順番で実行されてもよい。例えば、連続して示された2つの枠は、関連する機能に応じて、実際にほぼ並行に実行されてもよく、逆の順番で実行されてもよい。また、ブロック図及び/又はフローチャートにおける各枠と、ブロック図及び/又はフローチャートにおける枠の組合せは、規定された機能又は操作を実行する、ハードウェアに基づく専用システムで実現されてもよく、あるいは、専用ハードウェアとコンピュータの命令との組合せで実行されてもよい。
本発明の実施例に記載されたユニットは、ソフトウェアで実現されてもよく、ハードウェアで実現されてもよい。記載されたユニットは、プロセッサに設定されてもよく、例えば、「インターセプトユニット、検出データ構築ユニット、送信ユニット及び判定ユニットを備えるプロセッサ」として記載されてもよい。その中でも、これらのユニットの名称は、ある場合において当該ユニットその自体を限定するものではなく、例えば、インターセプトユニットは、「現在のページがサーバー側へ送信しようとするユーザデータをインターセプトするユニット」として記載されてもよい。
一方、本発明は、不揮発性コンピュータ記憶媒体をさらに提供し、当該不揮発性コンピュータ記憶媒体は、上記実施例の前記装置に含まれる不揮発性コンピュータ記憶媒体であってもよく、独立に存在して端末に組み立てられていない不揮発性コンピュータ記憶媒体であってもよい。前記不揮発性コンピュータ記憶媒体は、1つ以上のプログラムが記憶され、前記プログラムは、1つ又は一つ以上のプロセッサが本願に記載されているフィッシングページの検出方法を実行することに用いられる。
以上の記載は、本発明の好ましい実施例、及び使用された技術的原理の説明に過ぎない。本発明に係る特許請求の範囲が、上記した技術的特徴の特定な組合せからなる技術案に限定されることではなく、本発明の趣旨を逸脱しない範囲で、上記の技術的特徴又は同等の特徴の任意の組合せからなる他の技術案も含むべきであることを、当業者は理解すべきである。例えば、上記の特徴と、本発明に開示された類似の機能を持っている技術的特徴(これらに限定されていない)とを互いに置き換えてなる技術案が挙げられる。
Claims (18)
- インターセプト装置が、現在のページからサーバー側へ送信しようとするユーザデータをインターセプトするステップと、
検出データ構築装置が、前記ユーザデータの構造と同じであり、且つ前記ユーザデータの内容と異なる検出データを構築するステップと、
送信装置が、前記検出データを前記サーバー側に送信するステップと、
判定装置が、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップと、を含み、
前記判定装置が、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップは、
前記判定装置が、前記サーバー側の応答が前記検出データの認証失敗であるかを決定するステップと、
前記サーバー側の応答が前記検出データの認証失敗であると決定された場合、前記検出データ構築装置が、前記ユーザデータの構造と同じであり、且つ前記ユーザデータの内容及び前記検出データの内容と異なる第2検出データを構築するステップと、
前記送信装置が、前記第2検出データを前記サーバー側に送信するステップと、
前記判定装置が、前記サーバー側の応答が前記第2検出データの認証成功である場合、前記現在のページがフィッシングページであると判定するステップと、を含む
ことを特徴とするフィッシングページの検出方法。 - 前記判定装置が、前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するステップは、
前記サーバー側の応答が前記検出データの認証の成功であるかを決定するステップと、
前記サーバー側の応答が前記検出データの認証成功であると決定された場合、前記現在のページがフィッシングページであると判定するステップと、を含む
ことを特徴とする請求項1に記載の方法。 - 疑わしいフィッシングページ判定装置が、前記現在のページが疑わしいフィッシングページであるかどうかと決定するステップと、
前記現在のページが疑わしいフィッシングページであると決定した場合、前記インターセプト装置が、前記現在のページからサーバー側へ送信しようとするユーザデータをインターセプトするステップと、をさらに含む
ことを特徴とする請求項1に記載の方法。 - 前記疑わしいフィッシングページ判定装置が、現在のページが疑わしいフィッシングページであると判定するステップは、
前記現在のページから前記サーバー側へ送信しようとする前記ユーザデータが平文であるかどうかを決定し、平文であると決定された場合、前記現在のページが疑わしいフィッシングページであると判定するステップを含む
ことを特徴とする請求項3に記載の方法。 - 前記疑わしいフィッシングページ判定装置が、現在のページが疑わしいフィッシングページであると判定するステップは、
前記現在のページの内容に基づいて前記現在のページの公式サイトのウェブアドレスを決定するステップと、
前記現在のページのウェブアドレスと、決定した公式サイトのウェブアドレスとが一致しないと決定した場合、前記現在のページが疑わしいフィッシングページであると判定するステップと、を含む
ことを特徴とする請求項3に記載の方法。 - 前記ユーザデータは、ユーザ名とパスワードとを含む
ことを特徴とする請求項1〜5のいずれか1項に記載の方法。 - 前記判定装置により前記現在のページがフィッシングページであると判定することに応答して、公式サイト表示装置は、公式サイトをユーザに表示するステップをさらに含む
ことを特徴とする請求項1〜5のいずれか1項に記載の方法。 - フィッシングサイトデータベース生成装置が、前記現在のページがフィッシングページであると判定することに応答してユーザにリスク警告を報知するステップと、
前記フィッシングサイトデータベース生成装置が、前記ユーザから前記リスク警告に対するフィードバックを受信するステップと、
前記フィッシングサイトデータベース生成装置が、前記フィードバックに基づいてフィッシングサイトデータベースを生成するステップと、
前記フィッシングサイトデータベース生成装置が、前記現在のページからサーバー側へ送信しようとするユーザデータをインターセプトする前に、前記フィッシングサイトデータベースによって前記現在のページがフィッシングサイトに属するかどうかを判断するステップと、をさらに含む
ことを特徴とする請求項1〜5のいずれか1項に記載の方法。 - 現在のページからサーバー側へ送信しようとするユーザデータをインターセプトするように配置されるインターセプト装置と、
前記ユーザデータの構造と同じであり、前記ユーザデータの内容と異なる検出データを構築するように配置される検出データ構築装置と、
前記検出データを前記サーバー側に送信するように配置される送信装置と、
前記サーバー側の応答に基づいて前記現在のページがフィッシングページであるかどうかを判定するように配置される判定装置と、を備え、
前記検出データ構築装置はさらに、前記判定装置により前記サーバー側の応答が前記検出データの認証失敗であると決定することに応じて、前記ユーザデータの構造と同じであり、且つ前記ユーザデータの内容及び前記検出データの内容と異なる第2検出データを構築するように配置され、
前記送信装置はさらに、前記第2検出データを前記サーバー側に送信するように配置され、
前記判定装置はさらに、前記サーバー側の応答が前記第2検出データの認証成功である場合、前記現在のページがフィッシングページであると判定するように配置される
ことを特徴とするフィッシングページの検出システム。 - 前記判定装置は、
前記サーバー側の応答が前記検出データの認証成功であるかを決定し、
前記サーバー側の応答が前記検出データの認証成功であると決定された場合、前記現在のページがフィッシングページであると判定するように配置される
ことを特徴とする請求項9に記載のシステム。 - 前記現在のページが疑わしいフィッシングページであるかどうかを判定するように配置される疑わしいフィッシングページ判定装置をさらに備える
ことを特徴とする請求項9に記載のシステム。 - 前記疑わしいフィッシングページ判定装置は、前記現在のページから前記サーバー側へ送信しようとする前記ユーザデータが平文であるかどうかを決定するように配置される
ことを特徴とする請求項11に記載のシステム。 - 前記疑わしいフィッシングページ判定装置は、
前記現在のページの内容に基づいて前記現在のページの公式サイトのウェブアドレスを決定し、
前記現在のページのウェブアドレスと、決定した公式サイトのウェブアドレスとが一致するかどうかを決定するように配置される
ことを特徴とする請求項11に記載のシステム。 - 前記ユーザデータは、ユーザ名とパスワードとを含む
ことを特徴とする請求項9〜13のいずれか1項に記載のシステム。 - 前記現在のページがフィッシングページであると判定することに応答して、公式サイトをユーザに表示するように配置される公式サイト表示装置を備える
ことを特徴とする請求項9〜13のいずれか1項に記載のシステム。 - 前記現在のページがフィッシングページであると判定することに応答してユーザにリスク警告を報知し、
前記ユーザから前記リスク警告に対するフィードバックを受信し、
前記フィードバックに基づいてフィッシングサイトデータベースを生成し、
前記現在のページからサーバー側へ送信しようとするユーザデータをインターセプトする前に、前記フィッシングサイトデータベースによって前記現在のページがフィッシングサイトに属するかどうかを判断するように配置されるフィッシングサイトデータベース生成装置をさらに備える
ことを特徴とする請求項9〜13のいずれか1項に記載のシステム。 - プロセッサと、
記憶装置と、を備えており、
前記記憶装置に前記プロセッサが実行可能なコンピュータ可読命令が記憶されており、前記コンピュータ可読命令が実行される場合、前記プロセッサが請求項1〜8のいずれか1項に記載の方法を実行する
ことを特徴とする機器。 - 不揮発性コンピュータ記憶媒体であって、前記コンピュータ記憶媒体にプロセッサが実行可能なコンピュータ可読命令が記憶されており、前記コンピュータ可読命令が前記プロセッサによって実行される場合、前記プロセッサが請求項1〜8のいずれか1項に記載の方法を実行する
ことを特徴とする不揮発性コンピュータ記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510542777.5A CN105141610A (zh) | 2015-08-28 | 2015-08-28 | 钓鱼页面检测方法及系统 |
| CN201510542777.5 | 2015-08-28 | ||
| PCT/CN2015/099898 WO2017036043A1 (zh) | 2015-08-28 | 2015-12-30 | 钓鱼页面检测方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018504677A JP2018504677A (ja) | 2018-02-15 |
| JP6487555B2 true JP6487555B2 (ja) | 2019-03-20 |
Family
ID=54726818
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017530712A Active JP6487555B2 (ja) | 2015-08-28 | 2015-12-30 | フィッシングページの検出方法及びシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US10367849B2 (ja) |
| EP (1) | EP3214817B1 (ja) |
| JP (1) | JP6487555B2 (ja) |
| KR (1) | KR102026544B1 (ja) |
| CN (1) | CN105141610A (ja) |
| WO (1) | WO2017036043A1 (ja) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105141610A (zh) | 2015-08-28 | 2015-12-09 | 百度在线网络技术(北京)有限公司 | 钓鱼页面检测方法及系统 |
| US9843602B2 (en) * | 2016-02-18 | 2017-12-12 | Trend Micro Incorporated | Login failure sequence for detecting phishing |
| US11316895B1 (en) * | 2016-10-20 | 2022-04-26 | United Services Automobile Association (Usaa) | Method of generating and using credentials to detect the source of account takeovers |
| US10419477B2 (en) * | 2016-11-16 | 2019-09-17 | Zscaler, Inc. | Systems and methods for blocking targeted attacks using domain squatting |
| CN109257751A (zh) * | 2018-11-14 | 2019-01-22 | 四川长虹电器股份有限公司 | 一种伪基站短信中钓鱼链接的处理系统 |
| US11233820B2 (en) | 2019-09-10 | 2022-01-25 | Paypal, Inc. | Systems and methods for detecting phishing websites |
| US11595435B2 (en) | 2020-03-09 | 2023-02-28 | EC-Council International Limited | Methods and systems for detecting phishing emails using feature extraction and machine learning |
| CN112559993B (zh) * | 2020-12-24 | 2024-02-02 | RealMe重庆移动通信有限公司 | 身份认证方法、装置、系统及电子设备 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7913302B2 (en) * | 2004-05-02 | 2011-03-22 | Markmonitor, Inc. | Advanced responses to online fraud |
| JP2006221242A (ja) * | 2005-02-08 | 2006-08-24 | Fujitsu Ltd | 認証情報詐取防止システム、プログラム及び方法 |
| KR100670826B1 (ko) * | 2005-12-10 | 2007-01-19 | 한국전자통신연구원 | 인터넷 개인 정보 보호 방법 및 그 장치 |
| JP2007334759A (ja) * | 2006-06-16 | 2007-12-27 | Oki Electric Ind Co Ltd | 情報漏洩防止装置、方法及びプログラム |
| US20080244715A1 (en) * | 2007-03-27 | 2008-10-02 | Tim Pedone | Method and apparatus for detecting and reporting phishing attempts |
| US9130986B2 (en) | 2008-03-19 | 2015-09-08 | Websense, Inc. | Method and system for protection against information stealing software |
| WO2009117445A2 (en) | 2008-03-19 | 2009-09-24 | Websense, Inc. | Method and system for protection against information stealing software |
| JP5661290B2 (ja) * | 2010-01-26 | 2015-01-28 | ヤフー株式会社 | 情報処理装置及び方法 |
| US9083733B2 (en) * | 2011-08-01 | 2015-07-14 | Visicom Media Inc. | Anti-phishing domain advisor and method thereof |
| US9111090B2 (en) * | 2012-04-02 | 2015-08-18 | Trusteer, Ltd. | Detection of phishing attempts |
| CN103516693B (zh) * | 2012-06-28 | 2017-10-24 | 中国电信股份有限公司 | 鉴别钓鱼网站的方法与装置 |
| US9027126B2 (en) | 2012-08-01 | 2015-05-05 | Bank Of America Corporation | Method and apparatus for baiting phishing websites |
| US8839369B1 (en) * | 2012-11-09 | 2014-09-16 | Trend Micro Incorporated | Methods and systems for detecting email phishing attacks |
| JP5753302B1 (ja) * | 2014-08-25 | 2015-07-22 | 株式会社 ディー・エヌ・エー | ウェブページへのアクセスを警告するためのプログラム、方法、及びシステム |
| CN105141610A (zh) | 2015-08-28 | 2015-12-09 | 百度在线网络技术(北京)有限公司 | 钓鱼页面检测方法及系统 |
-
2015
- 2015-08-28 CN CN201510542777.5A patent/CN105141610A/zh active Pending
- 2015-12-30 JP JP2017530712A patent/JP6487555B2/ja active Active
- 2015-12-30 US US15/533,925 patent/US10367849B2/en active Active
- 2015-12-30 EP EP15902847.1A patent/EP3214817B1/en active Active
- 2015-12-30 WO PCT/CN2015/099898 patent/WO2017036043A1/zh active Application Filing
- 2015-12-30 KR KR1020177015129A patent/KR102026544B1/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| KR102026544B1 (ko) | 2019-09-27 |
| KR20170101905A (ko) | 2017-09-06 |
| JP2018504677A (ja) | 2018-02-15 |
| CN105141610A (zh) | 2015-12-09 |
| EP3214817A4 (en) | 2018-01-24 |
| EP3214817A1 (en) | 2017-09-06 |
| EP3214817B1 (en) | 2019-01-30 |
| US20180205758A1 (en) | 2018-07-19 |
| US10367849B2 (en) | 2019-07-30 |
| WO2017036043A1 (zh) | 2017-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6487555B2 (ja) | フィッシングページの検出方法及びシステム | |
| US11924234B2 (en) | Analyzing client application behavior to detect anomalies and prevent access | |
| US10270758B2 (en) | Login method, server, and login system | |
| US10460097B2 (en) | Malicious client detection based on usage of negotiable protocols | |
| US20170331634A1 (en) | Detecting and preventing man-in-the-middle attacks on an encrypted connection | |
| AU2016318602B2 (en) | Secured user credential management | |
| CN107733853B (zh) | 页面访问方法、装置、计算机和介质 | |
| US10474810B2 (en) | Controlling access to web resources | |
| US20120204242A1 (en) | Protecting web authentication using external module | |
| US20220414226A1 (en) | Systems and methods for dynamic detection of vulnerable credentials | |
| US20230065787A1 (en) | Detection of phishing websites using machine learning | |
| US20230353596A1 (en) | Systems and methods for preventing one-time password phishing | |
| US9225689B2 (en) | Hardware security agent for network communications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180426 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180529 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180829 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20190205 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20190221 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6487555 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |