WO2014063520A1

WO2014063520A1 - 一种判断钓鱼网站的方法及装置

Info

Publication number: WO2014063520A1
Application number: PCT/CN2013/081760
Authority: WO
Inventors: 温铭
Original assignee: 北京奇虎科技有限公司; 奇智软件（北京）有限公司
Priority date: 2012-10-25
Filing date: 2013-08-19
Publication date: 2014-05-01
Also published as: US20150281244A1; CN102957694A; US20170331830A1; US10270779B2; US9742774B2; CN102957694B

Abstract

本发明公开了一种判断钓鱼网站的方法和装置，其中，所述方法包括：服务器判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；客户端获取所述灰网站在本地客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；若是，则判定为非钓鱼网站；若否，则客户端获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。本发明用以当服务器不能确定客户端访问的网站否为钓鱼网站，或者服务端故障时，可以在客户端第一时间拦截到最新生成的钓鱼网站，拦截大部分的钓鱼网站，以保证网络安全。

Description

一种判断钓鱼网站的方法及装置技术领域

本发明涉及网络安全技术领域，尤其涉及一种判断钓鱼网站的方法，以及，一种判断钓鱼网站的装置。背景技术

钓鱼网站一般具有这些特征： 1、以中奖（qq中奖、微博中奖、砸金蛋、星光大道等）来诱骗用户； 2、以低价（飞机票、淘宝商品）来诱骗用户； 3、制作成本低。钓鱼网站可以批量制作，并且使用免费的二级域名，相比病毒的制作和传播，钓鱼网站的成本可以忽略不计。 4、后果严重。钓鱼网站大都诱骗用户购买价格比较高的商品（比如飞机票、单反相机等），并且有些钓鱼网站会窃取用户的支付宝和银行账户，会给用户造成很大的损失。

现有钓鱼网站的识别技术，主要方法有： 1、对网页关键内容进行字符串匹配。比如检测网页 title和 keywords中是否含有'淘宝'、 '中奖 '等字样。 2、图像识别。有些钓鱼网站是仿冒品牌官方网站的，页面看上去和官网一样。比如仿冒航空公司和淘宝。 3、域名信息。钓鱼网站所使用的域名注册时间一般比较新，并且常常使用免费的二级域名。以上几种方法会综合起来识别钓鱼网站，最后形成黑名单。除了黑名单之外，为了不误报，还会有一个白名单机制，将访问量大，曾经误报过的网站加入白名单。

现有杀毒软件对钓鱼网站的识别都是在服务端进行的：当客户端访问一个网站时，杀毒软件同时向服务端发送一个请求，来查询这个网站是否是钓鱼网站。如果是钓鱼网站，就是进行拦截，如果不是就放行。这样的技术方案有两个明显的缺点：一是新产生的钓鱼网站服务端没有记录，客户端查询的结果都是未知；二是当服务端出现技术故障等导致查询时间较长时，也可能出现漏报。对于拦截钓鱼网站来说，第一个缺点是很难避免的，因为钓鱼网站的制作成本非常低，往往会釆用免费的二级域名，欺骗几个用户后就废弃原有的域名，修改标题等内容后就再去申请一个新的域名，继续行骗。

本发明的迫切需要解决的问题之一在于，提出一种判断钓鱼网站的方法及装置，用以当服务器不能确定客户端访问的网站否为钓鱼网站，或者服务端故障时，可以在客户端第一时间拦截到最新生成的钓鱼网站，拦截大部分的钓鱼网站，以保证网络安全。发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决或者减緩上述问题的一种判断钓鱼网站的方法和相应的判断钓鱼网站的装置。

根据本发明的一个方面，提供了一种判断钓鱼网站的方法，包括：服务器判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

客户端获取所述灰网站在本地客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

若是，则判定为非钓鱼网站；

若否，则客户端获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

根据本发明的另一个方面，提供了一种判断钓鱼网站的装置，包括：位于服务器的灰网站判断模块，用于判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

位于客户端的钓鱼网站判断模块，用于获取所述灰网站在本地客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

位于客户端的第一判定模块，用于判定为非钓鱼网站；

位于客户端的第二判定模块，用于获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

根据本发明的又一个方面，提供了一种计算机程序，其包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1 -8中的任一个所述的判断钓鱼网站的方法。

根据本发明的再一个方面，提供了一种计算机可读介质，其中存储了如权利要求 16所述的计算机程序。

本发明的有益效果为：

根据本发明的一种判断钓鱼网站的方法及装置可以通过客户端来判断是否为钓鱼网站，由此解决了当服务器不能确定客户端访问的网站否为钓鱼网站，或者服务端故障时，取得了可以在客户端第一时间拦截到最新生成的钓鱼网站，拦截大部分的钓鱼网站，保证网络安全的有益效果。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图 1 示意性示出了根据本发明一个实施例的判断钓鱼网站的方法的流程图；

图 2 示意性示出了根据本发明一个实施例的判断钓鱼网站的装置的框图；

图 3 示意性地示出了用于执行根据本发明的方法的服务器的框图；以及

图 4 示意性地示出了用于保持或者携带实现根据本发明的方法的程序代码的存储单元。具体实施方式

下面结合附图和具体的实施方式对本发明作进一步的描述。

本发明实施例的核心构思之一在于，当服务器不能确定客户端访问的网站否为钓鱼网站，或者服务端故障时，根据用户的浏览信息和网站的域名特征信息与在本地客户端中的浏览信息对比，综合判断灰网站是否为钓鱼网站。参照图 1 ,示出了根据本发明一个实施例的判断钓鱼网站的方法实施例的步骤流程图，具体可以包括以下步骤：

步骤 101 , 服务器判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

在具体实现中，可以在服务器中设置存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单，在本发明的一种优选实施例中，所述步骤 101具体可以包括如下子步骤：

子步骤 S1 1 , 客户端访问目标网站，并向服务器发送查询所述目标网站是否为钓鱼网站的请求；

子步骤 S12, 服务器接收所述请求，查看所述目标网站是否在黑名单或白名单中，若目标网站既不在黑名单也不在白名单中，则判定目标网站为灰网站。

在实际中，当客户端访问目标网站时，可以同时向服务端发送查询所述目标网站是否为钓鱼网站的请求，服务器接收到查询请求后，查看所述目标网站是否存于在黑名单或白名单中，若目标网站既不在黑名单也不在白名单中，则判定目标网站为灰网站。服务端将判定为灰网站的结果返回至客户端，则客户端启动启发式判断。

步骤 102 , 客户端获取所述灰网站在本地客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

作为本发明实施例具体应用的一种示例，所述浏览信息可以包括浏览量和浏览时间，所述步骤 102可以包括如下步骤：

判断所述浏览量是否高于预设阈值，并且，所述浏览时间是否在预设的时间范围内。

在具体实现中，可以在客户端配置两个主要的 API , —个是将目标网站的 URL传入的 API , 可以通过浏览器或者安全软件，在用户访问未知目标网站时，调用这个 API; 第二个是查询的 API , 可以传入目标网站来查询是否为钓鱼网站。当客户端启动启发式判断时，调用将目标网站 URL 传入的 API , 将灰网站的 host、 IP、网站名、浏览量，浏览时间记录在数据緩存中，并根据浏览量进行排序。作为一种示例，排序的算法可以为 LRU ( Least Recently Used ) , 最近经常访问的灰网站的 host会被保存起来。当用户访问的网站为灰网站时，调用查询的 API , 则客户端对排序的浏览量数据进行查询，如果发现有记录，并且浏览量高于预置阈值，就判定是白网站，则客户端允许访问此网站。所有的灰网站的数据都放入数据緩存中，并将网站通过 LRU排序，对于在预置时间内没有被访问的网站会从数据緩存中清除。判断钓鱼网站的预置阈值可以根据服务端的统计做调整，范围大概在 10以上。

步骤 103 , 若是，则判定为非钓鱼网站；

当用户访问的灰网站判定为非钓鱼网站，则客户端允许访问所述灰网站。

步骤 104, 若否，则客户端获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

在本发明的一种优选实施例中，所述灰网站的域名特征信息包括 IP 地址，域名和网站名，所述步骤 104可以为如下步骤：

当所述灰网站的 IP地址为国外 IP, 并且，所述灰网站釆用了预置的可疑域名，以及，灰网站的网站名包含预置的敏感词汇时，判定为钓鱼网站。

在具体实现中，当用户访问灰网站时，客户端对数据緩存中排序的浏览量进行查询，如果发现有灰网站的记录，但浏览量低于预置阈值，或者没有灰网站的记录，就会根据灰网站的 IP地址是否为国外 IP, host 是否使用高危二级域名和网站名是否包含预置敏感词汇来综合判断是否为钓鱼网站。

如果灰网站的 IP地址为国外 IP,并且网站釆用了预置的可疑域名（比如 tk, co.cc等，可以定期从服务端更新），并且网站名含有预置的敏感词汇（比如淘宝、话费、抽奖、彩票等，可以定期从服务端更新），就认为灰网站是钓鱼网站。当用户访问的灰网站判定为钓鱼网站时，则客户端拒绝访问所述灰网站。

在本发明的一种优选实施例中，还可以包括如下步骤：

当所述灰网站的域名特征信息符合灰网站的 IP地址为国外 IP, 或灰网站釆用了预置的可疑域名，或灰网站的网站名包含预置的敏感词汇中任意两项时，则生成目标网站为疑似钓鱼网站的提示信息。

如果灰网站的 IP地址为国外 IP, 或网站釆用预置的可疑域名，或网站名含有预置的敏感词汇，符合以上两个条件的灰网站的会提示疑似钓鱼网站，这种做法是为了减少误报，因为在实际中，由于一些小网站会使用免费的二级域名搭建服务，可能会都命中这三个规则。在具体实现中，会将客户端允许或拒绝访问所述灰网站，或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。客户端针对钓鱼网站进行拦截，如果不是钓鱼网站就允许继续访问。客户端允许或拒绝访问所述灰网站，或生成目标网站为疑似钓鱼网站的信息的处理结果会生成日志并返回给服务器。如果其中有误报，可从服务端加入白名单。

在本发明的一种优选实施例中，所述服务器可以为企业内网控制服务器，所述客户端可以为企业内网客户端。作为一种具体应用的示例，本发明实施例可应用企业内网的钓鱼网站识别中，以增强企业网络的安全性。具体而言，在企业内网的应用中，本发明实施例可以包括如下步骤：

步骤 S 1 , 企业内网控制服务器判断企业内网客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

步骤 S2 , 企业内网客户端获取所述灰网站在本地企业内网客户端客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

步骤 S3 , 若是，则判定为非钓鱼网站；

步骤 S4 , 若否，则企业内网客户端获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

对于上述的示例而言，由于其图 1 的方法实施例基本相似，故本示例的描述中未详尽之处，可以参见方法实施例中的相关说明，在此就不赘述了。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明并不受所描述的动作顺序的限制，因为依据本发明，某些步骤可以釆用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本发明所必须的。

参照图 2 ,示出了根据本发明一个实施例的判断钓鱼网站的装置实施例的结构框图，具体可以包括以下模块：

位于客户端的灰网站判断模块 201 ,用于判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

在本发明的一种优选实施例中，所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单，所述灰网站判断模块 201 可以包括如下子模块：

位于客户端的访问子模块，用于访问目标网站，并向服务器发送查询所述目标网站是否为钓鱼网站的请求；

位于服务器的判断子模块，用于接收所述请求，查看所述目标网站是否在黑名单或白名单中，若目标网站既不在黑名单也不在白名单中，则判定目标网站为灰网站。

位于客户端的钓鱼网站判断模块 202 ,用于获取所述灰网站在本地客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

在本发明的一种优选实施例中，所述钓鱼网站判断模块 202可以为：浏览信息判断模块，用于判断所述浏览量是否高于预设阈值，并且，所述浏览时间是否在预设的时间范围内。

位于客户端的第一判定模块 203 , 用于判定为非钓鱼网站；

客户端允许访问模块，用于若为非钓鱼网站，则客户端允许访问所述灰网站。

位于客户端的第二判定模块 204 ,用于获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

在本发明的一种优选实施例中，所述灰网站的域名特征信息包括 IP 地址，域名和网站名，所述第二判定模块 204可以为：

域名特征信息判断模块，用于当所述灰网站的 IP地址为国外 IP, 并且，所述灰网站釆用了预置的可疑域名，以及，灰网站的网站名包含预置的敏感词汇时，判定为钓鱼网站。

客户端拒绝访问模块，用于若为钓鱼网站，则客户端拒绝访问所述灰网站；

在本发明的一种优选实施例中，所述装置还包括：

疑似钓鱼网站提示信息模块，用于当所述灰网站的域名特征信息符合灰网站的 IP地址为国外 IP, 或灰网站釆用了预置的可疑域名，或灰网站的网站名包含预置的敏感词汇中任意两项时，则生成目标网站为疑似钓鱼网站的提示信息。

处理结果返回模块，用于将客户端允许或拒绝访问所述灰网站，或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务哭口。对于图 2的装置实施例而言，由于其与图 1的方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

在本发明的一种优选实施例中，所述服务器可以为企业内网控制服务器，所述客户端可以为企业内网客户端。作为一种具体应用的示例，本发明实施例还可应用企业内网的钓鱼网站识别中，以增强企业网络的安全性。具体而言，在企业内网的应用环境中，本发明实施例可以包括如下模块：

位于企业内网控制服务器的灰网站判断模块，用于判断企业内网客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

位于企业内网客户端的钓鱼网站判断模块，用于获取所述灰网站在本地企业内网客户端中的浏览信息，并判断所述浏览信息是否满足预设条件；

位于企业内网客户端的第一判定模块，用于判定为非钓鱼网站；位于企业内网客户端的第二判定模块，用于获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站。

对于上述的示例而言，其中描述未详尽之处，可以参见方法实施例中的相关说明，在此就不赘述了。本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器（DSP ) 来实现根据本发明实施例的判断钓鱼网站的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序（例如，计算机程序和计算机程序产品）。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。务器，例如应用服务器。该服务器传统上包括处理器 310和以存储器 320 形式的计算机程序产品或者计算机可读介质。存储器 320 可以是诸如闪存、 EEPROM (电可擦除可编程只读存储器）、 EPROM、硬盘或者 ROM 之类的电子存储器。存储器 320 具有用于执行上述方法中的任何方法步骤的程序代码 331的存储空间 330。例如，用于程序代码的存储空间 330 可以包括分别用于实现上面的方法中的各种步骤的各个程序代码 331。这些程序代码可以从一个或者多个计算机程序产品中读出或者写入到这一个或者多个计算机程序产品中。这些计算机程序产品包括诸如硬盘，紧致盘（CD ) 、存储卡或者软盘之类的程序代码载体。这样的计算机程序产品通常为如参考图 4 所述的便携式或者固定存储单元。该存储单元可以具有与图 3的服务器中的存储器 320类似布置的存储段、存储空间等。程序代码可以例如以适当形式进行压缩。通常，存储单元包括计算机可读代码 33 Γ , 即可以由例如诸如 310之类的处理器读取的代码，这些代码当由服务器运行时，导致该服务器执行上面所描述的方法中的各个步骤。

本文中所称的 "一个实施例"、 "实施例"或者"一个或者多个实施例 "意味着，结合实施例描述的特定特征、结构或者特性包括在本发明的至少一个实施例中。此外，请注意，这里"在一个实施例中"的词语例子不一定全指同一个实施例。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词"包含"不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词 "一"或"一个"不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

此外，还应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。因此，在不偏离所附权利要求书的范围和精神的情况下，对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。对于本发明的范围，对本发明所做的公开是说明性的，而非限制性的，本发明的范围由所附权利要求书限定。

Claims

权利要求

1、一种判断钓鱼网站的方法，包括：

服务器判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

若是，则判定为非钓鱼网站；

2、如权利要求 1所述的方法，所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单，所述服务器判断客户端访问的目标网站是否为灰网站的步骤包括：

客户端访问目标网站，并向服务器发送查询所述目标网站是否为钓鱼网站的请求；

服务器接收所述请求，查看所述目标网站是否在黑名单或白名单中，若目标网站既不在黑名单也不在白名单中，则判定目标网站为灰网站。

3、如权利要求 1或 2所述的方法，所述浏览信息包括浏览量和浏览时间，所述判断浏览信息是否满足预设条件的步骤为：

4、如权利要求 1所述的方法，所述灰网站的域名特征信息包括 IP 地址，域名和网站名，所述客户端获取所述灰网站的域名特征信息，当域名特征信息符合预置规则时，则判定为钓鱼网站的步骤为：

5、如权利要求 4所述的方法，还包括：

6、如权利要求 1或 4所述的方法，还包括：若为钓鱼网站，则客户端允许访问所述灰网站；

若为非钓鱼网站，则客户端拒绝访问所述灰网站。

7、如权利要求 5或 6所述的方法，还包括：

将客户端允许或拒绝访问所述灰网站，或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。

8、如权利要求 1所述的方法，所述服务器为企业内网控制服务器，所述客户端为企业内网客户端。

9、一种判断钓鱼网站的装置，包括：

位于服务器的灰网站判断模块，用于判断客户端访问的目标网站是否为灰网站，所述灰网站为未在预设黑名单及白名单中的网站；

位于客户端的第一判定模块，用于判定为非钓鱼网站；

10、如权利要求 9所述的装置，所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单，所述灰网站判断模块包括：

位于服务器的服务器判断子模块，用于接收所述请求，查看所述目标网站是否在黑名单或白名单中，若目标网站既不在黑名单也不在白名单中，则判定目标网站为灰网站。

11、如权利要求 9或 10所述的装置，所述钓鱼网站判断模块为：浏览信息判断模块，用于判断所述浏览量是否高于预设阈值，并且，所述浏览时间是否在预设的时间范围内。

12、如权利要求 9所述的装置，所述灰网站的域名特征信息包括 IP 地址，域名和网站名，所述第二判定模块为：

13、如权利要求 12所述的装置，还包括：疑似钓鱼网站提示信息模块，用于当所述灰网站的域名特征信息符合灰网站的 IP地址为国外 IP, 或灰网站釆用了预置的可疑域名，或灰网站的网站名包含预置的敏感词汇中任意两项时，则生成目标网站为疑似钓鱼网站的提示信息。

14、如权利要求 9或 12所述的装置，还包括：

15、如权利要求 12或 13所述的装置，还包括：

处理结果返回模块，用于将客户端允许或拒绝访问所述灰网站，或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务哭口。

16、一种计算机程序，包括计算机可读代码，当所述计算机可读代码在服务器上运行时，导致所述服务器执行根据权利要求 1-8中的任一个所述的判断钓鱼网站的方法。

17、一种计算机可读介质，其中存储了如权利要求 16所述的计算机程序。