WO2017036043A1

WO2017036043A1 - 钓鱼页面检测方法及系统

Info

Publication number: WO2017036043A1
Application number: PCT/CN2015/099898
Authority: WO
Inventors: 杨念; 耿志峰; 苏晓东
Original assignee: 百度在线网络技术（北京）有限公司
Priority date: 2015-08-28
Filing date: 2015-12-30
Publication date: 2017-03-09
Also published as: KR102026544B1; KR20170101905A; JP2018504677A; CN105141610A; EP3214817A4; EP3214817A1; EP3214817B1; US20180205758A1; JP6487555B2; US10367849B2

Abstract

本申请提供了一种钓鱼页面检测方法和系统，所述方法包括：拦截当前页面试图向服务器端提交的用户数据；构造与所述用户数据结构相同的探测数据，其中所述探测数据的内容与所述用户数据的内容不同；将所述探测数据提交到所述服务器端；以及根据所述服务器端的响应判定所述当前页面是否为钓鱼页面。通过使用本申请提供的钓鱼页面检测方法和系统，用户能够即时并精准地判断当前页面是否是钓鱼页面，从而更好地保护隐私和财产。

Description

钓鱼页面检测方法及系统

相关申请的交叉引用

本申请要求于2015年08月28日提交的中国专利申请号为“201510542777.5”的优先权，其全部内容作为整体并入本申请中。

技术领域

本申请涉及互联网页面，具体地，本申请涉及钓鱼页面的检测方法和系统。

背景技术

随着互联网数据的爆炸性增长，窃取用户提交的银行帐号、密码等私密信息的钓鱼网站也越来越多。钓鱼网站的页面与真实网站界面完全一致，诈骗方式包括以中奖为诱饵要求访问者提交账号和密码等隐私信息，欺骗用户填写身份信息、银行账户等信息；另一种是模仿淘宝、工行等在线支付网页，骗取用户银行卡信息或支付宝账户。钓鱼网站的频繁出现给网路用户的隐私和财产安全带来极大的危害。然而，目前存在的检测钓鱼页面的方法具有时效短、应用范围窄的缺陷，不能有效地保障用户的网络环境的安全。

发明内容

鉴于现有技术中的上述缺陷或不足，期望能够提供一种更有效更精确的钓鱼页面检测方案。为了实现上述一个或多个目的，本申请提供了基于对探测数据的反馈来检测钓鱼页面的方法和系统。

根据本申请的一个方面，提供了一种检测钓鱼页面的方法，包括：拦截当前页面试图向服务器提交的用户数据；构造与所述用户数据结构相同的探测数据，其中，所述探测数据的内容与所述用户数据的内容不同；将所述探测数据提交到所述服务器端；以及根据所述服务器端的响应判定所述当前页面是否为钓鱼页面。

根据本申请的一种实施方式，根据所述服务器端的响应判定所述当前页面是否为钓鱼页面可以包括：确定所述服务器端的响应为所述探测数据通过认证；以及判定所述当前页面为钓鱼页面。

根据本申请的一种实施方式，根据所述服务器端的响应判定所述当前页面是否为钓鱼页面可以包括：确定所述服务器端的响应为所述探测数据未通过认证；构造与所述用户数据结构相同且内容与所述用户数据和所述探测数据均不同的第二探测数据；将所述第二探测数据提交到所述服务器端；以及当所述服务器端的响应为所述第二探测数据通过认证时判定所述当前页面为钓鱼页面。

根据本申请的一种实施方式，上述方法还可以包括：判定所述当前页面是否是疑似钓鱼页面；以及仅在确定所述当前页面是疑似钓鱼页面时拦截所述当前页面试图向服务器端提交的用户数据。

根据本申请的一种实施方式，判定当前页面是疑似钓鱼页面可以包括：确定所述当前页面试图向所述服务器端提交的所述用户数据为明文。

根据本申请的一种实施方式，判定当前页面是疑似钓鱼页面可以包括：根据所述当前页面的内容确定所述当前页面的官方网站的网址；以及当确定所述当前页面的网址与所确定的官方网站的网址时不一致判定所述当前页面时疑似钓鱼页面。

根据本申请的一种实施方式，所述用户数据可以包括用户名和口令。

根据本申请的一种实施方式，上述方法还可以包括：基于判定所述当前页面为钓鱼页面，将所述官方网站展现给用户。

根据本申请的一种实施方式，上述方法还可以包括：基于判定所述当前页面为钓鱼页面对用户进行风险提示；接收来自所述用户对所述风险提示的反馈；根据所述反馈生成钓鱼网站数据库；以及在所述拦截当前页面试图向服务器端提交的用户数据之前，通过所述钓鱼网站数据库判断所述当前页面是否是钓鱼网站。

根据本申请的另一个方面，提供了一种检测钓鱼页面的系统，包括：拦截装置，配置为拦截当前页面试图向服务器端提交的用户数据；探测数据构造装置，配置为构造与所述用户数据结构相同的探测数据，其中所述探测数据的内容与所述用户数据的内容不同；提交装置，配置为将所述探测数据提交到所述服务器端；以及判定装置，配置为根据所述服务器端的响应判定所述当前页面是否为钓鱼页面。

本申请提供的钓鱼页面检测方法和系统通过拦截并替换客户端向服务器端提交的用户数据以及判断服务器端的响应来判断当前页面是否是钓鱼页面，能够实现精准并即时地检测钓鱼页面，从而为用户提供了安全的网络环境，进而有效地保护了用户的财产和隐私。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是可以应用本申请的钓鱼页面检测方法或系统的实施例的示例性系统架构；

图2示出了根据本申请一个实施方式的钓鱼页面检测方法；

图3示出了一钓鱼页面；

图4示出了根据本申请的一种实施方式的钓鱼页面检测方法；

图5示出了根据本申请的一种实施方式的钓鱼页面检测方法；

图6示出了根据本申请的一种实施方式的钓鱼页面检测方法；

图7示出了根据本申请的一种实施方式的钓鱼页面检测方法；

图8示意性地示出了根据本申请的钓鱼页面检测系统的框图；以及

图9是适于用来实现本申请实施例的客户端设备或服务器端的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1示出了可以应用本申请的钓鱼页面检测方法和系统的实施例的示例性系统架构100。

如图1所示，系统架构100可以包括客户端设备101、102、103，网络104和服务器105。网络104用以在客户端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用客户端设备101、102、103通过网络104与服务器105交互，以登录网站或收发消息等。客户端设备101、102、103上可以安装有各种网页浏览器或客户端应用。

客户端设备101、102、103可以是各种电子设备，包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器，例如网页、应用或银行账号的登录以及付款操作等。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的客户端设备、网络和服务器端。

需要说明的是，本申请实施例所提供的钓鱼页面检测方法可以由客户端设备101、102、103单独执行，或者也可以由客户端设备101、102、103和服务器105共同执行。相应地，钓鱼页面检测系统一般设置于客户端101、102、103中。

继续参考图2，示出了根据本申请一个实施方式的钓鱼页面检测方法200。

如图2所示，在步骤202中，当前页面试图向服务器端提交的用户数据被拦截；在步骤204中，构造与用户数据结构相同的探测数据，其中，探测数据的内容与用户数据的内容不同；在步骤206中，将探测数据提交到服务器端；以及在步骤208中，根据服务器端的响应判定当前页面是否为钓鱼页面。

根据本申请的一种实施方式，用户数据可以包括各种与用户相关的字段，例如但不限制于用户名、注册邮箱、手机号、以及诸如密码和登录验证码的口令。

例如，图3示例性地示出了一个钓鱼页面的示意图，其中，登录页面包括“账号”和“密码”的字段，因此在图3所示的实施例中用户数据包括账号和密码两个字段。

以图3所示的情况为例，当用户填入了用户名字段和口令字段后，点击“登录”会触发一个向服务器递交数据包的操作。通常，用户数据是通过POST动作来提交至服务器的。该POST动作例如可以包括：根据用户填写的内容构造数据以及将构造的数据利用例如HTTP协议提交到服务器端。

在步骤202中，电子设备(例如图1中的客户端101、102、103)向服务器递交数据包的操作，例如POST操作被拦截。接下来在步骤204中，电子设备(例如图1中的客户端101、102、103)构造与拦截的用户数据结构相同但内容不同的探测数据。

以图3所示的情况为例，可以根据用户数据构造用户名相同但口令不同的探测数据，也可以构造用户名和口令均与用户数据不同的探测数据。

为了防止被钓鱼网站识破探测，所构造的探测数据的各个字段的长度可以与用户数据的各个字段的长度分别对应。在步骤206中，电子设备(例如图1中的客户端101、102、103)将构造的探测数据例如通过POST方法被提交到服务器端(例如图1中的服务器105)。

在步骤208中，电子设备(例如图1中的客户端101、102、103)根据服务器端(例如图1中的服务器105)的响应判定当前页面是否为钓鱼页面。下面，将具体讨论根据服务器端的不同响应来进行相对应的钓鱼页面的判断。

情况一，服务器端的响应为探测数据通过认证。

图4示出了根据本申请的一种实施方式的钓鱼页面检测方法400，如图4所示，方法400的步骤402-406与方法200的步骤202-206相同，因此不在此赘述。在步骤408中，确定服务器端的响应为探测数据通过认证；以及在步骤410中，判定当前页面为钓鱼页面。

例如，探测数据通过了服务器的认证的响应可以是页面显示“登录成功”、“解封成功”等字样。由于探测数据包括根据用户数据伪造的各个字段，对于官方网站来说，该探测数据必然不能通过认证。因此，此时可以判定当前页面为钓鱼页面。

情况二，服务器端的响应为探测数据未通过认证。

一些钓鱼页面会在用户输入账号信息和密码后提示信息有误，引导用户进行第二次输入，通过这个提示会造成用户对其输入的信息进行核查，从而提高钓鱼的成功率。因此，本申请提出了一种对页面进行二次探测的方法。

图5示出了根据本申请的一种实施方式的钓鱼页面检测方法500，如图5所示，方法500的步骤502-506与方法200的步骤202-206相同，因此不在此赘述。在步骤508中，确定服务器端的响应为探测数据未通过认证；在步骤510中，构造与用户数据结构相同且内容与用户数据和探测数据均不同的第二探测数据；在步骤512中，将第二探测数据提交到服务器端；在步骤514中，判定当服务器端的响应是否为第二探测数据通过认证；以及在步骤516中，基于步骤514中的判定结果为“是”确定当前页面为钓鱼页面。

为了进一步保障网络环境安全，可以通过类似的方法进一步执行诸如第三或第四次探测的多次探测。

在实际应用中，为了避免每次登录均进行钓鱼页面探测给用户带来不便，还可以在探测当前页面是否是钓鱼页面之前预先判断当前页面是否是疑似钓鱼页面，并且仅在当前页面是疑似钓鱼页面时执行上述的方法200、400和500。

图6示出了根据本申请的一种实施方式的钓鱼页面检测方法600，如图6所示，方法600的步骤602-606与方法200步骤202-206相同，因此不在此赘述。在步骤602之前，方法600还包括：步骤601，判断当前页面是否是疑似钓鱼页面。

根据本申请的一种实施方式，判断当前页面是疑似钓鱼页面可以通过判断当前页面试图向服务器端提交的用户数据是否为明文来执行。若当前页面试图向服务器端提交的用户数据为明文，即在浏览器中监测到的用户的数据和POST的数据一致，则可确定当前页面是疑似钓鱼页面。

根据本申请的一种实施方式，判定当前页面是疑似钓鱼页面还可以通过以下步骤来执行：根据当前页面的内容确定当前页面的官方网站的网址；以及当确定当前页面的网址与所确定的官方网站的网址时不一致判定当前页面时疑似钓鱼页面。

此外，还可以首先判断当前页面是否是登录页面。例如，如发现页面标题含有“XX登录”字样、网页结构中的“input”标签的“value”设置成“账号”、“密码”等字样或页面含有“登录”字样的按钮，则认为该页面为一个登录页面。

接下来，例如，当前页面显示内容包括“QQ邮箱”相关的内容，则可以将当前页面的网址与QQ邮箱的官方网址相比对，当比对结果为二者不相符时，确定当前页面为疑似钓鱼页面。

根据本申请的一种实施方式，上述方法还可以进一步包括：基于判定当前页面为钓鱼页面，将官方网站展现给用户。例如，用户的当前页面为伪造某工商银行的电子银行的钓鱼网站，在通过上述200、400、500或600判定当前页面为钓鱼页面后，可以将某工商银行的官方网站展现给用户。

图7示出了根据本申请的一种实施方式的钓鱼页面检测方法700，包括：步骤702，基于判定当前页面为钓鱼页面对用户进行风险提示；步骤704，接收来自用户对风险提示的反馈；步骤706，根据反馈生成钓鱼网站数据库；以及步骤708，在拦截当前页面试图向服务器端提交的用户数据之前，通过钓鱼网站数据库判断当前页面是否是钓鱼网站。

例如，可以将每个用户的每次反馈上传到云端，并对这些反馈进行对比分析，以将被确定为钓鱼页面的页面形成为钓鱼网站数据库。从而在接下来的钓鱼页面探测中，可以先将当前页面与钓鱼网站数据库相比对，若有匹配记录则直接认定当前页面为钓鱼页面。相反，若钓鱼网站数据库中没有当前页面，则执行上述的各种方法。如果在接下来的方法执行中判定当前页面为钓鱼页面，则用户将当前页面的网址反馈并上传到云端，从而被判定为钓鱼页面的当前页面被添加至钓鱼网站数据库。

进一步参考图8，作为对上述各图所示方法的实现，本申请提供了一种钓鱼页面检测系统的一个实施例，该装置实施例与图2所示的方法实施例相对应，该系统800的装置具体可以应用于各种电子设备中。

本领域技术人员可以理解，上述钓鱼页面检测系统800还包括一些其他公知结构，例如处理器、存储器等，为了不必要地模糊本公开的实施例，这些公知的结构在图8中未示出。

如图8所示，系统800可包括：拦截装置810，配置为拦截当前页面试图向服务器端提交的用户数据；探测数据构造装置820，配置为构造与用户数据结构相同的探测数据，其中探测数据的内容与用户数据的内容不同；提交装置830，配置为将探测数据提交到服务器端；以及判定装置840，配置为根据服务器端的响应判定当前页面是否为钓鱼页面。关于拦截装置810、探测数据构造装置820、提交装置830和判定装置840的具体操作分别与上述的方法200的步骤202-208相同，因此省略其详细描述。

此外，根据本申请的一种实施方式，拦截装置810、探测数据构造装置820、提交装置830和判定装置840可以位于客户端，例如，作为插件内嵌在用户的浏览器中，或作为防火墙软件安装在客户的计算机中。

根据本申请的一种实施方式，钓鱼页面检测系统800还可以包括官网呈现装置，配置为基于判定所述当前页面为钓鱼页面，将所述官方网站呈现给用户。

根据本申请的一种实施方式，钓鱼页面检测系统800还可以包括钓鱼网站库生成装置，配置为：基于判定所述当前页面为钓鱼页面对用户进行风险提示；接收来自所述用户对所述风险提示的反馈；根据所述反馈生成钓鱼网站数据库；以及在所述拦截当前页面试图向服务器端提交的用户数据之前，通过所述钓鱼网站数据库判断所述当前页面是否是钓鱼网站。

该钓鱼网站库生成装置对应于上文中所描述的方法700，因此不在此赘述。

下面参考图9，其示出了适于用来实现本申请实施例的客户端设备或服务器端的计算机系统900的结构示意图。

如图9所示，计算机系统900包括中央处理单元(CPU)901，其可以根据存储在只读存储器(ROM)902中的程序或者从存储部分908加载到随机访问存储器(RAM)903中的程序而执行各种适当的动作和处理。在RAM 903中，还存储有系统900操作所需的各种程序和数据。CPU 901、ROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。

以下部件连接至I/O接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至I/O接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括拦截单元、探测数据构造单元提交单元和判定单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，拦截单元还可以被描述为“用于拦截当前页面试图向服务器端提交的用户数据的单元”。

作为另一方面，本申请还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中所述装置中所包含的计算机可读存储介质；也可以是单独存在，未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序，所述程序被一个或者一个以上的处理器用来执行描述于本申请的钓鱼页面检测方法。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

一种钓鱼页面检测方法，包括：

拦截当前页面试图向服务器端提交的用户数据；

构造与所述用户数据结构相同的探测数据，其中所述探测数据的内容与所述用户数据的内容不同；

将所述探测数据提交到所述服务器端；以及

根据所述服务器端的响应判定所述当前页面是否为钓鱼页面。
如权利要求1所述的方法，其中根据所述服务器端的响应判定所述当前页面是否为钓鱼页面包括：

确定所述服务器端的响应为所述探测数据通过认证；以及

判定所述当前页面为钓鱼页面。
如权利要求1所述的方法，其中根据所述服务器端的响应判定所述当前页面是否为钓鱼页面包括：

确定所述服务器端的响应为所述探测数据未通过认证；

构造与所述用户数据结构相同且内容与所述用户数据和所述探测数据均不同的第二探测数据；

将所述第二探测数据提交到所述服务器端；以及

当所述服务器端的响应为所述第二探测数据通过认证时判定所述当前页面为钓鱼页面。
如权利要求1所述的方法，还包括：

确定所述当前页面是疑似钓鱼页面；以及

在确定所述当前页面是疑似钓鱼页面时拦截所述当前页面试图向服务器端提交的用户数据。
如权利要求4所述的方法，其中，判定当前页面是疑似钓鱼页面包括：

确定所述当前页面试图向所述服务器端提交的所述用户数据为明文。
如权利要求4所述的方法，其中，判定当前页面是疑似钓鱼页面包括：

根据所述当前页面的内容确定所述当前页面的官方网站的网址；以及

当确定所述当前页面的网址与所确定的官方网站的网址时不一致判定所述当前页面时疑似钓鱼页面。
如权利要求1-6中任意一项所述的方法，其中，所述用户数据包括用户名和口令。
如权利要求1-6中任意一项所述的方法，还包括：

基于判定所述当前页面为钓鱼页面，将所述官方网站展现给用户。
如权利要求1-6中任意一项所述的方法，还包括：

基于判定所述当前页面为钓鱼页面对用户进行风险提示；

接收来自所述用户对所述风险提示的反馈；

根据所述反馈生成钓鱼网站数据库；以及

在所述拦截当前页面试图向服务器端提交的用户数据之前，通过所述钓鱼网站数据库判断所述当前页面是否是钓鱼网站。
一种钓鱼页面检测系统，包括：

拦截装置，配置为拦截当前页面试图向服务器端提交的用户数据；

探测数据构造装置，配置为构造与所述用户数据结构相同的探测数据，其中所述探测数据的内容与所述用户数据的内容不同；

提交装置，配置为将所述探测数据提交到所述服务器端；以及

判定装置，配置为根据所述服务器端的响应判定所述当前页面是否为钓鱼页面。
如权利要求10所述的系统，其中所述判定装置被配置为：

确定所述服务器端的响应为所述探测数据通过认证；以及

判定所述当前页面为钓鱼页面。
如权利要求10所述的系统，其中：

所述探测数据构造装置还被配置为基于所述判定装置确定所述服务器端的响应为所述探测数据未通过认证，构造与所述用户数据结构相同且内容与所述用户数据和所述探测数据均不同的第二探测数据；

所述提交装置还被配置为将所述第二探测数据提交到所述服务器端；以及

所述判定装置还被配置为当所述服务器端的响应为所述第二探测数据通过认证时判定所述当前页面为钓鱼页面。
如权利要求10所述的系统，还包括：

疑似钓鱼页面判定装置，配置为判定所述当前页面是否是疑似钓鱼页面。
如权利要求13所述的系统，其中，所述疑似钓鱼页面判定装置配置为：确定所述当前页面试图向所述服务器端提交的所述用户数据是否为明文。
如权利要求13所述的系统，其中，，所述疑似钓鱼页面判定装置配置为：

根据所述当前页面的内容确定所述当前页面的官方网站的网址；以及

确定所述当前页面的网址与所确定的官方网站的网址是否一致。
如权利要求10-15中任意一项所述的系统，其中，所述用户数据包括用户名和口令。
如权利要求10-15中任意一项所述的系统，还包括：

官网呈现装置，配置为基于判定所述当前页面为钓鱼页面，将所述官方网站呈现给用户。
如权利要求10-15中任意一项所述的系统，还包括钓鱼网站库生成装置，配置为：

基于判定所述当前页面为钓鱼页面对用户进行风险提示；

接收来自所述用户对所述风险提示的反馈；

根据所述反馈生成钓鱼网站数据库；以及

在所述拦截当前页面试图向服务器端提交的用户数据之前，通过所述钓鱼网站数据库判断所述当前页面是否是钓鱼网站。
一种设备，包括：

处理器；和

存储器，

所述存储器中存储有能够被所述处理器执行的计算机可读指令，在所述计算机可读指令被执行时，所述处理器执行权利要求1至9中任一项所述的方法。
一种非易失性计算机存储介质，所述计算机存储介质存储有能够被处理器执行的计算机可读指令，当所述计算机可读指令被处理器执行时，所述处理器执行权利要求1至9中任一项所述的方法。