CN110035075A - 钓鱼网站的检测方法、装置、计算机设备及存储介质 - Google Patents
钓鱼网站的检测方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN110035075A CN110035075A CN201910267455.2A CN201910267455A CN110035075A CN 110035075 A CN110035075 A CN 110035075A CN 201910267455 A CN201910267455 A CN 201910267455A CN 110035075 A CN110035075 A CN 110035075A
- Authority
- CN
- China
- Prior art keywords
- website
- suspicious
- domain name
- page
- fishing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 36
- 238000012544 monitoring process Methods 0.000 claims abstract description 12
- 238000012546 transfer Methods 0.000 claims description 28
- 238000000034 method Methods 0.000 claims description 17
- 230000006399 behavior Effects 0.000 claims description 12
- 238000006467 substitution reaction Methods 0.000 claims description 11
- 230000009466 transformation Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 9
- 238000004364 calculation method Methods 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 5
- 230000015572 biosynthetic process Effects 0.000 claims description 2
- 239000013598 vector Substances 0.000 description 9
- 230000006870 function Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明提供一种钓鱼网站的检测方法、装置、计算机设备和计算机存储介质,所述方法包括:监听官方网站的网络日志,获取所述网络日志中的可疑行为记录;获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。通过本发明的方案,正规官方网站可以有的放矢地主动发现钓鱼网站而不必被动地等待用户上报,能够最大程度上避免由于钓鱼网站引起的损失,保证正规官网的信誉以及官网用户的切身利益。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种钓鱼网站的检测方法、装置、计算机设备即存储介质。
背景技术
随着互联网技术的迅速发展,钓鱼网站、钓鱼程序已经逐渐出现在我们身边。通常钓鱼网站的界面与实际官方网站的界面十分相似,以此来让访问者相信该网站为官方网站,由于钓鱼网站往往与实际官方网站的差别很小,因此网络安全意识淡薄的人很容易上当受骗。钓鱼网站的大量出现,严重影响了在线金融服务、电子商务的发展,还危害了公众的利益,影响公众使用互联网的信心。
现有技术中使用率较高的识别钓鱼网站的方式包括基于黑名单的钓鱼识别技术。当用户打开网址后,浏览器把URL发送到黑名单服务器的数据库中进行查询,如果匹配到黑名单则该网页为钓鱼网页,浏览器会阻止用户访问该网页并进行提示;如果没有匹配到黑名单浏览器将会继续打开网页。和名单中存在的钓鱼网站的URL大部分为用户举报提交的。这种通过URL简单匹配的方式实施简单处理迅速,但其局限性是严重依赖黑名单上保存的目录,无法检测黑名单意外的钓鱼网站。由于上述黑名单上的目录来自于用户举报提交,因此具有很大的偶然性和被动性,正规的官方网站无法主动检测与自身相似的钓鱼网站,仍然无法避免网民被钓鱼网站欺骗。
发明内容
本发明的目的是提供一种供正规官方网站主动检测钓鱼网站的方法、装置、计算机设备及存储介质,以解决现有技术中存在的上述缺陷。
为实现上述目的,本发明提供一种钓鱼网站的检测方法,包括:
监听官方网站的网络日志,获取所述网络日志中的可疑行为记录;
获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
根据本发明提供的钓鱼网站的检测方法,其中,所述监听官方网站的网络日志,获取所述网络日志中的可疑行为记录的步骤包括:
定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问;
通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名;
若所述域名未被记录在所述白名单中,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
根据本发明提供的钓鱼网站的检测方法,其中,所述将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站的步骤包括:
获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站;
其中,所述特征样本集中包含与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式。
根据本发明提供的钓鱼网站的检测方法,其中,所述变换规则包括以下一种或几种的组合:
将所述域名中的一个或几个字符替换为相似字符;
在所述域名之前或者之后增加字符;
删除所述域名中的一个或几个字符;
改变所述域名中的字符的排列顺序。
根据本发明提供的钓鱼网站的检测方法,其中,所述将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站的步骤包括:
提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种。
为实现上述目的,本发明还提供一种钓鱼网站的检测装置,包括:
日志获取模块,适用于监听官方网站的网络日志,获取所述网站网络日志中的可疑行为记录;
可疑页面获取模块,适用于获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
钓鱼判断模块,适用于将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
根据本发明提供的钓鱼网站的检测装置,其中,所述日志获取模块包括:
日志提取子模块,适用于定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问;
白名单对比子模块,适用于通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名;
可疑判定子模块,适用于当所述域名未被记录在所述白名单中时,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
根据本发明提供的钓鱼网站的检测装置,其中,所述钓鱼判断模块包括:
第一判断子模块,适用于获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站;其中,所述特征样本集中包含与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式;
第二判断子模块,适用于提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种。
为实现上述目的,本发明还提供一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述方法的步骤。
为实现上述目的,本发明还提供计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述方法的步骤。
本发明提供的钓鱼网站的检测方法、装置、计算机设备及计算机可读存储介质,提供了一种正规的官方网站主动发现与自身相关联的钓鱼网站的方案。本发明通过监听官方网站的网络日志发现可疑网站的异常访问记录,例如未知域名频繁调用官网资源的行为,进一步对可疑网站进行分析以确定该可疑网站是否是钓鱼网站,具体的分析过程例如检测可疑网站的域名与官网域名的相似度,检测可疑网站的页面与官网页面的相似度等等。通过本发明的方案,正规官方网站可以有的放矢地主动发现钓鱼网站而不必被动地等待用户上报,能够最大程度上避免由于钓鱼网站引起的损失,保证正规官网的信誉以及官网用户的切身利益。
附图说明
图1为本发明的钓鱼网站的检测方法实施例一的流程图;
图2为本发明的钓鱼网站的检测装置实施例一的程序模块示意图;
图3为本发明的钓鱼网站的检测装置实施例一的硬件结构示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的钓鱼网站的检测方法、装置、计算机设备及计算机可读存储介质,提供了一种正规的官方网站主动发现与自身相关联的钓鱼网站的方案。本发明通过监听官方网站的网络日志发现可疑网站的异常访问记录,例如未知域名频繁调用官网资源的行为,进一步对可疑网站进行分析以确定该可疑网站是否是钓鱼网站,具体的分析过程例如检测可疑网站的域名与官网域名的相似度,检测可疑网站的页面与官网页面的相似度等等。通过本发明的方案,正规官方网站可以有的放矢地主动发现钓鱼网站而不必被动地等待用户上报,能够最大程度上避免由于钓鱼网站引起的损失,保证正规官网的信誉以及官网用户的切身利益。
实施例一
请参阅图1,本实施例提出一种钓鱼网站的检测方法,具体包括以下步骤:
S1:监听官方网站的网络日志,获取所述网络日志中的可疑行为记录。
网络日志是网站分析和网站数据仓库的数据基础来源,通过监听官方网站的网络日志可以了解对于网站资源进行访问的所有行为记录。本步骤监听官方网站的网络日志的目的在于发现与钓鱼网站行为相关的网络日志。
网络钓鱼本质上是品牌假冒,钓鱼者通过邮件、即时通讯等方式发送虚假信息,引诱用户访问事先搭建的仿冒网站以骗取用户的隐私和财产。其中仿冒网站作为最重要的犯罪现场,往往与真实官方网站在视觉上高度相似,以欺骗用户信以为真。各类官方网站中一般会包含大量独特品牌风格的元素和资源,包括Logo图片、Favicon图片、CSS文件、JS文件等;钓鱼仿冒网站为了以假乱真,往往直接使用正规官方网站的这些资源,在钓鱼网站的源码中嵌入这些资源的链接。
基于此,本发明所称与钓鱼网站行为相关的网络日志,主要是指来自不明地址的资源调用日志,以期通过资源调用日志发现钓鱼仿冒网站。当然,并非所有的资源调用请求都来自钓鱼网站,更多的可能是正常的访问请求。为了区分来自不同地址的资源调用请求,本发明采取白名单过滤策略。
本发明所述的白名单过滤策略,是指将确认为安全的网站域名记录到白名单中,凡是出现在白名单中的网站默认为不是钓鱼网站。因此,本发明需要从资源调用日志中获取请求方的域名,根据请求方的域名与白名单中记录的域名进行对比,确定请求方的域名是否可疑。本发明监听官方网站的网络日志,获取所述网络日志中的可疑行为记录的具体步骤如下所示:
S11:定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问。
S12:通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名。其中请求方的域名可以通过相应的资源访问日志(网络日志)获得,一般的网络日志的格式至少包括访问主机、标识符、授权用户、日期时间、请求类型、来源页面等等字段,通过网络日志中的访问主机字段或者来源页面字段可以轻松获得请求方的域名。
S13:若所述域名未被记录在所述白名单中,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
S2:获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
本步骤根据资源调用日志中记录的访问主机或者来源页面信息,获取可疑页面相关的具体信息,例如所述可疑页面的域名、所述可疑页面的logo、所述可疑页面的关键字、所述可疑页面的版面结构等等,从而对可疑页面执行进一步地检查。
S3:将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
本步骤通过两个方面来判断可疑页面对应的网站是否为钓鱼网站,具体包括如下步骤:
S31:获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站。
很多钓鱼网站会采用与正规官网相近似的域名来迷惑用户,例如http://www.taoba0.com/。本步骤可以通过可疑页面的URL获取域名信息,根据域名构成规则对可疑页面的URL进行解构,可以获得对应的域名信息。对于一个URL来说,其真实的域名从最后面“/”的前面光标到“.”,“.”的前面拼接“.”再拼接“.”的后面便组成了该域名。比如解析URL地址http://taobao.qq.12345.taoba0.com/...,可以发现其真实域名为http://www.taoba0.com/。
本发明中的特征样本集包含了与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式。其中,所述变换规则包括以下一种或几种的组合,例如,将所述域名中的一个或几个字符替换为相似字符;在所述域名之前或者之后增加字符;删除所述域名中的一个或几个字符;改变所述域名中的字符的排列顺序。
本领域技术人员可以理解,本发明的变换规则不限于上述列举出的几种,任何与官网域名相关联的域名变换形式都可以包含在上述变换规则当中。
S32:提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种,上述关键字可以包含域名注册信息、网站备案信息等内容。
除了域名相似之外,钓鱼网站还有可能将网页布置成与正规官网网页非常相近的外观或者布局,鉴于此,本步骤通过计算页面相似度的方式来判断可疑页面是否为钓鱼网站。
本发明可以采用图像识别来计算页面相似度。具体步骤如下所示:
将所述可疑页面生成快照,并将快照数据保存在数据库中。该快照的格式可以是jpg等易于处理的标准图片格式。
对所述快照数据中的文字数据和图片数据进行分离,根据分离的文字数据和图片数据分别生成文字数据的特征向量和图片数据的特征向量。
其中,图片数据的特征向量可以根据不同的维度生成多个特征向量,例如从颜色分布维度、从结构布局维度、从logo图形维度等等。
在此基础上,分别将可疑网页中的文字特征向量和图片特征向量与正规官网中相应的文字特征向量和图片特征向量进行对比计算相似度,最后对多个特征向量的相似度进行加权平均后得到综合相似度。
当综合相似度改与预设阈值时,判断所述可疑页面所对应的网站为钓鱼网站。
请继续参阅图2,示出了一种钓鱼网站的检测装置,在本实施例中,钓鱼网站检测装置10可以包括或被分割成一个或多个程序模块,一个或者多个程序模块被存储于存储介质中,并由一个或多个处理器所执行,以完成本发明,并可实现上述自动更新方法。本发明所称的程序模块是指能够完成特定功能的一系列计算机程序指令段,比程序本身更适合于描述钓鱼网站检测装置10在存储介质中的执行过程。以下描述将具体介绍本实施例各程序模块的功能:
日志获取模块11,适用于监听官方网站的网络日志,获取所述网站网络日志中的可疑行为记录;
可疑页面获取模块12,适用于获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
钓鱼判断模块13,适用于将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
根据本发明提供的钓鱼网站的检测装置,其中,所述日志获取模块11包括:
日志提取子模块111,适用于定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问;
白名单对比子模块112,适用于通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名;
可疑判定子模块113,适用于当所述域名未被记录在所述白名单中时,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
根据本发明提供的钓鱼网站的检测装置,其中,所述钓鱼判断模块13包括:
第一判断子模块131,适用于获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站;其中,所述特征样本集中包含与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式;
第二判断子模块132,适用于提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种。
本实施例还提供一种计算机设备,如可以执行程序的智能手机、平板电脑、笔记本电脑、台式计算机、机架式服务器、刀片式服务器、塔式服务器或机柜式服务器(包括独立的服务器,或者多个服务器所组成的服务器集群)等。本实施例的计算机设备20至少包括但不限于:可通过系统总线相互通信连接的存储器21、处理器22,如图3所示。需要指出的是,图3仅示出了具有组件21-22的计算机设备20,但是应理解的是,并不要求实施所有示出的组件,可以替代的实施更多或者更少的组件。
本实施例中,存储器21(即可读存储介质)包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘等。在一些实施例中,存储器21可以是计算机设备20的内部存储单元,例如该计算机设备20的硬盘或内存。在另一些实施例中,存储器21也可以是计算机设备20的外部存储设备,例如该计算机设备20上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。当然,存储器21还可以既包括计算机设备20的内部存储单元也包括其外部存储设备。本实施例中,存储器21通常用于存储安装于计算机设备20的操作系统和各类应用软件,例如实施例一的钓鱼网站检测装置10的程序代码等。此外,存储器21还可以用于暂时地存储已经输出或者将要输出的各类数据。
处理器22在一些实施例中可以是中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器、或其他数据处理芯片。该处理器22通常用于控制计算机设备20的总体操作。本实施例中,处理器22用于运行存储器21中存储的程序代码或者处理数据,例如运行钓鱼网站检测装置10,以实现实施例一的钓鱼网站检测方法。
本实施例还提供一种计算机可读存储介质,如闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、随机访问存储器(RAM)、静态随机访问存储器(SRAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、可编程只读存储器(PROM)、磁性存储器、磁盘、光盘、服务器、App应用商城等等,其上存储有计算机程序,程序被处理器执行时实现相应功能。本实施例的计算机可读存储介质用于存储钓鱼网站检测装置10,被处理器执行时实现实施例一的钓鱼网站检测方法。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
流程图中或在此以其它方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本发明的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本发明的实施例所属技术领域的技术人员所理解。
本技术领域的普通技术人员可以理解,实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种钓鱼网站的检测方法,其特征在于,包括:
监听官方网站的网络日志,获取所述网络日志中的可疑行为记录;
获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
2.根据权利要求1所述的钓鱼网站的检测方法,其特征在于,所述监听官方网站的网络日志,获取所述网络日志中的可疑行为记录的步骤包括:
定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问;
通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名;
若所述域名未被记录在所述白名单中,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
3.根据权利要求2所述的钓鱼网站的检测方法,其特征在于,所述将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站的步骤包括:
获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站;
其中,所述特征样本集中包含与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式。
4.根据权利要求3所述的钓鱼网站的检测方法,其特征在于,所述变换规则包括以下一种或几种的组合:
将所述域名中的一个或几个字符替换为相似字符;
在所述域名之前或者之后增加字符;
删除所述域名中的一个或几个字符;
改变所述域名中的字符的排列顺序。
5.根据权利要求1所述的钓鱼网站的检测方法,其特征在于,所述将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站的步骤包括:
提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种。
6.一种钓鱼网站的检测装置,其特征在于,包括:
日志获取模块,适用于监听官方网站的网络日志,获取所述网站网络日志中的可疑行为记录;
可疑页面获取模块,适用于获取所述可疑行为记录对应的源地址,根据所述源地址获取可疑页面;
钓鱼判断模块,适用于将所述可疑页面与所述官方网站的页面进行对比,判断所述可疑页面对应的网站是否为钓鱼网站。
7.根据权利要求6所述的钓鱼网站的检测装置,其特征在于,所述日志获取模块包括:
日志提取子模块,适用于定时存储所述官方网站的网络日志,从所述网络日志中提取资源调用日志;其中,所述资源调用日志用于记录对所述官方网站中的资源的访问;
白名单对比子模块,适用于通过所述资源调用日志获取请求方的域名,将所述域名与白名单进行对比,其中,所述白名单中记录了确认为安全的域名;
可疑判定子模块,适用于若所述域名未被记录在所述白名单中,将所述资源调用日志中记录的对所述官方网站中的资源的访问行为确认为可疑行为记录。
8.根据权利要求7所述的钓鱼网站的检测装置,其特征在于,所述钓鱼判断模块包括:
第一判断子模块,适用于获取所述可疑页面的域名,将所述可疑页面的域名与特征样本集进行对比,当所述可疑页面的域名与所述特征样本集中的任一样本的相似度大于第一阈值时,确定所述可疑页面对应的网站为钓鱼网站;其中,所述特征样本集中包含与所述官方网站的域名相对应的多个替代域名,所述替代域名是所述官方网站的域名按照变换规则形成的不同表现形式;
第二判断子模块,适用于提取所述可疑页面中的可疑元素,将所述可疑元素与所述官方网页中的相应元素进行相似度计算,当所述相似度大于第二阈值时,确定所述可疑页面为钓鱼网站;其中,所述可疑元素包括版面布局、标题、Logo、关键字中的一种或几种。
9.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至5任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至5任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910267455.2A CN110035075A (zh) | 2019-04-03 | 2019-04-03 | 钓鱼网站的检测方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910267455.2A CN110035075A (zh) | 2019-04-03 | 2019-04-03 | 钓鱼网站的检测方法、装置、计算机设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110035075A true CN110035075A (zh) | 2019-07-19 |
Family
ID=67237434
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910267455.2A Pending CN110035075A (zh) | 2019-04-03 | 2019-04-03 | 钓鱼网站的检测方法、装置、计算机设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110035075A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110490258A (zh) * | 2019-08-22 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种自动判断网站扫描登录结果的方法、装置及电子设备 |
| CN110677384A (zh) * | 2019-08-26 | 2020-01-10 | 奇安信科技集团股份有限公司 | 钓鱼网站的检测方法及装置、存储介质、电子装置 |
| CN111078962A (zh) * | 2019-12-24 | 2020-04-28 | 北京海致星图科技有限公司 | 一种发现相似网站版块的方法、系统、介质及设备 |
| CN111147490A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种定向钓鱼攻击事件发现方法及装置 |
| CN112507333A (zh) * | 2020-12-01 | 2021-03-16 | 北京天融信网络安全技术有限公司 | 网站检测及模型训练方法、装置及电子设备 |
| CN112804210A (zh) * | 2020-12-31 | 2021-05-14 | 北京知道创宇信息技术股份有限公司 | 数据关联方法、装置、电子设备和计算机可读存储介质 |
| CN113132340A (zh) * | 2020-01-16 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
| CN113347177A (zh) * | 2021-05-31 | 2021-09-03 | 中国工商银行股份有限公司 | 钓鱼网站检测方法、检测系统、电子设备及可读存储介质 |
| CN114363039A (zh) * | 2021-12-30 | 2022-04-15 | 恒安嘉新(北京)科技股份公司 | 一种诈骗网站的识别方法、装置、设备及存储介质 |
| CN115085952A (zh) * | 2021-03-10 | 2022-09-20 | 中国电信股份有限公司 | 钓鱼网站处理方法及装置、存储介质与电子设备 |
| CN116938557A (zh) * | 2023-07-21 | 2023-10-24 | 上海数世代科技有限公司 | 一种基于区块链的仿冒网站识别方法、系统及设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594261A (zh) * | 2008-05-28 | 2009-12-02 | 北京百问百答网络技术有限公司 | 一种假冒网站监测方法及其系统 |
| CN102662959A (zh) * | 2012-03-07 | 2012-09-12 | 南京邮电大学 | 利用空间混合索引机制检测钓鱼网页的方法 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN102957664A (zh) * | 2011-08-17 | 2013-03-06 | 阿里巴巴集团控股有限公司 | 一种识别钓鱼网站的方法及装置 |
| CN104935605A (zh) * | 2015-06-30 | 2015-09-23 | 北京奇虎科技有限公司 | 钓鱼网站的检测方法、装置及系统 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106021383A (zh) * | 2016-05-11 | 2016-10-12 | 乐视控股(北京)有限公司 | 网页相似度计算方法及装置 |
| CN106127042A (zh) * | 2016-07-06 | 2016-11-16 | 苏州仙度网络科技有限公司 | 网页视觉相似度识别方法 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
-
2019
- 2019-04-03 CN CN201910267455.2A patent/CN110035075A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101594261A (zh) * | 2008-05-28 | 2009-12-02 | 北京百问百答网络技术有限公司 | 一种假冒网站监测方法及其系统 |
| CN102957664A (zh) * | 2011-08-17 | 2013-03-06 | 阿里巴巴集团控股有限公司 | 一种识别钓鱼网站的方法及装置 |
| CN102662959A (zh) * | 2012-03-07 | 2012-09-12 | 南京邮电大学 | 利用空间混合索引机制检测钓鱼网页的方法 |
| CN102710645A (zh) * | 2012-06-06 | 2012-10-03 | 珠海市君天电子科技有限公司 | 一种钓鱼网站检测方法及其检测系统 |
| CN104935605A (zh) * | 2015-06-30 | 2015-09-23 | 北京奇虎科技有限公司 | 钓鱼网站的检测方法、装置及系统 |
| CN105306465A (zh) * | 2015-10-30 | 2016-02-03 | 新浪网技术(中国)有限公司 | 网站安全访问实现方法及装置 |
| CN106021383A (zh) * | 2016-05-11 | 2016-10-12 | 乐视控股(北京)有限公司 | 网页相似度计算方法及装置 |
| CN106127042A (zh) * | 2016-07-06 | 2016-11-16 | 苏州仙度网络科技有限公司 | 网页视觉相似度识别方法 |
| CN106302438A (zh) * | 2016-08-11 | 2017-01-04 | 国家计算机网络与信息安全管理中心 | 一种多渠道的基于行为特征的主动监测钓鱼网站的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 张天红: ""网络钓鱼预警系统设计与分析"", 《中国优秀硕士学位论文全文数据库》 * |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110490258B (zh) * | 2019-08-22 | 2022-03-11 | 杭州安恒信息技术股份有限公司 | 一种自动判断网站扫描登录结果的方法、装置及电子设备 |
| CN110490258A (zh) * | 2019-08-22 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 一种自动判断网站扫描登录结果的方法、装置及电子设备 |
| CN110677384A (zh) * | 2019-08-26 | 2020-01-10 | 奇安信科技集团股份有限公司 | 钓鱼网站的检测方法及装置、存储介质、电子装置 |
| CN110677384B (zh) * | 2019-08-26 | 2023-01-06 | 奇安信科技集团股份有限公司 | 钓鱼网站的检测方法及装置、存储介质、电子装置 |
| CN111078962A (zh) * | 2019-12-24 | 2020-04-28 | 北京海致星图科技有限公司 | 一种发现相似网站版块的方法、系统、介质及设备 |
| CN111147490A (zh) * | 2019-12-26 | 2020-05-12 | 中国科学院信息工程研究所 | 一种定向钓鱼攻击事件发现方法及装置 |
| CN113132340A (zh) * | 2020-01-16 | 2021-07-16 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
| CN113132340B (zh) * | 2020-01-16 | 2022-06-28 | 中国科学院信息工程研究所 | 一种基于视觉与主机特征的钓鱼网站识别方法及电子装置 |
| CN112507333A (zh) * | 2020-12-01 | 2021-03-16 | 北京天融信网络安全技术有限公司 | 网站检测及模型训练方法、装置及电子设备 |
| CN112804210B (zh) * | 2020-12-31 | 2022-12-27 | 北京知道创宇信息技术股份有限公司 | 数据关联方法、装置、电子设备和计算机可读存储介质 |
| CN112804210A (zh) * | 2020-12-31 | 2021-05-14 | 北京知道创宇信息技术股份有限公司 | 数据关联方法、装置、电子设备和计算机可读存储介质 |
| CN115085952A (zh) * | 2021-03-10 | 2022-09-20 | 中国电信股份有限公司 | 钓鱼网站处理方法及装置、存储介质与电子设备 |
| CN113347177A (zh) * | 2021-05-31 | 2021-09-03 | 中国工商银行股份有限公司 | 钓鱼网站检测方法、检测系统、电子设备及可读存储介质 |
| CN114363039A (zh) * | 2021-12-30 | 2022-04-15 | 恒安嘉新(北京)科技股份公司 | 一种诈骗网站的识别方法、装置、设备及存储介质 |
| CN116938557A (zh) * | 2023-07-21 | 2023-10-24 | 上海数世代科技有限公司 | 一种基于区块链的仿冒网站识别方法、系统及设备 |
| CN116938557B (zh) * | 2023-07-21 | 2024-04-09 | 上海数世代科技有限公司 | 一种基于区块链的仿冒网站识别方法、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110035075A (zh) | 钓鱼网站的检测方法、装置、计算机设备及存储介质 | |
| US9954841B2 (en) | Distinguish valid users from bots, OCRs and third party solvers when presenting CAPTCHA | |
| US11388193B2 (en) | Systems and methods for detecting online fraud | |
| RU2607229C2 (ru) | Системы и способы динамического агрегирования показателей для обнаружения сетевого мошенничества | |
| US9742774B2 (en) | Method and apparatus for determining phishing website | |
| CN104954372B (zh) | 一种钓鱼网站的取证与验证方法及系统 | |
| US20190068638A1 (en) | Discovering website phishing attacks | |
| US20140380477A1 (en) | Methods and devices for identifying tampered webpage and inentifying hijacked web address | |
| CN102957664B (zh) | 一种识别钓鱼网站的方法及装置 | |
| CN111865925A (zh) | 基于网络流量的诈骗团伙识别方法、控制器和介质 | |
| CN108566399A (zh) | 钓鱼网站识别方法及系统 | |
| CN105391674A (zh) | 一种信息处理方法及系统、服务器、客户端 | |
| CN105282096A (zh) | Xss 漏洞检测方法和装置 | |
| CN103647767A (zh) | 一种网站信息的展示方法和装置 | |
| AU2017273371B2 (en) | Method and device for preventing server from being attacked | |
| CN107800686A (zh) | 一种钓鱼网站识别方法和装置 | |
| CN116366338A (zh) | 一种风险网站识别方法、装置、计算机设备及存储介质 | |
| CN107180194B (zh) | 基于视觉分析系统进行漏洞检测的方法及装置 | |
| CN108270754B (zh) | 一种钓鱼网站的检测方法及装置 | |
| CN114157568B (zh) | 一种浏览器安全访问方法、装置、设备及存储介质 | |
| CN117040804A (zh) | 网站的网络攻击检测方法、装置、设备、介质和程序产品 | |
| JP2022007278A (ja) | シグネチャ生成装置、検出装置、シグネチャ生成プログラム及び検出プログラム | |
| CN116910751A (zh) | 信息安全检测方法、装置、电子设备及存储介质 | |
| CN117040805A (zh) | 漏洞捕获方法、装置、计算机可读存储介质及电子设备 | |
| CN116094847A (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100088 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190719 |
|
| RJ01 | Rejection of invention patent application after publication |