钓鱼网站识别方法和系统的制作方法
【技术领域】
[0001]本发明涉及网络安全领域,特别是涉及一种钓鱼网站识别方法和系统。
【背景技术】
[0002]随着互联网对生活的影响越来越深入,网络交易、中奖发布平台等越来越多的实现了网络化操作。由于钓鱼网站通常与合法网站几乎如出一辙,并且大量引用的链接图片均属于合法网站。因此,一般用户无法识别出是否为钓鱼网站,从而导致用户私人信息泄露,损害用户利益。最终影响了在线金融服务、电子商务等的发展,使得网络交易的安全度降低。
[0003]而现有的对钓鱼网站的识别,通常是采用人工方式进行审核。而人工审核钓鱼网站,过程繁琐,效率和准确率均较低。
【发明内容】
[0004]基于此,有必要针对现有的人工方式识别钓鱼网站效率和准确率均较低的问题,提供一种钓鱼网站识别方法和系统。
[0005]为实现本发明目的提供的一种钓鱼网站识别方法,包括如下步骤:
[0006]根据接收到的待识别网站,获取所述待识别网站的IP地址、域名信息、收录信息和网页数据;
[0007]通讯连接存储有各模板库的预存数据库,根据所述网页数据中的各个特征关键词和所述预存数据库的所述各模板库中内置的特征字符,确定所述待识别网站的类型和所述预存数据库中与所述待识别网站的类型相匹配的第一模板库;
[0008]通讯连接所述第一模板库,根据所述第一模板库中存储的数据,分别对所述IP地址、所述域名信息、所述收录信息和所述特征关键词进行分析,得到每项的单风险值,并将每项所述单风险值进行综合,得到所述待识别网站的总风险值;
[0009]比较所述总风险值与预设风险值,当所述总风险值大于或等于所述预设风险值时,判定所述待识别网站为钓鱼网站。
[0010]在其中一个实施例中,当判断出所述待识别网站为所述钓鱼网站后,还包括如下步骤:
[0011]上传所述待识别网站的所述域名信息至云端服务器。
[0012]在其中一个实施例中,根据接收到的所述待识别网站,使用socket通信模拟http数据包,获取网络服务器返回的所述待识别网站的所述IP地址、所述域名信息、所述收录信息和所述网页数据。
[0013]在其中一个实施例中,所述通讯连接存储有各模板库的预存数据库,根据所述网页数据中的各个特征关键词和所述预存数据库的所述各模板库中内置的特征字符,确定所述待识别网站的类型和所述预存数据库中与所述待识别网站的类型相匹配的第一模板库,包括如下步骤:
[0014]依次在所述预存数据库的各模板库中内置的所述特征字符中扫描所述网页数据中的各个所述特征关键词,并对各个所述特征关键词在同一模板库中出现的次数进行求和或加权叠加,获取相应的多个特征统计值;
[0015]由所述多个特征统计值中筛选出最大特征统计值;
[0016]根据所述最大特征统计值,确定所述待识别网站的类型,并调取所述预存数据库中与所述待识别网站的类型相匹配的模板库作为所述第一模板库。
[0017]在其中一个实施例中,所述通讯连接所述第一模板库,根据所述第一模板库,分别对所述IP地址、所述域名信息、所述收录信息和所述特征关键词进行分析,得到每项的单风险值,并将每项所述单风险值进行综合,得到所述待识别网站的总风险值,包括如下步骤:
[0018]分析所述IP地址;所述IP地址为第一国外IP地址信息时,设置所述IP地址的单风险值为第一预设值;
[0019]对比所述域名信息与所述第一模板库中存储的可信任域名信息,所述域名信息与所述可信任域名信息完全不同时,设置所述域名信息的单风险值为第二预设值;
[0020]对比所述收录信息与所述第一模板库中存储的第一收录信息,所述收录信息小于所述第一收录信息时,设置所述收录信息的单风险值为第三预设值;
[0021]对比所述特征关键词在所述网页数据中的总数量与所述第一模板库中存储的相应的第一特征字符统计值,所述特征关键词的总数量大于所述第一特征字符统计值预设值时,设置所述特征关键词的总数量的单风险值为第四预设值;
[0022]对所述IP地址的单风险值、所述域名信息的单风险值、所述收录信息的单风险值和所述特征关键词的总数量的单风险值进行求和或加权叠加,得到所述待识别网站的所述总风险值。
[0023]相应的,本发明还提供了一种钓鱼网站识别系统,包括数据获取模块、类型匹配模块、综合分析模块和比较判断模块;
[0024]所述数据获取模块被配置为根据接收到的待识别网站,获取所述待识别网站的IP地址、域名信息、收录信息和网页数据;
[0025]所述类型匹配模块与存储有各模板库的预存数据库通讯连接,并被配置为根据所述网页数据中的各个特征关键词和所述预存数据库的所述各模板库中内置的特征字符,确定所述待识别网站的类型和所述预存数据库中与所述待识别网站的类型相匹配的第一模板库;
[0026]所述综合分析模块与所述预存数据库中的所述第一模板库通讯连接,并被配置为根据所述第一模板库中的数据,分别对所述IP地址、所述域名信息、所述收录信息和所述特征关键词进行分析,得到每项的单风险值,并将每项所述单风险值进行综合,得到所述待识别网站的总风险值;
[0027]所述比较判断模块被配置为比较所述总风险值与预设风险值,当所述总风险值大于或等于所述预设风险值时,判定所述待识别网站为钓鱼网站。
[0028]在其中一个实施例中,还包括数据上传模块,且所述数据上传模块与云端服务器通讯连接;
[0029]当所述比较判断模块判断出所述待识别网站为所述钓鱼网站时,所述数据上传模块被配置为读取所述数据获取模块获取的所述域名信息,并上传所述域名信息至所述云端服务器。
[0030]在其中一个实施例中,所述数据获取模块,用于根据接收到的所述待识别网站,使用socket通信模拟http数据包,获取网络服务器返回的所述待识别网站的所述IP地址、所述域名信息、所述收录信息和所述网页数据。
[0031]在其中一个实施例中,所述类型匹配模块包括查找计算单元、特征筛选单元和模板库调取单元;
[0032]所述查找计算单元被配置为依次在所述预存数据库的各模板库中内置的所述特征字符中扫描所述网页数据中的各个所述特征关键词,并对各个所述特征关键词在同一模板库中出现的次数进行求和或加权叠加,获取相应的多个特征统计值;
[0033]所述特征筛选单元被配置为由所述多个特征统计值中筛选出最大特征统计值;
[0034]所述模板库调取单元被配置为根据所述最大特征统计值,确定所述待识别网站的类型,并调取所述预存数据库中与所述待识别网站的类型相匹配的模板库作为所述第一模板库。
[0035]在其中一个实施例中,所述综合分析模块包括第一分析设置单元、第一对比设置单元、第二对比设置单元、第三对比设置单元和综合计算单元;
[0036]所述第一分析设置单元被配置为分析所述IP地址;所述IP地址为第一国外IP地址信息时,设置所述IP地址的单风险值为第一预设值;
[0037]所述第一对比设置单元被配置为对比所述域名信息与所述第一模板库中存储的可信任域名信息,所述域名信息与所述可信任域名信息完全不同时,设置所述域名信息的单风险值为第二预设值;
[0038]所述第二对比设置单元被配置为对比所述收录信息与所述第一模板库中存储的第一收录信息,所述收录信息小于所述可第一收录信息时,设置所述收录信息的单风险值为第三预设值;
[0039]所述第三对比设置单元被配置为对比所述特征关键词在所述网页数据中的总数量与所述第一模板库中存储的相应的第一特征字符统计值,所述特征关键词的总数量大于所述第一特征字符统计值预设值时,设置所述特征关键词的总数量的单风险值为第四预设值;
[0040]所述综合计算单元被配置为对所述IP地址的单风险值、所述域名信息的单风险值、所述收录信息的单风险值和所述特征关键词的总数量的单风险值进行求和或加权叠加,得到所述待识别网站的所述总风险值。
[0041]上述钓鱼网站识别方法的有益效果:
[0042]当对待识别网站进行审核识别时,通过由待识别网站的网页数据中的各个特征关键词和预存数据库的各模板库内置的特征字符,确定预存数