专利名称:一种保护银行卡号及口令不被网络钓鱼网站窃取的方法
技术领域:
本发明涉及计算机网络安全领域,特别是指一种保护银行卡号及口令不被网络钓
鱼网站窃取的方法。
背景技术:
网络钓鱼(Phishing)是以社会工程学结合计算机技术骗取用户秘密信息(如银 行卡号和口令、电子邮箱口令等)的手段。 一般的做法是这样不法分子首先建立一个网络 钓鱼网站,其界面、域名往往与被冒仿的网站相似;然后通过电子邮件等形式将网络钓鱼网 站的链接大量发送给因特网用户,让他们误以为这个网站是真的合法网站,欺骗用户访问 这些钓鱼网站并输入他们的银行卡号和口令,如果这时用户信以为真,输入了银行卡号和 口令,那么这些信息将被不法分子手获取。 除了上面的描述,还有一种称为Pharming的网络钓鱼手段。Pharming手段修改了 用户使用的DNS服务器配置、DNS Cache或本地Hosts文件,当用户访问合法网站时,错误 的DNS地址解析会将用户带到了非法的钓鱼网站上,从而被骗去了秘密信息。
现在的反网络钓鱼技术基本上可以分为黑名单、启发式特征判断、网页相似度评 估等几种。黑名单是将已发现的网络钓鱼网站URL存储在数据库中,每当用户访问一个网 站时,反网络钓鱼系统都要把这个网站的URL发送到黑名单库中去查询,从而可以得知该 网站是否为钓鱼网站。启发式特征判断是通过分析已知的网络钓鱼网站,从中提取出一些 特征,如URL中有"(g"符号、URL中"."比较多、网络钓鱼网站的域名注册时间较短、URL使 用IP地址等,当用户访问一个网站时,反网络钓鱼软件会分析该网站是否具备钓鱼网站的 特征,当匹配到的特征超过一定数量时,就判定该网站为钓鱼网站。网络相似度评估通过评 估用户要访问网站与被保护网站的页面,如果相似度超过一个阈值,并且不完全相等,即认 为该网站在冒仿这个被保护的网站。 目前主流的技术有一下缺点1.黑名单技术的误报率低,但是有滞后性,无法防 范黑名单库中没有的网站。2.启发式特征判断技术的误报率和漏报率较高,并且不发分子 很容易用技术手段规避启发式特征判断的检测。3.网页相似度技术的计算量特别大,计算 一个网页需要近1秒的时间,不适合在客户终端上检测钓鱼网站,并且这种技术的正确率 依赖于文本、图片相似性识别技术,而这种技术(尤其图片相似性识别技术)目前还不够完 善。4.这些技术均无法识别使用Pharming手段进行欺骗的钓鱼网站。
发明内容
据国际组织对已知网络钓鱼网站的统计分析,超过半数的网络钓鱼网站冒仿的是 金融机构,目的是窃取网上银行用户的银行卡号和口令,本发明在于提供一种保护银行卡 号及口令不被网络钓鱼网站窃取的方法及装置。该方法准确有效,并且可以有效的识别使 用Pharming手段进行欺骗的钓鱼网站。
该方法通过一下步骤实现
第一步在信息服务器上建立银行信息库,内容包括银行名称、银行DNS服务器 IP地址、可接收该银行卡号的其他可信网站的DNS服务器地址(如可接收该银行卡号的第 三方支付网站、电子商务网站等)、该银行所发放银行卡的卡号号段。由管理员维护此信息 库,当银行信息更改时,更新信息库。 第二步用户终端从服务器上下载银行信息库,并定期更新,保证本地银行信息库 中的信息是有效的。
第三步在用户终端上建立一个监控装置,监控装置实时监控用户是否在网页中
输入银行卡号,同时监控装置监控用户终端系统是否要将银行卡号发送出去。 监控装置可以使用浏览器开发接口或操作系统开发接口等方式监控用户在浏览
器中的输入,也可以修改浏览器源码,在其中加入监控接口。如果监控到用户输入了连续的
数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为用户可能输入
了银行卡号。同时获取要接受该卡号的网站IP地址。 监控装置在底层监听系统向外发送的HTTP报文,如果发送的POST或GET报文中 包含连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段匹配,即认为终 端可能向外发送银行卡号。通过分析IP报文的目的地址,获取要接受该卡号网站的IP地 址。 记监控到的银行卡号为cardno,即要接受该卡号的网站IP地址为desip。
第四步在银行信息库中检索卡号cardno所属银行的记录,获取对应的银行名 称、银行DNS服务器地址和可信网站DNS服务器地址,记银行名称为bankname,银行DNS 服务器地址为bankdns,可信网站DNS服务器地址可能有多个,分别记为trustydnsj.. trustydns_n。向bankdns发送反向解析报文,查询desip是否属于该域。如果属于该域, 说明这个网站是合法网上银行,对用户的操作不做任何处理,执行第三步继续监控。如果 desip不属于该域,逐个向trustydns发送反向解析报文,查询desip是否属于相应域。如 果属于其中一个域,说明这个网站是合法的可接收该银行卡卡号的网站,对用户操作不做 任何处理。如果不属于任何一个域,执行第五步。 第五步向用户弹出提示,询问用户是否在网上使用bankname银行的银行卡。如 果用户回答否,说明用户没有在网上使用bankname银行卡,因此第三步监控到的cardno 并非银行卡号,而是用户发送的正常报文中恰巧包含了与被保护银行卡号相同的内容,因 此对用户的操作不做任何处理,执行第三步继续监控。如果用户回答是,说明用户以为自 己在登陆bankname银行的网上银行或其他接收该行银行卡号的网站,但由于第四步的分 析,desip并非bankname银行域或其他可信域的有效地址,所以可以认定desip是伪造了 bankname银行的网络钓鱼网站。 第六步如果用户访问的网站是网络钓鱼网站,向用户发出告警提示,阻止用户终 端将用户的银行卡及口令信息发送出去。 本方法准确有效。由于是实时检测的,不需要等待黑名单的建立,克服了黑名单的 时延性;由于银行卡号是存于数据库中的准确数据,所以克服了启发式特征判断技术误报 率高的问题;由于在本地监听用户在浏览器的输入的同时也监听了底层HTTP报文,所以漏 报率很低;同时,由于在银行信息库中存储了银行的DNS服务器IP地址,并获取了目标网站 的IP地址,所以有效的解决了 Pharming问题。
图1.用户终端上的监控装置判断网络钓鱼网站的流程
图2.实施部署图
图3.监控装置框图
具体实施例方式
该系统由信息服务器、监控装置两部分组成。信息服务器上存放银行信息库,提供 下载接口,供监控装置下载。监控装置安装于用户终端上,监视用户访问的网站是否为网络 钓鱼网站,防止用户的银行卡号及口令被网络钓鱼网站窃取 信息服务器信息服务器上存放银行信息库,提供下载、管理接口 ,供监控装置下 载。信息库由管理员维护,当银行信息更改时(如更换域名服务器地址),更新信息库。
银行信息库由于每家银行所发放的银行卡号段都是已分配好的,因此,我们可 以建立一个卡号与银行相对应的信息库。信息库中存储卡号段和银行的对应信息,包括 四个字段发卡银行名称、卡号号段、银行域名服务器地址、可接收该银行卡号的其他可 信网站的DNS服务器地址(如第三方支付网站、电子商务网站等)。比如,如果Y银行的 卡号范围为"111XXX-222XXX",则Y银行的记录发卡银行名称为"Y银行",卡号号段为 "111XXX-222XXX",银行域名服务器IP地址为Y银行域名服务器的IP地址,如果第三方支 付网站A和电子商务网站B也可以接收Y银行的卡号,A网站的DNS服务器地址为al. a2. a3. a4,B网站的DNS服务器地址为bl. b2. b3. b4,则在Y银行记录中的可信网站DNS服务器 地址字段为"al. a2. a3. a4"和"bl. b2. b3. b4"。如果银行的卡号和口令只能由发卡行接收, 则可信网站DNS服务器地址字段为空。 监控装置监控装置安装在用户终端上,由信息同步模块、本地银行信息库、监视 模块、Phishing识别模块和告警阻断模块组成。 本地银行信息库从信息服务器上下载的银行信息库,存储于用户终端上。 信息同步模块定期通过网络从信息服务器上更新银行信息库,保证本地信息库
中的数据是实时有效的。 监视模块监视模块有2个子模块,用户输入监视模块和底层HTTP报文监视模块。 用户输入监视模块监视用户在网页中的输入,当用户输入连续的数字串时,查询本地银行 信息库是否存储了该卡号的记录,如果有,即认为可能输入了卡号,同时分析出接收卡号的 网页所在网站的IP地址。该模块可以使用浏览器提供的开发接口或操作系统提供的开发 接口实现;如果可以修改浏览器的源码,也可以直接修改浏览器,增加对用户输入的监视功 能。底层HTTP报文监视模块在底层监听用户终端向外发送的HTTP报文,当发送GET或POST
请求报文时,如果其报文给服务器传送的信息中包含了连续的数字串时,查询本地银行信 息库是否存储了该卡号的记录,如果有,即认为可能输入了卡号。将可疑卡号记为cardno, 将发送的目的IP地址记为desip,调用Phishing识别模块分析desip是否为网络钓鱼网站。 Phishing识别模块Phishing识别模块在本地银行信息库中检索卡号cardno所 属银行的记录,获取对应的银行名称、银行DNS服务器地址和可信网站DNS服务器地址,记银行名称为bankname,银行DNS服务器地址为bankdns,可信网站DNS服务器地址为 trustydns—l. . trustydns_n。向bankdns发送反向解析报文,查询desip是否属于该域。如 果属于该域,说明这个网站是合法网上银行,对用户的操作不做任何处理。如果desip不属 于该域,逐个向每个trustydns发送反向解析报文,查询desip是否属于相应域。如果属于 其中一个域,说明这个网站是合法的可接收该银行卡卡号的网站,对用户操作不做任何处 理。如果不属于任何一个域,说明desip可能是网络钓鱼网站。这时,识别模块向用户弹出 提示,询问用户是否在使用bankname银行的银行卡。如果用户回答否,说明用户没有在网 上使用bankname银行卡,因此监视模块监控到的cardno并非银行卡号,而是用户发送的正 常报文中恰巧包含了与被保护银行卡号相同的内容,因此对用户的操作不做任何处理。如 果用户回答是,说明用户以为自己在登陆bankname银行的网上银行或其他接收该行银行 卡号的网站,但由之前DNS反向解析的结果分析可知,desip并非bankname银行域或其他 可信域的有效地址,所以可以认定desip是伪造了 bankname银行的钓鱼网站,这时调用告 警阻断模块,对用户进行告警,并阻止用户终端将银行卡号及口令发送出去。
告警阻断模块向用户发出告警提示,阻断用户对网站的访问,阻止用户终端将银 行卡号及口令发送出去。 本方法准确有效。由于是实时检测的,不需要等待黑名单的建立,克服了黑名单的 时延性;由于银行卡号是存于数据库中的准确数据,所以克服了启发式特征判断技术误报 率高的问题;由于在本地监听用户在浏览器的输入的同时也监听了底层HTTP报文,所以漏 报率很低;同时,由于在银行信息库中存储了银行的DNS服务器IP地址,并获取了目标网站 的IP地址,所以有效的解决了 Pharming问题。 对于本发明各个实施例中所阐述的方法,凡在本发明的精神和原则之内,所作的 任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
一种保护银行卡号及口令不被网络钓鱼网站窃取的方法,其特征在于,包括在信息服务器上建立银行信息库,存储银行名称、银行DNS服务器IP地址、可接受该银行卡号的其他可信网站的DNS服务器地址、该银行所发放银行卡的卡号号段,在用户终端上安装监控装置,监控装置定期从信息服务器更新银行信息库,监控装置实时监控用户是否在浏览器中输入银行卡号或口令,同时监控装置实时监控终端系统是否要将银行卡号发送出去,如果所述监控装置监控到用户正在浏览器中输入银行卡号,或终端系统要将银行卡号发送出去,所述监控装置获取该银行卡号和要接收该卡号的网站IP地址,同时在本地银行信息库中查询该卡号发卡行的DNS地址和可接受该银行卡号的其他可信网站的DNS服务器地址,然后所述监控装置向发卡行网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是该行的有效地址,向可接受该银行卡号的其他可信网站的DNS服务器发送查询报文,查询接收卡号的网站的IP地址是否是相应域的有效地址,如果接收卡号的IP地址既不是发卡行的IP地址,也不是可接受该银行卡号的其他可信网站的IP地址,所述监控装置向用户询问是否在使用该行银行卡,如果用户回答是,则用户访问的网站为钓鱼网站,这时所述监控装置阻断用户对该网站的访问、阻断系统向该网站发送的报文。
2. 根据权利1所述的方法,其特征在于用户终端上的监控装置监控用户在浏览器中 的输入,如果输入了连续的数字串,且该数字串与本地银行信息库中存储的银行卡卡号段 匹配,即认为用户可能输入了银行卡号。
3. 根据权利1所述的方法,其特征在于监控装置可以使用浏览器开发接口或操作系 统开发接口监控用户在浏览器中的输入,也可以修改浏览器源码,在其中加入监控接口 。
4. 根据权利l所述的方法,其特征在于当监控到用户在浏览器中输入银行卡号时,可以使用浏览器开发接口或操作系统开发接口、或直接通过修改浏览器源码、或通过分析接 收卡号的网页的源码来获取要接受卡号的网站的IP地址。
5. 根据权利1所述的方法,其特征在于用户终端上的监控装置在底层监听系统向外发送的HTTP报文,如果发送的POST或GET报文中包含连续的数字串,且该数字串与本地银 行信息库中存储的银行卡卡号段匹配,即认为终端可能向外发送银行卡号。
6. 根据权利l所述的方法,其特征在于当监控到系统向外发送银行卡号时,通过分析 IP报文的目的地址,可以获取要接受卡号的网站的IP地址。
7. 根据权利1所述的方法,其特征在于当监控装置监控到用户在浏览器中输入银行卡号或系统向外发送银行卡号时,监控装置在本地银行信息库中根据银行卡号查询该卡号的发卡行DNS地址,向DNS服务器发送反向DNS解析报文,查询要接收银行卡号的IP地址 是否属于该域。如果属于该域,则用户访问的网站不是钓鱼网站。
8. 根据权利1所述的方法,其特征在于当监控装置监控到用户在浏览器中输入银行 卡号或系统向外发送银行卡号时,监控装置在本地银行信息库中根据银行卡号查询可接受 该银行卡号的其他可信网站的DNS服务器地址,向每个DNS服务器发送反向DNS解析报文, 查询要接收银行卡号的IP地址是否属于该域。如果属于其中一个域,则用户访问的网站不 是钓鱼网站。
9. 根据权利1、权利8、权利9所述的方法,其特征在于当监控装置查询到要接收银行卡号的IP地址不属于发卡行网站的域,并且也不属于任何一个可接受该银行卡号的其他 可信网站的域,则向用户询问是否在使用该行银行卡,如果用户回答是,则该用户访问的网 站为钓鱼网站,这时监控装置阻断用户对该网站的访问、阻断系统向该网站发送的报文。
全文摘要
本发明公开了一种保护银行卡号及口令不被网络钓鱼网站窃取的方法,包括在终端上建立监控装置,监控装置定期从服务器上下载更新银行信息库,实时监控用户在网页中的输入、监听系统向外发送的HTTP报文。如果用户在网页中输入了连续数字串,或系统向外发送连续数字串,在本地银行信息库中查询该串是否是银行卡号,如是卡号,查出对应的银行DNS服务器地址、其他可信网站的DNS服务器地址,向DNS服务器发送反向解析报文,判断接受卡号的网站是否属于相应域;如不属于相应域,根据用户的反馈来判断网站是否为钓鱼网站。如是钓鱼网站,阻断与该网站的连接。本发明的方法可准确有效地检测出窃取银行卡号及口令的钓鱼网站。
文档编号H04L29/08GK101714272SQ20091023840
公开日2010年5月26日 申请日期2009年11月19日 优先权日2009年11月19日
发明者孙彬, 张华 , 温巧燕 申请人:北京邮电大学