专利名称:基于钓鱼网站ip集中性的收集与鉴定的方法和系统的制作方法
技术领域:
本发明属于计算机技术领域,尤其是基于钓鱼网站IP集中性的收集与鉴定的方法和系统。
背景技术:
钓鱼网站通常是指伪装成银行及电子商务等网站,主要危害是窃取用户提交的银行帐号、密码等私密信息。这些钓鱼网站往往具有很强的隐蔽性,人们一般难以察觉。目前针对钓鱼网站的处理是发现一家处理一家,发现机制主要包括网民举报,云检测。网民举报和云检测往往具有滞后性。由于防护意识普遍不高,因此对于钓鱼网站的举报也十分有限。云检测通过杀毒软件,防护软件等来发现钓鱼网站。由于网站众多,基于云的检测数据量十分庞大,在服务器有限的条件下,无法快速准确地对钓鱼网站进行排查。基于云的检测需要耗费大量的资源,而且不具有针对性。因此需要针对钓鱼网站的规则来快速发现钓鱼网站。
发明内容
本发明的目的,就是克服现有技术的不足,提供一种根据已知钓鱼网站的域名信息反查与该钓鱼网站域名使用相同IP地址的所有网站域名,并判断这些网站域名是否为钓鱼网站域名的基于钓鱼网站IP集中性的收集与鉴定的方法和系统。为了达到上述目的,采用如下技术方案 一种基于钓鱼网站IP集中性的收集与鉴定的方法,其特征在于所述基于钓鱼网站IP集中性的收集与鉴定的方法包括以下步骤从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址;根据所述IP地址,获取所有使用该IP地址的网站域名;根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中;根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库。进一步地,所述根据预设的第一判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名中的预设的第一判断规则具体是若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,该网站域名为可信任网站域名;若网站域名备案信息的主办单位主体为个人或不存在,该网站域名为可疑网站域名。进一步地,所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前,还有以下步骤,所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名;若获取的网站域名与所述可信任网站域名数据库中的可信任网站域名均不相同,则获取的网站域名为可疑网站域名;若获取的网站域名与所述可信任网站域名数据库中的任一可信任网站域名相同,则为可信任网站域名。
进一步地,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前,还有以下步骤,根据预设的第二匹配规则判断所述可疑网站域名是否为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的任一钓鱼网站域名相同,则可疑网站域名为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同,则进入到根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。进一步地,所述根据预设的第一判断规则或第一匹配规则判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加所述可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重,更新可疑网站域名数据库;如果获取的网站域名为可信任网站域名,则不改变判断该网站域名为钓鱼网站域名的钓鱼权重,同时更新可信任网站域名数据库。进一步地,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库,具体是可疑网站域名
的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、以及Whois信息的钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;若可疑网站域名的钓鱼权重高于90%,所述可疑网站域名为钓鱼网站域名,同时可疑网站域名存储至钓鱼网站域名数据库。一种基于钓鱼网站IP集中性的收集与鉴定的系统,包括存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼网站域名的钓鱼网站域名数据库,还包括提取模块,用于从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址;获取模块,用于根据所述IP地址,获取所有使用该IP地址的网站域名;判断模块,用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至可疑网站域名数据库中,将可信任网站域名存储至可信任网站域名数据库中;钓鱼判断模块,用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至钓鱼网站域名数据库。进一步地,所述判断模块判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重并将获取的网站域名发送至可疑网站域名数据库;如果可疑网站域名为可信任网站域名,则不改变判断该网站域名为钓鱼网站域名的钓鱼权重,同时判断模块把获取的网站域名发送至可信任网站域名数据库。进一步地,所述钓鱼判断模块根据可疑网站域名的钓鱼权重判断网站域名是否为钓鱼网站域名,所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、Whois信息的钓鱼权重相加的总和。进一步地,所述网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;可疑网站域名的钓鱼权重在90%以上,则钓鱼判断模块判断所述可疑网站域名为钓鱼网站域名,并把可疑网站域名发送至钓鱼网站域名数据库。与现有技术相比,本发明的有益效果在于本发明根据钓鱼网站IP具有集中性的特点,对已知钓鱼网站的域名反查与该钓鱼网站域名相同IP下的所有网站域名,并判断这些网站域名是否为钓鱼网站域名。本发明有效快速地发现钓鱼网站域名,具有很强的针对性,缩小了检测范围,提高了效率。
图I是本发明所述的基于钓鱼网站IP集中性的收集与鉴定的方法的流程图。图2是本发明所述的基于钓鱼网站IP集中性的收集与鉴定的系统的结构示意图。图不1-提取模块;2_获取模块3_判断模块;4_可疑网站域名数据库;5—可/[目任网站域名数据库;6—钓鱼判断模块;7—钓鱼网站域名数据库。
具体实施例方式下面将结合附图以及具体实施方法来详细说明本发明,在本发明的示意性实施及 说明用来解释本发明,但并不作为对本发明的限定。根据现有的技术,多个域名解析到同一个IP是可以实现的。例如虚拟主机,比如一台服务器里通过IIS设置多个空间,每个空间绑定一个域名,再把多个域名解析到这个IP上。每一个域名访问的网站部通,但是IP却是同一个。根据长时间的钓鱼网站的研究,发现钓鱼网站的制造者习惯把多个钓鱼网站解析到同一个IP地址。针对这种情况,本发明根据已经被其它安全软件判定为钓鱼网站的网站进行反查,从钓鱼网站中反查出其IP地址所在。然后根据IP地址查出该IP地址下所有的网站信息,再对该IP地址下的所有网站信息(主要是网站域名)进行判断和分类。如图I所示,本实施例主要通过以下步骤实现从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址。提取所述网站域名的IP地址可以采用以下方法使用DOS系统的nslookup命令查询钓鱼网站的IP。例如,假设一个已知的钓鱼网站的网址为http://abcdefg. com,其域名为abcdefg. com。米用nslookup命令“nslookup abcdefg.com”。结果显示出该钓鱼网站域名的IP地址,提取该IP地址。根据所述IP地址,获取所有使用该IP地址的网站域名。现有的网站已提供相关的查询接口,可以通过IP地址查询到同IP下的所有网站域名。根据IP地址获取同IP下的所有网站域名的原理不在此赘述。根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名。所述预设的第一判断规则具体是若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,判断该网站域名为可信任网站域名;若网站域名备案信息的主办单位主体为个人或不存在,即未备案,判断该网站域名为可疑网站域名。将可疑网站域名存储至一可疑网站域名数据库4中,将可信任网站域名存储至一可信任网站域名数据库5中。所述获取的网站域名在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前,优先与所述可信任网站域名数据库5中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为可信任网站域名数据库5中的可信任网站域名。此处的预设的第一匹配规则为域名匹配,获取的网站域名与可信任网站域名数据库5中的可信任网站域名相同,则获取的网站域名为可信任网站域名数据库5中的可信任网站域名。若获取的网站域名与可信任网站域名数据库5中的可信任网站域名均不相同,则进入到根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的流程。经过第一判断规则的判断后,可疑网站域名发送至可疑网站域名数据库,存储在可疑网站域名数据库4中。同时增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,增加所述可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重;如果获取的网站域名为可信任网站域名,则不改变该网站域名为钓鱼网站域名的钓鱼权重,且同时把获取的网站域名发送至可信任网站域名数据库5,存储在可信任网站域名数据库5中。所述根据预设的第二判断规则判断所述可疑网站域名数据库4中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库7。所述预设的第二判断规则具体是可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重相加的总和;其中网站域名占10%钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重。若可疑网站域名的钓鱼权重大于90%,该可疑网站域名为钓鱼网站域名,同时把可疑网站域名发送至钓鱼网站域名数据库7,存储在钓鱼网站数据库7中。网站域名、网站内容的判断方法为目前已有的常 规技术的判断方法。whois (读作“who is”,而非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商等)。通过whois来实现对域名信息的查询。whois信息设有白名单数据库和黑名单数据库。whois信息的查询结果与白名单数据库匹配,即包含于白名单数据库中,则该whois信息为白信息;若whois信息的查询结果与黑名单数据库匹配,即包含于黑名单数据库中,则该whois信息为黑信息,该whois信息占10%的钓鱼网站权重。作为优选,在根据预设的第二判断规则判断所述可疑网站域名数据库4中的可疑网站域名是否为钓鱼网站域名之前,根据预设的第二匹配规则判断所述可疑网站域名是否为钓鱼网站域名数据库7中的钓鱼网站域名。此处所述的预设的第二匹配规则为域名匹配,若可疑网站域名与钓鱼网站域名数据库7中的钓鱼网站域名相同,则可疑网站域名为钓鱼网站域名,所述获取的网站域名为已存在的钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库7中的钓鱼网站域名均不相同,则进入根据预设的第二判断规则判断所述可疑网站域名数据库4中的可疑网站域名是否为钓鱼网站域名的流程。如图2所示,本实施例的系统主要包括以下模块提取模块1,用于从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址;获取模块2,用于根据所述IP地址,获取所有使用该IP地址的网站域名;判断模块3,用于判断获取的网站域名为可疑网站域名或可信任网站域名;可疑网站域名数据库4,用于存储可疑网站域名;可信任网站域名数据库5,用于存储可信任网站域名;钓鱼判断模块6,用于判断可疑网站域名是否为钓鱼网站域名;钓鱼网站域名数据库7,用于存储钓鱼网站域名。提取模块I从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址。提取所述网站域名的IP地址可以采用实施例一中的nslookup命令方法。获取模块2根据所述IP地址,获取所有从提取模块I中提取的IP地址对应的所有网站域名。判断模块3根据预设的第一判断规则判断获取模块2中获取的网站域名为可疑网站域名或可信任网站域名。
判断模块3判断获取模块2中获取的网站域名为可疑网站域名后,存储至可疑网站域名数据库4中。同时增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,增加所述可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重;如果其为可信任网站域名,把该可信任网站域名存储至可信任网站域名数据库5中,不改变该网站域名为钓鱼网站域名的钓鱼权重。钓鱼判断模块6根据判断模块3中的判断结果,结合预设的第二判断规则判断所述可疑网站域名数据库4中的可疑网站域名是否为钓鱼网站域名。所述预设的第二判断规则具体是可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重相加的总和。其中,网站域名占10%钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重。若可疑网站域名的钓鱼权重大于90%,钓鱼判断模块6判断该网站域名为钓鱼网站域名,同时存储该钓鱼网站域名至钓鱼网站域名数据库7中。网站域名、网站内容以及whois信息的判断方法与上述说明书陈述的方法相同。所述获取模块2获取的网站域名优先根据预设的第一匹配规则与所述可信任网·站域名数据库5中的可信任网站域名匹配。此处的预设的第一匹配规则为域名匹配,若获取模块2获取的网站域名与可信任网站域名数据库5中的可信任网站域名相同,则判断模块3判断获取的网站域名为可信任网站域名,所述获取模块2中获取的网站域名为已存在的可信任网站域名;若获取模块2获取的网站域名与可信任网站域名数据库5中的可信任网站域名均不相同,则获取模块2获取的网站域名进入根据预设的第一判断规则判断获取的网站域名为可信任网站域名或可疑网站域名。判断模块3判断所述获取的网站域名为可疑网站域名后,可疑网站域名优先根据第二匹配规则与所述钓鱼网站域名数据库中的钓鱼网站域名匹配。由判断模块3判断所述可疑网站域名是否为钓鱼网站域名数据库7中的钓鱼网站域名匹配。此处所述的预设的第二匹配规则为域名匹配,可疑网站域名与钓鱼网站域名数据库7中的钓鱼网站域名相同,则判断模块3判断可疑网站域名为钓鱼网站域名,所述可疑网站域名为已存在的钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库7中的钓鱼网站域名均不相同,则进入钓鱼判断模块6根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的操作。本发明通过一个已知钓鱼网站,可以有效快速地发现与该已知钓鱼网站同IP下的所有钓鱼网站域名,对钓鱼网站的防护具有很强的针对性,同时缩小了查杀范围,提高了查杀效率。以上对本发明实施例所提供的技术方案进行了详细介绍,本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述,以上实施例的说明只适用于帮助理解本发明实施例的原理;同时,对于本领域的一般技术人员,依据本发明实施例,在具体实施方式
以及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种基于钓鱼网站IP集中性的收集与鉴定的方法,其特征在于所述基于钓鱼网站IP集中性的收集与鉴定的方法包括以下步骤 从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址; 根据所述IP地址,获取所有使用该IP地址的网站域名; 根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中; 根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库。
2.根据权利要求I所述的基于钓鱼网站IP集中性的收集与鉴定的方法,其特征在于,所述根据预设的第一判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名中的预设的第一判断规则具体是 若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位,该网站域名为可 目任网站域名; 若网站域名备案信息的主办单位主体为个人或不存在,该网站域名为可疑网站域名。
3.根据权利要求I所述的基于钓鱼网站IP集中性的收集与鉴定的方法,所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前,还有以下步骤,其特征在于 所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名;若获取的网站域名与所述可信任网站域名数据库中的可信任网站域名均不相同,则获取的网站域名为可疑网站域名;若获取的网站域名与所述可信任网站域名数据库中的任一可信任网站域名相同,则为可信任网站域名。
4.根据权利要求I所述的基于钓鱼网站IP集中性的收集与鉴定的方法,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前,还有以下步骤,其特征在于 根据预设的第二匹配规则判断所述可疑网站域名是否为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的任一钓鱼网站域名相同,则可疑网站域名为钓鱼网站域名;若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同,则进入到根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。
5.根据权利要求I或3所述的基于钓鱼网站IP集中性的收集与鉴定的方法,其特征在于 所述根据预设的第一判断规则或第一匹配规则判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加所述可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重,更新可疑网站域名数据库; 如果获取的网站域名为可信任网站域名,则不改变判断该网站域名为钓鱼网站域名的钓鱼权重,同时更新可信任网站域名数据库。
6.根据权利要I所述的基于钓鱼网站IP集中性的收集与鉴定的方法,其特征在于,所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库,具体是 可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、以及Whois信息的钓鱼权重相加的总和;其中,网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;若可疑网站域名的钓鱼权重高于90%,所述可疑网站域名为钓鱼网站域名,同时可疑网站域名存储至钓鱼网站域名数据库。
7.一种基于钓鱼网站IP集中性的收集与鉴定的系统,包括存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼网站域名的钓鱼网站域名数据库,其特征在于,还包括 提取模块,用于从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址; 获取模块,用于根据所述IP地址,获取所有使用该IP地址的网站域名; 判断模块,用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至可疑网站域名数据库中,将可信任网站域名存储至可信任网站域名数据库中; 钓鱼判断模块,用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至钓鱼网站域名数据库。
8.根据权利要求7所述的基于钓鱼网站IP集中性的收集与鉴定的系统,其特征在于所述判断模块判断获取的网站域名为可疑网站域名后,增加所述可疑网站域名为钓鱼网站域名的钓鱼权重,同时增加可疑网站域名的IP地址为钓鱼IP地址的钓鱼权重并将获取的网站域名发送至可疑网站域名数据库;如果可疑网站域名为可信任网站域名,则不改变判断该网站域名为钓鱼网站域名的钓鱼权重,同时判断模块把获取的网站域名发送至可信任网站域名数据库。
9.根据权利要求7所述的基于钓鱼网站IP集中性的收集与鉴定的系统,其特征在于所述钓鱼判断模块根据可疑网站域名的钓鱼权重判断网站域名是否为钓鱼网站域名,所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、who i S信息的钓鱼权重相加的总和。
10.根据权利要求7或9所述的基于钓鱼网站IP集中性的收集与鉴定的系统,其特征在于所述网站域名占10%的钓鱼权重,网站内容占70%钓鱼权重,IP地址占10%钓鱼权重,whois信息占10%钓鱼权重;可疑网站域名的钓鱼权重在90%以上,则钓鱼判断模块判断所述可疑网站域名为钓鱼网站域名,并把可疑网站域名发送至钓鱼网站域名数据库。
全文摘要
本发明属于计算机技术领域,公开了一种基于钓鱼网站IP集中性的收集与鉴定的方法和系统,所述方法包括以下步骤从已知的钓鱼网站的域名信息中提取该钓鱼网站的IP地址;根据所述IP地址,获取所有使用该IP地址的网站域名;根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名,将可疑网站域名存储至一可疑网站域名数据库中,将可信任网站域名存储至一可信任网站域名数据库中;根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名,同时存储至一钓鱼网站域名数据库。本发明根据钓鱼网站IP具有集中性的特点,缩小了检测范围,有效快速地发现钓鱼网站,具有很强的针对性。
文档编号H04L29/12GK102882889SQ20121039835
公开日2013年1月16日 申请日期2012年10月18日 优先权日2012年10月18日
发明者潘建波, 彭仁诚, 陈勇 申请人:珠海市君天电子科技有限公司