一种防范钓鱼攻击的方法及装置制造方法

一种防范钓鱼攻击的方法及装置制造方法
【专利摘要】本发明实施例提供一种防范钓鱼攻击的方法及装置，接收客户端发送的登录信息和客户端标识；根据所述客户端标识，判断黑名单中是否记录有所述客户端，当所述黑名单中记录有所述客户端时，阻止所述客户端登录；当所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息，当所述登录信息不属于诱饵信息时，允许所述客户端登录，当所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录，实现了防范钓鱼攻击的目的，同时，减少了资源损耗和处理时间。
【专利说明】一种防范钓鱼攻击的方法及装置
[0001]本申请是对申请号201010592735.X，申请日为2010年12月14日，名称为“一种防范钓鱼攻击的方法及装置”的申请文件所作的分案申请。
【技术领域】
[0002]本发明涉及通信领域，尤其涉及一种防范钓鱼攻击的方法及装置。
【背景技术】
[0003]随着互联网技术的迅猛发展，伴随着网络交易逐渐频繁，钓鱼攻击也呈爆发式的上升趋势。今年来，钓鱼攻击引起了各大电子商务机构、银行、安全厂商等的密切关注，出现了一些钓鱼攻击防护、监测方案，以及相应的产品，目前主要防范钓鱼网站的方式是通过客户端的浏览器进行有效阻断。
[0004]如何高效的阻断钓鱼攻击属于反钓鱼技术需要解决的问题，目前普遍采用的阻断钓鱼攻击方法是ISP (Internet Service Provider,互联网服务提供商)关闭方案,主要过程为:将检测到的钓鱼网站的URL提交给ISP ;如果ISP确认是钓鱼网站；停止对该URL进行域名解析，以关闭该钓鱼网站。另一种常用方法为“稀释”服务方案(又称报复性服务方案)，该技术通过向钓鱼网站发送大量虚假帐号和密码，使其数据库急剧扩大，钓鱼者因无法辨别真假信息而放弃攻击该网站。这种方式的目的是“稀释”钓鱼网站的数据库。例如:数据库里有2000对用户和密码，通过“稀释”服务方案，使得仅有2个帐号和密码是真的，钓鱼者很难提取真实的帐号和密码。
[0005]发明人发现，现有技术中的防范钓鱼网站的方法，通过让ISP关闭网站，耗时长，并且需要较高的成本。而通过“稀释”服务方案，为了达到有效干扰数据的目的，需要持续不断的发送虚假信息，这个过程既耗时又耗资源，不能有效防范钓鱼网站。

【发明内容】

[0006]本发明实施例提供一种防范钓鱼攻击的方法及装置，用于实现了防范钓鱼攻击的目的，同时，减少了资源损耗和处理时间。
[0007]本发明实施例的目的是通过以下技术方案实现的:
[0008]一种防范钓鱼攻击的方法，包括:
[0009]接收客户端发送的登录信息和客户端标识；
[0010]根据所述客户端标识，判断所述客户端是否存在于黑名单中；
[0011]当所述黑名单中记录有所述客户端时，阻止所述客户端登录；
[0012]当所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息；
[0013]当所述登录信息不属于诱饵信息时，允许所述客户端登录；
[0014]当所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。[0015]一种防范钓鱼攻击的装置，所述装置包括:
[0016]接收模块，用于接收客户端发送的登录信息；
[0017]判断模块，用于根据所述客户端标识，判断所述客户端是否存在于黑名单中；
[0018]第一登录模块，用于当所述判断模块判断出所述黑名单中记录有所述客户端时，阻止所述客户端登录；
[0019]第一阻止模块，用于当所述判断模块判断出所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录息；
[0020]第二登录模块，用于当所述第一阻止模块判断出所述登录信息不属于诱饵信息时，允许所述客户端登录；
[0021]第二阻止模块，用于当所述第一阻止模块判断出所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
[0022]通过本发明实施例所提供的防范钓鱼网站的方法及装置，通过接收客户端发送的登录信息和客户端标识；根据所述客户端标识，判断黑名单中是否记录有所述客户端，当所述黑名单中记录有所述客户端时，阻止所述客户端登录；当所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息，当所述登录信息不属于诱饵信息时，允许所述客户端登录，当所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录，实现了防范钓鱼攻击的目的，同时，减少了资源损耗和处理时间。
【专利附图】

【附图说明】
[0023]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0024]图1是本发明实施例中提供的一种防范钓鱼攻击方法的流程图；
[0025]图2是本发明实施例中提供的另一种防范钓鱼攻击方法的流程图；
[0026]图3是本发明实施例中提供的一种防范钓鱼攻击的装置示意图。
【具体实施方式】
[0027]为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和【具体实施方式】对本发明作进一步详细的说明。
[0028]为了使本发明实施例的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
[0029]本发明实施例中提供了一种防范钓鱼攻击的方法，如图1所示，该方法包括:
[0030]步骤101、接收客户端发送的登录信息和客户端标识；
[0031]其中，本步骤中的登录信息可以包括用户名和密码等信息；客户端标识可以包括:客户端的IP地址、MAC地址等信息，其中，当该客户端是通过公网直接登录时，客户端标识可以为该客户端的公网IP地址，当该客户端是通过代理登录时，客户端标识则为原始IP地址，当客户端为局域网用户时，客户端标识为公网IP地址和端口号。上述客户端标识的具体获取方式属于现有技术，在此不再赘述。
[0032]步骤102、判断所述客户端是否存在于黑名单中；
[0033]该步骤具体可以为，根据步骤101中获得的客户端标识，在黑名单中查找是否有对应该客户端标识的表项，当存在对应表项时，跳转至步骤103执行，当不存在对应表项时，跳转至步骤104执行。
[0034]步骤103、阻止所述客户端登录；
[0035]该步骤具体可以为，阻断来自于该客户端的登录请求，例如:禁止地址为某个IP地址的客户端登录，阻断其登录请求。
[0036]步骤104、判断所述登录信息是否属于诱饵信息；
[0037]该步骤具体可以为，当判断登录信息不属于诱饵信息时，跳转至步骤105执行；当判断登录信息属于诱饵信息时，跳转至步骤106执行。
[0038]其中，诱饵信息是用于干扰钓鱼攻击客户端登录的登录信息，它们和真实的登录信息类似，但是，诱饵信息属于无效的登录信息，用于干扰钓鱼攻击客户端登录，属于无效的登录信息，该诱饵信息并不对应一个真实的用户。
[0039]步骤105、允许所述客户端登录；
[0040]本步骤中，客户端可以正常登陆到合法网站。
[0041]步骤106、将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
[0042]该步骤具体可以为，将客户端标识添加到黑名单中，建立新的表项，并阻断来自于该客户端的登录请求。
[0043]其中，步骤106中可以为黑名单中的表项设置一个有效时间，当到达有效时间之后，删除对应的表项。
[0044]通过本发明实施例中所提供的防范钓鱼网站的方法及装置，通过接收客户端发送的登录信息和客户端标识；根据所述客户端标识，判断黑名单中是否记录有所述客户端，当所述黑名单中记录有所述客户端时，阻止所述客户端登录；当所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息，当所述登录信息不属于诱饵信息时，允许所述客户端登录，当所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录，实现了防范钓鱼攻击的目的，同时，减少了资源损耗和处理时间。
[0045]图1所示的方法中，步骤101之前，还包括:向钓鱼网站发送所述诱饵信息的步骤；例如:通过伪造为真实的用户，采用诱饵信息登录到钓鱼网站，使得钓鱼攻击者获得所述诱饵信息，并利用所述诱饵信息登录到合法网站。
[0046]其中，向钓鱼网站发送所述诱饵信息之前，包括:生成所述诱饵信息；其中，所述诱饵信息与有效登录信息不能重复。
[0047]例如:被仿冒的合法网站以一对用户名密码生成一个哈希值的方式，将全部登录信息存成一个哈希库，生成大量用户名和密码(类似于真实的用户名和密码)，并针对生成用户名和密码，生成一个哈希值，保证该生成的哈希值与哈希库中的哈希值均不相同。
[0048]另外，当所述有效登录信息更新时，检测是否存在与所述有效登录信息相同的诱饵信息，当存在相同的信息时，删除所述相同的诱饵信息。
[0049]例如:被仿冒的合法网站的数据库中，增加了一对用户名和密码时，生成对应该用户名和密码的哈希值，查找是否有相同的哈希值的诱饵信息，当存在相同的哈希值的诱饵信息时，说明生成的诱饵信息中，恰巧有一对用户名和密码与真实的用户名和密码相同，需要删除这一诱饵信息。
[0050]本发明实施例中提供了另一种防范钓鱼攻击的方法，如图2所示，该方法包括:
[0051]步骤201、接收客户端发送的登录信息和客户端标识；
[0052]步骤202、判断所述客户端是否存在于黑名单中；
[0053]步骤203、阻止所述客户端登录；
[0054]步骤204、判断所述登录信息是否属于诱饵信息；
[0055]步骤205、允许所述客户端登录；
[0056]步骤206、记录所述客户端采用诱饵信息登录的次数；
[0057]步骤207、判断所述登录次数是否超过一定阈值；
[0058]步骤208、将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
[0059]其中，步骤201、步骤202、步骤203、步骤204、步骤205和步骤208与步骤101、步骤102、步骤103、步骤104、步骤105和步骤106分别对应，在此不再赘述。
[0060]步骤207中，具体可以包括，判断所述登录次数是否超过一定阈值，当超过一定阈值时，跳转至步骤208执行，当不超过一定阈值时，跳转至步骤205执行，例如:当采用诱饵信息登录的次数到达3次以上时，跳转至步骤208执行，通过步骤207采用多次确认的方式，避免了误判，提高了识别钓鱼攻击者的准确性。
[0061]本发明实施例中还提供了一种防范钓鱼攻击的装置，如图3所述，所述装置包括:
[0062]接收模块310，用于接收客户端发送的登录信息；
[0063]判断模块320，用于根据所述客户端标识，判断黑名单中是否记录有所述客户端，所述黑名单为钓鱼攻击客户端的名单；
[0064]第一登录模块330，用于当所述判断模块320判断出所述黑名单中记录有所述客户端时，阻止所述客户端登录；
[0065]第一阻止模块340，用于当所述判断模块320判断出所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于诱饵信息，所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息；
[0066]第二登录模块350，用于当所述第一阻止模块340判断出所述登录信息不属于诱饵信息时，允许所述客户端登录；
[0067]第二阻止模块360，用于当所述第一阻止模块340判断出所述登录信息属于诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
[0068]其中，所述第二阻止模块360，包括:
[0069]记录单元361，用于记录所述客户端采用诱饵信息登录的次数；
[0070]阻止单元362，当所述登录次数超过一定阈值时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录
[0071]其中，所述装置还可以包括:
[0072]发送模块370，用于向钓鱼网站发送所述诱饵信息，以使得钓鱼攻击者获得所述诱饵信息，并利用所述诱饵信息进行登录。
[0073]诱饵生成模块380，用于生成所述诱饵信息，其中，所述诱饵信息与有效登录信息不能重复。
[0074]诱饵更新模块390，用于当所述有效登录信息更新时，检测是否存在与所述有效登录信息相同的诱饵信息，当存在相同的信息时，删除所述相同的诱饵信息。
[0075]通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的硬件平台的方式来实现，当然也可以全部通过硬件来实施，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案对【背景技术】做出贡献的全部或者部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如R0M/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
[0076]以上对本发明进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种防范钓鱼攻击的方法，其特征在于，包括: 防范钓鱼攻击的装置向钓鱼网站发送诱饵信息；所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息； 所述防范钓鱼攻击的装置接收客户端发送的登录信息和客户端标识； 所述防范钓鱼攻击的装置根据所述客户端标识，判断黑名单中是否记录有所述客户端，所述黑名单为钓鱼攻击客户端的名单； 当所述黑名单中记录有所述客户端时，阻止所述客户端登录； 当所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于所述诱饵信息； 当所述登录信息不属于所述诱饵信息时，允许所述客户端登录； 当所述登录信息属于所述诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
2.根据权利要求1所述的方法，其特征在于，所述向钓鱼网站发送诱饵信息，包括: 通过伪造为真实的用户，采用所述诱饵信息登录到所述钓鱼网站。
3.根据权利要求2所述的方法，其特征在于，所述向钓鱼网站发送诱饵信息之前，包括: 生成所述诱饵信息，其中，所述诱饵信息与有效登录信息不能重复，包括: 以一对用户名密码生成一个哈希值的方式，将全部登录信息存成一个哈希库，生成包括用户名和密码的所述诱饵信息，针对生成的诱饵信息，生成一个哈希值，保证该生成的哈希值与所述哈希库中的哈希值均不相同。
4.根据权利要求3所述的方法，其特征在于，所述方法还包括: 当所述有效登录信息更新时，检测是否存在与所述有效登录信息相同的诱饵信息，当存在与所述有效登录信息相同的诱饵信息时，删除所述与所述有效登录信息相同的诱饵信肩、O
5.根据权利要求1所述的方法，其特征在于，所述将所述客户端记录到所述黑名单中，并阻止所述客户端登录，包括: 记录所述客户端采用所述诱饵信息登录的次数； 当所述客户端采用所述诱饵信息登录的次数超过一定阈值时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
6.根据权利要求1至5任一所述的方法，其特征在于，所述客户端标识包括: 所述客户端的IP地址，和所述客户端的MAC地址。
7.根据权利要求6所述的方法，其特征在于， 当所述客户端是通过公网登录时，所述客户端标识为所述客户端的公网IP地址； 当所述客户端是通过代理登录时，所述客户端标识则为原始IP地址； 当所述客户端为局域网用户时，所述客户端标识为公网IP地址和端口号。
8.—种防范钓鱼攻击的装置，其特征在于，所述装置包括: 发送模块，用于向钓鱼网站发送诱饵信息；所述诱饵信息为用于干扰钓鱼攻击客户端登录的登录信息； 接收模块，用于接收客户端发送的登录信息和客户端标识； 判断模块，用于根据所述客户端标识，判断黑名单中是否记录有所述客户端，所述黑名单为钓鱼攻击客户端的名单； 第一登录模块，用于当所述判断模块判断出所述黑名单中记录有所述客户端时，阻止所述客户端登录； 第一阻止模块，用于当所述判断模块判断出所述黑名单中未记录有所述客户端时，判断所述登录信息是否属于所述诱饵信息； 第二登录模块，用于当所述第一阻止模块判断出所述登录信息不属于所述诱饵信息时，允许所述客户端登录； 第二阻止模块，用于当所述第一阻止模块判断出所述登录信息属于所述诱饵信息时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
9.根据权利要求8所述的装置，其特征在于，所述发送模块通过伪造为真实的用户，采用所述诱饵信息登录到所述钓鱼网站。
10.根据权利要求9所述的装置，其特征在于，所述装置还包括: 诱饵生成模块，用于生成所述诱饵信息，其中，所述诱饵信息与有效登录信息不能重复； 所述诱饵生成模块以一对用户名密码生成一个哈希值的方式，将全部登录信息存成一个哈希库，生成包括用户名和密码的所述诱饵信息，针对生成的诱饵信息，生成一个哈希值，保证该生成的哈希值与所述哈希库中的哈希值均不相同。
11.根据权利要求10所述的装置，其特征在于，所述装置还包括: 诱饵更新模块，用于当所述有效登录信息更新时，检测是否存在与所述有效登录信息相同的诱饵信息，当存在与所述有效登录信息相同的诱饵信息时，删除所述与所述有效登录息相同的诱傅息。
12.根据权利要求8所述的装置，其特征在于，所述第二阻止模块，包括: 记录单元，用于记录所述客户端采用诱饵信息登录的次数； 阻止单元，当所述登录次数超过一定阈值时，将所述客户端记录到所述黑名单中，并阻止所述客户端登录。
【文档编号】H04L29/06GK103607392SQ201310585964
【公开日】2014年2月26日 申请日期:2010年12月14日 优先权日:2010年12月14日
【发明者】马勺布, 关海南 申请人:华为数字技术（成都）有限公司