的操作,例如POST操作被拦截。接下来在步骤204中,电子设备(例如图1中的客户端101、102、103)构造与拦截的用户数据结构相同但内容不同的探测数据。
[0040]以图3所示的情况为例,可以根据用户数据构造用户名相同但口令不同的探测数据,也可以构造用户名和口令均与用户数据不同的探测数据。
[0041]为了防止被钓鱼网站识破探测,所构造的探测数据的各个字段的长度可以与用户数据的各个字段的长度分别对应。在步骤206中,电子设备(例如图1中的客户端101、102,103)将构造的探测数据例如通过POST方法被提交到服务器端(例如图1中的服务器105) ο
[0042]在步骤208中,电子设备(例如图1中的客户端101、102、103)根据服务器端(例如图1中的服务器105)的响应判定当前页面是否为钓鱼页面。下面,将具体讨论根据服务器端的不同响应来进行相对应的钓鱼页面的判断。
[0043]情况一,服务器端的响应为探测数据通过认证。
[0044]图4示出了根据本申请的一种实施方式的钓鱼页面检测方法400,如图4所示,方法400的步骤402-406与方法200的步骤202-206相同,因此不在此赘述。在步骤408中,确定服务器端的响应为探测数据通过认证;以及在步骤410中,判定当前页面为钓鱼页面。
[0045]例如,探测数据通过了服务器的认证的响应可以是页面显示“登录成功”、“解封成功”等字样。由于探测数据包括根据用户数据伪造的各个字段,对于官方网站来说,该探测数据必然不能通过认证。因此,此时可以判定当前页面为钓鱼页面。
[0046]情况二,服务器端的响应为探测数据未通过认证。
[0047]—些钓鱼页面会在用户输入账号信息和密码后提示信息有误,引导用户进行第二次输入,通过这个提示会造成用户对其输入的信息进行核查,从而提高钓鱼的成功率。因此,本申请提出了一种对页面进行二次探测的方法。
[0048]图5示出了根据本申请的一种实施方式的钓鱼页面检测方法500,如图5所示,方法500的步骤502-506与方法200的步骤202-206相同,因此不在此赘述。在步骤508中,确定服务器端的响应为探测数据未通过认证;在步骤510中,构造与用户数据结构相同且内容与用户数据和探测数据均不同的第二探测数据;在步骤512中,将第二探测数据提交到服务器端;在步骤514中,判定当服务器端的响应是否为第二探测数据通过认证;以及在步骤516中,基于步骤514中的判定结果为“是”确定当前页面为钓鱼页面。
[0049]为了进一步保障网络环境安全,可以通过类似的方法进一步执行诸如第三或第四次探测的多次探测。
[0050]在实际应用中,为了避免每次登录均进行钓鱼页面探测给用户带来不便,还可以在探测当前页面是否是钓鱼页面之前预先判断当前页面是否是疑似钓鱼页面,并且仅在当前页面是疑似钓鱼页面时执行上述的方法200、400和500。
[0051]图6示出了根据本申请的一种实施方式的钓鱼页面检测方法600,如图6所示,方法600的步骤602-606与方法200步骤202-206相同,因此不在此赘述。在步骤602之前,方法600还包括:步骤601,判断当前页面是否是疑似钓鱼页面。
[0052]根据本申请的一种实施方式,判断当前页面是疑似钓鱼页面可以通过判断当前页面试图向服务器端提交的用户数据是否为明文来执行。若当前页面试图向服务器端提交的用户数据为明文,即在浏览器中监测到的用户的数据和POST的数据一致,则可确定当前页面是疑似钓鱼页面。
[0053]根据本申请的一种实施方式,判定当前页面是疑似钓鱼页面还可以通过以下步骤来执行:根据当前页面的内容确定当前页面的官方网站的网址;以及当确定当前页面的网址与所确定的官方网站的网址时不一致判定当前页面时疑似钓鱼页面。
[0054]此外,还可以首先判断当前页面是否是登录页面。例如,如发现页面标题含有“XX登录”字样、网页结构中的“input”标签的“value”设置成“账号”、“密码”等字样或页面含有“登录”字样的按钮,则认为该页面为一个登录页面。
[0055]接下来,例如,当前页面显示内容包括“QQ邮箱”相关的内容,则可以将当前页面的网址与QQ邮箱的官方网址相比对,当比对结果为二者不相符时,确定当前页面为疑似钓鱼页面。
[0056]根据本申请的一种实施方式,上述方法还可以进一步包括:基于判定当前页面为钓鱼页面,将官方网站展现给用户。例如,用户的当前页面为伪造某工商银行的电子银行的钓鱼网站,在通过上述200、400、500或600判定当前页面为钓鱼页面后,可以将某工商银行的官方网站展现给用户。
[0057]图7示出了根据本申请的一种实施方式的钓鱼页面检测方法700,包括:步骤702,基于判定当前页面为钓鱼页面对用户进行风险提示;步骤704,接收来自用户对风险提示的反馈;步骤706,根据反馈生成钓鱼网站数据库;以及步骤708,在拦截当前页面试图向服务器端提交的用户数据之前,通过钓鱼网站数据库判断当前页面是否是钓鱼网站。
[0058]例如,可以将每个用户的每次反馈上传到云端,并对这些反馈进行对比分析,以将被确定为钓鱼页面的页面形成为钓鱼网站数据库。从而在接下来的钓鱼页面探测中,可以先将当前页面与钓鱼网站数据库相比对,若有匹配记录则直接认定当前页面为钓鱼页面。相反,若钓鱼网站数据库中没有当前页面,则执行上述的各种方法。如果在接下来的方法执行中判定当前页面为钓鱼页面,则用户将当前页面的网址反馈并上传到云端,从而被判定为钓鱼页面的当前页面被添加至钓鱼网站数据库。
[0059]进一步参考图8,作为对上述各图所示方法的实现,本申请提供了一种钓鱼页面检测系统的一个实施例,该装置实施例与图2所示的方法实施例相对应,该系统800的装置具体可以应用于各种电子设备中。
[0060]本领域技术人员可以理解,上述钓鱼页面检测系统800还包括一些其他公知结构,例如处理器、存储器等,为了不必要地模糊本公开的实施例,这些公知的结构在图8中未示出。
[0061]如图8所示,系统800可包括:拦截装置810,配置为拦截当前页面试图向服务器端提交的用户数据;探测数据构造装置820,配置为构造与用户数据结构相同的探测数据,其中探测数据的内容与用户数据的内容不同;提交装置830,配置为将探测数据提交到服务器端;以及判定装置840,配置为根据服务器端的响应判定当前页面是否为钓鱼页面。关于拦截装置810、探测数据构造装置820、提交装置830和判定装置840的具体操作分别与上述的方法200的步骤202-208相同,因此省略其详细描述。
[0062]此外,根据本申请的一种实施方式,拦截装置810、探测数据构造装置820、提交装置830和判定装置840可以位于客户端,例如,作为插件内嵌在用户的浏览器中,或作为防火墙软件安装在客户的计算机中。
[0063]根据本申请的一种实施方式,钓鱼页面检测系统800还可以包括官网呈现装置,配置为基于判定所述当前页面为钓鱼页面,将所述官方网站呈现给用户。
[0064]根据本申请的一种实施方式,钓鱼页面检测系统800还可以包括钓鱼网站库生成装置,配置为:基于判定所述当前页面为钓鱼页面对用户进行风险提示;接收来自所述用户对所述风险提示的反馈;根据所述反馈生成钓鱼网站数据库;以及在所述拦截当前页面试图向服务器端提交的用户数据之前,通过所述钓鱼网站数据库判断所述当前页面是否是钓鱼网站。
[0065]该钓鱼网站库生成装置对应于上文中所描述的方法700,因此不在此赘述。
[0066]下面参考图9,其示出了适于用来实现本申请实施例的客户端设备或服务器端的计算机系统900的结构示意图。
[0067]如图9所示,计算机系统900包括中央处理单元(CPU)901,其可以根据存储在只读存储器(ROM) 902中的程序或者从存储部分908加载到随机访问存储器(RAM) 903中的程序而执行各种适当的动作和处理。在RAM 903中,还存储有系统900操作所需的各种程序和数据。CPU 90KROM 902以及RAM 903通过总线904彼此相连。输入/输出(I/O)接口905也连接至总线904。<