一种检测钓鱼页面的方法及系统、客户端、服务器的制造方法

一种检测钓鱼页面的方法及系统、客户端、服务器的制造方法
【专利摘要】本发明公开了一种检测钓鱼页面的方法及系统、客户端、服务器。其中方法包括：检测用户对支付页面的访问请求；在检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL；将前若干级页面的URL上报给服务器，以供服务器根据前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取查询结果；若查询结果表明前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口。本发明提供的上述方案在未确定是钓鱼网站的情况下，也可针对网络行为特点判定钓鱼行为，在用户访问支付页面时实时有效的做出提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
【专利说明】—种检测钓鱼页面的方法及系统、客户端、服务器
【技术领域】
[0001]本发明涉及互联网【技术领域】，具体涉及一种检测通过钓鱼页面访问支付页面的方法及系统、客户端、服务器，以及基于本地规则库检测钓鱼页面的方法及装置。
【背景技术】
[0002]所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。“钓鱼网站”主要集中在两方面:一种是模仿央视等假冒抽奖网站，如多地出现的仿冒“非常6+1”节目中奖信息骗取网民钱财的网络诈骗事件，主要特征是以中奖为诱饵，欺骗网民填写身份信息、银行账户等信息；另一种是模仿淘宝、银行等在线支付网页，骗取网民银行卡信息或支付宝账户。
[0003]现有技术为了防范钓鱼网站的主要手段是当用户访问某页面时，客户端将页面的URL发送至服务器端的黑白名单数据库进行查询，所谓的黑名单数据库即是已审核确认的钓鱼网站的URL名单数据库，所谓的白名单数据库即是已审核确认的安全网站的URL。服务器端经过查询后，将网站是否属于钓鱼网站的结果反馈给客户端。但是由于目前钓鱼网站的URL不断变化，服务器端的黑白名单数据库的更新速度远不及钓鱼网站的变化速度快，因此上述现有技术提供的技术手段已经不能有效的检测出恶意网站，因而不能实时快速有效地保护客户端的网页浏览安全。

【发明内容】

[0004]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的检测通过钓鱼页面访问支付页面的方法及系统、客户端、服务器，以及基于本地规则库检测钓鱼页面的方法及装置。
[0005]根据本发明的一个方面，提供了一种检测通过钓鱼页面访问支付页面的方法，包括:
[0006]检测用户对支付页面的访问请求；
[0007]在检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL ；
[0008]将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0009]接收服务器返回的所述查询结果，若所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口。
[0010]根据本发明的一个方面，提供了一种客户端，包括:
[0011]检测模块，用于检测用户对支付页面的访问请求；[0012]第一查询模块，用于在所述检测模块检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL ；
[0013]第一发送模块，用于将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0014]第一接收模块，用于接收服务器返回的所述查询结果；
[0015]显示模块，用于在所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面的情况下，弹出提示窗口。
[0016]根据本发明的一个方面，提供了一种服务器，包括:
[0017]第二接收模块，用于接收客户端在检测到用户对支付页面的访问请求之后，经查询后上报的链接到支付页面的前若干级页面的URL ；
[0018]第二查询模块，用于根据所述前若干级页面的URL，查询所述服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0019]第二发送模块，用于向客户端返回所述查询结果，以供所述客户端在得到所述前若干级页面中包含钓鱼页面或未知可疑页面的查询结果之后，弹出提示窗口。
[0020]根据本发明的一个方面，提供了一种检测通过钓鱼页面访问支付页面的系统，包括:上述客户端以及服务器。
[0021]根据本发明的另一方面，提供了一种基于本地规则库检测钓鱼页面的方法，所述本地规则库包含第一类规则和第二类规则，所述方法包括:
[0022]在用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为；
[0023]判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；若符合，则弹出钓鱼页面提示窗口。
[0024]根据本发明的另一方面，提供了一种基于本地规则库检测钓鱼页面的装置，包括:
[0025]本地规则库，包含第一类规则和第二类规则；
[0026]第一检测模块，用于检测用户的触发行为是否符合所述第一类规则；
[0027]第二检测模块，用于在所述第一检测模块检测到用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为，判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；
[0028]提示模块，用于在所述第二检测模块判断出所述行为符合所述第二类规则的情况下，弹出钓鱼页面提示窗口。
[0029]本发明提供的上述方案在未确定是钓鱼网站的情况下，也可针对网络行为特点判定钓鱼行为，在用户访问支付页面时实时有效的做出提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0030]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【专利附图】

【附图说明】
[0031]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0032]图1示出了根据本发明一个实施例的检测通过钓鱼页面访问支付页面的方法的流程图；
[0033]图2示出了根据本发明另一个实施例的检测通过钓鱼页面访问支付页面的方法的流程图；
[0034]图3示出了根据本发明一个实施例的基于本地规则库检测钓鱼页面的方法的流程图；
[0035]图4示出了根据本发明一个实施例的检测通过钓鱼页面访问支付页面的系统的结构框图；
[0036]图5示出了根据本发明一个实施例的基于本地规则库检测钓鱼页面的装置的结构框图。
【具体实施方式】
[0037]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0038]图1示出了根据本发明一个实施例的检测通过钓鱼页面访问支付页面的方法的流程图，如图1所示，该方法包括如下步骤:
[0039]步骤S110,检测用户对支付页面的访问请求。
[0040]网购就是用户通过互联网检索商品信息，并通过电子订购单发出购物请求，然后在在线支付的网站中填上私人帐号或银行卡的号码，厂商通过邮购的方式发货，或是通过快递公司送货上门的购物模式。在这种购物模式中，用户一定要访问在线支付的网站。对于新出现的钓鱼网站，用户也是先访问该钓鱼网站，再链接到在线支付的网站进行付款。本发明针对网购的行为特点，在用户访问支付页面时，对在线支付的访问历史进行回溯。因此，本发明实施例提供的方法的首个步骤就是检测用户对支付页面的访问请求。
[0041]步骤S120，在检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL。
[0042]在检测到用户访问支付页面时，对在线支付的访问历史进行回溯，具体是指查询链接到该支付页面的前若干级页面的URL。一般钓鱼网站出现的场景是，用户通过浏览器浏览网页的过程中偶然点击到钓鱼网站的链接，或者用户通过即时通讯软件聊天过程中点击其它账号发送过来的链接，进而通过这些链接访问支付页面。如果当前支付页面是由钓鱼页面链接而来的，那么本发明实施例所查询到的前若干级页面的URL中将包含钓鱼页面的URL。
[0043]步骤S130，将前若干级页面的URL上报给服务器，以供服务器根据前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果。
[0044]将支付页面的前若干级页面的URL上报给服务器。服务器具有保存黑名单和/或白名单、以及灰名单的数据库，其中黑名单记录的是已审核确认的钓鱼网站的URL，白名单记录的是已审核确认的安全网站的URL。除了黑白名单之外，服务器还保存有灰名单，该灰名单用于判断页面是否属于未知可疑页面。
[0045]步骤S140，接收服务器返回的查询结果，若查询结果表明前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口。
[0046]根据本发明上述实施例提供的方法，在检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL，并将前若干级页面的URL上报给服务器；服务器查询保存的黑名单和/或白名单、灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面，若包含，则弹出提示窗口。本方法通过服务器提供的灰名单能够判断用户在访问支付页面之前所访问的链接页面中是否包含未知可疑页面，由未知可疑页面链接到支付页面的网络行为基本可以判定是钓鱼行为，由此即可弹出提示窗口用于提示用户谨慎付款。本方法在未确定是钓鱼网站的情况下，也可针对网络行为特点判定钓鱼行为，在用户访问支付页面时实时有效的做出提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0047]图2示出了根据本发明另一个实施例的检测通过钓鱼页面访问支付页面的方法的流程图，如图2所示，该方法包括如下步骤:
[0048]步骤S210，客户端检测用户对支付页面的访问请求。
[0049]客户端检测用户对支付页面的访问请求可以是基于页面的特征信息来判断的，对于支付页面来说，其一般包含账户、密码、验证码以及相应的表单输入域，如果客户端检测到这些特征信息，就可以判定检测到用户对支付页面的访问请求。
[0050]步骤S220，在检测到用户对支付页面的访问请求之后，客户端查询链接到支付页面的前若干级页面的URL。
[0051]客户端可以基于refer信息查询链接到支付页面的前若干级页面的URL。具体地，当前支付页面的refer信息记录有前一级页面的URL,前一级页面的refer信息又记录有前两级页面的URL。在用户通过各级链接访问支付页面的过程中，就可以实时记录各级页面的URL,并通过各级页面的refer信息记录各级页面的链接关系。
[0052]举例来说，设用户通过即时通讯软件聊天过程中点击其它账号发送过来的链接访问页面A，其URL为urll ;用户访问页面A的过程中，点击页面A上的链接访问页面B，其URL为url2，此时客户端通过查询页面B的refer信息得知页面B的前一级页面的URL为urll,由此建立urll — url2的链接关系；用户继续点击页面B上的链接访问支付页面C,其URL为url3，此时客户端通过查询页面C的refer信息得知页面C的前一级页面的URL为url2,由此建立urll — url2 — url3的链接关系。在客户端获知页面C为支付页面之后，就可以通过该链接关系得到支付页面的前两级页面的URL分别为urll和url2。
[0053]可选地，上述链接关系至多可以达到7级，但不仅限于此。由于一般由钓鱼网站链接到支付页面不会超过7级，所以维持记录7级的链接关系就能满足检测钓鱼网站的需求。
[0054]步骤S230，客户端将前若干级页面的URL上报给服务器。
[0055]步骤S240，服务器根据前若干级页面的URL，查询保存的黑名单，判断前若干级页面的URL的任一个是否属于黑名单，若是，则得到前若干级页面包含钓鱼页面的查询结果，执行步骤S270 ;否则执行步骤S250。
[0056]服务器在接收到前若干级页面的URL之后，优选首先查询保存的黑名单，黑名单记录的是已审核确认的钓鱼网站的URL,如果前若干级页面的URL中的任一个属于该黑名单，表明用户访问历史中具有钓鱼网站，那么由钓鱼网站链接而来的支付页面就是高度危险的，服务器需要将此查询结果返回给客户端以进行提示。如果前若干级页面的URL中没有属于黑名单的URL，则继续查询白名单和灰名单。
[0057]步骤S250，服务器根据前若干级页面的URL，查询保存的白名单，判断前若干级页面的URL是否全属于白名单，若是，则得到前若干级页面均为安全页面的查询结果，执行步骤S270 ;否则执行步骤S260。
[0058]服务器在判断出前若干级页面的URL中没有属于黑名单的URL之后，查询保存的白名单，白名单记录的是已审核确认的安全网站的URL，如果前若干级页面的URL全属于白名单，则表明用户访问历史中均为安全网站；如果前若干级页面的URL不全属于白名单，则继续查询灰名单。
[0059]上述步骤S240和步骤S250的执行顺序可以调换。
[0060]步骤S260，服务器根据前若干级页面的URL，查询保存的灰名单中记录的页面信息，判断前若干级页面的任一页面信息是否满足未知可疑条件，若是，则得到前若干级页面中包含未知可疑页面的查询结果，否则得到前若干级页面均为安全页面的查询结果，而后执行步骤S270。
[0061]服务器保存的灰名单可用于判断页面是否属于未知可疑页面。具体地，灰名单中记录有页面信息以及未知可疑条件。其中页面信息包含:备案信息、访问量信息或网站注册信息。服务器根据前若干级页面的URL查询各页面对应的上述页面信息，进而判断这些页面信息是否满足以下未知可疑条件:
[0062]a)页面信息不包含备案信息；备案信息是指经过官方备案的信息，例如ICP备案信息。包含备案信息证明该网站得到官方的认可，反之则表明该网站是不可信的网站，满足此条件的页面就属于未知可疑页面。和/或，
[0063]b)页面信息包含的访问量信息表明访问量低于设定阈值；一般不属于云端黑名单的钓鱼网站都是新出现的，这种钓鱼网站的访问量都是很低的，因此可以将访问量作为评估其是否未知可疑的条件。和/或，
[0064]c)页面信息包含的网站注册信息表明网站注册时间小于设定时长。对于新出现的钓鱼网站，其网站注册时间也是很短的，也可以将网站注册时间作为评估其是否未知可疑的条件。
[0065]步骤S270，客户端接收服务器返回的查询结果。
[0066]步骤S280，若查询结果表明前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口 ；若查询结果表明前若干级页面均为安全页面的查询结果，则允许用户访问支付页面。[0067]可选地，在弹出提示窗口之前还可以获取钓鱼页面或未知可疑页面的URL以及与钓鱼页面或未知可疑页面有关的商家信息，在弹出的提示窗口中展示钓鱼页面或未知可疑页面的URL以及商家信息。例如，从购买商品有问题的角度提示用户相应的URL为未知可疑页面，建议用户取消付款。进一步的，根据商家信息加上“出售商品的**卖家有问题”的提示，同时展示有问题的卖家，并给出相关的定性描述。
[0068]可选地，本发明实施例不仅限于基于服务器提供的黑名单和/或白名单、以及灰名单来判断钓鱼页面或未知可疑页面，也可以基于本地预置的黑名单和/或白名单、以及灰名单来判断。相关的判断方式是相同的。
[0069]根据本发明上述实施例提供的方法，在检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL，并将前若干级页面的URL上报给服务器；服务器查询保存的黑名单和/或白名单、灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面，若包含，则弹出提示窗口。本方法通过服务器提供的灰名单能够判断用户在访问支付页面之前所访问的链接页面中是否包含未知可疑页面，由未知可疑页面链接到支付页面的网络行为基本可以判定是钓鱼行为，由此即可弹出提示窗口用于提示用户谨慎付款。本方法在未确定是钓鱼网站的情况下，也可针对网络行为特点判定钓鱼行为，在用户访问支付页面时实时有效的做出提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0070]上述实施例一和实施例二提供的是一种在用户访问支付页面时，回溯用户的访问历史，确定访问历史页面中是否存在钓鱼页面或未知可疑页面，进而确定是否要对用户的支付行为进行提示的方法。该方法解决了现有技术中存在的由于钓鱼网站的变化速度快而不能有效地检测出钓鱼网站而导致用户支付行为具有高度危险性的技术问题。除了上述方法之外，本发明还提供了一种基于本地规则库检测钓鱼页面的方法，这种方法也能解决现有技术中存在的技术问题。
[0071]图3示出了根据本发明一个实施例的基于本地规则库检测钓鱼页面的方法的流程图，如图3所示，该方法包括如下步骤:
[0072]步骤S310，检测用户的触发行为是否符合第一类规则，若是，则执行步骤S320 ;否则本方法结束。
[0073]本发明实施例根据钓鱼行为发生的特点预先配置了本地规则库。本地规则库内包含第一类规则和第二类规则。其中，第一类规则用于判断用户的触发行为是否符合特定场景，如果符合特定场景的话，就将该用户的网络访问行为作为后续检测的对象，也即第一类规则用于确定哪些用户的网络访问行为应被关注。
[0074]本发明实施例中，第一类规则包含以下规则中的一个或多个的组合:进入网购和/或支付模式；访问分类信息页面。在网购和/或支付模式下，钓鱼行为发生的可能性很大，因此当用户的触发行为表明已进入网购和/或支付模式时，应当触发后续的进一步检测。除此之外，用户访问分类信息页面也应作为特定场景的一种，分类信息页面是提供信息发布服务的页面，其提供有包括二手物品交易、房屋租售、招聘求职、交友活动等各种生活服务信息，例如58同城、赶集网都属于分类信息网站。分类信息页面也是钓鱼行为的高发地，因此当用户访问分类信息页面时也应当触发后续的进一步检测。
[0075]步骤S320，检测用户通过浏览器访问页面的行为。[0076]在检测到用户的触发行为符合第一类规则的情况下，继续检测用户通过浏览器访问页面的行为。一般当用户进入网购和/或支付模式或者访问分类信息页面后，会连续点击链接页面查找所需商品或信息，浏览器会记录用户点击各个链接页面的相关信息。
[0077]步骤S330，判断在预定时间内用户通过浏览器访问页面的行为是否符合第二类规贝1J，或者，判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合第二类规则；若符合，则执行步骤S340 ;否则，本方法结束。
[0078]本发明实施例提供了确定后续检测范围的两种方式:一种方式是通过预定时间来确定，例如预定时间为30分钟，检测用户在30分钟内的访问页面行为是否符合第二类规则；另一种方式是通过链接页面的个数，例如预定个数为20，检测用户访问20个链接页面过程中的行为是否符合第二类规则。
[0079]第二类规则包含以下规则中的一个或多个组合:
[0080]a)访问的页面的URL包含预设关键词，但该页面的域名并非预设关键词对应的域名。浏览器获取访问页面的URL，查询其中是否包含预设关键词，如tao、58等，如包含，则继续获取该页面的域名，查询其域名是否为预设关键词对应的域名，若不是，则判定其符合该第二类规则a)。举例来说，浏览器获取页面的URL为:http://item.taoba0.com-oio0.tk/auction/item.asp?sp_id=248,其中包含预设关键词taobao,但该页面的域名并非淘宝官网的域名，则基本可以判定该页面为钓鱼页面。
[0081]b)访问的页面的域名为高危域名或境外域名。浏览器获取访问页面的域名，判断该域名是否为高危域名或境外域 名，若是，则判定其符合该第二类规则b)。
[0082]c)访问的页面的Whois信息或NS (Name Server)记录符合预设特征。Whios信息包含域名的IP信息以及所有者信息，NS记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。根据Whois信息或NS记录是否符合预设特征也能判定页面的高危性，可以依据此规则来弹出提示窗口。
[0083]d)访问的页面为根据即时通讯应用程序中的高危账号发送来的链接打开的页面。通过对实际情况分析可知，很多钓鱼页面是通过即时通讯应用程序来传递的，如果访问的页面为根据即时通讯应用程序中的高危账号发送来的链接打开的页面，则该页面的高危性也很高，可以依据此规则来弹出提示窗口。
[0084]e)访问的页面为根据所下载的危险文件提供的链接而打开的页面，危险文件是通过本地内容识别工具而确定的。在实际的网络访问过程中，也有很多钓鱼页面不是通过链接的形式传递的，而是通过文件的形式传递的，例如mht文件、doc文件或html文件。以mht文件为例，它又称为聚合html文档、Web档案或单一文件网页。单个文件网页可将网站的所有元素(包括文本和图形)都保存到单个文件中。这种封装使得可将整个网站发布为单个内嵌MIME，或将整个网站作为一个电子邮件或附件发送。对于这类文件，客户端提供了本地内容识别工具，通过该本地内容识别工具可以识别出下载文件的安全等级。
[0085]本地内容识别工具识别下载文件的具体方法可以为:监测到文件下载完成后，获取并扫描下载文件，得到下载文件对应的文件特征信息；查询预设的本地特征信息库，根据预设规则判定下载文件对应的文件特征信息是否与本地特征信息库中存储的信息项匹配；根据匹配结果确定下载文件的安全等级。其中，下载文件对应的文件特征信息包括:下载文件对应的URL地址，则本地特征信息库中存储的信息项包括:多个安全等级的URL信息项；和/或，下载文件对应的文件特征信息包括:下载文件中包含的明文字符串，则本地特征信息库中存储的信息项包括:多个安全等级的明文字符串集合。和/或，下载文件对应的文件特征信息包括:下载文件对应的文件页面元素，文件页面元素进一步包括:图片、文本特征和网页链接，则本地特征信息库中存储的信息项包括:多个安全等级的页面元素模板。
[0086]上述本地特征信息库中存储的信息项的安全等级是通过机器学习算法得到的，具体为:预先获取各个安全等级的样本，提取每个样本的文件特征信息；通过预设的机器学习算法对每个样本的文件特征信息进行学习；根据学习结果得到本地特征信息库中所需的各个安全等级的信息项。
[0087]如果通过本地内容识别工具确定下载文件为危险级的文件，那么根据该危险文件提供的链接打开的页面也是高危的，因而也可以依据此规则来弹出提示窗口。
[0088]步骤S340，弹出钓鱼页面提示窗口。
[0089]可选地，在弹出钓鱼页面提示窗口之前还可以获取可疑页面的URL以及与可疑页面有关的商家信息，在弹出的提示窗口中展示可疑页面的URL以及商家信息。例如，从购买商品有问题的角度提示用户相应的URL为可疑页面，建议用户取消付款。进一步的，根据商家信息加上“出售商品的**卖家有问题”的提示，同时展示有问题的卖家，并给出相关的定性描述。
[0090]根据本发明上述实施例提供的方法，通过本地规则库提供的两类规则来检测钓鱼页面，其中第一类规则用于确定用户的触发行为是否符合特定场景，第二类规则用于进一步确定用户的访问行为是否具有高危性，由此作为弹出提示窗口的依据。本方法也是在未确定是钓鱼网站的情况下，针对网络行为特点判定钓鱼行为，进而提供实时有效的提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0091]在以上防护拦截都失效的情况下，用户如果仍然被钓鱼、木马所骗，本发明还提供对用户的损失进行一定赔偿的方式，同时将该钓鱼、木马信息补充进拦截规则中，对基础、网购增强及用户点评防护规则进行扩充，更新云端服务器中的黑名单和白名单。
[0092]在对用户的损失进行赔偿时，将钓鱼网站、木马信息加入网购风险网站数据库，并上传到服务器端。对用户进行的网购行为的信息进行存储并显示，其中展示保护用户的网购次数及当前享受的理赔金额；展示最近的网购及支付记录，对于支付完成的记录可申请理赔；通过日历按钮展现日历，标记出用户所有网购的日期，方便用户查看及选择赔付。
[0093]图4示出了根据本发明一个实施例的检测通过钓鱼页面访问支付页面的系统的结构框图。如图4所示，该系统包括客户端410和服务器420。
[0094]其中，客户端410包括:检测模块411、第一查询模块412、第一发送模块413、第一接收模块414以及显示模块415 ;服务器420包括:第二接收模块421、第二查询模块422以及第二发送模块423。
[0095]检测模块411用于检测用户对支付页面的访问请求。检测模块411检测用户对支付页面的访问请求可以是基于页面的特征信息来判断的，对于支付页面来说，其一般包含账户、密码、验证码以及相应的表单输入域，如果检测模块411检测到这些特征信息，就可以判定检测到用户对支付页面的访问请求。
[0096]第一查询模块412用于在检测模块411检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL。第一查询模块412可以基于refer信息查询链接到支付页面的前若干级页面的URL。具体地，当前支付页面的refer信息记录有前一级页面的URL,前一级页面的refer信息又记录有前两级页面的URL。在用户通过各级链接访问支付页面的过程中，就可以实时记录各级页面的URL,并通过各级页面的refer信息记录各级页面的链接关系。可选地，链接关系至多可以达到7级，但不仅限于此。由于一般由钓鱼网站链接到支付页面不会超过7级，所以维持记录7级的链接关系就能满足检测钓鱼网站的需求。
[0097]第一发送模块413用于将前若干级页面的URL上报给服务器420，以供服务器420根据前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果。
[0098]第一接收模块414用于接收服务器420返回的查询结果。
[0099]显示模块415用于在查询结果表明前若干级页面中包含钓鱼页面或未知可疑页面的情况下，弹出提示窗口。显示模块415进一步用于:获取钓鱼页面或未知可疑页面的URL以及与钓鱼页面或未知可疑页面有关的商家信息，弹出提示窗口并在其中展示钓鱼页面或未知可疑页面的URL以及商家信息。
[0100]第二接收模块421用于接收客户端410在检测到用户对支付页面的访问请求之后，经查询后上报的链接到支付页面的前若干级页面的URL。
[0101]第二查询模块422用于根据前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果。
[0102]进一步的，第二查询模块422具体用于:若查询到前若干级页面的URL中的任一个属于服务器420保存的黑名单，则获知前若干级页面中包含钓鱼页面的查询结果。
[0103]进一步的，第二查询模块422具体用于:若查询到前若干级页面的URL中的任一个都不属于服务器420保存的黑名单和/或查询到前若干级页面的URL不全属于白名单，查询服务器420保存的灰名单中记录的页面信息，判断前若干级页面的任一页面信息是否满足未知可疑条件，若满足，则获知前若干级页面中包含未知可疑页面的查询结果。服务器420保存的灰名单中记录的页面信息包含:备案信息、访问量信息或网站注册信息。
[0104]进一步的，第二查询模块422具体用于:判断前若干级页面的任一页面信息是否满足以下未知可疑条件:页面信息不包含备案信息；和/或，页面信息包含的访问量信息表明访问量低于设定阈值；和/或，页面信息包含的网站注册信息表明网站注册时间小于设定时长。
[0105]第二发送模块423用于向客户端410返回查询结果，以供客户端410在得到前若干级页面中包含钓鱼页面或未知可疑页面的查询结果之后，弹出提示窗口。
[0106]根据本发明上述实施例提供的系统及相应的客户端、服务器，在客户端检测到用户对支付页面的访问请求之后，查询链接到支付页面的前若干级页面的URL，并将前若干级页面的URL上报给服务器；服务器查询保存的黑名单和/或白名单、灰名单，获取前若干级页面中是否包含钓鱼页面或未知可疑页面，若包含，则弹出提示窗口。本系统通过服务器提供的灰名单能够判断用户在访问支付页面之前所访问的链接页面中是否包含未知可疑页面，由未知可疑页面链接到支付页面的网络行为基本可以判定是钓鱼行为，由此即可弹出提示窗口用于提示用户谨慎付款。本系统在未确定是钓鱼网站的情况下，也可针对网络行为特点判定钓鱼行为，在用户访问支付页面时实时有效的做出提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0107]图5示出了根据本发明一个实施例的基于本地规则库检测钓鱼页面的装置的结构框图。如图5所示，该装置包括:本地规则库510、第一检测模块520、第二检测模块530以及提示模块540。
[0108]本地规则库510包含第一类规则和第二类规则。其中，第一类规则用于判断用户的触发行为是否符合特定场景，如果符合特定场景的话，就将该用户的网络访问行为作为后续检测的对象，也即第一类规则用于确定哪些用户的网络访问行为应被关注。本发明实施例中，第一类规则包含以下规则中的一个或多个的组合:进入网购和/或支付模式；访问分类信息页面。第二类规则包含以下规则中的一个或多个组合:访问的页面的URL包含预设关键词，但该页面的域名并非预设关键词对应的域名；访问的页面的域名为高危域名或境外域名；访问的页面的Whois信息或NS记录符合预设特征；访问的页面为根据即时通讯应用程序中的高危账号发送来的链接打开的页面；访问的页面为根据所下载的危险文件提供的链接而打开的页面，危险文件是通过本地内容识别工具而确定的。有关通过本地内容识别工具识别危险文件的方法可参见方法实施例的描述。
[0109]第一检测模块520用于检测用户的触发行为是否符合第一类规则。
[0110]第二检测模块530用于在第一检测模块520检测到用户的触发行为符合第一类规则的情况下，检测用户通过浏览器访问页面的行为，判断在预定时间内用户通过浏览器访问页面的行为是否符合第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合第二类规则。
[0111]提示模块540用于在第二检测模块530判断出行为符合第二类规则的情况下，弹出钓鱼页面提示窗口。可选地，在弹出钓鱼页面提示窗口之前还可以获取可疑页面的URL以及与可疑页面有关的商家信息，在弹出的提示窗口中展示可疑页面的URL以及商家信息。例如，从购买商品有问题的角度提示用户相应的URL为可疑页面，建议用户取消付款。进一步的，根据商家信息加上“出售商品的**卖家有问题”的提示，同时展示有问题的卖家，并给出相关的定性描述。
[0112]根据本发明上述实施例提供的装置，通过本地规则库提供的两类规则来检测钓鱼页面，其中第一类规则用于确定用户的触发行为是否符合特定场景，第二类规则用于进一步确定用户的访问行为是否具有高危性，由此作为弹出提示窗口的依据。本装置也是在未确定是钓鱼网站的情况下，针对网络行为特点判定钓鱼行为，进而提供实时有效的提示，实现了对钓鱼网站的实时拦截，保护用户网页浏览的安全性。
[0113]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0114]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0115]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0116]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0117]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0118]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP )来实现根据本发明实施例的检测通过钓鱼页面访问支付页面的系统以及基于本地规则库检测钓鱼页面的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0119]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0120]本发明公开了:A1、一种检测通过钓鱼页面访问支付页面的方法，包括:
[0121]检测用户对支付页面的访问请求；
[0122]在检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL ；
[0123]将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0124]接收服务器返回的所述查询结果，若所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口。
[0125]A2、根据A1所述的方法，若服务器查询到所述前若干级页面的URL中的任一个属于所述服务器保存的黑名单，则获知所述前若干级页面中包含钓鱼页面的查询结果。
[0126]A3、根据A1所述的方法，若服务器查询到所述前若干级页面的URL中的任一个都不属于所述服务器保存的黑名单和/或查询到所述前若干级页面的URL不全属于白名单，查询所述服务器保存的灰名单中记录的页面信息，判断所述前若干级页面的任一页面信息是否满足未知可疑条件，若满足，则获知所述前若干级页面中包含未知可疑页面的查询结果。
[0127]A4、根据A3所述的方法，所述页面信息包含:备案信息、访问量信息或网站注册信
肩、Ο
[0128]Α5、根据Α4所述的方法，所述未知可疑条件包含:
[0129]所述页面信息不包含备案信息；
[0130]和/或，所述页面信息包含的访问量信息表明访问量低于设定阈值；
[0131]和/或，所述页面信息包含的网站注册信息表明网站注册时间小于设定时长。
[0132]Α6、根据Α1-Α4任一项所述的方法，所述若查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口进一步包括:
[0133]获取所述钓鱼页面或未知可疑页面的URL以及与所述钓鱼页面或未知可疑页面有关的商家信息，弹出提示窗口并在其中展示所述钓鱼页面或未知可疑页面的URL以及所述商家信息。
[0134]本发明还公开了:B7、一种客户端，包括:
[0135]检测模块，用于检测用户对支付页面的访问请求；
[0136]第一查询模块，用于在所述检测模块检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL ；
[0137]第一发送模块，用于将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0138]第一接收模块，用于接收服务器返回的所述查询结果；
[0139]显示模块，用于在所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面的情况下，弹出提示窗口。
[0140]B8、根据B7所述的客户端，所述显示模块进一步用于:获取所述钓鱼页面或未知可疑页面的URL以及与所述钓鱼页面或未知可疑页面有关的商家信息，弹出提示窗口并在其中展示所述钓鱼页面或未知可疑页面的URL以及所述商家信息。
[0141]本发明还公开了:C9、一种服务器，包括:
[0142]第二接收模块，用于接收客户端在检测到用户对支付页面的访问请求之后，经查询后上报的链接到支付页面的前若干级页面的URL ；
[0143]第二查询模块，用于根据所述前若干级页面的URL，查询所述服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；
[0144]第二发送模块，用于向客户端返回所述查询结果，以供所述客户端在得到所述前若干级页面中包含钓鱼页面或未知可疑页面的查询结果之后，弹出提示窗口。
[0145]C10、根据C9所述的服务器，所述第二查询模块具体用于:若查询到所述前若干级页面的URL中的任一个属于所述服务器保存的黑名单，则获知所述前若干级页面中包含钓鱼页面的查询结果。
[0146]C11、根据C9所述的服务器，所述第二查询模块具体用于:若查询到所述前若干级页面的URL中的任一个都不属于所述服务器保存的黑名单和/或查询到所述前若干级页面的URL不全属于白名单，查询所述服务器保存的灰名单中记录的页面信息，判断所述前若干级页面的任一页面信息是否满足未知可疑条件，若满足，则获知所述前若干级页面中包含未知可疑页面的查询结果。
[0147]C12、根据C11所述的服务器，所述服务器保存的灰名单中记录的页面信息包含:备案信息、访问量信息或网站注册信息。
[0148]C13、根据C12所述的服务器，所述第二查询模块具体用于:判断所述前若干级页面的任一页面信息是否满足以下未知可疑条件:
[0149]所述页面信息不包含备案信息；
[0150]和/或，所述页面信息包含的访问量信息表明访问量低于设定阈值；
[0151]和/或，所述页面信息包含的网站注册信息表明网站注册时间小于设定时长。
[0152]本发明还公开了:D14、一种检测通过钓鱼页面访问支付页面的系统，包括:B7或B8所述的客户端以及C9-C13任一项所述的服务器。
[0153]本发明还公开了:E15、一种基于本地规则库检测钓鱼页面的方法，所述本地规则库包含第一类规则和第二类规则，所述方法包括:
[0154]在用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为；
[0155]判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；若符合，则弹出钓鱼页面提示窗口。
[0156]E16、根据E15所述的方法，所述第一类规则包含以下规则中的一个或多个的组合:
[0157]进入网购和/或支付模式；
[0158]访问分类信息页面。
[0159]E17、根据E15或E16所述的方法，所述第二类规则包含以下规则中的一个或多个
组合:
[0160]访问的所述页面的URL包含预设关键词，但该页面的域名并非预设关键词对应的域名；
[0161]访问的所述页面的域名为高危域名或境外域名；
[0162]访问的所述页面的Whois信息或NS记录符合预设特征；
[0163]访问的所述页面为根据即时通讯应用程序中的高危账号发送来的链接打开的页面。
[0164]E18、根据E15或E16所述的方法，所述第二类规则包含:
[0165]访问的所述页面为根据所下载的危险文件提供的链接而打开的页面，所述危险文件是通过本地内容识别工具而确定的。
[0166]E19、根据E18所述的方法，所述危险文件为mht文件、doc文件或html文件。
[0167]本发明还公开了:F20、一种基于本地规则库检测钓鱼页面的装置，包括:
[0168]本地规则库，包含第一类规则和第二类规则；
[0169]第一检测模块，用于检测用户的触发行为是否符合所述第一类规则；
[0170]第二检测模块，用于在所述第一检测模块检测到用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为，判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；
[0171]提示模块，用于在所述第二检测模块判断出所述行为符合所述第二类规则的情况下，弹出钓鱼页面提示窗口。
[0172]F21、根据F20所述的装置，所述第一类规则包含以下规则中的一个或多个的组合:
[0173]进入网购和/或支付模式；
[0174]访问分类信息页面。
[0175]F22、根据F20或F21所述的装置，所述第二类规则包含以下规则中的一个或多个
组合:
[0176]访问的所述页面的URL包含预设关键词，但该页面的域名并非预设关键词对应的域名；
[0177]访问的所述页面的域名为高危域名或境外域名；
[0178]访问的所述页面的Whois信息或NS记录符合预设特征；
[0179]访问的所述页面为根据即时通讯应用程序中的高危账号发送来的链接打开的页面。
[0180]F23、根据F20或F21所述的装置，所述第二类规则包含:
[0181]访问的所述页面为根据所下载的危险文件提供的链接而打开的页面，所述危险文件是通过本地内容识别工具而确定的。
【权利要求】
1.一种检测通过钓鱼页面访问支付页面的方法，包括:检测用户对支付页面的访问请求；在检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL;将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；接收服务器返回的所述查询结果，若所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口。
2.根据权利要求1所述的方法，若服务器查询到所述前若干级页面的URL中的任一个属于所述服务器保存的黑名单，则获知所述前若干级页面中包含钓鱼页面的查询结果。
3.根据权利要求1所述的方法，若服务器查询到所述前若干级页面的URL中的任一个都不属于所述服务器保存的黑名单和/或查询到所述前若干级页面的URL不全属于白名单，查询所述服务器保存的灰名单中记录的页面信息，判断所述前若干级页面的任一页面信息是否满足未知可疑条件，若满足，则获知所述前若干级页面中包含未知可疑页面的查询结果。
4.根据权利要求1-3任一项所述的方法，所述若查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面，则弹出提示窗口进一步包括:获取所述钓鱼页面或未知可疑页面的URL以及与所述钓鱼页面或未知可疑页面有关的商家信息，弹出提示窗口`并在其中展示所述钓鱼页面或未知可疑页面的URL以及所述商家信息。
5.一种客户端，包括:检测模块，用于检测用户对支付页面的访问请求；第一查询模块，用于在所述检测模块检测到所述用户对支付页面的访问请求之后，查询链接到所述支付页面的前若干级页面的URL ；第一发送模块，用于将所述前若干级页面的URL上报给服务器，以供所述服务器根据所述前若干级页面的URL，查询服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；第一接收模块，用于接收服务器返回的所述查询结果；显示模块，用于在所述查询结果表明所述前若干级页面中包含钓鱼页面或未知可疑页面的情况下，弹出提示窗口。
6.一种服务器，包括:第二接收模块，用于接收客户端在检测到用户对支付页面的访问请求之后，经查询后上报的链接到支付页面的前若干级页面的URL ；第二查询模块，用于根据所述前若干级页面的URL，查询所述服务器保存的黑名单和/或白名单、以及灰名单，获取所述前若干级页面中是否包含钓鱼页面或未知可疑页面的查询结果；第二发送模块，用于向客户端返回所述查询结果，以供所述客户端在得到所述前若干级页面中包含钓鱼页面或未知可疑页面的查询结果之后，弹出提示窗口。
7.—种检测通过钓鱼页面访问支付页面的系统，包括:权利要求5所述的客户端以及权利要求6所述的服务器。
8.一种基于本地规则库检测钓鱼页面的方法，所述本地规则库包含第一类规则和第二类规则，所述方法包括:在用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为；判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；若符合，则弹出钓鱼页面提示窗口。
9.根据权利要求8所述的方法，所述第一类规则包含以下规则中的一个或多个的组合:进入网购和/或支付模式；访问分类信息页面。
10.一种基于本地规则库检测钓鱼页面的装置，包括:本地规则库，包含第一类规则和第二类规则；第一检测模块，用于检测用户的触发行为是否符合所述第一类规则；第二检测模块，用于在所述`第一检测模块检测到用户的触发行为符合所述第一类规则的情况下，检测用户通过浏览器访问页面的行为，判断在预定时间内用户通过浏览器访问页面的行为是否符合所述第二类规则，或者判断用户通过浏览器访问预定个数的链接页面过程中的行为是否符合所述第二类规则；提示模块，用于在所述第二检测模块判断出所述行为符合所述第二类规则的情况下，弹出钓鱼页面提示窗口。
【文档编号】G06F17/30GK103685312SQ201310739785
【公开日】2014年3月26日 申请日期:2013年12月26日 优先权日:2013年12月26日
【发明者】郭峰, 符云, 杨东 申请人:北京奇虎科技有限公司, 奇智软件（北京）有限公司