专利名称:一种基于非内容分析的判断钓鱼网站的方法
技术领域:
本发明涉及一种判断钓鱼网站的方法,尤其是涉及一种基于非内容分析的判断钓鱼网站的方法。
背景技术:
所谓“钓鱼网站”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私 人资料,并凭借骗取的用户信息进一步获取经济利益。“钓鱼网站”近来在全球频繁出现,严重地影响了在线金融服务、电子商务的发展,危害公众利益,影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站,窃取访问者提交的账号和密码信息。现在的钓鱼网站不仅通过电子邮件传播,更多的是通过聊天工具、论坛、搜索引擎来传播,比如在邮件中加入一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面基本一致,要求访问者提交账号和密码。一般来说钓鱼网站结构很简单,只有一个或几个页面,URL和真实网站有细微差别。常规的钓鱼网站鉴别方法包括对网站的URL和具体内容进行鉴别。对于对网站的内容进行鉴别需要将网站信息发送给服务器,并由服务器根据其海量数据和超强运算能力对网站内容进行鉴别,再将判断结果发给客户端,这需要一定的处理时间;对于基于URL的判断,安全服务商需建立完整的钓鱼网站数据库,尽量收集已知的钓鱼网站URL样本,在基于已知的URL样本对待鉴别url做出判断,这对于首次出现的钓鱼网站,因安全服务商的数据库内没有对应的样本,无法对首次出现的钓鱼网站做出预警。
发明内容
针对以上情况,本发明提供一种基于非内容分析的判断钓鱼网站的方法,通过将待鉴别网站的URL数据对比已知钓鱼网站的URL数据,实现对首次出现的钓鱼网站的预警判断。本发明的技术方案是
一种基于非内容分析的判断钓鱼网站的方法,包括设置在用户机器上的客户端以及设置在安全服务提供商侧的服务器端,所述服务器端具有存储有现有已知钓鱼网站URL信息的黑名单、存储有现有已知非钓鱼网站URL信息的白名单、存储有钓鱼网站密集分布的域名信息的高危域名数据库以及含有从历史数据中统计出的钓鱼网站常用规律规则的规则库,所述方法还包括以下步骤
1)所述客户端将用户访问的未知网站的URL数据发送至所述服务器端;
2)所述服务器端接收客户端发送的未知网站的URL数据,并将所述URL数据与黑名单中的数据相比较,如果所述URL处于黑名单中则终止处理并将结果返回至客户端,如果所述URL不处于黑名单中则进行下一步骤;3)将所述URL数据与白名单中的数据相比较,如果所述URL处于白名单中则终止处理并将结果返回至客户端,如果所述URL不处于白名单中则进行下一步骤;
4)将所述URL数据与高危域名数据库中的数据相比较,如果不相符则终止处理并将结果返回至客户端,如果所述URL与高危域名数据库中的数据相符则进行下一步骤;
5)将所述URL数据与规则库中的数据相比较,如果所述URL命中了URL规则,服务器端则要求客户端上传所述URL的关键信息,所述关键信息包括所述URL的标题、关键字以及描述信息,服务器端再基于所述高危域名数据库、规则库以及关键信息三部分进行判断,并将结果返回给客户端;
6)所述客户端根据所述服务器端返回的结果允许或者拒绝用户继续访问所述网站,并给出相应的拒绝访问说明。作为以上技术方案的一种改进,每一判断为钓鱼网站的URL数据均被加入到所述黑、白名单、高危域名数据库以及规则库中作为已知钓鱼网站的样本数据。本发明的有益效果是
采用本发明所提供的钓鱼网站判断方法,能大大加快钓鱼网站的判断速度,并且能够克服现有URL判断方法对首次出现的钓鱼网站失效的缺点。本方法采用适当的算法在已知钓鱼网站的URL数据中提取对比数据,对未知网站的URL数据进行比较,并结合网站的一些关键信息进行判断,具有方便、快捷、高效、适用性广的优点。
图I为本发明的流程图。
具体实施方式
在本发明的一个具体实施例中,本方法可通过一个含有可互相通信的客户端和服务器端的安全系统所实现,其中客户端可以是安装在用户机器上的安全防护软件或者是所述安全防护软件的一部分,而对应地,服务器端可以是设置在安全提供商侧的中心服务器,为所有与其连接的客户端提供后台服务。本发明的原理在于先通过现有已知的钓鱼数据,统计出一批钓鱼网站密集分布的域名,就是我们所说的高危域名。这种域名里面钓鱼网站含量很高,并且正规网站都不会使用此类域名,然后再统计出电子商务、微博等热门的钓鱼网站的URL规则。如果客户端上传的网址是高危域名下的,并且命中了 URL规则,就会要求客户端上传这个网址的标题、关键字、描述等关键信息。服务器会综合这三部分进行判断。这样做,就不用服务端下载网页内容进行分析。而是让客户端把网页的关键内容上报,直接在查询时就判断是否钓鱼。其中,所述URL规则,就是统计出历史数据中钓鱼网站常使用的一些迷惑用户的规律,以电子商务网站WWW. buy. com为例,比如item, buy就是其中的一个规则,即凡是高危域名,并且host中包含buy的,都会被判为钓鱼。简单来说,凡是高危域名,并且host中包含相关电子商务网站名称或相关词的,都会被判断为钓鱼网站。具体来说,所述系统可通过以下步骤对未知网站的URL进行判断处理
首先,客户端将用户当前访问的网站的URL查询数据发到服务器中,这可以是一个加密的文件交换过程。
服务器端接收客户端发送的URL数据,所述服务器端具有一个黑、白名单,其中黑名单为包含有现有的已知钓鱼网站网址的数据库,白名单为包含有现有的已知安全网站网址的数据库。服务器端还具有一个高危域名数据库以及规则库,其中所述高危域名数据库存储有钓鱼网站密集分布的域名,而规则库则储存有根据已知钓鱼网站和常用在线金融服务、电子商务网站的URL数据提取的钓鱼网站URL规律(规则),对客户端上传的URL进行判断,其中所述钓鱼网站的URL规则为如上所述的“凡是高危域名,并且host中包含相关电子商务或其它正规网站名称或相关词的,都会被判断为钓鱼网站”。如图I所示,根据以上名单以及数据库,服务器端接收客户端发送的URL查询数据,首先根据黑、白名单进行判断,如果接收的URL数据处于黑名单中,则返回所述URL数据为钓鱼网站的信息给客户端;如果所述URL数据处于白名单中,则返回所述URL为非钓鱼 网站的信息给客户端;如果所述URL数据不在黑、白名单中,则将所述URL数据与高危域名数据库中的数据进行比较,如果所述URL数据不在高危域名数据库,则生成返回值通知客户端所述URL为非钓鱼网站;如果所述URL数据在高危域名数据库中,则调用URL规则库对URL规则进行匹配判断,如果所述URL命中了规则库中的URL规则,则要求客户端上传所述URL的标题、关键字、描述等关键信息,然后服务器端根据所述高危域名数据库、规则库以及关键信息进行综合判断,并将判断结果返回给客户端。最后,客户端根据所述服务器端所反馈的信息允许或者拒绝用户继续访问所述网站,并给出相应的拒绝访问说明,以提醒用户。其中,在每一次判断结束后,服务器端均将判断为钓鱼网站的URL数据加入到相应的黑名单、高危域名数据库以及规则库中作为已知钓鱼网站的样本数据,以提高钓鱼网站的样本数量,进而提高下次判断的准确性。采用本发明所提出的基于非内容分析的判断钓鱼网站的方法的网络安全系统能大大加快钓鱼网站的判断速度,并且能够克服现有URL判断方法对首次出现的钓鱼网站失效的缺点。本方法采用适当的方法在已知钓鱼网站的URL数据中提取对比数据,对未知网站的URL数据进行比较,并结合网站的一些关键信息进行判断,具有方便、快捷、高效、适用性广的优点。
权利要求
1.一种基于非内容分析的判断钓鱼网站的方法,包括设置在用户机器上的客户端以及设置在安全服务提供商侧的服务器端,其特征在于所述服务器端具有存储有现有已知钓鱼网站URL信息的黑名单、存储有现有已知非钓鱼网站URL信息的白名单、存储有钓鱼网站密集分布的域名信息的高危域名数据库以及含有从历史数据中统计出的钓鱼网站常用规律规则的规则库,所述方法还包括以下步骤 1)所述客户端将用户访问的未知网站的URL数据发送至所述服务器端; 2)所述服务器端接收客户端发送的未知网站的URL数据,并将所述URL数据与黑名单中的数据相比较,如果所述URL处于黑名单中则终止处理并将结果返回至客户端,如果所述URL不处于黑名单中则进行下一步骤; 3)将所述URL数据与白名单中的数据相比较,如果所述URL处于白名单中则终止处理并将结果返回至客户端,如果所述URL不处于白名单中则进行下一步骤; 4)将所述URL数据与高危域名数据库中的数据相比较,如果不相符则终止处理并将结果返回至客户端,如果所述URL与高危域名数据库中的数据相符则进行下一步骤; 5)将所述URL数据与规则库中的数据相比较,如果所述URL命中了规则库中的URL规贝丨J,服务器端则要求客户端上传所述URL的关键信息,所述关键信息包括所述URL的标题、关键字以及描述信息,服务器端再基于所述高危域名数据库、规则库以及关键信息三部分进行综合判断,并将结果返回给客户端; 6)所述客户端根据所述服务器端返回的结果允许或者拒绝用户继续访问所述网站,并给出相应的拒绝访问说明。
2.根据权利要求I所述的基于非内容分析的判断钓鱼网站的方法,其特征在于每一判断为钓鱼网站的URL数据均被加入到所述黑、白名单、高危域名数据库以及规则库中作为已知钓鱼网站的样本数据。
全文摘要
本发明提出了一种基于非内容分析的判断钓鱼网站的方法,包括服务器端和客户端,其中服务器端具有黑、白名单、高危域名数据库以及规则库;服务器端接收客户端发送的未知网站的URL数据,并进行黑、白名单判断,如所述URL数据不在黑、白名单中则与高危域名数据库中的数据相比较,如果所述URL与高危域名数据库中的数据相符则将所述URL数据与规则库中的数据相比较,再基于所述高危域名数据库、规则库以及关键信息三部分进行判断,并将结果返回给客户端。采用本发明所提供的钓鱼网站判断方法,能大大加快钓鱼网站的判断速度,并且能够克服现有URL判断方法对首次出现的钓鱼网站失效的缺点,具有方便、快捷、高效、适用性广的优点。
文档编号H04L29/06GK102638448SQ20121004589
公开日2012年8月15日 申请日期2012年2月27日 优先权日2012年2月27日
发明者温铭, 潘建波 申请人:珠海市君天电子科技有限公司