专利名称:钓鱼网站判断方法及装置的制作方法
技术领域:
本发明涉及网络安全技术领域,具体涉及ー种钓鱼网站判断方法,以及,一种钓鱼网站判断装置。
背景技术:
钓鱼网站一般具有这些特征1、以中奖(qq中奖、微博中奖、砸金蛋、星光大道等)来诱骗用户;2、以低价(飞机票、淘宝商品)来诱骗用户;3、制作成本低。钓鱼网站可以批量制作,并且使用免费的ニ级域名,相比病毒的制作和传播,钓鱼网站的成本可以忽略不计。4、后果严重。钓鱼网站大都诱骗用户购买价格比较高的商品(比如飞机票、单反相机等),并且有些钓鱼网站会窃取用户的支付宝和银行账户,会给用户造成很大的损失。现有钓鱼网站的识别技术,主要方法有1、对网页关键内容进行字符串匹配。比如检测网页title和keywords中是否含有'淘宝'ヽ'中奖'等字样。2、图像识别。有些钓鱼网站是仿冒品牌官方网站的,页面看上去和官网一祥。比如仿冒航空公司和淘宝。3、域名信息。钓鱼网站所使用的域名注册时间一般比较新,并且常常使用免费的ニ级域名。以上几种方法会综合起来识别钓鱼网站,最后形成黑名単。除了黑名单之外,为了不误报,还会有ー个白名单机制,将访问量大,曾经误报过的网站加入白名単。现有杀毒软件对钓鱼网站的识别都是在服务端进行的当客户端访问ー个网站吋,杀毒软件同时向服务端发送ー个请求,来查询这个网站是否是钓鱼网站。如果是钓鱼网站,就是进行拦截,如果不是就放行。这样的技术方案有两个明显的缺点一是新产生的钓鱼网站服务端没有记录,客户端查询的结果都是未知;ニ是当服务端出现技术故障等导致查询时间较长吋,也可能出现漏报。对于拦截钓鱼网站来说,第一个缺点是很难避免的,因为钓鱼网站的制作成本非常低,往往会采用免费的ニ级域名,欺骗几个用户后就废弃原有的域名,修改标题等内容后就再去申请ー个新的域名,继续行骗。本发明的迫切需要解决的问题之ー在于,提出ー种判断钓鱼网站的方法及装置,用以当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,可以在客户端第一时间拦截到最新生成的钓鱼网站,拦截大部分的钓鱼网站,以保证网络安全。
发明内容
鉴于上述问题,提出了本发明以便提供ー种克服上述问题或者至少部分地解决上述问题的ー种钓鱼网站判断方法和相应的钓鱼网站判断装置。依据本发明的ー个方面,提供了ー种钓鱼网站判断方法,包括服务器判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;客户端获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;若是,则判定为非钓鱼网站并允许访问所述灰网站;
若否,则客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则吋,则判定为钓鱼网站并拒绝访问所述灰网站。可选地,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述服务器判断客户端访问的目标网站是否为灰网站的步骤包括客户端访问目标网站,井向服务器发送查询所述目标网站是否为钓鱼网站的请求;服务器接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
可选地,所述浏览信息包括浏览量和浏览时间,所述判断浏览信息是否满足预设条件的步骤为判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。可选地,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站的步骤为当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。可选地,所述方法还包括当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。 可选地,所述方法还包括将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。可选地,所述服务器为企业内网控制服务器,所述客户端为企业内网客户端。根据本发明的另一方面,提供了ー种钓鱼网站判断装置,包括位于服务器的灰网站判断模块,用于判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;位于客户端的钓鱼网站判断模块,用于获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;位于客户端的第一判定模块,用于判定为非钓鱼网站并允许访问所述灰网站;位于客户端的第二判定模块,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。可选地,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述灰网站判断模块包括位于客户端的访问子模块,用于访问目标网站,井向服务器发送查询所述目标网站是否为钓鱼网站的请求;位于服务器的判断子模块,用于接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
可选地,所述钓鱼网站判断模块为浏览信息判断模块,用于判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。可选地,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述第二判定丰吴块为域名特征信息判断模块,用于当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网
站。 可选地,所述装置还包括疑似钓鱼网站提示信息模块,用于当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。可选地,所述装置还包括处理结果返回模块,用于将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。根据本发明的ー种判断钓鱼网站的方法及装置可以通过客户端来判断是否为钓鱼网站,由此解决了当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,取得了可以在客户端第一时间拦截到最新生成的钓鱼网站,拦截大部分的钓鱼网站,保证网络安全的有益效果。上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式
。
通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的參考符号表示相同的部件。在附图中图I示出了根据本发明一个实施例的钓鱼网站判断方法实施例的步骤流程图;图2示出了根据本发明一个实施例的钓鱼网站判断装置实施例的结构框图。
具体实施例方式下面将參照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。本发明实施例的核心构思之ー在于,当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,根据用户的浏览信息和网站的域名特征信息与在本地客户端中的浏览信息对比,综合判断灰网站是否为钓鱼网站。參照图1,示出了根据本发明一个实施例的钓鱼网站判断方法实施例的步骤流程图,具体可以包括以下步骤步骤101,服务器判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;在具体实现中,可以在服务器中设置存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,在本发明的一种优选实施例中,所述步骤101具体可以包括如下子步骤子步骤S 11,客户端访问目标网站,井向服务器发送查询所述目标网站是否为钓鱼网站的请求;子步骤S12,服务器接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。·
在实际中,当客户端访问目标网站时,可以同时向服务端发送查询所述目标网站是否为钓鱼网站的请求,服务器接收到查询请求后,查看所述目标网站是否存于在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。服务端将判定为灰网站的结果返回至客户端,则客户端启动启发式判断。步骤102,客户端获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;作为本发明实施例具体应用的ー种示例,所述浏览信息可以包括浏览量和浏览时间,所述步骤102可以包括如下步骤判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。在具体实现中,可以在客户端配置两个主要的API,一个是将目标网站的URL传入的API,可以通过浏览器或者安全软件,在用户访问未知目标网站时,调用这个API ;第ニ个是查询的API,可以传入目标网站来查询是否为钓鱼网站。当客户端启动启发式判断吋,调用将目标网站URL传入的API,将灰网站的host、IP、网站名、浏览量,浏览时间记录在数据缓存中,并根据浏览量进行排序。作为ー种示例,排序的算法可以为LRU(Least RecentlyUsed),最近经常访问的灰网站的host会被保存起来。当用户访问的网站为灰网站时,调用查询的API,则客户端对排序的浏览量数据进行查询,如果发现有记录,并且浏览量高于预置阈值,就判定是白网站,则客户端允许访问此网站。所有的灰网站的数据都放入数据缓存中,并将网站通过LRU排序,对于在预置时间内没有被访问的网站会从数据缓存中清除。判断钓鱼网站的预置阈值可以根据服务端的统计做调整,范围大概在10以上。步骤103,若是,则判定为非钓鱼网站并允许访问所述灰网站;当用户访问的灰网站判定为非钓鱼网站,则客户端允许访问所述灰网站。步骤104,若否,则客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。在本发明的一种优选实施例中,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述步骤104可以为如下步骤当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。在具体实现中,当用户访问灰网站时,客户端对数据缓存中排序的浏览量进行查询,如果发现有灰网站的记录,但浏览量低于预置阈值,或者没有灰网站的记录,就会根据灰网站的IP地址是否为国外IP,host是否使用高危ニ级域名和网站名是否包含预置敏感词汇来综合判断是否为钓鱼网站。如果灰网站的IP地址为国外IP,并且网站采用了预置的可疑域名(比如tk,CO. CC等,可以定期从服务端更新),并且网站名含有预置的敏感词汇(比如淘宝、话费、抽奖、彩票等,可以定期从服务端更新),就认为灰网站是钓鱼网站。当用户访问的灰网站判定为钓鱼网站时,则客户端拒绝访问所述灰网站。在本发明的一种优选实施例中,还可以包括如下步骤当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。 如果灰网站的IP地址为国外IP,或网站采用预置的可疑域名,或网站名含有预置的敏感词汇,符合以上两个条件的灰网站的会提示疑似钓鱼网站,这种做法是为了减少误报,因为在实际中,由于ー些小网站会使用免费的ニ级域名搭建服务,可能会都命中这三个规则。在具体实现中,会将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。客户端针对钓鱼网站进行拦截,如果不是钓鱼网站就允许继续访问。客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果会生成日志并返回给服务器。如果其中有误报,可从服务端加入白名单。在本发明的一种优选实施例中,所述服务器可以为企业内网控制服务器,所述客户端可以为企业内网客户端。作为ー种具体应用的示例,本发明实施例可应用企业内网的钓鱼网站识别中,以增强企业网络的安全性。具体而言,在企业内网的应用中,本发明实施例可以包括如下步骤步骤SI,企业内网控制服务器判断企业内网客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;步骤S2,企业内网客户端获取所述灰网站在本地企业内网客户端客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;步骤S3,若是,则判定为非钓鱼网站;步骤S4,若否,则企业内网客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站。对于上述的示例而言,由于其图I的方法实施例基本相似,故本示例的描述中未详尽之处,可以參见方法实施例中的相关说明,在此就不赘述了。需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明并不受所描述的动作顺序的限制,因为依据本发明,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定是本发明所必须的。參照图2,示出了根据本发明一个实施例的钓鱼网站判断装置实施例的结构框图,具体可以包括以下模块
位于客户端的灰网站判断模块201,用于判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;在本发明的一种优选实施例中,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述灰网站判断模块201可以包括如下子模块位于客户端的访问子模块,用于访问目标网站,井向服务器发送查询所述目标网站是否为钓鱼网站的请求;位于服务器的判断子模块,用于接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。 位于客户端的钓鱼网站判断模块202,用于获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;在本发明的一种优选实施例中,所述钓鱼网站判断模块202可以为浏览信息判断模块,用于判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。位于客户端的第一判定模块203,用于判定为非钓鱼网站并允许访问所述灰网站;位于客户端的第二判定模块204,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。在本发明的一种优选实施例中,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述第二判定模块204可以为域名特征信息判断模块,用于当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站并拒绝访问所述灰网站。在本发明的一种优选实施例中,所述装置还包括疑似钓鱼网站提示信息模块,用于当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。处理结果返回模块,用于将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。对于图2的装置实施例而言,由于其与图I的方法实施例基本相似,所以描述的比较简单,相关之处參见方法实施例的部分说明即可。在本发明的一种优选实施例中,所述服务器可以为企业内网控制服务器,所述客户端可以为企业内网客户端。作为ー种具体应用的示例,本发明实施例还可应用企业内网的钓鱼网站识别中,以增强企业网络的安全性。具体而言,在企业内网的应用环境中,本发明实施例可以包括如下模块位于企业内网控制服务器的灰网站判断模块,用于判断企业内网客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站;位于企业内网客户端的钓鱼网站判断模块,用于获取所述灰网站在本地企业内网客户端中的浏览信息,并判断所述浏览信息是否满足预设条件;位于企业内网客户端的第一判定模块,用于判定为非钓鱼网站并允许访问所述灰网站;位于企业内网客户端的第二判定模块,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。对于上述的示例而言,其中描述未详尽之处,可以參见方法实施例中的相关说明,在此就不赘述了。在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施 例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技木,以便不模糊对本说明书的理解。类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的ー个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式
的权利要求书由此明确地并入该具体实施方式
,其中每个权利要求本身都作为本发明的单独实施例。本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成ー个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者単元中的至少ー些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或単元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。本发明的各个部件实施例可以以硬件实现,或者以在ー个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的钓鱼网站判断装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有ー个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何參考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“ー个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来 实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
权利要求
1.一种钓鱼网站判断方法,包括 服务器判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站; 客户端获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件; 若是,则判定为非钓鱼网站并允许访问所述灰网站; 若否,则客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。
2.如权利要求I所述的方法,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述服务器判断客户端访问的目标网站是否为灰网站的步骤包括 客户端访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求; 服务器接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
3.如权利要求I或2所述的方法,所述浏览信息包括浏览量和浏览时间,所述判断浏览信息是否满足预设条件的步骤为 判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
4.如权利要求I所述的方法,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述客户端获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站的步骤为 当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
5.如权利要求4所述的方法,还包括 当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
6.如权利要求I至5中任一项所述的方法,还包括 将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。
7.如权利要求I所述的方法,所述服务器为企业内网控制服务器,所述客户端为企业内网客户端。
8.一种钓鱼网站判断装置,包括 位于服务器的灰网站判断模块,用于判断客户端访问的目标网站是否为灰网站,所述灰网站为未在预设黑名单及白名单中的网站; 位于客户端的钓鱼网站判断模块,用于获取所述灰网站在本地客户端中的浏览信息,并判断所述浏览信息是否满足预设条件; 位于客户端的第一判定模块,用于判定为非钓鱼网站并允许访问所述灰网站; 位于客户端的第二判定模块,用于获取所述灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。
9.如权利要求8所述的装置,所述服务器中包括存储已知钓鱼网站的黑名单以及存储已知非钓鱼网站的白名单,所述灰网站判断模块包括 位于客户端的访问子模块,用于访问目标网站,并向服务器发送查询所述目标网站是否为钓鱼网站的请求; 位于服务器的服务器判断子模块,用于接收所述请求,查看所述目标网站是否在黑名单或白名单中,若目标网站既不在黑名单也不在白名单中,则判定目标网站为灰网站。
10.如权利要求8或9所述的装置,所述钓鱼网站判断模块为 浏览信息判断模块,用于判断所述浏览量是否高于预设阈值,并且,所述浏览时间是否在预设的时间范围内。
11.如权利要求8所述的装置,所述灰网站的域名特征信息包括IP地址,域名和网站名,所述第二判定模块为 域名特征信息判断模块,用于当所述灰网站的IP地址为国外IP,并且,所述灰网站采用了预置的可疑域名,以及,灰网站的网站名包含预置的敏感词汇时,判定为钓鱼网站。
12.如权利要求11所述的装置,还包括 疑似钓鱼网站提示信息模块,用于当所述灰网站的域名特征信息符合灰网站的IP地址为国外IP,或灰网站采用了预置的可疑域名,或灰网站的网站名包含预置的敏感词汇中任意两项时,则生成目标网站为疑似钓鱼网站的提示信息。
13.如权利要求8至12中任一项所述的装置,还包括 处理结果返回模块,用于将客户端允许或拒绝访问所述灰网站,或生成目标网站为疑似钓鱼网站的信息的处理结果生成日志并返回给服务器。
全文摘要
本发明公开了一种钓鱼网站判断方法及装置,其中,该装置包括位于服务器的灰网站判断模块,用于判断客户端访问的目标网站是否为灰网站;位于客户端的钓鱼网站判断模块,用于获取灰网站在本地客户端中的浏览信息,并判断浏览信息是否满足预设条件;位于客户端的第一判定模块,用于判定为非钓鱼网站并允许访问所述灰网站;位于客户端的第二判定模块,用于获取灰网站的域名特征信息,当域名特征信息符合预置规则时,则判定为钓鱼网站并拒绝访问所述灰网站。本发明用以当服务器不能确定客户端访问的网站否为钓鱼网站,或者服务端故障时,可以在客户端第一时间拦截到最新生成的钓鱼网站,拦截大部分的钓鱼网站,以保证网络安全。
文档编号H04L29/06GK102957693SQ20121041339
公开日2013年3月6日 申请日期2012年10月25日 优先权日2012年10月25日
发明者温铭 申请人:北京奇虎科技有限公司, 奇智软件(北京)有限公司