一种钓鱼网站去误报的方法和装置制造方法

一种钓鱼网站去误报的方法和装置制造方法
【专利摘要】本发明公开了一种钓鱼网站去误报的方法和钓鱼网站去误报装置，包括以下步骤：获取初判钓鱼网站的统一资源定位符、访问信息、whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息；判断获取的信息是否满足预设的条件，如果满足，则判定为可信任网站；把可信任网站存储至白名单数据库，把经过上述所有判断步骤，判断结果均不是可信任网站的初判钓鱼网站存储至钓鱼网站数据库。通过各综合判断因素，把可能被安全防护软件判定为钓鱼网站的一些长期不知名的网站，未收录的网站以及新建网站从真正的钓鱼网站中区别，尽可能避免了误判造成这类正规网站的运行。
【专利说明】一种钓鱼网站去误报的方法和装置
【技术领域】
[0001]本发明涉及计算机信息安全领域，尤其是一种钓鱼网站去误报的方法和装置。
【背景技术】
[0002]钓鱼网站通常是指伪装成银行及电子商务等网站，主要危害是窃取用户提交的银行帐号、密码等私密信息。钓鱼网站是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的统一资源定位符以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。
[0003]从以往的经验得知，钓鱼网站会模仿正规网站的行为和内容，安全软件会把这些行为和内容找出来。为了最大限度保护用户的财产信息安全，一些安全防护软件采用“非白即黑”的判断技术，只要用户访问的网站不是其规则下的正规网站，则判断为钓鱼网站。一些长期不知名的网站，未收录的网站以及新建网站也会因为这些判定规则被误判影响这些网站的正常工作。

【发明内容】

[0004]本发明的目的，就是克服现有技术的不足，提供一种钓鱼网站去误报的方法及装置。本发明可以在安全防护软件对一些长期不知名的网站，未收录的网站以及新建网站判断为初判钓鱼网站后，对所述初判钓鱼网站进行进一步分析，区分出可信任网站，避免误判。
[0005]为了达到上述目的，采用如下技术方案:
[0006]一种钓鱼网站去误报的方法，其特征在于，包括以下步骤:
[0007]SlO:获取初判钓鱼网站的统一资源定位符、访问信息、whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息；
[0008]S20:通过以下步骤S2f S23中的任意一个或多个步骤，判定初判钓鱼网站是否为可信任网站:
[0009]S21:判断统一资源定位符与白名单数据库中预设的统一资源定位符是否相同，若是，则判断初判钓鱼网站为可信任网站；
[0010]S22:根据初判钓鱼网站的访问信息判断其是否满足访问广度条件，若是，则判断初判钓鱼网站为可信任网站；
[0011]S23:判断初判钓鱼网站的whois信息、IP信息、网站备案信息的加权值总和是否大于预设的加权值阈值，若是，则判断初判钓鱼网站为可信任网站；
[0012]S30:把判断为可信任网站的初判钓鱼网站存储至白名单数据库，把经过上述S20的判断步骤判断结果均为否的初判钓鱼网站存储至钓鱼网站数据库。 [0013]进一步地，该步骤S21具体判断方法为:该白名单数据库包括误报统一资源定位符数据库和可信统一资源定位符数据库，判断初判钓鱼网站的统一资源定位符是否在该误报统一资源定位符数据库中，或是否在该可信统一资源定位符数据库中；若是，则判断该初判钓鱼网站为可信任网站。
[0014]进一步地，所述步骤S22具体判断方法为:根据初判钓鱼网站的访问信息中的ALEXA排名判断其是否小于ALEXA排名阈值，或根据初判钓鱼网站的访问信息中的访问量判断其是否超过一访问量阈值；若是，则判断该初判钓鱼网站为可信任网站。
[0015]进一步地，所述步骤S20还还包括以下步骤:判断该初判钓鱼网站是否有ICP证书，若有，则判断初判钓鱼网站为可信任网站。
[0016]进一步地，所述步骤S23具体判断方法为:
[0017]根据whois信息的域名注册时间判断该域名使用时间是否大于预设的时间阈值，若大于，则初判钓鱼网站获得一加权值；
[0018]判断whois信息的网站所有人名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则该初判钓鱼网站获得一加权值；
[0019]通过反查IP，判断该IP名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若是，则该初判钓鱼网站获得一加权值；
[0020]判断该初判钓鱼网站是否通过ICP备案，若通过，则初判钓鱼网站获得一加权值；
[0021]判断该初判钓鱼网站获得的加权值总和是否大于加权值阈值，若是，则判断该初判钓鱼网站为可信任网站，若否，则进入步骤S30。
[0022]一种钓鱼网站去误报装置，包括:白名单数据库，用于存储预设的统一资源定位符和可信任网站；钓鱼网站数据库，用于存储钓鱼网站；获取模块，获取初判钓鱼网站的统一资源定位符、访问信息、Whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息；判断模块，其包括第一判断模块、第二判断模块或第三判断模块中的一个或多个模块，其中，该第一判断模块，用于判断统一资源定位符与白名单数据库中预设的统一资源定位符是否相同，若是，则判断初判钓鱼网站为可信任网站；该第二判断模块，用于根据初判钓鱼的访问信息判断其是否满足访问广度条件，若是，则判断初判钓鱼网站为可信任网站；该第三判断模块，用于判断初判钓鱼网站的whois信息、IP信息、网站备案信息的加权值总和是否大于预设的加权值阈值，若是，则判断初判钓鱼网站为可信任网站；处理模块，用于把判断为可信任网站的初判存储至白名单数据库，把经过上述所有判断模块的判断，判断结果均为否的初判钓鱼网站存储至钓鱼网站数据库。
[0023]进一步地，所述白名单数据库包括误报统一资源定位符数据库和可信任统一资源定位符数据库，所述误报统一资源定位符数据库存储被误判的统一资源定位符，所述可信任统一资源定位符数据库存储企业上传或中国互联网络信息中心公布的可信任统一资源定位符。
[0024]进一步地，所述第三判断模块包括使用域名判断模块、所有人判断模块、IP判断模块、备案判断模块和加权判断模块，其中，该使用域名判断模块根据Whois信息的域名注册时间判断域名使用时间是否大于预设的时间阈值，若大于，则初判钓鱼网站获得一加权值；该所有人判断模块用于判断Whois信息的网站所有人名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则初判钓鱼网站获得一加权值；该IP判断模块用于通过反查IP，判断该IP名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则初判钓鱼网站获得一加权值；该备案判断模块用于判断初判钓鱼网站是否通过ICP备案，若通过，则初判钓鱼网站获得一加权值；该加权判断模块用于判断初判钓鱼网站获得的加权值总和是否大于加权值阈值，若是，则判断初判钓鱼网站为可信任网站。
[0025]进一步地，所述判断模块还包括ICP证书判断模块，其用于判断该初判钓鱼网站是否有ICP证书，若是，则判断该初判钓鱼网站为可信任网站。
[0026]与现有技术相比，本发明的有益效果在于:
[0027]本发明可以把一些长期不知名的网站、未被收录的网站和新网站被初步判断为初判钓鱼网站后再进行进一步的分析、判断、筛选，把符合筛选条件的初判钓鱼网站选取出来，避免了一些正规网站被误判的问题。本发明综合多方面因素，有利于提高安全防护软件判断的准确率，降低误判对网站本身或用户体验的影响。
【专利附图】

【附图说明】
[0028]图1是本发明所述钓鱼网站去误报的方法实施例一的步骤流程图；
[0029]图2是本发明所述钓鱼网站去误报的方法实施例一的步骤S20A的具体步骤流程图；
[0030]图3是本发明所述钓鱼网站去误报的方法实施例一的步骤S20B的具体步骤流程图；
[0031]图4是本发明所述钓鱼网站去误报的方法实施例一的步骤S20C的具体步骤流程图；
[0032]图5是本发明所述钓鱼网站去误报装置实施例一的结构示意图；
[0033]图6是本发明所述钓鱼网站去误报的方法实施例二的步骤流程图；
[0034]图7是本发明所述钓鱼网站去误报装置实施例二的结构示意图。
[0035]图不:I一第一判断模块；2—第二判断模块；3—第二判断模块；31—域名模块；
[0036]32—所有人模块；33—备案模块；34—IP模块；35—加权模块；36—ICP证书模块；
[0037]4 —白名单数据库；41 一误报统一资源定位符数据库；42—可信任统一资源定位符数据库；
[0038]5—获取模块；6—处理模块；7—钓鱼网站数据库。
【具体实施方式】
[0039]下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。
[0040]实施例一
[0041]请参阅图1，其是本发明钓鱼网站去误报的方法的步骤流程图。本实施例的一种钓鱼网站去误报的方法，包括以下步骤:
[0042]步骤SlO:获取初判钓鱼网站的统一资源定位符信息、访问信息、whois信息、IP信息、网站备案信息或ICP证书彳目息中的一种或多种信息。
[0043] 具体地，从通过现有的技术，获取被安全防护软件初步判断为初判钓鱼网站的统一资源定位符(URL)、访问信息、whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息。所述访问信息指初判钓鱼网站在ALEXA的排名，以及访问量。所述whois信息包括网站域名的注册时间、网站所有人等。IP信息指所述初判钓鱼网站的IP地址所在地。所述网站备案信息指网站的ICP备案情况。所述ICP证书信息实指ICP经营许可证，所述ICP经营许可证是指各地通信管理部门核发的《中华人民共和国增值电信业务经营许可证》中的其中之一。通过互联网向上网用户提供有偿信息、网上广告、代制作网页、电子商务及其它网上应用服务的公司必须办理ICP网络经营许可证。目前这些信息都可以通过现有的接口获得。
[0044]S20:通过以下步骤S2f S23中的任意一个或多个步骤，判定初判钓鱼网站是否为
可信任网站。
[0045]S20A:判断统一资源定位符与白名单数据库中预设的统一资源定位符是否相同，若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。
[0046]具体地，白名单数据库中包括误报统一资源定位符数据库和可信任统一资源定位符数据库。误报统一资源定位符数据库中，存储有经过人工收集的误报的统一资源定位符，也存储有经过本实施例其它步骤判断收集的误报的网站的统一资源定位符。可信统一资源定位符数据库中的可信任统一资源定位符来源主要有两个。其一是通过经过认证企业上传的统一资源定位符。这些经过认证的企业可信度高，因此其上传的统一资源定位符为可信任的统一资源定位符。其二是经过中国互联网络信息中心(CNNIC)公布的可信任的统一资源定位符。
[0047]请参阅图2，S20A步骤中包括步骤S20A1:判断初判钓鱼网站的统一资源定位符是否在误报统一资源定位符数据库中；若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。步骤S20A2:判断初判钓鱼网站的统一资源定位符是否在可信任统一资源定位符数据库中，若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。其中步骤S20A1和S20A2步骤顺序可以替换，并不限定唯一执行顺序。
[0048]S20B:根据初判钓鱼网站的访问信息判断其是否满足访问广度条件，若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。
[0049]具体地,访问广度条件指ALEXA排名是否小于ALEXA排名阈值或访问量是否超过访问量阈值。初判钓鱼网站的访问信息包括ALEXA排名和访问量。Alexa排名是指网站的世界排名。目前互联网已有网站接口，可以通过初判钓鱼网站的域名，查出网站的ALEXA排名。访问量主要通过安全防护软件客户端搜集，安全防护软件客户端收集用户的访问的网页，然后上传到服务端进行统计获得。假设ALEXA排名阈值为100000。若查询结果显示该网站的ALEXA排名低于100000，则说明该初判钓鱼网站的排名较高，访问的人数较多，被误判的概率较大。因此判断该初判钓鱼为可信任网站。另外，访问量指网络之间互连的协(IP)访问量或网页浏览数(PV)。假设IP访问量阈值为500，若每日IP访问量大于IP访问量阈值，则说明初判钓鱼网站访问的人数较多，被误判的概率较大。判断该初判钓鱼网站为可信任网站。若PV访问量阈值为1000000，初判钓鱼网站的PV为2000000，大于PV访问量阈值，则说明初判钓鱼网站访问的次数较多，被误判的概率较大，判断该初判钓鱼网站为可信任网站。
[0050]请参阅图3，步骤 S20B具体判断方法为:
[0051 ] S20BI:判断初判钓鱼网站的ALEXA排名是否满足小于ALEXA排名阈值，若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。[0052]S20B2:判断初判钓鱼网站的访问量是否访问量阈值,具体为IP访问量大于IP访问量阈值，或PV访问量大于PV访问量阈值，只要满足其中一个，则判断初判钓鱼网站为可信任网站。S20B1和S20B2的执行并没有唯一的顺序，两个步骤可以交替执行，只要满足ALEXA排名小于ALEXA排名阈值或访问量超过访问量阈值任意之一,则初判钓鱼网站的访问信息满足访问广度条件，初判钓鱼网站为可信任网站。
[0053]S20C:判断初判钓鱼网站的whois信息、IP信息、网站备案信息的加权值总和是否大于预设的加权值阈值，若是，则判断初判钓鱼网站为可信任网站，进入步骤S30。
[0054]具体地，whois信息包括域名注册时间，网站所有人等信息。钓鱼网站的存活时间比较短，一般在I个月。通过域名注册时间可以在一定程度上看出所述域名的使用时间是否较短。每一个网站均有一个所有人，这个所有人可以注册多个网站。通过现有技术的域名反查，可以获得网站所有人名下的所有网站。若此网站所有人名下被判定为钓鱼网站的数量很少或没有，占其名下所有网站的比例非常低，则初判钓鱼网站被误判的概率较高。IP信息指通过查找IP获知该IP名下所有的域名对应的网站。若此网站所有人名下被判定为钓鱼网站的数量很少或没有，占其名下所有网站的比例非常低，则初判钓鱼网站被误判的概率较高。网站备案信息指初判钓鱼网站是否通过了 ICP备案。ICP备案是信息产业部对网站的一种管理，为了防止非法网站。经过ICP备案的网站受到国家相关部门的监管，若初判钓鱼网站通过了 ICP备案，则其被误判的概率较大。
[0055]请参阅图4，步骤S20C具体判断方法为:
[0056]S20C1:根据whois信息的域名注册时间判断域名使用时间是否大于预设的时间阈值，若大于，则初判钓鱼网站获得加权值。具体地，从域名注册时间可以算出注册至今的该域名的使用时间。假设预设的时间阈值为6个月。若使用时间超过了6个月，说明所述初判钓鱼网站被误判的概率较大。此时，初判钓鱼网站获得一个加权值，所述加权值为一比例值。所有的判断条件的加权值总和为100%，满足不同的判断条件可以获得一个加权值。获得的加权值为预设值。此处，若域名使用时间为8个月，大于时间阈值6个月，则初判钓鱼网站获得一加权值，预设为30%。
[0057]S20C2:判断whois信息的网站所有人名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则初判钓鱼网站获得加权值。具体地，通过现有的反查技术得知网站所有人名下的所有网站。有些网站已经被判定为钓鱼网站。假设这些钓鱼网站占所有网站的比例低于5%，则初判钓鱼网站被误判的概率较大。此时，初判钓鱼网站一加权值，预设所述加权值为20%。若这些钓鱼网站占所有网站的比例高于5%，说明误判的概率较小，初判钓鱼网站的加权值为零。
[0058]S20C3:通过反查IP，判断该IP名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若是，则初判钓鱼网站获得一加权值。具体地，通过现有的接口，可以查到该IP地址下所有的域名对应的网站。有些网站已经被判定为钓鱼网站。假设这些钓鱼网站占所有网站的比例低于5%，则初判钓鱼网站被误判的概率较大。此时，初判钓鱼网站获得一加权值，所述加权值预设为20%。若这些钓鱼网站占所有网站的比例高于5%，说明误判的概率较小，初判钓鱼网站的加权值为零。
[0059]S20C4:判断初判钓鱼网站是否通过ICP备案，若通过，则ICP备案获得以加权值。具体地，初判钓鱼网站通过了 ICP备案，则初判钓鱼获得一个加权值，所述加权值预设为30%。若没有通过，则所述加权值为零。
[0060]S20C5:判断初判钓鱼网站获得的加权值总和是否大于加权值阈值，若是，初判断判钓鱼网站为可信任网站，否，执行S30步骤。具体地，S20CrS20C4所有加权值的总和为100%。假设加权值阈值为80%。若S20C1~S20C4所有加权值的总和大于80%，则说明初判钓鱼网站被误判的概率较大，此时，可认定初判钓鱼网站为可信任网站。若S20Cf S20C4所有加权值的总和低于80%，则说明初判钓鱼网站为真实钓鱼网站的概率较大。继续进行S30步骤。
[0061]所述S20A飞20C步骤，各步骤之间的先后顺序可以替换，各步骤的执行等级相同，并不限定步骤的先后执行顺序。
[0062]所述S20Cf S20C4步骤，各步骤之间的先后顺序可以替换，各步骤的执行等级相同，并不限定步骤的先后执行顺序。
[0063]S30:把可信任网站存储至白名单数据库，把经过上述所有判断步骤，判断结果均不是可信任网站的初判钓鱼网站存储至钓鱼网站数据库7。具体地，若经过S20A飞20C中任意判断步骤判断，初判钓鱼网站为可信任网站，则把初判钓鱼网站存储至白名单数据库中。若经过S20A飞20C所有判断步骤的判断，判断结果都不是可信任网站，则初判钓鱼网站为真实钓鱼网站的概率较高，可认定为钓鱼网站，把初判钓鱼网站存储至钓鱼网站数据库中。
[0064]请参阅图5，其是本发明的第一实施例的钓鱼网站去误报装置的结构示意图。
[0065]本装置的判断模 块包括获取模块1、判断模块2、处理模块3、白名单数据库4和钓鱼网站数据库5。所述判断模块包括第一判断模块21，第二判断模块22和第三判断模块23。所述第三判断模块包括域名模块231，所有人模块232，备案模块233，IP模块234和加权模块235。所述白名单数据库4包括误报统一资源定位符数据库41和可信任统一资源定位符数据库42。
[0066]获取模块I获取初判钓鱼网站的统一资源定位符、访问信息、whois信息、IP信息、网站备案信息和ICP证书信息。获取模块I获取上述的信息后，分别发送至第一判断模块21、第二判断模块22、第三判断模块23判断。
[0067]获取模块I把获取的统一资源定位符发送至第一判断模块21。第一判断模块21判断初判钓鱼网站的统一资源定位符是否在白名单数据库4中预设的统一资源定位符。所述白名单数据库4中存储有预设的统一资源定位符和可信任网站。预设的统一资源定位符存储至误报统一资源定位符数据库41，可信任网站存储至可信任统一资源定位符数据库42。误报统一资源定位符数据库41的统一资源定位符从历史误判的统一资源定位符中通过人工收集，或从本实施例的判断结果中搜集。可信任统一资源定位符数据库42中存储有企业上传的可信任统一资源定位符或由中国互联网络信息中心(CNNIC)公布的可信任统一资源定位符。若初判钓鱼网站的统一资源定位符与可信任统一资源定位符数据库42或误报统一资源定位符数据库41中的统一资源定位符相同，则第一判断模块I判断初判钓鱼网站为可信任网站，并把初判钓鱼网站存储至白名单数据库4中。
[0068]获取模块I把获取的访问信息发送至第二判断模块22。第二判断模块22根据初判钓鱼网站的访问信息判断其是否满足访问广度条件。具体地，第二判断模块22把ALEXA排名是否小于ALEXA排名阈值或访问量是否超过访问量阈值作为判断依据。其中，访问量包括IP访问量和PV访问量。ALEXA排名、IP访问量、PV访问量只要满足任意一个条件，则第二判断模块22把初判钓鱼网站判断为可信任网站。
[0069]获取模块5把获取的whois信息、IP信息、网站备案信息发送至第三判断模块23。所述Whois信息包括域名注册时间，网站所有人等信息。所述第三判断模块23包括域名模块231，所有人模块232，IP模块234，备案模块233和加权模块235。根据域名注册时间可以获知所述域名的使用时间，若使用时间超过6个月，则域名模块231给予初判钓鱼网站一个加权值；根据网站所有人可以通过反查获得网站所有人名下的所有网站。若网站所有人名下被判定为钓鱼网站的网站占所有网站的比例低于5%，则所有人模块232给予初判钓鱼网站一个加权值；备案模块233根据初判钓鱼网站的备案信息可知，若初判钓鱼网站通过ICP备案，则备案模块233给予初判钓鱼网站一个加权值。获取模块I把IP信息发送至IP模块234，若IP名下的钓鱼网站占其名下网站的比例小于5%，则IP模块234给予初判钓鱼网站一个加权值。
[0070]加权模块235把初判钓鱼网站获得的加权值总和与加权值阈值比较，若加权值总和大于加权值阈值，则加权模块235判断初判钓鱼网站为可信任网站。
[0071]如果初判钓鱼网站经过第一判断模块21、第二判断模块22和第三判断模块23的判断，判断结果不是可信任网站，则处理模块3判断初判钓鱼网站为钓鱼网站，并把初判钓鱼网站存储至钓鱼网站数据库5。所述钓鱼网站数据库5中存储有钓鱼网站。若初判钓鱼网站经过第一判断模块21、第二判断模块22或第三判断模块23任一模块或多个模块判断，判断结果为可信任网站，则处理模块3把初判钓鱼网站存储至白名单数据库4中。
[0072]实施例二
[0073]请参阅图6，本实施例与实施例一的区别在于，在S20步骤之中，还包括步骤S20D:判断初判钓鱼网站是否有ICP证书，若有，则判断初判钓鱼网站为可信任网站，直接进入S30步骤。
[0074]具体地，由于ICP证书是经过国家通讯管理部门颁发的，具有权威性，监管严格，因此凡是具有ICP证书的网站，则可认定为可信任网站。判断初判钓鱼网站是否在国家通讯管理部门公布的具有ICP证书网站中，可以得知该初判钓鱼网站是否具有ICP证书。步骤S20D与步骤S20A、S20B、S20C的执行等级相同，各步骤之间的先后顺序可以替换，并不限定步骤的先后执行顺序。
[0075]请参阅图7，其是本发明的第二实施例的钓鱼网站去误报的装置的结构示意图。
[0076]本装置与实施例一装置的区别在于:判断模块2还包括用于判断初判钓鱼网站是否有ICP证书的ICP证书模块24。
[0077]如果初判钓鱼网站经过第一判断模块21、第二判断模块22、第三判断模块23和ICP证书模块24的判断，判断结果不是可信任网站，则处理模块3把初判钓鱼网站判断为钓鱼网站，并把初判钓鱼网站存储至钓鱼网站数据库5。若初判钓鱼网站经过第一判断模块
21、第二判断模块22、第三判断模块23或ICP证书模块24中任一判断模块判断，判断结果为可信任网站，则处理模块3把初判钓鱼网站存储至白名单数据库4中。 [0078]以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在【具体实施方式】以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种钓鱼网站去误报的方法，其特征在于，包括以下步骤: SlO:获取初判钓鱼网站的统一资源定位符、访问信息、Whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息； S20:通过以下步骤S2fS23中的任意一个或多个步骤，判定初判钓鱼网站是否为可信任网站: S21:判断统一资源定位符与白名单数据库中预设的统一资源定位符是否相同，若是，则判断初判钓鱼网站为可信任网站； S22:根据初判钓鱼网站的访问信息判断其是否满足访问广度条件，若是，则判断初判钓鱼网站为可信任网站； S23:判断初判钓鱼网站的whois信息、IP信息、网站备案信息的加权值总和是否大于预设的加权值阈值，若是，则判断初判钓鱼网站为可信任网站； S30:把判断为可信任网站的初判钓鱼网站存储至白名单数据库，把经过上述S20的判断步骤判断结果均为否的初判钓鱼网站存储至钓鱼网站数据库。
2.根据权利要求1所述的钓鱼网站去误报的方法，其特征在于，所述步骤S21具体判断方法为: 该白名单数据库包括误报统一资源定位符数据库和可信统一资源定位符数据库，判断初判钓鱼网站的统一资源定位符是否在该误报统一资源定位符数据库中，或是否在该可信统一资源定位符数据库中；若是，则判断该初判钓鱼网站为可信任网站。
3.根据权利要求1所述的钓鱼网站去误报的方法，其特征在于，所述步骤S22具体判断方法为: 根据初判钓鱼网站的访问信息中的ALEXA排名判断其是否小于ALEXA排名阈值，或根据初判钓鱼网站的访问信息中的访问量判断其是否超过一访问量阈值；若是，则判断该初判钓鱼网站为可信任网站。
4.根据权利要求1所述的钓鱼网站去误报的方法，其特征在于，所述步骤S20还还包括以下步骤: 判断该初判钓鱼网站是否有ICP证书，若有，则判断初判钓鱼网站为可信任网站。
5.根据权利要求1所述的钓鱼网站去误报的方法，其特征在于，所述步骤S23具体判断方法为: 根据WhoiS信息的域名注册时间判断该域名使用时间是否大于预设的时间阈值，若大于，则初判钓鱼网站获得一加权值； 判断WhoiS信息的网站所有人名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则该初判钓鱼网站获得一加权值； 通过反查IP，判断该IP名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若是，则该初判钓鱼网站获得一加权值； 判断该初判钓鱼网站是否通过ICP备案，若通过，则初判钓鱼网站获得一加权值； 判断该初判钓鱼网站获得的加权值总和是否大于加权值阈值，若是，则判断该初判钓鱼网站为可信任网站，若否，则进入步骤S30。
6.一种钓鱼网站去误报装置，其特征在于，包括: 白名单数据库，用于存储预设的统一资源定位符和可信任网站；钓鱼网站数据库，用于存储钓鱼网站； 获取模块，获取初判钓鱼网站的统一资源定位符、访问信息、Whois信息、IP信息、网站备案信息或ICP证书信息中的一种或多种信息； 判断模块，其包括第一判断模块、第二判断模块或第三判断模块中的一个或多个模块，其中， 该第一判断模块，用于判断统一资源定位符与白名单数据库中预设的统一资源定位符是否相同，若是，则判断初判钓鱼网站为可信任网站； 该第二判断模块，用于根据初判钓鱼的访问信息判断其是否满足访问广度条件，若是，则判断初判钓鱼网站为可信任网站； 该第三判断模块，用于判断初判钓鱼网站的whois信息、IP信息、网站备案信息的加权值总和是否大于预设的加权值阈值，若是，则判断初判钓鱼网站为可信任网站； 处理模块，用于把判断为可信任网站的初判存储至白名单数据库，把经过上述所有判断模块的判断，判断结果均为否的初判钓鱼网站存储至钓鱼网站数据库。
7.根据权利要求6所述的钓鱼网站去误报装置，其特征在于:所述白名单数据库包括误报统一资源定位符数据库和可信任统一资源定位符数据库，所述误报统一资源定位符数据库存储被误判的统一资源定位符，所述可信任统一资源定位符数据库存储企业上传或中国互联网络信息中心公布的可信任统一资源定位符。
8.根据权利要求6所述的钓鱼网站去误报装置，其特征在于:所述第三判断模块包括使用域名判断模块、所有人判断模块、IP判断模块、备案判断模块和加权判断模块，其中，该使用域名判断模块根据whois信息的域名注册时间判断域名使用时间是否大于预设的时间阈值，若大于，则初判钓鱼网站获得一加权值；该所有人判断模块用于判断whois信息的网站所有人名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则初判钓鱼网站获得一加权值；该IP判断模块用于通过反查IP，判断该IP名下的钓鱼网站占其名下网站的比例是否小于预设的比例阈值，若小于，则初判钓鱼网站获得一加权值；该备案判断模块用于判断初判钓鱼网站是否通过ICP备案，若通过，则初判钓鱼网站获得一加权值；该加权判断模块用于判断初判钓鱼网站获得的加权值总和是否大于加权值阈值，若是，则判断初判钓鱼网站为可信任网站。
9.根据权利要求6所述的钓鱼网站去误报装置，其特征在于:所述判断模块还包括ICP证书判断模块，其用于判断该初判钓鱼网站是否有ICP证书，若是，则判断该初判钓鱼网站为可信任网站。
【文档编号】H04L29/06GK103905372SQ201210568019
【公开日】2014年7月2日 申请日期:2012年12月24日 优先权日:2012年12月24日
【发明者】周勇, 陈思尧, 潘建波, 甘灿, 陈睿 申请人:珠海市君天电子科技有限公司, 北京金山安全软件有限公司, 贝壳网际（北京）安全技术有限公司, 北京金山网络科技有限公司