本发明涉及计算机网络安全领域,尤其是涉及一种基于行为特征检测钓鱼网站的方法。
背景技术:
随着互联网普及程度的不断提高和电子商务的飞速发展,用户账户安全上升到了前所未有的重要地位。尽管防毒、防入侵应用软件已颇具规模,但是仍有一群不法分子利用各种巧妙手段非法获取用户信息和账户密码,而钓鱼网站就是近年来上升势头最猛的一种。
现有技术中对钓鱼网站的检测方法中有直接对未知网站进行判断是否为钓鱼网站,此方法具有盲目性、工作量大。还有提取未知网站的页面内容、域名注册信息、网站备案信息等其具有的属性及对应的属性值与钓鱼网站对应的属性及属性值进行比对,此种方法效率低,误报率高。
技术实现要素:
本发明所要解决的技术问题是提供一种基于行为特征检测钓鱼网站的方法,通过建立钓鱼网站样本的行为特征库及提取待检测网站的行为特征,基于行为特征对钓鱼网站自动化识别。
本发明解决其技术问题是采用以下技术方案来实现的。
本发明公开一种基于行为特征检测钓鱼网站的方法,包括以下步骤:S1:获取钓鱼网站样本;S2:建立钓鱼网站样本的行为特征库并提取待检测网站的行为特征;以及S3:基于行为特征自动化识别钓鱼网站。
本发明解决其技术问题还可采用以下技术措施进一步实现。
上述的基于行为特征检测钓鱼网站的方法,其特征在于,步骤S1还包括,S11:从钓鱼网站样本中提取网站标题、网站页面内容、域名注册信息和网站备案信息内容值作为属性,相应的值作为属性值;S12:依据步骤S11提取待检测网站的属性及其对应的属性值。
上述的基于行为特征检测钓鱼网站的方法,步骤S2还包括:S21:提取钓鱼网站样本的行为特征中行为及其对应的行为值作为行为特征库,行为特征包括可交互、有规律及可执行的行为和其对应的行为值;以及S22:依据步骤S21提取待检测网站的行为特征中的行为及其对应的行为值。
上述的基于行为特征检测钓鱼网站的方法,步骤S21中所述行为包括窃密行为、克隆行为、非法引用行为、恶意攻击行为,上述行为对应的行为值依次为html源代码中与用户交互的表单变量名称、有次序有规律的属性集合值、html中的外域链接、html中的可执行脚本。
上述的基于行为特征检测钓鱼网站的方法,步骤S3中将待检测网站行为特征的行为及其对应的行为值与钓鱼网站样本对应的行为及行为值进行比对,任一行为对应的行为值完全一致,经过白名单过滤后则为钓鱼网站。
本发明与现有技术相比具有明显的优点和有益效果。借由上述技术方案,本发明一种基于行为特征检测钓鱼网站的方法可达到相当的技术进步性及实用性,并具有产业上的广泛利用价值,其至少具有下列优点:
1、本发明建立钓鱼网站样本的行为特征库并提取待检测网站的行为特征。待检测网站的行为特征的行为及其对应的行为值分别和钓鱼网站样本的行为特征库里的对应的行为及其对应的行为值进行比对。静态特征与行为特征是我们归纳和总结的关于钓鱼网站的两大类重要特征。将这两类特征分开比对,能更好的提高监测效率,并有效减少误报率。
2、本发明采用的行为特征包括可交互、有规律并可执行的行为和其对应的行为值。包括但不限于窃密行为、克隆行为、非法引用行为、恶意攻击行为。这几种行为特征的使用,使得钓鱼网站的判断更高效,更准确。
上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其他目的、特征和优点能够更明显易懂,以下特举较佳实施例,并配合附图,详细说明如下。
附图说明
图1为本发明步骤框图示意图。
具体实施方式
为更进一步阐述本发明为达成预定发明目的所采取的技术手段及功效,以下结合附图及较佳实施例,对依据本发明提出的一种基于行为特征检测钓鱼网站的方法其具体实施方式、特征及其功效,详细说明如后。
请参阅图1,本发明一种基于行为特征检测钓鱼网站的方法包括如下步骤:
S1:获取钓鱼网站样本。
钓鱼网站样本主要通过用户举报,举报的渠道有邮箱、电话、各种平台,获取已知钓鱼网站。
S11:从钓鱼网站样本中提取网站标题、网站页面内容、域名注册信息和网站备案信息,包括但不限于网站图片、链接、文字、标题、脚本、注册人、注册邮箱、注册电话、注册机构、注册商、注册时间、ISP备案号等内容值作为属性,相应的值作为属性值。
其中网站图片、链接、文字、标题、脚本、ISP备案号等属性对应的属性值可通过现有已知的网站页面HTML内容分析技术获取。其中注册人、注册邮箱、注册电话、注册机构、注册商、注册时间等属性对应的属性值可通过查询whois信息或者中国站长等第三方网站获取。
S12:依据步骤S11提取待检测网站的属性及其对应的属性值。
S2:建立钓鱼网站样本的行为特征库并提取待检测网站的行为特征。
S21:提取钓鱼网站样本的行为特征中行为及其对应的行为值作为行为特征库,行为特征包括可交互、有规律可执行的行为和其对应的行为值。
如某一钓鱼网站http://086hah.cc/wvp.asp。网站页面中包括用户交互内容,信用卡卡号、查询密码、身份证号的输入项等用于窃取用户的银行卡信息称为窃密行为。同时该网站页面依次使用了中国移动掌上营业厅的LOGO图片,以及首页、充值、ICP备案号等具有规律顺序及位置的属性,定义为克隆行为。经过分析发现该LOGO图片的资源链接来自于官方网站,将此行为定义为非法引用行为。同时如果页面中含有可执行脚本,则将该脚本定义为恶意攻击行为。
对于行为特征库的形成包括但不限于以下一种或其组合的行为特征的行为和其对应的行为值的提取。其中行为包括但不限于窃密行为、克隆行为、非法引用行为、恶意攻击行为。
对于窃密行为,通过分析对应的html源代码,定位到描述该窃密行为的与用户交互的表单变量名称作为行为值,即变量集合及该变量集合的赋值,形成一条窃密行为特征。
对于克隆行为,通过提取LOGO图片,导航栏对应的文字内容,ICP备案号,形成有次序,有规律的属性集合值作为行为值,形成一条克隆行为特征。
对于非法引用行为,通过分析收集钓鱼网站样本html中的外域链接作为行为值,形成非法引用行为特征库。
对于恶意攻击行为,通过分析收集钓鱼网站样本html中的可执行脚本作为行为值,形成恶意攻击行为特征库。
S22:依据上述提取钓鱼网站样本的行为特征的方法提取待检测网站的行为特征中的行为及其对应的行为值。
S3:基于行为特征自动化识别钓鱼网站。
将待检测网站行为特征的行为及其对应的行为值与钓鱼网站样本对应的行为及行为值进行比对,任一行为对应的行为值完全一致,该待检测网站经过白名单过滤后判断为钓鱼网站。
在一实施例中,一个待检测网站具有两个行为特征分别为是窃密行为特征、克隆行为特征。将其中之一的行为值与钓鱼网站行为特征库中对应的行为值顺次比对,如全部一致则认为该可疑钓鱼网站为钓鱼网站。
在一实施例中,克隆行为的行为值是有次序、有规律的属性集合值,如LOGO图片、导航栏对应的文字内容、ICP备案号,比对时需按照行为特征库中该行为值的规律各属性值对应次序比对,如其中一个属性值不一致则认为比对失败;如全部属性值一致则认为比对成功。