钓鱼网站检测方法、终端设备及存储介质与流程

本发明涉及信息安全技术领域，尤其涉及一种钓鱼网站检测方法、终端设备及存储介质。

背景技术：

钓鱼网站通常指不法分子利用各种手段，仿冒真实网站的统一资源定位符(Uniform Resoure Locator，URL)地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料的网站。

钓鱼网站链接地址一般通过即时通讯、电子邮件、手机短信和电话欺诈这4种形式传播，攻击方式主要包括两种类型：第一种类型是假冒中奖信息，该类型的钓鱼网站主要特征是以中奖为诱饵，欺骗用户汇款或者欺骗用户填写真实的身份信息和账号信息等；第二种类型是假冒知名电商和各大网上银行，通过制作虚假的支付网页，盗取用户的网银密码和支付密码，该类型的钓鱼攻击性质更为严重，会给用户造成很大的财产损失。

目前国内外的钓鱼网页检测方法主要分为：黑白名单技术、基于URL特征的检测方法、基于页面内容的启发式规则检测方法和基于页面视觉相似的检测方法，但这些方法分别存在不易于工程实现或检测效果不佳的问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

技术实现要素：

本发明的主要目的在于提供一种钓鱼网站检测方法、终端设备及存储介质，旨在解决现有技术中不易于工程实现或检测效果不佳的技术问题。

为实现上述目的，本发明提供一种钓鱼网站检测方法，所述钓鱼网站检测方法包括以下步骤：

在待检测网页中存在POST请求代码时，根据所述待检测网页中的POST请求代码确定对应的目标链接地址；

抓取与所述目标链接地址对应的目标网页；

获取所述目标网页的跳转链接地址；

在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站。

优选地，所述获取所述目标网页的跳转链接地址，具体包括：

确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址。

优选地，所述确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址，具体包括：

判断所述目标网页是否具有跳转代码；

在所述目标网页具有跳转代码时，根据所述跳转代码确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址；

在所述目标网页不具有跳转代码时，将所述目标链接地址作为所述跳转链接地址。

优选地，所述确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址之后，所述钓鱼网站检测方法还包括：

在所述目标链接地址和跳转链接地址的域名一致时，将当前验证次数加1，并判断所述当前验证次数是否达到预设验证次数；

在所述当前验证次数未达到预设验证次数时，将所述跳转链接地址作为新的目标链接地址，返回所述抓取与所述目标链接地址对应的目标网页的步骤；

在所述当前验证次数达到预设验证次数时，认定所述待检测网页不属于钓鱼网站。

优选地，所述在待检测网页中存在POST请求代码时，根据所述待检测网页中的POST请求代码确定对应的目标链接地址之前，所述钓鱼网站检测方法还包括：

响应于用户输入的网页触发请求，展示与所述网页触发请求对应的待检测网页。

优选地，所述响应于用户输入的网页触发请求，展示与所述网页触发请求对应的待检测网页，具体包括：

响应于用户输入的网页触发请求，根据所述网页触发请求确定对应的网页地址；

获取并展示与所述网页地址对应的待检测网页。

优选地，所述获取并展示与所述网页地址对应的待检测网页之前，所述钓鱼网站检测方法还包括：

对所述网页地址进行格式检测，在格式检测结果为格式合格后，执行所述获取并展示与所述网页地址对应的待检测网页的步骤。

优选地，所述认定所述待检测网页属于钓鱼网站之后，所述钓鱼网站检测方法还包括：

停止对所述待检测网页进行展示，并展示预设提示信息。

此外，为实现上述目的，本发明还提供一种终端设备，所述终端设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的钓鱼网站检测程序，所述钓鱼网站检测程序配置为实现如上所述的钓鱼网站检测方法的步骤。

此外，为实现上述目的，本发明还提供一种计算机可读存储介质，所述计算机可读存储介质上存储有钓鱼网站检测程序，所述钓鱼网站检测程序被处理器执行时实现如上所述的钓鱼网站检测方法的步骤。

本发明根据待检测网页中的POST请求代码确定对应的目标链接地址，抓取与所述目标链接地址对应的目标网页，获取所述目标网页的跳转链接地址，在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站，所耗费的计算资源和存储资源非常少，易于工程实现，并且检测效果出色，能够检测出绝大多数窃取用户信息的钓鱼网站。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的终端设备结构示意图；

图2为本发明钓鱼网站检测方法第一实施例的流程示意图；

图3为本发明钓鱼网站检测方法第二实施例的流程示意图；

图4为本发明钓鱼网站检测方法第二实施例的流程示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的终端设备的结构示意图。

如图1所示，该终端设备可以包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

在具体实现中，所述终端设备可为智能手机、平板电脑、笔记本电脑或服务器等设备，本实施例对此不加以限制。

本领域技术人员可以理解，图1中示出的结构并不构成对终端设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及钓鱼网站检测程序。

在图1所示的终端设备中，网络接口1004主要用于与外部网络进行数据通信；用户接口1003主要用于接收用户的输入指令；所述终端设备通过处理器1001调用存储器1005中存储的钓鱼网站检测程序，并执行以下操作：

在待检测网页中存在POST请求代码时，根据所述待检测网页中的POST请求代码确定对应的目标链接地址；

抓取与所述目标链接地址对应的目标网页；

获取所述目标网页的跳转链接地址；

在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

判断所述目标网页是否具有跳转代码；

在所述目标网页具有跳转代码时，根据所述跳转代码确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址；

在所述目标网页不具有跳转代码时，将所述目标链接地址作为所述跳转链接地址。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

在所述目标链接地址和跳转链接地址的域名一致时，将当前验证次数加1，并判断所述当前验证次数是否达到预设验证次数；

在所述当前验证次数未达到预设验证次数时，将所述跳转链接地址作为新的目标链接地址，返回所述抓取与所述目标链接地址对应的目标网页的步骤；

在所述当前验证次数达到预设验证次数时，认定所述待检测网页不属于钓鱼网站。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

响应于用户输入的网页触发请求，展示与所述网页触发请求对应的待检测网页。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

响应于用户输入的网页触发请求，根据所述网页触发请求确定对应的网页地址；

获取并展示与所述网页地址对应的待检测网页。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

对所述网页地址进行格式检测，在格式检测结果为格式合格后，执行所述获取并展示与所述网页地址对应的待检测网页的步骤。

进一步地，处理器1001可以调用存储器1005中存储的钓鱼网站检测程序，还执行以下操作：

停止对所述待检测网页进行展示，并展示预设提示信息。

本实施例通过上述方案，根据待检测网页中的POST请求代码确定对应的目标链接地址，抓取与所述目标链接地址对应的目标网页，获取所述目标网页的跳转链接地址，在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站，所耗费的计算资源和存储资源非常少，易于工程实现，并且检测效果出色，能够检测出绝大多数窃取用户信息的钓鱼网站。

基于上述硬件结构，提出本发明钓鱼网站检测方法实施例。

参照图2，图2为本发明钓鱼网站检测方法第一实施例的流程示意图。

在第一实施例中，所述钓鱼网站检测方法包括以下步骤：

S10：在待检测网页中存在POST请求代码时，根据所述待检测网页中的POST请求代码确定对应的目标链接地址；

需要说明的是，POST请求代码即为用于实现POST请求的程序代码，通常情况下，POST请求对应一个action属性，action属性指明了用户提交信息后通过调用目标链接地址来显示哪个网页，因此，可根据所述待检测网页中的POST请求代码确定对应的目标链接地址。

当然，链接地址通常为链接到网页的地址，其通常为URL地址。

可理解的是，所述待检测网页可以为用户所触发的网页，从而保证用户在进行上网时，防止被钓鱼网站盗取用户的信息，为解决该问题，本实施例中，步骤S10之前，可包括：响应于用户输入的网页触发请求，展示与所述网页触发请求对应的待检测网页。

在具体实现中，通常网页触发请求通常会基于网页地址生成，例如：用户的网页触发请求是基于用户在浏览器地址栏中所输入的网页地址所生成，也可以是基于用户在导航网页中触发某一对应有网页地址所生成，还可以是基于用户在点击邮件或文档中的某一网页地址所生成，故而，可先通过网页触发请求确定对应的网页地址，再获取并展示与所述网页地址对应的待检测网页。

由于所述网页地址可能存在格式不合格的情况，此时网页地址无法链接到对应的待检测网页，因此也就无需进行后续处理，故而，本实施例中，可在获取并展示与所述网页地址对应的待检测网页之前，先对所述网页地址进行格式检测，在格式检测结果为格式合格后，再执行所述获取并展示与所述网页地址对应的待检测网页的步骤。

S20：抓取与所述目标链接地址对应的目标网页；

需要说明的是，在获取所述目标链接地址后，可在后台抓取与所述链接地址对应的目标网页，由于抓取过程是在后台实现，因此，所述目标网页不会进行展示。

S30：获取所述目标网页的跳转链接地址；

可理解的是，所述跳转链接地址即为所述目标网页在跳转时所跳转到的链接地址。

S40：在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站。

需要说明的是，钓鱼网站在用户提交了信息之后为了避免用户察觉，都会调转到正常页面。比如一个仿冒京东的钓鱼网站，在获取用户的账号密码后会将网页跳转到京东的页面上去。因此，本实施例中可以通过判断目标链接地址和跳转链接地址的域名是否一致来进行判断。

可理解的是，在认定所述待检测网页属于钓鱼网站后，为防止用户信息被钓鱼网站盗取，本实施例中，可停止对所述待检测网页进行展示，并展示预设提示信息。

现有技术中的黑白名单技术是指持续维护一个钓鱼网站URL黑名单列表或者是合法网站URL白名单列表，检测时直接通过在名单列表中查找待测URL来给出判定结果。尽管使用黑白名单需要的资源少、检测速度快，但由于大多数钓鱼网站的生存时间很短，因此基于黑名单的过滤方式无法应对zero-hour钓鱼攻击，此外人工维护黑白名单的过程很繁琐、名单更新缓慢、不全面等问题，都将导致单纯使用基于黑白名单的检测效果不佳。

而本实施例无需维护和更新黑白名单，避免了黑白名单存在的名单更新缓慢、不全面的问题，并且可以检测出zero-hour钓鱼攻击，避免了黑白名单检测钓鱼网站的滞后性的缺点。

现有技术中的URL特征的检测方法是指从URL地址中提取出异常特征来判定待测网址是否属于钓鱼网站。但随着钓鱼攻击技术的发展，目前的钓鱼网站都采取了一定的对抗技术，因此从URL地址特征来判定钓鱼网站会导致误报率较。

而本实施例以检测网页跳转前后的域名是否一直进行检测，因此可以免疫目前的一些对抗技术。

现有技术中的基于页面内容的启发式规则检测方法是从页面内容提取到的特征来检测待测网址是否属于钓鱼网站。基于页面内容的检测是目前相关研究者采用较多的方法，但该类方法依赖于训练集的多样性，而钓鱼网站具有时效性，随着检测技术的进步钓鱼网站也一直在进化，因此该方法具有一定的时效性。

而本实施例不需要数据进行训练，因此可以避免训练集质量不高对一些基于特征提取的方法的性能的影响。

现有技术中的基于页面视觉相似的检测方法主要根据待测网页与目标网页的视觉相似性来判定，当页面相似而域名不同时待测网址被认为是钓鱼网站。但是基于页面视觉相似的检测方法需要获取黑白名单中网页的快照，需要较大的计算和存储资源，此外主要是针对页面视觉很相似的钓鱼网站进行检测，但在真实的网络钓鱼事件中，越来越多的钓鱼网站在视觉上与其对应的目标网站并不十分相似。

而本实施例不需要存储白名单数据，因此不需要浪费存储资源，并且实际检验后可知，本实施例的方案的误报率低于1％，对于用户信息窃取的钓鱼网站，基本可以全部召回。

本实施例根据待检测网页中的POST请求代码确定对应的目标链接地址，抓取与所述目标链接地址对应的目标网页，获取所述目标网页的跳转链接地址，在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站，所耗费的计算资源和存储资源非常少，易于工程实现，并且检测效果出色，能够检测出绝大多数窃取用户信息的钓鱼网站。

进一步地，如图3所示，基于第一实施例提出本发明钓鱼网站检测方法第二实施例，在本实施例中，步骤S30具体包括：

S30’：确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址。

需要说明的是，通常跳转类型可分为四种，分别为：

(1)在服务器端使用sendRedirect进行跳转；

执行response.sendRedirect("some url")；语句后服务器会发送一个没有body的http response。终端设备接到该response后会自动读取Location的信息，并向指向的URL发出请求，此时，可以在地址栏获取some url。比如，钓鱼网站获取用户信息之后，通过url:http://mlhc.org/vnz/za/submit.php会调转到正常的网站：www.westpac.co.nz。

(2)在服务器端使用jsp或RequestDispatcher进行跳转；

在服务器内部把请求转发给另一个资源，处理后把结果返回给终端设备，该操作对终端设备透明，因此地址栏的URL不会发生变化；当然，通常钓鱼网站一般不会采用这种方式，因为这种方式不会改变url，因此很容易被人发现是钓鱼。

(3)在浏览器端使用Javascript进行重定向；

通过代码window.location＝"Some URL"由终端设备的浏览器进行重定向的。浏览器在执行该代码时将地址栏的URL改变，以指向新的URL。例如url＝http://www.newingtongunners.org.au/pngfix/login-alibaba-com/logon.check.p hp的钓鱼网站使用该方式进行跳转。最后会跳转到alibaba的网页上。

(4)在浏览器端使用html标签进行重定向；

通过代码http-equiv＝"refresh"进行实现；当终端设备的浏览器已经成功得到所请求的页面时，浏览器解析代码meta http-equiv＝"refresh"后将地址栏的URL改变，以指向新的URL。比如钓鱼网站为：http://www.loankeedukan.com/trey/office_365/Update％20in％20progress.html；在使用该方式跳转后，会跳转到bay173.mail.live.com的网站上去。

根据上述说明可知，由于通过不同跳转类型获取目标网页的跳转链接地址的方式不同，故而，本实施例中需要先确定所述目标网页所属的跳转类型，再根据所述跳转类型获取所述目标网页的跳转链接地址。

可理解的是，由于所述目标网页中可能不存在跳转代码，也就是说不会再进行跳转，因此，本实施例中，可先判断所述目标网页是否具有跳转代码；

在所述目标网页具有跳转代码时，根据所述跳转代码确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址；

在所述目标网页不具有跳转代码时，将所述目标链接地址作为所述跳转链接地址。

进一步地，如图4所示，基于第二实施例提出本发明钓鱼网站检测方法第三实施例，在本实施例中，步骤S30’之后，所述方法还包括：

S50：在所述目标链接地址和跳转链接地址的域名一致时，将当前验证次数加1，并判断所述当前验证次数是否达到预设验证次数；

S60：在所述当前验证次数未达到预设验证次数时，将所述跳转链接地址作为新的目标链接地址，返回步骤S20；

S70：在所述当前验证次数达到预设验证次数时，认定所述待检测网页不属于钓鱼网站。

可理解的是，由于有的网页可能会存在多次跳转的情况，例如：目标网页为会员注册网页，目标网页中需要先填入用户的个人身份信息，再跳转到账号设置页面，然后再跳转到密码设置页面，接着跳转到激活码输入页面，最后跳转到注册成功通知页面；又或是，仿冒银行的钓鱼网站可能会诱导用户输入个人信息，而这些信息一般需要分多次进行填写。

在这种情况下，假设目标链接地址和跳转链接地址即使域名一致，也可能是由于钓鱼网站还未跳转到正常网站而已，为准确地检测钓鱼网站，本实施例中，可在所述目标链接地址和跳转链接地址的域名一致时，将当前验证次数加1，并判断所述当前验证次数是否达到预设验证次数。

在具体实现中，所述预设验证次数可根据需要进行设置，例如：设置为2、3、4等数值，通常网站未避免用户体验太差，通常会将跳转的次数设置在5次以下，因此，本实施例中，可将所述预设验证次数设置为5。

此外，本发明实施例还提出一种计算机可读存储介质，所述计算机可读存储介质上存储有钓鱼网站检测程序，所述钓鱼网站检测程序被处理器执行时实现如下操作：

在待检测网页中存在POST请求代码时，根据所述待检测网页中的POST请求代码确定对应的目标链接地址；

抓取与所述目标链接地址对应的目标网页；

获取所述目标网页的跳转链接地址；

在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

判断所述目标网页是否具有跳转代码；

在所述目标网页具有跳转代码时，根据所述跳转代码确定所述目标网页所属的跳转类型，根据所述跳转类型获取所述目标网页的跳转链接地址；

在所述目标网页不具有跳转代码时，将所述目标链接地址作为所述跳转链接地址。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

在所述目标链接地址和跳转链接地址的域名一致时，将当前验证次数加1，并判断所述当前验证次数是否达到预设验证次数；

在所述当前验证次数未达到预设验证次数时，将所述跳转链接地址作为新的目标链接地址，返回所述抓取与所述目标链接地址对应的目标网页的步骤；

在所述当前验证次数达到预设验证次数时，认定所述待检测网页不属于钓鱼网站。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

响应于用户输入的网页触发请求，展示与所述网页触发请求对应的待检测网页。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

响应于用户输入的网页触发请求，根据所述网页触发请求确定对应的网页地址；

获取并展示与所述网页地址对应的待检测网页。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

对所述网页地址进行格式检测，在格式检测结果为格式合格后，执行所述获取并展示与所述网页地址对应的待检测网页的步骤。

进一步地，所述钓鱼网站检测程序被处理器执行时还实现如下操作：

停止对所述待检测网页进行展示，并展示预设提示信息。

本实施例通过上述方案，根据待检测网页中的POST请求代码确定对应的目标链接地址，抓取与所述目标链接地址对应的目标网页，获取所述目标网页的跳转链接地址，在所述目标链接地址和跳转链接地址的域名不一致时，认定所述待检测网页属于钓鱼网站，所耗费的计算资源和存储资源非常少，易于工程实现，并且检测效果出色，能够检测出绝大多数窃取用户信息的钓鱼网站。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。