[发明专利]一种应用于检测黑客服务器的检测方法、装置及系统

说明书

技术领域

本发明实施例涉及移动通信技术领域，特别是涉及一种应用于检测黑客 服务器的检测方法、装置和系统。

背景技术

随着因特网的迅速发展，网络已经深入到人们日常生活的各个方面， 同时也为人们的生活带来了更多的便捷。特别是网上银行的出现，使得人 们的网上购物，网上交易等金融行为变得更加的快捷。但随之而来的是， 用户的网上银行和其他金融机构的帐号和密码等敏感信息成为网络黑客 的众矢之的。一般用户通过网上银行进行网上交易或者银行转账的时候， 先在银行或者金融网站上输入自己的帐号和密码，然后才进行正常的交 易。通常情况下，用户的帐号和密码是以表单的形式提交给服务器。表单 是客户端用户以标准格式向服务器端提交数据的一种方式，在HTML(Hyper  Text Mark-up Language，超文本标记语言)语言中，表单是以 <form...action＝...>标签形式表现，表单中的action属性设置了表单数据 要发送的目标页的URL(Uniform Resource Locator，统一资源定位符)。 而网络黑客通常通过伪造银行或金融的官方网站，并修改表单中的action 属性的方式(即网络钓鱼)使用户无法得知当前操作的银行或金融的网站 是否为真正的银行或金融的网站，从而窃取用户的帐号和密码。

为了反对网络黑客的网络钓鱼行为，通常利用邮件提醒用户防范网络 钓鱼，并且如果发现钓鱼网站，进行举报。通过这种方式搜集钓鱼网站的 URL，从而建立钓鱼网站的黑名单数据库。当用户请求URL时，通过检测 用户所请求的URL，和已有的钓鱼网站的黑名单数据库中的URL进行比对， 如果存在，则判定为钓鱼网站，否则认为是安全的网站。

在实现本发明实施例过程中，发明人发现现有技术中至少存在如下问 题：由于黑名单数据库的建立主要来源于用户的举报，实时性和完备性都 不好；同时，由于钓鱼网站一般的存活时间很短暂，而且每天都会出现几 百个新的钓鱼网站，因此判断是否为钓鱼网站的准确性是无法保障的。

发明内容

本发明目的在于提供一种应用于检测黑客服务器的检测方法、装置及 系统，能够准确的识别出应答数据包是否为黑客服务器，从而保证用户终 端网上交易的安全性。

根据本发明的一方面，提供一种应用于检测黑客服务器的检测方法， 包括：

获取应答数据包以组装成数据流；

提取所述数据流中的特征字段，所述数据流中的特征字段包括：标题、 表单名、表单目标页；

判断所提取的数据流的特征字段的标题是否存储于数据库中；

当所提取的数据流的特征字段的标题存储于数据库中时，若所述数据 流中的所述标题对应的表单名与所述数据库存储的所述标题对应的表单 名不一致，则判断所述数据流对应的应答数据包为黑客服务器发送的应答数 据包，所述数据库中存储的特征字段为非黑客服务器的网页的特征字段；

当所提取的数据流的特征字段的标题没有存储于数据库中时，则提醒 所述用户终端所述数据流的特征字段没有存储于所述数据库，并提醒所述 用户终端是否将所述数据流的特征字段存储于所述数据库；

若判断为黑客服务器发送的应答数据包，则中断与所述黑客服务器的连 接。

根据本发明的另一方面，提供一种应用于检测黑客服务器的检测装置， 包括：

组装模块，用于将接收的应答数据包组装成数据流；

提取模块，用于提取所述数据流中的特征字段，所述数据流中的特征字 段包括：标题、表单名、表单目标页；

判断模块，用于判断所提取的数据流的特征字段的标题是否存储于数据 库中，当所提取的数据流的特征字段的标题存储于数据库中时，若所述数 据流中的所述标题对应的表单名与所述数据库存储的所述标题对应的表 单名不一致，则判断所述数据流对应的应答数据包为黑客服务器发送的应答 数据包，所述数据库中存储的特征字段为非黑客服务器的网页的特征字段；

管理模块，用于当判断为黑客服务器发送的应答数据包时，中断用户终 端与所述黑客服务器的连接；

所述判断模块还用于当所述标题没有存储于所述数据库时，通知管理 模块提醒所述用户终端所述数据流的特征字段没有存储于所述数据库，并 提醒所述用户终端是否将所述数据流的特征字段存储于所述数据库。