[发明专利]钓鱼网页检测方法及设备

说明书

技术领域

本发明实施例涉及网络技术，尤其涉及一种钓鱼网页检测方法及设备。

背景技术

钓鱼网站举报机制是防护钓鱼网站攻击的一种基础性解决方法。反钓鱼组织鼓励终端用户提交发现的phishing(钓鱼)信息，phishing信息包括统一资源定位符(Uniform Resource Locator，简称URL)，邮件内容等，然后将收集到的phishing信息进行甄别处理组织成知识库，例如URL列表方式、单向哈希(Hash)值方式等。将知识库部署在各类安全设备或客户端软件中，上述设备监测到知识库存在当前访问的网页时对该网页拦截和过滤，防止钓鱼网页的攻击，

目前，通用的方法是将Phishing检测模块集成到客户端软件中，当用户通过浏览器访问网页时，Phishing检测模块依据本地或者远程数据查询结果计算出该网页的可疑度，当可疑度较高时，向用户发出告警信息。远程Anti-Phishing服务器向众多客户端Phishing检测模块提供数据更新、查询、过滤等功能。Phishing检测模块的监测依据主要包括：已知phishing的URL列表，Phishing的IP列表，信任域名列表，phishing关键词、phishing网页通用特征等。phishing网页通用特征包括：拥有超文本置标语言(HyperText Markup Language，HTML)输入标签，有符合社会保险号码的数据，显示的URL和真实URL不一致等，

由于，钓鱼网页的URL、IP和域名经常变化，有许多正常网页也包括phishing关键词。因此，通过上述方法检测钓鱼网页时，不仅对钓鱼网页的识别率较低，而且对正常网页的误判率也较高、因而，现有钓鱼网页检测方法的检测准确率较低。

发明内容

本发明实施例提供一种钓鱼网页检测方法及设备，用以提高钓鱼网站的检测准确率。

本发明实施例提供一种钓鱼网页检测方法，包括：

判断信任域名库中是否存在待检测网页对应的唯一域名；

在所述信任域名库中不存在所述唯一域名时，分别确定从所述待检测网页中提取的内容特征与模板文件库的各模板文件中内容特征的相似度；所述内容特征至少包括：编码格式、文档对象模型、词汇和词汇数量；

在从所述待检测网页中提取的内容特征，至少与一个所述模板文件中内容特征的相似度大于预设的相似阈值时，确定所述待检测网页为钓鱼网页。

本发明实施例提供一种钓鱼网页检测设备，包括：

信任域名库，用于保存受信任网页对应的唯一域名；

模板文件库，用于保存多个模板文件，所述模板文件包括从网页中提取的内容特征；所述内容特征至少包括：网页的编码格式、文档对象模型、词汇和词汇数量；

域名确定模块，用于判断信任域名库中是否存在待检测网页对应的唯一域名；

内容提取模块，用于在所述信任域名库中不存在所述唯一域名时，从所述待检测网页中提取的内容特征；

相似度确定模块，用于分别确定从所述待检测网页中提取的内容特征与所述模板文件库的各模板文件中内容特征的相似度；

钓鱼网页确定模块，用于在从所述待检测网页中提取的内容特征，至少与一个所述模板文件中内容特征的相似度大于预设的相似阈值时，确定所述待检测网页为钓鱼网页。

本发明实施例，确定待检测网页的唯一域名不是信任域名后，通过待检测网页的内容特征确定与模板文件库中各模板文件的相似度，如编码格式、文档对象模型、词汇和词汇数量等内容特征与模板文件库中各模板文件中内容特征的相似度，确定该待检测网页是否为钓鱼网页。因此本发明通过内容特征确定网页是否钓鱼网页，可提高钓鱼网页检测结果的准确性。另外，由于本发明通过不断更新的信任域名库先确定待检测网页是否为受信任的网页，从而减少了将品牌网页误判为钓鱼网页的几率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的钓鱼网页检测方法实施例一流程图；

图2为本发明提供的钓鱼网页检测方法实施例二流程图；

图3为本发明提供的钓鱼网页检测方法实施例三流程图；

图4A为本发明提供的钓鱼网页检测设备实施例一结构示意图；

图4B为本发明提供的钓鱼网页检测设备一种应用场景示意图；

图4C为本发明提供的钓鱼网页检测设备另一种应用场景示意图；