[发明专利]一种基于网页关联性的钓鱼检测方法

说明书

技术领域

本发明涉及一种钓鱼网页检测的方法，主要从网页之间的关联性角度对钓鱼网页进行匹配和识别，属于信息安全领域。

背景技术

“钓鱼网站”是随着网络普及和在线交易增加而变得异常猖獗的网络诈骗行为。“钓鱼网站”是犯罪分子做出的诈骗网站，“钓鱼网站”通常与银行网站或其他知名网站几乎完全相同，从而引诱网站使用者在“钓鱼网站”上提交出敏感信息(如：用户名、口令、帐号ID、ATM、PIN码或信用卡详细信息等)[Zhang2007]。

图1是钓鱼网站的体系结构[Cao2009]。最典型的网络钓鱼攻击过程如下：首先将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，然后获取用户在该钓鱼网站上输入的个人敏感信息，例如银行帐号、银行密码等。通常这个攻击过程不会让受害者警觉。这些个人信息对钓鱼网站持有者具有非常大的吸引力，通过使用窃取到的个人信息，他们可以假冒受害者进行欺诈性金融交易，获得极大的经济利益，而受害者们却因此而遭受到巨大的经济损失，非但如此，被窃取的个人信息还可能被用于其他非法活动。如何识别钓鱼网站，如何保证网站信息传输的保密完整性，愈发的显示出其重要性和必要性。

当前钓鱼网站识别主要靠计算机自动识别和人工识别两种方式，人工识别采用黑名单机制，用户对某个网站进行举报，通过人工鉴定是否为钓鱼网站，这样显然速度太慢。计算机自动识别目前主要是基于页面视觉相似性检测方式判断是否为钓鱼网站，电脑通过抽取网页的视觉、文字特征与大多数主要的合法网站页面进行相似度对比或进行机器学习，从而判断是否为钓鱼网站。

大多数用户会受骗，很多时候是由于钓鱼网页总是与真实网页有高度的相似性。计算相似性的方法很多，文献[Liu2005]、[Fu2006]、[Chen2009]、[Afroz2009]。

正如[Dhamija2006]、[Jackson2007]、[Afroz2009]中提到的，由于人们一般都比较注重自己浏览网页的主要目的，进而忽视了安全性问题的提示，并且视觉欺骗率很高。由此人们想到从视觉角度来检测，基于视觉的检测分为基于HMTL文本的检测、基于布局[Liu2005]、[Afroz2009]的检测和基于图像[Chen2009]的检测。由于HMTL语言的灵活性和网页元素的动态性及丰富性，仿冒者可以轻易地做出视觉上一样但是HMTL结构不同的网页，这样，基于HMTL的匹配将会失效。基于布局特征和图像特征的网页相似检测方法根据人的视觉原理，对网页的相似性进行计算，是一种通用的检测方法，如2006年Fu等人提出了一种基于像素的EMD距离的匹配算法[Fu2006]，这种算法是在像素水平上从视觉的相似性角度来察觉钓鱼网页的。从实验结果可以看出：效果要明显好于基于HTML内容的检测，但也有其局限性，该算法只考虑了网页图像中的颜色及其分布特点，没有考虑网页中不同部分之间的位置关系。根据格斯塔视觉原理，相对位置在人的视觉中占主要地位，特别是多个形体间的相对位置关系，相对位置关系的变化必然导致视觉上的区别，而该算法由于没有考虑相对位置因素可能导致相似检测的失效，所以这种方法只能检测出与真实网页在视觉上有相似性的网页。[Cao2009]在Fu的基础上解决了相对位置的问题，首先对网页进行分块，然后再用EMD算法计算相似度。

前面也说过钓鱼者为了取得用户的信任，他们通常会模仿合法网站来构建钓鱼网站，所以一个钓鱼网站跟它的目标网站是有很好关联的。根据格式塔理论，我们可以认为网页是一个不可分割的整体[Dong2010]。我们简化复杂信息，获取主要信息，对一系列的问题进行整合。基于这种两种思想，我们结合网页之间的关联性和网页的整体性，可以有效地判断是否为钓鱼网页。

[Zhang2007]Y.Zhang，J.Hong，and L.Cranor.Cantina：A content-basedapproach to detecting phishing websites.WWW，2007.

[Fu2006]Anthony Y.Fu，Wenyin Liu，Xiaotie Deng.Detecting Phishing Web Pageswith Visual Similarity Assessment based on Earth Mover’s Distance(EMD).IEEE Transactions on Dependable and Secure Computing，2006，3(4)，pages301-311.