[发明专利]一种钓鱼网站检测方法

说明书

所属技术领域

本发明属于计算机网络安全技术领域，具体涉及一种钓鱼网站检测方法。

背景技术

网络钓鱼是一种企图从电子通信中，通过伪装成信誉卓著的法人媒体以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。一个典型的网络钓鱼攻击是发送声称来自于某银行欺骗性垃圾邮件，引诱收信人点击到一个伪装成这个银行的网页，让用户输入如用户名、口令、银行账号或信用卡密码等个人信息。

自从钓鱼攻击出现以来，近年来钓鱼攻击的数量持续迅速增加，范围不断迅速增广，种类层出不穷，引起危害的迅速扩大。钓鱼网站(phishing site)已经成为威胁互联网安全和窃取用户隐私信息的重要因素，钓鱼网站的检测问题引起了越来越多的重视，成为了一个越来越迫切的问题。

现有的钓鱼网站检测方法主要有两种，一种是基于黑名单、白名单形式的钓鱼网站检测方式，另一种是基于网站特征的启发式检测方式。基于白名单、黑名单的检测方式主要是要维护一个已经出现的钓鱼网站的黑名单和确定是正常网址的白名单。每次要访问某个网址的时候，通过比对名单上的网址，可以知道这个网址的可疑程度。这种方法的缺点在于攻击者可以通过构造网页内容一样，但是却是新的不在黑名单上的网址来绕过检测。基于网站特征的启发式检测是主要基于页面特征、URL特征等自身特征进行机器学习，从而得到检测钓鱼邮件的系统。但是攻击者很容易通过改变钓鱼网页的特征来绕过这种检测。

以上两种方法都没有引入信用机制抵抗攻击者的恶意攻击。另外，其他一些重要的钓鱼网站检测方法也存在各种各样的缺陷。

Anthony Y.Fu等(Detecting phishing web pages with visual similarity assessment based on earth mover′s distance；Anthony Y.Fu，Liu Wenyin，Xiaotie Deng；IEEE TRANSACTIONS ON DEPENDABLEAND SECURE COMPUTING；2006)提出基于视觉相似度检测钓鱼网页的方法-EMD(earth move distance)Anti-phishing方法。这个方法将web页面转换为图片，并生成签名图片。然后，利用线性规划的EMD算法从像素级别比较两个签名图片的相似度。它与基于页面特征的方法一样，没有引入信用抵抗机制，容易被攻击者通过改变页面特征的方法来绕过。

CANTINA(Carnegie Mellon Anti-phishing and Network Analysis Tool)方法(Cantina：a content-based approach to detecting phishing web sites；Y.Zhang，J.I.Hong，and L.F Cranor；Proc.WWW，2007，pp.639-648；2007)是对某个待检测的网站U，利用TF-IDF(term frequency-inverse document frequency)算法(Term frequency-Inverse document frequency implementation in C#；Dao，T.；The Code Project-C#Programming Visited；Nov 20，2006)进行特征提取，然后将这些特征作为关键词通过google搜索出前N个结果，看这前N个结果是否含有U的网址。如果不含，说明U是仿冒的其他网站，疑似为钓鱼网站。CANTINA没有运用到网页间互相关联的思想，没有建立信用机制。如果某个流行网站不负责任地链接到待测嫌疑网站，CANTINA很可能不负责任地把待测嫌疑网站判断为可信网站。但是攻击者可以伪造流行网站到钓鱼网站的链接，从而造成CANTINA对钓鱼网站的漏报。所以CANTINA这种方法仍然涉及到利用网页的特征，与基于网页特征的检测方法一样，没有引入本文所述的信用抵抗机制，它容易被攻击者以改变网页内容和特征的方式绕过，从而容易导致高漏报率。