[发明专利]一种钓鱼网页聚类方法和装置

说明书

技术领域

本发明涉及信息安全领域，具体涉及一种钓鱼网页聚类方法和装置。

背景技术

钓鱼网页通常是指伪装成银行网页或者电子商务网页，主要危害是窃取用户提交的银行帐号、密码等私密信息。所谓“钓鱼网页”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL（网页地址）以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML（超文本标记语言）代码，以此来骗取用户银行或信用卡账号、密码等私人资料。对钓鱼网页进行聚类是指将用于“钓鱼”的网页聚到一起，以便作为检测钓鱼网页的比较标准。

现有技术中对钓鱼网页进行聚类的方法较多，传统钓鱼网页聚类方法包括：首先确定一个标准时间段，如一个自然日，其次，预先设定一个门限值，并获取任意一个站或者域内的钓鱼网页被检出的数量，再次，判断该得到的数量是否超出预设的门限值，并将超出门限值的钓鱼网页被检出的数量所对应的整站或者整域标记为钓鱼网页。

但是，由于现有技术的钓鱼网页聚类方法只会聚类到站或者域，对于善于使用二级域名的次级域名作案的钓鱼犯罪者，现有技术的聚类方法存在两个弊端：

第一、当钓鱼犯罪者使用二级域名的次级域名进行作案时，现有技术会将整个二级域标识为钓鱼网页，这可能会导致该二级域名下的部分未用于作案的次级域名误报，如在二级域名cn.ms下被检测出大量钓鱼网页，如果使用现有的钓鱼网页聚类方法可能会把cn.ms整域标识为钓鱼网页。但是除了钓鱼犯罪者申请的用于作案的次级域名(如a.cn.ms)之外，可能在二级域名cn.ms下的其他未用于“钓鱼”的次级域名(如b.cn.ms)会被误报为钓鱼网页，所以，现有技术的聚类方法存在误报率高的缺点。

第二、当钓鱼犯罪者使用二级域名的次级域名进行作案时，通常会使用“泛域名解析”的技术。举例说明，b.a.cn.ms、c.a.cn.ms、d.e.a.cn.ms均为a.cn.ms的次级域名，如果使用现有技术的钓鱼网页聚类方法通常会把b.a.cn.ms、c.a.cn.ms、d.e.a.cn.ms这三个子站全部标识为钓鱼网页，但由于钓鱼犯罪者使用了“泛解析技术”，所以会在极短时间内自动生成大量*.a.cn.ms，即a.cn.ms的次级域名，可见，现有技术的整站或者整域的聚类方法并没有从源头上彻底制止钓鱼网页的传播。

发明内容

为了解决钓鱼犯罪者使用二级域名的次级域名作案时，现有技术的聚类方法产生的两个弊端，本发明提供了一种钓鱼网页聚类方法和装置，能够降低钓鱼网页的误报率，同时从源头彻底的制止钓鱼网页的传播。

本发明提供了一种钓鱼网页聚类方法，所述方法包括：

接收任一钓鱼网址；

获取所述钓鱼网址的域名；

在预设的域名表中获取所述域名对应的域名类型；

根据所述域名类型，实现钓鱼网页聚类。

优选地，所述根据所述域名类型，实现钓鱼网页聚类，包括：

判断所述域名类型是否为二级域名，如果是，则获取所述域名的次级域；

当预设的聚类信息库中不包括所述次级域时，将所述次级域的计数结果增加1后，得到所述次级域的计数结果；

判断所述次级域的计数结果是否满足聚类条件，如果是，则将所述域名的次级域聚类到所述聚类信息库。

优选地，所述方法还包括：

当所述域名类型不是二级域名时，将所述域名的计数结果增加1后，得到所述域名的计数结果；

判断所述域名的计数结果是否满足聚类条件，如果是，则将所述域名聚类到所述聚类信息库。

优选地，所述聚类条件，包括：

预定时间内，计数结果大于预设的门限值；

或者，

预设时间内，计数结果占整域或次级域网址的比例大于预设比例值。

本发明还提供了一种钓鱼网页聚类装置，所述装置包括：

接收模块，用于接收任一钓鱼网址；

第一获取模块，用于获取所述钓鱼网址的域名；

第二获取模块，用于在预设的域名表中获取所述域名对应的域名类型；

聚类模块，用于根据所述域名类型，实现钓鱼网页聚类。

优选地，所述聚类模块，包括：

第一判断子模块，用于判断所述域名类型是否为二级域名；

第一获取子模块，用于在所述第一判断子模块的结果为是时，获取所述域名的次级域；

第一增加子模块，用于当预设的聚类信息库中不包括所述次级域时，将所述次级域的计数结果增加1后，得到所述次级域的计数结果；