[发明专利]一种钓鱼网站引擎探测方法及装置

说明书

技术领域

本发明涉及通信领域，尤其涉及一种钓鱼网站引擎探测方法及装置。

背景技术

网络钓鱼(Phishing)是一种通过垃圾邮件、即时聊天工具、手机短信或网页虚假广告发送声称来自于银行或其他知名机构的欺骗性信息，意图引诱用户登录看起来极其真实的假冒网站，给出敏感信息(如用户名、口令、账号ID、ATM PIN码、信用卡)的攻击方式。最典型的网络钓鱼攻击将用户引诱到一个通过精心设计与目标组织的网站非常相似的钓鱼网站上，并获取用户在该网站上输入的个人敏感信息。

现有的钓鱼网站引擎的探测方法通常为根据已经建立的可疑网站的域名信息来探测，这种方法是基于用户发现的钓鱼网站进行被动检测，因此对于现在经常会发生变化的钓鱼网站会有探测不及时的现象，只能对钓鱼网站被动防御，无法防患于未然。

发明内容

本发明实施例提供一种钓鱼网站引擎探测方法及装置，以解决现有的钓鱼网站引擎探测不及时只能对钓鱼网站被动防御的问题。

本发明的第一方面提供一种钓鱼网站引擎探测方法，包括：对保护列表信息进行域名变换，获得变换后的域名；将所述变换后的域名进行DNS解析，以获得可疑域名；将所述可疑域名进行URL检测，以获得可疑URL信息；根据所述可疑URL信息探测钓鱼网站引擎。

根据第一方面，在第一种可能的实现方式中，所述域名变换包括顶级域名变换和主机名变换；其中，所述主机名变换包括特殊变换、外观相似变换、追加子版变换和联想变换。

根据第一方面，在第二种可能的实现方式中，所述将所述变换后的域名进行DNS解析，以获得可疑域名，包括：将所述变换后的域名进行IP地址的获取，并且根据存在IP地址的域名进行网络爬虫的检测判断所述变换后的域名是否匹配，如果匹配则为合法域名，并将其进行存储；如果不匹配，则为可疑域名。

根据第一方面，在第三种可能的实现方式中，所述将所述可疑域名进行URL检测，以获得可疑URL信息，包括：从记录钓鱼网站的网站中收集钓鱼网站频繁出现过的路径信息；将频繁出现过的路径信息对可疑域名进行配对，以获得可疑URL信息。

根据第一方面的第三种可能的实现方式，在第四种可能的实现方式中，所述将频繁出现过的路径信息对可疑域名进行配对，以获得可疑URL信息，包括：将频繁出现过的每一条路径信息对每一个可疑域名进行配对，如果不匹配则为可疑URL。

根据第一方面，在第五种可能的实现方式中，所述对保护列表信息进行域名变换，获得变换后的域名之前，还包括：接收保护列表信息。

本发明的第二方面提供一种钓鱼网站引擎探测装置，包括：变换单元，用于对保护列表信息进行域名变换，获得变换后的域名；解析单元，用于将所述变换后的域名进行DNS解析，以获得可疑域名；检测单元，用于将所述可疑域名进行URL检测，以获得可疑URL信息；探测单元，用于根据所述可疑URL信息探测钓鱼网站引擎。

根据第二方面，在第一种可能的实现方式中，所述域名变换包括顶级域名变换和主机名变换；其中，所述主机名变换包括特殊变换、外观相似变换、追加子版变换和联想变换。

根据第二方面，在第二种可能的实现方式中，所述解析单元具体用于:将所述变换后的域名进行IP地址的获取，并且根据存在IP地址的域名进行网络爬虫的检测判断所述变换后的域名是否匹配，如果匹配则为合法域名，并将其进行存储；如果不匹配，则为可疑域名。

根据第二方面，在第三种可能的实现方式中，所述检测单元包括：收集子单元，用于从记录钓鱼网站的网站中收集钓鱼网站频繁出现过的路径信息；匹配子单元，用于将频繁出现过的路径信息对可疑域名进行配对，以获得可疑URL信息。

根据第二方面的第三种可能的实现方式，在第四种可能的实现方式中，所述匹配子单元具体用于：将频繁出现过的每一条路径信息对每一个可疑域名进行配对，如果不匹配则为可疑URL。

根据第二方面，在第五种可能的实现方式中，所述装置还包括：

接收单元，用于接收保护列表信息。

本发明实施例提供的钓鱼网站引擎探测方法及装置，通过对保护列表信息进行域名变换，将变换后的域名进行DNS解析，以获得可疑域名；将可疑域名进行URL检测，以获得可疑URL信息，根据所述可疑URL信息探测钓鱼网站引擎，可以对主动并及时地检测钓鱼网站，即所要保护的网站对应的可疑网站。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。