[发明专利]一种中文钓鱼网站检测方法及系统

说明书

技术领域

本发明涉及计算机软件及网络安全技术领域，尤其涉及一种中文钓鱼网站检测方法及系统。

背景技术

2013年手机在线支付增长迅猛，用户数达到1.25亿，交易规模突破1.2万亿元。但与此同时，手机支付面临的风险因素也快速增长了312％，成为威胁网民资产非常重要的原因，网络钓鱼已经成为最严重的一种网络犯罪形式。所谓“钓鱼网站”，是指不法分子利用各种手段，仿冒真实网站的地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。目前，用户在手机端上网过程中面临的钓鱼攻击危害程度已超过PC端。比PC具有更强的诱惑性，隐蔽性和误导性。钓鱼式攻击严重影响网络银行、电子支付网站的发展。危害用户利益的同时又影响被仿造网站的信誉，阻碍移动互联网的发展。手机上网的用户由于受手机界面的限制，比电脑上网更难区分网站真假。一旦上当，将个人信息提交到钓鱼网站，很难避免经济损失。

目前移动互联网钓鱼式攻击的传播方式，主要通过短信、手机即时通信软件、社交网络等发布，钓鱼者会将信息内容伪装成某个熟人的口吻或者利用人性的弱点，以各种理由如中奖信息、银行网站升级维护更新资料等等，然后骗取用户信任，意图引诱用户登录看起来极其真实的假冒网站，给出敏感信息(如用户名、口令、账号ID、ATM PIN码、信用卡)。钓鱼网站的页面与真实网站界面完全一致，要求访问者提交账号和密码。3.15晚会中关于手机软件涉嫌窃取用户隐私的争议再度引发了移动互联信息安全的关注热点。为了全面应对移动终端安全形势的挑战，各大安全厂商已经开始逐步完善构建各自手机端的钓鱼式攻击检测技术，因此我们有必要对手机的钓鱼式攻击进行研究。

现有技术中，为了应对手机钓鱼式攻击的威胁，减少钓鱼网站的数量，国内外展开了多种反钓鱼的研究工作，目前有以下四类方法与技术：

(1)基于黑名单的检测技术

黑名单是一种用于检测钓鱼网站广泛使用的方法。黑名单技术是指将所有已经发现的钓鱼站点和可信网站的URL记录到一个列表(即黑名单)中，据此判断用户所访问的网站是否为钓鱼/安全网站。黑名单随着存活的钓鱼网站增加，并且增加到反钓鱼网站数据库中。新创建的钓鱼网站的垃圾邮件活动会持续4-6个小时。因此在列出黑名单和禁用钓鱼网站的时候，钓鱼网站可能已经移动到了新的URL上面。因此黑名单技术具有一定的局限性，它无法预测新的钓鱼攻击，并且如果通过DNS劫持，将用户输入的网站重新定向到钓鱼网站，黑名单技术也无法解决这种重定向的问题。

(2)基于URL的检测技术

基于URL检测技术主要使用URL本身的信息确定其是否为恶意链接，钓鱼网站使用多种技术使受害者相信链接是合法的，例如使用比较相似的字符，如www.taokwbao.com。这些主机名之所以能够欺骗受害者，主要是因为他们看到了地址中有他们预期的域名。基于URL的反钓鱼技术主要是通过URL地址相似度、域名概率评估、网站排名、注册信息、网址类型、页面的外链数目，IP及端口号等信息进行钓鱼检测识别，基于URL的技术也无法解决DNS劫持问题。

(3)基于内容的检测技术

基于内容的检测技术需要使用软件工具，主要是指网络网虫，下载网站的内容，从网站内容中提取出能够识别网络钓鱼的特征，这些技术需要有强大的搜索技术，以确保能够全面检索网站内容，然后使用不同的机器学习方法对网站进行鉴别，但目前的基于内容的检测技术具有较高的误报率，不能满足实际应用的需求。

(4)部署到移动平台的OCR技术

利用Tesseract技术提取手机屏幕上的文字特征，通过比较目标URL中的二级域名与使用OCR技术获取登录界面的截图查看文本中是否有敏感词，继而判断在文本中是否有二级域名，若有则为安全页面，否则为钓鱼页面。应用于中文网站时需导入中文语言包，与英文语言包的1.8M相比，中文语言简体包39.5M执行起来之后速度相当慢，目前只能用于简单的网页提取，实际投入使用的效果和手机卡机的效果相同。

中国申请号为201210422629.6的专利申请揭示了一种基于客户端的钓鱼网站检测方法，包括如下步骤：步骤一：将用户登录的网址发送至服务端查询该网址的安全性，若为未知网址，则发回客户端进行检测；步骤二：在客户端提取该用户登录网址的网站特征与用户端的特征库进行比对，判断其是否为钓鱼网址，若为钓鱼网址，则发送至服务端，若否，则允许访问；步骤三：在服务端累计访问该网址的人数，当累计人数超过一阈值时，该服务端会判断该网址为客户端误报，允许访问。