[发明专利]一种钓鱼网站识别方法和装置

说明书

本发明涉及一种钓鱼网站识别方法和装置。该方法包括：检测待检测网站中是否嵌入其他网站的资源；若没有嵌入其他网站的资源，则判定待检测网站为非钓鱼网站；若已嵌入其他网站的资源，则判断所述其他网站的域名是否与白名单有交集；若没有交集，则判定待检测网站为非钓鱼网站；若有交集，则判定待检测网站为高度疑似钓鱼网站；对高度疑似钓鱼网站进行合法性判定和域名信用评估，以确定待检测网站是否为钓鱼网站。本发明能够弥补黑名单技术无法过滤新出现的钓鱼网站的不足，高效识别嵌入品牌网站元素和资源的钓鱼网站，提升网络钓鱼过滤的性能。

技术领域

本发明属于信息技术、网络安全技术领域，具体涉及一种钓鱼网站识别方法和装置。

背景技术

网络钓鱼(Phishing)这一术语产生于1996年，它是由钓鱼(Fishing)一词演变而来。在网络钓鱼的过程中，攻击者使用诱饵(比如电子邮件、手机短信)发送给大量用户，期待少数用户“上钩”，进而达到“钓鱼”(如窃取用户的隐私信息)的目的。国际反网络钓鱼工作组(APWG)给网络钓鱼的定义是：网络钓鱼是一种利用社会工程学和技术手段来窃取消费者的个人身份数据和财务账户凭证的网络攻击方式。采用社会工程手段的网络钓鱼攻击往往是向用户发送貌似来自合法的企业或机构的欺骗性电子邮件、手机短信等，引诱用户回复个人敏感信息或者点击里面的链接访问伪造的网站，进而泄露凭证信息(例如用户名、密码)或下载恶意软件。网络钓鱼严重威胁网民的财产和隐私安全，已成为当前互联网最大的安全隐患之一。

黑名单技术应用广泛，是主要的网络钓鱼过滤技术之一。比如Google Chrome、Mozilla Firefox和Apple Safai中使用的Google Safe API，就是根据Google提供的不断更新的黑名单，通过验证某一URL是否在黑名单中，来判断该URL是否是钓鱼网页或者恶意网页。黑名单技术简单易用，但存在明显的缺点：对于未包含在名单内的钓鱼网站无能为力，换句话说无法过滤新出现的钓鱼网站。

发明内容

本发明针对上述问题，提供一种钓鱼网站识别方法和装置，能够弥补黑名单技术无法过滤新出现的钓鱼网站的不足，高效识别嵌入品牌网站元素和资源的钓鱼网站，提升网络钓鱼过滤的性能。

本发明通过分析PhishTank和中国反钓鱼网站联盟的钓鱼举报数据，发现绝大多数钓鱼网站为了仿冒地更逼真，往往直接使用品牌网站的资源(Logo、CSS等)；当用户通过浏览器访问这些钓鱼网站时，会随即发起对品牌网站域名的查询请求。本发明便是利用钓鱼网站的上述特性，通过分析域名系统(DNS)解析数据，识别这些钓鱼网站。

本发明采用的技术方案如下：

一种钓鱼网站识别方法，包括以下步骤：

检测待检测网站中是否嵌入其他网站的资源；

若待检测网站中没有嵌入其他网站的资源，则判定待检测网站为非钓鱼网站；

若待检测网站中已嵌入其他网站的资源，则判断所述其他网站的域名是否与白名单有交集；若没有交集，则判定待检测网站为非钓鱼网站；若有交集，则判定待检测网站为高度疑似钓鱼网站；

对所述高度疑似钓鱼网站进行合法性判定和域名信用评估，以确定待检测网站是否为钓鱼网站。

进一步地，在检测待检测网站中是否嵌入其他网站的资源之前，判断待检测网站的域名是否在白名单中，如果在白名单中，则直接判定待检测网站为非钓鱼网站。

进一步地，通过检测待检测网站的网页源码中是否嵌入其它网站的资源的链接，或者检测浏览器访问待检测网站过程中是否发起对其他域名的DNS查询请求，来判断待检测网站中是否嵌入其他网站的资源。

进一步地，通过浏览器插件实时监听浏览器的网络行为，以捕获浏览器载入待检测网站的页面的过程中发起的网络资源查询请求，将所查询的域名与待检测网站的域名进行比较，从而判断是否发起对其他域名的DNS查询请求。