[发明专利]一种基于威胁情报判别仿冒网站的方法

说明书

本发明涉及网络安全技术，旨在提供一种基于威胁情报判别仿冒网站的方法。包括以下步骤：将威胁情报库中的域名信息库与网页库中的内容进行相似度比较；分析网站群体中各站点的备案主体，对ICP备案单位进行匹配；如未检测到异常的站点，进一步匹配注册人信息、分析站点布署地址IP；分析页面特征；对站点的仿冒站点疑似程度进行判断后，在威胁情报库中将该站点的信息打上标签，标记为仿冒站点。本发明可有效应用与政府、教育、事业单位等行业，进行仿冒站点的探测与发现。及时发现仿冒网站，降低不良信息的影响，截断地下产业链的推广，增强公共单位的公信度。

技术领域

本发明涉及网络安全技术，特别涉及一种基于威胁情报判别仿冒网站的方法。

背景技术

仿冒网站主要是由于黑客组织为了经济利益而采用的一种手法，通过仿冒看似完全正常合规的站点页面，实际在网站中植入大量的第三方链接和内容，内容大多涉及博彩、色情、游戏等不当赢利业务。在境内的互联网网站场景存在大量仿冒站点的问题，这类站点通过仿冒公信度较高的单位站点(往往是政府单位、事业单位、教育院校等)，实际在页面中传播地下灰色产业推广，以此躲避检测机构的发现，从而可长期潜伏谋取利益。该问题不解决带来的危害是误导普通上网者访问虚假仿冒网站，有可能带来虚假信息，传播博彩、色情等内容并躲避监管机构审查，让地下产业链继续发展严重危害社会安全。

目前已有的仿冒网站识别方法大多采用URL地址的相似度判断，通过对URL干扰字符去除与相似变形等方案，识别假冒站点。以及对商业站点的logo、品牌等进行匹配，判断商业站点仿冒。目前对仿冒网站的识别技术，主要是根据对URL相似度的判断找到仿冒站点。但由于目前大量仿冒网站并不再通过URL相似地址欺骗用户，往往通过在邮件、页面中加入超链接的形式，可不被用户看到真实地址。另外，由于网站数量增多，出现了大量的相似站点。所以，这一方法产生的误报率与漏报率都较高。

发明内容

本发明要解决的技术问题是，克服现有技术中的不足，提供一种基于威胁情报判别仿冒网站的方法。

为解决上述技术问题，本发明采用的的解决方案是：

提供一种基于威胁情报判别仿冒网站的方法，包括以下步骤：

(1)将威胁情报库中的域名信息库与网页库中的内容进行相似度比较；

(1.1)对域名情报库中的网站首页页面<title><meta>中的内容进行分析，采用语义分析算法进行识别；提取出相似度高于预设阈值的网站群体，以用于下一步分析；或者，

(1.2)指定目标站点，提取该站点的<title><meta>中的内容，在域名信息库中查找到与其相比相似度高于预设阈值的网站群体，以用于下一步分析；

(2)分析网站群体中各站点的备案主体(ICPD)，对其ICP备案单位进行匹配；

(2.1)确认站点是否已经备案；若未备案，则计入恶意站点；

(2.2)确认站点备案单位的属性，如属于政府机关或事业单位，则排除仿冒可疑；

(2.3)对备案单位中的个人和企业进行分析，如已在威胁情报库中被标记为可疑单位，则计入备案可疑站点；

(2.4)对备案单位的其他站点进行关联分析，如存在其他恶意网站记录，则计入备案可疑站点；

(3)对于备案单位未检测到异常的站点，采用对注册人信息进行关联分析的方式(REGD)，对注册人信息进行匹配：

(3.1)通过站点注册人反查其历史注册站点，如关联站点曾有恶意网站记录，则计入注册可疑站点；

(3.2)通过站点注册邮箱反查其历史注册站点，如关联站点曾有恶意网站记录，则计入注册可疑站点；