[发明专利]一种埋点式钓鱼网站监测方法

说明书

本发明涉及一种埋点式钓鱼网站监测方法，访问真实网站的首页；确定检测代码埋入点，埋入加密后的检测代码并将修改发布更新到线上环境，等待外部网站引用真实网站的资源，若外部网站引用真实网站的资源后触发检测代码执行，则判断外部网站是否在真实网站的可信资源的数据库中，若否则判定当前外部网站为可疑网站，进行人工审核。本发明通过预先在真实网站中埋入监控用的检测代码，当仿冒网站引用真实网站资源时，则会触发检测代码执行，对于仿冒网站进行进一步的确认即可低成本且准确的发现钓鱼网站，本发明埋入网站中的监测点，即便钓鱼网站采用离线资源引用的方式，也能到检测得到。本发明成本低廉、检测效果好，精准度高。

技术领域

本发明涉及数字信息的传输，例如电报通信的技术领域，特别涉及一种低成本、准确性高的埋点式钓鱼网站监测方法。

背景技术

钓鱼网站通常是指伪装成银行及电子商务、窃取用户提交的银行帐号及密码等私密信息的网站。“钓鱼”是一种网络欺诈行为，不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码。由于钓鱼网站仿冒被攻击的网站，欺骗真实网站的最终用户，不用直接向被攻击的网站发起攻击，所以其攻击成本很低，且由于其仿冒的对象多是银行网站、第三方支付机构网站，所以其危害具体，导致网站及其最终用户经济利益受损。

由于钓鱼攻击不需要对被攻击者网站有直接的强相关性，不同于传统漏洞的攻击与防守，其不需要直接访问被攻击的网站，加之互联网的无边界性，钓鱼网站下的攻击防护首要面临的问题是可疑钓鱼网站的发现和检测。

现有技术中，主要通过枚举与真实网站相近相似的可疑网站信息、通过网络流量提取相关疑似钓鱼网站信息、通过真实网站的访问日志信息来提取可疑钓鱼网站信息这三种途径来提取可疑钓鱼网站列表，根据以上三种方法提取到钓鱼网站进行分析对比、人工校验最终来发现钓鱼网站。三种技术都具备一定的发现能力，但都具有一定的技术缺陷和不足。

现有技术的方法都存在着数据量巨大，计算量、网络访问吞吐资源非常大，一般情况下，主动生成的域名数量是千万级别，检测的范围扩大还伴随着检测结果的准确率下降的问题。具体来说：

（1）通过枚举与真实网站相近相似的可疑网站信息，主要通过枚举真实网站的相似域名，历史钓鱼网站的Whois注册信息、IP信息等相关联的网站信息，生成这些信息之后，访问这些相似的网站信息，根据返回的相关信息提取其中可疑的网站信息，最终进行校验和比对，此方法主动生成的相关网站信息数据量大，检测效率低，网络成本高昂，且由于其根据相关性来检测，会造成很多不相关的钓鱼网站、新的钓鱼网站无法检测；

（2）通过网络流量提取相关疑似钓鱼网站信息，面临着相似的问题，要获取国内大部分地区的网络访问数据非常困难，涉及相应的隐私和数据权限，同时也面临着巨大的网络计算开销，成本高昂；

（3）通过真实网站的访问日志信息来提取可疑钓鱼网站信息，检测成本相对较低，但对于重要的银行金融机构的网站数据流量很大，且容易被钓鱼网站采用离线引用真实网站的资源的方式达到绕过的目的。

发明内容

为了解决现有技术中，存在钓鱼网站发现困难、发现成本高、发现准确度不高的问题，本发明提供一种优化的埋点式钓鱼网站监测方法，成本更低廉、检出率更高、准确率更高。

本发明所采用的技术方案是，一种埋点式钓鱼网站监测方法，所述方法包括以下步骤：

步骤1：访问真实网站的首页；确定检测代码埋入点；

步骤2：从网站的后台在检测代码埋入点设置检测代码，并且将修改发布更新到线上环境；

步骤3：等待外部网站引用真实网站的资源；

步骤4：若外部网站引用真实网站的资源后未触发检测代码执行，则返回步骤3，否则，进行下一步；