[发明专利]一种网络钓鱼攻击的检测方法、装置及设备

权利要求书

1.一种网络钓鱼攻击的检测方法，其特征在于，包括：

获取当前页面的源代码；

判断所述源代码的元素中是否包含跳转事件或输入事件；

若包含，则确定待跳转至的目标页面的域名，并判断所述目标页面的域名与所述当前页面的域名是否一致；

若不一致，则判定所述当前页面存在网络钓鱼攻击，并生成提示信息。

2.如权利要求1所述的方法，其特征在于，所述获取当前页面的源代码，包括：

获取当前页面的源代码，所述源代码包括CSS文件、JS文件和HTML文件。

3.如权利要求1所述的方法，其特征在于，所述判断所述源代码的元素中是否包含跳转事件或输入事件，包括：

根据预先确定的跳转事件和输入事件的特征值，判断所述源代码的元素是否包含跳转事件或输入事件。

4.如权利要求1所述的方法，其特征在于，所述确定待跳转至的目标页面的域名，包括：

通过正则匹配和超链接标签，从所述当前页面提取待跳转至的目标页面的URL地址。

5.如权利要求1所述的方法，其特征在于，在所述判断所述源代码的元素中是否包含跳转事件或输入事件之后，还包括：

若包含，则确定待跳转至的目标页面的主题，并判断所述目标页面的主题与所述当前页面的主题是否一致；

若不一致，则判定所述当前页面存在网络钓鱼攻击，并生成提示信息。

6.如权利要求1-5任意一项所述的方法，其特征在于，所述判断所述源代码的元素中是否包含跳转事件或输入事件，包括：

根据所述源代码确定所述当前页面的显式元素；

确定所述当前页面的静态资源；通过对比所述静态资源和所述当前页面的展示信息，判断所述当前页面是否存在隐藏元素；

分别判断所述源代码的显式元素和隐藏元素中是否包含跳转事件或输入事件。

7.如权利要求6所述的方法，其特征在于，在所述获取当前页面的源代码之后，还包括：

根据所述源代码，确定所述当前页面的资源加载地址；

判断所述加载地址是否位于预设的可信列表中；

若否，则判定所述当前页面存在网络钓鱼攻击，并生成提示信息。

8.一种网络钓鱼攻击的检测装置，其特征在于，包括：

源代码获取模块：用于获取当前页面的源代码；

事件判断模块：用于判断所述源代码的元素中是否包含跳转事件或输入事件；

域名判断模块：用于在所述源代码的元素中包含跳转事件或输入事件时，确定待跳转至的目标页面的域名，并判断所述目标页面的域名与所述当前页面的域名是否一致；

检测结果模块：用于在所述目标页面的域名与所述当前页面的域名不一致时，判定所述当前页面存在网络钓鱼攻击，并生成提示信息。

9.一种网络钓鱼攻击的检测设备，其特征在于，包括：

存储器：用于存储计算机程序；

处理器：用于执行所述计算机程序，以实现如权利要求1-7任意一项所述的网络钓鱼攻击的检测方法的步骤。

10.一种可读存储介质，其特征在于，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时用于实现如权利要求1-7任意一项所述的网络钓鱼攻击的检测方法的步骤。