[发明专利]基于客户端程序行为分析的钓鱼网站检测方法

摘要

本发明公开了基于客户端程序行为分析的钓鱼网站监测方法，首先利用jalangi对访问的网页进行实时插桩，在获取钓鱼网站黑名单和白名单后判断访问的URL是否出现在黑名单中，再判断该URL是否在白名单中。如果不在白名单中，用jalangi通过动静结合的方式检测该URL是否存在form登录表单，如果存在登录表单，则利用jalangi发送随机生成的用户名和密码来判断是否钓鱼网站，以此获取训练样本集，提取动态静态属性行为特征，并借助朴素贝叶斯方法，获得贝叶斯分类器。本发明可以利用jalangi获取网页程序的动态行为特征，借助jalangi检测动态生成的授权登录表单，并动态分析form表单的action属性的最终值，从而作出判断。实现了启发式和数据挖掘等方法的结合，有效提高了检测效果。

主权项

1.基于客户端程序行为分析的钓鱼网站检测方法，其特征在于包含以下步骤：1)搭建代理服务器，利用jalangi脚本对访问的网页进行实时插桩；2)获取钓鱼网站黑名单和白名单；3)获取当前访问的URL，并查询钓鱼网站黑名单中是否包含该URL，如果该URL出现在钓鱼网站黑名单中，则提醒用户该URL是一个钓鱼网址；4)如果被检测的URL不在钓鱼网站黑名单中，那么再判断该URL是否在白名单中，即判断该URL是否是已知的正常网址，如果在，则退出检测；5)如果该URL不在白名单中，用jalangi脚本通过动静结合的方式检测该URL是否存在form登录表单，所述登录表单为网页上的登录入口，包括用户名和密码的输入框，还有登录按钮，如果存在登录表单，则利用jalangi脚本发送随机生成的用户名和密码，如果登录成功，则提醒用户该URL是一个钓鱼网址；如果未检测到登录表单，则利用jalangi脚本检测其是否存在进行第三方授权登录操作，如果检测到存在进行第三方授权登录操作，则用jalangi脚本动态判断该表单的action指向的域名是否与想要请求授权的网站域名一致，如果一致，那么认为该URL是钓鱼网址；6)如果提醒用户登录失败，则用jalangi脚本发送与所述随机生成的用户名和密码同样的用户名和密码，如果登录成功，提醒用户该URL是一个钓鱼网址；7)如果提醒用户登录失败，再利用jalangi脚本结合所述动静结合的方式检测“忘记密码”这个功能的链接地址，判断该URL连接是否指向第三方域名，如果是，则提醒用户该URL是一个钓鱼网址；8)如果该URL连接不是指向第三方域名，则获取训练样本集，提取动态和静态属性行为特征，然后借助朴素贝叶斯方法，获得贝叶斯分类器；9)通过jalangi脚本提取该网站的动态静态属性行为特征，然后作为上述步骤8获得的贝叶斯分类器的输入，再判断该URL是否是钓鱼网址，所述动静结合为结合所述动态和静态属性行为特征。