一種檢測釣魚網(wǎng)站的方法及裝置制造方法
【專利摘要】本發(fā)明公開了一種檢測釣魚網(wǎng)站的方法及裝置,涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,解決了現(xiàn)有技術(shù)中�����,對釣魚網(wǎng)站的檢測必須依賴第三方�,檢測方式被動的技術(shù)問題。其中�,該方法包括:按照預設(shè)的目標網(wǎng)站日志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù);從所述日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到所述目標網(wǎng)站的來源站點的域名信息�;根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站。本發(fā)明實施例主要用于保護網(wǎng)站安全�����。
【專利說明】一種檢測釣魚網(wǎng)站的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全【技術(shù)領(lǐng)域】��,尤其涉及一種檢測釣魚網(wǎng)站的方法及裝置�����。
【背景技術(shù)】
[0002]所謂“釣魚網(wǎng)站”是一種網(wǎng)絡(luò)欺詐行為,指不法分子利用各種手段��,仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容�����,或者利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼�,以此來騙取用戶銀行或信用卡賬號、密碼等私人資料����。
[0003]一般來說釣魚網(wǎng)站結(jié)構(gòu)很簡單,只有一個或幾個頁面����,URL和真實網(wǎng)站有細微差另IJ。例如針對某運營商網(wǎng)上營業(yè)的釣魚網(wǎng)站在其假冒頁面中包含賬號密碼輸入信息的部分連接至其服務(wù)器���,而頁面中的其他鏈接項如幫助頁面,新聞頁面等則無法訪問或者跳轉(zhuǎn)至真實網(wǎng)站的相關(guān)鏈接處����。
[0004]現(xiàn)有技術(shù)中,對于新出現(xiàn)的疑似釣魚網(wǎng)站��,目前的監(jiān)控和檢測手段主要有:
[0005]1、“釣魚網(wǎng)站”受害者或發(fā)現(xiàn)者向相關(guān)監(jiān)管機構(gòu)舉報釣魚網(wǎng)站���,監(jiān)管機構(gòu)經(jīng)過鑒定判斷其是否為釣魚網(wǎng)站���,如果是則收錄至釣魚網(wǎng)站庫中。
[0006]2��、安裝在普通用戶pc機上的殺毒軟件或釣魚網(wǎng)站檢測控件�����,根據(jù)普通用戶的訪問行為���,以及自身的判斷方法來對用戶訪問的網(wǎng)站進行釣魚網(wǎng)站識別��,最后對疑似或確定的釣魚網(wǎng)站進行上報和收錄��。
[0007]3����、部分安全廠商在大量網(wǎng)絡(luò)節(jié)點出部署安全設(shè)備�,用于收集新出現(xiàn)的疑似釣魚網(wǎng)站的域名信息或統(tǒng)一資源定位符(Uniform/Universal Resource Locator, URL)信息。
[0008]但是���,從以上三種對新出現(xiàn)的疑似釣魚網(wǎng)站的監(jiān)控和檢測方法���,對于企業(yè)的網(wǎng)絡(luò)站點自身來說�,監(jiān)控和發(fā)現(xiàn)新的疑似本企業(yè)釣魚網(wǎng)站的方法主要依靠釣魚受害者舉報���、安全廠商或反釣魚聯(lián)盟等第三方機構(gòu)���,企業(yè)的網(wǎng)絡(luò)站點自身無法自主發(fā)現(xiàn)新出現(xiàn)的疑似釣魚網(wǎng)站。因此���,導致了疑似釣魚網(wǎng)站的獲取方式非常被動���,企業(yè)網(wǎng)絡(luò)站點無法依據(jù)自身資源對新出現(xiàn)的疑似釣魚網(wǎng)站進行主動檢測,故而降低了企業(yè)網(wǎng)絡(luò)站點自身防護釣魚網(wǎng)站的效率����、損害了用戶的信息安全性。
【發(fā)明內(nèi)容】
[0009]為了解決現(xiàn)有技術(shù)中網(wǎng)站僅能被動防范釣魚網(wǎng)站的問題���,本發(fā)明的一個方面提出一種檢測釣魚網(wǎng)站的方法。
[0010]一種檢測釣魚網(wǎng)站的方法���,包括:
[0011]按照預設(shè)的目標網(wǎng)站日志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù)�����;
[0012]從所述日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到所述目標網(wǎng)站的來源站點的域名信息��;
[0013]根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站�。
[0014]一種檢測釣魚網(wǎng)站的裝置,包括:
[0015]抓取模塊�,用于按照預設(shè)的目標網(wǎng)站日志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù);[0016]解析模塊�����,用于從所述日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到所述目標網(wǎng)站的來源站點的域名信息���;
[0017]檢測模塊���,用于根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站。
[0018]本發(fā)明提出的上述方案中��,通過分析目標網(wǎng)站web服務(wù)器日志中的來源頁面(referer)字段來統(tǒng)計和梳理訪問該網(wǎng)站的來源站點�����,而這些來源站點極大可能包括了一些釣魚網(wǎng)站,因此通過分析這些來源站點的域名信息可以檢測和鑒別新出現(xiàn)的釣魚網(wǎng)站���,解決了現(xiàn)有技術(shù)中,網(wǎng)站僅能通過先被告知是釣魚網(wǎng)站�����,再進行防范的方式�,進而實現(xiàn)了可主動檢測釣魚網(wǎng)站,提高企業(yè)的網(wǎng)絡(luò)站點自身防護釣魚網(wǎng)站的效率���。
【專利附圖】
【附圖說明】
[0019]附圖用來提供對本發(fā)明的進一步理解��,并且構(gòu)成說明書的一部分�����,與本發(fā)明的實施例一起用于解釋本發(fā)明����,并不構(gòu)成對本發(fā)明的限制。在附圖中:
[0020]圖1為本發(fā)明實施例1中一種檢測釣魚網(wǎng)站的方法的應(yīng)用場景示意圖�����;
[0021]圖2為本發(fā)明實施例1中一種檢測釣魚網(wǎng)站的方法的流程圖���;
[0022]圖3為本發(fā)明實施例2中一種檢測釣魚網(wǎng)站的方法的流程;
[0023]圖4為本發(fā)明實施例3中一種檢測釣魚網(wǎng)站的裝置的結(jié)構(gòu)示意圖����。
【具體實施方式】
[0024]下面結(jié)合附圖,對本發(fā)明的【具體實施方式】進行詳細描述�����,但應(yīng)當理解本發(fā)明的保護范圍并不受【具體實施方式】的限制��。
[0025]實施例1
[0026]本實施例提供一種檢測釣魚網(wǎng)站的方法����,該方法可以部署在網(wǎng)絡(luò)站點的web服務(wù)器上,也可以部署在與網(wǎng)絡(luò)站點的服務(wù)器相連接的設(shè)備上����。當是第二種情況時,可以參考圖1所示的構(gòu)架示意圖。該方法如圖2所示,包括:
[0027]步驟101�����,按照預設(shè)的目標網(wǎng)站日志路徑抓取目標網(wǎng)站的日志數(shù)據(jù)�;
[0028]步驟102,從日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到目標網(wǎng)站的來源站點的域名信息�����;
[0029]步驟103�,根據(jù)域名信息檢測來源站點是否為釣魚網(wǎng)站。
[0030]本實施例中�,上述步驟103可有多種實現(xiàn)方式,在步驟101-102中主動獲取到域名信息后��,甚至可利用現(xiàn)有的操作方法判斷是否為釣魚網(wǎng)站��,例如人工判斷等��。但是本發(fā)明也提供了優(yōu)選方案���?��?删唧w參照下屬實施2中的步驟204�����。
[0031]一般來說�����,釣魚攻擊者為使釣魚網(wǎng)站做的更逼真,在整個釣魚網(wǎng)站設(shè)計時����,假冒的網(wǎng)站中大部分鏈接會指向真實站點,只有極少幾個頁面和URL是虛假的�。如針對金融或運營商網(wǎng)上營業(yè)廳的釣魚網(wǎng)站,一般將包含賬號密碼輸入信息的頁面做成釣魚頁面��,其他頁面如幫助頁面����,新聞頁面等全部指向真實金融或運營商網(wǎng)上營業(yè)廳的服務(wù)器。
[0032]網(wǎng)站日志數(shù)據(jù)中的referer字段記錄了訪問該網(wǎng)站的上一級跳轉(zhuǎn)鏈接�����。例如通過百度搜索到某網(wǎng)站并點擊進入���,則在該網(wǎng)站的曰志服務(wù)器記錄中referer字段會記錄百度的域名信息(由于一個網(wǎng)站的域名信息與該網(wǎng)站的URL有對應(yīng)的關(guān)系���,知道其中之一�����,一般都可以根據(jù)對應(yīng)的關(guān)系找到另一�,因此也可以認為referer字段也記錄了百度的URL);若用戶是直接在地址欄中輸入網(wǎng)站URL��,則referer字段為空�。根據(jù)釣魚網(wǎng)站和網(wǎng)站日志數(shù)據(jù)中referer字段的特性,再結(jié)合普通用戶對釣魚網(wǎng)站的訪問行為�,本案的發(fā)明人提出基于referer字段收集統(tǒng)計釣魚網(wǎng)站來源的方法。
[0033]例如���,具體場景為:某釣魚攻擊者搭建了假冒網(wǎng)上營業(yè)廳的釣魚網(wǎng)站����,該假冒網(wǎng)站中輸入用戶名密碼的頁面為攻擊者構(gòu)造的頁面�,其他如充值活動、客服和幫助等新聞頁面指向真實的網(wǎng)上營業(yè)廳地址��。當普通用戶訪問了該釣魚網(wǎng)站���,如果訪問了該釣魚網(wǎng)站中真實的鏈接頁面�,則在真實的網(wǎng)上營業(yè)廳服務(wù)器訪問日志中留下訪問來源(即虛假釣魚網(wǎng)站)的URL,從而給釣魚網(wǎng)站的檢測提供素材��。本實施結(jié)合上述分析和情況�����,提出了根據(jù)目標網(wǎng)站日志中referer來檢測跳轉(zhuǎn)到該目標網(wǎng)站的來源站點的URL��,主動檢測并識別該來源站點是否為釣魚網(wǎng)站的方法�,因此本實施例中的方法與現(xiàn)有技術(shù)主要區(qū)別在于對疑似釣魚網(wǎng)站的來源檢測上��,企業(yè)的網(wǎng)站不再需要依賴第三方機構(gòu)���,完全可以通過自己獨立進行釣魚網(wǎng)站檢測�����,故而可以取得可主動檢測出釣魚網(wǎng)站���,提高企業(yè)網(wǎng)絡(luò)站點自身防護釣魚網(wǎng)站的效率的技術(shù)效果。
[0034]實施例2
[0035]本實施例具體提供一種檢測釣魚網(wǎng)站的方法�����,如圖3所示,該方法包括:
[0036]步驟201��,檢測釣魚網(wǎng)站的裝置按照預設(shè)的目標網(wǎng)站日志路徑抓取目標網(wǎng)站的日志數(shù)據(jù)���。
[0037]具體而言��,本實施例的方法在部署時��,在配置方面需要配置被監(jiān)控和保護的目標web站點(目標web站點即目標網(wǎng)站)����,其web訪問的日志路徑�。更優(yōu)選的,還可以配置操作系統(tǒng)的賬戶口令��,用于進行認證���,保證安全性�����。
[0038]此外,再利用ssh/telnet或smb協(xié)議到目標web站點中遠程抓取相應(yīng)日志����。
[0039]其中,對于windows站點主要采用smb協(xié)議,而對于Linux或Unix站點則采用ssh/telnet協(xié)議���。因此,支持抓取的操作系統(tǒng)包括windows��、Linux��、Solaris���、Aix等。其抓取方式也可采用周期性增量抓取的方式����,抓取周期可以由管理員制定��。
[0040]步驟202���,檢測釣魚網(wǎng)站的裝置將抓取的日志數(shù)據(jù)統(tǒng)一成可識別的格式����。
[0041]步驟202實際上為一個對日志數(shù)據(jù)進行預處理的過程��。因為,對于遠程抓取到的訪問日志數(shù)據(jù)�,根據(jù)協(xié)議或系統(tǒng)的不同,可能有多種格式�����,故而需要進行識別和分析并進行泛化���,形成統(tǒng)一可識別格式��。本實施中��,該方法支持分析的web容器可包括Apache�、HS����、Tomcat、WebSphere����、Weblogic、resin 和 Nginx 等���。
[0042]步驟203����,檢測釣魚網(wǎng)站的裝置從日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到目標網(wǎng)站的來源站點的域名信息。
[0043]根據(jù)不同類型web容器產(chǎn)生的web訪問日志數(shù)據(jù)�,對步驟202中預處理的日志數(shù)據(jù)中中referer字段中的域名信息進行提取。
[0044]在這里需要說明的是:現(xiàn)有主要的WEB日志格式主要由兩類����,一類是Apache的NCSA日志格式,另一類是IIS的W3C日志格式��,并且現(xiàn)有的日志數(shù)據(jù)中均會包含以下字段:
[0045]訪問主機(remotehost)-顯示主機的IP地址或者已解析的域名�����。
[0046]標識符(Ident)-由identd或直接由瀏覽器返回瀏覽者的EMAIL或其他唯一標示����,因為涉及用戶郵箱等隱私信息�,目前幾乎所有的瀏覽器就取消了這項功能。
[0047]授權(quán)用戶(authuser)-用于記錄瀏覽者進行身份驗證時提供的名字�����,如果需要身份驗證或者訪問密碼保護的信息則這項不為空,但目前大多數(shù)網(wǎng)站的日志這項也者是為空的���。
[0048]日期時間(date)-—般的格式形如[22/Feb/2010:09:51:46+0800]��,即[日期/ 月份/年份:小時:分鐘:秒鐘時區(qū)]���,占用的字符位數(shù)也基本固定。
[0049]請求(request)-即在網(wǎng)站上通過何種方式獲取了哪些信息�����,也是日志中較為重要的一項���,主要包括以下三個部分:
[0050]請求類型(METHOD):常見的請求類型主要包括GET/P0ST/HEAD這三種����;
[0051]請求資源(RESOURCE):顯示的是相應(yīng)資源的URL�����,可以是某個網(wǎng)頁的地址���,也可以是網(wǎng)頁上調(diào)用的圖片�、動畫、CSS等資源�����;
[0052]協(xié)議版本號(PROTOCOL):顯示協(xié)議及版本信息��,通常是HTTP/1.1或HTTP/1.0�。
[0053]狀態(tài)碼(status)-用于表示服務(wù)器的響應(yīng)狀態(tài),通常Ixx的狀態(tài)碼表示繼續(xù)消息�;2xx表示請求成功;3xx表示請求的重定向�����;4xx表示客戶端錯誤�����;5xx表示服務(wù)器錯誤��。
[0054]傳輸字節(jié)數(shù)(bytes)-即該次請求中一共傳輸?shù)淖止?jié)數(shù)���。
[0055]來源頁面(referer)-用于表示瀏覽者在訪問當前頁面之前所瀏覽的頁面����,只有從上一頁面鏈接過來的請求才會有該項輸出��。
[0056]用戶代理(agent)-用于顯示用戶的詳細信息,包括IP����、OS、Bowser等�。
[0057]本實施例中應(yīng)用的就是上面已介紹的日志數(shù)據(jù)中的referer字段,由于該referer字段在日志中所代表的作用���,因此只需從抓取的日志數(shù)據(jù)中的referer字段里便可以提取出跳轉(zhuǎn)到當前頁面之前��,用戶所瀏覽的頁面��,從該頁面的網(wǎng)址中可以分析出上一級網(wǎng)站(即來源站點)的域名信息�����。
[0058]步驟204���,檢測釣魚網(wǎng)站的裝置在預設(shè)的釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單中查詢是否存在域名信息;若域名信息不存在于釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單���,則執(zhí)行步驟205���,進行疑似釣魚網(wǎng)站確定處理�����;若域名信息存在于釣魚網(wǎng)站黑名單中�,則若確定域名信息為釣魚網(wǎng)站���,后繼將執(zhí)行防護流程��,即按照步驟208執(zhí)行�;若域名信息存在于非釣魚網(wǎng)站白名單中�����,則不作處理���。
[0059]本實施的方法中����,維護著釣魚網(wǎng)站白名單和黑名單兩個數(shù)據(jù)庫���,其中非釣魚網(wǎng)站白名單庫中主要記錄了大量知名站點的域名信息���,如baidu、google以及各大論壇等易于出現(xiàn)在referer字段中的站點�����;釣魚網(wǎng)站黑名單庫中主要記錄了大量已經(jīng)定義為釣魚網(wǎng)站的域名信息庫����。
[0060]本實施例中,對于從referer字段中提取到的域名信息��,首先使用維護的黑白名單進行匹配���,如果已經(jīng)在黑白名單中�����,則結(jié)束對本次抓取的referer字段的分析過程而進入下一域名的分析流程中�����,并執(zhí)行防護處理����,在遇到來自黑名單中域名信息的請求時,回復告警信息(具體詳見步驟208);如果該域信息名未出現(xiàn)在黑白名單中�����,則進入疑似釣魚網(wǎng)站(疑似釣魚網(wǎng)站主要指有可能成為釣魚網(wǎng)站的站點)處理的下述步驟205流程�。
[0061]步驟205,檢測釣魚網(wǎng)站的裝置對域名信息的域名相似度進行檢測����,若檢測后的相似度數(shù)值超過預設(shè)的域名相似度閾值,則發(fā)送域名相似度告警���;和/或��,對域名信息的內(nèi)容相似度進行檢測���,若檢測后的相似度數(shù)值超過預設(shè)的內(nèi)容相似度閾值,則發(fā)送內(nèi)容相似度
生敬口目��。
[0062]具體而言�����,為更好的騙取用戶信任,一些釣魚網(wǎng)站的URL與真實網(wǎng)站的URL極其相似�����,根據(jù)這種特性��,可對釣魚網(wǎng)站進行域名相似度檢測���。如對于中國移動門戶的域名信息WWW.10086.cn,如出現(xiàn)WWW.10086.cn的域名(其中I為小寫的L),則其相似度極高,及有可能為釣魚網(wǎng)站。因此在實際檢測時���,可事先設(shè)置域名相似度閥值�,超過這個閥值則域名相似度則發(fā)出告警以用于提示用戶���。和/或�,
[0063]單一的根據(jù)域名相似度進行釣魚網(wǎng)站檢測可能存在一定誤報現(xiàn)象���,因此優(yōu)選方案中���,可混合內(nèi)容相似度檢測同時進行。內(nèi)容相似度檢測主要檢查被檢測的站點內(nèi)容與真實站點內(nèi)容的相似度���,如果相似度極高�,則也可能為釣魚網(wǎng)站。
[0064]具體檢測方式為:根據(jù)域名信息�,抓取需要判斷的該域名信息的URL頁面,并存放于本地緩存�;再提取頁面主體內(nèi)容,例如去掉頁面標簽���、元素以及一些語言無關(guān)的助詞?’最后再進行主體內(nèi)容比對��。在實際檢測時�,可事先設(shè)置內(nèi)容相似度閥值����,超過這個閥值則進行告警以提示用戶。
[0065]本實施例中����,該域名相似度檢測或內(nèi)容相似度檢測均可以利用現(xiàn)有技術(shù)實現(xiàn)。如核心算法可以采用已有的Levenshtein Distance (LD)-計算兩字符串相似度算法來實現(xiàn)dLevenshtein Distance (LD):LD可能衡量兩字符串的相似性�。它們的距離就是一個字符串轉(zhuǎn)換成那一個字符串過程中的添加、刪除����、修改數(shù)值。
[0066]舉例:如果strl=〃test〃, str2=〃test〃,那么 LD(strl, str2) =0。沒有經(jīng)過轉(zhuǎn)換�。如果 strl="test", str2=〃tent〃,那么 LD(strl, str2)=l�����。strl 的 〃s"轉(zhuǎn)換"η",轉(zhuǎn)換了一個字符����,所以是I。如果它們的距離越大���,說明它們越是不同。具體實現(xiàn)方式是本領(lǐng)域技術(shù)人員公知的��,在此不贅述�����。
[0067]至此�,一次檢測過程結(jié)束。
[0068]需要說明的是:上述提供的內(nèi)容相似度檢測和域名相似度檢測的執(zhí)行順序并不受限制�,也可以執(zhí)行內(nèi)容相似度檢測,在執(zhí)行域名相似度檢測����,甚至兩種檢測同時進行�����。
.[0069]在該步驟205中�,為了保證檢測后的準確性�����。更優(yōu)選的方案是:在域名相似度檢測和內(nèi)容相似度檢測后����,由人工進行最后確認。如根據(jù)檢測后的告警���,用戶對告警的域名信息進行確認���,如即使未出現(xiàn)告警,也可以由用戶對檢測結(jié)果進行確認���。當然�����,若忽略檢測結(jié)果的準確性問題����,也可以省略用戶確定過程,直接根據(jù)檢測結(jié)果執(zhí)行下述步驟如發(fā)出告警的則執(zhí)行步驟2071 ;未發(fā)生告警的����,則執(zhí)行步驟2072或步驟2073。下面以需要用戶確定過程為例進行描述�。
[0070]步驟206,在接收到內(nèi)容域名相似度告警或域名相似度告警后����,用戶確定域名信息是否為釣魚網(wǎng)站;若用戶確定為釣魚網(wǎng)站����,則檢測釣魚網(wǎng)站的裝置執(zhí)行步驟2071 ;若用戶確定為非釣魚網(wǎng)站��,則檢測釣魚網(wǎng)站的裝置執(zhí)行步驟2072;若用戶無法確定���,則檢測釣魚網(wǎng)站的裝置執(zhí)行步驟2073����。
[0071]步驟2071,將域名信息添加入釣魚網(wǎng)站黑名單中���,并執(zhí)行步驟208�����。
[0072]具體地����,若確認為釣魚網(wǎng)站則將其加入自身維護的釣魚網(wǎng)站黑名單中�����,并進入下一步的防護處理流程(即步驟208)�����;
[0073]步驟2072���,將域名信息添加入非釣魚網(wǎng)站的白名單中���。
[0074]具體地,如確認為非釣魚網(wǎng)站��,且為白名單中沒有的國內(nèi)外知名網(wǎng)站,則將其加入自身維護的白名單庫中�����,并進入下一域名的檢測步驟����;
[0075]步驟2073,將域名信息放入統(tǒng)計分析庫�����,并統(tǒng)計域名信息出現(xiàn)的次數(shù)��;若統(tǒng)計的次數(shù)在預定的時間內(nèi)超過預定的出現(xiàn)頻率���,則將域名信息添加入非釣魚網(wǎng)站的白名單中�����。
[0076]具體地,除上述2中情況下���,提取出的來源站點則可能為小型或臨時站點信息�,這些域名也存在以后變成釣魚網(wǎng)站的可能性��,所以將其列入統(tǒng)計分析庫,如超過一定時間周期內(nèi)一直出現(xiàn)�����,且出現(xiàn)頻率較高,則可以將其加入非釣魚網(wǎng)站白名單中�����。
[0077]步驟208,當用戶通過來源網(wǎng)站訪問時�,檢測釣魚網(wǎng)站的裝置在回復中添加釣魚網(wǎng)站告警提示。
[0078]具體而言�����,該步驟208屬于防護處理步驟��。如圖1所示,本方法部署時�����,為了該步驟208的實施����,防護部署時主要通過和網(wǎng)站前端部署的防火墻��、IPS或其它安全設(shè)備進行聯(lián)動的方式實現(xiàn),具體可以為:將防護策略推送給前端安全設(shè)備��,如防火墻等,并由安全設(shè)備進行防護�����。
[0079]其防護手段是:對用戶請求中referer字段含義屬于釣魚網(wǎng)站黑名單中域名信息的請求消息,在回復數(shù)據(jù)包時��,對用戶進行釣魚告警提示���,從而起到防范的作用。
[0080]本實施例中�,該步驟208進行防護的依據(jù)即是上述提到過的釣魚網(wǎng)站黑名單��。因此,其告警發(fā)送過程可以由于用戶的訪問而觸發(fā)�����,也可以說實時進行,當檢測到新的釣魚網(wǎng)站時(如步驟2071)����,則將升級該釣魚網(wǎng)站黑名單����。
[0081 ] 本實施例提供的方法可通過分析企業(yè)自身web服務(wù)器日志數(shù)據(jù)中的ref erer字段來統(tǒng)計和梳理訪問該網(wǎng)站的來源站點,而這些來源站點極大可能包括了一些釣魚網(wǎng)站�,因此通過分析這些來源站點的域名信息���,再根據(jù)域名相似度和內(nèi)容相似度來檢測和鑒別新出現(xiàn)的釣魚網(wǎng)站��,最后與部署在web站點前端的FW(防護墻)和IPS(入侵預防系統(tǒng))等安全防護設(shè)備進行聯(lián)動���,進而實現(xiàn)對于疑似釣魚網(wǎng)站的來源檢測上��,不再需要依賴第三方機構(gòu)���,完全可以通過自己獨立、主動地進行釣魚網(wǎng)站檢測�����,同時,還可對普通用戶進行安全告警��,避免上當受騙����,從而取得提高釣魚網(wǎng)站檢測效率�、保證安全性的技術(shù)效果。
[0082]實施例3
[0083]本實施例提供一種檢測釣魚網(wǎng)站的裝置�,如圖4所示,包括:抓取模塊41�,解析模塊42,檢測模塊43�。
[0084]抓取模塊41,用于按照預設(shè)的目標網(wǎng)站日志路徑抓取目標網(wǎng)站的日志數(shù)據(jù)����;解析模塊42,用于從日志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到目標網(wǎng)站的來源站點的域名信息�;檢測模塊43,用于根據(jù)域名信息檢測來源站點是否為釣魚網(wǎng)站���。
[0085]優(yōu)選方案中�����,該裝置還可包括:預處理模塊44����,防護模塊45。
[0086]其中�,預處理模塊44,用于在按照預設(shè)的目標網(wǎng)站日志路徑抓取目標網(wǎng)站的曰志數(shù)據(jù)之后�,將抓取的日志數(shù)據(jù)統(tǒng)一成可識別的格式。
[0087]防護模塊45��,用于在檢測模塊檢測出域名信息為釣魚網(wǎng)站后���,當用戶通過來源網(wǎng)站訪問時�,在回復中添加釣魚網(wǎng)站告警提示���。
[0088]進一步地���,本實施例提供的檢測模塊43包括:
[0089]釣魚網(wǎng)站識別單元,用于在預設(shè)的釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單中查詢是否存在域名信息�����;若域名信息不存在于釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單�,則進行疑似釣魚網(wǎng)站確定處理����;若域名信息存在于釣魚網(wǎng)站黑名單中�����,則確定為釣魚網(wǎng)站����。
[0090]釣魚網(wǎng)站識別單元包括:
[0091]疑似檢測子單元����,用于對域名信息的域名相似度進行檢測,若檢測后的相似度數(shù)值超過預設(shè)的域名相似度閾值���,則發(fā)送域名相似度告警��;和/或���,對域名信息的內(nèi)容相似度進行檢測,若檢測后的相似度數(shù)值超過預設(shè)的內(nèi)容相似度閾值��,則發(fā)送內(nèi)容相似度告警���。
[0092]釣魚網(wǎng)站識別單元還可包括:
[0093]疑似確定子單元����,用于在接收到內(nèi)容域名相似度告警或域名相似度告警后,用戶確定域名信息是否為釣魚網(wǎng)站��;若用戶確定為釣魚網(wǎng)站��,則將域名信息添加入釣魚網(wǎng)站黑名單中��;若用戶確定為非釣魚網(wǎng)站���,則將域名信息添加入非釣魚網(wǎng)站的白名單中�;若用戶無法確定��,則將域名信息放入統(tǒng)計分析庫��,并統(tǒng)計域名信息出現(xiàn)的次數(shù)�,若統(tǒng)計的次數(shù)在預定的時間內(nèi)超過預定的出現(xiàn)頻率,則將域名信息添加入非釣魚網(wǎng)站的白名單中�����。
[0094]本發(fā)明提供的裝置具有分析目標網(wǎng)站web服務(wù)器日志中的來源頁面(referer)字段來統(tǒng)計和梳理訪問該網(wǎng)站的來源站點的功能�,而由于這些來源站點極大可能包括了一些釣魚網(wǎng)站���,因此通過分析這些來源站點的域名信息可以檢測和鑒別新出現(xiàn)的釣魚網(wǎng)站,解決了現(xiàn)有技術(shù)中���,網(wǎng)站僅能通過先被告知是釣魚網(wǎng)站�,再進行防范的方式��,進而實現(xiàn)了可主動檢測釣魚網(wǎng)站���,提高企業(yè)的網(wǎng)絡(luò)站點自身防護釣魚網(wǎng)站的效率�����。
[0095]本發(fā)明能有多種不同形式的【具體實施方式】,上文結(jié)合附圖對本發(fā)明做舉例說明��,這并不意味著本發(fā)明所應(yīng)用的【具體實施方式】只能局限在這些特定的【具體實施方式】中�����,本領(lǐng)域的技術(shù)人員應(yīng)當了解�����,上文所提供的【具體實施方式】只是多種優(yōu)選實施方式中的一些示例,任何體現(xiàn)本發(fā)明權(quán)利要求的【具體實施方式】均應(yīng)在本發(fā)明權(quán)利要求所要求保護的范圍之內(nèi)�����;本領(lǐng)域的技術(shù)人員能夠?qū)ι衔母鳌揪唧w實施方式】中所記載的技術(shù)方案進行修改�,或者對其中部分技術(shù)特征進行等同替換。凡在本發(fā)明的精神和原則之內(nèi)����,所作的任何修改、等同替換或者改進等���,均應(yīng)包含在本發(fā)明權(quán)利要求的保護范圍之內(nèi)��。
【權(quán)利要求】
1.一種檢測釣魚網(wǎng)站的方法���,其特征在于,包括: 按照預設(shè)的目標網(wǎng)站日志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù)�; 從所述曰志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到所述目標網(wǎng)站的來源站點的域名信息; 根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站�。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于�����,該方法還包括: 若確定所述域名信息為釣魚網(wǎng)站,則當用戶通過所述來源網(wǎng)站訪問時�,在回復中添加釣魚網(wǎng)站告警提示。
3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,所述根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站具體包括: 在預設(shè)的釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單中查詢是否存在所述域名信息�����; 若所述域名信息 不存在于釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單���,則進行疑似釣魚網(wǎng)站確定處理���; 若所述域名信息存在于所述釣魚網(wǎng)站黑名單中,則確定為釣魚網(wǎng)站�。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于��,所述進行疑似釣魚網(wǎng)站確定處理具體包括: 對所述域名信息的域名相似度進行檢測����,若檢測后的相似度數(shù)值超過預設(shè)的域名相似度閾值�,則發(fā)送域名相似度告警;和/或���, 對所述域名信息的內(nèi)容相似度進行檢測���,若檢測后的相似度數(shù)值超過預設(shè)的內(nèi)容相似度閾值���,則發(fā)送內(nèi)容相似度告警。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于����,所述進行疑似釣魚網(wǎng)站確定處理具體還包括: 在接收到所述內(nèi)容域名相似度告警或所述域名相似度告警后,用戶確定所述域名信息是否為釣魚網(wǎng)站�����; 若用戶確定為釣魚網(wǎng)站���,則將所述域名信息添加入所述釣魚網(wǎng)站黑名單中���; 若用戶確定為非釣魚網(wǎng)站,則將所述域名信息添加入所述非釣魚網(wǎng)站的白名單中;若用戶無法確定����,則將所述域名信息放入統(tǒng)計分析庫,并統(tǒng)計所述域名信息出現(xiàn)的次數(shù)����;若統(tǒng)計的次數(shù)在預定的時間內(nèi)超過預定的出現(xiàn)頻率,則將所述域名信息添加入所述非釣魚網(wǎng)站的白名單中�。
6.根據(jù)權(quán)利要求1至5中任意一項所述的方法,其特征在于����,在按照預設(shè)的目標網(wǎng)站曰志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù)之后,該方法還包括: 將所述抓取的日志數(shù)據(jù)統(tǒng)一成可識別的格式�。
7.一種檢測釣魚網(wǎng)站的裝置,其特征在于�����,包括: 抓取模塊�����,用于按照預設(shè)的目標網(wǎng)站日志路徑抓取所述目標網(wǎng)站的日志數(shù)據(jù)�; 解析模塊,用于從所述曰志數(shù)據(jù)中記錄的來源頁面信息里解析出跳轉(zhuǎn)到所述目標網(wǎng)站的來源站點的域名信息���; 檢測模塊�����,用于根據(jù)所述域名信息檢測所述來源站點是否為釣魚網(wǎng)站����。
8.根據(jù)權(quán)利要求7所述的裝置�����,其特征在于����,該裝置還包括: 防護模塊,用于在所述檢測模塊檢測出所述域名信息為釣魚網(wǎng)站后����,當用戶通過所述來源網(wǎng)站訪問時,在回復中添加釣魚網(wǎng)站告警提示��。
9.根據(jù)權(quán)利要求7或8所述的裝置�����,其特征在于,所述檢測模塊包括: 釣魚網(wǎng)站識別單元���,用于在預設(shè)的釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單中查詢是否存在所述域名信息�;若所述域名信息不存在于釣魚網(wǎng)站黑名單和非釣魚網(wǎng)站白名單��,則進行疑似釣魚網(wǎng)站確定處理��;若所述域名信息存在于所述釣魚網(wǎng)站黑名單中����,則確定為釣魚網(wǎng)站。
10.根據(jù)權(quán)利要求9所述的裝置��,其特征在于���,所述釣魚網(wǎng)站識別單元包括: 疑似檢測子單元�����,用于對所述域名信息的域名相似度進行檢測��,若檢測后的相似度數(shù)值超過預設(shè)的域名相似度閾值��,則發(fā)送域名相似度告警�����;和/或��,對所述域名信息的內(nèi)容相似度進行檢測���,若檢測后的相似度數(shù)值超過預設(shè)的內(nèi)容相似度閾值,則發(fā)送內(nèi)容相似度告 警�。
11.根據(jù)權(quán)利要求10所述的裝置,其特征在于��,所述釣魚網(wǎng)站識別單元還包括: 疑似確定子單元���,用于在接收到所述內(nèi)容域名相似度告警或所述域名相似度告警后��,用戶確定所述域名信息是否為釣魚網(wǎng)站����;若用戶確定為釣魚網(wǎng)站����,則將所述域名信息添加入所述釣魚網(wǎng)站黑名單中��;若用戶確定為非釣魚網(wǎng)站���,則將所述域名信息添加入所述非釣魚網(wǎng)站的白名單中;若用戶無法確定���,則將所述域名信息放入統(tǒng)計分析庫�,并統(tǒng)計所述域名信息出現(xiàn)的次數(shù)�,若統(tǒng)計的次數(shù)在預定的時間內(nèi)超過預定的出現(xiàn)頻率,則將所述域名信息添加入所述非釣魚網(wǎng)站的白名單中��。
12.根據(jù)權(quán)利要求7至10中任意一項所述的裝置�����,其特征在于���,該裝置還包括: 預處理模塊�,用于將所述抓取的日志數(shù)據(jù)統(tǒng)一成可識別的格式��。
【文檔編號】H04L12/26GK103428186SQ201210165017
【公開日】2013年12月4日 申請日期:2012年5月24日 優(yōu)先權(quán)日:2012年5月24日
【發(fā)明者】付俊, 張峰, 李友國, 楊光華 申請人:中國移動通信集團公司