專利名稱:基于釣魚網(wǎng)站ip集中性的收集與鑒定的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明屬于計算機技術(shù)領(lǐng)域,尤其是基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法和系統(tǒng)��。
背景技術(shù):
釣魚網(wǎng)站通常是指偽裝成銀行及電子商務(wù)等網(wǎng)站��,主要危害是竊取用戶提交的銀行帳號��、密碼等私密信息���。這些釣魚網(wǎng)站往往具有很強的隱蔽性�����,人們一般難以察覺����。目前針對釣魚網(wǎng)站的處理是發(fā)現(xiàn)一家處理一家�����,發(fā)現(xiàn)機制主要包括網(wǎng)民舉報,云檢測����。網(wǎng)民舉報和云檢測往往具有滯后性。由于防護意識普遍不高�����,因此對于釣魚網(wǎng)站的舉報也十分有限����。云檢測通過殺毒軟件,防護軟件等來發(fā)現(xiàn)釣魚網(wǎng)站�。由于網(wǎng)站眾多,基于云的檢測數(shù)據(jù)量十分龐大�����,在服務(wù)器有限的條件下����,無法快速準確地對釣魚網(wǎng)站進行排查�����。基于云的檢測需要耗費大量的資源��,而且不具有針對性�。因此需要針對釣魚網(wǎng)站的規(guī)則來快速發(fā)現(xiàn)釣魚網(wǎng)站。
發(fā)明內(nèi)容
本發(fā)明的目的��,就是克服現(xiàn)有技術(shù)的不足����,提供一種根據(jù)已知釣魚網(wǎng)站的域名信息反查與該釣魚網(wǎng)站域名使用相同IP地址的所有網(wǎng)站域名,并判斷這些網(wǎng)站域名是否為釣魚網(wǎng)站域名的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法和系統(tǒng)�。為了達到上述目的,采用如下技術(shù)方案 一種基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法�,其特征在于所述基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法包括以下步驟從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址;根據(jù)所述IP地址�,獲取所有使用該IP地址的網(wǎng)站域名;根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名���,將可疑網(wǎng)站域名存儲至一可疑網(wǎng)站域名數(shù)據(jù)庫中����,將可信任網(wǎng)站域名存儲至一可信任網(wǎng)站域名數(shù)據(jù)庫中�����;根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫���。進一步地���,所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名中的預(yù)設(shè)的第一判斷規(guī)則具體是若網(wǎng)站域名備案信息的主辦單位主體為企業(yè)、軍隊����、政府機關(guān)或事業(yè)單位,該網(wǎng)站域名為可信任網(wǎng)站域名�;若網(wǎng)站域名備案信息的主辦單位主體為個人或不存在,該網(wǎng)站域名為可疑網(wǎng)站域名��。進一步地�����,所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名之前����,還有以下步驟��,所述獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名根據(jù)預(yù)設(shè)的第一匹配規(guī)則判斷獲取的網(wǎng)站域名是否為所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名;若獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名均不相同����,則獲取的網(wǎng)站域名為可疑網(wǎng)站域名;若獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的任一可信任網(wǎng)站域名相同�����,則為可信任網(wǎng)站域名��。
進一步地��,所述根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名之前�����,還有以下步驟�,根據(jù)預(yù)設(shè)的第二匹配規(guī)則判斷所述可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫中的任一釣魚網(wǎng)站域名相同����,則可疑網(wǎng)站域名為釣魚網(wǎng)站域名;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫中的釣魚網(wǎng)站域名均不相同���,則進入到根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名的步驟����。進一步地,所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則或第一匹配規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名后�����,增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重���,同時增加所述可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重�,更新可疑網(wǎng)站域名數(shù)據(jù)庫����;如果獲取的網(wǎng)站域名為可信任網(wǎng)站域名,則不改變判斷該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重��,同時更新可信任網(wǎng)站域名數(shù)據(jù)庫�。進一步地,所述根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名��,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫�����,具體是可疑網(wǎng)站域名
的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重、網(wǎng)站內(nèi)容的釣魚權(quán)重�����、IP地址的釣魚權(quán)重���、以及Whois信息的釣魚權(quán)重相加的總和;其中��,網(wǎng)站域名占10%的釣魚權(quán)重�,網(wǎng)站內(nèi)容占70%釣魚權(quán)重,IP地址占10%釣魚權(quán)重�����,whois信息占10%釣魚權(quán)重�����;若可疑網(wǎng)站域名的釣魚權(quán)重高于90%�����,所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名���,同時可疑網(wǎng)站域名存儲至釣魚網(wǎng)站域名數(shù)據(jù)庫���。一種基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)�����,包括存儲可疑網(wǎng)站域名的可疑網(wǎng)站域名數(shù)據(jù)庫��、存儲可信任網(wǎng)站域名的可信任網(wǎng)站域名數(shù)據(jù)庫���、以及存儲釣魚網(wǎng)站域名的釣魚網(wǎng)站域名數(shù)據(jù)庫,還包括提取模塊���,用于從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址�;獲取模塊�����,用于根據(jù)所述IP地址���,獲取所有使用該IP地址的網(wǎng)站域名���;判斷模塊,用于根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名,將可疑網(wǎng)站域名存儲至可疑網(wǎng)站域名數(shù)據(jù)庫中����,將可信任網(wǎng)站域名存儲至可信任網(wǎng)站域名數(shù)據(jù)庫中;釣魚判斷模塊����,用于根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名���,同時存儲至釣魚網(wǎng)站域名數(shù)據(jù)庫����。進一步地��,所述判斷模塊判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名后�����,增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重�,同時增加可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重并將獲取的網(wǎng)站域名發(fā)送至可疑網(wǎng)站域名數(shù)據(jù)庫;如果可疑網(wǎng)站域名為可信任網(wǎng)站域名�����,則不改變判斷該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重,同時判斷模塊把獲取的網(wǎng)站域名發(fā)送至可信任網(wǎng)站域名數(shù)據(jù)庫��。進一步地����,所述釣魚判斷模塊根據(jù)可疑網(wǎng)站域名的釣魚權(quán)重判斷網(wǎng)站域名是否為釣魚網(wǎng)站域名,所述可疑網(wǎng)站域名的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重�����、網(wǎng)站內(nèi)容的釣魚權(quán)重��、IP地址的釣魚權(quán)重�、Whois信息的釣魚權(quán)重相加的總和。進一步地�����,所述網(wǎng)站域名占10%的釣魚權(quán)重��,網(wǎng)站內(nèi)容占70%釣魚權(quán)重���,IP地址占10%釣魚權(quán)重,whois信息占10%釣魚權(quán)重���;可疑網(wǎng)站域名的釣魚權(quán)重在90%以上,則釣魚判斷模塊判斷所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名�,并把可疑網(wǎng)站域名發(fā)送至釣魚網(wǎng)站域名數(shù)據(jù)庫���。與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果在于本發(fā)明根據(jù)釣魚網(wǎng)站IP具有集中性的特點,對已知釣魚網(wǎng)站的域名反查與該釣魚網(wǎng)站域名相同IP下的所有網(wǎng)站域名��,并判斷這些網(wǎng)站域名是否為釣魚網(wǎng)站域名�����。本發(fā)明有效快速地發(fā)現(xiàn)釣魚網(wǎng)站域名����,具有很強的針對性�����,縮小了檢測范圍�����,提高了效率�。
圖I是本發(fā)明所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法的流程圖����。圖2是本發(fā)明所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)的結(jié)構(gòu)示意圖�����。圖不1-提取模塊����;2_獲取模塊3_判斷模塊;4_可疑網(wǎng)站域名數(shù)據(jù)庫�;5—可/[目任網(wǎng)站域名數(shù)據(jù)庫;6—釣魚判斷模塊�����;7—釣魚網(wǎng)站域名數(shù)據(jù)庫����。
具體實施例方式下面將結(jié)合附圖以及具體實施方法來詳細說明本發(fā)明,在本發(fā)明的示意性實施及 說明用來解釋本發(fā)明���,但并不作為對本發(fā)明的限定�����。根據(jù)現(xiàn)有的技術(shù)�����,多個域名解析到同一個IP是可以實現(xiàn)的�����。例如虛擬主機��,比如一臺服務(wù)器里通過IIS設(shè)置多個空間��,每個空間綁定一個域名�,再把多個域名解析到這個IP上�。每一個域名訪問的網(wǎng)站部通,但是IP卻是同一個���。根據(jù)長時間的釣魚網(wǎng)站的研究��,發(fā)現(xiàn)釣魚網(wǎng)站的制造者習慣把多個釣魚網(wǎng)站解析到同一個IP地址����。針對這種情況��,本發(fā)明根據(jù)已經(jīng)被其它安全軟件判定為釣魚網(wǎng)站的網(wǎng)站進行反查,從釣魚網(wǎng)站中反查出其IP地址所在�����。然后根據(jù)IP地址查出該IP地址下所有的網(wǎng)站信息��,再對該IP地址下的所有網(wǎng)站信息(主要是網(wǎng)站域名)進行判斷和分類����。如圖I所示,本實施例主要通過以下步驟實現(xiàn)從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址����。提取所述網(wǎng)站域名的IP地址可以采用以下方法使用DOS系統(tǒng)的nslookup命令查詢釣魚網(wǎng)站的IP。例如���,假設(shè)一個已知的釣魚網(wǎng)站的網(wǎng)址為http://abcdefg. com,其域名為abcdefg. com��。米用nslookup命令“nslookup abcdefg.com”��。結(jié)果顯示出該釣魚網(wǎng)站域名的IP地址,提取該IP地址��。根據(jù)所述IP地址�,獲取所有使用該IP地址的網(wǎng)站域名?,F(xiàn)有的網(wǎng)站已提供相關(guān)的查詢接口����,可以通過IP地址查詢到同IP下的所有網(wǎng)站域名�。根據(jù)IP地址獲取同IP下的所有網(wǎng)站域名的原理不在此贅述。根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名�����。所述預(yù)設(shè)的第一判斷規(guī)則具體是若網(wǎng)站域名備案信息的主辦單位主體為企業(yè)��、軍隊�����、政府機關(guān)或事業(yè)單位��,判斷該網(wǎng)站域名為可信任網(wǎng)站域名��;若網(wǎng)站域名備案信息的主辦單位主體為個人或不存在�,即未備案�����,判斷該網(wǎng)站域名為可疑網(wǎng)站域名��。將可疑網(wǎng)站域名存儲至一可疑網(wǎng)站域名數(shù)據(jù)庫4中,將可信任網(wǎng)站域名存儲至一可信任網(wǎng)站域名數(shù)據(jù)庫5中�。所述獲取的網(wǎng)站域名在根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名之前,優(yōu)先與所述可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名根據(jù)預(yù)設(shè)的第一匹配規(guī)則判斷獲取的網(wǎng)站域名是否為可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名�����。此處的預(yù)設(shè)的第一匹配規(guī)則為域名匹配�,獲取的網(wǎng)站域名與可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名相同,則獲取的網(wǎng)站域名為可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名�����。若獲取的網(wǎng)站域名與可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名均不相同����,則進入到根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名的流程。經(jīng)過第一判斷規(guī)則的判斷后�����,可疑網(wǎng)站域名發(fā)送至可疑網(wǎng)站域名數(shù)據(jù)庫����,存儲在可疑網(wǎng)站域名數(shù)據(jù)庫4中。同時增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重,增加所述可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重��;如果獲取的網(wǎng)站域名為可信任網(wǎng)站域名�,則不改變該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重,且同時把獲取的網(wǎng)站域名發(fā)送至可信任網(wǎng)站域名數(shù)據(jù)庫5����,存儲在可信任網(wǎng)站域名數(shù)據(jù)庫5中。所述根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫4中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名��,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫7�。所述預(yù)設(shè)的第二判斷規(guī)則具體是可疑網(wǎng)站域名的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重、網(wǎng)站內(nèi)容的釣魚權(quán)重�、IP地址的釣魚權(quán)重、whois信息的釣魚權(quán)重相加的總和�����;其中網(wǎng)站域名占10%釣魚權(quán)重�����,網(wǎng)站內(nèi)容占70%釣魚權(quán)重����,IP地址占10%釣魚權(quán)重����,whois信息占10%釣魚權(quán)重��。若可疑網(wǎng)站域名的釣魚權(quán)重大于90%��,該可疑網(wǎng)站域名為釣魚網(wǎng)站域名���,同時把可疑網(wǎng)站域名發(fā)送至釣魚網(wǎng)站域名數(shù)據(jù)庫7,存儲在釣魚網(wǎng)站數(shù)據(jù)庫7中�����。網(wǎng)站域名�����、網(wǎng)站內(nèi)容的判斷方法為目前已有的常 規(guī)技術(shù)的判斷方法��。whois (讀作“who is”�,而非縮寫)是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。簡單說�,whois就是一個用來查詢域名是否已經(jīng)被注冊,以及注冊域名的詳細信息的數(shù)據(jù)庫(如域名所有人��、域名注冊商等)。通過whois來實現(xiàn)對域名信息的查詢�。whois信息設(shè)有白名單數(shù)據(jù)庫和黑名單數(shù)據(jù)庫。whois信息的查詢結(jié)果與白名單數(shù)據(jù)庫匹配����,即包含于白名單數(shù)據(jù)庫中,則該whois信息為白信息��;若whois信息的查詢結(jié)果與黑名單數(shù)據(jù)庫匹配���,即包含于黑名單數(shù)據(jù)庫中���,則該whois信息為黑信息,該whois信息占10%的釣魚網(wǎng)站權(quán)重�����。作為優(yōu)選�,在根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫4中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名之前,根據(jù)預(yù)設(shè)的第二匹配規(guī)則判斷所述可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名�����。此處所述的預(yù)設(shè)的第二匹配規(guī)則為域名匹配��,若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名相同,則可疑網(wǎng)站域名為釣魚網(wǎng)站域名�,所述獲取的網(wǎng)站域名為已存在的釣魚網(wǎng)站域名�;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名均不相同,則進入根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫4中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名的流程��。如圖2所示����,本實施例的系統(tǒng)主要包括以下模塊提取模塊1,用于從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址����;獲取模塊2,用于根據(jù)所述IP地址�,獲取所有使用該IP地址的網(wǎng)站域名;判斷模塊3�,用于判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名;可疑網(wǎng)站域名數(shù)據(jù)庫4����,用于存儲可疑網(wǎng)站域名;可信任網(wǎng)站域名數(shù)據(jù)庫5���,用于存儲可信任網(wǎng)站域名��;釣魚判斷模塊6�����,用于判斷可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名�;釣魚網(wǎng)站域名數(shù)據(jù)庫7,用于存儲釣魚網(wǎng)站域名�。提取模塊I從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址。提取所述網(wǎng)站域名的IP地址可以采用實施例一中的nslookup命令方法����。獲取模塊2根據(jù)所述IP地址,獲取所有從提取模塊I中提取的IP地址對應(yīng)的所有網(wǎng)站域名�����。判斷模塊3根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取模塊2中獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名����。
判斷模塊3判斷獲取模塊2中獲取的網(wǎng)站域名為可疑網(wǎng)站域名后,存儲至可疑網(wǎng)站域名數(shù)據(jù)庫4中�。同時增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重,增加所述可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重�;如果其為可信任網(wǎng)站域名,把該可信任網(wǎng)站域名存儲至可信任網(wǎng)站域名數(shù)據(jù)庫5中�����,不改變該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重。釣魚判斷模塊6根據(jù)判斷模塊3中的判斷結(jié)果��,結(jié)合預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫4中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名�。所述預(yù)設(shè)的第二判斷規(guī)則具體是可疑網(wǎng)站域名的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重����、網(wǎng)站內(nèi)容的釣魚權(quán)重、IP地址的釣魚權(quán)重�、whois信息的釣魚權(quán)重相加的總和。其中��,網(wǎng)站域名占10%釣魚權(quán)重����,網(wǎng)站內(nèi)容占70%釣魚權(quán)重,IP地址占10%釣魚權(quán)重���,whois信息占10%釣魚權(quán)重���。若可疑網(wǎng)站域名的釣魚權(quán)重大于90%,釣魚判斷模塊6判斷該網(wǎng)站域名為釣魚網(wǎng)站域名�,同時存儲該釣魚網(wǎng)站域名至釣魚網(wǎng)站域名數(shù)據(jù)庫7中�����。網(wǎng)站域名�����、網(wǎng)站內(nèi)容以及whois信息的判斷方法與上述說明書陳述的方法相同���。所述獲取模塊2獲取的網(wǎng)站域名優(yōu)先根據(jù)預(yù)設(shè)的第一匹配規(guī)則與所述可信任網(wǎng)·站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名匹配。此處的預(yù)設(shè)的第一匹配規(guī)則為域名匹配���,若獲取模塊2獲取的網(wǎng)站域名與可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名相同��,則判斷模塊3判斷獲取的網(wǎng)站域名為可信任網(wǎng)站域名��,所述獲取模塊2中獲取的網(wǎng)站域名為已存在的可信任網(wǎng)站域名��;若獲取模塊2獲取的網(wǎng)站域名與可信任網(wǎng)站域名數(shù)據(jù)庫5中的可信任網(wǎng)站域名均不相同����,則獲取模塊2獲取的網(wǎng)站域名進入根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可信任網(wǎng)站域名或可疑網(wǎng)站域名����。判斷模塊3判斷所述獲取的網(wǎng)站域名為可疑網(wǎng)站域名后����,可疑網(wǎng)站域名優(yōu)先根據(jù)第二匹配規(guī)則與所述釣魚網(wǎng)站域名數(shù)據(jù)庫中的釣魚網(wǎng)站域名匹配�����。由判斷模塊3判斷所述可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名匹配���。此處所述的預(yù)設(shè)的第二匹配規(guī)則為域名匹配�,可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名相同���,則判斷模塊3判斷可疑網(wǎng)站域名為釣魚網(wǎng)站域名,所述可疑網(wǎng)站域名為已存在的釣魚網(wǎng)站域名�;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫7中的釣魚網(wǎng)站域名均不相同,則進入釣魚判斷模塊6根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名的操作����。本發(fā)明通過一個已知釣魚網(wǎng)站,可以有效快速地發(fā)現(xiàn)與該已知釣魚網(wǎng)站同IP下的所有釣魚網(wǎng)站域名���,對釣魚網(wǎng)站的防護具有很強的針對性��,同時縮小了查殺范圍����,提高了查殺效率。以上對本發(fā)明實施例所提供的技術(shù)方案進行了詳細介紹�����,本文中應(yīng)用了具體個例對本發(fā)明實施例的原理以及實施方式進行了闡述�,以上實施例的說明只適用于幫助理解本發(fā)明實施例的原理;同時��,對于本領(lǐng)域的一般技術(shù)人員���,依據(jù)本發(fā)明實施例�����,在具體實施方式
以及應(yīng)用范圍上均會有改變之處����,綜上所述�����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制。
權(quán)利要求
1.一種基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法��,其特征在于所述基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法包括以下步驟 從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址�����; 根據(jù)所述IP地址�,獲取所有使用該IP地址的網(wǎng)站域名; 根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名�,將可疑網(wǎng)站域名存儲至一可疑網(wǎng)站域名數(shù)據(jù)庫中,將可信任網(wǎng)站域名存儲至一可信任網(wǎng)站域名數(shù)據(jù)庫中��; 根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名���,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫����。
2.根據(jù)權(quán)利要求I所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法�,其特征在于�,所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名中的預(yù)設(shè)的第一判斷規(guī)則具體是 若網(wǎng)站域名備案信息的主辦單位主體為企業(yè)、軍隊�����、政府機關(guān)或事業(yè)單位,該網(wǎng)站域名為可 目任網(wǎng)站域名���; 若網(wǎng)站域名備案信息的主辦單位主體為個人或不存在�,該網(wǎng)站域名為可疑網(wǎng)站域名��。
3.根據(jù)權(quán)利要求I所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法���,所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名之前�,還有以下步驟��,其特征在于 所述獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名根據(jù)預(yù)設(shè)的第一匹配規(guī)則判斷獲取的網(wǎng)站域名是否為所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名�;若獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的可信任網(wǎng)站域名均不相同,則獲取的網(wǎng)站域名為可疑網(wǎng)站域名����;若獲取的網(wǎng)站域名與所述可信任網(wǎng)站域名數(shù)據(jù)庫中的任一可信任網(wǎng)站域名相同,則為可信任網(wǎng)站域名�。
4.根據(jù)權(quán)利要求I所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法,所述根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名之前�,還有以下步驟,其特征在于 根據(jù)預(yù)設(shè)的第二匹配規(guī)則判斷所述可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名����;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫中的任一釣魚網(wǎng)站域名相同,則可疑網(wǎng)站域名為釣魚網(wǎng)站域名;若可疑網(wǎng)站域名與釣魚網(wǎng)站域名數(shù)據(jù)庫中的釣魚網(wǎng)站域名均不相同�����,則進入到根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名的步驟���。
5.根據(jù)權(quán)利要求I或3所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法�����,其特征在于 所述根據(jù)預(yù)設(shè)的第一判斷規(guī)則或第一匹配規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名后�,增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重��,同時增加所述可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重����,更新可疑網(wǎng)站域名數(shù)據(jù)庫; 如果獲取的網(wǎng)站域名為可信任網(wǎng)站域名���,則不改變判斷該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重,同時更新可信任網(wǎng)站域名數(shù)據(jù)庫����。
6.根據(jù)權(quán)利要I所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法,其特征在于,所述根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名���,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫�����,具體是 可疑網(wǎng)站域名的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重�、網(wǎng)站內(nèi)容的釣魚權(quán)重�����、IP地址的釣魚權(quán)重����、以及Whois信息的釣魚權(quán)重相加的總和;其中�����,網(wǎng)站域名占10%的釣魚權(quán)重���,網(wǎng)站內(nèi)容占70%釣魚權(quán)重�,IP地址占10%釣魚權(quán)重��,whois信息占10%釣魚權(quán)重;若可疑網(wǎng)站域名的釣魚權(quán)重高于90%�����,所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名��,同時可疑網(wǎng)站域名存儲至釣魚網(wǎng)站域名數(shù)據(jù)庫���。
7.一種基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)��,包括存儲可疑網(wǎng)站域名的可疑網(wǎng)站域名數(shù)據(jù)庫����、存儲可信任網(wǎng)站域名的可信任網(wǎng)站域名數(shù)據(jù)庫��、以及存儲釣魚網(wǎng)站域名的釣魚網(wǎng)站域名數(shù)據(jù)庫����,其特征在于,還包括 提取模塊���,用于從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址����; 獲取模塊�,用于根據(jù)所述IP地址,獲取所有使用該IP地址的網(wǎng)站域名�; 判斷模塊,用于根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名�,將可疑網(wǎng)站域名存儲至可疑網(wǎng)站域名數(shù)據(jù)庫中,將可信任網(wǎng)站域名存儲至可信任網(wǎng)站域名數(shù)據(jù)庫中���; 釣魚判斷模塊����,用于根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名��,同時存儲至釣魚網(wǎng)站域名數(shù)據(jù)庫��。
8.根據(jù)權(quán)利要求7所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)�����,其特征在于所述判斷模塊判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名后���,增加所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重���,同時增加可疑網(wǎng)站域名的IP地址為釣魚IP地址的釣魚權(quán)重并將獲取的網(wǎng)站域名發(fā)送至可疑網(wǎng)站域名數(shù)據(jù)庫���;如果可疑網(wǎng)站域名為可信任網(wǎng)站域名,則不改變判斷該網(wǎng)站域名為釣魚網(wǎng)站域名的釣魚權(quán)重�,同時判斷模塊把獲取的網(wǎng)站域名發(fā)送至可信任網(wǎng)站域名數(shù)據(jù)庫。
9.根據(jù)權(quán)利要求7所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)��,其特征在于所述釣魚判斷模塊根據(jù)可疑網(wǎng)站域名的釣魚權(quán)重判斷網(wǎng)站域名是否為釣魚網(wǎng)站域名�,所述可疑網(wǎng)站域名的釣魚權(quán)重為網(wǎng)站域名的釣魚權(quán)重、網(wǎng)站內(nèi)容的釣魚權(quán)重�����、IP地址的釣魚權(quán)重���、who i S信息的釣魚權(quán)重相加的總和��。
10.根據(jù)權(quán)利要求7或9所述的基于釣魚網(wǎng)站IP集中性的收集與鑒定的系統(tǒng)�����,其特征在于所述網(wǎng)站域名占10%的釣魚權(quán)重����,網(wǎng)站內(nèi)容占70%釣魚權(quán)重���,IP地址占10%釣魚權(quán)重�,whois信息占10%釣魚權(quán)重�����;可疑網(wǎng)站域名的釣魚權(quán)重在90%以上����,則釣魚判斷模塊判斷所述可疑網(wǎng)站域名為釣魚網(wǎng)站域名,并把可疑網(wǎng)站域名發(fā)送至釣魚網(wǎng)站域名數(shù)據(jù)庫��。
全文摘要
本發(fā)明屬于計算機技術(shù)領(lǐng)域��,公開了一種基于釣魚網(wǎng)站IP集中性的收集與鑒定的方法和系統(tǒng)���,所述方法包括以下步驟從已知的釣魚網(wǎng)站的域名信息中提取該釣魚網(wǎng)站的IP地址�;根據(jù)所述IP地址���,獲取所有使用該IP地址的網(wǎng)站域名�;根據(jù)預(yù)設(shè)的第一判斷規(guī)則判斷獲取的網(wǎng)站域名為可疑網(wǎng)站域名或可信任網(wǎng)站域名��,將可疑網(wǎng)站域名存儲至一可疑網(wǎng)站域名數(shù)據(jù)庫中���,將可信任網(wǎng)站域名存儲至一可信任網(wǎng)站域名數(shù)據(jù)庫中��;根據(jù)預(yù)設(shè)的第二判斷規(guī)則判斷所述可疑網(wǎng)站域名數(shù)據(jù)庫中的可疑網(wǎng)站域名是否為釣魚網(wǎng)站域名�����,同時存儲至一釣魚網(wǎng)站域名數(shù)據(jù)庫�。本發(fā)明根據(jù)釣魚網(wǎng)站IP具有集中性的特點,縮小了檢測范圍�,有效快速地發(fā)現(xiàn)釣魚網(wǎng)站,具有很強的針對性�。
文檔編號H04L29/12GK102882889SQ20121039835
公開日2013年1月16日 申請日期2012年10月18日 優(yōu)先權(quán)日2012年10月18日
發(fā)明者潘建波, 彭仁誠, 陳勇 申請人:珠海市君天電子科技有限公司