本發(fā)明涉及數(shù)據(jù)安全領(lǐng)域，特別是涉及一種基于反向釣魚的惡意識別方法和裝置。

背景技術(shù)：

在互聯(lián)網(wǎng)上，有一波惡意用戶，通過不斷的嘗試各個互聯(lián)網(wǎng)公司的業(yè)務(wù)，找到業(yè)務(wù)漏洞從而來獲取正常用戶的個人信息或帳號密碼等，例如，在即時通信應(yīng)用中，通過提交號碼的帳號申訴請求，從而嘗試取得正常用戶的密碼。

通?；ヂ?lián)網(wǎng)業(yè)務(wù)的提供商需要通過各種人工審計手段來識別出這些惡意用戶，從而保護正常用戶的信息安全。傳統(tǒng)的識別惡意用戶的行為主要依據(jù)聚集特性，然而有時惡意用戶沒有明顯的聚集特性，無法識別出惡意用戶，再者該方式識別惡意用戶的誤判率比較高。

技術(shù)實現(xiàn)要素：

基于此，有必要針對傳統(tǒng)的識別惡意用戶的方式誤判率較高的問題，提供一種基于反向釣魚的惡意識別方法，能提高惡意用戶識別的正確率。

此外，還有必要提供一種基于反向釣魚的惡意識別裝置，能提高惡意用戶識別的正確率。

一種基于反向釣魚的惡意識別方法，包括以下步驟：

將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，以便監(jiān)控場景中的用戶可以獲得所述配置的標簽數(shù)據(jù)；

獲取在監(jiān)控場景中輸入的數(shù)據(jù)；

比較所述輸入的數(shù)據(jù)與所述配置的標簽數(shù)據(jù)，若相同，則表示所述輸入的數(shù)據(jù)為標簽數(shù)據(jù)；

獲取所述輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，得到可疑數(shù)據(jù)；

分析所述可疑數(shù)據(jù)，得到惡意數(shù)據(jù)。

一種基于反向釣魚的惡意識別裝置，包括：

注入模塊，用于將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，以便監(jiān)控場景中的用戶可以獲得所述配置的標簽數(shù)據(jù)；

輸入數(shù)據(jù)獲取模塊，用于獲取在監(jiān)控場景中輸入的數(shù)據(jù)；

比較模塊，用于比較所述輸入的數(shù)據(jù)與所述配置的標簽數(shù)據(jù)，若相同，則表示所述輸入的數(shù)據(jù)為標簽數(shù)據(jù)；

相關(guān)數(shù)據(jù)提取模塊，用于獲取所述輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，得到可疑數(shù)據(jù)；

識別模塊，用于分析所述可疑數(shù)據(jù)，得到惡意數(shù)據(jù)。

上述基于反向釣魚的惡意識別方法和裝置，通過將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，獲取到在監(jiān)控場景中輸入的數(shù)據(jù)，將輸入的數(shù)據(jù)與配置的標簽數(shù)據(jù)進行比較，若相同，則表示該輸入的數(shù)據(jù)為標簽數(shù)據(jù)，獲取標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，分析相關(guān)數(shù)據(jù)得到可疑數(shù)據(jù)，分析可疑數(shù)據(jù)得到惡意數(shù)據(jù)，因?qū)撕灁?shù)據(jù)反向釣魚注入到壞人的產(chǎn)業(yè)鏈，識別出的惡意數(shù)據(jù)更加正確。

附圖說明

圖1為一個實施例中基于反向釣魚的惡意識別方法的應(yīng)用場景示意圖；

圖2為一個實施例中監(jiān)控端的內(nèi)部結(jié)構(gòu)示意圖；

圖3為一個實施例中基于反向釣魚的惡意識別方法的流程圖；

圖4為一個實施例中基于反向釣魚的惡意識別方法應(yīng)用于即時通信賬號業(yè)務(wù)中的過程示意圖；

圖5為一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖；

圖6為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖；

圖7為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖；

圖8為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實 施例，對本發(fā)明進行進一步詳細說明。應(yīng)當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

圖1為一個實施例中基于反向釣魚的惡意識別方法的應(yīng)用場景示意圖。如圖1所示，該應(yīng)用場景包括監(jiān)控端110和用戶端120。監(jiān)控端110與用戶端120進行網(wǎng)絡(luò)通信。監(jiān)控端110通過將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，然后獲取用戶端120在監(jiān)控場景中輸入的數(shù)據(jù)，將輸入的數(shù)據(jù)與配置的標簽數(shù)據(jù)進行比較，若相同，則表示輸入的數(shù)據(jù)為標簽數(shù)據(jù)，獲取輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，統(tǒng)計并分析監(jiān)控場景中每個輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)可得到可疑數(shù)據(jù)，分析可疑數(shù)據(jù)得到惡意數(shù)據(jù)?；诜聪蜥烎~的方式將標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，與輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)分析得出的惡意數(shù)據(jù)，其識別的正確率高。

圖2為一個實施例中監(jiān)控端的內(nèi)部結(jié)構(gòu)示意圖。如圖2所示，該監(jiān)控端包括通過系統(tǒng)總線連接的處理器、非易失性存儲介質(zhì)、顯示屏、輸入裝置、內(nèi)存和網(wǎng)絡(luò)接口。其中，該監(jiān)控端的非易失性存儲介質(zhì)存儲有操作系統(tǒng)、數(shù)據(jù)庫和基于反向釣魚的惡意識別裝置，數(shù)據(jù)庫中存儲有標簽數(shù)據(jù)。該監(jiān)控端的處理器用于提供計算和控制能力，支撐整個服務(wù)器的運行，被用于執(zhí)行基于反向釣魚的惡意識別方法的流程步驟。該監(jiān)控端的顯示屏可以是液晶顯示屏或者電子墨水顯示屏等，輸入裝置可以是顯示屏上覆蓋的觸摸層，也可以是設(shè)備外殼上設(shè)置的按鍵、軌跡球或觸控板，也可以是外接的鍵盤、觸控板或鼠標等。該監(jiān)控端的網(wǎng)絡(luò)接口用于據(jù)以與外部的用戶端通過網(wǎng)絡(luò)連接通信，比如接收用戶端發(fā)送的輸入數(shù)據(jù)和相關(guān)數(shù)據(jù)等。監(jiān)控端可以用獨立的服務(wù)器或者是多個服務(wù)器組成的服務(wù)器集群來實現(xiàn)或者終端實現(xiàn)。終端可為手機、計算機或穿戴式設(shè)備等。本領(lǐng)域技術(shù)人員可以理解，圖2中示出的結(jié)構(gòu)，僅僅是與本申請方案相關(guān)的部分結(jié)構(gòu)的框圖，并不構(gòu)成對本申請方案所應(yīng)用于其上的服務(wù)器的限定，具體的服務(wù)器或終端可以包括比圖中所示更多或更少的部件，或者組合某些部件，或者具有不同的部件布置。

需要說明的是，釣魚是通過給一個假的官方網(wǎng)址，然后引誘用戶輸入官方網(wǎng)站上的真實信息，從而盜取用戶信息的方式。反向釣魚是將生成的標簽數(shù)據(jù) 注入到數(shù)據(jù)擴散地(如論壇等)，然后找到在監(jiān)控場景中輸入的標簽數(shù)據(jù)，分析與輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，如這些相關(guān)數(shù)據(jù)中包括同一個ip(internetprotocol，網(wǎng)際協(xié)議)地址或同一個設(shè)備標識等，則認為該ip地址或同一個設(shè)備標識為可疑數(shù)據(jù)，該可疑數(shù)據(jù)即為惡意數(shù)據(jù)。

圖3為一個實施例中基于反向釣魚的惡意識別方法的流程圖。如圖3所示，一種基于反向釣魚的惡意識別方法，包括以下步驟302至310。其中：

步驟302，將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，以便監(jiān)控場景中的用戶可以獲得該配置的標簽數(shù)據(jù)。

本實施例中，首先根據(jù)指定規(guī)則從業(yè)務(wù)數(shù)據(jù)中選取數(shù)據(jù)，標記該選取的數(shù)據(jù)，將標記后的數(shù)據(jù)作為標簽數(shù)據(jù)，記錄在標簽數(shù)據(jù)庫中。

具體地，將選取的數(shù)據(jù)記錄在標簽數(shù)據(jù)庫中，標記該選取的數(shù)據(jù)用于反向釣魚檢測。例如，業(yè)務(wù)數(shù)據(jù)為即時通信賬號，指定規(guī)則為某一個號段的即時通信賬號，如100000至299999號段的即時通信賬號，作為標簽數(shù)據(jù)。

再如，業(yè)務(wù)數(shù)據(jù)為電子郵箱，指定規(guī)則為后綴為@abc.com、申請時間為2000年至2001的電子郵箱，將該符合指定規(guī)則的電子郵箱賬號作為標簽數(shù)據(jù)。

也就是根據(jù)不同類型的業(yè)務(wù)數(shù)據(jù)，對應(yīng)的指定規(guī)則不同，所選取的數(shù)據(jù)作為標簽數(shù)據(jù)也不同。

將標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，是指將標簽數(shù)據(jù)發(fā)布到數(shù)據(jù)很容易被獲得的地方，如論壇、貼吧等。數(shù)據(jù)擴散地是指數(shù)據(jù)傳播的各種渠道。

步驟304，獲取在監(jiān)控場景中輸入的數(shù)據(jù)。

本實施例中，監(jiān)控場景可為提前設(shè)置的場景，如密碼驗證場景、賬號申訴場景、修改密碼場景、消費場景等，不限于此。

在監(jiān)控場景中輸入的數(shù)據(jù)，可通過數(shù)據(jù)抓取函數(shù)直接抓取輸入框中輸入的數(shù)據(jù)。

步驟306，比較該輸入的數(shù)據(jù)與該配置的標簽數(shù)據(jù)，若相同，則表示該輸入的數(shù)據(jù)為標簽數(shù)據(jù)。

本實施例中，獲取到輸入的數(shù)據(jù)后，可將輸入的數(shù)據(jù)與標簽數(shù)據(jù)庫中的標簽數(shù)據(jù)進行比較，若輸入的數(shù)據(jù)在標簽數(shù)據(jù)庫中存在，則說明該輸入的數(shù)據(jù)為 標簽數(shù)據(jù)，若輸入的數(shù)據(jù)在標簽數(shù)據(jù)庫中不存在，則表示該輸入的數(shù)據(jù)不為標簽數(shù)據(jù)。

步驟308，獲取該輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，得到可疑數(shù)據(jù)。

本實施例中，與輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)可包括輸入標簽數(shù)據(jù)的ip地址、設(shè)備標識、提交時間、提交地理位置中的一種或多種。ip地址是唯一的網(wǎng)絡(luò)地址。設(shè)備標識是輸入標簽數(shù)據(jù)的設(shè)備的唯一標識。提交時間是指提交輸入的數(shù)據(jù)的時間。提交地理位置是指提交輸入數(shù)據(jù)的地理位置。此外，相關(guān)數(shù)據(jù)還可包括瀏覽器類型、聯(lián)系方式等。

通過統(tǒng)計每個監(jiān)控場景中每個輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，得到與所有標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，對所有的相關(guān)數(shù)據(jù)進行分析，當所有標簽數(shù)據(jù)的一起的相關(guān)數(shù)據(jù)中包含同一個ip地址，或者同一個設(shè)備標識，或者在同一個時間段內(nèi)或者瀏覽器類型相同，則該ip地址或設(shè)備標識屬于可疑數(shù)據(jù)。瀏覽器類型可為ie內(nèi)核、谷歌內(nèi)核、火狐內(nèi)核等。

在一個實施例中，當統(tǒng)計得到與標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)中包含同一個ip地址或同一個設(shè)備標識超過預(yù)定數(shù)量時，則該ip地址和設(shè)備標識為可疑數(shù)據(jù)。

步驟310，分析該可疑數(shù)據(jù)，得到惡意數(shù)據(jù)。

上述基于反向釣魚的惡意識別方法，通過配置標簽數(shù)據(jù)，并將標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，獲取到在監(jiān)控場景中輸入的數(shù)據(jù)，將輸入的數(shù)據(jù)與配置的標簽數(shù)據(jù)進行比較，若相同，則表示該輸入的數(shù)據(jù)為標簽數(shù)據(jù)，獲取與標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，分析相關(guān)數(shù)據(jù)得到可疑數(shù)據(jù)，將可疑數(shù)據(jù)作為惡意數(shù)據(jù)，因?qū)撕灁?shù)據(jù)反向釣魚注入到壞人的產(chǎn)業(yè)鏈，識別出的惡意數(shù)據(jù)更加正確。

在一個實施例中，分析可疑數(shù)據(jù)，得到惡意數(shù)據(jù)包括：將該可疑數(shù)據(jù)與人工識別的惡意數(shù)據(jù)庫進行比對；若該可疑數(shù)據(jù)在該人工識別的惡意數(shù)據(jù)庫中存在，則將該可疑數(shù)據(jù)作為惡意數(shù)據(jù)。

本實施例中，人工識別的惡意數(shù)據(jù)庫中記錄了通過人工識別得出的惡意數(shù)據(jù)。人工識別惡意數(shù)據(jù)是通過統(tǒng)計某ip地址惡意行為的次數(shù)，惡意行為的次數(shù)超過閾值，則ip地址為惡意數(shù)據(jù)。

通過將可疑數(shù)據(jù)和人工識別的惡意數(shù)據(jù)進行比較，若可疑數(shù)據(jù)存在于人工 識別的惡意數(shù)據(jù)庫中，將該可疑數(shù)據(jù)作為惡意數(shù)據(jù)，進一步提高了識別的正確率。

在一個實施例中，在該將該標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地的步驟之后，該基于反向釣魚的惡意識別方法還包括：定期更新標簽數(shù)據(jù)到該標簽數(shù)據(jù)庫中；將更新的標簽數(shù)據(jù)注入到該數(shù)據(jù)擴散地。

本實施例中，定期可根據(jù)需要確定時間，如1個月或2個月等。更新標簽數(shù)據(jù)可重新從業(yè)務(wù)數(shù)據(jù)中按照指定規(guī)則選取新的數(shù)據(jù)，將新的數(shù)據(jù)標記存入到標簽數(shù)據(jù)庫中。然后將更新的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，再進行監(jiān)控，更新標簽數(shù)據(jù)，以保證惡意數(shù)據(jù)識別的準確率。

進一步的，在一個實施例中，上述基于反向釣魚的惡意識別方法還包括：定期刪除標簽數(shù)據(jù)庫中的標簽數(shù)據(jù)。將舊的標簽數(shù)據(jù)刪除，為新的標簽數(shù)據(jù)節(jié)省空間。

在一個實施例中，基于反向釣魚的惡意識別方法還包括：定期更新人工識別的惡意數(shù)據(jù)庫。具體地，定期將通過人工識別的惡意數(shù)據(jù)添加到人工識別的惡意數(shù)據(jù)庫中，保證數(shù)據(jù)的不斷更新，避免漏掉新增加的惡意數(shù)據(jù)。

在一個實施例中，在該比較所述輸入的數(shù)據(jù)與所述配置的標簽數(shù)據(jù)，若相同，則表示所述輸入的數(shù)據(jù)為標簽數(shù)據(jù)的步驟之后，該基于反向釣魚的惡意識別方法還包括：統(tǒng)計各個標簽數(shù)據(jù)被輸入的次數(shù)；將被輸入的次數(shù)超過次數(shù)閾值的標簽數(shù)據(jù)從標簽數(shù)據(jù)庫中刪除。

本實施例中，次數(shù)閾值可根據(jù)需要設(shè)置，如50次、100次等，超過次數(shù)閾值，則將標簽數(shù)據(jù)從標簽數(shù)據(jù)庫中刪除，因該標簽數(shù)據(jù)多次被使用，再次被使用的概率降低，不適合再被作為標簽數(shù)據(jù)進行反向釣魚檢測。

圖4為一個實施例中基于反向釣魚的惡意識別方法應(yīng)用于即時通信賬號業(yè)務(wù)中的過程示意圖。如圖4所示，該基于反向釣魚的惡意識別方法，包括：

步驟401，從即時通信賬號中選取號段為200000至299999的賬號，標記為標簽數(shù)據(jù)，并記錄在標簽數(shù)據(jù)庫中。

步驟402，從標簽數(shù)據(jù)庫中獲取標簽數(shù)據(jù)，并將標簽數(shù)據(jù)注入到論壇或貼吧。

步驟403，獲取在驗證密碼或賬號申訴中輸入的數(shù)據(jù)。

步驟404，將輸入的數(shù)據(jù)與配置的標簽數(shù)據(jù)進行比較。

步驟405，若相同，則表示輸入的數(shù)據(jù)為標簽數(shù)據(jù)，獲取與輸入的標簽數(shù)據(jù)一起的ip地址和設(shè)備標識。

步驟406，分析各個輸入的標簽數(shù)據(jù)一起的ip地址為同一ip地址或同一設(shè)備標識，則該ip地址和設(shè)備標識為可疑數(shù)據(jù)。

步驟407，將ip地址和設(shè)備標識與人工識別的惡意數(shù)據(jù)庫進行比對，若在人工識別的惡意數(shù)據(jù)庫中存在該ip地址或設(shè)備標識，則該ip地址或設(shè)備標識為惡意數(shù)據(jù)。

上述基于反向釣魚的惡意識別方法還可以應(yīng)用于電子郵箱檢測、各種注冊賬號檢測等。

圖5為一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖。如圖5所示，一種基于反向釣魚的惡意識別裝置，包括注入模塊502、輸入數(shù)據(jù)獲取模塊504、比較模塊506、相關(guān)數(shù)據(jù)提取模塊508、識別模塊510。其中：

注入模塊502用于將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，以便監(jiān)控場景中的用戶可以獲得所述配置的標簽數(shù)據(jù)。

本實施例中，將標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，是指將標簽數(shù)據(jù)發(fā)布到數(shù)據(jù)很容易被獲得的地方，如論壇、貼吧等。數(shù)據(jù)擴散地是指數(shù)據(jù)傳播的各種渠道。

輸入數(shù)據(jù)獲取模塊504用于獲取在監(jiān)控場景中輸入的數(shù)據(jù)。

本實施例中，監(jiān)控場景可為提前設(shè)置的場景，如密碼驗證場景、賬號申訴場景、修改密碼場景、消費場景等，不限于此。

在監(jiān)控場景中輸入的數(shù)據(jù)，可通過數(shù)據(jù)抓取函數(shù)直接抓取輸入框中輸入的數(shù)據(jù)。

比較模塊506用于將比較該輸入的數(shù)據(jù)與該預(yù)配置的標簽數(shù)據(jù)，若相同，則表示所述輸入的數(shù)據(jù)為標簽數(shù)據(jù)。

本實施例中，獲取到輸入的數(shù)據(jù)后，可將輸入的數(shù)據(jù)與標簽數(shù)據(jù)庫中的標簽數(shù)據(jù)進行比較，若輸入的數(shù)據(jù)在標簽數(shù)據(jù)庫中存在，則說明該輸入的數(shù)據(jù)為標簽數(shù)據(jù)，若輸入的數(shù)據(jù)在標簽數(shù)據(jù)庫中不存在，則表示該輸入的數(shù)據(jù)不為標 簽數(shù)據(jù)。

相關(guān)數(shù)據(jù)提取模塊508用于獲取該輸入的標簽數(shù)據(jù)的相關(guān)數(shù)據(jù)，得到可疑數(shù)據(jù)。

本實施例中，與輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)可包括輸入標簽數(shù)據(jù)的ip地址、設(shè)備標識、提交時間、提交地理位置中的一種或多種。ip地址是唯一的網(wǎng)絡(luò)地址。設(shè)備標識是輸入標簽數(shù)據(jù)的設(shè)備的唯一標識。提交時間是指提交輸入的數(shù)據(jù)的時間。提交地理位置是指提交輸入數(shù)據(jù)的地理位置。此外，相關(guān)數(shù)據(jù)還可包括瀏覽器類型、聯(lián)系方式等。

通過統(tǒng)計每個監(jiān)控場景中每個輸入的標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，得到與所有標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，對所有的相關(guān)數(shù)據(jù)進行分析，當所有標簽數(shù)據(jù)的一起的相關(guān)數(shù)據(jù)中包含同一個ip地址，或者同一個設(shè)備標識，或者在同一個時間段內(nèi)，則該ip地址或設(shè)備標識屬于可疑數(shù)據(jù)。

在一個實施例中，當統(tǒng)計得到與標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)中包含同一個ip地址或同一個設(shè)備標識超過預(yù)定數(shù)量時，則該ip地址和設(shè)備標識為可疑數(shù)據(jù)。

識別模塊510用于分析可疑數(shù)據(jù)，得到惡意數(shù)據(jù)。

上述基于反向釣魚的惡意識別裝置，通過將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，獲取到在監(jiān)控場景中輸入的數(shù)據(jù)，將輸入的數(shù)據(jù)與配置的標簽數(shù)據(jù)進行比較，若相同，則表示該輸入的數(shù)據(jù)為標簽數(shù)據(jù)，獲取與標簽數(shù)據(jù)一起的相關(guān)數(shù)據(jù)，分析相關(guān)數(shù)據(jù)得到可疑數(shù)據(jù)，將可疑數(shù)據(jù)作為惡意數(shù)據(jù)，因?qū)撕灁?shù)據(jù)反向釣魚注入到壞人的產(chǎn)業(yè)鏈，識別出的惡意數(shù)據(jù)更加正確。

在一個實施例中，識別模塊510還用于將該可疑數(shù)據(jù)與人工識別的惡意數(shù)據(jù)庫進行比對，若該可疑數(shù)據(jù)在該人工識別的惡意數(shù)據(jù)庫中存在，則將該可疑數(shù)據(jù)作為惡意數(shù)據(jù)。

本實施例中，人工識別的惡意數(shù)據(jù)庫中記錄了通過人工識別得出的惡意數(shù)據(jù)。人工識別惡意數(shù)據(jù)是通過統(tǒng)計某ip地址惡意行為的次數(shù)，惡意行為的次數(shù)超過閾值，則ip地址為惡意數(shù)據(jù)。

通過將可疑數(shù)據(jù)和人工識別的惡意數(shù)據(jù)進行比較，若可疑數(shù)據(jù)存在于人工 識別的惡意數(shù)據(jù)庫中，將該可疑數(shù)據(jù)作為惡意數(shù)據(jù)，進一步提高了識別的正確率。

圖6為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖。如圖6所示，一種基于反向釣魚的惡意識別裝置，除了包括注入模塊502、輸入數(shù)據(jù)獲取模塊504、比較模塊506、相關(guān)數(shù)據(jù)提取模塊508和識別模塊510，還包括標記模塊512。

標記模塊512用于在該將配置的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地之前，根據(jù)指定規(guī)則從業(yè)務(wù)數(shù)據(jù)中選取數(shù)據(jù)，標記該選取的數(shù)據(jù)，將標記后的數(shù)據(jù)作為標簽數(shù)據(jù)，記錄在標簽數(shù)據(jù)庫中。

具體地，將選取的數(shù)據(jù)記錄在標簽數(shù)據(jù)庫中，標記該選取的數(shù)據(jù)用于反向釣魚檢測。例如，業(yè)務(wù)數(shù)據(jù)為即時通信賬號，指定規(guī)則為某一個號段的即時通信賬號，如100000至299999號段的即時通信賬號，作為標簽數(shù)據(jù)。

再如，業(yè)務(wù)數(shù)據(jù)為電子郵箱，指定規(guī)則為后綴為@abc.com、申請時間為2000年至2001的電子郵箱，將該符合指定規(guī)則的電子郵箱賬號作為標簽數(shù)據(jù)。

也就是根據(jù)不同類型的業(yè)務(wù)數(shù)據(jù)，對應(yīng)的指定規(guī)則不同，所選取的數(shù)據(jù)作為標簽數(shù)據(jù)也不同。

圖7為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖。如圖7所示，一種基于反向釣魚的惡意識別裝置，除了包括注入模塊502、輸入數(shù)據(jù)獲取模塊504、比較模塊506、相關(guān)數(shù)據(jù)提取模塊508、識別模塊510、標記模塊512，還包括更新模塊514。

更新模塊514用于在該注入模塊將該標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地之后，定期更新標簽數(shù)據(jù)到該標簽數(shù)據(jù)庫中。

該注入模塊502還用于將更新的標簽數(shù)據(jù)注入到該數(shù)據(jù)擴散地。

本實施例中，定期可根據(jù)需要確定時間，如1個月或2個月等。更新標簽數(shù)據(jù)可重新從業(yè)務(wù)數(shù)據(jù)中按照指定規(guī)則選取新的數(shù)據(jù)，將新的數(shù)據(jù)標記存入到標簽數(shù)據(jù)庫中。然后將更新的標簽數(shù)據(jù)注入到數(shù)據(jù)擴散地，再進行監(jiān)控，更新標簽數(shù)據(jù)，以保證惡意數(shù)據(jù)識別的準確率。

圖8為另一個實施例中基于反向釣魚的惡意識別裝置的結(jié)構(gòu)框圖。如圖8所示，一種基于反向釣魚的惡意識別裝置，除了包括注入模塊502、輸入數(shù)據(jù)獲取模塊504、比較模塊506、相關(guān)數(shù)據(jù)提取模塊508、識別模塊510、標記模塊512，還包括統(tǒng)計模塊516和刪除模塊518。

統(tǒng)計模塊516用于在比較模塊比較所述輸入的數(shù)據(jù)與所述配置的標簽數(shù)據(jù)之后，統(tǒng)計各個標簽數(shù)據(jù)被輸入的次數(shù)。

刪除模塊518用于將被輸入的次數(shù)超過次數(shù)閾值的標簽數(shù)據(jù)從標簽數(shù)據(jù)庫中刪除。

本實施例中，次數(shù)閾值可根據(jù)需要設(shè)置，如50次、100次等，超過次數(shù)閾值，則將標簽數(shù)據(jù)從標簽數(shù)據(jù)庫中刪除，因該標簽數(shù)據(jù)多次被使用，再次被使用的概率降低，不適合再被作為標簽數(shù)據(jù)進行反向釣魚檢測。

在其他實施例中，一種基于反向釣魚的惡意識別裝置，可包括注入模塊502、輸入數(shù)據(jù)獲取模塊504、比較模塊506、相關(guān)數(shù)據(jù)提取模塊508、識別模塊510、標記模塊512、更新模塊514、統(tǒng)計模塊516、刪除模塊518中任意可能的組合。

本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法中的全部或部分流程，是可以通過計算機程序來指令相關(guān)的硬件來完成，所述的程序可存儲于一非易失性計算機可讀取存儲介質(zhì)中，該程序在執(zhí)行時，可包括如上述各方法的實施例的流程。其中，所述的存儲介質(zhì)可為磁碟、光盤、只讀存儲記憶體(read-onlymemory，rom)等。

以上所述實施例僅表達了本發(fā)明的幾種實施方式，其描述較為具體和詳細，但并不能因此而理解為對本發(fā)明專利范圍的限制。應(yīng)當指出的是，對于本領(lǐng)域的普通技術(shù)人員來說，在不脫離本發(fā)明構(gòu)思的前提下，還可以做出若干變形和改進，這些都屬于本發(fā)明的保護范圍。因此，本發(fā)明專利的保護范圍應(yīng)以所附權(quán)利要求為準。