[发明专利]一种钓鱼网站的检测方法及装置

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种钓鱼网站的检测方法及装置。 

背景技术

随着互联网的普及，越来越多的用户开始通过互联网进行交流和商务交易，电子商务、电子银行、网络游戏等互联网业务也随之发展起来。用户访问网站时，需要输入账号和密码等信息，当输入的账号和密码等信息正确时，用户可以进入网站进行网上操作。用户的账号和密码是用户进入这些网站进行操作的唯一标识，如果有人盗用用户的账号和密码，冒充用户进入网站，则可能对用户的利益造成侵害。如图1所示，在互联网使用中，有些不法分子通过钓鱼网站方式，显示给用户类似真实网站的页面，诱骗用户输入账号和密码，对用户的账号和密码进行盗用。钓鱼网站一般只有一个或几个页面，结构较为简单，钓鱼网站模仿真实网站的方式也多种多样，最常见包括以下几种： 

1、假冒真实网站的域名 

非法盗用者通过注册一个与真实网站域名相似的网站，模仿真实网站URL(Uniform Resource Locator，统一资源定位符)，改变URL的大小写或使用特殊字符使得用户误认为是真实网站。如利用“paypaI.com”假冒“paypal.com”，利用“barcIays.com”假冒“barclays.com”，利用“www.1cbc.com.cn”假冒“www.icbc.com.cn”等。也可以是通过将真实域名的一部分插入到假冒域名中，构成假冒域名。例如，利用“ebay-members-security.com”假冒“ebay.com”，利用“users-paypal.com”假冒“paypal.com”。 

2、以IP地址显示 

非法盗用者通过将钓鱼网站的URL以IP地址的形式显示，如http://210.93.131.250，由于许多真实网站的URL的IP地址也包含一些不透明 且不易理解的数字，以IP地址显示的钓鱼网站的URL不易被发现。 

由于互联网中存在上述多种钓鱼网站的攻击方式，会对用户的利益造成损害，因此，为了保护用户的利益，需要对众多网站中的钓鱼网站进行检测。现有的钓鱼网站检测方法主要包括以下几种： 

a、基于网站的IP进行检测，当钓鱼网站的URL使用IP地址代替主机名，时，这些主机通常没有申请域名，因此，可以利用DNS(Domain Name System，域名系统)对网站的IP地址进行反向域名解析得到网站的域名，如果该网站解析后没有域名，则该网站可能为钓鱼网站。 

b、基于网站的域名进行检测，通过建立一个真实网站的地址列表，该列表中包括所有真实网站的域名地址(该列表也称为白名单)，通过将网站的域名与真实网站的地址列表中的域名地址进行比较，判别该网站是否为钓鱼网站。 

c、基于网站的端口进行检测，80端口是为HTTP(HyperText TransportProtocol，超文本传输协议)开放，主要用于WWW(World Wide Web，万维网)服务上传输信息的协议；ISP(Internet Service Provider，互联网服务提供商)为了防止私自架设网站，如架设钓鱼网站，关闭了个人用户的URL端口，而非法盗用者则通过非80端口架设钓鱼网站，因此，通过检测网站的端口号，也可以判别该网站是否为钓鱼网站，即如果网站的端口号为非80端口，则可能是钓鱼网站。 

d、基于网站的页面信息的和视觉相似度进行检测，基于网站的页面信息分析是通过获取网页的HTML(HyperText Mark-up Language，超文本链接标识语言)中的网站名、所属机构名等身份信息来进行检测。通常在真实网站中，包括网站名、所属机构名等身份信息的HTML包括<TITLE>标记、<METANAME＝″KEYWORDS″/″DESCRIPTION″/″COPYRIGHT″>标记的CONTENT属性、<IMG/INPUT/AREA/OBJECT>标记的ALT属性，钓鱼网站为吸引用户访问，钓鱼网站会保留真实网站中的身份信息不变，引用真实网站的页面信息或将真实网站加以修改成为钓鱼网站，因此，钓鱼网站与真实网站的页面信息具有很大的相似度，通过判别网站的页面信息检测该网站是否为钓鱼网 站。对于与真实网站相似度较差的网站，用户认为这些网站不是自己需要的网站，对这些网站不进行操作。视觉相似度主要采用多指纹比较算法，即通过计算出被测网站与真实网站的指纹组，比较这两个网站的指纹组，如果指纹组的重叠度越高，则认为二者越相似，与真实网站页面信息相似度越高的网站越有可能为钓鱼网站。