[发明专利]一种基于内容分析的判断钓鱼网站的方法

说明书

技术领域

本发明涉及一种钓鱼网站的判断方法，尤其是一种基于内容分析的判断钓鱼网站的方法。

背景技术

所谓“钓鱼网站”是一种网络欺诈行为，指不法分子利用各种手段，仿冒真实网站的URL地址以及页面内容，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料，并凭借骗取的用户信息进一步获取经济利益。

“钓鱼网站”近来在全球频繁出现，严重地影响了在线金融服务、电子商务的发展，危害公众利益，影响公众应用互联网的信心。钓鱼网站通常伪装成为银行网站，窃取访问者提交的账号和密码信息。现在的钓鱼网站不仅通过电子邮件传播，更多的是通过聊天工具、论坛、搜索引擎来传播，比如在邮件中加入一个经过伪装的链接将收件人联到钓鱼网站。钓鱼网站的页面与真实网站界面基本一致，要求访问者提交账号和密码。一般来说钓鱼网站结构很简单，只有一个或几个页 面，URL和真实网站有细微差别。

常规的钓鱼网站鉴别方法包括对网站的url和具体内容进行鉴别。对于基于url的判断，安全服务商需建立完整的钓鱼网站数据库，尽量收集已知的钓鱼网站url样本，在基于已知的url样本对待鉴别url做出判断，换句话说，此类方法严重依赖于数据库的样本数量。对于对网站的内容进行鉴别需要将网站信息发送给服务器，并由服务器根据其海量数据和超强运算能力对网站内容进行鉴别，再将判断结果发给客户端，传统的此类判断方法效率较低，花费时间较长，从而降低了拦截效果。

发明内容

针对以上情况，本发明提供一种新型的基于内容分析的钓鱼网站判断方法。

本发明的技术方案是：

一种基于内容分析的判断钓鱼网站的方法，包括设置在用户机器上的客户端以及设置在安全服务提供商侧的服务器端，其中所述服务器端具有存储有现有已知钓鱼网站url信息的黑名单数据库、存储有现有已知非钓鱼网站url信息的白名单数据库、存储有从已知钓鱼网站的内容数据中统计出来的钓鱼网站特征规律的特征数据库以及基于所述特征数据库对提取的url内容信息进行分析匹配的分析机，并包括以下步骤：

1）所述客户端将用户访问的未知网站的url数据发送至所述服务器端；

2）所述服务器端接收客户端发送的未知网站的url数据，并根据所述黑、白名单数据库进行比较分析，如果所述url位于所述黑名单数据库或白名单数据库中，则终止处理并将结果返回到客户端；如果所述url不在所述黑、白名单数据库中，则将所述url判断为灰网址，并进行下一步处理；

3）在服务器端下载所述url的相关内容信息；

4）在服务器端加载和解析特征数据库里的特征文件，然后利用分析机根据所下载的内容信息逐条和特征数据库里的特征进行匹配；

5）将匹配结果反馈给所述客户端；

6）所述客户端根据所述服务器端所反馈的判断结果允许或者拒绝用户继续访问所述网站，并给出相应的拒绝访问说明。

作为以上技术方案的一种改进，步骤3中的内容信息包括网站的url本身、JavaScript脚本、标题、文本以及布局。

作为以上技术方案的一种改进，每一被判断为钓鱼网站的相应网站内容数据均被加入到数据库中作为提取钓鱼网站特征规律的原始数据。

本发明的有益效果是：

本发明所提供的钓鱼网站判断方法，在内容匹配之前采用黑、白名单匹配，能大大加快基于网站内容分析的方法的分析判断速度，在实际应用中可将鉴定时间缩短到1分钟左右。本发明在已知钓鱼网站的内容数据中提取对比特征数据，对未知网站的内容进行匹配，并根据经验值进行判断，具有方便、快捷、高效、适用性广的优点。

附图说明

图1为本发明的流程图。

具体实施方式

在本发明的一个具体实施例中，此方法可通过一个含有互相通信的客户端和服务器端的系统所实现，其中客户端可以是安装在用户机器上的安全防护软件或者是所述安全防护软件的一部分，而对应地，服务器端可以是设置在安全提供商侧的中心服务器，为所有与其连接的客户端提供后台服务。

在本发明中，本发明的功能由服务器端上的黑、白名单数据库、特征数据库以及分析机所实现，其中黑、白名单数据库存储有现有已知的钓鱼网站、非钓鱼网站的url信息，特征数据库存储有从已知钓鱼网站的内容历史数据中统计出来的钓鱼网站特征规律，分析机用于基于所述特征数据库对提取的url内容信息进行分析匹配。