[发明专利]网络钓鱼攻击的检测方法和装置

说明书

技术领域

本发明涉及到互联网技术领域，特别涉及到一种网络钓鱼攻击的检测方法和装置。

背景技术

网络钓鱼攻击者通常利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，而受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。传统的防网络钓鱼是通过收集恶意网址库来实现，但是，这种方法不能够及时对新出现的钓鱼网站进行识别，并且由于恶意网址库的不完整性，也会导致对某些已有的钓鱼网站也检测不出来，从而限制了防网络钓鱼攻击的效果。

发明内容

本发明的主要目的为提供一种网络钓鱼攻击的检测方法和装置，旨在及时识别并检测出网络钓鱼攻击，从而提升防网络钓鱼攻击的效果。

本发明提供一种网络钓鱼攻击的检测方法，包括：

识别客户端所发起的web访问请求；

解析并记录该web访问请求对应的用户请求域名；根据web服务器所返回的应答网页的页面特征在预置的网站识别库中查找对应的应答域名；

比对所述用户请求域名和所述应答域名是否一致，若是，则判定所述应答网页中不存在网络钓鱼攻击，若否，则判定所述应答网页中存在网络钓鱼攻击。

优选地，所述根据web服务器所返回的应答网页的页面特征在预置的网站识别库中查找对应的应答域名包括：

接收web服务器所返回的应答网页，提取所述应答网页的页面特征；

根据所提取的所述页面特征，在所述网站识别库中查找所述应答网页对应的应答域名。

优选地，在执行所述比对用户请求域名和所述应答域名是否一致，若是，则判定所述应答网页中不存在网络钓鱼攻击，若否，则判定所述应答网页中存在网络钓鱼攻击之后，还包括：

对客户端所请求的web访问请求进行相应的处理。

优选地，所述对客户端所请求的web访问请求进行相应的处理包括：

当判定所述应答网页中存在网络钓鱼攻击时，则根据用户的配置阻断或重定向所述应答网页的连接；

当判定所述应答网页中不存在网络钓鱼攻击时，则将所述应答网页转发至客户端。

本发明还提供一种网络钓鱼攻击的检测装置，包括：

Web流量识别模块，用于识别客户端所发起的web访问请求；

Web流量解析模块，用于解析并记录该web访问请求对应的用户请求域名；根据web服务器所返回的应答网页的页面特征在预置的网站识别库中查找对应的应答域名；

域名比对模块，用于比对所述用户请求域名和所述应答域名是否一致；

检测模块，用于当所述用户请求域名和所述应答域名一致时，判定所述应答网页中不存在网络钓鱼攻击；当所述用户请求域名和所述应答域名不一致时，判定所述应答网页中存在网络钓鱼攻击。

优选地，所述Web流量解析模块包括：

提取单元，用于接收web服务器所返回的应答网页，提取所述应答网页的页面特征；

查找单元，用于根据所提取的所述页面特征，在所述网站识别库中查找所述应答网页对应的应答域名。

优选地，网络钓鱼攻击的检测装置还包括：

请求处理模块，用于对客户端所请求的web访问请求进行相应的处理。

优选地，所述请求处理模块用于：

当判定所述应答网页中存在网络钓鱼攻击时，则根据用户的配置阻断或重定向所述应答网页的连接；

当判定所述应答网页中不存在网络钓鱼攻击时，则将所述应答网页转发至客户端。

本发明通过在客户端发起web访问请求后，识别该web访问请求，解析并记录其所对应的用户请求域名；然后在web服务器返回应答网页后，提取应答网页的页面特征，根据页面特征在预置的网站识别库中查找对应的应答域名；比对用户请求域名和应答域名是否一致，若是，则判定应答网页中不存在网络钓鱼攻击，若否，则判定应答网页中存在网络钓鱼攻击。采用这种方法，能够及时识别并检测出网络钓鱼攻击，从而提升防网络钓鱼攻击的效果。

附图说明

图1为本发明网络钓鱼攻击的检测方法第一实施例的流程示意图；

图2为本发明网络钓鱼攻击的检测方法第一实施例中根据页面特征查找对应的应答域名的流程示意图；

图3为本发明网络钓鱼攻击的检测方法第二实施例的流程示意图；

图4为本发明网络钓鱼攻击的检测方法第二实施例中对web访问请求进行处理的流程示意图；

图5为本发明网络钓鱼攻击的检测装置第一实施例的结构示意图；