[发明专利]一种钓鱼网站鉴别系统和方法

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种钓鱼网站鉴别系统和方法。

背景技术

随着电子商务和在线交易的普及，网络钓鱼已经成为最为严重的一种网络犯罪形式。所谓“钓鱼网站”，是指不法分子利用各种手段，仿冒真实网站的地址以及页面内容，或者利用真实网站服务器程序上的漏洞，在站点的某些网页中插入危险的HTML代码，以此来骗取用户银行或信用卡账号、密码等私人资料。由于欺骗手段的隐蔽性及欺骗方式的多样性，钓鱼网站往往令网民难以识别，导致严重损失。据中国互联网络信息中心统计，钓鱼网站数量在过去一年新增87.3万家，360安全中心对其拦截量则高达81亿次，相当于平均每秒就有256个网民访问钓鱼网站。用户在上网过程中面临的钓鱼欺诈已经成为最严重的网络安全威胁之一。

为了应对网络钓鱼的威胁，减少钓鱼网站的数量，国内外展开了多种反钓鱼的研究工作，目前主要有以下四类方法与技术：

（1）基于黑名单的检测技术。

黑名单是一种广泛使用的用于检测钓鱼网站的方法。黑名单技术是指将所有已经发现的钓鱼站点和可信网站的URL记录到一个列表(即黑名单)中，据此判断用户所访问的网站是否为钓鱼/安全网站。黑名单随着存活的钓鱼网站的增加而增加到反钓鱼网站数据库中。由于新创建的钓鱼网站的垃圾邮件活动一般会持续4-6个小时，因此在列出黑名单和禁用钓鱼网站的时候，钓鱼网站可能已经移动到了新的URL上面。因此黑名单技术仍具有一定的局限性，它无法预测新的钓鱼攻击，并且如果通过DNS劫持，将用户输入的网站重新定向到钓鱼网站，黑名单技术将无法解决这种重定向的问题（Stamm,S.,Ramzan,Z.,&Jakobsson,M.(2007).Drive-by Pharming.Information and Communication Security.Zhengzhou,China）。

（2）基于URL的检测技术。

基于URL的检测技术主要使用URL本身的信息来确定其是否为恶意链接，钓鱼网站使用多种技术使受害者相信链接是合法的，例如使用比较长的字符，如www.bankofamerica.com.X.Y.Z.org。这些长的主机名之所以能够欺骗受害者，主要是因为他们看到了地址中有他们预期的域名（BRADLEY WARDMAN.AA SERIES OF METHODS FOR THE SYSTEMATIC REDUCTION OF PHISHING[D].BIRMINGHAM,ALABAMA,2011.）。基于URL的反钓鱼技术主要是通过URL地址相似度、域名概率评估、网站排名、注册信息、网址类型、页面的外链数目、IP及端口号等信息进行钓鱼检测识别，但是，基于URL的检测技术也无法解决DNS劫持问题。

（3）基于视觉的检测技术。

基于视觉的检测技术主要是通过网页图像或者空间布局进行检测。但该方法只能用于某个网站的检测，同时数学特性十分复杂，计算复杂度高，目前仅停留在学术研究，还未应用到实际检测中。

（4）基于内容的检测技术。

基于内容的检测技术需要使用软件工具，主要是指网络网虫，用来下载网站的内容，从网站内容中提取出能够识别网络钓鱼的特征，这些技术一般利用强大的搜索技术，以确保能够全面检索网站内容，然后使用不同的机器学习方法来对网站进行鉴别，但是目前基于内容的检测技术仍具有较高的误报率，还难于满足实际应用的需求。

综上可知，目前检测钓鱼网站的研究方法与技术主要存在的问题包括：1）以URL地址、域名注册信息、网站排名等信息作为网站特征进行钓鱼网站的识别技术，识别率较低；2）以网页内容等信息作为特征进行智能钓鱼网站识别的技术，相关研究大多复杂度高、误报率高，难于满足数目快速增长的钓鱼网站的检测防御需要。此外，当前反钓鱼研究基本都集中在对英文钓鱼网站的识别，对中文钓鱼网站检测研究较少，因此需要对中文钓鱼网站进行全面研究，提取出适合中文钓鱼网站的特征表征与特征提取方法，进而对中文钓鱼网站进行分析，采取合理的分类方法进行鉴别，提高检测的准确率。

发明内容

针对上述问题，本发明的目的是提供一种可解决上述技术问题的钓钓鱼网站鉴别系统和方法。

一种钓鱼网站鉴别系统，其包括：

特征提取模块，用于提取网站的页面信息及排名信息，并获得特征向量；

特征向量降维模块，其和所述特征提取模块相连接，用于对所述特征向量进行降维，获得降维后的特征向量；