[发明专利]一种启发式检测钓鱼网站的方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种启发式检测钓鱼网站的方法及系统。

背景技术

随着互联网的迅速发展，人们的日常生活和互联网联系的越来越紧密，即时通讯、网络游戏、网上理财、网上支付等几乎每天伴随着人们。但是，随着信息发展而带来的信息安全问题也日趋严重。当前，网络钓鱼已经成为网络安全领域最热门的话题。它虽然不是一种新的病毒入侵方法，但是其危害范围却在逐渐扩大，成为近期最严重的网络威胁之一。所谓“钓鱼网站”是指不法分子利用各种手段仿冒真实网站的地址以及页面内容，欺骗用户输入真实的账户资料，从而获取用户的相关资料，包括：银行账户、社交账号、手机号码、身份信息、游戏账号等多种私人资产。

据统计，钓鱼网站带来的危害已经逐步赶上，甚至超过病毒给用户带来的危害。据估计，国内网络钓鱼让网民的损失已达76亿元。如此巨大的利益引诱下，钓鱼网站也已逐步显现出较为成熟和完整的“产业链”，甚至可以花费很少的资金就能立刻拥有一个和某些电子商务网站一摸一样的界面。例如：最近比较常见的QQ异常登录的钓鱼网站，该事件的场景是，黑客通过发送一个电子邮件给用户，告知该用户的QQ号码频繁异地登录，并提供一个链接，声称通过此链接来解除限制，该链接点击进去是一个和QQ安全中心非常相似的一个页面，页面要求输入用户QQ号和密码，并随后要求输入财付通账户、用户身份证和支付密码等敏感信息，一旦输入该用户的私人账号和钱财就会被窃。随着互联网的普及，越来越多的中老年和青少年入网，他们对互联网涉世不深，网络安全知识匮乏，极易被引诱上当，这也就驱使着越来越多的人将矛头指向钓鱼网站来“钓”取网络安全弱势群体的利益。为此打击网络犯罪、抵制网络钓鱼变的刻不容缓。目前钓鱼网站的识别主要依靠人工举报、基于黑名单技术识别。

在钓鱼网站刚刚兴起的早期阶段，由于钓鱼网站的数量少，种类简单，依靠人工识别的方式来反钓鱼是可以满足当时的背景，但如今钓鱼网站激增，人工识别周期较慢，已经不能完全应对如今的信息安全情境。另一个是黑名单识别技术，黑名单识别技术是将恶意网站入库，当访问未知网站时，进行和黑名单库比对，如果匹配成功之后就会向用户显示钓鱼网站的警告，同时拦截用户对该页面的访问。黑名单技术的一个明显缺陷是：它仅仅可以检测识别已知的有害的恶意网站。对新的钓鱼攻击威胁则无能为力，这直接导致这种传统检测拦截方法的成功率较低。

发明内容

本发明所述的技术方案通过分析钓鱼网站存在的普遍共性特征，对待检测网站的首页页面源码进行爬取，并进一步判断是否存在重复相同的超链接URL，并继续判断这些重复的超链接URL所对应的超链接文本标签是否重复相同，若彼此不同，则该网站为钓鱼网站的可能性较大。本发明所述技术方案不仅能够迅速识别钓鱼网站，并且能够给出待检测网站为钓鱼网站的概率，从而降低误报。

本发明采用如下方法来实现：一种启发式检测钓鱼网站的方法，包括：

爬取待检测网站的首页页面源码；

提取待检测网站的所有超链接URL；

判断是否存在重复的超链接URL，若不存在，则判定为安全网站，否则提取重复率最高的超链接URL对应的所有超链接文本标签；

计算提取的超链接文本标签的内容重复率，并基于内容重复率给出可疑指数A，所述A的值与所述内容重复率成反比；

基于A的值给出待检测网站为钓鱼网站的概率。

进一步地，在所述提取待检测网站的所有超链接URL之前，还包括：将所述待检测网站与白名单匹配，过滤已知安全网站。

进一步地，还包括：对待检测网站的内容进行爬取，并判断是否存在敏感库中存储的敏感词汇，若不存在，则为安全网站，否则设定可疑指数B，所述B的值根据经验设定；

所述基于A的值给出待检测网站为钓鱼网站的概率，替换为：基于A与B的值综合给出待检测网站为钓鱼网站的概率。

进一步地，还包括：判断待检测网站是否具备表单提交功能，若不具备，则为安全网站，否则设定可疑指数为C，所述C的值根据经验设定；

所述基于A的值给出待检测网站为钓鱼网站的概率，替换为：基于A与C的值综合给出待检测网站为钓鱼网站的概率。

更进一步地，还包括：判断所述表单提交过程是否为加密传输，若是，则设定可疑指数为D，否则设定可疑指数为d；

所述D和d的值根据经验进行设定，并满足D小于d；

所述基于A与C的值综合给出待检测网站为钓鱼网站的概率，替换为：基于A、C和D或者d的值综合给出待检测网站为钓鱼网站的概率。