[发明专利]基于页面特征匹配的钓鱼网站目标域名识别方法

权利要求书

1.一种基于页面特征匹配的钓鱼网站目标域名识别方法，其特征在于，包括以下步骤：

步骤1：获取一个待识别的钓鱼网站的URL，URL是网络资源统一定位符；将该URL地址中嵌套的域名、页面源代码中超链接所包含的域名、搜索引擎搜索结果中的域名和常用的被钓鱼目标域名都加入到目标域名识别范围；

步骤2：从目标域名识别范围去除CDN缓存加速服务器的域名，形成可疑目标范围集合D；CDN为内容分发网络；

步骤3：目标识别算法的特征相似性计算：

对可疑目标范围集合D中的每个域名d_j∈D(j＝1，2，...，N)计算基于URL地址特征、搜索特征和页面内容特征的六种特征值M_i(i＝1，...，6)，并计算每种特征的权重W_i，然后计算其特征相似性S：

S=Σi=16Wi·Mi]]>

N为可疑目标范围集合D中的域名总数；

步骤4：将目标域名识别范围D中的每个域名的特征相似性S按照从大到小的顺序进行排列，选取相似度最大的域名作为最终的钓鱼网站目标域名，目标检测结束。

2.根据权利要求1所述的基于页面特征匹配的钓鱼网站目标域名识别方法，其特征在于，所述的步骤1中，在获取钓鱼网站页面代码的时候增加预处理操作，参考希腊字母简表，将代码中所有的希腊字母转换成拉丁字母。

3.根据权利要求1所述的基于页面特征匹配的钓鱼网站目标域名识别方法，其特征在于，在步骤2中，计算PR值，PR为网页排名，将PR值为0的域名从目标范围中删除，以去除CDN缓存加速服务器对检测方法的干扰。

4.根据权利要求1-3任一项所述的基于页面特征匹配的钓鱼网站目标域名识别方法，其特征在于，在步骤3中，URL地址中嵌套的域名、页面源代码中超链接所包含的域名、搜索引擎搜索结果这三个方面提取出以下六种特征，(1)URL地址是否包含可疑目标网站顶级域名、(2)URL地址是否包含可疑目标网站二级域名、(3)网页标题是否包含可疑目标网站二级域名、(4)页面超链接包含可疑目标网站顶级域名的次数、(5)提取的页面7个关键词是否包含可疑目标网站二级域名和(6)搜索结果中包含可疑目标网站顶级域名的次数；

对于i＝1，2，3，5，M_i＝0表示特征匹配不成功，或者M_i＝1表示特征匹配成功；另外，M₄和M₆为第4个和第6个特征匹配成功的次数。

5.根据权利要求1所述的基于页面特征匹配的钓鱼网站目标域名识别方法，其特征在于，在步骤3中，权值W₁和W₂采用训练样本统计的方式获得，选取Phishtank上K个钓鱼网站样例作为特征权值计算样本；对于特征1，假设样本中URL嵌套可疑目标网站顶级域名的数目共有K₁个，嵌套的域名是真实目标网站的样本数为X₁，则W₁＝X₁/K₁；对于特征2，假设样本中URL嵌套可疑目标网站二级域名的数目共有K₂个，嵌套的域名是真实目标网站的样本数为X₂，则W₂＝X₂/K₂。K取值要求大于等于300。