[发明专利]一种定向钓鱼攻击事件发现方法及装置在审
| 申请号: | 201911367293.6 | 申请日: | 2019-12-26 |
| 公开(公告)号: | CN111147490A | 公开(公告)日: | 2020-05-12 |
| 发明(设计)人: | 刘澄澄;廖纯;赵双;白波;于平;王菲飞;于海波 | 申请(专利权)人: | 中国科学院信息工程研究所 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06 |
| 代理公司: | 北京君尚知识产权代理有限公司 11200 | 代理人: | 余长江 |
| 地址: | 100093 *** | 国省代码: | 北京;11 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 定向 钓鱼 攻击 事件 发现 方法 装置 | ||
1.一种定向钓鱼攻击事件发现方法,其步骤包括:
1)获取用户网络访问数据,根据配置规则,筛选出可疑登录行为;
2)根据所述可疑登录行为,获取用户实际登录页面特征;
3)根据所述实际登录页面特征与所述配置规则,及所述实际登录页面特征与官方登录页面特征的仿冒度,发现定向钓鱼攻击事件。
2.如权利要求1所述的方法,其特征在于,所述网络访问数据包括网络流量数据,用户终端获取的主机数据。
3.如权利要求1所述的方法,其特征在于,建立所述配置规则的方法,其步骤包括:
1)设定若干个受监测的目标系统,采集目标系统数据,并进行特征提取;
2)根据目标系统特征,获取用户名密码关键字、定向钓鱼页面域名黑名单、定向钓鱼页面IP黑名单、非定向钓鱼页面域名白名单,作为配置规则。
5.如权利要求3所述的方法,其特征在于,所述目标系统特征包括从用户访问数据中识别目标系统的IP地址、域名、URL地址、标题内容和样式内容。
6.如权利要求1所述的方法,其特征在于,所述实际登录页面特征为从用户网络访问数据中识别的实际登录页面的IP地址、域名、URL地址、标题内容和样式内容。
7.如权利要求1所述的方法,其特征在于,所述仿冒度指基于域名、URL地址、页面标题和页面样式多维特征计算得出的实际登录页面与官方登录页面的最大相似度。
8.如权利要求1所述的方法,其特征在于,判定所述定向钓鱼攻击事件时,发出告警;所述告警的内容包括钓鱼页面名称、钓鱼页面URL、仿冒对象名称、仿冒对象URL、威胁程度、告警ID、告警时间。
9.一种定向钓鱼攻击事件发现装置,包括:
规则配置与更新模块,用于存储并更新配置规则;
数据获取与筛选模块,用于获取用户网络访问数据,根据配置规则,筛选出可疑登录行为;
特征提取模块,用于根据所述可疑登录行为,获取用户实际登录页面特征;
定向钓鱼攻击事件检测模块,用于根据所述实际登录页面特征与所述配置规则,及所述实际登录页面特征与官方登录页面特征的仿冒度,发现定向钓鱼攻击事件。
10.如权利要求9所述的定向钓鱼攻击事件发现装置,其特征在于,所述配置规则包括用户名密码关键字、定向钓鱼页面域名黑名单、定向钓鱼页面IP黑名单、非定向钓鱼页面域名白名单。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于中国科学院信息工程研究所,未经中国科学院信息工程研究所许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/201911367293.6/1.html,转载请声明来源钻瓜专利网。
