[发明专利]一种定向钓鱼攻击事件发现方法及装置

说明书

本发明公开了一种定向钓鱼攻击事件发现方法及装置，该方法包括：获取和分析的用户的网络访问数据，并根据配置规则，筛选出可疑登录行为；根据所述可疑登录行为，获取用户实际登录页面特征；比较所述实际登录页面特征与所述配置规则的差别，和计算所述实际登录页面特征与官方登录页面特征的仿冒度，以判断定向钓鱼攻击事件。本发明不局限于传统钓鱼页面识别的单一目标，使得围绕定向钓鱼攻击行为的完整事件发现、综合威胁评估成为可能。本发明可使业务部门通过监测受保护系统原始流量，对系统登录行为进行有效监管，及时准确地发现定向钓鱼攻击事件，并进行告警，提醒用户及时更换密码以阻断攻击者的进一步攻击行为。

技术领域

本发明属于网络安全技术领域，尤其涉及一种定向钓鱼攻击事件发现方法及装置。

技术背景

定向钓鱼指的是攻击者构造与攻击目标经常使用的系统登录页面高度相似的仿冒登录页面，并诱使攻击目标点击指向仿冒登录页面的恶意钓鱼链接，以盗取用户名、密码等凭证信息的攻击手段。定向钓鱼攻击事件指用户在仿冒登录页面中输入并上传用户名、密码等凭证信息，造成凭证信息泄露的攻击事件。

目前，现有技术中出现了大量钓鱼网站的检测方法，仅专注于钓鱼页面的发现，对钓鱼是否成功、威胁程度等方面的研究尚显不足，且存在检测维度不完善、检测流程不明晰等系列问题，导致无法高效、准确地发现定向钓鱼攻击事件，进行精准告警，提醒用户及时更换密码以阻断攻击者的进一步攻击行为。例如中国发明专利申请CN103179095公开了一种检测钓鱼网站的方法及客户端装置，其获取目标网站的网址，并根据所述网址获取目标网站的页面信息；从目标网站的页面信息中提取出关键区域特征，并与真实关键区域特征库中的关键区域特征进行界面图像相似度的匹配；如果界面图像相似度的匹配度符合第二预设条件，则确定目标网站为钓鱼网站，否则确定目标网站为正常网站。该专利申请即专注于页面信息的发现，也无法判断钓鱼是否成功。

发明内容

针对定向钓鱼攻击事件发现的需求，本发明的目的在于提出一种定向钓鱼攻击事件发现方法及装置，通过从用户的网络访问数据中筛选识别可疑登录行为，提取多维特征计算登录页面的仿冒度，从而实现定向钓鱼攻击事件的精准发现并告警。

一种定向钓鱼攻击事件发现方法，其步骤包括：

1)获取用户网络访问数据，根据配置规则，筛选出可疑登录行为；

2)根据所述可疑登录行为，获取用户实际登录页面特征；

3)根据所述实际登录页面特征与所述配置规则，及所述实际登录页面特征与官方登录页面特征的仿冒度，发现定向钓鱼攻击事件。

进一步地，所述网络访问数据包括网络流量数据，用户终端获取的主机数据。

进一步地，建立所述配置规则的方法，其步骤包括：

1)设定若干个受监测的目标系统，采集目标系统数据，并进行特征提取；

2)根据目标系统特征，获取用户名密码关键字、定向钓鱼页面域名黑名单、定向钓鱼页面IP黑名单、非定向钓鱼页面域名白名单，作为配置规则。

进一步地，所述目标系统包括通过Web登录方式进行身份认证的邮箱系统、OA系统和网站系统。

进一步地，所述目标系统特征包括从用户访问数据中识别目标系统的IP地址、域名、U RL地址、标题内容和样式内容。

进一步地，所述实际登录页面特征为从用户网络访问数据中识别的实际登录页面的IP地址、域名、URL地址、标题内容和样式内容。

进一步地，所述仿冒度指基于域名、URL地址、页面标题和页面样式多维特征计算得出的实际登录页面与官方登录页面的最大相似度。