[发明专利]一种面向URL的钓鱼网站检测方法

说明书

本发明公开一种面向URL的钓鱼网站检测方法，包括以下步骤：截获用户要访问的URL并发送给服务器端；服务器端将URL分隔成固定长度的五个部分；嵌入层利用CNN和BiLSTM法提取以上五个部分的URL特征并将其转化成一个向量；利用TF‑IDF和注意力机制筛选有用特征以此来降低特征向量的维度，即得到一个精简的URL最优特征向量；利用数据集训练全连接层神经网络分类器；用最优特征向量表示的URL送入全连接层神经网络分类器，并根据计算出来的概率判定其是否为钓鱼网站的URL。本发明充分利用深度学习算法的优点，并且利用Attention机制降低特征维度，大大提高检测钓鱼网站的准确性和速度。

技术领域

本发明属于信息安全技术，具体涉及一种面向URL的钓鱼网站检测方法。

背景技术

根据APWG(反网络钓鱼工作组)报告，2020年第一季度钓鱼网站的数量已达165772个，是2019年第四季度的一倍以上。更为严重的是，网络钓鱼攻击的手段在不断的更新，网络钓鱼攻击不再仅限于由电子邮件、即时消息和弹出窗口等传统媒体发起。当前，移动平台和社交网站在人们的日常通信中得到了极大的普及和广泛的应用。新的通信方式不仅给用户间的沟通带来了极大的便利，也为网络钓鱼攻击的传播提供了新的渠道。例如QR(QuickResponse)代码、鱼叉式网络、欺骗性移动应用程序都有可能成为传播钓鱼网络攻击的途径。

实际上，钓鱼网站检测是一个二分类问题，检测的结果只有两种可能，即“钓鱼网站”或“合法网站”。目前，除了通过培训方式来提高网络用户识别网络钓鱼攻击的能力之外，许多自动化的方法被用来检测网络钓鱼攻击，如黑名单法、视觉相似性检查、基于深度学习和机器学习的方法等。

但是这几种方法在实际应用时，存在一些问题：黑名单检测法不分析钓鱼网站的内容，很难应对那些没有出现在黑名单中的钓鱼网站的URL；视觉相似性检查法会给目标平台带来较大的计算负担；基于机器学习的检测方法中的特征提取时，这些特征一旦被钓鱼开发者知晓，他们便可以绕过这些特征的检测，并且通过手动的提取或第三方服务获取的特征将导致基于机器学习方法难以处理大规模的网络钓鱼数据集以及检测效率低下等问题；基于深度学习的检测方法在使用中不需要人为干预，这会使得最终生成的特征向量维度过大而导致神经网络学习的速率变缓。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种面向 URL的钓鱼网站检测方法。

技术方案：本发明的一种面向URL的钓鱼网站检测方法，包括以下步骤：

步骤S1、获取用户目标网站的URL并将其发送至服务器端；

步骤S2、服务器端解析所接收到的目标网站的URL，并提取相关特征；

服务器端收到对应URL后先将其按照传输协议、子域名、主域名、域名后缀和资源在网站中的路径解析拆分为五个固定长度的字符串；然后使用独热编码 (one-hotfragment)和嵌入层分别将这个五个字符串变换为向量；接着将对应向量输入CNN网络和BiLSTM模型进行特征提取；最后采用改进的注意力 Attention机制进行特征选取最终获得该URL的最优特征向量；

步骤S3、将所提取的相关特征通过服务器端的神经网络分类器进行分析判定，以确认目标网站是否为合法网站，并将判定结果返回至目标平台的WEB浏览器；神经网络分类器中样本数据集包括钓鱼网站URL数据和合法网站URL数据；

步骤S4、WEB浏览器收到判定结果后，如果确认是钓鱼网站则显示提示框提醒用户，如果确认不是钓鱼网站则用户进行正常网页浏览。

进一步的，所述步S1中获取目标网站URL的方法包括以下：

(a)、跟踪检测用户所点击使用应用程序(邮件、微信、短信等)的URL 地址；

(b)、跟踪检测用户在浏览器地址栏中输入要访问的URL地址，并通过按下回车键截获该URL地址。