[发明专利]一种基于hacker搜索语法的钓鱼站点检测方法

说明书

本发明公开了一种基于hacker搜索语法的钓鱼站点检测方法，包括步骤如下：S1：获取链接，利用已有的数据进行判定，检测该链接是否已经进行过判定，若是，则警告用户访问站点为钓鱼站点，若不是，则执行下一步；S2：对链接的URL进行解析，生成不同的搜索字符串，并结合Hacks搜索语法生成搜索模式；S3：根据搜索模式进行Hacks搜索，获得搜索结果；S4：根据搜索结果依次进行索引策略和资源策略的判定；S5：根据判定做出响应，若判定目标URL为钓鱼站点，则将URL加入本地数据库，并向用户发出警告正在访问站点可能为钓鱼站点；否则不做响应。本发明结合启发式策略有效检出钓鱼站点，包括部署在失陷站点上的钓鱼站点。

技术领域

本发明涉及网络安全技术领域，更具体的，涉及一种基于hacker搜索语法的钓鱼站点检测方法。

背景技术

伴随着网络技术的发展，互联网已深入到人们生活的方方面面。但网络给人们生活带来便利的同时也增加了各种网络犯罪的风险。网络攻击更具多元化、规模化、复杂化、持续化。域名解析服务作为网络的基础设施，已成为攻击者的主要攻击目标之一。其中，钓鱼攻击近年来呈明显增长的趋势。钓鱼攻击是一种欺骗性的攻击，攻击者通过伪造目标站点，诱使受害者在伪造站点上填写个人敏感信息，包括用户名，密码等，从而实现对这些敏感信息的窃取。钓鱼攻击可以通过多种方式实现，包括电子邮件、web站点、恶意软件等。

网络钓鱼攻击的日益严峻，极大的影响了用户在互联网上安全性，不仅阻碍了互联网的发展，并且也可能对社会造成不良影响。目前在钓鱼站点的研究上，主要包括三个方面：一是增加用户对网络钓鱼的认识，通过培训提高用户对钓鱼站点的识别能力，不轻易的相信来历不明的站点；二是从互联网发展角度培养网络用户的自发举报意识，形成良性的循环，共同守护互联网的安全；三是通过技术手段对钓鱼站点进行检测，提前向用户预警，阻断用户与钓鱼站点的接触。

目前的钓鱼站点检测研究主要可以分为四类，基于列表的检测方法、基于启发式的检测方法、基于第三方信誉的检测方法和基于机器学习的检测方法。

其中，基于列表的方法，即采用黑/白名单对访问域名进行匹配，是最简单最直接的方法，具有较高的准确度，系统开销小，但是其受限于名单的质量，需要高质量的黑名单才能有效检出钓鱼站点，而且不能防范未知的攻击。为了缓解黑名单的不足，文献[Ramanathan S,Mirkovic J,Yu M.BLAG:Improving the Accuracy of Blacklists[J]]为了提高黑名的准确性，提出了一个汇总和评估多个黑名单的系统-BLAG，并且其可以针对特定网络生成具有针对性的黑名单。BLAG通过利用黑名单的三个特性，聚合性，历史性和集中性，使用推荐系统对指定网络流量中的域名进行推断，降低黑名单的误分类。

基于启发式的方法从站点上抽取多种特征，然后设计启发式的判定条件来推断站点是否是钓鱼站点。但是抽取的目标特征并不一定存在，导致这种方法准确率较低，同时启发式的判定也容易被攻击者绕过。

基于第三方信誉值的方法通过获取第三方的数据，如搜索引擎排名，whois信息等，综合考虑判定。但是基于信誉值的方法存在一个问题，如果钓鱼站点部署在一个失陷站点上，则检测方法很容易失效。据Moore and Clayton(2007)研究，其观察到的钓鱼站点中76％的部署在失陷主机上。部署在失陷主机上有两个好处，一是可以利用当前域名的信誉度，有可能绕过检测；二是攻击者节约了攻击成本。文献[Rao R S,Pais A R.Jail-Phish:An improved search engine based phishing detection system[J].computersSecurity,2019,83:246-267]提出了一种利用域名搜索引擎排名的钓鱼检测方法-Jail-Phish，其通过动态生成目标站点的搜索字符串提高了搜索字符串的准确度，同时对搜索结果的返回页面进行分析，可以有效识别出部署在失陷站点上的钓鱼站点。