一種檢測釣魚網站的方法及裝置製造方法

2023-10-19 04:41:52 1

一種檢測釣魚網站的方法及裝置製造方法
【專利摘要】本發明公開了一種檢測釣魚網站的方法及裝置，涉及網絡安全【技術領域】，解決了現有技術中，對釣魚網站的檢測必須依賴第三方，檢測方式被動的技術問題。其中，該方法包括：按照預設的目標網站日誌路徑抓取所述目標網站的日誌數據；從所述日誌數據中記錄的來源頁面信息裡解析出跳轉到所述目標網站的來源站點的域名信息；根據所述域名信息檢測所述來源站點是否為釣魚網站。本發明實施例主要用於保護網站安全。
【專利說明】一種檢測釣魚網站的方法及裝置
【技術領域】
[0001]本發明涉及網絡安全【技術領域】，尤其涉及一種檢測釣魚網站的方法及裝置。
【背景技術】
[0002]所謂「釣魚網站」是一種網絡欺詐行為，指不法分子利用各種手段，仿冒真實網站的URL地址以及頁面內容，或者利用真實網站伺服器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡帳號、密碼等私人資料。
[0003]一般來說釣魚網站結構很簡單，只有一個或幾個頁面，URL和真實網站有細微差另IJ。例如針對某運營商網上營業的釣魚網站在其假冒頁面中包含帳號密碼輸入信息的部分連接至其伺服器，而頁面中的其他連結項如幫助頁面，新聞頁面等則無法訪問或者跳轉至真實網站的相關連結處。
[0004]現有技術中，對於新出現的疑似釣魚網站，目前的監控和檢測手段主要有:
[0005]1、「釣魚網站」受害者或發現者向相關監管機構舉報釣魚網站，監管機構經過鑑定判斷其是否為釣魚網站，如果是則收錄至釣魚網站庫中。
[0006]2、安裝在普通用戶pc機上的殺毒軟體或釣魚網站檢測控制項，根據普通用戶的訪問行為，以及自身的判斷方法來對用戶訪問的網站進行釣魚網站識別，最後對疑似或確定的釣魚網站進行上報和收錄。
[0007]3、部分安全廠商在大量網絡節點出部署安全設備，用於收集新出現的疑似釣魚網站的域名信息或統一資源定位符(Uniform/Universal Resource Locator, URL)信息。
[0008]但是，從以上三種對新出現的疑似釣魚網站的監控和檢測方法，對於企業的網絡站點自身來說，監控和發現新的疑似本企業釣魚網站的方法主要依靠釣魚受害者舉報、安全廠商或反釣魚聯盟等第三方機構，企業的網絡站點自身無法自主發現新出現的疑似釣魚網站。因此，導致了疑似釣魚網站的獲取方式非常被動，企業網絡站點無法依據自身資源對新出現的疑似釣魚網站進行主動檢測，故而降低了企業網絡站點自身防護釣魚網站的效率、損害了用戶的信息安全性。

【發明內容】

[0009]為了解決現有技術中網站僅能被動防範釣魚網站的問題，本發明的一個方面提出一種檢測釣魚網站的方法。
[0010]一種檢測釣魚網站的方法，包括:
[0011]按照預設的目標網站日誌路徑抓取所述目標網站的日誌數據；
[0012]從所述日誌數據中記錄的來源頁面信息裡解析出跳轉到所述目標網站的來源站點的域名信息；
[0013]根據所述域名信息檢測所述來源站點是否為釣魚網站。
[0014]一種檢測釣魚網站的裝置，包括:
[0015]抓取模塊，用於按照預設的目標網站日誌路徑抓取所述目標網站的日誌數據；[0016]解析模塊，用於從所述日誌數據中記錄的來源頁面信息裡解析出跳轉到所述目標網站的來源站點的域名信息；
[0017]檢測模塊，用於根據所述域名信息檢測所述來源站點是否為釣魚網站。
[0018]本發明提出的上述方案中，通過分析目標網站web伺服器日誌中的來源頁面(referer)欄位來統計和梳理訪問該網站的來源站點，而這些來源站點極大可能包括了一些釣魚網站，因此通過分析這些來源站點的域名信息可以檢測和鑑別新出現的釣魚網站，解決了現有技術中，網站僅能通過先被告知是釣魚網站，再進行防範的方式，進而實現了可主動檢測釣魚網站，提高企業的網絡站點自身防護釣魚網站的效率。
【專利附圖】

【附圖說明】
[0019]附圖用來提供對本發明的進一步理解，並且構成說明書的一部分，與本發明的實施例一起用於解釋本發明，並不構成對本發明的限制。在附圖中:
[0020]圖1為本發明實施例1中一種檢測釣魚網站的方法的應用場景示意圖；
[0021]圖2為本發明實施例1中一種檢測釣魚網站的方法的流程圖；
[0022]圖3為本發明實施例2中一種檢測釣魚網站的方法的流程；
[0023]圖4為本發明實施例3中一種檢測釣魚網站的裝置的結構示意圖。
【具體實施方式】
[0024]下面結合附圖，對本發明的【具體實施方式】進行詳細描述，但應當理解本發明的保護範圍並不受【具體實施方式】的限制。
[0025]實施例1
[0026]本實施例提供一種檢測釣魚網站的方法，該方法可以部署在網絡站點的web伺服器上，也可以部署在與網絡站點的伺服器相連接的設備上。當是第二種情況時，可以參考圖1所示的構架示意圖。該方法如圖2所示,包括:
[0027]步驟101，按照預設的目標網站日誌路徑抓取目標網站的日誌數據；
[0028]步驟102，從日誌數據中記錄的來源頁面信息裡解析出跳轉到目標網站的來源站點的域名信息；
[0029]步驟103，根據域名信息檢測來源站點是否為釣魚網站。
[0030]本實施例中，上述步驟103可有多種實現方式，在步驟101-102中主動獲取到域名信息後，甚至可利用現有的操作方法判斷是否為釣魚網站，例如人工判斷等。但是本發明也提供了優選方案。可具體參照下屬實施2中的步驟204。
[0031]一般來說，釣魚攻擊者為使釣魚網站做的更逼真，在整個釣魚網站設計時，假冒的網站中大部分連結會指向真實站點，只有極少幾個頁面和URL是虛假的。如針對金融或運營商網上營業廳的釣魚網站，一般將包含帳號密碼輸入信息的頁面做成釣魚頁面，其他頁面如幫助頁面，新聞頁面等全部指向真實金融或運營商網上營業廳的伺服器。
[0032]網站日誌數據中的referer欄位記錄了訪問該網站的上一級跳轉連結。例如通過百度搜索到某網站並點擊進入，則在該網站的曰志伺服器記錄中referer欄位會記錄百度的域名信息(由於一個網站的域名信息與該網站的URL有對應的關係，知道其中之一，一般都可以根據對應的關係找到另一，因此也可以認為referer欄位也記錄了百度的URL);若用戶是直接在地址欄中輸入網站URL，則referer欄位為空。根據釣魚網站和網站日誌數據中referer欄位的特性，再結合普通用戶對釣魚網站的訪問行為，本案的發明人提出基於referer欄位收集統計釣魚網站來源的方法。
[0033]例如，具體場景為:某釣魚攻擊者搭建了假冒網上營業廳的釣魚網站，該假冒網站中輸入用戶名密碼的頁面為攻擊者構造的頁面，其他如充值活動、客服和幫助等新聞頁面指向真實的網上營業廳地址。當普通用戶訪問了該釣魚網站，如果訪問了該釣魚網站中真實的連結頁面，則在真實的網上營業廳伺服器訪問日誌中留下訪問來源(即虛假釣魚網站)的URL，從而給釣魚網站的檢測提供素材。本實施結合上述分析和情況，提出了根據目標網站日誌中referer來檢測跳轉到該目標網站的來源站點的URL，主動檢測並識別該來源站點是否為釣魚網站的方法，因此本實施例中的方法與現有技術主要區別在於對疑似釣魚網站的來源檢測上，企業的網站不再需要依賴第三方機構，完全可以通過自己獨立進行釣魚網站檢測，故而可以取得可主動檢測出釣魚網站，提高企業網絡站點自身防護釣魚網站的效率的技術效果。
[0034]實施例2
[0035]本實施例具體提供一種檢測釣魚網站的方法，如圖3所示，該方法包括:
[0036]步驟201，檢測釣魚網站的裝置按照預設的目標網站日誌路徑抓取目標網站的日誌數據。
[0037]具體而言，本實施例的方法在部署時，在配置方面需要配置被監控和保護的目標web站點(目標web站點即目標網站)，其web訪問的日誌路徑。更優選的，還可以配置作業系統的帳戶口令，用於進行認證，保證安全性。
[0038]此外,再利用ssh/telnet或smb協議到目標web站點中遠程抓取相應日誌。
[0039]其中，對於windows站點主要採用smb協議,而對於Linux或Unix站點則採用ssh/telnet協議。因此,支持抓取的作業系統包括windows、Linux、Solaris、Aix等。其抓取方式也可採用周期性增量抓取的方式，抓取周期可以由管理員制定。
[0040]步驟202，檢測釣魚網站的裝置將抓取的日誌數據統一成可識別的格式。
[0041]步驟202實際上為一個對日誌數據進行預處理的過程。因為，對於遠程抓取到的訪問日誌數據，根據協議或系統的不同，可能有多種格式，故而需要進行識別和分析並進行泛化，形成統一可識別格式。本實施中，該方法支持分析的web容器可包括Apache、HS、Tomcat、WebSphere、Weblogic、resin 和 Nginx 等。
[0042]步驟203，檢測釣魚網站的裝置從日誌數據中記錄的來源頁面信息裡解析出跳轉到目標網站的來源站點的域名信息。
[0043]根據不同類型web容器產生的web訪問日誌數據，對步驟202中預處理的日誌數據中中referer欄位中的域名信息進行提取。
[0044]在這裡需要說明的是:現有主要的WEB日誌格式主要由兩類，一類是Apache的NCSA日誌格式，另一類是IIS的W3C日誌格式，並且現有的日誌數據中均會包含以下欄位:
[0045]訪問主機(remotehost)-顯示主機的IP位址或者已解析的域名。
[0046]標識符(Ident)-由identd或直接由瀏覽器返回瀏覽者的EMAIL或其他唯一標示，因為涉及用戶郵箱等隱私信息，目前幾乎所有的瀏覽器就取消了這項功能。
[0047]授權用戶(authuser)-用於記錄瀏覽者進行身份驗證時提供的名字，如果需要身份驗證或者訪問密碼保護的信息則這項不為空，但目前大多數網站的日誌這項也者是為空的。
[0048]日期時間(date)-—般的格式形如[22/Feb/2010:09:51:46+0800]，即[日期/ 月份/年份:小時:分鐘:秒鐘時區]，佔用的字符位數也基本固定。
[0049]請求(request)-即在網站上通過何種方式獲取了哪些信息，也是日誌中較為重要的一項，主要包括以下三個部分:
[0050]請求類型(METHOD):常見的請求類型主要包括GET/P0ST/HEAD這三種；
[0051]請求資源(RESOURCE):顯示的是相應資源的URL，可以是某個網頁的地址，也可以是網頁上調用的圖片、動畫、CSS等資源；
[0052]協議版本號(PROTOCOL):顯示協議及版本信息，通常是HTTP/1.1或HTTP/1.0。
[0053]狀態碼(status)-用於表示伺服器的響應狀態，通常Ixx的狀態碼表示繼續消息；2xx表示請求成功；3xx表示請求的重定向；4xx表示客戶端錯誤；5xx表示伺服器錯誤。
[0054]傳輸字節數(bytes)-即該次請求中一共傳輸的字節數。
[0055]來源頁面(referer)-用於表示瀏覽者在訪問當前頁面之前所瀏覽的頁面，只有從上一頁面連結過來的請求才會有該項輸出。
[0056]用戶代理(agent)-用於顯示用戶的詳細信息,包括IP、OS、Bowser等。
[0057]本實施例中應用的就是上面已介紹的日誌數據中的referer欄位，由於該referer欄位在日誌中所代表的作用，因此只需從抓取的日誌數據中的referer欄位裡便可以提取出跳轉到當前頁面之前，用戶所瀏覽的頁面，從該頁面的網址中可以分析出上一級網站(即來源站點)的域名信息。
[0058]步驟204，檢測釣魚網站的裝置在預設的釣魚網站黑名單和非釣魚網站白名單中查詢是否存在域名信息；若域名信息不存在於釣魚網站黑名單和非釣魚網站白名單，則執行步驟205，進行疑似釣魚網站確定處理；若域名信息存在於釣魚網站黑名單中，則若確定域名信息為釣魚網站，後繼將執行防護流程，即按照步驟208執行；若域名信息存在於非釣魚網站白名單中，則不作處理。
[0059]本實施的方法中，維護著釣魚網站白名單和黑名單兩個資料庫，其中非釣魚網站白名單庫中主要記錄了大量知名站點的域名信息，如baidu、google以及各大論壇等易於出現在referer欄位中的站點；釣魚網站黑名單庫中主要記錄了大量已經定義為釣魚網站的域名信息庫。
[0060]本實施例中，對於從referer欄位中提取到的域名信息，首先使用維護的黑白名單進行匹配，如果已經在黑白名單中，則結束對本次抓取的referer欄位的分析過程而進入下一域名的分析流程中，並執行防護處理，在遇到來自黑名單中域名信息的請求時，回復告警信息(具體詳見步驟208);如果該域信息名未出現在黑白名單中，則進入疑似釣魚網站(疑似釣魚網站主要指有可能成為釣魚網站的站點)處理的下述步驟205流程。
[0061]步驟205，檢測釣魚網站的裝置對域名信息的域名相似度進行檢測，若檢測後的相似度數值超過預設的域名相似度閾值，則發送域名相似度告警；和/或，對域名信息的內容相似度進行檢測，若檢測後的相似度數值超過預設的內容相似度閾值，則發送內容相似度
生敬口目。
[0062]具體而言，為更好的騙取用戶信任，一些釣魚網站的URL與真實網站的URL極其相似，根據這種特性，可對釣魚網站進行域名相似度檢測。如對於中國移動門戶的域名信息WWW.10086.cn,如出現WWW.10086.cn的域名(其中I為小寫的L),則其相似度極高,及有可能為釣魚網站。因此在實際檢測時，可事先設置域名相似度閥值，超過這個閥值則域名相似度則發出告警以用於提示用戶。和/或，
[0063]單一的根據域名相似度進行釣魚網站檢測可能存在一定誤報現象，因此優選方案中，可混合內容相似度檢測同時進行。內容相似度檢測主要檢查被檢測的站點內容與真實站點內容的相似度，如果相似度極高，則也可能為釣魚網站。
[0064]具體檢測方式為:根據域名信息，抓取需要判斷的該域名信息的URL頁面，並存放於本地緩存；再提取頁面主體內容，例如去掉頁面標籤、元素以及一些語言無關的助詞?』最後再進行主體內容比對。在實際檢測時，可事先設置內容相似度閥值，超過這個閥值則進行告警以提示用戶。
[0065]本實施例中，該域名相似度檢測或內容相似度檢測均可以利用現有技術實現。如核心算法可以採用已有的Levenshtein Distance (LD)-計算兩字符串相似度算法來實現dLevenshtein Distance (LD):LD可能衡量兩字符串的相似性。它們的距離就是一個字符串轉換成那一個字符串過程中的添加、刪除、修改數值。
[0066]舉例:如果strl=〃test〃, str2=〃test〃,那麼 LD(strl, str2) =0。沒有經過轉換。如果, str2=〃tent〃，那麼 LD(strl, str2)=l。strl 的 〃s"轉換"η",轉換了一個字符，所以是I。如果它們的距離越大，說明它們越是不同。具體實現方式是本領域技術人員公知的，在此不贅述。
[0067]至此，一次檢測過程結束。
[0068]需要說明的是:上述提供的內容相似度檢測和域名相似度檢測的執行順序並不受限制，也可以執行內容相似度檢測，在執行域名相似度檢測，甚至兩種檢測同時進行。
.[0069]在該步驟205中，為了保證檢測後的準確性。更優選的方案是:在域名相似度檢測和內容相似度檢測後，由人工進行最後確認。如根據檢測後的告警，用戶對告警的域名信息進行確認，如即使未出現告警，也可以由用戶對檢測結果進行確認。當然，若忽略檢測結果的準確性問題，也可以省略用戶確定過程，直接根據檢測結果執行下述步驟如發出告警的則執行步驟2071 ;未發生告警的，則執行步驟2072或步驟2073。下面以需要用戶確定過程為例進行描述。
[0070]步驟206，在接收到內容域名相似度告警或域名相似度告警後，用戶確定域名信息是否為釣魚網站；若用戶確定為釣魚網站，則檢測釣魚網站的裝置執行步驟2071 ;若用戶確定為非釣魚網站，則檢測釣魚網站的裝置執行步驟2072;若用戶無法確定，則檢測釣魚網站的裝置執行步驟2073。
[0071]步驟2071，將域名信息添加入釣魚網站黑名單中，並執行步驟208。
[0072]具體地，若確認為釣魚網站則將其加入自身維護的釣魚網站黑名單中，並進入下一步的防護處理流程(即步驟208)；
[0073]步驟2072，將域名信息添加入非釣魚網站的白名單中。
[0074]具體地，如確認為非釣魚網站，且為白名單中沒有的國內外知名網站，則將其加入自身維護的白名單庫中，並進入下一域名的檢測步驟；
[0075]步驟2073，將域名信息放入統計分析庫，並統計域名信息出現的次數；若統計的次數在預定的時間內超過預定的出現頻率，則將域名信息添加入非釣魚網站的白名單中。
[0076]具體地，除上述2中情況下，提取出的來源站點則可能為小型或臨時站點信息，這些域名也存在以後變成釣魚網站的可能性，所以將其列入統計分析庫，如超過一定時間周期內一直出現，且出現頻率較高，則可以將其加入非釣魚網站白名單中。
[0077]步驟208，當用戶通過來源網站訪問時，檢測釣魚網站的裝置在回覆中添加釣魚網站告警提示。
[0078]具體而言，該步驟208屬於防護處理步驟。如圖1所示，本方法部署時，為了該步驟208的實施，防護部署時主要通過和網站前端部署的防火牆、IPS或其它安全設備進行聯動的方式實現，具體可以為:將防護策略推送給前端安全設備，如防火牆等，並由安全設備進行防護。
[0079]其防護手段是:對用戶請求中referer欄位含義屬於釣魚網站黑名單中域名信息的請求消息，在回複數據包時，對用戶進行釣魚告警提示，從而起到防範的作用。
[0080]本實施例中，該步驟208進行防護的依據即是上述提到過的釣魚網站黑名單。因此，其告警發送過程可以由於用戶的訪問而觸發，也可以說實時進行，當檢測到新的釣魚網站時(如步驟2071)，則將升級該釣魚網站黑名單。
[0081 ] 本實施例提供的方法可通過分析企業自身web伺服器日誌數據中的ref erer欄位來統計和梳理訪問該網站的來源站點，而這些來源站點極大可能包括了一些釣魚網站，因此通過分析這些來源站點的域名信息，再根據域名相似度和內容相似度來檢測和鑑別新出現的釣魚網站，最後與部署在web站點前端的FW(防護牆)和IPS(入侵預防系統)等安全防護設備進行聯動，進而實現對於疑似釣魚網站的來源檢測上，不再需要依賴第三方機構，完全可以通過自己獨立、主動地進行釣魚網站檢測，同時，還可對普通用戶進行安全告警，避免上當受騙，從而取得提高釣魚網站檢測效率、保證安全性的技術效果。
[0082]實施例3
[0083]本實施例提供一種檢測釣魚網站的裝置，如圖4所示，包括:抓取模塊41，解析模塊42，檢測模塊43。
[0084]抓取模塊41，用於按照預設的目標網站日誌路徑抓取目標網站的日誌數據；解析模塊42，用於從日誌數據中記錄的來源頁面信息裡解析出跳轉到目標網站的來源站點的域名信息；檢測模塊43，用於根據域名信息檢測來源站點是否為釣魚網站。
[0085]優選方案中，該裝置還可包括:預處理模塊44，防護模塊45。
[0086]其中，預處理模塊44，用於在按照預設的目標網站日誌路徑抓取目標網站的曰志數據之後，將抓取的日誌數據統一成可識別的格式。
[0087]防護模塊45，用於在檢測模塊檢測出域名信息為釣魚網站後，當用戶通過來源網站訪問時，在回覆中添加釣魚網站告警提示。
[0088]進一步地，本實施例提供的檢測模塊43包括:
[0089]釣魚網站識別單元，用於在預設的釣魚網站黑名單和非釣魚網站白名單中查詢是否存在域名信息；若域名信息不存在於釣魚網站黑名單和非釣魚網站白名單，則進行疑似釣魚網站確定處理；若域名信息存在於釣魚網站黑名單中，則確定為釣魚網站。
[0090]釣魚網站識別單元包括:
[0091]疑似檢測子單元，用於對域名信息的域名相似度進行檢測，若檢測後的相似度數值超過預設的域名相似度閾值，則發送域名相似度告警；和/或，對域名信息的內容相似度進行檢測，若檢測後的相似度數值超過預設的內容相似度閾值，則發送內容相似度告警。
[0092]釣魚網站識別單元還可包括:
[0093]疑似確定子單元，用於在接收到內容域名相似度告警或域名相似度告警後，用戶確定域名信息是否為釣魚網站；若用戶確定為釣魚網站，則將域名信息添加入釣魚網站黑名單中；若用戶確定為非釣魚網站，則將域名信息添加入非釣魚網站的白名單中；若用戶無法確定，則將域名信息放入統計分析庫，並統計域名信息出現的次數，若統計的次數在預定的時間內超過預定的出現頻率，則將域名信息添加入非釣魚網站的白名單中。
[0094]本發明提供的裝置具有分析目標網站web伺服器日誌中的來源頁面(referer)欄位來統計和梳理訪問該網站的來源站點的功能，而由於這些來源站點極大可能包括了一些釣魚網站，因此通過分析這些來源站點的域名信息可以檢測和鑑別新出現的釣魚網站，解決了現有技術中，網站僅能通過先被告知是釣魚網站，再進行防範的方式，進而實現了可主動檢測釣魚網站，提高企業的網絡站點自身防護釣魚網站的效率。
[0095]本發明能有多種不同形式的【具體實施方式】，上文結合附圖對本發明做舉例說明，這並不意味著本發明所應用的【具體實施方式】只能局限在這些特定的【具體實施方式】中，本領域的技術人員應當了解，上文所提供的【具體實施方式】只是多種優選實施方式中的一些示例，任何體現本發明權利要求的【具體實施方式】均應在本發明權利要求所要求保護的範圍之內；本領域的技術人員能夠對上文各【具體實施方式】中所記載的技術方案進行修改，或者對其中部分技術特徵進行等同替換。凡在本發明的精神和原則之內，所作的任何修改、等同替換或者改進等，均應包含在本發明權利要求的保護範圍之內。
【權利要求】
1.一種檢測釣魚網站的方法，其特徵在於，包括: 按照預設的目標網站日誌路徑抓取所述目標網站的日誌數據； 從所述曰志數據中記錄的來源頁面信息裡解析出跳轉到所述目標網站的來源站點的域名信息； 根據所述域名信息檢測所述來源站點是否為釣魚網站。
2.根據權利要求1所述的方法，其特徵在於，該方法還包括: 若確定所述域名信息為釣魚網站，則當用戶通過所述來源網站訪問時，在回覆中添加釣魚網站告警提示。
3.根據權利要求1或2所述的方法，其特徵在於，所述根據所述域名信息檢測所述來源站點是否為釣魚網站具體包括: 在預設的釣魚網站黑名單和非釣魚網站白名單中查詢是否存在所述域名信息； 若所述域名信息 不存在於釣魚網站黑名單和非釣魚網站白名單，則進行疑似釣魚網站確定處理； 若所述域名信息存在於所述釣魚網站黑名單中，則確定為釣魚網站。
4.根據權利要求3所述的方法，其特徵在於，所述進行疑似釣魚網站確定處理具體包括: 對所述域名信息的域名相似度進行檢測，若檢測後的相似度數值超過預設的域名相似度閾值，則發送域名相似度告警；和/或， 對所述域名信息的內容相似度進行檢測，若檢測後的相似度數值超過預設的內容相似度閾值，則發送內容相似度告警。
5.根據權利要求4所述的方法，其特徵在於，所述進行疑似釣魚網站確定處理具體還包括: 在接收到所述內容域名相似度告警或所述域名相似度告警後，用戶確定所述域名信息是否為釣魚網站； 若用戶確定為釣魚網站，則將所述域名信息添加入所述釣魚網站黑名單中； 若用戶確定為非釣魚網站，則將所述域名信息添加入所述非釣魚網站的白名單中；若用戶無法確定，則將所述域名信息放入統計分析庫，並統計所述域名信息出現的次數；若統計的次數在預定的時間內超過預定的出現頻率，則將所述域名信息添加入所述非釣魚網站的白名單中。
6.根據權利要求1至5中任意一項所述的方法，其特徵在於，在按照預設的目標網站曰志路徑抓取所述目標網站的日誌數據之後，該方法還包括: 將所述抓取的日誌數據統一成可識別的格式。
7.一種檢測釣魚網站的裝置，其特徵在於，包括: 抓取模塊，用於按照預設的目標網站日誌路徑抓取所述目標網站的日誌數據； 解析模塊，用於從所述曰志數據中記錄的來源頁面信息裡解析出跳轉到所述目標網站的來源站點的域名信息； 檢測模塊，用於根據所述域名信息檢測所述來源站點是否為釣魚網站。
8.根據權利要求7所述的裝置，其特徵在於，該裝置還包括: 防護模塊，用於在所述檢測模塊檢測出所述域名信息為釣魚網站後，當用戶通過所述來源網站訪問時，在回覆中添加釣魚網站告警提示。
9.根據權利要求7或8所述的裝置，其特徵在於，所述檢測模塊包括: 釣魚網站識別單元，用於在預設的釣魚網站黑名單和非釣魚網站白名單中查詢是否存在所述域名信息；若所述域名信息不存在於釣魚網站黑名單和非釣魚網站白名單，則進行疑似釣魚網站確定處理；若所述域名信息存在於所述釣魚網站黑名單中，則確定為釣魚網站。
10.根據權利要求9所述的裝置，其特徵在於，所述釣魚網站識別單元包括: 疑似檢測子單元，用於對所述域名信息的域名相似度進行檢測，若檢測後的相似度數值超過預設的域名相似度閾值，則發送域名相似度告警；和/或，對所述域名信息的內容相似度進行檢測，若檢測後的相似度數值超過預設的內容相似度閾值，則發送內容相似度告 警。
11.根據權利要求10所述的裝置，其特徵在於，所述釣魚網站識別單元還包括: 疑似確定子單元，用於在接收到所述內容域名相似度告警或所述域名相似度告警後，用戶確定所述域名信息是否為釣魚網站；若用戶確定為釣魚網站，則將所述域名信息添加入所述釣魚網站黑名單中；若用戶確定為非釣魚網站，則將所述域名信息添加入所述非釣魚網站的白名單中；若用戶無法確定，則將所述域名信息放入統計分析庫，並統計所述域名信息出現的次數，若統計的次數在預定的時間內超過預定的出現頻率，則將所述域名信息添加入所述非釣魚網站的白名單中。
12.根據權利要求7至10中任意一項所述的裝置，其特徵在於，該裝置還包括: 預處理模塊，用於將所述抓取的日誌數據統一成可識別的格式。
【文檔編號】H04L12/26GK103428186SQ201210165017
【公開日】2013年12月4日 申請日期:2012年5月24日 優先權日:2012年5月24日
【發明者】付俊, 張峰, 李友國, 楊光華 申請人:中國移動通信集團公司