專利名稱:釣魚網(wǎng)站檢測方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)站安全檢測技術(shù),尤其涉及一種釣魚網(wǎng)站檢測方法及裝置,屬于通信技術(shù)領(lǐng)域。
背景技術(shù):
隨著科技的普及化,網(wǎng)絡通訊技術(shù)以不可取代的地位深入各個領(lǐng)域,而網(wǎng)絡安全問題也日益嚴峻,其中以釣魚網(wǎng)站問題尤為突出。
現(xiàn)有的釣魚網(wǎng)站檢測方法主要有黑名單過濾技術(shù)、啟發(fā)式特征檢測技術(shù)及基于模式識別的檢測技術(shù)。黑名單過濾技術(shù)主要依靠不斷對黑名單進行更新,從而檢測釣魚網(wǎng)站。 啟發(fā)式特征檢測技術(shù)主要是把網(wǎng)站鏈接、文本內(nèi)容及域名信息等信息的異常特征作為釣魚網(wǎng)站判定的標準。基于模式識別的檢測技術(shù)主要是利用有監(jiān)督的學習方法,通過對大量的釣魚行為提取相關(guān)或無關(guān)特征向量形成判別模型,利用判別模型對釣魚網(wǎng)站進行檢測。發(fā)送報文的方法是由中央處理器(CPU)將報文內(nèi)容和報文發(fā)送控制文件同時經(jīng)由存儲器提供給專用集成電路(ASIC),并由ASIC按照報文發(fā)送控制文件發(fā)送報文?,F(xiàn)有技術(shù)中,報文發(fā)送方法通常采取以下流程因此CPU在將報文存儲到存儲器中時,需要對報文進行擴展, 生成報文控制信息。由于擴展后的報文長度增加,CPU需根據(jù)擴展后的報文長度在存儲器中申請一塊新的內(nèi)存塊,將原始報文的目的地址和源地址字段復制到新的內(nèi)存塊,并將報文控制信息復制到新的內(nèi)存塊,存放在原始報文的目的地址和源地址字段后。ASIC從存儲器的內(nèi)存塊中讀取該擴展后的報文,并根據(jù)該報文中攜帶的報文控制信息發(fā)送報文。
在實際應用中,通?;谟脩籼峁┑呐e報信息來利用上述方法對可疑釣魚網(wǎng)站進行檢測,即被動檢測,所以這些方法多為在用戶已經(jīng)遭受釣魚網(wǎng)站侵害后才能發(fā)揮作用,具有一定的滯后性。特別是現(xiàn)今釣魚網(wǎng)站存在活動周期短,更新快等特點,所以能否盡早發(fā)現(xiàn)釣魚網(wǎng)站,避免或減少用戶損失成為釣魚網(wǎng)站檢測的重點所在。發(fā)明內(nèi)容
針對現(xiàn)有技術(shù)所存在的缺陷,本發(fā)明提供一種釣魚網(wǎng)站檢測方法及裝置,用以實現(xiàn)對釣魚網(wǎng)站進行主動檢測。
根據(jù)本發(fā)明的一方面,提供一種釣魚網(wǎng)站檢測方法,包括
獲取已知釣魚網(wǎng)站的互聯(lián)網(wǎng)協(xié)議IP地址;
根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;
查詢所述可疑IP域所包括的可疑IP地址所映射的統(tǒng)一資源定位符URL,并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;
針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
根據(jù)本發(fā)明的另一方面,還提供一種釣魚網(wǎng)站檢測裝置,包括
IP地址獲取模塊,用于獲取已知釣魚網(wǎng)站的IP地址;
可疑IP域設定模塊,用于根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設3定可疑IP域;
可疑釣魚網(wǎng)站列表生成模塊,用于查詢所述可疑IP域所包括的可疑IP地址所映射的URL,并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;
檢測模塊,用于針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
根據(jù)本發(fā)明的釣魚網(wǎng)站檢測方法及裝置,由于在實際應用中釣魚網(wǎng)站的架設者通常會在相鄰的多個IP中架設釣魚網(wǎng)站,因此通過首先獲取已知釣魚網(wǎng)站URL所對應的IP 地址,根據(jù)獲取的IP地址建立可疑釣魚網(wǎng)站IP域,查找可疑IP域中每個IP所對應的網(wǎng)站 URL,再對這些URL進行檢測,以從龐大的網(wǎng)站資源中發(fā)現(xiàn)未知釣魚網(wǎng)站,實現(xiàn)對網(wǎng)絡中存在的釣魚網(wǎng)站進行主動檢測,從而在釣魚網(wǎng)站造成對用戶的損失之前即可完成有效檢測, 減少用戶損失。
圖1為本發(fā)明實施例釣魚網(wǎng)站檢測方法的流程示意圖。
圖2為本發(fā)明實施例釣魚網(wǎng)站檢測裝置的結(jié)構(gòu)示意圖。
具體實施方式
本發(fā)明實施例的釣魚網(wǎng)站檢測方法例如由設置在網(wǎng)絡中的釣魚網(wǎng)站檢測設備來執(zhí)行。
圖1為本發(fā)明實施例釣魚網(wǎng)站檢測方法的流程示意圖。如圖1所示,該方法包括
步驟S101,獲取已知釣魚網(wǎng)站的互聯(lián)網(wǎng)協(xié)議(IP)地址
具體地,獲取已經(jīng)確定釣魚網(wǎng)站的IP地址,該IP地址可從記錄的多個已經(jīng)過檢測確定的釣魚網(wǎng)站IP地址中獲取,也可為通過網(wǎng)絡監(jiān)測或用戶舉報等方式獲取的釣魚網(wǎng)站 URL解析后獲得的釣魚網(wǎng)站IP地址。
步驟S102,根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;
具體地,釣魚網(wǎng)站通常會在相鄰IP中架設多個釣魚網(wǎng)站,所以將與釣魚網(wǎng)站IP地址相鄰的N個IP設定為可疑IP加入可疑IP域。
步驟S103,查詢所述可疑IP域所包括的可疑IP地址所映射的統(tǒng)一資源定位符 (URL),并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;
具體地,獲取可疑IP域中各IP地址,查詢各IP地址所映射的URL,將其加入可疑釣魚網(wǎng)站列表,等待檢測。
由于一個IP地址下可能存在多個URL,所以若已知釣魚網(wǎng)站的URL所對應的IP地址下還存在其他的URL,則把這些URL也加入可疑釣魚網(wǎng)站列表。
步驟S104,針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
具體地,可利用現(xiàn)有技術(shù)中針對URL進行釣魚網(wǎng)站檢測的任意檢測方法對可疑釣魚網(wǎng)站列表中的各URL進行檢測,例如黑名單過濾技術(shù)、啟發(fā)式特征檢測技術(shù)和基于模式識別的檢測技術(shù)等,根據(jù)檢測結(jié)果確定其是否為釣魚網(wǎng)站。
在上述實施例的釣魚網(wǎng)站檢測方法中,可以在生成包括可疑IP域中全部可疑IP 地址所映射的URL的可疑釣魚網(wǎng)站列表后,依次對可疑釣魚網(wǎng)站列表中的各可疑釣魚網(wǎng)站 URL進行檢測,也可以按照循環(huán)的方式執(zhí)行上述步驟S103和S104,即從可疑IP域中提取一個可疑IP地址,查找該可疑IP地址所映射的URL,執(zhí)行步驟S400對該URL進行釣魚網(wǎng)站檢測,之后重復執(zhí)行步驟S103,以對可疑IP域中的另一可疑IP地址進行處理。
根據(jù)上述實施例的釣魚網(wǎng)站檢測方法,由于在實際應用中釣魚網(wǎng)站的架設者通常會在相鄰的多個IP中架設釣魚網(wǎng)站,因此通過首先獲取已知釣魚網(wǎng)站URL所對應的IP地址,根據(jù)獲取的IP地址建立可疑釣魚網(wǎng)站IP域,查找可疑IP域中每個IP所對應的網(wǎng)站 URL,再對這些URL進行檢測,以從龐大的網(wǎng)站資源中發(fā)現(xiàn)未知釣魚網(wǎng)站,實現(xiàn)對網(wǎng)絡中存在的釣魚網(wǎng)站進行主動檢測,從而在釣魚網(wǎng)站造成對用戶的損失之前即可完成有效檢測, 減少用戶損失。
進一步地,在上述實施例的釣魚網(wǎng)站檢測方法中,所述獲取已知釣魚網(wǎng)站的IP地址具體包括
獲取處于活動狀態(tài)的釣魚網(wǎng)站的URL ;
獲取所述已知釣魚網(wǎng)站的URL所對應IP地址。
優(yōu)選的,讀取一個已記錄的或經(jīng)過網(wǎng)絡監(jiān)測及用戶舉報等方式獲得的仍在執(zhí)行釣魚任務的釣魚網(wǎng)站URL ;其中,已記錄或網(wǎng)絡檢測、用戶舉報等方式獲取的釣魚網(wǎng)站URL應為仍在使用中的URL,更為具體地,例如通過現(xiàn)有技術(shù)中的任意網(wǎng)站活躍度檢測方法來檢測其是否仍處于活動狀態(tài)。
根據(jù)上述實施例的釣魚網(wǎng)站檢測方法,通過利用仍在執(zhí)行釣魚任務的釣魚網(wǎng)站 URL獲取釣魚網(wǎng)站IP地址,一方面可以保障獲取的釣魚網(wǎng)站IP地址的有效性,另一方面由于釣魚網(wǎng)站的架設者通常在相鄰的多個IP地址架設釣魚網(wǎng)站,若一個釣魚網(wǎng)站已經(jīng)停止使用那么很可能在相鄰的IP地址中的釣魚網(wǎng)站也同時停止使用。所以本發(fā)明利用仍在執(zhí)行釣魚任務的釣魚網(wǎng)站URL獲取釣魚網(wǎng)站IP地址,可以有效的保障所獲取IP地址的有效性,能夠避免對已停止使用的釣魚網(wǎng)站進行檢測。
進一步地,在上述實施例的釣魚網(wǎng)站檢測方法中,所述可疑IP地址與所述已知釣魚網(wǎng)站的IP地址的前M位相同。
具體地,可疑IP域例如由與所述IP地址前M位相同的IP地址所組成,將所述可疑IP地址后8位作為可疑IP地址范圍,使可疑IP地址擴大到255個,例如,已知釣魚網(wǎng)站IP地址為174. 139. 22. 3,那么設定可疑IP地址的范圍為174. 139. 22. 1至 174. 139. 22. 255。
根據(jù)上述實施例的釣魚網(wǎng)站檢測方法,將可疑IP地址后8為作為可疑IP地址范圍設置可疑IP域,使可疑IP域涵蓋范圍不至過大或者過小,可有效的涵蓋可疑IP地址臨近節(jié)點。既避免了因范圍過大而導致大幅增加檢測工作量的缺陷,又避免了因范圍過小又不能有效的發(fā)現(xiàn)未知釣魚網(wǎng)站。
進一步地,在上述實施例的釣魚網(wǎng)站檢測方法中,查詢所述可疑IP域所包括的可疑IP地址所映射的URL具體包括
根據(jù)域名文件查詢與所述可疑IP域所包括的各可疑IP地址具有映射關(guān)系的URL。
具體地,利用域名文件(zone file)反向查詢與可疑IP地址具有映射關(guān)系的URL。 其中,zone file存放于管理網(wǎng)站的服務器,是一組包含將URL轉(zhuǎn)換為對應IP地址的指令集;在zone file中反向查詢,是指通過zone file根據(jù)IP地址查詢所對應的網(wǎng)站URL。
此外,本領(lǐng)域的技術(shù)人員能夠理解,不僅局限于通過反向查詢zone file來獲取可疑IP地址所映射的URL,也可利用其他技術(shù)獲取IP地址所映射的URL。
圖2為本發(fā)明實施例釣魚網(wǎng)站檢測裝置的結(jié)構(gòu)示意圖。如圖2所示,該釣魚網(wǎng)站檢測裝置包括
IP地址獲取模塊21,用于獲取已知釣魚網(wǎng)站的IP地址;
可疑IP域設定模塊22,用于根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;
可疑釣魚網(wǎng)站列表生成模塊23,用于查詢所述可疑IP域所包括的可疑IP地址所映射的URL,并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;
檢測模塊M,用于針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
上述實施例的釣魚網(wǎng)站檢測裝置執(zhí)行釣魚網(wǎng)站檢測的具體流程與前述實施例的釣魚網(wǎng)站檢測方法相同,故此處不再贅述。
根據(jù)上述實施例的釣魚網(wǎng)站檢測裝置,由于在實際應用中釣魚網(wǎng)站的架設者通常會在相鄰的多個IP中架設釣魚網(wǎng)站,因此通過首先獲取已知釣魚網(wǎng)站URL所對應的IP地址,根據(jù)獲取的IP地址建立可疑釣魚網(wǎng)站IP域,查找可疑IP域中每個IP所對應的網(wǎng)站 URL,再對這些URL進行檢測,以從龐大的網(wǎng)站資源中發(fā)現(xiàn)未知釣魚網(wǎng)站,實現(xiàn)對網(wǎng)絡中存在的釣魚網(wǎng)站進行主動檢測,從而在釣魚網(wǎng)站造成對用戶的損失之前即可完成有效檢測, 減少用戶損失。
進一步地,在上述實施例的釣魚網(wǎng)站檢測裝置中,所述IP獲取模塊,用于獲取已知釣魚網(wǎng)站的IP地址的步驟包括
第一獲取單元,用于獲取處于活動狀態(tài)的釣魚網(wǎng)站的URL ;
第二獲取單元,用于獲取所述已知釣魚網(wǎng)站的URL所對應IP地址。
根據(jù)上述實施例的釣魚網(wǎng)站檢測裝置,通過利用仍在執(zhí)行釣魚任務的釣魚網(wǎng)站 URL獲取釣魚網(wǎng)站IP地址,一方面可以保障獲取的釣魚網(wǎng)站IP地址的有效性,另一方面由于釣魚網(wǎng)站的架設者通常在相鄰的多個IP地址架設釣魚網(wǎng)站,若一個釣魚網(wǎng)站已經(jīng)停止使用那么很可能在相鄰的IP地址中的釣魚網(wǎng)站也同時停止使用。所以本發(fā)明利用仍在執(zhí)行釣魚任務的釣魚網(wǎng)站URL獲取釣魚網(wǎng)站IP地址,可以有效的保障所獲取IP地址的有效性,能夠避免對已停止使用的釣魚網(wǎng)站進行檢測。
進一步地,在上述實施例的釣魚網(wǎng)站檢測裝置中,所述可疑IP地址與所述已知釣魚網(wǎng)站的IP地址的前M位相同。
根據(jù)上述實施例的釣魚網(wǎng)站檢測裝置,將可疑IP地址后8為作為可疑IP地址范圍設置可疑IP域,使可疑IP域涵蓋范圍不至過大或者過小,可有效的涵蓋可疑IP地址臨近節(jié)點。既避免了因范圍過大而導致大幅增加檢測工作量的缺陷,又避免了因范圍過小又不能有效的發(fā)現(xiàn)未知釣魚網(wǎng)站。
進一步地,在上述實施例的釣魚網(wǎng)站檢測裝置中,所述查詢模塊還用于根據(jù)域名文件查詢與所述可疑IP域所包括的各可疑IP地址具有映射關(guān)系的URL。
根據(jù)上述實施例的釣魚網(wǎng)站檢測裝置,能夠方便、準確地獲取可疑IP地址所映射的URL,進一步提高了釣魚網(wǎng)站檢測的效率及有效性。
最后應說明的是以上實施例僅用以說明本發(fā)明的技術(shù)方案,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明,本領(lǐng)域的普通技術(shù)人員應當理解其依然可以對前述各實施例所記載的技術(shù)方案進行修改,或者對其中部分技術(shù)特征進行等同替換;而這些修改或者替換,并不使相應技術(shù)方案的本質(zhì)脫離本發(fā)明各實施例技術(shù)方案的精神和范圍。
權(quán)利要求
1.一種釣魚網(wǎng)站檢測方法,其特征在于,包括獲取已知釣魚網(wǎng)站的互聯(lián)網(wǎng)協(xié)議IP地址;根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;查詢所述可疑IP域包括的可疑IP地址所映射的統(tǒng)一資源定位符URL,并根據(jù)所述URL 生成可疑釣魚網(wǎng)站列表;針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
2.根據(jù)權(quán)利要求1所述的釣魚網(wǎng)站檢測方法,其特征在于,所述獲取已知釣魚網(wǎng)站的 IP地址具體包括;獲取處于活動狀態(tài)的釣魚網(wǎng)站的URL ;獲取所述處于活動狀態(tài)的釣魚網(wǎng)站的URL所對應IP地址。
3.根據(jù)權(quán)利要求1所述的釣魚網(wǎng)站檢測方法,其特征在于,所述可疑IP地址與所述已知釣魚網(wǎng)站的IP地址的前M位相同。
4.根據(jù)權(quán)利要求1至3中任一所述釣魚網(wǎng)站檢測方法,其特征在于,查詢所述可疑IP 域所包括的可疑IP地址所映射的URL具體包括根據(jù)域名文件查詢與所述可疑IP域所包括的各可疑IP地址具有映射關(guān)系的URL。
5.一種釣魚網(wǎng)站檢測裝置,其特征在于,包括IP地址獲取模塊,用于獲取已知釣魚網(wǎng)站的IP地址;可疑IP域設定模塊,用于根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;可疑釣魚網(wǎng)站列表生成模塊,用于查詢所述可疑IP域所包括的可疑IP地址所映射的 URL,并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;檢測模塊,用于針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。
6.根據(jù)權(quán)利要求5所述釣魚網(wǎng)站檢測裝置,其特征在于,所述IP獲取模塊,用于獲取已知釣魚網(wǎng)站的IP地址的步驟包括第一獲取單元,用于獲取處于活動狀態(tài)的釣魚網(wǎng)站的URL ;第二獲取單元,用于獲取所述處于活動狀態(tài)的釣魚網(wǎng)站的URL所對應IP地址。
7.根據(jù)權(quán)利要求5所述釣魚網(wǎng)站檢測裝置,其特征在于,所述可疑IP地址與所述已知釣魚網(wǎng)站的IP地址的前M位相同。
8.根據(jù)權(quán)利要求5至7中任一所述釣魚網(wǎng)站檢測裝置,其特征在于,所述查詢模塊還用于根據(jù)域名文件查詢與所述可疑IP域所包括的各可疑IP地址具有映射關(guān)系的URL。
全文摘要
本發(fā)明提供一種釣魚網(wǎng)站檢測方法及裝置。該釣魚網(wǎng)站檢測方法包括獲取已知釣魚網(wǎng)站的互聯(lián)網(wǎng)協(xié)議IP地址;根據(jù)與所述已知釣魚網(wǎng)站的IP地址相鄰的預設范圍設定可疑IP域;查詢所述可疑IP域所包括的可疑IP地址所映射的統(tǒng)一資源定位符URL,并根據(jù)所述URL生成可疑釣魚網(wǎng)站列表;針對所述可疑釣魚網(wǎng)站列表中的各所述URL進行釣魚網(wǎng)站檢測。根據(jù)本發(fā)明的釣魚網(wǎng)站檢測方法及裝置,實現(xiàn)了從龐大的網(wǎng)站資源中主動發(fā)現(xiàn)未知釣魚網(wǎng)站。
文檔編號H04L29/12GK102523210SQ20111040208
公開日2012年6月27日 申請日期2011年12月6日 優(yōu)先權(quán)日2011年12月6日
發(fā)明者洪博, 王利明, 耿光剛, 肖雅麗 申請人:中國科學院計算機網(wǎng)絡信息中心