[发明专利]一种用于检测钓鱼网站的方法、系统及网关设备

权利要求书

1.一种用于检测钓鱼网站的方法，其特征在于，包括以下步骤：

S1、设置需要保护的网站，并存储需要保护的网站的域名和页面的全局特征；

S2、根据存储在网关设备内的规则库规定的字符相似性，利用相似字符替换所述需要保护的网站的域名中相应的字符；每一次替换均形成一个新的相似域名，并将所述相似域名存入数据库；

S3、所述网关设备获取用户访问请求并转发给网页服务器，所述用户访问请求中设置有用于访问的域名；所述网关设备将所述用于访问的域名和所述相似域名，通过相似性匹配算法进行匹配，得出两者的第一相似值N；将所述第一相似值N与第一预设值N1进行比较，如果N>N1，则进一步检测，否则直接结束检测；

S4、分别计算被访问页面的全局特征和需要保护的网站的页面的全局特征，通过相似性算法得出第二相似值N’，将所述第二相似值N’与第二预设值N2进行比较，当N’>N2，向客户端发出报警；否则直接结束检测。

2.根据权利要求1所述的用于检测钓鱼网站的方法，其特征在于，所述步骤S2还根据字符的字形相似性或语义相似性，产生相似字符，并将所有所述相似字符存入所述规则库中；所述字符相似性包括所述字形相似性和语义相似性。

3.根据权利要求1所述的用于检测钓鱼网站的方法，其特征在于，所述步骤S3中将所述用于访问的域名分别和数据库中所有相应的所述相似域名进行匹配，将得出的多个第一相似值N分别与第一预设值N1进行比较，只要任意一个第一相似值N大于第一预设值N1，则进行进一步检测。

4.根据权利要求1所述的用于检测钓鱼网站的方法，其特征在于，所述步骤S3中将所述用于访问的域名分别和数据库中所有的所述相似域名进行匹配，得出多个第一相似值N并求取最大值，若所述最大值大于所述第一预设值，则进行进一步检测。

5.根据权利要求1～4任意一项所述的用于检测钓鱼网站的方法，其特征在于，所述页面的全局特征包括网页的文本特征、图片特征及全局图像特征。

6.一种网关设备，其特征在于，包括：

存储单元，用于存储需要保护的网站的需要保护的网站的域名及网页的全局特征，用于存储规则库和数据库；所述页面全局特征包括网页的文本特征、图片特征及全局图像特征；

域名处理单元，用于根据所述规则库规定的字符相似性，利用相似字符替换所述需要保护的网站的域名中相应的字符；每一次替换均形成一个新的相似域名，并将所述相似域名存入数据库；

转发单元，用于获取客户端的用户访问请求，并转发给网页服务器，所述用户访问请求中设置有用于访问的域名；

检测单元，用于将所述用于访问的域名和所述相似域名通过相似性匹配算法进行匹配得出第一相似值N，当第一相似值N大于第一预设值N1时，进行进一步检测，否则直接结束检测；所述检测单元还用于在所述第一相似值大于所述第一预设值时，分别计算被访问页面的全局特征和需要保护的网站的页面的全局特征，通过相似性算法得出第二相似值N’，并比较第二相似值N’与第二预设值N2的大小；

报警单元，用于当第二相似值N’大于第二预设值时，向客户端发出报警。

7.根据权利要求6所述的网关设备，其特征在于，所述网关设备还包括字符处理单元，所述字符处理单元用于根据字符的字形相似性或语义相似性，产生相似字符，并将所有所述相似字符存入所述规则库中；所述字符相似性包括所述字形相似性和语义相似性。

8.根据权利要求7所述的网关设备，其特征在于，所述检测单元还用于将所述用于访问的域名分别和数据库中所有的所述相似域名进行匹配，将得出的多个第一相似值N分别与第一预设值N1进行比较，只要任意一个第一相似值N大于第一预设值N1，则进行进一步检测。

9.根据权利要求7所述的网关设备，其特征在于，所述检测单元还用于将所述用于访问的域名分别和数据库中所有的所述相似域名进行匹配，得出多个第一相似值N并求取最大值，若所述最大值大于所述第一预设值，则进行进一步检测。

10.一种包括权利要求6-9任意一项所述的网关设备的用于检测钓鱼网站的系统，其特征在于，所述用于检测钓鱼网站的系统还包括客户端与网页服务器；

所述客户端用于发送用户访问请求；所述客户端包括设置单元，所述设置单元用于设置需要保护的网站，并将所述需要保护的网站的域名和页面的全局特征存入存储单元；

所述网页服务器用于处理所述用户访问请求。