[发明专利]一种用于检测钓鱼网站的方法、系统及网关设备

说明书

技术领域

本发明涉及网络防御技术，更具体地说，涉及一种用于检测钓鱼网站的方法、系统及网关设备。

背景技术

钓鱼网站通常是指伪装成银行网站或电子商务网站，以窃取用户提交的银行账号、密码等私密信息的非法网站。一些非法用户通过伪造出一些以假乱真的钓鱼网站，并诱惑受害者按照其意图进行操作，从而获取用户的私密信息，从而达到获取用户利益的目的。伴随着近年来网络购物的流行，网络钓鱼事件在网路中也变得越来越频繁，给群众带来了重大的损失。同时，网络技术的发展也使得钓鱼网站发生了新的变化，往往具有更大的迷惑性，给传统的检测方法带来了巨大的挑战。

传统的反钓鱼网站技术主要采用“黑名单技术”，黑名单技术是通过将所有已经发现的钓鱼站点记录到一个地址列表中，据此判断用户所访问的网站是否为钓鱼网站。黑名单技术实现简单，但其问题在于要做到对黑名单的及时更新十分困难；新的钓鱼网站生命周期很短，而且会在某一时间段大量涌现，所以黑名单技术的滞后性也越来越明显，难以取得预期的防护效果。因此，需要一种新的方法能够更为有效的完成钓鱼网站的检测工作。

发明内容

本发明要解决的技术问题在于，针对现有技术中的缺陷，提供一种检测准确、针对性强且防护效果好的用于检测钓鱼网站的方法、系统及网关设备。

本发明解决其技术问题所采用的技术方案是：提供一种用于检测钓鱼网站的方法，包括以下步骤：

S1、设置需要保护的网站，并存储需要保护的网站的域名和页面的全局特征；

S2、根据存储在网关设备内的规则库规定的字符相似性，利用相似字符替换所述需要保护的网站的域名中相应的字符；每一次替换均形成一个新的相似域名，并将所述相似域名存入数据库；

S3、网关设备获取用户访问请求并转发给网页服务器，所述用户访问请求中设置有用于访问的域名；所述网关设备将所述用于访问的域名和所述相似域名，通过相似性匹配算法进行匹配，得出两者的第一相似值N；将所述第一相似值N与第一预设值N1进行比较，如果N＞N1，则进一步检测，否则直接结束检测；

S4、分别计算被访问页面的全局特征和需要保护的网站的页面的全局特征，通过相似性算法得出第二相似值N’，将所述第二相似值N’与第二预设值N2进行比较，当N’＞N2，向客户端发出报警；否则直接结束检测。

在本发明所述的用于检测钓鱼网站的方法中，所述步骤S2还根据字符的字形相似性或语义相似性，产生相似字符，并将所有所述相似字符存入所述规则库中；所述字符相似性包括所述字形相似性和语义相似性。

在本发明所述的用于检测钓鱼网站的方法中，所述步骤S3中将所述用于访问的域名分别和数据库中所有相应的所述相似域名进行匹配，将得出的多个第一相似值N分别与第一预设值N1进行比较，只要任意一个第一相似值N大于第一预设值N1，则进行进一步检测。

在本发明所述的用于检测钓鱼网站的方法中，所述步骤S3中将所述用于访问的域名分别和数据库中所有的所述相似域名进行匹配，得出多个第一相似值N并求取最大值，若所述最大值大于所述第一预设值，则进行进一步检测。

在本发明所述的用于检测钓鱼网站的方法中，所述页面的全局特征包括网页的文本特征、图片特征及全局图像特征。

本发明还提供一种网关设备，包括：

存储单元，用于存储需要保护的网站的域名及网页的全局特征，用于存储规则库和数据库；所述页面全局特征包括网页的文本特征、图片特征及全局图像特征；

域名处理单元，用于根据所述规则库规定的字符相似性，利用相似字符替换所述需要保护的网站的域名中相应的字符；每一次替换均形成一个新的相似域名，并将所述相似域名存入数据库；

转发单元，用于获取客户端的用户访问请求，并转发给网页服务器，所述用户访问请求中设置有用于访问的域名；

检测单元，用于将所述用于访问的域名和所述相似域名通过相似性匹配算法进行匹配得出第一相似值N，当第一相似值N大于第一预设值N1时，进行进一步检测，否则直接结束检测；所述检测单元还用于在所述第一相似值大于所述第一预设值时，分别计算被访问页面的全局特征和需要保护的网站的页面的全局特征，通过相似性算法得出第二相似值N’，并比较第二相似值N’与第二预设值N2的大小；

报警单元，用于当第二相似值N’大于第二预设值时，向客户端发出报警。