[发明专利]基于多因素综合评定方法的反钓鱼方法

说明书

技术领域

本发明涉及一种防范网络钓鱼攻击的评定方法，尤其涉及一种基于多因素综合评定方法的反钓鱼方法。

背景技术

目前，互联网欺诈事件频频发生，威胁着用户的隐私安全。据统计，仅2010年上半年，网络钓鱼给民众和社会带来的直接与间接经济损失超过120亿元。如何防范网络钓鱼攻击(Phishing attack)已迫在眉睫。目前安全软件对钓鱼网站基于URL识别的方法单一，不涉及钓鱼网站本质；黑白名单识别具有滞后性，且钓鱼网站频繁更换URL，该方法是一种被动的以牺牲部分用户利益为前提的反钓鱼；基于页面特征识别效率和速度很低，容易被钓鱼者伪装突破检测，另外，此类解决方案都面临一个共同的问题，即通常在保持高识别率的同时会伴随一个较高的误报率。因而现有的传统反钓鱼方法面对日新月异的威胁显然力不从心。

经过对已有反钓鱼手段的总结和对大量钓鱼网站的分析，本发明弥补了目前安全软件的不足。本发明从众多方向对钓鱼网站进行分析，通过应用统计算法、阈值算法、线性加权、校验和(checksum)算法等手段，使得本本发明具有很高的识别率并减少了错报率。

鉴于上述缺陷，本发明创作者经过长时间的研究和实践终于获得了本创作。

发明内容

本发明的目的在于提供一种基于多因素综合评定方法的反钓鱼方法用以克服上述技术缺陷。

为实现上述目的，本发明提供一种基于多因素综合评定方法的反钓鱼方法，其包括以下步骤：

步骤a，建立URL的黑白名单库，并对目标URL进行处理，判断经过处理后的URL是否在黑/白名单中，如果在名单库中，则执行步骤d，直接反馈结果给用户；如果不在名单库中，则执行步骤b，进行后面对网站的检测；

步骤b，对网站进行检测；

所述检测包括四个方面的检测，URL角度识别，网站行为及细节特征识别，服务器角度识别和爬虫角度识别；首先执行所述URL角度识别；所述网站行为及细节特征识别，所述服务器角度识别和所述爬虫角度识别分别以三个线程执行并且检测完成后会将总权值以设定格式写入到文件中，以方便结果总结反馈；

步骤c，总结平权反馈结果；

如果总权值加起来超过设定的阈值，则给用户发出钓鱼网站的危险报警，如果小于阈值，则给用户反馈安全的检测结果；

步骤d，显示结果。

较佳的，所述URL角度识别方法步骤为：

步骤b11，对传入参数的URL进行格式规范；

步骤b12，若域名级数超过规定值，则在记录权值数组的相应位置加上对应的值；

步骤b13，若所述规范后的URL是IP形式的，则在记录权值数组的相应位置加上对应的值；

步骤b14，若包含特殊字符，则说明网址用特殊字符进行了伪装，则在记录权值数组的相应位置加上对应的值；

步骤b15，若路径数层数过多，则在记录权值数组的相应位置加上对应的值。

较佳的，所述网站行为及细节特征识别的过程为，

步骤b21，传入待检测的网址，处理URL并提取域名和路径，进行DNS查询，与目标建立连接；

步骤b22，根据提取出的路径发送HTTP的GET请求，获得页面源代码并对该源代码进行分析；

步骤b23，对收到的请求进行分析。

较佳的，所述对收到的请求进行分析的步骤为，

步骤b231，检查消息头中是否设置了Cookie，若没有则给全局变量赋予相应权值；

步骤b232，对响应中脚本的内容进行统计，用其长度除以总页面长度，得脚本所占比例，与下限阈值进行比较，如果大于阈值则在记录权值数组的相应位置加上对应的值；

步骤b233，检测HTML代码是否规范，包括判断标签内的属性大小写是否符合规范，action的目标是否用双引号括起；每符合一个可疑特征，对应权值所乘系数加1；

步骤b234，查看<form>标签中action属性的目标是否与本域名相同，若不同则加权；

步骤b235，在action目标在本域名下时，分析GET响应提取参数并发送表单，对其响应进行分析，若消息头中有Location，检测该地址是否在本域名下，若不是则加权；

步骤b236，将结果以约定形式输出到权值反馈文件中，便于汇总权值时调用。

较佳的，所述服务器角度识别的过程为：