[发明专利]识别恶意网站的方法及装置

说明书

技术领域

本发明涉及互联网技术领域，尤其涉及一种识别恶意网站的方法及装置。

背景技术

互联网技术的快速发展给人们的生活带来了越来越多的便利，人们通过互联网可以方便的分享和下载各种资源，获取各类重要信息。与此同时互联网的安全形势也不容乐观，大量出现的钓鱼网站严重侵害了互联网用户的利益，影响互联网的安全秩序。

钓鱼网站通常是指伪装成银行、电子商务等正规网站，窃取用户提交的银行帐号、密码等私密信息的恶意网站，不法分子通过各种技术手段仿冒正规网站的链接地址及页面内容，或利用正规网站服务器程序上的漏洞在网站的某些网页中插入危险的页面代码，以此来盗取用户的私人资料。目前，业界对钓鱼网站的识别通常有两种方案：第一是基于用户举报行为的人工审核机制，例如目前出现的一些反钓鱼网站，用户可以在其网站提交可疑的网站链接，经过网站技术人员核实为钓鱼网站后将其加入到恶意链接黑名单中；第二是基于网页特征的自动识别机制，第三方软件读取页面源代码，通过分析源代码中是否包含可疑关键词的方式对钓鱼网站进行识别。例如，当源代码中包含诸如“QQ转账”、“快捷支付”等关键词时，页面被归类为可疑页面。

在实现上述识别钓鱼网站的过程中，发明人发现现有技术中至少存在如下问题：人工审核的方式具有较大的局限性，审核质量取决于审核人员的专业性，容易出现漏检、误检等情况，同时，由于审核人员数量有限，钓鱼网站的识别具有较强的滞后性，无法保证网站识别的及时有效。而对于自动识别的方式，钓鱼网站可以采用基于对象和事件驱动的客户端脚本语言(Javascript)混淆、关键词混淆等技术手段绕过第三方软件的检测，例如通过Javascript混淆将页面源代码编译为如图1所示的无规律字符串，或者如图2所示，通过关键词混淆在字符之间插入干扰字符，这些混淆方式都会使第三方软件无法对作为识别依据的关键词进行有效提取。

由此可以看出，目前针对钓鱼网站的识别，现有技术中还没有给出一种行之有效的解决方案。

发明内容

本发明提供一种识别恶意网站的方法及装置，可以有效地对恶意网站进行识别。

为达到上述目的，本发明采用如下技术方案：

一种识别恶意网站的方法，包括：

抓取登录页面中输入的用户特征信息；

在白名单中查找所述用户特征信息对应的信任域名集合，其中，所述白名单中预设有用户特征信息与信任域名之间的映射关系；

将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对；

若所述登录页面的域名不属于所述信任域名集合，则对用户进行告警提示。

另一种识别恶意网站的方法，包括：

在白名单中添加对应用户特征信息的信任域名，形成信任域名集合；

抓取登录页面中输入的用户特征信息；

判断所述白名单中是否包含抓取的所述用户特征信息，得出判断结果；

若判断结果为是，则在白名单中查找所述用户特征信息对应的信任域名集合；

将所述登录页面的域名与所述信任域名集合中的所有信任域名进行比对；

若所述登录页面的域名不属于所述信任域名集合，则对用户进行告警提示。

一种识别恶意网站的装置，包括：

信息抓取单元，用于抓取登录页面中输入的用户特征信息；

域名查找单元，用于在白名单中查找所述信息抓取单元抓取的所述用户特征信息对应的信任域名集合，其中，所述白名单中预设有用户特征信息与信任域名之间的映射关系；

域名比对单元，用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对；

告警提示单元，用于当所述域名比对单元比对所述登录页面的域名不属于所述信任域名集合时，对用户进行告警提示。

另一种识别恶意网站的装置，包括：

域名添加单元，用于在白名单中添加对应用户特征信息的信任域名，形成信任域名集合；

信息抓取单元，用于抓取登录页面中输入的用户特征信息；

判断单元，用于判断所述域名添加单元添加的所述白名单中是否包含所述信息抓取单元抓取的所述用户特征信息，得出判断结果；

域名查找单元，用于当所述判断单元判断结果为是时，在白名单中查找所述用户特征信息对应的信任域名集合；

域名比对单元，用于将所述登录页面的域名与所述域名查找单元查找的所述信任域名集合中的所有信任域名进行比对；