[发明专利]一种针对新增域名自动检测网络钓鱼的方法与系统

说明书

本发明涉及一种针对新增域名自动检测网络钓鱼的方法与系统。该方法包括：1)全量读取域名注册数据库，并根据连续两次读取的结果计算域名增量，然后将新增域名扩展为新增URL，作为待检测数据源；2)获取新增URL的网页文本内容，作为钓鱼网站识别的依据；3)将获取的网页文本内容的不同部分表示为特征向量；4)将表示网页文本内容不同部分的特征向量合并为全文特征向量，利用通过分类算法学习得到的权重信息计算该全文特征向量的钓鱼概率，进而生成疑似钓鱼URL列表。本发明提供了一种简单有效的获取新增域名的方法，并将其应用到网络钓鱼的自动检测和识别中，能够缩短钓鱼网络的识别时间，扩大检测范围，并降低识别漏判率。

技术领域

本发明属于网络技术、信息安全技术领域，具体涉及一种针对新增域名自动检测网络钓鱼的方法与系统。

背景技术

网络钓鱼(phishing)是一种在线身份伪造的欺诈行为，使用社会工程学、技术伪装等攻击手段骗取用户的信任，通过发送声称来自于银行或其他知名机构的欺骗性信息，意图引诱用户登录与真实网站极其相似的假冒网站，以窃取用户的个人身份数据和金融账号等敏感信息。随着互联网技术的快速发展，电子商务的日益普及，越来越多的商业活动开始进行网络交易，伴随着交易金额的增长，网络钓鱼的危害也越发严重。因此，网络钓鱼的自动检测与判定可以有效地防止用户和商业机构的机密泄露及经济损失。

通过对检测到的钓鱼URL进行注册时间分析，发现91.3％的钓鱼网站注册时间与检测时间相差约7天，69.6％相差约5天，54.2％相差约3天，由此可以看出，钓鱼网站的注册时间较新。随着新通用顶级域以及国际化域名的广泛应用，域名空间将进一步扩大，相信该过程也将滋生更多新的钓鱼网站。考虑到钓鱼网站的这一特点，目前较为通用的URL黑名单检测技术已经不能适用，这种方法虽然准确性高，但由于实际操作依赖于用户举报，且需人工核对，因此检测过程比较被动且耗时，这种滞后性已不能满足对新增钓鱼网站快速识别的需求。

现阶段也有利用新增域名进行网络攻击的检测技术，但是新增域名的获取及判断需要分析域名的访问情况、whois信息，且对域名的访问次数有要求，显然，这种获取待检测新增域名数据的方式必须基于多次的访问，这就导致一方面用户已经受到损失，检测不够及时，另一方面对于暂未被访问或者访问次数较少的潜在钓鱼网站来说并不适用。针对该问题，本发明提出了一种获取新增域名的新方法，该方法不依赖于访问日志，无论钓鱼网站是否被访问，都能在其出现的同时，立即进行识别，有效提前了钓鱼网站的检测时间，扩大了检测范围。

另一方面，当前较为流行的钓鱼网站识别方法是基于启发式学习的技术，通过对Web页面内容进行特征分析来识别钓鱼攻击，这种方法的准确性较高，但无法保证检测的全面性，容易漏判，针对该问题，本发明提出一种基于特征位置的加权方法用于降低漏判率。

发明内容

本发明目的在于提供一种简单有效的获取新增域名的方法，并将其应用到网络钓鱼的自动检测和识别中，以缩短钓鱼网络的识别时间，扩大检测范围，并降低识别漏判率。

为实现上述目的，本发明采用的技术方案如下：

一种针对新增域名自动检测网络钓鱼的方法，包括如下步骤：

1)全量读取域名注册数据库，并根据连续两次读取的结果计算域名增量，然后将新增域名扩展为新增URL，作为待检测数据源；

2)获取新增URL的网页文本内容，作为钓鱼网站识别的依据；

3)将获取的网页文本内容的不同部分表示为特征向量；

4)将表示网页文本内容不同部分的特征向量合并为全文特征向量，利用通过分类算法学习得到的权重信息计算该全文特征向量的钓鱼概率，进而生成疑似钓鱼URL列表。