[发明专利]一种基于视觉与主机特征的钓鱼网站识别方法及电子装置

说明书

本发明公开了一种基于视觉与主机特征的钓鱼网站识别方法及电子装置，其步骤包括：将提取一网关中的一镜像流量进行基于域名的过滤，以判断所述镜像流量对应的网页是否为第一可疑网页；获取判定为所述第一可疑网页的一张或多张网页快照，并将所述网页快照与目标网站的商标图片集进行子图匹配，以判断第一可疑网页是否为第二可疑网页；将提取的所述第二可疑网页的IP地址与所述目标网站的IP地址集合进行聚类，以判断所述第二可疑网页是否为钓鱼网站。本发明利用搜索引擎构成自动化商标图片采集工具，采用基于子图匹配和异常点检测的方法，使得钓鱼网站更难以进行绕过，从而提高了钓鱼网站识别的召回率。

技术领域

本发明涉及安全技术领域，尤其涉及一种基于视觉与主机特征的钓鱼网站识别方法及电子装置。

背景技术

目前的钓鱼网站检测方法大致可根据是否针对特定目标网站分类两类。

对于无特定目标网站的方法而言，大都通过抽取钓鱼网站所共有的特征(包括URL的文本内容与结构，HTML的内容与结构等)并使用机器学习算法，例如逻辑回归，朴素贝叶斯，决策树，SVM(支持向量机)等进行模型训练，进而完成对钓鱼网站的预测。除此之外，可以根据未知网页的内容，使用特定算法(例如TF-IDF，OCR等)提取网页关键字作为网页身份，并利用搜索引擎对该身份进行搜索，通过比较搜索结果的域名与该未知网页的域名的相似度判断该未知网页是否为钓鱼网页。对于有特定目标网站的方法而言，大都选用网页截图、网页图片资源、网页HTML的树型结构以及网页URL等内容，并使用编辑距离等方式比较某未知网页与目标网页的相似度。

例如中国专利申请CN105357221A公开了一种识别钓鱼网站的方法及装置，其方法包括：获取已知钓鱼网站的URL作为样本URL；根据样本URL的特征信息训练检测模型；使用检测模型对未知URL的特征信息进行匹配，获得未知URL的检测结果。该专利申请通过对钓鱼网站的URL进行机器训练，以达到识别钓鱼网站的目的。

对于不基于目标网站的方法而言，由于钓鱼网站的内容完全由攻击者决定，导致现有工作所选用的特征容易被攻击者篡改，因此这些攻击者能够绕过检测。对于基于目标网站的检测方法而言，较难以被绕过的方法大都采取商标图片作为特征，因为将商标图片作为对网站的标识更能达到欺骗用户的目的。但是能获取比较准确商标图片的工作需要人工识别，相对应的自动化从页面中截取商标图片的方法的准确率相对较低。

同时目前已有工作都需要基于网页内容特征进行展开，对于使用HTTPS的内容加密的钓鱼网站还没有检测方法。

发明内容

本发明的目的在于提供一种基于视觉与主机特征的钓鱼网站识别方法及电子装置，用户使用本发明公开的方法，不仅能从流量中自动化地检测基于HTTP的钓鱼网站，同时与现有方法相比拥有更高的召回率(即更难被攻击者绕过)。并且可以在无需客户端参与的情况下发现部分利用HTTPS加密传输的钓鱼网站。

一种部署于镜像流量服务器的基于视觉与主机特征的钓鱼网站识别方法，其步骤包括：

1)将提取一网关中的一镜像流量进行基于域名的过滤，以判断所述镜像流量对应的网页是否为第一可疑网页；

2)获取判定为所述第一可疑网页的一张或多张网页快照，并将所述网页快照与目标网站的商标图片集进行子图匹配，以判断第一可疑网页是否为第二可疑网页；

3)将提取的所述第二可疑网页的IP地址与所述目标网站的IP地址集合进行聚类，以判断所述第二可疑网页是否为钓鱼网站。

进一步地，所述镜像流量为HTTP流量或HTTPS流量。

进一步地，所述HTTP流量的进行基于域名的过滤步骤包括：

1)使域名白名单对HTTP流量中的host name字段进行子串匹配，获取所述HTTP流量对应的域名不在域名白名单的第一流量；