[发明专利]钓鱼网站检测方法及装置

说明书

技术领域

本发明涉及网站安全检测技术，尤其涉及一种钓鱼网站检测方法及装置，属于通信技术领域。

背景技术

随着科技的普及化，网络通讯技术以不可取代的地位深入各个领域，而网络安全问题也日益严峻，其中以钓鱼网站问题尤为突出。

现有的钓鱼网站检测方法主要有黑名单过滤技术、启发式特征检测技术及基于模式识别的检测技术。黑名单过滤技术主要依靠不断对黑名单进行更新，从而检测钓鱼网站。启发式特征检测技术主要是把网站链接、文本内容及域名信息等信息的异常特征作为钓鱼网站判定的标准。基于模式识别的检测技术主要是利用有监督的学习方法，通过对大量的钓鱼行为提取相关或无关特征向量形成判别模型，利用判别模型对钓鱼网站进行检测。发送报文的方法是由中央处理器(CPU)将报文内容和报文发送控制文件同时经由存储器提供给专用集成电路(ASIC)，并由ASIC按照报文发送控制文件发送报文。现有技术中，报文发送方法通常采取以下流程：因此CPU在将报文存储到存储器中时，需要对报文进行扩展，生成报文控制信息。由于扩展后的报文长度增加，CPU需根据扩展后的报文长度在存储器中申请一块新的内存块，将原始报文的目的地址和源地址字段复制到新的内存块，并将报文控制信息复制到新的内存块，存放在原始报文的目的地址和源地址字段后。ASIC从存储器的内存块中读取该扩展后的报文，并根据该报文中携带的报文控制信息发送报文。

在实际应用中，通常基于用户提供的举报信息来利用上述方法对可疑钓鱼网站进行检测，即被动检测，所以这些方法多为在用户已经遭受钓鱼网站侵害后才能发挥作用，具有一定的滞后性。特别是现今钓鱼网站存在活动周期短，更新快等特点，所以能否尽早发现钓鱼网站，避免或减少用户损失成为钓鱼网站检测的重点所在。

发明内容

针对现有技术所存在的缺陷，本发明提供一种钓鱼网站检测方法及装置，用以实现对钓鱼网站进行主动检测。

根据本发明的一方面，提供一种钓鱼网站检测方法，包括：

获取已知钓鱼网站的互联网协议IP地址；

根据与所述已知钓鱼网站的IP地址相邻的预设范围设定可疑IP域；

查询所述可疑IP域所包括的可疑IP地址所映射的统一资源定位符URL，并根据所述URL生成可疑钓鱼网站列表；

针对所述可疑钓鱼网站列表中的各所述URL进行钓鱼网站检测。

根据本发明的另一方面，还提供一种钓鱼网站检测装置，包括：

IP地址获取模块，用于获取已知钓鱼网站的IP地址；

可疑IP域设定模块，用于根据与所述已知钓鱼网站的IP地址相邻的预设范围设定可疑IP域；

可疑钓鱼网站列表生成模块，用于查询所述可疑IP域所包括的可疑IP地址所映射的URL，并根据所述URL生成可疑钓鱼网站列表；

检测模块，用于针对所述可疑钓鱼网站列表中的各所述URL进行钓鱼网站检测。

根据本发明的钓鱼网站检测方法及装置，由于在实际应用中钓鱼网站的架设者通常会在相邻的多个IP中架设钓鱼网站，因此通过首先获取已知钓鱼网站URL所对应的IP地址，根据获取的IP地址建立可疑钓鱼网站IP域，查找可疑IP域中每个IP所对应的网站URL，再对这些URL进行检测，以从庞大的网站资源中发现未知钓鱼网站，实现对网络中存在的钓鱼网站进行主动检测，从而在钓鱼网站造成对用户的损失之前即可完成有效检测，减少用户损失。

附图说明

图1为本发明实施例钓鱼网站检测方法的流程示意图。

图2为本发明实施例钓鱼网站检测装置的结构示意图。

具体实施方式

本发明实施例的钓鱼网站检测方法例如由设置在网络中的钓鱼网站检测设备来执行。

图1为本发明实施例钓鱼网站检测方法的流程示意图。如图1所示，该方法包括：

步骤S101，获取已知钓鱼网站的互联网协议(IP)地址：

具体地，获取已经确定钓鱼网站的IP地址，该IP地址可从记录的多个已经过检测确定的钓鱼网站IP地址中获取，也可为通过网络监测或用户举报等方式获取的钓鱼网站URL解析后获得的钓鱼网站IP地址。

步骤S102，根据与所述已知钓鱼网站的IP地址相邻的预设范围设定可疑IP域；

具体地，钓鱼网站通常会在相邻IP中架设多个钓鱼网站，所以将与钓鱼网站IP地址相邻的N个IP设定为可疑IP加入可疑IP域。

步骤S103，查询所述可疑IP域所包括的可疑IP地址所映射的统一资源定位符(URL)，并根据所述URL生成可疑钓鱼网站列表；