[发明专利]一种钓鱼网站检测方法

说明书

【技术领域】

本发明提供一种钓鱼网站检测方法，属于计算机互联网(Web)安全领域。

【背景技术】

钓鱼网站仿冒真实网站的域名（URL）地址以及页面内容（通常伪装成银行及电子商务网站），或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的Javascript代码，以此来骗取用户银行或信用卡账号、密码等私人资料，使用户受到经济上的损失。目前针对网购的攻击则日益普遍，钓鱼网站取代病毒木马成为互联网第一大安全威胁，钓鱼网站的检测识别成为Web安全领域重要研究内容。

判断一个网站是否是钓鱼网站，一个重要的途径是验证该网站是否跟某个真实网站在视觉效果或内容上具有相似性。一些方案使用页面内容作为检测方法，根据页面内容关键字频度或者页脚版权声明大致确定疑似仿冒的目标网站。这种方式精确度不高，攻击者很容易使用替代的关键字躲避检测。一些方案使用网页文档对象模型（HTML Document Object Mode，DOM）结构作为相似度检测的依据，这种检测机制也很容易躲避，攻击者可以使用不同的DOM结构仿冒一个真实网站，普通用户在视觉上很难分辨。还有一些机制使用页面截图比较的方式计算相似度，该机制使用图形软件比较可疑网页的截图与目标网页截图的相似度。该方案缺点是效率不高、使用不方便，用户无法通过简单便捷的方法如浏览器扩展进行检测。

【发明内容】

(1)发明目的

本发明目的在于提供一种基于网页层叠样式表（Cascading Style Sheet，CSS）的相似度的钓鱼网站检测方法。传统方法在确定疑似网页后很难判断该网页是否仿照某个真实网页，本方案根据CSS相似度能为这种判决提供依据。

(2)技术方案

已知网页P_s以及疑似目标网页集D={P₁，P₂，...P_n}，检测P_s与D中任一网页P_d的相似度是否超过某一门限，若超过且二者不属于同一域名，则认为网页P_s是钓鱼网页。

为了实现上述目的，本发明一种钓鱼网站检测方法，它基于CSS的相似度检测的流程，其步骤如下：

步骤一：CSS文本提取

HTML文件的CSS一般有3种存在形式：外部样式表、内部样式表和内联样式表，按照不同的存在形式分别进行提取。将以上提取的所有的CSS字符串合并到同一个文件中。

步骤二：CSS文本解析

使用CSS解析器对步骤一得到的CSS文件进行自动解析，得到对应的规则对象集合。每条规则对象为键-值结构，包含该规则的规则类型、选择器名称、声明集合。规则类型表明该条规则是否是注释或者一条有功能的CSS语句。选择器名称表明该规则应用的目标。声明集合保存对相应目标使用的样式，集合中的每个元素都是对当前选择器一条属性描述，包括属性名称和属性值等信息。对于CSS文件中复合属性的条目在解析时可自动分解为多个单属性集合。

步骤三：比较元提取

本发明从规则集合中选择带某些特征的属性并重新整合，以便于相似度的快速计算。

对于值具有数字特征的属性，进一步处理生成比较元。比较元为“键：值”对，以便于查找和比较。其中，键为属性和属性值的链接，值为拥有该属性和属性值的选择器集合。由于很多网页中包含大量值为0的属性，给相似度计算的准确性带来一定干扰，本发明不将其当作比较元

步骤四：相似度计算

可以根据两个网页的比较元集合的匹配情况计算相似度。假设有比较元集合A和B，A对B的相似度定义为：A对B的相似度等于A与B的匹配集合得分与A的比较元总分之比。即：

在计算匹配得分和总分时需经以下几个步骤：

1)权值设定。对不同的匹配元素设定不同的权值。比较元的键的权值设为s₁，即当比较元集合A中某个比较元的键在比较元集合B中存在，则将匹配得分加s₁。比较元的值为选择器数组，数组中的不同类型的选择器对应不同的权值。令HTML标签选择器的权值为s₂，派生选择器的权值为s₃，类选择器的权值为s₄，ID选择器的权值为s₅。

2)得分计算。

A的总分的计算方式为：