[发明专利]钓鱼网站拦截方法、装置以及用于拦截钓鱼网站的服务器

说明书

本发明涉及网络安全技术领域，特别涉及钓鱼网站拦截方法和用于拦截钓鱼网站的服务器。本发明的钓鱼网站拦截方法，识别用户客户端发起的网页访问并获取网站镜像，通过对网站页面输入框中键入的需加密信息是否为明文传输进行识别，主动分析用户访问的网站的安全性，从而拦截对钓鱼网站的访问，为用户提供更准确且识别效率更高的钓鱼网站拦截方法。对于上述钓鱼网站的拦截方法，可以通过建立功能模块，组合成功能模块构架，由存储在计算机可读存储介质中的计算机程序来实施。同时该用于拦截钓鱼网站的方法可以通过具有功能模块构架，能够录入实施该功能模块构架的计算机程序的服务器来实现。

技术领域

本发明涉及网络安全技术领域，特别涉及钓鱼网站拦截方法和用于拦截钓鱼网站的服务器。对于钓鱼网站的识别方法，可以通过建立功能模块，组合成功能模块构架，由存储在计算机可读存储介质中的计算机程序来实施。

背景技术

随着互联网和移动终端的快速发展，一些伪装成银行及电子商务，窃取用户提交的银行帐号、密码等私密信息的钓鱼网站在网络上传播。这些钓鱼网站利用各种手段，仿冒真实网站的URL地址以及页面内容，或利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码，以此来骗取用户身份证信息、银行卡或信用卡账号、密码等私人资料。一旦用户进入钓鱼网站的页面，就有可能被这些网站欺骗，造成个人信息泄露甚至财务上的损失。随着钓鱼网站对互联网通讯和电子商务安全性能的威胁不断增加，钓鱼网站拦截技术也日益受到人们的关注。

目前对钓鱼网站的识别主要来自用户举报，互联网安全服务提供商建立网址链接的黑白名单，接到用户举报信息后，把验证为钓鱼网站的网址信息加入黑名单。互联网安全服务提供商通过在客户端建立拦截机制，在用户浏览网页时过滤掉保存在黑名单内的网址。这种钓鱼网站识别和拦截方法的信息更新滞后，保护性不强，其发挥效应时往往用户的利益已经受到侵害，无法全方位保护用户的网络使用安全。

发明内容

本发明的目的在于：主动分析客户端发起的网页访问请求的安全性，在信息被泄露前拦截对钓鱼网站的访问，为用户提供更准确且识别效率更高的钓鱼网站拦截方法。

钓鱼网站通常伪装成为银行、金融等行业的官方网站，窃取用户提交的银行卡卡号等金融账号以及密码等信息。虽然大多钓鱼网站制作简陋，只有一个或几个页面，其URL和真实网站也有细微差别，但其网页界面通常与真实网站的网页界面完全一致，用户在进入钓鱼网站后，往往不会去分辨网站是否真实，而是直接进入登录界面，在对应的输入框内键入账号、密码、银行卡卡号、身份证号码等数据信息，这就给了不法分子窃取用户信息的可乘之机。发明人发现：正常网站特别是银行等官方网站对于用户账号密码的加密传输非常重视，而钓鱼网站的目的在于快速得到用户的信息，不会对账号密码进行加密传输。因此，发明人想到可以通过分析用户访问的网站是否有对用户在网站输入框中键入的需加密信息进行加密传输来识别该网站是否属于钓鱼网站。

为此，本发明提供如下钓鱼网站拦截方法：获取客户端访问的网站镜像，判断该网站是否属于钓鱼网站，若判断出该网站属于钓鱼网站，则拦截对该网站的访问，对网站是否属于钓鱼网站的判断是根据网站页面输入框中键入的需加密信息是否为明文传输进行的。

本发明的钓鱼网站拦截方法能够主动分析所获取的网站对网页内用户键入的需加密信息进行传输的安全性，一旦识别到有网站对需要加密传输的信息不做加密处理，即该网站的信息是通过明文传输的，就说明该网站属于钓鱼网站，立即拦截对该网站的访问。

对于上述钓鱼网站拦截方法，可以通过建立功能模块，组合成功能模块构架，由存储在计算机可读存储介质中的计算机程序来实施。