技術領域

本發明涉及網絡防御技術，更具體地說，涉及一種用于檢測釣魚網站的方法、系統及網關設備。

背景技術

釣魚網站通常是指偽裝成銀行網站或電子商務網站，以竊取用戶提交的銀行賬號、密碼等私密信息的非法網站。一些非法用戶通過偽造出一些以假亂真的釣魚網站，并誘惑受害者按照其意圖進行操作，從而獲取用戶的私密信息，從而達到獲取用戶利益的目的。伴隨著近年來網絡購物的流行，網絡釣魚事件在網路中也變得越來越頻繁，給群眾帶來了重大的損失。同時，網絡技術的發展也使得釣魚網站發生了新的變化，往往具有更大的迷惑性，給傳統的檢測方法帶來了巨大的挑戰。

傳統的反釣魚網站技術主要采用“黑名單技術”，黑名單技術是通過將所有已經發現的釣魚站點記錄到一個地址列表中，據此判斷用戶所訪問的網站是否為釣魚網站。黑名單技術實現簡單，但其問題在于要做到對黑名單的及時更新十分困難；新的釣魚網站生命周期很短，而且會在某一時間段大量涌現，所以黑名單技術的滯后性也越來越明顯，難以取得預期的防護效果。因此，需要一種新的方法能夠更為有效的完成釣魚網站的檢測工作。

發明內容

本發明要解決的技術問題在于，針對現有技術中的缺陷，提供一種檢測準確、針對性強且防護效果好的用于檢測釣魚網站的方法、系統及網關設備。

本發明解決其技術問題所采用的技術方案是：提供一種用于檢測釣魚網站的方法，包括以下步驟：

S1、設置需要保護的網站，并存儲需要保護的網站的域名和頁面的全局特征；

S2、根據存儲在網關設備內的規則庫規定的字符相似性，利用相似字符替換所述需要保護的網站的域名中相應的字符；每一次替換均形成一個新的相似域名，并將所述相似域名存入數據庫；

S3、網關設備獲取用戶訪問請求并轉發給網頁服務器，所述用戶訪問請求中設置有用于訪問的域名；所述網關設備將所述用于訪問的域名和所述相似域名，通過相似性匹配算法進行匹配，得出兩者的第一相似值N；將所述第一相似值N與第一預設值N1進行比較，如果N＞N1，則進一步檢測，否則直接結束檢測；

S4、分別計算被訪問頁面的全局特征和需要保護的網站的頁面的全局特征，通過相似性算法得出第二相似值N’，將所述第二相似值N’與第二預設值N2進行比較，當N’＞N2，向客戶端發出報警；否則直接結束檢測。

在本發明所述的用于檢測釣魚網站的方法中，所述步驟S2還根據字符的字形相似性或語義相似性，產生相似字符，并將所有所述相似字符存入所述規則庫中；所述字符相似性包括所述字形相似性和語義相似性。

在本發明所述的用于檢測釣魚網站的方法中，所述步驟S3中將所述用于訪問的域名分別和數據庫中所有相應的所述相似域名進行匹配，將得出的多個第一相似值N分別與第一預設值N1進行比較，只要任意一個第一相似值N大于第一預設值N1，則進行進一步檢測。

在本發明所述的用于檢測釣魚網站的方法中，所述步驟S3中將所述用于訪問的域名分別和數據庫中所有的所述相似域名進行匹配，得出多個第一相似值N并求取最大值，若所述最大值大于所述第一預設值，則進行進一步檢測。

在本發明所述的用于檢測釣魚網站的方法中，所述頁面的全局特征包括網頁的文本特征、圖片特征及全局圖像特征。

本發明還提供一種網關設備，包括：

存儲單元，用于存儲需要保護的網站的域名及網頁的全局特征，用于存儲規則庫和數據庫；所述頁面全局特征包括網頁的文本特征、圖片特征及全局圖像特征；

域名處理單元，用于根據所述規則庫規定的字符相似性，利用相似字符替換所述需要保護的網站的域名中相應的字符；每一次替換均形成一個新的相似域名，并將所述相似域名存入數據庫；

轉發單元，用于獲取客戶端的用戶訪問請求，并轉發給網頁服務器，所述用戶訪問請求中設置有用于訪問的域名；

檢測單元，用于將所述用于訪問的域名和所述相似域名通過相似性匹配算法進行匹配得出第一相似值N，當第一相似值N大于第一預設值N1時，進行進一步檢測，否則直接結束檢測；所述檢測單元還用于在所述第一相似值大于所述第一預設值時，分別計算被訪問頁面的全局特征和需要保護的網站的頁面的全局特征，通過相似性算法得出第二相似值N’，并比較第二相似值N’與第二預設值N2的大??；

報警單元，用于當第二相似值N’大于第二預設值時，向客戶端發出報警。