技術領域

本發明涉及計算機軟件及網絡安全技術領域，尤其涉及一種中文釣魚網站檢測方法及系統。

背景技術

2013年手機在線支付增長迅猛，用戶數達到1.25億，交易規模突破1.2萬億元。但與此同時，手機支付面臨的風險因素也快速增長了312％，成為威脅網民資產非常重要的原因，網絡釣魚已經成為最嚴重的一種網絡犯罪形式。所謂“釣魚網站”，是指不法分子利用各種手段，仿冒真實網站的地址以及頁面內容，或者利用真實網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。目前，用戶在手機端上網過程中面臨的釣魚攻擊危害程度已超過PC端。比PC具有更強的誘惑性，隱蔽性和誤導性。釣魚式攻擊嚴重影響網絡銀行、電子支付網站的發展。危害用戶利益的同時又影響被仿造網站的信譽，阻礙移動互聯網的發展。手機上網的用戶由于受手機界面的限制，比電腦上網更難區分網站真假。一旦上當，將個人信息提交到釣魚網站，很難避免經濟損失。

目前移動互聯網釣魚式攻擊的傳播方式，主要通過短信、手機即時通信軟件、社交網絡等發布，釣魚者會將信息內容偽裝成某個熟人的口吻或者利用人性的弱點，以各種理由如中獎信息、銀行網站升級維護更新資料等等，然后騙取用戶信任，意圖引誘用戶登錄看起來極其真實的假冒網站，給出敏感信息(如用戶名、口令、賬號ID、ATM?PIN碼、信用卡)。釣魚網站的頁面與真實網站界面完全一致，要求訪問者提交賬號和密碼。3.15晚會中關于手機軟件涉嫌竊取用戶隱私的爭議再度引發了移動互聯信息安全的關注熱點。為了全面應對移動終端安全形勢的挑戰，各大安全廠商已經開始逐步完善構建各自手機端的釣魚式攻擊檢測技術，因此我們有必要對手機的釣魚式攻擊進行研究。

現有技術中，為了應對手機釣魚式攻擊的威脅，減少釣魚網站的數量，國內外展開了多種反釣魚的研究工作，目前有以下四類方法與技術：

(1)基于黑名單的檢測技術

黑名單是一種用于檢測釣魚網站廣泛使用的方法。黑名單技術是指將所有已經發現的釣魚站點和可信網站的URL記錄到一個列表(即黑名單)中，據此判斷用戶所訪問的網站是否為釣魚/安全網站。黑名單隨著存活的釣魚網站增加，并且增加到反釣魚網站數據庫中。新創建的釣魚網站的垃圾郵件活動會持續4-6個小時。因此在列出黑名單和禁用釣魚網站的時候，釣魚網站可能已經移動到了新的URL上面。因此黑名單技術具有一定的局限性，它無法預測新的釣魚攻擊，并且如果通過DNS劫持，將用戶輸入的網站重新定向到釣魚網站，黑名單技術也無法解決這種重定向的問題。

(2)基于URL的檢測技術

基于URL檢測技術主要使用URL本身的信息確定其是否為惡意鏈接，釣魚網站使用多種技術使受害者相信鏈接是合法的，例如使用比較相似的字符，如www.taokwbao.com。這些主機名之所以能夠欺騙受害者，主要是因為他們看到了地址中有他們預期的域名。基于URL的反釣魚技術主要是通過URL地址相似度、域名概率評估、網站排名、注冊信息、網址類型、頁面的外鏈數目，IP及端口號等信息進行釣魚檢測識別，基于URL的技術也無法解決DNS劫持問題。

(3)基于內容的檢測技術

基于內容的檢測技術需要使用軟件工具，主要是指網絡網蟲，下載網站的內容，從網站內容中提取出能夠識別網絡釣魚的特征，這些技術需要有強大的搜索技術，以確保能夠全面檢索網站內容，然后使用不同的機器學習方法對網站進行鑒別，但目前的基于內容的檢測技術具有較高的誤報率，不能滿足實際應用的需求。

(4)部署到移動平臺的OCR技術

利用Tesseract技術提取手機屏幕上的文字特征，通過比較目標URL中的二級域名與使用OCR技術獲取登錄界面的截圖查看文本中是否有敏感詞，繼而判斷在文本中是否有二級域名，若有則為安全頁面，否則為釣魚頁面。應用于中文網站時需導入中文語言包，與英文語言包的1.8M相比，中文語言簡體包39.5M執行起來之后速度相當慢，目前只能用于簡單的網頁提取，實際投入使用的效果和手機卡機的效果相同。

中國申請號為201210422629.6的專利申請揭示了一種基于客戶端的釣魚網站檢測方法，包括如下步驟：步驟一：將用戶登錄的網址發送至服務端查詢該網址的安全性，若為未知網址，則發回客戶端進行檢測；步驟二：在客戶端提取該用戶登錄網址的網站特征與用戶端的特征庫進行比對，判斷其是否為釣魚網址，若為釣魚網址，則發送至服務端，若否，則允許訪問；步驟三：在服務端累計訪問該網址的人數，當累計人數超過一閾值時，該服務端會判斷該網址為客戶端誤報，允許訪問。