本發明公開了一種基于hacker搜索語法的釣魚站點檢測方法，包括步驟如下：S1：獲取鏈接，利用已有的數據進行判定，檢測該鏈接是否已經進行過判定，若是，則警告用戶訪問站點為釣魚站點，若不是，則執行下一步；S2：對鏈接的URL進行解析，生成不同的搜索字符串，并結合Hacks搜索語法生成搜索模式；S3：根據搜索模式進行Hacks搜索，獲得搜索結果；S4：根據搜索結果依次進行索引策略和資源策略的判定；S5：根據判定做出響應，若判定目標URL為釣魚站點，則將URL加入本地數據庫，并向用戶發出警告正在訪問站點可能為釣魚站點；否則不做響應。本發明結合啟發式策略有效檢出釣魚站點，包括部署在失陷站點上的釣魚站點。

技術領域

本發明涉及網絡安全技術領域，更具體的，涉及一種基于hacker搜索語法的釣魚站點檢測方法。

背景技術

伴隨著網絡技術的發展，互聯網已深入到人們生活的方方面面。但網絡給人們生活帶來便利的同時也增加了各種網絡犯罪的風險。網絡攻擊更具多元化、規?；?、復雜化、持續化。域名解析服務作為網絡的基礎設施，已成為攻擊者的主要攻擊目標之一。其中，釣魚攻擊近年來呈明顯增長的趨勢。釣魚攻擊是一種欺騙性的攻擊，攻擊者通過偽造目標站點，誘使受害者在偽造站點上填寫個人敏感信息，包括用戶名，密碼等，從而實現對這些敏感信息的竊取。釣魚攻擊可以通過多種方式實現，包括電子郵件、web站點、惡意軟件等。

網絡釣魚攻擊的日益嚴峻，極大的影響了用戶在互聯網上安全性，不僅阻礙了互聯網的發展，并且也可能對社會造成不良影響。目前在釣魚站點的研究上，主要包括三個方面：一是增加用戶對網絡釣魚的認識，通過培訓提高用戶對釣魚站點的識別能力，不輕易的相信來歷不明的站點；二是從互聯網發展角度培養網絡用戶的自發舉報意識，形成良性的循環，共同守護互聯網的安全；三是通過技術手段對釣魚站點進行檢測，提前向用戶預警，阻斷用戶與釣魚站點的接觸。

目前的釣魚站點檢測研究主要可以分為四類，基于列表的檢測方法、基于啟發式的檢測方法、基于第三方信譽的檢測方法和基于機器學習的檢測方法。

其中，基于列表的方法，即采用黑/白名單對訪問域名進行匹配，是最簡單最直接的方法，具有較高的準確度，系統開銷小，但是其受限于名單的質量，需要高質量的黑名單才能有效檢出釣魚站點，而且不能防范未知的攻擊。為了緩解黑名單的不足，文獻[Ramanathan?S,Mirkovic?J,Yu?M.BLAG:Improving?the?Accuracy?of?Blacklists[J]]為了提高黑名的準確性，提出了一個匯總和評估多個黑名單的系統-BLAG，并且其可以針對特定網絡生成具有針對性的黑名單。BLAG通過利用黑名單的三個特性，聚合性，歷史性和集中性，使用推薦系統對指定網絡流量中的域名進行推斷，降低黑名單的誤分類。

基于啟發式的方法從站點上抽取多種特征，然后設計啟發式的判定條件來推斷站點是否是釣魚站點。但是抽取的目標特征并不一定存在，導致這種方法準確率較低，同時啟發式的判定也容易被攻擊者繞過。

基于第三方信譽值的方法通過獲取第三方的數據，如搜索引擎排名，whois信息等，綜合考慮判定。但是基于信譽值的方法存在一個問題，如果釣魚站點部署在一個失陷站點上，則檢測方法很容易失效。據Moore?and?Clayton(2007)研究，其觀察到的釣魚站點中76％的部署在失陷主機上。部署在失陷主機上有兩個好處，一是可以利用當前域名的信譽度，有可能繞過檢測；二是攻擊者節約了攻擊成本。文獻[Rao?R?S,Pais?A?R.Jail-Phish:An?improved?search?engine?based?phishing?detection?system[J].computersSecurity,2019,83:246-267]提出了一種利用域名搜索引擎排名的釣魚檢測方法-Jail-Phish，其通過動態生成目標站點的搜索字符串提高了搜索字符串的準確度，同時對搜索結果的返回頁面進行分析，可以有效識別出部署在失陷站點上的釣魚站點。