CN110677374A - 防钓鱼攻击的方法、装置及计算机可读存储介质 - Google Patents
防钓鱼攻击的方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN110677374A CN110677374A CN201810707307.3A CN201810707307A CN110677374A CN 110677374 A CN110677374 A CN 110677374A CN 201810707307 A CN201810707307 A CN 201810707307A CN 110677374 A CN110677374 A CN 110677374A
- Authority
- CN
- China
- Prior art keywords
- phishing
- user
- websites
- management mechanism
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000007246 mechanism Effects 0.000 claims abstract description 86
- 238000012544 monitoring process Methods 0.000 claims abstract description 30
- 238000005206 flow analysis Methods 0.000 claims description 17
- 238000004458 analytical method Methods 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 10
- 239000000284 extract Substances 0.000 claims description 9
- 238000004891 communication Methods 0.000 claims description 8
- 238000000586 desensitisation Methods 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 5
- 238000010586 diagram Methods 0.000 description 20
- 230000005540 biological transmission Effects 0.000 description 12
- 230000008520 organization Effects 0.000 description 9
- 238000004590 computer program Methods 0.000 description 7
- 238000012954 risk control Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000010485 coping Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012805 post-processing Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000036632 reaction speed Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开提供了一种防钓鱼攻击的方法、装置及计算机可读存储介质,涉及信息安全技术领域。其中的防钓鱼攻击的方法包括:对访问钓鱼网站的报文进行实时监控;复制并解析报文,提取报文中的用户输入信息;将用户输入信息发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知用户泄露了用户输入信息。本公开能够检测到用户访问钓鱼网站时泄露的敏感信息,指示相应的用户信息管理机构通知用户并采取相应的安全措施,从而有效防止钓鱼网站对用户的攻击,提升了用户的网络信息安全性以及财产安全性。
Description
技术领域
本公开涉及信息安全技术领域,特别涉及一种防钓鱼攻击的方法、装置及计算机可读存储介质。
背景技术
网络钓鱼攻击是指通过构造与某一目标网站高度相似的页面,并通常以垃圾邮件、即时聊天、手机短信等方式发送声称来自于被仿冒机构的欺骗性消息,诱骗用户访问,以获取用户个人秘密信息(例如银行账号和密码)的行为。
钓鱼网站易感用户特指容易受到网络钓鱼事件影响的互联网用户,而此类用户恰恰是黑色地下产业的主要目标。
发明内容
发明人研究发现,一般来说,黑色地下产业利用钓鱼网站获取受害者的账号信息,通常不会马上划走资金,但被仿冒机构由于缺乏主动监控机制,并不清楚哪些用户已在钓鱼网站泄露信息,往往只能在某些用户遭受经济损失,进行举报后才能执行有关风险控制策略,时效性较差,且对已泄露信息但尚未察觉的用户无能为力。因此,对于受钓鱼网站攻击用户的定位和发现已经成为被仿冒机构提升应对钓鱼网站的能力,执行有效风险控制措施的关键。
本公开解决的一个技术问题是,如何防止钓鱼网站对用户的攻击。
根据本公开实施例的一个方面,提供了一种防钓鱼攻击的方法,包括:对访问钓鱼网站的报文进行实时监控;复制并解析报文,提取报文中的用户输入信息;将用户输入信息发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知用户泄露了用户输入信息。
在一些实施例中,该方法还包括:利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
在一些实施例中,利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构包括:将用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到用户输入信息相应的用户信息管理机构。
在一些实施例中,用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
在一些实施例中,对访问特定钓鱼网站的报文进行实时监控,特定钓鱼网站为特定被仿冒网站的钓鱼网站。
在一些实施例中,该方法还包括:收集钓鱼网站形成钓鱼网站清单;对访问钓鱼网站的报文进行实时监控包括:对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控。
在一些实施例中,该方法还包括:对钓鱼网站清单上的钓鱼网站进行分类;对访问钓鱼网站的报文进行实时监控包括:对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
在一些实施例中,对钓鱼网站清单上的钓鱼网站进行分类包括:根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。
在一些实施例中,该方法还包括:根据预先设定的规则对钓鱼网站清单进行更新;根据预先设定的规则对钓鱼网站清单进行更新包括:将新收集的钓鱼网站加入钓鱼网站清单,将已失效的钓鱼网站从钓鱼网站清单中删除。
在一些实施例中,将用户输入信息发送至相应的用户信息管理机构包括:利用预先设置的通信接口将用户输入信息发送至相应的用户信息管理机构;或者,将用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,将用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
根据本公开实施例的另一个方面,提供了一种防钓鱼攻击的装置,包括:深度报文检测模块,被配置为对访问钓鱼网站的报文进行实时监控,复制报文并发送至定向流量分析模块;定向流量分析模块,被配置为解析报文,提取报文中的用户输入信息并发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知用户泄露了用户输入信息。
在一些实施例中,该装置还包括:管理机构确定模块,被配置为利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
在一些实施例中,管理机构确定模块被配置为:将用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到用户输入信息相应的用户信息管理机构。
在一些实施例中,用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
在一些实施例中,深度报文检测模块被配置为:对访问特定钓鱼网站的报文进行实时监控,特定钓鱼网站为特定被仿冒网站的钓鱼网站。
在一些实施例中,该装置还包括钓鱼网站收集模块,被配置为收集钓鱼网站形成钓鱼网站清单;深度报文检测模块被配置为:对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控。
在一些实施例中,该装置还包括钓鱼网站分类模块,被配置为对钓鱼网站清单上的钓鱼网站进行分类;深度报文检测模块被配置为:对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
在一些实施例中,钓鱼网站收集模块被配置为:根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。
在一些实施例中,该装置还包括钓鱼网站清单更新模块,被配置为根据预先设定的规则对钓鱼网站清单进行更新,将新收集的钓鱼网站加入钓鱼网站清单,将已失效的钓鱼网站从钓鱼网站清单中删除。
在一些实施例中,定向流量分析模块被配置为:利用预先设置的通信接口将用户输入信息发送至相应的用户信息管理机构;或者,将用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,将用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
根据本公开实施例的又一个方面,提供了一种防钓鱼攻击的装置,包括:存储器;以及耦接至存储器的处理器,处理器被配置为基于存储在存储器中的指令,执行前述的防钓鱼攻击的方法。
根据本公开实施例的再一个方面,提供了一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现前述的防钓鱼攻击的方法。
本公开能够检测到用户访问钓鱼网站时泄露的敏感信息,指示相应的用户信息管理机构通知用户并采取相应的安全措施,从而有效防止钓鱼网站对用户的攻击,提升了用户的网络信息安全性以及财产安全性。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了本公开一个实施例的防钓鱼攻击的方法的流程示意图。
图2示出了本公开另一个实施例的防钓鱼攻击的方法的流程示意图。
图3示出了本公开一个实施例的防钓鱼攻击的装置的流程示意图。
图4示出了防钓鱼攻击的***的一个应用例的结构示意图。
图5示出了防钓鱼攻击的***的一个应用例的应用场景示意图。
图6示出了本公开一个实施例的防钓鱼攻击的装置的结构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本公开保护的范围。
首先结合图1描述本公开一个实施例的防钓鱼攻击的方法。
图1示出了本公开一个实施例的防钓鱼攻击的方法的流程示意图。如图1所示,该实施例中的防钓鱼攻击的方法包括步骤S100~步骤S108。
在步骤S100中,收集钓鱼网站形成钓鱼网站清单。
在步骤S102中,对访问钓鱼网站的报文进行实时监控。
具体来说,可以对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控,也可以对访问特定钓鱼网站的报文进行实时监控。其中,特定钓鱼网站为特定被仿冒网站的钓鱼网站。
在步骤S104中,复制并解析报文,提取报文中的用户输入信息。
在步骤S106中,将用户输入信息发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知用户泄露了用户输入信息。
具体来说,可以利用预先设置的通信接口将用户输入信息发送至相应的用户信息管理机构;或者,可以将用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,可以将用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
上述实施例能够检测到用户访问钓鱼网站时泄露的敏感信息,指示相应的用户信息管理机构通知用户并采取相应的安全措施,从而有效防止钓鱼网站对用户的攻击,提升了用户的网络信息安全性以及财产安全性。
下面结合图2描述本公开另一个实施例的防钓鱼攻击的方法。
图2示出了本公开另一个实施例的防钓鱼攻击的方法的流程示意图。如图2所示,在图1所示实施例的基础上,本实施例中的防钓鱼攻击的方法还包括步骤201、步骤S203以及步骤S207。
在步骤S201中,对钓鱼网站清单上的钓鱼网站进行分类。
具体来说,可以根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。相应的,在步骤S102中,可以对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
在步骤S205中,利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
具体来说,可以将用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到用户输入信息相应的用户信息管理机构。其中,用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
例如,用户输入信息的特征为11位数字且前三位数字为134,则可以确定该用户输入信息为手机号码,匹配得到相应的用户信息管理机构为D电信运营商。还比如,用户输入信息的特征为19位数字且前两位数字为62,则可以确定该用户输入信息为银行***,匹配得到相应的用户信息管理机构为E银行。再比如,用户输入信息的特征为18位数字且前三位数字为110,则可以确定该用户输入信息为身份证号,匹配得到相应的用户信息管理机构为F公安局。
在步骤S207中,根据预先设定的规则对钓鱼网站清单进行更新。
具体来说,可以将新收集的钓鱼网站加入钓鱼网站清单,也可以将已失效的钓鱼网站从钓鱼网站清单中删除。
上述实施例中,通过钓鱼网站清单上的钓鱼网站进行分类,可以对访问指定类别的钓鱼网站的报文进行实时监控;同时,利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构;此外,根据预先设定的规则对钓鱼网站清单进行更新,可以及时对监控的钓鱼网站进行调整,从而进一步提升对钓鱼攻击的反应速度,有效保障了用户的信息安全和财产安全。
下面结合图3描述本公开一个实施例的防钓鱼攻击的装置。
图3示出了本公开一个实施例的防钓鱼攻击的装置的流程示意图。如图3所示,本实施例中的防钓鱼攻击的装置包括:
深度报文检测模块302,被配置为对访问钓鱼网站的报文进行实时监控,复制报文并发送至定向流量分析模块;
定向流量分析模块304,被配置为解析报文,提取报文中的用户输入信息并发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知用户泄露了用户输入信息。
在一些实施例中,该装置还包括:管理机构确定模块303,被配置为利用用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
在一些实施例中,管理机构确定模块303被配置为:将用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到用户输入信息相应的用户信息管理机构。
在一些实施例中,用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
在一些实施例中,深度报文检测模块被配置为:对访问特定钓鱼网站的报文进行实时监控,特定钓鱼网站为特定被仿冒网站的钓鱼网站。
在一些实施例中,该装置还包括钓鱼网站收集模块300,被配置为收集钓鱼网站形成钓鱼网站清单;深度报文检测模块302被配置为:对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控。
在一些实施例中,该装置还包括钓鱼网站分类模块301,被配置为对钓鱼网站清单上的钓鱼网站进行分类;深度报文检测模块被配置为:对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
在一些实施例中,钓鱼网站收集模块300被配置为:根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。
在一些实施例中,该装置还包括钓鱼网站清单更新模块306,被配置为根据预先设定的规则对钓鱼网站清单进行更新,将新收集的钓鱼网站加入钓鱼网站清单,将已失效的钓鱼网站从钓鱼网站清单中删除。
在一些实施例中,定向流量分析模块304被配置为:利用预先设置的通信接口将用户输入信息发送至相应的用户信息管理机构;或者,将用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,将用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
本公开的防钓鱼攻击的方法还可以由防钓鱼攻击的***来实现。下面结合图4描述防钓鱼攻击的***的一个应用例。
图4示出了防钓鱼攻击的***的一个应用例的结构示意图。图5示出了防钓鱼攻击的***的一个应用例的应用场景示意图。如图4所示,防钓鱼攻击的***可以包括钓鱼网站收集模块401、定向流量分析模块402、仿冒对象数据库403、易感用户定位模块404、数据保护传输模块405。
防钓鱼攻击的***的工作流程的一个应用例如下:
(1)钓鱼网站易感用户识别***通过多种方式收集钓鱼网站,形成钓鱼网站清单,提交部署在运营商网内的DPI(Deep Packet Inspection,深度报文检测)***进行实时监控。
具体地,钓鱼网站易感用户识别***利用钓鱼网站收集模块通过多种方式收集海量的钓鱼网站,收集方式包括但不限于主动探测发现、客户自行申报、社会资源共享等,钓鱼网站收集模块将收集的钓鱼网站形成清单,提交DPI***进行实时监控。钓鱼网站清单内容包括但不限于钓鱼网站域名、钓鱼网站IP地址等。DPI***部署位置包括但不限于IDC出口、IP城域网、IP骨干网、互联网国际出入口、运营商互联互通等层面。
可选的,钓鱼网站收集模块可以将收集到的全部钓鱼网站提交DPI***进行实时监控,也可以将钓鱼网站进行分类,将指定类别的钓鱼网站提交DPI***进行实时监控。例如将钓鱼网站根据被仿冒机构的类型进行分类,如金融机构、电子商务、媒体等;或者根据协议类型进行分类,如WAP网站、Web网站等。
可选的,钓鱼网站收集模块还可以将仿冒特定机构的钓鱼网站提交DPI***进行实时监控。例如,将收集到的所有仿冒A银行的钓鱼网站汇总,形成A银行钓鱼网站清单,提交DPI***进行实时监控。
可选的,钓鱼网站收集模块可以能够根据预先设定的规则进行钓鱼网站清单的更新。更新包括但不限于将新收集的钓鱼网站加入清单、将已经失效的钓鱼网站从清单中删除。
(2)DPI***将访问钓鱼网站的原始报文复制分发给钓鱼网站易感用户识别***的定向流量分析模块。
具体地,部署在运营商网内的DPI***根据钓鱼网站收集模块提交的钓鱼网站清单,可基于域名、IP地址、IP地址段等条件过滤指定流量,将访问钓鱼网站的原始报文复制分发给钓鱼网站易感用户识别***的定向流量分析模块。
(3)定向流量分析模块进行报文解析,提取用户录入到钓鱼网站的敏感信息,发送给易感用户定位模块。
具体地,钓鱼网站易感用户识别***的定向流量分析模块接收DPI***转发的定向镜像数据,根据不同的协议类型对报文进行解析,提取用户录入到钓鱼网站的敏感信息,发送给易感用户定位模块。协议类型包括但不限于HTTP协议、WAP协议。敏感信息包括但不限于账号、密码、姓名、证件号码、银行***、手机号码等。例如定向流量分析模块接收到DPI***转发的访问钓鱼网站B的原始HTTP报文,通过深度解析HTTP请求消息,提取用户提交至该网站的个人信息,如:张三,13912345678,110100123401011111,4367123412341234123。定向流量分析模块将上述信息发送给易感用户定位模块。
(4)易感用户定位模块结合仿冒对象数据库预先定义的各类编码规则,以及被仿冒对象的信息特征,定位易感用户所属的被仿冒机构。
具体地,易感用户定位模块接收到定向流量分析模块发送的用户敏感信息,通过仿冒对象数据库预先定义的各类编码规则和被仿冒机构的信息特征,进行信息梳理和特征比对,定位易感用户所属的被仿冒机构,随后将敏感信息和被仿冒机构的名称发送给数据保护传输模块。预先定义的各类编码规则包括但不限于银行***编码规则、用户账号编码规则、手机号码编码规则、身份证号码编码规则等。信息特征包括但不限于被仿冒机构业务的账户信息和编码规则、业务种类等,可用于定位被仿冒机构,如基于银行***编码规则可确定发卡行名称。例如,易感用户定位模块接收到定向流量分析模块发送的用户敏感信息,如:张三,13912345678,110100123401011111,4367123412341234123。结合仿冒对象数据库根据预先定义各类编码规则和被仿冒机构的信息特征,进行信息梳理和特征比对,进一步整理出用户提交至该网站的个人信息及属性,姓名:张三,手机号码:13912345678,身份证号:110100123401011111,银行***:4367123412341234123,且该银行***属于A银行。
(5)钓鱼网站易感用户识别***利用数据保护传输模块将用户敏感信息安全地发送给用户所属的被仿冒机构。
具体地,钓鱼网站易感用户识别***利用数据保护传输模块根据预先设置的通信接口将用户敏感信息安全地发送给用户所属的被仿冒机构。
可选的,为确保敏感信息发送过程的安全,数据保护传输模块可以通过加密方式或者采用保持唯一性特征的数据脱敏方式进行数据发送。加密方式包括但不限于对称加密、非对称加密、端到端加密、链路加密等。保持唯一性特征的数据脱敏方式包括但不限于单向散列等。例如,易感用户定位模块整理得出用户录入到钓鱼网站的敏感信息,其中银行***属于A银行,则数据保护传输模块可以采用高强度的加密算法将加密后的用户敏感信息如银行***发送给A银行,或者将银行***进行单向散列运算,将散列值发送给A银行。A银行解密后获得银行***,或者通过预先计算的彩虹表基于散列值反查得到银行***,进而识别出用户,可针对已经在钓鱼网站上泄露信息的用户启动预先设置的风险控制措施。
防钓鱼攻击的***的工作流程的另一个应用例如下:
(1)钓鱼网站收集模块将仿冒特定机构的钓鱼网站,提交部署在运营商网内的DPI***进行实时监控,同时将被仿冒机构名称发给易感用户定位模块。
具体地,钓鱼网站易感用户识别***利用钓鱼网站收集模块通过多种方式收集仿冒特定机构的钓鱼网站,形成钓鱼网站清单,提交DPI***进行实时监控,同时将被仿冒机构名称发给易感用户定位模块。例如钓鱼网站收集模块通过主动探测发现、客户自行申报、社会资源共享等方式收集大量仿冒电子商务网站C的钓鱼网站,形成电商C钓鱼网站清单,提交DPI***进行实时监控,同时将电商C的名称发给易感用户定位模块。
(2)DPI***将访问仿冒特定机构的钓鱼网站的原始报文复制分发给钓鱼网站易感用户识别***的定向流量分析模块。
具体地,部署在运营商网内的DPI***根据钓鱼网站收集模块提交的仿冒特定机构的钓鱼网站清单,可基于域名、IP地址、IP地址段等条件过滤指定流量,将访问钓鱼网站的原始报文复制分发给钓鱼网站易感用户识别***的定向流量分析模块。
(3)定向流量分析模块进行报文解析,提取用户录入到钓鱼网站的敏感信息,发送给易感用户定位模块。
具体地,钓鱼网站易感用户识别***的定向流量分析模块接收DPI***转发的定向镜像数据,根据不同的协议类型对报文进行解析,提取用户录入到钓鱼网站的敏感信息,发送给易感用户定位模块。例如定向流量分析模块接收到DPI***转发的访问钓鱼网站D的原始HTTP报文,通过深度解析HTTP请求消息,提取用户提交至该网站的个人信息,如:李四,13987654321,[email protected],123456。定向流量分析模块将上述信息发送给易感用户定位模块。
(4)易感用户定位模块结合仿冒对象数据库预先定义的各类编码规则进行信息梳理,将敏感信息和机构名称发给数据保护传输模块。
具体地,易感用户定位模块接收到定向流量分析模块发送的用户敏感信息,通过仿冒对象数据库预先定义的各类编码规则进行信息梳理,随后将敏感信息和收到的钓鱼网站收集模块提供的被仿冒机构名称发送给数据保护传输模块。例如,易感用户定位模块接收到定向流量分析模块发送的用户敏感信息,如:李四,13987654321,[email protected],123456。结合仿冒对象数据库根据预先定义各类编码规则进行信息梳理,进一步整理出用户提交至该网站的个人信息及属性,姓名:李四,手机号码:13987654321,用户账号:[email protected],密码:123456。在步骤201中钓鱼网站收集模块发送的被仿冒机构名称是电子商务C。易感用户定位模块将整理的用户敏感信息和被仿冒机构名称电子商务C发送给数据保护传输模块。
(5)数据保护传输模块将敏感信息安全地发送给被仿冒机构。
具体地,钓鱼网站易感用户识别***利用数据保护传输模块根据预先设置的通信接口将用户敏感信息安全地发送给用户所属的被仿冒机构。例如,数据保护传输模块收到易感用户定位模块整理得出用户录入到钓鱼网站的敏感信息,以及被仿冒机构的名称电子商务C,随后采用高强度的加密算法将加密后的用户敏感信息发送给电子商务C,电子商务C识别出用户,可针对已经在钓鱼网站上泄露信息的用户启动预先设置的风险控制措施。
上述应用例提出了一种钓鱼攻击的***。针对目前用户在钓鱼网站上泄露信息后不能及时被发现和定位,导致用户蒙受经济损失、被仿冒机构只能开展事后处理机制等问题,提出了利用部署在运营商网内的DPI***对目标钓鱼网站进行主动实时监控,针对访问钓鱼网站的用户进行定向流量分析,实现易感用户在钓鱼网站上录入信息行为的发现和记录,并将敏感信息安全地发送给被仿冒机构的方式,便于被仿冒机构在易感用户泄露信息后,能够无需等待用户举报便可针对已泄露信息的用户快速启动极具针对性的风险控制措施,有效提升机构对于钓鱼网站的应对能力,切实保障用户的资金安全。同时,用户不必安装需大量消耗终端资源的反钓鱼控件,无需改变使用习惯,因此提升了用户体验。
图6示出了本公开另一个实施例的防钓鱼攻击的装置的结构示意图。如图6所示,该实施例的防钓鱼攻击的装置60包括:存储器610以及耦接至该存储器610的处理器620,处理器620被配置为基于存储在存储器610中的指令,执行前述任意一个实施例中的防钓鱼攻击的方法。
其中,存储器610例如可以包括***存储器、固定非易失性存储介质等。***存储器例如存储有操作***、应用程序、引导装载程序(Boot Loader)以及其他程序等。
防钓鱼攻击的装置60还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630,640,650以及存储器610和处理器620之间例如可以通过总线660连接。其中,输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口。存储接口650为SD卡、U盘等外置存储设备提供连接接口。
本公开还包括一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现前述任意一个实施例中的防钓鱼攻击的方法。
本领域内的技术人员应明白,本公开的实施例可提供为方法、***、或计算机程序产品。因此,本公开可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本公开可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本公开是参照根据本公开实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本公开的较佳实施例,并不用以限制本公开,凡在本公开的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (22)
1.一种防钓鱼攻击的方法,包括:
对访问钓鱼网站的报文进行实时监控;
复制并解析所述报文,提取所述报文中的用户输入信息;
将所述用户输入信息发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知所述用户泄露了所述用户输入信息。
2.如权利要求1所述的方法,其中,所述方法还包括:
利用所述用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
3.如权利要求2所述的方法,其中,所述利用所述用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构包括:
将所述用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到所述用户输入信息相应的用户信息管理机构。
4.如权利要求2所述的方法,其中,
所述用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;
所述用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;
所述用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
5.如权利要求1所述的方法,其中,对访问特定钓鱼网站的报文进行实时监控,所述特定钓鱼网站为特定被仿冒网站的钓鱼网站。
6.如权利要求1所述的方法,其中,
所述方法还包括:收集钓鱼网站形成钓鱼网站清单;
所述对访问钓鱼网站的报文进行实时监控包括:对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控。
7.如权利要求6所述的方法,其中,
所述方法还包括:对钓鱼网站清单上的钓鱼网站进行分类;
所述对访问钓鱼网站的报文进行实时监控包括:对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
8.如权利要求7所述的方法,其中,所述对钓鱼网站清单上的钓鱼网站进行分类包括:
根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。
9.如权利要求6所述的方法,其中,
所述方法还包括:根据预先设定的规则对钓鱼网站清单进行更新;
所述根据预先设定的规则对钓鱼网站清单进行更新包括:将新收集的钓鱼网站加入钓鱼网站清单,将已失效的钓鱼网站从钓鱼网站清单中删除。
10.如权利要求1所述的方法,其中,所述将所述用户输入信息发送至相应的用户信息管理机构包括:
利用预先设置的通信接口将所述用户输入信息发送至相应的用户信息管理机构;或者,
将所述用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,
将所述用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
11.一种防钓鱼攻击的装置,包括:
深度报文检测模块,被配置为对访问钓鱼网站的报文进行实时监控,复制所述报文并发送至定向流量分析模块;
定向流量分析模块,被配置为解析所述报文,提取所述报文中的用户输入信息并发送至相应的用户信息管理机构,以便相应的用户信息管理机构通知所述用户泄露了所述用户输入信息。
12.如权利要求11所述的装置,其中,所述装置还包括:
管理机构确定模块,被配置为利用所述用户输入信息的特征以及用户信息管理机构的信息特征,确定相应的用户信息管理机构。
13.如权利要求12所述的装置,其中,所述管理机构确定模块被配置为:
将所述用户输入信息的特征与各个用户信息管理机构的信息特征进行匹配,得到所述用户输入信息相应的用户信息管理机构。
14.如权利要求12所述的装置,其中,
所述用户输入信息包括用户输入的账号、密码、姓名、证件号码、银行***、手机号码;
所述用户输入信息的特征包括用户输入的账号的编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则;
所述用户信息管理机构的信息特征包括用户信息管理机构的账号编码规则、密码的编码规则、姓名的编码规则、证件号码的编码规则、银行***的编码规则、手机号码的编码规则。
15.如权利要求11所述的装置,其中,所述深度报文检测模块被配置为:
对访问特定钓鱼网站的报文进行实时监控,所述特定钓鱼网站为特定被仿冒网站的钓鱼网站。
16.如权利要求11所述的装置,其中,
所述装置还包括钓鱼网站收集模块,被配置为收集钓鱼网站形成钓鱼网站清单;
所述深度报文检测模块被配置为:对访问钓鱼网站清单上的钓鱼网站的报文进行实时监控。
17.如权利要求16所述的装置,其中,
所述装置还包括钓鱼网站分类模块,被配置为对钓鱼网站清单上的钓鱼网站进行分类;
所述深度报文检测模块被配置为:对访问钓鱼网站清单上指定类别的钓鱼网站的报文进行实时监控。
18.如权利要求17所述的装置,其中,所述钓鱼网站收集模块被配置为:根据被仿冒网站的机构类型、协议类型对钓鱼网站清单上的钓鱼网站进行分类。
19.如权利要求16所述的装置,其中,
所述装置还包括钓鱼网站清单更新模块,被配置为根据预先设定的规则对钓鱼网站清单进行更新,将新收集的钓鱼网站加入钓鱼网站清单,将已失效的钓鱼网站从钓鱼网站清单中删除。
20.如权利要求11所述的装置,其中,所述定向流量分析模块被配置为:
利用预先设置的通信接口将所述用户输入信息发送至相应的用户信息管理机构;或者,
将所述用户输入信息通过加密方式发送至相应的用户信息管理机构;或者,
将所述用户输入信息通过保持唯一性特征的数据脱敏方式发送至相应的用户信息管理机构。
21.一种防钓鱼攻击的装置,包括:
存储器;以及
耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行如权利要求1至10中任一项所述的防钓鱼攻击的方法。
22.一种计算机可读存储介质,其中,所述计算机可读存储介质存储有计算机指令,所述指令被处理器执行时实现如权利要求1至10中任一项所述的防钓鱼攻击的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810707307.3A CN110677374A (zh) | 2018-07-02 | 2018-07-02 | 防钓鱼攻击的方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810707307.3A CN110677374A (zh) | 2018-07-02 | 2018-07-02 | 防钓鱼攻击的方法、装置及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110677374A true CN110677374A (zh) | 2020-01-10 |
Family
ID=69065950
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810707307.3A Pending CN110677374A (zh) | 2018-07-02 | 2018-07-02 | 防钓鱼攻击的方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110677374A (zh) |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060080735A1 (en) * | 2004-09-30 | 2006-04-13 | Usa Revco, Llc | Methods and systems for phishing detection and notification |
| CN101819616A (zh) * | 2010-03-22 | 2010-09-01 | 北京工业大学 | 一种追踪隐私信息泄露的方法 |
| CN101977235A (zh) * | 2010-11-03 | 2011-02-16 | 北京北信源软件股份有限公司 | 一种针对https加密网站访问的网址过滤方法 |
| CN102073822A (zh) * | 2011-01-30 | 2011-05-25 | 北京搜狗科技发展有限公司 | 防止用户信息泄漏的方法及*** |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | ***通信集团四川有限公司 | 一种dns安全监控***及方法 |
| CN102299918A (zh) * | 2011-07-08 | 2011-12-28 | 盛大计算机(上海)有限公司 | 一种网络交易安全***及方法 |
| CN102769632A (zh) * | 2012-07-30 | 2012-11-07 | 珠海市君天电子科技有限公司 | 钓鱼网站分级检测和提示的方法及*** |
| CN103152355A (zh) * | 2013-03-19 | 2013-06-12 | 北京奇虎科技有限公司 | 对危险网站进行提示的方法、***及客户端设备 |
| US20130254888A1 (en) * | 2009-09-23 | 2013-09-26 | Versafe Ltd. | System and method for identifying security breach attempt of a website |
| CN104202318A (zh) * | 2014-08-22 | 2014-12-10 | 北京奇虎科技有限公司 | 一种防范网络钓鱼行为的方法、客户端和*** |
| CN106096040A (zh) * | 2016-06-29 | 2016-11-09 | 中国人民解放军国防科学技术大学 | 基于搜索引擎的机构网站归属地判别方法及其装置 |
| CN106599642A (zh) * | 2016-12-19 | 2017-04-26 | 广东小天才科技有限公司 | 信息防泄露的方法及电子终端 |
| CN106713266A (zh) * | 2016-11-14 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种防止信息泄露的方法、装置、终端及*** |
| CN107086919A (zh) * | 2017-03-28 | 2017-08-22 | 深圳怡化电脑股份有限公司 | 交易签名方法及*** |
| CN107094154A (zh) * | 2017-06-08 | 2017-08-25 | 北京帕斯沃得科技有限公司 | 一种智能密码网络实名制身份管理方法及平台 |
| US20180027014A1 (en) * | 2016-06-28 | 2018-01-25 | KnowBe4, Inc. | Systems and methods for performing a simulated phishing attack |
| CN108206806A (zh) * | 2016-12-16 | 2018-06-26 | 广东世纪网通信设备股份有限公司 | 钓鱼网站拦截方法、装置以及用于拦截钓鱼网站的服务器 |
-
2018
- 2018-07-02 CN CN201810707307.3A patent/CN110677374A/zh active Pending
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060080735A1 (en) * | 2004-09-30 | 2006-04-13 | Usa Revco, Llc | Methods and systems for phishing detection and notification |
| US20130254888A1 (en) * | 2009-09-23 | 2013-09-26 | Versafe Ltd. | System and method for identifying security breach attempt of a website |
| CN102082836A (zh) * | 2009-11-30 | 2011-06-01 | ***通信集团四川有限公司 | 一种dns安全监控***及方法 |
| CN101819616A (zh) * | 2010-03-22 | 2010-09-01 | 北京工业大学 | 一种追踪隐私信息泄露的方法 |
| CN101977235A (zh) * | 2010-11-03 | 2011-02-16 | 北京北信源软件股份有限公司 | 一种针对https加密网站访问的网址过滤方法 |
| CN102073822A (zh) * | 2011-01-30 | 2011-05-25 | 北京搜狗科技发展有限公司 | 防止用户信息泄漏的方法及*** |
| CN102299918A (zh) * | 2011-07-08 | 2011-12-28 | 盛大计算机(上海)有限公司 | 一种网络交易安全***及方法 |
| CN102769632A (zh) * | 2012-07-30 | 2012-11-07 | 珠海市君天电子科技有限公司 | 钓鱼网站分级检测和提示的方法及*** |
| CN103152355A (zh) * | 2013-03-19 | 2013-06-12 | 北京奇虎科技有限公司 | 对危险网站进行提示的方法、***及客户端设备 |
| CN104202318A (zh) * | 2014-08-22 | 2014-12-10 | 北京奇虎科技有限公司 | 一种防范网络钓鱼行为的方法、客户端和*** |
| US20180027014A1 (en) * | 2016-06-28 | 2018-01-25 | KnowBe4, Inc. | Systems and methods for performing a simulated phishing attack |
| CN106096040A (zh) * | 2016-06-29 | 2016-11-09 | 中国人民解放军国防科学技术大学 | 基于搜索引擎的机构网站归属地判别方法及其装置 |
| CN106713266A (zh) * | 2016-11-14 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种防止信息泄露的方法、装置、终端及*** |
| CN108206806A (zh) * | 2016-12-16 | 2018-06-26 | 广东世纪网通信设备股份有限公司 | 钓鱼网站拦截方法、装置以及用于拦截钓鱼网站的服务器 |
| CN106599642A (zh) * | 2016-12-19 | 2017-04-26 | 广东小天才科技有限公司 | 信息防泄露的方法及电子终端 |
| CN107086919A (zh) * | 2017-03-28 | 2017-08-22 | 深圳怡化电脑股份有限公司 | 交易签名方法及*** |
| CN107094154A (zh) * | 2017-06-08 | 2017-08-25 | 北京帕斯沃得科技有限公司 | 一种智能密码网络实名制身份管理方法及平台 |
Non-Patent Citations (2)
| Title |
|---|
| R. ARAVINDHAN.ET.AL: "Certain investigation on web application security: Phishing detection and phishing target discovery", 《2016 3RD INTERNATIONAL CONFERENCE ON ADVANCED COMPUTING AND COMMUNICATION SYSTEMS (ICACCS)》 * |
| 张茜等: "网络钓鱼欺诈检测技术研究", 《网络与信息安全学报》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109688105B (zh) | 一种威胁报警信息生成方法及*** | |
| KR101689298B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| Malik et al. | CREDROID: Android malware detection by network traffic analysis | |
| Ludl et al. | On the effectiveness of techniques to detect phishing sites | |
| US20160127395A1 (en) | System and method for network intrusion detection of covert channels based on off-line network traffic | |
| WO2010126733A1 (en) | Systems and methods for sensitive data remediation | |
| JP6438534B2 (ja) | 安全なオンラインバンキングトランザクションを実行するためのシステム及び方法 | |
| EP3011721B1 (en) | System and method for filtering electronic messages | |
| Chae et al. | A privacy data leakage prevention method in P2P networks | |
| CN111274046A (zh) | 服务调用的合法性检测方法、装置、计算机设备及计算机存储介质 | |
| Kurniawan et al. | Detection and analysis cerber ransomware based on network forensics behavior | |
| Hajgude et al. | Phish mail guard: Phishing mail detection technique by using textual and URL analysis | |
| Lee et al. | A study on realtime detecting smishing on cloud computing environments | |
| CN114124453B (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| CN115603995A (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
| Zeybek et al. | A study on security awareness in mobile devices | |
| CN110677374A (zh) | 防钓鱼攻击的方法、装置及计算机可读存储介质 | |
| Orunsolu et al. | A Lightweight Anti-Phishing Technique for Mobile Phone. | |
| US20210064662A1 (en) | Data collection system for effectively processing big data | |
| Zhang et al. | Controlling Network Risk in E-commerce | |
| CN117955739B (zh) | 一种接口安全的识别方法、装置、计算设备和存储介质 | |
| Gautam et al. | Phishing prevention techniques: past, present and future | |
| Sharma et al. | A Review of Anti-phishing Techniques and its Shortcomings | |
| Sheshasaayee et al. | An Analytical Survey on Intrusion Detection System and Their Identification Methodologies | |
| CN117375872A (zh) | 网络安全方案的生成方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200110 |
|
| RJ01 | Rejection of invention patent application after publication |