一种钓鱼网站检测方法技术

本发明专利技术一种钓鱼网站检测方法，步骤如下：1、CSS文本提取，按照不同的存在形式分别进行提取；将以上提取的所有的CSS字符串合并到同一个文件中；2、CSS文本解析，使用CSS解析器对步骤1得到的CSS文件进行自动解析，得到对应的规则对象集合；3、比较元提取，从规则集合中选择带某些特征的属性并重新整合，以便于相似度的快速计算；4、相似度计算，根据两个网页的比较元集合的匹配情况计算相似度。本发明专利技术有以下优点：1)轻量级，算法轻量级，易于使用浏览器扩展实现；2)普适性强，由于正常网站内所有网页一般采用统一的样式风格，因此只需检测可疑网页与目标网站内任一个网页是否匹配即可，而且不受网页语言种类的限制；3)低误报。

【技术实现步骤摘要】

本专利技术提供，属于计算机互联网(Web)安全领域。
技术介绍
钓鱼网站仿冒真实网站的域名(URL)地址以及页面内容(通常伪装成银行及电子商务网站)，或者利用真实网站服务器程序上的漏洞在站点的某些网页中插入危险的Javascript代码，以此来骗取用户银行或信用卡账号、密码等私人资料，使用户受到经济上的损失。目前针对网购的攻击则日益普遍，钓鱼网站取代病毒木马成为互联网第一大安全威胁，钓鱼网站的检测识别成为Web安全领域重要研究内容。 判断一个网站是否是钓鱼网站，一个重要的途径是验证该网站是否跟某个真实网站在视觉效果或内容上具有相似性。一些方案使用页面内容作为检测方法，根据页面内容关键字频度或者页脚版权声明大致确定疑似仿冒的目标网站。这种方式精确度不高，攻击者很容易使用替代的关键字躲避检测。一些方案使用网页文档对象模型(HTML DocumentObject Mode, DOM)结构作为相似度检测的依据，这种检测机制也很容易躲避，攻击者可以使用不同的DOM结构仿冒一个真实网站，普通用户在视觉上很难分辨。还有一些机制使用页面截图比较的方式计算相似度，该机制使用图形软件比较可疑网页的截图与目标网页截图的相似度。该方案缺点是效率不高、使用不方便，用户无法通过简单便捷的方法如浏览器扩展进行检测。
技术实现思路
(I)专利技术目的本专利技术目的在于提供一种基于网页层叠样式表(Cascading Style Sheet, CSS)的相似度的钓鱼网站检测方法。传统方法在确定疑似网页后很难判断该网页是否仿照某个真实网页，本方案根据CSS相似度能为这种判决提供依据。(2)技术方案已知网页Ps以及疑似目标网页集D={P1; P2, . . .Pn}，检测Ps与D中任一网页Pd的相似度是否超过某一门限，若超过且二者不属于同一域名，则认为网页Ps是钓鱼网页。为了实现上述目的，本专利技术，它基于CSS的相似度检测的流程，其步骤如下步骤一 CSS文本提取HTML文件的CSS —般有3种存在形式外部样式表、内部样式表和内联样式表，按照不同的存在形式分别进行提取。将以上提取的所有的CSS字符串合并到同一个文件中。步骤二 css文本解析使用CSS解析器对步骤一得到的CSS文件进行自动解析，得到对应的规则对象集合。每条规则对象为键-值结构，包含该规则的规则类型、选择器名称、声明集合。规则类型表明该条规则是否是注释或者一条有功能的CSS语句。选择器名称表明该规则应用的目标。声明集合保存对相应目标使用的样式，集合中的每个元素都是对当前选择器一条属性描述，包括属性名称和属性值等信息。对于CSS文件中复合属性的条目在解析时可自动分解为多个单属性集合。步骤三比较元提取本专利技术从规则集合中选择带某些特征的属性并重新整合，以便于相似度的快速计笪对于值具有数字特征的属性，进一步处理生成比较元。比较元为“键值”对，以便于查找和比较。其中，键为属性和属性值的链接，值为拥有该属性和属性值的选择器集合。由于很多网页中包含大量值为O的属性，给相似度计算的准确性带来一定干扰，本专利技术不将其当作比较元步骤四相似度计算可以根据两个网页的比较元集合的匹配情况计算相似度。假设有比较元集合A和B，A对B的相似度定义为A对B的相似度等于A与B的匹配集合得分与A的比较元总分之比。即本文档来自技高网...

【技术保护点】
一种钓鱼网站检测方法，其特征在于：该方法步骤如下：步骤一：层叠样式表CSS文本提取超文本标记语言HTML文件的层叠样式表CSS有3种存在形式：外部样式表、内部样式表和内联样式表，按照不同的存在形式分别进行提取；将以上提取的所有的层叠样式表CSS字符串合并到同一个文件中；步骤二：层叠样式表CSS文本解析使用层叠样式表CSS解析器对步骤一得到的层叠样式表CSS文件进行自动解析，得到对应的规则对象集合；每条规则对象为键?值结构，包含该规则的规则类型、选择器名称及声明集合；规则类型表明该条规则是否是注释或者一条有功能的层叠样式表CSS语句；选择器名称表明该规则应用的目标；声明集合保存对相应目标使用的样式，集合中的每个元素都是对当前选择器一条属性描述，包括属性名称和属性值信息；对于层叠样式表CSS文件中复合属性的条目在解析时自动分解为多个单属性集合；步骤三：比较元提取从规则集合中选择带某些特征的属性并重新整合，以便于相似度的快速计算；对于值具有数字特征的属性，进一步处理生成比较元；比较元为“键：值”对，以便于查找和比较；其中，键为属性和属性值的链接，值为拥有该属性和属性值的选择器集合；步骤四：相似度计算根据两个网页的比较元集合的匹配情况计算相似度；假设有比较元集合A和B，A对B的相似度定义为：A对B的相似度等于A与B的匹配集合得分与A的比较元总分之比；即：在计算匹配得分和总分时需经以下几个步骤：1)权值设定；对不同的匹配元素设定不同的权值；比较元的键的权值设为s1，即当比较元集合A中某个比较元的键在比较元集合B中存在，则将匹配得分加s1；比较元的值为选择器数组，数组中的不同类型的选择器对应不同的权值；令超文本标记语言HTML标签选择器的权值为s2，派生选择器的权值为s3，类选择器的权值为s4，ID选择器的权值为s5；2)得分计算；A的总分的计算方式为：其中k2、k3、k4、k5分别为对应的比较元超文本标记语言HTML标签选择器、派生选择器、类选择器、ID选择器的个数；A的匹配得分的计算方式为：集合A中任一比较元的键在比较元集合B中存在，则将匹配得分加s1，若不存在则该比较元得分为0；若集合B存在该键，然后比较该键对应值中选择器的匹配数目，根据匹配类型的权值计算匹配得分总和；3)相似度计算；A对B的相似度为A与B的匹配得分与A的比较元总分之比。FDA00002441286900011.jpg,FDA00002441286900021.jpg...

【技术特征摘要】
1.一种钓鱼网站检测方法，其特征在于该方法步骤如下 步骤一层叠样式表CSS文本提取 超文本标记语言HTML文件的层叠样式表CSS有3种存在形式外部样式表、内部样式表和内联样式表，按照不同的存在形式分别进行提取；将以上提取的所有的层叠样式表CSS字符串合并到同一个文件中； 步骤二 层叠样式表CSS文本解析 使用层叠样式表CSS解析器对步骤一得到的层叠样式表CSS文件进行自动解析，得到对应的规则对象集合；每条规则对象为键-值结构，包含该规则的规则类型、选择器名称及声明集合；规则类型表明该条规则是否是注释或者一条有功能的层叠样式表CSS语句；选择器名称表明该规则应用的目标；声明集合保存对相应目标使用的样式，集合中的每个元素都是对当前选择器一条属性描述，包括属性名称和属性值信息；对于层叠样式表CSS文件中复合属性的条目在解析时自动分解为多个单属性集合； 步骤三比较元提取 从规则集合中选择带某些特征的属性并重新整合，以便...

【专利技术属性】
技术研发人员：李坤，毛剑，刘建伟，冯克，李佩，
申请(专利权)人：北京航空航天大学，
类型：发明
国别省市：