一种反网络钓鱼的系统和方法

摘要

本发明涉及计算机终端用户的网络安全领域，特别涉及一种反网络钓鱼的系统和方法。一种反网络钓鱼的系统，位于一计算机终端，在所述计算机终端中还包含有一计算机操作系统和一网络适配器；所述计算机操作系统包括一应用层和一底层；其特征在于，其包括一浏览器、一过滤装置和一特征库更新装置，所述浏览器和特征库更新装置位于所述计算机操作系统的应用层，所述过滤装置位于所述计算机操作系统的底层；所述浏览器、网络适配器分别与所述过滤装置进行数据交互，所述过滤装置还从所述特征库更新装置中获取数据信息。本发明具有如下优点：1.拦截层次低，几乎不可能被绕开；2.可以拦截所有类型的网页浏览器对网络的访问；3.工作效率高，可靠性有保障。

说明书

技术领域

本发明涉及计算机终端用户的网络安全领域，特别涉及一种反网络钓鱼的系统和方法。

背景技术

网络钓鱼(phishing)是国际通用的新字，取phreak(偷接电话线的人)的前两个字母ph取代fishing(钓鱼)的f，是以社会工程学(也就是骗术)结合电脑科技的新犯罪手法。网络钓鱼的目的是骗取受害人的网站上的帐号密码(网络银行或线上游戏)、信用卡资料以及个人资料，进行例如线上转帐、偷取游戏虚拟宝物、窥伺别人的email以及盗刷银行卡等。网络钓鱼正以一种新的犯罪形式在不断侵犯普通网民的合法利益，具体表现在伪装“网络银行”窃取用户的银行卡卡号和密码，转走用户在银行的存款；伪装成网络游戏的官方网站窃取用户的网游帐号，转走用户在游戏里面的虚拟货币或者虚拟装备；伪装成送QQ币的网站让用户输入QQ号和密码进而窃取QQ号……。

目前常用反网络钓鱼的方法是基于浏览器插件的形式对网页访问进行拦截的，例如国内某公司使用BHO(Browser Helper Object)的形式对IE浏览器进行反钓鱼保护。这种方法缺点很明显：1、拦截层次过高，容易被绕开，而失去反网络钓鱼功能；2、仅能针对微软公司的IE浏览器，对其使用非IE内核的浏览器没有保护作用，如Firefox浏览器、Netscape浏览器等；3、可靠性得不到保障，容易被安全软件误识别为危险程序。

发明内容

本发明的目的在于针对目前反网络钓鱼技术的不足之处，提供一种不容易被绕开、不寄生于计算机终端的浏览器、工作效率高、可靠性强的反网络钓鱼系统。

本发明的另外一个目的在于提供一种不容易被绕开、不寄生于计算机终端的浏览器、工作效率高、可靠性强的反网络钓鱼方法。

本发明的目的是通过如下技术方案实现的：

一种反网络钓鱼的系统，位于一计算机终端，在所述计算机终端中还包含有一计算机操作系统和一网络适配器；所述计算机操作系统包括一应用层和一底层；其特征在于，其包括一浏览器、一过滤装置和一特征库更新装置，所述浏览器和特征库更新装置位于所述计算机操作系统的应用层，所述过滤装置位于所述计算机操作系统的底层；所述浏览器、网络适配器分别与所述过滤装置进行数据交互，所述过滤装置还从所述特征库更新装置中获取数据信息。

一种反网络钓鱼的方法，其包括如下过程：

在计算机终端操作系统的底层建立一个过滤装置，拦截输入输出请求包；

从所述输入输出请求包中逐步分离出网页访问请求的网络数据包，从所述网络数据包中分析出请求访问的网站域名和端口特征信息；

将分析出来的特征信息，与特征库里面的特征进行对比，如果判断为钓鱼网站或其他恶意网站，则过滤该输入输出请求包，及时阻止计算机终端对该网站的访问；如果不是，则放行该网页访问请求的数据包。

因为本发明采用了上述技术方案，使得本发明具有如下优点：1、拦截层次低，几乎不可能被绕开；2、不寄生于计算机终端的浏览器，几乎可以拦截所有类型的网页浏览器对网络的访问；3、工作在计算机操作系统的底层，正常情况下操作该计算机系统的用户感觉不到它的存在，工作效率高，可靠性有保障。

附图说明

图1为本发明所述系统的结构示意图；

图2为本发明所述方法的流程图；

图3为本发明所述方法实施例一流程图；

图4为本发明所述方法实施例二流程图；

具体实施方式

如图1所示，一种反网络钓鱼的系统，位于一计算机终端1内，在所述计算机终端1中还包含有一计算机操作系统2和一网络适配器3；所述计算机操作系统包括一应用层21和一底层22，所述底层为传输层；所述反网络钓鱼的系统4包括一浏览器41、一过滤装置42和一特征库更新装置43，所述浏览器41和特征库更新装置43位于所述计算机操作系统的应用层21，所述过滤装置42位于所述计算机操作系统的底层22；所述浏览器41、所述网络适配器3分别与所述过滤装置42进行数据交互，所述过滤装置42还从特征库更新装置43获取数据信息。所述过滤装置42采用内核驱动或内核模块的形式；在所述过滤装置42中有一特征库421，所述特征库421可以是预设于所述过滤装置42中，也可以是在工作过程中创建而成；所述过滤装置42主要作用是拦截分析出网络访问请求的域名或端口信息。所述浏览器41包括各种浏览器和具有网页访问功能的装置，如Firefox浏览器、Netscape浏览器、IE浏览器、其他类型的浏览器等。所述特征库更新装置43通过实时网络升级获得并更新钓鱼网站或其他不良网站的特征，然后传送给过滤装置42中的特征库421。。

所述反网络钓鱼的系统还包括一报警装置44，所述报警装置44位于所述计算机操作系统的应用层21；所述过滤装置42将成功拦截对钓鱼网站或其他不良网站的访问请求后产生的报警传递给所述报警装置44，所述报警装置44然后通过视觉或声音的形式予以告警。

下面通过所述反网络钓鱼的系统在具体的计算机操作系统中的应用进一步介绍本发明的技术方案。

实施例一、本发明在Windows操作系统上的应用：

在Windows操作系统的网络传输层安装一个过滤装置42，所述过滤装置42将创建一个驱动设备并将所述驱动设备挂接到Windows操作系统的TCP的设备栈上去，让所有流经TCP设备的输入输出请求包(简称IRP，I/Orequest packet)都受到监管；

在有网络数据传输的情况下，在流经所述驱动设备的属于TCP设备的IRP中筛选出IRP_MJ_DEVICE_CONTROL类型的IRP；再依据该IRP的栈存储单元里的FileObject->FsContext2，筛选出为TDI_CONNECTION_FILE的数据包，即HTTP协议所在的TCP包；进一步从这些TCP中取出向外发送的MinorFunction为TDI_SEND的数据包，这对应浏览器使用Socket API函数集里面的send()函数的数据包；

在筛选出的小范围IRP请求中，从IRP的Mdl地址描述符得到数据包的原始内容，分析该数据包是否为访问网络是使用的HTTP请求(GET或者POST)，如果是则提取出访问的域名或者IP，及端口这些特征；

然后将所提取的特征与驱动设备中的特征库421里面的特征进行匹配，判断出是否为钓鱼网站或者其他不良网站；

在所述操作系统的应用层21中还安装一个特征库更新装置43和报警装置44；所述特征库更新装置43通过网络升级获得并更新钓鱼网站或其他不良网站的特征，然后通过DeviceIoControl传送给过滤装置42中的特征库421。如果是网络钓鱼或者不良网站，就不让该IRP请求包继续传给TCP设备，而直接处理该IRP请求，把结果置为失败，并产生一条日志存放在日志队列里面，通知所述报警44去取该日志，所述报警装置44在获得该日志条目后以视觉或者声音形式予以告警；如果不是网络钓鱼或者不良网站，就让该IRP包继续传送给TCP设备。

实施例二、本发明在Linux操作系统上的应用：

在Linux操作系统的底层通过Linux内核提供的登记防火墙的接口函数，登记一个网络防火墙回调结构，即安装一个过滤装置；

在所述过滤装置42内提供有标准Linux防火墙的输入和输出服务函数。在过滤装置工作后，所有Linux的网络输入输出请求包，都会经过所述过滤装置42；

所述过滤装置42在所有经由自己的请求中逐步筛选出TCP协议内的含有网页访问请求的发送数据包，并再其内提取出网站域名和端口特征信息；

将所提取的特征与所述特征库421中的特征进行匹配，判断出是否为钓鱼网站或其他不良网站，如果是钓鱼网站或者其他不良网站，所述过滤装置42的防火墙输入输出服务函数返回FW_REJECT，通知Linux操作系统的网络内核过滤该网页访问请求的数据包；否则返回FW_ACCEPT，通知Linux操作系统的内核放行该网页访问请求的数据包；

在Linux操作系统应用层的上层，还安装一特征库更新装置43和报警装置44；所述特征库更新装置43能通过网络升级获取并更新钓鱼网站或者其他不良网站特征，所述过滤装置42使用copy_from_user()函数从所述特征库更新装置43中获得钓鱼网站或者其他不良网站特征存于所述特征库421；如果是钓鱼网站或者其他不良网站，所述过滤装置使用copy_to_user()函数将拦截的报警告诉报警装置44。

从上述具体的实施例中我们不难总结出所述反网络钓鱼方法包括下述过程：

在计算机终端操作系统的底层建立一个过滤装置，拦截输入输出请求包；

从所述输入输出请求包中逐步分离出网页访问请求的网络数据包，从所述网络数据包中分析出请求访问的网站域名和端口特征信息；

将分析出来的特征信息，与特征库里面的特征进行对比，如果判断为钓鱼网站或其他恶意网站，则过滤该输入输出请求包，及时阻止计算机终端对该网站的访问；如果不是，则放行该网页访问请求的数据包。

本发明的技术方案还有其他一些改变或者变形，如根据本发明的技术方案本领域的技术人员不需要创造性的劳动，就能够得到就相关的变形和改进，则上述改进应该落如本发明权利要求保护的范围内！。