基于whois信息的钓鱼网站收集、鉴定方法和系统

摘要

本发明公开了一种基于whois信息的钓鱼网站收集、鉴定方法和系统，该方法包括根据已知的钓鱼网站提取其whois信息；根据所述的whois信息获取所有使用该whois信息注册的网站域名；根据预设的规则判断获取的网站域名为可疑网站域名或可信任网站域名；根据预设的规则判断所述可疑网站域名是否为钓鱼网站域名。该系统包括whois信息服务器、提取模块、获取模块、判断模块、可疑网站域名数据库、可信任网站域名数据库、钓鱼判断模块和钓鱼网站域名数据库。本发明避免了基于云技术的云查杀针对性不强的不足，利用已知钓鱼网站的whois信息查找所有使用该whois信息注册的钓鱼网站域名。

说明书

技术领域

本发明属于计算机领域，尤其是根据已知钓鱼网站的whois信息收集、鉴定其whois信息下的所有钓鱼网站的方法和系统。

背景技术

Whois信息是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商，地址，电话等）。通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43埠。每个域名/IP的whois信息由对应的管理机构保存。

Whois信息是当前域名系统中不可或缺的一项信息服务。在使用域名进行Internet冲浪时，很多用户希望进一步了解域名、名字服务器的详细信息，这就会用到whois信息。对于域名的注册服务机构（registrar）而言，要确认域名数据是否已经正确注册到域名注册中心（registry），也经常会用到whois信息。直观来看，whois信息就是链接到域名数据库的搜索引擎，一般来说是属于网络信息中心所提供和维护的名字服务之一。

互联网域名的注册信息是公开的，并且可以通过Whois信息服务器来公开查询。因此对于whois信息的获取是比较容易的。

现有的基于云的查杀技术不能满足安全软件厂商提供更快速更完善的保护方案。因此需要提前处理一些已经在运作，但是尚未对网络安全造成实质性影响的钓鱼网站。

由于钓鱼网站也同样需要在进行互域名注册，这样就避免不了提供whois信息。而钓鱼网站的制造者往往在注册时使用相同的whois信息。

发明内容

本发明的目的，就是克服现有技术的不足，提供一种在已知钓鱼网站中提取其whois信息，并根据该whois信息获取所有使用该whois信息注册的网站域名，再通过判断机制找到钓鱼网站的基于whois信息的钓鱼网站收集、鉴定方法和系统。

为了达到上述目的，采用如下两种技术方案：

技术方案一：一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述基于whois信息的钓鱼网站收集方法包括以下步骤：根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名数据库中；根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至一钓鱼网站域名数据库。

进一步地，所述whois信息包括注册人姓名信息和注册人邮箱信息，所述基于whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。

进一步地，所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的第一判断规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，该网站域名为可疑网站域名。

进一步地，在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前，所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同，则获取的网站域名为可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。

进一步地，在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前，所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。

进一步地，若根据预设的第一判断规则判断获取的网站域名为可疑网站域名，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；若根据预设的第一判断规则判断获取的网站域名为可信任网站域名，不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。

进一步地，所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

技术方案二：一种基于whois信息的钓鱼网站收集、鉴定系统，包括存储whois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼，还包括提取模块，用于根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；获取模块，用于根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；判断模块，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据库中；钓鱼判断模块，用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至钓鱼网站域名数据库。

进一步地，所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。

进一步地，所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。

进一步地，所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中；若网站域名备案信息的主办单位主体为个人或不存在，判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。

进一步地，所述判断模块判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，把获取的网站域名发送至可疑网站域名数据库；如果判断模块判断获取的网站域名为可信任网站域名，则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时发送获取的网站域名至可信任网站域名数据库。

进一步地，所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；根据钓鱼判断模块的判断规则，若可疑网站域名的钓鱼权重大于90%，钓鱼判断模块判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

与现有技术相比，本发明的有益效果在于：

本发明可以有效、快速地从已知的钓鱼网站域名中通过whois信息查找出其他具有相同whois信息的钓鱼网站。避免了基于云技术的云查杀的慢速，针对性不强的不足，达到了快速查找并鉴定钓鱼网站的目的。

附图说明

图1是本发明所述基于whois信息的钓鱼网站收集、鉴定方法的流程图；

图2是本发明所述基于whois信息的钓鱼网站收集、鉴定系统的结构示意图。

图示：1—whois信息服务器；2—提取模块；3—获取模块；4—判断模块；5—钓鱼判断模块；6—可疑网站域名数据库；7—可信任网站域名数据库；8—钓鱼网站域名数据库。

具体实施方式

下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。

实施例一

一种基于whois信息的钓鱼网站收集、鉴定方法，主要包括以下步骤：

1）根据已知的钓鱼网站的域名信息，从whois信息服务器中提取其whois信息。

从一些防护软件或者其他一些杀毒软件中获取已经被判定为钓鱼网站的网站，抽取该钓鱼网站的域名信息，根据域名信息从whois信息服务器中提取该钓鱼网站的whois信息。whois信息服务器中的whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中，根据防病毒经验总结，病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此，根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制造的钓鱼网站。本步骤从whois信息服务器中提取whois信息的注册人姓名信息和注册人邮箱信息。

2）根据所述的whois信息获取所有使用该whois信息注册的网站域名。

提取whois信息的注册人姓名信息和注册人邮箱信息后，根据whois信息的注册人姓名信息或注册人邮箱信息从whois信息服务器查找所有使用这两个信息注册的网站域名。目前已有这类的查询网站，可以通过这些查询网站进行查询。

3）根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名数据库中。

在根据第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名前，所述获取的网站域名首先与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库中的任一可信任网站域名相同，则获取的网站域名为可信任网站域名数据库中的可信任网站域名；如果获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则获取的网站域名不是可信任网站域名数据库中的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名相同时，获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时，则进行根据第一判断规则判断所述获取的网站域名为可疑网站域名或可信任网站域名的步骤。

所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，判断该网站域名为可疑网站域名。

根据预设的第一判断规则判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；如果判断为可信任网站域名，则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。

4）根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库。

在进行根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前，可疑网站域名根据预设的第二匹配规则与钓鱼网站域名数据库中的钓鱼网站域名匹配。此处的预设的第二匹配规则指：如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库中的钓鱼网站域名。如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则可疑网站域名不是钓鱼网站数据库中的钓鱼网站域名。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同时，可疑网站域名为已知的钓鱼网站域名，不进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名不相同时，进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。

所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重。所述预设的规则指若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

实施例二

一种基于whois信息的钓鱼网站收集、鉴定系统，包括Whois信息服务器1、提取模块2、获取模块3、判断模块4、钓鱼判断模块5、可疑网站域名数据库6、可信任网站域名数据库7、钓鱼网站域名数据库8。

Whois信息服务器1，用于存储whois信息。Whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中，根据防病毒经验总结，病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此，根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制造的钓鱼网站。该步骤从whois信息服务器1中提取whois信息的注册人姓名信息和注册人邮箱信息。提取模块2，用于根据已知的钓鱼网站的域名信息从whois信息服务器1中提取该钓鱼网站的whois信息。提取模块2提取的whois信息包括注册人姓名信息和注册人邮箱信息。提取模块2提取到的注册人姓名信息和注册人邮箱信息送往获取模块3。获取模块3接收提取模块2发送的注册人姓名信息和注册人邮箱信息，根据注册人姓名信息和注册人邮箱信息从whois信息服务器1获取所有使用注册人姓名信息和注册人邮箱信息注册的网站域名。

判断模块4，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据库中。判断模块4首先与所述可信任网站域名数据库7中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库7中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同，则为可信任网站域名数据库7中的可信任网站域名；如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名不同，则获取的网站域名不是可信任网站域名数据库7中的可信任网站域名。当获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同时，获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时，根据预设的第一判断规则判断获取的网站域名是否为可信任网站域名或可疑网站域名。经过判断模块4的判断，判断结果为可疑网站域名的网站域名存储至可疑网站域名数据库6；判断结果为可信任网站域名的网站域名存储至可信任网站域名数据库7。所述第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块4判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，判断模块4判断该网站域名为可疑网站域名。所述判断模块4判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；如果判断为可信任网站域名，则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库7。

钓鱼判断模块5，用于判断可疑网站域名是否为钓鱼网站域名。钓鱼判断模块5首先根据第二匹配规则与钓鱼网站域名数据库中8的钓鱼网站域名匹配。若可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库8中的钓鱼网站域名。如果可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名不同，则进行根据第二判断规则判断所述可疑网站域名是否为钓鱼网站域名的步骤。钓鱼判断模块5把判断为钓鱼网站域名的网站域名存储在钓鱼网站域名数据库8中。所述钓鱼判断模块5中，可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和。其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；根据判断模块4的判断结果，若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。