基于WHOIS信息的钓鱼网站收集、鉴定方法和系统.pdf

摘要
申请专利号：	CN201210324362.7	申请日：	2012.09.04
公开号：	CN102833262A	公开日：	2012.12.19
当前法律状态：	授权	有效性：	有权
法律详情：	专利权人的姓名或者名称、地址的变更IPC(主分类):H04L 29/06变更事项:专利权人变更前:珠海市君天电子科技有限公司变更后:珠海市君天电子科技有限公司变更事项:地址变更前:519015 广东省珠海市吉大景山路莲山巷8号变更后:519070 广东省珠海市唐家湾镇港湾大道科技一路10号主楼六层601F变更事项:共同专利权人变更前:北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司变更后:北京金山安全软件有限公司北京猎豹移动科技有限公司北京猎豹网络科技有限公司\|\|\|授权\|\|\|专利申请权的转移IPC(主分类):H04L 29/06变更事项:申请人变更前权利人:珠海市君天电子科技有限公司变更后权利人:珠海市君天电子科技有限公司变更事项:地址变更前权利人:519015 广东省珠海市吉大景山路莲山巷8号变更后权利人:519015 广东省珠海市吉大景山路莲山巷8号变更事项:申请人变更后权利人:北京金山安全软件有限公司贝壳网际（北京）安全技术有限公司北京金山网络科技有限公司登记生效日:20130503\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120904\|\|\|公开
IPC分类号：	H04L29/06; H04L29/12	主分类号：	H04L29/06
申请人：	珠海市君天电子科技有限公司
发明人：	潘建波; 王斌
地址：	519015 广东省珠海市吉大景山路莲山巷8号
优先权：
专利代理机构：	广州新诺专利商标事务所有限公司 44100	代理人：	张奇洲;华辉
PDF下载：	PDF下载

内容摘要

本发明公开了一种基于whois信息的钓鱼网站收集、鉴定方法和系统，该方法包括根据已知的钓鱼网站提取其whois信息；根据所述的whois信息获取所有使用该whois信息注册的网站域名；根据预设的规则判断获取的网站域名为可疑网站域名或可信任网站域名；根据预设的规则判断所述可疑网站域名是否为钓鱼网站域名。该系统包括whois信息服务器、提取模块、获取模块、判断模块、可疑网站域名数据库、可信任网站域名数据库、钓鱼判断模块和钓鱼网站域名数据库。本发明避免了基于云技术的云查杀针对性不强的不足，利用已知钓鱼网站的whois信息查找所有使用该whois信息注册的钓鱼网站域名。

权利要求书

1.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述基于whois信息的钓鱼网站收集方法包括以下步骤：根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名数据库中；根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至一钓鱼网站域名数据库。2.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：所述whois信息包括注册人姓名信息和注册人邮箱信息，所述基于whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。3.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的第一判断规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，该网站域名为可疑网站域名。4.一种基于whois信息的钓鱼网站收集、鉴定方法，在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前，其特征在于：所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同，则获取的网站域名为可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。5.根据权利要求1所述的钓鱼网站收集、鉴定方法，在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前，其特征在于：所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。6.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：若根据预设的第一判断规则判断获取的网站域名为可疑网站域名，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；若根据预设的第一判断规则判断获取的网站域名为可信任网站域名，不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。7.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。8.一种基于whois信息的钓鱼网站收集、鉴定系统，包括存储whois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼，其特征在于，还包括：提取模块，用于根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；获取模块，用于根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；判断模块，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据库中；钓鱼判断模块，用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至钓鱼网站域名数据库。9.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。10.根据权利要求8或9所述的基于whois信息的钓鱼网站收集系统，其特征在于：所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。11.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于，所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中；若网站域名备案信息的主办单位主体为个人或不存在，判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。12.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述判断模块判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，把获取的网站域名发送至可疑网站域名数据库；如果判断模块判断获取的网站域名为可信任网站域名，则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时发送获取的网站域名至可信任网站域名数据库。13.根据权利要求8或12所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；根据钓鱼判断模块的判断规则，若可疑网站域名的钓鱼权重大于90%，钓鱼判断模块判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

说明书

基于whois信息的钓鱼网站收集、鉴定方法和系统

技术领域

本发明属于计算机领域，尤其是根据已知钓鱼网站的whois信息收集、鉴定其whois信
息下的所有钓鱼网站的方法和系统。

背景技术

Whois信息是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个
用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注
册商，地址，电话等）。通过whois来实现对域名信息的查询。早期的whois查询多以命令列
接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查
询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍
然被系统管理员广泛使用。whois通常使用TCP协议43埠。每个域名/IP的whois信息由对
应的管理机构保存。

Whois信息是当前域名系统中不可或缺的一项信息服务。在使用域名进行Internet
冲浪时，很多用户希望进一步了解域名、名字服务器的详细信息，这就会用到whois信
息。对于域名的注册服务机构（registrar）而言，要确认域名数据是否已经正确注册到
域名注册中心（registry），也经常会用到whois信息。直观来看，whois信息就是链接
到域名数据库的搜索引擎，一般来说是属于网络信息中心所提供和维护的名字服务之
一。

互联网域名的注册信息是公开的，并且可以通过Whois信息服务器来公开查询。因
此对于whois信息的获取是比较容易的。

现有的基于云的查杀技术不能满足安全软件厂商提供更快速更完善的保护方案。因
此需要提前处理一些已经在运作，但是尚未对网络安全造成实质性影响的钓鱼网站。

由于钓鱼网站也同样需要在进行互域名注册，这样就避免不了提供whois信息。而
钓鱼网站的制造者往往在注册时使用相同的whois信息。

发明内容

本发明的目的，就是克服现有技术的不足，提供一种在已知钓鱼网站中提取其whois信
息，并根据该whois信息获取所有使用该whois信息注册的网站域名，再通过判断机制找到
钓鱼网站的基于whois信息的钓鱼网站收集、鉴定方法和系统。

为了达到上述目的，采用如下两种技术方案：

技术方案一：一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述基于
whois信息的钓鱼网站收集方法包括以下步骤：根据已知的钓鱼网站的域名信息，从whois
信息服务器中提取钓鱼网站的whois信息；根据所述的whois信息从whois信息服务器获取
所有使用该whois信息注册的网站域名；根据预设的第一判断规则判断获取的网站域名为可
疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任
网站域名存储至一可信任网站域名数据库中；根据预设的第二判断规则判断所述可疑网站域
名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至一钓鱼网站域名数
据库。

进一步地，所述whois信息包括注册人姓名信息和注册人邮箱信息，所述基于whois信
息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人
姓名信息或注册人邮箱信息注册的网站域名。

进一步地，所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任
网站域名中的预设的第一判断规则具体是：若网站域名备案信息的主办单位主体为企业、军
队、政府机关或事业单位，该网站域名为可信任网站域名；若网站域名备案信息的主办单位
主体为个人或不存在，该网站域名为可疑网站域名。

进一步地，在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网
站域名之前，所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预
设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域
名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同，则获取的网站域
名为可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不
相同，则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域
名的步骤。

进一步地，在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名
是否为钓鱼网站域名之前，所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名
根据预设的第二匹配规则判断其是否为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据
库中的钓鱼网站域名相同，则为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的
钓鱼网站域名均不相同，则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的
可疑网站域名是否为钓鱼网站域名的步骤。

进一步地，若根据预设的第一判断规则判断获取的网站域名为可疑网站域名，增加所述
可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼
whois信息的钓鱼权重，更新可疑网站域名数据库；若根据预设的第一判断规则判断获取的
网站域名为可信任网站域名，不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼
权重，同时更新可信任网站域名数据库。

进一步地，所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域
名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼
权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼
权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，
IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；若可疑网站域名的钓鱼权重大于90%，
判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

技术方案二：一种基于whois信息的钓鱼网站收集、鉴定系统，包括存储whois信息的
whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任
网站域名数据库、以及存储钓鱼，还包括提取模块，用于根据已知的钓鱼网站的域名信息，
从whois信息服务器中提取钓鱼网站的whois信息；获取模块，用于根据所述的whois信息
从whois信息服务器获取所有使用该whois信息注册的网站域名；判断模块，用于根据预设
的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存
储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据库中；钓鱼判断
模块，用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为
钓鱼网站域名，将钓鱼网站域名存储至钓鱼网站域名数据库。

进一步地，所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息
和注册人邮箱信息。

进一步地，所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该
注册人姓名信息或注册人邮箱信息注册的网站域名。

进一步地，所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名
或可信任网站域名中的第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、
政府机关或事业单位，判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送
至可信任网站域名数据库中；若网站域名备案信息的主办单位主体为个人或不存在，判断模
块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。

进一步地，所述判断模块判断获取的网站域名为可疑网站域名后，增加所述可疑网站域
名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼
权重，把获取的网站域名发送至可疑网站域名数据库；如果判断模块判断获取的网站域名为
可信任网站域名，则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重，
同时发送获取的网站域名至可信任网站域名数据库。

进一步地，所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、
IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%
的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；
根据钓鱼判断模块的判断规则，若可疑网站域名的钓鱼权重大于90%，钓鱼判断模块判定该
可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

与现有技术相比，本发明的有益效果在于：

本发明可以有效、快速地从已知的钓鱼网站域名中通过whois信息查找出其他具有相同
whois信息的钓鱼网站。避免了基于云技术的云查杀的慢速，针对性不强的不足，达到了快
速查找并鉴定钓鱼网站的目的。

附图说明

图1是本发明所述基于whois信息的钓鱼网站收集、鉴定方法的流程图；

图2是本发明所述基于whois信息的钓鱼网站收集、鉴定系统的结构示意图。

图示：1—whois信息服务器；2—提取模块；3—获取模块；4—判断模块；
5—钓鱼判断模块；6—可疑网站域名数据库；7—可信任网站域名数据库；
8—钓鱼网站域名数据库。

具体实施方式

下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用
来解释本发明，但并不作为对本发明的限定。

实施例一

一种基于whois信息的钓鱼网站收集、鉴定方法，主要包括以下步骤：

1）根据已知的钓鱼网站的域名信息，从whois信息服务器中提取其whois信息。

从一些防护软件或者其他一些杀毒软件中获取已经被判定为钓鱼网站的网站，抽取该钓
鱼网站的域名信息，根据域名信息从whois信息服务器中提取该钓鱼网站的whois信息。whois
信息服务器中的whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注
册人联系电话等信息。其中，根据防病毒经验总结，病毒制造者对于注册人姓名信息和注册
人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信
息或注册人邮箱信息。因此，根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制
造的钓鱼网站。本步骤从whois信息服务器中提取whois信息的注册人姓名信息和注册人邮
箱信息。

2）根据所述的whois信息获取所有使用该whois信息注册的网站域名。

提取whois信息的注册人姓名信息和注册人邮箱信息后，根据whois信息的注册人姓名
信息或注册人邮箱信息从whois信息服务器查找所有使用这两个信息注册的网站域名。目前
已有这类的查询网站，可以通过这些查询网站进行查询。

3）根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将
可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名
数据库中。

在根据第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名前，所述获
取的网站域名首先与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规
则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名。此处预设的
第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的
网站域名与可信任网站域名数据库中的任一可信任网站域名相同，则获取的网站域名为可信
任网站域名数据库中的可信任网站域名；如果获取的网站域名与可信任网站域名数据库中的
可信任网站域名均不相同，则获取的网站域名不是可信任网站域名数据库中的可信任网站域
名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名相同时，获取的网站域
名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站
域名不同时，则进行根据第一判断规则判断所述获取的网站域名为可疑网站域名或可信任网
站域名的步骤。

所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中
的预设的规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业
单位，判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不
存在，判断该网站域名为可疑网站域名。

根据预设的第一判断规则判断获取的网站域名为可疑网站域名后，增加所述可疑网站域
名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼whois信息
的钓鱼权重，更新可疑网站域名数据库；如果判断为可信任网站域名，则不改变判断该网站
域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。

4）根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼
网站域名，同时存储至一钓鱼网站域名数据库。

在进行根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为
钓鱼网站域名之前，可疑网站域名根据预设的第二匹配规则与钓鱼网站域名数据库中的钓鱼
网站域名匹配。此处的预设的第二匹配规则指：如果可疑网站域名与钓鱼网站域名数据库中
的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库中的钓鱼网站域名。如果可疑网站
域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则可疑网站域名不是钓鱼网站数据
库中的钓鱼网站域名。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同时，可
疑网站域名为已知的钓鱼网站域名，不进行根据第二判断规则判断所述可疑网站域名为钓鱼
网站域名的步骤。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名不相同时，进行
根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。

所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓
鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站
域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓
鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址
占10%钓鱼权重，whois信息占10%钓鱼权重。所述预设的规则指若可疑网站域名的钓鱼权重
大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。

实施例二

一种基于whois信息的钓鱼网站收集、鉴定系统，包括Whois信息服务器1、提取模块2、
获取模块3、判断模块4、钓鱼判断模块5、可疑网站域名数据库6、可信任网站域名数据库
7、钓鱼网站域名数据库8。

Whois信息服务器1，用于存储whois信息。Whois信息包括注册人姓名信息、注册人邮
箱信息、注册人地址信息以及注册人联系电话等信息。其中，根据防病毒经验总结，病毒制
造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼
网站均使用相同的注册人姓名信息或注册人邮箱信息。因此，根据注册人姓名信息或注册人
邮箱信息可以找到病毒制造者制造的钓鱼网站。该步骤从whois信息服务器1中提取whois
信息的注册人姓名信息和注册人邮箱信息。提取模块2，用于根据已知的钓鱼网站的域名信
息从whois信息服务器1中提取该钓鱼网站的whois信息。提取模块2提取的whois信息包
括注册人姓名信息和注册人邮箱信息。提取模块2提取到的注册人姓名信息和注册人邮箱信
息送往获取模块3。获取模块3接收提取模块2发送的注册人姓名信息和注册人邮箱信息，
根据注册人姓名信息和注册人邮箱信息从whois信息服务器1获取所有使用注册人姓名信息
和注册人邮箱信息注册的网站域名。

判断模块4，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信
任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信
任网站域名数据库中。判断模块4首先与所述可信任网站域名数据库7中的可信任网站域名
根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库7中的可信
任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库
的域名匹配。如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同，则
为可信任网站域名数据库7中的可信任网站域名；如果获取的网站域名与可信任网站域名数
据库7中的可信任网站域名不同，则获取的网站域名不是可信任网站域名数据库7中的可信
任网站域名。当获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同时，获
取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的
可信任网站域名不同时，根据预设的第一判断规则判断获取的网站域名是否为可信任网站域
名或可疑网站域名。经过判断模块4的判断，判断结果为可疑网站域名的网站域名存储至可
疑网站域名数据库6；判断结果为可信任网站域名的网站域名存储至可信任网站域名数据库
7。所述第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事
业单位，判断模块4判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主
体为个人或不存在，判断模块4判断该网站域名为可疑网站域名。所述判断模块4判断获取
的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增
加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；如果
判断为可信任网站域名，则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权
重，同时更新可信任网站域名数据库7。

钓鱼判断模块5，用于判断可疑网站域名是否为钓鱼网站域名。钓鱼判断模块5首先根据
第二匹配规则与钓鱼网站域名数据库中8的钓鱼网站域名匹配。若可疑网站域名与钓鱼网站
域名数据库8中的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库8中的钓鱼网站域
名。如果可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名不同，则进行根据第二判
断规则判断所述可疑网站域名是否为钓鱼网站域名的步骤。钓鱼判断模块5把判断为钓鱼网
站域名的网站域名存储在钓鱼网站域名数据库8中。所述钓鱼判断模块5中，可疑网站域名
的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息
的钓鱼权重四个钓鱼权重相加的总和。其中，网站域名占10%的钓鱼权重，网站内容占70%
钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；根据判断模块4的判断结果，
若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼
网站域名数据库。

以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发
明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施
例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应
用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

资源描述

《基于WHOIS信息的钓鱼网站收集、鉴定方法和系统.pdf》由会员分享，可在线阅读，更多相关《基于WHOIS信息的钓鱼网站收集、鉴定方法和系统.pdf（12页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102833262 A (43)申请公布日 2012.12.19 C N 1 0 2 8 3 3 2 6 2 A *CN102833262A* (21)申请号 201210324362.7 (22)申请日 2012.09.04 H04L 29/06(2006.01) H04L 29/12(2006.01) (71)申请人珠海市君天电子科技有限公司地址 519015 广东省珠海市吉大景山路莲山巷8号 (72)发明人潘建波王斌 (74)专利代理机构广州新诺专利商标事务所有限公司 44100 代理人张奇洲华辉 (54) 发明名称基于whois信息的钓鱼网站收集、。

2、鉴定方法和系统 (57) 摘要本发明公开了一种基于whois信息的钓鱼网站收集、鉴定方法和系统，该方法包括根据已知的钓鱼网站提取其whois信息；根据所述的whois 信息获取所有使用该whois信息注册的网站域名；根据预设的规则判断获取的网站域名为可疑网站域名或可信任网站域名；根据预设的规则判断所述可疑网站域名是否为钓鱼网站域名。该系统包括whois信息服务器、提取模块、获取模块、判断模块、可疑网站域名数据库、可信任网站域名数据库、钓鱼判断模块和钓鱼网站域名数据库。本发明避免了基于云技术的云查杀针对性不强的不足，利用已知钓鱼网站的whois信息查找所有使用该whoi。

3、s信息注册的钓鱼网站域名。 (51)Int.Cl. 权利要求书3页说明书6页附图2页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 3 页说明书 6 页附图 2 页 1/3页 2 1.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述基于whois信息的钓鱼网站收集方法包括以下步骤：根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网。

4、站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名数据库中；根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至一钓鱼网站域名数据库。 2.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：所述whois信息包括注册人姓名信息和注册人邮箱信息，所述基于whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。 3.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：所述根据预设的第一判断规则判断获取的网站域名为可疑。

5、网站域名或可信任网站域名中的预设的第一判断规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，该网站域名为可疑网站域名。 4.一种基于whois信息的钓鱼网站收集、鉴定方法，在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前，其特征在于：所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同，则获。

6、取的网站域名为可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。 5.根据权利要求1所述的钓鱼网站收集、鉴定方法，在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前，其特征在于：所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则进入根据预设。

7、的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。 6.一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于：若根据预设的第一判断规则判断获取的网站域名为可疑网站域名，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼whois 权利要求书CN 102833262 A 2/3页 3 信息的钓鱼权重，更新可疑网站域名数据库；若根据预设的第一判断规则判断获取的网站域名为可信任网站域名，不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。 7.一种基于who。

8、is信息的钓鱼网站收集、鉴定方法，其特征在于，所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。 8.一种基于whois信息的钓鱼网站收集、鉴定系统，包括存储w。

9、hois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名的可信任网站域名数据库、以及存储钓鱼，其特征在于，还包括：提取模块，用于根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；获取模块，用于根据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；判断模块，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据库中；钓鱼判断模块，用于根据预设的第二判断规则判断所述可疑网。

10、站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至钓鱼网站域名数据库。 9.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。 10.根据权利要求8或9所述的基于whois信息的钓鱼网站收集系统，其特征在于：所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。 11.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于，所述判断模块根据预设的第一判断规则判断获取的网站。

11、域名为可疑网站域名或可信任网站域名中的第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中；若网站域名备案信息的主办单位主体为个人或不存在，判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。 12.根据权利要求8所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述判断模块判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，把权利。

12、要求书CN 102833262 A 3/3页 4 获取的网站域名发送至可疑网站域名数据库；如果判断模块判断获取的网站域名为可信任网站域名，则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时发送获取的网站域名至可信任网站域名数据库。 13.根据权利要求8或12所述的基于whois信息的钓鱼网站收集、鉴定系统，其特征在于：所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois。

13、信息占10%钓鱼权重；根据钓鱼判断模块的判断规则，若可疑网站域名的钓鱼权重大于90%，钓鱼判断模块判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。权利要求书CN 102833262 A 1/6页 5 基于 whois 信息的钓鱼网站收集、鉴定方法和系统技术领域 0001 本发明属于计算机领域，尤其是根据已知钓鱼网站的whois信息收集、鉴定其 whois信息下的所有钓鱼网站的方法和系统。背景技术 0002 Whois信息是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois 就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名。

14、所有人、域名注册商，地址，电话等）。通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43埠。每个域名/IP 的whois信息由对应的管理机构保存。 0003 Whois信息是当前域名系统中不可或缺的一项信息服务。在使用域名进行 Internet冲浪时，很多用户希望进一步了解域名、名字服务器的详细信息，这就会用到 whois信息。对于域名的注册服务机构（r。

15、egistrar）而言，要确认域名数据是否已经正确注册到域名注册中心（registry），也经常会用到whois信息。直观来看，whois信息就是链接到域名数据库的搜索引擎，一般来说是属于网络信息中心所提供和维护的名字服务之一。 0004 互联网域名的注册信息是公开的，并且可以通过Whois信息服务器来公开查询。因此对于whois信息的获取是比较容易的。 0005 现有的基于云的查杀技术不能满足安全软件厂商提供更快速更完善的保护方案。因此需要提前处理一些已经在运作，但是尚未对网络安全造成实质性影响的钓鱼网站。 0006 由于钓鱼网站也同样需要在进行互域名注册，这样就避免不了提供whoi。

16、s信息。而钓鱼网站的制造者往往在注册时使用相同的whois信息。发明内容 0007 本发明的目的，就是克服现有技术的不足，提供一种在已知钓鱼网站中提取其 whois信息，并根据该whois信息获取所有使用该whois信息注册的网站域名，再通过判断机制找到钓鱼网站的基于whois信息的钓鱼网站收集、鉴定方法和系统。 0008 为了达到上述目的，采用如下两种技术方案： 0009 技术方案一：一种基于whois信息的钓鱼网站收集、鉴定方法，其特征在于，所述基于whois信息的钓鱼网站收集方法包括以下步骤：根据已知的钓鱼网站的域名信息，从 whois信息服务器中提取钓鱼网站的whois信息；根。

17、据所述的whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信任网站域名数据库中；根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站域名存储至说明书CN 102833262 A 2/6页 6 一钓鱼网站域名数据库。 0010 进一步地，所述whois信息包括注册人姓名信息和注册人邮箱信息，所述基于 whois信息的钓鱼网站收集方法根据所述的注册人姓名信息或注册人邮箱信息。

18、获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。 0011 进一步地，所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的第一判断规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，该网站域名为可疑网站域名。 0012 进一步地，在根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名之前，所述获取的网站域名与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中。

19、的可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名相同，则获取的网站域名为可信任网站域名；若获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则进入根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名的步骤。 0013 进一步地，在根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名之前，所述可疑网站域名与所述钓鱼网站域名数据库中的钓鱼网站域名根据预设的第二匹配规则判断其是否为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则为钓鱼网站域名；若可疑网站域名与钓鱼网站域名数。

20、据库中的钓鱼网站域名均不相同，则进入根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名的步骤。 0014 进一步地，若根据预设的第一判断规则判断获取的网站域名为可疑网站域名，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois 信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；若根据预设的第一判断规则判断获取的网站域名为可信任网站域名，不改变判断该网站域名的whois信息为钓鱼 whois信息的钓鱼权重，同时更新可信任网站域名数据库。 0015 进一步地，所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑。

21、网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70% 钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。 0016 技术方案二：一种基于whois信息的钓鱼网站收集、鉴定系统，包括存储whois信息的whois信息服务器、存储可疑网站域名的可疑网站域名数据库、存储可信任网站域名。

22、的可信任网站域名数据库、以及存储钓鱼，还包括提取模块，用于根据已知的钓鱼网站的域名信息，从whois信息服务器中提取钓鱼网站的whois信息；获取模块，用于根据所述的 whois信息从whois信息服务器获取所有使用该whois信息注册的网站域名；判断模块，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，将可信任网站域名存储至可信任网站域名数据说明书CN 102833262 A 3/6页 7 库中；钓鱼判断模块，用于根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，将钓鱼网站。

23、域名存储至钓鱼网站域名数据库。 0017 进一步地，所述提取模块从whois信息服务器中提取的whois信息包括注册人姓名信息和注册人邮箱信息。 0018 进一步地，所述获取模块根据所述的注册人姓名信息或注册人邮箱信息获取所有使用该注册人姓名信息或注册人邮箱信息注册的网站域名。 0019 进一步地，所述判断模块根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块判断该网站域名为可信任网站域名并把所述的网站域名发送至可信任网站域名数据库中；若网站域名备案信息的主办单位主体为个。

24、人或不存在，判断模块判断该网站域名为可疑网站域名并把所述的网站域名发送至可疑网站数据库中。 0020 进一步地，所述判断模块判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，把获取的网站域名发送至可疑网站域名数据库；如果判断模块判断获取的网站域名为可信任网站域名，则不改变所述获取的网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时发送获取的网站域名至可信任网站域名数据库。 0021 进一步地，所述可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼。

25、权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占 10%钓鱼权重；根据钓鱼判断模块的判断规则，若可疑网站域名的钓鱼权重大于90%，钓鱼判断模块判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。 0022 与现有技术相比，本发明的有益效果在于： 0023 本发明可以有效、快速地从已知的钓鱼网站域名中通过whois信息查找出其他具有相同whois信息的钓鱼网站。避免了基于云技术的云查杀的慢速，针对性不强的不足，达到了快速查找并鉴定钓鱼网站的目的。附图说明 0024 图1。

26、是本发明所述基于whois信息的钓鱼网站收集、鉴定方法的流程图； 0025 图2是本发明所述基于whois信息的钓鱼网站收集、鉴定系统的结构示意图。 0026 图示：1whois信息服务器；2提取模块；3获取模块；4判断模块；5钓鱼判断模块；6可疑网站域名数据库；7可信任网站域名数据库；8钓鱼网站域名数据库。具体实施方式 0027 下面将结合附图以及具体实施方法来详细说明本发明，在本发明的示意性实施及说明用来解释本发明，但并不作为对本发明的限定。 0028 实施例一 0029 一种基于whois信息的钓鱼网站收集、鉴定方法，主要包括以下步骤：说明书CN 102833262 A 4。

27、/6页 8 0030 1）根据已知的钓鱼网站的域名信息，从whois信息服务器中提取其whois信息。 0031 从一些防护软件或者其他一些杀毒软件中获取已经被判定为钓鱼网站的网站，抽取该钓鱼网站的域名信息，根据域名信息从whois信息服务器中提取该钓鱼网站的whois 信息。whois信息服务器中的whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中，根据防病毒经验总结，病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此，根据注册人姓名信息或注册人邮箱信息。

28、可以找到病毒制造者制造的钓鱼网站。本步骤从whois信息服务器中提取whois信息的注册人姓名信息和注册人邮箱信息。 0032 2）根据所述的whois信息获取所有使用该whois信息注册的网站域名。 0033 提取whois信息的注册人姓名信息和注册人邮箱信息后，根据whois信息的注册人姓名信息或注册人邮箱信息从whois信息服务器查找所有使用这两个信息注册的网站域名。目前已有这类的查询网站，可以通过这些查询网站进行查询。 0034 3）根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至一可疑网站域名数据库中，将可信任网站域名存储至一可信。

29、任网站域名数据库中。 0035 在根据第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名前，所述获取的网站域名首先与所述可信任网站域名数据库中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库中的任一可信任网站域名相同，则获取的网站域名为可信任网站域名数据库中的可信任网站域名；如果获取的网站域名与可信任网站域名数据库中的可信任网站域名均不相同，则获取的网站域名不是可信任网站域名数据库中的可信任网。

30、站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名相同时，获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时，则进行根据第一判断规则判断所述获取的网站域名为可疑网站域名或可信任网站域名的步骤。 0036 所述根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名中的预设的规则具体是：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，判断该网站域名为可疑网站域名。 0037 根据预设的第一判断规则判断获取的网。

31、站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加所述可疑网站域名的whois信息为钓鱼 whois信息的钓鱼权重，更新可疑网站域名数据库；如果判断为可信任网站域名，则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库。 0038 4）根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库。 0039 在进行根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域说明书CN 102833262 A 5/6页 9 名是否为钓鱼网站域名之前，可疑。

32、网站域名根据预设的第二匹配规则与钓鱼网站域名数据库中的钓鱼网站域名匹配。此处的预设的第二匹配规则指：如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库中的钓鱼网站域名。如果可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名均不相同，则可疑网站域名不是钓鱼网站数据库中的钓鱼网站域名。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名相同时，可疑网站域名为已知的钓鱼网站域名，不进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域名的步骤。当可疑网站域名与钓鱼网站域名数据库中的钓鱼网站域名不相同时，进行根据第二判断规则判断所述可疑网站域名为钓鱼网站域。

33、名的步骤。 0040 所述根据预设的第二判断规则判断所述可疑网站域名数据库中的可疑网站域名是否为钓鱼网站域名，同时存储至一钓鱼网站域名数据库，具体是：可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和；其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重， IP地址占10%钓鱼权重，whois信息占10%钓鱼权重。所述预设的规则指若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。 0041 实施例二 0042 一种基于whois信息的钓鱼网站收集、鉴定。

34、系统，包括Whois信息服务器1、提取模块2、获取模块3、判断模块4、钓鱼判断模块5、可疑网站域名数据库6、可信任网站域名数据库7、钓鱼网站域名数据库8。 0043 Whois信息服务器1，用于存储whois信息。Whois信息包括注册人姓名信息、注册人邮箱信息、注册人地址信息以及注册人联系电话等信息。其中，根据防病毒经验总结，病毒制造者对于注册人姓名信息和注册人邮箱信息的填写具有一致性，即病毒制造者建立多个钓鱼网站均使用相同的注册人姓名信息或注册人邮箱信息。因此，根据注册人姓名信息或注册人邮箱信息可以找到病毒制造者制造的钓鱼网站。该步骤从whois信息服务器1中提取whois信。

35、息的注册人姓名信息和注册人邮箱信息。提取模块2，用于根据已知的钓鱼网站的域名信息从whois信息服务器1中提取该钓鱼网站的whois信息。提取模块2提取的 whois信息包括注册人姓名信息和注册人邮箱信息。提取模块2提取到的注册人姓名信息和注册人邮箱信息送往获取模块3。获取模块3接收提取模块2发送的注册人姓名信息和注册人邮箱信息，根据注册人姓名信息和注册人邮箱信息从whois信息服务器1获取所有使用注册人姓名信息和注册人邮箱信息注册的网站域名。 0044 判断模块4，用于根据预设的第一判断规则判断获取的网站域名为可疑网站域名或可信任网站域名，将可疑网站域名存储至可疑网站域名数据库中，。

36、将可信任网站域名存储至可信任网站域名数据库中。判断模块4首先与所述可信任网站域名数据库7中的可信任网站域名根据预设的第一匹配规则判断获取的网站域名是否为所述可信任网站域名数据库7中的可信任网站域名。此处预设的第一匹配规则定义为获取的网站域名是否与可信任网站域名数据库的域名匹配。如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名相同，则为可信任网站域名数据库7中的可信任网站域名；如果获取的网站域名与可信任网站域名数据库7中的可信任网站域名不同，则获取的网站域名不是可信任网站域名数据库7中的可信任网站域名。当获取的网站域名与可信任网站域名数据库7中的说明书CN 102。

37、833262 A 6/6页 10 可信任网站域名相同时，获取的网站域名为已存在的可信任网站域名。当获取的网站域名与可信任网站域名数据库中的可信任网站域名不同时，根据预设的第一判断规则判断获取的网站域名是否为可信任网站域名或可疑网站域名。经过判断模块4的判断，判断结果为可疑网站域名的网站域名存储至可疑网站域名数据库6；判断结果为可信任网站域名的网站域名存储至可信任网站域名数据库7。所述第一判断规则指：若网站域名备案信息的主办单位主体为企业、军队、政府机关或事业单位，判断模块4判断该网站域名为可信任网站域名；若网站域名备案信息的主办单位主体为个人或不存在，判断模块4判断该网站域名为可。

38、疑网站域名。所述判断模块4判断获取的网站域名为可疑网站域名后，增加所述可疑网站域名为钓鱼网站域名的钓鱼权重，同时增加该网站域名的whois信息为钓鱼whois信息的钓鱼权重，更新可疑网站域名数据库；如果判断为可信任网站域名，则不改变判断该网站域名的whois信息为钓鱼whois信息的钓鱼权重，同时更新可信任网站域名数据库7。 0045 钓鱼判断模块5，用于判断可疑网站域名是否为钓鱼网站域名。钓鱼判断模块5首先根据第二匹配规则与钓鱼网站域名数据库中8的钓鱼网站域名匹配。若可疑网站域名与钓鱼网站域名数据库8中的钓鱼网站域名相同，则可疑网站域名为钓鱼网站数据库8中的钓鱼网站域名。如果可疑。

39、网站域名与钓鱼网站域名数据库8中的钓鱼网站域名不同，则进行根据第二判断规则判断所述可疑网站域名是否为钓鱼网站域名的步骤。钓鱼判断模块5 把判断为钓鱼网站域名的网站域名存储在钓鱼网站域名数据库8中。所述钓鱼判断模块5 中，可疑网站域名的钓鱼权重为网站域名的钓鱼权重、网站内容的钓鱼权重、IP地址的钓鱼权重、whois信息的钓鱼权重四个钓鱼权重相加的总和。其中，网站域名占10%的钓鱼权重，网站内容占70%钓鱼权重，IP地址占10%钓鱼权重，whois信息占10%钓鱼权重；根据判断模块4的判断结果，若可疑网站域名的钓鱼权重大于90%，判定该可疑网站域名为钓鱼网站域名，同时更新钓鱼网站域名数据库。 0046 以上对本发明实施例所提供的技术方案进行了详细介绍，本文中应用了具体个例对本发明实施例的原理以及实施方式进行了阐述，以上实施例的说明只适用于帮助理解本发明实施例的原理；同时，对于本领域的一般技术人员，依据本发明实施例，在具体实施方式以及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。说明书CN 102833262 A 10 1/2页 11 图1 说明书附图CN 102833262 A 11 2/2页 12 图2 说明书附图CN 102833262 A 12 。

展开阅读全文