說到這里，估計(jì)大家又會(huì)問，那么這些網(wǎng)址庫(kù)是哪里來的？

一般惡意網(wǎng)址的來源有幾個(gè)：

1、引擎檢測(cè)，就是比如百度搜索每天有一大堆的搜索網(wǎng)址，直接拿來作為入口url，放到集群去檢測(cè)，然后引擎識(shí)別是否惡意網(wǎng)址，不同引擎標(biāo)注網(wǎng)址惡意類型

2、人工舉報(bào)審核，各種平臺(tái)會(huì)有一大堆網(wǎng)民舉報(bào)的網(wǎng)址，然后通過人工審核，確認(rèn)惡意情況入庫(kù)到惡意網(wǎng)址數(shù)據(jù)庫(kù)

3、數(shù)據(jù)交換，不同的惡意網(wǎng)址產(chǎn)生提供商之間為了更好的數(shù)據(jù)準(zhǔn)確性及覆蓋，一般會(huì)做一些數(shù)據(jù)交換，進(jìn)行互補(bǔ)

正常情況下，那些安全廠商的惡意網(wǎng)址就是這樣來的。

然后我們?cè)賮砜纯纯赡軙?huì)出現(xiàn)哪些問題：

1、分類識(shí)別不準(zhǔn)

2、誤報(bào)

3、漏報(bào)

這幾個(gè)情況基于以上三種數(shù)據(jù)來源來說：

1、人工審核就不說了，因?yàn)槭侨斯た?，不排除存在誤報(bào)和分類不準(zhǔn)情況，但一般基本是為0；

2、引擎檢測(cè)，這個(gè)沒什么好說的，每家開發(fā)的引擎不一樣，算法不一樣，資源不一樣，識(shí)別情況都是不同的，比如騰訊搞自家仿騰訊產(chǎn)品的仿冒網(wǎng)站就識(shí)別的比較準(zhǔn)，淘寶搞識(shí)別阿里系網(wǎng)站也是比較準(zhǔn)；還有就是專精，比如金山，專精釣魚，因?yàn)樗麄冇匈r付服務(wù)，但是也避免不了誤報(bào)；

3、廠商數(shù)據(jù)交換，這取決于廠商的能力，包含他們的引擎識(shí)別準(zhǔn)確度等，一般會(huì)先做質(zhì)檢，然后才會(huì)根據(jù)情況使用。

再單獨(dú)說下分類不準(zhǔn)的情況，就釣魚和仿冒來說，大部分的網(wǎng)站為了釣魚會(huì)先仿冒所以就這種情況首先就不好歸類；然后再談?wù)劶?xì)節(jié)問題，一般來說，引擎是無法做細(xì)化到具體的技術(shù)細(xì)節(jié)的，一般會(huì)給出個(gè)出問題的url，因?yàn)閷?shí)現(xiàn)這種東西沒必要，等于花那么多的錢去搞一個(gè)可能只是個(gè)別人重視的東西，一般這種技術(shù)細(xì)節(jié)也只有懂技術(shù)的人才會(huì)看，而懂的人一般根據(jù)惡意類型，然后知道根據(jù)url和惡意類型一般就能找出問題來。

關(guān)于惡意網(wǎng)站的實(shí)現(xiàn)，我之前在一次安全沙龍有做過演講，里面有提到，大家不凡看看我的ppt：http://vdisk.weibo.com/s/AdEqZ

說到以上8個(gè)類別，就根據(jù)數(shù)據(jù)量級(jí)來說，應(yīng)該大概是這樣一個(gè)排序：

1、盜號(hào)釣魚、仿冒欺詐、病毒木馬

2、被黑、博彩賭球、色情

3、非法交易與銷售、違法違規(guī)

欺詐仿冒這些惡意網(wǎng)站取代了以前的病毒木馬成為頭號(hào)惡意網(wǎng)站分類。

就分布規(guī)律來說，經(jīng)濟(jì)越發(fā)展的地區(qū)，惡意網(wǎng)站的數(shù)量越多，而根據(jù)網(wǎng)站類型及域名后綴來看，被黑主要就是gov.cn的政府及新聞網(wǎng)站，而博彩中經(jīng)常見到純數(shù)字的.com域名，盜號(hào)釣魚及仿冒欺詐，因?yàn)橛胁恢淮嬖陧撁娣旅凹倜暗?，域名也有，所以域名相?duì)沒什么規(guī)律，其他幾個(gè)類別也是。不過總的來說，所有域名后綴，.com的占比是最大的。

排除國(guó)外廠商不說，國(guó)內(nèi)，就筆者知道的而言，有惡意數(shù)據(jù)產(chǎn)出的有：

百度

騰訊

金山

知道創(chuàng)宇

阿里巴巴

360

而安全聯(lián)盟相信大家不陌生，就是聚合了百度、騰訊、金山、知道創(chuàng)宇的惡意網(wǎng)址庫(kù)。

本來想給大家介紹下每個(gè)廠商的數(shù)據(jù)，不過因?yàn)樯婕暗焦ぷ鳎筒欢嗾f了，簡(jiǎn)單的說下。

各個(gè)廠商的數(shù)據(jù)在數(shù)量級(jí)、準(zhǔn)確率、側(cè)重惡意類型等都不相同，首先可以明確的是因?yàn)樯婕暗阶约覙I(yè)務(wù)，像阿里在對(duì)仿冒淘寶、支付寶等惡意網(wǎng)站的檢測(cè)，騰訊對(duì)仿冒QQ等業(yè)務(wù)的惡意網(wǎng)站的檢測(cè)都相對(duì)比其他家高。在此之外，因?yàn)榻鹕接袀€(gè)網(wǎng)購(gòu)賠付服務(wù)，所以金山在針對(duì)盜號(hào)釣魚與仿冒欺詐的惡意網(wǎng)站的處理上會(huì)更為專注，而知道創(chuàng)宇則擁有其他家都沒有的暗鏈的檢測(cè)能力，百度對(duì)于被黑中的SEO作弊的惡意網(wǎng)站的檢測(cè)則更多點(diǎn)。至于哪家的準(zhǔn)確率高，就不多做點(diǎn)評(píng)了。

每個(gè)廠商的的惡意網(wǎng)址庫(kù)都不相同，也有自己獨(dú)有擅長(zhǎng)的惡意網(wǎng)站類型的檢測(cè)能力。

而這些數(shù)據(jù)都在哪些地方使用呢？其實(shí)大家平常應(yīng)該經(jīng)常有接觸。比如百度搜索結(jié)果的安全攔截、QQ聊天窗口、QQ電腦管家、金山毒霸、百度殺毒等對(duì)惡意網(wǎng)站的攔截，還有騰訊微博、各種瀏覽器上對(duì)惡意網(wǎng)站的攔截，均是采用了云端查詢惡意網(wǎng)址庫(kù)的一種模式，匹配云端的庫(kù)，如果查詢到是惡意的，就攔截。

例子：一個(gè)簡(jiǎn)單的釣魚

一張圖片。

說實(shí)在的，我真心喜歡這種發(fā)釣魚鏈接給我的，因?yàn)檫@意味著給我送一個(gè)漏洞，然后又讓我了解到一種釣魚方式，其實(shí)一個(gè)好的釣魚，就跟黑客思想一樣，各種猥瑣的思維和利用。不過對(duì)于這種釣魚，一般我了解完，直接提交漏洞，舉報(bào)釣魚URL（好像有點(diǎn)壞，不過這樣避免不懂的同學(xué)上當(dāng)受騙）。

來分析下這個(gè)釣魚，其實(shí)這個(gè)網(wǎng)址一看就知道，雖然百度的網(wǎng)址，但是一看就能看出來，這是一個(gè)跳轉(zhuǎn)，利用了百度的URL跳轉(zhuǎn)漏洞，明顯是來送漏洞的嘛......實(shí)際網(wǎng)址就是后面那個(gè)網(wǎng)址，我們來分析下代碼，直接查看源碼：

這是一個(gè)簡(jiǎn)單的跳轉(zhuǎn)，沒其他代碼了，提供meta的設(shè)置進(jìn)行跳轉(zhuǎn)，然后我們繼續(xù)跟蹤，這次沒有跳轉(zhuǎn)了，是一個(gè)視頻聊天室網(wǎng)站，我們來看看吧：

來看看真實(shí)的情況吧：

看完大家懂了吧？其實(shí)這還是一個(gè)很簡(jiǎn)單的釣魚，沒什么可說的，主要的目的在于讓大家點(diǎn)擊然后會(huì)下載一個(gè)惡意軟件，然后接下來你就懂了。反正我就喜歡這種送漏洞的釣魚，哈哈，像那種很多QQ空間登陸的釣魚也是類似的，有的甚至網(wǎng)址都沒構(gòu)造，壓根就是一個(gè)完全不知道什么的網(wǎng)址。其實(shí)碰到這種情況，大家不妨查看下源碼來看看。

最新評(píng)論