說到這里，估計大家又會問，那么這些網(wǎng)址庫是哪里來的？

一般惡意網(wǎng)址的來源有幾個：

1、引擎檢測，就是比如百度搜索每天有一大堆的搜索網(wǎng)址，直接拿來作為入口url，放到集群去檢測，然后引擎識別是否惡意網(wǎng)址，不同引擎標注網(wǎng)址惡意類型

2、人工舉報審核，各種平臺會有一大堆網(wǎng)民舉報的網(wǎng)址，然后通過人工審核，確認惡意情況入庫到惡意網(wǎng)址數(shù)據(jù)庫

3、數(shù)據(jù)交換，不同的惡意網(wǎng)址產(chǎn)生提供商之間為了更好的數(shù)據(jù)準確性及覆蓋，一般會做一些數(shù)據(jù)交換，進行互補

正常情況下，那些安全廠商的惡意網(wǎng)址就是這樣來的。

然后我們再來看看可能會出現(xiàn)哪些問題：

1、分類識別不準

2、誤報

3、漏報

這幾個情況基于以上三種數(shù)據(jù)來源來說：

1、人工審核就不說了，因為是人工看，不排除存在誤報和分類不準情況，但一般基本是為0；

2、引擎檢測，這個沒什么好說的，每家開發(fā)的引擎不一樣，算法不一樣，資源不一樣，識別情況都是不同的，比如騰訊搞自家仿騰訊產(chǎn)品的仿冒網(wǎng)站就識別的比較準，淘寶搞識別阿里系網(wǎng)站也是比較準；還有就是專精，比如金山，專精釣魚，因為他們有賠付服務，但是也避免不了誤報；

3、廠商數(shù)據(jù)交換，這取決于廠商的能力，包含他們的引擎識別準確度等，一般會先做質(zhì)檢，然后才會根據(jù)情況使用。

再單獨說下分類不準的情況，就釣魚和仿冒來說，大部分的網(wǎng)站為了釣魚會先仿冒所以就這種情況首先就不好歸類；然后再談談細節(jié)問題，一般來說，引擎是無法做細化到具體的技術細節(jié)的，一般會給出個出問題的url，因為實現(xiàn)這種東西沒必要，等于花那么多的錢去搞一個可能只是個別人重視的東西，一般這種技術細節(jié)也只有懂技術的人才會看，而懂的人一般根據(jù)惡意類型，然后知道根據(jù)url和惡意類型一般就能找出問題來。

關于惡意網(wǎng)站的實現(xiàn)，我之前在一次安全沙龍有做過演講，里面有提到，大家不凡看看我的ppt：http://vdisk.weibo.com/s/AdEqZ

說到以上8個類別，就根據(jù)數(shù)據(jù)量級來說，應該大概是這樣一個排序：

1、盜號釣魚、仿冒欺詐、病毒木馬

2、被黑、博彩賭球、色情

3、非法交易與銷售、違法違規(guī)

欺詐仿冒這些惡意網(wǎng)站取代了以前的病毒木馬成為頭號惡意網(wǎng)站分類。

就分布規(guī)律來說，經(jīng)濟越發(fā)展的地區(qū)，惡意網(wǎng)站的數(shù)量越多，而根據(jù)網(wǎng)站類型及域名后綴來看，被黑主要就是gov.cn的政府及新聞網(wǎng)站，而博彩中經(jīng)常見到純數(shù)字的.com域名，盜號釣魚及仿冒欺詐，因為有不只存在頁面仿冒假冒的，域名也有，所以域名相對沒什么規(guī)律，其他幾個類別也是。不過總的來說，所有域名后綴，.com的占比是最大的。

排除國外廠商不說，國內(nèi)，就筆者知道的而言，有惡意數(shù)據(jù)產(chǎn)出的有：

百度

騰訊

金山

知道創(chuàng)宇

阿里巴巴

360

而安全聯(lián)盟相信大家不陌生，就是聚合了百度、騰訊、金山、知道創(chuàng)宇的惡意網(wǎng)址庫。

本來想給大家介紹下每個廠商的數(shù)據(jù)，不過因為涉及到工作，就不多說了，簡單的說下。

各個廠商的數(shù)據(jù)在數(shù)量級、準確率、側(cè)重惡意類型等都不相同，首先可以明確的是因為涉及到自家業(yè)務，像阿里在對仿冒淘寶、支付寶等惡意網(wǎng)站的檢測，騰訊對仿冒QQ等業(yè)務的惡意網(wǎng)站的檢測都相對比其他家高。在此之外，因為金山有個網(wǎng)購賠付服務，所以金山在針對盜號釣魚與仿冒欺詐的惡意網(wǎng)站的處理上會更為專注，而知道創(chuàng)宇則擁有其他家都沒有的暗鏈的檢測能力，百度對于被黑中的SEO作弊的惡意網(wǎng)站的檢測則更多點。至于哪家的準確率高，就不多做點評了。

每個廠商的的惡意網(wǎng)址庫都不相同，也有自己獨有擅長的惡意網(wǎng)站類型的檢測能力。

而這些數(shù)據(jù)都在哪些地方使用呢？其實大家平常應該經(jīng)常有接觸。比如百度搜索結果的安全攔截、QQ聊天窗口、QQ電腦管家、金山毒霸、百度殺毒等對惡意網(wǎng)站的攔截，還有騰訊微博、各種瀏覽器上對惡意網(wǎng)站的攔截，均是采用了云端查詢惡意網(wǎng)址庫的一種模式，匹配云端的庫，如果查詢到是惡意的，就攔截。

例子：一個簡單的釣魚

一張圖片。

說實在的，我真心喜歡這種發(fā)釣魚鏈接給我的，因為這意味著給我送一個漏洞，然后又讓我了解到一種釣魚方式，其實一個好的釣魚，就跟黑客思想一樣，各種猥瑣的思維和利用。不過對于這種釣魚，一般我了解完，直接提交漏洞，舉報釣魚URL（好像有點壞，不過這樣避免不懂的同學上當受騙）。

來分析下這個釣魚，其實這個網(wǎng)址一看就知道，雖然百度的網(wǎng)址，但是一看就能看出來，這是一個跳轉(zhuǎn)，利用了百度的URL跳轉(zhuǎn)漏洞，明顯是來送漏洞的嘛......實際網(wǎng)址就是后面那個網(wǎng)址，我們來分析下代碼，直接查看源碼：

這是一個簡單的跳轉(zhuǎn)，沒其他代碼了，提供meta的設置進行跳轉(zhuǎn)，然后我們繼續(xù)跟蹤，這次沒有跳轉(zhuǎn)了，是一個視頻聊天室網(wǎng)站，我們來看看吧：

來看看真實的情況吧：

看完大家懂了吧？其實這還是一個很簡單的釣魚，沒什么可說的，主要的目的在于讓大家點擊然后會下載一個惡意軟件，然后接下來你就懂了。反正我就喜歡這種送漏洞的釣魚，哈哈，像那種很多QQ空間登陸的釣魚也是類似的，有的甚至網(wǎng)址都沒構造，壓根就是一個完全不知道什么的網(wǎng)址。其實碰到這種情況，大家不妨查看下源碼來看看。

最新評論