基于服務的網(wǎng)絡釣魚綜合防范體系的研究

摘 要：釣魚網(wǎng)站是利用用戶的不防范心理來欺騙用戶以騙取用戶的機密信息的網(wǎng)站，它既不是木馬偷襲，也非黑客攻擊。但它卻成為了為威脅網(wǎng)民利益的第一殺手。它的這一特點使普通的殺毒軟件對釣魚網(wǎng)站沒有任何意義。而一般的檢測釣魚網(wǎng)站的方法又都存在很大的局限性。對此，本文首先對比了各種檢測方法的特點及局限性，而后分析了網(wǎng)絡釣魚綜合防范體系的原理、構(gòu)成、核心算法、特點。實驗結(jié)果表明，該系統(tǒng)具有較高的精度和較強的適應性。

關(guān)鍵詞：釣魚網(wǎng)站；網(wǎng)絡釣魚綜合防范體系；CAPS算法；釣魚檢測；網(wǎng)頁檢測；網(wǎng)頁分割

中圖分類號：TP393.08

釣魚網(wǎng)站既不是木馬偷襲，也非黑客攻擊。但它卻成為了威脅網(wǎng)民利益的第一殺手。它不但威脅著網(wǎng)民利益，更從根本上動搖了網(wǎng)民對一些行業(yè)的信任，醫(yī)藥、美容、網(wǎng)絡購物等行業(yè)受害最為嚴重。據(jù)中國電子商務協(xié)會數(shù)據(jù)顯示，國內(nèi)網(wǎng)絡釣魚受騙的網(wǎng)民達6000多萬，經(jīng)濟損失超過300億元。

“釣魚網(wǎng)站”雖實質(zhì)是一種網(wǎng)絡欺詐行為，但它真正利用的是受害者的本能反應、好奇心、信任、貪婪等心理弱點，進行姜太公釣魚愿者上鉤的欺騙手段。因為無論它是假冒央視、騰訊等“抽獎網(wǎng)站”，誘騙網(wǎng)絡用戶誤入中獎陷阱，從而騙取所謂公證費、稅金、手續(xù)費等各種費用；或是假冒證券交易網(wǎng)站、手機充值網(wǎng)站、和各類網(wǎng)上銀行等在線支付頁面，以銀行對帳或銀行密碼重置等內(nèi)容為引誘，直接獲取用戶網(wǎng)上銀行賬號、密碼，盜取用戶的網(wǎng)銀資金；它們共同的特點都是讓用戶自己在不經(jīng)意間把自己的信息透露給別人。從而釣魚者利用用戶的真實信息登錄真實網(wǎng)站進行非法行為。

1 各技術(shù)防范

由于釣魚網(wǎng)頁代碼是完全合法的，也不包含任何電腦病毒和木馬。因此，不可能通過殺毒軟件來發(fā)現(xiàn)，也不可能完全通過技術(shù)手段來防范。它的這一特點讓目前的各種防范技術(shù)都有一定的局限性。目前的釣魚網(wǎng)站的技術(shù)防范主要是從服務端、用戶端與第三方三個方面進行防范的。

表1 各種防范技術(shù)特點

釣魚檢測檢測方法特點

服務器端檢測釣魚郵件檢測通過檢測郵件的發(fā)送者、郵件中含有的URL鏈接以及郵件內(nèi)容等，來發(fā)現(xiàn)并判定釣魚郵件。

基于異常釣魚網(wǎng)頁檢測視覺相似性檢測基于HTML的相似網(wǎng)頁檢測視覺相似度的釣魚網(wǎng)頁檢測算法

基于視覺無法識別網(wǎng)頁中的圖像

基于圖像的相似網(wǎng)頁檢測一種基于像素及其分布的匹配算法

由于沒有考慮相對位置因素可能導致檢測的失效

網(wǎng)頁異常檢測URL異常檢測檢測網(wǎng)頁的地址是否具有特定的5點特性從而判斷用戶是否正在訪問釣魚網(wǎng)頁。

頁面代碼異常通過檢測網(wǎng)站聲稱的身份與其實際的網(wǎng)站結(jié)構(gòu)或HTTP交互之間的差異，來判斷釣魚網(wǎng)站

交互異常檢測所有發(fā)往用戶的郵件中是否含有URL、表單等并動態(tài)測試響應信息以檢查是否為釣魚攻擊。

用戶端保護瀏覽器預警瀏覽器內(nèi)嵌了釣魚網(wǎng)頁保護插件，該插件能夠根據(jù)網(wǎng)上公布的實施黑名單對用戶進行有效的提醒，也可以使用戶方便的舉報釣魚網(wǎng)站

第三方防范郵件舉報通過收集用戶的釣魚郵件舉報，維護釣魚網(wǎng)站實時黑名單和檢測釣魚郵件

2 網(wǎng)絡釣魚綜合防范體系

2.1 網(wǎng)絡釣魚綜合防范體系概述

從目前的研究成果來看，盡管存在各種防范措施，但由于普通用戶缺乏計算機安全相關(guān)的知識，防范意識比較薄弱，用戶端仍然是最為薄弱的環(huán)節(jié)?；诜掌骱涂蛻舳说谋Ｗo無法從根本上防止網(wǎng)絡釣魚的發(fā)生。針對以上問題，有些學者提出了一套系統(tǒng)的網(wǎng)絡釣魚防范體系CAPS，該體系包括釣魚郵件檢測、釣魚網(wǎng)頁檢測以及信息共享和聯(lián)動平臺。CAPS架構(gòu)如圖1所示。

圖1 釣魚網(wǎng)站檢測體系架構(gòu)

CAPS核心是釣魚控制中心和釣魚分析節(jié)點。釣魚控制中心負責維護釣魚網(wǎng)站黑名單和受保護網(wǎng)頁兩個數(shù)據(jù)庫，一方面收集更新受保護網(wǎng)頁信息，另一方面將檢測到的釣魚網(wǎng)頁實時的通知相關(guān)網(wǎng)站，以確認釣魚攻擊并發(fā)出預警，同時通過綜合各個分析節(jié)點的報告，控制中心能全面評估某次網(wǎng)絡釣魚攻擊的影響，并向全社會發(fā)出預警。網(wǎng)絡釣魚分析節(jié)點是網(wǎng)絡釣魚檢測的主力。該節(jié)點首先通過向電子郵件服務器提供釣魚郵件檢測服務、接收用戶舉報、或設立蜜罐郵箱的方式收集可疑郵件；之后對可疑郵件中所含的URL鏈接進行分析，查看該鏈接是否已經(jīng)在黑名單中，如果存在則直接向用戶報告，否則檢測該鏈接指向的網(wǎng)頁是否與某個受保護網(wǎng)頁相似，如果相似則上報網(wǎng)絡釣魚控制中心，否則判斷其并非釣魚網(wǎng)頁。釣魚郵件分析節(jié)點需要在本地維護黑名單數(shù)據(jù)庫和受保護網(wǎng)頁數(shù)據(jù)庫以提高檢測速度，由于節(jié)點只需儲存最近的釣魚網(wǎng)站地址，以及網(wǎng)絡釣魚只針對數(shù)十個品牌進行攻擊的特點，數(shù)據(jù)維護開銷并不大，只需定期與檢測中心進行數(shù)據(jù)同步即可。

2.2 網(wǎng)絡釣魚綜合防范體系CAPS的構(gòu)成

根據(jù)各自功能可以將CAPS分為三個組成部分：網(wǎng)絡釣魚郵件收集，釣魚網(wǎng)頁自動檢測以及釣魚攻擊信息共享。

2.2.1 網(wǎng)絡釣魚郵件收集

發(fā)送釣魚郵件是網(wǎng)絡釣魚攻擊的主要手段，因此分析釣魚郵件是發(fā)現(xiàn)釣魚網(wǎng)站的最主要方法。CAPS采用開放式體系架構(gòu)，支持多種釣魚郵件檢測收集方式。即郵件特征值計算、URL異常檢測、用戶個人舉報。

2.2.2 釣魚網(wǎng)頁檢測算法

為了逃避檢測，大部分釣魚網(wǎng)頁都在真實網(wǎng)頁基礎上進行了修改，為了有效識別釣魚網(wǎng)頁，CAPS提出的匹配算法首先將網(wǎng)頁圖像分割為基本的塊，然后提取塊的特征（包括顏色直方圖、大小等）和塊之間的相對位置關(guān)系組成網(wǎng)頁圖像ARG（特征關(guān)系圖），最后使用NEMD（嵌套運土者距離）算法求出可疑網(wǎng)頁ARG與真實網(wǎng)頁ARG之間的距離，并以此為依據(jù)判斷釣魚網(wǎng)頁。如果可疑網(wǎng)頁A與某個受保護網(wǎng)頁B之間的特征距離小于預先設定的值，則判定該可疑網(wǎng)頁A是針對B的釣魚網(wǎng)頁。

2.2.3 釣魚攻擊信息共享

CAPS需要多方合作，必須建立高效的信息共享機制。CAPS的各個模塊之間為松耦合，通過Web服務相互調(diào)用，采用XML來描述相關(guān)信息。所需封裝的信息主要包括以下幾種：（1）釣魚郵件信息。釣魚郵件描述文件包括郵件發(fā)送者，接收者，發(fā)送服務器，郵件中的可疑地址，判斷為釣魚郵件的依據(jù)等。該信息用檢測節(jié)點與用戶或郵件服務器之間交換數(shù)據(jù)；（2）釣魚網(wǎng)頁信息。該信息主要用于檢測節(jié)點與控制中心之間交換數(shù)據(jù)；（3）釣魚攻擊信息。該信息包括釣魚郵件信息、釣魚網(wǎng)頁信息以及對整個釣魚攻擊的情況介紹。主要用于控制中心與受保護機構(gòu)（如銀行）或執(zhí)法機關(guān)（如公安）之間的數(shù)據(jù)交換。

2.3 CAPS的兩個核心算法

CAPS的兩個核心算法是網(wǎng)頁分割算法和相似網(wǎng)頁差別算法。網(wǎng)頁分割算法是相似網(wǎng)頁差別算法的基礎，它首先調(diào)用瀏覽器接口，將可疑網(wǎng)頁轉(zhuǎn)換為圖像，并對其進行預處理，然后通過收縮和檢測圖像中的分割帶，得到組成網(wǎng)頁的基本圖像塊。相似性判別算法便提取各個塊的特征及其相對位置關(guān)系，得到網(wǎng)頁ARG圖（特征關(guān)系圖），并以此計算出兩個網(wǎng)頁之間的相似度。如果發(fā)現(xiàn)可疑網(wǎng)頁與某個受保護網(wǎng)頁（例如銀行A的登陸頁面）之間的相似度大于預設值，判定該可疑網(wǎng)頁為針對A的釣魚網(wǎng)頁。

2.3.1 網(wǎng)頁分割算法描述

網(wǎng)頁分割算法的輸入為經(jīng)過預處理的網(wǎng)頁圖像go，輸出結(jié)果為網(wǎng)頁圖像塊集合EG={gi|l≤i≤n}），其中n為塊個數(shù)。初始時將g0放入待分割集合SG中，從SG中取出一個圖像g，并判斷g是否可以分割，如果不能分割則將g放入EG中，否則將g分為g1和g2，并將g1和g2放入EG中，直到SG為空，算法結(jié)束，并將EG作為結(jié)果輸出。

其流程偽代碼表示為：

Start：

SG={g0}，EG={}/*初始時，待分割子圖像集合SG中只包含一個元素原始圖像g0，EG為無法繼續(xù)分割的子圖像集合*/

Loop

If SG==NULL//當SG為空時則退出

Exit；

Else

g=get（SG）；//從SG中取出一個子圖像

SG=SG—g；

End If

g’=shrink（g）；//收縮

If isDivisible（g’）==FALSE//如果g’無法繼續(xù)分割

EG=EG+g’；//將g’放入EG

Else

d=findD（g’）；//找出g‘的最佳分割帶d

g1，g2=divide（d）；//根據(jù)d將g’分為g1和g2

SG=SG+{g1，g2}；//將g1和g2放入SG

End If

Goto Loop；//繼續(xù)進行分割

End Start；

2.3.2 相似網(wǎng)頁判別算法

本算法包括兩個主要部分——網(wǎng)頁ARG生成與NEMD距離計算。

在計算機視覺和模式識別領(lǐng)域，ARG常被用于表示對象的特征。ARG的一個形式化描述如下：

G={V，R}

V={ai|1≤i≤n}，R={rij|1≤i≤n，1≤j≤n}

其中V為節(jié)點集合，ai表示第i個節(jié)點，n為節(jié)點個數(shù)，R為邊集合，rij表示節(jié)點ai與aj之間的關(guān)系。ARG圖中節(jié)點表示對象的某個部分且含有該部分的屬性，邊表示節(jié)點之間的關(guān)系。這樣兩個對象之間的相似性匹配就能歸結(jié)為其對應的ARG圖之間的匹配。使用ARG來表示網(wǎng)頁圖像，其中節(jié)點為網(wǎng)頁圖像基本塊（由分割得到），其屬性為塊特征（包括顏色直方圖、大?。?，邊為塊之間的相對位置關(guān)系。求出網(wǎng)頁的ARG后，需要匹配兩個ARG的相似度。NEMD算法是由韓國的Kim等于2004年提出的一種新的ARG匹配算法。使用NEMD算法的ARG匹配包括兩個步驟：（1）根據(jù)屬性以及關(guān)系計算出兩個ARG圖中每對節(jié)點間的距離（根據(jù)具體應用定義），得到距離矩陣。（2）根據(jù)得到的距離矩陣，使用某種算法，例如雙邊匹配（bipartite matching）建立起兩個ARG節(jié)點之間的對應關(guān)系。

2.4 網(wǎng)絡釣魚綜合防范體系CAPS的特點

（1）廣泛性。涉及到包括用戶、郵件服務器、受保護機構(gòu)、分析節(jié)點、控制中心等在內(nèi)的網(wǎng)絡釣魚相關(guān)各方；基于Web服務，共享相關(guān)信息，因此有效地將各方的力量結(jié)合了起來，聯(lián)合打擊網(wǎng)絡釣魚。不僅保護個別用戶，而且打擊釣魚網(wǎng)站，并通過受保護機構(gòu)、網(wǎng)絡釣魚信息發(fā)布等措施保護所有合法用戶免遭網(wǎng)絡釣魚攻擊。（2）開放性。采用Web服務和標準信息封裝接口，控制中心發(fā)布的釣魚攻擊信息也能為各種機構(gòu)使用（遵守相關(guān)標準）。（3）免疫性。一旦某個郵件服務器發(fā)現(xiàn)并確認的網(wǎng)絡釣魚，所有的郵件服務器和用戶都將收到此次網(wǎng)絡釣魚攻擊的警告。

3 結(jié)束語

網(wǎng)絡釣魚之所以如此猖狂并且能夠頻頻得手，最大的原因在于人們疏于防范以及“貪圖便利”的心理弱點，網(wǎng)絡釣魚者只是投下了具有吸引力的“美味魚餌”，上不上鉤在于你。這種毒是在人心，而非任何工具軟件可以完全解除的。所以釣魚網(wǎng)站的防范任重而道遠，除了對技術(shù)防范有更高的要求以外，還需要廣大網(wǎng)名提高防范意識，遠離釣魚。

參考文獻：

[1]李海靈，王偉，毛偉.基于可信域名的網(wǎng)絡釣魚治理機制研究[J].計算機系統(tǒng)應用，2010（10）：102-107.

[2]黃華軍，錢亮，王耀鈞.基于異常特征的釣魚網(wǎng)站URL檢測技術(shù)[J].技術(shù)研究，2012（01）：23-25.

[3]周燕新.防范釣魚網(wǎng)站保衛(wèi)網(wǎng)上銀行[J].金融天地，2011：225-226.

[4]曹玖新，毛波，羅軍舟.基于嵌套EMD的釣魚網(wǎng)頁檢測算法[J].計算機學報，2009（05）：922-929.

作者簡介：王亞沁，女，教師，助理講師，學士學位，研究方向：計算機網(wǎng)絡。

作者單位：太原高級技工學校，太原 030021