釣魚網(wǎng)站智能式收集及預(yù)警研究

何良 冷濤

摘 要 隨著互聯(lián)網(wǎng)的快速發(fā)展，釣魚網(wǎng)站的泛濫讓網(wǎng)民們的網(wǎng)絡(luò)安全受到了嚴(yán)重威脅，導(dǎo)致大量網(wǎng)民泄露了個(gè)人隱私與經(jīng)濟(jì)上的損失。因互聯(lián)網(wǎng)不分國界的特性，釣魚網(wǎng)站也成為全球性問題。釣魚網(wǎng)站的收集與預(yù)警顯得尤其重要。本文對(duì)釣魚網(wǎng)站的特性與危害進(jìn)行了較為翔實(shí)的闡述，對(duì)釣魚網(wǎng)站的收集與檢測(cè)技術(shù)進(jìn)行了詳細(xì)的分析研究。

關(guān)鍵詞 釣魚網(wǎng)站;釣魚檢測(cè);網(wǎng)頁特征;網(wǎng)絡(luò)釣魚;反釣魚

釣魚網(wǎng)站是指不法分子精心設(shè)計(jì)與人們所信任的政府、企業(yè)等組織的網(wǎng)站非常相似的仿冒網(wǎng)站，通過一些傳播方式將釣魚網(wǎng)站的URL發(fā)給用戶，誘導(dǎo)用戶訪問，來騙取用戶重要私密信息，進(jìn)而實(shí)施其他欺詐行為[1]。

1 釣魚網(wǎng)站的特性

①釣魚網(wǎng)站傳播性廣。不法分子往往通過QQ、微信等即時(shí)通信工具、手機(jī)短信、論壇或者搜索頁面投放廣告、微博等社交平臺(tái)、電子郵件、惡意導(dǎo)航網(wǎng)站等方式大量傳播釣魚網(wǎng)站，又因不法分子將釣魚網(wǎng)站設(shè)計(jì)包裝與官方網(wǎng)站一致，使用戶很難區(qū)分網(wǎng)站真實(shí)性，誘導(dǎo)受害者訪問釣魚網(wǎng)站并輸入個(gè)人敏感信息。②釣魚網(wǎng)站偽裝性強(qiáng)。不法分子在制作釣魚網(wǎng)站會(huì)通過多種方法來偽裝成官方網(wǎng)站，迷惑用戶，使用戶難以判斷。一些釣魚網(wǎng)站使用了多種迷惑技術(shù)，可成功欺騙殺毒軟件與瀏覽器自帶的安全系統(tǒng)，使廣大網(wǎng)民防不勝防。③釣魚網(wǎng)站產(chǎn)業(yè)鏈化。釣魚網(wǎng)站已形成了黑色產(chǎn)業(yè)鏈，從釣魚網(wǎng)站的制作、推廣、盜取資金、洗錢、販賣個(gè)人數(shù)據(jù)、針對(duì)性詐騙等多個(gè)環(huán)節(jié)都有專業(yè)的團(tuán)伙負(fù)責(zé)。整個(gè)過程完全實(shí)現(xiàn)了流水線式的作業(yè)，入門門檻低，投入資金少。只要有用戶上當(dāng)，就可獲取不菲的收益。網(wǎng)絡(luò)釣魚黑色產(chǎn)業(yè)鏈的危害早已超過傳統(tǒng)的木馬和病毒，成為威脅網(wǎng)民切身利益的一大毒瘤。

2 釣魚網(wǎng)站的危害

釣魚網(wǎng)站的根本目的是為了獲取用戶個(gè)人敏感信息，在獲取敏感信息后，往往直接對(duì)用戶銀行資金進(jìn)行盜取，或?qū)τ脩舻馁徫锞W(wǎng)站、游戲網(wǎng)站等網(wǎng)站上的余額、積分、裝備等進(jìn)行盜取再二次售賣。對(duì)不能直接盜取資金的，不法分子往往將獲取的大量用戶個(gè)人數(shù)據(jù)在暗網(wǎng)等處售賣，詐騙團(tuán)伙購買后對(duì)受害者進(jìn)行針對(duì)性詐騙。

3 釣魚網(wǎng)站的收集

①基于全球每日最新注冊(cè)域名的收集?？筛鶕?jù)ICANN（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）的數(shù)據(jù)服務(wù)頁面獲取到全球域名列表，每天持續(xù)收集，只要做差量就可得到全球的每天新增域名列表。因釣魚網(wǎng)站為逃避打擊，域名具有經(jīng)常變動(dòng)的特性，可根據(jù)獲取的每日新增域名列表數(shù)據(jù)作為待檢測(cè)數(shù)據(jù)。②基于字典形式主動(dòng)式爬蟲收集。收集眾多政府、銀行、購物、企業(yè)網(wǎng)站等官網(wǎng)域名為字典，并在一定周期內(nèi)保持更新。因釣魚網(wǎng)站域名和其冒充的相對(duì)應(yīng)官網(wǎng)域名極度相似，用爬蟲智能窮舉分析釣魚網(wǎng)站域名。

4 釣魚網(wǎng)站的檢測(cè)

①基于URL黑名單的檢測(cè)技術(shù)。檢測(cè)用戶輸入的網(wǎng)址，通過對(duì)網(wǎng)頁的URL記錄建立黑白名單庫，并對(duì)其進(jìn)行檢測(cè)分析。采取中國反釣魚聯(lián)盟（APAC）、國外PhishTank、反釣魚工作組（APWG）、與自建黑名單數(shù)據(jù)庫的對(duì)應(yīng)釣魚網(wǎng)站黑名單數(shù)據(jù)，進(jìn)行智能對(duì)比，一旦發(fā)現(xiàn)為黑名單中數(shù)據(jù)則預(yù)警，同時(shí)將其他模式發(fā)現(xiàn)的釣魚網(wǎng)站保存到黑名單數(shù)據(jù)庫。基于URL黑白名單的檢測(cè)方法簡(jiǎn)易、速率高且準(zhǔn)確性高。②利用URL特征的檢測(cè)技術(shù)。通過對(duì)URL特征數(shù)據(jù)的訓(xùn)練，構(gòu)建分類器模型，對(duì)URL進(jìn)行特征分類，最終判斷URL是否為釣魚網(wǎng)站的地址。從可疑URL中抽取出不同的特征，與官方網(wǎng)頁的這些特征作比較，判斷是否為釣魚URL[2]。具體操作為：對(duì)URL進(jìn)行分割，對(duì)每一個(gè)部分與官方網(wǎng)站URL進(jìn)行相識(shí)度匹配，判斷域名的長(zhǎng)度是否一樣，另將每部分的相識(shí)度相加，相似度的值越近，相似度越高。③基于模擬登錄的檢測(cè)技術(shù)。釣魚網(wǎng)站往往是引誘用戶在網(wǎng)頁上填寫例如：賬號(hào)、密碼、身份證等敏感信息，根據(jù)此特點(diǎn)，可推斷出釣魚網(wǎng)站不校驗(yàn)賬號(hào)密碼正確性，可使用隨機(jī)字符生成用戶名、隨機(jī)口令的檢測(cè)方法，對(duì)符合該特征的網(wǎng)站進(jìn)行自動(dòng)檢測(cè)。④基于web頁面敏感特征值的檢測(cè)技術(shù)。釣魚網(wǎng)站雖與冒充的官方網(wǎng)站有很高的相似度，但從web頁面的HTTP協(xié)議與DOM文檔對(duì)象模型上分析，可發(fā)現(xiàn)釣魚網(wǎng)站的頁面存在一些差異：URL的差異、表單字段的差異、資源引用的差異、域名信息的差異、Cookie的差異[3]?？捎门老x批量對(duì)官網(wǎng)網(wǎng)站的web頁面數(shù)據(jù)進(jìn)行收集，提取敏感特征，建立web頁面敏感特質(zhì)值數(shù)據(jù)庫，將檢測(cè)的網(wǎng)址提取特征，與官方特征值相比較判斷。⑤基于深度學(xué)習(xí)的檢測(cè)技術(shù)。近年來，深度學(xué)習(xí)技術(shù)在各個(gè)專業(yè)領(lǐng)域的應(yīng)用中都發(fā)揮很大作用，檢測(cè)釣魚網(wǎng)站URL的主要問題是怎樣對(duì)URL數(shù)據(jù)中的特征進(jìn)行學(xué)習(xí)。將原始的URL數(shù)據(jù)轉(zhuǎn)換為高抽象程度的數(shù)據(jù)表達(dá)，這正是深度學(xué)習(xí)技術(shù)的強(qiáng)項(xiàng)。深度學(xué)習(xí)技術(shù)可對(duì)原始的URL數(shù)據(jù)進(jìn)行逐層的特征抽取，自動(dòng)學(xué)習(xí)URL層次化的特征表示，更有利于對(duì)釣魚網(wǎng)站的URL進(jìn)行檢測(cè)。

5 結(jié)束語

釣魚網(wǎng)站已成為威脅網(wǎng)絡(luò)安全的突出問題，并日趨嚴(yán)重。釣魚網(wǎng)站更新速度快，制作成本極低，非法獲利豐厚。經(jīng)實(shí)驗(yàn)驗(yàn)證，本文所研究的釣魚網(wǎng)站收集與檢測(cè)技術(shù)，多種方式的結(jié)合使釣魚網(wǎng)站的檢測(cè)速度和檢測(cè)精度有了顯著的提升，具有極強(qiáng)的可操作性和有效性，有利于保護(hù)網(wǎng)絡(luò)環(huán)境和人民信息財(cái)產(chǎn)的安全。

參考文獻(xiàn)

[1] 唐海騰.釣魚網(wǎng)站分析及其對(duì)策研究[J].信息與電腦（理論版）， 2014，（9）：64-65.

[2] 滕雯靜.基于鏈接分析的釣魚網(wǎng)站檢測(cè)方法[D].南京：南京郵電大學(xué)，2014.

[3] 宋明秋，曹曉蕓.基于敏感特征的網(wǎng)絡(luò)釣魚網(wǎng)站檢測(cè)方法[J].大連理工大學(xué)學(xué)報(bào)，2013，（6）：128-132.

*[基金項(xiàng)目] 科研項(xiàng)目：瀘州市科技局苗子工程 2016-R-70（3/24） ，四川省公安廳重點(diǎn)攻關(guān)與應(yīng)用創(chuàng)新項(xiàng)目（2018TJKYLX019）。