基于单词匹配和编辑距离的钓鱼贝叶斯检测器研究.docVIP

基于单词匹配和编辑距离的钓鱼贝叶斯检测器研究 　　摘 要： 网络钓鱼是目前信息安全领域的一个研究热点，基于域名信息的钓鱼检测是使用较为广泛的一种方法。文章利用编辑距离寻找与已知正常域名相近的域名，根据域名信息提取域名单词最大匹配特征、域名分割特征和URL分割特征，利用这些特征训练贝叶斯分类器，根据给定特征属于哪一类的概率来判断此URL是否为钓鱼URL，实验结果表明该方法能有效提高判断准确性。 　　关键词： 钓鱼检测； 单词匹配； 编辑距离； 贝叶斯分类器 　　中图分类号：TP309 文献标志码：A 文章编号：1006-8228（2015）05-16-03 　　Abstract： Phishing is one of the research hotspot in the field of information security at present， and URL based phishing detection is a method used widely. This paper proposes a phishing detection method which searches approximate normal domain names by calculating edit distance firstly. Then domain name word maximum match features， domain name segmentation features and URL segmentation features are extracted according to the domain name information. Finally， a bayes binary classifier， which is trained by using these features， can distinguish whether a URL is phishing URL or not. The experimental results show that this method can effectively improve the judgment accuracy. 　　Key words： phishing detection； words matching； edit distance； bayes classifier 　　0 引言 　　目前电子商务、网络银行逐渐走入人们的日常生活，商务类应用呈上升趋势，与此同时，互联网络安全问题十分严峻，其中网络钓鱼攻击作为当今在线交易和电子商务所面临的最危险的欺诈形式已越来越成为关注的焦点。 　　反钓鱼技术涉及领域极广，应用场景和问题领域多种多样，目前并没有统一的、权威的研究视角和方法。研究人员从多个层面出发，提出了反钓鱼的方法和机制。 　　⑴ 基于人工判定和质量评价的黑名单技术 　　该类技术通过维护一个黑名单来阻止用户对已发现的钓鱼网站的访问。黑名单的建立主要通过人工举报和审查，或者用户群对网站质量评价来完成，例如：Cloudmark的黑名单是由大量用户对网站的评级来维护，IE和Firefox等浏览器通过用户举报实时更新钓鱼网页黑名单[1]。 　　⑵ 基于规则的启发式检测技术 　　利用钓鱼网站的特征自动判断网站真伪，如SpoofGuard分析钓鱼网站启发式特征，包括主机域名、网页图片、页面链接等判断真假；Zhang等人提出通过对网页文本内容的特征定义网站身份，然后利用搜索引擎的结果来判断网站真伪；Fu等人提出的EMS算法是通过计算两个网页的视觉相似性来判断是否为钓鱼网页[2]。 　　⑶ 基于统计机器学习的模式分类技术 　　该类技术是将钓鱼攻击检测视为一个二元分类问题，即如何判定未知网页为正常网页或钓鱼网页。一般采用统计学习的方法建立分类模型，如Likarish等人借鉴垃圾邮件的检测方法，建立钓鱼特征贝叶斯过滤器；Ma等人通过对 URL黑白名单的字符串特征的统计学习，形成基于URL的分类器[3]。 　　以上三类方法各有利弊。黑名单检测结果准确可靠，但实时性差，并浪费大量人工资源；启发式检测方法可实时检测钓鱼网站，若检测规则加入人工干预后准确性极高，但鲁棒性稍差；基于机器学习的模式分类技术有很好的鲁棒性，检出率也较高，但是准确性不如启发式检测，且需要大量钓鱼样本训练分类器。本文提出一种基于URL的贝叶斯二值分类方法，首先利用编辑距离寻找与已知域名相近的域名，提取域名单词最大匹配特征、域名分割特征和URL分割特征，然后用上述特征训练贝叶斯分类器，根据给定特征属于哪一类的概率判断是否为钓鱼URL。 　　1 基于URL的钓