基于服务的网络钓鱼综合防范体系的研究.docVIP

基于服务的网络钓鱼综合防范体系的研究 　　摘 要：钓鱼网站是利用用户的不防范心理来欺骗用户以骗取用户的机密信息的网站，它既不是木马偷袭，也非黑客攻击。但它却成为了为威胁网民利益的第一杀手。它的这一特点使普通的杀毒软件对钓鱼网站没有任何意义。而一般的检测钓鱼网站的方法又都存在很大的局限性。对此，本文首先对比了各种检测方法的特点及局限性，而后分析了网络钓鱼综合防范体系的原理、构成、核心算法、特点。实验结果表明，该系统具有较高的精度和较强的适应性。 　　关键词：钓鱼网站；网络钓鱼综合防范体系；CAPS算法；钓鱼检测；网页检测；网页分割 　　中图分类号：TP393.08 　　钓鱼网站既不是木马偷袭，也非黑客攻击。但它却成为了威胁网民利益的第一杀手。它不但威胁着网民利益，更从根本上动摇了网民对一些行业的信任，医药、美容、网络购物等行业受害最为严重。据中国电子商务协会数据显示，国内网络钓鱼受骗的网民达6000多万，经济损失超过300亿元。 　　“钓鱼网站”虽实质是一种网络欺诈行为，但它真正利用的是受害者的本能反应、好奇心、信任、贪婪等心理弱点，进行姜太公钓鱼愿者上钩的欺骗手段。因为无论它是假冒央视、腾讯等“抽奖网站”，诱骗网络用户误入中奖陷阱，从而骗取所谓公证费、税金、手续费等各种费用；或是假冒证券交易网站、手机充值网站、和各类网上银行等在线支付页面，以银行对帐或银行密码重置等内容为引诱，直接获取用户网上银行账号、密码，盗取用户的网银资金；它们共同的特点都是让用户自己在不经意间把自己的信息透露给别人。从而钓鱼者利用用户的真实信息登录真实网站进行非法行为。 　　1 各技术防范 　　由于钓鱼网页代码是完全合法的，也不包含任何电脑病毒和木马。因此，不可能通过杀毒软件来发现，也不可能完全通过技术手段来防范。它的这一特点让目前的各种防范技术都有一定的局限性。目前的钓鱼网站的技术防范主要是从服务端、用户端与第三方三个方面进行防范的。 　　表1 各种防范技术特点 　　钓鱼检测 检测方法 特点 　　服务器端检测 钓鱼邮件检测 通过检测邮件的发送者、邮件中含有的URL链接以及邮件内容等，来发现并判定钓鱼邮件。 　　基于异常钓鱼网页检测 视觉相似性检测 基于HTML的相似网页检测 视觉相似度的钓鱼网页检测算法 　　基于视觉无法识别网页中的图像 　　基于图像的相似网页检测 一种基于像素及其分布的匹配算法 　　由于没有考虑相对位置因素可能导致检测的失效 　　网页异常检测 URL异常检测 检测网页的地址是否具有特定的5点特性从而判断用户是否正在访问钓鱼网页。 　　页面代码异常 通过检测网站声称的身份与其实际的网站结构或HTTP交互之间的差异，来判断钓鱼网站 　　交互异常 检测所有发往用户的邮件中是否含有URL、表单等并动态测试响应信息以检查是否为钓鱼攻击。 　　用户端保护 浏览器预警 浏览器内嵌了钓鱼网页保护插件，该插件能够根据网上公布的实施黑名单对用户进行有效的提醒，也可以使用户方便的举报钓鱼网站 　　第三方防范 邮件举报 通过收集用户的钓鱼邮件举报，维护钓鱼网站实时黑名单和检测钓鱼邮件 　　2 网络钓鱼综合防范体系 　　2.1 网络钓鱼综合防范体系概述 　　从目前的研究成果来看，尽管存在各种防范措施，但由于普通用户缺乏计算机安全相关的知识，防范意识比较薄弱，用户端仍然是最为薄弱的环节。基于服务器和客户端的保护无法从根本上防止网络钓鱼的发生。针对以上问题，有些学者提出了一套系统的网络钓鱼防范体系CAPS，该体系包括钓鱼邮件检测、钓鱼网页检测以及信息共享和联动平台。CAPS架构如图1所示。 　　图1 钓鱼网站检测体系架构 　　CAPS核心是钓鱼控制中心和钓鱼分析节点。钓鱼控制中心负责维护钓鱼网站黑名单和受保护网页两个数据库，一方面收集更新受保护网页信息，另一方面将检测到的钓鱼网页实时的通知相关网站，以确认钓鱼攻击并发出预警，同时通过综合各个分析节点的报告，控制中心能全面评估某次网络钓鱼攻击的影响，并向全社会发出预警。网络钓鱼分析节点是网络钓鱼检测的主力。该节点首先通过向电子邮件服务器提供钓鱼邮件检测服务、接收用户举报、或设立蜜罐邮箱的方式收集可疑邮件；之后对可疑邮件中所含的URL链接进行分析，查看该链接是否已经在黑名单中，如果存在则直接向用户报告，否则检测该链接指向的网页是否与某个受保护网页相似，如果相似则上报网络钓鱼控制中心，否则判断其并非钓鱼网页。钓鱼邮件分析节点需要在本地维护黑名单数据库和受保护网页数据库以提高检测速度，由于节点只需储存最近的钓鱼网站地址，以及网络钓鱼只针对数十个品牌进行攻击的特点，数据维护开销并不大，只需定期与检测中心进行数据同步即可。 　　2.2 网络钓鱼综合防范体系CAPS的构成