一种基于内容分析高性能反钓鱼识别引擎.docVIP

一种基于内容分析的高性能反钓鱼识别引擎 　　摘要摘要：网络钓鱼是一种伪装成一个可信站点，通过社会工程学技术，诱使用户输入敏感信息，从而骗取用户私人信息的攻击行为，是当今互联网交易中的重大安全威胁。针对这类安全问题，介绍了一种基于内容分析的高性能反钓鱼识别引擎。通过合理的架构与算法设计，使系统达到高于93%的准确度，同时保证92.4%的召回率及快速处理，有效地阻止了钓鱼攻击在网络上的传播。 　　关键词关键词：网络钓鱼；反钓鱼识别引擎；网络安全 　　DOIDOI：10.11907/rjdk.151303 　　中图分类号：TP309.5 　　文献标识码：A文章编号文章编号2015）004013903 　　0引言 　　网络钓鱼攻击是当今互联网交易中威胁最大的攻击形式。钓鱼者常常构造一个钓鱼站点，将该站点页面伪造成为一个可信站点，并通过社会工程学技术，骗取用户信任，诱惑用户输入个人信息，从而得到用户的账号、密码等敏感数据进而盗取用户的财产。随着B2B、B2C等形式的电子商务日益普及，钓鱼攻击的危害也与日俱增。根据著名的反钓鱼组织APWG统计[1]， 2009年下半年，该组织接到了超过126 697次钓鱼攻击举报，是上半年55 698次的两倍多。此外，钓鱼形式也呈现多样化趋势，新型钓鱼方式逐渐成为主流，如短信、飞信或者聊天软件弹出的中奖信息，甚至有的钓鱼者利用求职信息进行诈骗。因此，如何避免用户受骗，保护用户的交易安全成为当前互联网安全的首要任务。 　　虽然许多信息安全厂商、研究机构发布了多种技术来防止网络钓鱼的发生，但目前还没有能够完全解决这些问题的方案。文献[2]表明，只有少数工具能够保证在一个较低的误判率下识别超过60%的钓鱼攻击。 　　笔者提出了一种基于内容分析的新型反钓鱼识别引擎。有别于大部分的解决方案，本系统不是一款针对用户桌面浏览器的插件工具，也不是一款学术验证模型，而是可以部署在防火墙或者网关的阻断引擎系统。 　　该系统捕捉和分析每一个通过引擎的数据包并提取出网址，随后对该URL进行分析，当识别为钓鱼攻击时即进行阻断。为了提高识别效率，在该原型系统中，加入了一个白名单和一个实时维护的黑名单组件，在降低误判率的同时，大大缩短了引擎识别的处理时间。 　　系统功能如下：①实现了一种可以部署在防火墙或者网关的高速处理识别引擎，不仅仅针对用户桌面的浏览器，能更好地应对新型网络钓鱼的攻击；②实现了多国语言识别，特别是针对中文进行分析。 　　1相关工作 　　在现有的反钓鱼机制中，根据其实施策略大致可分为电子邮件级和用户桌面级两种。 　　1.1电子邮件级 　　一般意义上认为，传统的钓鱼攻击是通过伪造的电子邮件开始的。因此，一些方案试图通过识别并阻止伪造电子邮件进行反钓鱼拦截，这些方案往往采用反垃圾邮件的相关技术，通过类似于过滤器的方式进行识别[3]。然而，随着新型网络钓鱼的出现，特别是传播途径的多样化，越来越多的引诱信息通过聊天软件、聊天室或者手机短信进行传播，基于邮件的策略逐渐成为了被绕过的“马其诺防线”。 　　1.2用户桌面级 　　网络浏览器作为网站呈现的终端工具，一直扮演者重要的角色，因此，人们研究的视角放在了用户桌面。这些方案最终通过浏览器插件的形式实现各种识别算法，目前主要有两种方法。 　　（1）基于黑名单的过滤机制[4，5]。通过查询一个实时维护的黑名单并对名单上命中的记录进行拦截，从而实现对恶意钓鱼站点的阻断。该方法具有准确度高、处理速度快的优点，但是随着制作钓鱼站点成本的降低，钓鱼站点的平均寿命越来越短，同时新出现的速度也越来越快，而此时基于黑名单的过滤机制，因较差的扩展性以及黑名单更新的时效性，日益跟不上钓鱼网站更新的步伐。新出现的Rock-phish和fast flux钓鱼技术[1]，使黑名单的编译也变得非常复杂[4]。 　　（2）通过机器学习算法进行启发式分类识别。有的方案是通过对URL的特点进行分析，例如，MA等人提出，网络钓鱼的URL存在较明显的特点[6]，而Garera等人则利用回归模型对域名、网址、出现文字和网页排名等信息进行分类来识别钓鱼[7]。卡内基梅隆大学的一系列研究将分析对象放在页面，通过对页面特征进行提取，并配合搜索引擎对页面进行定位，从而识别目标页面是否为钓鱼[8]。这些方法虽然准确度较高，但流程上依赖于搜索引擎的结果，查询极为耗时，因此也仅仅能够应用于对效率不敏感的桌面浏览器，而不适合大数据量的情况。 　　本文将识别引擎放在终端用户以及网络服务器之间的通路上，创立了防火墙侧的解决方案。这样，识别引擎可以获取到终端用户获取不到的很多信息，能够更有效地拦截钓鱼攻击，减轻对用户的危害。 　　2系统结构 　　作为一个能够高速处理大数据量的