网络钓鱼的攻击方式与识别技术

摘要： 钓鱼网站是指攻击者利用各种手段仿冒正规的各类网站，目的是骗取用户的敏感信息，如用户的账号和密码，钓鱼网站已经严重威胁了用户的财产安全。本文通过分析网络钓鱼网站的攻击方式，阐述了网络钓鱼网站的识别方法，即根据钓鱼网站的网页的特征，构建钓鱼网站的特征向量，通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度，确定各个特征向量的权重，再根据这些特征向量比较检测网页的相似度，从而能够鉴别钓鱼网站。

Abstract： Phishing website refers to those through which the attackers defraud users' sensitive information such as ID and password by counterfeiting regular websites with various means. The phishing websites have seriously threatened users' property safety. Through analyzing the attack mode of phishing website， the recognition methods are provided and that is： constructing feature vector according to the characteristics of the phishing website and determining the weight of each feature vector with the help of the contribution degree of the existing phishing website detecting feature. And then compare the similarity degree of the webpage to recognize phishing website.

关键词： 网络钓鱼；网页；特征值；识别

Key words： phishing；webpage；characteristic value；recognition

中图分类号：TP393 文献标识码：A 文章编号：1006-4311（2013）34-0164-02

0 引言

第30次中国互联网络发展状况调查统计报告显示，截至2012年6月底，中国网民数量达到5.38亿，互联网普及率为39.9%。网络的普及给人们生活带来了极大的方便，但同时也带来了许多安全隐患，特别是通过网络钓鱼的方式诈骗钱财的事件屡屡发生。网络钓鱼是指攻击者通过各种隐蔽的技术手段，声称自己是某银行或者权威机构来欺骗用户的一些敏感信息，如用户的密码等信息。常见的网络钓鱼是设计一个与真实网站非常相似的网站，引诱用户上当[1，2]。网络钓鱼方式已经严重威胁到用户的财产安全，并具有愈演愈烈的趋势。中国互联网络信息中心（CNNIC）的《2012年中国反钓鱼网站联盟工作报告》显示，反钓鱼网站联盟2012年共处理钓鱼网站24535个，已累计认定并处理钓鱼网站100402个，2012年联盟接到的钓鱼网站举报中，钓鱼网站主要涉及淘宝网、工商银行、央视、腾讯公司等单位。可以看出电子商务网站成为网络钓鱼的重点攻击对象。

1 网络钓鱼的主要攻击方式

国家计算机病毒应急处理中心通过对互联网的监测发现，随着“B2C”电子商务的迅猛发展，网络钓鱼事件愈加频繁。目前，网络钓鱼现状表现在银行类网站频遭仿冒、节假日成为钓鱼高峰期、热点事件催生网络钓鱼以及中奖信息类和类钓鱼网站激增等五个方面。近期网络钓鱼事件频发，那么网络钓鱼的主要采用什么攻击方式呢？主要存在三类攻击方式，一类是使用恶意软件进行攻击，第二类似利用软件的漏洞来攻击，第三类是使用虚假信息或者克隆方式。

1.1 使用恶意软件的攻击 目前网络上恶意软件增长十分迅猛，特别在移动互联网方面人们的防范意识更加薄弱，也更容易被恶意软件攻击。《2012年中国反钓鱼网站联盟工作报告》显示，截止2012年6月，趋势科技已经截获25000个Android恶意应用程序。趋势科技于2012年8月在第三方应用市场截获了一个Android恶意应用程序ANDROIDOS_SMSZOMBIE.A，该恶意应用程序可以利用某电信运营商短信支付平台的漏洞，窃取用户的银行卡号以及账户的相关信息，然后将窃取到的信息以短信的方式发送至指定的手机号码，这给用户的银行卡安全造成严重的威胁。

1.2 利用软件的漏洞攻击 最常见的是利用浏览器漏洞进行攻击[3]。如2005年，微软安全研究小组的工程师日前证实了IE浏览器上存在的一处可为URL诱骗攻击留下后门的漏洞，攻击者可以利用它伪装一个弹出式广告URL信息，这个信息窗口与真实的一模一样，但实际上是网络钓鱼网站，用户很容易被欺骗。攻击者也可能在Web页面里插入恶意代码，当用户打开浏览器时，嵌入其中的恶意代码也会运行。其次是利用常见的应用软件漏洞进行攻击。如，利用网络中的视频软件，各种在线工具的浏览器插件等。攻击者利用这些应用软件存在的漏洞，在其中植入各种木马和病毒。

1.3 使用虚假信息或者克隆方式进行攻击 这类网络钓鱼的攻击方法主要采用假冒的方式[4]，如采用假电子邮件、虚假聊天室、假短信、虚假搜索引擎搜索排名等。

用户经常收到垃圾邮件，有些垃圾邮件的标题具有诱惑性的词语，用户容易打开，并且在邮件正文里面也有类似的词语和图片，有的还有一些超链接，当用户点击其中的图片或者链接时，网页会跳到攻击者设置好的恶意网页。这些网页有的克隆某个正规网页，用户很容易中招。

社交网站也是恶意攻击者攻击的重点，他们通过社交网络上的聊天工具，留言等方式信息，这些信息常常带有吸引人的文字投用户所好，如用户比较喜欢中奖、免费活动和优惠活动等信息，恶意攻击者就用这样诱人的语言引诱用户来点击链接，这些链接的目的地就是网络钓鱼网站或者是木马。

克隆方式的网络钓鱼更具有欺骗性，恶意攻击往往正规网站，让用户防不胜防。如仿冒某个电子商务网站或者政府网站。不仅内容相同，而且其他的也很类似，特别是域名，如包含部分正确的域名，或者与正确域名相似，这种方式往往通过修改正确的域名的某一个字母或构造与其相似的字母来欺骗用户。例如攻击者仿冒一个中国银行的网站，他们会围绕中国银行域名中的boc来迷糊用户，如变为boe、.bec、boci、iboc等。用户看到这样的域名，以为是中国银行网站。

2 网络钓鱼识别技术

目前已经研究了许多网络钓鱼的防范软件，有专门防钓鱼软件，也有将防钓鱼功能嵌入到浏览器中。这里主要分析嵌入到浏览器中的防钓鱼网站所采用的技术和方法。

网络钓鱼攻击的最终实体为钓鱼网站，攻击者利用伪造与合法网站极为相似的钓鱼站点，诱使用户提交自己的敏感信息。因此最为广泛的约鱼攻击识别防范技术是基于网站或者URL的分析技术。

当用户浏览网页，首先用黑名单和白名单的过滤方法，再结合的URL地址对用户浏览的网页进行URL拦截。黑名单表示潜在的危险或不受欢迎的消息，如垃圾邮件。如果发信人的IP地址在黑名单中，其发送的消息将认为是垃圾，直接拒收。白名单表示消息是可靠的。采用黑白名单机制可以实现网络钓鱼攻击防范中拦截功能。该方式通过将提出请求访问的URL与存储列表中的URL进行比较，然后再判断该URL的访问请求是否得以通过。白名单中包含了可以通过访问请求的URL列表，黑名单中包含了所有需要拦截的URL列表。目前很多浏览器使用了这项防范方法，如微软Internet Explorer、360浏览器、搜狐浏览器、Mozilla的Firefox浏览器、谷歌的Chrome浏览器以及Opera浏览器等增加了反钓鱼安全保护功能。

2.1 钓鱼网站的特征 如果网络钓鱼网站不在黑白名单之列，则需要进行检测。通过提起网络页面中的特征，这些特征可以区别正常网站和钓鱼网站。钓鱼网站与正常网站具有下面的不同特征。

①不同的域名地址。网站的域名是唯一的，正常网站和钓鱼网站的域名存在差异，有的钓鱼网站直接采用IP地址形式，有的钓鱼网站则采用与正常网站非常相似的域名。②不同的链接URL。正常网站的Anchor对象是指向页面文件所在的域内，这个域与网站声称的所有者所在的域一致。但是钓鱼网站存的Anchor对象指向则不同，它们可能没有指向，也可能指向不同的域。③不同的表单。正常网站上的元素的action属性也常常指向网站文件所在的域，这个域与所有者的域一致。但是钓鱼网站的该属性的指向也不同，常常指向不同的域或者指向为空。④不同的资源引用。正常网站上的可引用资源的对象大多数来自网站文件所在的域，但钓鱼网站中这些对象很多指向不同，它们指向不在同一个域内。⑤不同的Cookie。正常网站和钓鱼网站中Cookie的内容是不同的，正常网站通常将自身的域名写入到cookie中。但是网络钓鱼网站通常会在cookie中设置其想伪装的合法站点的域名，这就会导致与钓鱼网站文件所在域的域名不一致。

2.2 钓鱼网站识别 首先要提取网页的特征，网页的特征包括：网页的URL、DOM、身份信息以及其他信息如安全证书、Cookie信息等。如URL包含了协议、用户名、密码、域名、路径、端口号、目录、文件名、参数、值、特殊符号等特征；DOM包含了文件、元素、文本、属性、处理指令、批注、CDATA区段、文件类型实体、标签等；身份信息包含了网页ICP证号、版权信息、注册信息。其次是构建钓鱼网站的特征向量。如包括URL的基本特征向量、URL关系特征向量、网页内容的特征向量。在钓鱼网站中，URL的基本特征如URL中包含了IP地址、在域名中包含“@”字符、域名长度和点分隔数个数与正常网站不同。URL关系特征主要包括钓鱼网站的PageRank值相对较小，该值表示网站的权重；另外钓鱼网站域名使用时间较短，各类网络搜索排名都比较低。钓鱼网页内容的特征主要包括图片常常链接到域外；钓鱼网页的HTML文档中或是其目的指向的网页文档中必定会含有Form元素表单，另外钓鱼网站的空链接和外域链接多。再根据选择的网页特征，通过已有的钓鱼网站检测特征对识别钓鱼网站的贡献度。这个过程可以采用神经网络方法，也可以采用信息熵方法。这个过程包括子集产生、评价、和验证。首先从特征初始集中产生出一个子集，然后选择一个合适的评价函数对该子集进行评价，并将评价结果与停止准则比较，若已达到停止标准则退出，否则继续进行下一轮的特征选择并产生下一组子集，重复上述选择过程，直到选出合适的子集为止。最后是钓鱼网站的识别。根据钓鱼网站特征对比要分析的网站，检测是否满足钓鱼网站的特征。如果这些特征相同则是钓鱼网站，如果不同就不是钓鱼网站，这个过程就是相似度比较过程。

3 结论

现在人们越来越依靠互联网和移动互联进行工作、生活和娱乐，互联网给人们带来便利的同时，也给不法分子提供了骗人的场所，特别是网络钓鱼现象已经严重威胁了人们的财产安全。本文通过分析网络钓鱼的攻击方式，阐述了网络钓鱼的检测方法。可以看到，虽然攻击者采用不同的钓鱼方式，但最终的目的是让用户浏览他们事先设计好的网页，通过该网页来骗取用户的敏感信息，因此网络钓鱼检测方法是根据钓鱼网站和正常网站的特征，提取它们的特征向量，通过比较分析特征向量来判断是否为钓鱼网站。

参考文献：

[1]Khonji M， Iraqi Y， Jones A. Lexical url analysis for discriminating phishing and legitimate websites[C]//Proceedings of the 8th Annual Collaboration， Electronic messaging， Anti-Abuse and Spam Conference. ACM，2011：109-115.

[2]殷水军，刘嘉勇，刘亮.针对Web-mail邮箱的跨站网络钓鱼攻击的研究[J].通信技术，2010，8.

[3]Afroz S， Greenstadt R. Phishzoo： Detecting phishing websites by looking at them[C]//Semantic Computing （ICSC）， 2011 Fifth IEEE International Conference on. IEEE，2011：368-375.

[4]mahmood Ali M， Rajamani L. APD：ARM Deceptive Phishing Detector System Phishing Detection in Instant Messengers Using Data Mining Approach[M]//Global Trends in Computing and Communication Systems. Springer Berlin Heidelberg，2012：490-502.q