网络安全技术与应用论文题目：网络钓鱼邮件检测技术的研究与分析系别专业班级：12 级计算机科学与技术姓名：赵瑞 学号：201201001008姓名：徐伟 学号：201201001059网络钓鱼邮件检测技术的研究与分析网络钓鱼邮件检测技术的研究与分析一一 引言引言随着电子商务的迅速发展，网络钓鱼已经成为当前最主要也是增长最快的网络欺诈手段。网络钓鱼（Phishing）一词，是“Fishing”和“Phone”的综合体，由于最初黑客是用电话实施诈骗活动，所以用“Ph”来取代了“F”，变成了现在的“Phishing”。近几年，网络钓鱼开始变得猖獗，据统计，2010 年中国新增钓鱼网站 175 万个，受害网民高达 4411 万人次，损失超过 200 亿元。数据表明，钓鱼网站数量急剧上升，网民受害人数激增，网络钓鱼手段也变得越来越复杂。其中钓鱼邮件是网络钓鱼的最常用手段，网络钓鱼者通过发送欺骗性的电子邮件或者伪造 Web 站点来进行诈骗活动。受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商和信用卡公司等可信的品牌，骗取用户的私人信息。本文通过分析钓鱼邮件的特征，设计和实现了网络钓鱼邮件分析系统。系统通过提取邮件的内容进行分析，提取可疑的 URL，判断出邮件是否为网络钓鱼邮件，是目前检测钓鱼网站的有效工具。二二 常见的钓鱼攻击技术常见的钓鱼攻击技术研究人员认为，当前的网络钓鱼攻击技术主要是基于邮件以及浏览器漏洞等。根据它们各自的特点，我们可以将这些攻击技术分为以下 4 个类别：基于 Url 编码、基于 Web 协议漏洞、基于伪造 Email 地址和基于浏览器漏洞。（一）（一） 基于基于 Url 编码的技术编码的技术在介绍这种技术之前，首先明确一点，目前使用的浏览器不仅支持基于 ASCII 码字符的 Url 地址，还能兼容除此以外的字符，并对以上全部字符进行编码处理。其中 Url 编码技术的实质就是把相应字符转换为十六进制并且加上“%”的分隔符。例如，我们可以将 sina 的顶级域名后缀.cn 进行相关的 Url编码处理，得到如下编码: http:/www.sina.com%2E%63%6E 上述链接所要表达内容与 http:/www.sina.com.cn 是一致的，2 个链接都是新浪主页的地址。这对于普通互联网用户来说，上面的 Url 链接比较陌生，所以当遇到此类编码时，用户就无法第一时间分辨出该链接是否是钓鱼链接。钓鱼攻击者通过 Url 编码可以提高 Url 链接的相似度,普通用户在惯性思维的思考方式下，很难辨别出这个链接是一个钓鱼网站链接，从而直接导致被欺骗。（二）基于（二）基于 Web 漏洞的技术漏洞的技术最近一段时间以来，网络攻击者的注意力开始转移到了 CSS 漏洞这个 web 漏洞中的大热门上来了。能在网页中运行 JavaScript 语句是 CSS 的一大特点，但是也是 CSS 的最大漏洞，因为通过在网页上运行 JavaScript，网页制作者几乎可以从事任何他想做的事情。其中，传统的基于 CSS 脚本漏洞的攻击主要是窃取用户在客户端与服务器之间的会话内容，或者是为了制造 web 蠕虫进而攻击整个 web 业务，而在 CSS 漏洞除了能被这些直接攻击利用以外，还能被用于钓鱼攻击。由于在 CSS 漏洞中，网页内运行被插入的任意 JavaScript 脚本语言，就能导致网页页面内容被篡改掉。（三）（三） 基于伪造基于伪造 Email 地址的技术地址的技术目前，最普遍的钓鱼攻击手段，就是通过仿造 Email 地址进行的。这种基于伪造 Email 地址的攻击技术初看似乎很困难，但是对邮件服务器比较熟悉的技术人员知道，可以通过邮件代理服务器来发送匿名邮件。而在没有邮件代理服务器的情况下，则可以通过在本地假设服务器的方式来发送匿名邮件。或者也可以通过利用 web 脚本语言建立虚拟主机和 web 服务器的邮件服务器的方式来发送匿名邮件。其中，攻击者可以利用邮件代理服务器来修改发件人的地址，即邮件原始信息中的 MIME 头信息中的 FROM 字段部分。这样，攻击者就可以伪造出任何他希望仿冒的身份，来发送邮件了。而在目前，因为对于此类匿名邮件几乎所有的邮件服务商没有采取任何的防护措施，所以钓鱼攻击者可以伪造任何人或者组织的身份。而我们认为，当一个普通用户遇到此种情况时，是无法辨认该邮件的发送者身份是否为假。（四）基于浏览器漏洞的技术（四）基于浏览器漏洞的技术当然，除了以上 3 种网络钓鱼的技术策略以外，网络钓鱼攻击者还可以利用浏览器的地址栏欺骗漏洞以及跨域脚本漏洞来实现比较巧妙的网络钓鱼攻击。其中，利用地址栏欺骗漏洞，钓鱼攻击者可以实现在真实的 Url 地址的情况下伪造任何想要伪造的网页内容；而同时，利用跨域脚本漏洞，攻击者还可以实施跨域名或者跨页面的网站内容修改。这样，攻击者就可以在用户访问一个 Url 时，控制用户访问的内容，比较控制 Url 返回一个钓鱼网页的内容。相比其他 3 类钓鱼攻击的技术，由于基于浏览器漏洞的钓鱼攻击是利用了用户的客户端的软件漏洞进行攻击，而服务器端的程序和网络环境对这一种钓鱼攻击完全无法控制，因而基于浏览器漏洞的钓鱼攻击是最严重的。用户所能采取的措施只能是积极下载软件补丁更新软件，或者使用相关的安全软件修复漏洞。三三 钓鱼攻击检测概述和存在的问题钓鱼攻击检测概述和存在的问题随着垃圾邮件过滤技术和钓鱼邮件检测技术不断地提高，钓鱼邮件发送者不断地改变钓鱼邮件的特征，希望绕过邮件过滤器。而且针对现有的邮件过滤技术而发展的新特征也越来越多，现有的技术已经比较难以应对新特征的钓鱼邮件检测和过滤，在一定程度上的确能缓解钓鱼攻击带来的影响，但因为缺乏总体规划和设计，片面且单一的反钓鱼措施存在一些不足：（1）解决方案的完整性不足 传统的反钓鱼方案更多基于单一安全事件的防护需求设计，缺乏体系化的建设思路，也缺少对关键业务流程的风险分析，一些可能被钓鱼攻击利用的业务逻辑缺陷，将引入极大的风险。在面向一些新兴的业务模式时，传统的方案显得力不从心，缺乏前瞻性的风险防范建议和扩展防护能力。如何解决 WAP 站点面临的钓鱼风险，将是下一步需要考虑的问题。（2）被动防范效果不好由于钓鱼攻击具有较强的欺骗性，在无法有效发现钓鱼网站的前提下，传统的反钓鱼方案多数被动呈现。主要还是依赖于客户自身的警惕性和风险意识进行防范，对于企业也只能依赖最终客户的投诉和举报，来获得更多的钓鱼网站信息。（3）控制力度和范围都非常有限因为缺乏明确的责权定义和跨平台的合作机制，在钓鱼攻击发生之后，企业无法有效地协调相关部门进行处理。加之企业和相关部门之间存在现实的协调沟通方面的局限性，造成一起钓鱼事件发生后到最终问题的解决，常常经历较长的时间，这将极大影响用户对于企业的信任。 （4）预警方式形式单一由于只能被动形式的接受客户的投诉与举报来获得钓鱼网站的信息，对于事件的可知、可控、可管理的三个环节，都无法得到完全保障。对于频繁发生的钓鱼攻击，企业基本没有对风险预警能力，只能在事件造成一定不良影响的形势下，通过追加公告的方式，提醒更多客户提高安全意识，避免类似的钓鱼事件发生。四四 防护策略防护策略对抗网络钓鱼，应该遵循“主动搜索，积极防御”的原则，也就是尽早发现尽可能多的钓鱼网站，并通过多种方式予以控制。一个较为行之有效的思路：基于事件发生的时间线索，把钓鱼攻击拆分成三个阶段，分别实施有针对性的监测和控制。 如果把钓鱼网站的发现到关闭这个阶段定义为“事中阶段”，包含至少一次完整的钓鱼攻击，那么这个阶段主要考虑控制钓鱼攻击的影响。在钓鱼网站真正产生危害之前，即便钓鱼网站已经存活，但没有发现，这个阶段可定为“事前阶段”，主要解决如何及时发现钓鱼网站，并通知用户的问题。基于钓鱼攻击的后续处理阶段，则统称为“事后阶段”，包括案例总结、分析，专项整改等事项，以避免同类事件的再次发生。 采用上述提到的“事前-事中-事后”分阶段防护思路，大体可以把反钓鱼整体解决方案拆分成三个部分。 事前预警：通过定期主动评估，以及实时安全监测的方式，及时找到可能被钓鱼攻击利用的弱点，第一时间协助 XXX 银行启动紧急预案，做出响应。 事中防御：在发现钓鱼网站之后，采用多种方式控制钓鱼攻击可能带来的影响，主要包括关停域名、阻断终端用户对钓鱼网站的访问等方法。 事后整改：处置完钓鱼网站之后，在案例总结分析的基础上，需要及时修补被钓鱼攻击利用的弱点，并进一步加强终端用户培训和教育，以减少同类事件的发生概率。五五 基于基于“云云”的钓鱼风险实时检测防护技术的钓鱼风险实时检测防护技术 因为有了确定的防护对象、可控的防护范围，针对业务流程，以及业务环境的安全评估可以定期展开，以确保及时发现某组织内部信息系统的弱点。而另一类来自互联网，和钓鱼攻击相关的安全威胁，因为存在大量的不确定性，所以一直难以被识别和穷尽。 钓鱼者可能在全球任何一个有 Internet 接入的角落发起钓鱼攻击，这类攻击有着明确的目标，欺骗性很强，会综合利用多种攻击手段，并借助多种渠道传播和实施。钓鱼网站的平均存活时间很短，一般还会选择境外注册和托管，导致国内监管机构难以发挥其应有的效力。 如何主动找到互联网上更多和某组织相关的钓鱼网站，如何长期建立和维护一个有效的恶意钓鱼站点库，已经成为其面临的一个极大挑战。 区别于传统被动防范钓鱼网站的发现方式，当前出现了一些更有效的检测与发现方式，“反钓鱼网站监控”服务就是其中一种新型的应用模式。 “反钓鱼网站监控”服务主要根据网站所有者的域名、IP 和关键字组合清单，定期对不同传播方式（如搜索引擎）的相关内容进行监测，监测使用这些信息渠道的访问者被钓鱼攻击的风险。 “反钓鱼网站监控”服务是一项基于“云”的一站式托管式服务，承载于某“互联网安全监测平台”，用户无需安装任何硬件或软件，无需改变目前的网络部署状况，也无需专门的人员进行安全设备维护及分析日志。 某“互联网安全监测平台”通过对互联网站点进行自动分析，发现与目标站点相类似的可疑钓鱼站点，包括但不限于板式设计、logo 图片、仿冒真实网站的 URL 地址以及页面内容，在半自动进行确认后进行报警。 同时，某“互联网安全监测平台”会通过全国范围内，多个地理位置部署的监控引擎，对某网站的域名基础设施进行监测，确保不会受到劫持和中间人攻击。此外，某“互联网安全监测平台”还会通过域名自动变形算法，搜索互联网上和某网站相似的域名；监控指定域名是否被启用的方式，来找出域名相似类的钓鱼攻击。 对于钓鱼网站的检测，同样还考虑采用基于生命周期的检测方式。在访问网站前，对网站的域名、IP 地址进行查询分析，若发现与预设规则不符则判定为可疑网站。这些预设规则往往如域名的使用时间、生效时长、IP 地址与域名的绑定时长等等。 某“互联网安全监测平台”分析的数据来源，主要集中于搜索引擎、第三方钓鱼数据库，以及用户提交的日志分析结果。在发现可疑的钓鱼网站后，724 小时安全值守团队会马上进行人工确认，并将确认后事件即时通知。钓鱼事件的分析、发现及通知情况，需要在监测报告中呈现。 六六 总结总结在当前的网络安全领域之中，有关网络钓鱼攻击检测技术的优化研究一直是一个非常重要研究课题。网络钓鱼攻击与钓鱼攻击检测之间是一场旷日持久的拉锯战，这两者之间的较量一直延续着，每当一方出现技术突破以后，另外一方往往能在比较短的时间内就采取相应的对策进行反击。同时，随着人们对网络的依赖程度越来越高，各种与个人隐私相关的网络应用越来越多，这些都使得人们对网络安全的需求也越来越迫切。尤其是在电子商务领域的反钓鱼攻击技术，已经达到能影响到电子商务发展的高度。因此，本文所研究的相关技术将有良好的应用前景和重要的实际意义。七七 参考文献参考文献1林伟杰. 分享汇丰银行在电子商务中的安全经验J. 信息网络安全,2008,05:55-56.2倪天华,朱程荣. 网络钓鱼防御方法研究J. 计