服 务病毒黑客
1 引言
网络钓鱼,指的是网络钓鱼者通过各种隐蔽的技术手段,将自己伪装成银行、在线零售商或信用卡公司等人们高度信任的品牌,使受害者自己交出如银行账户密码等重要信息的方法。一般钓鱼者会伪造出一些以假乱真的网站并诱惑受害者根据指定方法操作,或者向受害者发送假冒的,要求受害者按照其意图进行操作等,从而达到获取用户利益的目的。
近几年,网络钓鱼在全世界范围内变得非常猖獗,数量急剧攀升。2007年上半年CNCERT/CC 共接到网络仿冒事件报告645件,具体成功处理了222件。被仿冒的网站大都是国外的著名金融交易机构和安全公司[1]。网络钓鱼的活动使得飞速发展的网上银行业陷入困境。据APWG国际反钓鱼工作小组2007年4月的权威统计,在世界范围,该组织共接受钓鱼报告23656起,而2006年同期只有17490起;共发现55643个新钓鱼网站,2006年同期数量仅为11121个[2]。
我国随着网上银行和电子交易的
发展和普及,网络钓鱼犯罪在国内屡
屡出现。近期接连出现的利用伪装成
中国银行、中国工商银行主页的恶意
网站钱财的事件,2008年北京
奥运会网上预订门票系统刚推出,很
快就出现了钓鱼网站。根据A P W G
统计数据,截止2007年2月,中国
的钓鱼网站主机数量位居美国之后,
占世界总数量的10.16%;而更令人
触目惊心的是,中国境内基于木马植
入和键盘记录工具等新技术的钓鱼网
网页界面设计的网络系统有哪些站数量首次超过美国位居世界第一,
占全世界的46.44%[2]。
本文试图从网络钓鱼的产生和现
状入手,分析网络钓鱼的技术手段和
策略,进一步提出了网络钓鱼网站的
探测系统。
2 网络钓鱼犯罪的主要技术
手段
网络钓鱼犯罪通过搭建仿冒的网
站,引诱大量的用户访问并获取用户
的有用信息,必须用到大量的技术手
段和策略,各个钓鱼网站的技术手段
和策略不尽相同,但总结起来主要包
括:
(1)通过攻陷的网站服务器钓鱼。
扫描互联网I P地址空间寻潜在的
有漏洞的主机或缺乏有效的安全防护
的网站服务器,使这些非常容易被攻
陷的主机,作为钓鱼网站的宿主主机。
安装恶意的网页内容,这个网站的格
式和内容看起来必须和要仿冒的可信
机构网站一样,让用户不产生怀疑,
再部署一些必需的后台脚本处理用户
输入的数据并让攻击者获取。通过这
个技术就建立了网络钓鱼的平台,下
一步就是引诱用户从合法可信的网站
转移到他们所建设的钓鱼网站上来。
(2)通过端口重定向钓鱼[3]。改
变目标网站的DNS解析(称为DNS
中毒攻击)或采取其他方式对网络流
量进行重定向(称为pharming的一
种技术),这个端口重定向服务被设
计成将发往可信机构网站服务器的
H T T P请求以透明的方式重新路由
到另外一个远程的网站服务器,这个
网站服务器就是已经架设好的钓鱼网
站服务器,这种方式使得对钓鱼网站
网络钓鱼网站探测系统分析与设计
周治平,杜彦辉,戴明星
(中国人民公安大学,北京102623)
摘  要:网络钓鱼的快速传播,已经严重威胁着电子商务的发展。该文首先总结了网络钓鱼的现状及其主要技术手段,分析了其实施步骤,进一步提出了网络钓鱼网站的探测系统,以打击网络钓鱼犯罪。
关键词:网络钓鱼;计算机犯罪;网络
Analysis and design of the phishing website detection system
ZHOU Zhi-ping,DU Yan-hui,DAI Ming-xing
(China People's Public Security University,Beijing 102623,P.R.China)
Abstract: The rapid spreading of phishing has seriously  threatened the development of the e-business.This article summarizes the present situation and the main technology of  phishing and analyses it's actualizing step.To beat the phishing crime the article puts forward the detection system of the phishing website.
Key words: phishing; computer crime; network swindle
86算机安全  2008.3
服 务
病毒黑客
图1 网络钓鱼网站系统
网络钓鱼网站探测系统是依靠域名产生算法和网页比对算法完成的。
88算机安全  2008.3
服 务
病毒黑客
(3)产生域名
此流程根据需要保护的网站的域名和规则库,产生新的域名,存入数据库。域名发现算法就是利用规则库规定的相似字母替代URL 中的相似字母,每次的替代形成一个新的URL,在这个产生新的URL 过程当中,要求不能产生重复的URL,但也不能遗漏一些URL,所以就要设计一个算法,使该算法满足上面的要求。
采用排列组合的方法。依次在U R L 库中提取U R L,对每一个U R L,对照规则库的字母替换规则,查U R L 中符合替换条件的字母,每个字母又可能有多个可替换的字母,所以要产生完备的U R L 库,就需要用到排列组合的知识。再把每一个组合的字符串按字母分拆,放到对应的URL 字母位置中去,形成新的URL,这就保证了形成新的无重复的完备的URL。
(4)网页比对
此流程就是根据产生的新域名访问该网页,再根据该网页的特征判断是不是钓鱼网站。网页相似性比对就是从U R L 库中的每个地址出发,访问对应的站点,如果返回不到服务器的错误信息,则不予处理;但是当返回网站的数据信息时,就必须和站点库中的对应站点特征进行比较,用以区分该站点是不是钓鱼网站。
在特征的比较中由于是两篇W e b 文档,首先比对特定位置的关键字(例如<t i t l e ></t i t l e >标记内的内容),如果相同就是钓鱼网站,如果不同再比较文档正文中的关键字,如果符合一定的条件则为钓鱼网站,如果不符合则不是钓鱼网站,比对结束。
(5)发现钓鱼网站
该模块就是利用网页相似性比对算法,发现网络钓鱼的网站。它提供一个用户界面,列出系统所发现的钓鱼网站的域名。
根据上面的网站探测的5步可以看出,本系统和传统的“黑名单”或“白名单”方法有着明显的不同,本系统着重点在主动探测,发现钓鱼网站。
4 功能测试
网络钓鱼网站探测系统主要的功能是探测可能的网络钓鱼网站,主要测试系统的探测网站的准确性。所
以一台主机装有网络钓鱼网站探测系统,一台主机作为DNS,联网的还有41台主机,在其中3台中装有工商银行、建设银行、花旗银行的钓鱼网站,系统能准确地探测到3个钓鱼网站,并显示该网站的名称和域名,如图2所示。
图2 探测系统探测结果界面
5 以后的工作
完善网络钓鱼网站探测系统的功能,优化网页相似性比对算法,提高探测钓鱼网站的准确性。由网络钓鱼网站和金融及电子商务等网站地址的相似性,总结尽可能多的规则,这样才能产生大量的URL,发现钓鱼网站。
6 小结
虽然关于网络钓鱼的报道很多,也有一些反钓鱼工具和建议,但随着互联网的普及,越来越多的新网民和一些防范意识不是很强的用户依然被
网络钓鱼迷惑,成为网络钓鱼的受害者。而且,网络犯罪活动日益呈现出有组织化、专业化的特点,网络钓鱼活动成为了网络犯罪活动关键的一环。
本文所研究的网络钓鱼网站探测系统将形成安全产品,与现有的反钓鱼软件不同,通过主动探测互联网中域名相近的网站以及网站风格相近的网站,发现钓鱼网站的存在,变被动为主动,从源头上更好地打击网络钓鱼犯罪。该系统不仅可应用到公安系统,更可推广到金融、电子商务等行业,作为自我防护系统,并防止应用网站被克隆。
参考文献:
[1]CNCERT/CC.“CNCERT/CC 2007年上半年网络安全工作报告”./,2007-08-21.
[2]Phishing Attack Trends Report.Anti—Phishing Working Group..
[3]The Honeynet Project&Research Alliance.Know your Enemy:Phishing——Behind the Scenes of Phishing Attacks..
[4]Anthony Y. Fu,Xiaotie Deng,Liu Wenyin,Greg Little.The Methodology and an Application to Fight against Unicode Attacks.SOUPS 2006,JUL, 2006, CMU.[5]陈达.网络钓鱼的现状、方式及防范初探.网络安全技术与应用,2006.7.[6] 孔维广.Phishing 攻击的技术分析与防范措施.武汉科技学院学报,2006.3.作者简介:周治平(1980-),男,硕士研究生,主要研究方向:信息安全与计
算机犯罪侦查;杜彦辉(1969-),男,副教授,主要研究方向:网络安全;戴明星(1978-),男,硕士研究生,主要研究方向:信息安全与计算机犯罪侦查。
收稿日期:2008-01-03

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。