1 / 61

第2章 网络攻击技术

第2章 网络攻击技术. 指导教师 : 杨建国. 2013年8月10日. 第2章 网络攻击技术. 2 .1 信息收集技术 2 .2 口令攻击 2 .3 缓冲区溢出攻击 2 .4 拒绝服务攻击 2.5 web应用安全攻击 2.6 恶意代码攻击 2.7 病毒蠕虫与木马攻击. 2.8 网络欺骗攻击 2 . 9 网络钓鱼攻击 2 . 10 假消息攻击 2 . 11 网络协议攻击 2 . 12 操作系统攻击 2.13 远程控制攻击.

hisa
Download Presentation

第2章 网络攻击技术

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第2章 网络攻击技术 指导教师:杨建国 2013年8月10日

  2. 第2章 网络攻击技术 • 2.1 信息收集技术 • 2.2 口令攻击 • 2.3 缓冲区溢出攻击 • 2.4 拒绝服务攻击 • 2.5 web应用安全攻击 • 2.6 恶意代码攻击 • 2.7 病毒蠕虫与木马攻击 • 2.8 网络欺骗攻击 • 2.9网络钓鱼攻击 • 2.10假消息攻击 • 2.11网络协议攻击 • 2.12操作系统攻击 • 2.13 远程控制攻击

  3. 南方的早春总是伴着绵绵细雨,难得今天是个晴朗天,某服装公司的张经理带着十几个重要员工来到郊外一个鱼塘进行垂钓活动。张经理放置好钓具后,便打开了随身携带的笔记本电脑并连上网络,他想利用这点时间处理一下最近的一笔生意。秘书见他在这种时候还离不开工作,便劝他: “经理,今天是游玩的日子,难得放松一下,今天还是不要处理公司业务了吧……您不怕钓竿被鱼叼走了?”张经理对秘书笑了笑,看着身前的钓竿缓缓说道: “都说姜太公钓鱼,愿者上钩,但是如果不知道提竿的时机,即将到手的鱼也会溜走的。等这笔生意谈妥,我再休息也不迟。 ”说罢又继续低头敲键盘。 生意终于谈妥,客户把货款转入张经理的银行账户,张经理笑了: “这条大鱼终于被我钓到了。 ”然后他登上网络银行账户查看转账情况。当页面上显示出账户剩余金额时,张经理心里一紧,接着有了晕眩的感觉:账户里原来的存款不翼而飞,页面里惟有客户刚刚转入的货款,仿佛在嘲笑着张经理。 张经理做梦也没想到,这一次,他成了别人钓上的鱼,而且是大鱼。 2.9网络钓鱼攻击 案例

  4. 警察正在分析张经理那台笔记本电脑硬盘里的数据,张经理本人在报案时因心脏病发作而住进了医院。由于无法得知张经理最后一次登录网络银行的时间,而且系统里也没有感染任何偷盗账号的后门程序,案件变得有点扑朔迷离起来。一个分析员无意中打开了 Foxmail,发现最后一封信件是银行发送的,主题为“XX 网络银行关于加强账户安全的通告” ,分析员预测案件与这封信件有重大关系,马上打开阅读。这是一封 HTML 网页模板的信件,内容大意为银行为了加强账户安全而升级了系统,请各位客户尽快重新设置账户密码,末尾还给出了设置密码的 URL 链接。 案例(续)

  5. 分析员马上查看信件源代码,很快就找出了其中的猫腻:正如常说的 “说的一套,做的一套” ,这个邮件的作者采用了“看的一套,进的一套”这种简单的欺骗手法, 入侵者利用 HTML 语言里 URL 标记的特性, 把它写成了这样: “ 〈A HREF=”http://www.xxxbank.com.cn/account/index.asp“〉http://www.xxbank.com. cn/account/index.asp〈/A〉 ” ,由于心理作用,受害者潜意识里都会直接点击那个写着“http://www.xxbank.com.cn/account/index.asp”的 URL 链接,但这个点击实际上是把他们引向“http://www.xxxbank.com.cn/account/index.asp”这条钓竿! 案例(续)

  6. 而这个所谓的更改密码页面,当然伪造得与真正的银行页面完全一致,但是它的“更改密码”功能却是把账号和密码发送到了幕后的“垂钓者”手上, 然后“垂钓者”登录上真正的网络银行改了受害者设置的密码,并顺手牵羊把银行账户里的存款转移掉。这样钓来的鱼,即使是小鱼也会让“垂钓者”在梦里发出笑声来了,即使一条太小,积累起来的数目也会变得相当可观了。在金钱的诱惑下, “垂钓者”一次又一次提竿, 殊不知,他自己也是被金钱钓竿钓上的一条鱼。 案例(续)

  7. QQ中奖; http://www.1cbc.com.cn; http://www.1enovo.com; http://sina16399.com; http://sina16363.com。 案例(续)

  8. 网络钓鱼简介 1 网络钓鱼研究现状 2 网络钓鱼防范关键技术 3 基于服务的网络钓鱼综合防范体系 4 扩展研究 5 目 录

  9. 1.1定义 网络钓鱼又称网站仿冒或Web Phishing,是指利用假冒网站骗取用户敏感信息(如用户名、口令、帐号 ID 、 ATM PIN 码或信用卡详细信息)的行为。 网络钓鱼(Phishing,Phone+Fishing)一词起源于1996年左右,当时就有黑客利用电子邮件作为诱饵,盗用美国在线(American Online)的帐号和密码。 典型的网络钓鱼攻击通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾邮件将收信人引诱到一个通过精心设计的与目标组织的网站非常相似的钓鱼网站上,并获取收信人在此网站上输入的个人敏感信息,通常这个攻击过程不会让受害者警觉。 1.网络钓鱼简介

  10. 1.2特点 成本低:实施成本(电子邮件和假冒网站容易实施)+违法成本(调查、取证、刑事追究困难); 集中度高:行业集中( 98%以上针对金融服务业)、品牌集中(80%以上的攻击集中与十几个品牌)、地区集中(中国已经取代美国成为全球钓鱼网站主机数最多的国家); 影响范围大:由于低成本高收益,网络钓鱼攻击日益严重。 1.网络钓鱼简介(续)

  11. 金融服务业占钓鱼攻击品牌比重: 1.网络钓鱼简介(续) 100% 90% 80% 70% 60% 50% 2005 2006 2007 2004

  12. 1.网络钓鱼简介(续) 1.3现状及危害 网络钓鱼凭借其简便性、低成本的特点,对网上金融、在线交易等应用构成极大威胁。根据国际反网络钓鱼工作组(Anti-Phishing Work Group,APWG)的统计,从2006年10月到2007年10月间每月收到网络钓鱼举报两万件以上,平均每月新增钓鱼网站超过3万个,与前一年同期相比增幅分别超过30%和100%。

  13. 网络钓鱼的泛滥给全球网络用户特别是在线金融服务用户造成了严重的危害。 加剧垃圾邮件的泛滥; 造成巨大的经济损失; 打击了普通用户对于网络金融、电子商务等新兴网络应用的信心,从而阻碍了这类应用的发展。 1.网络钓鱼简介(续)

  14. 1.4攻击原理 1.网络钓鱼简介(续)

  15. 入侵初级服 务器窃取名 字和邮箱 发送针对性邮 件(社会工程 学原理) 受害用户访 问假冒网站 钓鱼者取得 用户敏感信息 钓鱼者使用 受害用户的身 份进入其他服务器 1.网络钓鱼简介(续)

  16. 1.5主要技术手段与攻击手段 网络钓鱼犯罪 的主要技术手段: 通过攻陷的 网站服务器 僵尸网络 端口重定向 通过专 用的黑客 程序进行钓鱼 1.网络钓鱼简介(续)

  17. 网络钓鱼犯罪 的主要攻击手段: 1.发送电邮, 以虚假信息 引诱用户 4.利用木马和黑客 技术等手段窃取用 户信息后实施盗窃 2.建立假冒 网上银行网 站,骗取用 户账号密码 5.利用用户弱口令 等漏洞破解、猜测 用户账号和密码 1.网络钓鱼简介(续) 3.利用虚假 的电子商 务进行诈骗

  18. 网络钓鱼的严重危害已经引起了包括企业和学术机构在内的国际社会的广泛关注,随着2003年国际反网络钓鱼工作组APWG的成立以及大批机构和公司的加入,国际社会共同打击网络钓鱼的序幕正式拉开,相关研究已经成为国际上的热点。 2.网络钓鱼研究现状

  19. 2.1国外研究情况 2.1.1学术研究 第一,钓鱼行为分析(用户为何会被钓鱼网页所欺骗?); 第二,电子邮件检测(发现钓鱼邮件的一般特征); 第三,网络行为检测(模拟用户与网站之间的交互行为来检测); 第四,敏感信息保护(在用户端建立信息审查机制、浏览器插件); 第五,网页相似性检测(计算可疑网页与受保护网页间的相似度); 第六,异常网页检测(检测网页中存在的异常的方法)。 2.网络钓鱼研究现状(续)

  20. 2.1.2公司机构研究 与此同时产业界和政府也投入了相当的力量来防范网络钓鱼。反网络钓鱼工作组就是专门为此成立的。它的数千名成员中,包括美国十大银行中的八家、美国五大互联网服务提供商中的四家、以及众多的IT企业、国家法律执行机构和立法机构,该机构定期发布全球网络钓鱼发展报告,并组织了大量相关的讨论和国际会议。美国还成立了“网络欺诈投诉中心’’专门处理网络钓鱼等网络欺诈行为。各大公司也都成立了自己的网络钓鱼研究机构,微软在其操作系统中提供了网络钓鱼报告功能,趋势科技、雅虎、Websense、Google等都相继推出其网络钓鱼防范工具。 2.网络钓鱼研究现状(续)

  21. 在防范技术上,Mark Goines所在安全公司采用“报复’’(retaliatory)策略,通过向Phishing站点发送大量虚假信息形成DOS攻击(拒绝服务攻击,Denial ofService)效果,从而阻止它接收有用信息;MarkMoniter采用了实时监视域名注册和可疑聊天室的方法来查找网络钓鱼站点;Corillian通过分析真实网站的日志(logs)来分析可能的Phishing行为;Engin Kirda和Christopher Kruegel学者则采用浏览器插件的形式实时分析用户提交的是否为敏感信息并给用户及时地预警提示。 2.网络钓鱼研究现状(续)

  22. 2.2国内研究情况 与国际先进水平相比,国内研究明显滞后,还停留在基本的安全知识普及阶段,缺乏对网络钓鱼整体深入的研究。刘文印等香港学者则通过比较网页之间的相似性来判断钓鱼网页,Anthony Y Fu等则使用图像处理的方法来判断网页的相似性,并进行了大量实验显示出该方法的有效性,这类方法也是建立在钓鱼网页与真实网页是相似的这一假设之上的。解放军理工大学的陈娟等通过分析超链接中的异常来检测网络钓鱼。总的来说,我国的网络钓鱼研究急需加强。 2.网络钓鱼研究现状(续)

  23. 3.1网络钓鱼的防范 鉴于网络钓鱼的严重危害,相关公司和研究机构都提出了一些具体的防范措施,可分为服务器端防范、用户端防范与第三方防范。 3.1.1服务器端防范 指服务提供商包括银行、ISP、商务网站等采取多种措施保护用户数据的安全。例如申请CA认证,并提醒用户检查证书;采用HTTPS协议传输敏感数据;在用户客户端安装防范软件;提供口令卡,USB密码锁等认证方式。 但由于网络钓鱼将用户诱骗至钓鱼网站,因此服务器端的防范措施对网络钓鱼基本无效。目前服务商能做的也只能是教育用户提高防范意识。 3.网络钓鱼防范关键技术

  24. 3.1.2用户端防范 终端用户防范措施包括敏感信息过滤,浏览器插件安装等。但由于用户的网络安全意识淡薄和防范能力的局限,使得终端用户成为网络钓鱼的突破口,目前还没有有效的方法确保用户的信息安全。 3.1.3第三方防范 第三方包括政府机构、相关组织(如APWG)以及研究机构等针对网络钓鱼提出的解决方案。目前最主要的工作是通过收集用户的钓鱼邮件举报,维护钓鱼网站实时黑名单和检测钓鱼邮件。这一工作有效的减少了钓鱼网站的生存时间,但也存在严重的问题——滞后性。黑名单的维护需要经过用户举报、收集整理、验证、发布等一系列步骤,要耗费大量时间,目前钓鱼网站的平均生存期只有3天,要进一步降低其生存周期单纯依靠人工维护实时黑名单已经无能为力,只有借助于自动检测技术。 3.网络钓鱼防范关键技术(续)

  25. 目前国内对网络钓鱼的防范还集中在服务器和用户端,缺乏系统的第三方防范措施,这也是我国成为全球最大的钓鱼网站主机所在国的重要原因。因此,急需加强我国第三方网络钓鱼防范研究。 3.网络钓鱼防范关键技术(续)

  26. 3.2网络钓鱼防范关键技术 网络钓鱼攻击的主要手段是通过电子邮件将用户引导至假冒网页,骗取用户输入帐号密码等敏感信息。因此网络钓鱼防范的关键技术包括 (1)钓鱼邮件检测; (2)钓鱼网页检测; (3)浏览器预警。 3.网络钓鱼防范关键技术(续)

  27. 3.2.1钓鱼邮件检测 广泛的散发钓鱼邮件是网络钓鱼攻击的第一步。及早地发现钓鱼邮件,并采取相应措施能有效打击网络钓鱼,防患于未然。与普通邮件相比,钓鱼邮件往往在内容、格式、邮件头等部分含有异常,这也是钓鱼邮件检测的基础。现有的算法通过检测邮件的发送者、邮件中含有的URL链接以及邮件内容等,来发现并判定钓鱼邮件。 3.网络钓鱼防范关键技术(续)

  28. 3.2.2基于异常钓鱼网页检测 钓鱼网站是攻击者为了诱导用户输入敏感信息而搭建的网站,具有其自身的特点。首先钓鱼网站一般都与某个著名网站相似,而这也正是用户上当受骗的原因;其次由于是非法架设,钓鱼网站在URL、HTML代码、与用户之间的交互方面与正规网站都存在差别。而钓鱼网页检测就是根据这些差别进行的。 3.网络钓鱼防范关键技术(续)

  29. 3.2.2.1视觉相似性检测 钓鱼网页与真实网页之间在视觉上的相似性是网络用户上当受骗的最重要原因。因此与真实网页之间的视觉相似性是钓鱼网页的主要特点之一,该特点也成为判断钓鱼网页的重要依据。其中相似性涵盖网页中的块分布、配色、图片以及字体等。这类基于相似性检测的方法都旨在建立一个分类器,该分类器能够判断出某个新Web站点A是否与一个已经存在的受保护站点相似,如果不相似则A要么不是钓鱼网站,要么即使A是钓鱼网站,由于与受保护网站不同用户也会产生警觉;如A与某个受保护网站B相似则进一步通过URL或数字证书判断A是否真的为B,如果A与B相似又不是B则判定A为针对B的钓鱼网页。基于视觉的检测包括HTML文本匹配和基于图像的匹配。 3.网络钓鱼防范关键技术(续)

  30. (1)基于HTML的相似网页检测 香港城市大学的刘文印等首先提出了基于视觉相似度的钓鱼网页检测算法。该方法首先将网页分解为具有明显视觉区分度的块区域;两个网页之间的视觉相似度则通过以下三个度量来计算:块级别相似度(block level similarity)、分布级别相似度(1ayout level similarity)、整体风格相似度(overall style similarity)。如果某网页A与受保护网页B(例如银行登陆页面)之间的任意一个相似度大于预设的值,则认定A为针对B的疑似钓鱼网页。实验显示该方法对特定网页具有良好的检测效果。 但基于HTML的网页检测无法识别网页中的图像,而现在的钓鱼网页往往含有大量的图片和Flash动画,这使得该检测方法无能为力,因此提出了基于网页图像的相似检测方法。 3.网络钓鱼防范关键技术(续)

  31. (2)基于图像的相似网页检测 A.Y Fu等提出了一种基于像素及其分布的匹配算法。该算法首先将网页转化为大小相同的图片,然后使用图片中包含的像素及其几何分布的重心坐标为该网页图片的特征向量,最后通过计算两个网页图像特征向量之间的运土者距离(Earth Mover’S Distance,EMD)求出网页之间的相似度。从实验结果可以看出当网页数量较大时,效果要明显优于基于HTML内容的检测,但该算法只考虑了网页图像中的颜色及其分布特点,没有考虑网页中不同部分之间的位置关系,根据格斯塔视觉原理,相对位置在人的视觉中占主要地位,特别是多个形体间的相对位置关系,相对位置关系的变化必然导致视觉上的区别,而该算法由于没有考虑相对位置因素可能导致相似检测的失效。 3.网络钓鱼防范关键技术(续)

  32. 3.2.2.2网页异常检测 钓鱼网页的另一个特点就是与正规网站相比,在域名或URL、页面代码、以及用户交互等都或多或少地存在一些异常,这也是检测钓鱼网页的依据之一,但这些异常具有不确定性,随着网络钓鱼手段的变化,基于异常的钓鱼网页的有效性受到很大限制。 3.网络钓鱼防范关键技术(续)

  33. (1)URL异常检测 陈娟等通过对APWG提供的网络钓鱼档案数据的分析,得出了网络钓鱼攻击中超链接的一般特性,并据此提出了一种新的基于终端系统的反网络钓鱼算法LinkGuard。该算法将网络钓鱼攻击中链接的一般特性总结为5点,之后通过判断用户将要访问的网页的地址是否具有以上5点特性从而判断用户是否正在访问钓鱼网页。实验表明,LinkGuard成功地检测出了203次钓鱼攻击中的195次,检测率达到了96%。 3.网络钓鱼防范关键技术(续)

  34. (2)页面代码异常 Ying Pan等提出了一种基于异常的(AnomalyBased)钓鱼网页检测算法。具体而言,就是通过检测网站声称的身份(identity)与其实际的网站结构或HTTP交互之间的差异,来判断钓鱼网站。整个算法包括两部分:1身份提取器(Identity Extractor),通过对网页的分析,抽取出一个关键词集合来表明该网站的身份,该身份能唯一地标识出该网站在互联网上的所有权。关键词包括网页中出现的词组以及DOM(文档对象模型,Document Object Model)等。2网页分类器。一个身份为A的网页通过修饰谎称自己的身份为B,但A仍有部分特征是无法修改的,比如身份相关的DOM类以及HTTP交互等,这类无法修改的特性称为结构特性(structural features)。 但该方法基于网页的DOM结构,无法分析网页中的图片,因此准确度受到很大的限制。 3.网络钓鱼防范关键技术(续)

  35. (3)交互异常 Madhusudhanan Chandrasekaran等通过模拟用户行为来判断钓鱼网页。这套被称为PHONEY的原型系统位于邮件传输代理MTA与邮件用户代理MUA之间,检测所有发往用户的邮件中是否含有钓鱼攻击。PHONEY首先检测邮件中是否含有的URL、表单等,如果有则对这些内容进行语义分析并动态生成测试响应信息;然后将该响应发送到邮件所包含的可疑网站并通过该网站的响应来判断该网站是否为钓鱼网站。比如某个网站要求用户输入银行的帐号和密码,PHONEY则将随机生成的帐号密码发送给该网站,如果通过了该网站的认证,则可以断定该网站为钓鱼网站。 3.网络钓鱼防范关键技术(续)

  36. 3.网络钓鱼防范关键技术(续) PHONEY体系结构 但该方法存在明显的局限。首先,对中间人攻击无能为力,钓鱼网站可以对收到的数据发往真实网页进行验证;其次,该方法无法对含有机器人检测代码的网页进行测试;最后该方法还会占用部分用户带宽。

  37. 3.2.3用户端保护 Chio等提出了一种基于规则和敏感性判断用户数据保护方法。该方法通过检测用户发往外界的所有数据包,判断其中是否含有个人敏感数据(如银行帐号、信用卡号等);如果包含敏感数据则根据该信息的重要性、目的端可信度及其匹配策略等预先定义的控制规则做出判断;如果判定本次传送具有风险则中止发送。该方法虽然能对用户数据起到一定的保护作用,但将严重影响用户端发送质量,而且具体的控制规则也很难满足用户的需要。相比之下,各个相关公司推出的用户端保护软件似乎更加实用。 3.网络钓鱼防范关键技术(续)

  38. IE7.0和Firefox浏览器都内嵌了钓鱼网页保护插件,该插件能够根据网上公布的实施黑名单对用户进行有效的提醒,也可以使用户方便的举报钓鱼网站。 各个网络银行也都推出了自己的保护措施。工商银行需要用户下载防键盘记录的保护插件,招商银行推出的反钓鱼插件能记录用户所输入的招行数据,并判断目的端是否为招行网站,如果不是则发出报警。 尽管存在各种防范措施,但由于普通用户缺乏计算机安全相关的知识,防范意识比较薄弱,用户端仍然是最为薄弱的环节,因此需要相关联合各方综合防范网络钓鱼。 3.网络钓鱼防范关键技术(续)

  39. 4.1网络钓鱼综合防范体系 从目前的研究成果来看,基于服务器和客户端的保护无法从根本上防止网络钓鱼的发生。相比之下,独立的第三方的防范措施(包括电子邮件检测、用户举报、实时黑名单等)则使得钓鱼网站的生存周期明显下降,从2004年的平均6天左右降到2007年10月的3天左右,但由于采用人工处理方式,要进一步缩短钓鱼网站生存时间难度极大。针对以上问题,有些学者提出了一套系统的网络钓鱼防范体系CAPS(Comprehensive Anti-Phishing System),该体系包括钓鱼邮件检测、钓鱼网页检测以及基于Web服务的信息共享和联动平台。CAPS架构如图所示: 4.基于服务的网络钓鱼综合防范体系

  40. 4.基于服务的网络钓鱼综合防范体系(续)

  41. CAPS核心是网络钓鱼控制中心和各个网络钓鱼分析节点,涉及到邮件服务器、普通用户、真实网站(如银行等)以及相关的政府机构(如公安等)。 4.1.1网络钓鱼控制中心 钓鱼控制中心负责维护钓鱼网站黑名单和受保护网页两个数据库,主要为网络钓鱼分析节点提供检测的基础与信息交换的平台;同时与相关真实网站(如银行等)保持良性互动,一方面收集更新受保护网页信息,另一方面将检测到的钓鱼网页实时的通知相关网站,以确认钓鱼攻击并发出预警。通过综合各个分析节点的报告,控制中心能全面评估某次网络钓鱼攻击的影响,并向全社会发出预警。 4.基于服务的网络钓鱼综合防范体系(续)

  42. 4.1.2网络钓鱼分析节点 网络钓鱼检测的主力。该节点首先通过向电子邮件服务器提供钓鱼邮件检测服务、接收用户举报、或设立蜜罐邮箱的方式收集可疑邮件;之后对可疑邮件中所含的URL链接进行分析,查看该链接是否已经在黑名单中,如果存在则直接向用户报告,否则检测该链接指向的网页是否与某个受保护网页相似,如果相似则上报网络钓鱼控制中心,否则判断其并非钓鱼网页。钓鱼邮件分析节点需要在本地维护黑名单数据库和受保护网页数据库以提高检测速度,由于只需储存最近的钓鱼网站地址,以及网络钓鱼只针对数十个品牌进行攻击的特点,数据维护开销并不大,只需定期与检测中心进行数据同步即可。 网络钓鱼分析流程图 4.基于服务的网络钓鱼综合防范体系(续)

  43. 4.1.3CAPS服务体系架构 整个系统基于Web服务(Web Service),其架构如图: CAPS系统提供钓鱼邮件检测、钓鱼网页检测、黑名单以及预警等服务等,分别部署于邮件服务器、检测节点、控制中心以及受保护单位(如银行等)。整个系统基于通用的Web Service体系,可移植性好。 CAPS服务体系架构图 4.基于服务的网络钓鱼综合防范体系(续)

  44. 4.2网络钓鱼综合防范体系CAPS的构成 根据各自功能可以将CAPS分为三个组成部分:网络钓鱼邮件收集,钓鱼网页自动检测以及钓鱼攻击信息共享。 4.2.1网络钓鱼邮件收集 发送钓鱼邮件是网络钓鱼攻击的主要手段,因此分析钓鱼邮件是发现钓鱼网站的最主要方法。CAPS采用开放式体系架构,支持多种钓鱼邮件检测收集方式。 邮件特征值计算; URL异常检测; 用户个人举报。 4.基于服务的网络钓鱼综合防范体系(续)

  45. 4.2.2钓鱼网页检测算法 假设:钓鱼网页检测方法基于钓鱼网页与真实网页相似的。 但相似并非相同,为了逃避检测,大部分钓鱼网页都在真实网页基础上进行了修改,因此单纯的匹配网页图像往往无法有效识别钓鱼网页。为了克服以上缺点,CAPS提出的匹配算法首先将网页图像分割为基本的块,然后提取块的特征(包括颜色直方图、大小等)和块之间的相对位置关系组成网页图像ARG(特征关系图),最后使用NEMD(嵌套运土者距离)算法求出可疑网页ARG与真实网页ARG之间的距离,并以此为依据判断钓鱼网页。CAPS具体防范过程如下: 4.基于服务的网络钓鱼综合防范体系(续)

  46. (1)预先收集受保护网页的信息(网页图像),并将其转换为ARG图,存储于受保护数据库中;(1)预先收集受保护网页的信息(网页图像),并将其转换为ARG图,存储于受保护数据库中; (2)将收到的疑似钓鱼网页转换为图片,并提取其ARG图; (3)使用NEMD算法,求出可疑网页ARG图与受保护数据库中的ARG图之间的特征距离; (4)如果可疑网页A与某个受保护网页B之间的特征距离小于预先设定的值,则判定该可疑网页A是针对B的钓鱼网页。 4.基于服务的网络钓鱼综合防范体系(续)

  47. 4.2.3钓鱼攻击信息共享 CAPS需要多方合作,必须建立高效的信息共享机制。CAPS的各个模块之间为松耦合,通过Web服务相互调用,采用XML来描述相关信息。所需封装的信息主要包括以下几种: (1)钓鱼邮件信息。封装后的钓鱼邮件信息主要包括2部分——钓鱼邮件描述文件和钓鱼邮件源码。钓鱼邮件描述文件包括邮件发送者,接收者,发送服务器,邮件中的可疑地址,判断为钓鱼邮件的依据等。该信息用检测节点与用户或邮件服务器之间交换数据。 (2)钓鱼网页信息。该信息主要用于检测节点与控制中心之间交换数据。 (3)钓鱼攻击信息。该信息包括钓鱼邮件信息、钓鱼网页信息以及对整个钓鱼攻击的情况介绍。主要用于控制中心与受保护机构(如银行)或执法机关(如公安)之间的数据交换。 4.基于服务的网络钓鱼综合防范体系(续)

  48. 4.3网络钓鱼综合防范体系CAPS的特点 (1)广泛性。涉及到包括用户、邮件服务器、受保护机构、分析节点、控制中心等在内的网络钓鱼相关各方;基于Web服务,共享相关信息,因此有效地将各方的力量结合了起来,联合打击网络钓鱼。不仅保护个别用户,而且打击钓鱼网站,并通过受保护机构、网络钓鱼信息发布等措施保护所有合法用户免遭网络钓鱼攻击。 (2)开放性。采用Web服务和标准信息封装接口,控制中心发布的钓鱼攻击信息也能为各种机构使用(应遵守相关标准)。 (3)免疫性。一旦某个邮件服务器发现并确认的网络钓鱼,所有的邮件服务器和用户都将收到此次网络钓鱼攻击的警告。各个分析节点能通过控制中心共享钓鱼攻击数据,而不需要自行检测。 4.基于服务的网络钓鱼综合防范体系(续)

  49. 4.4CAPS的两个核心算法 4.4.1网页分割算法 网页分割算法是钓鱼网页检测算法的基础。分割算法首先将可疑网页转换为图像,然后通过收缩和检测图像中的分割带(块之间的背景区域),得到组成网页的基本图像块(Blocks)。相似性判别算法便提取各个块的特征及其相对位置关系,得到网页ARG图(特征关系图),并以此计算出两个网页之间的相似度。如果发现可疑网页与某个受保护网页(例如银行A的登陆页面)之间的相似度大于预设值,判定该可疑网页为针对A的钓鱼网页。因此,网页分割的准确度直接决定了整个钓鱼网页算法的准确度。 4.基于服务的网络钓鱼综合防范体系(续)

  50. 4.4.1.1网页分割概述 根据心理学相关理论(格式塔原理),相对位置关系在人的视觉认知中占有重要地位。而网页是由基本的块组成的,因此只有全面考虑网页中块的特点及其分布(layout)才能准确的判断网页的相似性。但基于网页源码的块检测方法无法应对网络钓鱼攻击者的蓄意修改,更无法处理经常被钓鱼攻击频繁使用的图像、Flash等多媒体网页元素,因此需要一种基于图像处理的,鲁棒性强的网页分割算法。 CAPS中网页分割算法首先调用浏览器接口,将网页转换为图像,并对其进行预处理;然后迭代地检测图像中的分割带,并以此为依据对图像进行分割,将网页图像转换为块的集合。 4.基于服务的网络钓鱼综合防范体系(续)

More Related