基于域名安全評(píng)估的釣魚(yú)檢測(cè)研究.pdf

1、網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻，釣魚(yú)攻擊也越來(lái)越猖狂，嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的經(jīng)濟(jì)利益，對(duì)網(wǎng)絡(luò)環(huán)境產(chǎn)生了嚴(yán)重的影響。釣魚(yú)檢測(cè)研究刻不容緩。
　　現(xiàn)有釣魚(yú)檢測(cè)技術(shù)主要基于頁(yè)面安全檢測(cè)來(lái)識(shí)別釣魚(yú)網(wǎng)頁(yè)。該方法需對(duì)所有的頁(yè)面進(jìn)行分析，工作量大且不易實(shí)施于實(shí)際的項(xiàng)目中。為克服上述不足，本文提出了一種基于域名安全評(píng)估的釣魚(yú)檢測(cè)模型。該模型對(duì)海量的域名請(qǐng)求數(shù)據(jù)進(jìn)行過(guò)濾和篩選，從中提取高危域名和疑似惡意域名進(jìn)行處理。針對(duì)域名進(jìn)行釣魚(yú)檢測(cè)時(shí)，若域名為高危域名則

2、攔截其請(qǐng)求，若為疑似惡意域名則劫持該請(qǐng)求并進(jìn)一步檢測(cè)網(wǎng)頁(yè)的安全性，如此可預(yù)警釣魚(yú)攻擊。本文的主要研究工作如下：
　　1)研究了釣魚(yú)機(jī)制的發(fā)展態(tài)勢(shì)，設(shè)計(jì)了基于域名安全評(píng)估的釣魚(yú)檢測(cè)框架。采用Phishtank釣魚(yú)URL黑名單，從域名、URL兩個(gè)角度對(duì)釣魚(yú)機(jī)制進(jìn)行了研究，發(fā)現(xiàn)惡意域名中包含大量模仿URL鏈接域名、錯(cuò)拼域名、新注冊(cè)域名，且錯(cuò)拼域名中存在少量的釣魚(yú)域名和大量的?？坑蛎?。因此，本文評(píng)估域名安全時(shí)，首先進(jìn)行黑白名單的過(guò)濾，若過(guò)

3、濾后的域名為模仿URL鏈接域名，則采用基于模仿URL鏈接的釣魚(yú)域名評(píng)估模型評(píng)估域名是否為高危域名；若域名為錯(cuò)拼域名或新域名，則采用基于錯(cuò)拼域名和新域名的釣魚(yú)域名評(píng)估模型判斷域名是否為疑似惡意域名。最后對(duì)高危域名請(qǐng)求進(jìn)行攔截，對(duì)疑似惡意域名進(jìn)行劫持并檢測(cè)頁(yè)面的安全性。
　　2)提出了基于模仿 URL鏈接域名的釣魚(yú)域名評(píng)估模型。對(duì) Phishtank釣魚(yú)URL黑名單中的釣魚(yú)域名數(shù)據(jù)進(jìn)行聚類(lèi)分析，結(jié)果表明模仿URL鏈接釣魚(yú)域名長(zhǎng)度較大、

4、級(jí)數(shù)較高，數(shù)字字母轉(zhuǎn)換頻率較高、子域名包含品牌名且品牌名的位置明顯、最長(zhǎng)子域名所在級(jí)數(shù)較低?；谏鲜鎏卣鳎捎肅4.5決策樹(shù)算法建立模仿URL鏈接域名的釣魚(yú)域名評(píng)估模型。該模型對(duì)域名進(jìn)行檢測(cè)時(shí)，若結(jié)果顯示為高危域名則攔截域名請(qǐng)求。通過(guò)實(shí)際訪問(wèn)數(shù)據(jù)進(jìn)行測(cè)試，結(jié)果表明該模型能夠有效地識(shí)別模仿URL鏈接域名中的釣魚(yú)域名。
　　3)設(shè)計(jì)并實(shí)現(xiàn)了基于權(quán)威域名服務(wù)器的?？坑蛎麢z測(cè)模型。該模型從常用于域名停靠服務(wù)的錯(cuò)拼域名入手，提取可能用于?？?/p>

5、服務(wù)的權(quán)威 DNS集合。通過(guò)半監(jiān)督聚類(lèi)方法對(duì)該集合進(jìn)行分析，識(shí)別應(yīng)用于?？糠?wù)的權(quán)威DNS。檢測(cè)域名是否為?？坑蛎麜r(shí)，若域名的權(quán)威DNS應(yīng)用于?？糠?wù)且域名解析IP地址屬于該停靠服務(wù)Web服務(wù)器的IP地址集合，則說(shuō)明域名為停靠域名。實(shí)驗(yàn)結(jié)果表明，該模型能夠?qū)崟r(shí)地檢測(cè)錯(cuò)拼域名和新注冊(cè)域名中的停靠域名。
　　4)提出了基于錯(cuò)拼域名和新域名的釣魚(yú)域名評(píng)估模型。本文對(duì)疑似惡意域名的存在情況進(jìn)行了分析，構(gòu)建了基于錯(cuò)拼域名和新域名的釣魚(yú)域名評(píng)