基于域名安全評估的釣魚檢測研究.pdf

1、網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，釣魚攻擊也越來越猖狂，嚴(yán)重侵害了互聯(lián)網(wǎng)用戶的經(jīng)濟(jì)利益，對網(wǎng)絡(luò)環(huán)境產(chǎn)生了嚴(yán)重的影響。釣魚檢測研究刻不容緩。
　　現(xiàn)有釣魚檢測技術(shù)主要基于頁面安全檢測來識別釣魚網(wǎng)頁。該方法需對所有的頁面進(jìn)行分析，工作量大且不易實施于實際的項目中。為克服上述不足，本文提出了一種基于域名安全評估的釣魚檢測模型。該模型對海量的域名請求數(shù)據(jù)進(jìn)行過濾和篩選，從中提取高危域名和疑似惡意域名進(jìn)行處理。針對域名進(jìn)行釣魚檢測時，若域名為高危域名則

2、攔截其請求，若為疑似惡意域名則劫持該請求并進(jìn)一步檢測網(wǎng)頁的安全性，如此可預(yù)警釣魚攻擊。本文的主要研究工作如下：
　　1)研究了釣魚機(jī)制的發(fā)展態(tài)勢，設(shè)計了基于域名安全評估的釣魚檢測框架。采用Phishtank釣魚URL黑名單，從域名、URL兩個角度對釣魚機(jī)制進(jìn)行了研究，發(fā)現(xiàn)惡意域名中包含大量模仿URL鏈接域名、錯拼域名、新注冊域名，且錯拼域名中存在少量的釣魚域名和大量的?？坑蛎Ｒ虼?，本文評估域名安全時，首先進(jìn)行黑白名單的過濾，若過

3、濾后的域名為模仿URL鏈接域名，則采用基于模仿URL鏈接的釣魚域名評估模型評估域名是否為高危域名；若域名為錯拼域名或新域名，則采用基于錯拼域名和新域名的釣魚域名評估模型判斷域名是否為疑似惡意域名。最后對高危域名請求進(jìn)行攔截，對疑似惡意域名進(jìn)行劫持并檢測頁面的安全性。
　　2)提出了基于模仿 URL鏈接域名的釣魚域名評估模型。對 Phishtank釣魚URL黑名單中的釣魚域名數(shù)據(jù)進(jìn)行聚類分析，結(jié)果表明模仿URL鏈接釣魚域名長度較大、

4、級數(shù)較高，數(shù)字字母轉(zhuǎn)換頻率較高、子域名包含品牌名且品牌名的位置明顯、最長子域名所在級數(shù)較低。基于上述特征，采用C4.5決策樹算法建立模仿URL鏈接域名的釣魚域名評估模型。該模型對域名進(jìn)行檢測時，若結(jié)果顯示為高危域名則攔截域名請求。通過實際訪問數(shù)據(jù)進(jìn)行測試，結(jié)果表明該模型能夠有效地識別模仿URL鏈接域名中的釣魚域名。
　　3)設(shè)計并實現(xiàn)了基于權(quán)威域名服務(wù)器的停靠域名檢測模型。該模型從常用于域名?？糠?wù)的錯拼域名入手，提取可能用于停靠

5、服務(wù)的權(quán)威 DNS集合。通過半監(jiān)督聚類方法對該集合進(jìn)行分析，識別應(yīng)用于?？糠?wù)的權(quán)威DNS。檢測域名是否為?？坑蛎麜r，若域名的權(quán)威DNS應(yīng)用于?？糠?wù)且域名解析IP地址屬于該?？糠?wù)Web服務(wù)器的IP地址集合，則說明域名為?？坑蛎?。實驗結(jié)果表明，該模型能夠?qū)崟r地檢測錯拼域名和新注冊域名中的?？坑蛎?。
　　4)提出了基于錯拼域名和新域名的釣魚域名評估模型。本文對疑似惡意域名的存在情況進(jìn)行了分析，構(gòu)建了基于錯拼域名和新域名的釣魚域名評