楊 明， 杜彥輝， 劉曉娟

(1．中國(guó)人民公安大學(xué)信息安全工程系，北京 102623;2．青海省公安廳，青海西寧 81000)

0 引言

隨著電子商務(wù)的迅速發(fā)展，網(wǎng)絡(luò)釣魚(yú)已經(jīng)成為當(dāng)前最主要也是增長(zhǎng)最快的網(wǎng)絡(luò)欺詐手段。網(wǎng)絡(luò)釣魚(yú)(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于最初黑客是用電話實(shí)施詐騙活動(dòng)，所以用“Ph”來(lái)取代了“F”，變成了現(xiàn)在的“Phishing”。近幾年，網(wǎng)絡(luò)釣魚(yú)開(kāi)始變得猖獗，據(jù)統(tǒng)計(jì)，2010年中國(guó)新增釣魚(yú)網(wǎng)站175萬(wàn)個(gè)，受害網(wǎng)民高達(dá)4411萬(wàn)人次，損失超過(guò)200億元。從中國(guó)反釣魚(yú)網(wǎng)站聯(lián)盟的統(tǒng)計(jì)數(shù)據(jù)看，2010年3月份聯(lián)盟認(rèn)定并處理釣魚(yú)網(wǎng)站1074個(gè)，而2011年3月份則為3988個(gè)，同比增長(zhǎng)271%。數(shù)據(jù)表明，釣魚(yú)網(wǎng)站數(shù)量急劇上升，網(wǎng)民受害人數(shù)激增，網(wǎng)絡(luò)釣魚(yú)手段也變得越來(lái)越復(fù)雜。其中釣魚(yú)郵件是網(wǎng)絡(luò)釣魚(yú)的最常用的手段，網(wǎng)絡(luò)釣魚(yú)者通過(guò)發(fā)送欺騙性的電子郵件或者偽造web站點(diǎn)來(lái)進(jìn)行詐騙活動(dòng)。本文通過(guò)分析釣魚(yú)郵件的特征，設(shè)計(jì)和實(shí)現(xiàn)了網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)。系統(tǒng)通過(guò)提取郵件的內(nèi)容進(jìn)行分析，提取出可疑的URL，判斷出郵件是否為網(wǎng)絡(luò)釣魚(yú)郵件，是目前檢測(cè)網(wǎng)絡(luò)釣魚(yú)網(wǎng)站的有效工具。

1 網(wǎng)絡(luò)釣魚(yú)電子郵件的特征分析

1.1 網(wǎng)絡(luò)釣魚(yú)電子郵件概述

根據(jù)金山安全實(shí)驗(yàn)室，2010～2011中國(guó)互聯(lián)網(wǎng)安全研究報(bào)告統(tǒng)計(jì)，2010年，有近28%的互聯(lián)網(wǎng)用戶(hù)遭遇過(guò)虛假釣魚(yú)網(wǎng)站、詐騙交易、交易劫持、網(wǎng)銀被盜等針對(duì)網(wǎng)絡(luò)購(gòu)物的安全攻擊。目前，大多數(shù)人已經(jīng)深刻認(rèn)識(shí)到垃圾郵件的危害，對(duì)垃圾郵件會(huì)置之不理，但釣魚(yú)網(wǎng)站卻會(huì)通過(guò)誘騙你查看垃圾郵件中相關(guān)的各種購(gòu)物信息，或者查看一些貌似同事、朋友或者親人的郵件，來(lái)降低你的警惕性，從而實(shí)施欺詐活動(dòng)。

釣魚(yú)郵件是指利用偽裝的電子郵件，欺騙收件人將賬號(hào)、口令等敏感信息回復(fù)給指定的接收者;或引導(dǎo)收件人鏈接到特定的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)通常會(huì)偽裝成和真實(shí)網(wǎng)站一樣，從原來(lái)單一的仿冒淘寶等電子商務(wù)網(wǎng)站，到仿冒中國(guó)工商銀行等銀行網(wǎng)站，再到針對(duì)證券、票務(wù)、團(tuán)購(gòu)、網(wǎng)游等網(wǎng)站，令登錄者信以為真，使得在網(wǎng)頁(yè)上輸入的銀行卡號(hào)碼、賬戶(hù)名稱(chēng)及密碼等信息被盜。

1.2 網(wǎng)絡(luò)釣魚(yú)郵件的特征

隨著網(wǎng)絡(luò)犯罪活動(dòng)的日趨猖獗，網(wǎng)絡(luò)釣魚(yú)攻擊成為網(wǎng)絡(luò)詐騙的主要手段。網(wǎng)絡(luò)釣魚(yú)的基本原理可以概述為網(wǎng)絡(luò)犯罪分子綜合利用社會(huì)工程學(xué)原理和互聯(lián)網(wǎng)應(yīng)用技術(shù)手段，以盜取個(gè)人敏感信息為重要途徑實(shí)施網(wǎng)絡(luò)詐騙的違法犯罪手段和行為方式。目前，網(wǎng)絡(luò)釣魚(yú)分兩類(lèi):第一類(lèi)主要是通過(guò)社會(huì)工程學(xué)的方法對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行誘騙，以獲取網(wǎng)絡(luò)用戶(hù)金融信息和其他個(gè)人信息。釣魚(yú)者搜集相關(guān)個(gè)人信息，引誘他人受騙。此類(lèi)方式典型的途徑是垃圾郵件。另一類(lèi)主要是利用技術(shù)手段攻擊計(jì)算機(jī)或網(wǎng)頁(yè)可能存在的漏洞，影響其正常有效運(yùn)行后，再對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行誘騙。網(wǎng)絡(luò)釣魚(yú)花樣眾多，且手法不斷翻新。但究其根本，目的都是相同的，就是索取收信人的重要個(gè)人信息。本文通過(guò)對(duì)大量的網(wǎng)絡(luò)釣魚(yú)電子郵件的分析得出，網(wǎng)絡(luò)釣魚(yú)電子郵件通常都會(huì)有以下幾個(gè)特征。

1.2.1 發(fā)信人偽造自己的身份

根據(jù)美國(guó)微軟研究院的分析顯示，大約有95%的“網(wǎng)絡(luò)釣魚(yú)”來(lái)自欺騙電子郵件或偽造電子郵件。用戶(hù)在收到電子郵件后，一般情況下首先會(huì)查看郵件的來(lái)源，來(lái)源的可靠性會(huì)直接影響用戶(hù)對(duì)郵件真實(shí)性的判斷。目前互聯(lián)網(wǎng)上普遍采用MIME標(biāo)準(zhǔn)的郵件格式，MIME郵件采用域保存郵件的重要信息，其中發(fā)信人名稱(chēng)和地址是保存在郵件頭的From域中，而通過(guò)郵件代理服務(wù)器或者Web腳本程序，可以對(duì)From域中的信息進(jìn)行修改，這些垃圾郵件，將發(fā)件人的郵箱和稱(chēng)謂偽造成一些知名的電子商務(wù)網(wǎng)站或者銀行，如“淘寶網(wǎng)”、“支付寶”、“中國(guó)工商銀行”等。釣魚(yú)者很善于將釣魚(yú)郵件偽裝得與真實(shí)機(jī)構(gòu)發(fā)送的郵件非常相似，并且在整體風(fēng)格上也抄襲官方的內(nèi)容，比如商標(biāo)或者網(wǎng)站的圖標(biāo)，使郵件與被仿冒的網(wǎng)站具有一定的相似性，使收信人放松警惕，從而一步一步走入釣魚(yú)者的陷阱。普通用戶(hù)很難識(shí)破這種偽造的身份。目前還有一種魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，其鎖定之對(duì)象并非一般個(gè)人，而是向特定人群或機(jī)構(gòu)發(fā)送電子郵件，目的是為了獲取對(duì)方高度敏感性資料，如商業(yè)機(jī)密等。

1.2.2 郵件的內(nèi)容中包含誘惑信息

社會(huì)工程學(xué)是網(wǎng)絡(luò)釣魚(yú)者常用的一種手段，它是一種通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益的手法。通過(guò)社會(huì)工程學(xué)技術(shù)愚弄用戶(hù)，釣魚(yú)郵件的內(nèi)容包含類(lèi)似“您中獎(jiǎng)了”、“超低價(jià)”、“免稅商品”;或“需要驗(yàn)證您的賬戶(hù)，請(qǐng)快速處理，否則賬戶(hù)會(huì)被凍結(jié)”等包含迫切需要用戶(hù)“更新”或“核實(shí)”的數(shù)據(jù)。收信人收到此類(lèi)信息后，通常都會(huì)因緊張、好奇或者貪婪等心理，對(duì)郵件中所提出的要求做出回復(fù)。社會(huì)工程學(xué)的手法其實(shí)并不包含較高的技術(shù)，但因?yàn)槠渲苯俞槍?duì)的是比較感性的郵件用戶(hù)本身，而用戶(hù)往往是網(wǎng)絡(luò)安全中較薄弱的一個(gè)環(huán)節(jié)，易受外界因素的影響，所以這種典型的欺騙手法仍然很容易得手。

1.2.3 郵件中包含虛假鏈接

網(wǎng)絡(luò)釣魚(yú)者通過(guò)偽造自己的身份，在郵件中發(fā)布誘惑信息，最終的目的就是千方百計(jì)地將用戶(hù)通過(guò)鏈接方式引誘到他精心設(shè)計(jì)的虛假網(wǎng)上銀行、虛假電子商務(wù)網(wǎng)站中，并獲取收信人的個(gè)人敏感信息，實(shí)施網(wǎng)絡(luò)欺詐。郵件中的鏈接往往有一定的隱蔽性，以達(dá)到欺騙收信人的目的。這些虛假鏈接主要有以下幾種形式:

1)相似域名

釣魚(yú)者在郵件中提供的鏈接地址，一般都是仿冒銀行、購(gòu)物等知名網(wǎng)站，人們對(duì)這些網(wǎng)站的網(wǎng)址都比較熟悉，所以釣魚(yú)者會(huì)使用看起來(lái)非常相似的域名，以達(dá)到以假亂真的目的。例如:工商銀行的真正網(wǎng)址是 www．icbc．com，而 www．1cbc．com 或者www．lcbc．com就是用數(shù)字1和小寫(xiě)字母l來(lái)仿冒小寫(xiě)字母i。網(wǎng)上還有用www．taobaoo．com仿冒淘寶網(wǎng)站www．taobao．com?？傊?，收信人稍不注意，就會(huì)誤認(rèn)為這些鏈接指向的是合法網(wǎng)站，從而點(diǎn)擊鏈接訪問(wèn)這些網(wǎng)站。

2)DNS域名與實(shí)際鏈接中的DNS域名不符

在網(wǎng)頁(yè)的源代碼中用a標(biāo)記來(lái)表示超鏈接，格式為＜a href=”real_link”＞show_link＜/a＞，頁(yè)面上顯示的網(wǎng)址為show_link，而該超鏈接實(shí)際指向的地址為real_link。假如郵件中包含這樣一段html代碼:

＜a href=“ http:∥amdel．cl/archivos/suncorp．html”＞

https:∥internetbanking．suncorpmetway．com．a(chǎn)u/sml/logon．a(chǎn)sp＜ /a＞

用戶(hù)看到的地址是https:∥internetbanking．suncorpmetway．com．a(chǎn)u/sml/logon．a(chǎn)sp，但是當(dāng)用戶(hù)點(diǎn)擊該鏈接時(shí)，進(jìn)入的卻是釣魚(yú)網(wǎng)站 http:∥amdel．cl/archivos/suncorp．html，而對(duì)普通用戶(hù)而言，卻渾然不知自己已進(jìn)入了釣魚(yú)網(wǎng)站。

3)用編碼策略偽裝超級(jí)鏈接

常見(jiàn)的url一般是由ASCII字符，或者其他易于識(shí)別的字符組成，比如中文等。瀏覽器支持對(duì)這些字符的編碼，編碼的方式是將字符轉(zhuǎn)換成十六進(jìn)制，并在前面加上“%”，編碼后的url由一串?dāng)?shù)字和%組成，用戶(hù)識(shí)別起來(lái)非常困難。同時(shí)瀏覽器還支持對(duì) url的部分編碼，例如 www．icbc．com．cn%2E%61%62%63，看似是工商銀行的網(wǎng)址，可實(shí)際指向的地址是 www．icbc．com．cn．a(chǎn)bc，是一個(gè)釣魚(yú)網(wǎng)站的網(wǎng)址。還有的用一些特殊字符(如在可見(jiàn)鏈接中使用@來(lái)迷惑用戶(hù))，使用戶(hù)相信這封郵件來(lái)自一個(gè)可信的發(fā)送端。例如:www．a(chǎn)bc．com@www．a(chǎn)abc．com，這個(gè)網(wǎng)址看起來(lái)很像www．a(chǎn)bc．com域名下的某個(gè)網(wǎng)頁(yè)，可實(shí)際上瀏覽器打開(kāi)的是@后面的地址。釣魚(yú)者通常會(huì)在合法網(wǎng)站的網(wǎng)址后面附上@符號(hào)蒙騙收件人。

1.2.4 郵件中出現(xiàn)惡意腳本和木馬攻擊

目前，出現(xiàn)了利用惡意腳本實(shí)施釣魚(yú)式欺詐攻擊，通過(guò)釣魚(yú)郵件中提供的嵌入腳本鏈接觸發(fā)，用戶(hù)點(diǎn)擊鏈接后，會(huì)進(jìn)入一個(gè)正常站點(diǎn)，而惡意腳本毫無(wú)覺(jué)察地在后臺(tái)下載木馬，捕獲用戶(hù)輸入的賬號(hào)和密碼，甚至用戶(hù)并不需要打開(kāi)郵件附件或者點(diǎn)擊鏈接，只要打開(kāi)了有惡意的電子郵件，就會(huì)運(yùn)行腳本文件，計(jì)算機(jī)被操縱，當(dāng)用戶(hù)下一次登錄合法的銀行網(wǎng)站時(shí)，自動(dòng)地被引導(dǎo)到一個(gè)釣魚(yú)網(wǎng)站。

2 網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)設(shè)計(jì)

2.1 系統(tǒng)功能設(shè)計(jì)

網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)的基本功能是從郵件服務(wù)器上下載大量的郵件，并進(jìn)行分析，提取出可疑的URL，從而過(guò)濾出具有網(wǎng)絡(luò)釣魚(yú)特征的郵件。本文對(duì)網(wǎng)絡(luò)釣魚(yú)電子郵件的特征作了詳細(xì)分析，郵件分析系統(tǒng)根據(jù)這些特征制定一系列判斷規(guī)則，依照判斷結(jié)果為每個(gè)特征項(xiàng)設(shè)置權(quán)值，所有特征項(xiàng)的權(quán)值之和為整個(gè)郵件的權(quán)值。最后將郵件的權(quán)值與預(yù)先設(shè)定的閥值相比較，來(lái)決定該郵件是否為釣魚(yú)郵件。

2.2 系統(tǒng)框架結(jié)構(gòu)

網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)主要包含郵件接收模塊、系統(tǒng)配置模塊和郵件分析模塊三部分，系統(tǒng)工作流程以及各部分之間的關(guān)系，如圖1所示。

圖1 網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)模塊結(jié)構(gòu)圖

2.3 系統(tǒng)功能模塊設(shè)計(jì)

2.3.1 郵件接收模塊

郵件接收模塊的主要功能是從郵件服務(wù)器上收取郵件，并保存為本地文件，為后期的郵件分析工作準(zhǔn)備數(shù)據(jù)。郵件接收過(guò)程遵循POP3協(xié)議，POP是Post Office Protocol的簡(jiǎn)稱(chēng)，即郵局協(xié)議，該協(xié)議主要用于支持客戶(hù)端遠(yuǎn)程管理服務(wù)器上的電子郵件，它規(guī)定怎樣將個(gè)人計(jì)算機(jī)連接到Internet郵件服務(wù)器以及如何下載電子郵件。

2.3.2 系統(tǒng)配置模塊

郵件分析模塊在工作的過(guò)程中，需要用到一些參數(shù)，這些參數(shù)都可以在系統(tǒng)配置模塊中進(jìn)行靈活設(shè)置，需要設(shè)置的參數(shù)主要如下:

1)關(guān)鍵字的設(shè)置

系統(tǒng)會(huì)自帶一些常用關(guān)鍵字，這些關(guān)鍵字都是在網(wǎng)絡(luò)釣魚(yú)郵件中經(jīng)常出現(xiàn)的敏感詞語(yǔ)，比如賬戶(hù)、密碼、銀行、過(guò)期、失效、凍結(jié)、激活、姓名、身份證、信用卡、注冊(cè)、中獎(jiǎng)，緊急處理等。用戶(hù)還可以根據(jù)不同情況添加或刪除關(guān)鍵字。例如，釣魚(yú)者可能會(huì)借助一些熱點(diǎn)問(wèn)題吸引收信人的注意，用戶(hù)可以在系統(tǒng)中及時(shí)增加相關(guān)的關(guān)鍵字，以提高系統(tǒng)分析的準(zhǔn)確性。

2)白名單的設(shè)置

系統(tǒng)的白名單涉及一些常見(jiàn)的金融、證券、購(gòu)物等釣魚(yú)者最容易仿冒的網(wǎng)站，這些網(wǎng)站的域名和對(duì)應(yīng)的IP地址段都保存在白名單中。用戶(hù)可以根據(jù)需要增加或者刪除需要保護(hù)的網(wǎng)站的信息;當(dāng)某些網(wǎng)站的域名或IP發(fā)生變動(dòng)時(shí)，需要及時(shí)更新信息。

3)權(quán)值的設(shè)置

系統(tǒng)分析郵件時(shí)主要是判斷郵件的特征項(xiàng)，每個(gè)特征項(xiàng)I都一個(gè)權(quán)值qi，如果特征項(xiàng)I被判斷為可疑，則其權(quán)值為qi，否則權(quán)值為0，所有特征項(xiàng)的權(quán)值之和為郵件的權(quán)值，郵件的權(quán)值代表郵件的可疑程度。用戶(hù)可以根據(jù)具體情況對(duì)特征項(xiàng)的權(quán)值大小進(jìn)行調(diào)整，以提高判斷的準(zhǔn)確性。

4)閥值的設(shè)置

閥值是決定郵件是否為網(wǎng)絡(luò)釣魚(yú)郵件的關(guān)鍵值，此值的合理性直接影響到系統(tǒng)分析的效果。如果郵件的權(quán)值大于閥值，系統(tǒng)就認(rèn)定該郵件為釣魚(yú)郵件，否則為正常郵件。閥值越高，判斷出的可疑郵件的數(shù)量會(huì)越少，準(zhǔn)確率越高，但是有可能發(fā)生漏判的情況;閥值越低，判斷出的可疑郵件的數(shù)量就越多，但也可能會(huì)出現(xiàn)誤判的情況，從而影響系統(tǒng)的效率。所以用戶(hù)可以根據(jù)使用情況和自己的需求，對(duì)閥值進(jìn)行調(diào)整。

2.3.3 郵件分析模塊

目前互聯(lián)網(wǎng)上的電子郵件普遍遵循MIME規(guī)范，MIME(Multipurpose Internet Mail Extensions)即多用途互聯(lián)網(wǎng)電子郵件擴(kuò)展，它通過(guò)定義一系列的格式規(guī)范和編碼方式，使得電子郵件可以包含聲音、圖像、動(dòng)畫(huà)等非US-ASCII字符。

郵件分析模塊的主要功能是對(duì)收取的電子郵件按照MIME規(guī)范進(jìn)行解析，還原出郵件內(nèi)容，并提取其特征項(xiàng)進(jìn)行可疑性判斷。本文對(duì)分析算法不做具體的介紹，只對(duì)各個(gè)特征項(xiàng)以及判斷規(guī)則進(jìn)行描述。

1)發(fā)件人地址

如果發(fā)件人郵箱的域名與白名單中某個(gè)域名相同，則檢查郵件的發(fā)送服務(wù)器IP地址，如果該地址與白名單中所指向的地址相同，則權(quán)值為0，否則權(quán)值為 q1。

2)郵件主題

如果郵件主題包含系統(tǒng)中所設(shè)置的關(guān)鍵字，則權(quán)值為q2，否則權(quán)值為0。

3)郵件中的文本信息

如果郵件的文本信息包含系統(tǒng)中所設(shè)置的關(guān)鍵字，則權(quán)值為q3，否則權(quán)值為0。

4)郵件中的超鏈接

對(duì)郵件中的超鏈接進(jìn)行判斷，如果出現(xiàn)下列任意一種情況，則權(quán)值為q4，否則權(quán)值為0。

①超鏈接中的地址為十進(jìn)制形式、IP地址形式、或者出現(xiàn)了%或@;

②超鏈接中的真實(shí)鏈接地址與顯示地址不一致;

③超鏈接中的地址與白名單中的某個(gè)域名相似。

5)郵件中的網(wǎng)頁(yè)標(biāo)簽

如果郵件的HTML部分包含form，action，post，submit或者script標(biāo)簽，則權(quán)值為q5，否則權(quán)值為0。所有的特征項(xiàng)判斷完畢后，將各個(gè)權(quán)值相加，得到郵件的權(quán)值，并與閥值相比較，大于閥值則郵件為可疑郵件，否則為正常郵件。

2.4 系統(tǒng)測(cè)試及結(jié)果分析

2.4.1 測(cè)試環(huán)境

本文從郵件服務(wù)器上隨機(jī)選擇200封郵件作為測(cè)試樣本，對(duì)網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)的性能進(jìn)行測(cè)試。測(cè)試的指標(biāo)主要有網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)的判斷準(zhǔn)確率，誤判率以及時(shí)間效率。

由于測(cè)試樣本的規(guī)模不是很大，所以將閥值設(shè)置得較低，期望誤判率為0，判斷準(zhǔn)確率達(dá)到70%，平均每封郵件的判斷時(shí)間低于1秒。

2.4.2 系統(tǒng)參數(shù)的配置

1)關(guān)鍵字設(shè)置如下:

銀行、賬戶(hù)、密碼、過(guò)期、失效、激活、姓名、身份證、信用卡、凍結(jié)、注冊(cè)、中獎(jiǎng)、緊急。

2)白名單設(shè)置如下:

3)權(quán)值設(shè)置如下:

4)閥值設(shè)置為1

2.4.3 測(cè)試結(jié)果分析

網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)通過(guò)內(nèi)容分析，判斷出的可疑郵件為7封，其中5封中包含釣魚(yú)信息，2封為廣告型的垃圾郵件，所以判斷的準(zhǔn)確率約為71.4%;同時(shí)漏判1封，漏判率約為16.7%;判斷時(shí)間為2分50秒，平均每封郵件的判斷時(shí)間為0.85秒。通過(guò)結(jié)果分析可以看出，網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)的判斷準(zhǔn)確率和時(shí)間效率均達(dá)到了預(yù)期的目標(biāo)，而漏判率雖然沒(méi)有達(dá)到預(yù)期的目標(biāo)，但可以通過(guò)修改關(guān)鍵字和白名單的設(shè)置來(lái)降低。

3 結(jié)論

隨著網(wǎng)絡(luò)釣魚(yú)數(shù)量的激增，電子商務(wù)的網(wǎng)絡(luò)安全面臨前所未有的挑戰(zhàn)。本文詳盡設(shè)計(jì)和實(shí)現(xiàn)了網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)，通過(guò)該系統(tǒng)可實(shí)現(xiàn)對(duì)郵件內(nèi)容的分析，提取出可疑的URL，并能較準(zhǔn)確地判斷出郵件是否為網(wǎng)絡(luò)釣魚(yú)郵件，為追查郵件來(lái)源、屏蔽釣魚(yú)網(wǎng)站提供了數(shù)據(jù)支持，為電子商務(wù)的安全提供了技術(shù)保障。同時(shí)，網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)在運(yùn)行中還需要大量參數(shù)的支持，如關(guān)鍵字，權(quán)值，閥值等，而參數(shù)的設(shè)置直接影響到系統(tǒng)的效率，所以還需要在實(shí)際運(yùn)行中，根據(jù)需求進(jìn)行適當(dāng)?shù)男薷模允瓜到y(tǒng)的效率和準(zhǔn)確率達(dá)到最佳值。網(wǎng)絡(luò)釣魚(yú)郵件分析系統(tǒng)作為一種檢測(cè)網(wǎng)絡(luò)釣魚(yú)郵件的有效工具，必將在打擊網(wǎng)絡(luò)釣魚(yú)攻擊中發(fā)揮重要的作用。

［1］郭敏哲，袁津生，王雅超．網(wǎng)絡(luò)釣魚(yú)Web頁(yè)面檢測(cè)算法［J］．計(jì)算機(jī)工程，2008(10)．

［2］陳涓，郭傳雄．網(wǎng)絡(luò)釣魚(yú)攻擊的在線檢測(cè)及防治［J］．解放軍理工大學(xué)學(xué)報(bào)，2007(4)．

［3］盧秉亮，王玉湘，許莉．基于 WINDOWS環(huán)境POP3協(xié)議郵件接收客戶(hù)端的實(shí)現(xiàn)［J］．沈陽(yáng)航空工業(yè)學(xué)院學(xué)報(bào)，2006(6)．

［4］胡燕，滕桂法，董素芬，等．基于MIME郵件結(jié)構(gòu)的郵件內(nèi)容提取技術(shù)的研究［J］．現(xiàn)代圖書(shū)情報(bào)技術(shù)，2008(5)．

［5］周文林．網(wǎng)絡(luò)釣魚(yú)更趨猖獗［N］．經(jīng)濟(jì)參考報(bào)，2011－04－26(7)．

［6］李佟鴻，麥永浩．網(wǎng)絡(luò)釣魚(yú)犯罪技術(shù)分析與對(duì)策研究［J］．信息網(wǎng)絡(luò)安全，2011(4)．

［7］黎其武，武良軍．網(wǎng)絡(luò)釣魚(yú)犯罪問(wèn)題研究［J］．信息網(wǎng)絡(luò)安全，2011(4)．

［8］周?chē)?guó)民，陶永紅，呂鐘煒．國(guó)外“網(wǎng)絡(luò)釣魚(yú)”技術(shù)原理與方法初探［J］．信息網(wǎng)絡(luò)安全，2009(8)．