池亞平，凌志婷+，許 萍，楊建喜

(1.北京電子科技學(xué)院 通信工程系，北京 100070；2.中國科學(xué)院信息工程研究所 中科院網(wǎng)絡(luò)測評技術(shù)重點(diǎn)實(shí)驗(yàn)室，北京 100093)

0 引 言

近年來，隨著系統(tǒng)防御能力和用戶安全意識的提高，釣魚攻擊者的攻擊方法也不斷推陳出新，魚叉式網(wǎng)絡(luò)釣魚成為一種新式的、有很強(qiáng)針對性的網(wǎng)絡(luò)釣魚攻擊方法。統(tǒng)計(jì)數(shù)據(jù)顯示，在大量的數(shù)據(jù)泄露事件與社會工程學(xué)事件中，涉及到魚叉式網(wǎng)絡(luò)釣魚攻擊的約占92%[1,2]。

美國加州大學(xué)伯克利分校和勞倫斯伯克利國家實(shí)驗(yàn)室(Lawrence Berkeley national laboratory，LBNL)的幾位安全研究人員，提出了一種在企業(yè)環(huán)境中對有憑證的魚叉式網(wǎng)絡(luò)釣魚攻擊的檢測方法[3]，該方法分析了魚叉式網(wǎng)絡(luò)釣魚攻擊的特點(diǎn)及攻擊過程中的兩個關(guān)鍵階段，設(shè)計(jì)了一組新的信譽(yù)特征，隨后引入新的異常檢測技術(shù)(directed anomaly scoring，DAS)，以非參數(shù)的方式運(yùn)行，不需要任何標(biāo)記的訓(xùn)練數(shù)據(jù)，利用信譽(yù)特征來檢測攻擊。研究人員與LBNL的安全團(tuán)隊(duì)進(jìn)行合作，評估了近4年(2013年至2017年)的電子郵件數(shù)據(jù)(約3.7億個電子郵件)以及相關(guān)的HTTP日志，驗(yàn)證了其具有檢測有憑證的魚叉式網(wǎng)絡(luò)釣魚攻擊的功能。

本文針對魚叉式網(wǎng)絡(luò)釣魚這種攻擊行為，對第26屆USENIX安全會議上研究人員提出的一種檢測檢測方法[3]，及應(yīng)用該方法的檢測器(本文稱之為黑箱粉碎機(jī))的結(jié)構(gòu)、檢測指標(biāo)和應(yīng)用情況進(jìn)行了深入分析，并與傳統(tǒng)的魚叉式網(wǎng)絡(luò)釣魚檢測方法進(jìn)行對比，本文所做的總結(jié)和分析工作，將對黑箱粉碎機(jī)的研究和應(yīng)用有一定的參考價(jià)值。

1 魚叉式網(wǎng)絡(luò)釣魚攻擊分析

網(wǎng)絡(luò)釣魚是“社會工程攻擊”的一種形式，攻擊者通過復(fù)制目標(biāo)網(wǎng)站造成視覺混淆(網(wǎng)絡(luò)釣魚攻擊定義參見文獻(xiàn)[4])，再使用電子郵件作為載體向用戶發(fā)送貌似來自合法企業(yè)或機(jī)構(gòu)的欺騙性電子郵件。因?yàn)獒烎~網(wǎng)站與目標(biāo)網(wǎng)站非常相似，用戶容易受騙，在釣魚網(wǎng)站上回復(fù)個人身份數(shù)據(jù)或財(cái)務(wù)賬戶憑證，或通過鏈接下載惡意軟件，導(dǎo)致用戶個人信息被泄露或者販賣，更有甚者造成嚴(yán)重的經(jīng)濟(jì)損失，屬于犯罪欺詐行為。

1.1 攻擊流程

魚叉式網(wǎng)絡(luò)釣魚攻擊流程如圖1所示，攻擊分為兩個階段：第一階段為誘導(dǎo)階段(lure stage)，如圖1的步驟1-步驟4，攻擊者建立釣魚基礎(chǔ)設(shè)施(如釣魚網(wǎng)站)，通過仿冒合法網(wǎng)站或者在訪問量高的網(wǎng)站上托管釣魚網(wǎng)站，使之在視覺上具有迷惑性，再基于對攻擊目標(biāo)喜好、工作等的調(diào)查制作誘餌，如以易受信任的身份編輯攜帶釣魚網(wǎng)站鏈接或附件的電子郵件，發(fā)送誘餌給攻擊目標(biāo)，引誘其訪問釣魚網(wǎng)站；第二階段為利用階段(exploit stage)，如圖1步驟5-步驟6，攻擊者獲得目標(biāo)用戶的信任后，利用這種信任誘導(dǎo)收信人執(zhí)行危險(xiǎn)操作，如輸入個人信息或下載惡意軟件，攻擊者利用用戶的隱私在網(wǎng)上銀行或者用戶所在企業(yè)獲得非法利益。

圖1 網(wǎng)絡(luò)釣魚攻擊流程

1.2 攻擊形式

廣撒網(wǎng)式的網(wǎng)絡(luò)釣魚攻擊沒有針對攻擊目標(biāo)進(jìn)行個性化定制，而魚叉式網(wǎng)絡(luò)釣魚與之不同，在發(fā)起攻擊前的誘導(dǎo)階段，攻擊者會調(diào)查并收集攻擊目標(biāo)的資料，包括攻擊目標(biāo)的業(yè)務(wù)、工作、興趣、生活等方面，在定制好個性化的誘餌后向目標(biāo)發(fā)送欺騙性電子郵件，使受害者在完全沒有戒備心的情況下執(zhí)行危險(xiǎn)操作。從攻擊者的角度來看，魚叉式網(wǎng)絡(luò)釣魚需要很少的技術(shù)復(fù)雜性，不依賴于任何特定的漏洞，躲開了技術(shù)防御，并且常常獲得成功；從防守者的角度來看，由于電子郵件為受害者“量身定做”，受害者更容易受到欺騙，而攻擊者有意地將他們的攻擊郵件做成合法的，傳統(tǒng)信譽(yù)和垃圾郵件過濾往往檢測不出其中包含的惡意內(nèi)容，所以魚叉式網(wǎng)絡(luò)釣魚很難抵擋[5]。

魚叉式網(wǎng)絡(luò)釣魚攻擊有兩種形式，第一種為惡意附件攻擊，即欺騙用戶下載打開電子郵件中的惡意附件進(jìn)行攻擊，但是實(shí)際應(yīng)用中實(shí)現(xiàn)成功攻擊的很少。第二種為憑證竊取攻擊，即通過電子郵件誘導(dǎo)收件人點(diǎn)擊鏈接，然后在生成的網(wǎng)頁上輸入個人信息憑證。其中，憑證竊取攻擊為研究重點(diǎn)，在UNSIX會議中提出的檢測方法就是針對這種攻擊，因?yàn)檫@一攻擊相對漏洞利用類攻擊要容易，如果涉及惡意附件，即便目標(biāo)已經(jīng)中招，積極修復(fù)和其它安全機(jī)制會提供防護(hù)，而一旦用戶憑證被得到，攻擊者就只需誘使目標(biāo)暴露出數(shù)據(jù)即可獲得利益。

1.3 誘導(dǎo)階段攻擊者分類

一封電子郵件主要包含郵件頭、正文、附件3個部分，其中郵件頭由多個預(yù)先定義的格式化字段組成，如發(fā)件人(From)、收件人(To)、主題(Subject)、郵件ID(Message ID)等，其中郵件ID包括電子郵件名稱和地址。

在釣魚攻擊的誘導(dǎo)階段中，攻擊者有4類：第一類為冒用電郵地址攻擊者(address spoofer)，即利用受信任個人的電子郵件地址作為攻擊電子郵件的“From”字段；第二類為冒用電郵名稱攻擊者(name spoofer)，即偽造看起來可信的電子郵件名稱而不偽造電子郵件地址，這類攻擊者規(guī)避了電子郵件安全機(jī)制；第三類為未知攻擊者(pre-viously unseen attacker)，即同時(shí)偽造電子郵件名稱和地址，看起來類似于真實(shí)用戶和真實(shí)地址；第四類為橫向攻擊者(lateral attacker)，即從已經(jīng)受到攻擊者攻擊的受信賬戶向其他用戶發(fā)送釣魚郵件。針對第一類攻擊者，因?yàn)橛蛎荑€識別郵件標(biāo)準(zhǔn)(domain keys identified mail，DKIM)和域名消息驗(yàn)證報(bào)告一致性協(xié)議(domain-based message authentication reporting and conformance，DMARC)之類的電子郵件安全機(jī)制會處理，后3類攻擊者為研究重點(diǎn)。

2 黑箱粉碎機(jī)的檢測機(jī)制分析

黑箱粉碎機(jī)是在企業(yè)環(huán)境中提出的一種緩解有憑證的魚叉式網(wǎng)絡(luò)釣魚風(fēng)險(xiǎn)的新方法，利用網(wǎng)絡(luò)流量日志和機(jī)器學(xué)習(xí)的一套系統(tǒng)，可以在用戶點(diǎn)擊嵌入電子郵件中的可疑URL時(shí)，實(shí)時(shí)觸發(fā)警報(bào)[3]。

2.1 總體結(jié)構(gòu)

黑箱粉碎機(jī)的總設(shè)計(jì)如圖2所示，分為特征提取(feature extraction)、夜間評分(nightly scoring)、實(shí)時(shí)報(bào)警生成(real-time alert generation)3個部分。

圖2 黑箱粉碎機(jī)總設(shè)計(jì)

第一部分特征提取，包括3個子探測器(sub-detector)，利用來自公司網(wǎng)絡(luò)的3種日志為電子郵件中的每個URL提取和保存3個特征向量(feature vectors，F(xiàn)V)，每個子探測器有一個FV，網(wǎng)絡(luò)流量日志包括簡單郵件傳輸協(xié)議日志(simple mail transfer protocol logs，SMTP Logs)、網(wǎng)絡(luò)入侵檢測系統(tǒng)日志(network intrusion detection system logs，NIDS Logs)和輕量目錄訪問協(xié)議日志(lightweight directory access protocol logs，LDAP Logs)，使用網(wǎng)絡(luò)流量日志可以記錄在電子郵件中的URL上的所有點(diǎn)擊，子檢測器提取的特征向量作為夜間評分部分和實(shí)時(shí)報(bào)警生成部分的輸入。

第二部分為夜間評分，每天晚上，收集每個子探測器過去一個月的點(diǎn)擊電子郵件中的URL事件，并對其特征向量FV進(jìn)行異常評分(DAS)，將該月份最可疑FV存儲在Comparison Set集合中。

第三部分為實(shí)時(shí)報(bào)警生成，觀察實(shí)時(shí)網(wǎng)絡(luò)流量，審查點(diǎn)擊的電子郵件URL事件，將每個子探測器的實(shí)時(shí)點(diǎn)擊特征向量FV與Comparison Set進(jìn)行比較，并根據(jù)需要為安全團(tuán)隊(duì)生成警報(bào)。

2.2 信譽(yù)特征

魚叉式網(wǎng)絡(luò)釣魚的攻擊對象不同于常規(guī)網(wǎng)絡(luò)釣魚的任意用戶，而是專門針對擁有某種特權(quán)訪問或能力的用戶。根據(jù)這種選擇性的目標(biāo)和動機(jī)黑箱粉碎機(jī)采用一種新的分類法，在兩個維度上表征魚叉式網(wǎng)絡(luò)釣魚攻擊，這兩個維度也對應(yīng)于魚叉式網(wǎng)絡(luò)釣魚攻擊的兩個關(guān)鍵階段。

黑箱粉碎機(jī)對網(wǎng)絡(luò)釣魚攻擊的兩個關(guān)鍵階段制定了兩類信譽(yù)特征：第一類為域名信譽(yù)特征(domain reputation features)，描述了用戶根據(jù)域名訪問該URL的可能性，反映了域名的可信程度，可以利用該特征捕獲利用階段的特征向量；第二類為發(fā)信人信譽(yù)特征(domain reputation features)，描述了該電子郵件的發(fā)送者是否屬于魚叉式網(wǎng)絡(luò)攻擊的3種方式之一，反映了發(fā)信人的可信程度，可以利用該特征捕獲誘導(dǎo)階段的特征向量。

2.3 標(biāo)量選取及定向異常評分技術(shù)(DAS)

因?yàn)楣粽卟捎貌煌墓舴绞?，發(fā)信人的信譽(yù)特征也不同，黑箱粉碎機(jī)根據(jù)3種攻擊方式采用3個子探測器，每個子檢測器提取包含4個標(biāo)量值(兩個用于域名信譽(yù)，兩個用于發(fā)信人信譽(yù))的一個特征向量，見表1。

表1 子探測器提取標(biāo)量

針對域名信譽(yù)特征，如果實(shí)驗(yàn)環(huán)境中很少有用戶信任鏈接域名并訪問其URL，將該鏈接視為可疑；如果直到目前沒有任何員工訪問過某域名的網(wǎng)址，將訪問該域名的URL視為有風(fēng)險(xiǎn)。

標(biāo)量CURL,計(jì)算先前訪問任何具有與點(diǎn)擊的URL相同的完全限定域名(FQDN)(fully qualified domain name)的URL的數(shù)量(CURL)，該標(biāo)量來自NIDS日志的統(tǒng)計(jì)數(shù)據(jù)。

標(biāo)量Td，計(jì)算包含某域名URL的電子郵件最初到達(dá)實(shí)驗(yàn)環(huán)境中的時(shí)間(Temail)與該實(shí)驗(yàn)環(huán)境中任何用戶首次點(diǎn)擊訪問該域名的時(shí)間(T1stvisit)之差，如式(1)所示

Td=Temail-T1stvisit

(1)

針對發(fā)件人信譽(yù)特征，冒用電郵名稱攻擊者冒充受信任用戶的電子郵件名稱但不使用該名稱下的真實(shí)電子郵件地址，所以魚叉式網(wǎng)絡(luò)釣魚郵件發(fā)件人的電子郵件地址與其名稱下的任何歷史電子郵件地址均不匹配。攻擊者冒充的名稱與其他受信任用戶相關(guān)聯(lián)，經(jīng)常用來與其他用戶發(fā)送電子郵件的名稱可信度會更高。

標(biāo)量Dreceive，計(jì)算收到與待評分電子郵件具有相同名稱和地址的電子郵件日期Dpast與當(dāng)前日期Dcurrent的天數(shù)差，如式(2)所示

Dreceive=Dcurrent-Dpast

(2)

標(biāo)量Cweek，計(jì)算滿足以下條件的總周數(shù)：利用待評分電子郵件名稱向其他用戶發(fā)送電子郵件，并且在一周中的每個工作日至少發(fā)送一封電子郵件，Cweek衡量了該電子郵件名稱字段的可信度。

未知攻擊者選擇類似已知或權(quán)威的實(shí)體電子郵件名稱和地址，但該名稱地址同現(xiàn)有實(shí)體的真實(shí)值不完全匹配，攻擊者將設(shè)法避免釣魚攻擊檢測。而每當(dāng)攻擊者使用欺騙性身份時(shí)，與他進(jìn)行互動的用戶很可能會意識到對方使用偽造姓名或電子郵件地址并進(jìn)行報(bào)告，攻擊者會承擔(dān)巨大風(fēng)險(xiǎn)，因此，攻擊者為避免身份暴露，很少使用欺騙性身份。

標(biāo)量Dname，計(jì)算以待評分電子郵件名稱發(fā)送兩封電子郵件的相差的天數(shù)。

標(biāo)量Daddress，計(jì)算以待評分電子郵件地址發(fā)送兩封電子郵件的相差的天數(shù)。

橫向攻擊者利用受控制用戶賬戶向其他用戶發(fā)送釣魚郵件(不使用任何欺騙手段)，當(dāng)其他用戶點(diǎn)擊電子郵件中的鏈接時(shí)，如果電子郵件是由受控制賬戶發(fā)送的，通過查看LDAP日志，可以確認(rèn)該賬戶是否使用了以前從未使用過的IP地址登錄，并發(fā)送了該電子郵件。如果是這樣，子探測器計(jì)算IP地址的地理位置城市，例如城市X，然后提取城市X的兩個標(biāo)量。

標(biāo)量Cuser，從X城市登錄的不同用戶的數(shù)量。

標(biāo)量Ctime，該受控制用戶賬戶以相同IP地址在城市X的先前登錄次數(shù)。

黑箱粉碎機(jī)引入了定向異常評分技術(shù)(DAS)，用于從未標(biāo)記的數(shù)據(jù)集中自動選擇最可疑的事件，DAS按照事件的可疑性來對事件進(jìn)行評分，再按照評分進(jìn)行排序，所有的事件排序完成后，DAS只選擇N個最可疑(排名最高的)的事件，其中N是安全團(tuán)隊(duì)的警報(bào)預(yù)算，即能接受的預(yù)計(jì)警報(bào)數(shù)。

2.4 應(yīng)用情況

魚叉式網(wǎng)絡(luò)釣魚攻擊比較少見，美國安全研究人員在測評黑箱粉碎機(jī)的應(yīng)用時(shí)，利用收集到的企業(yè)數(shù)據(jù)集包含3.7億電子郵件——約4年的量，但只有10例已知的魚叉式網(wǎng)絡(luò)釣魚案例。通過分析LBNL的網(wǎng)絡(luò)流量日志提取特征向量，包括LBNL的SMTP日志、NIDS日志和LDAP日志，其中，SMTP日志記錄公司有關(guān)組織員工(包括兩名員工之間的電子郵件)發(fā)送的所有電子郵件的信息；NIDS日志記錄有關(guān)HTTP GET和POST請求的信息，包括訪問的完整URL；LDAP日志記錄用戶在公司的電子郵件地址，登錄時(shí)間以及用戶進(jìn)行身份驗(yàn)證的IP地址。研究人員配置警報(bào)預(yù)算為10個，從LBNL的3.7億個電子郵件數(shù)據(jù)集中對其進(jìn)行了評估，成功識別了19個釣魚活動中的17個，占89%，平均假陽性率(false positive rate)為0.004%[3]，驗(yàn)證了該方法的有效性。

3 與傳統(tǒng)網(wǎng)絡(luò)釣魚檢測方法的對比分析

網(wǎng)絡(luò)釣魚檢測技術(shù)通過提取釣魚攻擊行為的某些特征，利用這些特征進(jìn)行對比分析，識別釣魚攻擊，實(shí)現(xiàn)對該攻擊行為的防范與打擊。從2008年到2016年Web of science數(shù)據(jù)庫檢索統(tǒng)計(jì)的有關(guān)釣魚檢測文獻(xiàn)的發(fā)表數(shù)目如圖3所示，可見對網(wǎng)絡(luò)釣魚攻擊的傳統(tǒng)檢測方法進(jìn)行對比分析的綜述類文章很少。雖然現(xiàn)在已經(jīng)有許多關(guān)于網(wǎng)絡(luò)釣魚檢測技術(shù)的研究和實(shí)現(xiàn)，但是因?yàn)獒烎~網(wǎng)站有高偽裝性、強(qiáng)時(shí)效性、短存活性和廣泛攻擊目標(biāo)等特點(diǎn)[6]，而且攻擊者不斷改進(jìn)攻擊手段和策略，目前仍然無法從根本上對所有的網(wǎng)絡(luò)釣魚攻擊進(jìn)行有效地檢測和防御。

圖3 釣魚檢測相關(guān)文獻(xiàn)發(fā)表數(shù)目

3.1 傳統(tǒng)網(wǎng)絡(luò)釣魚攻擊檢測方法分析

對網(wǎng)絡(luò)釣魚攻擊進(jìn)行檢測的方法根據(jù)檢測內(nèi)容可分為：基于傳播途徑的分析、基于網(wǎng)站入口的分析和基于網(wǎng)站內(nèi)容的分析。傳播途徑包括電子郵件、電話、社交平臺、短信等，其中電子郵件為主要檢測的傳播途徑，例如文獻(xiàn)[7]；網(wǎng)站入口為URL，攻擊者為增強(qiáng)視覺迷惑性，往往與常見標(biāo)準(zhǔn)的URL相似，在網(wǎng)絡(luò)釣魚攻擊的檢測方法中，對URL進(jìn)行分析的使用率很高，但URL并不是判定釣魚網(wǎng)站的唯一標(biāo)準(zhǔn)，所以很少有人在檢測過程中只單純分析URL，而經(jīng)常與基于網(wǎng)站內(nèi)容分析結(jié)合使用，例如文獻(xiàn)[8]；網(wǎng)站的內(nèi)容包括網(wǎng)頁圖標(biāo)的相似性、Favicon的相似性、CSS架構(gòu)的相似性、布局的相似性和網(wǎng)頁整體視覺的相似性，及對網(wǎng)頁底層HTML的分析，例如文獻(xiàn)[9]。

根據(jù)檢測的技術(shù)手段可分為：基于黑名單的釣魚檢測、啟發(fā)式釣魚檢測以及基于相似性的釣魚檢測?；诤诿麊蔚尼烎~檢測通過不斷更新已知網(wǎng)絡(luò)釣魚的URL、IP地址、域名、證書或者關(guān)鍵詞等形成的黑名單，根據(jù)黑名單進(jìn)行釣魚網(wǎng)站過濾，例如劉少彬等[10]探討了基于網(wǎng)絡(luò)蜘蛛和LD算法的釣魚網(wǎng)站檢測方法，該方法基于網(wǎng)絡(luò)蜘蛛可以無限抓取鏈接這一功能，以真實(shí)URL鏈接為基準(zhǔn)，用網(wǎng)絡(luò)蜘蛛進(jìn)行抓取相似URL作為黑名單，再用LD算法對網(wǎng)頁內(nèi)容的相似度進(jìn)行分析。啟發(fā)式釣魚檢測利用機(jī)器學(xué)習(xí)的方法，首先提取一部分釣魚網(wǎng)站的特征作為訓(xùn)練集，再利用分類或者聚類機(jī)器學(xué)習(xí)算法設(shè)置閾值，訓(xùn)練機(jī)器對可疑網(wǎng)站所提取的特征進(jìn)行識別，從而判斷是否為網(wǎng)絡(luò)釣魚攻擊，文獻(xiàn)[11]提出檢測URL異常特征的技術(shù)，從釣魚網(wǎng)站URL中提取出關(guān)于結(jié)果和詞匯的特征共12個，作為訓(xùn)練集，然后用SVM(support vector machine)進(jìn)行訓(xùn)練，根據(jù)URL特征得出網(wǎng)站是否為釣魚網(wǎng)站。基于圖像相似性的釣魚檢測關(guān)注的是頁面或應(yīng)用在視覺上的相似度，而對底層代碼與特征并不關(guān)心，例如盧康等[12]提出的基于圖像相似性的釣魚網(wǎng)站檢測方法，該方法基于Selenium圖片獲取技術(shù)獲取要保護(hù)的官方網(wǎng)站在圖片，利用感知哈希算法，對該網(wǎng)站建立“感知哈希指紋庫”，當(dāng)新的網(wǎng)站出現(xiàn)時(shí)通過與庫的對比來判斷是否為釣魚網(wǎng)站。

3.2 黑箱粉碎機(jī)與傳統(tǒng)檢測方法的對比

將網(wǎng)絡(luò)釣魚攻擊的傳統(tǒng)檢測方法應(yīng)用在對有憑證的魚叉式網(wǎng)絡(luò)釣魚的檢測上，有以下4種局限性：

局限一，對于魚叉式網(wǎng)絡(luò)釣魚攻擊的特征值的真實(shí)分布情況并不能確定，參數(shù)的選擇也具有盲目性，手動設(shè)置特征閾值會導(dǎo)致錯過攻擊?；诤诿麊蔚尼烎~檢測由于釣魚網(wǎng)站的短存活性，釣魚攻擊者會經(jīng)常更換IP地址和URL，黑名單需要實(shí)時(shí)更新，但是實(shí)際應(yīng)用中記錄在黑名單有時(shí)間延遲，大約47%～83%的網(wǎng)絡(luò)釣魚在被發(fā)現(xiàn)12 h之后才能加入黑名單，但事實(shí)上，63%的網(wǎng)絡(luò)釣魚行為會在發(fā)生后的2 h內(nèi)結(jié)束[13]，這一延遲極大地影響了基于黑名單檢測的準(zhǔn)確率，無法有效防御0-hour釣魚攻擊及基于相似性的釣魚檢測。

局限二，魚叉式網(wǎng)絡(luò)釣魚樣本的相對稀少，很難集合成一個足夠大的訓(xùn)練集，并且在惡意樣本和良性樣本的分類上高度不平衡，不利于有監(jiān)督學(xué)習(xí)。啟發(fā)式釣魚檢測可以有效防御0-hour釣魚攻擊，解決了基于黑名單檢測的局限性，但是需要有機(jī)器學(xué)習(xí)的過程，需要有大量的特征作為訓(xùn)練集，魚叉式網(wǎng)絡(luò)釣魚樣本少，不能提供足夠大的數(shù)據(jù)，應(yīng)用啟發(fā)式釣魚檢測會增大誤判率和錯判率。

局限三，在許多安全設(shè)置中，標(biāo)量特征通常具有其數(shù)值的方向性，例如，一個域的訪問次數(shù)越少，越是可疑，而傳統(tǒng)的檢測技術(shù)不能將不對稱或方向性的概念納入其計(jì)算。在應(yīng)用啟發(fā)式釣魚檢測方法時(shí)，特征的選擇和閾值的設(shè)置主要來自于對網(wǎng)絡(luò)釣魚的統(tǒng)計(jì)特征和人工總結(jié)，有很強(qiáng)的主觀性，而許多合法的內(nèi)容的某些特征也符合設(shè)定的閾值導(dǎo)致誤判。

局限四，事件即使只有一個或幾個的特征是統(tǒng)計(jì)學(xué)異常的，傳統(tǒng)檢測技術(shù)就將該事件視為攻擊，造成警報(bào)預(yù)算的浪費(fèi)?；趫D像相似性的釣魚檢測只設(shè)定相似度的閾值為判斷標(biāo)準(zhǔn)，該方法在假設(shè)釣魚網(wǎng)站與合法網(wǎng)站有相似性的情況下進(jìn)行，具有一定的盲目性，對于只是部分復(fù)制合法網(wǎng)站(小于50%)的釣魚網(wǎng)站，基于圖像相似性的方法將無法成功檢測[14]，也可能存在合法網(wǎng)頁與其它合法網(wǎng)頁有極大的相似性，造成誤判。

魚叉式網(wǎng)絡(luò)釣魚黑箱粉碎機(jī)針對以上局限性具有明顯的優(yōu)勢，在實(shí)時(shí)性上，實(shí)時(shí)警報(bào)系統(tǒng)可以起到實(shí)時(shí)監(jiān)控的作用，在數(shù)據(jù)上并不需要形成釣魚網(wǎng)站訓(xùn)練集，只需要網(wǎng)絡(luò)流量日志，在特征值的選取與分析上，3個子探測器提取的4個標(biāo)量有關(guān)收信人信譽(yù)和發(fā)件人信譽(yù)，并采用異常評分標(biāo)準(zhǔn)進(jìn)行夜間評分，具有客觀性和方向性，在警報(bào)上可以根據(jù)需求制定警報(bào)預(yù)算，減少浪費(fèi)。

4 結(jié)束語

本文基于對魚叉式網(wǎng)絡(luò)釣魚攻擊的概述，分析了魚叉式網(wǎng)絡(luò)釣魚黑箱粉碎機(jī)的總體結(jié)構(gòu)及關(guān)鍵技術(shù)，并與網(wǎng)絡(luò)釣魚攻擊的傳統(tǒng)檢測方法進(jìn)行比較，魚叉式網(wǎng)絡(luò)釣魚黑箱粉碎機(jī)提出了新的信譽(yù)特征和標(biāo)量，引入了新的異常檢測技術(shù)，與傳統(tǒng)方法對比具有明顯的優(yōu)勢，為檢測憑證魚叉式網(wǎng)絡(luò)釣魚攻擊開拓了實(shí)踐途徑，但其也存在有限的可見性、有限的報(bào)警預(yù)算、攻擊者逃避策略應(yīng)對不力、受歷史數(shù)據(jù)限制等局限性，未來的研究可以探索解決這些局限性，并進(jìn)一步設(shè)計(jì)有效的預(yù)警機(jī)制，作為魚叉式網(wǎng)絡(luò)釣魚攻擊預(yù)防性防御的一部分。