洪 賡 楊 森 葉 瀚 楊哲慜 楊 珉

(復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院 上海 200433)

網(wǎng)絡(luò)犯罪，是指使用計(jì)算機(jī)、網(wǎng)絡(luò)或相關(guān)硬件設(shè)備促成或?qū)嵤┑娜魏畏缸颷1].廣義上，世界上第1次記載的網(wǎng)絡(luò)相關(guān)犯罪可以追溯至1834年2名劫匪侵入法國電報(bào)系統(tǒng)并從股票市場竊取信息[2].伴隨著移動生態(tài)的快速發(fā)展，人民的生活數(shù)字化程度逐漸提高，越來越多的生產(chǎn)生活逐漸轉(zhuǎn)移到網(wǎng)絡(luò)空間進(jìn)行，網(wǎng)絡(luò)犯罪也隨之更加頻繁發(fā)生，如2016年美國56名嫌疑人冒充國稅局或移民工作人員進(jìn)行電信網(wǎng)絡(luò)詐騙，導(dǎo)致1.5萬人上當(dāng)受騙，涉案金額超過3億美元[3].近年來，國民生活逐步從線下轉(zhuǎn)移到線上進(jìn)行，網(wǎng)絡(luò)犯罪也隨之愈演愈烈：2019年僅在俄羅斯就發(fā)生了一萬多起新型網(wǎng)絡(luò)犯罪[4].同時(shí)，英國的研究人員發(fā)現(xiàn)新冠疫情出現(xiàn)以來網(wǎng)絡(luò)詐騙事件數(shù)量持續(xù)增長，電信網(wǎng)絡(luò)詐騙者正在利用疫情對受害者實(shí)施詐騙[5].

近年來，研究人員主要關(guān)注各類網(wǎng)絡(luò)犯罪的防范、評估、反制技術(shù)的發(fā)展.但目前針對網(wǎng)絡(luò)犯罪總體綜述研究較少，缺乏對網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈進(jìn)行全面梳理.

如圖1所示，網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈龐大而復(fù)雜，其中涉及到攻擊形式、支撐技術(shù)、基礎(chǔ)設(shè)施的協(xié)調(diào)配合.網(wǎng)絡(luò)犯罪攻擊形式是網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈中直接接觸終端受害者的部分，其最易被人們感知，也直接造成人民群眾財(cái)產(chǎn)經(jīng)濟(jì)損失.然而，具體的攻擊形式是網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈的表層體現(xiàn)，在相關(guān)犯罪行為背后，通常是由網(wǎng)絡(luò)犯罪支撐技術(shù)為其提供充足的技術(shù)支持.此外，網(wǎng)絡(luò)犯罪攻擊形式和支撐技術(shù)均嚴(yán)重依賴于交易平臺、網(wǎng)絡(luò)設(shè)施、洗錢渠道等網(wǎng)絡(luò)犯罪相關(guān)基礎(chǔ)設(shè)施，它們?yōu)橹渭夹g(shù)的成功應(yīng)用和網(wǎng)絡(luò)犯罪攻擊的成功實(shí)施提供相應(yīng)的基礎(chǔ)服務(wù)保障.

Fig. 1 Illustration of cybercrime industrial chain圖1 網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈?zhǔn)疽鈭D

為此，本文將以釣魚(phishing)、詐騙(scam)、惡意挖礦(cryptojacking)等經(jīng)典網(wǎng)絡(luò)犯罪形式為切入點(diǎn)，介紹其犯罪特點(diǎn)和邏輯，進(jìn)而對以黑帽搜索引擎優(yōu)化(blackhat search engine optimization, Blackhat SEO)、誤植域名(typosquatting)為代表的相關(guān)支撐技術(shù)進(jìn)行梳理，最后對網(wǎng)絡(luò)犯罪所賴以生存交易平臺、網(wǎng)絡(luò)設(shè)施、洗錢渠道等基礎(chǔ)設(shè)施(如地下論壇(underground forum)、僵尸網(wǎng)絡(luò)(Botnet)和洗錢渠道(money laundering)等)進(jìn)行解析，串聯(lián)網(wǎng)絡(luò)犯罪生態(tài)的各個組成部分，剖析網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈.由于篇幅所限，本文主要關(guān)注于網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈中環(huán)節(jié)的國內(nèi)外重要學(xué)術(shù)研究成果，著重介紹上述網(wǎng)絡(luò)犯罪所涉及的概念，梳理其中檢測分析技術(shù)和存在問題，最后討論仍存在的挑戰(zhàn)并展望未來研究方向.

1 網(wǎng)絡(luò)犯罪的攻擊形式

網(wǎng)絡(luò)犯罪的攻擊形式是網(wǎng)絡(luò)犯罪龐大產(chǎn)業(yè)鏈的具體呈現(xiàn).其在整個網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈中負(fù)責(zé)直接接觸和攻擊受害者，并產(chǎn)生經(jīng)濟(jì)利益，為產(chǎn)業(yè)鏈的發(fā)展提供源源不斷的資金支持.為了迷惑受害者，網(wǎng)絡(luò)犯罪的攻擊形式通常還會和社會工程學(xué)、人機(jī)交互設(shè)計(jì)相結(jié)合，以達(dá)到最佳的攻擊效果.本節(jié)將以釣魚攻擊、網(wǎng)絡(luò)詐騙和惡意挖礦3種經(jīng)典的網(wǎng)絡(luò)犯罪的攻擊方法為例，討論和梳理相關(guān)研究工作和技術(shù)趨勢.

1.1 釣魚攻擊

釣魚攻擊(phishing)，指通過偽裝成權(quán)威的網(wǎng)站或者機(jī)構(gòu)來獲取受害者用戶戶名、密碼和銀行卡信息等個人敏感數(shù)據(jù)的犯罪過程.犯罪分子通常會聲稱自己來自網(wǎng)絡(luò)銀行如支付寶、PayPal，或者權(quán)威機(jī)關(guān)如公安機(jī)關(guān)、電信部門等獲取用戶的信任，再誘導(dǎo)受害者點(diǎn)擊網(wǎng)站鏈接到外觀與被仿冒的網(wǎng)站相差無幾的假網(wǎng)站輸入個人資料.在獲得受害者的敏感數(shù)據(jù)后，犯罪分子可以通過出售等非法途徑進(jìn)一步牟利.

作為一種經(jīng)典的網(wǎng)絡(luò)犯罪，釣魚攻擊的普遍性使得其一直是學(xué)術(shù)界和工業(yè)界研究的重點(diǎn).早期的釣魚攻擊往往場景較為單調(diào)，因此基于黑、白名單的檢測方法被廣泛應(yīng)用.但隨著對抗的不斷深入，研究者的重心開始轉(zhuǎn)向基于機(jī)器學(xué)習(xí)或者啟發(fā)式算法等更高效準(zhǔn)確的檢測方法上.同時(shí)，為了防御將來可能發(fā)生的釣魚攻擊，研究人員通過對釣魚攻擊不同的環(huán)節(jié)進(jìn)行深入分析，總結(jié)犯罪分子的技術(shù)特點(diǎn)和表現(xiàn)特征，以提出更好的防御和對抗方法.本節(jié)將從釣魚攻擊的檢測方法、防御技術(shù)、對抗方法和生命周期特點(diǎn)等維度來總結(jié)近年來學(xué)術(shù)界針對釣魚攻擊的研究成果.

一般而言，釣魚網(wǎng)站獲取受害者信任最直接的方式就是保持同原網(wǎng)站在視覺上高度的相似性，以達(dá)到以假亂真、魚目混珠的效果.但這種視覺上的相似同樣可以被研究人員用來檢測釣魚網(wǎng)站.考慮到對網(wǎng)站截圖進(jìn)行直接對比不僅效率較差，而且準(zhǔn)確度更低，Lin等人提出了基于深度學(xué)習(xí)的檢測工具Phishpedia[6]，通過定制的目標(biāo)檢測模型提取頁面中的品牌圖標(biāo)信息，然后利用基于遷移學(xué)習(xí)的孿生神經(jīng)網(wǎng)絡(luò)進(jìn)行檢測.針對傳統(tǒng)圖像相似檢測方法無法檢測未知圖形的問題，Abdelnabi等人創(chuàng)新性地使用了三元卷積神經(jīng)網(wǎng)絡(luò)模型，基于網(wǎng)站屏幕截圖，實(shí)現(xiàn)了基于相似度檢測釣魚攻擊的方法VisualPhishNet[7].

除視覺相似度等直觀因素的影響外，HTML代碼的相似度同樣可以作為檢測釣魚攻擊的重要依據(jù).Cui等人從HTML代碼內(nèi)的標(biāo)簽入手，通過統(tǒng)計(jì)不同標(biāo)簽在網(wǎng)頁內(nèi)出現(xiàn)的頻率將不同的HTML編碼為等長的向量，然后通過定義比例距離的方式來判斷不同網(wǎng)頁的相似度.Cui等人[8]將具有高相似度的網(wǎng)頁用啟發(fā)式的算法進(jìn)行聚類，由此得到來自同一個模板生成的不同釣魚網(wǎng)站集群.為了精準(zhǔn)地獲得網(wǎng)頁中的文字內(nèi)容，Tian等人引入了視覺分析和光學(xué)字符識別等功能來解決攻擊者對網(wǎng)站內(nèi)容的混淆[9].

基于網(wǎng)站內(nèi)容相似度的匹配技術(shù)也被Yoon等人用于檢測暗網(wǎng)上的釣魚網(wǎng)站[10].之前的研究大多著眼針對公開網(wǎng)站或機(jī)構(gòu)的釣魚，作為一類允許服務(wù)提供商和訪問者使用匿名網(wǎng)絡(luò)服務(wù)來隱藏身份的平臺，暗網(wǎng)上是否存在著釣魚攻擊對研究者來說是一個非常有趣的問題.Yoon等人證實(shí)了暗網(wǎng)中普遍存在釣魚網(wǎng)站.

此外，犯罪分子在實(shí)施釣魚攻擊中的技術(shù)特點(diǎn)同樣可以用來檢測釣魚網(wǎng)站.為了盡可能地模仿目標(biāo)網(wǎng)站同時(shí)也為了降低成本，犯罪分子一般會在釣魚網(wǎng)站中直接使用原網(wǎng)站的靜態(tài)資源.根據(jù)這一特點(diǎn)，Oest等人開發(fā)出了框架Golden Hour，通過分析靜態(tài)資源文件請求頭的信息來檢測模仿PayPal的釣魚網(wǎng)站[11].為了進(jìn)一步提高收益，犯罪分子通常會使用偽裝技術(shù)來規(guī)避各大反釣魚系統(tǒng)的檢測，即通過識別網(wǎng)站訪問者的身份來顯示不同的頁面.為了解決這一難題，Zhang等人提出了基于代碼路徑執(zhí)行區(qū)別特點(diǎn)的工具CrawlPhish，針對性地檢測釣魚網(wǎng)站在客戶端側(cè)的偽裝技術(shù)[12].

除了有效地檢測釣魚網(wǎng)站外，研究人員的另一個研究重點(diǎn)在于檢查現(xiàn)有防御機(jī)制的有效性.國際域名(internationalized domain names, IDN)于2003年引入并標(biāo)準(zhǔn)化，支持來自各種語言的Unicode字符，由于來自不同語言的不同字符可能存在相似，隨之出現(xiàn)了為網(wǎng)絡(luò)釣魚而創(chuàng)建的同形異義IDN.瀏覽器通常會實(shí)施規(guī)則來檢測可能冒充合法域名的同形異義IDN，一旦識別到，瀏覽器將不再顯示Unicode，而是顯示其Punycode以提醒用戶.Hu等人系統(tǒng)地評估了針對同形異義IDN的瀏覽器級防御[13].他們通過自動化測試，驗(yàn)證了所有主流瀏覽器規(guī)則均存在可被規(guī)避的盲點(diǎn).

黑名單是用戶抵御網(wǎng)絡(luò)釣魚的又一道技術(shù)防線，但由于其本質(zhì)上的被動性，在釣魚網(wǎng)站被加入黑名單之前，用戶并不會收到瀏覽器的警告，因此不少釣魚網(wǎng)站會利用偽裝技術(shù)來延遲黑名單爬蟲的檢測.Adam團(tuán)隊(duì)首次研究了偽裝對于瀏覽器黑名單有效性的影響.他們在2019年開發(fā)了一個可擴(kuò)展測試框架PhishFarm[14]，用于測試反網(wǎng)絡(luò)釣魚實(shí)體和瀏覽器黑名單對攻擊者偽裝的抵抗力[13].研究發(fā)現(xiàn)，黑名單在流行的移動瀏覽器中沒有按預(yù)期發(fā)揮作用，使得這些瀏覽器的用戶更容易受到網(wǎng)絡(luò)釣魚攻擊.在2020年，該團(tuán)隊(duì)又開發(fā)了能持續(xù)檢測并衡量釣魚網(wǎng)站整體生態(tài)的框架PhishTime，用以評估黑名單的性能[15].

除了防御手段外，研究人員還會主動部署反釣魚系統(tǒng)以檢測在野的釣魚網(wǎng)站.反釣魚系統(tǒng)在取得了較好結(jié)果的同時(shí)也催生出針對性的反分析技術(shù)，來對抗反釣魚系統(tǒng)的檢測.為了研究反分析技術(shù)的影響，Maroofi等人針對谷歌重驗(yàn)證碼、警報(bào)框和基于會話的規(guī)避等3種基于人工驗(yàn)證的反分析技術(shù)進(jìn)行了測試實(shí)驗(yàn)[16].作者部署反分析技術(shù)的釣魚網(wǎng)站，然后向主要的服務(wù)器端反釣魚系統(tǒng)舉報(bào)了這些網(wǎng)站，并持續(xù)監(jiān)控它們在黑名單中的出現(xiàn)情況.Tian等人在利用機(jī)器學(xué)習(xí)分類網(wǎng)絡(luò)釣魚域名的同時(shí)對釣魚網(wǎng)站的規(guī)避行為進(jìn)行了研究，他們發(fā)現(xiàn)，在1 175個釣魚網(wǎng)站中，超過90%的網(wǎng)站至少在一個月內(nèi)成功避開了黑名單檢測[9].Oest等人則另辟蹊徑，嘗試從釣魚攻擊發(fā)起者的視角來理解反釣魚系統(tǒng)[17].通過分析收集到的超過2 300個釣魚攻擊使用的組件，發(fā)現(xiàn)釣魚攻擊發(fā)起者會利用請求信息、IP信息、域名信息等來主動過濾和對抗來自反釣魚系統(tǒng)的檢測.

為了研究網(wǎng)絡(luò)釣魚攻擊的生命周期，Oest等人利用框架Golden Hour被動地對網(wǎng)絡(luò)釣魚頁面的流量進(jìn)行觀測.通過一年時(shí)間的長期觀測，Golden Hour記錄了除爬蟲外的480萬次訪問釣魚網(wǎng)頁的行為，并用其剖析釣魚攻擊的生命周期[10].Han等人則通過部署存在漏洞的蜜罐服務(wù)器，對釣魚攻擊的整個生命周期進(jìn)行觀測，包括攻擊者在蜜罐上安裝和測試網(wǎng)絡(luò)釣魚頁面，到受害者的訪問和個人信息發(fā)生泄露[18].通過長達(dá)5個月的數(shù)據(jù)收集，他們對網(wǎng)絡(luò)釣魚攻擊的生命周期進(jìn)行了全面的評估，包括犯罪分子的行為、釣魚攻擊的機(jī)制以及反釣魚系統(tǒng)更新的實(shí)時(shí)性.

與其他網(wǎng)絡(luò)犯罪活動一樣，網(wǎng)絡(luò)釣魚攻擊者和研究人員的對抗從未停止.釣魚網(wǎng)站不斷地使用內(nèi)容混淆、偽裝技術(shù)等規(guī)避方法來隱藏自身，逃避黑名單和反釣魚系統(tǒng)等的檢測；而研究人員則不斷地將包括計(jì)算機(jī)視覺領(lǐng)域在內(nèi)的最新研究成果應(yīng)用于檢測釣魚網(wǎng)站.隨著二者對抗形式的不斷升級，在釣魚攻擊不斷升級自己的工具、規(guī)避檢測的同時(shí)，對釣魚網(wǎng)站規(guī)避方法的研究，特別是犯罪分子如何逃避、對抗反釣魚系統(tǒng)的檢測也會進(jìn)一步成為未來釣魚攻擊研究的重點(diǎn).

1.2 詐騙攻擊

隨著互聯(lián)網(wǎng)的不斷加速發(fā)展，詐騙作為歷史悠久的犯罪形式，衍生出了許多基于互聯(lián)網(wǎng)中不同設(shè)施的詐騙形式.除了普通民眾，電信運(yùn)營商、零售企業(yè)、廣告商都有可能成為電信詐騙的受害者.電信詐騙也不止是騙取錢財(cái)，犯罪分子還可以通過攻擊大型公司獲取數(shù)以億計(jì)的用戶信息，并用這些信息作為下一步的詐騙介質(zhì).

網(wǎng)絡(luò)詐騙的低成本、低技術(shù)、易操作等特性使得網(wǎng)絡(luò)詐騙層出不窮，同時(shí)網(wǎng)絡(luò)詐騙方法的時(shí)效性使得詐騙方法極速的更新迭代，出現(xiàn)了各種形式的網(wǎng)絡(luò)詐騙.本節(jié)著重介紹目前常見的詐騙形式，例如電話詐騙(telephone scam)[19-22]、問卷詐騙(online survey scam)[23]、移動廣告詐騙(mobile advertisement scam)[24-26]、電子商務(wù)詐騙(e-commerce scam)[27]、技術(shù)支持詐騙(technical support scam)[20,28]、貨物重運(yùn)詐騙(reshipping scam)[29]、約會軟件詐騙(online dating scam)[28,30]等，并對其所采用技術(shù)以及造成的危害進(jìn)行歸納總結(jié)，對今后的研究工作進(jìn)行展望.

1) 電話詐騙

電話作為人們?nèi)粘Ｊ褂米顬槠毡榈耐ㄐ徘乐唬匀怀蔀榱司W(wǎng)絡(luò)犯罪聚焦的重點(diǎn).在打電話這一簡單的過程中——主叫方撥出電話，經(jīng)過電信運(yùn)營商的路由到被叫方的SIM卡上接入，電信運(yùn)營商和用戶都可能成為電話詐騙的受害者.據(jù)通信詐騙管制協(xié)會(Communications Fraud Control Association, CFCA)估計(jì)，2019年對全球電信運(yùn)營商由詐騙造成損失大約為283億美元[31].

很多國家存在只能轉(zhuǎn)售其他運(yùn)營商服務(wù)的中小型運(yùn)營商，其往往為了獲取利益，會嘗試劫持原本由其他運(yùn)營商運(yùn)營的電話.對此，Sahin等人[19-20]研究了國際收入分成詐騙(International Revenue Share Fraud, IRSF)的生態(tài)系統(tǒng)，并提出了對應(yīng)的檢測方法.

隨著電話相關(guān)技術(shù)的發(fā)展，IP電話(VoIP)技術(shù)出現(xiàn)后，相關(guān)詐騙也逐漸增多.Sahin等人[22]分析了Over-The-Top(OTT)繞過這一新型詐騙形式.OTT指語音聊天軟件(Skype等)利用IP網(wǎng)絡(luò)通話服務(wù)即可連接到世界上任何地方[32].OTT繞過詐騙則是一種國際過境機(jī)構(gòu)和OTT服務(wù)提供商未經(jīng)主叫方、被叫方、運(yùn)營商授權(quán)的情況下把正常撥出的電話通過IP轉(zhuǎn)移至語音聊天軟件的攻擊.

IP電話的低成本的特點(diǎn)還催生了IP電話機(jī)器人的出現(xiàn)[33].傳統(tǒng)詐騙電話的主叫方需要電話卡進(jìn)行呼叫，費(fèi)用較高，而IP電話機(jī)器人就可以自動化大規(guī)模低成本撥打詐騙電話.由于受害者通常在真的收到財(cái)產(chǎn)損失之后才會報(bào)告詐騙電話相關(guān)情況，導(dǎo)致大眾無法即時(shí)了解最新的騙術(shù).對此，Gupta等人[21]制作了大規(guī)模的電話蜜罐Phoneypot，對每個電話號碼關(guān)聯(lián)了年齡、地址等信息，吸引詐騙罪犯撥打這些號碼，收集相關(guān)數(shù)據(jù)并進(jìn)行分析.

2) 問卷詐騙

在線問卷是市場調(diào)研的重要步驟.通常，調(diào)查者只需在在線問卷網(wǎng)站上創(chuàng)建一份問卷，通過郵件或廣告發(fā)送鏈接給用戶，并搭配上金錢或?qū)嵨铼剟?，就可以吸引用戶進(jìn)行填寫.詐騙分子也注意到在線問卷市場的這一特點(diǎn)，通過豐厚獎勵吸引用戶填寫問卷，事后卻不兌現(xiàn)承諾的方式，進(jìn)行欺詐活動.此外，部分攻擊者還以郵寄獎品為由讓用戶填寫敏感信息，或是用免費(fèi)的禮品卡為誘餌讓用戶下載惡意軟件、勒索軟件造成更大的損失.SURVEYLANCE[23]根據(jù)網(wǎng)站的內(nèi)容、網(wǎng)絡(luò)流量和頁面的整體表現(xiàn)形式等信息構(gòu)建分類器，在用戶訪問在線問卷時(shí)作為瀏覽器插件檢查用戶是否陷入了問卷詐騙，并通過大規(guī)模實(shí)驗(yàn)分析，檢測出8 623個問卷詐騙網(wǎng)站.

3) 移動廣告詐騙

手機(jī)應(yīng)用豐富了人們的生活，應(yīng)用內(nèi)的移動廣告則是免費(fèi)應(yīng)用的主要盈利方式.2020年，移動廣告市場規(guī)模已擴(kuò)大至1 870億美元，占全球廣告市場預(yù)算的30.5%[34].廣告商根據(jù)廣告呈現(xiàn)次數(shù)、用戶點(diǎn)擊量或應(yīng)用安裝量向廣告服務(wù)提供商繳納費(fèi)用.移動廣告詐騙的攻擊者主要來自廣告商的競爭對手，其主要目的是在用戶沒有被吸引的情況下耗盡廣告商的推廣費(fèi).

移動廣告詐騙主要共有3種方法.對于按照用戶點(diǎn)擊量付費(fèi)的廣告商，一種方法是攻擊者利用僵尸網(wǎng)絡(luò)大量點(diǎn)擊廣告URL增加點(diǎn)擊量的費(fèi)用[35]，二是攻擊者欺騙用戶點(diǎn)擊不想看的廣告[36]產(chǎn)生不必要的點(diǎn)擊量.而對于按照廣告呈現(xiàn)次數(shù)付費(fèi)的廣告商，攻擊者則把廣告隱藏在應(yīng)用的其他元素下方，使得廣告商在用戶沒有看到廣告的情況下，依舊支付了廣告費(fèi)用.

MAdFraud[24]通過檢測用戶未交互時(shí)的HTTP請求來識別移動廣告詐騙，并發(fā)現(xiàn)在130 339個安卓應(yīng)用和35 087個惡意軟件中有30%的應(yīng)用會在后臺運(yùn)行時(shí)請求廣告.Chen等人[25]關(guān)注了應(yīng)用中通過webview實(shí)現(xiàn)的HTML廣告，設(shè)計(jì)了一套監(jiān)測移動廣告生命周期的框架MADLIFE.Kim等人[26]基于AOSP[37]實(shí)現(xiàn)了一個動態(tài)測試移動廣告詐騙的框架FraudDetective，利用堆棧跟蹤從打開應(yīng)用到提交廣告詐騙活動之間的調(diào)用關(guān)系，檢測是否有用戶輸入的存在.

4) 電子商務(wù)詐騙

電子商務(wù)是互聯(lián)網(wǎng)發(fā)展后的一大應(yīng)用，用戶在電子商務(wù)平臺購買產(chǎn)品時(shí)通常會根據(jù)產(chǎn)品的銷量和評價(jià)決定是否購買商品.電子商務(wù)詐騙則是商家為了產(chǎn)生虛假的銷量而逐漸形成的一套產(chǎn)業(yè)鏈[38].刷單詐騙是目前電子商務(wù)中廣泛存在的一種詐騙形式：商家在刷單平臺上招募工人，利用虛假的賬戶購買目標(biāo)商品，但實(shí)際上沒有真實(shí)的任何商品行為發(fā)生[39].另外，也有攻擊者通過搶購促銷商品，再加價(jià)轉(zhuǎn)手獲利[27].

電子商務(wù)詐騙依賴即時(shí)通信軟件與工人交流，Wang等人[27]開發(fā)了Aubrey聊天機(jī)器人，把犯罪分子與工人的對話建模成有限狀態(tài)機(jī)實(shí)現(xiàn)機(jī)器人在電子商務(wù)詐騙領(lǐng)域的自主對話，通過大量與犯罪分子對話來收集電子商務(wù)詐騙的信息.Aubrey通過加入了150個地下即時(shí)通信群聊，并與470名犯罪分子對話的方式，發(fā)現(xiàn)了38個售賣賬號的地下市場和65個推廣詐騙任務(wù)的附屬網(wǎng)絡(luò).

5) 技術(shù)支持詐騙

當(dāng)電腦出現(xiàn)問題時(shí)，人們習(xí)慣于尋找在線的技術(shù)支持來幫助解決問題，技術(shù)支持詐騙則針對這種場景產(chǎn)生.2019年美國聯(lián)邦調(diào)查局網(wǎng)絡(luò)犯罪投訴中心共收到48個國家13 633件來自受害者的技術(shù)支持詐騙投訴，損失總額超過5 400萬美元，并較2018年增長了40%[40].在技術(shù)支持詐騙中，攻擊者會創(chuàng)造一個帶有流行軟件和安全公司標(biāo)志的網(wǎng)頁，在用戶訪問時(shí)警告用戶的設(shè)備已經(jīng)感染了惡意軟件，并誘導(dǎo)用戶聯(lián)系網(wǎng)頁中顯示的免費(fèi)號碼至“技術(shù)支持中心”尋求幫助.受害者通常會被要求下載遠(yuǎn)程桌面軟件，允許遠(yuǎn)程技術(shù)人員通過軟件操控設(shè)備.此時(shí)攻擊者就會通過報(bào)錯信息讓受害者更加確信真的感染了惡意軟件，要求受害者支付數(shù)百美元的惡意軟件卸載費(fèi).除此之外，攻擊者進(jìn)一步可在受害者的設(shè)備上安裝惡意軟件竊取受害者的個人信息，進(jìn)行后續(xù)攻擊.

針對這一網(wǎng)絡(luò)犯罪形式，Chen等人[28]基于網(wǎng)站的主機(jī)、網(wǎng)頁大小和代碼中鏈接數(shù)、關(guān)鍵詞數(shù)等42個特征通過人工智能開發(fā)了技術(shù)支持詐騙檢測系統(tǒng)AI@TTS.Miramirkhani等人[20]構(gòu)建了一個分布式的爬蟲(基礎(chǔ)設(shè)施)來尋找涉及技術(shù)支持詐騙的域名，他們認(rèn)為惡意廣告是用戶被吸引到技術(shù)支持詐騙頁面的原因，通過從域名停放(domain parking)[41]和廣告短鏈接爬取到的惡意廣告訪問可能存在的技術(shù)支持頁面，并根據(jù)警示框、免費(fèi)電話等特點(diǎn)找出其中的技術(shù)支持詐騙網(wǎng)站.

6) 貨物重運(yùn)詐騙

2013年底，Target(美國第二大折扣零售商)的數(shù)據(jù)遭到泄露，攻擊者獲得了多達(dá)1.1億名客戶的信用卡和個人信息[42].為了將被盜取的信用卡信息變現(xiàn)，犯罪分子使用被盜的信用卡從在線商店購買高價(jià)值的產(chǎn)品，然后將這些物品運(yùn)送給以“在家工作”為幌子招募“馬仔”.“馬仔”再將收到的產(chǎn)品轉(zhuǎn)發(fā)給遠(yuǎn)在國外的犯罪分子進(jìn)行轉(zhuǎn)售以獲取非法利潤[43].Hao等人[29]通過FBI的案件記錄對這種詐騙產(chǎn)業(yè)鏈進(jìn)行了分析.

7) 約會軟件詐騙

人們習(xí)慣于通過約會軟件認(rèn)識新的朋友，然而五花八門的約會軟件中也出現(xiàn)了詐騙行為.Hu等人[30]對詐騙約會軟件進(jìn)行了系統(tǒng)性的研究.詐騙約會軟件通過廣告吸引用戶下載，注冊步驟簡單，且不需要任何個人信息，降低了用戶的警惕性.在第1次登錄后幾分鐘內(nèi)就會有多名偽裝成女性的機(jī)器人發(fā)來搭訕信息，并與受害者進(jìn)行初步對話，如果想繼續(xù)后續(xù)的對話就需要額外付費(fèi).付費(fèi)后，就不會再有賬戶繼續(xù)與受騙用戶聊天.Hu等人[30]通過關(guān)鍵詞匹配和靜態(tài)分析應(yīng)用內(nèi)付款SDK檢測詐騙約會軟件，在9個安卓應(yīng)用市場的250萬應(yīng)用中檢測出了22個家族的967個詐騙約會軟件.

學(xué)術(shù)界對預(yù)防詐騙的方法進(jìn)行了廣泛討論.對于詐騙而言，首要的預(yù)防方式是對用戶的教育，許多詐騙方式(如詐騙約會軟件、技術(shù)支持詐騙)對于用戶而言沒有復(fù)雜的技術(shù)，需要全社會的一起努力提高安全意識了解詐騙的危險(xiǎn)性[23].對于通過網(wǎng)頁進(jìn)行詐騙的詐騙形式，瀏覽器可以提供幫助.如Miramirkhani等人[20]認(rèn)為瀏覽器應(yīng)能幫助用戶離開如技術(shù)支持詐騙中的網(wǎng)頁，提供一種關(guān)閉網(wǎng)頁的快捷方式并在瀏覽器重啟時(shí)不會重新打開.另外，大量的賬號和電話號碼等敏感信息是電子商務(wù)詐騙與電話詐騙的基礎(chǔ)，遏制此類詐騙可以通過使用多重認(rèn)證提高敏感信息注冊和使用的門檻來打破犯罪產(chǎn)業(yè)鏈[27].對于貨物重運(yùn)詐騙，物流平臺可以通過分析跟蹤包裹信息的人員特點(diǎn)來及時(shí)制止還沒運(yùn)出的包裹[20].

目前對于詐騙的檢測仍主要依賴于監(jiān)督學(xué)習(xí)，攻擊者可以通過規(guī)避監(jiān)督學(xué)習(xí)所用的特征來逃避檢測，未來可以發(fā)展半監(jiān)督或無監(jiān)督學(xué)習(xí)來檢測約會軟件詐騙[30]和問卷詐騙[23].同時(shí)，對于電子商務(wù)詐騙的信息收集目前使用的機(jī)器人是通過人為定義的有限狀態(tài)機(jī)在與犯罪人員進(jìn)行交流[27]，在這一方向上未來可以通過深度學(xué)習(xí)等技術(shù)來探索更加通用的網(wǎng)絡(luò)犯罪信息收集技術(shù).另外，由于各大應(yīng)用商店均不允許相關(guān)欺詐類軟件進(jìn)行上架傳播，網(wǎng)絡(luò)犯罪相關(guān)的應(yīng)用軟件分發(fā)方式也值得進(jìn)一步研究.

1.3 惡意挖礦

惡意挖礦，是近來隨著加密貨幣興起而產(chǎn)生的一種全新的網(wǎng)絡(luò)犯罪形式，即犯罪分子在未經(jīng)許可的情況下侵占受害者的計(jì)算資源來挖取加密貨幣并獲得利潤.根據(jù)侵占計(jì)算資源方式的不同，可以將惡意挖礦分為針對瀏覽器的惡意挖礦與針對主機(jī)的惡意挖礦.其中由于針對瀏覽器的惡意挖礦影響范圍更廣、受害者更多，因此學(xué)術(shù)界對其的研究也更為深入.現(xiàn)代Web技術(shù)的發(fā)展使得瀏覽器具備了充分利用硬件資源的能力，利用這一特性，針對瀏覽器的惡意挖礦可以在未得到受害者的許可的情況下，通過網(wǎng)頁內(nèi)的JavaScript和WebAssembly與硬件資源直接進(jìn)行交互進(jìn)而隱蔽地占用計(jì)算資源挖掘加密貨幣.一般而言，針對瀏覽器的惡意挖礦主要有4種攻擊方式：1)網(wǎng)站所有者主動發(fā)起惡意挖礦；2)犯罪分子在非法入侵網(wǎng)站后部署惡意挖礦腳本；3)通過入侵網(wǎng)站使用的第三方庫、廣告服務(wù)后分發(fā)惡意挖礦腳本；4)入侵路由器利用中間人攻擊進(jìn)行惡意挖礦.

為了檢測惡意挖礦，研究人員往往從代碼結(jié)構(gòu)、網(wǎng)絡(luò)請求、資源消耗等不同維度提取特征并進(jìn)行檢測，即在已知惡意挖礦常見的代碼、行為特征的情況下，通過與待檢測網(wǎng)站或腳本提取的特征進(jìn)行匹配，如果發(fā)現(xiàn)目標(biāo)的特征符合已知任意一類惡意挖礦的特征，則將其判定為惡意挖礦.基于對已知惡意挖礦的檢測，研究人員往往會進(jìn)一步對惡意挖礦的犯罪規(guī)模、非法收益等指標(biāo)進(jìn)行評估.本節(jié)將從惡意挖礦的檢測方法，特別是檢測時(shí)依賴的運(yùn)行信息、程序行為、網(wǎng)絡(luò)流量等特征，以及對惡意挖礦這種新型網(wǎng)絡(luò)犯罪的規(guī)模評估這2方面介紹現(xiàn)有工作的研究成果.

在所有檢測惡意挖礦的動態(tài)特征中，CPU事件是最常用的特征，惡意挖礦往往會帶來非常高的CPU占用.但由于大部分惡意挖礦會主動限制CPU占用，因此單獨(dú)使用CPU占用作為特征必然會帶來大量的漏報(bào)或誤報(bào)，需要更多的其他特征來輔助更精準(zhǔn)地檢測.考慮到惡意挖礦不僅僅會進(jìn)行大量的計(jì)算，還會頻繁地讀寫內(nèi)存、磁盤，與遠(yuǎn)端礦池進(jìn)行交互，Ning等人提出了工具CapJack[44]，通過提取CPU利用信息、內(nèi)存信息、磁盤讀寫信息與網(wǎng)絡(luò)流量信息作為特征，輸入到分類器模型進(jìn)行檢測.此外，作為當(dāng)代CPU的必要組成部分，在程序執(zhí)行時(shí)硬件性能計(jì)數(shù)器會記錄CPU內(nèi)部執(zhí)行的信息，如寄存器值、執(zhí)行的指令等，這些信息同樣能作為反映程序行為的特征.基于以上觀察，Tahir等人提出了基于硬件輔助分析的惡意挖礦檢測方法[45]，提取硬件性能計(jì)數(shù)器內(nèi)的信息作為特征，然后使用隨機(jī)森林作為分類器模型進(jìn)行判別.

除了CPU信息的特征外，針對瀏覽器的惡意挖礦還會表現(xiàn)出特定的行為特征，比如周期性的哈希函數(shù)調(diào)用等.對此，Hong等人提出了基于哈希函數(shù)的分析器和基于堆棧結(jié)構(gòu)的分析器來記錄惡意挖礦的行為表現(xiàn)[46].其中基于哈希函數(shù)的分析器會監(jiān)控特定惡意挖礦常用哈希算法的出現(xiàn)頻率，如門羅幣的CryptoNight算法，而基于堆棧結(jié)構(gòu)的分析器則針對惡意挖礦中函數(shù)調(diào)用周期性的行為特征，校驗(yàn)相同函數(shù)調(diào)用出現(xiàn)的時(shí)間頻率來分析調(diào)用的規(guī)律性.基于以上2類分析器提出的基于閾值的分析器經(jīng)檢驗(yàn)不存在任何誤報(bào).類似地，Kharraz等人同樣發(fā)現(xiàn)惡意挖礦中存在著特定的行為特征，比如腳本編譯和執(zhí)行的時(shí)間上存在著顯著的差異，據(jù)此他們提出了工具Outguard[47]通過對瀏覽器進(jìn)行插樁，Outguard會收集網(wǎng)頁內(nèi)的資源加載時(shí)間、腳本編譯時(shí)間、執(zhí)行時(shí)間、垃圾回收信息，結(jié)合CPU的使用數(shù)據(jù)作為特征，然后使用支持向量機(jī)作為分類器模型進(jìn)行檢測.

為了更好地利用受害者機(jī)器的性能，針對瀏覽器的惡意挖礦往往會加載大量的WebAssembly文件.據(jù)此，Bian等人提出了基于動態(tài)代碼插樁的檢測工具M(jìn)ineThrottle[48]，通過動態(tài)插入的性能計(jì)數(shù)器，MineThrottle能精準(zhǔn)分析不同代碼塊在運(yùn)行時(shí)的CPU使用情況進(jìn)而檢測惡意挖礦現(xiàn)象.而Rüth等人從WebAssembly的文件特征入手，通過構(gòu)建惡意挖礦常用WebAssembly的文件簽名來檢測瀏覽器中的惡意挖礦[49].無獨(dú)有偶，Konoth等人同樣考慮到了WebAssembly文件在惡意挖礦中的重要作用，他們提出的檢測工具M(jìn)ineSweeper通過計(jì)算WebAssembly中密碼學(xué)相關(guān)指令的代碼簽名來識別特定的加密貨幣挖礦代碼[50].此外，針對惡意挖礦的哈希算法利用CPU緩存的特性，MineSweeper還會進(jìn)一步監(jiān)控L1和L3緩存來輔助判斷.Naseem等人則通過對WebAssembly進(jìn)行分類的方式來檢測惡意挖礦[51].他們提出的工具M(jìn)INOS*將對惡意挖礦的檢測問題轉(zhuǎn)換為了對特定WebAssembly文件的二分類問題[12]，針對任何加載了WebAssembly的網(wǎng)站，如果分類器確認(rèn)了文件的惡意性，即可知對應(yīng)網(wǎng)站存在惡意挖礦行為.

除了有效地檢測惡意挖礦外，對惡意挖礦的影響規(guī)模、非法收益進(jìn)行分析也是研究者關(guān)注的重點(diǎn).Hong等人通過網(wǎng)站平均訪問量、停留時(shí)間、CPU的平均哈希速率以及挖礦的平均收益估算得出，在2018年，惡意挖礦平均每月會影響超過1 000萬以上的用戶，平均每天額外消耗27.8萬千瓦時(shí)的電能，為攻擊者帶來平均5.9萬美元的日收入[46].Konoth等人也用了類似的方法來估計(jì)惡意挖礦的收益，通過對網(wǎng)站訪問時(shí)間和訪問量的估計(jì)[50].除了估算惡意挖礦的收益外，Saad等人還對比了惡意挖礦和在線廣告的收益[52].他們的研究結(jié)果證明了在線廣告的收益依舊遠(yuǎn)高于惡意挖礦的收益，因此從收益角度分析，絕大多數(shù)情況下惡意挖礦來自犯罪分子的非法入侵.

而Bijmans等人將目光放到了利用路由器進(jìn)行中間人攻擊的惡意挖礦上[53].在受害者使用被感染的路由器訪問互聯(lián)網(wǎng)時(shí)，犯罪分子會控制路由器在返回的內(nèi)容中插入惡意挖礦的相關(guān)腳本，此時(shí)訪問任意網(wǎng)站都會被攻擊者劫持進(jìn)行挖礦活動.此外，他們還通過先從互聯(lián)網(wǎng)服務(wù)提供商獲取區(qū)域內(nèi)的全部流量信息，再從流量信息中提取全部可能被劫持的網(wǎng)絡(luò)請求，結(jié)合每個請求返回網(wǎng)站的平均停留時(shí)間和CPU的平均哈希速率的方式估算該種攻擊的收益情況.

為了分析惡意挖礦對互聯(lián)網(wǎng)的整體影響，Bijmans等人對互聯(lián)網(wǎng)進(jìn)行了2次不同規(guī)模采樣和檢測[54]，發(fā)現(xiàn)高排名的網(wǎng)站中惡意挖礦現(xiàn)象更為普遍.此外，他們還發(fā)現(xiàn)檢測出的惡意挖礦絕大多數(shù)與成人內(nèi)容網(wǎng)站相關(guān)，而2018年Hong等人發(fā)現(xiàn)僅有18%的惡意挖礦發(fā)生在成人內(nèi)容相關(guān)的網(wǎng)站上，說明惡意挖礦行為隨著時(shí)間的變化也在不斷地?cái)U(kuò)散演進(jìn).

加密貨幣日益高漲的價(jià)格使得近年來惡意挖礦相關(guān)的網(wǎng)絡(luò)犯罪不僅沒有偃旗息鼓，反而更加猖獗，而且隨著犯罪技術(shù)的不斷演進(jìn)，惡意挖礦的攻擊方式和對抗手段也日趨復(fù)雜.可以看到從2018年初到目前，惡意挖礦的攻擊手段已經(jīng)從簡單的在網(wǎng)站上部署挖礦腳本，通過內(nèi)容混淆、限制使用率來對抗黑名單的檢測，一步步發(fā)展為通過路由器漏洞的中間人攻擊來分發(fā)惡意挖礦腳本的惡意挖礦，攻擊原理更加復(fù)雜，且覆蓋范圍更廣、非法所得更多.因此，針對惡意挖礦新的攻擊形式和對抗方法的研究依舊會是未來惡意挖礦領(lǐng)域研究重點(diǎn).

2 網(wǎng)絡(luò)犯罪支撐技術(shù)

第1節(jié)中我們綜述了網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈中網(wǎng)絡(luò)犯罪攻擊形式的犯罪邏輯和檢測分析技術(shù).在具體攻擊形式的背后，通常有隱蔽的網(wǎng)絡(luò)犯罪支撐技術(shù)對其提供保障與支持.網(wǎng)絡(luò)犯罪支撐技術(shù)雖然不直接和用戶產(chǎn)生接觸，但其在為具體的攻擊方式增加隱蔽性、提高攻擊效率和成功率方面起著重要作用，如技術(shù)支持詐騙依賴于黑帽搜索引擎技術(shù)優(yōu)化吸引用戶訪問；釣魚網(wǎng)站依賴誤植域名技術(shù)欺騙用戶等.因此，近年來，對網(wǎng)絡(luò)犯罪的支撐技術(shù)的研究也成為研究人員的關(guān)注重點(diǎn).本節(jié)將以黑帽搜索引擎優(yōu)化、誤植域名為例，論述網(wǎng)絡(luò)犯罪支撐技術(shù)的概念、特點(diǎn)和檢測分析方法.

2.1 黑帽搜索引擎優(yōu)化

搜索引擎自誕生以來，極大地提升了用戶從互聯(lián)網(wǎng)上獲取信息的有效性和便利性，據(jù)統(tǒng)計(jì)，每日人們會發(fā)起70億余次的Google搜索請求[55].與此同時(shí)，搜索引擎提出了PageRank等為代表的算法對結(jié)果搜索結(jié)果進(jìn)行不斷優(yōu)化.此外，隨著需要被檢索的信息增加，大部分搜索引擎也逐漸采用競價(jià)排名來決定搜索結(jié)果的排名，熱門關(guān)鍵詞對應(yīng)的價(jià)格水漲船高.此外，由于各地法律法規(guī)的制約，部分違法或灰色地帶的關(guān)鍵詞無法在搜索結(jié)果中呈現(xiàn)，使得非法產(chǎn)業(yè)只得另尋他法.高昂的價(jià)格加上法律法規(guī)的制約，促成了黑帽搜索引擎優(yōu)化技術(shù)的產(chǎn)生和發(fā)展.

本節(jié)先簡要介紹常見的黑帽搜索引擎優(yōu)化技術(shù)，并討論其對應(yīng)的檢測技術(shù)和評估方法，然后討論當(dāng)前黑帽搜索引擎檢測技術(shù)上遇到的挑戰(zhàn)并討論后續(xù)發(fā)展方向.

黑帽搜索引擎優(yōu)化指的是通過違規(guī)設(shè)置垃圾關(guān)鍵字、鏈接農(nóng)場等方式，操縱針對特定關(guān)鍵詞的搜索引擎結(jié)果的技術(shù).目前廣泛采用的技術(shù)包括：關(guān)鍵詞篡改(keyword stuffing)、鏈接農(nóng)場(link farm)、偽裝(cloaking)等.

關(guān)鍵詞篡改[56]即在網(wǎng)頁的內(nèi)容中填充一些與頁面其余部分無關(guān)的流行詞.攻擊者希望通過將篡改的關(guān)鍵詞與合法內(nèi)容進(jìn)行混合，提高網(wǎng)站在搜索引擎結(jié)果中的排行.為了最大限度地提高被索引的概率，通常一個網(wǎng)頁中會嵌入數(shù)十甚至數(shù)百個無關(guān)的詞.同時(shí)，搜索引擎也不斷在更新自身的排名算法以應(yīng)對關(guān)鍵詞篡改的攻擊，如Panda[57]和Penguin[58]都具有針對重復(fù)或篡改內(nèi)容的頁面的懲罰措施.然而，檢測算法一般依賴于頁面內(nèi)容識別被操縱的網(wǎng)站.因此，黑帽攻擊者也不斷更新其相關(guān)技術(shù)，關(guān)鍵詞篡改行為更加隱蔽以逃過檢測.

鏈接農(nóng)場[59-60]是指一組目的為了通過增加傳入鏈接的數(shù)量來提高另一個網(wǎng)站的鏈接流行度的網(wǎng)站.其中，比較典型的鏈接農(nóng)場類型包括私人博客[61-62]和論壇[63]等.整體而言，攻擊者根據(jù)搜索引擎的算法規(guī)律，操縱權(quán)威網(wǎng)站組成的網(wǎng)絡(luò)，通過建立反向鏈接的方式，將搜索權(quán)重傳遞給需要被提升排名的網(wǎng)站.

偽裝[64-66]是指為了逃避檢測，各類黑帽搜索引擎優(yōu)化網(wǎng)站通常會向不同的訪問者或搜索引擎動態(tài)提供不同的內(nèi)容.例如通過瀏覽器的用戶代理(user agent)、請求頭(request header)、IP地址(IP address)等特征，保證只向目標(biāo)客戶呈現(xiàn)對應(yīng)非法內(nèi)容.

目前，學(xué)術(shù)界對于黑帽搜索引擎優(yōu)化的研究主要集中于檢測技術(shù)研究和威脅評估研究兩大方面.

近年間，研究人員主要從搜索結(jié)果、網(wǎng)站內(nèi)容、網(wǎng)頁地圖等角度研究、檢測黑帽搜索引擎優(yōu)化技術(shù).文獻(xiàn)[61,67-69]從搜索的結(jié)果作為入手點(diǎn)，其黑帽搜索引擎優(yōu)化的最終目標(biāo)是篡改搜索引擎結(jié)果.為此，不論攻擊者采取何種技術(shù)，其結(jié)果一定可以在搜索引擎中發(fā)現(xiàn).Liao等人[67]通過利用搜索結(jié)果和結(jié)果所在域名、搜索結(jié)果之間的不一致性，檢測專屬頂級域名中被被植入用于推廣的網(wǎng)站.Joslin等人[68]利用通過語言學(xué)上的特點(diǎn)，系統(tǒng)性地生成并分析由于誤拼寫的關(guān)鍵詞造成的問題.Wang等人[69]則通過搜索自動補(bǔ)全機(jī)制入手，采用詞嵌入技術(shù)檢測搜索引擎中關(guān)鍵詞被黑帽搜索引擎優(yōu)化污染的情況.Van等人[61]認(rèn)為若網(wǎng)站需要實(shí)現(xiàn)搜索引擎優(yōu)化的目標(biāo)，則需要必須將自身結(jié)果進(jìn)行收錄.作者以此通過搜索引擎迭代反查種子集合，收集用于黑帽搜索引擎優(yōu)化的私人博客網(wǎng)絡(luò)樣本.

與上述工作不同的，Yang等人[70]通過采用網(wǎng)站內(nèi)容分析的角度進(jìn)行研究，通過采用頁面結(jié)構(gòu)和網(wǎng)頁內(nèi)容相結(jié)合的方式進(jìn)行惡意網(wǎng)站的識別檢測；Du等人[71]則從網(wǎng)站地圖(sitemap)入手，捕捉采用泛解析的黑帽搜索引擎優(yōu)化網(wǎng)站.

近年間，為了對抗黑帽搜索引擎優(yōu)化，各大搜索引擎也在頻繁更新自身的排名策略.與之對應(yīng)的，黑帽搜索引擎優(yōu)化技術(shù)也普遍采用一些對抗方式.Yang等人[70]指出，目前搜索引擎可能利用人工容易識別、形狀相近，但語義完全無關(guān)的的詞語(如“六合彩”與“六臺彩”)躲避檢測；Du等人[71]表明黑帽搜索引擎優(yōu)化不但會采用動態(tài)內(nèi)容生成來躲避搜索引擎的內(nèi)容檢測，還采用DNS的泛解析功能，動態(tài)生成域名以逃避搜索引擎的回環(huán)檢測.文獻(xiàn)[68，70]則表明部分黑帽SEO采用發(fā)音相近的字逃避檢測.Yang等人[72]指出，攻擊者可能采用“黑話”(jargon)，逃避常見的關(guān)鍵詞檢測技術(shù).

黑帽搜索引擎優(yōu)化所帶來的影響巨大，據(jù)Yang等人[70]報(bào)道，通過其對于7 000多個中文商業(yè)網(wǎng)站共超過3 800萬個網(wǎng)頁的持續(xù)觀察，發(fā)現(xiàn)了在其中11%的網(wǎng)站被用于黑帽搜索引擎優(yōu)化的行為；文獻(xiàn)[62,73]則從時(shí)間維度上對黑帽SEO進(jìn)行分析，Liao等人[74]識別出了3 186個云目錄和318 470個門戶頁面用于常委關(guān)鍵詞的黑帽SEO. Du等人[71]通過對來自22個TLD和SLD，共1 350萬的域名的掃描，發(fā)現(xiàn)458個蜘蛛池網(wǎng)站，且雖然網(wǎng)站分布在超過2.8萬個IP地址，但是其自治系統(tǒng)、域名注冊商都集中分布在一小部分的SEO攻擊者中.

從搜索結(jié)果的角度衡量，Joslin等人[68]指出，谷歌和百度搜索引擎上，關(guān)于語言沖突搜索詞的第一頁搜索結(jié)果中，大約1.19%指向惡意網(wǎng)站.文獻(xiàn)[69]通過對1.14億條搜索谷歌引擎的建議詞進(jìn)行分析，揭示了其中0.48%的谷歌建議術(shù)語被操縱的現(xiàn)象，并且指出其中至少有20%用于地下廣告、宣傳賭博內(nèi)容甚至分發(fā)惡意軟件.

作為一種支撐技術(shù)，黑帽搜索引擎優(yōu)化的最終目的在于為對應(yīng)的網(wǎng)絡(luò)黑灰產(chǎn)引流，對于黑帽SEO所承載的攻擊載荷，學(xué)術(shù)界也有相關(guān)工作對其進(jìn)行研究.Liao等人[67]揭露了針對.edu域名的教育作弊攻擊，此類網(wǎng)站主要提供教育相關(guān)的作弊服務(wù)，包括販賣家庭作業(yè)，為學(xué)生提供在線考試作弊等服務(wù).Joslin等人[68]匯總了最受黑帽搜索引擎優(yōu)化歡迎的前5個類別分別是：藥品、成人相關(guān)、博彩、軟件和汽車.Du等人[71]則從1 453個已識別的黑帽搜索引擎優(yōu)化客戶站點(diǎn)中抓取的所有網(wǎng)頁，并通過內(nèi)容分析，發(fā)現(xiàn)使用黑帽搜索引擎優(yōu)化的網(wǎng)站主要包括，銷售和服務(wù)、賭博、代孕、新聞、色情、游戲、醫(yī)療和藥品等.

雖然工業(yè)界和學(xué)術(shù)界普遍采用各種技術(shù)對抗黑帽搜索引擎優(yōu)化攻擊，但由于巨大的利益驅(qū)使，黑帽攻擊者也在不斷提高其自身的對抗手段.未來一段時(shí)間，檢測技術(shù)和逃逸技術(shù)仍然會保持長期的螺旋上升態(tài)勢.

對抗搜索引擎黑帽搜索引擎優(yōu)化最簡單的方法是配置有關(guān)域名、關(guān)鍵詞的黑名單(blacklist).與之對應(yīng)的，攻擊者從最初的直接使用相關(guān)敏感詞，逐漸轉(zhuǎn)移到使用黑話，再到使用人工容易識別、但語義上完全無關(guān)的詞語.為此，如何能在盡量少的基于專家人工經(jīng)驗(yàn)的基礎(chǔ)上準(zhǔn)確生成關(guān)鍵詞黑名單，尤其是先前未掌握的關(guān)鍵詞黑名單，是未來研究的一個重點(diǎn).

隨著搜索引擎檢測算法和非法頁面檢測工具的不斷升級，傳統(tǒng)的一次嵌入數(shù)百、數(shù)千個關(guān)鍵詞的粗放式關(guān)鍵詞篡改攻擊也逐漸進(jìn)化，出現(xiàn)了僅改變關(guān)鍵標(biāo)簽位置內(nèi)容的攻擊方式[70].同時(shí)，除了基于瀏覽器用戶代理、請求頭的偽裝之外，還出現(xiàn)了基于動態(tài)代碼執(zhí)行的偽裝技術(shù)等.因此，如何能在攻擊日益隱蔽的情況下，持續(xù)準(zhǔn)確識別黑帽搜索引擎優(yōu)化的相關(guān)網(wǎng)站，也需要更多研究關(guān)注.

2.2 誤植域名

誤植域名(typosquatting)是一項(xiàng)歷史悠久的網(wǎng)絡(luò)犯罪技術(shù)，自從20世紀(jì)90年代域名開始注冊以來，網(wǎng)絡(luò)犯罪分子就開始通過搶先注冊用戶輸入錯誤的域名，誘導(dǎo)其進(jìn)入預(yù)設(shè)的網(wǎng)站產(chǎn)生訪問流量.誤植域名概念首先由Gilwit在《紐約法律雜志》[75]上提出，2003年Edelman[76]首次對誤植域名進(jìn)行了大規(guī)模的研究，發(fā)現(xiàn)超過8 800個誤植域名，進(jìn)一步調(diào)查發(fā)現(xiàn)大多數(shù)誤植域名都屬于Zuccarini所有.Zuccarini經(jīng)常針對兒童網(wǎng)站進(jìn)行誤植域名攻擊，讓誤輸域名的兒童重定向到色情網(wǎng)站從而牟利[76].

誤植域名的檢測首先要了解誤植域名的生成模式.誤植域名的生成模式經(jīng)歷了由最開始的簡單字符變換到后續(xù)更高級的比特變換等模式的轉(zhuǎn)變，相應(yīng)的檢測技術(shù)也在同步提升.研究人員們除了關(guān)注其中的檢測技術(shù)以外，還關(guān)注這些誤植域名網(wǎng)站背后的盈利模式和其他屬性，以期望更加全面的了解這一灰色產(chǎn)業(yè).本節(jié)也將從誤植域名的生成模式、檢測手段和其產(chǎn)業(yè)背后的其他相關(guān)屬性進(jìn)行梳理.

簡單的誤植域名生成模式可以分為5類[77-78].

① “.”省略.輸入域名忘記輸入“.”時(shí)發(fā)生，如由“www.example.com”變?yōu)椤皐wwexample.com”.

② 字符省略.少輸入域名字符時(shí)發(fā)生，如由“www.example.com”變?yōu)椤皐ww.exmple.com”.

③ 字符錯誤排列.如由“www.example.com”變?yōu)椤皐ww.examlpe.com”.

④ 字符替換.如由”www.example.com”變?yōu)椤皐ww.ezample.com”.

⑤ 字符插入.如由“www.example.com”變?yōu)椤皐ww.exaample.com”.

后續(xù)誤植域名持續(xù)發(fā)展，出現(xiàn)了更加高級的生成模式：

⑥ 同態(tài)誤植域名.Holgers等人[79]提出了同態(tài)誤植域名，即將目標(biāo)域名變化為視覺上相似的域名.如“www.bankofthewest.com”變?yōu)椤皐ww.bankofthevvest.com”,使用2個v來替換”w“.

⑦ 比特誤植域名(bitsquatting).Dinaburg在黑帽安全會議上介紹了比特誤植域名技術(shù)[80]，這種技術(shù)不是依賴于用戶的錯誤輸入，而是由設(shè)備物理故障而發(fā)生的隨機(jī)比特翻轉(zhuǎn)錯誤.

⑧ 同音誤植域名(soundsquatting).Nikiforakis等人發(fā)現(xiàn)了同音誤植域名[81]，即利用單詞的讀音相似性來進(jìn)行攻擊，如“www.eight.com”變?yōu)椤皐ww.ate.com”.

⑨ 組合誤植域名(combosquatting).2017年Kintis等人[82]研究了組合誤植域名入技術(shù)，該技術(shù)將流行域名與單詞連接起來，如“youtube.com”變?yōu)椤皔outube-live.com”.Zeng等人也將這類技術(shù)歸為域名組合搶注[83].

誤植域名技術(shù)的快速迭代也促使相應(yīng)的檢測技術(shù)不斷發(fā)展.如表1所示，Wang等人[77]設(shè)計(jì)了Strider Typo-patrol系統(tǒng)自動掃描并檢測簡單的誤植域名(①～⑤)，首先利用這些生成模式生成大量誤植域名，再對誤植域名進(jìn)行訪問判斷是否被注冊.Wang等人這一檢測方法是最早且被人們廣泛引用的方法之一，如文獻(xiàn)[84-85]中以同樣的方法對誤植域名的存活數(shù)量進(jìn)行了檢測.Holgers等人[79]提出了同態(tài)誤植域名的檢測方法，即通過易被混淆的字符替換目標(biāo)域名以生成誤植域名，并利用DNS解析以確定域名是否被注冊.Nikiforakis等人[86]首次對比特誤植域名現(xiàn)象進(jìn)行了大規(guī)模的分析，提出了對應(yīng)的檢測方法.此后，Nikiforakis等人[81]又提出了同音誤植域名的檢測方法：作者首先利用單詞列表從域名中解析單詞，后利用同音單詞數(shù)據(jù)庫來對目標(biāo)域名單詞進(jìn)行變化生成誤植域名.此后，Kintis等人[82]第1次對組合誤植域名進(jìn)行了大規(guī)模研究，在長達(dá)6年的時(shí)間里，他們通過分析超過4.68億條DNS記錄識別出了270萬個組合誤植域名.上述誤植域名的檢測方法大都是以誤植域名的生成模式為基礎(chǔ)，自動化地生成大量的候選誤植域名，最后利用DNS解析判斷誤植域名存在.根據(jù)他們實(shí)驗(yàn)結(jié)果表明，誤植域名技術(shù)出現(xiàn)20多年來并沒有隨著時(shí)間演進(jìn)而消亡，反而隨著新技術(shù)的出現(xiàn)更加流行.

Table 1 Overview of Typosquatting-Related Research表1 誤植域名相關(guān)研究概覽

此外，在其他使用域名的場景，如郵件系統(tǒng)也會受到誤植域名的影響，Szurdi等人[87]首次對郵件的誤植域名進(jìn)行了研究，他們對自己注冊的誤植域名研究發(fā)現(xiàn)，這些誤植域名對應(yīng)的郵箱確實(shí)能夠收到一些包含敏感信息的郵件，并且他們對真實(shí)世界中的郵件系統(tǒng)研究發(fā)現(xiàn)1 211個誤植域名對應(yīng)的郵箱每年會收到800 000個受害人的郵件.HTML或者JavaScript代碼中引入JavaScript庫時(shí)也會出現(xiàn)由于誤植域名而導(dǎo)致的安全問題，Nikiforakis[88]通過實(shí)驗(yàn)對這一攻擊進(jìn)行了研究，他們注冊了與流行的JavaScript庫名相近的域名，發(fā)現(xiàn)在15天之內(nèi)有16萬名開發(fā)者訪問這些誤植域名的庫，這一攻擊比傳統(tǒng)的誤植域名的威脅要大得多，可能引起惡意代碼注入等安全問題.

除了對誤植域名進(jìn)行檢測之外，研究人員們也關(guān)心誤植域名的幕后經(jīng)濟(jì)模式以及其他相關(guān)屬性.2008年Baberjee等人[78]對誤植域名技術(shù)進(jìn)行了大量的研究，他們發(fā)現(xiàn)誤植域名的假網(wǎng)頁比目標(biāo)網(wǎng)頁體積更小，到達(dá)假網(wǎng)頁需要經(jīng)過很多重定向耗費(fèi)的時(shí)間更多，他們的研究結(jié)果也表明流行網(wǎng)站的域名更受誤植域名攻擊的青睞.7年后，Szurdi等人[85]得到了相反的結(jié)論，他們的研究表明95%的誤植域名攻擊的目標(biāo)在于網(wǎng)站排名“長尾分布”中的處于“長尾”的網(wǎng)站，Agten等人[89]也證實(shí)了這一點(diǎn)，這表明誤植域名的攻擊趨勢和對應(yīng)行為隨著時(shí)間在逐步變化.Agten等人在長達(dá)7個月的研究中還發(fā)現(xiàn)誤植域名的網(wǎng)頁在積極的切換其盈利模式，有時(shí)利用廣告有時(shí)通過詐騙犯罪進(jìn)行盈利.文獻(xiàn)[85,89]也證實(shí)目前誤植域名仍然比較流行.近年來，Khan等人[90]通過“意圖推理”來量化誤植域名技術(shù)對用戶體驗(yàn)的影響.Spaulding等人[91]通過用戶調(diào)研的方式研究了誤植域名技術(shù)在欺騙用戶方面的有效性，研究發(fā)現(xiàn)誤植域名攻擊對熟悉安全相關(guān)知識的人效果不大，且字符替換和字符省略的誤植域名相較其他誤植域名攻擊方式更有效.而Tahir等人[92]通過對人體手部結(jié)構(gòu)、鍵盤布局和鍵字錯誤頻率的探索發(fā)現(xiàn)，手部結(jié)構(gòu)和鍵盤布局造成了某些字符組合拼寫時(shí)更易出錯，進(jìn)而解釋了導(dǎo)致域名更容易存在誤植域名的現(xiàn)象.

誤植域名技術(shù)更多的是用于為其他網(wǎng)絡(luò)犯罪活動如釣魚攻擊[6]、網(wǎng)絡(luò)詐騙[20]等提供技術(shù)支持.犯罪分子布置與目標(biāo)網(wǎng)站相同的網(wǎng)頁，在用戶誤植域名進(jìn)入犯罪分子網(wǎng)站后進(jìn)行釣魚攻擊.由于域名是用戶主動輸入的，用戶在輸入賬戶密碼或者銀行卡號等敏感信息時(shí)警惕心很低，很容易上當(dāng)受騙.誤植域名作為灰色產(chǎn)業(yè)地帶，受到的相關(guān)法律法規(guī)監(jiān)管較弱，所以首先需要從法律法規(guī)角度對這一塊監(jiān)管內(nèi)容做出進(jìn)步，同時(shí)由于用戶粗心誤植入錯誤的域名是不可避免的，對用戶出現(xiàn)誤植域名時(shí)進(jìn)行提醒是有效保護(hù)用戶利益的手段，如何做到用戶誤植域名的判斷并及時(shí)提醒是今后研究的重點(diǎn).

3 網(wǎng)絡(luò)犯罪基礎(chǔ)設(shè)施

僅有網(wǎng)絡(luò)犯罪的攻擊技術(shù)和支撐技術(shù)還不足以構(gòu)成完整的網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈，攻擊技術(shù)和支撐技術(shù)都需要對應(yīng)的基礎(chǔ)設(shè)施提供配套服務(wù).例如，攻擊者實(shí)施網(wǎng)絡(luò)犯罪之前通過地下黑市進(jìn)行相關(guān)信息或者攻擊軟件的獲取，實(shí)施攻擊釣魚、詐騙等攻擊時(shí)可以利用僵尸網(wǎng)絡(luò)服務(wù)來進(jìn)行高效便捷的內(nèi)容分發(fā)，在攻擊成功后利用洗錢渠道等手段來進(jìn)行非法資金的變現(xiàn)等.這些網(wǎng)絡(luò)犯罪基礎(chǔ)設(shè)施無疑為網(wǎng)絡(luò)犯罪攻擊的成功實(shí)施和網(wǎng)絡(luò)犯罪技術(shù)的有效支持提供了方便快捷的渠道.匿名、穩(wěn)定、抗打擊、能力強(qiáng)的基礎(chǔ)設(shè)施是網(wǎng)絡(luò)犯罪產(chǎn)業(yè)蓬勃發(fā)展的基石.本節(jié)對以地下論壇、僵尸網(wǎng)絡(luò)和洗錢渠道為代表的網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈基礎(chǔ)設(shè)施的相關(guān)概念、檢測分析方法進(jìn)行梳理.

3.1 地下論壇

地下論壇(underground forum)是網(wǎng)絡(luò)犯罪分子買賣各種違法商品、服務(wù)或者信息的交易市場，一般也叫做地下黑市.地下黑市交易的違法商品如網(wǎng)絡(luò)犯罪軟件、個人身份信息、銀行卡信息等，這些網(wǎng)絡(luò)犯罪軟件的大量交易使得實(shí)施網(wǎng)絡(luò)犯罪的“門檻”逐漸降低，不具備安全背景的用戶也可以通過“傻瓜式”操作來完成網(wǎng)絡(luò)攻擊，從而導(dǎo)致網(wǎng)絡(luò)攻擊事件頻發(fā)，同時(shí)大量用戶個人信息的交易也使得攻擊的范圍和規(guī)模逐步增大，威脅到大多數(shù)人的財(cái)產(chǎn)安全.

地下黑市在過去的20年間以多種形式存在.早期的地下黑市主要是利用IRC協(xié)議(Internet relay chat)通過群體聊天來交易[93-94]，隨著時(shí)間的發(fā)展網(wǎng)絡(luò)犯罪分子逐漸將這些違法交易的場所轉(zhuǎn)移到更加穩(wěn)定、便利且流量更大的Web論壇[95-96].由于監(jiān)管和打擊的趨嚴(yán)，這些論壇逐步轉(zhuǎn)入“地下”，加入這些論壇有嚴(yán)格的審查過程，有些論壇至少需要3名現(xiàn)有成員推薦才能加入[97].并且某些地下論壇也逐步趨于專門化，如Stone-Cross等人[97]調(diào)查的Spamdot.biz論壇就專門售賣垃圾郵件服務(wù).在地下黑市的研究工作中，研究人員們關(guān)注地下論壇中交換的非法信息和運(yùn)作模式以估計(jì)其背后產(chǎn)生的經(jīng)濟(jì)效應(yīng).地下黑市類別眾多變化極快，人工對這些數(shù)據(jù)分析成為了限制因素，所以研究人員們也在嘗試探索自動化分析地下黑市的方法.本節(jié)從地下黑市的發(fā)展過程出發(fā)，梳理人們對地下黑市經(jīng)濟(jì)模式等屬性和自動化分析方法的相關(guān)研究工作.

文獻(xiàn)[93-94]中對早期基于IRC協(xié)議的地下黑市進(jìn)行了研究，文獻(xiàn)[93]中發(fā)現(xiàn)美國大約有34～40個的比較活躍的地下黑市，這些地下黑市一般都是基于IRC協(xié)議，他們通過多人聊天來完成商品的交易，基于IRC協(xié)議的論壇一般都是開放的很容易被發(fā)現(xiàn)，從而提醒監(jiān)管者對這類地下黑市實(shí)施打擊.Franklin等人[94]首次大規(guī)模研究了基于IRC協(xié)議的地下黑市中商品的價(jià)格和類型以了解背后的經(jīng)濟(jì)模式，他們從活躍的地下論壇中收集了7個月的1 300萬條聊天記錄進(jìn)行分析，發(fā)現(xiàn)這些地下市場中熱門的商品包括信用卡信息、金融信息和個人身份信息等.

相比基于IRC協(xié)議的地下黑市，基于Web論壇的地下黑市中的信息更加多樣復(fù)雜，相應(yīng)的每個地下黑市中商品的種類更多帶來的經(jīng)濟(jì)規(guī)模也更加龐大.Zhuge等人[95]首次對中國公共論壇形式的黑市進(jìn)行了分析，他們提出了一種模型來描述游戲中虛擬資產(chǎn)等商品在的地下論壇中的具體交易流程，并從技術(shù)角度剖析了地下論壇影響下惡意網(wǎng)站構(gòu)建過程的運(yùn)作模式.Motoyama等人[98]通過對6個地下論壇的數(shù)據(jù)進(jìn)行分析，研究了地下市場社交網(wǎng)絡(luò)的構(gòu)成.Afroz等人[99]利用在漁業(yè)和林業(yè)中大放異彩OSTROM經(jīng)濟(jì)框架探究了這些地下論壇的發(fā)展是否可持續(xù)，他們通過對5個地下論壇數(shù)據(jù)進(jìn)行分析，發(fā)現(xiàn)可持續(xù)性取決于論壇的管理.Christin等人通過在2011—2012年收集的論壇數(shù)據(jù)，對絲綢之路(Silk Road)這一典型的地下論壇進(jìn)行了全面的研究分析[100].Pastrana[101]通過收集的4個地下論壇的長達(dá)10年的帖子，首次分析了地下市場中10年間交易貨幣的演變過程，發(fā)現(xiàn)亞馬遜禮品卡也逐步成為地下黑市的交換媒介，且比特幣是黑市中最受歡迎的交易貨幣.Hughes等人[102]使用統(tǒng)計(jì)建模的方法分析了地下市場在3種不同的時(shí)期(動蕩、平穩(wěn)和新冠肺炎)中經(jīng)濟(jì)發(fā)展和社會特征，在動蕩時(shí)期只有極少交易在增長；在平穩(wěn)的時(shí)期他們觀察到大范圍的經(jīng)濟(jì)活動變化如亞馬遜禮品卡這種中間貨幣大規(guī)模的兌換；在新冠肺炎大流行時(shí)期，他們發(fā)現(xiàn)所有類別的商品交易都在顯著地增長.

地下黑市逐漸產(chǎn)生了專門化的趨勢，研究人員們也開始對這些地下黑市中特定商品進(jìn)行分析.Gross等人[97]對地下論壇中垃圾郵件的經(jīng)濟(jì)模式進(jìn)行分析，他們在主售垃圾郵件服務(wù)的Spamdot. biz論壇關(guān)閉之前收集了其中的數(shù)據(jù)，對其進(jìn)行了全面的分析，研究發(fā)現(xiàn)該論壇中Email地址數(shù)據(jù)是最熱銷的商品，Sood等人[103]揭示了地下市場中犯罪軟件的買賣運(yùn)作情況.Sun等人[104]首次研究了地下市場中“特權(quán)濫用”現(xiàn)象，文獻(xiàn)中的“特權(quán)濫用”類比于亞馬遜等電商的買家通過商家設(shè)置商品的漏洞或者欺騙商家退款進(jìn)行牟利.

為了減少研究地下黑市耗時(shí)費(fèi)力的人力開銷，研究人員們逐步轉(zhuǎn)向探索自動化分析黑市的方法.Afroz等人[105]首次探究了地下論壇中非結(jié)構(gòu)數(shù)據(jù)的分析方法，他們利用Stylometry方法——通過分析寫作風(fēng)格來識別匿名信息的匿名作者，自動化識別地下論壇中用戶的多重身份.Li等人[106]則基于深度學(xué)習(xí)模型情緒分析方法分析其中顧客對賣家商品的反饋，從而自動化識別地下黑市的惡意軟件或者病毒的制作者.Portnoff等人[107]則利用自然語言處理技術(shù)(NLP)和機(jī)器學(xué)習(xí)實(shí)現(xiàn)了對地下黑市中帖子類別、商品種類和價(jià)格的識別的自動化識別.

地下黑市作為違法商品交易的場所，不僅為網(wǎng)絡(luò)犯罪分子實(shí)施攻擊提供了相應(yīng)的信息和技術(shù)支持，也為他們犯罪后快速變現(xiàn)提供了方便的渠道.如地下黑市中售賣的垃圾郵件服務(wù)其中的受害者郵件地址或者分發(fā)郵件的僵尸網(wǎng)絡(luò)都為垃圾郵件分發(fā)提供了更加高效方便的技術(shù)支持[97].如今大多數(shù)網(wǎng)絡(luò)犯罪的實(shí)施者都不太精通安全技術(shù)，他們的網(wǎng)絡(luò)犯罪攻擊和攻擊流程等信息都是從地下黑市中購買，然后加以簡單操作便能實(shí)施高效的攻擊，攻擊之后再將所得個人信息等數(shù)據(jù)放到黑市中售賣.

網(wǎng)絡(luò)黑市作為大多數(shù)網(wǎng)絡(luò)攻擊的源頭和終點(diǎn)，對其整個生態(tài)或者產(chǎn)業(yè)鏈進(jìn)行研究能夠加深對網(wǎng)絡(luò)犯罪動機(jī)等的理解，從源頭上減少網(wǎng)絡(luò)犯罪事件的發(fā)生，目前大多數(shù)研究都是做的這方面的工作.但是大多數(shù)對地下黑市的研究仍然停留在人工分析數(shù)據(jù)的階段，探究地下黑市自動化分析方法的研究還是不足，所以探究如何自動化分析提取地下黑市的有價(jià)值信息，如何利用機(jī)器學(xué)習(xí)或者NLP技術(shù)抽象提取這些信息中更高維度的特征用于研究是后續(xù)的一個研究方向.同時(shí)目前對地下論壇的研究由于數(shù)據(jù)收集的限制側(cè)重于比較開放的地下黑市，而對其他比較隱蔽甚至需要特殊協(xié)議進(jìn)入的地下黑市研究甚少，對這部分黑市背后的產(chǎn)業(yè)鏈以及幕后經(jīng)濟(jì)模式的研究能夠進(jìn)一步加深對黑灰產(chǎn)行業(yè)的理解，也是未來需要研究的一個方向.

3.2 僵尸網(wǎng)絡(luò)

僵尸網(wǎng)絡(luò)(botnet)是在黑客命令控制下的一組受感染的終端主機(jī)，這些主機(jī)也被叫做“肉雞”.僵尸網(wǎng)絡(luò)主要由3部分組成：僵尸網(wǎng)絡(luò)控制者(botmaster)、命令控制通道(command and control)和僵尸主機(jī)(bots)[108].僵尸網(wǎng)絡(luò)不僅本身能夠造成巨大的危害，如進(jìn)行DDOS攻擊，還能為其他網(wǎng)絡(luò)犯罪提供最基礎(chǔ)的服務(wù)，如利用僵尸網(wǎng)絡(luò)以垃圾郵件為載體進(jìn)行釣魚信息、詐騙信息和惡意軟件等的傳播.僵尸網(wǎng)絡(luò)所涉及的研究范圍較為廣泛，本節(jié)將以垃圾郵件分發(fā)角度為例，梳理僵尸網(wǎng)絡(luò)在網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中相關(guān)的技術(shù)研究.

在垃圾郵件的分發(fā)方面，垃圾郵件IP黑名單過濾機(jī)制很好地限制了垃圾郵件的傳播，因此垃圾郵件發(fā)送者開始利用或者租用僵尸網(wǎng)絡(luò)來進(jìn)行垃圾郵件的分發(fā)[109].使用大量的僵尸主機(jī)進(jìn)行垃圾郵件的傳播顯著提高了垃圾郵件投放的成功率和黑名單即時(shí)更新的難度[110].僵尸網(wǎng)絡(luò)作為一個龐大的分布式計(jì)算網(wǎng)絡(luò)，擁有很多僵尸主機(jī)，利用這些僵尸主機(jī)能夠在數(shù)小時(shí)之內(nèi)發(fā)送千萬封垃圾郵件[111]；在僵尸網(wǎng)絡(luò)中，僵尸主機(jī)協(xié)同合作使得發(fā)送垃圾郵件的主機(jī)IP不斷改變同時(shí)僵尸主機(jī)地理位置的多樣性也使得它們很容易就逃避了垃圾郵件過濾技術(shù)和IP黑名單技術(shù)的檢測.由于僵尸網(wǎng)絡(luò)規(guī)模的龐大性和分發(fā)垃圾郵件的簡便有效性，從2003年第1次使用僵尸網(wǎng)絡(luò)分發(fā)垃圾郵件以來，僵尸網(wǎng)絡(luò)已經(jīng)成為發(fā)送垃圾郵件的主要方式，在2011年時(shí)使用僵尸網(wǎng)絡(luò)來發(fā)放垃圾郵件的比例就已高達(dá)83.1%[112].

比較受歡迎的垃圾郵件僵尸網(wǎng)絡(luò)服務(wù)有Bobax,Rustock,Storm等[113].Bobax是第一個基于模板的垃圾郵件僵尸網(wǎng)絡(luò)，它每天發(fā)送90億條垃圾郵件，有18.5萬個發(fā)送垃圾郵件的僵尸主機(jī)[114].Rustock僵尸網(wǎng)絡(luò)服務(wù)最早出現(xiàn)在2006年，它有15萬到240萬臺僵尸主機(jī)，每小時(shí)能夠發(fā)送多達(dá)2.5萬封垃圾郵件[115]，這些垃圾郵件涉及假藥廣告、假冒微軟彩券詐騙等.Storm是最著名最大的僵尸網(wǎng)絡(luò)，它在2007年利用100萬～5 000萬臺受感染的主機(jī)發(fā)送了全球20%的垃圾郵件，這些垃圾郵件涉及到釣魚攻擊、雇傭詐騙廣告等[116].

針對垃圾郵件僵尸網(wǎng)絡(luò)服務(wù)的檢測技術(shù)主要分為2種，基于被動發(fā)現(xiàn)的檢測技術(shù)和基于主動發(fā)現(xiàn)的檢測技術(shù).基于被動發(fā)現(xiàn)的檢測技術(shù)是指靜默的觀察僵尸網(wǎng)絡(luò)發(fā)送垃圾郵件的活動并對產(chǎn)生的大量垃圾郵件進(jìn)行深入分析，被動檢測技術(shù)可以分為基于簽名、基于DNS和基于異常的檢測方式.基于簽名的檢測技術(shù)利用已知僵尸網(wǎng)絡(luò)發(fā)布的垃圾郵件、惡意軟件的簽名或者指紋來進(jìn)行檢測，Xie等人[117]中提出了AutoRe框架，它以垃圾郵件的內(nèi)容、服務(wù)器流量等屬性來生成對應(yīng)的指紋和特征，AutoRe對來自Hotmail的郵件進(jìn)行隨機(jī)抽樣識別，發(fā)現(xiàn)了7 721起由僵尸網(wǎng)絡(luò)發(fā)起的垃圾郵件活動.Ching等人[118]提出EIGENBOT，該技術(shù)可以通過基于語義圖分析方法動態(tài)區(qū)分僵尸網(wǎng)絡(luò)發(fā)送的垃圾郵件.基于DNS的檢測技術(shù)通過監(jiān)視DNS活動和檢測不尋常的DNS查詢來檢測僵尸網(wǎng)絡(luò)DNS流量.Ramachandran等人[119]中提出檢查DNS黑名單(DNSBL)中域名的查詢情況來尋找僵尸主機(jī).其利用啟發(fā)式規(guī)則來區(qū)分合法的DNSBL流量和來自僵尸網(wǎng)絡(luò)的查詢流量，然后利用僵尸網(wǎng)路的查詢流量追蹤僵尸主機(jī).Ehrlich等人[120]提出了一種利用網(wǎng)絡(luò)流數(shù)據(jù)和DNS元數(shù)據(jù)檢測垃圾郵件源主機(jī)、僵尸主機(jī)以及僵尸網(wǎng)絡(luò)控制者的方法.基于異常的僵尸網(wǎng)絡(luò)檢測是指，觀察和分析不符合預(yù)期正常行為的電子郵件流量模式，以檢測垃圾郵件的僵尸網(wǎng)絡(luò).Sroufe等人[121]提出了一種基于電子郵件“骨架”異常來分類僵尸網(wǎng)絡(luò)的方法，“骨架”是指電子郵件HTML代碼中每個標(biāo)簽中字符長度，然后利用機(jī)器學(xué)習(xí)將這種”骨架“信息用于分類不同僵尸網(wǎng)絡(luò)發(fā)送的垃圾郵件.這種方式的一個局限性是，它不是檢測垃圾郵件僵尸網(wǎng)絡(luò)的完整解決方案，但它可以與垃圾郵件僵尸網(wǎng)絡(luò)的網(wǎng)絡(luò)行為分析相結(jié)合，以提高檢測和分類僵尸網(wǎng)絡(luò)的整體性能.Schafer等人[122]使用從SMTP服務(wù)器的日志文件中提取的數(shù)據(jù)來進(jìn)行異常識別，他們從中提取源IP和連接時(shí)間來檢測異常，從而檢測被僵尸網(wǎng)絡(luò)濫用的帳戶.

基于主動發(fā)現(xiàn)的檢測技術(shù)是通過創(chuàng)建一個模擬C&C協(xié)議的客戶端從而加入到僵尸網(wǎng)絡(luò)中，在加入僵尸網(wǎng)絡(luò)后準(zhǔn)確估計(jì)僵尸網(wǎng)絡(luò)的大小，甚至破壞整個僵尸網(wǎng)絡(luò).進(jìn)一步地，主動發(fā)現(xiàn)檢測技術(shù)也可以分為3種類型，基于滲透的、基于受控環(huán)境的和基于Web惡意流量重定向的檢測技術(shù).在基于滲透的檢測技術(shù)方面，Kreibich等人[123]利用分布式滲透方法對Storm僵尸網(wǎng)絡(luò)分發(fā)的垃圾郵件進(jìn)行了初步分析.Gross等人[97]通過主動攻擊的方式獲得Cutwail僵尸網(wǎng)絡(luò)中13臺僵尸網(wǎng)絡(luò)服務(wù)主機(jī)的控制權(quán)，以此他們對僵尸網(wǎng)絡(luò)中垃圾郵件的分發(fā)操作進(jìn)行演示，同時(shí)他們也研究了基于IP的黑名單過濾機(jī)制的有效性、黑名單列表的質(zhì)量和僵尸主機(jī)的可靠性等問題.在基于受控環(huán)境方面，Andreas等人[124]開發(fā)了Botnet judo系統(tǒng)，該系統(tǒng)將在受控環(huán)境中運(yùn)行僵尸主機(jī)發(fā)送的垃圾郵件處理成正則表達(dá)式簽名形式，然后進(jìn)行垃圾郵件的實(shí)時(shí)檢測.作者利用一種模板推理算法來產(chǎn)生垃圾郵件的正則表達(dá)式簽名，并且在受控的僵尸主機(jī)收到命令發(fā)送垃圾郵件時(shí)對簽名進(jìn)行實(shí)時(shí)更新.作者還評估了多個模板推理的使用情況,證明judo在一種模板方式和多種模板方式下都很有效.在基于惡意流量重定向的檢測技術(shù)方面，Ramachnaran和Feamster等人[125]研究了垃圾郵件的網(wǎng)絡(luò)級特征，并觀察了垃圾郵件發(fā)送者的網(wǎng)絡(luò)級行為.通過對垃圾郵件傳播數(shù)據(jù)的追蹤，他們發(fā)現(xiàn)并確定了其分析的垃圾郵件來自BoBax僵尸網(wǎng)絡(luò).

目前存在很多對僵尸網(wǎng)絡(luò)的研究工作，研究人員們提出的對僵尸網(wǎng)絡(luò)的不同研究方式都有其局限性，特別是對于基于P2P協(xié)議的僵尸網(wǎng)絡(luò)檢測，目前基于主動的檢測方式只能獲得僵尸網(wǎng)絡(luò)的一部分信息，使用被動探測和主動檢測方式結(jié)合來探究P2P僵尸網(wǎng)絡(luò)是今后的研究方向[113].同時(shí)隨著移動設(shè)備、云服務(wù)、物聯(lián)網(wǎng)的發(fā)展，會出現(xiàn)基于各種各樣不同設(shè)備的僵尸網(wǎng)絡(luò)攻擊，這也對檢測方法提出了更高的要求.

3.3 洗錢渠道

洗錢是犯罪分子用于逃避稅務(wù)或者隱藏非法資金流向的手段[126].大多數(shù)網(wǎng)絡(luò)犯罪都是以牟利為目的，網(wǎng)絡(luò)犯罪分子一般最后都會進(jìn)行資金的變現(xiàn)操作.但是使用常規(guī)的變現(xiàn)手段很容易被執(zhí)法部門追蹤資金流向進(jìn)而導(dǎo)致賬戶被凍結(jié)，因此，犯罪分子會使用各種的洗錢手段來使所得資金“合法化”.

傳統(tǒng)的“物理”洗錢方式有如現(xiàn)金走私、賭博洗錢、保險(xiǎn)洗錢和黑市比索交易(Balck Market Peso Exchange)等各種各樣的方式，而現(xiàn)如今每天網(wǎng)絡(luò)上發(fā)生著數(shù)億筆交易，互聯(lián)網(wǎng)的匿名性和不斷發(fā)展的技術(shù)促使網(wǎng)上洗錢業(yè)務(wù)變成流行.洗錢是網(wǎng)絡(luò)犯罪生態(tài)中關(guān)鍵的一步，隨著支付機(jī)制的變化洗錢的方式也在逐步變化.網(wǎng)上洗錢方式從傳統(tǒng)的使用Liberty Reserve(一家在線支付公司)[127]洗錢、錢騾(Money mule)洗錢逐步轉(zhuǎn)變到使用網(wǎng)絡(luò)游戲虛擬貨幣洗錢和利用PayPal[128]、比特幣等貨幣的小額洗錢方式[129].洗錢已經(jīng)作為一項(xiàng)服務(wù)在網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈的重要組成部分在地下論壇中廣泛存在，因此研究人員們往往從地下論壇的數(shù)據(jù)作為切入點(diǎn)，研究洗錢過程中貨幣交換和資金流向等問題.本節(jié)從網(wǎng)上洗錢方式的發(fā)展和其中貨幣交換的角度梳理研究人員對網(wǎng)絡(luò)犯罪生態(tài)中洗錢手段的研究.

Liberty Reserve是一家支持匿名收付款的在線支付公司，很多網(wǎng)絡(luò)犯罪分子曾利用其匿名性進(jìn)行洗錢[129].但是自2013年5月Liberty Reserve被關(guān)閉后，該方式逐步被比特幣洗錢替代[101].

錢騾是指利用自己的賬戶將非法資金或者高價(jià)值貨物進(jìn)行轉(zhuǎn)移的中間人，他們在轉(zhuǎn)移成功后會得到一筆報(bào)酬，由于將非法錢財(cái)轉(zhuǎn)移到網(wǎng)絡(luò)犯罪高發(fā)的一些國家存在困難，因此犯罪市場對錢騾存在大量需求[130].錢騾一般都是被以“在家高薪工作”等詐騙郵件為噱頭欺騙的個體，他們并不知道其正在從事違法活動.根據(jù)Mikhaylov等人[130]的發(fā)現(xiàn)，學(xué)生、吸毒者、流浪漢和老人是犯罪分子們理想的錢騾招募目標(biāo).Hao等人[29]發(fā)現(xiàn)了一種新型網(wǎng)絡(luò)詐騙——貨物重運(yùn)詐騙(reshipping scams)，犯罪分子用盜取的信用卡購買高價(jià)值商品之后通過地下市場服務(wù)租用“騾子”幫忙接收和運(yùn)送包裹從而轉(zhuǎn)移非法財(cái)產(chǎn).

使用游戲虛擬貨幣也成為現(xiàn)在常用的洗錢手段，如某些大型網(wǎng)絡(luò)游戲中存在虛擬獲取兌換等功能，犯罪分子會利用非法資金購買游戲虛擬貨幣然后再將這虛擬貨幣在游戲論壇中售賣[131].其中網(wǎng)上賭博等游戲也屬于這一類[129].Irwin等人[132]提出對網(wǎng)絡(luò)游戲大規(guī)模資金交易進(jìn)行限制來對此類洗錢手段進(jìn)行限制.

在洗錢過程中非法貨幣交換和資金流向方面，2016年，Alexander等人[130]對2個俄羅斯語的地下論壇進(jìn)行了分析，發(fā)現(xiàn)俄羅斯網(wǎng)絡(luò)犯罪分子更喜歡使用Webmoney電子商務(wù)支付系統(tǒng)[133]和西聯(lián)國際匯款公司(Western Union)[134]來兌現(xiàn)或者進(jìn)行資金的轉(zhuǎn)移.然而，Portnoff等人[107]證明現(xiàn)在比特幣和PayPal是非法交易的首選貨幣，同時(shí)他們也觀察到資金從PayPal、比特幣或者其他支付機(jī)制轉(zhuǎn)移到信用卡的需求.Pastrana等人[135]的研究也證明了PayPal、比特幣分別為網(wǎng)絡(luò)犯罪經(jīng)濟(jì)中最常用的2種交易方式，同時(shí)他們也發(fā)現(xiàn)2015年后亞馬遜禮品卡作為交易方式逐漸開始流行.Huang等人[136]對勒索軟件犯罪中支付的勒索金流向做了研究，他們發(fā)現(xiàn)勒索軟件犯罪分子們更喜歡使用BTC-e(俄羅斯一家將比特幣兌換為法定貨幣的交易所)[137]來兌換比特幣.最近Siu等人[138]研究發(fā)現(xiàn)PayPal仍然是網(wǎng)絡(luò)犯罪分子最喜歡交換的交易方式，同時(shí)由于比特幣價(jià)格的劇烈波動，非法資金交易媒介有從比特幣轉(zhuǎn)移到PayPal的趨勢.

在網(wǎng)絡(luò)犯罪生態(tài)中洗錢手段變換多樣，目前已有很多研究對洗錢的方式進(jìn)行探究，但是正如文獻(xiàn)[129]中所闡述，洗錢方式會隨著支付機(jī)制的轉(zhuǎn)變而轉(zhuǎn)變，因此對于新型洗錢手段的研究是今后的研究方向.同時(shí)洗錢變現(xiàn)作為網(wǎng)絡(luò)犯罪過程中的最后一環(huán)，對洗錢過程的自動識別和溯源是為受害者挽回?fù)p失的基礎(chǔ)，也是今后研究的重點(diǎn)之一.

4 總 結(jié)

隨著人們的生產(chǎn)生活對于網(wǎng)絡(luò)依賴的提高.網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈規(guī)模日趨龐大，其攻擊形式、支撐技術(shù)、基礎(chǔ)設(shè)施的協(xié)調(diào)配合更加復(fù)雜.犯罪分子通過變化多端的攻擊形式，損害人民群眾的生命財(cái)產(chǎn)安全.網(wǎng)絡(luò)犯罪的攻擊形式除了充分考慮心理學(xué)、社會工程學(xué)和人機(jī)交互設(shè)計(jì)特點(diǎn)之外，往往還有相關(guān)網(wǎng)絡(luò)犯罪支撐技術(shù)為其提供相關(guān)技術(shù)支持，保證攻擊的有效性和高效性.此外，不論是攻擊形式和支撐技術(shù)均無法獨(dú)立完成完整的犯罪過程，其需要通過對應(yīng)的網(wǎng)絡(luò)設(shè)施進(jìn)行部署，在地下交易平臺上買賣用戶數(shù)據(jù)并通過洗錢渠道將非法所得“洗白”.

針對網(wǎng)絡(luò)犯罪產(chǎn)業(yè)鏈的復(fù)雜特點(diǎn)，本文從釣魚、詐騙、惡意挖礦等經(jīng)典的網(wǎng)絡(luò)犯罪攻擊形式入手，介紹網(wǎng)絡(luò)犯罪攻擊形式的特點(diǎn)和邏輯，進(jìn)而綜述黑帽搜索引擎優(yōu)化、誤植域名等網(wǎng)絡(luò)犯罪支撐技術(shù)，并討論了網(wǎng)絡(luò)犯罪依賴的地下論壇、僵尸網(wǎng)絡(luò)和洗錢渠道等基礎(chǔ)設(shè)施，梳理網(wǎng)絡(luò)犯罪生態(tài)的組成部分.最后，列舉了網(wǎng)絡(luò)犯罪研究中的一些仍存在的挑戰(zhàn)和未來研究方向.