薛 富 高一男

（中國人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院 北京 100038）

0 引言

隨著微博獲得了高速發(fā)展，短鏈接服務(wù)也更加活躍。短鏈接在方便了人們在微博等平臺上進(jìn)行分享的同時也帶來了諸多風(fēng)險。由于短鏈接中不含有任何的目標(biāo)網(wǎng)站信息，以至于人們將無從知曉該短網(wǎng)址究竟會帶我們走向哪里。許多的網(wǎng)絡(luò)釣魚犯罪分子通過在用戶界面張貼一個通向釣魚網(wǎng)站的“短網(wǎng)址”，然后微博平臺便自動將這惡意短網(wǎng)址分發(fā)給該用戶所有的好友。由于這些社交網(wǎng)絡(luò)平臺用戶間的信任關(guān)系，他們更容易點擊這些惡意的短網(wǎng)址，最終引入這些釣魚網(wǎng)站，被竊取個人敏感信息如身份證號、銀行卡號、密碼等，最終造成個人財產(chǎn)損失。

本文提出了一種新的短網(wǎng)址生成方法，通過在生成過程中分析目標(biāo)網(wǎng)站的特征，并將其嵌入短網(wǎng)址中，建立起該短網(wǎng)址與目標(biāo)網(wǎng)站URL之間的一種聯(lián)系，使用戶在點擊短地址之前便能夠知曉目的網(wǎng)址的部分信息，并提高對網(wǎng)絡(luò)釣魚的警惕性。這將有效的遏制網(wǎng)絡(luò)釣魚犯罪分子肆無忌憚的利用短網(wǎng)址欺騙用戶的行為，對從源頭減少惡意鏈接的生成、規(guī)范短網(wǎng)址生成服務(wù)提供有效借鑒。

1 短網(wǎng)址服務(wù)

短網(wǎng)址服務(wù)通常包含短地址生成過程和地址重定向兩個過程。短網(wǎng)址服務(wù)提供商會提供一個包含腳本的界面，該腳本包含請求縮短的長地址，系統(tǒng)經(jīng)過濫用預(yù)防、URL過濾、垃圾預(yù)防、URL驗證等檢查之后會生成一個隨機字符串，并將該 ID與目標(biāo)地址以某種形式存儲在數(shù)據(jù)庫中，并返回與該ID相關(guān)的短地址。當(dāng)用戶訪問該段地址時，系統(tǒng)就可以通過 301、302或META轉(zhuǎn)向等域名重定向技術(shù)將訪問當(dāng)前短網(wǎng)址的用戶引導(dǎo)至目標(biāo)網(wǎng)站。對于短地址 www.shorturl.com/8kiR21o，“www.shorturl.com”即是服務(wù)網(wǎng)站，8kiR21o 則為編碼后的ID。

2 網(wǎng)絡(luò)釣魚新形式

由于生成后的短網(wǎng)址與目標(biāo)網(wǎng)站在內(nèi)容上不存在任何聯(lián)系，導(dǎo)致用戶無法根據(jù)該短網(wǎng)址猜測目的URL。因而，網(wǎng)絡(luò)釣魚分子便利用這一弱點實施網(wǎng)絡(luò)詐騙。網(wǎng)絡(luò)釣魚分子會通過微博等平臺發(fā)送一條包含指向釣魚網(wǎng)站的短網(wǎng)址，并生成這是一條合法的地址，通過優(yōu)惠、打折等相關(guān)詞語吸引其他好友的點擊。其他用戶收到該信息以后認(rèn)為這是將指向一個合法的購物或銀行網(wǎng)頁如淘寶、當(dāng)當(dāng)、工商銀行等，實際上這個網(wǎng)址卻轉(zhuǎn)向了仿冒的網(wǎng)站。目前，傳統(tǒng)的黑白名單方法無法在第一時間發(fā)現(xiàn)并提示用戶安全風(fēng)險，而機器學(xué)習(xí)來檢測釣魚網(wǎng)站的方法也因短鏈接的隨機性而無法提取出有效的特征。

3 內(nèi)容相關(guān)短鏈接生成算法

基于內(nèi)容的短鏈接生成算法通過構(gòu)建目的網(wǎng)址與生成的短網(wǎng)址的一種聯(lián)系，使得在地址得到縮短的同時，用戶能夠在短鏈接中猜測到目的網(wǎng)址的部分內(nèi)容，從而達(dá)到防范網(wǎng)絡(luò)詐騙的目的。算法主要思想來源于阿拉伯語中不包含短元音，卻同樣可以用于交流而不會產(chǎn)生障礙。因此，我們嘗試將去掉元音的關(guān)鍵信息融合進(jìn)短網(wǎng)址中，使得用戶在去掉元音的時候仍能夠猜測目的網(wǎng)址；同時添加一標(biāo)志位用于存放對目標(biāo)網(wǎng)址預(yù)處理的結(jié)果，便于其他組織對該鏈接進(jìn)行自動化檢測。

3.1 生成算法

首先提取目的網(wǎng)址的站點名稱。這里的站點名稱指URL中排除了協(xié)議、頂級域名、路徑等之后最能體現(xiàn)目標(biāo)網(wǎng)站類型的部分。例如：“http：//tieba.baidu.com/index.html”這一鏈接，我們將首先提取域名部分“baidu.com”，然后提取站點名稱“baidu”，這一過程可以使用正則表達(dá)式直接實現(xiàn)。然后通過去掉元音字母、數(shù)字和連接符的方法來生成一個簡短的相關(guān)詞。上文中站點“baidu”去掉元音“ai”、“u”后會得到相關(guān)詞“bd”，并將其全部轉(zhuǎn)換為小寫。當(dāng)站點名稱沒有任何輔音的時候我們將會通過其他附加規(guī)則來生成相應(yīng)的詞。如網(wǎng)易站點163將使用相關(guān)詞“3N”，大寫字母“N”表示數(shù)字類型，3表示所含數(shù)字個數(shù)。

檢查相關(guān)詞的登記信息。當(dāng)用戶使用長地址縮短服務(wù)時，將首先檢查該目的 URL是否已被注冊。如果目的地址已被注冊，則直接返回相應(yīng)的短鏈接。如果目的地址或相關(guān)詞未被注冊，則對該相關(guān)詞進(jìn)行增量計數(shù)。生成的結(jié)果將包含相關(guān)詞和計數(shù)兩部分，確保不同站點的相關(guān)詞得以區(qū)分。例如百度公司“www.baidu.com”和美國BD公司“www.bd.com”將根據(jù)請求短網(wǎng)址服務(wù)的先后順序生成“bd_0和bd_5”。相同站點下的鏈接將通過對其內(nèi)部ID進(jìn)行編碼區(qū)分。生成鏈接檢查標(biāo)識。在提供短網(wǎng)址服務(wù)時同時將對目的鏈接進(jìn)行簡單的安全性檢查，檢測其是否含有釣魚網(wǎng)站特征，并在短網(wǎng)址中添加一個標(biāo)志位，既能便于用戶了解更多的安全性信息，又能方便第三方組織根據(jù)該特征位實現(xiàn)自動化檢測。首先將檢測目的地址是已經(jīng)是短鏈接，若是則進(jìn)一步判定其是否為本站點提供的短鏈接，為本站點提供的短鏈接則提取標(biāo)識位，否則還原其目的地址。下一步對目的URL檢測釣魚網(wǎng)站特征。如O代表普通網(wǎng)址，I表示鏈接為IP地址，P指示使用非標(biāo)準(zhǔn)端口，H表示含十六進(jìn)制編碼等。最終“http：//tieba.baidu.com/index.html”將被縮短為為“www.shorturl.com/bd_0OiR21o”，而“www.bd.com”將被縮短為為“www.shorturl.com/bd_5OeR4to”。

3.2 結(jié)果分析

我國的網(wǎng)址命名一般按照拼音、諧音、英文含義等方式將單位或組織名稱嵌入域名中，如拼音形式的“baidu.com”“renren.com”，諧音形式的“sina.com”“vancle.com”，以及簡寫“ruc.edu.cn”等形式。這樣做符合人們的閱讀習(xí)慣并方便人們記憶。而我們所研究的去掉元音保留輔音的方法和人們常用的使用拼音的首字母代替該漢字有相似之處，人們可以很自然地根據(jù)縮短的相關(guān)詞去推測其全文含義，而不需要過多的加以引導(dǎo)。例如“baidu”縮寫為“bd”、“renren”縮寫為“rnrn”，“vancle”縮寫為“vnl”。

常見的釣魚網(wǎng)址類型，通過該生成算法得到的短網(wǎng)址和被仿冒網(wǎng)站生成短網(wǎng)址有較好的區(qū)分度。而高明的釣魚網(wǎng)址仿冒類型，如通過替換相似字母將“i”替換成“l(fā)”，使工商銀行網(wǎng)址“www.icbc.com.cn”變成“www.lcbc.com.cn”，但是短網(wǎng)址中“i”為元音將被去掉，而“l(fā)”卻會被保留，由此產(chǎn)生的短網(wǎng)址“www.shorturl.com/b_0OqrSC”和“www.shorturl.com/lb_Lqs5i”能夠被很好地區(qū)分。其他網(wǎng)站名稱和IP地址類型等則更容易區(qū)分。另外，通過添加一位標(biāo)志位，將更好地顯示出原網(wǎng)址的特征，提醒用戶對于相關(guān)詞不易區(qū)分但暗藏風(fēng)險的站點多加提防。

4 總結(jié)

短網(wǎng)址的廣泛應(yīng)用，給網(wǎng)絡(luò)詐騙帶來了可乘之機。該算法從短鏈接生成時便提供了網(wǎng)絡(luò)釣魚的防范機制，使得網(wǎng)絡(luò)釣魚分子不能隨心所欲地利用短網(wǎng)址服務(wù)進(jìn)行變形和偽裝的，從源頭切斷短網(wǎng)址傳播網(wǎng)絡(luò)釣魚鏈接這一方式，同時統(tǒng)一的短網(wǎng)址生成格式也有助于其他網(wǎng)絡(luò)釣魚探測系統(tǒng)對該短網(wǎng)址進(jìn)行進(jìn)一步的分析，解決了機器學(xué)習(xí)難以提取有效特征的問題。凈化網(wǎng)絡(luò)環(huán)境，打擊網(wǎng)絡(luò)犯罪離不開各方的共同努力，必須多措并舉，共同營造積極健康的網(wǎng)絡(luò)環(huán)境。

[1]黃華軍，王耀鈞，姜麗清 .網(wǎng)絡(luò)釣魚防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012，（04）：30-35.

[2]蔡岳峰.網(wǎng)易短網(wǎng)址服務(wù)系統(tǒng)的設(shè)計與實現(xiàn)[D].北京：北京交通大學(xué)，2012.

[3]成亦陳，黃淑華.惡意短鏈接欺騙的防護(hù)對策研究[J].信息網(wǎng)絡(luò)安全，2013，（074）：32-33.

[4]S.Chhabra，A.Aggarwal，F(xiàn).Benevenuto，andP.Kumaraguru.Phi.sh/$oCiaL：the phishing landscape through short URLs.In CEAS ’11.ACM Request Permissions，Sept.2011.

[5]C.Grier，K.Thomas，V.Paxson，and M.Zhang.@spam：the underground on 140 characters or less.In CCS ’10，pages 27–37，New York，NY，USA，2010.ACM.