伴隨著科技的發(fā)展，人們越來越關(guān)注攻防角色分組的情境實踐模式，為解決日漸嚴(yán)重的網(wǎng)絡(luò)釣魚危機(jī)提供技術(shù)保障?，F(xiàn)有的反釣魚技術(shù)已經(jīng)很難滿足信息安全的要求，如何強(qiáng)化網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)，需要研究人員加大研究力度，為私人信息安全提供保障。本文從網(wǎng)絡(luò)釣魚概念及分類著手，對網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)及防御框架設(shè)計做了簡單介紹。

【關(guān)鍵詞】網(wǎng)絡(luò)釣魚 防御技術(shù) 防御框架 設(shè)計

經(jīng)調(diào)查發(fā)現(xiàn)，絕大部分網(wǎng)絡(luò)信息安全事件均由病毒感染引發(fā)，50%的計算機(jī)用戶賬號存在被盜或者私人信息失真等問題，被釣魚網(wǎng)站欺騙的用戶量也逐年提升。受經(jīng)濟(jì)利益的趨勢，部分用戶在實際使用過程中不顧他人利益，制造、販賣病毒木馬以及進(jìn)行網(wǎng)絡(luò)詐騙等行為屢禁不止，網(wǎng)絡(luò)信息安全已經(jīng)威脅到人們?nèi)粘Ｉ?，?yán)重阻礙了互聯(lián)網(wǎng)行業(yè)的發(fā)展。目前，網(wǎng)絡(luò)釣魚防御主要集中在釣魚網(wǎng)站檢測、網(wǎng)絡(luò)釣魚分析以及垃圾郵件過濾等領(lǐng)域，加強(qiáng)網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)及構(gòu)建合理有效的防御框架是網(wǎng)絡(luò)信息安全的重要保障。

1 網(wǎng)絡(luò)釣魚概念及分類

網(wǎng)絡(luò)釣魚是一種常見的互聯(lián)網(wǎng)攻擊方式，以垃圾郵件、即時聊天工具以及手機(jī)短信等為依托，傳遞各種詐騙信息，誘導(dǎo)用戶登陸詐騙網(wǎng)站獲得用戶真實信息的一種詐騙行為。網(wǎng)絡(luò)釣魚攻擊具體可以劃分為以下三種類型：第一，欺騙攻擊。通過發(fā)送電子郵件、手機(jī)短信等方式，誘導(dǎo)用戶登錄釣魚網(wǎng)站，從而獲得用戶的機(jī)密信息；第二，惡意程序攻擊。網(wǎng)絡(luò)具有較強(qiáng)的公開性，部分用戶受利益驅(qū)使惡意損壞其他用戶鍵盤記錄程序和截屏程序獲得用戶的機(jī)密信息；第三，基于域名攻擊。這種方式以改變用戶的機(jī)主名為主，誤導(dǎo)用戶登陸釣魚網(wǎng)站，從而獲取用戶的機(jī)密信息。

2 網(wǎng)絡(luò)釣魚產(chǎn)生的原因

2.1 制作成本低，無法追蹤犯罪事實

釣魚網(wǎng)站制作成本非常低，具有較高的經(jīng)濟(jì)利益，即使是新開發(fā)的釣魚網(wǎng)站在發(fā)布信息的過程中也不會產(chǎn)生較大經(jīng)濟(jì)投入，一旦有用戶相信釣魚網(wǎng)站上各類虛假信息或者是用戶被騙上當(dāng)釣魚網(wǎng)站即可獲得龐大的經(jīng)濟(jì)效益。釣魚者誘使用戶提交真實身份信息后，通過用戶身份登錄到真實網(wǎng)站即可獲得經(jīng)濟(jì)利益，該過程無跡可尋，很難追究釣魚者的責(zé)任，導(dǎo)致現(xiàn)代網(wǎng)絡(luò)社會釣魚猖獗。

2.2 靜態(tài)、單向用戶名/口令認(rèn)證體制

通常情況下，用戶向網(wǎng)站提交真實身份信息后，很難得到準(zhǔn)確的認(rèn)證網(wǎng)絡(luò)服務(wù)器的真實身份，當(dāng)用戶上當(dāng)受騙后，基本無從查證。靜態(tài)、單向用戶名以及口令認(rèn)證體制都是現(xiàn)代網(wǎng)絡(luò)社會釣魚猖獗的誘發(fā)因素。

2.3 網(wǎng)站身份容易被竊取

用戶在網(wǎng)絡(luò)操作過程中很難保證自身真實身份不被竊取。釣魚者能通過多種渠道下載源文件，通過修改整治后，受害者很難找回真實信息，幾乎不可能正確區(qū)分釣魚網(wǎng)站和真實網(wǎng)站之間的差別，釣魚技術(shù)非常簡單實際效益也非常高，導(dǎo)致現(xiàn)代網(wǎng)絡(luò)社會釣魚猖獗。

3 網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)

3.1 XSS型網(wǎng)絡(luò)的釣魚攻擊防御技術(shù)

3.1.1 防御方法

XSS釣魚攻擊會嚴(yán)重威脅用戶信息安全，該攻擊形式以反射型XSS漏洞和具有保存性質(zhì)的XSS漏洞將具有嚴(yán)重危害的腳本信息上傳到互聯(lián)網(wǎng)上，或者把有危害性的腳本發(fā)送到用戶個人網(wǎng)站。XSS漏洞的形式和種類非常多，在同一網(wǎng)站中搜尋漏洞信息很難滿足用戶信息安全保護(hù)的需求。目前，一些釣魚者為避開過濾器，通常對URL編碼JavaScript編碼以及HTML編碼進(jìn)行處理，XSS型釣魚攻擊防御流程圖如圖1所示。

3.1.2 防御方法測試

該測試以一個樣本為主，利用XSS構(gòu)造的釣魚網(wǎng)站為依據(jù)，當(dāng)用戶提交身份信息后，系統(tǒng)會自動向服務(wù)器HTTP發(fā)送請求，系統(tǒng)在收到服務(wù)器HTTP請求后，通過截取系統(tǒng)服務(wù)器請求參數(shù)，截獲的參數(shù)已經(jīng)經(jīng)過程序處理，系統(tǒng)會對其進(jìn)行自動解碼。當(dāng)用戶點擊URL后，系統(tǒng)會自動轉(zhuǎn)向另一個手機(jī)用戶信息的頁面，系統(tǒng)再一次截取服務(wù)HTTP上的信息，在判斷信息是否可疑后，提出相關(guān)字符。系統(tǒng)將截取的字符與用戶的真實信息進(jìn)行核實，獲得公共字符串，再利用iframe完成標(biāo)簽程序，確定XSS釣魚攻擊，既可以檢測到系統(tǒng)中釣魚網(wǎng)站的釣魚攻擊。

3.2 利用木馬進(jìn)行網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)

利用木馬進(jìn)行網(wǎng)絡(luò)釣魚攻擊是防御釣魚網(wǎng)站攻擊的重要防御技術(shù)。利用木馬進(jìn)行釣魚攻擊是指釣魚者將網(wǎng)站泄露的信息在正常網(wǎng)站中進(jìn)行處理，通過網(wǎng)頁掛馬的形式，在用戶訪問該網(wǎng)站后，木馬會立即自動獲得用戶的真實信息，導(dǎo)致用戶操守釣魚攻擊。

3.2.1 用戶層鍵盤記錄及其防御方法分析

用戶層鍵盤記錄的方法非常多，在實際應(yīng)用過程中發(fā)揮著至關(guān)重要的作用。系統(tǒng)在自動調(diào)用函數(shù)后，可以直接或間接獲得鍵盤信息，系統(tǒng)獲得的函數(shù)由user32.dll提供，函數(shù)信息均來源于系統(tǒng)的動態(tài)鏈接庫。用戶層鍵盤記錄及其防御方法具體如下介紹：先獲得用戶層鍵盤記錄地址后，結(jié)合函數(shù)系統(tǒng)找到對應(yīng)的地址，利用現(xiàn)有的地址替換原有的函數(shù)地址，當(dāng)應(yīng)用程序顯示存在上述的函數(shù)地址后，用戶可以在內(nèi)核中調(diào)用反鍵盤，調(diào)反鍵盤的主要目的是記錄程序中生成的函數(shù)，這個過程中產(chǎn)生的函數(shù)為hook函數(shù)，將該函數(shù)與PID號相結(jié)合，判斷是否存在具有欺詐性的鍵盤記錄。用戶反鍵盤記錄流程如下介紹：

獲取信息地址----掛鉤用于鍵盤記錄的函數(shù)----有應(yīng)用程序調(diào)用鍵盤幾樓函數(shù)----系統(tǒng)自身調(diào)用，判斷是否需要返回原函數(shù)或者通知用戶存在鍵盤異常----獲取用戶響應(yīng)----允許執(zhí)行，判斷是否需要返回原函數(shù)執(zhí)行----返回執(zhí)行錯誤。

3.2.2 內(nèi)核層鍵盤記錄及其防御方法分析

通過分析發(fā)現(xiàn)，系統(tǒng)中存在的HOOT函數(shù)可以自動獲取鍵盤記錄。內(nèi)核層防御反鍵盤記錄的流程如下圖2所示。

4 網(wǎng)絡(luò)釣魚攻擊的整理防御框架設(shè)計

上文中提到的XSS型網(wǎng)絡(luò)的釣魚攻擊防御技術(shù)和利用木馬進(jìn)行網(wǎng)絡(luò)釣魚攻擊的防御技術(shù)均以新型的網(wǎng)絡(luò)釣魚攻擊為防御對象，這兩種方法不適合傳統(tǒng)攻擊方法的防御。為了彌補(bǔ)不足，筆者結(jié)合多年工作經(jīng)驗，結(jié)合網(wǎng)絡(luò)釣魚攻擊防御技術(shù)建立了一個行之有效的防御框架。該框架實際設(shè)計非常復(fù)雜，在傳統(tǒng)釣魚網(wǎng)站攻擊防御的基礎(chǔ)上，結(jié)合現(xiàn)代新型釣魚攻擊防御技術(shù)，采用人機(jī)交互模塊全面提高系統(tǒng)的防御能力。

基于網(wǎng)絡(luò)釣魚攻擊的整理防御框架檢測過程如下：以多線方程為依據(jù)，任意打開某一網(wǎng)站，判斷該網(wǎng)址是否在黑名單數(shù)據(jù)庫中出現(xiàn)，當(dāng)該網(wǎng)站出現(xiàn)在黑名單數(shù)據(jù)系統(tǒng)中后即可啟動人機(jī)互動模式，否則，當(dāng)出現(xiàn)可檢測異常事故時，系統(tǒng)將很難完成用戶實際需求。地址分析模塊的主要作用是對用戶地址的真實性進(jìn)行分析，系統(tǒng)會自動判斷各種欺騙技術(shù)，如果人機(jī)互動模塊提醒用戶關(guān)閉網(wǎng)頁，證明該網(wǎng)站存在釣魚危害。當(dāng)系統(tǒng)沒有檢測到釣魚攻擊時，系統(tǒng)會自動將該頁面提交給系統(tǒng)檢測模塊。系統(tǒng)通過判斷表單之間的交互情況，當(dāng)表單存在交互時，系統(tǒng)會自動開啟反鍵盤記錄模塊，為用戶信息安全提供保障。

5 結(jié)束語

綜上所述，網(wǎng)絡(luò)釣魚攻擊為用戶身份信息安全帶來了巨大威脅，信息技術(shù)領(lǐng)域在提高網(wǎng)絡(luò)釣魚攻擊防御技術(shù)的前提下，應(yīng)該了解網(wǎng)絡(luò)釣魚概念及分類，明確現(xiàn)代網(wǎng)絡(luò)社會網(wǎng)絡(luò)釣魚猖獗的原因，如制作成本低，無法追蹤犯罪事實、靜態(tài)、單向用戶名/口令認(rèn)證體制以及網(wǎng)站身份容易被竊取等。針對具體原因采取有效措施，強(qiáng)化各項網(wǎng)絡(luò)釣魚攻擊防御技術(shù)，結(jié)合各種攻擊防御技術(shù)建立網(wǎng)絡(luò)系統(tǒng)防御框架，在提高用戶信息安全性的同時，為促進(jìn)我國信息行業(yè)的發(fā)展提供技術(shù)保障。

參考文獻(xiàn)

[1]黃華軍，姜麗清，謝黎黎等.基于半脆弱水印的網(wǎng)絡(luò)釣魚主動防御技術(shù)[J].信息網(wǎng)絡(luò)安全，2013，（01）：8-11.

作者簡介

申加華（1965-），女，江蘇省姜堰市人。大學(xué)本科學(xué)歷?，F(xiàn)為徐州機(jī)電工程高等職業(yè)學(xué)校計算機(jī)高級講師。

作者單位

徐州機(jī)電工程高等職業(yè)學(xué)校 江蘇省徐州市 221011endprint