網絡釣魚攻擊的防御技術及防御框架設計

伴隨著科技的發展，人們越來越關注攻防角色分組的情境實踐模式，為解決日漸嚴重的網絡釣魚危機提供技術保障。現有的反釣魚技術已經很難滿足信息安全的要求，如何強化網絡釣魚攻擊的防御技術，需要研究人員加大研究力度，為私人信息安全提供保障。本文從網絡釣魚概念及分類著手，對網絡釣魚攻擊的防御技術及防御框架設計做了簡單介紹。

【關鍵詞】網絡釣魚 防御技術 防御框架 設計

經調查發現，絕大部分網絡信息安全事件均由病毒感染引發，50%的計算機用戶賬號存在被盜或者私人信息失真等問題，被釣魚網站欺騙的用戶量也逐年提升。受經濟利益的趨勢，部分用戶在實際使用過程中不顧他人利益，制造、販賣病毒木馬以及進行網絡詐騙等行為屢禁不止，網絡信息安全已經威脅到人們日常生活，嚴重阻礙了互聯網行業的發展。目前，網絡釣魚防御主要集中在釣魚網站檢測、網絡釣魚分析以及垃圾郵件過濾等領域，加強網絡釣魚攻擊的防御技術及構建合理有效的防御框架是網絡信息安全的重要保障。

1 網絡釣魚概念及分類

網絡釣魚是一種常見的互聯網攻擊方式，以垃圾郵件、即時聊天工具以及手機短信等為依托，傳遞各種詐騙信息，誘導用戶登陸詐騙網站獲得用戶真實信息的一種詐騙行為。網絡釣魚攻擊具體可以劃分為以下三種類型：第一，欺騙攻擊。通過發送電子郵件、手機短信等方式，誘導用戶登錄釣魚網站，從而獲得用戶的機密信息；第二，惡意程序攻擊。網絡具有較強的公開性，部分用戶受利益驅使惡意損壞其他用戶鍵盤記錄程序和截屏程序獲得用戶的機密信息；第三，基于域名攻擊。這種方式以改變用戶的機主名為主，誤導用戶登陸釣魚網站，從而獲取用戶的機密信息。

2 網絡釣魚產生的原因

2.1 制作成本低，無法追蹤犯罪事實

釣魚網站制作成本非常低，具有較高的經濟利益，即使是新開發的釣魚網站在發布信息的過程中也不會產生較大經濟投入，一旦有用戶相信釣魚網站上各類虛假信息或者是用戶被騙上當釣魚網站即可獲得龐大的經濟效益。釣魚者誘使用戶提交真實身份信息后，通過用戶身份登錄到真實網站即可獲得經濟利益，該過程無跡可尋，很難追究釣魚者的責任，導致現代網絡社會釣魚猖獗。

2.2 靜態、單向用戶名/口令認證體制

通常情況下，用戶向網站提交真實身份信息后，很難得到準確的認證網絡服務器的真實身份，當用戶上當受騙后，基本無從查證。靜態、單向用戶名以及口令認證體制都是現代網絡社會釣魚猖獗的誘發因素。

2.3 網站身份容易被竊取

用戶在網絡操作過程中很難保證自身真實身份不被竊取。釣魚者能通過多種渠道下載源文件，通過修改整治后，受害者很難找回真實信息，幾乎不可能正確區分釣魚網站和真實網站之間的差別，釣魚技術非常簡單實際效益也非常高，導致現代網絡社會釣魚猖獗。

3 網絡釣魚攻擊的防御技術

3.1 XSS型網絡的釣魚攻擊防御技術

3.1.1 防御方法

XSS釣魚攻擊會嚴重威脅用戶信息安全，該攻擊形式以反射型XSS漏洞和具有保存性質的XSS漏洞將具有嚴重危害的腳本信息上傳到互聯網上，或者把有危害性的腳本發送到用戶個人網站。XSS漏洞的形式和種類非常多，在同一網站中搜尋漏洞信息很難滿足用戶信息安全保護的需求。目前，一些釣魚者為避開過濾器，通常對URL編碼JavaScript編碼以及HTML編碼進行處理，XSS型釣魚攻擊防御流程圖如圖1所示。

3.1.2 防御方法測試

該測試以一個樣本為主，利用XSS構造的釣魚網站為依據，當用戶提交身份信息后，系統會自動向服務器HTTP發送請求，系統在收到服務器HTTP請求后，通過截取系統服務器請求參數，截獲的參數已經經過程序處理，系統會對其進行自動解碼。當用戶點擊URL后，系統會自動轉向另一個手機用戶信息的頁面，系統再一次截取服務HTTP上的信息，在判斷信息是否可疑后，提出相關字符。系統將截取的字符與用戶的真實信息進行核實，獲得公共字符串，再利用iframe完成標簽程序，確定XSS釣魚攻擊，既可以檢測到系統中釣魚網站的釣魚攻擊。

3.2 利用木馬進行網絡釣魚攻擊的防御技術

利用木馬進行網絡釣魚攻擊是防御釣魚網站攻擊的重要防御技術。利用木馬進行釣魚攻擊是指釣魚者將網站泄露的信息在正常網站中進行處理，通過網頁掛馬的形式，在用戶訪問該網站后，木馬會立即自動獲得用戶的真實信息，導致用戶操守釣魚攻擊。

3.2.1 用戶層鍵盤記錄及其防御方法分析

用戶層鍵盤記錄的方法非常多，在實際應用過程中發揮著至關重要的作用。系統在自動調用函數后，可以直接或間接獲得鍵盤信息，系統獲得的函數由user32.dll提供，函數信息均來源于系統的動態鏈接庫。用戶層鍵盤記錄及其防御方法具體如下介紹：先獲得用戶層鍵盤記錄地址后，結合函數系統找到對應的地址，利用現有的地址替換原有的函數地址，當應用程序顯示存在上述的函數地址后，用戶可以在內核中調用反鍵盤，調反鍵盤的主要目的是記錄程序中生成的函數，這個過程中產生的函數為hook函數，將該函數與PID號相結合，判斷是否存在具有欺詐性的鍵盤記錄。用戶反鍵盤記錄流程如下介紹：

獲取信息地址----掛鉤用于鍵盤記錄的函數----有應用程序調用鍵盤幾樓函數----系統自身調用，判斷是否需要返回原函數或者通知用戶存在鍵盤異常----獲取用戶響應----允許執行，判斷是否需要返回原函數執行----返回執行錯誤。

3.2.2 內核層鍵盤記錄及其防御方法分析

通過分析發現，系統中存在的HOOT函數可以自動獲取鍵盤記錄。內核層防御反鍵盤記錄的流程如下圖2所示。

4 網絡釣魚攻擊的整理防御框架設計

上文中提到的XSS型網絡的釣魚攻擊防御技術和利用木馬進行網絡釣魚攻擊的防御技術均以新型的網絡釣魚攻擊為防御對象，這兩種方法不適合傳統攻擊方法的防御。為了彌補不足，筆者結合多年工作經驗，結合網絡釣魚攻擊防御技術建立了一個行之有效的防御框架。該框架實際設計非常復雜，在傳統釣魚網站攻擊防御的基礎上，結合現代新型釣魚攻擊防御技術，采用人機交互模塊全面提高系統的防御能力。

基于網絡釣魚攻擊的整理防御框架檢測過程如下：以多線方程為依據，任意打開某一網站，判斷該網址是否在黑名單數據庫中出現，當該網站出現在黑名單數據系統中后即可啟動人機互動模式，否則，當出現可檢測異常事故時，系統將很難完成用戶實際需求。地址分析模塊的主要作用是對用戶地址的真實性進行分析，系統會自動判斷各種欺騙技術，如果人機互動模塊提醒用戶關閉網頁，證明該網站存在釣魚危害。當系統沒有檢測到釣魚攻擊時，系統會自動將該頁面提交給系統檢測模塊。系統通過判斷表單之間的交互情況，當表單存在交互時，系統會自動開啟反鍵盤記錄模塊，為用戶信息安全提供保障。

5 結束語

綜上所述，網絡釣魚攻擊為用戶身份信息安全帶來了巨大威脅，信息技術領域在提高網絡釣魚攻擊防御技術的前提下，應該了解網絡釣魚概念及分類，明確現代網絡社會網絡釣魚猖獗的原因，如制作成本低，無法追蹤犯罪事實、靜態、單向用戶名/口令認證體制以及網站身份容易被竊取等。針對具體原因采取有效措施，強化各項網絡釣魚攻擊防御技術，結合各種攻擊防御技術建立網絡系統防御框架，在提高用戶信息安全性的同時，為促進我國信息行業的發展提供技術保障。

參考文獻

[1]黃華軍，姜麗清，謝黎黎等.基于半脆弱水印的網絡釣魚主動防御技術[J].信息網絡安全，2013，（01）：8-11.

作者簡介

申加華（1965-），女，江蘇省姜堰市人。大學本科學歷。現為徐州機電工程高等職業學校計算機高級講師。

作者單位

徐州機電工程高等職業學校 江蘇省徐州市 221011endprint