楊 明， 杜彥輝， 劉曉娟

(1．中國人民公安大學信息安全工程系，北京 102623;2．青海省公安廳，青海西寧 81000)

0 引言

隨著電子商務的迅速發(fā)展，網絡釣魚已經成為當前最主要也是增長最快的網絡欺詐手段。網絡釣魚(Phishing)一詞，是“Fishing”和“Phone”的綜合體，由于最初黑客是用電話實施詐騙活動，所以用“Ph”來取代了“F”，變成了現在的“Phishing”。近幾年，網絡釣魚開始變得猖獗，據統計，2010年中國新增釣魚網站175萬個，受害網民高達4411萬人次，損失超過200億元。從中國反釣魚網站聯盟的統計數據看，2010年3月份聯盟認定并處理釣魚網站1074個，而2011年3月份則為3988個，同比增長271%。數據表明，釣魚網站數量急劇上升，網民受害人數激增，網絡釣魚手段也變得越來越復雜。其中釣魚郵件是網絡釣魚的最常用的手段，網絡釣魚者通過發(fā)送欺騙性的電子郵件或者偽造web站點來進行詐騙活動。本文通過分析釣魚郵件的特征，設計和實現了網絡釣魚郵件分析系統。系統通過提取郵件的內容進行分析，提取出可疑的URL，判斷出郵件是否為網絡釣魚郵件，是目前檢測網絡釣魚網站的有效工具。

1 網絡釣魚電子郵件的特征分析

1.1 網絡釣魚電子郵件概述

根據金山安全實驗室，2010～2011中國互聯網安全研究報告統計，2010年，有近28%的互聯網用戶遭遇過虛假釣魚網站、詐騙交易、交易劫持、網銀被盜等針對網絡購物的安全攻擊。目前，大多數人已經深刻認識到垃圾郵件的危害，對垃圾郵件會置之不理，但釣魚網站卻會通過誘騙你查看垃圾郵件中相關的各種購物信息，或者查看一些貌似同事、朋友或者親人的郵件，來降低你的警惕性，從而實施欺詐活動。

釣魚郵件是指利用偽裝的電子郵件，欺騙收件人將賬號、口令等敏感信息回復給指定的接收者;或引導收件人鏈接到特定的網頁，這些網頁通常會偽裝成和真實網站一樣，從原來單一的仿冒淘寶等電子商務網站，到仿冒中國工商銀行等銀行網站，再到針對證券、票務、團購、網游等網站，令登錄者信以為真，使得在網頁上輸入的銀行卡號碼、賬戶名稱及密碼等信息被盜。

1.2 網絡釣魚郵件的特征

隨著網絡犯罪活動的日趨猖獗，網絡釣魚攻擊成為網絡詐騙的主要手段。網絡釣魚的基本原理可以概述為網絡犯罪分子綜合利用社會工程學原理和互聯網應用技術手段，以盜取個人敏感信息為重要途徑實施網絡詐騙的違法犯罪手段和行為方式。目前，網絡釣魚分兩類:第一類主要是通過社會工程學的方法對網絡用戶進行誘騙，以獲取網絡用戶金融信息和其他個人信息。釣魚者搜集相關個人信息，引誘他人受騙。此類方式典型的途徑是垃圾郵件。另一類主要是利用技術手段攻擊計算機或網頁可能存在的漏洞，影響其正常有效運行后，再對網絡用戶進行誘騙。網絡釣魚花樣眾多，且手法不斷翻新。但究其根本，目的都是相同的，就是索取收信人的重要個人信息。本文通過對大量的網絡釣魚電子郵件的分析得出，網絡釣魚電子郵件通常都會有以下幾個特征。

1.2.1 發(fā)信人偽造自己的身份

根據美國微軟研究院的分析顯示，大約有95%的“網絡釣魚”來自欺騙電子郵件或偽造電子郵件。用戶在收到電子郵件后，一般情況下首先會查看郵件的來源，來源的可靠性會直接影響用戶對郵件真實性的判斷。目前互聯網上普遍采用MIME標準的郵件格式，MIME郵件采用域保存郵件的重要信息，其中發(fā)信人名稱和地址是保存在郵件頭的From域中，而通過郵件代理服務器或者Web腳本程序，可以對From域中的信息進行修改，這些垃圾郵件，將發(fā)件人的郵箱和稱謂偽造成一些知名的電子商務網站或者銀行，如“淘寶網”、“支付寶”、“中國工商銀行”等。釣魚者很善于將釣魚郵件偽裝得與真實機構發(fā)送的郵件非常相似，并且在整體風格上也抄襲官方的內容，比如商標或者網站的圖標，使郵件與被仿冒的網站具有一定的相似性，使收信人放松警惕，從而一步一步走入釣魚者的陷阱。普通用戶很難識破這種偽造的身份。目前還有一種魚叉式網絡釣魚，其鎖定之對象并非一般個人，而是向特定人群或機構發(fā)送電子郵件，目的是為了獲取對方高度敏感性資料，如商業(yè)機密等。

1.2.2 郵件的內容中包含誘惑信息

社會工程學是網絡釣魚者常用的一種手段，它是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益的手法。通過社會工程學技術愚弄用戶，釣魚郵件的內容包含類似“您中獎了”、“超低價”、“免稅商品”;或“需要驗證您的賬戶，請快速處理，否則賬戶會被凍結”等包含迫切需要用戶“更新”或“核實”的數據。收信人收到此類信息后，通常都會因緊張、好奇或者貪婪等心理，對郵件中所提出的要求做出回復。社會工程學的手法其實并不包含較高的技術，但因為其直接針對的是比較感性的郵件用戶本身，而用戶往往是網絡安全中較薄弱的一個環(huán)節(jié)，易受外界因素的影響，所以這種典型的欺騙手法仍然很容易得手。

1.2.3 郵件中包含虛假鏈接

網絡釣魚者通過偽造自己的身份，在郵件中發(fā)布誘惑信息，最終的目的就是千方百計地將用戶通過鏈接方式引誘到他精心設計的虛假網上銀行、虛假電子商務網站中，并獲取收信人的個人敏感信息，實施網絡欺詐。郵件中的鏈接往往有一定的隱蔽性，以達到欺騙收信人的目的。這些虛假鏈接主要有以下幾種形式:

1)相似域名

釣魚者在郵件中提供的鏈接地址，一般都是仿冒銀行、購物等知名網站，人們對這些網站的網址都比較熟悉，所以釣魚者會使用看起來非常相似的域名，以達到以假亂真的目的。例如:工商銀行的真正網址是 www．icbc．com，而 www．1cbc．com 或者www．lcbc．com就是用數字1和小寫字母l來仿冒小寫字母i。網上還有用www．taobaoo．com仿冒淘寶網站www．taobao．com?？傊?，收信人稍不注意，就會誤認為這些鏈接指向的是合法網站，從而點擊鏈接訪問這些網站。

2)DNS域名與實際鏈接中的DNS域名不符

在網頁的源代碼中用a標記來表示超鏈接，格式為＜a href=”real_link”＞show_link＜/a＞，頁面上顯示的網址為show_link，而該超鏈接實際指向的地址為real_link。假如郵件中包含這樣一段html代碼:

＜a href=“ http:∥amdel．cl/archivos/suncorp．html”＞

https:∥internetbanking．suncorpmetway．com．au/sml/logon．asp＜ /a＞

用戶看到的地址是https:∥internetbanking．suncorpmetway．com．au/sml/logon．asp，但是當用戶點擊該鏈接時，進入的卻是釣魚網站 http:∥amdel．cl/archivos/suncorp．html，而對普通用戶而言，卻渾然不知自己已進入了釣魚網站。

3)用編碼策略偽裝超級鏈接

常見的url一般是由ASCII字符，或者其他易于識別的字符組成，比如中文等。瀏覽器支持對這些字符的編碼，編碼的方式是將字符轉換成十六進制，并在前面加上“%”，編碼后的url由一串數字和%組成，用戶識別起來非常困難。同時瀏覽器還支持對 url的部分編碼，例如 www．icbc．com．cn%2E%61%62%63，看似是工商銀行的網址，可實際指向的地址是 www．icbc．com．cn．abc，是一個釣魚網站的網址。還有的用一些特殊字符(如在可見鏈接中使用@來迷惑用戶)，使用戶相信這封郵件來自一個可信的發(fā)送端。例如:www．abc．com@www．aabc．com，這個網址看起來很像www．abc．com域名下的某個網頁，可實際上瀏覽器打開的是@后面的地址。釣魚者通常會在合法網站的網址后面附上@符號蒙騙收件人。

1.2.4 郵件中出現惡意腳本和木馬攻擊

目前，出現了利用惡意腳本實施釣魚式欺詐攻擊，通過釣魚郵件中提供的嵌入腳本鏈接觸發(fā)，用戶點擊鏈接后，會進入一個正常站點，而惡意腳本毫無覺察地在后臺下載木馬，捕獲用戶輸入的賬號和密碼，甚至用戶并不需要打開郵件附件或者點擊鏈接，只要打開了有惡意的電子郵件，就會運行腳本文件，計算機被操縱，當用戶下一次登錄合法的銀行網站時，自動地被引導到一個釣魚網站。

2 網絡釣魚郵件分析系統設計

2.1 系統功能設計

網絡釣魚郵件分析系統的基本功能是從郵件服務器上下載大量的郵件，并進行分析，提取出可疑的URL，從而過濾出具有網絡釣魚特征的郵件。本文對網絡釣魚電子郵件的特征作了詳細分析，郵件分析系統根據這些特征制定一系列判斷規(guī)則，依照判斷結果為每個特征項設置權值，所有特征項的權值之和為整個郵件的權值。最后將郵件的權值與預先設定的閥值相比較，來決定該郵件是否為釣魚郵件。

2.2 系統框架結構

網絡釣魚郵件分析系統主要包含郵件接收模塊、系統配置模塊和郵件分析模塊三部分，系統工作流程以及各部分之間的關系，如圖1所示。

圖1 網絡釣魚郵件分析系統模塊結構圖

2.3 系統功能模塊設計

2.3.1 郵件接收模塊

郵件接收模塊的主要功能是從郵件服務器上收取郵件，并保存為本地文件，為后期的郵件分析工作準備數據。郵件接收過程遵循POP3協議，POP是Post Office Protocol的簡稱，即郵局協議，該協議主要用于支持客戶端遠程管理服務器上的電子郵件，它規(guī)定怎樣將個人計算機連接到Internet郵件服務器以及如何下載電子郵件。

2.3.2 系統配置模塊

郵件分析模塊在工作的過程中，需要用到一些參數，這些參數都可以在系統配置模塊中進行靈活設置，需要設置的參數主要如下:

1)關鍵字的設置

系統會自帶一些常用關鍵字，這些關鍵字都是在網絡釣魚郵件中經常出現的敏感詞語，比如賬戶、密碼、銀行、過期、失效、凍結、激活、姓名、身份證、信用卡、注冊、中獎，緊急處理等。用戶還可以根據不同情況添加或刪除關鍵字。例如，釣魚者可能會借助一些熱點問題吸引收信人的注意，用戶可以在系統中及時增加相關的關鍵字，以提高系統分析的準確性。

2)白名單的設置

系統的白名單涉及一些常見的金融、證券、購物等釣魚者最容易仿冒的網站，這些網站的域名和對應的IP地址段都保存在白名單中。用戶可以根據需要增加或者刪除需要保護的網站的信息;當某些網站的域名或IP發(fā)生變動時，需要及時更新信息。

3)權值的設置

系統分析郵件時主要是判斷郵件的特征項，每個特征項I都一個權值qi，如果特征項I被判斷為可疑，則其權值為qi，否則權值為0，所有特征項的權值之和為郵件的權值，郵件的權值代表郵件的可疑程度。用戶可以根據具體情況對特征項的權值大小進行調整，以提高判斷的準確性。

4)閥值的設置

閥值是決定郵件是否為網絡釣魚郵件的關鍵值，此值的合理性直接影響到系統分析的效果。如果郵件的權值大于閥值，系統就認定該郵件為釣魚郵件，否則為正常郵件。閥值越高，判斷出的可疑郵件的數量會越少，準確率越高，但是有可能發(fā)生漏判的情況;閥值越低，判斷出的可疑郵件的數量就越多，但也可能會出現誤判的情況，從而影響系統的效率。所以用戶可以根據使用情況和自己的需求，對閥值進行調整。

2.3.3 郵件分析模塊

目前互聯網上的電子郵件普遍遵循MIME規(guī)范，MIME(Multipurpose Internet Mail Extensions)即多用途互聯網電子郵件擴展，它通過定義一系列的格式規(guī)范和編碼方式，使得電子郵件可以包含聲音、圖像、動畫等非US-ASCII字符。

郵件分析模塊的主要功能是對收取的電子郵件按照MIME規(guī)范進行解析，還原出郵件內容，并提取其特征項進行可疑性判斷。本文對分析算法不做具體的介紹，只對各個特征項以及判斷規(guī)則進行描述。

1)發(fā)件人地址

如果發(fā)件人郵箱的域名與白名單中某個域名相同，則檢查郵件的發(fā)送服務器IP地址，如果該地址與白名單中所指向的地址相同，則權值為0，否則權值為 q1。

2)郵件主題

如果郵件主題包含系統中所設置的關鍵字，則權值為q2，否則權值為0。

3)郵件中的文本信息

如果郵件的文本信息包含系統中所設置的關鍵字，則權值為q3，否則權值為0。

4)郵件中的超鏈接

對郵件中的超鏈接進行判斷，如果出現下列任意一種情況，則權值為q4，否則權值為0。

①超鏈接中的地址為十進制形式、IP地址形式、或者出現了%或@;

②超鏈接中的真實鏈接地址與顯示地址不一致;

③超鏈接中的地址與白名單中的某個域名相似。

5)郵件中的網頁標簽

如果郵件的HTML部分包含form，action，post，submit或者script標簽，則權值為q5，否則權值為0。所有的特征項判斷完畢后，將各個權值相加，得到郵件的權值，并與閥值相比較，大于閥值則郵件為可疑郵件，否則為正常郵件。

2.4 系統測試及結果分析

2.4.1 測試環(huán)境

本文從郵件服務器上隨機選擇200封郵件作為測試樣本，對網絡釣魚郵件分析系統的性能進行測試。測試的指標主要有網絡釣魚郵件分析系統的判斷準確率，誤判率以及時間效率。

由于測試樣本的規(guī)模不是很大，所以將閥值設置得較低，期望誤判率為0，判斷準確率達到70%，平均每封郵件的判斷時間低于1秒。

2.4.2 系統參數的配置

1)關鍵字設置如下:

銀行、賬戶、密碼、過期、失效、激活、姓名、身份證、信用卡、凍結、注冊、中獎、緊急。

2)白名單設置如下:

3)權值設置如下:

4)閥值設置為1

2.4.3 測試結果分析

網絡釣魚郵件分析系統通過內容分析，判斷出的可疑郵件為7封，其中5封中包含釣魚信息，2封為廣告型的垃圾郵件，所以判斷的準確率約為71.4%;同時漏判1封，漏判率約為16.7%;判斷時間為2分50秒，平均每封郵件的判斷時間為0.85秒。通過結果分析可以看出，網絡釣魚郵件分析系統的判斷準確率和時間效率均達到了預期的目標，而漏判率雖然沒有達到預期的目標，但可以通過修改關鍵字和白名單的設置來降低。

3 結論

隨著網絡釣魚數量的激增，電子商務的網絡安全面臨前所未有的挑戰(zhàn)。本文詳盡設計和實現了網絡釣魚郵件分析系統，通過該系統可實現對郵件內容的分析，提取出可疑的URL，并能較準確地判斷出郵件是否為網絡釣魚郵件，為追查郵件來源、屏蔽釣魚網站提供了數據支持，為電子商務的安全提供了技術保障。同時，網絡釣魚郵件分析系統在運行中還需要大量參數的支持，如關鍵字，權值，閥值等，而參數的設置直接影響到系統的效率，所以還需要在實際運行中，根據需求進行適當的修改，以使系統的效率和準確率達到最佳值。網絡釣魚郵件分析系統作為一種檢測網絡釣魚郵件的有效工具，必將在打擊網絡釣魚攻擊中發(fā)揮重要的作用。

［1］郭敏哲，袁津生，王雅超．網絡釣魚Web頁面檢測算法［J］．計算機工程，2008(10)．

［2］陳涓，郭傳雄．網絡釣魚攻擊的在線檢測及防治［J］．解放軍理工大學學報，2007(4)．

［3］盧秉亮，王玉湘，許莉．基于 WINDOWS環(huán)境POP3協議郵件接收客戶端的實現［J］．沈陽航空工業(yè)學院學報，2006(6)．

［4］胡燕，滕桂法，董素芬，等．基于MIME郵件結構的郵件內容提取技術的研究［J］．現代圖書情報技術，2008(5)．

［5］周文林．網絡釣魚更趨猖獗［N］．經濟參考報，2011－04－26(7)．

［6］李佟鴻，麥永浩．網絡釣魚犯罪技術分析與對策研究［J］．信息網絡安全，2011(4)．

［7］黎其武，武良軍．網絡釣魚犯罪問題研究［J］．信息網絡安全，2011(4)．

［8］周國民，陶永紅，呂鐘煒．國外“網絡釣魚”技術原理與方法初探［J］．信息網絡安全，2009(8)．