薛 富 高一男

（中國(guó)人民公安大學(xué)網(wǎng)絡(luò)安全保衛(wèi)學(xué)院 北京 100038）

0 引言

隨著微博獲得了高速發(fā)展，短鏈接服務(wù)也更加活躍。短鏈接在方便了人們?cè)谖⒉┑绕脚_(tái)上進(jìn)行分享的同時(shí)也帶來(lái)了諸多風(fēng)險(xiǎn)。由于短鏈接中不含有任何的目標(biāo)網(wǎng)站信息，以至于人們將無(wú)從知曉該短網(wǎng)址究竟會(huì)帶我們走向哪里。許多的網(wǎng)絡(luò)釣魚(yú)犯罪分子通過(guò)在用戶界面張貼一個(gè)通向釣魚(yú)網(wǎng)站的“短網(wǎng)址”，然后微博平臺(tái)便自動(dòng)將這惡意短網(wǎng)址分發(fā)給該用戶所有的好友。由于這些社交網(wǎng)絡(luò)平臺(tái)用戶間的信任關(guān)系，他們更容易點(diǎn)擊這些惡意的短網(wǎng)址，最終引入這些釣魚(yú)網(wǎng)站，被竊取個(gè)人敏感信息如身份證號(hào)、銀行卡號(hào)、密碼等，最終造成個(gè)人財(cái)產(chǎn)損失。

本文提出了一種新的短網(wǎng)址生成方法，通過(guò)在生成過(guò)程中分析目標(biāo)網(wǎng)站的特征，并將其嵌入短網(wǎng)址中，建立起該短網(wǎng)址與目標(biāo)網(wǎng)站URL之間的一種聯(lián)系，使用戶在點(diǎn)擊短地址之前便能夠知曉目的網(wǎng)址的部分信息，并提高對(duì)網(wǎng)絡(luò)釣魚(yú)的警惕性。這將有效的遏制網(wǎng)絡(luò)釣魚(yú)犯罪分子肆無(wú)忌憚的利用短網(wǎng)址欺騙用戶的行為，對(duì)從源頭減少惡意鏈接的生成、規(guī)范短網(wǎng)址生成服務(wù)提供有效借鑒。

1 短網(wǎng)址服務(wù)

短網(wǎng)址服務(wù)通常包含短地址生成過(guò)程和地址重定向兩個(gè)過(guò)程。短網(wǎng)址服務(wù)提供商會(huì)提供一個(gè)包含腳本的界面，該腳本包含請(qǐng)求縮短的長(zhǎng)地址，系統(tǒng)經(jīng)過(guò)濫用預(yù)防、URL過(guò)濾、垃圾預(yù)防、URL驗(yàn)證等檢查之后會(huì)生成一個(gè)隨機(jī)字符串，并將該 ID與目標(biāo)地址以某種形式存儲(chǔ)在數(shù)據(jù)庫(kù)中，并返回與該ID相關(guān)的短地址。當(dāng)用戶訪問(wèn)該段地址時(shí)，系統(tǒng)就可以通過(guò) 301、302或META轉(zhuǎn)向等域名重定向技術(shù)將訪問(wèn)當(dāng)前短網(wǎng)址的用戶引導(dǎo)至目標(biāo)網(wǎng)站。對(duì)于短地址 www.shorturl.com/8kiR21o，“www.shorturl.com”即是服務(wù)網(wǎng)站，8kiR21o 則為編碼后的ID。

2 網(wǎng)絡(luò)釣魚(yú)新形式

由于生成后的短網(wǎng)址與目標(biāo)網(wǎng)站在內(nèi)容上不存在任何聯(lián)系，導(dǎo)致用戶無(wú)法根據(jù)該短網(wǎng)址猜測(cè)目的URL。因而，網(wǎng)絡(luò)釣魚(yú)分子便利用這一弱點(diǎn)實(shí)施網(wǎng)絡(luò)詐騙。網(wǎng)絡(luò)釣魚(yú)分子會(huì)通過(guò)微博等平臺(tái)發(fā)送一條包含指向釣魚(yú)網(wǎng)站的短網(wǎng)址，并生成這是一條合法的地址，通過(guò)優(yōu)惠、打折等相關(guān)詞語(yǔ)吸引其他好友的點(diǎn)擊。其他用戶收到該信息以后認(rèn)為這是將指向一個(gè)合法的購(gòu)物或銀行網(wǎng)頁(yè)如淘寶、當(dāng)當(dāng)、工商銀行等，實(shí)際上這個(gè)網(wǎng)址卻轉(zhuǎn)向了仿冒的網(wǎng)站。目前，傳統(tǒng)的黑白名單方法無(wú)法在第一時(shí)間發(fā)現(xiàn)并提示用戶安全風(fēng)險(xiǎn)，而機(jī)器學(xué)習(xí)來(lái)檢測(cè)釣魚(yú)網(wǎng)站的方法也因短鏈接的隨機(jī)性而無(wú)法提取出有效的特征。

3 內(nèi)容相關(guān)短鏈接生成算法

基于內(nèi)容的短鏈接生成算法通過(guò)構(gòu)建目的網(wǎng)址與生成的短網(wǎng)址的一種聯(lián)系，使得在地址得到縮短的同時(shí)，用戶能夠在短鏈接中猜測(cè)到目的網(wǎng)址的部分內(nèi)容，從而達(dá)到防范網(wǎng)絡(luò)詐騙的目的。算法主要思想來(lái)源于阿拉伯語(yǔ)中不包含短元音，卻同樣可以用于交流而不會(huì)產(chǎn)生障礙。因此，我們嘗試將去掉元音的關(guān)鍵信息融合進(jìn)短網(wǎng)址中，使得用戶在去掉元音的時(shí)候仍能夠猜測(cè)目的網(wǎng)址；同時(shí)添加一標(biāo)志位用于存放對(duì)目標(biāo)網(wǎng)址預(yù)處理的結(jié)果，便于其他組織對(duì)該鏈接進(jìn)行自動(dòng)化檢測(cè)。

3.1 生成算法

首先提取目的網(wǎng)址的站點(diǎn)名稱(chēng)。這里的站點(diǎn)名稱(chēng)指URL中排除了協(xié)議、頂級(jí)域名、路徑等之后最能體現(xiàn)目標(biāo)網(wǎng)站類(lèi)型的部分。例如：“http：//tieba.baidu.com/index.html”這一鏈接，我們將首先提取域名部分“baidu.com”，然后提取站點(diǎn)名稱(chēng)“baidu”，這一過(guò)程可以使用正則表達(dá)式直接實(shí)現(xiàn)。然后通過(guò)去掉元音字母、數(shù)字和連接符的方法來(lái)生成一個(gè)簡(jiǎn)短的相關(guān)詞。上文中站點(diǎn)“baidu”去掉元音“ai”、“u”后會(huì)得到相關(guān)詞“bd”，并將其全部轉(zhuǎn)換為小寫(xiě)。當(dāng)站點(diǎn)名稱(chēng)沒(méi)有任何輔音的時(shí)候我們將會(huì)通過(guò)其他附加規(guī)則來(lái)生成相應(yīng)的詞。如網(wǎng)易站點(diǎn)163將使用相關(guān)詞“3N”，大寫(xiě)字母“N”表示數(shù)字類(lèi)型，3表示所含數(shù)字個(gè)數(shù)。

檢查相關(guān)詞的登記信息。當(dāng)用戶使用長(zhǎng)地址縮短服務(wù)時(shí)，將首先檢查該目的 URL是否已被注冊(cè)。如果目的地址已被注冊(cè)，則直接返回相應(yīng)的短鏈接。如果目的地址或相關(guān)詞未被注冊(cè)，則對(duì)該相關(guān)詞進(jìn)行增量計(jì)數(shù)。生成的結(jié)果將包含相關(guān)詞和計(jì)數(shù)兩部分，確保不同站點(diǎn)的相關(guān)詞得以區(qū)分。例如百度公司“www.baidu.com”和美國(guó)BD公司“www.bd.com”將根據(jù)請(qǐng)求短網(wǎng)址服務(wù)的先后順序生成“bd_0和bd_5”。相同站點(diǎn)下的鏈接將通過(guò)對(duì)其內(nèi)部ID進(jìn)行編碼區(qū)分。生成鏈接檢查標(biāo)識(shí)。在提供短網(wǎng)址服務(wù)時(shí)同時(shí)將對(duì)目的鏈接進(jìn)行簡(jiǎn)單的安全性檢查，檢測(cè)其是否含有釣魚(yú)網(wǎng)站特征，并在短網(wǎng)址中添加一個(gè)標(biāo)志位，既能便于用戶了解更多的安全性信息，又能方便第三方組織根據(jù)該特征位實(shí)現(xiàn)自動(dòng)化檢測(cè)。首先將檢測(cè)目的地址是已經(jīng)是短鏈接，若是則進(jìn)一步判定其是否為本站點(diǎn)提供的短鏈接，為本站點(diǎn)提供的短鏈接則提取標(biāo)識(shí)位，否則還原其目的地址。下一步對(duì)目的URL檢測(cè)釣魚(yú)網(wǎng)站特征。如O代表普通網(wǎng)址，I表示鏈接為IP地址，P指示使用非標(biāo)準(zhǔn)端口，H表示含十六進(jìn)制編碼等。最終“http：//tieba.baidu.com/index.html”將被縮短為為“www.shorturl.com/bd_0OiR21o”，而“www.bd.com”將被縮短為為“www.shorturl.com/bd_5OeR4to”。

3.2 結(jié)果分析

我國(guó)的網(wǎng)址命名一般按照拼音、諧音、英文含義等方式將單位或組織名稱(chēng)嵌入域名中，如拼音形式的“baidu.com”“renren.com”，諧音形式的“sina.com”“vancle.com”，以及簡(jiǎn)寫(xiě)“ruc.edu.cn”等形式。這樣做符合人們的閱讀習(xí)慣并方便人們記憶。而我們所研究的去掉元音保留輔音的方法和人們常用的使用拼音的首字母代替該漢字有相似之處，人們可以很自然地根據(jù)縮短的相關(guān)詞去推測(cè)其全文含義，而不需要過(guò)多的加以引導(dǎo)。例如“baidu”縮寫(xiě)為“bd”、“renren”縮寫(xiě)為“rnrn”，“vancle”縮寫(xiě)為“vnl”。

常見(jiàn)的釣魚(yú)網(wǎng)址類(lèi)型，通過(guò)該生成算法得到的短網(wǎng)址和被仿冒網(wǎng)站生成短網(wǎng)址有較好的區(qū)分度。而高明的釣魚(yú)網(wǎng)址仿冒類(lèi)型，如通過(guò)替換相似字母將“i”替換成“l(fā)”，使工商銀行網(wǎng)址“www.icbc.com.cn”變成“www.lcbc.com.cn”，但是短網(wǎng)址中“i”為元音將被去掉，而“l(fā)”卻會(huì)被保留，由此產(chǎn)生的短網(wǎng)址“www.shorturl.com/b_0OqrSC”和“www.shorturl.com/lb_Lqs5i”能夠被很好地區(qū)分。其他網(wǎng)站名稱(chēng)和IP地址類(lèi)型等則更容易區(qū)分。另外，通過(guò)添加一位標(biāo)志位，將更好地顯示出原網(wǎng)址的特征，提醒用戶對(duì)于相關(guān)詞不易區(qū)分但暗藏風(fēng)險(xiǎn)的站點(diǎn)多加提防。

4 總結(jié)

短網(wǎng)址的廣泛應(yīng)用，給網(wǎng)絡(luò)詐騙帶來(lái)了可乘之機(jī)。該算法從短鏈接生成時(shí)便提供了網(wǎng)絡(luò)釣魚(yú)的防范機(jī)制，使得網(wǎng)絡(luò)釣魚(yú)分子不能隨心所欲地利用短網(wǎng)址服務(wù)進(jìn)行變形和偽裝的，從源頭切斷短網(wǎng)址傳播網(wǎng)絡(luò)釣魚(yú)鏈接這一方式，同時(shí)統(tǒng)一的短網(wǎng)址生成格式也有助于其他網(wǎng)絡(luò)釣魚(yú)探測(cè)系統(tǒng)對(duì)該短網(wǎng)址進(jìn)行進(jìn)一步的分析，解決了機(jī)器學(xué)習(xí)難以提取有效特征的問(wèn)題。凈化網(wǎng)絡(luò)環(huán)境，打擊網(wǎng)絡(luò)犯罪離不開(kāi)各方的共同努力，必須多措并舉，共同營(yíng)造積極健康的網(wǎng)絡(luò)環(huán)境。

[1]黃華軍，王耀鈞，姜麗清 .網(wǎng)絡(luò)釣魚(yú)防御技術(shù)研究[J].信息網(wǎng)絡(luò)安全，2012，（04）：30-35.

[2]蔡岳峰.網(wǎng)易短網(wǎng)址服務(wù)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京交通大學(xué)，2012.

[3]成亦陳，黃淑華.惡意短鏈接欺騙的防護(hù)對(duì)策研究[J].信息網(wǎng)絡(luò)安全，2013，（074）：32-33.

[4]S.Chhabra，A.Aggarwal，F(xiàn).Benevenuto，andP.Kumaraguru.Phi.sh/$oCiaL：the phishing landscape through short URLs.In CEAS ’11.ACM Request Permissions，Sept.2011.

[5]C.Grier，K.Thomas，V.Paxson，and M.Zhang.@spam：the underground on 140 characters or less.In CCS ’10，pages 27–37，New York，NY，USA，2010.ACM.