侯登學

DOI：10.16661/j.cnki.1672-3791.2017.30.015

摘 要：目前，網(wǎng)絡技術的發(fā)展日新，網(wǎng)絡的內容讓人眼花繚亂，同時網(wǎng)絡上的各種不安定因素越來越影響力原本寧靜的校園。各種名目的校園貸、網(wǎng)絡博彩、網(wǎng)絡游戲、網(wǎng)絡詐騙層出不窮，再加上部分學生的不理性心理經(jīng)受不住誘惑，導致校園悲劇時有發(fā)生。本文利用了基于騰訊云的安全聯(lián)盟的技術結合校園網(wǎng)絡的管理和使用現(xiàn)狀，提出了維護校園內網(wǎng)絡安全的反欺詐管理的解決方案。

關鍵詞：信息安全 校園 反欺詐

中圖分類號：TP393 文獻標識碼：A 文章編號：1672-3791（2017）10（c）-0015-02

近年來，隨著移動互聯(lián)網(wǎng)的高速發(fā)展，校園師生瀏覽網(wǎng)站信息的途徑已經(jīng)從單一的PC端轉變?yōu)橐苿佣嗽O備與 PC端相結合的方式，移動端的安全問題也日益凸顯，因此而產(chǎn)生的網(wǎng)絡詐騙類安全事件數(shù)量也不斷增長，不法分子利用各種手段，偽造、假冒真實網(wǎng)站的URL或者相似度很高的URL以及頁面內容，網(wǎng)站的頁面與真實網(wǎng)站界面完全一致，使用類似“中間人”攻擊的方法進行詐騙，能夠繞過現(xiàn)有防護手段，成功率極高，危害巨大。

頁面一般要求訪問者提交賬號和密碼，以充話費、送流量、積分兌換等各種手段來誘導用戶提交表單，以此來騙取用戶的銀行卡或信用卡賬號、密碼等私人資料。這樣的網(wǎng)址詐騙能繞過當前所有防護體系，犯罪分子只需采用簡單的三步即輕易實現(xiàn)攻擊目的。

偽造、假冒網(wǎng)站一方面使用戶直接經(jīng)濟利益受到嚴重損害，導致用戶會把責任歸咎到電信運營商，甚至會投訴移動安全防范不到位；另一方面可能會影響電信運營商的整體的對外形象，有的甚至會造成一定的社會惡性影響。

不法分子仿冒的域名與官方網(wǎng)站的域名極為相似，充分利用了某些字母、數(shù)字、符號之間的近似性，如數(shù)字0與小寫字母o，數(shù)字1與小寫字母l之間難以分辨的區(qū)別構成讓人迷惑的網(wǎng)址鏈接，從而增大了用戶上當受騙的概率。

利用知名網(wǎng)站中某些提交參數(shù)過濾不嚴格的漏洞，構造出高欺騙性的釣魚網(wǎng)址并利用漏洞掛接到知名網(wǎng)站的 URL中進行跳轉。點擊到釣魚頁面時，如果不仔細查看地址欄，很難發(fā)現(xiàn)異常。此類偽造方式更具隱蔽性和迷惑性，危害也更大。

中國第三方反詐騙機構安全聯(lián)盟統(tǒng)計指出：中國釣魚網(wǎng)站總數(shù)量在成高速的增長，就2014年統(tǒng)計，平均每月有將近 460萬新釣魚詐騙網(wǎng)站出現(xiàn)，每年導致巨額的經(jīng)濟損失。在15年10月份某省公安偵破多一起重大手機網(wǎng)絡詐騙案中，查獲的仿冒10086網(wǎng)址就有221個，木馬程序27個。

總結來說，基于惡意網(wǎng)址的通訊詐騙——數(shù)量多傳播廣導致感染人群大；而后其技術手段多樣且隱蔽性強，感染人群容易受騙點擊；其獨特的仿冒特性又導致現(xiàn)有防護手段失效，點擊后基本上就會上當受害；再有，惡意網(wǎng)址的更新頻率極快，原來利用舉報的詐騙網(wǎng)址形成黑名單再做攔截的方法已不適用。2017年安全法的正式執(zhí)行，對于各個學校來說，所有學校所關注的重點都是在信息系統(tǒng)層面，但從近期的安全事件上來看，從表面上看到的都是因為信息系統(tǒng)的被攻擊、數(shù)據(jù)庫拖庫、信息竊取等，都是由于系統(tǒng)的漏洞、策略被攻擊，大部分的精力都是集中在事后的修復上面；但往往都忽視了一個問題，黑客在竊取信息后會有幾個用途：（1）販賣用戶信息。（2）利用漏洞信息進行其他交易。惡意網(wǎng)址詐騙通過多種技術的集合，切切實實的給廣大用戶造成巨額損失，非常有必要建設針對性的檢測和防護手段——校園清網(wǎng)防欺詐系統(tǒng)。

校園清網(wǎng)防欺詐系統(tǒng)具有以下技術優(yōu)點。

（1）覆蓋全：國內最全的惡意網(wǎng)址庫，唯一覆蓋了QQ、微信、電腦管家、手機管家、百度搜索引擎、搜狗瀏覽器、金山獵豹瀏覽器等網(wǎng)址訪問來源。

（2）更新快：全量庫超過1.6億條，每天實時更新最新出現(xiàn)的鮮活惡意網(wǎng)址，日更新量超過千萬。

（3）重對抗：通過行為識別發(fā)現(xiàn)兼職詐騙等詐騙手段，并根據(jù)詐騙手段的調整進行實施對抗。

（4）粒度細：更詳盡的分類，分為六大類（社工欺詐、信息詐騙、虛假銷售、惡意文件、色情網(wǎng)站、博彩網(wǎng)站）及上百小類，可支持細粒度攔截，可最大限度實時攔截在校學生訪問黃賭毒及詐騙網(wǎng)站，有效凈化校園上網(wǎng)環(huán)境。

校園清網(wǎng)反欺詐系統(tǒng)的主要目標就是采集用戶訪問互聯(lián)網(wǎng)的記錄，然后基于網(wǎng)址黑白名單以及進一步的大數(shù)據(jù)分析，檢測出對惡意網(wǎng)址的訪問行為。首先，建立本地服務端。將防欺詐系統(tǒng)旁路在核心交換機上，防欺詐系統(tǒng)完成惡意網(wǎng)址檢測，防欺詐系統(tǒng)根據(jù)檢測結果使用重定向技術，對訪問惡意網(wǎng)址的用戶進行阻斷或提示；對于不在惡意庫中的未知URL，反欺詐系統(tǒng)將URL回傳至云端計算平臺進行實時大數(shù)據(jù)分析。其次，用戶訪問詐騙類網(wǎng)站時，訪問被阻斷或者頁面被植入告警信息。

基于幾大互聯(lián)網(wǎng)平臺收集的國內最全、最大的樣本數(shù)據(jù)庫，能為高校提供惡意網(wǎng)址的比對提供完整的數(shù)據(jù)支撐。部署在云端的黑白名單數(shù)據(jù)來源主要以下幾個方面。

（1）網(wǎng)站監(jiān)測引擎在互聯(lián)網(wǎng)上實時的對百度、騰訊每時每刻產(chǎn)生網(wǎng)址鏈接進行監(jiān)測，日均處理百億條以上數(shù)據(jù)，已經(jīng)采集超過5000萬條的詐騙信息數(shù)據(jù)；基于互聯(lián)網(wǎng)實時同步的特性，我們能對互聯(lián)網(wǎng)任何一個角落最新出現(xiàn)的詐騙鏈接，能在第一時間發(fā)現(xiàn)、采集到數(shù)據(jù)，并進行數(shù)據(jù)的同步。

（2）基于互聯(lián)網(wǎng)空間的爬蟲采集器，時時刻刻都在對中國境內、外的網(wǎng)站網(wǎng)址進行24h不間斷全方位監(jiān)測，收集相應的指紋信息并進行自動化分類、標定。通過自動化分析技術，樣本能真實、客觀監(jiān)測到整空間的安全狀況。

（1）網(wǎng)址特征識別技術。

網(wǎng)址特征檢測也是反釣魚的技術之一。由于釣魚URL 和合法網(wǎng)站的URL有很多的明顯差異，基于網(wǎng)址重構技術，分析網(wǎng)頁的URL以及域名信息特征，來判斷是否是仿冒的惡意網(wǎng)絡鏈接。如URL中的關鍵詞、域名注冊時間和機構等等一些特征，對網(wǎng)站進行綜合評估，最終判斷是否為釣魚網(wǎng)站。該技術可對現(xiàn)有用戶產(chǎn)生的URL大數(shù)據(jù)日志進行實時分析，在一定程度上能以最快的方式發(fā)現(xiàn)最新出現(xiàn)的惡意網(wǎng)站域名，作為“黑名單”數(shù)據(jù)庫的補充，同時也解決了“黑名單”技術時效性差的問題。經(jīng)測試該方法有較高的檢出率，也具有較高的時效性，但是存在一定誤判，而釣魚特征隨時變化，需要定時更新分類指紋特征。endprint

（2）頁面相似度檢測技術。

基于頁面相似度的檢測技術能夠對黑白名單以及網(wǎng)址特征檢測做很好的補充，常見的有基于視覺特性和基于文本內容的相似度檢測。

第一，基于視覺特性的相似度檢測。

通常采用圖片的相似度進行匹配。由于釣魚網(wǎng)站在視覺上做的和真實網(wǎng)站非常相似，甚至達到以假亂真，通過騰訊世界領先的圖片識別技術應用到惡意網(wǎng)址檢測中，將網(wǎng)頁圖像進行切割，提取每個子圖的大小、色彩、像素等特征，然后計算出兩個特征之間的距離，進而計算出和特征模板的相似度，其相似程度越大，是釣魚網(wǎng)站的可能性就越大。

第二，基于網(wǎng)頁文本內容的相似度檢測。

通常是提取網(wǎng)頁的文本內容，通過與釣魚文本模板進行相似度對比來判斷是否為釣魚網(wǎng)站。首先下載網(wǎng)頁的源文件，將網(wǎng)頁轉化為DOM樹結構，取能夠代表頁面信息的關鍵詞，然后和模板庫中的模板進行匹配，根據(jù)匹配到的關鍵詞的數(shù)目來判斷和釣魚網(wǎng)站的相似度。

反欺詐系統(tǒng)主要是針對在校園網(wǎng)內的師生的惡意地址訪問的主動式防御措施，對于學生來說能夠最大化地避免個人財產(chǎn)的損失，對于學校來說，需要利用惡意行為訪問的“活”數(shù)據(jù)，有針對性地對學校開展工作，極大地幫助學校進行多維度的學生防護；主要基于預警的數(shù)據(jù)進行識別、分析，同時也獲取樣本進行對比分析。

對于產(chǎn)品本身來說對所有的惡意地址訪問進行預警，從產(chǎn)品功能上已經(jīng)能夠起到關鍵的作用，但從信息中心在運營的考慮上遠遠不夠，預警代表了一個動作，而背后的數(shù)據(jù)才是運營的關鍵提到惡意地址訪問，第一反應就是宿舍區(qū)是重災區(qū)，也有些學校表示宿舍樓已經(jīng)交給運營商，但是實際在學校中會出現(xiàn)很多不同的情況，根據(jù)每個學校的特征來看，比如我們某高校在的展示數(shù)據(jù)中，宿舍樓并不是占據(jù)最多的，TOP3是計算機系、實訓樓、教學樓，而根據(jù)這些區(qū)域的特征去分析來源。

（3）銀行交易分析服務。

銀行交易是惡意欺詐最終的目標，用戶在“中招”后都會進行銀行交易，同時對于博彩、色情及惡意詐騙類網(wǎng)站來說，利用學生的心里，引誘其反復支付費用；從學校和信息中心的角度上，不能夠直接限制銀行交易，需要根據(jù)用戶的訪問行為、特征、銀行交易的信息進行分析，找出疑似的交易用戶，并進行全校、院系或者班級的預防措施，配合學工處進行教育輔導支撐。

參考文獻

[1] 裴蕾.大學生網(wǎng)絡信貸存在的問題及對策[J].智富時代，2017（12）.

[2] 王宇敏.校園網(wǎng)絡安全體系構建的研究與應用[J].東方教育，2015（10）.

[3] 余興園，邵琪.大學生網(wǎng)貸引發(fā)高校思政教育的幾點思考[J].現(xiàn)代經(jīng)濟信息，2016（19）.

[4] 張亮，高明，張潤光，等.淺析高校學生網(wǎng)絡成癮成因及防治[J].高教學刊，2017（16）.endprint