魚叉式網絡釣魚攻擊檢測方法

池亞平，凌志婷+，許 萍，楊建喜

(1.北京電子科技學院 通信工程系，北京 100070；2.中國科學院信息工程研究所 中科院網絡測評技術重點實驗室，北京 100093)

0 引 言

近年來，隨著系統防御能力和用戶安全意識的提高，釣魚攻擊者的攻擊方法也不斷推陳出新，魚叉式網絡釣魚成為一種新式的、有很強針對性的網絡釣魚攻擊方法。統計數據顯示，在大量的數據泄露事件與社會工程學事件中，涉及到魚叉式網絡釣魚攻擊的約占92%[1,2]。

美國加州大學伯克利分校和勞倫斯伯克利國家實驗室(Lawrence Berkeley national laboratory，LBNL)的幾位安全研究人員，提出了一種在企業環境中對有憑證的魚叉式網絡釣魚攻擊的檢測方法[3]，該方法分析了魚叉式網絡釣魚攻擊的特點及攻擊過程中的兩個關鍵階段，設計了一組新的信譽特征，隨后引入新的異常檢測技術(directed anomaly scoring，DAS)，以非參數的方式運行，不需要任何標記的訓練數據，利用信譽特征來檢測攻擊。研究人員與LBNL的安全團隊進行合作，評估了近4年(2013年至2017年)的電子郵件數據(約3.7億個電子郵件)以及相關的HTTP日志，驗證了其具有檢測有憑證的魚叉式網絡釣魚攻擊的功能。

本文針對魚叉式網絡釣魚這種攻擊行為，對第26屆USENIX安全會議上研究人員提出的一種檢測檢測方法[3]，及應用該方法的檢測器(本文稱之為黑箱粉碎機)的結構、檢測指標和應用情況進行了深入分析，并與傳統的魚叉式網絡釣魚檢測方法進行對比，本文所做的總結和分析工作，將對黑箱粉碎機的研究和應用有一定的參考價值。

1 魚叉式網絡釣魚攻擊分析

網絡釣魚是“社會工程攻擊”的一種形式，攻擊者通過復制目標網站造成視覺混淆(網絡釣魚攻擊定義參見文獻[4])，再使用電子郵件作為載體向用戶發送貌似來自合法企業或機構的欺騙性電子郵件。因為釣魚網站與目標網站非常相似，用戶容易受騙，在釣魚網站上回復個人身份數據或財務賬戶憑證，或通過鏈接下載惡意軟件，導致用戶個人信息被泄露或者販賣，更有甚者造成嚴重的經濟損失，屬于犯罪欺詐行為。

1.1 攻擊流程

魚叉式網絡釣魚攻擊流程如圖1所示，攻擊分為兩個階段：第一階段為誘導階段(lure stage)，如圖1的步驟1-步驟4，攻擊者建立釣魚基礎設施(如釣魚網站)，通過仿冒合法網站或者在訪問量高的網站上托管釣魚網站，使之在視覺上具有迷惑性，再基于對攻擊目標喜好、工作等的調查制作誘餌，如以易受信任的身份編輯攜帶釣魚網站鏈接或附件的電子郵件，發送誘餌給攻擊目標，引誘其訪問釣魚網站；第二階段為利用階段(exploit stage)，如圖1步驟5-步驟6，攻擊者獲得目標用戶的信任后，利用這種信任誘導收信人執行危險操作，如輸入個人信息或下載惡意軟件，攻擊者利用用戶的隱私在網上銀行或者用戶所在企業獲得非法利益。

圖1 網絡釣魚攻擊流程

1.2 攻擊形式

廣撒網式的網絡釣魚攻擊沒有針對攻擊目標進行個性化定制，而魚叉式網絡釣魚與之不同，在發起攻擊前的誘導階段，攻擊者會調查并收集攻擊目標的資料，包括攻擊目標的業務、工作、興趣、生活等方面，在定制好個性化的誘餌后向目標發送欺騙性電子郵件，使受害者在完全沒有戒備心的情況下執行危險操作。從攻擊者的角度來看，魚叉式網絡釣魚需要很少的技術復雜性，不依賴于任何特定的漏洞，躲開了技術防御，并且常常獲得成功；從防守者的角度來看，由于電子郵件為受害者“量身定做”，受害者更容易受到欺騙，而攻擊者有意地將他們的攻擊郵件做成合法的，傳統信譽和垃圾郵件過濾往往檢測不出其中包含的惡意內容，所以魚叉式網絡釣魚很難抵擋[5]。

魚叉式網絡釣魚攻擊有兩種形式，第一種為惡意附件攻擊，即欺騙用戶下載打開電子郵件中的惡意附件進行攻擊，但是實際應用中實現成功攻擊的很少。第二種為憑證竊取攻擊，即通過電子郵件誘導收件人點擊鏈接，然后在生成的網頁上輸入個人信息憑證。其中，憑證竊取攻擊為研究重點，在UNSIX會議中提出的檢測方法就是針對這種攻擊，因為這一攻擊相對漏洞利用類攻擊要容易，如果涉及惡意附件，即便目標已經中招，積極修復和其它安全機制會提供防護，而一旦用戶憑證被得到，攻擊者就只需誘使目標暴露出數據即可獲得利益。

1.3 誘導階段攻擊者分類

一封電子郵件主要包含郵件頭、正文、附件3個部分，其中郵件頭由多個預先定義的格式化字段組成，如發件人(From)、收件人(To)、主題(Subject)、郵件ID(Message ID)等，其中郵件ID包括電子郵件名稱和地址。

在釣魚攻擊的誘導階段中，攻擊者有4類：第一類為冒用電郵地址攻擊者(address spoofer)，即利用受信任個人的電子郵件地址作為攻擊電子郵件的“From”字段；第二類為冒用電郵名稱攻擊者(name spoofer)，即偽造看起來可信的電子郵件名稱而不偽造電子郵件地址，這類攻擊者規避了電子郵件安全機制；第三類為未知攻擊者(pre-viously unseen attacker)，即同時偽造電子郵件名稱和地址，看起來類似于真實用戶和真實地址；第四類為橫向攻擊者(lateral attacker)，即從已經受到攻擊者攻擊的受信賬戶向其他用戶發送釣魚郵件。針對第一類攻擊者，因為域名密鑰識別郵件標準(domain keys identified mail，DKIM)和域名消息驗證報告一致性協議(domain-based message authentication reporting and conformance，DMARC)之類的電子郵件安全機制會處理，后3類攻擊者為研究重點。

2 黑箱粉碎機的檢測機制分析

黑箱粉碎機是在企業環境中提出的一種緩解有憑證的魚叉式網絡釣魚風險的新方法，利用網絡流量日志和機器學習的一套系統，可以在用戶點擊嵌入電子郵件中的可疑URL時，實時觸發警報[3]。

2.1 總體結構

黑箱粉碎機的總設計如圖2所示，分為特征提取(feature extraction)、夜間評分(nightly scoring)、實時報警生成(real-time alert generation)3個部分。

圖2 黑箱粉碎機總設計

第一部分特征提取，包括3個子探測器(sub-detector)，利用來自公司網絡的3種日志為電子郵件中的每個URL提取和保存3個特征向量(feature vectors，FV)，每個子探測器有一個FV，網絡流量日志包括簡單郵件傳輸協議日志(simple mail transfer protocol logs，SMTP Logs)、網絡入侵檢測系統日志(network intrusion detection system logs，NIDS Logs)和輕量目錄訪問協議日志(lightweight directory access protocol logs，LDAP Logs)，使用網絡流量日志可以記錄在電子郵件中的URL上的所有點擊，子檢測器提取的特征向量作為夜間評分部分和實時報警生成部分的輸入。

第二部分為夜間評分，每天晚上，收集每個子探測器過去一個月的點擊電子郵件中的URL事件，并對其特征向量FV進行異常評分(DAS)，將該月份最可疑FV存儲在Comparison Set集合中。

第三部分為實時報警生成，觀察實時網絡流量，審查點擊的電子郵件URL事件，將每個子探測器的實時點擊特征向量FV與Comparison Set進行比較，并根據需要為安全團隊生成警報。

2.2 信譽特征

魚叉式網絡釣魚的攻擊對象不同于常規網絡釣魚的任意用戶，而是專門針對擁有某種特權訪問或能力的用戶。根據這種選擇性的目標和動機黑箱粉碎機采用一種新的分類法，在兩個維度上表征魚叉式網絡釣魚攻擊，這兩個維度也對應于魚叉式網絡釣魚攻擊的兩個關鍵階段。

黑箱粉碎機對網絡釣魚攻擊的兩個關鍵階段制定了兩類信譽特征：第一類為域名信譽特征(domain reputation features)，描述了用戶根據域名訪問該URL的可能性，反映了域名的可信程度，可以利用該特征捕獲利用階段的特征向量；第二類為發信人信譽特征(domain reputation features)，描述了該電子郵件的發送者是否屬于魚叉式網絡攻擊的3種方式之一，反映了發信人的可信程度，可以利用該特征捕獲誘導階段的特征向量。

2.3 標量選取及定向異常評分技術(DAS)

因為攻擊者采用不同的攻擊方式，發信人的信譽特征也不同，黑箱粉碎機根據3種攻擊方式采用3個子探測器，每個子檢測器提取包含4個標量值(兩個用于域名信譽，兩個用于發信人信譽)的一個特征向量，見表1。

表1 子探測器提取標量

針對域名信譽特征，如果實驗環境中很少有用戶信任鏈接域名并訪問其URL，將該鏈接視為可疑；如果直到目前沒有任何員工訪問過某域名的網址，將訪問該域名的URL視為有風險。

標量CURL,計算先前訪問任何具有與點擊的URL相同的完全限定域名(FQDN)(fully qualified domain name)的URL的數量(CURL)，該標量來自NIDS日志的統計數據。

標量Td，計算包含某域名URL的電子郵件最初到達實驗環境中的時間(Temail)與該實驗環境中任何用戶首次點擊訪問該域名的時間(T1stvisit)之差，如式(1)所示

Td=Temail-T1stvisit

(1)

針對發件人信譽特征，冒用電郵名稱攻擊者冒充受信任用戶的電子郵件名稱但不使用該名稱下的真實電子郵件地址，所以魚叉式網絡釣魚郵件發件人的電子郵件地址與其名稱下的任何歷史電子郵件地址均不匹配。攻擊者冒充的名稱與其他受信任用戶相關聯，經常用來與其他用戶發送電子郵件的名稱可信度會更高。

標量Dreceive，計算收到與待評分電子郵件具有相同名稱和地址的電子郵件日期Dpast與當前日期Dcurrent的天數差，如式(2)所示

Dreceive=Dcurrent-Dpast

(2)

標量Cweek，計算滿足以下條件的總周數：利用待評分電子郵件名稱向其他用戶發送電子郵件，并且在一周中的每個工作日至少發送一封電子郵件，Cweek衡量了該電子郵件名稱字段的可信度。

未知攻擊者選擇類似已知或權威的實體電子郵件名稱和地址，但該名稱地址同現有實體的真實值不完全匹配，攻擊者將設法避免釣魚攻擊檢測。而每當攻擊者使用欺騙性身份時，與他進行互動的用戶很可能會意識到對方使用偽造姓名或電子郵件地址并進行報告，攻擊者會承擔巨大風險，因此，攻擊者為避免身份暴露，很少使用欺騙性身份。

標量Dname，計算以待評分電子郵件名稱發送兩封電子郵件的相差的天數。

標量Daddress，計算以待評分電子郵件地址發送兩封電子郵件的相差的天數。

橫向攻擊者利用受控制用戶賬戶向其他用戶發送釣魚郵件(不使用任何欺騙手段)，當其他用戶點擊電子郵件中的鏈接時，如果電子郵件是由受控制賬戶發送的，通過查看LDAP日志，可以確認該賬戶是否使用了以前從未使用過的IP地址登錄，并發送了該電子郵件。如果是這樣，子探測器計算IP地址的地理位置城市，例如城市X，然后提取城市X的兩個標量。

標量Cuser，從X城市登錄的不同用戶的數量。

標量Ctime，該受控制用戶賬戶以相同IP地址在城市X的先前登錄次數。

黑箱粉碎機引入了定向異常評分技術(DAS)，用于從未標記的數據集中自動選擇最可疑的事件，DAS按照事件的可疑性來對事件進行評分，再按照評分進行排序，所有的事件排序完成后，DAS只選擇N個最可疑(排名最高的)的事件，其中N是安全團隊的警報預算，即能接受的預計警報數。

2.4 應用情況

魚叉式網絡釣魚攻擊比較少見，美國安全研究人員在測評黑箱粉碎機的應用時，利用收集到的企業數據集包含3.7億電子郵件——約4年的量，但只有10例已知的魚叉式網絡釣魚案例。通過分析LBNL的網絡流量日志提取特征向量，包括LBNL的SMTP日志、NIDS日志和LDAP日志，其中，SMTP日志記錄公司有關組織員工(包括兩名員工之間的電子郵件)發送的所有電子郵件的信息；NIDS日志記錄有關HTTP GET和POST請求的信息，包括訪問的完整URL；LDAP日志記錄用戶在公司的電子郵件地址，登錄時間以及用戶進行身份驗證的IP地址。研究人員配置警報預算為10個，從LBNL的3.7億個電子郵件數據集中對其進行了評估，成功識別了19個釣魚活動中的17個，占89%，平均假陽性率(false positive rate)為0.004%[3]，驗證了該方法的有效性。

3 與傳統網絡釣魚檢測方法的對比分析

網絡釣魚檢測技術通過提取釣魚攻擊行為的某些特征，利用這些特征進行對比分析，識別釣魚攻擊，實現對該攻擊行為的防范與打擊。從2008年到2016年Web of science數據庫檢索統計的有關釣魚檢測文獻的發表數目如圖3所示，可見對網絡釣魚攻擊的傳統檢測方法進行對比分析的綜述類文章很少。雖然現在已經有許多關于網絡釣魚檢測技術的研究和實現，但是因為釣魚網站有高偽裝性、強時效性、短存活性和廣泛攻擊目標等特點[6]，而且攻擊者不斷改進攻擊手段和策略，目前仍然無法從根本上對所有的網絡釣魚攻擊進行有效地檢測和防御。

圖3 釣魚檢測相關文獻發表數目

3.1 傳統網絡釣魚攻擊檢測方法分析

對網絡釣魚攻擊進行檢測的方法根據檢測內容可分為：基于傳播途徑的分析、基于網站入口的分析和基于網站內容的分析。傳播途徑包括電子郵件、電話、社交平臺、短信等，其中電子郵件為主要檢測的傳播途徑，例如文獻[7]；網站入口為URL，攻擊者為增強視覺迷惑性，往往與常見標準的URL相似，在網絡釣魚攻擊的檢測方法中，對URL進行分析的使用率很高，但URL并不是判定釣魚網站的唯一標準，所以很少有人在檢測過程中只單純分析URL，而經常與基于網站內容分析結合使用，例如文獻[8]；網站的內容包括網頁圖標的相似性、Favicon的相似性、CSS架構的相似性、布局的相似性和網頁整體視覺的相似性，及對網頁底層HTML的分析，例如文獻[9]。

根據檢測的技術手段可分為：基于黑名單的釣魚檢測、啟發式釣魚檢測以及基于相似性的釣魚檢測。基于黑名單的釣魚檢測通過不斷更新已知網絡釣魚的URL、IP地址、域名、證書或者關鍵詞等形成的黑名單，根據黑名單進行釣魚網站過濾，例如劉少彬等[10]探討了基于網絡蜘蛛和LD算法的釣魚網站檢測方法，該方法基于網絡蜘蛛可以無限抓取鏈接這一功能，以真實URL鏈接為基準，用網絡蜘蛛進行抓取相似URL作為黑名單，再用LD算法對網頁內容的相似度進行分析。啟發式釣魚檢測利用機器學習的方法，首先提取一部分釣魚網站的特征作為訓練集，再利用分類或者聚類機器學習算法設置閾值，訓練機器對可疑網站所提取的特征進行識別，從而判斷是否為網絡釣魚攻擊，文獻[11]提出檢測URL異常特征的技術，從釣魚網站URL中提取出關于結果和詞匯的特征共12個，作為訓練集，然后用SVM(support vector machine)進行訓練，根據URL特征得出網站是否為釣魚網站。基于圖像相似性的釣魚檢測關注的是頁面或應用在視覺上的相似度，而對底層代碼與特征并不關心，例如盧康等[12]提出的基于圖像相似性的釣魚網站檢測方法，該方法基于Selenium圖片獲取技術獲取要保護的官方網站在圖片，利用感知哈希算法，對該網站建立“感知哈希指紋庫”，當新的網站出現時通過與庫的對比來判斷是否為釣魚網站。

3.2 黑箱粉碎機與傳統檢測方法的對比

將網絡釣魚攻擊的傳統檢測方法應用在對有憑證的魚叉式網絡釣魚的檢測上，有以下4種局限性：

局限一，對于魚叉式網絡釣魚攻擊的特征值的真實分布情況并不能確定，參數的選擇也具有盲目性，手動設置特征閾值會導致錯過攻擊。基于黑名單的釣魚檢測由于釣魚網站的短存活性，釣魚攻擊者會經常更換IP地址和URL，黑名單需要實時更新，但是實際應用中記錄在黑名單有時間延遲，大約47%～83%的網絡釣魚在被發現12 h之后才能加入黑名單，但事實上，63%的網絡釣魚行為會在發生后的2 h內結束[13]，這一延遲極大地影響了基于黑名單檢測的準確率，無法有效防御0-hour釣魚攻擊及基于相似性的釣魚檢測。

局限二，魚叉式網絡釣魚樣本的相對稀少，很難集合成一個足夠大的訓練集，并且在惡意樣本和良性樣本的分類上高度不平衡，不利于有監督學習。啟發式釣魚檢測可以有效防御0-hour釣魚攻擊，解決了基于黑名單檢測的局限性，但是需要有機器學習的過程，需要有大量的特征作為訓練集，魚叉式網絡釣魚樣本少，不能提供足夠大的數據，應用啟發式釣魚檢測會增大誤判率和錯判率。

局限三，在許多安全設置中，標量特征通常具有其數值的方向性，例如，一個域的訪問次數越少，越是可疑，而傳統的檢測技術不能將不對稱或方向性的概念納入其計算。在應用啟發式釣魚檢測方法時，特征的選擇和閾值的設置主要來自于對網絡釣魚的統計特征和人工總結，有很強的主觀性，而許多合法的內容的某些特征也符合設定的閾值導致誤判。

局限四，事件即使只有一個或幾個的特征是統計學異常的，傳統檢測技術就將該事件視為攻擊，造成警報預算的浪費。基于圖像相似性的釣魚檢測只設定相似度的閾值為判斷標準，該方法在假設釣魚網站與合法網站有相似性的情況下進行，具有一定的盲目性，對于只是部分復制合法網站(小于50%)的釣魚網站，基于圖像相似性的方法將無法成功檢測[14]，也可能存在合法網頁與其它合法網頁有極大的相似性，造成誤判。

魚叉式網絡釣魚黑箱粉碎機針對以上局限性具有明顯的優勢，在實時性上，實時警報系統可以起到實時監控的作用，在數據上并不需要形成釣魚網站訓練集，只需要網絡流量日志，在特征值的選取與分析上，3個子探測器提取的4個標量有關收信人信譽和發件人信譽，并采用異常評分標準進行夜間評分，具有客觀性和方向性，在警報上可以根據需求制定警報預算，減少浪費。

4 結束語

本文基于對魚叉式網絡釣魚攻擊的概述，分析了魚叉式網絡釣魚黑箱粉碎機的總體結構及關鍵技術，并與網絡釣魚攻擊的傳統檢測方法進行比較，魚叉式網絡釣魚黑箱粉碎機提出了新的信譽特征和標量，引入了新的異常檢測技術，與傳統方法對比具有明顯的優勢，為檢測憑證魚叉式網絡釣魚攻擊開拓了實踐途徑，但其也存在有限的可見性、有限的報警預算、攻擊者逃避策略應對不力、受歷史數據限制等局限性，未來的研究可以探索解決這些局限性，并進一步設計有效的預警機制，作為魚叉式網絡釣魚攻擊預防性防御的一部分。