第18卷第3期 2017年6月 解放军理工大学学报(自然科学版) Journal of PLA University of Science and Technology(Natural Science Edition) Vo1.18 NO.3 Jun.2017 钓鱼邮件防范体系探讨 顾海艳, 陶慎亮, 滕丽萍 (江苏警官学院,江苏南京210031) 摘 要:针对钓鱼邮件带来的严重网络安全问题和社会危害,鉴于当前国内外反钓鱼邮件主要技术存在的问 题,通过分析钓鱼邮件的攻击过程及主要特征,结合黑名单过滤、白名单过滤、贝叶斯过滤3种技术各自的优 点,提出了组合运用这3种技术实现对钓鱼邮件高效过滤的新思路,实现具有智能学习能力的有效过滤,同 时降低钓鱼邮件的误报率和漏过率。研究提出了全面推行安全协议、正确使用安全管理软件的邮件服务器 管理策略,以及用户使用邮件的安全方法,初步建立了一套在安全防范技术、安全管理策略、安全使用方法3 方面着手的、较为完善的钓鱼邮件防范体系。 关键词:钓鱼邮件;过滤技术;电子邮件安全协议;防范体系 中图分类号:TP309 DOI:10.12O18/j.issn.1009—3443.2O170226002 Phishing emai l prevention system GU Haiyan,TAO Shenliang,TENG Liping (Jiangsu Police Institute,Nanjing 210031,China) Abstract:Given the serious network security problem and social harm caused by phishing email,as well as the current status of domestic and foreign anti—phishing email technology research,and based on the analy- sis of the advantages of Black list filtering.White list filtering and Bayesian filtering.a new idea of using the three technologies mentioned above was put forward to realize an effective filtration for phishing emails by analyzing phishing attack process and its main characteristics,which can not only realize the effective filtration with intelligent 1earning ability,but also 1ower the false alarm rate and leakage rate.Meanwhile, a managing strategy for mail server was presented which implements the security protocol and employs proper security management software,as well as a secure using method for users.A set of relatively corn— prehensive system of phishing e—mail prevention which consists of security technology.safety management strategy,safety use method was preliminary established. Key words:phishing email;filtering technology;secure email protocol;prevention system 网络钓鱼攻击给互联网安全带来了严重威胁, 全威胁愈加受到各方重视。 为防范网络钓鱼和垃圾邮件,国内外学者研 其常用的攻击方式是设置钓鱼网站,引诱网络用户 进入以假乱真的页面而泄露自身的用户名、密码等 重要个人信息,进而遭受重大损失。网络钓鱼已经 成为互联网世界的一大公害_】]。钓鱼邮件是引诱用 户进入钓鱼网站的主要手段之一。随着钓鱼邮件造 成的2016年美国总统大选风云变化,钓鱼邮件的安 究提出了多种技术方法,主要包括多种过滤技术 和基于SMTP改进的安全电子邮件协议技术。 M.Aburrous等 研究的基于特征的机器学习筛 选法,提出了一种智能弹性模型用以检测和预测 电子银行网络钓鱼网站。该模型基于关联和分 [-2016]9号);江苏 收稿日期:2017 02—26 在线出版日期:2017—05 19 基金项目:江苏省公安厅课题基金资助项目(2016LX008);“十三五”江苏省重点建设学科建设工程资助项目(苏 ̄高校品牌专业建设工程资助项目(苏教高 ̄2015]11号) 作者简介:顾海艳,副教授,主要研究软件工程、信息安全,ghy7388@126.corn 第3期 顾海艳,等:钓鱼邮件防范体系探讨 类的挖掘算法,用算法来描述和识别所有的因素 和规则,并对实现的6种不同分类算法进行实 验,对其合法性、准确性、规则生成的数量和速度 进行了比较。A.Le等[3 提出了基于统一资源定 位符(uniform resource locator,URL)的分析方 法,通过精心选择能够抵抗混淆技术攻击的URL 的词汇进行特征分析,评估按词汇特征分类的算 法并对几种分类算法进行精度比较,提出了克服 干扰的在线数据训练法,并在此基础上,研究了 一个只使用URL即可进行钓鱼检测的系统Ph— ishDef。其他类似过滤算法的研究还有很多,这 些过滤算法都有其特定优势,通过多种算法的组 合使用可提高筛选能力、保持过滤技术的强大生 命力。安全电子邮件协议研究方面,国际互联网 工程任务组(The Internet Engineering Task Force,IETF)进行了关于域名密钥识别邮件(do- mainkeys identified mail,DKIM)技术的研究,此 方案基于密钥认证技术,通过定义一个域级认证 框架,使通过邮件传输代理(mail transport agent, MTA)或邮件用户代理(mail user agent,MUA) 传输的电子邮件都能进行来源和内容的验证,从 而实现对于盗用发件人姓名的垃圾邮件的拦 截[4]。2012年,由Paypal、Google、微软、雅虎等 1 5家行业巨头(主要包括金融机构,Email服务 提供商,数据分析机构等)联手成立新的互联网 联盟,研究并推广DMARC(domain—based mes— sage authentication,reporting and conformance)新 安全电子邮件协议,该协议能识别、防范假冒发 件人的钓鱼邮件。 综上所述,国内外针对反钓鱼技术、反垃圾邮件 的研究较为丰富,但针对钓鱼邮件的防范研究还比 较缺乏,而钓鱼邮件较一般垃圾邮件危害大、变化多 端,如何建立一套有效的钓鱼邮件防范体系需要进 行深人研究。本文基于黑名单过滤、白名单过滤、贝 叶斯过滤技术,提出一种高效过滤钓鱼邮件的新思 路,以及安全使用邮件和管理邮件服务器的策略,从 而建立一套较完善的钓鱼邮件防范体系。 1 钓鱼邮件的攻击过程及其特征 钓鱼邮件是一种网络欺诈邮件,带有非法链接, 可将用户引至某些仿冒真实网站的网页或被插入了 危险HTML代码的真实网站的网页(攻击者利用 服务器程序上的某些漏洞来实现危险代码的插入), 以此骗取用户的个人隐私信息。 1.1钓鱼邮件攻击过程 钓鱼邮件通常以网络用户易接受的形式进行引 诱,是一种利用人性弱点进行攻击的手段,其攻击过 程如图1所示。其中最重要的就是第一步钓鱼邮件 内容的设计。 lIl设计钓I鱼邮件H的内容l l寄发钓鱼l l标用户 l邮件给目H l用户回复邮ll鱼链接 件或登录钓 _ l l-1资金或重要HJ盗取用户的I资料 l l窃取目标用l l户信息 户的相关账ll 钓鱼邮件的内容表面上看和正常邮件没有太大 区别,而且和正常业务往来的邮件类似,同时,这类 邮件内容特别有真实感和诱惑力,易受到用户重视。 用户阅读邮件后,很可能根据邮件的提示填写相关 信息进行回复,或点击相关链接登陆钓鱼网站,从而 导致个人重要信息泄露。 1.2钓鱼邮件主要特征 通过对钓鱼邮件的实施过程、传播方式等理论 及实例进行研究,可知钓鱼邮件具有如下主要特 征[5。]:含有HTML语言描述的内容;含有引导性 关键字,如“点击此处”等类似文字;含有被保护的域 名对象;存在多次改变链接指向的行为;链接登陆的 域名与网页展开的字符串内容不一致;链接登陆的 域名与被保护的域名较为相近;链接登陆的域名与 发件人邮箱域名不同;链接登陆的域名注册时间极 短;发件人邮箱或收件人邮箱通常是免费邮箱,而非 单位邮箱(如gov,edu等);邮件来源一般是国外的 IP地址。 2反钓鱼邮件的组合过滤技术 根据钓鱼邮件的上述特征,服务器端可采取多 种过滤技术实现对钓鱼邮件的自动识别和筛选。 2.1现有主要的过滤技术 邮件过滤技术是通过过滤邮件内容或来源以拦 截垃圾邮件的技术。过滤技术主要包括黑名单过 滤、白名单过滤、基于规则的过滤、贝叶斯过滤、 HASH过滤等。这些技术直接针对钓鱼邮件进行 检测而不是检测伪装的网站,可有效防止用户点击 来源可疑的电子邮件。 黑名单过滤将已知钓鱼邮件制造者的IP地 240 解放军理工大学学报(自然科学版) 第18卷 址、主机域名或邮箱地址存入黑名单数据库,邮件 服务器以该数据库为依据,拒绝接收来自库中相 关地址的邮件。黑名单过滤技术的主要问题在于 数据更新不及时,当钓鱼邮件的发送者快速改变 IP地址或邮箱地址时,该技术的过滤效力就会大 幅降低。 白名单过滤将合法的、可信赖的邮件发送者 的IP地址、主机域名或邮箱地址存入白名单数据 库,邮件服务器或邮件客户端以该数据库为依据, 可采取2种过滤方式:第1种是直接拒绝接收白名 单以外的任何用户发来的电子邮件,此种方式的 问题在于,过滤规则太过严格,若白名单库更新不 及时,会导致正常邮件被拒收,大多数用户无法接 受此方式;第2种是只要白名单库中用户发来的 电子邮件就接收,此方式的问题在于,用户可能会 收到假冒白名单发件人的钓鱼邮件,存在安全风 险。 贝叶斯过滤指通过贝叶斯过滤算法对海量邮件 进行统计分析,从而得到各类关键词在电子邮件中 出现的概率统计模型,并依此估算一封电子邮件是 钓鱼邮件的概率_8]。贝叶斯过滤法通常采用邮件正 文单词、邮件头信息、邮件的HTML编码等作为判 断的特征元素,判断较为全面、准确。贝叶斯过滤器 具有自学习能力好、自适应性强的特点,在进行几百 封电子邮件学习后,就能够用于自动分辨钓鱼邮件 与非钓鱼邮件,并且随着识别邮件数量的增加,过滤 器识别的准确性也会不断提高。目前主流的专业邮 件服务器端的邮件过滤器都已使用贝叶斯过滤技 术。如果数据集复杂度较高,则采用这种方法判断 结果的准确度就比较低。 2.2过滤技术组合运用方法 为克服上述3种单一过滤技术存在的问题,根 据钓鱼邮件的主要特征,组合使用这3种过滤技术, 以实现可靠高效的钓鱼邮件过滤。首先利用白名单 过滤法将来源于白名单库的邮件发给客户,降低误 报率;然后利用黑名单过滤法,将来源于黑名单库的 邮件拒收,降低漏过率;最后利用贝叶斯过滤法实现 一般邮件的过滤。该组合算法充分利用贝叶斯过滤 法计算性强、能随用户具体情况动态调整、具有学习 能力的先进特点,特别适合应对钓鱼邮件变化多而 快的特点,实现可靠、高效的过滤钓鱼软件的需要。 另外,本组合中,在贝叶斯过滤后,对筛选出的可疑 邮件再次确认分类,实现对黑白名单的及时更新。 该组合过滤技术的具体流程如图2所示。 豳 Y + Y ± I—l I加入白名单I I加入黑名单{ 鉴于实际使用中存在可靠邮件会被三重过滤拦 截的问题,在算法中增加了用户判断的过程,目的是 通过用户的二次判断,在保证不遗漏正常邮件、过滤 恶意邮件同时,又实现黑白名单的动态更新。 3 邮件服务器安全管理方法 研究发现,安全防范技术、安全管理策略、安全 使用邮件的方法在应对钓鱼邮件的防护体系中同样 重要,“三份技术,七分管理”是网络安全领域的至理 名言。 电子邮件系统主要由客户端应用程序、邮件 服务器和邮件收发协议3部分组成。客户端通过 邮件收发协议与邮件服务器进行信息交换,防范 钓鱼邮件传播,需要从改进邮件收发协议、加强邮 件服务器管理两方面采取措施,切断钓鱼邮件的 传输通道。加强邮件服务器安全管理的具体方法 有全面推行安全协议和正确配置邮件服务器管理 软件。 3.1全面推行安全协议 当前,主流邮件服务器承担的电子邮件服务量 大,安全要求等级高,如产生安全问题,影响面广、危 害大。仅依靠组合过滤技术实现钓鱼邮件的自动筛 选还不够,如在上述提出的组合过滤技术防范中就 存在假冒白名单发件人的钓鱼邮件风险问题。 目前因特网中邮件服务器使用邮件传输协议 (simple mail transfer protocol,SMTP)实现相互间 邮件交换。SMTP是简单邮件传输协议,缺少身份 认证机制,使钓鱼者很容易假冒邮件发件人。据美 国微软研究院的分析显示,约95 的网络钓鱼来源 于欺骗电子邮件或伪造电子邮件_9]。为弥补SMTP 第3期 顾海艳,等:钓鱼邮件防范体系探讨 议弱认 缺陷,凼际 曾先后f{J现过SEN— I)ERID、St F、DKIM、I)MAR(:等电子邮件安全协 议。DMARC安伞电子邮件协议能有效防范假冒发 什人类 的钓鱼邮件。邮件服务器通过配 I)MAR(、协议.再使jf】上述组合过滤法则可更有效 地防范钓鱼邮件攻击。 是,安全电子邮件协议的 ff{ 广应川状况很不乐观。Z.Durumeric等 ”红 2O15年的电子邮件投递安全性实证分析中指f{{.埘 往Alexa排 中位列前万名的SMTI 服务器分析 研究发现,其【I1只有35 成功配置了rU子邮件加密 协}义.只有1.1 采用lr最新的r)MARC认证策略, 余的SMTP服务器尚未采用电子邮件安全 议. 这给邮什川厂,带来丫严霞的安伞威胁。因此主流 々业邮件服务器更需要及时跟进新技术,主动眦 新安全邮件协议,提高邮件服务安伞性能。 3.2 正确配置邮件服务器管理软件 一股 业邮件服务器安全管理水平较弱,对此. 除应及时安装安全邮件 议.更需要父注对服务器 符理软件的Jf 确使用。邮什服务器管州软件通 帛 具 ,f|丁一系列的安全管卿措施。包括防垃圾邮件巾转、邮 件规则定义、 名单过滤、发件人验证等。虽然系统 lfl缺省 置仍呵以正常使用,但一些比较重要的防 止钓鱼邮件的选项不经配 是无法生效的。邮件服 务器管理软件安全设置界面如图3所示。通过埘发 件人、黑白 、关键7等项目的正确配置,Ⅱ丁实现 埘服务器接收到的邮件进行有效过滤。 龋撞船设羹 ・, 懈^麟} ・垃罐薛 带 -*畸 斜 ・蟪婀罐e名¥ ・≈嗍聱戢☆墨 ・ 离P ・赞帮精妊瘫 肄艳 蠹建蛆疆嚣 ・蹋繁鼯 ・聋鲁鹕鼎蔷 ・& ∞ ・州 谊墨 l矧3 邮什服务 竹 软件安伞 置 Fig.3 Security sellings of mail server administr ̄llion sobware 另外,为防范钓鱼邮件传播,应在服务器端安全 锊理设置中对经本服务器发送的邮件进行安全 铃。监管规则包括埘发件人身份进行核查,以防止 似冒本地客_}'1发送邮件.设置本地邮箱 位时间发 送邮件数H.』芏i过限定值则终止邮箱使JH等。 例如.桀郎门邮件服务器可做如下设置:当 现 某 户1 rail1发送200封以上的电子邮件。则f1动 给管理员发送提示信息。如 1所爪。}iI脱这种情 况.则泼邮箱可能被网络攻 打 利用。应及时)∈闭邮 箱使』fJ功能,防止攻击者继续发送可疑邮什。木进 行这样安全没置的邮件服务器会给钓鱼邮件他播 下可趁之机。 瓤5 壤 嘲黜址瞬0鼬 l 滞 《 鲫 ^照狲0 i 0孵口硼《 蝴∞^卦址m 1 1 口脚彗嘲 卿 端眦憾^耻 1 l 邗I 孵E∞躺I 图4 川户发送邮什频 昝控制议 Fig.4 Cont rol setlings of llsc'r mailing frcqtI n(’Y 邮件服务器端通过安装安个电子邮件 议、对 管理软件的安全管删模块进行 确配 ,从收发 方面阻止钓鱼邮件传播,既能保障本 站电 邮辛fj 客户的安全,降低川户被钓鱼邮什诱骗的风险.又能 防止本地邮箱被钓鱼者利『乃.为提高骼个 络 问 安全承 应有的责 。 4 用户使用邮件的安全方法 虽然邮件服务器可通过 完善的反垃圾邮什 过滤器、安装安伞电子邮什协c义等措施求保护用 安全, 是新的钓鱼邮件肜式总足不断…现。201 5 年卡 斯基发布的第3季度垃圾邮件和钓仉攻击报 告r 指Ⅲ,为绕过邮件过滤器.…现的新钓仇邮什文 本和欺诈链接不商接出观住邮什中,而傲放 附什 的PDF文档中,原仃的过滤技术/『 能及lt,fJ1 埘新f{{ 现的fnJ题。因此.为有效防范钓ffI邮件.邮什川户畸 当提高安全防范意识,尤为蕊 的是掌撼发个=使川 邮件的 法。 (1)不要在【iI点。 链按跳转过来的网站It1输入 自己的邮箱帐号、密码,即使足熟悉的网站也小可轻 信,冈为网络欺骗丁段越来越l ’ IUJ,链接的 站很难 分清真伪。 (2)避免直接点 邮什IfI的 络连接.确 需要 点击时,一定要仔细核查一 .I ,发 J题,需要 埘系统进行安全处理。 (3)对于要求提供任何彳丁父个人隐私( 帐 名、口令、银行账号等)的ff『f;件,}fIf仔细核 、确认 才‘ 同复。 (『/1)同复邮件【J、『。若出脱的 I复邮箱地址 j发信 人 示邮箱 一致.要谨懊埘 。 242 解放军理工大学学报(自然科学版) 第18卷 (5)不同用途、不同帐号的邮箱,不要使用同一 个密码。 (6)邮箱密码尽可能经常更新,不要使用很简单 的密码。 (7)使用电脑管家等工具,在即时通讯工具、邮 件、浏览器等多种途径上,保护自己的上网安全。 总之,用户需要提高防范意识,保护好个人信 息,使用安全的上网方法,就能在很大程度上防范钓 鱼邮件的欺骗。 5 结语 钓鱼邮件使网络上人们之间的互信关系变得更 加脆弱,动摇了互联网世界的信任体系。鉴于钓鱼 邮件变化多端,新问题层出不穷,为有效防范钓鱼邮 件,提升网络空间安全,必须对钓鱼邮件的防范技术 和安全策略进行深入研究。为此,本文研究提出了 应对钓鱼邮件的防范体系,包括三个方面:一是组合 使用过滤技术,提高过滤效果;二是应用安全邮件协 议,完善邮件服务器安全管理策略;三是推广安全的 邮件使用方法,提高邮件用户的安全意识。但是“道 高一尺、魔高一丈”,安全防范技术存在一定的滞后 性,还需要相关政府部门加强对网络安全规范的管 理,完善相应的法律法规,加大网络安全执法力度, 教育提升网民网络安全意识,多方协同才能较全面 地保障网络使用安全。 参考文献: [1] BARRACLUUGH P A,H0SSAIN M A, I、AHIR M A,et a1.Intelligent phishing detection and protection scheme for online transactions[J].Expert Systems with Applications,2013,40(11):4697—4706. [2] ABURR0US M,H0SSAIN M A,DAHAL K,et a1. Predicting phishing websites using classification mining techniques with experimental case studiesEJ].Interna— tional Conference on Information Technology,2010, 44(25):176—181. [3] I E A,MARK0P0UL0U A,FAL0UTS0S M.Ph— ishDef:URI names say it all EJ].Computer Science, 2O11,28(6):19卜195. [4]王听溥,姚健康,李晓东,等.域密钥识别邮件技术综述 EJ].计算机应用研究,2008,25(1):33—36. WANG Xinpu,YA0 Jiankang,LI Xiaodong,et a1.Sur— vey of domain keys identified mailEJ].Application Re— search of Computers,2008,25(1):33-36.(in Chinese). [5]彭富明,张卫丰,彭寅.基于文本特征分析的钓鱼邮件 检测[J].南京邮电大学学报(自然科学版),2012,32 (5):140-145. PENG Fuming,ZHANG Weifeng。PENG Yin.Detec— ting phishing email based on text features analysis[-J]. Journal of Nanjing University of Posts and Telecom— munications(Natural Science),2012,32(5):140-145. (in Chinese). [6]李玉峰,马莉莉,米晓琴.中文垃圾邮件过滤邮件服务 器的实现[J].微计算机信息,2012,28(3):176—178. LI Yufeng,MA Lili,MI Xiaoqin.Design and imple— mentation of the mail server based on spamassassin Chinese—spam filtering[J].Microcomputer Informa— tion,2012,28(3):176-178.(in Chinese). [7]曾传璜,李思强,张小红,等.基于AdaCostBoost算法 的网络钓鱼检测[J].计算机系统应用,2015,24(9): 129—133. ZENG Chuanhuang,LI Siqiang,ZHANG Xiaohong,et a1.Phishing detection system based on AdaCostBoost algorithm[J].Computer Systems&Applications, 2O15,24(9):129-133.(in Chinese). E8]顾晓清,王洪元,倪彤光,等.基于贝叶斯和支持向量机 的钓鱼网站检测方法[J].计算机工程与应用,2015,51 (4):87—95. GU Xiaoqing,WANG Hongyuan,NI Tongguang,et a1.Phishing detection approach based on Naive Bayes and support vector machine[J].Computer Engineering and Applications,2015,51(4):87—95.(in Chinese). [9]杨明,杜彦辉,刘晓娟,等.网络钓鱼邮件分析系统的设 计与实现[J].中国人民公安大学学报(自然科学版), 2O12,18(2):61-65. [1O]Durumeric Z,Adrian D,Mirian A,et a1.An empirical analysis of email delivery security[C]//Acm Confer— ence on Internet Measurement Conference.Tokyo: ACM,2015:27—39. (责任编辑:汤雪峰)
