21、虚假反病毒广告网站（FRAD）的检测与风险分析

虚假反病毒广告网站（FRAD）的检测与风险分析

1. 特征提取

系统会对来自300个FRAD网站的图像进行分类，统计匹配每种类型的图像数量以创建特征向量。同时，HTML结构特征也是识别FRAD网站的重要依据。与之前识别特定类型恶意网页的研究类似， a 和 iframe 标签的数量是FRAD网站的重要指标。此外，FRAD网站常复用网页模板，其HTML源代码结构相似，因此HTML标签的出现频率和组合方式能表征FRAD网站。系统会统计上述300个FRAD网站中最常使用的前30个HTML标签的出现次数。

2. 数据收集

• 收集网络威胁名称 ：2019年10月，通过爬取安全供应商数据库页面（如Symantec Security Center）和安全社区网站（如malwaretips[.]com），收集了806个网络威胁名称，包括500个恶意软件检测名称、200个恶意域名和106个弹出消息。
• 网页搜索 ：使用收集到的网络威胁名称创建搜索查询，为高效收集FRAD网站，在威胁名称前添加“how to remove”。利用Microsoft Bing Web Search API收集了34k个URL，从每个域名中选择一个URL，最终提取了4,188个具有唯一域名的URL用于爬取。
• 创建数据集 ：使用系统爬取4,188个网页并创建标注数据集。由于没有准确识别FRAD网站的URL黑名单，需手动标注。为此创建了一个Web应用，它从MongoDB数据库中提取爬取网页的信息