25、TabsGuard：检测与防范标签劫持攻击的混合方法

TabsGuard：检测与防范标签劫持攻击的混合方法

1. 检测原理

在比较页面P1和P2时，需要考虑在时间t2添加到页面的新输入字段。如果页面在时间t1和t2都包含iframe，那么该页面会被视为标签劫持的候选对象。

为了检测页面在失去焦点期间HTML布局或整体结构的变化，会使用一些指标来比较时间t1和t2的HTML DOM树：
- 标题相似度 ：使用最长公共子串（LCS）算法确定时间t1和t2的标题相似度百分比。
- 图标比较 ：使用base64图像编码比较时间t1和t2页面图标的结果字符串，同时检查这两个时间图标的URL，以查找标签切换后图标的变化。

完成比较后，使用k - NN算法分析变化。k - NN常用于异常检测，在该场景中，异常项（离群值）代表标签劫持页面。对于数据集中的每个页面，如果根据变化程度确定的分数高于平均离群值分数，则该页面会被检测为标签劫持页面，系统会向用户显示警报消息，并将用户重定向到可信域，同时将该页面添加到用户浏览器的本地黑名单中。

2. 实验评估

2.1 评估概述

TabsGuard被实现为Mozilla Firefox（版本29.0.1）扩展。评估使用的工具集包括：RapidMiner 5.3用于借助k - NN促进机器学习过程，iMacros用于在数据收集步骤中自动化浏览器上的重复任务。还开发了一个内部脚本自动创建数据集，然后将其输入到iMacros中。为避免浏览器变慢或崩溃，将1000个网站分成十组，每次运行时将一组列表作为输入提供给脚本。

评估主要关注两个方