39、零小时网络钓鱼检测的分层自适应概率方法

零小时网络钓鱼检测的分层自适应概率方法

1. 引言

网络钓鱼是一种社会工程攻击，犯罪分子通过创建目标网站的副本，诱使毫无防备的受害者泄露密码、个人识别码等敏感信息。由于缺乏遭受网络钓鱼攻击的组织的数据，很难准确评估网络钓鱼造成的直接损失，估计损失从最低6100万美元到最高32亿美元不等。其中很大一部分损失是由一个臭名昭著的“摇滚钓鱼团伙”造成的，他们使用钓鱼工具包创建大量独特的钓鱼URL，这给基于黑名单的反钓鱼技术的及时性和准确性带来了额外压力。

一般来说，网络钓鱼检测方法分为两类：通过人工验证的黑名单进行URL匹配的方法，以及通过机器学习技术利用启发式方法的方法。前者误报率很低，但人工验证的黑名单对未来未见过的情况泛化能力不佳，响应新的钓鱼攻击速度慢，更新黑名单需要大量人力，还容易被自动生成的URL淹没。后者能够识别新的钓鱼攻击，但误报率相对较高，对误报责任的担忧是部署这些技术的主要障碍。

我们的目标是结合人工验证黑名单和启发式方法的优点，开发一种可靠、强大的方法，能够自适应地应对新攻击，在保持接近零误报率的同时，达到合理的真阳性率。我们的方法利用了当前大量钓鱼攻击是使用工具包创建的这一事实，这些攻击在内容上往往具有很高的相似性。

2. 相关工作

2.1 自动网络钓鱼检测方法

• 利用URL签名检测 ：Garera等人从URL中识别出一组细粒度的启发式规则，并将其与其他特征结合来检测钓鱼。在2508个URL的存储库上应用逻辑回归模型，平均真阳性率为95.8%，误报率为1.2%。但该方法的方差较大，因为URL很容易被低成本操纵，导致启发式规则失效。
<