82、端点安全软件安全需求与钓鱼可疑URL收集过滤方案

端点安全软件安全需求与钓鱼可疑URL收集过滤方案

1. 端点安全软件安全需求

1.1 新增安全问题描述

名称	描述
T.Data Leakage	威胁代理可未经授权泄露用户数据。
T.Analysis Failure	TOE可能无法检测到威胁代理对需要保护的数据的不当访问或操作，这可能导致数据被修改或篡改。
A.Access	TOE可以访问执行其功能所需的所有IT系统数据。
P.Statistics	授权管理员应能够对审计和入侵检测的数据进行统计。

1.2 新增安全目标

名称	描述
O.DataCollection	TOE应从受管理系统收集允许的程序代码和需要保护的对象。
O.DataAnalysis	TOE应具有分析过程，以决定是否允许或拒绝对象的访问。
O.Tagging	TOE应能够识别通过数据分析分类的数据。
O.LeakageProtect	TOE应监控自身以防止资产泄露。
O.Statistics	TOE应根据策略分析并统计所有事件。
OE.Access	TOE应能够访问执行其功能所需的所有IT系统数据。

1.3 新增安全要求

主机DLP产品的关键特性包括通过磁盘分析浏览敏感内容、加密、媒体控制、识别和认证以及审计跟踪。由于CC2中的SFR不足，需要扩展组件，如下所示：
| 功能类别 | 功能组件 |
| — | — |
| 用户数据保护 | EXT_FDP_COL.1（监控数据收集）
EXT_FDP_ANL.1（监控数据分析）
EXT_FDP_MON.1（数据泄露实时监控）
EXT_FDP_PRV.1（数据泄露预防） |
| 安全管理 | EXT_FMT_STA.1（审计和泄露检测的数据统计） |

2. 钓鱼攻击概述

2.1 钓鱼攻击定义

“Phishing”源自“fishing”，将字母“f”替换为“ph”，代表通过伪造电子邮件或网站欺骗用户的行为。它是一种在线身份盗窃形式，旨在窃取用户的敏感信息，如网上银行密码和信用卡信息。攻击者使用社会工程和技术欺骗手段，说服用户泄露敏感信息以获取经济利益。

2.2 钓鱼攻击现状

近年来，钓鱼攻击已成为用户面临的重大安全威胁。自2011年以来，韩国钓鱼网站数量急剧增加。在中国，2011年上半年约每秒有140人访问钓鱼网站，一家安全公司发现的新钓鱼网站在该时期达到3500万个。尽管有多种钓鱼检测技术，如白名单、黑名单和启发式方法，但由于钓鱼网站域名的多变性，很难找到绝对完美的反钓鱼解决方案。

3. 钓鱼检测方法

3.1 URL和域名验证

这是最广泛使用的反钓鱼方法之一。浏览器可通过黑名单警告用户访问钓鱼网站，黑名单包含被认为是钓鱼的网站URL。常见的公共钓鱼黑名单来源有PhishTank和Google Safe Browsing API。但黑名单存在不完整的问题，可通过检查IP地址、异常请求URL、异常DNS记录和异常URL来解决。一些研究还提出了预测恶意URL和近似匹配的组件，以更准确地检测钓鱼网站。

3.2 网页样式和内容

检查网页样式和内容也是检测钓鱼网站的一种方式。包括确认拼写错误、复制敏感信息、“提交”按钮的使用和弹出窗口的使用。还可以检查图像链接，确保网站内的所有图像都从同一URL加载。一些研究基于页面结构提出了多种属性，以及使用线性分类器和HTML DOM属性进行检测的方法。

3.3 源代码

网页源代码中的一些特征可以区分钓鱼网站和合法网站。钓鱼网站通常包含让用户输入敏感信息的页面，使用合法网站的标志来模仿其外观，并且很多钓鱼页面存在拼写错误、语法错误和不一致性。此外，攻击者可能使用不可见的iframe来加载其他页面。

4. 钓鱼网站域名情况

根据反钓鱼工作组（APWG）的全球钓鱼调查，2011年上半年全球至少有112,472次独特的钓鱼攻击，使用了79,753个独特的域名。其中只有14,650个域名（18%）是钓鱼者恶意注册的，其他65,103个域名是被黑客攻击或在易受攻击的Web主机上被入侵的。恶意注册发生在44个顶级域名（TLD）中，93%的恶意域名注册集中在四个TLD：TK.、INFO.、COM.和NET.。攻击者不仅使用恶意注册的域名，还使用被黑客攻击的网站的子域名，子域名服务的恶意使用在2011年上半年持续增加，在许多TLD中占钓鱼攻击的大部分。

5. 收集和过滤钓鱼可疑URL的方法

5.1 收集钓鱼候选URL

利用电子邮件垃圾陷阱系统（一种用于收集垃圾邮件的蜜罐）来选择钓鱼候选组。例如，KISA运营的垃圾陷阱系统每天可收集超过100万封电子邮件。通过分析收集到的垃圾邮件的正文，区分正常URL、内部URL和可疑URL，因为几乎所有钓鱼网站都通过电子邮件链接，所以仅分析垃圾邮件就可以获得钓鱼候选URL组。

5.2 过滤收集到的URL

为提高收集到的URL的可靠性，可以优先考虑用于钓鱼攻击的顶级子域名服务。根据APWG的报告，用于钓鱼的顶级子域名包括co.cc.service（韩国），超过30%使用子域名服务的攻击发生在CO.CC上，尽管CO.CC对滥用报告反应迅速。T35.com、osa.pl、CN.la、Mu.la、altervista.org、co.tv、vv.cc、ce.ms等也是顶级子域名。

5.3 使用钓鱼检测算法

为了从收集到的钓鱼候选URL中检测出钓鱼网站，可以使用前面提到的多种钓鱼检测算法。可以检查网站的安全性（如是否使用SSL证书或加密协议）、页面样式（如弹出窗口、禁用右键点击或使用“提交”按钮）、源代码和内容来确定钓鱼网站。下面是我们提出的使用垃圾陷阱系统的钓鱼检测流程：

graph LR
    A[收集垃圾邮件] --> B[提取URL]
    B --> C[过滤URL（优先考虑顶级子域名）]
    C --> D[使用检测算法检测钓鱼网站]
    D --> E{是钓鱼网站?}
    E -- 是 --> F[标记为钓鱼网站]
    E -- 否 --> G[正常网站]

5.4 方法评估

• 易于实施 ：为了提高钓鱼网站的检测能力，普通和公共的钓鱼检测解决方案可以采用我们的方法，因为它只需要与垃圾陷阱系统链接。当然，需要实现从收集到的垃圾邮件中过滤URL的系统。
• 有效性 ：几乎所有钓鱼网站都是通过电子邮件、短信等诱导的。通过从通常用于诱导钓鱼网站的电子邮件中收集钓鱼网站，可以提高检测功能的有效性。
• 可扩展性 ：我们的主要关注点是收集和过滤钓鱼URL，而不是检测和验证钓鱼网站。因此，钓鱼候选URL数据库可以与任何其他反钓鱼解决方案和算法一起使用，还可以添加任何URL搜索引擎。

6. 总结

在端点安全方面，明确了新增的安全问题、目标和要求，有助于开发更安全的端点安全软件。对于钓鱼攻击，由于其严重的安全威胁和域名的多变性，传统的反钓鱼方法存在局限性。我们提出的使用垃圾陷阱系统收集和过滤钓鱼可疑URL的方法具有易于实施、有效性高和可扩展性强的特点。为了提高该方法的可信度，未来需要进行实施和性能评估，希望能够降低钓鱼网站的发生率。

7. 钓鱼检测方法对比

为了更清晰地了解各种钓鱼检测方法的特点，下面对前面提到的几种方法进行对比分析：
| 检测方法 | 优点 | 缺点 |
| — | — | — |
| URL和域名验证 | 广泛使用，可借助公共黑名单；部分研究提出的组件能提高检测准确性 | 黑名单不完整，难以覆盖所有钓鱼网站 |
| 网页样式和内容 | 可从多个方面检查，如拼写、图像链接等 | 对于精心设计的钓鱼网站，可能难以准确判断 |
| 源代码 | 能发现钓鱼网站的一些特征，如敏感信息输入页面、标志使用等 | 需要专业知识分析源代码，且攻击者可能隐藏特征 |

8. 钓鱼攻击的发展趋势

8.1 攻击渠道多样化

除了传统的电子邮件和网站，钓鱼攻击开始利用智能手机的短信（SMS）和即时消息等渠道。“Smishing”（源自“SMs phishing”）就是通过短信进行的钓鱼攻击，随着智能手机的普及，这种攻击方式可能会更加常见。

8.2 域名使用复杂化

攻击者不仅使用恶意注册的域名，还大量利用被黑客攻击的网站的子域名。子域名服务的恶意使用持续增加，使得钓鱼网站的域名更加难以追踪和识别。

8.3 技术手段不断更新

钓鱼者会不断更新技术手段，如改进网页样式和内容以更逼真地模仿合法网站，隐藏源代码中的特征以躲避检测等。这对反钓鱼技术提出了更高的要求。

9. 应对钓鱼攻击的建议

9.1 个人用户

• 提高安全意识 ：不轻易点击来自陌生邮件、短信或即时消息中的链接，尤其是要求输入敏感信息的链接。
• 检查网站安全性 ：在输入敏感信息前，查看网站是否使用SSL证书（地址栏显示锁图标），确保网站使用加密协议。
• 注意网页细节 ：检查网页的拼写错误、图像链接等，避免在存在异常的网站上输入信息。

9.2 企业和组织

• 部署安全软件 ：安装可靠的反钓鱼软件，如端点安全软件，具备数据保护、审计和入侵检测等功能。
• 加强员工培训 ：对员工进行安全培训，提高他们识别钓鱼攻击的能力，避免因员工疏忽导致信息泄露。
• 建立应急响应机制 ：制定应对钓鱼攻击的应急预案，一旦发现攻击，能够及时采取措施，减少损失。

10. 未来研究方向

10.1 更智能的检测算法

结合机器学习、深度学习等技术，开发更智能的钓鱼检测算法，能够自动学习和识别钓鱼网站的特征，提高检测的准确性和效率。

10.2 多渠道数据融合

将来自电子邮件、短信、网站等多个渠道的数据进行融合分析，全面掌握钓鱼攻击的动态，提高检测的全面性。

10.3 与安全生态系统的集成

将钓鱼检测系统与其他安全系统（如防火墙、入侵检测系统等）集成，形成一个完整的安全生态系统，共同应对各种安全威胁。

11. 总结与展望

钓鱼攻击已经成为当今网络安全领域的一个重大挑战，其形式不断变化，域名多变，给反钓鱼工作带来了很大的困难。我们提出的利用垃圾陷阱系统收集和过滤钓鱼可疑URL的方法，为解决这一问题提供了一种有效的途径。该方法具有易于实施、有效性高和可扩展性强的优点。

未来，随着技术的不断发展，钓鱼攻击可能会变得更加复杂和隐蔽。我们需要不断研究和创新，开发更先进的反钓鱼技术，提高用户和组织的安全防护能力。同时，个人和企业也应该加强安全意识，采取有效的防范措施，共同应对钓鱼攻击的威胁。希望通过各方的努力，能够减少钓鱼攻击的发生，保障网络环境的安全和稳定。

graph LR
    A[钓鱼攻击发展趋势] --> B[攻击渠道多样化]
    A --> C[域名使用复杂化]
    A --> D[技术手段不断更新]
    B --> E[智能手机短信、即时消息攻击增加]
    C --> F[子域名恶意使用增多]
    D --> G[改进网页样式和隐藏源代码特征]
    E --> H[开发针对多渠道的检测方法]
    F --> I[加强子域名管理和监测]
    G --> J[研究更智能的检测算法]

以上流程图展示了钓鱼攻击的发展趋势以及相应的应对研究方向。随着攻击渠道多样化、域名使用复杂化和技术手段更新，我们需要开发针对多渠道的检测方法、加强子域名管理和监测以及研究更智能的检测算法来应对这些挑战。