基于SVM的金融類釣魚網(wǎng)頁檢測方法

張 峰，胡向東，林家富，郭智慧，付 俊，劉 可

(1.中國移動研究院，北京 100033；2.重慶郵電大學(xué) 自動化學(xué)院，重慶 400065)

基于SVM的金融類釣魚網(wǎng)頁檢測方法

張 峰1，胡向東2，林家富2，郭智慧1，付 俊1，劉 可2

(1.中國移動研究院，北京 100033；2.重慶郵電大學(xué) 自動化學(xué)院，重慶 400065)

針對金融服務(wù)領(lǐng)域面臨的嚴峻信息安全挑戰(zhàn)，以及現(xiàn)有釣魚網(wǎng)頁檢測方法的不足，提出一種基于支持向量機(support vector machine,SVM)的金融類釣魚網(wǎng)頁檢測方法。采用網(wǎng)頁渲染去除常見的頁面特征偽裝，提取統(tǒng)一資源定位符(uniform resource locator,URL)信息特征、頁面文本特征、頁面表單特征以及頁面logo圖像特征，構(gòu)建特征向量訓(xùn)練SVM分類器模型，實現(xiàn)對金融類釣魚網(wǎng)頁的識別。在特征提取過程中，利用適合中文的多模式匹配算法AC_SC(AC suitable for chinese)提高文本匹配效率，并采用加速魯棒特征(speeded-up robust feature,SURF)算法實現(xiàn)logo圖像的特征提取與匹配。多方法實驗結(jié)果對比表明，該方法針對性更強，能達到99.1%的檢測準確率、低于0.86%的誤報率。

釣魚檢測；支持向量機(SVM)；金融網(wǎng)頁；特征提取；多模式匹配

0 引 言

網(wǎng)絡(luò)釣魚是指不法分子通過偽造合法組織的網(wǎng)頁，達到盜竊用戶身份數(shù)據(jù)及財產(chǎn)的一種手段。目前釣魚網(wǎng)站頻繁出現(xiàn)，嚴重影響在線金融服務(wù)、電子商務(wù)等行業(yè)的發(fā)展，危害公眾利益，影響公眾應(yīng)用互聯(lián)網(wǎng)的信心。根據(jù)國際反網(wǎng)絡(luò)釣魚工作組(the anti-phishing working group,APWG)發(fā)布的網(wǎng)絡(luò)釣魚活動趨勢報告[1]，2016年第三季度全球共發(fā)現(xiàn)約36.4萬例釣魚網(wǎng)站，其中金融類釣魚網(wǎng)站所占比例為21%，位居行業(yè)第二。中國反釣魚網(wǎng)站聯(lián)盟全年的統(tǒng)計數(shù)據(jù)也表明，仿冒中國工商銀行、中國建設(shè)銀行等金融機構(gòu)的釣魚網(wǎng)站數(shù)量一直處于前列，網(wǎng)絡(luò)釣魚存在攻擊集中化的趨勢。與此同時，針對金融領(lǐng)域的偽基站釣魚成為信息安全的重災(zāi)區(qū)，安全形勢也變得越來越嚴峻[2]。

當前釣魚網(wǎng)站檢測方法主要有基于黑名單過濾方法、基于頁面的啟發(fā)式檢測方法、基于視覺相似性的檢測方法以及基于機器學(xué)習(xí)的檢測方法[3-5]。黑名單過濾方法通過在終端或者云端維護一份釣魚網(wǎng)頁的鏈接列表，廣泛應(yīng)用于Chrome[6]，IE (internet explorer)[7]等瀏覽器的插件中，幫助人們準確識別已被確認的釣魚網(wǎng)頁。黑名單過濾方法實現(xiàn)簡單、檢測速度快以及誤報率低，但依賴于黑名單庫的更新，不能及時發(fā)現(xiàn)新出現(xiàn)的釣魚網(wǎng)頁。

基于頁面的啟發(fā)式檢測方法從URL或者頁面中提取特征向量，利用訓(xùn)練好的分類模型對提取的特征進行計算分類。馮慶等[8]提出基于集成學(xué)習(xí)的釣魚網(wǎng)頁深度檢測方法，采用渲染后網(wǎng)頁的域名特征、頁面鏈接特征、頁面文本特征，針對不同的特征信息構(gòu)造并訓(xùn)練不同的基礎(chǔ)分類器模型，最后利用分類集成策略綜合多個基礎(chǔ)分類器進行最終的判定。王婷等[9]根據(jù)各特征之間的相互關(guān)系劃分等級空間，提出了基于支持向量機的回歸特征消除(support vector machine recursive feature elimination,SVM-RFE)算法，對比不同特征維度在漏報率、誤報率、識別率方面的差異，能夠準確有效地選定最優(yōu)特征并實現(xiàn)對釣魚網(wǎng)頁的檢測?；陧撁娴膯l(fā)式檢測方法準確度較高，但對于文字內(nèi)容較少、插入重復(fù)或者無用字符，以及利用圖像代替文字呈現(xiàn)的頁面，尤其是金融類釣魚網(wǎng)頁的識別度有限。

基于視覺相似性的檢測方法從待測頁面提取圖像元素，將圖像轉(zhuǎn)化為對應(yīng)的圖像特征向量，與被保護的頁面圖像進行匹配，根據(jù)圖像相似度來檢測釣魚網(wǎng)頁。徐強等[10]利用加速魯棒特征(speeded-up robust feature,SURF)算法計算當前登錄界面與目標應(yīng)用登錄界面的相似度，可以有效辨別含有釣魚登錄界面的惡意網(wǎng)頁，但釣魚網(wǎng)頁對頁面布局稍加改變就可以逃過檢測。Kang等[11]首先根據(jù)機器學(xué)習(xí)技術(shù)從網(wǎng)頁圖像資源中提取出疑似logo圖像，其次在谷歌中搜索logo圖像并提取對應(yīng)的多條域名，最后根據(jù)返回的域名與待測域名的匹配情況即可做出判斷，但是無法準確定位logo圖像并造成漏報?；谝曈X相似性的檢測方法能有效識別可用文本信息較少而圖像特征豐富的釣魚網(wǎng)頁，但改變頁面布局對檢測效果有較大影響，同時在實用性及檢測效率方面需要提高。

本文在總結(jié)現(xiàn)有研究成果的基礎(chǔ)之上，通過分析大量最新的釣魚網(wǎng)頁樣本，結(jié)合啟發(fā)式檢測方法和視覺相似性檢測方法的優(yōu)點，總結(jié)出金融類釣魚網(wǎng)頁難以改變的特征，提出了基于支持向量機(support vector machine,SVM)的金融類釣魚網(wǎng)頁檢測方法。本文方法在頁面獲取階段使用去除特征偽裝的策略，能夠正確地進行特征提??；通過多模式匹配算法快速地提取表征金融類網(wǎng)頁的敏感文本關(guān)鍵詞，利用網(wǎng)頁自動化測試工具定位截取網(wǎng)頁logo，并結(jié)合頁面內(nèi)容特征以及統(tǒng)一資源定位符(uniform resource locator,URL)域名信息，共形成11種特征；選取針對高維數(shù)據(jù)表現(xiàn)良好的SVM模型對特征進行分類。實驗表明，本文方法對金融類釣魚網(wǎng)頁具有較強的針對性，同時有較高的準確率和召回率。

1 特征選取與函數(shù)表示

1.1 特征偽裝去除

通過分析PhishTank中披露的大量最新釣魚網(wǎng)頁樣本，存在部分仿冒銀行、證券等金融類高價值目標的釣魚網(wǎng)頁對頁面特征進行了偽裝，以規(guī)避現(xiàn)有的釣魚網(wǎng)頁檢測技術(shù)。金融類釣魚網(wǎng)頁常用的偽裝方式有以下幾種。

1)通過短地址或者頁面自動跳轉(zhuǎn)，達到隱藏釣魚網(wǎng)頁域名或者關(guān)鍵詞的目的。

2)將關(guān)鍵詞隱藏在圖片之中，利用圖片代替文本進行頁面呈現(xiàn)，使常用的檢測方法提取不到文本關(guān)鍵詞。

3)以隱藏顯示的方式構(gòu)造虛假文本或者超鏈接，這樣既不會影響頁面呈現(xiàn)的效果，又可以使提取的關(guān)鍵詞、品牌名稱、超鏈接等特征不正確。

4)JavaScript腳本動態(tài)輸出頁面內(nèi)容，導(dǎo)致在頁面源碼構(gòu)造DOM(document object model)時提取不到關(guān)鍵詞。

5)對頁面源碼進行加密，無法提取頁面的各項特征。

由于網(wǎng)絡(luò)釣魚的目的是讓用戶對釣魚網(wǎng)頁信以為真，所以，不管釣魚網(wǎng)頁制作者如何偽裝試圖規(guī)避檢測，最后呈現(xiàn)給用戶的頁面中總是包含了檢測所需要的特征。因此，去除偽裝的策略就是不直接對獲取的頁面源碼進行特征提取，而是監(jiān)視頁面渲染過程，并對渲染后DOM中的信息進行提取[12]。

1.2 特征選取

金融類釣魚網(wǎng)頁在制作的過程中，除了會進行特征偽裝，還會根據(jù)現(xiàn)有的檢測方法，對容易改變的特征進行修改，如URL的分隔符個數(shù)、域名長度、網(wǎng)頁鏈接信息等。為了抓住金融類釣魚網(wǎng)頁難以改變的特征，通過對普通釣魚網(wǎng)頁和金融類釣魚網(wǎng)頁進行分析和對比，在總結(jié)前人研究[8-10]的基礎(chǔ)上，從以下4個方面選取特征。

1)URL特征。URL的Whois信息、Alexa網(wǎng)站排名由第三方平臺提供，反映網(wǎng)頁注冊時間以及活躍度，釣魚網(wǎng)頁制作者不易改變對應(yīng)的信息。

2)頁面文本特征。金融類釣魚網(wǎng)頁title標簽中通常含有金融類機構(gòu)的全稱或者簡稱；在 a，h，span標簽中存在一些特有的文本信息，如轉(zhuǎn)賬匯款、投資理財、網(wǎng)上銀行等，稱之為敏感關(guān)鍵詞，可計算敏感關(guān)鍵詞所占比例；表征網(wǎng)頁身份的特征文本，如熱線(或客服)電話、ICP(internet content provider)號、版權(quán)所有等，提取范圍是頁面的最上面部分或者最下面部分，需預(yù)先建立網(wǎng)頁身份特征文本庫。其中，title標簽關(guān)鍵詞、敏感關(guān)鍵詞的匹配需要利用多模式匹配算法提高匹配效率。

3)頁面表單特征。金融類釣魚網(wǎng)頁為騙取個人信息或者錢財，頁面中會出現(xiàn)表單特征，在表單上面可能會有卡(帳)號、密碼、姓名、身份證號、卡證實碼(card verification number,CVN)等敏感提示信息，統(tǒng)計敏感提示信息的條數(shù)；檢測form表單中是否出現(xiàn)圖片代替文本呈現(xiàn)敏感提示信息。

4)頁面logo圖像特征。根據(jù)網(wǎng)頁最上方的logo圖像可確定網(wǎng)頁身份，使用網(wǎng)頁自動化測試工具定位截取logo圖像，計算其與金融類logo圖像庫中圖像的相似度。logo圖像相似度的計算需要預(yù)先建立logo圖像庫，并借助圖像特征提取算法SURF[13]實現(xiàn)。圖像庫由金融類網(wǎng)頁以及釣魚網(wǎng)頁的logo圖像組成。

1.3 文本多模式匹配

title標簽關(guān)鍵詞、敏感關(guān)鍵詞的匹配需要預(yù)先建立title關(guān)鍵詞庫、敏感關(guān)鍵詞庫，并借助適合中文的多模式匹配算法AC_SC[14]實現(xiàn)。title標簽關(guān)鍵詞庫由常用的金融類機構(gòu)的全稱和簡稱組成，關(guān)鍵詞庫由金融類網(wǎng)頁以及釣魚網(wǎng)頁中具有典型業(yè)務(wù)特征的敏感文本和品牌名稱組成。AC_SC算法采用鄰接鏈表存儲有限狀態(tài)自動機，較好地解決了有限狀態(tài)自動機存儲空間快速膨脹問題。同時，將狀態(tài)為0的鏈表轉(zhuǎn)化為散列鏈表，以提高算法的時間性能。文本關(guān)鍵詞采用鄰接表存儲方式，例如，敏感關(guān)鍵詞模式串集={建行，身份證號，轉(zhuǎn)賬，匯款，網(wǎng)銀}，存儲方式如圖1所示。

圖1 關(guān)鍵詞模式串的鄰接表存儲方式Fig.1 Adjacency list storage mode of keywords pattern series

通過匹配得到的敏感關(guān)鍵詞條數(shù)，可以計算頁面中敏感關(guān)鍵詞文本的比例E為

(1)

(1)式中：E的大小反映待測網(wǎng)頁在文本特征方面與金融類釣魚網(wǎng)頁的接近程度；T1表示頁面HTML(hyper text markup languae)中a，h，span標簽的文本條數(shù)；T2(T2≤T1)表示敏感關(guān)鍵詞文本的條數(shù)。

1.4 特征函數(shù)表示

為了全方位表征一個金融類釣魚網(wǎng)頁，本文從4個方面共提取10個特征。使用特征函數(shù)fi描述一個網(wǎng)頁特征，網(wǎng)頁特征向量表示為F=(f1,f2,…,f11)，具體的特征定義及表示如下。

f1表示域名的注冊時間，整型，取已注冊時間的天數(shù)為函數(shù)值；f2表示網(wǎng)站Alexa排名值，整型；f3表示網(wǎng)頁title標簽中含有金融類機構(gòu)的種類個數(shù)(去重)，整型；f4表示敏感關(guān)鍵詞所占比例，浮點型，取值為[0.000,1.000]，定義為

(2)

f5表示頁面中是否出現(xiàn)金融類機構(gòu)的熱線電話號碼，布爾型；f6表示是否出現(xiàn)金融類機構(gòu)的ICP號，布爾型；f7表示在版權(quán)所有文本中是否出現(xiàn)金融類機構(gòu)名稱，布爾型；f8表示頁面表單中敏感提示信息的條數(shù)，整型；f9表示在表單中是否出現(xiàn)圖片代替文本，布爾型；f10表示logo圖像相似度，浮點型，取值為[0.000,1.000]。待測logo圖像和預(yù)先建立的logo圖像庫中圖像i(i>0)經(jīng)過SURF算法處理后，可以分別生成2幅logo圖像的特征點描述子N0和Ni，根據(jù)歐式距離計算出logo圖像匹配的特征點總個數(shù)Mi，從而可以得到2幅logo圖像的相似度Si為

(3)

當Ni=0時，定義Si=0。Logo相似度最終取Si的最大值Smax，則f10可定義為

f10=Smax

(4)

為提高圖像特征匹配效率，可用SURF算法在釣魚網(wǎng)頁檢測之前提取圖像庫中所有圖像的特征點。

2 模型設(shè)計

2.1 SVM分類模型

本文的分類算法采用SVM[15]算法，它是基于統(tǒng)計學(xué)習(xí)理論的機器學(xué)習(xí)算法。SVM的基本思想是構(gòu)造一個超平面，該超平面能把所有的數(shù)據(jù)點都分開，并通過使用最大分類間隔設(shè)計決策最優(yōu)分類超平面。SVM采用結(jié)構(gòu)風(fēng)險最小化原理，同時利用核函數(shù)思想，能將非線性問題轉(zhuǎn)化為高維線性可分問題，在小樣本、非線性高維模式識別中表現(xiàn)出許多特有的優(yōu)勢。

每個樣本都由一個向量xi和一個標記yi所組成，其中，xi∈Rm，yi∈{-1,1}，則訓(xùn)練樣本集S={(x1,y1),(x2,y2),…,(xn,yn)}。假設(shè)存在一個超平面wTx+b=0能將數(shù)據(jù)集正確分開，則有

y(i)(wTx(i)+b)≥1，i=1,2,…,n

(5)

根據(jù)支持向量到超平面的距離，構(gòu)造最優(yōu)超平面使得分類間隔最大化，分類問題轉(zhuǎn)化為

(6)

s.t.,yi(wTxi+b)≥1

(7)

考慮離群點問題，引入松弛變量ξi，這樣原目標問題轉(zhuǎn)換為

(8)

s.t.,yi(wTxi+b)≥1-ξi

(9)

(8)式、(9)式中：ξi≥0；C為對離群點的懲罰系數(shù)。

如果對于非線性分類問題，需要將訓(xùn)練數(shù)據(jù)特征空間映射到一個高維空間，實現(xiàn)線性可分。由于在高維空間需要做訓(xùn)練點和測試點的內(nèi)積運算，計算復(fù)雜，可通過核函數(shù)方法直接在低維特征空間計算內(nèi)積并轉(zhuǎn)換成高維空間。不同的核函數(shù)構(gòu)造不同的支持向量機，常見的核函數(shù)有多項式核函數(shù)、徑向基核函數(shù)以及Sigmoid核函數(shù)等。對網(wǎng)頁樣本進行分類時， 經(jīng)過實驗驗證, 最終選擇徑向基核函數(shù)(高斯核函數(shù))

(10)

(10)式中：xc為核函數(shù)中心；σ為核函數(shù)的寬度參數(shù)。

構(gòu)建基于SVM的金融類釣魚網(wǎng)頁檢測模型，如圖2所示。模型首先提取待測URL的域名注冊時間、Alexa網(wǎng)站排名等2個URL特征，通過網(wǎng)絡(luò)爬蟲得到待測URL對應(yīng)頁面HTML并解析HTML，得到網(wǎng)頁的文本特征、表單特征、logo圖像特征等8個特征，形成10維特征向量。SVM分類模型通過特征向量訓(xùn)練后，形成檢測規(guī)則并實現(xiàn)對金融類釣魚網(wǎng)頁的檢測。SVM模型經(jīng)過訓(xùn)練和尋優(yōu)，最優(yōu)的參數(shù)C=1.1，σ=0.1。

圖2 基于SVM的金融類釣魚網(wǎng)頁檢測模型Fig.2 SVM-based financial phishing webpage detection model

2.2 系統(tǒng)實現(xiàn)

對金融類釣魚網(wǎng)頁的識別過程主要由分類器訓(xùn)練和系統(tǒng)測試評估2個部分組成，在這之前需要實現(xiàn)釣魚網(wǎng)頁識別系統(tǒng)，系統(tǒng)軟件開發(fā)所需的主要第3方工具如表1所示。系統(tǒng)整體結(jié)構(gòu)如圖3所示，包括數(shù)據(jù)采集模塊、黑白名單過濾模塊、網(wǎng)頁爬蟲模塊、特征偽裝去除模塊、特征向量構(gòu)建模塊、SVM分類器模塊以及結(jié)果處理模塊，具體檢測步驟如下。

步驟1對待測URL文本數(shù)據(jù)進行編碼轉(zhuǎn)換、刪除空格等預(yù)處理操作，提取URL的一級域名，避免系統(tǒng)重復(fù)檢測，提高檢測效率。

步驟2查找待測域名是否在域名白名單中，如果在，則判定待測URL是合法的，否則將與域名黑名單進行匹配。如果域名在黑名單中，則判定待測URL是釣魚URL，否則需要進一步檢測。

表1 軟件開發(fā)所用的第三方工具Tab.1 Third party tools used in software developing

圖3 系統(tǒng)結(jié)構(gòu)圖Fig.3 Structured flowchart of system

步驟3通過調(diào)用第三方數(shù)據(jù)平臺“聚合數(shù)據(jù)”的數(shù)據(jù)接口，提交域名參數(shù)，根據(jù)返回參數(shù)字段提取域名注冊時間、Alexa網(wǎng)站排名值。如果參數(shù)字段沒有數(shù)值返回，則認為該字段對應(yīng)的數(shù)據(jù)為0。

步驟4借助Python中Requests模塊和Beautiful Soup庫函數(shù)，可以很容易實現(xiàn)靜態(tài)頁面爬取。部分web頁面為了防止靜態(tài)爬蟲，使用AJAX技術(shù)動態(tài)加載頁面，需要利用Selenium和PhantomJS工具包實現(xiàn)動態(tài)爬蟲，監(jiān)視頁面渲染過程，并對渲染后DOM樹中的信息進行提取，去除特征偽裝，實現(xiàn)對HTML的解析。

步驟5利用Python中re模塊，構(gòu)建正則表達式提取網(wǎng)頁HTML中title，a，h，span標簽中的文本信息，以Pyahocorasick工具包中AC算法為基礎(chǔ)構(gòu)建AC_SC算法，實現(xiàn)對敏感文本關(guān)鍵詞的多模式匹配，得到5個文本特征。提取form表單輸入標簽中的敏感關(guān)鍵詞條數(shù)，同時檢測是否有圖片代替文字，得到2個表單特征。

步驟6使用PhantomJS工具包調(diào)整網(wǎng)頁大小為800×600并對網(wǎng)頁截屏，利用PIL工具包定位截取網(wǎng)頁logo圖像[16]，起點坐標(0,0)，終點坐標(550,280)。利用OpenCV工具包中的SURF算法實現(xiàn)對logo圖像特征提取與匹配，得到圖像相似度特征。

步驟7利用提取的10維特征向量，輸入訓(xùn)練好的SVM分類器模型中，得到分類結(jié)果，即是否為釣魚網(wǎng)站。

在使用SVM算法對網(wǎng)頁進行分類之前，待測URL需要先分別經(jīng)過域名白名單、域名黑名單的過濾，這樣可以過濾掉合法的金融網(wǎng)頁和大部分常用網(wǎng)頁，提高檢測效率。初始的域名白名單由大部分合法金融網(wǎng)頁域名以及Alexa網(wǎng)址排名TOP1000的域名組成，域名黑名單由已經(jīng)確認的釣魚網(wǎng)頁域名組成，域名白名單、黑名單具有“新陳代謝”功能。

待測URL經(jīng)過后續(xù)SVM模型檢測，判定為正常鏈接時，則將該域名加入白名單中，最多保存10萬個最新鮮的域名；判定為釣魚鏈接時，則將該域名加入黑名單中，保存周期為一個星期并且總數(shù)不超過10萬條。Steve等[17]研究指出47%～83%的釣魚URL是在釣魚事件發(fā)生12 h之后才被列入黑名單，有63%的釣魚攻擊在2 h內(nèi)就已經(jīng)結(jié)束。釣魚域名保存時間為一周，如果有重復(fù)的則重新計時，有助于反釣魚網(wǎng)站聯(lián)盟停止釣魚域名在解析之前的識別。值得注意的是，白名單的初始域名數(shù)據(jù)不隨檢測結(jié)果進行更新，只需定期根據(jù)統(tǒng)計結(jié)果進行維護，黑白名單具有去重機制。

檢測系統(tǒng)運行在一臺CPU主頻為3.4 GHz、內(nèi)存為32 GByte、硬盤為1 TByte的工作站上，基于Linux系統(tǒng)通過安裝Eclipse軟件及PyDev插件，搭建Python 語言的開發(fā)運行環(huán)境。該系統(tǒng)具備線程安全，可批量接收含有可疑URL的文本。SVM分類模型通過調(diào)用Python中Scikit-learn庫中的算法來實現(xiàn)。在檢測系統(tǒng)中可以批量添加敏感文本和金融類網(wǎng)頁logo圖像。值得注意的是，本文針對的檢測對象是中文網(wǎng)頁。

3 實驗結(jié)果與分析

3.1 評價指標

釣魚網(wǎng)頁的評價指標通?？梢苑譃楣δ苤笜撕托阅苤笜?， 功能指標主要用于對釣魚網(wǎng)頁的識別效果進行評價，而性能指標主要對釣魚網(wǎng)頁的識別效率進行評價[3]。由于釣魚網(wǎng)頁的識別效率主要受限于網(wǎng)頁爬蟲的等待時間，在不同時間網(wǎng)絡(luò)狀態(tài)可能存在差別，導(dǎo)致性能指標會在一定范圍內(nèi)波動，本文將選取功能指標進行評價。本實驗將金融類釣魚網(wǎng)頁檢測的準確率、召回率、誤報率以及漏報率作為功能衡量指標。

定義：TP(true positive)表示釣魚網(wǎng)頁被正確識別的數(shù)量；FP(false positive)表示合法網(wǎng)頁被錯誤識別為釣魚網(wǎng)頁的數(shù)量(常被稱為誤報)；TN(true negative)表示合法網(wǎng)頁被正確識別的數(shù)量；FN(false negative)表示釣魚網(wǎng)頁被錯誤識別為合法網(wǎng)頁的數(shù)量(常被稱為漏報)。誤報和漏報是釣魚網(wǎng)頁檢測中可能出現(xiàn)的2種錯誤情況。

準確率P、召回率R、誤報率(false positive ratio,FPR)以及漏報率(false negative ratio,FNR)的定義分別為

(11)

(12)

(13)

(14)

(11)—(14)式中：R與FNR相互排斥。在最大限度提高準確率和召回率的同時，還能降低FPR和FNR，是評估檢測效果的關(guān)鍵。

3.2 實驗數(shù)據(jù)

為驗證本文所構(gòu)建金融類釣魚網(wǎng)頁檢測系統(tǒng)的識別效果，需要收集釣魚網(wǎng)頁作為訓(xùn)練和測試樣本。爬取2016年9月至2016年12月PhishTank中被舉報的釣魚網(wǎng)頁URL，以及收集中國移動監(jiān)測到的釣魚網(wǎng)頁URL，隨機選取并進行驗證，挑選700條金融類中文釣魚網(wǎng)頁URL作為正樣本。為防止釣魚URL失效，將其對應(yīng)的頁面保存在本地。收集合法網(wǎng)頁的URL作為負樣本，其來源有4個方面：①Alexa排名TOP1000以外的中文網(wǎng)址；②不在白名單內(nèi)的金融類機構(gòu)中文網(wǎng)址；③開放式網(wǎng)址分類目錄DMOZ；百度搜索引擎中含金融類敏感關(guān)鍵詞的網(wǎng)址，共700條去重的URL。每個合法網(wǎng)址均爬取主頁、登錄以及注冊頁面，模擬釣魚網(wǎng)頁騙取用戶信息。具體樣本數(shù)據(jù)集的來源如表2所示。實驗過程中，首先利用標記好的URL作為訓(xùn)練集，訓(xùn)練出SVM分類器模型；然后利用訓(xùn)練好的模型檢測測試樣本集。

表2 樣本數(shù)據(jù)集的來源Tab.2 Source of sample dataset

3.3 實驗結(jié)果分析

將正負樣本隨機打亂后，每次從樣本集中隨機選擇700個訓(xùn)練樣本，剩下的作為測試樣本，共進行10次實驗。將本文方法與決策樹C4.5算法、BP神經(jīng)網(wǎng)絡(luò)以及邏輯回歸算法等3種典型分類算法進行對比，取10次實驗的取平均值，得到測試效果如表3所示。測試的釣魚網(wǎng)頁樣本放在本地web服務(wù)器，需要向互聯(lián)網(wǎng)查詢釣魚域名注冊時間和Alexa網(wǎng)站排名，系統(tǒng)開啟50個線程，每個URL完成測試的平均時間約為0.86 s。

表3多種分類算法的測試結(jié)果

Tab.3 Test results of multiple classification algorithm %

算法類型準確率召回率誤報率漏報率C4.593.5591.146.298.86BP神經(jīng)網(wǎng)絡(luò)96.9791.432.868.57邏輯回歸98.1289.431.7110.57SVM99.1094.000.866.00

通過表3可以看到，在使用本文特征集的情況下，SVM算法在4個功能指標上都取得了最好的表現(xiàn)，表明SVM算法在小樣本集分類中具有明顯的優(yōu)勢。為驗證本文方法在特征選擇方面的有效性，選取多個基于SVM算法的釣魚網(wǎng)頁檢測與本文方法進行比較。文獻[8]已在前面介紹；文獻[18]提出一種基于域名特征的增強分類模型，主要針對中文電子商務(wù)釣魚網(wǎng)站；文獻[19]是一種基于最小包圍球SVM的釣魚網(wǎng)頁檢測方法。因漏報率與召回率是互斥的，沒有顯示漏報率指標。結(jié)果對比如圖4所示。

圖4 不同檢測方法的效果比較Fig.4 Effect comparison of different detection methods

通過圖4對比可以發(fā)現(xiàn)，本文方法具有最高的準確率和最低的誤報率，說明本文方法在特征選取的有效性?？紤]到本文方法針對的是金融類釣魚網(wǎng)頁，3個對比文獻的方法是針對所有的釣魚網(wǎng)頁，如果重點檢測金融類釣魚網(wǎng)頁，其他3個方法達不到現(xiàn)有的準確率、召回率以及誤報率指標，更能說明本文方法對金融類釣魚網(wǎng)頁具有很好的識別效果。

4 結(jié)束語

本文通過對大量金融類釣魚網(wǎng)頁的分析，結(jié)合啟發(fā)式和頁面相似度檢測方法的優(yōu)點，去除釣魚網(wǎng)頁的特征偽裝，提取URL特征、頁面文本特征、表單特征以及l(fā)ogo圖像特征，形成10維特征向量，選擇徑向基核函數(shù)構(gòu)建SVM分類器。在文本特征提取中，采用多模式匹配算法AC_SC提高敏感關(guān)鍵詞的匹配效率，能夠定位截取logo圖像并利用SURF算法快速計算logo圖像相似度。

實驗結(jié)果表明，在使用本文特征集的情況下，SVM算法比其他3種典型的分類算法具有更好的分類效果。與此同時，與其他釣魚網(wǎng)頁檢測方法相比，本文方法取得了較高的準確率、召回率以及較低的誤報率，表明本文在網(wǎng)頁特征選取的有效性。后續(xù)工作主要是提高網(wǎng)頁特征的提取效率，并利用更大規(guī)模的數(shù)據(jù)集進行測試驗證。

[1] Anti-Phishing Working Group(APWG). Phishing activity trends report in the third quarter of 2016[EB/OL].[2017-01-10]. http://docs.apwg.org/reports/apwg_trends_report_q3_2016.pdf.

[2] 白帽匯.2016年第二季度針對金融領(lǐng)域偽基站釣魚黑產(chǎn)分析報告[EB/OL].[2017-01-10].http://www.fre-ebuf.com/articles/paper/102736.html.

BAIMAOHUI. The pseudo base-station black phishing industry analysis report of financial field in the second quarter of 2016[EB/OL].[2017-1-10]. http://www.freebuf.com/articles/ paper/102736.html.

[3] 沙泓洲,劉慶云,柳廳文,等.惡意網(wǎng)頁識別研究綜述[J].計算機學(xué)報,2016,39(3):529-542.

SHA H Z, LIU Q Y, LIU T W, et al. Survey on malicious webpage detection research[J]. Chinese Journal of Computers, 2016, 39(3): 529-542.

[4] ALMOMANI A,GUPTA B B,ATAWNEH S,et al.A survey of phishing Email filtering techniques[J].IEEE Communications Surveys & Tutorials,2013,15(4):2070-2090.

[5] KHONJI M, IRAQI Y, JONES A. Phishing detection: a literature survey[J]. IEEE Communications Surveys & Tutorials, 2013, PP(99): 1-31.

[6] National Consumers League(NCL). A call for action: report on the national consumers league anti-phishing retreat[R]. Washington, DC, USA: NCL, 2006.

[7] CHHABRA S.Fighting spam,phishing and Email fraud[D].Riverside:University of California,Riverside,2005.

[8] 馮慶,連一峰,張穎君.基于集成學(xué)習(xí)的釣魚網(wǎng)頁深度檢測系統(tǒng)[J].計算機系統(tǒng)應(yīng)用,2016,25(10):47-56.

FENG Q,LIAN Y F,ZHANG Y J.Depth detection system for phishing web pages based on ensemble learning[J].Computer Systems and Applications,2016,25(10):47-56.

[9] 王婷,彭勇,戴忠華,等.基于SVM-RFE的釣魚網(wǎng)頁檢測方法研究[J].華中科技大學(xué)學(xué)報：自然科學(xué)版,2013,41(s2):143-146.

WANG T, PENG Y, DAI Z H, et al. Research on the phishing detection technology based on SVM-RFE[J]. Journal of Huazhong University of Science and Technology: Natural Science Edition, 2013, 41(s2): 143-146.

[10] 徐強,梁彬,游偉,等.基于SURF算法的Android惡意應(yīng)用釣魚登錄界面檢測[J].清華大學(xué)學(xué)報：自然科學(xué)版,2016,56(1):77-82.

XU Q, LIANG B, YOU W, et al. Detecting Android malware phishing login interface based on SURF algorithm[J]. Journal of Tsinghua University: Science and Technology, 2016, 56(1): 77-82.

[11] KANG L C, CHANG E H, SZE S N, et al. Utilisation of website logo for phishing detection[J]. Computers & Security, 2015(54): 16-26.

[12] 王偉平,張兵.支持頁面特征偽造識別的釣魚網(wǎng)頁檢測方法[J].山東大學(xué)學(xué)報：理學(xué)版,2014,49(9):90-96.

WANG W P, ZHANG B. Detection phishing webpage with spoofed specific features[J]. Journal of Shandong University: Natural Science, 2014, 49(9): 90-96.

[13] BAY H, TUYTELAARS T, GOOL L V. SURF: speeded-up robust features[J]. Computer Vision & Image Understanding, 2006, 110(3): 404-417.

[14] 候整風(fēng),楊波,朱曉玲.一種適合中文的多模式匹配算法[J].計算機科學(xué),2013,40(11):117-121.

HOU Z F,YANG B,ZHU X L.Multiple pattern algorithm for Chinese[J].Computer Science,2013,40(11):117-121.

[15] HUANG H, QIAN L, WANG Y. A SVM-based technique to detect phishing URLs[J]. Information Technology Journal, 2012, 11(7): 921-92.

[16] 胡向東,劉可,林家富,等.基于頁面敏感特征的金融類釣魚網(wǎng)頁檢測方法[J].網(wǎng)絡(luò)與信息安全學(xué)報,2017,3(2):31-38.

HU X D, LIU K, LIN J F, et al. Financial phishing detection method based on sensitive characteristics of webpage[J]. Chinese Journal of Network and Information Security, 2017, 3(2): 31-38.

[17] SHENG S, WARDMAN B, WARNER G, et al. An Empirical Analysis of Phishing Blacklists[C]// Proceedings of the 6th Conference on Email and Anti-Spam. CA, USA: CEAS, 2009: 59-78.

[18] ZHANG D, YAN Z, JIANG H, et al. A domain-feature enhanced classification model for the detection of Chinese phishing e-Business websites[J].Information & Management, 2014, 51(7): 845-853.

[19] LI Y, YANG L, DING J. A minimum enclosing ball-based support vector machine approach for detection of phishing websites[J]. Optik-International Journal for Light and Electron Optics, 2016, 127(1): 345-351.

The Joint Research Foundation of the Ministry of Education of the People's Republic of China and China Mobile(MCM20150202)

MethodofdetectingthefinancialphishingwebpagebasedonSVM

ZHANG Feng1, HU Xiangdong2, LIN Jiafu2, GUO Zhihui1, FU Jun1, LIU Ke2

1.Research Institute of China Mobile, Beijing 100033, P.R.China； 2.School of Automation, Chongqing University of Posts and Telecommunications, Chongqing 400065, P.R.China)

Aiming at the serious information security challenges in the financial service field, and the shortcomings of existing phishing webpage detection methods, a financial phishing webpage detection method based on support vector machine (SVM) was proposed. The method uses webpage rendering to remove common feature camouflage of page, then sets up feature vector according to extract several features including uniform resource locator (URL), text messages, form of page, and logo image. Next, it trains the SVM classifier model by feature vector, and the method realizes the recognition of financial phishing webpage. In the process of features extraction, the method uses multiple pattern matching algorithm AC_SC (AC suitable for chinese) to improve efficiency of text matching, and finishes logo image features extraction and matching by speeded-up robust feature (SURF) algorithm. It shows that the proposed method reveals better in pertinence according to experiment of several methods, and it can achieve 99.1% detection precision and not higher than 0.86% false positive rate.

phishing detection; support vector machine; financial web page; feature extract; multi-pattern matching

10.3979/j.issn.1673-825X.2017.06.015

2017-02-18

2017-09-20

胡向東 huxd@cqupt.edu.cn

教育部—中國移動聯(lián)合研究基金(MCM20150202)

TP393.08

A

1673-825X(2017)06-0806-08

張 峰(1977 -)，男，湖北孝感人，中國移動研究院高級工程師，博士，主要研究方向為網(wǎng)絡(luò)與信息安全技術(shù)應(yīng)用。E-mail:zhangfeng@chinamobile.com。

胡向東(1971 -)，男，四川廣安人，重慶郵電大學(xué)教授，博士，主要研究方向為物聯(lián)網(wǎng)安全、智能感知、網(wǎng)絡(luò)化測控與工業(yè)控制安全、復(fù)雜系統(tǒng)建模仿真與優(yōu)化等。E-mail:huxd@cqupt.edu.cn。

林家富(1989 -)，男，四川成都人，碩士研究生，主要研究方向為物聯(lián)網(wǎng)安全。E-mail:759770669@qq.com。

郭智慧(1986 -)，男，河北張家口人，中國移動研究院網(wǎng)絡(luò)與信息安全研究員，碩士，主要研究方向為網(wǎng)絡(luò)欺詐治理。E-mail:guozhihui@chinamobile.com。

付 俊(1979 -)，男，湖北松滋人，碩士，中國移動研究院項目經(jīng)理，主要研究方向為網(wǎng)絡(luò)與信息安全方案設(shè)計、安全標準制定以及各種黑客攻防對抗技術(shù)。E-mail:fujun@chinamobile.com。

劉 可(1992 -)，男，重慶人，碩士研究生，主要研究方向為物聯(lián)網(wǎng)安全。E-mail:1309568185@qq.com。

(編輯：劉 勇)