釣魚詐騙網(wǎng)站治理最佳實(shí)踐案例

1、釣魚詐騙網(wǎng)站治理最佳實(shí)踐案例2016 年 12 月近年來移動互聯(lián)網(wǎng)的高速發(fā)展，移動終端功能的日益強(qiáng)大，極大地方便了人們的生活，同時也出現(xiàn)了電信詐騙的問題。不法分子通過仿冒運(yùn)營商、金融等行業(yè)的網(wǎng)站，騙取用戶輸入賬戶、密碼等私人資料，使用戶遭受到大量損失。近年來釣魚詐騙網(wǎng)站頻繁發(fā)生，據(jù) CNCERT 監(jiān)測發(fā)現(xiàn)，2015 年針對我國境內(nèi)網(wǎng)站的仿冒頁面數(shù)量達(dá)18 萬余個，造成嚴(yán)重經(jīng)濟(jì)損失。釣魚詐騙的猖獗發(fā)展，嚴(yán)重危害了公眾利益，嚴(yán)重影響了金融、通信、電子商務(wù)等行業(yè)的健康發(fā)展，必須加大對釣魚網(wǎng)站的打擊力度。浙江公司于2016 年進(jìn)行了釣魚網(wǎng)站發(fā)現(xiàn)和治理方面的探索， 取得了初步成效，形成了較為完整的 “收

2、集發(fā)現(xiàn)審核”的工作流程。為更好地開展釣魚網(wǎng)站的治理工作，在匯總提煉前期最佳實(shí)踐的基礎(chǔ)上，特編制了該實(shí)踐案例，供各單位參考。 TOC o 1-5 h z 前 言 II一、概述1 HYPERLINK l bookmark0 o Current Document 二、組織保障 1 HYPERLINK l bookmark2 o Current Document 三、運(yùn)營管理 2治理范圍 2審核標(biāo)準(zhǔn) 2治理流程 3 HYPERLINK l bookmark4 o Current Document 四、技術(shù)實(shí)現(xiàn) 6 HYPERLINK l bookmark6 o Current Document 五、工

3、作成效 9 釣魚詐騙網(wǎng)站治理的總體思路可分為三步驟：數(shù)據(jù)采集、內(nèi)從省內(nèi)相關(guān)網(wǎng)元獲取用戶訪問數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)進(jìn)行過URL 地址。由爬蟲集群下載網(wǎng)頁內(nèi)容并進(jìn)數(shù)據(jù)清洗過濾& 算法分析垃圾短信系統(tǒng)疑似網(wǎng)址爬蟲集群初審結(jié)疑似結(jié)果識別引擎1 ：釣魚網(wǎng)站治理整體思路二、組織保障公司高度重視釣魚網(wǎng)站的治理工作，為確保達(dá)到最佳效果，網(wǎng)絡(luò)部、 客服中心等部門的跨部門專項(xiàng)工作小組，同時明確各部門職責(zé)，其中由信息安全部門總體牽頭，組織相關(guān)部門共同推進(jìn)。各部門具體職責(zé)如下：信息安全部：總體牽頭釣魚網(wǎng)站治理工作；定期組織會議，協(xié)調(diào)工作開展。網(wǎng)絡(luò)部網(wǎng)管中心:負(fù)責(zé)上網(wǎng)日志的數(shù)據(jù)提供和硬件資源池環(huán)境。網(wǎng)絡(luò)部互客中心:負(fù)責(zé)D

4、NS 查詢?nèi)罩镜奶峁?；?fù)責(zé)釣魚網(wǎng)站監(jiān)測系統(tǒng)的開發(fā)和日常維護(hù)。負(fù)責(zé)釣魚網(wǎng)站的及時下架?？蛻舴?wù)中心:負(fù)責(zé)提供垃圾短信中釣魚網(wǎng)站相關(guān)數(shù)據(jù)。三、運(yùn)營管理治理范圍目前仿冒銀行類的釣魚網(wǎng)站數(shù)量最多，危害巨大，公司初期重點(diǎn)開展這類釣魚網(wǎng)站的治理，后期根據(jù)情況逐步擴(kuò)展。審核標(biāo)準(zhǔn)對于銀行類的主要按以下標(biāo)準(zhǔn)進(jìn)行判斷：、 網(wǎng)站域名核對。嚴(yán)格判斷域名是否為銀行官方網(wǎng)站，如果是，則直接放行，如果不是再進(jìn)行下一步判定；網(wǎng)站內(nèi)容和風(fēng)格比對。與正規(guī)銀行官方網(wǎng)站進(jìn)行內(nèi)容和風(fēng)格比較，比對一致性；若有不一致，則需進(jìn)行下一步判斷。網(wǎng)站備案查詢。在工信部網(wǎng)站備案系統(tǒng)中(網(wǎng)址為： HYPERLINK /publish/query/in

5、dexFirst.acti /publish/query/indexFirst.acti on )查詢域名，如可以查出備案號并且撥測內(nèi)容正常，無不良內(nèi)容的網(wǎng)站放行，對于無備案信息的假冒銀行的釣魚網(wǎng)站判為違規(guī)。治理流程釣魚網(wǎng)站的治理流程總體上分為數(shù)據(jù)采集、內(nèi)容識別和人工2 ：治理流程1 、數(shù)據(jù)采集為了識別釣魚網(wǎng)站，需要在海量數(shù)據(jù)中提取用戶訪問的URL地址記錄。獲取的數(shù)據(jù)源有以下3 種：( 1 ) 上網(wǎng)日志。采用SFTP 接口，通過上網(wǎng)日志留存系統(tǒng)獲取上網(wǎng)日志數(shù)據(jù)，獲取用戶訪問ULR 的記錄，用于下一步分析。DNS 解析日志。采用SFTP 接口，從浙江省DNS 服務(wù)器獲取DNS 解析日志，提取其中

6、的域名、IP 等字段，用于下一步分析。垃圾短信數(shù)據(jù)。采用SFTP 接口，從垃圾短信策略運(yùn)營平臺，獲取垃圾短信樣本數(shù)據(jù)，提取其中的URL 信息，用于下一步分析。因釣魚網(wǎng)站有“存在周期短”、 “傳播速度快”的特點(diǎn)，很多釣魚網(wǎng)站的存活時間只有幾天甚至幾小時，因此要做到及時發(fā)現(xiàn)和處置，必須保證系統(tǒng)獲取數(shù)據(jù)的實(shí)時性和全面性。2、內(nèi)容識別數(shù)據(jù)獲取后的內(nèi)容識別過程，可分為以下幾個步驟：） 清洗過濾。對于獲取到的數(shù)據(jù)，系統(tǒng)利用大數(shù)據(jù)技術(shù)對其進(jìn)行清晰和過濾，刪除多余的字段，對URL 地址進(jìn)行去重；尋找疑似URL。利用編輯距離、海明距離等先進(jìn)的相似度算法，分析海量的URL 地址，找出其中與正常網(wǎng)站相似的URL 地

7、址。例如 HYPERLINK 為正常網(wǎng)站，在海量數(shù)據(jù)中發(fā)現(xiàn)了 HYPERLINK 或 HYPERLINK 之類的地址，則可以選定為疑似URL 地址；內(nèi)容爬取。對于選定的疑似URL 地址，利用爬蟲集群快速下載其頁面內(nèi)容；內(nèi)容比對。對于下載的疑似URL 地址的網(wǎng)頁內(nèi)容（包括圖片和文字）與正常網(wǎng)站的文字和圖片進(jìn)行對比。如果疑似URL 地址的網(wǎng)頁文字和圖片內(nèi)容與正常網(wǎng)站高度類似，則可以判定為疑似釣魚網(wǎng)站。如下圖所示，疑似URL 地址的網(wǎng)站頁面風(fēng)格 Logo 與建設(shè)銀行一致，其導(dǎo)航菜單攔和文字與建設(shè)銀行網(wǎng)站高度類似。因此系統(tǒng)可以將其判定為疑似釣魚網(wǎng)站。3 ：疑似釣魚網(wǎng)站與正常網(wǎng)站對比輸出結(jié)果。對于系統(tǒng)識

8、別的疑似釣魚網(wǎng)站，將其送 至釣魚網(wǎng)站審核平臺，由人工完成審核確認(rèn)。3、人工審核在省內(nèi)新建立了審核平臺，對系統(tǒng)分析發(fā)現(xiàn)的疑似釣魚網(wǎng)站在審核平臺上由人工進(jìn)行確認(rèn)；浙江公司審核的時間段為每日8點(diǎn) 30 分至下午17 點(diǎn) 30 分，平均每個疑似釣魚網(wǎng)站需要5 至10 分鐘完成審核。根據(jù)審核標(biāo)準(zhǔn)進(jìn)行研判后，每天兩次將確認(rèn)違規(guī)的釣魚網(wǎng)站通過信息安全合規(guī)管理平臺報送洛陽中心進(jìn)行復(fù)核，其中上午9點(diǎn)一次，下午3 點(diǎn) 30 分一次；上報內(nèi)容包括釣魚網(wǎng)站域名、IP地址、發(fā)現(xiàn)時間、取證等信息。四、技術(shù)實(shí)現(xiàn)公司釣魚網(wǎng)站治理平臺涉及系統(tǒng)改造為兩個方面：一是與上網(wǎng)日志留存系統(tǒng)打通接口，獲取用戶上網(wǎng)URL 日志，并利用爬蟲集

9、群下載網(wǎng)頁內(nèi)容。二是新建釣魚網(wǎng)站治理平臺，進(jìn)行海量數(shù)據(jù)的處理和釣魚網(wǎng)站文本/圖像的識別，及人工審核。、 系統(tǒng)組網(wǎng)架構(gòu)上網(wǎng)日志平臺CMNET防火墻交換機(jī)釣魚網(wǎng)站監(jiān)測系統(tǒng)DNS數(shù)據(jù)源垃圾短信策略平臺4：釣魚網(wǎng)站治理系統(tǒng)的組網(wǎng)架構(gòu)通過接口機(jī)上的FTP 客戶端，從上網(wǎng)日志留存等系統(tǒng)獲取用戶的 4G 上網(wǎng)日志及DNS 查詢?nèi)罩?、垃圾短信中的URL 字段信息。 在 8 臺虛擬機(jī)上部署智能數(shù)據(jù)分析平臺，完成對海量數(shù)據(jù)的清洗和過濾，找出仿冒正常網(wǎng)站的URL 地址。在5 臺虛擬機(jī)上部署互聯(lián)網(wǎng)爬蟲集群，下載仿冒URL 的網(wǎng)頁內(nèi)容。在智能數(shù)據(jù)分析平臺上同時部署了識別引擎，對網(wǎng)頁的文本/圖片進(jìn)行識別，判定其為疑似釣魚

10、網(wǎng)站。、 治理平臺架構(gòu)釣魚網(wǎng)站治理平臺采用通用的四層架構(gòu)，如下圖所示：應(yīng)用層封堵上報告警推送數(shù)據(jù)處理層機(jī)器學(xué)習(xí)用戶行為分析網(wǎng)頁關(guān)聯(lián)統(tǒng)計(jì)Spark可疑 URL分析 傳播源分析數(shù)據(jù)存儲層HDFSNoSQL數(shù)據(jù)采集層上網(wǎng)日志DNS 解析記錄垃圾短信圖 5 ：系統(tǒng)架構(gòu)圖（ 1 ） 數(shù)據(jù)采集層：負(fù)責(zé)從第三方系統(tǒng)獲取用于檢測的數(shù)據(jù)源。數(shù)據(jù)存儲層：基于大數(shù)據(jù)技術(shù)的高性能、高可靠性的分布式文件系統(tǒng)（HDFS）和非關(guān)系型數(shù)據(jù)庫mongodb 。用于存儲采集來的海量數(shù)據(jù)。數(shù)據(jù)處理層：基于先進(jìn)的Spark 大數(shù)據(jù)平臺，利用圖像識別、 深度學(xué)習(xí)等技術(shù)，快速處理海量數(shù)據(jù)，挖掘出重要信息，分析比對相關(guān)內(nèi)容，快速識別釣魚網(wǎng)站。