生物信息學及自然語言處理技術:新技術 NLPRank 助揪出釣魚網站
根據 OpenDNS 的一個新的威脅檢測模型,黑客利用作釣魚網站的虛假域名很多時都離不開特定字眼,綜合此發現可令安全人員更容易識別出惡意網站。字眼例如 update、Security、login、billing,會與一些常見域名字眼或「串錯字」來組合成千變萬化的組合。OpenDNS 解構出一張名單是 spam 常用的域名列表,黑客這套域名方程式主要來自生物信息學和數據挖掘領域,並且使用自然語言處理技術。
透過這個列表,安全人員可以對比一些關鍵因素,計算一個懷疑網站有多少概率是惡意網站。由於企業都會註冊一些與其原本域名相似串法的域名,用作其他合法用途,例如將這些「變種」域名指向其正規域名以減少被人盜用,所以單獨以關鍵字來判斷是不夠的,除了域名,我們或許要考慮其他因素包括其不常見的域名註冊商,不尋常的 host 位置,或 Whois 資訊與上層註冊信息是否匹配等等。
OpenDNS 提供的 DNS安全服務採用了名為 NLPRank 的技術,而就在近兩個月的時間內,通過有關技術已經發現了數千個新的釣魚網站,專家亦已將之手動添加到黑名單之中。例如是 PayPal 相關的釣孫網站,像是 securitycheck-paypal dot com 及 x-paypal dot com;這些網站偽冒得跟正牌的非常相似,從真正的網站空接複製顏色、圖像、甚至是 HTML 本身所以非常逼真。
現時 NLPRank 仍然在改進中,而所有新發現的釣魚網站都會作評估並加入系統中,藉以添加新的指標以減少誤報數量。所以 NLPRank 技術仍然未成為自動化偵測工具,估計需直到百分之百沒有false alarm才會將方案提供給客戶。
