云安全技術(shù)公司OpenDNS近日宣布開發(fā)出了一款利用自然語言處理技術(shù)的工具原型NLPRank，該工具可實時自動識別出惡意域名（釣魚網(wǎng)站）以及對高價值目標(biāo)的攻擊。

所謂的惡意（搶注）域名通常用于釣魚網(wǎng)站，即域名的拼寫往往跟我們熟悉的知名網(wǎng)站比較類似。網(wǎng)絡(luò)罪犯搶注了這些域名后會把網(wǎng)站做得跟知名網(wǎng)站十分類似，一旦用戶想訪問那些知名網(wǎng)站時輸錯個別字母（如G00gle.com）就會進(jìn)入到釣魚網(wǎng)站。由于界面十分相似，有的用戶并不會意識到，于是繼續(xù)輸入個人賬戶密碼等敏感信息從而導(dǎo)致隱私泄露。有的網(wǎng)絡(luò)黑客則利用用戶注重安全的心理，通過各種方式發(fā)送一些進(jìn)行安全更新的提示，而所提供的鏈接地址采用了跟知名網(wǎng)站貌似很有關(guān)系的域名（如adobeupdates[.]com），誘騙用戶進(jìn)入。

傳統(tǒng)上，安全軟件的解決方案是事后處理。因為域名太多了，惡意域名是無法事先收集完整的，所以通常只有在用戶受害后報告才會識別出某些域名是有威脅的。不過OpenDNS的工程師正是利用了這類惡意域名起碼刻意與知名網(wǎng)站類似的特點，采用了以往被應(yīng)用于生物信息和數(shù)據(jù)挖掘的自然語言處理技術(shù)，結(jié)合ASN映射和賦權(quán)、WHOIS數(shù)據(jù)模式以及HTML標(biāo)簽分析再加上OpenDNS的全球網(wǎng)絡(luò)數(shù)據(jù)，開發(fā)出了可實時識別惡意域名的工具原型NLPRank。

OpenDNS的研究人員Jeremiah O Connor首先分析了DarkHotel以及Mandiant APT1兩個網(wǎng)絡(luò)犯罪集團(tuán)的攻擊手段和數(shù)據(jù)，發(fā)現(xiàn)他們的手段都比較類似，就是釣魚攻擊。而且在拿到這些犯罪集團(tuán)的數(shù)據(jù)之后，他發(fā)現(xiàn)這些釣魚網(wǎng)站采用的域名都遵循著某些類似的模式，于是萌生了做NLPRank的想法。

這種實時的檢測模型包括了一個經(jīng)常被用來參考做釣魚網(wǎng)站的流行合法域名字典庫（如“java”、“gmail”、“adobe”等），然后將其與釣魚活動常見的英語單詞（如“install”、“update”、“download”）進(jìn)行比較。接著利用生物信息學(xué)里面的序列比對技術(shù)對“install-ad0be”這類的域名進(jìn)行評級，然后評估其被用于釣魚行動的可能性。比如，某個域名跟知名網(wǎng)站比較類似，NLPRank就會將這個域名的IP地址與知名網(wǎng)站域名對應(yīng)的IP庫進(jìn)行對比，看看是否屬于該知名網(wǎng)站的IP庫范圍，如果不屬于，那么這個域名是釣魚網(wǎng)站的可能性就比較高。

這種利用自然語言處理技術(shù)的實時檢測方法應(yīng)該是一種比較新穎的做法，這不僅在于其實時性，而且釣魚網(wǎng)站會比較為難，因為如果釣魚網(wǎng)站希望起名跟知名網(wǎng)站不那么類似來規(guī)避被軟件識別的可能性的話，用戶可能就不那么容易被那樣的域名欺騙了。

標(biāo)簽： dns isp whois 安全 網(wǎng)絡(luò) 網(wǎng)站 隱私 用戶 域名

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。