一、基本信息
論文題目:《Preventing phishing attacks using text and image watermarking》
發表時間:CONCURRENCY AND COMPUTATION-PRACTICE & EXPERIENCE 2019
作者及單位:
Mahdi Hajiali , Maryam Amirmazlaghani, Hossain Kordestani(Department of Computer Engineering and Information Technology, Amirkabir University of Technology, Tehran, Iran)
二、摘要
網絡釣魚是一種身份盜用的形式,通過提供仿造合法企業網站的假網頁來非法收集個人和財務信息。本文提出了一種基於不可感知水印和監控http請求的反釣魚方法。在服務器端,生成一個依賴於url的水印並將其嵌入到web頁面的元素中,這些元素是徽標圖像和html/css文件。在客戶端,爲了驗證網頁的真實性和安全性,重新生成水印,並與從網頁元素中提取的水印進行比較。通過對該方法的安全性分析,證明了該方法對常見攻擊的魯棒性。該方法完全自動執行,無需用戶交互。它可以簡單地實現並用於所有類型的網站,無論是安全的還是不安全的ssl協議。
三、主要工作與內容
1、以往的對抗網絡釣魚攻擊方法主要分爲兩種:檢測方法和預防方法。
Detection methods:
以前的許多檢測方法都是基於提取網站特徵,並將這些特徵與常見的釣魚網站特徵進行比較。Cantina 9是2007年提出的,它使用TF-IDF算法查找網頁中重複次數最多的單詞,並將其輸入搜索引擎,檢查網頁地址是否在搜索結果中。該方法還採用了一些啓發式方法,如檢查域名的年齡和url中的點數等,對搜索引擎的依賴性和計算量大是該方法的缺點。
Prevention methods:
預防方法試圖阻止網絡釣魚攻擊,並且它們不存在在檢測的方法中常見的錯誤。在sharifi等人的工作中,提出了一種雙向認證方法。通過使用共享密鑰和Spkes密碼算法的少量改變,該方法使得認證成爲可能。但是,這種方法容易受到口令泄露的模擬和惡意服務器攻擊。
2、根據預防方法與檢測技術相比的優勢,本文重點對其進行了研究。最近的研究表明,使用數據隱藏技術的反釣魚方法具有很高的性能。然而,在這個領域有一些工作。在singh等人的工作中,26提出了一種基於水印的反釣魚方法。用戶每次想進入網站時都要提供5個證書。憑據包括:用戶名、密碼、密鑰、水印圖像和水印圖像的位置。每當用戶想退出時,他們應該改變圖像位置並記住這一點。所以,這對用戶來說很煩人。viwid27也是另一種使用可見水印的方法。在這種方法中,可視文本作爲水印插入到徽標中。文本是用戶和網站之間共享的密鑰。用戶要時刻注意標識和文字,不方便用戶使用。
本文針對上述方法的不足,提出了一種基於不可見文本和圖像水印的網站認證和網絡釣魚預警方法。值得一提的是,與其他基於水印的方法相比,該方法的一個主要優點是驗證過程是自動執行的,並且不涉及網站用戶。
四、總結
網絡釣魚攻擊對互聯網用戶來說是越來越嚴重的問題。雖然已經提出了許多方法和反釣魚工具來打擊釣魚網站,但這些方法在應對所有釣魚攻擊時仍然不夠有效。本文提出了一種新的基於水印的方法。與之前的一些方法不同,這種方法不需要用戶交互,驗證網站的過程完全自動運行。因此,不會發生人爲可靠性錯誤。由於我們使用了一種不可見的水印技術,水印的存在被攻擊者隱藏。此外,實現的水印驗證軟件是跨瀏覽器的,這意味着它可以監控操作系統中發送http請求的其他軟件。其他軟件應用程序的實現方式完全不同。作爲一個工具欄,它們只能監視用戶在安裝了工具欄的特定瀏覽器中瀏覽的網站。該方法不提供第三方服務,易於實現。這種方法可以檢測到零日釣魚攻擊,不僅適用於各種不同語言的網站,也適用於安全或不安全的ssl協議網站。因此,擔心客戶端安全的企業可以使用該系統來保證自己不受網絡釣魚攻擊。