安全公司利用自然語言處理技術實時識別釣魚網站

云安全技術公司OpenDNS近日 宣布 開發出了一款利用自然語言處理技術的工具原型NLPRank，該工具可實時自動識別出惡意域名（釣魚網站）以及對高價值目標的攻擊。

所謂的惡意（搶注）域名通常用于釣魚網站，即域名的拼寫往往跟我們熟悉的知名網站比較類似。網絡罪犯搶注了這些域名后會把網站做得跟知名網站十分 類似，一旦用戶想訪問那些知名網站時輸錯個別字母（如G00gle.com）就會進入到釣魚網站，由于界面十分相似，有的用戶并不會意識到，于是繼續輸入 個人賬戶密碼等敏感信息從而導致隱私泄露。有的網絡黑客則利用用戶注重安全的心理，通過各種方式發送一些進行安全更新的提示，而所提供的鏈接地址采用了跟 知名網站貌似很有關系的域名（如adobeupdates[.]com），誘騙用戶進入。

傳統上，安全軟件的解決方案是事后處理。因為域名太多了，惡意域名是無法事先收集完整的，所以通常只有在用戶受害后報告才會識別出某些域名是有威 脅的。不過OpenDNS的工程師正是利用了這類惡意域名起碼刻意與知名網站類似的特點，采用了以往被應用于生物信息和數據挖掘的自然語言處理技術，結合 ASN映射和賦權、WHOIS數據模式以及HTML標簽分析再加上OpenDNS的全球網絡數據，開發出了可實時識別惡意域名的工具原型NLPRank。

OpenDNS的研究人員Jeremiah O’Connor首先 分析 了DarkHotel以及Mandiant APT1兩個網絡犯罪集團的攻擊手段和數據，發現他們的手段都比較類似，就是釣魚攻擊。而且在拿到這些犯罪集團的數據之后，他發現這些釣魚網站采用的域名都遵循著某些類似的模式，于是萌生了做NLPRank的想法。

這種實時的檢測模型包括了一個經常被用來參考做釣魚網站的流行合法域名字典庫（如“java”、“gmail”、“adobe”等），然后將其與 釣魚活動常見的英語單詞（如“install”、“update”、“download”）進行比較。接著利用生物信息學里面的序列比對技術對 “install-ad0be”這類的域名進行評級，然后評估其被用于釣魚行動的可能性。比如，某個域名跟知名網站比較類似，NLPRank就會將這個域 名的IP地址與知名網站域名對應的IP庫進行對比，看看是否屬于該知名網站的IP庫范圍，如果不屬于，那么這個域名是釣魚網站的可能性就比較高。

這種利用自然語言處理技術的實時檢測方法應該是一種比較新穎的做法，這不僅在于其實時性，而且釣魚網站會比較為難，因為如果釣魚網站希望起名跟知名網站不那么類似來規避被軟件識別的可能性的話，用戶可能就不那么容易被那樣的域名欺騙了。

[消息來源： blog.opendns.com , labs.opendns.com ]