智能化是对抗网络钓鱼的利器

文/项有建

网络钓鱼无处不在，几乎让传统的杀毒软件对其几近于无可奈何。因为钓鱼网站本身并没有存在恶意代码，并且域名以天为单位快速变化，这种社会工程学而非技术的攻击手法，如果从技术上进行防御，对于软件的智能化需要给予很高的要求，而误杀和漏杀现象更几乎难以避免。

做坏事总是需要工具的。既然要进行网络钓鱼，当然离不开诱饵。一个能够吸引用户的好诱饵是成功钓鱼的第一步，也是最重要的一步。目前国内网络上最常用的诱饵不外乎两种：通过搜索引擎竞价排名来进行欺诈和利用与信息诱骗用户。

目前主流的反钓鱼网站技术的核心主要是URL识别，但是这种方法对于安全软件供应商而言，工作量巨大的同时恶意URL库的质量和更新频率并不能够得到保证。现在业界需要一种新的方法，而瑞星的技术手段将可能成为解决钓鱼网站威胁的重要思路——利用加入人工智能以及云安全的技术，能够主动识别防御未知钓鱼网站。

瑞星的技术解决思路主要来自于四个层面：钓鱼网站不良信誉系统和域名相似度系统、知名网站备案系统和页面相似度系统、智能分析技术、相关辅助技术。

钓鱼网站不良信誉系统和域名相似度系统，实质上可以将其理解成为升级版的URL黑名单技术。瑞星通过建立一套针对网站的信誉评估系统，从网站域名与知名企业域名的相似度等等各个方面对其进行风险评估，一旦网站的风险评估值超过某临界值，就将其界定成为钓鱼网站。

与之对应的，知名网站备案系统和页面相似度系统就类似于升级版的URL白名单技术。瑞星通过分析知名网站的备案信息、网站布局、图片内容等特征，来提取出知名网站的指纹信息，如果有某些网站的指纹和这些知名网站及其类似，同时又拥有不同的域名，那即可判定，这些网站就是仿冒知名网站的钓鱼网站。

以上两个层面的技术手段都实现了一定程度上的智能化，而瑞星关于钓鱼网站的智能分析技术更是将智能化推进到了极致。瑞星智能分析技术包含有三个模块：网页行为特征智能分析、钓鱼行为的智能分析和虚拟机技术。网页行为特征智能分析从原理上类似杀毒软件对与二进制文件的特征码扫描，通过提取网页的行为特征信息，与恶意行为特征信息进行比对，从而确定网站的行为合法性；钓鱼行为的智能分析就类似于杀毒软件中的主动防御模块，由于大多数钓鱼网站都会有一套明显的行为规则，比如输入大量用户信息和要求用户汇款转账等，通过建立钓鱼网站的这些类似行为规则，来进行网站的识别；虚拟机技术则是更进一步的智能化，将网页放置到瑞星的虚拟机中进行执行，通过执行结果判定网站的合法性。除此以外，瑞星的架构中还提供了一些辅助功能，比如邮件中的链接安全保障等。

瑞星的解决策略能够解决原有的URL识别技术的一些缺陷，自动处理和提前防御是这套方案的显著特点，智能化的解决思路从头至尾的贯彻到整个方案中，其优点显而易见，安全系统对于网站的处理速度大大加快。仅有快速的识别，但无法将识别到的信息反馈给用户，让用户可以进行拦截，这也是不成功的，瑞星在反钓鱼网站上也采用了云安全技术，所有用户共同分享来云安全上反钓鱼的成果，这也让瑞星在处理钓鱼网站信息时可以做到以秒为单位来对用户的客户端进行响应。

现在，反钓鱼技术已经加入到正在公开测试的瑞星防火墙2011和瑞星全功能安全软件2011之中，而其正式版瑞星预计短期内也将问世。中国的网民将能享受到这一最新技术，可以对QQ中奖、假淘宝网站等主流钓鱼网站进行主动拦截。