بخشی از مقاله
چکیده
فیشینگ با گسترش تکنولوژیهای پیشرفته در حال گسترش میباشد. رواج تجارت الکترونیک در دنیای دیجیتال، امروزه دری را برای جرایم مختلف سایبری می گشایدکه قبلا هرگز دیده نشده است. از بین همه جرایم سایبری که سیستم های بانکداری الکترونیکی را مورد هدف قرار دادند، حمله فیشینگ، یکی از جدی ترین تهدیدات شده است.در این مقاله، ما یک مدل برای تشخیص حملات فیشینگ با استفاده از شبکه عصبی ارایه میکنیم و وب سایت های مشروع و فیشینگ را با استفاده از آموزش و تست شبکه طبقه بندی مینماییم. مدل پیشنهادی ما نشان میدهد که آموزش شبکه ما، با میانگین مربعات خطای 232.76 درصد در مقایسه با کار گذشته، بهبود حاصل کرده است.
مقدمه
هر روزه سارقان اینترنتی، راههای جدیدی را برای بدست آوردن هویت شخصی افراد و دست یابی به اطلاعات شخصی آنها به کار می برند.یکی از روشهایی کهاخیراً بسیار مورد توجه آنها قرار گرفته و البته کمی هم پیچیده می باشد، فیشینگ نام دارد.
حملات موسوم به فیشینگ به آن دسته از حملات اینترنتی گفته می شود که معمولاً، طراحان آنها از ایمیلهای دارای آدرسهای فرستنده جعلی برای کشاندن کاربران به وب سایتهای مورد نظرشان استفاده می کنند.در اینگونه حملات،معمولاً ایمیلهایی برای کاربران ارسال میشود که دارای آدرس فرستنده مربوط به شرکتهای معروف و یا بانکهای معتبر هستند و درون آنها نیز لینکهایی قرار دارد کهظاهراً به همان مراکز تعلق دارند اما در حقیقت کاربر را به سوی سایتهای مورد نظر طراحان فیشینگ هدایت میکنند و اطلاعات حساس نظیر کلمات عبور و یا رمز کارتهای اعتباری کاربران را میربایند.
راه حلی که ارایه شده است در آن از شبکه عصبی استفاده شده است که تعدادی ورودی و خروجی دارد، ورودی ما از یکسری شاخصها تشکیل شده است که عبارتند از: طول لینک،تعداد زیر دامنه، تعداد کلمات کلیدی، تعداد کاراکترهای عددی به کار رفته و خروجی که میتواند یک یا دو باشد. یک نشان دهنده این است که لینک مورد نظر فیشینگ است و دو یعنی لینک مورد نظر فیشینگ نیست.
کارهای گذشته
بر اساس مشاهدات موجود در سال 2011 بیش از 70 درصد فعالیتهای فیشینگ برای سرقت نام حسابها و کلمه های عبور کاربران بکار گرفته میشد.
در همین سال، فانگ و همکارانش،یک چارچوب ضد فیشینگ برای شناسایی ایمیل های مبتنی بر حملات فیشینگ ارایه کرده اند.روش شرح داده شده یک تکنیک حمله مرکزی را اتخاذ کرده که حملات فیشینگ را با استفاده از پاسخ های جعلی که تقلید از کاربران واقعی است شناسایی میکند.در اصل با معکوس کردن نقش قربانی و دشمن نشان داده است که این رویکرد، قادر است یک اکثریت قریب از حملات را تشخیص دهد.
در سال بعد لاکشمی و میس مقاله ای ارایه دادند که نشان داد فیشینگ از مهندسی اجتماعی و ایمیل های هرزنامه برای اطلاعات حساس غیرقانونی و نامشروع از قبیل نام کاربری و کلمه عبور و اطلاعات مالی از قربانیان همه جا بی خبر، استفاده میکند.این شکل از سرقت هویت امروزه یک مشکل بزرگ برای کسب و کار،مصرف کنندگان و جامعه حقوقی است.حملات فیشینگ، هزینه میلیونها دلار در هر سال برای موسسات مالی دارند.در یک سال دوره ای، حدود 1. 8 میلیون حملات فیشینگ، 1 . 2 میلیارد دلار ضرر و زیان بوجود آورد.هنگامیکه افراد بوسیله حملات فیشینگ قربانی می شوند، موسسه مالی شان باید جبران خسارت افراد را مثل هر شکل دیگری از سرقت هویت کند.
تحقیق معرفی شده در این مقاله هدف خود را به معرفی یک راه جدید برای ردیابی حملات فیشینگ به ادرس IP واقعی از ماشین فیشر و نه آدرس IP از یک کامپیوتری که مهاجم برای استفاده در حملات به خطر انداخته است پرداخته است.
-3 روش اجرای کار
برای انجام این تحقیق، با استفاده از یک شبکه عصبی مصنوعی مکانیزمی برای تشخیص لینک های سالم از ناسالم فراهم گردید. اساس کار برای استفاده از شبکه عصبی، داشتن داده های مناسب و کافی برای آموزش شبکه می باشد.این داده ها به نسبت کاری که باید انجام شود شرایطی را برای شناسایی همه خروجی ها برای شبکه ایجاد مینماید. برای بدست آوردن این داده ها ابتدا لیستی شامل دو پایگاه داده از لینکهای فیشینگ و سالم تهیه گردیده است .
دادههای مربوط به لینکهای سالم از سایت یاهو تهیه شده است که معتبر ترین در نوع خود می باشد . برای لینکهای فیشینگ از پایگاه داده سایت Phish Tank استفاده گردیده است از قابلیت های خوب این سایت بهروز رسانی مرتب و در بازهای زمانی مشخص آن می باشد که به همین دلیل بهعنوان یکی از بهترین مراجع برای تشخیص لینکهای مخرب استفاده می شود. با جمع آوری آدرس های سالم و ناسالم ، این آدرس ها به دو دسته برای آموزش و تست شبکه تقسیم گردیده است .
در کاربرد عملی، این دیتاها با توجه به سرعت بالای آموزش شبکه می توانند به صورت برخط آموزش داده شده و به سرعت بهترین پاسخ را تهیه نماید . لینک های فیشینگ با توجه به عملیاتی که برای آن طراحی می شوند دارای مشخصه هایی هستند که عمده توجه برای شناسایی آنها معمولا بر روی این موارد قرار می گیرد. در این پروژه هم، با آنالیز لینک های فیشینگ تعدادی شاخص برای شناسایی این لینک ها انتخاب گردیده است که این موارد در ادامه توضیح داده می شود:
-1طول لینک ها
به صورت معمولی لینکهای فیشینگ دارای طول به مراتب بیشتری نسبت به لینکهای سالم می باشند. این طولانی بودنعموماً به دلیل استفاده کردن از یک آدرس جعلی و تغییر مسیر دادن کاربر به طرف لینک مورد نظر میباشد.همانگونه که در ذیل مشخص است این طولانی بودن می تواند شامل تعداد زیاد کاراکترها و زیاد بودن قسمت های لینک باشد.
همانگونه که در نمونه لینک فیشینگ با طول زیاد و قسمت های متعدد در بالا دیده می شود، نشانه بارز برای تشخیص لینک ناسالم در این روش، استفاده از دو پارامتر ذیل است:
الف- استفاده از طول لینک
ب- استفاده از تعداد علامت / که بعنوان جدا کننده بخش ها بکار برده می شود.
با توجه به اینکه لینکها به صورت یک پایگاه داده اکسس یا فایل اکسل در دسترس می باشند، بخش مربوط به محاسبه مقادیر این مقدارها با استفاده از کد نویسی داخلی به یک فایل واسط اضافه گردیده است.
همانگونه که در بالا مشخص است در لینک های فیشینگ بصورت معمول، تعداد بالای زیر دامنه وجود دارد که با توجه به لزوم وجود کاراکتر نقطه جهت جدا کردن بخش های مختلف در لینک، در این پروژه برای تشخیص آن از شمارش تعداد نقطه استفاده شده است.
-3تعداد کلمات کلیدی
الف. HTTP
همانطور که در بالا مشخص است گاهی لینک های فیشینگ برای تغییر مسیر، از لینک های اصلی در بدنه لینک استفاده می کنند.برای شناسایی این لینک ها، تعداد کلمه HTTP بعنوان یک پارامتر دیگر در نظر گرفته شده است بدین صورت که تعداد بالای 1 مورد از تعداد کمتر از یک مورد تفکیک گردیده است.
ب. #
یکی دیگر از کلماتی که در لینک های فیشینگ کاربرد زیادی دارد، استفاده از کلمه مشخصه # است که معمولا بعنوان جدا کننده نام کاربری استفاده می شود. برای تمیز دادن این مورد تعداد کاراکتر # را بعنوان ورودی دیگر استفاده نموده ایم که در این مورد هم ملاک، تعداد یک یا بالاتر از یک و در غیر این صورت، صفر در نظر گرفته شده است.
-4 تعداد کاراکتر های عددی بکار رفته وجود بالای تعداد کارکتر عددی می تواند به دو دلیل عمده باشد:
-a عموماً لینک های ناسالم آدرس ثبت شده در سرورهای ثبت دامنه را ندارند لذا مجبور به استفاده از آدرس دهی مستقیم IP می باشند.
به عنوان مثال:
http://50.87.144.123/%7Emacaf/
-b در موارد دیگر، این کدهای عددی برای مخفی شدن مسیر انحرافی و یا مشابه سازی کوکی ها بکار برده می شوند.
در نهایت برای خروجی و دسته بندی عدد دو بعنوان لینک سالم و عدد یک بعنوان لینک فیشینگ در تارگت مورد استفاده قرار گرفته است. برای تشکیل شبکه عصبی از جعبه ابزار شبکه عصبی نرم افزار مطلب استفاده شده است .شبکه استفاده شده شبکه دسته بندی با حداقل یک لایه میانی انتخاب شده است.
-4 نتایج
نتایج با ترکیب 10 تابع آموزش متفاوت و در حالت یک یا دو لایه پنهان با تعداد متغیر سلولهای ورودی به شرح جدول ذیل می باشد:
جدول:1 توابع آموزشی مختلف در حالت تک لایه و دو لایه
