一、基本信息
论文题目:《Preventing phishing attacks using text and image watermarking》
发表时间:CONCURRENCY AND COMPUTATION-PRACTICE & EXPERIENCE 2019
作者及单位:
Mahdi Hajiali , Maryam Amirmazlaghani, Hossain Kordestani(Department of Computer Engineering and Information Technology, Amirkabir University of Technology, Tehran, Iran)
二、摘要
网络钓鱼是一种身份盗用的形式,通过提供仿造合法企业网站的假网页来非法收集个人和财务信息。本文提出了一种基于不可感知水印和监控http请求的反钓鱼方法。在服务器端,生成一个依赖于url的水印并将其嵌入到web页面的元素中,这些元素是徽标图像和html/css文件。在客户端,为了验证网页的真实性和安全性,重新生成水印,并与从网页元素中提取的水印进行比较。通过对该方法的安全性分析,证明了该方法对常见攻击的鲁棒性。该方法完全自动执行,无需用户交互。它可以简单地实现并用于所有类型的网站,无论是安全的还是不安全的ssl协议。
三、主要工作与内容
1、以往的对抗网络钓鱼攻击方法主要分为两种:检测方法和预防方法。
Detection methods:
以前的许多检测方法都是基于提取网站特征,并将这些特征与常见的钓鱼网站特征进行比较。Cantina 9是2007年提出的,它使用TF-IDF算法查找网页中重复次数最多的单词,并将其输入搜索引擎,检查网页地址是否在搜索结果中。该方法还采用了一些启发式方法,如检查域名的年龄和url中的点数等,对搜索引擎的依赖性和计算量大是该方法的缺点。
Prevention methods:
预防方法试图阻止网络钓鱼攻击,并且它们不存在在检测的方法中常见的错误。在sharifi等人的工作中,提出了一种双向认证方法。通过使用共享密钥和Spkes密码算法的少量改变,该方法使得认证成为可能。但是,这种方法容易受到口令泄露的模拟和恶意服务器攻击。
2、根据预防方法与检测技术相比的优势,本文重点对其进行了研究。最近的研究表明,使用数据隐藏技术的反钓鱼方法具有很高的性能。然而,在这个领域有一些工作。在singh等人的工作中,26提出了一种基于水印的反钓鱼方法。用户每次想进入网站时都要提供5个证书。凭据包括:用户名、密码、密钥、水印图像和水印图像的位置。每当用户想退出时,他们应该改变图像位置并记住这一点。所以,这对用户来说很烦人。viwid27也是另一种使用可见水印的方法。在这种方法中,可视文本作为水印插入到徽标中。文本是用户和网站之间共享的密钥。用户要时刻注意标识和文字,不方便用户使用。
本文针对上述方法的不足,提出了一种基于不可见文本和图像水印的网站认证和网络钓鱼预警方法。值得一提的是,与其他基于水印的方法相比,该方法的一个主要优点是验证过程是自动执行的,并且不涉及网站用户。
四、总结
网络钓鱼攻击对互联网用户来说是越来越严重的问题。虽然已经提出了许多方法和反钓鱼工具来打击钓鱼网站,但这些方法在应对所有钓鱼攻击时仍然不够有效。本文提出了一种新的基于水印的方法。与之前的一些方法不同,这种方法不需要用户交互,验证网站的过程完全自动运行。因此,不会发生人为可靠性错误。由于我们使用了一种不可见的水印技术,水印的存在被攻击者隐藏。此外,实现的水印验证软件是跨浏览器的,这意味着它可以监控操作系统中发送http请求的其他软件。其他软件应用程序的实现方式完全不同。作为一个工具栏,它们只能监视用户在安装了工具栏的特定浏览器中浏览的网站。该方法不提供第三方服务,易于实现。这种方法可以检测到零日钓鱼攻击,不仅适用于各种不同语言的网站,也适用于安全或不安全的ssl协议网站。因此,担心客户端安全的企业可以使用该系统来保证自己不受网络钓鱼攻击。