网络钓鱼识别防范范文.docx
《网络钓鱼识别防范范文.docx》由会员分享,可在线阅读,更多相关《网络钓鱼识别防范范文.docx(6页珍藏版)》请在冰豆网上搜索。
网络钓鱼识别防范范文
网络钓鱼的识别与防
摘要:
信息技术是一把双刃剑,它在给人类带来文明、推进历史进步的同时,也给产生了许多负面的影响,出现了新型的计算机犯罪问题。
特别是,近几年出现的“网络钓鱼”犯罪,更具有隐蔽性,危害极大,严重影响了网络空间的社会稳定,影响了信息社会的正常发展。
针对上述问题,在认真研究国外“网络钓鱼”的现状基础上,对“网络钓鱼”的攻击原理和攻击手段进行了分类和综合分析,并从地址欺骗、社会工程学欺骗、攻陷服务器、黑客攻击、浏览器漏洞和弱口令漏洞、淡出窗口和伪造hosts表单等六种“网路钓鱼”攻击手段入手,深入探讨了他们的攻击原理和攻击方式。
最后,结合电子攻击、针对服务器攻击等,提出了相关的具体防措施。
关键词:
网络钓鱼;地址欺骗;冒名;识别与防
IdentificationandProtection
ofthePhishing
Abstract:
Informationtechnology,atwo-edgedsword,notonlybringshumancivilizationandadvancehistoricalprogress,butalsohavemanynegativeeffects,suchasanewtypeofputercrime.Inrecentyears,theemergenceof"Phishing"crime,morehiddenanddangerous,hasagreateffectonthesocialstabilityincyberspaceandthenormaldevelopmentoftheinformationsociety.Throughstudyingthepresentsituationofdomesticandforeign"Phishing",thispaperhascarriedontheclassificationandthegeneralizedanalysisabouttheattackingprincipleandtheattackingmethodof"Phishing".Fromtheviewofsixkindsoftheattackingmethodof"Phishing",addressesdeception,socialengineeringdeception,seizedservers,hackers,browserloopholesandweakpasswordloopholes,fade-outwindowandforginghoststablelist,thispaperthoroughlydiscusstheirattackingprincipleandtheformsofdefensiveaction.Finally,bondingwiththeattackingandtheserverattacking,thispaperwillproposetheconcreteguardmeasures.
Keywords:
Phishing;AddressDeception;AssumedWebsite;IdentificationandProtection
1引言
随着经济建设和社会发展进程的加快,我国信息产业的发展迅速,但是信息安全却不容乐观。
当前信息安全的主要形势是:
信息安全的发展严重滞后于经济、社会发展以及信息化建设的步伐,无法为经济建设、社会发展和信息化建设提供有力保障。
……
1.1“网络钓鱼”的概念
随着人们越来越多地依靠互联网工作、生活和娱乐,互联网诈骗已经成为一个越来越大的威胁。
互联网诈骗有多种形式,其中网络钓鱼就是互联网诈骗中很有趣且发展最快的一种。
网络钓鱼(Phishing)一词,是"Fishing"和"Phone"的综合体,由于黑客始祖起初是以作案,所以用"Ph"来取代"F",创造了"Phishing"。
网络钓鱼是通过大量发送声称来自于银行或其他知名机构的欺骗性垃圾和伪造的web站点来进行的诈骗活动,意图引诱用户给出个人信息(如用户名、口令、账号ID、ATMPIN码或信用卡详细信息)的一种攻击方式。
这些个人信息对黑客们具有非常大的吸引力,因为这些信息使得他们可以假冒受害者进行欺诈性金融交易,从而获得经济利益。
根据统计,接触诈骗信息的用户中,有高达5%的人都会做出响应。
1.2国外“网络钓鱼”现状的概述
欺骗别人给出口令或其它敏感信息的方法在黑客界已经有一个悠久的历史。
传统上,这种行为一般以社交工程的方式进行。
在二十世纪九十年代,随着互联网所连接的主机系统和用户量的飞速增长,攻击者开始将这个过程自动化,从而攻击数量巨大的互联网用户群体。
互联网无国界,“网络钓鱼”的危机其实一直潜伏在我们身边。
国际上的“网络钓鱼”的分布情况,如图1所示。
图1世界phishing攻击分布图
反网络钓鱼工作小组APWG于2005年8月完成的《网络钓鱼趋势分析》显示,目前中国的钓鱼占全球钓鱼的13%,名列全球第二位。
与此同时国业界和客户的警惕性还很弱,Phishing事件受到国外的密切关注,因为这类攻击事件越来越频繁,造成的危害也越来越大。
一些组织估计此类攻击造成的损失超过数百亿美元。
根据国际反网络欺诈组织APWG发布的统计报告,2004年1月收到176起Phishing事件的报告,而到了12月份则超过了9000起;2004年9月份发现仿冒的数目为546个,到了12月份则达到1707个。
CERT/CC在2004年共处理了两百多起Phishing事件,其中上半年只有20起,8月份以后每个月都会接到几十起Phishing事件的报告。
表1APWG关于“网络钓鱼”攻击的统计表
时间
数量(件)
2003年11月
48
2003年12月
100
2004年1月
198
2004年2月
285
2004年3月
400
2004年4月
1125
2004年5月
1283
2004年6月
1302
相关的柱状图如图2所示。
图2APWG关于“网络钓鱼”攻击的统计
从图2可以看出,Phishing事件日趋严重,呈逐月上升的态势。
2“网络钓鱼”典型案例与分析
……
3“网络钓鱼”的攻击原理和攻击手段
3.1“网络钓鱼”的攻击原理
现在网络钓鱼的技术手段越来越复杂,比如隐藏在图片中的恶意代码、键盘记录程序,当然还有和合法外观完全一样的虚假,这些虚假甚至连浏览器下方的锁形安全标记都能显示出来。
尽管网络钓鱼的手段越来越狡猾,但它们的攻击原理和过程基本相同,如图3所示。
图3网络钓鱼的攻击原理
下面分别介绍网络钓鱼的攻击流程及其相关容。
3.1.1钓鱼者入侵初级服务器,窃取用户的名字和地址
早期的网络钓鱼者利用垃圾将受害者引向伪造的互联点,这些站点由他们自己设计,看上去和合法的商业极其相似。
很多人都曾收到过来自网络钓鱼者的所谓“紧急”,他们自称是某个购物的客户代表,威胁说如果用户不登录他们所提供的某个伪造的并提供自己的个人信息,这位用户在购物的账号就有可能被封掉,当然很多用户都能识破这种骗局。
现在网络钓鱼者往往通过远程攻击一些防护薄弱的服务器,获取客户名称的数据库。
然后通过钓鱼投送给明确的目标。
3.1.2钓鱼者发送有针对性质的
……
3.2“网络钓鱼”的攻击手段
……
4“网络钓鱼”识别与防的措施
4.1“网络钓鱼”的防原理
……
4.2“网络钓鱼”的防措施
……
5结论
在毕业论文写作过程中,我通过翻阅大量科技资料,在指导教师的指导下,学习各种与“网络钓鱼”相关的计算机理论知识,对四年大学所学的知识有了更深入的认识和理解,并综合应用这些知识解决新兴的“网络钓鱼”计算机犯罪问题。
通过整个论文写作的锻炼,我也更直观的感觉到了理论和实践之间存在的差距。
我将从以下几个方面来总结下自己的毕业论文:
首先,我针对国当前的信息化建设的形势做出了概述。
随着世界科学技术的迅猛发展和信息技术的广泛应用,我国国民的信息化建设进程全面加快,网络信息系统的基础性、全局性作用日益增强,互联网的迅速发展以及以电子商务为代表的网络应用日趋普及,网络信息安全日渐突出,特别像是“网络钓鱼”这种新型的而且具有很强隐蔽性和欺骗性的犯罪也越来越多,迫切要求我国国民加强信息安全保障工作。
其次,我通过对“网络钓鱼”四个典型案例的具体分析,从中得出了网络钓鱼的一般原理;通过对大量资料的查找和翻阅,我逐渐总结出了地址欺骗、社会工程学欺骗、攻陷服务器、黑客攻击、浏览器漏洞和弱口令漏洞、弹出窗口和伪造hosts表单等六种“网络钓鱼”攻击手段,并对它们的攻击原理进行了详细的介绍,并在文章的第四章提出了容过滤、身份认证等具体的防措施。
最后,本文只是针对当前比较典型的“网络钓鱼”的攻击方式进行了分析,而随着信息技术和网络的不断发展,“网络钓鱼”的手段也将更加复杂,其破坏性也将更加剧大,我论文的后续工作还应继续研究更多、更全的钓鱼式攻击,不断提出最新的而且有针对性的防措施。
为了完成这篇论文,我付出了巨大的努力,通过查阅大量的文献资料对网络安全的现状及其网络安全防的措施有了比较全面的了解,而且使我对自己四年所学的专业知识作了较为全面的梳理。
同时通过与指导老师的反复讨论,学到了很多课本上没有的知识,懂得了怎样将书本的理论知识运用到实践中。
致
大学四年是我人生中最关键的四年,在这里我有一名中学生成长为一名国的预备警官。
在即将结束四年本科生涯的时候,在我脑海里浮现出了许许多多的曾经给与我关怀的面孔。
首先感我的导师德成老师,本文是在他悉心的指导和关心下完成的。
老师治学严谨、诲人不倦,对我们的指导一丝不苟,在我的论文写作过程中,老师付出了很多的心血,他及时地为我解决各种难题提供帮助,从他身上我们学到了很多的优良品质,相信这些品质会使我们终身受益;
感我四年中所有的任课老师,没有他们的教诲和指导,我就不可能有学业上的进步,也不可能有这篇论文的产生;
感我的父母,是他们给了我学习的机会,也是他们一直在默默的支持者我和鼓励我。
感一个个或英俊帅气或灵秀细腻的同窗好友,和他们一次次的讨论、一次次的“拼打”都令我终身难忘。
再一次对所有曾给过帮助的人们表示衷心的感!
参考文献:
[1]CERT/CC.2005年CERT/CC网络安全工作报告[EB/OL]..cert.org.
[2]APWG.WhatisPhishingandPharming?
[EB/OL]..antiphishing.org
[3]APWG.PhishingandCrimewareMap[EB/OL].antiphishing.org/crimeware.html
[4]瑞星.利用社会工程学揭开网络钓鱼秘密[EB/OL].it.rising..
[5]邓宇琼.针对信用卡实施犯罪几种情形的认定[J].法治论丛,2004,20
(2):
47-50
[6]北信源.不需高深黑客技巧的"社会工程陷阱"[EB/OL]..vrv..
[7]BruceSchneier.应用密码学[M].吴世雄等译.:
机械工业,2000
[8]周纲,宋小宁.网络犯罪及其侦查和防[J].公安理论与实践,2000,97(3):
34-41
[9]希仁.计算机网络(第四版)[M].:
电子工业,2003
[10]RichardJohnsonbaugh.面向对象程序设计[M].蔡宇辉等译.:
机械工业,2003
[11]杜跃进.在线身份窃取攻击[J].网络安全技术与应用,2005,87(8):
7-9
[12]戴宗坤.信息系统安全[M].:
电子工业,2002
[13]双齐.网络犯罪侦查[J].中国人民公安大学学报,2001,30(3)
[14]屈延文.软件行为学[M].:
电子工业,2004
[15]连一峰.入侵检测综述[J].网络安全技术与应用,2003
[16]睿.网络钓鱼犯罪分析[J].网络安全技术与应用,2005,32(8):
70-73
升级会员 