احراز مدل تهدید برای فیشینگ ایمیل

احراز مدل تهدید برای فیشینگ ایمیل – ایران ترجمه – Irantarjomeh

مقالات ترجمه شده آماده گروه کامپیوتر

مقالات ترجمه شده آماده کل گروه های دانشگاهی

مقالات رایگان

مطالعه 20 الی 100% رایگان مقالات ترجمه شده

1- قابلیت مطالعه رایگان 20 الی 100 درصدی مقالات 2- قابلیت سفارش فایل های این ترجمه با قیمتی مناسب مشتمل بر 3 فایل: pdf انگیسی و فارسی مقاله همراه با msword فارسی -- تذکر: برای استفاده گسترده تر کاربران گرامی از مقالات آماده ترجمه شده، قیمت خرید این مقالات بسیار کمتر از قیمت سفارش ترجمه می باشد.  

چگونگی سفارش

الف – پرداخت وجه بحساب وب سایت ایران ترجمه (شماره حساب) ب- اطلاع جزئیات به ایمیل irantarjomeh@gmail.com شامل: مبلغ پرداختی – شماره فیش / ارجاع و تاریخ پرداخت – مقاله مورد نظر -- مقالات آماده سفارش داده شده عرفا در زمان اندک یا حداکثر ظرف مدت چند ساعت به ایمیل شما ارسال خواهند شد. در صورت نیاز فوری از طریق اس ام اس اطلاع دهید.

www.irantarjomeh.com

احراز مدل تهدید برای فیشینگ ایمیل

احراز مدل تهدید برای فیشینگ ایمیل

چکیده

فیشینگ نوعی اختلاس بشمار می آید که از مهندسی اجتماعی جهت حصول اطلاعات شخصی از قربانیان خود بهره می جوید و هدف آن به بار آوردن ضرر و زیان به قربانیان می باشد. در مباحث فنی صرفا نرخ رجوع کلاسیفایرها جهت توجیه کارایی فن آوری های تشخیص فیشینگ ذکر می شود. در مقابل، ویژگی هایی نظیر دقت نتایج کلاسیفایر (نرخ مثبت کاذب)، تلاش های محاسباتی و تعداد ویژگی های استفاده شده برای تشخیص فیشینگ به ندرت به حساب می آیند. در این تحقیق، ما نسبت به ارائه تکنیکی اقدام می نماییم که حاصل آورنده مجموعه حداقلی از ویژگی های مرتبط می باشد و فراهم آورنده پایایی، عملکرد مناسب و انعطاف پذیری با توجه به موتور تشخیص فیشینگ است. نتایج تجربی که در این تحقیق گزارش شده اند معرف آن هستند که فن آوری پیشنهادی را می توان جهت بهینه سازی طرح موتور تشخیص ضد فیشینگ بکار گرفت.

کلمات کلیدی: امنیت، مدل تهدید، فیشینگ ایمیل، ماشین های بردار حامی  

 1- مقدمه

فیشینگ بعنوان روشی برای اختلاس بشمار می آید که از مهندسی اجتماعی جهت گرفتار نمودن قربانیان خود استفاده نموده و با کاربرد منابع تکنولوژیکی مرتبط، با هدف دسترسی به اطلاعات شخصی (نظیر داده های مالی) و یا تحمیل ضرر و زیان به قربانیان، اقدام به اغفال  آنها می نماید. در اینترنت، کاربران ممکن است به طرق مختلفی با پدیده فیشینگ روبرو گردند، نظیر برنامه های پوپ آپ در مرورگر وب، پیام های فوری یا ایمیل. در این موارد، غالبا قربانیان ترغیب می شوند تا بر روی ماوس خود جهت دانلود و نصب یک برنامه مخرب کلیک نموده یا به یک وب سایت کلاهبردار، بدون آنکه کاربران متوجه عواقب آن باشند، رجوع نمایند.

این موضوع پذیرفته شده است که ایمیل بعنوان گسترده ترین سرویس مورد استفاده کاربران بشمار می آید، بنابراین می توان آن را بعنوان منبع اصلی جهت اعمال فیشینگ به حساب آورد [1]. پروتکل SMTP (پروتکل ساده نامه رسانی)، که جهت ارسال ایمیل ها  از  آن  استفاده  می شود، امکان جعل آدرس فرستنده را به کلیه افراد می دهد [2]. بعلاوه، بیشتر کلاینتهای ایمیل از زبان HTML (زبان نشانه گذاری ابر متن) بطور طبیعی و ساده پشتیبانی می نمایند، بنابراین کلیه منابع چنین زبانی را می توان در یک پیام مورد استفاده قرار داد. به هنگامی که یک ایمیل از زبان HTML و ابر متن ها می نماید (لینک ابر متن جهت برقراری ارتباط با یک متن مشهود در یک URL «نامشهود» مورد استفاده قرار می گیرد)، چنین منابعی بعنوان یک ابزار قدرتمند برای فیشرها / ربایندگان داده ها (کلاهبرداران) بحساب می آیند.

تکنیک های استفاده شده جهت گسترش فیشینگ در ایمیل ها بسیار مشابه با هرز نامه / اسپم می باشند [3]. با توجه به این موضوع، فیشینگ را می توان بعنوان زیر مجموعه اسپم یا حتی نوعی فرآیند درهم آمیخته با آن دانست [4]. با این وجود، تاثیرات منفی فیشینگ غالبا بصورت ضرر و زیان های مالی بواسطه دزدی هویت مد نظر می باشد، بطور مثال، به هنگامی که یک اسپم یا هرز نامه – در شایع ترین فرم خود، اقدام به ارسال ایمیل های تبلیغاتی قبل از پذیرش از سوی گیرنده می نماید، چنین موردی را می توان بعنوان یکی از ویژگی های این فرآیند در نظر گرفت. بر مبنای آمارهای حاصله از MessageLabs، در حدود 1% از بیش از یک بیلیون ایمیلی که بصورت روزمره مبادله می شوند اسپم می باشند [5].

آگاهی از امنیت کاربران در مواجه با ایمیل های فیشینگ بعنوان یکی از مولفه های بسیار مهم تلقی می شود چرا که این معضل نه تنها با کاربرد ویژگی های مخفی فنی سعی در دستیابی به قربانیان خود می نماید، بلکه تلاش می نماید تا نسبت به ربایش اطلاعات خصوصی قربانیان با استفاده از مهندسی اجتماعی نیز اقدام کند. با این وجود، یک مطالعه اخیر نشان داده است که کاربران حتی پس از دیدن یک برنامه آموزشی نیز ممکن است خود را در معرض فرآیند فیشینگ قرار دهند [6]. بنابراین راه حل های محاسباتی جهت کمک به کاربران در مواجه با اشکال مختلف این تهدید الزامی می باشد.

تکنیک های ضد – اسپم همانند فیلترینگ ایمیل ممکن است برای تشخیص فیشینگ کارا نباشند. فیلترهای بیزی، که غالبا جهت دسته بندی محتویان ایمیل، برمبنای تحقق برخی از کلمات کلیدی، مورد استفاده قرار می گیرند، ممکن است بطور نادرست اقدام به ارزیابی کلماتی نمایند که در ایمیل ها پدیدار شده و قبلا بعنوان اسپم طبقه بندی نگردیده اند. بعلاوه، عملکرد آنها نیز محدود به عبارات و اصطلاحات مرتبط با پیام های بانک اطلاعات ایمیلی می باشد که در فاز آموزش بکار گرفته می شوند – ضرورتی جهت ایجاد فیلتر.

بسیاری از ابزارهای ایمیل، همراه با غالب ابزاره های مرتبط با مرورگرها، از لیست هایی جهت طبقه بندی فرستنده ها / منابع «خوب» (لیست های سفید) و  «بد» (لیست های سیاه)  استفاده می نمایند. نوعا، لیست های سیاه قابلیت بلوکه سازی آدرس IP سرور ایمیل (SMTP)، دومین (domain) فرستنده، یا حتی کل دومین آدرس پستی یک فرستنده را خواهند داشت. با بلوکه سازی آدرس IP یا دومین مربوطه، مشکلات خاصی به هنگام استفاده کاربر از یک سرور SMTP، صرفنظر از آنکه سرویس دهنده آن چه کسی باشد (نظیر یاهو، جیمیل یا غیره)، به وجود می آید، بنابراین بلوکه سازی کل دومین آدرس پستی فرستنده نیز بواسطه آنکه آدرس اصلی / سورس ممکن است جعل شود ناکارآمد خواهد بود [4]. بعلاوه، Aaron [7] نشان داده است که 50% قربانیان فیشینگ در طی 60 دقیقه اول دریافت یک ایمیل فیشینگ با مشکل ربایش گواهینامه های خود روبرو شده اند. مشکل از این حقیقت نشات می گیرد که یک شرکت ارائه دهنده خدمات امنیتی به بیش از 60 دقیقه جهت مشخص نمودن یک ایمیل تبلیغاتی فیشینگ و به روز رسانی آن جهت بلوکه سازی این مبدا در لیست سیاه خود نیاز خواهد داشت. در مورد فرآیند فیشینگ، مبدا پیام، آدرس IP فرد فیشر و URL فرد کلاهبردار بصورت پیوسته در حال تغییر بوده تا آنکه قابلیت رهگیری یا شناسایی وی وجود نداشته باشد. بعلاوه، کار با لیست های سفید و لیست های سیاه نیز بسیار پیچیده می باشد چرا که میزان جریان یافتگی پیام ها در سرور SMTP بسیار سریع و پرحجم است – آن هم در صورتی که با توجه به چنین جریانی خواسته باشیم اقدام به فیلترینگ آنها نیز نماییم. بنابراین، چنین رویکردی غالبا برای فیشینگ ایمیل ناکارا خواهد بود.

مطالعات بسیاری در مباحث فنی ویژگی های مختلف ایمیل ها (خواص آنها) جهت تشخیص فیشینگ را مدنظر قرار داده اند، اما بطور کلی هیچگونه ارزیابی مرتبطی به هنگامی که چنین مباحثی را در کنار هم قرار می دهیم (بصورت ترکیبی) وجود ندارد. این گونه ارزیابی قابلیت آشکار سازی پروفایل فیشینگ را بوجود می آورد – یک مجموعه حداقلی از ویژگی های مرتبط که معرف پدیده فیشینگ در زمان حاضر می باشد و تحت عنوان یک مدل تهدید قابل تعریف است.

در بسیاری از موارد، ترکیب صرفی این نوع از ویژگی ها ممکن است منجر به دسته بندی مناسب نرخ رجوع در زمینه تشخیص پدیده فیشینگ شود [8-11]، اما دقت نتایج کلاسیفایر را نمی توان مورد تایید قرار داد [12]. بعلاوه، تعداد ویژگی های [13] بکار گرفته شده در موتور تشخیص دارای تاثیر مستقیمی بر روی زمان پردازش می باشد [14] و سیستم تشخیص فیشینگ خود ممکن است بعنوان یک تنگنا برای سیستم ایمیل تلقی شود. برخی از مقالات ارائه شده مسائلی چون دقت کلاسیفایر، جستجو جهت حصول مجموعه حداقلی از ویژگی های متمایز، و تاثیر تعداد نامناسب ویژگی ها در تشخیص عملکرد موتور را مدنظر قرار داده اند، اما در عین حال لازم است دقت شود که در چنین مبحثی ویژگی های مختلف فیشینگ ایمیل را باید لحاظ نمود [13- 15].

تا آنجاییکه اطلاع داریم، تحقیقات مرتبطی که در این مبحث انتشار یافته اند هیچگونه توضیحی در خصوص نرخ مثبت کاذب – دقت نتایج فراهم شده بوسیله این کلاسیفایر – [13] برای تشخیص فیشینگ را ارائه نداده اند. دقت یک کلاسیفایر بسیار مهم می باشد چرا که از این موضوع اطلاع داریم که به هنگامی که کاربران  هشدارهای  کاذب  بسیاری  را  دریافت  می دارند غالبا تمایل به نادیده گرفتن این ویژگی های هشداردهنده سیستمی خواهند داشت. بنابراین، در قیاس با سیستمی که اقدام به ارسال پیام های هشدار بسیار زیاد با اعتبار سطح پایین می نماید، نوعا سیستمی ترجیح داده می شود که تنها قابلیت ارسال هشدارهای مطمئن و دقیق را داشته باشد.

تکنیک ارائه شده در این تحقیق الگوریتم فراگیری ماشینی جهت ارزیابی اهمیت  هر ویژگی، به هنگام ترکیب با ویژگی های دیگر، جهت تشخیص فرآیند فیشینگ ایمیل را مد نظر قرار  می دهد. علاوه بر این، ما اقدام به ارزیابی دقت نرخ دسته بندی می نماییم به گونه ای که قابلیت حصول تعداد حداقلی ویژگی ها همراه با پایایی مطلوب، مشابه با کلیه ویژگی ها بصورت توام، را داشته باشیم [15]. محصول جانبی کلیه این موارد فرآیند بهینه سازی زمان پردازش سیستم تشخیص می باشد. قابل ذکر است که هدف ما ایجاد یک سیستم تشخیص فیشینگ جدید نمی باشد، بلکه ما سعی خواهیم داشت تا احتمال بهره گیری کارا از یک موتور بهینه سازی شده در زمینه سیستم های اخیرا بکار گرفته شده تشخیص را به خوبی نشان دهیم.

این مقاله به شرح ذیل سازماندهی شده است: بخش 2 ویژگی های فرآیند فیشینگ، سیستم های تشخیص برمبنای فراگیری ماشینی، را ارائه داده و مقدمه ای در زمینه استفاده از منحنی های ROC  و AUC را عرضه می دارد. بخش 3 مقالات مرتبط را ارائه نموده و بخش 4 پیشنهادات و نتایج ما را عرضه می نماید. در بخش 5 نتیجه گیری ارائه خواهد شد.

2- فیشینگ: ویژگی ها و تکنیک های تشخیص برمبنای شناسایی الگو و فراگیری ماشینی

در این مقاله، مشکل فیشینگ بعنوان یک مسئله شناسایی الگو تلقی می شود، بدان معنا که ویژگی های مختلف از ایمیل ها حاصل آمده تا آنکه مدلی بدست آید که قابلیت تمایز پیام های فیشینگ از پیام های غیر فیشینگ را داشته باشد. بنابراین، چنین مسئله ای را می توان بعنوان یک مسئله شناسایی الگوی 2- کلاسه مطرح کرد.

این بخش تشریح کننده ویژگی های اصلی فیشینگ، مدل فراگیری ماشینی و همچنین معرفی مختصری در زمینه منحنی های ROC و AUC، که جهت ارزیابی کلاسیفایرها از آنها استفاده می شود، می باشد.

2-1. ویژگی های فیشینگ

استراتژی های بکار گرفته شود بوسیله فیشرها جهت گول زدن کاربران ایمیلی به میزان زیادی منوط به بکارگیری منابع محاسباتی می باشد که غالبا بوسیله قربانیان ناشناخته هستند. تکنیک های شناسایی فیشینگ برمبنای مشخص نمودن مجموعه ای از ویژگی ها می باشد که تحت عنوان استراتژی فن آوری شناخته می شوند و غالبا شامل بخش هدر / سرایند و بدنه ایمیل است. ویژگی های اصلی مرتبط با تشخیص فیشینگ به شرح ذیل مشخص شده اند:

• C1: ابر پیوند (فراپیوند) با متن مشهود همانند یک URL، که به یک URL متفاوت از متن مشهود مشخص شده در ایمیل رجوع دارد.

در این رویکرد این مورد از یک ابر پیوند HTML، با متن های مشهود (شناخته شده) استفاده می نماید که هدف آن تقلید یک URL معروف است. مثال برنامه HTML در این ارتباط به شرح ذیل می باشد:

>”href=”http://playpal.com”> http://www.paypal.com/login.php</a> “<a

بنابراین، متن قابل رویت معرف ابر متن http://www.paypal.com/login.php می باشد، اما URL که پس از کلیک ماوس بر روی فراپیوند بارگذاری خواهد شد http://playpal.com خواهد بود [8-10، 16].

• C2: ابر متن با هر گونه متن مشهود و قابل رویت، اما در عین حال اشاره مستقیم به یک URL – مبتنی بر – IP.

از طریق این ویژگی فیشرها الزامی جهت ارائه داده های ریجسترینگ خود در یک سرور DNS نخواهند داشت، چرا که نیازی به پرس و جو در DNS نمی باشد، بر این مبنا، IP آدرس وب سایت مخرب یا بدخواه بصورت صریح در ابرپیوند قید گردیده است [8-11، 16].

• C3: بدنه ایمیل برنامه ریزی شده در قالب HTML.

فرآیند کدگذاری / برنامه نویسی بدنه ایمیل در قالب HTML، تقریبا بوسیله کلیه کلاینتهای موجود ایمیل پشتیبانی می شود. این خصیصه اجازه مخفی سازی URL در پس متن قابل رویت یا حتی یک تصویر را خواهد داد. زبان HTML همچنین اجازه استفاده تدابیر اختفایی فنی دیگر جهت گول زدن قربانیان، نظیر شامل نمودن فرم هایی در بدنه ایمیل، را خواهد داد [10، 11].

• C4: URL بسیار بزرگ

نگاه کردن به یک URL که دارای متن طولانی و بزرگی می باشد غالبا سبب گیج نمودن کاربران معمولی خواهد شد چرا که ممکن است دومین حقیقی با توجه به استفاده گسترده از دومین های فرعی (جدا شده بوسیله دات ها / نقطه ها) یا زیر دیرکتوری ها (جدا شده بوسیله خط مورب) خود را در زیر یک نقاب مغرض پنهان کرده باشد.

• C5: تفاوت دومین فرستنده از دومین URL در بدنه پیام

سیستم های ارسال کننده ایمیل جعلی سعی در دسترسی به سرورهای ایمیلی خواهند داشت که حتی بوسیله لیست های سیاه تحت فرآیند فیلترینگ هستند (لیست های URLها، دومین ها شناخته شده تحت عنوان منابع فیشینگ / اسپم). با این وجود، در بدنه پیام ممکن است یک URL بدخواه وجود داشته باشد که بطور متعارف به هنگام کنترل لیست سیاه چک نخواهد شد. به هنگامی که فرستنده ایمیل (میل سندر) را بتوان بدین راحتی جایگزین کرد، فیشرها سعی در تقلید دومین یک حوزه کاملا شناخته شده یا یک فرستنده قابل اعتماد در نظر افراد گیرنده خواهند نمود. بنابراین بدنه ایمیل دارای نوعی URL می باشد که در نهایت قابلیت گمراه کردن قربانیان خود را خواهد داشت [11].     

• C6: تصویری با دومین خارجی متفاوت از URLهای موجود در بدنه پیام

در این رویکرد، بدنه ایمیل حاوی تصاویری (همانند لوگوها) می باشد که از سوی وب سایت های معتبر (اصلی) ارسال شده اند، اما در عین حال URL هدف بدخواه بوده و قطعا متفاوت از دومین نشان داده شده در آن تصویر می باشد. به مثال ذیل دقت شود:

<img src=http://www.fbi.gov/images/fbi.jpg>You  might  come  to  our

office!<a  href=“http://badsite.com/malware.exe”>Click  here  to  find

out  why</a>

در چنین موردی، کاربران تصور می نماید که به درستی می توانند به سایت FBI با توجه به پیام «به دفتر ما رجوع کنید!» لینک نموده، آنهم با توجه به متن قابل مشهود «بر روی این لینک کلیک کنید تا دلیل رجوع را دریابید»، با توجه به این ویژگی پس از کلیک ابر لینک بوسیله کاربران آنها در حقیقت برنامه اجرایی malware.exe را از وب سایت badsite.com. دانلود خواهند نمود.

• C7: مبدا تصویر بعنوان یک آدرس IP

این مورد بعنوان یک مورد متعارف کاربرد آدرس IP به جای یک URL ثبت شده در دومین DNS تلقی می گردد، اما در عین حال، در اینجا با تکنیکی جهت دانلود تصاویر یا ایمیج های خاصی روبرو خواهیم بود بطور مثال:

”>.src=“http://200.218.145.21/images-paypal/logo.gif <img

• C8: تعداد دومین ها در URL

در این رویکرد، فیشرها اقدام به جا سازی بیش از یک دومین صحیح  در یک URL می نمایند. ایده قرار گرفته در ورای این رویکرد در حقیقت گیج کردن و مغشوش سازی کاربران است، آنهم آن دسته از کاربرانی که غالبا تصور می نمایند دومین مربوطه غالبا نزدیک به انتهای URL قرار می گیرد. بر این مبنا یک URL همانند «http://www.badsite.com/login/citibank.com/login.php» را در نظر بگیرید که در آن فرد فیشر سعی در القای این موضوع به کاربران خواهد داشت که آنها به وب سایت درست Citibank.com رجوع خواهند داشت اما در عین حال کاربران در حقیقت با کلیک بر روی این لینک به وب سایت badsite.com برده خواهند شد [11].

• C9: تعداد دومین های فرعی در URL

مشابه با ویژگی C8، برخی از فیشرها اقدام به اضافه نمودن دومین های فرعی نموده تا آنکه URL مشخص شده ظاهرا شبیه به یک دومین معروف جلوه نماید. بطور مثال، در “http://update.citibank.badsite.com”، فیشرها انتظار دارند که کاربران توجه بیشتری به کلمات “update” و “citibank”، به جای دومین “badsite.com” نمایند [11].

• C10: ابر پیوند با تصویر بجای متن قابل رویت، و تصویر URL برمبنای آدرس IP

در این مورد ابرپیوند، به جای یک متن قابل رویت، یک تصویر می باشد و URL مرتبط نیز یک آدرس IP است. فیشرها این انتظار را دارند که کاربران بر روی تصویر کیلک نموده و در نتیجه آنها را به وب سایت های بدخواه هدایت کنند [16].

• C11: عدم فراهم آوردن اطلاعات مقصد توسط متن قابل رویت یک ابرپیوند

URL بدخواه و کلاه بردار همچنین قابلیت مخفی سازی خود در پس هر نوع متن پیوندی که یک URL نباشد را خواهند داشت. بنابراین، متمایز از ویژگی C1، متن قابل رویت (پیوندی) همانند هر نوع متنی دیگر ارائه شده و شباهتی به یک URL ندارد. به عبارت دیگر متن قابل رویت می تواند هر متنی بصورت متمایز از یک URL باشد. مثلا:  <a  href=“http://badsite.com”>Click  here  to  update</a> [10، 16].

2-2. الگوریتم فراگیری ماشینی

چندین الگوریتم مختلف فراگیری ماشینی را می توان در این تحقیق بکار گرفت، اما در عین حال الگوریتمی که کاملا مناسب چنین مضمونی می باشد ماشین بردار حامی[1] (SVM) است که بطور اولیه جهت تعامل با مشکلات دسته بندی دو کلاسه طراحی شده است [17]. مبحث فنی نشان دهنده آن است که SVM با موفقیت قابل توجهی در رشته های کاربردی مختلف، شامل تشخیص فیشینگ، بکار گرفته شده است [11، 18-20].

مجموعه ای از نمونه های l توزیع شده در فضای باز نمایی R_n را مدنظر قرار دهید که در آن n بعنوان بعدیت فضای نمونه تلقی می شود. برای هر نمونه x_i یک برچسب y_i Î {-1, +1} وجود دارد. در مورد خاص ما، ‘-1’ معرف وجود فیشینگ و ‘+1’  نیز معرف عدم فیشینگ است. بر حسب نظر Vapnik [17] فضای نمونه را می توان بوسیله یک ابر صفحه تشریح نموده و آنها را برمبنای برچسب های خود {−1,+1} از هم جدا ساخت. این ابر صفحه را می توان با استفاده از چندین مثال که تحت عنوان بردارهای حامی شناخته می شوند مدل سازی کرد.

[1] Support  Vector  Machine

2-3. منحنی های ROC و AUC

«منحنی مشخصه عملیاتی دریافت کننده» یا اختصارا منحنی راک (ROC) بعنوان نموداری تلقی می گردد که نشان دهنده ارتباط بین حساسیت و ویژگی خاص یک کلاسیفایر است. پارامتر حساسیت را می توان بعنوان احتمال دسته بندی درست یک نمونه مدنظر قرار داد که بعنوان یک مورد مثبت برچسب خورده است. مقابل پارامتر ویژگی خاص را می توان بعنوان احتمال رده بندی درست یک ویژگی قلمداد نمود – که برچسب آن منفی می باشد. به عبارت دیگر، منحنی ROC نشان دهنده یک رابطه بده بستان بین مثبت حقیقی و مثبت کاذب است.

یکی از مزیت های اصلی برای استفاده از منحنی های راک در ارزیابی کلاسیفایر این حقیقت است که منحنی راک در برابر تغییرات توزیع کلاس حساس نیست. در صورتی که نسبت بین نمونه های مثبت و منفی در بانک اطلاعات آزمایشی متفاوت از ارتباط یافته شده در بانک اطلاعات آموزشی باشد، منحنی های راک بصورت یکسان باقی می مانند [21].

3- تحقیقات مرتبط

برخی از تحقیقات مرتبط که هدف آنها تشخیص ایمیل های فیشینگ می باشد ذیلا بطور مختصر ارائه شده و مورد بحث قرار می گیرند.

Chen و Guo اقدام به ایجاد یک رویکرد کلاینتی برمبنای پنج ویژگی اصلی (شامل C1 و C2) نمودند [8]. تکنیک پیشنهادی در بردارنده نرخ تشخیص 96% می باشد. یکی از مزیت های مرتبط با رویکرد آنها این مورد است که فاز یادگیری برای کلاسیفایر الزامی نمی باشد. با این وجود، در صورتی که ویژگی های فیشینگ تغییر یابد، فرمول استفاده شده در تشخیص احتمالا دیگر کاربردی نخواهد داشت. ویژگی منفی دیگر تحقیق آنها عدم وجود بانک اطلاعات آزمایشی با پیام های درست و مناسب است. بنابراین قابلیت اندازه گیری نرخ های مثبت کاذب وجود ندارد. بعلاوه، این ویژگی ها بصورت مجزا مدنظر بوده و ویژگی های ترکیبی آنها مورد بررسی قرار نگرفته است.

4- پیشنهاد

در شروع تحقیق ما تصمیم گرفتیم تا تلاش های خود را بر روی حصول ویژگی هایی متمرکز نماییم که به بهترین وجهی قابلیت تعریف فیشینگ را داشته باشند. این به معنای یکسری از ویژگی های حداقلی می باشد که بصورت ترکیبی می بایست قابلیت تعریف بدون ابهام ویژگی های (پروفایل) فیشینگ را داشته باشند، که خود معرف استراتژی مهاجم – مدل تهدید خواهد بود [24]. بنابراین پس از اعمال یکسری از جستجوهای جامع در زمینه مباحث فنی، ما ویژگی های کلی را خاطرنشان نموده که بوسیله نویسندگان بسیاری ذکر شده اند و از نقطه نظر فیشینگ توضیحات مکفی در رابطه با آنها بیان گردیده است (تشریح شده در بخش 2-1). بعلاوه ما نسبت به ارزیابی مجموعه اطلاعاتی فیشینگ خود جهت مشخص سازی ایمیل هایی که حداقل معرف یکی از 11 ویژگی حاصله می باشند اقدام نمودیم. در غیر این صورت، قادر به ارزیابی ویژگی خاص، که برای آن حداقل یک ایمیل فیشینگی در بانک اطلاعات وجود ندارد، نمی بودیم.

در طی ارزیابی این ویژگی ها ما از سرویس های پرس و جو و خدمات خارجی (و نه داخلی) و منابع گوناگون در  ارتباط با سیستم ایمیل استفاده نمودیم. در ارزیابی ما چنین رویکردهایی سبب ایجاد صف بندی قابل توجه ایمیلی می گردد، آن هم به هنگامی که پیام های بسیاری را می بایست مورد ارزیابی قرار داده. بنابراین استفاده از این مقوله ها احتمالا دارای کارایی مورد انتظار نخواهد بود. به عبارت دیگر، سرویس  whois تنها در صورتی کارا خواهد بود که دومین مربوطه جدید باشد، اما بطور کلی فیشرها خود را تحت دومین های ترکیبی مخفی می سازند تا از تشخیص آنها با استفاده از این نوع از فرآیندهای پرس و جو جلوگیری شود.

4-1. مهیا سازی بانک های اطلاعاتی فراگیری و آزمایش

بانک اطلاعات فیشینگ در ابتدا ایجاد شده و سپس بصورت دستی پیام ها و ویژگی های مرتبط بوسیله سرور SMTP دانشگاه انتخاب و برچسب خورد (پیام ها از ژانویه 2007 تا دسامبر 2009 فیلتر شدند). بانک اطلاعات فیشینگ دارای 450 پیام منحصربفرد می باشد. بانک اطلاعات غیر فیشینگ نیز دارای 450 ایمیل معتبر منحصربفرد بوده و با توجه به پیام های معتبر ایجاد شده است که شامل پیام هایی چون تایید مستندات و خرید واقعی آنلاین  می باشد. بنابراین پیام های فیشینگ بسیاری وجود دارند که مشابه با پیام های اصلی هستند. هر دوی بانک های اطلاعاتی به دو بخش مساوی برای فرآیندهای فراگیری و آزمایش تقسیم شدند.

4-2. ارزیابی ترکیب ویژگی ها با استفاده از الگوریتم های جستجو

به منظور مشخص نمودن بهترین ترکیب ویژگی ها در ارتباط با فیشینگ، ما آزمایشاتی را با استفاده از الگوریتم جستجوی تپه نوردی[1] انجام دادیم [25]. با توجه به آنکه فضای جستجو کوچک می باشد – تعداد ویژگی ها در حالت حداکثر از 2¹¹ ترکیب برخوردار خواهد بود، بر این مبنا چنین الگوریتمی از تناسب کافی جهت حاصل آوردن  نتایج  رضایت  بخش  برخوردار  می باشد. اجرای الگوریتم تپه نوردی فراهم آورنده بهترین ترکیب ویژگی های استفاده شده جهت آموزش کلاسیفایرها، همراه با مشخص نمودن نرخ تشخیص و دقت آنها می باشد، که بر این مبنا ویژگی های مرتبط برای تحلیل آتی ثبت شدند. برای تعداد بیشتری از ویژگی ها چنین موردی را می بایست با استفاده از یک الگوریتم جستجوی پیچیده تر نظیر الگوریتم ژنتیک، انجام داد [26]. بهترین نرخ تشخیصی برای هر مورد از بعدیت ویژگی ها در جدول 3 نشان داده شده است.

[1] Hill  Climbing

4-3. منحنی های ROC و AUC

منحنی راک (ROC) برای ارزیابی کلاسیفایرها بسیار مهم است چرا که این منحنی نشان دهنده ارتباط بین نرخ های مثبت کاذب (FPR) و نرخ های مثبت حقیقی (TPR) می باشد. شکل 1 اقدام به مقایسه منحنی های راک متعلق به سه مورد از بهترین کلاسیفایرها و بدترین کلاسیفایرها نموده است. بهترین کلاسیفایرها 6C = {C1.C4.C5.C6.C9.C11}، 9C = {C1.C3.C4.C5.C6.C7.C8.C9.C11} و 11C (کلیه ویژگی ها بصورت توام) در بردارنده نرخ های تشخیص مشابهی هستند.

4-4. مدل تهدید

مدل تهدید معرف یک پروفایل فیشینگ در یک زمان مشخص می باشد. چنین مدلی غالبا در موتور تشخیص فیشینگ جای می گیرد، اما در عین حال می بایست از انعطاف پذیری کافی جهت پذیرش مجموعه هایی از ویژگی های استفاده شده بوسیله سیستم ضد فیشینگ نیز برخوردار باشد. در این بخش راهکار ارائه شده جهت حصول مدل تهدید با جزئیات مربوطه ارائه می گردد.

4-5. ارزیابی مدل تهدید

به منظور ارزیابی کارایی مدل تهدید، ما نسبت به ایجاد رویه ای جهت بررسی تاثیرات عدم وجود ویژگی های C4، C5، C6 و C9 TMC اقدام نمودیم. این پروسه متشکل از شناسایی بهترین نرخ تشخیص برای آن دسته از کلاسیفایرها بوده است که از برخی از ترکیب های ویژگی های TMC استفاده نمی نمایند.

4-6. ارزیابی عملکرد

عملکرد خود بعنوان مولفه ای به حساب می آید که باید آن را در فاز تشخیص / آزمایش ایمیل مدنظر قرار داده که در آن نیازمند استخراج ویژگی های ایمیل در زمان حقیقی می باشد. در صورتی که لازم باشد تا ویژگی های زیادی را استخراج نمود، این مورد تبدیل به نوعی فعالیت پیچیده شده و سبب افزایش قابل توجه زمان پردازش در گیت وی های SMTP همراه با جریان زیاد ایمیل ها خواهد شد [4، 28]. بنابراین، به منظور درک این موضوع که چگونه برخی از ویژگی ها ممکن است سبب افزایش زمان پردازنده جهت استخراج ویژگی ها شود به نوعی ارزیابی عملکرد نیاز است. جدول 7 نشان دهنده زمان نسبی پردازنده جهت استخراج بهترین ترکیب ویژگی ها می باشد. زمان مورد نیاز جهت استخراج 11 ویژگی بعنوان یک مرجع جهت محاسبه زمان نسبی پردازنده در جدول 7 مدنظر قرار گرفت. برای این آزمایش هیچگونه بهینه سازی اسکریپت ها مدنظر قرار نگرفته است.

5- نتیجه گیری

این مقاله با ترکیب مدل تهدید – استراتژی مهاجم فیشینگ ایمیل[1] – طرح مشخصی را جهت شناسایی ویژگی های الزامی این پدیده ارائه می نماید. مدل تهدید قابلیت جلوگیری از کاربرد ویژگی های نامرتبط در موتور تشخیص را داشته و از تاثیرات متعاقبی بر روی کارایی برخوردار می باشد. با کمک منحنی های راک (ROC) و AUC ما نسبت به ارزیابی نرخ مثبت کاذب جهت مشخص نمودن موثر دقیق ترین کلاسیفایرها با توجه به ترکیب موتور تشخیص استفاده نمودیم.

ما ارزیابی کلاسیفایر را محدود به تشخیص نرخ رجوع، همانگونه که در مبحث فنی گزارش شده است، ننمودیم چرا که دقت کلاسیفایر برای موارد مرتبط با فیشینگ بسیار مهم می باشد. همانگونه که قبلا ذکر شد، برای یک سیستم تشخیص قابلیت اطمینان یا پایایی مهمتر از نرخ رجوع می باشد، چرا که در صورت صدور هشدارهای بدون دقت، متصدی کنترل ایمیل ممکن است تصور نماید که سیستم از پایایی مطمئنی برخوردار نیست و بنابر این هر گونه هشدار آتی را نادیده انگارد.

با توجه به آنکه مدل تهدید اقدام به توصیف تکنیک های مهاجمین فیشینگ ایمیل به یک روش یکپارچه می نماید، فیشرها ممکن است اقدام به ارائه رویکردهای جدیدی در مبحث فیشینگ ایمیل نمایند. بنابراین، این موضوع خود سبب دشوار نمودن فرآیند مواجهه با انواع مختلف کاملا شناخته شده فیشینگ، با هدف گمراه کردن فیلترهای فیشینگ متعارف ایمیل، می گردد.

آزمایشات انجام شده با استفاده از سیستم هرزنامه کش، بعنوان یک محصول استاندارد، همراه با مدل تهدید 4C سبب ارتقای دسته بندی ایمیل ها و کاهش مجموعه ویژگی های استفاده شده به میزان 64% (از 11C به 4C) گردیده است. این در حالی است که هزینه چنین کاهشی تنها 68/6%، در نرخ رجوع تشخیص، می باشد که ظاهرا با توجه به سطح اهمیت 1% چندان مهم نمی باشد. قابل توجه است که در صورت نیاز به یک کلاسیفایر دقیق تر می توان آن را از یکی از بهترین کلاسیفایرهای ارائه شده در این تحقیق انتخاب نمود، چرا که کلیه آنها برمبنای مدل تهدید می باشند.

مدل تهدید پیشنهادی احتمال بروز تغییرات در ویژگی های الزامی را مدنظر قرار می دهد. بنابراین، در صورتی که میزان بروز یا فراوانی یکی از ویژگی های مدل تهدید کاهش یابد، چنین مدلی ممکن است کارایی خود را از دست دهد. بنابراین، ارزیابی مجدد مقطعی این مدل همراه با پیکربندی مجدد احتمالی ترکیب های این ویژگی ها بسیار مهم تلقی می شود.

در عین آنکه فیشینگ ممکن است به روش های مختلف و در زمان های متفاوتی اعمال شود، مدیر سیستم بگونه ای قابلیت گزینش از بین ترکیب های موجود را خواهد داشت که بهترین نتیجه برای هر زمان حاصل آید. بعلاوه، این فرآیند را می توان به آسانی اتوماسیون سازی نمود.

از طریق انجام آزمایش ارزیابی عملکرد یک کاهش حدودا 56% در زمان پردازش تشخیص جهت استخراج صرف TMC (4C) در برابر 11C بدست آمد. بنابراین، روش پیشنهادی سبب کاهش معنی دار پروسه محاسباتی می شود، مخصوصا در صورتی که مقادیر بالایی از جریان های مرتبط با پیام های ایمیلی، همانند موارد موجود در گیت وی STMP، را در نظر بگیریم.

ما همچنین به این نتیجه می رسیم که در برخی از موارد، منوط به نرخ تشخیص و دقت مطلوب، افزایش در زمان پردازنده توجیه کننده هزینه محاسباتی نخواهد بود، بطور مثال هر مدیر SMTP می تواند نسبت به انتخاب مدل تهدیدی اقدام نماید که در تناسب با نیازهای وی باشد. بعلاوه، تکنیک پیشنهادی در ارتباط با ارزیابی کارآمدی مدل تهدید را می توان برای مشخص نمودن این موضوع بکار برد که آیا شاهد عدم وجود یا کاهش بروز برخی از ویژگی های خاص می باشیم یا خیر. در این ارتباط توجه به مخاطرات سیستمی و ویژگی های تشخیصی الزامی است و بنابراین چنین موردی را می توان بعنوان یک ابزار مهم جهت شناسایی زمانی که کلاسیفایر با مشکل روبرو می گردد مدنظر قرار داد. تا آنجاییکه اطلاع داریم، در مبحث فنی هیچگونه رویکرد دیگری وجود ندارد که تاکنون ارائه دهنده چنین تسهیلاتی بوده باشد.

در تحقیقات آتی ما نسبت به ایجاد یک بانک اطلاعات برای موارد خطرآفرین آنلاین و مشخص نمودن آنها در فاز آموزشی اقدام خواهیم نمود. این انگیزه خود نشات گرفته از مشکلاتی است که در ارتباط با ایجاد بانک های اطلاعاتی ایمیلی، جهت استفاده در توسعه تحقیق جاری، با آنها روبرو بوده ایم.

[1] e-mail phishing attacker strategy

احراز مدل تهدید برای فیشینگ ایمیل