钓鱼诈骗网站治理最佳实践案例.doc

钓鱼诈骗网站治理最佳实践案例 2016年12月 前 言 近年来移动互联网的高速发展，移动终端功能的日益强大，极大地方便了人们的生活，同时也出现了电信诈骗的问题。不法分子通过仿冒运营商、金融等行业的网站，骗取用户输入账户、密码等私人资料，使用户遭受到大量损失。近年来钓鱼诈骗网站频繁发生，据CNCERT监测发现，2015年针对我国境内网站的仿冒页面数量达18万余个，造成严重经济损失。 钓鱼诈骗的猖獗发展，严重危害了公众利益，严重影响了金融、通信、电子商务等行业的健康发展，必须加大对钓鱼网站的打击力度。浙江公司于2016年进行了钓鱼网站发现和治理方面的探索，取得了初步成效，形成了较为完整的“收集—发现—审核”的工作流程。 为更好地开展钓鱼网站的治理工作，在汇总提炼前期最佳实践的基础上，特编制了该实践案例，供各单位参考。 目 录 前 言 II 一、概述 1 二、组织保障 1 三、运营管理 2 （一） 治理范围 2 （二） 审核标准 2 （三） 治理流程 3 四、技术实现 6 五、工作成效 9 一、概述 钓鱼诈骗网站治理的总体思路可分为三步骤：数据采集、内容识别、人工审核。 从省内相关网元获取用户访问数据，利用大数据技术进行过滤和挖掘，找出疑似URL地址。由爬虫集群下载网页内容并进行分析识别，找出疑似钓鱼网站。省公司完成人工初审后，将结果报送至洛阳中心，由洛阳中心完成复核。 图1：钓鱼网站治理整体思路 二、组织保障 公司高度重视钓鱼网站的治理工作，为确保达到最佳效果，公司成立了包括信息安全部、网络部、客服中心等部门的跨部门专项工作小组，同时明确各部门职责，其中由信息安全部门总体牵头，组织相关部门共同推进。各部门具体职责如下： 信息安全部：总体牵头钓鱼网站治理工作；定期组织会议，协调工作开展。 网络部网管中心:负责上网日志的数据提供和硬件资源池环境。 网络部互客中心:负责DNS查询日志的提供；负责钓鱼网站监测系统的开发和日常维护。负责钓鱼网站的及时下架。 客户服务中心:负责提供垃圾短信中钓鱼网站相关数据。 三、运营管理 治理范围 目前仿冒银行类的钓鱼网站数量最多，危害巨大，公司初期重点开展这类钓鱼网站的治理，后期根据情况逐步扩展。 审核标准 对于银行类的主要按以下标准进行判断： 1、 网站域名核对。严格判断域名是否为银行官方网站，如果是，则直接放行，如果不是再进行下一步判定； 2、 网站内容和风格比对。与正规银行官方网站进行内容和风格比较，比对一致性；若有不一致，则需进行下一步判断。 3、 网站备案查询。在工信部网站备案系统中（网址为：/publish/query/indexFirst.action ）查询域名，如可以查出备案号并且拨测内容正常，无不良内容的网站放行，对于无备案信息的假冒银行的钓鱼网站判为违规。 治理流程 钓鱼网站的治理流程总体上分为数据采集、内容识别和人工审核三部分。整体流程如下图所示： 图2：治理流程 1、数据采集 为了识别钓鱼网站，需要在海量数据中提取用户访问的URL地址记录。获取的数据源有以下3种： 上网日志。采用SFTP接口，通过上网日志留存系统获取上网日志数据，获取用户访问ULR的记录，用于下一步分析。 DNS解析日志。采用SFTP接口，从浙江省DNS服务器获取DNS解析日志，提取其中的域名、IP等字段，用于下一步分析。 垃圾短信数据。采用SFTP接口，从垃圾短信策略运营平台，获取垃圾短信样本数据，提取其中的URL信息，用于下一步分析。 因钓鱼网站有“存在周期短”、“传播速度快”的特点，很多钓鱼网站的存活时间只有几天甚至几小时，因此要做到及时发现和处置，必须保证系统获取数据的实时性和全面性。 2、内容识别 数据获取后的内容识别过程，可分为以下几个步骤： 清洗过滤。对于获取到的数据，系统利用大数据技术对其进行清晰和过滤，删除多余的字段，对URL地址进行去重； 寻找疑似URL。利用编辑距离、海明距离等先进的相似度算法，分析海量的URL地址，找出其中与正常网站相似的URL地址。例如为正常网站，在海量数据中发现了或之类的地址，则可以选定为疑似URL地址； 内容爬取。对于选定的疑似URL地址，利用爬虫集群快速下载其页面内容； 内容比对。对于下载的疑似URL地址的网页内容（包括图片和文字）与正常网站的文字和图片进行对比。如果疑似URL地址的网页文字和图片内容与正常网站高度类似，则可以判定为疑似钓鱼网站。如下图所示，疑似URL地址的网站页面风格Logo与建设银行一致，其导航菜单拦和文字与建设银行网站高度类似。因此系统可以将其判定为疑似钓鱼网站。 图3：疑似钓鱼网站与正常网站对比 输出结果。对于系统识别的疑似钓鱼网站，将其送至钓鱼网站审核平台，由人工完成审核确认。 3