احراز مدل تهدید فیشینگ ایمیل
احراز مدل تهدید فیشینگ ایمیل – ایران ترجمه – Irantarjomeh
مقالات ترجمه شده آماده گروه کامپیوتر
مقالات ترجمه شده آماده کل گروه های دانشگاهی
مقالات
قیمت
قیمت این مقاله: 48000 تومان (ایران ترجمه - Irantarjomeh)
توضیح
بخش زیادی از این مقاله بصورت رایگان ذیلا قابل مطالعه می باشد.
شماره | ۱۳۲ |
کد مقاله | COM132 |
مترجم | گروه مترجمین ایران ترجمه – irantarjomeh |
نام فارسی | احراز مدل تهدید برای فیشینگ ایمیل |
نام انگلیسی | Obtaining the threat model for e-mail phishing |
تعداد صفحه به فارسی | ۴۴ |
تعداد صفحه به انگلیسی | ۸ |
کلمات کلیدی به فارسی | امنیت, مدل تهدید،, فیشینگ ایمیل, ماشین های بردار حامی |
کلمات کلیدی به انگلیسی | Security, Threat model, E-mail phishing, Support Vector Machines |
مرجع به فارسی | محاسبات کاربردی نرمدانشگاه پونتی فیکال کاتولیک پارانا، علوم کامپیوتر، پارانا، برزیلدانشگاه فدرال پارانا، دپارتمان انفورماتیک، پارانا، برزیلالزویر |
مرجع به انگلیسی | Applied Soft Computing; Pontifical Catholic University of Parana, Graduate Program in Computer Science, R. Parana, Brazil; Elsevier |
کشور | برزیل |
احراز مدل تهدید برای فیشینگ ایمیل
چکیده
فیشینگ نوعی اختلاس بشمار می آید که از مهندسی اجتماعی جهت حصول اطلاعات شخصی از قربانیان خود بهره می جوید و هدف آن به بار آوردن ضرر و زیان به قربانیان می باشد. در مباحث فنی صرفا نرخ رجوع کلاسیفایرها جهت توجیه کارایی فن آوری های تشخیص فیشینگ ذکر می شود. در مقابل، ویژگی هایی نظیر دقت نتایج کلاسیفایر (نرخ مثبت کاذب)، تلاش های محاسباتی و تعداد ویژگی های استفاده شده برای تشخیص فیشینگ به ندرت به حساب می آیند. در این تحقیق، ما نسبت به ارائه تکنیکی اقدام می نماییم که حاصل آورنده مجموعه حداقلی از ویژگی های مرتبط می باشد و فراهم آورنده پایایی، عملکرد مناسب و انعطاف پذیری با توجه به موتور تشخیص فیشینگ است. نتایج تجربی که در این تحقیق گزارش شده اند معرف آن هستند که فن آوری پیشنهادی را می توان جهت بهینه سازی طرح موتور تشخیص ضد فیشینگ بکار گرفت.
کلمات کلیدی: امنیت، مدل تهدید، فیشینگ ایمیل، ماشین های بردار حامی
احراز مدل تهدید فیشینگ ایمیل
۱- مقدمه
فیشینگ بعنوان روشی برای اختلاس بشمار می آید که از مهندسی اجتماعی جهت گرفتار نمودن قربانیان خود استفاده نموده و با کاربرد منابع تکنولوژیکی مرتبط، با هدف دسترسی به اطلاعات شخصی (نظیر داده های مالی) و یا تحمیل ضرر و زیان به قربانیان، اقدام به اغفال آنها می نماید. در اینترنت، کاربران ممکن است به طرق مختلفی با پدیده فیشینگ روبرو گردند، نظیر برنامه های پوپ آپ در مرورگر وب، پیام های فوری یا ایمیل. در این موارد، غالبا قربانیان ترغیب می شوند تا بر روی ماوس خود جهت دانلود و نصب یک برنامه مخرب کلیک نموده یا به یک وب سایت کلاهبردار، بدون آنکه کاربران متوجه عواقب آن باشند، رجوع نمایند.
این موضوع پذیرفته شده است که ایمیل بعنوان گسترده ترین سرویس مورد استفاده کاربران بشمار می آید، بنابراین می توان آن را بعنوان منبع اصلی جهت اعمال فیشینگ به حساب آورد [۱]. پروتکل SMTP (پروتکل ساده نامه رسانی)، که جهت ارسال ایمیل ها از آن استفاده می شود، امکان جعل آدرس فرستنده را به کلیه افراد می دهد [۲]. بعلاوه، بیشتر کلاینتهای ایمیل از زبان HTML (زبان نشانه گذاری ابر متن) بطور طبیعی و ساده پشتیبانی می نمایند، بنابراین کلیه منابع چنین زبانی را می توان در یک پیام مورد استفاده قرار داد. به هنگامی که یک ایمیل از زبان HTML و ابر متن ها می نماید (لینک ابر متن جهت برقراری ارتباط با یک متن مشهود در یک URL «نامشهود» مورد استفاده قرار می گیرد)، چنین منابعی بعنوان یک ابزار قدرتمند برای فیشرها / ربایندگان داده ها (کلاهبرداران) بحساب می آیند.
تکنیک های استفاده شده جهت گسترش فیشینگ در ایمیل ها بسیار مشابه با هرز نامه / اسپم می باشند [۳]. با توجه به این موضوع، فیشینگ را می توان بعنوان زیر مجموعه اسپم یا حتی نوعی فرآیند درهم آمیخته با آن دانست [۴]. با این وجود، تاثیرات منفی فیشینگ غالبا بصورت ضرر و زیان های مالی بواسطه دزدی هویت مد نظر می باشد، بطور مثال، به هنگامی که یک اسپم یا هرز نامه – در شایع ترین فرم خود، اقدام به ارسال ایمیل های تبلیغاتی قبل از پذیرش از سوی گیرنده می نماید، چنین موردی را می توان بعنوان یکی از ویژگی های این فرآیند در نظر گرفت. بر مبنای آمارهای حاصله از MessageLabs، در حدود ۱% از بیش از یک بیلیون ایمیلی که بصورت روزمره مبادله می شوند اسپم می باشند [۵].
…
این مقاله به شرح ذیل سازماندهی شده است: بخش ۲ ویژگی های فرآیند فیشینگ، سیستم های تشخیص برمبنای فراگیری ماشینی، را ارائه داده و مقدمه ای در زمینه استفاده از منحنی های ROC و AUC را عرضه می دارد. بخش ۳ مقالات مرتبط را ارائه نموده و بخش ۴ پیشنهادات و نتایج ما را عرضه می نماید. در بخش ۵ نتیجه گیری ارائه خواهد شد.
احراز مدل تهدید فیشینگ ایمیل
۲- فیشینگ: ویژگی ها و تکنیک های تشخیص برمبنای شناسایی الگو و فراگیری ماشینی
در این مقاله، مشکل فیشینگ بعنوان یک مسئله شناسایی الگو تلقی می شود، بدان معنا که ویژگی های مختلف از ایمیل ها حاصل آمده تا آنکه مدلی بدست آید که قابلیت تمایز پیام های فیشینگ از پیام های غیر فیشینگ را داشته باشد. بنابراین، چنین مسئله ای را می توان بعنوان یک مسئله شناسایی الگوی ۲- کلاسه مطرح کرد.
این بخش تشریح کننده ویژگی های اصلی فیشینگ، مدل فراگیری ماشینی و همچنین معرفی مختصری در زمینه منحنی های ROC و AUC، که جهت ارزیابی کلاسیفایرها از آنها استفاده می شود، می باشد.
۲-۱٫ ویژگی های فیشینگ
استراتژی های بکار گرفته شود بوسیله فیشرها جهت گول زدن کاربران ایمیلی به میزان زیادی منوط به بکارگیری منابع محاسباتی می باشد که غالبا بوسیله قربانیان ناشناخته هستند. تکنیک های شناسایی فیشینگ برمبنای مشخص نمودن مجموعه ای از ویژگی ها می باشد که تحت عنوان استراتژی فن آوری شناخته می شوند و غالبا شامل بخش هدر / سرایند و بدنه ایمیل است. ویژگی های اصلی مرتبط با تشخیص فیشینگ به شرح ذیل مشخص شده اند:
C1: ابر پیوند (فراپیوند) با متن مشهود همانند یک URL، که به یک URL متفاوت از متن مشهود مشخص شده در ایمیل رجوع دارد.
در این رویکرد این مورد از یک ابر پیوند HTML، با متن های مشهود (شناخته شده) استفاده می نماید که هدف آن تقلید یک URL معروف است. مثال برنامه HTML در این ارتباط به شرح ذیل می باشد:
>”href=”http://playpal.com”> http://www.paypal.com/login.php</a> “<a
بنابراین، متن قابل رویت معرف ابر متن http://www.paypal.com/login.php می باشد، اما URL که پس از کلیک ماوس بر روی فراپیوند بارگذاری خواهد شد http://playpal.com خواهد بود [۸-۱۰، ۱۶].
C2: ابر متن با هر گونه متن مشهود و قابل رویت، اما در عین حال اشاره مستقیم به یک URL – مبتنی بر – IP.
از طریق این ویژگی فیشرها الزامی جهت ارائه داده های ریجسترینگ خود در یک سرور DNS نخواهند داشت، چرا که نیازی به پرس و جو در DNS نمی باشد، بر این مبنا، IP آدرس وب سایت مخرب یا بدخواه بصورت صریح در ابرپیوند قید گردیده است [۸-۱۱، ۱۶].
…
۲-۲٫ الگوریتم فراگیری ماشینی
چندین الگوریتم مختلف فراگیری ماشینی را می توان در این تحقیق بکار گرفت، اما در عین حال الگوریتمی که کاملا مناسب چنین مضمونی می باشد ماشین بردار حامی[۱] (SVM) است که بطور اولیه جهت تعامل با مشکلات دسته بندی دو کلاسه طراحی شده است [۱۷]. مبحث فنی نشان دهنده آن است که SVM با موفقیت قابل توجهی در رشته های کاربردی مختلف، شامل تشخیص فیشینگ، بکار گرفته شده است [۱۱، ۱۸-۲۰].
مجموعه ای از نمونه های l توزیع شده در فضای باز نمایی Rn را مدنظر قرار دهید که در آن n بعنوان بعدیت فضای نمونه تلقی می شود. برای هر نمونه xi یک برچسب yi Î {-۱, +۱} وجود دارد. در مورد خاص ما، ‘-۱’ معرف وجود فیشینگ و ‘+۱’ نیز معرف عدم فیشینگ است. بر حسب نظر Vapnik [17] فضای نمونه را می توان بوسیله یک ابر صفحه تشریح نموده و آنها را برمبنای برچسب های خود {−۱,+۱} از هم جدا ساخت. این ابر صفحه را می توان با استفاده از چندین مثال که تحت عنوان بردارهای حامی شناخته می شوند مدل سازی کرد.
[۱] Support Vector Machine
۲-۳٫ منحنی های ROC و AUC
«منحنی مشخصه عملیاتی دریافت کننده» یا اختصارا منحنی راک (ROC) بعنوان نموداری تلقی می گردد که نشان دهنده ارتباط بین حساسیت و ویژگی خاص یک کلاسیفایر است. پارامتر حساسیت را می توان بعنوان احتمال دسته بندی درست یک نمونه مدنظر قرار داد که بعنوان یک مورد مثبت برچسب خورده است. مقابل پارامتر ویژگی خاص را می توان بعنوان احتمال رده بندی درست یک ویژگی قلمداد نمود – که برچسب آن منفی می باشد. به عبارت دیگر، منحنی ROC نشان دهنده یک رابطه بده بستان بین مثبت حقیقی و مثبت کاذب است.
یکی از مزیت های اصلی برای استفاده از منحنی های راک در ارزیابی کلاسیفایر این حقیقت است که منحنی راک در برابر تغییرات توزیع کلاس حساس نیست. در صورتی که نسبت بین نمونه های مثبت و منفی در بانک اطلاعات آزمایشی متفاوت از ارتباط یافته شده در بانک اطلاعات آموزشی باشد، منحنی های راک بصورت یکسان باقی می مانند [۲۱].
احراز مدل تهدید فیشینگ ایمیل
۳- تحقیقات مرتبط
برخی از تحقیقات مرتبط که هدف آنها تشخیص ایمیل های فیشینگ می باشد ذیلا بطور مختصر ارائه شده و مورد بحث قرار می گیرند.
Chen و Guo اقدام به ایجاد یک رویکرد کلاینتی برمبنای پنج ویژگی اصلی (شامل C1 و C2) نمودند [۸]. تکنیک پیشنهادی در بردارنده نرخ تشخیص ۹۶% می باشد. یکی از مزیت های مرتبط با رویکرد آنها این مورد است که فاز یادگیری برای کلاسیفایر الزامی نمی باشد. با این وجود، در صورتی که ویژگی های فیشینگ تغییر یابد، فرمول استفاده شده در تشخیص احتمالا دیگر کاربردی نخواهد داشت. ویژگی منفی دیگر تحقیق آنها عدم وجود بانک اطلاعات آزمایشی با پیام های درست و مناسب است. بنابراین قابلیت اندازه گیری نرخ های مثبت کاذب وجود ندارد. بعلاوه، این ویژگی ها بصورت مجزا مدنظر بوده و ویژگی های ترکیبی آنها مورد بررسی قرار نگرفته است.
احراز مدل تهدید فیشینگ ایمیل
۴- پیشنهاد
در شروع تحقیق ما تصمیم گرفتیم تا تلاش های خود را بر روی حصول ویژگی هایی متمرکز نماییم که به بهترین وجهی قابلیت تعریف فیشینگ را داشته باشند. این به معنای یکسری از ویژگی های حداقلی می باشد که بصورت ترکیبی می بایست قابلیت تعریف بدون ابهام ویژگی های (پروفایل) فیشینگ را داشته باشند، که خود معرف استراتژی مهاجم – مدل تهدید خواهد بود [۲۴]. بنابراین پس از اعمال یکسری از جستجوهای جامع در زمینه مباحث فنی، ما ویژگی های کلی را خاطرنشان نموده که بوسیله نویسندگان بسیاری ذکر شده اند و از نقطه نظر فیشینگ توضیحات مکفی در رابطه با آنها بیان گردیده است (تشریح شده در بخش ۲-۱). بعلاوه ما نسبت به ارزیابی مجموعه اطلاعاتی فیشینگ خود جهت مشخص سازی ایمیل هایی که حداقل معرف یکی از ۱۱ ویژگی حاصله می باشند اقدام نمودیم. در غیر این صورت، قادر به ارزیابی ویژگی خاص، که برای آن حداقل یک ایمیل فیشینگی در بانک اطلاعات وجود ندارد، نمی بودیم.
در طی ارزیابی این ویژگی ها ما از سرویس های پرس و جو و خدمات خارجی (و نه داخلی) و منابع گوناگون در ارتباط با سیستم ایمیل استفاده نمودیم. در ارزیابی ما چنین رویکردهایی سبب ایجاد صف بندی قابل توجه ایمیلی می گردد، آن هم به هنگامی که پیام های بسیاری را می بایست مورد ارزیابی قرار داده. بنابراین استفاده از این مقوله ها احتمالا دارای کارایی مورد انتظار نخواهد بود. به عبارت دیگر، سرویس whois تنها در صورتی کارا خواهد بود که دومین مربوطه جدید باشد، اما بطور کلی فیشرها خود را تحت دومین های ترکیبی مخفی می سازند تا از تشخیص آنها با استفاده از این نوع از فرآیندهای پرس و جو جلوگیری شود.
۴-۱٫ مهیا سازی بانک های اطلاعاتی فراگیری و آزمایش
بانک اطلاعات فیشینگ در ابتدا ایجاد شده و سپس بصورت دستی پیام ها و ویژگی های مرتبط بوسیله سرور SMTP دانشگاه انتخاب و برچسب خورد (پیام ها از ژانویه ۲۰۰۷ تا دسامبر ۲۰۰۹ فیلتر شدند). بانک اطلاعات فیشینگ دارای ۴۵۰ پیام منحصربفرد می باشد. بانک اطلاعات غیر فیشینگ نیز دارای ۴۵۰ ایمیل معتبر منحصربفرد بوده و با توجه به پیام های معتبر ایجاد شده است که شامل پیام هایی چون تایید مستندات و خرید واقعی آنلاین می باشد. بنابراین پیام های فیشینگ بسیاری وجود دارند که مشابه با پیام های اصلی هستند. هر دوی بانک های اطلاعاتی به دو بخش مساوی برای فرآیندهای فراگیری و آزمایش تقسیم شدند.
۴-۲٫ ارزیابی ترکیب ویژگی ها با استفاده از الگوریتم های جستجو
به منظور مشخص نمودن بهترین ترکیب ویژگی ها در ارتباط با فیشینگ، ما آزمایشاتی را با استفاده از الگوریتم جستجوی تپه نوردی[۱] انجام دادیم [۲۵]. با توجه به آنکه فضای جستجو کوچک می باشد – تعداد ویژگی ها در حالت حداکثر از ۲۱۱ ترکیب برخوردار خواهد بود، بر این مبنا چنین الگوریتمی از تناسب کافی جهت حاصل آوردن نتایج رضایت بخش برخوردار می باشد. اجرای الگوریتم تپه نوردی فراهم آورنده بهترین ترکیب ویژگی های استفاده شده جهت آموزش کلاسیفایرها، همراه با مشخص نمودن نرخ تشخیص و دقت آنها می باشد، که بر این مبنا ویژگی های مرتبط برای تحلیل آتی ثبت شدند. برای تعداد بیشتری از ویژگی ها چنین موردی را می بایست با استفاده از یک الگوریتم جستجوی پیچیده تر نظیر الگوریتم ژنتیک، انجام داد [۲۶]. بهترین نرخ تشخیصی برای هر مورد از بعدیت ویژگی ها در جدول ۳ نشان داده شده است.
[۱] Hill Climbing
۴-۳٫ منحنی های ROC و AUC
منحنی راک (ROC) برای ارزیابی کلاسیفایرها بسیار مهم است چرا که این منحنی نشان دهنده ارتباط بین نرخ های مثبت کاذب (FPR) و نرخ های مثبت حقیقی (TPR) می باشد. شکل ۱ اقدام به مقایسه منحنی های راک متعلق به سه مورد از بهترین کلاسیفایرها و بدترین کلاسیفایرها نموده است. بهترین کلاسیفایرها ۶C = {C1.C4.C5.C6.C9.C11}، ۹C = {C1.C3.C4.C5.C6.C7.C8.C9.C11} و ۱۱C (کلیه ویژگی ها بصورت توام) در بردارنده نرخ های تشخیص مشابهی هستند.
۴-۴٫ مدل تهدید
مدل تهدید معرف یک پروفایل فیشینگ در یک زمان مشخص می باشد. چنین مدلی غالبا در موتور تشخیص فیشینگ جای می گیرد، اما در عین حال می بایست از انعطاف پذیری کافی جهت پذیرش مجموعه هایی از ویژگی های استفاده شده بوسیله سیستم ضد فیشینگ نیز برخوردار باشد. در این بخش راهکار ارائه شده جهت حصول مدل تهدید با جزئیات مربوطه ارائه می گردد.
۴-۵٫ ارزیابی مدل تهدید
به منظور ارزیابی کارایی مدل تهدید، ما نسبت به ایجاد رویه ای جهت بررسی تاثیرات عدم وجود ویژگی های C4، C5، C6 و C9 TMC اقدام نمودیم. این پروسه متشکل از شناسایی بهترین نرخ تشخیص برای آن دسته از کلاسیفایرها بوده است که از برخی از ترکیب های ویژگی های TMC استفاده نمی نمایند.
۴-۶٫ ارزیابی عملکرد
عملکرد خود بعنوان مولفه ای به حساب می آید که باید آن را در فاز تشخیص / آزمایش ایمیل مدنظر قرار داده که در آن نیازمند استخراج ویژگی های ایمیل در زمان حقیقی می باشد. در صورتی که لازم باشد تا ویژگی های زیادی را استخراج نمود، این مورد تبدیل به نوعی فعالیت پیچیده شده و سبب افزایش قابل توجه زمان پردازش در گیت وی های SMTP همراه با جریان زیاد ایمیل ها خواهد شد [۴، ۲۸]. بنابراین، به منظور درک این موضوع که چگونه برخی از ویژگی ها ممکن است سبب افزایش زمان پردازنده جهت استخراج ویژگی ها شود به نوعی ارزیابی عملکرد نیاز است. جدول ۷ نشان دهنده زمان نسبی پردازنده جهت استخراج بهترین ترکیب ویژگی ها می باشد. زمان مورد نیاز جهت استخراج ۱۱ ویژگی بعنوان یک مرجع جهت محاسبه زمان نسبی پردازنده در جدول ۷ مدنظر قرار گرفت. برای این آزمایش هیچگونه بهینه سازی اسکریپت ها مدنظر قرار نگرفته است.
احراز مدل تهدید فیشینگ ایمیل
۵- نتیجه گیری
این مقاله با ترکیب مدل تهدید – استراتژی مهاجم فیشینگ ایمیل[۱] – طرح مشخصی را جهت شناسایی ویژگی های الزامی این پدیده ارائه می نماید. مدل تهدید قابلیت جلوگیری از کاربرد ویژگی های نامرتبط در موتور تشخیص را داشته و از تاثیرات متعاقبی بر روی کارایی برخوردار می باشد. با کمک منحنی های راک (ROC) و AUC ما نسبت به ارزیابی نرخ مثبت کاذب جهت مشخص نمودن موثر دقیق ترین کلاسیفایرها با توجه به ترکیب موتور تشخیص استفاده نمودیم.
ما ارزیابی کلاسیفایر را محدود به تشخیص نرخ رجوع، همانگونه که در مبحث فنی گزارش شده است، ننمودیم چرا که دقت کلاسیفایر برای موارد مرتبط با فیشینگ بسیار مهم می باشد. همانگونه که قبلا ذکر شد، برای یک سیستم تشخیص قابلیت اطمینان یا پایایی مهمتر از نرخ رجوع می باشد، چرا که در صورت صدور هشدارهای بدون دقت، متصدی کنترل ایمیل ممکن است تصور نماید که سیستم از پایایی مطمئنی برخوردار نیست و بنابر این هر گونه هشدار آتی را نادیده انگارد.
با توجه به آنکه مدل تهدید اقدام به توصیف تکنیک های مهاجمین فیشینگ ایمیل به یک روش یکپارچه می نماید، فیشرها ممکن است اقدام به ارائه رویکردهای جدیدی در مبحث فیشینگ ایمیل نمایند. بنابراین، این موضوع خود سبب دشوار نمودن فرآیند مواجهه با انواع مختلف کاملا شناخته شده فیشینگ، با هدف گمراه کردن فیلترهای فیشینگ متعارف ایمیل، می گردد.
…
در تحقیقات آتی ما نسبت به ایجاد یک بانک اطلاعات برای موارد خطرآفرین آنلاین و مشخص نمودن آنها در فاز آموزشی اقدام خواهیم نمود. این انگیزه خود نشات گرفته از مشکلاتی است که در ارتباط با ایجاد بانک های اطلاعاتی ایمیلی، جهت استفاده در توسعه تحقیق جاری، با آنها روبرو بوده ایم.
[۱] e-mail phishing attacker strategy