多特征的网络钓鱼检测算法研究

5) Form元素内是否存在type=password的input元素。欺诈URL的Web页面一般都会存在输入账号、密码的表单，以盗取其资料。

6) 如果表单元素内存在密码输入框，则根据表单格式，尝试构造随机的表单内容，并向服务器提交。连续提交三次，比较原表单页面和每次返回的HTML页面，将内容相似度作为特征值。通常，正常网站对于错误的表单提交，总会返回原页面，同时附加错误提示。对于钓鱼网站，它无法鉴别用户提交的账号密码信息，则会将用户提交的内容进行记录，并返回一个伪造的页面并提示登录成功，以放松用户的警惕，拖延其修改密码的时间。

7) Web页面的title是否与主域名有关联。正规网站的title除了包含页面的具体功能信息之外，往往还包含主域名的信息，而欺诈网站为了模仿正规网站，往往需要模仿其title等信息，因而其title和主域名往往无关联。

8) 将网站的title在搜索引擎中进行搜索，判断搜索结果中是否有该网站域名。由于搜索引擎会按照权威性进行排序，而title往往是网站特有的。如果未在搜索结果的前列出现该域名，则说明该域名声称的title并不权威或不唯一，则该网站大概率是钓鱼网站。

3 机器学习分类模型

3.1 随机森林

随机森林[6]模型是最早由Leo Breiman和Adele Cutler提出的基于决策树的分类模型。它构建了若干棵决策树，每棵树的构建随机选取了特征向量的一部分维度。在进行分类时，随机森林中的每一棵决策树都会对结果进行投票，最终选择获得票数最多的结果。其优势主要包括：能够处理数据集中大量的特征维度；对训练数据的噪声有较强的容忍能力，并且能够有效地估计丢失的数据；容易实现并行化并避免过拟合。

随机森林基于决策树算法[7]，使用以下过程构造每棵决策树：

设训练用例或样本个数为N，样本的特征向量长度为M，即有M个特征。

从样本库中随机选取N1个样本，构成训练集；其余N2个样本作为测试集，用于测试分类效果。

配置每棵数的特征数目m，其中m<

由于随机森林的投票特性，每棵决策树构建完成后不需要进行剪枝。

至于一棵决策树的构建，ID3、C4.5、C5.0等算法均以降低信息熵为目标构建节点。

信息熵的定义为：

(1)

对于子节点分裂的条件，其原则是使得父节点的信息熵与所有子节点信息熵之和的差最大化。直至叶子节点的熵值为零。

3.2 支持向量机

支持向量机SVM[8-9]被广泛认为是用于高维数据二元分类最先进的模型，是定义在特征空间上间隔最大的线性分类器，利用间隔求最优分离超平面。

SVM具体的算法是在N维空间内，将点集P={pi}使用超平面划分为两个子集，超平面的方程可写作：

w·x-b=0

(2)

式中：w为超平面的法向量。

如果训练数据中存在超平面可以完美地将数据分隔为对应的两部分，则可求得一个离两部分点集距离最远的超平面，该法向量称为支持向量。

如果训练数据不是线性可分的，则需要引入铰链损失函数：

max(0,1-yi(w·xi-b))

(3)

当分割的点在正确的一侧，损失函数值为零；对于在错误一侧的数据，该函数与超平面的距离成正比。SVM平面的误差函数为：

(4)

对于训练集划分，可使用梯度下降算法对超平面进行拟合，以达到误差函数最小的目标。

4 实验结果与分析

4.1 数据来源与实验环境

本实验采用的正例样本从开放分类目录DMOZ中摘取而来，DMOZ中的所有条目由编辑者手动审核，确保实验数据的权威性和可靠性。反例样本的来源是PhishTank.com提供的已经确认的欺诈URL数据库和电信研究院提供的欺诈URL数据。由于反例样本即钓鱼网站的存活时间短，本次实验在2017年1月至2017年3月期间内实时收集PhishTank提供的欺诈站点数据，随机选取并进行验证，确保了实验数据来源的准确性和多样性。

由于互联网环境中，合法网站的比例远高于钓鱼网站，因此在构建训练集和测试集时，将正负样本的比例控制为9∶1，并进行随机混合。本次实验共收集正负样本14 000例，其中包含正样本12 600例，负样本1 400例。系统采用Java语言实现，选择15个敏感特征，得到15维向量，作为分类器的输入。为检验机器学习算法的性能，实验将样本分为5个数据集，每个数据集各有一部分正负样本。具体组成如表1所示。

表1 样本数据集组成

我们选取的分类模型有随机森林和SVM。系统选用不同的数据集和机器学习模型，训练并测试相应数据集的分类结果，分析该分类器的分类性能。本实验中，采用检测精度、误判率和漏判率作为衡量欺诈URL检测系统性能的3个指标。

4.2 实验结果与分析

从表2-表3可以看出，随机森林和支持向量机在样本集中达到了较高的检测精度。这说明实验所提取的特征能较好地反应正负样本的特点，也体现出随机森林和SVM卓越的分类效果。随着实验样本集的扩大，两者的检测精度都有所提高并收敛, 误判率和漏判率都逐步降低。然而相比误判率，漏判率依然比较高，表明实验中提取的特征还不足以全面反映正负样本的特征，存在不少“漏网之鱼”。另外，实验中发现支持向量机相比随机森林，在运行大规模数据集时，内存消耗大，效率也不够高。

表2 随机森林算法检测实验结果 %

表3 支持向量机算法检测实验结果 %

5 结 语

本文研究并实现了一种基于URL和Web内容敏感特征的钓鱼网站检测算法。在分类器的选择上，采用了流行的随机森林和SVM算法，达到了较好的分类效果。针对近年来新出现的使用图片来构造钓鱼网站的攻击，下一步将在算法上结合图像相似性检测技术[10]来提取此类攻击的敏感特征，从而进一步降低实验的漏判率，提高整体的检测精度。

参 考 文 献

[1] Jaison F,Francis S.Phishing Website Detection:A Review[J].IJCSMC,2014,3(2):696-699.

[2] Jain A K,Gupta B B.Comparative analysis of features based machine learning approaches for phishing detection[C]//International Conference on Computing for Sustainable Global Development.IEEE,2016:2125-2130.

[3] Nguyen H H,Nguyen D T.Machine learning based phishing web sites detection[M]//AETA 2015:Recent Advances in Electrical Engineering and Related Sciences.Springer International Publishing,2016:123-131.

[4] Garera S,Provos N,Chew M,et al.A framework for detection and measurement of phishing attacks[C]//Proceedings of the 2007 ACM workshop on Recurring malcode.ACM,2007:1-8.

[5] 郭敏哲,袁津生,王雅超.网络钓鱼Web页面检测算法[J].计算机工程,2008,34(20):161-163.

[6] Liaw A,Wiener M.Classification and regression by randomForest[J].R news,2002,2(3):18-22.

[7] Patel B R,Rana K K.A survey on decision tree algorithm for classification[J].International Journal of Engineering Development and Research,2014,2(1):1-5.

[8] Meyer D,Wien F H T.Support vector machines[J].R News,2001,1(3):23-26.

[9] Adankon M M,Cheriet M.Support vector machine[J].Encyclopedia of biometrics,2015:1504-1511.

[10] 卢康,周安民.基于图像相似性的钓鱼网站检测[J].信息安全与通信保密,2016(3):115-117.