新技術快測釣魚網站　綜合Whois資訊評測指標

根據OpenDNS的一個新的威脅檢測模型

黑客利用作釣魚網站的虛假域名很多時都離不開特定字眼，這發現可以幫助安全人員識別惡意網站。字眼例如update、Security、login、billing，會與一些常見域名字眼或特登串錯字來組合成千變萬化的名。OpenDNS解構出一張名單是spam常用的域名列表，黑客這套域名方程式主要來自生物信息學和數據挖掘領域常用，並且使用自然語言處理技術。

透過這個列表，安全人員可以對比一些關鍵因素，計算一個懷疑網站有多少概率是惡意網站。由於企業都會註冊一些與其原本域名相似串法的域名，用作其他合法用途，例如將這些「變種」域名指向其正規域名以減少被人盜用，所以單獨以關鍵字來判斷是不夠的，除了域名，我們或許要考慮其他因素包括其不常見的域名註冊商，不尋常的host位置，或Whois資訊與上層註冊信息不匹配。舉例來說，如Facebook開設新page，網站會host在Facebook指定的IP位置，這些資訊都可以在正常註冊資訊下，所以不會無端端host在一些不知名位置。

OpenDNS的提供DNS安全服務，採用了名為NLPRank的技術，這兩個月時間已經發現了數千個新的釣魚網站，已手動添加到黑名單中。例如已經發展了一系統PayPal相關的網站,例如securitycheck-paypal dot com及x-paypal dot com，而網站偽冒得跟正牌的非常相似，從真正的網站複製的文本、顏色、圖像、甚至是HTML本身所以非常逼真。

現時NLPRank的模式仍然在改進，新發現的釣魚網立站會作評估並加入系統中，添加新的指標，以減少誤報的數量。所以NLPRank技術仍然未成為自動化偵測工具，直到百分之百沒有false alarm才會將方案提供給客戶。