《信息安全》课程论文

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

《信息安全》课程论文题目网络钓鱼及其防范策略研究专业信息管理与信息系统班级1204073班姓名苟凡学号1204073052015年5月28日网络钓鱼及其防范策略研究【摘要】网络钓鱼已经成为因特网历史上传播速度最快、最为普及的网络诈骗方式,并对网络活动的正常进行构成了巨大威胁。随着互联网的广泛普及,针对在线身份窃取的网络钓鱼活动日益加剧。本文阐述了网络钓鱼的基本概念和网络钓鱼技术的原理,并且对现有的网络钓鱼的攻击方式进行了较为全面的分类总结,在此基础上给出了针对网络钓鱼防范的一些策略。【关键字】网络钓鱼;原理;攻击方式;防范策略0引言随着信息技术的普及和高速发展,电子商务也在迅速地崛起,人们对网络的使用越来越频繁,这使得网络钓鱼也随之迅速泛滥。第30次中国互联网发展状况调查统计报告显示,截至2013年12月底,中国网民数量达6.18亿,互联网普及率为45.8%。网络钓鱼对网民们的威胁已经不容忽视。网络钓鱼是指攻击者通过各种隐蔽的技术手段,声称自己是某银行或者权威机构来欺骗用户的一些敏感信息,如用户的密码等信息。常见的网络钓鱼是设计一个与真实网站非常相似的网站,引诱用户上当。网络钓鱼方式已经严重威胁到用户的财产安全,并具有愈演愈烈的趋势。本文试图从网络钓鱼的概念和现状入手,通过分析网络钓鱼的实施方式,从而提出一些防范网络钓鱼的建议和具体措施。1网络钓鱼的含义简单来讲,网络钓鱼主要是指利用互联网进行的一种欺诈行为。它的主要意图是通过诱骗用户提供其个人账户和密码、信用卡信息、社保编号等个人资料,获得用户的某种身份信息,进而窃取用户的个人财产。由于这种攻击是利用欺骗手段让用户自己“上钩”,主动提供个人信息的,所以形象地称其为“钓鱼”。网络钓鱼(Phishing)一词起源于20世纪90年代中期的美国,是“Fishing”和“Phone”的综合体,鉴于早期的攻击者是用电话线作案,然后慢慢就形成了今天的Phish—ing一词。起初,攻击者利用电子邮件作为诱饵,盗用美国在线用户的账号和密码。早期的网络钓鱼绝大多数只是对虚拟财富的窃取。但随着网上银行和网上交易的普及,“经济利益”成为犯罪分子不断追求技术突破的源动力。网络钓鱼的手段不断翻新,并逐渐与其他技术手段相结合,但目标始终是个人身份标识数据,途径都是通过计算机网络窃取。因此,广义上网络钓鱼用来指“在线身份窃取”这一类攻击。2网络钓鱼技术原理2.1仿制钓鱼网页攻击者根据正常的官方网站网页的模样,利用网页制作工具软件进行仿制或利用网站导人来获取网页素材,即使有些内容无法获取到也无关要紧,大多数人都不会清楚地记得被冒仿的网页上都有哪些内容。钓鱼者将仿制好的网页挂靠到一个或多个可公开访问的网站服务器上,这样网络用户就可以通过Internet访问这个页面,这样—个钓鱼网站就制作完成。2.2利用数据库后台技术网络钓鱼网站的最终结果是要收集骗取上网者的个人账户信息。因此如何捕获收集用户在网页上输入的信息是关键。在获取到网页信息后,钓鱼者会对网页代码根据自我需求性进行相应改变,而且钓鱼者不需像正常网页那样做合法性的反馈校验等那些过程,只是将用户的录入直接传送到特定的后台的数据库或文本文件中,也可以利用特定代码程序将用户输入的内容通过电子邮件发送到钓鱼者的电子信箱中。MySQL和Access数据库编程简单且易维护,是钓鱼者们常用的后台方式,也有钓鱼者利用NOS的漏洞,把制作或订购的木马病毒代码植入到用户计算机中,当用户上网时,将用户输入的隐私信息保存记录下来,或直接发送给钓鱼者。3网络钓鱼的主要攻击手段国家计算机病毒应急处理中心通过对互联网的监测发现,随着“B2C”电子商务的迅猛发展,网络钓鱼事件愈加频繁。目前,网络钓鱼现状表现在银行类网站频遭仿冒、节假日成为钓鱼高峰期、热点事件催生网络钓鱼以及中奖信息类和彩票类钓鱼网站激增等五个方面。网络钓鱼事件频发,那么网络钓鱼的主要采用什么攻击手段呢?3.1假冒网站域名用户鉴别网站的一种方式是检查地址栏中显示的URL。为了达到欺骗目的,攻击者会注册一个域名,这个域名看起来与原网站域名相似。由于大多数浏览器是以无衬线字体显示URL的,因此攻击者改变大小写或使用特殊字符就能让大多数用户无法辨别。3.2URL隐藏假冒URL的另一种方法是利用URL语法中一种较少用到的特性。用户名和密码可以包含在域名前。攻击者将一个看起来合理的域名放在用户名位置,并将真实的域名隐藏起来或放在地址栏的最后。3.3IP地址隐藏一台服务器身份的最简单办法就是使它以IP地址的形式显示。这种技术的有效性令人难以置信,由于许多合法URL也包括一些不透明且不易理解的数字,因此只有懂得解析URL且足够警觉的用户才有可能产生怀疑。3.4欺骗性的超链接一个超链接的标题完全独立于它实际指向的URL。攻击者利用这种显示和运行间的内在差异,在连接标题中显示一个URL,而在背后使用一个完全不同的URL。即便是一个有着丰富知识的用户,在看到消息中显而易见的URL后也可能不会想到去检查其真实性。检查超链接目的地址的标准方法是将鼠标放在超链接上,其URL会在状态栏显示出来,但这也可能被攻击者利用JavaScript或URL隐藏技术所更改。3.5隐藏提示隐藏提示是通过完全替换地址栏或状态栏达到使其提供欺骗性提示信息的目的。有些攻击就用了JavaScript在InternetExplorer的地址栏上创建的一个简单的小窗口,它显示的是一个完全无关的URL。3.6弹出窗口之前对Citibank客户的一次攻击使网页复制技术前进了一步,它在浏览器中显示的是真实的Citibank网页,但在页面上弹出了一个简单的窗口,要求用户输入个人信息。4windows用户对网络钓鱼的防范Windows用户访问互联网的两个主要工具是浏览器和电子邮件。下面就从这两个方面说起。4.1电子邮件的防范设置4.1.1关闭预览面板一些钓鱼邮件只需要在电子邮件收发程序的预览面板中显示就能侵入计算机。因此建议用户关闭收件箱的预览面板。4.1.2以纯文本方式阅读邮件许多恶意邮件都是通过HTML代码达到不可告人的目的,因此以纯文本方式阅读邮件就会让它们无计可施。4.1.3小心处理电子邮件连接钓鱼者攻击计算机的一条重要渠道是通过电子邮件。为了减小因为电子邮件而感染病毒的风险,在可疑电子邮件中不要点击链接,而在浏览器的地址栏中手工输入URL.或者到网站的酋页,然后再找到需要浏览的页面。4.2IE浏览器的防范设置4.2.1增强IE的安全性要想让IE更加安全,应将IE安全级别设置为“高”。4.2.2升级IE版本到7.0IE7中内嵌的钓鱼欺诈过滤器可以保护用户远离钓鱼欺诈网站,保护隐私。5结束语随着互联网的迅猛发展,诸如网上银行、网上证券交易等电子商务活动已经迅速走入人们的生活。然而,网络钓鱼的存在和迅速蔓延,严重威胁到了网络活动的正常进行,影响了正常的经济秩序。总之,随着信息技术和网络贸易的不断发展,网络钓鱼的手段和破坏性也将不断变化,同时,在技术防范上还应不断加强,加上监管机制的提高和检测防御技术的提高,那么网络钓鱼事件将会不断减少。参考文献[1]殷水军,刘亮.针对Web-mail邮箱的跨站网络钓鱼攻击的研究[J].通信技术,2010,8.[2]杨明.网络钓鱼手段分析与防范对策研究【J】.网络安全技术与应用,2012年09期.[3]胡勇.基于邮件欺诈和网络钓鱼的防范研究[期刊论文]-大众科技2009(12)[4]周国民.吕钟炜国外“网络钓鱼”技术原理与方法初探[期刊论文]-信息网络安全2009(8)[5]李青岩.李琳网络钓鱼攻击的趋势及其防御策略[期刊论文]-福建电脑2008,24(12)[6]程元斌.一种防范钓鱼网站的方法[期刊论文]-网络安全技术与应用2011(8)[7]张贵强.“网络钓鱼”及防范技术[期刊论文]-电脑知识与技术2010,06(27)[8]司响,杜彦辉,李秋锐.网络钓鱼常用技术手段分析及防范措施[期刊论文]-信息网络安全2010(6)

1 / 6
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功