基于蜜罐网络的邮件捕获系统分析与部署

２０１２年第Ｏ１期

基于蜜罐网络的

邮件捕获系统分析与部署

李秋锐

（中国人民公安大学，北京１０００３８）

摘要：散布钓鱼网站的方式多种多样，由于大多数的钓鱼网站链接都是通过垃圾邮件传播的，因此该

文从垃圾邮件传播的角度入手，通过分析垃圾钓鱼邮件发布者使用的网络安全漏洞，建立一个基于Ｈｏｎｅｙｄ

的邮件捕获系统，从而获取大量垃圾邮件，以便于以后通过邮件分析达到主动探测钓鱼网站的目的。

关键词：蜜罐；Ｈｏｎｅｙｄ；垃圾邮件；网络钓鱼

中图分类号：ＴＰ３９３．０８ 文献标识码：Ａ 文章编号：１６７１—１１２２（２０１２）Ｏ１—００６４—０４

Ａｎａｌｙｓｉｓ ａｎｄ Ｄｅｐｌｏｙｍｅｎｔ ｆｏｒ ｔｈｅ Ｈｏｎｅｙｐｏｔ—ｂａｓｅｄ

Ｍａｉｌ Ｃａｐｔｕｒｅ Ｓｙｓｔｅｍ

ＬＩ Ｏｉｕ。ｒｕｉ

（Ｃｈｉｎｅｓｅｐｅｏｐｌｅ ｐｕｂｌｉｃ ｓｅｃｕｒｉｔｙ ｕｎｉｖｅｒｓｉｔｙ，Ｂｅｏ＇ｉｎｇ １０００３８，Ｃｈｉｎａ）

Ａｂｓｔｒａｃｔ：Ｔｈｅｒｅ ａｒｅ ｍａｎｙ ｗａｙｓ ｆｏｒ ｄｉｓｓｅｍｉｎａｔｅ ｏｆ ｐｈｉｓｈｉｎｇ ｓｉｔｅｓ．Ｓｉｎｃｅ ｍｏｓｔ ｏｆ ｔｈｅ ｐｈｉｓｈｉｎｇ ｗｅｂｓｉｔｅ ｌｉｎｋ ａｒｅ

ｓｐｒｅａｄ ｔｈｒｏｕｇｈ ｓｐａｍ，ＳＯ ｔｈｉｓ ａｒｔｉｃｌｅ ｉｓ ｆｏｃｕｓ ｏｎ ｔｈｅ ｓｐｒｅａｄ ｏｆ ｓｐａｍ．Ｂｙ ａｎａｌｙｚｉｎｇ ｎｅｔｗｏｒｋ ｓｅｃｕｒｉｔｙ ｖｕｌｎｅｒａｂｉｌｉｔｉｅｓ，

ｗｅ ｅｓｔａｂｌｉｓｈ ａ Ｈｏｎｅｙｄ－ｂａｓｅｄ ｍａｉｌ ｃａｐｔｕｒｅ ｓｙｓｔｅｍ，ｔｈｅ ｔａｒｇｅｔ ｏｆ ｔｈｉｓ ｓｙｓｔｅｍ ｉｓ ｔｏ ｇａｉｎ ａ ｌｏｔ ｏｆ ｓｐａｍ，ｆｏｒ ｄｅｔｅｃｔｉｎｇ

ｐｈｉｓｈｉｎｇ ｓｉｔｅｓ ｂｙ ａｎａｌｙｓｉｓ ｍａｉｌ ｃａｐｔｕｒｅｄ ｌａｔｅｒ．

Ｋｅｙ ｗｏｒｄ：ｈｏｎｅｙｐｏｔ；Ｈｏｎｅｙｄ；ｓｐａｍ；Ｐｈｉｓｈｉｎｇ

０引言

网络钓鱼是伴随着网络技术的发展而产生的，根据中国反网络钓鱼联盟的２０１１年４月报告，４月份该联盟处理钓鱼网站数

量达２６３５个，截止到２０１１年３月底，中国反钓鱼网站联盟累计认定处理的钓鱼网站数量为４３８４２个。尽管网络钓鱼收到多方重

视，但钓鱼网站的数量还是有增无减ｎｌ。

钓鱼网站的链接传播方式主要有垃圾邮件、即时通讯和媒体传播，本文主要研究与垃圾邮件有关的传播方式，由于常规的

钓鱼探测系统虽然可以很有效的对邮件进行分析，但却不能实时的获取邮件，所以构建一个邮件捕获系统通过建立蜜罐网络达

到欺骗垃圾邮件发布者，获取大量垃圾邮件的目的，以便于为随后的邮件分析提供样本，从而主动探测钓鱼网站的有关信息［２－４１。

１蜜罐系统

蜜罐系统是一种用于捕捉探测，攻击和漏洞扫描行为的安全工具，其本身是一个包含漏洞的系统，由于蜜罐系统没有提供

任何实质性的服务，所以可以认定每一个试图主动与其进行连接交互数据的行为都是可疑的。目前很多款优秀的蜜罐软件，如

ＫＦＳｅｎｓｏｒ、Ｈｏｎｅｙｄ等，本文将使用Ｈｏｎｅｙｄ软件构建蜜罐系统。

Ｈｏｎｅｙｄ是一款强大的开源虚拟蜜罐软件，属于低交互式的蜜罐系统，可运行在ＵＮＩＸ和Ｗｉｎｄｏｗｓ操作系统中，并在虚拟的

网络环境中模拟多个地址，虚拟蜜罐主机可以根据具体的配置文件模拟多种网络服务，外部的主机可以对虚拟蜜罐主机进行常

规的Ｐｉｎｇ、Ｔｒａｃｅｒｔ等操作，回应数据包时，Ｈｏｎｅｙｄ的个性化引擎使回应包与被配置的操作系统特征相适应，同样Ｈｏｎｅｙｄ也可以

为真实的主机提供代理。

●

收稿时间：２０１１－１２—１５

作者简介：李秋锐（１９８７一），男，湖北，硕士研究，主要研究方向：信息安全与计算机犯罪侦查。

防

议 一

自选路由

蛰

个 匪化

１引擎 １

嘉 －¨ 中央包分配器

自选路由

一 一～～———

！———一

１ＵＤＰ Ｉ １ＴＣＰ

ｒ

服务

图１ Ｈｏｎｅｙｄ软件结构

Ｈｏｎｅｙｄ软件结构由配置数据库，中央包分配器，协议处

理器，个性化引擎和自选路由组件组成。Ｈｏｎｅｙｄ软件结构如

图１所示。

如图１所示，Ｈｏｎｅｙｄ接收到请求方的数据会由中央包分

配器处理，中央包分发器首先会检查ＩＰ长度、校验和。然后

根据配置数据库的数据查找到符合目标位置的蜜罐主机配置。

确定具体的配置后，数据包就会交付给相应的协议处理器进

行处理。

协议处理器具体分为三部分：ＩＣＭＰ处理器、ＵＤＰ处理器、

ＴＣＰ处理器。ＩＣＭＰ处理器支持多数的ＩＣＭＰ查询，一般情况下，

都会响应Ｅｃｈｏ请求，并处理“ｄｅｓｔｉｎａｔｉｏｎ ｕｎｒｅａｃｈａｂｌｅ”的消息。

对于分配到ＴＣＰ处理器和ＵＤＰ处理器的数据包，Ｈｏｎｅｙｄ可

以为其与任意的服务建立连接［５１。

在对具体的请求命令做出应答后，需要隐藏蜜罐主机的

身份，由于不同蜜罐主机处理方式也各不相同，这就导致蜜

罐主机发送的数据包也就具有的不同的特点，所以个性化引

擎组件的工作内容就是模拟不同系统的网络栈行为。具体来

说，Ｈｏｎｅｙｄ利用Ｎｍａｐ的指纹库来作为ＴＣＰ和ＵＤＰ连接的

个性化参考，利用Ｘｐｒｏｂｅ指纹库来作为ＩＣＭＰ连接的个性化

参考。由此就可以做出一个与真实主机相同的应答包，最后再

发送给ｔ￣Ｔｙｏ

自选路由用于模拟有关的路由信息，其可以模拟任意的

网络路由拓扑，通常虚拟的拓扑结构为树结构，每一个节点

和每一条边都分别代表着路由器和损失权值。当Ｈｏｎｅｙｄ接到

包时，从根节点开始到发现目的ＩＰ的节点为结束，将经过的

边的损失权值累加起来，确定是否抛弃该包和其延迟应该有

多少。数据包每通过一个虚拟路由器，就相应的减少生存期

ＴＴＬ值，当ＴＴＬ为零时，Ｈｏｎｅｙｄ发出ＩＣＭＰ超时信息。因为

自选路由组件Ｈｏｎｅｙｄ也可以将真正的系统加入到虚拟的路由

２０１２年第Ｏ１期

拓扑之中，当收到一个真实系统的包时，包沿着网络拓扑行走

直到发现与真实系统所属的网络空间直接连接的虚拟路由器。

当真正的系统发出ＡＲＰ请求时，网络虚拟结构通过相应的虚

拟路由器ＡＲＰ回复进行响应。

２垃圾邮件所使用漏洞分析

由于制造、传播垃圾邮件的行为都是不合法的，所以很

多垃圾邮件发布者都会想着隐藏自己的行为。图２是垃圾邮

件发布者隐藏自己踪迹的常用方法。

垃圾邮件发布者

服务器

受害用户

图２垃圾邮件商常用技术

２．１开放中继转发

ＳＭＴＰ协议就是简单邮件传输协议，与２５端口和ＴＣＰ协

议联系在一起，主要用于可靠的并有效的进行邮件传输。

在ＳＭＴＰ协议中具有中继转发服务，即通过别人的邮件

服务器将邮件递送到目的地址，一般来说，中继转发服务针

对的对象都是有选择的并通过认证的用户。然而一些具有安

全漏洞的ＳＭＴＰ服务器都会无限制的开放中继转发服务，这

种服务器就有可能被垃圾邮件发布者发现并进行滥用。

２＿２开放代理

代理服务器是介于客户端与服务器之间的另一台服务器，

其用于获取某种特定的服务，允许多于一台的主机共用一个

ＩＰ地址连接互联网，代理就像是一个中间人，与其他客户端

进行连接。

一

个有安全漏洞的代理服务器允许任意一个ＩＰ地址连接

任意一个ＩＰ地址或端口，这种代理服务器称之为开放代理。

垃圾邮件发布者会持续的扫描开放代理的代理服务器，一旦

发现就建立代理服务器与垃圾邮件服务器之间的连接，然后

使用代理与其他正常的邮件服务器连接，最后通过发送特定

的Ｓｍｔｐ指令即可发送垃圾邮件 ］。

３基于Ｈｏｎｅｙｄ构建虚拟网络与部署

在本文中基于Ｈｏｎｅｙｄ软件模拟两种服务：具有开放中

继转发漏洞的邮件服务器和具有开放代理漏洞的代理服务器。

２０１２年第Ｏ１期

图３给出本文配置的邮件捕获系统Ｍａｉｌ ｃａｐｔｕｒｅ的整体结构。

ｓｅｌＬｐｕｓｈ（”２５０ Ｈｅｌｌｏ％ｓ．ｐｌｅａｓｅｄ ｔｏ ｍｅｅｔ ｙｏｕ．、ｒ＼ｎ”％ｗｈｏｍ）

童罐．￣ｍ，ａｉｌ ｃａｐｔｍ

图３配置的Ｍａｉｌ ｃａｐｔｕｒｅ整体结构

在Ｍａｉｌ ｃａｐｔｕｒｅ内存在有两台实际存在的主机和三台虚拟

主机，其中实际存在的主机是Ｈｏｎｅｙｄ主机和邮件服务器，这

两台主机与路由器直接连接，其余三台提供的服务都是基于

Ｈｏｎｅｙｄ主机虚拟的，其本身也是由Ｈｏｎｅｙｄ主机配置文件虚拟

出来的。

对于具体的Ｍａｉｌ ｃａｐｔｕｒｅ配置，其中Ｈｏｎｅｙｄ主机的ＩＰ地

址为１９２．１６８．０．１，邮件服务器的ＩＰ地址为１９２．１６８．０．２，两台

主机均使用的Ｕｂｕｎｔｕ操作系统。

具体每一台虚拟主机的配置如下：ｖ１，操作系统版本

为Ｌｉｎｕｘ ２．６．６、ＩＰ地址为１９２．１６８．０．５、主机模拟的服务为

Ｓｍｔｐ服务；Ｖ２，操作系统版本为Ｌｉｎｕｘ ２．６．６、ＩＰ地址为

１９２．１６８．０．４、主机模拟的服务为开放代理服务；Ｖ３，操作系统

版本为Ｌｉｎｕｘ ２．６．６、ＩＰ地址为１９２．１６８．０．３、主机模拟的服务

为ｗｅｂ服务。

具体的配置操作以开放中继转发的虚拟邮件服务器ｖ１为例

ｃｒｅａｔｅ Ｌｉｎｕｘ

ｓｅｔ Ｌｉｎｕｘ ｐｅｒｓｏｎａｌｉｔｙ“Ｌｉｎｕｘ ２．６ ６’’

ａｄｄ Ｌｉｎｕｘ ｐｒｏｔｏ ｔｃｐ ｐｏｒｔ ２５“．／ｓｃｒｉｐｔ／ｓｐａｍ．ＰＹ’’

ｂｉｎｄ Ｌｉｎｕｘ １９２．１６８．０．５

至此开放中继转发的虚拟邮件服务器就设置成功，其他

两个虚拟服务的设置方法与其类似 。

其中两个模板是整个系统的核心——ｓＭＴＰ开放中继转发

模拟器和开放代理模拟器。

对于ＳＭＴＰ模拟器，Ｈｏｎｅｙｄ接受来自２５端ＩＳｌ、ＴＣＰ协议

的数据包，并且以一个ＳＭＴＰ服务的角色进行回应，每接受

一

份信息，其表现的都像一个开放中继转发的邮件服务器进

行转发，其实际上信息不会被发送出去而是存储在当地服务

器里面。下面给出ＳＭＴＰ模拟器的局部配置。

ｉｆ ｃｏｍｍａｎｄ ｉｎ【”ＨＥＬＯ”，”ＥＨＬＯ”］：

ｗｈｏｍ＝ｄａｔａ［５：］．ｓｔｒｉｐ（）

ｓｅｌｆ．ｈｅｌｌｏ＝ｗｈｏｍ

ｅｌｉｆ ｃｏｍｍａｎｄ＝＝’ＭＡＩＵ：

ｗｈｏｍ＝ｄａｔａ［１０：］．ｓｔｒｉｐ（１

ｓｅｌｆ．ｍａｉｌｆｒｏｍ＝ｗｈｏｍ

ｓｅｌｆ．ｐｕｓｈ（”２５０％８…Ｓｅｎｄｅｒ ｏｋ＼ｒ＼ｎ”％ｗｈｏｒｎ１

ｅｌｉｆ ｃｏｍｍａｎｄ＝＝’ＲＣＰＴ’：

ｗｈｏｍ＝ｄａｔａ［８：］．ｓｔｒｉｐ（）

ｓｅｌｆ．ｒｃｐｔｔｏ．ａｐｐｅｎｄ＾ｖｈｏ ｍ１

ｓｅｌＬｐｕｓｈ（”２５０％ｓ…Ｒｅｃｉｐｉｅｎｔ ｏｋ＼ｒｋｎ”％ｗｈｏｍ１

ｅｌｉｆｃｏｍｍａｎｄ＝＝’ＤＡ＿ｒＡ’：

ｓｅｌｆ．ｓｅｔ

—

ｔｅｒｍｉｎａｔｏｒ（ Ｉ，Ｉｎ．１ｒＩｎ＇

ｓｅｌｆ．ｆｏｕｎｄｔｅｒｍｉｎａｔｏｒ＝ｓｅｌｆ．ｄａｔａ

——

ｆｏｕｎｄｔｅｒｍｉｎａｔｏｒ

ｓｅｌｆ．ｐｕｓｈ（ ３５４ Ｅｎｔｅｒ ｍａｉｌ，ｅｎｄ ｗｉｔｈ”．”ｏｎ ａ ｌｉｎｅ ｂｙ ｉｔｓｅｌｆ￣ｒ＼ｎ’）

ｅｌｉｆ ｃｏｍｍａｎｄ＝＝’ＱＵＩＴ‘・

ｓｅｌＬｐｕｓｈ（”２２１％ｓ ｃｌｏｓｉｎｇ ｃｏｎｎｅｃｔｉｏｎ＼ｒ＼ｎ”％ｓｅｌｆ．ｈｏｓｔ）

ｓｅｌｆ．ｃｌｏｓｅｗｈｅｎ

＿

ｄｏｎｅ（）

ｅｌｉｆ ｃｏｍｍａｎｄ＝：’ＲＳＥＴ’・

ｓｅｌｆ．ｒｅｓｅｔ（）

ｓｅｌｆ．ｐｕｓｈ（’２５０ Ｒｅｓｅｔ ｓｔａｔｅ＼ｒ＼ｎ’）

ｅｌｓｅ：

ｓｅｌｆ．ｐｕｓｈ（”５００ Ｃｏｍｍａｎｄ ｕｎｒｅｃｏｇｎｉｚｅｄ ｎ’’）

通过配置，虚拟服务器根据接收的具体名称，做出相应

的响应。例如当接受到“ＨＥＬＯ”或“ＥＨＬＯ”指令后，需向指

令发送人回应“Ｈｅｌｌｏ，ｐｌｅａｓｅｄ ｔｏ ｍｅｅｔ ｙｏｕ”这些回应与正常的

邮件服务器完全相同。

对于开放代理模拟器，具体分为两种：Ｈｔｔｐ代理模拟器

和ＳＯＣＫＳ代理模拟器。

Ｈｔｔｐ代理模拟器其正常接收多个ＴＣＰ端口的数据并提供

代理服务，当垃圾邮件商连接该模块时，垃圾邮件商就会要

求代理服务器连接到受害者的邮件服务器上，代理服务器收

到该请求后，不会直接响应该请求，其会连接到自己的邮件服

务器上，并发送给垃圾邮件商一个回应包，使之以为连接成

功。垃圾邮件商就会认为其已经成功连接到目标ｓＭＴＰ服务器，

从而发送垃圾邮件。

ＳＯＣＫＳ代理模拟器其接受多个ＴＣＰ端口的数据并提供

ＳＯＣＫＳ代理服务，该模拟行为表现的像一个不需要认证的代

理，允许来自任意ＩＰ地址的连接。在成功连接到该模拟器后，

垃圾邮件商就要求连接到外部的一个ＴＣＰ端口和地址。如果

要求连接的ＴＣＰ端口号不是２５的话，就回应一个错误信息；

如果ＴＣＰ端口号为２５端口的话，随后的行为与Ｈｔｔｐ代理模

拟器类似。

４部署中存在的问题及解决方案

４．１蜜罐系统对系统的影响

由于蜜罐的特殊性，其难免会与系统造成一定的影响，

蜜罐部署工作重点之・就是降低对系统的影响。具体即根据自

己的需求选择合适的蜜罐，对于要求不高的系统可部署安全

性较高的低交互式蜜罐，然后就是做到对蜜罐进行实时的监

督和控制，由于蜜罐需要对外交互数据才能获取价值，所以

可以在防火墙端进行一些设置来平衡交互程度和安全性之间

～ ，，． ．，．． ． ．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．

／２０１２年第０１期

，

的关系，Ｍａｉｌ ｃａｐｔｕｒｅ采用限制蜜罐系统同时连接数，周期性

的允许定量的数据传出等方法来降低对系统的影响。

５结束语

蜜罐在安全领域的应用已经越来越广泛，相对于其他机

制，蜜罐系统部署简单，配置灵活，收集到的数据有很大的

针对价值，本文就是根据蜜罐技术模拟出ＳＭＴＰ的开放中继

服务和开放代理服务，然后构建出一个用于收集垃圾邮件的

系统，用于反网络钓鱼探测系统的研究。 （责编张岩）

４．２ Ｈｏｎｅｙｄ部署位置的选取

Ｍａｉｌ ｃａｐｔｕｒｅ配置的位置选取在防火墙的ＤＭＺ区，相对

于防火墙外来说，这样可以有效与防火墙内部的系统进行数据

交互并且处于相对安全的环境中，而相对于防火墙内部来说，

这样会接受到更多的信息，因为防火墙的保护，内部的主机只

能接受到很少的攻击信息，不利于蜜罐的正常工作。综上所

述，最为合适的位置应该部署在防火墙的ＤＭＺ内。但部署在

参考文献：

［１】中国反钓鱼网站联盟．２０１１年４月钓鱼网站处理简报［Ｒ】．２０１１ ４．

【２］孙言．ｇ－Ｎ络钓鱼技术研究［Ｄ】．北京：中国人民公安大学，２００９．

【３刘晓娟３１基于邮件信息提取与分析的反网络钓鱼技术研究【Ｄ１北

京：中国人民公安大学，２０１０．

［４】孙言、杜彦辉反网络钓鱼中ＵＮＩＣＯＤＥ字符相似度评估算法研

究Ⅱ］计算机工程与应用，２００８，（２６）：８６—８７．

ＤＭＺ内的难度很大，一旦蜜罐被攻陷，攻击者会使用蜜罐作

为跳板来攻击其他的服务，所以要使其他服务与蜜罐安全的

隔离，这样也会增加ＤＭＺ部署的负担。

４．３ Ｈｏｎｅｙｄ采集数据的方式

Ｍａｉｌ ｃａｐｔｕｒｅ所使用的数据采集方式为ＡＲＰ欺骗方式，

相对而言以ＡＲＰ欺骗方式进行数据采集的蜜罐系统更容易配

［５］翟继强，叶飞．利用Ｈｏｎｅｙｄ构建虚拟网络Ｕ］．计算机安全，

２００６，（０３）：４６—４８．

置在一个现有的网络之中。Ｈｏｎｅｙｄ采集数据的方式大体上分

为两种，第一种方法称之为Ｂｌａｃｋｈｏｌｉｎｇ，一般用于一个没有

任何活动系统的完整网络，这意味着攻击者所瞄准的是特定

［６】Ｓｔｅｄｉｎｇ－Ｊｅｓｓｅｎ，Ｋ．，Ｖｉｊａｙｋｕｍａｒ，Ｎ．Ｌ．，ａｎｄ Ｍｏｎｔｅｓ，Ａ．Ｕｓｉｎｇ ｌｏｗ—

ｉｎｔｅｒａｃｔｉｏｎ ｈｏｎｅｙｐｏｔｓ ｔｏ ｓｔｕｄｙ ｔｈｅ ａｂｕｓｅ ｏｆ ｏｐｅｎ ｐｒｏｘｉｅｓ ｔｏ ｓｅｎｄ ｓｐａｍ［Ｊ］．

ＩＮＦＯＣＯＭＰ Ｊ０ｕｍａ１ ｏｆ Ｃｏｍｐｕｔｅｒ Ｓｃｉｅｎｃｅ ２００８．

网络中的任意ＩＰ地址，都可以视为攻击。因此这种方法就是

将整个网络的流量都直接路由到Ｈｏｎｅｙｄ主机上：第二种方法

为ＡＲＰ欺骗，这种方法应用在一个网络中同时具有实际存在

的系统和虚拟的系统，其目的在于将所有非存在的系统的流量

【７ Ｒｏｓｈｅｎ Ｃｈａｎｄｒａｎ，Ｓａｎｇｉｔ７Ｊａ Ｐａｋ￣ａ．Ｓｉｍｕｌａｔｉｎｇ Ｎｅｔｗｏｒｋｓ ｗｉｔｈ Ｈｏｎｅｙｄ【

ＥＢ／ＯＬ］．ｈｔｔｐ：／／ｗｗｗ．ｐａｌａｄｉｏｎ ｎｅｔ／ｐａｐｅｒ／ｓｉｍｕｌａｔｉｎｇ＿ｎｅｔｗｏｒｋｓ＿ｗｉｔｈ

Ｈｏｎｅｙｄ．ｐｄｆ，２０１１—１２—１５

［８］Ｌａｎｃｅ Ｓｐｉｔｚｎｅｒ ｈｏｎｅｙｐｏｔｓ：追踪黑客【Ｍ］．北京：清华大学出版社，

２００４

都转发给Ｈｏｎｅｙｄ主机 ］。

上接第２５页

［７］Ｔｙｌｅｒ Ｍｏｏｒｅ，Ｒｉｃｈａｒｄ Ｃｌａｙｔｏｎ．Ｔｈｅ Ｉｍｐａｃｔ ｏｆ Ｉｎｃｅｎｔｉｖｅｓ ｏｎ Ｎｏｔｉｃｅ

ａｎｄ Ｔａｋｅ—ｄｏｗｎ［Ｃ１．Ｉｎ Ｐｒｏｃ ｏｆ ｔｈｅ ７ｔｈ ｗｏｒｋｓｈｏｐ ｏｎ ｔｈｅ Ｅｃｏｎｏｍｉｃｓ ｏｆ

Ｉｎｆｏｒｍａｔｉｏｎ Ｓｅｃｕｒｉｔｙ，Ｎｅｗ Ｈａｍｐｓｈｉｒｅ ＵＳＡ

Ｔｕｎｅ ２５－２８ ２００７：１－２４．

，

Ｌｅａｒｎｉｎｇ ｔｏ Ｄｅｔｅｃｔ Ｍａｌｉｃｉｏｕｓ Ｗｅｂ Ｓｉｔｅｓ ｆｒｏｍ Ｓｕｓｐｉｃｉｏｕｓ ＵＲＬｓ［Ｃ】．Ｉｎ

Ｐｒｏｃ．ｏｆｔｈｅ ＫＤＤ’０９

，

Ｐａｒｉｓ Ｆｒａｎｃｅ，Ｊｕｎｅ ２８－Ｊｕｌｙ １，２００９：１２４５—１２５４．

［１ ５】Ｊｕｓｔｉｎ Ｍａ，Ｌａｗｒｅｎｃｅ Ｋ．Ｓａｕｌ，Ｓｔｅｆａｎ Ｓａｖａｇｅ，ｅｔ ａ１．Ｉｄｅｎｔｉｆｙｉｎｇ

Ｓｕｓｐｉｃｉｏｕｓ ＵＲＬｓ：ａｎ Ａｐｐｌｉｃａｔｉｏｎ ｏｆ Ｌａｒｇｅ—ｓｃａｌｅ Ｏｎｌｉｎｅ Ｌｅａｒｎｉｎｇ［Ｃ】．

ＩｎＰｒｏｃ．ｏｆ ｔｈｅ ２６ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ Ｍａｃｈｉｎｅ Ｌｅａｒｎｉｎｇ，

［８】Ｃｈｒｉｓｔｉａｎ Ｌｕｄｌ，Ｓｅａｎ ＭｃＡＵｉｓｔｅｒ，Ｅｎｇｉｎ Ｋｉｒｄａ，ｅｔ ａ１．．Ｏｎ ｔｈｅ Ｅｆｆｅｃｔｉｖｅｎｅｓｓ

ｏｆＴｅｃｈｎｉｑｕｅｓ ｔｏ Ｄｅｔｅｃｔ Ｐｈｉｓｈｉｎｇ Ｓｉｔｅｓ［Ｃ］Ｉｎ Ｐｒｏｃ．ｏｆｔｈｅ ４ｔｈ Ｉｎｔｅｒｎａｔｉｏｎａｌ

Ｃｏｎｆｅ－ｒｅｎｃｅ ｏｎ Ｄｅｔｅｃｔｉｏｎ ｏｆ Ｉｎｔｒｕｓｉｏｎｓ ａｎｄ Ｍａｌｗａｒｅ

ａｎｄ Ｖｕｌｎｅｒａｂｉｌｉｔｙ

，

Ｍｏｎｔｒｅａｌ Ｃａｎａｄａ，Ｊｕｎｅ，１４—１８，２００９．

Ａｓｓｅｓｓｍｅｎｔ，Ｌｕｃｅｒｎｅ Ｓｗｉｔｚｅｒｌａｎｄ，Ｊｕｌｙ １２－１３ ２００７：２０－３９．

［１６］Ｋｕｒｔ Ｔｈｏｍａｓ，Ｃｈｒｉｓ Ｇｒｉｅｒ，Ｊｕｓｔｉｎ Ｍａ，ｅｔ ａ１．Ｄｅｓｉｇｎ ａｎｄ Ｅｖａｌｕａｔｉｏｎ

ｏｆ ａ Ｒｅａｌ—Ｔｉｍｅ ＵＲＬ Ｓｐａｍ Ｆｉｌｔｅｒｉｎｇ Ｓｅｒｖｉｃｅ［Ｃ］Ｉｎ Ｐｒｏｃ ｏｆ ｔｈｅ ＩＥＥＥ

Ｓｙｍｐｏｓｉｕｍ ｏｎ Ｓｅｃｕｒｉｔｙ ａｎｄ Ｐｒｉｖａｃｙ，Ｃａｌｉｆｏｍｉａ ＵＳＡ，Ｍａｖ，２２—２５，２０１ １．

［９】Ｓｔｅｖｅ Ｓｈｅｎｇ，Ｂｒａｄ Ｗａｒｄｍａｎ，Ｇａｒｙ Ｗａｒｎｅｒ，ｅｔ ａ１．Ａｎ Ｅｍｐｉｒｉｃａｌ

Ａｎａｌｙｓｉｓ ｏｆ Ｐｈｉｓｈｉｎｇ Ｂｌａｃｋｌｉｓｔｓ［Ｃ］．Ｉｎ Ｐｒｏｃ．ｏｆ ｔｈｅ ｓｉｘｔｈ Ｃｏｎｆｅｒｅｎｃｅ ｏｎ

Ｅｍａｉｌ ａｎｄ Ａｎｔｉ—Ｓｐａｒｅ，Ｃａｌｉｆｏｍｉａ ＵＳＡ，ｊｕｌｙ １６－１７ ２００９．

【１７］Ａａｒｏｎ Ｂｌｕｍ，Ｂｒａｄ Ｗａｒｄｍａｎ，Ｔｈａｍａｒ Ｓｏｌｏｒｉｏ，ｅｔ ａ１．Ｌｅｘｉｃａｌ Ｆｅａｔｕｒｅ

ｂａｓｅｄ Ｐｈｉｓｈｉｎｇ ＵＲＬ Ｄｅｔｅｃｔｉｏｎ ｕｓｉｎｇ ｏｎｌｉｎｅ Ｌｅａｒｎｉｎｇ［Ｃ］．Ｉｎ：Ｐｒｏｃ．ｏｆ ｔｈｅ

ＡＩＳｅｃ’１０，Ｃｈｉｃａｇｏ ＵＳＡ，Ｏｃｔ．８ ２０１０：５４－６０．

［１０］Ｐａｗａｎ Ｐｒａｋａｓｈ，Ｍａｎｉｓｈ Ｋｕｍａｒ，Ｒａｍａｎａ Ｒａｏ Ｋｏｍｐｅｌｌａ，ｅｔ ａ１．

ＰｈｉｓｈＮｅｔ：Ｐｒｅｄｉｃｔｉｖｅ Ｂｌａｃｋｌｉｓｉｔｎｇ ｔｏ Ｄｅｔｅｃｔ Ｐｈｉｓｈｉｎｇ Ａｔｔａｃｋｓ［Ｃ］．Ｉｎ Ｐｒｏｃ．

ｏｆｔｈｅ ＩＥＥＥ ＩＮＦＯＣＯＭ，Ｓａｎ Ｄｉｅｇｏ Ｃａｎａｄａ

Ｍａｒｃｈ １４—１９ ２０１０１１—５．

．

［１８］Ｙｕｅ Ｚｈａｎｇ，Ｊａｓｏｎ Ｈｏｎｇ，Ｌｏｒｒｉｅ Ｃｒａｎｏｒ．ＣＡＮＴＩＮＡ：Ａ Ｃｏｎｔｅｎｔ—

Ｂａｓｅｄ Ａｐｐｒｏａｃｈ ｔｏ Ｄｅｔｅｃｔｉｎｇ Ｐｈｉｓｈｉｎｇ Ｗｅｂ Ｓｉｔｅｓ［Ｃ】．Ｉｎ Ｐｒｏｃ．ｏｆ

ＷＷＷ２００７，Ｍｂｅｍａ Ｃａｎａｄａ，Ｍ ８—１２，２００７：６３９—６４８．

［１１］ＹｅＣａｏ，ｗｅｉｌｉＨａｎ，ＹｕｅｒａｎＬｅ．Ａｎｔｉ－ｐｈｉｓｈｉｎｇＢａｓｅｄｏｎＡｕｔｏｍａｔｅｄＩｎｄｉｖｉｄｕａｌ

ｗｈｊｔｅ—Ｌｉｓｔ［Ｃ］．Ｉｎ Ｐｒｏｃ．ｏｆｔｈｅ ＤＩＭ＇０８，Ｖｉ￣ｎｉａ，ｕｓＡ，Ｏｃｔ．３１，２００８：５１—５９

［１ ２］ｓｕｊａｔａ Ｇａｒｅｒａ，Ｎｉｅｌｓ Ｐｒｏｖｏｓ，Ｍｏｎｉｃａ Ｃｈｅｗ，ｅｔ ａ１．．Ａ Ｆｒａｍｅｗｏｒｋ

ｆｏｒ Ｄｅｔｅｃｔｉｏｎ ａｎｄ Ｍｅａｓｕｒｅｍｅｎｔ ｏｆ Ｐｈｉｓｈｉｎｇ Ａｔｔａｃｋｓ［Ｃ］．Ｉｎ Ｐｒｏｃ．ｏｆ ｔｈｅ

ＷＯＲＭ’０７，Ｖｉｒｇｉｎｉａ ＵＳＡ

Ｎｏｖ．２．２００７：１—８．

，

［１９］Ａｎｔｈｏｎｙ Ｙ．Ｆｕ Ｌｉｕ Ｗｅｎｙｉｎ，Ｘｉａｏｔｉｅ Ｄｅｎｇ，ｅｔ ａ１．．Ｄｅｔｅｃｔｉｎｇ Ｐｈｉｓｈｉｎｇ

Ｗｅｂ Ｐａｇｅｓ ｗｉｔｈ Ｖｉｓｕａｌ Ｓｉｍｉｌａｒｉｔｙ Ａｓｓｅｓｓｍｅｎｔ Ｂａｓｅｄ ｏｎ Ｅａｒｔｈ Ｍｏｖｅｒ’ｓ

Ｄｉｓｔａｎｃｅ（ＥＭＤ）Ｕ】．ＩＥＥＥ Ｔｒａｎｓａｃｔｉｏｎ ｏｎ Ｄｅｐｅｎｄａｂｌｅ ａｎｄ Ｓｅｃｕｒｅ

Ｃｏｍｐｕｔｅｒ，２００７，３（０４）：３０１—３１１

［２０】Ｃｈｉｈ—Ｃｈｕｎｇ Ｃｈａｎｇ，Ｃｈｉｈ－Ｊｅｎ Ｌｉｎ．ＬＩＢＳＶＭ：ａ Ｌｉｂｒａｒｙ ｆｏｒ Ｓｕｐｐｏ￣

［１３］Ｃｏｌｉｎ Ｗｈｉｔｔａｋｅｒ，Ｂｒｉａｎ Ｒｙｎｅｒ，Ｍａｒｒｉａ Ｎａｚｉ￣Ｌａｒｇｅ－Ｓｃａｌｅ Ａｕｔｏｍａｔｉｃ

Ｃｌａｓｓｉｉｆｃａｔｉｏｎ ｏｆＰｈｉｓｈｉｎｇ Ｐａｇｅｓ［ｃ］．Ｉｎ Ｐｒｏｃ．ｏｆ １７ｔｈ Ａｎｎｕａｌ Ｎｅｔｗｏｒｋ ａｎｄ

Ｄｉｓｔｉｂｕｔｅｄ ｒＳｙｓｔｅｍ，Ｃａｌｉｆｏｒｎｉａ ＵＳＡ

Ｆｅｂ ２８一Ｍａｒｃｈ ３ ２０１０．

，

Ｖｅｃｔｏｒ Ｍａｃｈｉｎｅｓ［Ｊ】．ＡＣＭ Ｔｒａｎｓａｃｔｉｏｎｓ ｏｎ Ｉｎｔｅｌｌｉｇｅｎｔ Ｓｙｓｔｅｍｓ ａｎｄ

Ｔｅｃｈｎｏｌｏｇｙ，２０１１，３（０２）：１—２７．

【１４］Ｊｕｓｔｉｎ Ｍａ，Ｌａｗｒｅｎｃｅ Ｋ．Ｓａｕｌ，Ｓｔｅｆａｎ Ｓａｖａｇｅ，ｅｔ ａ１．Ｂｅｙｏｎｄ Ｂｌａｃｋｌｉｓｔｓ：

６７ ＩＬ—一