یوآراِل
میزان اعتبار گواهیدهنده
جزئیات موجود در گواهی
یوآراِل غیرعادی درخواست
یوآراِل غیرعادی لنگر
کوکی غیرعادی
SFH غیرعادی
رکورد غیرعادی DNS
استفاده از گواهی SSL
بازهدایت صفحات وب
XSS
پنهان شدن پیوند صفحه با نشانگر موس
یوآراِل غیرعادی
استفاده از پنجرههای بالاپَر
اضافه کردن پیشوند و پسوند
استفاده از نشانهی @
استفاده از نویسههای مشابه در یوآراِل
استفاده از نشانی IP
استفاده از کدهای شانزدهتایی
استفاده از پورت سوییچینگ
میزان خطر دامگستری خروجی سامانهیخبرهی فازی (درصد)
تشخیص
صحت نتیجه
1
49
75/7
95/8
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
86/4
قانونی
درست
2
80
6
5
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
1/22
کمی مشکوک
درست
3
46
5/3
2
0
0
0
0
8/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
4
30
5/2
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
4/91
جعلی
درست
5
119
0
0
0
0
0
0
1
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
6
51
2/8
1/8
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
0
0
38/8
قانونی
درست
7
26
9/8
1/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
51/5
قانونی
درست
8
47
9
5/9
0
5/1
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
78/4
قانونی
درست
9
54
9/8
5/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
6/14
کمی مشکوک
نادرست
(قانونی)
10
60
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
0
0
4/91
جعلی
درست
ادامهی جدول 4-11
11
119
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
12
29
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
13
55
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
14
58
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
1
0
0
4/91
جعلی
درست
15
105
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
0
0
4/91
جعلی
درست
16
63
0
0
0
0
0
0
1/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
17
34
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
18
63
0
0
0
0
0
0
2/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
19
265
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
1
0
4/91
جعلی
درست
20
58
9/7
1/9
0
7/2
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
3/45
مشکوک
نادرست
(قانونی)
21
31
9/8
5/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
78/4
قانونی
درست
22
20
8
5/3
4
2/3
0
1
0
1
0
0
0
0
0
1
0
0
0
0
0
7/43
مشکوک
درست
4-10-1- نمونهی اول: نمونهی آزمایشی
در این قسمت ویژگیهای یک وبگاه فرضی به گونهای در نظر گرفته میشود که دامگسترها در آن تلاش کردهاند تا وبگاه «جعلی» بیشترین شباهت را به وبگاه قانونی داشته باشد. ویژگیهای این وبگاه در ردیف 22 جدول 4-11 آمده است. وبگاه تقلبی دارای یوآراِلی به طول 20 است، این عدد در سامانهی طراحی شدهی این پایاننامه در محدودهی «کم» قرار میگیرد که برای یک وبگاه بانکی مقدار بسیار مطلوبی است، همچنین دارای گواهی SSL است و گواهیدهندهی آن دارای اعتبار «زیاد» است. گرچه در بهترین حالت ممکن دامگسترها نخواهند توانست از یک گواهیدهندهی «خیلی» معتبر برای وبگاه جعلی خود گواهی بگیرند اما فرض بر این است که آنها از یک گواهی منقضی شده استفاده میکنند لذا جزئیات موجود در گواهی «متوسط» است. شاخص «یوآراِل غیرعادی درخواست» در محدودهی «کم» است و «یوآراِل لنگرِ غیرعادی» در کمترین مقدار ممکن خود و در گسترهی «زیاد» است. وبگاه دارای «رکورد عادی دیاِناِس» است و نیز هیچ ویژگی غیرعادی در یوآراِل وجود ندارد. در مجموعه کد269 این وبگاه و برچسب Form، اساِفاِچ غیرعادی است در نتیجه برابر با عدد فازی «یک» است.
خروجی سامانهی فازی همانطور که در بخش 4-3 بیان شد، «میزان دامگستری وبگاه» است که میتواند عددی بین صفر تا صد باشد که هرچه این عدد به صد نزدیکتر باشد از میزان اعتبار وبگاه کاسته شده و اطمینان به جعلی بودن آن بیشتر میشود. نحوهی محاسبهی خروجی به این صورت است که ابتدا برای هر متغیر ورودی مقدار تابع عضویت محاسبه میشود. مثلا برای یوآراِل این وبگاه که مقدار آن در گسترهی واژهی «کم» قرار میگیرد، درجهی تعلّق از رابطهی زیر محاسبه میشود:
μ_Low (x)={█(1 0x≤20@-0.1x+3 20x≤30)┤
μ_(Lenght of URL=Low) (20)=1
و برای «یوآراِل لنگرِ غیرعادی» که در گسترهی واژهی «
ز
یاد» قرار میگیرد، مقدار تابع عضویت از رابطهی زیر محاسبه میشود:
μ_Many (x)={█(0.5x-1 2x≤4@1 4x≤10)┤
μ_(Abnormal URL of anchor=many) (3.2)=0.6
از آنجا که SFH ، غیرعادی است، داریم:
μ_SFH (x)={█(-2x+1 0≤x0.5@2|x-1|+1 0.5≤x1.5@0 e.w)┤
μ_SFH (1)=1
در نتیجه قاعدهی شمارهی 1 و 159 آتش270 میشود. این دو قاعده عبارتند از:
قاعدهی 1: اگر یوآراِل لنگر «زیاد» غیرعادی باشد، آنگاه وبگاه «جعلی» است.
قاعدهی 159: اگر SFH غیرعادی «باشد»، آنگاه وبگاه «کمی مشکوک» است.
و با استفاده از موتور استنتاج کمینهی ممدانی داریم:
μ_B ́ (y)=max{μ_Rule1,μ_(Rule 159) }=max{min{0.6, μ_Phish }, min{1,μ_Lsus }}
در این مرحله مساحت سطح زیر نمودار ماکزیمم (بخش آبی رنگ در شکل 4-8) توسط انتگرال محاسبه شده و سپس درون رابطهی وافازیساز گرانیگاه (رابطهی 4-2) قرار میگیرد تا درصد دامگستری () محاسبه شود.
شکل 4-8 خروجی حاصل از موتور استنتاج کمینهی ممدانی
y^*=(∫_V▒〖y.μ_B ́ (y)dy〗)/(∫_V▒〖μ_B ́ (y)dy〗)=(∫_2^15▒〖1/13 (y-2)y dy〗+∫_15^20▒〖y dy〗+∫_20^45▒〖((-1)/25 y+21)y〗 dy+∫_80^83▒〖(0.2y-16)y dy〗+∫_83^100▒〖0.6y dy〗)/مساحت=43.7
در وضعیتی که در بالا برای وبگاه آزمایشی شرح داده شد، حتی یک فرد خبره هم ممکن است در تشخیص اصالت وبگاه با ظاهری شبیه به وبگاه اصلی به خطا بیفتد اما همینطور که عدد خروجی (7/43) نشان میدهد، سامانهی خبرهی فازی به خوبی «مشکوک» بودن وبگاه را اعلام میکند و براساس تعریف موجود در بخش 4-3 تأیید میکند که وبگاه دارای ویژگیهایی است که قانونی بودن آن را نقض میکنند. یادآوری میشود در این مثال تمامی شاخصها در نزدیکترین حالت به یک وبگاه قانونی در نظر گرفته شدند. شکل 4-9 خروجی این نمونهی آزمایشی را در سامانهی خبرهی فازی شناسایی دامگستری نشان میدهد. همانطور که در این شکل مشاهده میشود، هر ستون مربوط به یک متغیر است. درصد دامگستری وبگاه در بالای ستون آخر که مربوط به متغیر خروجی است، نوشته شده است.
شکل 4-9 قواعد سامانهی خبرهی فازی شناسایی دامگستری پس از اجرای نمونهی آزمایشی
4-10-2- نمونهی دوم: وبگاه بانک ملی ایران271
وبگاه پرداخت اینترنتی بانک ملی ایران در شکل 4-10 نشان داده شده است. ویژگیهای مربوط به این وبگاه استخراج شده و در ردیف 21 جدول 4-11 قابل مشاهده است. همانطور که در جدول 4-11 هم آمده «طول یوآراِل» این صفحهی وب، 31 است که در محدودهی «متوسط» قرار میگیرد. علاوه بر این، در نشانیِ یوآراِل آن هیچ ویژگی و نویسهی غیرعادی وجود ندارد ولی یوآراِل، دارای «پیشوند یا پسوند (زیردامنه)» است. همچنین این وبگاه دارای گواهی کاملاً معتبر است (شکل 4-11) که با کلیک بر روی «More Information» و سپس «View Certificate» (شکل 4-12) میتوان جزئیات گواهی را مشاهده کرد. همانطور که در شکل 4-12 مشاهده میشود، گواهی دارای تاریخ صدور و انقضای معتبر بوده و اطلاعات کافی در آن موجود است در نتیجه «جزئیات موجود درگواهی» در محدودهی واژهی «زیاد» است. از جمله ویژگیهای مهم دیگر این وبگاه، نبود کدهای مخرب و نیز «عادی بودن SFH» است. با مراجعه به یک وبگاه WHOIS میتوان به آسانی از «عادی بودن رکورد دیاِناِس» آن نیز اطمینان حاصل کرد.
همانند بخش 4-10-1، سامانهی فازی ابتدا برای هریک از 20 متغیر ورودی درجهی تعلّق را محاسبه میکند و پس از استفاده از موتور استنتاج کمینهی ممدانی و وافازیساز گرانیگاه میزان دامگستری وبگاه به دست میآید. در نهایت سامانهی فازیِ طراحی شده، درصد دامگستری 78/4 را برای این وبگاه محاسبه میکند. این عدد بیانگر «قانونی» بودن وبگاه است و نتیجهی سامانه صحیح است.
شکل 4-10 وبگاه پرداخت اینترنتی بانک ملی ایران
شکل 4-11 گواهی بانک ملی ایران
شکل 4-12 جزئیات گواهی بانک ملی ایران
4-10-3- نمونه سوم: وبگاه بانک اقتصاد نوین272
مقادیر هریک از 20 متغیر ورودی (ویژگیهای وبگاه بانک اقتصاد نوین) در ردیف 9 جدول 4-11 آمده است. در بخش نشانی یوآراِل وبگاه بانک اقتصاد نوین https: وجود دارد. پس SSL برابر با «یک» است. با کلیک بر روی نشانهی قفل، اطلاعات مربوط به گواهی و گواهیدهنده قابل مشاهده است (شکل 4-14). به همین ترتیب با کلیک بر روی «اطلاعات بیشتر» میتوان جزئیات گواهی را دید لذا همانطور که در ردیف 9 جدول4-11 مشاهده میشود، «اعتبار گواهیدهنده» و «جزئیات موجود در گواهی» در محدودهی واژهی «زیاد» هستند. همچنین وبگاه دارای زیردامنه است در نتیجه شاخص «اضافه کردن پیشوند و پسوند» نیز برابر با «یک» است. نبود سایر شاخصها مانند عدم «غیرعادی بودن دیاِناِس» باعث شده که این شاخصها برابر با «صفر» باشند.
در نهایت درصد دامگستری برابر با 6/14 شده است. در این نمونه، سامانه باید درصد دامگستری پایینتری را به عنوان خروجی میداد و وبگاه به عنوان «قانونی» شناسایی میشد اما به دلیل اینکه تعداد نویسههای یوآراِل، 54 است و در محدودهی «متوسط» و «زیاد» قرار میگیرد، دو قاعدهی شمارهی 58 و 69 در پایگاه قواعد آتش273 میشود و نتیجه «کمی مشکوک» تشخیص داده شده است. لازم به ذکر است همانطور که پیش از این شرح داده شد، اینکه چه عددی نشاندهندهی یوآراِل طولانی است بر اساس نظر خبرگان در سامانه لحاظ شده است.
شکل 4-13 اینترنت بانک اقتصاد نوین
شکل 4-14 اطلاعات مربوط به گواهی
شکل 4-15 پایگاه قواعد سامانهی خبرهی فازیِ شناسایی دامگستری
شایان ذکر است نتایج ار
زیابی (ضمیمه ج) سامانه روی 50 نمونه وبگاه مورد آزمایش، نشان میدهد که سامانه دارای دقت تشخیص 88% است و در حدود 12% خطا دارد. هرچند در ادامه با شرح نمونهی بانک اقتصاد نوین اشاره خواهد شد که خطای موجود، مربوط به برداشت خبرگان بوده و ناشی از پیادهسازی نظریات آنها است. لازم به ذکر است، محدودیت دسترسی به خبرگان، محدودیت دسترسی به نمونههای واقعی وبگاههای بانکداری برای ارزیابی سامانه با اطمینان بالاتر، تخمینهای بکار رفته در طراحی و فقدان استانداردی مشخص و دقیق در ایران برای طراحی وبگاههای بانکی که از حساسیت امنیتی بالایی برخوردارند، از دلایل ایجاد این میزان از خطا است.
هربار اجرای این سامانه و محاسبهی درصد دامگستری وبگاه در محیط نرم افزار متلب (ویرایش 0/8/7) روی رایانهای با پردازندهی 2.3 GHz Intel Core i5 و حافظهی 4 گیگابایتی274، 16 ثانیه طول میکشد. زمان محاسبهی خروجی، متناسب با تعداد متغیرها و تعداد قواعد فازی است زیرا سامانهی فازی در هر مرتبه اجرا، مقدار تمام متغیرها را به ازای هریک از قواعد محاسبه میکند. لذا کُندی تشخیص در سامانهی خبرهی فازی به دلیل تعداد زیاد متغیرهای ورودی و در نتیجه حجم زیاد قواعد در پایگاه قواعد فازی است.
4-11- بهبود سامانهی خبرهی فازی به کمک نظریهی مجموعههای ژولیده
در بخش 4-10 سامانهی خبرهی فازیِ شناسایی دامگستری ارزیابی شد و همانطور که نتایج ارزیابی