وبلاگ

یوآراِل
میزان اعتبار گواهیدهنده
جزئیات موجود در گواهی
یوآراِل غیرعادی درخواست
یوآراِل غیرعادی لنگر
کوکی غیرعادی
SFH غیرعادی
رکورد غیرعادی DNS
استفاده از گواهی SSL
بازهدایت صفحات وب
XSS
پنهان شدن پیوند صفحه با نشانگر موس
یوآراِل غیرعادی
استفاده از پنجرههای بالاپَر
اضافه کردن پیشوند و پسوند
استفاده از نشانهی @
استفاده از نویسههای مشابه در یوآراِل
استفاده از نشانی IP
استفاده از کدهای شانزدهتایی
استفاده از پورت سوییچینگ
میزان خطر دام‌گستری خروجی سامانه‌یخبره‌ی فازی (درصد)
تشخیص
صحت نتیجه
1
49
75/7
95/8
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
86/4
قانونی
درست
2
80
6
5
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
1/22
کمی مشکوک
درست
3
46
5/3
2
0
0
0
0
8/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
4
30
5/2
2
0
0
0
0
0
0
0
0
0
0
0
0
0
0
1
0
0
4/91
جعلی
درست
5
119
0
0
0
0
0
0
1
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
6
51
2/8
1/8
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
0
0
38/8
قانونی
درست
7
26
9/8
1/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
51/5
قانونی
درست
8
47
9
5/9
0
5/1
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
78/4
قانونی
درست
9
54
9/8
5/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
6/14
کمی مشکوک
نادرست
(قانونی)
10
60
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
0
0
4/91
جعلی
درست
ادامه‌ی جدول 4-11
11
119
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
12
29
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
13
55
0
0
0
0
0
0
0
0
0
0
0
1
0
1
0
0
0
0
0
4/91
جعلی
درست
14
58
0
0
0
0
0
0
1
0
0
0
0
0
0
0
0
0
1
0
0
4/91
جعلی
درست
15
105
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
0
0
4/91
جعلی
درست
16
63
0
0
0
0
0
0
1/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
17
34
0
0
0
0

0
0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
18
63
0
0
0
0
0
0
2/0
0
0
0
0
0
0
0
0
0
0
0
0
4/91
جعلی
درست
19
265
0
0
0
0
0
0
1
0
0
0
0
1
0
0
0
0
1
1
0
4/91
جعلی
درست
20
58
9/7
1/9
0
7/2
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
3/45
مشکوک
نادرست
(قانونی)
21
31
9/8
5/9
0
0
0
0
0
1
0
0
0
0
0
1
0
0
0
0
0
78/4
قانونی
درست
22
20
8
5/3
4
2/3
0
1
0
1
0
0
0
0
0
1
0
0
0
0
0
7/43
مشکوک
درست

4-10-1- نمونهی اول: نمونهی آزمایشی

در این قسمت ویژگیهای یک وبگاه فرضی به گونهای در نظر گرفته می‌شود که دامگسترها در آن تلاش کردهاند تا وبگاه «جعلی» بیشترین شباهت را به وبگاه قانونی داشته باشد. ویژگی‌های این وبگاه در ردیف 22 جدول 4-11 آمده است. وبگاه تقلبی دارای یوآراِلی به طول 20 است، این عدد در سامانهی طراحی شدهی این پایان‌نامه در محدودهی «کم» قرار میگیرد که برای یک وبگاه بانکی مقدار بسیار مطلوبی است، همچنین دارای گواهی SSL است و گواهیدهندهی آن دارای اعتبار «زیاد» است. گرچه در بهترین حالت ممکن دامگسترها نخواهند توانست از یک گواهیدهندهی «خیلی» معتبر برای وبگاه جعلی خود گواهی بگیرند اما فرض بر این است که آنها از یک گواهی منقضی شده استفاده میکنند لذا جزئیات موجود در گواهی «متوسط» است. شاخص «یوآراِل غیرعادی درخواست» در محدودهی «کم» است و «یوآراِل لنگرِ غیرعادی» در کمترین مقدار ممکن خود و در گسترهی «زیاد» است. وبگاه دارای «رکورد عادی دیاِناِس» است و نیز هیچ ویژگی غیرعادی در یوآراِل وجود ندارد. در مجموعه ‌کد269 این وبگاه و برچسب Form، اس‌اِف‌اِچ غیرعادی است در نتیجه برابر با عدد فازی «یک» است.
خروجی سامانه‌ی فازی همان‌طور که در بخش 4-3 بیان شد، «میزان دام‌گستری وبگاه» است که می‌تواند عددی بین صفر تا صد باشد که هرچه این عدد به صد نزدیک‌تر باشد از میزان اعتبار وبگاه کاسته شده و اطمینان به جعلی بودن آن بیشتر می‌شود. نحوه‌ی محاسبه‌ی خروجی به این صورت است که ابتدا برای هر متغیر ورودی مقدار تابع عضویت محاسبه می‌‌شود. مثلا برای یوآراِل این وبگاه که مقدار آن در گستره‌ی واژه‌ی «کم» قرار می‌گیرد، درجه‌ی تعلّق از رابطه‌ی زیر محاسبه می‌شود:

μ_Low (x)={█(1 0x≤[email protected]+3 20x≤30)┤

μ_(Lenght of URL=Low) (20)=1
و برای «یوآراِل لنگرِ غیرعادی» که در گستره‌ی واژه‌ی «
ز
یاد» قرار می‌گیرد، مقدار تابع عضویت از رابطه‌ی زیر محاسبه می‌شود:

μ_Many (x)={█(0.5x-1 2x≤[email protected] 4x≤10)┤

μ_(Abnormal URL of anchor=many) (3.2)=0.6
از آنجا که SFH ، غیرعادی است، داریم:

μ_SFH (x)={█(-2x+1 0≤[email protected]|x-1|+1 0.5≤[email protected] e.w)┤

μ_SFH (1)=1

در نتیجه قاعده‌ی شماره‌ی 1 و 159 آتش270 می‌شود. این دو قاعده عبارتند از:
قاعده‌ی 1: اگر یوآراِل لنگر «زیاد» غیرعادی باشد، آنگاه وبگاه «جعلی» است.
قاعده‌ی 159: اگر SFH غیرعادی «باشد»، آنگاه وبگاه «کمی مشکوک» است.
و با استفاده از موتور استنتاج کمینه‌ی ممدانی داریم:

μ_B ́ (y)=max{μ_Rule1,μ_(Rule 159) }=max⁡{min{0.6, μ_Phish }, min{1,μ_Lsus }}
در این مرحله مساحت سطح زیر نمودار ماکزیمم (بخش آبی رنگ در شکل 4-8) توسط انتگرال محاسبه شده و سپس درون رابطه‌ی وافازی‌ساز گرانیگاه (رابطه‌ی 4-2) قرار می‌گیرد تا درصد دام‌گستری () محاسبه شود.

شکل 4-8 خروجی حاصل از موتور استنتاج کمینه‌ی ممدانی
y^*=(∫_V▒〖y.μ_B ́ (y)dy〗)/(∫_V▒〖μ_B ́ (y)dy〗)=(∫_2^15▒〖1/13 (y-2)y dy〗+∫_15^20▒〖y dy〗+∫_20^45▒〖((-1)/25 y+21)y〗 dy+∫_80^83▒〖(0.2y-16)y dy〗+∫_83^100▒〖0.6y dy〗)/مساحت=43.7
در وضعیتی که در بالا برای وبگاه آزمایشی شرح داده شد، حتی یک فرد خبره هم ممکن است در تشخیص اصالت وبگاه با ظاهری شبیه به وبگاه اصلی به خطا بیفتد اما همینطور که عدد خروجی (7/43) نشان میدهد، سامانه‌ی خبرهی فازی به خوبی «مشکوک» بودن وبگاه را اعلام میکند و براساس تعریف موجود در بخش 4-3 تأیید می‌کند که وبگاه دارای ویژگی‌هایی است که قانونی بودن آن را نقض می‌کنند. یادآوری می‌شود در این مثال تمامی شاخص‌ها در نزدیک‌ترین حالت به یک وبگاه قانونی در نظر گرفته شدند. شکل 4-9 خروجی این نمونهی آزمایشی را در سامانهی خبرهی فازی شناسایی دام‌گستری نشان میدهد. همان‌طور که در این شکل مشاهده می‌شود، هر ستون مربوط به یک متغیر است. درصد دام‌گستری وبگاه در بالای ستون آخر که مربوط به متغیر خروجی است، نوشته شده است.

شکل 4-9 قواعد سامانهی خبرهی فازی شناسایی دام‌گستری پس از اجرای نمونه‌ی آزمایشی

4-10-2- نمونهی دوم: وبگاه بانک ملی ایران271

وبگاه پرداخت اینترنتی بانک ملی ایران در شکل 4-10 نشان داده شده است. ویژگیهای مربوط به این وبگاه استخراج شده و در ردیف 21 جدول 4-11 قابل مشاهده است. همانطور که در جدول 4-11 هم آمده «طول یوآراِل» این صفحهی وب، 31 است که در محدوده‌ی «متوسط» قرار می‌گیرد. علاوه بر این، در نشانیِ یوآراِل آن هیچ ویژگی و نویسهی غیرعادی وجود ندارد ولی یوآراِل، دارای «پیشوند یا پسوند (زیردامنه)» است. همچنین این وبگاه دارای گواهی کاملاً معتبر است (شکل 4-11) که با کلیک بر روی «More Information» و سپس «View Certificate» (شکل 4-12) می‌توان جزئیات گواهی را مشاهده کرد. همان‌طور که در شکل 4-12 مشاهده میشود، گواهی دارای تاریخ صدور و انقضای معتبر بوده و اطلاعات کافی در آن موجود است در نتیجه «جزئیات موجود درگواهی» در محدوده‌ی واژه‌ی «زیاد» است. از جمله ویژگی‌های مهم دیگر این وبگاه، نبود کدهای مخرب و نیز «عادی بودن SFH» است. با مراجعه به یک وبگاه WHOIS میتوان به آسانی از «عادی بودن رکورد دیاِناِس» آن نیز اطمینان حاصل کرد.
همانند بخش 4-10-1، سامانه‌ی فازی ابتدا برای هریک از 20 متغیر ورودی درجه‌ی تعلّق را محاسبه می‌کند و پس از استفاده از موتور استنتاج کمینه‌ی ممدانی و وافازی‌ساز گرانیگاه میزان دام‌گستری وبگاه به دست می‌آید. در نهایت سامانهی فازیِ طراحی شده، درصد دام‌گستری 78/4 را برای این وبگاه محاسبه می‌کند. این عدد بیانگر «قانونی» بودن وبگاه است و نتیجهی سامانه صحیح است.

شکل 4-10 وبگاه پرداخت اینترنتی بانک ملی ایران

شکل 4-11 گواهی بانک ملی ایران

شکل 4-12 جزئیات گواهی بانک ملی ایران
4-10-3- نمونه سوم: وبگاه بانک اقتصاد نوین272

مقادیر هریک از 20 متغیر ورودی (ویژگی‌های وبگاه بانک اقتصاد نوین) در ردیف 9 جدول 4-11 آمده است. در بخش نشانی یوآراِل وبگاه بانک اقتصاد نوین https: وجود دارد. پس SSL برابر با «یک» است. با کلیک بر روی نشانهی قفل، اطلاعات مربوط به گواهی و گواهی‌دهنده قابل مشاهده است (شکل 4-14). به همین ترتیب با کلیک بر روی «اطلاعات بیشتر» میتوان جزئیات گواهی را دید لذا همانطور که در ردیف 9 جدول4-11 مشاهده می‌شود، «اعتبار گواهی‌دهنده» و «جزئیات موجود در گواهی» در محدوده‌ی واژه‌ی «زیاد» هستند. همچنین وبگاه دارای زیردامنه است در نتیجه شاخص «اضافه کردن پیشوند و پسوند» نیز برابر با «یک» است. نبود سایر شاخصها مانند عدم «غیرعادی بودن دیاِناِس» باعث شده که این شاخصها برابر با «صفر» باشند.
در نهایت درصد دام‌گستری برابر با 6/14 شده است. در این نمونه، سامانه باید درصد دام‌گستری پایینتری را به عنوان خروجی میداد و وبگاه به عنوان «قانونی» شناسایی میشد اما به دلیل اینکه تعداد نویسههای یوآراِل، 54 است و در محدودهی «متوسط» و «زیاد» قرار میگیرد، دو قاعدهی شمارهی 58 و 69 در پایگاه قواعد آتش273 میشود و نتیجه «کمی مشکوک» تشخیص داده شده است. لازم به ذکر است همانطور که پیش از این شرح داده شد، اینکه چه عددی نشاندهندهی یوآراِل طولانی است بر اساس نظر خبرگان در سامانه لحاظ شده است.

شکل 4-13 اینترنت بانک اقتصاد نوین

شکل 4-14 اطلاعات مربوط به گواهی

شکل 4-15 پایگاه قواعد سامانهی خبرهی فازیِ شناسایی دام‌گستری
شایان ذکر است نتایج ار
زیابی (ضمیمه ج) سامانه روی 50 نمونه وبگاه مورد آزمایش، نشان میدهد که سامانه دارای دقت تشخیص 88% است و در حدود 12% خطا دارد. هرچند در ادامه با شرح نمونهی بانک اقتصاد نوین اشاره خواهد شد که خطای موجود، مربوط به برداشت خبرگان بوده و ناشی از پیادهسازی نظریات آنها است. لازم به ذکر است، محدودیت دسترسی به خبرگان، محدودیت دسترسی به نمونههای واقعی وبگاههای بانکداری برای ارزیابی سامانه با اطمینان بالاتر، تخمینهای بکار رفته در طراحی و فقدان استانداردی مشخص و دقیق در ایران برای طراحی وبگاههای بانکی که از حساسیت امنیتی بالایی برخوردارند، از دلایل ایجاد این میزان از خطا است.
هربار اجرای این سامانه و محاسبه‌ی درصد دام‌گستری وبگاه در محیط نرم افزار متلب (ویرایش 0/8/7) روی رایانه‌ای با پردازنده‌ی 2.3 GHz Intel Core i5 و حافظه‌ی 4 گیگابایتی274، 16 ثانیه طول می‌کشد. زمان محاسبه‌ی خروجی، متناسب با تعداد متغیرها و تعداد قواعد فازی است زیرا سامانه‌ی فازی در هر مرتبه اجرا، مقدار تمام متغیرها را به ازای هریک از قواعد محاسبه می‌کند. لذا کُندی تشخیص در سامانه‌ی خبره‌ی فازی به دلیل تعداد زیاد متغیرهای ورودی و در نتیجه حجم زیاد قواعد در پایگاه قواعد فازی است.
4-11- بهبود سامانه‌ی خبرهی فازی به کمک نظریهی مجموعههای ژولیده

در بخش 4-10 سامانهی خبرهی فازیِ شناسایی دام‌گستری ارزیابی شد و همانطور که نتایج ارزیابی