期刊鉴别 论文检测 免费论文 特惠期刊 学术答疑 发表流程

网络攻击与防御技术的研究与实践  (2)

时间:2016-02-02 13:57 文章来源:http://www.lunwenbuluo.com 作者: 魏为民,袁仲雄 点击次数:

  2.案例分析

  2.1口令破解与防御技术:CSDN和RenRen网站口令分析

  2011年底,CSDN、天涯等网站发生用户信息泄露事件引起社会广泛关注[3],被公开的疑似泄露数据库26个,涉及账号密码信息2.78亿条,严重威胁互联网用户的合法权益和互联网安全,引发众多网民对自己账号、口令等互联网信息被盗取的普遍担忧。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储,相关漏洞修补不及时,安全防护水平较低。在口令破解与防御技术专题,第三组学生结合上述"CSDN泄密门"事件,下载CSDN和RenRen的网上泄漏数据,利用MySQL数据库系统,对这两个网站泄漏的用户口令进行分析。

  CSDN的样本,总共是3列数据,分别是用户名、口令和邮箱,通过"#〃分割,格式较为严谨,所有数据均可用,记录数为6428632条。

  RenRen的样本,_般是2列数据,分别是用户名(同时也是邮箱)和口令,使用TAB分割。此样本的格式不太严谨,删除只有1列或者超过2列的无效记录共53412条,进一步剔除如邮箱长度超过50个字符或者口令长度超过20个字符的显然不合理数据后,记录数为4711943条。注意到其中有些用户名是重复的,重复次数最多的用户名是〃yourname@hotmail.com",共1388条,其次是〃yourname@domain.com",共818条,共计有549847条记录用户名重复,考虑到重复数量如此之多,网站可能通过其它我们未知的字段区分记录,故这部分数据没有剔除。

  学生们对这两个网站的口令主要分析了口令长度分布、密码类型分布,以及使用手机号码、生日英文单词、Email地址等作为密码等情况统计,其中口令长度分布情况如图1所示。另外他们还对复杂密码,即字母+数字+特殊字符的密码进行了统计分析。

  囹1CSDN和RenRen网?漏口令长度分布百分比

  通过分析发现,CSDN用户一般采用的是10位左右的数字密码或数字+字母的组合密码,其平均口令长度要高于RenRei^CSDN仍有超过23万人选择"123456789"这样的弱密码,作为主要是程序员一类的技术型用户,设置如此简单的密码,简直是不可思议的事情。由此可见普通网友设置密码仍然比较薄弱,因此加强密码设置强度已经刻不容缓。为此,第三组学生为网友提出了设置密码的基本要求:1)使用大小写字母、标点和数字组合;2密码字符数尽量多一些,12位左右较为合适;3)不要以任何形式使用你的用户名或是注册名;4)不要使用任何语言的单词作为密码;5)不要使用"password"作为密码;6)不使用关于自身的信息,如姓名、出生日期、绰号或者昵称、身份证号码、电话号码、手机号码、所居住的街道等,甚至家庭成员或宠物的名字;7)有规律地更换密码。

  值得一提地是,在研究CSDN和RenRen样本中,他们发现大量用户名、邮箱或者密码完全相同或者极其相似的"水军"记录。第三组同学下一步准备对这部分数据深入挖掘,研究网络"水军"的行为特征[4]。

  2.2假冒网站分析

  欺骗攻击的实质是冒充身份认证以骗取信任的攻击方式,攻击者针对认证机制的缺陷,将自己伪装成可信任方,从而与受害者进行交流,最终获取信息或是展开进一步攻击。其中假冒网站是指攻击者利用欺骗性的电子邮件和伪造的网站(钓鱼网站)来进行网络诈骗的一种欺骗手段[5]。典型的网络钓鱼攻击是设计一个与正规网站极其相似的钓鱼网站,然后通过电子邮件等方式引诱用户进入该假冒网站,再通过用户输入账号和密码来窃取其重要信息。普通用户一般不会觉察到这个过程,而在蒙受损失后才会后知后觉。

  目前互联网上的钓鱼网站传播途径主要有[6]:1)通过QQ、MSN、阿里旺旺等客户端聊天工具发送传播钓鱼网站链接;2)在搜索引擎、中小网站投放广告,吸引用户点击钓鱼网站链接;3)通过Email、论坛、博客、SNS网站批量发布钓鱼网站链接;4)通过微博、Twitter中的短连接散布钓鱼网站链接;5)通过仿冒邮件,如冒充"银行密码重置邮件",欺骗用户进入钓鱼网站;6)感染病毒后弹出模仿QQ、阿里旺旺等聊天工具窗口,用户点击后进入钓鱼网站;7)恶意导航网站、恶意下载网站弹出仿真悬浮窗口,点击后进入钓鱼网站;8)伪装成用户输入网址时易发生的错误,如gogle.com、sinz.com等,-旦用户写错,就误入钓鱼网站。


  •   论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
  •   论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
  •  
  •   论文投稿客服QQ: 论文投稿2863358778 论文投稿2316118108
  •  
  •   论文投稿电话:15380085870
  •  
  •   论文投稿邮箱:lunwenbuluo@126.com

联系方式

  • 论文投稿客服QQ: 论文投稿2863358778
  • 论文投稿客服QQ: 论文投稿2316118108
  • 论文投稿电话:15380085870
  • 论文投稿邮箱:lunwenbuluo@126.com

热门排行

 
QQ在线咨询
咨询热线:
15380085870
微信号咨询:
lunwenbuluoli