2021-07-23 Week1 基于截图的钓鱼网站检测中小微企业安全现状调查

Posted 2021-08-23 元无心

Phishpedia: A Hybrid Deep Learning Based Approach to Visually Identify Phishing Webpages

使用机器学习方法，利用屏幕截图，检测钓鱼网站。

过去的方法，要么是准确率低，要么是缺乏解释性。该方法在准确率的同时提供了解释性，并且不需要大量的钓鱼网站作为训练集。

检测分为两步：识别UI组件 + 识别商标brand。识别UI组件第一个是基于html，第二个是基于和目标网站的对比，但识别商标是个很麻烦的事，作者认为只需要关注top 100的网站的商标即可，经验研究表明大部分攻击者会选择知名网站来进行高仿。

此外，提供了一个公开的钓鱼网站数据集。

个人认为，因为前人更多关注的是整个截图的相似性，只考虑了图片本身，忽略了其他信息。本文引入了对UI组件本身的check，并且单独分离出了商标作为特征，因而取得了改进效果。但存疑的两个地方是，第一个是只选择商标的一个很小的子集，是否真能起到很好的效果；第二个是仍然需要不小的训练集， 只不过训练集从钓鱼网站本身变成了商标啥的，相当于玩了一个文字游戏，让人以为是无监督（或者半监督）方法。

A Large-Scale Interview Study on Information Security in and Attacks against Small and Medium-sized Enterprises

很少见的经验研究，以调查形式开展。主要是回答了几个关于中小微企业安全现状的问题，得到了一些结论。

1. 公司员工往往感觉不到自己被攻击。换言之，风险意识较低。
2. 公司的安全措施往往就是防火墙、杀毒软件等等外部防护，内部的安全措施较少。
3. 公司一般会受到那种大范围（不是针对特定目标特化的）的攻击，如DDoS。
4. 不同行业受到的攻击不同，如能源行业易受CEO欺诈，通信行业易受DDoS。
   
   其中关于经验研究的方法很有意思，定量和定性分析都有用到。是一个很正规的调查。

Understanding Malicious Cross-library Data Harvesting on Android

PolyScope: Multi-Policy Access Control Analysis to Compute Authorized Attack Operations in Android Systems

缺乏足够的领域知识，暂时搁置这两篇移动安全相关的文章。