在线社交网络上恶意网址的实时预警

With the rapid growth of users and information on the online social networks (OSN), it has become the new target of attackers. Malicious URLs in OSN's posts can be used to launch various attacks such as spamming, phishing, propagating malwares, etc . These attacks are faster, broader and cause more serious damages. However, because of OSN's special features and more complex means that attackers have exploited, such as the shorten URLs, there are many challenges in current malicious URL detection approaches, such as higher overheads, lower detection accuracy and realtime perfomance, not easy to detect the changes of attack methods. Especially, these approaches aim at foreign OSNs thus we are not able to utilize these approaches in Chinese OSNs. This project proposes prewarning malicious URLs in realtime on an OSN. It will take full advantages of Chinese OSN's features to improve the accuracy of prewarning malicious URLs. It uses improved machine learning algorithms and a sever-client system to improve the prewarning speed. It uses dynamic detection approaches in adaptive update of malicious URLs database, training samples and classification models. It can prewarn before a user clicking the URL and reduces the false positive rate and false negative rate as much as possible. The final goal is to propose and develop an application for prewarning malicious URLs in realtime on an OSN suitable for our country to protect users' security and block malicious URLs' propagation.

在线社交网络(OSN)迅速增长的用户群和信息量，成为攻击者的新目标。OSN帖子中的恶意网址(URL)可用于发起多种攻击，如垃圾邮件、钓鱼、传播恶意软件等，且速度更快、范围更广，造成的危害更为严重。然而，由于攻击者利用OSN的特性和使用短网址等更复杂的攻击手段，现有恶意URL检测方法的准确率尚待提高，实时性不够好，对攻击技术变化的适应性也不够强，并且适用的OSN都是国外的，国内用户无法利用。本项目提出OSN中恶意URL实时预警技术的研究课题，充分利用OSN的特点改进恶意URL预报的准确率，使用改进的机器学习方法和客户-服务员系统提高预报速度，采用动态检测技术，对恶意URL库、训练样本和分类模型进行自适应变化，及时更新。要在用户点击恶意URL之前得到预警，最大限度减少漏报率和误报率。最终目标是提出一个适用于我国OSN上恶意URL实时预警应用软件，及时保护用户安全和遏制恶意URL的传播。

恶意URL是攻击者在OSN中发攻击的主要载体，针对OSN中的恶意网址进行实时预警尤为具体和实际，由于恶意URL在OSN中传播速度更快，范围更广，变化更多等特点，对其检测的准确率，有效性和实时性还有亟提高。本项目提出了基于局部社交网络的恶意URL检测技术研究，紧密结合未知恶意URL检测的目标本质，深入挖掘了检测过程的特征。主要工作包括：1. 分析新型社交僵尸的特点和设计相应的检测方法。收集了大部分样本和它们的运行记录，分析社交僵尸主机上的活动，提出了基于行为树的检测方法，它利用树结构表示主机行为。使用特征向量和编辑距离两种方法，其中，特征向量方法有70%的检测精度，行为树方法有90%的检测精度，并且都能检测到新型社交僵尸。2.对在线社交网络中的URL集合进行了对比性的分析，设计了基于转发关系的特征，同时选择了一些基于社交图关系的特征，将它们构成训练特征集合，生成分类模型。提出了基于转发树的方法，将用户与发送的消息关联起来。提取了基于转发消息树的六个有效特征。通过结合现有的基于消息和账户的特征，在新浪微博数据集的帮助下，验证这些特征的有效性，通过实验，该方法检测准确率高达95.3%。3. 引入了时间因素，提出了一种度量方法来描述用户的日常活动的变化程度，并在此基础上提出了新的特征用于检测。结合了监督学习和非监督学习的检测框架在社交网络中检测恶意用户。4. 提出了几种在移动终端上完成绝大部分计算的检测方法，利用了用户和其在社交网络中的邻居之间的交互，这样使得在移动终端上对社交图进行存储和计算相对容易。通过计算用户的可疑程度并设置一个阈值来判断一个用户是否为恶意用户，这些方法有80%的检测精度。已发表论文14篇，获奖1项。本项目所取得的成果可用于发现已知和未知恶意URL和传播恶意URL的用户，及时保护用户安全和遏制恶意URL的传播。