一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法与流程

1.本发明是一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法，属于社会工程学领域。


背景技术：

2.网络钓鱼是一种网络欺诈攻击，攻击者通过使用伪装的电子邮件或者与正规网站极其相似的钓鱼网站来使用户放松警惕，意图影响用户单击链接或打开电子邮件中的附件，进一步引诱用户在伪造的网站上输入用户名和密码等个人信息，是一种攻击者利用社会工程学技术来非法取得受害者关键信息的攻击方式。
3.近年来，随着通讯产业与互联网相关技术的快速发展，人们使用网络的频率越来越高，线上活动也越来越多。人们在享受着网络带来便利性的同时，网络钓鱼等攻击手段也在威胁着人们的正常生活。与用户财产相关的领域更是受到网络钓鱼攻击的重灾区，严重影响了人们的网上的交易活动安全。截至2019年11月份，中国反钓鱼网站联盟累计认定并处理钓鱼网站436766个，较2016年增长了196.69％。网络钓鱼攻击频率的不断增长使得互联网用户的个人财产安全受到了巨大的威胁。
4.研究表明，互联网用户在区分合法网站和钓鱼网站时表现较差；用户在40％到80％的时间内无法正确识别钓鱼网站，并且70％的用户愿意与钓鱼网站进行交易。
5.目前，对网络钓鱼进行防御主要是反钓鱼工具，包括网络浏览器安全工具栏以及插件。然而，即使使用了这些工具，网络钓鱼攻击成功率仍然很高。问题在于用户经常会忽视掉工具的警告，造成这个问题的原因在于反钓鱼工具仅仅预测某个邮件或者网站是否是钓鱼攻击，但没有从用户的角度出发，预测用户对网络钓鱼的敏感程度。为了解决这个问题，降低网络钓鱼的攻击成功率，对网络钓鱼易感性的预测变得尤为重要。


技术实现要素：

6.针对上述问题，本发明提供了一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法，通过将社工要素与用户的眼动信息数据结合，将获得的所有信息特征化并作为输入，结合支持向量机等方法对网络钓鱼两个关键阶段(信任程度以及交易意图)的用户行为进行预测。再将每个阶段预测的用户行为作为输入，利用k
‑
means算法进行聚类；通过聚类结果确定分类阈值预测用户对网络钓鱼的易感性；最后根据易感性的强弱，做出相应的具有针对性的防御方法，增强用户的使用体验并给用户提供全方位的防护。
7.所述的基于眼动追踪和社工要素的网络钓鱼易感性预测方法，具体步骤如下：
8.步骤一、收集各用户社工要素的主体属性，同时利用眼动仪记录各用户浏览钓鱼网站或邮件的眼动数据；
9.主体属性包括用户基本特征信息、用户人格和用户的经验；
10.用户的经验是指用户掌握的网络安全知识的量化值。
11.眼动数据包括：用户浏览钓鱼网站或邮件主体内容的停留时间、注视次数以及回
归次数。
12.步骤二、将用户的主体属性和眼动数据进行清洗，去噪以及归一化处理。
13.步骤三、同时，各用户根据自身对网络钓鱼的信任程度和交易意图进行打分，并删除虚假数据；
14.分数为0到1之间的值，分数越高，信任程度越高，交易意图越强烈。
15.步骤四、利用各用户的主体属性和眼动数据，以及统计的信任程度分数以及交易意图分数对支持向量机回归模型(svr)进行训练；
16.具体为：
17.将每个用户的主体属性和眼动数据输入svr模型中，输出各用户的信任程度分数以及交易意图分数；通过输出的两个分数与实际统计的两个分数分别作对比，不断调整svr模型的参数，直至svr模型输出的分数与实际统计的分数满足误差要求；
18.步骤五、根据各用户的信任程度分数和交易意图分数，利用k
‑
means聚类算法对用户进行聚类，将聚类结果划分成不同的易感性等级，并确定划分阈值；
19.首先，k
‑
means聚类算法将所有用户聚成三类，分别对应三个易感性等级，即低易感等级，中易感等级和高易感等级。
20.然后，根据划分的三个易感性等级，设定等级之间的阈值；
21.当y∈[0,β]时为低易感等级，当y∈[β,γ]时为中易感等级，当y∈[γ,1]时为高易感等级。
[0022]
β和γ由k
‑
means聚类结果确定。
[0023]
步骤六、当新用户实际浏览钓鱼网站或邮件时，收集新用户的主体属性和眼动数据，并输入将训练好的svr模型中，输出新用户的信任程度分数和交易意图分数，从而计算出易感性值，划分到对应的等级中进行预测。
[0024]
易感性值计算公式如下：
[0025]
y＝αx1 (1
‑
α)x2[0026]
其中x1为新用户的信任程度分数，x2为新用户的交易意图分数，y为网络钓鱼易感性分数；α为k
‑
means聚类结果确定的参数。
[0027]
本发明的优点在于：
[0028]
一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法，将其应用到网络钓鱼防御中，当产生网络钓鱼攻击时，利用训练好的svr模型预测用户对此网络钓鱼的易感性，再根据易感性的强弱，做出相应的具有针对性的防御方法，增强用户的使用体验并给用户提供全方位的防护。
附图说明
[0029]
图1为本发明一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法的原理图；
[0030]
图2为本发明一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法的流程图。
具体实施方式
[0031]
下面将结合附图和实施例对本发明作进一步的详细说明。
[0032]
本发明提出了一种基于眼动追踪和社工要素的网络钓鱼易感性预测方法，目的在于提高网络钓鱼防御成功率；如图1所示，此方法利用眼动仪收集用户在受到网络钓鱼攻击时的眼动数据信息，结合网络钓鱼攻击涉及相关的社工要素，对网络钓鱼易感性预测模型进行训练，来预测用户两个关键阶段的分数：即信任程度分数以及交易意图分数，并通过聚类设定易感性等级的分类阈值，通过对新用户的社工要素和眼动数据，进行模型预测，得到的两个关键分数划分到用户对网络钓鱼的易感性等级中。本方法可以应用于网络钓鱼的防御中，通过预测用户对网络钓鱼的易感性，得出在该类型网络钓鱼攻击下用户的行为，并针对这些预测行为做出更加有效的防御手段，从而克服传统防御方法适应性差的问题，给用户提供全方位的安全防护。
[0033]
所述的基于眼动追踪和社工要素的网络钓鱼易感性预测方法，如图2所示，具体步骤如下：
[0034]
步骤一、通过问卷调查收集各用户社工要素的主体属性，同时利用眼动仪记录各用户浏览钓鱼网站或邮件的眼动数据；
[0035]
社工要素是构成社会工程学攻击系统的基本单元，包括攻击目标、社工参与者、社工工具和社工场景。其中包含整个社会工程学攻击的所有信息，在网络钓鱼易感性预测上起到了至关重要的作用。
[0036]
社会工程学围绕的核心元素即为“人”，所以预测网络钓鱼易感性也需要围绕“人”的相关信息进行。主体属性是在社工攻击中，被攻击目标的基本属性，包括基本特征、人格、经验、知识、情绪和记忆等。通过这些属性特征就可以对用户进行完整的分析预测。另外，社工媒介包括电子邮件、电话、钓鱼网站和广告等。以钓鱼邮件为例，不同的钓鱼邮件会涉及到权威、威胁、贪婪、同情等不同的社工要素。同一个用户对涉及不同社工要素的钓鱼邮件的易感性也不一样，所以需要对这些信息作为输入数据进行分析处理。
[0037]
社工要素包括主体属性和网络钓鱼信息；
[0038]
其中，主体属性包括用户基本特征信息、用户人格和用户的经验知识；
[0039]
用户的基本特征信息包括姓名，性别，年龄，学历和收入等基本信息；
[0040]
用户的经验知识来自于主体属性调查问卷中对用户网络安全知识掌握情况的量化评估。
[0041]
网络钓鱼信息通过对网络钓鱼进行分析获得，包括网络钓鱼的社工媒介(网络钓鱼采用的媒介，如邮件、网站)以及钓鱼攻击采用的影响用户的方式，分为权威性、一致性、兴趣、互惠、稀缺以及社会性。
[0042]
权威性即人们更有可能回应处于权力或者权威地位人的请求；一致性即人们寻求履行自己的承诺，例如网站可以提醒用户曾经承诺支持某个特定的慈善机构，用户就很有可能对其进行访问；兴趣即通过用户的个人兴趣诱导用户进行访问；互惠性则是基于一些服务或者回报诱导用户；稀缺性则是通过某些“压力”促使用户感觉到网站访问机会稀缺难得，比如可以通过“时间压力”，限制用户某个时间内才可以访问到网站内容；最后社会性基于人们的一种社会心理，即人们往往会做其他人，通常是同龄人正在做的一些事情。
[0043]
眼动数据包括：用户对网络钓鱼邮件或网站主体内容的停留时间、注视次数以及
回归次数的眼动信息。
[0044]
停留时间和注视次数主要反映用户是否对特定的内容进行了深度加工，而回归次数则反映了某部分引起了用户关注，得到了用户进一步的检查。
[0045]
眼动追踪技术可以用于测量用户的眼动信息，比如：注视的持续时间(当眼睛相对静止时)、扫视镜的长度(当注视在感兴趣区域之间移动时)、回归次数(注视点返回到先前的注视点)等。可以组合这些信息以探索扫描路径，即在图像上注视内容和眼睛运动的顺序。例如，眼动仪可以用于确定查看网页的个人的扫描路径，该扫描路径可以提供有关个人查看网站的不同部分的顺序的信息。
[0046]
研究表明用户的眼球运动和意图之间可能存在一定的相关性。意图是指一个人将要做什么的想法或计划。心理理论指出，一个人会通过一定的方式明确或隐含表达出自己的意图。例如，在互动过程中，一个人倾向于通过语言、手势和面部表情来明确表达意图。而用户眼动信息恰好能反映出用户的特定意图信息。所以利用眼动追踪技术对用户浏览钓鱼攻击内容时的扫描路径信息进行收集，作为用户意图预测的输入数据。
[0047]
步骤二、将用户的主体属性和眼动数据进行清洗，去噪以及归一化处理。
[0048]
步骤三、同时，各用户根据自身对网络钓鱼的信任程度和交易意图进行打分，并删除虚假数据；
[0049]
分数为0到1之间的值，分数越高，信任程度越高，交易意图越强烈。
[0050]
步骤四、利用各用户处理后的主体属性、网络钓鱼信息和眼动数据，以及统计的信任程度分数以及交易意图分数对支持向量机回归模型(svr)进行训练；
[0051]
具体为：
[0052]
将每个用户的主体属性和眼动数据输入svr模型中，输出各用户的信任程度分数以及交易意图分数；通过输出的两个分数与实际统计的两个分数分别作对比，不断调整svr模型的参数，直至svr模型输出的分数与实际统计的分数满足误差要求；
[0053]
步骤五、根据各用户的信任程度分数和交易意图分数，利用k
‑
means聚类算法对用户进行聚类，将聚类结果划分成不同的易感性等级，并确定划分阈值；
[0054]
首先，k
‑
means聚类算法将所有用户聚成三类，分别对应三个易感性等级，即低易感等级，中易感等级和高易感等级。
[0055]
然后，根据划分的三个易感性等级，设定等级之间的阈值；
[0056]
当y∈[0,β]时为低易感等级，当y∈[β,γ]时为中易感等级，当y∈[γ,1]时为高易感等级。
[0057]
β和γ由k
‑
means聚类结果确定。
[0058]
步骤六、当新用户实际浏览钓鱼网站或邮件时，收集新用户的主体属性和眼动数据，并输入将训练好的svr模型中，输出新用户的信任程度分数和交易意图分数，从而计算出易感性值，划分到对应的等级中进行预测。
[0059]
易感性值计算公式如下：
[0060]
y＝αx1 (1
‑
α)x2[0061]
其中x1为新用户的信任程度分数，x2为新用户的交易意图分数，y为网络钓鱼易感性分数；α为k
‑
means聚类结果确定的参数。
[0062]
实施例：
[0063]
1)信息收集
[0064]
首先，利用调查问卷的形式采集用户基本特征信息，并按照大五人格量表结合调查信息分析出用户人格信息。然后量化用户针对网络钓鱼的经验和知识，为后面训练模型提供信息基础。
[0065]
然后，提供给用户一些网络钓鱼攻击，记录用户浏览时的眼动数据。
[0066]
眼动数据主要记录用户对网站url、lock、以及http/https等浏览器的安全指标的停留时间、注视次数以及回归次数。
[0067]
最后，让用户分别对所有网络钓鱼攻击的信任程度以及自身的交易意图进行打分，分数设定在0到1之间。
[0068]
2)对用户信任程度预测
[0069]
将用户信任程度进行评分量化，分数在0到1之间；采用支持向量机回归模型(svr)进行预测，训练时输入数据包括主体属性、网络钓鱼信息以及用户浏览时的眼动信息。
[0070]
3)对用户交易意图预测
[0071]
首先，将用户交易意图进行评分量化，分数在0到1之间；同样采用支持向量机回归模型(svr)进行预测。输入数据包括主体属性、网络钓鱼信息以及眼动信息三部分。数据具体包含内容与信任程度预测部分相同。
[0072]
4)网络钓鱼易感性预测
[0073]
采用k
‑
means聚类算法按照用户信任程度分数和交易意图分数对用户进行聚类，将所有用户分为三类，然后根据分类结果确定分类阈值。
[0074]
5)对新用户的易感性预测
[0075]
将训练好的模型运用到实际网络钓鱼防御中，对网络钓鱼的易感性进行预测。