2019年美国黑帽大会（BlackHat USA 2019)对与会的安全从业人员最关怀的安全要挟进行调查，发现黑客们最关怀的是：“Phishing,social network exploits, or other forms of social engineering ”，该安全要挟占比46%，排名榜首（2019年排名第二）[1]。
依据社会工程的网络虽进犯呈现已久，一直是较为重视的一种有用进犯手法；尤其是鱼叉式网络垂钓，因其成效显著且传统的安全性防御机制无法阻挠这类进犯类型，仍然是群众重视的方针。并且90%的APT进犯也是经过网络垂钓来完结。

图1 2019 Black HatAttendee Survey(USA)
此外，机器学习（machine learning，以下简称ML）在网络安全范畴的运用已经有广泛研讨，现在大多用于网络攻防中的“防”，包括侵略检测、僵尸网络流量辨认、缝隙扫描等，可是ML也简单被黑客运用进行歹意进犯。
本文将介绍一种依据机器学习的社会工程模型—自动化鱼叉式网络垂钓。
一、   鱼叉式网络垂钓
差异于一般网络垂钓，鱼叉式网络垂钓是针对特定方针进行定制的网络垂钓进犯。进犯者会花时刻了解进犯方针，包括名字、邮箱地址、交际媒体账号或许任何在网上参与过的内容等。进犯方针不是一般个人，而是特定的公司或许安排的成员，盗取的材料也并非个人的材料，而是其他高度敏感性材料[2]。

图2 一般网络垂钓vs鱼叉式网络垂钓
选用机器学习的办法从交际媒体、新闻报道等材猜中，运用重复的文本形式辨认进犯方针感兴趣的主题并结构或许回应的语句，极大提高了社工的有用性，使得大规模自动化网络垂钓活动成为或许。
二、 自动化鱼叉式垂钓进犯
Twitter、Facebook等交际媒体渠道包括很多个人隐私信息、敞开渠道API接口，并且内容多有字数约束（短文）、言语不标准、常用短地址服务等特色，决议了其简单被进犯者运用并学习结构虚伪信息，让进犯方针不引起置疑而自愿上钩。2019年8月4日，来自ZeroFOX公司的JohnSeymour & Philip Tully在美国黑帽大会上就提出了一种依据Twitter的端到端自动化鱼叉式网络垂钓办法[3]，下面就该垂钓办法进行介绍。
1. 首要思维
提出SNAP_R（SocialNetwork Automated Phishing with Reconnaissance）递归神经网络，可学习向特定用户（即进犯方针）发送垂钓推文。该模型选用鱼叉式网络垂钓浸透测试数据进行练习，为提高点击成功率，还动态嵌入从方针用户和转发或重视用户处抽取的论题，并在发送推文时@进犯方针。

图3 SNAP_R递归神经网络简介
2. 自动化鱼叉式垂钓进犯
 

图4 依据Twitter的自动化鱼叉式垂钓
该自动化鱼叉式垂钓进犯首要包括两部分：
①     寻觅垂钓进犯方针方针
首要，运用TwitterStreaming API搜集用户名，依据用户个人信息描述和推文状况衡量垂钓成功概率，用户个人信息包括用户名、转发/呼应的推文的频率/时刻、对某主题的情绪、方位信息、行为形式、已参与或许即将参与的大型活动等，也包括作业、职位头衔、知名度等反映用户价值巨细的信息。然后，依照垂钓成功的概率巨细将用户进行分类。
进犯者从Firehose（Twitter用户发送音讯的输出口）中挑选用户，并判别该用户归于方才所说分类办法中的详细类别。假如用户的垂钓成功的概率比较高，就选取该用户作为进犯方针，向其发送嵌有垂钓链接的虚伪推文。
②     自动化鱼叉垂钓
选取进犯方针后，进犯者运用SNAP_R递归神经网络模型抽取方针感兴趣论题以及该方针发送推文或许回复推文的状况以便于发生垂钓推文内容。除介词等中止词之外，最频频呈现的推文内容都可以用于结构推文内容，推文内容会挑选用户常常发送或转推推文的时刻进行发送。
在SNAP_R模型中，选用了马尔可夫模型和长短期回忆LSTM（LongShort-Term Memory）递归神经网络结构推文内容。马尔可夫模型依据文本一起呈现的概率来估测文本的内容，举例说明：假如练习集包括短语thecat in the hat的次数比较多，当模型呈现the时，则下一个内容很或许是cat 或许hat。可是由马尔科夫模型发生的内容通常是没有意义的，仅仅呈现频率比较高的词语的组合体罢了。而LSTM适合于处理和猜测时刻序列中距离和推迟十分长的重要事情，与马尔可夫模型的差异在于，LSTM能结合语境判别下一个或许呈现的词语。两者结合结构更接近于人类编撰的推文内容。
3.试验验证

 

图5 SNAP_R递归神经网络
为了评价该网络垂钓进犯作用，在推文中刺进下载负载的网址链接并运用goo.gl短衔接跳转服务，假如进犯方针点击该链接时，goo.gl会记载时刻戳、UA等信息（详见图5）。

[1] [2]  黑客接单网