用矢量图形匹配来反钓鱼网站的设想

一切你感兴趣的话题。

版主: fanyv, 瑜小鱼

回复
头像
alpha_boy
AvantFanatic
AvantFanatic
帖子: 102
注册: 周三 2月 02, 2011 7:39 pm

用矢量图形匹配来反钓鱼网站的设想

帖子 alpha_boy » 周一 3月 21, 2011 7:22 pm

用矢量图形匹配来反钓鱼网站的设想

以前我提过一个通过域名自动修复来反钓鱼的设想,请见:

bbs.micropoint.com.cn/showthread.asp?tid=78786&fpage=1&highlight=%2Balpha_boy

那个设想有两个问题,一是要在Win7系统下对底层通讯协议进行劫持,再对域名进行过滤很难,Win7系统不允许外来程序劫持自己的底层通讯,不过,可以用维护国家安全的名义,强迫微软公开部分系统底层源代码给杀毒或反钓鱼软件公司来办到,微点主动防御软件公司据说就曾经通过中国863项目组进行协调,迫使微软开放了XP的部分代码给他们,那么其它公司理论上也可以这样做。

另一个问题就是,可能,无法仅仅通过正则表达式来自动判定出用户“要”访问的是不是淘宝之类的网站,假设钓鱼者提供的钓鱼网站的链接和淘宝相差十万八千里,但是页面排版、内容又和淘宝很像的话,还是能骗过一些不爱检查地址栏,粗心大意的网民的。

为了解决第二个问题,我又想到一个新主意,就是矢量图形匹配。这种技术在扫描仪的OCR软件上已经出现很久了,现实生活中,超市里的条形码系统也是采用了类似的技术。

具体的解决方案就是,让淘宝这样的网站,在其所有的交易页面的显眼处,都提供一个固定的条形码Logo图片,然后,可采用以下两种方式,来帮助用户校验该页面是否为淘宝官方服务器上的页面。

A、把这个页面做成一个指向aliim协议的独有链接的图片按钮,当用户点击这张图片时,就会启动阿里旺旺通讯软件,并连接到一个机器人对话程序上,它会自动将浏览器当前正在访问的网址复制下来,传送给阿里旺旺的服务器,进行反钓鱼校验,之后直接用文字告诉用户,“您当前访问的页面是/不是淘宝官方服务器上的页面。”

接下来,用户可以在对话框中输入他本来想要访问的淘宝页面的名称,譬如“淘宝商城”,然后机器人程序会自动回答“淘宝商城的链接为:

http://www.tmall.com/

点击以上字符串即可访问。”

这种方式的技术难度应该比较低,缺点就是需要用户去参与进行矢量图形匹配,那就得改变用户的浏览习惯(那个条形码Logo图片必须放在很显眼的地方,并且必须向广大用户宣传,有此Logo的淘宝网站才能被淘宝旺旺验证是否为官方网站,一定要访问带有此标志的网站,要像当年检查激光防伪商标一样去检查它),比较困难。改变人的习惯比改变一个软件的代码难多了。

B、另一种方式,还是由金山网盾这样的反钓鱼网址防火墙一类的软件,去劫持系统底层的通讯协议,对当前页面中所有大小尺寸和淘宝官方预留的条形码图片相近的图片进行模糊的矢量匹配,一旦匹配结果是完全相同或基本相近,就立刻检测当前浏览器页面所访问的网址,

是否为淘宝官方服务器所使用的网址,如果不是,则马上向用户弹出警告框。并通过类似A中提到的机器人程序,向用户转告真正的淘宝网址,以便用户访问。

这样,就可以在不依赖钓鱼网址黑名单库的情况下,对钓鱼网址进行模糊判定,主动拦截了。

不过,可能会占用较多的系统资源,具体实现起来效果如何,我也不敢保证……

奥,对了,不知道现在的矢量图形匹配技术发展得怎么样了?也许,不用做成像条形码那样机械的图案,也能进行快速识别和匹配了。

(还有,你们的意见建议提交窗口也忒小气了吧?居然只允许写1000字,那么假设有用户像我一样想提交一些复杂的技术设想该怎么办?1000字怎么够用?)
******

其它一些建议,淘宝最好能推出一套新的信用评价体系,例如销售额体系(譬如增加一个类似迅雷军衔的体系,以销售额来积分,卖的产品的总金额越高,军衔就升得越快),否则,卖小额廉价产品刷信用的问题就很难根绝。

有了销售总额评价体系,新手买家们就能很容易的发现某些信用高,但实际销售额很小,明显是通过卖小额商品刷信用刷上来的卖家了。也能很轻易地发现通过反复贴同一张销售表的贴图,来误导新手买家的商家了……

譬如以下这个卖家,他给出来的销售贴图根本就是在反复贴同一张图,很明显的,里面有个叫利华化工9073的买家,居然在同一天同一小时同一分同一秒“先后”买了两次同一款的节能灯,而这是不可能的!

item.taobao.com/item.htm?id=4138471253&ali_refid=a3_419149_1006:1102335474:7::e9d9b69399b854d152757951261218be&ali_trackid=1_e9d9b69399b854d152757951261218be

嗯,另外,为了照顾新入行的卖家,最好这个销售额体系是从零开始,重新计算数值的,否则某些已经刷信用刷上来的钻石卖家什么的就太占便宜了(其实根据互联网马太效应,现在他们就很赚便宜了)。

还有,用户评论体系最好也要升级,譬如改成像亚马逊商城那样,允许没有买过某个产品的用户评论一个产品,但是给他们打上“没有购买此商品”的标识,再结合实名制认证制度,这样,不论是恶意发负面评论或不实言论的,

还是确实在别的渠道买过同款产品,真心过来分享购物经验的,都可以比较容易的分析出来,广大网友们要分辨好产品或次品就比较容易了。

我现在,用的是Chrome、火狐、Opera之类的非IE浏览器,三个都在用,我尝试着在里面装了购物助手扩展,它们能令我在淘宝上搜索笔记本之类的大件电子产品时,自动去搜索京东,新蛋等网店上的同类产品的价格,也就是进行比价。

不过我发现比价的意义不大,譬如京东上的一款笔记本,可能比淘宝商城里卖的同品牌,且主型号也相同的笔记本便宜,可是它们的机器配置也不一样,那样的比价就失去公平性了。

可后来,我又发现,这种搜索还是有意义的,因为,我可以方便快捷地去查看其他买家在其它网上购物平台中,购买了此款笔记本(主板和显卡等大件一般是一样的)后的负面评价如何,到底该产品有什么重大缺陷,

这样,我就等于可以聚合大量的信息资源,来帮我做判定,是否要花4000到5000块的所谓大价钱(对我来说有点大),来买下某一款笔记本了。

其实,这个工作可以由淘宝来做,淘宝应该可以开发一个网页工具,帮助用户搜集主型号相同的一款笔记本,在多个网店中销售时,其它买家发表的负面评价如何,这样,就可以大大避免联想G450这种名为笔记本,实际上是大屏幕上网本,玩星际争霸2 40分钟到一小时后铁定“憋”(因显卡过热而自动关机)的机器被卖出去了。

也就是通过P2SP的形式,帮助用户减少购买到伪劣产品的可能性。这个功能干脆就把它叫做P2SP 315吧,如果能率先推出这种功能,相信淘宝会比有啊、拍拍、Ebay更加吸引客户的。

其实现在淘宝的评价系统很不科学,如果用户不好意思给卖家打中差评,但是打了好评以后又觉得心里不爽,发表了一些针对产品缺陷的负面意见,卖家居然可以在不经用户同意的情况下随便删除这些意见,刻意的造成信息垄断,误导其他买家。

建议以后淘宝的评价系统改为整体评价和现有缺点这两项,买家可以出于不愿意得罪人的心理整体评价设定为好评,但是也可以把产品的缺点单独写出来,而且这种负面评价决不允许卖家随意删除,除非是通过淘宝客服进行仲裁,确认是恶意评价以后才能删!

这样才能保证大多数买家可以获得足够多的,公平公正公开的信息资源,来为他们的购买行动提供足够可靠的情报支持。

回复

在线用户

用户浏览此论坛: 没有注册用户 和 1 访客