Применение блокчейна для обеспечения целостности данных и снижения рисков фишинга

Введение

Фишинговые атаки остаются одной из наиболее распространенных форм социальной инженерии в киберпространстве. По данным исследований [2], пользователи продолжают становиться жертвами атак вследствие сочетания технической маскировки и психологических факторов. Современные методы обнаружения фишинга включают анализ лексических характеристик доменных имен [3], использование черных списков и облачных репутационных сервисов.

Однако централизованные решения обладают рядом ограничений: зависимостью от доверенного оператора, задержками обновления данных и потенциальной уязвимостью к единичной точке отказа. В данной работе предлагается гибридная архитектура, объединяющая блокчейн-репутацию с многофакторным анализом сообщений, что позволяет обеспечить децентрализованность и прозрачность механизма принятия решений.

Теоретической основой оценки случайности доменных имен является энтропийная модель Шеннона [1], а выявление тайпсквоттинга опирается на методы строкового расстояния.

Объекты и методы исследования

Система состоит из трех функциональных модулей:

• Блокчейн-модуль – смарт-контракт DomainRegistry для хранения репутации доменов.
• Серверный модуль (backend) – анализ доменных и текстовых признаков.
• Клиентский интерфейс (frontend) – визуализация уровня риска.

Архитектура системы представлена на рисунке (рис.).

Рис. Архитектура гибридной системы защиты от фишинга

Методы анализа

Основные этапы исследования включали:

• Создание смарт-контракта DomainRegistry для хранения репутации сайтов.
• Разработку WebAPI для связи между блокчейном и системой через Nethereum.
• Алгоритмы оценки риска писем и доменов.
• Тестирование на поддельных и настоящих письмах.

Для проверки доменов использовались математические методы:

1. Энтропия домена

Степень случайности доменного имени определяется по формуле энтропии Шеннона:

, (1)

Где p_i – вероятность появления i-го символа. Повышенное значение H характерно для автоматически сгенерированных доменов.

2. Тайпсквоттинг

Сходство доменных имен рассчитывается посредством расстояния Левенштейна:

, (2)

Где cost = 1 при совпадении символов и 1 при различии.

3. Репутационная модель

Обновление рейтинга осуществляется по формуле:

, (3)

Где N – количество верификаций, C – уровень доверия (от 0 до 100).

4. Анализ содержимого писем

Проводится эвристическая оценка наличия:

• маркеров срочности,
• императивных конструкций,
• запросов конфиденциальной информации.

Результаты и их обсуждение

Система была протестирована на наборах легитимных и фишинговых доменов. Примеры вредоносных адресов:

• rnicrosoft-com.support
• micr0soft-auth.com

При сравнении с оригинальным доменом microsoft.com расстояние Левенштейна составило 1-2 символа, что позволило корректно классифицировать их как подозрительные.

Энтропийный анализ показал повышенные значения H для искусственно созданных доменов по сравнению с легитимными ресурсами.

Сравнительная характеристика существующих решений представлена в таблице (табл.).

Таблица

Сравнение существующих антифишинговых решений

Экспериментальная апробация показала корректное взаимодействие WebAPI с блокчейн-инфраструктурой и стабильность работы репутационного механизма.

В отличие от централизованных моделей, предлагаемая система обеспечивает:

• неизменяемость истории репутации,
• прозрачность алгоритма обновления рейтинга,
• отсутствие единой точки отказа.

Заключение

Разработана гибридная система защиты от фишинговых атак, интегрирующая блокчейн-репутацию и многофакторный анализ доменов и содержимого писем. Применение энтропийных и строковых метрик позволило повысить точность обнаружения тайпсквоттинга и автоматически сгенерированных доменов. Использование смарт-контракта обеспечивает децентрализованное хранение данных и устойчивость системы к централизованным ограничениям.

Перспективы дальнейших исследований включают внедрение механизма stake-голосования и использование методов машинного обучения для адаптивной калибровки весов признаков.