钓个鱼吧

钓鱼网站：

网络钓鱼域名分为不到一周的域名和较旧的域名。在注册后7天内在网络钓鱼活动中使用的域很可能是为了这种恶意目的而注册的，而旧域很可能是受到破坏的域。

对于较旧的域，我们会在报告的当天观察查询的数量，并将其与前一周收到的域的平均查询数进行比较。在那里，可以观察到显着的增加。平均而言，旧的网络钓鱼域在报告当天收到的查询数比一周前平均多15,5倍。图4.11显示了在报告日期之前20天和之后10天的一组被劫持的网络钓鱼域的查询数。报告日期用垂直红线标出。对于这些域，可以在报告日期或前一天观察到查询的大量增加。报告网络钓鱼后几天，查询次数再次减少。

图4.12显示了新的网络钓鱼邮件在注册前6天和注册后21天收到的平均查询数。与新的良性域相比（参见第45页的图4.8），查询数量增加得更快，几天后再次下降，很可能是因为它们已被列入黑名单或由于网络钓鱼者结束了广告系列。

许多网络钓鱼域名在一个特定的注册商处注册，这一事实很突出，是恶意域名的一个显着特征。此外，使用私人电子邮件地址可能表示域名是为良性目的而注册的。

突然增加的查询和异常的地理查询模式是网络钓鱼和僵尸网络的常见特征，这些观察结果与之前研究中的发现相吻合。与其他新注册的域相比，它们可以获得更多的查询，这对于区分新的良性域和新的网络钓鱼和僵尸网络域非常有用。

良性.nl域名的地理属性具有独特的特征，它们可以从荷兰和美国获得大多数查询。因此，DNS查询的地理来源在.nl中比在.com或.net等通用顶级域名中具有更强的显着特征。此外，我们已经证明新注册的网络钓鱼域主要具有与良性域类似的注册信息。网络钓鱼者经常使用荷兰语名称和地址，这表明他们将自己的行为调整为误用的TLD。

域名注册商的个数

新注册的网络钓鱼域具有相当不同的查询模式，并且经常从不寻常的国家/地区查询。

可以选用的特征：地理偏差

查询计数，查询峰值：当域首次用于恶意活动时，可能会发生查询峰值。由于网络钓鱼活动会在短时间内向包含数千个收件人的域发送包含链接的邮件，因此预计查询会快速增加。查询峰值是布尔特征。

1.对于每个域，提取分类当天和前一天的查询数。

2.然后，计算当前查询的数量是否比前一天高两倍。

3.如果是这种情况，则将要素查询峰值设置为1，否则为0。

查询增长：查询增长的目标是衡量域名在过去三周内是否出现查询增加。它由正浮点数表示。

中国网络钓鱼者倾向于注册域名，而不是被黑的域名进行钓鱼。他们的主要目标是淘宝网，中国工商银行，中国银行和支付宝。发送给中国移动电话客户的中文短信，以及腾讯QQ等中国流行的即时消息客户端进行广告宣传。 这些网络钓鱼者的许多域名注册都是在中国注册商处进行的。

自中国改变域名注册政策以来的几年中，我们首次看到网络钓鱼者大量注册.CN域名 -  2014年下半年940.CN域名。 之前，中国网络钓鱼者避免.CN支持.COM和.TK等顶级域名，而他们在2014年上半年仅注册了291个.CN域名。

通常，网络钓鱼者的注册通常由无意义的字符串组成。