原创 天际友盟 2025-08-07 08:45 广东
“钓鱼”网站的“潮汐”规律
关键字:傅里叶变换、“钓鱼”仿冒、预测
傅里叶变换不仅仅在信号领域的应用非常广泛,也是用来处理金融时间序列数据的最常见工具之一,尤其常见于证券行业,例如:股票数据、期货数据、外汇数据等。由于证券行业的金融属性,其网站和银行一样也经常被犯罪分子仿冒,针对受害者进行“钓鱼”。通过对数据分析,可以发现“钓鱼”网站出现的数量和时间往往给被仿冒者带来极大的压力,其规律可以称为“潮汐效应”,即“涨潮”时对对抗资源的需求巨大,而“落潮”时又使得储备资源闲置。因此,追寻网络“钓鱼”的趋势,并合理准备对抗资源,具有很高的研究价值。傅里叶变换则是这一任务的理想工具,利用傅里叶变化和相位领先技术,可以预测“钓鱼”网站出现的趋势,为资源准备提供前置信息。
本文结合实际数据展示了傅里叶变换与相位领先技术相结合在“钓鱼”网站处置资源管理中的实践应用。
傅里叶变换与逆傅里叶变换简介
傅里叶变换(法語:Transformation de Fourier,英語:Fourier transform,缩写:FT)首先由法国学者让·巴蒂斯特·约瑟夫·傅里叶(Jean Baptiste Joseph Fourier)系统地提出,所以以其名字来命名以示纪念。其基本思想是一个函数可以用无穷多个周期函数的线性组合来逼近,从而这些组合系数在保有原函数的几乎全部信息的同时,还直接地反映了该函数的“頻域特征”。它是一种线性变换,通常定义为一种积分变换。
傅里叶变换示意图
By Peppergrower - Own work, CC BY-SA 3.0,
https://commons.wikimedia.org/w/index.php?curid=6007495
如上图,傅里叶变换将函数的时域(红色)与频域(蓝色)相关联。频谱中的不同成分频率在频域中以峰值形式表示。(注:①峰值幅度,②峰间,③均方根(RMS),④波长,θ:红色正弦波和蓝色正弦波的相位差)
对于给定的时间序列,其离散傅里叶变换定义为:
其中:
X(k)是频率域中的表示;
N代表样本点的数量;
K代表不同的频率分量。
“钓鱼”网站的出现数量,可以构建成为基于日期的时间序列组,以下将其称为:信号。信号中的高频部分通常代表了信号(即数据)中的噪声,可以选择合适的阈值,对信号的高频部分进行过滤,过滤掉噪声后的信号y(t) 可以通过逆傅里叶变换(IDFT)恢复:
其中:
X'(k)代表示经过滤波处理后的频率分量。
相位领先技术原理简介
相位领先技术的思想是通过调整信号的相位,使其能够反映出未来“钓鱼”网站出现的数量的变化趋势,为资源协调提供决策依据。假设有两个相关的“钓鱼”网站时间序列函数x(t) 和y(t),其中y(t) 被认为是 x(t) 的相位领先版本。
相位领先示意图
为了生成 y(t),对 x(t) 进行如下处理:
执行傅里叶变换:对 x(t) 进行傅里叶变换,得到X(k);
调整相位角:对于每个频率分量X(k),调整其相位角。设每个频率分量X(k) 的相位为θk,则相位调整后的频率分量Y(k) 为:
其中,Δθ 为相位偏移量,用于设定所需的相位领先程度;
执行逆傅里叶变换:通过逆傅里叶变换将 Y(k)转换回时域,得到 y(t)。
通过以上步骤得到的结果y(t)就是基于相位领先的趋势函数。
应用示例
以下示例采用真实受害企业数据进行分析并展示,为了使得图形可视化更加良好,因此选用了遭受“钓鱼”网站攻击数据量较大典型企业作为输入数据。针对其他干扰因素,在后续思考一节中将继续讨论。
采用相位领先相关的技术应用目标是预测“网站”钓鱼在未来出现的数量,通过原函数与其导数的相位关系捕捉趋势变化的征兆,以下是对变化趋势拐点的检测的方法和结果展示:
1.提取周期:对历史发生的“钓鱼”网站数量进行整理,并应用傅里叶变换,分析历史数据中较为稳定的数据周期。
2.建立相位领先数据:针对上一步骤生成的正弦函数,执行求导动作,其结果是时间的余弦函数,这一函数用作趋势变化的征兆。
3.发现趋势征兆:观察余弦函数零点的方向变化,当该余弦函数从负转正或从正转负时,即预示“钓鱼”网站的数量变化趋势将出现反转。这种征兆可以为处置资源协调的决策提供较可靠的依据。
4.资源决策:当余弦波的值从负变正(余弦波过零点向上),表示“钓鱼”网站数量可能接近最低值,趋势即将反转向上,这时候应当协调处置资源备用; 当余弦波的值从正变负(余弦波过零点向下),表示“钓鱼”网站数量可能接近最高值,趋势即将反转向下,此时可以考虑释放项目资源。
原始观测数据
xx企业出现“钓鱼”仿冒网站数量趋势分析图
原始观测数据(时序80-95)
傅里叶分析(时序80-95)
时间序列 | 模数 | 绝对值 |
80 | -2962.673275+1103.026718i | 3161.34479 |
81 | -31.245599+1490.671140i | 1490.99857 |
82 | -4532.882663-5336.287073i | 7001.64159 |
83 | 2887.518776-3922.185774i | 4870.45233 |
84 | 4235.855016-976.014224i | 4346.84615 |
85 | 3016.894897-3334.598481i | 4496.79907 |
86 | 2725.139113+254.401283i | 2736.98798 |
87 | -1639.771875+2392.428161i | 2900.44209 |
88 | -1530.872802-2968.909262i | 3340.35833 |
89 | -3518.245217-3603.630584i | 5036.28859 |
90 | 4398.385874+3261.433866i | 5475.65057 |
91 | 1470.639328+2425.671323i | 2836.66378 |
92 | 635.184159+1967.778230i | 2067.75484 |
93 | -530.277498-700.121875i | 878.273798 |
94 | -4443.195530-1830.421023i | 4805.45811 |
95 | 5000.661883-4965.181380i | 7046.96001 |
傅里叶分片计算示例(时间序列80-95)
如以上图所示,由于“钓鱼”网站数量的变化并不是严格的周期性变化,因此必须持续分析最新的数据以动态调整主周期和相位。
思考
“钓鱼”网站的出现是动态变化的,尤其是在博弈背景下,即持续地对“钓鱼”网站进行监测,并执行下架操作,将使得“钓鱼”网站的变化趋势更加复杂,为了简化理解傅里叶变化在“钓鱼”网站应对管理中的应用,本文并未在“博弈“场景下进行解读。因此,实践中还应注意:
周期性调整:不法分子可能将新研发的对抗技术投入使用,而其研发周期带有不确定性,因此“钓鱼“网站出现的数量的周期性并不是长期稳定不变的,因此在生成”钓鱼“网站数量时间序列方法时,应坚持采用傅里叶变换方法对其周期性进行动态检测,以确保相位信息的准确性。
延迟问题:相位领先信号可能会出现轻微延迟,保障资源协调决策需要辅助以风险管控思想,即规划合理的风险准备资源,在小型项目中,可以采用一般风险准备资源予以应对,而作为专业“钓鱼“网站的处置机构,还需要制定管理级的风险准备资源,即在不同的项目集之间进行资源准备和协调。
其他:单一的傅里叶变换+相位领先技术是不够的,其使用会受到随机噪声的影响,而随机噪声的分析假设不具备周期性,因此实践应用中还需要结合更多的技术,例如:攻击烈度相对强弱指标分析等。
小结
“钓鱼”网站的“潮汐”规律捕捉,对于专业处置团队和企业而言,是资源协调决策的基础依据。科学管理“钓鱼”网站监测与处置资源,是建立现代化企业的一个典型体现,通过傅里叶变化和相位领先技术,可以有效的组织企业资源,为企业实现敏捷化管理和最大化效率资源比提供了理论基础,该方法已经经过实践检验为有效。
参考资料与推荐阅读:
https://en.wikipedia.org/wiki/Fourier_transform
作者介绍
刘广坤,天际友盟技术总监,有着飞行器制造安全系数 3.0 理念的信息安全工作者。
崔领先,天际友盟技术副总监,安全老鸟,沉浸于品牌保护技术研究。
关于 安全村文集·证券行业专刊
证券行业自身低时延的业务要求以及业务中断的敏感性给安全防护带来了很大的挑战。专刊汇集了证券基金期货行业网络安全防护的最新经验、成果和解决方案,为大家分享一线安全规划、运营、建设的心得和实践经验。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org
