文摘

最近,黑客打算复制恶意链接使用几种方式误导用户。他们试图控制受害者的机器或让他们获得私人信息远程的数据通过网络使用。QR码是二维条形码的编码能力可以被各种数据类型和数字设备,如智能手机。然而,没有批准协议QR代码生成;因此,QR码可能会接触到一些可疑的攻击。二维码的攻击可能会犯下使用条形码,还有一些安全对策。这些解决方案的一些限制恶意链接检测技术与知识的加密方法。因此,本研究旨在检测恶意链接嵌入1 d(线性)和2 d (QR)代码。网络犯罪攻击,提出了基于条形码造假,可用于执行网络攻击。100000恶意的数据集和良性的url创建通过一些资源,和他们的词汇特征。 Analyses were conducted to illustrate how different features and users deal with online barcode content. Several artificial intelligence models were implemented. A decision tree classifier was identified as the most suitable model for identifying malicious URLs. Our outcomes suggested that a secure artificial intelligence barcode scanner (BarAI) is recommended to detect malicious barcode links with an accuracy of 90.243%.

1。介绍

二维码是一个机器可读的代码组成的黑白格子的数组,通常用于存储url或其他一些设备如智能手机(查看的信息1]。检索的数据编码在二维码发生在几秒钟;由于超高速度用于验证的有效性从传感器接收代码(2]。

由于高昂的价格标签和识别设备,一些研究人员将他们的注意力集中到智能手机的摄像头作为替代如指纹识别来源和条形码3,4]。

当日本电装波在1994年首次发明了二维码,主要目的是使汽车快速扫描期间制造(1]。QR码现在广泛应用于更广泛的上下文,例如商业跟踪和移动标签。二维码可以包括收集数据、遥感和阅读从不同的环境参数2]。

QR码被确认为2000年国际标准(5]。当前的标准版出版于2015年(6]。二维码可以存储不同的信息类型,例如,数字(0 - 9),字母数字(字母和数字),和二进制数据(0和1),以及汉字字符(日本)7]。表1简要描述了不同数据类型的能力用于QR码。

通常,一个二维码图像包含两个区域:区域编码和功能模式(6,7)(见图1)。

QR码已被广泛使用,由于有限的技术特征的线性条形码(一维(1 d)。然而,人们越来越要求更多的信息比一维条码可以提供存储[7]。

QR码已经成为普遍的在几个领域。他们可以被附加到任何屏幕,海报,或产品表面,有效地用于教育、运输、产品跟踪、票务、喇叭,书返回方法库,支付传输系统、旅游促销(2,8- - - - - -14]。

如今,使用QR码作为一种环境友好型转向确保可持续的营销策略在不同的领域,如教育、养鱼、土地管理、医疗服务。在这种情况下,例如,QR码可以提高有效的病人身份管理的医疗保健服务。个人资料上的二维码可以关联到患者的腕带(15,16]。医疗服务可以使用二维码扫描仪应用程序在他们的智能手机访问患者信息,药物和医疗报告(17- - - - - -20.]。扫描QR码启用高速组件在工厂21]。

在某些情况下,保证条形码可用于物联网应用程序添加安全,隐私,和管理层次,作为一个自由选择射频识别标签。条形码可以一座桥连接对象物联网云计算,云计算可以处理大数据操作,允许安全因素在物联网的发展4,22]。

有各种各样的安全威胁与QR码。条形码是不可读的设备或应用程序没有一个特定的读者。然而,没有批准协议QR代码生成;因此,QR码可能会接触到一些可疑的攻击。二维码的攻击可能会犯下使用条形码,还有一些安全对策。这些解决方案限制恶意链接检测技术加密方法的知识(7,23,24]。

本研究的主要目的是检测恶意url嵌入在条形码(1 d和QR码)。网络犯罪攻击,提出了基于条形码造假,可以用来进行网络攻击,恶意的过程一维条码是贴在一个合法的二维码图像欺骗用户。此外,我们进行了测试,显示不同的特性如何影响条形码扫描。100 000恶意的数据集和良性的url创建通过一些资源,和他们的词汇特征。此外,五分类器进行比较,选择最合适的分类器来检测恶意url。分类器是:朴素贝叶斯(NB)、支持向量机(SVM),逻辑回归(LR),再邻居(资讯),J48 (DT)分类器和决策树。

1.1。贡献

总结了本研究的贡献如下。(我)我们探索一种基于二维码barcode-in-barcode攻击造假,可用于执行网络攻击。(2)我们进行了测试,展示不同的大小和距离等因素影响条形码扫描。(3)我们建立了一个人工智能模型来检测恶意URL编码的条形码根据词汇的URL属性。(iv)我们应用几种人工智能分类器和比较。(v)我们开发了巴莱基于最好的模型对恶意二维码链接和分析比较的结果。

1.2。论文结构

本文的结构如下。部分2显示了文献综述对二维码攻击的对策。部分3讨论了条形码注入攻击,部分4我们的材料和方法。部分5探讨了实验技术和结果评估。部分6讨论巴莱和比较的结果。最后,部分7得出了结论并提出了今后工作的主题。

2。文献综述

本节提供了一个文献综述,确定当前最先进的研究可用的对策和解决方案保持二维条形码。

在本节中,我们首先提出一个简易的密码学和信息安全条款和算法。然后,我们将讨论条形码安全解决方案。

主要的安全术语涉及三个术语称为中央情报局三和弦:机密性、完整性和可用性(7]。保密意味着保护数据不被未经授权的访问的实体。一般通过加密数据,只有经过授权的用户可以解密和访问内容的关键。数据完整性包括保证数据不被未授权的实体和准确的交付。此外,可用性表明,信息系统应该可以当它是必要的。此外,信息安全包括身份验证,旨在验证用户的身份或实体,和不可抵赖性确保一个实体不能否认发送消息或签署文件7]。

公开密匙加密(不对称)是一种加密方法和两把钥匙:公共和私人。广泛用于数据加密和身份验证(7,25]。此外,哈希函数接受一个二维码的内容作为输入,并提供了一个固定大小的值称为“散列。“一个哈希函数是一个单向的方法;很难得到处理的散列值的原始内容。不可能有两个二维码的内容相同的散列值使用安全、健壮的哈希函数。

对称密钥加密系统,使用相同的密钥进行加密和解密。对称密钥算法被认为是更简单和更快的比不对称,但关键交易应该建立安全(7,25]。

数字签名(DS)是一种安全的方法,它使用公开密匙加密确认身份验证、不可抵赖性和数据完整性的内容。计算哈希然后签名的私钥(7,25]。Rivest-Shamir-Adleman (RSA)是一种公钥密码算法,它使用一个数学方法基于素数。RSA是广泛用于数据加密和数字签名。相比之下,椭圆曲线数字签名算法(ECDSA)是一种公钥密码算法通常用于数字签名。

高级加密标准(AES)是一个受欢迎的对称密钥算法加密电子数据,它被认为是一个高度安全的算法用于保密(7,25]。

参考文献(7,26,27)强调了差距和限制可用的2 d条形码保护机制。研究者对比和评估2 d条码使用密码安全系统特点和他们的安全水平。他们探索各种可用性特性如何影响二维码扫描和一些关于二维码加密技术的可用性评估。一些不对称的解决方案导致打破二维码的可用性,而椭圆曲线数字签名算法(ECDSA)推荐。结果还表明,对称的方法适当的解决办法。

此外,根据(28],作者展示了一种洪水的物理一边物联网使用QR码的编码无关的内容或假和钓鱼网页。在实验中,采用ECDSA保证良性使用物理对象的二维条形码。不同的密钥长度和散列函数显示不同的时间和空间开销。

此外,在[29日),研究人员强调二维码钓鱼攻击。他们嵌入一个假的Google Web页面内二维码和执行网络钓鱼攻击。结果显示欺骗的可能性并成功地跳过安全浏览谷歌提供的服务。因此,研究人员提出了一个快速响应代码安全(独有),一个全面的模型,使用一个客户端-服务器体系结构和利用数字签名。拟议中的独有的用户模型采用哈希函数的ECDSA SHA2或SHA3(256位)来保证QR代码生成器认证和数据完整性。该模型分析了条形码攻击实施的灵活性和效率。

几项研究已经进行使用秘密隐藏方案基于汉明码和可视秘密共享方案保护二维码的内容和在在线交易(私人信息30.- - - - - -36]。(描述的研究33)是有关计算的安全性假设攻击者技术仅限于二维码扫描仪。

文献[37)提出了一种立体方案编码消息身份验证代码和数字签名来验证数据在QR码。该方法的主要优势是任何条形码阅读器应用程序可以解码条码内容。此外,一个通用的消息身份验证代码和ECDSA小密钥长度(160位)被用于实验。结果表明,该方案的性能优于现有方法。

3所示。你会相信这个条形码吗?条形码注入攻击

商业(线性)或1 d条形码由水平线表示不同的宽度和间距。商业条形码被广泛用于编码特定的标识值,如产品id (38和价格。图2显示了一个示例的一维条码,用于存储特定的URL。

的数据类型和长度变化根据所使用的标准,和流行的线性(1 d)条形码包含通用产品代码(UPC),欧洲货号(EAN),代码12839),和邮政数字编码技术规范(40]。UPC和EAN条码支持数字数据固定大小,虽然代码128支持可变数据长度和允许的编码字母数字数据(所有的ASCII字符)39]。此外,代码39类型使编码的大写字母a - z、数字0 - 9,和一些特殊字符(空格,,,美元和%),与变量的长度(38]。

即使有限的一维条形码的大小,他们仍然可以被恶意使用,如编码网络钓鱼的url。这里,我们探索的攻击场景,在该场景中,一个恶意的一维条码注入(粘贴)在一个合法的二维码图像欺骗用户。在我们的研究中,我们考虑这种类型的攻击通过隐藏1 d恶意在二维码条码,这是一种新形式的barcode-in-barcode攻击(41],隐藏了一个恶意的2 d条形码在二维码。条形码的注入攻击(BIA),攻击者可以修改竖线的高度定义一维条形码(比较数据23)粘贴在一个合法的二维码图像。注意,1 d条形码裁剪图像(见图3)不会影响QR代码可读性和将被视为噪音。二维码的纠错功能可以恢复内容受到噪声;因此,一维条码和二维码将可读的。

QR码是适应各种环境使用Reed-Solomon纠错方法,促进阅读条形码,即使一些数据块已经损坏(例如二维码,粘贴1 d)。Reed-Solomon过程包括展示的一组冗余位试图识别、跟踪,并根据系统本身(纠正错误6,7]。QR码支持强劲四层(百分比)的纠错能力恢复被破坏的数据(7]。

2显示了可能的误差校正水平及其公差形象的损害。

4显示的例子BIA(左)和barcode-in-barcode攻击(右)。BIA,两个可读条码类型:包含一个URL的一维条码和二维码包含随机数据(这段代码在另一个例子也可能是一个URL)。因此,在阅读相同的条形码不同迭代过程中,相同的用户可以获得两个不同的内容。隐藏的能力1 d条形码BIA视觉比barcode-in-barcode袭击(41]。一维条码有体积小,没有特别明显的片段。

二维码生成器可以选择适当的误差校正水平取决于类型和编码的数据的重要性。例如,高误差校正水平(30%)可以用于工业条形码分布在一个肮脏的环境严重受损。水平较低(7%)是首选的QR码显示电子(41,42]。中等(15%)是最常用的水平QR码(1]。攻击者可以利用误差修正水平执行BIA攻击,使其可靠的和危险的。

对于非专业用户来说,它将是一个挑战来识别内部隐藏的条形码视觉。相比之下,barcode-in-barcode攻击(图4,有一个更大的内部条形码尺寸和不同的二维码查询模式。根据(24,41),一些条形码阅读器可以读取外部和内部条形码;即扫描仪可以阅读多种类型的1 d和2 d条形码。

阅读条码包含一个URL时,几乎所有的条形码扫描仪显示编码的URL的内容重定向到Web页面之前,和用户可以决定是否访问URL (43,44]。

因此,攻击者可以欺骗用户通过使用URL缩短服务等。gd的网址(45],BL.INK [46),或Shorby [47]。这些服务url所需的字符数减少到12和恶意url显示为短url欺骗用户。

3.1。条形码的可读性范围

QR代码可读性范围(RR)被定义为距离的范围内,条形码是可读的26]。BIA将违反条形码的可靠性,而且有可能使读者安全风险的危险。我们使用描述的RR实验(26),并测量了RR BIA的内容关于二维码的RR。

5显示了RR为300×300、500×500像素的条形码,在那里X设在代表字节的数据大小,Y设在代表扫描装置之间的距离和条码图像。最大的距离是指合法的最大距离二维码可以阅读。相比之下,“最小距离”代表的最小距离合法二维码可以读取的最大距离BIA代码可读。“攻击最小距离”代表的最小距离BIA代码可读。BIA代码可读BIA之间最小距离和合法的QR码的最小距离。扫描设备将全面覆盖1 d条形码作为内在的条形码。

例如,二维码数据大小为100字节是可读的从远处看31 - 190厘米(RR = 159厘米)为500×500像素的条形码,而BIA代码与相同的数据大小是可读的距离15 - 40厘米(RR = 25厘米)。因此,扫描二维码没有覆盖整个二维码仪模式将导致BIA内容的检索,将用户置于危险境地。类似地,对于一个300×300像素的条形码,RR阅读合法二维码范围从40到190厘米,和阅读BIA编码范围从10到20厘米。因此,可以得出结论,增加图像大小促进BIA的实现。

4所示。材料和方法

自从QR码可能包括可疑的网络内容,有四种可能的攻击场景如下:(我)QR码内嵌入恶意链接(2)内部QR和BIA代码嵌入恶意链接(3)嵌入的良性的内部链接内二维码和恶意链接BIA代码(iv)使用QR码几个BIA编码和嵌入与良性和恶意链接来迷惑用户阅读的内容时相同的条形码

6显示了该方法在本研究中采用的方法找到这些攻击场景的解决方案如下:

4.1。数据收集

收集十万个良性和恶意url可能嵌入QR和BIA代码从各种环境。收集的数据集包含50000恶意url从最近的钓鱼48)和恶意软件域黑名单(49,50]。此外,我们收集了50000良性安全网站的url (51,52]。

4.2。特征的提取

来识别恶意url与减少网络延迟,url的性质特点进行了分析。图7介绍了URL结构(53]。

如图7,网络罪犯经常使用二级域名,通用顶级域(gTLD)和路径目录进行网络犯罪。域可能是一个受欢迎的网站,如博客、Instagram, TikTok。gTLD可能edu、政府网和组织。网络罪犯试图手法他们恶意链接和旁路利用URL缩短服务,如黑名单。gd的网址(45],BL.INK [46],Shorby [47]。因此,有一个日益增长的需求检索url的整个性质的特征(48,49,54]。相关特征选择(CFS) (55)是用来评估的词汇可以在本研究采用url属性。CFS意味着有用特性与URL类呈正相关。我们所有性质的特性得到一个正相关的类标签。表3(54)展示了我们采用URL词汇属性。

4.3。人工智能(AI)分类器

在本节中,我们将描述在这项研究中我们使用的人工智能分类器。(1)朴素贝叶斯(NB)。NB分类器是一种机器学习概率分类器,利用贝叶斯定理和使用条件独立性假设之间的属性56]。(2)支持向量机(SVM)。支持向量机分类器是一个监督机器学习分类器适用于分析数据的分类和回归。它旨在获得决策边界数据收集分为两类。边界的决定决定是否被正确分类的实例(57]。(3)逻辑回归(LR)。LR分类器是一个机器学习分类器,取决于概率函数和广泛用于二进制分类进行预测分析(58]。(4)再邻居的事例)。然而,分类器是一个简单的机器学习分类器执行基于实例的学习和依赖于相似性度量。在资讯的方法,分配给类的实例是通过K邻国的多数票。然而,方法是用于分类和回归问题(59]。(5)决策树(DT)。DT分类器是一种流行的数据分类监督机器学习分类器使用。它是一个决策支持工具,使用流程图的分层决策。路径从根到叶子和树枝代表分类规则表明类标签(60]。

5。实验技术和结果评估

本节显示了应用五个人工智能分类器的结果(NB、支持向量机、LR、资讯和DT)。他们评估使用10倍交叉验证(61年]的实例集内的数据收集是分成十个部分,其中9个是用于培训和测试。交叉验证过程重复十次测试所有十个部分。我们使用混淆矩阵的结果相比,表设计采用可视化分类器性能(图8)。它包括以下预测质量的措施:真阳性(TP),真阴性(TN),假阳性(FP),和假阴性(FN)。

此外,我们计算的准确性,真阳性(TPR),假阳性率(玻璃钢)精密(P)、召回(R)和F-measure (F-M)表达(1)- (5)[61年]。

NB实验取得了73.928%的准确性与26.072%的错误率。表4显示了详细的NB分类器精度。

此外,NB分类器成功地分类48179良性的url和25749恶意url,如表所示5

如表所示45,NB分类器成功地获得最优的预测结果为良性的url(0.964),而这对恶意网址记录检测比例较低(0.515)。此外,NB分类器预测失败恶意url和分类作为良性url误判率为0.485。相比之下,NB成功分类中的恶意url为良性的url低误判率(0.036)。

支持向量机分类器的加权平均产生84.671%的准确性与15.329%的错误率两类。表6介绍了支持向量机分类器的详细结果。

6证明了支持向量机分类器获得接近的NB分类结果精度结果良性的url。相比之下,支持向量机的结果与NB结果相比略有提高恶意url。表7表明,支持向量机分类器能够正确分配84671 url在整个数据集。这些结果还需要增强使这种方法用于检测恶意链接。

总体精度通过使用LR分类器是85.726%。详细结果显示增强和NB和SVM分类器相比,良性和恶意URL检测,如表所示8

85726 LR分类器能够分类正确的url。特别是,它正确地预测41193年恶意url。表9给出了详细的LR混淆矩阵模型。

然而,分类器的加权平均结果,当k= 1,表现出一个89.614%的错误率10.386%的准确性。高度精确的检测是实现良性与恶性类,精度为91.4%和87.8%,分别如表所示10

通过比较的结果表810,表明资讯分类器可以检测到良性类比LR分类器。资讯分类器检测到恶意实例比LR的方法,所以它是公认的良性和恶意url精度高。然而,这项研究的主要目标是找到最合适的模型来识别恶意url。表11介绍了混合矩阵的资讯分类器。

如表所示11,50000年的资讯分类器可以预测43920年恶意url正确。最后分类器在我们的试验中应用DT分类器,取得了90.243%的整体精度,特别是检测善意的和恶意的url的90.5%和90%,分别。详细信息DT结果如表所示12

DT结果表现出轻微的增强准确性相比的百分比资讯分类器检测恶意url。DT方法正确分类1094多恶意网址资讯分类器。更多的细节如表所示13

比较分类器时,我们寻找的最高价值观TP,精度,召回,F-measure。另一方面,FP率应该最小化。根据这一结果表4,6,8,10清楚地显示,DT分类器记录最好的类和加权平均的结果。这对TP记录超过0.9,精度,召回,F-measure和FP率小于0.1。

6。讨论

基于部分中给出的结果5,我们利用DT分类器,因为它产生了最准确的检测和预测的结果为恶意链接。巴莱因此实现(62年)基于指南推荐的(24]。以下特性描述我们的实现。(我)自营。巴莱使用一个DT分类器,不需要任何外部web服务。(2)检查BIA。除了检测二维码恶意链接的能力,我们建议的方法可以检测出恶意使用一维条码。(3)摄像机仅特权功能。这种方法最大限度地减少进入相机的水平(扫描条码的图像)。(iv)在一个开放的应用程序环境的互操作性。因此,不需要补充关键管理或密码规范。(v)适用。需要存储和检索数据(签名或证书);因此,没有大小的开销。

一些加密二维码应用程序提供生成和扫描服务(63年]。BarSec Droid应用(64年)提供了各种对称算法和非对称加密算法的安全条形码,并使用标准的JavaScript对象表示法作为正式结构和QR码(27]。BarSec Droid (64年)解码密码如果应用产生它们自己的代条形码。其他二维码加密应用程序包括没有正式的内部编码加密信息的二维码。每个应用程序都使用自己的结构。因此,检索内容加密二维码,用户必须有相同的生成工具(65年- - - - - -73年]。这些应用程序使用不安全的加密算法(65年,66年]。我们无法评估剩余强度的应用(68年- - - - - -73年因为丢失的密码信息,该算法使用或关键的长度。这些应用程序(65年- - - - - -73年)使用基础字符串的64位宾客代表暗文要求大小开销。

14总结了应用二维码加密的功能应用程序对于巴莱。

所有应用程序(64年- - - - - -73年)需要一个安全的方式交换他们的钥匙,他们使用加密的方法,需要大小的开销。因此,这些应用不能防止偏差,由于有限的一维条形码的大小。尽管数字签名技术无法避免偏差大小相同的原因开销,BarSec Droid仍然可以处理和检查偏差使用一个特定的web服务(64年]。

所有应用程序(64年- - - - - -73年)可以在封闭/控制环境,除了[64年)也可以在一个开放的环境使用数字签名或检查url。用户应该意识到潜在的威胁使用数字签名证书,如过期证书时,自签名证书,主机名不匹配,和证书链问题[74年,75年]。

巴莱代表了一种全面的解决方案,加密应用的局限性。它工作在开放和封闭的环境,检查所有可能的可疑的网络内容,所有条形码类型,大小,不需要开销最小特权权限。

7所示。结论

这项研究表明一些二维码网络犯罪攻击网络钓鱼和恶意软件的传播。我们的工作探索barcode-counterfeiting攻击和描述实验来确定大小和距离的影响进行条码阅读。100000数据集包含url分为善意的和恶意的提取及其特性进行进一步分析。NB,除此之外,五个人工智能分类器应用SVM, LR,事例,DT。结果表明,DT分类器是最合适的模型识别二维码恶意链接。在此基础上,提出的巴莱了,后来作为识别二维码的快速预警管理工具之间的恶意链接可用的应用程序的准确性达90.243%。因此,该工具是在评估可能用于提高农业生态系统的可持续性利用安全耐用二维码技术的发展。

数据可用性

实验中使用的数据集是可用的https://tinyurl.com/5779wdw2

的利益冲突

作者宣称没有利益冲突。

确认

作者承认院长以来费萨尔国王大学科学研究的支持下授予数量17122016。