CN108347370A - 一种针对性攻击邮件的检测方法及系统 - Google Patents
一种针对性攻击邮件的检测方法及系统 Download PDFInfo
- Publication number
- CN108347370A CN108347370A CN201710974033.XA CN201710974033A CN108347370A CN 108347370 A CN108347370 A CN 108347370A CN 201710974033 A CN201710974033 A CN 201710974033A CN 108347370 A CN108347370 A CN 108347370A
- Authority
- CN
- China
- Prior art keywords
- address
- counterfeit
- credible
- mail address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/23—Reliability checks, e.g. acknowledgments or fault reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明提出一种针对性攻击邮件的检测方法及系统,本发明方法检测并解析邮件数据,获取源数据;提取邮件地址,判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库。通过对邮件地址进行分析,发现针对性构造的仿冒邮件,进而发现针对性攻击邮件,该方法不依赖于邮件内容进行判定。
Description
技术领域
本发明涉及计算机网络安全技术领域,尤其涉及一种发现针对性邮件攻击的检测方法。
背景技术
随着互联网技术的飞速发展,应用其技术的领域越来越广泛,网络攻击事件也频频出现,近年来出现了一种新型的网络威胁,即APT攻击,此类攻击会采用多种攻击手段入侵目标主机,其中针对性攻击邮件是广泛使用的入侵手段之一。攻击者会通过社工或信息窃取的方式获取到目标的常用联系人信息,如邮件联系人地址,攻击者会为目标“量身定制”一个极难被识别的发件人邮件地址,仿冒的邮件内容,并以此邮件地址发起针对性攻击,这种攻击的对于普通用户来讲人工识别难度极高,很难被传统安全检测系统发现,给受害用户和单位造成巨大网络威胁。
目前对于恶意邮件检测有很多技术方法,但都是检测基于邮件内容、附件、元数据的检测,通过黑白名单、特征匹配、行为检测等方法识别邮件是否为恶意,但并不能确定该邮件是否具有针对性攻击性质,同时由于攻击者可能采用加密、免杀等技术手段,造成无法检测出高级攻击的恶意邮件。
发明内容
为解决上述问题,本发明提出了一种针对性攻击邮件的检测方法及系统,通过对邮件地址与信任地址进行相似性分析,发现针对性构造的仿冒邮件,进而发现针对性攻击邮件。
首先,本发明提出了一种针对性攻击邮件的检测方法,包括:
检测并解析邮件数据,获取源数据;
提取邮件地址,通过仿冒算法与可信地址库记录的邮件地址逐一对比,判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库;
所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
所述的方法中,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
所述的方法中,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,则仅分析用户名部分是否为仿冒;如果邮件服务器域名为单位或企业邮箱,则仅分析域名部分是否为仿冒;
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
所述的方法中,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
所述的方法中,在判断提取的邮件地址是否为仿冒地址前,还包括:判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库。
所述的方法中,所述判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单或已存在可信地址库,如果是,则为可信邮件。
本发明还相应提出一种针对性攻击邮件的检测系统,包括:
数据获取模块,用于检测并解析邮件数据,获取源数据;
地址提取模块,用于提取邮件地址;
仿冒判断模块,用于通过仿冒算法与可信地址库记录的邮件地址逐一对比,判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库;
所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
所述的系统中,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
所述的系统中,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,则仅分析用户名部分是否为仿冒;如果邮件服务器域名为单位或企业邮箱,则仅分析域名部分是否为仿冒;
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
所述的系统中,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
所述的系统中,还包括,可信判断模块,用于判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库。
所述的系统中,所述判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单域名或已存在可信地址库,如果是,则为可信邮件。
本发明的优势在于,能够通过对邮件地址与信任地址进行相似性分析,发现针对性构造的仿冒邮件地址,进而发现针对性攻击邮件,不依赖邮件是否包含恶意内容,仅从针对性攻击行为特性进行检测,可以对一种针对性构造的邮件APT攻击进行发现及报警。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种针对性攻击邮件的检测方法流程图;
图2为本发明一种针对性攻击邮件的检测系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
首先,本发明提出了一种针对性攻击邮件的检测方法,如图1所示,包括:
S101:检测并解析邮件数据,获取源数据;
通过在邮件网关或邮件服务器检测进出邮件,保存原始邮件,并提取邮件源数据;
S102:提取邮件地址;提取的邮件地址,主要是非本地域名的邮件地址,例如,监控某单位邮箱后缀为@test.cn,我们只提取非@test.cn的邮件地址;
S103:判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库,否则执行S104;
判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单域名,如某单位的通信域名,或已存在可信地址库,如果是,则为可信邮件。
S104:判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库,返回S101。
所述的方法中,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
所述的方法中,判断提取的邮件地址是否为仿冒地址,具体为:通过仿冒算法与可信地址库记录的邮件地址逐一对比;所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
所述的方法中,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,如163、qq邮箱等,则仅分析用户名部分是否为仿冒;这类邮箱,任何人都可以注册,邮箱余名固定,因此只需分析“@”之前的用户名即可;
如果邮件服务器域名为单位或企业邮箱,如tsinghua.edu.cn等,则仅分析域名部分是否为仿冒;这类邮箱,攻击者轻易无法注册,攻击者会注册仿冒的域名来进行攻击,因此只需分析“@”之后的域名是否仿冒即可。
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
例如:插入字符,邮件地址多一位或若干位字符;删除字符,邮件地址少一位或若干位;位置互换,两个字符位置互换;数字和字母替换,如“0”和“o”或“O”互相替换,“1”和“l”互相替换等;邮件后缀替换,如“com”替换为“cn”或“org”等。
所述的方法中,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
本发明还相应提出一种针对性攻击邮件的检测系统,如图2所示,包括:
数据获取模块201,用于检测并解析邮件数据,获取源数据;
地址提取模块202,用于提取邮件地址;
可信判断模块203,用于判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库205,否则继续检测;
仿冒判断模块204,用于判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库206。
所述的系统中,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
所述的系统中,所述判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单域名或已存在可信地址库,如果是,则为可信邮件。
所述的系统中,判断提取的邮件地址是否为仿冒地址,具体为:通过仿冒算法与可信地址库记录的邮件地址逐一对比;所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
所述的系统中,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,则仅分析用户名部分是否为仿冒;如果邮件服务器域名为单位或企业邮箱,则仅分析域名部分是否为仿冒;
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
所述的系统中,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
本发明的优势在于,能够通过对邮件地址与信任地址进行相似性分析,发现针对性构造的仿冒邮件地址,进而发现针对性攻击邮件,不依赖邮件是否包含恶意内容,仅从针对性攻击行为特性进行检测,可以对一种针对性构造的邮件APT攻击进行发现及报警。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (12)
1.一种针对性攻击邮件的检测方法,其特征在于,包括:
检测并解析邮件数据,获取源数据;
提取邮件地址,通过仿冒算法与可信地址库记录的邮件地址逐一对比,判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库;
所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
2.如权利要求1所述的方法,其特征在于,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
3.如权利要求2所述的方法,其特征在于,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,则仅分析用户名部分是否为仿冒;如果邮件服务器域名为单位或企业邮箱,则仅分析域名部分是否为仿冒;
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
4.如权利要求3所述的方法,其特征在于,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
5.如权利要求1所述的方法,其特征在于,在判断提取的邮件地址是否为仿冒地址前,还包括:判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库。
6.如权利要求5所述的方法,其特征在于,所述判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单或已存在可信地址库,如果是,则为可信邮件。
7.一种针对性攻击邮件的检测系统,其特征在于,包括:
数据获取模块,用于检测并解析邮件数据,获取源数据;
地址提取模块,用于提取邮件地址;
仿冒判断模块,用于通过仿冒算法与可信地址库记录的邮件地址逐一对比,判断提取的邮件地址是否为仿冒地址,如果是,则发出针对性攻击邮件报警,否则将所述邮件地址录入待判定地址库;
所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。
8.如权利要求7所述的系统,其特征在于,提取邮件地址具体为,提取邮件服务器域名为非本地域名的邮件地址。
9.如权利要求8所述的系统,其特征在于,所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑,具体为:
如果邮件服务器域名为第三方邮箱,则仅分析用户名部分是否为仿冒;如果邮件服务器域名为单位或企业邮箱,则仅分析域名部分是否为仿冒;
所述预设规则包括:插入字符、删除字符、位置互换、数字和字母替换,以及域名后缀替换。
10.如权利要求9所述的系统,其特征在于,所述仿冒算法可采用LEVENSHTEIN编辑距离算法,计算出相似度,如果相似度高于预设值,则可判定所述邮件地址为仿冒地址。
11.如权利要求7所述的系统,其特征在于,还包括,可信判断模块,用于判断邮件地址是否可信,如果是,则将所述邮件地址录入可信地址库。
12.如权利要求11所述的系统,其特征在于,所述判断邮件地址是否可信的判定条件为:邮件地址是否为发件人第一次主动发送,如果是,则为可信邮件;与待判定地址库对比分析是否为多次往来邮件,如果是,则为可信邮件;邮件地址是否为白名单域名或已存在可信地址库,如果是,则为可信邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974033.XA CN108347370A (zh) | 2017-10-19 | 2017-10-19 | 一种针对性攻击邮件的检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974033.XA CN108347370A (zh) | 2017-10-19 | 2017-10-19 | 一种针对性攻击邮件的检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108347370A true CN108347370A (zh) | 2018-07-31 |
Family
ID=62962807
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710974033.XA Withdrawn CN108347370A (zh) | 2017-10-19 | 2017-10-19 | 一种针对性攻击邮件的检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108347370A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194690A (zh) * | 2018-10-29 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 仿冒邮件检测方法、装置及设备 |
| CN109561017A (zh) * | 2018-12-29 | 2019-04-02 | 北京奇安信科技有限公司 | 一种邮件的仿冒检查处理方法及装置 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN112822168A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种异常邮件检测方法及装置 |
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN116436663A (zh) * | 2023-04-07 | 2023-07-14 | 华能信息技术有限公司 | 一种邮件攻击检测方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1760872A (zh) * | 2004-10-13 | 2006-04-19 | 国际商业机器公司 | 处理目的地址的方法和系统 |
| CN101471897A (zh) * | 2008-01-11 | 2009-07-01 | 飞塔信息科技(北京)有限公司 | 对电子通讯中可能的错误拼写地址的启发性检测方法 |
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
-
2017
- 2017-10-19 CN CN201710974033.XA patent/CN108347370A/zh not_active Withdrawn
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1760872A (zh) * | 2004-10-13 | 2006-04-19 | 国际商业机器公司 | 处理目的地址的方法和系统 |
| CN101471897A (zh) * | 2008-01-11 | 2009-07-01 | 飞塔信息科技(北京)有限公司 | 对电子通讯中可能的错误拼写地址的启发性检测方法 |
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109194690A (zh) * | 2018-10-29 | 2019-01-11 | 杭州安恒信息技术股份有限公司 | 仿冒邮件检测方法、装置及设备 |
| CN109194690B (zh) * | 2018-10-29 | 2021-05-28 | 杭州安恒信息技术股份有限公司 | 仿冒邮件检测方法、装置及设备 |
| CN110740117A (zh) * | 2018-10-31 | 2020-01-31 | 哈尔滨安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN110740117B (zh) * | 2018-10-31 | 2022-03-04 | 安天科技集团股份有限公司 | 仿冒域名检测方法、装置、电子设备及存储介质 |
| CN109561017A (zh) * | 2018-12-29 | 2019-04-02 | 北京奇安信科技有限公司 | 一种邮件的仿冒检查处理方法及装置 |
| CN112822168A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种异常邮件检测方法及装置 |
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN113381983B (zh) * | 2021-05-19 | 2023-09-22 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN116436663A (zh) * | 2023-04-07 | 2023-07-14 | 华能信息技术有限公司 | 一种邮件攻击检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11470029B2 (en) | Analysis and reporting of suspicious email | |
| CN108347370A (zh) | 一种针对性攻击邮件的检测方法及系统 | |
| US10084801B2 (en) | Time zero classification of messages | |
| US10397256B2 (en) | Spam classification system based on network flow data | |
| US7343624B1 (en) | Managing infectious messages as identified by an attachment | |
| US8984289B2 (en) | Classifying a message based on fraud indicators | |
| AU2012367398B2 (en) | Systems and methods for spam detection using character histograms | |
| US20150381653A1 (en) | Malicious message detection and processing | |
| CA2859135C (en) | System and methods for spam detection using frequency spectra of character strings | |
| Ranganayakulu et al. | Detecting malicious urls in e-mail–an implementation | |
| US8719352B2 (en) | Reputation management for network content classification | |
| Coskun et al. | Mitigating sms spam by online detection of repetitive near-duplicate messages | |
| JP2013229656A (ja) | メール処理方法及びシステム | |
| JP7049087B2 (ja) | 疑わしい電子メッセージを検出する技術 | |
| EP3660719B1 (en) | Method for detecting intrusions in an audit log | |
| US20210090816A1 (en) | System and method for email account takeover detection and remediation utilizing ai models | |
| US11258811B2 (en) | Email attack detection and forensics | |
| CN109660517B (zh) | 异常行为检测方法、装置及设备 | |
| Giacinto et al. | Alarm clustering for intrusion detection systems in computer networks | |
| WO2016044065A1 (en) | Malicious message detection and processing | |
| JP2007074339A (ja) | 拡散型不正アクセス検出方法および拡散型不正アクセス検出システム | |
| US20200097655A1 (en) | Time zero classification of messages | |
| US20170257395A1 (en) | Methods and devices to thwart email display name impersonation | |
| Cheng et al. | Profiling malicious domain by multidimensional features | |
| KR101590486B1 (ko) | 지능형 지속 위협 탐지를 위한 첨부파일 검사 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180731 |