CN109040103A - 一种邮件账号失陷检测方法、装置、设备及可读存储介质 - Google Patents
一种邮件账号失陷检测方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN109040103A CN109040103A CN201810982520.5A CN201810982520A CN109040103A CN 109040103 A CN109040103 A CN 109040103A CN 201810982520 A CN201810982520 A CN 201810982520A CN 109040103 A CN109040103 A CN 109040103A
- Authority
- CN
- China
- Prior art keywords
- account
- mail account
- analysis
- fallen
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种邮件账号失陷检测方法,涉及邮件安全领域,包括:获取指定邮件账号预设时间范围内的邮件数据;对邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,可疑邮件行为分析包括:异常登录行为分析和/或异常邮件操作行为分析;根据可疑邮件账号确定失陷邮件账号。该方法将检测转移至邮件失陷后,相比失陷过程中的检测可以大大提高检测成功的准确率,另外,通过大数据进行行为分析可以在攻击者实施恶意行为的过程中提早发现异常行为,从而阻止破坏的进一步扩大,保证数据安全。本发明还公开了一种邮件账号失陷检测装置、设备及一种可读存储介质,具有上述有益效果。
Description
技术领域
本发明涉及邮件安全领域,特别涉及一种邮件账号失陷检测方法、装置、设备及可读存储介质。
背景技术
在勒索软件在全球爆发之后,邮件安全越来越受重视,一个账号如果完全被攻击者所掌握,那么所造成的危害是十分严重的,攻击者可以根据掌握的失陷邮件账号实施钓鱼、发送垃圾邮件、传播病毒等行为,对于信息安全产生严重威胁。
目前针对失陷邮件账号的检测一般在于攻击者对邮件账号进行爆破阶段,在攻击者通过弱密码、爆破、社交工程等方式获取邮件账号和密码的阶段针对爆破手段进行相应的检测。这种针对于爆破方法的检测取得了一定的效果,但是攻击者的手法变化多端,但是检测一般只是针对某种已知的爆破手段,攻击者往往可以绕过这些固定的检测手段,达到获取账号密码的目的。一旦攻击者在爆破阶段,即获取账号密码的这个阶段没被检测出来,则攻击者即可为所欲为,对于信息安全产生严重威胁。
因此,如何实现对失陷邮件账号的准确检测,保证数据安全,是本领域技术人员需要解决的技术问题。
发明内容
本发明的目的是提供一种邮件账号失陷检测方法,该方法可以实现对失陷邮件账号的准确检测,保证数据安全;本发明的另一目的是提供一种邮件账号失陷检测装置、设备及一种可读存储介质。
为解决上述技术问题,本发明提供一种邮件账号失陷检测方法,包括:
获取指定邮件账号预设时间范围内的邮件数据;
对所述邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,所述可疑邮件行为分析包括:异常登录行为分析和/或异常邮件操作行为分析;
根据所述可疑邮件账号确定失陷邮件账号。
优选地,所述异常登录行为分析包括:对所述指定邮件账号进行登录时间分析、登陆地点分析以及登录频次分析中至少一种。
优选地,所述异常邮件操作行为分析包括:邮件内容相似度分析以及收件人地址分析中至少一种。
优选地,所述根据所述可疑邮件账号确定失陷邮件账号包括:
获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
根据所述指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
根据所述指定时间行为分析结果确定失陷邮件账号。
优选地,所述邮件账号失陷检测方法还包括:
根据所述失陷邮件账号以及所述邮件账号登录信息确定并存储攻击者画像信息;其中,所述画像信息包括攻击者源IP。
优选地,所述邮件账号失陷检测方法还包括:
根据所述攻击者源IP追溯攻击行为,并对所述攻击行为实施相应防御措施。
本发明公开一种邮件账号失陷检测装置,包括:
邮件数据获取单元,用于获取指定邮件账号预设时间范围内的邮件数据;
行为分析单元,用于对所述邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,所述行为分析单元包括:异常登录行为分析子单元和/或异常邮件操作行为分析子单元;
失陷账号确定单元,用于根据所述可疑邮件账号确定失陷邮件账号。
优选地,所述异常登录行为分析子单元包括:登录时间分析子单元、登陆地点分析子单元以及登录频次分析子单元中至少一个。
优选地,所述异常邮件操作行为分析子单元包括:邮件内容相似度分析子单元以及收件人地址分析子单元中至少一个。
优选地,所述失陷账号确定单元包括:
指定操作信息获取子单元,用于获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
指定行为分析子单元,用于根据所述指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
失陷账号确定子单元,用于根据所述指定时间行为分析结果确定失陷邮件账号。
优选地,所述邮件账号失陷检测装置还包括:
攻击者确定单元,用于根据所述失陷邮件账号以及所述邮件账号登录信息确定并存储攻击者画像信息;其中,所述画像信息包括攻击者源IP。
优选地,所述邮件账号失陷检测装置还包括:
防御单元,用于根据所述攻击者源IP追溯攻击行为,并对所述攻击行为实施相应防御措施。
本发明公开一种邮件账号失陷检测设备,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现所述邮件账号失陷检测方法的步骤。
本发明公开一种可读存储介质,所述可读存储介质上存储有程序,所述程序被处理器执行时实现所述邮件账号失陷检测方法的步骤。
本发明所提供的邮件账号失陷检测方法,针对邮件失陷后,由于在攻击过程中攻击者的攻击方法灵活性较强,很难找到固定单一的方法进行统一的邮件安全性检测,但是攻击者在攻击成功后对邮件的操作行为类型较为固定,攻击行为较容易进行检测判定,本发明针对邮件失陷后的阶段,通过获取指定邮件账号预设时间范围内的邮件数据;对邮件数据进行可疑邮件行为分析,可疑邮件行为分析可以包括:异常登录行为分析和/或异常邮件操作行为分析,通过大数据行为分析进行邮件异常行为的判断,当邮件出现异常行为时可能是由于被攻击者非法操作所致,根据行为检测结果可以得到可疑邮件账号,从而可以进一步确定失陷邮件账号。本发明将检测转移至邮件失陷后,相比失陷过程中的检测可以大大提高检测成功的准确率,另外,通过大数据进行行为分析可以在攻击者实施恶意行为的过程中提早发现异常行为,从而阻止破坏的进一步扩大,保证数据安全。
本发明还提供了一种邮件账号失陷检测装置、设备及一种可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的邮件账号失陷检测方法的流程图;
图2为本发明实施例提供的多个攻击者对多个客户的多个账号进行攻击的示意图;
图3为本发明实施例提供的邮件账号失陷检测装置的结构框图;
图4为本发明实施例提供的邮件账号失陷检测设备的结构示意图。
具体实施方式
本发明的核心是提供一种邮件账号失陷检测方法,该方法根据大数据处理通过进行可疑邮件行为分析实现对失陷邮件账号的准确检测,保证数据安全;本发明的另一核心是提供一种邮件账号失陷检测装置、设备及一种可读存储介质。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前对邮件失陷的检测一般针对攻击者对邮件进行攻击过程中,对于攻击过程的检测往往会由于攻击手段的更新换代导致检测难度大大增加。
一般而言,攻击者手上若已掌握大量已失陷的帐号,会通过某个跳板攻击源(登录源IP)来逐个登录失陷帐号。本发明针对这一过程,在账号失陷后进行检测,根据一些显性特征通过大数据来对邮件账号进行行为分析与检测,能够在攻击者实施恶意行为的过程中,提早地发现异常行为,从而阻止破坏进一步地扩大。
请参考图1,图1为本实施例提供的邮件账号失陷检测方法的流程图;该方法可以包括:
步骤s110、获取指定邮件账号预设时间范围内的邮件数据。
指定邮件账号指需要进行邮件账号失陷检测的邮件账号,比如所有公司内部邮箱等。由于攻击者出于获取公司机密信息的需要,公司内部邮箱比较容易成为攻击对象,为便于理解,本实施例以指定邮件账号为公司内部邮件账号为例进行介绍,其它类型需要进行检测的指定邮箱账号(比如学校邮箱等)均可参照本实施例的介绍。
预设时间范围指需要检测的邮件的时间范围,比如,可以设定持续进行检测,以全面保障邮件的安全性,例如设定每天半夜12点进行邮件账号失陷检测,则检测的邮件数据范围,即预设时间范围即可设定为24小时,即可实现对邮箱的全方位保护。当然,也可以只对某个疑似出现邮件失陷的时间段进行检测,以减少检测开支。
邮件数据指邮件登录以及交互过程中的相关数据,在此对邮件数据中具体包括的数据类型不做限定,可以根据需要检测的类型进行设定。比如,需要对邮件数据进行异常登录行为分析时,获取的邮件数据中可以仅包括邮件账号登录信息,包括账号登录的时间、源IP、登录方式等信息;如果仅需要进行异常邮件操作行为分析时,获取的邮件数据中可以仅包括用户对邮件账户操作的信息,包括修改账号信息以及通过该账号进行邮件发送以及接收等,具体地,可以包括比如邮件发送的方式、附件、发件人等,此外,还可以获取流量审计日志等信息,根据检测的需要自行设定获取的邮件数据。
步骤s120、对邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,可疑邮件行为分析包括:异常登录行为分析和/或异常邮件操作行为分析。
可疑邮件行为分析指基于大数据的行为分析,具体分析对象可以包括登录行为、操作行为,即可疑邮件行为分析可以包括:异常登录行为分析和/或异常邮件操作行为分析,可以仅进行异常登陆行为分析,也可以仅进行异常邮件操作行为分析,也可以同时结合异常登录行为分析以及异常邮件操作行为分析进行邮件行为分析,当同时结合登录行为和邮件操作行为综合检测失陷的邮件账号,通过多个客户数据来进行关联分析,检测出该恶意行为,能够提升检测的准确度和有效性。
其中,异常登陆行为分析指对邮件账号的登录行为进行异常性检测,既可以包括比较通用的可疑检测点,如可疑的登录时间,登录地点,登录频次等,也可以包括源IP和账号关联的登录行为,例如,如果一个源IP在较短时间内登录多个不同的账号,其将是可疑的。本实施例中对异常登陆行为分析具体包括的检测项目不做限定,为提高监测的准确性,减少误检等情况,尽量降低检测难度,优选地,异常登录行为分析具体包括:对指定邮件账号进行登录时间分析、登陆地点分析以及登录频次分析中至少一种,可以自由组合。
其中,登陆时间分析指根据某个账号的以往登录时间对进行检测的账号登录时间进行检测,判断登录时间是否存在异常。例如,在过去的一年中,获取的邮件数据中显示账户A每天在早上8:00至9:00登录的概率超过95%,其它5%的情况均在早上9:00至下午3:00之间,在获取的进行检测的邮件数据中显示该账户在凌晨2:24登录,可以初步判定该账户登录时间异常,该账户存在已失陷的风险。登陆地点分析指对用户的常用登录地址与进行检测的登录地址进行比对分析,判断是否出现异常,登陆地点可以根据登录的IP来确定,当然也可以有其他方式确定登陆地点,比如由用户主动输入等。例如该用户一年以内的登陆地点均为长沙,但进行检测的邮件数据中显示某次登陆地点为莫斯科,且前一天登陆地点与后一天的登录地点均为长沙,则可以判定登陆点存在异常,存在邮件已失陷的风险。登录频次分析可以包括每个源IP登录的邮件账号数目,也可以包括一个账号在一定时间内的登录频次,比如如果一个账号在一天内尝试登陆某账号50次,即可判定该账号可能存在失陷风险,或者一个源IP在一定时间内登录了很多邮件账号,登录的客户数量越多,表明该IP是攻击者的可能性越高。
异常邮件操作行为分析指在登录邮件账号后对邮件的各种操作,包括发送邮件、接收邮件以及对邮件账号进行相关设置等。其中,发送邮件可以对包括发件人、邮件内容、邮件主题、发送时间、附件内容以及收件人等进行分析,接收邮件可以对发件人、邮件内容以及附件内容等进行分析,邮件账号的相关设置可以包括修改用户名、登录密码、常用登陆地点等用户信息。
当攻击者在攻陷邮件账号后一定会对邮件进行相关操作,比如伪造淘宝发送大量账号异常邮件以及向公司内部账户发送病毒邮件等,通过对上述邮件操作行为进行分析,在攻击者利用攻陷的账户进行异常操作时,便可通过可疑邮件行为分析的手段及时发现失陷的邮件账号,以便于及时阻止破坏的进一步扩大。
优选地,异常邮件操作行为分析包括:邮件内容相似度分析以及收件人地址分析中至少一种。一般攻击者会向大量账号发送内容基本相同的邮件,通过进行邮件内容相似度分析以及邮件人地址分析可以实现对该类行为的准确检测。
通过进行可疑邮件行为分析,可以将可疑的源IP以及对应的邮件账号的相关日志筛选出来,得到可疑邮件账号。
步骤s130、根据可疑邮件账号确定失陷邮件账号。
根据可疑邮件账号确定失陷邮件账号的过程在此不做限定,可以直接将筛选出来的可疑账号当作失陷邮件账号进行相应的处理;也可以将筛选出来的可疑账号进行进一步精确筛选,以尽量避免出现误检的情况。该种情况下进一步精确筛选的具体方法不做限定,可以直接扩大检测范围以及增加进行比较分析的大数据范围,也可以在检测方式进行相关的改进。由于攻击者在攻陷邮件账号后一般会立即大量发送大量垃圾邮件或者病毒邮件,为通过这一行为对失陷邮件进行进一步精确判断,优选地,对初步筛选得到的可疑邮件账号进行进一步筛选的过程具体可以包括以下步骤:
步骤一:获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
步骤二:根据指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
步骤三:根据指定时间行为分析结果确定失陷邮件账号。
指定时间范围可以根据需要检测的时间自行设定,一般可以选取一个较小的时间窗口,以便分析筛选出来的账号在登录后短时间内的邮件发送行为,既可以保证分析检测精度,又可以尽量减少分析数据量。通过在登录短时间内往不同的目标发送内容相似的邮件或往不常发送的邮件地址发送邮件等异常行为进行分析可以实现对初步筛选结果的进一步精确化与明确化,减少误检的情况,避免进行无用功以及对正常邮件账号的正常工作的干扰。
基于上述介绍,本实施例提供的邮件账号失陷检测方法,通过获取指定邮件账号预设时间范围内的邮件数据;对邮件数据进行可疑邮件行为分析,通过大数据行为分析进行邮件异常行为的判断,可以得到可疑邮件账号;其中,可疑邮件行为分析包括:异常登录行为分析和/或异常邮件操作行为分析,由于在攻击过程中攻击方法不固定,灵活性较强,但攻击成功后攻击者的行为较容易进行检测判定,通过对邮件账号进行行为分析,可以大大提高失陷邮件账号的准确检测,在攻击者实施恶意行为的过程中提早发现异常行为,从而阻止破坏的进一步扩大,保证数据安全。
基于上述实施例,在得到失陷账号后为对攻击者进行相应处理,优选地,可以在确定失陷邮件账号后可以进一步对攻击者进行追踪,获取攻击者的画像信息,具体地,可以根据失陷邮件账号以及邮件账号登录信息确定并存储攻击者画像信息;其中,画像信息包括攻击者源IP,画像信息指攻击者的身份信息,具体可以包括源IP,登录地址等信息。通过关联多个源IP的登录行为追踪和定位攻击者源IP,可以有效发现攻击源头,通过得到的攻击者的画像信息可以对该攻击者进行相应的防御,通过将画像信息存储至数据库中,通过每次接收到操作数据后进行比对,可以实现对该攻击者攻击行为的防御。
由于一个攻击者可能在基于一个源IP实现对多个账号的攻击,图2所示为多个攻击者对多个客户的多个账号进行攻击的示意图,攻击者A、B、C分别攻击了多个失陷账号,涵盖不同客户以及不同账户(其中,客户可以指不同的公司),为对这种情况进行处理,在获取到攻击者的源IP后,优选地,还可以对攻击者的攻击行为进行追溯,根据攻击者源IP追溯攻击行为,比如定位攻击是从何处开始,以及该攻击者是否还通过该IP对其它账号进行其它非法操作等,并对攻击行为实施相应防御措施。
为加深对本发明提供的技术方案的了解,本实施例以在内网中对进行邮件账号失陷检测为例进行介绍,其他情况均可参照本实施例的介绍。
在内网中审计SMTP协议流量,存储STMP日志。
统计每个源IP登录的不同邮件账号数量,然后排序,选出登录账号数量前10的源IP作为可疑源IP。
对可疑IP登录的帐号后发送的邮件进行分析挖掘,例如是否发送内容相似邮件、邮件主题是否一致等来判定是否大批量发送恶意邮件信息。邮件内容相似性可以采用字符串相似性比较算法(如编辑距离、jaro-winkler distance),也可以采用自然语言处理中的情感分析相关技术)
根据上述判定结果反推源IP的登录邮件帐号是否已经失陷,并根据依据攻击者IP和可疑欺骗邮件共同确定最终的帐号欺骗邮件。
请参考图3,图3为本实施例提供的邮件账号失陷检测装置的结构框图;可以包括:邮件数据获取单元300、行为分析单元310以及失陷账号确定单元320。本实施例提供的邮件账号失陷检测装置可与上述邮件账号失陷检测方法相互对照。
其中,邮件数据获取单元300主要用于获取指定邮件账号预设时间范围内的邮件数据;
行为分析单元310主要用于对邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,行为分析单元包括:异常登录行为分析子单元和/或异常邮件操作行为分析子单元。
异常登录行为分析子单元具体可以用于对邮件账号的登录行为进行异常性检测,既可以包括比较通用的可疑检测点,如可疑的登录时间,登录地点,登录频次等,也可以包括源IP和账号关联的登录行为。
异常邮件操作行为分析子单元具体可以用于在登录邮件账号后对邮件的各种操作进行监督分析,判断是否存在异常,包括发送邮件、接收邮件以及对邮件账号进行相关设置等。
失陷账号确定单元320主要用于根据可疑邮件账号确定失陷邮件账号。
本实施例提供的邮件账号失陷检测装置可以实现对失陷邮件账号的准确检测,保证数据安全。
优选地,异常登录行为分析子单元可以包括:登录时间分析子单元、登陆地点分析子单元以及登录频次分析子单元中至少一个。
其中,登录时间分析子单元具体可以用于根据某个账号的以往登录时间对进行检测的账号登录时间进行检测,判断登录时间是否存在异常;
登陆地点分析子单元具体可以用于对用户的常用登录地址与进行检测的登录地址进行比对分析,判断是否出现异常;
登录频次分析子单元具体可以用于对每个源IP登录的邮件账号数目和/或一个账号在一定时间内的登录频次进行监督分析,判断是否出现异常。
优选地,异常邮件操作行为分析子单元可以包括:邮件内容相似度分析子单元以及收件人地址分析子单元中至少一个。
其中,邮件内容相似度分析子单元具体可以用于根据发送的邮件中内容的相似程度判断邮件发送行为是否出现异常,比如群发大量广告信息以及群发相同格式文件等;
收件人地址分析子单元具体可以用于对邮件发送的收件人进行分析,包括常用联系人以及不常用联系人的邮件发送情况等,根据分析结果判断是否存在异常情况。
优选地,失陷账号确定单元可以包括:
指定操作信息获取子单元,用于获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
指定行为分析子单元,用于根据指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
失陷账号确定子单元,用于根据指定时间行为分析结果确定失陷邮件账号。
优选地,邮件账号失陷检测装置可以还包括:
攻击者确定单元,用于根据失陷邮件账号以及邮件账号登录信息确定并存储攻击者画像信息;其中,画像信息包括攻击者源IP。
优选地,邮件账号失陷检测装置可以还包括:
防御单元,防御单元与攻击者确定单元连接,用于根据攻击者源IP追溯攻击行为,并对攻击行为实施相应防御措施。
本实施例提供一种邮件账号失陷检测设备,包括:存储器以及处理器。
其中,存储器用于存储程序;
处理器用于执行程序时实现如上述邮件账号失陷检测方法的步骤,具体可参照上述实施例中对邮件账号失陷检测方法的介绍。
请参考图4,为本实施例提供的邮件账号失陷检测设备的结构示意图,该检测设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(centralprocessing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在检测设备301上执行存储介质330中的一系列指令操作。
检测设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上面图1所描述的邮件账号失陷检测方法中的步骤可以由邮件账号失陷检测设备的结构实现。
本实施例公开一种可读存储介质,其上存储有程序,程序被处理器执行时实现如邮件账号失陷检测方法的步骤,具体可参照上述实施例中对邮件账号失陷检测方法的介绍。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的邮件账号失陷检测方法、装置、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (14)
1.一种邮件账号失陷检测方法,其特征在于,包括:
获取指定邮件账号预设时间范围内的邮件数据;
对所述邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,所述可疑邮件行为分析包括:异常登录行为分析和/或异常邮件操作行为分析;
根据所述可疑邮件账号确定失陷邮件账号。
2.如权利要求1所述的邮件账号失陷检测方法,其特征在于,所述异常登录行为分析包括:对所述指定邮件账号进行登录时间分析、登陆地点分析以及登录频次分析中至少一种。
3.如权利要求1所述的邮件账号失陷检测方法,其特征在于,所述异常邮件操作行为分析包括:邮件内容相似度分析以及收件人地址分析中至少一种。
4.如权利要求1所述的邮件账号失陷检测方法,其特征在于,所述根据所述可疑邮件账号确定失陷邮件账号包括:
获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
根据所述指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
根据所述指定时间行为分析结果确定失陷邮件账号。
5.如权利要求1至4任一项所述的邮件账号失陷检测方法,其特征在于,还包括:
根据所述失陷邮件账号以及所述邮件账号登录信息确定并存储攻击者画像信息;其中,所述画像信息包括攻击者源IP。
6.如权利要求5所述的邮件账号失陷检测方法,其特征在于,还包括:
根据所述攻击者源IP追溯攻击行为,并对所述攻击行为实施相应防御措施。
7.一种邮件账号失陷检测装置,其特征在于,包括:
邮件数据获取单元,用于获取指定邮件账号预设时间范围内的邮件数据;
行为分析单元,用于对所述邮件数据进行可疑邮件行为分析,得到可疑邮件账号;其中,所述行为分析单元包括:异常登录行为分析子单元和/或异常邮件操作行为分析子单元;
失陷账号确定单元,用于根据所述可疑邮件账号确定失陷邮件账号。
8.如权利要求7所述的邮件账号失陷检测装置,其特征在于,所述异常登录行为分析子单元包括:登录时间分析子单元、登陆地点分析子单元以及登录频次分析子单元中至少一个。
9.如权利要求7所述的邮件账号失陷检测装置,其特征在于,所述异常邮件操作行为分析子单元包括:邮件内容相似度分析子单元以及收件人地址分析子单元中至少一个。
10.如权利要求7所述的邮件账号失陷检测装置,其特征在于,所述失陷账号确定单元包括:
指定操作信息获取子单元,用于获取可疑邮件账号在登陆后指定时间范围内的邮件操作信息;
指定行为分析子单元,用于根据所述指定时间范围内的邮件操作信息进行指定时间行为分析,得到指定时间行为分析结果;
失陷账号确定子单元,用于根据所述指定时间行为分析结果确定失陷邮件账号。
11.如权利要求7所述的邮件账号失陷检测装置,其特征在于,还包括:
攻击者确定单元,用于根据所述失陷邮件账号以及所述邮件账号登录信息确定并存储攻击者画像信息;其中,所述画像信息包括攻击者源IP。
12.如权利要求11所述的邮件账号失陷检测装置,其特征在于,还包括:
防御单元,用于根据所述攻击者源IP追溯攻击行为,并对所述攻击行为实施相应防御措施。
13.一种邮件账号失陷检测设备,其特征在于,包括:
存储器,用于存储程序;
处理器,用于执行所述程序时实现如权利要求1至6任一项所述邮件账号失陷检测方法的步骤。
14.一种可读存储介质,其特征在于,所述可读存储介质上存储有程序,所述程序被处理器执行时实现如权利要求1至6任一项所述邮件账号失陷检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810982520.5A CN109040103B (zh) | 2018-08-27 | 2018-08-27 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810982520.5A CN109040103B (zh) | 2018-08-27 | 2018-08-27 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109040103A true CN109040103A (zh) | 2018-12-18 |
| CN109040103B CN109040103B (zh) | 2021-09-17 |
Family
ID=64624656
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810982520.5A Active CN109040103B (zh) | 2018-08-27 | 2018-08-27 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109040103B (zh) |
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109660453A (zh) * | 2019-01-24 | 2019-04-19 | 太仓红码软件技术有限公司 | 一种安全监测方法及其系统 |
| CN109862029A (zh) * | 2019-03-01 | 2019-06-07 | 论客科技(广州)有限公司 | 一种使用大数据分析的应对暴力破解行为的方法及系统 |
| CN109889507A (zh) * | 2019-01-24 | 2019-06-14 | 太仓红码软件技术有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN109936475A (zh) * | 2019-02-25 | 2019-06-25 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
| CN112667706A (zh) * | 2020-12-23 | 2021-04-16 | 微梦创科网络科技(中国)有限公司 | 识别被盗账号的方法及装置 |
| CN113259398A (zh) * | 2021-07-07 | 2021-08-13 | 杭州大乘智能科技有限公司 | 一种基于邮件日志数据的账号安全检测方法 |
| CN113408281A (zh) * | 2021-07-14 | 2021-09-17 | 北京天融信网络安全技术有限公司 | 邮箱账号异常检测方法、装置、电子设备及存储介质 |
| CN113726806A (zh) * | 2021-09-03 | 2021-11-30 | 杭州安恒信息技术股份有限公司 | 一种bec邮件检测方法、装置、系统及可读存储介质 |
| CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113839852A (zh) * | 2020-06-23 | 2021-12-24 | 中国科学院计算机网络信息中心 | 邮件账号异常检测方法、装置及存储介质 |
| CN113965349A (zh) * | 2021-09-14 | 2022-01-21 | 上海纽盾科技股份有限公司 | 具有安全检测功能的网络安全防护系统及方法 |
| CN113987472A (zh) * | 2021-09-14 | 2022-01-28 | 北京纽盾网安信息技术有限公司 | 网页浏览的安全性检测方法、装置及系统 |
| CN114006721A (zh) * | 2021-09-14 | 2022-02-01 | 北京纽盾网安信息技术有限公司 | 电子邮件的风险检测方法及系统 |
| CN114050941A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 一种基于核密度估计的失陷账号检测方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540773A (zh) * | 2009-04-22 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种垃圾邮件检测方法及其装置 |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN103795612A (zh) * | 2014-01-15 | 2014-05-14 | 五八同城信息技术有限公司 | 即时通讯中的垃圾和违法信息检测方法 |
| CN104426885A (zh) * | 2013-09-03 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 异常账号提供方法及装置 |
| US20160371703A1 (en) * | 2015-06-19 | 2016-12-22 | 24/7 Customer, Inc. | Method and apparatus for managing customer interactions on multiple interaction channels |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
-
2018
- 2018-08-27 CN CN201810982520.5A patent/CN109040103B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101540773A (zh) * | 2009-04-22 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种垃圾邮件检测方法及其装置 |
| CN102325062A (zh) * | 2011-09-20 | 2012-01-18 | 北京神州绿盟信息安全科技股份有限公司 | 异常登录检测方法及装置 |
| CN104426885A (zh) * | 2013-09-03 | 2015-03-18 | 深圳市腾讯计算机系统有限公司 | 异常账号提供方法及装置 |
| CN103795612A (zh) * | 2014-01-15 | 2014-05-14 | 五八同城信息技术有限公司 | 即时通讯中的垃圾和违法信息检测方法 |
| US20160371703A1 (en) * | 2015-06-19 | 2016-12-22 | 24/7 Customer, Inc. | Method and apparatus for managing customer interactions on multiple interaction channels |
| CN106529288A (zh) * | 2016-11-16 | 2017-03-22 | 智者四海(北京)技术有限公司 | 一种帐号风险识别方法及装置 |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109889507A (zh) * | 2019-01-24 | 2019-06-14 | 太仓红码软件技术有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN109660453A (zh) * | 2019-01-24 | 2019-04-19 | 太仓红码软件技术有限公司 | 一种安全监测方法及其系统 |
| CN109889507B (zh) * | 2019-01-24 | 2021-08-06 | 印象(山东)大数据有限公司 | 一种用于监测邮箱操作安全的监测方法及其系统 |
| CN109936475A (zh) * | 2019-02-25 | 2019-06-25 | 北京奇艺世纪科技有限公司 | 一种异常检测方法及装置 |
| CN109862029A (zh) * | 2019-03-01 | 2019-06-07 | 论客科技(广州)有限公司 | 一种使用大数据分析的应对暴力破解行为的方法及系统 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
| CN113810329A (zh) * | 2020-06-11 | 2021-12-17 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113810329B (zh) * | 2020-06-11 | 2023-09-29 | 中国科学院计算机网络信息中心 | 一种邮箱账号异常的检测方法及检测系统 |
| CN113839852B (zh) * | 2020-06-23 | 2023-03-24 | 中国科学院计算机网络信息中心 | 邮件账号异常检测方法、装置及存储介质 |
| CN113839852A (zh) * | 2020-06-23 | 2021-12-24 | 中国科学院计算机网络信息中心 | 邮件账号异常检测方法、装置及存储介质 |
| CN112667706A (zh) * | 2020-12-23 | 2021-04-16 | 微梦创科网络科技(中国)有限公司 | 识别被盗账号的方法及装置 |
| CN113259398A (zh) * | 2021-07-07 | 2021-08-13 | 杭州大乘智能科技有限公司 | 一种基于邮件日志数据的账号安全检测方法 |
| CN113408281A (zh) * | 2021-07-14 | 2021-09-17 | 北京天融信网络安全技术有限公司 | 邮箱账号异常检测方法、装置、电子设备及存储介质 |
| CN113408281B (zh) * | 2021-07-14 | 2024-02-09 | 北京天融信网络安全技术有限公司 | 邮箱账号异常检测方法、装置、电子设备及存储介质 |
| CN113726806A (zh) * | 2021-09-03 | 2021-11-30 | 杭州安恒信息技术股份有限公司 | 一种bec邮件检测方法、装置、系统及可读存储介质 |
| CN113965349A (zh) * | 2021-09-14 | 2022-01-21 | 上海纽盾科技股份有限公司 | 具有安全检测功能的网络安全防护系统及方法 |
| CN113987472A (zh) * | 2021-09-14 | 2022-01-28 | 北京纽盾网安信息技术有限公司 | 网页浏览的安全性检测方法、装置及系统 |
| CN114006721A (zh) * | 2021-09-14 | 2022-02-01 | 北京纽盾网安信息技术有限公司 | 电子邮件的风险检测方法及系统 |
| CN113987472B (zh) * | 2021-09-14 | 2023-07-18 | 北京纽盾网安信息技术有限公司 | 网页浏览的安全性检测方法、装置及系统 |
| CN114050941A (zh) * | 2022-01-11 | 2022-02-15 | 中孚信息股份有限公司 | 一种基于核密度估计的失陷账号检测方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109040103B (zh) | 2021-09-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109040103A (zh) | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 | |
| Protić | Review of KDD Cup ‘99, NSL-KDD and Kyoto 2006+ datasets | |
| CN107547555B (zh) | 一种网站安全监测方法及装置 | |
| US9106692B2 (en) | System and method for advanced malware analysis | |
| CN104811447B (zh) | 一种基于攻击关联的安全检测方法和系统 | |
| CN106375331B (zh) | 一种攻击组织的挖掘方法及装置 | |
| US9009829B2 (en) | Methods, systems, and media for baiting inside attackers | |
| CN109328448A (zh) | 基于网络流数据的垃圾邮件分类系统 | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| CN108768989A (zh) | 一种采用拟态技术的apt攻击防御方法、系统 | |
| CN108200105A (zh) | 一种检测钓鱼邮件的方法及装置 | |
| CN110602032A (zh) | 攻击识别方法及设备 | |
| CN110113350A (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
| Buchyk et al. | Devising a method of protection against zero-day attacks based on an analytical model of changing the state of the network sandbox | |
| Priya et al. | Detection of phishing websites using C4. 5 data mining algorithm | |
| CN111859374A (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN103593610B (zh) | 基于计算机免疫的间谍软件自适应诱导与检测方法 | |
| Webster | The development and analysis of intrusion detection algorithms | |
| CN112039874B (zh) | 一种恶意邮件的识别方法及装置 | |
| Gallo et al. | Identifying threats in a large company's inbox | |
| CN108965350A (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| CN110472132A (zh) | 一种安全舆情信息的获取方法、装置及介质 | |
| Kumar et al. | A Review on Recent Advances & Future Trends of Security in Honeypot. | |
| Stahl et al. | Intelligence Techniques in Computer Security and Forensics: at the boundaries of ethics and law | |
| Hamad et al. | Digital Forensics Tools Used in Cybercrime Investigation-Comparative Analysis |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |