CN110061981A - 一种攻击检测方法及装置 - Google Patents
一种攻击检测方法及装置 Download PDFInfo
- Publication number
- CN110061981A CN110061981A CN201910262849.9A CN201910262849A CN110061981A CN 110061981 A CN110061981 A CN 110061981A CN 201910262849 A CN201910262849 A CN 201910262849A CN 110061981 A CN110061981 A CN 110061981A
- Authority
- CN
- China
- Prior art keywords
- detected
- attack
- sender
- detection method
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明的实施例公开一种攻击检测方法及装置,涉及安全技术领域,能够基于邮件头中的邮件参数识别欺诈性的攻击邮件。该方法包括:确定待检测邮件的发件人信息与待检测信息完全一致,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X‑Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件;统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值;若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。本发明实施例应用于网络系统。
Description
本申请要求于2018年12月13日提交中国专利局、申请号为201811527441.1、发明名称为“一种基于邮件头的电邮攻击的检测方法”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
技术领域
本发明的实施例涉及安全技术领域,尤其涉及一种攻击检测方法及装置。
背景技术
随着计算机网络的发展,互联网已经在人们的日常生活中扮演了一个越来越重要的角色。而因为网络操作系统和网络应用程序存在的各种各样的缺陷,互联网的安全问题也越来越严重。安全的本质是持续对抗,近几年来随着防御技术的不断提高,攻击技术与方法也在不断的变换,从传统的基于对目标网络的直接漏洞攻击转向间接对使用电脑人员漏洞的社会工程学攻击,利用人自身的意识缺陷攻击目标用户的个人电脑、手机等设备,执行攻击者定制开发的恶意代码,实现进入和驻留目标。
由于邮件在人们日常工作交流中的高使用率,社会工程学攻击将商业电邮攻击选定为常用攻击手段。攻击者通过对攻击目标信息的大量收集,采用盗用目标用户邮箱,或仿冒知名网站通知邮箱的方式,精心编辑符合收件人兴趣爱好的邮件内容,诱使用户点击邮件中的钓鱼链接或下载恶意附件,达到入侵目标主机的目的。由于商业电邮攻击成功机率高,不易被传统的入侵检测和防御系统发现,商业电邮攻击已成为攻击者的首选方法,给企业带来巨大的损失。
现有的发件人策略框架SPF(sender policy framework)、邮件验证标准DKIM(domainKeys identified mail)和基于域的消息身份验证、报告和一致性DMARC(domain-based message authentication,reporting&conformance)等检测技术,虽然能确保邮件来自经授权的域,但目前还有很多邮件域并没有部署SPF、DKIM和DMARC,导致这些技术就无用武之地。并且对攻击者直接使用被黑的合法电子邮箱账户发送的欺诈性的邮件无法识别。另外基于邮件头发件人黑白名单过滤检测的方法在一定程度上能防止外部欺诈邮件进入企业内部,同样地也无法检测出被黑的合法电子邮箱账户发送的欺诈性的攻击邮件。
发明内容
本发明的实施例提供一种攻击检测方法及装置,能够基于邮件头中的邮件参数识别欺诈性的攻击邮件。
为达到上述目的,本发明采用如下技术方案:
第一方面,提供一种攻击检测方法,该方法包括:确定待检测邮件的发件人信息与待检测信息完全一致,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件;统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值;若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。
在上述方法中,首先确定待检测邮件的发件人信息与待检测信息完全一致后,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件;然后,统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值;最后,若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。本发明实施例能够基于邮件头中的邮件参数对邮件进行检测,从而解决现有技术中无法识别攻击者通过被黑的合法电子邮箱账户发送的欺诈性的攻击邮件。
第二方面,提供一种攻击检测装置,该攻击检测装置包括:处理单元,用于确定待检测邮件的发件人信息与待检测信息完全一致;获取单元,用于处理单元确定待检测邮件的发件人信息与待检测信息完全一致,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件;处理单元,用于统计获取单元获取的邮件参数中与标准参数不一致的参数在邮件参数中的占比值;处理单元,还用于若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。
可以理解地,上述提供的攻击检测装置用于执行上文所提供的第一方面对应的方法,因此,其所能达到的有益效果可参考上文第一方面对应的方法以及下文具体实施方式中对应的方案的有益效果,此处不再赘述。
第三方面,提供了一种攻击检测装置,该攻击检测装置的结构中包括处理器和存储器,存储器用于与处理器耦合,保存该攻击检测装置必要的程序指令和数据,处理器用于执行存储器中存储的程序指令,使得该攻击检测装置执行第一方面的方法。
第四方面,提供一种计算机存储介质,计算机存储介质中存储有计算机程序代码,当计算机程序代码在如第三方面的攻击检测装置上运行时,使得该攻击检测装置执行上述第一方面的方法。
第五方面,提供一种计算机程序产品,该计算机程序产品储存有上述计算机软件指令,当计算机软件指令在如第三方面的攻击检测装置上运行时,使得该攻击检测装置执行如上述第一方面方案的程序。
附图说明
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明的实施例提供的一种攻击检测方法的流程示意图;
图2为本发明的实施例提供的一种示例性的攻击检测方法的流程示意图;
图3为本发明的实施例提供的一种攻击检测装置的结构示意图;
图4为本发明的实施例提供的又一种攻击检测装置的结构示意图;
图5为本发明的实施例提供的再一种攻击检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
还需要说明的是,本发明实施例中,“的(英文:of)”,“相应的(英文:corresponding,relevant)”和“对应的(英文:corresponding)”有时可以混用,应当指出的是,在不强调其区别时,其所要表达的含义是一致的。
为了便于清楚描述本发明实施例的技术方案,在本发明的实施例中,采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分,本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。
随着计算机网络的发展,互联网已经在人们的日常生活中扮演了一个越来越重要的角色。而因为网络操作系统和网络应用程序存在的各种各样的缺陷,互联网的安全问题也越来越严重。安全的本质是持续对抗,近几年来随着防御技术的不断提高,攻击技术与方法也在不断的变换,从传统的基于对目标网络的直接漏洞攻击转向间接对使用电脑人员漏洞的社会工程学攻击,利用人自身的意识缺陷攻击目标用户的个人电脑、手机等设备,执行攻击者定制开发的恶意代码,实现进入和驻留目标。
网络犯罪热衷于以企业为目标,针对企业邮件使用密集的特点,也专门衍生出了一类特定的邮件犯罪——商业电邮攻击(business email compromise,简称BEC),据美国联邦调查局FBI(Federal Bureau of Investigation)2018年报告指出,商业电邮攻击诈骗给全球带来的损失及潜在损失超过120亿美元(约合人民币802.14亿元)。商业电邮攻击也被成为“钓鲸攻击”,这种邮件攻击主要针对企业高层管理人员,攻击形式通常有两种:一种是冒充(或盗用)决策者的邮件,来下达与资金、利益相关的指令;另一种是攻击者依赖社会工程学制作邮件,说服/诱导高管在短时间内进行经济交易。
由于邮件在人们日常工作交流中的高使用率,社会工程学攻击将商业电邮攻击选定为常用攻击手段。攻击者通过对攻击目标信息的大量收集,采用盗用目标用户邮箱,或仿冒知名网站通知邮箱的方式,精心编辑符合收件人兴趣爱好的邮件内容,诱使用户点击邮件中的钓鱼链接或下载恶意附件,达到入侵目标主机的目的。由于商业电邮攻击成功机率高,不易被传统的入侵检测和防御系统发现,商业电邮攻击已成为攻击者的首选方法,给企业带来巨大的损失。
目前针对商业电邮攻击的检测方法,主要集中在主题和正文内容检测方面,比如基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的相似度分析;基于是否含有动态文件(如exe、dll、pdf、MSoffice、html等)的分析;基于是否含有外部链接的分析等。基于邮件头的检测方法主要有如下方式:第一种,SPF是为了防范伪造发件人地址发送垃圾邮件而提出的一种开放式标准,是一种以IP地址认证邮件发件人身份的技术。域名所有者通过在DNS中发布SPF记录来授权合法使用该域名发送邮件的IP地址。第二种,DKIM是一种防范邮件欺诈的验证技术,通过消息加密认证的方式对邮件发送域名进行验证。邮件发送方发送邮件时,利用本域私钥加密邮件生成DKIM签名,将DKIM签名及其相关信息插入邮件头。邮件接收方接收邮件时,通过DNS查询获得公钥,验证邮件DKIM签名的有效性。从而确认在邮件发送的过程中,防止邮件被恶意篡改,保证邮件内容的完整性。第三种,DMARC是一种基于现有的SPF和DKIM协议的可扩展邮件认证协议,在邮件收发双方建立了邮件反馈机制,便于邮件发送方和邮件接收方共同对域名的管理进行完善和监督。DMARC要求域名所有者在DNS记录中设置SPF记录和DKIM记录,并明确声明对验证失败邮件的处理策略。邮件接收方接收邮件时,首先通过DNS获取DMARC记录,再对邮件来源进行SPF验证和DKIM验证,对验证失败的邮件根据DMARC记录进行处理,并将处理结果反馈给发送方。第四种,基于邮件头发件人黑白名单过滤检测机制:设置明确的黑白名单,只接受白名单内信任账户发送的邮件。第五种,判断邮件头第一IP地址以及对应的域名是否在黑名单内。但是,以上五种现有技术所存在的共性问题为无法检测出被黑的合法电子邮箱账户发送的欺诈性的攻击邮件。
基于上述背景技术以及现有技术中存在的问题,参照图1,本发明实施例提供一种攻击检测方法,该方法包括:
101、确定待检测邮件的发件人信息与待检测信息完全一致,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件。
其中,确定待检测邮件的发件人信息与待检测信息完全一致,具体包括:将待检测邮件的发件人信息中的来自From字段与待检测信息进行对比,确定待检测信息的发件人信息与待检测信息完全一致;其中,待检测信息包括以下至少一项:回复Reply-To字段以及返回路径Return-Path字段。
另外,确定待检测邮件的发件人信息与待检测信息完全一致之前,还包括:
S1、确定待检测邮件通过预设检测方法的判定;预设检测方法至少为以下任一项:发件人策略框架SPF检测方法、域名密钥识别邮件标准DKIM检测方法以及基于域的邮件验证、报告和一致性DMARC检测方法。
可选的,发件人策略框架SPF(sender policy framework)检测方法主要是通过检查发件人的域名(SPF)记录。SPF记录允许邮件系统管理员指定哪些邮件服务器可以使用该域名来发送邮件,接收服务器会在收到邮件时验证发件人在SMTP会话中执行MAIL FROM命令时的邮件地址是否与域名SPF记录中所指定的源IP匹配,以判断是否为发件人域名伪造。另外,域名密钥识别邮件标准DKIM(domainKeys identified mail)检测方法主要是通过在每封邮件上增加加密的数字标志,然后与合法的互联网地址数据库中的记录进行比较。当收到邮件后,只有加密信息与数据库中记录匹配的邮件,才能够进入用户的收件箱。DKIM域名密钥识别技术能检查邮件的完整性,避免黑客等未授权者的修改。此外,一致性DMARC检测方法是由发送方在DNS里声明自己采用该协议,接收方收到该域发送过来的邮件时,则进行DMARC校验,从而判断当前邮件来源是否合法。
示例性的,国内主流的邮件的应用类型、X-Mailer以及简化名称如表1所示:
表1
提取邮件头包含的邮件用户代理信息,即X-Mailer字段信息,该信息通常表明用户使用了哪种邮件客户端。比如“Microsoft Outlook 16.0”、“iPhoneMail”等。一般而言,用户使用的邮件用户代理信息是比较固定的,不会轻易改变。X-Mailer的改变有可能意味着一次模拟发件人的攻击。
在一种实现方式中,为了更有效地防御商业电邮攻击,对企业内部邮件用户的邮件客户端,可以采取定制X-Mailer字段的方式,这样即便合法用户的电子邮箱账户被黑,攻击者很难获取定制的X-Mailer字段的信息。
示例性的,邮件中的IP地址可以检索到对应的城市和运营商。因此针对IP地址的检测方式可以包括如下两种实现方式。第一,可以根据发件人的电子邮箱中邮件的IP地址所在城市的变化确定发件人的电子邮箱信息是否被伪造。如:发件人电子邮箱中的第一封邮件的IP地址显示在上海,1小时内第二封邮件的IP地址显示在北京,这种情况在现有的交通时间上判定是不可能实现的。另外,如第一封邮件的IP地址所在城市为上海,接下来4小时内第二封邮件、第三封邮件的IP地址分别对应城市为南京和上海,虽然从时间上分析有可能存在的,但从合理性上分析这种频繁的进行城市切换可能性较小,就判定发件人的电子邮箱信息存在较高概率的可能被伪造了。因此,针对上述的示例,可以为各个城市之间建立一个最小到达时间库,当邮件中的IP地址对应的城市的切换时间小于最小到达时间,则确定该封邮件的IP地址对应的城市与标准参数中的IP地址对应的不一致,并结合该封邮件头中其他的邮件参数的检测结果综合判定该封邮件是否为攻击邮件。第二,对于手机用户而言,通过电子邮箱所发送的邮件中的IP地址所属运营商是一个判断的关键因素。由于用户通过手机电子邮箱发送邮件通常固定一个运营商。例如,若以前看到某手机用户一直使用电信运营商发送邮件,突然发现最近一次发件人发送的邮件的IP地址所属运营商来自联通。因此,确定该封邮件的IP地址对应的运营商与标准参数中的IP地址对应的运营商不一致,并结合该封邮件头中其他的邮件参数的检测结果综合判定该封邮件是否为攻击邮件。
102、统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值。
另外,步骤102之前,还包括:
S2、获取发件人的预设数量的历史邮件的邮件参数,并利用机器学习算法获得标准参数;其中历史邮件包括已发送邮件。
103、若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。
在步骤103之后,还包括:
S3、按照设定动作处理攻击邮件;其中设定动作至少包括以下的一项或多项:拦截、隔离以及添加标记。
可选的,若占比值小于预设阈值时,可以对待检测邮件的邮件标题以及正文进行检测。
为了更好的理解,参照图2,针对上述本发明实施例提供的一种攻击检测方法进行示例性说明,具体步骤如下:
201、判断是否通过待检测邮件是否通过SPF检测方法、DKIM检测方法以及DMARC检测方法的检查;若是,跳转至步骤202;否则结束。
202、提取待检测邮件的From字段;跳转至步骤203。
203、将From字段与Reply-To字段以及Return-Path字段进行对比,若一致,跳转至步骤204;否则结束。
204、判定是否为已知发件人;若是,跳转至步骤205;否则跳转至步骤212。
205、检查发件人记录状态是否为最新状态;若是,跳转至步骤206;否则跳转至步骤213。
206、获取待检测邮件的发送方邮件头中的邮件参数;跳转至步骤207。
207、统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值;跳转至步骤208。
208、判断占比值是否小于预设阈值;若是,跳转至步骤210;否则跳转至步骤209。
209、确定待检测邮件为攻击邮件,结束。
210、检测待检测邮件的邮件标题和正文检测;若通过,跳转至步骤211;否则跳转至步骤209。
211、确定待检测邮件为正常邮件,结束。
212、创建发件人记录;跳转至步骤213。
213、判断能否获取发件人的预设数量的历史邮件的邮件参数,若是,跳转至步骤214;否则跳转至步骤210。
214、利用机器学习算法获得标准参数;其中历史邮件包括已发送邮件;跳转至步骤206。
在上述方法中,首先确定待检测邮件的发件人信息与待检测信息完全一致后,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件;然后,统计邮件参数中与标准参数不一致的参数在邮件参数中的占比值;最后,若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。并示例性的说明了通过发送方邮件头中的的IP地址获得发件人所使用的设备、IP地址所对应的城市以及IP地址所对应的运营商等信息的动态关联检测技术,提高检测率。本发明实施例能够基于邮件头中的邮件参数对邮件进行检测,从而解决现有技术中无法识别攻击者通过被黑的合法电子邮箱账户发送的欺诈性的攻击邮件。
参照图3,本发明实施例提供一种攻击检测装置30,该攻击检测装置30包括:
处理单元302,用于确定待检测邮件的发件人信息与待检测信息完全一致。
获取单元301,用于处理单元302确定待检测邮件的发件人信息与待检测信息完全一致,获取待检测邮件的发送方邮件头中的邮件参数;其中,邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;待检测信息用于指示待检测邮件的收件端按照指定地址字段回复邮件。
处理单元302,用于统计获取单元301获取的邮件参数中与标准参数不一致的参数在邮件参数中的占比值。
处理单元302,还用于若占比值大于或等于预设阈值,确定待检测邮件为攻击邮件。
在一种示例性的方案中,处理单元302,具体用于将待检测邮件的发件人信息中的来自From字段与待检测信息进行对比,确定待检测信息的发件人信息与待检测信息完全一致;其中,待检测信息包括以下至少一项:回复Reply-To字段以及返回路径Return-Path字段。
在一种示例性的方案中,处理单元302,还用于确定待检测邮件通过预设检测方法的判定;预设检测方法至少为以下任一项:发件人策略框架SPF检测方法、域名密钥识别邮件标准DKIM检测方法以及基于域的邮件验证、报告和一致性DMARC检测方法。
在一种示例性的方案中,获取单元301,还用于获取发件人的预设数量的历史邮件的邮件参数;其中历史邮件包括已发送邮件;
处理单元302,用于将获取单元301获取的历史邮件的邮件参数利用机器学习算法获得标准参数。
在一种示例性的方案中,处理单元302,还用于按照设定动作处理攻击邮件;其中设定动作至少包括以下的一项或多项:拦截、隔离以及添加标记。
由于本发明实施例中的攻击检测装置可以应用于实施上述方法实施例,因此,其所能获得的技术效果也可参考上述方法实施例,本发明实施例在此不再赘述。
在采用集成的单元的情况下,图4示出了上述实施例中所涉及的攻击检测装置30的一种可能的结构示意图。攻击检测装置30包括:处理模块401、通信模块402和存储模块403。处理模块401用于对攻击检测装置30的动作进行控制管理,例如,处理模块401用于支持攻击检测装置30执行图1中的过程S1、101、S2、102、103、S3。通信模块402用于支持攻击检测装置30与其他实体的通信。存储模块403用于存储攻击检测装置30的程序代码和数据。
其中,处理模块401可以是处理器或控制器,例如可以是中央处理器(centralprocessing unit,CPU),通用处理器,数字信号处理器(digital signal processor,DSP),专用集成电路(application-specific integrated circuit,ASIC),现场可编程门阵列(field programmable gate array,FPGA)或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本申请公开内容所描述的各种示例性的逻辑方框,模块和电路。处理器也可以是实现计算功能的组合,例如包含一个或多个微处理器组合,DSP和微处理器的组合等等。通信模块402可以是收发器、收发电路或通信接口等。存储模块403可以是存储器。
当处理模块401为如图5所示的处理器,通信模块402为图5的收发器,存储模块403为图5的存储器时,本申请实施例所涉及的攻击检测装置30可以为如下的攻击检测装置30。
参照图5所示,该攻击检测装置30包括:处理器501、收发器502、存储器503和总线504。
其中,处理器501、收发器502、存储器503通过总线504相互连接;总线504可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
处理器501可以是一个通用中央处理器(Central Processing Unit,CPU),微处理器,特定应用集成电路(Application-Specific Integrated Circuit,ASIC),或一个或多个用于控制本申请方案程序执行的集成电路。
存储器503可以是只读存储器(Read-Only Memory,ROM)或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器(Random Access Memory,RAM)或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器(ElectricallyErasable Programmable Read-only Memory,EEPROM)、只读光盘(Compact Disc Read-Only Memory,CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器可以是独立存在,通过总线与处理器相连接。存储器也可以和处理器集成在一起。
其中,存储器503用于存储执行本申请方案的应用程序代码,并由处理器501来控制执行。收发器502用于接收外部设备输入的内容,处理器501用于执行存储器503中存储的应用程序代码,从而实现本申请实施例中的攻击检测方法。
应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时,可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(DigitalSubscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质(例如,软盘、硬盘、磁带),光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
本发明实施例还提供一种计算机程序产品,该计算机程序产品可直接加载到存储器中,并含有软件代码,该计算机程序产品经由计算机载入并执行后能够实现上述的攻击检测方法。
以上,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种攻击检测方法,其特征在于,包括:
确定待检测邮件的发件人信息与待检测信息完全一致,获取所述待检测邮件的发送方邮件头中的邮件参数;其中,所述邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;所述待检测信息用于指示所述待检测邮件的收件端按照指定地址字段回复邮件;
统计所述邮件参数中与标准参数不一致的参数在所述邮件参数中的占比值;
若所述占比值大于或等于预设阈值,确定所述待检测邮件为攻击邮件。
2.根据权利要求1所述的攻击检测方法,其特征在于,所述确定待检测邮件的发件人信息与待检测信息完全一致,具体包括:
将所述待检测邮件的所述发件人信息中的来自From字段与所述待检测信息进行对比,确定所述待检测信息的所述发件人信息与所述待检测信息完全一致;其中,所述待检测信息包括以下至少一项:回复Reply-To字段以及返回路径Return-Path字段。
3.根据权利要求1所述的攻击检测方法,其特征在于,所述确定待检测邮件的发件人信息与待检测信息完全一致之前,还包括:
确定所述待检测邮件通过预设检测方法的判定;所述预设检测方法至少为以下任一项:发件人策略框架SPF检测方法、域名密钥识别邮件标准DKIM检测方法以及基于域的邮件验证、报告和一致性DMARC检测方法。
4.根据权利要求1所述的攻击检测方法,其特征在于,所述统计所述邮件参数中与标准参数不一致的参数在所述邮件参数中的占比值之前,还包括:
获取发件人的预设数量的历史邮件的邮件参数,并利用机器学习算法获得所述标准参数;其中所述历史邮件包括已发送邮件。
5.根据权利要求1所述的攻击检测方法,其特征在于,所述确定所述待检测邮件为攻击邮件之后,还包括:
按照设定动作处理所述攻击邮件;其中所述设定动作至少包括以下的一项或多项:拦截、隔离以及添加标记。
6.一种攻击检测装置,其特征在于,包括:
处理单元,用于确定待检测邮件的发件人信息与待检测信息完全一致;
获取单元,用于所述处理单元确定所述待检测邮件的发件人信息与所述待检测信息完全一致,获取所述待检测邮件的发送方邮件头中的邮件参数;其中,所述邮件参数包括以下至少一项:邮件用户代理X-Mailer信息、主机名以及互联网协议IP地址;所述待检测信息用于指示所述待检测邮件的收件端按照指定地址字段回复邮件;
所述处理单元,用于统计所述获取单元获取的所述邮件参数中与标准参数不一致的参数在所述邮件参数中的占比值;
所述处理单元,还用于若所述占比值大于或等于预设阈值,确定所述待检测邮件为攻击邮件。
7.根据权利要求6所述的攻击检测装置,其特征在于,包括:
所述处理单元,具体用于将所述待检测邮件的所述发件人信息中的来自From字段与所述待检测信息进行对比,确定所述待检测信息的所述发件人信息与所述待检测信息完全一致;其中,所述待检测信息包括以下至少一项:回复Reply-To字段以及返回路径Return-Path字段。
8.根据权利要求6所述的攻击检测装置,其特征在于,包括:
所述处理单元,还用于确定所述待检测邮件通过预设检测方法的判定;所述预设检测方法至少为以下任一项:发件人策略框架SPF检测方法、域名密钥识别邮件标准DKIM检测方法以及基于域的邮件验证、报告和一致性DMARC检测方法。
9.根据权利要求6所述的攻击检测装置,其特征在于,包括:
所述获取单元,还用于获取发件人的预设数量的历史邮件的邮件参数;其中所述历史邮件包括已发送邮件;
所述处理单元,用于将所述获取单元获取的所述历史邮件的邮件参数利用机器学习算法获得所述标准参数。
10.根据权利要求6所述的攻击检测装置,其特征在于,包括:
所述处理单元,还用于按照设定动作处理所述攻击邮件;其中所述设定动作至少包括以下的一项或多项:拦截、隔离以及添加标记。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811527441 | 2018-12-13 | ||
| CN2018115274411 | 2018-12-13 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110061981A true CN110061981A (zh) | 2019-07-26 |
Family
ID=67318117
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910262849.9A Pending CN110061981A (zh) | 2018-12-13 | 2019-04-02 | 一种攻击检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110061981A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN115037542A (zh) * | 2022-06-09 | 2022-09-09 | 北京天融信网络安全技术有限公司 | 一种异常邮件检测方法及装置 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1573782A (zh) * | 2003-06-23 | 2005-02-02 | 微软公司 | 先进的垃圾邮件侦测技术 |
| US20050169274A1 (en) * | 2003-09-03 | 2005-08-04 | Ideaflood, Inc | Message filtering method |
| CN101188580A (zh) * | 2007-12-05 | 2008-05-28 | 中国联合通信有限公司 | 一种实时垃圾电子邮件过滤方法及系统 |
| CN106027504A (zh) * | 2016-05-09 | 2016-10-12 | 哈尔滨工程大学 | 一种基于用户行为分类的垃圾邮件过滤系统及方法 |
| CN107196844A (zh) * | 2016-11-28 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 异常邮件识别方法及装置 |
| CN108683589A (zh) * | 2018-07-23 | 2018-10-19 | 清华大学 | 垃圾邮件的检测方法、装置及电子设备 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
-
2019
- 2019-04-02 CN CN201910262849.9A patent/CN110061981A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1573782A (zh) * | 2003-06-23 | 2005-02-02 | 微软公司 | 先进的垃圾邮件侦测技术 |
| US20050169274A1 (en) * | 2003-09-03 | 2005-08-04 | Ideaflood, Inc | Message filtering method |
| CN101188580A (zh) * | 2007-12-05 | 2008-05-28 | 中国联合通信有限公司 | 一种实时垃圾电子邮件过滤方法及系统 |
| CN106027504A (zh) * | 2016-05-09 | 2016-10-12 | 哈尔滨工程大学 | 一种基于用户行为分类的垃圾邮件过滤系统及方法 |
| CN107196844A (zh) * | 2016-11-28 | 2017-09-22 | 北京神州泰岳信息安全技术有限公司 | 异常邮件识别方法及装置 |
| CN108833258A (zh) * | 2018-06-12 | 2018-11-16 | 广东睿江云计算股份有限公司 | 一种邮件服务主动发现异常的方法 |
| CN108683589A (zh) * | 2018-07-23 | 2018-10-19 | 清华大学 | 垃圾邮件的检测方法、装置及电子设备 |
Non-Patent Citations (2)
| Title |
|---|
| STEVE MARTIN等: "Analyzing Behaviorial Features for Email Classification", 《CEAS 2005》 * |
| 李璇: "基于行为识别的垃圾邮件过滤技术的研究与应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN114531259B (zh) * | 2020-11-06 | 2024-03-22 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN113381983A (zh) * | 2021-05-19 | 2021-09-10 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN113381983B (zh) * | 2021-05-19 | 2023-09-22 | 清华大学 | 一种伪冒电子邮件的识别方法及装置 |
| CN115037542A (zh) * | 2022-06-09 | 2022-09-09 | 北京天融信网络安全技术有限公司 | 一种异常邮件检测方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11546375B2 (en) | Detection of external messaging attacks using trust relationships | |
| US11689559B2 (en) | Anti-phishing | |
| US11496505B2 (en) | Detection and prevention of external fraud | |
| US11102244B1 (en) | Automated intelligence gathering | |
| CN113474776A (zh) | 用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台 | |
| US8220047B1 (en) | Anti-phishing system and method | |
| US20120084866A1 (en) | Methods, systems, and media for measuring computer security | |
| US11336610B2 (en) | Email sender and reply-to authentication to prevent interception of email replies | |
| KR20060006769A (ko) | 스팸 방지용 피드백 루프 | |
| US10341382B2 (en) | System and method for filtering electronic messages | |
| CN110061981A (zh) | 一种攻击检测方法及装置 | |
| KR102648653B1 (ko) | 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법 | |
| US20220321518A1 (en) | Email Sender and Reply-To Authentication to Prevent Interception of Email Replies | |
| CN108965350A (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| Siadati et al. | A framework for analysis attackers’ accounts | |
| US20230412625A1 (en) | System and Method for Determining If a Sender's Email is being Eavesdropped On | |
| KR102546068B1 (ko) | 위협 요소의 정량 분석 기반 이메일 보안 진단 장치 및 그 동작 방법 | |
| Ceesay | Mitigating phishing attacks: a detection, response and evaluation framework | |
| Siddiqui et al. | A Study of AIOT in Detecting Social Engineering Attacks: Phishing and Identity Theft | |
| Drury | Phishing prevention: a multi-layered approach | |
| Mehendele et al. | Review of Phishing Attacks and Anti Phishing Tools | |
| Saxena | Web Spamming-A Threat | |
| Baihan | Anti-Spoofing Tool |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190726 |
|
| RJ01 | Rejection of invention patent application after publication |