CN110290155A - 社会工程学攻击的防御方法及装置 - Google Patents
社会工程学攻击的防御方法及装置 Download PDFInfo
- Publication number
- CN110290155A CN110290155A CN201910667384.5A CN201910667384A CN110290155A CN 110290155 A CN110290155 A CN 110290155A CN 201910667384 A CN201910667384 A CN 201910667384A CN 110290155 A CN110290155 A CN 110290155A
- Authority
- CN
- China
- Prior art keywords
- communication information
- social engineering
- attack
- user terminal
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明提供了一种社会工程学攻击的防御方法及装置,其中,该方法包括:当用户终端接收到通信消息时,获取所述通信消息的内容;提取获取的所述通信消息的内容中的主体认知特性特征;根据提取的主体认知特性特征判断所述通信消息是否为社会工程学攻击;在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施;根据选择的防御措施针对所述通信消息执行防御动作。通过上述方案为用户提供适应性的安全防护,满足用户全方位的安全防护需求。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种社会工程学攻击的防御方法及装置。
背景技术
社会工程学是指通过自然的、社会的和制度上的途径,利用人的心理弱点(如,人的本能反应、好奇心、信任、贪婪)以及规则制度上的漏洞,在攻击者和被攻击者之间建立起信任关系,获得有价值的信息,从而可以通过未经用户授权的路径访问某些敏感数据和隐私数据。随着计算机的普及和互联网技术的不断发展,作为一种攻击手段,社会工程学的技术越来越成熟。运用社会工程学进行网络攻击可以使网络攻击者不需要付出很大的代价,就可以达到他们所想要达到的目的,所以社会工程学被越来越多的攻击者所青睐,且社会工程学攻击呈现迅速上升甚至滥用的趋势,从各方面带来了巨大的威胁。
目前,社会工程学攻击的检测研究主要是从人和技术两个方面出发,分为基于安全教育和基于技术手段的检测机制。基于安全教育的机制将重心放在制定一系列的安全规则,提高个人的安全意识,但由于人并不是机器,随时都会出现疏忽,需要漫长的时间来训练才能得到提升,提升效果也因人而异,所以这种方法可靠性不强。基于技术手段的检测机制是从社会工程学攻击出发,通过提取一系列的特征来检测攻击,可以达到高准确性,快速性,但检测方式单一,局限于攻击的具体形式,而且,对于检测出的社会工程学攻击的防护机制也较为单一。所以现有的检测及防护方法不能满足用户全方位的安全防护需求。
发明内容
有鉴于此,本发明提供了一种社会工程学攻击的防御方法及装置,以为用户提供适应性的安全防护,满足用户全方位的安全防护需求。
为了达到上述目的,本发明采用以下方案实现:
根据本发明实施例的一个方面,提供了一种社会工程学攻击的防御方法,包括:当用户终端接收到通信消息时,获取所述通信消息的内容;提取获取的所述通信消息的内容中的主体认知特性特征;根据提取的主体认知特性特征判断所述通信消息是否为社会工程学攻击;在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施;根据选择的防御措施针对所述通信消息执行防御动作。
在一些实施例中,在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施之前,还包括:根据从所述用户终端收集的用户历史处理来自至少一个通信平台的消息的行为数据,按设定标准评估得到所述用户终端的用户安全意识等级。
在一些实施例中,所述至少一个通信平台包括电话、短信及电子邮件。
在一些实施例中,所述行为数据包括用户是否拒接社会工程学电话、用户是否阅读社会工程学短信、以及用户是否阅读社会工程学电子邮件。
在一些实施例中,当用户终端接收到通信消息时,获取所述通信消息的内容,包括:当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容。
在一些实施例中,当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容,包括:在用户终端接收到来自短信或电子邮件的通信消息时,提取所述通信消息的文本内容,作为所述通信消息的文本格式的内容;在用户终端接收到来自电话的通信消息时,提取所述通信消息的语音内容,并将提取的语音内容转换为文本内容,作为所述通信消息的文本格式的内容。
在一些实施例中,提取的主体认知特性特征包括与认知相关的心理特征。
在一些实施例中,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施,包括:在预先评估得到的所述用户终端的用户安全意识等级为安全意识低等级的情况下,高频率发送社会工程学攻击提示消息和安全意识培训课程内容,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识中等等级的情况下,中频率发送社会工程学攻击提示消息,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识高等级的情况下,低频率发送社会工程学攻击提示消息,作为防御措施;其中,所述安全意识低等级低于所述安全意识中等等级,所述安全意识中等等级低于所述安全意识高等级,所述高频次的频次大于所述中频次的频次,所述中频次的频次大于所述低频次的频次。
根据本发明实施例的另一个方面,提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述实施例所述方法的步骤。
根据本发明实施例的又一个方面,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述实施例所述方法的步骤。
本发明的社会工程学攻击的防御方法、电子设备及计算机可读存储介质,根据主体认知特性特征进行社会工程学攻击性检测,能够不局限于社会工程学攻击的具体形式,从而满足用户全方位的安全防护需求。而且,通过根据用户安全意识等级自适应的选择防御措施,能够满足用户全方位的安全防护需求。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1是本发明一实施例的社会工程学攻击的防御方法的流程示意图;
图2是本发明一具体实施例的社会工程学攻击的防御方法的框图示意图;
图3是本发明一实施例的社会工程学攻击的防御装置的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
用户终端(例如,手机、平板电脑)可以具有多个通信平台,例如,中国移动、中国联通、微信、电子邮件等。用户通过用户终端上的各个通信平台均可以与外界或其他终端或服务端进行通信。例如,通过中国移动或中国联通可以收到来电或短信,通过微信可以收到文字或声音信息、音/视频通话请求等。攻击者可以通过各种不同通信平台对用户终端的用户进行社会工程学攻击。
然而,现有的检测方式均是局限于攻击的具体形式,通过若干条提前设计好的规则进行检验,例如,对于钓鱼邮件和钓鱼网站的检测就需要两种不同的检测机制。由于不同攻击形式采用的攻击方法差异很大,导致检测方法不能实现兼容。这样做的缺点是需要针对社会工程学的具体形式制定规则,只适用于检测特定形式的社会工程学攻击,可适应性差。若用户终端上可以基于多种通信平台进行通信,就需要准备多种检测机制进行检测。另外,不同用户的安全意识强弱通常不同,太复杂的防御方式会使安全意识较强的用户感到受打扰,太简单的防御无法对安全意识较弱的用户起到较好的防御效果。
由于社会工程学是针对人的弱点进行的攻击,人是社会工程学攻击过程中最脆弱的一环,所以同一个攻击对于不同的受害者来说效果也不尽相同。为了针对个人脆弱性,使得防御效果最大化,本发明提出了一种社会工程学攻击的防御方法,可以根据目标的安全意识薄弱情况有针对性的选择应对措施,能够自适应的满足不同用户的防御需求,且不受通信平台具体形式的限制。下面将对本发明的实施例进行具体说明。
图1是本发明一实施例的社会工程学攻击的防御方法的流程示意图。如图1所示,一些实施例的社会工程学攻击的防御方法可包括以下步骤S110至步骤S140。本发明实施例的防御方法中的各步骤可以基于用户终端或额外的设备执行。
步骤S110:当用户终端接收到通信消息时,获取所述通信消息的内容。
用户终端可以是移动用户终端或固定的用户终端。用户终端设备可以是手机、平板电脑、个人计算机等。所接收到的通信消息是基于某一种通信平台的消息,例如,基于电信平台的电话通话中的语音或短信中的文字;或者,基于社交软件平台(如微信)的语音通话中的语音,或即时通信中的文字或图片;再或者,基于网页(如电子邮件)的文本文字。
可以通过编写专门的程序来获取各种不同通信平台的消息,或者可以通过软件代理或第三方平台获取各种不同通信平台的消息,再或者,通过用户主动上传/输入各平台信息来获取通信消息。其中,通过第三方平台获取通信消息或其内容,容易脱离具体攻击形式框架的限制。另外,代理软件可以是设置在社会工程学攻击的防御装置内;代理软件经过用户的授权可以在多个平台收集通信消息,并将收集到的通信消息进行标准化的处理。无论是针对哪种通信平台的社会工程学攻击,均可以将其内容提取出来进行检测,以此,能够使得本方案的防御方法不局限于具体的攻击形式,而能利用一种检测机制适用各种通信平台或社会工程学攻击形式。
获取的通信消息的内容可以是文本、语音、图片等。在获取到通信消息时,可以将该通信消息统一成标准的格式,例如,均统一为文本格式,或者均统一为声音格式。
示例性地,上述步骤S110,更具体地,可包括步骤:S111,当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容。该实施例中,无论通信消息为哪种格式,均可以将消息内容统一为文本格式的内容,以此,可以便于进行后续处理。在其他实施例中,可以将接收到的通信消息统一转换为其他格式,例如声音。
更具体的实施例中,上述步骤S111,可包括步骤:S1111,在用户终端接收到来自短信或电子邮件的通信消息时,提取所述通信消息的文本内容,作为所述通信消息的文本格式的内容;在用户终端接收到来自电话的通信消息时,提取所述通信消息的语音内容,并将提取的语音内容转换为文本内容,作为所述通信消息的文本格式的内容。
其中,提取的语音内容可以是一段的语音通话。可以采用的现有的语音转换为文本的算法将提取的语音内容转换为文本内容。
在其他实施例中,若用户终端接收到的通信消息为图片,例如,通过微信传输的图片,可以通过图像识别,将图片转换为文本。
步骤S120:提取获取的所述通信消息的内容中的主体认知特性特征。
该主体认知特性特征可包括与认知相关的心理特征,换言之,可指与主体认知相关的一系列心理特征,具体地,可包括威胁、恐吓等情绪心理特征、人格特征、安全能力特征等。可通过现有的机器学习、统计学习方法,分析用户通信消息内容,提取主体认知特性特征。
针对两类社会工程学主体(攻击者和被攻击者),可通过文献调研和案例分析,对目前与人的交互相关的社会工程学技术进行梳理和分析,并测量关键主体的心理行为特征,解析其心理特征对社会工程产生作用的关键环节,对各级交互任务进行认知分析,明确目前各类社会工程学常用攻击技术所利用的心理特征,发现社会工程学攻击手段和两类主体的心理特征的映射关系,确定攻击主体的攻击性和被攻击主体的脆弱性和易感性,为攻击检测提供解决方法。可结合海量社会工程学攻击案例,分析总结出社会工程学行为模式,从而基于主体认知特性进行社会工程学攻击检测。
现有的社会工程学攻击检测方法大多是针对某种社会工程学攻击的具体形式,通过若干条提前设计好的规则进行检验,这样做的缺点是需要针对社会工程学的具体形式制定规则,只适用于检测特定形式的社会工程学攻击,可适应性差。而本实施例基于主体认知特性进行社会工程学检测,能够考虑到多社交平台检测的使用场景。此外,通过这种检测算法,可以从社会工程学攻击过程出发,探讨在网络环境下人的心理特征和交互行为特点,以及在网络交互过程中信任的形成和维系机制,揭示社会工程学的核心影响要素,为社会工程学攻击检测和溯源提供理论依据。基于主体认知特性进行社会工程学攻击检测不受社会工程学攻击具体形式的限制。
具体地,可以通过将提取的通信消息的内容(例如文本内容)与预先建立的数据库中的各条信息(例如,各个词条或语句)进行比较得到获取的通信消息的内容对应的主体认知特性特征,其中,在该数据库中预先存储了多条信息,每条信息可以标注有相应的主体认知特性特征,如此一来,可以得到提取的通信消息的内容对应的主体认知特性特征。
再例如,可以通过对获取的通信消息的内容进行语义分析得到相应的主体认知特性特征,其中,语义分析所采用的模型可以是利用训练样本对现有的机器学习算法进行训练得到,其中,训练样本可以包括作为输入的信息和标注的相应的主体认知特性特征。
步骤S130:根据提取的主体认知特性特征判断所述通信消息是否为社会工程学攻击。
具体地,可以通过机器学习、深度学习等方法对提取的主体认知特性特征进行学习,判断所述通信消息是否为社会工程学攻击。更具体地,可以根据已有数据,提取主体认知特性特征,预先训练社会工程学攻击分类器,将本次通信消息经过预处理之后输入社会工程学攻击分类器,判断本次通信消息是否为社会工程学攻击。
步骤S140:在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施。
可以预先搜集该用户终端的用户处理各种通信消息的行为数据,然后对这些行为数据进行分析确定该用户终端的用户的安全意识的强弱。
在一些实施例中,该步骤S140之前,图1所示的防御方法还可包括步骤:S160,根据从所述用户终端收集的用户历史处理来自至少一个通信平台的消息的行为数据,按设定标准评估得到所述用户终端的用户安全意识等级。在上述步骤S160中,示例性地,所述的至少一个通信平台可包括电话、短信、电子邮件等。进一步地,所述的行为数据可包括用户是否拒接社会工程学电话、用户是否阅读社会工程学短信、用户是否阅读社会工程学电子邮件等之中的一个或多个。
具体地,在通信平台为电话的情况下,所述的行为数据可包括用户拒接社会工程学电话或者用户接听了社会工程学电话,其中,社会工程学电话可以指预先已知是攻击者的来电或实时检测出的攻击者的来电,对于用户可以是陌生电话。在通信平台为短信的情况下,所述的行为数据可包括用户阅读了社会工程学短信或用户忽略了社会工程学短信,其中,社会工程学短信可以是预先已知是攻击者发来的短信或实时检测出的攻击者发来的短信。在通信平台为电子邮件的情况下,所述的行为数据可包括用户阅读了社会工程学电子邮件或忽略/删除了社会工程学电子邮件,其中,社会工程学电子邮件可以是预先已知是攻击者发来的电子邮件或实时检测出的攻击者发来的电子邮件。
可以将用户安全意识的强弱分成多个等级,例如,分为高、中、低三个等级。根据上述用户终端的用户所述的安全意识等级,可以选择相应的防御措施,以使用户既能够得到必要的安全防护,又能避免打扰到用户。
在一些实施例中,该步骤S140之前,可预先设定不同用户安全意识等级对应的防御措施,例如,安全意识低等级对应的防御措施为高频次发送社会工程学攻击提示消息和安全意识培训课程内容,安全意识中等等级对应的防御措施为中频次发送社会工程学攻击提示消息,安全意识高等级对应的防御措施为低频次发送社会工程学攻击提示消息。另一些实施例中,安全意识等级为安全意识高等级时,对于一些非常明显的社会工程学攻击行为可以忽略。
其中,发送社会工程学攻击提示消息,具体地,可包括:调取预先设定的社会工程学攻击提示消息内容,然后以通信消息所在通信平台发出该社会工程学攻击提示消息内容;或者,无论通信消息所在通信平台是哪一种,调取预先设定的社会工程学攻击提示消息内容后,直接以设定的方式发出该提示消息内容,即,可以不必以通信消息所在通信平台发出该社会工程学攻击提示消息内容。
示例性地,该步骤S140,更具体地,可包括步骤:在预先评估得到的所述用户终端的用户安全意识等级为安全意识低等级的情况下,高频次发送社会工程学攻击提示消息和安全意识培训课程内容,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识中等等级的情况下,中频次发送社会工程学攻击提示消息,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识高等级的情况下,低频次发送社会工程学攻击提示消息,作为防御措施;其中,所述安全意识低等级低于所述安全意识中等等级,所述安全意识中等等级低于所述安全意识高等级,所述高频次的频次大于所述中频次的频次,所述中频次的频次大于所述低频次的频次。在预先评估得到的所述用户终端的用户安全意识等级为安全意识高等级的情况下,可以忽略一些明显的社会工程学攻击。
其中,社会工程学攻击提示消息可以是提示短信、提示邮件等,具体地,可以提示用户该短信为钓鱼短信,该邮件为钓鱼邮件,或者提示注意存在风险。安全意识培训课程内容可以能够使用户了解社会工程学攻击,并提供给其日常防范措施,提高其安全意识。
步骤S150:根据选择的防御措施针对所述通信消息执行防御动作。
确定防御措施后,可以执行相应的防御动作。执行防御动作可以是基于所接收通信消息的平台,或者可以基于其他方式。例如,若通信消息为短信,则可通过以短信的方式发送提示消息或安全意识培训课程内容,或者可以以其他方式,如系统消息或预先设定的电子邮件的方式发送提示消息或安全意识培训课程内容。再例如,若防御措施为忽略本次社会工程学攻击,则可不作出动作。一些实施例中,执行防御动作可以包括:基于代理所在的平台,将提示消息以短信、邮件等方式发送至用户。培训课程可包括两部分,一部分是,初级的社会工程学攻击防御知识文本;另一部分是高级的相关书籍、视频链接。培训课程可以由预先设定好的课程库发送,发送的内容是直接调用的。
本实施例中,通过获取通信消息的内容,提取通信消息的内容中的主体认知特性特征,并据此进行社会工程学攻击性检测,能够不局限于社会工程学攻击的具体形式,从而满足采用一种机制对多种平台进行社会工程学攻击性检测,克服现有检测方法的单一性问题,满足用户全方位的安全防护需求。另一方面,通过根据用户安全意识等级选择防御措施,能够满足不同安全意识强度的用户的不同需求,从而能够满足用户全方位的安全防护需求。
为使本领域技术人员更好地了解本发明,下面将以具体实施例说明本发明的实施方式。
图2是本发明一具体实施例的社会工程学攻击的防御方法的框图示意图。参见图2,用户终端可以采用移动终端,且可使用智能手机作为移动终端,该实施例的自适应的移动端社会工程学防御方法主要可包括安全意识评估、攻击检测及防御措施三部分。可以利用代理收集用户智能手机上的信息,以评估用户的安全意识等级。当用户收到新消息时,检测该消息是否是社会工程学攻击,然后根据用户的安全意识等级和攻击检测结果作出相应防御措施。换言之,本实施例的技术方案可分为信息获取、安全意识评估、攻击检测模块、响应模块四个部分。信息获取部分从社交网络获取信息,监测到受害者与攻击者的交流;攻击状态分析部分对获取到的消息进行检测分析,根据社会工程学模式识别攻击状态并记录;作出响应部分根据分析结论做出相应措施。具体说明如下:
(1)数据收集
在移动端收集用户数据,可包括用户拒接陌生人电话设置、钓鱼短信阅读情况、钓鱼邮件阅读情况等信息。
(2)安全意识评估
根据收集到的用户信息,可将用户安全意识划分为高、中、低三个等级。安全意识高的用户具有较强的警惕性,能够主动留意移动设备上的安全隐患,日常会设置拒接陌生人电话,直接忽略钓鱼邮件和钓鱼短信。反之,安全意识低的用户则自己不能主动做出有效防御。对于安全意识低的用户,当检测到攻击时,除了给该用户提示该电子邮件为钓鱼邮件之外还给该用户提供一系列安全意识培训课程,使其了解社会工程学攻击,并提供给其日常防范措施,提高其安全意识。而对于那些安全意识高的用户,检测到攻击时,应设置低频次的提醒,并且可以忽略一些明显社会工程学攻击行为。
(3)攻击检测
检测多个平台(电话、短信和电子邮件)的社会工程学攻击。当用户收到一条新消息(电话、短信或者邮件)时,代理会检测该消息是否可能是社会工程学攻击。首先提取文本(如果是电话,可将语音识别为文字)中的主体认知特性特征,包括情绪、人格、能力等心理特征,通过机器学习、统计学习方法判定该消息是否为社会工程学攻击。
(4)防御措施
根据用户安全意识评估等级和攻击检测结果作出不同防御措施。例如,如果判断某封电子邮件为钓鱼邮件,而该用户安全意识评估等级为低,则可除了给该用户提示该电子邮件为钓鱼邮件之外,还可给该用户提供一系列安全意识培训课程,使其了解社会工程学攻击,并提供给其日常防范措施,提高其安全意识。而对于那些安全意识高的用户,检测到明显的社会工程学攻击时,可以不进行提示。
通过在智能移动设备多平台设置代理,代理通过收集主体数据信息分析用户安全意识强度;当用户收到一条新消息(如电话、短信或者电子邮件)时,代理可通过主体特性特征进行社会工程学攻击检测,根据用户安全意识强弱选择出最适合当前用户的社会工程学攻击防御方法,自适应实现社会工程学攻击防御机制,从而达到最大程度的防御效果,使得用户免受不法分子侵害。
本实施例的方法,能够自适应的在移动端进行社会工程学防御。该实施例中,代理通过收集主体数据信息分析用户安全意识强度,当用户收到一条新消息(电话、短信或者电子邮件)时,代理通过主体特性特征进行社会工程学攻击检测,根据用户安全意识强弱选择出最适合当前用户的社会工程学攻击防御方法,自适应实现社会工程学攻击防御机制本发明拟提出的检测算法基于社工主体认知特性,应用于智能移动终端,能兼容于多种社交平台,检测多种社会工程学攻击,能克服传统检测技术检测形式单一、适应性差的问题,给用户提供全方位的安全防护。
基于与图1所示的社会工程学攻击的防御方法相同的发明构思,本申请实施例还提供了一种社会工程学攻击的防御装置,如下面实施例所述。由于该社会工程学攻击的防御装置解决问题的原理与社会工程学攻击的防御方法相似,因此该社会工程学攻击的防御装置的实施可以参见社会工程学攻击的防御方法的实施,重复之处不再赘述。
图3是本发明一实施例的社会工程学攻击的防御装置的结构示意图。如图3所示,一些实施例的社会工程学攻击的防御装置,可包括:
消息内容获取单元210,用于当用户终端接收到通信消息时,获取所述通信消息的内容;
认知特征提取单元220,用于提取获取的所述通信消息的内容中的主体认知特性特征;
社会工程学检测单元230,用于根据提取的主体认知特性特征判断所述通信消息是否为社会工程学攻击;
防御措施选择单元240,用于在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施;
防御动作执行单元250,用于根据选择的防御措施针对所述通信消息执行防御动作。
在一些实施例中,图3所示的社会工程学攻击的防御装置,还可包括安全意识等级评估单元,可连接于防御措施选择单元240的输入端之前。
安全意识等级评估单元,用于根据从所述用户终端收集的用户历史处理来自至少一个通信平台的消息的行为数据,按设定标准评估得到所述用户终端的用户安全意识等级。
在一些实施例中,所述至少一个通信平台包括电话、短信及电子邮件。
在一些实施例中,所述行为数据包括用户是否拒接社会工程学电话、用户是否阅读社会工程学短信、以及用户是否阅读社会工程学电子邮件。
在一些实施例中,消息内容获取单元210,包括:消息内容获取模块,用于当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容。
在一些实施例中,消息内容获取模块,包括:消息格式内容提取模块,用于在用户终端接收到来自短信或电子邮件的通信消息时,提取所述通信消息的文本内容,作为所述通信消息的文本格式的内容;在用户终端接收到来自电话的通信消息时,提取所述通信消息的语音内容,并将提取的语音内容转换为文本内容,作为所述通信消息的文本格式的内容。
在一些实施例中,提取的主体认知特性特征包括与认知相关的心理特征。
在一些实施例中,防御措施选择单元240,包括:防御措施选择模块,用于在预先评估得到的所述用户终端的用户安全意识等级为安全意识低等级的情况下,高频次发送社会工程学攻击提示消息和安全意识培训课程内容,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识中等等级的情况下,中频次发送社会工程学攻击提示消息,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识高等级的情况下,低频次发送社会工程学攻击提示消息,作为防御措施;其中,所述安全意识低等级低于所述安全意识中等等级,所述安全意识中等等级低于所述安全意识高等级,所述高频次的频次大于所述中频次的频次,所述中频次的频次大于所述低频次的频次。
本发明实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述实施例所述方法的步骤。该电子设备可以是移动终端设备,例如,手机。
本发明实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述实施例所述方法的步骤。
综上所述,本发明实施例的社会工程学攻击的防御方法、社会工程学攻击的防御装置、电子设备及计算机可读存储介质,通过获取通信消息的内容,提取通信消息的内容中的主体认知特性特征,并据此进行社会工程学攻击性检测,能够不局限于社会工程学攻击的具体形式,从而满足采用一种机制对多种平台进行社会工程学攻击性检测,克服现有检测方法的单一性问题,满足用户全方位的安全防护需求。另一方面,通过根据用户安全意识等级选择防御措施,能够满足不同安全意识强度的用户的不同需求,从而能够满足用户全方位的安全防护需求。
在本说明书的描述中,参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本发明的实施,其中的步骤顺序不作限定,可根据需要作适当调整。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种社会工程学攻击的防御方法,其特征在于,包括:
当用户终端接收到通信消息时,获取所述通信消息的内容;
提取获取的所述通信消息的内容中的主体认知特性特征;
根据提取的主体认知特性特征判断所述通信消息是否为社会工程学攻击;
在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施;
根据选择的防御措施针对所述通信消息执行防御动作。
2.如权利要求1所述的社会工程学攻击的防御方法,其特征在于,在所述通信消息为社会工程学攻击的情况下,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施之前,还包括:
根据从所述用户终端收集的用户历史处理来自至少一个通信平台的消息的行为数据,按设定标准评估得到所述用户终端的用户安全意识等级。
3.如权利要求2所述的社会工程学攻击的防御方法,其特征在于,所述至少一个通信平台包括电话、短信及电子邮件。
4.如权利要求3所述的社会工程学攻击的防御方法,其特征在于,所述行为数据包括用户是否拒接社会工程学电话、用户是否阅读社会工程学短信、以及用户是否阅读社会工程学电子邮件。
5.如权利要求1所述的社会工程学攻击的防御方法,其特征在于,当用户终端接收到通信消息时,获取所述通信消息的内容,包括:
当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容。
6.如权利要求5所述的社会工程学攻击的防御方法,其特征在于,当用户终端接收到通信消息时,通过提取或格式转换得到所述通信消息的文本格式的内容,包括:
在用户终端接收到来自短信或电子邮件的通信消息时,提取所述通信消息的文本内容,作为所述通信消息的文本格式的内容;在用户终端接收到来自电话的通信消息时,提取所述通信消息的语音内容,并将提取的语音内容转换为文本内容,作为所述通信消息的文本格式的内容。
7.如权利要求1所述的社会工程学攻击的防御方法,其特征在于,提取的主体认知特性特征包括与认知相关的心理特征。
8.如权利要求1所述的社会工程学攻击的防御方法,其特征在于,根据预先评估得到的所述用户终端的用户安全意识等级选择防御措施,包括:
在预先评估得到的所述用户终端的用户安全意识等级为安全意识低等级的情况下,高频次发送社会工程学攻击提示消息和安全意识培训课程内容,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识中等等级的情况下,中频次发送社会工程学攻击提示消息,作为防御措施;在预先评估得到的所述用户终端的用户安全意识等级为安全意识高等级的情况下,低频次发送社会工程学攻击提示消息,作为防御措施;其中,所述安全意识低等级低于所述安全意识中等等级,所述安全意识中等等级低于所述安全意识高等级,所述高频次的频次大于所述中频次的频次,所述中频次的频次大于所述低频次的频次。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至8任一项所述方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1至8任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910667384.5A CN110290155B (zh) | 2019-07-23 | 2019-07-23 | 社会工程学攻击的防御方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910667384.5A CN110290155B (zh) | 2019-07-23 | 2019-07-23 | 社会工程学攻击的防御方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110290155A true CN110290155A (zh) | 2019-09-27 |
| CN110290155B CN110290155B (zh) | 2020-11-06 |
Family
ID=68023841
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910667384.5A Active CN110290155B (zh) | 2019-07-23 | 2019-07-23 | 社会工程学攻击的防御方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110290155B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859374A (zh) * | 2020-07-20 | 2020-10-30 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及系统 |
| CN112910872A (zh) * | 2021-01-25 | 2021-06-04 | 中国科学院信息工程研究所 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
| CN113259321A (zh) * | 2021-04-13 | 2021-08-13 | 上海碳泽信息科技有限公司 | 一种验证人员对网络攻击及利用的安全意识的系统和方法 |
| CN113381981A (zh) * | 2021-05-13 | 2021-09-10 | 中国科学院信息工程研究所 | 社工攻击应激变换防护方法、系统、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| CN106992955A (zh) * | 2016-01-20 | 2017-07-28 | 深圳市中电智慧信息安全技术有限公司 | Apt防火墙 |
| CN107196942A (zh) * | 2017-05-24 | 2017-09-22 | 山东省计算中心(国家超级计算济南中心) | 一种基于用户语言特征的内部威胁检测方法 |
| CN107451466A (zh) * | 2017-08-17 | 2017-12-08 | 深信服科技股份有限公司 | 一种安全评估方法及装置、计算机装置、可读存储介质 |
| US20180097841A1 (en) * | 2016-10-03 | 2018-04-05 | Telepathy Labs, Inc. | System and method for omnichannel social engineering attack avoidance |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
| US20180359280A1 (en) * | 2017-06-07 | 2018-12-13 | Bae Systems Applied Intelligence Us Corp. | Social engineering attack prevention |
-
2019
- 2019-07-23 CN CN201910667384.5A patent/CN110290155B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105656886A (zh) * | 2015-12-29 | 2016-06-08 | 北京邮电大学 | 一种基于机器学习的网站攻击行为的检测方法及装置 |
| CN106992955A (zh) * | 2016-01-20 | 2017-07-28 | 深圳市中电智慧信息安全技术有限公司 | Apt防火墙 |
| US20180097841A1 (en) * | 2016-10-03 | 2018-04-05 | Telepathy Labs, Inc. | System and method for omnichannel social engineering attack avoidance |
| US20180097810A1 (en) * | 2016-10-03 | 2018-04-05 | Telepathy Labs, Inc. | System and method for deprovisioning |
| CN107196942A (zh) * | 2017-05-24 | 2017-09-22 | 山东省计算中心(国家超级计算济南中心) | 一种基于用户语言特征的内部威胁检测方法 |
| US20180359280A1 (en) * | 2017-06-07 | 2018-12-13 | Bae Systems Applied Intelligence Us Corp. | Social engineering attack prevention |
| CN107451466A (zh) * | 2017-08-17 | 2017-12-08 | 深信服科技股份有限公司 | 一种安全评估方法及装置、计算机装置、可读存储介质 |
| CN108183888A (zh) * | 2017-12-15 | 2018-06-19 | 恒安嘉新(北京)科技股份公司 | 一种基于随机森林算法的社会工程学入侵攻击路径检测方法 |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
Non-Patent Citations (1)
| Title |
|---|
| 马明阳: "针对社会工程学攻击的防御技术研究", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111859374A (zh) * | 2020-07-20 | 2020-10-30 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及系统 |
| CN111859374B (zh) * | 2020-07-20 | 2024-03-19 | 恒安嘉新(北京)科技股份公司 | 社会工程学攻击事件的检测方法、装置以及系统 |
| CN112910872A (zh) * | 2021-01-25 | 2021-06-04 | 中国科学院信息工程研究所 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
| CN112910872B (zh) * | 2021-01-25 | 2022-04-08 | 中国科学院信息工程研究所 | 社工攻击威胁、事件、场景分析方法、装置及系统 |
| CN113259321A (zh) * | 2021-04-13 | 2021-08-13 | 上海碳泽信息科技有限公司 | 一种验证人员对网络攻击及利用的安全意识的系统和方法 |
| CN113381981A (zh) * | 2021-05-13 | 2021-09-10 | 中国科学院信息工程研究所 | 社工攻击应激变换防护方法、系统、电子设备及存储介质 |
| CN113381981B (zh) * | 2021-05-13 | 2023-02-21 | 中国科学院信息工程研究所 | 社工攻击应激变换防护方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110290155B (zh) | 2020-11-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110290155A (zh) | 社会工程学攻击的防御方法及装置 | |
| CN107222865B (zh) | 基于可疑行为识别的通讯诈骗实时检测方法和系统 | |
| CN107395352B (zh) | 基于声纹的身份识别方法及装置 | |
| CN104660481B (zh) | 即时通讯消息处理方法及装置 | |
| CN102420778B (zh) | 将即时通信已读消息标记为未读状态的方法及系统 | |
| CN106534463B (zh) | 一种陌生来电处理方法、装置、终端及服务器 | |
| CN109034661A (zh) | 用户识别方法、装置、服务器以及存储介质 | |
| Lavorgna | Cybercrimes: Critical issues in a global context | |
| CN102368853B (zh) | 通信事件处理方法及系统 | |
| CN103067460A (zh) | 面向司法社区矫正的生物识别远程身份验证方法 | |
| CN109861977B (zh) | 一种促进人员网络安全意识提升的方法 | |
| CN102890776A (zh) | 通过面部表情调取表情图释的方法 | |
| CN103927297A (zh) | 基于证据理论的中文微博可信度评估方法 | |
| Di Martino | The spectrum of listening | |
| CN105208009B (zh) | 一种账号安全检测方法及装置 | |
| Chandramouli | Emerging social media threats: Technology and policy perspectives | |
| CN110472008A (zh) | 智能交互方法以及装置 | |
| CN109145590A (zh) | 一种函数hook检测方法、检测设备及计算机可读介质 | |
| CN112365387A (zh) | 亲情帮教方法、平台 | |
| CN107742068A (zh) | 一种智能设备的多源隐式身份认证系统及方法 | |
| Aldwairi et al. | Efficient and secure flash-based gaming CAPTCHA | |
| CN110457601A (zh) | 社交账号的识别方法和装置、存储介质及电子装置 | |
| CN106095245B (zh) | 一种消息的显示方法、装置及终端 | |
| Wells et al. | Assessing the credibility of cyber adversaries | |
| CN104932661A (zh) | 一种信息提示方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |