CN110535757A - 电子邮箱地址扫描行为的判断方法 - Google Patents
电子邮箱地址扫描行为的判断方法 Download PDFInfo
- Publication number
- CN110535757A CN110535757A CN201910854313.6A CN201910854313A CN110535757A CN 110535757 A CN110535757 A CN 110535757A CN 201910854313 A CN201910854313 A CN 201910854313A CN 110535757 A CN110535757 A CN 110535757A
- Authority
- CN
- China
- Prior art keywords
- address
- analysis
- behavior
- email address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及电子邮箱地址扫描行为的判断方法,包括:A.如果外来的邮件和/或外部邮件源能够匹配安全设备中的黑名单记录,则断开网络连接和邮件通信协议,否则继续执行;B.邮箱地址扫描分析系统对外来邮件和/或外部邮件源是否存在电子邮箱地址扫描行为进行分析,包括单位时间内邮箱地址无效次数分析、枚举地址分析、同一发件人分析、相同主题或内容分析,或邮箱后缀分析中的至少一种;C.如果判断为扫描行为,则将发件人加入黑名单进行拦截,否则按正常邮件处理。本发明解决了传统邮件安全网关无法有效识别和拦截电子邮箱地址扫描行为的问题,能够有效的识别和拦截电子邮箱地址扫描行为,非常明显的提高了邮件系统的安全性和私密性。
Description
技术领域
本发明涉及计算机信息安全领域,具体的讲是电子邮箱地址扫描行为的判断方法。
背景技术
随着办公无纸化、沟通数字化等方面的信息技术逐渐进入企业工作,企业的信息化程度越来越高,电子邮件系统已经在企业日常办公中扮演着重要角色。但近年来,电子邮件安全事件频发,精准的邮箱地址目录作为用户信息在网络中公开叫卖,我们使用了近40多年的电子邮件系统正面临着更多互联网安全威胁。电子邮件系统已经成为企业安全防护体系上最薄弱的一面,因此加强企业电子邮件系统安全防护必须受到足够重视。
在正常情况下,大部分企业电子邮箱或个人电子邮箱的地址都是非公开的,攻击者只能利用邮件批量发送工具从互联网恶意扫描企业电子邮箱地址,判断邮箱地址是否真实存在、有效。邮件攻击者一般是在收集到有效的邮箱地址后,再将邮箱地址列为广告/垃圾邮件的推销目标,或者发送针对性的钓鱼、病毒、勒索邮件进行精准攻击,如果收件人不慎点击相关恶意邮件,则会导致计算机感染恶意软件或者用户重要数据信息被窃取。
在现有方案中,虽然很多企业会部署了邮件安全网关,但该产品只专注于防范钓鱼、垃圾和病毒邮件等安全威胁,并没有对电子邮箱地址扫描行为进行有效的识别和拦截。
发明内容
本发明提供了一种电子邮箱地址扫描行为的判断方法,有效识别和拦截电子邮箱地址扫描行为,提高电子邮箱的安全性。
本发明电子邮箱地址扫描行为的判断方法,包括:
A.通过安全设备(包含:防火墙、邮件安全网关等)对外来邮件和/或外部邮件源进行拦截,如果所拦截的外来邮件和/或外部邮件源能够匹配安全设备中的黑名单记录,则断开网络连接和邮件通信协议,否则继续执行。这样攻击者只能感知到连接断开,无法知晓返回邮件状态码,进而无法知晓邮箱地址是否真实存在,也就不能达到邮箱地址扫描的目的了。并且邮箱用户不会收到扫描邮件,提升了用户体验,防止邮件系统资源浪费。
B.邮箱地址扫描分析系统获取至少包括邮件头和邮件体的邮件信息,通过对无效邮箱地址的判断,对外来邮件和/或外部邮件源是否存在电子邮箱地址扫描行为进行分析,所述的分析至少包括单位时间内邮箱地址无效次数分析、枚举地址分析、同一发件人分析、相同主题或内容分析,或邮箱后缀分析中的至少一种;
C.根据步骤A和B的结果,如果判断为扫描行为,则将发件人的邮件特征信息加入黑名单进行拦截,否则按正常邮件处理。
本发明通过多种策略能够更准确的对电子邮箱地址扫描行为进行判断,有效提高了识别的准确率和邮件系统的安全性和私密性,同时也解决了传统邮件安全网关无法有效识别和拦截电子邮箱地址扫描行为的问题。
进一步的,步骤A中如果所拦截的外来邮件和/或外部邮件源匹配了安全设备中的白名单记录,安全设备对外来邮件放行,按正常邮件处理。
进一步的,步骤A中如果所拦截的外来邮件和/或外部邮件源在安全设备中的黑名单记录和白名单记录均没有匹配,安全设备对外来邮件放行,同时电子邮件系统产生邮件日志,供步骤B中的邮箱地址扫描分析系统进行分析。
进一步的,步骤B中,邮箱地址扫描分析系统将获取到的邮件信息中的邮件头中的字段根据简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)和邮件日志进行所述的分析。主要分析字段包括在RFC822文档(电子邮件的标准格式)中定义,例如:[Return-Path]该字段代表邮件的回复地址,[Received]该字段可追踪邮件传输的路径及来源IP信息,[From]表示发件人地址,[to]表示收件人地址,[subject]表示邮件主题,[Date]表示邮件的发送时间。
进一步的,由于攻击者是根据邮箱系统是否发生退信或返回状态码,来判断收件人邮箱地址是否真实存在,因此同理,在步骤B中,无效邮箱地址分析为:根据SMTP的状态码判断收件人邮箱地址的真实或无效。例如SMTP状态码为250或251识别到“收件人邮箱地址真实存在”,根据状态码550识别到“邮箱地址无效”。更详细的SMTP状态码说明可以参考SMTP协议的RFC821文档。
具体的,步骤B中,单位时间内邮箱地址无效次数分析为:统计在邮件日志记录中的单位时间内记录邮箱地址无效的次数,如果该次数超过阀值M1,则判断为邮箱地址扫描行为;
枚举地址分析:如果收件人地址信息中具有枚举特征,例如连续收到收件人地址为:abc1@mail.com;abc2@mail.com;abc3@mail.com等,并且具有枚举特征的收件人地址数量超过了阈值M2,则判断为邮箱地址扫描行为;
同一发件人分析:如果同一发件人地址发送邮件到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M3,则判断为邮箱地址扫描行为;
相同主题或内容分析:如果不同发件人地址发送同一邮件主题和/或内容到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M4,则判断为邮箱地址扫描行为;
邮箱后缀分析:如果发件人地址来自同一邮箱地址域名后缀,如123@abc.com、234@abc.com、345@abc.com等,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M5,则判断为邮箱地址扫描行为;
将判断为邮箱地址扫描行为的发件人地址加入黑名单进行拦截。
进一步的,在步骤B判断的正常邮件中,如果邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M6,则将发件人的邮箱信息发送给管理员,由管理员进行人工分析,如果判断为邮箱地址扫描行为,将发件人信息加入黑名单进行拦截。通过人工判断进一步增强对邮箱地址扫描行为的识别和拦截。
优选的,邮箱地址扫描分析系统采集邮件日志记录,根据邮件服务器在设定的时间周期内接收的正常邮件和地址无效邮件的数量建立模型,动态调整各阈值,并根据不同的分析类型给各阈值设置不同的权重。这样在不同的网络环境和应用场景中,邮箱地址扫描分析系统能够自动学习当前的应用特征,根据实际情况动态调整不同拦截策略的阈值和权重,更加灵活的适应各种场景。
本发明电子邮箱地址扫描行为的判断方法,解决了传统邮件安全网关无法有效识别和拦截电子邮箱地址扫描行为的问题,能够有效的识别和拦截电子邮箱地址扫描行为,非常明显的提高了邮件系统的安全性和私密性。
以下结合实施例的具体实施方式,对本发明的上述内容再作进一步的详细说明。但不应将此理解为本发明上述主题的范围仅限于以下的实例。在不脱离本发明上述技术思想情况下,根据本领域普通技术知识和惯用手段做出的各种替换或变更,均应包括在本发明的范围内。
附图说明
图1为本发明电子邮箱地址扫描行为的判断方法的流程图。
具体实施方式
如图1所示本发明电子邮箱地址扫描行为的判断方法,包括:
A.首先通过防火墙、邮件安全网关等安全设备对外来邮件和/或外部邮件源进行拦截,如果所拦截的外来邮件和/或外部邮件源能够匹配安全设备中的黑名单记录,则断开网络连接和邮件通信协议,否则继续执行。这样攻击者只能感知到连接断开,无法知晓返回邮件状态码,进而无法知晓邮箱地址是否真实存在,也就不能达到邮箱地址扫描的目的。并且邮箱用户不会收到扫描邮件,提升了用户体验,防止邮件系统资源浪费。
如果所拦截的外来邮件和/或外部邮件源匹配了安全设备中的白名单记录,安全设备对外来邮件放行,按正常邮件处理。
如果所拦截的外来邮件和/或外部邮件源在安全设备中的黑名单记录和白名单记录均没有匹配,安全设备对外来邮件放行,同时电子邮件系统产生邮件日志。
B.然后邮箱地址扫描分析系统对步骤A中均没有匹配安全设备的黑、白名单记录的邮件获取至少包括邮件头和邮件体的邮件信息,根据简单邮件传输协议(Simple MailTransfer Protocol,SMTP)和邮件日志进行分析,主要分析字段包括在RFC822文档(电子邮件的标准格式)中定义,例如:[Return-Path]该字段代表邮件的回复地址,[Received]该字段可追踪邮件传输的路径及来源IP信息,[From]表示发件人地址,[to]表示收件人地址,[subject]表示邮件主题,[Date]表示邮件的发送时间。
由于攻击者是根据邮箱系统是否发生退信或返回状态码,来判断收件人邮箱地址是否真实存在,因此同理,邮箱地址扫描分析系统对无效邮箱地址的判断是根据SMTP的状态码来判断收件人邮箱地址的真实或无效。例如SMTP状态码为250或251识别到“收件人邮箱地址真实存在”,根据状态码550识别到“邮箱地址无效”。更详细的SMTP状态码说明可以参考SMTP协议的RFC821文档。
邮箱地址扫描分析系统对步骤A正常放行的邮件进行分析,包括:
(1)单位时间内邮箱地址无效次数分析:统计在邮件日志记录中的单位时间(可人工设置)内记录邮箱地址无效的次数,如果该次数超过阀值M1,则判断为邮箱地址扫描行为;
(2)枚举地址分析:如果收件人地址信息中具有枚举特征,例如连续收到收件人地址为:abc1@mail.com;abc2@mail.com;abc3@mail.com等,并且具有枚举特征的收件人地址数量超过了阈值M2,则判断为邮箱地址扫描行为;
(3)同一发件人分析:如果同一发件人地址发送邮件到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M3,则判断为邮箱地址扫描行为;
(4)相同主题或内容分析:如果不同发件人地址发送同一邮件主题和/或内容到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M4,则判断为邮箱地址扫描行为;
(5)邮箱后缀分析:如果发件人地址来自同一邮箱地址域名后缀,如123@abc.com、234@abc.com、345@abc.com等,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M5,则判断为邮箱地址扫描行为;
(6)在上述步骤分析完成后均未判定为邮箱地址扫描行为,但邮件日志中收件人返回的无效邮箱地址记录的数量又超过了阈值M6的,则将发件人的邮箱信息发送给管理员,由管理员进行人工分析,如果判断为邮箱地址扫描行为,将发件人信息加入黑名单进行拦截。通过人工判断进一步增强对邮箱地址扫描行为的识别和拦截。
将上述判断为邮箱地址扫描行为的发件人地址加入黑名单进行拦截。
同时,邮箱地址扫描分析系统还可以在采集的邮件日志记录中,根据邮件服务器在设定的时间周期内接收的正常邮件和地址无效邮件的数量建立模型,动态调整上述阈值M1~阈值M6,并根据不同的分析类型给各阈值设置不同的权重,以灵活适应不同的应用场景。
C.根据步骤A和B的结果,如果判断为扫描行为,则将发件人的邮件特征信息加入黑名单进行拦截,否则按正常邮件处理。
Claims (8)
1.电子邮箱地址扫描行为的判断方法,其特征包括:
A.通过安全设备对外来邮件和/或外部邮件源进行拦截,如果所拦截的外来邮件和/或外部邮件源能够匹配安全设备中的黑名单记录,则断开网络连接和邮件通信协议,否则继续执行;
B.邮箱地址扫描分析系统获取至少包括邮件头和邮件体的邮件信息,通过对无效邮箱地址的判断,对外来邮件和/或外部邮件源是否存在电子邮箱地址扫描行为进行分析,所述的分析至少包括单位时间内邮箱地址无效次数分析、枚举地址分析、同一发件人分析、相同主题或内容分析,或邮箱后缀分析中的至少一种;
C.根据步骤A和B的结果,如果判断为扫描行为,则将发件人的邮件特征信息加入黑名单进行拦截,否则按正常邮件处理。
2.如权利要求1所述的电子邮箱地址扫描行为的判断方法,其特征为:步骤A中如果所拦截的外来邮件和/或外部邮件源匹配了安全设备中的白名单记录,安全设备对外来邮件放行,按正常邮件处理。
3.如权利要求2所述的电子邮箱地址扫描行为的判断方法,其特征为:步骤A中如果所拦截的外来邮件和/或外部邮件源在安全设备中的黑名单记录和白名单记录均没有匹配,安全设备对外来邮件放行,同时电子邮件系统产生邮件日志,供步骤B中的邮箱地址扫描分析系统进行分析。
4.如权利要求1所述的电子邮箱地址扫描行为的判断方法,其特征为:步骤B中,邮箱地址扫描分析系统将获取到的邮件信息中的邮件头中的字段根据简单邮件传输协议和邮件日志进行所述的分析。
5.如权利要求1的电子邮箱地址扫描行为的判断方法,其特征为:步骤B中,无效邮箱地址分析为:根据SMTP的状态码判断收件人邮箱地址的真实或无效。
6.如权利要求1至5之一的电子邮箱地址扫描行为的判断方法,其特征为:步骤B中,
单位时间内邮箱地址无效次数分析为:统计在邮件日志记录中的单位时间内记录邮箱地址无效的次数,如果该次数超过阀值M1,则判断为邮箱地址扫描行为;
枚举地址分析:如果收件人地址信息中具有枚举特征,并且具有枚举特征的收件人地址数量超过了阈值M2,则判断为邮箱地址扫描行为;
同一发件人分析:如果同一发件人地址发送邮件到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M3,则判断为邮箱地址扫描行为;
相同主题或内容分析:如果不同发件人地址发送同一邮件主题和/或内容到多个收件人,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M4,则判断为邮箱地址扫描行为;
邮箱后缀分析:如果发件人地址来自同一邮箱地址域名后缀,并且邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M5,则判断为邮箱地址扫描行为;
将判断为邮箱地址扫描行为的发件人信息加入黑名单进行拦截。
7.如权利要求6所述的电子邮箱地址扫描行为的判断方法,其特征为:在步骤B判断的正常邮件中,如果邮件日志中收件人返回的无效邮箱地址记录的数量超过了阈值M6,则将发件人的邮箱信息发送给管理员,由管理员进行人工分析,如果判断为邮箱地址扫描行为,将发件人信息加入黑名单进行拦截。
8.如权利要求7所述的电子邮箱地址扫描行为的判断方法,其特征为:邮箱地址扫描分析系统采集邮件日志记录,根据邮件服务器在设定的时间周期内接收的正常邮件和地址无效邮件的数量建立模型,动态调整各阈值,并根据不同的分析类型给各阈值设置不同的权重。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854313.6A CN110535757A (zh) | 2019-09-10 | 2019-09-10 | 电子邮箱地址扫描行为的判断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910854313.6A CN110535757A (zh) | 2019-09-10 | 2019-09-10 | 电子邮箱地址扫描行为的判断方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110535757A true CN110535757A (zh) | 2019-12-03 |
Family
ID=68668071
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910854313.6A Pending CN110535757A (zh) | 2019-09-10 | 2019-09-10 | 电子邮箱地址扫描行为的判断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110535757A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026619A (zh) * | 2006-02-23 | 2007-08-29 | 腾讯科技(深圳)有限公司 | 电子邮件异常特征处理系统和方法 |
| US8601064B1 (en) * | 2006-04-28 | 2013-12-03 | Trend Micro Incorporated | Techniques for defending an email system against malicious sources |
| CN103580919A (zh) * | 2013-11-04 | 2014-02-12 | 复旦大学 | 一种利用邮件服务器日志进行邮件用户标记的方法与系统 |
| CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
-
2019
- 2019-09-10 CN CN201910854313.6A patent/CN110535757A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101026619A (zh) * | 2006-02-23 | 2007-08-29 | 腾讯科技(深圳)有限公司 | 电子邮件异常特征处理系统和方法 |
| US8601064B1 (en) * | 2006-04-28 | 2013-12-03 | Trend Micro Incorporated | Techniques for defending an email system against malicious sources |
| CN103580919A (zh) * | 2013-11-04 | 2014-02-12 | 复旦大学 | 一种利用邮件服务器日志进行邮件用户标记的方法与系统 |
| CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| J. KLENSIN: "Simple Mail Transfer Protocol", 《IETF》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Gomes et al. | Characterizing a spam traffic | |
| US10089466B2 (en) | Real-time network updates for malicious content | |
| KR101137089B1 (ko) | 착신 메시지들을 검증하는 방법 및 시스템 | |
| US7748038B2 (en) | Method and apparatus for managing computer virus outbreaks | |
| US7689652B2 (en) | Using IP address and domain for email spam filtering | |
| US8601064B1 (en) | Techniques for defending an email system against malicious sources | |
| US6321267B1 (en) | Method and apparatus for filtering junk email | |
| US7249175B1 (en) | Method and system for blocking e-mail having a nonexistent sender address | |
| US9092761B2 (en) | Probability based whitelist | |
| US20040064515A1 (en) | Monitoring eletronic mail message digests | |
| US7958557B2 (en) | Determining a source of malicious computer element in a computer network | |
| US20050015626A1 (en) | System and method for identifying and filtering junk e-mail messages or spam based on URL content | |
| AU782333B2 (en) | Electronic message filter having a whitelist database and a quarantining mechanism | |
| US20100161537A1 (en) | System and Method for Detecting Email Spammers | |
| Gomes et al. | Workload models of spam and legitimate e-mails | |
| CN101247406A (zh) | 用全球情报进行本地信息分类的方法及垃圾邮件检测系统 | |
| CN110519150A (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| AU2009299539B2 (en) | Electronic communication control | |
| CN100484107C (zh) | 一种邮件筛选方法、装置及系统 | |
| CN100423515C (zh) | 电子邮件管理系统及方法 | |
| US20060075099A1 (en) | Automatic elimination of viruses and spam | |
| CN102404341B (zh) | 电子邮件用户行为监测方法和装置 | |
| US20100175103A1 (en) | Reactive throttling of inbound messages and ranges | |
| CN110535757A (zh) | 电子邮箱地址扫描行为的判断方法 | |
| CN107154926A (zh) | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191203 |
|
| RJ01 | Rejection of invention patent application after publication |