CN111049733A - 一种钓鱼邮件攻击的蔽性标识方法 - Google Patents
一种钓鱼邮件攻击的蔽性标识方法 Download PDFInfo
- Publication number
- CN111049733A CN111049733A CN201911260311.0A CN201911260311A CN111049733A CN 111049733 A CN111049733 A CN 111049733A CN 201911260311 A CN201911260311 A CN 201911260311A CN 111049733 A CN111049733 A CN 111049733A
- Authority
- CN
- China
- Prior art keywords
- phishing
- attribute
- marked
- phishing mail
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Abstract
本发明涉及网络信息安全技术领域,具体涉及一种钓鱼邮件攻击的蔽性标识方法,包括:步骤S1,邮件服务器对接收的邮件进行分析判定,若所述接收的邮件为钓鱼邮件,则执行步骤S2,若所述接收的邮件为非钓鱼邮件,则不进行标记;步骤S2,对所述钓鱼邮件的隐蔽性属性进行定位;步骤S3,提取所述隐蔽性属性,并对所述隐蔽性属性进行标记。本发明可以发现钓鱼邮件发送过程中,发件人是否使用了隐蔽性手段,从而评估攻击者的防侦测能力。
Description
技术领域
本发明涉及网络信息安全技术领域,尤其涉及一种钓鱼邮件攻击的蔽性标识方法。
背景技术
当前对于钓鱼邮件的标识大多从“发件人”“发件时间”“攻击持续性”“话题”“恶意代码或嵌入方法”等方面进行,没有从其对攻击的“隐蔽性性”程度进行分析。隐蔽性性特征是攻击者的重要标志特征之一,隐蔽性做的越到位说明攻击的针对性越强,技术手段越高明,现有技术中采用的标识方法不能更好地发现发件人是否使用了隐蔽性性手段,从而无法正确的评估攻击者的防侦测能力。
发明内容
为了解决以上技术问题,本发明提供了一种钓鱼邮件攻击的蔽性标识方法。
本发明所解决的技术问题可以采用以下技术方案实现:
一种钓鱼邮件攻击的蔽性标识方法,其特征在于,包括:
步骤S1,邮件服务器对接收的邮件进行分析判定,若所述接收的邮件为钓鱼邮件,则执行步骤S2,若所述接收的邮件为非钓鱼邮件,则不进行标记;
步骤S2,对所述钓鱼邮件的隐蔽性属性进行定位;
步骤S3,提取所述隐蔽性属性,并对所述隐蔽性属性进行标记。
具体的,获取邮件的头部信息,并基于预设的第一类动态黑名单库,判断所述头部信息中是否包含有位于第一类动态黑名单库中的指定的第一类钓鱼信息;确定包含时,判断所述邮件为钓鱼邮件;确定不包含时,提取所述邮件的正文信息,以及基于预设的第二类动态黑名单库,判断所述正文信息中是否包含有位于第二类动态黑名单库中的指定的第二类钓鱼信息,确定包含时,判定所述邮件为钓鱼邮件,确定不包含时,判定所述邮件为非钓鱼邮件。钓鱼邮件的识别判断不限于上述识别方法,现有技术中的识别方法均可用于服务器进行识别,在此不再叙述。
优选的,所述隐蔽性属性包括群发属性、发件人属性、附件属性、可见链接属性以及重复性属性。
优选的,当所述钓鱼邮件收件人列表显示为群发邮件,则将所述钓鱼邮件的所述群发属性标记为1,否则标记为0。
优选的,当所述钓鱼邮件发件人信息与真实发件人信息一致,则将所述钓鱼邮件的所述发件人属性标记为1,否则标记为0。
优选的,当所述钓鱼邮件所携带的附件为恶意邮件,且所述附件类型为可执行文件,则将所述钓鱼邮件的所述附件属性标记为1,否则标记为0。
优选的,当所述钓鱼邮件所携带的连接形式为短链接形式,则将所述钓鱼邮件的所述链接属性标记为1,否则标记为0。
优选的,当所述钓鱼邮件在一预设时间内被重复接收,则将所述钓鱼邮件的所述重复性属性标记为1,否则标记为0。
其有益效果在于:
本发明可以发现钓鱼邮件发送过程中,发件人是否使用了隐蔽性性手段,从而评估攻击者的防侦测能力。
附图说明
图1为本发明提供的一种钓鱼邮件攻击的蔽性标识方法步骤图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
参照图1为本发明提供的一种钓鱼邮件攻击的蔽性标识方法步骤图,包括:
步骤S1,邮件服务器对接收的邮件进行分析判定,若所述接收的邮件为钓鱼邮件,则执行步骤S2,若所述接收的邮件为非钓鱼邮件,则不进行标记;
步骤S2,对所述钓鱼邮件的隐蔽性属性进行定位;
步骤S3,提取所述隐蔽性属性,并对所述隐蔽性属性进行标记。
具体的,邮件服务器对接收的邮件进行判定,当判定为恶意钓鱼邮件时,则对钓鱼邮件进行隐蔽性属性定义,然后提取所述隐蔽性属性,并对所述隐蔽性属性进行标记。
进一步地,所述隐蔽性属性包括群发属性、发件人属性、附件属性、可见链接属性以及重复性属性。
进一步地,当所述钓鱼邮件收件人列表显示为群发邮件,则将所述钓鱼邮件的所述群发属性标记为1,否则标记为0。
具体的,查看邮件收件人信息,当邮件收件人中只有一个邮件地址,则对钓鱼邮件的所述群发属性标记为1,否则标记为0。
进一步地,当所述钓鱼邮件发件人信息与真实发件人信息一致,则将所述钓鱼邮件的所述群发属性标记为1,否则标记为0。
具体的,点击邮件页面查看邮件发件人信息,当发件人信息与邮件详细信息中展示的相同,则将所述钓鱼邮件的所述发件人属性标记为1。
进一步地,当所述钓鱼邮件所携带的附件为恶意邮件,且所述附件类型为可执行文件,则将所述钓鱼邮件的所述附件属性标记为1,否则标记为0。
具体的,对钓鱼邮件中附件信息进行提取,若五附件或附件为恶意附件且附件类型为exe类型,则将所述钓鱼邮件的所述附件属性标记为1,否则标记为0。
进一步地,当所述钓鱼邮件所携带的连接形式为短链接形式,则将所述钓鱼邮件的所述链接属性标记为1,否则标记为0。
具体的,钓鱼邮件中通常会嵌入网址,当网址为短链接,则将所述钓鱼邮件的所述链接属性标记为1,否则标记为0
进一步地,当所述钓鱼邮件在一预设时间内被重复接收,则将所述钓鱼邮件的所述重复性属性标记为1,否则标记为0。
具体的,若在一固定时间内收到同样收件人的两封或两封以上的邮件,则将所述钓鱼邮件的所述重复性属性标记为1,否则标记为0。
综上,本发明可以发现钓鱼邮件发送过程中,发件人是否使用了隐蔽性性手段,进而对隐蔽性属性进行标记,从而获得评估攻击者的防侦测能力。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (7)
1.一种钓鱼邮件攻击的蔽性标识方法,其特征在于,包括:
步骤S1,邮件服务器对接收的邮件进行分析判定,若所述接收的邮件为钓鱼邮件,则执行步骤S2,若所述接收的邮件为非钓鱼邮件,则不进行标记;
步骤S2,对所述钓鱼邮件的隐蔽性属性进行定位;
步骤S3,提取所述隐蔽性属性,并对所述隐蔽性属性进行标记。
2.根据权利要求1所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,所述隐蔽性属性包括群发属性、发件人属性、附件属性、可见链接属性以及重复性属性。
3.根据权利要求2所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,当所述钓鱼邮件收件人列表显示为群发邮件,则将所述钓鱼邮件的所述群发属性标记为1,否则标记为0。
4.根据权利要求2所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,当所述钓鱼邮件发件人信息与真实发件人信息一致,则将所述钓鱼邮件的所述发件人属性标记为1,否则标记为0。
5.根据权利要求2所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,当所述钓鱼邮件所携带的附件为恶意邮件,且所述附件类型为可执行文件,则将所述钓鱼邮件的所述附件属性标记为1,否则标记为0。
6.根据权利要求2所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,当所述钓鱼邮件所携带的连接形式为短链接形式,则将所述钓鱼邮件的所述链接属性标记为1,否则标记为0。
7.根据权利要求2所述的一种钓鱼邮件攻击的蔽性标识方法,其特征在于,当所述钓鱼邮件在一预设时间内被重复接收,则将所述钓鱼邮件的所述重复性属性标记为1,否则标记为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911260311.0A CN111049733A (zh) | 2019-12-10 | 2019-12-10 | 一种钓鱼邮件攻击的蔽性标识方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911260311.0A CN111049733A (zh) | 2019-12-10 | 2019-12-10 | 一种钓鱼邮件攻击的蔽性标识方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN111049733A true CN111049733A (zh) | 2020-04-21 |
Family
ID=70235486
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911260311.0A Pending CN111049733A (zh) | 2019-12-10 | 2019-12-10 | 一种钓鱼邮件攻击的蔽性标识方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111049733A (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060004748A1 (en) * | 2004-05-21 | 2006-01-05 | Microsoft Corporation | Search engine spam detection using external data |
CN102663291A (zh) * | 2012-03-23 | 2012-09-12 | 奇智软件(北京)有限公司 | 邮件的信息提示方法及装置 |
US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
CN105847123A (zh) * | 2016-04-19 | 2016-08-10 | 乐视控股(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN108337153A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种邮件的监控方法、系统与装置 |
CN110300054A (zh) * | 2019-07-03 | 2019-10-01 | 论客科技(广州)有限公司 | 恶意钓鱼邮件的识别方法及装置 |
CN110474837A (zh) * | 2019-08-19 | 2019-11-19 | 赛尔网络有限公司 | 一种垃圾邮件处理方法、装置、电子设备及存储介质 |
-
2019
- 2019-12-10 CN CN201911260311.0A patent/CN111049733A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060004748A1 (en) * | 2004-05-21 | 2006-01-05 | Microsoft Corporation | Search engine spam detection using external data |
CN102663291A (zh) * | 2012-03-23 | 2012-09-12 | 奇智软件(北京)有限公司 | 邮件的信息提示方法及装置 |
US8566938B1 (en) * | 2012-11-05 | 2013-10-22 | Astra Identity, Inc. | System and method for electronic message analysis for phishing detection |
CN105847123A (zh) * | 2016-04-19 | 2016-08-10 | 乐视控股(北京)有限公司 | 垃圾邮件识别方法及装置 |
CN108337153A (zh) * | 2018-01-19 | 2018-07-27 | 论客科技(广州)有限公司 | 一种邮件的监控方法、系统与装置 |
CN110300054A (zh) * | 2019-07-03 | 2019-10-01 | 论客科技(广州)有限公司 | 恶意钓鱼邮件的识别方法及装置 |
CN110474837A (zh) * | 2019-08-19 | 2019-11-19 | 赛尔网络有限公司 | 一种垃圾邮件处理方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9524334B2 (en) | Using distinguishing properties to classify messages | |
EP1492283B1 (en) | Method and device for spam detection | |
US8566938B1 (en) | System and method for electronic message analysis for phishing detection | |
WO2006119508A3 (en) | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources | |
Gascon et al. | Reading between the lines: content-agnostic detection of spear-phishing emails | |
CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
CA2654796A1 (en) | Systems and methods for identifying potentially malicious messages | |
US10574696B2 (en) | System and method for detecting phishing e-mails | |
JP2013229656A (ja) | メール処理方法及びシステム | |
CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
CN113630397A (zh) | 电子邮件安全控制方法、客户端及系统 | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
JP4670049B2 (ja) | 電子メールフィルタリングプログラム、電子メールフィルタリング方法、電子メールフィルタリングシステム | |
KR20210134648A (ko) | 이메일 보안 분석 | |
CN111049733A (zh) | 一种钓鱼邮件攻击的蔽性标识方法 | |
JP4559295B2 (ja) | データ通信システム及びデータ通信方法 | |
EP1733521B1 (en) | A method and an apparatus to classify electronic communication | |
CN116389031A (zh) | 一种恶意邮件检测方法、装置、存储介质及电子设备 | |
CN107154926A (zh) | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 | |
CN113938311A (zh) | 一种邮件攻击溯源方法及系统 | |
US20110225244A1 (en) | Tracing domains to authoritative servers associated with spam | |
Dwyer et al. | MDMap: Assisting users in identifying phishing emails | |
JP6316380B2 (ja) | 不正メール判定装置、不正メール判定方法、及びプログラム | |
EP1457905A3 (en) | Reducing unwanted and unsolicited electronic messages | |
CN110034996A (zh) | 垃圾邮件识别方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200421 |