CN111083043B

CN111083043B - 一种邮箱恶意自动转发行为识别方法及装置

Info

Publication number: CN111083043B
Application number: CN201911365201.0A
Authority: CN
Inventors: 赵双; 王菲飞; 钟山; 白波; 刘澄澄; 于平; 于海波
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2019-12-26
Filing date: 2019-12-26
Publication date: 2021-11-23
Anticipated expiration: 2039-12-26
Also published as: CN111083043A

Abstract

本发明公开了一种邮箱恶意自动转发行为识别方法及装置，通过解析流量数据形成邮件元数据，经过清洗筛选等预处理，对邮件元数据进行统计和特征分析，产生转发关系列表，对相似的转发目标进行归并，根据归并结果统计分析，从而识别出邮件数据中的邮箱恶意自动转发行为。本发明可使业务部门通过监测受保护邮箱系统的数据，及时发现邮箱恶意自动转发行为，并根据判定结果进行告警。

Description

一种邮箱恶意自动转发行为识别方法及装置

技术领域

本发明涉及一种邮箱恶意自动转发行为识别方法及装置，尤其涉及一种根据原始流量或者从原始流量中还原出的POP/IMAP/SMTP协议元数据检测发现邮箱恶意自动转发行为的方法及装置，属于信息安全领域。

技术背景

目前，邮件能够直观、准确的传输和记录信息，已经成为人们日常工作中必不可少的一种沟通方式。邮件自动转发是邮件系统为用户提供的一项更为便捷的功能，邮件系统能够根据用户的配置自行发起邮件转发行为，实时地将收到的邮件转发到目的邮箱。由于邮件自动转发具有较高的实时性，且一旦设置后即便用户修改邮箱密码也依然有效，因此也经常被用作窃取邮箱数据的一种方式，给用户的邮件安全带来了巨大的风险。

传统的邮件服务提供商主要通过邮箱地址检测、附件格式检测以及众包举报等方式对邮件的安全性进行检测，这些方式对用于黑产和种植木马的恶意邮件有一定效果，但无法检测发现邮箱因被恶意设置自动转发，导致邮件信息被长期窃取的情况。

发明内容

针对被恶意设置自动转发，长期窃取邮箱内邮件信息的情况，本发明的目的在于提出一种邮箱恶意自动转发行为识别方法，通过解析流量数据形成邮件元数据，经过清洗筛选等预处理，对邮件元数据进行统计和特征分析，产生转发关系列表，对相似的转发目标进行归并，根据归并结果统计分析，从而识别出邮件数据中的邮箱恶意自动转发行为。

为实现上述目的，本发明对邮箱恶意转发行为的识别方法主要包括以下步骤：

(1)从接入的网络流量中抽取POP/IMAP/SMTP协议数据，对抽取的协议数据进行解析，形成邮件元数据集；

(2)对邮件元数据集进行数据清洗，去除无用数据，并将清洗后数据整合、排序形成一个有序数据集；

(3)从完整的有序数据集中提取要检测的特定时间区间内的数据，形成一个待检测数据文件，设定滑动窗口时间，对待检测数据文件中每条数据以滑动窗口为范围向前搜索数据，按设定规则筛选具有自动转发关系的邮件，并提取转发源、转发目标和转发比例，生成邮件自动转发列表；

(4)过滤掉邮件自动转发关系列表中转发比例低于设定阈值的转发关系，并对相似的转发目标进行归并，对归并形成的每一类转发目标，统计其转发源数量，若同类转发目标对应的转发源数量超过设定阈值，则判定这些转发源与其转发目标之间存在恶意自动转发行为。

进一步地，步骤(1)中所述邮件元数据集可表示为F＝{M₁，M₂，…，M_n}，其中M_i表示一条邮件数据。M_i是一个包含<from_i，to_i，s_i，t_i>的四元组，其中from为发件人，to为收件人，s为邮件主题，t为发送时间，i∈[1,n]。发件人from和收件人to均为格式为username@hostname的字符串，username代表邮箱登录用户名，hostname代表邮箱服务提供商。

进一步地，步骤(2)中所述清洗和排序是对邮件元数据集F进行筛选，去除残缺数据，保证每条数据中四元组信息完整，并对数据M_i以元素t进行排序，生成一个有序数据集F^’。若存在多个邮件子数据集F₁、F₂、…、F_n，对所有子数据集进行清洗，并将所有数据以元素t进行排序，合并生成一个有序邮件数据集F^’。

进一步地，步骤(3)中所述特定时间区间可以为1d。

进一步地，步骤(3)中所述滑动窗口时间可以设定为3min。若邮箱设置了自动转发，当该邮箱收到邮件后会立即(在很短时间内)转发至目标设定的目的邮箱。

进一步地，步骤(3)中所述设定规则是指在一个较短的时间窗口内(例如3min)存在两条按时间先后顺序排列的邮件元数据，前一个元数据中的收件人为后一个元数据中的发件人，且两个邮件数据主题相同，则判定前一条元数据中的收件人将邮件自动转发至后一个元数据中的收件人，转发源为前一个元数据中的收件人，转发目标为后一个元数据中的收件人。

进一步地，步骤(3)中所述自动转发关系包含了从待检测数据集中通过自动转发关系判定规则统计分析出的转发源、转发目标、自动转发次数、自动转发比例等信息，其中，自动转发比例的计算方法为：对于每个自动转发关系，统计检测时间段内转发源邮箱的收邮次数以及自动转发次数，由自动转发次数/收邮次数计算其自动转发比。

进一步地，步骤(4)中自动转发比例的设定阈值th1优选为0.9-1.0。

进一步地，步骤(4)中所述恶意自动转发行为是指多个邮箱中大量邮件被自动转发到一个邮箱地址或用户名相似的一类邮箱地址的行为。在自动转发关系中恶意的转发目标通常为批量注册邮箱，其username具有大量相同字符串且hostname相同。将hostname相同且username相似的转发目标归并为同一类，并分别计算每个归并后转发目标的转发源数量，若同类转发目标对应的转发源超过设定阈值，则判定这些转发源与其转发目标之间存在邮箱恶意自动转发行为。

进一步地，步骤(4)中转发源数量设定阈值th2不小于2。

为实现上述目的，本发明还提供了一种邮件恶意自动转发行为识别装置，包括数据抽取与解析模块、数据清洗与排序模块、自动转发关系生成模块，恶意自动转发行为分析与判定模块；

数据抽取与解析模块，用于接收原始流量数据，从中抽取POP/IMAP/SMTP数据，最终数据解析成邮件元数据；

数据清洗与排序模块，用于处理对邮件元数据进行清洗，去除残缺或无用数据，并对数据进行排序，生成有序数据集；

自动转发关系生成模块，用于根据检测时间从有序数据集中选择待检测数据，统计邮件收发数据形成收邮统计列表，并根据滑动时间窗口识别自动转发关系，转发源自动转发次数，结合收邮统计列表计算自动转发关系自动转发比，并生成自动转发关系列表；

恶意自动转发行为分析与判定模块，用于对自动转发关系列表进行分析，过滤掉自动转发比低于设定阈值的转发关系，将相似转发目标归并为一类，转发关系按转发目标归并类别划分，统计类别转发源数量，最终通过设定阈值判定邮箱恶意转发行为，并输出结果和告警。

与现有技术相比，本发明的积极效果为：

邮箱自动转发本身并非是一种恶意行为，但是若一段时间内存在大量邮件被自动转发到一类邮箱地址或一个邮箱地址，那么其中就存在很大风险。本发明利用原始流量中抽取的POP/IMAP/SMTP协议数据解析出邮件元数据，通过对邮件元数据中的特征进行统计和分析，将相似转发目标归并为一类，关联邮件转发关系，使得在大量看似正常的邮件收发数据中识别恶意转发行为成为可能。本发明可使业务部门通过监测受保护邮箱系统的数据，及时发现邮箱恶意自动转发行为，并根据判定结果进行告警。

附图说明

图1邮件恶意自动转发行为识别方法流程图

图2邮件恶意自动转发行为识别装置模块关系图

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本发明，并不用于限定本发明。

本实施例提出的一种邮件恶意自动转发行为识别方法，图1为本方法的流程图，本方法的步骤具体说明如下。

1、数据抽取与解析

本网络装置可以从接入的网络流量中抽取所需协议数据，解析形成邮件元数据并生成邮件数据集，具体步骤如下：

(Step1)：从接入的网络流量中抽取POP/IMAP/SMTP协议数据。

(step2)：对抽取的协议数据进行解析，获取邮件元数据M_i，可用四元组表示为M_i＝<from_i，to_i，s_i，t_i>，其中from_i为发件人，to_i为收件人，s_i为邮件主题，t_i为时间。在邮件元数据中，发件人from_i和收件人to_i格式均为username@hostname的字符串，username代表邮箱登录用户名，hostname代表邮箱服务提供商。邮件数据集由n条邮件元数据组成，即F＝{M₁，M₂，…，M_n}。

2、数据清洗与排序

本网络装置可以对邮件元数据集进行数据清洗、排序，生成有序数据集。具体步骤如下：

(Step1)：检测邮件数据集中各元素内容，去除残缺数据，保证数据集中四元组数据完整。

(Step2)：对清洗后的邮件数据集，将邮件元数据M_i以元素t进行排序，形成有序数据集F^’。此步骤中若存在多个邮件子数据集F₁、F₂、…F_n，可采用外部排序法对所有子数据集中数据进行统一排序生成一个有序邮件数据集F^’。

3、自动转发关系列表生成

本网络装置可以根据检测时间选择待检测数据，统计邮箱收邮次数、自动转发次数，并通过计算获得邮件自动转发关系，形成自动转发关系列表。具体步骤如下：

(Step1)：从完整的有序数据集F^’中提取规定时间区间内数据(例如1天)，形成待检测数据文件f。

(Step2)：对待检测数据f进行统计分析：

(step2-1).统计待检测数据中所有收件人收邮次数，生成收邮次数统计列表L，其中数据为<fw_user_i，c_i>，c_i为收件人fw_user_i的收邮次数。

(step2-2).设定滑动窗口时间(比如3分钟)，对于待检测数据文件中的每条数据Mk＝<from_k，to_k，s_k，t_k>以滑动窗口为范围向前搜索数据，若存在数据M_i＝<from_i，to_i，s_i，t_i>，t_i-t_k<eT，且from_i＝to_k，s_i＝s_k，则判定from_k到to_k的邮件被自动转发至to_i，生成自动转发关系<fw_src，fw_dst>,其中

fw_src＝to_k，fw_dst＝to_i，fw_src为转发源，fw_dst为转发目标。

(step2-3).对于所有自动转发关系，合并具有相同转发源和转发目标的自动转发关系，统计每个自动转发关系<fw_src_i，fw_dst_i>的自动转发次数count_i。

(Step3)：对每个自动转发关系，计算自动转发比，即转发源的自动转发次数/转发源的收邮次数，得到转发关系列表R＝<r_i,r₂,…，r_n>，其中r_i代表一个转发关系。自动转发关系r_i＝<fw_src_i，fw_dst_i，p_i>，其中p_i＝count_i/c_i。

4、恶意自动转发行为分析与判定

本网络装置可以对自动转发关系列表进行分析，过滤掉自动转发比低于设定阈值的转发关系，将相似转发目标归并为一类，对转发关系按转发目标类别划分，统计类别转发源数量，判定每类转发目标与转发源之间的恶意自动转发行为。具体步骤如下：

(Step1)：删除转发关系列表中自动转发比低于设定阈值th1的转发关系。

(Stetp2)：在转发关系列表R中的关系对r_i中增加属性to_class，即r_i＝<fw_src_i，fw_dst_i，p_i，to_class_i>，to_class_i用于表示自动转发关系对中转发目标类别，to_class_i初始值为空。

(Step3)：将相似转发目标归并为一类，并对转发关系进行统计分析：

(step3-1).遍历自动转发关系列表R，对于所有转发目标fw_dsti进行字符串处理，处理规则为：对于usernamei，删除其纯数字最大右子串，得到usernamei’；

(step3-2).对step3-1产生的所有usernamei’进行匹配：具有相同usernamei’的转发目标，若hostname相同，则归并为一类；

(step3-3).根据step3-2归并结果，为每条自动转发关系的to_class属性赋值，具有同类转发目标的自动转发关系属性值相同。

(Step4)：统计每类转发目标的转发源数量，判定转发源数量是否超过设定阈值th2，若超过阈值th2，则判定为恶意自动转发，若小于阈值th2，则判定为非恶意自动转发行为，最终生成恶意自动转发行为列表。

本实施例还提供了一种邮箱恶意自动转发行为识别装置，用于实现上述方法，如图2所示，包括数据抽取与解析模块、数据清洗与排序模块、自动转发关系生成模块，恶意自动转发行为判定模块。数据抽取与解析模块用于接收原始流量数据，从中抽取POP/IMAP/SMTP数据，最终数据解析成邮件元数据；数据清洗与排序模块用于处理对邮件元数据进行清洗，去除残缺或无用数据，并对数据进行排序，生成有序数据集；自动转发关系生成模块用于根据检测时间从有序数据集中选择检测数据，统计邮件收发数据形成收邮统计列表，并根据滑动时间窗口计算生成自动转发关系列表,计算自动转发比；恶意自动转发行为判定模块用于对自动转发关系列表进行分析，通过自动转发比清洗自动转发关系列表，将相似转发目标归并为一类，统计每个类别的类别转发源数量，判定自动恶意转发行为，形成恶意自动转发行为列表并输出结果和告警。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种邮箱恶意自动转发行为识别方法，包括以下步骤：

（1）从接入的网络流量中抽取POP/IMAP/SMTP协议数据，对抽取的协议数据进行解析，形成邮件元数据集F={M₁，M₂，…，M_n}，其中M_i表示一条邮件数据，其为包含<from_i，to_i，s_i，t_i>的四元组，from为邮件发件人，to为邮件收件人，s为邮件主题，t为邮件发送时间，i∈[1,n]，n为邮件元数据数量，发件人from_i和收件人to_i格式均为username@hostname的字符串，username代表邮箱登录用户名，hostname代表邮箱服务提供商；

（2）对邮件元数据集进行数据清洗，并将清洗后数据整合、排序形成一个有序数据集；

（3）从完整的有序数据集中提取要检测的特定时间区间内的数据，形成一个待检测数据文件，设定滑动窗口时间，对待检测数据文件中每条数据以滑动窗口为范围向前搜索数据，按设定规则筛选具有自动转发关系的邮件，并提取转发源、转发目标和转发比例，生成邮件自动转发关系列表，其中所述设定规则是指在所述滑动窗口时间内存在两条按时间先后顺序排列的邮件元数据，前一个元数据中的收件人为后一个元数据中的发件人，且两个邮件数据主题相同，则判定前一条元数据中的收件人将邮件自动转发至后一个元数据中的收件人，转发源为前一个元数据中的收件人，转发目标为后一个元数据中的收件人；

（4）过滤掉邮件自动转发关系列表中转发比例低于设定阈值的转发关系，并对相似的转发目标进行归并，对归并形成的每一类转发目标，统计其转发源数量，若同类转发目标对应的转发源数量超过设定阈值，则判定这些转发源与其转发目标之间存在恶意自动转发行为；

其中，通过以下步骤归并形成每一类转发目标：

a）对各转发目标进行字符串处理，得到邮箱登录用户名

，其中所述字符串处理包括：删除各转发目标中邮箱登录用户名

的纯数字最大右子串；

b）对具有相同邮箱登录用户名

的转发目标，若邮箱服务提供商相同，则归并为一类。

2.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（2）中所述清洗和排序是指对邮件元数据集F进行筛选，去除四元组信息残缺数据，并对数据M_i以元素t进行排序，生成一个有序数据集F^’。

3.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（3）中所述特定时间区间为1d。

4.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（3）中所述滑动窗口时间为3min。

5.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（3）所述自动转发关系包含了从待检测数据集中通过自动转发关系判定规则统计分析出的转发源、转发目标、自动转发次数、自动转发比例信息。

6.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（4）中自动转发比例的设定阈值th1为0.9-1.0。

7.如权利要求1所述的一种邮箱恶意自动转发行为识别方法，其特征在于，步骤（4）中转发源数量设定阈值th2不小于2。

8.一种邮件恶意自动转发行为识别装置，包括：

数据抽取与解析模块，用于接收原始流量数据，从中抽取POP/IMAP/SMTP数据，最终数据解析成邮件元数据，形成邮件元数据集F={M₁，M₂，…，M_n}，其中M_i表示一条邮件数据，其为包含<from_i，to_i，s_i，t_i>的四元组，from为邮件发件人，to为邮件收件人，s为邮件主题，t为邮件发送时间，i∈[1,n]，n为邮件元数据数量，发件人from_i和收件人to_i格式均为username@hostname的字符串，username代表邮箱登录用户名，hostname代表邮箱服务提供商；

数据清洗与排序模块，用于处理对邮件元数据进行清洗，并对数据进行排序，生成有序数据集；

自动转发关系生成模块，用于根据检测时间从有序数据集中选择待检测数据，统计邮件收发数据形成收邮统计列表，并根据滑动时间窗口按设定规则识别自动转发关系，转发源自动转发次数，结合收邮统计列表计算自动转发关系自动转发比，并生成自动转发关系列表，其中所述设定规则是指在所述滑动窗口时间内存在两条按时间先后顺序排列的邮件元数据，前一个元数据中的收件人为后一个元数据中的发件人，且两个邮件数据主题相同，则判定前一条元数据中的收件人将邮件自动转发至后一个元数据中的收件人，转发源为前一个元数据中的收件人，转发目标为后一个元数据中的收件人；

恶意自动转发行为分析与判定模块，用于对自动转发关系列表进行分析，过滤掉自动转发比低于设定阈值的转发关系，将相似转发目标归并为一类，转发关系按转发目标归并类别划分，统计类别转发源数量，最终通过设定阈值判定邮箱恶意转发行为，并输出结果和告警；

其中，通过以下步骤归并形成的每一类转发目标：

a）对各转发目标进行字符串处理，得到邮箱登录用户名

的纯数字最大右子串；

b）对具有相同邮箱登录用户名

的转发目标，若邮箱服务提供商相同，则归并为一类。