CN111083133B - 一种邮件信息和恶意代码信息的关联性分析方法及系统 - Google Patents

一种邮件信息和恶意代码信息的关联性分析方法及系统 Download PDF

Info

Publication number
CN111083133B
CN111083133B CN201911265563.2A CN201911265563A CN111083133B CN 111083133 B CN111083133 B CN 111083133B CN 201911265563 A CN201911265563 A CN 201911265563A CN 111083133 B CN111083133 B CN 111083133B
Authority
CN
China
Prior art keywords
information
malicious code
mail
dimensional key
key information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911265563.2A
Other languages
English (en)
Other versions
CN111083133A (zh
Inventor
彭如香
李祺
杨涛
凡友荣
姜国庆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Third Research Institute of the Ministry of Public Security
Original Assignee
Third Research Institute of the Ministry of Public Security
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Third Research Institute of the Ministry of Public Security filed Critical Third Research Institute of the Ministry of Public Security
Priority to CN201911265563.2A priority Critical patent/CN111083133B/zh
Publication of CN111083133A publication Critical patent/CN111083133A/zh
Application granted granted Critical
Publication of CN111083133B publication Critical patent/CN111083133B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种邮件信息和恶意代码信息的关联性分析方法及系统,涉及网络安全。步骤S1,于网络中获取邮件信息和恶意代码信息;步骤S2,针对每个邮件信息,于邮件信息中提取多维度关键信息,得到第一多维度关键信息;步骤S3,针对每个恶意代码信息,于恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;第一、二多维度关键信息具有相同的信息内容维度;步骤S4,对第一、二多维度关键信息分别进行关联性分析,得到对应的各信息内容维度的关联值;步骤S5,将各关联值进行求和,得到表征邮件信息和恶意代码信息之间的关联性的总关联值。具有以下有益效果:邮件信息和恶意代码进行关联分析,方便深度挖掘和分析。

Description

一种邮件信息和恶意代码信息的关联性分析方法及系统
技术领域
本发明涉及计算机安全领域,尤其涉及一种邮件信息和恶意代码信息的关联性分析方法及系统。
背景技术
随着信息化建设和IT技术的快速发展,各种网络技术的应用更加广泛深入,同时出现很多网络安全问题,致使网络安全技术的重要性更加突出,网络安全已经成为各国关注的焦点,不仅关系到机构和个人用户的信息资源和资产风险,也关系到国家安全和社会稳定,已成为热门研究和人才需求的新领域。必须在法律、管理、技术、道德各方面采取切实可行的有效措施,才能确保网络建设与应用“又好又快”地稳定发展。
网络的快速发展的同时网络的安全性也越发凸显,但现有的安全设备、安全数据、安全策略往往是分散独立的,各自表达其安全目标、属性、规则和条件,相互间缺乏协作互补和全局关联,难以实时动态地监测全网安全态势。虽然目前对持续性攻击的分析已经逐步开展,例如在邮件分析过程中,分析者会分析当前恶意邮件有哪些前序邮件,也会持续监控这些邮件还有哪些后续邮件,对邮件和恶意代码的检测工作分开进行,邮件监控和恶意代码监控的信息难以统一二者之间的相互关系(如通过邮件诱导受害者点击链接,进而下载恶意代码等)难以被深入挖掘,没有对邮件信息与恶意代码信息做进一步的关联分析。
发明内容
本发明为了解决上述问题,现提出一种邮件信息和恶意代码信息的关联性分析方法,包括:
步骤S1,于网络中获取至少一邮件信息和至少一恶意代码信息;
步骤S2,针对每个所述邮件信息,于所述邮件信息中提取多维度关键信息,得到第一多维度关键信息;
步骤S3,针对每个所述恶意代码信息,于所述恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
所述第二多维度关键信息与所述第一多维度关键信息具有相同的若干信息内容维度;
步骤S4,对所述第一多维度关键信息和所述第二多维度关键信息分别进行关联性分析,得到对应的各所述信息内容维度的关联值;
步骤S5,将各所述关联值进行求和,得到表征所述邮件信息和所述恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用。
优选的,所述信息内容维度为时间信息,则所述第一多维度关键信息为所述邮件信息的发送时间,所述第二多维度关键信息为所述恶意代码信息的编译时间,
则所述步骤S4包括:
步骤S41a,将所述编译时间和所述发送时间进行比较:
若所述编译时间在所述发送时间的一年以内,则转向步骤S42a;
若所述编译时间不在所述发送时间的一年以内,则转向步骤S43a;
步骤S42a,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43a,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
优选的,所述信息内容维度为IP信息,则所述第一多维度关键信息为所述邮件信息的邮件IP地址,所述第二多维度关键信息为所述恶意代码信息的恶意代码IP地址,
则所述步骤S4包括:
步骤S41b,将所述所述恶意代码IP地址与所述邮件IP地址进行比较:
若所述恶意代码IP地址与所述所述邮件IP地址一致,则转向步骤S42b;
若所述恶意代码IP地址与所述所述邮件IP地址不一致,则转向步骤S43b;
步骤S42b,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43b,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
优选的,所述信息内容维度为字符串信息,则所述第一多维度关键信息为所述邮件信息的发件人字符串,所述第二多维度关键信息为所述恶意代码信息的路径字符串,
则所述步骤S4包括:
步骤S41c,将所述路径字符串和所述发件人字符串进行比较:
若所述路径字符串包含所述发件人字符串,则转向步骤S42c;
若所述路径字符串不包含所述发件人字符串,则转向步骤S43c;
步骤S42c,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43c,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
优选的,所述信息内容维度为行业信息,则所述第一多维度关键信息为所述邮件信息关联的第一行业,所述第二多维度关键信息为所述恶意代码信息关联的第二行业,
则所述步骤S4包括:
步骤S41d,计算所述第一行业与所述第二行业之间的行业信息重合度,并将所述行业信息重合度与预设的重合度阈值进行比较:
若所述行业信息重合度大于所述重合度阈值,则转向步骤S42d;
若所述行业信息重合度不大于所述重合度阈值,则转向步骤S43d;
步骤S42d,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43d,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
优选的,所述行业信息通过所述邮件信息或所述恶意代码信息中的日志告警中获得。
优选的,所述行业信息包括医疗,和/或金融,和/或农业,和/或海洋,和/或政务,和/或电力,和/或能源,和/或教育。
优选的,所述重合度阈值为三分之二。
一种邮件信息和恶意代码信息的关联性分析系统,应用于邮件信息和恶意代码信息的关联性分析方法,包括:
获取模块,用于于网络中获取至少一邮件信息和至少一恶意代码信息;
第一提取模块,连接所述获取模块,用于针对每个所述邮件信息,于所述邮件信息中提取多维度关键信息,得到第一多维度关键信息;
第二提取模块,连接所述获取模块,用于针对每个所述恶意代码信息,于所述恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
所述第二多维度关键信息与所述第一多维度关键信息具有相同的若干信息内容维度;
分析模块,分别连接所述第一提取模块和第二提取模块,用于对所述第一多维度关键信息和所述第二多维度关键信息分别进行关联性分析,得到对应的各所述信息内容维度的关联值;
求和模块,连接所述分析模块,用于将各所述关联值进行求和,得到表征所述邮件信息和所述恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用。
具有以下有益效果:
本发明通过将邮件信息检测和恶意代码信息检测同时进行,并将邮件信息和恶意代码信息进行关联分析,通过多维度分析得到表征邮件信息和恶意代码信息源于同一批攻击者的可能性的总关联值,方便安全分析人员深度挖掘和分析。
附图说明
图1为本发明较佳的实施例中,一种邮件信息和恶意代码信息的关联性分析方法的流程示意图;
图2为本发明较佳的实施例中,通过时间信息进行关联性分析方法的流程示意图;
图3为本发明较佳的实施例中,通过IP信息进行关联性分析方法的流程示意图;
图4为本发明较佳的实施例中,通过字符串信息进行关联性分析方法的流程示意图;
图5为本发明较佳的实施例中,通过行业信息进行关联性分析方法的流程示意图;
图6为本发明较佳的实施例中,一种邮件信息和恶意代码信息的关联性分析系统的结构示意图。
图7为本发明较佳的实施例中,邮件信息的示意图;
图8为本发明较佳的实施例中,恶意代码的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明为了解决上述问题,现提出一种邮件信息和恶意代码信息关联性分析方法,如图1所示,包括:
步骤S1,于网络中获取至少一邮件信息和至少一恶意代码信息;
步骤S2,针对每个邮件信息,于邮件信息中提取多维度关键信息,得到第一多维度关键信息;
步骤S3,针对每个恶意代码信息,于恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
第二多维度关键信息与第一多维度关键信息具有相同的若干信息内容维度;
步骤S4,对第一多维度关键信息和第二多维度关键信息分别进行关联性分析,得到对应的各信息内容维度的关联值;
步骤S5,将各关联值进行求和,得到表征邮件信息和恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用。
具体地,本实施例中,从网络中获取邮件信息和恶意代码信息,将两者之间的关联性进行分析,从而可以提供给网络分析人员更深入的分析和挖掘,将上述关联性分析分别对邮件信息和恶意代码信息进行相同信息内容维度的多维度分析并提取出各信息内容维度的关联值。上述多维度分析优选为从邮件信息和恶意代码信息关联的四个维度信息进行分析,上述四个维度对应四个信息内容维度,包括但不限于时间信息、IP信息、字符串信息和行业信息。其中,行业信息包括但不限于医疗、金融、农业、海洋、政务、电力、能源和教育。
针对上述时间信息,可以提取出邮件信息的发送时间和恶意代码信息的编译时间进行比较,优选若恶意代码信息的编译时间在邮件信息的发送时间的一年以内,则判定恶意代码信息与邮件信息之间具有关联性,即定义邮件信息与恶意代码信息之间关联值F(时间)=1;优选若恶意代码信息的编译时间不在邮件信息的发送时间的一年以内,则判定恶意代码信息与邮件信息之间不具有关联性,即定义邮件信息与恶意代码信息之间关联值F(时间)=0。
针对上述IP信息,可以提取邮件信息的邮件IP地址和恶意代码信息的恶意代码IP地址进行比较,优选若恶意代码IP地址与邮件IP地址一致,则判定恶意代码信息与邮件信息之间具有关联性,即定义邮件信息与恶意代码信息之间关联值F(IP)=1;优选若恶意代码IP地址与邮件IP地址不一致,则判定恶意代码信息与邮件信息之间不具有关联性,即定义邮件信息与恶意代码信息之间关联值F(IP)=0。
针对上述字符串信息,可以提取邮件信息的发件人字符串和恶意代码信息的路径字符串进行比较,优选若路径字符串包含发件人字符串,则判定恶意代码信息与邮件信息之间具有关联性,即定义邮件信息与恶意代码信息之间关联值F(字符串)=1;优选若路径字符串不包含发件人字符串,则判定恶意代码信息与邮件信息之间不具有关联性,即定义邮件信息与恶意代码信息之间关联值F(字符串)=0。
针对上述行业信息还可以提取邮件信息关联的第一行业和恶意代码信息关联的第二行业之间的行业信息重合度,并将行业信息重合度与预设的重合度阈值进行比较,优选若行业信息重合度大于重合度阈值,则判定恶意代码信息与邮件信息之间具有关联性,即定义邮件信息与恶意代码信息之间关联值F(行业)=1;优选若行业信息重合度不大于重合度阈值,则判定恶意代码信息与邮件信息之间不具有关联性,即定义邮件信息与恶意代码信息之间关联值F(行业)=0。
进一步,将上述获得的关联值进行求和获得一总关联值F,以供安全分析人员根据总关联值进行进一步分析。
进一步具体地,上述恶意代码信息的编译时间的提取方式优选为将恶意代码用PEFRAME等开源工具进行分析处理,提取其中的编译时间信息;
进一步具体地,上述恶意代码信息的IP地址的提取方式优选为将恶意代码投入沙箱环境运行,检测是否存在与外部ip进行通信的行为,若存在则提取出该IP地址;
进一步具体地,上述恶意代码信息的路径字符串的提取方式优选为将恶意代码用PEFRAME等开源工具进行分析处理,提取其中的路径字符串信息;
进一步具体地,上述邮件信息关联的第一行业和恶意代码信息关联的第二行业的提取方式优选从各自的日志告警中分别获得。
本发明较佳的实施例中,信息内容维度为时间信息,则第一多维度关键信息为邮件信息的发送时间,第二多维度关键信息为恶意代码信息的编译时间,
则步骤S4如图2所示,包括:
步骤S41a,将编译时间和发送时间进行比较:
若编译时间在发送时间的一年以内,则转向步骤S42a;
若编译时间不在发送时间的一年以内,则转向步骤S43a;
步骤S42a,将对应的邮件信息和恶意代码信息之间的关联值记为1;
步骤S43a,将对应的邮件信息和恶意代码信息之间的关联值记为0。
本发明较佳的实施例中,信息内容维度为IP信息,则第一多维度关键信息为邮件信息的邮件IP地址,第二多维度关键信息为恶意代码信息的恶意代码IP地址,
则步骤S4如图3所示,包括:
步骤S41b,将恶意代码IP地址与邮件IP地址进行比较:
若恶意代码IP地址与邮件IP地址一致,则转向步骤S42b;
若恶意代码IP地址与邮件IP地址不一致,则转向步骤S43b;
步骤S42b,将对应的邮件信息和恶意代码信息之间的关联值记为1;
步骤S43b,将对应的邮件信息和恶意代码信息之间的关联值记为0。
本发明较佳的实施例中,信息内容维度为字符串信息,则第一多维度关键信息为邮件信息的发件人字符串,第二多维度关键信息为恶意代码信息的路径字符串,
则步骤S4如图4所示,包括:
步骤S41c,将路径字符串和发件人字符串进行比较:
若路径字符串包含发件人字符串,则转向步骤S42c;
若路径字符串不包含发件人字符串,则转向步骤S43c;
步骤S42c,将对应的邮件信息和恶意代码信息之间的关联值记为1;
步骤S43c,将对应的邮件信息和恶意代码信息之间的关联值记为0。
本发明较佳的实施例中,信息内容维度为行业信息,则第一多维度关键信息为邮件信息关联的第一行业,第二多维度关键信息为恶意代码信息关联的第二行业,
则步骤S4如图5所示,包括:
步骤S41d,计算第一行业与第二行业之间的行业信息重合度,并将行业信息重合度与预设的重合度阈值进行比较:
若行业信息重合度大于重合度阈值,则转向步骤S42d;
若行业信息重合度不大于重合度阈值,则转向步骤S43d;
步骤S42d,将对应的邮件信息和恶意代码信息之间的关联值记为1;
步骤S43d,将对应的邮件信息和恶意代码信息之间的关联值记为0。
本发明较佳的实施例中,行业信息通过邮件信息或恶意代码信息中的日志告警中获得。
本发明较佳的实施例中,行业信息包括医疗,和/或金融,和/或农业,和/或海洋,和/或政务,和/或电力,和/或能源,和/或教育。
本发明较佳的实施例中,重合度阈值为三分之二。
一种邮件信息和恶意代码信息的关联性分析系统,应用于邮件信息和恶意代码信息的关联性分析方法,如图6所示,包括:
获取模块1,用于于网络中获取至少一邮件信息和至少一恶意代码信息;
第一提取模块2,连接获取模块1,用于针对每个邮件信息,于邮件信息中提取多维度关键信息,得到第一多维度关键信息;
第二提取模块3,连接获取模块1,用于针对每个恶意代码信息,于恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
第二多维度关键信息与第一多维度关键信息具有相同的信息内容维度;
分析模块4,分别连接第一提取模块2和第二提取模块3,用于对第一多维度关键信息和第二多维度关键信息分别进行关联性分析,得到对应的各信息内容维度的关联值;
求和模块5,连接分析模块4,用于将各关联值进行求和,得到表征邮件信息和恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用。
作为本发明的一个较佳的实施例,如图7所示,为获取的邮件信息,分析得到该邮件信息的发送时间为2019年10月23日;邮件IP地址为27.18.115.213和123.58.178.167;发件人字符串为gccc6656512;从相应的告警日志中获得第一行业为:教育。
如图8所示,为获取的恶意代码信息,分析得到该恶意代码信息的编译时间为2012年6月17日;对恶意代码投入到沙箱运行未获得相应的恶意代码IP地址;获得恶意代码信息的路径字符串具体为:d:\gccc6656512\plug4.0(nvsmart)(sxl)\shellcode\shellcode\XPlug.h;从相应的告警日志中获得第二行业为:教育,金融,电力和能源。
首先根据时间信息分析上述邮件信息和上述恶意代码信息之间的关联性,由于恶意代码信息的编译时间不在邮件信息的发送时间的一年内,则F(时间)=0。
其次根据IP信息分析上述邮件信息和上述恶意代码信息之间的关联性,由于未获得恶意代码IP地址,恶意代码IP地址与邮件IP地址不一致,则F(IP)=0。
再次根据字符串信息分析上述邮件信息和上述恶意代码信息之间的关联性,由于路径字符串包含发件人字符串,则F(字符串)=1。
再次根据行业信息分析上述邮件信息和上述恶意代码信息之间的关联性,首先计算第一行业与第二行业之间的行业信息重合度,由于第一行业为教育,第二行业为教育、金融、电力、和能源,可以看出,第一行业和第二行业仅有教育为重合项,占第二行业的四分之一,即是说第一行业与第二行业之间的行业信息重合度仅为四分之一,与预设的重合度阈值进行比较,由于行业信息重合度不大于重合度阈值,即三分之二,则F(行业)=0。
最后将上述各信息内容维度的关联值相加的到一总关联值,即F=F(时间)+F(IP)+(字符)+F(行业)=1,得到上述总关联值即为分析得到的邮件信息与恶意代码信息之间的关联分析结果,安全分析人员可以根据该总关联值做进一步的深度分析。
以上仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。

Claims (8)

1.一种邮件信息和恶意代码信息的关联性分析方法,其特征在于,包括:
步骤S1,于网络中获取至少一邮件信息和至少一恶意代码信息;
步骤S2,针对每个所述邮件信息,于所述邮件信息中提取多维度关键信息,得到第一多维度关键信息;
步骤S3,针对每个所述恶意代码信息,于所述恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
所述第二多维度关键信息与所述第一多维度关键信息具有相同的若干信息内容维度;
步骤S4,对所述第一多维度关键信息和所述第二多维度关键信息分别进行关联性分析,得到对应的各所述信息内容维度的关联值;
步骤S5,将各所述关联值进行求和,得到表征所述邮件信息和所述恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用;
所述信息内容维度为时间信息,则所述第一多维度关键信息为所述邮件信息的发送时间,所述第二多维度关键信息为所述恶意代码信息的编译时间,
则所述步骤S4包括:
步骤S41a,将所述编译时间和所述发送时间进行比较:
若所述编译时间在所述发送时间的一年以内,则转向步骤S42a;
若所述编译时间不在所述发送时间的一年以内,则转向步骤S43a;
步骤S42a,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43a,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
2.根据权利要求1所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述信息内容维度为IP信息,则所述第一多维度关键信息为所述邮件信息的邮件IP地址,所述第二多维度关键信息为所述恶意代码信息的恶意代码IP地址,
则所述步骤S4包括:
步骤S41b,将所述恶意代码IP地址与所述邮件IP地址进行比较:
若所述恶意代码IP地址与所述邮件IP地址一致,则转向步骤S42b;
若所述恶意代码IP地址与所述邮件IP地址不一致,则转向步骤S43b;
步骤S42b,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43b,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
3.根据权利要求1所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述信息内容维度为字符串信息,则所述第一多维度关键信息为所述邮件信息的发件人字符串,所述第二多维度关键信息为所述恶意代码信息的路径字符串,
则所述步骤S4包括:
步骤S41c,将所述路径字符串和所述发件人字符串进行比较:
若所述路径字符串包含所述发件人字符串,则转向步骤S42c;
若所述路径字符串不包含所述发件人字符串,则转向步骤S43c;
步骤S42c,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43c,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
4.根据权利要求1所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述信息内容维度为行业信息,则所述第一多维度关键信息为所述邮件信息关联的第一行业,所述第二多维度关键信息为所述恶意代码信息关联的第二行业,
则所述步骤S4包括:
步骤S41d,计算所述第一行业与所述第二行业之间的行业信息重合度,并将所述行业信息重合度与预设的重合度阈值进行比较:
若所述行业信息重合度大于所述重合度阈值,则转向步骤S42d;
若所述行业信息重合度不大于所述重合度阈值,则转向步骤S43d;
步骤S42d,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为1;
步骤S43d,将对应的所述邮件信息和所述恶意代码信息之间的关联值记为0。
5.根据权利要求4所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述行业信息通过所述邮件信息或所述恶意代码信息中的日志告警中获得。
6.根据权利要求4所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述行业信息包括医疗,和/或金融,和/或农业,和/或海洋,和/或政务,和/或电力,和/或能源,和/或教育。
7.根据权利要求4所述的邮件信息和恶意代码信息的关联性分析方法,其特征在于,所述重合度阈值为三分之二。
8.一种邮件信息和恶意代码信息的关联性分析系统,其特征在于,应用于如权利要求1至7中任意一项所述的邮件信息和恶意代码信息的关联性分析方法,包括:
获取模块,用于于网络中获取至少一邮件信息和至少一恶意代码信息;
第一提取模块,连接所述获取模块,用于针对每个所述邮件信息,于所述邮件信息中提取多维度关键信息,得到第一多维度关键信息;
第二提取模块,连接所述获取模块,用于针对每个所述恶意代码信息,于所述恶意代码信息中提取多维度关键信息,得到第二多维度关键信息;
所述第二多维度关键信息与所述第一多维度关键信息具有相同的若干信息内容维度;
分析模块,分别连接所述第一提取模块和第二提取模块,用于对所述第一多维度关键信息和所述第二多维度关键信息分别进行关联性分析,得到对应的各所述信息内容维度的关联值;
求和模块,连接所述分析模块,用于将各所述关联值进行求和,得到表征所述邮件信息和所述恶意代码信息之间的关联性的总关联值,以供安全分析人员进行进一步分析使用。
CN201911265563.2A 2019-12-11 2019-12-11 一种邮件信息和恶意代码信息的关联性分析方法及系统 Active CN111083133B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911265563.2A CN111083133B (zh) 2019-12-11 2019-12-11 一种邮件信息和恶意代码信息的关联性分析方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911265563.2A CN111083133B (zh) 2019-12-11 2019-12-11 一种邮件信息和恶意代码信息的关联性分析方法及系统

Publications (2)

Publication Number Publication Date
CN111083133A CN111083133A (zh) 2020-04-28
CN111083133B true CN111083133B (zh) 2021-10-22

Family

ID=70313804

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911265563.2A Active CN111083133B (zh) 2019-12-11 2019-12-11 一种邮件信息和恶意代码信息的关联性分析方法及系统

Country Status (1)

Country Link
CN (1) CN111083133B (zh)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20090017306A (ko) * 2007-08-14 2009-02-18 주식회사 소프트런 피싱 및 파밍 방지 방법
US8041769B2 (en) * 2004-05-02 2011-10-18 Markmonitor Inc. Generating phish messages
CN104283889A (zh) * 2014-10-20 2015-01-14 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN105337993A (zh) * 2015-11-27 2016-02-17 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统
CN109361643A (zh) * 2018-06-22 2019-02-19 中国移动通信集团广东有限公司 一种恶意样本的深度溯源方法
CN109831374A (zh) * 2019-03-18 2019-05-31 深圳幂度信息科技有限公司 一种基于区块链的邮件收发系统

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8041769B2 (en) * 2004-05-02 2011-10-18 Markmonitor Inc. Generating phish messages
KR20090017306A (ko) * 2007-08-14 2009-02-18 주식회사 소프트런 피싱 및 파밍 방지 방법
CN104283889A (zh) * 2014-10-20 2015-01-14 国网重庆市电力公司电力科学研究院 基于网络架构的电力系统内部apt攻击检测及预警系统
CN104866765A (zh) * 2015-06-03 2015-08-26 康绯 基于行为特征相似性的恶意代码同源性分析方法
CN105337993A (zh) * 2015-11-27 2016-02-17 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统
CN109361643A (zh) * 2018-06-22 2019-02-19 中国移动通信集团广东有限公司 一种恶意样本的深度溯源方法
CN109831374A (zh) * 2019-03-18 2019-05-31 深圳幂度信息科技有限公司 一种基于区块链的邮件收发系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"基于社会工程学的邮件样本关联分析";梁宏;《万方》;20150929;全文 *
"面向邮件附件的恶意代码检测系统";任卓然;《万方》;20130320;全文 *

Also Published As

Publication number Publication date
CN111083133A (zh) 2020-04-28

Similar Documents

Publication Publication Date Title
CN109347801B (zh) 一种基于多源词嵌入和知识图谱的漏洞利用风险评估方法
Arshad et al. SAMADroid: a novel 3-level hybrid malware detection model for android operating system
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
CN107172022B (zh) 基于入侵途径的apt威胁检测方法和系统
CN112541022A (zh) 异常对象检测方法、装置、存储介质及电子设备
Ceschin et al. The need for speed: An analysis of brazilian malware classifiers
CN108446559B (zh) 一种apt组织的识别方法及装置
CN110795732A (zh) 基于SVM的Android移动网络终端恶意代码的动静结合检测方法
CN111953697B (zh) 一种apt攻击识别及防御方法
CN112148305A (zh) 一种应用检测方法、装置、计算机设备和可读存储介质
Kulkarni et al. Personally identifiable information (pii) detection in the unstructured large text corpus using natural language processing and unsupervised learning technique
Harbola et al. Improved intrusion detection in DDoS applying feature selection using rank & score of attributes in KDD-99 data set
Khan et al. A survey of machine learning applications in digital forensics
CN112287340B (zh) 用于终端攻击的取证溯源方法、装置、计算机设备
CN111083133B (zh) 一种邮件信息和恶意代码信息的关联性分析方法及系统
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN111865958A (zh) 基于多源安全检测框架的检测方法及系统
CN115134159B (zh) 一种安全告警分析优化方法
CN115186109B (zh) 威胁情报知识图谱的数据处理方法、设备、介质
Shrestha et al. High-performance classification of phishing URLs using a multi-modal approach with MapReduce
CN113923037B (zh) 一种基于可信计算的异常检测优化装置、方法及系统
CN114143074A (zh) webshell攻击识别装置及方法
Han Detection of web application attacks with request length module and regex pattern analysis
Suciu et al. Mobile devices forensic platform for malware detection
Bo et al. Tom: A threat operating model for early warning of cyber security threats

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant