CN111092902A - 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 - Google Patents
一种面向附件伪装的鱼叉攻击邮件发现方法及装置 Download PDFInfo
- Publication number
- CN111092902A CN111092902A CN201911365226.0A CN201911365226A CN111092902A CN 111092902 A CN111092902 A CN 111092902A CN 201911365226 A CN201911365226 A CN 201911365226A CN 111092902 A CN111092902 A CN 111092902A
- Authority
- CN
- China
- Prior art keywords
- file
- attachment
- suspicious
- name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000012216 screening Methods 0.000 claims abstract description 16
- 238000001514 detection method Methods 0.000 claims description 22
- 238000005206 flow analysis Methods 0.000 claims description 5
- 238000012544 monitoring process Methods 0.000 claims description 5
- 238000004891 communication Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 5
- 230000006399 behavior Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000009401 outcrossing Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000008485 antagonism Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000035515 penetration Effects 0.000 description 1
- 230000008092 positive effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为:1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据,获取各邮件的邮件元数据和附件信息;2)提取每一待检测邮件附件文件的扩展名,将其与预设配置中的扩展名进行匹配,筛选出可疑附件文件;3)检测所述可疑附件文件的伪装模式,根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分;其中,所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度;4)如果所述可疑附件文件的攻击威胁评分超过设定阈值,则判定对应邮件为鱼叉攻击邮件。本发明能够及时发现可疑鱼叉攻击邮件。
Description
技术领域
本发明属于网络技术及计算机信息安全领域,涉及一种面向附件伪装的鱼叉攻击邮件发现方法及装置。
背景技术
自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来,各国政府部门、组织、公司等陆续被爆遭遇APT攻击,一般APT攻击过程可以分为5个阶段:情报侦察、初始攻击、保持控制、横向渗透、信息窃取,而在初始攻击阶段,攻击者常常会利用社会工程、鱼叉式钓鱼攻击、水坑攻击等技术手段寻找突破口,而鱼叉邮件由于其成本低、发布方便和难以追踪等原因成为攻击者的首选方式。
鱼叉邮件攻击往往是将恶意载荷作为邮件附件,并加上一个极具欺骗性的名称,诱使目标人群下载,载荷类型主要是可执行文件、LNK文件等。目前对于邮件附件的检测主要是通过静态扫描、沙箱分析等方法,比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
目前传统的邮件系统或邮件客户端会对附件中的.exe等可执行文件进行过滤,但由于在APT攻击中,攻击者往往对附件文件进行压缩,以压缩包形式发送,并采用加密、免杀等技术手段对文件本身进行特殊处理,使其具有免杀、反沙箱等高对抗功能,可以绕过绝大部分安全软件的检测。
发明内容
为了克服现有技术方案的不足,本发明提供一种面向附件伪装的鱼叉攻击邮件发现方法及装置,该方法不基于信任源的行为分析,也不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析,而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据和邮件附件,直接对邮件附件的伪装模式、邮件主题定向性等信息进行综合分析,进而及时发现可疑鱼叉攻击邮件。
本发明解决其技术问题所采用的技术方案是:一种面向附件伪装的鱼叉攻击邮件发现方法及装置,包括如下步骤:
步骤1:从待处理的原始流量中提取和解析SMTP、POP和IMAP协议数据,获取各邮件的邮件元数据和附件信息;
步骤2:提取每一待检测邮件附件文件的扩展名,与预设配置中的扩展名进行匹配,筛选出可疑附件文件;
步骤3:对筛选出的可疑附件文件进行检测得到其伪装模式,从预设的伪装模式与威胁评分之间的对应关系中,确定所述可疑附件文件的威胁评分;其中,所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度;
步骤4:作为上述步骤的优化,对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别,以此判定该邮件是否具有定向性,并从预设的领域与威胁评分之间的对应关系中,确定所述附件名称、邮件主题的威胁评分;其中,所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度;
步骤5:根据所述可疑附件文件的攻击威胁程度值,附件名称、邮件主题的攻击定向程度值,综合计算得出最终攻击威胁评分;若最终攻击威胁评分超过一定阈值,则判定为鱼叉攻击邮件,否则为可疑恶意邮件。
进一步地,所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;附件信息包括附件名称、附件文件。
进一步地,预设可疑附件文件扩展名,例如:可执行文件“.exe、.scr、.hta、.js、.vbs、.jar、.chm”等、快捷方式文件“.lnk”和压缩包文件“.rar、.7z、.zip”等。
进一步地,预设附件伪装模式,例如:LNK文件伪装、超长文件名伪装、双扩展名伪装、RLO文件名欺骗伪装等,以及各自的威胁评分。
进一步地,根据监测部署范围内各单位的重点工作业务,分别预设各自的业务领域值,例如:政治、金融、外交、军工、能源等,以及各自的威胁评分。
进一步地,当所述邮件具有附件文件,附件名称和邮件主题中的两个或三个要素时,为每个要素分配一定的权重值,根据三个要素对应的威胁评分进行加权求和,综合计算得出最终攻击威胁评分,威胁评分值越大,所述当前邮件为鱼叉式攻击邮件的可能性越大;其中,所述要素可根据附件伪装模式、所属领域细分为多个二级要素,并分配相应的权重值。
为实现上述目的,本发明还提供了一种基于附件伪装模式的鱼叉攻击邮件检测装置,包括:
特征库配置管理模块,用于配置和管理可疑附件文件扩展名库、附件伪装模式库、业务领域库等特征库;
流量解析还原模块,用于从待处理的原始网络流量中提取和解析SMTP、POP和IMAP协议数据,形成待检测的邮件元数据和附件信息;
文件筛选模块,用于根据预设配置中的扩展名,筛选出待检测的可疑附件文件;
基于附件伪装模式的文件检测模块,用于对所述文件筛选模块筛选出的可疑附件文件进行检测,从而确定当前所述可疑附件文件的攻击威胁程度;
基于领域识别的邮件定向判定模块,用于对所述可疑附件文件的附件名称、对应邮件的邮件主题,判断是否隶属于监测部署范围内的业务领域,从而判定所述当前邮件是否具有定向性;
鱼叉邮件判定模块,根据所述邮件可疑附件文件的攻击威胁程度,附件名称、邮件主题的攻击定向程度,综合计算得出最终攻击威胁评分;若最终攻击威胁评分超过一定阈值,则判定为鱼叉攻击邮件,否则为可疑恶意邮件。
与现有技术相比,本发明的积极效果为:
鱼叉邮件攻击往往是将恶意载荷作为邮件附件,并加上一个极具欺骗性的名称,诱使目标人群下载,附件文件通常会进行压缩,并对文件本身做特殊处理,使其具有免杀、反沙箱等高对抗功能,可以绕过绝大部分安全软件的检测。本发明的鱼叉攻击邮件发现方法及装置不依赖安全软件,也不基于信任源的行为分析,不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析,而是通过基于邮件附件伪装模式的检测方法,结合附件名称、邮件主题的领域识别,综合分析邮件的攻击威胁程度和定向性,从而判定是否为鱼叉式攻击邮件,能够更加准确高效的发现具有高对抗性的定向鱼叉攻击行为。
附图说明
图1是一种面向附件伪装的鱼叉攻击邮件发现方法及装置流程图。
图2是一种面向附件伪装的鱼叉攻击邮件检测装置模块关系图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提出一种面向附件伪装的鱼叉攻击邮件发现方法及装置,图1为其流程图,下面将结合图1对基于附件伪装模式检测的鱼叉攻击邮件发现方法进行说明。
1.特征库配置管理
本装置可以配置和管理可疑附件文件扩展名库、附件伪装模式库、业务领域库等特征库,具体实施方式如下:
1):统计已知恶意载荷类型,构建邮件附件的可疑附件文件扩展名库,例如可执行文件“.exe、.scr、.hta、.js、.vbs、.jar、.chm”等、快捷方式文件“.lnk”和压缩包文件“.rar、.7z、.zip”等;
2):统计已知邮件附件伪装模式,构建附件伪装模式库并设置初始威胁值;例如:LNK文件伪装、超长文件名伪装、双扩展名伪装、RLO文件名欺骗伪装等,以及各自的威胁评分;
3):根据监测部署范围内各单位的重点工作业务,分别构建业务领域库并配置专属领域值,例如:政治、金融、外交、军工、能源等,以及各自的威胁评分。
2.流量解析还原
本装置可以从待处理的原始流量中解析还原出邮件元数据和附件信息,形成待检测的附件文件,具体实施方式如下:
1):接入所有受监测网络的原始流量;
2):还原出SMTP、POP和IMAP协议数据;
3):对SMTP、POP和IMAP协议数据进行解析,提取邮件元数据和附件信息,其中邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;附件信息包括:附件名称、附件文件。
3.可疑附件文件筛选
本装置可以对待检测的附件文件进行扩展名匹配,筛选出可疑附件文件,具体实施方式如下:
1):接入所有待检测的附件文件;
2):对于待检测附件文件,提取文件扩展名,与预设的邮件附件文件扩展名库进行匹配,筛选出可执行文件、快捷方式文件和压缩包文件;
3):压缩包文件通常会进行加密处理,压缩包文件通常会进行加密处理,并在邮件正文中使用“密码是、password、PWD”等提示信息,可通过提取邮件正文的密码信息进行解密处理;若邮件正文中未提到密码提示信息或者邮件正文仅提示“密码为手机号码”等发件人和收件人之间彼此熟悉的信息,则认为该邮件为正常往来邮件,对该附件文件进行丢弃处理,进而避免系统资源浪费,提高检测效率;对于筛选出的压缩包文件,判断压缩包是否加密:
3-1):若加密,使用正则表达式“(密码|password|pwd|mm)[是为::\s]*(.*?)[!,;.!,;。\s]+”匹配邮件正文内容,若匹配成功则提取密码信息对压缩包进行解压;
3-2):若不加密,则直接进行解压;
3-3):检测解压后的文件数量,若文件数量大于一定阈值(例如5个),则判定为正常邮件,否则对解压后的每个文件执行步骤2)。
4.可疑附件文件伪装模式检测
具体地,鱼叉邮件携带的载荷类型主要是可执行文件,例如PE文件“.exe、.scr”、脚本文件“.js、.vbs、.hta”,和其他可执行文件“.jar、.chm”等;通常情况下可执行文件作为邮件附件发送给目标对象时,会事先进行伪装,伪装模式通常包含以下几种:
(1)超长文件名,根据文件名称默认情况下只显示一定宽度的特征,在文件名中使用大量空格,将实际文件扩展名隐藏起来,这种伪装模式通常与双扩展名伪装模式配合使用;
(2)双扩展名,由于Windows默认情况下会隐藏已知文件的扩展名,使用双扩展名的伪装模式,例如“XXX.jpg.exe”、“XXX.pdf.exe”、“XXX.doc.exe”等文件命名,用户看到的是“jpg、pdf、doc”等伪造的扩展名,而实际上文件是个可执行程序;
(3)RLO控制字符伪造扩展名,Windows支持一种特殊的Unicode字符RLO,一个字符串中若含有这个字符,那么在Windows下显示时,就会将RLO右侧的字符串逆序显示出来,例如原始字符串“XXX[RLO]cod.exe”,在Windows下显示为“XXXexe.doc”,攻击者可以利用这个特性,把exe文件伪装成文本或图片等文件,诱使用户点击。
除此之外,伪装成LNK文件的木马也是目前APT攻击中比较常见的伪装模式,LNK文件是Microsoft Windows用于指向应用程序的快捷方式文件,由于LNK文件中嵌入了恶意代码,因此文件大小远大于正常的4KB;
本装置可以基于附件伪装模式对筛选出的可疑附件文件进行检测,具体实施方式如下:
1):接入所有筛选出的可疑附件文件;
2):检测筛选出的可执行文件,分析可执行文件的文件名;
2-1):若文件名含有的空格数大于等于10个,则判定为超长文件名伪装模式;
2-2):若文件名在其扩展名之前还包含图片类的扩展名jpg、jpeg、png、bmp,或者文档类扩展名doc、docx、els、elsx、ppt、pptx、wps、pdf、txt等,则判定为双扩展名伪装模式;
2-3):若文件名中含有控制字符“RLO”(Unicode代码为%e2%80%ae),则判定为RLO文件名欺骗伪装模式;
2-4):否则,判定为无伪装模式;
3):检测筛选出的快捷方式文件,判断LNK文件大小;若文件小于等于一定阈值(例如4KB),则判断为正常邮件;否则,判定为LNK文件伪装模式。
5.邮件定向性判定
具体地,攻击者采用鱼叉邮件的方式进行攻击之前,通常会收集攻击目标的个人信息、工作业务等,在发送鱼叉邮件时往往会将邮件的主题、附件名称等文字内容精心构造为与攻击目标工作业务紧密相关的信息,例如邀请参加某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,因此具有很强的定向性。
本装置可以基于领域识别对邮件定向性进行判定,具体实施方式如下:
对检测的可疑附件文件的附件名称、对应邮件的邮件主题,采用训练好的文本分类器对其进行分类确定其所属领域,将其所属领域值与初始预设值进行匹配;若匹配,则判定该邮件具有定向性。
6.鱼叉攻击邮件判定
本装置可以结合可疑附件文件的伪装模式及邮件定向性,对邮件进行判定,具体实施方式如下:
1):当所述邮件具有附件文件,附件名称和邮件主题中的两个或三个要素时,为每个要素分配一定的权重值;其中,所述要素可根据附件伪装模式、所属领域细分为多个二级要素,并分配相应的权重值;
2):根据三个要素对应的威胁评分进行加权求和,综合计算得出最终攻击威胁评分,若最终攻击威胁评分超过一定阈值,则判定为鱼叉攻击邮件,否则为可疑恶意邮件。
本实施例还提供了一种基于附件伪装模式的鱼叉攻击邮件检测装置用于实现上述方法,如图2所示,包括特征库配置管理模块、流量解析还原模块、文件筛选模块、基于附件伪装模式的文件检测模块、基于领域识别的邮件定向判定模块和鱼叉邮件判定模块;
特征库配置管理模块,用于配置和管理可疑附件文件扩展名库、业务领域库、附件伪装模式库等特征库;
流量解析还原模块,用于从待处理的网络流量中提取和解析SMTP、POP和IMAP协议数据,形成待检测的邮件元数据和附件信息;
文件筛选模块,用于根据预设配置中的扩展名,筛选出待检测的可疑附件文件;
基于附件伪装模式的文件检测模块,用于对所述文件筛选模块筛选出的可疑附件文件进行检测,从而确定当前所述可疑附件文件的攻击威胁程度;
基于领域识别的邮件定向判定模块,用于对所述可疑附件文件的附件名称、对应邮件的邮件主题,判断是否隶属于监测部署范围内的业务领域,从而判定所述当前邮件是否具有定向性;
鱼叉邮件判定模块,根据所述邮件可疑附件文件的攻击威胁程度,附件名称、邮件主题的攻击定向程度,综合计算得出最终攻击威胁评分;若最终攻击威胁评分超过一定阈值,则判定为鱼叉攻击邮件,否则为可疑恶意邮件。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。
Claims (10)
1.一种面向附件伪装的鱼叉攻击邮件发现方法,其步骤包括:
1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据,获取各邮件的邮件元数据和附件信息;
2)提取每一待检测邮件附件文件的扩展名,将其与预设配置中的扩展名进行匹配,筛选出可疑附件文件;
3)检测所述可疑附件文件的伪装模式,根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分;其中,所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度;
4)如果所述可疑附件文件的攻击威胁评分超过设定阈值,则判定对应邮件为鱼叉攻击邮件。
2.如权利要求1所述的方法,其特征在于,所述伪装模式包括LNK文件伪装、超长文件名伪装、双扩展名伪装或RLO文件名欺骗伪装。
3.如权利要求1所述的方法,其特征在于,所述可疑附件文件的伪装模式检测方法为:
11)检测所有筛选出的可疑附件文件,如果是可执行文件,则进行步骤12);如果是快捷方式文件,则进行步骤13),如果压缩文件则进行步骤14);
12)检测可疑附件文件的文件名:若该文件名含有的空格数大于等于设定阈值N,则判定该可疑附件文件为超长文件名伪装模式;若该文件名在其扩展名之前还包含其他设定常见办公文档类、图片类扩展名,则判定该可疑附件文件为双扩展名伪装模式;若该文件名中含有RLO控制字符,则判定该可疑附件文件为RLO文件名欺骗伪装模式;
否则,判定为无伪装模式;
13)检测可疑附件文件的文件大小,若小于或等于设定阈值M,则判断对应邮件为正常邮件;否则,判定为LNK文件伪装模式;
14)对压缩文件进行解压缩处理,如果压缩文件为加密的压缩文件,则从邮件正文提取密码进行解压缩处理;然后检测解压后的文件数量,若文件数量大于设定数量,则判定对应邮件为正常邮件,否则检测每一文件的类型,如果是可执行文件,则进行步骤12);如果是快捷方式文件,则进行步骤13)。
4.如权利要求1所述的方法,其特征在于,所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;所述附件信息包括附件名称、附件文件。
5.如权利要求1所述的方法,其特征在于,所述预设配置中的预设多个可疑附件文件的扩展名,包括:可执行文件扩展名、快捷方式文件扩展名和压缩包文件扩展名。
6.如权利要求1所述的方法,其特征在于,步骤4)中,对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别,以此判定该邮件是否具有定向性,并从预设的领域与威胁评分之间的对应关系中,确定所述附件名称、邮件主题的威胁评分;其中,所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度;然后根据所述可疑附件文件的攻击威胁程度值,附件名称、邮件主题的攻击定向程度值,综合计算得出邮件的最终攻击威胁评分。
7.如权利要求6所述的方法,其特征在于,判定该邮件是否具有定向性的方法为:对可疑附件文件的附件名称、对应邮件的邮件主题输入一训练好的文本分类器进行分类确定其所属领域,将其所属领域值与初始预设值进行匹配;若匹配,则判定该邮件具有定向性。
8.一种面向附件伪装的鱼叉攻击邮件发现装置,其特征在于,包括特征库配置管理模块、流量解析还原模块、文件筛选模块、基于附件伪装模式的文件检测模块和鱼叉邮件判定模块;其中,
特征库配置管理模块,用于配置和管理可疑附件文件扩展名库、业务领域库、附件伪装模式库等特征库;
流量解析还原模块,用于从待处理的网络流量中提取和解析SMTP、POP和IMAP协议数据,形成待检测的邮件元数据和附件信息;
文件筛选模块,用于根据预设配置中的扩展名,筛选出待检测的可疑附件文件;
基于附件伪装模式的文件检测模块,用于对所述文件筛选模块筛选出的可疑附件文件进行检测,从而确定当前所述可疑附件文件的攻击威胁程度;
鱼叉邮件判定模块,用于判定所述可疑附件文件的攻击威胁评分是否超过设定阈值,如果超过设定阈值则判定对应邮件为鱼叉攻击邮件。
9.如权利要求8所述的鱼叉攻击邮件发现装置,其特征在于,还包括一基于领域识别的邮件定向判定模块,用于对所述可疑附件文件的附件名称、对应邮件的邮件主题,判断是否隶属于监测部署范围内的业务领域,从而判定所述当前邮件是否具有定向性;所述鱼叉邮件判定模块,根据所述邮件可疑附件文件的攻击威胁程度,附件名称、邮件主题的攻击定向程度,综合计算得出对应邮件的最终攻击威胁评分;若最终攻击威胁评分超过设定阈值,则判定该邮件的为鱼叉攻击邮件。
10.如权利要求8所述的鱼叉攻击邮件发现装置,其特征在于,所述基于附件伪装模式的文件检测模块首先检测所有筛选出的可疑附件文件,如果是可执行文件,则发送给可执行文件检测模块;如果是快捷方式文件,则发送给快捷方式文件检测模块,如果压缩文件则发送给压缩文件检测模块;所述可执行文件检测模块,用于检测可疑附件文件的文件名:若该文件名含有的空格数大于等于设定阈值N,则判定该可疑附件文件为超长文件名伪装模式;若该文件名在其扩展名之前还包含其他设定常见办公文档类、图片类扩展名,则判定该可疑附件文件为双扩展名伪装模式;若该文件名中含有RLO控制字符,则判定该可疑附件文件为RLO文件名欺骗伪装模式;否则,判定为无伪装模式;所述快捷方式文件检测模块,用于检测可疑附件文件的文件大小,若小于或等于设定阈值M,则判断对应邮件为正常邮件;否则,判定为LNK文件伪装模式;所述压缩文件检测模块,用于对压缩文件进行解压缩处理,如果压缩文件为加密的压缩文件,则从邮件正文提取密码进行解压缩处理;然后检测解压后的文件数量,若文件数量大于设定数量,则判定对应邮件为正常邮件,否则检测每一文件的类型,如果是可执行文件,则发送给可执行文件检测模块;如果是快捷方式文件,则发送给快捷方式文件检测模块。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911365226.0A CN111092902B (zh) | 2019-12-26 | 2019-12-26 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911365226.0A CN111092902B (zh) | 2019-12-26 | 2019-12-26 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111092902A true CN111092902A (zh) | 2020-05-01 |
| CN111092902B CN111092902B (zh) | 2020-12-25 |
Family
ID=70396904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911365226.0A Active CN111092902B (zh) | 2019-12-26 | 2019-12-26 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111092902B (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039874A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN113515744A (zh) * | 2021-03-24 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 恶意文档检测方法、装置、系统、电子装置和存储介质 |
| CN113595981A (zh) * | 2021-06-25 | 2021-11-02 | 新浪网技术(中国)有限公司 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
| CN113949588A (zh) * | 2021-12-20 | 2022-01-18 | 北京微步在线科技有限公司 | 一种邮件附件威胁检测方法及系统 |
| CN115208850A (zh) * | 2022-07-15 | 2022-10-18 | 中国银行股份有限公司 | 一种邮件检测方法、系统及相关设备 |
| CN115643095A (zh) * | 2022-10-27 | 2023-01-24 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及系统 |
| CN116055222A (zh) * | 2023-03-23 | 2023-05-02 | 北京长亭未来科技有限公司 | 一种防止攻击文件绕过waf检测的方法与装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1882921A (zh) * | 2003-10-10 | 2006-12-20 | 阿拉丁知识系统有限公司 | 用于防止对电子邮件消息进行入侵的方法和系统 |
| CN102460431A (zh) * | 2009-05-08 | 2012-05-16 | 佐科姆有限公司 | 行为和情境数据分析的系统和方法 |
| CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| US20190007426A1 (en) * | 2017-06-30 | 2019-01-03 | Fortinet, Inc. | Detection and mitigation of time-delay based network attacks |
| CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
-
2019
- 2019-12-26 CN CN201911365226.0A patent/CN111092902B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1882921A (zh) * | 2003-10-10 | 2006-12-20 | 阿拉丁知识系统有限公司 | 用于防止对电子邮件消息进行入侵的方法和系统 |
| CN102460431A (zh) * | 2009-05-08 | 2012-05-16 | 佐科姆有限公司 | 行为和情境数据分析的系统和方法 |
| CN103634306A (zh) * | 2013-11-18 | 2014-03-12 | 北京奇虎科技有限公司 | 网络数据的安全检测方法和安全检测服务器 |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| US20190007426A1 (en) * | 2017-06-30 | 2019-01-03 | Fortinet, Inc. | Detection and mitigation of time-delay based network attacks |
| CN108768989A (zh) * | 2018-05-18 | 2018-11-06 | 刘勇 | 一种采用拟态技术的apt攻击防御方法、系统 |
| CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112039874A (zh) * | 2020-08-28 | 2020-12-04 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
| CN112039874B (zh) * | 2020-08-28 | 2023-03-24 | 绿盟科技集团股份有限公司 | 一种恶意邮件的识别方法及装置 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN112511517B (zh) * | 2020-11-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN113515744A (zh) * | 2021-03-24 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 恶意文档检测方法、装置、系统、电子装置和存储介质 |
| CN113595981A (zh) * | 2021-06-25 | 2021-11-02 | 新浪网技术(中国)有限公司 | 上传文件威胁检测方法及装置、计算机可读存储介质 |
| CN113949588A (zh) * | 2021-12-20 | 2022-01-18 | 北京微步在线科技有限公司 | 一种邮件附件威胁检测方法及系统 |
| CN115208850A (zh) * | 2022-07-15 | 2022-10-18 | 中国银行股份有限公司 | 一种邮件检测方法、系统及相关设备 |
| CN115643095A (zh) * | 2022-10-27 | 2023-01-24 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及系统 |
| CN115643095B (zh) * | 2022-10-27 | 2023-08-29 | 山东星维九州安全技术有限公司 | 一种用于公司内部网络安全测试的方法及系统 |
| CN116055222A (zh) * | 2023-03-23 | 2023-05-02 | 北京长亭未来科技有限公司 | 一种防止攻击文件绕过waf检测的方法与装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111092902B (zh) | 2020-12-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111092902B (zh) | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 | |
| US11882140B1 (en) | System and method for detecting repetitive cybersecurity attacks constituting an email campaign | |
| US20190132273A1 (en) | Analysis and reporting of suspicious email | |
| Alazab et al. | Spam and criminal activity | |
| US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
| AU2008207930B2 (en) | Multi-dimensional reputation scoring | |
| KR101484023B1 (ko) | 평판 시스템을 통한 멀웨어 탐지 | |
| US8199965B1 (en) | System, method, and computer program product for preventing image-related data loss | |
| US8561167B2 (en) | Web reputation scoring | |
| AU2008207926B2 (en) | Correlation and analysis of entity attributes | |
| CN111147489B (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| US20070130351A1 (en) | Aggregation of Reputation Data | |
| US20080178288A1 (en) | Detecting Image Spam | |
| KR102119718B1 (ko) | 의심스러운 전자 메시지를 검출하기 위한 기술 | |
| Rahim et al. | Detecting the Phishing Attack Using Collaborative Approach and Secure Login through Dynamic Virtual Passwords. | |
| CN111404939B (zh) | 邮件威胁检测方法、装置、设备及存储介质 | |
| WO2008091980A1 (en) | Web reputation scoring | |
| CN109672607A (zh) | 一种邮件处理方法、装置及存储设备、程序产品 | |
| US9544360B2 (en) | Server-based system, method, and computer program product for scanning data on a client using only a subset of the data | |
| Iyer et al. | Email spoofing detection using volatile memory forensics | |
| CN112559595A (zh) | 安全事件挖掘方法、装置、存储介质及电子设备 | |
| CN117527746A (zh) | 一种邮件处理方法、装置、电子设备及存储介质 | |
| CN117768142A (zh) | 一种邮件安全检测装置、方法、设备及存储介质 | |
| Bagwaiya et al. | Enhanced ReP-ETD Anti-Spamming Technique |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |