CN111147489B - 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 - Google Patents

一种面向链接伪装的鱼叉攻击邮件发现方法及装置 Download PDF

Info

Publication number
CN111147489B
CN111147489B CN201911365205.9A CN201911365205A CN111147489B CN 111147489 B CN111147489 B CN 111147489B CN 201911365205 A CN201911365205 A CN 201911365205A CN 111147489 B CN111147489 B CN 111147489B
Authority
CN
China
Prior art keywords
mail
link
attachment
cloud
domain name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201911365205.9A
Other languages
English (en)
Other versions
CN111147489A (zh
Inventor
白波
于平
文瑞洁
刘澄澄
赵双
王菲飞
于海波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201911365205.9A priority Critical patent/CN111147489B/zh
Publication of CN111147489A publication Critical patent/CN111147489A/zh
Application granted granted Critical
Publication of CN111147489B publication Critical patent/CN111147489B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种面向链接伪装的鱼叉攻击邮件发现方法及装置。本方法为:1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息;2)从所述待检测邮件的正文中提取所有的链接地址和链接内容;3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测,判定对应邮件是否为可疑恶意邮件;4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,判断所述可疑恶意邮件是否具有定向性;若具有定向性,则判定对应邮件为鱼叉攻击邮件。本发明不基于信任源的行为分析,也不依赖多维度通信特征的统计分析,而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据及时发现鱼叉攻击邮件。

Description

一种面向链接伪装的鱼叉攻击邮件发现方法及装置
技术领域
本发明涉及一种面向链接伪装的鱼叉攻击邮件检测方法和装置,属于网络技术及计算机信息安全领域。
背景技术
随着系统防御能力和用户安全意识的提高,钓鱼攻击者的攻击方法也不断推陈出新,鱼叉式网络钓鱼成为一种新式的、有很强针对性的网络钓鱼攻击方法。鱼叉式钓鱼攻击一般通过电子邮件等电子通信方式进行,针对特定个人、组织或企业。通常来说,攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体等网络信息,进而假冒公司、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码,相关信息就会被窃取,黑客甚至会借机安装木马等恶意程序,持续破坏目标计算机。
钓鱼邮件链接方面的伪装对用户而言是难以察觉的,是区分钓鱼邮件和合法邮件的重要特征。传统的基于链接的钓鱼邮件检测的方法主要是使用链接黑名单,检测时提取链接地址,查看是否在黑名单中。但黑名单的更新具有一定的延迟性,且不能有效应对越来越隐蔽的鱼叉攻击。目前通过提取鱼叉攻击邮件特征的方法,可以对鱼叉攻击邮件进行检测,比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
本发明结合社会工程学方面的研究,选择更合适的鱼叉攻击邮件链接特征,利用这些特征进行对比分析,应对存在定向攻击的潜在威胁。
发明内容
为了克服现有技术方案的不足,本发明提供一种面向链接伪装的鱼叉攻击邮件发现方法,该方法不基于信任源的行为分析,也不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析,而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据,先从邮件正文中提取得到链接地址和链接内容,然后根据预设的检测规则进行检测,并对检测得到的可疑恶意邮件进行定向性判定,从而及时发现鱼叉攻击邮件。
本发明的方法步骤包括:
Step1:设置云附件特征库、云附件下载链接的域名库和业务主题库;
Step2:获取用户的邮件协议数据,包括SMTP、POP和IMAP协议数据,从协议数据中获取待检测邮件的元数据和附件信息;
Step3:通过HTML标签匹配、正则表达式匹配等方法,从待检测邮件的正文中提取所有的链接地址和链接内容;
Step4:根据预设的检测规则以及所配置的云附件特征库对提取的待检测链接进行检测。若匹配,则判定为可疑恶意邮件,否则,为正常邮件。
Step5:为提高上述步骤对定向性攻击的检测度,对检测得到的可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,进而判断该可疑恶意邮件是否具有定向性。若该邮件具有定向性,则判定为鱼叉攻击邮件;否则为可疑恶意邮件。
进一步地,所述云附件特征库初始值包括:“云附件”、“到期”、“已过期”等。
进一步地,所述云附件下载链接域名库指所收集的主流邮件系统使用的云附件下载链接的域名库。
进一步地,所述业务主题库指根据监测部署范围的实际业务需求,建立的业务相关领域库,初始预设值可包括“政治、金融、外交、军工、能源”等。
进一步地,所述用户邮件协议数据,包括用户终端邮件协议数据、从接入网络流量中解析得到的邮件协议数据等。
进一步地,所述待检测邮件的元数据,包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;附件信息包括附件名称、附件文件。
进一步地,所述链接内容指的是邮件正文中显式的链接对象,可以是文本、图片或URL;链接地址即为链接内容所指向的真实的链接地址。对于HTML格式的邮件,使用<a>标签匹配的方式从邮件正文中提取链接和链接内容;通过<area>标签匹配的方式,从邮件正文中提取链接地址。
进一步地,所述预设的检测规则指邮件链接的伪装模式,包括邮件链接仿冒、短链接伪装、云附件仿冒等。
进一步地,所述短链接,即将长的URL网址,通过程序计算等方式,转换为简短的网址字符串。定义短链接的组成为:短链接网站的域名+“/”+短码,且一般短码是由[a-z,A-Z,0-9]中的字母组成。由于网址缩短后用户无法根据该短链接猜测目的URL,若攻击者将网页木马地址或者钓鱼网站地址采用短链接的方式直接通过邮件发送,诱骗用户点击,可能带来安全危害。
为实现上述目的,本发明还提供了一种面向链接伪装的鱼叉攻击邮件发现装置,包括特征库配置管理模块、邮件协议解析模块、待检测邮件信息提取模块、面向链接伪装的鱼叉邮件检测模块和邮件定向判定模块;
特征库配置管理模块,用于配置和管理云附件特征库、云附件下载链接域名库、业务主题库等特征库;
邮件协议解析模块,用于从监测目标的原始流量中提取和解析邮件数据,形成待检测的邮件元数据和附件信息;
待检测邮件信息提取模块,用于从待检测邮件正文中提取链接和链接文字;
面向链接伪装模式的鱼叉邮件检测模块,根据多个预设的检测规则对提取的链接和链接文字进行检测,得到可疑恶意邮件;
邮件定向判定模块,对得到的可疑恶意邮件的附件名称、邮件主题进行定向性的判断。判断邮件语言是否为中文、邮件所属主题是否属于监测部署范围内的业务主题,从而判定该可疑邮件是否具有定向性,最终判定该可疑恶意邮件是否为鱼叉攻击。
与现有技术相比,本发明的积极效果为:
本发明结合了社会工程学方面的研究,提取了合适的钓鱼攻击行为的链接特征,利用这些特征进行对比分析,可以有效应对鱼叉攻击的高伪装性,有助于分析邮箱安全隐患,能够对恶意组织或者个人向监测目标发起鱼叉攻击的行为进行检测。
附图说明
图1是一种面向链接伪装的鱼叉攻击邮件发现方法流程图。
图2是一种面向链接伪装的鱼叉攻击邮件发现装置模块关系图。
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提出的一种面向链接伪装的鱼叉攻击邮件发现方法,图1为本方法的流程图,本方法的步骤具体说明如下。
1.特征库配置管理
本装置可以配置和管理云附件特征库、云附件下载链接域名库以及业务主题库,具体实施方式如下:
(step1):收集云附件的特征,构建云附件特征库,初始预设值可包括“云附件”、“到期”、“已过期”等;
(step2):收集主流邮件系统的名称以及对应的云附件下载链接的域名,如网易163邮箱发来的云附件的下载链接的域名为fs.163.com,构建云附件下载链接域名库;
(step3):根据监测部署范围的实际业务需求,构建业务主题库,初始预设值可包括“政治、金融、外交、军工、能源”等。
2.邮件解析还原
本装置可以从原始流量中解析还原出邮件元数据和附件信息,形成待检测的邮件信息,具体实施方式如下:
(step1):接收监测目标的网络流量;
(step2):从网络流量中识别SMTP、POP和IMAP协议数据;
(step3):进行协议解析,形成待检测邮件元数据,包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;附件信息包括附件名称、附件文件。
3.待检测内容提取
本装置可以根据HTML标签匹配、正则表达式匹配等方法,从待检测邮件的正文中提取所有的链接地址和链接内容具体实施方式如下:所述链接内容为邮件正文中显式的链接对象,包括文本图片或URL;所述链接地址为链接内容所指向的真实的链接地址。
(step1):采用正则表达式“<[Aa].*?href=.*?>”匹配的方法,提取邮件正文中标签<a>中的链接以及链接内容;
(step2):采用正则表达式“<area.*?href=.*>”匹配的方法,提取邮件正文中标签<area>中的链接地址。
4.仿冒链接识别
本装置可以判断邮件正文中链接内容的域名与链接地址的域名二者是否匹配,从而筛选出仿冒链接,具体实施方式如下:
(step1):判断待检测的链接内容是否为URL,若为URL,则截取URL中的域名;
(step2):截取待检测的链接地址中的域名;
(step3):判断链接内容中的域名与链接地址中的域名是否匹配。不匹配则认为该链接为仿冒链接,该邮件为可疑恶意邮件;否则,进行下一步检测。
5.伪装短链接识别
由于网址缩短后用户无法根据该短链接猜测目的URL,攻击者通常利用社工手段引导用户点击恶意短链接从而实现网络攻击的目的。
本装置可以通过提取短链接的有效特征来识别基于短链接的恶意伪装,具体实施方式如下:
(step1):统计待检测链接中“/”的个数以及链接域名的长度。若链接中“/”的个数为1,且链接域名的长度小于指定阈值,则判断该链接为短链接;否则,执行step2;
(step2):计算链接的短码中数字出现的概率,即数字在短码字符中的占比。若超过阈值,则判断该链接为短链接;小于阈值,执行step3;
(step3):统计短码中元音字母出现的概率,即元音字母在短码中的占比。若元音字母出现的概率低于阈值,则判断该链接为短链接;小于阈值,执行step4;
(step4):采用以下熵值计算公式计算短码的熵值,p(xi)表示短码x中第i个字符xi在短码x中出现的概率,n为短码x的字符总数。熵值超过设定阈值,则判断该链接为短链接;否则,为正常链接。
Figure BDA0002338222010000051
(step5):若该链接为短链接,则判定该邮件为可疑恶意邮件;否则进行下一步检测。
6.仿冒云附件识别
本装置可以判断邮件系统的云附件下载链接域名与真实的下载链接域名是否匹配,从而筛选出仿冒云附件的邮件,具体实施方式如下:
(step1):判断待检测邮件是否有附件,若有附件,执行step2;
(step2):根据云附件特征库的初始值,与邮件正文内容进行匹配。若匹配成功,判断该附件为云附件,执行step3;若匹配不成功,则判断该邮件为正常邮件,不进行接下来仿冒云附件的检测。
(step3):根据主流邮件系统的名称列表,与邮件正文中云附件下载链接前后100个字符进行匹配,从而得到该云附件服务名称,并根据云附件服务名称得到对应的云附件服务下载链接域名;
(step4):截取待检测的云附件实际下载链接中的域名;
(step5):判断云附件服务下载链接域名与云附件实际下载链接域名是否匹配。若不匹配,则判断该云附件实际下载链接为仿冒,该邮件为可疑恶意邮件;否则为正常邮件。
7.邮件定向性判定
本装置可以基于语言识别和主题识别对邮件定向性进行判定,具体实施方式如下:
(step1):对于检测得到的可疑恶意邮件的附件名称,根据Unicode编码范围来判定字符是否为中文,从而计算附件名称中中文字符所占比例。若中文字符所占比例超过指定阈值,则判断该邮件具有定向性。
(step2):过滤掉附件名称中的非中文字符,并对过滤后的附件名称中的中文文本,采用训练好的文本分类器对其进行分类,进而判断该附件所属主题。若所属主题隶属于监测部署范围内的业务主题,则判断该可疑恶意邮件为鱼叉攻击邮件。
本实施例还提供了一种面向链接伪装的鱼叉攻击邮件发现装置,用于实现上述方法,如图2所示,包括特征库配置管理模块、流量协议解析模块、待检测邮件信息提取模块、面向链接伪装的鱼叉邮件检测模块和邮件定向判定模块。
特征库配置管理模块,用于配置和管理云附件特征库、云附件下载链接域名库等特征库;
邮件协议解析模块,用于从监测目标的原始流量中提取和解析邮件数据,形成待检测的邮件元数据和附件信息;
待检测邮件信息提取模块,用于从待检测邮件正文中提取链接和链接文字;
面向链接伪装模式的鱼叉邮件检测模块,从多个角度对提取的链接和链接文字进行鱼叉攻击检测;
邮件定向判定模块,对得到的可疑恶意邮件的附件名称、邮件主题进行定向性的判断。判断邮件语言是否为中文、邮件所属主题是否属于监测部署范围内的业务主题,从而判定该可疑邮件是否具有定向性,最终判定该可疑恶意邮件是否为鱼叉攻击。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (8)

1.一种面向链接伪装的鱼叉攻击邮件发现方法,其步骤包括:
1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息;
2)从所述待检测邮件的正文中提取所有的链接地址和链接内容;
3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测,判定对应邮件是否为可疑恶意邮件;
4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,判断所述可疑恶意邮件是否具有定向性;若具有定向性,则判定对应邮件为鱼叉攻击邮件;
其中判定邮件是否为可疑恶意邮件的方法为:
11)判断待检测的链接内容是否为URL,若为URL,则截取URL中的域名;
12)截取待检测的链接地址中的域名;判断链接内容中的域名与链接地址中的域名是否匹配,如果不匹配则认为该链接为仿冒链接,对应邮件为可疑恶意邮件;如果匹配则进行步骤13);
13)统计待检测的链接中“/”的个数以及链接域名的长度;若链接中“/”的个数为1,且链接域名的长度小于指定阈值,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤14);
14)计算该链接的短码中数字出现的概率,若概率超过设定阈值H1,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤15);
15)统计该短码中元音字母出现的概率,若概率低于阈值H2,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤16);
16)计算该短码的熵值,若熵值超过设定阈值H3,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则为正常链接,执行步骤17);
17)判断待检测邮件是否有附件,若有附件,则根据云附件特征库与邮件正文内容进行匹配,若匹配成功,则判断该附件为云附件,执行步骤18);
18)根据设定的主流邮件系统名称列表,与邮件正文中云附件下载链接前后N个字符进行匹配,得到该云附件服务名称,并根据云附件服务名称得到对应的云附件服务下载链接域名;
19)截取待检测的云附件实际下载链接中的域名;判断云附件服务下载链接域名与云附件实际下载链接中的域名是否匹配;若不匹配,则判断该云附件实际下载下载链接为仿冒,对应邮件为可疑恶意邮件;否则为正常邮件。
2.如权利要求1所述的方法,其特征在于,采用公式
Figure FDA0002675635830000011
计算短码的熵值H(x);其中,p(xi)表示短码x中第i个字符xi在短码x中出现的概率,n为短码x的字符总数。
3.如权利要求1所述的方法,其特征在于,所述链接内容为邮件正文中显式的链接对象,包括文本图片或URL;所述链接地址为链接内容所指向的真实的链接地址。
4.如权利要求1所述的方法,其特征在于,所述云附件特征库中的云附件特征包括:云附件、到期、已过期。
5.如权利要求1所述的方法,其特征在于,所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题和正文内容;所述附件信息包括附件名称和附件文件。
6.一种面向链接伪装的鱼叉攻击邮件发现装置,其特征在于,包括特征库配置管理模块、流量协议解析模块、待检测邮件信息提取模块、面向链接伪装的鱼叉邮件检测模块和邮件定向判定模块;其中,
特征库配置管理模块,用于配置和管理云附件特征库、云附件下载链接域名库;其中云附件下载链接域名库包括多个设定的主流邮件系统域名;
邮件协议解析模块,用于从监测目标的原始流量中提取和解析邮件数据,形成待检测的邮件元数据和附件信息;
待检测邮件信息提取模块,用于从待检测邮件正文中提取链接和链接文字;
面向链接伪装模式的鱼叉邮件检测模块,用于对提取的链接和链接文字进行鱼叉攻击检测;其中所述面向链接伪装模式的鱼叉邮件检测模块首先判断待检测的链接内容是否为URL,若为URL,则截取URL中的域名;然后判断链接内容中的域名与链接地址中的域名是否匹配,如果不匹配则认为该链接为仿冒链接,对应邮件为可疑恶意邮件;如果匹配则统计待检测的链接中“/”的个数以及链接域名的长度;若链接中“/”的个数为1,且链接域名的长度小于指定阈值,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则计算该链接的短码中数字出现的概率,若概率超过设定阈值H1,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则统计该短码中元音字母出现的概率,若概率低于阈值H2,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则计算该短码的熵值,若熵值超过设定阈值H3,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则为正常链接,进一步判断待检测邮件是否有附件,若有附件,则根据云附件特征库与邮件正文内容进行匹配,若匹配成功,则判断该附件为云附件,然后根据设定的主流邮件系统名称列表,与邮件正文中云附件下载链接前后N个字符进行匹配,得到该云附件服务名称,并根据云附件服务名称得到对应的云附件服务下载链接域名;然后截取待检测的云附件实际下载链接中的域名;判断云附件服务下载链接域名与云附件实际下载链接中的域名是否匹配;若不匹配,则判断该云附件实际下载下载链接为仿冒,对应邮件为可疑恶意邮件;否则为正常邮件;
邮件定向判定模块,用于对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,判断所述可疑恶意邮件是否具有定向性;若具有定向性,则判定对应邮件为鱼叉攻击邮件。
7.如权利要求6所述的鱼叉攻击邮件发现装置,其特征在于,采用公式
Figure FDA0002675635830000031
计算短码的熵值H(x);其中,p(xi)表示短码x中第i个字符xi在短码x中出现的概率,n为短码x的字符总数。
8.如权利要求6所述的鱼叉攻击邮件发现装置,其特征在于,所述链接内容为邮件正文中显式的链接对象,包括文本图片或URL;所述链接地址为链接内容所指向的真实的链接地址;所述云附件特征库中的云附件特征包括:云附件、到期、已过期;所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题和正文内容;所述附件信息包括附件名称和附件文件。
CN201911365205.9A 2019-12-26 2019-12-26 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 Active CN111147489B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911365205.9A CN111147489B (zh) 2019-12-26 2019-12-26 一种面向链接伪装的鱼叉攻击邮件发现方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911365205.9A CN111147489B (zh) 2019-12-26 2019-12-26 一种面向链接伪装的鱼叉攻击邮件发现方法及装置

Publications (2)

Publication Number Publication Date
CN111147489A CN111147489A (zh) 2020-05-12
CN111147489B true CN111147489B (zh) 2020-12-25

Family

ID=70520398

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911365205.9A Active CN111147489B (zh) 2019-12-26 2019-12-26 一种面向链接伪装的鱼叉攻击邮件发现方法及装置

Country Status (1)

Country Link
CN (1) CN111147489B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111859374B (zh) * 2020-07-20 2024-03-19 恒安嘉新(北京)科技股份公司 社会工程学攻击事件的检测方法、装置以及系统
CN112214970A (zh) * 2020-10-20 2021-01-12 上海科越信息技术股份有限公司 报关单填报方法及装置
CN112822168B (zh) * 2020-12-30 2022-09-23 绿盟科技集团股份有限公司 一种异常邮件检测方法及装置
CN114285627B (zh) * 2021-12-21 2023-12-22 安天科技集团股份有限公司 流量检测方法及装置、电子设备和计算机可读存储介质
CN116436663B (zh) * 2023-04-07 2024-05-17 华能信息技术有限公司 一种邮件攻击检测方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US8595830B1 (en) * 2010-07-27 2013-11-26 Symantec Corporation Method and system for detecting malware containing E-mails based on inconsistencies in public sector “From” addresses and a sending IP address
CN102945340B (zh) * 2012-10-23 2016-04-20 北京神州绿盟信息安全科技股份有限公司 信息对象检测方法及系统
CN104639179B (zh) * 2013-11-13 2018-08-14 上海华虹集成电路有限责任公司 通过二进制本原bch码的缩短码检测特殊错误模式的方法
CN106330661A (zh) * 2015-06-30 2017-01-11 郭潇文 一种数据集中处理方法
CN105072137B (zh) * 2015-09-15 2016-08-17 北京灵创众和科技有限公司 鱼叉式钓鱼邮件的检测方法及装置
CN106685803A (zh) * 2016-12-29 2017-05-17 北京安天网络安全技术有限公司 一种基于钓鱼邮件溯源apt攻击事件的方法及系统

Also Published As

Publication number Publication date
CN111147489A (zh) 2020-05-12

Similar Documents

Publication Publication Date Title
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
US11470029B2 (en) Analysis and reporting of suspicious email
US9123027B2 (en) Social engineering protection appliance
KR101689299B1 (ko) 보안이벤트 자동 검증 방법 및 장치
US8661545B2 (en) Classifying a message based on fraud indicators
CN101667979B (zh) 基于链接域名和用户反馈的反钓鱼邮件系统及方法
CN111092902B (zh) 一种面向附件伪装的鱼叉攻击邮件发现方法及装置
US8578480B2 (en) Systems and methods for identifying potentially malicious messages
CN108183888B (zh) 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US20120239751A1 (en) Multi-dimensional reputation scoring
CN105072137A (zh) 鱼叉式钓鱼邮件的检测方法及装置
EP3053084A1 (en) Malware detection based on vm behavioral analysis and machine learning classification
EP2729895A2 (en) Syntactical fingerprinting
CN111222856A (zh) 一种邮件识别方法、装置、设备及存储介质
CN103716335A (zh) 基于伪造发件人的垃圾邮件检测与过滤方法
KR20180031570A (ko) 의심스러운 전자 메시지를 검출하기 위한 기술
CN113630397A (zh) 电子邮件安全控制方法、客户端及系统
WO2017162997A1 (en) A method of protecting a user from messages with links to malicious websites containing homograph attacks
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
Morovati et al. Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques.
CN107154926A (zh) 一种针对伪造发件人的钓鱼邮件的识别方法及系统
CN109257389A (zh) 一种攻击处理方法、装置及电子设备
CN117768142A (zh) 一种邮件安全检测装置、方法、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant