CN113691566B - 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 - Google Patents
基于空间测绘和网络流量统计的邮件服务器窃密检测方法 Download PDFInfo
- Publication number
- CN113691566B CN113691566B CN202111244217.3A CN202111244217A CN113691566B CN 113691566 B CN113691566 B CN 113691566B CN 202111244217 A CN202111244217 A CN 202111244217A CN 113691566 B CN113691566 B CN 113691566B
- Authority
- CN
- China
- Prior art keywords
- network
- asset
- intranet
- assets
- flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
本发明属于网络信息处理领域,具体是一种基于空间测绘和网络流量统计的邮件服务器窃密检测方法,包括如下步骤:步骤一,识别内网和外网资产,建立网络资产台账,标注关键资产;步骤二,持续入库最新威胁情报IOC;步骤三,根据威胁情报发现威胁线索;步骤四,威胁线索跟踪与情报研判;步骤五,网络流量统计分析;步骤六,窃密行为认定与评估。本发明综合了情报研判和流量数据统计为一体的检测方法,而非单一检测方法,现有的大部分产品是通过单一的方式,要么威胁情报筛选出嫌疑对象,要么流量统计数据筛选出嫌疑对象,没有实现两者结合的分析。
Description
技术领域
本发明属于网络信息处理领域,具体是一种基于空间测绘和网络流量统计的邮件服务器窃密检测方法。
背景技术
目前来说针对于邮件服务器的安全检测,主要是对邮件服务器当中接收、转发的邮件本身进行攻击行为检测。攻击行为检测又具体细分为反恶意攻击、反垃圾邮件、病毒检测、敏感信息智能检测、情报分析、取证分析及攻击溯源检测方法,可有效检测APT、社工钓鱼、URL钓鱼、账号受控、弱口令、账号暴破、商业欺诈、未知漏洞利用、病毒木马蠕虫等邮件攻击行为。
现有的针对邮件攻击行为的检测手段依据邮件收发过程和邮件结构可以分为通信过程检测、邮件头检测、内容检测、网址检测、附件检测五大检测模块。
通信过程检测是站在攻击者的角度还原邮件账号的行为路径,针对于邮件账号本身的异常通过建立邮件账号登录日志模型、收发件行为日志模型进行综合研判,发现邮件账号的异常操作行为,例如密码爆破、黑客撞库、异常登录、内网渗透等。以邮件路径为线索,对攻击通信过程进行全面的梳理,发现通信各环节当中的邮件账号异常行为。
邮件头的检测的目的主要是溯源攻击源,邮件头是电子邮件三大组成部分之一,是正文之前的一行标头,主要包含了邮件的传输信息,例如发件人、收件人、日期和主题。可以结合各种信誉库分析邮件头所涉及的数据,再通过联动云端威胁情报大数据平台的黑客指纹库,对攻击来源、攻击目的、攻击路径进行溯源分析,进而了解攻击事件的详细过程,包括攻击发生时间、攻击利用工具、受馅的邮件服务器、发信账号信息、受攻击影响的受害人范围等,通过对安全事件进行全面溯源,可在发现攻击后,快速回溯威胁传播路径,定位攻击源。
内容检测是通过分析邮件正文内容和主题特征,采用异常文件结构识别技术和语义意图分析技术对邮件正文结构及内容进行多维度的建模分析,进一步对样本文件从正文内容、结构方面与正常文件的差异关系进行深度欺骗意图分析,避免了深入分析漏洞与链接所带来的风险,达到快速识别恶意文件和正文的效果,有效解决ATO、BEC攻击中邮件正文链接0day漏洞检测及高级加密混淆漏洞利用攻击检测等难题。
网址检测是对邮件正文、主题、附件中出现的链接进行检测,通过Whois查询等手段提取查询域名链接的注册时间、注册人、过期时间等有效信息,利用以“黑记录库”为核心的链接静态检测技术,识别静态下载、跳转站点等攻击手段,利用链接背景溯源技术,反查链接的注册信息,结合威胁情报关联分析识别攻击行为,利用“拟点击”链接动态检测技术,对页面代码、页面内容进行检测,有效的识别出钓鱼网站、仿冒网站、跨站跳转、一次性域名等APT高级邮件攻击行为。
附件检测是在不直接打开邮件附件的前提下,通过动态沙箱分析系统对邮件附件进行系统性检查,对恶意文件进行虚拟化动态分析。系统分析引擎通过真实模拟虚拟环境的各种硬件,能够构建多样、独立、纯净的虚拟分析环境,虚拟机内部提供完整的样本运行环境,并可模拟真实的网络环境,能够对各种类型的样本文件进行动态分析,动态行为提取,动态行为预警分析,动态行为威胁分类,动态行为特征等分析。
通过邮件收发过程和邮件结构的检测确实能发现具有价值的攻击性行为,但是却没法检测出邮件服务器的隐蔽窃密行为,邮件内容是敏感数据,大量的敏感数据外泄会造成不可估量的损失,隐蔽而难以察觉的窃密行为又是邮件业务安全的痛点。研究分析邮件窃密的检测技术,能为网络运维管理,异常行为分析和处置提供可解决的方法,对网络安全保障具有重大意义。
现有的技术主要解决一是利用邮件进行鱼叉式攻击的检测,而非邮件服务器本身的攻击检测,主要检测手段是利用旁路镜像流量,还原邮件内容和邮件附件,以及邮件通联关系和账号登录的时空数据,利用病毒引擎、动态沙箱、威胁情报、账号登录的时间和地理位置等进行邮件异常判断。二是通过利用邮件服务器自身漏洞进行攻击的检测,如25、110可被侦听的端口协议通信、用户密码猜测、系统漏洞等。
上述主要解决了邮件服务器攻击或邮件攻击的检测问题,而对于邮件服务器窃密,窃取了邮件内容、通讯录等并进行回传的高隐秘和窃取行为,却未实现。
发明内容
为解决现有技术存在的上述问题,本发明提出一种基于空间测绘和网络流量统计的邮件服务器窃密检测系方法,该方法能够在窃密过程中通讯加密情况下,发现针对邮件服务器的窃取行为,并且该方法能够利用空间测绘被动发现内网邮件服务器,外网发现用于窃取中转的塔台,利用网络流量统计数据的规律,检测发现针对邮件服务器的窃取行为。
为实现上述技术效果,本发明的技术方案如下:
基于空间测绘和网络流量统计的邮件服务器窃密检测方法,包括如下步骤:
步骤一,识别内网资产和外网资产,建立网络资产台账,标注关键资产;
步骤二,持续入库最新威胁情报IOC;
步骤三,根据威胁情报发现威胁线索;
步骤四,威胁线索跟踪与情报研判;
步骤五,网络流量统计分析;
步骤六,窃密行为认定与评估。
进一步地,所述步骤一具体为:
步骤A、通过部署在前端的设备主动探测内网资产,并通过网络运行感知、网络节点脆弱性感知、内网IP拓扑与交互、内网资产增删改与流量异动、内网网络拓扑异动和关键网络资产设备识别发现内网资产可用性台账:
所述网络运行感知为:通过扫描内网存活的IP以及开放端口确认资产运行情况;
所述网络节点脆弱性感知为:识别出关键网络节点,关键网络节点是指内网与互联网之间的边界,并对该资产可能存在的漏洞进行探查,梳理关键资产脆弱面;漏洞探查具体的手段包括提取网络流量里资产的banner信息,抓取信息中包含的应用程序的版本号,通过版本号匹配国家漏洞库的版本号。
所述内网IP拓扑与交互为:绘制内网IP网络拓扑,记录正常情况下的IP交互情通信情况,以区分可能的不正常IP通信关系;
所述内网资产增删改与流量异动为:记录各资产因为服务变化而产生的资产增加、资产删减、资产服务改动情况;对流量未经正常增删改操作而产生不正常变化的资产进行针对性识别与分析;
所述内网网络拓扑异动为:对内网IP通联关系异常的IP进行针对性识别与分析;
所述关键网络资产设备识别为:对开展重要业务或提供服务的网络设备进行识别与监控。
步骤B、通过开源数据或者各网络资产搜索引擎被动识别外网资产,VPS网络资产:通过爬虫获取国外网络资产平台数据,搜索VPS的关键字,将搜索结果得到的承载VPS业务的IP,保存到本地,形成一个可疑网络资产库,用于系统本地化调用。
再进一步地,内网资产和外网资产的资产属性包括以下类别:设备类型、开放服务及端口、Web应用类型、Web中间件类型、Web业务类型、Web开发语言、数据库类型和资产应用绑定域名等。
步骤C、根据内网资产和外网资产的被动识别,建立资产台账;并实现资产外联分析、资产服务器状态更新监测、资产脆弱性发现、服务器软硬件安全系数评分、网络异常连接分析的预检测;
资产外联分析:资产外联是指主动异常的外联,资产进行自身组件服务升级属于正常外联,由于资产属于服务,服务应是被客户端主动请求,不能服务器主动向外发起链接,一旦发现主动外联,即可判断为服务器资产异常。
资产服务器状态更新监测:资产服务器状态更新监测是对资产的历史轨迹记录,资产服务器执行了本职工作之外的业务,即判断为异常。
资产脆弱性发现:资产脆弱性发现主要是指资产的组件、服务、系统、数据库等版本存在漏洞且未更新到安全版本,而版本号的获得是通过网络流量被动识别获取的。
网络连接异常分析:网络连接异常分析是基于网络异常行为模型,网络异常行为模型通过预设条件进行窃密行为判断。
服务器软硬件安全系数评分:根据上述几点的分析结果,进行权重评分。
通过对流量的识别,对识别后的信息进行后续处理。
进一步地,步骤二具体为:系统通过api调用国内外威胁情报的厂商互联网情报资源平台的威胁情报,威胁情报的字段至少包括IOC特征、时间、威胁标签,形成一个威胁情报库,威胁情报库离线导入到本系统中,且IOC特征至少包括IP、域名、URL、SSL和HASH。
进一步地,步骤四具体为:对步骤三的实时流量当中发现的外网IP进行进一步威胁线索跟踪,将其视为可疑IP,探查该可疑IP的详细情况;并在开源情报查询当中关注:网络名称、ASN、注册人、注册地址、注册时间、解析域名、地理位置和开放端口;根据上述信息研判是否为VPS厂商,是否开放了远程连接协议。
进一步地,所述步骤五具体为:通过以下信息建立网络异常行为模型,并对通过威胁情报判定为邮件窃密高可疑的流量进行流量统计分析:
内网IP地址:内网IP地址通过资产识别认定是否为邮件服务器;
外网IP地址:根据威胁情报研判是否为VPS的服务器地址;
TCP传输时间:是否大于等于T;其中T为10分钟至1小时。
传输数据量:是否大于等于3MB;
发送数据比:内网发送数据是否大于外网发送数据;
收发数据比:内网发送数据是否大于内网接收数据;
流量发生时间:每天是否为固定时间段。
进一步地,所述步骤六具体为:当
内网IP地址:当内网IP地址通过资产识别认定为邮件服务器;
外网IP地址:根据威胁情报研判为VPS、SDN的服务器地址时,再分析下列信息五项信息:
TCP传输时间:大于等于T;其中T为10分钟至1小时。
传输数据量:传输数据范围值大于等于3MB,小于等于100MB;
发送数据比:内网发送数据大于外网发送数据;
收发数据比:内网发送数据大于内网接收数据;
流量发生时间:每天固定时间段;
当上述五项信息中的四项被确认时,则可疑流量认定为可疑窃密传输行为,存在邮件服务器的窃密行为;
进一步地,传输数据量当一次性传输内容大于100MB,则直接判定为可疑窃密传输行为。
本发明的优点在于:
1.本发明针对邮件服务器的窃密行为进行检测而非攻击行为的检测; 攻击行为是指对邮件服务器发起攻击,目的是破坏或控制邮件服务器。而窃密行为是指在已经攻击成功控制了邮件服务器之后的一种行为,即偷取邮件服务器上存储的数据,如邮件账号信息,邮件内容信息等,属于不同的过程和阶段,检测方法也完全不同,但目前行业内针对邮件服务器的检测,主要以攻击为主。
2.本发明综合了情报研判和流量数据统计为一体的检测方法,而非单一检测方法,现有的大部分产品是通过单一的方式,要么威胁情报筛选出嫌疑对象,要么流量统计数据筛选出嫌疑对象,没有实现两者结合的分析。
3.本发明的流量统计方法中的条件设置是基于大量实际窃密行为流量统计数据提炼出来的。
4.现有的判断方法主要是依赖于漏洞进行特征值的检测,而特征值是静态固定的,流量统计是动态的可根据实际网络情况调整的;或者利用流量统计单一的某个统计维度,如仅凭“内网发送数据大于外网发送数据”就得出数据被窃取行为,没有结合实际窃密场景的多维度的统计数据,误报率极高。而本申请的流量统计当中通过使用的TCP传输时间、传输数据量、发送数据比、收发数据比、流量发生时间的研判条件,实现在窃密过程中通讯加密情况下,发现针对邮件服务器的窃取行为,并利用空间测绘被动发现内网邮件服务器,外网发现用于窃取中转的塔台,利用网络流量统计数据的规律,检测发现针对邮件服务器的窃取行为。通过多维度的判断分析,降低了误报率。
5.本申请能够在高速流量下,被动资产识别出邮件服务器,并在高速流量下,统计出邮件服务器的“TCP传输时间、传输数据量、发送数据比、收发数据比、流量发生时间”等数据。
6.本申请提出了空间测绘与网络流量统计结合的邮件窃密行为分析模型。其中空间测绘的目的就是建立内网和外网网络资产台账。两者结合即指资产台账的数据与网络流量统计的数据,资产台账甄别出内网的邮件服务器,网络流量统计出邮件服务器的网络绘画数据,最后根据研发研制的邮件窃密行为模型,进行分析,符合行为模型的条件,就会产生邮件窃密行为的告警。
附图说明
图1为本方法的流程示意图。
图2为步骤六示意图。
具体实施方式
为了更好的理解上述技术方案,下面将结合附图通过具体实施例进行进一步的说明,需要注意的是本发明技术方案包括但不限于一下实施例。
实施例1
如图1所示,基于空间测绘和网络流量统计的邮件服务器窃密检测方法,包括如下步骤:
步骤一,识别内网资产和外网资产,建立网络资产台账,标注关键资产;关键资产包括:邮件服务器、web服务器、路由器、交换机、防火墙、OA系统、打印机、视频监控、邮件系统和网关等。
步骤二,持续入库最新威胁情报IOC;IOC为Indicator of Compromise的缩写,意为威胁指标,是可以用为做威胁检测的一些特征指标,本申请中的威胁指标规定范围为恶意的“IP、域名、URL和文件hash ”,威胁情报当中可能存在已经被打上“邮件窃密”相关字样的敏感标签,一旦在内网中发现内网IP与打上敏感标签的外网IP通信,很大程度上能够精准发现邮件窃密行为。
步骤三,根据威胁情报发现威胁线索;将威胁情报IOC作为告警规则导入到前端流量采集设备当中,并根据实时告警发现匹配到威胁情报的可疑流量,记录发生时间、内网IP和流量大小,如果识别资产为邮件服务器需重点关注并进行下一步分析。
步骤四,威胁线索跟踪与情报研判;
步骤五,网络流量统计分析;
步骤六,窃密行为认定与评估。
本发明针对邮件服务器的窃密行为进行检测而非攻击行为的检测; 攻击行为是指对邮件服务器发起攻击,目的是破坏或控制邮件服务器。而窃密行为是指在已经攻击成功控制了邮件服务器之后的一种行为,即偷取邮件服务器上存储的数据,如邮件账号信息,邮件内容信息等,属于不同的过程和阶段,检测方法也完全不同,但目前行业内针对邮件服务器的检测,主要以攻击为主。本发明综合了情报研判和流量数据统计为一体的检测方法,而非单一检测方法,现有的大部分产品是通过单一的方式,要么威胁情报筛选出嫌疑对象,要么流量统计数据筛选出嫌疑对象,没有实现两者结合的分析。
实施例2
基于空间测绘和网络流量统计的邮件服务器窃密检测方法,包括如下步骤:
步骤一,识别内网资产和外网资产,建立网络资产台账,标注关键资产;关键资产包括:邮件服务器、web服务器、路由器、交换机、防火墙、OA系统、打印机、视频监控、邮件系统和网关等。
具体为:
步骤A、通过部署在前端的设备主动探测内网资产,并通过网络运行感知、网络节点脆弱性感知、内网IP拓扑与交互、内网资产增删改与流量异动、内网网络拓扑异动和关键网络资产设备识别发现内网资产可用性台账:
所述网络运行感知为:通过扫描内网存活的IP以及开放端口确认资产运行情况;
所述网络节点脆弱性感知为:识别出关键网络节点,关键网络节点是指内网与互联网之间的边界,主要包括某单位或者某运营商机房、路由器和防火墙等,这个节点是攻击者从互联网攻击目标单位内网的第一个屏障,所以称之为关键网络节点,并对该资产可能存在的漏洞进行探查,梳理关键资产脆弱面;漏洞探查具体的手段包括提取网络流量里资产的banner信息,抓取信息中包含的应用程序的版本号,通过版本号匹配国家漏洞库的版本号,如抓取的版本号在漏洞影响版本号内,即说明资产存在脆弱性。现有技术中没有从流量、banner、版本号、漏洞库等全过程的进行漏洞查找的手段出现。
所述内网IP拓扑与交互为:绘制内网IP网络拓扑,记录正常情况下的IP交互情通信情况,以区分可能的不正常IP通信关系;
所述内网资产增删改与流量异动为:记录各资产因为服务变化而产生的资产增加、资产删减、资产服务改动等变化情况;对流量未经正常增删改操作而产生不正常变化的资产进行针对性识别与分析;
所述内网网络拓扑异动为:对内网IP通联关系异常的IP进行针对性识别与分析;
所述关键网络资产设备识别为:对开展重要业务或提供服务的网络设备进行重点识别与监控,这里特指邮件服务器。
上述多个方面的识别和分析实现了对资产台账的动态画像。通过采集网络流量,统计流量中内网和外网IP,记录内网IP与外网IP的通联关系,每日活跃情况,端口开放情况;内网每日与互联网通信的IP记变化;邮件服务器通联的方式,如只能在境内登录,登录的IP应只是员工活动的省市区域,登录时间工作日或加班时间段,登录方式VPN等而不应该是VPS代理等。
步骤B、通过开源数据或者各网络资产搜索引擎被动识别外网资产,识别SDN网络资产和VPS网络资产:具体而言,通过爬虫获取国外网络资产平台如shodan等的数据,搜索SDN和VPS的关键字,将搜索结果得到的承载SDN或VPS业务的IP,保存到本地,形成一个可疑网络资产库,用于系统本地化调用。因为大多数邮件窃取行为都会把窃取来的邮件存储在这些服务器上。
内网资产和外网资产的资产属性包括以下类别:设备类型、开放服务及端口、Web应用类型、Web中间件类型、Web业务类型、Web开发语言、数据库类型和资产应用绑定域名等。
步骤C、根据内网资产和外网资产的被动识别,建立资产台账;通过旁路镜像流量获取流量里服务器在网络会话过程中传输的banner指纹 ,预先集成一个指纹特征库,指纹特征库的规模不少于5万,指纹特征库至少应包含“设备类型、开放服务及端口、Web应用类型、Web中间件类型、Web业务类型、Web开发语言、数据库类型和资产应用绑定域名”等特征,通过碰撞匹配的结果,对资产进行画像,即一个IP,是PC机、服务器或网络设备,并将碰撞的结果映射到IP上,实现对一个IP资产的画像,画像完成后形成台账。通过网络流量被动识别的方式,来绘制网络资产台账,由于网络流量有通联关系,比传统的主动扫描探测方式,先进性在于有动态通联关系。并实现资产外联分析、资产服务器状态更新监测、资产脆弱性发现、服务器软硬件安全系数评分、网络异常连接分析的预检测;
资产外联分析:资产外联是指主动异常的外联,资产进行自身组件服务升级属于正常外联,由于资产属于服务,服务应是被客户端主动请求,不能服务器主动向外发起链接,一旦发现主动外联,即可判断为服务器资产异常(即服务器中了木马病毒后,主动向外面的控制服务器发起连接)。
资产服务器状态更新监测:资产服务器状态更新监测是对资产的历史轨迹记录,如一个服务器今日新开放了3389、445风险端口;又如邮件服务器仅能开放邮件服务协议,而开放了3306等数据库端口,即判断为异常,也就是资产服务器该干什么业务,而干了不该干的业务。
资产脆弱性发现:资产脆弱性发现主要是指资产的组件、服务、系统、数据库等版本存在漏洞且未更新到安全版本,而版本号的获得是通过网络流量被动识别获取的。
网络连接异常分析:网络连接异常分析是基于网络异常行为模型,网络异常行为模型是本系统的关键技术,本系统将提供邮件服务器窃密的模型,如一个内网邮件服务器,每天定时向外网一个VPS代理服务器传输3MB的内容,即可预判为窃密行为。
服务器软硬件安全系数评分:根据上述几点的分析结果,进行权重评分,满分100分,如开放风险端口扣10分,有网络异常连接异常扣30分,最好得到的一个风险评分,得分越低安全系数越底,反之越高。
通过对流量的识别,对识别后的信息进行后续处理。
步骤二,持续入库最新威胁情报IOC;IOC为Indicator of Compromise的缩写,意为威胁指标,是可以用为做威胁检测的一些特征指标,本申请中的威胁指标规定范围为恶意的“IP、域名、URL和文件hash ”,威胁情报当中可能存在已经被打上“邮件窃密”相关字样的敏感标签,一旦在内网中发现内网IP与打上敏感标签的外网IP通信,很大程度上能够精准发现邮件窃密行为。
具体为:系统通过api调用国内外威胁情报的厂商互联网情报资源平台的威胁情报,威胁情报的字段至少包括IOC特征、时间、威胁标签,形成一个威胁情报库,威胁情报库离线导入到本系统中,且IOC特征至少包括IP、域名、URL、SSL和HASH。持续入库的威胁情报积少成多能够作为邮件窃密发现的有力手段。
步骤三,根据威胁情报发现威胁线索;将威胁情报IOC作为告警规则导入到前端流量采集设备当中,并根据实时告警发现匹配到威胁情报的可疑流量,记录发生时间、内网IP和流量大小,如果识别资产为邮件服务器需重点关注并进行下一步分析。
步骤四,威胁线索跟踪与情报研判;四具体为:对步骤三的实时流量当中发现的外网IP进行进一步威胁线索跟踪,将其视为可疑IP,探查该可疑IP的详细情况;并在开源情报查询当中关注:网络名称、ASN、注册人、注册地址、注册时间、解析域名、地理位置和开放端口;根据上述信息研判是否为VPS厂商,是否开放了远程连接协议。邮件服务器窃密会通常以VPS等作为入侵基础设施,远程连接协议例如SSH、FTP、Zebedee等端口的开放说明可能存在窃密数据的传输。例如入侵者利用FTP+Zebedee加密通道往本地回传数据。VPS是指Virtual Private Server的简称,意为虚拟专用服务器,是指将一台服务器分割成多个虚拟专享服务器的优质服务。VPS可以像独立服务器一样,重装操作系统,安装程序,单独重启服务器。VPS可在互联网上租用,黑客常租赁一些小厂商的VPS来发起扫描攻击或者窃取的数据回传到上面,例如阿里云的安全措施极严,若有上述违规行为则会被封掉。
步骤五,网络流量统计分析;具体为:对通过威胁情报判定为邮件窃密高可疑的流量进行流量统计分析以下信息:
内网IP地址:内网IP地址通过资产识别认定是否为邮件服务器;
外网IP地址:根据威胁情报研判是否为VPS的服务器地址;
TCP传输时间:是否大于等于T;其中T为10分钟至1小时。
传输数据量:是否大于等于3MB;
发送数据比:内网发送数据是否大于外网发送数据;
收发数据比:内网发送数据是否大于内网接收数据;
流量发生时间:每天是否为固定时间段。
步骤六,窃密行为认定与评估。
进一步地,如图2所示,所述步骤六具体为:当
内网IP地址:当内网IP地址通过资产识别认定为邮件服务器;
外网IP地址:根据威胁情报研判为VPS、SDN的服务器地址时,再分析下列信息五项信息:
TCP传输时间:大于等于T;其中T可设置为10分钟至1小时。
传输数据量:传输数据范围值位于3MB-100MB之间;设置传输范围针对攻击者在对邮件服务器的内容窃取过程中,有意不一次性将邮件服务器的内容一次性窃取完,而是多次分批向外传输,以躲避检测的行为。
发送数据比:内网发送数据大于外网发送数据;
收发数据比:内网发送数据大于内网接收数据;
流量发生时间:每天固定时间段;
当上述五项信息中的四项被确认时,则可疑流量认定为可疑窃密传输行为,存在邮件服务器的窃密行为;
传输数据量当一次性传输内容大于100MB,则直接判定为可疑窃密传输行为。
本发明针对邮件服务器的窃密行为进行检测而非攻击行为的检测; 攻击行为是指对邮件服务器发起攻击,目的是破坏或控制邮件服务器。而窃密行为是指在已经攻击成功控制了邮件服务器之后的一种行为,即偷取邮件服务器上存储的数据,如邮件账号信息,邮件内容信息等,属于不同的过程和阶段,检测方法也完全不同,但目前行业内针对邮件服务器的检测,主要以攻击为主。
本发明综合了情报研判和流量数据统计为一体的检测方法,而非单一检测方法,现有的大部分产品是通过单一的方式,要么威胁情报筛选出嫌疑对象,要么流量统计数据筛选出嫌疑对象,没有实现两者结合的分析。
本发明的流量统计方法中的条件设置是基于大量实际窃密行为流量统计数据提炼出来的。
现有的判断方法主要是依赖于漏洞进行特征值的检测,而特征值是静态固定的,流量统计是动态的可根据实际网络情况调整的;或者利用流量统计单一的某个统计维度,如仅凭“内网发送数据大于外网发送数据”就得出数据被窃取行为,没有结合实际窃密场景的多维度的统计数据,误报率极高。而本申请的流量统计当中通过使用的TCP传输时间、传输数据量、发送数据比、收发数据比、流量发生时间的研判条件,实现在窃密过程中通讯加密情况下,发现针对邮件服务器的窃取行为,并利用空间测绘被动发现内网邮件服务器,外网发现用于窃取中转的塔台,利用网络流量统计数据的规律,检测发现针对邮件服务器的窃取行为。通过多维度的判断分析,降低了误报率。
本申请能够在高速流量下,被动资产识别出邮件服务器,并在高速流量下,统计出邮件服务器的“TCP传输时间、传输数据量、发送数据比、收发数据比、流量发生时间”等数据。本申请提出了空间测绘与网络流量统计结合的邮件窃密行为分析模型。其中空间测绘的目的就是建立内网和外网网络资产台账。两者结合即指资产台账的数据与网络流量统计的数据,资产台账甄别出内网的邮件服务器,网络流量统计出邮件服务器的网络绘画数据,最后根据研发研制的邮件窃密行为模型,进行分析,符合行为模型的条件,就会产生邮件窃密行为的告警。
Claims (7)
1.基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,包括如下步骤:
步骤一,识别内网资产和外网资产,建立网络资产台账,标注关键资产;
步骤二,持续入库最新威胁情报IOC;
步骤三,根据威胁情报发现威胁线索;
步骤四,威胁线索跟踪与情报研判;
步骤五,网络流量统计分析;
步骤六,窃密行为认定与评估;
所述步骤一具体为:
步骤1、通过部署在前端的设备主动探测内网资产,并通过网络运行感知、网络节点脆弱性感知、内网IP拓扑与交互、内网资产增删改与流量异动、内网网络拓扑异动和关键网络资产设备识别发现内网资产可用性台账;
网络运行感知为通过扫描内网存活的IP以及开放端口确认资产运行情况;
网络节点脆弱性感知为识别出关键网络节点,关键网络节点是指内网与互联网之间的边界,并对该资产可能存在的漏洞进行探查,梳理关键资产脆弱面;漏洞探查具体的手段包括提取网络流量里资产的banner信息,抓取信息中包含的应用程序的版本号,通过版本号匹配国家漏洞库的版本号;
内网IP拓扑与交互为绘制内网IP网络拓扑,记录正常情况下的IP交互情通信情况,以区分可能的不正常IP通信关系;
内网资产增删改与流量异动为记录各资产因为服务变化而产生的资产增加、资产删减、资产服务改动情况;对流量未经正常增删改操作而产生不正常变化的资产进行针对性识别与分析;
内网网络拓扑异动为对内网IP通联关系异常的IP进行针对性识别与分析;
关键网络资产设备识别为对开展重要业务或提供服务的网络设备进行识别与监控;
步骤2、通过开源数据或者各网络资产搜索引擎被动识别外网资产,VPS网络资产,通过爬虫获取国外网络资产平台数据,搜索VPS的关键字,将搜索结果得到的承载VPS业务的IP,保存到本地,形成一个可疑网络资产库,用于系统本地化调用;
步骤3、根据内网资产和外网资产的被动识别,建立资产台账;并实现资产外联分析、资产服务器状态更新监测、资产脆弱性发现、服务器软硬件安全系数评分、网络异常连接分析的预检测;通过流量的识别,对识别后的信息进行后续处理;
所述步骤五具体为:通过以下信息建立网络异常行为模型,并对通过威胁情报判定为邮件窃密高可疑的流量进行流量统计分析;
内网IP地址,通过资产识别认定是否为邮件服务器;
外网IP地址,根据威胁情报研判是否为VPS的服务器地址;
TCP传输时间,是否大于等于T;
传输数据量,是否大于等于3MB;
发送数据比,内网发送数据是否大于外网发送数据;
收发数据比,内网发送数据是否大于内网接收数据;
流量发生时间,每天是否为固定时间段;
所述步骤六具体为,当满足
内网IP地址,通过资产识别认定为邮件服务器;
外网IP地址,根据威胁情报研判为VPS、SDN的服务器地址时,
再分析下列五项信息,
TCP传输时间,大于等于T;
传输数据量,传输数据范围值大于等于3MB,小于等于100MB;
发送数据比,内网发送数据大于外网发送数据;
收发数据比,内网发送数据大于内网接收数据;
流量发生时间,每天固定时间段;
当上述五项信息中的四项被确认时,则可疑流量认定为可疑窃密传输行为,存在邮件服务器的窃密行为。
2. 根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,步骤一的步骤2中内网资产和外网资产的资产属性包括以下类别:设备类型、开放服务及端口、Web应用类型、Web中间件类型、Web业务类型、Web开发语言、数据库类型和资产应用绑定域名。
3.根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,步骤一的步骤3中
资产外联分析指主动异常的外联,资产进行自身组件服务升级属于正常外联,由于资产属于服务,服务应是被客户端主动请求,不能服务器主动向外发起链接,一旦发现主动外联,即可判断为服务器资产异常;
资产服务器状态更新监测是对资产的历史轨迹记录,资产服务器执行了本职工作之外的业务,即判断为异常;
资产脆弱性发现是指资产的组件、服务、系统、数据库版本存在漏洞且未更新到安全版本,而版本号的获得是通过网络流量被动识别获取的;
网络连接异常分析是基于网络异常行为模型,网络异常行为模型通过预设条件进行窃密行为判断;
服务器软硬件安全系数评分是根据分析结果,进行权重评分。
4.根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,步骤二具体为:系统通过api调用国内外威胁情报的厂商互联网情报资源平台的威胁情报,威胁情报的字段至少包括IOC特征、时间和威胁标签,形成一个威胁情报库,威胁情报库离线导入到本系统中,且IOC特征至少包括IP、域名、URL、SSL和HASH。
5.根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,步骤四具体为:对步骤三的实时流量当中发现的外网IP进行进一步威胁线索跟踪,将其视为可疑IP,探查该可疑IP的详细情况;并在开源情报查询当中关注:网络名称、ASN、注册人、注册地址、注册时间、解析域名、地理位置和开放端口;根据上述信息研判是否为VPS厂商,是否开放了远程连接协议。
6.根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,所述T为10分钟至1小时。
7.根据权利要求1所述的基于空间测绘和网络流量统计的邮件服务器窃密检测方法,其特征在于,传输数据量当一次性传输内容大于100MB,则直接判定为可疑窃密传输行为。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111244217.3A CN113691566B (zh) | 2021-10-26 | 2021-10-26 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111244217.3A CN113691566B (zh) | 2021-10-26 | 2021-10-26 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113691566A CN113691566A (zh) | 2021-11-23 |
| CN113691566B true CN113691566B (zh) | 2021-12-28 |
Family
ID=78587895
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111244217.3A Active CN113691566B (zh) | 2021-10-26 | 2021-10-26 | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113691566B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113824748B (zh) * | 2021-11-25 | 2022-02-08 | 北京大学 | 一种资产特征主动探测对抗方法、装置、电子设备及介质 |
| CN114006778B (zh) * | 2022-01-05 | 2022-03-25 | 北京微步在线科技有限公司 | 一种威胁情报的识别方法、装置、电子设备及存储介质 |
| CN114666148B (zh) * | 2022-03-31 | 2024-02-23 | 深信服科技股份有限公司 | 风险评估方法、装置及相关设备 |
| CN115225384B (zh) * | 2022-07-19 | 2024-01-23 | 天翼安全科技有限公司 | 一种网络威胁度评估方法、装置、电子设备及存储介质 |
| CN117041070B (zh) * | 2023-10-09 | 2023-12-08 | 中国人民解放军国防科技大学 | 一种网络空间测绘节点发现与归属判别方法和装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
| US10862907B1 (en) * | 2017-08-07 | 2020-12-08 | RiskIQ, Inc. | Techniques for detecting domain threats |
| CN112307502A (zh) * | 2020-11-03 | 2021-02-02 | 江苏省电力试验研究院有限公司 | 基于区块链的信息安全工作量化评估系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2968710A1 (en) * | 2016-05-31 | 2017-11-30 | Valarie Ann Findlay | Security threat information gathering and incident reporting systems and methods |
-
2021
- 2021-10-26 CN CN202111244217.3A patent/CN113691566B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10862907B1 (en) * | 2017-08-07 | 2020-12-08 | RiskIQ, Inc. | Techniques for detecting domain threats |
| CN110719291A (zh) * | 2019-10-16 | 2020-01-21 | 杭州安恒信息技术股份有限公司 | 一种基于威胁情报的网络威胁识别方法及识别系统 |
| CN111431862A (zh) * | 2020-02-28 | 2020-07-17 | 中国电子科技网络信息安全有限公司 | 威胁驱动的电力监控系统网络安全深度防护方法及系统 |
| CN112307502A (zh) * | 2020-11-03 | 2021-02-02 | 江苏省电力试验研究院有限公司 | 基于区块链的信息安全工作量化评估系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 安天资产安全运维平台;黄 海;《信息安全与通信保密》;20200910;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113691566A (zh) | 2021-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
| JP6894003B2 (ja) | Apt攻撃に対する防御 | |
| CN112637220B (zh) | 一种工控系统安全防护方法及装置 | |
| CN101176331B (zh) | 计算机网络入侵检测系统和方法 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| CN110730175B (zh) | 一种基于威胁情报的僵尸网络检测方法及检测系统 | |
| CN105027510B (zh) | 网络监视装置和网络监视方法 | |
| CN110113350B (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
| CN105915532A (zh) | 一种失陷主机的识别方法及装置 | |
| CN115134099B (zh) | 基于全流量的网络攻击行为分析方法及装置 | |
| Frye et al. | An ontology-based system to identify complex network attacks | |
| CN111510463A (zh) | 异常行为识别系统 | |
| CN113542311B (zh) | 一种实时检测失陷主机并回溯的方法 | |
| CN113660222A (zh) | 基于强制访问控制的态势感知防御方法及系统 | |
| Hermanowski | Open source security information management system supporting it security audit | |
| KR20070072835A (ko) | 실시간 웹로그 수집을 통한 웹해킹 대응 방법 | |
| Gawron et al. | PVD: Passive vulnerability detection | |
| Zhao et al. | Network security model based on active defense and passive defense hybrid strategy | |
| Pedireddy et al. | A prototype multiagent network security system | |
| Wu et al. | A novel approach to trojan horse detection by process tracing | |
| Rinnan | Benefits of centralized log file correlation | |
| Tundis et al. | An exploratory analysis on the impact of Shodan scanning tool on the network attacks | |
| CN112398803A (zh) | 一种物联网系统安全威胁监测与防御系统及方法 | |
| Fanfara et al. | Autonomous hybrid honeypot as the future of distributed computer systems security | |
| Kushwah et al. | An approach to meta-alert generation for anomalous tcp traffic |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |