CN113794674A - 用于检测邮件的方法、装置和系统 - Google Patents
用于检测邮件的方法、装置和系统 Download PDFInfo
- Publication number
- CN113794674A CN113794674A CN202110254217.5A CN202110254217A CN113794674A CN 113794674 A CN113794674 A CN 113794674A CN 202110254217 A CN202110254217 A CN 202110254217A CN 113794674 A CN113794674 A CN 113794674A
- Authority
- CN
- China
- Prior art keywords
- network
- detected
- simulation
- target network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004088 simulation Methods 0.000 claims abstract description 96
- 230000002159 abnormal effect Effects 0.000 claims abstract description 91
- 238000001514 detection method Methods 0.000 claims abstract description 75
- 238000012544 monitoring process Methods 0.000 claims abstract description 25
- 230000004044 response Effects 0.000 claims abstract description 14
- 238000005516 engineering process Methods 0.000 claims description 19
- 244000035744 Hura crepitans Species 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 10
- 238000007689 inspection Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 12
- 230000008569 process Effects 0.000 description 7
- 241000700605 Viruses Species 0.000 description 5
- 230000005856 abnormality Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 4
- 206010000117 Abnormal behaviour Diseases 0.000 description 3
- 230000001133 acceleration Effects 0.000 description 3
- 239000000047 product Substances 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的实施例公开了用于检测邮件的方法、装置和系统。该方法的一具体实施方式包括:接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;运行待检测邮件,以及监听是否出现异常操作;响应于监听到异常操作,生成告警信息。该实施方式有助于增强针对邮件的检测效率。
Description
技术领域
本公开的实施例涉及计算机技术领域,具体涉及用于检测邮件的方法、装置和系统方法和装置。
背景技术
近些年来,出现越来越多的基于邮件的攻击。攻击者利用各种技巧伪造正常邮件内容,诱骗用户点击邮件链接或下载附件文件,以达到获取收件人的账号、口令等信息等目的。或者,通过邮件引导收件人链接到特定的虚假网页(如银行或理财的网页等等),这些网页会伪装成和真实网页一样,让收件人信以为真,以达到获取收件人的信用卡或银行卡号码、账户名称及密码等信息的目的。此外,还有一些攻击者利用伪造的邮件作为渗透到企业内部网络的入口,对企业的内网安全造成了较大的威胁。
这种基于邮件的攻击方式瞄准了企业安全防护中比较薄弱的环节,对用户账户安全和企业信息和网络安全造成了非常大的威胁,也为恶意代码的大范围感染和传播提供了诸多便利。目前,常见的邮件检测方法一般是通过在邮件网络入口处部署邮件网关型产品,以利用预定义的规则对邮件进行过滤和拦截。
发明内容
本公开的实施例提出了用于检测邮件的方法、装置和系统。
第一方面,本公开的实施例提供了一种用于检测邮件的方法,应用于仿真网络,该方法包括:接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;运行待检测邮件,以及监听是否出现异常操作;响应于监听到异常操作,生成告警信息。
第二方面,本公开的实施例提供了一种用于检测邮件的系统,该系统包括目标网络和仿真网络,其中,仿真网络基于目标网络预先构建;目标网络用于接收待检测邮件,以及将待检测邮件发送至仿真网络;仿真网络运行接收到的待检测邮件,以及监听是否出现异常操作;响应于监听到异常操作,生成告警信息。
第三方面,本公开的实施例提供了一种用于检测邮件的装置,应用于仿真网络,该装置包括:接收单元,被配置成接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;检测单元,被配置成运行待检测邮件,以及监听是否出现异常操作;生成单元,被配置成响应于监听到异常操作,生成告警信息。
第四方面,本公开的实施例提供了一种计算机可读介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
本公开的实施例提供的用于检测邮件的方法、装置和系统,利用预先基于目标网络构建的仿真网络来接收目标网络转发的待检测邮件,并在仿真网络中运行待检测邮件,并监听是否存在异常,从而实现对待检测邮件的有效检测。这样一来,还可以避免利用真实的目标网络直接对待检测邮件进行检测而存在的一些安全隐患,提升检测过程的安全性。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本公开的其它特征、目的和优点将会变得更明显:
图1是本公开的一个实施例可以应用于其中的示例性系统架构图;
图2是根据本公开的用于检测邮件的方法的一个实施例的流程图;
图3是根据本公开的用于检测邮件的方法的又一个实施例的流程图;
图4是根据本公开的实施例的用于检测邮件的方法的一个应用场景的示意图;
图5是根据本公开的用于检测邮件的方法的再一个实施例的流程图;
图6是根据本公开的用于检测邮件的系统的一个实施例的时序图;
图7是根据本公开的用于检测邮件的装置的一个实施例的结构示意图;
具体实施方式
下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关发明相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本公开。
图1示出了可以应用本公开的用于检测邮件的方法或用于检测邮件的装置或用于检测邮件的系统的实施例的示例性架构100。
如图1所示,系统架构100可以包括真实网络101和仿真网络102。且仿真网络102根据真实网络101搭建。真实网络101可以是各种场景下的网络。例如,包括但不限于企业局域网、办公网络、家庭网络、、个人区域网络等等。对应地,仿真网络102也可以是各种场景下对应的网络。
具体地,真实网络101可以由各种电子设备和这些电子设备之间的通信网络组成。其中,真实网络101包括的电子设备可以根据不同的场景进行设置。作为示例,真实网络101包括的电子设备包括但不限于:个人计算机、办公电脑、手机、服务器、打印机、摄像头、传真机、扫描仪、交换机、集线器、路由器等等。真实网络101中的各个电子设备之间可以通信连接。
仿真网络102通常是根据真实网络进行对应搭建。因此,仿真网络102中也可以对应有各种电子设备和这些电子设备之间的通信网络组成。仿真网络102中的各个电子设备之间也可以通信连接。
根据实现需要,真实网络101和仿真网络102中都可以具有任意数目的电子设备。一些情况下,仿真网络102包括的电子设备的数目可以和真实网络101包括的电子设备的数目一样。一些情况下,仿真网络102包括的电子设备的数目可以少于真实网络101包括的电子设备的数目。
在一些情况下,真实网络101和虚拟网络102中的部分电子设备可以是虚拟电子设备(如虚拟打印机、虚拟摄像头等)。
需要说明的是,仿真网络102是根据真实网络101真实搭建的网络,并不是虚拟网络。
本公开的实施例所提供的用于检测邮件的方法一般由仿真网络102执行,相应地,用于检测邮件的装置一般设置于仿真网络102中。
继续参考图2,其示出了根据本公开的用于检测邮件的方法的一个实施例的流程200。该用于检测邮件的方法可以应用于仿真网络,包括以下步骤:
步骤201,接收目标网络发送的待检测邮件。
在本实施例中,邮件可以是各种类型的邮件。待检测邮件可以是任意的邮件。用于检测邮件的执行主体(如图1所示的仿真网络102)可以根据目标网络(如图1所示的真实网络101)预先搭建。需要说明的是,仿真网络是使用真实的网络环境,其中的电子设备也是使用真实的操作系统,而不是利用虚拟化等技术模拟的操作系统或网络环境。
目标网络可以是待检测邮件的收件人所在的网络。目标网络在接收到待检测邮件之后,可以暂不运行该待检测邮件,将该待检测邮件转发至仿真网络,以利用仿真网络完成对待检测邮件的检测。
步骤202,运行待检测邮件,以及监听是否出现异常操作。
在本实施例中,仿真网络在接收到待检测邮件之后,可以运行该待检测邮件,同时监听在运行该待检测邮件之后,是否出现有异常操作。一般地,不同的邮件可以采用不同的运行方式进行运行。例如,可以通过点击待检测邮件和待检测邮件的各个附件等方式来运行待检测邮件。仿真网络可以利用预先部署的、用于监听的应用等实现对异常操作的监听。
其中,异常操作可以根据实际的应用需求和应用场景进行设置。例如,异常操作可以包括各种由于运行待检测邮件而产生的操作。作为示例,异常操作包括但不限于:访问操作(如对仿真网络中的某个端口的访问等)、存储操作(如存储仿真网络中的文件等)、发送操作(如将仿真网络中的文件进行发送等)、修改操作(如修改仿真网络的信息或其中的文件等)、弱口令探测、寻找域控服务器、扫描内网或扫描系统漏洞等等。
步骤203,响应于监听到异常操作,生成告警信息。
在本实施例中,若仿真网络监听到异常操作,可以生成告警信息,以提示待检测邮件可能存在异常。其中,告警信息可以是各种类型的信息。例如,告警信息包括但不限于:语音信息、文本信息、视频信息等等。
在本实施例的一些可选的实现方式中,仿真网络在监听到异常操作之后,还可以进一步记录异常操作的相关信息。例如,异常操作为访问操作时,异常操作的相关信息包括但不限于:访问时间、访问目的IP(Internet Protocol)地址、访问目的端口等等。相关技术人员在发现告警信息之后,可以进一步进行取证分析,并根据分析结果补充现有的防护策略。
在本实施例的一些可选的实现方式中,上述目标网络可以用于实现针对仿真网络的单向访问。此时,目标网络可以访问仿真网络,但是仿真网络无法访问目标网络。
作为示例,目标网络可以将待检测邮件通过防火墙转发至仿真网络,且防火墙配置有单向安全策略,以保证目标网络中的流量可以流入仿真网络,但是仿真网络中的流量无法流出至目标网络。
由此可以避免待检测邮件为异常邮件时可能对目标网络造成的威胁,从而保证目标网络的隔离性和安全性。
在本实施例的一些可选的实现方式中,上述仿真网络可以用于实现针对外网的单向访问。其中,外网可以指除目标网络和仿真网络之外的网络,具体可以根据实际的应用场景确定。例如,外网可以是互联网。
这种情况下,仿真网络可以访问外网,但是外网无法访问仿真网络。由于一些情况下,发送异常邮件的攻击者可能会下发一些远程控制指令来破坏被攻击网络的安全性。因此,控制仿真网络针对外网的单向访问可以避免仿真网络被攻击者下发的远程控制指令所控制,也可以避免攻击者从仿真网络进入到目标网络以对目标网络的安全造成威胁的情况,进一步保证目标网络的安全性。
在本实施例的一些可选的实现方式中,仿真网络可以包括至少两个终端设备。通过两个及以上的终端设备来还原真实的目标网络,从而可以降低异常邮件发现所处网络环境不是真实的目标网络的可能性,进而有助于发现异常邮件的异常操作,提升针对异常邮件的识别率。
仿真网络中的终端设备可以不安装任何的安全防御应用或工具,并关闭防火墙,以充分监听待检测邮件的任何异常操作。此外,还可以为终端设备设置系统还原点,以便于在终端设备被攻击之后能够还原到初始状态,以及时清除终端设备上残留的危险信息(如异常邮件所带来的如木马病毒等),也可以避免影响后续针对其它待检测邮件的检测结果。
可选地,仿真网络中的终端设备可以是实体电子设备,即不是利用虚拟化技术等模拟的虚拟电子设备。由于一些攻击者利用邮件进行攻击时会检测攻击对象是否是虚拟设备或所在的网络环境是否是模拟的网络环境等,因此通过设置真实的电子设备来构建仿真网络可以规避这种情况,进一步提升针对异常邮件的识别率。
可选地,仿真网络还可以包括至少一个服务器。其中,服务器可以是用于支持终端设备的后端服务器(如业务服务器、域控服务器等等)。通过设置服务器来进一步还原真实的目标网络,可以发现攻击服务器(如访问业务服务器等)的异常邮件,有助于进一步提升针对异常邮件的识别率。
可选地,仿真网络中还可以设置蜜罐,并利用蜜罐监听待检测邮件的异常操作,以提升对待检测邮件的检测力度。
一般地,目标网络可以为局域网。此时,仿真网络中也可以为局域网,即仿真网络中的各电子设备可以处于同一局域网中,彼此之间可以通过交换机等设备进行通信。
目标网络在接收到待检测邮件之后,可以将待检测邮件转发至仿真网络中的一个终端设备。仿真网络中的该终端设备可以运行待检测邮件,同时仿真网络中的各个电子设备都可以监听待检测邮件的异常操作。
在本实施例的一些可选的实现方式中,仿真网络可以包括仿真办公网络。其中,办公网络通常是指在办公室里面架设起公司内部的计算机服务系统,将每台工作设备(包括工作计算机、打印机、服务器等等)等有效连接,通过计算机服务器进行统一化管理,共享文件数据,以提高工作效率。仿真办公网络可以根据真实的办公网络预先搭建。
此时,仿真办公网络可以包括至少两个终端设备。终端设备可以包括工作用的终端设备(如工作计算机、笔记本等等)。仿真办公网络还可以包括至少一个服务器。其中,服务器可以是用于支持仿真办公网络中的终端设备的后端服务器。仿真办公网络还可以包括打印机、扫描仪、摄像头等各种办公设备,以尽量还原真实的办公网络。仿真办公网络还可以包括蜜罐等以提升对待检测邮件的识别率。
仿真办公网络中的终端设备可以接收目标网络转发的待检测邮件,同时仿真办公网络中的各个电子设备(包括终端设备、服务器等等)都可以开启监听,以监听待检测邮件的运行是否出现异常操作。
本公开的上述实施例提供的方法提供了一种新的针对邮件的检测方法,具体通过预先构建目标网络的仿真网络,然后将发送至目标网络的邮件都作为待检测邮件转发至仿真网络,并由仿真网络运行待检测邮件并监听待检测邮件的异常操作,以及时发现异常邮件并进行告警。此外,这种检测方法还可以避免异常邮件对其运行环境进行检测,并在发现运行环境异常时停止攻击的情况,让异常邮件以为是在真实网络中运行从而暴露其入侵网络等异常行为,从而提升针对邮件的检测效率。
进一步参考图3,其示出了用于检测邮件的方法的又一个实施例的流程300。该用于检测邮件的方法的流程300,包括以下步骤:
步骤301,接收目标网络发送的、通过初始检测的待检测邮件。
在本实施例中,初始检测可以是对待检测邮件的各种检测,以确定待检测邮件是否存在异常。例如利用预设的发件人黑名单对待检测邮件进行检测,以确定待检测邮件的发件人是否属于发件人黑名单。若属于,则可以认为待检测邮件存在异常。
又例如,初始检测可以包括通过计算待检测邮件的附件的哈希确定附件是否为恶意文件,或通过分析待检测邮件人的发件人对应的网络地址和域名等信息确定待检测邮件是否由异常的远程服务器发送。
对待检测邮件的初始检测可以由用于第三方检测平台或用于检测邮件的各种应用或工具等执行。
可选地,可以利用目标网络对待检测邮件进行初始检测。
作为示例,可以在目标网络的邮件网络入口处部署邮件网关型产品,然后利用预先定义的过滤规则对接收到的邮件进行过滤和拦截。
可选地,初始检测可以包括以下至少一项:基于威胁情报技术的检测、基于沙箱技术的检测。
其中,基于威胁情报技术的检测通常是根据已知的异常邮件的相关知识来对待检测邮件进行检测。这种检测方式不能发现超出已知的异常邮件的相关知识之外的异常邮件。
基于沙箱技术的检测通常是将待检测邮件置于沙箱内运行并检测。由于沙箱环境与真实的目标网络的环境的差异较大,目前出现了一些具有反沙箱能力的木马病毒等,携带这些木马病毒的邮件会通过检测其运行环境(如检测处理器等硬件信息或获取动态链接库的相关文件句柄等)来判断是否处于沙箱内,若发现处于沙箱内,会停止攻击以避免被检测到攻击行为。
上述基于威胁情报技术和沙箱技术对邮件的检测是目前广泛研究和应用的公知技术,在此不再赘述。
若待检测邮件未通过初始检测,则可以表示待检测邮件存在异常,可以由执行初始检测的检测方生成告警信息以进行提示。若待检测邮件通过初始检测,则可以表示利用初始检测未检测到待检测邮件存在异常,从而可以将待检测邮件发送至仿真网络以进行进一步的检测,避免对待检测邮件的误检或漏检等情况,从而提升检测结果的准确性。
步骤302,运行待检测邮件,以及监听是否出现异常操作。
步骤303,响应于监听到异常操作,生成告警信息。
本实施例中未具体说明的内容可参考图2对应实施例中的相关说明,在此不再赘述。
继续参见图4,图4是根据本实施例的用于检测邮件的方法的一个示意性的应用场景400。在图4的应用场景中,待检测邮件401的收件人可以是真实网络402中的电子设备。真实网络402在接收到待检测邮件401之后,可以先基于威胁情报技术对待检测邮件401进行检测,若待检测邮件401通过本次检测,再利用沙箱技术对待检测邮件401进行检测,若待检测邮件401通过本次检测,真实网络402可以将待检测邮件401转发至对应的仿真网络403。
仿真网络403可以运行待检测邮件401并监听待检测邮件401的动态运行过程中是否出现异常操作。若发现异常操作,发出告警信号以对待检测邮件401进行及时处理。
本公开的上述实施例提供的方法先利用现有的常用的如基于威胁情报技术的检测、基于沙箱技术的检测等邮件检测方法对待检测邮件进行初始检测,若待检测邮件通过了初始检测,则再利用仿真网络对待检测邮件进一步检测,从而补充了现有的邮件检测流程,可以进一步检测到超出异常邮件的相关知识之外的异常邮件,也可以检测到具有反沙箱能力的木马病毒等,从而增强针对邮件的检测能力。
进一步参考图5,其示出了用于检测邮件的方法的再一个实施例的流程500。该用于检测邮件的方法的流程500,包括以下步骤:
步骤501,接收目标网络发送的待检测邮件。
步骤502,在预设时间段内持续运行待检测邮件,以及监听是否出现异常操作。
在本实施例中,预设时间段可以根据实际的应用需求或应用场景预先设置。例如,预先时间段可以是从运行待检测邮件的时刻之后的一周或一个月内等等。仿真网络可以持续运行并持续监听待检测邮件,以发现携带有潜伏期较长的木马病毒等威胁的异常邮件。
可选地,可以利用时间加速技术(如现有的各种用于加速时间的应用或工具等)控制仿真网络中的电子设备的本地时间,以加快待检测邮件的运行和监听过程,从而有助于及时激活并发现潜伏期较长的异常邮件。
步骤503,响应于监听到异常操作,生成告警信息。
本实施例中未具体说明的内容可参考图2和图3对应实施例中的相关说明,在此不再赘述。
本公开的上述实施例提供的方法通过在仿真网络中持续不间断地运行并监听待检测邮件的异常操作,能够有针对性地发现潜伏期较长或在一定条件下才被激活(如特定时间被激活或等待远控端的指令被激活)的异常邮件,从而进一步增强检测能力,提升针对异常邮件的检测效率。
进一步参考图6,其示出了根据本公开的用于检测邮件的系统的一个实施例的时序图600。该用于检测邮件的系统包括目标网络和仿真网络,且仿真网络基于目标网络预先构建。目标网络可以是真实应用的网络,如真实的办公网络等。
在步骤601中,目标网络接收待检测邮件。
在本实施例中,目标网络可以是待检测邮件的收件人所在的网络。
在步骤602中,目标网络将待检测邮件转发至仿真网络。
在本实施例中,目标网络在接收到待检测邮件之后,可以暂不运行该待检测邮件,将该待检测邮件转发至仿真网络,以利用仿真网络完成对待检测邮件的检测。
在步骤603中,仿真网络运行待检测邮件并监听是否出现异常操作。
在步骤604中,仿真网络响应于监听到异常操作,生成告警信息。
在本实施例的一些可选的实现方式中,仿真网络在监听到异常操作之后,还可以进一步记录异常操作的相关信息。
在本实施例的一些可选的实现方式中,目标网络在接收到待检测邮件之后,可以先对待检测邮件进行初始检测。若待检测邮件未通过初始检测,则可以生成对应的告警信息以提示待检测邮件为异常邮件。若待检测邮件通过初始检测,则可以进一步将待检测邮件转发至仿真网络,以使仿真网络对待检测邮件进行进一步的检测。
其中,初始检测可以是对待检测邮件的各种检测,以确定待检测邮件是否存在异常。例如,可以在目标网络的邮件网络入口处部署邮件网关型产品,然后利用预先定义的过滤规则对接收到的邮件进行过滤和拦截。
可选地,初始检测可以包括以下至少一项:基于威胁情报技术的检测、基于沙箱技术的检测。
在本实施例的一些可选的实现方式中,仿真网络在接收到待检测邮件之后,可以预设时间段内持续不间断地运行待检测邮件,以及监听是否出现异常操作。
可选地,可以利用时间加速技术(如现有的各种用于加速时间的应用或工具等)控制仿真网络中的电子设备的本地时间,以加快待检测邮件的运行和监听过程。
在本实施例的一些可选的实现方式中,目标网络可以用于实现针对仿真网络的单向访问。此时,目标网络可以访问仿真网络,但是仿真网络无法访问目标网络。
在本实施例的一些可选的实现方式中,上述仿真网络可以用于实现针对外网的单向访问。此时,仿真网络可以访问外网,但是外网无法访问仿真网络。
在本实施例的一些可选的实现方式中,仿真网络可以包括至少两个终端设备。
可选地,仿真网络还可以包括以下至少一项:服务器、蜜罐等等。
在本实施例的一些可选的实现方式中,仿真网络可以包括仿真办公网络。仿真办公网络可以包括至少两个终端设备和至少一个服务器。仿真办公网络中的终端设备可以接收目标网络转发的待检测邮件,同时仿真办公网络中的各个电子设备(包括终端设备、服务器等等)都可以开启监听,以监听待检测邮件的运行是否出现异常操作。
本实施例中未具体说明的内容可参考图2-图5对应实施例中的相关说明,在此不再赘述。
本公开的上述实施例提供的用于检测邮件的系统,让接收待检测邮件的目标网络将该待检测邮件转发至对应的仿真网络,然后由仿真网络运行待检测邮件,同时监听待检测邮件的运行过程中出现的异常操作,以及时发现异常邮件并进行告警。利用仿真网络可以让待检测邮件认为其在真实网络中运行从而暴露其入侵网络等异常行为,从而提升针对邮件的检测效率。
进一步参考图7,作为对上述各图所示方法的实现,本公开提供了用于检测邮件的装置的一个实施例,该装置实施例与图2所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图7所示,本实施例提供的用于检测邮件的装置700可以应用于仿真网络,具体该装置可以包括接收单元701、检测单元702和生成单元703。其中,接收单元701被配置成接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;检测单元702被配置成运行待检测邮件,以及监听是否出现异常操作;生成单元703被配置成响应于监听到异常操作,生成告警信息。
在本实施例中,用于检测邮件的装置700中:接收单元701、检测单元702和生成单元703的具体处理及其所带来的技术效果可分别参考图2对应实施例中的步骤201、步骤202和步骤203的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,上述目标网络用于对待检测邮件进行初始检测,其中,初始检测包括以下至少一项:基于威胁情报技术的检测、基于沙箱技术的检测;以及上述接收单元701进一步被配置成:接收目标网络发送的、通过初始检测的待检测邮件。
在本实施例的一些可选的实现方式中,上述检测单元702进一步被配置成:在预设时间段内持续运行待检测邮件,以及监听是否出现异常操作。
在本实施例的一些可选的实现方式中,上述目标网络用于实现针对仿真网络的单向访问。
在本实施例的一些可选的实现方式中,上述仿真网络用于实现针对外网的单向访问。
在本实施例的一些可选的实现方式中,上述仿真网络包括仿真办公网络;以及仿真办公网络包括至少两个终端设备和至少一个服务器;以及上述检测单元702进一步被配置成:利用至少两个终端设备中的终端设备运行待检测邮件,以及利用至少两个终端设备和至少一个服务器监听是否出现异常操作。
本公开的上述实施例提供的装置,通过接收单元接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;检测单元运行待检测邮件,以及监听是否出现异常操作;生成单元响应于监听到异常操作,生成告警信息。利用仿真网络进行检测可以避免异常邮件对其运行环境进行检测,并在发现运行环境异常时停止攻击的情况,让异常邮件以为是在真实网络中运行从而暴露其入侵网络等异常行为,从而提升针对邮件的检测效率。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以被下载和安装,或者从存储设备被安装。在该计算机程序被执行时,执行本公开的实施例的方法中限定的上述功能。
需要说明的是,本公开的实施例所述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的实施例中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开的实施例中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述仿真网络中的电子设备所包含的;也可以是单独存在,而未装配入仿真网络中的电子设备中的。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该执行时,使得目标网络:接收目标网络发送的待检测邮件,其中,目标网络为接收待检测邮件的网络,仿真网络基于目标网络预先构建;运行待检测邮件,以及监听是否出现异常操作;响应于监听到异常操作,生成告警信息。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的实施例的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开的实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中,例如,可以描述为:一种处理器包括接收单元、检测单元和生成单元。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定,例如,生成单元还可以被描述为“响应于监听到异常操作,生成告警信息的单元”。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开的实施例中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种用于检测邮件的方法,应用于仿真网络,包括:
接收目标网络发送的待检测邮件,其中,所述目标网络为接收所述待检测邮件的网络,所述仿真网络基于所述目标网络预先构建;
运行所述待检测邮件,以及监听是否出现异常操作;
响应于监听到异常操作,生成告警信息。
2.根据权利要求1所述的方法,其中,所述目标网络用于对所述待检测邮件进行初始检测,其中,所述初始检测包括以下至少一项:基于威胁情报技术的检测、基于沙箱技术的检测;以及
所述接收目标网络发送的待检测邮件,包括:
接收目标网络发送的、通过初始检测的待检测邮件。
3.根据权利要求1所述的方法,其中,所述运行所述待检测邮件,以及监听是否出现异常操作,包括:
在预设时间段内持续运行所述待检测邮件,以及监听是否出现异常操作。
4.根据权利要求1-3之一所述的方法,其中,所述目标网络用于实现针对所述仿真网络的单向访问。
5.根据权利要求1-3之一所述的方法,其中,所述仿真网络用于实现针对外网的单向访问。
6.根据权利要求1-3之一所述的方法,其中,所述仿真网络包括仿真办公网络;以及
所述仿真办公网络包括至少两个终端设备和至少一个服务器;以及所述运行所述待检测邮件,以及监听是否出现异常操作,包括:
利用所述至少两个终端设备中的终端设备运行所述待检测邮件,以及利用所述至少两个终端设备和至少一个服务器监听是否出现异常操作。
7.一种用于检测邮件的系统,包括目标网络和仿真网络,其中,所述仿真网络基于所述目标网络预先构建;
所述目标网络用于接收待检测邮件,以及将所述待检测邮件发送至所述仿真网络;
所述仿真网络运行接收到的待检测邮件,以及监听是否出现异常操作;响应于监听到异常操作,生成告警信息。
8.根据权利要求7所述的系统,其中,所述目标网络还用于对接收到的待检测邮件进行初始检测,以及将通过初始检测的待检测邮件发送至所述仿真网络,其中,所述初始检测包括以下至少一项:基于威胁情报技术的检测、基于沙箱技术的检测。
9.根据权利要求7所述的系统,其中,所述仿真网络还用于在预设时间段内持续运行所述待检测邮件,以及监听是否出现异常操作。
10.一种用于检测邮件的装置,应用于仿真网络,包括:
接收单元,被配置成接收目标网络发送的待检测邮件,其中,所述目标网络为接收所述待检测邮件的网络,所述仿真网络基于所述目标网络预先构建;
检测单元,被配置成运行所述待检测邮件,以及监听是否出现异常操作;
生成单元,被配置成响应于监听到异常操作,生成告警信息。
11.一种计算机可读介质,其上存储有计算机程序,其中,该程序被处理器执行时实现如权利要求1-6中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110254217.5A CN113794674B (zh) | 2021-03-09 | 2021-03-09 | 用于检测邮件的方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110254217.5A CN113794674B (zh) | 2021-03-09 | 2021-03-09 | 用于检测邮件的方法、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113794674A true CN113794674A (zh) | 2021-12-14 |
| CN113794674B CN113794674B (zh) | 2024-04-09 |
Family
ID=78876824
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110254217.5A Active CN113794674B (zh) | 2021-03-09 | 2021-03-09 | 用于检测邮件的方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113794674B (zh) |
Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006107712A2 (en) * | 2005-04-04 | 2006-10-12 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for defending against zero-day worm-based attacks |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN103401838A (zh) * | 2013-07-02 | 2013-11-20 | 中北大学 | 一种基于僵尸程序传播行为的僵尸网络预防方法 |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| CN106664297A (zh) * | 2014-07-11 | 2017-05-10 | 德国电信股份有限公司 | 用于检测对连接至通信网络的工作环境的攻击的方法 |
| CN107018067A (zh) * | 2017-05-02 | 2017-08-04 | 深圳市安之天信息技术有限公司 | 一种基于僵尸网络监控的恶意邮件预警方法及系统 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN107644161A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 样本的安全测试方法、装置和设备 |
| CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
| CN108683583A (zh) * | 2018-04-27 | 2018-10-19 | 北京顶象技术有限公司 | 一种垃圾邮件处理方法、装置及存储介质 |
| CN108768960A (zh) * | 2018-05-10 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、存储介质及计算机设备 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN110278143A (zh) * | 2019-05-06 | 2019-09-24 | 平安科技(深圳)有限公司 | 电子邮件数据处理方法、装置、计算机设备及存储介质 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN110868378A (zh) * | 2018-12-17 | 2020-03-06 | 北京安天网络安全技术有限公司 | 钓鱼邮件检测方法、装置、电子设备及存储介质 |
| CN110958263A (zh) * | 2019-12-13 | 2020-04-03 | 腾讯云计算(北京)有限责任公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
| CN112019506A (zh) * | 2020-07-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 基于行为识别的钓鱼邮件检测方法、电子装置及介质 |
-
2021
- 2021-03-09 CN CN202110254217.5A patent/CN113794674B/zh active Active
Patent Citations (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006107712A2 (en) * | 2005-04-04 | 2006-10-12 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for defending against zero-day worm-based attacks |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN103401838A (zh) * | 2013-07-02 | 2013-11-20 | 中北大学 | 一种基于僵尸程序传播行为的僵尸网络预防方法 |
| CN106664297A (zh) * | 2014-07-11 | 2017-05-10 | 德国电信股份有限公司 | 用于检测对连接至通信网络的工作环境的攻击的方法 |
| US9495188B1 (en) * | 2014-09-30 | 2016-11-15 | Palo Alto Networks, Inc. | Synchronizing a honey network configuration to reflect a target network environment |
| CN107644161A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 样本的安全测试方法、装置和设备 |
| CN107070929A (zh) * | 2017-04-20 | 2017-08-18 | 中国电子技术标准化研究院 | 一种工控网络蜜罐系统 |
| CN107018067A (zh) * | 2017-05-02 | 2017-08-04 | 深圳市安之天信息技术有限公司 | 一种基于僵尸网络监控的恶意邮件预警方法及系统 |
| CN107370756A (zh) * | 2017-08-25 | 2017-11-21 | 北京神州绿盟信息安全科技股份有限公司 | 一种蜜网防护方法及系统 |
| CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
| CN108683583A (zh) * | 2018-04-27 | 2018-10-19 | 北京顶象技术有限公司 | 一种垃圾邮件处理方法、装置及存储介质 |
| CN108768960A (zh) * | 2018-05-10 | 2018-11-06 | 腾讯科技(深圳)有限公司 | 病毒检测方法、装置、存储介质及计算机设备 |
| CN110868378A (zh) * | 2018-12-17 | 2020-03-06 | 北京安天网络安全技术有限公司 | 钓鱼邮件检测方法、装置、电子设备及存储介质 |
| CN109474625A (zh) * | 2018-12-25 | 2019-03-15 | 北京知道创宇信息技术有限公司 | 网络安全防护方法、装置及嵌入式系统 |
| CN110278143A (zh) * | 2019-05-06 | 2019-09-24 | 平安科技(深圳)有限公司 | 电子邮件数据处理方法、装置、计算机设备及存储介质 |
| CN110225064A (zh) * | 2019-07-02 | 2019-09-10 | 恒安嘉新(北京)科技股份公司 | 监测僵尸网络攻击行为的方法、装置、设备和存储介质 |
| CN110493238A (zh) * | 2019-08-26 | 2019-11-22 | 杭州安恒信息技术股份有限公司 | 基于蜜罐的防御方法、装置、蜜罐系统和蜜罐管理服务器 |
| CN110784476A (zh) * | 2019-10-31 | 2020-02-11 | 国网河南省电力公司电力科学研究院 | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 |
| CN110958263A (zh) * | 2019-12-13 | 2020-04-03 | 腾讯云计算(北京)有限责任公司 | 网络攻击检测方法、装置、设备及存储介质 |
| CN111556061A (zh) * | 2020-04-29 | 2020-08-18 | 上海沪景信息科技有限公司 | 网络伪装方法、装置、设备及计算机可读存储介质 |
| CN112019506A (zh) * | 2020-07-28 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 基于行为识别的钓鱼邮件检测方法、电子装置及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113794674B (zh) | 2024-04-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10467411B1 (en) | System and method for generating a malware identifier | |
| US10225280B2 (en) | System and method for verifying and detecting malware | |
| CN107888607B (zh) | 一种网络威胁检测方法、装置及网络管理设备 | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| US10354072B2 (en) | System and method for detection of malicious hypertext transfer protocol chains | |
| US10084816B2 (en) | Protocol based detection of suspicious network traffic | |
| US10523609B1 (en) | Multi-vector malware detection and analysis | |
| EP3225009B1 (en) | Systems and methods for malicious code detection | |
| Bringer et al. | A survey: Recent advances and future trends in honeypot research | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| EP3374870B1 (en) | Threat risk scoring of security threats | |
| US11909761B2 (en) | Mitigating malware impact by utilizing sandbox insights | |
| Grégio et al. | Ontology for malware behavior: A core model proposal | |
| CN110602044A (zh) | 一种网络威胁分析方法和系统 | |
| CN111859374B (zh) | 社会工程学攻击事件的检测方法、装置以及系统 | |
| CN113794674B (zh) | 用于检测邮件的方法、装置和系统 | |
| Albashir | Detecting unknown vulnerabilities using honeynet | |
| CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
| CN113206852A (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| Sawyer | Potential threats and mitigation tools for network attacks | |
| Halvorsen et al. | Target Discovery Differentials for 0-Knowledge Detection of ICS Malware | |
| Gheorghe et al. | Attack evaluation and mitigation framework | |
| CN118074975A (zh) | 漏洞扫描方法、装置、设备及存储介质 | |
| CN116723055A (zh) | 漏洞检测方法、装置、存储介质和电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |