CN113938311A - 一种邮件攻击溯源方法及系统 - Google Patents
一种邮件攻击溯源方法及系统 Download PDFInfo
- Publication number
- CN113938311A CN113938311A CN202111341526.2A CN202111341526A CN113938311A CN 113938311 A CN113938311 A CN 113938311A CN 202111341526 A CN202111341526 A CN 202111341526A CN 113938311 A CN113938311 A CN 113938311A
- Authority
- CN
- China
- Prior art keywords
- information
- receiving end
- target
- positioning code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种邮件攻击溯源方法及系统,首先MTA在目标邮件投递的链路中,获取需要经由此MTA转发的目标邮件,并在其中植入定位代码然后投递给目标地址,目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件;MTA将植入定位代码的目标邮件进行投递;客户端获取到目标邮件,当邮件被打开时,定位代码将自动执行,搜集必要的信息发送给指定检测服务器;检测服务器根据接收到的信息判断目标邮件是否正常接收。可以看出,本发明在邮件中植入信息探测代码,当邮件在互联网环境下被打开时,自动向检测服务器发送IP等必要信息,实现对电子邮件的追踪检测以及对非法查看邮件用户进行反追踪。
Description
技术领域
本发明涉及邮件安全领域,特别涉及一种邮件攻击溯源方法及系统。
背景技术
当前互联网技术的不断发展,网络攻击手段和网络安全威胁不断升级,电子邮件时高级网络攻击和网络犯罪发生的重灾区。高级持续性威胁攻击、账号接管攻击、高级商业邮件诈骗攻击等不断涌现,传统邮件安全防护体系已经无法抵御日益变化的邮件攻击手段。
邮件系统是现代企业信息技术发展产生的重要通讯手段之一。企业可通过搭建邮件服务器构建自己的邮件系统,给内部员工和外部客户提供电子邮件通讯服务。电子邮件可以传输多种信息,包括文本、图片、HTML、音频等。并且可以通过邮件客户端代理发送电子邮件。电子邮件的一个特点就是发送行为与接收行为是彼此独立的。因此,即使收件人离线,电子邮件依旧可以发送到收件人电子邮件服务器中被缓存,等待收件人从中读取信件。
目前针对邮件安全性的研究大都停留在高级持续性威胁攻击检测与防治、垃圾邮件检测等方面,更多是针对邮件内容进行分析,利用威胁情报等信息针对邮件安全做针对性部署,大都是基于防御者角度针对邮件安全做检测与防护。但这种防护方式存在针对攻击邮件反应时间慢,漏报误报率高等问题。
发明内容
基于此,本申请实施例提供了一种邮件攻击溯源方法及系统,通过通过获取邮件接收者设备信息,分析设备信息,实现对攻击者或攻击组织的反向追踪。
第一方面,提供了一种邮件攻击溯源方法,该方法包括:
MTA获取目标邮件并植入定位代码,所述目标邮件包括由本地发送端发送给远程接收端的邮件或由外地发送端发送给本地接收端的邮件;
MTA将植入定位代码的目标邮件进行发送;
邮件的接收端至少通过电子邮件协议来获取目标邮件,所述电子邮件协议至少包括IMAP\POP3协议;
当接收端打开所述植入定位代码的目标邮件时,在所述接收端执行所述定位代码得到接收端信息,并将所述接收端信息发送至服务器;
服务器根据所述接收端信息判断所述目标邮件是否正常接收。
可选地,所述服务器根据所述接收端信息判断所述目标邮件是否正常接收,包括:
检测服务器根据接收端IP信息判断所述目标邮件是否正常接收,当所述接收端IP信息为指定网络地址,则所述目标邮件正常接收。
可选地,当所述接收端IP信息为异常网络地址,则所述目标邮件被非法接收,则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。
可选地,所述根据所述目标邮件和所述接收端IP信息对异常行为进行分析,包括:
在单个账号邮件泄漏的情况下,分析结果为用户账号泄漏;
在同一网段邮件泄漏的情况下,分析结果为数据监听,收件服务器被攻击;
在所有邮件数据泄漏的情况下,分析结果为发件服务器被劫持;
在单一收件人邮件,但多个接收端IP阅读邮件的情况下,分析结果为账号泄漏;
在多个未知接收端IP阅读邮件的情况下,分析结果为服务器被劫持,信息泄漏。
可选地,所述定位代码根据MIME格式进行编写。
可选地,所述当接收端打开所述植入定位代码的目标邮件时,包括:
接收端通过邮件客户端或浏览器等应用软件打开植入定位代码的目标邮件。
可选地,在所述接收端执行所述定位代码得到接收端信息,包括:
所述接收端执行所述定位代码得到接收端设备信息,至少包括浏览器信息、CPU信息以及IP地址其中一种。
第二方面,提供了一种邮件攻击溯源系统,该系统包括:
MTA,用于获取目标邮件并植入定位代码,所述目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件;并将植入定位代码的目标邮件进行投递;
检测服务器,用于当接收端打开所述植入定位代码的目标邮件时,接收所述接收端执行所述定位代码得到接收端信息;并根据所述接收端信息判断所述目标邮件是否正常接收。
可选地,所述检测服务器还包括:根据接收端IP信息判断所述目标邮件是否正常接收,当所述接收端IP信息为指定网络地址,则所述目标邮件正常接收。
可选地,所当所述接收端IP信息为异常网络地址,则所述目标邮件被非法接收,所述检测服务器则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例提供的技术方案中首先MTA获取目标邮件并植入定位代码,目标邮件包括由本地发送端发送给远程接收端的邮件或由外地发送端发送给本地接收端的邮件;MTA将植入定位代码的目标邮件进行发送;当接收端打开植入定位代码的目标邮件时,在接收端执行定位代码得到接收端信息,并将接收端信息发送至服务器;检测服务器根据接收端信息判断目标邮件是否正常接收。可以看出,本发明的有益效果在于:
(1)将定位信息植入到邮件中,对邮件接收者信息获取,并返回到服务器中进行分析
(2)与邮件服务器与邮件安全溯源产品相结合,针对邮件阅读者设备信息分析,判定邮件是否被非法接收。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本申请实施例提供的一种邮件传输过程的示意图;
图2为本申请实施例提供的一种邮件攻击溯源方法的流程图;
图3为本申请实施例提供的一种邮件攻击溯源方法的流程图。
附图标记:101-本地客户端MUA,102-本地邮件主机MTA,103-远程邮件主机MTA,104-远程客户端MUA。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
电子邮件服务的使用者都必须有一个邮件地址用来标识自己的唯一身份。邮件地址包括用户名和域名。并且邮件也可以通过昵称来描述自己。域名是由邮件服务器指定的,而用户名需要向邮件服务提供商申请。用户可以使用邮件地址作为邮件的发送者发出邮件和最为接收者接收邮件。
电子邮件在邮件服务器之间传输必须遵守一定的规则,相关的传输协议包括SMTP、POP3、IMAP等。简单邮件传输协议(SMTP)替用户将邮件发送到收件人的服务器中,并且接收其它用户发送过来的邮件并缓存到存储空间中。邮局协议(POP3)或互联网邮件访问协议(IMAP)提供从邮件服务器上查询邮件和读取的功能。首先userA使用客户端软件编写邮件,客户端软件会使用domain1的SMTP服务将邮件发送到domain2的SMTP服务器。然后后者检查收到的邮件,发现是自己域名所属的邮件后,将其保存在其存储空间内。userB通过客户端软件使用domain2的POP3服务查询自己的收件箱,并将电子邮件从存储空间下载到客户端进行查看。
为便于对本实施例进行理解,首先对邮件传输过程进行详细介绍,如图1,给出了一种邮件传输过程的示意图,其中MUA(Mail User Agent)是指邮件用户代理。通常客户端的计算机无法直接寄信,所以,需要通过MUA帮我们传递信件,不论是送信还是收信,客户端端用户都需要通过各个操作系统提供的MUA才能够使用邮件系统。例如,Windows里的OutLook Express、Netscape里的mail功能与KDE里的Kmail都是MUA。MUA主要的功能就是接收邮件主机的电子邮件,并提供用户浏览与编写邮件的功能。
MTA(Mail Transfer Agent)是指邮件传送代理,用在邮件主机上的软件,用于接收外部主机寄来的信件、帮用户发(寄出)信,通常MTA会将信件送给目的地的MTA而不是目的地的MUA。
用户利用MUA寄信到MTA。通常我们使用MUA(例如Outlook express)写信,按下MUA的“发送”按钮,MUA就会依据你所定义的主机地址将信发送到MTA上。
远程MTA收到本地MTA发出的邮件。远程MTA会收到我们这台MTA的信件,此时,信件会存放在远程MTA上,等待用户登录读取或下载。
本申请通过MTA,对正常邮件植入邮件定位代码;接收外来邮件或者转发域内创建的邮件;邮件接收者登录邮件服务器,接收邮件、打开邮件;邮件定位代码向定位检测服务器(以下简称服务器)回连,并传送搜集的信息;服务器分析邮件阅读信息判定接收是否正常。本发明旨在侦测邮件传输过程中是否被非法获取,通过向邮件中植入html标签或者js脚本来定位信息,依次获取邮件阅读者的IP信息等,判定邮件阅读者是否为合法用户。具体地,请参考图2,其示出了本申请实施例提供的一种邮件攻击溯源方法的流程图,该方法可以包括以下步骤:
步骤201,MTA获取目标邮件并植入定位代码。
其中,目标邮件包括由本地发送端发送给远程接收端的邮件或由外地发送端发送给本地接收端的邮件。
在本申请实施例中,首先通过MTA将定位代码植入到正常邮件,MTA收到正常邮件后,在邮件中植入定位代码。此代表可根据MIME格式编写,
MIME能够支持非ASCII字符、二进制格式附件等多种格式的邮件消息。这个标准被定义在RFC 2045,RFC 2046,RFC 2047,RFC 2048,RFC 2049等RFC中。由RFC 822转变而来的RFC 2822,规定电子邮件标准并不允许在邮件消息中使用7位ASCII字符集以外的字符。正因如此,一些非英语字符消息和二进制文件,图像,声音等非文字消息都不能在电子邮件中传输。MIME规定了用于表示各种各样的数据类型的符号化方法。
浏览器接收到文件后,会进入插件系统进行查找,查找出哪种插件可以识别读取接收到的文件。如果浏览器不清楚调用哪种插件系统,它可能会告诉用户缺少某插件,或者直接选择某现有插件来试图读取接收到的文件,或者可能会导致系统的崩溃。传输的信息中缺少MIME标识可能导致的情况很难估计,因为某些计算机系统可能不会出现什么故障,但某些计算机可能就会因此而崩溃。
检查一个服务器是否正确设置了MIME类型的步骤是:
在Netscape浏览器中打开服务器网页。
进入"Tools"菜单,选择"Page Info"。
在弹出的窗口中点击上层框架中的"EMBED"。
在下层框架中查看MIME的类型是否为"application/x-director"或"application/x-shockwave-flash",如果是上述信息的话表明服务器已经正确设置了MIME类型;而如果MIME类型列出的是文本内容、八位一组的数据或是其它形式均表明服务器的MIME类型没有设置正确。
如果服务器没有正确标明其发送的数据的类型,服务器管理员应该正确添加相关信息。
在把输出结果传送到浏览器上的时候,浏览器必须启动适当的应用程序来处理这个输出文档。这可以通过多种类型MIME(多功能网际邮件扩充协议)来完成。在HTTP中,MIME类型被定义在Content-Type header中。
MIME协议支持视频、文本、图片、应用、声音等文件格式,又不同的MIME信息段表示。同时MIME支持HTML格式,可以在向网页一样在电子邮件中展示并执行代码。
在本申请实施例中,通过MTA将定位代码植入到正常邮件,MTA收到正常邮件后,在邮件中植入定位代码,当此封邮件被打开查看时,此段代码就会运行,获取邮件阅读设备信息,并与指定服务器建立通讯,将获取到的设备信息发送到服务器;例如以下代码段:
步骤202,MTA将植入定位代码的目标邮件进行发送。
在本申请实施例中,包括了本地发送端发送给远程接收端的邮件(域内创建且是发给域外)或由外地发送端发送给本地接收端(向域内发送)的邮件。
如果此邮件是向域内发送的,执行完植入定位代码后,存入对应账号的邮箱;
如果此邮件是域内创建且是发给域外的邮箱账号的,则向外转发。
步骤203,正常的邮件接收途径及异常的邮件获取途径。
在本申请实施例中,向域外发送的邮件投递到对方邮箱,向域内投递的邮件投递到本地MDA;客户端通过IMAP\POP3等协议或者其他途径获取到目标邮件,当邮件在电脑等终端打开时,定位代码将自动执行,搜集必要的信息,发送给指定检测服务器;检测服务器根据接收到的信息判断目标邮件是否正常接收。
步骤204,当接收端打开植入定位代码的目标邮件时,在接收端执行定位代码得到接收端信息,并将接收端信息发送至服务器。
其中,本申请中的检测服务器可以是定位分析检测服务器。
在本申请实施例中,接收端包括了合法用户和非法用户,合法用户即目标邮件中所指定的接收用户,可以通过正常途径获取到邮件;非法用户(攻击者)即通过窃取账号密码或者别的技术及非技术途径盗取接收到邮件。
邮件接收者(包括合法用户和非法用户)打开邮件,邮件经由接收端的邮件客户端或浏览器等应用软件打开,并解析。
邮件被邮件接收者打开后,经由客户端解析,邮件内部植入的代码在接收端(客户端)内执行,获取设备信息,与服务器建立通讯信息,将设备信息发送到服务器。
步骤205,服务器根据接收端信息判断目标邮件是否正常接收。
在本申请实施例中,邮件经由转发路径,被用户正确接收并在指定网络条件下打开,邮件中植入的代码被客户端浏览器等应用软件正确解析,获取邮件阅读设备信息,包括但不限于浏览器信息,CPU信息,IP地址等。与服务器建立链接。将收集到的设备系信息,发送回服务端。
当接收端IP信息为异常网络地址,则目标邮件被非法接收,则根据目标邮件和接收端IP信息对异常行为进行分析,其中包括一下几种情况:
1)邮件被正常接收,并在指定地址打开;
2)邮件被非法获取,在异常地址被打开。
当邮件从传送到邮件服务器中,并被用户在互联网环境下打开并阅读时,邮件安全服务器会接收到来自邮件中植入的代码获取到的设备信息,通过IP信息判断邮件是否在指定网络地址打开,通过与邮件安全服务器联动。
当邮件在指定IP登录,即邮件被正常接收。
在单个账号邮件泄漏的情况下,分析结果为用户账号泄漏;
在同一网段邮件泄漏的情况下,分析结果为数据监听,收件服务器被攻击;
在所有邮件数据泄漏的情况下,分析结果为发件服务器被劫持;
在单一收件人邮件,但多个接收端IP阅读邮件的情况下,分析结果为账号泄漏;
在多个未知接收端IP阅读邮件的情况下,分析结果为服务器被劫持,信息泄漏。
综上可以看出,本申请所提供的一种邮件攻击溯源方法,如图3,通过利用攻击者的手段,在邮件中植入定位代码,分析邮件阅读者设备信息,确定邮件是否被合法接收,邮件在设备上被打开后,经由客户端解析,植入代码被自动执行,获取邮件阅读设备信息,通过与服务器建立链接,将获取到的设备信息发送回邮件安全服务器,通过分析邮件阅读信息,判断邮件是否被非法获取。通过攻击者手段,对攻击者进行反追踪。如今邮件安全领域,针对邮件安全方向的研究大都停留在对邮件信息本身内容分析。
面对高级持续性威胁(APT),安全厂商和科研机构研究了多种应对方法,总体可总结为2种技术目标和3种技术路线,发现未知攻击希望通过机器学习或扩大检测范围来发现新的特征,进而定义新的检测模型来检测之前未出现过的攻击行为;挖掘海量线索则侧重分析己有的攻击日志和正常用户行为日志,通过大规模威胁情报交换和长期的内部安全日志分析,利用大数据的优势在海量日志中对攻击行为进行关联,对攻击行为进行流程梳理和危害分析,同时通过日志审计建立正常用户的模型,将用户行为与普通模型进行比较以找到内部资产或用户异常行为。
各大厂商为防范高级持续性威胁,纷纷建立起各自的威胁情报平台,而威胁情报平台需要各种威胁感知数据支撑,本发明就是通过攻击者视角,在邮件体中增加邮件定位信息,通过分析邮件阅读信息,给威胁情报平台提供态势感知数据,进而为邮件安全提供服务。
本申请实施例还提供的一种邮件攻击溯源系统。在系统中,MTA(Mail TransferAgent),邮件投递代理服务器(例如:邮件网关等),用于获取目标邮件并植入定位代码,目标邮件包括由本地发送端发送给远程接收端的邮件或由外地发送端发送给本地接收端的邮件;并将植入定位代码的目标邮件进行发送;
检测服务器,用于当接收端打开植入定位代码的目标邮件时,接收该接收端执行定位代码得到接收端信息;并根据接收端信息判断目标邮件是否正常接收
服务器还包括:根据接收端IP信息判断目标邮件是否正常接收,当接收端IP信息为指定网络地址,则目标邮件正常接收。
当接收端IP信息为异常网络地址,则目标邮件被非法接收,服务器则根据目标邮件和接收端IP信息对异常行为进行分析。
本申请实施例提供的邮件攻击溯源系统用于实现上述邮件攻击溯源方法,关于邮件攻击溯源系统的具体限定可以参见上文中对于邮件攻击溯源方法的限定,在此不再赘述。上述邮件攻击溯源系统中的各个部分可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于设备中的处理器中,也可以以软件形式存储于设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种邮件攻击溯源方法,其特征在于,所述方法包括:
MTA获取目标邮件并植入定位代码,所述目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件;
MTA将植入定位代码的目标邮件进行投递;
邮件的接收端至少通过电子邮件协议来获取目标邮件,所述电子邮件协议至少包括IMAP\POP3协议;
当接收端打开所述植入定位代码的目标邮件时,在所述接收端执行所述定位代码搜集接收端信息,并将所述接收端信息发送至检测服务器;
检测服务器根据所述接收端信息判断所述目标邮件是否正常接收。
2.根据权利要求1所述的方法,其特征在于,所述检测服务器根据所述接收端信息判断所述目标邮件是否正常接收,包括:
检测服务器根据接收端IP信息判断所述目标邮件是否正常接收,当所述接收端IP信息为指定网络地址,则所述目标邮件正常接收。
3.根据权利要求2所述的方法,其特征在于,当所述接收端IP信息为异常网络地址,则所述目标邮件被非法接收,则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。
4.根据权利要求3所述的方法,其特征在于,所述根据所述目标邮件和所述接收端IP信息对异常行为进行分析,包括:
在单个账号邮件泄漏的情况下,分析结果为用户账号泄漏;
在同一网段邮件泄漏的情况下,分析结果为数据被监听,收件服务器被攻击;
在所有邮件数据泄漏的情况下,分析结果为发件服务器被劫持;
在单一收件人邮件,但多个接收端IP阅读邮件的情况下,分析结果为账号泄漏;
在多个未知接收端IP阅读邮件的情况下,分析结果为服务器被劫持,信息泄漏。
5.根据权利要求1所述的方法,其特征在于,所述定位代码根据MIME格式进行编写。
6.根据权利要求1所述的方法,其特征在于,所述当接收端打开所述植入定位代码的目标邮件时,包括:
接收端通过邮件客户端或浏览器等应用软件打开植入定位代码的目标邮件。
7.根据权利要求1所述的方法,其特征在于,在所述接收端执行所述定位代码得到接收端信息,包括:
所述接收端执行所述定位代码得到接收端设备信息,至少包括浏览器信息、CPU信息以及IP地址其中一种。
8.一种邮件攻击溯源系统,其特征在于,所述系统包括:
MTA,用于获取目标邮件并植入定位代码,所述目标邮件包括由本地域内账号创建的邮件或由域外账号发送给本地域内账号的邮件;并将植入定位代码的目标邮件进行投递;
检测服务器,用于当接收端打开所述植入定位代码的目标邮件时,接收所述接收端执行所述定位代码得到接收端信息;并根据所述接收端信息判断所述目标邮件是否正常接收。
9.根据权利要求8所述的系统,其特征在于,所述检测服务器还包括:根据接收端IP信息判断所述目标邮件是否正常接收,当所述接收端IP信息为指定网络地址,则所述目标邮件正常接收。
10.根据权利要求9所述的系统,其特征在于,当所述接收端IP信息为异常网络地址,则所述目标邮件被非法接收,所述检测服务器则根据所述目标邮件和所述接收端IP信息对异常行为进行分析。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111341526.2A CN113938311B (zh) | 2021-11-12 | 2021-11-12 | 一种邮件攻击溯源方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111341526.2A CN113938311B (zh) | 2021-11-12 | 2021-11-12 | 一种邮件攻击溯源方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113938311A true CN113938311A (zh) | 2022-01-14 |
CN113938311B CN113938311B (zh) | 2023-07-25 |
Family
ID=79286522
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111341526.2A Active CN113938311B (zh) | 2021-11-12 | 2021-11-12 | 一种邮件攻击溯源方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113938311B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294670A (zh) * | 2023-11-17 | 2023-12-26 | 麒麟软件有限公司 | 一种邮件追溯和撤回方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202006A (zh) * | 2010-03-26 | 2011-09-28 | 中国科学院软件研究所 | 一种挂号电子邮件的传输方法 |
CN103618639A (zh) * | 2013-11-15 | 2014-03-05 | 北京国双科技有限公司 | 媒体数据的监测方法、装置及系统 |
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
CN106850560A (zh) * | 2016-12-26 | 2017-06-13 | 沈阳通用软件有限公司 | 一种互联网邮件安全发送及审计的方法 |
CN108809803A (zh) * | 2018-04-18 | 2018-11-13 | 北京明朝万达科技股份有限公司 | 一种文件信息防泄密和溯源追踪的方法及系统 |
CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
-
2021
- 2021-11-12 CN CN202111341526.2A patent/CN113938311B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102202006A (zh) * | 2010-03-26 | 2011-09-28 | 中国科学院软件研究所 | 一种挂号电子邮件的传输方法 |
US20150067833A1 (en) * | 2013-08-30 | 2015-03-05 | Narasimha Shashidhar | Automatic phishing email detection based on natural language processing techniques |
CN103618639A (zh) * | 2013-11-15 | 2014-03-05 | 北京国双科技有限公司 | 媒体数据的监测方法、装置及系统 |
CN106850560A (zh) * | 2016-12-26 | 2017-06-13 | 沈阳通用软件有限公司 | 一种互联网邮件安全发送及审计的方法 |
CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
CN108809803A (zh) * | 2018-04-18 | 2018-11-13 | 北京明朝万达科技股份有限公司 | 一种文件信息防泄密和溯源追踪的方法及系统 |
CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
Non-Patent Citations (3)
Title |
---|
TAKUMI SEIKE; YONG JIN; NARIYOSHI YAMAI; KIYOHIKO OKAYAMA; KEITA KAWANO; MOTONORI NAKAMURA;: "A Solution for Mail Forwarding Problem of SPF by Tracing Recipient Addresses", 《2010 10TH IEEE/IPSJ INTERNATIONAL SYMPOSIUM ON APPLICATIONS AND THE INTERNET》 * |
刘新强;: "一种邮件传输投递方法的研究", 《价值工程》, vol. 30, no. 03 * |
尚菁菁; 朱宇佳; 刘庆云;: "电子邮件安全扩展协议应用分析", 《网络与信息安全学报》, vol. 6, no. 06 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117294670A (zh) * | 2023-11-17 | 2023-12-26 | 麒麟软件有限公司 | 一种邮件追溯和撤回方法 |
CN117294670B (zh) * | 2023-11-17 | 2024-04-05 | 麒麟软件有限公司 | 一种邮件追溯和撤回方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113938311B (zh) | 2023-07-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7809796B1 (en) | Method of controlling access to network resources using information in electronic mail messages | |
US7844674B2 (en) | Architecture for general purpose trusted personal access system and methods therefor | |
US10230755B2 (en) | Fraud prevention via distinctive URL display | |
US8776224B2 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
US7802304B2 (en) | Method and system of providing an integrated reputation service | |
CN101558398B (zh) | 基于被引用资源的概率分析检测不想要的电子邮件消息 | |
US7647376B1 (en) | SPAM report generation system and method | |
US20120233279A1 (en) | Message filtering method | |
US20040181581A1 (en) | Authentication method for preventing delivery of junk electronic mail | |
US20060271631A1 (en) | Categorizing mails by safety level | |
US20020147780A1 (en) | Method and system for scanning electronic mail to detect and eliminate computer viruses using a group of email-scanning servers and a recipient's email gateway | |
JP2009512082A (ja) | 電子メッセージ認証 | |
US20060168017A1 (en) | Dynamic spam trap accounts | |
WO2007146696A2 (en) | Systems and methods for identifying potentially malicious messages | |
JP2012511842A (ja) | 電子メッセージング統合エンジン | |
AU2009299539B2 (en) | Electronic communication control | |
CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
US8473556B2 (en) | Apparatus, a method, a program and a system for processing an e-mail | |
CN111404939B (zh) | 邮件威胁检测方法、装置、设备及存储介质 | |
CN113938311B (zh) | 一种邮件攻击溯源方法及系统 | |
CN116055440A (zh) | 终端判断并过滤邮件安全内容的方法、装置、设备及介质 | |
WO2011153582A1 (en) | Electronic messaging recovery engine | |
US20220182347A1 (en) | Methods for managing spam communication and devices thereof | |
Okunade | Manipulating e-mail server feedback for spam prevention | |
ES2558740T3 (es) | Sistema implementado en ordenador y procedimiento para detectar el uso indebido de una infraestructura de correo electrónico en una red informática |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |