CN113965378A - 一种威胁邮件溯源分析方法、系统、设备及存储介质 - Google Patents
一种威胁邮件溯源分析方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN113965378A CN113965378A CN202111227467.6A CN202111227467A CN113965378A CN 113965378 A CN113965378 A CN 113965378A CN 202111227467 A CN202111227467 A CN 202111227467A CN 113965378 A CN113965378 A CN 113965378A
- Authority
- CN
- China
- Prior art keywords
- node
- threat
- target
- nodes
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种威胁邮件溯源分析方法、系统、设备及存储介质。首先将获取的目标威胁邮件存入图形数据库,图库中包括具有多个节点以及相邻节点之间的关系的邮件溯源模型,多个节点用于存放目标威胁邮件所提取出的元素;在邮件溯源模型中邮件唯一标识节点上创建目标攻击组织节点,并根据邮件唯一标识节点以及目标威胁邮件所提取出的元素得到目标攻击组织节点的关联关系;遍历图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后目标攻击组织节点的关联关系得到目标威胁邮件溯源分析结果。可以看出,本发明的有益效果在于可以通过不同邮件因素作为起点出发,通过图库快速的查询出各种角度的邮件威胁线索和情报。
Description
技术领域
本发明涉及邮件安全领域,特别涉及一种威胁邮件溯源分析方法、系统、设备及存储介质。
背景技术
当前互联网技术的不断发展,网络攻击手段和网络安全威胁不断升级,电子邮件时高级网络攻击和网络犯罪发生的重灾区。统计数据显示“网络攻击中有91%将电子邮件作为攻击入口”,邮件攻击引发的网络安全事件频频发生。邮件系统作为现代企业关键信息基础设施,已成为攻击的重灾区。对APT(高级可持续攻击)组织来说,邮件攻击是其最为常用的攻击手段。对邮件内容及其相关因素进行威胁溯源分析是邮件防护的重要手段。
当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件,但因缺乏高级威胁发现手段,面对APT、账号受控等更复杂、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时,它们依赖于反垃圾和反病毒软件,导致检测无效,为APT攻击者留下可乘之机。
而传统的威胁邮件检测模型大多都存储在关系型数据库中,对邮件多种强关联因素的存储需要建立大量的实体表和关联表。在进行复杂的溯源查询和关联查询时需要进行大量的连表查询和深度遍历,这样的查询性能成本高,响应时间缓慢,查询过于复杂。并且在对模型中各种实体表和关联表的维护成本上也会很高。
发明内容
基于此,本申请实施例提供了一种威胁邮件溯源分析方法、系统、设备及存储介质,通过结合图库技术将邮件攻击事件中强关联因素进行建模溯源分析,解决邮件攻击过程中的组织画像问题,能够快速定位攻击源。
第一方面,提供了一种威胁邮件溯源分析方法,该方法包括:
获取目标威胁邮件,并将所述目标威胁邮件存入图形数据库,所述图形数据库中包括邮件溯源模型,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,所述多个节点用于存放所述目标威胁邮件所提取出的元素,其中,所述邮件溯源模型中至少包括邮件唯一标识节点;
在所述邮件唯一标识节点上创建目标攻击组织节点,并根据所述邮件唯一标识节点以及所述目标威胁邮件所提取出的元素得到所述目标攻击组织节点的关联关系;
遍历所述图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后所述目标攻击组织节点的关联关系得到所述目标威胁邮件溯源分析结果。
可选地,所述获取目标威胁邮件,包括:通过邮件检测得到目标威胁邮件。
可选地,将所述目标威胁邮件存入图形数据库,包括:
将所述目标威胁邮件提取出元素,并存入邮件溯源模型中的节点,并建立相邻节点之间的关系。
可选地,当邮件溯源模型中对应的节点与相邻节点之间关系已经存在,则对相应的节点和相邻节点之间关系进行属性的更新。
可选地,所述目标威胁邮件所提取出的元素可以包括:
邮件唯一标识,威胁检测类型,邮件来源IP,邮件目的IP,邮件IP的源公司信息,收件人邮箱账号,收件人邮箱账号域,发件人邮箱账号,发件人邮箱账号域,邮件文件,邮件主题,邮件正文关键词,邮件URL,URL域,邮件附件。
可选地,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,包括:
邮件收件人节点和邮件唯一标识节点之间具有抄送关系,收件人,信封收件人三种关系;关系方向从邮件唯一标识节点指向邮件收件人节点;
邮件发件人节点和邮件唯一标识节点之间具有发件人和信封发件人两种关系;关系方向从邮件发件人指向邮件唯一标识节点;
邮件发件人和邮件收件人为同一类型节点——邮箱账号节点;发件人和收件人通过图库中的有向关系的方向进行区分;
收件人邮箱域和发件人邮箱账号域为同一类节点——邮箱账号域节点,邮箱账号域节点和邮箱账号节点之间具有域名关系;关系方向从邮箱账号域节点指向邮箱账号节点;
邮件来源IP节点和邮件唯一标识节点之间具有邮件来源关系;关系方向从邮件来源IP节点指向邮件唯一标识节点;
邮件目的IP节点和邮件唯一标识节点之间具有邮件目的关系;关系方向从邮件唯一标识节点指向邮件目的IP节点;
邮件来源IP节点和邮件目的IP节点为同一类型节点——IP节点;来源IP和目的IP通过图库中的有向关系的方向进行区分;
威胁检测类型节点和邮件唯一标识节点之间具有威胁类型关系;关系方向从邮件唯一标识节点指向威胁检测类型节点;同一封邮件唯一标识标识节点会指向不同的威胁类型节点;
邮件唯一标识节点和邮件文件节点之间具有检测事件关系;关系方向从邮件文件节点指向邮件唯一标识;
邮件主题节点和邮件文件节点之间具有邮件主题关系;关系方向从邮件主题节点指向邮件文件节点;
邮件正文关键字节点和邮件文件节点之间具有正文关键字关系;关系方向从邮件正文关键字节点指向邮件文件节点;
邮件附件节点和邮件文件节点之间具有邮件附件关系;关系方向从邮件附件节点指向邮件文件节点;
邮件URL节点和邮件文件节点之间具有邮件URL关系;关系方向从邮件URL节点指向邮件文件节点;
邮件URL域节点和邮件URL节点之间具有URL域关系;关系方向从邮件URL域节点指向邮件URL节点。
可选地,所述在所述邮件唯一标识节点上创建目标攻击组织节点,包括:
攻击组织节点和邮件唯一标识节点之间有攻击组织的关系;关系方向从邮件唯一标识节点指向攻击组织节点。
第二方面,提供了一种威胁邮件溯源分析系统,该系统包括:
导入模块,用于获取目标威胁邮件,并将所述目标威胁邮件存入图形数据库,所述图形数据库中包括邮件溯源模型,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,所述多个节点用于存放所述目标威胁邮件所提取出的元素,其中,所述邮件溯源模型中至少包括邮件唯一标识节点;
创建模块,用于在所述邮件唯一标识节点上创建目标攻击组织节点,并根据所述邮件唯一标识节点以及所述目标威胁邮件所提取出的元素得到所述目标攻击组织节点的关联关系;
合并模块,用于遍历所述图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后所述目标攻击组织节点的关联关系得到所述目标威胁邮件溯源分析结果。
第三方面,提供了一种计算机设备,包括存储器和处理器,存储器存储有计算机程序,处理器执行计算机程序时实现上述第一方面任一所述的威胁邮件溯源分析方法。
第四方面,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述第一方面任一所述的威胁邮件溯源分析方法。
本申请实施例提供的技术方案带来的有益效果至少包括:
本申请实施例提供的技术方案中首先获取目标威胁邮件,并将目标威胁邮件存入图形数据库,图形数据库中包括邮件溯源模型,其中具有多个节点以及相邻节点之间的关系,多个节点用于存放目标威胁邮件所提取出的元素;在邮件溯源模型中邮件唯一标识节点上创建目标攻击组织节点,并根据邮件唯一标识节点以及目标威胁邮件所提取出的元素得到目标攻击组织节点的关联关系;遍历图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后目标攻击组织节点的关联关系得到目标威胁邮件溯源分析结果。可以看出,本发明的有益效果在于可以通过不同邮件因素作为起点出发,通过图库快速的查询出各种角度的邮件威胁线索和情报。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本申请实施例提供的一种威胁邮件溯源分析方法的流程图;
图2为本申请实施例提供的邮件溯源模型的示意图;
图3为本申请实施例提供的基于图库技术的威胁邮件攻击组织关联步骤图;
图4为本申请实施例提供的一种威胁邮件溯源分析系统的框图;
图5为本申请实施例提供的一种计算机设备的示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上,术语“包括”、“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包括了一系列步骤或单元的过程、方法、系统、产品或设备不必限于已明确列出的那些步骤或单元,而是还可包含虽然并未明确列出的但对于这些过程、方法、产品或设备固有的其它步骤或单元,或者基于本发明构思进一步的优化方案所增加的步骤或单元。
随着电子邮件威胁的演变,邮件安全问题已成为企业安全运营的重点关注领域。当前常用的邮件网关可以抵挡大多数传统的垃圾邮件和病毒邮件,但因缺乏高级威胁发现手段,面对APT、账号受控等更复杂、更危险的邮件威胁时往往束手无策。应对大量出现的新型威胁时,它们依赖于反垃圾和反病毒软件,导致检测无效,为APT攻击者留下可乘之机。
传统的威胁邮件检测模型大多都存储在关系型数据库中,对邮件多种强关联因素的存储需要建立大量的实体表和关联表。在进行复杂的溯源查询和关联查询时需要进行大量的连表查询和深度遍历,这样的查询性能成本高,响应时间缓慢,查询过于复杂。并且在对模型中各种实体表和关联表的维护成本上也会很高。
邮件作为信息载体特殊地位为攻击事件溯源分析提供良基础,本发明通过结合图库技术将邮件攻击事件中强关联因素进行建模溯源分析,解决邮件攻击过程中的组织画像问题。
图库是是NoSQL数据库的一种类型,它应用图形理论存储实体之间的关系信息。最常见例子就是社会网络中人与人之间的关系。关系型数据库用于存储“关系型”数据的效果并不好,其查询复杂、缓慢、超出预期,而图形数据库的独特设计恰恰弥补了这个缺陷。
基于图库的这种优点的邮件溯源技术能够快速定位攻击源,通过威胁传播路径的定位和回溯,对安全事件进行全面溯源,帮助安全团队掌握攻击者的意图,进而采取合适的对策。
具体地,请参考图1,其示出了本申请实施例提供的一种威胁邮件溯源分析方法的流程图,该方法可以包括以下步骤:
步骤101,获取目标威胁邮件,并将目标威胁邮件存入图形数据库。
其中,图形数据库中包括邮件溯源模型,邮件溯源模型的结构基础实体包括了节点和关系,如图2,邮件溯源模型中包括多个节点以及相邻节点之间的关系,多个节点用于存放目标威胁邮件所提取出的元素,邮件溯源模型中至少包括邮件唯一标识节点。
在本申请实施例中,图形数据库(图库)中包括邮件溯源模型,邮件溯源模型针对邮件检测环节中的检测出的威胁邮件。将威胁邮件结果中的检测唯一标识(EmlID),威胁检测类型,邮件来源IP,邮件目的IP,邮件IP的源公司信息,收件人邮箱账号,收件人邮箱账号域,发件人邮箱账号,发件人邮箱账号域,邮件文件,检测的邮件主题,检测的邮件正文关键词,提取到的邮件正文中包含的URL,URL的域,邮件的附件。这些邮件检测中的强元素因子作为图库中的实体进行存储和关联,并且在不同的实体节点之间创建关系。
邮件收件人、邮件发件人、邮件目的IP、邮件来源IP、威胁类型检测类型这些会根据检测方式和检测手段会发生改变的因素节点与每次检测唯一的邮件唯一标识节点进行关联。
在本申请中,实体节点之间的关系可以包括:
邮件收件人节点和邮件唯一标识节点之间具有抄送关系,收件人,信封收件人三种关系。关系方向从邮件唯一标识节点指向邮件收件人节点。
邮件发件人节点和邮件唯一标识节点之间具有发件人和信封发件人两种关系。关系方向从邮件发件人指向邮件唯一标识节点。
邮件发件人和邮件收件人为同一类型节点——邮箱账号节点。发件人和收件人通过图库中的有向关系的方向进行区分。
收件人邮箱域和发件人邮箱账号域为同一类节点——邮箱账号域节点,邮箱账号域节点和邮箱账号节点之间具有域名关系。关系方向从邮箱账号域节点指向邮箱账号节点。
邮件来源IP节点和邮件唯一标识节点之间具有邮件来源关系。关系方向从邮件来源IP节点指向邮件唯一标识节点。
邮件目的IP节点和邮件唯一标识节点之间具有邮件目的关系。关系方向从邮件唯一标识节点指向邮件目的IP节点。
邮件来源IP节点和邮件目的IP节点为同一类型节点——IP节点。来源IP和目的IP通过图库中的有向关系的方向进行区分。
威胁检测类型节点和邮件唯一标识节点之间具有威胁类型关系。关系方向从邮件唯一标识节点指向威胁检测类型节点。同一封邮件唯一标识标识节点会指向不同的威胁类型节点。
邮件唯一标识节点和邮件文件节点之间具有检测事件关系。关系方向从邮件文件节点指向邮件唯一标识。
邮件文件本身具有的邮件主题、邮件正文关键词、邮件正文中的URL、邮件附件进行直接关联。这些部分是属于邮件文件固有的部分。单一邮件文件会有多次检测的可能,这部分直接与邮件文件关联时,可以避免创建重复多余的关系,降低数据库中的冗余。
邮件主题节点和邮件文件节点之间具有邮件主题关系。关系方向从邮件主题节点指向邮件文件节点。
邮件正文关键字节点和邮件文件节点之间具有正文关键字关系。关系方向从邮件正文关键字节点指向邮件文件节点。
邮件附件节点和邮件文件节点之间具有邮件附件关系。关系方向从邮件附件节点指向邮件文件节点。
邮件URL节点和邮件文件节点之间具有邮件URL关系。关系方向从邮件URL节点指向邮件文件节点。
邮件URL域节点和邮件URL节点之间具有URL域关系。关系方向从邮件URL域节点指向邮件URL节点。
邮件存入图库时会根据上文描述的模型进行邮件因素的拆分和创建相应节点。如果对应的实体节点以及实体节点之间的关系已经在图库中存在时,则不会重复创建,只会对相应的节点和关系进行属性的更新。这样不重复创建节点的方式,不仅会减少空间占用,而且会自然的把具有相同因素的邮件通过对应的相同因素进行关联。
步骤102,在邮件唯一标识节点上创建目标攻击组织节点,并根据邮件唯一标识节点以及目标威胁邮件所提取出的元素得到目标攻击组织节点的关联关系。
在本申请实施例中,当邮件数据已经存入图库后,创建该邮件数据对应的目标攻击组织节点,具体包括了:
步骤1021,在之前新入库的邮件唯一标识节点上创建一个攻击组织节点。
在本申请实施例中,邮件在存入图库时还会自动关联攻击组织节点,攻击组织节点和邮件唯一标识节点之间有攻击组织的关系。关系方向从邮件唯一标识节点指向攻击组织节点。
邮件攻击组织节点是为了从所有的威胁邮件中挖掘出潜在的攻击组织并且进行分类而设计的节点。通过对邮件主题、邮件URL、邮件来源IP、邮件附件和邮件发件人因素共同提取,找出具有共同因素的邮件,并且进行攻击组织节点的合并,进而产生一个含有多个关系的攻击组织节点。
步骤103,遍历图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后目标攻击组织节点的关联关系得到目标威胁邮件溯源分析结果。
在本申请实施例中,步骤103具体包括了:
步骤1031,根据相关因素,比如邮件主题,用过查询邮件主题节点与邮件文件节点的关系,邮件文件节点与邮件唯一标识节点的关系,邮件唯一标识节点与攻击组织节点的关系。通过查询这三度关系且条件为攻击组织节点不是之前创建的攻击组织节点的查询,找到其他的攻击组织节点。
步骤1032,如果步骤二有查询到其他的攻击组织节点,则进行攻击组织节点的合并,合并后的节点继承之前攻击组织节点的关系。
步骤1033,循环执行步骤1031和步骤1032,完成通过邮件主题、邮件URL、邮件来源IP、邮件附件和邮件发件人这五个因素的攻击组织节点的合并,从而得到威胁邮件溯源分析结果。
通过每个邮件唯一标识节点都会有一个攻击组织节点与其有关系,每个攻击组织节点最少会有一个邮件唯一标识节点会与其有关系。还可以通过限制攻击组织节点与邮件唯一标识节点的关系数量来决定该攻击组织节点是不是一个具有实际意义的攻击组织。在实际使用中,将关系数量大于一的攻击组织节点进行展示。
综上可以看出,本发明在此模型和攻击组织的基础上,可以通过不同邮件因素作为起点出发,通过图库快速的查询出各种角度的邮件威胁线索和情报。
本发明的威胁溯源分析的主要分析视角包括,以威胁邮件收件人为主线索的邮件账号暴露面视角,以威胁邮件恶意附件为主线索的恶意文件视角,以攻击组织为主线索的攻击组织视角等。
请参考图4,其示出了本申请实施例提供的一种额度处理实现系统400的框图。如图4所示,该系统400可以包括:导入模块401、创建模块402和合并模块403。
导入模块401,用于获取目标威胁邮件,并将所述目标威胁邮件存入图形数据库,所述图形数据库中包括邮件溯源模型,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,所述多个节点用于存放所述目标威胁邮件所提取出的元素,其中,所述邮件溯源模型中至少包括邮件唯一标识节点;
创建模块402,用于在所述邮件唯一标识节点上创建目标攻击组织节点,并根据所述邮件唯一标识节点以及所述目标威胁邮件所提取出的元素得到所述目标攻击组织节点的关联关系;
合并模块403,用于遍历所述图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后所述目标攻击组织节点的关联关系得到所述目标威胁邮件溯源分析结果。
本申请实施例提供的威胁邮件溯源分析系统用于实现上述威胁邮件溯源分析方法,关于威胁邮件溯源分析系统的具体限定可以参见上文中对于威胁邮件溯源分析方法的限定,在此不再赘述。上述威胁邮件溯源分析系统中的各个部分可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于设备中的处理器中,也可以以软件形式存储于设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储威胁邮件溯源分析数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种威胁邮件溯源分析方法。
本领域技术人员可以理解,如图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在本申请的一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述威胁邮件溯源分析方法的步骤。
本实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以M种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(SyMchliMk)DRAM(SLDRAM)、存储器总线(RaMbus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
以上所述实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种威胁邮件溯源分析方法,其特征在于,所述方法包括:
获取目标威胁邮件,并将所述目标威胁邮件存入图形数据库,所述图形数据库中包括邮件溯源模型,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,所述多个节点用于存放所述目标威胁邮件所提取出的元素,其中,所述邮件溯源模型中至少包括邮件唯一标识节点;
在所述邮件唯一标识节点上创建目标攻击组织节点,并根据所述邮件唯一标识节点以及所述目标威胁邮件所提取出的元素得到所述目标攻击组织节点的关联关系;
遍历所述图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后所述目标攻击组织节点的关联关系得到所述目标威胁邮件溯源分析结果。
2.根据权利要求1所述的方法,其特征在于,所述获取目标威胁邮件,包括:
通过邮件检测得到目标威胁邮件。
3.根据权利要求1所述的方法,其特征在于,将所述目标威胁邮件存入图形数据库,包括:
将所述目标威胁邮件提取出元素,并存入邮件溯源模型中的节点,并建立相邻节点之间的关系。
4.根据权利要求3所述的方法,其特征在于,当邮件溯源模型中对应的节点与相邻节点之间关系已经存在,则对相应的节点和相邻节点之间关系进行属性的更新。
5.根据权利要求1所述的方法,其特征在于,所述目标威胁邮件所提取出的元素可以包括:
邮件唯一标识,威胁检测类型,邮件来源IP,邮件目的IP,邮件IP的源公司信息,收件人邮箱账号,收件人邮箱账号域,发件人邮箱账号,发件人邮箱账号域,邮件文件,邮件主题,邮件正文关键词,邮件URL,URL域,邮件附件。
6.根据权利要求5所述的方法,其特征在于,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,包括:
邮件收件人节点和邮件唯一标识节点之间具有抄送关系,收件人,信封收件人三种关系;关系方向从邮件唯一标识节点指向邮件收件人节点;
邮件发件人节点和邮件唯一标识节点之间具有发件人和信封发件人两种关系;关系方向从邮件发件人指向邮件唯一标识节点;
邮件发件人和邮件收件人为同一类型节点——邮箱账号节点;发件人和收件人通过图库中的有向关系的方向进行区分;
收件人邮箱域和发件人邮箱账号域为同一类节点——邮箱账号域节点,邮箱账号域节点和邮箱账号节点之间具有域名关系;关系方向从邮箱账号域节点指向邮箱账号节点;
邮件来源IP节点和邮件唯一标识节点之间具有邮件来源关系;关系方向从邮件来源IP节点指向邮件唯一标识节点;
邮件目的IP节点和邮件唯一标识节点之间具有邮件目的关系;关系方向从邮件唯一标识节点指向邮件目的IP节点;
邮件来源IP节点和邮件目的IP节点为同一类型节点——IP节点;来源IP和目的IP通过图库中的有向关系的方向进行区分;
威胁检测类型节点和邮件唯一标识节点之间具有威胁类型关系;关系方向从邮件唯一标识节点指向威胁检测类型节点;同一封邮件唯一标识标识节点会指向不同的威胁类型节点;
邮件唯一标识节点和邮件文件节点之间具有检测事件关系;关系方向从邮件文件节点指向邮件唯一标识;
邮件主题节点和邮件文件节点之间具有邮件主题关系;关系方向从邮件主题节点指向邮件文件节点;
邮件正文关键字节点和邮件文件节点之间具有正文关键字关系;关系方向从邮件正文关键字节点指向邮件文件节点;
邮件附件节点和邮件文件节点之间具有邮件附件关系;关系方向从邮件附件节点指向邮件文件节点;
邮件URL节点和邮件文件节点之间具有邮件URL关系;关系方向从邮件URL节点指向邮件文件节点;
邮件URL域节点和邮件URL节点之间具有URL域关系;关系方向从邮件URL域节点指向邮件URL节点。
7.根据权利要求1所述的方法,其特征在于,所述在所述邮件唯一标识节点上创建目标攻击组织节点,包括:
攻击组织节点和邮件唯一标识节点之间有攻击组织的关系;关系方向从邮件唯一标识节点指向攻击组织节点。
8.一种威胁邮件溯源分析系统,其特征在于,所述系统包括:
导入模块,用于获取目标威胁邮件,并将所述目标威胁邮件存入图形数据库,所述图形数据库中包括邮件溯源模型,所述邮件溯源模型中包括多个节点以及相邻节点之间的关系,所述多个节点用于存放所述目标威胁邮件所提取出的元素,其中,所述邮件溯源模型中至少包括邮件唯一标识节点;
创建模块,用于在所述邮件唯一标识节点上创建目标攻击组织节点,并根据所述邮件唯一标识节点以及所述目标威胁邮件所提取出的元素得到所述目标攻击组织节点的关联关系;
合并模块,用于遍历所述图形数据库中的历史攻击组织节点,合并具有相同关联关系的攻击组织节点,根据合并后所述目标攻击组织节点的关联关系得到所述目标威胁邮件溯源分析结果。
9.一种计算机设备,其特征在于,包括存储器和处理器,所述存储器存储有计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至7任一所述的威胁邮件溯源分析方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一所述的威胁邮件溯源分析方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111227467.6A CN113965378B (zh) | 2021-10-21 | 2021-10-21 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111227467.6A CN113965378B (zh) | 2021-10-21 | 2021-10-21 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113965378A true CN113965378A (zh) | 2022-01-21 |
| CN113965378B CN113965378B (zh) | 2023-07-07 |
Family
ID=79465326
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111227467.6A Active CN113965378B (zh) | 2021-10-21 | 2021-10-21 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113965378B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115952207A (zh) * | 2022-12-21 | 2023-04-11 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| US20210019850A1 (en) * | 2019-07-16 | 2021-01-21 | International Business Machines Corporation | Postal Mail Assessment System and Method |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN112818131A (zh) * | 2021-02-01 | 2021-05-18 | 亚信科技(成都)有限公司 | 一种威胁情报的图谱构建方法、系统及存储介质 |
| CN113474776A (zh) * | 2018-12-19 | 2021-10-01 | 非典型安全公司 | 用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台 |
-
2021
- 2021-10-21 CN CN202111227467.6A patent/CN113965378B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067815A (zh) * | 2018-11-06 | 2018-12-21 | 深信服科技股份有限公司 | 攻击事件溯源分析方法、系统、用户设备及存储介质 |
| CN113474776A (zh) * | 2018-12-19 | 2021-10-01 | 非典型安全公司 | 用于实时检测,表征,和补救基于电子邮件的威胁的威胁检测平台 |
| US20210019850A1 (en) * | 2019-07-16 | 2021-01-21 | International Business Machines Corporation | Postal Mail Assessment System and Method |
| CN111935192A (zh) * | 2020-10-12 | 2020-11-13 | 腾讯科技(深圳)有限公司 | 网络攻击事件溯源处理方法、装置、设备和存储介质 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN112765366A (zh) * | 2021-01-24 | 2021-05-07 | 中国电子科技集团公司第十五研究所 | 基于知识图谱的apt组织画像构建方法 |
| CN112818131A (zh) * | 2021-02-01 | 2021-05-18 | 亚信科技(成都)有限公司 | 一种威胁情报的图谱构建方法、系统及存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115952207A (zh) * | 2022-12-21 | 2023-04-11 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
| CN115952207B (zh) * | 2022-12-21 | 2024-02-20 | 北京中睿天下信息技术有限公司 | 一种基于StarRocks数据库的威胁邮件存储方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113965378B (zh) | 2023-07-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11710131B2 (en) | Method and apparatus of identifying a transaction risk | |
| US11757945B2 (en) | Collaborative database and reputation management in adversarial information environments | |
| US10686759B2 (en) | Network threat prediction and blocking | |
| US10013318B2 (en) | Distributed event correlation system | |
| CN109922075A (zh) | 网络安全知识图谱构建方法和装置、计算机设备 | |
| CN108932426B (zh) | 越权漏洞检测方法和装置 | |
| US20170085584A1 (en) | Detecting and thwarting spear phishing attacks in electronic messages | |
| US8856928B1 (en) | Protecting electronic assets using false profiles in social networks | |
| US8739290B1 (en) | Generating alerts in event management systems | |
| US10642906B2 (en) | Detection of coordinated cyber-attacks | |
| CN103473501B (zh) | 一种基于云安全的恶意软件追踪方法 | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| US10313377B2 (en) | Universal link to extract and classify log data | |
| US20230008173A1 (en) | System and method for detection and mitigation of data source compromises in adversarial information environments | |
| WO2017019717A1 (en) | Dynamic attachment delivery in emails for advanced malicious content filtering | |
| CN110868403A (zh) | 一种识别高级持续性攻击apt的方法及设备 | |
| CN113965378A (zh) | 一种威胁邮件溯源分析方法、系统、设备及存储介质 | |
| Khade et al. | Detection of phishing websites using data mining techniques | |
| Cheng et al. | A new approach to designing firewall based on multidimensional matrix | |
| CN112968870A (zh) | 一种基于频繁项集的网络团伙发现方法 | |
| CN114363002B (zh) | 一种网络攻击关系图的生成方法及装置 | |
| CN114157494B (zh) | 一种ip资源状态确定方法及相关装置 | |
| WO2016118153A1 (en) | Marking nodes for analysis based on domain name system resolution | |
| CN114039796A (zh) | 网络攻击的确定方法、装置、计算机设备及存储介质 | |
| CN103078771A (zh) | 基于p2p的僵尸网络分布式协作检测系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |