CN114143112B - 恶意攻击邮件分析方法、装置、设备及介质 - Google Patents
恶意攻击邮件分析方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN114143112B CN114143112B CN202111494828.3A CN202111494828A CN114143112B CN 114143112 B CN114143112 B CN 114143112B CN 202111494828 A CN202111494828 A CN 202111494828A CN 114143112 B CN114143112 B CN 114143112B
- Authority
- CN
- China
- Prior art keywords
- attack
- keyword
- source address
- malicious
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 77
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000007405 data analysis Methods 0.000 claims abstract description 7
- 238000004590 computer program Methods 0.000 claims description 20
- 238000000605 extraction Methods 0.000 claims description 9
- 230000002159 abnormal effect Effects 0.000 claims description 7
- 238000010586 diagram Methods 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000004806 packaging method and process Methods 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/146—Tracing the source of attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本公开提供了一种恶意攻击邮件分析方法,包括:获取恶意攻击邮件投诉;对被投诉的恶意攻击邮件进行数据解析,获取恶意攻击邮件的攻击源地址;上报恶意攻击邮件的攻击源地址,以追溯攻击源。本公开还提供了相应的恶意攻击邮件分析装置、电子设备和计算机可读存储介质。具体的,该方法包括模糊解析和精确解析两种解析方式,可以快速准确的识别攻击源地址,以进行邮件攻击源追溯。
Description
技术领域
本公开涉及人工智能技术领域,尤其涉及一种恶意攻击邮件分析方法、装置、电子设备及介质。
背景技术
随着互联网技术的高速发展,恶意网络攻击也随着互联网的发展而日益增多,危害亦逐步增大。多数服务器管理员均有网络攻击的日志记录,当其服务器遭受网络攻击时,往往通过日志追查出攻击方。从而向攻击方发送恶意网络攻击投诉邮件进行投诉。由于投诉邮件种类多种多样,汇总分析依靠人工极其耗时耗力,因此采集与分析恶意网络攻击投诉信息是一项长期且艰巨的任务,使用自动化的形式完成恶意网络攻击投诉信息的采集与分析成为了必然趋势。
发明内容
鉴于上述问题,本发明提供了一种恶意攻击邮件分析方法、装置、电子设备及介质,以实现恶意攻击邮件的自动分析。
本公开的一个方面提供了一种恶意攻击邮件分析方法,包括:获取恶意攻击邮件投诉;对被投诉的所述恶意攻击邮件进行解析,从所述恶意攻击邮件中获取所述恶意攻击邮件的攻击源地址;上报所述恶意攻击邮件的攻击源地址,以追溯攻击源。
可选地,所述对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址包括:检索所述恶意攻击邮件的邮件主题、邮件正文和附件中的关键字;将所述关键字与预设的IP解析前缀表匹配;当所述关键字与所述IP解析前缀表中IP关键字匹配上时,在所述关键字前后截取预设长度的语句;提取所述预设长度的语句中的IP地址,以所述IP地址为所述攻击源地址。
可选地,还包括:当提取所述预设长度的语句中的IP地址失败或所述关键字与所述IP解析前缀表中IP关键字匹配失败时,再次检索所述恶意攻击邮件的邮件主题、邮件正文和附件,以提取其中首个IP地址为所述攻击源地址;若所述首个IP地址提取失败,给所述恶意攻击邮件作异常记录。
可选地,还包括:判定所述攻击源地址是否合法;当所述IP地址不合法时,给所述恶意攻击邮件作异常记录。
可选地,所述方法还包括:判定所述攻击源地址的准确率;当所述攻击源地址准确率为中、高时,记录所述攻击源地址;当所述攻击源地址准确率为低时,给所述恶意攻击邮件作异常记录。
可选地,所述判定所述攻击源地址的准确率包括:识别所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的敏感字符;当所述关键字与所述IP解析前缀表中IP关键字匹配上,且识别出敏感字符时,判定所述攻击源地址准确率为高;当所述关键字与所述IP解析前缀表中IP关键字匹配上,且未识别出敏感字符时,判定所述攻击源地址准确率为低;当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且识别出敏感字符时,判定所述攻击源地址准确率为中;当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且未识别出敏感字符时,判定无法识别。
可选地,所述对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址包括:基于所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的关键字确定攻击类型;将所述攻击类型与预设的精准数据库进行匹配;当所述精准数据库中存在所述攻击类型时,基于所述精准数据库中对应的解析规则,在所述恶意攻击邮件的预定位置提取攻击源地址。
本公开的另一个方面提供了一种恶意攻击邮件分析装置,包括:攻击有机获取模块,用于获取恶意攻击邮件投诉;邮件解析模块,用于对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址;攻击源追溯模块,用于上报所述恶意攻击邮件的攻击源地址,以追溯攻击源。
本公开的另一个方面提供了一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现所述恶意攻击邮件分析方法中的各个步骤。
本公开的另一个方面提供了一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现所述恶意攻击邮件分析方法中的各个步骤。
在本公开实施例采用的上述至少一个技术方案能够达到以下有益效果:
本公开实施例提供的恶意攻击邮件分析方法、装置可实现恶意网络攻击投诉邮件的自动采集与分析任务,将重复冗杂的工作通过计算机完成,更新过程不依赖于人工,数据解析模式为精确解析与模糊解析,数据识别率高,且执行高效。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中:
图1示意性示出了本公开实施例提供的一种恶意攻击邮件分析方法的主流程图;
图2示意性示出了本公开实施例提供的其中一种恶意攻击邮件分析方法的流程图;
图3示意性示出了本公开实施例提供的另一种恶意攻击邮件分析方法的其中一部分流程图;
图4示意性示出了本公开实施例提供的另一种恶意攻击邮件分析方法的另一部分流程图;
图5示意性示出了本公开实施例提供的一种恶意攻击邮件分析方法的整体流程图;
图6示意性示出了本公开实施例提供的一种恶意攻击邮件分析装置的结构框图;
图7示意性示出了本公开实施例提供的一种电子设备的结构框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。
因此,本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。在本公开的上下文中,计算机可读介质可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,计算机可读介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。计算机可读介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
图1示意性示出了本公开实施例提供的一种恶意攻击邮件分析方法的主流程图。
如图1所示,本公开实施例提供的一种恶意攻击邮件分析方法包括操作S110~S130。
在操作S110,获取恶意攻击邮件投诉。
在操作S120,对被投诉的恶意攻击邮件进行解析,从恶意攻击邮件中获取恶意攻击邮件的攻击源地址。
在操作S130,上报恶意攻击邮件的攻击源地址,以追溯攻击源。
在本实施例中,操作S120主要包括两种解析方式,分别为精确解析和模糊解析,以从被投诉的恶意攻击邮件中提取攻击源的IP地址。下面将结合图2~图3对这两种解析方式进行详细说明。
图2示意性示出了本公开实施例提供的其中一种恶意攻击邮件分析方法的流程图。
如图2所示,本公开实施例提供的精确解析方法包括操作S210~S230。
在操作S210,基于恶意攻击邮件的邮件主题、邮件正文和/或附件包括的关键字确定攻击类型。
在操作S220,将攻击类型与预设的精准数据库进行匹配。
在操作S230,当精准数据库中存在攻击类型时,基于精准数据库中对应的解析规则,在恶意攻击邮件的预定位置提取攻击源地址。
在本实施例中,从恶意攻击邮件的邮件主题、邮件正文和/或附件中识别的关键字主要为预设的敏感词汇,例如在邮件主题“Abuse report#1fis69q91 from210.35.72.81”、“Automatic abuse report for IPaddress 59.72.122.148”、“Yourserver 211.84.204.22has been registered as an attack source”中,其中的敏感词可以包括“Abuse report”、“attack source”;预设精准数据库中预存有多种邮件攻击类型,并预存由与各攻击类型对应的解析规则,其中,该解析规则是指,对于指定的攻击类型,在邮件的预定位置提取预定长度的内容,以从中识别攻击源IP地址。可选地,攻击类型可以包括“login-attack”、“BitTorrent”、“botnet attacks”、“TCP”、“ssh”等等。例如,正文中包含attackType:TCP。则该邮件所投诉的攻击类型则为TCP,基于该攻击类型,在正文中预定行的预定字段“attackIP”处提取整行,以获取攻击源IP。再例如,根据主题“Source-Type:ip-address Source:202.120.54.217”,其中“Source:”即为攻击源IP解析前缀,通过该前缀,可定位到攻击源IP“202.120.54.217”。该方法通过识别邮件攻击类型的方式获取预定的解析规则,以从邮件预定的位置获取相应的攻击源地址,是一种快速精准定位的方式。
该方式需要人工维护精准数据库,不断增加新的邮件解析类型,新增依据可以为模糊解析获取的数据。
图3示意性示出了本公开实施例提供的另一种恶意攻击邮件分析方法的其中一部分流程图。
如图3所示,本公开实施例提供的模糊解析的方法可以包括操作S310~S340。
在操作S310,检索恶意攻击邮件的邮件主题、邮件正文和附件中的关键字。
在操作S320,将关键字与预设的IP解析前缀表匹配。
攻击类型解析前缀表包括了投诉邮件主题、正文和附件中大概率会存在投诉攻击类型的相关语句,其语句中大多具有重复出现的前缀,通过查找这些前缀,可以快速、大概率找到攻击类型相关的语句。例如:“Report-ID:1633472089.0@Linux06 Report-Type:login-attack”,其中“Report-Type”即为攻击类型解析前缀,通过该前缀,机器人可大概率定位到攻击类型处。攻击类型解析前缀表参见表3。
表1
| 字段名 | 字段描述 | 示例 |
| ID | Id | 01 |
| AttackTypePrefix | 攻击类型解析前缀 | Report-Type: |
| CreateTime | 创建时间 | 07/20/2021 10:18:22 |
在操作S330,当关键字与IP解析前缀表中IP关键字匹配上时,在关键字前后截取预设长度的语句。
例如:“Source-Type:ip-address Source:202.120.54.217”,其中“Source:”即为攻击源IP解析前缀。通过该前缀,可大概率定位到攻击源IP处。预设长度可以为预设个数的字段,也可以为预设个数的句子。
在操作S340,提取预设长度的语句中的IP地址,以IP地址为攻击源地址。
可选地,可以通过正则表达式等算法提取IP地址。
如图3所示,该方法还可以包括操作S350~S360。
在操作S350,当提取预设长度的语句中的IP地址失败或关键字与IP解析前缀表中IP关键字匹配失败时,再次检索恶意攻击邮件的邮件主题、邮件正文和附件,以提取其中首个IP地址为攻击源地址。
当根据前缀表匹配的规则无法提取IP地址时,由于恶意攻击邮件的攻击源地址大概率会存在于邮件中,且存在于邮件内容靠前的位置,因此将文件中的首个IP地址暂定为攻击源地址。可选地,还可以提取邮件主题、邮件正文和附件中重复次数最多的地址作为攻击源地址,还可以将邮件主题、邮件正文和附件中出现的每个IP地址均作为备选的攻击源地址。
在操作S360,若首个IP地址提取失败,给恶意攻击邮件作异常记录。
在本实施例中,当IP地址提取失败时,将其作异常标记,以提供给人工客服进行人工识别,确认该邮件是否为恶意攻击邮件,或通过人工识别的方式从中查找IP地址。
如图3所示,该方法还可以包括操作S370~S380。
在操作S370,判定攻击源地址是否合法。
在操作S380,当IP地址不合法时,给恶意攻击邮件作异常记录。
其中,判定攻击源地址是否合法可以为通过相关IP信息库查询暂定的攻击源IP地址是否符合要求(例如:该IP是否在我方管辖范围内),若符合要求,则进行数据存储,若不符合要求,则进行异常记录,以供人工查验。
为了进一步提升根据操作S310~S370获取的IP地址的准确性,本公开实施例进一步提供了如下方法。
图4示意性示出了本公开实施例提供的另一种恶意攻击邮件分析方法的另一部分流程图。
如图4所示,本公开实施例提供的模糊解析方法还包括操作S410~S430。
在操作S410,判定攻击源地址的准确率。
操作S410具体包括操作S411~S415。
在操作S411,识别恶意攻击邮件的邮件主题、邮件正文和/或附件包括的敏感字符。
在操作S412,当关键字与IP解析前缀表中IP关键字匹配上,且识别出敏感字符时,判定攻击源地址准确率为高。
在操作S413,当关键字与IP解析前缀表中IP关键字匹配上,且未识别出敏感字符时,判定攻击源地址准确率为低。
在操作S414,当关键字与IP解析前缀表中IP关键字匹配失败,且识别出敏感字符时,判定攻击源地址准确率为中。
在操作S415,当关键字与IP解析前缀表中IP关键字匹配失败,且未识别出敏感字符时,判定无法识别。
在操作S420,当攻击源地址准确率为中、高时,记录攻击源地址。
在操作S430,当攻击源地址准确率为低或无法识别时,给恶意攻击邮件作异常记录。
基于该方法,可以将识别的IP地址认定为攻击源地址的准确性提升。
可以将解析结果按照约定的时间间隔进行数据存储,并根据第三方系统提供的数据接口进行数据推送,以实现数据实时展示;其中,所述约定时间间隔可以为每小时、每天、每周,可用于数据展示、数据分析和报告制作,数据存储格式为excel或csv。
图5示意性示出了本公开实施例提供的一种恶意攻击邮件分析方法的整体流程图。
如图5所示,在本公开实施例提供的恶意攻击邮件分析方法中,可以先实施精准解析,当精准解析失败时,再实施模糊解析,从而可以提升解析效率和解析的准确度。
图6示意性示出了本公开实施例提供的一种恶意攻击邮件分析装置的结构框图。
如图6所示,本公开实施例的一种恶意攻击邮件分析装置,包括:攻击有机获取模块610,邮件解析模块620,攻击源追溯模块630。
攻击有机获取模块610,用于获取恶意攻击邮件投诉;
邮件解析模块620,用于对被投诉的恶意攻击邮件进行数据解析,获取恶意攻击邮件的攻击源地址;
攻击源追溯模块630,用于上报恶意攻击邮件的攻击源地址,以追溯攻击源。
需要说明的是,本公开实施例提供的恶意攻击邮件分析装置的相关技术特征与本公开实施例提供的如图1~5所示的恶意攻击邮件分析方法的技术特征相同,因而也能实现相应的技术效果,在此不再赘述。
可以理解的是,攻击有机获取模块610、邮件解析模块620、攻击源追溯模块630可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本发明的实施例,攻击有机获取模块610、邮件解析模块620、攻击源追溯模块630中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以以对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式的适当组合来实现。或者,攻击有机获取模块610、邮件解析模块620、攻击源追溯模块630中的至少一个可以至少被部分地实现为计算机程序模块,当该程序被计算机运行时,可以执行相应模块的功能。
图7示意性示出了本公开实施例提供的一种电子设备的结构框图。
如图7所示,本实施例中所描述的电子设备,包括:电子设备700包括处理器710、计算机可读存储介质720。该电子设备700可以执行上面参考图1描述的方法,以实现对特定操作的检测。
具体地,处理器710例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器710还可以包括用于缓存用途的板载存储器。处理器710可以是用于执行参考图1描述的根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。
计算机可读存储介质720,例如可以是能够包含、存储、传送、传播或传输指令的任意介质。例如,可读存储介质可以包括但不限于电、磁、光、电磁、红外或半导体系统、装置、器件或传播介质。可读存储介质的具体示例包括:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;和/或有线/无线通信链路。
计算机可读存储介质720可以包括计算机程序721,该计算机程序721可以包括代码/计算机可执行指令,其在由处理器710执行时使得处理器710执行例如上面结合图1所描述的方法流程及其任何变形。
计算机程序721可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序721中的代码可以包括一个或多个程序模块,例如包括721A、模块721B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器710执行时,使得处理器710可以执行例如上面结合图1~图5所描述的方法流程及其任何变形。
根据本发明的实施例,攻击有机获取模块610、邮件解析模块620、攻击源追溯模块630中的至少一个可以实现为参考图7描述的计算机程序模块,其在被处理器710执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
本领域技术人员可以理解,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合或/或结合,即使这样的组合或结合没有明确记载于本公开中。特别地,在不脱离本公开精神和教导的情况下,本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。
尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (6)
1.一种恶意攻击邮件分析方法,其特征在于,包括:
获取恶意攻击邮件投诉;
对被投诉的所述恶意攻击邮件进行解析,从所述恶意攻击邮件中获取所述恶意攻击邮件的攻击源地址;
上报所述恶意攻击邮件的攻击源地址,以追溯攻击源;
所述对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址包括:
检索所述恶意攻击邮件的邮件主题、邮件正文和附件中的关键字;
将所述关键字与预设的IP解析前缀表匹配;
当所述关键字与所述IP解析前缀表中IP关键字匹配上时,在所述关键字前后截取预设长度的语句,提取所述预设长度的语句中的IP地址,以所述IP地址为所述攻击源地址;
当提取所述预设长度的语句中的IP地址失败或所述关键字与所述IP解析前缀表中TP关键字匹配失败时,再次检索所述恶意攻击邮件的邮件主题、邮件正文和附件,以提取其中首个IP地址为所述攻击源地址;
若所述首个IP地址提取失败,给所述恶意攻击邮件作异常记录;
所述方法还包括:
判定所述攻击源地址的准确率;
当所述攻击源地址准确率为中、高时,记录所述攻击源地址;
当所述攻击源地址准确率为低或无法识别时,给所述恶意攻击邮件作异常记录;
所述判定所述攻击源地址的准确率包括:
识别所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的敏感字符;
当所述关键字与所述IP解析前缀表中IP关键字匹配上,且识别出敏感字符时,判定所述攻击源地址准确率为高;
当所述关键字与所述IP解析前缀表中IP关键字匹配上,且未识别出敏感字符时,判定所述攻击源地址准确率为低;
当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且识别出敏感字符时,判定所述攻击源地址准确率为中;
当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且未识别出敏感字符时,判定无法识别。
2.根据权利要求1所述的方法,其特征在于,还包括:
判定所述攻击源地址是否合法;
当所述IP地址不合法时,给所述恶意攻击邮件作异常记录。
3.根据权利要求1所述的方法,其特征在于,所述对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址包括:
基于所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的关键字确定攻击类型;
将所述攻击类型与预设的精准数据库进行匹配;
当所述精准数据库中存在所述攻击类型时,基于所述精准数据库中对应的解析规则,在所述恶意攻击邮件的预定位置提取攻击源地址。
4.一种恶意攻击邮件分析装置,其特征在于,包括:
攻击有机获取模块,用于获取恶意攻击邮件投诉;
邮件解析模块,用于对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址;
攻击源追溯模块,用于上报所述恶意攻击邮件的攻击源地址,以追溯攻击源;
所述对被投诉的所述恶意攻击邮件进行数据解析,获取所述恶意攻击邮件的攻击源地址包括:
检索所述恶意攻击邮件的邮件主题、邮件正文和附件中的关键字;
将所述关键字与预设的IP解析前缀表匹配;
当所述关键字与所述IP解析前缀表中IP关键字匹配上时,在所述关键字前后截取预设长度的语句,提取所述预设长度的语句中的IP地址,以所述IP地址为所述攻击源地址;
当提取所述预设长度的语句中的IP地址失败或所述关键字与所述IP解析前缀表中IP关键字匹配失败时,再次检索所述恶意攻击邮件的邮件主题、邮件正文和附件,以提取其中首个IP地址为所述攻击源地址;
若所述首个IP地址提取失败,给所述恶意攻击邮件作异常记录;
判定所述攻击源地址的准确率;
当所述攻击源地址准确率为中、高时,记录所述攻击源地址;
当所述攻击源地址准确率为低或无法识别时,给所述恶意攻击邮件作异常记录;
所述判定所述攻击源地址的准确率包括:
识别所述恶意攻击邮件的邮件主题、邮件正文和/或附件包括的敏感字符;
当所述关键字与所述IP解析前缀表中IP关键字匹配上,且识别出敏感字符时,判定所述攻击源地址准确率为高;
当所述关键字与所述IP解析前缀表中IP关键字匹配上,且未识别出敏感字符时,判定所述攻击源地址准确率为低;
当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且识别出敏感字符时,判定所述攻击源地址准确率为中;
当所述关键字与所述IP解析前缀表中IP关键字匹配失败,且未识别出敏感字符时,判定无法识别。
5.一种电子设备,包括:存储器,处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时,实现权利要求1至3中的任一项所述恶意攻击邮件分析方法中的各个步骤。
6.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1至3中的任一项所述恶意攻击邮件分析方法中的各个步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111494828.3A CN114143112B (zh) | 2021-12-08 | 2021-12-08 | 恶意攻击邮件分析方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111494828.3A CN114143112B (zh) | 2021-12-08 | 2021-12-08 | 恶意攻击邮件分析方法、装置、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143112A CN114143112A (zh) | 2022-03-04 |
| CN114143112B true CN114143112B (zh) | 2024-03-29 |
Family
ID=80385375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111494828.3A Active CN114143112B (zh) | 2021-12-08 | 2021-12-08 | 恶意攻击邮件分析方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143112B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN111416806A (zh) * | 2020-03-13 | 2020-07-14 | 首都师范大学 | 骨干网匿名攻击流量的ip地址溯源方法及装置 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
| CN113595994A (zh) * | 2021-07-12 | 2021-11-02 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204159A1 (en) * | 2004-03-09 | 2005-09-15 | International Business Machines Corporation | System, method and computer program to block spam |
-
2021
- 2021-12-08 CN CN202111494828.3A patent/CN114143112B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105743876A (zh) * | 2015-08-28 | 2016-07-06 | 哈尔滨安天科技股份有限公司 | 一种基于邮件源数据发现针对性攻击的方法及系统 |
| CN106657025A (zh) * | 2016-11-29 | 2017-05-10 | 神州网云(北京)信息技术有限公司 | 网络攻击行为检测方法及装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN110691080A (zh) * | 2019-09-25 | 2020-01-14 | 光通天下网络科技股份有限公司 | 自动溯源方法、装置、设备及介质 |
| CN111416806A (zh) * | 2020-03-13 | 2020-07-14 | 首都师范大学 | 骨干网匿名攻击流量的ip地址溯源方法及装置 |
| CN111756759A (zh) * | 2020-06-28 | 2020-10-09 | 杭州安恒信息技术股份有限公司 | 一种网络攻击溯源方法、装置及设备 |
| CN112751861A (zh) * | 2020-12-29 | 2021-05-04 | 赛尔网络有限公司 | 一种基于密网和网络大数据的恶意邮件检测方法及系统 |
| CN113595994A (zh) * | 2021-07-12 | 2021-11-02 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 基于行为相似性的P2P僵尸网络检测模型;李翔;胡华平;刘波;陈新;;现代电子技术(第15期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143112A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11431742B2 (en) | DNS evaluation method and apparatus | |
| CN109062950B (zh) | 一种文本标注的方法及装置 | |
| US10963590B1 (en) | Automated data anonymization | |
| WO2017113677A1 (zh) | 处理用户行为数据的方法和系统 | |
| US11665135B2 (en) | Domain name processing systems and methods | |
| ES2763973T3 (es) | Método y aparato para analizar fuga desde chat a voz | |
| US20150341771A1 (en) | Hotspot aggregation method and device | |
| CN111314285B (zh) | 一种路由前缀攻击检测方法及装置 | |
| CN104462396A (zh) | 字符串处理方法和装置 | |
| CN111159334A (zh) | 用于房源跟进信息处理的方法及系统 | |
| US11609897B2 (en) | Methods and systems for improved search for data loss prevention | |
| WO2019019373A1 (zh) | 一种事件处理方法及终端设备 | |
| JP2011085994A (ja) | 広告配信装置、広告配信方法および広告配信プログラム | |
| CN114143112B (zh) | 恶意攻击邮件分析方法、装置、设备及介质 | |
| CN107862016A (zh) | 一种专题页面的配置方法 | |
| Khan et al. | The presence of Twitter bots and cyborgs in the# FeesMustFall campaign | |
| CN116155597A (zh) | 访问请求的处理方法、装置及计算机设备 | |
| CN115221862A (zh) | 消息异常识别与定位方法、装置、计算机设备及存储介质 | |
| CN114996080A (zh) | 数据处理方法、装置、设备及存储介质 | |
| CN112131215B (zh) | 自底向上的数据库信息获取方法及装置 | |
| CN109740075B (zh) | 事件相关度计算方法、装置、设备及存储介质 | |
| CN108959935B (zh) | 一种漏洞插件批量执行方法及装置 | |
| CN113127767A (zh) | 手机号码提取方法、装置、电子设备及存储介质 | |
| US20180276206A1 (en) | System and method for updating a knowledge repository | |
| KR20070090312A (ko) | 스팸 지수 산정 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |