CN116527327A - 一种smtp流量还原方法 - Google Patents
一种smtp流量还原方法 Download PDFInfo
- Publication number
- CN116527327A CN116527327A CN202310385051.XA CN202310385051A CN116527327A CN 116527327 A CN116527327 A CN 116527327A CN 202310385051 A CN202310385051 A CN 202310385051A CN 116527327 A CN116527327 A CN 116527327A
- Authority
- CN
- China
- Prior art keywords
- preset
- malicious
- data packet
- monitoring period
- setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000001914 filtration Methods 0.000 claims abstract description 4
- 238000012544 monitoring process Methods 0.000 claims description 86
- 230000005540 biological transmission Effects 0.000 claims description 59
- 238000012937 correction Methods 0.000 claims description 39
- 239000011159 matrix material Substances 0.000 claims description 15
- 238000007689 inspection Methods 0.000 claims description 7
- 241000700605 Viruses Species 0.000 abstract description 6
- 238000001514 detection method Methods 0.000 description 16
- 238000012216 screening Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000006424 Flood reaction Methods 0.000 description 1
- 101000628535 Homo sapiens Metalloreductase STEAP2 Proteins 0.000 description 1
- 102100026711 Metalloreductase STEAP2 Human genes 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000002360 explosive Substances 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及网络流量分析技术领域,特别是涉及一种SMTP流量还原方法,包括:捕获目标主机的原始数据包,将原始数据包发送至过滤模块;判断原始数据包是否为SMTP数据;若原始数据包为SMTP数据,生成待还原数据包,解析待还原数据包生成解析结果;根据解析结果生成告警指令,并根据解析结果生成储存数据包。通过预设文件后缀,对目标主机内的SMTP流量数据包进行标记,解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析,并根据解析结果及时进行邮件病毒检测,垃圾邮件筛选和检测,有效阻止垃圾邮件的泛滥。
Description
技术领域
本申请涉及网络流量分析技术领域,特别是涉及一种SMTP流量还原方法。
背景技术
简单邮件传输协议SMTP(Simple Mail Transfer Protocol)来源于RFC821(Request For Comments,请求评议)规范,是一组用于由源地址到目的地址传送邮件的规则,用于控制信件的中转方式。SMTP协议属于TCP/IP协议族,帮助每台计算机在发送或中转信件时找到下一个目的地。通过SMTP协议所指定的服务器,就可把E-mail寄到收信人的服务器上了,整个过程只要几分钟。
随着互联网的高速发展,越来越多的用户和应用呈现爆发式的增长,随之而带来的互联网网络流量急剧增加。垃圾邮件泛滥成灾,攻击邮件服务的事件时有发生,如何通过动态监测SMTP数据,检测垃圾邮件并提高检测正确率,1阻止垃圾邮件的泛滥成为亟待解决的问题。
发明内容
本申请的目的是:为解决上述技术问题,本申请提供了一种SMTP流量还原方法,旨在实现对于垃圾文件的及时检测和告警。
本申请的一些实施例中,通过预设文件后缀,对目标主机内的SMTP流量数据包进行标记,解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析,并根据解析结果及时进行邮件病毒检测,垃圾邮件筛选和检测,有效阻止垃圾邮件的泛滥。
本申请的一些实施例中,通过预设检验端口,对目标主机的全部原始数据包进行筛选,对非STMTP数据包及时进行剔除,提高检测效率,并通过设置监测周期对恶意IP模型进行更新,提高对于垃圾邮件检测的准确性。
本申请的一些实施例中提供了一种SMTP流量还原方法,包括:
捕获目标主机的原始数据包,将所述原始数据包发送至过滤模块;判断所述原始数据包是否为SMTP数据;
若所述原始数据包为SMTP数据,生成待还原数据包,解析所述待还原数据包生成解析结果;
根据所述解析结果生成告警指令,并根据所述解析结果生成储存数据包。
本申请的一些实施例中,判断所述原始数据包是否为SMTP数据时,包括:
根据目标主机的历史SMTP数据,并根据所述目标主机的历史SMTP数据生成预设检验端口A1;
获取原始数据包数据,并根据所述原始数据包数据生成实时检验端口A2;
若A1与A2相同,则所述原始数据包为原始数据包为SMTP数据,并根据所述原始数据包生成待还原数据包;
若A1与A2不相同,则丢弃所述原始数据包。
本申请的一些实施例中,所述生成待还原数据包时,包括:
若所述原始数据包为SMTP数据,对所述原始数据包添加第一预设后缀生成待还原数据包;
解析模块根据所述第一预设后缀获取所述待还原数据包,将所述待还原数据包进行解析生成解析结果;
当所述待还原数据包进行储存时,删除所述第一预设后缀。
本申请的一些实施例中,解析所述待还原数据包生成解析结果时,包括:
获取目标主机历史SMTP数据,并根据所述历史SMTP数据生成恶意IP模型;
获取所述待还原数据包的IP数据,根据所述恶意IP模型生成初次判断结果;
若所述IP是所述恶意IP模型内数据,则设定所述IP为恶意IP,设定所述IP对应述的待还原数据包为恶意邮件;
若所述IP不是所述恶意IP模型内数据,则设定所述IP为标记IP;
根据预设监测周期t获取各个标记IP发送量,根据所述标记IP发送量判断所述标记IP是否为恶意IP。
本申请的一些实施例中,根据所述IP发送量判断所述IP是否为恶意IP时,包括:
预设第一发送量阈值B1和第二发送量阈值B2;
获取所述标记IP发送量b,根据所述发送量b判断所述标记IP是否为恶意IP;
若b<B1,则所述标记IP为正常IP;
若B1<b<B2,则获取所述标记IP对应的待还原数据包解析结果,并根据所述解析结果判断所述标记IP是否为恶意IP;
若b>B2,则所述标记IP为恶意IP,设定所述标记IP对应的待还原数据包为恶意邮件。
本申请的一些实施例中,根据所述解析结果判断所述标记IP是否为恶意IP时,包括;
获取解析结果中UPL数据,并根据所述UPL数据获取具有相同UPL的标记IP数量c;
预设IP数量阈值C1,若c>C1,则设定所述标记IP为恶意IP,设定所述标记IP对应的待还原数据包为恶意邮件。
本申请的一些实施例中,解析所述待还原数据包生成解析结果时,还包括:
获取当前监测周期内标记IP中的全部恶意IP,并更新恶意IP模型;
根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1,并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。
本申请的一些实施例中,根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时,包括:
预设恶意IP发送量矩阵D,设定D(D1,D2,D3,D4),其中,D1为预设第一恶意IP发送量,D2为预设第二恶意IP发送量,D3为预设第三恶意IP发送量,D4为预设第四恶意IP发送量,且D1<D2<D3<D4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若d1<D1,设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4,即t=T4;
若D1<d1<D2,设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3,即t=T3;
若D2<d1<D3,设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2,即t=T2;
若D3<d1<D4,设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1,即t=T1。
本申请的一些实施例中,根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时,包括:
预设恶意IP总发送量矩阵E,设定E(E1,E2,E3,E4),其中,E1为预设第一恶意IP总发送量,E2为预设第二恶意IP总发送量,E3为预设第三恶意IP总发送量,E4为预设第四恶意IP总发送量,且E1<E2<E3<E4;
预设修正参数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正参数,n2为预设第二修正参数,n3为预设第三修正参数,n4为预设第四修正参数,且0.7<n1<n2<n3<n4<1;
若E1<e1<E2,设定实时修正参数n为预设第四修正参数n4,修正后下一监测周期时间间隔t1=n4*Ti;
若E2<e1<E3,设定实时修正参数n为预设第三修正参数n3,修正后下一监测周期时间间隔t1=n3*Ti;
若E3<e1<E4,设定实时修正参数n为预设第二修正参数n2,修正后下一监测周期时间间隔t1=n2*Ti;
若e1>E4,设定实时修正参数n为预设第一修正参数n1,修正后下一监测周期时间间隔t1=n1*Ti。
本申请的一些实施例中,根据所述解析结果生成告警指令时,包括:
获取当前监测周期内全部恶意IP的总发送量e1;
预设告警指令等级矩阵F,设定F(F1,F2),其中,F1为预设一级告警指令,F2为预设二级告警指令;
根据所述全部恶意IP的总发送量e1,设定实时告警指令;
若E2<e1<E4时,设定实时告警指令为预设一级告警指令;
若e1>E4时,设定实时告警指令为预设二级告警指令。
本申请实施例一种SMTP流量还原方法与现有技术相比,其有益效果在于:
通过预设文件后缀,对目标主机内的SMTP流量数据包进行标记,解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析,并根据解析结果及时进行邮件病毒检测,垃圾邮件筛选和检测,有效阻止垃圾邮件的泛滥。
通过预设检验端口,对目标主机的全部原始数据包进行筛选,对非STMTP数据包及时进行剔除,提高检测效率,并通过设置监测周期对恶意IP模型进行更新,提高对于垃圾邮件检测的准确性。
附图说明
图1是本申请实施例优选实施例中一种SMTP流量还原方法的流程示意图;
图2是本申请实施例优选实施例中一种SMTP流量还原方法中原始数据包判断流程图。
具体实施方式
下面结合附图和实施例,对本申请的具体实施方式作进一步详细描述。以下实施例用于说明本申请,但不用来限制本申请的范围。
在本申请的描述中,需要理解的是,术语“中心”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本申请和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本申请的限制。
术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本申请的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本申请的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
如图1-图2所示,本申请实施例优选实施例的一种SMTP流量还原方法,包括:
S101:捕获目标主机的原始数据包,将原始数据包发送至过滤模块;判断原始数据包是否为SMTP数据;
S102:若原始数据包为SMTP数据,生成待还原数据包,解析待还原数据包生成解析结果;
S103:根据解析结果生成告警指令,并根据解析结果生成储存数据包。
具体而言,判断原始数据包是否为SMTP数据时,包括:
根据目标主机的历史SMTP数据,并根据目标主机的历史SMTP数据生成预设检验端口A1;
获取原始数据包数据,并根据原始数据包数据生成实时检验端口A2;
若A1与A2相同,则原始数据包为原始数据包为SMTP数据,并根据原始数据包生成待还原数据包;
若A1与A2不相同,则丢弃原始数据包。
具体而言,预设检测端口为25号端口,若原始数据包中的数据端口不是25号端口,则丢弃其原始数据包,若原始数据包中的数据端口为25号端口,则其原始数据包为SMTP数据包。
可以理解的是,上述实施例中,通过预设检验端口,检测到不满足预设端口特征时,丢弃数据包以减少后续多余的解析运算的时间代价,提高数据处理效率。
本申请实施例优选实施例中,生成待还原数据包时,包括:
若原始数据包为SMTP数据,对原始数据包添加第一预设后缀生成待还原数据包;
解析模块根据第一预设后缀获取待还原数据包,将待还原数据包进行解析生成解析结果;
当待还原数据包进行储存时,删除第一预设后缀。
具体而言,具体而言,对捕获的STMP协议的流量进行流量留存,并保存当前主机所有的协议流量信息。统一生成流量文件,然后通过数据采集模块写入kafka,再进行处理。
具体而言,预设文件后缀为.tmp,流量文件使用临时文件名,即在流量文件在未储存之前统一添加.tmp后缀,储存之后修改文件名去掉.tmp后缀,数据采集模块可以根据文件后缀名进行采集。
具体而言,解析待还原数据包生成解析结果时,包括:
获取目标主机历史SMTP数据,并根据历史SMTP数据生成恶意IP模型;
获取待还原数据包的IP数据,根据恶意IP模型生成初次判断结果;
若IP是恶意IP模型内数据,则设定IP为恶意IP,设定IP对应述的待还原数据包为恶意邮件;
若IP不是恶意IP模型内数据,则设定IP为标记IP;
根据预设监测周期t获取各个标记IP发送量,根据标记IP发送量判断标记IP是否为恶意IP。
具体而言,根据IP发送量判断IP是否为恶意IP时,包括:
预设第一发送量阈值B1和第二发送量阈值B2;
获取标记IP发送量b,根据发送量b判断标记IP是否为恶意IP;
若b<B1,则标记IP为正常IP;
若B1<b<B2,则获取标记IP对应的待还原数据包解析结果,并根据解析结果判断标记IP是否为恶意IP;
若b>B2,则标记IP为恶意IP,设定标记IP对应的待还原数据包为恶意邮件。
具体而言,根据解析结果判断标记IP是否为恶意IP时,包括;
获取解析结果中UPL数据,并根据UPL数据获取具有相同UPL的标记IP数量c;
预设IP数量阈值C1,若c>C1,则设定标记IP为恶意IP,设定标记IP对应的待还原数据包为恶意邮件。
具体而言,正常邮件的发送频率较低,根据其发送量对发送IP进行判断,并根据邮件内容的相同性,对不同的IP进行归总,从而得到恶意IP,并根据全部恶意IP生成恶意IP模型。
可以理解的是,上述实施例中,通过预设文件后缀,对目标主机内的SMTP流量数据包进行标记,解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析,并根据解析结果及时进行邮件病毒检测,垃圾邮件筛选和检测,有效阻止垃圾邮件的泛滥。
本申请实施例优选实施例中,解析待还原数据包生成解析结果时,还包括:
获取当前监测周期内标记IP中的全部恶意IP,并更新恶意IP模型;
根据标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1,并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。
具体而言,根据标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时,包括:
预设恶意IP发送量矩阵D,设定D(D1,D2,D3,D4),其中,D1为预设第一恶意IP发送量,D2为预设第二恶意IP发送量,D3为预设第三恶意IP发送量,D4为预设第四恶意IP发送量,且D1<D2<D3<D4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若d1<D1,设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4,即t=T4;
若D1<d1<D2,设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3,即t=T3;
若D2<d1<D3,设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2,即t=T2;
若D3<d1<D4,设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1,即t=T1。
具体而言,根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时,包括:
预设恶意IP总发送量矩阵E,设定E(E1,E2,E3,E4),其中,E1为预设第一恶意IP总发送量,E2为预设第二恶意IP总发送量,E3为预设第三恶意IP总发送量,E4为预设第四恶意IP总发送量,且E1<E2<E3<E4;
预设修正参数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正参数,n2为预设第二修正参数,n3为预设第三修正参数,n4为预设第四修正参数,且0.7<n1<n2<n3<n4<1;
若E1<e1<E2,设定实时修正参数n为预设第四修正参数n4,修正后下一监测周期时间间隔t1=n4*Ti;
若E2<e1<E3,设定实时修正参数n为预设第三修正参数n3,修正后下一监测周期时间间隔t1=n3*Ti;
若E3<e1<E4,设定实时修正参数n为预设第二修正参数n2,修正后下一监测周期时间间隔t1=n2*Ti;
若e1>E4,设定实时修正参数n为预设第一修正参数n1,修正后下一监测周期时间间隔t1=n1*Ti。
可以理解的是,上述实施例中通过预设监测周期对恶意IP模型进行动态更新,保证其对于恶意邮件检测的准确性,同时根据其监测周期内的接收的垃圾邮件数量对监测周期的时间间隔进行调整,保证其监测的及时性。
本申请实施例优选实施例中,根据解析结果生成告警指令时,包括:
获取当前监测周期内全部恶意IP的总发送量e1;
预设告警指令等级矩阵F,设定F(F1,F2),其中,F1为预设一级告警指令,F2为预设二级告警指令;
根据全部恶意IP的总发送量e1,设定实时告警指令;
若E2<e1<E4时,设定实时告警指令为预设一级告警指令;
若e1>E4时,设定实时告警指令为预设二级告警指令。
具体而言,一级告警指令是指其目标主机接收的恶意邮件较多,威胁性较大,应该对目标主机进行周期性的维护,避免恶意邮件的攻击,二级告警指令是指其目标主机应立刻进行停机检测,否则容易受到邮件病毒的攻击。
根据本申请的第一构思,通过预设文件后缀,对目标主机内的SMTP流量数据包进行标记,解析模块可以根据预设文件后缀快速采集SMTP原始数据包进行解析,并根据解析结果及时进行邮件病毒检测,垃圾邮件筛选和检测,有效阻止垃圾邮件的泛滥。
根据本申请的第二构思,通过预设检验端口,对目标主机的全部原始数据包进行筛选,对非STMTP数据包及时进行剔除,提高检测效率,并通过设置监测周期对恶意IP模型进行更新,提高对于垃圾邮件检测的准确性。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请技术原理的前提下,还可以做出若干改进和替换,这些改进和替换也应视为本申请的保护范围。
Claims (10)
1.一种SMTP流量还原方法,其特征在于,包括:
捕获目标主机的原始数据包,将所述原始数据包发送至过滤模块;判断所述原始数据包是否为SMTP数据;
若所述原始数据包为SMTP数据,生成待还原数据包,解析所述待还原数据包生成解析结果;
根据所述解析结果生成告警指令,并根据所述解析结果生成储存数据包。
2.如权利要求1所述的SMTP流量还原方法,其特征在于,判断所述原始数据包是否为SMTP数据时,包括:
根据目标主机的历史SMTP数据,并根据所述目标主机的历史SMTP数据生成预设检验端口A1;
获取原始数据包数据,并根据所述原始数据包数据生成实时检验端口A2;
若A1与A2相同,则所述原始数据包为原始数据包为SMTP数据,并根据所述原始数据包生成待还原数据包;
若A1与A2不相同,则丢弃所述原始数据包。
3.如权利要求2所述的SMTP流量还原方法,其特征在于,所述生成待还原数据包时,包括:
若所述原始数据包为SMTP数据,对所述原始数据包添加第一预设后缀生成待还原数据包;
解析模块根据所述第一预设后缀获取所述待还原数据包,将所述待还原数据包进行解析生成解析结果;
当所述待还原数据包进行储存时,删除所述第一预设后缀。
4.如权利要求3所述的SMTP流量还原方法,其特征在于,解析所述待还原数据包生成解析结果时,包括:
获取目标主机历史SMTP数据,并根据所述历史SMTP数据生成恶意IP模型;
获取所述待还原数据包的IP数据,根据所述恶意IP模型生成初次判断结果;
若所述IP是所述恶意IP模型内数据,则设定所述IP为恶意IP,设定所述IP对应述的待还原数据包为恶意邮件;
若所述IP不是所述恶意IP模型内数据,则设定所述IP为标记IP;
根据预设监测周期t获取各个标记IP发送量,根据所述标记IP发送量判断所述标记IP是否为恶意IP。
5.如权利要求4所述的SMTP流量还原方法,其特征在于,根据所述IP发送量判断所述IP是否为恶意IP时,包括:
预设第一发送量阈值B1和第二发送量阈值B2;
获取所述标记IP发送量b,根据所述发送量b判断所述标记IP是否为恶意IP;
若b<B1,则所述标记IP为正常IP;
若B1<b<B2,则获取所述标记IP对应的待还原数据包解析结果,并根据所述解析结果判断所述标记IP是否为恶意IP;
若b>B2,则所述标记IP为恶意IP,设定所述标记IP对应的待还原数据包为恶意邮件。
6.如权利要求5所述的SMTP流量还原方法,其特征在于,根据所述解析结果判断所述标记IP是否为恶意IP时,包括;
获取解析结果中UPL数据,并根据所述UPL数据获取具有相同UPL的标记IP数量c;
预设IP数量阈值C1,若c>C1,则设定所述标记IP为恶意IP,设定所述标记IP对应的待还原数据包为恶意邮件。
7.如权利要求4所述的SMTP流量还原方法,其特征在于,解析所述待还原数据包生成解析结果时,还包括:
获取当前监测周期内标记IP中的全部恶意IP,并更新恶意IP模型;
根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1,并根据当前监测周期内全部恶意IP的总发送量e1修正下一监测周期时间间隔t1。
8.如权利要求7所述的SMTP流量还原方法,其特征在于,根据所述标记IP内的全部恶意IP发送量d1设定下一监测周期时间间隔t1时,包括:
预设恶意IP发送量矩阵D,设定D(D1,D2,D3,D4),其中,D1为预设第一恶意IP发送量,D2为预设第二恶意IP发送量,D3为预设第三恶意IP发送量,D4为预设第四恶意IP发送量,且D1<D2<D3<D4;
预设监测周期时间间隔矩阵T,设定T(T1,T2,T3,T4),其中,T1为预设第一监测周期时间间隔,T2为预设第二监测周期时间间隔,T3为预设第三监测周期时间间隔,T4为预设第四监测周期时间间隔,且T1<T2<T3<T4;
若d1<D1,设定下一监测周期时间间隔t1为预设第四监测周期时间间隔T4,即t=T4;
若D1<d1<D2,设定下一监测周期时间间隔t1为预设第三监测周期时间间隔T3,即t=T3;
若D2<d1<D3,设定下一监测周期时间间隔t1为预设第二监测周期时间间隔T2,即t=T2;
若D3<d1<D4,设定下一监测周期时间间隔t1为预设第一监测周期时间间隔T1,即t=T1。
9.如权利要求8所述的SMTP流量还原方法,其特征在于,根据当前监测周期内全部恶意IP的发送量e1修正下一监测周期时间间隔t1时,包括:
预设恶意IP总发送量矩阵E,设定E(E1,E2,E3,E4),其中,E1为预设第一恶意IP总发送量,E2为预设第二恶意IP总发送量,E3为预设第三恶意IP总发送量,E4为预设第四恶意IP总发送量,且E1<E2<E3<E4;
预设修正参数矩阵N,设定N(n1,n2,n3,n4),其中,n1为预设第一修正参数,n2为预设第二修正参数,n3为预设第三修正参数,n4为预设第四修正参数,且0.7<n1<n2<n3<n4<1;
若E1<e1<E2,设定实时修正参数n为预设第四修正参数n4,修正后下一监测周期时间间隔t1=n4*Ti;
若E2<e1<E3,设定实时修正参数n为预设第三修正参数n3,修正后下一监测周期时间间隔t1=n3*Ti;
若E3<e1<E4,设定实时修正参数n为预设第二修正参数n2,修正后下一监测周期时间间隔t1=n2*Ti;
若e1>E4,设定实时修正参数n为预设第一修正参数n1,修正后下一监测周期时间间隔t1=n1*Ti。
10.如权利要求9所述的SMTP流量还原方法,其特征在于,根据所述解析结果生成告警指令时,包括:
获取当前监测周期内全部恶意IP的总发送量e1;
预设告警指令等级矩阵F,设定F(F1,F2),其中,F1为预设一级告警指令,F2为预设二级告警指令;
根据所述全部恶意IP的总发送量e1,设定实时告警指令;
若E2<e1<E4时,设定实时告警指令为预设一级告警指令;
若e1>E4时,设定实时告警指令为预设二级告警指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310385051.XA CN116527327B (zh) | 2023-04-11 | 2023-04-11 | 一种smtp流量还原方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310385051.XA CN116527327B (zh) | 2023-04-11 | 2023-04-11 | 一种smtp流量还原方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116527327A true CN116527327A (zh) | 2023-08-01 |
CN116527327B CN116527327B (zh) | 2024-08-16 |
Family
ID=87407441
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310385051.XA Active CN116527327B (zh) | 2023-04-11 | 2023-04-11 | 一种smtp流量还原方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116527327B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101123589A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 一种反垃圾邮件的方法及装置 |
CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN108833383A (zh) * | 2018-06-01 | 2018-11-16 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
-
2023
- 2023-04-11 CN CN202310385051.XA patent/CN116527327B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101123589A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 一种反垃圾邮件的方法及装置 |
CN106453249A (zh) * | 2016-08-31 | 2017-02-22 | 杭州华途软件有限公司 | 一种网络邮件业务监视方法 |
CN107786545A (zh) * | 2017-09-29 | 2018-03-09 | 中国平安人寿保险股份有限公司 | 一种网络攻击行为检测方法及终端设备 |
CN108833383A (zh) * | 2018-06-01 | 2018-11-16 | 南瑞集团有限公司 | 基于深度学习和agent的联动防御系统 |
Also Published As
Publication number | Publication date |
---|---|
CN116527327B (zh) | 2024-08-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10938694B2 (en) | System and method for detecting sources of abnormal computer network messages | |
US7548544B2 (en) | Method of determining network addresses of senders of electronic mail messages | |
US7325249B2 (en) | Identifying unwanted electronic messages | |
US8843612B2 (en) | Distributed frequency data collection via DNS networking | |
US7603472B2 (en) | Zero-minute virus and spam detection | |
US8112485B1 (en) | Time and threshold based whitelisting | |
US8769020B2 (en) | Systems and methods for managing the transmission of electronic messages via message source data | |
US8577968B2 (en) | Method and system for handling unwanted email messages | |
US8468601B1 (en) | Method and system for statistical analysis of botnets | |
US8195750B1 (en) | Method and system for tracking botnets | |
US7958557B2 (en) | Determining a source of malicious computer element in a computer network | |
Twining et al. | Email Prioritization: Reducing Delays on Legitimate Mail Caused by Junk Mail. | |
CN101247406A (zh) | 用全球情报进行本地信息分类的方法及垃圾邮件检测系统 | |
JP5684919B2 (ja) | 通信ネットワークにおけるスパム報告およびスパム管理 | |
CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
CN105743876A (zh) | 一种基于邮件源数据发现针对性攻击的方法及系统 | |
Lonvick | Rfc3164: The bsd syslog protocol | |
EP2709320A1 (en) | Method and apparatus for sending packet | |
CN116527327B (zh) | 一种smtp流量还原方法 | |
CN116319654B (zh) | 一种智慧型垃圾邮件扫描方法 | |
US7958187B2 (en) | Systems and methods for managing directory harvest attacks via electronic messages | |
CN111865951A (zh) | 一种基于数据包特征提取的网络数据流异常检测方法 | |
CN116366346B (zh) | 一种dns流量还原方法 | |
ES2558740T3 (es) | Sistema implementado en ordenador y procedimiento para detectar el uso indebido de una infraestructura de correo electrónico en una red informática | |
CN114363033A (zh) | 一种邮件管控方法、装置,网络安全设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |