CN117201190B - 一种邮件攻击检测方法、装置、电子设备及储存介质 - Google Patents
一种邮件攻击检测方法、装置、电子设备及储存介质 Download PDFInfo
- Publication number
- CN117201190B CN117201190B CN202311459989.8A CN202311459989A CN117201190B CN 117201190 B CN117201190 B CN 117201190B CN 202311459989 A CN202311459989 A CN 202311459989A CN 117201190 B CN117201190 B CN 117201190B
- Authority
- CN
- China
- Prior art keywords
- information
- attack
- address link
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 61
- 230000002159 abnormal effect Effects 0.000 claims abstract description 67
- 238000000034 method Methods 0.000 claims abstract description 32
- 238000012545 processing Methods 0.000 claims abstract description 22
- 230000006399 behavior Effects 0.000 claims description 76
- 230000004044 response Effects 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 8
- 244000035744 Hura crepitans Species 0.000 description 13
- 238000010586 diagram Methods 0.000 description 10
- 230000005856 abnormality Effects 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 230000014509 gene expression Effects 0.000 description 8
- 230000000694 effects Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000000605 extraction Methods 0.000 description 4
- 230000010365 information processing Effects 0.000 description 4
- 238000012015 optical character recognition Methods 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000003062 neural network model Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004065 semiconductor Substances 0.000 description 2
- 238000006467 substitution reaction Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000007373 indentation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Abstract
本公开提供了一种邮件攻击检测方法、装置、电子设备及存储介质,该方法包括:从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理,提高了邮件攻击成功检测的准确率,提高邮件攻击成功的处理效率和精准度。
Description
技术领域
本公开涉及通信安全技术领域,具体而言,涉及一种邮件攻击检测方法、装置、电子设备及储存介质。
背景技术
随着信息技术的飞速发展,钓鱼邮件已经成为通信安全领域中极为严重且普遍的威胁。相关技术中,从获取到的镜像流量中提取邮件信息,并通过预设的编写规则或正则表达式对邮件的内容进行匹配,以确定邮件是否为钓鱼邮件,这种方式准确率低,而且提供的安全提醒信息不够全面。
发明内容
本公开实施例至少提供一种邮件攻击检测方法、装置、电子设备及储存介质。
第一方面,本公开实施例提供了一种邮件攻击检测方法,包括:
从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理。
一种可选的实施方式中,所述检测所述地址链接是否存在异常,包括:
将所述地址链接与预设的威胁情报数据库进行匹配,在确定匹配成功情况下,确定所述地址链接存在异常;
在确定匹配失败情况下,访问所述地址链接,并获得访问所述地址链接对应的访问结果,在所述访问结果中检测到攻击行为时,确定所述地址链接存在异常。
一种可选的实施方式中,所述确定所述地址链接存在异常后,所述方法还包括:
将所述地址链接保存至所述预设的威胁情报数据库中。
一种可选的实施方式中,所述从待检测的邮件中提取所包含的地址链接,包括:
从待检测的邮件中提取出所包含的附件信息和/或正文内容;
根据预设的地址链接特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的地址链接;或,
根据预设的二维码特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的二维码,并根据所述二维码,获得所述二维码对应的地址链接。
一种可选的实施方式中,所述根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功,包括:
获取所述地址链接的标识信息;
根据所述标识信息,获取与所述标识信息关联的网络流量数据,其中,所述网络流量数据中至少包括:请求信息、与所述请求信息对应的响应信息和所述请求信息对应的请求地址;
根据所述请求信息和对应的所述响应信息,确定发生的访问行为信息,并在确定所述访问行为信息符合攻击判定条件情况下,确定所述邮件攻击成功。
一种可选的实施方式中,所述获得所述邮件对应的攻击成功行为信息,包括以下至少一种:
确定所述邮件中存在异常信息;
获得所述邮件攻击成功对应的被攻击对象的请求地址和/或所发生的访问行为信息;
获得所述邮件攻击成功对应的被攻击对象的统计访问次数。
一种可选的实施方式中,所述方法还包括:
根据所述攻击成功行为信息,确定所述邮件攻击成功对应的被攻击对象;
向所述被攻击对象发送告警提示信息,其中,所述告警提示信息用于指示所述邮件异常;或,隔离所述被攻击对象;或,删除或撤回包含所述地址链接的邮件。
第二方面,本公开实施例还提供一种邮件攻击检测装置,包括:
检测模块,用于从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
确定模块,用于在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
获得模块,用于在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理。
一种可选的实施方式中,所述检测所述地址链接是否存在异常时,所述检测模块具体用于:
将所述地址链接与预设的威胁情报数据库进行匹配,在确定匹配成功情况下,确定所述地址链接存在异常;
在确定匹配失败情况下,访问所述地址链接,并获得访问所述地址链接对应的访问结果,在所述访问结果中检测到攻击行为时,确定所述地址链接存在异常。
一种可选的实施方式中,所述确定所述地址链接存在异常后,所述检测模块还用于:
将所述地址链接保存至所述预设的威胁情报数据库中。
一种可选的实施方式中,所述从待检测的邮件中提取所包含的地址链接时,所述检测模块具体用于:
从待检测的邮件中提取出所包含的附件信息和/或正文内容;
根据预设的地址链接特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的地址链接;或,
根据预设的二维码特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的二维码,并根据所述二维码,获得所述二维码对应的地址链接。
一种可选的实施方式中,所述根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功时,所述确定模块具体用于:
获取所述地址链接的标识信息;
根据所述标识信息,获取与所述标识信息关联的网络流量数据,其中,所述网络流量数据中至少包括:请求信息、与所述请求信息对应的响应信息和所述请求信息对应的请求地址;
根据所述请求信息和对应的所述响应信息,确定发生的访问行为信息,并在确定所述访问行为信息符合攻击判定条件情况下,确定所述邮件攻击成功。
一种可选的实施方式中,所述获得所述邮件对应的攻击成功行为信息时,获得模块具体用于执行以下至少一种:
确定所述邮件中存在异常信息;
获得所述邮件攻击成功对应的被攻击对象的请求地址和/或所发生的访问行为信息;
获得所述邮件攻击成功对应的被攻击对象的统计访问次数。
一种可选的实施方式中,所述装置还包括异常处理模块,用于:
根据所述攻击成功行为信息,确定所述邮件攻击成功对应的被攻击对象;
向所述被攻击对象发送告警提示信息,其中,所述告警提示信息用于指示所述邮件异常;或,隔离所述被攻击对象;或,删除或撤回包含所述地址链接的邮件。
第三方面,本公开可选实现方式还提供一种电子设备,包括处理器、存储器,所述存储器存储有所述处理器可执行的机器可读指令,所述处理器用于执行所述存储器中存储的机器可读指令,所述机器可读指令被所述处理器执行时,所述处理器执行上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
第四方面,本公开可选实现方式还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述第一方面,或第一方面中任一种可能的实施方式中的步骤。
关于上述邮件攻击检测装置、电子设备、及计算机可读存储介质的效果描述参见上述邮件攻击检测方法的说明,这里不再赘述。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,而非限制本公开的技术方案。
本公开实施例提供的邮件攻击检测的方法、装置、电子设备及存储介质,能够从待检测的邮件中提取所包含的地址链接,并在检测到地址链接存在异常情况下,进一步确定邮件是否攻击成功,并获得邮件对应的攻击成功行为信息,从而可以根据攻击成功行为信息对被攻击的对象进行异常处理,提高了邮件攻击成功检测的准确率,提高被邮件攻击成功时的处理效率和精准度。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,此处的附图被并入说明书中并构成本说明书中的一部分,这些附图示出了符合本公开的实施例,并与说明书一起用于说明本公开的技术方案。应当理解,以下附图仅示出了本公开的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1示出了本公开实施例所提供的一种邮件攻击检测方法的流程图;
图2示出了本公开实施例所提供的一种攻击成功行为信息的统计数据示意图;
图3示出了本公开实施例所提供的一种异常邮件的详细数据示意图;
图4示出了本公开实施例所提供的一种隔离被攻击对象的效果示意图;
图5示出了本公开实施例所提供的一种邮件攻击检测装置的示意图;
图6示出了本公开实施例所提供的一种电子设备的示意图。
具体实施方式
可以理解的是,在使用本公开各实施例公开的技术方案之前,均应当依据相关法律法规通过恰当的方式对本公开所涉及个人信息的类型、使用范围、使用场景等告知用户并获得用户的授权。
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。通常在此处描述和示出的本公开实施例的组件可以以各种不同的配置来布置和设计。因此,以下对本公开的实施例的详细描述并非旨在限制要求保护的本公开的范围,而是仅仅表示本公开的选定实施例。基于本公开的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本公开保护的范围。
经研究发现,现有的基于网络流量的数据包检测技术,往往通过预先设置的编写规则和正则表达式来匹配流量中的攻击行为特征,这种方式只能根据匹配出的攻击行为特征确定威胁告警信息来提醒用户存在威胁,无法确定邮件攻击造成的影响,从而降低了安全保护的准确度。
基于上述研究,本公开提供了一种邮件攻击检测方法,从待检测的邮件中提取所包含的地址链接,并在检测到地址链接存在异常情况下,进一步确定邮件是否攻击成功,并获得邮件对应的攻击成功行为信息,从而可以根据攻击成功行为信息对被攻击的对象进行异常处理,提高了邮件攻击检测的准确率,提高被邮件攻击成功时的处理效率和精准度。
针对以上方案所存在的缺陷,均是发明人在经过实践并仔细研究后得出的结果,因此,上述问题的发现过程以及下文中本公开针对上述问题所提出的解决方案,都应该是发明人在本公开过程中对本公开做出的贡献。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
为便于对本实施例进行理解,首先对本公开实施例所公开的一种邮件攻击检测方法进行详细介绍,本公开实施例所提供的邮件攻击检测方法的执行主体一般为具有一定计算能力的电子设备,该电子设备例如包括:终端设备或服务器或其它处理设备,终端设备可以为用户设备(User Equipment,UE)、移动设备、蜂窝电话、无绳电话、个人数字助理(Personal Digital Assistant,PDA)、手持设备、计算设备、车载设备、可穿戴设备等,其中,个人数字助理是一种手持式电子设备,具有电子计算机的某些功能,可以用来管理个人信息,也可以上网浏览,收发电子邮件等,一般不配备键盘,也可以称为掌上电脑。在一些可能的实现方式中,该邮件攻击检测方法可以通过处理器调用存储器中存储的计算机可读指令的方式来实现。
下面以执行主体为服务器为例对本公开实施例提供的邮件攻击检测方法加以说明。
参见图1所示,为本公开实施例提供的邮件攻击检测方法的流程图,该方法包括:
S101:从待检测的邮件中提取所包含的地址链接,并检测地址链接是否存在异常。
本公开实施例中,可以应用于针对网络流量数据的进行安全检测的场景,例如,可以将从某计算器和/或服务器集群对应的网络交换机采集到的流量,传输至网络入侵检测系统(Network Intrusion Detection System,NIDS)或网络检测与响应(NetworkDetection&Response,NDR)之类的设备,其中,该类设备可以是硬件设备,也可以软件化部署,本公开中的邮件攻击检测方法可以基于上述设备运行。在采集到网络流量数据后,可以通过对网络流量数据进行利用语义分析、邮件解密、本地正则提取等多种方式,获取符合电子邮件特征的信息,例如邮件头、邮件体、文本内容、超文本标记语言(HyperText MarkupLanguage,HTML)内容、附件等。
基于上述获得的电子邮件中的信息,再进一步提取其所包含的地址链接,本公开实施例提供了一种可能的实施方式,从待检测的邮件中提取所包含的地址链接,包括:
1)从待检测的邮件中提取出所包含的附件信息和/或正文内容。
这里,在对待检测的邮件所包含的正文内容进行提取时,可以通过例如语义分析技术实现针对特定文字信息等内容的查找,来确定邮件正文的起始信息和/或结束信息,例如“发件人”这样的文字信息可以确定邮件正文内容的开始,这样,提取处于邮件的起始信息和结束信息之间的内容为正文内容。也可以通过对待检测的邮件从文本长度、段落结构实现对正文内容的提取,例如正文内容通常是一段内容较多且具有适当的缩进、行间距的文字,通过识别这样的特征,也可以实现从待检测的邮件中提取出所包含的正文内容。
在对待检测的邮件所包含的附件信息进行提取时,可以通过针对特定格式的文件数据进行识别,例如,邮件的附件信息通常包括压缩文件、图片文件等,通过对不同的文件格式进行查找,以确定待检测的邮件中的信息中包括的附件信息。
基于上述实施方式,可以准确地提取邮件中所包含的附件信息和/或正文内容,提高了对邮件攻击进行检测时的全面性。
2)根据预设的地址链接特征信息,对附件信息和/或正文内容进行检测,提取所包含的地址链接;或,根据预设的二维码特征信息,对附件信息和/或正文内容进行检测,提取所包含的二维码,并根据二维码,获得二维码对应的地址链接。
在该步骤中,可以进一步分为针对正文内容,附件信息进行相应的检测,包括:
a.通过预设的地址链接/二维码正则表达式,对正文内容进行检测,以提取正文内容中的地址链接/二维码。
在该步骤中,以地址链接为例,常见的地址链接的开头均包含“http”这样的字符,进而可以预先设置相应的正则表达式,以实现从邮件的正文内容中提取地址链接。相应的,二维码数据也有类似的数据特征,可以预先设置相应的二维码正则表达式,以实现从邮件的正文内容中提取二维码。
通过上述步骤a可以实现提高从邮件所包含的正文内容中提取地址链接/二维码的效率和准确度。
b.通过沙箱工具,对附件信息进行检测,以提取附件信息中的地址链接/二维码。
在该步骤中,沙箱是一种可以提供一个安全受控的网络通信环境以打开提取出的可能存在潜在风险的附件信息的安全工具,而且,在沙箱中还可以设置多种检测方法和工具,例如,光学字符识别(Optical Character Recognition,OCR)检测、正则表达式检测、预先训练好的安全检测神经网络模型等,进而基于上述沙箱工具可以实现从附件信息中提取地址链接/二维码。
例如,在确定附件信息被加密的情况下,可以通过沙箱中OCR工具从正文内容中提取对应的密码,也可以通过预设的密码字典直接对附件进行解密,进而基于被解密的附件的内容,通过沙箱中的地址链接正则表达式、二维码正则表达式等工具,提取附件信息中所包括的地址链接/二维码。
进一步地,如果在上述步骤a中未能从邮件正文中提取出链接/二维码时,为了进一步提升检测的准确率,还可以通过沙箱中的多种检测方法和工具对邮件的正文内容进行进一步的检测,例如,可以通过沙箱中的预先训练好的安全检测神经网络模型,对邮件的正文内容进行深度分析和破译,这样,可以提高对邮件攻击检测的准确度。
基于上述实施方式,可以提高从邮件中提取地址链接/二维码的准确度和效率,有助于提高邮件攻击检测的准确度,并且针对不同的数据可以采用不同的检测方法和工具,可以提高邮件攻击检测的效率和灵活性。
在提取出地址链接后,检测地址链接是否存在异常时,本公开实施例提供了一种可能的实施方式,包括:将地址链接与预设的威胁情报数据库进行匹配,在确定匹配成功情况下,确定地址链接存在异常;在确定匹配失败情况下,访问地址链接,并获得访问地址链接对应的访问结果,在访问结果中检测到攻击行为时,确定地址链接存在异常。
在上述实施方式中,可以根据已知的威胁情报预先设置一个威胁情报数据库,在提取出地址链接后,通过上述预设的威胁情报数据库进行匹配, 例如,预设的威胁情报数据库中包括:地址链接A、地址链接B、地址链接C,而提取出的地址链接为地址链接B时,可以确定该地址链接存在异常。
而当上述匹配失败时,也即通过预先设置的威胁情报数据库不足以确定提取出的地址链接是否存在异常,这时可以将地址链接传输到沙箱,通过内置的浏览器程序等工具,对其进行访问,并获得访问地址链接对应的访问结果,并对访问结果进行检测,以确定地址链接是否存在异常。
例如,预设的威胁情报数据库中包括:地址链接D、地址链接E、地址链接F时,而提取出的地址链接为地址链接G时,可以确定该地址链接与预设的威胁情报数据库匹配结果为匹配失败,这时可以通过沙箱中的浏览器程序实现对地址链接的访问,以获得对应的访问结果,如果访问结果中出现下载文件,上传敏感信息之类的攻击行为时,可以确定该地址链接存在异常。
基于上述实施方式,可以通过威胁情报数据库和/或沙箱工具,实现对提取出的地址链接进行异常检测,提供了检测地址链接是否存在异常时的效率和准确度。
进一步地,在确定匹配失败情况下,并且确定地址链接存在异常之后,可以将地址链接保存至预设的威胁情报数据库中。这样,可以提高威胁情报数据库中数据的丰富度,并且有助于提高检测地址链接是否存在异常的准确度。
另外,当在沙箱中访问的地址链接存在例如下载文件等攻击行为时,可以收集访问该地址链接时对应的网络流量数据,并分析和记录其中的攻击行为和通信模式的详细信息,这样,在将地址链接保存至预设的威胁情报数据库中时,可以提高记录数据的完整度和准确度。
S102:在检测到地址链接存在异常情况下,根据地址链接,获取与地址链接关联的网络流量数据,并根据网络流量数据和攻击判定条件,确定邮件是否攻击成功。
在执行上述步骤S102时,本公开实施例提供了一种可能的实施方式,包括:
1)获取地址链接的标识信息。
例如,可以从地址链接“www.ABCDE.com/FG/HI”,中获取其部分域名信息“ABCDE”,之后通过对该域名进行检测或标记,可以实现提高邮件攻击检测时的全面性。
2)根据标识信息,获取与标识信息关联的网络流量数据,其中,网络流量数据中至少包括:请求信息、与请求信息对应的响应信息和请求信息对应的请求地址。
在该步骤中,可以根据从地址链接中获取的标识信息,例如地址链接中的部分域名信息,以获取与上述标识信息关联的网络流量数据。
例如,在获取与标识信息关联的网络流量数据时,可以是通过网络交换器中获取一个计算机集群的全部网络流量数据,包括:地址链接1、地址链接2、地址链接3等等,在其中对获取到的标识信息进行标记和/或检测,在确定标识信息在上述地址链接3中出现时,可以确定与标识信息关联的网络流量数据。
基于上述实施方式,可以提高确定关联的网络流量数据时的准确度和效率。
3)根据请求信息和对应的响应信息,确定发生的访问行为信息,并在确定访问行为信息符合攻击判定条件情况下,确定邮件攻击成功。
在该步骤中,根据请求信息和对应的响应信息,可以确定地址链接与发起访问的设备之间的访问行为信息,例如,发起访问的设备从地址链接下载了一张图片,又例如,发起访问的设备向地址链接上传了一个文件,其中,攻击判定条件可以理解为发生预设的攻击行为,例如可以包括上传文件、下载文件等等,由于用户对信息安全等级要求的不同,对应的攻击判定条件的设置可以根据实际需求进行配置,本公开对此不做限制,这样,通过攻击判定条件和访问行为信息可以准确地确定地址链接是否攻击成功,进而有助于做出相应的处理措施。
S103:在确定邮件攻击成功的情况下,获得邮件对应的攻击成功行为信息,攻击成功行为信息用于针对邮件攻击成功对应的被攻击对象进行异常处理。
在该步骤中,在确定邮件攻击成功的情况下,进一步获得用于针对邮件攻击成功对应的被攻击对象进行异常处理的攻击成功行为信息时,攻击成功行为信息包括以下至少一种:
1)确定邮件中存在异常信息。
该种攻击成功行为信息中,不仅包括邮件的正文内容中存在异常信息的情况,也包括邮件的附件信息中存在异常信息的情况。
例如,邮件的正文内容中存在与预设的威胁情报数据库相匹配的地址链接,又例如,邮件的附件信息中存在具有攻击行为的地址链接所对应的二维码。
2)获得邮件攻击成功对应的被攻击对象的请求地址和/或所发生的访问行为信息。
该种攻击成功行为信息中,获得的邮件攻击成功对应的被攻击对象的请求地址,可以是获得被攻击对象的客户端的互联网协议(Internet Protocol,IP)地址,和/或所发生的访问行为信息,其中访问行为信息至少包括上传信息、下载文件等。
例如,用户从客户端IP 192.168.1.11,访问异常链接并上传敏感信息,又例如,用户从客户端IP 192.168.1.20,访问异常链接并下载文件。
3)获得邮件攻击成功对应的被攻击对象的统计访问次数。
例如,某恶意钓鱼邮件被客户端IP 192.168.1.15进行12次点击。
基于上述实施方式,参见图2,图2为本公开实施例提供的一种异常邮件的统计数据示意图,其中可以集中展示当前检测到的异常邮件的数量,并且可以展示邮件的来源,并且针对不同的异常原因,对异常邮件进行分类统计并展示。
响应于邮件详情展示触发指令,参见图3,图3为本公开实施例提供的一种异常邮件的详细数据示意图,其中可以以列表形式展示多个异常邮件的详细信息,至少包括检测结果、邮件主题、发件人、收件人、威胁分类、检出威胁、是否攻击成功、发送时间、最近检出时间等,通过对每封异常邮件的详情进行展示,有助于提高在邮件攻击成功的情况下,采取安全包含措施的准确度和效率。
基于上述实施方式,可以获得不同维度的攻击成功行为信息,提高对邮件攻击产生的不同影响的覆盖率,从多种维度对用户进行提醒,提高安全保护的效果。
另外,为了进一步提高攻击成功行为信息的精准度,在确定请求地址和使用用户具有绑定关系的情况下,例如在公司中一台电脑通常对应一名员工,还可以在输出包含请求地址的攻击成功行为信息时,同时输出使用用户的相关信息,以输出更加精准具体的攻击成功行为信息。
基于上述实施方式,准确确定邮件攻击成功的情况下,为了避免例如更多用户被攻击成功等造成更大的损失的情况,本公开提供了一种可能的实施方式,包括:根据攻击成功行为信息,确定邮件攻击成功对应的被攻击对象;向被攻击对象发送告警提示信息,其中,告警提示信息用于指示邮件异常;或,隔离被攻击对象;或,删除或撤回包含地址链接的邮件。
1)告警提示信息用于指示邮件异常。
例如,攻击成功行为信息为用户从客户端IP 192.168.1.20,访问异常链接并下载文件,根据上述攻击成功行为信息,向客户端IP 192.168.1.20的被攻击对象发送如下的告警提示信息,包括:您读取的邮件A为异常邮件,其中包含的地址链接为异常链接,您已访问该链接并下载文件,您的电脑存在严重的失陷风险,请立刻停止对上述异常链接的访问,这样,能够最直接地警告用户当前发生的危险,并及时中断对异常链接的访问,降低邮件攻击成功造成的影响。
2)告警提示信息用于指示隔离被攻击对象。
参见图4,图4为一种隔离被攻击对象的效果示意图,其中,对象A-E可以为计算机、手机等具有通信功能的设备,图中的箭头表征数据传输的方向,根据攻击成功行为信息:用户从客户端IP 192.168.1.20(被攻击对象D),访问异常链接并下载文件,可以立即中止被攻击对象D与其他对象之间的数据传输行为,以实现被攻击对象D与当前的通信环境隔离,这样可以快速地对处于失陷风险的设备进行控制,避免该设备攻击更多用户。
3)告警提示信息用于删除或撤回包含地址链接的邮件。
例如,攻击成功行为信息为用户从客户端IP 192.168.1.20,访问异常链接并下载文件,根据攻击成功行为信息中的异常链接,检测获得的多封邮件,将包含上述异常链接的邮件进行删除或撤回,这样可以避免更多用户点击该地址链接,实现更全面彻底的安全保护效果。
基于上述实施方式,能够根据攻击成功行为信息向被攻击对象发送告警提示信息,并指示采取多种保护和/或警告措施,提高了安全保护的准确度和全面度。
较佳的,可以根据实际需求组合上述多种处理措施,以实现更全面的安全保护效果,提高安全保护的效率。
本公开实施例提供的邮件攻击检测的方法、装置、电子设备及存储介质,能够从待检测的邮件中提取所包含的地址链接,并在检测到地址链接存在异常情况下,进一步确定邮件是否攻击成功,并获得邮件对应的攻击成功行为信息,从而可以根据攻击成功行为信息对被攻击的对象进行异常处理,提高了邮件攻击检测的准确率,提高被邮件攻击成功时的处理效率和精准度。
本领域技术人员可以理解,在具体实施方式的上述方法中,各步骤的撰写顺序并不意味着严格的执行顺序而对实施过程构成任何限定,各步骤的具体执行顺序应当以其功能和可能的内在逻辑确定。
基于同一发明构思,本公开实施例中还提供了与邮件攻击检测方法对应的邮件攻击检测装置,由于本公开实施例中的装置解决问题的原理与本公开实施例上述邮件攻击检测方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参照图5所示,为本公开实施例提供的一种邮件攻击检测装置的示意图,该装置包括:
检测模块51,用于从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
确定模块52,用于在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
获得模块53,用于在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理。
一种可选的实施方式中,所述检测所述地址链接是否存在异常时,检测模块51用于:
将所述地址链接与预设的威胁情报数据库进行匹配,在确定匹配成功情况下,确定所述地址链接存在异常;
在确定匹配失败情况下,访问所述地址链接,并获得访问所述地址链接对应的访问结果,在所述访问结果中检测到攻击行为时,确定所述地址链接存在异常。
一种可选的实施方式中,所述确定所述地址链接存在异常后,检测模块51还用于:
将所述地址链接保存至所述预设的威胁情报数据库中。
一种可选的实施方式中,所述从待检测的邮件中提取所包含的地址链接时,检测模块51用于:
从待检测的邮件中提取出所包含的附件信息和/或正文内容;
根据预设的地址链接特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的地址链接;或,
根据预设的二维码特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的二维码,并根据所述二维码,获得所述二维码对应的地址链接。
一种可选的实施方式中,所述根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功时,确定模块52用于:
获取所述地址链接的标识信息;
根据所述标识信息,获取与所述标识信息关联的网络流量数据,其中,所述网络流量数据中至少包括:请求信息、与所述请求信息对应的响应信息和所述请求信息对应的请求地址;
根据所述请求信息和对应的所述响应信息,确定发生的访问行为信息,并在确定所述访问行为信息符合攻击判定条件情况下,确定所述邮件攻击成功。
一种可选的实施方式中,所述获得所述邮件对应的攻击成功行为信息时,获得模块53用于执行以下至少一种:
确定所述邮件中存在异常信息;
获得所述邮件攻击成功对应的被攻击对象的请求地址和/或所发生的访问行为信息;
获得所述邮件攻击成功对应的被攻击对象的统计访问次数。
一种可选的实施方式中,还包括异常处理模块54,用于:
根据所述攻击成功行为信息,确定所述邮件攻击成功对应的被攻击对象;
向所述被攻击对象发送告警提示信息,其中,所述告警提示信息用于指示所述邮件异常;或,隔离所述被攻击对象;或,删除或撤回包含所述地址链接的邮件。
关于装置中的各模块的处理流程、以及各模块之间的交互流程的描述可以参照上述方法实施例中的相关说明,这里不再详述。
本公开实施例还提供了一种电子设备,如图6所示,为本公开实施例提供的电子设备结构示意图,包括:
处理器61和存储器62;所述存储器62存储有处理器61可执行的机器可读指令,处理器61用于执行存储器62中存储的机器可读指令,所述机器可读指令被处理器61执行时,处理器61执行下述步骤:
从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理。
上述存储器62包括内存621和外部存储器622;这里的内存621也称内存储器,用于暂时存放处理器61中的运算数据,以及与硬盘等外部存储器622交换的数据,处理器61通过内存621与外部存储器622进行数据交换。
上述指令的具体执行过程可以参考本公开实施例中所述的邮件攻击检测方法的步骤,此处不再赘述。
本公开实施例还提供一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行上述方法实施例中所述的邮件攻击检测方法的步骤。其中,该存储介质可以是易失性或非易失的计算机可读取存储介质。
本公开实施例还提供一种计算机程序产品,该计算机程序产品承载有程序代码,所述程序代码包括的指令可用于执行上述方法实施例中所述的邮件攻击检测方法的步骤,具体可参见上述方法实施例,在此不再赘述。
其中,上述计算机程序产品可以具体通过硬件、软件或其结合的方式实现。在一个可选实施例中,所述计算机程序产品具体体现为计算机存储介质,在另一个可选实施例中,计算机程序产品具体体现为软件产品,例如软件开发包(Software Development Kit,SDK)等等。
若本公开技术方案涉及个人信息,应用本公开技术方案的产品在处理个人信息前,已明确告知个人信息处理规则,并取得个人自主同意。若本公开技术方案涉及敏感个人信息,应用本公开技术方案的产品在处理敏感个人信息前,已取得个人单独同意,并且同时满足“明示同意”的要求。例如,在摄像头等个人信息采集装置处,设置明确显著的标识告知已进入个人信息采集范围,将会对个人信息进行采集,若个人自愿进入采集范围即视为同意对其个人信息进行采集;或者在个人信息处理的装置上,利用明显的标识/信息告知个人信息处理规则的情况下,通过弹窗信息或请个人自行上传其个人信息等方式获得个人授权;其中,个人信息处理规则可包括 个人信息处理者、个人信息处理目的、处理方式以及处理的个人信息种类等信息。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本公开所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本公开各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台电子设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施例技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应所述以权利要求的保护范围为准。
Claims (9)
1.一种邮件攻击检测方法,其特征在于,包括:
从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理;
所述根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功,包括:
获取所述地址链接的标识信息;
根据所述标识信息,获取与所述标识信息关联的网络流量数据,其中,所述网络流量数据中至少包括:请求信息、与所述请求信息对应的响应信息和所述请求信息对应的请求地址;
根据所述请求信息和对应的所述响应信息,确定发生的访问行为信息,并在确定所述访问行为信息符合攻击判定条件情况下,确定所述邮件攻击成功。
2.根据权利要求1所述的方法,其特征在于,所述检测所述地址链接是否存在异常,包括:
将所述地址链接与预设的威胁情报数据库进行匹配,在确定匹配成功情况下,确定所述地址链接存在异常;
在确定匹配失败情况下,访问所述地址链接,并获得访问所述地址链接对应的访问结果,在所述访问结果中检测到攻击行为时,确定所述地址链接存在异常。
3.根据权利要求2所述的方法,其特征在于,所述确定所述地址链接存在异常后,所述方法还包括:
将所述地址链接保存至所述预设的威胁情报数据库中。
4.根据权利要求1所述的方法,其特征在于,所述从待检测的邮件中提取所包含的地址链接,包括:
从待检测的邮件中提取出所包含的附件信息和/或正文内容;
根据预设的地址链接特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的地址链接;或,
根据预设的二维码特征信息,对所述附件信息和/或正文内容进行检测,提取所包含的二维码,并根据所述二维码,获得所述二维码对应的地址链接。
5.根据权利要求1所述的方法,其特征在于,所述获得所述邮件对应的攻击成功行为信息,包括以下至少一种:
确定所述邮件中存在异常信息;
获得所述邮件攻击成功对应的被攻击对象的请求地址和/或所发生的访问行为信息;
获得所述邮件攻击成功对应的被攻击对象的统计访问次数。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述攻击成功行为信息,确定所述邮件攻击成功对应的被攻击对象;
向所述被攻击对象发送告警提示信息,其中,所述告警提示信息用于指示所述邮件异常;或,隔离所述被攻击对象;或,删除或撤回包含所述地址链接的邮件。
7.一种邮件攻击检测装置,其特征在于,包括:
检测模块,用于从待检测的邮件中提取所包含的地址链接,并检测所述地址链接是否存在异常;
确定模块,用于在检测到所述地址链接存在异常情况下,根据所述地址链接,获取与所述地址链接关联的网络流量数据,并根据所述网络流量数据和攻击判定条件,确定所述邮件是否攻击成功;
获得模块,用于在确定所述邮件攻击成功的情况下,获得所述邮件对应的攻击成功行为信息,所述攻击成功行为信息用于针对所述邮件攻击成功对应的被攻击对象进行异常处理;
所述确定模块具体用于:
获取所述地址链接的标识信息;
根据所述标识信息,获取与所述标识信息关联的网络流量数据,其中,所述网络流量数据中至少包括:请求信息、与所述请求信息对应的响应信息和所述请求信息对应的请求地址;
根据所述请求信息和对应的所述响应信息,确定发生的访问行为信息,并在确定所述访问行为信息符合攻击判定条件情况下,确定所述邮件攻击成功。
8.一种电子设备,其特征在于,包括:处理器、存储器和总线,所述存储器存储有所述处理器可执行的机器可读指令,当电子设备运行时,所述处理器与所述存储器之间通过总线通信,所述机器可读指令被所述处理器执行时执行如权利要求1至6任一所述的邮件攻击检测方法的步骤。
9.一种计算机可读存储介质,其特征在于,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行如权利要求1至6任意一项所述的邮件攻击检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311459989.8A CN117201190B (zh) | 2023-11-03 | 2023-11-03 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311459989.8A CN117201190B (zh) | 2023-11-03 | 2023-11-03 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117201190A CN117201190A (zh) | 2023-12-08 |
| CN117201190B true CN117201190B (zh) | 2024-02-02 |
Family
ID=89003737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311459989.8A Active CN117201190B (zh) | 2023-11-03 | 2023-11-03 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117201190B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663291A (zh) * | 2012-03-23 | 2012-09-12 | 奇智软件(北京)有限公司 | 邮件的信息提示方法及装置 |
| CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN114760119A (zh) * | 2022-04-02 | 2022-07-15 | 北京安博通金安科技有限公司 | 一种钓鱼邮件攻击检测方法、装置及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200028876A1 (en) * | 2018-07-20 | 2020-01-23 | Corelogic Solutions, Llc | Phishing detection and targeted remediation system and method |
-
2023
- 2023-11-03 CN CN202311459989.8A patent/CN117201190B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102663291A (zh) * | 2012-03-23 | 2012-09-12 | 奇智软件(北京)有限公司 | 邮件的信息提示方法及装置 |
| CN107770125A (zh) * | 2016-08-16 | 2018-03-06 | 深圳市深信服电子科技有限公司 | 一种网络安全应急响应方法及应急响应平台 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN114760119A (zh) * | 2022-04-02 | 2022-07-15 | 北京安博通金安科技有限公司 | 一种钓鱼邮件攻击检测方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117201190A (zh) | 2023-12-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10489606B2 (en) | System, method, and computer program product for preventing image-related data loss | |
| CN111401416B (zh) | 异常网站的识别方法、装置和异常对抗行为的识别方法 | |
| Riadi | Forensic investigation technique on android's blackberry messenger using nist framework | |
| CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
| CN105391674B (zh) | 一种信息处理方法及系统、服务器、客户端 | |
| GB2427048A (en) | Detection of unwanted code or data in electronic mail | |
| US10505986B1 (en) | Sensor based rules for responding to malicious activity | |
| CN106713579B (zh) | 一种电话号码识别方法及装置 | |
| CN109547426B (zh) | 业务响应方法及服务器 | |
| CN108256322B (zh) | 安全测试方法、装置、计算机设备和存储介质 | |
| CN109039875B (zh) | 一种基于链接特征分析的钓鱼邮件检测方法及系统 | |
| CN107948199B (zh) | 一种对终端共享接入进行快速检测的方法及装置 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| EP3053320B1 (fr) | Procédé de détection d'anomalies dans un trafic réseau | |
| CN112613029A (zh) | 一种弱口令检测方法、装置、计算机存储介质以及设备 | |
| WO2012015363A1 (en) | Acquiring information from volatile memory of a mobile device | |
| CN117201190B (zh) | 一种邮件攻击检测方法、装置、电子设备及储存介质 | |
| US9584537B2 (en) | System and method for detecting mobile cyber incident | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN116015777A (zh) | 一种文档检测方法、装置、设备及存储介质 | |
| CN115695043A (zh) | 漏洞扫描攻击检测方法、模型训练方法及装置 | |
| CN114157501A (zh) | 一种基于天睿数据库的参数解析方法及装置 | |
| WO2016180229A1 (zh) | 一种终端数据的处理方法及装置 | |
| CN114363059A (zh) | 一种攻击识别方法、装置及相关设备 | |
| CN114070819B (zh) | 恶意域名检测方法、设备、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |