本发明专利技术公开了一种鱼叉式钓鱼邮件的检测方法,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。本发明专利技术公开了一种鱼叉式钓鱼邮件的检测装置。
【技术实现步骤摘要】
本专利技术涉及信息安全检测领域,尤其涉及一种鱼叉式钓鱼邮件的检测方法及装置。
技术介绍
随着计算机网络的发展,互联网已经在人们的日常生活中扮演了一个越来越重要的角色。而因为网络操作系统和网络应用程序存在的各种各样的缺陷,互联网的安全问题也越来越严重。安全的本质是持续对抗,近几年来随着防御技术的不断提高,攻击技术与方法也在不断的变换,从传统的基于对目标网络的直接漏洞攻击转向间接对使用电脑人员漏洞的社会工程学攻击,利用人自身的意识缺陷攻击目标用户的个人电脑、手机等设备,执行攻击者定制开发的恶意代码,实现进入和驻留目标。由于电子邮件在人们日常工作交流中的高使用率,社会工程学攻击将鱼叉式钓鱼邮件攻击选定为最常用攻击手段。攻击者通过对攻击目标信息的大量收集,采用盗用目标用户好友邮箱,或仿冒知名网站通知邮箱的方式,精心编辑符合收件人兴趣爱好的邮件内容,诱使用户点击邮件中的钓鱼链接或下载恶意附件,达到入侵目标主机的目的。由于鱼叉式钓鱼邮件攻击成功几率高,不易被传统的入侵检测和防御系统发现,鱼叉式钓鱼邮件攻击已成为攻击者的首选方法,给广大网民的日常网络生活带来巨大的危害。如今已有的一些针对钓鱼邮件的检测方法,主要有以下几种: 1.基于发件人黑白名单过滤检测机制:设置明确的黑白名单,只接受白名单内信任账户发送的邮件。2.基于邮件中是否存在IP地址型网页链接:若邮件中存在IP地址型网页链接,则认为有诱导用户访问非知名网站的嫌疑,因为大多数知名网站都采用域名方式访问。3.基于邮件正文中链接特征分析:通过链接中是否存在等特殊字符,或链接中域名,域名分隔符C)、URL路径字段分隔符(/)的个数是否合理等判定邮件是否为钓鱼邮件。4.基于邮件正文显式域名和隐式域名是否匹配:通过判断邮件中显示的链接域名和HTML页面中真实的链接域名是否匹配,不匹配则认为有诱导用户访问恶意网站的嫌疑。5.基于邮件正文链接域名注册时间是否低于设置阈值:通过采用whois方式查询域名的注册时间和邮件发送时间的时间间隔是否低于设定阈值,认为时间间隔低于设定阈值的邮件可能为钓鱼邮件。6.基于邮件正文链接域名与知名网站域名的相似度:通过判定邮件正文链接域名与知名网站域名不相等的情况下,相似度越高为仿冒欺骗域名的可能性越大。现有对钓鱼邮件检测方式除了黑白名单机制,大都是基于邮件正文链接域名检测的方式,普遍适用于传统钓鱼邮件广撒网式邮件投递,鱼叉式钓鱼邮件攻击由于事先对攻击目标的大量信息收集,有针对性的选取目标,大多采用盗用攻击目标信任关系账户,或采用精心设计的假冒知名网站通知,新闻类邮件内容方式发送邮件,有效的绕过了邮箱黑白名单检测方式。而针对钓鱼邮件中链接域名检测的方法也存在一定的局限性,如攻击者采用攻陷第三方服务器(水坑攻击)的方式,在合法域名网站挂马的方式诱使用户点击被篡改了内容的合法网站,现有针对钓鱼邮件中链接域名检测的方法则无法及时检测到。
技术实现思路
本专利技术实施例的目的是提供一种鱼叉式钓鱼邮件的检测方法及装置,能准确的分析判定邮件为正常邮件还是鱼叉式钓鱼邮件攻击。本专利技术实施例提供了一种鱼叉式钓鱼邮件的检测方法,包括步骤: 获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息; 根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人; 若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件; 若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。作为上述方案的改进,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。作为上述方案的改进,基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件具体为: 基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。作为上述方案的改进,在计算所述风险分数值时,基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的排列顺序依次对所述多个相似度值分配权重值为15%、20%、15%、20%、10%、20%。作为上述方案的改进,通过以下方式将与所述当前邮件的视觉相似度达到阈值的知名权威网站的邮件与所述当前邮件进行对比分析以判定所述当前邮件是否为鱼叉式钓鱼邮件: 若所述当前邮件中只有IP地址、域名或链接中的一个时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件; 若所述当前邮件中同时含有IP地址、域名或链接中的两个或三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,所述IP地址、域名、链接分配的权值依次为30%、40%、30%。本专利技术实施例对应公开了一种鱼叉式钓鱼邮件的检测装置,包括: 接收模块,用于获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息; 判断模块,用于根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人; 基于信任源的行为分析模块,用于在所述判断模块判断为是的情况下,基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件; 基于通知资讯类的视觉效果分析模块,用于在所述判断模块判断为否的情况下,在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。作为上述方案的改进,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。作为上述方案的改进,所述基于信任源的行为分析模块进一步配置为:基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击当前第1页1 2 3 4 本文档来自技高网...
【技术保护点】
一种鱼叉式钓鱼邮件的检测方法,其特征在于,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
【技术特征摘要】
【专利技术属性】
技术研发人员:黄玮,范文庆,
申请(专利权)人:蔡丝英,北京灵创众和科技有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。