本发明专利技术提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本发明专利技术方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件。
【技术实现步骤摘要】
一种基于僵尸网络监控的恶意邮件预警方法及系统
本专利技术涉及计算机安全
,尤其涉及一种基于僵尸网络监控的恶意邮件预警方法及系统。
技术介绍
随着电子邮件的广泛使用,其安全隐患也逐渐显现,在利益的驱使下,黑客为了扩展其僵尸网络,通常使用电子邮件传播恶意代码、发送垃圾邮件。邮件接受者通常防不胜防,被动的沦为垃圾邮件的目标、潜在的恶意代码受害者。黑客通常通过控制僵尸网络发送垃圾邮件,发送邮件的内容会随着当前的热点事件而变化,恶意链接会随着近期出现的漏洞而构造,导致邮件服务器对于垃圾邮件、恶意邮件的过滤一直都没有很好的措施。
技术实现思路
基于上述问题,本专利技术提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过对恶意邮件样本信息的获取,能够及时发现并过滤恶意邮件。首先提出一种基于僵尸网络监控的恶意邮件预警方法,包括:获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。所述的方法中,所述僵尸网络的被控端样本具体为:具有通过SMTP协议传输,并发送恶意邮件特性的样本。所述的方法中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与C&C通信的指令包,通过指令包内容,提取恶意邮件特征信息。所述的方法中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。本专利技术还提出一种基于僵尸网络监控的恶意邮件预警系统,包括:样本获取模块,用于获取僵尸网络的被控端样本;执行模块,用于在虚拟环境下运行所述僵尸网络的被控端样本;特征提取模块,用于获取并分析网络流量包,提取恶意邮件特征信息;特征应用模块,用于将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。所述的系统中,所述僵尸网络的被控端样本具体为:具有通过SMTP协议传输,并发送恶意邮件特性的样本。所述的系统中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与C&C通信的指令包,通过指令包内容,提取恶意邮件特征信息。所述的系统中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。本专利技术提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本专利技术方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件。附图说明为了更清楚地说明本专利技术或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术一种基于僵尸网络监控的恶意邮件预警方法实施例流程图;图2为本专利技术一种基于僵尸网络监控的恶意邮件预警系统结构示意图。具体实施方式为了使本
的人员更好地理解本专利技术实施例中的技术方案,并使本专利技术的上述目的、特征和优点能够更加明显易懂,下面结合附图对本专利技术中技术方案作进一步详细的说明。本专利技术提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过对恶意邮件样本信息的获取,能够及时发现并过滤恶意邮件。本专利技术通过对僵尸网络中被控端样本的监控,得到恶意邮件的关键信息,来过滤邮件服务器中的邮件内容。首先提出一种基于僵尸网络监控的恶意邮件预警方法,如图1所示,包括:S101:获取僵尸网络的被控端样本;S102:在虚拟环境下运行所述僵尸网络的被控端样本;S103:获取并分析网络流量包,提取恶意邮件特征信息;S104:将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。将特征应用于服务器,能够达到从源头过滤垃圾邮件的目的。所述的方法中,所述僵尸网络的被控端样本具体为:具有通过SMTP协议传输,并发送恶意邮件特性的样本。样本文件可以通过搜索引擎、僵尸网络家族生成器等多种方式获得。所述的方法中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与C&C通信的指令包,通过指令包内容,提取恶意邮件特征信息。所述的方法中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息等可作为垃圾邮件特征的信息。本专利技术还提出一种基于僵尸网络监控的恶意邮件预警系统,如图2所示,包括:样本获取模块201,用于获取僵尸网络的被控端样本;执行模块202,用于在虚拟环境下运行所述僵尸网络的被控端样本;特征提取模块203,用于获取并分析网络流量包,提取恶意邮件特征信息;特征应用模块204,用于将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。所述的系统中,所述僵尸网络的被控端样本具体为:具有通过SMTP协议传输,并发送恶意邮件特性的样本。所述的系统中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与C&C通信的指令包,通过指令包内容,提取恶意邮件特征信息。所述的系统中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。本专利技术提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本专利技术方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件,达到从源头过滤垃圾邮件的目的。虽然通过实施例描绘了本专利技术,本领域普通技术人员知道,本专利技术有许多变形和变化而不脱离本专利技术的精神,希望所附的权利要求包括这些变形和变化而不脱离本专利技术的精神。本文档来自技高网...
【技术保护点】
一种基于僵尸网络监控的恶意邮件预警方法,其特征在于,包括:获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。
【技术特征摘要】
1.一种基于僵尸网络监控的恶意邮件预警方法,其特征在于,包括:获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。2.如权利要求1所述的方法,其特征在于,所述僵尸网络的被控端样本具体为:具有通过SMTP协议传输,并发送恶意邮件特性的样本。3.如权利要求1所述的方法,其特征在于,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与C&C通信的指令包,通过指令包内容,提取恶意邮件特征信息。4.如权利要求3所述的方法,其特征在于,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。5.一种基于僵尸网络监控的恶意邮件...
【专利技术属性】
技术研发人员:康学斌,徐艺航,肖新光,
申请(专利权)人:深圳市安之天信息技术有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。