本发明专利技术涉及计算机技术领域,具体涉及一种基于动静结合的邮件安全检测装置及方法,装置包括邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块,本发明专利技术即将静态引擎检测和动态引擎检测的优点进行有效结合,先对恶意邮件进行解码静态分析检测,对于有异常行为特征的邮件进行解析再发包,到定制的安全浏览器中进行动态引擎分析检测。动静结合能够更加全面高效的获取更多恶意行为信息,同时提取出恶意行为的源码信息,并且提出邮件恶意行为的有效修复解决方案,是一种高效便捷的恶意邮件检测装置。
【技术实现步骤摘要】
本专利技术涉及计算机
,具体涉及。
技术介绍
随着互联网+的快速发展,互联网金融也遍地生根,互联网间的信息传递邮件是主要的方式之一,第三方的邮件应用商也越来越多,且其也缺乏有效的邮件安全检测机制和方法,利用电子邮件发起的攻击是最多且最常见的攻击方式之一,这样将导致窃取用户隐私数据频繁发生。另外,用户查看电子邮件的安全意识薄弱也将导致邮件攻击者有机可乘,大量窃取用户的隐私数据。对恶意邮件攻击的安全检测方法,目前主要的方式是检测邮件是否是钓鱼邮件,通过邮件内容里的链接的相关特征来判断是否是钓鱼邮件,此种方法虽然有效,但存在很大的局限性。现有的恶意邮件检测平台是结合静态引擎和动态引擎分析,静态引擎分析是通过对邮件进行解码后与特征码进行比较分析,对于存在恶意特征码的邮件进一步进行动态引擎分析检测;动态引擎分析检测是通过邮件预处理再整合发送,让邮件在定制安全浏览器中运行,模拟点击,检测邮件在动态引擎分析时是否发起不受信任域的请求等,来判断是否包含恶意攻击行为。现有的邮件安全检测系统存在比较大的局限性,比如对邮件内容解析再发包,在定制的浏览器中动态自动分析的能力显得比较薄弱,大多没有解析再发包,在定制的浏览器中加入监控日志;一些恶意邮件的触发条件比较特殊,标签事件或属性不足以触发,还需要结合邮件头才能触发,这种状态的邮件就迫切需要我们设计的装置来模拟触发,来发现是真正意乂上的恶意邮件。申请公布号为CN201110020896的专利“一种基于文本特征分析的钓鱼邮件检测方法”和公布号为CN200910073046的专利“基于链接域名和用户反馈的反钓鱼邮件系统及方法”中提到提取邮件中的网站链接的相关特征来判断是否是钓鱼邮件,这样虽然有效,但是准确率大大降低,比如特征库并不能实时更新等原因,静态引擎的检测往往不能有效的检测出恶意行为。
技术实现思路
解决上述技术问题,本专利技术提供了,即将静态引擎检测和动态引擎检测的优点进行有效结合,先对恶意邮件进行解码静态分析检测,对于有异常行为特征的邮件进行解析再发包,到定制的安全浏览器中进行动态引擎分析检测。动静结合能够更加全面高效的获取更多恶意行为信息,同时提取出恶意行为的源码信息,并且提出邮件恶意行为的有效修复解决方案,是一种高效便捷的恶意邮件检测装置。为了达到上述目的,本专利技术所采用的技术方案是,一种基于动静结合的邮件安全检测装置,包括:邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块, 邮件接收装置:用于导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件,并保存相应的邮件信息, 邮件预处理模块:根据邮件的编码类型等通过解码得到邮件标题、邮件内容、附件名称、附件内容等信息并临时存储, 静态引擎分析模块:获取邮件预处理模块的邮件信息,并将该邮件信息通过正则表达式匹配算法结合静态特征库,将邮件信息中有恶意的特征的代码内容和链接提取出来,并记录下邮件唯一标识、邮件标题、恶意特征、链接、Referer信息,未检测到恶意特征和链接的邮件视为正常邮件并放行,有检测到恶意特征和链接的邮件进一步进行动态引擎分析,对于有真正恶意的邮件做拦截退信处理。邮件发送模块:对于有恶意特征和链接的邮件,根据解析的邮件相关信息重新整合保持恶意特征和链接,将原有的恶意特征请求的地址替换为装置个性日志的形式输出,构成一封新的邮件发送到邮件服务器,确保恶意特征和链接能够正常触发且不泄露个人隐私数据, 定制安全浏览器模块:兼容多种浏览器内核,能在多种内核环境下高效的检测恶意邮件的行为,同时保证邮件恶意行为能在多种复杂环境下有效触发并能拦截相关数据包防止数据泄露, 网络分析模块:访问日志可用大数据框架进行存储并作历史数据积累, 动态引擎分析模块:采用autoit自动化脚本技术在定制的安全浏览器中自动查看、自动点击相关按钮、链接,并记录敏感行为日志,动态引擎在定制的安全浏览器中采用API监控和注入技术,敏感行为一触发会自动记录日志,一些恶意邮件在查看邮件、点击链接时并不会触发恶意行为,而是在特定的条件下才会触发。日志分析模块:用于基于日志分析判断是否为恶意邮件,同时检测到恶意邮件,将恶意链接地址的相关特征与入动态特征库。输出装置模块:该装置将输出正常邮件和恶意邮件,静态检测对于恶意行为的邮件将记录恶意特征代码、恶意链接,动态引擎检测将截图记录下恶意邮件的触发位置,最终将记录下的信息输出成格式为pdf的报告及提供修复邮箱的解决方案。进一步的,大数据分析框架为Hadoop、Solr或Mongodb,利用Hadoop、Solr或Mongodb大数据分析框架的海量数据存储、分析、查询能力提高日志分析能力。进一步的,邮件发送模块发送的邮件将由系统自动在定制的安全浏览器中运行,防止有恶意行为的邮件被触发。进一步的,日志分析模块完成以下步骤: 1、系统动态弓丨擎检测输出了装置个性化日志的,则视为恶意邮件, 2、发起请求连接在动态特征库能匹配到相关特征的,则视为恶意邮件, 3、发起请求的页面存在密码输入控件的,则视为恶意邮件, 4、发起本域或子域下的页面存在获取cookies或操作cookies行为的,则视为恶意邮件。本专利技术所采用的另一技术方案是,一种基于动静结合的邮件安全检测方法,包括以下步骤: 邮件接收及预处理步骤:导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件,并保存相应的邮件信息,根据邮件的编码类型等通过解码得到邮件标题、邮件内容、附件名称、附件内容等信息并临时存储, 静态引擎分析步骤:获取邮件预处理模块的邮件信息,并将该邮件信息通过正则表达式匹配算法结合静态特征库,将邮件信息中有恶意的特征的代码内容和链接提取出来,并记录下邮件唯一标识、邮件标题、恶意特征、链接、Referer信息,未检测到恶意特征和链接的邮件视为正常邮件并放行。邮件发送及分析:针对有恶意特征和链接的邮件,根据解析的邮件相关信息重新整合保持原有特征,将原有的恶意特征请求的地址替换为装置个性日志的形式输出,构成一封新的邮件发送到邮件服务器,确保恶意特征和链接能够正常触发且不泄露个人隐私数据,用于采集定制安全浏览器模块产生的web访问日志,并将所有邮件信息及访问日志通过定制安全浏览器进行访问, 动态引擎分析步骤:采用autoit自动化脚本技术在定制的安全浏览器中自动查看、自动点击相关按钮、链接,并记录敏感行为日志,动态引擎在定制的安全浏览器中采用API监控和注入技术,敏感行为一触发会自动记录日志当前第1页1 2 3 本文档来自技高网...
【技术保护点】
一种基于动静结合的邮件安全检测装置,其特征在于:包括:邮件接收装置、邮件预处理模块、静态引擎分析模块、邮件发送模块、定制安全浏览器模块、网络分析模块、动态引擎分析模块、日志分析模块和输出装置模块,邮件接收装置:用于导入eml.txt格式的标准邮件或根据账号密码信息自动接收邮件服务器的邮件或接收受控网络的电子邮件,并保存相应的邮件信息,邮件预处理模块:根据邮件的编码类型等通过解码得到邮件标题、邮件内容、附件名称、附件内容等信息并临时存储,静态引擎分析模块:获取邮件预处理模块的邮件信息,并将该邮件信息通过正则表达式匹配算法结合静态特征库,将邮件信息中有恶意的特征的代码内容和链接提取出来,并记录下邮件唯一标识、邮件标题、恶意特征、链接、Referer信息,未检测到恶意特征和链接的邮件视为正常邮件并放行,有检测到恶意特征和链接的邮件进一步进行动态引擎分析,对于有真正恶意的邮件做拦截退信处理,邮件发送模块:对于有恶意特征和链接的邮件,根据解析的邮件相关信息重新整合保持恶意特征和链接,将原有的恶意特征请求的地址替换为装置个性日志的形式输出,构成一封新的邮件发送到邮件服务器,确保恶意特征和链接能够正常触发且不泄露个人隐私数据,定制安全浏览器模块:兼容多种浏览器内核,能在多种内核环境下高效的检测恶意邮件的行为,同时保证邮件恶意行为能在多种复杂环境下有效触发并能拦截相关数据包防止数据泄露,网络分析模块:访问日志可用大数据框架进行存储并作历史数据积累,动态引擎分析模块:采用autoit自动化脚本技术在定制的安全浏览器中自动查看、自动点击相关按钮、链接,并记录敏感行为日志,动态引擎在定制的安全浏览器中采用API监控和注入技术,敏感行为一触发会自动记录日志,一些恶意邮件在查看邮件、点击链接时并不会触发恶意行为,而是在特定的条件下才会触发,日志分析模块:用于基于日志分析判断是否为恶意邮件,同时检测到恶意邮件,将恶意链接地址的相关特征写入动态特征库,输出装置模块:该装置将输出正常邮件和恶意邮件,静态检测对于恶意行为的邮件将记录恶意特征代码、恶意链接,动态引擎检测将截图记录下恶意邮件的触发位置,最终将记录下的信息输出成格式为pdf的报告及提供修复邮箱的解决方案。...
【技术特征摘要】
【专利技术属性】
技术研发人员:郭任煌,郑少明,邱锋兴,罗佳,高静峰,黄峰,
申请(专利权)人:厦门安胜网络科技有限公司,
类型:发明
国别省市:福建;35
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。