【技术实现步骤摘要】
一种面向附件伪装的鱼叉攻击邮件发现方法及装置
本专利技术属于网络技术及计算机信息安全领域,涉及一种面向附件伪装的鱼叉攻击邮件发现方法及装置。
技术介绍
自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来,各国政府部门、组织、公司等陆续被爆遭遇APT攻击,一般APT攻击过程可以分为5个阶段:情报侦察、初始攻击、保持控制、横向渗透、信息窃取,而在初始攻击阶段,攻击者常常会利用社会工程、鱼叉式钓鱼攻击、水坑攻击等技术手段寻找突破口,而鱼叉邮件由于其成本低、发布方便和难以追踪等原因成为攻击者的首选方式。鱼叉邮件攻击往往是将恶意载荷作为邮件附件,并加上一个极具欺骗性的名称,诱使目标人群下载,载荷类型主要是可执行文件、LNK文件等。目前对于邮件附件的检测主要是通过静态扫描、沙箱分析等方法,比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法,包括步骤:获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。目前传统的邮件系统或 ...
【技术保护点】
1.一种面向附件伪装的鱼叉攻击邮件发现方法,其步骤包括:/n1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据,获取各邮件的邮件元数据和附件信息;/n2)提取每一待检测邮件附件文件的扩展名,将其与预设配置中的扩展名进行匹配,筛选出可疑附件文件;/n3)检测所述可疑附件文件的伪装模式,根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分;其中,所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度;/n4)如果所述可疑附件文件的攻击威胁评分超过设定阈值,则判定对应邮件为鱼叉攻击邮件。/n
【技术特征摘要】
1.一种面向附件伪装的鱼叉攻击邮件发现方法,其步骤包括:
1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据,获取各邮件的邮件元数据和附件信息;
2)提取每一待检测邮件附件文件的扩展名,将其与预设配置中的扩展名进行匹配,筛选出可疑附件文件;
3)检测所述可疑附件文件的伪装模式,根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分;其中,所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度;
4)如果所述可疑附件文件的攻击威胁评分超过设定阈值,则判定对应邮件为鱼叉攻击邮件。
2.如权利要求1所述的方法,其特征在于,所述伪装模式包括LNK文件伪装、超长文件名伪装、双扩展名伪装或RLO文件名欺骗伪装。
3.如权利要求1所述的方法,其特征在于,所述可疑附件文件的伪装模式检测方法为:
11)检测所有筛选出的可疑附件文件,如果是可执行文件,则进行步骤12);如果是快捷方式文件,则进行步骤13),如果压缩文件则进行步骤14);
12)检测可疑附件文件的文件名:若该文件名含有的空格数大于等于设定阈值N,则判定该可疑附件文件为超长文件名伪装模式;若该文件名在其扩展名之前还包含其他设定常见办公文档类、图片类扩展名,则判定该可疑附件文件为双扩展名伪装模式;若该文件名中含有RLO控制字符,则判定该可疑附件文件为RLO文件名欺骗伪装模式;
否则,判定为无伪装模式;
13)检测可疑附件文件的文件大小,若小于或等于设定阈值M,则判断对应邮件为正常邮件;否则,判定为LNK文件伪装模式;
14)对压缩文件进行解压缩处理,如果压缩文件为加密的压缩文件,则从邮件正文提取密码进行解压缩处理;然后检测解压后的文件数量,若文件数量大于设定数量,则判定对应邮件为正常邮件,否则检测每一文件的类型,如果是可执行文件,则进行步骤12);如果是快捷方式文件,则进行步骤13)。
4.如权利要求1所述的方法,其特征在于,所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容;所述附件信息包括附件名称、附件文件。
5.如权利要求1所述的方法,其特征在于,所述预设配置中的预设多个可疑附件文件的扩展名,包括:可执行文件扩展名、快捷方式文件扩展名和压缩包文件扩展名。
6.如权利要求1所述的方法,其特征在于,步骤4)中,对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别,以此判定该邮件是否具有定向性,并从预设的领域与威胁评分之间的对应关系中,确定所述附件名称、邮件主题的威胁评分;其中,所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度;然后根据所述可疑附件文件的攻击威胁程度值,附件名称、邮件主题的攻击定向程度值,综合计算得出邮件的最终攻击威胁评分。
...
【专利技术属性】
技术研发人员:王菲飞,赵双,白波,于平,刘澄澄,廖纯,于海波,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。