一种面向附件伪装的鱼叉攻击邮件发现方法及装置制造方法及图纸

本发明专利技术公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。本发明专利技术能够及时发现可疑鱼叉攻击邮件。

A method and device for discovering message of Harpoon attack based on attachment camouflage

【技术实现步骤摘要】
一种面向附件伪装的鱼叉攻击邮件发现方法及装置
本专利技术属于网络技术及计算机信息安全领域，涉及一种面向附件伪装的鱼叉攻击邮件发现方法及装置。
技术介绍
自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来，各国政府部门、组织、公司等陆续被爆遭遇APT攻击，一般APT攻击过程可以分为5个阶段：情报侦察、初始攻击、保持控制、横向渗透、信息窃取，而在初始攻击阶段，攻击者常常会利用社会工程、鱼叉式钓鱼攻击、水坑攻击等技术手段寻找突破口，而鱼叉邮件由于其成本低、发布方便和难以追踪等原因成为攻击者的首选方式。鱼叉邮件攻击往往是将恶意载荷作为邮件附件，并加上一个极具欺骗性的名称，诱使目标人群下载，载荷类型主要是可执行文件、LNK文件等。目前对于邮件附件的检测主要是通过静态扫描、沙箱分析等方法，比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法，包括步骤：获取网络中邮件数据流量，并根据获取到的邮件的编码类型还原邮件的内容，以获取当前邮件信息；根据获取到的所述当前邮件信息中的发件人信息，判断所述当前邮件的发件人是否为收件人的常用信任联系人；若判断为是，则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件；若判断为否，则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时，提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件。目前传统的邮件系统或邮件客户端会对附件中的.exe等可执行文件进行过滤，但由于在APT攻击中，攻击者往往对附件文件进行压缩，以压缩包形式发送，并采用加密、免杀等技术手段对文件本身进行特殊处理，使其具有免杀、反沙箱等高对抗功能，可以绕过绝大部分安全软件的检测。
技术实现思路
为了克服现有技术方案的不足，本专利技术提供一种面向附件伪装的鱼叉攻击邮件发现方法及装置，该方法不基于信任源的行为分析，也不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据和邮件附件，直接对邮件附件的伪装模式、邮件主题定向性等信息进行综合分析，进而及时发现可疑鱼叉攻击邮件。本专利技术解决其技术问题所采用的技术方案是：一种面向附件伪装的鱼叉攻击邮件发现方法及装置，包括如下步骤：步骤1：从待处理的原始流量中提取和解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；步骤2：提取每一待检测邮件附件文件的扩展名，与预设配置中的扩展名进行匹配，筛选出可疑附件文件；步骤3：对筛选出的可疑附件文件进行检测得到其伪装模式，从预设的伪装模式与威胁评分之间的对应关系中，确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；步骤4：作为上述步骤的优化，对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别，以此判定该邮件是否具有定向性，并从预设的领域与威胁评分之间的对应关系中，确定所述附件名称、邮件主题的威胁评分；其中，所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度；步骤5：根据所述可疑附件文件的攻击威胁程度值，附件名称、邮件主题的攻击定向程度值，综合计算得出最终攻击威胁评分；若最终攻击威胁评分超过一定阈值，则判定为鱼叉攻击邮件，否则为可疑恶意邮件。进一步地，所述邮件元数据包括：发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容；附件信息包括附件名称、附件文件。进一步地，预设可疑附件文件扩展名，例如：可执行文件“.exe、.scr、.hta、.js、.vbs、.jar、.chm”等、快捷方式文件“.lnk”和压缩包文件“.rar、.7z、.zip”等。进一步地，预设附件伪装模式，例如：LNK文件伪装、超长文件名伪装、双扩展名伪装、RLO文件名欺骗伪装等，以及各自的威胁评分。进一步地，根据监测部署范围内各单位的重点工作业务，分别预设各自的业务领域值，例如：政治、金融、外交、军工、能源等，以及各自的威胁评分。进一步地，当所述邮件具有附件文件，附件名称和邮件主题中的两个或三个要素时，为每个要素分配一定的权重值，根据三个要素对应的威胁评分进行加权求和，综合计算得出最终攻击威胁评分，威胁评分值越大，所述当前邮件为鱼叉式攻击邮件的可能性越大；其中，所述要素可根据附件伪装模式、所属领域细分为多个二级要素，并分配相应的权重值。为实现上述目的，本专利技术还提供了一种基于附件伪装模式的鱼叉攻击邮件检测装置，包括：特征库配置管理模块，用于配置和管理可疑附件文件扩展名库、附件伪装模式库、业务领域库等特征库；流量解析还原模块，用于从待处理的原始网络流量中提取和解析SMTP、POP和IMAP协议数据，形成待检测的邮件元数据和附件信息；文件筛选模块，用于根据预设配置中的扩展名，筛选出待检测的可疑附件文件；基于附件伪装模式的文件检测模块，用于对所述文件筛选模块筛选出的可疑附件文件进行检测，从而确定当前所述可疑附件文件的攻击威胁程度；基于领域识别的邮件定向判定模块，用于对所述可疑附件文件的附件名称、对应邮件的邮件主题，判断是否隶属于监测部署范围内的业务领域，从而判定所述当前邮件是否具有定向性；鱼叉邮件判定模块，根据所述邮件可疑附件文件的攻击威胁程度，附件名称、邮件主题的攻击定向程度，综合计算得出最终攻击威胁评分；若最终攻击威胁评分超过一定阈值，则判定为鱼叉攻击邮件，否则为可疑恶意邮件。与现有技术相比，本专利技术的积极效果为：鱼叉邮件攻击往往是将恶意载荷作为邮件附件，并加上一个极具欺骗性的名称，诱使目标人群下载，附件文件通常会进行压缩，并对文件本身做特殊处理，使其具有免杀、反沙箱等高对抗功能，可以绕过绝大部分安全软件的检测。本专利技术的鱼叉攻击邮件发现方法及装置不依赖安全软件，也不基于信任源的行为分析，不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析，而是通过基于邮件附件伪装模式的检测方法，结合附件名称、邮件主题的领域识别，综合分析邮件的攻击威胁程度和定向性，从而判定是否为鱼叉式攻击邮件，能够更加准确高效的发现具有高对抗性的定向鱼叉攻击行为。附图说明图1是一种面向附件伪装的鱼叉攻击邮件发现方法及装置流程图。图2是一种面向附件伪装的鱼叉攻击邮件检测装置模块关系图。具体实施方式以下结合附图对本专利技术的优选实施例进行说明，应当理解，此处所描述的实施例仅用于说明和解释本专利技术，并不用于限定本专利技术。基于本专利技术中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的本文档来自技高网...

【技术保护点】
1.一种面向附件伪装的鱼叉攻击邮件发现方法，其步骤包括：/n1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；/n2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；/n3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；/n4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。/n

【技术特征摘要】
1.一种面向附件伪装的鱼叉攻击邮件发现方法，其步骤包括：
1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；
2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；
3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；
4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。


2.如权利要求1所述的方法，其特征在于，所述伪装模式包括LNK文件伪装、超长文件名伪装、双扩展名伪装或RLO文件名欺骗伪装。


3.如权利要求1所述的方法，其特征在于，所述可疑附件文件的伪装模式检测方法为：
11)检测所有筛选出的可疑附件文件，如果是可执行文件，则进行步骤12)；如果是快捷方式文件，则进行步骤13)，如果压缩文件则进行步骤14)；
12)检测可疑附件文件的文件名：若该文件名含有的空格数大于等于设定阈值N，则判定该可疑附件文件为超长文件名伪装模式；若该文件名在其扩展名之前还包含其他设定常见办公文档类、图片类扩展名，则判定该可疑附件文件为双扩展名伪装模式；若该文件名中含有RLO控制字符，则判定该可疑附件文件为RLO文件名欺骗伪装模式；
否则，判定为无伪装模式；
13)检测可疑附件文件的文件大小，若小于或等于设定阈值M，则判断对应邮件为正常邮件；否则，判定为LNK文件伪装模式；
14)对压缩文件进行解压缩处理，如果压缩文件为加密的压缩文件，则从邮件正文提取密码进行解压缩处理；然后检测解压后的文件数量，若文件数量大于设定数量，则判定对应邮件为正常邮件，否则检测每一文件的类型，如果是可执行文件，则进行步骤12)；如果是快捷方式文件，则进行步骤13)。


4.如权利要求1所述的方法，其特征在于，所述邮件元数据包括：发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容；所述附件信息包括附件名称、附件文件。


5.如权利要求1所述的方法，其特征在于，所述预设配置中的预设多个可疑附件文件的扩展名，包括：可执行文件扩展名、快捷方式文件扩展名和压缩包文件扩展名。


6.如权利要求1所述的方法，其特征在于，步骤4)中，对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别，以此判定该邮件是否具有定向性，并从预设的领域与威胁评分之间的对应关系中，确定所述附件名称、邮件主题的威胁评分；其中，所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度；然后根据所述可疑附件文件的攻击威胁程度值，附件名称、邮件主题的攻击定向程度值，综合计算得出邮件的最终攻击威胁评分。

...

【专利技术属性】
技术研发人员：王菲飞，赵双，白波，于平，刘澄澄，廖纯，于海波，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11