【技术实现步骤摘要】
一种面向链接伪装的鱼叉攻击邮件发现方法及装置
本专利技术涉及一种面向链接伪装的鱼叉攻击邮件检测方法和装置,属于网络技术及计算机信息安全领域。
技术介绍
随着系统防御能力和用户安全意识的提高,钓鱼攻击者的攻击方法也不断推陈出新,鱼叉式网络钓鱼成为一种新式的、有很强针对性的网络钓鱼攻击方法。鱼叉式钓鱼攻击一般通过电子邮件等电子通信方式进行,针对特定个人、组织或企业。通常来说,攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体等网络信息,进而假冒公司、组织甚至政府机构等权威机构的名义,发送虚假内容、恶意文件或恶意链接,诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码,相关信息就会被窃取,黑客甚至会借机安装木马等恶意程序,持续破坏目标计算机。钓鱼邮件链接方面的伪装对用户而言是难以察觉的,是区分钓鱼邮件和合法邮件的重要特征。传统的基于链接的钓鱼邮件检测的方法主要是使用链接黑名单,检测时提取链接地址,查看是否在黑名单中。但黑名单的更新具有一定的延迟性,且不能有效应对越来越隐蔽的鱼叉攻击。目前通过提取鱼叉攻击邮...
【技术保护点】
1.一种面向链接伪装的鱼叉攻击邮件发现方法,其步骤包括:/n1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息;/n2)从所述待检测邮件的正文中提取所有的链接地址和链接内容;/n3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测,判定对应邮件是否为可疑恶意邮件;/n4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,判断所述可疑恶意邮件是否具有定向性;若具有定向性,则判定对应邮件为鱼叉攻击邮件。/n
【技术特征摘要】 【专利技术属性】
1.一种面向链接伪装的鱼叉攻击邮件发现方法,其步骤包括:
1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息;
2)从所述待检测邮件的正文中提取所有的链接地址和链接内容;
3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测,判定对应邮件是否为可疑恶意邮件;
4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别,判断所述可疑恶意邮件是否具有定向性;若具有定向性,则判定对应邮件为鱼叉攻击邮件。
2.如权利要求1所述的方法,其特征在于,判定邮件是否为可疑恶意邮件的方法为:
11)判断待检测的链接内容是否为URL,若为URL,则截取URL中的域名;
12)截取待检测的链接地址中的域名;判断链接内容中的域名与链接地址中的域名是否匹配,如果不匹配则认为该链接为仿冒链接,对应邮件为可疑恶意邮件;如果匹配则进行步骤13);
13)统计待检测的链接中“/”的个数以及链接域名的长度;若链接中“/”的个数为1,且链接域名的长度小于指定阈值,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤14);
14)计算该链接的短码中数字出现的概率,若概率超过设定阈值H1,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤15);
15)统计该短码中元音字母出现的概率,若概率低于阈值H2,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则,执行步骤16);
16)计算该短码的熵值,若熵值超过设定阈值H3,则判断该链接为短链接,对应邮件为可疑恶意邮件;否则为正常链接,执行步骤17);
17)判断待检测邮件是否有附件,若有附件,则根据云附件特征库与邮件正文内容进行匹配,若匹配成功,则判断该附件为云附件,执行步骤18);
18)根据设定的主流邮件系统名称列表,与邮件正文中云附件下载链接前后N个字符进行匹配,得到该云附件服务名称,并根据云附件服务名称得到对应的云附件服务下载链接域名;
19)截取待检测的云附件实际下载链接中的域名;判断云附件服务下载链接域名与云附件实际下载链接中的域名是否匹配;若不匹配,则判断该云附件实际下载下载链接为仿冒,对应邮件为可疑恶意邮件;否则为正常邮件。
3.如权利要求2所述的方法,其特征在于,采用公式计算短码的熵值H(x);其中,p(xi)表示短码x中第i个字符xi在短码x中出现的概率,n为短码x的字符总数。
4.如权利要求1所述的方法,其特征在于,所述链接内容为邮件正文中显式的链接对象,包括文本图片或URL;所述链接地址为链接内容所指向的真实的链接地址。
5.如权利要求1所述的方法,其特征在于,所述云附件特征库中的云附件特征包括:云附件、到期、已过期。
6.如权利要求1所述的方法,其特征在于,所述邮件元数据包括:发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题和正文内容;所述附件信息包括附件名称和附件文件。
技术研发人员:白波,于平,文瑞洁,刘澄澄,赵双,王菲飞,于海波,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。