本发明专利技术公开了一种基于行为的恶意邮件发送节点检测方法。该检测方法是利用决策树理论对蠕虫邮件和一般垃圾邮件进行分类判断,由此确定出恶意邮件的发送源头。本方法不仅可以应用于局域网接入点,也可应用于广域网,因此能够在大规模的网络条件下以较小的资源消耗来检测、发现恶意垃圾邮件的发送源头,所以检测率和召回率好。另外,与传统的垃圾邮件蠕虫检测方法相比,本方法的检测效率高。而与传统的基于特征串匹配的检测方法相比,本方法的系统维护量小。
【技术实现步骤摘要】
本专利技术属于计算机
,特别是涉及一种。
技术介绍
第一代邮件蠕虫是在上世纪90年代末到本世纪初,使用邮件客户端而不是SMTP 引擎进行传播的病毒,典型邮件蠕虫有Mellisa和Loveletter。这一代的邮件蠕虫不能扫描硬盘,但可以将邮件客户端地址簿中的邮件地址作为传播的接收人,而且邮件蠕虫运行前提是邮件附件被点击打开。因此,所有的邮件蠕虫都来自被感染计算机中的经过确认的邮件帐号。由于没有地址簿造假功能,通常很容易就能追踪到合法地址的邮件发送人。这代邮件蠕虫使用VB脚本和office宏来执行恶意代码,极少数则使用可执行的二进制代码, 附件的扩展名一般为.vbs,. doc, . xls或.exe.第二代邮件蠕虫出现于2002年,比第一代病毒更为危险,其加强了自动化功能且携带致命的破坏模块,传播的速度更快、途经更多,而且由于传播途径的多样化愈加难以截获,所以对网络带宽、用户的系统和数据会造成更大危害。第二代邮件蠕虫如Bagle、Mydoom、Netsky和Mytob等已经可以扫描硬盘(包括硬盘中的文件和文档)来搜索邮件地址,并利用自身的SMTP引擎来传播自身的副本。如该邮件蠕虫通过regedit获得wab文件路径,然后分析已知格式的wab文件,读取其中的地址。 也可以遍历互联网临时目录或遍历硬盘,从扩展名为*.ht,*.htm,html, txt, dbx, *. eml等文件中寻找地址。方法和垃圾邮件搜索html页面类似,都是寻找mailto和@作为合法email地址的标志。但是,搜索到的邮件地址有可能是无效的。由于邮件蠕虫利用自带的SMTP引擎发送邮件时,首先它会使用DNS服务器执行MX查询,为每个收件地址找到合适的邮件服务器。如果返回大量的错误信息,或者因为邮件用户名不正确,造成大量SMTP 连接失败的信息,都可以作为判定是否是恶意邮件发送节点的依据。第二代邮件蠕虫变化多端,以不同的变种出现,包括针对邮件和网络共享的多样化传播源,允许在P2P共享文件夹中自我复制,具有文件传染功能。所以,甚至Windows程序都能感染并运行这些邮件蠕虫。邮件附件可以进行压缩、加密或者打包成可执行文件,并具备终止安全软件运行的功能。这些邮件蠕虫还可以在代码中集成或从恶意网络服务器上下载黑客后门组件,可执行DOS攻击,有时也会利用软件漏洞自动执行,由此成为具有蠕虫、病毒和木马等特性的复合型蠕虫。目前,对于垃圾邮件蠕虫的检测主要有两种方法第一种方法是通过对邮件体、附件的还原,而后通过传统的特征串匹配方式进行检测。虽然此方法具有较好的准确性,但缺点是需要不断维护更新特征库。此外,由于需要进行文件还原,因此对硬件的处理能力要求较高,所以在大规模网络下实施比较困难。第二种方法是通过对网络流量协议进行还原,以分析数据包中的特征串,并进行特征检测。由于此方法仅需对协议数据包进行还原,而不用进行文件拼接,因此对资源的消耗小于第一种,但仍然需要不断维护特征库,因此维护成本仍很高。
技术实现思路
为了解决上述问题,本专利技术的目的在于提供一种能够在大规模的网络条件下以较小的资源消耗,检测、发现恶意垃圾邮件的发送源头,以取得较好检测率和召回率的。为了达到上述目的,本专利技术提供的包括按顺序进行的下列步骤(1)判断邮件地址所包含的域名是否真实的Sl阶段如域名存在,则判定为正常邮件,设定SDomain_Exist = 1,然后进入S2阶段;反之,设定SDomain_Exist = 0,然后跳转至S6阶段;(2)判断邮件源IP与源域是否相匹配的S2阶段如果匹配,设定SIP_Domain = 1,然后跳转至S7阶段,即判定为正常邮件;反之,设定SIP_Domain = 0,然后进入S3阶段;(3)判断邮件发送/接收者是否使用代称的S3阶段当邮件使用代称时,设定 Named = 1,然后进入S4阶段;否则设定Named = 0,然后跳转至Sll阶段,即判定为蠕虫感染;(4)判断邮件目的IP与源域是否相匹配的S4阶段如果得到匹配的结果,则设定 DIP_FromDomain = 1 ;反之,设定DIP_FromDomain = 0,然后跳转至SlO阶段,即判定为垃圾邮件;(5)判断邮件源域与目的IP地址数量是否相符的S5阶段如果单位时间内源域的数量X5-IP地址数量彡0,则设定Equal_DIP_Fr0mD0main = 1,然后进入S8阶段,即判定为正常节点;反之,如果单位时间内源域的数量X5-IP地址数量<0,则设定EqUal_DIP_ FromDomain = 0,然后跳转至S9阶段,即判定为异常节点;(6)判断邮件发送/接收者是否使用代称的S6阶段当邮件使用代称时,设定 Named = 1,然后进入S12阶段,即判定为垃圾邮件;否则设定Named = 0,然后跳转至S13阶段,即判定为恶意邮件蠕虫。在S1-S6阶段中,如果判断过程需要查询DNS服务器,采取递进查询法、反向查询法或查表法进行辅助查询。本专利技术提供的是利用决策树理论对蠕虫邮件和一般垃圾邮件进行分类判断,由此确定出恶意邮件的发送源。本方法不仅可以应用于局域网接入点,也可应用于广域网,因此能够在大规模的网络条件下以较小的资源消耗来检测、发现恶意垃圾邮件的发送源头,所以检测率和召回率好。另外,与传统的垃圾邮件蠕虫检测方法相比,本方法的检测效率高。而与传统的基于特征串匹配的检测方法相比,本方法的系统维护量小。附图说明图1为截获的恶意邮件发送行为特征示意图。图2为节点分类示意图。图3为邮件分类示意图。图4为本专利技术提供的流程图。 具体实施例方式本专利技术人根据对网络流量的还原分析,在会话层和应用层截获邮件发送行为特征 (如图1所示),利用C4. 5算法进行了决策树的构建。并且通过对获取的邮件进行详细研究,发现这些邮件中字段之间确实存在着很多内在的联系。特提取出以下特征l、SIP_Domain (布尔型)在正常情况下,邮件的源IP地址属于源域的邮件交换服务器。但发信人的邮件地址和域名都可以被伪造。因此,此属性可以作为重要的判断标准。如果电子邮件的源IP地址和源域相匹配,则该邮件应为合法邮件服务器发出的,并很可能是正常邮件,否则为异常邮件。因此,如果匹配,则该属性被设定为1 ;否则设为0。2、SDomain_Exist (布尔型)伪造的电子邮件地址可能包含伪造的域名。可以通过确定这些域名是否真实存在来发现异常邮件行为。如域名存在,则判定为正常邮件,该属性被设定为1 ;反之,设定为0。3、Named (布尔型)通过分析发现,正常邮件的邮件发送者或接受者使用代称(如,“John” <JohnO sina.com>),而蠕虫邮件较少使用代称。因此当邮件使用代称时,设定该属性为1 ;否则为 O04、DIP_FromDomain (布尔型)该属性代表邮件的目的IP地址与源域是否匹配。如果匹配,则设定该属性的值为 1,且有两种情况1)本专利技术使用的数据包含从客户端发送到其所使用的邮件服务器的数据(MUA发送到本域MTA的数据),而对于这部分数据来说,正常邮件的目的IP地址(本域MTA的IP 地址)与源域应该相匹配。2)有些垃圾邮件发送源可能会伪造源域,使邮件的发信人和收信人在同一域内, 本文档来自技高网...
【技术保护点】
1.一种基于行为的恶意邮件发送节点检测方法,其特征在于:所述的检测方法包括按顺序进行的下列步骤:(1)判断邮件地址所包含的域名是否真实的S1阶段:如域名存在,则判定为正常邮件,设定SDomain_Exist=1,然后进入S2阶段;反之,设定SDomain_Exist=0,然后跳转至S6阶段;(2)判断邮件源IP与源域是否相匹配的S2阶段:如果匹配,设定SIP_Domain=1,然后跳转至S7阶段,即判定为正常邮件;反之,设定SIP_Domain=0,然后进入S3阶段;(3)判断邮件发送/接收者是否使用代称的S3阶段:当邮件使用代称时,设定Named=1,然后进入S4阶段;否则设定Named=0,然后跳转至S11阶段,即判定为蠕虫感染;(4)判断邮件目的IP与源域是否相匹配的S4阶段:如果得到匹配的结果,则设定DIP_FromDomain=1;反之,设定DIP_FromDomain=0,然后跳转至S10阶段,即判定为垃圾邮件;(5)判断邮件源域与目的IP地址数量是否相符的S5阶段:如果单位时间内源域的数量×5-IP地址数量≥0,则设定Equal_DIP_FromDomain=1,然后进入S8阶段,即判定为正常节点;反之,如果单位时间内源域的数量×5-IP地址数量<0,则设定Equal_DIP_FromDomain=0,然后跳转至S9阶段,即判定为异常节点;(6)判断邮件发送/接收者是否使用代称的S6阶段:当邮件使用代称时,设定Named=1,然后进入S12阶段,即判定为垃圾邮件;否则设定Named=0,然后跳转至S13阶段,即判定为恶意邮件蠕虫。...
【技术特征摘要】
1.一种基于行为的恶意邮件发送节点检测方法,其特征在于所述的检测方法包括按顺序进行的下列步骤(1)判断邮件地址所包含的域名是否真实的Sl阶段如域名存在,则判定为正常邮件, 设定SDomain_Exist = 1,然后进入S2阶段;反之,设定SDomain_Exist = 0,然后跳转至S6 阶段;(2)判断邮件源IP与源域是否相匹配的S2阶段如果匹配,设定SIP_Domain= 1,然后跳转至S7阶段,即判定为正常邮件;反之,设定SIP_Domain = 0,然后进入S3阶段;(3)判断邮件发送/接收者是否使用代称的S3阶段当邮件使用代称时,设定Named= 1,然后进入S4阶段;否则设定Named = 0,然后跳转至Sll阶段,即判定为蠕虫感染;(4)判断邮件目的IP与源域是否相匹配的S4阶段如果得到匹配的结果,则设定DIP_ FromDomain = 1 ;反之,设定DIP_FromDo...
【专利技术属性】
技术研发人员:张健,杜振华,张津弟,刘威,陈建民,张鑫,
申请(专利权)人:国家计算机病毒应急处理中心,
类型:发明
国别省市:12
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。