[发明专利]一种针对性攻击邮件的检测方法及系统

说明书

本发明提出一种针对性攻击邮件的检测方法及系统，本发明方法检测并解析邮件数据，获取源数据；提取邮件地址，判断提取的邮件地址是否为仿冒地址，如果是，则发出针对性攻击邮件报警，否则将所述邮件地址录入待判定地址库。通过对邮件地址进行分析，发现针对性构造的仿冒邮件，进而发现针对性攻击邮件，该方法不依赖于邮件内容进行判定。

技术领域

本发明涉及计算机网络安全技术领域，尤其涉及一种发现针对性邮件攻击的检测方法。

背景技术

随着互联网技术的飞速发展，应用其技术的领域越来越广泛，网络攻击事件也频频出现，近年来出现了一种新型的网络威胁，即APT攻击，此类攻击会采用多种攻击手段入侵目标主机，其中针对性攻击邮件是广泛使用的入侵手段之一。攻击者会通过社工或信息窃取的方式获取到目标的常用联系人信息，如邮件联系人地址，攻击者会为目标“量身定制”一个极难被识别的发件人邮件地址，仿冒的邮件内容，并以此邮件地址发起针对性攻击，这种攻击的对于普通用户来讲人工识别难度极高，很难被传统安全检测系统发现，给受害用户和单位造成巨大网络威胁。

目前对于恶意邮件检测有很多技术方法，但都是检测基于邮件内容、附件、元数据的检测，通过黑白名单、特征匹配、行为检测等方法识别邮件是否为恶意，但并不能确定该邮件是否具有针对性攻击性质，同时由于攻击者可能采用加密、免杀等技术手段，造成无法检测出高级攻击的恶意邮件。

发明内容

为解决上述问题，本发明提出了一种针对性攻击邮件的检测方法及系统，通过对邮件地址与信任地址进行相似性分析，发现针对性构造的仿冒邮件，进而发现针对性攻击邮件。

首先，本发明提出了一种针对性攻击邮件的检测方法，包括：

检测并解析邮件数据，获取源数据；

提取邮件地址，通过仿冒算法与可信地址库记录的邮件地址逐一对比，判断提取的邮件地址是否为仿冒地址，如果是，则发出针对性攻击邮件报警，否则将所述邮件地址录入待判定地址库；

所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑。

所述的方法中，提取邮件地址具体为，提取邮件服务器域名为非本地域名的邮件地址。

所述的方法中，所述仿冒算法根据预设规则分析发件人邮箱是否有仿冒嫌疑，具体为：

如果邮件服务器域名为第三方邮箱，则仅分析用户名部分是否为仿冒；如果邮件服务器域名为单位或企业邮箱，则仅分析域名部分是否为仿冒；

所述预设规则包括：插入字符、删除字符、位置互换、数字和字母替换，以及域名后缀替换。

所述的方法中，所述仿冒算法可采用LEVENSHTEIN编辑距离算法，计算出相似度，如果相似度高于预设值，则可判定所述邮件地址为仿冒地址。

所述的方法中，在判断提取的邮件地址是否为仿冒地址前，还包括：判断邮件地址是否可信，如果是，则将所述邮件地址录入可信地址库。

所述的方法中，所述判断邮件地址是否可信的判定条件为：邮件地址是否为发件人第一次主动发送，如果是，则为可信邮件；与待判定地址库对比分析是否为多次往来邮件，如果是，则为可信邮件；邮件地址是否为白名单或已存在可信地址库，如果是，则为可信邮件。

本发明还相应提出一种针对性攻击邮件的检测系统，包括：

数据获取模块，用于检测并解析邮件数据，获取源数据；

地址提取模块，用于提取邮件地址；

仿冒判断模块，用于通过仿冒算法与可信地址库记录的邮件地址逐一对比，判断提取的邮件地址是否为仿冒地址，如果是，则发出针对性攻击邮件报警，否则将所述邮件地址录入待判定地址库；