[发明专利]一种面向链接伪装的鱼叉攻击邮件发现方法及装置

说明书

本发明公开了一种面向链接伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息；2)从所述待检测邮件的正文中提取所有的链接地址和链接内容；3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测，判定对应邮件是否为可疑恶意邮件；4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别，判断所述可疑恶意邮件是否具有定向性；若具有定向性，则判定对应邮件为鱼叉攻击邮件。本发明不基于信任源的行为分析，也不依赖多维度通信特征的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据及时发现鱼叉攻击邮件。

技术领域

本发明涉及一种面向链接伪装的鱼叉攻击邮件检测方法和装置，属于网络技术及计算机信息安全领域。

背景技术

随着系统防御能力和用户安全意识的提高，钓鱼攻击者的攻击方法也不断推陈出新，鱼叉式网络钓鱼成为一种新式的、有很强针对性的网络钓鱼攻击方法。鱼叉式钓鱼攻击一般通过电子邮件等电子通信方式进行，针对特定个人、组织或企业。通常来说，攻击者会花时间了解攻击目标的姓名、邮箱地址、社交媒体等网络信息，进而假冒公司、组织甚至政府机构等权威机构的名义，发送虚假内容、恶意文件或恶意链接，诱使受害者点击或者登陆账号密码等。一旦受害者点击链接或输入账号密码，相关信息就会被窃取，黑客甚至会借机安装木马等恶意程序，持续破坏目标计算机。

钓鱼邮件链接方面的伪装对用户而言是难以察觉的，是区分钓鱼邮件和合法邮件的重要特征。传统的基于链接的钓鱼邮件检测的方法主要是使用链接黑名单，检测时提取链接地址，查看是否在黑名单中。但黑名单的更新具有一定的延迟性，且不能有效应对越来越隐蔽的鱼叉攻击。目前通过提取鱼叉攻击邮件特征的方法，可以对鱼叉攻击邮件进行检测，比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法，包括步骤：获取网络中邮件数据流量，并根据获取到的邮件的编码类型还原邮件的内容，以获取当前邮件信息；根据获取到的所述当前邮件信息中的发件人信息，判断所述当前邮件的发件人是否为收件人的常用信任联系人；若判断为是，则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件；若判断为否，则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时，提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件。

本发明结合社会工程学方面的研究，选择更合适的鱼叉攻击邮件链接特征，利用这些特征进行对比分析，应对存在定向攻击的潜在威胁。

发明内容

为了克服现有技术方案的不足，本发明提供一种面向链接伪装的鱼叉攻击邮件发现方法，该方法不基于信任源的行为分析，也不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据，先从邮件正文中提取得到链接地址和链接内容，然后根据预设的检测规则进行检测，并对检测得到的可疑恶意邮件进行定向性判定，从而及时发现鱼叉攻击邮件。

本发明的方法步骤包括：

Step1：设置云附件特征库、云附件下载链接的域名库和业务主题库；

Step2：获取用户的邮件协议数据，包括SMTP、POP和IMAP协议数据，从协议数据中获取待检测邮件的元数据和附件信息；

Step3：通过HTML标签匹配、正则表达式匹配等方法，从待检测邮件的正文中提取所有的链接地址和链接内容；

Step4：根据预设的检测规则以及所配置的云附件特征库对提取的待检测链接进行检测。若匹配，则判定为可疑恶意邮件，否则，为正常邮件。