[发明专利]一种面向附件伪装的鱼叉攻击邮件发现方法及装置

权利要求书

1.一种面向附件伪装的鱼叉攻击邮件发现方法，其步骤包括：

1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；

2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；

3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；所述可疑附件文件的伪装模式检测方法为：31)检测所有筛选出的可疑附件文件，如果是可执行文件，则进行步骤32)；如果是快捷方式文件，则进行步骤33)，如果压缩文件则进行步骤34)；32)检测可疑附件文件的文件名：若该文件名含有的空格数大于等于设定阈值N，则判定该可疑附件文件为超长文件名伪装模式；若该文件名在其扩展名之前还包含其他设定常见办公文档类、图片类扩展名，则判定该可疑附件文件为双扩展名伪装模式；若该文件名中含有RLO控制字符，则判定该可疑附件文件为RLO文件名欺骗伪装模式；否则，判定为无伪装模式；33)检测可疑附件文件的文件大小，若小于或等于设定阈值M，则判断对应邮件为正常邮件；否则，判定为LNK文件伪装模式；34)对压缩文件进行解压缩处理，如果压缩文件为加密的压缩文件，则从邮件正文提取密码进行解压缩处理；然后检测解压后的文件数量，若文件数量大于设定数量，则判定对应邮件为正常邮件，否则检测每一文件的类型，如果是可执行文件，则进行步骤32)；如果是快捷方式文件，则进行步骤33)；

4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。

2.如权利要求1所述的方法，其特征在于，所述伪装模式包括LNK文件伪装、超长文件名伪装、双扩展名伪装或RLO文件名欺骗伪装。

3.如权利要求1所述的方法，其特征在于，所述邮件元数据包括：发件服务器IP、收件服务器IP、发件时间、收件时间、发件人、收件人、邮件主题、正文内容；所述附件信息包括附件名称、附件文件。

4.如权利要求1所述的方法，其特征在于，所述预设配置中的预设多个可疑附件文件的扩展名，包括：可执行文件扩展名、快捷方式文件扩展名和压缩包文件扩展名。

5.如权利要求1所述的方法，其特征在于，步骤4)中，对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别，以此判定该邮件是否具有定向性，并从预设的领域与威胁评分之间的对应关系中，确定所述附件名称、邮件主题的威胁评分；其中，所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度；然后根据所述可疑附件文件的攻击威胁程度值，附件名称、邮件主题的攻击定向程度值，综合计算得出邮件的最终攻击威胁评分。

6.如权利要求5所述的方法，其特征在于，判定该邮件是否具有定向性的方法为：对可疑附件文件的附件名称、对应邮件的邮件主题输入一训练好的文本分类器进行分类确定其所属领域，将其所属领域值与初始预设值进行匹配；若匹配，则判定该邮件具有定向性。