[发明专利]一种面向附件伪装的鱼叉攻击邮件发现方法及装置

说明书

本发明公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。本发明能够及时发现可疑鱼叉攻击邮件。

技术领域

本发明属于网络技术及计算机信息安全领域，涉及一种面向附件伪装的鱼叉攻击邮件发现方法及装置。

背景技术

自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来，各国政府部门、组织、公司等陆续被爆遭遇APT攻击，一般APT攻击过程可以分为5个阶段：情报侦察、初始攻击、保持控制、横向渗透、信息窃取，而在初始攻击阶段，攻击者常常会利用社会工程、鱼叉式钓鱼攻击、水坑攻击等技术手段寻找突破口，而鱼叉邮件由于其成本低、发布方便和难以追踪等原因成为攻击者的首选方式。

鱼叉邮件攻击往往是将恶意载荷作为邮件附件，并加上一个极具欺骗性的名称，诱使目标人群下载，载荷类型主要是可执行文件、LNK文件等。目前对于邮件附件的检测主要是通过静态扫描、沙箱分析等方法，比如公开号CN105072137A的中国专利公开了一种鱼叉式钓鱼邮件的检测方法，包括步骤：获取网络中邮件数据流量，并根据获取到的邮件的编码类型还原邮件的内容，以获取当前邮件信息；根据获取到的所述当前邮件信息中的发件人信息，判断所述当前邮件的发件人是否为收件人的常用信任联系人；若判断为是，则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件；若判断为否，则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时，提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析，从而判定所述当前邮件是否为鱼叉式钓鱼邮件。

目前传统的邮件系统或邮件客户端会对附件中的.exe等可执行文件进行过滤，但由于在APT攻击中，攻击者往往对附件文件进行压缩，以压缩包形式发送，并采用加密、免杀等技术手段对文件本身进行特殊处理，使其具有免杀、反沙箱等高对抗功能，可以绕过绝大部分安全软件的检测。

发明内容

为了克服现有技术方案的不足，本发明提供一种面向附件伪装的鱼叉攻击邮件发现方法及装置，该方法不基于信任源的行为分析，也不依赖多维度通信特征(包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构等)的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据和邮件附件，直接对邮件附件的伪装模式、邮件主题定向性等信息进行综合分析，进而及时发现可疑鱼叉攻击邮件。

本发明解决其技术问题所采用的技术方案是：一种面向附件伪装的鱼叉攻击邮件发现方法及装置，包括如下步骤：

步骤1：从待处理的原始流量中提取和解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；

步骤2：提取每一待检测邮件附件文件的扩展名，与预设配置中的扩展名进行匹配，筛选出可疑附件文件；

步骤3：对筛选出的可疑附件文件进行检测得到其伪装模式，从预设的伪装模式与威胁评分之间的对应关系中，确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；

步骤4：作为上述步骤的优化，对所述可疑附件文件的附件名称、对应邮件的邮件主题进行领域识别，以此判定该邮件是否具有定向性，并从预设的领域与威胁评分之间的对应关系中，确定所述附件名称、邮件主题的威胁评分；其中，所述可疑附件文件的附件名称、对应邮件的邮件主题的威胁评分用于表征邮件的攻击定向程度；