[發明專利]一種基于郵件源數據發現針對性攻擊的方法及系統有效
| 申請號: | 201510538511.3 | 申請日: | 2015-08-28 |
| 公開(公告)號: | CN105743876B | 公開(公告)日: | 2019-09-13 |
| 發明(設計)人: | 白淳升;李柏松 | 申請(專利權)人: | 哈爾濱安天科技股份有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 暫無信息 | 代理人: | 暫無信息 |
| 地址: | 150090 黑龍江省哈爾濱*** | 國省代碼: | 黑龍江;23 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 源數據 攻擊 收件人地址 語言 收件 解析 篩選 附件數據 基本信息 匹配成功 郵件形式 正文內容 地址庫 檢出率 發現 預設 捕獲 匹配 丟棄 掃描 敏感 分析 | ||
1.一種基于郵件源數據發現針對性攻擊的方法,其特征在于,包括:
解析捕獲的郵件并提取源數據;
基于源數據收集基本信息,包括:發件人地址、收件人地址、標題、正文內容和附件數據;
將所述收件人地址與敏感地址庫進行匹配,篩選出匹配成功的郵件,所述敏感地址庫中存儲有敏感郵箱地址后綴信息;
分析篩選出的郵件的收件人地址確定收件人所在國家;
解析標題和正文內容所使用的語言,并判斷所述語言是否為收件人所在國家的第一語言或者常用第二語言,若是,則為可疑郵件,否則丟棄;
掃描所述可疑郵件的附件數據,若檢出率大于預設閾值,并且不屬于常見病毒類型,則認定存在針對性攻擊;
其中,所述預設閾值設置為低于常見病毒類型檢出率的數值。
2.如權利要求1所述的方法,其特征在于,在將所述收件人地址與敏感地址庫進行匹配之前,還包括:將所述發件人地址與敏感類型庫進行匹配,篩選出匹配成功的郵件,所述敏感類型庫中存儲有敏感的郵箱類型。
3.如權利要求1所述的方法,其特征在于,在認定存在針對性攻擊之前,還包括:過濾掉常見的釣魚郵件和/或垃圾郵件。
4.如權利要求1所述的方法,其特征在于,在認定存在針對性攻擊之前,還包括:判斷所述標題和正文內容與收件人是否關聯,若是,則認定存在針對性攻擊,否則丟棄。
5.如權利要求1所述的方法,其特征在于,在認定存在針對性攻擊之前,還包括:判斷所述附件數據是否存在文檔格式溢出,或者是否存在釋放文件行為,若是,則認定存在針對性攻擊,否則丟棄。
6.一種基于郵件源數據發現針對性攻擊的系統,其特征在于,包括:
數據提取模塊,用于解析捕獲的郵件并提取源數據;
信息收集模塊,用于基于源數據收集基本信息,包括:發件人地址、收件人地址、標題、正文內容和附件數據;
收件人地址篩選模塊,用于將所述收件人地址與敏感地址庫進行匹配,篩選出匹配成功的郵件,所述敏感地址庫中存儲有敏感郵箱地址后綴信息;
收件人位置分析模塊,用于分析篩選出的郵件的收件人地址確定收件人所在國家;
收件人語言分析模塊,用于解析標題和正文內容所使用的語言,并判斷所述語言是否為收件人所在國家的第一語言或者常用第二語言,若是,則為可疑郵件,否則丟棄;
附件數據掃描模塊,用于掃描所述可疑郵件的附件數據,若檢出率大于預設閾值,并且不屬于常見病毒類型,則認定存在針對性攻擊;
其中,所述預設閾值設置為低于常見病毒類型檢出率的數值。
7.如權利要求6所述的系統,其特征在于,還包括:發件人地址篩選模塊,用于將所述發件人地址與敏感類型庫進行匹配,篩選出匹配成功的郵件,并發送至收件人地址篩選模塊,所述敏感類型庫中存儲有敏感的郵箱類型。
8.如權利要求6所述的系統,其特征在于,所述附件數據掃描模塊在認定存在針對性攻擊之前,還包括:過濾掉常見的釣魚郵件和/或垃圾郵件。
9.如權利要求6所述的系統,其特征在于,所述附件數據掃描模塊在認定存在針對性攻擊之前,還包括:判斷所述標題和正文內容與收件人是否關聯,若是,則認定存在針對性攻擊,否則丟棄。
10.如權利要求6所述的系統,其特征在于,所述附件數據掃描模塊在認定存在針對性攻擊之前,還包括:判斷所述附件數據是否存在文檔格式溢出,或者是否存在釋放文件行為,若是,則認定存在針對性攻擊,否則丟棄。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于哈爾濱安天科技股份有限公司,未經哈爾濱安天科技股份有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201510538511.3/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:照片刪除方法及照片刪除裝置
- 下一篇:一株產有機酸釀酒酵母菌的篩選與利用
