本發明公開了一種基于郵件源數據發現針對性攻擊的方法，包括：解析捕獲的郵件并提取源數據；基于源數據收集基本信息；將所述收件人地址與敏感地址庫進行匹配，篩選出匹配成功的郵件；分析篩選出的郵件的收件人地址確定收件人所在國家；解析標題和正文內容所使用的語言，并判斷所述語言是否為收件人所在國家的第一語言或者常用第二語言，若是，則為可疑郵件，否則丟棄；掃描所述可疑郵件的附件數據，若檢出率大于預設閾值，并且不屬于常見病毒類型，則認定存在針對性攻擊。本發明所述技術方案可以有效發現郵件形式的針對性攻擊。

技術領域

本發明涉及信息安全技術領域，尤其涉及一種基于郵件源數據發現針對性攻擊的方法及系統。

背景技術

隨著互聯網技術的飛速發展，應用其技術的領域越來越廣泛，網絡攻擊事件也就頻頻出現，近年來出現了一種新型的網絡威脅，即針對性攻擊，此類攻擊會采用多種攻擊前導，如：魚叉式網絡釣魚、水坑攻擊，因此基于郵件的源數據分析來發現針對性攻擊是一個待探索研究的方向。

目前對針對性攻擊事件尚沒有較好的發現方法，通常是根據用戶上報或現場取證，進一步通過樣本分析一些特殊行為或目的，進而發現針對性攻擊事件。但這種方法存在一定局限性，因為目前有很多針對性攻擊事件同樣使用開源或常規的黑客工具，因此僅僅通過捕獲到樣本進行分析無法有效確認針對性攻擊。

發明內容

本發明為了解決以上技術問題，通過分析和匹配已捕獲的郵件源數據，從而有效識別針對性攻擊事件。

本發明采用如下方法來實現：一種基于郵件源數據發現針對性攻擊的方法，包括：

解析捕獲的郵件并提取源數據；

基于源數據收集基本信息，包括：發件人地址、收件人地址、標題、正文內容和附件數據；

將所述收件人地址與敏感地址庫進行匹配，篩選出匹配成功的郵件，所述敏感地址庫中存儲有敏感郵箱地址后綴信息；

分析篩選出的郵件的收件人地址確定收件人所在國家；

解析標題和正文內容所使用的語言，并判斷所述語言是否為收件人所在國家的第一語言或者常用第二語言，若是，則為可疑郵件，否則丟棄；

掃描所述可疑郵件的附件數據，若檢出率大于預設閾值，并且不屬于常見病毒類型，則認定存在針對性攻擊；

其中，所述預設閾值設置為低于常見病毒類型檢出率的數值。

進一步地，在將所述收件人地址與敏感地址庫進行匹配之前，還包括：將所述發件人地址與敏感類型庫進行匹配，篩選出匹配成功的郵件，所述敏感類型庫中存儲有敏感的郵箱類型。

進一步地，在認定存在針對性攻擊之前，還包括：過濾掉常見的釣魚郵件和/或垃圾郵件。

進一步地，在認定存在針對性攻擊之前，還包括：判斷所述標題和正文內容與收件人是否關聯，若是，則認定存在針對性攻擊，否則丟棄。

進一步地，在認定存在針對性攻擊之前，還包括：判斷所述附件數據是否存在文檔格式溢出，或者是否存在釋放文件行為，若是，則認定存在針對性攻擊，否則丟棄。

本發明可以采用如下系統來實現：一種基于郵件源數據發現針對性攻擊的系統，包括：

數據提取模塊，用于解析捕獲的郵件并提取源數據；

信息收集模塊，用于基于源數據收集基本信息，包括：發件人地址、收件人地址、標題、正文內容和附件數據；

收件人地址篩選模塊，用于將所述收件人地址與敏感地址庫進行匹配，篩選出匹配成功的郵件，所述敏感地址庫中存儲有敏感郵箱地址后綴信息；

收件人位置分析模塊，用于分析篩選出的郵件的收件人地址確定收件人所在國家；