本發(fā)明公開(kāi)了一種面向鏈接偽裝的魚(yú)叉攻擊郵件發(fā)現(xiàn)方法及裝置。本方法為：1)從待處理的郵件協(xié)議數(shù)據(jù)中獲取待檢測(cè)郵件的郵件元數(shù)據(jù)和附件信息；2)從所述待檢測(cè)郵件的正文中提取所有的鏈接地址和鏈接內(nèi)容；3)根據(jù)預(yù)設(shè)的檢測(cè)規(guī)則以及所配置的云附件特征庫(kù)對(duì)提取信息進(jìn)行檢測(cè)，判定對(duì)應(yīng)郵件是否為可疑惡意郵件；4)對(duì)判定為可疑惡意郵件的附件名稱(chēng)、郵件主題進(jìn)行語(yǔ)言識(shí)別和主題識(shí)別，判斷所述可疑惡意郵件是否具有定向性；若具有定向性，則判定對(duì)應(yīng)郵件為魚(yú)叉攻擊郵件。本發(fā)明不基于信任源的行為分析，也不依賴(lài)多維度通信特征的統(tǒng)計(jì)分析，而是根據(jù)原始網(wǎng)絡(luò)流量或者從原始網(wǎng)絡(luò)流量中還原出的郵件元數(shù)據(jù)及時(shí)發(fā)現(xiàn)魚(yú)叉攻擊郵件。

技術(shù)領(lǐng)域

本發(fā)明涉及一種面向鏈接偽裝的魚(yú)叉攻擊郵件檢測(cè)方法和裝置，屬于網(wǎng)絡(luò)技術(shù)及計(jì)算機(jī)信息安全領(lǐng)域。

背景技術(shù)

隨著系統(tǒng)防御能力和用戶(hù)安全意識(shí)的提高，釣魚(yú)攻擊者的攻擊方法也不斷推陳出新，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)成為一種新式的、有很強(qiáng)針對(duì)性的網(wǎng)絡(luò)釣魚(yú)攻擊方法。魚(yú)叉式釣魚(yú)攻擊一般通過(guò)電子郵件等電子通信方式進(jìn)行，針對(duì)特定個(gè)人、組織或企業(yè)。通常來(lái)說(shuō)，攻擊者會(huì)花時(shí)間了解攻擊目標(biāo)的姓名、郵箱地址、社交媒體等網(wǎng)絡(luò)信息，進(jìn)而假冒公司、組織甚至政府機(jī)構(gòu)等權(quán)威機(jī)構(gòu)的名義，發(fā)送虛假內(nèi)容、惡意文件或惡意鏈接，誘使受害者點(diǎn)擊或者登陸賬號(hào)密碼等。一旦受害者點(diǎn)擊鏈接或輸入賬號(hào)密碼，相關(guān)信息就會(huì)被竊取，黑客甚至?xí)铏C(jī)安裝木馬等惡意程序，持續(xù)破壞目標(biāo)計(jì)算機(jī)。

釣魚(yú)郵件鏈接方面的偽裝對(duì)用戶(hù)而言是難以察覺(jué)的，是區(qū)分釣魚(yú)郵件和合法郵件的重要特征。傳統(tǒng)的基于鏈接的釣魚(yú)郵件檢測(cè)的方法主要是使用鏈接黑名單，檢測(cè)時(shí)提取鏈接地址，查看是否在黑名單中。但黑名單的更新具有一定的延遲性，且不能有效應(yīng)對(duì)越來(lái)越隱蔽的魚(yú)叉攻擊。目前通過(guò)提取魚(yú)叉攻擊郵件特征的方法，可以對(duì)魚(yú)叉攻擊郵件進(jìn)行檢測(cè)，比如公開(kāi)號(hào)CN105072137A的中國(guó)專(zhuān)利公開(kāi)了一種魚(yú)叉式釣魚(yú)郵件的檢測(cè)方法，包括步驟：獲取網(wǎng)絡(luò)中郵件數(shù)據(jù)流量，并根據(jù)獲取到的郵件的編碼類(lèi)型還原郵件的內(nèi)容，以獲取當(dāng)前郵件信息；根據(jù)獲取到的所述當(dāng)前郵件信息中的發(fā)件人信息，判斷所述當(dāng)前郵件的發(fā)件人是否為收件人的常用信任聯(lián)系人；若判斷為是，則基于多個(gè)維度的通信特征將所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件進(jìn)行對(duì)比分析，從而判定所述當(dāng)前郵件是否為魚(yú)叉式釣魚(yú)郵件；若判斷為否，則在所述當(dāng)前郵件與知名權(quán)威網(wǎng)站的郵件的視覺(jué)相似度達(dá)到閾值時(shí)，提取當(dāng)前郵件中的IP地址、域名和鏈接中的至少一個(gè)進(jìn)行對(duì)比分析，從而判定所述當(dāng)前郵件是否為魚(yú)叉式釣魚(yú)郵件。

本發(fā)明結(jié)合社會(huì)工程學(xué)方面的研究，選擇更合適的魚(yú)叉攻擊郵件鏈接特征，利用這些特征進(jìn)行對(duì)比分析，應(yīng)對(duì)存在定向攻擊的潛在威脅。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)方案的不足，本發(fā)明提供一種面向鏈接偽裝的魚(yú)叉攻擊郵件發(fā)現(xiàn)方法，該方法不基于信任源的行為分析，也不依賴(lài)多維度通信特征(包括主題內(nèi)容、慣用語(yǔ)言符號(hào)、慣用通信時(shí)間、慣用發(fā)信模式、慣用接收人地址集合、慣用郵件結(jié)構(gòu)等)的統(tǒng)計(jì)分析，而是根據(jù)原始網(wǎng)絡(luò)流量或者從原始網(wǎng)絡(luò)流量中還原出的郵件元數(shù)據(jù)，先從郵件正文中提取得到鏈接地址和鏈接內(nèi)容，然后根據(jù)預(yù)設(shè)的檢測(cè)規(guī)則進(jìn)行檢測(cè)，并對(duì)檢測(cè)得到的可疑惡意郵件進(jìn)行定向性判定，從而及時(shí)發(fā)現(xiàn)魚(yú)叉攻擊郵件。

本發(fā)明的方法步驟包括：

Step1：設(shè)置云附件特征庫(kù)、云附件下載鏈接的域名庫(kù)和業(yè)務(wù)主題庫(kù)；

Step2：獲取用戶(hù)的郵件協(xié)議數(shù)據(jù)，包括SMTP、POP和IMAP協(xié)議數(shù)據(jù)，從協(xié)議數(shù)據(jù)中獲取待檢測(cè)郵件的元數(shù)據(jù)和附件信息；

Step3：通過(guò)HTML標(biāo)簽匹配、正則表達(dá)式匹配等方法，從待檢測(cè)郵件的正文中提取所有的鏈接地址和鏈接內(nèi)容；

Step4：根據(jù)預(yù)設(shè)的檢測(cè)規(guī)則以及所配置的云附件特征庫(kù)對(duì)提取的待檢測(cè)鏈接進(jìn)行檢測(cè)。若匹配，則判定為可疑惡意郵件，否則，為正常郵件。