[發明專利]一種面向附件偽裝的魚叉攻擊郵件發現方法及裝置有效
| 申請號: | 201911365226.0 | 申請日: | 2019-12-26 |
| 公開(公告)號: | CN111092902B | 公開(公告)日: | 2020-12-25 |
| 發明(設計)人: | 王菲飛;趙雙;白波;于平;劉澄澄;廖純;于海波 | 申請(專利權)人: | 中國科學院信息工程研究所 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06;H04L12/58 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 司立彬 |
| 地址: | 100093 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 面向 附件 偽裝 魚叉 攻擊 郵件 發現 方法 裝置 | ||
1.一種面向附件偽裝的魚叉攻擊郵件發現方法,其步驟包括:
1)從待處理的網絡流量中提取并解析SMTP、POP和IMAP協議數據,獲取各郵件的郵件元數據和附件信息;
2)提取每一待檢測郵件附件文件的擴展名,將其與預設配置中的擴展名進行匹配,篩選出可疑附件文件;
3)檢測所述可疑附件文件的偽裝模式,根據預設的偽裝模式與威脅評分之間的對應關系確定所述可疑附件文件的威脅評分;其中,所述可疑附件文件的威脅評分用于表征所述偽裝模式的攻擊威脅程度;所述可疑附件文件的偽裝模式檢測方法為:31)檢測所有篩選出的可疑附件文件,如果是可執行文件,則進行步驟32);如果是快捷方式文件,則進行步驟33),如果壓縮文件則進行步驟34);32)檢測可疑附件文件的文件名:若該文件名含有的空格數大于等于設定閾值N,則判定該可疑附件文件為超長文件名偽裝模式;若該文件名在其擴展名之前還包含其他設定常見辦公文檔類、圖片類擴展名,則判定該可疑附件文件為雙擴展名偽裝模式;若該文件名中含有RLO控制字符,則判定該可疑附件文件為RLO文件名欺騙偽裝模式;否則,判定為無偽裝模式;33)檢測可疑附件文件的文件大小,若小于或等于設定閾值M,則判斷對應郵件為正常郵件;否則,判定為LNK文件偽裝模式;34)對壓縮文件進行解壓縮處理,如果壓縮文件為加密的壓縮文件,則從郵件正文提取密碼進行解壓縮處理;然后檢測解壓后的文件數量,若文件數量大于設定數量,則判定對應郵件為正常郵件,否則檢測每一文件的類型,如果是可執行文件,則進行步驟32);如果是快捷方式文件,則進行步驟33);
4)如果所述可疑附件文件的攻擊威脅評分超過設定閾值,則判定對應郵件為魚叉攻擊郵件。
2.如權利要求1所述的方法,其特征在于,所述偽裝模式包括LNK文件偽裝、超長文件名偽裝、雙擴展名偽裝或RLO文件名欺騙偽裝。
3.如權利要求1所述的方法,其特征在于,所述郵件元數據包括:發件服務器IP、收件服務器IP、發件時間、收件時間、發件人、收件人、郵件主題、正文內容;所述附件信息包括附件名稱、附件文件。
4.如權利要求1所述的方法,其特征在于,所述預設配置中的預設多個可疑附件文件的擴展名,包括:可執行文件擴展名、快捷方式文件擴展名和壓縮包文件擴展名。
5.如權利要求1所述的方法,其特征在于,步驟4)中,對所述可疑附件文件的附件名稱、對應郵件的郵件主題進行領域識別,以此判定該郵件是否具有定向性,并從預設的領域與威脅評分之間的對應關系中,確定所述附件名稱、郵件主題的威脅評分;其中,所述可疑附件文件的附件名稱、對應郵件的郵件主題的威脅評分用于表征郵件的攻擊定向程度;然后根據所述可疑附件文件的攻擊威脅程度值,附件名稱、郵件主題的攻擊定向程度值,綜合計算得出郵件的最終攻擊威脅評分。
6.如權利要求5所述的方法,其特征在于,判定該郵件是否具有定向性的方法為:對可疑附件文件的附件名稱、對應郵件的郵件主題輸入一訓練好的文本分類器進行分類確定其所屬領域,將其所屬領域值與初始預設值進行匹配;若匹配,則判定該郵件具有定向性。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院信息工程研究所,未經中國科學院信息工程研究所許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201911365226.0/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:一種殘差加權成像方法和裝置
- 下一篇:一種多孔高熵合金材料及其制備方法和應用
