本發明公開了一種面向附件偽裝的魚叉攻擊郵件發現方法及裝置。本方法為：1)從待處理的網絡流量中提取并解析SMTP、POP和IMAP協議數據，獲取各郵件的郵件元數據和附件信息；2)提取每一待檢測郵件附件文件的擴展名，將其與預設配置中的擴展名進行匹配，篩選出可疑附件文件；3)檢測所述可疑附件文件的偽裝模式，根據預設的偽裝模式與威脅評分之間的對應關系確定所述可疑附件文件的威脅評分；其中，所述可疑附件文件的威脅評分用于表征所述偽裝模式的攻擊威脅程度；4)如果所述可疑附件文件的攻擊威脅評分超過設定閾值，則判定對應郵件為魚叉攻擊郵件。本發明能夠及時發現可疑魚叉攻擊郵件。

技術領域

本發明屬于網絡技術及計算機信息安全領域，涉及一種面向附件偽裝的魚叉攻擊郵件發現方法及裝置。

背景技術

自2010年伊朗核設施遭遇“震網”病毒攻擊的報道中首次引入APT概念以來，各國政府部門、組織、公司等陸續被爆遭遇APT攻擊，一般APT攻擊過程可以分為5個階段：情報偵察、初始攻擊、保持控制、橫向滲透、信息竊取，而在初始攻擊階段，攻擊者常常會利用社會工程、魚叉式釣魚攻擊、水坑攻擊等技術手段尋找突破口，而魚叉郵件由于其成本低、發布方便和難以追蹤等原因成為攻擊者的首選方式。

魚叉郵件攻擊往往是將惡意載荷作為郵件附件，并加上一個極具欺騙性的名稱，誘使目標人群下載，載荷類型主要是可執行文件、LNK文件等。目前對于郵件附件的檢測主要是通過靜態掃描、沙箱分析等方法，比如公開號CN105072137A的中國專利公開了一種魚叉式釣魚郵件的檢測方法，包括步驟：獲取網絡中郵件數據流量，并根據獲取到的郵件的編碼類型還原郵件的內容，以獲取當前郵件信息；根據獲取到的所述當前郵件信息中的發件人信息，判斷所述當前郵件的發件人是否為收件人的常用信任聯系人；若判斷為是，則基于多個維度的通信特征將所述當前郵件與該發件人發送給收件人的歷史通信郵件進行對比分析，從而判定所述當前郵件是否為魚叉式釣魚郵件；若判斷為否，則在所述當前郵件與知名權威網站的郵件的視覺相似度達到閾值時，提取當前郵件中的IP地址、域名和鏈接中的至少一個進行對比分析，從而判定所述當前郵件是否為魚叉式釣魚郵件。

目前傳統的郵件系統或郵件客戶端會對附件中的.exe等可執行文件進行過濾，但由于在APT攻擊中，攻擊者往往對附件文件進行壓縮，以壓縮包形式發送，并采用加密、免殺等技術手段對文件本身進行特殊處理，使其具有免殺、反沙箱等高對抗功能，可以繞過絕大部分安全軟件的檢測。

發明內容

為了克服現有技術方案的不足，本發明提供一種面向附件偽裝的魚叉攻擊郵件發現方法及裝置，該方法不基于信任源的行為分析，也不依賴多維度通信特征(包括主題內容、慣用語言符號、慣用通信時間、慣用發信模式、慣用接收人地址集合、慣用郵件結構等)的統計分析，而是根據原始網絡流量或者從原始網絡流量中還原出的郵件元數據和郵件附件，直接對郵件附件的偽裝模式、郵件主題定向性等信息進行綜合分析，進而及時發現可疑魚叉攻擊郵件。

本發明解決其技術問題所采用的技術方案是：一種面向附件偽裝的魚叉攻擊郵件發現方法及裝置，包括如下步驟：

步驟1：從待處理的原始流量中提取和解析SMTP、POP和IMAP協議數據，獲取各郵件的郵件元數據和附件信息；

步驟2：提取每一待檢測郵件附件文件的擴展名，與預設配置中的擴展名進行匹配，篩選出可疑附件文件；

步驟3：對篩選出的可疑附件文件進行檢測得到其偽裝模式，從預設的偽裝模式與威脅評分之間的對應關系中，確定所述可疑附件文件的威脅評分；其中，所述可疑附件文件的威脅評分用于表征所述偽裝模式的攻擊威脅程度；

步驟4：作為上述步驟的優化，對所述可疑附件文件的附件名稱、對應郵件的郵件主題進行領域識別，以此判定該郵件是否具有定向性，并從預設的領域與威脅評分之間的對應關系中，確定所述附件名稱、郵件主題的威脅評分；其中，所述可疑附件文件的附件名稱、對應郵件的郵件主題的威脅評分用于表征郵件的攻擊定向程度；