本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及一種基于釣魚郵件溯源APT攻擊事件的方法及系統(tǒng)。

背景技術(shù)：

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為人們?nèi)粘Ｉ钪胁豢苫蛉钡牟糠?。而由于操作系統(tǒng)及軟件應(yīng)用等層出不窮的漏洞，導(dǎo)致互聯(lián)網(wǎng)的安全問題越來(lái)越嚴(yán)重。

目前電子郵件已經(jīng)成為人們?nèi)粘９ぷ鹘涣鞯闹匾ぞ撸鴮?duì)于APT攻擊來(lái)說，通過社會(huì)工程學(xué)發(fā)起釣魚郵件的攻擊也為最常用的攻擊手段，攻擊者通過對(duì)攻擊目標(biāo)搜集大量的信息，并盜取目標(biāo)可信的或仿冒可信的方式，進(jìn)行對(duì)目標(biāo)發(fā)起攻擊，從而使用戶遭受攻擊。

而對(duì)于APT攻擊來(lái)說，主要包括幾個(gè)階段，如定向情報(bào)搜集、建立據(jù)點(diǎn)、遠(yuǎn)程控制、橫向滲透、數(shù)據(jù)搜集回傳等，其中依托于釣魚郵件發(fā)起攻擊所占的比例較大，通過釣魚郵件對(duì)目標(biāo)進(jìn)行信息搜集并發(fā)起攻擊建立據(jù)點(diǎn)，這樣成功的話，攻擊者就可以進(jìn)行后續(xù)的潛伏或搜集敏感數(shù)據(jù)，因此釣魚郵件的處理是非常重要的，而對(duì)于釣魚郵件常?？赡軙?huì)被忽略或沒有進(jìn)一步溯源分析，導(dǎo)致無(wú)法發(fā)現(xiàn)后續(xù)的攻擊行為。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述技術(shù)問題，本發(fā)明所述的技術(shù)方案通過分析已知釣魚郵件并生成攻擊溯源庫(kù)，并將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析進(jìn)而及時(shí)發(fā)現(xiàn)APT攻擊事件。

本發(fā)明采用如下方法來(lái)實(shí)現(xiàn)：一種基于釣魚郵件溯源APT攻擊事件的方法，包括：

解析已知釣魚郵件，獲取郵件元數(shù)據(jù)、正文信息和附件信息；

分析郵件元數(shù)據(jù)、正文信息和附件信息，并生成攻擊溯源庫(kù)；

將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，若滿足預(yù)設(shè)條件則進(jìn)行深度檢測(cè)；

其中，所述郵件元數(shù)據(jù)包括：發(fā)件服務(wù)器IP、發(fā)件時(shí)間、發(fā)件人、收件人、主題；所述正文信息包括正文內(nèi)容和正文內(nèi)容中的URL；所述附件信息包括附件文件及附件文件中的URL。

進(jìn)一步地，所述分析郵件元數(shù)據(jù)、正文信息和附件信息，并生成攻擊溯源庫(kù)，包括：

分析郵件元數(shù)據(jù)的發(fā)件人，獲取發(fā)件人郵箱地址和發(fā)件郵箱域并記入攻擊溯源庫(kù)；

分析郵件元數(shù)據(jù)的收件人，獲取收件郵箱域并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞及出現(xiàn)頻率并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件中的URL，獲取域名注冊(cè)人相關(guān)信息并記入攻擊溯源庫(kù)；

分析附件文件，獲取附件文件的版本信息并記入攻擊溯源庫(kù)。

更進(jìn)一步地，所述獲取域名注冊(cè)人相關(guān)信息，包括：域名注冊(cè)人、注冊(cè)郵箱、所述域名注冊(cè)人注冊(cè)的其他域名信息。

上述方法中，所述將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，若滿足預(yù)設(shè)條件則進(jìn)行深度檢測(cè)，包括：

將未知郵件的發(fā)件人與攻擊溯源庫(kù)中發(fā)件人郵箱地址和發(fā)件郵箱域?qū)Ρ?，若匹配度超過預(yù)設(shè)值，則進(jìn)行深度檢測(cè)；

分析未知郵件的收件人域，獲得收件人域所涉及的行業(yè)關(guān)鍵詞；

分析未知郵件的正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞并與所述行業(yè)關(guān)鍵詞對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

將未知郵件涉及的關(guān)鍵詞與攻擊溯源庫(kù)中的關(guān)鍵詞及出現(xiàn)頻率對(duì)比，若出現(xiàn)頻率相當(dāng)則進(jìn)行深度檢測(cè)；

將未知郵件的正文內(nèi)容和附件文件中的URL與攻擊溯源庫(kù)中的域名注冊(cè)人相關(guān)信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

獲取未知郵件的附件文件的版本信息并與攻擊溯源庫(kù)中的版本信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)。

其中，所述進(jìn)行深度檢測(cè)，包括：

檢測(cè)未知郵件的附件文件是否存在惡意性，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件；

動(dòng)態(tài)分析未知郵件是否存在惡意行為，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件。

本發(fā)明可以采用如下系統(tǒng)來(lái)實(shí)現(xiàn)：一種基于釣魚郵件溯源APT攻擊事件的系統(tǒng)，包括：

釣魚郵件解析模塊，用于解析已知釣魚郵件，獲取郵件元數(shù)據(jù)、正文信息和附件信息；

攻擊溯源庫(kù)生成模塊，用于分析郵件元數(shù)據(jù)、正文信息和附件信息，并生成攻擊溯源庫(kù)；

郵件關(guān)聯(lián)分析模塊，用于將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，若滿足預(yù)設(shè)條件則進(jìn)行深度檢測(cè)；

其中，所述郵件元數(shù)據(jù)包括：發(fā)件服務(wù)器IP、發(fā)件時(shí)間、發(fā)件人、收件人、主題；所述正文信息包括正文內(nèi)容和正文內(nèi)容中的URL；所述附件信息包括附件文件及附件文件中的URL。

進(jìn)一步地，所述攻擊溯源庫(kù)生成模塊，具體用于：

分析郵件元數(shù)據(jù)的發(fā)件人，獲取發(fā)件人郵箱地址和發(fā)件郵箱域并記入攻擊溯源庫(kù)；

分析郵件元數(shù)據(jù)的收件人，獲取收件郵箱域并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞及出現(xiàn)頻率并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件中的URL，獲取域名注冊(cè)人相關(guān)信息并記入攻擊溯源庫(kù)；

分析附件文件，獲取附件文件的版本信息并記入攻擊溯源庫(kù)。

更進(jìn)一步地，所述獲取域名注冊(cè)人相關(guān)信息，包括：域名注冊(cè)人、注冊(cè)郵箱、所述域名注冊(cè)人注冊(cè)的其他域名信息。

上述系統(tǒng)中，所述郵件關(guān)聯(lián)分析模塊，具體用于：

將未知郵件的發(fā)件人與攻擊溯源庫(kù)中發(fā)件人郵箱地址和發(fā)件郵箱域?qū)Ρ?，若匹配度超過預(yù)設(shè)值，則進(jìn)行深度檢測(cè)；

分析未知郵件的收件人域，獲得收件人域所涉及的行業(yè)關(guān)鍵詞；

分析未知郵件的正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞并與所述行業(yè)關(guān)鍵詞對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

將未知郵件涉及的關(guān)鍵詞與攻擊溯源庫(kù)中的關(guān)鍵詞及出現(xiàn)頻率對(duì)比，若出現(xiàn)頻率相當(dāng)則進(jìn)行深度檢測(cè)；

將未知郵件的正文內(nèi)容和附件文件中的URL與攻擊溯源庫(kù)中的域名注冊(cè)人相關(guān)信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

獲取未知郵件的附件文件的版本信息并與攻擊溯源庫(kù)中的版本信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)。

其中，所述進(jìn)行深度檢測(cè)，包括：

檢測(cè)未知郵件的附件文件是否存在惡意性，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件；

動(dòng)態(tài)分析未知郵件是否存在惡意行為，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件。

綜上，本發(fā)明給出一種基于釣魚郵件溯源APT攻擊事件的方法及系統(tǒng)，通過對(duì)釣魚郵件進(jìn)行分析溯源，從而發(fā)現(xiàn)與該釣魚郵件有關(guān)聯(lián)的攻擊行為，來(lái)發(fā)現(xiàn)APT攻擊事件。首先對(duì)釣魚郵件進(jìn)行解析，獲得釣魚郵件的郵件元數(shù)據(jù)、正文信息和附件信息，并對(duì)郵件元數(shù)據(jù)進(jìn)行拆分建立郵件元數(shù)據(jù)庫(kù)；對(duì)郵件的正文內(nèi)容和附件文件通過分詞器對(duì)其進(jìn)行分詞處理，建立分詞庫(kù)；提取附件文件的版本信息，并建立版本信息庫(kù)。結(jié)合所述郵件元數(shù)據(jù)庫(kù)、分詞庫(kù)和版本信息庫(kù)生成攻擊溯源庫(kù)，進(jìn)而確定已知釣魚郵件的攻擊者信息，并與其他未知郵件進(jìn)行相似度關(guān)聯(lián)分析，從中發(fā)現(xiàn)與之攻擊者信息相關(guān)的郵件數(shù)據(jù)，并且借助多引擎檢測(cè)或行為分析等方式自動(dòng)化判定郵件附件的惡意行為，如果發(fā)現(xiàn)存在惡意代碼，并且為漏洞、竊密木馬或遠(yuǎn)控木馬等與提權(quán)和竊密相關(guān)的惡意代碼，則可以判定與之相關(guān)的未知郵件與該釣魚郵件屬于同一個(gè)APT攻擊事件。

有益效果為：本發(fā)明所述技術(shù)方案能夠利用已知釣魚郵件及時(shí)發(fā)現(xiàn)和定位APT攻擊事件，進(jìn)而降低可能帶來(lái)的損失。

附圖說明

為了更清楚地說明本發(fā)明的技術(shù)方案，下面將對(duì)實(shí)施例中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明提供的一種基于釣魚郵件溯源APT攻擊事件的方法實(shí)施例流程圖；

圖2為本發(fā)明提供的一種基于釣魚郵件溯源APT攻擊事件的系統(tǒng)實(shí)施例結(jié)構(gòu)圖。

具體實(shí)施方式

本發(fā)明給出了一種基于釣魚郵件溯源APT攻擊事件的方法及系統(tǒng)實(shí)施例，為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明：

本發(fā)明首先提供了一種基于釣魚郵件溯源APT攻擊事件的方法實(shí)施例，如圖1所示，包括：

S101：解析已知釣魚郵件，獲取郵件元數(shù)據(jù)、正文信息和附件信息；由于針對(duì)釣魚郵件本身的檢測(cè)方法已經(jīng)很成熟并且不是本發(fā)明的重點(diǎn)，在此不做贅述。

其中，所述郵件元數(shù)據(jù)包括：發(fā)件服務(wù)器IP、發(fā)件時(shí)間、發(fā)件人、收件人、主題；所述正文信息包括正文內(nèi)容和正文內(nèi)容中的URL；所述附件信息包括附件文件及附件文件中的URL。

S102：分析郵件元數(shù)據(jù)、正文信息和附件信息，并生成攻擊溯源庫(kù)；目的在于統(tǒng)計(jì)釣魚郵件的攻擊者相關(guān)信息。

具體地，根據(jù)需要選擇下述一種或者兩種以上操作的組合：

分析郵件元數(shù)據(jù)的發(fā)件人，獲取發(fā)件人郵箱地址和發(fā)件郵箱域并記入攻擊溯源庫(kù)；其中，所述發(fā)件郵箱域?yàn)榘l(fā)件人郵箱地址中@后面的部分，例如：@qq.com；

分析郵件元數(shù)據(jù)的收件人，獲取收件郵箱域并記入攻擊溯源庫(kù)；用于統(tǒng)計(jì)攻擊者針對(duì)的目標(biāo)范圍；

分析正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞及出現(xiàn)頻率并記入攻擊溯源庫(kù)；其中，所述分詞處理屬于機(jī)器學(xué)習(xí)中的分詞技術(shù)，即對(duì)目標(biāo)內(nèi)容按照單詞拆分，如結(jié)巴分詞等；

分析正文內(nèi)容和附件文件中的URL，獲取域名注冊(cè)人相關(guān)信息并記入攻擊溯源庫(kù)；其中，在所述獲取域名注冊(cè)人相關(guān)信息之前還包括：對(duì)正文內(nèi)容和附件文件中URL進(jìn)行白名單過濾；所述獲取域名注冊(cè)人相關(guān)信息，包括：域名注冊(cè)人、注冊(cè)郵箱、以及通過whois反向查詢獲得該注冊(cè)人或者注冊(cè)郵箱注冊(cè)的的其他域名信息。

分析附件文件，獲取附件文件的版本信息并記入攻擊溯源庫(kù)。所述版本信息包括：創(chuàng)建時(shí)間、修改時(shí)間、修改人等等。目的在于可以從中提取版本信息中的開發(fā)工具、開發(fā)者名稱、第一次編譯時(shí)間（創(chuàng)建文檔的時(shí)間）、最后一次修改時(shí)間（可以用來(lái)發(fā)現(xiàn)其工作時(shí)區(qū)）等。

S103：將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，若滿足預(yù)設(shè)條件則進(jìn)行深度檢測(cè)；

具體地，根據(jù)需要選擇下述一種或者兩種以上操作的組合：

將未知郵件的發(fā)件人與攻擊溯源庫(kù)中發(fā)件人郵箱地址和發(fā)件郵箱域?qū)Ρ龋羝ヅ涠瘸^預(yù)設(shè)值，則進(jìn)行深度檢測(cè)；

例如：相似發(fā)件人地址：xyz-0006@xxx.com與xyz-0007@xxx.com相似；

相似發(fā)件人地址：0049002459@yyy.com與0049003451@yyy.com相似；

分析未知郵件的收件人域，獲得收件人域所涉及的行業(yè)關(guān)鍵詞；繼續(xù)分析未知郵件的正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞并與所述行業(yè)關(guān)鍵詞對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；若匹配成功則認(rèn)為該未知郵件是有針對(duì)性的可疑郵件；

將未知郵件涉及的關(guān)鍵詞與攻擊溯源庫(kù)中的關(guān)鍵詞及出現(xiàn)頻率對(duì)比，若出現(xiàn)頻率相當(dāng)則進(jìn)行深度檢測(cè)；其中，若出現(xiàn)頻率相當(dāng)則說明未知郵件為疑似同一攻擊者發(fā)起的多起釣魚郵件之一，在確定該未知郵件為釣魚郵件后，可以對(duì)其進(jìn)行分析并更新攻擊溯源庫(kù)；

將未知郵件的正文內(nèi)容和附件文件中的URL與攻擊溯源庫(kù)中的域名注冊(cè)人相關(guān)信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

獲取未知郵件的附件文件的版本信息并與攻擊溯源庫(kù)中的版本信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)。

其中，所述進(jìn)行深度檢測(cè)，包括：

檢測(cè)未知郵件的附件文件是否存在惡意性，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件；其中，所述惡意性包括：存在漏洞、后門、竊密木馬等與提權(quán)或者竊密相關(guān)的惡意程序；

動(dòng)態(tài)分析未知郵件是否存在惡意行為，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件。其中，所述惡意行為包括與上述惡意性相關(guān)的惡意代碼行為。

本發(fā)明其次提供了一種基于釣魚郵件溯源APT攻擊事件的系統(tǒng)實(shí)施例，如圖2所示，包括：

釣魚郵件解析模塊201，用于解析已知釣魚郵件，獲取郵件元數(shù)據(jù)、正文信息和附件信息；

攻擊溯源庫(kù)生成模塊202，用于分析郵件元數(shù)據(jù)、正文信息和附件信息，并生成攻擊溯源庫(kù)；

郵件關(guān)聯(lián)分析模塊203，用于將未知郵件與所述攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，若滿足預(yù)設(shè)條件則進(jìn)行深度檢測(cè)；

其中，所述郵件元數(shù)據(jù)包括：發(fā)件服務(wù)器IP、發(fā)件時(shí)間、發(fā)件人、收件人、主題；所述正文信息包括正文內(nèi)容和正文內(nèi)容中的URL；所述附件信息包括附件文件及附件文件中的URL。

優(yōu)選地，所述攻擊溯源庫(kù)生成模塊，具體用于：

分析郵件元數(shù)據(jù)的發(fā)件人，獲取發(fā)件人郵箱地址和發(fā)件郵箱域并記入攻擊溯源庫(kù)；

分析郵件元數(shù)據(jù)的收件人，獲取收件郵箱域并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞及出現(xiàn)頻率并記入攻擊溯源庫(kù)；

分析正文內(nèi)容和附件文件中的URL，獲取域名注冊(cè)人相關(guān)信息并記入攻擊溯源庫(kù)；

分析附件文件，獲取附件文件的版本信息并記入攻擊溯源庫(kù)。

更優(yōu)選地，所述獲取域名注冊(cè)人相關(guān)信息，包括：域名注冊(cè)人、注冊(cè)郵箱、所述域名注冊(cè)人注冊(cè)的其他域名信息。

上述系統(tǒng)實(shí)施例中，所述郵件關(guān)聯(lián)分析模塊，具體用于：

將未知郵件的發(fā)件人與攻擊溯源庫(kù)中發(fā)件人郵箱地址和發(fā)件郵箱域?qū)Ρ?，若匹配度超過預(yù)設(shè)值，則進(jìn)行深度檢測(cè)；

分析未知郵件的收件人域，獲得收件人域所涉及的行業(yè)關(guān)鍵詞；

分析未知郵件的正文內(nèi)容和附件文件，并進(jìn)行分詞處理，獲取關(guān)鍵詞并與所述行業(yè)關(guān)鍵詞對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

將未知郵件涉及的關(guān)鍵詞與攻擊溯源庫(kù)中的關(guān)鍵詞及出現(xiàn)頻率對(duì)比，若出現(xiàn)頻率相當(dāng)則進(jìn)行深度檢測(cè)；

將未知郵件的正文內(nèi)容和附件文件中的URL與攻擊溯源庫(kù)中的域名注冊(cè)人相關(guān)信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)；

獲取未知郵件的附件文件的版本信息并與攻擊溯源庫(kù)中的版本信息對(duì)比，若匹配成功則進(jìn)行深度檢測(cè)。

其中，所述進(jìn)行深度檢測(cè)，包括：

檢測(cè)未知郵件的附件文件是否存在惡意性，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件；

動(dòng)態(tài)分析未知郵件是否存在惡意行為，若存在則判定該未知郵件與攻擊溯源庫(kù)中的相關(guān)釣魚郵件屬于一次APT攻擊事件。

本說明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述，各個(gè)實(shí)施例之間相同或相似的部分互相參見即可，每個(gè)實(shí)施例重點(diǎn)說明的都是與其他實(shí)施例的不同之處。尤其，對(duì)于系統(tǒng)實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。

上述實(shí)施例通過對(duì)已知釣魚郵件進(jìn)行溯源分析，繼而獲取釣魚郵件相關(guān)的攻擊溯源庫(kù)，將未知郵件與生成的攻擊溯源庫(kù)進(jìn)行關(guān)聯(lián)分析，最終判定未知郵件是否是與已知釣魚郵件相關(guān)聯(lián)的APT攻擊事件。

以上實(shí)施例用以說明而非限制本發(fā)明的技術(shù)方案。不脫離本發(fā)明精神和范圍的任何修改或局部替換，均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。