本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域,尤其涉及一種針對偽造發(fā)件人的釣魚郵件的識別方法及系統(tǒng)。
背景技術(shù):
郵件攻擊在互聯(lián)網(wǎng)時代可以說是常見而又泛濫的攻擊手法,早在1999年爆發(fā)的happy99病毒、梅麗莎(melissa)病毒等作為郵件病毒的鼻祖,之后對照梅麗莎的"藍本"又爆發(fā)了愛蟲(loveletter)病毒、馬吉斯(magistr)病毒。這些病毒均屬于"蠕蟲"類型,具備自我擴散的能力,傳播范圍廣,傳播次數(shù)快,短時間快速傳播,一方面會對網(wǎng)絡(luò)帶來很大壓力,也很容易被感知和發(fā)現(xiàn)。但今天的郵件入口,已經(jīng)完全告別了當(dāng)時的"天真病毒時代",郵件病毒從宏病毒和其他使用郵件api自動發(fā)送的二進制樣本,到使用格式文檔溢出的apt攻擊等。攻擊手法從普通的郵件攻擊、釣魚攻擊、到魚叉式釣魚攻擊。攻擊手法從粗糙到精密,攻擊目標(biāo)從"擴散"、"掃射"到"狙擊"。
目前,郵件威脅依然猖獗,畢竟當(dāng)瀏覽器、主機、服務(wù)器系統(tǒng)的安全在進一步的加固情況下,郵件對攻擊者來說是個可以直達目標(biāo)的上佳入口,這意味著通過郵件進行攻擊的方法無論在高級威脅、還是類似擴散僵尸網(wǎng)絡(luò)、敲詐其他的一般性的網(wǎng)絡(luò)犯罪中成功率都非常高。其中,利用社工方法進而偽造發(fā)信人,進而誘騙用戶點擊附件的釣魚郵件更是企業(yè)和用戶的“噩夢”。
技術(shù)實現(xiàn)要素:
為了克服現(xiàn)有技術(shù)方案的不足,本發(fā)明提供一種針對偽造發(fā)件人的釣魚郵件的識別方法,利用監(jiān)控發(fā)送過程中郵件服務(wù)器對郵件進行處理時添加的郵件頭,對郵件頭中關(guān)鍵字段的識別,進而能夠有效識別是否為可疑釣魚郵件。
本發(fā)明解決其技術(shù)問題所采用的技術(shù)方案是:一種針對偽造發(fā)件人的釣魚郵件的識別方法,包括如下步驟:
首先判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加;
若是由發(fā)送服務(wù)器添加,則提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件;
若是由接收服務(wù)器添加,則提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件。
作為本發(fā)明一種優(yōu)選的技術(shù)方案,在所述判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加之前,還包括:若郵箱頭域中包含的received字段個數(shù)大于等于3個,則直接判定為疑似釣魚郵件。
作為本發(fā)明一種優(yōu)選的技術(shù)方案,判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加,具體為:提取首個received中by字段后的地址相關(guān)信息,若地址相關(guān)信息顯示為接收服務(wù)器地址,則所述received字段由接收服務(wù)器添加,否則為發(fā)送服務(wù)器添加。
作為本發(fā)明一種優(yōu)選的技術(shù)方案,所述提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,具體為:
若所述地址相關(guān)信息為郵箱服務(wù)器信息,則判斷所述郵箱服務(wù)器信息與顯示的發(fā)件人的地址對應(yīng)的郵箱信息是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
作為本發(fā)明一種優(yōu)選的技術(shù)方案,所述提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,具體為:
若所述地址相關(guān)信息為郵箱地址,則判斷所述郵箱地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為郵箱服務(wù)器地址,則判斷所述郵箱服務(wù)器地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
另外本發(fā)明還設(shè)計了一種針對偽造發(fā)件人的釣魚郵件的識別系統(tǒng),包括:
服務(wù)器判定模塊,用于判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加;
第一匹配模塊,用于若是由發(fā)送服務(wù)器添加,則提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件;
第二匹配模塊,用于若是由接收服務(wù)器添加,則提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件。
作為本發(fā)明一種優(yōu)選的技術(shù)方案,還包括:初步篩選模塊,用于若郵箱頭域中包含的received字段個數(shù)大于等于3個,則直接判定為疑似釣魚郵件。
與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果是:本發(fā)明給出一種針對偽造發(fā)件人的釣魚郵件的識別方法及系統(tǒng),通過分析發(fā)現(xiàn)顯示給郵箱用戶的發(fā)件人是可以偽造的,因此找到有效的識別偽造發(fā)件人行為的方法對于保護用戶的隱私及財產(chǎn)安全是十分必要的。
本發(fā)明所提供的技術(shù)方案通過識別received字段中的by字段值或者from字段值進而與顯示的發(fā)件人地址對比,判斷是否匹配進而判斷是否是偽造的發(fā)件人信息。本發(fā)明所述的技術(shù)方案利用郵件發(fā)送者將郵件發(fā)送出去后就不能控制郵件發(fā)送服務(wù)器和郵件接收服務(wù)器對此郵件添加received的行為,進而能夠有效識別通過偽造發(fā)件人進而達到惡意目的的釣魚郵件。
附圖說明
圖1為本發(fā)明提供的一種針對偽造發(fā)件人的釣魚郵件的識別方法實施例流程圖;
圖2為本發(fā)明提供的一種針對偽造發(fā)件人的釣魚郵件的識別系統(tǒng)實施例結(jié)構(gòu)圖。
具體實施方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例。基于本發(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
實施例:
如圖1所示,本發(fā)明首先提供了一種針對偽造發(fā)件人的釣魚郵件的識別方法實施例,包括:
s101:判斷郵箱頭域中包含的received字段個數(shù)是否大于等于3個,若是則直接判定為疑似釣魚郵件,否則執(zhí)行s102。
由于可能存在攻擊者通過偽造多個received字段進而躲避檢測,因此本實施例在執(zhí)行具體分析之前,通過判斷郵箱頭域中包含的received字段的具體個數(shù),若大于等于3個,則判定存在異常直接托送到垃圾箱處理,進而避免系統(tǒng)資源浪費,提高檢測效率。
s102:判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加,若是由發(fā)送服務(wù)器添加,則跳轉(zhuǎn)到s103,若是由接收服務(wù)器添加,則跳轉(zhuǎn)到s104。
其中,進過s101的過濾,可能存在一個或者兩個received字段,則當(dāng)前提取的received字段可能是虛假字段,進而無法有效檢出,但是郵箱頭域中的首個received字段可以保證是系統(tǒng)本身添加的而不是虛假構(gòu)造的,進而本實施例通過提取首個received字段并進行分析進而提升準(zhǔn)確率。
其中,所述判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加,具體可以為:提取首個received中by字段后的地址相關(guān)信息,若地址相關(guān)信息顯示為接收服務(wù)器地址,則所述received字段由接收服務(wù)器添加,否則為發(fā)送服務(wù)器添加。
s103:提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件。
其中,所述提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,具體可以為:
若所述地址相關(guān)信息為郵箱服務(wù)器信息,則判斷所述郵箱服務(wù)器信息與顯示的發(fā)件人的地址對應(yīng)的郵箱信息是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
例如:若郵件顯示的發(fā)送者是zhangshan@qq.com,則判斷by字段后的服務(wù)器的郵箱地址是否符合qq.com的地址,如果沒有郵箱地址僅有ip,則判斷ip地址是否屬于qq.com服務(wù)器的郵箱地址。如果兩者其一符合發(fā)送者服務(wù)器則進入正常郵件處理,否則判定為存在偽造發(fā)件人的行為,為疑似釣魚郵件。
s104:提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件。
其中,所述提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,具體可以為:
若所述地址相關(guān)信息為郵箱地址,則判斷所述郵箱地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為郵箱服務(wù)器地址,則判斷所述郵箱服務(wù)器地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
例如:
received:frompluckzhangsan-pc(mailfrom:zhangsan@aliyun.comip:1.189.181.161)
bysmtp.aliyun-inc.com(10.147.41.199)
thu,05may201616:40:21+0800
data:thu,5may201616:40:21+0800
from:zhangsan<zhangsan@aliyun.com>
to:=?utf-8?b?5byg5own5lqr?=<lisi@aliyun.com>
該具體例子中,from字段后的地址相關(guān)信息為郵箱地址,則判斷該郵箱地址(即zhangsan@aliyun.com)與顯示的發(fā)件人的地址是否相匹配(即郵件正文from域后面的郵箱地址<zhangsan@aliyun.com>),由此可以判斷是相匹配的,因此判定為正常郵件。
如圖2所示,本發(fā)明其次提供了一種針對偽造發(fā)件人的釣魚郵件的識別系統(tǒng)實施例,包括:
服務(wù)器判定模塊201,用于判斷郵箱頭域中的首個received字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加;
第一匹配模塊202,用于若是由發(fā)送服務(wù)器添加,則提取by字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件;
第二匹配模塊203,用于若是由接收服務(wù)器添加,則提取from字段后的地址相關(guān)信息,并判斷所述地址相關(guān)信息與顯示的發(fā)件人的地址是否相匹配,若匹配則判定為正常郵件,否則判定為疑似釣魚郵件。
優(yōu)選地,還包括:初步篩選模塊,用于若郵箱頭域中包含的received字段個數(shù)大于等于3個,則直接判定為疑似釣魚郵件。
上述系統(tǒng)實施例中,所述服務(wù)器判定模塊,具體用于:
提取首個received中by字段后的地址相關(guān)信息,若地址相關(guān)信息顯示為接收服務(wù)器地址,則所述received字段由接收服務(wù)器添加,否則為發(fā)送服務(wù)器添加。
上述系統(tǒng)實施例中,所述第一匹配模塊,具體用于:
若所述地址相關(guān)信息為郵箱服務(wù)器信息,則判斷所述郵箱服務(wù)器信息與顯示的發(fā)件人的地址對應(yīng)的郵箱信息是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
上述系統(tǒng)實施例中,所述第二匹配模塊,具體用于:
若所述地址相關(guān)信息為郵箱地址,則判斷所述郵箱地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為郵箱服務(wù)器地址,則判斷所述郵箱服務(wù)器地址與顯示的發(fā)件人的地址是否相匹配;
若所述地址相關(guān)信息為ip地址,則判斷所述ip地址是否屬于顯示的發(fā)件人的地址對應(yīng)的服務(wù)器的郵箱地址范圍,若屬于則判定匹配成功,否則判定匹配失敗。
本說明書中的各個實施例均采用遞進的方式描述,各個實施例之間相同或相似的部分互相參見即可,每個實施例重點說明的都是與其他實施例的不同之處。尤其,對于系統(tǒng)實施例而言,由于其基本相似于方法實施例,所以描述的比較簡單,相關(guān)之處參見方法實施例的部分說明即可。
如上所述,上述實施例給出了一種針對偽造發(fā)件人的釣魚郵件的識別方法及系統(tǒng)實施例,通過提取郵件頭域中的首個received字段,并判斷該字段是由發(fā)送服務(wù)器添加還是接收服務(wù)器添加,若是發(fā)送服務(wù)器添加,則提取by字段后的地址相關(guān)信息,若是由接收服務(wù)器添加,則提取from字段后的地址相關(guān)信息,并將提取到的任何形式的地址相關(guān)信息與顯示給用戶的發(fā)件人的地址,即郵件正文所顯示的發(fā)件人的地址進行匹配,若匹配成功則判定為正常郵件,否則為疑似釣魚郵件,可以根據(jù)需要選擇是否進行后續(xù)的進一步判斷和檢測。本發(fā)明所提供的上述實施例能夠有效識別惡意郵件,并防止惡意代碼以釣魚郵件為前導(dǎo)的方式進入用戶系統(tǒng),進而導(dǎo)致用戶系統(tǒng)遭受進一步的攻擊。
對于本領(lǐng)域技術(shù)人員而言,顯然本發(fā)明不限于上述示范性實施例的細節(jié),而且在不背離本發(fā)明的精神或基本特征的情況下,能夠以其他的具體形式實現(xiàn)本發(fā)明。因此,無論從哪一點來看,均應(yīng)將實施例看作是示范性的,而且是非限制性的,本發(fā)明的范圍由所附權(quán)利要求而不是上述說明限定,因此旨在將落在權(quán)利要求的等同要件的含義和范圍內(nèi)的所有變化囊括在本發(fā)明內(nèi)。不應(yīng)將權(quán)利要求中的任何附圖標(biāo)記視為限制所涉及的權(quán)利要求。