魚叉式釣魚郵件的檢測方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全檢測領(lǐng)域,尤其涉及一種魚叉式釣魚郵件的檢測方法及裝置�。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,互聯(lián)網(wǎng)已經(jīng)在人們的日常生活中扮演了一個(gè)越來越重要的角色����。而因?yàn)榫W(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)應(yīng)用程序存在的各種各樣的缺陷,互聯(lián)網(wǎng)的安全問題也越來越嚴(yán)重�����。安全的本質(zhì)是持續(xù)對抗����,近幾年來隨著防御技術(shù)的不斷提高����,攻擊技術(shù)與方法也在不斷的變換��,從傳統(tǒng)的基于對目標(biāo)網(wǎng)絡(luò)的直接漏洞攻擊轉(zhuǎn)向間接對使用電腦人員漏洞的社會工程學(xué)攻擊��,利用人自身的意識缺陷攻擊目標(biāo)用戶的個(gè)人電腦���、手機(jī)等設(shè)備,執(zhí)行攻擊者定制開發(fā)的惡意代碼�,實(shí)現(xiàn)進(jìn)入和駐留目標(biāo)。
[0003]由于電子郵件在人們?nèi)粘9ぷ鹘涣髦械母呤褂寐?���,社會工程學(xué)攻擊將魚叉式釣魚郵件攻擊選定為最常用攻擊手段。攻擊者通過對攻擊目標(biāo)信息的大量收集�,采用盜用目標(biāo)用戶好友郵箱,或仿冒知名網(wǎng)站通知郵箱的方式�,精心編輯符合收件人興趣愛好的郵件內(nèi)容,誘使用戶點(diǎn)擊郵件中的釣魚鏈接或下載惡意附件���,達(dá)到入侵目標(biāo)主機(jī)的目的�。由于魚叉式釣魚郵件攻擊成功幾率高����,不易被傳統(tǒng)的入侵檢測和防御系統(tǒng)發(fā)現(xiàn)���,魚叉式釣魚郵件攻擊已成為攻擊者的首選方法,給廣大網(wǎng)民的日常網(wǎng)絡(luò)生活帶來巨大的危害����。
[0004]如今已有的一些針對釣魚郵件的檢測方法,主要有以下幾種:
1.基于發(fā)件人黑白名單過濾檢測機(jī)制:設(shè)置明確的黑白名單�,只接受白名單內(nèi)信任賬戶發(fā)送的郵件。
[0005]2.基于郵件中是否存在IP地址型網(wǎng)頁鏈接:若郵件中存在IP地址型網(wǎng)頁鏈接����,則認(rèn)為有誘導(dǎo)用戶訪問非知名網(wǎng)站的嫌疑,因?yàn)榇蠖鄶?shù)知名網(wǎng)站都采用域名方式訪問�����。
[0006]3.基于郵件正文中鏈接特征分析:通過鏈接中是否存在等特殊字符���,或鏈接中域名�,域名分隔符C)�、URL路徑字段分隔符(/)的個(gè)數(shù)是否合理等判定郵件是否為釣魚郵件。
[0007]4.基于郵件正文顯式域名和隱式域名是否匹配:通過判斷郵件中顯示的鏈接域名和HTML頁面中真實(shí)的鏈接域名是否匹配,不匹配則認(rèn)為有誘導(dǎo)用戶訪問惡意網(wǎng)站的嫌疑�。
[0008]5.基于郵件正文鏈接域名注冊時(shí)間是否低于設(shè)置閾值:通過采用whois方式查詢域名的注冊時(shí)間和郵件發(fā)送時(shí)間的時(shí)間間隔是否低于設(shè)定閾值,認(rèn)為時(shí)間間隔低于設(shè)定閾值的郵件可能為釣魚郵件���。
[0009]6.基于郵件正文鏈接域名與知名網(wǎng)站域名的相似度:通過判定郵件正文鏈接域名與知名網(wǎng)站域名不相等的情況下��,相似度越高為仿冒欺騙域名的可能性越大��。
[0010]現(xiàn)有對釣魚郵件檢測方式除了黑白名單機(jī)制����,大都是基于郵件正文鏈接域名檢測的方式���,普遍適用于傳統(tǒng)釣魚郵件廣撒網(wǎng)式郵件投遞,魚叉式釣魚郵件攻擊由于事先對攻擊目標(biāo)的大量信息收集�,有針對性的選取目標(biāo),大多采用盜用攻擊目標(biāo)信任關(guān)系賬戶�,或采用精心設(shè)計(jì)的假冒知名網(wǎng)站通知,新聞?lì)愢]件內(nèi)容方式發(fā)送郵件�����,有效的繞過了郵箱黑白名單檢測方式�。而針對釣魚郵件中鏈接域名檢測的方法也存在一定的局限性,如攻擊者采用攻陷第三方服務(wù)器(水坑攻擊)的方式,在合法域名網(wǎng)站掛馬的方式誘使用戶點(diǎn)擊被篡改了內(nèi)容的合法網(wǎng)站�,現(xiàn)有針對釣魚郵件中鏈接域名檢測的方法則無法及時(shí)檢測到。
【發(fā)明內(nèi)容】
[0011]本發(fā)明實(shí)施例的目的是提供一種魚叉式釣魚郵件的檢測方法及裝置��,能準(zhǔn)確的分析判定郵件為正常郵件還是魚叉式釣魚郵件攻擊����。
[0012]本發(fā)明實(shí)施例提供了一種魚叉式釣魚郵件的檢測方法,包括步驟:
獲取網(wǎng)絡(luò)中郵件數(shù)據(jù)流量���,并根據(jù)獲取到的郵件的編碼類型還原郵件的內(nèi)容���,以獲取當(dāng)前郵件信息;
根據(jù)獲取到的所述當(dāng)前郵件信息中的發(fā)件人信息�����,判斷所述當(dāng)前郵件的發(fā)件人是否為收件人的常用信任聯(lián)系人�����;
若判斷為是���,則基于多個(gè)維度的通信特征將所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件進(jìn)行對比分析��,從而判定所述當(dāng)前郵件是否為魚叉式釣魚郵件���;
若判斷為否��,則在所述當(dāng)前郵件與知名權(quán)威網(wǎng)站的郵件的視覺相似度達(dá)到閾值時(shí)���,提取當(dāng)前郵件中的IP地址、域名和鏈接中的至少一個(gè)進(jìn)行對比分析�����,從而判定所述當(dāng)前郵件是否為魚叉式釣魚郵件�����。
[0013]作為上述方案的改進(jìn)���,所述多個(gè)維度的通信特征包括主題內(nèi)容、慣用語言符號����、慣用通信時(shí)間、慣用發(fā)信模式���、慣用接收人地址集合和慣用郵件結(jié)構(gòu)���。
[0014]作為上述方案的改進(jìn)�,基于多個(gè)維度的通信特征將所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件進(jìn)行對比分析�,從而判定所述當(dāng)前郵件是否為魚叉式釣魚郵件具體為:
基于所述多個(gè)維度的通信特征分別對應(yīng)得到所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件的多個(gè)相似度值,并基于所述多個(gè)相似度值計(jì)算出所述當(dāng)前郵件為魚叉式釣魚郵件攻擊的風(fēng)險(xiǎn)分?jǐn)?shù)值�,風(fēng)險(xiǎn)分?jǐn)?shù)值越大,所述當(dāng)前郵件為魚叉式釣魚郵件攻擊的可能性越大�����。
[0015]作為上述方案的改進(jìn)����,在計(jì)算所述風(fēng)險(xiǎn)分?jǐn)?shù)值時(shí),基于主題內(nèi)容��、慣用語言符號�、慣用通信時(shí)間、慣用發(fā)信模式����、慣用接收人地址集合、慣用郵件結(jié)構(gòu)的排列順序依次對所述多個(gè)相似度值分配權(quán)重值為15%�����、20%、15%��、20%����、10%、20%����。
[0016]作為上述方案的改進(jìn),通過以下方式將與所述當(dāng)前郵件的視覺相似度達(dá)到閾值的知名權(quán)威網(wǎng)站的郵件與所述當(dāng)前郵件進(jìn)行對比分析以判定所述當(dāng)前郵件是否為魚叉式釣魚郵件:
若所述當(dāng)前郵件中只有IP地址����、域名或鏈接中的一個(gè)時(shí),則對其包含的IP地址��、域名或鏈接進(jìn)行深入的關(guān)聯(lián)分析���,關(guān)聯(lián)分析無誤的才判定為非魚叉式釣魚郵件�����,否則判定為魚叉式釣魚郵件�;
若所述當(dāng)前郵件中同時(shí)含有IP地址��、域名或鏈接中的兩個(gè)或三個(gè)指標(biāo)時(shí)�����,則為每項(xiàng)指標(biāo)分配一定的權(quán)值來計(jì)算所述當(dāng)前郵件為魚叉式釣魚郵件攻擊的風(fēng)險(xiǎn)分?jǐn)?shù)值���,風(fēng)險(xiǎn)分?jǐn)?shù)值越大��,所述當(dāng)前郵件為魚叉式釣魚郵件攻擊的可能性越大��;其中����,所述IP地址�����、域名�、鏈接分配的權(quán)值依次為30%、40%����、30%����。
[0017]本發(fā)明實(shí)施例對應(yīng)公開了一種魚叉式釣魚郵件的檢測裝置�,包括:
接收模塊,用于獲取網(wǎng)絡(luò)中郵件數(shù)據(jù)流量����,并根據(jù)獲取到的郵件的編碼類型還原郵件的內(nèi)容,以獲取當(dāng)前郵件信息����;
判斷模塊,用于根據(jù)獲取到的所述當(dāng)前郵件信息中的發(fā)件人信息����,判斷所述當(dāng)前郵件的發(fā)件人是否為收件人的常用信任聯(lián)系人;
基于信任源的行為分析模塊�,用于在所述判斷模塊判斷為是的情況下,基于多個(gè)維度的通信特征將所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件進(jìn)行對比分析��,從而判定所述當(dāng)前郵件是否為魚叉式釣魚郵件�;
基于通知資訊類的視覺效果分析模塊,用于在所述判斷模塊判斷為否的情況下��,在所述當(dāng)前郵件與知名權(quán)威網(wǎng)站的郵件的視覺相似度達(dá)到閾值時(shí),提取當(dāng)前郵件中的IP地址��、域名和鏈接中的至少一個(gè)進(jìn)行對比分析����,從而判定所述當(dāng)前郵件是否為魚叉式釣魚郵件��。
[0018]作為上述方案的改進(jìn)�,所述多個(gè)維度的通信特征包括主題內(nèi)容、慣用語言符號�����、慣用通信時(shí)間����、慣用發(fā)信模式、慣用接收人地址集合和慣用郵件結(jié)構(gòu)�。
[0019]作為上述方案的改進(jìn),所述基于信任源的行為分析模塊進(jìn)一步配置為:基于所述多個(gè)維度的通信特征分別對應(yīng)得到所述當(dāng)前郵件與該發(fā)件人發(fā)送給收件人的歷史通信郵件的多個(gè)相似度值���,并基于所述多個(gè)相似度值計(jì)算出所述當(dāng)前郵件為魚叉式釣魚郵件攻擊的風(fēng)險(xiǎn)分?jǐn)?shù)值�����,風(fēng)險(xiǎn)分?jǐn)?shù)值越大��,所述當(dāng)前郵件為魚叉式釣魚郵件攻擊