CN110149318B - 邮件元数据的处理方法及装置、存储介质、电子装置 - Google Patents
邮件元数据的处理方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN110149318B CN110149318B CN201910345213.0A CN201910345213A CN110149318B CN 110149318 B CN110149318 B CN 110149318B CN 201910345213 A CN201910345213 A CN 201910345213A CN 110149318 B CN110149318 B CN 110149318B
- Authority
- CN
- China
- Prior art keywords
- file
- information
- type
- mail sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000003672 processing method Methods 0.000 title abstract description 3
- 238000000034 method Methods 0.000 claims abstract description 39
- 230000002085 persistent effect Effects 0.000 claims abstract description 11
- 238000001514 detection method Methods 0.000 claims description 35
- 244000035744 Hura crepitans Species 0.000 claims description 24
- 238000012545 processing Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 18
- 239000000284 extract Substances 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000004458 analytical method Methods 0.000 description 11
- 230000003068 static effect Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 238000004422 calculation algorithm Methods 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000013500 data storage Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 238000010219 correlation analysis Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000003607 modifier Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 238000012098 association analyses Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 230000035939 shock Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F40/00—Handling natural language data
- G06F40/30—Semantic analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Audiology, Speech & Language Pathology (AREA)
- Artificial Intelligence (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种邮件元数据的处理方法及装置、存储介质、电子装置,其中,该方法包括:采集邮件样本;采用网络本体语言OWL规则识别所述邮件样本的文件类型;根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。通过本发明,解决了相关技术中抽取邮件样本的元数据效率低下的技术问题。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种邮件元数据的处理方法及装置、存储介质、电子装置。
背景技术
网络攻击是黑客或者病毒木马等对电子设备发起的攻击,通过窃取文件等给用户带来了巨大损失。
在对高级持续性威胁(Advanced Persistent Threat,APT)团伙进行追踪发现时,主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息***进行入侵控制,达到窃取敏感数据和破坏***和网络环境的目的,亟待提高对企业网络中传播的恶意样本检测率和批量分析能力。
相关技术中,在计算机安全领域内,目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件,往往缺少对该攻击事件的整体认识,而对其防御也是各自为战,并没有形成一个很好的防御体系。比如APT(高级持续性威胁)攻击,这种攻击是有目的性和针对性的,只对特定的行业或者某些目标***才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时,能够提前获得威胁情报,并在大范围内进行预警和防御。导致网络攻击的防御滞后。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种邮件元数据的处理方法及装置、存储介质、电子装置。
根据本发明的一个实施例,提供了一种邮件元数据的处理方法,包括:采集邮件样本;采用网络本体语言OWL规则识别所述邮件样本的文件类型;根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
可选的,根据所述文件类型抽取所述邮件样本的元数据包括:判断所述邮件样本的文件类型是否为以下指定类型;在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息。
可选的,根据所述文件类型抽取所述邮件样本的元数据包括:根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。
可选的,采用OWL规则识别所述邮件样本的文件类型包括:采用多个检测引擎识别所述邮件样本的文件类型,其中,每个检测引擎对应一套OWL规则。
可选的,在根据所述文件类型抽取所述邮件样本的元数据之后,所述方法还包括:将所述元数据传送至沙箱集群,生成所述邮件样本的检测结果;将所述邮件样本和所述检测结果关联后存储至高级持续性威胁APT攻击的情报数据库。
根据本发明的另一个实施例,提供了一种邮件元数据的处理装置,包括:采集模块,用于采集邮件样本;识别模块,用于采用网络本体语言OWL规则识别所述邮件样本的文件类型;设置模块,用于根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;识别模块,用于根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
可选的,所述设置模块包括:判断单元,用于判断所述邮件样本的文件类型是否为以下指定类型;第一抽取单元,用于在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息。
可选的,所述设置模块包括:第二抽取单元,用于根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。
可选的,所述识别模块包括:识别单元,用于采用多个检测引擎识别所述邮件样本的文件类型,其中,每个检测引擎对应一套OWL规则。
可选的,所述装置还包括:生成模块,用于在所述设置模块根据所述文件类型抽取所述邮件样本的元数据之后,将所述元数据传送至沙箱集群,生成所述邮件样本的检测结果;存储模块,用于将所述邮件样本和所述检测结果关联后存储至高级持续性威胁APT攻击的情报数据库。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,采集邮件样本,然后采用网络本体语言OWL规则识别所述邮件样本的文件类型,最后根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签,最后通过元数据标签的数据信息来识别APT类型的威胁文件,通过对邮件样本的分类检测和标记入库,解决了相关技术中识别APT类型的威胁文件效率低下的技术问题。极大提高了运营分析人员对邮件样本的分析追踪定位能力,对安全人员追踪APT攻击者的身份信息有极大的帮助。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种邮件元数据的处理服务器的硬件结构框图;
图2是根据本发明实施例的一种邮件元数据的处理方法的流程图;
图3是本发明实施例完整的业务逻辑图;
图4是本发明实施例的业务流程图;
图5是根据本发明实施例的邮件元数据的处理装置的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器或者类似的运算装置中执行。以运行在服务器上为例,图1是本发明实施例的一种邮件元数据的处理服务器的硬件结构框图。如图1所示,服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种邮件元数据的处理方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种邮件元数据的处理方法,图2是根据本发明实施例的一种邮件元数据的处理方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,采集邮件样本;
本实施例的邮件样本包括利用网络或者硬件实体存在的漏洞和安全缺陷对网络***的硬件、软件及其***中的数据进行的攻击的代码,软件,程序,文件等。
在获取邮件样本之后,还检测邮件样本的文件类型或运行所述邮件样本的设备类型,其中,文件类型包括公有文件,私有文件,在邮件样本为公有文件时,将邮件样本发送至公用的云端服务器,在邮件样本为私有文件时,将邮件样本发送至私有的云端服务器或本地服务器,在另一方面,在设备类型为指定环境的设备(如政府机关,金融结构等保密性较强的单位的设备)时,将邮件样本发送至私有的云端服务器或本地服务器,在设备类型为通用环境的设备时,将邮件样本发送至公用的云端服务器。其中,公用的云端服务器,私有的云端服务器或本地服务器设置有用于运行OWL规则的引擎。
步骤S204,采用网络本体语言OWL规则识别所述邮件样本的文件类型;
步骤S206,根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
步骤S208,根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
通过上述步骤,采集邮件样本,然后采用网络本体语言OWL规则识别所述邮件样本的文件类型,最后根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签,最后通过元数据标签的数据信息来识别APT类型的威胁文件,通过对邮件样本的分类检测和标记入库,解决了相关技术中识别APT类型的威胁文件效率低下的技术问题。极大提高了运营分析人员对邮件样本的分析追踪定位能力,对安全人员追踪APT攻击者的身份信息有极大的帮助。
本实施例的一个实施方式中,根据所述文件类型抽取所述邮件样本的元数据包括:判断所述邮件样本的文件类型是否为指定类型,其中指定类型可以但不限于为:PE、LNK(lnk文件是用于指向其他文件的一种文件,也称为快捷方式文件)、OLE(Object Linkingand Embedding,对象连接与嵌入)、RTF(富文本格式,Rich Text Format)、CHM(CompiledHTML)、VBE(编译后(加密)的VBS代码,通常打开不能直接看到源代码)、PDF(PortableDocument Format,便携式文档格式、SWF(shock wave flash)、ZIP(一种文件的压缩算法)、ACTIVE_MIME(ACTIVE Multipurpose Internet Mail Extensions,活性多用途互联网邮件扩展类型)、MAIL、RAR(一种文件的压缩算法);在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息,具体包括:原始文件路径file_path、标记tag(比如标记该样本来源或者组织:APT-08)、文件大小stream_size、ssdeep相似度算法结果、pdb路径、PE头信息pe_header_info、版本信息version_info、完整路径fullpath、图标路径string_dat_iconlocation、OLE类型字段Mail发送信息、发送者sender_name、发送者邮件地址sender_email_addres、发送者SMTP地址sender_smtp_address、接收者receiver_name、接收者显示名称receiver_display_name(可不包含邮件地址)、抄送者cc_display_name、最后修改者last_modifier、创建者名称creator_name、主题subject、邮件内容body、eml格式的邮件说明transport_message_header、附件名称attachment_name、宏信息macro_info、表格信息sheet_info、漏洞利用信息exploit_info(如包含漏洞,漏洞名称)、摘要信息summary_info、主题subject、创建者creator、创建时间created_time、修改时间modified_time。
然后进行元数据标记和入库,对于邮件信息进行管理,还可以发送给沙箱,沙箱接收元数据,同时通过多引擎检测,生成数据检测结果。
可选的,根据所述文件类型抽取所述邮件样本的元数据包括:根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。具体的,采用OWL规则识别所述邮件样本的文件类型包括:采用多个检测引擎识别所述邮件样本的文件类型,其中,每个检测引擎对应一套OWL规则。
本实施例的多引擎是指多个恶意检测引擎,如杀毒引擎bitdefender。OWL引擎会识别文件类型,根据各种文件类型抽取相应的元信息数据,比如PE有多少个节、是否有签名、签名是什么、PDB路径等。
在本实施例的一个实施方式中,在根据所述文件类型抽取所述邮件样本的元数据之后,所述方法还包括:将所述元数据传送至沙箱集群,生成所述邮件样本的检测结果;将所述邮件样本和所述检测结果关联后存储至高级持续性威胁APT攻击的情报数据库。本实施例的情报数据库包括IOC指标信息,APT的组织信息,成员身份信息,以及APT攻击手段,范围,时间,对象等信息。
本实施例的方案可以进行基于恶意样本的APT分析,整体而言,在APT分析时,提供一种对海量文件抽取的恶意信息,并提取相关ATP组织IOC(Indicators of compromise,攻陷指示器,攻陷指标或入侵指标)以及TTP(Tactics, Techniques, and Procedures,手段技术过程)信息维护(如通过对各查询的IOC指标信息特征提取,将其进行标记化,元数据抽取处理,同时提取相关APT组织信息并关联上下文信息,同时记录战术、战技等相关信息),同时对邮件样本、恶意文件样本进行元数据的抽取管理,提供恶意样本及恶意邮件信息的样本识别和结果展示。同时记录受影响用户的IP和攻击过程信息,将攻击活动及上下文信息记录在数据存储平台中,对文件样本的交互进行关联分析。通过此方法,对恶意样本进行APT团伙的攻击分析及运营,达到对攻击团伙的发现及持续追踪,该装置将样本分析和运营的效率大大提高。
在本实施例的一个完整的实施方案中,包括以下功能模块,按照时序分别为:网络采集器,静态沙箱,动态沙箱,高对抗沙箱集群,情报匹配模块,事件响应模块。
网络采集器:通过自动化方式对接样本输入,如投递邮件附件,将原始文件进行批量自动化投递,上传至沙箱接口;
静态沙箱:通过静态沙箱首先对样本文件进行静态检测,匹配恶意文件静态规则。通过提取文件元数据进行信息获取,包括文件名、文件类型、文件类型匹配度、文件大小、MD5(消息摘要算法,Message-Digest Algorithm)、SHA(Secure Hash Algorithm,安全散列算法)1、SHA256、SHA512、SSDeep等。同时通过OWL(Ontology Wed Language,网上本体语言)静态引擎规则,进行文件的检测与筛选;
动态沙箱:模拟动态执行,分析主机行为并得出网络行为及运行时截图,同时抓取网络流量及样本;
高对抗沙箱集群:存储海量数据及各检测结果信息,同时包括文件型数据存储,所有沙箱结果相关历史数据及文件型数据存储在集群中;
情报匹配模块:沙箱检测模块匹配IOC结果,关联上下文后,得到家族信息以及访问的恶意域名以及历史解析地址,能够更准确的定位到恶意样本的家族信息及APT团伙关联分析。如通过在沙箱中查询某个恶意样本,关联威胁情报信息及WHOIS(一种用来查询域名的IP以及所有者等信息的传输协议)历史信息,能够给该文件相关的所有信息;
事件响应模块:统计及处置当前分析样本的结果,同时提供案件管理及事件关联,在各引擎及检测规则的实时更新下,用于情报的二次生产。
图3是本发明实施例完整的业务逻辑图,图4是本发明实施例的业务流程图,包括:
流量采集流程,负责将收集的样本进行自动化采集和批量投递,主要为流量采集器和样本采集器;
沙箱检测流程:分为静态检测沙箱和动态检测沙箱。通过高对抗沙箱集群,采用静态OWL过滤提取引擎进行文本语义分析和筛选,其中,静态OWL规则是基于语义及文件元信息,对文本数据进行检测提取,OWL引擎会识别文件类型,根据各种文件类型抽取相应的元信息数据,比如PE(Portable Executable,即可移植的执行体)有多少个节、是否有签名、签名是什么、PDB(Program Database File,程序数据库文件)路径,投递到相应的静态和动态沙箱之中;
数据存储与响应流程:负责沙箱的APT家族信息关联及案件入库,并生产新的情报。
可选地,上述步骤的执行主体可以为连接一个或多个客户端或服务器的云端服务器或本地服务器等,客户端可以是移动终端,PC等,但不限于此。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种邮件元数据的处理装置,可以是服务器,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的邮件元数据的处理装置的结构框图,可以应用在服务器中,如图5所示,该装置包括:采集模块50,识别模块52,设置模块54,其中,
采集模块50,用于采集邮件样本;
识别模块52,用于采用网络本体语言OWL规则识别所述邮件样本的文件类型;
设置模块54,用于根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
识别模块56,用于根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
可选的,所述设置模块包括:判断单元,用于判断所述邮件样本的文件类型是否为指定类型,其中,指定类型可以但不限于为:PE、LNK、OLE、RTF、CHM、VBE、PDF、SWF、ZIP、ACTIVE_MIME、MAIL、RAR;第一抽取单元,用于在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息,具体的,元数据可以但不限于为:原始文件路径file_path、标记tag、文件大小stream_size、ssdeep相似度算法结果、pdb路径、PE头信息pe_header_info、版本信息version_info、完整路径fullpath、图标路径string_dat_iconlocation、OLE类型字段Mail发送信息、发送者sender_name、发送者邮件地址sender_email_addres、发送者SMTP地址sender_smtp_address、接收者receiver_name、接收者显示名称receiver_display_name、抄送者cc_display_name、最后修改者last_modifier、创建者名称creator_name、主题subject、邮件内容body、eml格式的邮件说明transport_message_header、附件名称attachment_name、宏信息macro_info、表格信息sheet_info、漏洞利用信息exploit_info、摘要信息summary_info、主题subject、创建者creator、创建时间created_time、修改时间modified_time。
可选的,所述设置模块包括:第二抽取单元,用于根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。
可选的,所述识别模块包括:识别单元,用于采用多个检测引擎识别所述邮件样本的文件类型,其中,每个检测引擎对应一套OWL规则。
可选的,所述装置还包括:生成模块,用于在所述设置模块根据所述文件类型抽取所述邮件样本的元数据之后,将所述元数据传送至沙箱集群,生成所述邮件样本的检测结果;存储模块,用于将所述邮件样本和所述检测结果关联后存储至高级持续性威胁APT攻击的情报数据库。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,采集邮件样本;
S2,采用网络本体语言OWL规则识别所述邮件样本的文件类型;
S3,根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
S4,根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,采集邮件样本;
S2,采用网络本体语言OWL规则识别所述邮件样本的文件类型;
S3,根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
S4,根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
Claims (8)
1.一种邮件元数据的处理方法,其特征在于,包括:
采集邮件样本;
检测运行所述邮件样本的设备类型,在所述设备类型为指定环境的设备时,将所述邮件样本发送至私有的云端服务器或本地服务器,在所述设备类型为通用环境的设备时,将所述邮件样本发送至公用的云端服务器,其中,所述公用的云端服务器、所述私有的云端服务器或所述本地服务器设置有用于运行网络本体语言OWL规则的引擎;
采用所述网络本体语言OWL规则识别所述邮件样本的文件类型;
根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件;
其中,根据所述文件类型抽取所述邮件样本的元数据包括:
判断所述邮件样本的文件类型是否为指定类型;
在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息。
2.根据权利要求1所述的方法,其特征在于,根据所述文件类型抽取所述邮件样本的元数据包括:
根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。
3.根据权利要求1所述的方法,其特征在于,采用OWL规则识别所述邮件样本的文件类型包括:
采用多个检测引擎识别所述邮件样本的文件类型,其中,每个检测引擎对应一套OWL规则。
4.根据权利要求1所述的方法,其特征在于,在根据所述文件类型抽取所述邮件样本的元数据之后,所述方法还包括:
将所述元数据传送至沙箱集群,生成所述邮件样本的检测结果;
将所述邮件样本和所述检测结果关联后存储至APT攻击的情报数据库。
5.一种邮件元数据的处理装置,其特征在于,包括:
采集模块,用于采集邮件样本;
识别模块,用于采用网络本体语言OWL规则识别所述邮件样本的文件类型;
设置模块,用于根据所述文件类型抽取所述邮件样本的元数据,并设置元数据标签;
识别模块,用于根据所述元数据标签从用户文件中提取数据信息,并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁APT类型的威胁文件;
其中,所述设置模块包括:
判断单元,用于判断所述邮件样本的文件类型是否为指定类型;
第一抽取单元,用于在所述邮件样本的文件类型为所述指定类型时,抽取所述邮件样本的以下元数据至少之一:文件路径信息、附件信息、路由信息、修改记录信息、地址信息;
所述设置模块还用于,检测运行所述邮件样本的设备类型,在所述设备类型为指定环境的设备时,将所述邮件样本发送至私有的云端服务器或本地服务器,在所述设备类型为通用环境的设备时,将所述邮件样本发送至公用的云端服务器,其中,所述公用的云端服务器、所述私有的云端服务器或所述本地服务器设置有用于运行所述网络本体语言OWL规则的引擎。
6.根据权利要求5所述的装置,其特征在于,所述设置模块包括:
第二抽取单元,用于根据文件类型抽取所述邮件样本的元信息,其中,所述元信息包括以下至少之一:可移植的执行体PE的字节数、签名信息、程序数据库文件PDB路径,其中,每个文件类型对应一个或多个元信息。
7.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被处理器执行时实现权利要求1至4任一项中所述的方法。
8.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至4任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910345213.0A CN110149318B (zh) | 2019-04-26 | 2019-04-26 | 邮件元数据的处理方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910345213.0A CN110149318B (zh) | 2019-04-26 | 2019-04-26 | 邮件元数据的处理方法及装置、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110149318A CN110149318A (zh) | 2019-08-20 |
| CN110149318B true CN110149318B (zh) | 2022-07-05 |
Family
ID=67594747
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910345213.0A Active CN110149318B (zh) | 2019-04-26 | 2019-04-26 | 邮件元数据的处理方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110149318B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、***及介质 |
| CN112688926A (zh) * | 2020-12-18 | 2021-04-20 | 杭州安恒信息技术股份有限公司 | 基于附件的鱼叉式钓鱼邮件检测方法、***及装置 |
| CN113515744A (zh) * | 2021-03-24 | 2021-10-19 | 杭州安恒信息技术股份有限公司 | 恶意文档检测方法、装置、***、电子装置和存储介质 |
| CN115037523B (zh) * | 2022-05-17 | 2024-05-17 | 浙江工业大学 | 一种异构终端日志融合的apt检测方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776236B2 (en) * | 2012-04-11 | 2014-07-08 | Northrop Grumman Systems Corporation | System and method for providing storage device-based advanced persistent threat (APT) protection |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN106375191A (zh) * | 2010-04-28 | 2017-02-01 | 微软技术许可有限责任公司 | 新闻订阅源技术 |
| CN108229153A (zh) * | 2016-12-21 | 2018-06-29 | 青岛祥智电子技术有限公司 | 一种高级持续性威胁攻击的判别方法 |
| CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
| CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186845B (zh) * | 2011-12-29 | 2016-06-08 | 盈世信息科技(北京)有限公司 | 一种垃圾邮件过滤方法 |
| CN108121914B (zh) * | 2018-01-17 | 2021-04-13 | 四川神琥科技有限公司 | 一种文档泄密防护追踪*** |
-
2019
- 2019-04-26 CN CN201910345213.0A patent/CN110149318B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106375191A (zh) * | 2010-04-28 | 2017-02-01 | 微软技术许可有限责任公司 | 新闻订阅源技术 |
| US8776236B2 (en) * | 2012-04-11 | 2014-07-08 | Northrop Grumman Systems Corporation | System and method for providing storage device-based advanced persistent threat (APT) protection |
| CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
| CN106055981A (zh) * | 2016-06-03 | 2016-10-26 | 北京奇虎科技有限公司 | 威胁情报的生成方法及装置 |
| CN108229153A (zh) * | 2016-12-21 | 2018-06-29 | 青岛祥智电子技术有限公司 | 一种高级持续性威胁攻击的判别方法 |
| CN108234426A (zh) * | 2016-12-21 | 2018-06-29 | ***通信集团安徽有限公司 | Apt攻击告警方法和apt攻击告警装置 |
| CN108446559A (zh) * | 2018-02-13 | 2018-08-24 | 北京兰云科技有限公司 | 一种apt组织的识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110149318A (zh) | 2019-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Arshad et al. | SAMADroid: a novel 3-level hybrid malware detection model for android operating system | |
| CN110210213B (zh) | 过滤恶意样本的方法及装置、存储介质、电子装置 | |
| CN110149318B (zh) | 邮件元数据的处理方法及装置、存储介质、电子装置 | |
| US10735458B1 (en) | Detection center to detect targeted malware | |
| US10218740B1 (en) | Fuzzy hash of behavioral results | |
| CN109829310B (zh) | 相似攻击的防御方法及装置、***、存储介质、电子装置 | |
| US10121000B1 (en) | System and method to detect premium attacks on electronic networks and electronic devices | |
| US9661003B2 (en) | System and method for forensic cyber adversary profiling, attribution and attack identification | |
| CN110149319B (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
| CN110188538B (zh) | 采用沙箱集群检测数据的方法及装置 | |
| CN110691080B (zh) | 自动溯源方法、装置、设备及介质 | |
| CN111221625B (zh) | 文件检测方法、装置及设备 | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| CN107995179B (zh) | 一种未知威胁感知方法、装置、设备及*** | |
| US20220200959A1 (en) | Data collection system for effectively processing big data | |
| CN112019519B (zh) | 网络安全情报威胁度的检测方法、装置和电子装置 | |
| CN113810395B (zh) | 一种威胁情报的检测方法、装置及电子设备 | |
| CN115883223A (zh) | 用户风险画像的生成方法及装置、电子设备、存储介质 | |
| CN110224975B (zh) | Apt信息的确定方法及装置、存储介质、电子装置 | |
| CN110188537B (zh) | 数据的分离存储方法及装置、存储介质、电子装置 | |
| Saeki et al. | Smishing strategy dynamics and evolving botnet activities in japan | |
| Bhardwaj et al. | Sql injection attack detection, evidence collection, and notifying system using standard intrusion detection system in network forensics | |
| Suciu et al. | Mobile devices forensic platform for malware detection | |
| CN113992453A (zh) | 一种防止数据外泄的阻断方法、装置及存储介质 | |
| CN113992371A (zh) | 一种流量日志的威胁标签生成方法、装置及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: 100032 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant after: QAX Technology Group Inc. Address before: 100032 Building 3 332, 102, 28 Xinjiekouwai Street, Xicheng District, Beijing Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |