CN116708019A - 一种云邮箱安全监测方法、装置、设备及存储介质 - Google Patents

一种云邮箱安全监测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN116708019A
CN116708019A CN202310932568.6A CN202310932568A CN116708019A CN 116708019 A CN116708019 A CN 116708019A CN 202310932568 A CN202310932568 A CN 202310932568A CN 116708019 A CN116708019 A CN 116708019A
Authority
CN
China
Prior art keywords
mail
account
preset
algorithm
alarm information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310932568.6A
Other languages
English (en)
Inventor
娄宇
吴悠漾
王澳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202310932568.6A priority Critical patent/CN116708019A/zh
Publication of CN116708019A publication Critical patent/CN116708019A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1483Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/07User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail characterised by the inclusion of specific contents
    • H04L51/08Annexed information, e.g. attachments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/302Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information gathering intelligence information for situation awareness or reconnaissance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1095Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Evolutionary Computation (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请公开了一种云邮箱安全监测方法、装置、设备及存储介质,涉及网络安全技术领域,包括:基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;监控账号为用于监控业务的邮箱账号;根据互联网邮件访问协议以及预先为监控账号配置的邮箱信息从监控账号中拉取待监控账号的邮件,得到拉取后邮件;对拉取后邮件进行解析,获取相应的若干邮件数据,利用预设特征算法以及预设行为算法基于流式分析和离线分析对各邮件数据进行分析,以生成相应的告警信息;基于预设标记算法将告警信息进行置信度标记,基于置信度对告警信息进行相应的自动推送操作或人工分析操作。由此,本申请能够识别恶意邮件,上报告警。实现风险及时发现,风险集中管控。

Description

一种云邮箱安全监测方法、装置、设备及存储介质
技术领域
本发明涉及网络安全技术领域,特别涉及一种云邮箱安全监测方法、装置、设备及存储介质。
背景技术
以邮件为媒介的钓鱼攻击严重威胁着企业的信息安全,过往基于邮件安全网关的防护方案可以在一定程度上过滤一部分的垃圾邮件、钓鱼邮件和病毒邮件,邮件安全网关是一种串联在邮件通信链路中的网络安全设备,通过特征和算法可以识别垃圾邮件,病毒邮件、钓鱼邮件,并根据策略实施拦截和告警。由于是串联设备,为了减少误报,所以通常邮件安全网关的检测阈值相对比较严格,会有少量的垃圾邮件、病毒邮件或者钓鱼邮件会穿透邮件安全网关到达用户的邮箱。同时,作为串联设备,邮件安全网关更多的是针对单封邮件做流式分析,不会针对一段时间内的多封邮件、多个账号等的离线统计关联行为的分析。但是仍然会存在一部分的恶意邮件被投递到收件人文件夹中,这种钓鱼邮件往往可以通过流量监测设备监控。但是目前使用云邮箱的场景下,由于无法引流,所以漏掉收件人文件夹的恶意邮件无法被监控,形成了安全监测的死角,带来了巨大风险。
发明内容
有鉴于此,本发明的目的在于提供一种云邮箱安全监测方法、装置、设备及存储介质,能够解决邮件安全网关无法100%防护钓鱼邮件,且对于漏掉的钓鱼邮件无法监测、当前的邮件网关或者其他安全设备无法监测账号异常以及云邮箱环境下,因无法获取邮件通信流量而无法开展邮件监测的技术问题。其具体方案如下:
第一方面,本申请公开了一种云邮箱安全监测方法,包括:
基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;
根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;
对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;
基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
可选的,所述基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号之后,还包括:
判断当前所述监控账号中的邮件数量是否超过预设邮件数量;
若是,则基于预设删除规则删除全部已读邮件;
若否,则基于预设删除时间删除所述预设删除时间之前的全部已读邮件。
可选的,所述对所述拉取后邮件进行解析,以获取相应的若干邮件数据,包括:
基于电子邮件传输协议读取所述拉取后邮件中的各邮件头的键值,并抽取所述键值中的预设关键信息并对所述拉取后邮件的邮件附件以及邮件正文进行分析,以得到所述若干邮件数据;所述若干邮件数据包括发件人、收件人、实际发件人、发件IP、附件名称、附件哈希值、附件中的统一资源定位符、正文中的统一资源定位符、QQ号码、手机号以及敏感词中的任意一种或几种的组合。
可选的,所述利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息,包括:
将各所述邮件数据与预设情报库进行匹配;
若匹配成功,则生成相应的告警信息;
若匹配失败,则基于预设钓鱼行为检测算法确定各所述邮件数据中是否存在目标行为,若存在所述目标行为,则生成相应的告警信息;所述目标行为包括仿冒域名、仿冒用户名以及仿冒用户业务任意一种或几种的组合;
基于预设账号伪造识别算法确定各所述邮件数据中的用户名,确定所述用户名中的异常用户名,以基于所述异常用户名以及预设域名查询工具确定各所述邮件数据中是否存在伪造账号,若是,则生成相应的告警信息;
基于预设异常链接提取算法将各所述邮件数据与所述预设情报库进行匹配,基于匹配结果确定各所述邮件数据中是否存在异常链接,若存在,则生成相应的告警信息;
基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析,以确定所述待监控账号的收发信行为基线是否偏离预设基准,若是,则判定所述待监控账号异常,并生成相应的告警信息。
可选的,所述基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析之前,还包括:
基于预设周期对所述监控账号的账号行为基线进行学习以确定所述监控账号的行为基线,得到所述预设基准。
可选的,所述方法还包括:
从基于所述预设钓鱼行为检测算法、所述预设账号伪造识别算法、所述预设异常链接提取算法以及所述预设行为基线匹配算法对各所述邮件数据进行分析后生成的告警信息中提取目标字段信息;
基于所述目标字段信息对所述预设情报库进行更新。
可选的,所述基于预设标记算法将所述告警信息进行置信度标记,包括:
将在所述邮件数据与所述预设情报库匹配成功后生成的告警信息的置信度标记为可信;
相应的,所述基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作,包括:
对置信度标记为可信的所述告警信息进行自动推送操作,并对其他的所述告警信息进行人工分析操作,以对所述告警信息进行相应的人工标记。
第二方面,本申请公开了一种云邮箱安全监测装置,包括:
邮件备份模块,用于基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;
邮件拉取模块,用于根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;
数据分析模块,用于对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;
置信度标记模块,用于基于预设标记算法将所述告警信息进行置信度标记;
告警信息处理模块,用于基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的所述的云邮箱安全监测方法的步骤。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的所述的云邮箱安全监测方法的步骤。
由上可知,本申请在对云邮箱进行安全监测时,首先基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;最终基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。可见,本申请首先通过邮件备份的方式实现邮件元数据采集,并利用行为算法以及流式和离线分析方法检测钓鱼邮件,并基于置信度选择自动性告警,实现告警的及时性,进而能够通过邮箱***的备份/过滤功能,将需要监控的邮件备份到一个监控业务账号,然后使用互联网邮件访问协议拉取该监控业务账号中的所有邮件,来解析、分析、识别恶意邮件,上报告警,最终实现风险及时发现,风险集中管控。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种云邮箱安全监测方法流程图;
图2为本申请公开的一种具体的云邮箱安全监测方法流程图;
图3为本申请公开的一种具体的云邮箱安全监测装置结构示意图;
图4为本申请公开的一种云邮箱安全监测装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前主要根据邮件头中的域名、IP(Internet Protocol,互联网协议)和邮件内容中的链接黑名单来识别钓鱼邮件;根据邮件附件的MIME(Multipurpose Internet MailExtensions,多用途互联网邮件扩展)字段与MIME类型等不匹配来识别恶意附件。通常情况下,钓鱼邮件很可能来源于一个可信的域名和IP,因为钓鱼攻击者为了绕过检测,通常会先在黑市购买或者直接盗取正常单位的账号用于发送钓鱼邮件;在邮件接收方面,现有技术主要解决的是用户个人接收到邮件后的一种检测方法,无法实现集中管控。在告警展示方面现有技术主要是提前组建一个消息共享群,一个用户发现钓鱼邮件之后共享给其他用户。通常情况下,这种共享难以为继,以服务的方式来开展相应的工作,应当是服务商发现钓鱼邮件后精准推送给收件方。为了解决上述技术问题,本申请公开了一种云邮箱安全监测方法能够及时识别恶意邮件,并及时告警。
参见图1所示,本发明实施例公开了一种云邮箱安全监测方法,包括:
步骤S11、基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号。
本实施例中,在进行邮件备份之前,要首先创建或者选择一个独占用于监控业务的邮件业务账号,称为监控账号,并确定监测范围、需要监测的邮件账号或者部门,之后便可以根据邮件备份规则,将全部待监控的账号邮件备份到监控账号,这样来实现账号的统一管理。
步骤S12、根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件。
本实施例中,首先配置所述监控账号的邮箱账号、密码、邮箱域名,启动采集引擎,这样采集引擎使用IMAP(Internet Mail Access Protocol,互联网邮件访问协议)协议和配置的账号拉取邮件,由此实现集中管控,且不用再配置企业里面的其它账号。需要指出的是,在基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号之后,要判断当前所述监控账号中的邮件数量是否超过预设邮件数量;若是,则基于预设删除规则删除全部已读邮件;若否,则基于预设删除时间删除所述预设删除时间之前的全部已读邮件。每个账号的邮箱存储是有上限的,企业的邮件都备份到账号,账号文件夹容易撑满,所以要做自适应的文件删除。在这里,本申请公开了一种邮件标记和删除算法,首先默认删除N天前的邮件,或者文件夹最大邮件数量M;具体过程就是:第一、获取当前邮箱的未读邮件数量n;第二、读取这n条邮件,并设置为已读;第三、获取当前邮箱的已读邮箱数量m;第四、如果(m+n)>m,立即启动邮件删除操作,进入步骤四;第五、获取N天前的邮件数量k,并删除这批邮件,判定当前(m+n-k)>m是否成立,如果成立,那么就继续删除N-1天前的邮件,再判定,直到当i所在邮箱的已读邮件数量m<=M。
步骤S13、对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息。
本实施例中,基于电子邮件传输协议读取所述拉取后邮件中的各邮件头的键值,并抽取所述键值中的预设关键信息并对所述拉取后邮件的邮件附件以及邮件正文进行分析,以得到所述若干邮件数据;所述若干邮件数据包括发件人、收件人、实际发件人、发件IP、附件名称、附件哈希值、附件中的统一资源定位符、正文中的统一资源定位符、QQ号码、手机号以及敏感词中的任意一种或几种的组合。就是首先根据电子邮件传输协议,将邮件头的各个键值读取出来,将邮件头的各个键值中关键的键抽取出来,如:发件人、收件人、实际发件人、发件IP等,并识别邮件附件,包含附件名称、附件HASH、附件中的URL(UniversalResource Locator,统一资源定位符);再识别邮件正文中的URL、QQ号、手机号、敏感词等。以此获取相应的若干邮件数据。之后,基于预设特征算法,即根据数据解析上来的各个字段,调用情报模块接口匹配,匹配中情报的邮件,证明邮件存在问题,上送对应的告警。需要指出的是,需要将在所述邮件数据与所述预设情报库匹配成功后生成的告警信息的置信度标记为可信;如果邮件检测命中,就可以跳出本阶段,否则采用预设行为算法检测,对拉取后邮件进行分析,调用预设钓鱼行为检测算法、预设账号伪造识别算法、预设异常链接提取算法,识别账号异常行为,并上送相应的告警信息,同时这里包括了流式分析以及离线分析,对于没有检出的数据,进行离线分析,分析账号的发信行为基线是否偏离基准,如果发现异常,则上送相应的告警信息。
步骤S14、基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
本实施例中,将在所述邮件数据与所述预设情报库匹配成功后生成的告警信息的置信度标记为可信;并对置信度标记为可信的所述告警信息进行自动推送操作,并对其他的所述告警信息进行人工分析操作,以对所述告警信息进行相应的人工标记,人工分析后,标记所述告警信息是真实告警还是误报。由此,本申请通过置信度标记实现了机器自动推送告警,以此保障失效性。
由上可知,本申请在对云邮箱进行安全监测时,首先基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;最终基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。可见,本申请首先通过邮件备份的方式实现邮件元数据采集,并利用行为算法以及流式和离线分析方法检测钓鱼邮件,并基于置信度选择自动性告警,实现告警的及时性,进而能够通过邮箱***的备份、过滤功能,将需要监控的邮件备份到一个监控业务账号,然后使用互联网邮件访问协议拉取该监控业务账号中的所有邮件,来解析、分析、识别恶意邮件,上报告警,最终实现风险及时发现,风险集中管控。
参见图2所示,本发明实施例公开了一种具体的云邮箱安全监测方法,包括:
步骤S21、将各邮件数据与预设情报库进行匹配。
本实施例中,预设情报库包括基于历史经验提供的情报,同时要从基于预设钓鱼行为检测算法、预设账号伪造识别算法、预设异常链接提取算法以及预设行为基线匹配算法对各邮件数据进行分析后生成的告警信息中提取目标字段信息;并基于所述目标字段信息对所述预设情报库进行更新,将各邮件数据与预设情报库进行匹配。
步骤S22、若匹配成功,则生成相应的告警信息。
本实施例中,若各邮件数据与预设情报库匹配成功,则表明当前邮件有问题,则需要生成相应的告警信息,且需要指出的是,这里由情报匹配生成的告警信息可以直接将它的置信度标记为可信,由此之后便可以自动输出,来提高告警输出的及时性。
步骤S23、若匹配失败,则基于预设钓鱼行为检测算法确定各所述邮件数据中是否存在目标行为,若存在所述目标行为,则生成相应的告警信息;所述目标行为包括仿冒域名、仿冒用户名以及仿冒用户业务任意一种或几种的组合。
本实施例中,若各邮件数据与预设情报库匹配失败,则需要基于预设钓鱼行为检测算法确定各所述邮件数据中是否存在目标行为。由于实际情报库中不可能包含世界上所有的钓鱼邮件的情况,所以需要根据钓鱼邮件钓鱼攻击者的行为来检测,而钓鱼攻击者会有以下行为:仿冒域名或仿冒用户名或仿冒用户业务。首先使用数据库记录用户历史所有正常的通信方的域名;提取当前发件人的邮箱后缀域名,逐条与历史的域名根据编辑距离计算相似度,设定阈值为A,A根据经验值来设定,如果计算的编辑距离a<A,那么判定域名相似,存在仿冒域名的可能;之后提取邮件用户名,如果用户名中包含关键字IT、财务、管理员等关键词,那么判定用户名为可疑用户名;如果邮件正文出现修改、账号、打款等关键词,那么标记这封邮件可能是关键邮件,并且如果域名注册时间小于N,N通常小于1年。如果上述描述的行为任意出现两项以上,那么判定为钓鱼行为,需要生成相应的告警信息。
步骤S24、基于预设账号伪造识别算法确定各所述邮件数据中的用户名,确定所述用户名中的异常用户名,以基于所述异常用户名以及预设域名查询工具确定各所述邮件数据中是否存在伪造账号,若是,则生成相应的告警信息。
本实施例中,通过邮件的from头取出邮件账号,并提取@字符之前的部分,这部分是用户名;通过如下步骤识别异常用户名(识别字符串异常排列):
1、将用户名所有字符转ascii编码,形成整数数组array,长度为k;
2、计算字符串array[i]-array[i-1],i<k-1,并将结果存入数组newarray;
3、计算newarray数组所有数值方差,作为平滑度;
4、设定阈值,阈值根据实际收集的样本来计算,根据经验设定为10;
5、平滑度>10的为异常用户名;
如果是异常用户名,提取邮件账号,@字符之后的部分,这部分是域名;使用nslookup(域名查询)工具获取域名的txt记录,如果txt的spf(Sender Policy Framework,发信者策略架构)记录不存在,或者发信ip不在spf允许范围内,那么是任意邮件账号伪造,发件账号无效,需要产生告警。
步骤S25、基于预设异常链接提取算法将各所述邮件数据与所述预设情报库进行匹配,基于匹配结果确定各所述邮件数据中是否存在异常链接,若存在,则生成相应的告警信息。
本实施例中,与目标情报库进行匹配,这里的目标情报库为从基于预设钓鱼行为检测算法、预设账号伪造识别算法、预设异常链接提取算法以及预设行为基线匹配算法对各邮件数据进行分析后生成的告警信息中提取目标字段信息;并基于所述目标字段信息对所述预设情报库进行更新得到的情报库。如果直接匹配中URL中的域名、路径,那么认定异常链接;如果没有命中情报,那么识别链接的行为特征,提取链接的参数,如果链接形如http://test.co m/?Param;如果Param中包含了收件人账户,如mail=[email protected],且以#号结尾,且&字符不超过1个,那么认定为异常;如果Param是base64编码的,那么直接解码,如果解码字符串包含了收件人账户,如mail=[email protected] m,且&字符不超过1个,那么认定为异常,需要生成相应的告警信息。
步骤S26、基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析,以确定所述待监控账号的收发信行为基线是否偏离预设基准,若是,则判定所述待监控账号异常,并生成相应的告警信息。
本实施例中,基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析之前,还包括:基于预设周期对所述监控账号的账号行为基线进行学习以确定所述监控账号的行为基线,得到所述预设基准。例如:
周期内账号正常的发信数量区间为[M1,N1];
周期内账号正常的收信数量区间为[M2,N2];
周期内账号正常的发信通信账号数量为[M3,N3];
周期内账号正常的收信通信账号数量为[M4,N4];
周期内账号正常的发信抄送账号数量为[M5,N5];
周期内账号正常的发信IP集合为IP[ip1、ip2……ipn];
周期内账号正常的发信客户端集合为UA[UA1、UA2……UAN];
之后进行离线分析,即首先定义周期为K,与学习周期一致;计算K天前到当前的数据统计,包含发信数量p1,收信数量p2,发信通信账号数量p3,收信通信账号p4、发信抄送账号p5、发信IP集合A,发信客户端集合B;并设定允许的误差δ1、δ2、δ3、δ4、δ5对应学习的统计量;最后如果p1>N1+δ、p2>N2+δ、p3>N3+δ、p4>N4+δ、p5>N5+δ、其中任意一项成立,那么判定该账号存在异常行为,需要生成相应的告警信息。需要指出的是,如果同一账号的行为被三个或三个以上的算法均检测出异常,则直接将其对应的告警信息的置信度标记为可信。
可见,本申请通过使用流式分析以及离线分析对邮件进行全方位的行为特征分析来准确判断恶意邮件的存在,由此能够解决邮件安全网关无法100%防护钓鱼邮件,且对于漏掉的钓鱼邮件无法监测的问题,以及解决当前的邮件网关或者其他安全设备无法监测账号异常的问题。从而实现风险及时发现,风险集中管控。
基于上述实施例可知,本申请公开了一种云邮箱安全监测方法,能够及时发现邮箱中存在的风险。接下来,将针对基于云邮箱安全监测方法的对应装置进行具体的描述。参见图3所示,本申请实施例公开了一种具体的云邮箱安全监测装置,包括:
本实施例中,装置包括了两个主模块,以及四个子模块,其中引擎模块负责数据的输入和处理,包含钓鱼邮件得采集解析,特性和行为分析,分析生成对应的告警,并根据算法置信度给对应告警打上可信和一般的置信度标签,在分析工作中特征匹配算法会依赖情报模块的数据。同时,整套装置采用旁路部署的方式,引擎模块支持多个引擎串接,支持流式分析和离线分析两种模式,其中,流式分析开展邮件路由和内容异常分析:
1、通过邮件头中的from、to、reply-to、sender、x-sender、x-sender-ip字段识别代发、账号伪造等异常行为;
2、通过提取邮件内容中的链接、附件中的链接,图片二维码转换的链接,基于链接特征和情报匹配识别恶意邮件。
另一方面,离线分析开展账号行为异常分析:
1、以周为单位的周期性账号行为统计学习,学习账号的收发信基线,该基线包含发信账号清单,收信账号清单,抄送账号清单,发送邮件数量,收信邮件数量,发信IP地址,收信IP地址,发信邮件客户端;
2、按天滚动式的统计分析,分析基线偏离情况,如近一周的联系账号数量,收件数量,发件数量,新增发信IP数量。
运营模块主要负责数据的输出和运营,针对置信度为可信的数据可以设置自动输出告警,置信度为一般的数据,经过人工研判后输出告警。针对输出的告警,提取告警中的关键字段,生成对应的情报,情报包含,域名情报、IP情报、URL情报、QQ号情报、手机号情报、附件HASH情报、账号情报等。
采集模块就是配置好监控账号的邮箱账号、密码、邮箱域名之后,启动采集引擎,采集引擎使用IMAP协议和配置的账号从监控账号中拉取邮件,以得到拉取后邮件。接下来,分析模块对拉取后邮件进行分析,包括:对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息,告警模块,就是基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。情报模块是首先查询未提取情报的告警。之后运营人员根据经验选择未提取情报的告警中的发件账号、发件域名、URL、IP、QQ号、手机号、附件HASH字段的其中一个或者多个作为情报。
由上可知,本申请提供一种云邮箱邮件、账号的安全监测装置,为使用了云邮箱的用户提供邮件安全监测能力。通过邮箱***的备份、过滤功能,将需要监控的邮件备份到一个监控业务账号,然后使用IMAP协议拉取该监控业务账号中的所有邮件,解析、分析、识别恶意邮件,上报告警,实现风险及时发现,风险集中管控。
参见图4所示,本发明实施例公开了一种云邮箱安全监测装置,包括:
邮件备份模块11,用于基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;
邮件拉取模块12,用于根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;
数据分析模块13,用于对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;
置信度标记模块14,用于基于预设标记算法将所述告警信息进行置信度标记;
告警信息处理模块15,用于基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
由上可知,本申请在对云邮箱进行安全监测时,首先基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;最终基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。可见,本申请首先通过邮件备份的方式实现邮件元数据采集,并利用行为算法以及流式和离线分析方法检测钓鱼邮件,并基于置信度选择自动性告警,实现告警的及时性,进而能够通过邮箱***的备份、过滤功能,将需要监控的邮件备份到一个监控业务账号,然后使用互联网邮件访问协议拉取该监控业务账号中的所有邮件,来解析、分析、识别恶意邮件,上报告警,最终实现风险及时发现,风险集中管控。
在一些具体的实施例中,所述邮件备份模块11,还可以包括:
邮件数量判断单元,用于判断当前所述监控账号中的邮件数量是否超过预设邮件数量;
第一删除单元,用于若是,则基于预设删除规则删除全部已读邮件;
第二删除单元,用于若否,则基于预设删除时间删除所述预设删除时间之前的全部已读邮件。
在一些具体的实施例中,所述数据分析模块13,具体可以包括:
数据分析单元,用于基于电子邮件传输协议读取所述拉取后邮件中的各邮件头的键值,并抽取所述键值中的预设关键信息并对所述拉取后邮件的邮件附件以及邮件正文进行分析,以得到所述若干邮件数据;所述若干邮件数据包括发件人、收件人、实际发件人、发件IP、附件名称、附件哈希值、附件中的统一资源定位符、正文中的统一资源定位符、QQ号码、手机号以及敏感词中的任意一种或几种的组合。
在一些具体的实施例中,所述数据分析模块13,具体可以包括:
数据匹配单元,用于将各所述邮件数据与预设情报库进行匹配;
第一告警生成单元,用于若匹配成功,则生成相应的告警信息;
第二告警生成单元,用于若匹配失败,则基于预设钓鱼行为检测算法确定各所述邮件数据中是否存在目标行为,若存在所述目标行为,则生成相应的告警信息;所述目标行为包括仿冒域名、仿冒用户名以及仿冒用户业务任意一种或几种的组合;
第三告警生成单元,用于基于预设账号伪造识别算法确定各所述邮件数据中的用户名,确定所述用户名中的异常用户名,以基于所述异常用户名以及预设域名查询工具确定各所述邮件数据中是否存在伪造账号,若是,则生成相应的告警信息;
第四告警生成单元,用于基于预设异常链接提取算法将各所述邮件数据与所述预设情报库进行匹配,基于匹配结果确定各所述邮件数据中是否存在异常链接,若存在,则生成相应的告警信息;
第五告警生成单元,用于基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析,以确定所述待监控账号的收发信行为基线是否偏离预设基准,若是,则判定所述待监控账号异常,并生成相应的告警信息。
在一些具体的实施例中,所述数据分析模块13,还可以包括:
行为基线学习单元,用于基于预设周期对所述监控账号的账号行为基线进行学习以确定所述监控账号的行为基线,得到所述预设基准。
在一些具体的实施例中,所述装置,还可以包括:
目标字段信息提取模块,用于从基于所述预设钓鱼行为检测算法、所述预设账号伪造识别算法、所述预设异常链接提取算法以及所述预设行为基线匹配算法对各所述邮件数据进行分析后生成的告警信息中提取目标字段信息;
更新模块,用于基于所述目标字段信息对所述预设情报库进行更新。
在一些具体的实施例中,所述置信度标记模块14,具体可以包括:
置信度标记单元,用于将在所述邮件数据与所述预设情报库匹配成功后生成的告警信息的置信度标记为可信;
相应的,所述告警信息处理模块15,具体可以包括:
告警信息处理单元,用于对置信度标记为可信的所述告警信息进行自动推送操作,并对其他的所述告警信息进行人工分析操作,以对所述告警信息进行相应的人工标记。
进一步的,本申请实施例还公开了一种电子设备,图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备20的结构示意图。该电子设备20,具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现前述任一实施例公开的云邮箱安全监测方法中的相关步骤。另外,本实施例中的电子设备20具体可以为电子计算机。
本实施例中,电源23用于为电子设备20上的各硬件设备提供工作电压;通信接口24能够为电子设备20创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源可以包括操作***221、计算机程序222等,存储方式可以是短暂存储或者永久存储。
其中,操作***221用于管理与控制电子设备20上的各硬件设备以及计算机程序222,其可以是Windows Server、Netware、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备20执行的云邮箱安全监测方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。
进一步的,本申请还公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的云邮箱安全监测方法。关于该方法的具体步骤可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的技术方案进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。

Claims (10)

1.一种云邮箱安全监测方法,其特征在于,包括:
基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;
根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;
对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;
基于预设标记算法将所述告警信息进行置信度标记,并基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
2.根据权利要求1所述的云邮箱安全监测方法,其特征在于,所述基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号之后,还包括:
判断当前所述监控账号中的邮件数量是否超过预设邮件数量;
若是,则基于预设删除规则删除全部已读邮件;
若否,则基于预设删除时间删除所述预设删除时间之前的全部已读邮件。
3.根据权利要求1所述的云邮箱安全监测方法,其特征在于,所述对所述拉取后邮件进行解析,以获取相应的若干邮件数据,包括:
基于电子邮件传输协议读取所述拉取后邮件中的各邮件头的键值,并抽取所述键值中的预设关键信息并对所述拉取后邮件的邮件附件以及邮件正文进行分析,以得到所述若干邮件数据;所述若干邮件数据包括发件人、收件人、实际发件人、发件IP、附件名称、附件哈希值、附件中的统一资源定位符、正文中的统一资源定位符、QQ号码、手机号以及敏感词中的任意一种或几种的组合。
4.根据权利要求1至3任一项所述的云邮箱安全监测方法,其特征在于,所述利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息,包括:
将各所述邮件数据与预设情报库进行匹配;
若匹配成功,则生成相应的告警信息;
若匹配失败,则基于预设钓鱼行为检测算法确定各所述邮件数据中是否存在目标行为,若存在所述目标行为,则生成相应的告警信息;所述目标行为包括仿冒域名、仿冒用户名以及仿冒用户业务任意一种或几种的组合;
基于预设账号伪造识别算法确定各所述邮件数据中的用户名,确定所述用户名中的异常用户名,以基于所述异常用户名以及预设域名查询工具确定各所述邮件数据中是否存在伪造账号,若是,则生成相应的告警信息;
基于预设异常链接提取算法将各所述邮件数据与所述预设情报库进行匹配,基于匹配结果确定各所述邮件数据中是否存在异常链接,若存在,则生成相应的告警信息;
基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析,以确定所述待监控账号的收发信行为基线是否偏离预设基准,若是,则判定所述待监控账号异常,并生成相应的告警信息。
5.根据权利要求4所述的云邮箱安全监测方法,其特征在于,所述基于预设行为基线匹配算法对当前各所述邮件数据中还未经过检测的数据进行离线分析之前,还包括:
基于预设周期对所述监控账号的账号行为基线进行学习以确定所述监控账号的行为基线,得到所述预设基准。
6.根据权利要求4所述的云邮箱安全监测方法,其特征在于,还包括:
从基于所述预设钓鱼行为检测算法、所述预设账号伪造识别算法、所述预设异常链接提取算法以及所述预设行为基线匹配算法对各所述邮件数据进行分析后生成的告警信息中提取目标字段信息;
基于所述目标字段信息对所述预设情报库进行更新。
7.根据权利要求4所述的云邮箱安全监测方法,其特征在于,所述基于预设标记算法将所述告警信息进行置信度标记,包括:
将在所述邮件数据与所述预设情报库匹配成功后生成的告警信息的置信度标记为可信;
相应的,所述基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作,包括:
对置信度标记为可信的所述告警信息进行自动推送操作,并对其他的所述告警信息进行人工分析操作,以对所述告警信息进行相应的人工标记。
8.一种云邮箱安全监测装置,其特征在于,包括:
邮件备份模块,用于基于邮件备份规则将待监控账号的邮件备份至预先创建的监控账号;所述监控账号为用于监控业务的邮箱账号;
邮件拉取模块,用于根据互联网邮件访问协议以及预先为所述监控账号配置的邮箱信息从所述监控账号中拉取所述待监控账号的邮件,以得到拉取后邮件;
数据分析模块,用于对所述拉取后邮件进行解析,以获取相应的若干邮件数据,并利用预设特征算法以及预设行为算法基于流式分析和离线分析对各所述邮件数据进行分析,以生成相应的告警信息;
置信度标记模块,用于基于预设标记算法将所述告警信息进行置信度标记;
告警信息处理模块,用于基于所述置信度对所述告警信息进行相应的自动推送操作或人工分析操作。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的云邮箱安全监测方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的云邮箱安全监测方法的步骤。
CN202310932568.6A 2023-07-26 2023-07-26 一种云邮箱安全监测方法、装置、设备及存储介质 Pending CN116708019A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310932568.6A CN116708019A (zh) 2023-07-26 2023-07-26 一种云邮箱安全监测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310932568.6A CN116708019A (zh) 2023-07-26 2023-07-26 一种云邮箱安全监测方法、装置、设备及存储介质

Publications (1)

Publication Number Publication Date
CN116708019A true CN116708019A (zh) 2023-09-05

Family

ID=87845430

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310932568.6A Pending CN116708019A (zh) 2023-07-26 2023-07-26 一种云邮箱安全监测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN116708019A (zh)

Similar Documents

Publication Publication Date Title
US20200296116A1 (en) Security system for detection and mitigation of malicious communications
JP4688420B2 (ja) 電子セキュリティを強化するシステムおよび方法
CA2840992C (en) Syntactical fingerprinting
US7325249B2 (en) Identifying unwanted electronic messages
US11985142B2 (en) Method and system for determining and acting on a structured document cyber threat risk
US20230007042A1 (en) A method and system for determining and acting on an email cyber threat campaign
US20110296519A1 (en) Reputation based connection control
US7958557B2 (en) Determining a source of malicious computer element in a computer network
US10574658B2 (en) Information security apparatus and methods for credential dump authenticity verification
CN114095274B (zh) 一种攻击研判方法及装置
GB2458094A (en) URL interception and categorization in firewalls
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CA2478299A1 (en) Systems and methods for enhancing electronic communication security
JP2012511842A (ja) 電子メッセージング統合エンジン
CN111404805A (zh) 一种垃圾邮件检测方法、装置、电子设备及存储介质
US10333974B2 (en) Automated processing of suspicious emails submitted for review
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
CN110933115A (zh) 基于动态session的分析对象行为异常检测方法及装置
Khade et al. Detection of phishing websites using data mining techniques
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
Ali et al. Deceptive phishing detection system: from audio and text messages in instant messengers using data mining approach
WO2011153582A1 (en) Electronic messaging recovery engine
WO2023172462A1 (en) A system to detect malicious emails and email campaigns
CN116708019A (zh) 一种云邮箱安全监测方法、装置、设备及存储介质
Morovati et al. Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination