邮件元数据的处理方法及装置、存储介质、电子装置与流程

本发明涉及网络安全领域，具体而言，涉及一种邮件元数据的处理方法及装置、存储介质、电子装置。
背景技术：
：：网络攻击是黑客或者病毒木马等对电子设备发起的攻击，通过窃取文件等给用户带来了巨大损失。在对高级持续性威胁(advancedpersistentthreat，apt)团伙进行追踪发现时，主要依据网络传播中的恶意文件、钓鱼邮件等攻击进行上下文关联分析。攻击者利用恶意程序对网络及信息系统进行入侵控制，达到窃取敏感数据和破坏系统和网络环境的目的，亟待提高对企业网络中传播的恶意样本检测率和批量分析能力。相关技术中，在计算机安全领域内，目前网络攻击变得越来越专业化和针对性。面对这样的攻击事件，往往缺少对该攻击事件的整体认识，而对其防御也是各自为战，并没有形成一个很好的防御体系。比如apt(高级持续性威胁)攻击或者“震网”病毒，这种攻击是有目的性和针对性的，只对特定的行业或者某些目标系统才具有攻击性。而目前没有方案当这些攻击事件在小范围内发生时，能够提前获得威胁情报，并在大范围内进行预警和防御。导致网络攻击的防御滞后。针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。技术实现要素：本发明实施例提供了一种邮件元数据的处理方法及装置、存储介质、电子装置。根据本发明的一个实施例，提供了一种邮件元数据的处理方法，包括：采集邮件样本；采用网络本体语言owl规则识别所述邮件样本的文件类型；根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。可选的，根据所述文件类型抽取所述邮件样本的元数据包括：判断所述邮件样本的文件类型是否为以下指定类型；在所述邮件样本的文件类型为所述指定类型时，抽取所述邮件样本的以下元数据至少之一：文件路径信息、附件信息、路由信息、修改记录信息、地址信息。可选的，根据所述文件类型抽取所述邮件样本的元数据包括：根据文件类型抽取所述邮件样本的元信息，其中，所述元信息包括以下至少之一：可移植的执行体pe的字节数、签名信息、程序数据库文件pdb路径，其中，每个文件类型对应一个或多个元信息。可选的，采用owl规则识别所述邮件样本的文件类型包括：采用多个检测引擎识别所述邮件样本的文件类型，其中，每个检测引擎对应一套owl规则。可选的，在根据所述文件类型抽取所述邮件样本的元数据之后，所述方法还包括：将所述元数据传送至沙箱集群，生成所述邮件样本的检测结果；将所述邮件样本和所述检测结果关联后存储至高级持续性威胁apt攻击的情报数据库。根据本发明的另一个实施例，提供了一种邮件元数据的处理装置，包括：采集模块，用于采集邮件样本；识别模块，用于采用网络本体语言owl规则识别所述邮件样本的文件类型；设置模块，用于根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；识别模块，用于根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。可选的，所述设置模块包括：判断单元，用于判断所述邮件样本的文件类型是否为以下指定类型；第一抽取单元，用于在所述邮件样本的文件类型为所述指定类型时，抽取所述邮件样本的以下元数据至少之一：文件路径信息、附件信息、路由信息、修改记录信息、地址信息。可选的，所述设置模块包括：第二抽取单元，用于根据文件类型抽取所述邮件样本的元信息，其中，所述元信息包括以下至少之一：可移植的执行体pe的字节数、签名信息、程序数据库文件pdb路径，其中，每个文件类型对应一个或多个元信息。可选的，所述识别模块包括：识别单元，用于采用多个检测引擎识别所述邮件样本的文件类型，其中，每个检测引擎对应一套owl规则。可选的，所述装置还包括：生成模块，用于在所述设置模块根据所述文件类型抽取所述邮件样本的元数据之后，将所述元数据传送至沙箱集群，生成所述邮件样本的检测结果；存储模块，用于将所述邮件样本和所述检测结果关联后存储至高级持续性威胁apt攻击的情报数据库。根据本发明的又一个实施例，还提供了一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。根据本发明的又一个实施例，还提供了一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。通过本发明，采集邮件样本，然后采用网络本体语言owl规则识别所述邮件样本的文件类型，最后根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签，最后通过元数据标签的数据信息来识别apt类型的威胁文件，通过对邮件样本的分类检测和标记入库，解决了相关技术中识别apt类型的威胁文件效率低下的技术问题。极大提高了运营分析人员对邮件样本的分析追踪定位能力，对安全人员追踪apt攻击者的身份信息有极大的帮助。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：图1是本发明实施例的一种邮件元数据的处理服务器的硬件结构框图；图2是根据本发明实施例的一种邮件元数据的处理方法的流程图；图3是本发明实施例完整的业务逻辑图；图4是本发明实施例的业务流程图；图5是根据本发明实施例的邮件元数据的处理装置的结构框图。具体实施方式为了使本
技术领域：
：的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。实施例1本申请实施例一所提供的方法实施例可以在服务器或者类似的运算装置中执行。以运行在服务器上为例，图1是本发明实施例的一种邮件元数据的处理服务器的硬件结构框图。如图1所示，服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器mcu或可编程逻辑器件fpga等的处理装置)和用于存储数据的存储器104，可选地，上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述服务器的结构造成限定。例如，服务器10还可包括比图1中所示更多或者更少的组件，或者具有与图1所示不同的配置。存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如本发明实施例中的一种邮件元数据的处理方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中，传输装置106包括一个网络适配器(networkinterfacecontroller，简称为nic)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输装置106可以为射频(radiofrequency，简称为rf)模块，其用于通过无线方式与互联网进行通讯。在本实施例中提供了一种邮件元数据的处理方法，图2是根据本发明实施例的一种邮件元数据的处理方法的流程图，如图2所示，该流程包括如下步骤：步骤s202，采集邮件样本；本实施例的邮件样本包括利用网络或者硬件实体存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击的代码，软件，程序，文件等。在获取邮件样本之后，还检测邮件样本的文件类型或运行所述邮件样本的设备类型，其中，文件类型包括公有文件，私有文件，在邮件样本为公有文件时，将邮件样本发送至公用的云端服务器，在邮件样本为私有文件时，将邮件样本发送至私有的云端服务器或本地服务器，在另一方面，在设备类型为指定环境的设备(如政府机关，金融结构等保密性较强的单位的设备)时，将邮件样本发送至私有的云端服务器或本地服务器，在设备类型为通用环境的设备时，将邮件样本发送至公用的云端服务器。其中，公用的云端服务器，私有的云端服务器或本地服务器设置有用于运行owl规则的引擎。步骤s204，采用网络本体语言owl规则识别所述邮件样本的文件类型；步骤s206，根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；步骤s208，根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。通过上述步骤，采集邮件样本，然后采用网络本体语言owl规则识别所述邮件样本的文件类型，最后根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签，最后通过元数据标签的数据信息来识别apt类型的威胁文件，通过对邮件样本的分类检测和标记入库，解决了相关技术中识别apt类型的威胁文件效率低下的技术问题。极大提高了运营分析人员对邮件样本的分析追踪定位能力，对安全人员追踪apt攻击者的身份信息有极大的帮助。本实施例的一个实施方式中，根据所述文件类型抽取所述邮件样本的元数据包括：判断所述邮件样本的文件类型是否为指定类型，其中指定类型可以但不限于为：pe、lnk(lnk文件是用于指向其他文件的一种文件，也称为快捷方式文件)、ole(objectlinkingandembedding，对象连接与嵌入)、rtf(富文本格式，richtextformat)、chm(compiledhtml)、vbe(编译后(加密)的vbs代码，通常打开不能直接看到源代码)、pdf(portabledocumentformat，便携式文档格式、swf(shockwaveflash)、zip(一种文件的压缩算法)、active_mime(activemultipurposeinternetmailextensions，活性多用途互联网邮件扩展类型)、mail、rar(一种文件的压缩算法)；在所述邮件样本的文件类型为所述指定类型时，抽取所述邮件样本的以下元数据至少之一：文件路径信息、附件信息、路由信息、修改记录信息、地址信息，具体包括：原始文件路径file_path、标记tag(比如标记该样本来源或者组织：apt-08)、文件大小stream_size、ssdeep相似度算法结果、pdb路径、pe头信息pe_header_info、版本信息version_info、完整路径fullpath、图标路径string_dat_iconlocation、ole类型字段mail发送信息、发送者sender_name、发送者邮件地址sender_email_addres、发送者smtp地址sender_smtp_address、接收者receiver_name、接收者显示名称receiver_display_name(可不包含邮件地址)、抄送者cc_display_name、最后修改者last_modifier、创建者名称creator_name、主题subject、邮件内容body、eml格式的邮件说明transport_message_header、附件名称attachment_name、宏信息macro_info、表格信息sheet_info、漏洞利用信息exploit_info(如包含漏洞，漏洞名称)、摘要信息summary_info、主题subject、创建者creator、创建时间created_time、修改时间modified_time。然后进行元数据标记和入库，对于邮件信息进行管理，还可以发送给沙箱，沙箱接收元数据，同时通过多引擎检测，生成数据检测结果。可选的，根据所述文件类型抽取所述邮件样本的元数据包括：根据文件类型抽取所述邮件样本的元信息，其中，所述元信息包括以下至少之一：可移植的执行体pe的字节数、签名信息、程序数据库文件pdb路径，其中，每个文件类型对应一个或多个元信息。具体的，采用owl规则识别所述邮件样本的文件类型包括：采用多个检测引擎识别所述邮件样本的文件类型，其中，每个检测引擎对应一套owl规则。本实施例的多引擎是指多个恶意检测引擎，如杀毒引擎bitdefender。owl引擎会识别文件类型，根据各种文件类型抽取相应的元信息数据，比如pe有多少个节、是否有签名、签名是什么、pdb路径等。在本实施例的一个实施方式中，在根据所述文件类型抽取所述邮件样本的元数据之后，所述方法还包括：将所述元数据传送至沙箱集群，生成所述邮件样本的检测结果；将所述邮件样本和所述检测结果关联后存储至高级持续性威胁apt攻击的情报数据库。本实施例的情报数据库包括ioc指标信息，apt的组织信息，成员身份信息，以及apt攻击手段，范围，时间，对象等信息。本实施例的方案可以进行基于恶意样本的apt分析，整体而言，在apt分析时，提供一种对海量文件抽取的恶意信息，并提取相关atp组织ioc(indicatorsofcompromise，攻陷指示器，攻陷指标或入侵指标)以及ttp(tactics,techniques,andprocedures，手段技术过程)信息维护(如通过对各查询的ioc指标信息特征提取，将其进行标记化，元数据抽取处理，同时提取相关apt组织信息并关联上下文信息，同时记录战术、战技等相关信息)，同时对邮件样本、恶意文件样本进行元数据的抽取管理，提供恶意样本及恶意邮件信息的样本识别和结果展示。同时记录受影响用户的ip和攻击过程信息，将攻击活动及上下文信息记录在数据存储平台中，对文件样本的交互进行关联分析。通过此方法，对恶意样本进行apt团伙的攻击分析及运营，达到对攻击团伙的发现及持续追踪，该装置将样本分析和运营的效率大大提高。在本实施例的一个完整的实施方案中，包括以下功能模块，按照时序分别为：网络采集器，静态沙箱，动态沙箱，高对抗沙箱集群，情报匹配模块，事件响应模块。网络采集器：通过自动化方式对接样本输入，如投递邮件附件，将原始文件进行批量自动化投递，上传至沙箱接口；静态沙箱：通过静态沙箱首先对样本文件进行静态检测，匹配恶意文件静态规则。通过提取文件元数据进行信息获取，包括文件名、文件类型、文件类型匹配度、文件大小、md5(消息摘要算法，message-digestalgorithm)、sha(securehashalgorithm，安全散列算法)1、sha256、sha512、ssdeep等。同时通过owl(ontologywedlanguage，网上本体语言)静态引擎规则，进行文件的检测与筛选；动态沙箱：模拟动态执行，分析主机行为并得出网络行为及运行时截图，同时抓取网络流量及样本；高对抗沙箱集群：存储海量数据及各检测结果信息，同时包括文件型数据存储，所有沙箱结果相关历史数据及文件型数据存储在集群中；情报匹配模块：沙箱检测模块匹配ioc结果，关联上下文后，得到家族信息以及访问的恶意域名以及历史解析地址，能够更准确的定位到恶意样本的家族信息及apt团伙关联分析。如通过在沙箱中查询某个恶意样本，关联威胁情报信息及whois(一种用来查询域名的ip以及所有者等信息的传输协议)历史信息，能够给该文件相关的所有信息；事件响应模块：统计及处置当前分析样本的结果，同时提供案件管理及事件关联，在各引擎及检测规则的实时更新下，用于情报的二次生产。图3是本发明实施例完整的业务逻辑图，图4是本发明实施例的业务流程图，包括：流量采集流程，负责将收集的样本进行自动化采集和批量投递，主要为流量采集器和样本采集器；沙箱检测流程：分为静态检测沙箱和动态检测沙箱。通过高对抗沙箱集群，采用静态owl过滤提取引擎进行文本语义分析和筛选，其中，静态owl规则是基于语义及文件元信息，对文本数据进行检测提取，owl引擎会识别文件类型，根据各种文件类型抽取相应的元信息数据，比如pe(portableexecutable,即可移植的执行体)有多少个节、是否有签名、签名是什么、pdb(programdatabasefile,程序数据库文件)路径，投递到相应的静态和动态沙箱之中；数据存储与响应流程：负责沙箱的apt家族信息关联及案件入库，并生产新的情报。可选地，上述步骤的执行主体可以为连接一个或多个客户端或服务器的云端服务器或本地服务器等，客户端可以是移动终端，pc等，但不限于此。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。实施例2在本实施例中还提供了一种邮件元数据的处理装置，可以是服务器，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。图5是根据本发明实施例的邮件元数据的处理装置的结构框图，可以应用在服务器中，如图5所示，该装置包括：采集模块50，识别模块52，设置模块54，其中，采集模块50，用于采集邮件样本；识别模块52，用于采用网络本体语言owl规则识别所述邮件样本的文件类型；设置模块54，用于根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；识别模块56，用于根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。可选的，所述设置模块包括：判断单元，用于判断所述邮件样本的文件类型是否为指定类型，其中，指定类型可以但不限于为：pe、lnk、ole、rtf、chm、vbe、pdf、swf、zip、active_mime、mail、rar；第一抽取单元，用于在所述邮件样本的文件类型为所述指定类型时，抽取所述邮件样本的以下元数据至少之一：文件路径信息、附件信息、路由信息、修改记录信息、地址信息，具体的，元数据可以但不限于为：原始文件路径file_path、标记tag、文件大小stream_size、ssdeep相似度算法结果、pdb路径、pe头信息pe_header_info、版本信息version_info、完整路径fullpath、图标路径string_dat_iconlocation、ole类型字段mail发送信息、发送者sender_name、发送者邮件地址sender_email_addres、发送者smtp地址sender_smtp_address、接收者receiver_name、接收者显示名称receiver_display_name、抄送者cc_display_name、最后修改者last_modifier、创建者名称creator_name、主题subject、邮件内容body、eml格式的邮件说明transport_message_header、附件名称attachment_name、宏信息macro_info、表格信息sheet_info、漏洞利用信息exploit_info、摘要信息summary_info、主题subject、创建者creator、创建时间created_time、修改时间modified_time。可选的，所述设置模块包括：第二抽取单元，用于根据文件类型抽取所述邮件样本的元信息，其中，所述元信息包括以下至少之一：可移植的执行体pe的字节数、签名信息、程序数据库文件pdb路径，其中，每个文件类型对应一个或多个元信息。可选的，所述识别模块包括：识别单元，用于采用多个检测引擎识别所述邮件样本的文件类型，其中，每个检测引擎对应一套owl规则。可选的，所述装置还包括：生成模块，用于在所述设置模块根据所述文件类型抽取所述邮件样本的元数据之后，将所述元数据传送至沙箱集群，生成所述邮件样本的检测结果；存储模块，用于将所述邮件样本和所述检测结果关联后存储至高级持续性威胁apt攻击的情报数据库。需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述模块均位于同一处理器中；或者，上述各个模块以任意组合的形式分别位于不同的处理器中。实施例3本发明的实施例还提供了一种存储介质，该存储介质中存储有计算机程序，其中，该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行以下步骤的计算机程序：s1，采集邮件样本；s2，采用网络本体语言owl规则识别所述邮件样本的文件类型；s3，根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；s4，根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。可选地，在本实施例中，上述存储介质可以包括但不限于：u盘、只读存储器(read-onlymemory，简称为rom)、随机存取存储器(randomaccessmemory，简称为ram)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。本发明的实施例还提供了一种电子装置，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。可选地，上述电子装置还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：s1，采集邮件样本；s2，采用网络本体语言owl规则识别所述邮件样本的文件类型；s3，根据所述文件类型抽取所述邮件样本的元数据，并设置元数据标签；s4，根据所述元数据标签从用户文件中提取数据信息，并根据所述数据信息判断所述用户文件是否为识别高级持续性威胁apt类型的威胁文件。可选地，本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，本实施例在此不再赘述。上述本申请实施例序号仅仅为了描述，不代表实施例的优劣。在本申请的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。以上所述仅是本申请的优选实施方式，应当指出，对于本
技术领域：
：的普通技术人员来说，在不脱离本申请原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本申请的保护范围。当前第1页12当前第1页12