一种基于钓鱼邮件溯源APT攻击事件的方法及系统与流程

本发明涉及网络安全技术领域，尤其涉及一种基于钓鱼邮件溯源APT攻击事件的方法及系统。

背景技术：

随着计算机网络的发展，互联网已经成为人们日常生活中不可或缺的部分。而由于操作系统及软件应用等层出不穷的漏洞，导致互联网的安全问题越来越严重。

目前电子邮件已经成为人们日常工作交流的重要工具，而对于APT攻击来说，通过社会工程学发起钓鱼邮件的攻击也为最常用的攻击手段，攻击者通过对攻击目标搜集大量的信息，并盗取目标可信的或仿冒可信的方式，进行对目标发起攻击，从而使用户遭受攻击。

而对于APT攻击来说，主要包括几个阶段，如定向情报搜集、建立据点、远程控制、横向渗透、数据搜集回传等，其中依托于钓鱼邮件发起攻击所占的比例较大，通过钓鱼邮件对目标进行信息搜集并发起攻击建立据点，这样成功的话，攻击者就可以进行后续的潜伏或搜集敏感数据，因此钓鱼邮件的处理是非常重要的，而对于钓鱼邮件常常可能会被忽略或没有进一步溯源分析，导致无法发现后续的攻击行为。

技术实现要素：

针对上述技术问题，本发明所述的技术方案通过分析已知钓鱼邮件并生成攻击溯源库，并将未知邮件与所述攻击溯源库进行关联分析进而及时发现APT攻击事件。

本发明采用如下方法来实现：一种基于钓鱼邮件溯源APT攻击事件的方法，包括：

解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；

分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；

将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；

其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。

进一步地，所述分析邮件元数据、正文信息和附件信息，并生成攻击溯源库，包括：

分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；

分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；

分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；

分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；

分析附件文件，获取附件文件的版本信息并记入攻击溯源库。

更进一步地，所述获取域名注册人相关信息，包括：域名注册人、注册邮箱、所述域名注册人注册的其他域名信息。

上述方法中，所述将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测，包括：

将未知邮件的发件人与攻击溯源库中发件人邮箱地址和发件邮箱域对比，若匹配度超过预设值，则进行深度检测；

分析未知邮件的收件人域，获得收件人域所涉及的行业关键词；

分析未知邮件的正文内容和附件文件，并进行分词处理，获取关键词并与所述行业关键词对比，若匹配成功则进行深度检测；

将未知邮件涉及的关键词与攻击溯源库中的关键词及出现频率对比，若出现频率相当则进行深度检测；

将未知邮件的正文内容和附件文件中的URL与攻击溯源库中的域名注册人相关信息对比，若匹配成功则进行深度检测；

获取未知邮件的附件文件的版本信息并与攻击溯源库中的版本信息对比，若匹配成功则进行深度检测。

其中，所述进行深度检测，包括：

检测未知邮件的附件文件是否存在恶意性，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件；

动态分析未知邮件是否存在恶意行为，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件。

本发明可以采用如下系统来实现：一种基于钓鱼邮件溯源APT攻击事件的系统，包括：

钓鱼邮件解析模块，用于解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；

攻击溯源库生成模块，用于分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；

邮件关联分析模块，用于将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；

其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。

进一步地，所述攻击溯源库生成模块，具体用于：

分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；

分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；

分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；

分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；

分析附件文件，获取附件文件的版本信息并记入攻击溯源库。

更进一步地，所述获取域名注册人相关信息，包括：域名注册人、注册邮箱、所述域名注册人注册的其他域名信息。

上述系统中，所述邮件关联分析模块，具体用于：

将未知邮件的发件人与攻击溯源库中发件人邮箱地址和发件邮箱域对比，若匹配度超过预设值，则进行深度检测；

分析未知邮件的收件人域，获得收件人域所涉及的行业关键词；

分析未知邮件的正文内容和附件文件，并进行分词处理，获取关键词并与所述行业关键词对比，若匹配成功则进行深度检测；

将未知邮件涉及的关键词与攻击溯源库中的关键词及出现频率对比，若出现频率相当则进行深度检测；

将未知邮件的正文内容和附件文件中的URL与攻击溯源库中的域名注册人相关信息对比，若匹配成功则进行深度检测；

获取未知邮件的附件文件的版本信息并与攻击溯源库中的版本信息对比，若匹配成功则进行深度检测。

其中，所述进行深度检测，包括：

检测未知邮件的附件文件是否存在恶意性，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件；

动态分析未知邮件是否存在恶意行为，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件。

综上，本发明给出一种基于钓鱼邮件溯源APT攻击事件的方法及系统，通过对钓鱼邮件进行分析溯源，从而发现与该钓鱼邮件有关联的攻击行为，来发现APT攻击事件。首先对钓鱼邮件进行解析，获得钓鱼邮件的邮件元数据、正文信息和附件信息，并对邮件元数据进行拆分建立邮件元数据库；对邮件的正文内容和附件文件通过分词器对其进行分词处理，建立分词库；提取附件文件的版本信息，并建立版本信息库。结合所述邮件元数据库、分词库和版本信息库生成攻击溯源库，进而确定已知钓鱼邮件的攻击者信息，并与其他未知邮件进行相似度关联分析，从中发现与之攻击者信息相关的邮件数据，并且借助多引擎检测或行为分析等方式自动化判定邮件附件的恶意行为，如果发现存在恶意代码，并且为漏洞、窃密木马或远控木马等与提权和窃密相关的恶意代码，则可以判定与之相关的未知邮件与该钓鱼邮件属于同一个APT攻击事件。

有益效果为：本发明所述技术方案能够利用已知钓鱼邮件及时发现和定位APT攻击事件，进而降低可能带来的损失。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明提供的一种基于钓鱼邮件溯源APT攻击事件的方法实施例流程图；

图2为本发明提供的一种基于钓鱼邮件溯源APT攻击事件的系统实施例结构图。

具体实施方式

本发明给出了一种基于钓鱼邮件溯源APT攻击事件的方法及系统实施例，为了使本技术领域的人员更好地理解本发明实施例中的技术方案，并使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明中技术方案作进一步详细的说明：

本发明首先提供了一种基于钓鱼邮件溯源APT攻击事件的方法实施例，如图1所示，包括：

S101：解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；由于针对钓鱼邮件本身的检测方法已经很成熟并且不是本发明的重点，在此不做赘述。

其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。

S102：分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；目的在于统计钓鱼邮件的攻击者相关信息。

具体地，根据需要选择下述一种或者两种以上操作的组合：

分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；其中，所述发件邮箱域为发件人邮箱地址中@后面的部分，例如：@qq.com；

分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；用于统计攻击者针对的目标范围；

分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；其中，所述分词处理属于机器学习中的分词技术，即对目标内容按照单词拆分，如结巴分词等；

分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；其中，在所述获取域名注册人相关信息之前还包括：对正文内容和附件文件中URL进行白名单过滤；所述获取域名注册人相关信息，包括：域名注册人、注册邮箱、以及通过whois反向查询获得该注册人或者注册邮箱注册的的其他域名信息。

分析附件文件，获取附件文件的版本信息并记入攻击溯源库。所述版本信息包括：创建时间、修改时间、修改人等等。目的在于可以从中提取版本信息中的开发工具、开发者名称、第一次编译时间（创建文档的时间）、最后一次修改时间（可以用来发现其工作时区）等。

S103：将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；

具体地，根据需要选择下述一种或者两种以上操作的组合：

将未知邮件的发件人与攻击溯源库中发件人邮箱地址和发件邮箱域对比，若匹配度超过预设值，则进行深度检测；

例如：相似发件人地址：xyz-0006@xxx.com与xyz-0007@xxx.com相似；

相似发件人地址：0049002459@yyy.com与0049003451@yyy.com相似；

分析未知邮件的收件人域，获得收件人域所涉及的行业关键词；继续分析未知邮件的正文内容和附件文件，并进行分词处理，获取关键词并与所述行业关键词对比，若匹配成功则进行深度检测；若匹配成功则认为该未知邮件是有针对性的可疑邮件；

将未知邮件涉及的关键词与攻击溯源库中的关键词及出现频率对比，若出现频率相当则进行深度检测；其中，若出现频率相当则说明未知邮件为疑似同一攻击者发起的多起钓鱼邮件之一，在确定该未知邮件为钓鱼邮件后，可以对其进行分析并更新攻击溯源库；

将未知邮件的正文内容和附件文件中的URL与攻击溯源库中的域名注册人相关信息对比，若匹配成功则进行深度检测；

获取未知邮件的附件文件的版本信息并与攻击溯源库中的版本信息对比，若匹配成功则进行深度检测。

其中，所述进行深度检测，包括：

检测未知邮件的附件文件是否存在恶意性，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件；其中，所述恶意性包括：存在漏洞、后门、窃密木马等与提权或者窃密相关的恶意程序；

动态分析未知邮件是否存在恶意行为，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件。其中，所述恶意行为包括与上述恶意性相关的恶意代码行为。

本发明其次提供了一种基于钓鱼邮件溯源APT攻击事件的系统实施例，如图2所示，包括：

钓鱼邮件解析模块201，用于解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；

攻击溯源库生成模块202，用于分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；

邮件关联分析模块203，用于将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；

其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。

优选地，所述攻击溯源库生成模块，具体用于：

分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；

分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；

分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；

分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；

分析附件文件，获取附件文件的版本信息并记入攻击溯源库。

更优选地，所述获取域名注册人相关信息，包括：域名注册人、注册邮箱、所述域名注册人注册的其他域名信息。

上述系统实施例中，所述邮件关联分析模块，具体用于：

将未知邮件的发件人与攻击溯源库中发件人邮箱地址和发件邮箱域对比，若匹配度超过预设值，则进行深度检测；

分析未知邮件的收件人域，获得收件人域所涉及的行业关键词；

分析未知邮件的正文内容和附件文件，并进行分词处理，获取关键词并与所述行业关键词对比，若匹配成功则进行深度检测；

将未知邮件涉及的关键词与攻击溯源库中的关键词及出现频率对比，若出现频率相当则进行深度检测；

将未知邮件的正文内容和附件文件中的URL与攻击溯源库中的域名注册人相关信息对比，若匹配成功则进行深度检测；

获取未知邮件的附件文件的版本信息并与攻击溯源库中的版本信息对比，若匹配成功则进行深度检测。

其中，所述进行深度检测，包括：

检测未知邮件的附件文件是否存在恶意性，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件；

动态分析未知邮件是否存在恶意行为，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同或相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

上述实施例通过对已知钓鱼邮件进行溯源分析，继而获取钓鱼邮件相关的攻击溯源库，将未知邮件与生成的攻击溯源库进行关联分析，最终判定未知邮件是否是与已知钓鱼邮件相关联的APT攻击事件。

以上实施例用以说明而非限制本发明的技术方案。不脱离本发明精神和范围的任何修改或局部替换，均应涵盖在本发明的权利要求范围当中。