一种基于僵尸网络监控的恶意邮件预警方法及系统与流程
本发明涉及计算机安全技术领域,尤其涉及一种基于僵尸网络监控的恶意邮件预警方法及系统。
背景技术:
随着电子邮件的广泛使用,其安全隐患也逐渐显现,在利益的驱使下,黑客为了扩展其僵尸网络,通常使用电子邮件传播恶意代码、发送垃圾邮件。邮件接受者通常防不胜防,被动的沦为垃圾邮件的目标、潜在的恶意代码受害者。黑客通常通过控制僵尸网络发送垃圾邮件,发送邮件的内容会随着当前的热点事件而变化,恶意链接会随着近期出现的漏洞而构造,导致邮件服务器对于垃圾邮件、恶意邮件的过滤一直都没有很好的措施。
技术实现要素:
基于上述问题,本发明提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过对恶意邮件样本信息的获取,能够及时发现并过滤恶意邮件。
首先提出一种基于僵尸网络监控的恶意邮件预警方法,包括:
获取僵尸网络的被控端样本;
在虚拟环境下运行所述僵尸网络的被控端样本;
获取并分析网络流量包,提取恶意邮件特征信息;
将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。
所述的方法中,所述僵尸网络的被控端样本具体为:具有通过smtp协议传输,并发送恶意邮件特性的样本。
所述的方法中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与c&c通信的指令包,通过指令包内容,提取恶意邮件特征信息。
所述的方法中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。
本发明还提出一种基于僵尸网络监控的恶意邮件预警系统,包括:
样本获取模块,用于获取僵尸网络的被控端样本;
执行模块,用于在虚拟环境下运行所述僵尸网络的被控端样本;
特征提取模块,用于获取并分析网络流量包,提取恶意邮件特征信息;
特征应用模块,用于将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。
所述的系统中,所述僵尸网络的被控端样本具体为:具有通过smtp协议传输,并发送恶意邮件特性的样本。
所述的系统中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与c&c通信的指令包,通过指令包内容,提取恶意邮件特征信息。
所述的系统中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。
本发明提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本发明方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种基于僵尸网络监控的恶意邮件预警方法实施例流程图;
图2为本发明一种基于僵尸网络监控的恶意邮件预警系统结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过对恶意邮件样本信息的获取,能够及时发现并过滤恶意邮件。
本发明通过对僵尸网络中被控端样本的监控,得到恶意邮件的关键信息,来过滤邮件服务器中的邮件内容。
首先提出一种基于僵尸网络监控的恶意邮件预警方法,如图1所示,包括:
s101:获取僵尸网络的被控端样本;
s102:在虚拟环境下运行所述僵尸网络的被控端样本;
s103:获取并分析网络流量包,提取恶意邮件特征信息;
s104:将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。将特征应用于服务器,能够达到从源头过滤垃圾邮件的目的。
所述的方法中,所述僵尸网络的被控端样本具体为:具有通过smtp协议传输,并发送恶意邮件特性的样本。样本文件可以通过搜索引擎、僵尸网络家族生成器等多种方式获得。
所述的方法中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与c&c通信的指令包,通过指令包内容,提取恶意邮件特征信息。
所述的方法中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息等可作为垃圾邮件特征的信息。
本发明还提出一种基于僵尸网络监控的恶意邮件预警系统,如图2所示,包括:
样本获取模块201,用于获取僵尸网络的被控端样本;
执行模块202,用于在虚拟环境下运行所述僵尸网络的被控端样本;
特征提取模块203,用于获取并分析网络流量包,提取恶意邮件特征信息;
特征应用模块204,用于将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。
所述的系统中,所述僵尸网络的被控端样本具体为:具有通过smtp协议传输,并发送恶意邮件特性的样本。
所述的系统中,所述获取并分析网络流量包,提取恶意邮件特征信息,具体为:获取网络流量包,分析出所述僵尸网络的被控端样本与c&c通信的指令包,通过指令包内容,提取恶意邮件特征信息。
所述的系统中,所述恶意邮件特征信息包括:邮件标题、邮件内容、邮件附件及链接信息。
本发明提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本发明方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件,达到从源头过滤垃圾邮件的目的。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
技术特征:
技术总结
本发明提出一种基于僵尸网络监控的恶意邮件预警方法及系统,通过获取僵尸网络的被控端样本;在虚拟环境下运行所述僵尸网络的被控端样本;获取并分析网络流量包,提取恶意邮件特征信息;将所述恶意邮件特征信息应用于邮件服务器,进行恶意邮件识别。通过本发明方法及系统,能够第一时间发现恶意邮件的特征信息,将这些特征信息用于邮件监控,对邮件服务器中的邮件进行过滤,即能够有效过滤僵尸网络发送来的垃圾邮件。
技术研发人员:康学斌;徐艺航;肖新光
受保护的技术使用者:深圳市安之天信息技术有限公司
技术研发日:2017.05.02
技术公布日:2017.08.04
- 还没有人留言评论。精彩留言会获得点赞!