公开(公告)号：CN111083043B

公开(公告)日：2021-11-23

申请号：CN201911365201.0

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 赵双 ,  王菲飞 ,  钟山 ,  白波 ,  刘澄澄 ,  于平 ,  于海波

IPC分类号： H04L12/58 ,  H04L29/06

摘要： 本发明公开了一种邮箱恶意自动转发行为识别方法及装置，通过解析流量数据形成邮件元数据，经过清洗筛选等预处理，对邮件元数据进行统计和特征分析，产生转发关系列表，对相似的转发目标进行归并，根据归并结果统计分析，从而识别出邮件数据中的邮箱恶意自动转发行为。本发明可使业务部门通过监测受保护邮箱系统的数据，及时发现邮箱恶意自动转发行为，并根据判定结果进行告警。

公开(公告)号：CN111147489B

公开(公告)日：2020-12-25

申请号：CN201911365205.9

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 白波 ,  于平 ,  文瑞洁 ,  刘澄澄 ,  赵双 ,  王菲飞 ,  于海波

IPC分类号： H04L29/06 ,  H04L12/58

摘要： 本发明公开了一种面向链接伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息；2)从所述待检测邮件的正文中提取所有的链接地址和链接内容；3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测，判定对应邮件是否为可疑恶意邮件；4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别，判断所述可疑恶意邮件是否具有定向性；若具有定向性，则判定对应邮件为鱼叉攻击邮件。本发明不基于信任源的行为分析，也不依赖多维度通信特征的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据及时发现鱼叉攻击邮件。

公开(公告)号：CN111147490A

公开(公告)日：2020-05-12

申请号：CN201911367293.6

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 刘澄澄 ,  廖纯 ,  赵双 ,  白波 ,  于平 ,  王菲飞 ,  于海波

IPC分类号： H04L29/06

摘要： 本发明公开了一种定向钓鱼攻击事件发现方法及装置，该方法包括：获取和分析的用户的网络访问数据，并根据配置规则，筛选出可疑登录行为；根据所述可疑登录行为，获取用户实际登录页面特征；比较所述实际登录页面特征与所述配置规则的差别，和计算所述实际登录页面特征与官方登录页面特征的仿冒度，以判断定向钓鱼攻击事件。本发明不局限于传统钓鱼页面识别的单一目标，使得围绕定向钓鱼攻击行为的完整事件发现、综合威胁评估成为可能。本发明可使业务部门通过监测受保护系统原始流量，对系统登录行为进行有效监管，及时准确地发现定向钓鱼攻击事件，并进行告警，提醒用户及时更换密码以阻断攻击者的进一步攻击行为。

公开(公告)号：CN111092902A

公开(公告)日：2020-05-01

申请号：CN201911365226.0

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 王菲飞 ,  赵双 ,  白波 ,  于平 ,  刘澄澄 ,  廖纯 ,  于海波

IPC分类号： H04L29/06 ,  H04L12/58

摘要： 本发明公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。本发明能够及时发现可疑鱼叉攻击邮件。

公开(公告)号：CN111092902B

公开(公告)日：2020-12-25

申请号：CN201911365226.0

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 王菲飞 ,  赵双 ,  白波 ,  于平 ,  刘澄澄 ,  廖纯 ,  于海波

IPC分类号： H04L29/06 ,  H04L12/58

摘要： 本发明公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。本发明能够及时发现可疑鱼叉攻击邮件。

公开(公告)号：CN111147489A

公开(公告)日：2020-05-12

申请号：CN201911365205.9

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 白波 ,  于平 ,  文瑞洁 ,  刘澄澄 ,  赵双 ,  王菲飞 ,  于海波

IPC分类号： H04L29/06 ,  H04L12/58

摘要： 本发明公开了一种面向链接伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的邮件协议数据中获取待检测邮件的邮件元数据和附件信息；2)从所述待检测邮件的正文中提取所有的链接地址和链接内容；3)根据预设的检测规则以及所配置的云附件特征库对提取信息进行检测，判定对应邮件是否为可疑恶意邮件；4)对判定为可疑恶意邮件的附件名称、邮件主题进行语言识别和主题识别，判断所述可疑恶意邮件是否具有定向性；若具有定向性，则判定对应邮件为鱼叉攻击邮件。本发明不基于信任源的行为分析，也不依赖多维度通信特征的统计分析，而是根据原始网络流量或者从原始网络流量中还原出的邮件元数据及时发现鱼叉攻击邮件。

公开(公告)号：CN111083043A

公开(公告)日：2020-04-28

申请号：CN201911365201.0

申请日：2019-12-26

申请人： 中国科学院信息工程研究所

发明人： 赵双 ,  王菲飞 ,  钟山 ,  白波 ,  刘澄澄 ,  于平 ,  于海波

IPC分类号： H04L12/58 ,  H04L29/06

摘要： 本发明公开了一种邮箱恶意自动转发行为识别方法及装置，通过解析流量数据形成邮件元数据，经过清洗筛选等预处理，对邮件元数据进行统计和特征分析，产生转发关系列表，对相似的转发目标进行归并，根据归并结果统计分析，从而识别出邮件数据中的邮箱恶意自动转发行为。本发明可使业务部门通过监测受保护邮箱系统的数据，及时发现邮箱恶意自动转发行为，并根据判定结果进行告警。