一種針對偽造發件人的釣魚郵件的識別方法及系統與流程

2023-05-24 13:00:11

本發明涉及網絡安全技術領域，尤其涉及一種針對偽造發件人的釣魚郵件的識別方法及系統。

背景技術：

郵件攻擊在網際網路時代可以說是常見而又泛濫的攻擊手法，早在1999年爆發的happy99病毒、梅麗莎(melissa)病毒等作為郵件病毒的鼻祖，之後對照梅麗莎的"藍本"又爆發了愛蟲(loveletter)病毒、馬吉斯(magistr)病毒。這些病毒均屬於"蠕蟲"類型，具備自我擴散的能力，傳播範圍廣，傳播次數快，短時間快速傳播，一方面會對網絡帶來很大壓力，也很容易被感知和發現。但今天的郵件入口，已經完全告別了當時的"天真病毒時代"，郵件病毒從宏病毒和其他使用郵件api自動發送的二進位樣本，到使用格式文檔溢出的apt攻擊等。攻擊手法從普通的郵件攻擊、釣魚攻擊、到魚叉式釣魚攻擊。攻擊手法從粗糙到精密，攻擊目標從"擴散"、"掃射"到"狙擊"。

目前，郵件威脅依然猖獗，畢竟當瀏覽器、主機、伺服器系統的安全在進一步的加固情況下，郵件對攻擊者來說是個可以直達目標的上佳入口，這意味著通過郵件進行攻擊的方法無論在高級威脅、還是類似擴散殭屍網絡、敲詐其他的一般性的網絡犯罪中成功率都非常高。其中，利用社工方法進而偽造發信人，進而誘騙用戶點擊附件的釣魚郵件更是企業和用戶的「噩夢」。

技術實現要素：

為了克服現有技術方案的不足,本發明提供一種針對偽造發件人的釣魚郵件的識別方法，利用監控發送過程中郵件伺服器對郵件進行處理時添加的郵件頭，對郵件頭中關鍵欄位的識別，進而能夠有效識別是否為可疑釣魚郵件。

本發明解決其技術問題所採用的技術方案是：一種針對偽造發件人的釣魚郵件的識別方法，包括如下步驟：

首先判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加；

若是由發送伺服器添加，則提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件；

若是由接收伺服器添加，則提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件。

作為本發明一種優選的技術方案，在所述判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加之前，還包括：若郵箱頭域中包含的received欄位個數大於等於3個，則直接判定為疑似釣魚郵件。

作為本發明一種優選的技術方案，判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加，具體為：提取首個received中by欄位後的地址相關信息，若地址相關信息顯示為接收伺服器地址，則所述received欄位由接收伺服器添加，否則為發送伺服器添加。

作為本發明一種優選的技術方案，所述提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，具體為：

若所述地址相關信息為郵箱伺服器信息，則判斷所述郵箱伺服器信息與顯示的發件人的地址對應的郵箱信息是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

作為本發明一種優選的技術方案，所述提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，具體為：

若所述地址相關信息為郵箱地址，則判斷所述郵箱地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為郵箱伺服器地址，則判斷所述郵箱伺服器地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

另外本發明還設計了一種針對偽造發件人的釣魚郵件的識別系統，包括：

伺服器判定模塊，用於判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加；

第一匹配模塊，用於若是由發送伺服器添加，則提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件；

第二匹配模塊，用於若是由接收伺服器添加，則提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件。

作為本發明一種優選的技術方案，還包括：初步篩選模塊，用於若郵箱頭域中包含的received欄位個數大於等於3個，則直接判定為疑似釣魚郵件。

與現有技術相比，本發明的有益效果是：本發明給出一種針對偽造發件人的釣魚郵件的識別方法及系統，通過分析發現顯示給郵箱用戶的發件人是可以偽造的，因此找到有效的識別偽造發件人行為的方法對於保護用戶的隱私及財產安全是十分必要的。

本發明所提供的技術方案通過識別received欄位中的by欄位值或者from欄位值進而與顯示的發件人地址對比，判斷是否匹配進而判斷是否是偽造的發件人信息。本發明所述的技術方案利用郵件發送者將郵件發送出去後就不能控制郵件發送伺服器和郵件接收伺服器對此郵件添加received的行為，進而能夠有效識別通過偽造發件人進而達到惡意目的的釣魚郵件。

附圖說明

圖1為本發明提供的一種針對偽造發件人的釣魚郵件的識別方法實施例流程圖；

圖2為本發明提供的一種針對偽造發件人的釣魚郵件的識別系統實施例結構圖。

具體實施方式

下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基於本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬於本發明保護的範圍。

實施例：

如圖1所示，本發明首先提供了一種針對偽造發件人的釣魚郵件的識別方法實施例，包括：

s101：判斷郵箱頭域中包含的received欄位個數是否大於等於3個，若是則直接判定為疑似釣魚郵件，否則執行s102。

由於可能存在攻擊者通過偽造多個received欄位進而躲避檢測，因此本實施例在執行具體分析之前，通過判斷郵箱頭域中包含的received欄位的具體個數，若大於等於3個，則判定存在異常直接託送到垃圾箱處理，進而避免系統資源浪費，提高檢測效率。

s102：判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加，若是由發送伺服器添加，則跳轉到s103，若是由接收伺服器添加，則跳轉到s104。

其中，進過s101的過濾，可能存在一個或者兩個received欄位，則當前提取的received欄位可能是虛假欄位，進而無法有效檢出，但是郵箱頭域中的首個received欄位可以保證是系統本身添加的而不是虛假構造的，進而本實施例通過提取首個received欄位並進行分析進而提升準確率。

其中，所述判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加，具體可以為：提取首個received中by欄位後的地址相關信息，若地址相關信息顯示為接收伺服器地址，則所述received欄位由接收伺服器添加，否則為發送伺服器添加。

s103：提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件。

其中，所述提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，具體可以為：

若所述地址相關信息為郵箱伺服器信息，則判斷所述郵箱伺服器信息與顯示的發件人的地址對應的郵箱信息是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

例如：若郵件顯示的發送者是[email protected]，則判斷by欄位後的伺服器的郵箱地址是否符合qq.com的地址，如果沒有郵箱地址僅有ip，則判斷ip地址是否屬於qq.com伺服器的郵箱地址。如果兩者其一符合發送者伺服器則進入正常郵件處理，否則判定為存在偽造發件人的行為，為疑似釣魚郵件。

s104：提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件。

其中，所述提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，具體可以為：

若所述地址相關信息為郵箱地址，則判斷所述郵箱地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為郵箱伺服器地址，則判斷所述郵箱伺服器地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

例如：

received:frompluckzhangsan-pc(mailfrom:[email protected]:1.189.181.161)

bysmtp.aliyun-inc.com(10.147.41.199)

thu,05may201616:40:21+0800

data:thu,5may201616:40:21+0800

from:zhangsan

to:＝？utf-8？b？5byg5own5lqr？＝

該具體例子中，from欄位後的地址相關信息為郵箱地址，則判斷該郵箱地址(即[email protected])與顯示的發件人的地址是否相匹配(即郵件正文from域後面的郵箱地址)，由此可以判斷是相匹配的，因此判定為正常郵件。

如圖2所示，本發明其次提供了一種針對偽造發件人的釣魚郵件的識別系統實施例，包括：

伺服器判定模塊201，用於判斷郵箱頭域中的首個received欄位是由發送伺服器添加還是接收伺服器添加；

第一匹配模塊202，用於若是由發送伺服器添加，則提取by欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件；

第二匹配模塊203，用於若是由接收伺服器添加，則提取from欄位後的地址相關信息，並判斷所述地址相關信息與顯示的發件人的地址是否相匹配，若匹配則判定為正常郵件，否則判定為疑似釣魚郵件。

優選地，還包括：初步篩選模塊，用於若郵箱頭域中包含的received欄位個數大於等於3個，則直接判定為疑似釣魚郵件。

上述系統實施例中，所述伺服器判定模塊，具體用於：

提取首個received中by欄位後的地址相關信息，若地址相關信息顯示為接收伺服器地址，則所述received欄位由接收伺服器添加，否則為發送伺服器添加。

上述系統實施例中，所述第一匹配模塊，具體用於：

若所述地址相關信息為郵箱伺服器信息，則判斷所述郵箱伺服器信息與顯示的發件人的地址對應的郵箱信息是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

上述系統實施例中，所述第二匹配模塊，具體用於：

若所述地址相關信息為郵箱地址，則判斷所述郵箱地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為郵箱伺服器地址，則判斷所述郵箱伺服器地址與顯示的發件人的地址是否相匹配；

若所述地址相關信息為ip地址，則判斷所述ip地址是否屬於顯示的發件人的地址對應的伺服器的郵箱地址範圍，若屬於則判定匹配成功，否則判定匹配失敗。

本說明書中的各個實施例均採用遞進的方式描述，各個實施例之間相同或相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對於系統實施例而言，由於其基本相似於方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。

如上所述，上述實施例給出了一種針對偽造發件人的釣魚郵件的識別方法及系統實施例，通過提取郵件頭域中的首個received欄位，並判斷該欄位是由發送伺服器添加還是接收伺服器添加，若是發送伺服器添加，則提取by欄位後的地址相關信息，若是由接收伺服器添加，則提取from欄位後的地址相關信息，並將提取到的任何形式的地址相關信息與顯示給用戶的發件人的地址，即郵件正文所顯示的發件人的地址進行匹配，若匹配成功則判定為正常郵件，否則為疑似釣魚郵件，可以根據需要選擇是否進行後續的進一步判斷和檢測。本發明所提供的上述實施例能夠有效識別惡意郵件，並防止惡意代碼以釣魚郵件為前導的方式進入用戶系統，進而導致用戶系統遭受進一步的攻擊。

對於本領域技術人員而言，顯然本發明不限於上述示範性實施例的細節，而且在不背離本發明的精神或基本特徵的情況下，能夠以其他的具體形式實現本發明。因此，無論從哪一點來看，均應將實施例看作是示範性的，而且是非限制性的，本發明的範圍由所附權利要求而不是上述說明限定，因此旨在將落在權利要求的等同要件的含義和範圍內的所有變化囊括在本發明內。不應將權利要求中的任何附圖標記視為限制所涉及的權利要求。