一种钓鱼邮件的识别方法及系统、电子设备与流程

1.本发明涉及网络安全技术领域，尤其涉及一种钓鱼信息的识别方法及系统、电子设备。


背景技术：

2.当传统网络安全水位建设取得一定效果后，攻击者较难通过互联网侧直接攻入企业内部系统，而此时钓鱼邮件测试一个行之有效的攻击手段，攻击者在互联网收集企业员工账号，然后伪造如工资调整、公司发年终奖等场景诱导被攻击者点击邮件中的链接访问伪造网站窃取密码、下载运行恶意附件等，这一类攻击手段成功率较高且一旦成功可以直接造成账号泄露或运行后门导致办公网失陷等严重后果。
3.而在现有的技术中，邮件安全领域针对于钓鱼邮件的检测主要是关键字检测和文件查杀等，此类查杀方式存在检出率低的问题，例如攻击者可以使用图片等方式绕过检测识别，另外，此类方式无法识别出针对性的邮件钓鱼行为，识别到的攻击只是作为垃圾邮件管理，无法发现有黑客团队在针对性的发起一起钓鱼攻击行为。


技术实现要素：

4.本发明要解决的技术问题是针对于现有技术中针对于钓鱼邮件的检出率较低的问题。本发明提出了一种提高对黑客钓鱼攻击的检出率的方法，具体是提出一种钓鱼邮件的识别方法，包括：配置捕获邮箱账号；根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板；将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台；获取所述捕获邮箱账号的收件信息；确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼邮件。
5.在一个实施方式中，所述配置捕获邮箱账号，包括：配置至少三个捕获邮箱账号以及对应的密码。
6.在一个实施方式中，所述确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼信息，包括：通过所述捕获邮箱账号内的白名单对所述收件信息进行筛选，得到所述收件信息中的威胁信息；对每一所述威胁信息的威胁程度进行量化，以得到对应的威胁分值；将所述威胁分值与预先配置的告警阈值做比较，若所述威胁分值高于所述告警阈值，则上报告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼信息。
7.在一个实施方式中，所述通过所述捕获邮箱账号内的白名单对所述收件信息进行筛选，得到所述收件信息中的威胁信息，包括：检测所述收件信息对应的发件人信息，若所述发件人信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的收件信息对应的邮件内容信息，若所述邮件内容信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的所述收件信息，若所述收件信息与进一步配置的白名单中的对应信息相匹配，则忽略该收件信息；未被忽略的所述
收件信息被确定为所述威胁信息。
8.在一个实施方式中，所述对每一所述威胁信息的威胁程度进行量化，以得到对应的威胁分值，包括：基于预先配置的量化规则对所述威胁信息的威胁程度进行量化，以得到对应的威胁分值；和\或基于判断所述收件信息对应的发件人的邮箱域是否为本域、以及对应的蜜罐组捕获率对所述威胁信息的威胁程度进行量化，以得到对应的威胁分值。
9.本发明的另一方面提供了一种钓鱼信息的识别系统，包括：捕获模块，被配置为配置捕获邮箱账号，根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板，将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台；检测模块，被配置为获取所述捕获邮箱账号的收件信息，确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼信息。
10.在一个实施方式中，所述检测模块被进一步配置为：通过所述捕获邮箱账号内的白名单对所述收件信息进行筛选，得到所述收件信息中的威胁信息；对每一所述威胁信息的威胁程度进行量化，以得到对应的威胁分值；将所述威胁分值与预先配置的告警阈值做比较，若所述威胁分值高于所述告警阈值，则上报告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼信息。
11.在一个实施方式中，所述检测模块被进一步配置为：检测所述收件信息对应的发件人信息，若所述发件人信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的收件信息对应的邮件内容信息，若所述邮件内容信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的所述收件信息，若所述收件信息与进一步配置的白名单中的对应信息相匹配，则忽略该收件信息；未被忽略的所述收件信息被确定为所述威胁信息。
12.本发明的另一方面提供了一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述计算机程序被所述处理器执行时实现如上任一项所述的钓鱼信息的识别方法的步骤。
13.本发明的另一方面提供了一种计算机存储介质，所述计算机存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如上任一项所述的钓鱼信息的识别方法的步骤。
14.采用上述技术方案，本发明至少具有下列优点：
15.本发明所述钓鱼信息的识别方法，通过发布捕获邮箱账号到互联网，能够主动伪造泄露场景，一旦有收件信息后，可以从中检出钓鱼信息，保证了对黑客钓鱼攻击的检出率；在本发明的一些实施方式中，通过内置的白名单检测和威胁程度计算，可以有效的解决现有技术中根据关键字等方式进行钓鱼邮件识别准确度较差的问题，有效保证识别针对性的钓鱼攻击行为的准确度。
附图说明
16.图1为根据本发明实施例的钓鱼信息的识别方法流程示意图；
17.图2为根据本发明实施例的钓鱼信息的识别系统组成结构示意图；
18.图3为根据本发明实施例的电子设备组成结构示意图。
具体实施方式
19.为更进一步阐述本发明为达成预定目的所采取的技术手段及功效，以下结合附图及较佳实施例，对本发明进行详细说明如后。
20.本发明中说明书中对方法流程的描述及本发明说明书附图中流程图的步骤并非必须按步骤标号严格执行，方法步骤是可以改变执行顺序的。而且，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。
21.本发明第一实施例，一种钓鱼邮件的识别方法，如图1所示，包括以下具体步骤：
22.步骤s1，配置捕获邮箱账号。
23.步骤s2，根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板。
24.步骤s3，将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台。
25.步骤s4，获取所述捕获邮箱账号的收件信息。
26.步骤s5，确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼邮件。
27.下面将对本实施例的每一步骤分步做出详细解释说明。
28.步骤s1，配置捕获邮箱账号。
29.本实施例中，可以在内部邮箱上创建好用于捕获钓鱼邮件的邮箱账号，然后配置在捕获模块的捕获组邮箱账号密码列表，也可以通过邮箱的api(application programming interface，应用程序接口)自动创建账号并接入捕获组。
30.其中，捕获邮箱数量越多越好，优选至少3个或3个以上，且需要确保上述捕获邮箱不在人工使用，仅用于钓鱼邮件检测。
31.步骤s2，根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板。
32.本实施例中，可以先将需要发布诱捕信息的目标第三方目标平台录入至对应处理单元中，示例性地，第三方目标平台可以是互联网博客系统、github等账号。
33.进一步地，根据第三方目标平台的配置信息，在对应的处理单元中配置与第三方目标平台的配置信息相对应的诱捕信息的发布模板。示例性地，默认的github项目发布模板中内置了多套开源系统源码，可以将捕获邮箱进行随机注入到每套项目中进行发布，也可以自定义项目源码标注邮箱注入位置进行自定义注入。
34.步骤s3，将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台。
35.本实施例中，将捕获邮箱的账号逐个发布至各第三方目标平台对应的模板中，完成后可以实现在互联网搜索引擎(例如百度、谷歌等)、github代码搜索等处，可以通过搜索企业邮箱后缀等方式快速采集到捕获邮箱，确保了捕获组邮箱可以大概率进入针对性攻击者的互联网泄露邮箱采集列表中，这样可以在后续的检测中定向接收钓鱼邮件。
36.步骤s4，获取所述捕获邮箱账号的收件信息。
37.本实施例中，可以是在一段时间内，通过对多个捕获邮箱的获取到全部收件信息进行监测，由于捕获邮箱不作为用户常规邮箱所使用，所以正常情况下是不会收到任何收件信息的。因此，此时捕获邮箱的收件信息都是存在是钓鱼邮件的风险。
38.步骤s5，确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息
被确定为钓鱼邮件。
39.本实施例中，确定所述收件信息中的告警信息，可以通过多种途径，或是多层筛选，经上述处理后，可以去除所有收件信息中的可忽略告警信息，其余则作为告警信息上报，该告警信息对应的收件信息即可被确定为钓鱼信息。
40.本实施例中，可以通过预先配置一个白名单对收件信息进行筛选，该白名单是可以被人为进一步配置的。
41.示例性地，可以检测收件信息对应的发件人信息，若该发件人信息与白名单中的对应信息相匹配，则忽略该收件信息；
42.进一步地，可以检测未被忽略的收件信息对应的邮件内容信息，若邮件内容信息与预先配置的白名单中的对应信息相匹配，则忽略该收件信息；
43.进一步地，可以检测未被忽略的收件信息，若收件信息与进一步人为参与配置的白名单中的对应信息相匹配，则忽略该收件信息；
44.经上述白名单筛选后，未被忽略的收件信息被确定为威胁信息，需要说明的是，威胁信息并不等同于上述告警信息，只是相对于被确定的可忽略告警信息，威胁信息更有可能对应的是钓鱼邮件。
45.显而易见的是，上述白名单规则以及组合方式是可以根据实际需求做出相应调整的，本文对此将不做限定。
46.对上述筛选得到威胁信息的威胁程度进行量化处理，可以基于预先配置的量化规则对威胁信息的威胁程度进行量化，以得到对应的威胁分值。
47.示例性地，可以基于判断收件信息对应的发件人的邮箱域是否为本域、以及威胁信息对应的蜜罐组捕获率对威胁信息的威胁程度进行量化，以得到对应的威胁分值。
48.进一步地，可以根据实际需要预先配置一个告警阈值，并将上述威胁分值与该告警阈值做对比，当威胁分值高于(根据实际需要，也可以是等于)告警阈值时，则上报告警信息，该告警信息所对应的收件信息即被确定为钓鱼邮件，反之，所对应的收件信息被确定为可忽略告警信息。
49.本发明第二实施例，一种钓鱼邮件识别系统，与第一实施例对应，本实施例介绍一种钓鱼邮件识别系统，如图2所示，包括以下组成部分：
50.捕获模块，被配置为配置捕获邮箱账号，根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板，将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台；以及
51.检测模块，被配置为获取所述捕获邮箱账号的收件信息，确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼邮件。
52.本实施例中，捕获模块被进一步配置为：配置至少三个捕获邮箱账号以及对应的密码。
53.本实施例中，检测模块被进一步配置为：通过捕获邮箱账号内的白名单对收件信息进行筛选，得到收件信息中的威胁信息；对每一威胁信息的威胁程度进行量化，以得到对应的威胁分值；将威胁分值与预先配置的告警阈值做比较，若威胁分值高于告警阈值，则上报告警信息，其中，告警信息所对应的收件信息被确定为钓鱼邮件。
54.本实施例中，检测模块被进一步配置为：检测所述收件信息对应的发件人信息，若
所述发件人信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的收件信息对应的邮件内容信息，若所述邮件内容信息与预先配置的所述白名单中的对应信息相匹配，则忽略该收件信息；检测所述未被忽略的所述收件信息，若所述收件信息与进一步配置的白名单中的对应信息相匹配，则忽略该收件信息；未被忽略的所述收件信息被确定为所述威胁信息。
55.本实施例中，检测模块被进一步配置为：基于预先配置的量化规则对所述威胁信息的威胁程度进行量化，以得到对应的威胁分值；和\或基于判断所述收件信息对应的发件人的邮箱域是否为本域、以及所述威胁信息对应的蜜罐组捕获率对所述威胁信息的威胁程度进行量化，以得到对应的威胁分值。
56.本发明第三实施例，一种电子设备，可以作为实体装置来理解，包括处理器以及存储有所述处理器可执行指令的存储器，当所述指令被处理器执行时，执行如下操作：
57.步骤s1，配置捕获邮箱账号。
58.步骤s2，根据第三方目标平台的配置信息，确定所述捕获邮箱账号所要发布诱捕信息的发布模板。
59.步骤s3，将所述诱捕信息按照所述发布模板发布至对应所述第三方目标平台。
60.步骤s4，获取所述捕获邮箱账号的收件信息。
61.步骤s5，确定所述收件信息中的告警信息，其中，所述告警信息所对应的收件信息被确定为钓鱼邮件。
62.其内容与第一实施例对应，本文对此将不再赘述。
63.本发明第四实施例，本实施例的钓鱼邮件的识别方法的流程与第一、二或三实施例相同，区别在于，在工程实现上，本实施例可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的所述方法可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如rom/ram、磁碟、光盘)中，包括若干指令用以使得一台设备(可以是基站等网络设备)执行本发明实施例所述的方法。
64.本发明第五实施例，本实施例是在上述实施例的基础上，介绍一个本发明的应用实例。
65.本实施例是以一种钓鱼邮件的识别系统的角度进行说明，如第二实施例，本实施例中提供的钓鱼邮件的识别系统包括捕获模块以及检测模块。
66.首先，捕获模块在企业内部邮箱上创建好用于捕获钓鱼邮件的捕获邮箱账号，然后配置在捕获模块的捕获邮箱账号密码列表(也可以支持邮箱的api自动创建账号并接入捕获邮箱)，添加的捕获邮箱数量为3个以上，且为了信息安全，需要确保上述捕获邮箱不在人工使用，仅用于钓鱼邮件检测。
67.在捕获模块中录入需要发布诱捕信息的第三方目标平台账号，例如互联网博客系统、github等账号，添加后可以进行后续的发布。
68.捕获模块通过内置邮箱发布模板，或自定义配置修改或新增发布模板，发布模板支持根据不同的发布渠道进行绑定，例如默认的github项目发布模板中内置了多套开源系统源码，可以将捕获邮箱进行随机注入到每套项目中进行发布，可以自定义项目源码标注邮箱注入位置进行自定义注入。将捕获邮箱的账号逐个发布渠道指定的发布模板中，完成
后可以实现在互联网搜索引擎(百度、谷歌等)、github代码搜索等处可以通过搜索企业邮箱后缀等方式快速采集到捕获邮箱，确保了捕获邮箱可以大概率进入针对性攻击者的互联网泄露邮箱采集列表中，这样才可以在后续的检测中定向接收钓鱼邮件。
69.检测模块会自动登录捕获模块中的所有捕获邮箱，并定时查收所有邮件，如果监听到新邮件则进行白名单检测。
70.白名单检测首先会匹配发件人邮件地址，如果是发件人在检测模块的发件人白名单列表中则忽略事件，否则进一步上报进行后续白名单检测。
71.进一步的检测模块进行邮件内容白名单匹配，此时可以根据内容白名单策略(可以组合多种判断逻辑进行检测)，如果匹配上白名单则忽略事件，否则进一步上报进行后续白名单检测。
72.当系统内置的白名单检测无法满足检测场景时，可以配置自定义白名单检测，自定义白名单模块可以支持多字段关联匹配以及调用外部api进行检测或运行自定义代码或脚本进行检测等(例如发送全员邮件需要内部系统审批备案，当捕获组邮箱收到全员邮件后可以调用api或使用自定义代码插件联动工单系统进行核实，如果有审批记录则匹配白名单进行忽略)，如果匹配白名单则忽略，否则进一步上报进行威胁程度计算。
73.威胁程度计算模块内置基于发件人邮箱域是否为本域、蜜罐组捕获率等进行威胁分计算，同时用户也可以自定义规则识别威胁程度或调用api或自定义代码与脚本联动外部系统进行威胁分计算(例如沙箱系统等)，最终会对收到的邮件计算得出一个威胁分值。
74.由于捕获组邮箱是没有实际业务的，正常情况下不会有收件信息，尤其经白名单筛选后，因此一旦收件往往是发生了针对性的钓鱼邮件攻击行为，威胁分的计算是为了帮助管理威胁程度，默认威胁分阈值为0，即所有未被白名单忽略的威胁信息都会产生告警(由于上述原因此处的告警准确率已经非常高)，当然如果特殊场景，只需要关注高威胁的钓鱼攻击行为，可以配置提高威胁分阈值，则可以减少最终上报的告警量，是安全人员可以关注到根据威胁的钓鱼邮件事件。
75.本发明实施例对比现在已有的技术至少有以下的技术优点：
76.1)通过发布捕获邮箱账号到互联网，能够主动伪造泄露场景，一旦有收件信息后，可以从中检出钓鱼信息，保证了对黑客钓鱼攻击的检出率。
77.2)通过设置多维度的白名单对捕获邮箱中的收件信息进行检测，提高了识别钓鱼邮件的准确率。
78.通过具体实施方式的说明，应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解，然而所附图示仅是提供参考与说明之用，并非用来对本发明加以限制。