一種基于動靜結(jié)合的郵件安全檢測裝置及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機(jī)技術(shù)領(lǐng)域，具體涉及一種基于動靜結(jié)合的郵件安全檢測裝置及方法。
【背景技術(shù)】
[0002]隨著互聯(lián)網(wǎng)+的快速發(fā)展，互聯(lián)網(wǎng)金融也遍地生根，互聯(lián)網(wǎng)間的信息傳遞郵件是主要的方式之一，第三方的郵件應(yīng)用商也越來越多，且其也缺乏有效的郵件安全檢測機(jī)制和方法，利用電子郵件發(fā)起的攻擊是最多且最常見的攻擊方式之一，這樣將導(dǎo)致竊取用戶隱私數(shù)據(jù)頻繁發(fā)生。另外，用戶查看電子郵件的安全意識薄弱也將導(dǎo)致郵件攻擊者有機(jī)可乘，大量竊取用戶的隱私數(shù)據(jù)。
[0003]對惡意郵件攻擊的安全檢測方法，目前主要的方式是檢測郵件是否是釣魚郵件，通過郵件內(nèi)容里的鏈接的相關(guān)特征來判斷是否是釣魚郵件，此種方法雖然有效，但存在很大的局限性。
[0004]現(xiàn)有的惡意郵件檢測平臺是結(jié)合靜態(tài)引擎和動態(tài)引擎分析，靜態(tài)引擎分析是通過對郵件進(jìn)行解碼后與特征碼進(jìn)行比較分析，對于存在惡意特征碼的郵件進(jìn)一步進(jìn)行動態(tài)引擎分析檢測；動態(tài)引擎分析檢測是通過郵件預(yù)處理再整合發(fā)送，讓郵件在定制安全瀏覽器中運(yùn)行，模擬點(diǎn)擊，檢測郵件在動態(tài)引擎分析時是否發(fā)起不受信任域的請求等，來判斷是否包含惡意攻擊行為。
[0005]現(xiàn)有的郵件安全檢測系統(tǒng)存在比較大的局限性，比如對郵件內(nèi)容解析再發(fā)包，在定制的瀏覽器中動態(tài)自動分析的能力顯得比較薄弱，大多沒有解析再發(fā)包，在定制的瀏覽器中加入監(jiān)控日志；一些惡意郵件的觸發(fā)條件比較特殊，標(biāo)簽事件或?qū)傩圆蛔阋杂|發(fā)，還需要結(jié)合郵件頭才能觸發(fā)，這種狀態(tài)的郵件就迫切需要我們設(shè)計的裝置來模擬觸發(fā)，來發(fā)現(xiàn)是真正意乂上的惡意郵件。
[0006]申請公布號為CN201110020896的專利“一種基于文本特征分析的釣魚郵件檢測方法”和公布號為CN200910073046的專利“基于鏈接域名和用戶反饋的反釣魚郵件系統(tǒng)及方法”中提到提取郵件中的網(wǎng)站鏈接的相關(guān)特征來判斷是否是釣魚郵件，這樣雖然有效，但是準(zhǔn)確率大大降低，比如特征庫并不能實(shí)時更新等原因，靜態(tài)引擎的檢測往往不能有效的檢測出惡意行為。

【發(fā)明內(nèi)容】

[0007]解決上述技術(shù)問題，本發(fā)明提供了一種基于動靜結(jié)合的郵件安全檢測裝置及方法，即將靜態(tài)引擎檢測和動態(tài)引擎檢測的優(yōu)點(diǎn)進(jìn)行有效結(jié)合，先對惡意郵件進(jìn)行解碼靜態(tài)分析檢測，對于有異常行為特征的郵件進(jìn)行解析再發(fā)包，到定制的安全瀏覽器中進(jìn)行動態(tài)引擎分析檢測。動靜結(jié)合能夠更加全面高效的獲取更多惡意行為信息，同時提取出惡意行為的源碼信息，并且提出郵件惡意行為的有效修復(fù)解決方案，是一種高效便捷的惡意郵件檢測裝置。
[0008]為了達(dá)到上述目的，本發(fā)明所采用的技術(shù)方案是，一種基于動靜結(jié)合的郵件安全檢測裝置，包括:郵件接收裝置、郵件預(yù)處理模塊、靜態(tài)引擎分析模塊、郵件發(fā)送模塊、定制安全瀏覽器模塊、網(wǎng)絡(luò)分析模塊、動態(tài)引擎分析模塊、日志分析模塊和輸出裝置模塊，
郵件接收裝置:用于導(dǎo)入eml.txt格式的標(biāo)準(zhǔn)郵件或根據(jù)賬號密碼信息自動接收郵件服務(wù)器的郵件或接收受控網(wǎng)絡(luò)的電子郵件，并保存相應(yīng)的郵件信息，
郵件預(yù)處理模塊:根據(jù)郵件的編碼類型等通過解碼得到郵件標(biāo)題、郵件內(nèi)容、附件名稱、附件內(nèi)容等信息并臨時存儲，
靜態(tài)引擎分析模塊:獲取郵件預(yù)處理模塊的郵件信息，并將該郵件信息通過正則表達(dá)式匹配算法結(jié)合靜態(tài)特征庫，將郵件信息中有惡意的特征的代碼內(nèi)容和鏈接提取出來，并記錄下郵件唯一標(biāo)識、郵件標(biāo)題、惡意特征、鏈接、Referer信息，未檢測到惡意特征和鏈接的郵件視為正常郵件并放行，有檢測到惡意特征和鏈接的郵件進(jìn)一步進(jìn)行動態(tài)引擎分析，對于有真正惡意的郵件做攔截退信處理。
[0009]郵件發(fā)送模塊:對于有惡意特征和鏈接的郵件，根據(jù)解析的郵件相關(guān)信息重新整合保持惡意特征和鏈接，將原有的惡意特征請求的地址替換為裝置個性日志的形式輸出，構(gòu)成一封新的郵件發(fā)送到郵件服務(wù)器，確保惡意特征和鏈接能夠正常觸發(fā)且不泄露個人隱私數(shù)據(jù)，
定制安全瀏覽器模塊:兼容多種瀏覽器內(nèi)核，能在多種內(nèi)核環(huán)境下高效的檢測惡意郵件的行為，同時保證郵件惡意行為能在多種復(fù)雜環(huán)境下有效觸發(fā)并能攔截相關(guān)數(shù)據(jù)包防止數(shù)據(jù)泄露，
網(wǎng)絡(luò)分析模塊:訪問日志可用大數(shù)據(jù)框架進(jìn)行存儲并作歷史數(shù)據(jù)積累，
動態(tài)引擎分析模塊:采用autoit自動化腳本技術(shù)在定制的安全瀏覽器中自動查看、自動點(diǎn)擊相關(guān)按鈕、鏈接，并記錄敏感行為日志，動態(tài)引擎在定制的安全瀏覽器中采用API監(jiān)控和注入技術(shù)，敏感行為一觸發(fā)會自動記錄日志，一些惡意郵件在查看郵件、點(diǎn)擊鏈接時并不會觸發(fā)惡意行為，而是在特定的條件下才會觸發(fā)。
[0010]日志分析模塊:用于基于日志分析判斷是否為惡意郵件，同時檢測到惡意郵件，將惡意鏈接地址的相關(guān)特征與入動態(tài)特征庫。
[0011]輸出裝置模塊:該裝置將輸出正常郵件和惡意郵件，靜態(tài)檢測對于惡意行為的郵件將記錄惡意特征代碼、惡意鏈接，動態(tài)引擎檢測將截圖記錄下惡意郵件的觸發(fā)位置，最終將記錄下的信息輸出成格式為pdf的報告及提供修復(fù)郵箱的解決方案。
[0012]進(jìn)一步的，大數(shù)據(jù)分析框架為Hadoop、Solr或Mongodb，利用Hadoop、Solr或Mongodb大數(shù)據(jù)分析框架的海量數(shù)據(jù)存儲、分析、查詢能力提高日志分析能力。
[0013]進(jìn)一步的，郵件發(fā)送模塊發(fā)送的郵件將由系統(tǒng)自動在定制的安全瀏覽器中運(yùn)行，防止有惡意行為的郵件被觸發(fā)。
[0014]進(jìn)一步的，日志分析模塊完成以下步驟:
1、系統(tǒng)動態(tài)弓丨擎檢測輸出了裝置個性化日志的，則視為惡意郵件，
2、發(fā)起請求連接在動態(tài)特征庫能匹配到相關(guān)特征的，則視為惡意郵件，
3、發(fā)起請求的頁面存在密碼輸入控件的，則視為惡意郵件，
4、發(fā)起本域或子域下的頁面存在獲取cookies或操作cookies行為的，則視為惡意郵件。
[0015]本發(fā)明所采用的另一技術(shù)方案是，一種基于動靜結(jié)合的郵件安全檢測方法，包括以下步驟:
郵件接收及預(yù)處理步驟:導(dǎo)入eml.txt格式的標(biāo)準(zhǔn)郵件或根據(jù)賬號密碼信息自動接收郵件服務(wù)器的郵件或接收受控網(wǎng)絡(luò)的電子郵件，并保存相應(yīng)的郵件信息，根據(jù)郵件的編碼類型等通過解碼得到郵件標(biāo)題、郵件內(nèi)容、附件名稱、附件內(nèi)容等信息并臨時存儲，
靜態(tài)引擎分析步驟:獲取郵件預(yù)處理模塊的郵件信息，并將該郵件信息通過正則表達(dá)式匹配算法結(jié)合靜態(tài)特征庫，將郵件信息中有惡意的特征的代碼內(nèi)容和鏈接提取出來，并記錄下郵件唯一標(biāo)識、郵件標(biāo)題、惡意特征、鏈接、Referer信息，未檢測到惡意特征和鏈接的郵件視為正常郵件并放行。
[0016]郵件發(fā)送及分析:針對有惡意特征和鏈接的郵件，根據(jù)解析的郵件相關(guān)信息重新整合保持原有特征，將原有的惡意特征請求的地址替換為裝置個性日志的形式輸出，構(gòu)成一封新的郵件發(fā)送到郵件服務(wù)器，確保惡意特征和鏈接能夠正常觸發(fā)且不泄露個人隱私數(shù)據(jù)，用于采集定制安全瀏覽器模塊產(chǎn)生的web訪問日志，并將所有郵件信息及訪問日志通過定制安全瀏覽器進(jìn)行訪問，
動態(tài)引擎分析步驟:采用autoit自動化腳本技術(shù)在定制的安全瀏覽器中自動查看、自動點(diǎn)擊相關(guān)按鈕、鏈接，并記錄敏感行為日志，動態(tài)引擎在定制的安全瀏覽器中采用API監(jiān)控和注入技術(shù)，敏感行為一觸發(fā)會自動記錄日志