本发明属于网络安全,具体涉及一种自动化生成邮箱账号蜜点的邮件安全保护方法及系统。
背景技术:
1、电子邮件是一种基础互联网通讯工具,是指一种由一寄件人将数字信息发送给一个人或多个人的信息交换方式,一般会通过互联网或其他电脑网络进行书写、发送和接收信件,目的是达成发信人和收信人之间的信息交互,其发展历史比web还要久远。电子邮件不仅可以用来收发信息,还有很多拓展用途,例如日程规划、文件传输、账户登录等。还可以为新闻简报、营销活动提供大量数据,如使用工具收集电子邮件的相关信息,比如说接收数量、拒绝数量、打开数量、取消订阅数量、链接点击数量以及具体点击链接信息。
2、电子邮件也并非十全十美,针对电子邮件的安全攻击层出不穷,如垃圾邮件和钓鱼邮件。
3、现有反钓鱼邮件技术主要包括基于地址的过滤器、基于电子邮件内容的过滤器、基于电子邮件网络行为的过滤器、基于沙盒的邮件附件检测四种类型。
4、基于邮件地址的过滤器主要通过检查发件人的电子邮件地址、ip地址或域名来判断收到的邮件是否是钓鱼邮件,研究人员基于知识工程方法开发了钓鱼邮件过滤器,包括自定义规则、关键字和ip黑名单等。但是,基于邮件地址的过滤器需要不断更新过滤器,因此该方法的效率低下,耗时耗力。此外,由于僵尸网络控制了许多正常用户的计算机,并不断感染新的计算机,所以ip 黑名单的拦截准确性在逐渐下降。
5、基于电子邮件内容的钓鱼邮件过滤方法将钓鱼邮件检测视为机器学习的文本分类问题。文本分类过程包括三个不同的阶段。首先,研究人员需要收集包含钓鱼邮件内容和正常邮件内容的数据集并且对该数据集进行预处理。数据预处理通过标记化、删除停止词、词干提取和词素化等一系列动作来构造多维向量表示邮件内容。其次,研究人员从电子邮件信息中提取特征,并且选择最具鉴别力的特征来最大限度地提高分类性能。最后,研究人员构造了一个分类器来辨别正常邮件和钓鱼邮件。对于包含图片的邮件,采用ocr识别功能读取图片中的文字。但是,基于电子邮件内容的过滤器需要扫描整个电子邮件内容,在邮件数量多的情况下比较耗时且会占用较多系统资源。
6、基于电子邮件网络行为的过滤器是一种不依托于电子邮件内容的过滤器例如,根据发送方的网络时空行为(如发送方-接收方测地距离,发送方邻居和接收方数量)来判断该发送方地址是否正常。但是,基于电子邮件网络行为的过滤器检测规则不具有普遍规律,因为日常使用中电子邮件的网络时空行为是存在不确定性的,所以误报率较高。
7、电子邮件附件可能包含传统杀毒程序无法检测到的恶意软件。为了识别这类威胁,邮件服务提供商可在一种称作安全沙盒的虚拟环境中扫描或运行附件。一旦系统识别出附件有威胁,就会将附件所在的电子邮件发送至收件人的“垃圾邮件”文件夹。但是,基于沙盒的邮件附件检测可被攻击者采用分离免杀、白名单、可执行文件注入、快捷键、chm文档、自解压文档等方式绕过,从而达不到保护的目的。
8、综上所述,现有技术中的反钓鱼邮件技术还存在着各自的弊端,还不能有效保护电子邮件安全;数据泄露事件并未如预期般减少,反倒是愈加泛滥起来。
技术实现思路
1、本发明所要解决的技术问题在于针对上述现有技术中的不足,提供一种自动化生成邮箱账号蜜点的邮件安全保护方法及系统,其提高了对恶意邮件的拦截准确率,增强了用户的邮件安全性。
2、为解决上述技术问题,本发明采用的技术方案是:一种自动化生成邮箱账号蜜点的邮件安全保护方法,该方法包括以下步骤:
3、步骤s1、输入待保护的邮箱账户或者待保护邮箱账户拥有者的个人身份信息,输入要生成的邮箱蜜点账户数量n;
4、步骤s2、基于步骤s1输入的原始账户,采用基于马尔科夫模型的近似账户名生成方法,生成n个具有与原始账户字符串相似度高的邮箱蜜点账户和密码,并将生成的账户信息展示给用户,用户根据自身需求选择要添加的邮箱蜜点账户;
5、步骤s3、邮箱蜜点管理服务器根据情况对邮箱蜜点账户进行创建;
6、步骤s4、邮箱蜜点管理服务器对邮箱蜜点账户进行监控,诱使攻击者向邮箱蜜点账户发送邮件,邮箱蜜点账户收到新邮件时,邮箱蜜点管理服务器拉取邮件并下载内容和附件到本地进行分析;
7、步骤s5、邮箱蜜点管理服务器将分析后的内容通过摘要的形式发送给业务系统安全中心作为威胁样本;
8、步骤s6、业务系统安全中心收到威胁样本后,根据威胁样本拦截、防御垃圾邮件或钓鱼邮件。
9、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s2中所述基于步骤s1输入的原始账户,采用基于马尔科夫模型的近似账户名生成方法,生成n个具有与原始账户字符串相似度高的邮箱蜜点账户和密码,具体过程为:
10、步骤s201、收集训练数据,构建训练语料库;
11、步骤s202、基于训练语料库生成查找表,记录训练语料库中每个字符的出现频次;
12、步骤s203、根据查找表和每个字符的出现频次,将频次转化为概率;
13、步骤s204、构建马尔可夫模型,并采用训练语料库对马尔可夫模型进行训练,得到训练好的用于近似账户名生成的马尔可夫模型,所述马尔可夫模型的输出为近似账户名;
14、步骤s205、创建一个抽样函数,它接收原始账户名字符串,并按照预设的子字符串长度,从原始账户名提取所有子字符串;
15、步骤s206、将从原始账户名提取所有子字符串分别输入训练好的马尔可夫模型中,马尔可夫模型输出近似账户名,直到输出的近似账户名数量达到预设数量n个后,停止输入,生成候选近似账户名集合;
16、步骤s207、将候选近似账户名集合中的近似账户名与原始账户名进行字符串相似性比较,当n个邮箱蜜点账户的相似性均满足要求时,执行步骤s208;否则,返回执行步骤205,直到生成n个邮箱蜜点账户;
17、步骤s208、给n个邮箱蜜点账户分别设置密码。
18、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s204中所述马尔可夫模型输出的近似账户名的长度与原始账户的长度的关系为。
19、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s207中所述对邮箱蜜点账户与原始账户进行字符串相似性比较时的方法为:
20、步骤s2071、计算原始账户名字符串与近似账户名字符串之间的编辑距离相似度;
21、步骤s2072、将计算的编辑距离相似度与预设的编辑距离相似度阈值相比较,当计算的编辑距离相似度大于预设的编辑距离阈值时,判断为相似性不满足要求。
22、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s2071中所述计算原始账户名字符串与近似账户名字符串之间的编辑距离相似度采用的计算公式为,其中,表示原始账户名字符串,表示近似账户名字符串,表示原始账户名字符串与近似账户名字符串之间的编辑距离,为原始账户名字符串的字符串长度,为近似账户名字符串的字符串长度,表示原始账户名字符串与近似账户名字符串之间的编辑距离相似度。
23、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s208中所述给n个邮箱蜜点账户分别设置密码时,n个密码的生成采用弱密码:中强密码:强密码比例4:2:2的比例进行生成;其中,弱密码为纯数字或纯字母的组合,中强密码为数字字母组合,强密码为数字加字母加特殊字符的组合。
24、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s3中所述邮箱蜜点管理服务器根据情况对邮箱蜜点账户进行创建时,是根据邮箱蜜点管理服务器是否有邮箱服务器的账户创建权限的两种情况进行的,具体为:
25、当邮箱蜜点管理服务器有邮箱服务器的账户创建权限时,邮箱蜜点管理服务器直接在邮箱服务器中创建邮箱蜜点账户;
26、当邮箱蜜点管理服务器没有邮箱服务器的账户创建权限时,邮箱蜜点管理服务器提供邮箱蜜点账户导出功能,用户导出邮箱蜜点账户,手动在邮箱服务器添加。
27、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s4中所述邮箱蜜点管理服务器拉取邮件并下载内容和附件到本地进行分析时,分析邮件的来源、策略、发送频率以及发送的内容。
28、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s5中所述摘要信息包括:发件源ip、发件人、邮件标题、邮件头、发件时间、附件信息、初步分析判定的邮件类型。
29、上述的自动化生成邮箱账号蜜点的邮件安全保护方法,步骤s5中所述邮箱蜜点管理服务器将分析后的内容通过摘要的形式发送给业务系统安全中心作为威胁样本时,威胁样本中包括发件源ip;步骤s6中业务系统安全中心收到威胁样本后,根据威胁样本拦截、防御垃圾邮件或钓鱼邮件时,是从收到的邮件中提取发件源ip建立ip黑名单,拦截之后经ip黑名单发往邮箱蜜点管理服务器的邮件。
30、本发明与现有技术相比具有以下优点:
31、1、本发明提出了一种基于马尔科夫模型的近似账户名生成方法,针对不同应用场景使用不同训练数据对马尔科夫模型进行建模,使模型能够生成满足一定规律的字符串,以达到使用模型对原始账户名单个或多个字符进行调整后,账户名整体符合所用训练数据规律,与原应用环境相契合。
32、2、本发明提出了一种基于邮箱蜜点的邮件内容安全保护方法,利用基于马尔科夫模型生成的高相似度账户诱使攻击者向邮箱蜜点账户发送邮件,根据邮箱蜜点不用于正常通信的特性,当攻击者使用邮箱蜜点账户时,会立即触发警报;安全管理员可以监控到达这些地址的邮件来分析垃圾邮件的来源、策略、发送频率以及发送的内容等,分析邮箱蜜点账户收到的邮件内容,能够提前为垃圾邮件和钓鱼邮件识别、过滤提供样本和告警信息,迅速采取应对措施,提高对恶意邮件的拦截准确率,增强用户的邮件安全性。
33、3、本发明提出了一种基于邮箱蜜点的邮件发件黑名单建立方法,在对收到的恶意邮件进行分析过后,自动提取邮件头中的发件ip并主动建立邮件发件黑名单,对之后从黑名单ip发送的邮件直接进行拦截,保障用户邮件安全。
34、4、本发明的一种自动化生成邮箱账号蜜点的邮件安全保护方法,针对日益严峻的电子邮件安全威胁,以及钓鱼邮件技术变化快、难检测等问题提出,是一种通过在邮件服务器上部署邮箱蜜点实现收取和分析恶意邮件、保护真实用户邮箱邮件安全、告警网络入侵的方法,通过积极采取主动措施来尽量降低数据泄露的影响,扭转了攻击者的优势地位,能够用于保护企业电子邮件安全,针对企业内部重点人员的邮箱账号设置邮箱蜜点,根据原始邮箱账户特征生成邮箱蜜点、自动拉取邮箱蜜点邮件并分析,为邮件安全系统提供恶意邮件样本,有效提高钓鱼邮件检测率。
35、下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
1.一种自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于,该方法包括以下步骤:
2.按照权利要求1所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s2中所述基于步骤s1输入的原始账户,采用基于马尔科夫模型的近似账户名生成方法,生成n个具有与原始账户字符串相似度高的邮箱蜜点账户和密码,具体过程为:
3.按照权利要求2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s204中所述马尔可夫模型输出的近似账户名的长度与原始账户的长度的关系为。
4.按照权利要求2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s207中所述对邮箱蜜点账户与原始账户进行字符串相似性比较时的方法为:
5.按照权利要求4所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s2071中所述计算原始账户名字符串与近似账户名字符串之间的编辑距离相似度采用的计算公式为,其中,表示原始账户名字符串,表示近似账户名字符串,表示原始账户名字符串与近似账户名字符串之间的编辑距离,为原始账户名字符串的字符串长度,为近似账户名字符串的字符串长度,表示原始账户名字符串与近似账户名字符串之间的编辑距离相似度。
6.按照权利要求2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s208中所述给n个邮箱蜜点账户分别设置密码时,n个密码的生成采用弱密码:中强密码:强密码比例4:2:2的比例进行生成;其中,弱密码为纯数字或纯字母的组合,中强密码为数字字母组合,强密码为数字加字母加特殊字符的组合。
7.按照权利要求1或2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s3中所述邮箱蜜点管理服务器根据情况对邮箱蜜点账户进行创建时,是根据邮箱蜜点管理服务器是否有邮箱服务器的账户创建权限的两种情况进行的,具体为:
8.按照权利要求1或2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s4中所述邮箱蜜点管理服务器拉取邮件并下载内容和附件到本地进行分析时,分析邮件的来源、策略、发送频率以及发送的内容。
9.按照权利要求1或2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s5中所述摘要信息包括:发件源ip、发件人、邮件标题、邮件头、发件时间、附件信息、初步分析判定的邮件类型。
10.按照权利要求1或2所述的自动化生成邮箱账号蜜点的邮件安全保护方法,其特征在于:步骤s5中所述邮箱蜜点管理服务器将分析后的内容通过摘要的形式发送给业务系统安全中心作为威胁样本时,威胁样本中包括发件源ip;步骤s6中业务系统安全中心收到威胁样本后,根据威胁样本拦截、防御垃圾邮件或钓鱼邮件时,是从收到的邮件中提取发件源ip建立ip黑名单,拦截之后经ip黑名单发往邮箱蜜点管理服务器的邮件。
