[发明专利]一种针对伪造发件人的钓鱼邮件的识别方法及系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种针对伪造发件人的钓鱼邮件的识别方法及系统。

背景技术

邮件攻击在互联网时代可以说是常见而又泛滥的攻击手法，早在1999年爆发的Happy99病毒、梅丽莎(Melissa)病毒等作为邮件病毒的鼻祖，之后对照梅丽莎的"蓝本"又爆发了爱虫(LoveLetter)病毒、马吉斯(Magistr)病毒。这些病毒均属于"蠕虫"类型，具备自我扩散的能力，传播范围广，传播次数快，短时间快速传播，一方面会对网络带来很大压力，也很容易被感知和发现。但今天的邮件入口，已经完全告别了当时的"天真病毒时代"，邮件病毒从宏病毒和其他使用邮件API自动发送的二进制样本，到使用格式文档溢出的APT攻击等。攻击手法从普通的邮件攻击、钓鱼攻击、到鱼叉式钓鱼攻击。攻击手法从粗糙到精密，攻击目标从"扩散"、"扫射"到"狙击"。

目前，邮件威胁依然猖獗，毕竟当浏览器、主机、服务器系统的安全在进一步的加固情况下，邮件对攻击者来说是个可以直达目标的上佳入口，这意味着通过邮件进行攻击的方法无论在高级威胁、还是类似扩散僵尸网络、敲诈其他的一般性的网络犯罪中成功率都非常高。其中，利用社工方法进而伪造发信人，进而诱骗用户点击附件的钓鱼邮件更是企业和用户的“噩梦”。

发明内容

为了克服现有技术方案的不足,本发明提供一种针对伪造发件人的钓鱼邮件的识别方法，利用监控发送过程中邮件服务器对邮件进行处理时添加的邮件头，对邮件头中关键字段的识别，进而能够有效识别是否为可疑钓鱼邮件。

本发明解决其技术问题所采用的技术方案是：一种针对伪造发件人的钓鱼邮件的识别方法，包括如下步骤：

首先判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加；

若是由发送服务器添加，则提取by字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件；

若是由接收服务器添加，则提取From字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件。

作为本发明一种优选的技术方案，在所述判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加之前，还包括：若邮箱头域中包含的Received字段个数大于等于3个，则直接判定为疑似钓鱼邮件。

作为本发明一种优选的技术方案，判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加，具体为：提取首个Received中by字段后的地址相关信息，若地址相关信息显示为接收服务器地址，则所述Received字段由接收服务器添加，否则为发送服务器添加。

作为本发明一种优选的技术方案，所述提取by字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，具体为：

若所述地址相关信息为邮箱服务器信息，则判断所述邮箱服务器信息与显示的发件人的地址对应的邮箱信息是否相匹配；

若所述地址相关信息为IP地址，则判断所述IP地址是否属于显示的发件人的地址对应的服务器的邮箱地址范围，若属于则判定匹配成功，否则判定匹配失败。

作为本发明一种优选的技术方案，所述提取From字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，具体为：

若所述地址相关信息为邮箱地址，则判断所述邮箱地址与显示的发件人的地址是否相匹配；

若所述地址相关信息为邮箱服务器地址，则判断所述邮箱服务器地址与显示的发件人的地址是否相匹配；

若所述地址相关信息为IP地址，则判断所述IP地址是否属于显示的发件人的地址对应的服务器的邮箱地址范围，若属于则判定匹配成功，否则判定匹配失败。

另外本发明还设计了一种针对伪造发件人的钓鱼邮件的识别系统，包括：

服务器判定模块，用于判断邮箱头域中的首个Received字段是由发送服务器添加还是接收服务器添加；

第一匹配模块，用于若是由发送服务器添加，则提取by字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件；

第二匹配模块，用于若是由接收服务器添加，则提取From字段后的地址相关信息，并判断所述地址相关信息与显示的发件人的地址是否相匹配，若匹配则判定为正常邮件，否则判定为疑似钓鱼邮件。