[发明专利]一种钓鱼邮件攻击的蔽性标识方法

说明书

本发明涉及网络信息安全技术领域，具体涉及一种钓鱼邮件攻击的蔽性标识方法，包括：步骤S1，邮件服务器对接收的邮件进行分析判定，若所述接收的邮件为钓鱼邮件，则执行步骤S2，若所述接收的邮件为非钓鱼邮件，则不进行标记；步骤S2，对所述钓鱼邮件的隐蔽性属性进行定位；步骤S3，提取所述隐蔽性属性，并对所述隐蔽性属性进行标记。本发明可以发现钓鱼邮件发送过程中，发件人是否使用了隐蔽性手段，从而评估攻击者的防侦测能力。

技术领域

本发明涉及网络信息安全技术领域，尤其涉及一种钓鱼邮件攻击的蔽性标识方法。

背景技术

当前对于钓鱼邮件的标识大多从“发件人”“发件时间”“攻击持续性”“话题”“恶意代码或嵌入方法”等方面进行，没有从其对攻击的“隐蔽性性”程度进行分析。隐蔽性性特征是攻击者的重要标志特征之一，隐蔽性做的越到位说明攻击的针对性越强，技术手段越高明，现有技术中采用的标识方法不能更好地发现发件人是否使用了隐蔽性性手段，从而无法正确的评估攻击者的防侦测能力。

发明内容

为了解决以上技术问题，本发明提供了一种钓鱼邮件攻击的蔽性标识方法。

本发明所解决的技术问题可以采用以下技术方案实现：

一种钓鱼邮件攻击的蔽性标识方法，其特征在于，包括：

步骤S1，邮件服务器对接收的邮件进行分析判定，若所述接收的邮件为钓鱼邮件，则执行步骤S2，若所述接收的邮件为非钓鱼邮件，则不进行标记；

步骤S2，对所述钓鱼邮件的隐蔽性属性进行定位；

步骤S3，提取所述隐蔽性属性，并对所述隐蔽性属性进行标记。

具体的，获取邮件的头部信息，并基于预设的第一类动态黑名单库，判断所述头部信息中是否包含有位于第一类动态黑名单库中的指定的第一类钓鱼信息；确定包含时，判断所述邮件为钓鱼邮件；确定不包含时，提取所述邮件的正文信息，以及基于预设的第二类动态黑名单库，判断所述正文信息中是否包含有位于第二类动态黑名单库中的指定的第二类钓鱼信息，确定包含时，判定所述邮件为钓鱼邮件，确定不包含时，判定所述邮件为非钓鱼邮件。钓鱼邮件的识别判断不限于上述识别方法，现有技术中的识别方法均可用于服务器进行识别，在此不再叙述。

优选的，所述隐蔽性属性包括群发属性、发件人属性、附件属性、可见链接属性以及重复性属性。

优选的，当所述钓鱼邮件收件人列表显示为群发邮件，则将所述钓鱼邮件的所述群发属性标记为1,否则标记为0。

优选的，当所述钓鱼邮件发件人信息与真实发件人信息一致，则将所述钓鱼邮件的所述发件人属性标记为1，否则标记为0。

优选的，当所述钓鱼邮件所携带的附件为恶意邮件，且所述附件类型为可执行文件，则将所述钓鱼邮件的所述附件属性标记为1，否则标记为0。

优选的，当所述钓鱼邮件所携带的连接形式为短链接形式，则将所述钓鱼邮件的所述链接属性标记为1，否则标记为0。

优选的，当所述钓鱼邮件在一预设时间内被重复接收，则将所述钓鱼邮件的所述重复性属性标记为1，否则标记为0。

其有益效果在于：

本发明可以发现钓鱼邮件发送过程中，发件人是否使用了隐蔽性性手段，从而评估攻击者的防侦测能力。

附图说明

图1为本发明提供的一种钓鱼邮件攻击的蔽性标识方法步骤图。

具体实施方式