技术领域
[0001] 本
发明涉及
电子邮件技术领域,具体涉及一种基于OSI(Open System Interconnection开放式系统互联)七层协议的邮件安全分析方法及装置。
背景技术
[0002] 近年来,电子邮件作为一种通讯方式在不断快速发展的同时,也为
软件业和全球的公司创造了机遇和挑战。软件公司开发了大众喜爱的电子邮件客户端和
服务器软件,并通过免费下载和高端商业应用程序提供了增强功能。许多公司发布了电子邮件解决方案,并在频繁的广告赞助的支持下免费向最终用户提供。企业软件的商业提供程序也一直在不断的创新,提供了增强的功能以帮助电子信息部
门更加有效和安全地管理电子邮件系统,同时帮助信息工作者应对大量电子邮件所带来的管理方面的挑战。现在,电话和电子邮件系统的结合使用户能够通过电子邮件客户端
访问语音邮件和传真,而且随着智能手机的广泛应用,用户通过手机就可访问电子邮件。邮件技术的重要性越来越高,邮件的系统管理器也面临着更多挑战。
[0003] 电子邮件的安全性通常在以下几个方面面临严重威胁:
[0004] 1、用户密码猜测:据国外学者调查发现,现今用户密码设置普遍存在不安全因素,不法分子利用用户贪图方便设置弱口令的漏洞,对邮箱账户密码进行破解。比如网上搜寻、截获邮件地址等方式获取账户名称,再打开其企业邮箱界面,尝试输入猜测密码,一经得手,进入账户,盗取、删除、复制、转发等邮件操作。
[0005] 2、垃圾病毒邮件:众所周知,木
马病毒肆虐一直是网络安全的重大威胁,而电子邮件是病毒传播的主要途径。用户的邮箱一旦被垃圾邮件进驻,占用大量空间和删除时间外,难免会错失一些重要邮件,如果被病毒邮件感染,造成账号密码曝光、机密邮件失窃、大量转发垃圾邮件、甚至有些病毒经邮件扩散到整个电系统,窃取其它账号信息等等严重后果。
[0006] 3、黑客攻击:在利益链条的驱使下,世界各国时常发生黑客攻击、后门植入等攻击事件,引起网民的严重恐慌。
[0007] 4、系统漏洞:不管是电脑系统还是邮件系统,在设计或是配置上都有漏洞存在的可能性,而这些漏洞、后门正是黑客攻破系统的
站点。
[0008] 除此之外,大量的邮件安全隐患为企业和个人带直接经济损失的同时,也在一定程度上制约了新业务新技术的发展。
[0009] 现有的邮件安全分析技术多是针对邮件通信相关协议或邮件内容进行分析,或至针对某一种类型的邮件攻击,存在无法全面监控邮件系统安全威胁,造成错漏大量邮件攻击行为的问题。
[0010] 如何从根本上解决邮件安全监控问题,实现对邮件安全的全方位监控,是电子邮件技术领域亟待解决的问题。
发明内容
[0011] 本发明所要解决的技术问题是针对
现有技术中所存在的上述
缺陷,提供一种基于OSI七层协议的邮件安全分析方法及装置,用以解决现有技术中存在的无法全面监控邮件安全的问题。
[0012] 为实现上述目的,本发明提供一种基于OSI七层协议的邮件安全分析方法:
[0013] 将获取的邮件数据按照OSI七层协议拆分为与所述七层协议的二到七层协议一一对应的六层数据包;
[0014] 根据预设的六层协议分层
算法,计算所述六层数据包,确定六层协议分层分析子结果,所述六层协议分层分析子结果为二到七层协议每层分别对应一个子结果,[0015] 根据所述六层协议分层分析子结果和预设的六层协议联动分析对应关系,确定并输出邮件不安全因素,所述预设的六层协议联动分析对应关系,为所述六层协议分层分析子结果和邮件不安全因素之间的对应关系。
[0016] 本发明还提供一种基于OSI七层协议的邮件安全分析装置,主要包括:
[0017] 数据拆分模
块,用于将获取的邮件数据按照OSI七层协议拆分为与所述七层协议的二到七层协议一一对应的六层数据包;
[0018] 分层分析模块,用于根据预设的六层协议分层算法,计算所述六层数据包,确定六层协议分层分析子结果,所述六层协议分层分析子结果为二到七层协议每层分别对应一个子结果,
[0019] 联动分析模块,用于根据所述六层协议分层分析子结果和预设的六层协议联动分析对应关系,确定邮件不安全因素,所述预设的六层协议联动分析对应关系,为所述六层协议分层分析子结果和邮件不安全因素之间的对应关系,
[0020] 输出模块,用于输出所述邮件不安全因素。
[0021] 本发明所提供的基于OSI七层协议的邮件安全分析方法和装置,通过监控邮件数据流的各种通信协议,分别在链路层、网络层、传输层、会话层、表示层和应用层提出相应的分析方法,确定各层的分析子结果,再将各层的分析子结果联动分析,综合判断,全面识别各种不安全邮件,判定邮件的不安全因素。
附图说明
[0022] 为了更清楚的说明本发明
实施例中的技术方案,下面将对实施例描述中所需要使用的附图做简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他附图。
[0023] 图1为本发明提供的基于OSI七层协议的邮件安全分析方法第一实施例的流程示意图;
[0024] 图2为本发明提供的基于OSI七层协议的邮件安全分析装置的结构示意图。
具体实施方式
[0025] 为使本领域技术人员更好地理解本发明的技术方案,下面结合附图和实施例对本发明作进一步详细描述。显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026] 图1为本发明提供的基于OSI七层协议的邮件安全分析方法第一实施例的流程示意图,如图1所示的基于OSI七层协议的邮件安全分析方法包括如下步骤:
[0027] 步骤S101,将获取的邮件数据按照OSI七层协议拆分为与所述七层协议的二到七层协议一一对应的六层数据包。
[0028] 具体的,采用镜像的方式获取邮件数据,按照OSI七层协议中的第二层到第七层将数据流拆分至数据
帧,用于分析。
[0029] 步骤S102,根据预设的六层协议分层算法,计算所述六层数据包,确定六层协议分层分析子结果。
[0030] 具体的,所述六层协议分层分析子结果为二到七层协议每层分别对应一个子结果。在六层协议分析分析过程中,针对每层的相关协议分别设置分析项,并针对分析项采取相应的分析方法,分别为:
[0031] 第二层数据链路层:
[0032] 分析项:ARP欺骗分析。
[0033] 分析方法:数据统计,通信上限设置。
[0034] 第三层网络层:
[0035] 分析项:
[0036] (1)IP地址合理性分析:邮件通信IP是否为员工使用:企业内部、家庭、出差和移动终端。
[0037] (2)ICMP协议分析:三类攻击:针对带宽的DoS攻击,利用无用的数据来耗尽网络带宽;针对主机的DoS攻击。
[0038] 分析方法:
[0039] (1)多个IP地址登录同一邮箱;只有收邮件行为,无发邮件行为;登录邮箱后下载大量邮件。
[0040] (2)数据统计,通信上限设置。
[0041] 第四层传输层:
[0042] 分析项:端口合理性分析,邮件服务器专用端口TCP25/110/143/80/465/993/995/587是否有其他主机开放。
[0043] 分析方法:五元组统计,结合IP、端口判断。
[0044] 第五层会话层:
[0045] 分析项:
[0046] (1)认证过程合理性分析:三类攻击:同一IP登录多个邮箱;猜试口令;爆破口令。
[0047] (2)通信过程完整性分析:通信过程是否含登录邮箱、退出邮箱。
[0048] (3)口令安全性分析:登录口令长度,字符组合规则、是否使用默认密码、是否使用姓名、手机号、“123456”等组合。
[0049] (4)数据结构完整性分析:邮件认证、退出等数据结构与标准命令集、应答序列进行对比。
[0050] (5)收发合理性:判断邮件收发关系是否存在可疑:钓鱼邮件、监听篡改。
[0051] (6)爬虫攻击:分析Web服务器是否被爬虫爬取。
[0052] (7)漏洞扫描:分析Web服务器是否存在漏洞扫描行为:如SQL注入、XSS、文件包含等。
[0053] (8)管理权限分析:分析管理员权限是否存在猜破口令、仿冒登录等。
[0054] (9)钓鱼邮件分析:从收发关系判断是否有伪装、仿冒等身份。
[0055] (10)邮件炸弹分析:判断一段时间内是否存在同一发件人大量发送邮件。
[0056] (11)垃圾邮件分析:判断一段时间内是否存在同一发件人发给多数人的邮件。
[0057] (12)SSH协议分析:认证过程分析是否为扫描、猜破行为。
[0058] (13)DNS协议分析:分析是否存在非法域名、
请求不存在等情况。
[0059] (14)SNMP协议分析:分析是否存在非法IP管理邮件服务器。
[0060] (15)MYSQL分析:分析是否存在非法IP登录
数据库。
[0061] (16)SSL加密安全性分析:证书安全性分析;SSL版本号分析;加密算法强度;SSL漏洞。
[0062] 分析方法:
[0063] (1)提取认证过程元数据,入库对比分析。
[0064] (2)提取邮件通信登录、退出的元数据,入库分析。
[0065] (3)提取SMTP/POP3/IMAP/HTTP登录元数据入库分析。
[0066] (4)提取邮件通信完整过程报文进行分析。
[0067] (5)提取邮件收发元数据,与常通信域名进行对比。
[0068] (6)提取HTTP信息头,是否含“From:爬虫地址”。
[0069] (7)HTTP返回值分析;URL地址分析;端口统计分析。
[0070] (8)针对管理员登录地址、登录账号进行监控分析,是否有不合法登录。
[0071] (9)提取收发关系元数据信息,进行初步判断。
[0072] (10)提取收发关系元数据信息,设定发送次数
阀值。
[0073] (11)提取收发关系元数据信息,设定发送次数阀值。
[0074] (12)提取SSH数据握手信息、协商信息等进行判断。
[0075] (13)提取DNS域名统计入库,对比分析。
[0076] (14)IP地址统计,对比分析。
[0077] (15)IP地址统计,对比分析。
[0078] (16)证书是否合法,证书是否属于自建等等;版本是否为最新;算法强度是否抗破解;4、是否存在SSL已曝漏洞。
[0079] 第六层表示层:
[0080] 分析项:
[0081] (1)通信过程完整性分析:通信过程是否含传输邮件编码协商等。
[0082] (2)数据结构完整性分析:邮件传输内容编码协商数据结构与标准格式进行对比。
[0083] (3)邮件数量:分析用户历史邮件是否过多。
[0084] 分析方法:
[0085] (1)提取邮件通信传输的元数据,入库分析。
[0086] (2)提取邮件通信完整过程报文进行分析。
[0087] (3)提取POP3/IMAP邮件列表信息,与要求进行对比。
[0088] 第七层应用层:
[0089] 分析项:
[0090] (1)通信过程完整性分析:通信过程是否含传输邮件内容。
[0091] (2)数据结构完整性分析:邮件传输内容结构与标准格式进行对比。
[0092] (3)内容安全性分析(含钓鱼邮件)正文安全:通信内容被篡改;正文插入攻击脚本;插入恶意链接网址;账号口令欺骗信息等;附件安全:附件是否插入木马等恶意程序。
[0093] (4)管理权限分析:如被仿冒登录成功,分析是否有搜集信息、入侵数据库行为。
[0094] (5)邮件炸弹分析:判断一段时间内是否发送相同内容邮件。
[0095] (6)垃圾邮件分析:判断一段时间内是否发送相同内容邮件。
[0096] (7)SSH协议分析:从流量初判认证是否成功。
[0097] (8)SNMP协议分析:分析数据结构是否存在登录成功的管理行为。
[0098] (9)MYSQL分析:分析数据结构是否存在登录成功的行为。
[0099] 分析方法:
[0100] (1)提取邮件通信内容及信息,入库分析。
[0101] (2)提取邮件通信完整过程报文进行分析。
[0102] (3)正文:还原邮件报文,提取邮件中脚本地址、链接地址;与黑名单库进行对比;附件:提取附件与标准附件格式进行对比,若插入木马文件,剥离后进行分析。
[0103] (4)针对管理员登录进行监控分析。
[0104] (5)提取邮件标题、大小等信息,设定发送次数阀值。
[0105] (6)提取邮件标题、大小等信息,设定发送次数阀值。关键字筛选等。
[0106] (7)在未解密的情况下通过数据格式初步判断。
[0107] (8)数据结构分析。
[0108] (9)数据结构分析。
[0109] 所述分层分析子结果为包括至少一个分析项和所述分析项的统计得分组成的二维数组,统计得分根据统计次数的多少设定,例如,可根据统计次数的有多到少,设定得分为4-1分,分别为4-高危,3-中危,2-低危,1-正常。
[0110] 优选的,本发明在S102步骤后,还提供合理性分析和完整性分析,具体为,[0111] 针对三到五层的分层分析子结果进行合理性分析,所述合理性分析项包括IP合理性,端口合理性,认证合理性,收发合理性,
[0112] 针对五到七层的分层分析子结果进行所述完整性分析,所述完整性包括数据结构完整性,通信过程完整性。
[0113] 合理性和完整性的具体的分析项,分别采用上述的分项目中相应的完整性及合理性的分析项。
[0114] 从邮件整体的合理性和完整性方面,分别给出相应的结论,从邮件安全的安全性和完整性方面给出综合性的结论。
[0115] 步骤S103,根据所述六层协议分层分析子结果和预设的六层协议联动分析对应关系,确定并输出邮件不安全因素,
[0116] 具体的,所述预设的六层协议联动分析对应关系,为所述六层协议分层分析子结果和邮件不安全因素之间的对应关系。
[0117] 根据六层协议分层分析结果中不同的分析项及其分析项得分情况的不同,按照预设的对应关系,可以得出邮件不安全因素,即给出邮件分析的整体结果,邮件不安全因素和根据所述分析项的统计得分确定的针对邮件不安全因素的安全等级。
[0118] 为更好的说明此步骤,举例说明如下,如针对一个获取到的邮件数据包,主要为HTTPS协议,分析所得的六层协议分层分析子结果分别如下:
[0119] (1)链路层分析:该数据属于以太网数据,与正常通信数据符合。链路层子结果1:ARP分析,正常。
[0120] (2)网络层分析:HTTPS协议,进行IP地址合理性分析:邮件IP地址为172.16.x.x,客户端IP地址为194.10.x.x,不属于正常员工范围;网络层子结果2:IP地址合理性,低危;
[0121] (3)传输层分析:HTTPS协议,邮件对应端口为443,正常;客户端端口在5秒内变化3次,通信较频繁。传输层子结果3:端口合理性,中危;
[0122] (4)会话层分析:SSL安全性分析:正常;认证过程合理性分析:3次通过SSL认证过程数据均无完整认证过程;通信过程完整性分析:3次登录均未完整登陆。会话层子结果4:认证合理性,中危,认证完整性,中危;
[0123] (5)表示层分析:无登陆成功后的动作,未登陆成功;表示层子结果5:通信完整性分析,中危;
[0124] (6)应用层分析:无登陆成功后的动作,未登陆成功;应用层子结果6:通信完整性分析,中危;
[0125] 通过各层指标对该数据进行6次安全分析,得出6个子结果,根据子结果通过联动判断规则可认定为中危安全事件。根据分析项中的该IP 3次通过SSL认证过程数据均无完整认证过程,判断该IP尝试了3次猜试口令,但均未成功,经过联动分析初步判断邮件不安全因素为认证爆破或猜试口令的攻击行为,安全等级为中危。
[0126] 优选的,本发明在此步骤后,还提供根据邮件不安全因素,确定不安全邮件的不安全来源或对应的处理意见。
[0127] 如根据以上的邮件不安全因素及安全等级,可进一步给出导致邮件不安全因素的不安全来源,即给出猜试口令的攻击源IP地址,并可以给出进一步的处理意见,如屏蔽此攻击源IP地址等。
[0128] 本发明所提供的基于OSI七层协议的邮件安全分析方法,能够将邮件数据按照七层协议进行数据拆分后,按照不同的不安全邮件分析项进行分析,再根据六层协议的分层分析子结果联动分析,给出最终的邮件不安全因素。能够全方位的分析有邮件相关的所有协议,发现邮件数据包中的各种不安全因素,达到对不安全邮件全面分析,综合治理的目的。
[0129] 图2为本发明提供的基于OSI七层协议的邮件安全分析装置的结构示意图,如图2所提供的基于OSI七层协议的邮件安全分析装置包括:
[0130] 数据拆分模块,用于将获取的邮件数据按照OSI七层协议拆分为与所述七层协议的二到七层协议一一对应的六层数据包。
[0131] 分层分析模块,用于根据预设的六层协议分层算法,计算所述六层数据包,确定六层协议分层分析子结果,所述六层协议分层分析子结果为二到七层协议每层分别对应一个子结果,具体用于确定包括至少一个分析项和所述分析项的统计得分组成的二维数组,所述分析项是指二到七层协议中每层相关协议所对应的针对不同的邮件不安全分析目标的分析项目。
[0132] 联动分析模块,用于根据所述六层协议分层分析子结果和预设的六层协议联动分析对应关系,确定邮件不安全因素,所述预设的六层协议联动分析对应关系,为所述六层协议分层分析子结果和邮件不安全因素之间的对应关系,具体用于确定邮件不安全因素和根据所述分析项的统计得分确定的针对邮件不安全因素的安全等级,还用于根据邮件不安全因素,确定不安全邮件的不安全来源或对应的处理意见。
[0133] 合理性完整性分析模块,用于进行合理性分析和完整性分析,所述合理性分析针对三到五层的分层分析子结果,所述合理性分析项包括IP合理性,端口合理性,认证合理性,收发合理性,所述完整性分析针对五到七层的分层分析子结果,所述完整性包括数据结构完整性,通信过程完整性。
[0134] 输出模块,用于输出所述邮件不安全因素。
[0135] 本发明所提供的基于OSI七层协议的邮件安全分析装置,可对于邮件数据进行全协议全方位的分析,根据不同的不安全邮件分析项目,综合给出最后的邮件不安全因素并给出邮件安全等级,能够对邮件进行全面的安全治理。
[0136] 在本
申请所提供的实施例中,应该理解到,所揭露的方法、设备和系统,可以通过其它的方式实现。例如,以上所描述的设备实施例仅是是示意性的,所述功能模块的划分,仅为一种逻辑功能的划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或者一些特征可以忽略,或不执行。
[0137] 最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行
修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
