(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN106685803A(43)申请公布日2017.05.17(21)申请号201611248582.0(22)申请日2016.12.29(71)申请人北京安天网络安全技术有限公司地址100080北京市海淀区闵庄路3号清华科技园玉泉慧谷一期1号楼(72)发明人任洪伟李柏松(51)Int.Cl.H04L12/58(2006.01)H04L29/06(2006.01)权利要求书2页说明书6页附图1页(54)发明名称一种基于钓鱼邮件溯源APT攻击事件的方法及系统(57)摘要本发明公开了一种基于钓鱼邮件溯源APT攻击事件的方法及系统，包括：解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。本发明所述技术方案能够通过分析已知钓鱼邮件进而发现APT攻击事件。CN106685803ACN106685803A权利要求书1/2页1.一种基于钓鱼邮件溯源APT攻击事件的方法，其特征在于，包括：解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测；其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。2.如权利要求1所述的方法，其特征在于，所述分析邮件元数据、正文信息和附件信息，并生成攻击溯源库，包括：分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；分析附件文件，获取附件文件的版本信息并记入攻击溯源库。3.如权利要求2所述的方法，其特征在于，所述获取域名注册人相关信息，包括：域名注册人、注册邮箱、所述域名注册人注册的其他域名信息。4.如权利要求2或3所述的方法，其特征在于，所述将未知邮件与所述攻击溯源库进行关联分析，若满足预设条件则进行深度检测，包括：将未知邮件的发件人与攻击溯源库中发件人邮箱地址和发件邮箱域对比，若匹配度超过预设值，则进行深度检测；分析未知邮件的收件人域，获得收件人域所涉及的行业关键词；分析未知邮件的正文内容和附件文件，并进行分词处理，获取关键词并与所述行业关键词对比，若匹配成功则进行深度检测；将未知邮件涉及的关键词与攻击溯源库中的关键词及出现频率对比，若出现频率相当则进行深度检测；将未知邮件的正文内容和附件文件中的URL与攻击溯源库中的域名注册人相关信息对比，若匹配成功则进行深度检测；获取未知邮件的附件文件的版本信息并与攻击溯源库中的版本信息对比，若匹配成功则进行深度检测。5.如权利要求4所述的方法，其特征在于，所述进行深度检测，包括：检测未知邮件的附件文件是否存在恶意性，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件；动态分析未知邮件是否存在恶意行为，若存在则判定该未知邮件与攻击溯源库中的相关钓鱼邮件属于一次APT攻击事件。6.一种基于钓鱼邮件溯源APT攻击事件的系统，其特征在于，包括：钓鱼邮件解析模块，用于解析已知钓鱼邮件，获取邮件元数据、正文信息和附件信息；攻击溯源库生成模块，用于分析邮件元数据、正文信息和附件信息，并生成攻击溯源库；邮件关联分析模块，用于将未知邮件与所述攻击溯源库进行关联分析，若满足预设条2CN106685803A权利要求书2/2页件则进行深度检测；其中，所述邮件元数据包括：发件服务器IP、发件时间、发件人、收件人、主题；所述正文信息包括正文内容和正文内容中的URL；所述附件信息包括附件文件及附件文件中的URL。7.如权利要求6所述的系统，其特征在于，所述攻击溯源库生成模块，具体用于：分析邮件元数据的发件人，获取发件人邮箱地址和发件邮箱域并记入攻击溯源库；分析邮件元数据的收件人，获取收件邮箱域并记入攻击溯源库；分析正文内容和附件文件，并进行分词处理，获取关键词及出现频率并记入攻击溯源库；分析正文内容和附件文件中的URL，获取域名注册人相关信息并记入攻击溯源库；分析附件文件，获取附件文件的版本信息并记入攻击溯源库。8.如权利要求7所述的系统，其特征在于，所述获取