基于半监督学习的邮件伪装攻击检测方法

作     者：李畅 龙春 赵静 杨悦 王跃达 潘庆峰 叶晓虎 吴铁军 唐宁 LI Chang;LONG Chun;ZHAO Jing;YANG Yue;WANG Yueda;PAN Qingfeng;YE Xiaohu;WU Tiejun;TANG Ning

作者机构：中国科学院计算机网络信息中心北京100083 中国科学院大学北京100039 论客科技(广州)有限公司广东广州511400 绿盟科技集团股份有限公司北京100089 东南大学网络空间安全学院江苏南京211189 北京天融信网络安全技术有限公司北京100193 

出 版 物：《数据与计算发展前沿》 (Frontiers of Data & Computing)

年 卷 期：2024年第6卷第2期

页      面：56-66页

学科分类：12[管理学] 1201[管理学-管理科学与工程(可授管理学、工学学位)] 081104[工学-模式识别与智能系统] 0839[工学-网络空间安全] 08[工学] 0835[工学-软件工程] 0811[工学-控制科学与工程] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

基　　金：国家重点研发计划“金融数据全周期流转安全风险评估监测与溯源技术研究”(2023YFC3304704) 中国科学院网络安全与信息化基金会“网络安全保障体系建设工程”(CAS-WX2022GC-04) 中国科学院战略性先导科技专项“生物数据存储管理与交互利用系统”(XDB38030000) 

主　　题：半监督学习 自训练 自动编码器 伪装攻击 邮件协议 

摘      要：【目的】伪装攻击是电子邮件系统中一种典型攻击,通过非法获取用户真实的身份验证凭证来访问未经授权的服务,造成重大损害。由于邮件使用场景复杂,数据分布不均匀,能获得的标记异常数据数量有限导致邮件系统伪装攻击异常检测困难。【方法】针对上述问题,本文提出了一种基于规则的自训练自动编码器异常检测框架。首先,针对SMTP邮件协议的日志数据,对其应用场景进行分析和分类,并提出粗粒度的标签修正规则。其次,利用自动编码器通过自训练进行迭代检测,通过规则对每次检测结果进行修正。最后,使用核密度估计方法找到合适的阈值减少误报率。【结果】本文使用了6,736个真实企业邮箱账户连续3个月的数据,检测到7个异常账号和12个异常IP地址,与企业安全运营中心(SOC)和3种先进算法比较,效果达到最优。本文方法所检测到的异常账号数量比SOC多75%,同时误报账号减少81.3%。