基于邮件内容挖掘的鱼叉钓鱼邮件检测系统的设计与实现
作者单位:北京邮电大学
学位级别:硕士
导师姓名:李祺
授予年度:2022年
学科分类:0839[工学-网络空间安全] 08[工学]
摘 要:当前,电子邮件已经成为人们日常工作中不可或缺的沟通工具,由于电子邮件应用的广泛性,攻击者常常会利用邮件作为恶意链接和恶意附件的载体,诱导攻击目标点击,从而实施恶意行为。钓鱼邮件往往不需要使用具体的技术漏洞,而是通常以社会工程学为核心,只需要发送邮件就可以实施攻击,攻击成本较低,这使得对于钓鱼邮件攻击的检测具有重大的意义。而鱼叉钓鱼邮件是其中一种特殊且危害最大的形式,与“广撒网的普通钓鱼邮件相比,鱼叉钓鱼邮件具有“目标精准性、“攻击持久性、“伪装隐蔽性、“破坏严重性的特点,攻击者会在实施攻击前利用社会工程学技术持续对邮件接收者或组织进行调查,将邮件内容根据收件方特殊化定制,这使得鱼叉钓鱼邮件攻击的成功率非常高。同时鱼叉钓鱼邮件攻击目标通常为政府、公司、企业、权威机构等重要组织成员,一旦攻击成功将会造成严重的后果。当前对于鱼叉钓鱼邮件攻击的自动化检测大多延续普通钓鱼邮件检测的方法,主要包括基于规则的检测、沙箱检测、基于机器学习和深度学习三种方法。然而鱼叉钓鱼邮件攻击者往往会更加谨慎,发送的邮件也会具有更高的伪装和欺骗特性,从而绕过前两种检测方法;同时,由于鱼叉钓鱼邮件具有攻击频率小的特点,使得需要大量数据样本作为数据集的机器学习和深度学习检测方法不能很好地使用。为此,本文针对鱼叉钓鱼邮件检测的难点,设计基于邮件内容挖掘的鱼叉钓鱼邮件检测方法,主要研究成果如下:(1)提出一种钓鱼邮件挖掘与分析方法。针对鱼叉钓鱼邮件在特征方面与普通钓鱼邮件区分界限不明显的问题,本文设计了基于K2LSTM模型的钓鱼邮件检测方法,首先利用K-means和KNN算法对小部分人工打标邮件样本在企业真实邮件数据中进行样本扩充,随后利用扩充后的样本作为LSTM模型的训练数据,对邮件正文的语言风格和措辞习惯进行学习,筛出企业邮件数据中全部的钓鱼邮件。该方法有效解决了真实生产环境中邮件数据量大,内容种类复杂的问题,并最大程度上筛选出真实邮件数据中的钓鱼邮件。(2)提出一种潜在鱼叉钓鱼邮件攻击的分析方法。根据鱼叉钓鱼邮件攻击者需要对目标进行调研并精心构造邮件内容这一特点,提出邮件成本的概念,从伪造欺骗成本和分析攻击目标成本两个维度对邮件成本进行评估和排序,在全部钓鱼邮件中成本越高的邮件为鱼叉钓鱼邮件的可能性越大。(3)提出一种小样本环境下特定攻击组织的鱼叉钓鱼邮件检测方法。针对在已经拥有少量明确组织归属的鱼叉钓鱼邮件样本的情况,本文提出了基于层次级联池化的鱼叉钓鱼邮件组织分类方法,通过轻量级词嵌入模型对邮件正文处理,大大减少模型的参数,从而降低模型对训练集规模的依赖性,同时结合邮件的关键性特征,利用浅层机器学习模型作为分类器,完成鱼叉钓鱼邮件组织分类任务。(4)开发了鱼叉钓鱼邮件检测系统。为了验证本文提出方法的有效性,设计并实现了相关攻击检测系统,并对其整体设计流程和模块化细节进行了详细的描述。最后,经过设计实验,验证了本文提出方法的有效性,讨论模型中算法和参数的选择对提出方法的影响,并验证与其他解决方案相比提出的方法有较为明显的提升。
同方学位论文库