本发明专利技术涉及一种社工邮件防御方法、系统、电子设备及存储介质。所述社工邮件防御方法包括:构建社工邮件特征知识库;基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型;使用所述社工邮件自适应集成识别模型对待识别邮件进行识别,得到邮件识别结果;根据所述邮件识别结果,对识别出来的社工邮件进行防御。根据本发明专利技术实施例提供的社工邮件防御方法,通过构建社工邮件自适应集成识别模型,能够有效识别社工邮件及其变种社工邮件,实现对社工邮件及其变种社工邮件的识别和防御。社工邮件及其变种社工邮件的识别和防御。社工邮件及其变种社工邮件的识别和防御。
【技术实现步骤摘要】
一种社工邮件防御方法、系统、电子设备及存储介质
[0001]本专利技术涉及网络空间安全领域,尤其涉及一种社工邮件防御方法、系统、电子设备及存储介质。
技术介绍
[0002]在网络空间安全领域,“社工”也称为“社会工程学(Social Engineering)”、“社交工程”、“社会工程”等,为了意涵的一致性和描述的便利性,在本申请中统一用“社工”这一术语。
[0003]社工邮件攻击是一种以电子邮件作为载体的社工攻击方式,也是许多高级持续性威胁(Advanced Persistent Threat,APT)攻击得以开展、奏效的惯用手段和关键因素。不同于常见的钓鱼邮件,社工邮件采用的手段更多样,攻击范围更广泛并且攻击目的也更多元,其形式与真实邮件更接近,对接收人的认知和行为的影响程度的差异性也更大。通常,攻击者会精心构建社工邮件。社工邮件攻击可以是与钓鱼邮件攻击类似,是为了骗取用户信任、传播恶意代码或触发钓鱼链接。但是,社工邮件的攻击目的更加多样化,只要能通过邮件内容影响到用户的认知、心理或者行为,进而促进社工攻击过程的,都在社工邮件的范畴之内。在邮件的内容和形式上,社工邮件的内容与正常(非攻击性的、真实的)邮件的内容表面上可能差异不大,社工邮件可以包含或不包含攻击目标相关的真实信息,包含或不包含恶意链接或恶意代码/附件,而只是传递一种误导性的、影响性的信息。与此同时,一些攻击者以已知的、取得受害者信任的社工邮件或正常邮件为基础,构造新的社工邮件,即变种社工邮件,这种邮件通常隐蔽性更高,与正常的邮件也更难区分,因此社工邮件及其变种社工邮件也更难防御。
[0004]现有技术主要关注钓鱼邮件,通常基于黑名单、白名单等规则对钓鱼邮件进行识别与防御,也有采用机器学习方法、基于文本特征的识别方法。这些方法对特定的钓鱼邮件检测是有效的,但对社工邮件的适用有限。另外,通过机器学习等对钓鱼邮件有效的识别方法往往依赖于较大的样本数据集,而现实中社工邮件的原始样本较少,而且这些样本之间可能具有离散性、差异性的特点。因此,现有技术方法不能满足对社工邮件及变种社工邮件的识别和防御。
技术实现思路
[0005]针对现有技术存在的问题,本专利技术的实施例提供了一种社工邮件防御方法、系统、电子设备及存储介质。
[0006]具体地,本专利技术实施例提供了以下技术方案:
[0007]第一方面,本专利技术实施例提供了一种社工邮件防御方法,包括:
[0008]构建社工邮件特征知识库;
[0009]基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型;
[0010]使用所述社工邮件自适应集成识别模型对待识别邮件进行识别,得到邮件识别结
果;
[0011]根据所述邮件识别结果,对识别出来的社工邮件进行防御。
[0012]进一步地,所述构建社工邮件特征知识库包括:
[0013]构造基本词元素特征知识库;
[0014]构造句子结构特征知识库;
[0015]构造主干内容特征知识库;
[0016]和/或,构造附件特征知识库。
[0017]进一步地,所述基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型包括:
[0018]构建基于基本词元素的社工邮件识别子模型;
[0019]构建基于句子结构的社工邮件识别子模型;
[0020]构建基于主干内容的社工邮件识别子模型;
[0021]和/或,构建基于附件的社工邮件识别子模型。
[0022]进一步地,所述基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型还包括:
[0023]为各个子模型设计子模型自适应识别算法,以得到子模型识别结果;
[0024]设计集成决策算法,以根据所述子模型识别结果通过集成决策得到邮件识别结果。
[0025]进一步地,所述为各个子模型设计子模型自适应识别算法,以得到子模型识别结果包括:
[0026]计算所述子模型得出的待识别邮件与社工邮件的匹配度分布;
[0027]计算所述匹配度分布中的最密集区;
[0028]根据所述最密集区计算最佳分类阈值,从而得到所述子模型的识别结果。
[0029]进一步地,使用所述社工邮件自适应集成识别模型对待识别邮件进行识别,得到邮件识别结果包括:
[0030]提取所述待识别邮件的基本词元素特征;
[0031]提取所述待识别邮件的句子结构特征;
[0032]提取所述待识别邮件的主干内容特征;
[0033]和/或,提取所述待识别邮件的附件特征;
[0034]将所述待识别邮件的基本词元素特征、句子结构特征、主干内容特征和/或附件特征输入所述社工邮件自适应集成识别模型,得到所述邮件识别结果。
[0035]进一步地,所述根据所述邮件识别结果,对识别出来的社工邮件进行防御包括:
[0036]对所述识别出来的社工邮件进行标定、拦截,然后对用户进行预警通知。
[0037]第二方面,本专利技术实施例提供了一种社工邮件防御系统,包括:
[0038]知识库构建模块,用于构建社工邮件特征知识库;
[0039]识别模型构建模块,用于基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型;
[0040]社工邮件识别模块,用于使用所述社工邮件自适应集成识别模型对待识别邮件进行识别,得到邮件识别结果;
[0041]防御模块,用于根据所述邮件识别结果,对识别出来的社工邮件进行防御。
[0042]第三方面,本专利技术实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述社工邮件防御方法的步骤。
[0043]第四方面,本专利技术实施例提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所述社工邮件防御方法的步骤。
[0044]根据本专利技术实施例提供的社工邮件防御方法,通过构建社工邮件自适应集成识别模型,具体包括基于基本词元素的社工邮件识别子模型、基于句子结构的社工邮件识别子模型、基于主干内容的社工邮件识别子模型、和/或基于附件的社工邮件识别子模型,并对每个子模型设计子模型自适应识别算法,并通过集成决策算法,能够有效识别社工邮件及其变种社工邮件,实现对社工邮件及其变种社工邮件的识别和防御。
附图说明
[0045]图1为本专利技术实施例提供的一种社工邮件防御方法的主体流程示意图。
[0046]图2为本专利技术实施例提供的一种社工邮件防御方法的详细流程示意图。
[0047]图3为本专利技术实施例提供的社工邮件防御系统的结构示意图。
[0048]图4是根据本专利技术实施例的电子设备的示意图。
具体实施方式
[0049]为使本专利技术实施例的目的、技术方案和优点更加清楚,下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种社工邮件防御方法,其特征在于,包括:构建社工邮件特征知识库;基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型;使用所述社工邮件自适应集成识别模型对待识别邮件进行识别,得到邮件识别结果;根据所述邮件识别结果,对识别出来的社工邮件进行防御。2.根据权利要求1所述的社工邮件防御方法,其特征在于,所述构建社工邮件特征知识库包括:构造基本词元素特征知识库;构造句子结构特征知识库;构造主干内容特征知识库;和/或,构造附件特征知识库。3.根据权利要求1所述的社工邮件防御方法,其特征在于,所述基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型包括:构建基于基本词元素的社工邮件识别子模型;构建基于句子结构的社工邮件识别子模型;构建基于主干内容的社工邮件识别子模型;和/或,构建基于附件的社工邮件识别子模型。4.根据权利要求3所述的社工邮件防御方法,其特征在于,所述基于所述社工邮件特征知识库,构建社工邮件自适应集成识别模型还包括:为各个子模型设计子模型自适应识别算法,以得到子模型的识别结果;设计集成决策算法,以根据所述子模型的识别结果通过集成决策得到邮件识别结果。5.根据权利要求4所述的社工邮件防御方法,其特征在于,所述为各个子模型设计子模型自适应识别算法,以得到子模型识别结果包括:计算所述子模型得出的待识别邮件与社工邮件的匹配度分布;计算所述匹配度分布中的最密集区;根据所述最密集区计算最佳分类阈值,从而得到所述子模型的识别结果。6.根据...
【专利技术属性】
技术研发人员:朱红松,王作广,边靖飞,文辉,李志,孙利民,
申请(专利权)人:中国科学院信息工程研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。