10.19665/j.issn1001-2400.2023.04.004
基于登录行为分析的失陷邮箱检测技术研究
发现失陷邮箱在安全运维、溯源取证工作中面临多种困难,例如,所依赖的威胁情报数据不充分、待分析的数据规模庞大、难以向邮箱所有者确认等.针对上述问题,提出了一种仅使用登录日志作为数据源且不依赖任何标记样本的失陷邮箱检测方法.首先,归纳针对邮箱账户的攻击手段,提炼出邮箱失陷模型.其次,基于所提出的邮箱失陷模型,从空间和时间的角度刻画攻击者在入侵邮箱账户时所暴露出的空间相似性和时间同步性.在利用空间相似性检测失陷邮箱时,使用图来描述邮箱之间的空间距离,再将空间距离相近的邮箱划分至同一社区,并根据社区规模来评价邮箱失陷的可能性;在利用时间同步性检测失陷邮箱时,提出一种异常登录行为的描述方法,并通过比较多个邮箱的异常行为是否集中在一定时期内来评价邮箱失陷的可能性.最后,根据失陷可能性输出一个排序的邮箱列表为分析人员提供优先级参考.实验结果表明,所提出的方法能够在降低约 70%工作量的情况下检测出约 98%的失陷邮箱,检测效果好于同类研究,且具备发现未知攻击者和未公开恶意 IP地址的能力.
失陷邮箱检测、时空分析、网络攻击溯源
50
TN915.08
中国科学院青年创新促进会项目;国家自然科学基金;中国科学院战略性先导科技专项;中国科学院重点实验室开放基金
2023-09-13(万方平台首次上网日期,不代表论文的发表时间)
共11页
34-44