电子邮件带来便利的同时 面临着越来越多的信息欺骗等安全风险(2)

　　3.1.1. 通用漏洞攻击检测

　　WebMail通用漏洞通常包括：跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入、命令注入等攻击，针对这些攻击常见检测方式就是特征匹配，检测不够全面，所以在检测基于通用漏洞攻击时不能仅仅依靠特征库。

　　静态脚本解析技术也是针对WebMail通用漏洞检测非常有效的机制，我们通过对邮件头的结构的分析，分离smtp协议中 html部分代码，并解析html的dom对象，对关键的触发节点进行分析，并将代码执行的结果进行静态分析，非法植入到Header、Form 和URL中的脚本将被发现，以此来定位和分析是否存在利用WebMail通用漏洞发起的攻击行为。

　　3.1.2. 异常访问检测技术

　　针对基于HTTP的邮件报文，利用多种解码技术，深入分析协议报文中的Web地址、请求头、协议类型、URL格式及Cookies等信息，通过对所有报文头和内容进行合规性检测，发现各种非法的畸形数据包报文。

　　针对邮箱的异常访问检测还可以通过对邮箱账户、密码、访问频度等各个维度进行分析，定位恶意攻击者。通过自学习的方式建立一个邮箱地址和访问IP的关联库，当出现异常IP访问后，就发送告警信息通过自学习方式建立在正常情况下的访问频度记录、密码错误率记录。当出现超过自学习生成的阀值后，即认为出现恶意攻击。。

　　3.1.3. 关联动态分析技术

　　通过对所WebMail行为进行持续跟踪，从源IP、目的IP、时间等多个纬度分析一段时间内的多个web动作，针对所有动作进行关联分析，对动态分析结果进行模型化处理，发现各种隐蔽的、未知的攻击行为，确保全面的发现WebMail层面的邮件攻击行为。

　　3.2.   邮件社工行为检测

　　发件人欺骗、邮件头欺骗、邮件钓鱼等基于社会工程学的攻击也是邮件系统最常见的攻击方式。

　　3.2.1. 发件人欺骗分析技术

　　邮件社工行为攻击通常会利用伪造发件人信息，来获取被攻击者的信任，欺骗用户点击指定的链接或者文件，一旦用户点击那么将出现被植入木马的情况。针对发件人欺骗的行为进行分析，发现伪造发件人必须通过伪造邮件服务器的方式实现，我们可以通过绑定邮件服务器IP地址，对于所有绑定IP地址的邮件服务器进行判断，以此发现发件人欺骗的攻击行为。

　　3.2.2. 邮件头欺骗分析技术

　　邮件头通常包含了邮件在传递过程中的所有信息，包括原始发件人、SMTP服务器、POP3服务器等信息，一旦攻击者通过修改邮件头方式进行欺骗行为，那么邮件头信息中的原始发件人将出现和Mail From字段发件人信息不一致的情况，我们通过对邮件头信息的有效检测、分析和判断发现邮件头欺骗的攻击行为。

　　3.2.3. 邮件钓鱼分析技术

　　邮件钓鱼是邮件攻击的最普遍的攻击方式，这种方式非常易于发起攻击，但是一旦受到攻击将出现非常严重的后果。对于邮件钓鱼行为，可以通过对所有邮件传输过程中携带的URL链接进行分析，并对URL链接进行模拟点击操作，分析打开URL过程中传回的数据，发现各种邮件钓鱼的恶意行为。

　　3.3.   恶意附件攻击检测

　　邮件附件通常是攻击者利用恶意文件发起攻击常用的方式，恶意的邮件附件通常包含病毒、木马、蠕虫等等，危害非常严重。