姜鹏辉的个人博客 GreyNius

【精读】Detecting Credential Spearphishing Attacks in Enterprise Settings

2021-03-12

在企业设置中检测鱼叉钓鱼攻击

摘要

数据集为拥有数千名员工的大型企业的3.7亿封邮件,在该数据集中成功检测到了6个已知的鱼叉式钓鱼活动,有9个误报,以及另外两个未知的鱼叉式攻击。

介绍

过去几年,有一些攻击者通过鱼叉式钓鱼攻击成功的破坏了政府系统。
鱼叉式钓鱼是一种社会工程攻击,攻击者发送有针对性的欺骗电子邮件,诱使接收者执行某种危险操作。从攻击者的角度来看,鱼雷的技术要求不高,不依赖任何特定的漏洞,无法进行技术防御,而且通常都会发送成功的。从防御者的角度来看,鱼叉式网络钓鱼很难反击,攻击者会精心设计他们的攻击电子邮件,使其看起来合法。
引入了一种简单的新的异常检测技术(DAS),该技术不需要标签训练数据,并且可以以非参数的方式运行。 我们的技术允许其用户轻松地将有关域名领域知识合并到DAS分配给事件的异常评分中。 因此,在我们的环境中,与使用相同功能的标准异常检测技术相比,DAS可以实现更好的数量级性能。 将这两个想法结合在一起,我们提出了用于凭据鱼叉式攻击的实时检测器的设计。

评估了将近4年的电子邮件数据(约3.7亿封电子邮件)以及相关的HTTP日志。 在这个大规模的真实世界数据集上,我们的检测器每天平均产生不到10条警报;平均而言,分析师可以在15分钟内处理一个月的警报价值。

特征

  • 域名信誉特征 - 仅考虑FQDN(same fully qualified domain name)
    • 先前公司中点击该域名的次数
    • 员工第一次点击该链接与当前员工从邮件中点击该链接的时间差
  • 发件人信誉特征
    • <发件人header,邮件地址>在之前出现过的次数
    • 发件人名称在一段时间内发送邮件的数量
    • 距离该发件人上次发邮件的天数
    • 发送邮件的IP所在城市登录的员工数
    • 该发件人此前在该IP所在城市登录的次数
    • 利用NLP识别邮件中的情绪

Comments

Content