检测组织中的横向鱼叉式钓鱼攻击

最新推荐文章于 2024-11-02 00:15:00 发布

原创最新推荐文章于 2024-11-02 00:15:00 发布

· 565 阅读

2 ·

版权

钓鱼邮件专栏收录该内容

5 篇文章

订阅专栏

该研究关注于检测组织内部的横向鱼叉式网络钓鱼攻击，这种攻击首先劫持内部电子邮件账户，然后在组织内横向移动。文章提出了一种实用的实时检测方法，结合行为情境、IP、显示名称和FQDN等特征，使用无标签数据集，并设计了LSP打分系统来降低误报率。实验结果显示了方法的有效性，但也指出了一些局限性，如对外部邮件的检测无能为力，需要预训练的历史特征，以及对攻击者静默状态的检测不足。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

Detecting Lateral Spear Phishing Attacks in Organizations

检测组织中的横向鱼叉式钓鱼攻击

1.背景

（1）会议/刊物级别

IET(The Institution of Engineering and Technology) Journals

2018年12月4日

（2）作者团队

Aniket Bhadane∗ , Dr. Sunil B. Mane

印度浦那工程学院计算机工程与信息技术系

（3）论文背景

鱼叉式钓鱼攻击：

鱼叉式网络钓鱼邮件是针对特定目标，利用社会工程学技术，欺骗目标进行相应的操作。

传统检测鱼叉钓鱼方法面临的问题：

高误报率不适用于企业级检测
鱼叉钓鱼邮件攻击率少导致的数据不平衡问题
没有考虑特征值的方向性，即使只有一个或少数几个特征值给出了异常值，也将事件视为异常
需要假定数据分布

横向钓鱼攻击：

横向网络钓鱼中，攻击者首先入侵目标组织中的一个节点作为立足点，然后可以在目标组织内横向移动。

横向鱼叉式网络钓鱼：

横向鱼叉式网络钓鱼是鱼叉式网络钓鱼的一种极具威胁力的形式，以组织内部一个被劫持的电子邮件账号进行钓鱼。

主要贡献：

实时检测横向鱼叉式网络钓鱼的实用方法
领域知识，攻击特征和作者提出的打分方法，并且使用无标签数据集
适用于域内邮件有很高信任分的组织，并且不使用激进的启发式算法来规避误报率问题
系统的主要目标是对现有邮件服务器检测机制进行补充，其次也可用于没有独立邮件服务器的组织

（4）相关概念和面临的挑战

横向鱼叉式网络钓鱼的第一步是通过暴力破解，窃取等手段劫持目标组织内的一个电子邮件账户，将其作为后续钓鱼攻击的入口点和立足之处。一旦建立立足点，攻击者便可以进行横向攻击以获取敏感信息，但攻击者也可以隐匿起来，仅查看受害者的会话信息，不进行后续的钓鱼活动。

有两种方法可以检测电子邮件账户劫持：

登录阶段：检测登录活动的属性
登陆后：检测其邮件发送活动

这篇文章采用的是第二种方法来检测被劫持的电子邮件账户。

注意：本文研究的是由被劫持的组织内部邮件账户发起的鱼叉式网络钓鱼，不包括员工的个人邮件账户。

面临的挑战：

横向鱼叉式网络钓鱼攻击邮件非常少，造成数据不平衡问题
域内域名邮件的信任分很高，常规异常检测系统无法检测

2.主要方法

（1）数据

印度浦那工程学院的四十名志愿者2014.7-2018.1期间的19087封电子邮件，其中域内邮件12064封。

数据集包含27个被劫持内部电子邮件账户，其中25个是一开始就知道，2个是作者提出的系统检测出来的。

（2）特征选取

包括四类特征，每一类下有一个或几个特征，每个特征可以是基于上下文或基于历史。

Behavioral Context Feature Category（行为情境特征类别）
IP Feature Category （IP特征类别）
Display Name Feature Category （显示名称特征类别）
FQDN Feature Category （FQDN特征类别）

【1】Behavioral Context Feature Category（行为情境特征类别）：

Email Sending Hierarchy graph（邮件发送层级关系图）:

发送者和接收者之间是否有关系？meaningful relationship？
在这里插入图片描述

计算机学院的层级关系图示例。本图不代表任何层次结构，仅用于说明层次结构概念。相关组织可以自行确定自己的层级结构

【2】IP Feature Category （IP特征类别）

基于Geo-IP映射获取发件人所在城市，该特征有两个子特征：

发件人从所在城市发送邮件的次数
从这个城市发送邮件的其他用户数目

因为IP-City映射并不总是可靠的，因此作者使用这个类别下的第二特特征：

基于IP-ASN映射获得ASN（自治系统号）

发件人从所在ASN发送邮件次数
从这个ASN发送邮件的其他用户数目

【3】Display Name Feature Category （显示名称特征类别）

横向鱼叉式网络钓鱼也可以伴随着显示名称欺骗

发件人以当前显示名称发送邮件的次数（基于历史）
如果发件人的当前显示名称数量不足，将检查显示名称在词汇上是否与电子邮件地址相似（基于上下文）

【4】FQDN Feature Category （FQDN特征类别）

FQDN（Fully Qualified Domain Name）：完全限定域名

检测FQDN是否是第一次出现？
检查FQDN的信誉值（FQDN所在电子邮件的可疑程度）

【5】特征汇总

Feature	Nature
Hierarchy Feature Category（层级图特征类）:
Link between the Nodes in Hierarchy（层级图中的节点连接）	（Context-based）基于上下文
Receives in BCC（在层级图中没有连接的邮件）	（Context-based）基于上下文
IP Feature Cateroty（IP特征类）：
City Features（城市特征）	（History-based）基于历史
ASN Features（自治域特征）	（History-based）基于历史
Display Name Feature Category （显示名称特征类）：
Display Name History （显示名称的历史记录）	（History-based）基于历史
Lexicographical Matching （词典匹配）	（Context-based）基于上下文
FQDN Feature Category （FQDN特征类别）
Familiarity to Organization（与组织的相似度）	（History-based）基于历史
Reputation within Organization （在组织内的信誉度）	（History-based）基于历史