当前位置:首页 > 网络安全 > 邮件安全 > 邮件安全分析方法和技巧

邮件安全分析方法和技巧

2016-05-30 | 来源:网络 | 人气: |
接近200G的Outlook文件,一个一个导入到Outlook里人工看是不现实的,只能想办法数据化这些邮件,再在此基础上进行分析。于是想办法解析PST文件,试过开源的几个工具,最终还是采用了通过COM方式来访问Outlook的API来处理邮件效果最理想。

 首先明确观点,黑客技术在超神,也需要传输介质,才可以发挥作用,当然技术本身也可以作为一种介质去使用。

    关注HackingTeam事件,当我拿到400G数据的时候,看到邮件就有将近200G。这说明通过邮件实施的攻击行为不再少数。分析思路如下:

(1)数据处理

接近200G的Outlook文件,一个一个导入到Outlook里人工看是不现实的,只能想办法数据化这些邮件,再在此基础上进行分析。于是想办法解析PST文件,试过开源的几个工具,最终还是采用了通过COM方式来访问Outlook的API来处理邮件效果最理想。

基本思路是:

1、遍历mail邮件夹中的*.pst文件

2、判断是否为Outlook邮件,是则进行处理

3、加载该PST文件,遍历目录

4、遍历目录中的内容,如果是邮件则处理邮件内容

5、将邮件中的关键要素提取进行格式化存储

6、将邮件附件进行提取并存储(数据量太大最终导出部分后没有继续,其实里面有很多数据是值得分析的)

关于邮件关键要素提取,主要考虑:

1、From(Email Address、Sender Name)

2、To(Email Address、Receiver Name)

3、CC/BCC(后来没有单独处理,都放到上面的From、To中了)

4、Time(邮件发送时间)

5、邮件主题

6、Importance(0-Low,1-Normal,2-High)

7、附件(数量、文件名、路径名、大小、文件类型、附件本身)

8、邮件正文(文本、文本中[链接、email、电话号码、password、skype账号、IM账号等等];最终只提取了邮件文本内容)

9、Folder Name(邮件所在的分类目录)

10、 关键词(未处理)

(2)数据存储

不断调试PST文件解析时使用的是直接Console输出,同时也输出为csv供python程序分析处理,这个过程是同步进行的,得到部分数据时就开始考虑如何分析这些数据,最终调试好之后,共导出了240多万条邮件记录(每一个发件人到每一个收件人算一封邮件,当一个邮件有多个收件人或CC、BCC的情况下,就会认为是多个邮件),csv只记录了部分关键数据,有640多MB。

数据量不算太大,为了分析方便,我把数据存到了MySQL中,分析的时候,先通过SQL查询初步处理一遍数据,在通过Python进行后续分析处理。

(2)数据分析

有了格式化数据,就要考虑如何分析了,以前没有在此方面进行过研究,思考后,可以开展的初始分析可能包括(以此结果为线索,进一步发现有价值信息):

1、SNA分析(以发件人、收件人建立关系组成Social Network进行分析)

2、统计(Top N Sender,Top N Receiver,Top N Relations、Top N Folder、Top N Importance、Top N Domain)

3、分类统计

域名分类(GOV、MIL、ORG、EDU、COM等)

域名分类Top N

国家分类 Top N(通过域名信息判断/通过服务器IP判断)

4、其他分析

碰撞(建立感兴趣域名/关键词列表,与邮件信息碰撞,如福布斯排行榜2015 Top 2000,国家机构列表、军事机构列表、安全公司列表等关注的领域)

关键词分析(自动分词,Hot Words,多维分析)

时间分析(每日发邮件时间段、每日邮件数量等)

分析大数据,这给我们带来了启发:“模糊类数据成型”,什么意思呢?它是一种模糊的分析思路,当我们数据不是很前面的情况下,可以利用它实施50%的数据猜想,你使用的数据越精确数据猜想的百分比就会增加。当实施黑客攻击的时候,这些数据作为基础条件利用。它将黑客技术使用发挥到极限。

评论

评论数10

表情
发表评论
网友评论仅供其表达个人看法,并不表明网易立场。
《邮件安全分析方法和技巧》更多评论

阅读下一篇

学会加密方法保障电子邮件系统安全

近几年来,针对公司的间谍活动越来越严重。因此部署某种加密系统以确保窥探者不能从其截获的消息中破译什么内容,或者不能因为电脑被窃取而丢失信息是非常有意义的。不管是客户的数据,雇员数据,知识产权还是财务信 ... 查看全文

返回邮件安全 返回网站首页