Skip to main content

Fujitsu

English | 日本語

China

本技术介绍参考了以下链接
English

2016年4月25日

交互型的目标型邮件攻击的实时检测技术
可快速检测异常操作,并提前采取措施

富士通株式会社(以下简称“富士通”)与株式会社富士通研究所(以下简称“富士通研究所”)(注1)共同开发出了将特定组织等作为攻击对象的目标型电子邮件攻击进行实时检测的技术。

开发背景

近年来,将特定组织等作为攻击对象的目标型电子邮件攻击日益严重。攻击者冒充目标成员客户反复发送邮件,在组织内部用户经常访问的Web网页上设置陷阱,攻击他们的漏洞,并试图用为该组织定制的恶意软件感染他们。另外,由于目标型攻击对组织内的其他用户也会重复发送攻击邮件,为此需要组织持续地采取措施加以应对。

课题

由于目标型攻击的邮件在措辞上写得与客户以及相关者的合法问询难以区分,恶意软件也是特殊定制的,所以,很难通过常规的垃圾邮件过滤和防病毒软件检测到。

尤其对于交互型攻击,更是难以应对。它们假扮客户或相关人员,经过一定时期的邮件通信建立信任关系后,将企图使其感染恶意病毒的邮件发送给对方。

开发的技术

本次将用户普通的邮件收发及其前后访问的Web站点等一系列操作历史进行关联和学习,在业界首次开发出了针对交互型的目标型邮件攻击的实时监测技术。本技术由以下两项技术组成。

  1. 将以邮件接收为开始的多个用户操作履历进行关联的技术

    开发出了将从邮件接收开始的一系列的多个操作履历进行关联的技术,包括用户收到邮件,阅览文件,点击邮件中的URL,用浏览器访问Web站点等。通过这项技术,将长期的一系列邮件交互以及与此相关的Web访问等操作历史和有邮件交互的每个客户进行关联,例如,可以识别从某个Web站点的下载是否是在与特定的客户交互中进行的。

  2. 通过组合判断进行实时检测异常的技术

    在执行针对交互型的目标型邮件攻击的实时监测时,由于时间久了所有操作历史就会变得庞大,因此,只在将一系列的邮件关联操作履历进行组合学习、对比基础上,开发出了异常检测技术。通过这项技术,可将异常检测所需的信息量缩小至1/10以下,即使是对于通常跨越几天的交互型的目标型邮件攻击,也可进行快速检测处理。

    另外,本技术的机器学习中也充分利用了富士通的AI技术“Human Centric AI Zinrai(Thunderclap)”。

通过以上技术,因为可以检测到与交互型的目标型邮件攻击相关的一系列可疑操作之间的关系,并排除不相关操作,所以与常规的邮件以及Web访问等的个体异常检测技术相比,在公司的实验环境下,检出数量可控制在1/10以下(图1)。

图1  交互型的目标型邮件攻击检测事例

图1 交互型的目标型邮件攻击检测事例


效果

应用本次开发的技术,可根据与特定客户之间一系列的邮件交互相关的操作历史,有效检测出交互型的目标型邮件攻击。

在此基础上,对以前开发的两项网络攻击应对技术也进行了扩展,并通过与本次开发技术相结合,从而可进一步提高其使用安全性。

  1. 行为特征分析技术(注2):对于通过心理和行为特征判断易受网络攻击的用户的技术,为了易于理解,可用新的IT风险仪表盘进行图示。除了显示个人以及组织的潜在信息泄露等静态风险外,还可显示目标邮件攻击的动态风险以及接收到类似邮件的人群。
  2. 网络检测技术(注3):监测组织内部网络,并快速检测出病毒软件在公司内部的潜伏活动的技术,将其与多个网络传感器进行新的协作,并可根据每个组织的风险状态大小等,调整监测精度以及成本。

通过将本次开发的技术与上述技术进行结合,组织可快速共享目标型邮件攻击早期攻击时的可疑操作,并可提前采取安全防范措施。对于接收了疑似邮件的人群可采取应急措施,如限制打开接收的邮件、限制访问Web、加强网络的屏蔽与监测等。

图2 结合该技术的新型网络攻击防范策略

图2 结合该技术的新型网络攻击防范策略


今后

今后将扩大目标型邮件攻击的可监测范围,进一步提高其监测精度,并将其作为网络攻击以及信息泄露所采取的对策,目标于2016年投入实际应用。

注释

注1 株式会社富士通研究所:
社长 佐佐木 繁
总公司所在地 日本神奈川县川崎市
注2 行为特征分析技术:
“业界首发!通过心理和行为特征确定易受网络攻击用户的技术”
(2015年1月19日 新闻稿)
注3 网络监测技术:
“高速检测公司内部恶意软件活动情况的技术”
(2014年4月15日 新闻稿)