公开(公告)号：CN111092902B

公开(公告)日：2020-12-25

申请号：CN201911365226.0

申请日：2019-12-26

Applicant: 中国科学院信息工程研究所

Inventor： 王菲飞 ,  赵双 ,  白波 ,  于平 ,  刘澄澄 ,  廖纯 ,  于海波

IPC: H04L29/06 ,  H04L12/58

Abstract: 本发明公开了一种面向附件伪装的鱼叉攻击邮件发现方法及装置。本方法为：1)从待处理的网络流量中提取并解析SMTP、POP和IMAP协议数据，获取各邮件的邮件元数据和附件信息；2)提取每一待检测邮件附件文件的扩展名，将其与预设配置中的扩展名进行匹配，筛选出可疑附件文件；3)检测所述可疑附件文件的伪装模式，根据预设的伪装模式与威胁评分之间的对应关系确定所述可疑附件文件的威胁评分；其中，所述可疑附件文件的威胁评分用于表征所述伪装模式的攻击威胁程度；4)如果所述可疑附件文件的攻击威胁评分超过设定阈值，则判定对应邮件为鱼叉攻击邮件。本发明能够及时发现可疑鱼叉攻击邮件。

公开(公告)号：CN104008336A

公开(公告)日：2014-08-27

申请号：CN201410191246.1

申请日：2014-05-07

Applicant: 中国科学院信息工程研究所

Inventor： 喻民 ,  姜建国 ,  李敏 ,  刘超 ,  仇新梁 ,  黄超 ,  王菲飞 ,  王冉晴 ,  赵双 ,  刘坤颖 ,  高翔 ,  胡波

IPC: G06F21/56

CPC classification number: G06F21/565

Abstract: 本发明提供一种ShellCode检测方法和装置，包括：建立包含ShellCode特征序列的ShellCode指令序列特征库；载入待检测文件，对所述待检测文件进行解析，形成解析文件；对所述解析文件进行指令的模拟执行和分析，记录可疑指令序列并与所述ShellCode指令序列特征库中的ShellCode特征序列进行对比，判断所述解析文件中是否包含ShellCode；输出检测结果。本发明能够在ShellCode执行之前即进行检测，防止了ShellCode对系统造成的影响，及时阻止了其进行恶意篡改的可能性。