企业动态

实战攻防演习中，钓鱼邮件成为攻击队频繁使用、非常有效的攻击手法。例如，在一次实战攻防演习中，某证券机构遭到攻击队邮件钓鱼，内部账号控制权限被获取。

普通的邮件检测系统在针对具有全自动化、大规模执行、单次成功率低的标准技术的电子威胁具有较好检测效果，但是针对具有特殊目标、小规模执行、长期持续性网络攻击的高级威胁显得力不从心。因此奇安信集团推出专门针对高级邮件威胁检测的网神邮件威胁检测系统，可以在实战攻防演习时帮助客户更好的防范钓鱼邮件攻击。

强大的侦测手段，提供全面的邮件安全防护

图1 邮件威胁检测系统功能介绍

六大核心功能为实战攻防保驾护航

图2 邮件威胁检测系统的核心模块

（1）强大的威胁情报

邮件威胁检测系统结合了奇安信强大的威胁情报数据，使产品对邮件威胁的检测能力如虎添翼。

图3 邮件威胁检测能力

（2）高效的沙箱分析模块

邮件威胁检测系统沙箱模块可针对文件进行深度检测，采用静态检测、漏洞利用检测、行为检测多层次手法，构建基于沙箱技术的文件深度检测分析能力。静态检测模块通过多种检测引擎互为补充增强静态检测能力。动态检测模块以硬件模拟器作为动态沙箱环境，分析过程中所有的数据获取和数据分析工作都在虚拟硬件层实现，全面分析恶意代码恶意行为，细粒度检测漏洞利用和恶意行为。

图4 动态沙箱优势

（3）智能的钓鱼邮件识别

奇安信网神邮件威胁检测系统对包含URL的钓鱼邮件检测，除了实时的URL信誉库和威胁情报，还有在大量数据训练的基础上，利用随机森林、GBDT等机器学习集成算法，自研的一套基于机器学习的检测系统。

图5 机器学习技术特点

（4）丰富的邮件异常场景

异常场景包括：发件异常、收件异常、暴力破解、单个IP登陆多个邮箱、异地登陆等，并可根据需求自定义异常场景的检测条件。且支持全面分析仿冒邮件场景。

图6 邮件异常场景检测

（5）多维的邮件分析功能

产品提供基于联系人之间的收发关系的多维分析模块以及基于恶意文件/URL的传输路径的多维分析模块。用户根据通过关键信息进行检索，实现数据之间的多维关系网。所有复杂的关系通过多维的分析的展现，数据一目了然。

图7 邮件多维分析

（6）海量的数据存储和检索能力

奇安信网神邮件威胁检测能够快速检索匹配邮件主题或者正文中的关键字，结合统计学相关理论，达到快速精准内容过滤和关键字分析。并配套了大量的检索和分析软件以对数据做到高效分析。

图8 邮件存储与检测

钓鱼攻击已经成为实战攻防演练中的一个重要且常见的攻击方式。人永远是最大的弱点，未知攻，焉知防。对于参与攻防演习的甲方，可以利用邮件威胁检测系统来防范钓鱼攻击，同时可以组织内部钓鱼项目，提高员工安全意识。