北京国御科技有限公司 - 邮件安全联防预警系（M01）

邮件安全联防预警系统

公安部第一研究所-M01

邮件安全联防预警平台立足邮件安全综合防护需要，利用恶意URL识别、恶意二维码识别、账号安全风险识别、恶意样本智能分析、账户异常行为监测、DMARC数据分析、邮箱蜜罐诱捕、威胁情报联动共享等关键技术，全面协同重要行业单位实时开展恶意样本特征、恶意URL规则库、异常行为规则等威胁情报联动共享。做到“精准拦截、监控全面、情报及时、贴合业务”，解决实战对抗过程中人员邮件安全意识参差不齐问题，通过威胁及时预警实现全面应对邮件钓鱼及恶意程序攻击。

产品核心能力

高级社工邮件识别

高级社工邮件具备“精投递、强伪装、极诱导、高可信”特征，采用恶意样本智能分析、URL重写与附件剥离等技术，快速识别攻击者行为，甄别攻击者意图。
多重邮件预警及处置

通过流量重定向、数据包丢弃阻断等技术，有效阻断恶意邮件、恶意链接。串联部署时可开启自动化主动防护，对置信度较高的威胁直接拦截;BCC抄送或旁路部署时可通过镜像流量分析识别邮件威胁，快速预警并处置邮件失陷事件。
蜜罐邮箱账号诱捕

通过设立高迷惑性蜜罐邮箱账号，捕获钓鱼、社工类邮件，捕获收发件人、发件IP、邮件内容等信息。契合“主动防御”的理念，改变被动等待攻击者进入蜜罐的局面，主动引诱攻击者进入非业务环境，对攻击行为进行捕获。
威胁情报联动共享

汇集各节点日均百万级的恶意发件地址库、URL库、恶意样本特征库等邮件威胁情报因子，组成行业级/跨行业级的邮件威胁情报库，面向重要行业单位实时共享，实现“一处预警、处处响应”，提升行业单位事前预警能力。
身份伪造检测

通过配置邮件安全传输协议DMARC，识别伪造发件人，建立邮件身份账号冒用机制，弥补SPF和DKIM协议除错功能机制的缺失，通过识别伪造发件人身份信息的方式识别伪造邮件，降低正常用户被伪造电子邮件攻击的风险。
智能恶意样本行为分析画像

七大引擎检测:无文件攻击检测、WEBSHELL检测、智能逆向、行为分析、复合式杀毒、二进制漏洞检测、威胁情报联防联控，对DOC、EXE、ZIP、PowerShell、VBS等十余种格式的恶意样本进行全方位检测分析。
威胁情报专项查询

支持对威胁情报进行溯源查询，通过该模块与本地邮件业务数据流实时匹配，可溯源到恶意发件人、攻击IP及历史攻击轨迹，还原真实攻击意图。
恶意URL动态识别

提取邮件正文、附件等包含的URL连接地址，通过模拟点击、响应检测、指纹匹配等技术全面检测邮件中恶意URL，支持将可疑URL发送到云端，隔离处置后将结果返回用户本地浏览器，保护用户免受侵害。
恶意样本情报联动共享

实时与公安部一所云中心进行威胁情报联动，对已知的恶意样本实现秒级检测和分析报告输出;对于未知的恶意样本，实现“一次分析，全网共享”。

产品结构

关键技术

多维度情报实时关联技术

从发件人、发件IP、附件哈希值、URL链接等多个维度关联情报，对邮件进行情报匹配，提升同一攻击组织发送钓鱼邮件的识别率，采用增量更新的情报数据的技术手段，对历史邮件进行轮询回溯关联分析，从而识别历史邮件中的“漏网之鱼”。
远端虚拟浏览器URL隔离技术

利用远程浏览器隔离技术重写URL链接地址，使URL链接在远端的虚拟浏览器中打开，邮件用户本地浏览器只获取重新渲染后绝对安全的网页视觉编码，不再执行任何动态脚本，从而阻断执行恶意脚本、信任凭证钓鱼、偷渡式下载等行为。
钓鱼行为检测模型构建技术

通过深度分析历年攻防演练邮件钓鱼技战法及大量真实案例，提取钓鱼技术手段实施方法，提炼构建近百种钓鱼邮件攻击检测模型，能高效识别钓鱼攻击行为。

人工智能语义分析技术

利用人工智能语义分析技术，实现词语级语义分析、句子级语义分析、篇章级语义分析、面向业务建模级语义分析等，结合深度学习技术与中文分词技术拆分词、句、段、篇、章;揣摩攻击者心理，识别攻击者意图，对攻击者进行画像。
二进制漏洞检测技术

检测恶意样本运行期间在内存层面是否具有恶意行为，包括修改内存属性、堆攻击、堆喷射、加载远程模块、栈代码执行、ROP等，从系统底层对样本进行检测，实现深层次漏洞风险快速发现。
无文件攻击检测技术

内置无文件攻击检测引擎，检测恶意样本运行后利用系统信任进程执行恶意操作的行为，包括利用PowerShell、WMI、VBS、JSVBA等系统信任进程进行恶意下载、外联及获取系统信息等行为。

内存Web shell检测技术

在网络威胁样本异常分析平台中模拟用户的业务环境，将邮件附件在业务环境中运行，检测附件运行期间是否会注入业务、在内存中滞留、劫持关键的类和函数，执行恶意操作等。
多引擎病毒检测技术

采用复合式病毒检测，接入安天、火绒、Kaspersky、Nod32、Avast、Avira等6款国内外主流的病毒引擎，支持不同引擎快速接入和删除，提升检测病毒能力。
智能逆向技术

支持恶意样本自动化脱壳处理、逆向分析，发现并提取节对齐属性异常、PE头部位置异常、PE头大小异常等敏感信息，分析静态API调用关系，识别深层次风险。

应用场景

场景一：跨行业社工钓鱼威胁情报共享与联防预警

主要解决高级社工钓鱼邮件识别难、情报源少、预警不及时的问题。依托公安部一所邮件联防联控云端中心与各重要行业单位部署的M01实时联动，开展恶意样本特征、恶意URL、异常行为等威胁情报共享，汇聚邮件威胁情报因子，组成跨行业级邮件威胁情报库。实现“一点被钓鱼、全网共勉疫”。
场景二：高级社工钓鱼邮件即时预警场景

主要用于当前各行业单位面临的社工钓鱼攻击情况。M01在原始邮件中嵌入醒目的警示标签后投递，每一个邮件用户都可以直观的看到邮件威胁警示信息，从而大大降低高级社工钓鱼邮件的中招率。根本上提升全体邮件用户防社工、防钓鱼意识。
场景三：恶意URL钓鱼防护场景

主要解决信任凭证钓鱼、偷渡式下载、浏览器0Day不易察觉的问题。此场景下，M01自动提取隐藏/变形URL/二维码不同类型的链接，通过远程浏览器隔离技术重写风险URL，模拟用户点击，将可疑URL与实际用户进行隔离，保护用户免受侵害。

做到“精准拦截、监控全面、情报及时、贴合业务”

解决实战对抗过程中人员邮件安全意识参差不齐问题，通过威胁及时预警实现全面应对邮件钓鱼及恶意程序攻击。