CN111404805A - 一种垃圾邮件检测方法、装置、电子设备及存储介质 - Google Patents
一种垃圾邮件检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111404805A CN111404805A CN202010170963.1A CN202010170963A CN111404805A CN 111404805 A CN111404805 A CN 111404805A CN 202010170963 A CN202010170963 A CN 202010170963A CN 111404805 A CN111404805 A CN 111404805A
- Authority
- CN
- China
- Prior art keywords
- sending
- behavior analysis
- abnormal
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种垃圾邮件检测方法,所述垃圾邮件检测方法包括获取邮件传输协议流量的日志信息;对所述日志信息执行邮件发送行为分析得到发件行为分析结果;根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。本申请能够提高垃圾邮件的检测准确率。本申请还公开了一种垃圾邮件检测装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种垃圾邮件检测方法、装置、一种电子设备及一种存储介质。
背景技术
垃圾邮件将会占用网络带宽,部分垃圾邮件为计算机病毒传播的途径之一,因此对网络流量中的垃圾邮件进行检测能够提高网络系统性能与安全等级。目前垃圾邮件的检测主要有通过对邮件正文进行语义分析或类似的文本挖掘手段来检测邮件是否为垃圾邮件,但是很多垃圾邮件为了降低被检出的几率,会通过同音字、混杂难以过滤的特殊字符等手段来逃过文本挖掘类检测手段,因此这种基于文本挖掘类检测垃圾邮件的方式的检测准确率较低。
因此,如何提高垃圾邮件的检测准确率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种垃圾邮件检测方法、装置、一种电子设备及一种存储介质,能够提高垃圾邮件的检测准确率。
为解决上述技术问题,本申请提供一种垃圾邮件检测方法,该状态预警方法包括:
获取邮件传输协议流量的日志信息;
对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
可选的,获取邮件传输协议流量的日志信息包括:
利用旁路镜像设备滤除邮件传输协议流量中的干扰流量得到目标邮件传输协议流量;其中,所述干扰流量为缺失预设信息的流量,所述预设信息包括发件人信息、收件人信息和Message ID中任一项或任几项的组合;
获取所述目标邮件传输协议流量的日志信息。
可选的,对所述日志信息执行邮件发送行为分析得到发件行为分析结果包括:
对所述日志信息执行主机发件行为分析得到第一发件行为分析结果;
和/或,对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果。
可选的,对所述日志信息执行主机发件行为分析得到第一发件行为分析结果包括:
按照主机维度对所述日志信息执行聚合操作,得到主机与所述日志信息的对应关系;
根据所述主机与所述日志信息的对应关系确定每一主机的主机发件信息;其中,所述主机发件信息包括邮件发送时间、邮件发送频率、使用过的域名和邮件发送过程中产生的字段中的任一项或任几项的组合;
将所述主机发件信息与第一预设标准信息进行对比得到所述第一发件行为分析结果。
可选的,根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件,包括:
根据所述第一发件行为分析结果确定异常主机,并将与所述异常主机对应的邮件协议流量作为所述异常流量;
通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
可选的,对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果包括:
按照邮箱维度对所述日志信息执行聚合操作得到聚合结果;其中,所述聚合结果包括邮箱地址与所述日志信息的对应关系或邮箱域名与所述日志信息的对应关系;
根据所述聚合结果确定每一所述邮箱地址或每一所述邮箱域名的邮箱发件信息;其中,所述邮箱发件信息包括使用过的IP地址、主机名、邮件发送的目标邮箱和所述目标邮箱的IP地址;
将所述邮箱发件信息与第二预设标准信息进行对比得到所述第二发件行为分析结果。
可选的,根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件,包括:
根据所述第二发件行为分析结果确定异常邮箱或异常域名,并将与所述异常邮箱或所述异常域名对应的邮件协议流量作为所述异常流量;
通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
本申请还提供了一种垃圾邮件检测装置,该垃圾邮件检测装置包括:
日志获取模块,用于获取邮件传输协议流量的日志信息;
行为分析模块,用于对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
垃圾邮件确定模块,用于根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述垃圾邮件检测方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述垃圾邮件检测方法执行的步骤。
本申请提供了一种垃圾邮件检测方法,包括获取邮件传输协议流量的日志信息;对所述日志信息执行邮件发送行为分析得到发件行为分析结果;根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
本申请在获取了邮件传输协议流量的日志信息之后,对日志信息进行邮件发送行为分析,得到每一邮件对应的发件行为分析结果,基于发件行为分析结果确定异常流量进而检测垃圾邮件。本申请基于邮件发送行为的维度对邮件协议流量进行筛选得到异常流量进而确定垃圾邮件,垃圾邮件发送者无法通过同音字、混杂难以过滤的特殊字符等修改邮件内容的手段逃避检测,因此本申请能够提高垃圾邮件的检测准确率。本申请同时还提供了一种垃圾邮件检测装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种垃圾邮件检测方法的流程图;
图2为本申请实施例所提供的一种基于内容识别和异常行为分析的垃圾邮件检测流程图;
图3为本申请实施例所提供的一种垃圾邮件检测装置的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种垃圾邮件检测方法的流程图。
具体步骤可以包括:
S101:获取邮件传输协议流量的日志信息;
其中,本实施例可以应用于防火墙、交换机、等保一体机等安全审计设备,本步骤中提到的邮件传输协议流量可以为与安全审计设备连接的主机设备的网络流量。
邮件传输协议流量可以为SMTP协议、IMAP协议或POP3协议的网络流量。SMTP协议(Simple Mail Transfer Protocol)即简单邮件传输协议,是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务,主要用于系统之间的邮件信息传递,并提供有关来信的通知。POP3协议(Post Office Protocol-Version 3)即邮局协议版本3。POP3协议是TCP/IP协议族中的一员,由RFC1939定义。POP3协议主要用于支持使用客户端远程管理在服务器上的电子邮件,是因特网电子邮件的一个离线协议标准。IMAP协议(Internet Mail Access Protocol)即交互邮件访问协议,是一个应用层协议。IMAP协议可以通过这种协议从邮件服务器上获取邮件的信息,下载邮件等。IMAP协议可以通过客户端直接对服务器上的邮件进行操作。作为一种可行的实施方式,本实施例可以对特定主机设备的所有网络流量进行筛选,保留SMTP协议、IMAP协议和POP3协议对应的流量,得到邮件传输协议流量的日志信息。日志信息中可以包括每一邮件的发件人信息、收件箱人信息、发件时间、发件内容等信息。
作为一种可行的实施方式,本实施例还可以利用旁路镜像设备滤除邮件传输协议流量中的干扰流量得到目标邮件传输协议流量,将标邮件传输协议流量全部解析出来存成日志文件,即得到目标邮件传输协议流量的日志信息,进而在S102中对目标邮件传输协议流量的日志信息执行邮件发送行为分析操作。其中,上述干扰流量为缺失了预设信息的流量,所述预设信息包括发件人信息、收件人信息和Message ID中任一项或任几项的组合。通过上述方式,能够滤除不存在发件人信息、收件人信息或Message ID的流量的干扰,提高垃圾邮件的检测效率。
S102:对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
其中,本实施例可以根据邮件传输协议流量的日志信息得到每一邮件对应的邮件发送行为信息。发件行为分析结果可以包括发件频率、发件时间、使用过的域名、IP地址等信息。
具体的,本实施例可以从多个维度对邮件发送行为进行分析。例如可以对所述日志信息执行主机发件行为分析得到第一发件行为分析结果,还可以对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果。主机发件行为分析指:以主机为划分单位,对某一台主机的所有发件行为进行分析。在考虑个人使用、通告与警用、失陷主机恶意发件、个人使用恶意工具发件等场景的情况下,可以根据第一发件行为分析结果将主机标记为个人主机,通告预警主机,异常使用主机和/或恶意脚本发件主机。邮箱发件行为分析指:以邮箱地址或邮箱域名为划分单位,对某一邮箱地址或邮箱域名对应的所有发件行为进行分析。根据第二发件行为分析结果可以判断是否存在脚本批量发送、异常发件工具发送、异常发件主机发送等异常情况。
S103:根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
其中,在得到了发件行为分析结果之后,若发件行为分析结果不符合预设标准则判定该发件行为分析结果对应的邮件协议流量中的异常流量,将异常流量对应的邮件作为垃圾邮件。在检测到垃圾邮件之后可以,对垃圾邮件进行隔离,并将垃圾邮件的发件IP地址添加至黑名单中。
本实施例在获取了邮件传输协议流量的日志信息之后,对日志信息进行邮件发送行为分析,得到每一邮件对应的发件行为分析结果,基于发件行为分析结果确定异常流量进而检测垃圾邮件。本实施例基于邮件发送行为的维度对邮件协议流量进行筛选得到异常流量进而确定垃圾邮件,垃圾邮件发送者无法通过同音字、混杂难以过滤的特殊字符等修改邮件内容的手段逃避检测,因此本实施例能够提高垃圾邮件的检测准确率。
作为对于图1对应实施例中S102的进一步介绍,可以从主机维度或邮箱维度对所述日志信息执行邮件发送行为分析得到发件行为分析结果,具体方式如下:
方案1:本实施例可以按照主机维度对所述日志信息执行聚合操作,得到主机与所述日志信息的对应关系;根据所述主机与所述日志信息的对应关系确定每一主机的主机发件信息;将所述主机发件信息与第一预设标准信息进行对比得到所述第一发件行为分析结果。
在方案1中基于主机维度对所述日志信息执行聚合操作之后可以确定每一主机对应的日志信息,对属于同一主机的日志信息进行发件行为分析得到主机发件信息,主机发件信息中可以包括邮件发送时间、邮件发送频率、使用过的域名和邮件发送过程中产生的字段中的任一项或任几项的组合。第一预设标准信息中可以包括标准邮件发送时间段、标准邮件发送频率、白名单中的域名和预设字段。若主机发件信息中邮件发送时间不在标准邮件发送时间段内则判定第一发件行为分析结果包括发送时间段异常;若主机发件信息中邮件发送频率与标准邮件发送频率的差大于预设值则判定第一发件行为分析结果包括发送频率异常;若主机发件信息中使用过的域名不为白名单中的域名则判定第一发件行为分析结果包括域名异常;若主机发件信息中邮件发送过程中产生的字段不为预设字段则判定第一发件行为分析结果包括发件字段异常。具体的,第一预设标准信息可以通过对主机发件的历史记录进行分析得到,可以通过人为设置得到。通过对主机发件历史进行分析得到第一预设标准信息的过程可以包括:获取历史时间段内主机的历史发件信息,将历史发件信息作为第一预设标准信息。上述历史发件信息中可以包括历史邮件发送时间段、历史邮件发送频率、主机发件信息中使用过的域名和预设字段。
在得到第一发件行为分析结果的基础上,还可以根据所述第一发件行为分析结果确定异常主机,并将与所述异常主机对应的邮件协议流量作为所述异常流量,通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。具体的,本实施例可以为不同的第一发件行为分析结果设置对应的权重得分,第一发件行为分析结果可以包括发送时间段异常、发送频率异常、域名异常和发件字段异常中的任一项或任几项的组合,根据所有权重得分的总和判断主机是否为异常主机。当然,若第一发件行为分析结果不包括发送时间段异常、发送频率异常、域名异常或发件字段异常,则说明该主机未发送垃圾邮件。
方案2:按照邮箱维度对所述日志信息执行聚合操作得到聚合结果;其中,所述聚合结果包括邮箱地址与所述日志信息的对应关系或邮箱域名与所述日志信息的对应关系;根据所述聚合结果确定每一所述邮箱地址或每一所述邮箱域名的邮箱发件信息;将所述邮箱发件信息与第二预设标准信息进行对比得到所述第二发件行为分析结果。
在方案2中基于邮箱维度对所述日志信息执行聚合操作之后可以确定每一邮箱地址或邮箱域名对应的日志信息,其中,所述邮箱发件信息包括使用过的IP地址、主机名、邮件发送的目标邮箱和所述目标邮箱的IP地址。第二预设标准信息中可以包括黑名单中的IP地址、黑名单中的主机名、黑名单的中邮箱。若邮箱发件信息中使用过的IP地址为黑名单中的IP地址,则第二发件行为分析结果包括使用的IP地址异常;若邮箱发件信息中使用过的主机名为黑名单中的主机名,则第二发件行为分析结果包括使用的登录主机异常;若邮箱发件信息中邮件发送的目标邮箱为黑名单中的邮箱,则第二发件行为分析结果包括邮件发送的目标邮箱异常;若邮箱发件信息中目标邮箱的IP地址为黑名单中的IP地址,则第二发件行为分析结果包括目标邮箱的IP地址异常。具体的,第二预设标准信息可以通过对每一邮箱地址或邮箱域名发件的历史记录进行分析得到,可以通过人为设置得到。通过对每一邮箱地址或邮箱域名发件历史进行分析得到第二预设标准信息的过程可以包括:获取历史时间段内每一邮箱地址或邮箱域名的历史发件信息,将历史发件信息作为第二预设标准信息。上述历史发件信息中可以包括使用过的IP地址、使用过的主机名、历史邮件发送的目标邮箱和目标邮箱使用过的IP地址。可以理解的是,若第二发件行为分析结果包括使用的登录主机异常、邮件发送的目标邮箱异常或目标邮箱的IP地址异常,则可以判定某邮箱地址或某邮箱域名存在邮件伪造分析行为。
在得到第一发件行为分析结果的基础上,还可以根据所述第二发件行为分析结果确定异常邮箱或异常域名,并将与所述异常邮箱或所述异常域名对应的邮件协议流量作为所述异常流量,通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。具体的,本实施例可以为不同的第二发件行为分析结果设置对应的权重得分,第二发件行为分析结果可以包括使用的IP地址异常、登录主机异常、目标邮箱异常和目标邮箱的IP地址异常中的任一项或任几项的组合,根据所有权重得分的总和判断主机是否为异常邮箱地址或异常邮箱域名。当然,若第二发件行为分析结果不包括使用的IP地址异常、登录主机异常、目标邮箱异常或目标邮箱的IP地址异常,则说明该邮箱地址或邮箱域名正常。
具体的,语义分析指对文本划分句子成分的操作,将文本进行语义分析操作能够得到特定类型的词汇。在确定异常流量后,可以通过对邮件内容执行语义分析得到该邮件文本内容中表征该邮件类别为垃圾邮件的词汇,根据表征该邮件类别为垃圾邮件的词汇的数量判断该邮件是否为垃圾邮件。
下面通过在实际应用中的实施例说明上述实施例描述的流程。请参见图2,图2为本申请实施例所提供的一种基于内容识别和异常行为分析的垃圾邮件检测流程图,本实施例可以包括以下过程:
步骤1:流量审计
其中,本步骤通过对基于邮件协议的所有流量进行流量审计,得到邮件协议日志。具体的,本实施例可以使用旁路镜像设备对原始的邮件协议(如SMTP、IMAP、POP3)流量进行审计,仅保留流量中有实际发件信息的邮件日志(即日志信息),以减少日志占用的存储空间。
步骤2:主机发件行为分析
根据审计到的邮件日志按照主机聚合邮件日志,根据历史时间段内邮件日志学习每个主机的发件行为得到主机发件行为判断标准,在考虑个人使用、通告与警用、失陷主机恶意发件、个人使用恶意工具发件等场景的情况下,基于主机发件行为判断标准将主机标记为个人主机、通告预警主机、异常使用主机和恶意脚本发件主机。
步骤3:邮箱发送行为分析
邮件发件过程中,主机与邮件服务器在通讯过程中会在邮件头留下邮件发送信息,邮件发送信息包括主机信息、发件工具、服务器信息,通过邮件发送信息可对每个域名的邮箱甚至具体某个邮箱的发件行为进行分析,从而发现异常发件行为下产生的问题邮件。本分析过程可检测邮件是否为脚本批量发送、异常发件工具发送、异常发件主机发送等异常情况。
步骤4、邮件主题、正文分析
若该邮件在前面的检测中被标记为发件主机异常或邮件发送方式异常,则提取邮件的主题和部分正文,进行粗略的邮件场景判断,若符合常见的垃圾邮件场景,则将邮件标记为垃圾邮件。
请参见图3,图3为本申请实施例所提供的一种垃圾邮件检测装置的结构示意图;
该装置可以包括:
日志获取模块100,用于获取邮件传输协议流量的日志信息;
行为分析模块200,用于对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
垃圾邮件确定模块300,用于根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
本实施例在获取了邮件传输协议流量的日志信息之后,对日志信息进行邮件发送行为分析,得到每一邮件对应的发件行为分析结果,基于发件行为分析结果确定异常流量进而检测垃圾邮件。本实施例基于邮件发送行为的维度对邮件协议流量进行筛选得到异常流量进而确定垃圾邮件,垃圾邮件发送者无法通过同音字、混杂难以过滤的特殊字符等修改邮件内容的手段逃避检测,因此本实施例能够提高垃圾邮件的检测准确率。
进一步的,日志获取模块100包括:
过滤单元,用于利用旁路镜像设备滤除邮件传输协议流量中的干扰流量得到目标邮件传输协议流量;其中,所述干扰流量为缺失预设信息的流量,所述预设信息包括发件人信息、收件人信息和Message ID中任一项或任几项的组合;
信息获取单元,用于获取所述目标邮件传输协议流量的日志信息。
进一步的,行为分析模块200包括:
第一分析单元,用于对所述日志信息执行主机发件行为分析得到第一发件行为分析结果;
和/或,第二分析单元,用于对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果。
进一步的,第一分析单元,用于按照主机维度对所述日志信息执行聚合操作,得到主机与所述日志信息的对应关系;还用于根据所述主机与所述日志信息的对应关系确定每一主机的主机发件信息;其中,所述主机发件信息包括邮件发送时间、邮件发送频率、使用过的域名和邮件发送过程中产生的字段中的任一项或任几项的组合;还用于将所述主机发件信息与第一预设标准信息进行对比得到所述第一发件行为分析结果。
进一步的,垃圾邮件确定模块300用于根据所述第一发件行为分析结果确定异常主机,并将与所述异常主机对应的邮件协议流量作为所述异常流量;还用于通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
进一步的,第二分析单元用于按照邮箱维度对所述日志信息执行聚合操作得到聚合结果;其中,所述聚合结果包括邮箱地址与所述日志信息的对应关系或邮箱域名与所述日志信息的对应关系;还用于根据所述聚合结果确定每一所述邮箱地址或每一所述邮箱域名的邮箱发件信息;其中,所述邮箱发件信息包括使用过的IP地址、主机名、邮件发送的目标邮箱和所述目标邮箱的IP地址;还用于将所述邮箱发件信息与第二预设标准信息进行对比得到所述第二发件行为分析结果。
进一步的,垃圾邮件确定模块300用于根据所述第二发件行为分析结果确定异常邮箱或异常域名,并将与所述异常邮箱或所述异常域名对应的邮件协议流量作为所述异常流量;还用于通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种垃圾邮件检测方法,其特征在于,包括:
获取邮件传输协议流量的日志信息;
对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
2.根据权利要求1所述垃圾邮件检测方法,其特征在于,获取邮件传输协议流量的日志信息包括:
利用旁路镜像设备滤除邮件传输协议流量中的干扰流量得到目标邮件传输协议流量;其中,所述干扰流量为缺失预设信息的流量,所述预设信息包括发件人信息、收件人信息和Message ID中任一项或任几项的组合;
获取所述目标邮件传输协议流量的日志信息。
3.根据权利要求1所述垃圾邮件检测方法,其特征在于,对所述日志信息执行邮件发送行为分析得到发件行为分析结果包括:
对所述日志信息执行主机发件行为分析得到第一发件行为分析结果;
和/或,对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果。
4.根据权利要求3所述垃圾邮件检测方法,其特征在于,对所述日志信息执行主机发件行为分析得到第一发件行为分析结果包括:
按照主机维度对所述日志信息执行聚合操作,得到主机与所述日志信息的对应关系;
根据所述主机与所述日志信息的对应关系确定每一主机的主机发件信息;其中,所述主机发件信息包括邮件发送时间、邮件发送频率、使用过的域名和邮件发送过程中产生的字段中的任一项或任几项的组合;
将所述主机发件信息与第一预设标准信息进行对比得到所述第一发件行为分析结果。
5.根据权利要求4所述垃圾邮件检测方法,其特征在于,根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件,包括:
根据所述第一发件行为分析结果确定异常主机,并将与所述异常主机对应的邮件协议流量作为所述异常流量;
通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
6.根据权利要求3所述垃圾邮件检测方法,其特征在于,对所述日志信息执行邮箱发件行为分析得到第二发件行为分析结果包括:
按照邮箱维度对所述日志信息执行聚合操作得到聚合结果;其中,所述聚合结果包括邮箱地址与所述日志信息的对应关系或邮箱域名与所述日志信息的对应关系;
根据所述聚合结果确定每一所述邮箱地址或每一所述邮箱域名的邮箱发件信息;其中,所述邮箱发件信息包括使用过的IP地址、主机名、邮件发送的目标邮箱和所述目标邮箱的IP地址;
将所述邮箱发件信息与第二预设标准信息进行对比得到所述第二发件行为分析结果。
7.根据权利要求6所述垃圾邮件检测方法,其特征在于,根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件,包括:
根据所述第二发件行为分析结果确定异常邮箱或异常域名,并将与所述异常邮箱或所述异常域名对应的邮件协议流量作为所述异常流量;
通过对所述异常流量对应的邮件内容执行语义分析确定所述垃圾邮件。
8.一种垃圾邮件检测装置,其特征在于,包括:
日志获取模块,用于获取邮件传输协议流量的日志信息;
行为分析模块,用于对所述日志信息执行邮件发送行为分析得到发件行为分析结果;
垃圾邮件确定模块,用于根据所述发件行为分析结果确定所述邮件协议流量中的异常流量,并根据所述异常流量确定垃圾邮件。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述垃圾邮件检测方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上权利要求1至7任一项所述垃圾邮件检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010170963.1A CN111404805B (zh) | 2020-03-12 | 2020-03-12 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010170963.1A CN111404805B (zh) | 2020-03-12 | 2020-03-12 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111404805A true CN111404805A (zh) | 2020-07-10 |
| CN111404805B CN111404805B (zh) | 2022-11-22 |
Family
ID=71432385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010170963.1A Active CN111404805B (zh) | 2020-03-12 | 2020-03-12 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404805B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112822168A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种异常邮件检测方法及装置 |
| CN113595994A (zh) * | 2021-07-12 | 2021-11-02 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
| CN113746814A (zh) * | 2021-08-17 | 2021-12-03 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
| CN114629873A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
| CN114629870A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
| CN114629872A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1380626A (zh) * | 2001-03-29 | 2002-11-20 | 西门子公司 | 识别垃圾电子邮件的方法、装置及电子邮件服务器 |
| US20060026246A1 (en) * | 2004-07-08 | 2006-02-02 | Fukuhara Keith T | System and method for authorizing delivery of E-mail and reducing spam |
| US20060037070A1 (en) * | 2003-05-20 | 2006-02-16 | International Business Machines Corporation | Blocking of spam e-mail at a firewall |
| CN101123589A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 一种反垃圾邮件的方法及装置 |
| CN101316172A (zh) * | 2008-05-12 | 2008-12-03 | 中国联合通信有限公司 | 一种异常邮件检测系统及方法 |
| CN101540773A (zh) * | 2009-04-22 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种垃圾邮件检测方法及其装置 |
| US20120311703A1 (en) * | 2010-03-10 | 2012-12-06 | Boris Yanovsky | Reputation-based threat protection |
| CN104158792A (zh) * | 2013-05-14 | 2014-11-19 | 中兴通讯股份有限公司 | 一种垃圾僵尸检测方法及系统 |
| JP2015121984A (ja) * | 2013-12-24 | 2015-07-02 | 京セラ株式会社 | 携帯通信端末、制御方法及びコンピュータプログラム |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| US20170359362A1 (en) * | 2016-06-13 | 2017-12-14 | Microsoft Technology Licensing, Llc | Spam classification system based on network flow data |
| CN107566242A (zh) * | 2016-09-14 | 2018-01-09 | 中国移动通信集团广东有限公司 | 基于组合规则的垃圾邮件过滤方法 |
| CN108282394A (zh) * | 2018-01-09 | 2018-07-13 | 论客科技(广州)有限公司 | 一种发信人的信誉值生成方法与过滤垃圾邮件的方法 |
| CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
| CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
| CN110557352A (zh) * | 2018-05-30 | 2019-12-10 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
-
2020
- 2020-03-12 CN CN202010170963.1A patent/CN111404805B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1380626A (zh) * | 2001-03-29 | 2002-11-20 | 西门子公司 | 识别垃圾电子邮件的方法、装置及电子邮件服务器 |
| US20060037070A1 (en) * | 2003-05-20 | 2006-02-16 | International Business Machines Corporation | Blocking of spam e-mail at a firewall |
| US20060026246A1 (en) * | 2004-07-08 | 2006-02-02 | Fukuhara Keith T | System and method for authorizing delivery of E-mail and reducing spam |
| CN101123589A (zh) * | 2006-08-10 | 2008-02-13 | 华为技术有限公司 | 一种反垃圾邮件的方法及装置 |
| CN101316172A (zh) * | 2008-05-12 | 2008-12-03 | 中国联合通信有限公司 | 一种异常邮件检测系统及方法 |
| CN101540773A (zh) * | 2009-04-22 | 2009-09-23 | 成都市华为赛门铁克科技有限公司 | 一种垃圾邮件检测方法及其装置 |
| US20120311703A1 (en) * | 2010-03-10 | 2012-12-06 | Boris Yanovsky | Reputation-based threat protection |
| CN104158792A (zh) * | 2013-05-14 | 2014-11-19 | 中兴通讯股份有限公司 | 一种垃圾僵尸检测方法及系统 |
| JP2015121984A (ja) * | 2013-12-24 | 2015-07-02 | 京セラ株式会社 | 携帯通信端末、制御方法及びコンピュータプログラム |
| US20170359362A1 (en) * | 2016-06-13 | 2017-12-14 | Microsoft Technology Licensing, Llc | Spam classification system based on network flow data |
| CN107566242A (zh) * | 2016-09-14 | 2018-01-09 | 中国移动通信集团广东有限公司 | 基于组合规则的垃圾邮件过滤方法 |
| CN106850637A (zh) * | 2017-02-13 | 2017-06-13 | 韩伟杰 | 一种基于流量白名单的异常流量检测方法 |
| CN108282394A (zh) * | 2018-01-09 | 2018-07-13 | 论客科技(广州)有限公司 | 一种发信人的信誉值生成方法与过滤垃圾邮件的方法 |
| CN110557352A (zh) * | 2018-05-30 | 2019-12-10 | 深信服科技股份有限公司 | 一种群发垃圾邮件的检测方法、装置及设备 |
| CN109040103A (zh) * | 2018-08-27 | 2018-12-18 | 深信服科技股份有限公司 | 一种邮件账号失陷检测方法、装置、设备及可读存储介质 |
| CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
Non-Patent Citations (5)
| Title |
|---|
| CHRIS MUELDER;KWAN-LIU MA: "Visualization of sanitized email logs for spam analysis", 《 2007 6TH INTERNATIONAL ASIA-PACIFIC SYMPOSIUM ON VISUALIZATION》 * |
| QIANG LI;BAOLIANG MU: "A Novel Method to Detect Junk Mail Traffic", 《2009 NINTH INTERNATIONAL CONFERENCE ON HYBRID INTELLIGENT SYSTEMS》 * |
| 李建: "基于流量的P2P僵尸网络检测", 《计算机时代》 * |
| 罗娜: "基于概要数据结构的异常流量检测方法研究与实现", 《中国优秀硕士学位论文全文数据库》 * |
| 魏丽丽;何庆;戚国飞;许敬伟: "一种基于邮件用户行为分析的发件人信誉值生成方法", 《移动通信》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114629873A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
| CN114629870A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
| CN114629872A (zh) * | 2020-12-11 | 2022-06-14 | 李天明 | 一种垃圾邮件过滤方法、装置、系统及存储介质 |
| CN112822168A (zh) * | 2020-12-30 | 2021-05-18 | 绿盟科技集团股份有限公司 | 一种异常邮件检测方法及装置 |
| CN113595994A (zh) * | 2021-07-12 | 2021-11-02 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
| CN113595994B (zh) * | 2021-07-12 | 2023-03-21 | 深信服科技股份有限公司 | 一种异常邮件检测方法、装置、电子设备及存储介质 |
| CN113746814A (zh) * | 2021-08-17 | 2021-12-03 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
| CN113746814B (zh) * | 2021-08-17 | 2024-01-09 | 上海硬通网络科技有限公司 | 邮件处理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111404805B (zh) | 2022-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111404805B (zh) | 一种垃圾邮件检测方法、装置、电子设备及存储介质 | |
| EP1564670B1 (en) | Intelligent quarantining for spam prevention | |
| US8635690B2 (en) | Reputation based message processing | |
| CN103198123B (zh) | 用于基于用户信誉过滤垃圾邮件消息的系统和方法 | |
| US8224905B2 (en) | Spam filtration utilizing sender activity data | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US7610344B2 (en) | Sender reputations for spam prevention | |
| WO2004099905A2 (en) | Message handling with selective user participation | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| RU2710739C1 (ru) | Система и способ формирования эвристических правил для выявления писем, содержащих спам | |
| CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
| CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
| CN108683589B (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| CN111222856A (zh) | 一种邮件识别方法、装置、设备及存储介质 | |
| CN103716335A (zh) | 基于伪造发件人的垃圾邮件检测与过滤方法 | |
| CN111147489A (zh) | 一种面向链接伪装的鱼叉攻击邮件发现方法及装置 | |
| CN111404939B (zh) | 邮件威胁检测方法、装置、设备及存储介质 | |
| CN107743087B (zh) | 一种邮件攻击的检测方法及系统 | |
| US20020147783A1 (en) | Method, device and e-mail server for detecting an undesired e-mail | |
| CN108880990B (zh) | 检测外发垃圾邮件的方法、系统、装置及可读存储介质 | |
| CN113938311B (zh) | 一种邮件攻击溯源方法及系统 | |
| EP1733521B1 (en) | A method and an apparatus to classify electronic communication | |
| WO2011153582A9 (en) | Electronic messaging recovery engine | |
| CN110740089A (zh) | 一种群发垃圾邮件的检测方法、装置及设备 | |
| CN101951563B (zh) | 邮件网关的故障避免方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |