CN103078752B - 一种检测邮件攻击的方法、装置及设备 - Google Patents

一种检测邮件攻击的方法、装置及设备 Download PDF

Info

Publication number
CN103078752B
CN103078752B CN201210579285.XA CN201210579285A CN103078752B CN 103078752 B CN103078752 B CN 103078752B CN 201210579285 A CN201210579285 A CN 201210579285A CN 103078752 B CN103078752 B CN 103078752B
Authority
CN
China
Prior art keywords
mail
address
measurement period
sense cycle
attack
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210579285.XA
Other languages
English (en)
Other versions
CN103078752A (zh
Inventor
蒋武
董兴水
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201210579285.XA priority Critical patent/CN103078752B/zh
Publication of CN103078752A publication Critical patent/CN103078752A/zh
Priority to EP13866926.2A priority patent/EP2800333B1/en
Priority to PCT/CN2013/090383 priority patent/WO2014101758A1/zh
Priority to US14/512,777 priority patent/US10135844B2/en
Application granted granted Critical
Publication of CN103078752B publication Critical patent/CN103078752B/zh
Priority to US16/156,514 priority patent/US10673874B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service

Abstract

本发明实施例公开了一种检测邮件攻击的方法、装置及设备,该方法包括:接收数据流;获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。应用本发明实施例,可以使邮件攻击的检测结果更为准确。

Description

一种检测邮件攻击的方法、装置及设备
技术领域
本发明涉及通信技术领域,尤其涉及一种检测邮件攻击的方法、装置及设备。
背景技术
邮件攻击,也称为“邮件炸弹攻击”,英文是E-MailBomb,是一种攻击电子邮件(E-mail)邮箱(下文简称电子邮箱)的手段,通过短时间内向目标电子邮箱连续发送垃圾邮件的方式,使该目标电子邮箱容量达到上限而没有多余的空间来容纳新的电子邮件(下文简称为邮件)。并且,发生邮件攻击时,垃圾邮件在网络中传输会消耗大量的网络资源,从而可能引起网络堵塞,导致其他大量的电子邮箱无法正常接收和发送邮件,同时也会给邮件服务器造成负担。
发生邮件攻击时,邮件服务器所接收的邮件流量往往会出现异常,而一般邮件服务器是通过特定端口(例如,端口25)接收邮件的,因此,在检测是否发生邮件攻击时,通常先针对邮件服务器的特定端口进行流量统计,当一定时间内邮件流量超过预设的流量阈值时,就认为发生了邮件攻击,并对邮件服务器的特定端口的流量进行限制。
采用这种检测邮件攻击的方式时,由于邮件服务器的特定端口除了接收邮件以外,还会接收其他的数据,因此针对邮件服务器的特定端口进行流量统计时,所统计的流量中可能包含除邮件流量的其它数据流量,例如,命令数据等,因此对邮件攻击的检测结果是不准确的,不能正确地对邮件攻击进行限制和处理。
发明内容
本发明实施例中提供了一种检测邮件攻击的方法、装置及设备,用以解决现有技术中存在的邮件攻击的检测结果不准确的问题。
为解决上述问题,本发明实施例提供的技术方案如下:
第一方面,提供一种检测邮件攻击的方法,包括:
接收数据流;
获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
结合第一方面,在第一方面的第一种可能的实现方式中,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括:
分析所述每个统计周期内接收到的数据流的协议类型;
当所述协议类型属于邮件协议类型时,确定所述数据流为邮件;
根据确定的邮件获得所述每个统计周期内的邮件流量参数。
结合第一方面,或第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述邮件流量参数包括:
邮件数量;或
新建的用于传输邮件的简单邮件传输协议SMTP连接数;或
用于传输邮件的SMTP并发连接增加数。
结合第一方面,或第一方面的第一种可能的实现方式,或第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,在所述确定检测到邮件攻击之后,还包括:
获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
结合第一方面的第三种可能的实现方式,在第一方面的第四种可能的实现方式中,还包括:
在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;
建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系;
在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括:
根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
第二方面,提供一种检测邮件攻击的装置,包括:
接收单元,用于接收数据流;
第一获得单元,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
结合第二方面,在第二方面的第一种可能的实现方式中,所述第一获得单元包括:
协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;
邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;
参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。
结合第二方面,或第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,还包括:
第二获得单元,用于在所述确定单元确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
第一统计单元,用于统计所述第二获得单元获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
目标地址确定单元,用于将所述第一统计单元统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,还包括:
第三获得单元,用于在所述第二获得单元获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;
对应关系建立单元,用于建立所述每个检测周期中所述第二获得单元获得的收件人邮箱地址和所述第三获得单元获得的发件人IP地址的对应关系;
第二统计单元,用于在所述目标地址确定单元确定目标地址之后,根据所述对应关系建立单元建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
攻击方地址确定单元,用于将所述第二统计单元统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
第三方面,提供一种检测邮件攻击的设备,包括:
网络接口,用于接收数据流;
处理器,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
结合第三方面,在第三方面的第一种可能的实现方式中,所述处理器具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。
结合第三方面,或第三方面的第一种可能的实现方式,在第三方面的第二种可能的实现方式中,所述处理器还用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
结合第三方面的第二种可能的实现方式,在第三方面的第三种可能的实现方式中,所述处理器还用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
本发明实施例的检测邮件攻击的方法中,先要确定邮件流量参数,然后根据确定出的邮件流量参数,确定检测到邮件攻击,其中,根据接收到的数据流的协议类型确定邮件流量参数。由上可见,当接收到的数据流中包含除邮件流量的其他数据流量时,根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,使邮件攻击的检测结果更为准确。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例中的检测邮件攻击的方法流程示意图;
图2是本发明另一个实施例中的检测邮件攻击的方法流程示意图;
图3是本发明另一个实施例中的检测邮件攻击的方法流程示意图;
图4是本发明一个实施例中的网络架构示意图;
图5是本发明一个实施例中的监控表项示意图;
图6是本发明一个实施例中的检测邮件攻击的装置结构示意图;
图7是本发明一个实施例中的第一获得单元601的结构示意图;
图8是本发明另一个实施例中的检测邮件攻击的装置结构示意图;
图9是本发明另一个实施例中的检测邮件攻击的装置结构示意图;
图10是本发明一个实施例中的检测邮件攻击的设备结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
邮件攻击的攻击方经常采用一些邮件攻击软件来对目标电子邮箱进行邮件攻击。对目标电子邮箱进行邮件攻击时,会向目标电子邮箱发送大量的邮件或是发送容量很大的邮件,使目标电子邮箱的空间被占用完,无法接收新的邮件,无法正常使用。甚至有些邮件攻击会通过控制僵尸网络向目标电子邮箱发送大量的邮件,占用网络资源,影响其他电子邮箱正常的收发邮件。
经过对大量的邮件攻击进行分析,本发明的发明人发现,邮件攻击中的邮件大都是随机产生或者是随意编写的,很难从中提炼出特征字段,因此要利用现有的基于特征字段的流量检测来检测邮件攻击并不可行。另外,由于邮件攻击会有基于小流量的洪量攻击(flood攻击),还有一些正常流量数据也可能会在短时间内流量很大,因此通过异常流量检测的方式也不能准确的检测出邮件攻击。经过深入的分析发现,邮件攻击存在一些共同的特征,如目标邮箱确定,即收件人邮箱地址确定;数据流的协议类型属于邮件协议类型,例如,简单邮件传输协议(英文全称为SimpleMailTransferProtocol,简称SMTP协议)类型,并且是基于传输控制协议(英文全称为TransmissionControlProtocol,简称TCP协议)采用的真实通信连接;发生邮件攻击时,同一个邮件服务器一定时间周期内接收到的邮件数目较多。另外,,发生邮件攻击时发出的垃圾邮件,也有一些共同的特征,如邮件的收件人邮箱地址和发件人邮箱地址相同,或者邮件的文本内容相似等。可以理解的是,本领域的技术人员可以从上述特征中推导出其他更多的特征,在此不一一进行论述。
针对这些邮件攻击时的共同特征,本发明提出了能够准确识别邮件攻击的技术方案,能够检测出邮件攻击,这样被攻击的目标电子邮箱就不会受到攻击,可以正常使用,也不会影响网络中其他电子邮箱的正常使用。
如图1所示,为本发明检测邮件攻击的方法的一个实施例,其具体处理过程如下:
步骤101:接收数据流。
步骤102,获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数。
本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。
本发明实施例中,根据接收到的数据流的协议类型确定每个统计周期内的邮件流量参数可以采用下述方法:分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件,根据确定的邮件获得每个统计周期内的邮件流量参数。
上述邮件协议类型可以为SMTP协议,邮局协议(英文全称为PostOfficeProtocol3,简称POP3协议),互联网信息访问协议(英文全称为InternetMessageAccessProtocol,简称IMAP协议),本发明实施例以SMTP协议为例进行说明。
上述邮件流量参数可以包括:邮件数量或新建的用于传输邮件的SMTP连接数或用于传输邮件的SMTP并发连接增加数。
步骤103,当预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
当确定检测到邮件攻击后,可以采取相应的防范措施,具体可以采取下述三种防范措施:当确定检测到邮件攻击后,针对邮件服务器进行限流,从而避免邮件攻击所引起的网络阻塞;或者,当确定检测到邮件攻击后,进一步确定邮件攻击的目标地址,即确定邮件攻击所攻击的邮箱地址,以便针对确定出的目标地址进行限流;或者,当确定检测到邮件攻击后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,以便针对确定出的攻击方IP地址进行限流,例如,阻止该攻击方IP地址发送邮件。
其中,当采取上述第一种防范措施时,可以在确定检测到邮件攻击后立即进行。
当采取上述第二种防范措施时,在确定检测到邮件攻击之后,由于还要确定邮件攻击的目标地址,因此本发明实施例进一步还可以包括确定目标地址的处理流程:先获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址,然后统计获得的每个收件人邮箱地址在每个检测周期的出现次数,再将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
当采取上述第三种防范措施时,在确定检测到邮件攻击之后,不仅要确定邮件攻击的目标地址,还要确定邮件攻击的攻击方IP地址,因此本发明实施例除了包括确认目标地址的处理流程(该处理流程与采取第二防范措施中的处理流程类似,在些不再进行描述)外,进一步还可以包括确定攻击方IP地址的处理流程:在获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得邮件的发件人IP地址,并建立每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,然后在确定邮件攻击的目标地址之后,根据对应关系统计目标地址对应的每个发件人IP地址的出现次数,再将出现次数超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址。
本发明实施例中,可以在检测邮件攻击前,预先设定上述第一阈值为一固定数值,进一步还可以在检测邮件攻击的过程中,当邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,以使后续可以根据调整后的第一阈值检测邮件攻击。
由上可见,本发明实施例的检测邮件攻击的方法中,先要确定邮件流量参数,然后根据确定出的邮件流量参数,确定检测到邮件攻击。确定邮件流量参数时需要根据接收到的数据流的协议类型来确定。当接收到的数据流中包含除邮件流量的其他数据流量时,根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,相应地,邮件攻击的检测结果更为准确。
如图2所示,为本发明检测邮件攻击的方法的另一个实施例,该实施例中,在确定检测到邮件攻击之后,还要进一步确定邮件攻击的目标地址,其具体处理过程如下:
步骤201,接收数据流。
步骤202,获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数。
本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。
本发明实施例中,根据接收到的数据流的协议类型确定每个统计周期的邮件流量参数可以采用下述方法:分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件,根据确定的邮件获得每个统计周期内的邮件流量参数。
上述邮件流量参数可以包括:邮件数量或新建的用于传输邮件的SMTP连接数或用于传输邮件的SMTP并发连接增加数。
步骤203,当每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
由于正常情况下邮件流量参数的数值是平稳变化的,当受到邮件攻击时邮件流量参数的数值会发生明显的突变,因此可以预先设定邮件流量参数的参考值,参考值即上述第一阈值。
本发明实施例中,可以在检测邮件攻击前,预先设定第一阈值为一固定数值,进一步还可以在检测邮件攻击的过程中,当邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,以使后续可以根据调整后的第一阈值检测邮件攻击。邮件流量参数与第一阈值不相匹配具体可以包括:邮件流量参数不超过第一阈值,例如,当邮件流量参数为邮件数目,第一阈值为100时,若确定出的邮件数量为10,由于邮件数量不超过第一阈值,则表示邮件流量参数与第一阈值不相匹配,若确定出的邮件数量为200,由于邮件数量超过第一阈值,则表示邮件流量参数与第一阈值匹配。
第一阈值的确定方法具体可以包括如下处理流程:在检测邮件攻击前,通过流量学习、流量建模和模型输出的过程,确定第一阈值的初始值,其中,上述第一阈值的初始值为一固定数值,通常将这一过程称为检测邮件攻击前的学习阶段,在学习阶段完成后才能检测邮件攻击,即进入工作状态。在检测邮件攻击时,在一个统计周期内,根据接收到的数据流的协议类型确定一个统计周期的邮件流量参数,当确定出的邮件流量参数与第一阈值不相匹配时,根据邮件流量参数调整第一阈值,其中,可以基于上述学习阶段确定出的第一阈值的初始值,根据邮件流量参数调整第一阈值。
步骤204,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址。
本发明实施例中,可以在接收到邮件后,对邮件进行内容分析,从而获得邮件的收件人邮箱地址。
步骤205,统计获得的每个收件人邮箱地址在每个检测周期的出现次数。
本发明实施例中,可以在获得邮件的收件人邮箱地址后,对收件人邮箱地址进行标准化处理,转换成同一种大小写模式,然后在已存储的收件人邮箱地址中进行查找,若未查找到该收件人邮箱地址,则存储该收件人邮箱地址,并将该收件人邮箱地址的出现次数初始化为1,若查找到该收件人邮箱地址,则将该收件人邮箱地址的出现次数加1。
步骤206,将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
当在预定数目个检测周期内任一检测周期中均未检测出目标地址时,确认未发生邮件攻击。
由上可见,本发明实施例的检测邮件攻击的方法中,不仅检测结果更为准确,而且在确定检测到邮件攻击之后,还进一步确定出了邮件攻击的目标地址,从而可以针对确定出的目标地址,采取限流等防范措施。
如图3所示,为本发明检测邮件攻击的方法的另一个实施例,该实施例中在确定检测到邮件攻击之后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,其具体处理过程如下:
步骤301,分析每个统计周期内接收到的数据流的协议类型,当协议类型属于邮件协议类型时,确定数据流为邮件。
本实施例的执行主体可以是现有网络中的邮件服务器或网关设备。
步骤302,根据确定的邮件获得每个统计周期内的邮件流量参数。
步骤303,判断预定数目个统计周期内是否每个统计周期内的邮件流量参数均与第一阈值相匹配,若判断结果为是,则执行步骤304;若判断结果为否,则结束当前流程。
步骤304,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址和发件人IP地址,并建立两者的对应关系。
上述对应关系为每个检测周期中收件人邮箱地址和发件人IP地址的对应关系。
本实施例中,可以在每个检测周期中建立一个监控表项,上述监控表项用于存储该检测周期内接收到的邮件的收件人邮箱地址与发件人IP地址的对应关系。在每个检测周期中,接收到邮件后,可以先获得邮件的收件人邮箱地址和发件人IP地址。
对于获得的每个收件人邮箱地址,可以在建立的监控表项中查找是否存在该收件人邮箱地址对应的哈希节点,若查找结果为不存在该收件人邮箱地址对应的哈希节点,则建立该收件人邮箱地址对应的哈希节点。其中,可以在每个收件人邮箱地址对应的哈希节点中存储该收件人邮箱地址和该收件人邮箱地址在检测周期的出现次数,同时在该哈希节点的从属节点中保存发件人IP地址和该发件人IP地址在检测周期中的出现次数。
步骤305,统计获得的每个收件人邮箱地址在每个检测周期的出现次数。
本实施例中,每个收件人邮箱地址在每个检测周期内出现次数初始数值为1;若查找监控表项的结果为存在该收件人邮箱地址对应的哈希节点,则将查找到的哈希节点中存储的收件人邮箱地址在检测周期的出现次数加一,当一个检测周期结束时,根据建立的监控表项统计每个收件人邮箱地址在每个检测周期的出现次数。
步骤306,将在预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
步骤307,根据对应关系统计目标地址对应的每个发件人IP地址的出现次数。
本实施例中,在确定了邮件攻击的目标地址后,可以遍历该目标地址对应的哈希节点的所有从属节点,统计目标地址对应的每个发件人IP地址的出现次数。
步骤308,将出现次数超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址,结束当前流程。
由上可见,本发明实施例的检测邮件攻击的方法中,不仅检测结果更为准确,而且在确定检测到邮件攻击之后,先进一步确定邮件攻击的目标地址,然后再确定邮件攻击的攻击方IP地址,以便针对该攻击方IP地址进行限流,例如,阻止该攻击方IP地址发送邮件,从而使得防范邮件攻击时更有针对性,也更有效。
如图4所示,为本发明检测邮件攻击的方法的网络架构示意图,其中,邮件服务器404负责电子邮件收发管理,攻击方设备401通过一个主控主机402和多个受控主机403发起邮件攻击,由于存在多个受控主机作为攻击主机,因此图4示出的邮件攻击方式属于分布式拒绝服务(英文全称为DistributedDenialofService,简称DDoS)攻击,需要说明的是,图4示出的DDoS攻击方式仅为一种示例,对于其他类型的邮件攻击方式也可以采用本发明实施例进行检测,对此本发明实施例不进行限制。
基于图4所示的网络架构,本发明的另一个实施例中可以采用下述处理方法:先获得预定数目个统计周期内每个统计周期的邮件数量,其中,在一个统计周期内,根据接收到的数据流的协议类型确定一个统计周期的邮件数量,当每个统计周期的邮件数量均与第一阈值相匹配时,确定检测到邮件攻击,然后进入检测模式,在每个检测周期中建立一个监控表项,上述监控表项用于存储该检测周期内接收到的邮件的收件人邮箱地址与发件人IP地址的对应关系。在一个检测周期中,接收到邮件后,先获得邮件的收件人邮箱地址和发件人IP地址。对于获得的每个收件人邮箱地址,在建立的监控表项中查找是否存在该收件人邮箱地址对应的哈希节点,若查找结果为不存在该收件人邮箱地址对应的哈希节点,则建立该收件人邮箱地址对应的哈希节点,在该哈希节点中存储该收件人邮箱地址和该收件人邮箱地址在检测周期的出现次数,出现次数初始数值为1;若查找结果为存在该收件人邮箱地址对应的哈希节点,则将查找到的哈希节点中存储的收件人邮箱地址在检测周期的出现次数加一。同时在该哈希节点的从属节点中保存发件人IP地址和该发件人IP地址在检测周期中的出现次数,在检测周期内进行表项数据的刷新,当一个检测周期结束时,根据建立的监控表项获得每个收件人邮箱地址在该检测周期的出现次数,将在检测周期内出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址,然后再遍历该目标地址对应的哈希节点的所有从属节点,将出现次数(即发送给目标地址的邮件数目)超过第三阈值的发件人IP地址确定为邮件攻击的攻击方IP地址。
如图5所示,为本发明上述检测邮件攻击的方法实施例中所建立的监控表项示意图,图中D代表收件人邮箱地址,Total(D)代表收件人邮箱地址D在检测周期的出现次数,D所对应的哈希节点共有三个从属节点,分别存储发件人IP地址IP1和其在该检测周期中的出现次数MCount(IP1)、发件人IP地址IP2和其在该检测周期中的出现次数MCount(IP2)以及发件人IP地址IP3和其在该检测周期中的出现次数MCount(IP3);图中M代表另一个收件人邮箱地址,Total(M)代表收件人邮箱地址M在检测周期的出现次数,M所对应的哈希节点共有4个从属节点,分别存储发件人IP地址IP4和其在该检测周期中的出现次数MCount(IP4)、发件人IP地址IP5和其在该检测周期中的出现次数MCount(IP5)、发件人IP地址IP6和其在该检测周期中的出现次数MCount(IP6)以及发件人IP地址IP7和其在该检测周期中的出现次数MCount(IP7)。
与本发明检测邮件攻击的方法的实施例相对应,本发明还提供了检测邮件攻击的装置及设备的实施例。
如图6所示为本发明检测邮件攻击的装置的一个实施例,所述装置包括:接收单元601、第一获得单元602和确定单元603。
其中,接收单元601,用于接收数据流;
第一获得单元602,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元601接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
确定单元603,用于当所述第一获得单元602获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
采用本发明实施例的检测邮件攻击的检测装置,由第一获得单元602获得邮件流量参数,然后由确定单元603根据第一获得单元602获得的邮件流量参数,确定检测到邮件攻击,其中,第一获得单元602根据接收到的数据流的协议类型确定邮件流量参数。由上可见,当接收到的数据流中包含除邮件流量的其他数据流量时,第一获得单元602根据数据流的协议类型可以确定出接收到的数据流中包含的邮件流量,从而可以准确地确定邮件流量参数,使确定单元603确定检测到邮件攻击的检测结果更为准确。
如图7所示为上述第一获得单元602的一个具体的实施例,所述第一获得单元602包括:协议类型分析子单元6021、邮件确定子单元6022和参数获得子单元6023。
其中,协议类型分析子单元6021,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;
邮件确定子单元6022,用于当所述协议类型分析子单元6021分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;
参数获得子单元6023,用于根据所述邮件确定子单,6022所确定的邮件获得所述每个统计周期内的邮件流量参数。
在上述检测邮件攻击的检测装置的一个具体的实施例中,所述第一获得单元602获得的邮件流量参数包括:邮件数量;或新建的用于传输邮件的SMTP连接数;或用于传输邮件的SMTP并发连接增加数。
如图8所示为本发明检测邮件攻击的装置的另一个实施例,所述装置包括:接收单元801、第一获得单元802、确定单元803、第二获得单元804、第一统计单元805和目标地址确定单元806。
其中,接收单元801,用于接收数据流;
第一获得单元802,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元801接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
确定单元803,用于当所述第一获得单元802获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;
第二获得单元804,用于在所述确定单元803确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
第一统计单元805,用于统计所述第二获得单元804获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
目标地址确定单元806,用于将所述第一统计单元805统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
如图9所示为本发明检测邮件攻击的装置的另一个实施例,所述装置包括:接收单元901、第一获得单元902、确定单元903、第二获得单元904、第一统计单元905、目标地址确定单元906、第三获得单元907、对应关系建立单元908、第二统计单元909和攻击方地址确定单元910。
其中,接收单元901,用于接收数据流;
第一获得单元902,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元901接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
确定单元903,用于当所述第一获得单元902获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;
第二获得单元904,用于在所述确定单元903确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
第一统计单元905,用于统计所述第二获得单元904获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
目标地址确定单元906,用于将所述第一统计单元905统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址;
第三获得单元907,用于在所述第二获得单元904获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人IP地址;
对应关系建立单元908,用于建立所述每个检测周期中所述第二获得单元904获得的收件人邮箱地址和所述第三获得单元907获得的发件人IP地址的对应关系;
第二统计单元909,用于在所述目标地址确定单元906确定目标地址之后,根据所述对应关系建立单元908建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
攻击方地址确定单元910,用于将所述第二统计单元909统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
如图10所示为本发明检测邮件攻击的设备的一个实施例,所述设备包括:网络接口1001和处理器1002。
其中,网络接口1001,用于接收数据流;
处理器1002,用于获得预定数目个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口1001接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击。
在上述本发明检测邮件攻击的设备的一个具体的实施例中,所述处理器1002可以具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。
在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002获得的邮件流量参数包括:邮件数量;或新建的用于传输邮件的SMTP连接数;或用于传输邮件的SMTP并发连接增加数。
在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002还可以用于:在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口1001所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
在上述本发明检测邮件攻击的设备的另一个具体的实施例中,所述处理器1002还可以用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口1001所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
需要说明的是,前述图6中示出的检测邮件攻击的装置可以集成在本实施例中示出的检测邮件攻击的设备中。
在实际应用中,本发明实施例中的检测邮件攻击的设备可以具体为邮件服务器,或网关设备。
专业人员还可以进一步应能意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明实施例的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明实施例。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明实施例的精神或范围的情况下,在其他实施例中实现。因此,本发明实施例将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
以上所述仅为本发明实施例的较佳实施例而已,并不用以限制本发明实施例,凡在本发明实施例的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。

Claims (10)

1.一种检测邮件攻击的方法,其特征在于,包括:
接收数据流;
获得预定数目的多于一个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;
获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
2.如权利要求1所述的方法,其特征在于,所述根据接收到的数据流的协议类型确定所述每个统计周期内的邮件流量参数,包括:
分析所述每个统计周期内接收到的数据流的协议类型;
当所述协议类型属于邮件协议类型时,确定所述数据流为邮件;
根据确定的邮件获得所述每个统计周期内的邮件流量参数。
3.如权利要求1或2所述的方法,其特征在于,所述邮件流量参数包括:
邮件数量;或
新建的用于传输邮件的简单邮件传输协议SMTP连接数;或
用于传输邮件的SMTP并发连接增加数。
4.如权利要求1所述的方法,其特征在于,还包括:
在所述获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;
建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系;
在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,还包括:
根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
5.一种检测邮件攻击的装置,其特征在于,包括:
接收单元,用于接收数据流;
第一获得单元,用于获得预定数目的多于一个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述接收单元接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数;
确定单元,用于当所述第一获得单元获得的预定数目个统计周期内每个统计周期内的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;
第二获得单元,用于在所述确定单元确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址;
第一统计单元,用于统计所述第二获得单元获得的每个收件人邮箱地址在所述每个检测周期的出现次数;
目标地址确定单元,用于将所述第一统计单元统计的在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为邮件攻击的目标地址。
6.如权利要求5所述的装置,其特征在于,所述第一获得单元包括:
协议类型分析子单元,用于在每个统计周期内,分析所述每个统计周期内接收到的数据流的协议类型;
邮件确定子单元,用于当所述协议类型分析子单元分析出的数据流的协议类型属于邮件协议类型时,确定所述数据流为邮件;
参数获得子单元,用于根据所述邮件确定子单元所确定的邮件获得所述每个统计周期内的邮件流量参数。
7.如权利要求5所述的装置,其特征在于,还包括:
第三获得单元,用于在所述第二获得单元获得预定数目个检测周期内每个检测周期所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址;
对应关系建立单元,用于建立所述每个检测周期中所述第二获得单元获得的收件人邮箱地址和所述第三获得单元获得的发件人IP地址的对应关系;
第二统计单元,用于在所述目标地址确定单元确定目标地址之后,根据所述对应关系建立单元建立的对应关系统计所述目标地址对应的每个发件人IP地址的出现次数;
攻击方地址确定单元,用于将所述第二统计单元统计的出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
8.一种检测邮件攻击的设备,其特征在于,包括:
网络接口,用于接收数据流;
处理器,用于获得预定数目的多于一个统计周期内每个统计周期的邮件流量参数,其中,在每个统计周期内,根据所述网络接口接收到的数据流的协议类型确定所述每个统计周期的邮件流量参数,当所述预定数目个统计周期内每个统计周期的邮件流量参数均与第一阈值相匹配时,确定检测到邮件攻击;
在所述确定检测到邮件攻击之后,获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址,统计获得的每个收件人邮箱地址在所述每个检测周期的出现次数,将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址。
9.如权利要求8所述的设备,其特征在于,所述处理器具体用于:在每个统计周期内,分析所述每个统计周期内所述网络接口接收到的数据流的协议类型,当所述协议类型属于邮件协议类型时,确定所述数据流为邮件,根据确定的邮件获得所述每个统计周期内的邮件流量参数。
10.如权利要求8所述的设备,其特征在于,所述处理器还用于:在所述获得预定数目个检测周期内每个检测周期所述网络接口所接收到的邮件的收件人邮箱地址的同时,获得所述邮件的发件人网络协议IP地址,建立所述每个检测周期中收件人邮箱地址和发件人IP地址的对应关系,在所述将在所述预定数目个检测周期内任一检测周期中的出现次数超过第二阈值的收件人邮箱地址确定为所述邮件攻击的目标地址之后,根据所述对应关系统计所述目标地址对应的每个发件人IP地址的出现次数,将出现次数超过第三阈值的发件人IP地址确定为所述邮件攻击的攻击方IP地址。
CN201210579285.XA 2012-12-27 2012-12-27 一种检测邮件攻击的方法、装置及设备 Active CN103078752B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN201210579285.XA CN103078752B (zh) 2012-12-27 2012-12-27 一种检测邮件攻击的方法、装置及设备
EP13866926.2A EP2800333B1 (en) 2012-12-27 2013-12-25 Method, apparatus and device for detecting an e-mail bomb
PCT/CN2013/090383 WO2014101758A1 (zh) 2012-12-27 2013-12-25 一种检测邮件攻击的方法、装置及设备
US14/512,777 US10135844B2 (en) 2012-12-27 2014-10-13 Method, apparatus, and device for detecting e-mail attack
US16/156,514 US10673874B2 (en) 2012-12-27 2018-10-10 Method, apparatus, and device for detecting e-mail attack

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210579285.XA CN103078752B (zh) 2012-12-27 2012-12-27 一种检测邮件攻击的方法、装置及设备

Publications (2)

Publication Number Publication Date
CN103078752A CN103078752A (zh) 2013-05-01
CN103078752B true CN103078752B (zh) 2016-03-30

Family

ID=48155162

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210579285.XA Active CN103078752B (zh) 2012-12-27 2012-12-27 一种检测邮件攻击的方法、装置及设备

Country Status (4)

Country Link
US (2) US10135844B2 (zh)
EP (1) EP2800333B1 (zh)
CN (1) CN103078752B (zh)
WO (1) WO2014101758A1 (zh)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078752B (zh) 2012-12-27 2016-03-30 华为技术有限公司 一种检测邮件攻击的方法、装置及设备
US10562132B2 (en) 2013-04-29 2020-02-18 Nuburu, Inc. Applications, methods and systems for materials processing with visible raman laser
US10971896B2 (en) 2013-04-29 2021-04-06 Nuburu, Inc. Applications, methods and systems for a laser deliver addressable array
US10694029B1 (en) 2013-11-07 2020-06-23 Rightquestion, Llc Validating automatic number identification data
US9237426B2 (en) * 2014-03-25 2016-01-12 Location Labs, Inc. Device messaging attack detection and control system and method
US11646549B2 (en) 2014-08-27 2023-05-09 Nuburu, Inc. Multi kW class blue laser system
CN104348712B (zh) * 2014-10-15 2017-10-27 新浪网技术(中国)有限公司 一种垃圾邮件过滤方法及装置
US10104117B2 (en) * 2016-02-24 2018-10-16 Microsoft Technology Licensing, Llc Identifying user behavior in a distributed computing system
US11612957B2 (en) 2016-04-29 2023-03-28 Nuburu, Inc. Methods and systems for welding copper and other metals using blue lasers
US10805314B2 (en) 2017-05-19 2020-10-13 Agari Data, Inc. Using message context to evaluate security of requested data
US11936604B2 (en) 2016-09-26 2024-03-19 Agari Data, Inc. Multi-level security analysis and intermediate delivery of an electronic message
US10880322B1 (en) * 2016-09-26 2020-12-29 Agari Data, Inc. Automated tracking of interaction with a resource of a message
US9847973B1 (en) 2016-09-26 2017-12-19 Agari Data, Inc. Mitigating communication risk by detecting similarity to a trusted message contact
CN107743087B (zh) * 2016-10-27 2020-05-12 腾讯科技(深圳)有限公司 一种邮件攻击的检测方法及系统
US11044267B2 (en) 2016-11-30 2021-06-22 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) 2016-11-30 2023-08-08 Agari Data, Inc. Using a measure of influence of sender in determining a security risk associated with an electronic message
US10715543B2 (en) 2016-11-30 2020-07-14 Agari Data, Inc. Detecting computer security risk based on previously observed communications
EP3576899A4 (en) 2017-01-31 2021-02-24 Nuburu, Inc. BLUE LASER COPPER WELDING PROCESSES AND SYSTEMS
FI3612872T3 (fi) 2017-04-21 2023-05-08 Nuburu Inc Monikuorinen valokuitu
US11019076B1 (en) 2017-04-26 2021-05-25 Agari Data, Inc. Message security assessment using sender identity profiles
CN107018067A (zh) * 2017-05-02 2017-08-04 深圳市安之天信息技术有限公司 一种基于僵尸网络监控的恶意邮件预警方法及系统
CN107172023A (zh) * 2017-05-03 2017-09-15 成都国腾实业集团有限公司 面向内容的网络安全监控系统及方法
US11102244B1 (en) 2017-06-07 2021-08-24 Agari Data, Inc. Automated intelligence gathering
US11757914B1 (en) 2017-06-07 2023-09-12 Agari Data, Inc. Automated responsive message to determine a security risk of a message sender
US10804680B2 (en) 2017-06-13 2020-10-13 Nuburu, Inc. Very dense wavelength beam combined laser system
CN107888484A (zh) * 2017-11-29 2018-04-06 北京明朝万达科技股份有限公司 一种邮件处理方法及系统
CN108055195B (zh) * 2017-12-22 2021-03-30 广东睿江云计算股份有限公司 一种过滤垃圾电子邮件的方法
JP6783261B2 (ja) * 2018-02-15 2020-11-11 日本電信電話株式会社 脅威情報抽出装置及び脅威情報抽出システム
CN109327453B (zh) * 2018-10-31 2021-04-13 北斗智谷(北京)安全技术有限公司 一种特定威胁的识别方法及电子设备
WO2020107030A1 (en) 2018-11-23 2020-05-28 Nuburu, Inc Multi-wavelength visible laser source
KR20210123322A (ko) 2019-02-02 2021-10-13 누부루 인크. 고신뢰성, 고출력, 고휘도 청색 레이저 다이오드 시스템 및 그 제조 방법
CN111835683B (zh) * 2019-04-19 2021-10-15 上海哔哩哔哩科技有限公司 连接控制方法、系统、设备及计算机可读存储介质
CN111835682B (zh) 2019-04-19 2021-05-11 上海哔哩哔哩科技有限公司 连接控制方法、系统、设备及计算机可读存储介质
CN110417643B (zh) * 2019-07-29 2021-10-08 世纪龙信息网络有限责任公司 邮件处理方法和装置
US11159464B2 (en) * 2019-08-02 2021-10-26 Dell Products L.P. System and method for detecting and removing electronic mail storms
CN111866002A (zh) * 2020-07-27 2020-10-30 中国工商银行股份有限公司 用于检测邮件安全性的方法、装置、系统及介质
CN112165445B (zh) * 2020-08-13 2023-04-07 杭州数梦工场科技有限公司 用于检测网络攻击的方法、装置、存储介质及计算机设备
US11616809B1 (en) * 2020-08-18 2023-03-28 Wells Fargo Bank, N.A. Fuzzy logic modeling for detection and presentment of anomalous messaging
CN113783857B (zh) * 2021-08-31 2023-11-07 新华三信息安全技术有限公司 一种防攻击方法、装置、设备及机器可读存储介质
CN114389872A (zh) * 2021-12-29 2022-04-22 卓尔智联(武汉)研究院有限公司 数据处理方法、模型训练方法、电子设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101540773A (zh) * 2009-04-22 2009-09-23 成都市华为赛门铁克科技有限公司 一种垃圾邮件检测方法及其装置
US7716297B1 (en) * 2007-01-30 2010-05-11 Proofpoint, Inc. Message stream analysis for spam detection and filtering

Family Cites Families (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6507866B1 (en) * 1999-07-19 2003-01-14 At&T Wireless Services, Inc. E-mail usage pattern detection
US7032023B1 (en) * 2000-05-16 2006-04-18 America Online, Inc. Throttling electronic communications from one or more senders
US6779021B1 (en) * 2000-07-28 2004-08-17 International Business Machines Corporation Method and system for predicting and managing undesirable electronic mail
US7752665B1 (en) * 2002-07-12 2010-07-06 TCS Commercial, Inc. Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US20070050777A1 (en) * 2003-06-09 2007-03-01 Hutchinson Thomas W Duration of alerts and scanning of large data stores
US20040252722A1 (en) * 2003-06-13 2004-12-16 Samsung Electronics Co., Ltd. Apparatus and method for implementing VLAN bridging and a VPN in a distributed architecture router
US9338026B2 (en) * 2003-09-22 2016-05-10 Axway Inc. Delay technique in e-mail filtering system
US7548956B1 (en) * 2003-12-30 2009-06-16 Aol Llc Spam control based on sender account characteristics
US7539871B1 (en) * 2004-02-23 2009-05-26 Sun Microsystems, Inc. System and method for identifying message propagation
US20050198159A1 (en) * 2004-03-08 2005-09-08 Kirsch Steven T. Method and system for categorizing and processing e-mails based upon information in the message header and SMTP session
US7873695B2 (en) * 2004-05-29 2011-01-18 Ironport Systems, Inc. Managing connections and messages at a server by associating different actions for both different senders and different recipients
US7849142B2 (en) * 2004-05-29 2010-12-07 Ironport Systems, Inc. Managing connections, messages, and directory harvest attacks at a server
US9398037B1 (en) * 2004-09-27 2016-07-19 Radix Holdings, Llc Detecting and processing suspicious network communications
US7607170B2 (en) * 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7908328B1 (en) * 2004-12-27 2011-03-15 Microsoft Corporation Identification of email forwarders
US7975010B1 (en) * 2005-03-23 2011-07-05 Symantec Corporation Countering spam through address comparison
US20060294588A1 (en) * 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US7958557B2 (en) * 2006-05-17 2011-06-07 Computer Associates Think, Inc. Determining a source of malicious computer element in a computer network
US8775521B2 (en) * 2006-06-30 2014-07-08 At&T Intellectual Property Ii, L.P. Method and apparatus for detecting zombie-generated spam
US7984297B2 (en) * 2006-07-25 2011-07-19 Mypoints.Com Inc. System and method of spam proof e-mail bounce tracking
US20080082658A1 (en) * 2006-09-29 2008-04-03 Wan-Yen Hsu Spam control systems and methods
US8689334B2 (en) * 2007-02-28 2014-04-01 Alcatel Lucent Security protection for a customer programmable platform
US7783597B2 (en) * 2007-08-02 2010-08-24 Abaca Technology Corporation Email filtering using recipient reputation
JP4827972B2 (ja) * 2007-09-28 2011-11-30 日本電信電話株式会社 ネットワーク監視装置、ネットワーク監視方法およびネットワーク監視プログラム
CN101707539B (zh) * 2009-11-26 2012-01-04 成都市华为赛门铁克科技有限公司 蠕虫病毒检测方法、装置和网关设备
US10104029B1 (en) * 2011-11-09 2018-10-16 Proofpoint, Inc. Email security architecture
US9876742B2 (en) * 2012-06-29 2018-01-23 Microsoft Technology Licensing, Llc Techniques to select and prioritize application of junk email filtering rules
US9401932B2 (en) * 2012-12-04 2016-07-26 Cyber Adapt, Inc. Device and method for detection of anomalous behavior in a computer network
CN103078752B (zh) * 2012-12-27 2016-03-30 华为技术有限公司 一种检测邮件攻击的方法、装置及设备

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7716297B1 (en) * 2007-01-30 2010-05-11 Proofpoint, Inc. Message stream analysis for spam detection and filtering
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101540773A (zh) * 2009-04-22 2009-09-23 成都市华为赛门铁克科技有限公司 一种垃圾邮件检测方法及其装置

Also Published As

Publication number Publication date
EP2800333A1 (en) 2014-11-05
EP2800333B1 (en) 2016-04-06
US20150033343A1 (en) 2015-01-29
US10673874B2 (en) 2020-06-02
US10135844B2 (en) 2018-11-20
CN103078752A (zh) 2013-05-01
WO2014101758A1 (zh) 2014-07-03
EP2800333A4 (en) 2015-03-11
US20190044962A1 (en) 2019-02-07

Similar Documents

Publication Publication Date Title
CN103078752B (zh) 一种检测邮件攻击的方法、装置及设备
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
Basat et al. Memento: Making sliding windows efficient for heavy hitters
Androulidakis et al. Improving network anomaly detection via selective flow-based sampling
CN106534068B (zh) 一种ddos防御系统中清洗伪造源ip的方法和装置
JP5673805B2 (ja) ネットワーク装置、通信システム、異常トラヒックの検出方法およびプログラム
EP3469510A1 (en) Detecting volumetric attacks
JP2005348416A (ja) フロー単位のトラフィック推定
US7478168B2 (en) Device, method and program for band control
JP2007179131A (ja) イベント検出システム、管理端末及びプログラムと、イベント検出方法
CN108512816B (zh) 一种流量劫持的检测方法及装置
Özer et al. Detection of DDoS attack via deep packet analysis in real time systems
Zulfikri et al. Design and analysis of trash monitoring system prototype based on internet of things (iot) using mqtt protocol
KR20110067871A (ko) Ip 망에서 oam 패킷을 이용한 트래픽 감시 및 제어를 위한 네트워크 액세스 장치 및 방법
JP6740264B2 (ja) 監視システム、監視方法及び監視プログラム
Schatzmann et al. Inferring spammers in the network core
CN108650237B (zh) 一种基于存活时间的报文安全检查方法及系统
Zamil et al. A behavior based algorithm to detect spam bots
CN114826741B (zh) 一种攻击监测系统及攻击监测方法
Moon et al. A Multi-resolution Port Scan Detection Technique for High-speed Networks.
Zhou Measuring available bandwidth for smart cyber-physical applications
Shaikh et al. Review over anomaly detection algorithms for detecting SYN flooding attacks
Ahuja et al. Identification of DDoS Attack on IoT Network Using SDN
Zhou et al. Limiting Self-Propagating Malware Based on Connection Failure Behavior through Hyper-Compact Estimators
JP2009284529A (ja) 帯域制御装置、帯域制御方法及び帯域制御プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant