鱼叉式钓鱼邮件的检测方法及装置
技术领域
本发明涉及信息安全检测领域,尤其涉及一种鱼叉式钓鱼邮件的检测方法及装置。
背景技术
随着计算机网络的发展,互联网已经在人们的日常生活中扮演了一个越来越重要的角色。而因为网络操作系统和网络应用程序存在的各种各样的缺陷,互联网的安全问题也越来越严重。安全的本质是持续对抗,近几年来随着防御技术的不断提高,攻击技术与方法也在不断的变换,从传统的基于对目标网络的直接漏洞攻击转向间接对使用电脑人员漏洞的社会工程学攻击,利用人自身的意识缺陷攻击目标用户的个人电脑、手机等设备,执行攻击者定制开发的恶意代码,实现进入和驻留目标。
由于电子邮件在人们日常工作交流中的高使用率,社会工程学攻击将鱼叉式钓鱼邮件攻击选定为最常用攻击手段。攻击者通过对攻击目标信息的大量收集,采用盗用目标用户好友邮箱,或仿冒知名网站通知邮箱的方式,精心编辑符合收件人兴趣爱好的邮件内容,诱使用户点击邮件中的钓鱼链接或下载恶意附件,达到入侵目标主机的目的。由于鱼叉式钓鱼邮件攻击成功几率高,不易被传统的入侵检测和防御系统发现,鱼叉式钓鱼邮件攻击已成为攻击者的首选方法,给广大网民的日常网络生活带来巨大的危害。
如今已有的一些针对钓鱼邮件的检测方法,主要有以下几种:
1.基于发件人黑白名单过滤检测机制:设置明确的黑白名单,只接受白名单内信任账户发送的邮件。
2.基于邮件中是否存在IP地址型网页链接:若邮件中存在IP地址型网页链接,则认为有诱导用户访问非知名网站的嫌疑,因为大多数知名网站都采用域名方式访问。
3.基于邮件正文中链接特征分析:通过链接中是否存在“”“-”等特殊字符,或链接中域名,域名分隔符(.)、URL路径字段分隔符(/)的个数是否合理等判定邮件是否为钓鱼邮件。
4.基于邮件正文显式域名和隐式域名是否匹配:通过判断邮件中显示的链接域名和HTML页面中真实的链接域名是否匹配,不匹配则认为有诱导用户访问恶意网站的嫌疑。
5.基于邮件正文链接域名注册时间是否低于设置阈值:通过采用whois方式查询域名的注册时间和邮件发送时间的时间间隔是否低于设定阈值,认为时间间隔低于设定阈值的邮件可能为钓鱼邮件。
6.基于邮件正文链接域名与知名网站域名的相似度:通过判定邮件正文链接域名与知名网站域名不相等的情况下,相似度越高为仿冒欺骗域名的可能性越大。
现有对钓鱼邮件检测方式除了黑白名单机制,大都是基于邮件正文链接域名检测的方式,普遍适用于传统钓鱼邮件广撒网式邮件投递,鱼叉式钓鱼邮件攻击由于事先对攻击目标的大量信息收集,有针对性的选取目标,大多采用盗用攻击目标信任关系账户,或采用精心设计的假冒知名网站通知,新闻类邮件内容方式发送邮件,有效的绕过了邮箱黑白名单检测方式。而针对钓鱼邮件中链接域名检测的方法也存在一定的局限性,如攻击者采用攻陷第三方服务器(水坑攻击)的方式,在合法域名网站挂马的方式诱使用户点击被篡改了内容的合法网站,现有针对钓鱼邮件中链接域名检测的方法则无法及时检测到。
发明内容
本发明实施例的目的是提供一种鱼叉式钓鱼邮件的检测方法及装置,能准确的分析判定邮件为正常邮件还是鱼叉式钓鱼邮件攻击。
本发明实施例提供了一种鱼叉式钓鱼邮件的检测方法,包括步骤:
获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;
根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是
否为收件人的常用信任联系人;
若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;
若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
作为上述方案的改进,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。
作为上述方案的改进,基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件具体为:
基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。
作为上述方案的改进,在计算所述风险分数值时,基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的排列顺序依次对所述多个相似度值分配权重值为15%、20%、15%、20%、10%、20%。
作为上述方案的改进,通过以下方式将与所述当前邮件的视觉相似度达到阈值的知名权威网站的邮件与所述当前邮件进行对比分析以判定所述当前邮件是否为鱼叉式钓鱼邮件:
若所述当前邮件中只有IP地址、域名或链接中的一个时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件;
若所述当前邮件中同时含有IP地址、域名或链接中的两个或三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,所述IP地址、域名、链接分配的权值依次为30%、40%、30%。
本发明实施例对应公开了一种鱼叉式钓鱼邮件的检测装置,包括:
接收模块,用于获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;
判断模块,用于根据获取到的所述当前邮件信息中的发件人信息,判断所述当前
邮件的发件人是否为收件人的常用信任联系人;
基于信任源的行为分析模块,用于在所述判断模块判断为是的情况下,基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;
基于通知资讯类的视觉效果分析模块,用于在所述判断模块判断为否的情况下,在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
作为上述方案的改进,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。
作为上述方案的改进,所述基于信任源的行为分析模块进一步配置为:基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。
作为上述方案的改进,所述基于信任源的行为分析模块在计算所述风险分数值时,基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的排列顺序依次对所述多个相似度值分配权重值为15%、20%、15%、20%、10%、20%。
作为上述方案的改进,所述基于通知资讯类的视觉效果分析模块进一步被配置为:
若所述当前邮件中只有IP地址、域名或链接时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件;
若所述当前邮件中同时含有IP地址、域名或链接中的两个或三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,对所述IP地址、域名、链接分配的权值依次为30%、40%、30%。
与现有技术相比,本发明公开的鱼叉式钓鱼邮件的检测方法及装置具有如下有益效果:
(1)鱼叉式钓鱼邮件攻击检测不依赖黑白名单。本发明的鱼叉式钓鱼邮件检测方法及装置不依赖于黑白名单机制,黑白名单的机制被广泛的应用,一部分原因是因为它的“简单粗暴”,通过明确的允许和不允许限制用户的访问实现的『安全性』效果往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。本发明的鱼叉式钓鱼邮件检测方法及装置不是基于已有黑白名单限制访问,而是通过系统分析动态判定邮件为正常邮件还是鱼叉式钓鱼邮件攻击。
(2)本发明的鱼叉式钓鱼邮件检测方法及装置可发现传统钓鱼邮件升级的鱼叉式钓鱼邮件攻击。本发明实施例不仅仅依赖于对邮件内存在的链接域名进行分析,而是综合已有历史记录、权威结构模式、视觉特征数据库多个方面对鱼叉式钓鱼攻击的两大典型特征进行针对性检测,能够准确的检测鱼叉式钓鱼邮件攻击。
附图说明
图1是本发明实施例中一种鱼叉式钓鱼邮件的检测方法的流程示意图。
图2是本发明实施例中一种鱼叉式钓鱼邮件的检测装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,是本发明实施例提供的一种鱼叉式钓鱼邮件的检测方法的流程示意图。该鱼叉式钓鱼邮件的检测方法包括步骤:
S101、获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;
具体的,可以通过以下方式来获取当前邮件信息:通过在目标监测网络,例如,邮件服务器、邮件网关、被保护网络内部交换机端口镜像等可以接收到被保护网络所有收发邮件的合适位置上部署嗅探(sinffer)等方式,抓取网络中邮件数据流量,然后根据邮件的编码类型正确解码邮件信息,还原出整个邮件的内容,以获取邮件信息。
S102、根据获取到的所述当前邮件信息中的发件人信息,判断所述当前邮件的发件人是否为收件人的常用信任联系人;
S103、若判断为是,则基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;
具体的,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。
基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。
在计算所述风险分数值时,基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的排列顺序依次对所述多个相似度值分配权重值为15%、20%、15%、20%、10%、20%。
S104、若判断为否,则在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
具体的,若所述当前邮件中只有IP地址、域名或链接中的一个时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件;
若所述当前邮件中同时含有IP地址、域名或链接中的两个或三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,所述IP地址、域名、链接分配的权值依次为30%、40%、30%。
下面,通过具体实施例详细介绍本实施例的鱼叉式钓鱼邮件的检测方法的实现过程:
具体实施时,首先通过在目标监测网络,例如,邮件服务器、邮件网关、被保护网络内部交换机端口镜像等可以接收到被保护网络所有收发邮件的合适位置上部署嗅探(sinffer)等方式,抓取网络中当前邮件数据流量,然后根据当前邮件的编码类型正确解码邮件信息。根据当前邮件的收件人信息,判定发件人是否为收件人的常用信任联系人,若是收件人的常用信任联系人,则进入基于信任源的行为分析(即基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析);若否,则进入通知咨询类的视觉效果分析(即将与所述当前邮件的视觉相似度达到阈值的知名权威网站的邮件以及所述当前邮件,分别提取邮件中的IP地址、域名和链接中的至少一个进行对比分析),对邮件是否为鱼叉式钓鱼邮件攻击进行判定,最后将判定结果呈现出来。优选的,若当前邮件的发件人与收件人至少有过一次历史通信邮件的,则认为当前邮件的发件人为“常用信任联系人”。
在基于信任源的行为分析中,主要通过对常用信任联系人与收件人的历史通信邮件进行分析,提取出主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构6个方面多个维度的特征信息,6个方面所占权重分别为:15%、20%、15%、20%、10%、20%,通过本次通信与以往历史通信6个方面多个维度的通信特征对比,得出本次通信为鱼叉式钓鱼邮件攻击的风险分数值(百分制),风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。例如,本次通信最终分数在[0,30]区间内可判定为正常邮件通信,分数在[30,60]区间内可判定为疑似鱼叉式钓鱼邮件攻击,分数在[60,100]区间内可判定为鱼叉式钓鱼邮件攻击。具体的:
主题内容的特征值通常有工作,学习,娱乐等方面,进一步还可以将学习分为计算机、金融、法律等各个学科。通常由于通讯双方人物关系的确定性,其邮件主题内容也有明确的确定性,例如计算机专业的学生与其老师之间的通信主题确定为计算机知识,若突然出现一封主题为热点时事的邮件,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大,计入相应的风险分值15分(相当于相似度值为0;可以理解的,风险分值与相似度值成反比,相似度值越大,风险分值越小,下同);
惯用语言符号分析是基于历史邮件中信任发件人的惯用口头语、惯用标点符号、邮件内容的字符编码变化、字体变化、语种变化、俚语比例、排版变化等等判定该邮件是否为信任发件人本人发出,因为一个人的说话习惯,写作方式就像人的指纹一样是独一无二,比如某信任联系人通常有在邮件末尾加上特定祝福语言,像祝好等,突然本次通信就没有祝福语或祝福语为其他词汇,则我们可能怀疑常用信任联系人是否被冒用。又或者常用信任联系人在以往的历史邮件中通常使用较为夸张的标点,像“!”等,这封邮件突然变得正式有礼,无任何夸张符号;平常通信都使用汉语通信,突然这次通信使用了英语等等,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大,综合以上多个维度的对比结果,计入相应的风险分值[0,20]分;
惯用通信时间是指根据对常用信任联系人与收件人历史通信记录,划分其正常通信时间,例如学生与老师的通信大多集中在上午9点到11点之间,突然出现一封晚上8、9点的邮件,则可判定该邮件可能为鱼叉式钓鱼邮件攻击,计入相应的风险分值15分;
惯用发信模式分析是基于历史邮件中信任发件人惯常习惯群发还是单独发送;习惯使用第三方托管邮箱帐号发信,还是直接使用邮箱帐号发信。例如公司的老板很少直接给下属单独发邮件,通常群发较多,一旦某一天突然收到老板单独发送的邮件,则该邮件可能为鱼叉式钓鱼邮件攻击;又或者张三习惯使用第三方托管邮箱帐号发信,突然直接使用被托管帐号发信,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大,综合以上多个维度的对比结果,计入相应的风险分值[0,20]分;
惯用接收人地址集合分析,进一步将邮件收信人细分为:收件人to、抄送cc和密送bcc,to、cc、bcc使用的场景是有一定规律技巧的,一旦发件人打破了历史已建立的to、cc、bcc发送规律,比如经常出现在cc位置的收信人突然变成了to或bcc;平常总是一起出现的cc收信人A、B、C突然减少到只有A,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大,计入相应的风险分值10分;
惯用邮件结构分析是指根据对常用信任联系人与收件人历史通信记录,建立常用通信模板,比如常用信纸、常用称呼、常用开头、常用结尾、常用联系方式标注,邮件段落数,常用附件类型等等特征,例如:A和B都是计算机小白,相互之间发送附件只有.doc和.docx,偶发出现的pdf附件、rar附件等,邮件附件类型突变就很可疑;用已形成的常用信任联系人常用邮件模板匹配本次邮件,若匹配相似度较低,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大,综合以上多个维度的对比结果,计入相应的风险分值[0,20]分。
在基于通知资讯类的视觉效果分析中,通知资讯(新闻)类邮件通常是由合法正常发件人发送的,攻击者假冒或盗用合法正常发件人,发送的假冒通知新闻类邮件,这些邮件与正常的合法正常发件人发送的邮件存在视觉相似性,在视觉上欺骗用户使得用户相信邮件的来源。但是各大合法正常的网站发送的通知类信息在一段时间周期之内都有固定视觉格式模版,比如密码找回通知、软件更新通知、论文接收通知等,每个知名网站都存在一套自己独有的通知格式体系,在不同时间的通知邮件中,只有指定几个特征字段是规律变化的,其他的绝大部分邮件内容格式是不发生改变的。新闻、会议资讯也是一样的,每次更新推送只是特定标签内容字段发生改变,其结构模式,视觉特征都不会发生改变,所以可以通过维护各大知名权威网站的邮件通知内容模版,新闻、会议、订阅等邮件的结构模式和视觉特征的数据库,对视觉相似度匹配知名权威网站的匹配度达到一定阈值(例如,80%)以上的此类邮件进行IP地址、域名和链接提取分析,如其邮件中含有IP地址,则判定该IP地址是否在邮件所属公司的IP地址域内,若该IP地址不在邮件所属公司的IP地址域内,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大;若邮件中含有域名信息,则对域名信息进行提取,采用whois方式查询域名的注册信息,通过判定注册信息是否真实全面,注册公司是否与邮件发送公司相符,若不相符,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大;若邮件中存在链接,则通过提取链接,去除可变长度关键字,剩余链接长度与各大合法正常的网站发送的通知类信息中的模板链接长度进行比较,若长度不同,则认为该邮件为鱼叉式钓鱼邮件攻击的可能性较大;对IP地址、域名、链接的判断依据具体邮件情况可单独判定也可组合判定,若邮件同时含有IP地址,域名、链接中的两个或三个,则可为每项指标分配一定的权值综合判定,例如:IP地址占30%,域名占40%、链接占30%。基于分配后的权值计算出当前邮件为鱼叉式钓鱼邮件攻击的风险分数值(百分制),风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。例如,本次通信最终分数在[0,30]区间内可判定为正常邮件通信,分数在[30,60]区间内可判定为疑似鱼叉式钓鱼邮件攻击,分数在[60,100]区间内可判定为鱼叉式钓鱼邮件攻击。
参考图2,为本发明实施例的一种鱼叉式钓鱼邮件的检测装置的结构示意图。如图所示,该装置包括:
接收模块201,用于获取网络中邮件数据流量,并根据获取到的邮件的编码类型还原邮件的内容,以获取当前邮件信息;
判断模块202,用于根据获取到的所述当前邮件信息中的发件人信息,判断
所述当前邮件的发件人是否为收件人的常用信任联系人;
基于信任源的行为分析模块203,用于在所述判断模块判断为是的情况下,基于多个维度的通信特征将所述当前邮件与该发件人发送给收件人的历史通信邮件进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件;
其中,所述多个维度的通信特征包括主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合和惯用邮件结构。所述基于信任源的行为分析模块具体基于所述多个维度的通信特征分别对应得到所述当前邮件与该发件人发送给收件人的历史通信邮件的多个相似度值,并基于所述多个相似度值计算出所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大。
另外,所述基于信任源的行为分析模块在计算所述风险分数值时,基于主题内容、惯用语言符号、惯用通信时间、惯用发信模式、惯用接收人地址集合、惯用邮件结构的排列顺序依次对所述多个相似度值分配权重值为15%、20%、15%、20%、10%、20%。
基于通知资讯类的视觉效果分析模块204,用于在所述判断模块判断为否的情况下,在所述当前邮件与知名权威网站的邮件的视觉相似度达到阈值时,提取当前邮件中的IP地址、域名和链接中的至少一个进行对比分析,从而判定所述当前邮件是否为鱼叉式钓鱼邮件。
具体的,若所述当前邮件中只有IP地址、域名或链接中的一个时,则对其包含的IP地址、域名或链接进行深入的关联分析,关联分析无误的才判定为非鱼叉式钓鱼邮件,否则判定为鱼叉式钓鱼邮件;
若所述当前邮件中同时含有IP地址、域名或链接中的两个或三个指标时,则为每项指标分配一定的权值来计算所述当前邮件为鱼叉式钓鱼邮件攻击的风险分数值,风险分数值越大,所述当前邮件为鱼叉式钓鱼邮件攻击的可能性越大;其中,对所述IP地址、域名、链接分配的权值依次为30%、40%、30%。
本实施例的鱼叉式钓鱼邮件的检测装置的工作过程可参考上述实施例,在此不再赘述。
综上所述,本发明公开的鱼叉式钓鱼邮件的检测方法及装置具有如下有益效果:
(1)鱼叉式钓鱼邮件攻击检测不依赖黑白名单。本发明的鱼叉式钓鱼邮件检测方法及装置不依赖于黑白名单机制,黑白名单的机制被广泛的应用,一部分原因是因为它的“简单粗暴”,通过明确的允许和不允许限制用户的访问实现的“安全性”效果往往伴随着大量误报和漏报状况,不同用户环境、业务需求场景下适应性极差。本发明的鱼叉式钓鱼邮件检测方法及装置不是基于已有黑白名单限制访问,而是通过系统分析动态判定邮件为正常邮件还是鱼叉式钓鱼邮件攻击。
(2)本发明的鱼叉式钓鱼邮件检测方法及装置可发现传统钓鱼邮件升级的鱼叉式钓鱼邮件攻击。本发明实施例不仅仅依赖于对邮件内存在的链接域名进行分析,而是综合已有历史记录、权威结构模式、视觉特征数据库多个方面对鱼叉式钓鱼攻击的两大典型特征进行针对性检测,能够准确的检测鱼叉式钓鱼邮件攻击。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。