CN107743087B - 一种邮件攻击的检测方法及系统 - Google Patents
一种邮件攻击的检测方法及系统 Download PDFInfo
- Publication number
- CN107743087B CN107743087B CN201610958035.5A CN201610958035A CN107743087B CN 107743087 B CN107743087 B CN 107743087B CN 201610958035 A CN201610958035 A CN 201610958035A CN 107743087 B CN107743087 B CN 107743087B
- Authority
- CN
- China
- Prior art keywords
- information
- detected
- range
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Abstract
本发明实施例公开了邮件攻击的检测方法及系统,应用于信息处理技术领域。在本实施例的方法中,邮件攻击的检测系统会根据待检测用户的客户端接收的外部邮件的待检测特征信息,与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。这样在确定客户端是否被恶意邮件攻击的过程中采用模糊匹配法,即将待检测特征信息与一个基准特征范围进行匹配,即使恶意邮件被修改了某些特征,只要与基准特征范围的偏差较大,都确定为被恶意邮件攻击的客户端,使得对检测过程的影响不是很大,相比现有技术中精确匹配(比如关键字匹配等)的方法,提高了对恶意邮件检测的机率。
Description
技术领域
本发明涉及信息处理技术领域,特别涉及一种邮件攻击的检测方法及系统。
背景技术
随着信息泄漏的逐步加剧,互联网上泄露了各大公司的邮箱系统的数据,导致各大公司的邮件系统被钓鱼邮件恶意入侵的事件频发,尤其是随着成束(locky)敲诈病毒的流行,各个公司的邮件系统收到此类敲诈的钓鱼邮件越来越多。
现有技术中,一般通过邮件检测系统拦截恶意的邮件,具体地,邮件检测系统采取基于关键字、信任网络协议(Internet Protocol,IP)、频率等方案拦截恶意的邮件,但因黑客频繁更换邮件主题、附件、发件人、发件ip等,造成无法识别此类批量钓鱼邮件的攻击,从而无法及时通知用户,造成部分未被邮件检测系统拦截的恶意邮件被客户端接收到进而触发病毒。
发明内容
本发明实施例提供一种邮件攻击的检测方法及系统,实现了根据待检测特征信息与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。
本发明实施例提供一种邮件攻击的检测方法,包括:
获取邮件系统接收的正常行为邮件的基准特征范围;
获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;
将所述待检测特征信息与基准特征范围进行比较得到偏差信息;
如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。
本发明实施例还提供一种邮件攻击的检测系统,包括:
基准获取单元,用于获取邮件系统接收的正常行为邮件的基准特征范围;
待检测获取单元,用于获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;
比较单元,用于将所述待检测特征信息与基准特征范围进行比较得到偏差信息;
第一确定单元,用于如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。
可见,在本实施例的方法中,邮件攻击的检测系统会根据待检测用户的客户端接收的外部邮件的待检测特征信息,与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。这样在确定客户端是否被恶意邮件攻击的过程中采用模糊匹配法,即将待检测特征信息与一个基准特征范围进行匹配,即使恶意邮件被修改了某些特征,只要与基准特征范围的偏差较大,都确定为被恶意邮件攻击的客户端,使得对检测过程的影响不是很大,相比现有技术中精确匹配(比如关键字匹配等)的方法,提高了对恶意邮件检测的机率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种邮件攻击的检测方法的流程图;
图2是本发明实施例提供的另一种邮件攻击的检测方法的流程图;
图3是本发明应用实施例的方法应用于的系统架构的示意图;
图4是本发明应用实施例提供的另一种邮件攻击的检测方法的流程图;
图5是本发明实施例提供的一种邮件攻击的检测系统的结构示意图;
图6是本发明实施例提供的另一种邮件攻击的检测系统的结构示意图;
图7是本发明实施例中提供的一种服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排它的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
本发明实施例提供一种邮件攻击的检测方法,主要是由邮件攻击的检测系统所执行的方法,流程图如图1所示,包括:
步骤101,获取邮件系统接收的正常行为邮件的基准特征范围,基准特征范围是指至少一个维度特征分别对应的范围,其中至少一个维度特征可以包括如下信息中的一种或多种:邮件数量,来源邮件系统标识,接收时间,主题和网络来源地址比如IP地址等。
可以理解,该基准特征范围可以是对邮件系统一段时间内(比如一年或半年)接收的正常行为邮件的信息进行统计得到的预置时间段内(比如一天)的基准特征范围,并事先储存在邮件攻击的检测系统中,且该基准特征范围可以不断地根据邮件系统接收新的正常行为邮件的信息而不断地更新。当邮件攻击的检测系统针对任一邮件系统,周期性地发起本实施例的流程时,可以从邮件攻击的检测系统中直接读取到预先储存的基准特征范围。
具体地,在统计该基准特征范围时,邮件攻击的检测系统可以先获取邮件系统的邮件流水日志,然后剔除邮件流水日志中恶意邮件的日志得到剔除后的邮件流水日志,这样剔除后的邮件流水日志中就只包括正常行为邮件的信息,最后统计剔除后的邮件流水日志中多个上述正常行为邮件(即邮件系统接收的邮件)的至少一个维度特征的信息得到该基准特征范围。
步骤102,获取邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息,在待检测特征信息中包括上述至少一个维度特征分别对应的参数值。
需要说明的是,本步骤102中获取的待检测特征信息是针对客户端在预置时间段内接收的外部邮件的信息得到,与上述步骤101中获取的基准特征范围对应的时间段相同,比如都为一天内。
步骤103,将待检测特征信息与基准特征范围进行比较得到偏差信息,具体地,这里的偏差信息可以包括待检测特征信息中至少一个维度特征的参数值分别与基准特征范围中相应维度特征的范围的偏差。
可以理解,待检测特征信息与基准特征范围的偏差越大,说明客户端被恶意邮件攻击的可能越大。
步骤104,根据步骤103得到的偏差信息判断待检测特征信息与基准特征范围的偏差是否大于预置偏差,如果大于,则执行步骤105,如果不大于,则执行步骤106。
具体地,邮件攻击的检测系统在根据偏差信息进行本步骤的判断时,可以先根据偏差信息确定待检测特征信息的整体分值,如果得到的整体分值超出预置的分值范围,则说明待检测特征信息与基准特征范围的偏差大于预置偏差。其中,可以设定待检测特征信息与基准特征范围的偏差越大,则确定的整体分值越大或越小。
如果维度特征有多个,则在确定整体分值时,在一种情况下,可以先根据待检测特征信息中多个维度特征的参数值分别与基准特征范围中相应维度特征的范围的偏差,分别确定多个维度特征中每个维度特征对应的分值,然后将多个维度特征分别对应的分值相加后即可得到整体分值。其中,如果某个维度特征的参数值在基准特征范围中相应维度特征的范围内,则说明没有偏差,可以确定该某个维度特征对应的分值为零。
在另一种情况下,在确定待检测特征信息的整体分值时,可以分别设定多个维度特征的权重值,将参数值与基准特征范围中的范围相比具有偏差的维度特征的权重值的相加值作为整体分值。其中某个维度特征的权重值可以是用户输入到邮件攻击的检测系统中的,且由用户根据实际经验得到。
步骤105,确定待检测用户的客户端被恶意邮件攻击。
步骤106,确定待检测用户的客户端未被恶意邮件攻击。
可见,在本实施例的方法中,邮件攻击的检测系统会根据待检测用户的客户端接收的外部邮件的待检测特征信息,与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。这样在确定客户端是否被恶意邮件攻击的过程中采用模糊匹配法,即将待检测特征信息与一个基准特征范围进行匹配,即使恶意邮件被修改了某些特征,只要与基准特征范围的偏差较大,都确定为被恶意邮件攻击的客户端,使得对检测过程的影响不是很大,相比现有技术中精确匹配(比如关键字匹配等)的方法,提高了对恶意邮件检测的机率。
可以理解,上述步骤102到106中的方法是针对一个用户的客户端,检测该客户端是否被恶意邮件攻击的方法,如果需要检测整个邮件系统是否被恶意邮件进行批量攻击,则可以通过如下步骤来实现,具体参考图2所示,包括:
步骤201,针对邮件系统的所有用户中每个用户的客户端,执行上述步骤102到104,即获取待检测特征信息,比较和确定的步骤,得到所有用户中每个用户的客户端是否被恶意邮件攻击的信息。
具体地,当每次针对一个用户的客户端执行了上述步骤102到104后,得到该用户的客户端是否被恶意邮件攻击的信息后,邮件攻击的检测系统可以判断邮件系统中所有用户的客户端是否都检测完,如果是,则执行如下步骤202;如果没有检测完,则针对另一用户的客户端,返回执行上述步骤102。
步骤202,如果被恶意邮件攻击的第一用户的客户端占所有用户的客户端的比例大于预置的比例,确定邮件系统被恶意邮件攻击。
步骤203,发送用户提醒信息,所述用户提醒信息用于指示该邮件系统被恶意邮件攻击,比如通过短信或即时通信客户端或邮件等方式发送给用户提醒信息,防止用户通过客户端主动触发恶意邮件中携带的病毒。
需要说明的是,邮件攻击的检测系统会根据邮件的用户标识来识别某一用户的客户端,比如某一邮箱号******@163.com为网易邮件系统中的某一用户的用户标识,用户可以通过客户端并使用该邮箱号登录网易邮件系统,则该客户端为该用户的客户端。
以下以一个具体的实施例来说明本发明中邮件攻击的检测方法,在本实施例中,本实施例的方法所应用的系统架构如图3所示,包括:从外到内的邮件系统,恶意邮件检测系统,日志记录系统,用户画像分析系统,行为偏移分析系统及提醒系统。其中,日志记录系统,用户画像分析系统,行为偏移分析系统及提醒系统可以包括在上述实施例中所述的邮件攻击的检测系统中,从外到内的邮件系统可以包括在上述实施例的邮件系统中;且本实施例的系统架构中所包括的各个系统可以部署在各个独立的物理设备中,也可以以任意组合的形式部署在一个或多个物理设备中,具体地:
从外到内的邮件系统,用于处理邮件系统接收的外部邮件;
恶意邮件检测系统,用于检测外部邮件是否是恶意邮件,具体地,可以基于关键字、来源ip、频率等特征进行识别;
日志记录系统,用于记录从外到内的邮件系统处理邮件的邮件流水日志,比如来源邮件系统标识、目的邮件系统标识、接收时间、来源ip、主题、大小等;
用户画像分析系统,用于分析日志记录系统记录的邮件流水日志,得到外部邮件中正常行为邮件的基准特征范围,主要可以包括多个维度特征的范围,比如邮件数量范围、来源邮件系统的范围、主题范围、接收时间范围等维度特征的范围;
行为偏移分析系统,用于根据用户画像分析系统分析的基准特征范围,及日志记录系统记录的邮件流水日志,分析邮件系统中各个用户的客户端是否被恶意邮件攻击;
提醒系统,用于根据行为偏移分析系统和恶意邮件检测系统的分析,邮件系统中用户的客户端发送提醒信息。
参考图4所示,本实施例的邮件攻击的检测方法可以通过如下步骤来实现:
步骤301,从外到内的邮件系统接收外部邮件并处理外部邮件,且从外到内的邮件系统会将外部邮件传送给恶意邮件检测系统,这样恶意邮件检测系统针对外部邮件基于关键字、来源ip或频率等方法检测该外部邮件是否是恶意邮件,并记录检测结果。
步骤302,从外到内的邮件系统和恶意邮件检测系统分别将邮件流水日志和检测结果传送给日志记录系统进行储存。
步骤303,日志记录系统根据恶意邮件检测系统的检测结果,对邮件流水日志中的恶意邮件打标识,比如打“黑(black)”的标识,且日志记录系统将邮件流水日志中打标识的邮件的相关信息剔除,并将剔除后的邮件流水日志中传送给用户画像分析系统。这样剔除后的邮件流水日志中只包括正常行为邮件的具体信息。
步骤304,用户画像分析系统统计剔除后的邮件流水日志中各个外部邮件的多个维度特征的参数值,可以得到邮件系统中平均每个用户的客户端每天收到的外部邮件的多个维度特征分别对应的参数值。
具体地,对于邮件数量这个维度特征来说,用户画像分析系统可以根据剔除后的邮件流水日志,统计在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量,并将这段时间内每个工作日每个用户的客户端接收的外部邮件的数量的平均值作为邮件数量这个维度特征范围的最大值。或者,根据剔除后的邮件流水日志,先在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量中选取一个最大值,将该选取的最大值作为邮件数量这个维度特征范围的最大值。
对于来源邮件系统标识,接收时间,主题,来源ip这些维度特征中任一维度特征来说,用户画像分析系统可以根据剔除后的邮件流水日志,统计一段时间内每个用户的客户端在每个工作日接收的外部邮件中,某一维度特征下各个参数值对应的外部邮件的占比,如果具有某一参数值的外部邮件的占比大于预置值,则将该参数值作为对应维度特征的范围。比如对于来源邮件系统标识这个维度特征,如果A@qq.com这个参数值的外部邮件的占比为95%,大于预置值(比如50%),则将该A@qq.com这个参数值包括在来源邮件系统标识这个维度特征的范围内。
步骤305,用户画像分析系统分析得到正常行为邮件的基准特征范围,具体可以如下表1所示,包括邮件数据,来源邮件系统标识,接收时间,主题和来源IP地址这些维度特征的范围。用户画像分析系统将基准特征范围传送给行为偏移分析系统。
表1
步骤306,行为偏移分析系统实时地分析邮件系统中各个用户的客户端是否被恶意邮件攻击。
具体地,针对任一用户的客户端,行为偏移分析系统先根据日志记录系统实时储存的待检测用户的客户端在某个工作日接收的外部邮件的待检测特征信息,具体可以包括多个维度特征的参数值,具体可以如下表2所示,包括邮件数据,来源邮件系统标识,接收时间,主题和来源IP地址这些维度特征的参数值。
表2
然后行为偏移分析系统根据待检测特征信息中多个维度特征的参数值,与基准特征范围中相应维度特征的范围的偏差,确定待检测特征信息的整体分值,本实施例中将权重值作为整体分值。具体地,偏移分析系统可以设定各个维度特征的权重值,然后将参数值与基准特征范围中的范围相比具有偏差的维度特征对应的权重值相加后得到的相加值作为待检测特征信息的整体分值,比如50%(与基准特征范围中邮件数量的范围具有偏差)+15%(与基准特征范围中来源邮件系统标识的范围具有偏差)+10%(与基准特征范围中主题的范围具有偏差)=75%。
如果该整体分值超出预置的分值范围,比如大于70%,则确定待检测用户的客户端被恶意邮件攻击。
步骤307,行为偏移分析系统计算邮件系统中被恶意邮件攻击的用户的客户端的数量(比如3000)与所有用户的客户端的数量(比如15000)的比值,即3000/15000=20%,该比值大于预置比值比如12%,则确定邮件系统被恶意邮件攻击。通知提醒系统该邮件系统被恶意邮件攻击。
步骤308,提醒系统会向邮件系统中用户的客户端发送用户提醒信息。具体地,可以只向未被恶意邮件攻击的用户的客户端发送用户提醒信息。
进一步地,上述恶意邮件检测系统在确定某一个外部邮件为恶意邮件时,也可以通知提醒系统,该提醒系统可以向接收该外部邮件的用户的客户端发送另一类的用户提醒信息,以提醒该用户的客户端该外部邮件为恶意邮件。
需要说明的是,上述提到的某一个用户的客户端是指从外到内的邮件系统内包括的某一客户端,比如e@sohu.com可以对应一个用户的客户端。
且上述步骤303到305的步骤可以是周期性地触发的离线操作,可以由日志记录系统和用户画像分析系统根据历史数据不断地更新基准特征范围;而步骤306到308是实时地触发的在线操作,由行为偏移分析系统实时地对邮件系统内的用户的客户端接收的外部邮件进行分析。
本发明实施例还提供一种邮件攻击的检测系统,其结构示意图如图5所示,具体可以包括:
基准获取单元10,用于获取邮件系统接收的正常行为邮件的基准特征范围;所述基准特征范围包括至少一个维度特征的范围。
所述基准获取单元10,具体用于获取所述邮件系统的邮件流水日志;剔除所述邮件流水日志中恶意邮件的日志得到剔除后的邮件流水日志;统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围。
进一步地,一种情况下,所述基准获取单元10,具体用于如果所述至少一个维度特征包括邮件数量,根据所述剔除后的邮件流水日志,统计在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量,将所述一段时间内每个工作日每个用户的客户端接收的外部邮件的数量的平均值作为所述维度特征的最大值;或者,根据所述剔除后的邮件流水日志,在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量中选取一个最大值,将所述选取的最大值作为所述维度特征的最大值。
另一种情况下,所述基准获取单元10,具体用于如果所述至少一个维度特征包括来源邮件系统标识,接收时间,主题和网络来源地址中任一维度特征,根据所述剔除后的邮件流水日志,统计一段时间内每个用户的客户端在每个工作日接收的外部邮件中,某一维度特征下各个参数值对应的外部邮件的占比,如果具有某一参数值的外部邮件的占比大于预置值,则将所述参数值作为对应维度特征的范围。
待检测获取单元11,用于获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;所述待检测特征信息包括所述至少一个维度特征的参数值。
比较单元12,用于将所述待检测获取单元11获取的待检测特征信息与基准获取单元10获取的基准特征范围进行比较得到偏差信息;所述偏差信息包括所述待检测特征信息中至少一个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差。
第一确定单元13,用于如果所述比较单元12得到的偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击。
在本实施例的系统中,第一确定单元13会根据待检测用户的客户端接收的外部邮件的待检测特征信息,与正常行为邮件的基准特征范围的偏差信息,确定待检测用户的客户端是否被恶意邮件攻击。这样在确定客户端是否被恶意邮件攻击的过程中采用模糊匹配法,即将待检测特征信息与一个基准特征范围进行匹配,即使恶意邮件被修改了某些特征,只要与基准特征范围的偏差较大,都确定为被恶意邮件攻击的客户端,使得对检测过程的影响不是很大,相比现有技术中精确匹配(比如关键字匹配等)的方法,提高了对恶意邮件检测的机率。
参考图6所示,在一个具体的实施例中,邮件攻击的检测系统除了包括如图5所示的结构外,还包括分值确定单元14,第二确定单元15和发送单元16,其中:
分值确定单元14,用于根据所述比较单元12得到的偏差信息确定所述待检测特征信息的整体分值;则如果所述整体分值超出预置的分值范围,第一确定单元13确定所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,进而确定所述待检测用户的客户端被恶意邮件攻击。
所述分值确定单元14,具体用于如果所述维度特征为多个,根据所述待检测特征信息中多个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差,分别确定所述多个维度特征中每个维度特征对应的分值,将所述多个维度特征分别对应的分值相加得到所述整体分值。或者所述分值确定单元14,用于分别设定所述多个维度特征的权重值,将参数值与基准特征范围中的范围相比具有偏差的维度特征的权重值的相加值作为所述整体分值。
第二确定单元15,用于如果第一确定单元13针对所述邮件系统的所有用户中每个用户的客户端,执行所述获取待检测特征信息,比较和确定的步骤,得到所述所有用户中每个用户的客户端是否被恶意邮件攻击的信息;如果被恶意邮件攻击的第一用户的客户端占所述所有用户的客户端的比例大于预置的比例,确定所述邮件系统被恶意邮件攻击。
发送单元16,用于在第二确定单元15确定邮件系统被恶意邮件攻击后,发送用户提醒信息,所述用户提醒信息用于指示所述邮件系统被恶意邮件攻击。
本发明实施例还提供一种服务器,其结构示意图如图7所示,该服务器可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上中央处理器(centralprocessing units,CPU)20(例如,一个或一个以上处理器)和存储器21,一个或一个以上存储应用程序221或数据222的存储介质22(例如一个或一个以上海量存储设备)。其中,存储器21和存储介质22可以是短暂存储或持久存储。存储在存储介质22的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对服务器中的一系列指令操作。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中的一系列指令操作。
具体地,在存储介质22中储存的应用程序221包括邮件攻击的检测的应用程序,且该程序可以包括上述邮件攻击的检测系统中的基准获取单元10,待检测获取单元11,比较单元12,第一确定单元13,分值确定单元14,第二确定单元15和发送单元16,在此不进行赘述。更进一步地,中央处理器20可以设置为与存储介质22通信,在服务器上执行存储介质22中储存的邮件攻击的检测的应用程序对应的一系列操作。
服务器还可以包括一个或一个以上电源23,一个或一个以上有线或无线网络接口24,一个或一个以上输入输出接口25,和/或,一个或一个以上操作系统223,例如WindowsServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
上述方法实施例中所述的由邮件攻击的检测系统所执行的步骤可以基于该图7所示的服务器的结构。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM)、随机存取存储器RAM)、磁盘或光盘等。
以上对本发明实施例所提供的邮件攻击的检测方法及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (14)
1.一种邮件攻击的检测方法,其特征在于,包括:
获取邮件系统接收的正常行为邮件的基准特征范围;
获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;
将所述待检测特征信息与基准特征范围进行比较得到偏差信息;
如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击;
针对所述邮件系统的所有用户中每个用户的客户端,执行所述获取待检测特征信息,比较和确定的步骤,得到所述所有用户中每个用户的客户端是否被恶意邮件攻击的信息;
如果被恶意邮件攻击的第一用户的客户端占所述所有用户的客户端的比例大于预置的比例,确定所述邮件系统被恶意邮件攻击;
所述获取邮件系统接收的正常行为邮件的基准特征范围,具体包括:
获取所述邮件系统的邮件流水日志;剔除所述邮件流水日志中恶意邮件的日志得到剔除后的邮件流水日志;统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围;
当所述至少一个维度特征包括来源邮件系统标识,接收时间,主题和网络来源地址中任一维度特征,则所述统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围,具体包括:
根据所述剔除后的邮件流水日志,统计一段时间内每个用户的客户端在每个工作日接收的外部邮件中,某一维度特征下各个参数值对应的外部邮件的占比,如果具有某一参数值的外部邮件的占比大于预置值,则将所述参数值作为对应维度特征的范围。
2.如权利要求1所述的方法,其特征在于,
所述基准特征范围包括至少一个维度特征的范围;
所述待检测特征信息包括所述至少一个维度特征的参数值;
所述偏差信息包括所述待检测特征信息中至少一个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差。
3.如权利要求1所述的方法,其特征在于,当所述至少一个维度特征包括邮件数量,则所述统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围,具体包括:
根据所述剔除后的邮件流水日志,统计在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量,将所述一段时间内每个工作日每个用户的客户端接收的外部邮件的数量的平均值作为所述维度特征的最大值;或者,
根据所述剔除后的邮件流水日志,在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量中选取一个最大值,将所述选取的最大值作为所述维度特征的最大值。
4.如权利要求2所述的方法,其特征在于,所述将所述待检测特征信息与基准特征范围进行比较得到偏差信息之后,所述方法还包括:
根据所述偏差信息确定所述待检测特征信息的整体分值;
如果所述整体分值超出预置的分值范围,确定所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差。
5.如权利要求4所述的方法,其特征在于,如果所述维度特征为多个,则根据所述偏差信息确定所述待检测特征信息的整体分值,具体包括:
根据所述待检测特征信息中多个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差,分别确定所述多个维度特征中每个维度特征对应的分值,将所述多个维度特征分别对应的分值相加得到所述整体分值;或,
分别设定所述多个维度特征的权重值,将参数值与基准特征范围中的范围相比具有偏差的维度特征的权重值的相加值作为所述整体分值。
6.如权利要求4所述的方法,其特征在于,所述方法还包括:
发送用户提醒信息,所述用户提醒信息用于指示所述邮件系统被恶意邮件攻击。
7.一种邮件攻击的检测系统,其特征在于,包括:
基准获取单元,用于获取邮件系统接收的正常行为邮件的基准特征范围;
待检测获取单元,用于获取所述邮件系统中待检测用户的客户端接收的外部邮件的待检测特征信息;
比较单元,用于将所述待检测特征信息与基准特征范围进行比较得到偏差信息;
第一确定单元,用于如果所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差,确定所述待检测用户的客户端被恶意邮件攻击;
还包括第二确定单元,其中:
所述第一确定单元,还用于针对所述邮件系统的所有用户中每个用户的客户端,执行所述获取待检测特征信息,比较和确定的步骤,得到所述所有用户中每个用户的客户端是否被恶意邮件攻击的信息;
第二确定单元,用于如果被恶意邮件攻击的第一用户的客户端占所述所有用户的客户端的比例大于预置的比例,确定所述邮件系统被恶意邮件攻击;
所述基准获取单元,具体用于获取所述邮件系统的邮件流水日志;剔除所述邮件流水日志中恶意邮件的日志得到剔除后的邮件流水日志;统计所述剔除后的邮件流水日志中多个所述正常行为邮件的至少一个维度特征的信息得到所述基准特征范围;
所述基准获取单元,具体用于如果所述至少一个维度特征包括来源邮件系统标识,接收时间,主题和网络来源地址中任一维度特征,根据所述剔除后的邮件流水日志,统计一段时间内每个用户的客户端在每个工作日接收的外部邮件中,某一维度特征下各个参数值对应的外部邮件的占比,如果具有某一参数值的外部邮件的占比大于预置值,则将所述参数值作为对应维度特征的范围。
8.如权利要求7所述的系统,其特征在于,
所述基准特征范围包括至少一个维度特征的范围;
所述待检测特征信息包括所述至少一个维度特征的参数值;
所述偏差信息包括所述待检测特征信息中至少一个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差。
9.如权利要求7所述的系统,其特征在于,
所述基准获取单元,具体用于如果所述至少一个维度特征包括邮件数量,根据所述剔除后的邮件流水日志,统计在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量,将所述一段时间内每个工作日每个用户的客户端接收的外部邮件的数量的平均值作为所述维度特征的最大值;或者,
根据所述剔除后的邮件流水日志,在一段时间内每个用户的客户端在每个工作日接收的外部邮件的数量中选取一个最大值,将所述选取的最大值作为所述维度特征的最大值。
10.如权利要求8所述的系统,其特征在于,所述系统还包括:
分值确定单元,用于根据所述偏差信息确定所述待检测特征信息的整体分值;
所述第一确定单元,具体用于如果所述整体分值超出预置的分值范围,确定所述偏差信息指示所述待检测特征信息与所述基准特征范围的偏差大于预置偏差。
11.如权利要求10所述的系统,其特征在于,
所述分值确定单元,具体用于如果所述维度特征为多个,根据所述待检测特征信息中多个维度特征的参数值分别与所述基准特征范围中相应维度特征的范围的偏差,分别确定所述多个维度特征中每个维度特征对应的分值,将所述多个维度特征分别对应的分值相加得到所述整体分值;
或,所述分值确定单元,具体用于分别设定所述多个维度特征的权重值,将参数值与基准特征范围中的范围相比具有偏差的维度特征的权重值的相加值作为所述整体分值。
12.如权利要求7至11任一项所述的系统,其特征在于,还包括:
发送单元,用于发送用户提醒信息,所述用户提醒信息用于指示所述邮件系统被恶意邮件攻击。
13.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质储存多条指令,所述指令适于由处理器加载并执行如权利要求1至6任一项所述的邮件攻击的检测方法。
14.一种服务器,其特征在于,包括处理器和存储器,所述处理器,用于实现各个指令;
所述存储器用于储存多条指令,所述指令用于由处理器加载并执行如权利要求1至6任一项所述的邮件攻击的检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610958035.5A CN107743087B (zh) | 2016-10-27 | 2016-10-27 | 一种邮件攻击的检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201610958035.5A CN107743087B (zh) | 2016-10-27 | 2016-10-27 | 一种邮件攻击的检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107743087A CN107743087A (zh) | 2018-02-27 |
CN107743087B true CN107743087B (zh) | 2020-05-12 |
Family
ID=61235096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201610958035.5A Active CN107743087B (zh) | 2016-10-27 | 2016-10-27 | 一种邮件攻击的检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107743087B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110519150B (zh) * | 2018-05-22 | 2022-09-30 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
CN108965347B (zh) * | 2018-10-10 | 2021-06-11 | 腾讯科技(深圳)有限公司 | 一种分布式拒绝服务攻击检测方法、装置及服务器 |
CN109617868B (zh) * | 2018-12-06 | 2021-06-25 | 腾讯科技(深圳)有限公司 | 一种ddos攻击的检测方法、装置及检测服务器 |
CN111866002A (zh) * | 2020-07-27 | 2020-10-30 | 中国工商银行股份有限公司 | 用于检测邮件安全性的方法、装置、系统及介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
CN103744905A (zh) * | 2013-12-25 | 2014-04-23 | 新浪网技术(中国)有限公司 | 垃圾邮件判定方法和装置 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
-
2016
- 2016-10-27 CN CN201610958035.5A patent/CN107743087B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2014064216A (ja) * | 2012-09-21 | 2014-04-10 | Kddi R & D Laboratories Inc | 攻撃ホストの挙動解析装置、方法及びプログラム |
CN103078752A (zh) * | 2012-12-27 | 2013-05-01 | 华为技术有限公司 | 一种检测邮件攻击的方法、装置及设备 |
CN103744905A (zh) * | 2013-12-25 | 2014-04-23 | 新浪网技术(中国)有限公司 | 垃圾邮件判定方法和装置 |
CN105721416A (zh) * | 2015-11-16 | 2016-06-29 | 哈尔滨安天科技股份有限公司 | 一种apt事件攻击组织同源性分析方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN107743087A (zh) | 2018-02-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3771168B1 (en) | Abnormal user identification method | |
CN107743087B (zh) | 一种邮件攻击的检测方法及系统 | |
RU2541123C1 (ru) | Система и способ определения рейтинга электронных сообщений для борьбы со спамом | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
US7543076B2 (en) | Message header spam filtering | |
CN110099059B (zh) | 一种域名识别方法、装置及存储介质 | |
US20230306289A1 (en) | Machine learning and validation of account names, addresses, and/or identifiers | |
US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
US8370930B2 (en) | Detecting spam from metafeatures of an email message | |
CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
CN110516156B (zh) | 一种网络行为监控装置、方法、设备和存储介质 | |
US9251367B2 (en) | Device, method and program for preventing information leakage | |
CN109495521B (zh) | 一种异常流量检测方法及装置 | |
CN111404805B (zh) | 一种垃圾邮件检测方法、装置、电子设备及存储介质 | |
CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
US9412096B2 (en) | Techniques to filter electronic mail based on language and country of origin | |
WO2015116694A1 (en) | User reporting and automatic threat processing of suspicious email | |
CN106790041B (zh) | 一种网际协议ip信誉库生成方法及装置 | |
EP3316550A1 (en) | Network monitoring device and method | |
CN114095274A (zh) | 一种攻击研判方法及装置 | |
CN110149319A (zh) | Apt组织的追踪方法及装置、存储介质、电子装置 | |
US20130086632A1 (en) | System, method, and computer program product for applying a rule to associated events | |
CN116074278A (zh) | 恶意邮件的识别方法、系统、电子设备和存储介质 | |
CN106941440B (zh) | 一种会话反骚扰方法及装置 | |
CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |