CN108965350B - 一种邮件审计方法、装置和计算机可读存储介质 - Google Patents
一种邮件审计方法、装置和计算机可读存储介质 Download PDFInfo
- Publication number
- CN108965350B CN108965350B CN201811240239.0A CN201811240239A CN108965350B CN 108965350 B CN108965350 B CN 108965350B CN 201811240239 A CN201811240239 A CN 201811240239A CN 108965350 B CN108965350 B CN 108965350B
- Authority
- CN
- China
- Prior art keywords
- information
- library
- feature
- characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种邮件审计方法、装置和计算机可读存储介质,对获取的流量信息进行解析,获取特征信息;依据预先建立的特征库,对特征信息设置对应的特征标签;利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。在该技术方案中,通过依据特征库对流量信息进行分类,从而根据特征标签对应的审计库进行专门的检测,使得选取出的审计库更具针对性,提升了钓鱼邮件监测的准确性。并且通过设置特征标签的方式,缩小了对特征信息进行检测的范围,从而缩短了检测所花费的时间,并且降低了不必要的检测,进一步提升了邮件审计的性能。
Description
技术领域
本发明涉及数据安全技术领域,特别是涉及一种邮件审计方法、装置和计算机可读存储介质。
背景技术
随着网络的普及,随之产生的网络安全问题也越来越严峻。各种网络木马、恶意攻击、勒索诈骗等恶意手段层出不穷。而邮件则是大部分攻击的重要入侵手段之一。钓鱼邮件通过利用伪装的电邮,欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。
钓鱼邮件有很多种手段:恶意链接、恶意附件、骗取信任、诱导欺骗等。像骗取信任和诱导欺骗这类的钓鱼邮件往往没有明显的恶意特征,需要人为的理解发件人的意图,并按照指示操作,造成信息泄露等威胁。这类需要理解语义的邮件,往往没有有效载荷,如链接或者附件等,使用简单的特征匹配,很难区分出钓鱼邮件,因此容易造成误报、漏报等情况。
可见,如何提升钓鱼邮件监测的准确性,是本领域技术人员亟待解决的问题。
发明内容
本发明实施例的目的是提供一种邮件审计方法、装置和计算机可读存储介质,可以提升钓鱼邮件监测的准确性。
为解决上述技术问题,本发明实施例提供一种邮件审计方法,包括:
对获取的流量信息进行解析,以获取特征信息;
依据预先建立的特征库,对所述特征信息设置对应的特征标签;
利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息。
可选的,所述特征库包括邮件来源特征库、邮件类型特征库和邮件行为特征库。
可选的,所述利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息包括:
依据与所述特征标签相对应的审计库,判断所述特征信息所属的邮件行为是否为可疑特征;
若是,则依据所述特征信息所属的邮件来源和邮件类型,确定出所述流量信息的信息可疑度;
当所述信息可疑度超于预设阈值时,则判定所述流量信息为恶意信息。
可选的,在所述利用与所述特征标签相对应的审计库,对所述特征信息进行检测之后还包括:
判断是否存在与所述特征信息中的发件人信息相匹配的信用库;
若是,则将所述特征信息及其对应的特征标签存储于所述信用库;
若否,则依据所述发件人信息建立发件人信用库,并将所述特征信息及其对应的特征标签存储于所述发件人信用库。
可选的,还包括:
检测信用库所占用的存储空间;
当所述信用库所占用的存储空间大于或等于上限值时,则将所述信用库中存储时间最长的信用信息删除,直至所述信用库所占用的存储空间小于所述上限值。
可选的,在所述判定所述流量信息为恶意信息之后还包括:
对所述流量信息相对应的信用库设置可疑标识。
本发明实施例还提供了一种邮件审计装置,包括解析单元、设置单元和检测单元;
所述解析单元,用于对获取的流量信息进行解析,以获取特征信息;
所述设置单元,用于依据预先建立的特征库,对所述特征信息设置对应的特征标签;
所述检测单元,用于利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息。
可选的,所述特征库包括邮件来源特征库、邮件类型特征库和邮件行为特征库。
可选的,所述检测单元包括判断子单元、确定子单元和判定子单元;
所述判断子单元,用于依据与所述特征标签相对应的审计库,判断所述特征信息所属的邮件行为是否为可疑特征;若是,则触发所述确定子单元;
所述确定子单元,用于依据所述特征信息所属的邮件来源和邮件类型,确定出所述流量信息的信息可疑度;
所述判定子单元,用于当所述信息可疑度超于预设阈值时,则判定所述流量信息为恶意信息。
可选的,还包括判断单元、存储单元和建立单元;
所述判断单元,用于在所述利用与所述特征标签相对应的审计库,对所述特征信息进行检测之后,判断是否存在与所述特征信息中的发件人信息相匹配的信用库;若是,则触发所述存储单元;若否,则触发所述建立单元;
所述存储单元,用于将所述特征信息及其对应的特征标签存储于所述信用库;
所述建立单元,用于依据所述发件人信息建立发件人信用库,并将所述特征信息及其对应的特征标签存储于所述发件人信用库。
可选的,还包括检测单元和删除单元;
所述检测单元,用于检测信用库所占用的存储空间;
所述删除单元,用于当所述信用库所占用的存储空间大于或等于上限值时,则将所述信用库中存储时间最长的信用信息删除,直至所述信用库所占用的存储空间小于所述上限值。
可选的,还包括设置单元;
所述设置单元,用于在所述判定所述流量信息为恶意信息之后,对所述流量信息相对应的信用库设置可疑标识。
本发明实施例还提供了一种邮件审计装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如上述邮件审计方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述邮件审计方法的步骤。
由上述技术方案可以看出,对获取的流量信息进行解析,以获取特征信息;依据预先建立的特征库,对所述特征信息设置对应的特征标签;利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。在该技术方案中,通过依据特征库对流量信息进行分类,从而根据特征标签对应的审计库进行专门的检测,使得选取出的审计库更具针对性,依据该审计库对特征信息进行检测时得到的检测结果更加可靠,提升了钓鱼邮件监测的准确性。并且通过设置特征标签的方式,缩小了对特征信息进行检测的范围,从而缩短了检测所花费的时间,并且降低了不必要的检测,进一步提升了邮件审计的性能。
附图说明
为了更清楚地说明本发明实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种邮件审计方法的流程图;
图2为本发明实施例提供的一种邮件审计装置的结构示意图;
图3为本发明实施例提供的一种邮件审计装置的硬件结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下,所获得的所有其他实施例,都属于本发明保护范围。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。
接下来,详细介绍本发明实施例所提供的一种邮件审计方法。图1为本发明实施例提供的一种邮件审计方法的流程图,该方法包括:
S101:对获取的流量信息进行解析,以获取特征信息。
流量信息可以是网络上传输的数据。这些数据会以数据流的形式通过互联网传输到目的地。在数据传输过程中采集该数据流就能获取到流量信息。
以网络上传输的邮件为例,一个邮件即为一条流量信息。在本发明实施例中,可以采集简单邮件传输协议(Simple Mail Transfer Protocol,SMTP)、邮件访问协议(Internet Mail Access Protocol,IMAP)、邮局协议(Post Office Protocol,POP)和基于万维网的电子邮件服务(WEBMAIL)等邮件协议的流量信息。
本发明实施例提供的审计方法适用于钓鱼邮件的检测,每个邮件的处理方式相同,因此,在本发明实施例中以一个邮件为例,对其检测过程展开介绍。
一个邮件可以包括有邮件头和邮件正文。其中,邮件头可以包括发件人信息、收件人信息、邮件发送日期、服务器名称等信息。邮件正文可以是发件人所要发送的信息,例如,附件、链接地址、文档信息等。
在本发明实施例中,对流量信息进行解析主要是从流量信息中提取出每封邮件的邮件头和邮件正文作为特征信息。
S102:依据预先建立的特征库,对特征信息设置对应的特征标签。
根据特征信息的类别,可以预先建立出不同类型的特征库。在本发明实施例中,特征库可以包括邮件来源特征库、邮件类型特征库和邮件行为特征库等。
需要说明的是,在实际应用中,也可以根据需求对特征库的类型进行调整,例如,可以在上述三类特征库的基础上增加新的特征库等。为了便于后续介绍,在本发明实施例中,均以邮件来源特征库、邮件类型特征库和邮件行为特征库这三类特征库为例展开说明。
邮件来源可以包括:同事、亲戚、朋友、邮箱管理员、官方网站和陌生人等。在邮件来源特征库中可以包括有每种类型的邮件来源所对应的邮箱信息。
在具体实现中,可以将特征信息中包含的发件人信息和邮件来源库中存储的邮箱信息进行对比,当邮件来源库中存在与发件人信息相匹配的邮箱时,则依据该邮箱所属的来源,可以确定出该特征信息所对应的流量信息所属的邮件来源;当邮件来源库中不存在与发件人信息相匹配的邮箱时,则可以默认使用邮件正文句首称呼作为邮件来源的判断依据,若无称呼则可以将邮件来源标记为陌生人。
需要说明的是,在实际应用中,也可以根据需求对邮件来源的划分进行调整,例如,可以在上述邮件来源划分的基础上进行更加细致的划分或者是增加新的邮件来源等。
邮件类型可以是邮件所涉及的行业,可以包括:个人、广告、外贸、金融、教育、工业、政府、其他等行业。在邮件类型特征库中可以包括有每种行业所对应的关键词库,通过关键词匹配的方式,可以确定出流量信息所属的行业。
需要说明的是,在实际应用中,也可以根据需求对邮件类型的划分进行调整,例如,可以在上述邮件类型划分的基础上进行更加细致的划分或者是增加新的邮件类型等。
邮件行为可以是邮件所提及的操作,例如,要求点击链接、要求打开附件、要求回复邮件、要求提供隐私信息等。在邮件行为特征库中可以包括有每种行为所对应的行为标识,当特征信息中包含有哪个或哪些行为特征时,则可以依据邮件行为特征库为该特征信息分配对应的行为标识。
需要说明的是,在实际应用中,也可以根据需求对邮件行为的划分进行调整,例如,可以在上述邮件行为划分的基础上进行更加细致的划分或者是增加新的邮件行为等。
在具体实现中,当依据特征库,确定出流量信息所属的邮件来源、邮件类型和行为标识后,便可以依据邮件来源、邮件类型和邮件行为之间具有关联关系,为特征信息设置对应的特征标签。
特征标签可以用于表示对特征信息进行何种处理的标签信息。
例如,当邮件行为为要求点击链接,邮件来源为官方网站时,考虑到官方网站的邮件较为可靠,此时可以不对链接的安全性进行检测,以此可以减少不必要的检测。当邮件行为为要求点击链接,邮件来源为陌生人时,则可以设置对链接进行安全性检测的特征标签。当邮件行为为要求提供隐私信息,邮件来源为陌生人时,则可以设置对特征信息中包含的文档信息进行检测的特征标签。
在本发明实施例中,通过依据不同类型的特征库对特征信息进行不同维度的分析,可以充分理解流量信息的语义,从而可以更具针对性的对流量信息进行检测。
S103:利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。
在本发明实施例中,可以依据特征标签建立审计库,每种特征标签可以有其对应的一个审计库,在该审计库中存储有与该特征标签相对应的特征词和/或检测规则等。
例如,特征标签中包括对附件进行安全性检测时,则可以依据与该特征标签相对应的审计库中的文件检测规则对流量信息中的附件进行安全性检测;或者是特征标签中包括对链接进行安全性检测时,则可以依据与该特征标签相对应的审计库中的链接检测规则对流量信息中的链接进行安全性检测;又或者是特征标签中包括对文档信息进行检测时,则可以依据与该特征标签相对应的审计库中的特征词对流量信息中的文档信息进行检测。
在上述S102中提及的邮件来源、邮件类型和邮件行为之间具有关联关系,在具体实现中,当依据特征库,确定出流量信息所属的邮件来源、邮件类型和行为标识后,可以依据行为标识对特征信息设置特征标签,依据与该特征标签相对应的审计库,判断特征信息所属的邮件行为是否为可疑特征。
当特征信息所属的邮件行为为可疑特征时,则可以依据特征信息所属的邮件来源和邮件类型,确定出流量信息的信息可疑度;当信息可疑度超于预设阈值时,则判定流量信息为恶意信息。
举例说明,在实际应用中,可以将每个特征的可疑度划分为高、中、低三个档次,相应的,可以依次以数字3、2、1作为可疑度分值。当邮件来源如果是白名单或者信用度较高的发件人可以认为该特征是低可疑度;当发件人为陌生人时,默认为中可疑度;当发件人为黑名单认为是高可疑度。当邮件中包含有可疑链接信息时,如果邮件类型为外贸行业,则可以判定该邮件为高可疑度;当邮件中包含有可疑链接信息时,如果邮件类型是广告行业,则可以判定该邮件为低可疑度。
通过综合邮件来源和邮件类型的可疑度,可以确定出该流量信息最终对应的一个可疑度即信息可疑度。
假设,预设阈值为5,一个流量信息中包含的链接不符合安全性规则为可疑特征时,邮件来源为高可疑度,对应分值为3,邮件类型为中可疑度,对应分值为2,则该流量信息对应的信息可疑度即为5;则可以判定该流量信息为恶意信息。
上述可疑度计算方式仅是简单的举例说明,在具体实现中,每个特征的可疑度,可以通过数学建模的方式计算得出。
由上述技术方案可以看出,对获取的流量信息进行解析,以获取特征信息;依据预先建立的特征库,对所述特征信息设置对应的特征标签;利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。在该技术方案中,通过依据特征库对流量信息进行分类,从而根据特征标签对应的审计库进行专门的检测,使得选取出的审计库更具针对性,依据该审计库对特征信息进行检测时得到的检测结果更加可靠,提升了钓鱼邮件监测的准确性。并且通过设置特征标签的方式,缩小了对特征信息进行检测的范围,从而缩短了检测所花费的时间,并且降低了不必要的检测,进一步提升了邮件审计的性能。
在本发明实施例中,可以建立以发件人信息为维度的信用库,即针对于每个发件人信息建立其对应的一个信用库,在该信用库中存储有发件人所发送的每封邮件的信息记录。以便于在风险发生的时候,工作人员可以依据信用库及时锁定波及的用户群,从而及时有效的控制风险。
在具体实现中,在利用与特征标签相对应的审计库,对特征信息进行检测之后可以进一步判断是否存在与特征信息中的发件人信息相匹配的信用库。
当存在和发件人信息相匹配的信用库时,则说明已经针对于该发件人信息建立了信用库,此时则可以直接将特征信息及其对应的特征标签存储于相匹配的信用库中。
当不存在和发件人信息相匹配的信用库时,则说明还没有建立与该发件人信息相对应的信用库,此时则,可以依据发件人信息建立发件人信用库,并将特征信息及其对应的特征标签存储于发件人信用库。
由于在特征信息中包含有收件人信息,从而当该发件人发送的邮件存在风险时,可以根据信用库中存储的收件人信息,确定出风险所波及的其它用户,由于可以快速确定出目标,从而可以最大程度的降低风险对其它用户带来的影响。
一个邮件所对应的特征信息和特征标签可以看作是一条信用信息。发件人每发送一个邮件,相应的,可以在该发件人信用库中存储一条信用信息。为了便于区分不同的信用信息,可以针对于每条信用信息设置一个邮件ID。
其中,邮件ID的具体形式可以根据实际需求进行设置,例如,可以将邮件的发送时间作为邮件ID的前缀,对于同一时间发送的邮件可以设置不同的编号作为邮件ID的后缀,以区分这些邮件。
随着时间的推移,信用库存储的信息会越来越多,其占用的存储空间会越来越大。考虑到信用库中存储时间较长的信用信息的存储时间越长其利用价值就越低,因此,在本发明实施例中,可以对各信用库所占用的存储空间进行限定。
在具体实现中,可以预先设定好信用库所占用存储空间的上限值。检测信用库所占用的存储空间;当信用库所占用的存储空间大于或等于上限值时,则将信用库中存储时间最长的信用信息删除,直至信用库所占用的存储空间小于上限值。
其中,上限值的具体取值可以依据实际需求进行设定,在此不做限定。
通过对信用库所占用的存储空间进行限定,可以有效的降低信用库占用较大的存储空间,对其它应用的存储性能带来的影响,并且通过删除信用库中存储时间较长的信用信息,提升了信用库中信息的有效性和存储空间的利用率。
在本发明实施例中,在判定流量信息为恶意信息之后,可以对该流量信息相对应的信用库设置可疑标识。
可疑标识可以作为对发件人的信用度评价的依据,当该发件人信息的信用库中可疑标识的数量越多,则说明该发件人的信用度越低。
通过设置可疑标识,可以便于工作人员对该发件人的信用度进行评价。在实际应用中,可以对信用度较低的发件人设置发送邮件的权限,从而提升网络系统的安全性。
图2为本发明实施例提供的一种邮件审计装置的结构示意图,包括解析单元21、设置单元22和检测单元23;
解析单元21,用于对获取的流量信息进行解析,获取特征信息;
设置单元22,用于依据预先建立的特征库,对特征信息设置对应的特征标签;
检测单元23,用于利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。
可选的,特征库包括邮件来源特征库、邮件类型特征库和邮件行为特征库。
可选的,检测单元包括判断子单元、确定子单元和判定子单元;
判断子单元,用于依据与特征标签相对应的审计库,判断特征信息所属的邮件行为是否为可疑特征;若是,则触发确定子单元;
确定子单元,用于依据特征信息所属的邮件来源和邮件类型,确定出流量信息的信息可疑度;
判定子单元,用于当信息可疑度超于预设阈值时,则判定流量信息为恶意信息。
可选的,还包括判断单元、存储单元和建立单元;
判断单元,用于在利用与特征标签相对应的审计库,对特征信息进行检测之后,判断是否存在与特征信息中的发件人信息相匹配的信用库;若是,则触发存储单元;若否,则触发建立单元;
存储单元,用于将特征信息及其对应的特征标签存储于信用库;
建立单元,用于依据发件人信息建立发件人信用库,并将特征信息及其对应的特征标签存储于发件人信用库。
可选的,还包括检测单元和删除单元;
检测单元,用于检测信用库所占用的存储空间;
删除单元,用于当信用库所占用的存储空间大于或等于上限值时,则将信用库中存储时间最长的信用信息删除,直至信用库所占用的存储空间小于上限值。
可选的,还包括设置单元;
设置单元,用于在判定流量信息为恶意信息之后,对流量信息相对应的信用库设置可疑标识。
图2所对应实施例中特征的说明可以参见图1所对应实施例的相关说明,这里不再一一赘述。
由上述技术方案可以看出,对获取的流量信息进行解析,以获取特征信息;依据预先建立的特征库,对所述特征信息设置对应的特征标签;利用与特征标签相对应的审计库,对特征信息进行检测,当特征信息满足预设条件时,则判定流量信息为恶意信息。在该技术方案中,通过依据特征库对流量信息进行分类,从而根据特征标签对应的审计库进行专门的检测,使得选取出的审计库更具针对性,依据该审计库对特征信息进行检测时得到的检测结果更加可靠,提升了钓鱼邮件监测的准确性。并且通过设置特征标签的方式,缩小了对特征信息进行检测的范围,从而缩短了检测所花费的时间,并且降低了不必要的检测,进一步提升了邮件审计的性能。
图3为本发明实施例提供的一种邮件审计装置30的硬件结构示意图,包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序以实现如上述邮件审计方法的步骤。
本发明实施例还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现如上述邮件审计方法的步骤。
以上对本发明实施例所提供的一种邮件审计方法、装置和计算机可读存储介质进行了详细介绍。说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
Claims (7)
1.一种邮件审计方法,其特征在于,包括:
对获取的流量信息进行解析,以获取特征信息;
依据预先建立的特征库,对所述特征信息设置对应的特征标签;
利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息;
所述特征库包括邮件来源特征库、邮件类型特征库和邮件行为特征库;
所述利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息包括:
依据与所述特征标签相对应的审计库,判断所述特征信息所属的邮件行为是否为可疑特征;
若是,则依据所述特征信息所属的邮件来源和邮件类型,确定出所述流量信息的信息可疑度;
当所述信息可疑度超于预设阈值时,则判定所述流量信息为恶意信息。
2.根据权利要求1所述的方法,其特征在于,在所述利用与所述特征标签相对应的审计库,对所述特征信息进行检测之后还包括:
判断是否存在与所述特征信息中的发件人信息相匹配的信用库;
若是,则将所述特征信息及其对应的特征标签存储于所述信用库;
若否,则依据所述发件人信息建立发件人信用库,并将所述特征信息及其对应的特征标签存储于所述发件人信用库。
3.根据权利要求2所述的方法,其特征在于,还包括:
检测信用库所占用的存储空间;
当所述信用库所占用的存储空间大于或等于上限值时,则将所述信用库中存储时间最长的信用信息删除,直至所述信用库所占用的存储空间小于所述上限值。
4.根据权利要求2所述的方法,其特征在于,在所述判定所述流量信息为恶意信息之后还包括:
对所述流量信息相对应的信用库设置可疑标识。
5.一种邮件审计装置,其特征在于,包括解析单元、设置单元和检测单元;
所述解析单元,用于对获取的流量信息进行解析,以获取特征信息;
所述设置单元,用于依据预先建立的特征库,对所述特征信息设置对应的特征标签;
所述检测单元,用于利用与所述特征标签相对应的审计库,对所述特征信息进行检测,当所述特征信息满足预设条件时,则判定所述流量信息为恶意信息;
所述检测单元包括判断子单元、确定子单元和判定子单元;
所述判断子单元,用于依据与所述特征标签相对应的审计库,判断所述特征信息所属的邮件行为是否为可疑特征;若是,则触发所述确定子单元;
所述确定子单元,用于依据所述特征信息所属的邮件来源和邮件类型,确定出所述流量信息的信息可疑度;
所述判定子单元,用于当所述信息可疑度超于预设阈值时,则判定所述流量信息为恶意信息。
6.一种邮件审计装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至4任意一项所述邮件审计方法的步骤。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述邮件审计方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811240239.0A CN108965350B (zh) | 2018-10-23 | 2018-10-23 | 一种邮件审计方法、装置和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811240239.0A CN108965350B (zh) | 2018-10-23 | 2018-10-23 | 一种邮件审计方法、装置和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108965350A CN108965350A (zh) | 2018-12-07 |
CN108965350B true CN108965350B (zh) | 2021-04-23 |
Family
ID=64481015
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811240239.0A Active CN108965350B (zh) | 2018-10-23 | 2018-10-23 | 一种邮件审计方法、装置和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108965350B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110868378A (zh) * | 2018-12-17 | 2020-03-06 | 北京安天网络安全技术有限公司 | 钓鱼邮件检测方法、装置、电子设备及存储介质 |
CN113014549B (zh) * | 2021-02-01 | 2022-04-08 | 北京邮电大学 | 基于http的恶意流量分类方法及相关设备 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060421A (zh) * | 2006-04-19 | 2007-10-24 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件处理系统及分检垃圾邮件的方法 |
CN101877680A (zh) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | 一种垃圾邮件发送行为控制系统及方法 |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
CN105049334A (zh) * | 2015-08-04 | 2015-11-11 | 新浪网技术(中国)有限公司 | 电子邮件过滤方法及装置 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
-
2018
- 2018-10-23 CN CN201811240239.0A patent/CN108965350B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101060421A (zh) * | 2006-04-19 | 2007-10-24 | 腾讯科技(深圳)有限公司 | 一种垃圾邮件处理系统及分检垃圾邮件的方法 |
CN101877680A (zh) * | 2010-05-21 | 2010-11-03 | 电子科技大学 | 一种垃圾邮件发送行为控制系统及方法 |
CN102223316A (zh) * | 2011-06-15 | 2011-10-19 | 成都市华为赛门铁克科技有限公司 | 电子邮件处理方法及装置 |
CN105049334A (zh) * | 2015-08-04 | 2015-11-11 | 新浪网技术(中国)有限公司 | 电子邮件过滤方法及装置 |
CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
CN109039874A (zh) * | 2018-09-17 | 2018-12-18 | 杭州安恒信息技术股份有限公司 | 一种基于行为分析的邮件审计方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108965350A (zh) | 2018-12-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109951500B (zh) | 网络攻击检测方法及装置 | |
Ho et al. | Detecting and characterizing lateral phishing at scale | |
US10834127B1 (en) | Detection of business email compromise attacks | |
CN109328448B (zh) | 基于网络流数据的垃圾邮件分类系统 | |
EP2036246B1 (en) | Systems and methods for identifying potentially malicious messages | |
US9686297B2 (en) | Malicious message detection and processing | |
US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
US8370948B2 (en) | System and method for analysis of electronic information dissemination events | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
EP2859494B1 (en) | Dashboards for displaying threat insight information | |
US11489867B2 (en) | Cybersecurity email classification and mitigation platform | |
CA2478299A1 (en) | Systems and methods for enhancing electronic communication security | |
CN109039874B (zh) | 一种基于行为分析的邮件审计方法及装置 | |
CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
Vural et al. | Mobile botnet detection using network forensics | |
EP3195140B1 (en) | Malicious message detection and processing | |
GB2550657A (en) | A method of protecting a user from messages with links to malicious websites | |
Gupta et al. | Forensic analysis of E-mail address spoofing | |
Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
KR101535503B1 (ko) | 상용 이메일 기반 악성코드 감염단말 탐지 방법 | |
Althobaiti et al. | Using Clustering Algorithms to Automatically Identify Phishing Campaigns | |
CN115037542A (zh) | 一种异常邮件检测方法及装置 | |
Nikolaienko et al. | Application of the Threat Intelligence platformto increase the security of governmentinformation resources | |
US9813431B2 (en) | Browser initiated reporting of fraud | |
Dhinakaran et al. | Multilayer approach to defend phishing attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |