CN109039874A - 一种基于行为分析的邮件审计方法及装置 - Google Patents
一种基于行为分析的邮件审计方法及装置 Download PDFInfo
- Publication number
- CN109039874A CN109039874A CN201811083322.1A CN201811083322A CN109039874A CN 109039874 A CN109039874 A CN 109039874A CN 201811083322 A CN201811083322 A CN 201811083322A CN 109039874 A CN109039874 A CN 109039874A
- Authority
- CN
- China
- Prior art keywords
- information
- characteristic
- behavior
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000001514 detection method Methods 0.000 claims abstract description 38
- 238000012550 audit Methods 0.000 abstract description 6
- 238000010586 diagram Methods 0.000 description 3
- 244000035744 Hura crepitans Species 0.000 description 2
- 230000003542 behavioural effect Effects 0.000 description 2
- 230000001939 inductive effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明提供了一种基于行为分析的邮件审计方法及装置,该方法包括:获取待审计邮件的邮件信息;根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置;根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。在本发明中,能够实现对不包含有效载荷的邮件进行检测,同时,根据特征标签进行风险检测能够提高检测效率和检测的准确性,缓解了传统的邮件审计方法准确性差的技术问题。
Description
技术领域
本发明涉及信息安全的技术领域,尤其是涉及一种基于行为分析的邮件审计方法及装置。
背景技术
目前,中国网民的普及率已经超过了全球平均水平,但随之产生的网络安全的形式也越来越严峻。各种网络木马、恶意攻击、勒索诈骗等恶意手段层出不穷。而邮件则是大部分攻击的重要入侵手段之一。钓鱼邮件是指包括语义诱导、伪装欺骗、恶意骚扰等内容的邮件。
目前的邮件审计普遍还是停留在对邮件中所包含的有效载荷(链接和附件)进行检测,当其中包含的有效载荷不安全时,则确定该邮件为钓鱼邮件。具体过程为:获取邮件中的有效载荷,然后对获取到的有效载荷的安全性进行检测,进而确定邮件的安全性。但是,对于有些骗取信任和诱导欺骗的邮件,邮件中不存在链接或者附件,但是邮件内容是采用具有伪造和诱导性质的文字,企图获取对方信任,并使之泄露信息或者骗取财物,带来不可忽视的隐患。而现有的邮件审计方法无法对该种邮件的安全性进行检测,很容易产生漏报(本来应该是钓鱼邮件,但是未发现)。
另外,目前的邮件内容越来越丰富,想要提取能将正常邮件和钓鱼邮件都区分开来的特征也越来越难。比如,传统的审计方法会将包含身份验证特征的IP链接的邮件归为钓鱼邮件,而在实际环境中,假如邮件发送方是具有身份验证标签的管理员,那么这个邮件实际为正常邮件,即传统的方法会将原本安全的邮件归为钓鱼邮件,产生误报。
综上,传统的邮件审计方法中,钓鱼邮件检测的准确性差。
发明内容
有鉴于此,本发明的目的在于提供一种基于行为分析的邮件审计方法及装置,以缓解传统的邮件审计方法准确性差的技术问题。
第一方面,本发明实施例提供了一种基于行为分析的邮件审计方法,包括:
获取待审计邮件的邮件信息,其中,所述邮件信息包括:邮件头信息和邮件正文信息;
根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置,其中,所述预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
根据所述特征标签对所述待审计邮件进行风险检测,检测得到所述待审计邮件是否为钓鱼邮件的信息。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,获取待审计邮件的邮件信息包括:
获取所述待审计邮件;
根据多用途互联网邮件扩展类型标准对所述待审计邮件进行解析,得到所述待审计邮件的邮件信息。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,获取所述待审计邮件包括:
在网络流量中提取邮件数据流,其中,所述邮件数据流至少包括:SMTP协议的数据流,IMAP协议的数据流,POP协议的数据流,WEBMALL协议的数据流;
对所述邮件数据流进行解析,进而得到邮件格式的待审计邮件;
或者,
在邮件格式的文件中读取所述待审计邮件。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置包括:
根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征,并将所述目标邮件来源特征作为所述待审计邮件的邮件来源标签,其中,所述目标邮件来源特征为所述邮件来源特征库中的特征,所述邮件来源特征库包含多类邮件来源特征,每类邮件来源特征中包含多个来源特征词汇;
根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征,并将所述目标邮件涉及行业特征作为所述待审计邮件的邮件涉及行业标签,其中,所述目标邮件涉及行业特征为所述邮件涉及行业特征库中的特征,所述邮件涉及行业特征库包含多类邮件涉及行业特征,每类邮件涉及行业特征中包含多个行业特征词汇;
根据所述邮件正文信息确定所述待审计邮件的目标邮件行为特征,并将所述目标邮件行为特征作为所述待审计邮件的邮件行为标签,其中,所述目标邮件行为特征为所述邮件行为特征库中的特征,所述邮件行为特征库包含多类邮件行为特征,每类邮件行为特征中包含多个行为特征词汇。
结合第一方面,本发明实施例提供了第一方面的第四种可能的实施方式,其中,根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征包括:
如果所述邮件头信息中存在发件人邮箱地址配置时,则将所述发件人邮箱地址配置作为所述待审计邮件的目标邮件来源特征;
如果不存在所述发件人邮箱地址配置时,则将所述邮件正文信息中的邮件正文句首称呼与所述邮件来源特征库中的来源特征词汇进行匹配,并根据与所述邮件正文句首称呼相匹配的来源特征词汇所属的邮件来源特征确定所述目标邮件来源特征;
如果不存在所述发件人邮箱地址配置,且不存在所述邮件正文句首称呼,则所述目标邮件来源特征为陌生人。
结合第一方面,本发明实施例提供了第一方面的第五种可能的实施方式,其中,根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征包括:
将所述邮件头信息和所述邮件正文信息分别与所述行业特征词汇进行匹配;
根据与所述邮件头信息和所述邮件正文信息相匹配的行业特征词汇所属的邮件涉及行业特征确定所述目标邮件涉及行业特征。
结合第一方面,本发明实施例提供了第一方面的第六种可能的实施方式,其中,根据所述邮件正文信息确定所述待审计邮件的目标邮件行为特征包括:
将所述邮件正文信息与所述行业特征词汇进行匹配;
根据与所述邮件正文信息相匹配的行为特征词汇所属的邮件行为特征确定所述目标邮件行为特征。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,根据所述特征标签对所述待审计邮件进行风险检测包括:
根据所述特征标签采用不同的恶意特征进行匹配;
根据匹配结果进行风险度计算,得到风险值;
如果所述风险值大于预设阈值,则确定所述待审计邮件为钓鱼邮件。
结合第一方面,本发明实施例提供了第一方面的第八种可能的实施方式,其中,在检测得到所述待审计邮件是否为钓鱼邮件的信息之后,所述方法还包括:
基于所述邮件信息,所述特征标签,所述是否为钓鱼邮件的信息更新所述待审计邮件所对应的发件人信用库。
第二方面,本发明实施例还提供了一种基于行为分析的邮件审计装置,包括:
获取模块,用于获取待审计邮件的邮件信息,其中,所述邮件信息包括:邮件头信息和邮件正文信息;
标签设置模块,用于根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置,其中,所述预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
风险检测模块,用于根据所述特征标签对所述待审计邮件进行风险检测,检测得到所述待审计邮件是否为钓鱼邮件的信息。
本发明实施例带来了以下有益效果:
在本实施例中,先获取待审计邮件的邮件信息;然后,根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置;最后,根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。通过上述描述可知,在本实施例中,能够实现对不包含有效载荷的邮件进行检测,同时,根据特征标签进行风险检测能够提高检测效率和检测的准确性,缓解了传统的邮件审计方法准确性差的技术问题。
本发明的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于行为分析的邮件审计方法的流程图;
图2为本发明实施例提供的获取待审计邮件的邮件信息的流程图;
图3为本发明实施例提供的根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置的流程图;
图4为本发明实施例提供的根据特征标签对待审计邮件进行风险检测的流程图;
图5为本发明实施例提供的邮件审计的检测设备的环境部署示意图;
图6为本发明实施例提供的基于行为分析的邮件审计装置的示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于行为分析的邮件审计方法进行详细介绍。
实施例一:
根据本发明实施例,提供了一种基于行为分析的邮件审计方法的实施例,需要说明的是在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1是根据本发明实施例的一种基于行为分析的邮件审计方法,如图1所示,该方法包括如下步骤:
步骤S102,获取待审计邮件的邮件信息,其中,邮件信息包括:邮件头信息和邮件正文信息;
步骤S104,根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置,其中,预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
步骤S106,根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。
在本实施例中,先获取待审计邮件的邮件信息;然后,根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置;最后,根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。通过上述描述可知,在本实施例中,能够实现对不包含有效载荷的邮件进行检测,同时,根据特征标签进行风险检测能够提高检测效率和检测的准确性,缓解了传统的邮件审计方法准确性差的技术问题。
上述内容对本发明的基于行为分析的邮件审计方法进行了简要介绍,下面对其中涉及到的具体内容进行详细介绍。
在本发明的一个可选实施方式中,参考图2,步骤S102,获取待审计邮件的邮件信息包括如下步骤:
步骤S201,获取待审计邮件;
具体的,获取待审计邮件的方式有以下两种:
第一种方式:
(1)在网络流量中提取邮件数据流,其中,邮件数据流至少包括:SMTP协议的数据流,IMAP协议的数据流,POP协议的数据流,WEBMALL协议的数据流;
(2)对邮件数据流进行解析,进而得到邮件格式的待审计邮件;
具体的,在得到邮件数据流后,邮件数据流中可能嵌入有加密或者邮件编码不同的各种形式,所以,要对邮件数据流进行解析,得到邮件格式的待审计邮件。
第二种方式:
在邮件格式的文件中读取待审计邮件。
步骤S202,根据多用途互联网邮件扩展类型标准对待审计邮件进行解析,得到待审计邮件的邮件信息。
在得到待审计邮件后,进一步根据多用途互联网邮件扩展类型标准(即MIME标准)对待审计邮件进行解析,解析得到待审计邮件的邮件信息,其中,邮件信息包括邮件头信息和邮件正文信息,邮件头信息包括:邮件主题,收发件人,抄送人,邮件发送日期,邮件服务器信息等;邮件正文信息包括:邮件正文内容,邮件附件等。
上述内容对获取待审计邮件的邮件信息的过程进行了详细介绍,下面对待审计邮件进行特征标签设置的过程进行详细介绍。
在本发明的一个可选实施方式中,参考图3,步骤S104,根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置包括如下步骤:
步骤S301,根据邮件头信息和邮件正文信息确定待审计邮件的目标邮件来源特征,并将目标邮件来源特征作为待审计邮件的邮件来源标签,其中,目标邮件来源特征为邮件来源特征库中的特征,邮件来源特征库包含多类邮件来源特征,每类邮件来源特征中包含多个来源特征词汇;
在本发明实施例中,邮件来源特征包含:同事,亲戚,朋友,邮箱管理员,官方网站,陌生人等。每一类邮件来源特征中包含多个来源特征词汇,比如:对于官方网站,其中包含的来源特征词汇有:dear customer,client等,而对于邮件管理员,其中的发件人邮箱名包含:admin,postmaster等,这里只是进行简要举例说明。
具体确定待审计邮件的目标邮件来源特征的过程如下:
(1)如果邮件头信息中存在发件人邮箱地址配置时,则将发件人邮箱地址配置作为待审计邮件的目标邮件来源特征;
具体的,如果事先配置了发件人邮箱地址所属的类别,那么就直接将发件人邮箱地址配置(比如同事)作为待审计邮件的目标邮件来源特征。
(2)如果不存在发件人邮箱地址配置时,则将邮件正文信息中的邮件正文句首称呼与邮件来源特征库中的来源特征词汇进行匹配,并根据与邮件正文句首称呼相匹配的来源特征词汇所属的邮件来源特征确定目标邮件来源特征;
比如:邮件正文信息中的邮件正文句首称呼为“dear customer”,则将其与来源特征词汇进行匹配,与dear customer相匹配的来源特征词汇所属的邮件来源特征为官方网站,那么官方网站即为待审计邮件的邮件来源标签。这里只是进行举例说明,对其不进行具体限制。
(3)如果不存在发件人邮箱地址配置,且不存在邮件正文句首称呼,则目标邮件来源特征为陌生人。
这样,陌生人即为待审计邮件的邮件来源标签。
步骤S302,根据邮件头信息和邮件正文信息确定待审计邮件所属的目标邮件涉及行业特征,并将目标邮件涉及行业特征作为待审计邮件的邮件涉及行业标签,其中,目标邮件涉及行业特征为邮件涉及行业特征库中的特征,邮件涉及行业特征库包含多类邮件涉及行业特征,每类邮件涉及行业特征中包含多个行业特征词汇;
在本发明实施例中,邮件涉及行业特征包含:个人,外贸,金融,教育,工业,政府,其它等。每一类邮件涉及行业特征中包含多个行业特征词汇,比如:对于外贸,其中包含的行业特征词汇有:ebay,paypal,外贸的链接等,而对于教育,其中包含的行业特征词汇有:doctor,professor等。
具体确定待审计邮件所属的目标邮件涉及行业特征的过程如下:
(1)将邮件头信息和邮件正文信息分别与行业特征词汇进行匹配;
(2)根据与邮件头信息和邮件正文信息相匹配的行业特征词汇所属的邮件涉及行业特征确定目标邮件涉及行业特征。
比如:邮件头信息中的邮箱发件人或邮件正文信息中包含有ebay,paypal等词汇,则将其与行业特征词汇进行匹配,与ebay,paypal相匹配的行业特征词汇所属的邮件涉及行业特征为外贸,那么外贸即为待审计邮件的邮件涉及行业标签。这里只是进行举例说明,对其不进行具体限制。
步骤S303,根据邮件正文信息确定待审计邮件的目标邮件行为特征,并将目标邮件行为特征作为待审计邮件的邮件行为标签,其中,目标邮件行为特征为邮件行为特征库中的特征,邮件行为特征库包含多类邮件行为特征,每类邮件行为特征中包含多个行为特征词汇。
在本发明实施例中,邮件行为特征包含:要求点击链接,要求打开附件,要求回复,要求提供隐私信息等。每一类邮件行为特征中包含多个行为特征词汇,比如:对于要求点击链接,当邮件正文信息中有链接时,其中包含的行为特征词汇有:click,here等诱导性词语;对于要求打开附件,当邮件正文信息中有附件时,其中包含的行为特征词汇有:click,here等诱导性词语;当邮件正文信息中包含行为特征词汇为:login,sign,confirm等与账号密码相关联的内容时,则认为要求提供隐私信息。
具体确定待审计邮件的目标邮件行为特征的过程如下:
(1)将邮件正文信息与行业特征词汇进行匹配;
(2)根据与邮件正文信息相匹配的行为特征词汇所属的邮件行为特征确定目标邮件行为特征。
该过程与确定待审计邮件所属的目标邮件涉及行业特征的过程相似,在此不再赘述。需要说明的是,每个待审计邮件的邮件行为标签可以为多个,比如即要求点击链接,有要求提供隐私信息。
上述内容对待审计邮件进行特征标签设置的过程进行了详细介绍,下面对根据特征标签对待审计邮件进行风险检测的过程进行详细介绍。
在本发明的一个可选实施方式中,参考图4,步骤S106,根据特征标签对待审计邮件进行风险检测包括如下步骤:
步骤S401,根据特征标签采用不同的恶意特征进行匹配;
比如:如果特征标签中有要求打开附件的标签时,检测附件的安全性,而附件的安全性有两种方式,一种为静态检测,另一种为动态检测,静态检测就是使用特征库扫描,比如卡巴斯基的特征库;动态检测就是放在沙箱中运行获取其行为特征。
如果特征标签中有要求点击链接的标签时,检测链接的安全性,该检测链接的安全性在现有技术中已经存在,在此不再赘述。
如此根据特征标签采用不同的恶意特征进行匹配,如将点击链接的标签与点击链接的恶意特征进行匹配,就能检测出其是否为恶意链接。
步骤S402,根据匹配结果进行风险度计算,得到风险值;
比如,如果特征标签中有要求提供隐私信息的标签时(得到第一风险度),与要求提供隐私信息的恶意特征进行匹配。匹配时,根据特征标签确定邮件来源标签为外贸,所以,邮件可能为商业性质的钓鱼邮件,然后,进一步匹配,如果邮件来源不再配置的发件人列表中(得到第二风险度),再匹配,有不符合一些正规商业网站公开的域名(得到第三风险度)。
在数据库中包含多项恶意特征,如上述举例,每一项恶意特征进行匹配后,会得到对应的风险度,多个风险度进行加和计算,就能确定待审计邮件的风险值。
步骤S403,如果风险值大于预设阈值,则确定待审计邮件为钓鱼邮件。
再比如:当发件人是邮箱管理员,且要求点击链接或者提供隐私信息时,则需要将发件人邮箱与配置的管理员邮箱进行匹配并检测链接的安全性,如果不符合,则属于钓鱼邮件。这些恶意特征都是数据库中存在的,本发明实施例对上述恶意特征不进行具体限制。
在本发明实施例中,检测得到待审计邮件是否为钓鱼邮件后,还会更新发件人信用库。
具体的,在检测得到待审计邮件是否为钓鱼邮件的信息之后,该方法还包括:
基于邮件信息,特征标签,是否为钓鱼邮件的信息更新待审计邮件所对应的发件人信用库。
具体的,邮件信息和特征标签可以统称为审计信息,每一封待审计邮件,对应一个审计信息的审计ID,该审计ID是唯一的,并且是否为钓鱼邮件的信息为风险信息,每一封待审计邮件,对应一个风险信息的风险ID,该风险ID是唯一的。
本发明的方法能够部署在任意互联网络(如图5所示),将一个小型网络的邮件流量集中管理,为每封邮件建立独立的特征标签,便于统计管理,使用不同维度特征标签,使得检测钓鱼邮件的准确率更高,同时,还避免了有些标签不必要的检测,提高了检测效率,并且,在风险发生的时候能及时锁定波及用户群,第一时间控制风险,此外,能建立以发件人为维度的信用库,方便发现网络环境中的安全隐患。
实施例二:
本发明实施例还提供了一种基于行为分析的邮件审计装置,该基于行为分析的邮件审计装置主要用于执行本发明实施例上述内容所提供的基于行为分析的邮件审计方法,以下对本发明实施例提供的基于行为分析的邮件审计装置做具体介绍。
图6是根据本发明实施例的一种基于行为分析的邮件审计装置的示意图,如图6所示,该基于行为分析的邮件审计装置主要包括获取模块10,标签设置模块20和风险检测模块30,其中:
获取模块,用于获取待审计邮件的邮件信息,其中,邮件信息包括:邮件头信息和邮件正文信息;
标签设置模块,用于根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置,其中,预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
风险检测模块,用于根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。
在本实施例中,先获取待审计邮件的邮件信息;然后,根据预设特征库分别对邮件头信息和邮件正文信息进行特征标签的设置;最后,根据特征标签对待审计邮件进行风险检测,检测得到待审计邮件是否为钓鱼邮件的信息。通过上述描述可知,在本实施例中,能够实现对不包含有效载荷的邮件进行检测,同时,根据特征标签进行风险检测能够提高检测效率和检测的准确性,缓解了传统的邮件审计方法准确性差的技术问题。
可选地,获取模块包括:
获取单元,用于获取待审计邮件;
解析单元,用于根据多用途互联网邮件扩展类型标准对待审计邮件进行解析,得到待审计邮件的邮件信息。
可选地,获取单元包括:
提取子单元,用于在网络流量中提取邮件数据流,其中,邮件数据流至少包括:SMTP协议的数据流,IMAP协议的数据流,POP协议的数据流,WEBMALL协议的数据流;
解析子单元,用于对邮件数据流进行解析,进而得到邮件格式的待审计邮件;
或者,
读取子单元,用于在邮件格式的文件中读取待审计邮件。
可选地,标签设置模块包括:
第一确定单元,用于根据邮件头信息和邮件正文信息确定待审计邮件的目标邮件来源特征,并将目标邮件来源特征作为待审计邮件的邮件来源标签,其中,目标邮件来源特征为邮件来源特征库中的特征,邮件来源特征库包含多类邮件来源特征,每类邮件来源特征中包含多个来源特征词汇;
第二确定单元,用于根据邮件头信息和邮件正文信息确定待审计邮件所属的目标邮件涉及行业特征,并将目标邮件涉及行业特征作为待审计邮件的邮件涉及行业标签,其中,目标邮件涉及行业特征为邮件涉及行业特征库中的特征,邮件涉及行业特征库包含多类邮件涉及行业特征,每类邮件涉及行业特征中包含多个行业特征词汇;
第三确定单元,用于根据邮件正文信息确定待审计邮件的目标邮件行为特征,并将目标邮件行为特征作为待审计邮件的邮件行为标签,其中,目标邮件行为特征为邮件行为特征库中的特征,邮件行为特征库包含多类邮件行为特征,每类邮件行为特征中包含多个行为特征词汇。
可选地,第一确定单元包括:
第一设定子单元,如果邮件头信息中存在发件人邮箱地址配置时,则将发件人邮箱地址配置作为待审计邮件的目标邮件来源特征;
第一匹配子单元,如果不存在发件人邮箱地址配置时,则将邮件正文信息中的邮件正文句首称呼与邮件来源特征库中的来源特征词汇进行匹配,并根据与邮件正文句首称呼相匹配的来源特征词汇所属的邮件来源特征确定目标邮件来源特征;
第二设定子单元,如果不存在发件人邮箱地址配置,且不存在邮件正文句首称呼,则目标邮件来源特征为陌生人。
可选地,第二确定单元包括:
第二匹配子单元,用于将邮件头信息和邮件正文信息分别与行业特征词汇进行匹配;
第一确定子单元,用于根据与邮件头信息和邮件正文信息相匹配的行业特征词汇所属的邮件涉及行业特征确定目标邮件涉及行业特征。
可选地,第三确定单元包括:
第三匹配子单元,用于将邮件正文信息与行业特征词汇进行匹配;
第二确定子单元,用于根据与邮件正文信息相匹配的行为特征词汇所属的邮件行为特征确定目标邮件行为特征。
可选地,风险检测模块包括:
匹配单元,用于根据特征标签采用不同的恶意特征进行匹配;
计算单元,用于根据匹配结果进行风险度计算,得到风险值;
确定单元,如果风险值大于预设阈值,则确定待审计邮件为钓鱼邮件。
可选地,该装置还包括:
更新模块,用于基于邮件信息,特征标签,是否为钓鱼邮件的信息更新待审计邮件所对应的发件人信用库。
本发明实施例所提供的装置,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,装置实施例部分未提及之处,可参考前述方法实施例中相应内容。
本发明实施例所提供的基于行为分析的邮件审计方法及装置的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统和装置的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
另外,在本发明实施例的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (10)
1.一种基于行为分析的邮件审计方法,其特征在于,包括:
获取待审计邮件的邮件信息,其中,所述邮件信息包括:邮件头信息和邮件正文信息;
根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置,其中,所述预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
根据所述特征标签对所述待审计邮件进行风险检测,检测得到所述待审计邮件是否为钓鱼邮件的信息。
2.根据权利要求1所述的方法,其特征在于,获取待审计邮件的邮件信息包括:
获取所述待审计邮件;
根据多用途互联网邮件扩展类型标准对所述待审计邮件进行解析,得到所述待审计邮件的邮件信息。
3.根据权利要求2所述的方法,其特征在于,获取所述待审计邮件包括:
在网络流量中提取邮件数据流,其中,所述邮件数据流至少包括:SMTP协议的数据流,IMAP协议的数据流,POP协议的数据流,WEBMALL协议的数据流;
对所述邮件数据流进行解析,进而得到邮件格式的待审计邮件;
或者,
在邮件格式的文件中读取所述待审计邮件。
4.根据权利要求1所述的方法,其特征在于,根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置包括:
根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征,并将所述目标邮件来源特征作为所述待审计邮件的邮件来源标签,其中,所述目标邮件来源特征为所述邮件来源特征库中的特征,所述邮件来源特征库包含多类邮件来源特征,每类邮件来源特征中包含多个来源特征词汇;
根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征,并将所述目标邮件涉及行业特征作为所述待审计邮件的邮件涉及行业标签,其中,所述目标邮件涉及行业特征为所述邮件涉及行业特征库中的特征,所述邮件涉及行业特征库包含多类邮件涉及行业特征,每类邮件涉及行业特征中包含多个行业特征词汇;
根据所述邮件正文信息确定所述待审计邮件的目标邮件行为特征,并将所述目标邮件行为特征作为所述待审计邮件的邮件行为标签,其中,所述目标邮件行为特征为所述邮件行为特征库中的特征,所述邮件行为特征库包含多类邮件行为特征,每类邮件行为特征中包含多个行为特征词汇。
5.根据权利要求4所述的方法,其特征在于,根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件的目标邮件来源特征包括:
如果所述邮件头信息中存在发件人邮箱地址配置时,则将所述发件人邮箱地址配置作为所述待审计邮件的目标邮件来源特征;
如果不存在所述发件人邮箱地址配置时,则将所述邮件正文信息中的邮件正文句首称呼与所述邮件来源特征库中的来源特征词汇进行匹配,并根据与所述邮件正文句首称呼相匹配的来源特征词汇所属的邮件来源特征确定所述目标邮件来源特征;
如果不存在所述发件人邮箱地址配置,且不存在所述邮件正文句首称呼,则所述目标邮件来源特征为陌生人。
6.根据权利要求4所述的方法,其特征在于,根据所述邮件头信息和所述邮件正文信息确定所述待审计邮件所属的目标邮件涉及行业特征包括:
将所述邮件头信息和所述邮件正文信息分别与所述行业特征词汇进行匹配;
根据与所述邮件头信息和所述邮件正文信息相匹配的行业特征词汇所属的邮件涉及行业特征确定所述目标邮件涉及行业特征。
7.根据权利要求4所述的方法,其特征在于,根据所述邮件正文信息确定所述待审计邮件的目标邮件行为特征包括:
将所述邮件正文信息与所述行业特征词汇进行匹配;
根据与所述邮件正文信息相匹配的行为特征词汇所属的邮件行为特征确定所述目标邮件行为特征。
8.根据权利要求1所述的方法,其特征在于,根据所述特征标签对所述待审计邮件进行风险检测包括:
根据所述特征标签采用不同的恶意特征进行匹配;
根据匹配结果进行风险度计算,得到风险值;
如果所述风险值大于预设阈值,则确定所述待审计邮件为钓鱼邮件。
9.根据权利要求1所述的方法,其特征在于,在检测得到所述待审计邮件是否为钓鱼邮件的信息之后,所述方法还包括:
基于所述邮件信息,所述特征标签,所述是否为钓鱼邮件的信息更新所述待审计邮件所对应的发件人信用库。
10.一种基于行为分析的邮件审计装置,其特征在于,包括:
获取模块,用于获取待审计邮件的邮件信息,其中,所述邮件信息包括:邮件头信息和邮件正文信息;
标签设置模块,用于根据预设特征库分别对所述邮件头信息和所述邮件正文信息进行特征标签的设置,其中,所述预设特征库包括:邮件来源特征库,邮件涉及行业特征库,邮件行为特征库;
风险检测模块,用于根据所述特征标签对所述待审计邮件进行风险检测,检测得到所述待审计邮件是否为钓鱼邮件的信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811083322.1A CN109039874B (zh) | 2018-09-17 | 2018-09-17 | 一种基于行为分析的邮件审计方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811083322.1A CN109039874B (zh) | 2018-09-17 | 2018-09-17 | 一种基于行为分析的邮件审计方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109039874A true CN109039874A (zh) | 2018-12-18 |
| CN109039874B CN109039874B (zh) | 2021-08-20 |
Family
ID=64622526
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811083322.1A Active CN109039874B (zh) | 2018-09-17 | 2018-09-17 | 一种基于行为分析的邮件审计方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109039874B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965350A (zh) * | 2018-10-23 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
| CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
| CN112615772A (zh) * | 2020-11-16 | 2021-04-06 | 北京明朝万达科技股份有限公司 | 一种基于扫描系统的邮件拆解并重新组装的方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
| US20160366541A1 (en) * | 2015-06-10 | 2016-12-15 | Samsung Electronics Co., Ltd. | Electronic device and method for providing function in electronic device |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
-
2018
- 2018-09-17 CN CN201811083322.1A patent/CN109039874B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102098235A (zh) * | 2011-01-18 | 2011-06-15 | 南京邮电大学 | 一种基于文本特征分析的钓鱼邮件检测方法 |
| US20160366541A1 (en) * | 2015-06-10 | 2016-12-15 | Samsung Electronics Co., Ltd. | Electronic device and method for providing function in electronic device |
| CN108259415A (zh) * | 2016-12-28 | 2018-07-06 | 北京奇虎科技有限公司 | 一种邮件检测的方法及装置 |
| CN106685803A (zh) * | 2016-12-29 | 2017-05-17 | 北京安天网络安全技术有限公司 | 一种基于钓鱼邮件溯源apt攻击事件的方法及系统 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108965350A (zh) * | 2018-10-23 | 2018-12-07 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
| CN108965350B (zh) * | 2018-10-23 | 2021-04-23 | 杭州安恒信息技术股份有限公司 | 一种邮件审计方法、装置和计算机可读存储介质 |
| CN110995576A (zh) * | 2019-12-16 | 2020-04-10 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN110995576B (zh) * | 2019-12-16 | 2022-04-29 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN111404805A (zh) * | 2020-03-12 | 2020-07-10 | 深信服科技股份有限公司 | 一种垃圾邮件检测方法、装置、电子设备及存储介质 |
| CN112615772A (zh) * | 2020-11-16 | 2021-04-06 | 北京明朝万达科技股份有限公司 | 一种基于扫描系统的邮件拆解并重新组装的方法及装置 |
| CN112615772B (zh) * | 2020-11-16 | 2022-07-12 | 北京明朝万达科技股份有限公司 | 一种基于扫描系统的邮件拆解并重新组装的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109039874B (zh) | 2021-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10609073B2 (en) | Detecting phishing attempts | |
| US20230208813A1 (en) | Mitigating communication risk by detecting similarity to a trusted message contact | |
| US20210092154A1 (en) | Detection of external messaging attacks using trust relationships | |
| CN109039874B (zh) | 一种基于行为分析的邮件审计方法及装置 | |
| CN109328448B (zh) | 基于网络流数据的垃圾邮件分类系统 | |
| US8661545B2 (en) | Classifying a message based on fraud indicators | |
| US9143476B2 (en) | Real-time classification of email message traffic | |
| US20190052655A1 (en) | Method and system for detecting malicious and soliciting electronic messages | |
| US20190319905A1 (en) | Mail protection system | |
| US10204157B2 (en) | Image based spam blocking | |
| US20200084228A1 (en) | Detection of email spoofing and spear phishing attacks | |
| US8180837B2 (en) | Image spam filtering based on senders' intention analysis | |
| US20090300768A1 (en) | Method and apparatus for identifying phishing websites in network traffic using generated regular expressions | |
| US20220172170A1 (en) | Email security analysis | |
| US20230319065A1 (en) | Assessing Behavior Patterns and Reputation Scores Related to Email Messages | |
| CN110061981A (zh) | 一种攻击检测方法及装置 | |
| CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
| Stringhini et al. | That ain't you: detecting spearphishing emails before they are sent | |
| Berg | Development and implementation of a phishing email detection application | |
| US12047416B1 (en) | Intelligent anti-phishing management | |
| Selte | How moving from traditional signature analysis to automatic anomaly analysis affects user experience and security awareness | |
| BR102012014248A2 (pt) | Processo para obtenção do modelo de ameaça de phishing de e-mail |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |