CN110648118A - 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 - Google Patents
一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 Download PDFInfo
- Publication number
- CN110648118A CN110648118A CN201910927382.5A CN201910927382A CN110648118A CN 110648118 A CN110648118 A CN 110648118A CN 201910927382 A CN201910927382 A CN 201910927382A CN 110648118 A CN110648118 A CN 110648118A
- Authority
- CN
- China
- Prior art keywords
- file
- icon
- harpoon
- tested
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种鱼叉邮件检测方法,针对PE文件的附件,本申请通过实际图标样式与真实图标样式之间的匹配结果,确定出该PE文件是否使用了虚假的、伪装过的、用于骗取收件人信任的假图标文件,并在确定使用了假图标文件时,将该PE文件作为附件的待测邮件判定为鱼叉邮件。相比于现有技术,本申请无需耗费较长时间对附件实际执行的操作进行判断,若该PE文件使用了虚假的、经过伪装的图像文件,即可基于这一伪装行为快速确定出该PE文件为非正常附件,从而确定该待测邮件为鱼叉邮件,操作简单易行、效率更高、漏判率更低。本申请还同时公开了一种鱼叉邮件检测装置、电子设备及可读存储介质,具有上述有益效果。
Description
技术领域
本申请涉及恶意邮件检测技术领域,特别涉及一种鱼叉邮件检测方法、装置、电子设备及计算机可读存储介质。
背景技术
钓鱼邮件是一种以伪装和欺骗为重心的恶意邮件,其旨在通过伪装欺骗的方式引导收件人输入信用卡、银行卡号码、账户名称及密码等关键信息,进而盗取收件人的财产。引导方式通常为通过在邮件正文中设置链接的方式,让收件人登陆至特制的网页(通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,从而获取收件人在此页面上输入的信息)。
鱼叉邮件是钓鱼邮件的一种变种,与传统的钓鱼邮件不同的是,鱼叉附件将恶意内容以掺杂在附件中的方式来试图入侵收件人的主机。由于恶意内容存在于附件中,因此鱼叉邮件非常依赖收件人的主动点击来侵入主机。一旦收件人点击了此类附件,存储恶意内容的payload部分就会利用主机或系统的脆弱点侵入主机,从而在主机的操作系统运行。
为使恶意内容成功侵入收件人主机,鱼叉邮件会通过各种伪装方式让收件人认为邮件本身是可信的,进而主动去打开附加有恶意内容的附件,甚至主动关闭跳出风险提示的防御系统。
现有技术往往通过沙箱技术来虚拟执行附件的方式来判断其是否包含有恶意内容,但针对设置有反沙箱手段或其它手段来尽可能的拖延恶意操作的附件时,往往会因为实际检测过程对检测结果得出的实时性要求而得出错误的结论,从而使得包含有恶意内容的附件得以逃过检测。
因此,如何在满足实时性要求的情况下,提供一种检测效果更佳的鱼叉邮件检测机制,是本领域技术人员亟待解决的问题。
发明内容
本申请提供了一种鱼叉邮件检测方法、装置、电子设备及可读存储介质,旨在满足实时性要求的基础上,提升检测效果更佳。
为实现上述目的,本申请提供了一种鱼叉邮件检测方法,该方法包括:
从待测邮件中获取作为附件的PE文件;
从所述PE文件包含的图标文件中获取实际图标样式;
判断所述实际图标样式是否匹配于真实图标样式;其中,所述真实图标样式为从文件类型为所述PE文件的真实图标文件中提取到的图标样式;
若所述实际图标样式不匹配于所述真实图标样式,则判定所述待测邮件为鱼叉邮件。
可选的,若所述实际图标样式匹配于所述真实图标样式,还包括:
获取所述PE文件的文件名;
判断所述文件名中是否存在已知恶意文件名的文件名特征;
若所述文件名中存在所述文件名特征,则判定所述待测邮件为鱼叉邮件。
可选的,若所述实际图标样式匹配于真实图标样式,还包括:
从所述待测邮件中获取邮件正文;
判断所述邮件正文中是否存在已知恶意内容的内容特征;
若所述邮件正文中包含有所述内容特征,则判定所述待测邮件为鱼叉邮件。
可选的,在从所述PE文件包含的图标文件中获取实际图标样式之前,还包括:
判断所述PE文件是否为加壳的exe文件;
若所述PE文件为加壳的exe文件,则判定所述待测邮件为鱼叉邮件。
可选的,从待测邮件中获取作为附件的PE文件,包括:
从所述待测邮件中获取待测附件,并得到所述待测附件的实际大小;
判断所述实际大小是否处于预设的恶意文件大小区间中;
若所述实际大小处于所述恶意文件大小区间中,则判断所述待测附件是否为所述PE文件;
若所述待测附件为所述PE文件,则得到作为附件的PE文件。
可选的,若所述待测附件不是所述PE文件,还包括:
判断所述待测附件是否为压缩文件;
若所述待测附件为压缩文件,则对所述待测文件执行解压缩操作,并重新确定解压缩后得到的待测附件是否为所述PE文件。
可选的,在判定所述待测邮件为鱼叉邮件后,还包括:
确定所述待测邮件被判别为鱼叉邮件的直接原因;
将除所述直接原因外的其它原因确定为可疑原因;
将所述待测邮件中与所述可疑原因对应的邮件内容作为可疑内容更新至可疑鱼叉邮件特征库。
为实现上述目的,本申请还提供了一种鱼叉邮件检测装置,该装置包括:
PE附件获取单元,用于从待测邮件中获取作为附件的PE文件;
实际图标样式获取单元,用于从所述PE文件包含的图标文件中获取实际图标样式;
样式匹配判断单元,用于判断所述实际图标样式是否匹配于真实图标样式;其中,所述真实图标样式为从文件类型为所述PE文件的真实图标文件中提取到的图标样式;
鱼叉邮件第一判定单元,用于当所述实际图标样式不匹配于所述真实图标样式时,判定所述待测邮件为鱼叉邮件。
可选的,该鱼叉邮件检测装置还包括:
文件名获取单元,用于当所述实际图标样式匹配于所述真实图标样式时,获取所述PE文件的文件名;
恶意文件名特征存在判断单元,用于判断所述文件名中是否存在已知恶意文件名的文件名特征;
鱼叉邮件第二判定单元,用于当所述文件名中存在所述文件名特征时,判定所述待测邮件为鱼叉邮件。
可选的,该鱼叉邮件检测装置还包括:
邮件正文获取单元,用于若所述实际图标样式匹配于真实图标样式,从所述待测邮件中获取邮件正文;
鱼叉邮件内容特征存在判断单元,用于判断所述邮件正文中是否存在已知恶意内容的内容特征;
鱼叉邮件第三判定单元,用于当所述邮件正文中包含有所述内容特征时,判定所述待测邮件为鱼叉邮件。
可选的,该鱼叉邮件检测装置还包括:
加壳exe文件判断单元,用于在从所述PE文件包含的图标文件中获取实际图标样式之前,判断所述PE文件是否为加壳的exe文件;
鱼叉邮件第四判定单元,用于当所述PE文件为加壳的exe文件时,判定所述待测邮件为鱼叉邮件。
可选的,所述PE附件获取单元包括:
附件大小获取子单元,用于从所述待测邮件中获取待测附件,并得到所述待测附件的实际大小;
大小判断子单元,用于判断所述实际大小是否处于预设的恶意文件大小区间中;
PE文件判断子单元,用于所述实际大小处于所述恶意文件大小区间中,则判断所述待测附件是否为所述PE文件;
PE文件获取子单元,用于当所述待测附件为所述PE文件时,得到作为附件的PE文件。
可选的,该鱼叉邮件检测装置还包括:
压缩文件判断单元,用于若所述待测附件为非PE文件,判断所述非PE文件是否为压缩文件;
解压缩及文件类型重新判断单元,用于当所述非PE文件为压缩文件时,对所述非PE文件执行解压缩操作,并重新确定解压缩后得到的待测附件是否为所述PE文件。
可选的,该鱼叉邮件检测装置还包括:
直接原因确定子单元,用于在判定所述待测邮件为鱼叉邮件后,确定所述待测邮件被判别为鱼叉邮件的直接原因;
可疑原因确定子单元,用于将除所述直接原因外的其它原因确定为可疑原因;
可疑邮件内容更新单元,用于将所述待测邮件中与所述可疑原因对应的邮件内容作为可疑内容更新至可疑鱼叉邮件特征库。
为实现上述目的,本申请还提供了一种电子设备,该电子设备包括:
存储器,用于存储计算机程序;
处理器,用于在调用并执行所述计算机程序时实现如上述内容所描述的鱼叉邮件检测方法。
为实现上述目的,本申请还提供了一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序在被处理器调用并执行时实现如上述内容所描述的鱼叉邮件检测方法。
本申请提供了一种鱼叉邮件检测方法,包括:从待测邮件中获取作为附件的PE文件;从所述PE文件包含的图标文件中获取实际图标样式;判断所述实际图标样式是否匹配于真实图标样式;其中,所述真实图标样式为从文件类型为所述PE文件的真实图标文件中提取到的图标样式;若所述实际图标样式不匹配于所述真实图标样式,则判定所述待测邮件为鱼叉邮件。
显然,本申请针对PE文件的附件,通过实际图标样式与真实图标样式之间的匹配结果,确定出该PE文件是否使用了虚假的、伪装过的、用于骗取收件人信任的假图标文件,并在确定使用了假图标文件时,将该PE文件作为附件的待测邮件判定为鱼叉邮件。相比于现有技术,本申请无需耗费较长时间对附件实际执行的操作进行判断,若该PE文件使用了虚假的、经过伪装的图像文件,即可基于这一伪装行为快速确定出该PE文件为非正常附件,从而确定该待测邮件为鱼叉邮件,操作简单易行、效率更高、漏判率更低。
本申请同时还提供了一种鱼叉邮件检测装置、电子设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种鱼叉邮件检测方法的流程图;
图2为本申请实施例提供的另一种鱼叉邮件检测方法的流程图;
图3为本申请实施例提供的又一种鱼叉邮件检测方法的流程图;
图4为本申请实施例提供的再一种鱼叉邮件检测方法的流程图;
图5为本申请实施例提供的鱼叉邮件检测方法中一种对附件的处理方法的流程图;
图6为本申请实施例提供的还一种鱼叉邮件检测方法的流程示意图;
图7为本申请实施例提供的一种鱼叉邮件检测装置的结构框图。
具体实施方式
本申请提供了一种鱼叉邮件检测方法、装置、电子设备及可读存储介质,旨在满足实时性要求的基础上,提升检测效果更佳。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
实施例一
请参见图1,图1为本申请实施例提供的一种鱼叉邮件检测方法的流程图,其包括以下步骤:
S101:从待测邮件中获取作为附件的PE文件;
本步骤旨在从待测邮件中分离出文件类型为PE文件的附件,即本实施例的后续步骤是都是基于附件为PE文件展开的。
其中,可作为附件的文件类型有很多,例如WORD、PPT、JPG等非PE文件和PE文件。PE的全称是Portable Executable,意为可移植的可执行的文件,常见的EXE、DLL、OCX、SYS、COM都是PE文件。
S102:从PE文件包含的图标文件中获取实际图标样式;
在S101的基础上,本步骤旨在从该PE文件中获取实际图标样式。一个PE文件通常是多个数据文件的集合体,以常见的后缀为EXE的安装程序为例,其能够通过一步步的安装得到一个包含多个数据文件的新程序,说明该EXE文件中本身就包含有这些数据文件,只不过是通过封装的方式对外表现为单个文件。应当理解的是,在图型化操作界面大行其道的今天,为了便于用户辨识不同的程序,每种PE文件通常都具有互不相同的图标,以通过具有代表性和辨识性的图像元素来增强用户对其的辨识度。
鱼叉邮件为了尽可能的获取收件人的信任,包含恶意内容的附件通常都会经过伪装,以使收件人尽可能的将其误认为一个正常的附件,从而主动点击。因此本步骤从鱼叉邮件获取实际图标样式的目的,就是为后续步骤进行图标文件是否经过伪装的判断做准备,从而判断出作为附件的PE文件是否可信,并进而确定出待测邮件是否为鱼叉邮件。
S103:判断实际图标样式是否匹配于真实图标样式,若是,执行S104,否则执行S105;
在S102的基础上,本步骤旨在判断提取得到的实际图标样式是否匹配于真实图标样式,以便基于匹配结果确定待测邮件是否为鱼叉邮件。其中,真实图标样式为从文件类型为PE文件的真实图标文件中提取到的图标样式。
为便于理解,此处举例说明,假定从待测邮件中提取到一个文件类型为EXE的PE文件,但该PE文件的图标文件中提取到的实际图标样式明显不同于EXE常见的几种图标样式,而是一种格式为JPG的图像文件的图标样式。这就说明该待测邮件的发送者,为了降低收件人的警惕,将一个包含恶意内容的EXE文件通过修改图标文件的方式想让收件人误认为是一个简单的图像文件。当此种情况下发生在邮件接收情况时,将明显属于不怀好意的操作,因此本申请将基于发现的这一伪装操作,直接判定该待测邮件为鱼叉邮件。
图标样式的匹配操作本质上为基于图像处理技术下的相似度比对操作,通过相似度比对判断两个图像是否相同或是否一致。考虑到有些类型的PE文件在操作系统版本的更迭中存在多个不同的图标样式,匹配过程也应含盖备选的每一个图标样式。能够实现相似度比对和判别的图像处理算法有很多,此处并不做具体限定,只要能够实现这一目的即可。
S104:判定待测邮件为非鱼叉邮件;
本步骤建立在S103的判断结果为实际图标样式匹配于真实图标样式的基础上,说明该PE文件的图标文件并未遭到可以篡改,该PE文件并没有经过伪装,因此本实施例将基于在图标文件上不存在伪装行为的情况,判定该待测邮件为非鱼叉邮件。
S105:判定待测邮件为鱼叉邮件。
本步骤建立在S103的判断结果为实际图标样式不匹配于真实图标样式的基础上,说明该PE文件的图标文件遭到了篡改,与真实图标样式不一致,考虑到篡改图标文件的动机,本实施例将基于在图标文件上存在伪装行为的情况,判定该待测邮件为鱼叉邮件。
基于上述技术方案可以看出,本申请针对PE文件的附件,通过实际图标样式与真实图标样式之间的匹配结果,确定出该PE文件是否使用了虚假的、伪装过的、用于骗取收件人信任的假图标文件,并在确定使用了假图标文件时,将该PE文件作为附件的待测邮件判定为鱼叉邮件。相比于现有技术,本申请无需耗费较长时间对附件实际执行的操作进行判断,若该PE文件使用了虚假的、经过伪装的图像文件,即可基于这一伪装行为快速确定出该PE文件为非正常附件,从而确定该待测邮件为鱼叉邮件,操作简单易行、效率更高、漏判率更低。
实施例二
为判断出作为附件的PE文件是否进行了伪装,实施例一以图标样式为切入点进行了阐述,但考虑到复杂的实际情况,附件可进行伪装的方式不仅限于图标文件。因此为了尽可能减少漏判,本实施例在实施例仅基于图标样式的基础上,还将PE文件的文件名作为另一切入点进行额外的伪装判断,以期在结合更多特征的情况下尽可能的减少漏判。
请参见图2,图2为本申请实施例提供的另一种鱼叉邮件检测方法的流程图,包括以下步骤:
S201:从待测邮件中获取作为附件的PE文件;
S202:从PE文件包含的图标文件中获取实际图标样式;
S203:判断实际图标样式是否匹配于真实图标样式,若是,执行S204,否则执行S207;
S204:获取PE文件的文件名;
区别于实施例一,本实施例在实际图标样式匹配于真实图标样式的情况下,并不直接判定该待测邮件为非鱼叉邮件,而是又获取了该PE文件的文件名,以便通过后续的步骤对该PE文件是否在文件名上进行了伪装进行判断。
S205:判断文件名中是否存在已知恶意文件名的文件名特征,若是,执行S207,否则执行S206;
在S204的基础上,本步骤旨在判断获取到的文件名中是否存在已知恶意文件名的文件名特征。其中,该文件名特征是从已知的包含有恶意内容的恶意文件的文件名中提炼出的特征,恶意附件为了吸引收件人主动点击,往往会将文件名起的具有一定的诱惑性,因此可从真实实例中提炼出的文件名特征(例如文法特征,即是否具有特定的文法)。因此将可以作为该文件名特征用于判断该PE文件的文件名是否经过伪装。
S206:判定待测邮件为非鱼叉邮件;
本步骤建立在S205的判断结果为文件名中不存在已知恶意文件名的文件名特征的基础上,而S205又建立在S203的判断结果为实际图标样式匹配于真实图标样式的基础上,说明先后经过图标文件和文件名两个特征的检测均未发现存在伪装的行为,因此将得以更有力度、更准确的确定该待测邮件为非鱼叉邮件。
S207:判定待测邮件为鱼叉邮件。
本步骤建立在S203的判断结果为实际图标样式不匹配于真实图标样式,或S205的判断结果为文件名中存在已知恶意文件名的文件名特征的基础上,说明在该PE文件未完全通过图标样式和文件名这两个特征的检测的情况下,该PE文件至少在一个方面进行了伪装,因此将判定该待测邮件为鱼叉邮件。
本实施例在实施例一的基础上,针对作为附件的PE文件,不仅从图标样式这一方面进行了是否存在伪装的检测,还从文件名这一方面进行了更全面的检测,使得在更多检测特征的帮助下,漏判的几率更小。
需要说明的是,实施例二按照先进行图标样式检测,在图标样式检测通过的情况下又进行了文件名检测的方式给出了一套实施方案,但由于图标样式检测与文件名检测两者本身并无依赖关系,也可以采用同时、并列执行的方式来实现同样的目的,或者在仍按照依次执行的方式下,颠倒两个检测的执行先后顺序。具体选用哪种实现方式可根据实际情况下灵活选择,实施例二仅作为其中示例性方案存在。
实施例三
为判别出待测邮件是否为鱼叉邮件,实施例一和实施例二均是基于附件的相关特征(附件的图标样式和文件名)来判断附件是否经过伪装,从而判定包含该附件的待测邮件是否为鱼叉邮件。本实施例为了进一步的减少漏判,并不仅仅基于附件的特征,还结合待测邮件的正文从另一角度判断与鱼叉邮件是否相似,以期尽可能的减少漏判。
请参见图3,图3为本申请实施例提供的又一种鱼叉邮件检测方法的流程图,包括以下步骤:
S301:从待测邮件中获取作为附件的PE文件;
S302:从PE文件包含的图标文件中获取实际图标样式;
S303:判断实际图标样式是否匹配于真实图标样式,若是,执行S304,否则执行S307;
S304:从待测邮件中获取邮件正文;
区别于实施例一,本实施例在实际图标样式匹配于真实图标样式的基础上,还从待测邮件中获取了邮件正文,以从邮件正文是否相似于真实鱼叉邮件的邮件正文来进一步确定该待测邮件是否为鱼叉邮件。
S305:判断邮件正文中是否存在已知恶意内容的内容特征,若是,执行S307,否则执行S306;
在S304的基础上,本步骤旨在通过判断邮件正文中是否存在已知恶意内容的内容特征,来确定获取到的邮件正文是否相似于真实鱼叉邮件的邮件正文,并进而确定出该待测邮件是否为鱼叉邮件。
S306:判定待测邮件为非鱼叉邮件;
本步骤建立在S305的判断结果为邮件正文中不存在已知恶意内容的内容特征的基础上,而S305又建立在S303的判断结果为实际图标样式匹配于真实图标样式,说明本实施例先后对附件的图标样式和邮件的邮件正文两个不同特征的检测,均未发现伪装和相似于鱼叉邮件的情况,因此判定该待测邮件为非鱼叉邮件。
S307:判定待测邮件为鱼叉邮件。
本步骤建立在S303的判断结果为实际图标样式不匹配于真实图标样式,或S305的判断结果为邮件正文中存在已知恶意内容的内容特征的基础上,说明在该待测邮件在附件和邮件正文两个方面未全部通过检测,该待测邮件至少在一个相似于鱼叉邮件,因此将判定该待测邮件为鱼叉邮件
本实施例在实施例一的基础上,针对待测邮件,不仅从附件的图标样式这一方面进行了是否存在伪装的检测,还从邮件正文这一方面进行了更全面的检测,使得在更多检测特征的帮助下,漏判的几率更小。
需要说明的是,实施例二按照先进行图标样式检测,在图标样式检测通过的情况下又针对邮件正文进行了检测的方式给出了一套实施方案。但由于对附件进行的图标样式检测和对邮件正文进行的内容相似性检测两者本身并无依赖关系,也可以采用同时、并列执行的方式来实现同样的目的,或者在仍按照依次执行的方式下,颠倒两个检测的执行先后顺序。具体选用哪种实现方式可根据实际情况下灵活选择,实施例三仅作为其中示例性方案存在。
进一步的,还可以将实施例二给出的针对附件进行的文件名检测也作为另一个特征补充进来,从而组合得到一个三特征检测方案,以期实现更优的检测效果。
实施例四
在上述任意实施例的基础上,本申请针对作为附件的PE文件从另一方面增加了一种检测方式,即通过判断该PE文件是否为加壳的exe文件来确定该附件是否可信,若为加壳的exe文件将无需进行后续判断,快速得出结论。
请参见图四,图4为本申请实施例提供的再一种鱼叉邮件检测方法的流程图,包括以下步骤:
S401:从待测邮件中获取作为附件的PE文件;
S402:判断PE文件是否为加壳的exe文件,若是,执行S406,否则执行S403;
区别于上述任意实施例,本实施例在得到作为附件的PE文件后,还对该PE文件是否具体为加壳的exe文件进行了判断。加壳是一种加密的封装手段,常见为数据的加密传输,但在邮件收发这一场景下,加壳行为极大的增加了该附件为可疑附件的概率,因为一般即使要加壳也不会选择在这种情景。
因此,当判断该PE文件是加壳的exe文件时,本实施例将直接判定该待测邮件为鱼叉邮件,减少后续需要进行的判断,增加效率。
S403:从PE文件包含的图标文件中获取实际图标样式;
S404:判断实际图标样式是否匹配于真实图标样式,若是,执行S405,否则执行S406;
S405:判定待测邮件为非鱼叉邮件;
S406:判定待测邮件为鱼叉邮件。
实施例五
在上述任意实施例的基础上,本实施例着重针对“从待测邮件中获取作为附件的PE文件”这一步骤在具体场景下如何实现进行了阐述,并结合其中可用于节省后续判断操作、直接得出是否为鱼叉邮件结论的情况进行了说明,以通过此种方式尽可能的减少判断环节,提升效率。
请参见图五,图5为本申请实施例提供的鱼叉邮件检测方法中一种对附件的处理方法的流程图,包括以下步骤:
S501:从待测邮件中获取待测附件,并得到待测附件的实际大小;
S502:判断实际大小是否处于预设的恶意文件大小区间中,若是,执行S503,否则执行S507;
S501和S502从待测附件的实际大小出现,基于常见的鱼叉邮件的附件大小区间进行一致性判断,得以快速的筛选出可能为可疑附件的邮件,减少对其它邮件进行的判断操作。
S503:判断待测附件是否为PE文件,若是,执行S504,否则执行S505;
在实际大小处于预设的恶意文件大小区间的基础上,本步骤旨在对该待测附件是否PE文件进行判断,若不是PE文件,将不再本申请考虑范围内,因此将直接丢弃该待测附件,即放弃对该待测附件进行后续检测。
S504:得到作为附件的PE文件;
S505:判断待测附件是否为压缩文件,若是,执行S506,否则执行S507;
S506:对待测附件执行解压缩操作,并重新确定解压缩后得到的待测附件是否为PE文件;
在待测附件不是PE文件的基础上,本步骤旨在判断待测附件是否为压缩文件,并在确定为压缩文件的基础上,对其进行解压缩操作,以重新对解压缩后得到的待测附件是否PE文件进行判断,减少漏判。
S507:丢弃待测附件。
其中,S505、S506可独立于S501、S502的方案单独存在,此处只不过是将这两个存在较强关联性的方案组合在了一起,作为一个示例性优选实施例存在。
为便于理解,本申请将上述各实施例分别在实施例一方案基础给出的补充方案进行了汇合和整理,得到了如图6所示的流程示意图。可以看到,图6中将待测邮件首先分为附件和邮件正文两大部分,针对附件,又按照先后顺序分为附件大小检测、PE文件检测、压缩文件检测、附件图标样式检测、附件名检测几项;针对邮件正文,提供了邮件正文的内容相似性检测。上述5个实施例分别对上述几项检测具体如何实现进行了说明,图6只是一种将所有可行方案整合起来得到的一个示例性方案,根据实际情况可自行对执行顺序、选用哪些特征参与得到结论进行选择。
在上述对如何得到判断结论进行了全面的阐述,为了在不断的检测过程中逐渐丰富数据库中存储的特征,以期不断提升检出率,本申请还提供了如下方案:
确定待测邮件被判别为鱼叉邮件的直接原因;
将除直接原因外的其它原因确定为可疑原因;
将待测邮件中与可疑原因对应的邮件内容作为可疑内容更新至可疑鱼叉邮件特征库。
为便于理解,此处举例说明:
基于上述内容假定一共通过3种特征来共同得到判断结果,具体为:附件的图标样式和文件名,以及邮件正文。若仅在图标样式环节判断出不匹配从而将该待测邮件判别为鱼叉邮件,其它两个特征并没有检测出异常,则图标样式为上述方案所描述的直接原因(即直接影响得出判断结果的特征),文件名和邮件正文则为可疑原因(即未能帮忙得出判断结果的特征)。在这种情况下,虽然文件名和邮件正文基于现有的已知特征未检测出异常,但在得到该邮件为鱼叉邮件的情况下,有很大可能是已知特征未覆盖全面导致的,因此此处将邮件内中的附件的文件名和邮件正文也作为可疑内容更新至可疑鱼叉邮件特征库,以使特征库通过此种方式不断得到扩充和丰富。
因为情况复杂,无法一一列举进行阐述,本领域技术人员应能意识到根据本申请提供的基本方法原理结合实际情况可以存在很多的例子,在不付出足够的创造性劳动下,应均在本申请的保护范围内。
下面请参见图7,图7为本申请实施例所提供的一种鱼叉邮件检测装置的结构框图,该装置可以包括:
PE附件获取单元100,用于从待测邮件中获取作为附件的PE文件;
实际图标样式获取单元200,用于从PE文件包含的图标文件中获取实际图标样式;
样式匹配判断单元300,用于判断实际图标样式是否匹配于真实图标样式;其中,真实图标样式为从文件类型为PE文件的真实图标文件中提取到的图标样式;
鱼叉邮件第一判定单元400,用于当实际图标样式不匹配于真实图标样式时,判定待测邮件为鱼叉邮件。
进一步的,该鱼叉邮件检测装置还可以包括:
文件名获取单元,用于当实际图标样式匹配于真实图标样式时,获取PE文件的文件名;
恶意文件名特征存在判断单元,用于判断文件名中是否存在已知恶意文件名的文件名特征;
鱼叉邮件第二判定单元,用于当文件名中存在文件名特征时,判定待测邮件为鱼叉邮件。
进一步的,该鱼叉邮件检测装置还可以包括:
邮件正文获取单元,用于若实际图标样式匹配于真实图标样式,从待测邮件中获取邮件正文;
鱼叉邮件内容特征存在判断单元,用于判断邮件正文中是否存在已知恶意内容的内容特征;
鱼叉邮件第三判定单元,用于当邮件正文中包含有内容特征时,判定待测邮件为鱼叉邮件。
进一步的,该鱼叉邮件检测装置还可以包括:
加壳exe文件判断单元,用于在从PE文件包含的图标文件中获取实际图标样式之前,判断PE文件是否为加壳的exe文件;
鱼叉邮件第四判定单元,用于当PE文件为加壳的exe文件时,判定待测邮件为鱼叉邮件。
其中,该PE附件获取单元100可以包括:
附件大小获取子单元,用于从待测邮件中获取待测附件,并得到待测附件的实际大小;
大小判断子单元,用于判断实际大小是否处于预设的恶意文件大小区间中;
PE文件判断子单元,用于实际大小处于恶意文件大小区间中,则判断待测附件是否为PE文件;
PE文件获取子单元,用于当待测附件为PE文件时,得到作为附件的PE文件。
进一步的,该鱼叉邮件检测装置还可以包括:
压缩文件判断单元,用于若待测附件为非PE文件,判断非PE文件是否为压缩文件;
解压缩及文件类型重新判断单元,用于当非PE文件为压缩文件时,对非PE文件执行解压缩操作,并重新确定解压缩后得到的待测附件是否为PE文件。
更进一步的,该鱼叉邮件检测方法还可以包括:
直接原因确定子单元,用于在判定待测邮件为鱼叉邮件后,确定待测邮件被判别为鱼叉邮件的直接原因;
可疑原因确定子单元,用于将除直接原因外的其它原因确定为可疑原因;
可疑邮件内容更新单元,用于将待测邮件中与可疑原因对应的邮件内容作为可疑内容更新至可疑鱼叉邮件特征库。
本实施例作为对应于方法实施例的一个装置实施例存在,具有方法实施例的全部有益效果,此处不再一一赘述。
基于上述实施例,本申请还提供了一种电子设备,该电子设备可以包括存储器和处理器,其中,该存储器中存有计算机程序,该处理器在调用并执行该存储器中存储的计算机程序时,可以实现上述实施例所提供的鱼叉邮件检测方法的各步骤。当然,该电子设备还可以包括各种必要的网络接口、电源以及其它零部件等。
本申请还提供了一种可读存储介质,其上存有计算机程序,该计算机程序被执行终端或处理器调用并执行时可以实现上述实施例所提供的鱼叉邮件检测方法的各步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请的范围。
本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其它变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其它要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种鱼叉邮件检测方法,其特征在于,包括:
从待测邮件中获取作为附件的PE文件;
从所述PE文件包含的图标文件中获取实际图标样式;
判断所述实际图标样式是否匹配于真实图标样式;其中,所述真实图标样式为从文件类型为所述PE文件的真实图标文件中提取到的图标样式;
若所述实际图标样式不匹配于所述真实图标样式,则判定所述待测邮件为鱼叉邮件。
2.根据权利要求1所述的鱼叉邮件检测方法,其特征在于,若所述实际图标样式匹配于所述真实图标样式,还包括:
获取所述PE文件的文件名;
判断所述文件名中是否存在已知恶意文件名的文件名特征;
若所述文件名中存在所述文件名特征,则判定所述待测邮件为鱼叉邮件。
3.根据权利要求1所述的鱼叉邮件检测方法,其特征在于,若所述实际图标样式匹配于真实图标样式,还包括:
从所述待测邮件中获取邮件正文;
判断所述邮件正文中是否存在已知恶意内容的内容特征;
若所述邮件正文中包含有所述内容特征,则判定所述待测邮件为鱼叉邮件。
4.根据权利要求1所述的鱼叉邮件检测方法,其特征在于,在从所述PE文件包含的图标文件中获取实际图标样式之前,还包括:
判断所述PE文件是否为加壳的exe文件;
若所述PE文件为加壳的exe文件,则判定所述待测邮件为鱼叉邮件。
5.根据权利要求1所述的鱼叉邮件检测方法,其特征在于,从待测邮件中获取作为附件的PE文件,包括:
从所述待测邮件中获取待测附件,并得到所述待测附件的实际大小;
判断所述实际大小是否处于预设的恶意文件大小区间中;
若所述实际大小处于所述恶意文件大小区间中,则判断所述待测附件是否为所述PE文件;
若所述待测附件为所述PE文件,则得到作为附件的PE文件。
6.根据权利要求5所述的鱼叉邮件检测方法,其特征在于,若所述待测附件不是所述PE文件,还包括:
判断所述待测附件是否为压缩文件;
若所述待测附件为压缩文件,则对所述待测附件执行解压缩操作,并重新确定解压缩后得到的待测附件是否为所述PE文件。
7.根据权利要求1至6任一项所述的鱼叉邮件检测方法,其特征在于,在判定所述待测邮件为鱼叉邮件后,还包括:
确定所述待测邮件被判别为鱼叉邮件的直接原因;
将除所述直接原因外的其它原因确定为可疑原因;
将所述待测邮件中与所述可疑原因对应的邮件内容作为可疑内容更新至可疑鱼叉邮件特征库。
8.一种鱼叉邮件检测装置,其特征在于,包括:
PE附件获取单元,用于从待测邮件中获取作为附件的PE文件;
实际图标样式获取单元,用于从所述PE文件包含的图标文件中获取实际图标样式;
样式匹配判断单元,用于判断所述实际图标样式是否匹配于真实图标样式;其中,所述真实图标样式为从文件类型为所述PE文件的真实图标文件中提取到的图标样式;
鱼叉邮件第一判定单元,用于当所述实际图标样式不匹配于所述真实图标样式时,判定所述待测邮件为鱼叉邮件。
9.一种电子设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于在调用并执行所述计算机程序时,实现如权利要求1至7任一项所述的鱼叉邮件检测方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序,所述计算机程序在被处理器调用并执行时,实现如权利要求1至7任一项所述的鱼叉邮件检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910927382.5A CN110648118A (zh) | 2019-09-27 | 2019-09-27 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910927382.5A CN110648118A (zh) | 2019-09-27 | 2019-09-27 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110648118A true CN110648118A (zh) | 2020-01-03 |
Family
ID=68993036
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910927382.5A Pending CN110648118A (zh) | 2019-09-27 | 2019-09-27 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110648118A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
| CN111404806A (zh) * | 2020-03-16 | 2020-07-10 | 深信服科技股份有限公司 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
| CN111614543A (zh) * | 2020-04-10 | 2020-09-01 | 中国科学院信息工程研究所 | 一种基于url的鱼叉式钓鱼邮件检测方法及系统 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| CN103793649A (zh) * | 2013-11-22 | 2014-05-14 | 北京奇虎科技有限公司 | 通过云安全扫描文件的方法和装置 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| US9246933B1 (en) * | 2012-07-25 | 2016-01-26 | Symantec Corporation | Systems and methods for detecting malicious email attachments |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
| CN108270786A (zh) * | 2018-01-16 | 2018-07-10 | 广东欧珀移动通信有限公司 | 应用程序的权限管理方法、装置、存储介质及智能终端 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
| CN109101817A (zh) * | 2018-08-13 | 2018-12-28 | 亚信科技(成都)有限公司 | 一种识别恶意文件类别的方法及计算设备 |
| CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
| CN110135153A (zh) * | 2018-11-01 | 2019-08-16 | 哈尔滨安天科技股份有限公司 | 软件的可信检测方法及装置 |
-
2019
- 2019-09-27 CN CN201910927382.5A patent/CN110648118A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101329711A (zh) * | 2008-07-24 | 2008-12-24 | 成都市华为赛门铁克科技有限公司 | 一种计算机文件检测的方法及装置 |
| US9246933B1 (en) * | 2012-07-25 | 2016-01-26 | Symantec Corporation | Systems and methods for detecting malicious email attachments |
| CN103793649A (zh) * | 2013-11-22 | 2014-05-14 | 北京奇虎科技有限公司 | 通过云安全扫描文件的方法和装置 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
| CN107025407A (zh) * | 2017-03-22 | 2017-08-08 | 国家计算机网络与信息安全管理中心 | 一种office文档文件的恶意代码检测方法及系统 |
| CN108270786A (zh) * | 2018-01-16 | 2018-07-10 | 广东欧珀移动通信有限公司 | 应用程序的权限管理方法、装置、存储介质及智能终端 |
| CN109101817A (zh) * | 2018-08-13 | 2018-12-28 | 亚信科技(成都)有限公司 | 一种识别恶意文件类别的方法及计算设备 |
| CN110135153A (zh) * | 2018-11-01 | 2019-08-16 | 哈尔滨安天科技股份有限公司 | 软件的可信检测方法及装置 |
| CN109672607A (zh) * | 2018-12-20 | 2019-04-23 | 东软集团股份有限公司 | 一种邮件处理方法、装置及存储设备、程序产品 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
| CN111404806A (zh) * | 2020-03-16 | 2020-07-10 | 深信服科技股份有限公司 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
| CN111614543A (zh) * | 2020-04-10 | 2020-09-01 | 中国科学院信息工程研究所 | 一种基于url的鱼叉式钓鱼邮件检测方法及系统 |
| CN111614543B (zh) * | 2020-04-10 | 2021-09-14 | 中国科学院信息工程研究所 | 一种基于url的鱼叉式钓鱼邮件检测方法及系统 |
| CN112511517A (zh) * | 2020-11-20 | 2021-03-16 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN112511517B (zh) * | 2020-11-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及介质 |
| CN114004604A (zh) * | 2021-12-30 | 2022-02-01 | 北京微步在线科技有限公司 | 一种邮件中url数据的检测方法、装置、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110648118A (zh) | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 | |
| US20240121266A1 (en) | Malicious script detection | |
| US9560059B1 (en) | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection | |
| US10489606B2 (en) | System, method, and computer program product for preventing image-related data loss | |
| US8635700B2 (en) | Detecting malware using stored patterns | |
| US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
| US8443449B1 (en) | Silent detection of malware and feedback over a network | |
| US7721334B2 (en) | Detection of code-free files | |
| AU2012347737B2 (en) | System and method for detecting malware in documents | |
| US20120174227A1 (en) | System and Method for Detecting Unknown Malware | |
| Pasupulati et al. | Buttercup: On network-based detection of polymorphic buffer overflow vulnerabilities | |
| US9239922B1 (en) | Document exploit detection using baseline comparison | |
| US20070192857A1 (en) | System and method for enforcing a security context on a downloadable | |
| CN103310150A (zh) | 一种检测pdf漏洞的方法和装置 | |
| CN109450929B (zh) | 一种安全检测方法及装置 | |
| US11809556B2 (en) | System and method for detecting a malicious file | |
| CN113438225B (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| JP2015191458A (ja) | ファイル危険性判定装置、ファイル危険性判定方法、及びプログラム | |
| CN113630397A (zh) | 电子邮件安全控制方法、客户端及系统 | |
| CN111262831A (zh) | 钓鱼邮件检测方法、装置、设备及计算机可读存储介质 | |
| US20210165904A1 (en) | Data loss prevention | |
| US20210073384A1 (en) | System and method for generating a representation of a web resource to detect malicious modifications of the web resource | |
| Cusack et al. | Identifying bugs in digital forensic tools | |
| JP2019101656A (ja) | 情報処理装置、情報処理方法、プログラム | |
| US12101352B1 (en) | Identifying and protecting against malicious electronic messages that deceptively appear to originate from a trusted source |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200103 |
|
| RJ01 | Rejection of invention patent application after publication |