CN111083043A - 一种邮箱恶意自动转发行为识别方法及装置 - Google Patents

一种邮箱恶意自动转发行为识别方法及装置 Download PDF

Info

Publication number
CN111083043A
CN111083043A CN201911365201.0A CN201911365201A CN111083043A CN 111083043 A CN111083043 A CN 111083043A CN 201911365201 A CN201911365201 A CN 201911365201A CN 111083043 A CN111083043 A CN 111083043A
Authority
CN
China
Prior art keywords
forwarding
data
mail
automatic
metadata
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201911365201.0A
Other languages
English (en)
Other versions
CN111083043B (zh
Inventor
赵双
王菲飞
钟山
白波
刘澄澄
于平
于海波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Institute of Information Engineering of CAS
Original Assignee
Institute of Information Engineering of CAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Institute of Information Engineering of CAS filed Critical Institute of Information Engineering of CAS
Priority to CN201911365201.0A priority Critical patent/CN111083043B/zh
Publication of CN111083043A publication Critical patent/CN111083043A/zh
Application granted granted Critical
Publication of CN111083043B publication Critical patent/CN111083043B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种邮箱恶意自动转发行为识别方法及装置,通过解析流量数据形成邮件元数据,经过清洗筛选等预处理,对邮件元数据进行统计和特征分析,产生转发关系列表,对相似的转发目标进行归并,根据归并结果统计分析,从而识别出邮件数据中的邮箱恶意自动转发行为。本发明可使业务部门通过监测受保护邮箱系统的数据,及时发现邮箱恶意自动转发行为,并根据判定结果进行告警。

Description

一种邮箱恶意自动转发行为识别方法及装置
技术领域
本发明涉及一种邮箱恶意自动转发行为识别方法及装置,尤其涉及一种根据原始流量或者从原始流量中还原出的POP/IMAP/SMTP协议元数据检测发现邮箱恶意自动转发行为的方法及装置,属于信息安全领域。
技术背景
目前,邮件能够直观、准确的传输和记录信息,已经成为人们日常工作中必不可少的一种沟通方式。邮件自动转发是邮件系统为用户提供的一项更为便捷的功能,邮件系统能够根据用户的配置自行发起邮件转发行为,实时地将收到的邮件转发到目的邮箱。由于邮件自动转发具有较高的实时性,且一旦设置后即便用户修改邮箱密码也依然有效,因此也经常被用作窃取邮箱数据的一种方式,给用户的邮件安全带来了巨大的风险。
传统的邮件服务提供商主要通过邮箱地址检测、附件格式检测以及众包举报等方式对邮件的安全性进行检测,这些方式对用于黑产和种植木马的恶意邮件有一定效果,但无法检测发现邮箱因被恶意设置自动转发,导致邮件信息被长期窃取的情况。
发明内容
针对被恶意设置自动转发,长期窃取邮箱内邮件信息的情况,本发明的目的在于提出一种邮箱恶意自动转发行为识别方法,通过解析流量数据形成邮件元数据,经过清洗筛选等预处理,对邮件元数据进行统计和特征分析,产生转发关系列表,对相似的转发目标进行归并,根据归并结果统计分析,从而识别出邮件数据中的邮箱恶意自动转发行为。
为实现上述目的,本发明对邮箱恶意转发行为的识别方法主要包括以下步骤:
(1)从接入的网络流量中抽取POP/IMAP/SMTP协议数据,对抽取的协议数据进行解析,形成邮件元数据集;
(2)对邮件元数据集进行数据清洗,去除无用数据,并将清洗后数据整合、排序形成一个有序数据集;
(3)从完整的有序数据集中提取要检测的特定时间区间内的数据,形成一个待检测数据文件,设定滑动窗口时间,对待检测数据文件中每条数据以滑动窗口为范围向前搜索数据,按设定规则筛选具有自动转发关系的邮件,并提取转发源、转发目标和转发比例,生成邮件自动转发列表;
(4)过滤掉邮件自动转发关系列表中转发比例低于设定阈值的转发关系,并对相似的转发目标进行归并,对归并形成的每一类转发目标,统计其转发源数量,若同类转发目标对应的转发源数量超过设定阈值,则判定这些转发源与其转发目标之间存在恶意自动转发行为。
进一步地,步骤(1)中所述邮件元数据集可表示为F={M1,M2,…,Mn},其中Mi表示一条邮件数据。Mi是一个包含<fromi,toi,si,ti>的四元组,其中from为发件人,to为收件人,s为邮件主题,t为发送时间,i∈[1,n]。发件人from和收件人to均为格式为username@hostname的字符串,username代表邮箱登录用户名,hostname代表邮箱服务提供商。
进一步地,步骤(2)中所述清洗和排序是对邮件元数据集F进行筛选,去除残缺数据,保证每条数据中四元组信息完整,并对数据Mi以元素t进行排序,生成一个有序数据集F’。若存在多个邮件子数据集F1、F2、…、Fn,对所有子数据集进行清洗,并将所有数据以元素t进行排序,合并生成一个有序邮件数据集F’。
进一步地,步骤(3)中所述特定时间区间可以为1d。
进一步地,步骤(3)中所述滑动窗口时间可以设定为3min。若邮箱设置了自动转发,当该邮箱收到邮件后会立即(在很短时间内)转发至目标设定的目的邮箱。
进一步地,步骤(3)中所述设定规则是指在一个较短的时间窗口内(例如3min)存在两条按时间先后顺序排列的邮件元数据,前一个元数据中的收件人为后一个元数据中的发件人,且两个邮件数据主题相同,则判定前一条元数据中的收件人将邮件自动转发至后一个元数据中的收件人,转发源为前一个元数据中的收件人,转发目标为后一个元数据中的收件人。
进一步地,步骤(3)中所述自动转发关系包含了从待检测数据集中通过自动转发关系判定规则统计分析出的转发源、转发目标、自动转发次数、自动转发比例等信息,其中,自动转发比例的计算方法为:对于每个自动转发关系,统计检测时间段内转发源邮箱的收邮次数以及自动转发次数,由自动转发次数/收邮次数计算其自动转发比。
进一步地,步骤(4)中自动转发比例的设定阈值th1优选为0.9-1.0。
进一步地,步骤(4)中所述恶意自动转发行为是指多个邮箱中大量邮件被自动转发到一个邮箱地址或用户名相似的一类邮箱地址的行为。在自动转发关系中恶意的转发目标通常为批量注册邮箱,其username具有大量相同字符串且hostname相同。将hostname相同且username相似的转发目标归并为同一类,并分别计算每个归并后转发目标的转发源数量,若同类转发目标对应的转发源超过设定阈值,则判定这些转发源与其转发目标之间存在邮箱恶意自动转发行为。
进一步地,步骤(4)中转发源数量设定阈值th2不小于2。
为实现上述目的,本发明还提供了一种邮件恶意自动转发行为识别装置,包括数据抽取与解析模块、数据清洗与排序模块、自动转发关系生成模块,恶意自动转发行为分析与判定模块;
数据抽取与解析模块,用于接收原始流量数据,从中抽取POP/IMAP/SMTP数据,最终数据解析成邮件元数据;
数据清洗与排序模块,用于处理对邮件元数据进行清洗,去除残缺或无用数据,并对数据进行排序,生成有序数据集;
自动转发关系生成模块,用于根据检测时间从有序数据集中选择待检测数据,统计邮件收发数据形成收邮统计列表,并根据滑动时间窗口识别自动转发关系,转发源自动转发次数,结合收邮统计列表计算自动转发关系自动转发比,并生成自动转发关系列表;
恶意自动转发行为分析与判定模块,用于对自动转发关系列表进行分析,过滤掉自动转发比低于设定阈值的转发关系,将相似转发目标归并为一类,转发关系按转发目标归并类别划分,统计类别转发源数量,最终通过设定阈值判定邮箱恶意转发行为,并输出结果和告警。
与现有技术相比,本发明的积极效果为:
邮箱自动转发本身并非是一种恶意行为,但是若一段时间内存在大量邮件被自动转发到一类邮箱地址或一个邮箱地址,那么其中就存在很大风险。本发明利用原始流量中抽取的POP/IMAP/SMTP协议数据解析出邮件元数据,通过对邮件元数据中的特征进行统计和分析,将相似转发目标归并为一类,关联邮件转发关系,使得在大量看似正常的邮件收发数据中识别恶意转发行为成为可能。本发明可使业务部门通过监测受保护邮箱系统的数据,及时发现邮箱恶意自动转发行为,并根据判定结果进行告警。
附图说明
图1邮件恶意自动转发行为识别方法流程图
图2邮件恶意自动转发行为识别装置模块关系图
具体实施方式
以下结合附图对本发明的优选实施例进行说明,应当理解,此处所描述的实施例仅用于说明和解释本发明,并不用于限定本发明。
本实施例提出的一种邮件恶意自动转发行为识别方法,图1为本方法的流程图,本方法的步骤具体说明如下。
1、数据抽取与解析
本网络装置可以从接入的网络流量中抽取所需协议数据,解析形成邮件元数据并生成邮件数据集,具体步骤如下:
(Step1):从接入的网络流量中抽取POP/IMAP/SMTP协议数据。
(step2):对抽取的协议数据进行解析,获取邮件元数据Mi,可用四元组表示为Mi=<fromi,toi,si,ti>,其中fromi为发件人,toi为收件人,si为邮件主题,ti为时间。在邮件元数据中,发件人fromi和收件人toi格式均为username@hostname的字符串,username代表邮箱登录用户名,hostname代表邮箱服务提供商。邮件数据集由n条邮件元数据组成,即F={M1,M2,…,Mn}。
2、数据清洗与排序
本网络装置可以对邮件元数据集进行数据清洗、排序,生成有序数据集。具体步骤如下:
(Step1):检测邮件数据集中各元素内容,去除残缺数据,保证数据集中四元组数据完整。
(Step2):对清洗后的邮件数据集,将邮件元数据Mi以元素t进行排序,形成有序数据集F’。此步骤中若存在多个邮件子数据集F1、F2、…Fn,可采用外部排序法对所有子数据集中数据进行统一排序生成一个有序邮件数据集F’。
3、自动转发关系列表生成
本网络装置可以根据检测时间选择待检测数据,统计邮箱收邮次数、自动转发次数,并通过计算获得邮件自动转发关系,形成自动转发关系列表。具体步骤如下:
(Step1):从完整的有序数据集F’中提取规定时间区间内数据(例如1天),形成待检测数据文件f。
(Step2):对待检测数据f进行统计分析:
(step2-1).统计待检测数据中所有收件人收邮次数,生成收邮次数统计列表L,其中数据为<fw_useri,ci>,ci为收件人fw_useri的收邮次数。
(step2-2).设定滑动窗口时间(比如3分钟),对于待检测数据文件中的每条数据Mk=<fromk,tok,sk,tk>以滑动窗口为范围向前搜索数据,若存在数据Mi=<fromi,toi,si,ti>,ti-tk<eT,且fromi=tok,si=sk,则判定fromk到tok的邮件被自动转发至toi,生成自动转发关系<fw_src,fw_dst>,其中fw_src=tok,fw_dst=toi,fw_src为转发源,fw_dst为转发目标。
(step2-3).对于所有自动转发关系,合并具有相同转发源和转发目标的自动转发关系,统计每个自动转发关系<fw_srci,fw_dsti>的自动转发次数counti
(Step3):对每个自动转发关系,计算自动转发比,即转发源的自动转发次数/转发源的收邮次数,得到转发关系列表R=<ri,r2,…,rn>,其中ri代表一个转发关系。自动转发关系ri=<fw_srci,fw_dsti,pi>,其中pi=counti/ci
4、恶意自动转发行为分析与判定
本网络装置可以对自动转发关系列表进行分析,过滤掉自动转发比低于设定阈值的转发关系,将相似转发目标归并为一类,对转发关系按转发目标类别划分,统计类别转发源数量,判定每类转发目标与转发源之间的恶意自动转发行为。具体步骤如下:
(Step1):删除转发关系列表中自动转发比低于设定阈值th1的转发关系。
(Stetp2):在转发关系列表R中的关系对ri中增加属性to_class,即ri=<fw_srci,fw_dsti,pi,to_classi>,to_classi用于表示自动转发关系对中转发目标类别,to_classi初始值为空。
(Step3):将相似转发目标归并为一类,并对转发关系进行统计分析:
(step2-4).遍历自动转发关系列表R,对于所有转发目标fw_dsti进行字符串处理,处理规则为:对于usernamei,删除其纯数字最大右子串,得到usernamei’;
(step2-5).对step3-1产生的所有usernamei’进行匹配:具有相同usernamei’的转发目标,若hostname相同,则归并为一类;
(step2-6).根据step3-2归并结果,为每条自动转发关系的to_class属性赋值,具有同类转发目标的自动转发关系属性值相同。
(Step4):统计每类转发目标的转发源数量,判定转发源数量是否超过设定阈值th2,若超过阈值th2,则判定为恶意自动转发,若小于阈值th2,则判定为非恶意自动转发行为,最终生成恶意自动转发行为列表。
本实施例还提供了一种邮箱恶意自动转发行为识别装置,用于实现上述方法,如图2所示,包括数据抽取与解析模块、数据清洗与排序模块、自动转发关系生成模块,恶意自动转发行为判定模块。数据抽取与解析模块用于接收原始流量数据,从中抽取POP/IMAP/SMTP数据,最终数据解析成邮件元数据;数据清洗与排序模块用于处理对邮件元数据进行清洗,去除残缺或无用数据,并对数据进行排序,生成有序数据集;自动转发关系生成模块用于根据检测时间从有序数据集中选择检测数据,统计邮件收发数据形成收邮统计列表,并根据滑动时间窗口计算生成自动转发关系列表,计算自动转发比;恶意自动转发行为判定模块用于对自动转发关系列表进行分析,通过自动转发比清洗自动转发关系列表,将相似转发目标归并为一类,统计每个类别的类别转发源数量,判定自动恶意转发行为,形成恶意自动转发行为列表并输出结果和告警。
以上实施例仅用以说明本发明的技术方案而非对其进行限制,本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明的精神和范围,本发明的保护范围应以权利要求书所述为准。

Claims (10)

1.一种邮箱恶意自动转发行为识别方法,包括以下步骤:
(1)从接入的网络流量中抽取POP/IMAP/SMTP协议数据,对抽取的协议数据进行解析,形成邮件元数据集;
(2)对邮件元数据集进行数据清洗,并将清洗后数据整合、排序形成一个有序数据集;
(3)从完整的有序数据集中提取要检测的特定时间区间内的数据,形成一个待检测数据文件,设定滑动窗口时间,对待检测数据文件中每条数据以滑动窗口为范围向前搜索数据,按设定规则筛选具有自动转发关系的邮件,并提取转发源、转发目标和转发比例,生成邮件自动转发关系列表;
(4)过滤掉邮件自动转发关系列表中转发比例低于设定阈值的转发关系,并对相似的转发目标进行归并,对归并形成的每一类转发目标,统计其转发源数量,若同类转发目标对应的转发源数量超过设定阈值,则判定这些转发源与其转发目标之间存在恶意自动转发行为。
2.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(1)中所述邮件元数据集表示为F={M1,M2,…,Mn},其中Mi表示一条邮件数据,其为包含<fromi,toi,si,ti>的四元组,其中from为邮件发件人,to为邮件收件人,s为邮件主题,t为邮件发送时间,i∈[1,n]。
3.如权利要求2所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(2)中所述清洗和排序是指对邮件元数据集F进行筛选,去除四元组信息残缺数据,并对数据Mi以元素t进行排序,生成一个有序数据集F’。
4.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(3)中所述特定时间区间为1d。
5.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(3)中所述滑动窗口时间为3min。
6.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(3)中所述设定规则是指在所述滑动窗口时间内存在两条按时间先后顺序排列的邮件元数据,前一个元数据中的收件人为后一个元数据中的发件人,且两个邮件数据主题相同,则判定前一条元数据中的收件人将邮件自动转发至后一个元数据中的收件人,转发源为前一个元数据中的收件人,转发目标为后一个元数据中的收件人。
7.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(3)所述自动转发关系包含了从待检测数据集中通过自动转发关系判定规则统计分析出的转发源、转发目标、自动转发次数、自动转发比例信息。
8.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(4)中自动转发比例的设定阈值th1为0.9-1.0。
9.如权利要求1所述的一种邮箱恶意自动转发行为识别方法,其特征在于,步骤(4)中转发源数量设定阈值th2不小于2。
10.一种邮件恶意自动转发行为识别装置,包括:
数据抽取与解析模块,用于接收原始流量数据,从中抽取POP/IMAP/SMTP数据,最终数据解析成邮件元数据;
数据清洗与排序模块,用于处理对邮件元数据进行清洗,并对数据进行排序,生成有序数据集;
自动转发关系生成模块,用于根据检测时间从有序数据集中选择待检测数据,统计邮件收发数据形成收邮统计列表,并根据滑动时间窗口识别自动转发关系,转发源自动转发次数,结合收邮统计列表计算自动转发关系自动转发比,并生成自动转发关系列表;
恶意自动转发行为分析与判定模块,用于对自动转发关系列表进行分析,过滤掉自动转发比低于设定阈值的转发关系,将相似转发目标归并为一类,转发关系按转发目标归并类别划分,统计类别转发源数量,最终通过设定阈值判定邮箱恶意转发行为,并输出结果和告警。
CN201911365201.0A 2019-12-26 2019-12-26 一种邮箱恶意自动转发行为识别方法及装置 Active CN111083043B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201911365201.0A CN111083043B (zh) 2019-12-26 2019-12-26 一种邮箱恶意自动转发行为识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201911365201.0A CN111083043B (zh) 2019-12-26 2019-12-26 一种邮箱恶意自动转发行为识别方法及装置

Publications (2)

Publication Number Publication Date
CN111083043A true CN111083043A (zh) 2020-04-28
CN111083043B CN111083043B (zh) 2021-11-23

Family

ID=70318209

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201911365201.0A Active CN111083043B (zh) 2019-12-26 2019-12-26 一种邮箱恶意自动转发行为识别方法及装置

Country Status (1)

Country Link
CN (1) CN111083043B (zh)

Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101000624A (zh) * 2007-01-10 2007-07-18 华为技术有限公司 实现数据挖掘模型转换和应用的方法、系统及装置
CN101984450A (zh) * 2010-12-15 2011-03-09 北京安天电子设备有限公司 恶意代码检测方法和系统
CN102231715A (zh) * 2011-06-23 2011-11-02 莫雅静 一种电子邮件的处理方法和邮件服务器
CN103106573A (zh) * 2013-02-20 2013-05-15 中国科学院信息工程研究所 一种基于关系图的海量电子邮件分析方法及系统
US20130332539A1 (en) * 2012-06-12 2013-12-12 International Business Machines Corporation Method and Apparatus for Detecting Unauthorized Bulk Forwarding of Sensitive Data Over a Network
CN104346379A (zh) * 2013-07-31 2015-02-11 克拉玛依红有软件有限责任公司 一种基于逻辑和统计技术的数据元识别方法
CN106407324A (zh) * 2016-08-31 2017-02-15 北京城市网邻信息技术有限公司 联系方式识别方法及装置
CN106790108A (zh) * 2016-12-26 2017-05-31 东软集团股份有限公司 协议数据解析方法、装置和系统
CN108369696A (zh) * 2016-02-24 2018-08-03 微软技术许可有限责任公司 识别分布式计算系统中的用户行为
CN108880990A (zh) * 2018-06-14 2018-11-23 深信服科技股份有限公司 检测外发垃圾邮件的方法、系统、装置及可读存储介质
US10158677B1 (en) * 2017-10-02 2018-12-18 Servicenow, Inc. Automated mitigation of electronic message based security threats
CN109446299A (zh) * 2018-08-27 2019-03-08 中国科学院信息工程研究所 基于事件识别的搜索电子邮件内容的方法及系统

Patent Citations (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101000624A (zh) * 2007-01-10 2007-07-18 华为技术有限公司 实现数据挖掘模型转换和应用的方法、系统及装置
CN101984450A (zh) * 2010-12-15 2011-03-09 北京安天电子设备有限公司 恶意代码检测方法和系统
CN102231715A (zh) * 2011-06-23 2011-11-02 莫雅静 一种电子邮件的处理方法和邮件服务器
US20130332539A1 (en) * 2012-06-12 2013-12-12 International Business Machines Corporation Method and Apparatus for Detecting Unauthorized Bulk Forwarding of Sensitive Data Over a Network
CN103106573A (zh) * 2013-02-20 2013-05-15 中国科学院信息工程研究所 一种基于关系图的海量电子邮件分析方法及系统
CN104346379A (zh) * 2013-07-31 2015-02-11 克拉玛依红有软件有限责任公司 一种基于逻辑和统计技术的数据元识别方法
CN108369696A (zh) * 2016-02-24 2018-08-03 微软技术许可有限责任公司 识别分布式计算系统中的用户行为
CN106407324A (zh) * 2016-08-31 2017-02-15 北京城市网邻信息技术有限公司 联系方式识别方法及装置
CN106790108A (zh) * 2016-12-26 2017-05-31 东软集团股份有限公司 协议数据解析方法、装置和系统
US10158677B1 (en) * 2017-10-02 2018-12-18 Servicenow, Inc. Automated mitigation of electronic message based security threats
CN108880990A (zh) * 2018-06-14 2018-11-23 深信服科技股份有限公司 检测外发垃圾邮件的方法、系统、装置及可读存储介质
CN109446299A (zh) * 2018-08-27 2019-03-08 中国科学院信息工程研究所 基于事件识别的搜索电子邮件内容的方法及系统

Also Published As

Publication number Publication date
CN111083043B (zh) 2021-11-23

Similar Documents

Publication Publication Date Title
US9912691B2 (en) Fuzzy hash of behavioral results
US20200274785A1 (en) System and method for detecting sources of abnormal computer network messages
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US7548544B2 (en) Method of determining network addresses of senders of electronic mail messages
US9628507B2 (en) Advanced persistent threat (APT) detection center
US7610344B2 (en) Sender reputations for spam prevention
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
CN107733851A (zh) 基于通信行为分析的dns隧道木马检测方法
US20150180896A1 (en) Collaborative phishing attack detection
CN108183888A (zh) 一种基于随机森林算法的社会工程学入侵攻击路径检测方法
US8601065B2 (en) Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions
CN113259313A (zh) 一种基于在线训练算法的恶意https流量智能分析方法
CN111147489B (zh) 一种面向链接伪装的鱼叉攻击邮件发现方法及装置
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
CN111859374B (zh) 社会工程学攻击事件的检测方法、装置以及系统
CN111083043B (zh) 一种邮箱恶意自动转发行为识别方法及装置
CN103841006A (zh) 云计算系统中拦截垃圾邮件的方法和装置
CN106230690B (zh) 一种结合用户属性的邮件分类方法及系统
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
CN112565259B (zh) 过滤dns隧道木马通信数据的方法及装置
TWI666568B (zh) 在Netflow上以會話型式之P2P殭屍網路偵測方法
Kim et al. Spam traffic characterization
CN112995019B (zh) 网络安全态势感知信息的显示方法及客户端
De Ocampo et al. Automated signature creator for a signature based intrusion detection system with network attack detection capabilities (pancakes)
TWI742808B (zh) 隱匿通道偵測方法及裝置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant