CN111404806A - 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 - Google Patents
鱼叉邮件检测方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN111404806A CN111404806A CN202010185059.8A CN202010185059A CN111404806A CN 111404806 A CN111404806 A CN 111404806A CN 202010185059 A CN202010185059 A CN 202010185059A CN 111404806 A CN111404806 A CN 111404806A
- Authority
- CN
- China
- Prior art keywords
- preset
- target
- harpoon
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/21—Monitoring or handling of messages
- H04L51/212—Monitoring or handling of messages using filtering or selective blocking
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种鱼叉邮件检测方法,该方法包括:当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;提取所述邮件日志中属于预设特征集合的各个目标特征;根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。本发明还公开了一种鱼叉邮件检测装置、设备及可读存储介质。本发明通过接收待检测邮件时,获取与待检测邮件对应的邮件日志,提取邮件日志中的各个目标特征,并根据这些目标特征,确定待检测邮件是否为鱼叉邮件,提升了鱼叉邮件的检测成功率。
Description
技术领域
本发明涉及邮件检测领域,尤其涉及鱼叉邮件检测方法、装置、设备及计算机可读存储介质。
背景技术
鱼叉邮件是以木马程序作为附件的一类恶意邮件,因鱼叉邮件相较于传统邮件更具有针对性,所以危害性更大。现有的鱼叉邮件检测方法是通过主流杀毒软件对邮件进行查杀,但这种检测方法存在两个问题,一是黑客会不断修改鱼叉邮件的附件,这使得杀毒软件的检测成功率下降;二是鱼叉邮件会伪装成正常邮件,邮件网关在检查邮件时往往会为了控制误报,而对伪装成正常邮件的鱼叉邮件进行放行,这也使得鱼叉邮件的检测成功率下降。
发明内容
本发明的主要目的在于提供一种鱼叉邮件检测方法,旨在解决当前的鱼叉邮件检测成功率低的技术问题。
此外,为实现上述目的,本发明还提供一种鱼叉邮件检测方法,所述鱼叉邮件检测方法包括以下步骤:
当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;
提取所述邮件日志中属于预设特征集合的各个目标特征;
根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
可选地,所述当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志的步骤,之后包括:
提取所述邮件日志中属于预设字段集合的目标字段;
获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合;
若所述日志记录条属于所述预设记录条集合,则执行所述提取所述邮件日志中属于预设特征集合的各个目标特征的步骤。
可选地,所述获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合的步骤,包括:
若所述目标字段为客户端字段,且与所述客户端字段关联的关键字属于与所述客户端字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合;
若所述目标字段为附件字段,且与所述附件字段关联的关键字与标识待检测邮件是否存在附件的第一预设关键字相同,则判定日志记录条属于预设记录条集合;
若所述目标字段为协议字段,且与所述协议字段关联的关键字与标识邮件协议是否为发件协议的第二预设关键字相同,则判定日志记录条属于预设记录条集合;
若所述目标字段为网络字段,且与所述网络字段关联的关键字属于与所述网络字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
可选地,所述根据所述各个目标特征,确定所述待检测邮件的邮件类型的步骤,包括:
获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值;
判断所述总分值是否大于预设阈值;
若所述总分值大于所述预设阈值,则确定待检测邮件为鱼叉邮件。
可选地,所述获取预设分值映射表中与所述各个目标特征关联的目标分值的步骤包括:
查找所述各个目标特征中的真实发件人,若待检测邮件中的虚拟发件人和所述真实发件人不相同,则获取预设分值映射表中与所述发件人特征关联的第一分值,其中,所述发件人特征属于所述各个目标特征;
查找所述各个目标特征中的主题特征,若所述主题特征中的主题属于所述预设主题类型集合,则获取所述预设分值映射表中与所述主题特征关联的第二分值;
查找所述各个目标特征中的客户端版本特征,若所述客户端版本特征属于所述预设客户端版本集合,则获取预设分值映射表中与所述主题特征关联的第三分值;
查找所述各个目标特征中的附件特征,并获取所述附件特征中的附件后缀和附件格式,若所述附件后缀属于预设后缀集合,和/或,若所述附件后缀与所述附件格式不匹配,则获取所述预设分值映射表中与所述附件特征关联的第四分值。
可选地,所述判断所述总分值是否大于预设阈值的步骤之后,包括:
若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围;
若所述总分值属于预设分值范围,且接收到用户输入的反馈信息后,执行所述获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值的步骤。
可选地,所述若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围的步骤,之后包括:
若所述总分值属于预设分值范围,且接收到用户基于目标特征输入的反馈信息时,根据所述反馈信息,修改预设分值映射表中与所述各个目标特征关联的目标分值;
将所述反馈信息对应的目标特征加入预设白名单。
此外,为实现上述目的,本发明还提供一种鱼叉邮件检测装置,所述鱼叉邮件检测装置包括:
获取模块,用于当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;
提取模块,用于提取所述邮件日志中属于预设特征集合的各个目标特征;
确定模块,用于根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
此外,为实现上述目的,本发明还提供一种鱼叉邮件检测设备,所述鱼叉邮件检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的鱼叉邮件检测程序,所述鱼叉邮件检测程序被所述处理器执行时实现如上述的鱼叉邮件检测方法的步骤。
此外,为实现上述目的,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有鱼叉邮件检测程序,所述鱼叉邮件检测程序被处理器执行时实现如上述的鱼叉邮件检测方法的步骤。
本发明实施例提出的一种鱼叉邮件检测方法、装置、设备及可读存储介质。在本实施例中当接收到待检测邮件时,鱼叉邮件检测程序将获取待检测邮件对应的邮件日志,邮件日志中包含多个目标特征,通过对这些目标特征的分析,分析结果可以表示待检测邮件是否为鱼叉邮件,即,通过对目标特征的内容进行分析,从而判断待检测邮件是否是鱼叉邮件,提升了鱼叉邮件的检测成功率。
附图说明
图1为本发明实施例提供的鱼叉邮件检测设备一种实施方式的硬件结构示意图;
图2为本发明鱼叉邮件检测方法第一实施例的流程示意图;
图3为本发明鱼叉邮件检测方法第二实施例的流程示意图;
图4为本发明鱼叉邮件检测方法第三实施例的流程示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
本发明实施例鱼叉邮件检测终端(又叫终端、设备或者终端设备)可以是PC(Personal Computer,个人电脑),也可以是智能手机和智能电视等具有邮件接收功能和邮件检测功能的可移动式终端设备。
如图1所示,该终端可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
可选地,终端还可以包括摄像头、RF(Radio Frequency,射频)电路,传感器、音频电路、WiFi模块等等。其中,传感器比如光传感器、运动传感器以及其他传感器。具体地,光传感器可包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示屏的亮度,接近传感器可在移动终端移动到耳边时,关闭显示屏和/或背光。作为运动传感器的一种,重力加速度传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别移动终端姿态的应用(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;当然,移动终端还可配置陀螺仪、气压计、湿度计、温度计、红外线传感器等其他传感器,在此不再赘述。
本领域技术人员可以理解,图1中示出的终端结构并不构成对终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及鱼叉邮件检测程序。
在图1所示的终端中,网络接口1004主要用于连接后台服务器,与后台服务器进行数据通信;用户接口1003主要用于连接客户端(用户端),与客户端进行数据通信;而处理器1001可以用于调用存储器1005中存储的鱼叉邮件检测程序,所述鱼叉邮件检测程序被处理器执行时实现下述实施例提供的鱼叉邮件检测方法中的操作。
基于上述设备硬件结构,提出了本发明鱼叉邮件检测方法的实施例。
参照图2,在本发明鱼叉邮件检测方法的第一实施例中,所述鱼叉邮件检测方法包括:
步骤S10,当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志。
本实施例中鱼叉邮件检测方法应用于鱼叉邮件检测设备,其中,鱼叉邮件检测设备包括PC(Personal Computer,个人电脑)、智能手机和智能电视等具有邮件接收功能和邮件检测功能的终端设备。本实施例中鱼叉邮件检测设备具有邮件接收和邮件检测功能,待检测邮件是指,鱼叉邮件检测设备开启邮件检测功能后接收到的邮件,邮件日志是指,邮件发送与接收过程中产生的记录,记录包括邮件的附件信息,发送邮件的客户端信息,邮件传输时所遵守的传输协议和发件源的网络信息等。这些信息在邮件日志中以字段的形式表示,而字段是指,邮件日志中用于表征各种信息的代码,字段可以是一个具体的词,也可以是一段具体的代码。例如,表征附件信息的字段为attchment(附件),表征邮件传输时所遵守的传输协议的字段为source(源)。这些字段会被保存至预设字段集合中,而预设字段集合是指,包含所有可以反映待检测邮件可能是鱼叉邮件的字段的集合,例如,字段attchment、字段source、字段network(网络)和字段User_agent或字段X-Mailer等。可知地,鱼叉邮件是以木马程序作为附件的一类恶意邮件,所以,包含附件是鱼叉邮件的必要条件,通过获取待检测邮件对应的邮件日志,并查找邮件日志中附件信息对应的字段attachment,而字段attchment属于预设字段集合。
步骤S20,提取所述邮件日志中属于预设特征集合的各个目标特征。
本实施例中的目标特征是指,邮件日志中用于表征各种信息的代码,目标特征可以是一个具体的词,也可以是一段具体的代码。例如,表征邮件发件人信息的发件人特征为mailform,表征邮件主题信息的主题特征为subject(主题),表征发送邮件的客户端软件版本信息的客户端版本特征为version(客户端),以及表征邮件附件信息的附件特征为file_type。预设特征集合是指,包含所有可以反映待检测邮件可能是鱼叉邮件的特征的集合,例如,特征mailform、特征subject、特征version和特征file_type等。可知地,为了更好欺骗受害者,鱼叉邮件会存在伪造发件人的现象,即受害者在邮件显示页面看到的发件人与邮件的真实发件人不一样。通过查找各个目标特征中的发件人特征,并对比查找到的邮件真实发件人与邮件显示页面中的虚拟发件人是否相同,以此结果作为判定待检测邮件是否是鱼叉邮件的标准之一。
步骤S30,根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
可知地,邮件日志是邮件发送与接收的过程的记录,包括邮件的附件信息,发送邮件的客户端信息,邮件传输时所遵守的传输协议和发件源的网络信息等。这些信息都有表征的目标字段,且每个目标字段关联的关键字中有一些表示待检测邮件大概率是鱼叉邮件,这些关键字与对应的目标字段关联组合成的日志记录条属于预设记录条集合。当鱼叉邮件检测程序接收到待检测邮件,并判定待检测邮件对应的邮件日志中存在属于预设记录条集合的日志记录条,进一步,鱼叉邮件检测程序将获取邮件日志中属于预设特征集合的各个目标特征,已知,发件人特征为mailform,主题特征为subject,客户端版本特征为version,附件特征为file_type,可知地,若发件人特征mailform后显示的真实发件人信息与待检测邮件显示的虚拟发件人信息不一致时,可判定发件人特征mailform可以作为判定待检测邮件是否是鱼叉邮件的标准;若主题特征subject后显示的主题信息为补丁安装、订单咨询和个人隐私问询等敏感词句时,可判定主题特征subject可以作为判定待检测邮件是否是鱼叉邮件的标准;若判定客户端版本特征version后显示的客户端软件版本信息为客户端软件的移动端版本,则可判定客户端版本特征version可以作为判定待检测邮件是否是鱼叉邮件的标准;若附件特征file_type后显示的附件后缀为.com、.chm和.hta等,且附件格式与附件后缀不匹配,则可判定附件特征file_type可以作为判定待检测邮件是否是鱼叉邮件的标准。可知地,每个目标特征都有其对应的分值。
| 目标特征 | 分值 |
| mailform | 0.4 |
| subject | 0.6 |
| version | 0.4 |
| file_type | 0.7 |
表1
如表1所示,若邮件日志中的目标特征mailform和subject可以作为判定待检测邮件是否是鱼叉邮件的标准,则待检测邮件的总分值为1.0,假设,鱼叉邮件检测程序中的预设阈值为0.6,即待检测邮件的总分值大于0.6,鱼叉邮件检测程序判定待检测邮件的邮件类型为鱼叉邮件。
本发明实施例提出的一种鱼叉邮件检测方法、装置、设备及可读存储介质。在本实施例中当接收到待检测邮件时,鱼叉邮件检测程序将获取待检测邮件对应的邮件日志,邮件日志中包含多个目标特征,目标特征可以表示待检测邮件是否为鱼叉邮件,即,通过对目标特征的内容进行分析,从而判断待检测邮件是否是鱼叉邮件,提升了鱼叉邮件的检测成功率。
进一步地,参照图3,在本发明上述实施例的基础上,提出了本发明鱼叉邮件检测方法的第二实施例。
本实施例是第一实施例中步骤S10之后的步骤,本实施例与本发明上述实施例的区别在于:
步骤S40,提取所述邮件日志中属于预设字段集合的目标字段。
步骤S50,获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合。
步骤S60,若所述日志记录条属于所述预设记录条集合,则执行所述提取所述邮件日志中属于预设特征集合的各个目标特征的步骤。
本实施例中关键字是指,邮件日志中目标字段后显示的内容,其与目标字段具有关联关系。日志记录条是指,每个目标字段与其后显示的关键字组合形成一条日志记录条,例如目标字段source后显示的关键字为smtp(一种邮件协议),则source:smtp为一条日志记录条,可知地,source:imap也为一条日志记录条,即目标字段后显示的关键字与目标字段组合成一条日志记录条。预设记录条集合是指,所有表示待检测邮件可能是鱼叉邮件的日志记录条的集合。
可知地,发送鱼叉邮件的客户端一般不会是移动端(移动设备,例如,手机和平板电脑),若邮件日志中的客户端字段(字段User_agent或字段X-Mailer)后显示的关键字为android、ios_phone和ios_pad等表征发送待检测邮件的客户端是移动端,则邮件日志中可能出现的日志记录条User_agent:android或User_agent:ios_phone或User_agent:ios_pad等都不属于预设记录条集合。可知地,包含附件是鱼叉邮件的必要条件,若邮件日志中的附件字段attachment后显示的关键字为none或者关键字为空,则表示待检测邮件大概率不是鱼叉邮件,即,邮件日志中可能出现的日志记录条attachment:none或attachment:不属于预设记录条集合。可知地,黑客(即鱼叉邮件的发件人)主要是通过stmp协议(一种邮件发件协议)向受害者发送鱼叉邮件的,若邮件日志中的协议字段source后显示的关键字为stmp,则表示待检测邮件可能是鱼叉邮件,即,邮件日志中可能出现的日志记录条source:stmp属于预设记录条集合。可知地,鱼叉邮件的发件源必然来自互联网,若邮件日志中的网络字段network后显示的关键字为LAN(Local Area Network,局域网),则表示待检测邮件大概率不是鱼叉邮件,即,邮件日志中可能出现的日志记录条network:LAN不属于预设记录条集合。
具体地,步骤S50细化的步骤,包括:
步骤a1,若所述目标字段为客户端字段,且与所述客户端字段关联的关键字属于与所述客户端字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
步骤a2,若所述目标字段为附件字段,且与所述附件字段关联的关键字与标识待检测邮件是否存在附件的第一预设关键字相同,则判定日志记录条属于预设记录条集合。
步骤a3,若所述目标字段为协议字段,且与所述协议字段关联的关键字与标识邮件协议是否为发件协议的第二预设关键字相同,则判定日志记录条属于预设记录条集合。
步骤a4,若所述目标字段为网络字段,且与所述网络字段关联的关键字属于与所述网络字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
本实施例中客户端字段是指,表征待检测邮件的客户端信息的代码,客户端字段可以是一个具体的词,也可以是一段具体的代码。一般用字段User_agent或字段X-Mailer表示。本实施例中与客户端字段对应的预设关键字集合可以包括关键字PC、关键字mac(苹果电脑版本)和关键字linux(一种操作系统)等表示发送待检测邮件的客户端不是移动端的关键字。可知地,发送鱼叉邮件的客户端一般不会是移动端(移动设备,例如,手机和平板电脑),若邮件日志中的客户端字段(字段User_agent或字段X-Mailer)后显示的关键字为PC、mac和linux等表征发送待检测邮件的客户端不是移动端的关键字,则邮件日志中可能出现的日志记录条User_agent:PC或User_agent:mac或X-Mailer:linux等都属于预设记录条集合。
本实施例中附件字段是指,表征待检测邮件的附件信息的代码,附件字段可以是一个具体的词,也可以是一段具体的代码。一般用字段attachment表示。协议字段是指,表征待检测邮件传输时所遵守的传输协议信息的代码,一般用字段source表示。本实施例中第一预设关键字是指,标识待检测邮件是否存在附件的关键字,例如关键字none可标识待检测邮件不存在附件。本实施例中第二预设关键字是指,标识待检测邮件的邮件协议是否是发件协议的关键字,例如关键字stmp可标识待检测邮件的邮件协议是发件协议。本实施例中与附件字段关联的关键字还可以包括关键字true和关键字false等表示待检测邮件存在附件,或者待检测邮件不存在附件。本实施例中与协议字段关联的关键字还可以包括关键字imap和关键字pop3等表示待检测邮件的邮件协议是收件协议的关键字。可知地,包含附件是鱼叉邮件的必要条件,且黑客主要是通过stmp协议向受害者发送鱼叉邮件,若邮件日志中的附件字段(字段attachment)后显示的关键字为true等表征待检测邮件存在附件的关键字,则邮件日志中可能出现的日志记录条attachment:true属于预设记录条集合;若邮件日志中的协议字段(字段source)后显示的关键字为stmp等表征待检测邮件的邮件协议是发件协议的关键字,则邮件日志中可能出现的日志记录条attachment:stmp属于预设记录条集合。
本实施例中网络字段是指,表征待检测邮件的发件源网络信息的代码,网络字段可以是一个具体的词,也可以是一段具体的代码。一般用字段network表示。本实施例中与网络字段对应的预设关键字集合可以包括关键字LAN等表示待检测邮件的发件源不是互联网的关键字。可知地,鱼叉邮件的发件源必然来自互联网,若邮件日志中的网络字段(字段network)后显示的关键字为WLAN等表征待检测邮件的发件源是互联网的关键字,则邮件日志中可能出现的日志记录条network:WLAN属于预设记录条集合。
在本实施例中鱼叉邮件检测程序通过获取与目标字段关联的关键字,并判断目标字段与其关联的关键字组成的日志记录条是否属于预设记录条集合给出了邮件过滤的详细方法。
进一步地,参照图4,在本发明上述实施例的基础上,提出了本发明鱼叉邮件检测方法的第三实施例。
本实施例是第一实施例中步骤S30细化的步骤,本实施例与本发明上述实施例的区别在于:
步骤S31,获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值。
步骤S32,判断所述总分值是否大于预设阈值。
步骤S33,若所述总分值大于所述预设阈值,则确定待检测邮件为鱼叉邮件。
本实施例中预设分值映射表是指,每个目标特征都有其对应的分值,包含目标特征及其权重的表就是预设分值映射表,若预设分值映射表中的目标特征只有一个,则鱼叉邮件检测程序将查询预设分值映射表,并获取这个目标特征关联的分值,若预设分值映射表中的目标特征只有一个mailform,且关键字mailform、subject、version和file_type对应的目标分值分别是0.5、0.7、0.7和0.5,假设,鱼叉邮件检测程序中的预设阈值为0.6,即待检测邮件的总分值大于0.6,鱼叉邮件检测程序判定待检测邮件的邮件类型不为鱼叉邮件。若预设关键字集合中的目标特征有多条,则鱼叉邮件检测程序将查询预设分值映射表,获取每个目标特征对应的分值,并计算所有分值的总分值,若预设关键字集合中的关键字有mailform和subject,则总分值为1.2,假设,鱼叉邮件检测程序中的预设阈值为0.6,即,待检测邮件的总分值大于预设阈值,鱼叉邮件检测程序则判定待检测邮件的邮件类型为鱼叉邮件。
具体地,步骤S31细化的步骤,包括:
步骤b1,查找所述各个目标特征中的真实发件人,若待检测邮件中的虚拟发件人和所述真实发件人不相同,则获取预设分值映射表中与所述发件人特征关联的第一分值,其中,所述发件人特征属于所述各个目标特征。
步骤b2,查找所述各个目标特征中的主题特征,若所述主题特征中的主题属于所述预设主题类型集合,则获取所述预设分值映射表中与所述主题特征关联的第二分值。
步骤b3,查找所述各个目标特征中的客户端版本特征,若所述客户端版本特征属于所述预设客户端版本集合,则获取预设分值映射表中与所述主题特征关联的第三分值。
步骤b4,查找所述各个目标特征中的附件特征,并获取所述附件特征中的附件后缀和附件格式,若所述附件后缀属于预设后缀集合,和/或,若所述附件后缀与所述附件格式不匹配,则获取所述预设分值映射表中与所述附件特征关联的第四分值。
本实施例中的虚拟发件人是指,邮件显示界面中的发件人,即用户看到的发件人,因为鱼叉邮件存在篡改发件人的情况,所有用户看到的发件人可能并不是真实发件人,而目标特征中发件人特征部分显示的是邮件真实的发件人。主题特征是指,邮件日志中用于表征主题信息的代码,可以用代码subject表示,可知地,鱼叉邮件存在篡改发件人的情况,则若发件人特征中的真实发件人与待检测邮件中的虚拟发件人不相同,即邮件发件人存在被篡改的现象,则鱼叉邮件检测程序将获取预设分值映射表中与发件人特征(可以用代码mailform表示)关联的第一分值。可知地,鱼叉邮件常用的主题包括不定安装、订单咨询和个人隐私等类型,预设主题类型集合中包含鱼叉邮件常用的主题类型,若主题特征中的主题类型属于预设主题类型集合,即,待检测邮件存在可能是鱼叉邮件的情况,则鱼叉邮件检测程序将获取预设分值映射表中与主题特征关联的第二分值,如表2所示,在表2中第一分值为0.5,第二分值为0.6。
| 目标特征 | 分值 |
| mailform | 0.5 |
| subject | 0.6 |
| version | 0.4 |
| file_type | 0.7 |
表2
本实施例中客户端版本特征是指,邮件日志中用于表征客户端软件版本信息的代码,可以用代码version表示。附件特征是指,邮件日志中用于表征附件信息的代码,可以用代码file_type表示。可知地,发送鱼叉邮件的客户端软件存在不同的版本,即,安装在移动设备上的版本和安装在PC端的版本。本实施例中预设客户端版本集合是指,包含所有邮件软件在PC端的所有版本的集合,例如,若网易邮箱在PC上的版本为wy6.0.1,、wy6.0.2和wy6.0.3等,则若客户端版本特征中的客户端版本属于预设客户端版本集合,即发送邮件的设备不是移动设备,则鱼叉邮件检测程序将获取预设分值映射表中与客户端版本特征关联的第三分值。可知地,鱼叉邮件常用的附件后缀包括.com、.chm和.hta等,即,预设后缀集合包括.com、.chm和.hta等,且鱼叉邮件存在附件格式与附件后缀不匹配的现象。若附件特征中的附件后缀属于预设后缀集合,和/或附件后缀与附件格式不匹配,即,待检测邮件存在可能是鱼叉邮件的情况,则鱼叉邮件检测程序将获取预设分值映射表中与主题特征关联的第四分值。
具体地,步骤S32之后的步骤,包括:
步骤c1,若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围。
步骤c2,若所述总分值属于预设分值范围,且接收到用户输入的反馈信息后,执行所述获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值的步骤。
本实施例中当计算的总分值小于或等于预设阈值时,还可以进一步对总分值进行判断,这里引入预设分值范围的作用是保证鱼叉邮件的判定条件是灵活可调整的,以减少将正常邮件误报为鱼叉邮件的情况,本实施例中预设分值范围属于小于或等于预设阈值的范围,例如,若预设阈值为10,则预设分值范围可以是7至9。可知地,每次当鱼叉邮件的判断结束后,鱼叉邮件检测程序可以请求用户的反馈,若用户基于该请求进行了反馈,鱼叉邮件检测程序将会获取对应的反馈信息,例如,当鱼叉邮件检测程序判定一个邮件的主题异常,而将主题特征对应的第二分值加入总分值时,鱼叉邮件检测程序可以请求用户主观判定该邮件的主题是否异常,若用户的反馈结果为邮件主题无异常,鱼叉邮件检测程序将根据这个反馈信息,重新计算总分值,这使得重新计算的总分值发生变化,进而影响鱼叉邮件的判断结果。通过这种反馈机制,鱼叉邮件检测程序可以有效避免误报的情况,进而使鱼叉邮件的判断更加准确。
具体地,步骤c1之后的步骤,包括:
步骤d1,若所述总分值属于预设分值范围,且接收到用户基于目标特征输入的反馈信息时,根据所述反馈信息,修改预设分值映射表中与所述各个目标特征关联的目标分值。
步骤d2,将所述反馈信息对应的目标特征加入预设白名单。
可知地,每次当鱼叉邮件的判断结束后,鱼叉邮件检测程序可以请求用户的反馈,若用户基于该请求进行了反馈,鱼叉邮件检测程序将会获取对应的反馈信息,例如,当鱼叉邮件检测程序判定一个邮件的主题异常,而将主题特征对应的第二分值加入总分值时,得到的总分值为1.5,而若预设阈值为1.6时,且1.5属于预设分值范围,这时鱼叉邮件检测程序可以请求用户主观判断该邮件的这些特征是否异常,若用户的反馈结果补充了邮件主题异常,鱼叉邮件检测程序将根据这个反馈信息,重新计算总分值,这使得重新计算的总分值变成了2.1,而2.1大于1.6,鱼叉邮件检测程序将重新判定该邮件为鱼叉邮件,从而影响鱼叉邮件的判断结果。可知地,通过用户的反馈,总分值还可能减少,从而使第一次判定的鱼叉邮件重新判定为正常邮件,而被用户反馈为正常的特征,将被加入预设白名单,以使得再次接收到具有相同特征的邮件时,减少程序的再次误报。通过这种反馈机制,鱼叉邮件检测程序可以有效避免误报的情况,进而使鱼叉邮件的判断更加准确。
在本实施例中鱼叉邮件检测程序通过对邮件日志中的目标特征进行分析,给出了根据各个目标特征、反馈机制和预设白名单,确定待检测邮件的邮件类型的方法。
此外,本发明实施例还提出一种鱼叉邮件检测装置,所述鱼叉邮件检测装置包括:
获取模块,用于当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;
提取模块,用于提取所述邮件日志中属于预设特征集合的各个目标特征;
确定模块,用于根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
可选地,所述鱼叉邮件检测装置,还包括:
提取单元,用于提取所述邮件日志中属于预设字段集合的目标字段;
第一判断单元,用于获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合;
第一执行单元,用于若所述日志记录条属于所述预设记录条集合,则执行所述提取所述邮件日志中属于预设特征集合的各个目标特征的步骤。
可选地,所述第一判断单元,包括:
第一判定单元,用于若所述目标字段为客户端字段,且与所述客户端字段关联的关键字属于与所述客户端字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
第二判定单元,用于若所述目标字段为附件字段,且与所述附件字段关联的关键字与第一预设关键字相同,则判定日志记录条属于预设记录条集合;
第三判定单元,用于若所述目标字段为协议字段,且与所述协议字段关联的关键字与第二预设关键字相同,则判定日志记录条属于预设记录条集合;
第四判定单元,用于若所述目标字段为网络字段,且与所述网络字段关联的关键字属于与所述网络字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
可选地,所述确定模块,包括:
计算单元,用于获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值;
第二判断单元,用于判断所述总分值是否大于预设阈值;
确定单元,用于若所述总分值大于所述预设阈值,则确定待检测邮件为鱼叉邮件。
可选地,所述计算单元,包括:
第一获取单元,用于查找所述各个目标特征中的真实发件人,若待检测邮件中的虚拟发件人和所述真实发件人不相同,则获取预设分值映射表中与所述发件人特征关联的第一分值,其中,所述发件人特征属于所述各个目标特征;
第二获取单元,用于查找所述各个目标特征中的主题特征,若所述主题特征中的主题属于所述预设主题类型集合,则获取所述预设分值映射表中与所述主题特征关联的第二分值;
第三获取单元,用于查找所述各个目标特征中的客户端版本特征,若所述客户端版本特征属于所述预设客户端版本集合,则获取预设分值映射表中与所述主题特征关联的第三分值;
第四获取单元,用于查找所述各个目标特征中的附件特征,并获取所述附件特征中的附件后缀和附件格式,若所述附件后缀属于预设后缀集合,和/或,若所述附件后缀与所述附件格式不匹配,则获取所述预设分值映射表中与所述附件特征关联的第四分值。
可选地,所述鱼叉邮件检测装置,还包括:
第三判断单元,用于若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围;
第二单元,用于若所述总分值属于预设分值范围,且接收到用户输入的反馈信息后,执行所述获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值的步骤。
可选地,所述鱼叉邮件检测装置,还包括:
修改单元,用于若所述总分值属于预设分值范围,且接收到用户基于目标特征输入的反馈信息时,根据所述反馈信息,修改预设分值映射表中与所述各个目标特征关联的目标分值;
加入单元,用于将所述反馈信息对应的目标特征加入预设白名单。
上述各程序模块所执行的方法可参照本发明方法各个实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件商品的形式体现出来,该计算机软件商品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机和平板电脑等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (10)
1.一种鱼叉邮件检测方法,其特征在于,所述鱼叉邮件检测方法包括以下步骤:
当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;
提取所述邮件日志中属于预设特征集合的各个目标特征;
根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
2.如权利要求1所述的鱼叉邮件检测方法,其特征在于,所述当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志的步骤,之后包括:
提取所述邮件日志中属于预设字段集合的目标字段;
获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合;
若所述日志记录条属于所述预设记录条集合,则执行所述提取所述邮件日志中属于预设特征集合的各个目标特征的步骤。
3.如权利要求2所述的鱼叉邮件检测方法,其特征在于,所述获取与所述目标字段关联的关键字,并判断所述目标字段与所述关键字组成的日志记录条是否属于预设记录条集合的步骤,包括:
若所述目标字段为客户端字段,且与所述客户端字段关联的关键字属于与所述客户端字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合;
若所述目标字段为附件字段,且与所述附件字段关联的关键字与标识待检测邮件是否存在附件的第一预设关键字相同,则判定日志记录条属于预设记录条集合;
若所述目标字段为协议字段,且与所述协议字段关联的关键字与标识邮件协议是否为发件协议的第二预设关键字相同,则判定日志记录条属于预设记录条集合;
若所述目标字段为网络字段,且与所述网络字段关联的关键字属于与所述网络字段对应的预设关键字集合,则判定日志记录条属于预设记录条集合。
4.如权利要求1所述的鱼叉邮件检测方法,其特征在于,所述根据所述各个目标特征,确定所述待检测邮件的邮件类型的步骤,包括:
获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值;
判断所述总分值是否大于预设阈值;
若所述总分值大于所述预设阈值,则确定待检测邮件为鱼叉邮件。
5.如权利要求4所述的鱼叉邮件检测方法,其特征在于,所述获取预设分值映射表中与所述各个目标特征关联的目标分值的步骤包括:
查找所述各个目标特征中的真实发件人,若待检测邮件中的虚拟发件人和所述真实发件人不相同,则获取预设分值映射表中与所述发件人特征关联的第一分值,其中,所述发件人特征属于所述各个目标特征;
查找所述各个目标特征中的主题特征,若所述主题特征中的主题属于所述预设主题类型集合,则获取所述预设分值映射表中与所述主题特征关联的第二分值;
查找所述各个目标特征中的客户端版本特征,若所述客户端版本特征属于所述预设客户端版本集合,则获取预设分值映射表中与所述主题特征关联的第三分值;
查找所述各个目标特征中的附件特征,并获取所述附件特征中的附件后缀和附件格式,若所述附件后缀属于预设后缀集合,和/或,若所述附件后缀与所述附件格式不匹配,则获取所述预设分值映射表中与所述附件特征关联的第四分值。
6.如权利要求4所述的鱼叉邮件检测方法,其特征在于,所述判断所述总分值是否大于预设阈值的步骤之后,包括:
若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围;
若所述总分值属于预设分值范围,且接收到用户输入的反馈信息后,执行所述获取预设分值映射表中与所述各个目标特征关联的目标分值,并计算所有所述目标分值的总分值的步骤。
7.如权利要求6所述的鱼叉邮件检测方法,其特征在于,所述若所述总分值小于或等于所述预设阈值,则判断所述总分值是否属于预设分值范围的步骤,之后包括:
若所述总分值属于预设分值范围,且接收到用户基于目标特征输入的反馈信息时,根据所述反馈信息,修改预设分值映射表中与所述各个目标特征关联的目标分值;
将所述反馈信息对应的目标特征加入预设白名单。
8.一种鱼叉邮件检测装置,其特征在于,所述鱼叉邮件检测装置包括:
获取模块,用于当接收到待检测邮件时,获取与所述待检测邮件对应的邮件日志;
提取模块,用于提取所述邮件日志中属于预设特征集合的各个目标特征;
确定模块,用于根据所述各个目标特征,确定所述待检测邮件的邮件类型,其中所述邮件类型包括鱼叉邮件和非鱼叉邮件。
9.一种鱼叉邮件检测设备,其特征在于,所述鱼叉邮件检测设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的鱼叉邮件检测程序,所述鱼叉邮件检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的鱼叉邮件检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有鱼叉邮件检测程序,所述鱼叉邮件检测程序被处理器执行时实现如权利要求1至7中任一项所述的鱼叉邮件检测方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010185059.8A CN111404806A (zh) | 2020-03-16 | 2020-03-16 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010185059.8A CN111404806A (zh) | 2020-03-16 | 2020-03-16 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111404806A true CN111404806A (zh) | 2020-07-10 |
Family
ID=71413391
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010185059.8A Pending CN111404806A (zh) | 2020-03-16 | 2020-03-16 | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111404806A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014228A (zh) * | 2023-09-27 | 2023-11-07 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102209075A (zh) * | 2011-06-02 | 2011-10-05 | 国家计算机病毒应急处理中心 | 基于行为的恶意邮件发送节点检测方法 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
| US20190268292A1 (en) * | 2007-10-29 | 2019-08-29 | Microsoft Technology Licensing, Llc | Pre-Send Evaluation of E-Mail Communications |
| CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
-
2020
- 2020-03-16 CN CN202010185059.8A patent/CN111404806A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190268292A1 (en) * | 2007-10-29 | 2019-08-29 | Microsoft Technology Licensing, Llc | Pre-Send Evaluation of E-Mail Communications |
| CN102209075A (zh) * | 2011-06-02 | 2011-10-05 | 国家计算机病毒应急处理中心 | 基于行为的恶意邮件发送节点检测方法 |
| CN105072137A (zh) * | 2015-09-15 | 2015-11-18 | 蔡丝英 | 鱼叉式钓鱼邮件的检测方法及装置 |
| CN108418777A (zh) * | 2017-02-09 | 2018-08-17 | 中国移动通信有限公司研究院 | 一种钓鱼邮件检测方法、装置及系统 |
| CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117014228A (zh) * | 2023-09-27 | 2023-11-07 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
| CN117014228B (zh) * | 2023-09-27 | 2024-01-23 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11570211B1 (en) | Detection of phishing attacks using similarity analysis | |
| US11095739B2 (en) | Notification column message processing method and device | |
| US20160241589A1 (en) | Method and apparatus for identifying malicious website | |
| US9633049B2 (en) | Searching apparatus, searching method, and searching system | |
| CN107145780B (zh) | 恶意软件检测方法及装置 | |
| CN108156121B (zh) | 流量劫持的监控方法及装置、流量劫持的报警方法及装置 | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| US20150026813A1 (en) | Method and system for detecting network link | |
| CN108401026B (zh) | 基于区块链的数据存储方法、系统及计算机可读存储介质 | |
| CN105204825B (zh) | 终端系统安全监控的方法和装置 | |
| CN104980404B (zh) | 保护账号信息安全的方法和系统 | |
| CN110704784A (zh) | web页面截屏方法、装置、设备及计算机可读存储介质 | |
| CN109492399B (zh) | 风险文件检测方法、装置及计算机设备 | |
| CN107992615B (zh) | 一种网址推荐方法、服务器及终端 | |
| CN108848273B (zh) | 一种新消息处理方法、移动终端及存储介质 | |
| US9348999B2 (en) | User terminal, reliability management server, and method and program for preventing unauthorized remote operation | |
| CN111404806A (zh) | 鱼叉邮件检测方法、装置、设备及计算机可读存储介质 | |
| CN105490913B (zh) | 即时消息处理方法及装置 | |
| CN112087455B (zh) | 一种waf站点防护规则生成方法、系统、设备及介质 | |
| CN108304369B (zh) | 一种文件类型的识别方法和装置 | |
| US11632378B2 (en) | Detecting safe internet resources | |
| CN108846061B (zh) | 屏蔽广告的方法、装置和终端设备 | |
| CN112565238A (zh) | 弹出隐私政策的方法、客户端及计算机可读存储介质 | |
| CN110858132B (zh) | 一种打印设备的配置安全检测方法及装置 | |
| CN110334301B (zh) | 一种页面还原方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200710 |
|
| RJ01 | Rejection of invention patent application after publication |