CN112511517A - 一种邮件检测方法、装置、设备及介质 - Google Patents
一种邮件检测方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN112511517A CN112511517A CN202011310331.7A CN202011310331A CN112511517A CN 112511517 A CN112511517 A CN 112511517A CN 202011310331 A CN202011310331 A CN 202011310331A CN 112511517 A CN112511517 A CN 112511517A
- Authority
- CN
- China
- Prior art keywords
- information
- flow
- target
- target information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 95
- 238000012545 processing Methods 0.000 claims abstract description 150
- 238000000034 method Methods 0.000 claims abstract description 34
- 238000004590 computer program Methods 0.000 claims description 23
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000004422 calculation algorithm Methods 0.000 claims description 7
- 230000002155 anti-virotic effect Effects 0.000 claims description 4
- 238000013473 artificial intelligence Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006399 behavior Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 230000003542 behavioural effect Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请公开了一种邮件检测方法、装置、设备、介质,该方法包括:在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;将所述目标信息发送至目标终端;接收所述目标终端反馈的邮件处理信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息。这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种邮件检测方法、装置、设备、介质。
背景技术
鱼叉邮件(spam email)是以木马程序作为附件的电子邮件,鱼叉邮件的附件往往具有一个能够诱发接收者打开的名称,而当接收者打开附件时木马程序便会执行,从而导致接收者的设备感染病毒木马。目前,针对鱼叉邮件的检测主要基于流量层面进行检测,也即对邮件流量的协议进行识别,这样只能识别从互联网到企业服务中的本地邮件服务器的邮件流量,而无法识别出用户从本地邮箱服务器获取恶意邮件的流量行为。更大范围的流量检测等需要部署大量的网关设备,部署成本与运维成本都较大。且基于单一流量层面的检测在很多场景下往往存在较多的误报、漏报。因此,如何提高鱼叉邮件检测的准确率是本领域技术人员要解决的问题。
发明内容
有鉴于此,本申请的目的在于提供一种邮件检测方法、装置、设备、介质,不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。其具体方案如下:
第一方面,本申请公开了一种邮件检测方法,应用于网络安全设备,包括:
在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;
将所述目标信息发送至目标终端;
接收所述目标终端反馈的邮件处理信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息。
可选地,所述目标信息包括所述邮件流量中的邮件附件、所述邮件附件的文件名及所述邮件附件的MD5值中的一项或多项的组合。
可选地,所述在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息之前,还包括:
通过威胁情报、杀毒引擎和/或AI算法模型对所述邮件流量进行检测,以确定所述邮件流量是否存在威胁信息。
可选地,所述方法还包括:
在确定所述邮件流量为鱼叉邮件的情况下,根据所述邮件处理信息确定出接收到所述邮件流量的所述目标终端的IP地址;
根据所述目标终端的IP地址确定所述邮件流量对应的攻击范围。
第二方面,本申请公开了一种邮件检测方法,应用于目标终端,包括:
接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息;
在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息;
向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。
可选地,所述根据所述目标信息对所述邮件流量进行邮件处理操作,包括:
在所述目标信息表明所述邮件流量为恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行隔离和删除操作;
在所述目标信息表明所述邮件流量为疑似恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行监测。
可选地,所述向所述网络安全设备反馈所述邮件处理信息,包括:
向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息包括所述目标终端的IP地址、所述邮件处理操作对应的时间以及所述邮件处理操作的类型。
第三方面,本申请公开了一种邮件检测装置,应用于网络安全设备,包括:
信息采集模块,用于在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;
信息发送模块,用于将所述目标信息发送至目标终端;
信息接收模块,用于接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息;
检测模块,用于根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。
第四方面,本申请公开了一种网络安全设备,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的网络安全设备侧执行的邮件检测方法。
第五方面,本申请公开了一种用户终端,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现前述公开的目标终端侧执行的邮件检测方法。
第六方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的网络安全设备侧执行的邮件检测方法。
第七方面,本申请公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述公开的目标终端侧执行的邮件检测方法。
可见,本申请在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息,并将所述目标信息发送至目标终端,然后还需要接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。由此可见,在本申请中网络安全设备在监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,并将所述目标信息发送到目标终端,所述目标终端在获取到所述邮件流量后便可以根据所述目标信息和所述邮件流量获得邮件处理信息,并向所述网络安全设备反馈邮件处理信息,所述网络设备接收到所述邮件处理信息后,便可以根据所述目标信息和所述邮件处理信息确定所述邮件流量是否为鱼叉邮件,这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种邮件检测方法流程图;
图2为本申请公开的一种具体的邮件检测方法流程图;
图3为本申请公开的一种邮件检测方法流程图;
图4为本申请公开的一种具体的邮件检测方法流程图;
图5为本申请公开的一种邮件检测装置结构示意图;
图6为本申请公开的一种邮件检测装置结构示意图;
图7为本申请公开的一种网络安全设备结构示意图;
图8为本申请公开的一种用户终端结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
目前,针对鱼叉邮件的检测主要基于流量层面进行检测,也即对邮件流量的协议进行识别,这样只能识别从互联网到企业服务中的本地邮件服务器的邮件流量,而无法识别出用户从本地邮箱服务器获取恶意邮件的流量行为。更大范围的流量检测等需要部署大量的网关设备,部署成本与运维成长都较大。且基于单一流量层面的检测在很多场景下往往存在较多的误报、漏报。有鉴于此,本申请提出了一种邮件检测方法,不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
参见图1所示,本申请实施例公开了一种邮件检测方法,应用于网络安全设备,该方法包括:
步骤S11:在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息。
黑客攻击者自己搭建或者控制其他邮箱服务器通过互联网传递鱼叉邮件给指定的受害者,邮件通过互联网传递到企业内部的本地邮箱服务器。所以网络安全设备需要对获取到的互联网传输的邮件流量进行检测,以便发现传输到企业服务中的邮件流量是否存在威胁信息。其中,所述网络安全设备可以为企业出口级的网络安全设备,在此不对检测邮件流量是否存在威胁信息的方法做具体限定,可以根据具体情况采用适合的方法。
在所述网络安全设备监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,其中,所述目标信息包括但不限于发件人邮箱地址、收件人邮箱地址、发件人IP(Internet Protocol Address,互联网协议地址)地址、邮件主题、邮件附件、邮件附件的文件名以及MD5值中的一种或多种等。
步骤S12:将所述目标信息发送至目标终端。
采集到所述目标信息之后,还需要将所述目标信息发送到目标终端,其中,所述目标终端为所述网络安全设备对应的企业服务中的用户终端。所述目标终端在获取到所述邮件流量之后,便可以根据所述目标信息对所述邮件流量进行邮件处理操作,并向所述网络安全设备反馈邮件处理信息,其中,所述邮件处理操作包括但不限于监测、隔离、删除以及正常执行所述邮件流量中的邮件附件中的一种或多种,所述邮件处理信息中包括但不限于所述邮件处理操作的类型、时间以及目标终端的IP地址中的一种或多种。
具体的,在采集到所述目标信息之后,需要将所述目标信息发送到所述目标终端,这样当用户将所述邮件流量下载到所述目标终端的网络设备上或者运行该邮件流量中的邮件附件的时候,所述目标终端通过文件驱动的方式读取所述目标信息。针对确定的恶意邮件的邮件附件将直接进行删除、隔离等操作;针对疑似恶意邮件的邮件附件,识别到该文件的MD5或者文件名将进行重点的行为监控并记录,若发现存在敏感的系统操作便直接进行隔离。并向所述网络安全设备反馈邮件处理信息,包括邮件处理操作的类型、时间以及所述目标终端的IP地址。
步骤S13:接收所述目标终端反馈的邮件处理信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件,其中,述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息。
相应地,所述网络安全设备便可以接收所述目标终端反馈的邮件处理信息,以及根据所述邮件处理信息和所述目标信息确定所述邮件流量是否为鱼叉邮件,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息,根据前文可知所述邮件处理信息为所述目标终端根据所述目标信息对所述邮件流量进行邮件处理操作之后反馈的信息。
具体的,当所述邮件处理信息中包括的邮件处理操作的类型为删除时,则可以确定所述邮件流量为鱼叉邮件,当所述邮件处理信息中包括的邮件处理操作的类型为隔离时,也可以确定所述邮件流量为鱼叉邮件,当所述邮件处理信息中包括的邮件处理操作的类型为正常执行邮件附件时,则可以确定所述邮件流量不为鱼叉邮件。
这样先由流量层面的网络安全设备进行第一遍的初步检测,然后将检测到的邮件流量相关的信息发送到目标终端,目标终端在获取到的邮件流量之后,便可以根据接收到的所述网络安全设备发送的信息对邮件流量进行相应的监测等操作,最后向所述网络安全设备返回邮件处理信息,所述网络安全设备便可以结合自身采集到的信息和目标终端返回的邮件处理信息一起确定出所述邮件流量是否为鱼叉邮件,流量层面的网络安全设备和用户终端层面的检测相结合,提高了检测的准确率。
可见,本申请在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息,并将所述目标信息发送至目标终端,然后还需要接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。由此可见,在本申请中网络安全设备在监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,并将所述目标信息发送到目标终端,所述目标终端在获取到所述邮件流量后便可以根据所述目标信息和所述邮件流量获得邮件处理信息,并向所述网络安全设备反馈邮件处理信息,所述网络设备接收到所述邮件处理信息后,便可以根据所述目标信息和所述邮件处理信息确定所述邮件流量是否为鱼叉邮件,这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
参见图2所示,本申请实施例公开了一种具体的邮件检测方法,应用于网络安全设备,该方法包括:
步骤S21:在监测到的邮件流量存在威胁信息的情况下,对所述邮件流量中的邮件附件进行信息采集,得到所述邮件附件的文件名、MD5值。
在具体的实施过程中,在监测到的邮件流量存在威胁信息的情况下,需要先采集所述邮件流量中的目标信息。具体的,对所述邮件流量中的邮件附件进行信息采集,得到所述邮件附件的文件名、MD5值。
也即,采集所述邮件流量中的邮件附件的文件名,并对所述邮件附件进行MD5值计算,得带对应的MD5值,此外,所述目标信息中还可以包括所述邮件附件的文件hash值,以及对所述邮件流量进行协议解析之后得到的件人邮箱地址、收件人邮箱地址、发件人IP、邮箱服务器IP、发送邮箱时间、邮箱主题、邮件正文内容中的一种或多种。
在实际应用中,在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息之前,还包括:通过威胁情报、杀毒引擎和/或AI(Artificial Intelligence,人工智能)算法模型对所述邮件流量进行检测,以确定所述邮件流量是否存在威胁信息。也即,所述网络安全设备可以从威胁情报、杀毒引擎、行为特征、邮件正文特征、AI算法模型等多个维度识别所述邮件流量中是否存在威胁信息。
具体的,可以先解析所述邮件流量的协议,主要协议包括SMTP(Simple MailTransfer Protocol,简单邮件传输协议)、POP3(Post Office Protocol-Version 3,邮局协议版本3)中的一种或多种。解析的字段通过包括发件人邮箱地址、收件人邮箱地址、发件人IP、邮箱服务器IP、发送邮箱时间、邮箱主题、邮件正文内容、邮件附件中的一种或多种。也即,所述目标信息可以包括发件人邮箱地址、收件人邮箱地址、发件人IP、邮箱服务器IP、发送邮箱时间、邮箱主题、邮件正文内容、邮件附件中的一种或多种。然后利用威胁情报、杀毒引擎、行为特征、邮件正文特征、AI算法模型等多个维度对解析后的邮件流量进行识别,确定所述邮件流量是否存在威胁信息。
步骤S22:将所述邮件附件、所述邮件附件的文件名、MD5值作为所述邮件流量的目标信息。
步骤S23:将所述目标信息发送至目标终端。
在得到所述目标信息之后,还需要将所述目标信息发送给所述目标终端。具体的,可以将所述目标信息发送给所述目标终端上的终端安全EDR。所述终端安全EDR接收到所述目标信息之后,便可以在接收到所述邮件流量时,根据所述目标信息对所述邮件流量进行相应的邮件处理操作,并向所述网络安全设备反馈邮件处理信息。
步骤S24:接收所述目标终端反馈的所述邮件处理信息。
步骤S25:根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。
步骤S26:在确定所述邮件流量为鱼叉邮件的情况下,根据所述邮件处理信息确定出接收到所述邮件流量的所述目标终端的IP地址,根据所述目标终端的IP地址确定所述邮件流量对应的攻击范围。
所述网络安全设备接收到所述邮件处理信息之后,便可以根据所述邮件处理信息以及目标信息确定所述邮件流量是否为鱼叉邮件。当确定所述邮件流量为鱼叉邮件时,便可以从所述邮件处理信息中确定出所述目标终端的IP地址,根据所述目标终端的IP地址便可以确定出所述邮件流量对应的攻击范围。也即,当确定所述邮件流量为鱼叉邮件时,便可以从所述邮件处理信息中确定出所述目标终端的IP地址,得到遭到所述邮件流量攻击的各个目标终端的IP地址,也就确定出了受到所述邮件流量攻击的范围。这样确定出攻击范围,有利于进行后续运维处理。
参见图3所示,本申请实施例公开了一种邮件检测方法,应用于目标终端,该方法包括:
步骤S31:接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息。
对于用户终端来说,可以从企业服务的本地邮箱服务器中获取邮件流量,而从本地邮箱服务器中获取到的邮件流量可能为恶意邮件。而网络安全设备在邮件流量到达所述本地邮箱服务器前先对所述邮件流量进行检测,如果所述邮件流量中存在威胁信息,则采集所述邮件流量中的目标信息并发送给所述目标终端,所以所述目标终端便需要接收所述网络安全设备发送的所述目标信息。
在具体的实施过程中,可以在所述目标终端安装终端安全EDR,由所述终端安全EDR接收所述目标信息以及进行之后的邮件处理操作。
步骤S32:在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息。
在获取到所述目标信息之后,便可以在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息。
具体的,根据所述目标信息对所述邮件流量进行邮件处理操作,可以包括:在所述目标信息表明所述邮件流量为恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行隔离和删除操作;在所述目标信息表明所述邮件流量为疑似恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行监测。
当用户将所述邮件流量下载到所述目标终端的网络设备上或者运行该邮件流量中的邮件附件的时候,所述目标终端上的终端安全EDR通过文件驱动的方式读取所有目标信息。针对确定的恶意邮件的邮件附件将直接进行删除、隔离等邮件处理操作;针对疑似恶意邮件的邮件附件,识别到该文件的MD5或者文件名将进行重点的行为监控并记录,若发现存在敏感的系统操作便直接进行隔离。
步骤S33:向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。
在对所述邮件流量进行相应的邮件处理操作之后,便可以向所述网络安全设备反馈邮件处理信息,其中,所述邮件处理信息包括所述目标终端的IP地址、所述邮件处理操作对应的时间以及所述邮件处理操作的类型,所述邮件处理操作的类型包括删除、隔离中的一种或多种,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件,具体的,所述网络安全设备在接收到所述邮件处理信息后,根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。还可以确定获取到受到鱼叉邮件攻击的目标终端的IP地址,以便后续进行安全防护等。
可见,本申请先接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息,然后在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息,接着向所述网络安全设备反馈邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。由此可见,在本申请中网络安全设备在监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,并将所述目标信息发送到目标终端,所述目标终端在获取到所述邮件流量后便可以根据所述目标信息对邮件流量进行邮件处理操作,获得邮件处理信息,并向所述网络安全设备反馈邮件处理信息,所述网络设备接收到所述邮件处理信息后,便可以根据所述目标信息和所述邮件处理信息确定所述邮件流量是否为鱼叉邮件,这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
参见图4所示,一种示例性的邮件检测流程图。黑客通过其控制的邮箱服务器从互联网上发送病毒邮件,为了不妨碍其他流量的处理,网络安全设备通过流量镜像从企业出口网络设备中获取到邮件流量,并对邮件流量进行解析邮件协议等,并通过模型以及规则等检测邮件流量是否存在恶意信息,如果是,则将邮件流量中的发送邮件时间、发件人、收件人、可疑的邮件附件等作为目标信息,并将所述目标信息发送到用户终端上的终端安全EDR上,用户终端根据所述目标信息对从企业的本地邮箱服务器上获取到的邮件流量进行删除、隔离等操作,并将邮件处理信息反馈给所述网络安全设备,所述网络安全设备根据所述邮件处理信息和所述目标信息便可以确定出所述邮件流量是否为鱼叉邮件。
参见图5所示,本申请实施例公开了一种邮件检测装置,应用于网络安全设备,包括:
信息采集模块11,用于在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;
信息发送模块12,用于将所述目标信息发送至目标终端;
信息接收模块13,用于接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息;
检测模块14,用于根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。
可见,本申请在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息,并将所述目标信息发送至目标终端,然后还需要接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。由此可见,在本申请中网络安全设备在监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,并将所述目标信息发送到目标终端,所述目标终端在获取到所述邮件流量后便可以根据所述目标信息和所述邮件流量获得邮件处理信息,并向所述网络安全设备反馈邮件处理信息,所述网络设备接收到所述邮件处理信息后,便可以根据所述目标信息和所述邮件处理信息确定所述邮件流量是否为鱼叉邮件,这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
在一些具体的实施过程中,所述目标信息包括所述邮件流量中的邮件附件、所述邮件附件的文件名及所述邮件附件的MD5值中的一项或多项的组合。
在一些具体的实施过程中,所述邮件检测装置,还包括:
威胁信息检测模块,用于通过威胁情报、杀毒引擎和/或AI算法模型对所述邮件流量进行检测,以确定所述邮件流量是否存在威胁信息。
在一些具体的实施过程中,所述检测模块14,用于:
在确定所述邮件流量为鱼叉邮件的情况下,根据所述邮件处理信息确定出接收到所述邮件流量的所述目标终端的IP地址;
根据所述目标终端的IP地址确定所述邮件流量对应的攻击范围。
参见图6所示,本申请实施例公开了一种邮件检测装置,应用于目标终端,包括:
终端信息接收模块21,用于接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息;
邮件处理模块22,用于在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息;
信息反馈模块23,用于向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。
可见,本申请先接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息,然后在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息,接着向所述网络安全设备反馈邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。由此可见,在本申请中网络安全设备在监测到的邮件流量存在威胁信息的情况下,需要采集所述邮件流量中的目标信息,并将所述目标信息发送到目标终端,所述目标终端在获取到所述邮件流量后便可以根据所述目标信息对邮件流量进行邮件处理操作,获得邮件处理信息,并向所述网络安全设备反馈邮件处理信息,所述网络设备接收到所述邮件处理信息后,便可以根据所述目标信息和所述邮件处理信息确定所述邮件流量是否为鱼叉邮件,这样不仅能够利用网络安全设备进行流量层面的检测,还能进行用户终端上的检测,将流量层面的检测和用户终端层面的检测结合起来,扩大邮件流量检测范围,降低误报率和漏报率,提高检测的准确率。
在一些具体的实施过程中,所述邮件处理模块22,用于:
在所述目标信息表明所述邮件流量为恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行隔离和删除操作;
在所述目标信息表明所述邮件流量为疑似恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行监测。
在一些具体的实施过程中,所述信息反馈模块23,用于:
向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息包括所述目标终端的IP地址、所述邮件处理操作对应的时间以及所述邮件处理操作的类型。
参见图7所示,为本申请实施例提供的一种网络安全设备的结构示意图,,包括:
存储器31和处理器32;
其中,所述存储器32,用于存储计算机程序;
所述处理器31,用于执行所述计算机程序,以实现前述的由网络安全设备侧执行的邮件检测方法。
参见图8所示,为本申请实施例提供的一种用户终端40的结构示意图,该用户终端40可以实现前述实施例中公开的由目标终端侧执行的邮件检测方法步骤
通常,本实施例中的电子设备40包括:处理器41和存储器42。
其中,处理器41可以包括一个或多个处理核心,比如四核心处理器、八核心处理器等。处理器41可以采用DSP(digital signal processing,数字信号处理)、FPGA(field-programmable gate array,现场可编程们阵列)、PLA(programmable logic array,可编程逻辑阵列)中的至少一种硬件来实现。处理器41也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(central processing unit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器41可以集成有GPU(graphics processing unit,图像处理器),GPU用于负责显示屏所需要显示的图像的渲染和绘制。一些实施例中,处理器41可以包括AI(artificialintelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器42可以包括一个或多个计算机可读存储介质,计算机可读存储介质可以是非暂态的。存储器42还可以包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器42至少用于存储以下计算机程序421,其中,该计算机程序被处理器41加载并执行之后,能够实现前述任一实施例中公开的目标终端侧执行的邮件检测方法步骤。
在一些实施例中,用户终端40还可包括有显示屏43、输入输出接口44、通信接口45、传感器46、电源47以及通信总线48。
本技术领域人员可以理解,图8中示出的结构并不构成对电子设备40的限定,可以包括比图示更多或更少的组件。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的网络安全设备侧执行的邮件检测方法。
其中,关于上述网络安全设备侧执行的邮件检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
进一步的,本申请实施例还公开了一种计算机可读存储介质,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现前述任一实施例中公开的目标终端侧执行的邮件检测方法。
其中,关于上述目标终端侧执行的邮件检测方法的具体过程可以参考前述实施例中公开的相应内容,在此不再进行赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
最后,还需要说明的是,在本文中,诸如第一和第二之类的关系术语仅仅用来将一个实体或者操作与另一个实体或者操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得一系列包含其他要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本申请所提供的一种邮件检测方法、装置、设备、介质进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (12)
1.一种邮件检测方法,其特征在于,应用于网络安全设备,包括:
在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;
将所述目标信息发送至目标终端;
接收所述目标终端反馈的邮件处理信息,并根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息。
2.根据权利要求1所述的邮件检测方法,其特征在于,所述目标信息包括所述邮件流量中的邮件附件、所述邮件附件的文件名及所述邮件附件的MD5值中的一项或多项的组合。
3.根据权利要求1所述的邮件检测方法,其特征在于,所述在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息之前,还包括:
通过威胁情报、杀毒引擎和/或AI算法模型对所述邮件流量进行检测,以确定所述邮件流量是否存在威胁信息。
4.根据权利要求1至3任一项所述的邮件检测方法,其特征在于,所述方法还包括:
在确定所述邮件流量为鱼叉邮件的情况下,根据所述邮件处理信息确定出接收到所述邮件流量的所述目标终端的IP地址;
根据所述目标终端的IP地址确定所述邮件流量对应的攻击范围。
5.一种邮件检测方法,其特征在于,应用于目标终端,包括:
接收网络安全设备发送的目标信息,其中,所述目标信息为所述网络安全设备在监测到邮件流量存在威胁信息的情况下,从所述邮件流量中采集到的信息;
在获取到所述邮件流量时,根据所述目标信息对所述邮件流量进行邮件处理操作,获得邮件处理信息;
向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息用于结合所述目标信息以确定所述邮件流量是否为鱼叉邮件。
6.根据权利要求5所述的邮件检测方法,其特征在于,所述根据所述目标信息对所述邮件流量进行邮件处理操作,包括:
在所述目标信息表明所述邮件流量为恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行隔离和删除操作;
在所述目标信息表明所述邮件流量为疑似恶意邮件流量的情况下,对所述邮件流量中的邮件附件进行监测。
7.根据权利要求5所述的邮件检测方法,其特征在于,所述向所述网络安全设备反馈所述邮件处理信息,包括:
向所述网络安全设备反馈所述邮件处理信息,其中,所述邮件处理信息包括所述目标终端的IP地址、所述邮件处理操作对应的时间以及所述邮件处理操作的类型。
8.一种邮件检测装置,其特征在于,应用于网络安全设备,包括:
信息采集模块,用于在监测到的邮件流量存在威胁信息的情况下,采集所述邮件流量中的目标信息;
信息发送模块,用于将所述目标信息发送至目标终端;
信息接收模块,用于接收所述目标终端反馈的邮件处理信息,其中,所述邮件处理信息为根据所述目标信息和所述邮件流量获得的信息;
检测模块,用于根据所述邮件处理信息以及所述目标信息确定所述邮件流量是否为鱼叉邮件。
9.一种网络安全设备,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求1至4任一项所述的邮件检测方法。
10.一种用户终端,其特征在于,包括:
存储器和处理器;
其中,所述存储器,用于存储计算机程序;
所述处理器,用于执行所述计算机程序,以实现权利要求5至7任一项所述的邮件检测方法。
11.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述的邮件检测方法。
12.一种计算机可读存储介质,其特征在于,用于保存计算机程序,其中,所述计算机程序被处理器执行时实现如权利要求5至7任一项所述的邮件检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011310331.7A CN112511517B (zh) | 2020-11-20 | 2020-11-20 | 一种邮件检测方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011310331.7A CN112511517B (zh) | 2020-11-20 | 2020-11-20 | 一种邮件检测方法、装置、设备及介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112511517A true CN112511517A (zh) | 2021-03-16 |
CN112511517B CN112511517B (zh) | 2023-11-07 |
Family
ID=74959017
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011310331.7A Active CN112511517B (zh) | 2020-11-20 | 2020-11-20 | 一种邮件检测方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112511517B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113938311A (zh) * | 2021-11-12 | 2022-01-14 | 北京中睿天下信息技术有限公司 | 一种邮件攻击溯源方法及系统 |
CN113965378A (zh) * | 2021-10-21 | 2022-01-21 | 北京中睿天下信息技术有限公司 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
CN117014228A (zh) * | 2023-09-27 | 2023-11-07 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
US11818172B1 (en) * | 2021-08-24 | 2023-11-14 | Amdocs Development Limited | System, method, and computer program for a computer attack response service |
CN117201190A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471897A (zh) * | 2008-01-11 | 2009-07-01 | 飞塔信息科技(北京)有限公司 | 对电子通讯中可能的错误拼写地址的启发性检测方法 |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
US20180183821A1 (en) * | 2016-12-27 | 2018-06-28 | Crypteia Networks S.A. | Systems and methods for cluster-based network threat detection |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
US20200213332A1 (en) * | 2018-08-21 | 2020-07-02 | Viruthagiri Thirumavalavan | Real-Time Email Address Verification |
-
2020
- 2020-11-20 CN CN202011310331.7A patent/CN112511517B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471897A (zh) * | 2008-01-11 | 2009-07-01 | 飞塔信息科技(北京)有限公司 | 对电子通讯中可能的错误拼写地址的启发性检测方法 |
US20180183821A1 (en) * | 2016-12-27 | 2018-06-28 | Crypteia Networks S.A. | Systems and methods for cluster-based network threat detection |
CN108200105A (zh) * | 2018-03-30 | 2018-06-22 | 杭州迪普科技股份有限公司 | 一种检测钓鱼邮件的方法及装置 |
CN110519150A (zh) * | 2018-05-22 | 2019-11-29 | 深信服科技股份有限公司 | 邮件检测方法、装置、设备、系统及计算机可读存储介质 |
US20200213332A1 (en) * | 2018-08-21 | 2020-07-02 | Viruthagiri Thirumavalavan | Real-Time Email Address Verification |
CN110648118A (zh) * | 2019-09-27 | 2020-01-03 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备及可读存储介质 |
CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
CN111222856A (zh) * | 2020-01-15 | 2020-06-02 | 深信服科技股份有限公司 | 一种邮件识别方法、装置、设备及存储介质 |
Non-Patent Citations (1)
Title |
---|
池亚平;凌志婷;许萍;杨建喜;: "鱼叉式网络钓鱼攻击检测方法", 计算机工程与设计, no. 11 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11818172B1 (en) * | 2021-08-24 | 2023-11-14 | Amdocs Development Limited | System, method, and computer program for a computer attack response service |
CN113965378A (zh) * | 2021-10-21 | 2022-01-21 | 北京中睿天下信息技术有限公司 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
CN113965378B (zh) * | 2021-10-21 | 2023-07-07 | 北京中睿天下信息技术有限公司 | 一种威胁邮件溯源分析方法、系统、设备及存储介质 |
CN113938311A (zh) * | 2021-11-12 | 2022-01-14 | 北京中睿天下信息技术有限公司 | 一种邮件攻击溯源方法及系统 |
CN113938311B (zh) * | 2021-11-12 | 2023-07-25 | 北京中睿天下信息技术有限公司 | 一种邮件攻击溯源方法及系统 |
CN117014228A (zh) * | 2023-09-27 | 2023-11-07 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
CN117014228B (zh) * | 2023-09-27 | 2024-01-23 | 太平金融科技服务(上海)有限公司 | 一种邮件内容检测结果的确定方法、装置、设备及介质 |
CN117201190A (zh) * | 2023-11-03 | 2023-12-08 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
CN117201190B (zh) * | 2023-11-03 | 2024-02-02 | 北京微步在线科技有限公司 | 一种邮件攻击检测方法、装置、电子设备及储存介质 |
Also Published As
Publication number | Publication date |
---|---|
CN112511517B (zh) | 2023-11-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505956B1 (en) | System and method for detecting malicious links in electronic messages | |
US10218740B1 (en) | Fuzzy hash of behavioral results | |
US11811793B2 (en) | Targeted attack protection from malicious links in messages using predictive sandboxing | |
CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
US9888016B1 (en) | System and method for detecting phishing using password prediction | |
JP4662944B2 (ja) | 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体 | |
US8601065B2 (en) | Method and apparatus for preventing outgoing spam e-mails by monitoring client interactions | |
CA2977807C (en) | Technique for detecting suspicious electronic messages | |
JP5739034B1 (ja) | 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム | |
JP6904709B2 (ja) | 悪意の電子メッセージを検出するための技術 | |
US20060075099A1 (en) | Automatic elimination of viruses and spam | |
CN107743087B (zh) | 一种邮件攻击的检测方法及系统 | |
EP3195140B1 (en) | Malicious message detection and processing | |
US11176251B1 (en) | Determining malware via symbolic function hash analysis | |
CN108512896A (zh) | 基于大数据的移动互联网安全态势感知技术和装置 | |
CN113810386B (zh) | 一种从大数据中提取用于网络安全的训练数据方法和装置 | |
CN113949588A (zh) | 一种邮件附件威胁检测方法及系统 | |
JP2006287380A (ja) | メール添付型ウイルス検知方法およびメールサーバ |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |