CN112565216A - 一种邮件检测方法、装置、设备及计算机可读存储介质 - Google Patents

一种邮件检测方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN112565216A
CN112565216A CN202011347346.0A CN202011347346A CN112565216A CN 112565216 A CN112565216 A CN 112565216A CN 202011347346 A CN202011347346 A CN 202011347346A CN 112565216 A CN112565216 A CN 112565216A
Authority
CN
China
Prior art keywords
transmission agent
agent thread
thread
abnormal
character string
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011347346.0A
Other languages
English (en)
Other versions
CN112565216B (zh
Inventor
沈元华
范渊
吴卓群
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Dbappsecurity Technology Co Ltd
Original Assignee
Hangzhou Dbappsecurity Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Dbappsecurity Technology Co Ltd filed Critical Hangzhou Dbappsecurity Technology Co Ltd
Priority to CN202011347346.0A priority Critical patent/CN112565216B/zh
Publication of CN112565216A publication Critical patent/CN112565216A/zh
Application granted granted Critical
Publication of CN112565216B publication Critical patent/CN112565216B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种邮件检测方法,该方法包括以下步骤:获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。应用本发明所提供的邮件检测方法,避免了对邮件的拦截和篡改,保证了服务器信息的安全性,提升了服务器的安全性。本发明还公开了一种邮件检测装置、设备及存储介质,具有相应技术效果。

Description

一种邮件检测方法、装置、设备及计算机可读存储介质
技术领域
本发明涉及网络安全技术领域,特别是涉及一种邮件检测方法、装置、设备及计算机可读存储介质。
背景技术
如今电子邮件成为绝大多数企业的业务关键应用程序。企业依赖电子邮件在员工、合作伙伴和客户之间开展通信。企业邮件系统需具备不间断运行能力,具备高可靠性,以避免系统故障造成业务的中断。
同时,针对不断变化的业务条件,也伴随着一些安全性问题。比如,不法分子使用微软的Exchange传输代理线程作为后门程序的恶意行为,利用Exchange传输代理线程拦截电子邮件,修改邮件正文、收件人、主题,创建新邮件,替换附件,以及从Exchange服务器重新创建和发送电子邮件以绕过垃圾邮件过滤器。并且利用Exchange传输代理线程还能创建电子邮件附件日志,对邮件进行加密和存储,并解析JPG/PDF附件并执行其中附带的命令等等信息,从而获得Exchange服务器的软硬件信息,造成服务器信息泄露,给服务器的安全性造成威胁。
综上所述,如何有效地解决易发生服务器信息泄露,给服务器的安全性造成威胁等问题,是目前本领域技术人员急需解决的问题。
发明内容
本发明的目的是提供一种邮件检测方法,该方法保证了服务器信息的安全性,提升了服务器的安全性;本发明的另一目的是提供一种邮件检测装置、设备及计算机可读存储介质。
为解决上述技术问题,本发明提供如下技术方案:
一种邮件检测方法,包括:
获取服务器用于邮件收发的各传输代理线程;
判断是否存在符合预设异常检测标准的传输代理线程;
若是,则将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程;
对所述异常传输代理线程进行删除操作。
在本发明的一种具体实施方式中,判断是否存在符合预设异常检测标准的传输代理线程,包括:
读取各所述传输代理线程中的配置文件,得到各所述传输代理线程分别对应的关键字符串集;
获取预存的关键字符串表;
将各所述关键字符串集与所述关键字符串表进行对比,分别得到各所述关键字符串集与所述关键字符串表的相同字符串个数;
判断是否存在高于预设值的相同字符串个数;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将高于所述预设值的相同字符串个数对应的传输代理线程确定为所述异常传输代理线程。
在本发明的一种具体实施方式中,判断是否存在符合预设异常检测标准的传输代理线程,包括:
计算各所述传输代理线程中的配置文件分别对应的目标哈希值;
获取预存的哈希表;
判断是否存在与所述哈希表中的参考哈希值相同的目标哈希值;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将与所述参考哈希值相同的目标哈希值对应的传输代理线程确定为所述异常传输代理线程。
在本发明的一种具体实施方式中,判断是否存在符合预设异常检测标准的传输代理线程,包括:
获取各所述传输代理线程中的配置文件分别对应的目标特征码;
获取预存的特征码表;
判断是否存在与所述特征码表中的参考特征码相等的目标特征码;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将与所述参考特征码相等的目标特征码对应的传输代理线程确定为所述异常传输代理线程。
一种邮件检测装置,包括:
线程获取模块,用于获取服务器用于邮件收发的各传输代理线程;
判断模块,用于判断是否存在符合预设异常检测标准的传输代理线程;
异常线程确定模块,用于当确定存在符合预设异常检测标准的传输代理线程时,将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程;
线程删除模块,用于对所述异常传输代理线程进行删除操作。
在本发明的一种具体实施方式中,所述判断模块,包括:
字符串集获取子模块,用于读取各所述传输代理线程中的配置文件,得到各所述传输代理线程分别对应的关键字符串集;
符串表获取子模块,用于获取预存的关键字符串表;
字符串对比子模块,用于将各所述关键字符串集与所述关键字符串表进行对比,分别得到各所述关键字符串集与所述关键字符串表的相同字符串个数;
第一判断子模块,用于判断是否存在高于预设值的相同字符串个数;
所述异常线程确定模块具体为将高于所述预设值的相同字符串个数对应的传输代理线程确定为所述异常传输代理线程的模块。
在本发明的一种具体实施方式中,所述判断模块,包括:
哈希值计算子模块,用于计算各所述传输代理线程中的配置文件分别对应的目标哈希值;
哈希表获取子模块,用于获取预存的哈希表;
第二判断子模块,用于判断是否存在与所述哈希表中的参考哈希值相同的目标哈希值;
所述异常线程确定模块具体为将与所述参考哈希值相同的目标哈希值对应的传输代理线程确定为所述异常传输代理线程的模块。
在本发明的一种具体实施方式中,所述判断模块,包括:
特征码获取子模块,用于获取各所述传输代理线程中的配置文件分别对应的目标特征码;
特征码表获取子模块,用于获取预存的特征码表;
第三判断子模块,用于判断是否存在与所述特征码表中的参考特征码相等的目标特征码;
所述异常线程确定模块具体为将与所述参考特征码相等的目标特征码对应的传输代理线程确定为所述异常传输代理线程的模块。
一种邮件检测设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如前所述邮件检测方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如前所述邮件检测方法的步骤。
本发明所提供的邮件检测方法,获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。通过预先设置传输代理线程检测标准,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程,将异常传输代理线程删除,避免了对邮件的拦截和篡改,保证了服务器信息的安全性,提升了服务器的安全性。
相应的,本发明还提供了与上述邮件检测方法相对应的邮件检测装置、设备和计算机可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中邮件检测方法的一种实施流程图;
图2为本发明实施例中邮件检测方法的另一种实施流程图;
图3为本发明实施例中邮件检测方法的另一种实施流程图;
图4为本发明实施例中邮件检测方法的另一种实施流程图;
图5为本发明实施例中一种邮件检测装置的结构框图;
图6为本发明实施例中一种邮件检测设备的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例一:
参见图1,图1为本发明实施例中邮件检测方法的一种实施流程图,该方法可以包括以下步骤:
S101:获取服务器用于邮件收发的各传输代理线程。
服务器中预先创建有多个传输代理线程,通过传输代理线程进行邮件发送与接收。在服务器运行过程中,获取服务器用于邮件收发的各传输代理线程。如可以在服务器运行过程中按照预先设定的时间间隔获取各传输代理线程,也可以在服务器运行过程中实时地获取各传输代理线程。
S102:判断是否存在符合预设异常检测标准的传输代理线程,若是,则执行步骤S103,若否,则不做处理。
预先设置对传输代理线程进行识别的检测标准。在获取到用于邮件收发的各传输代理线程之后,判断是否存在符合预设异常检测标准的传输代理线程,若是,则说明存在传输代理线程满足了预先设定的识别条件,执行步骤S103,若否,则说明各传输代理线程均不满足预先设定的识别条件,不需要做任何处理。
预设异常检测标准指用于识别邮件内容被篡改、邮件内容被修改、新邮件创建、邮件删除等操作的预设标准条件。
S103:将符合预设异常检测标准的传输代理线程确定为异常传输代理线程。
当确定存在符合预设异常检测标准的传输代理线程时,说明存在传输代理线程满足了预先设定的识别条件,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程。
S104:对异常传输代理线程进行删除操作。
在将符合预设异常检测标准的传输代理线程确定为异常传输代理线程之后,对异常传输代理线程进行删除操作。通过对异常传输代理线程进行及时删除,避免了不法分子使用传输代理线程作为后门程序的恶意行为(如拦截电子邮件,修改邮件正文、收件人、主题,替换附件,从Exchange服务器重新创建和发送电子邮件以绕过垃圾邮件过滤器,创建电子邮件附件日志,对邮件进行加密和存储,解析JPG/PDF附件并执行其中附带的命令等)。通过预先设置传输代理线程检测标准,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程,将异常传输代理线程删除,避免了对邮件的拦截和篡改,保证了服务器信息的安全性,提升了服务器的安全性。
本发明所提供的邮件检测方法,获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。通过预先设置传输代理线程检测标准,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程,将异常传输代理线程删除,避免了对邮件的拦截和篡改,保证了服务器信息的安全性,提升了服务器的安全性。
需要说明的是,基于上述实施例一,本发明实施例还提供了相应的改进方案。在后续实施例中涉及与上述实施例一中相同步骤或相应步骤之间可相互参考,相应的有益效果也可相互参照,在下文的改进实施例中不再一一赘述。
实施例二:
参见图2,图2为本发明实施例中邮件检测方法的另一种实施流程图,该方法可以包括以下步骤:
S201:获取服务器用于邮件收发的各传输代理线程。
S202:读取各传输代理线程中的配置文件,得到各传输代理线程分别对应的关键字符串集。
各传输代理线程的配置文件中包含多个关键字符串。在获取到各传输代理线程之后,读取各传输代理线程中的配置文件,得到各传输代理线程分别对应的关键字符串集。
S203:获取预存的关键字符串表。
预先存储关键字符串表,关键字符串表中可以包括shell、shellcode、Rootkit、New-Mailbox、SMTP、POP3、cmd、powershell等多个关键字符串。关键字符串表中存储的关键字符串为能够对判别传输代理线程为异常传输代理线程起到作用的字符串。
S204:将各关键字符串集与关键字符串表进行对比,分别得到各关键字符串集与关键字符串表的相同字符串个数。
在获取到各传输代理线程分别对应的关键字符串集,并获取到预存的关键字符串表之后,将各关键字符串集与关键字符串表进行对比,分别得到各关键字符串集与关键字符串表的相同字符串个数。
S205:判断是否存在高于预设值的相同字符串个数,若是,则执行步骤S206,若否,则不做处理。
预先设置传输代理线程的关键字符串集中的关键字符串与关键字符串表中预存的关键字符串表中的关键字符串相同个数的阈值,在得到各关键字符串集与关键字符串表的相同字符串个数之后,判断是否存在高于预设值的相同字符串个数,若是,则说明存在传输代理线程异常,执行步骤S206,若否,则说明各传输代理线程正常,不需要做任何处理。
S206:将高于预设值的相同字符串个数对应的传输代理线程确定为异常传输代理线程。
当确定存在高于预设值的相同字符串个数时,说明存在传输代理线程异常,将高于预设值的相同字符串个数对应的传输代理线程确定为异常传输代理线程。
S207:对异常传输代理线程进行删除操作。
实施例三:
参见图3,图3为本发明实施例中邮件检测方法的另一种实施流程图,该方法可以包括以下步骤:
S301:获取服务器用于邮件收发的各传输代理线程。
S302:计算各传输代理线程中的配置文件分别对应的目标哈希值。
在获取到服务器用于邮件收发的各传输代理线程之后,计算各传输代理线程中的配置文件分别对应的目标哈希Hash值。
S303:获取预存的哈希表。
预先存储哈希表,哈希表中可以包含sha1校验码(如{4e78209d0d4a16a6174307106bea943e17f055c3651f58090329ede211ea26ca},{c0b563f50f9826e856e2fa2bfb991431583faef9})。哈希表中存储的sha1校验码为能够对判别传输代理线程为异常传输代理线程起到作用的校验码。
S304:判断是否存在与哈希表中的参考哈希值相同的目标哈希值,若是,则执行步骤S305,若否,则不做处理。
在计算得到各传输代理线程中的配置文件分别对应的目标哈希值,并获取到预存的哈希表之后,判断是否存在与哈希表中的参考哈希值相同的目标哈希值,若是,则说明存在传输代理线程异常,执行步骤S305,若否,则说明各传输代理线程正常,不需要做任何处理。
S305:将与参考哈希值相同的目标哈希值对应的传输代理线程确定为异常传输代理线程。
当确定存在与哈希表中的参考哈希值相同的目标哈希值时,说明存在传输代理线程异常,将与参考哈希值相同的目标哈希值对应的传输代理线程确定为异常传输代理线程。
S306:对异常传输代理线程进行删除操作。
实施例四:
参见图4,图4为本发明实施例中邮件检测方法的另一种实施流程图,该方法可以包括以下步骤:
S401:获取服务器用于邮件收发的各传输代理线程。
S402:获取各传输代理线程中的配置文件分别对应的目标特征码。
各传输代理线程的配置文件中包含特征码,在获取到各传输代理线程之后,获取各传输代理线程中的配置文件分别对应的目标特征码。
S403:获取预存的特征码表。
预先自定义存储特征码表({0x55,0x54,0x56,0x57,0x48,0x81,0xEC,0x80,0x00,0x00,0x00,0x48,0x31,0xDB,0x48,0x31,0xC0,0x48,0x31,0xD2,0x48,0x31,0xC9,0x48,0x81,0xC4,0x80,0x00,0x00,0x00,0x5F,0x5E,0x5C,0x5D,0xFC,0x90,0x48,0x83,0xE4,0xF0,0x90,0xE8,0xCF,0x00,0x00,0x00,0x41,0x51,0x41,0x50,0x52,0x51,0x56,0x48,0x31,0xD2,0x65,0x48,0x8B,0x52,0x60,0x90,0x48,0x8B},{0x49,0xBE,0x77,0x69,0x6E,0x69,0x6E,0x65,0x74,0x00,0x41,0x56,0x49,0x89,0xE6,0x4C,0x89,0xF1,0x49,0xBA,0x4C,0x77,0x26,0x87,0x00,0x00,0x00,0x80,0x48,0xB8,0x00,0x00,0x00,0x80,0x00,0x00,0x00,0x80,0x49,0x31,0xC2,0xFF,0xD5,0x6A,0x00,0x6A,0x00,0x48,0x89,0xE1,0x48,0x31,0xD2,0x4D,0x31,0xC0,0x4D,0x31,0xC9,0x41,0x50,0x41,0x50,0x49}),每个特征码的长度可以设置为大概64个字节。
特征码表中存储的各特征码为能够对判别传输代理线程为异常传输代理线程的特征码。
S404:判断是否存在与特征码表中的参考特征码相等的目标特征码,若是,则执行步骤S405,若否,则不做处理。
在获取到各传输代理线程中的配置文件分别对应的目标特征码,并获取到预存的特征码表之后,判断是否存在与特征码表中的参考特征码相等的目标特征码,若是,则说明存在传输代理线程异常,执行步骤S405,若否,则说明各传输代理线程正常,不需要做任何处理。
S405:将与参考特征码相等的目标特征码对应的传输代理线程确定为异常传输代理线程。
当确定存在与特征码表中的参考特征码相等的目标特征码时,说明存在传输代理线程异常,将与参考特征码相等的目标特征码对应的传输代理线程确定为异常传输代理线程。
S406:对异常传输代理线程进行删除操作。
相应于上面的方法实施例,本发明还提供了一种邮件检测装置,下文描述的邮件检测装置与上文描述的邮件检测方法可相互对应参照。
参见图5,图5为本发明实施例中一种邮件检测装置的结构框图,该装置可以包括:
线程获取模块51,用于获取服务器用于邮件收发的各传输代理线程;
判断模块52,用于判断是否存在符合预设异常检测标准的传输代理线程;
异常线程确定模块53,用于当确定存在符合预设异常检测标准的传输代理线程时,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;
线程删除模块54,用于对异常传输代理线程进行删除操作。
本发明所提供的邮件检测装置,获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。通过预先设置传输代理线程检测标准,将符合预设异常检测标准的传输代理线程确定为异常传输代理线程,将异常传输代理线程删除,避免了对邮件的拦截和篡改,保证了服务器信息的安全性,提升了服务器的安全性。
在本发明的一种具体实施方式中,判断模块52,包括:
字符串集获取子模块,用于读取各传输代理线程中的配置文件,得到各传输代理线程分别对应的关键字符串集;
符串表获取子模块,用于获取预存的关键字符串表;
字符串对比子模块,用于将各关键字符串集与关键字符串表进行对比,分别得到各关键字符串集与关键字符串表的相同字符串个数;
第一判断子模块,用于判断是否存在高于预设值的相同字符串个数;
异常线程确定模块具体为将高于预设值的相同字符串个数对应的传输代理线程确定为异常传输代理线程的模块。
在本发明的一种具体实施方式中,判断模块52,包括:
哈希值计算子模块,用于计算各传输代理线程中的配置文件分别对应的目标哈希值;
哈希表获取子模块,用于获取预存的哈希表;
第二判断子模块,用于判断是否存在与哈希表中的参考哈希值相同的目标哈希值;
异常线程确定模块具体为将与参考哈希值相同的目标哈希值对应的传输代理线程确定为异常传输代理线程的模块。
在本发明的一种具体实施方式中,判断模块52,包括:
特征码获取子模块,用于获取各传输代理线程中的配置文件分别对应的目标特征码;
特征码表获取子模块,用于获取预存的特征码表;
第三判断子模块,用于判断是否存在与特征码表中的参考特征码相等的目标特征码;
异常线程确定模块具体为将与参考特征码相等的目标特征码对应的传输代理线程确定为异常传输代理线程的模块。
相应于上面的方法实施例,参见图6,图6为本发明所提供的邮件检测设备的示意图,该设备可以包括:
存储器61,用于存储计算机程序;
处理器62,用于执行上述存储器61存储的计算机程序时可实现如下步骤:
获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。
对于本发明提供的设备的介绍请参照上述方法实施例,本发明在此不做赘述。
相应于上面的方法实施例,本发明还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时可实现如下步骤:
获取服务器用于邮件收发的各传输代理线程;判断是否存在符合预设异常检测标准的传输代理线程;若是,则将符合预设异常检测标准的传输代理线程确定为异常传输代理线程;对异常传输代理线程进行删除操作。
该计算机可读存储介质可以包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
对于本发明提供的计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不做赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置、设备及计算机可读存储介质而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种邮件检测方法,其特征在于,包括:
获取服务器用于邮件收发的各传输代理线程;
判断是否存在符合预设异常检测标准的传输代理线程;
若是,则将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程;
对所述异常传输代理线程进行删除操作。
2.根据权利要求1所述的邮件检测方法,其特征在于,判断是否存在符合预设异常检测标准的传输代理线程,包括:
读取各所述传输代理线程中的配置文件,得到各所述传输代理线程分别对应的关键字符串集;
获取预存的关键字符串表;
将各所述关键字符串集与所述关键字符串表进行对比,分别得到各所述关键字符串集与所述关键字符串表的相同字符串个数;
判断是否存在高于预设值的相同字符串个数;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将高于所述预设值的相同字符串个数对应的传输代理线程确定为所述异常传输代理线程。
3.根据权利要求1所述的邮件检测方法,其特征在于,判断是否存在符合预设异常检测标准的传输代理线程,包括:
计算各所述传输代理线程中的配置文件分别对应的目标哈希值;
获取预存的哈希表;
判断是否存在与所述哈希表中的参考哈希值相同的目标哈希值;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将与所述参考哈希值相同的目标哈希值对应的传输代理线程确定为所述异常传输代理线程。
4.根据权利要求1所述的邮件检测方法,其特征在于,判断是否存在符合预设异常检测标准的传输代理线程,包括:
获取各所述传输代理线程中的配置文件分别对应的目标特征码;
获取预存的特征码表;
判断是否存在与所述特征码表中的参考特征码相等的目标特征码;
将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程,包括:
将与所述参考特征码相等的目标特征码对应的传输代理线程确定为所述异常传输代理线程。
5.一种邮件检测装置,其特征在于,包括:
线程获取模块,用于获取服务器用于邮件收发的各传输代理线程;
判断模块,用于判断是否存在符合预设异常检测标准的传输代理线程;
异常线程确定模块,用于当确定存在符合预设异常检测标准的传输代理线程时,将符合所述预设异常检测标准的传输代理线程确定为异常传输代理线程;
线程删除模块,用于对所述异常传输代理线程进行删除操作。
6.根据权利要求5所述的邮件检测装置,其特征在于,所述判断模块,包括:
字符串集获取子模块,用于读取各所述传输代理线程中的配置文件,得到各所述传输代理线程分别对应的关键字符串集;
符串表获取子模块,用于获取预存的关键字符串表;
字符串对比子模块,用于将各所述关键字符串集与所述关键字符串表进行对比,分别得到各所述关键字符串集与所述关键字符串表的相同字符串个数;
第一判断子模块,用于判断是否存在高于预设值的相同字符串个数;
所述异常线程确定模块具体为将高于所述预设值的相同字符串个数对应的传输代理线程确定为所述异常传输代理线程的模块。
7.根据权利要求5所述的邮件检测装置,其特征在于,所述判断模块,包括:
哈希值计算子模块,用于计算各所述传输代理线程中的配置文件分别对应的目标哈希值;
哈希表获取子模块,用于获取预存的哈希表;
第二判断子模块,用于判断是否存在与所述哈希表中的参考哈希值相同的目标哈希值;
所述异常线程确定模块具体为将与所述参考哈希值相同的目标哈希值对应的传输代理线程确定为所述异常传输代理线程的模块。
8.根据权利要求5所述的邮件检测装置,其特征在于,所述判断模块,包括:
特征码获取子模块,用于获取各所述传输代理线程中的配置文件分别对应的目标特征码;
特征码表获取子模块,用于获取预存的特征码表;
第三判断子模块,用于判断是否存在与所述特征码表中的参考特征码相等的目标特征码;
所述异常线程确定模块具体为将与所述参考特征码相等的目标特征码对应的传输代理线程确定为所述异常传输代理线程的模块。
9.一种邮件检测设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至4任一项所述邮件检测方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至4任一项所述邮件检测方法的步骤。
CN202011347346.0A 2020-11-26 2020-11-26 一种邮件检测方法、装置、设备及计算机可读存储介质 Active CN112565216B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011347346.0A CN112565216B (zh) 2020-11-26 2020-11-26 一种邮件检测方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011347346.0A CN112565216B (zh) 2020-11-26 2020-11-26 一种邮件检测方法、装置、设备及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN112565216A true CN112565216A (zh) 2021-03-26
CN112565216B CN112565216B (zh) 2023-03-24

Family

ID=75046820

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011347346.0A Active CN112565216B (zh) 2020-11-26 2020-11-26 一种邮件检测方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN112565216B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002312284A (ja) * 2001-04-10 2002-10-25 Clover Network Com:Kk ホームページ改竄検知装置及び改竄検知プログラム
US20040186893A1 (en) * 2003-02-26 2004-09-23 Fujitsu Limited Abnormality detection method, abnormality detection program, server, computer
US8065738B1 (en) * 2008-12-17 2011-11-22 Symantec Corporation Systems and methods for detecting automated spam programs designed to transmit unauthorized electronic mail via endpoint machines
US8180835B1 (en) * 2006-10-14 2012-05-15 Engate Technology Corporation System and method for protecting mail servers from mail flood attacks
US8423618B1 (en) * 2002-09-09 2013-04-16 Engate Technology Corporation Systems and methods for blocking unsolicited electronic mail messages
CN108021485A (zh) * 2016-11-04 2018-05-11 北大方正集团有限公司 应用程序运行状态的监控方法及装置
CN109523241A (zh) * 2018-12-13 2019-03-26 杭州安恒信息技术股份有限公司 一种电子邮件通信限制方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002312284A (ja) * 2001-04-10 2002-10-25 Clover Network Com:Kk ホームページ改竄検知装置及び改竄検知プログラム
US8423618B1 (en) * 2002-09-09 2013-04-16 Engate Technology Corporation Systems and methods for blocking unsolicited electronic mail messages
US20040186893A1 (en) * 2003-02-26 2004-09-23 Fujitsu Limited Abnormality detection method, abnormality detection program, server, computer
US8180835B1 (en) * 2006-10-14 2012-05-15 Engate Technology Corporation System and method for protecting mail servers from mail flood attacks
US8065738B1 (en) * 2008-12-17 2011-11-22 Symantec Corporation Systems and methods for detecting automated spam programs designed to transmit unauthorized electronic mail via endpoint machines
CN108021485A (zh) * 2016-11-04 2018-05-11 北大方正集团有限公司 应用程序运行状态的监控方法及装置
CN109523241A (zh) * 2018-12-13 2019-03-26 杭州安恒信息技术股份有限公司 一种电子邮件通信限制方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王庆波等: "电子邮件过滤检测系统的设计与实现", 《计算机应用研究》 *

Also Published As

Publication number Publication date
CN112565216B (zh) 2023-03-24

Similar Documents

Publication Publication Date Title
EP3640833B1 (en) Generation and maintenance of identity profiles for implementation of security response
CN107577939B (zh) 一种基于关键字技术的数据防泄漏方法
CN109495377B (zh) 即时的电子邮件内嵌url的信誉确定设备、系统和方法
US11489867B2 (en) Cybersecurity email classification and mitigation platform
US7415726B2 (en) Controlling access to suspicious files
JP5118020B2 (ja) 電子メッセージ中での脅威の識別
US7673324B2 (en) Method and system for tracking an operating performed on an information asset with metadata associated therewith
US9473521B2 (en) Method and system for information leak prevention
CN110519150B (zh) 邮件检测方法、装置、设备、系统及计算机可读存储介质
US20240007498A1 (en) Apparatus for providing mail security service using hierarchical architecture based on security level and operation method therefor
US20130145483A1 (en) System And Method For Processing Protected Electronic Communications
US20200120052A1 (en) Systems and methods for detecting, reporting and cleaning metadata from inbound attachments
CN110855611B (zh) 一种数据外发方法、装置以及相关设备
KR20000054376A (ko) 전자 메일에 의한 기업비밀 유출 방지 및 바이러스 확산방지 기능을 갖는 전자 메일 보안 시스템
KR102648653B1 (ko) 메일 보안 기반의 제로데이 url 공격 방어 서비스 제공 장치 및 그 동작 방법
CN113329016A (zh) 一种处理邮件的方法和装置
KR100999977B1 (ko) 이메일을 통한 정보유출 방지방법
KR101814088B1 (ko) 지능형 및 학습형 메일 방화벽 장치
CN112565216B (zh) 一种邮件检测方法、装置、设备及计算机可读存储介质
US20140245454A1 (en) Method and apparatus for protecting flight data
CN109818920B (zh) 邮件审核方法、装置、计算机设备及计算机可读存储介质
US20240163299A1 (en) Email security diagnosis device based on quantitative analysis of threat elements, and operation method thereof
Stallings Data loss prevention as a privacy-enhancing technology
CN112487419A (zh) 一种计算机网络信息安全事件处理方法
KR102684949B1 (ko) 사회공학기법으로 생성된 계정을 통해 발송된 메일공격을 탐지하는 방법 및 그에 따른 메일 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant