CN112836212B - 邮件数据的分析方法、钓鱼邮件的检测方法及装置 - Google Patents

邮件数据的分析方法、钓鱼邮件的检测方法及装置 Download PDF

Info

Publication number
CN112836212B
CN112836212B CN202110090919.4A CN202110090919A CN112836212B CN 112836212 B CN112836212 B CN 112836212B CN 202110090919 A CN202110090919 A CN 202110090919A CN 112836212 B CN112836212 B CN 112836212B
Authority
CN
China
Prior art keywords
mail
transmission
graph
phishing
agent
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110090919.4A
Other languages
English (en)
Other versions
CN112836212A (zh
Inventor
潘杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huayun Data Holding Group Co ltd
Original Assignee
Huayun Data Holding Group Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huayun Data Holding Group Co ltd filed Critical Huayun Data Holding Group Co ltd
Priority to CN202110090919.4A priority Critical patent/CN112836212B/zh
Publication of CN112836212A publication Critical patent/CN112836212A/zh
Application granted granted Critical
Publication of CN112836212B publication Critical patent/CN112836212B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/42Mailbox-related aspects, e.g. synchronisation of mailboxes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明涉及数据分析技术领域,具体涉及邮件数据的分析方法、钓鱼邮件的检测方法及装置,所述分析方法包括获取多个待分析邮件的分析数据,分析数据包括邮件特征以及对应的传送代理;基于邮件特征,确定传送代理之间的相似度;利用待传送代理及传送代理之间的相似度建立传送代理图,传送代理图的节点为传送代理,所述传送代理图的边为待处理代理之间的相似度;对传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括非钓鱼邮件的邮件特征及其对应的传送代理。将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性,且可以快速地检测出邮件是否为钓鱼邮件。

Description

邮件数据的分析方法、钓鱼邮件的检测方法及装置
技术领域
本发明涉及数据分析技术领域,具体涉及邮件数据的分析方法、钓鱼邮件的检测方法及装置。
背景技术
钓鱼邮件是指利用伪装的邮件,欺骗收件人将账号、口令等信息回复给指定的接收者,或引导收件人连接到特制的网页,这些网页通常会伪装成和真实网站一样,如银行或理财的网页,令登录者信以为真,输入信用卡或银行卡号码、账户名称及密码等而被盗取。因此,就需要对邮件进行检测,以确定其是否为钓鱼邮件。
目前常采用的钓鱼邮件检测技术有:特征码技术以及沙箱技术。其中,所述的特征码技术是将邮件中的特征值与威胁情报中的内容进行匹对,确定邮件是否为钓鱼邮件。所述沙箱技术是模拟真实的用户操作,针对邮件中提供的附件或链接进行深度行为分析,确定邮件是否为恶意。
然而,由于钓鱼邮件是以特定的个体为目标,且攻击者会更换URL等信息,导致特征码失效,导致上述的特征码技术难以对不可预测的邮件进行有效检测。所述的沙箱技术的分析时间较长,通常一个文件需要数分钟甚至几十分钟,导致检测效率较低。
发明内容
有鉴于此,本发明实施例提供了一种邮件数据的分析方法、钓鱼邮件的检测方法及装置,以解决钓鱼邮件的检测准确性以及效率低的问题。
根据第一方面,本发明实施例提供了一种邮件数据的分析方法,包括:
获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
基于所述邮件特征,确定所述传送代理之间的相似度;
利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述传送代理;
对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
本发明实施例提供的邮件数据的分析方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;且后续在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
结合第一方面,在第一方面第一实施方式中,所述对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,包括:
对所述传送代理图进行划分,得到至少两个传送代理子图;
对各个所述传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值;
基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据。
本发明实施例提供的邮件数据的分析方法,通过对传送代理图进行划分,可以减少每次数据处理量,提高分析效率;同时对传送代理子图进行模块化计算以对传送代理子图进行稳定性确定,保证了非钓鱼邮件的分析结果的可靠性。
结合第一方面第一实施方式,在第一方面第二实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,包括:
判断各个所述传送代理子图中是否存在所述模块化数值在目标范围内的第一传送代理子图;
当存在所述第一传送代理子图时,将所述第一传送代理子图对应的目标传送代理以及所述目标传送代理对应的目标邮件特征,确定为所述非钓鱼邮件的分析数据。
本发明实施例提供的邮件数据的分析方法,在第一传送代理子图的模块化数值在目标范围内,表示该第一传送代理子图可以直接确定为非钓鱼邮件的分析数据,即,直接利用目标范围与模块化数值进行大小比较,简化了分析过程,提高了分析效率。
结合第一方面第一实施方式,在第一方面第三实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在划分范围内的第二传送代理子图;
当存在所述第二传送代理子图时,对所述第二传送代理子图进行再次划分。
本发明实施例提供的邮件数据的分析方法,在划分范围内的第二传送代理子图可以再次进行划分,以保证分析结果的准确性。
结合第一方面第一实施方式,在第一方面第四实施方式中,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在丢弃范围内的第三传送代理子图;
当存在所述第三传送代理子图时,丢弃所述第三传送代理子图。
本发明实施例提供的邮件数据的分析方法,在丢弃范围内的第三传送代理子图难以通过划分得到在模块化数值在目标范围内的传送代理子图,将第三传送代理子图丢弃,可以减少数据处理量,提高分析效率。
结合第一方面第一实施方式至第四实施方式中任一项,在第一方面第五实施方式中,所述对所述传送代理图进行划分,得到至少两个传送代理子图,包括:
计算所述传送代理图中各个节点的介数中心性;
在所述传送代理图中删除所述介数中心性最高的节点及其相连的边,得到至少两个所述传送代理子图。
本发明实施例提供的邮件数据的分析方法,由于介数中心性最高的节点表示大部分节点的最短路径均经过该节点,从该节点对传送代理图进行划分,可以实现在保证准确性的基础上,得到两个传送代理子图。
结合第一方面,在第一方面第六实施方式中,所述基于所述邮件特征,确定所述传送代理之间的相似度,包括:
统计任意两个所述传送代理对应的相同邮件特征的数量;
利用所述相同邮件特征的数量,确定任意两个所述传送代理之间的相似度。
本发明实施例提供的邮件数据的分析方法,直接利用相同邮件特征的数量确定任意两个传送代理之间的相似度,计算过程简单,可以提高分析效率。
根据第二方面,本发明实施例还提供了一种钓鱼邮件的检测方法,包括:
获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;
基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。
本发明实施例提供的钓鱼邮件的检测方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
根据第三方面,本发明实施例还提供了一种邮件数据的分析装置,包括:
第一获取模块,用于获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
第一确定模块,用于基于所述邮件特征,确定所述传送代理之间的相似度;
建立模块,用于利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述传送代理;
分析模块,用于对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
本发明实施例提供的邮件数据的分析装置,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;且后续在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
根据第四方面,本发明实施例还提供了一种钓鱼邮件的检测装置,包括:
第二获取模块,用于获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
第二确定模块,用于利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;
检测模块,用于基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。
本发明实施例提供的钓鱼邮件的检测装置,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
根据第五方面,本发明实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式中所述的邮件数据的分析方法,或执行第二方面所述的钓鱼邮件的检测方法。
根据第六方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式中所述的邮件数据的分析方法,或执行第二方面所述的钓鱼邮件的检测方法。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的邮件数据的分析方法的流程图;
图2是根据本发明实施例的传送代理图的示意图;
图3是根据本发明实施例的邮件数据的分析方法的流程图;
图4a-图4b是根据本发明实施例的传送代理图划分前后的示意图;
图5是根据本发明实施例的邮件数据的分析方法的流程图;
图6是根据本发明实施例的钓鱼邮件的检测方法的流程图;
图7是根据本发明实施例的邮件数据的分析装置的结构框图;
图8是根据本发明实施例的钓鱼邮件的检测装置的结构框图;
图9是本发明实施例提供的电子设备的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明实施例,提供了一种邮件数据的分析方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种邮件数据的分析方法,可用于上述的电子设备,如手机、平板电脑等,图1是根据本发明实施例的邮件数据的分析方法的流程图,如图1所示,该流程包括如下步骤:
S11,获取多个待分析邮件的分析数据。
其中,所述分析数据包括邮件特征以及对应的传送代理。
电子设备可以从邮件日志信息中获取到各个待分析邮件的分析数据,在邮件日志信息中记录有各个待分析邮件的传送代理(Mail Transfer Agent,简称为MTA),MTA可以用各个MTA的IP地址表示。
待分析邮件的邮件特征可以是通过对邮件正文进行哈希值计算得到的,也可以是对各个待分析邮件的发件人以及收件人确定的等等,在此对邮件特征的来源并不做任何限制,只需保证电子设备能够获取到各个待分析邮件的分析数据即可。
需要说明的是,各个待分析邮件的邮件特征与传送代理是对应的。
S12,基于邮件特征,确定传送代理之间的相似度。
对于任意两个传送代理而言,就对应有至少一个邮件特征组,每个邮件特征组包括两个邮件特征。电子设备利用各个邮件特征组确定两个传送代理之间的相似度,例如,当两个MTA发送了同样特征的邮件,并达到一定次数,就可以认为它们具有一定的相似性。
关于该步骤具体将在下文中进行详细描述。
S13,利用待传送代理及传送代理之间的相似度建立传送代理图。
其中,所述传送代理图的节点为传送代理,所述传送代理图的边用于连接具有相似性的两个传送代理。
传送代理图中的各个节点为上述S11中的各个传送代理,通过各个传送代理之间的相似度将各个传送代理连接。所形成的传送代理图可以如图2所示,图2中节点1-5表示5个传送代理,通过比较任意两个传送代理之间的相似度,若相似度高于预设值,则用边将这两个传送代理连接。
S14,对传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据。
其中,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
所述的稳定度分析用于确定传送代理图中的各个传送代理及其对应的邮件特征是否属于相同的类型,即是否属于钓鱼邮件的分析数据,还是属于非钓鱼邮件的分析数据。即,所述的稳定度分析也可以理解为社区归属确定的方式。
关于该步骤具体将在下文中进行详细描述。
本实施例提供的邮件数据的分析方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;且后续在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
在本实施例中提供了一种邮件数据的分析方法,可用于上述的电子设备,如手机、平板电脑等,图3是根据本发明实施例的邮件数据的分析方法的流程图,如图3所示,该流程包括如下步骤:
S21,获取多个待分析邮件的分析数据。
其中,所述分析数据包括邮件特征以及对应的传送代理。
详细请参见图1所示实施例的S11,在此不再赘述。
S22,基于邮件特征,确定传送代理之间的相似度。
详细请参见图1所示实施例的S12,在此不再赘述。
S23,利用待传送代理及传送代理之间的相似度建立传送代理图。
其中,所述传送代理图的节点为传送代理,所述传送代理图的边用于连接具有相似性的两个传送代理。
详细请参见图1所示实施例的S13,在此不再赘述。
S24,对传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据。
其中,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
具体地,上述S24可以包括如下步骤:
S241,对传送代理图进行划分,得到至少两个传送代理子图。
电子设备对传送代理图的划分,可以利用聚类的思想对其进行划分;也可以用社区划分的思想对其进行划分等等,在此对其具体划分形式不做任何限制,具体可以根据实际情况进行相应的设置。电子设备在对传送代理图进行划分后,得到至少两个传送代理子图。
在本实施例的一种可选实施方式中,上述S241可以包括如下步骤:
(1)计算传送代理图中各个节点的介数中心性。
电子设备通过对传送代理图的各个节点进行介数中心性的计算,所述的介数中心性用于表示一个节点在其他节点间最小路径中出现的比例。
(2)在传送代理图中删除所述介数中心性最高的节点及其相连的边,得到至少两个传送代理子图。
电子设备通过比较各个节点的介数中心性,确定出介数中心性最大的节点。在确定出介数中心性最大的节点之后,电子设备将介数中心性最大的节点及与其连接的边从传送代理图中删除,得到至少两个传送代理子图。
例如,图4a示出了传送代理图的一个示意图,经过介数中心性的计算,电子设备确定图4a中的节点A为介数中心性最大的节点。电子设备将节点A以及与其连接边从该传送代理图中删除,即可得到如图4b所示的两个传送代理子图。
由于介数中心性最高的节点表示大部分节点的最短路径均经过该节点,从该节点对传送代理图进行划分,可以实现在保证准确性的基础上,得到两个传送代理子图。
S242,对各个传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值。
其中,模块化计算是一种衡量网络中社区稳定度的方法。电子设备对上述S241划分得到的各个传送代理子图进行模块化计算,即可确定出各个传送代理子图的模块化数值。此处,对应于每个传送代理子图就对应有一个模块化数值。
S243,基于各个传送代理子图的模块化数值,确定非钓鱼邮件的分析数据。
电子设备事先确定有不同处理方式对应的阈值范围,在确定出各个传送代理子图的模块化数值之后,将该数值与各个阈值范围进行比较,从而确定该传送代理子图的处理方式。其中,所述的处理方式包括提取传送代理子图的节点对应的传送代理及其对应的邮件特征,将其作为非钓鱼邮件的分析数据;以及,对传送代理子图再次进行划分;以及,丢弃传送代理子图。
其中,下文所述的各个阈值范围可以根据实际情况进行相应的设置,在此对其具体范围值并不做任何限定。
在本实施例的一些可选实施方式中,上述S243可以包括如下步骤:
(1)判断各个传送代理子图中是否存在模块化数值在目标范围内的第一传送代理子图。
所述的目标范围,表示该传送代理子图中的节点及其对应的邮件特征为非钓鱼邮件的分析数据。电子设备可以将各个传送代理子图的模块化数值与目标范围进行比较,确定出在目标范围内的第一传送代理子图。当不存在第一传送代理子图时,可以继续进行其他阈值范围的判断。
(2)当存在第一传送代理子图时,将第一传送代理子图对应的目标传送代理以及目标传送代理对应的目标邮件特征,确定为非钓鱼邮件的分析数据。
如上文所述,此时电子设备可以将第一传送代理子图对应的目标传送代理以及目标传送代理对应的目标邮件特征,将其确定为非钓鱼邮件的分析数据。其中,非钓鱼邮件的分析数据用于表示目标传送代理与目标邮件特征之间的对应关系。此处需要说明的是,一个目标邮件特征可以对应一个目标传送代理,或两个目标传送代理,或多个目标传送代理,在此对其并无任何限制。
可选地,非钓鱼邮件的分析数据可以采用数据表的形式进行表示,也可以采用其他方式进行表示等等。其中,非钓鱼邮件的分析数据如下表所示:
表1非钓鱼邮件的分析数据
邮件特征 MTA列表
9a3903dac93609f01ece2103c7cd93701f302a4d 1.1.1.1、2.2.2.2、3.3.3.3
1c080904ef446ff08659ad3c6605bda115ca0430 192.168.1.1
8cdc0a17cb0abd5c0e46ea6f425a4b74fabb5038 54.38.10.10
在第一传送代理子图的模块化数值在目标范围内,表示该第一传送代理子图可以直接确定为非钓鱼邮件的分析数据,即,直接利用目标范围与模块化数值进行大小比较,简化了分析过程,提高了分析效率。
(3)判断各个传送代理子图中是否存在模块化数值在划分范围内的第二传送代理子图。
电子设备依次将各个传送代理子图的模块化数值与划分范围进行比较,确定第二传送代理子图。当不存在第二传送代理子图时,电子设备可以进行其他阈值范围的比较判断。
(4)当存在第二传送代理子图时,对第二传送代理子图进行再次划分。
电子设备在确定第二传送代理子图时,表示此时需要对第二传送代理子图继续进行划分。具体的划分方式与传动代理图的划分方式相同,具体可以参见上文所述,在此不再赘述。
(5)判断各个传送代理子图中是否存在模块化数值在丢弃范围内的第三传送代理子图。
电子设备依次将各个传送代理子图的模块化数值与丢弃范围进行比较,确定第三传送代理子图。当不存在第三传送代理子图时,电子设备可以进行其他阈值范围的比较判断。
(6)当存在第三传送代理子图时,丢弃第三传送代理子图。
电子设备在确定出存在第三传送代理子图时,直接将第三传送代理子图丢弃,表示其对应非钓鱼邮件的分析数据的确定并无价值。
在丢弃范围内的第三传送代理子图难以通过划分得到在模块化数值在目标范围内的传送代理子图,将第三传送代理子图丢弃,可以减少数据处理量,提高分析效率。
作为本实施例的一个具体实施方式,目标范围确定为小于0.1,划分范围确定为0.3与0.7之间,丢弃范围为0.1与0.3之间以及大于0.7。具体地,对于模块性数值小于0.1的MTA组,电子设备会将其写入非钓鱼邮件的分析数据中。介于0.3到0.7的传送代理子图,将基于介数中心性进行再次划分。同样地,模块性数值大于0.7的传送代理子图也不会被进一步分割,因为分割出小于0.1的组几率很小,而模块化大于0.1小于0.3的MTA组代表这个组里的节点关系不紧密,数值较小,也没有再次分组的意义,因此将被舍弃。
本实施例提供的邮件数据的分析方法,通过对传送代理图进行划分,可以减少每次数据处理量,提高分析效率;同时对传送代理子图进行模块化计算以对传送代理子图进行稳定性确定,保证了非钓鱼邮件的分析结果的可靠性。
在本实施例中提供了一种邮件数据的分析方法,可用于上述的电子设备,如手机、平板电脑等,图5是根据本发明实施例的邮件数据的分析方法的流程图,如图5所示,该流程包括如下步骤:
S31,获取多个待分析邮件的分析数据。
其中,所述分析数据包括邮件特征以及对应的传送代理。
详细请参见图3所示实施例的S21,在此不再赘述。
S32,基于邮件特征,确定传送代理之间的相似度。
具体地,上述S32可以包括如下步骤:
S321,统计任意两个传送代理对应的相同邮件特征的数量。
如表2所示,表2示出了各个邮件特征及其对应的传送代理,此处的传送代理用传送代理的IP地址表示:
表2各个邮件特征及其对应的传送代理
邮件特征 MTA IP
ffc245d3bd169655c98965171a53bccd2049d09d 192.168.1.1
ea145e5186958c0c70514ab1eab4ce9cc9f71073 169.254.1.10
ea145e5186958c0c70514ab1eab4ce9cc9f71073 54.18.130.5
2c691d1108be15163e3211776730031b40641d96 10.21.155.49
2c691d1108be15163e3211776730031b40641d96 169.254.1.10
ffc245d3bd169655c98965171a53bccd2049d09d 54.18.130.5
ffc245d3bd169655c98965171a53bccd2049d09d 169.254.1.10
电子设备可以基于表1所示的邮件特征及其对应的MTA IP,统计任意两个传送代理对应的相同邮件特征的数量。即,通过对比相同的邮件特征,确定MTA间的相似度。
例如,每当两个传送代理发送一份相同邮件特征的邮件,就是为相似度分值加一。
S322,利用相同邮件特征的数量,确定任意两个传送代理之间的相似度。
对应于表2,表3示出了两个MTA之间的相似度:
表3 MTA之间的相似度
MTA IP MTA IP 相似度
169.254.1.10 54.18.130.5 2
192.168.1.1 169.254.1.10 1
192.168.1.1 54.18.130.5 1
169.254.1.10 10.21.155.49 1
在后续的传送代理图的建立过程中,若两个传送代理之间的相似度大于10,则将这两个传送代理用边连接。
S33,利用待传送代理及传送代理之间的相似度建立传送代理图。
其中,所述传送代理图的节点为传送代理,所述传送代理图的边用于连接具有相似性的两个传送代理。
详细请参见图3所示实施例的S23,在此不再赘述。
S34,对传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据。
其中,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
详细请参见图3所示实施例的S24,在此不再赘述。
本实施例提供的邮件数据的分析方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
根据本发明实施例,提供了一种钓鱼邮件的检测方法实施例,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
在本实施例中提供了一种钓鱼邮件的检测方法,可用于上述的电子设备,如手机、平板电脑等,图6是根据本发明实施例的钓鱼邮件的检测方法的流程图,如图6所示,该流程包括如下步骤:
S41,获取待检测邮件的分析数据。
其中,所述分析数据包括邮件特征以及对应的传送代理。
待检测邮件的分析数据的获取方式与上述实施例中待分析邮件的分析数据的获取方式类似,均可以从待检测邮件的邮件日志中获取到。
S42,利用邮件特征查询非钓鱼邮件的分析数据,确定与邮件特征对应的目标传送代理。
其中,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系。
电子设备可以利用待检测邮件的邮件特征,在非钓鱼邮件的分析数据中进行查询,确定出与待检测邮件的邮件特征对应的目标传送代理。其中,确定出的目标传送代理可以是一个,两个或多个,具体取决于非钓鱼邮件中的目标邮件特征所对应的传送代理的数量,在此对其并不做任何限制。
在本实施例的一些可选实施方式中,所述的非钓鱼邮件的分析数据可以是根据上述任一个实施例中所述的邮件数据的分析方法确定的。
S43,基于待检测邮件对应的传送代理以及目标传送代理,确定待检测邮件是否为钓鱼邮件。
电子设备将待检测邮件对应的传送代理与上述S42中确定出的目标传送代理进行比较,确定目标传送代理中是否存在与所述待检测邮件对应的传送代理相同的传送代理。若存在相同的,则确定待检测邮件为非钓鱼邮件;若不存在相同的,则确定待检测邮件为钓鱼邮件。
例如,待检测邮件的邮件特征为”9a3903dac93609f01ece2103c7cd93701f302a4d”,结合表1,若该邮件相关的MTA不在”1.1.1.1、2.2.2.2、3.3.3.3”中,那么就认为该邮件是钓鱼邮件。
本实施例提供的钓鱼邮件的检测方法,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
在本实施例中还提供了一种邮件数据的分析装置,或者钓鱼邮件的检测装置。该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
本实施例提供一种邮件数据的分析装置,如图7所示,包括:
第一获取模块51,用于获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
第一确定模块52,用于基于所述邮件特征,确定所述传送代理之间的相似度;
建立模块53,用于利用所述待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个传送代理;
分析模块54,用于对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理。
本实施例提供的邮件数据的分析装置,利用待分析邮件的邮件特征以及传送代理确定非钓鱼邮件的分析数据,在非钓鱼邮件的分析数据中将非钓鱼邮件的邮件特征及其对应的传送代理进行关联,从待分析邮件的来源进行分析,可以保证非钓鱼邮件的分析数据的准确性;且后续在对邮件进行检测时,只需要利用非钓鱼邮件的分析数据与邮件的分析数据进行对比分析,就可以快速地检测出该邮件是否为钓鱼邮件,提高了检测效率。
本实施例提供一种钓鱼邮件的检测装置,如图8所示,包括:
第二获取模块61,用于获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理的地址;
第二确定模块62,用于利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;
检测模块63,用于基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。
本实施例中的邮件数据的分析装置,或钓鱼邮件的检测装置是以功能单元的形式来呈现,这里的单元是指ASIC电路,执行一个或多个软件或固定程序的处理器和存储器,和/或其他可以提供上述功能的器件。
上述各个模块的更进一步的功能描述与上述对应实施例相同,在此不再赘述。
本发明实施例还提供一种电子设备,具有上述图7所示的邮件数据的分析装置,或图8所示的钓鱼邮件的检测装置。
请参阅图9,图9是本发明可选实施例提供的一种电子设备的结构示意图,如图9所示,该电子设备可以包括:至少一个处理器71,例如CPU(Central Processing Unit,中央处理器),至少一个通信接口73,存储器74,至少一个通信总线72。其中,通信总线72用于实现这些组件之间的连接通信。其中,通信接口73可以包括显示屏(Display)、键盘(Keyboard),可选通信接口73还可以包括标准的有线接口、无线接口。存储器74可以是高速RAM存储器(Random Access Memory,易挥发性随机存取存储器),也可以是非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。存储器74可选的还可以是至少一个位于远离前述处理器71的存储装置。其中处理器71可以结合图7或8所描述的装置,存储器74中存储应用程序,且处理器71调用存储器74中存储的程序代码,以用于执行上述任一方法步骤。
其中,通信总线72可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。通信总线72可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器74可以包括易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器也可以包括非易失性存储器(英文:non-volatile memory),例如快闪存储器(英文:flash memory),硬盘(英文:hard diskdrive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD);存储器74还可以包括上述种类的存储器的组合。
其中,处理器71可以是中央处理器(英文:central processing unit,缩写:CPU),网络处理器(英文:network processor,缩写:NP)或者CPU和NP的组合。
其中,处理器71还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(英文:application-specific integrated circuit,缩写:ASIC),可编程逻辑器件(英文:programmable logic device,缩写:PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(英文:complex programmable logic device,缩写:CPLD),现场可编程逻辑门阵列(英文:field-programmable gate array,缩写:FPGA),通用阵列逻辑(英文:generic arraylogic,缩写:GAL)或其任意组合。
可选地,存储器74还用于存储程序指令。处理器71可以调用程序指令,实现如本申请图1、3以及5实施例中所示的邮件数据的分析方法,或图6实施例中所示的钓鱼邮件的检测方法。
本发明实施例还提供了一种非暂态计算机存储介质,所述计算机存储介质存储有计算机可执行指令,该计算机可执行指令可执行上述任意方法实施例中的邮件数据的分析方法,或钓鱼邮件的检测方法。其中,所述存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)、随机存储记忆体(Random Access Memory,RAM)、快闪存储器(FlashMemory)、硬盘(Hard Disk Drive,缩写:HDD)或固态硬盘(Solid-State Drive,SSD)等;所述存储介质还可以包括上述种类的存储器的组合。
虽然结合附图描述了本发明的实施例,但是本领域技术人员可以在不脱离本发明的精神和范围的情况下做出各种修改和变型,这样的修改和变型均落入由所附权利要求所限定的范围之内。

Claims (10)

1.一种邮件数据的分析方法,其特征在于,包括:
获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
基于所述邮件特征,确定所述传送代理之间的相似度;
利用待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述传送代理;
对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理;
所述对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,包括:
对所述传送代理图进行划分,得到至少两个传送代理子图;
对各个所述传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值;
基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据;
所述对所述传送代理图进行划分,得到至少两个传送代理子图,包括:
计算所述传送代理图中各个节点的介数中心性;
在所述传送代理图中删除所述介数中心性最高的节点及其相连的边,得到至少两个所述传送代理子图。
2.根据权利要求1所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,包括:
判断各个所述传送代理子图中是否存在所述模块化数值在目标范围内的第一传送代理子图;
当存在所述第一传送代理子图时,将所述第一传送代理子图对应的目标传送代理以及所述目标传送代理对应的目标邮件特征,确定为所述非钓鱼邮件的分析数据。
3.根据权利要求1所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在划分范围内的第二传送代理子图;
当存在所述第二传送代理子图时,对所述第二传送代理子图进行再次划分。
4.根据权利要求1所述的分析方法,其特征在于,所述基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据,还包括:
判断各个所述传送代理子图中是否存在所述模块化数值在丢弃范围内的第三传送代理子图;
当存在所述第三传送代理子图时,丢弃所述第三传送代理子图。
5.根据权利要求1所述的分析方法,其特征在于,所述基于所述邮件特征,确定所述传送代理之间的相似度,包括:
统计任意两个所述传送代理对应的相同邮件特征的数量;
利用所述相同邮件特征的数量,确定任意两个所述传送代理之间的相似度。
6.一种钓鱼邮件的检测方法,其特征在于,包括:
获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理,所述的非钓鱼邮件的分析数据是根据权利要求1-5任意一项所述的邮件数据的分析方法确定的;
利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;
基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。
7.一种邮件数据的分析装置,其特征在于,包括:
第一获取模块,用于获取多个待分析邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理;
第一确定模块,用于基于所述邮件特征,确定所述传送代理之间的相似度;
建立模块,用于利用待传送代理及所述传送代理之间的相似度建立传送代理图,所述传送代理图的节点为所述传送代理,所述传送代理图的边用于连接具有相似性的两个所述传送代理;
分析模块,用于对所述传送代理图进行稳定度分析,确定非钓鱼邮件的分析数据,所述分析数据包括所述非钓鱼邮件的邮件特征及其对应的传送代理,所述分析模块具体用于对所述传送代理图进行划分,得到至少两个传送代理子图;对各个所述传送代理子图进行模块化计算,确定各个传送代理子图的模块化数值;基于各个所述传送代理子图的模块化数值,确定非钓鱼邮件的分析数据;所述对所述传送代理图进行划分,得到至少两个传送代理子图,包括:计算所述传送代理图中各个节点的介数中心性;在所述传送代理图中删除所述介数中心性最高的节点及其相连的边,得到至少两个所述传送代理子图。
8.一种钓鱼邮件的检测装置,其特征在于,包括:
第二获取模块,用于获取待检测邮件的分析数据,所述分析数据包括邮件特征以及对应的传送代理,所述的非钓鱼邮件的分析数据是根据权利要求1-5任意一项所述的邮件数据的分析方法确定的;
第二确定模块,用于利用所述邮件特征查询非钓鱼邮件的分析数据,确定与所述邮件特征对应的目标传送代理,所述非钓鱼邮件的分析数据包括非钓鱼邮件的目标邮件特征与目标传送代理的对应关系;
检测模块,用于基于所述待检测邮件对应的传送代理以及所述目标传送代理,确定所述待检测邮件是否为钓鱼邮件。
9.一种电子设备,其特征在于,包括:
存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行权利要求1-5中任一项所述邮件数据的分析方法,或执行权利要求6所述的钓鱼邮件的检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使计算机执行权利要求1-5中任一项所述的邮件数据的分析方法,或执行权利要求6所述的钓鱼邮件的检测方法。
CN202110090919.4A 2021-01-22 2021-01-22 邮件数据的分析方法、钓鱼邮件的检测方法及装置 Active CN112836212B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110090919.4A CN112836212B (zh) 2021-01-22 2021-01-22 邮件数据的分析方法、钓鱼邮件的检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110090919.4A CN112836212B (zh) 2021-01-22 2021-01-22 邮件数据的分析方法、钓鱼邮件的检测方法及装置

Publications (2)

Publication Number Publication Date
CN112836212A CN112836212A (zh) 2021-05-25
CN112836212B true CN112836212B (zh) 2024-02-09

Family

ID=75931176

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110090919.4A Active CN112836212B (zh) 2021-01-22 2021-01-22 邮件数据的分析方法、钓鱼邮件的检测方法及装置

Country Status (1)

Country Link
CN (1) CN112836212B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102223316A (zh) * 2011-06-15 2011-10-19 成都市华为赛门铁克科技有限公司 电子邮件处理方法及装置
CN103078787A (zh) * 2013-01-17 2013-05-01 华为技术有限公司 邮件处理方法和设备
US9009824B1 (en) * 2013-03-14 2015-04-14 Trend Micro Incorporated Methods and apparatus for detecting phishing attacks

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102223316A (zh) * 2011-06-15 2011-10-19 成都市华为赛门铁克科技有限公司 电子邮件处理方法及装置
CN103078787A (zh) * 2013-01-17 2013-05-01 华为技术有限公司 邮件处理方法和设备
US9009824B1 (en) * 2013-03-14 2015-04-14 Trend Micro Incorporated Methods and apparatus for detecting phishing attacks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
网络钓鱼邮件分析系统的设计与实现;杨明;杜彦辉;刘晓娟;;中国人民公安大学学报(自然科学版)(第02期);全文 *

Also Published As

Publication number Publication date
CN112836212A (zh) 2021-05-25

Similar Documents

Publication Publication Date Title
EP3771168B1 (en) Abnormal user identification method
Yeo et al. Flow-based malware detection using convolutional neural network
CN108881294B (zh) 基于网络攻击行为的攻击源ip画像生成方法以及装置
CN108932426B (zh) 越权漏洞检测方法和装置
CN108471429B (zh) 一种网络攻击告警方法及系统
CN108833186B (zh) 一种网络攻击预测方法及装置
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN111355697B (zh) 僵尸网络域名家族的检测方法、装置、设备及存储介质
US20170063913A1 (en) Method, apparatus and system for detecting fraudulant software promotion
CN107222511B (zh) 恶意软件的检测方法及装置、计算机装置及可读存储介质
CN109191021B (zh) 电网异常事件的关联规则匹配方法及装置
CN110647895B (zh) 一种基于登录框图像的钓鱼页面识别方法及相关设备
CN106713242B (zh) 数据请求的处理方法及处理装置
CN107231383B (zh) Cc攻击的检测方法及装置
CN112153062A (zh) 基于多维度的可疑终端设备检测方法及系统
CN111125702A (zh) 一种病毒识别方法及装置
CN112559595A (zh) 安全事件挖掘方法、装置、存储介质及电子设备
CN112836212B (zh) 邮件数据的分析方法、钓鱼邮件的检测方法及装置
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN117391214A (zh) 模型训练方法、装置及相关设备
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN113553370A (zh) 异常检测方法、装置、电子设备及可读存储介质
CN114039765A (zh) 一种配电物联网的安全管控方法、装置及电子设备
CN116962084B (zh) 泛解析子域名的识别方法、装置、设备及存储介质
CN113596051B (zh) 检测方法、检测装置、电子设备、介质和计算机程序

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant