CN113949588A - 一种邮件附件威胁检测方法及系统 - Google Patents
一种邮件附件威胁检测方法及系统 Download PDFInfo
- Publication number
- CN113949588A CN113949588A CN202111558695.1A CN202111558695A CN113949588A CN 113949588 A CN113949588 A CN 113949588A CN 202111558695 A CN202111558695 A CN 202111558695A CN 113949588 A CN113949588 A CN 113949588A
- Authority
- CN
- China
- Prior art keywords
- attachment
- threat detection
- detection
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请实施例提供一种邮件附件威胁检测方法及系统,涉及网络安全技术领域,该邮件附件威胁检测方法包括:流量分析模块先获取客户端与服务端之间的邮件数据,再对邮件数据进行解析,得到附件相关信息,然后将附件相关信息发送至威胁检测模块;接着,威胁检测模块再根据附件相关信息对邮件附件进行威胁检测,得到检测结果,以及根据检测结果生成检测日志,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
Description
技术领域
本申请涉及通信安全技术领域,具体而言,涉及一种邮件附件威胁检测方法及系统。
背景技术
在人们的日常工作中邮件是大家沟通必不可少的,正因为如此,邮件承载的攻击也非常多。通过邮件可以传递恶意的信息,诱导用户进行一些操作;也可以传递恶意的网络链接,获取用户名密码等;还有一种就是传递恶意程序,通常这类是以附件形式存在的。现有的邮件附件威胁检测方法,通常在收到邮件流量时,提取出邮件附件,然后把邮件附件送入杀毒引擎,如发现为恶意软件则进行告警。然而在实践中发现,在解析出附件后,继续在原流程中处理,加大了流量处理的延时,无法快速的继续处理后续流量,从而降低了威胁检测效率。
发明内容
本申请实施例的目的在于提供一种邮件附件威胁检测方法及系统,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
本申请实施例第一方面提供了一种邮件附件威胁检测方法,应用于邮件附件威胁检测系统,所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块,所述邮件附件威胁检测方法包括:
所述流量分析模块获取客户端与服务端之间的邮件数据;
所述流量分析模块对所述邮件数据进行解析,得到附件相关信息;
所述流量分析模块将所述附件相关信息发送至所述威胁检测模块;
所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果;
所述威胁检测模块根据所述检测结果生成检测日志。
在上述实现过程中,流量分析模块先获取客户端与服务端之间的邮件数据,再对邮件数据进行解析,得到附件相关信息,然后将附件相关信息发送至威胁检测模块;接着,威胁检测模块再根据附件相关信息对邮件附件进行威胁检测,得到检测结果,以及根据检测结果生成检测日志,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
进一步地,所述流量分析模块获取客户端与服务端之间的邮件数据,包括:
所述流量分析模块获取客户端与服务端之间的通信流量;
所述流量分析模块对所述通信流量进行邮件协议识别,得到邮件数据。
在上述实现过程中,流量分析模块能够独立进行流量获取以及邮件协议识别。
进一步地,所述流量分析模块对所述邮件数据进行解析,得到附件相关信息,包括:
所述流量分析模块在检测出所述邮件数据中存在邮件附件时,提取所述邮件附件;
所述流量分析模块存储所述邮件附件;
所述流量分析模块获取所述通信流量的流信息以及所述邮件附件的相关信息;
所述流量分析模块根据所述通信流量的流信息以及所述邮件附件的相关信息,生成附件相关信息。
进一步地,所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果,包括:
所述威胁检测模块根据所述附件相关信息获取所述邮件附件;
所述威胁检测模块调用多个预设检测引擎分别对所述邮件附件进行威胁检测,得到检测结果。
进一步地,所述多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多种。
进一步地,所述威胁检测模块根据所述检测结果生成检测日志,包括:
所述威胁检测模块根据所述检测结果判断所述邮件附件是否存在威胁;
所述威胁检测模块在判断出所述邮件附件存在威胁时,根据所述附件相关信息以及所述检测结果生成检测日志,并将所述检测日志与所述通信流量的流量日志进行关联。
本申请实施例第二方面提供了一种邮件附件威胁检测系统,所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块,其中,
所述流量分析模块,用于获取客户端与服务端之间的邮件数据;以及对所述邮件数据进行解析,得到附件相关信息;以及将所述附件相关信息发送至所述威胁检测模块;
所述威胁检测模块,用于根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果;以及根据所述检测结果生成检测日志。
在上述实现过程中,流量分析模块先获取客户端与服务端之间的邮件数据,再对邮件数据进行解析,得到附件相关信息,然后将附件相关信息发送至威胁检测模块;接着,威胁检测模块再根据附件相关信息对邮件附件进行威胁检测,得到检测结果,以及根据检测结果生成检测日志,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
进一步地,所述流量分析模块,具体用于获取客户端与服务端之间的通信流量,并对所述通信流量进行邮件协议识别,得到邮件数据。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的邮件附件威胁检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的邮件附件威胁检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种邮件附件威胁检测方法的流程示意图;
图2为本申请实施例提供的另一种邮件附件威胁检测方法的流程示意图;
图3是本申请实施例提供的一种邮件附件威胁检测环境的拓扑示意图;
图4是本申请实施例提供的另一种邮件附件威胁检测环境的拓扑示意图;
图5是本申请实施例提供的一种邮件附件威胁检测系统模块间的信息交互示意图。
图标:210-流量分析模块;220-威胁检测模块;C-客户端;S-服务器;TDP-邮件附件威胁检测装置;SW-交换机或路由器。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本申请实施例提供了一种邮件附件威胁检测方法的流程示意图。其中,该邮件附件威胁检测方法应用于邮件附件威胁检测系统,邮件附件威胁检测系统包括流量分析模块和威胁检测模块,包括:
S101、流量分析模块获取客户端与服务端之间的邮件数据。
作为一种可选的实施方式,流量分析模块获取客户端与服务端之间的邮件数据,包括:
流量分析模块获取客户端与服务端之间的通信流量;
流量分析模块对通信流量进行邮件协议识别,得到邮件数据。
在上述实施方式中,客户端与服务端之间的通信流量具体可以为服务端发往客户端的通信流量,也可以为客户端发往服务端的通信流量,对此本申请实施例不作限定。
在上述实施方式中,通信流量具体可以为TCP(Transmission Control Protocol,传输控制协议)流量,对此本申请实施例不作限定。
在上述实施方式中,该邮件协议识别可以支持SMTP协议、POP3协议和IMAP协议等,对此本申请实施例不作限定。
在上述实施方式中,通过进行邮件协议识别,能够识别通信流量中承载转发的邮件中附件的检查。在从通信流量报文中还原出可靠的TCP数据后,进行协议识别,如发现为邮件数据,则执行步骤S102。
在上述实施方式中,举例来说,客户端上依次发起两条通信流量:1、客户端使用SMTP协议向服务端发送带附件的邮件,附件为恶意文件。客户端使用POP3协议或者IMAP协议从服务端上获取带多个附件的邮件,该多个附件包括恶意文件和正常文件。
针对上述两条流量,都可以通过邮件协议识别,得到邮件数据。
S102、流量分析模块在检测出邮件数据中存在邮件附件时,提取邮件附件。
本申请实施例中,对邮件数据进行相应邮件协议解析处理,得到协议解析数据,然后判断协议解析数据中是否存在邮件附件,如果有,则提取解析数据中的邮件附件。
S103、流量分析模块存储邮件附件。
本申请实施例中,在得到邮件附件之后,存储邮件附件,邮件附件可以存储在服务器中,也可以存储到流量分析模块与威胁检测模块的共享内存中,对此本申请实施不作限定。
本申请实施例中,在得到邮件附件之后,可以根据实现的上下文环境,选择附件的存储方式。可以使用标准的文件系统操作,对邮件附件进行写文件的存储操作。也可以采用写共享内存的存储方式,读写的效率高。用户可以根据缓存占用空间的限制,自由设置存储方式。
在步骤S103之后,还包括以下步骤:
S104、流量分析模块获取通信流量的流信息以及邮件附件的相关信息。
本申请实施例中,通信流量的流信息包括该通信流量的目的IP、源IP、目的端口、源端口、通信协议、应用类型等生成日志及检查所需的必要信息,对此本申请实施例不作限定。
本申请实施例中,邮件附件的相关信息包括该邮件附件的存储方式、该邮件附件的存储位置、该邮件附件的文件大小等,对此本申请实施例不作限定。
S105、流量分析模块根据通信流量的流信息以及邮件附件的相关信息,生成附件相关信息。
本申请实施例中,实施上述步骤S102~步骤S105,流量分析模块能够对邮件数据进行解析,得到附件相关信息。
S106、流量分析模块将附件相关信息发送至威胁检测模块。
本申请实施例中,流量分析模块可以通过进程间通信将附件相关信息发送至威胁检测模块。
本申请实施例中,如存在多个邮件附件,流量分析模块可以循环执行步骤S103~步骤S106,如邮件附件处理结束则当前进程继续处理后续新接收到的邮件数据。
本申请实施例中,流量分析模块在将附件相关信息发送至威胁检测模块之后,这时流量分析模块就不需要再关注附件威胁检测过程了,可以继续处理后面接收到的邮件数据,从而避免流量处理阻塞,保持其它数据得到处理。
请一并参阅图3和图4,图3是本申请实施例提供的一种邮件附件威胁检测环境的拓扑示意图,图4是本申请实施例提供的另一种邮件附件威胁检测环境的拓扑示意图。如图3所示,邮件附件威胁检测装置TDP串行接入,客户端C和服务器S之间的通信流量经过TDP检查并转发。如图4所示,邮件附件威胁检测装置TDP旁路接入,客户端C与服务器S之间的通信流量经交换机或路由器SW转发,由SW把流量镜像转发给TDP进行威胁检查。
本申请实施例中,通过对附件检测的异步处理,减轻了流量分析流程的压力,使邮件附件可以得到充分的检测,极大的减少了误报漏报。该方法可以应用于邮件附件检测场景中,也可以应用于其它文件转发的流量检测场景中。
S107、威胁检测模块根据附件相关信息获取邮件附件。
本申请实施例中,威胁检测模块收到附件相关信息后,先获取邮件附件确认文件存储位置,进行检测前期准备。
S108、威胁检测模块调用多个预设检测引擎分别对邮件附件进行威胁检测,得到检测结果。
本申请实施例中,多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎等中的一种或者多种,对此本申请实施例不作限定。
本申请实施例中,威胁检测模块分别调用不同预设检测引擎对邮件附件进行检测。其中,该多个预设检测引擎进行威胁检测,可以是并行的,也可以是串行的,还可以根据用户的预先配置进行检测,对此本申请实施例不作限定。
本申请实施例中,威胁检测模块对邮件附件进行威胁检测,该检测过程不影响流量分析模块的流量处理进程;可以对文件进行深入分析检测而不用担心会因为检测而影响流量处理。
本申请实施例中,实施上述步骤S107~步骤S108,威胁检测模块能够根据附件相关信息对邮件附件进行威胁检测,得到检测结果。
S109、威胁检测模块根据检测结果判断邮件附件是否存在威胁,如果是,则执行步骤S110;如果否,结束本流程。
本申请实施例中,在并行检测或者串行检测时,在通过多个预设检测引擎得到的检测结果中,当存在其中任一个检测结果为存在威胁时,则判断出该邮件附件存在威胁。
S110、威胁检测模块根据附件相关信息以及检测结果生成检测日志,并将检测日志与通信流量的流量日志进行关联。
本申请实施例中,当检测出该邮件附件存在威胁时,可以根据附件相关信息钟的流信息生成检测日志,与通信流量的流量日志进行关联,以便后续关联查看。
本申请实施例中,实施上述步骤S109~步骤S110,威胁检测模块能够根据检测结果生成检测日志。
可见,实施本实施例所描述的邮件附件威胁检测方法,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
实施例2
请参看图2,图2为本申请实施例提供的一种邮件附件威胁检测系统的结构示意图。如图2所示,该邮件附件威胁检测系统流量分析模块210和威胁检测模块220。
流量分析模块,用于获取客户端与服务端之间的邮件数据;以及对邮件数据进行解析,得到附件相关信息;以及将附件相关信息发送至威胁检测模块。
威胁检测模块,用于根据附件相关信息对邮件附件进行威胁检测,得到检测结果;以及根据检测结果生成检测日志。
请一并参阅图5,图5是本申请实施例提供的一种邮件附件威胁检测系统模块间的信息交互示意图,在流量分析模块解析出邮件附件后,由威胁检测模块异步处理,流量分析模块继续处理后续流量,两者相互独立,处理进度相互不影响,从而有利于提升邮件附件威胁检测效率,以实现对邮件附件的钓鱼、木马、病毒、勒索软件等威胁检测。
作为一种可选的实施方式,流量分析模块,具体用于获取客户端与服务端之间的通信流量,并对通信流量进行邮件协议识别,得到邮件数据。
作为一种可选的实施方式,所流量分析模块,具体用于在检测出邮件数据中存在邮件附件时,提取邮件附件;以及存储邮件附件;以及获取通信流量的流信息以及邮件附件的相关信息;以及根据通信流量的流信息以及邮件附件的相关信息,生成附件相关信息。
作为一种可选的实施方式,威胁检测模块,具体用于根据附件相关信息获取邮件附件;以及调用多个预设检测引擎分别对邮件附件进行威胁检测,得到检测结果。
本申请实施例中,多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多种,对此本申请实施例不作限定。
作为一种可选的实施方式,威胁检测模块,具体用于根据检测结果判断邮件附件是否存在威胁;以及在判断出邮件附件存在威胁时,根据附件相关信息以及检测结果生成检测日志,并将检测日志与通信流量的流量日志进行关联。
通过对附件检测的异步处理,减轻了流量分析流程的压力,使邮件附件可以得到充分的检测,极大的减少了误报漏报;日志生成可以关联之前的流量信息。
本申请实施例中,对于邮件附件威胁检测系统的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的邮件附件威胁检测系统,能够实现流量处理和威胁检测的异步处理,减小了流量处理的延时,从而能够快速的继续处理后续流量,进而提升威胁检测效率。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的邮件附件威胁检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的邮件附件威胁检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,也可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种邮件附件威胁检测方法,其特征在于,应用于邮件附件威胁检测系统,所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块,所述邮件附件威胁检测方法包括:
所述流量分析模块获取客户端与服务端之间的邮件数据;
所述流量分析模块对所述邮件数据进行解析,得到附件相关信息;
所述流量分析模块将所述附件相关信息发送至所述威胁检测模块;
所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果;
所述威胁检测模块根据所述检测结果生成检测日志。
2.根据权利要求1所述的邮件附件威胁检测方法,其特征在于,所述流量分析模块获取客户端与服务端之间的邮件数据,包括:
所述流量分析模块获取客户端与服务端之间的通信流量;
所述流量分析模块对所述通信流量进行邮件协议识别,得到邮件数据。
3.根据权利要求2所述的邮件附件威胁检测方法,其特征在于,所述流量分析模块对所述邮件数据进行解析,得到附件相关信息,包括:
所述流量分析模块在检测出所述邮件数据中存在邮件附件时,提取所述邮件附件;
所述流量分析模块存储所述邮件附件;
所述流量分析模块获取所述通信流量的流信息以及所述邮件附件的相关信息;
所述流量分析模块根据所述通信流量的流信息以及所述邮件附件的相关信息,生成附件相关信息。
4.根据权利要求2所述的邮件附件威胁检测方法,其特征在于,所述威胁检测模块根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果,包括:
所述威胁检测模块根据所述附件相关信息获取所述邮件附件;
所述威胁检测模块调用多个预设检测引擎分别对所述邮件附件进行威胁检测,得到检测结果。
5.根据权利要求4所述的邮件附件威胁检测方法,其特征在于,所述多个预设检测引擎包括预设威胁检测算法引擎、预设本地沙箱检测引擎以及预设云检测引擎中的一种或者多种。
6.根据权利要求4所述的邮件附件威胁检测方法,其特征在于,所述威胁检测模块根据所述检测结果生成检测日志,包括:
所述威胁检测模块根据所述检测结果判断所述邮件附件是否存在威胁;
所述威胁检测模块在判断出所述邮件附件存在威胁时,根据所述附件相关信息以及所述检测结果生成检测日志,并将所述检测日志与所述通信流量的流量日志进行关联。
7.一种邮件附件威胁检测系统,其特征在于,所述邮件附件威胁检测系统包括流量分析模块和威胁检测模块,其中,
所述流量分析模块,用于获取客户端与服务端之间的邮件数据;以及对所述邮件数据进行解析,得到附件相关信息;以及将所述附件相关信息发送至所述威胁检测模块;
所述威胁检测模块,用于根据所述附件相关信息对所述邮件附件进行威胁检测,得到检测结果;以及根据所述检测结果生成检测日志。
8.根据权利要求7所述的邮件附件威胁检测系统,其特征在于,所述流量分析模块,具体用于获取客户端与服务端之间的通信流量,并对所述通信流量进行邮件协议识别,得到邮件数据。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的邮件附件威胁检测方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的邮件附件威胁检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111558695.1A CN113949588A (zh) | 2021-12-20 | 2021-12-20 | 一种邮件附件威胁检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111558695.1A CN113949588A (zh) | 2021-12-20 | 2021-12-20 | 一种邮件附件威胁检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113949588A true CN113949588A (zh) | 2022-01-18 |
Family
ID=79339370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111558695.1A Pending CN113949588A (zh) | 2021-12-20 | 2021-12-20 | 一种邮件附件威胁检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113949588A (zh) |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852910A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测的方法和装置 |
| CN106878301A (zh) * | 2017-02-13 | 2017-06-20 | 国网江西省电力公司信息通信分公司 | 一种高级可持续威胁的检测方法及系统 |
| CN109347819A (zh) * | 2018-10-12 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种病毒邮件检测方法、系统及电子设备和存储介质 |
| CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
| CN113489734A (zh) * | 2021-07-13 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 钓鱼邮件检测方法、装置和电子装置 |
-
2021
- 2021-12-20 CN CN202111558695.1A patent/CN113949588A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852910A (zh) * | 2015-04-24 | 2015-08-19 | 杭州华三通信技术有限公司 | 一种攻击检测的方法和装置 |
| CN106878301A (zh) * | 2017-02-13 | 2017-06-20 | 国网江西省电力公司信息通信分公司 | 一种高级可持续威胁的检测方法及系统 |
| CN109347819A (zh) * | 2018-10-12 | 2019-02-15 | 杭州安恒信息技术股份有限公司 | 一种病毒邮件检测方法、系统及电子设备和存储介质 |
| CN111092902A (zh) * | 2019-12-26 | 2020-05-01 | 中国科学院信息工程研究所 | 一种面向附件伪装的鱼叉攻击邮件发现方法及装置 |
| CN113489734A (zh) * | 2021-07-13 | 2021-10-08 | 杭州安恒信息技术股份有限公司 | 钓鱼邮件检测方法、装置和电子装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10243989B1 (en) | Systems and methods for inspecting emails for malicious content | |
| CN107733581B (zh) | 基于全网环境下的快速互联网资产特征探测方法及装置 | |
| US10084801B2 (en) | Time zero classification of messages | |
| US9237163B2 (en) | Managing infectious forwarded messages | |
| US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
| CN110519150B (zh) | 邮件检测方法、装置、设备、系统及计算机可读存储介质 | |
| US20020004908A1 (en) | Electronic mail message anti-virus system and method | |
| US7865965B2 (en) | Optimization of distributed anti-virus scanning | |
| JP6711000B2 (ja) | 情報処理装置、ウィルス検出方法及びプログラム | |
| CN107395650B (zh) | 基于沙箱检测文件识别木马回连方法及装置 | |
| CN109450929B (zh) | 一种安全检测方法及装置 | |
| JP7049087B2 (ja) | 疑わしい電子メッセージを検出する技術 | |
| US8590039B1 (en) | System, method and computer program product for sending information extracted from a potentially unwanted data sample to generate a signature | |
| CN112511517B (zh) | 一种邮件检测方法、装置、设备及介质 | |
| CN114095274B (zh) | 一种攻击研判方法及装置 | |
| US7539871B1 (en) | System and method for identifying message propagation | |
| JP6904709B2 (ja) | 悪意の電子メッセージを検出するための技術 | |
| CN113849820A (zh) | 一种漏洞检测方法及装置 | |
| CN113726818B (zh) | 一种失陷主机检测方法及装置 | |
| CN113965418B (zh) | 一种攻击成功判定方法及装置 | |
| CN113949588A (zh) | 一种邮件附件威胁检测方法及系统 | |
| US20200097655A1 (en) | Time zero classification of messages | |
| TWI640891B (zh) | 偵測惡意程式的方法和裝置 | |
| CN114003914A (zh) | 一种文件的安全性检测方法、装置、电子设备及存储介质 | |
| CN100556041C (zh) | 电子邮件异常特征处理系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20220118 |
|
| RJ01 | Rejection of invention patent application after publication |