CN114389854A - 一种恶意电子邮件检测方法及其系统 - Google Patents

一种恶意电子邮件检测方法及其系统 Download PDF

Info

Publication number
CN114389854A
CN114389854A CN202111583901.4A CN202111583901A CN114389854A CN 114389854 A CN114389854 A CN 114389854A CN 202111583901 A CN202111583901 A CN 202111583901A CN 114389854 A CN114389854 A CN 114389854A
Authority
CN
China
Prior art keywords
email
mailbox
domain name
library
received
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111583901.4A
Other languages
English (en)
Inventor
覃锦端
刘隽良
柳遵梁
王月兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Meichuang Technology Co ltd
Original Assignee
Hangzhou Meichuang Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Meichuang Technology Co ltd filed Critical Hangzhou Meichuang Technology Co ltd
Priority to CN202111583901.4A priority Critical patent/CN114389854A/zh
Publication of CN114389854A publication Critical patent/CN114389854A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明实施例公开了一种恶意电子邮件检测方法及其系统。方法包括:获取邮箱客户端信息;根据邮箱客户端信息生成邮箱域名公共黑名单库;根据邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名公共黑名单库;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及邮箱域名私有白名单库;判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若存在,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。通过实施本发明实施例的方法可实现可有效识别多变的恶意电子邮件。

Description

一种恶意电子邮件检测方法及其系统
技术领域
本发明涉及电子邮件安全分析方法,更具体地说是指一种恶意电子邮件检测方法及其系统。
背景技术
传统的恶意电子邮件检测识别是基于已知电子邮箱域名黑名单和邮件内容特征,具体地,通过对电子邮件来源联系人邮箱域名进行检测,检测是否匹配已有电子邮箱域名黑名单;同时对电子邮件内容检测,检测是否匹配已有恶意代码特征库。但是,这种方式由于其依赖于自有的相关匹配规则或策略,导致在安全问题上往往出现大量误报、漏报,并在情报更新和威胁嗅探上往往囿于劣势;同时,由于其安全判定基于规则,而规则往往又是已知威胁的整理集合,导致恶意电子邮件可以绕过检测进行攻击。因此,当前的恶意电子邮件检测识别方法无法有效识别多变的恶意电子邮件。
因此,有必要设计一种新的方法,实现可有效识别多变的恶意电子邮件。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种恶意电子邮件检测方法及其系统。
为实现上述目的,本发明采用以下技术方案:一种恶意电子邮件检测方法,其特征在于,包括:
获取邮箱客户端信息;
根据所述邮箱客户端信息生成邮箱域名公共黑名单库;
根据所述邮箱客户端信息生成邮箱域名私有白名单库;
监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;
根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;
若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
生成异常电子邮件告警信息。
作为优选,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
作为优选,所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库,包括:
计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;
定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;
对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
作为优选,所述根据所述邮箱客户端信息生成邮箱域名私有白名单库,包括:
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
作为优选,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果,包括:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;
若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;
若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
作为优选,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果,包括:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;
若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;
若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
作为优选,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件,包括:
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
作为优选,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件之后,还包括:
若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
本发明还提供了一种恶意电子邮件检测系统,包括:
获取单元,用于获取邮箱客户端信息;
黑名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名公共黑名单库;
白名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名私有白名单库;
监控单元,用于监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;
第一匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;
第二匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;
判断单元,用于根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;
第一隔离单元,用于若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
信息生成单元,用于生成异常电子邮件告警信息。
其进一步技术方案为:所述黑名单库生成单元包括:
集合计算子单元,用于计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;
爬取子单元,用于定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;
处理子单元,用于对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
本发明与现有技术相比的有益效果是:本发明通过对各个电子邮箱接收到的电子邮件联系人邮箱域名进行检测,并基于邮箱域名公共黑名单库和对应邮箱域名私有白名单库进行识别判断,当存在异常电子邮件时,进行告警并阻止相应电子邮件到达对应的电子邮箱,能够实现精确恶意电子邮件检测,实现可有效识别多变的恶意电子邮件。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种恶意电子邮件检测方法的应用场景示意图;
图2为本发明实施例提供的一种恶意电子邮件检测方法的流程示意图;
图3为本发明实施例提供的一种恶意电子邮件检测方法的子流程示意图;
图4为本发明实施例提供的一种恶意电子邮件检测方法的子流程示意图;
图5为本发明实施例提供的一种恶意电子邮件检测方法的子流程示意图;
图6为本发明实施例提供的一种恶意电子邮件检测系统的示意性框图;
图7为本发明实施例提供的一种恶意电子邮件检测系统的黑名单库生成单元的示意性框图;
图8为本发明实施例提供的一种恶意电子邮件检测系统的第一匹配单元的示意性框图;
图9为本发明实施例提供的一种恶意电子邮件检测系统的第二匹配单元的示意性框图;
图10为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的一种恶意电子邮件检测方法的应用场景示意图。图2为本发明实施例提供的一种恶意电子邮件检测方法的示意性流程图。该一种恶意电子邮件检测方法应用于服务器中。该服务器与各个终端进行数据交互,每个终端代表一个邮箱客户端,也就是电子邮箱,服务器构建电子邮箱域名公共黑名单库和独立白名单库,对发件人邮箱域名进行监控,检测异常电子邮箱域名,当存在异常电子邮箱域名时,判断该电子邮件是否属于恶意电子邮件并告警。
图2是本发明实施例提供的一种恶意电子邮件检测方法的流程示意图。如图2所示,该方法包括以下步骤S110至S200。
S110、获取邮箱客户端信息。
在本实施例中,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
具体地,通过在个电子邮箱系统的终端安装agent软件实现邮箱客户端信息的获取;所述邮箱客户端信息从电子邮箱系统用户终端群组G进行获取,G为所有的电子邮箱系统用户终端;所述邮箱客户端信息获取操作会在新增电子邮箱时进行一次。
举个例子:在一个实施例中,所述电子邮箱系统用户终端群组G包含3个用户终端,即G{GO,GP,GQ},对应的三个受保护的邮箱账户分别为O、P、 Q;获取邮箱客户端信息,通过在G{GO,GP,GQ}三台终端上安装agent软件,独立采集O、P、Q三个邮箱账户的信息。在GO终端上,采集到邮箱账户O的信息,邮箱账户O的已发送邮件联系人列表为{nancy@a.com,lisa@b.com, thomas@c.com},已接收邮件联系人列表为{charles@d.com,susan@e.com,richard@f.com},黑名单联系人列表为{hacker1@attack1.com};在GP终端上,采集到邮箱账户P的信息,邮箱账户P的已发送邮件联系人列表为 {jennifer@a.com,william@b.com,maria@c.com},已接收邮件联系人列表为 {david@d.com,jennifer@a.com,william@b.com},黑名单联系人列表为 {michael@b.com};在GQ终端上,采集到邮箱账户Q的信息,邮箱账户Q的已发送邮件联系人列表为{linda@a.com,robert@b.com,john@c.com},已接收邮件联系人列表为{linda@a.com,james@d.com,mary@e.com},黑名单联系人列表为{hacker2@attack2.com,hacker3@attack2.com}。
S120、根据所述邮箱客户端信息生成邮箱域名公共黑名单库。
在本实施例中,邮箱域名公共黑名单库是指电子邮箱域名的黑名单构成的集合。
在一实施例中,请参阅图3,上述的步骤S120可包括步骤S121~S123。
S121、计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库。
在本实施例中,原始公共黑名单库是指所有电子邮箱的电子邮箱黑名单联系人信息构成的合集。
具体地,存在算法T1,该算法针对从电子邮箱系统用户终端群组G获取的邮箱客户端信息,生成原始公共黑名单库B1;算法T1具体实现如下,针对电子邮箱系统用户终端群组G,获取各终端电子邮箱账户信息{Ai1,Ai2,……Ain},各终端电子邮箱账户黑名单联系人信息{Ki1,Ki1,……Kin},计算各终端电子邮箱账户下的黑名单联系人电子邮箱域名集合。设当前电子邮箱系统用户终端群组为Gx,当前电子邮箱账户信息数据集为Ax,对应的电子邮箱黑名单联系人数据集为Kx,即计算T1(Ax,Kx);若T1(Ax,Kx)=0,即表示当前电子邮箱系统用户终端群组没有任何一个电子邮箱账户存在黑名单联系人,此时原始公共黑名单库B1为空;若T1(Ax,Kx)=1,即表示当前电子邮箱系统用户终端群组至少存在一个电子邮箱账户存在黑名单联系人,此时B1为电子邮箱系统用户终端群组 Gx下的原始公共黑名单库。
举个例子:根据从各个终端上获取的邮箱账户信息,使用所述算法T1进行分析,各终端电子邮箱账户信息Ax为{O,P,Q},对应的电子邮箱账户下的黑名单联系人列表Kx为{{hacker1@attack1.com},{michael@b.com}, {hacker2@attack2.com,hacker3@attack2.com}}。即计算T1(Ax,Kx)=({O,P, Q},{{hacker1@attack1.com},{michael@b.com},{hacker2@attack2.com, hacker3@attack2.com}}),此时生成当前电子邮箱系统用户终端群组的原始公共黑名单库B1为{attack1.com,b.com,attack2.com},T1=1。
S122、定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库。
在本实施例中,补充公共黑名单库是指公开的恶意域名情报库内的恶意域名列表构成集合。
具体地,存在算法T2,该算法针对公开的恶意域名情报库,定时爬取收集恶意域名列表,生成补充公共黑名单库B2;算法T2具体实现如下,针对已知的公开恶意情报库,获取公开恶意情报库接口数据集{F1,F2,……Fn},爬取收集时间间隔为U,U缺省为24小时,计算各个公开恶意情报库接口爬取到的恶意域名集合。设当前公开恶意情报库接口数据集为Fx,爬取收集时间间隔为Ux,即计算T2(Fx,Ux);若T2(Fx,Ux)=0,即公开恶意情报库爬取收集失败,或公开恶意情报库接口下无恶意域名,此时补充公共黑名单库B2为空;若T2(Fx,Ux)=1,即表示当前公开恶意情报库接口数据集至少存在一个公开接口已收集到恶意域名,此时B2为公开恶意情报库接口数据集Fx下的补充公共黑名单库。
举个例子:根据从各个终端上获取的邮箱账户信息,使用所述算法T2进行分析,定义的公开恶意情报库接口集Fx为{threatcrowd,threatbook,virustotal},爬取收集时间间隔U为24小时。即计算T2(Fx,Ux)=({threatcrowd,threatbook, virustotal},24),此时生成当前公开恶意情报库接口集下爬取生成的补充公共黑名单库B2为{attack3.com,attack4.com,……attackn.com},T2=1。
S123、对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
在本实施例中,存在算法T3,该算法针对原始公共黑名单库B1和补充公共黑名单库B2,生成正式公共黑名单库B3;算法T3具体实现如下,针对原始公共黑名单库B1,获取原始公共黑名单库黑名单数据集{B11,B12,……B1n};针对补充公共黑名单库B2,获取补充公共黑名单库黑名单数据集{B21,B22,……B2n},计算两个数据集去重排列整合后的结果集。设当前原始公共黑名单库为B1x,补充公共黑名单库为B2x,即计算T3(B1x,B2x);若T3(B1x,B2x)=0,即表示正式公共黑名单库B3生成失败,则原始公共黑名单库和补充公共黑名单库至少有一个存在异常,此时B3为空集;若T3(B1x,B2x)=1,即表示原始公共黑名单库和补充公共黑名单库均正常,此时B3为原始公共黑名单库B1x和补充公共黑名单库 B2x生成的正式公共黑名单库。
举个例子:根据原始公共黑名单库B1和补充公共黑名单库B2,使用所述算法T3进行分析,原始公共黑名单库B1为{attack1.com,b.com,attack2.com},补充公共黑名单库B2为{attack3.com,attack4.com,……attackn.com}。即计算T3(B1, B2)=({attack1.com,b.com,attack2.com},{attack3.com,attack4.com,……attackn.com}),此时生成正式公共黑名单库B3为{b.com,attack1.com, attack2.com,attack3.com,attack4.com,……attackn.com},T3=1。
S130、根据所述邮箱客户端信息生成邮箱域名私有白名单库。
在本实施例中,邮箱域名私有白名单库是指每个电子邮箱对应的可进行正常接收邮箱的邮箱域名构成的集合。
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
具体地,存在算法T4,该算法针对从电子邮箱系统用户终端群组G获取的邮箱客户端信息,生成各个电子邮箱账户的正式私有白名单库集合W1;算法T4具体实现如下,针对电子邮箱系统用户终端群组G,获取各终端电子邮箱账户信息{Ai1,Ai2,……Ain},各终端电子邮箱账户已发送邮件联系人信息{Si1, Si1,……Sin},各终端电子邮箱账户已接收邮件联系人信息{Ri1,Ri1,……Rin},计算各个电子邮箱账户已发送邮件联系人信息与已接收邮件联系人信息的交集,并根据每个电子邮箱账户生成独立的白名单电子邮箱域名集合。设当前电子邮箱系统用户终端群组为Gx,当前电子邮箱账户信息数据集为Ax,对应的电子邮箱账户已发送邮件联系人数据集为Sx,电子邮箱账户已接收邮件联系人数据集为Rx,即计算T4{(Sx,Rx),Ax};若T4{(Sx,Rx),Ax}=0,即表示正式私有白名单库集合生成失败,至少存在一个电子邮箱账户的私有白名单库存在异常,此时W1为空集;若T4{(Sx,Rx),Ax}=1,即表示正式私有白名单库集合生成成功,此时W1为电子邮箱账户信息数据集Ax下的正式私有白名单库集合,每个电子邮箱账户对应的正式私有白名单库为{W11,W12,……W1x}。
举个例子:使用所述算法T4进行分析,各终端电子邮箱账户信息Ax为{O, P,Q},对应的各终端电子邮箱账户已发送邮件联系人信息Sx为{{nancy@a.com, lisa@b.com,thomas@c.com},{jennifer@a.com,william@b.com,maria@c.com},{linda@a.com,robert@b.com,john@c.com}},对应的各终端电子邮箱账户已接收邮件联系人信息Rx为{{charles@d.com,susan@e.com,richard@f.com}, {david@d.com,jennifer@a.com,william@b.com},{linda@a.com,james@d.com, mary@e.com}}。即计算T4{(Sx,Rx),Ax}={({{nancy@a.com,lisa@b.com, thomas@c.com},{jennifer@a.com,william@b.com,maria@c.com}, {linda@a.com,robert@b.com,john@c.com}},{{charles@d.com,susan@e.com, richard@f.com},{david@d.com,jennifer@a.com,william@b.com},{linda@a.com, james@d.com,mary@e.com}}),{O,P,Q}},此时生成邮箱账户O的正式私有白名单库W1O为{},邮箱账户P的正式私有白名单库W1P为{a.com,b.com},邮箱账户Q的正式私有白名单库W1Q为{a.com},T4O=0,T4P=1,T4Q=1。
S140、监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名。
在本实施例中,各个电子邮箱接收到的电子邮件联系人邮箱域名是指各个电子邮箱接收到的电子邮件的发件人的邮箱域名。
具体地,存在算法T5,该算法针对针对从电子邮箱系统用户终端群组G获取的邮箱客户端信息,监控发往各个电子邮箱账户的电子邮件信息,生成发往各个电子邮箱账户的联系人邮箱域名Di;算法T5具体实现如下,针对电子邮箱系统用户终端群组G,获取各终端电子邮箱账户信息{Ai1,Ai2,……Ain},监控发往各个电子邮箱账户的电子邮件集合{Ei1,Ei2,……Ein},计算发往各个电子邮箱账户的联系人邮箱域名。设当前电子邮箱系统用户终端群组为Gx,当前电子邮箱账户信息为Aix,对应监控的该电子邮箱账户的电子邮件为Eix,即计算 T5(Aix,Eix);若T5(Aix,Eix)=0,即表示当前电子邮箱账户下未接收到电子邮件,此时发往该电子邮箱账户的联系人邮箱域名Dix为空;若T5(Aix,Eix)=1,即表示存在电子邮件发往当前电子邮箱账户,此时Dix为当前电子邮箱账户接收到的电子邮件联系人邮箱域名。
举个例子:使用所述算法T5进行分析,各终端电子邮箱账户信息Ax为{O, P,Q},对应的发往各个邮箱账户的电子邮件集合Eix为{{EO1},{EP1,EP2},{EQ1, EQ2,EQ3}}。即计算T5(Ax,Eix)=({O,P,Q},{{EO1},{EP1,EP2},{EQ1,EQ2, EQ3}}),此时生成发往邮箱账户O的发件人邮箱域名列表DO为{c.com},发往邮箱账户P的发件人邮箱域名列表DP为{a.com,b.com},发往邮箱账户Q的发件人邮箱域名列表DQ为{attack1.com},T5O=1,T5P=1,T5Q=1。
S150、匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果。
在本实施例中,第一匹配结果是指各个电子邮箱接收到的电子邮件联系人邮箱域名是否属于邮箱域名公共黑名单库内的元素。
在一实施例中,请参阅图4,上述的步骤S150可包括步骤S151~S153。
S151、判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;
S152、若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;
S153、若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
具体地,存在算法T6,该算法针对各个电子邮箱账户接收到的电子邮件联系人邮箱域名Di,与邮箱域名公共黑名单库进行比对,并判断联系人邮箱域名是否属于邮箱域名公共黑名单库;算法T6具体实现如下,针对当前电子邮箱账户,获取该电子邮箱账户接收到的电子邮件联系人邮箱域名Di;计算邮箱域名公共黑名单库中是否存在邮箱域名Di。设当前电子邮箱账户接收到的电子邮件联系人邮箱域名为Dix,邮箱域名公共黑名单库为B3,即计算T6(Dix,B3);若 T6(Dix,B3)=0,即表示
Figure BDA0003427215410000111
当前联系人邮箱域名未匹配邮箱域名公共黑名单库;若T6(Dix,B3)=0,即表示Dix∈B3,当前联系人邮箱域名匹配邮箱域名公共黑名单库。
举个例子:邮箱域名公共黑名单库B3为{b.com,attack1.com,attack2.com,attack3.com,attack4.com,……,attackn.com},发往邮箱账户O的发件人邮箱域名列表DO为{c.com},发往邮箱账户P的发件人邮箱域名列表DP为{a.com, b.com},发往邮箱账户Q的发件人邮箱域名列表DQ为{attack1.com}。即计算 T6(DO,B3)、T6(DP,B3)、T6(DQ,B3),此时
Figure BDA0003427215410000121
T6O=T6(DO{c.com}, B3)=0;
Figure BDA0003427215410000122
T6P1=T6(DP{a.com},B3)=0;DP{b.com}∈B3,T6P2= T6(DP{b.com},B3)=1;DQ{attack1.com}∈B3,T6Q1=T6(DQ{attack1.com},B3)=1。
S160、匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果。
在本实施例中,第二匹配结果是指各个电子邮箱接收到的电子邮件联系人邮箱域名是否属于邮箱域名私有白名单库内的元素。
在一实施例中,请参阅图5,上述的步骤S160可包括步骤S161~S163。
S161、判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;
S162、若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;
S163、若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
具体地,存在算法T7,该算法针对各个电子邮箱账户接收到的电子邮件联系人邮箱域名Di,与各个电子邮箱账户对应的邮箱域名私有白名单库进行比对,并判断联系人邮箱域名是否属于邮箱域名私有白名单库;算法T7具体实现如下,针对当前电子邮箱账户,获取该电子邮箱账户接收到的电子邮件联系人邮箱域名Di;计算对应的邮箱域名私有白名单库中是否存在邮箱域名Di。设当前电子邮箱账户接收到的电子邮件联系人邮箱域名为Dix,邮箱域名私有白名单库为 W1x,即计算T7(Dix,W1x);若T7(Dix,W1x)=0,即表示
Figure BDA0003427215410000123
当前联系人邮箱域名未匹配邮箱域名私有白名单库;若T7(Dix,W1x)=1,即表示Dix∈W1x,当前联系人邮箱域名匹配邮箱域名私有白名单库。
举个例子:邮箱账户O的邮箱域名私有白名单库W1O为{},邮箱账户P的邮箱域名私有白名单库W1P为{a.com,b.com},邮箱账户Q的邮箱域名私有白名单库W1Q为{a.com};发往邮箱账户O的发件人邮箱域名列表DO为{c.com},发往邮箱账户P的发件人邮箱域名列表DP为{a.com,b.com},发往邮箱账户Q的发件人邮箱域名列表DQ为{attack1.com}。即计算T7(DO,W1O)、T7(DP,W1P)、 T7(DQ,W1Q),此时
Figure BDA0003427215410000131
T7O=T7(DO{c.com},W1O)=0;DP{a.com} ∈W1P,T7P1=T7(DP{a.com},W1P)=1;DP{b.com}∈W1P,T7P2=T7(DP{b.com}, W1P)=1;
Figure BDA0003427215410000132
T7Q1=T7(DQ{attack1.com},W1Q)=0。
在本实施例中,电子邮箱系统用户可以通过终端agent软件提交邮箱域名黑名单情报,待管理员审核通过后会将黑名单情报添加到正式公共黑名单库B3中。电子邮箱系统用户可以通过终端agent软件提交邮箱域名私有白名单申请,待管理员审核通过后会将白名单添加到提交申请的电子邮箱用户的正式私有白名单库W1x中。
S170、根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件。
在本实施例中,当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
具体地,当T5=1时,表示存在电子邮件发往受保护的电子邮箱账户,此时会进行恶意电子邮件检测。当T3=1时,进行电子邮件发件人邮箱域名的公共黑名单库检测,若T6=1,邮箱域名公共黑名单库匹配成功,隔离该电子邮件,并进行恶意电子邮件告警;若T6=0且T4=1时,进行电子邮件发件人邮箱域名的邮箱域名私有白名单库检测,若T7=1,邮箱域名私有白名单库匹配成功,该电子邮件发件人邮箱域名处在白名单内,电子邮件正常到达电子邮箱账户;若T6= 0且T7=0,表示邮箱域名公共黑名单库和邮箱域名私有白名单库均未匹配成功,隔离该电子邮件,并进行未知电子邮件告警,待管理员审核。T3与T4均可独立执行,结果互不影响。
S180、若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
S190、生成异常电子邮件告警信息。
S200、若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
举个例子:T1=1,T2=1,T3=1;T4O=0,T4P=1,T4Q=1;T5O=1,T5P=1,T5Q=1;T6O=0,T6P1=0,T6P2=1,T6Q1=1;T7O=0,T7P1=1,T7P2=1, T7Q1=0。T6P2=1,即EP2为异常邮件;T6Q1=1,即EQ1为异常邮件;T7O=0,即EO为异常邮件;T7Q1=0,即EQ1为异常邮件。故异常电子邮件为EO、EP2、 EQ1
把终端邮箱用户提交的公共黑名单情报、私有白名单申请待管理员审核后分别集成到邮箱域名公共黑名单库、邮箱域名私有白名单库中。邮箱账户O提交了域名为{hack1.com,hack2.com}的黑名单情报,若管理员审核通过,则正式公共黑名单库B3为{hack1.com,hack2.com,b.com,attack1.com,attack2.com, attack3.com,attack4.com,……attackn.com};邮箱账户Q提交了域名为{m.com} 的私有白名单申请,若管理员审核通过,则邮箱账户Q的正式私有白名单库W1Q 为{a.com,m.com}。
在本实例中,电子邮件EO、EP2、EQ1将会被隔离。针对电子邮件EO,由于 T6O=0且T7O=0,该电子邮件发件人邮箱域名不属于邮箱域名公共黑名单库同时也不属于电子邮箱账户O的邮箱域名私有白名单库,将进行未知电子邮件异常告警;针对电子邮件EP2,T6P2=1且T7P2=1,即电子邮件发件人邮箱域名属于邮箱域名公共黑名单库同时也属于电子邮箱账户P的邮箱域名私有白名单库,但是邮箱域名公共黑名单库的优先级高于邮箱域名私有白名单库,将进行恶意电子邮件异常告警;针对电子邮件EQ1,T6Q1=1且T7Q1=0,即电子邮件发件人邮箱域名属于邮箱域名公共黑名单库但不属于电子邮箱账户Q的邮箱域名私有白名单库,将进行恶意电子邮件异常告警。
上述的一种恶意电子邮件检测方法,通过对各个电子邮箱接收到的电子邮件联系人邮箱域名进行检测,并基于邮箱域名公共黑名单库和对应邮箱域名私有白名单库进行识别判断,当存在异常电子邮件时,进行告警并阻止相应电子邮件到达对应的电子邮箱,能够实现精确恶意电子邮件检测,实现可有效识别多变的恶意电子邮件。
图6是本发明实施例提供的一种恶意电子邮件检测系统300的示意性框图。如图6所示,对应于以上一种恶意电子邮件检测方法,本发明还提供一种恶意电子邮件检测系统300。该一种恶意电子邮件检测系统300包括用于执行上述一种恶意电子邮件检测方法的单元,该装置可以被配置于服务器中。具体地,请参阅图6,该一种恶意电子邮件检测系统300包括获取单元301、黑名单库生成单元302、白名单库生成单元303、监控单元304、第一匹配单元305、第二匹配单元306、判断单元307、第一隔离单元308以及信息生成单元309。
获取单元301,用于获取邮箱客户端信息;黑名单库生成单元302,用于根据所述邮箱客户端信息生成邮箱域名公共黑名单库;白名单库生成单元303,用于根据所述邮箱客户端信息生成邮箱域名私有白名单库;监控单元304,用于监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;第一匹配单元305,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;第二匹配单元306,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;判断单元307,用于根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;第一隔离单元308,用于若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;信息生成单元309,用于生成异常电子邮件告警信息。
在一实施例中,上述的恶意电子邮件检测系统包括处理单元310,用于若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
在一实施例中,如图7所示,所述黑名单库生成单元302包括集合计算子单元3021、爬取子单元3022以及处理子单元3023。
集合计算子单元3021,用于计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;爬取子单元3022,用于定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;处理子单元3023,用于对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
在一实施例中,如图8所示,所述第一匹配单元305包括第一判断子单元 3051、第一确定子单元3052以及第二确定子单元3053。
第一判断子单元3051,用于判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;第一确定子单元3052,用于若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;第二确定子单元3053,用于若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
在一实施例中,如图9所示,所述第二匹配单元306包括第二判断子单元 3061、第三确定子单元3062以及第四确定子单元3063。
第二判断子单元3061,用于判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;第三确定子单元3062,用于若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;第四确定子单元3063,用于若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
在一实施例中,所述判断单元307,用于当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述一种恶意电子邮件检测系统300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述一种恶意电子邮件检测系统300可以实现为一种计算机程序的形式,该计算机程序可以在如图10所示的计算机设备上运行。
请参阅图10,图10是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图10,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种一种恶意电子邮件检测方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种一种恶意电子邮件检测方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图10中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
获取邮箱客户端信息;根据所述邮箱客户端信息生成邮箱域名公共黑名单库;根据所述邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。
其中,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
在一实施例中,处理器502在实现所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库步骤时,具体实现如下步骤:
计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
在一实施例中,处理器502在实现所述根据所述邮箱客户端信息生成邮箱域名私有白名单库步骤时,具体实现如下步骤:
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
在一实施例中,处理器502在实现所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果步骤时,具体实现如下步骤:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
在一实施例中,处理器502在实现所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果步骤时,具体实现如下步骤:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
在一实施例中,处理器502在实现所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件步骤时,具体实现如下步骤:
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
在一实施例中,处理器502在实现所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件步骤之后,还实现如下步骤:
若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
应当理解,在本申请实施例中,处理器502可以是中央处理单元310(CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(DigitalSignal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
获取邮箱客户端信息;根据所述邮箱客户端信息生成邮箱域名公共黑名单库;根据所述邮箱客户端信息生成邮箱域名私有白名单库;监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;生成异常电子邮件告警信息。
其中,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库步骤时,具体实现如下步骤:
计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述邮箱客户端信息生成邮箱域名私有白名单库步骤时,具体实现如下步骤:
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
在一实施例中,所述处理器在执行所述计算机程序而实现所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果步骤时,具体实现如下步骤:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
在一实施例中,所述处理器在执行所述计算机程序而实现所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果步骤时,具体实现如下步骤:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件步骤时,具体实现如下步骤:
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
在一实施例中,所述处理器在执行所述计算机程序而实现所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件步骤之后,还实现如下步骤:
若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory, ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元310中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等) 执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种恶意电子邮件检测方法,其特征在于,包括:
获取邮箱客户端信息;
根据所述邮箱客户端信息生成邮箱域名公共黑名单库;
根据所述邮箱客户端信息生成邮箱域名私有白名单库;
监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;
匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;
根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;
若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
生成异常电子邮件告警信息。
2.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述邮箱客户端信息包括电子邮箱账户信息、电子邮箱已发送邮件联系人信息、电子邮箱已接收邮件联系人信息以及电子邮箱黑名单联系人信息。
3.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述邮箱客户端信息生成邮箱域名公共黑名单库,包括:
计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;
定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;
对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
4.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述邮箱客户端信息生成邮箱域名私有白名单库,包括:
计算每个电子邮箱对应的电子邮箱已发送邮件联系人信息以及电子邮箱已接收邮件联系人信息的交集,以得到每个电子邮箱的邮箱域名私有白名单库。
5.根据权利要求1所述的一种恶意电子邮件检测方法,其特征在于,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果,包括:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名公共黑名单库内的元素;
若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库,以得到第一匹配结果;
若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,以得到第一匹配结果。
6.根据权利要求5所述的一种恶意电子邮件检测方法,其特征在于,所述匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果,包括:
判断所述电子邮箱接收到的电子邮件联系人邮箱域名是否属于所述邮箱域名私有白名单库内的元素;
若所述电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名私有白名单库,以得到第二匹配结果;
若所述电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库内的元素,则确定电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名私有白名单库,以得到第二匹配结果。
7.根据权利要求6所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件,包括:
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共黑名单库时,发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名属于所述邮箱域名公共白名单库时,发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,且将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为非异常电子邮件;
当所述第一匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共黑名单库,且所述第二匹配结果是电子邮箱接收到的电子邮件联系人邮箱域名不属于所述邮箱域名公共白名单库时,将电子邮箱接收到的电子邮件联系人邮箱域名对应的电子邮件确认为未知邮件。
8.根据权利要求7所述的一种恶意电子邮件检测方法,其特征在于,所述根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件之后,还包括:
若发送至电子邮箱账户的电子邮件信息中不存在异常电子邮件,则允许非异常邮件到达对应的电子邮箱账户,对所述未知邮件进行隔离,并进行未知电子邮件的告警。
9.一种恶意电子邮件检测系统,其特征在于,包括:
获取单元,用于获取邮箱客户端信息;
黑名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名公共黑名单库;
白名单库生成单元,用于根据所述邮箱客户端信息生成邮箱域名私有白名单库;
监控单元,用于监控发送至各个电子邮箱账户的电子邮件信息,以得到各个电子邮箱接收到的电子邮件联系人邮箱域名;
第一匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名公共黑名单库,以得到第一匹配结果;
第二匹配单元,用于匹配各个电子邮箱接收到的电子邮件联系人邮箱域名以及所述邮箱域名私有白名单库,以得到第二匹配结果;
判断单元,用于根据所述第一匹配结果以及所述第二匹配结果判断发送至电子邮箱账户的电子邮件信息中是否存在异常电子邮件;
第一隔离单元,用于若发送至电子邮箱账户的电子邮件信息中存在异常电子邮件,则对异常电子邮件进行隔离;
信息生成单元,用于生成异常电子邮件告警信息。
10.根据权利要求9所述的一种恶意电子邮件检测系统,其特征在于,所述黑名单库生成单元包括:
集合计算子单元,用于计算所有电子邮箱的电子邮箱黑名单联系人信息的集合,以得到原始公共黑名单库;
爬取子单元,用于定时爬取和收集公开的恶意域名情报库内的恶意域名列表,以得到补充公共黑名单库;
处理子单元,用于对所述原始公共黑名单库以及补充公共黑名单库进行去重、排列以及整合,以得到邮箱域名公共黑名单库。
CN202111583901.4A 2021-12-22 2021-12-22 一种恶意电子邮件检测方法及其系统 Pending CN114389854A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111583901.4A CN114389854A (zh) 2021-12-22 2021-12-22 一种恶意电子邮件检测方法及其系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111583901.4A CN114389854A (zh) 2021-12-22 2021-12-22 一种恶意电子邮件检测方法及其系统

Publications (1)

Publication Number Publication Date
CN114389854A true CN114389854A (zh) 2022-04-22

Family

ID=81198075

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111583901.4A Pending CN114389854A (zh) 2021-12-22 2021-12-22 一种恶意电子邮件检测方法及其系统

Country Status (1)

Country Link
CN (1) CN114389854A (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101009666A (zh) * 2006-01-26 2007-08-01 腾讯科技(深圳)有限公司 一种邮件发送控制系统及方法
CN101068217A (zh) * 2006-06-16 2007-11-07 腾讯科技(深圳)有限公司 一种简化电子邮件操作的方法及装置
CN107181665A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 黑白名单扩展方法和黑白名单信息处理方法及其装置
CN109274632A (zh) * 2017-07-12 2019-01-25 中国移动通信集团广东有限公司 一种网站的识别方法及装置
CN110460582A (zh) * 2019-07-12 2019-11-15 同盾控股有限公司 一种风险邮箱地址的检测方法和装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101009666A (zh) * 2006-01-26 2007-08-01 腾讯科技(深圳)有限公司 一种邮件发送控制系统及方法
CN101068217A (zh) * 2006-06-16 2007-11-07 腾讯科技(深圳)有限公司 一种简化电子邮件操作的方法及装置
CN107181665A (zh) * 2016-03-10 2017-09-19 阿里巴巴集团控股有限公司 黑白名单扩展方法和黑白名单信息处理方法及其装置
CN109274632A (zh) * 2017-07-12 2019-01-25 中国移动通信集团广东有限公司 一种网站的识别方法及装置
CN110460582A (zh) * 2019-07-12 2019-11-15 同盾控股有限公司 一种风险邮箱地址的检测方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
万立夫;: "钓鱼日记大揭秘", 电脑迷, no. 17, 1 September 2010 (2010-09-01), pages 55 - 56 *

Similar Documents

Publication Publication Date Title
US11019094B2 (en) Methods and systems for malicious message detection and processing
US12052208B2 (en) System and method for improving detection of bad content by analyzing reported content
US9674221B1 (en) Collaborative phishing attack detection
US9398038B2 (en) Collaborative phishing attack detection
US8056115B2 (en) System, method and program product for identifying network-attack profiles and blocking network intrusions
US8370930B2 (en) Detecting spam from metafeatures of an email message
US7434261B2 (en) System and method of identifying the source of an attack on a computer network
US8250657B1 (en) Web site hygiene-based computer security
JP4880675B2 (ja) 参照リソースの確率的解析に基づく不要な電子メールメッセージの検出
US20080155691A1 (en) Detection of undesired computer files using digital certificates
CN106330944B (zh) 恶意系统漏洞扫描器的识别方法和装置
Xiao et al. From patching delays to infection symptoms: Using risk profiles for an early discovery of vulnerabilities exploited in the wild
CN107682345B (zh) Ip地址的检测方法、检测装置及电子设备
US20040117641A1 (en) Blocking replication of e-mail worms
CN113225358A (zh) 网络安全风险评估系统
CN112511517A (zh) 一种邮件检测方法、装置、设备及介质
CN114389854A (zh) 一种恶意电子邮件检测方法及其系统
WO2016044065A1 (en) Malicious message detection and processing
JP2018160170A (ja) 出力プログラム、情報処理装置、出力方法、生成プログラム、及び生成方法
CN111083043B (zh) 一种邮箱恶意自动转发行为识别方法及装置
CN117113340B (zh) 主机失陷检测方法、装置、计算机设备及存储介质
US11736498B1 (en) Stateful detection of cyberattacks
US11822655B1 (en) False alarm reduction by novelty detection
JP2024058806A (ja) フィッシング防止システム、フィッシング検査装置、フィッシング防止プログラム、及びフィッシング防止方法
CN117574363A (zh) 数据安全事件检测方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination