CN115037542A - 一种异常邮件检测方法及装置 - Google Patents

一种异常邮件检测方法及装置 Download PDF

Info

Publication number
CN115037542A
CN115037542A CN202210648960.3A CN202210648960A CN115037542A CN 115037542 A CN115037542 A CN 115037542A CN 202210648960 A CN202210648960 A CN 202210648960A CN 115037542 A CN115037542 A CN 115037542A
Authority
CN
China
Prior art keywords
mail
detected
statistical data
account
abnormal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210648960.3A
Other languages
English (en)
Inventor
江军
李雪莹
王炜
陈世武
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210648960.3A priority Critical patent/CN115037542A/zh
Publication of CN115037542A publication Critical patent/CN115037542A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本申请提供一种异常邮件检测方法及装置,应用于网络安全领域,方法包括:基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;根据邮件特征确定待检测邮件是否为异常邮件;其中,邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。在上述方案中,由于在对待检测邮件进行检测的过程中,可以根据不同的应用场景从邮件的一个或者多个方面对待检测邮件进行检测,从而可以提高对异常邮件进行检测的准确率。

Description

一种异常邮件检测方法及装置
技术领域
本申请涉及网络安全领域,具体而言,涉及一种异常邮件检测方法及装置。
背景技术
目前,电子邮件已经成为企业办公的常用必备工具之一,随之出现的,是各种利用电子邮件开展的网络钓鱼、网络诈骗等网络攻击行为。常见的电子邮件安全防护系统大多采用黑名单、文件杀毒等技术,但是,当网络攻击者采用跳板攻击、数据加密等伪装技术时,上述安全防护技术将会失效。因此,在现有技术中,一般还会采用对邮件日志进行分析的方法,检测是否存在异常邮件,以对发送异常邮件的账号进行查看或者处理。但是,采用该种方式对异常邮件进行检测的准确率较低。
发明内容
本申请实施例的目的在于提供一种异常邮件检测方法及装置,用以解决现有技术中对异常邮件进行检测的准确率较低的技术问题。
第一方面,本申请实施例提供一种异常邮件检测方法,包括:基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;根据所述邮件特征确定所述待检测邮件是否为异常邮件;其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。在上述方案中,根据邮件发送的场景不同,可以对待检测邮件的发件人地址、账户登录、账户通信行为以及邮件内容中的一项或者多项特征进行特征提取,以基于提取到的邮件特征判断待检测邮件是否为异常邮件。由于在对待检测邮件进行检测的过程中,可以根据不同的应用场景从邮件的一个或者多个方面对待检测邮件进行检测,从而可以提高对异常邮件进行检测的准确率。
在可选的实施方式中,所述邮件特征包括发件人地址特征;所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括:根据所述待检测邮件对应的发件人邮件地址以及发件人IP地址,确定所述待检测邮件对应的邮件域名信誉值以及IP地址信誉值;和/或,根据所述待检测邮件对应的验证记录,确定所述待检测邮件是否验证通过。在上述方案中,可以通过对待检测邮件的发件人地址进行检测,实现对异常邮件的检测。其中,用发件人地址等邮件信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括账户登录特征;所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括以下至少一个步骤:根据所述邮件统计数据中的账户登录时间统计数据,确定所述待检测邮件对应的账户在该待检测邮件发送时刻登录的第一先验概率;根据所述邮件统计数据中的账户登录地点统计数据,确定所述待检测邮件对应的账户本次登录的IP地址对应的地理位置是否符合第一预设规则;根据所述邮件统计数据中的账户登录设备统计数据,确定所述待检测邮件对应的账户本次登录的设备ID是否符合第二预设规则。在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的登录信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括账户通信行为特征;所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括以下至少一个步骤:根据所述邮件统计数据中的账户类型统计数据,确定所述待检测邮件的账户类型;根据所述邮件统计数据中的通信关系统计数据,确定所述待检测邮件对应的账户与收件人进行通信的第二先验概率;根据所述邮件统计数据中的群发邮件统计数据,确定所述待检测邮件对应的收件人数量的第三先验概率。在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的通信行为信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括邮件内容特征;所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括:接受所述待检测邮件对应的邮件内容特征;其中,所述邮件内容特征表征所述待检测邮件是否内嵌URL或者带有附件。在上述方案中,可以通过对待检测邮件的邮件内容进行检测,实现对异常邮件的检测。其中,利用邮件本身内容进行检测,邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,在所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征之前,所述方法还包括:每隔预设时间,根据历史正常邮件数据确定所述邮件统计数据。在上述方案中,通过周期性地统计分析各邮件账户的行为规律,可以为异常邮件的检测提供实时更新的安全基准,从而可以提高异常邮件检测的准确率。
第二方面,本申请实施例提供一种异常邮件检测装置,包括:提取模块,用于基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;检测模块,用于根据所述邮件特征确定所述待检测邮件是否为异常邮件;其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。在上述方案中,根据邮件发送的场景不同,可以对待检测邮件的发件人地址、账户登录、账户通信行为以及邮件内容中的一项或者多项特征进行特征提取,以基于提取到的邮件特征判断待检测邮件是否为异常邮件。由于在对待检测邮件进行检测的过程中,可以根据不同的应用场景从邮件的一个或者多个方面对待检测邮件进行检测,从而可以提高对异常邮件进行检测的准确率。
在可选的实施方式中,所述邮件特征包括发件人地址特征;所述提取模块具体用于:根据所述待检测邮件对应的发件人邮件地址以及发件人IP地址,确定所述待检测邮件对应的邮件域名信誉值以及IP地址信誉值;和/或,根据所述待检测邮件对应的验证记录,确定所述待检测邮件是否验证通过。在上述方案中,可以通过对待检测邮件的发件人地址进行检测,实现对异常邮件的检测。其中,用发件人地址等邮件信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括账户登录特征;所述提取模块具体用于执行以下至少一个步骤:根据所述邮件统计数据中的账户登录时间统计数据,确定所述待检测邮件对应的账户在该待检测邮件发送时刻登录的第一先验概率;根据所述邮件统计数据中的账户登录地点统计数据,确定所述待检测邮件对应的账户本次登录的IP地址对应的地理位置是否符合第一预设规则;根据所述邮件统计数据中的账户登录设备统计数据,确定所述待检测邮件对应的账户本次登录的设备ID是否符合第二预设规则。在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的登录信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括账户通信行为特征;所述提取模块具体用于执行以下至少一个步骤:根据所述邮件统计数据中的账户类型统计数据,确定所述待检测邮件的账户类型;根据所述邮件统计数据中的通信关系统计数据,确定所述待检测邮件对应的账户与收件人进行通信的第二先验概率;根据所述邮件统计数据中的群发邮件统计数据,确定所述待检测邮件对应的收件人数量的第三先验概率。在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的通信行为信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述邮件特征包括邮件内容特征;所述提取模块具体用于:接受所述待检测邮件对应的邮件内容特征;其中,所述邮件内容特征表征所述待检测邮件是否内嵌URL或者带有附件。在上述方案中,可以通过对待检测邮件的邮件内容进行检测,实现对异常邮件的检测。其中,利用邮件本身内容进行检测,邮件安全分析,可以提高异常邮件检测的准确率。
在可选的实施方式中,所述异常邮件检测装置还包括:确定模块,用于每隔预设时间,根据历史正常邮件数据确定所述邮件统计数据。在上述方案中,通过周期性地统计分析各邮件账户的行为规律,可以为异常邮件的检测提供实时更新的安全基准,从而可以提高异常邮件检测的准确率。
第三方面,本申请实施例提供一种计算机程序产品,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如第一方面所述的异常邮件检测方法。
第四方面,本申请实施例提供一种电子设备,包括:处理器、存储器和总线;所述处理器和所述存储器通过所述总线完成相互间的通信;所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如第一方面所述的异常邮件检测方法。
第五方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如第一方面所述的异常邮件检测方法。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举本申请实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种异常邮件检测方法的流程图;
图2为本申请实施例提供的一种异常邮件检测装置的结构框图;
图3为本申请实施例提供的一种电子设备的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
在介绍本申请实施例提供的异常邮件检测方法之前,首先介绍本申请实施例提供的一种异常邮件检测系统。该异常邮件检测系统可以包括服务器以及多个客户端,且每个客户端均与服务器通信连接。其中,用户可以通过客户端进行邮件的收发,而服务器用于对邮件进行处理。
在一种应用场景中,上述异常邮件检测系统可以部署在一个企业中,企业中的员工可以通过客户端与本企业内部的邮件账户进行邮件通信或者与本企业外部的邮件账户进行邮件通信。当然,本申请实施例提供的异常邮件检测系统也可以应用在其他的场景中,本申请实施例对此不作具体的限定。
本申请实施例提供的异常邮件检测方法应用于上述异常邮件检测系统中的服务器上,即当用户通过客户端发送或者接收邮件时,服务器可以对邮件进行检测,以判断该邮件是否为异常邮件。
可以理解的是,作为一种实施方式,为了降低异常邮件造成的影响,本申请实施例提供的异常邮件检测方法可以应用于每一封邮件;作为另一种实施方式,为了降低服务器的运算量,本申请实施例提供的异常邮件检测方法也可以应用于部分邮件。本申请实施例对此不作具体的限定,本领域技术人员可以根据实际情况进行合适的调整。
此外,本申请实施例提供的异常邮件检测方法可以同时应用于一封或者多封邮件,本申请实施例对此同样不作具体的限定。
下面对本申请实施例提供的异常邮件检测方法进行详细的介绍。请参照图1,图1为本申请实施例提供的一种异常邮件检测方法的流程图,该异常邮件检测方法可以包括如下内容:
步骤S101:基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;其中,邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。
步骤S102:根据邮件特征确定待检测邮件是否为异常邮件。
具体的,在步骤S101中,邮件统计数据为事先对历史邮件数据进行统计得到的数据,根据后续步骤中检测的具体内容不同,邮件统计数据存在多种实施方式。举例来说,邮件统计数据可以包括账户登录时间统计数据、账户登录地点统计数据、账户登录设备统计数据、账户类型统计数据、通信关系统计数据以及群发邮件统计数据中的一种或者多种数据。
其中,账户登录时间统计数据可以基于历史邮件数据中各个账户的登录时间统计得到;账户登录地点统计数据可以基于历史邮件数据中各个账户的登录地点统计得到;账户登录设备统计数据可以基于历史邮件数据中各个账户的登录设备统计得到;账户类型统计数据可以基于历史邮件数据中各个账户的类型统计得到;通信关系统计数据可以基于历史邮件数据中各个账户之间的通信关系统计得到;群发邮件统计数据可以基于历史邮件数据中群发邮件的发件情况统计得到。
作为一种实施方式,邮件统计数据可以事先存储在服务器上的,在上述步骤S101中,服务器可以直接获取存储的邮件统计数据;作为另一种实施方式,邮件统计数据也可以是其他设备在需要时发送给服务器的,在上述步骤S101,服务器可以接收邮件统计数据。
此外,历史邮件数据是指历史正常邮件数据,在确定邮件统计数据时,仅基于历史正常邮件数据进行统计。
待检测邮件为当前需要进行检测的一封邮件。正如上述实施例所述,作为一种实施方式,每一封邮件均可作为待检测邮件;作为另一种实施方式,也可以选取部分邮件作为待检测邮件。其中,本申请实施例对选取邮件的具体实施方式同样不作具体的限定,例如:可以随机选取部分邮件作为待检测邮件;或者,可以每隔一分钟从这一分钟内的邮件中选取一封邮件作为待检测邮件;或者,可以选取重要账户发送的邮件作为待检测邮件等。
邮件特征为对待检测邮件进行特征提取得到的特征数据。可以理解的是,根据对待检测邮件进行检测的具体内容不同,提取得到的邮件特征也不相同。举例来说,邮件特征可以包括发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征中的一项或者多项特征。
此外,基于对待检测邮件进行检测的具体内容的不同,上述步骤S101执行特征提取的具体实施方式也不相同,本申请实施例对此不作具体的限定。举例来说,可以通过判断待检测邮件的发件人地址是否合法提取发件人地址特征;或者,可以通过判断账户登录的时间、地点等是否合理提取账户登录特征;或者,可以通过判断账户的通信行为是否合理提取账户通信行为特征;或者,可以通过对邮件内容的合法性进行检测提取邮件内容特征等。
在步骤S102中,根据上述步骤S101中得到的邮件特征,可以确定待检测邮件的是否为异常邮件。其中,本申请实施例对上述确定异常邮件的具体实施方式不作具体的限定,本领域技术人员同样可以根据实际情况进行合适的调整。举例来说,可以将邮件特征输入至事先训练好的异常邮件检测模型中,通过上述模型确定待检测邮件是否为异常邮件;或者,可以基于邮件特征以及计算规则计算得到待检测邮件的可疑程度,并基于上述可疑程度确定待检测邮件是否为异常邮件;或者,可以采用人工标注的方式,人工确定待检测邮件是否为异常邮件等。
以利用异常邮件检测模型进行异常邮件的检测为例进行介绍。在执行本申请实施例提供的异常邮件检测方法之前,可以首先利用历史邮件数据对原始神经网络模型(例如:随机森林、支持向量机等)进行训练,以得到训练完成的异常邮件检测模型;然后,将邮件特征输入至上述异常邮件检测模型之中,异常检测模型可以判断对应的待检测模型是否为异常邮件,并输出判断结果。
在上述步骤S102之后,如果待检测邮件不是异常邮件,则可以不对该邮件做任何处理,并可以根据该待检测邮件的相关数据对历史正常邮件数据进行更新。
如果待检测邮件是异常邮件,可以根据需求对该待检测邮件执行不同的操作,例如:可以拦截该邮件;或者,可以向接收邮件的用户或者向邮件管理员发送可疑告警信息,提示用户核实邮件的真实性、可信度和安全性等。可以理解的是,如果异常邮件进行核实之后为正常邮件,则同样可以根据该邮件的相关数据对历史正常邮件数据进行更新。
在上述方案中,根据邮件发送的场景不同,可以对待检测邮件的发件人地址、账户登录、账户通信行为以及邮件内容中的一项或者多项特征进行特征提取,以基于提取到的邮件特征判断待检测邮件是否为异常邮件。由于在对待检测邮件进行检测的过程中,可以根据不同的应用场景从邮件的一个或者多个方面对待检测邮件进行检测,从而可以提高对异常邮件进行检测的准确率。
进一步的,基于对待检测邮件进行检测的具体内容的不同,上述实施例中的步骤S101执行特征提取的具体实施方式也不相同,本申请实施例举例对四种不同的检测内容对应的特征提取方式进行详细的介绍。
第一种,邮件特征可以包括发件人地址特征,此时,上述步骤S101具体可以包括以下至少一个步骤:
步骤1),根据待检测邮件对应的发件人邮件地址以及发件人IP地址,确定待检测邮件对应的邮件域名信誉值以及IP地址信誉值。
步骤2),根据待检测邮件对应的验证记录,确定待检测邮件是否验证通过。
具体的,在步骤1)中,可以从待检测邮件的头部数据中提取发件人的邮件地址以及发件人的网际互连协议(Internet Protocol,IP)地址,然后在邮件地址信誉数据库中查询该邮件地址和IP地址的信誉值。其中,可以将邮件地址的信誉值记为R1,将IP地址的信誉值记为R2
在步骤2)中,可以检测待检测邮件的头部数据中是否包含验证记录,如果包含验证记录再进一步检测验证记录是否表征验证通过。其中,验证记录可以包括发信人策略框架协议(Sender Policy Framework,SPF)验证记录以及域名密钥识别邮件(Domain KeysIdentified Mail,DKIM)验证记录。
其中,如果包含SPF验证记录且上述验证记录表征验证通过,则可以记为SPF=1,否则记为SPF=0;如果包含DKIM验证记录且上述验证记录表征验证通过,则可以记为DKIM=1,否则记为DKIM=0。
可以理解的是,上述步骤1)与步骤2)之间并没有先后顺序,可以执行步骤1)或者步骤2),也可以同时执行步骤1)与步骤2),还可以仅执行步骤1)与步骤2)中的一个步骤。
在上述方案中,可以通过对待检测邮件的发件人地址进行检测,实现对异常邮件的检测。其中,用发件人地址等邮件信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
第二种,邮件特征可以包括账户登录特征,此时,上述步骤S101具体可以包括以下至少一个步骤:
步骤1),根据邮件统计数据中的账户登录时间统计数据,确定待检测邮件对应的账户在该待检测邮件发送时刻登录的第一先验概率。
步骤2),根据邮件统计数据中的账户登录地点统计数据,确定待检测邮件对应的账户本次登录的IP地址对应的地理位置是否符合第一预设规则。
步骤3),根据邮件统计数据中的账户登录设备统计数据,确定待检测邮件对应的账户本次登录的设备ID是否符合第二预设规则。
具体的,在步骤1)中,可以根据邮件统计数据中的账户登录时间统计数据,查询该账户在本次邮件发送时刻登录的先验概率Pt
作为一种实施方式,以当前应用场景为企业为例,账户登录时间统计数据可以根据企业内所有邮件账户近一段时间(例如:12个月、6个月等)的历史登录记录,计算各个邮件账户登录时间在24个小时时段的概率分布。
在步骤2)中,可以根据邮件统计数据中的账户登录地点统计数据,查询该账户本次登录的IP地址对应的地理位置是否符合第一预设规则。
作为一种实施方式,以当前应用场景为企业为例,账户登录地点统计数据可以根据企业内所有邮件账户近一段时间(例如:12个月、6个月等)的历史登录记录,统计各个邮件账户登录的IP范围,并进一步查询IP定位数据库,确定上述IP范围对应的地理位置范围。
相应的,在上述实施方式的情况下,上述第一预设规则可以包括IP地址对应的地理位置在账户登录地点统计数据中的地理位置范围内。其中,如果IP地址对应的地理位置在账户登录地点统计数据中的地理位置范围内,则记为IP=1,否则记为IP=0。
在步骤3)中,可以根据邮件统计数据中的账户登录设备统计数据,查询该账户本次登录的设备ID是否符合第二预设规则。
作为一种实施方式,以当前应用场景为企业为例,账户登录设备统计数据可以根据企业内所有邮件账户近一段时间(例如:12个月、6个月等)的历史登录记录,统计各个邮件账户登录的设备ID范围。
相应的,在上述实施方式的情况下,上述第二预设规则可以包括设备ID在账户登录设备统计数据中的设备ID范围内。其中,如果设备ID在账户登录设备统计数据中的设备ID范围内,则记为ID=1,否则记为ID=0。
可以理解的是,上述第一预设规则以及第二预设规则的具体实施方式均仅为本申请实施例提供的一个示例,本领域技术人员可以结合实际情况对第一预设规则以及第二预设规则进行调整。例如:第一预设规则可以包括IP地址对应的地理位置与账户登录地点统计数据中的地理位置范围的误差在10米内等。
此外,上述步骤1)、步骤2)以及步骤3)之间均并没有先后顺序,可以执行步骤1)、步骤2)或者步骤3),也可以同时执行步骤1)、步骤2)、步骤3),还可以仅执行步骤1)、步骤2)、步骤3)中的一个或者两个步骤。
在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的登录信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
第三种,邮件特征可以包括账户通信行为特征,此时,上述步骤S101具体可以包括以下至少一个步骤:
步骤1),根据邮件统计数据中的账户类型统计数据,确定待检测邮件的账户类型。
步骤2),根据邮件统计数据中的通信关系统计数据,确定待检测邮件对应的账户与收件人进行通信的第二先验概率。
步骤3),根据邮件统计数据中的群发邮件统计数据,确定待检测邮件对应的收件人数量的第三先验概率。
具体的,在步骤1)中,可以根据邮件统计数据中的账户类型统计数据,查询本次邮件通信的收件人的账户类型。
作为一种实施方式,以当前应用场景为企业为例,账户类型统计数据为根据企业内所有邮件账户所属人员的岗位和职责,将企业内所有邮箱账户进行账户类型的标记。例如,可以将企业管理部门、财务部门、网络信息管理部门、人力资源部门的邮件账户标记为重要账户,将除重要账户之外的其他邮件账户标记为普通账户。
相应的,在上述实施方式的情况下,如果账户类型为重要账户,则记为MC=1,否则记为MC=0。
在步骤2)中,可以根据邮件统计数据中的通信关系统计数据,确定待检测邮件对应的账户与收件人进行通信的第二先验概率Ps
作为一种实施方式,以当前应用场景为企业为例,通信关系统计数据为根据企业内所有邮件账户近一段时间(例如:12个月、6个月等)的历史通信记录,统计每个邮件账户与其他邮件账户之间的发件概率分布。
在步骤3)中,可以根据邮件统计数据中的群发邮件统计数据,确定待检测邮件对应的收件人数量的第三先验概率Pg
作为一种实施方式,以当前应用场景为企业为例,根据企业内所有邮件账户近一段时间(例如:12个月、6个月等)的历史通信记录,统计每个邮件账户群发邮件时的收件人数量的概率分布。
可以理解的是,上述步骤1)、步骤2)以及步骤3)之间均并没有先后顺序,可以执行步骤1)、步骤2)或者步骤3),也可以同时执行步骤1)、步骤2)、步骤3),还可以仅执行步骤1)、步骤2)、步骤3)中的一个或者两个步骤。
在上述方案中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的通信行为信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
第四种,邮件特征可以包括邮件内容特征,此时,上述步骤S101具体可以包括以下至少一个步骤:
步骤1),接受待检测邮件对应的邮件内容特征;其中,邮件内容特征表征待检测邮件是否内嵌URL或者带有附件。
具体的,可以读取待检测邮件的邮件内容,并判断待检测邮件是否内嵌统一资源定位系统(Uniform Resource Locato,URL)链接和带有附件。其中,如果邮件内嵌URL链接或带有附件,则记为MF=1,否则记为MF=0。
作为一种实施方式,当待检测邮件未加密时,上述检测邮件内容的步骤可以由服务器或者客户端执行。
作为另一种实施方式,当待检测邮件加密(例如采用公私钥技术对待检测邮件进行加密)时,服务器由于没有用户的私钥,无法对待检测邮件进行解密,因此上述检测邮件内容的步骤由客户端执行。客户端对邮件内容进行解密,并读取被解密的邮件内容,判断邮件是否内嵌URL链接和带有附件,然后将检测结果上传服务器。
在上述方案中,可以通过对待检测邮件的邮件内容进行检测,实现对异常邮件的检测。其中,利用邮件本身内容进行检测,邮件安全分析,可以提高异常邮件检测的准确率。
进一步的,在上述步骤S101之前,本申请实施例提供的异常邮件检测方法还可以包括如下步骤:
每隔预设时间,根据历史正常邮件数据确定邮件统计数据。
在上述方案中,通过周期性地统计分析各邮件账户的行为规律,可以为异常邮件的检测提供实时更新的安全基准,从而可以提高异常邮件检测的准确率。
下面举例对本申请实施例提供的异常邮件检测方法进行介绍。
首先,服务器每隔24小时执行一次以下过程:
根据企业内所有邮件账户近12个月的历史登录记录,统计以下数据:1)账户登录时间统计数据:各个邮件账户登录时间在24个小时时段的概率分布(比如企业内所有邮件账户在3点登录的概率为0%,在13点登录的概率为10%);2)账户登录地点统计数据:各个邮件账户登录的IP范围(比如邮件账户S1@sample.com登录的IP范围包括223.8.1.25等),并进一步查询IP定位数据库,确定上述IP范围对应的地理位置范围(比如IP地址223.8.1.25对应的地理位置为山西省长治市屯留区);3)账户登录设备统计数据:设备ID范围(比如邮件账户S1@sample.com登录的设备ID范围包括DESKTOPURG6R32等);4)账户类型统计数据:根据企业内所有邮件账户所属人员的岗位和职责,将企业内所有邮箱账户标记为重要和普通两种类型,其中,重要账户包括企业管理部门、财务部门、网络信息管理部门、人力资源部门的邮件账户,除重要账户之外的其他邮件账户为普通账户;5)通信关系统计数据:每个邮件账户与其他邮件账户之间的发件概率分布(比如邮件账户S1@sample.com向邮件账户R1@sample.com发送邮件的概率为5%);6)群发邮件:每个邮件账户群发邮件时的收件人数量的概率分布(比如邮件账户S1@sample.com发送邮件时收件人数量大于1且小于10的概率为20%)。
然后,服务器针对每封邮件执行一次以下过程:
1)从邮件头部数据中提取发件人邮件地址sample.com和IP地址223.8.1.25,在邮件地址信誉数据库中查询该邮件域名的信誉值R1=90和IP地址的信誉值R2=70。
2)检查邮件头部数据包含了SPF和DKIM验证记录,SPF验证验证通过(比如Authentication-Results),则记为SPF=1,且DKIM验证通过(比如Authentication-Results:dkim=pass),则记为DKIM=1。
3)根据账户登录时间统计数据,查询邮件账户S1@sample.com在本次邮件发送时刻13点登录的先验概率Pt=10%。
4)根据账户登录地点统计数据,查询该邮件账户本次登录的IP地址223.8.1.25对应的地理位置山西省长治市屯留区在地理位置范围内,则记为IP=1。
5)根据账户登录设备统计数据,查询该邮件账户本次登录的设备IDDESKTOPURG6R32在设备ID范围内,则记为ID=1。
6)根据账户类型统计数据,查询本次邮件通信的收件人的账户类型为重要账户,记为MC=1。
7)根据通信关系统计数据,查询本次邮件通信的发件方S1@sample.com的发件先验概率Ps=50%。
8)根据群发邮件统计数据,查询本次邮件通信的收件人数量1对应的先验概率Pg=90%。
9)客户端对邮件内容进行解密并读取被解密的邮件内容,判断邮件正文带有超链接http://t.cn/AiHia0pa以及邮件尾部带有word文档附件,则记为MF=1,并将上述数据上传至服务器。
10)将上述步骤(1)至(9)生成的邮件特征R1、R2、SPF、DKIM、Pt、IP、ID、MC、Ps、Pg、MF输入异常邮件检测模型,运用异常邮件检测模型预测该邮件的可疑程度AD=0.83。当AD超过阈值SAD=0.8时,异常邮件检测模型将判断该邮件为异常邮件,可以向接收邮件的用户发送可疑告警信息(比如:发件人为陌生账户,首次向您发送邮件,请注意鉴别发件人地址是否为仿冒地址!),提示用户核实邮件的真实性、可信度和安全性。
请参照图2,图2为本申请实施例提供的一种异常邮件检测装置的结构框图,该异常邮件检测装置200包括:提取模块201,用于基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;检测模块202,用于根据所述邮件特征确定所述待检测邮件是否为异常邮件;其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。
在本申请实施例中,根据邮件发送的场景不同,可以对待检测邮件的发件人地址、账户登录、账户通信行为以及邮件内容中的一项或者多项特征进行特征提取,以基于提取到的邮件特征判断待检测邮件是否为异常邮件。由于在对待检测邮件进行检测的过程中,可以根据不同的应用场景从邮件的一个或者多个方面对待检测邮件进行检测,从而可以提高对异常邮件进行检测的准确率。
进一步的,所述邮件特征包括发件人地址特征;所述提取模块201具体用于:根据所述待检测邮件对应的发件人邮件地址以及发件人IP地址,确定所述待检测邮件对应的邮件域名信誉值以及IP地址信誉值;和/或,根据所述待检测邮件对应的验证记录,确定所述待检测邮件是否验证通过。
在本申请实施例中,可以通过对待检测邮件的发件人地址进行检测,实现对异常邮件的检测。其中,用发件人地址等邮件信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
进一步的,所述邮件特征包括账户登录特征;所述提取模块201具体用于执行以下至少一个步骤:根据所述邮件统计数据中的账户登录时间统计数据,确定所述待检测邮件对应的账户在该待检测邮件发送时刻登录的第一先验概率;根据所述邮件统计数据中的账户登录地点统计数据,确定所述待检测邮件对应的账户本次登录的IP地址对应的地理位置是否符合第一预设规则;根据所述邮件统计数据中的账户登录设备统计数据,确定所述待检测邮件对应的账户本次登录的设备ID是否符合第二预设规则。
在本申请实施例中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的登录信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
进一步的,所述邮件特征包括账户通信行为特征;所述提取模块201具体用于执行以下至少一个步骤:根据所述邮件统计数据中的账户类型统计数据,确定所述待检测邮件的账户类型;根据所述邮件统计数据中的通信关系统计数据,确定所述待检测邮件对应的账户与收件人进行通信的第二先验概率;根据所述邮件统计数据中的群发邮件统计数据,确定所述待检测邮件对应的收件人数量的第三先验概率。
在本申请实施例中,可以通过对待检测邮件的账户登录进行检测,实现对异常邮件的检测。其中,利用账户的通信行为信息等邮件外部信息辅助进行邮件安全分析,可以提高异常邮件检测的准确率。
进一步的,所述邮件特征包括邮件内容特征;所述提取模块201具体用于:接受所述待检测邮件对应的邮件内容特征;其中,所述邮件内容特征表征所述待检测邮件是否内嵌URL或者带有附件。
在本申请实施例中,可以通过对待检测邮件的邮件内容进行检测,实现对异常邮件的检测。其中,利用邮件本身内容进行检测,邮件安全分析,可以提高异常邮件检测的准确率。
进一步的,所述异常邮件检测装置200还包括:确定模块,用于每隔预设时间,根据历史正常邮件数据确定所述邮件统计数据。
在本申请实施例中,通过周期性地统计分析各邮件账户的行为规律,可以为异常邮件的检测提供实时更新的安全基准,从而可以提高异常邮件检测的准确率。
请参照图3,图3为本申请实施例提供的一种电子设备的结构框图,该电子设备300包括:至少一个处理器301,至少一个通信接口302,至少一个存储器303和至少一个通信总线304。其中,通信总线304用于实现这些组件直接的连接通信,通信接口302用于与其他节点设备进行信令或数据的通信,存储器303存储有处理器301可执行的机器可读指令。当电子设备300运行时,处理器301与存储器303之间通过通信总线304通信,机器可读指令被处理器301调用时执行上述异常邮件检测方法。
例如,本申请实施例的处理器301通过通信总线304从存储器303读取计算机程序并执行该计算机程序可以实现如下方法:步骤S101:基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;其中,邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。步骤S102:根据邮件特征确定待检测邮件是否为异常邮件。
其中,处理器301包括一个或多个,其可以是一种集成电路芯片,具有信号的处理能力。上述的处理器301可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、微控制单元(Micro Controller Unit,简称MCU)、网络处理器(NetworkProcessor,简称NP)或者其他常规处理器;还可以是专用处理器,包括神经网络处理器(Neural-network Processing Unit,简称NPU)、图形处理器(Graphics Processing Unit,简称GPU)、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuits,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。并且,在处理器301为多个时,其中的一部分可以是通用处理器,另一部分可以是专用处理器。
存储器303包括一个或多个,其可以是,但不限于,随机存取存储器(RandomAccess Memory,简称RAM),只读存储器(Read Only Memory,简称ROM),可编程只读存储器(Programmable Read-Only Memory,简称PROM),可擦除可编程只读存储器(ErasableProgrammable Read-Only Memory,简称EPROM),电可擦除可编程只读存储器(ElectricErasable Programmable Read-Only Memory,简称EEPROM)等。
可以理解,图3所示的结构仅为示意,电子设备300还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。图3中所示的各组件可以采用硬件、软件或其组合实现。于本申请实施例中,电子设备300可以是,但不限于台式机、笔记本电脑、智能手机、智能穿戴设备、车载设备等实体设备,还可以是虚拟机等虚拟设备。另外,电子设备300也不一定是单台设备,还可以是多台设备的组合,例如服务器集群,等等。
本申请实施例还提供一种计算机程序产品,包括存储在计算机可读存储介质上的计算机程序,计算机程序包括计算机程序指令,当计算机程序指令被计算机执行时,计算机能够执行上述实施例中异常邮件检测方法的步骤,例如包括:基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;根据所述邮件特征确定所述待检测邮件是否为异常邮件;其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种异常邮件检测方法,其特征在于,包括:
基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;
根据所述邮件特征确定所述待检测邮件是否为异常邮件;
其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。
2.根据权利要求1所述的异常邮件检测方法,其特征在于,所述邮件特征包括发件人地址特征;
所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括:
根据所述待检测邮件对应的发件人邮件地址以及发件人IP地址,确定所述待检测邮件对应的邮件域名信誉值以及IP地址信誉值;和/或,
根据所述待检测邮件对应的验证记录,确定所述待检测邮件是否验证通过。
3.根据权利要求1所述的异常邮件检测方法,其特征在于,所述邮件特征包括账户登录特征;
所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括以下至少一个步骤:
根据所述邮件统计数据中的账户登录时间统计数据,确定所述待检测邮件对应的账户在该待检测邮件发送时刻登录的第一先验概率;
根据所述邮件统计数据中的账户登录地点统计数据,确定所述待检测邮件对应的账户本次登录的IP地址对应的地理位置是否符合第一预设规则;
根据所述邮件统计数据中的账户登录设备统计数据,确定所述待检测邮件对应的账户本次登录的设备ID是否符合第二预设规则。
4.根据权利要求1所述的异常邮件检测方法,其特征在于,所述邮件特征包括账户通信行为特征;
所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括以下至少一个步骤:
根据所述邮件统计数据中的账户类型统计数据,确定所述待检测邮件的账户类型;
根据所述邮件统计数据中的通信关系统计数据,确定所述待检测邮件对应的账户与收件人进行通信的第二先验概率;
根据所述邮件统计数据中的群发邮件统计数据,确定所述待检测邮件对应的收件人数量的第三先验概率。
5.根据权利要求1所述的异常邮件检测方法,其特征在于,所述邮件特征包括邮件内容特征;
所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征,包括:
接受所述待检测邮件对应的邮件内容特征;其中,所述邮件内容特征表征所述待检测邮件是否内嵌URL或者带有附件。
6.根据权利要求1-5任一项所述的异常邮件检测方法,其特征在于,在所述基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征之前,所述方法还包括:
每隔预设时间,根据历史正常邮件数据确定所述邮件统计数据。
7.一种异常邮件检测装置,其特征在于,包括:
提取模块,用于基于邮件统计数据对接收到的待检测邮件进行特征提取,得到邮件特征;
检测模块,用于根据所述邮件特征确定所述待检测邮件是否为异常邮件;
其中,所述邮件特征包括以下至少一项特征:发件人地址特征、账户登录特征、账户通信行为特征以及邮件内容特征。
8.一种计算机程序产品,其特征在于,包括计算机程序指令,所述计算机程序指令被处理器读取并运行时,执行如权利要求1-6中任一项所述的方法。
9.一种电子设备,其特征在于,包括:处理器、存储器和总线;
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的计算机程序指令,所述处理器调用所述计算机程序指令能够执行如权利要求1-6中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储计算机程序指令,所述计算机程序指令被计算机运行时,使所述计算机执行如权利要求1-6中任一项所述的方法。
CN202210648960.3A 2022-06-09 2022-06-09 一种异常邮件检测方法及装置 Pending CN115037542A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210648960.3A CN115037542A (zh) 2022-06-09 2022-06-09 一种异常邮件检测方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210648960.3A CN115037542A (zh) 2022-06-09 2022-06-09 一种异常邮件检测方法及装置

Publications (1)

Publication Number Publication Date
CN115037542A true CN115037542A (zh) 2022-09-09

Family

ID=83123295

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210648960.3A Pending CN115037542A (zh) 2022-06-09 2022-06-09 一种异常邮件检测方法及装置

Country Status (1)

Country Link
CN (1) CN115037542A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117354274A (zh) * 2023-12-04 2024-01-05 南昌大学 一种基于神经网络的垃圾邮件发送者检测方法

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196844A (zh) * 2016-11-28 2017-09-22 北京神州泰岳信息安全技术有限公司 异常邮件识别方法及装置
CN108259415A (zh) * 2016-12-28 2018-07-06 北京奇虎科技有限公司 一种邮件检测的方法及装置
CN108768819A (zh) * 2018-03-08 2018-11-06 成都美美臣科技有限公司 一种营销邮件送达效果预防性检查方法及装置
CN109218170A (zh) * 2018-10-18 2019-01-15 杭州安恒信息技术股份有限公司 一种基于ip地址的邮件异常登录检测方法及系统
CN109450929A (zh) * 2018-12-13 2019-03-08 成都亚信网络安全产业技术研究院有限公司 一种安全检测方法及装置
CN110061981A (zh) * 2018-12-13 2019-07-26 成都亚信网络安全产业技术研究院有限公司 一种攻击检测方法及装置
CN113381983A (zh) * 2021-05-19 2021-09-10 清华大学 一种伪冒电子邮件的识别方法及装置
CN113408281A (zh) * 2021-07-14 2021-09-17 北京天融信网络安全技术有限公司 邮箱账号异常检测方法、装置、电子设备及存储介质
CN113726806A (zh) * 2021-09-03 2021-11-30 杭州安恒信息技术股份有限公司 一种bec邮件检测方法、装置、系统及可读存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107196844A (zh) * 2016-11-28 2017-09-22 北京神州泰岳信息安全技术有限公司 异常邮件识别方法及装置
CN108259415A (zh) * 2016-12-28 2018-07-06 北京奇虎科技有限公司 一种邮件检测的方法及装置
CN108768819A (zh) * 2018-03-08 2018-11-06 成都美美臣科技有限公司 一种营销邮件送达效果预防性检查方法及装置
CN109218170A (zh) * 2018-10-18 2019-01-15 杭州安恒信息技术股份有限公司 一种基于ip地址的邮件异常登录检测方法及系统
CN109450929A (zh) * 2018-12-13 2019-03-08 成都亚信网络安全产业技术研究院有限公司 一种安全检测方法及装置
CN110061981A (zh) * 2018-12-13 2019-07-26 成都亚信网络安全产业技术研究院有限公司 一种攻击检测方法及装置
CN113381983A (zh) * 2021-05-19 2021-09-10 清华大学 一种伪冒电子邮件的识别方法及装置
CN113408281A (zh) * 2021-07-14 2021-09-17 北京天融信网络安全技术有限公司 邮箱账号异常检测方法、装置、电子设备及存储介质
CN113726806A (zh) * 2021-09-03 2021-11-30 杭州安恒信息技术股份有限公司 一种bec邮件检测方法、装置、系统及可读存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
张剑: "信息安全技术 上 第2版", 31 May 2015, 电子科技大学出版社, pages: 173 - 175 *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117354274A (zh) * 2023-12-04 2024-01-05 南昌大学 一种基于神经网络的垃圾邮件发送者检测方法

Similar Documents

Publication Publication Date Title
US20230344869A1 (en) Detecting phishing attempts
US11722497B2 (en) Message security assessment using sender identity profiles
US10715543B2 (en) Detecting computer security risk based on previously observed communications
US11516248B2 (en) Security system for detection and mitigation of malicious communications
US10187407B1 (en) Collaborative phishing attack detection
US11044267B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US11722513B2 (en) Using a measure of influence of sender in determining a security risk associated with an electronic message
US10284579B2 (en) Detection of email spoofing and spear phishing attacks
US8984289B2 (en) Classifying a message based on fraud indicators
US8549642B2 (en) Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US9398038B2 (en) Collaborative phishing attack detection
US8370930B2 (en) Detecting spam from metafeatures of an email message
US20200092257A1 (en) Entity-separated email domain authentication for known and open sign-up domains
JP4669348B2 (ja) 迷惑メール判別装置及び迷惑メール判別方法
US9871797B2 (en) Information security apparatus and methods for credential dump authenticity verification
US20190306192A1 (en) Detecting email sender impersonation
CN110061981A (zh) 一种攻击检测方法及装置
CN115037542A (zh) 一种异常邮件检测方法及装置
CN108965350B (zh) 一种邮件审计方法、装置和计算机可读存储介质
Gupta et al. Forensic analysis of E-mail address spoofing
CN115801719A (zh) 邮件处理方法、装置、设备及可读存储介质
CN107979580B (zh) 一种访问控制方法、装置及服务器
CN114124453B (zh) 网络安全信息的处理方法、装置、电子设备及储存介质
WO2011153582A9 (en) Electronic messaging recovery engine
CN108234434B (zh) 一种基于email地址识别的侦测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination