CN116074278A - 恶意邮件的识别方法、系统、电子设备和存储介质 - Google Patents
恶意邮件的识别方法、系统、电子设备和存储介质 Download PDFInfo
- Publication number
- CN116074278A CN116074278A CN202211737252.3A CN202211737252A CN116074278A CN 116074278 A CN116074278 A CN 116074278A CN 202211737252 A CN202211737252 A CN 202211737252A CN 116074278 A CN116074278 A CN 116074278A
- Authority
- CN
- China
- Prior art keywords
- malicious
- link
- module
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 66
- 238000001514 detection method Methods 0.000 claims abstract description 68
- 238000012549 training Methods 0.000 claims abstract description 5
- 238000004590 computer program Methods 0.000 claims description 6
- 239000000284 extract Substances 0.000 description 15
- 238000010586 diagram Methods 0.000 description 9
- 238000004422 calculation algorithm Methods 0.000 description 6
- 230000000694 effects Effects 0.000 description 6
- 238000013075 data extraction Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 241000544061 Cuculus canorus Species 0.000 description 2
- 244000035744 Hura crepitans Species 0.000 description 2
- 241001377938 Yara Species 0.000 description 2
- 238000013527 convolutional neural network Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 101150030531 POP3 gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000002372 labelling Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的实施例提供了一种恶意邮件的识别方法、系统、电子设备和存储介质,涉及网络安全领域。其中,恶意邮件的识别方法,包括:获取网络流量数据,从所述网络流量数据中提取若干邮件内容文本;使用文本恶意识别模型对所述邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本;其中,所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到;获取所述恶意文本所对应的邮件,将所述邮件作为恶意邮件。与现有技术相比,本发明实施例所提供的恶意邮件的识别方法、系统、电子设备和存储介质能够有效的对恶意邮件进行识别。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种恶意邮件的识别方法、系统、电子设备和存储介质。
背景技术
由于电子邮件目标较明显,并且攻击成本低,回报高,所以一直深受黑客们的青睐。相关研究表明79.2%的网络攻击始于钓鱼邮件,邮件已成为安全威胁的载体和黑客发起渗透攻击的跳板。而不管是个人还是团体内部若遭受垃圾邮件侵害,极大可能会对安全问题造成巨大的威胁。会造成邮件服务阻塞、不稳定、甚至宕机,也有可能传播病毒,进行网络诈骗,散布非法信息等,影响个人或企业的正常工作。因此,如何对恶意邮件进行有效的识别成为一个亟待解决的问题。
发明内容
本发明的目的包括,例如,提供了一种恶意邮件的识别方法、系统、电子设备和存储介质,其能够有效的对恶意邮件进行识别。
本发明的实施例可以这样实现:
第一方面,本发明提供一种恶意邮件的识别方法,包括:获取网络流量数据,从所述网络流量数据中提取若干邮件内容文本;使用文本恶意识别模型对所述邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本;其中,所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到;获取所述恶意文本所对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述方法还包括:从所述网络流量数据中提取邮件附件,获取所述邮件附件的附件格式;若所述附件格式为图片格式,判断所述邮件附件是否为二维码图片;若所述邮件附件为二维码图片,提取所述二维码图片所对应的网络链接,判断所述网络链接是否为恶意链接;若所述网络链接为恶意链接,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述从所述网络流量数据中提取邮件附件后,所述方法还包括:将所述邮件附件存入磁盘的数据块中,记录各个所述邮件附件的文件大小和各个所述邮件附件所存入的数据块的起始位置。由于邮件附件的文件大小通常较大,在本步骤中提取到邮件附件后,将邮件附件存入磁盘的数据块中,并记录各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置。后续需要对邮件附件进行处理时,可以直接根据各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置从磁盘的数据块中获取得到各个邮件附件。
在可选的实施方式中,所述方法还包括:若所述附件格式为可执行文件,经由预设文件检测步骤对所述邮件附件进行文件恶意检测,若所述邮件附件为恶意文件,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件;所述预设文件检测步骤包括:获取所述邮件附件的目标模糊哈希;判断所述目标模糊哈希是否属于预设模糊哈希库,所述预设模糊哈希库包括恶意文件的模糊哈希;若所述目标模糊哈希属于所述预设模糊哈希库,判定所述邮件附件为恶意文件。
在可选的实施方式中,所述判断所述网络链接是否为恶意链接,包括:判断所述网络链接的链接类型,所述链接类型包括文件链接和网站链接;若所述链接类型为文件链接,下载所述文件链接所指向的链接文件,对所述链接文件进行文件恶意检测;若所述链接类型为网站链接,获取所述网站链接所指向的链接网站,对所述链接网站进行网站恶意检测。
在可选的实施方式中,所述方法还包括:从所述网络流量数据中提取邮件链接数据,根据所述邮件链接数据提取得到若干网络链接;分别判断所述网络链接是否为恶意链接,若所述网络链接为恶意链接,获取所述恶意链接对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述判断所述网络链接是否为恶意链接前,所述方法还包括:判断所述网络链接是否为外部网络;若所述网络连接为外部网络,经由虚拟专用网络接口与所述外部网络进行连接。通过虚拟专用网络接口与外部网络进行连接,可以更好的对恶意邮件的识别方法当前运行的网络环境的网络安全进行保护。
在可选的实施方式中,所述方法还包括:从所述网络流量数据中提取得到若干邮件域名;根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个所述邮件域名的恶意程度数据;将恶意程度数据大于预设阈值的邮件域名作为恶意域名;获取所述恶意域名对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述方法还包括:从所述网络流量数据中获取若干邮件,并设置与各个所述邮件一一对应的标识数据;所述将所述邮件作为恶意邮件前,所述方法还包括:根据所述标识数据判断所述邮件是否已经被作为恶意邮件,若所述邮件未被作为恶意邮件,执行步骤:将所述邮件作为恶意邮件。
第二方面,本发明提供一种恶意邮件的检测系统,包括:流量获取模块,用于获取网络流量数据;邮件获取模块,所述邮件获取模块包括文本获取子模块,所述文本获取子模块用于从所述网络流量数据中提取若干邮件内容文本;恶意识别模块,所述恶意识别模块包括文本识别子模块,所述文本识别子模块运行有文本恶意识别模型,所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到,所述文本识别子模块用于使用所述文本恶意识别模型对所述邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本;标记模块,所述标记模块用于获取所述恶意文本所对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述邮件获取模块还包括附件获取子模块,所述附件获取子模块用于从所述网络流量数据中提取邮件附件;所述系统还包括:附件识别模块,所述附件识别模块用于获取所述邮件附件的附件格式,若所述附件格式为图片格式,判断图片格式的所述邮件附件是否为二维码图片,若所述邮件附件为二维码图片,提取所述二维码图片所对应的网络链接;所述恶意识别模块还包括链接识别子模块,所述链接识别子模块用于判断所述网络链接是否为恶意链接;所述标记模块还用于在所述网络链接为恶意链接时,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述恶意识别模块还包括文件识别子模块,所述文件识别子模块用于在所述附件格式为可执行文件时,经由预设文件检测步骤对所述邮件附件进行文件恶意检测;所述预设文件检测步骤包括:获取所述邮件附件的目标模糊哈希;判断所述目标模糊哈希是否属于预设模糊哈希库,所述预设模糊哈希库包括恶意文件的模糊哈希;若所述目标模糊哈希属于所述预设模糊哈希库,判定所述邮件附件为恶意文件;所述标记模块还用于在所述邮件附件为恶意文件时,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
在可选的实施方式中,所述邮件获取模块还包括链接获取子模块,所述链接获取子模块用于从所述网络流量数据中提取邮件链接数据,根据所述邮件链接数据提取得到若干网络链接;所述恶意识别模块还包括链接识别子模块,所述链接识别子模块用于判断所述网络链接是否为恶意链接;所述标记模块还用于在网络链接为恶意链接时,获取恶意链接对应的邮件,将邮件作为恶意邮件。
在可选的实施方式中,所述链接识别子模块还包括虚拟专用网络接口;所述链接识别子模块还用于判断所述网络链接是否为外部网络;若所述网络连接为外部网络,所述链接识别子模块经由所述虚拟专用网络接口与所述外部网络进行连接后,判断所述网络链接是否为恶意链接。通过虚拟专用网络接口与外部网络进行连接,可以更好的对恶意邮件的识别系统当前运行的网络环境的网络安全进行保护。
在可选的实施方式中,邮件获取模块还包括域名获取子模块,域名获取子模块用于从网络流量数据中提取得到若干邮件域名;恶意识别模块还包括域名识别子模块,域名识别子模块用于根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个邮件域名的恶意程度数据,将恶意程度数据大于预设阈值的邮件域名作为恶意域名;标记模块还用于获取恶意域名对应的邮件,将邮件作为恶意邮件。
第三方面,本发明提供一种电子设备,包括:至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如前述的恶意邮件的识别方法。
第四方面,本发明提供一种计算机可读存储介质,存储有计算机程序,所述计算机程序被处理器执行实现前述的恶意邮件的识别方法。
与现有技术相比,本发明实施例所提供的恶意邮件的识别方法、系统、电子设备和存储介质中,直接从网络流量数据中提取得到邮件内容文本,然后使用文本恶意识别模型对邮件内容文本进行恶意检测,由于文本恶意识别模型是预先根据恶意邮件文本和正常邮件文本训练得到的算法模型,将邮件内容文本输入文本恶意识别模型中,文本恶意识别模型即可输出对各个邮件内容文本的恶意检测结果,根据恶意检测结果即可确定若干邮件内容文本中存在的恶意文本,获取恶意文本所对应的邮件,该邮件即为恶意邮件,从而完成对恶意邮件的有效识别。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例一所提供的恶意邮件的检测方法的流程示意图;
图2为本发明实施例二所提供的恶意邮件的检测方法的流程示意图;
图3为本发明实施例二所提供的恶意邮件的检测方法中判断网络链接是否为恶意链接的流程示意图;
图4为本发明实施例三所提供的恶意邮件的检测方法的流程示意图;
图5为本发明实施例四所提供的恶意邮件的检测方法的流程示意图;
图6为本发明实施例五所提供的恶意邮件的检测系统的结构示意图;
图7为本发明实施例六所提供的恶意邮件的检测系统的结构示意图;
图8为本发明实施例七所提供的恶意邮件的检测系统的结构示意图;
图9为本发明实施例八所提供的恶意邮件的检测系统的结构示意图;
图10为本发明另一实施例所提供的恶意邮件的检测系统的结构示意图;
图11为本发明实施例十所提供的电子设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本发明的描述中,需要说明的是,若出现术语“上”、“下”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,或者是该发明产品使用时惯常摆放的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,若出现术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
需要说明的是,在不冲突的情况下,本发明的实施例中的特征可以相互结合。
本发明实施例一提供了一种恶意邮件的识别方法,具体如图1所示,包括以下步骤:
步骤S101:获取网络流量数据。
在本步骤中,可以根据应用场景的不同使用不同的工具获取网络流量数据,例如可以使用网卡获取在一段时间内经由网卡发送和接收的网络流量数据,或者是使用交换机、网关等不同的工具获取得到一段时间内的网络流量数据。
步骤S102:从网络流量数据中提取若干邮件内容文本。
在本步骤中,针对获取到的网络流量数据,可以使用流量解析工具对网络流量数据中的各种协议(例如http、tcp、udp、icmp等)流量进行解析,然后对各个协议流量进行过滤,从所有协议流量中过滤得到邮件协议(例如pop3、smtp、imap等)流量数据,从邮件协议流量数据中获取邮件内容文本。此外,在本发明的一些实施例中,邮件协议流量数据中还可以包括客户端地址、客户端端口、服务端地址、服务端端口、邮件协议类型、邮件是否截断、邮件发送时间、邮件发送方用户代理、邮件接收方、抄送方、邮件密送方、回复方、主题、附件名、附件类型等多种与邮件相关的数据。
步骤S103:使用文本恶意识别模型对邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本。
在本实施例中,文本恶意识别模型为预先根据恶意邮件文本和正常邮件文本训练得到的算法模型。其中,恶意邮件文本使用spamassassin数据库提供的恶意邮件文本作为恶意样本集,正常邮件文本使用用户自己过往发送和接收的正常邮件的文本数据作为正常样本集,使用恶意样本集和正常样本集对文本恶意识别模型进行模型训练。使用用户自己过往发送和接收的正常邮件的文本数据作为正常样本集对文本恶意识别模型进行模型训练,使得文本恶意识别模型可以更好的识别用户发送和接收的正常邮件,提升对恶意邮件的识别准确度。
在本实施例中,文本恶意识别模型为TF-IDF(term frequency–inverse documentfrequency,术语频率–反向文档频率)模型。可以理解的是,使用TF-IDF模型作为文本恶意识别模型仅为本实施例中的一种具体的举例说明,并不构成限定,在本发明的其它实施例中,也可以是其它类型的算法模型,例如textcnn(text Convolutional Neural Network,文本卷积神经网络)模型等,具体可以根据实际需要进行灵活的选用。
在本实施例中,将获取到的全部邮件内容文本输入预先训练完成的文本恶意识别模型中,文本恶意识别模型即可输出对各个邮件内容文本的恶意分析结果,根据恶意分析结果判断各个邮件内容文本是否为恶意文本,若存在恶意文本则获取恶意文本。
步骤S104:获取恶意文本所对应的邮件作为恶意邮件。
在本步骤中,根据步骤S102中获取的邮件协议流量数据中包括的客户端地址、客户端端口、服务端地址、服务端端口、邮件协议类型、邮件是否截断、邮件发送时间、邮件发送方用户代理、邮件接收方、抄送方、邮件密送方、回复方、主题、附件名、附件类型等数据对不同的邮件进行区分。例如在本实施例中,以发件人邮箱+邮件主题+邮件发件时间+收件人邮箱+抄送人邮箱等数据进行组合,计算md5(Message-Digest Algorithm,信息摘要),并把该md5当成邮件唯一标识,从而实现不同邮件的区分。可以理解的是,前述仅为本实施例中的一种具体的举例说明,在本发明的其它实施例中,也可以是使用其它数据进行邮件的区分,具体可以根据实际需要进行灵活的设置。
获取与恶意文本对应的邮件,将该邮件作为恶意邮件。后续可以对恶意邮件进行标注、举报、告警等不同操作。
进一步的,在本发明的其它实施例中,还可以根据md5等与邮件一一对应的标识数据判断邮件是否已经被作为恶意邮件,若邮件未被作为恶意邮件,执行步骤:将邮件作为恶意邮件,反之若邮件已经被作为恶意邮件,则不重复将邮件作为恶意邮件,从而避免对同一封恶意邮件反复进行标注、举报、告警等操作。
与现有技术相比,本发明实施例一所提供的恶意邮件的识别方法中,直接从网络流量数据中提取得到邮件内容文本,然后使用文本恶意识别模型对邮件内容文本进行恶意检测,由于文本恶意识别模型是预先根据恶意邮件文本和正常邮件文本训练得到的算法模型,将邮件内容文本输入文本恶意识别模型中,文本恶意识别模型即可输出对各个邮件内容文本的恶意检测结果,根据恶意检测结果即可确定若干邮件内容文本中存在的恶意文本,获取恶意文本所对应的邮件,该邮件即为恶意邮件,从而完成对恶意邮件的有效识别。
本发明实施例二提供了一种恶意邮件的识别方法,具体如图2所示,包括以下步骤:
步骤S201:获取网络流量数据。
步骤S202:从网络流量数据中提取若干邮件内容文本。
步骤S203:使用文本恶意识别模型对邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本。
步骤S204:获取恶意文本所对应的邮件作为恶意邮件。
可以理解的是,本实施例中的步骤S201至步骤S204与实施例一中的步骤S101至步骤S104大致相同,具体可以参照前述实施例的具体说明。
步骤S205:从网络流量数据中提取邮件附件。
在本实施例中,可以从步骤S102中获取的邮件协议流量数据中提取得到邮件附件。
进一步的,在本发明的一些实施例中,由于邮件附件的文件大小通常较大,在本步骤中提取到邮件附件后,将邮件附件存入磁盘的数据块中,并记录各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置。后续需要对邮件附件进行处理时,可以直接根据各个邮件附件的文件大小和各个邮件附件所存入的数据块的起始位置从磁盘的数据块中获取得到各个邮件附件。
步骤S206:根据邮件附件的附件格式识别恶意邮件。
具体的,在本步骤中,获取到邮件附件后,进一步的获取邮件附件的附件格式。
若邮件附件的附件格式为图片格式,判断邮件附件是否为二维码图片;若邮件附件为二维码图片,提取二维码图片所对应的网络链接,判断网络链接是否为恶意链接;若网络链接为恶意链接,获取邮件附件对应的邮件,将邮件作为恶意邮件。
在本发明的一些实施例中,判断网络链接是否为恶意链接前,方法还包括:判断网络链接是否为外部网络;若网络连接为外部网络,经由虚拟专用网络接口与外部网络进行连接。通过虚拟专用网络接口与外部网络进行连接,可以更好的对恶意邮件的识别方法当前运行的网络环境的网络安全进行保护。
在本实施例中,判断网络链接是否为恶意链接的步骤如图3所示,包括以下步骤。
步骤S301:判断网络链接的链接类型是否为文件链接,若是,执行步骤S302,若否,执行步骤S303。
具体的,在本实施例中,网络链接的链接类型包括文件链接和网站链接;若链接类型为文件链接,执行步骤S302,反之,若链接类型不为文件链接,即链接类型为网站链接,执行步骤S303。
步骤S302:下载文件链接所指向的链接文件,对链接文件进行文件恶意检测。
具体的,在本实施例中,可以通过模糊哈希对链接文件进行文件恶意检测,即获取链接文件的目标模糊哈希;判断目标模糊哈希是否属于预设模糊哈希库,预设模糊哈希库包括恶意文件的模糊哈希;若目标模糊哈希属于预设模糊哈希库,判定链接文件为恶意文件,反之若目标模糊哈希不属于预设模糊哈希库,判定链接文件不为恶意文件。
可以理解的是,前述使用模糊哈希对链接文件进行文件恶意检测仅为本实施例中的一种具体的举例说明,并不构成限定,在本发明的其它实施例中,也可以是其它方法,例如通过yara检测该链接文件是否为恶意文件、通过clamav来检测链接文件是否为恶意文件、把链接文件放入预设的cuckoo虚拟沙箱,根据沙箱报告分值来判断链接文件是否为恶意文件、根据系统API调用报告,通过预设的判断模型来判断链接文件是否为恶意软件等,具体可以根据实际需要进行灵活的使用。
步骤S303:获取网站链接所指向的链接网站,对链接网站进行网站恶意检测。
具体的,在本实施例中,提取网站链接中的域名,通过whois等传输协议网站来查询域名的信息,并获取该网站域名的备案号,通过浏览器获取该链接网站的完整html信息;通过这三部分信息来判断该链接是否为钓鱼网站或者欺诈网站。
进一步的,若邮件附件的附件格式为可执行文件,可以经由预设文件检测步骤对邮件附件进行文件恶意检测,若邮件附件为恶意文件,获取邮件附件对应的邮件,将邮件作为恶意邮件。其中,预设文件检测步骤与步骤S302中对链接文件进行文件恶意检测的步骤大致相同,同样可以为例如使用模糊哈希进行文件恶意检测、通过yara进行文件恶意检测、通过clamav进行文件恶意检测、把链接文件放入预设的cuckoo虚拟沙箱,根据沙箱报告分值来判断链接文件是否为恶意文件、根据系统API调用报告,通过预设的判断模型来判断链接文件是否为恶意软件等,具体可以参照步骤S302中的具体说明。
与现有技术相比,本发明实施例二所提供的恶意邮件的识别方法在保留实施例一的技术效果的同时,通过邮件附件识别恶意邮件,可以提升对恶意邮件的识别范围,减少漏检的发生。
本发明实施例三提供了一种恶意邮件的识别方法,具体如图4所示,包括以下步骤:
步骤S401:获取网络流量数据。
步骤S402:从网络流量数据中提取若干邮件内容文本。
步骤S403:使用文本恶意识别模型对邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本。
步骤S404:获取恶意文本所对应的邮件作为恶意邮件。
可以理解的是,本实施例中的步骤S401至步骤S404与实施例一中的步骤S101至步骤S104大致相同,具体可以参照前述实施例的具体说明。
步骤S405:从网络流量数据中提取邮件链接数据,根据邮件链接数据提取得到若干网络链接。
具体的,在本步骤中,可以通过Jsoup等解析器提取从网络流量数据中提取<a>语言标签、<img>语言标签等语言标签所对应的网络链接。可以理解的是,前述仅为本实施例中提取得到若干网络链接的方法的举例说明,并不构成限定,在本发明的其它实施例中,也可以是使用其它方法,例如使用文本文义识别等,具体可以根据实际需要进行灵活的使用。
步骤S406:分别判断网络链接是否为恶意链接,若网络链接为恶意链接,获取恶意链接对应的邮件,将邮件作为恶意邮件。
具体的,本实施例中判断网络链接是否为恶意链接的方法与实施例二的步骤S301至步骤S303所记载的方法大致相同,具体可以参照前述实施例的具体说明。
与现有技术相比,本发明实施例三所提供的恶意邮件的识别方法在保留实施例一的技术效果的同时,从网络流量数据中提取邮件链接数据,根据邮件链接数据提取得到若干网络链接,通过对网络链接的恶意检测进一步的识别恶意邮件,可以对部分文本内容非恶意而附带恶意链接的恶意邮件进行有效识别,提升对恶意邮件的识别范围,减少漏检的发生。
本发明实施例四提供了一种恶意邮件的识别方法,具体如图5所示,包括以下步骤:
步骤S501:获取网络流量数据。
步骤S502:从网络流量数据中提取若干邮件内容文本。
步骤S503:使用文本恶意识别模型对邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本。
步骤S504:获取恶意文本所对应的邮件作为恶意邮件。
可以理解的是,本实施例中的步骤S501至步骤S504与实施例一中的步骤S101至步骤S104大致相同,具体可以参照前述实施例的具体说明。
步骤S505:从网络流量数据中提取得到若干邮件域名。
步骤S506:根据注册时长、网站状态、备案信息、网页状态中的一种或多种获取恶意域名。
具体的,在本步骤中,可以根据注册时长、网站状态、备案信息、网页状态等数据对邮件域名进行打分,例如如果域名注册时间在1年以上打0分、反之则打1分,域名alex排名在200万以内打0分、反之则打1分,网站状态正常打0分、反之则打1分,有备案信息打0分、反之则打1分,后缀为常用后缀打0分、反之则打1分,网页无法打开打0分、反之则打1分,最后根据总分值判断邮件域名的恶意程度数据,例如如果总打分和值大于3则为恶意域名,反之则为非恶意域名等。
可以理解的是,前述仅为本实施例中判断邮件域名是否为恶意域名的一种具体的方法的举例说明,并不构成限定,在本发明的其它实施例中,还可以是其它方法,例如针对邮件域名与预设的恶意域名进行匹配,判断邮件域名与预设的恶意域名之间的相似度大小,其中相似度计算规则主要根据编辑距离和一些特定相似字符。如果相似度大于预设相似度则判断为恶意域名,反之则为非恶意域名。
步骤S507:获取恶意域名对应的邮件作为恶意邮件。
与现有技术相比,本发明实施例四所提供的恶意邮件的识别方法在保留实施例一的技术效果的同时,从网络流量数据中提取邮件域名,通过对邮件域名的恶意检测进一步的识别恶意邮件,可以对部分文本内容非恶意而附带恶意链接的恶意邮件进行有效识别,提升对恶意邮件的识别范围,减少漏检的发生。
进一步的,在本发明的一些实施例中,将检测得到的各个邮件根据与邮件一一对应的标识数据存储在数据块中,对于每个邮件对应存储其是否为恶意邮件,对于各个邮件,例如根据其邮件文本内容未检测到其为恶意邮件时,与该邮件的标识数据对应存储该邮件为非恶意邮件,若根据其附件检测结果检测到该邮件的附件为恶意链接,则与该邮件的标识数据对应存储该邮件为恶意邮件。
本发明实施例五提供了一种恶意邮件的识别系统,具体结构如图6所示,包括:流量获取模块10,流量获取模块10用于获取网络流量数据;邮件获取模块20,邮件获取模块包括文本获取子模块21,文本获取子模块21用于从网络流量数据中提取若干邮件内容文本;恶意识别模块30,恶意识别模块30包括文本识别子模块31,文本识别子模块31运行有文本恶意识别模型,文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到,文本识别子模块用于使用文本恶意识别模型对邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本;标记模块40,标记模块40用于获取恶意文本所对应的邮件,将邮件作为恶意邮件。
与现有技术相比,本发明实施例所提供的恶意邮件的识别系统中,邮件获取模块20直接从网络流量数据中提取得到邮件内容文本,然后使用恶意识别模块30中运行的文本恶意识别模型对邮件内容文本进行恶意检测,由于文本恶意识别模型是预先根据恶意邮件文本和正常邮件文本训练得到的算法模型,将邮件内容文本输入文本恶意识别模型中,文本恶意识别模型即可输出对各个邮件内容文本的恶意检测结果,根据恶意检测结果即可确定若干邮件内容文本中存在的恶意文本,标记模块40获取恶意文本所对应的邮件,该邮件即为恶意邮件,从而完成对恶意邮件的有效识别。
进一步的,在本实施例中,使用kafka系统实现不同功能模块之间的数据传输,例如流量获取模块10获取得到网络流量数据后,即将网络流量数据放入kafka系统的一个topic存储空间中进行存储,邮件获取模块20则从topic存储空间中直接获取得到流量获取模块10存储的网络流量数据,邮件获取模块20从网络流量数据中提取得到若干邮件内容文本后,同样将各个邮件内容文本分别存入kafka系统的不同topic存储空间内以供恶意识别模块30获取。
进一步的,在本发明的其它实施例中,还可以包括存储模块和显示模块。其中,存储模块用于存储恶意邮件、以及恶意邮件的相关数据,例如恶意邮件的域名分值、恶意邮件的附件、恶意邮件的文本内容等,显示模块用于显示存储模块中存储的恶意邮件、以及恶意邮件的相关数据。
不难发现,本发明实施例五所提供的恶意邮件的识别系统为与实施例一所对应的系统的实施例,本发明实施例五中所提及的技术细节同样可以应用在实施例一中,同样实施例一中的技术细节同样可以应用在本实施例五中。
本发明实施例六提供了一种恶意邮件的识别系统,具体结构如图7所示,不仅包括流量获取模块10、邮件获取模块20、恶意识别模块30、以及标记模块40,还包括附件识别模块50。此外,邮件获取模块20还包括附件获取子模块22,附件获取子模块22用于从网络流量数据中提取邮件附件,附件识别模块50用于获取邮件附件的附件格式,若附件格式为图片格式,判断图片格式的邮件附件是否为二维码图片,若邮件附件为二维码图片,提取二维码图片所对应的网络链接,恶意识别模块30还包括链接识别子模块32,链接识别子模块32用于判断网络链接是否为恶意链接;标记模块40还用于在网络链接为恶意链接时,获取邮件附件对应的邮件,将邮件作为恶意邮件。
进一步的,在本发明的一些实施例中,链接识别子模块32还包括虚拟专用网络接口;链接识别子模块32还用于判断网络链接是否为外部网络;若网络连接为外部网络,链接识别子模块32经由虚拟专用网络接口与外部网络进行连接后,判断网络链接是否为恶意链接。
此外,在本实施例中,恶意识别模块30还包括文件识别子模块33,文件识别子模块33用于在附件格式为可执行文件时,经由预设文件检测步骤对邮件附件进行文件恶意识别;预设文件检测步骤包括:获取邮件附件的目标模糊哈希;判断目标模糊哈希是否属于预设模糊哈希库,预设模糊哈希库包括恶意文件的模糊哈希;若目标模糊哈希属于预设模糊哈希库,判定邮件附件为恶意文件;标记模块40还用于在邮件附件为恶意文件时,获取邮件附件对应的邮件,将邮件作为恶意邮件。
与现有技术相比,本发明实施例六所提供的恶意邮件的识别方法在保留实施例五的技术效果的同时,设置附件识别模块50通过邮件附件识别恶意邮件,可以提升对恶意邮件的识别范围,减少漏检的发生。
不难发现,本发明实施例六所提供的恶意邮件的识别系统为与实施例二所对应的系统的实施例,本发明实施例六中所提及的技术细节同样可以应用在实施例二中,同样实施例二中的技术细节同样可以应用在本实施例六中。
本发明实施例七提供了一种恶意邮件的识别系统,具体结构如图8所示,包括流量获取模块10、邮件获取模块20、恶意识别模块30、以及标记模块40。其中,邮件获取模块20还包括链接获取子模块23,链接获取子模块23用于从网络流量数据中提取邮件链接数据,根据邮件链接数据提取得到若干网络链接;恶意识别模块30还包括链接识别子模块34,链接识别子模块34用于判断网络链接是否为恶意链接;标记模块40还用于在网络链接为恶意链接时,获取恶意链接对应的邮件,将邮件作为恶意邮件。
与现有技术相比,本发明实施例七所提供的恶意邮件的识别方法在保留实施例五的技术效果的同时,设置链接获取子模块23从网络流量数据中提取邮件链接数据,根据邮件链接数据提取得到若干网络链接,链接识别子模块34通过对网络链接的恶意检测进一步的识别恶意邮件,可以对部分文本内容非恶意而附带恶意链接的恶意邮件进行有效识别,提升对恶意邮件的识别范围,减少漏检的发生。
不难发现,本发明实施例七所提供的恶意邮件的识别系统为与实施例三所对应的系统的实施例,本发明实施例七中所提及的技术细节同样可以应用在实施例三中,同样实施例三中的技术细节同样可以应用在本实施例七中。
本发明实施例八提供了一种恶意邮件的识别系统,具体结构如图9所示,包括流量获取模块10、邮件获取模块20、恶意识别模块30、以及标记模块40。其中,邮件获取模块20还包括域名获取子模块24,域名获取子模块24用于从网络流量数据中提取得到若干邮件域名。恶意识别模块30还包括域名识别子模块35,域名识别子模块35用于根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个邮件域名的恶意程度数据,将恶意程度数据大于预设阈值的邮件域名作为恶意域名;标记模块40还用于获取恶意域名对应的邮件,将邮件作为恶意邮件。
与现有技术相比,本发明实施例八所提供的恶意邮件的识别方法在保留实施例五的技术效果的同时,域名获取子模块24从网络流量数据中提取邮件域名,域名识别子模块35通过对邮件域名的恶意检测进一步的识别恶意邮件,可以对部分文本内容非恶意而附带恶意链接的恶意邮件进行有效识别,提升对恶意邮件的识别范围,减少漏检的发生。
不难发现,本发明实施例八所提供的恶意邮件的识别系统为与实施例四所对应的系统的实施例,本发明实施例八中所提及的技术细节同样可以应用在实施例四中,同样实施例四中的技术细节同样可以应用在本实施例八中。
可以理解的是,前述每个实施例所提供的恶意邮件的识别系统中仅包括部分恶意邮件的识别模块,在本发明的另一实施例中,如图10所示,恶意邮件的识别系统也可以是包括前述实施例所提供的恶意邮件的识别系统中的全部识别模块,即包括流量获取模块10,邮件获取模块20,邮件获取模块包括文本获取子模块21、附件获取子模块22、链接获取子模块23、以及域名获取子模块24,恶意识别模块30,恶意识别模块30包括文本识别子模块31、链接识别子模块32、文件识别子模块33、链接识别子模块34、以及域名识别子模块35,标记模块40,以及附件识别模块50。
可以理解的是,如图10所示的恶意邮件的识别系统中的各个功能模块与前述实施例中的各个功能模块大致相同,具体可以参照前述实施例中的具体说明,在此不再赘述。
本发明实施例九涉及一种电子设备,如图11所示,包括:至少一个处理器100;以及,与至少一个处理器100通信连接的存储器200;其中,存储器200存储有可被至少一个处理器100执行的指令,指令被至少一个处理器100执行,以使至少一个处理器100能够执行上述各实施例中的恶意邮件的检测方法。
其中,存储器和处理器采用总线方式连接,总线可以包括任意数量的互联的总线和桥,总线将一个或多个处理器和存储器的各种电路连接在一起。总线还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路连接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口在总线和收发机之间提供接口。收发机可以是一个元件,也可以是多个元件,比如多个接收器和发送器,提供用于在传输介质上与各种其他装置通信的单元。经处理器处理的数据通过天线在无线介质上进行传输,进一步,天线还接收数据并将数据传送给处理器。
处理器负责管理总线和通常的处理,还可以提供各种功能,包括定时,外围接口,电压调节、电源管理以及其他控制功能。而存储器可以被用于存储处理器在执行操作时所使用的数据。
本发明实施例十涉及一种计算机可读存储介质,存储有计算机程序。计算机程序被处理器执行时实现上述方法实施例。
即,本领域技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (17)
1.一种恶意邮件的识别方法,其特征在于,包括:
获取网络流量数据,从所述网络流量数据中提取若干邮件内容文本;
使用文本恶意识别模型对所述邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本,所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到;
获取所述恶意文本所对应的邮件,将所述邮件作为恶意邮件。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述网络流量数据中提取邮件附件,获取所述邮件附件的附件格式;
若所述附件格式为图片格式,判断所述邮件附件是否为二维码图片;
若所述邮件附件为二维码图片,提取所述二维码图片所对应的网络链接,判断所述网络链接是否为恶意链接;
若所述网络链接为恶意链接,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
3.根据权利要求2所述的方法,其特征在于,所述从所述网络流量数据中提取邮件附件后,所述方法还包括:
将所述邮件附件存入磁盘的数据块中,记录各个所述邮件附件的文件大小和各个所述邮件附件所存入的数据块的起始位置。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述附件格式为可执行文件,经由预设文件检测步骤对所述邮件附件进行文件恶意检测,若所述邮件附件为恶意文件,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件;
所述预设文件检测步骤包括:
获取所述邮件附件的目标模糊哈希;
判断所述目标模糊哈希是否属于预设模糊哈希库,所述预设模糊哈希库包括恶意文件的模糊哈希;
若所述目标模糊哈希属于所述预设模糊哈希库,判定所述邮件附件为恶意文件。
5.根据权利要求2所述的方法,其特征在于,所述判断所述网络链接是否为恶意链接,包括:
判断所述网络链接的链接类型,所述链接类型包括文件链接和网站链接;
若所述链接类型为文件链接,下载所述文件链接所指向的链接文件,对所述链接文件进行文件恶意检测;
若所述链接类型为网站链接,获取所述网站链接所指向的链接网站,对所述链接网站进行网站恶意检测。
6.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述网络流量数据中提取邮件链接数据,根据所述邮件链接数据提取得到若干网络链接;
分别判断所述网络链接是否为恶意链接,若所述网络链接为恶意链接,获取所述恶意链接对应的邮件,将所述邮件作为恶意邮件。
7.根据权利要求6所述的方法,其特征在于,所述判断所述网络链接是否为恶意链接前,所述方法还包括:
判断所述网络链接是否为外部网络;
若所述网络连接为外部网络,经由虚拟专用网络接口与所述外部网络进行连接。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
从所述网络流量数据中提取得到若干邮件域名;
根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个所述邮件域名的恶意程度数据;
将恶意程度数据大于预设阈值的邮件域名作为恶意域名;
获取所述恶意域名对应的邮件,将所述邮件作为恶意邮件。
9.根据权利要求1至8中任一项所述的方法,其特征在于,所述方法还包括:
从所述网络流量数据中获取若干邮件,并设置与各个所述邮件一一对应的标识数据;
所述将所述邮件作为恶意邮件前,所述方法还包括:
根据所述标识数据判断所述邮件是否已经被作为恶意邮件,若所述邮件未被作为恶意邮件,执行步骤:将所述邮件作为恶意邮件。
10.一种恶意邮件的检测系统,其特征在于,包括:
流量获取模块,用于获取网络流量数据;
邮件获取模块,所述邮件获取模块包括文本获取子模块,所述文本获取子模块用于从所述网络流量数据中提取若干邮件内容文本;
恶意识别模块,所述恶意识别模块包括文本识别子模块,所述文本识别子模块运行有文本恶意识别模型,所述文本恶意识别模型根据恶意邮件文本和正常邮件文本训练得到,所述文本识别子模块用于使用所述文本恶意识别模型对所述邮件内容文本进行恶意检测,根据恶意检测结果获取恶意文本;
标记模块,所述标记模块用于获取所述恶意文本所对应的邮件,将所述邮件作为恶意邮件。
11.根据权利要求10所述的系统,其特征在于,
所述邮件获取模块还包括附件获取子模块,所述附件获取子模块用于从所述网络流量数据中提取邮件附件;
所述系统还包括:附件识别模块,所述附件识别模块用于获取所述邮件附件的附件格式,若所述附件格式为图片格式,判断图片格式的所述邮件附件是否为二维码图片,若所述邮件附件为二维码图片,提取所述二维码图片所对应的网络链接;
所述恶意识别模块还包括链接识别子模块,所述链接识别子模块用于判断所述网络链接是否为恶意链接;
所述标记模块还用于在所述网络链接为恶意链接时,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
12.根据权利要求11所述的系统,其特征在于,
所述恶意识别模块还包括文件识别子模块,所述文件识别子模块用于在所述附件格式为可执行文件时,经由预设文件检测步骤对所述邮件附件进行文件恶意检测;
所述预设文件检测步骤包括:
获取所述邮件附件的目标模糊哈希;
判断所述目标模糊哈希是否属于预设模糊哈希库,所述预设模糊哈希库包括恶意文件的模糊哈希;
若所述目标模糊哈希属于所述预设模糊哈希库,判定所述邮件附件为恶意文件;
所述标记模块还用于在所述邮件附件为恶意文件时,获取所述邮件附件对应的邮件,将所述邮件作为恶意邮件。
13.根据权利要求10所述的系统,其特征在于,
所述邮件获取模块还包括链接获取子模块,所述链接获取子模块用于从所述网络流量数据中提取邮件链接数据,根据所述邮件链接数据提取得到若干网络链接;
所述恶意识别模块还包括链接识别子模块,所述链接识别子模块用于判断所述网络链接是否为恶意链接;
所述标记模块还用于在所述网络链接为恶意链接时,获取所述恶意链接对应的邮件,将所述邮件作为恶意邮件。
14.根据权利要求13所述的系统,其特征在于,所述链接识别子模块还包括虚拟专用网络接口;
所述链接识别子模块还用于判断所述网络链接是否为外部网络;若所述网络连接为外部网络,所述链接识别子模块经由所述虚拟专用网络接口与所述外部网络进行连接后,判断所述网络链接是否为恶意链接。
15.根据权利要求10所述的系统,其特征在于,
所述邮件获取模块还包括域名获取子模块,所述域名获取子模块用于从所述网络流量数据中提取得到若干邮件域名;
所述恶意识别模块还包括域名识别子模块,所述域名识别子模块用于根据注册时长、网站状态、备案信息、网页状态中的一种或多种、判断各个所述邮件域名的恶意程度数据,将恶意程度数据大于预设阈值的邮件域名作为恶意域名;
所述标记模块还用于获取所述恶意域名对应的邮件,将所述邮件作为恶意邮件。
16.一种电子设备,其特征在于,包括:
至少一个处理器;以及,与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至9中任意一项所述的恶意邮件的识别方法。
17.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行实现权利要求1至9中任意一项所述的恶意邮件的识别方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211737252.3A CN116074278A (zh) | 2022-12-30 | 2022-12-30 | 恶意邮件的识别方法、系统、电子设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211737252.3A CN116074278A (zh) | 2022-12-30 | 2022-12-30 | 恶意邮件的识别方法、系统、电子设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116074278A true CN116074278A (zh) | 2023-05-05 |
Family
ID=86181481
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211737252.3A Pending CN116074278A (zh) | 2022-12-30 | 2022-12-30 | 恶意邮件的识别方法、系统、电子设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116074278A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861412A (zh) * | 2023-06-26 | 2023-10-10 | 深圳市赛凌伟业科技有限公司 | 一种基于大数据的信息安全分析方法和系统 |
| CN117201208A (zh) * | 2023-11-08 | 2023-12-08 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213152A (zh) * | 2018-05-02 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 识别垃圾邮件的方法、装置、服务器及存储介质 |
| CN111600788A (zh) * | 2020-04-30 | 2020-08-28 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备和存储介质 |
| CN111614543A (zh) * | 2020-04-10 | 2020-09-01 | 中国科学院信息工程研究所 | 一种基于url的鱼叉式钓鱼邮件检测方法及系统 |
| CN114491539A (zh) * | 2022-02-16 | 2022-05-13 | 上海斗象信息科技有限公司 | 文件检测方法、装置、设备及计算机可读存储介质 |
| CN114510713A (zh) * | 2021-12-28 | 2022-05-17 | 深信服科技股份有限公司 | 检测恶意软件的方法、装置、电子设备及存储介质 |
| CN115396184A (zh) * | 2022-08-23 | 2022-11-25 | 北京时代亿信科技股份有限公司 | 邮件的检测方法及装置、非易失性存储介质 |
-
2022
- 2022-12-30 CN CN202211737252.3A patent/CN116074278A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110213152A (zh) * | 2018-05-02 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 识别垃圾邮件的方法、装置、服务器及存储介质 |
| CN111614543A (zh) * | 2020-04-10 | 2020-09-01 | 中国科学院信息工程研究所 | 一种基于url的鱼叉式钓鱼邮件检测方法及系统 |
| CN111600788A (zh) * | 2020-04-30 | 2020-08-28 | 深信服科技股份有限公司 | 一种鱼叉邮件检测方法、装置、电子设备和存储介质 |
| CN114510713A (zh) * | 2021-12-28 | 2022-05-17 | 深信服科技股份有限公司 | 检测恶意软件的方法、装置、电子设备及存储介质 |
| CN114491539A (zh) * | 2022-02-16 | 2022-05-13 | 上海斗象信息科技有限公司 | 文件检测方法、装置、设备及计算机可读存储介质 |
| CN115396184A (zh) * | 2022-08-23 | 2022-11-25 | 北京时代亿信科技股份有限公司 | 邮件的检测方法及装置、非易失性存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116861412A (zh) * | 2023-06-26 | 2023-10-10 | 深圳市赛凌伟业科技有限公司 | 一种基于大数据的信息安全分析方法和系统 |
| CN117201208A (zh) * | 2023-11-08 | 2023-12-08 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
| CN117201208B (zh) * | 2023-11-08 | 2024-02-23 | 新华三网络信息安全软件有限公司 | 恶意邮件识别方法、装置、电子设备和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11516248B2 (en) | Security system for detection and mitigation of malicious communications | |
| US10505956B1 (en) | System and method for detecting malicious links in electronic messages | |
| US8549642B2 (en) | Method and system for using spam e-mail honeypots to identify potential malware containing e-mails | |
| US11765192B2 (en) | System and method for providing cyber security | |
| US9888016B1 (en) | System and method for detecting phishing using password prediction | |
| US20210126944A1 (en) | Analysis of potentially malicious emails | |
| EP2859495B1 (en) | Malicious message detection and processing | |
| JP2021503142A (ja) | 不審なeメールの分析及び報告 | |
| US20080046970A1 (en) | Determining an invalid request | |
| US11978020B2 (en) | Email security analysis | |
| CN116074278A (zh) | 恶意邮件的识别方法、系统、电子设备和存储介质 | |
| US10158639B1 (en) | Data scrubbing via template generation and matching | |
| CN111222856A (zh) | 一种邮件识别方法、装置、设备及存储介质 | |
| EP4152729B1 (en) | Interactive email warning tags | |
| CN113630397A (zh) | 电子邮件安全控制方法、客户端及系统 | |
| CN108965350B (zh) | 一种邮件审计方法、装置和计算机可读存储介质 | |
| US11936686B2 (en) | System, device and method for detecting social engineering attacks in digital communications | |
| CN107786413B (zh) | 一种浏览电子邮件的方法及用户终端 | |
| Morovati et al. | Detection of Phishing Emails with Email Forensic Analysis and Machine Learning Techniques. | |
| JP4564916B2 (ja) | フィッシング詐欺対策方法、端末、サーバ及びプログラム | |
| US20210264430A1 (en) | Message Processing Platform for Automated Phish Detection | |
| CN118250087B (zh) | 一种自动化生成邮箱账号蜜点的邮件安全保护方法及系统 | |
| CN114143105B (zh) | 网空威胁行为体的溯源方法、装置、电子设备及存储介质 | |
| JP6254401B2 (ja) | 情報処理装置、情報処理方法、情報処理システム | |
| CN116028924A (zh) | 网页的安全防护方法及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |